Automatische apparaatinschrijving en apparaatbeheer
Automatische apparaatinschrijving is bedoeld voor alle Apple apparaten die eigendom zijn van een organisatie. Met automatische apparaatinschrijving kunnen organisaties apparaten configureren en beheren vanaf het moment dat de apparaten uit de verpakking worden gehaald. Organisaties kunnen ook alle beschikbare payloads en beperkingen gebruiken die door Apple zijn gedefinieerd en kunnen instellen dat het inschrijvingsprofiel van de voorziening voor apparaatbeheer niet door de gebruiker mag worden verwijderd.
Bij automatische apparaatinschrijving kunnen IT-beheerders nog meer instellingen beheren en meer informatie zien dan bij apparaatinschrijving of gebruikersinschrijving. Zie Hoe inschrijvingsmethoden de privacy van de gebruiker beschermen voor meer informatie.
Voor deze apparaten kun je de volgende opties voor inschrijving bij een voorziening voor apparaatbeheer configureren:
Optie | Minimale OS-versies | Beschrijving | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Sta uitschrijving niet toe | iOS 7 iPadOS 7 macOS 10.9 tvOS 10.2 visionOS 2 | Een apparaat dat onder toezicht staat, kan niet door de gebruiker worden uitgeschreven. Op Mac-computers wordt hiermee voorkomen dat apparaten worden uitgeschreven via Systeeminstellingen voor macOS 13 of nieuwer, of via Systeemvoorkeuren voor macOS 12.0.1 of ouder, alsook via de commandoregeltool | |||||||||
Doorloop de configuratie-assistent automatisch | macOS 11 tvOS 11.3 visionOS 2 | Een onder toezicht staande Mac met macOS 11 of nieuwer, een Apple TV en een Apple Vision Pro met visionOS 2.0 of nieuwer wordt automatisch geconfigureerd zonder tussenkomst van de gebruiker, mits er geen andere panelen van de configuratie-assistent zijn ingeschakeld. | |||||||||
Taal | macOS 11 tvOS 11.3 visionOS 2 | De taal die bij automatische configuratie op het apparaat wordt ingesteld. | |||||||||
Regio | macOS 11 tvOS 11.3 visionOS 2 | De regio die bij automatische configuratie op het apparaat wordt ingesteld. | |||||||||
Houd apparaat vast in configuratie-assistent | iOS 9 iPadOS 9 macOS 10.9 tvOS 10.2 visionOS 2 | Het apparaat wordt vastgehouden in de configuratie-assistent, zodat de voorziening voor apparaatbeheer essentiële configuraties kan toepassen of essentiële apps kan installeren. Na instructies van de voorziening voor apparaatbeheer kan de configuratie-assistent worden voortgezet of worden verlaten. Een vergelijkbare optie kan worden gebruikt om te zorgen dat de configuratie-assistent op een gedeelde iPad actief blijft na authenticatie van de gebruiker. Zo wordt ervoor gezorgd dat het apparaat klaar is voor gebruik wanneer de gebruiker het beginscherm te zien krijgt. | |||||||||
Web-URL configuratie | iOS 13 iPadOS 13 macOS 10.15 visionOS 2 | De URL die het apparaat in de configuratie-assistent moet laden. Deze URL kan worden gebruikt voor onder meer authenticatie, huisstijlelementen en een toestemmingstekst. | |||||||||
Panelen van de configuratie-assistent om over te slaan | iOS 7 iPadOS 7 macOS 10.9 tvOS 10.2 visionOS 2 | Optioneel: De panelen die moeten worden overgeslagen in de configuratie-assistent om het configureren van het apparaat voor de gebruiker te stroomlijnen. | |||||||||
Dwing FileVault af | macOS 14 | Op een Mac met macOS 14 of nieuwer kan via een voorziening voor apparaatbeheer worden vereist dat FileVault wordt ingeschakeld tijdens het gebruik van de configuratie-assistent. Zo zorg je ervoor dat de interne opslag wordt versleuteld voordat deze wordt gebruikt. Organisaties kunnen vervolgens beslissen of de herstelsleutel wordt weergegeven of in bewaring wordt gegeven bij de voorziening. Als je deze functie gebruikt, moet de configuratie-assistent op het apparaat actief blijven om ervoor te zorgen dat de voorziening over alle benodigde informatie beschikt voordat verder wordt gegaan. | |||||||||
Configureer als gedeelde iPad (alleen gedeelde iPads) | iPadOS 9.3 | Hiermee wordt gebruik als gedeelde iPad ingeschakeld. | |||||||||
Aantal gebruikers van gedeelde iPad (alleen gedeelde iPads) | iPadOS 9.3 | Voer het aantal leerlingen in dat deze iPad mag gebruiken. Je kunt dit aantal het beste laag houden. | |||||||||
Automatische configuratie en automatische apparaatinschrijving (macOS)
Automatische configuratie is een aanvullende optie voor automatische apparaatinschrijving waarmee je alle panelen van de configuratie-assistent automatisch kunt overslaan op een Mac die op ethernet is aangesloten. Nadat automatische configuratie is ingesteld in de voorziening voor apparaatbeheer, kunnen organisaties Mac-computers bestellen en hoeven ze deze na levering alleen nog maar op ethernet aan te sluiten en in te schakelen. De Mac zoekt zelf de toegewezen voorziening voor apparaatbeheer en wordt automatisch geconfigureerd op basis van de instellingen uit de voorziening. Alle panelen van de configuratie-assistent worden hierbij overgeslagen. De gebruiker voert vervolgens in het inlogvenster een bekende combinatie van gebruikersnaam en wachtwoord in. Automatische configuratie is beschikbaar op Macs met macOS 11 of nieuwer als aan alle volgende aanvullende criteria wordt voldaan:
Het serienummer van de computer moet voorkomen in Apple School Manager of Apple Business.
