Εισαγωγή στα προφίλ διαχείρισης φορητών συσκευών
Τα iOS, iPadOS, macOS και tvOS διαθέτουν ένα ενσωματωμένο πλαίσιο εργασίας που υποστηρίζει τη Διαχείριση φορητών συσκευών (MDM). Η MDM σάς επιτρέπει να διαμορφώσετε συσκευές με ασφάλεια και ασύρματα αποστέλλοντας προφίλ και εντολές στη συσκευή, ανεξάρτητα από το αν ανήκουν στον χρήστη ή στον οργανισμό σας. Οι δυνατότητες MDM (Διαχείριση φορητών συσκευών) περιλαμβάνουν την ενημέρωση λογισμικού και ρυθμίσεων συσκευών, τον έλεγχο συμμόρφωσης με εταιρικές πολιτικές και το εξ αποστάσεως σβήσιμο ή κλείδωμα συσκευών. Οι χρήστες μπορούν να εγγράφουν τις δικές τους συσκευές στη λύση MDM και οι συσκευές που ανήκουν στον οργανισμό μπορούν να εγγράφονται στην υπηρεσία MDM αυτόματα με χρήση του Apple School Manager ή του Apple Business Manager. Αν χρησιμοποιείτε το Apple Business Essentials, μπορείτε επίσης να χρησιμοποιήσετε την ενσωματωμένη διαχείριση συσκευών.
Υπάρχουν μερικές έννοιες που πρέπει να κατανοήσετε αν πρόκειται να χρησιμοποιήσετε MDM, οπότε διαβάστε τις ακόλουθες ενότητες για να δείτε πώς η MDM χρησιμοποιεί προφίλ εγγραφής και διαμόρφωσης, επίβλεψη και φορτία.
Τρόπος εγγραφής συσκευών
Η εγγραφή σε λύση MDM περιλαμβάνει την εγγραφή ταυτοτήτων πιστοποιητικών πελάτη με χρήση πρωτοκόλλων όπως το Αυτοματοποιημένο περιβάλλον διαχείρισης πιστοποιητικών (ACME), ή το Απλό πρωτόκολλο εγγραφής πιστοποιητικών (SCEP). Οι συσκευές χρησιμοποιούν αυτά τα πρωτόκολλα για να δημιουργήσουν μοναδικά πιστοποιητικά ταυτότητας για έλεγχο ταυτότητας κατά την πρόσβαση στις υπηρεσίες ενός οργανισμού.
Εκτός αν η εγγραφή είναι αυτοματοποιημένη, οι χρήστες αποφασίζουν αν θα εγγραφούν στην υπηρεσία MDM, ενώ μπορούν να καταργήσουν τη συσχέτιση των συσκευών τους με την υπηρεσία MDM ανά πάσα στιγμή. Επομένως, θα θέλετε να παρέχετε κίνητρα ώστε οι συσκευές των χρηστών να παραμένουν διαχειριζόμενες. Για παράδειγμα, μπορείτε να ζητήσετε εγγραφή στην υπηρεσία MDM για την πρόσβαση σε δίκτυο Wi-Fi χρησιμοποιώντας MDM για αυτόματη παροχή των διαπιστευτηρίων ασύρματης σύνδεσης. Αν ένας χρήστης καταργήσει την εγγραφή του από την υπηρεσία MDM, η συσκευή επιχειρεί να ειδοποιήσει τη λύση MDM ότι δεν μπορεί να είναι πλέον διαχειριζόμενη.
Για συσκευές που ανήκουν στον οργανισμό σας, μπορείτε να χρησιμοποιήσετε το Apple School Manager, το Apple Business Manager ή το Apple Business Essentials προκειμένου να τις εγγράψετε αυτόματα σε MDM και να τις επιβλέπετε ασύρματα κατά την αρχική διαμόρφωση. Αυτή η διαδικασία εγγραφής είναι γνωστή ως Αυτοματοποιημένη εγγραφή συσκευής.
