Εισαγωγή στα προφίλ διαχείρισης φορητών συσκευών
Τα iOS, iPadOS, macOS, tvOS, watchOS 10 ή μεταγενέστερη έκδοση, και visionOS 1.1 ή μεταγενέστερη έκδοση, διαθέτουν ένα ενσωματωμένο πλαίσιο εργασίας που υποστηρίζει τη Διαχείριση φορητών συσκευών (MDM). Η MDM σάς επιτρέπει να διαμορφώσετε συσκευές με ασφάλεια και ασύρματα αποστέλλοντας προφίλ και εντολές στη συσκευή, ανεξάρτητα από το αν ανήκουν στον χρήστη ή στον οργανισμό σας. Οι δυνατότητες MDM (Διαχείριση φορητών συσκευών) περιλαμβάνουν την ενημέρωση λογισμικού και ρυθμίσεων συσκευών, τον έλεγχο συμμόρφωσης με εταιρικές πολιτικές και το εξ αποστάσεως σβήσιμο ή κλείδωμα συσκευών. Οι χρήστες μπορούν να εγγράφουν τις δικές τους συσκευές στη λύση MDM και οι συσκευές που ανήκουν στον οργανισμό μπορούν να εγγράφονται στην υπηρεσία MDM αυτόματα με χρήση του Apple School Manager ή του Apple Business Manager. Αν χρησιμοποιείτε το Apple Business Essentials, μπορείτε επίσης να χρησιμοποιήσετε την ενσωματωμένη διαχείριση συσκευών.
Υπάρχουν μερικές έννοιες που πρέπει να κατανοήσετε αν πρόκειται να χρησιμοποιήσετε MDM, οπότε διαβάστε τις ακόλουθες ενότητες για να δείτε πώς η MDM χρησιμοποιεί προφίλ εγγραφής και διαμόρφωσης, επίβλεψη και φορτία.
Τρόπος εγγραφής συσκευών
Η εγγραφή σε λύση MDM περιλαμβάνει την εγγραφή ταυτοτήτων πιστοποιητικών πελάτη με χρήση πρωτοκόλλων όπως το Αυτοματοποιημένο περιβάλλον διαχείρισης πιστοποιητικών (ACME), ή το Απλό πρωτόκολλο εγγραφής πιστοποιητικών (SCEP). Οι συσκευές χρησιμοποιούν αυτά τα πρωτόκολλα για να δημιουργήσουν μοναδικά πιστοποιητικά ταυτότητας για έλεγχο ταυτότητας κατά την πρόσβαση στις υπηρεσίες ενός οργανισμού.
Εκτός αν η εγγραφή είναι αυτοματοποιημένη, οι χρήστες αποφασίζουν αν θα εγγραφούν στην υπηρεσία MDM, ενώ μπορούν να καταργήσουν τη συσχέτιση των συσκευών τους με την υπηρεσία MDM ανά πάσα στιγμή. Επομένως, θα θέλετε να παρέχετε κίνητρα ώστε οι συσκευές των χρηστών να παραμένουν διαχειριζόμενες. Για παράδειγμα, μπορείτε να ζητήσετε εγγραφή στην υπηρεσία MDM για την πρόσβαση σε δίκτυο Wi-Fi χρησιμοποιώντας MDM για αυτόματη παροχή των διαπιστευτηρίων ασύρματης σύνδεσης. Αν ένας χρήστης καταργήσει την εγγραφή του από την υπηρεσία MDM, η συσκευή επιχειρεί να ειδοποιήσει τη λύση MDM ότι δεν μπορεί να είναι πλέον διαχειριζόμενη.
Για συσκευές που ανήκουν στον οργανισμό σας, μπορείτε να χρησιμοποιήσετε το Apple School Manager, το Apple Business Manager ή το Apple Business Essentials προκειμένου να τις εγγράψετε αυτόματα σε MDM και να τις επιβλέπετε ασύρματα κατά την αρχική διαμόρφωση. Αυτή η διαδικασία εγγραφής είναι γνωστή ως Αυτοματοποιημένη εγγραφή συσκευής.
