Vælg en løsning til administration af mobile enheder (MDM)
Hvad er administration af mobile enheder (MDM)?
Du kan bruge MDM til at indstille enheder sikkert og trådløst, uanset om de ejes af brugeren eller organisationen. MDM omfatter opdatering af software og enhedsindstillinger, overvågning af, at organisationens politikker overholdes, og ekstern sletning eller låsning af enheder. Brugere kan tilmelde deres egne enheder i MDM, og enheder, der ejes af organisationen, kan automatisk tilmeldes i MDM vha. Apple School Manager.
Hvordan fungerer MDM?
Når tilmeldingsprofilen er godkendt, enten af enheden eller brugeren, leveres konfigurationsprofiler, der indeholder data, til enheden. Du kan derefter trådløst distribuere, administrere og konfigurere apps, programmer og bøger, som er købt via Apple School Manager. Brugere kan selv installere apps, og apps kan installeres automatisk, afhængigt af deres type, hvordan de er tildelt, og om enheden er under tilsyn.
Hvad er tilsyn?
iPhone-, iPad-, iPod touch- og Apple TV-enheder samt Mac-computere kan være under tilsyn. Brug af tilsyn betyder almindeligvis, at enheden ejes af organisationen, hvilket giver ekstra kontrol over dens konfiguration og begrænsninger. Brug af tilsyn anbefales til enheder, der ejes af organisationen.
iPhone-, iPad-, iPod touch- og Apple TV-enheder sættes under tilsyn på en af følgende måder:
Brug af Apple Configurator 2
Under denne proces slettes enheden, og alle data går tabt.
Tilmelding af enheden i en MDM-løsning og valg af tilsyn som del af tilmeldingsprocessen
Mac-computere kan være under tilsyn, hvis de:
Har macOS 10.15 eller en nyere version og:
Bliver vist i Apple School Manager
Er tilmeldt en MDM-løsning, der er knyttet til Apple School Manager.
Har macOS 11, og tilmeldingen til MDM er brugergodkendt.
Opgraderes til macOS 11, og tilmeldingen til MDM blev brugergodkendt.
Følgende enheder kan være under tilsyn:
iPhone, iPad og iPod touch med iOS 5 eller en nyere version
Apple TV med tvOS 10.2 eller en nyere version
Følgende enheder bliver automatisk sat under tilsyn, når de tilmeldes Apple School Manager:
iPhone og iPod touch med iOS 13 eller en nyere version
iPad med iPadOS 13.1 eller en nyere version
Apple TV med tvOS 13 eller en nyere version
Mac-computere med macOS 10.15 eller en nyere version
Vigtigt: Hvis brugeren kender adgangskoden, kan iPhone- og iPad-enheder, der ikke er under tilsyn, få fjernet konfigurationsprofiler, selvom muligheden Aldrig er valgt i indstillingerne til Generelt. Konfigurationsprofiler til Mac-computere kan fjernes ved hjælp af kommandolinjeværktøjet profiles eller under Systemindstillinger, hvis brugeren kender en administrators brugernavn og adgangskode, medmindre enhederne vises i Apple School Manager.
Overvejelser ved valg af en MDM-løsning
Der findes mange tilgængelige MDM-løsninger fra et udvalg af tredjeparter. Før du vælger en løsning, bør du evaluere, hvilke aspekter ved MDM der er de vigtigste for din organisation, herunder understøttelse af serverplatforme og priser. Følgende tip kan hjælpe dig med at vælge en løsning.
Vigtigt: Det er af yderste vigtighed, at du vælger den korrekte MDM-løsning før implementeringen. Hvis du ændrer implementering midt i det hele, kan du blive tvunget til at slette hver eneste iPad og tilmelde den igen.
Placering lokalt eller i netskyen: En MDM-løsning kan enten placeres på en lokal server eller i netskyen. MDM er en letvægtsprotokol, der er baseret på HTTPS, som kan administrere enheder overalt i verden med lille påvirkning af datatrafikken, hvilket gør den velegnet til placering i netskyen. Hvis din organisation vælger en løsning med placering i netskyen eller på internettet, kan mange af de konfigurationstrin, der er beskrevet i denne håndbog, forenkles eller helt udelades.