Δηλωτική διαχείριση συσκευών
Η Δηλωτική διαχείριση συσκευών είναι μια ενημέρωση στο υπάρχον πρωτόκολλο διαχείρισης συσκευών που μπορεί να χρησιμοποιηθεί σε συνδυασμό με τις υπάρχουσες δυνατότητες πρωτοκόλλου MDM. Επιτρέπει στη συσκευή να εφαρμόζει ασύγχρονα ρυθμίσεις και να αναφέρει την κατάσταση στη λύση MDM χωρίς συνεχή έρευνα.
Η αναφορά κατάστασης επιτρέπει σε μια συσκευή να κοινοποιεί πληροφορίες σχετικά με την τρέχουσα κατάστασή της και, αν υπάρχουν αλλαγές, αυτές μπορούν να αναφέρονται στον διακομιστή προληπτικά χωρίς να χρειάζεται να ερευνά τη συσκευή για ενημερώσεις. Εκτός από τις ιδιότητες της συσκευής, πλέον η αναφορά κατάστασης περιλαμβάνει την παρουσία και τη συμμόρφωση κωδικών, λογαριασμούς, και την πρόοδο και τις πληροφορίες εγκατάστασης εφαρμογών MDM.
Δηλώσεις
Υπάρχουν τέσσερις τύποι δηλώσεων, οι οποίες είναι φορτία που ορίζει ο διακομιστής και στέλνει σε συσκευές, και αντιπροσωπεύουν την πολιτική που θέλει να επιβάλει ένας οργανισμός σε συσκευές.
Τύπος δήλωσης | Περιγραφή | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Ρυθμίσεις παραμέτρων | Οι ρυθμίσεις παραμέτρων είναι παρόμοιες με τα υπάρχοντα φορτία προφίλ MDM, π.χ. λογαριασμοί, ρυθμίσεις και περιορισμοί. Δείτε τις Δηλωτικές ρυθμίσεις παραμέτρων στην ενότητα ρυθμίσεων MDM. | ||||||||||
Πόροι | Οι πόροι αποτελούνται από δεδομένα αναφοράς που απαιτούνται από ρυθμίσεις παραμέτρων για μεγάλα στοιχεία δεδομένων και δεδομένα ανά χρήστη. Οι πόροι έχουν μονοσήμαντη σχέση (ένα προς πολλά) με ρυθμίσεις παραμέτρων. Δείτε την ενότητα Ρυθμίσεις πόρου διαπιστευτηρίων ελέγχου ταυτότητας και ταυτότητας. | ||||||||||
Ενεργοποιήσεις | Οι ενεργοποιήσεις είναι ένα σύνολο ρυθμίσεων παραμέτρων που εφαρμόζονται ατομικά στη συσκευή και μπορεί να περιλαμβάνουν κατηγορήματα, όπως «ο τύπος συσκευής είναι iPad» ή «έκδοση λειτουργικού συστήματος μεγαλύτερη από iPadOS 16.1». Υπάρχει μια πολυσήμαντη σχέση (πολλά προς πολλά) μεταξύ ενεργοποιήσεων και ρυθμίσεων παραμέτρων. Οι ενεργοποιήσεις μπορούν να χρησιμοποιούν μια εκτεταμένη σύνταξη κατηγορήματος, συμπεριλαμβανομένων στοιχείων κατάστασης, για να υποστηρίζουν σύνθετες παραστάσεις κατηγορημάτων. Επιπλέον, μια δήλωση ιδιοτήτων διαχείρισης επιτρέπει στους διακομιστές να ορίζουν οποιεσδήποτε ιδιότητες στη συσκευή, οι οποίες μπορούν να χρησιμοποιηθούν απευθείας σε κατηγορήματα ενεργοποίησης. | ||||||||||
Διαχείριση | Η διαχείριση χρησιμοποιείται για τη μετάδοση της συνολικής κατάστασης διαχείρισης στη συσκευή, περιγράφοντας λεπτομέρειες σχετικά με την οργάνωση και τις δυνατότητες της λύσης MDM. | ||||||||||
Κανάλι κατάστασης
Το κανάλι κατάστασης είναι ένα νέο κανάλι επικοινωνίας όπου η συσκευή ενημερώνει προληπτικά τον διακομιστή με νέες πληροφορίες για τον εαυτό της. Οι ενημερώσεις της κατάστασης συσκευής αποστέλλονται με μια αναφορά κατάστασης στον διακομιστή. Ο διακομιστής μπορεί να αποκτήσει συνδρομή για συγκεκριμένα στοιχεία κατάστασης, επομένως λαμβάνει ενημερώσεις μόνο για αλλαγές που τον ενδιαφέρουν. Τα στοιχεία κατάστασης μπορούν επίσης να χρησιμοποιηθούν ως παραστάσεις σε κατηγορήματα ενεργοποίησης, επιτρέποντας στη συσκευή να λειτουργεί ανεξάρτητα, βάσει αλλαγών κατάστασης. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Δηλωτικές αναφορές κατάστασης.
