Εισαγωγή στα προφίλ διαχείρισης συσκευών
Μια υπηρεσία διαχείρισης συσκευών επιτρέπει σε έναν διαχειριστή να διαμορφώσει συσκευές με ασφάλεια και ασύρματα αποστέλλοντας ρυθμίσεις παραμέτρων, προφίλ και εντολές στη συσκευή, ανεξάρτητα από το αν ανήκουν στον χρήστη ή στον οργανισμό σας. Οι δυνατότητες περιλαμβάνουν την ενημέρωση λογισμικού και ρυθμίσεων συσκευών, τον έλεγχο συμμόρφωσης με εταιρικές πολιτικές και το εξ αποστάσεως σβήσιμο ή κλείδωμα συσκευών. Οι χρήστες μπορούν να εγγράφουν τις δικές τους συσκευές σε μια υπηρεσία διαχείρισης συσκευών και οι οργανισμοί μπορούν να εγγράφουν αυτόματα συσκευές που ανήκουν στον οργανισμό με χρήση του Apple School Manager ή του Apple Business Manager.
Υπάρχουν μερικές έννοιες που πρέπει να κατανοήσετε αν πρόκειται να χρησιμοποιήσετε μια υπηρεσία διαχείρισης συσκευών, οπότε διαβάστε τις ακόλουθες ενότητες για να δείτε πώς μια υπηρεσία διαχείρισης συσκευών χρησιμοποιεί προφίλ εγγραφής και διαμόρφωσης, επίβλεψη και φορτία.
Υποστηριζόμενες συσκευές Apple
Οι ακόλουθες συσκευές Apple διαθέτουν ενσωματωμένο πλαίσιο εργασίας που υποστηρίζει διαχείριση συσκευών:
iPhone με iOS 4 ή μεταγενέστερο
iPad με iOS 4.3 ή μεταγενέστερη έκδοση, ή iPadOS 13.1 ή μεταγενέστερη έκδοση
Υπολογιστές Mac με OS X 10.7 ή μεταγενέστερη έκδοση
Apple TV με tvOS 9 ή μεταγενέστερη έκδοση
Apple Watch με watchOS 10 ή μεταγενέστερη έκδοση
Apple Vision Pro με visionOS 1.1 ή μεταγενέστερη έκδοση
Τρόπος εγγραφής συσκευών
Η εγγραφή σε μια υπηρεσία διαχείρισης συσκευών περιλαμβάνει την εγγραφή ταυτοτήτων πιστοποιητικών πελάτη με χρήση πρωτοκόλλων όπως το Αυτοματοποιημένο περιβάλλον διαχείρισης πιστοποιητικών (ACME) ή το Απλό πρωτόκολλο εγγραφής πιστοποιητικών (SCEP). Οι συσκευές χρησιμοποιούν αυτά τα πρωτόκολλα για να δημιουργήσουν μοναδικά πιστοποιητικά ταυτότητας για έλεγχο ταυτότητας κατά την πρόσβαση στις υπηρεσίες ενός οργανισμού.
Εκτός αν η εγγραφή είναι αυτοματοποιημένη, οι χρήστες αποφασίζουν αν θα εγγράψουν τη συσκευή τους, ενώ μπορούν να καταργήσουν τη συσχέτιση των συσκευών τους με την υπηρεσία ανά πάσα στιγμή. Επομένως, θα θέλετε να παρέχετε κίνητρα ώστε οι συσκευές των χρηστών να παραμένουν διαχειριζόμενες. Για παράδειγμα, μπορείτε να ζητήσετε εγγραφή για την πρόσβαση σε δίκτυο Wi-Fi χρησιμοποιώντας την υπηρεσία διαχείρισης συσκευών για αυτόματη παροχή των διαπιστευτηρίων ασύρματης σύνδεσης. Αν ένας χρήστης καταργήσει την εγγραφή του από την υπηρεσία, η συσκευή επιχειρεί να ειδοποιήσει την υπηρεσία διαχείρισης συσκευών ότι δεν μπορεί να είναι πλέον διαχειριζόμενη.
Για συσκευές που ανήκουν στον οργανισμό σας, μπορείτε να χρησιμοποιήσετε το Apple School Manager ή το Apple Business Manager προκειμένου να τις εγγράψετε αυτόματα σε μια υπηρεσία διαχείρισης συσκευών και να τις επιβλέπετε ασύρματα κατά την αρχική διαμόρφωση. Αυτή η διαδικασία εγγραφής είναι γνωστή ως Αυτοματοποιημένη εγγραφή συσκευής.
