Apple Business의 기기 관리 서비스 소개
개요
iOS, iPadOS, macOS, tvOS, visionOS와 watchOS에는 기기 관리를 진행할 수 있는 프레임워크가 내장되어 있습니다. 기기 관리 서비스를 사용하면 기기가 사용자 소유이든 조직 소유이든 관계없이 구성, 프로파일 및 명령을 기기에 전송하여 안전하게 원격으로 기기를 구성할 수 있습니다. 또한 기기가 지속적인 폴링 없이 비동기적으로 설정을 적용하고 기기 관리 서비스에 상태를 보고할 수 있습니다. 이는 성능과 확장성에 이상적입니다. 선언적 기기 관리를 사용하면 인터넷 연결 없이도 기기가 원하는 상태에 있고 필수 데이터가 안전하게 유지된다는 확신을 높일 수 있습니다. 또한 사용자 관점에서 훨씬 더 빠른 응답 경험을 제공합니다. 기능에는 소프트웨어 및 기기 설정 업데이트, 조직 정책 준수 모니터링, 원격으로 기기 지우기 또는 잠금이 포함됩니다.
기기를 기기 관리 서비스에 할당하여 기기 등록 및 자동화된 기기 등록에 사용할 서비스를 지정할 수 있습니다. 기기 관리 서비스를 할당해도 기기의 현재 등록은 영향을 받지 않습니다. 두 가지 등록 방법의 차이점은 다음과 같습니다.
기기 등록: 사용자가 설정 지원을 완료한 후 기기를 등록합니다.
자동화된 기기 등록: 설정 지원에서 기기가 나타납니다.
플랫폼별 자동 할당, 기기 페이지의 기기별 할당, 일괄 작업, iPhone용 Apple Configurator를 사용하여 기기를 서비스에 할당할 수도 있습니다.
귀하의 기준에 따라 기기 관리 서비스의 후보 목록을 생성하고, 몇 가지 테스트 기기로 체험 버전을 설정하여 최종 결정을 내리기 전에 귀하의 요구에 가장 적합한 솔루션이 무엇인지 평가할 수 있습니다.Apple Business를 사용하면 하나 이상의 기기 관리 서비스에 연결하고 필요에 따라 기기를 다른 서비스에 할당할 수 있습니다.
시작하기 전에
외부 기기 관리 서비스에 연결하기 전에 아래 정보를 검토하십시오.
보안: 생성한 모든 외부 기기 관리 서비스는 Apple에 알려야 하며 2단계 확인 절차를 사용해 안전하게 인증해야 합니다. 확인 절차에는 기기 관리 서비스에 기기 관리 서비스 토큰을 생성 및 설치하는 작업이 포함됩니다. 인증서를 통해 토큰이 암호화됩니다. 토큰을 전송하는 방법에 대한 정보는 기기 관리 서비스 문서를 참고하십시오.
인증서: 외부 기기 관리 서비스를 추가하기 전에, 추가할 각 서비스에 대한 공개 키 인증서 파일(확장자 .pem 또는 .der)을 기기 관리 서비스 개발자로부터 받습니다. 서비스의 공개 키 인증서 받기에 대한 정보는 기기 관리 서비스의 문서를 참고하십시오.
참고: 공개 키 인증서 파일은 250개를 초과하여 업로드할 수 없습니다.
이름: 각 외부 기기 관리 서비스의 이름을 지정하는 데 정규화된 도메인 이름을 사용할 필요는 없습니다. 예를 들어, 특정 건물, 장소, 방 또는 직무에 따라 서버 이름을 선택할 수 있습니다. 그러나 같은 이름을 여러 개의 서비스에 사용할 수는 없습니다. 또한 서비스의 이름을 “할당 취소” 또는 “재할당”으로 지정할 수 없습니다.
기기 지원: 일부 기기 관리 서비스는 모든 플랫폼이 아닌 Mac 컴퓨터 또는 iPhone 및 iPad 기기와 같이 특정 Apple 기기 유형만을 심층적으로 지원합니다. 여러 개발자를 함께 선택하여 각 기기 유형에 특화된 솔루션을 지원할 수 있습니다. 기기 유형별 자동 할당을 사용하면 이 과정을 간소화할 수 있습니다. 또한, 조직에서 사용하는 모든 Apple 기기 유형을 지원하는 개발자를 선택할 수 있습니다.