Προφίλ εγγραφής
Ένα προφίλ εγγραφής (enrollment profile) είναι ένας από τους δύο κύριους τρόπους με τους οποίους οι χρήστες μπορούν να εγγράψουν μια προσωπική συσκευή σε μια λύση MDM (ο άλλος τρόπος είναι μέσω ενός λογαριασμού του οργανισμού). Με αυτό το προφίλ, το οποίο περιέχει ένα φορτίο MDM, η λύση MDM στέλνει στη συσκευή εντολές και –αν χρειάζεται– πρόσθετα προφίλ ρύθμισης παραμέτρων. Μπορεί επίσης να ζητήσει από τη συσκευή πληροφορίες όπως η κατάσταση Κλειδώματος ενεργοποίησης, η στάθμη μπαταρίας και το όνομα.
Όταν ένας χρήστης αφαιρεί ένα προφίλ εγγραφής, αφαιρούνται μαζί του και όλα τα προφίλ ρύθμισης παραμέτρων, οι ρυθμίσεις τους και οι Διαχειριζόμενες εφαρμογές που βασίζονται στο συγκεκριμένο προφίλ εγγραφής. Μπορεί να υπάρχει μόνο ένα προφίλ εγγραφής σε μια συσκευή τη φορά.
Όταν εγκριθεί το προφίλ εγγραφής, είτε από τη συσκευή είτε από τον χρήστη, στη συσκευή παραδίδονται προφίλ διαμόρφωσης που περιέχουν φορτία. Στη συνέχεια, μπορείτε να διανείμετε ασύρματα, να διαχειριστείτε και να ρυθμίσετε τις παραμέτρους εφαρμογών και βιβλίων που έχουν αγοραστεί μέσω του Apple School Manager, του Apple Business Manager ή του Apple Business Essentials. Οι χρήστες μπορούν να εγκαταστήσουν εφαρμογές, ή οι εφαρμογές μπορούν να εγκατασταθούν αυτόματα, ανάλογα με τον τύπο εφαρμογής, τον τρόπο εκχώρησής της και το εάν η συσκευή είναι επιβλεπόμενη (supervised). Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Πληροφορίες για την επίβλεψη συσκευών Apple.
Προφίλ ρύθμισης παραμέτρων
Ένα προφίλ ρύθμισης παραμέτρων (configuration profile) είναι ένα αρχείο XML (με κατάληξη .mobileconfig) που αποτελείται από φορτία τα οποία φορτώνουν ρυθμίσεις και πληροφορίες εξουσιοδότησης σε συσκευές Apple. Τα προφίλ διαμόρφωσης αυτοματοποιούν τη διαμόρφωση ρυθμίσεων, λογαριασμών, περιορισμών και διαπιστευτηρίων. Αυτά τα αρχεία μπορούν να δημιουργηθούν από μια λύση MDM ή από το Apple Configurator, ή μπορούν να δημιουργηθούν χειροκίνητα.
Καθώς τα προφίλ διαμόρφωσης μπορούν να είναι κρυπτογραφημένα και υπογεγραμμένα, μπορείτε να περιορίσετε τη χρήση τους σε μια συγκεκριμένη συσκευή Apple και να αποτρέψετε την τροποποίηση των ρυθμίσεων, με εξαίρεση τα ονόματα χρηστών και τα συνθηματικά από οποιονδήποτε. Μπορείτε επίσης να σημάνετε ένα προφίλ διαμόρφωσης ως κλειδωμένο στη συσκευή.
