What are Apple device management capabilities?

Komplexní Správa Apple Zařízení s MDM

01/11/2022

Rating: 4.27 (12319 votes)

V dnešní digitální době se správa zařízení stala pro firmy i vzdělávací instituce naprostou nezbytností. Apple, se svými populárními produkty jako jsou iPhone, iPad, Mac a další, nabízí integrovaný rámec pro správu mobilních zařízení (MDM), který umožňuje organizacím bezpečně a bezdrátově konfigurovat, spravovat a zabezpečovat tisíce zařízení. Ať už se jedná o zařízení vlastněná společností nebo zařízení, která si uživatelé přinášejí sami (BYOD), MDM poskytuje robustní řešení pro centralizovanou kontrolu a efektivitu. Tento článek se podrobně zabývá možnostmi správy Apple zařízení prostřednictvím MDM, vysvětluje klíčové koncepty a ukazuje, jak můžete optimalizovat své IT procesy.

What are Apple device management capabilities?
Capabilities include updating software and device settings, monitoring compliance with organizational policies, and remotely wiping or locking devices. Users can enroll their own devices in a device management service, and organizations can automatically enroll organization-owned devices using Apple School Manager or Apple Business Manager.

Správa mobilních zařízení (MDM) je systém, který zjednodušuje registraci, nasazení, spolupráci a zabezpečení Apple zařízení, včetně iPhonů a iPadů. Je ideální pro korporátní a vzdělávací použití, pomáhá podnikům spravovat zařízení, ať už jsou sdílená, vlastněná společností, nebo vlastněná zaměstnanci. Týmy IT tak mohou prosazovat bezpečnostní politiky potřebné pro vaše podnikání a vzdáleně distribuovat aplikace a obsah. Systém je založen na cloudu a poskytuje komplexní řešení pro moderní pracovní prostředí.

Obsahový index

Podporovaná Apple Zařízení pro MDM

Apple MDM je navrženo tak, aby bezproblémově fungovalo s širokou škálou Apple produktů, což zajišťuje konzistentní a efektivní správu napříč celým ekosystémem. Následující zařízení Apple obsahují integrovaný rámec kompatibilní s MDM:

  • iPhone: s iOS 4 nebo novějším
  • iPad: s iOS 4.3 nebo novějším nebo iPadOS 13.1 nebo novějším
  • Mac: s OS X 10.7 nebo novějším
  • Apple TV: s tvOS 9 nebo novějším
  • Apple Watch: s watchOS 10 nebo novějším
  • Apple Vision Pro: s visionOS 1.1 nebo novějším

Tato široká podpora umožňuje organizacím spravovat téměř jakékoli Apple zařízení ve svém inventáři, což zjednodušuje IT operace a zvyšuje celkové zabezpečení.

Jak Probíhá Zápis Zařízení do MDM

Zápis do MDM zahrnuje registraci identit klientských certifikátů pomocí protokolů, jako je Automatizované prostředí pro správu certifikátů (ACME) nebo Simple Certificate Enrollment Protocol (SCEP). Zařízení používají tyto protokoly k vytvoření jedinečných identifikačních certifikátů pro ověřování ve službách společnosti.

Existují dva hlavní způsoby, jak se zařízení mohou zapsat do MDM:

  1. Uživatelský zápis: Pokud zápis není automatický, uživatelé se sami rozhodují, zda se chtějí do MDM zapsat, a své zařízení mohou kdykoli ze správy zrušit. Proto byste měli zvážit motivaci uživatelů, aby správu nerušili. Například můžete zajistit, aby MDM automaticky poskytovalo pověření pro přístup k síti Wi-Fi, takže pro použití této sítě je nutný zápis do MDM. Když uživatel zruší zápis do MDM, jeho zařízení se pokusí upozornit řešení MDM, že již nemůže být pod jeho správou.
  2. Automatizovaný zápis zařízení (Automated Device Enrollment): V případě zařízení vlastněných organizací můžete pomocí Apple School Manager nebo Apple Business Manager automaticky zapsat zařízení do MDM a bezdrátově je spravovat během počáteční konfigurace. Tento proces zápisu je známý jako „Automatizovaný zápis zařízení“ (dříve Apple DEP). Díky němu jsou zařízení automaticky pod dohledem a připravena k nasazení ihned po vybalení z krabice.

