Vælg en løsning til administration af mobile enheder (MDM)
Hvad er administration af mobile enheder (MDM)?
iOS, iPadOS, macOS og tvOS har en indbygget struktur, der understøtter administration af mobile enheder (MDM). Du kan bruge MDM til at indstille enheder sikkert og trådløst ved at sende profiler og kommandoer til dem, uanset om de ejes af brugeren eller organisationen. MDM-funktionerne omfatter opdatering af software og enhedsindstillinger, overvågning af, at organisationens politikker overholdes, og ekstern sletning eller låsning af enheder. Brugere kan tilmelde deres egne enheder i MDM, og enheder, der ejes af organisationen, kan automatisk tilmeldes i MDM vha. Apple School Manager.
Hvordan fungerer MDM?
Når tilmeldingsprofilen er godkendt, enten af enheden eller brugeren, leveres konfigurationsprofiler, der indeholder data, til enheden. Du kan derefter trådløst distribuere, administrere og konfigurere apps og bøger, som er købt via Apple School Manager. Brugere kan selv installere apps, og apps kan installeres automatisk, afhængigt af deres type, hvordan de er tildelt, og om enheden er under tilsyn.
Hvad er tilsyn?
Brug af tilsyn betyder almindeligvis, at enheden ejes af organisationen, hvilket giver ekstra kontrol over dens konfiguration og begrænsninger.
Du kan få flere oplysninger under Om tilsyn med Apple-enheder i Implementering på Apples platforme.
Overvejelser ved valg af en MDM-løsning
Der findes mange tilgængelige MDM-løsninger fra et udvalg af tredjeparter. Før du vælger en løsning, bør du evaluere, hvilke aspekter ved MDM der er de vigtigste for din organisation, herunder understøttelse af hosting og priser. Følgende tip kan hjælpe dig med at vælge en løsning.
Tip: Det er meget vigtigt, at du vælger den korrekte MDM-løsning før implementeringen. Hvis du ændrer implementering midt i det hele, kan du blive tvunget til at slette hver enkelt enhed og tilmelde dem igen.
Placering lokalt eller i netskyen: En MDM-løsning kan enten placeres på en lokal server eller i netskyen. MDM er en letvægtsprotokol, der er baseret på HTTPS, som kan administrere enheder overalt i verden med lille påvirkning af datatrafikken, hvilket gør den velegnet til placering i netskyen. Hvis din organisation vælger en løsning med placering i netskyen eller på internettet, kan mange af de konfigurationstrin, der er beskrevet i denne håndbog, forenkles eller helt udelades.
Understøttelse af enheder: Nogle MDM-løsninger er udviklet til primært at understøtte bestemte typer Apple-enheder, f.eks. kun Mac-computere eller iPhone-enheder, mens andre understøtter brug på tværs af platforme. Du kan vælge en blanding af MDM-leverandører, så hver type enhed understøttes af en specialløsning. Det er nemt med automatisk tildeling efter enhedstype i Apple School Manager. Du kan også vælge en MDM-leverandør, der understøtter alle de typer Apple-enheder, som bruges i din organisation.
Uddannelsesorienteret funktionalitet: Nogle MDM-leverandører tilbyder funktionalitet, som er designet specifikt til uddannelsesmiljøer. Sørg for, at MDM-leverandøren understøtter løsninger som Apple School Manager, Klasseværelse, Skolearbejde, Delt iPad og alle de funktioner til uddannelsesmiljøer, der fulgte med de nyeste versioner af Apple-operativsystemer på lanceringsdagen.
Forespørgsels- og rapporteringstjenester: Din MDM-løsning kan sende forespørgsler om forskellige oplysninger til Apple-enheder, herunder hardwareserienummer, enheds-UDID, Wi-Fi, MAC-adresse og status for FileVault-kryptering (på Mac-computere). Den kan også sende forespørgsler om softwareoplysninger, f.eks. enhedens version og begrænsninger, og oprette en liste med alle de apps, der er installeret på enheden. Disse oplysninger kan bruges til at sikre, at brugerne har de relevante apps. iOS og iPadOS tillader forespørgsler om sidste sikkerhedskopiering af enheden til iCloud og hash-værdien til apptildelingskontoen for den bruger, der er logget ind. I tvOS kan MDM bede tilmeldte Apple TV-enheder om oplysninger, f.eks. sprog, område og organisation.
Adgang til support og politikker hos leverandøren: MDM er en missionskritisk tjeneste. Du skal evaluere den support, de tjenester og den uddannelse, som MDM-leverandøren tilbyder.
Ud fra dine kriterier kan du lave en liste over foretrukne MDM-løsninger. Derefter kan du indstille dem på forsøgsbasis for nogle få testenheder for at vurdere, hvilken løsning der bedst opfylder dine behov, inden du træffer den endelige beslutning. Apple School Manager giver dig mulighed for at have forbindelse til flere MDM-løsninger samtidig og tildele enheder til forskellige servere efter behov. Du kan få flere oplysninger i videoen Choosing an MDM Solution.
Netværkskrav til din MDM-løsning
Når du installerer og konfigurerer MDM-løsningen, skal du overveje, hvodan du vil konfigurere netværket, TLS (Transport Layer Security), infrastrukturtjenester, Apple-tjenester og sikkerhedskopiering.
Når du installerer en MDM-løsning, der er placeret lokalt, skal du konfigurere alle følgende emner. Konfigurer og kontroller hvert af dem tidligt i processen for at undgå problemer ved implementeringen. Hvis MDM-løsningen administreres eksternt eller er placeret i netskyen, håndterer MDM-leverandøren muligvis mange af disse emner på dine vegne:
DNS: En MDM-løsning skal bruge et fuldstændigt domænenavn, der kan fortolkes både inden for og uden for organisationens netværk. Det gør det muligt for serveren at håndtere enheder, uanset om de er tilsluttet lokalt eller eksternt. Af hensynet til bevarelse af tilslutningsmulighederne for klienterne er det ikke muligt at ændre dette domænenavn.
IP-adresse: De fleste MDM-løsninger kræver en statisk IP-adresse. Det eksisterende DNS-navn skal bevares, hvis serverens IP-adresse ændres.
Konfigurer MDM med TLS: Al kommunikation mellem Apple-enhederne og MDM-løsningen krypteres med HTTPS. Der kræves et TLS-certifikat (tidligere et SSL-certifikat) til sikring af denne kommunikation. Undlad at implementere enheder uden et certifikat fra en anerkendt certifikatmyndighed (CA). Læg mærke til udløbsdatoen, og sørg for at forny certifikatet, inden det udløber.
Firewallporte: Bestemte firewallporte skal være åbne for at gøre både intern og ekstern adgang til MDM-løsningen mulig. De fleste MDM-løsninger accepterer indkommende forbindelser via HTTPS på port 443. Både MDM-løsningen og enhederne skal kommunikere med Apples tjeneste til push-notifikationer (APNs). Før november 2020 brugte MDM-løsninger port 2195 og 2196 til APNs; klienter bruger port 5223. Efter november 2020 bruger MDM-løsninger port 2197.
Tip: Din MDM-løsning kan muligvis være vært for depotnøgler og tilsidesættelseskoder til Aktiveringslås, Bootstrap Tokens til macOS og andre unikke data, som er vigtige for at sikre ensartet adgang til enheder. Derfor skal du sørge for at have en sikker strategi for gendannelse efter uheld til MDM-installationen på stedet. De anbefales at teste sikkerhedskopier og gendannelser regelmæssigt.