Διαχείριση συσκευών και προστασία κλεμμένης συσκευής
Όταν είναι ενεργοποιημένη η Προστασία κλεμμένης συσκευής και ο χρήστης βρίσκεται σε μη οικεία τοποθεσία, το λειτουργικό σύστημα καθυστερεί τις ακόλουθες ενέργειες κατά μία ώρα:
Χειροκίνητη εγγραφή της συσκευής τους σε μια υπηρεσία διαχείρισης συσκευών
Χειροκίνητη εγκατάσταση προφίλ ή ρύθμισης παραμέτρων κωδικού
Διαμόρφωση λογαριασμού Microsoft Exchange στις Ρυθμίσεις ή με προφίλ ή ρύθμιση παραμέτρων
Προφίλ εγγραφής
Ένα προφίλ εγγραφής είναι ένας από τους δύο κύριους τρόπους με τους οποίους οι χρήστες μπορούν να εγγράψουν μια συσκευή σε μια υπηρεσία διαχείρισης συσκευών (ο άλλος τρόπος είναι η Εγγραφή χρήστη ή η Εγγραφή συσκευής βάσει λογαριασμού). Με αυτό το προφίλ, το οποίο περιέχει ένα φορτίο, η υπηρεσία στέλνει στη συσκευή εντολές και –αν χρειάζεται– πρόσθετα προφίλ διαμόρφωσης. Μπορεί επίσης να ζητήσει από τη συσκευή πληροφορίες όπως η κατάσταση Κλειδώματος ενεργοποίησης, η στάθμη μπαταρίας και το όνομα.
Όταν ένας χρήστης αφαιρεί ένα προφίλ εγγραφής, αφαιρούνται μαζί του και όλα τα προφίλ ρύθμισης παραμέτρων, οι ρυθμίσεις τους και οι Διαχειριζόμενες εφαρμογές που βασίζονται στο συγκεκριμένο προφίλ εγγραφής. Μπορεί να υπάρχει μόνο ένα προφίλ εγγραφής σε μια συσκευή τη φορά.
Όταν εγκριθεί το προφίλ εγγραφής, είτε από τη συσκευή είτε από τον χρήστη, στη συσκευή παραδίδονται προφίλ διαμόρφωσης που περιέχουν φορτία. Στη συνέχεια, μπορείτε να διανείμετε ασύρματα, να διαχειριστείτε και να ρυθμίσετε τις παραμέτρους εφαρμογών και βιβλίων που έχουν αγοραστεί μέσω του Apple School Manager ή του Apple Business Manager. Οι χρήστες μπορούν να εγκαταστήσουν εφαρμογές, ή οι εφαρμογές μπορούν να εγκατασταθούν αυτόματα, ανάλογα με τον τύπο εφαρμογής, τον τρόπο εκχώρησής της και το εάν η συσκευή είναι επιβλεπόμενη (supervised). Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Πληροφορίες για την επίβλεψη συσκευών Apple.
Προφίλ ρύθμισης παραμέτρων
Ένα προφίλ ρύθμισης παραμέτρων (configuration profile) είναι ένα αρχείο XML (με κατάληξη .mobileconfig) που αποτελείται από φορτία τα οποία φορτώνουν ρυθμίσεις και πληροφορίες εξουσιοδότησης σε συσκευές Apple. Τα προφίλ διαμόρφωσης αυτοματοποιούν τη διαμόρφωση ρυθμίσεων, λογαριασμών, περιορισμών και διαπιστευτηρίων. Μια υπηρεσία διαχείρισης συσκευών μπορεί να δημιουργήσει αυτά τα αρχεία ή μπορείτε να τα δημιουργήσετε χειροκίνητα ή με το Apple Configurator για Mac. Για περισσότερες πληροφορίες σχετικά με τη χρήση του Apple Configurator για Mac για τη δημιουργία και εγκατάσταση προφίλ διαμόρφωσης σε συσκευές iPhone, iPad και Apple TV, ανατρέξτε στην ενότητα Δημιουργία και επεξεργασία προφίλ διαμόρφωσης στον Οδηγό χρήσης του Apple Configurator για Mac.
Καθώς τα προφίλ διαμόρφωσης μπορούν να είναι κρυπτογραφημένα και υπογεγραμμένα, μπορείτε να περιορίσετε τη χρήση τους σε μια συγκεκριμένη συσκευή Apple και να αποτρέψετε την τροποποίηση των ρυθμίσεων, με εξαίρεση τα ονόματα χρηστών και τα συνθηματικά, από οποιονδήποτε. Μπορείτε επίσης να σημάνετε ένα προφίλ διαμόρφωσης ως κλειδωμένο στη συσκευή.
