Mobiililaitteiden hallintaratkaisun valitseminen
Mitä on mobiililaitteiden hallinta (MDM)?
iOS:ssä, iPadOS:ssä, macOS:ssä ja tvOS:ssä on sisäinen kehys, joka tukee mobiililaitteiden hallintaa (MDM). MDM-ratkaisulla voi määrittää sekä käyttäjän omia että organisaation omistamia laitteita turvallisesti ja langattomasti lähettämällä niihin profiileja ja komentoja. MDM:n avulla voidaan päivittää ohjelmistoja ja laiteasetuksia, valvoa organisaation käytäntöjen noudattamista sekä tyhjentää tai lukita laitteita etänä. Käyttäjät voivat rekisteröidä omat laitteensa MDM-ratkaisuun, ja organisaation omistamat laitteet voidaan rekisteröidä MDM-ratkaisuun automaattisesti Apple School Managerilla.
Kuinka MDM toimii?
Kun laite tai käyttäjä on hyväksynyt rekisteröintiprofiilin, laitteeseen toimitetaan tietosisältöjä sisältävät asetusprofiilit. Sen jälkeen voit jaella, hallita ja määrittää Apple School Managerin kautta ostettuja appeja tai kirjoja langattomasti. Käyttäjät voivat asentaa apit itse, tai apit voidaan asentaa automaattisesti sen mukaan, minkä tyyppisestä apista on kysymys, miten se on jaettu ja onko laite valvottu vai ei.
Mitä on valvonta?
Valvonta tarkoittaa yleensä, että organisaatio omistaa laitteen, ja se tarjoaa lisähallintaa määritysten ja rajoitusten muodossa.
Jos haluat lisätietoja, katso kohta Tietoja Apple-laitteiden valvonnasta Apple-alustojen käyttöönotossa.
MDM-ratkaisun valinnassa huomioitavaa
Applelta ja useilta muilta valmistajilta on saatavilla monia MDM-ratkaisuja. Ennen kuin valitset MDM-ratkaisun, arvioi organisaatiollesi tärkeimmät ominaisuudet, mukaan lukien vaihtoehdot palvelimen isännöintiin sekä hinta. Alla olevat vinkit saattavat auttaa päätöksenteossa.
Vinkki: On erittäin tärkeää valita sopiva MDM-ratkaisu ennen käyttöönottoa. Jos vaihdat ratkaisua käyttöönoton aloittamisen jälkeen, jokainen laite on ehkä tyhjennettävä ja rekisteröitävä uudelleen.
Paikallinen vai pilvipohjainen: MDM-ratkaisu voi olla paikallisella palvelimella tai pilvessä. MDM on kevyt HTTPS-perustainen protokolla, joka pystyy hallitsemaan laitteita missä tahansa päin maailmaa vähäisellä tietoliikennevaikutuksella, joten se sopii hyvin pilviratkaisuksi. Jos organisaatio valitsee pilvessä tai internetissä olevan ratkaisun, monet tässä oppaassa kuvatut MDM-määritysvaiheet lyhenevät tai poistuvat kokonaan.
Laitetuki: Joissakin MDM-ratkaisuissa on valmiina yksityiskohtainen tuki tietyille Applen laitetyypeille, esimerkiksi vain Mac-tietokoneille tai iPhone-laitteille, ja joissakin on tuki eri alustoille. Voit valita MDM-toimittajien yhdistelmän, jolla saat kullekin laitetyypille erikoistuneen ratkaisun. Laitetyypin perusteella tapahtuva automaattinen liittäminen oikeaan palvelimeen Apple School Managerissa tekee sen helpoksi. Vaihtoehtoisesti voi valita MDM-toimittajan, joka tukee kaikkia organisaatiossa käytettäviä Apple-laitetyyppejä.
Oppilaitoksia palveleva toiminnallisuus: Osa MDM-ratkaisujen toimittajista tarjoaa toiminnallisuutta, joka on suunniteltu erityisesti koulutusympäristöihin. Varmista, että MDM-toimittaja tukee sellaisia ratkaisuja kuten Apple School Manageria, Oppitunti-appia, Jaettua iPadia sekä kaikkia Applen käyttöjärjestelmien uusimpien versioiden mukana tulevia koulutusalan ominaisuuksia heti julkaisupäivästä alkaen.
