Johdanto laitehallintaprofiileihin
Laitehallintapalvelun avulla ylläpitäjä voi määrittää turvallisesti ja etänä laitteita lähettämällä laitteeseen määrityksiä, profiileja ja komentoja riippumatta siitä, omistaako laitteen käyttäjä vai organisaatio. Sen avulla voidaan päivittää ohjelmistoja ja laiteasetuksia, valvoa organisaation käytäntöjen noudattamista sekä tyhjentää tai lukita laitteita etänä. Käyttäjät voivat rekisteröidä omat laitteensa laitehallintapalveluun, ja organisaatiot voivat rekisteröidä omistamansa laitteet automaattisesti käyttäen Apple School Manageria tai Apple Business Manageria.
Jos aiot käyttää laitehallintapalvelua, on sinun tärkeä tuntea muutamia siihen liittyviä käsitteitä, joten lue seuraavat osiot oppiaksesi, kuinka laitehallintapalvelu käyttää rekisteröinti- ja asetusprofiileja, valvontaa ja tietosisältöjä.
Tuetut Apple-laitteet
Seuraavissa Apple-laitteissa on sisäänrakennettuna sovelluskehys, joka tukee laitehallintaa:
iPhone, jossa on iOS 4 tai uudempi
iPad, jossa on iOS 4.3 tai uudempi tai iPadOS 13.1 tai uudempi
Mac-tietokoneet, joissa on OS X 10.7 tai uudempi
Apple TV, jossa on tvOS 9 tai uudempi
Apple Watch, jossa on watchOS 10 tai uudempi
Apple Vision Pro, jossa on visionOS 1.1 tai uudempi
Laitteiden rekisteröimistavat
Laitehallintapalveluun rekisteröintiin kuuluu asiakasvarmenneidentiteettien rekisteröiminen käyttäen sellaisia protokollia kuten Automated Certificate Management Environment (ACME) tai Simple Certificate Enrollment Protocol (SCEP). Laitteet luovat näiden protokollien avulla yksilöiviä identiteettivarmenteita organisaation palveluiden todentamista varten.
Jos rekisteröinti ei tapahdu automaattisesti, käyttäjät päättävät, rekisteröivätkö he laitteensa vai eivät, ja he voivat myös irtautua palvelusta laitteillaan milloin tahansa. Siksi organisaatioiden kannattaa tarjota kannustimia, joilla käyttäjät pysyvät hallittuina. Voit esimerkiksi edellyttää rekisteröimistä Wi-Fi-verkon käyttöä varten käyttämällä laitehallintapalvelua, joka antaa automaattisesti langattoman yhteyden tunnistetiedot. Kun käyttäjä poistuu palvelusta, laite yrittää ilmoittaa laitehallintapalvelulle, ettei sitä voi enää hallita.
Jos organisaatiosi omistaa laitteet, voit käyttää Apple School Manageria tai Apple Business Manageria rekisteröidäksesi ne automaattisesti laitehallintapalveluun ja valvoaksesi niitä langattomasti alkukäyttöönoton aikana. Tällaista rekisteröintiprosessia kutsutaan automaattiseksi laiterekisteröinniksi.
Laitehallinta ja varastetun laitteen suojaus
Kun varastetun laitteen suojaus on päällä ja jos käyttäjä on tuntemattomassa sijainnissa, käyttöjärjestelmä viivyttää tunnilla seuraavia toimintoja:
laitteen rekisteröinti manuaalisesti laitehallintapalveluun
pääsykoodiprofiilin tai -määrityksen asentaminen manuaalisesti
Microsoft Exchange -tilin määrittäminen asetuksissa tai profiililla tai määrittelyllä
Rekisteröintiprofiilit
Rekisteröintiprofiili on toinen kahdesta pääasiallisesta tavasta, joilla käyttäjät voivat rekisteröidä omia laitteitaan laitehallintapalveluun. (Toinen on käyttää käyttäjärekisteröintiä tai tiliin perustuvaa laiterekisteröintiä.) Tällä tietosisällön sisältävällä profiililla palvelu lähettää komennon ja (tarvittaessa) lisäasetusprofiilit laitteelle. Se voi myös kysellä laitteen tietoja, kuten aktivointilukituksen tilaa, akun varaustasoa ja nimeä.
