Běžné položky nastavení správy mobilních zařízení
Pomocí konfiguračních profilů s běžnými položkami nastavení správy mobilních zařízení (MDM) pro školství lze u většiny systémů MDM tyto položky a pravidla automaticky nastavit na zařízeních hned po registraci.
Další informace o postupech zabezpečení zařízení, usnadnění komunikace a spolupráce a přizpůsobení iPadu různým stylům a požadavkům výuky najdete ve videu Personalize Devices for Learners (Přizpůsobení zařízení pro studenty).
Ve vzdělávacím sektoru jsou často využívány některé konkrétní parametry správy. Následuje seznam některých běžných omezení a položek nastavení spolu s popisem jejich důsledků.
Omezení
Následující omezení se často nastavují ve vzdělávacím prostředí. Většinu z nich lze uplatnit jen na zařízeních pod dohledem. Další informace o dohledu nad zařízeními najdete v tématu Dohled nad zařízením Apple v příručce Nasazení platformy Apple.
Poznámka: Některá omezení vyžadují konkrétní verzi iOS, iPadOS nebo tvOS. Chcete‑li zjistit, kterou verzi dané omezení podporuje, přečtěte si témata Omezení MDM pro zařízení iPhone a iPad a Omezení MDM pro zařízení Apple TV v příručce Nasazení platformy Apple.
Allow Manual VPN creation: Prostřednictvím služby MDM lze uživatelům znemožnit ruční nastavování VPN připojení. Toto opatření zaručuje, že všechny internetové požadavky ze zařízení studentů budou procházet přes službu filtrování obsahu, kterou daná organizace používá. Vyžaduje iOS 11 nebo novější.
Allow System App Removal: Toto omezení brání uživatelům v odstranění předinstalovaných aplikací, například Mailu a Kalendáře. Vyžaduje iOS 11 nebo novější.
Show or Hide apps: Prostřednictvím služby MDM lze přesně určit, které aplikace bude možné používat. Skrýt lze všechny předinstalované aplikace i aplikace nezávislých vývojářů s výjimkou aplikací Telefon (jen na iPhonu) a Nastavení. Skryté aplikace mohou v zařízení nadále zabírat místo, ale v době, kdy jsou skryté, je nelze používat. Vyžaduje iOS 9.3 nebo novější.
Poznámka: V případě nasazení více profilů obsahujících pokyny k zobrazení a skrytí aplikací, například profilu zařízení a uživatelského profilu pro funkci Sdílený iPad, je výsledná množina aplikací průnikem všech takto určených aplikací. Vyžaduje‑li například profil zařízení, aby se na zařízení zobrazovaly jen aplikace Hodiny a Safari, zatímco uživatelský profil vyžaduje, aby byly zobrazeny jen aplikace Mail a Safari, zobrazí se pouze Safari.
Allow installing apps: Vypnutím této volby zakážete na zařízení instalaci aplikací, deaktivujete App Store a odstraníte jeho ikonu z plochy.
Poznámka: Služba MDM může aplikace instalovat i nadále.
Allow Safari: iPady obsahují předinstalovanou aplikaci Safari – nativní webový prohlížeč od společnosti Apple. Služba MDM může prostřednictvím konfiguračních profilů zakázat jeho použití. Bez Safari nebude pracovat řada funkcí systému iPadOS i aplikací od nezávislých vývojářů. Nebudou se například otvírat odkazy v poštovních zprávách. Chcete‑li vytvořit optimální uživatelské prostředí, Safari nezakazujte. Pokud potřebujete omezit přístup k nevhodnému webovému obsahu, postupujte podle pokynů v tématu Použití filtrování obsahu.
Allow modifying account settings: Je‑li tato volba vypnutá, uživatelé nemohou nastavovat nové účty ani měnit svá uživatelská jména, hesla a další parametry přiřazené k jejich účtům. V kombinaci s funkcí Sdílený iPad se doporučuje použít toto nastavení, aby všichni studenti pracovali pouze pod spravovaným Apple ID, které jim bylo přiděleno.
Allow Erase All Content and Settings: Je‑li tato volba vypnutá, v systémech iOS 8 a novějších nemohou uživatelé své zařízení v aplikaci Nastavení vymazat a vrátit do továrního nastavení. Stále však mají možnost vymazat zařízení ve Finderu (macOS 10.15 a novější) nebo v iTunes (macOS 10.14 a starší) nebo prostřednictvím USB připojení.
Allow configuring restrictions: Je‑li tato volba vypnutá, uživatel nemůže na svých zařízeních nastavovat vlastní omezení. Tímto způsobem lze uživatelům zabránit v nastavení omezení, která by byla v konfliktu s omezeními nastavenými organizací. Prostřednictvím služby MDM lze navíc na dálku vymazat přístupový kód pro omezení.
