Inleiding tot profielen voor mobielapparaatbeheer (MDM)
iOS, iPadOS, macOS, tvOS, watchOS 10 of nieuwer en visionOS 1.1 of nieuwer hebben een ingebouwd framework dat mobielapparaatbeheer (MDM) ondersteunt. Met behulp van MDM kun je de apparaten van de gebruiker of van je organisatie veilig en draadloos configureren door er profielen en commando's naartoe te sturen. MDM bevat functies voor het bijwerken van software- en apparaatinstellingen, het controleren op de naleving van het organisatiebeleid en het op afstand wissen of vergrendelen van apparaten. Gebruikers kunnen hun eigen apparaten inschrijven bij de MDM-oplossing. Apparaten die eigendom van de organisatie zijn, kunnen automatisch bij de MDM-oplossing worden ingeschreven via Apple School Manager of Apple Business Manager. Als je Apple Business Essentials gebruikt, kun je ook de ingebouwde voorziening voor apparaatbeheer gebruiken.
Er zijn enkele concepten die bij het gebruik van MDM van belang zijn. Lees daarom de volgende gedeelten over de manier waarop bij MDM inschrijvings- en configuratieprofielen, toezicht en payloads worden toegepast.
Apparaten inschrijven
Inschrijving bij MDM omvat het inschrijven van certificaatidentiteiten van clients met behulp van protocollen zoals Automated Certificate Management Environment (ACME) of Simple Certificate Enrollment Protocol (SCEP). Apparaten gebruiken deze protocollen om unieke identiteitscertificaten aan te maken waarmee de voorzieningen van een organisatie kunnen worden geauthenticeerd.
Tenzij de inschrijving automatisch verloopt, beslissen de gebruikers of hun apparaat bij de MDM-oplossing wordt ingeschreven. Ze kunnen de koppeling met de MDM-oplossing op elk moment verbreken. Het is voor organisaties dan ook raadzaam om gebruikers aan te moedigen om MDM-beheer niet uit te schakelen. Je kunt bijvoorbeeld voor toegang tot het wifinetwerk MDM-inschrijving verplicht stellen door de inloggegevens daarvoor automatisch via de MDM-oplossing te verstrekken. Als een gebruiker zich uitschrijft bij de MDM-oplossing, probeert het apparaat aan de MDM-oplossing te melden dat het niet langer kan worden beheerd.
Als de apparaten het eigendom zijn van je organisatie, kun je Apple School Manager, Apple Business Manager of Apple Business Essentials gebruiken om de apparaten tijdens de eerste configuratie automatisch bij de MDM-oplossing in te schrijven en ze draadloos onder toezicht te plaatsen. Dit inschrijvingsproces wordt automatische apparaatinschrijving genoemd.
MDM en bescherming voor gestolen apparaten
Wanneer 'Bescherming voor gestolen apparaat' is ingeschakeld en de gebruiker zich op een onbekende locatie bevindt, worden de volgende acties met een uur vertraagd:
Een apparaat handmatig inschrijven bij MDM
Een toegangscodeprofiel of -configuratie handmatig installeren
Een Microsoft Exchange-account configureren in Instellingen of via een profiel of configuratie
Inschrijvingsprofielen
Een inschrijvingsprofiel is een van de twee manieren waarop gebruikers een persoonlijk apparaat kunnen inschrijven bij een MDM-oplossing (de andere manier is via gebruikersinschrijving). Met dit profiel, dat een MDM-payload bevat, kan de MDM-oplossing commando's en (indien nodig) ook aanvullende configuratieprofielen versturen naar het apparaat. Ook kan de MDM-oplossing op deze manier gegevens opvragen bij het apparaat, zoals de status van het activeringsslot, het batterijniveau en de naam.
Wanneer een gebruiker een inschrijvingsprofiel verwijdert, worden alle configuratieprofielen en de bijbehorende instellingen eveneens verwijderd, net als de beheerde apps die op dat inschrijvingsprofiel zijn gebaseerd. Er kan altijd maar één inschrijvingsprofiel zijn geïnstalleerd op een apparaat.
Zodra het inschrijvingsprofiel is goedgekeurd (door het apparaat of door de gebruiker), worden configuratieprofielen met payloads op het apparaat geïnstalleerd. Vervolgens kun je apps en boeken die via Apple School Manager, Apple Business Manager of Apple Business Essentials zijn gekocht, draadloos distribueren, beheren en configureren. Apps kunnen door de gebruikers worden geïnstalleerd of automatisch worden geïnstalleerd. In het laatste geval hangt het ervan af om wat voor type app het gaat, hoe de app wordt toegewezen en of het een apparaat onder toezicht betreft. Zie Toezicht van Apple apparaten voor meer informatie.