문의 및 보고 서비스: 기기 관리 서비스는 하드웨어 시리얼 번호, 기기 UDID, Wi-Fi, “미디어 액세스 제어(MAC)” 주소와 FileVault 암호화 상태(Mac 컴퓨터의 경우)를 포함한 다양한 정보를 Apple 기기에 문의할 수 있습니다. 또한, 기기 버전 및 제한 사항과 같은 소프트웨어 정보를 문의하고 기기에 설치된 앱을 나열할 수 있습니다. 해당 정보는 사용자가 적절한 앱을 사용하도록 관리하는 데 사용할 수 있습니다. iOS 및 iPadOS는 기기가 iCloud에 마지막으로 백업된 시간과 로그인한 사용자의 앱 할당 계정 해시에 관한 문의를 허용합니다. tvOS에서 기기 관리 서비스는 언어, 로케일, 조직과 같은 자산 정보를 등록한 Apple TV 기기를 문의할 수 있습니다.
공급업체 지원 액세스 및 정책: 기기 관리 서비스는 업무상 중요한 서비스입니다. 기기 관리 서비스 개발자가 제공하는 지원, 서비스 및 모든 교육을 평가해야 합니다.
기기 관리 서비스의 네트워크 요구 사항
기기 관리 서비스를 설치 및 설정할 때 네트워크, “전송 계층 보안(TLS - Transport Layer Security)”, 인프라 서비스, Apple 서비스 및 백업을 어떻게 설정할지 고려하십시오.
로컬에서 호스팅되는 기기 관리 서비스를 설치하는 경우 다음과 같은 모든 항목을 설정해야 합니다. 원활한 배포를 위해 각 구성 요소를 초기에 설정하고 테스트하십시오. 기기 관리 서비스가 외부에서 관리되거나 클라우드에서 호스팅되는 경우, 다음 항목 중 대부분을 개발자가 사용자를 대신하여 처리할 수 있습니다.
DNS: 기기 관리 서비스는 조직의 네트워크 내부 및 외부에서 모두 확인할 수 있는 정규화된 도메인 이름을 사용해야 합니다. 이를 통해 서비스는 로컬 또는 원격으로 연결된 기기를 관리 할 수 있습니다. 클라이언트와의 연결을 유지하기 위해 해당 도메인 이름은 변경할 수 없습니다.
IP 주소: 대부분의 기기 관리 서비스는 고정 IP 주소를 요구합니다. 기존 DNS 이름은 서버의 IP 주소가 변경될 때도 유지되어야 합니다.
TLS로 설정: Apple 기기와 기기 관리 서비스 간의 모든 통신은 HTTPS를 사용하여 암호화됩니다. 이러한 통신 과정을 보호하려면 TLS(기존의 SSL) 인증서가 필요합니다. 유명한 인증 기관(CA)의 인증서가 없는 기기를 배포하지 않아야 합니다. 만료 날짜를 기록하고 만료되기 전에 인증서를 갱신하십시오.
방화벽 포트: 기기 관리 서비스에 대한 내부 및 외부 액세스를 모두 허용하려면 특정 방화벽 포트가 열려 있어야 합니다. 대부분의 기기 관리 서비스는 포트 443에서 HTTPS를 사용하는 인바운드 연결을 허용합니다. Apple의 기기는 아래와 같은 특정 호스트의 특정 포트에 연결할 수 있어야 합니다.
기기가 포트 5223을 통해 APN에 연결할 수 없는 경우를 대비해 기기 활성화 과정 전후에 TCP 포트 443
APN과 통신하기 위한 TCP 포트 5223
기기 관리 서비스에서 APN으로 알림을 보내기 위한 TCP 포트 443 또는 2197
참고: 귀하의 기기 관리 서비스는 활성화 잠금 에스크로 키 및 바이 패스 코드, macOS 부트스트랩 토큰 및 기기 액세스의 연속성에 있어서 중요한 기타 고유 데이터를 호스팅 할 수 있습니다. 따라서 현지 기기 관리 서비스에 사용할 완전한 장애 복구 전략을 가지고 있는지 확인하십시오. 백업 및 복원을 정기적으로 테스트하는 것을 권장합니다.
추가 기기 관리
감독은 일반적으로 기기가 조직의 소유임을 표시하며, 이에 따라 설정 및 제한 사항을 추가적으로 제어할 수 있습니다. 조직에서는 여러 가지 방법으로 기기를 감독할 수 있으며, 일부 유형은 플랫폼에 따라 상이합니다. “Apple 플랫폼 배포(Apple Platform Deployment)”의 Apple 기기 감독에 관하여를 확인하십시오.