Introduksjon til profiler for enhetsadministrering
En tjeneste for enhetsadministrering lar administratorer konfigurere enheter sikkert og trådløst ved å sende konfigurasjoner, profiler og kommandoer til enheten, enten den eies av brukeren eller organisasjonen. Mulighetene inkluderer oppdatering av programvare og enhetsinnstillinger, kontroll av etterlevelse av organisasjonens regler og fjernsletting og fjernlåsing av enheter. Brukere kan registrere sine egne enheter i en tjeneste for enhetsadministrering, og organisasjoner kan registrere enheter som eies av organisasjonen, automatisk ved hjelp av Apple School Manager eller Apple Business Manager.
Det er noen begreper du må forstå for å bruke en tjeneste for enhetsadministrering, så les disse avsnittene for å se hvordan en tjeneste for enhetsadministrering bruker registrerings- og konfigurasjonsprofiler, tilsyn og nyttelaster.
Støttede Apple-enheter
Følgende Apple-enheter har et innebygd rammeverk som støtter enhetsadministrering:
iPhone med iOS 4 eller nyere
iPad med iOS 4.3 eller nyere eller iPadOS 13.1 eller nyere
Macer med OS X 10.7 eller nyere
Apple TV med tvOS 9 eller nyere
Apple Watch med watchOS 10 eller nyere
Apple Vision Pro med visionOS 1.1 eller nyere
Registrering av enheter
Registrering i en tjeneste for enhetsadministrering innebærer registrering av klientsertifikatidentiteter via protokoller som Automated Certificate Management Environment (ACME) eller Simple Certificate Enrollment Protocol (SCEP). Enheter bruker disse protokollene til å opprette unike identitetssertifikater for autentisering av organisasjonens tjenester.
Med mindre registrering er automatisk, kan brukerne velge om de vil registrere enheten sin, og de kan når som helst melde enhetene ut av tjenesten. Du bør derfor vurdere incentiver som gjør at brukere forblir administrert. Du kan for eksempel kreve registrering for Wi-Fi-nettverket ved å bruke tjenesten for enhetsadministrering til å automatisk overføre akkreditivene til det trådløse nettet. Når en bruker forlater tjenesten, forsøker enheten å varsle tjenesten for enhetsadministrering om at den ikke lenger kan administreres.
Når det gjelder enheter som organisasjonen eier, kan du bruke Apple School Manager eller Apple Business Manager for å registrere dem automatisk i en tjeneste for enhetsadministrering og ha trådløst tilsyn med dem ved første klargjøring. Dette kalles automatisert enhetsregistrering.
Enhetsadministrasjon og Beskyttelse av stjålet enhet
Når Beskyttelse av stjålet enhet er slått på og brukeren er på et ukjent sted, vil operativsystemet utsette følgende handlinger med én time:
Registrere enheten manuelt i en tjeneste for enhetsadministrering
Manuelt installere en kodeprofil eller konfigurasjon
Konfigurere en Microsoft Exchange-konto i Innstillinger eller med en profil eller konfigurasjon
Registreringsprofiler
En registreringsprofil er en av to måter å registrere en personlig enhet på i en tjeneste for enhetsadministrering (den andre måten er å bruke brukerregistrering eller kontobasert enhetsregistrering). Med denne profilen, som inneholder en nyttelast, sender tjenesten kommandoer og, hvis det trengs, ytterligere konfigurasjonsprofiler til enheten. Den kan også spørre enheten om informasjon, som status for aktiveringslås, batterinivå og navn.
Når en bruker fjerner en registreringsprofil, fjernes også alle konfigurasjonsprofiler, innstillinger og administrerte apper basert på registreringsprofilen. Det kan kun være én registreringsprofil på en enhet om gangen.
Når registreringsprofilen har blitt godkjent, enten av enheten eller av brukeren, leveres konfigurasjonsprofiler som inneholder nyttelaster, til enheten. Deretter kan du trådløst distribuere, administrere og konfigurere apper og bøker kjøpt via Apple School Manager eller Apple Business Manager. Brukere kan installere apper, eller apper kan installeres automatisk – avhengig av typen app, hvordan den er tilordnet og om enheten er under tilsyn. Hvis du vil ha mer informasjon, kan du lese Om enhetstilsyn for Apple-enheter.
Konfigurasjonsprofiler
En konfigurasjonsprofil er en XML-fil (som slutter på .mobileconfig) som består av nyttelaster som laster inn innstillinger og autoriseringsinformasjon på Apple-enheter. Konfigurasjonsprofiler automatiserer konfigurasjonen av innstillinger, kontoer, restriksjoner og påloggingsinformasjon. En tjeneste for enhetsadministrering kan opprette disse filene, eller du kan opprette dem manuelt eller med Apple Configurator for Mac. Hvis du vil ha mer informasjon om hvordan du kan bruke Apple Configurator for Mac til å opprette og installere konfigurasjonsprofiler på iPhone, iPad og Apple TV, kan du lese Create and edit configuration profiles in Apple Configurator i Apple Configurator for Mac User Guide.
Siden du kan kryptere og signere konfigurasjonsprofiler, kan du begrense bruken til spesifikke Apple-enheter. I tillegg, med unntak av brukernavn og passord, kan ingen endre innstillingene. Du kan også merke en konfigurasjonsprofil som låst til enheten.