Kun käyttäjä poistaa rekisteröintiprofiilin, kaikki asetusprofiilit, niiden asetukset ja rekisteröintiprofiiliin perustuvat hallitut apit poistetaan samalla. Laitteessa voi olla vain yksi rekisteröintiprofiili kerrallaan.
Kun laite tai käyttäjä on hyväksynyt rekisteröintiprofiilin, laitteeseen toimitetaan tietosisältöjä sisältävät asetusprofiilit. Sen jälkeen voit jaella, hallita ja määrittää Apple School Managerin tai Apple Business Managerin kautta ostettuja appeja tai kirjoja langattomasti. Käyttäjät voivat asentaa apit, tai apit voidaan asentaa automaattisesti sen mukaan, minkä tyyppisestä apista on kysymys, miten se on jaettu ja onko laite valvottu vai ei. Jos haluat lisätietoja, katso Tietoja Apple-laitteiden valvonnasta.
Asetusprofiilit
Asetusprofiili on XML-tiedosto (jonka tiedostopääte on .mobileconfig), joka koostuu tietosisällöistä, jotka lataavat asetukset ja valtuutustiedot Apple-laitteisiin. Asetusprofiilit automatisoivat asetusten, tilien, rajoitusten ja tunnistetietojen määritystä. Laitehallintapalvelu voi luoda nämä tiedostot, tai voit luoda ne manuaalisesti tai käyttämällä Macin Apple Configuratoria. Jos haluat lisätietoja Macin Apple Configuratorin käytöstä asetusprofiilien luomiseen ja asentamiseen iPhone-, iPad- ja Apple TV -laitteisiin, katso Asetusprofiilien luominen ja muokkaaminen Macin Apple Configuratorin käyttöoppaassa.
Koska voit salata ja allekirjoittaa asetusprofiilit, niiden käyttö voidaan rajoittaa tiettyyn Applen laitteeseen, ja asetusten muuttaminen (käyttäjätunnuksia ja salasanoja lukuun ottamatta) voidaan estää. Voit myös merkitä asetusprofiilin lukituksi laitteeseen.
Jos laitehallintapalvelusi tukee jakamista, voit jakaa asetusprofiileja sähköpostin liitteenä, linkkinä omalla verkkosivullasi tai palvelun sisäisessä käyttäjäportaalissa. Kun käyttäjät avaavat sähköpostiliitteen tai lataavat asetusprofiilin verkkoselaimella, he saavat kehotuksen aloittaa asetusprofiilin asennuksen.
Voit toimittaa asetusprofiilin, joka voi muuttaa asetuksia joko koko laitteelle tai yksittäiselle käyttäjälle:
Laiteprofiilit: Voit lähettää laiteprofiileja laitteille tai laiteryhmille, ja ne vaikuttavat laiteasetuksiin koko laitteessa.
iPhone, iPad, Apple TV, Apple Watch ja Apple Vision Pro voivat tunnistaa vain yhden käyttäjän, joten tuettuja Apple-laitteita varten luodut asetusprofiilit ovat aina laiteprofiileja. Vaikka iPadOS:n profiilit ovat laiteprofiileja, jaetuksi iPadiksi määritetyt iPad-laitteet voivat tukea joko laitteeseen tai käyttäjään perustuvia profiileja.
Käyttäjäprofiilit: Voit lähettää käyttäjäprofiileja käyttäjille tai (jos laitehallintapalvelu tukee käyttäjäryhmiä) käyttäjäryhmille, ja ne vaikuttavat vain kyseisten käyttäjien käyttäjäasetuksiin. Mac-tietokoneilla voi olla useita käyttäjiä, joten macOS:n profiilien tietosisällöt ja asetukset voivat perustua joko laitteeseen tai sen käyttäjään. Käyttöönottoapurin luoma käyttäjätili katsotaan laitehallintapalvelun hallitsemaksi, ja se voi vastaanottaa profiileja. Macissa, jossa on macOS 11 tai uudempi, voidaan valita, että sen sijasta hallitaan ylläpitäjätiliä, jonka laitehallintapalvelu on luonut rekisteröinnin aikana. Active Directoryyn sidotuissa käyttöönotoissa parhaillaan kirjautuneena olevasta verkkokäyttäjästä tulee hallittu käyttäjä.