Důležité upozornění se týká Ochrany před krádeží zařízení (Stolen Device Protection). Pokud je tato funkce aktivována, a uživatel se nachází na neznámém místě, následující akce jsou zpožděny o jednu hodinu:

  • Ruční zápis zařízení do MDM
  • Ruční instalace konfigurace nebo profilu kódu
  • Konfigurace účtu Microsoft Exchange v nastavení nebo pomocí profilu či konfigurace

Toto zpoždění je navrženo tak, aby zvýšilo bezpečnost zařízení v případě krádeže.

Profily Zápisu a Konfigurační Profily: Klíčové Rozdíly

Pochopení rozdílu mezi profily zápisu a konfiguračními profily je pro efektivní správu MDM zásadní. Oba typy profilů hrají klíčovou roli v procesu správy zařízení, ale slouží k odlišným účelům.

Profily Zápisu (Enrollment Profiles)

Profily zápisu jsou jedním ze dvou hlavních způsobů, jak uživatelé zapíšou zařízení do řešení MDM (druhým je zápis uživatele nebo zápis zařízení pomocí účtů). Tento profil obsahuje datovou část MDM, která umožňuje řešení MDM odesílat příkazy do zařízení a v případě potřeby i další konfigurační profily. Může také odesílat dotazy na zařízení, aby získal informace, jako je stav zámku aktivace, úroveň nabití baterie nebo jeho název.

Když uživatel odstraní profil zápisu, odstraní se s ním všechny konfigurační profily, jejich nastavení a spravované aplikace založené na tomto profilu. Na zařízení může být současně nainstalován pouze jeden profil zápisu. Jakmile je profil zápisu schválen – zařízením nebo uživatelem – jsou na zařízení odeslány konfigurační profily obsahující datové části. Poté můžete bezdrátově distribuovat, spravovat a konfigurovat aplikace a knihy zakoupené prostřednictvím Apple School Manager nebo Apple Business Manager.

Konfigurační Profily (Configuration Profiles)

Konfigurační profil je soubor XML (končící na .mobileconfig), který obsahuje datové části, které načítají nastavení a autorizační informace do zařízení Apple. Konfigurační profily automatizují konfiguraci nastavení, účtů, omezení a pověření. Tyto soubory lze vytvořit pomocí řešení MDM, pomocí Apple Configurator pro Mac nebo ručně.

Vzhledem k tomu, že konfigurační profily mohou být šifrovány a podepsány, můžete omezit jejich použití na konkrétní zařízení Apple a, s výjimkou uživatelských jmen a hesel, zabránit úpravě nastavení. Konfigurační profil můžete také označit jako uzamčený pro zařízení. Pokud to vaše řešení MDM umožňuje, můžete konfigurační profily distribuovat jako e-mailovou přílohu, prostřednictvím odkazu na vlastní webovou stránku nebo prostřednictvím integrovaného uživatelského portálu vašeho řešení MDM.

What devices can Apple MDM manage?
Apple MDM is a device management system that streamlines device enrollment, deployment, collaboration, and security for iOS devices, including iPhones and iPads. The system is cloud-based and ideal for corporate and educational use.

Když uživatelé otevřou e-mailovou přílohu nebo stáhnou konfigurační profil prostřednictvím webového prohlížeče, otevře se okno, které je vyzve k zahájení instalace profilu. Můžete distribuovat konfigurační profil, který mění nastavení celého zařízení nebo pouze jednoho uživatele:

  • Profily zařízení: Lze je odesílat na zařízení a skupiny zařízení a aplikují nastavení zařízení na celé zařízení. iPhone, iPad, Apple TV, Apple Watch a Apple Vision Pro nemohou rozpoznat více než jednoho uživatele, takže konfigurační profily vytvořené pro kompatibilní zařízení Apple jsou vždy profily zařízení. I když jsou profily iPadOS profily zařízení, zařízení iPad nakonfigurovaná jako Sdílený iPad jsou kompatibilní s profily založenými na zařízení nebo na uživateli.
  • Profily uživatelů: Lze je odesílat uživatelům a (pokud je řešení MDM podporuje) skupinám uživatelů, aby aplikovaly uživatelská nastavení pouze na příslušné uživatele. Vzhledem k tomu, že počítače Mac mohou mít více uživatelů, datové části a nastavení profilů macOS mohou být založeny buď na zařízení, nebo na uživateli. Účet uživatele vytvořený během průvodce nastavením je považován za nakonfigurovaný řešením MDM a může přijímat profily. U Macu s macOS 11 nebo novějším je další možností, že administrátorské účty vytvořené řešením MDM během zápisu jsou spravovány. V případě implementací propojených s Active Directory může být uživatel, který je v daném okamžiku přihlášen do sítě, spravován pomocí MDM.

