各位學長姐好，先前本人曾於受訓心得文中提及曾協助隊上弟兄安裝MDM 主要利用的是本人的資工專長（有選修Android相關課程）達成任務 也因此，本人也對整個MDM系統的機制有所深入瞭解與研究 自然而然的也想在此分享給各位，希望可以解決大家長久以來的疑惑！ ◎本文已經儘量避免可能含有軍機之成分，但如有所遺漏，還請告知！ ◎本文不提倡，亦不會說明如何破解MDM，此為非法行為且可能造成裝置無法使用！ ====================================================================== 前言 智慧型手機具有多種功能，包含攝影、通訊傳輸及定位等，可能會對國防機密造成影響， 故中科院開發了「手機MDM」，並規定國軍全體凡持用智慧型手機者皆須安裝。該程式在 營區內必須開啟且上鎖，並會限制手機相機、定位及無線資料傳輸（電信網路除外）的使 用。 不過事實上，「MDM」並非國軍首創的名詞，而是「行動裝置管理（Mobile Device Management）」的縮寫，其為一個被企業界廣泛應用的技術。本文將會說明國軍MDM的使 用及原理，並大致解答一些可能會遇到的問題，期能解除疑惑及誤解。 一、使用方式 版本限制 iOS無特殊限制，Android需要5以上方可使用； 另，Android需要先登出全部的帳號（可至設定內查看） 安裝 iOS： 需要連結到指定的無線網路下載描述檔並安裝 搭配打包成ipa的軟體本體使用 Android： 安裝時需要以USB線連接到電腦 並透過電腦上的工具程式推送apk檔案進入手機 再連線到指定的無線網路進行認證即可使用 解鎖/上鎖 至營區外時，可點選主介面的「解鎖」 並選擇「快速」或「僅GPS」，稍待畫面變為紅色即可解開鎖定的功能 回到營區前，點選主介面的「上鎖」 確認後螢幕變為綠色，即可進入營區 （iOS裝置另需另外手動套用描述檔） 解除安裝 點選「功能選單」→「解除MDM」，確認後會顯示一組代碼 將代碼輸入至裝有MDM管理系統之電腦，可取得對應的解鎖碼 輸入至手機後即自動解開程式並帶出解除安裝畫面 二、程式原理 ※因原文作者並非使用iOS，故以下內容將以Android版本的MDM為主 ※考慮到可能有機密技術內容，部分內容酌予刪除 國軍MDM並非是以暴力手段強制卸除或阻擋手機之各式功能使用 而是透過Android的企業級功能來實作的 這可以將MDM程式本身設定成一個裝置的擁有者 手機就變成相當於企業配發的裝置 因此，手機內的所有功能皆會受到這個程式的管理 此一猜想可以透過被安裝MDM的手機上 狀態列會顯示「裝置是由貴機構所管理」來得到驗證 由於此企業級功能是在Android 5以上才有提供 故MDM只提供Android 5以上的手機使用 且根據Android官方文件，在設定此企業級功能前 手機內不能有其他已經登入的帳號，所以才會要求必須先登出所有的帳號 三、常見問題 安裝 使用傳輸線連結到電腦了，但手機抓不到 很可能是因為使用的手機傳輸線並非具有完整的傳輸資料功能 （部分廉價線材僅有電力傳送功能（只提供2條線路） 但USB線路有4條） 建議使用原廠線或可以傳輸資料的線材 安裝時電腦的工具程式出現了錯誤訊息「Not allowed to set the device owner because there are already some accounts on the device」 手機內還有帳號沒有登出，所以無法設定MDM； 請再次檢查是否有帳號沒有登出之外 也可嘗試先解除安裝造成問題的app （造成問題的app也會顯示在錯誤訊息或紀錄檔中 並以安裝包名稱的形式呈現，例如：com.facebook.orca （此為臉書app的安裝包名稱）） 安裝後第一次開啟MDM app卻閃退 用來線刷的apk版本有時可能過舊，導致會直接閃退 此時可在連結認證用Wifi後，打開手機瀏覽器連結192.168.2.2 依照網頁指示下載apk覆蓋安裝即可 （Android 7以上較有此問題，推測是開發使用的API版本較老造成） 使用 按了「快速解鎖」，卻一直判定為「營區邊界，改為上鎖」 由於定位功能可能會快取最後一次定位的位置 而最後一次定位的位置通常剛好是營區附近 如果快速解鎖一直誤判，可改用「僅GPS」來強制系統重新抓取位置 安裝MDM後，我可以進行系統軟體更新（OTA）/App更新嗎？ 如果是指一般的App更新，不論是否為上鎖狀態都可更新； 若為系統軟體更新，為了避免系統設定值被打亂 建議於解鎖狀態下再行更新 隱私權 MDM好像很耗電但又不給關閉？ 由於MDM被設為權限凌駕於使用者之上，故使用者不能隨意關閉 （包含強制停止或解除安裝皆然） 但根據測試，將手機設定為靜音、螢幕關閉、行動網路保持開啟下 讓MDM常駐，1天內約消耗10%電量（手機為Asus ZenFone 5 ZE620KL） 不過，目前已知某些功能可以成功阻擋MDM於開機時執行 進而讓MDM不常駐於系統（如Asus手機內建的自啟動管理） 但即使MDM沒有開啟，電量消耗亦相去不遠，故請放心使用 ※MDM未常駐時，受限制的功能依然會保持鎖定，敬請安心 MDM會監控我平時的行為嗎？ 根據對App本身的剖析，MDM雖有使用鏡頭的權限 但並無證據顯示會隨時錄影錄音等 其權限應僅作為鎖定功能時使用，敬請放心 另，雖App本身有上傳資料的功能 但是也必須要由使用者點選才會啟用 MDM解除安裝後，會殘留東西讓手機故障無法使用？ 就技術層面而言，MDM僅僅是使用Android內建的功能 故理論上不會損壞任何的軟硬體，請勿聽信不明來源之謠言 ============================================================= 以上內容提供各位參考（尤其是即將入營的學弟妹），有問題也歡迎提出！ 而以上當然不是本文的全部內容，如果想要更知道本文完整內容 則請附上適當證明站內信來，將會提供完整文章連結 最後預祝大家的手機都能平安度過在營區內的日子！ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.2.69 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Militarylife/M.1574532093.A.C7F.html 實際上，Root的權限更凌駕於MDM所使用的企業級功能之上 （權限等級：Root > 裝置管理者 > 使用者） 所以MDM在Root過的手機上會無法使用正是這個原因 （因為已經有人權限比他大，而這通常不應該發生（Root本身被許多廠商視為破保）） 但如果是以企業觀點來說，確實就是管理者=營區電腦 （或者你要說中科院也行，畢竟這App是他們弄的） 可看本人先前的文章，簡單來說就是被幹部發現是好用的工具人所以就（ry ※ 編輯: jh961202 (1.160.2.69 臺灣), 11/24/2019 22:07:11 三星的KNOX也是特例之一，這玩意算是三星自家弄出的一個架構 主要是防止惡意程式，所以可能有動用到類似企業級功能的東西 因此會和MDM使用的機制衝突或許也是意料之中 因為重置手機後會把所有設定值清除，當然包含企業級的設定值 所以還是要交給他們重新安裝（尤其必須要經過認證才能啟動最主要的上鎖功能） 由於設定MDM權限必須動用到USB除錯的功能，所以非得走線刷 因此如果USB不能用，可能就必須換一隻手機囉 ※ 編輯: jh961202 (1.163.28.4 臺灣), 12/15/2019 22:34:35