Laite- ja käyttäjäasetukset ovat eri kanavissa: Järjestelmätasolla asennettavat asetukset ovat laitekanavassa. Käyttäjälle asennettavat asetukset ovat käyttäjäkanavassa.
Jos haluat lisätietoja profiilien asennuksesta ja Sulkutilasta, katso Applen tukiartikkeli Tietoja Sulkutilasta.
Profiilin poistaminen
Profiilien poistamistapa riippuu siitä, miten ne on asennettu. Seuraavassa luettelossa kerrotaan, miten voit poistaa profiilin:
1. Voit poistaa kaikki profiilit tyhjentämällä kaikki laitteen tiedot.
2. Jos laite rekisteröitiin laitehallintapalveluun, joka on linkitetty Apple School Manageriin tai Apple Business Manageriin, ylläpitäjä voi valita, voiko käyttäjä poistaa rekisteröintiprofiilin vai voiko ainoastaan laitehallintapalvelu poistaa sen.
3. Jos laitehallintapalvelu asentaa profiilin, kyseinen palvelu voi poistaa sen, tai käyttäjä voi poistaa sen poistamalla rekisteröinnin asetusprofiilin, jolloin laitteen rekisteröinti palveluun poistetaan.
4. Jos Apple Configurator asentaa profiilin, kyseinen valvova Apple Configurator voi poistaa profiilin.
5. Jos Apple Configurator asentaa profiilin tai asennat sen valvottuun laitteeseen käsin ja profiililla on poiston salasanan tietosisältö, käyttäjän on syötettävä poiston salasana, jotta profiili poistetaan.
6. Käyttäjä voi poistaa kaikki muut profiilit.
Asetusprofiilin asentama tili voidaan poistaa poistamalla profiili. Microsoft Exchange Server voi poistaa Microsoft Exchange ActiveSync ‑tilin (myös asetusprofiilia käyttäen asennetun) antamalla ainoastaan tiliä koskevan etätyhjennyskomennon.
Tärkeää: Jos käyttäjät tietävät laitteen pääsykoodin, he voivat poistaa käsin asennetut asetusprofiilit valvomattomasta iPhonesta ja iPadista, vaikka asetukseksi olisi valittu ”ei koskaan”. Käyttäjät voivat tehdä saman Macissa ainoastaan, jos käyttäjä tietää ylläpitäjän käyttäjätunnuksen ja salasanan. He voivat tehdä sen käyttämällä profiles-komentorivityökalua tai Järjestelmäasetuksia. Macissa, jossa on macOS 10.15 tai uudempi, laitehallintapalvelun asentamat profiilit pystyy poistamaan kyseinen palvelu samalla tavalla kuin iOS:ssä ja iPadOS:ssä, tai käyttöjärjestelmä poistaa sen automaattisesti, kun rekisteröinti poistetaan palvelusta.
Laitehallintapalvelun tietoliikenteen vaatimukset
Laitehallintapalvelun tietoliikenne Apple-laitteiden kanssa onnistuu todennäköisimmin, kun seuraavat ehdot täyttyvät:
Laitehallintapalvelu ottaa laitteen käyttöön, testaa sen onnistuneesti ja varmistaa, että se toimii oikein
APNs-varmenne on kelvollinen eikä se ole vanhentunut
Laitteessa on virta päällä
Laite on sillä hetkellä rekisteröitynä palveluun
Verkosta, johon laite on yhdistetty, on yhteys internetiin (APNs-tietoliikennettä varten)
Verkon, johon laite on yhdistetty, täytyy voida käyttää palveluun liittyviä Applen palvelimia
Jos haluat lisätietoja, tutustu Applen tukiartikkeliin Apple-tuotteiden käyttäminen yritysverkoissa.
Huomaa: Apple ei hallitse muiden valmistajien laitehallintapalveluja. Myös muut ongelmat, kuten virheet tietosisällön määrityksissä, voivat johtaa tietoliikenteen epäonnistumiseen.