Výběr služby správy mobilních zařízení
Co je správa mobilních zařízení (MDM)?
Systémy iOS, iPadOS, macOS a tvOS obsahují integrovaný rámec, který zajišťuje podporu pro správu mobilních zařízení (MDM). Služba MDM umožňuje bezpečné bezdrátové nastavení konfigurace zařízení pomocí profilů a příkazů odesílaných do zařízení, ať už jsou tato zařízení majetkem uživatele nebo vaší organizace. Služba MDM obsahuje funkce pro aktualizaci nastavení softwaru a zařízení, monitoring dodržování pravidel organizace a mazání a zamykání zařízení na dálku. Uživatelé mohou ve službě MDM zaregistrovat svá vlastní zařízení. Pokud jsou zařízení ve vlastnictví organizace, lze je ve službě MDM registrovat automaticky pomocí nástroje Apple School Manager.
Jak služba MDM funguje?
Jakmile zařízení nebo uživatel registrační profil schválí, jsou do zařízení přeneseny konfigurační profily, které obsahují datové části. Následně můžete bezdrátově distribuovat, spravovat a konfigurovat aplikace a knihy zakoupené prostřednictvím Apple School Manageru. Aplikace se mohou instalovat automaticky nebo je mohou instalovat sami uživatelé – záleží na tom, o jaký typ aplikace se jedná, jak je řešeno její přiřazení a zda je zařízení pod dohledem.
Co je dohled?
Pojem dohled obecně znamená, že zařízení je majetkem organizace, která má současně rozšířenou kontrolu nad jeho konfigurací a omezeními.
Další informace nad zařízeními najdete v tématu Dohled nad zařízením Apple v příručce Nasazení platformy Apple.
Faktory ovlivňující výběr služby MDM
K dispozici je mnoho implementací služby MDM od řady nezávislých vývojářů. Než se pro některou z nich rozhodnete, měli byste si ujasnit, které aspekty MDM jsou pro vaši organizaci nejdůležitější (včetně voleb a cen hostingu). Níže uvedené tipy vám s rozhodováním mohou pomoci.
Tip: Nejvhodnější službu MDM je nutné vybrat ještě před zahájením nasazení. Změna v průběhu nasazení bude s největší pravděpodobností znamenat vymazání každého zařízení a jeho novou registraci.
Místní hosting nebo cloudový hosting: Pro službu MDM je možné využívat hosting na místním serveru nebo v cloudu. MDM je odlehčený protokol založený na standardu HTTPS, jehož prostřednictvím lze spravovat zařízení kdekoli na světě s nízkým dopadem na datový provoz, a má tedy dobré předpoklady pro hosting v cloudu. Pokud vaše organizace zvolí službu založenou na cloudovém nebo internetovém hostingu, mnoho kroků nastavování MDM popsaných v této příručce bude možné zjednodušit nebo úplně vynechat.
Podpora zařízení: Některé služby MDM obsahují integrovanou detailní podporu konkrétních typů zařízení Apple, například jen počítačů Mac nebo jen iPhonů, zatímco jiné nabízejí podporu napříč platformami. Dodavatele MDM můžete zkombinovat tak, že podporu jednotlivých typů budou zajišťovat oddělené služby. Tuto úlohu si lze v Apple School Manageru zjednodušit pomocí funkce automatického přiřazování podle typu zařízení. Můžete si také zvolit jednoho dodavatele MDM, který zajistí podporu všech typů zařízení Apple používaných ve vaší organizaci.
Funkce zaměřené na vzdělávací sektor: Někteří dodavatelé služeb MDM nabízejí funkce navržené speciálně pro vzdělávací prostředí. Ujistěte se, že váš dodavatel MDM podporuje řešení, jako je například Apple School Manager, aplikace Třída, Škola nebo Sdílený iPad a také všechny vzdělávací funkce zavedené v nejnovějších verzích operačních systémů Apple ke dni uvedení.
