Úvod do profilů správy zařízení
Služba správy zařízení umožňuje správci bezpečně na dálku konfigurovat zařízení pomocí konfiguračních dat, profilů a příkazů odesílaných do zařízení bez ohledu na to, jestli tato zařízení vlastní uživatel, nebo organizace. Nabízí funkce pro aktualizaci nastavení softwaru a zařízení, monitoring dodržování pravidel organizace a dálkové mazání a zamykání zařízení. Uživatelé můžou ve službě správy zařízení zaregistrovat svá vlastní zařízení. Organizace můžou zařízení ve svém vlastnictví registrovat automaticky pomocí nástroje Apple School Manager nebo Apple Business Manager.
Pokud se chystáte začít používat službu správy zařízení, je třeba, abyste porozuměli několika souvisejícím principům a pojmům. V následujících oddílech se dozvíte, jak služba správy zařízení využívá registrační a konfigurační profily, dohled nad zařízeními a datové části.
Podporovaná zařízení Apple
Framework zajišťující podporu služeb správy zařízení je integrovaný do následujících zařízení Apple:
iPhone s iOS 4 nebo novějším
iPady se systémy iOS 4.3 a novějšími nebo iPadOS 13.1 a novějšími
Počítače Mac se systémem OS X 10.7 nebo novějším
Apple TV se systémem tvOS 9 nebo novějším
Apple Watch se systémem watchOS 10 nebo novějším
Apple Vision Pro se systémem visionOS 1.1 nebo novějším
Jak se zařízení registrují
Registrace ve službě správy zařízení zahrnuje registraci identit klientských certifikátů pomocí protokolů, například ACME (Automated Certificate Management Environment) nebo SCEP (Simple Certificate Enrollment Protocol). Zařízení pomocí těchto protokolů vytvářejí jedinečné certifikáty identity pro ověřování služeb organizace.
Pokud registrace neprobíhá automaticky, rozhodují o registraci zařízení ve službě správy zařízení jejich uživatelé a můžou je z této služby také kdykoli odebrat. Měli byste proto zvážit, jakými pobídkami uživatele přimějete, aby svá zařízení ve správě ponechali. Registrací můžete například podmínit přístup k Wi‑Fi síti, použijete‑li službu správy zařízení k automatickému poskytování přihlašovacích údajů pro bezdrátové připojení. Když uživatel službu správy zařízení opustí, jeho zařízení se jí pokusí oznámit, že už ho nadále nemůže spravovat.
Zařízení, která vaše organizace vlastní, můžete ve službě správy zařízení registrovat automaticky pomocí Apple School Manageru nebo Apple Business Manageru a během počátečního nastavení pro ně aktivovat bezdrátový dohled. Tento proces registrace se označuje jako automatická registrace zařízení.
Správa zařízení a ochrana odcizených zařízení
Když je zapnutá ochrana odcizených zařízení a uživatel se nachází na neznámém místě, systém provádí následující akce s hodinovou prodlevou:
Ruční registrace zařízení ve službě správy zařízení
Ruční instalace profilů nebo konfigurací přístupových kódů
Konfigurace účtů Microsoft Exchange v Nastavení nebo pomocí profilů či konfigurací
Registrační profily
Jedním ze dvou hlavních způsobů, jak můžou uživatelé zařízení ve službě správy zařízení zaregistrovat, je registrační profil (druhou alternativou je registrace uživatelů nebo registrace zařízení prostřednictvím účtů). Pomocí tohoto profilu, který obsahuje datovou část, odešle služba do zařízení příkazy a v případě potřeby také další konfigurační profily. Může se také dotazovat na informace o zařízení, jako je stav zámku aktivace, úroveň nabití baterie nebo název.
Když uživatel ze zařízení odstraní registrační profil, budou spolu s ním odstraněny také všechny konfigurační profily, položky nastavení a spravované aplikace, které jsou na tomto registračním profilu založené. V zařízení může být vždy pouze jeden registrační profil.
Jakmile zařízení nebo uživatel registrační profil schválí, jsou do zařízení přeneseny konfigurační profily, které obsahují datové části. Následně můžete bezdrátově distribuovat, spravovat a konfigurovat aplikace a knihy zakoupené prostřednictvím Apple School Manageru nebo Apple Business Manageru. Uživatelé můžou aplikace instalovat sami nebo je lze instalovat automaticky – záleží na tom, o jaký typ aplikace se jedná, jak je řešeno její přiřazení a zda je zařízení pod dohledem. Další informace najdete v části O dohledu nad zařízeními Apple.
Konfigurační profily
Konfigurační profil (configuration profile) je XML soubor (s příponou .mobileconfig) obsahující datové části, které slouží k načítání dat nastavení a autorizačních údajů do zařízení Apple. Konfigurační profily umožňují automaticky konfigurovat nastavení, účty, omezení a přihlašovací údaje. Tyto soubory může vytvořit služba správy zařízení nebo je můžete vytvořit sami, a to buď ručně, nebo pomocí nástroje Apple Configurator pro Mac. Další informace o použití Apple Configuratoru pro Mac k vytvoření a instalaci konfiguračních profilů na zařízeních iPhone, iPad a Apple TV najdete v tématu Create and edit configuration profiles (Vytváření a úpravy konfiguračních profilů) v uživatelské příručce k Apple Configuratoru pro Mac.
Vzhledem k tomu, že konfigurační profily je možné šifrovat a podepisovat, můžete jejich použití omezit na konkrétní zařízení Apple a zároveň zabránit veškerým změnám nastavení s výjimkou uživatelských jmen a hesel. Konfigurační profil můžete v zařízení také označit jako zamčený.