Allow pairing with non-Apple Configurator hosts: Je‑li tato volba vypnutá, uživatelé nemohou své iPady propojit s počítačem. Při aktivaci je nutné zapnout párování, aby uživatelé mohli svá zařízení pod dohledem připojit k hostitelskému počítači.
Allow installing configuration profiles: Je‑li tato volba vypnutá, uživatelé nemohou ručně instalovat konfigurační profily. Tímto způsobem lze uživatelům zabránit v instalaci profilů, které by byly v konfliktu s nastavením organizace.
Další nastavení MDM
V některých službách MDM mohou být dále k dispozici různé kombinace následujících položek nastavení:
Mark specific managed apps as nonremovable: Pomocí této volby můžete v systému iOS 14 nebo novějším a iPadOS 14 nebo novějším zajistit, že budou na zařízeních studentů trvale k dispozici nejdůležitější školní aplikace, například ty, které zajišťují filtrování obsahu.
Set time zone: Pomocí této volby můžete v systému iOS 14 nebo novějším a iPadOS 14 nebo novějším nastavit na všech zařízeních správné časové pásmo bez nutnosti ručního zásahu. Pokud ji nezapnete, musí časové pásmo vybrat uživatelé v nastavení polohových služeb.
Get eSIM EID: V systému iOS 14 nebo novějším a iPadOS 14 nebo novějším může služba MDM zjistit identifikátor eSIM (EID), který je užitečné znát – spolu s IMEI – při řešení potíží s mobilními zařízeními.
Home screen layout: Při použití systémů iOS 9.3 a novějších může služba MDM nastavit umístění ikon aplikací na ploše zařízení pod dohledem včetně obsahu složek a Docku. Uživatelé nemohou uspořádání ikon měnit.
Wi-Fi settings: Služba MDM může na zařízeních nastavit konfiguraci Wi‑Fi včetně zabezpečení WPA/WPA2-PSK, WPA/WPA2 Enterprise a 802.1X. Zařízení vybavená pouze Wi‑Fi, jako jsou například některé modely iPadů nebo iPody touch, se musí před registrací ve službě MDM pomocí Apple School Manageru připojit k Wi‑Fi síti. K tomuto účelu může být nutné zřídit dočasnou síť pro nasazení, pokud je pro standardní připojení k vaší školní síti nezbytný konfigurační profil. Při vzdálené změně Wi‑Fi profilu je nutné nejprve odstranit ze zařízení stávající profil, což může vést k odpojení zařízení od Wi‑Fi dříve, než je nasazen nový profil. Z toho důvodu byste před nasazením aktualizovaného Wi‑Fi profilu v širším měřítku měli tuto funkci důkladně otestovat.
Passcode policy: Pokud je iPad zamčený pomocí přístupového kódu, nemá k němu přístup nikdo jiný než uživatel, tj. ani příslušná organizace, a data v zařízení jsou chráněna. Ve službě MDM lze zavést povinné použití přístupového kódu na iPadu a vyžadovat různé úrovně složitosti kódu, tj. stanovit požadavky na délku, speciální znaky a stáří kódu.
Poznámka: Prostřednictvím služby MDM lze přístupový kód zařízení na dálku vymazat, je‑li zařízení připojeno k internetu. Po restartu se iPad nemůže připojovat k zabezpečeným Wi‑Fi sítím, dokud není zadán přístupový kód, což může zabránit vymazání kódu na dálku.
Web clips: Webový klip je ikona na ploše zařízení, která odkazuje na webovou stránku nebo URL. Webové klipy mohou volitelně spouštět celoobrazovkové webové aplikace a mohou pracovat i offline s použitím místního úložiště HTML5. Konfigurační profily mohou obsahovat webové klipy s vlastním názvem a ikonou, které lze volitelně nastavit jako neodstranitelné. Prostřednictvím webových klipů lze studenty odkázat na konkrétní výukové webové stránky. Další informace o konfiguraci webových klipů na zařízení najdete na stránce profilu WebClip v dokumentaci Apple Developer.
User unenrollment: Mnohé systémy MDM nabízejí samoobslužné aplikace nebo webové klipy rozšiřující standardní funkce MDM integrované do systémů iOS a iPadOS. Některá samoobslužná rozhraní umožňují uživateli zrušit na dálku registraci svého zařízení ve službě MDM. Pokud chce organizace uživatelům znemožnit zrušení registrace ve službě MDM, je třeba tuto funkci deaktivovat. Informace o postupech, kterými lze zabránit zrušení registrace uživatelem, najdete v dokumentaci od dodavatele vašeho systému MDM.