Αν η υπηρεσία διαχείρισης συσκευών σας το υποστηρίζει, μπορείτε να διανείμετε προφίλ διαμόρφωσης ως συνημμένο email, μέσω συνδέσμου στην ιστοσελίδα σας, ή μέσω της ενσωματωμένης πύλης χρηστών της υπηρεσίας. Όταν οι χρήστες ανοίξουν το συνημμένο email ή πραγματοποιήσουν λήψη του προφίλ διαμόρφωσης μέσω ενός προγράμματος περιήγησης στον Ιστό, λαμβάνουν ένα μήνυμα για να ξεκινήσουν την εγκατάσταση του προφίλ διαμόρφωσης.
Μπορείτε να παραδώσετε ένα προφίλ διαμόρφωσης που μπορεί να αλλάξει τις ρυθμίσεις για μια ολόκληρη συσκευή ή για έναν μόνο χρήστη:
Προφίλ συσκευών: Μπορείτε να στείλετε προφίλ συσκευών σε συσκευές και ομάδες συσκευών, και να εφαρμόζετε ρυθμίσεις σε ολόκληρη τη συσκευή.
Τα iPhone, iPad, Apple TV, Apple Watch και Apple Vision Pro δεν μπορούν να αναγνωρίσουν περισσότερους από έναν χρήστες, οπότε τα προφίλ ρύθμισης παραμέτρων που δημιουργούνται για υποστηριζόμενες συσκευές Apple είναι πάντα προφίλ συσκευής. Παρόλο που τα προφίλ iPadOS είναι προφίλ συσκευών, οι συσκευές iPad που έχουν διαμορφωθεί για το Κοινόχρηστο iPad μπορούν να υποστηρίζουν προφίλ με βάση τη συσκευή ή τον χρήστη.
Προφίλ χρηστών: Μπορείτε να στείλετε προφίλ χρηστών σε χρήστες και (αν η υπηρεσία διαχείρισης συσκευών το υποστηρίζει) ομάδες χρηστών, και να εφαρμόσετε ρυθμίσεις μόνο στους αντίστοιχους χρήστες. Οι υπολογιστές Mac μπορούν να έχουν πολλούς χρήστες, επομένως μπορείτε να βασίζετε τα φορτία και τις ρυθμίσεις για τα προφίλ macOS στη συσκευή ή στον χρήστη. Ο λογαριασμός χρήστη που δημιουργεί ο Βοηθός διαμόρφωσης θεωρείται διαχειριζόμενος από την υπηρεσία διαχείρισης συσκευών και μπορεί να λαμβάνει προφίλ. Σε Mac με macOS 11 ή μεταγενέστερη έκδοση, μπορείτε να διαχειριστείτε προαιρετικά έναν λογαριασμό διαχειριστή που δημιουργήθηκε από μια υπηρεσία διαχείρισης συσκευών κατά την εγγραφή. Για αναπτύξεις συνδεδεμένες με το Active Directory, ο συνδεδεμένος χρήστης δικτύου γίνεται διαχειριζόμενος χρήστης.
Οι ρυθμίσεις συσκευής και χρήστη ποικίλλουν ανάλογα με το πού βρίσκονται: Οι ρυθμίσεις που είναι εγκατεστημένες στο επίπεδο συστήματος βρίσκονται σε κανάλι συσκευής. Οι ρυθμίσεις που είναι εγκατεστημένες για έναν χρήστη βρίσκονται σε κανάλι χρήστη.
Για περισσότερες πληροφορίες σχετικά με την εγκατάσταση προφίλ και τη Λειτουργία απομόνωσης, ανατρέξτε στο άρθρο της Υποστήριξης Apple, Πληροφορίες για τη Λειτουργία απομόνωσης.
Αφαίρεση προφίλ
Ο τρόπος αφαίρεσης των προφίλ εξαρτάται από τον τρόπο που είχαν εγκατασταθεί. Η παρακάτω ακολουθία υποδεικνύει πώς μπορείτε να αφαιρέσετε ένα προφίλ:
1. Μπορείτε να αφαιρέστε όλα τα προφίλ με σβήσιμο όλων των δεδομένων από τη συσκευή.
2. Αν η συσκευή είναι εγγεγραμμένη σε υπηρεσία διαχείρισης συσκευών και συνδεδεμένη με το Apple School Manager ή το Apple Business Manager, ο διαχειριστής μπορεί να επιλέξει αν ο χρήστης μπορεί να αφαιρέσει το προφίλ εγγραφής ή αν μπορεί να αφαιρεθεί μόνο από την υπηρεσία διαχείρισης συσκευών.