MDM και Προστασία κλεμμένης συσκευής
Όταν είναι ενεργοποιημένη η Προστασία κλεμμένης συσκευής και ο χρήστης βρίσκεται σε μη οικεία τοποθεσία, οι ακόλουθες ενέργειες καθυστερούν κατά μία ώρα:
Χειροκίνητη εγγραφή συσκευής του χρήστη στη λύση MDM
Χειροκίνητη εγκατάσταση προφίλ ή ρύθμισης παραμέτρων κωδικού
Διαμόρφωση λογαριασμού Microsoft Exchange στις ρυθμίσεις ή με προφίλ ή ρύθμιση παραμέτρων κωδικού
Προφίλ εγγραφής
Ένα προφίλ εγγραφής είναι ένας από τους δύο κύριους τρόπους με τους οποίους οι χρήστες μπορούν να εγγράψουν μια προσωπική συσκευή σε μια λύση MDM (ο άλλος τρόπος είναι η Εγγραφή χρήστη). Με αυτό το προφίλ, το οποίο περιέχει ένα φορτίο MDM, η λύση MDM στέλνει στη συσκευή εντολές και –αν χρειάζεται– πρόσθετα προφίλ ρύθμισης παραμέτρων. Μπορεί επίσης να ζητήσει από τη συσκευή πληροφορίες όπως η κατάσταση Κλειδώματος ενεργοποίησης, η στάθμη μπαταρίας και το όνομα.
Όταν ένας χρήστης αφαιρεί ένα προφίλ εγγραφής, αφαιρούνται μαζί του και όλα τα προφίλ ρύθμισης παραμέτρων, οι ρυθμίσεις τους και οι Διαχειριζόμενες εφαρμογές που βασίζονται στο συγκεκριμένο προφίλ εγγραφής. Μπορεί να υπάρχει μόνο ένα προφίλ εγγραφής σε μια συσκευή τη φορά.
Όταν εγκριθεί το προφίλ εγγραφής, είτε από τη συσκευή είτε από τον χρήστη, στη συσκευή παραδίδονται προφίλ διαμόρφωσης που περιέχουν φορτία. Στη συνέχεια, μπορείτε να διανείμετε ασύρματα, να διαχειριστείτε και να ρυθμίσετε τις παραμέτρους εφαρμογών και βιβλίων που έχουν αγοραστεί μέσω του Apple School Manager, του Apple Business Manager ή του Apple Business Essentials. Οι χρήστες μπορούν να εγκαταστήσουν εφαρμογές, ή οι εφαρμογές μπορούν να εγκατασταθούν αυτόματα, ανάλογα με τον τύπο εφαρμογής, τον τρόπο εκχώρησής της και το εάν η συσκευή είναι επιβλεπόμενη (supervised). Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Πληροφορίες για την επίβλεψη συσκευών Apple.
Προφίλ ρύθμισης παραμέτρων
Ένα προφίλ ρύθμισης παραμέτρων (configuration profile) είναι ένα αρχείο XML (με κατάληξη .mobileconfig) που αποτελείται από φορτία τα οποία φορτώνουν ρυθμίσεις και πληροφορίες εξουσιοδότησης σε συσκευές Apple. Τα προφίλ διαμόρφωσης αυτοματοποιούν τη διαμόρφωση ρυθμίσεων, λογαριασμών, περιορισμών και διαπιστευτηρίων. Αυτά τα αρχεία μπορούν να δημιουργηθούν από μια λύση MDM, από το Apple Configurator για Mac, ή χειροκίνητα. Για περισσότερες πληροφορίες σχετικά με τη χρήση του Apple Configurator για Mac για δημιουργία και εγκατάσταση προφίλ διαμόρφωσης σε συσκευές iPhone, iPad και Apple TV, ανατρέξτε στην ενότητα Δημιουργία και επεξεργασία προφίλ διαμόρφωσης στον Οδηγό χρήσης του Apple Configurator για Mac.
Καθώς τα προφίλ διαμόρφωσης μπορούν να είναι κρυπτογραφημένα και υπογεγραμμένα, μπορείτε να περιορίσετε τη χρήση τους σε μια συγκεκριμένη συσκευή Apple και να αποτρέψετε την τροποποίηση των ρυθμίσεων, με εξαίρεση τα ονόματα χρηστών και τα συνθηματικά από οποιονδήποτε. Μπορείτε επίσης να σημάνετε ένα προφίλ διαμόρφωσης ως κλειδωμένο στη συσκευή.
Αν η λύση MDM σας το υποστηρίζει, μπορείτε να διανείμετε προφίλ διαμόρφωσης ως συνημμένο email, μέσω συνδέσμου στην ιστοσελίδα σας, ή μέσω της ενσωματωμένης πύλης χρηστών της λύσης MDM. Όταν οι χρήστες ανοίξουν το συνημμένο email ή πραγματοποιήσουν λήψη του προφίλ διαμόρφωσης μέσω ενός προγράμματος περιήγησης στον Ιστό, εμφανίζεται ένα μήνυμα για έναρξη της εγκατάστασης του προφίλ διαμόρφωσης.