Een voorziening voor apparaatbeheer moet de instellingen voor automatische apparaatinschrijving, waaronder de sleutel voor automatische configuratie, toepassen op de Mac.
Is aangesloten op een stroombron (aanbevolen maar niet vereist).
Heeft een actieve ethernetverbinding (alleen voor eerste configuratie).
Heeft toegang tot de voorziening voor apparaatbeheer via een intern netwerk of het internet.
Een minimumversie van iOS, iPadOS, macOS en visionOS afdwingen
Met voorzieningen voor apparaatbeheer kan een minimale besturingssysteemversie worden afgedwongen bij de inschrijving van apparaten via automatische apparaatinschrijving. Als het apparaat niet de minimumversie heeft die door de voorziening wordt vereist, moet de gebruiker een software-update of -upgrade uitvoeren alvorens verder te gaan met de configuratie-assistent. Zo wordt ervoor gezorgd dat apparaten die eigendom zijn van de organisatie de vereiste versie hebben voordat ze in gebruik worden genomen.
Automatische apparaatinschrijving afdwingen
Als een Mac met macOS 14 of nieuwer die bij Apple School Manager of Apple Business is geregistreerd, niet tijdens de eerste configuratie bij apparaatbeheer wordt ingeschreven, wordt een schermvullende configuratie-interface weergegeven.
De gebruiker kan één keer 'Niet nu' kiezen, waarna het scherm acht uur lang wordt gesloten. Totdat die acht uur zijn verstreken, ziet de gebruiker een optie in Systeeminstellingen om de inschrijving te starten. Als de acht uur zijn verstreken, moet een beheerder het apparaat inschrijven.
Dit mechanisme vervangt het huidige systeem van meldingen en zorgt ervoor dat het apparaat alleen kan worden gebruikt als het is ingeschreven bij apparaatbeheer. Het afdwingen van apparaatinschrijving vermindert het aantal onbeheerde apparaten van een organisatie.
Zeer beperkte netwerken en automatische apparaatinschrijving
De modus voor zeer beperkte netwerken is een optie die deel uitmaakt van een netwerkarchitectuur die een extreem hoog beschermingsniveau biedt tegen goed uitgeruste aanvallers. Deze beveiligingsmodus is ontworpen voor een zeer kleine groep organisaties waarvan de infrastructuur het doelwit kan zijn van de meest geraffineerde digitale bedreigingen door de best uitgeruste aanvallers. De meeste organisaties zijn nooit doelwit van dit soort aanvallen.
Wanneer de modus voor zeer beperkte netwerken is ingeschakeld, werken de apparaten van je organisatie anders dan normaal. Om het aantal aanvalsmogelijkheden te verkleinen dat door een ervaren en goed uitgeruste aanvaller kan worden uitgebuit, zijn apps en functies om veiligheidsredenen strikt beperkt en zijn sommige functies niet beschikbaar. Als onderdeel van een netwerkarchitectuur die is ontworpen om zo min mogelijk aanvalsmogelijkheden te bieden, wordt de modus voor zeer beperkte netwerken meestal gebruikt in combinatie met een compatibele voorziening voor apparaatbeheer en een speciaal soort netwerkgateway, een zogenaamde cross-domain-oplossing.
Vereisten
De modus voor zeer beperkte netwerken is beschikbaar op apparaten met iOS 17, iPadOS 17 of nieuwer. Om gebruik te kunnen maken van alle beveiligingsmaatregelen, moet je je apparaten bijwerken naar de nieuwste softwareversie voordat je de modus voor zeer beperkte netwerken erop activeert.
Hoe gebruik ik de modus voor zeer beperkte netwerken?
Apple moet de modus voor zeer beperkte netwerken goedkeuren voor je organisatie in Apple Business. Nadat Apple deze modus heeft goedgekeurd in Apple Business, kan een gebruiker met de rol van organisatiebeheerder deze modus inschakelen voor specifieke iPhones of iPads. Wanneer een apparaat wordt ingeschreven via automatische apparaatinschrijving, wordt de modus voor zeer beperkte netwerken erop geactiveerd. Wanneer je deze modus implementeert in combinatie met een compatibele voorziening voor apparaatbeheer en een cross-domain-oplossing, kun je draadloos op grote schaal iPhones en iPads op het zeer beperkte netwerk implementeren en beheren, softwareupdates beheren en apps op grote schaal installeren. Je kunt de modus voor zeer beperkte netwerken ook gebruiken in combinatie met andere functies, zoals de isolatiemodus.
Opmerking: Je kunt de modus voor zeer beperkte netwerken gebruiken wanneer je een apparaat configureert en inschrijft in een ondersteunde voorziening voor apparaatbeheer met behulp van Apple Configurator voor de Mac.