Αν η λύση MDM σας το υποστηρίζει, μπορείτε να διανείμετε προφίλ διαμόρφωσης ως συνημμένο email, μέσω συνδέσμου στην ιστοσελίδα σας, ή μέσω της ενσωματωμένης πύλης χρηστών της λύσης MDM. Όταν οι χρήστες ανοίξουν το συνημμένο email ή πραγματοποιήσουν λήψη του προφίλ διαμόρφωσης μέσω ενός προγράμματος περιήγησης στον Ιστό, εμφανίζεται ένα μήνυμα για έναρξη της εγκατάστασης του προφίλ διαμόρφωσης.
Για περισσότερες πληροφορίες σχετικά με την εγκατάσταση προφίλ και τη Λειτουργία απομόνωσης, ανατρέξτε στο άρθρο της Υποστήριξης Apple, Πληροφορίες για τη Λειτουργία απομόνωσης.
Σημείωση: Μπορείτε να χρησιμοποιήσετε το Apple Configurator για Mac για να προσθέσετε προφίλ ρύθμισης παραμέτρων (αυτόματα ή χειροκίνητα) σε συσκευές iOS, iPadOS και Apple TV. Για περισσότερες πληροφορίες, ανατρέξτε στον Οδηγό χρήσης για το Apple Configurator για Mac.
Ως διαχειριστής, μπορείτε να παραδώσετε ένα προφίλ διαμόρφωσης που μπορεί να αλλάξει τις ρυθμίσεις για μια ολόκληρη συσκευή ή για έναν μόνο χρήστη:
Τα προφίλ συσκευών μπορούν να σταλούν σε συσκευές και ομάδες συσκευών, και εφαρμόζουν ρυθμίσεις σε ολόκληρη τη συσκευή.
Το iPhone, το iPad, και το Apple TV δεν έχει κάποιον τρόπο να μπορεί να αναγνωρίσει περισσότερους από έναν χρήστη, οπότε τα προφίλ ρύθμισης παραμέτρων που δημιουργούνται από φορτία και ρυθμίσεις iOS, iPadOS και tvOS είναι πάντα προφίλ συσκευής. Παρόλο που τα προφίλ iPadOS είναι προφίλ συσκευών, οι συσκευές iPad που έχουν διαμορφωθεί για το Κοινόχρηστο iPad μπορούν να υποστηρίζουν προφίλ με βάση τη συσκευή ή τον χρήστη.
Τα προφίλ χρηστών μπορούν να σταλούν σε χρήστες και ομάδες χρηστών και εφαρμόζουν ρυθμίσεις μόνο στους αντίστοιχους χρήστες.
Οι υπολογιστές Mac μπορούν να έχουν πολλούς χρήστες, επομένως τα φορτία και οι ρυθμίσεις για τα προφίλ macOS είναι δυνατό να βασίζονται στη συσκευή ή στον χρήστη.
Οι ρυθμίσεις συσκευής και χρήστη ποικίλλουν ανάλογα με το πού βρίσκονται: Οι ρυθμίσεις που είναι εγκατεστημένες στο επίπεδο συστήματος βρίσκονται σε κανάλι συσκευής. Οι ρυθμίσεις που είναι εγκατεστημένες για έναν χρήστη βρίσκονται σε κανάλι χρήστη.
Αφαίρεση προφίλ
Ο τρόπος αφαίρεσης των προφίλ εξαρτάται από τον τρόπο που είχαν εγκατασταθεί. Η παρακάτω ακολουθία υποδεικνύει πώς μπορεί να αφαιρεθεί ένα προφίλ:
1. Όλα τα προφίλ μπορούν να αφαιρεθούν με σβήσιμο όλων των δεδομένων από τη συσκευή.