Understøttelse af enheder: Nogle MDM-løsninger er udviklet til primært at understøtte bestemte typer Apple-enheder, f.eks. kun Mac-computere eller iPad-enheder, mens andre understøtter brug på tværs af platformen. Du kan vælge en blanding af MDM-leverandører, så hver type enhed understøttes af en specialløsning, eller vælge en MDM-leverandør, som understøtter alle de typer Apple-enheder, der bruges i hele organisationen.
Uddannelsesorienteret funktionalitet: Nogle MDM-leverandører tilbyder funktionalitet, som er designet specifikt til uddannelsesmiljøer. Sørg for, at MDM-leverandøren understøtter Apple School Manager, Klasseværelse, Skolearbejde og alle de nye funktioner til uddannelsesmiljøer, der fulgte med de nyeste versioner af Apple-operativsystemer på lanceringsdagen.
Forespørgsels- og rapporteringstjenester: Din MDM-løsning kan sende forespørgsler om forskellige oplysninger til Apple-enheder, herunder hardwareserienummer, enheds-UDID, MAC-adresse på Wi-Fi og status for FileVault-kryptering (kun Mac-computere). Den kan også sende forespørgsler om softwareoplysninger og begrænsninger og oprette en liste med de apps og programmer, der er installeret på enheden.
Adgang til support og politikker hos leverandøren: MDM er en missionskritisk tjeneste. Du skal evaluere den support, de tjenester og den uddannelse, som MDM-leverandøren tilbyder.
Ud fra dine kriterier kan du lave en liste over foretrukne MDM-løsninger. Derefter kan du indstille dem på forsøgsbasis for nogle få testenheder for at vurdere, hvilken løsning der bedst opfylder dine behov, inden du træffer den endelige beslutning. Apple School Manager giver dig mulighed for at have forbindelse til flere MDM-løsninger samtidig og tildele enheder til forskellige servere efter behov. Du kan få flere oplysninger i videoen Choosing an MDM Solution.
Netværkskrav til din MDM-løsning
Når du installerer og konfigurerer din MDM-løsning, er det vigtigt, at du gør dig en række overvejelser med hensyn til konfiguration af netværket, TLS (Transport Layer Security), infrastrukturtjenester, Apple-tjenester og sikkerhedskopiering. Hvis du bruger en MDM-løsning, der er placeret i netskyen, håndteres de fleste af disse overvejelser af din MDM-leverandør.
Når du installerer en MDM-løsning, der er placeret lokalt, skal du konfigurere alle følgende emner. Konfigurer og kontroller hvert af dem tidligt i processen for at undgå problemer ved implementeringen. Hvis MDM-løsningen administreres eksternt eller er placeret i netskyen, håndterer MDM-leverandøren muligvis mange af disse emner på dine vegne:
DNS: En MDM-løsning skal bruge et fuldstændigt domænenavn, der kan fortolkes både inden for og uden for organisationens netværk. Det gør det muligt for serveren at håndtere enheder, uanset om de er tilsluttet lokalt eller eksternt. Af hensynet til bevarelse af tilslutningsmulighederne for klienterne er det ikke muligt at ændre dette domænenavn.
IP-adresse: De fleste MDM-løsninger kræver en statisk IP-adresse. Det eksisterende DNS-navn skal bevares, hvis serverens IP-adresse ændres.
Konfigurer MDM med TLS: Al kommunikation mellem Apple-enhederne og MDM-løsningen krypteres med HTTPS. Der kræves et TLS-certifikat (tidligere et SSL-certifikat) til sikring af denne kommunikation. Undlad at implementere enheder uden et certifikat fra en anerkendt certifikatmyndighed (CA). Læg mærke til udløbsdatoen, og sørg for at forny certifikatet, inden det udløber.
Firewallporte: Bestemte firewallporte skal være åbne for at gøre både intern og ekstern adgang til MDM-løsningen mulig. De fleste MDM-løsninger accepterer indkommende forbindelser via HTTPS på port 443. Både MDM-løsningen og enhederne skal kommunikere med Apples tjeneste til push-notifikationer (APNs). Før november 2020 bruger MDM-løsninger port 2195 og 2196 til APNs, og klienter bruger port 5223. Efter november 2020 bruger MDM-løsninger port 2197.
Bemærk: Du skal tilføje mindst en MDM-server i Apple School Manager, før du kan begynde at tildele enheder.