Μπορείτε να παραδώσετε ένα προφίλ διαμόρφωσης που μπορεί να αλλάξει τις ρυθμίσεις για μια ολόκληρη συσκευή ή για έναν μόνο χρήστη:
Τα προφίλ συσκευών μπορούν να σταλούν σε συσκευές και ομάδες συσκευών, και εφαρμόζουν ρυθμίσεις σε ολόκληρη τη συσκευή.
Τα iPhone, iPad, Apple TV, Apple Watch και Apple Vision Pro δεν μπορούν να αναγνωρίσουν περισσότερους από έναν χρήστη, οπότε τα προφίλ διαμόρφωσης που δημιουργούνται για iOS, iPadOS, tvOS, watchOS 10 ή μεταγενέστερη έκδοση, και visionOS 1.1 ή μεταγενέστερη έκδοση, είναι πάντα προφίλ συσκευής. Παρόλο που τα προφίλ iPadOS είναι προφίλ συσκευών, οι συσκευές iPad που έχουν διαμορφωθεί για το Κοινόχρηστο iPad μπορούν να υποστηρίζουν προφίλ με βάση τη συσκευή ή τον χρήστη.
Τα προφίλ χρηστών μπορούν να σταλούν σε χρήστες και (αν η λύση MDM το υποστηρίζει) ομάδες χρηστών, και εφαρμόζουν ρυθμίσεις μόνο στους αντίστοιχους χρήστες. Οι υπολογιστές Mac μπορούν να έχουν πολλούς χρήστες, επομένως τα φορτία και οι ρυθμίσεις για τα προφίλ macOS είναι δυνατό να βασίζονται στη συσκευή ή στον χρήστη. Ο λογαριασμός χρήστη που δημιουργήθηκε κατά τη διάρκεια του Βοηθού διαμόρφωσης θεωρείται διαχειριζόμενος από τη λύση MDM και μπορεί να λαμβάνει προφίλ. Στο macOS 11 ή μεταγενέστερη έκδοση, μπορείτε να διαχειριστείτε προαιρετικά έναν λογαριασμό διαχειριστή που δημιουργήθηκε από μια λύση MDM κατά την εγγραφή. Για αναπτύξεις συνδεδεμένες με το Active Directory, ο συνδεδεμένος χρήστης δικτύου γίνεται διαχειρίσιμος μέσω MDM.
Οι ρυθμίσεις συσκευής και χρήστη ποικίλλουν ανάλογα με το πού βρίσκονται: Οι ρυθμίσεις που είναι εγκατεστημένες στο επίπεδο συστήματος βρίσκονται σε κανάλι συσκευής. Οι ρυθμίσεις που είναι εγκατεστημένες για έναν χρήστη βρίσκονται σε κανάλι χρήστη.
Για περισσότερες πληροφορίες σχετικά με την εγκατάσταση προφίλ και τη Λειτουργία απομόνωσης, ανατρέξτε στο άρθρο της Υποστήριξης Apple, Πληροφορίες για τη Λειτουργία απομόνωσης.
Αφαίρεση προφίλ
Ο τρόπος αφαίρεσης των προφίλ εξαρτάται από τον τρόπο που είχαν εγκατασταθεί. Η παρακάτω ακολουθία υποδεικνύει πώς μπορεί να αφαιρεθεί ένα προφίλ:
1. Όλα τα προφίλ μπορούν να αφαιρεθούν με σβήσιμο όλων των δεδομένων από τη συσκευή.
2. Αν η συσκευή ήταν εγγεγραμμένη στο MDM με χρήση του Apple School Manager, του Apple Business Manager ή του Apple Business Essentials, ο διαχειριστής μπορεί να επιλέξει αν το προφίλ εγγραφής μπορεί να αφαιρεθεί από τον χρήστη ή αν μπορεί να αφαιρεθεί μόνο από τον ίδιο τον διακομιστή MDM.
3. Αν το προφίλ έχει εγκατασταθεί από μια λύση MDM, μπορεί να αφαιρεθεί από τη συγκεκριμένη λύση MDM ή από τον χρήστη με κατάργηση εγγραφής από τη λύση MDM αφαιρώντας το προφίλ διαμόρφωσης εγγραφής.
4. Αν το προφίλ είναι εγκατεστημένο σε μια επιβλεπόμενη συσκευή μέσω του Apple Configurator, η συγκεκριμένη επιβλέπουσα παρουσία του Apple Configurator μπορεί να αφαιρέσει το προφίλ.
