Introduktion til profiler til enhedsadministration
En tjeneste til enhedsadministration gør det muligt for en administrator at indstille enheder sikkert og eksternt ved at sende konfigurationer, profiler og kommandoer til enheden, uanset om enheden ejes af brugeren eller organisationen. Tjenestens funktioner omfatter opdatering af software og enhedsindstillinger, overvågning af, at organisationens politikker overholdes, og ekstern sletning eller låsning af enheder. Brugere kan tilmelde deres egne enheder til en tjeneste til enhedsadministration, og organisationer kan tilmelde organisationsejede enheder automatisk vha. Apple School Manager eller Apple Business Manager.
Der er nogle begreber, du bør forstå, hvis du skal bruge en tjeneste til enhedsadministration, så læs følgende afsnit for at forstå, hvordan en tjeneste til enhedsadministration bruger tilmeldings- og konfigurationsprofiler, tilsyn og data.
Understøttede Apple-enheder
Følgende Apple-enheder har et indbygget framework, der understøtter enhedsadministration:
iPhone med iOS 4 eller en nyere version
iPad med iOS 4.3 eller en nyere version eller iPadOS 13.1 eller en nyere version
Mac-computere med OS X 10.7 eller en nyere version
Apple TV med tvOS 9 eller en nyere version
Apple Watch med watchOS 10 eller en nyere version
Apple Vision Pro med visionOS 1.1 eller en nyere version
Sådan tilmeldes enheder
Tilmelding til en tjeneste til enhedsadministration involverer tilmelding af klientcertifikat-id'er vha. protokoller som f.eks. Automated Certificate Management Environment (ACME) eller Simple Certificate Enrollment Protocol (SCEP). Enheder bruger disse protokoller til at oprette unikke identitetscertifikater til godkendelse af en organisations tjenester.
Medmindre tilmeldingen sker automatisk, beslutter brugerne, om de vil tilmelde deres enhed, og de kan altid framelde deres enheder fra tjenesten. Du bør derfor overveje tiltag, så brugernes enheder forbliver administrerede. Du kan f.eks. kræve tilmelding til adgang til Wi-Fi-netværket ved at bruge tjenesten til enhedsadministration til automatisk at levere godkendelsesoplysningerne til det trådløse netværk. Når en bruger ophører med at bruge tjenesten, forsøger brugerens enhed at underrette tjenesten til enhedsadministration om, at den ikke længere kan administreres.
Til enheder, som organisationen ejer, kan du bruge Apple School Manager eller Apple Business Manager til automatisk at tilmelde dem til en tjeneste til enhedsadministration og føre tilsyn med dem trådløst under den første indstilling. Denne tilmeldingsproces kaldes Automatisk enhedstilmelding.
Enhedsadministration og Beskyttelse af stjålet enhed
Når Beskyttelse af stjålet enhed er slået til, og brugeren befinder sig på en ukendt lokalitet, udsætter operativsystemet følgende handlinger med en time:
Manuel tilmelding af brugerens enhed til en tjeneste til enhedsadministration
Manuel installering af en kodebeskyttet profil eller konfiguration
Konfiguration af en Microsoft Exchange-konto i Indstillinger eller med en profil eller konfiguration
Tilmeldingsprofiler
En tilmeldingsprofil er en af de to primære måder, hvorpå brugere kan tilmelde en enhed til en tjeneste til enhedsadministration (den anden måde er via brugertilmelding eller kontodrevet enhedstilmelding). Med denne profil, som indeholder data, sender tjenesten kommandoer og – om nødvendigt – yderligere konfigurationsprofiler til enheden. Den kan også forespørge enheden om oplysninger, f.eks. den status for Aktiveringslås, batteriniveau og navn.
Når en bruger fjerner en tilmeldingsprofil, fjernes alle konfigurationsprofiler, deres indstillinger og administrerede apps baseret på denne tilmeldingsprofil sammen med den. Der kan kun være en tilmeldingsprofil på en enhed ad gangen.
Når tilmeldingsprofilen er godkendt, enten af enheden eller brugeren, leveres konfigurationsprofiler, der indeholder data, til enheden. Du kan derefter trådløst distribuere, administrere og konfigurere apps og bøger, som er købt via Apple School Manager eller Apple Business Manager. Brugere kan installere apps, eller de kan installeres automatisk, afhængigt af deres type, hvordan de er tildelt, og om enheden er under tilsyn. Du kan få flere oplysninger i Om tilsyn med Apple-enheder.
Konfigurationsprofiler
En konfigurationsprofil er et XML-arkiv (slutter med .mobileconfig), som består af data, der indlæser indstillinger og godkendelsesoplysninger på Apple-enheder. Konfigurationsprofiler automatiserer konfigurationen af indstillinger, konti, begrænsninger og godkendelsesoplysninger. En tjeneste til enhedsadministration kan oprette disse arkiver, men du kan også oprette dem manuelt eller med Apple Configurator til Mac. Du kan få flere oplysninger om, hvordan du bruger Apple Configurator på Mac til at oprette og installere konfigurationsprofiler på iPhone-, iPad- og Apple TV-enheder, under Create and edit configuration profiles i brugerhåndbogen til Apple Configurator til Mac.
Eftersom du kan kryptere og signere konfigurationsprofilerne, kan du begrænse deres brug til en bestemt Apple-enhed og forhindre, at indstillingerne – bortset fra brugernavne og adgangskoder – ændres af nogen anden. Du kan også markere en konfigurationsprofil som låst på enheden.