Nastavení zařízení a uživatele se liší v závislosti na tom, kde se nacházejí:

  • Nastavení nainstalovaná na úrovni systému se nacházejí v kanálu zařízení.
  • Nastavení nainstalovaná pro uživatele se nacházejí v kanálu uživatele.

Pro lepší přehlednost si prohlédněte tuto srovnávací tabulku:

FunkceProfil Zápisu (Enrollment Profile)Konfigurační Profil (Configuration Profile)
Primární účelZapsání zařízení do MDM, navázání spojeníAplikace specifických nastavení, omezení a účtů
Typ souboruSoučástí procesu zápisu, neviditelný pro uživatele jako samostatný souborSoubor .mobileconfig (XML)
Počet na zařízeníPouze jedenVíce (jeden profil může obsahovat více datových částí)
OdstraněníOdstraní všechny související konfigurační profily a spravované aplikaceOdstraní pouze nastavení a aplikace spravované tímto konkrétním profilem
ObsahMDM datová část, která umožňuje komunikaci a doručování dalších profilůDatové části pro Wi-Fi, VPN, e-mail, hesla, omezení atd.
Šifrování/PodpisAno, pro bezpečný zápisAno, pro zabezpečení a omezení úprav
Viditelnost pro uživateleAno, v nastavení (možnost odebrání)Ano, v nastavení (možnost odebrání, pokud není uzamčen)

Odstraňování Profilů MDM

Způsob odstranění profilů závisí na tom, jak byly nainstalovány. Následující posloupnost ukazuje, jak odstranit profil:

  1. Všechny profily lze odstranit vymazáním všech dat ze zařízení (obnovení továrního nastavení).
  2. Pokud byl profil zapsán do MDM pomocí Apple School Manager nebo Apple Business Manager, administrátor může zvolit, zda uživatel může profil zápisu odstranit, nebo zda to může provést pouze samotný server MDM.
  3. Pokud je profil nainstalován pomocí řešení MDM, lze jej odstranit prostřednictvím tohoto konkrétního řešení MDM, nebo jej může odstranit uživatel zrušením zápisu do MDM odstraněním konfiguračního profilu zápisu.
  4. Pokud je profil nainstalován na zařízení pod dohledem pomocí Apple Configurator, může tuto instanci dohledu Apple Configurator profil odstranit.
  5. Pokud je profil nainstalován na zařízení pod dohledem ručně nebo pomocí Apple Configurator a profil má datovou část hesla pro odstranění, uživatel musí toto heslo zadat, aby profil odstranil.
  6. Uživatel může odstranit všechny ostatní profily.

Účty nainstalované konfiguračním profilem lze vymazat odstraněním profilu. Účty Microsoft Exchange ActiveSync, včetně těch, které byly nainstalovány prostřednictvím konfiguračního profilu, lze odstranit prostřednictvím Microsoft Exchange Serveru pomocí příkazu vzdáleného vymazání pouze účtů.

Důležité: Pokud uživatelé znají heslo zařízení, mohou odstranit ručně nainstalované, nesledované konfigurační profily z iPhonu a iPadu, i když je možnost nastavena na Nikdy. Uživatelé Macu mohou totéž provést pouze tehdy, pokud znají uživatelské jméno a heslo administrátora. K tomu mohou použít nástroj příkazového řádku profiles, Nastavení systému (v macOS 13 nebo novějším) nebo Předvolby systému (v macOS 12.0.1 nebo starším). U Macu s macOS 10.15 nebo novějším, stejně jako u iOS a iPadOS, musí být profily nainstalované pomocí MDM odstraněny pomocí MDM; v opačném případě se automaticky odstraní při zrušení zápisu z MDM.