5. Αν το προφίλ είναι εγκατεστημένο σε μια επιβλεπόμενη συσκευή χειροκίνητα ή μέσω του Apple Configurator και το προφίλ έχει φορτίο συνθηματικού αφαίρεσης, ο χρήστης πρέπει να εισαγάγει το συνθηματικό αφαίρεσης για αφαίρεση του προφίλ.
6. Όλα τα άλλα προφίλ μπορούν να αφαιρεθούν από τον χρήστη.
Ένας λογαριασμός που έχει εγκατασταθεί από ένα προφίλ διαμόρφωσης μπορεί να αφαιρεθεί μέσω της αφαίρεσης του προφίλ. Ένας λογαριασμός Microsoft Exchange ActiveSync, συμπεριλαμβανομένων αυτών που έχουν εγκατασταθεί με προφίλ διαμόρφωσης, μπορεί να αφαιρεθεί από το Microsoft Exchange Server μέσω της έκδοσης της εντολής απομακρυσμένου σβησίματος μόνο λογαριασμών.
Σημαντικό: Αν οι χρήστες γνωρίζουν τον κωδικό της συσκευής, μπορούν να αφαιρέσουν χειροκίνητα εγκατεστημένα προφίλ διαμόρφωσης σε iPhone και iPad που δεν είναι επιβλεπόμενα, ακόμη κι αν η επιλογή έχει οριστεί σε «ποτέ». Οι χρήστες στο Mac μπορούν να το κάνουν αυτό μόνο αν γνωρίζουν το όνομα χρήστη και το συνθηματικό ενός διαχειριστή. Αυτό μπορείτε να το κάνετε χρησιμοποιώντας το εργαλείο γραμμής εντολών profiles, τις Ρυθμίσεις συστήματος (σε macOS 13 ή μεταγενέστερες εκδόσεις), ή τις Προτιμήσεις συστήματος (σε macOS 12.0.1 ή προγενέστερες εκδόσεις). Στο macOS 10.15 ή μεταγενέστερη έκδοση, όπως στα iOS και iPadOS, τα προφίλ που έχουν εγκατασταθεί με λύση MDM πρέπει επίσης να αφαιρεθούν με λύση MDM, διαφορετικά αφαιρούνται αυτόματα όταν καταργηθεί η εγγραφή τους από μια λύση MDM.
Απαιτήσεις επικοινωνίας MDM τρίτων
Η επικοινωνία MDM τρίτων με συσκευές Apple είναι πιο πιθανό να είναι επιτυχής όταν:
Η λύση MDM έχει διαμορφωθεί, δοκιμαστεί επιτυχώς και λειτουργεί σωστά
Το πιστοποιητικό APN είναι έγκυρο και δεν έχει λήξει
Η συσκευή είναι ενεργοποιημένη
Η συσκευή είναι εγγεγραμμένη στη λύση MDM
Το δίκτυο στο οποίο είναι συνδεδεμένη η συσκευή έχει πρόσβαση στο Διαδίκτυο (για επικοινωνία APN)
Το δίκτυο στο οποίο είναι συνδεδεμένη η συσκευή πρέπει να έχει πρόσβαση σε υπολογιστές υπηρεσίας της Apple που σχετίζονται με τη λύση MDM
Για περισσότερες πληροφορίες, δείτε το άρθρο της Υποστήριξης Apple Χρήση προϊόντων Apple σε δίκτυα επιχειρήσεων.
Σημείωση: Η Apple δεν ελέγχει τις λύσεις MDM τρίτων. Πρόσθετα ζητήματα, όπως ένα εσφαλμένα διαμορφωμένο φορτίο MDM, ενδέχεται επίσης να προκαλέσουν την αποτυχία της επικοινωνίας MDM.
Υποστηριζόμενες συσκευές Apple
Οι ακόλουθες συσκευές Apple διαθέτουν ενσωματωμένο πλαίσιο εργασίας που υποστηρίζει MDM:
iPhone με iOS 4 ή μεταγενέστερο
iPad με iOS 4.3 ή μεταγενέστερη έκδοση, ή iPadOS 13.1 ή μεταγενέστερη έκδοση
Υπολογιστές Mac με OS X 10.7 ή μεταγενέστερη έκδοση
Apple TV με tvOS 9 ή μεταγενέστερη έκδοση
Apple Watch με watchOS 10 ή μεταγενέστερη έκδοση
Apple Vision Pro με visionOS 1.1 ή μεταγενέστερη έκδοση
Σημείωση: Δεν είναι διαθέσιμες όλες οι επιλογές σε όλες τις λύσεις MDM. Για να μάθετε ποιες επιλογές MDM είναι διαθέσιμες για τις συσκευές σας, συμβουλευτείτε το πληροφοριακό υλικό του προμηθευτή MDM σας.