Hvis tjenesten for enhetsadministrering støtter det, kan du distribuere konfigurasjonsprofiler som et e-postvedlegg, via en lenke på din egen nettside eller via tjenestens innebygde brukerportal. Når brukere åpner e-postvedlegget eller laster ned konfigurasjonsprofilen med en nettleser, blir de bedt om å starte installering av konfigurasjonsprofilen.
Du kan levere en konfigurasjonsprofil som kan endre innstillingene for enheten eller for en enkeltbruker:
Enhetsprofiler: Du kan sende enhetsprofiler til enheter og enhetsgrupper, og du kan gjøre enhetsinnstillinger gjeldende for hele enheten.
iPhone, iPad, Apple TV, Apple Watch og Apple Vision Pro kan ikke gjenkjenne flere enn én bruker, så konfigurasjonsprofiler som opprettes for støttede Apple-enheter, er alltid enhetsprofiler. Selv om iPadOS-profiler også er enhetsprofiler, kan iPad-enheter som er konfigurert for Delt iPad, støtte profiler basert på enheten eller brukeren.
Brukerprofiler: Du kan sende brukerprofiler til brukere og (hvis tjenesten for enhetsadministrering støtter dem) brukergrupper, og du kan gjøre brukerinnstillinger gjeldende for kun de respektive brukerne. Macer kan ha flere brukere, så du kan basere nyttelaster og innstillinger for macOS-profiler på enten enheten eller brukeren. Brukerkontoen som Oppsettassistent oppretter, anses som administrert av tjenesten for enhetsadministrering, og den kan motta profiler. For Macer med macOS 11 eller nyere kan en administratorkonto som en tjeneste for enhetsadministrering oppretter under registrering, administreres i stedet. For utrullinger som skal til Active Directory vil nettverksbrukeren som er logget på, bli en administrert bruker.
Enhets- og brukerinnstillinger varierer avhengig av hvor de ligger: Innstillinger som installeres på systemnivå, ligger i en enhetskanal. Innstillinger som installeres for en bruker, ligger i en brukerkanal.
Du finner mer informasjon om profilinstallering og Sikringsmodus i Apple-kundestøtteartikkelen Om Sikringsmodus.
Profilfjerning
Hvordan du fjerner profiler avhenger av hvordan de ble installert. Sekvensen nedenfor viser hvordan du kan fjerne en profil:
1. Du kan fjerne alle profiler ved å slette alle data på enheten.
2. Hvis enheten er registrert i en tjeneste for enhetsadministrering som er koblet til Apple School Manager eller Apple Business Manager, kan administratoren velge om brukeren kan fjerne registreringsprofilen, eller om det kun er tjenesten for enhetsadministrering som kan fjerne den.
3. Hvis profilen installeres av en tjeneste for enhetsadministrering, kan tjenesten fjerne den, eller brukeren kan fjerne den ved å avregistrere seg fra tjenesten (ved å fjerne konfigurasjonsprofilen for registreringen).
4. Hvis Apple Configurator installerer profilen, kan tilsynsforekomsten av Apple Configurator fjerne profilen.
5. Hvis Apple Configurator installerer profilen eller du installerer den manuelt på en enhet som er under tilsyn, og profilen har en nyttelast for fjerning av passord, må brukeren oppgi passordet for fjerning for å fjerne profilen.
6. Brukeren kan fjerne alle andre profiler.
En konto som er konfigurert av en konfigurasjonsprofil, kan kun fjernes ved å fjerne profilen. En Microsoft Exchange ActiveSync-konto, inkludert en som er installert via en konfigurasjonsprofil, kan fjernes av Microsoft Exchange Server ved å sende fjernslettingskommandoen account-only.
Viktig: Hvis brukerne kjenner enhetskoden, kan de fjerne installerte konfigurasjonsprofiler manuelt fra iPhone- og iPad-enheter som ikke er under tilsyn, selv om valget er satt til Never. Brukere av Mac kan gjøre det samme hvis de har brukernavn og passord for en administratorbruker. De kan gjøre dette med profiles-kommandolinjeverkttøyet, Systeminnstillinger (i macOS 13 eller nyere) eller Systemvalg (i macOS 12.0.1 eller eldre). For Macer med macOS 10.15 og nyere, må en profil som installeres ved hjelp av en tjeneste for enhetsadministrering, også fjernes av den tjenesten, på samme måte som i iOS og iPadOS. Operativsystemet fjerner den også når enheten avregistreres fra tjenesten.
Kommunikasjonskrav for tjeneste for enhetsadministrering
Kommunikasjon mellom tjeneste for enhetsadministrering og Apple-enheter har størst sannsynlighet for å lykkes når:
tjenesten for enhetsadministrering konfigurerer enheten, tester den og sørger for at den fungerer som den skal
APNs-sertifikatet er gyldig og ikke utløpt
enheten er slått på
enheten er registrert i tjenesten
nettverket enheten er koblet til, har tilgang til internett (for APNs-kommunikasjon)
nettverket som enheten er koblet til, må kunne få tilgang til tjenesterelaterte Apple-verter
Hvis du vil ha mer informasjon, kan du se Apple-supportartikkelen Bruke Apple-produkter i bedriftsnettverk.
Merk: Apple kontrollerer ikke tjenester for enhetsadministrering fra tredjeparter. Andre problemer som en nyttelast som ikke er riktig konfigurert, kan også føre til at kommunikasjonen mislykkes.