Kysely- ja raportointipalvelut: MDM-ratkaisu voi kysellä Apple-laitteilta erilaisia tietoja, kuten esimerkiksi laitteiston sarjanumeron, laitteen UDID:n, Wi-Fi:n, MAC-osoitteen tai FileVault-salauksen tilan (Mac-tietokoneilta). Se voi kysellä myös ohjelmistotietoja, kuten laitteen version ja rajoitukset sekä luettelon laitteeseen asennetuista apeista. Näitä tietoja voidaan käyttää apuna varmistettaessa, että käyttäjät pitävät laitteissaan oikeat apit. iOS ja iPadOS mahdollistavat kyselyt laitteen viimeisimmän iCloud-varmuuskopioinnin ajankohdasta ja kirjautuneen käyttäjän appimääritystilin tarkistuksesta. tvOS:ssä MDM voi kysyä kysellä rekisteröidyiltä Apple TV -laitteilta muun muassa seuraavia tietoja: kieli, sijainti ja organisaatio.
Toimittajan tuki ja menettelytavat: MDM on organisaation toiminnalle kriittinen palvelu. Arvioi MDM-valmistajan tarjoama tuki, palvelut ja koulutus.
Voit valita kriteeriesi perusteella joitakin lupaavimpia MDM-ratkaisuja ja ottaa ne koekäyttöön muutamilla testilaitteilla. Näin voit arvioida ennen lopullisen päätöksen tekemistä, mikä ratkaisu sopii tarpeisiisi parhaiten. Käyttäessäsi Apple School Manageria voit yhdistää useampia MDM-ratkaisuja ja liittää laitteita tarvittaessa eri palvelimiin. Jos haluat lisätietoja, katso video MDM-ratkaisun valitseminen.
MDM-ratkaisun verkkovaatimukset
Kun asennat ja määrität MDM-ratkaisua, ota huomioon kuinka määrität verkon, TLS:n, infrastruktuuripalvelut, Applen palvelut ja varmuuskopioinnin.
Kun asennat paikallisen MDM-ratkaisun, määritä seuraavassa luetellut kohteet. Määritä ja testaa kaikki kohteet jo varhain prosessissa, niin käyttöönotto on sujuva. Jos MDM-ratkaisu on ulkoisesti hallittu tai pilvessä, MDM-ratkaisun toimittaja saattaa hoitaa monet seuraavista sinun puolestasi:
DNS: MDM-ratkaisun on käytettävä kelvollista domain-nimeä, joka saadaan selville organisaation verkosta ja sen ulkopuolelta. Tällöin palvelin pystyy hallitsemaan laitteita, jotka ovat yhteydessä paikallisesti tai etänä. Domainnimi ei saa muuttua, jos yhteys laitteisiin halutaan säilyttää.
IP-osoite: Useimmat MDM-ratkaisut edellyttävät staattista IP-osoitetta. DNS-nimen on pysyttävä samana, jos palvelimen IP-osoite muuttuu.
MDM:n TLS-määritys Kaikki tiedonsiirto Apple-laitteiden ja MDM-ratkaisun välillä on salattu HTTPS-protokollalla. Tiedonsiirron suojaamiseen tarvitaan TLS-varmenne (ennen SSL). Älä ota laitteita käyttöön ilman tunnetulta varmentajalta saatua varmennetta. Ota vanhentumispäivä huomioon ja muista uudistaa varmenne ennen sitä.
Palomuurin portit: Sisäinen ja ulkoinen pääsy MDM-ratkaisuun edellyttää, että tietyt palomuurin portit ovat auki. Useimmat MDM-ratkaisut hyväksyvät tuloyhteydet HTTPS:llä porttiin 443. Sekä MDM-ratkaisun että laitteiden on oltava yhteydessä Applen push-ilmoituspalveluun (APNs). Ennen marraskuuta 2020 MDM-ratkaisut käyttivät portteja 2195 ja 2196 APNs:lle; asiakkaat käyttävät porttia 5223. Marraskuun 2020 jälkeen MDM-ratkaisut käyttävät porttia 2197.
Vinkki: MDM-ratkaisussasi säilytetään mahdollisesti aktivointilukituksen avaintallenteita ja ohituskoodeja, macOS:n Bootstrap Tokeneita ja muita ainutlaatuisia tietoja, joilla on tärkeä rooli sen varmistamisessa, ettei pääsy laitteille katkea. Varmista siksi, että organisaatiollasi on luotettava toipumisstrategia poikkeustilanteiden varalle, mikäli MDM on asennettu organisaatiosi omissa tiloissa olevaan laitteistoon. Varmuuskopiot ja palautukset on suositeltavaa testata säännöllisesti.