3. Αν μια υπηρεσία διαχείρισης συσκευών εγκαταστήσει το προφίλ, η υπηρεσία αυτή ή ο χρήστης μπορεί να το αφαιρέσει με κατάργηση εγγραφής από την υπηρεσία (αφαιρώντας το προφίλ διαμόρφωσης εγγραφής).
4. Αν το Apple Configurator εγκαταστήσει το προφίλ, η συγκεκριμένη επιβλέπουσα παρουσία του Apple Configurator μπορεί να αφαιρέσει το προφίλ.
5. Αν το Apple Configurator εγκαταστήσει το προφίλ ή αν το εγκαταστήσετε εσείς χειροκίνητα σε μια επιβλεπόμενη συσκευή και το προφίλ έχει φορτίο συνθηματικού αφαίρεσης, ο χρήστης πρέπει να εισαγάγει το συνθηματικό αφαίρεσης για αφαίρεση του προφίλ.
6. Ο χρήστης μπορεί να αφαιρέσει όλα τα υπόλοιπα προφίλ.
Ένας λογαριασμός που έχει εγκατασταθεί από ένα προφίλ διαμόρφωσης μπορεί να αφαιρεθεί μέσω της αφαίρεσης του προφίλ. Ένας λογαριασμός Microsoft Exchange ActiveSync, συμπεριλαμβανομένων αυτών που έχουν εγκατασταθεί με προφίλ διαμόρφωσης, μπορεί να αφαιρεθεί από το Microsoft Exchange Server μέσω της έκδοσης της εντολής απομακρυσμένου σβησίματος μόνο λογαριασμών.
Σημαντικό: Αν οι χρήστες γνωρίζουν τον κωδικό της συσκευής, μπορούν να αφαιρέσουν χειροκίνητα εγκατεστημένα προφίλ διαμόρφωσης σε iPhone και iPad που δεν είναι επιβλεπόμενα, ακόμη κι αν η επιλογή έχει οριστεί σε «Ποτέ». Οι χρήστες στο Mac μπορούν να το κάνουν αυτό μόνο αν γνωρίζουν το όνομα χρήστη και το συνθηματικό ενός διαχειριστή. Αυτό μπορείτε να το κάνετε χρησιμοποιώντας το εργαλείο γραμμής εντολών profiles, τις Ρυθμίσεις συστήματος (σε macOS 13 ή μεταγενέστερες εκδόσεις), ή τις Προτιμήσεις συστήματος (σε macOS 12.0.1 ή προγενέστερες εκδόσεις). Σε Mac με macOS 10.15 ή μεταγενέστερη έκδοση, όπως στα iOS και iPadOS, αν μια υπηρεσία διαχείρισης συσκευών εγκαταστήσει ένα προφίλ, η υπηρεσία αυτή μπορεί να το αφαιρέσει ή το λειτουργικό σύστημα το αφαιρεί αυτόματα όταν καταργηθεί η εγγραφή από την υπηρεσία.
Απαιτήσεις επικοινωνίας υπηρεσίας διαχείρισης συσκευών
Η επικοινωνία της υπηρεσίας διαχείρισης συσκευών με συσκευές Apple είναι πιο πιθανό να είναι επιτυχής όταν:
Η υπηρεσία διαχείρισης συσκευών διαμορφώνει τη συσκευή, τη δοκιμάζει επιτυχώς και βεβαιώνεται ότι λειτουργεί σωστά
Το πιστοποιητικό APN είναι έγκυρο και δεν έχει λήξει
Η συσκευή είναι ενεργοποιημένη
Η συσκευή είναι εγγεγραμμένη στην υπηρεσία
Το δίκτυο στο οποίο είναι συνδεδεμένη η συσκευή έχει πρόσβαση στο Διαδίκτυο (για επικοινωνία APN)
Το δίκτυο στο οποίο είναι συνδεδεμένη η συσκευή πρέπει να έχει πρόσβαση σε υπολογιστές υπηρεσίας της Apple που σχετίζονται με την υπηρεσία
Για περισσότερες πληροφορίες, δείτε το άρθρο της Υποστήριξης Apple Χρήση προϊόντων Apple σε δίκτυα επιχειρήσεων.
Σημείωση: Η Apple δεν ελέγχει τις υπηρεσίες διαχείρισης συσκευών τρίτων. Πρόσθετα ζητήματα, όπως ένα εσφαλμένα διαμορφωμένο φορτίο, ενδέχεται επίσης να προκαλέσουν την αποτυχία της επικοινωνίας.