Dotazy a služby zpráv: Služba MDM může zasílat zařízením Apple dotazy na různé informace včetně sériového čísla hardwaru, UDID zařízení, adresy MAC (Media Access Control), Wi‑Fi sítě a stavu šifrování FileVault (v případě počítačů Mac). Může se dotazovat i na informace o softwaru, například na verzi a omezení zařízení nebo na seznam aplikací, které jsou v zařízení nainstalovány. Na základě těchto informací lze zjistit, zda uživatelé v zařízení udržují správné aplikace. Systémy iOS a iPadOS podporují dotazy na čas posledního zálohování zařízení na iCloud a na hašovací hodnotu účtu přiřazení aplikací přihlášeného uživatele. V systému tvOS se může služba MDM dotazovat registrovaných zařízení Apple TV na informace o aktivech, jako je jazyk, národní prostředí a organizace.
Přístup k podpoře dodavatele a její pravidla: Služba MDM má v prostředí organizace kritickou důležitost. Vyhodnoťte úroveň podpory, služeb a školení, které poskytovatel MDM nabízí.
Podle takto stanovených kritérií můžete ještě před konečným rozhodnutím sestavit užší výběr služeb MDM, nainstalovat je na zkoušku jen na několik testovacích zařízení a posoudit, která z nich nejlépe vyhovuje vašim představám. Apple School Manager je možné propojit s více službami MDM a přiřadit jednotlivá zařízení k různým serverům podle potřeby. Další informace najdete ve videu Choosing an MDM Solution (Výběr služby MDM).
Požadavky na síť pro službu MDM
Při instalaci a nastavování služby MDM je nutné zvážit způsob, jakým provést nastavení sítě, protokolu TLS (Transport Layer Security), služeb infrastruktury, služeb Apple a zálohování.
Při instalaci služby MDM s lokálním hostingem musíte všechny níže uvedené položky nakonfigurovat sami. Nakonfigurováním a otestováním všech těchto položek zajistíte bezproblémový průběh nasazení. Pokud je vaše prostředí MDM spravováno externě nebo provozováno v hostitelském cloudu, může za vás velkou část těchto položek zajistit váš dodavatel MDM.
DNS: Služba MDM musí používat úplný název domény, interpretovatelný zevnitř sítě vaší organizace i zvenčí. Tak bude moci spravovat zařízení bez ohledu na to, zda jsou připojena lokálně nebo vzdáleně. Název domény se nesmí měnit, aby zůstalo připojení klientů trvale k dispozici.
IP adresa: Většina služeb MDM vyžaduje statickou IP adresu. Při změně IP adresy serveru musí zůstat zachován stávající DNS název.
Konfigurace protokolu TLS v prostředí MDM: Veškerá komunikace mezi zařízeními Apple a službou MDM je šifrována s použitím protokolu HTTPS. K zabezpečení této komunikace je nezbytný certifikát TLS (dříve SSL). Zařízení nenasazujte bez certifikátu od známé certifikační autority (CA). Poznamenejte si datum ukončení platnosti a nezapomeňte certifikát obnovit dříve, než vyprší.
Porty firewallu: Aby byla služba MDM přístupná interně i externě, je nutné otevřít některé porty firewallu. Většina služeb MDM přijímá příchozí připojení využívající protokol HTTPS na portu 443. Jak služba MDM, tak i jednotlivá zařízení musí komunikovat se službou APNs (Apple Push Notification service). Do října 2020 využívaly systémy MDM pro službu APNs porty 2195 a 2196, klienti pak port 5223. Od listopadu 2020 používají služby MDM port 2197.
Tip: Vaše služba MDM může být hostitelem pro vyřazovací kódy a klíče úschovy Zámku aktivace, bootstrapové tokeny macOS a další jedinečná data důležitá pro zajištění přístupu k zařízením. Z tohoto důvodu si nezapomeňte pro vaši on-premise instalaci služby MDM vytvořit robustní strategii obnovy pro případ nehody. Kromě toho se doporučuje pravidelné testování záložních souborů a souborů obnovy.