Hvis din tjeneste til enhedsadministration understøtter det, kan du distribuere konfigurationsprofiler som et e-mailbilag, via et link på din egen webside eller via tjenestens indbyggede brugerportal. Når brugerne åbner e-mailbilaget eller henter konfigurationsprofilen ved hjælp af en webbrowser, bliver de bedt om at begynde installeringen af konfigurationsprofilen.
Du kan levere en konfigurationsprofil, der kan ændre indstillinger for en hel enhed eller for en enkelt bruger:
Enhedsprofiler: Du kan sende enhedsprofiler til enheder og enhedsgrupper og anvende enhedsindstillinger på hele enheden.
iPhone, iPad, Apple TV, Apple Watch og Apple Vision Pro kan ikke genkende mere end en bruger, så konfigurationsprofiler, der er oprettet til understøttede Apple-enheder, er altid enhedsprofiler. Selvom iPadOS-profiler er enhedsprofiler, kan iPad-enheder, der er konfigureret til Delt iPad, understøtte profiler baseret på enheden eller brugeren.
Brugerprofiler: Du kan sende brugerprofiler til brugere og brugergrupper (hvis tjenesten til enhedsadministration understøtter brugergrupperne), og du kan anvende brugerindstillinger kun på de respektive brugere. Mac-computere kan have flere brugere, så du kan basere data og indstillinger til macOS-profiler på enten enheden eller brugeren. Den brugerkonto, der oprettes af Indstillingsassistent, opfattes som administreret af tjenesten til enhedsadministration og kan modtage profiler. På en Mac med macOS 11 eller en nyere version kan en administratorkonto, som oprettes af en tjeneste til enhedsadministration under tilmeldingen, vælges til at være administreret i stedet for. Til Active Directory-bundne implementeringer bliver den netværksbruger, der er logget ind, en administreret bruger.
Enheds- og brugerindstillinger varierer, afhængigt af hvor de findes: Indstillinger installeret på systemniveau befinder sig i en enhedskanal. Indstillinger installeret til en bruger befinder sig i en brugerkanal.
Du kan få flere oplysninger om installering af profiler og Nedlukningstilstand i Apple-supportartiklen Om Nedlukningstilstand.
Fjernelse af profiler
Den måde, du fjerner profiler på, afhænger af, hvordan de blev installeret. Følgende sekvens viser, hvordan du kan fjerne en profil:
1. Du kan fjerne alle profiler ved at slette alle data på enheden.
2. Hvis enheden blev tilmeldt en tjeneste til enhedsadministration, der er knyttet til Apple School Manager eller Apple Business Manager, kan administratoren vælge, om brugeren skal kunne fjerne tilmeldingsprofilen, eller om det kun er tjenesten til enhedsadministration, der kan fjerne den.
3. Hvis en tjeneste til enhedsadministration installerer profilen, kan denne tjeneste fjerne den, eller brugeren kan fjerne den ved at framelde sig fra tjenesten (ved at fjerne konfigurationsprofilen til tilmelding).
4. Hvis Apple Configurator installerer profilen, kan den tilsynsførende forekomst af Apple Configurator fjerne profilen.
5. Hvis Apple Configurator installerer profilen, eller hvis du installerer den manuelt på en enhed under tilsyn, og profilen indeholder data til adgangskoden til fjernelse, skal brugeren indtaste adgangskoden til fjernelse for at fjerne profilen.
6. Brugeren kan fjerne alle andre profiler.
En konto, som er konfigureret med en konfigurationsprofil, kan fjernes ved at slette profilen. En Microsoft Exchange ActiveSync-konto, herunder en konto, der er installeret af en konfigurationsprofil, kan fjernes af Microsoft Exchange Server ved hjælp af følgende kommando til sletning af en konto.
Vigtigt: Hvis brugerne kender enhedens kode, kan de fjerne manuelt installerede konfigurationsprofiler fra iPhone- og iPad-enheder, der ikke er under tilsyn, også selvom muligheden er indstillet til Aldrig. Brugere af Mac kan kun gøre det samme, hvis brugeren kender en administrators brugernavn og adgangskode. De kan gøre dette vha. kommandolinjeværktøjet profiles, Systemindstillinger (System Settings) i macOS 13 og nyere versioner eller Systemindstillinger (System Preferences) i macOS 12.0.1 og tidligere versioner. På en Mac med macOS 10.15 eller en nyere version kan en tjeneste til enhedsadministration, der installerer en profil, også fjerne denne tjeneste (ligesom i iOS og iPadOS). Ellers fjerner operativsystemet den automatisk, når tilmeldingen til tjenesten fjernes.
Krav til kommunikation med tjenesten til enhedsadministration
Kommunikation mellem tjenesten til enhedsadministration og Apple-enheder har størst sandsynlighed for at lykkes, når:
tjenesten til enhedsadministration indstiller enheden, tester den og sørger for, at den fungerer korrekt
APNs-certifikatet er gyldigt og ikke er udløbet
enheden er tændt
enheden er tilmeldt tjenesten
det netværk, enheden er forbundet til, har adgang til internettet (til APNs-kommunikation)
det netværk, enheden er forbundet til, skal kunne få adgang til tjenesterelaterede Apple-værter
Du kan få flere oplysninger i Apple-supportartiklen Brug Apple-produkter på virksomhedsnetværk.
Bemærk: Apple har ikke kontrol over tjenester til enhedsadministration fra tredjeparter. Andre problemer som f.eks. forkert konfigurerede data kan også føre til, at kommunikationen mislykkes.