2. Αν η συσκευή ήταν εγγεγραμμένη στο MDM με χρήση του Apple School Manager, του Apple Business Manager ή του Apple Business Essentials, ο διαχειριστής μπορεί να επιλέξει αν το προφίλ εγγραφής μπορεί να αφαιρεθεί από τον χρήστη ή αν μπορεί να αφαιρεθεί μόνο από τον ίδιο τον διακομιστή MDM.
3. Αν το προφίλ έχει εγκατασταθεί από μια λύση MDM, μπορεί να αφαιρεθεί από τη συγκεκριμένη λύση MDM ή από τον χρήστη με κατάργηση εγγραφής από τη λύση MDM αφαιρώντας το προφίλ διαμόρφωσης εγγραφής.
4. Αν το προφίλ είναι εγκατεστημένο σε μια επιβλεπόμενη συσκευή μέσω του Apple Configurator, η συγκεκριμένη επιβλέπουσα παρουσία του Apple Configurator μπορεί να αφαιρέσει το προφίλ.
5. Αν το προφίλ είναι εγκατεστημένο σε μια επιβλεπόμενη συσκευή χειροκίνητα ή μέσω του Apple Configurator και το προφίλ έχει φορτίο συνθηματικού αφαίρεσης, ο χρήστης πρέπει να εισαγάγει το συνθηματικό αφαίρεσης για αφαίρεση του προφίλ.
6. Όλα τα άλλα προφίλ μπορούν να αφαιρεθούν από τον χρήστη.
Ένας λογαριασμός που έχει εγκατασταθεί από ένα προφίλ διαμόρφωσης μπορεί να αφαιρεθεί μέσω της αφαίρεσης του προφίλ. Ένας λογαριασμός Microsoft Exchange ActiveSync, συμπεριλαμβανομένων αυτών που έχουν εγκατασταθεί με προφίλ διαμόρφωσης, μπορεί να αφαιρεθεί από το Microsoft Exchange Server μέσω της έκδοσης της εντολής απομακρυσμένου σβησίματος μόνο λογαριασμών.
Σημαντικό: Αν οι χρήστες γνωρίζουν τον κωδικό της συσκευής, μπορούν να αφαιρέσουν χειροκίνητα εγκατεστημένα προφίλ διαμόρφωσης σε iPhone και iPad που δεν είναι επιβλεπόμενα, ακόμη κι αν η επιλογή έχει οριστεί σε «ποτέ». Οι χρήστες στο Mac μπορούν να το κάνουν αυτό μόνο αν γνωρίζουν το όνομα χρήστη και το συνθηματικό ενός διαχειριστή. Αυτό μπορείτε να το κάνετε χρησιμοποιώντας το εργαλείο γραμμής εντολών profiles, τις Ρυθμίσεις συστήματος (σε macOS 13 ή μεταγενέστερες εκδόσεις), ή τις Προτιμήσεις συστήματος (σε macOS 12.0.1 ή προγενέστερες εκδόσεις). Στο macOS 10.15 ή μεταγενέστερη έκδοση, όπως στα iOS και iPadOS, τα προφίλ που έχουν εγκατασταθεί με λύση MDM πρέπει επίσης να αφαιρεθούν με λύση MDM, διαφορετικά αφαιρούνται αυτόματα όταν καταργηθεί η εγγραφή τους από μια λύση MDM.
Υποστηριζόμενες συσκευές Apple
Οι ακόλουθες συσκευές Apple διαθέτουν ενσωματωμένο πλαίσιο εργασίας που υποστηρίζει MDM:
iPhone με iOS 4 ή μεταγενέστερο
iPad με iOS 4.3 ή μεταγενέστερη έκδοση, ή iPadOS 13.1 ή μεταγενέστερη έκδοση
Υπολογιστές Mac με OS X 10.7 ή μεταγενέστερη έκδοση
Apple TV με tvOS 9 ή μεταγενέστερη έκδοση
Σημείωση: Δεν είναι διαθέσιμες όλες οι επιλογές σε όλες τις λύσεις MDM. Για να μάθετε ποιες επιλογές MDM είναι διαθέσιμες για τις συσκευές σας, συμβουλευτείτε το πληροφοριακό υλικό του προμηθευτή MDM σας.