Požadavky na Komunikaci MDM

Komunikace MDM třetích stran s Apple zařízeními je nejpravděpodobnější, když jsou splněny následující podmínky:

  • Řešení MDM je správně nakonfigurováno, otestováno a funguje.
  • Certifikát APNs je platný a nevypršel.
  • Zařízení je zapnuté.
  • Zařízení je zapsáno v řešení MDM.
  • Síť, ke které je zařízení připojeno, má přístup k internetu (pro komunikaci APNs).
  • Síť, ke které je zařízení připojeno, musí mít přístup k Apple serverům souvisejícím s řešením MDM.

Je důležité si uvědomit, že Apple nemá žádnou kontrolu nad řešeními MDM třetích stran. Komunikace řešení MDM může selhat i kvůli jiným problémům, jako je špatně nakonfigurovaná datová část MDM.

Proč je Správa iPhonů Důležitá?

Vnitřní bezpečnost všech Apple zařízení a všestrannost jejich funkcí z nich činí jasnou volbu pro jakoukoli organizaci. Jejich nekonečné výhody jsou to, co nutí společnosti k jejich přijetí a používání ve svých operacích. Ale aby bylo možné tyto výhody plně využít, musí podniky nasadit správce iOS zařízení pro vzdálenou správu iOS nebo řešení Apple MDM pro správu Apple zařízení. To jim umožní vzdáleně konfigurovat firemní a soukromá zařízení s nezbytnými bezpečnostními politikami a schváleným obsahem a aplikacemi.

Správa zařízení umožňuje IT týmům:

  • Spravovat uživatelská zařízení bez kompromitování soukromí uživatelů.
  • Aplikovat komplexní politiky.
  • Aktualizovat nastavení a software zařízení.
  • Monitorovat soulad s firemními politikami.
  • Vzdáleně zamykat a odemykat zařízení.
  • Zjednodušit aplikaci politik a hromadný zápis.
  • Posouvat nastavení Exchange a e-mailu.
  • Zakázat a povolit aplikace a webové stránky.
  • Publikovat podnikové aplikace.
  • Komunikovat pomocí VOIP hovorů a šifrovaných zpráv.
  • Publikovat a sdílet obsah a prezentace.
  • Konfigurovat zařízení podle firemních politik.
  • Posouvat bezpečnostní nastavení a síťové konfigurace a mnoho dalšího.

Často Kladené Dotazy (FAQ)

Kde najdu správu zařízení na iPhonu?

Správu zařízení na iPhonu najdete v Nastavení > Obecné > Profily a správa zařízení. Pokud zde tuto možnost nevidíte, pravděpodobně nemáte na zařízení nainstalovaný žádný MDM profil.

Proč můj iPhone nemá možnost správy zařízení?

Pokud nemáte nainstalovaný MDM profil, neuvidíte možnost Správa zařízení. Tato možnost se objeví pouze tehdy, když je zařízení zapsáno do MDM řešení a má nainstalovaný profil správy. Pokud jste v organizaci, která používá MDM, a nevidíte tuto možnost, obraťte se na své IT oddělení.

Je bezpečné instalovat MDM profily na iPhone?

Obecně platí, že instalaci MDM profilu provádí společnost nebo škola. Jedná se o bezpečný způsob, jak spravovat a přizpůsobovat nastavení na velkém počtu zařízení. MDM profily umožňují organizacím zajistit soulad s bezpečnostními politikami, distribuovat aplikace a konfigurovat síťová nastavení. Pokud je profil z důvěryhodného zdroje (vaše organizace), je jeho instalace bezpečná.

Jak odebrat profil MDM z iPhonu s heslem?

Pokud znáte heslo k zařízení a profil není uzamčen administrátorem, můžete MDM profil odebrat následovně:

  1. Otevřete aplikaci Nastavení.
  2. Přejděte na Obecné a poté na Správa zařízení nebo Profily a správa zařízení.
  3. Klepněte na MDM profil, který chcete odebrat.
  4. Klepněte na Odebrat správu nebo Odebrat profil.
  5. Budete vyzváni k zadání hesla k zařízení. Zadejte jej a potvrďte odstranění.

Tímto způsobem se zařízení odpojí od MDM a již nebude pod vzdálenou kontrolou. Pamatujte, že pokud je zařízení pod dohledem přes Apple School Manager nebo Apple Business Manager, administrátor může uživateli odebrání profilu znemožnit.

Chceš-li si přečíst další články podobné jako Komplexní Správa Apple Zařízení s MDM, navštiv kategorii iPhone.

Go up