Pokud to vaše služba správy zařízení podporuje, můžete konfigurační profily šířit v e‑mailových přílohách, prostřednictvím odkazů na vlastních webových stránkách nebo přes uživatelský portál, který je součástí služby. Když uživatelé otevřou poštovní přílohu s konfiguračním profilem nebo si profil stáhnou ve webovém prohlížeči, jsou vyzváni ke spuštění jeho instalace.
Pomocí dodaného konfiguračního profilu můžete změnit nastavení pro celé zařízení nebo pro konkrétního uživatele:
Profily zařízení: Profily zařízení můžete odesílat do jednotlivých zařízení i do skupin zařízení. Tyto profily nastavují volby pro celé zařízení.
Na iPhonech, iPadech, Apple TV, Apple Watch a Apple Vision Pro nelze rozlišit víc než jednoho uživatele, a proto jsou konfigurační profily vytvořené pro podporovaná zařízení Apple vždy definované jako profily zařízení. V systému iPadOS se sice profily definují jako profily zařízení, ale iPady s nakonfigurovanou funkcí Sdílený iPad můžou podporovat jak profily založené na zařízení, tak i profily založené na uživateli.
Uživatelské profily: Uživatelské profily můžete posílat uživatelům a skupinám uživatelů (pokud služba správy zařízení skupiny podporuje). Slouží k nastavení uživatelských voleb vždy jen pro příslušné uživatele. V počítačích Mac lze vytvořit více uživatelských účtů, takže datové části a nastavení v profilech pro macOS můžou být určené jak pro zařízení, tak pro uživatele. Uživatelský účet vytvořený v Průvodci nastavením se považuje za účet spravovaný službou správy zařízení, který může přijímat profily. Na Macu se systémem macOS 11 nebo novějším je možné používat účet správce (vytvořený službou správy zařízení během registrace) alternativně jako spravovaný. V případech, kdy je nasazení navázané na službu Active Directory, se spravovaným uživatelem stává momentálně přihlášený uživatel sítě.
Nastavení zařízení a uživatelské nastavení se liší umístěním: Nastavení nainstalované na celosystémové úrovni je umístěno v kanálu zařízení. Nastavení nainstalované pro konkrétního uživatele je umístěno v uživatelském kanálu.
Další informace o instalaci profilů a režimu blokování najdete v článku podpory Apple O režimu blokování.
Odstranění profilu
Postup odstranění profilů závisí na způsobu, jakým byly nainstalovány. Následující postup popisuje, jak můžete profil odstranit:
1. Všechny profily je možné odstranit vymazáním všech dat ze zařízení.
2. Na zařízeních zaregistrovaných ve službě správy zařízení propojené a Apple School Managerem nebo Apple Business Managerem si správce může vybrat, jestli umožní odstranění registračního profilu uživateli, nebo jen službě správy zařízení.
3. Pokud profil nainstalovala služba správy zařízení, může ho kromě této služby odstranit také uživatel tím, že zruší registraci ve službě (odstraněním konfiguračního profilu registrace).
4. Profily nainstalované pomocí Apple Configuratoru může odstranit příslušná dohlížející instance Apple Configuratoru.
5. Jestliže profil na zařízení pod dohledem nainstaloval Apple Configurator nebo jste ho nainstalovali ručně a obsahuje‑li datovou část s heslem pro odstranění, musí uživatel při odstraňování profilu zadat toto heslo.
6. Všechny ostatní profily může odstranit uživatel.
Účet nainstalovaný pomocí konfiguračního profilu lze odstranit jen odstraněním profilu. Účty Microsoft Exchange ActiveSync, včetně účtů nainstalovaných pomocí konfiguračního profilu, lze odstranit prostřednictvím Microsoft Exchange Serveru zadáním dálkového příkazu k vymazání platného jen pro účty.
Důležité: Pokud uživatel zná přístupový kód k iPhonu nebo iPadu, který není pod dohledem, může z něj ručně nainstalované konfigurační profily odstranit, i když je příslušná volba nastavená na hodnotu Never. Uživatelé Maců mohou totéž provést pouze v případě, že znají uživatelské jméno a heslo správce. Můžou k tomu použít nástroj příkazového řádku profiles, aplikaci Nastavení systému (macOS 13 a novější) nebo Předvolby systému (macOS 12.0.1 a starší). Na Macích se systémem macOS 10.15 nebo novějším stejně jako v systémech iOS a iPadOS platí, že profily nainstalované pomocí služby správy zařízení může odstranit opět tato služba, případně je operační systém odstraní automaticky při zrušení registrace ve službě.
Požadavky služby správy zařízení na komunikaci
Komunikace služby správy zařízení se zařízeními Apple bude s největší pravděpodobností úspěšná za následujících předpokladů:
Služba správy zařízení nastavila, úspěšně otestovala a ověřila, že funguje podle očekávání
Certifikát služby APNs je platný (jeho platnost nevypršela)
Zařízení je zapnuté
Zařízení je v současné době ve službě správy zařízení zaregistrované
Síť, ke které je zařízení připojené, má přístup k internetu (pro komunikaci přes službu APNs)
Síť, ke které je zařízení připojené, má přístup k hostitelům Apple souvisejícím se službou
Další informace najdete v článku podpory Apple Používání produktů Apple ve firemních sítích.
Poznámka: Apple nemá nad službami správy zařízení od nezávislých dodavatelů žádnou kontrolu. Selhání komunikace může být způsobeno i dalšími problémy, například nesprávně nakonfigurovanou datovou částí.