Configuratieprofielen
Een configuratieprofiel is een XML-bestand (met de extensie .mobileconfig) dat payloads bevat waarmee instellingen en autorisatiegegevens op Apple apparaten kunnen worden geladen. Met behulp van configuratieprofielen kun je de configuratie van instellingen, accounts, beperkingen en identiteitsgegevens automatiseren. Deze bestanden kunnen worden aangemaakt door een MDM-oplossing of Apple Configurator voor de Mac. Een andere mogelijkheid is om ze handmatig aan te maken. In Configuratieprofielen aanmaken en wijzigen in de gebruikershandleiding van Apple Configurator voor de Mac vind je meer informatie over hoe je Apple Configurator voor de Mac gebruikt om configuratieprofielen voor iPhones, iPads en Apple TV's aan te maken en te installeren.
Aangezien configuratieprofielen kunnen worden versleuteld en ondertekend, kun je het gebruik ervan beperken tot een bepaald Apple apparaat en voorkomen dat iemand de instellingen wijzigt (met uitzondering van gebruikersnamen en wachtwoorden). Bovendien kun je een configuratieprofiel markeren als behorend bij het apparaat.
Als dit in je MDM-oplossing wordt ondersteund, kun je configuratieprofielen distribueren als e‑mailbijlage, via een link op je eigen webpagina of via het ingebouwde gebruikersportaal van de MDM-oplossing. Wanneer gebruikers de e‑mailbijlage openen of het configuratieprofiel met een webbrowser downloaden, wordt hun gevraagd de installatie van het configuratieprofiel te starten.
Je kunt een configuratieprofiel versturen waarmee instellingen voor het hele apparaat of voor één gebruiker kunnen worden gewijzigd:
Apparaatprofielen kunnen naar apparaten en apparaatgroepen worden verstuurd om apparaatinstellingen op het hele apparaat toe te passen.
De iPhone, iPad, Apple TV, Apple Watch en Apple Vision Pro hebben geen ingebouwde mogelijkheden om meerdere gebruikers te herkennen. Configuratieprofielen die zijn gemaakt voor iOS, iPadOS, tvOS, watchOS 10 of nieuwer en visionOS 1.1 of nieuwer zijn dan ook altijd apparaatprofielen. Hoewel iPadOS-profielen apparaatprofielen zijn, kunnen iPads die als een gedeelde iPad zijn geconfigureerd, profielen ondersteunen die op het apparaat of op de gebruiker zijn gebaseerd.
Gebruikersprofielen kunnen naar gebruikers en (als de MDM-oplossing dit ondersteunt) gebruikersgroepen worden verstuurd om gebruikersinstellingen op de desbetreffende gebruikers toe te passen. Mac-computers kunnen meerdere gebruikers hebben, dus payloads en instellingen voor macOS-profielen kunnen op het apparaat of op de gebruiker zijn gebaseerd. De gebruikersaccount die is aangemaakt tijdens het gebruik van de configuratie-assistent wordt als beheerd beschouwd door de MDM-oplossing en kan profielen ontvangen. In macOS 11 of nieuwer kan een beheerdersaccount die tijdens de inschrijving door een MDM-oplossing is aangemaakt, al dan niet als beheerde account worden gebruikt. In implementaties die aan Active Directory zijn gekoppeld, kan de ingelogde netwerkgebruiker worden beheerd met een MDM-oplossing.
Apparaat- en gebruikersinstellingen verschillen afhankelijk van waar ze zich bevinden: Instellingen die op systeemniveau zijn geïnstalleerd, bevinden zich in een apparaatkanaal. Instellingen die voor een gebruiker zijn geïnstalleerd, bevinden zich in een gebruikerskanaal.
Zie het Apple Support-artikel Over de isolatiemodus voor meer informatie over het installeren van profielen en de isolatiemodus.
Profielen verwijderen
De manier waarop je profielen verwijdert, is afhankelijk van de manier waarop ze zijn geïnstalleerd. Hieronder wordt uitgelegd hoe je een profiel kunt verwijderen:
1. Alle profielen kunnen worden verwijderd door alle gegevens van het apparaat te wissen.
2. Als het apparaat via Apple School Manager, Apple Business Manager of Apple Business Essentials bij MDM is ingeschreven, kan de beheerder aangeven of het inschrijvingsprofiel door de gebruiker kan worden verwijderd of dat alleen de MDM-server zelf dit kan doen.
3. Als het profiel door een MDM-oplossing is geïnstalleerd, kan het door die specifieke MDM-oplossing worden verwijderd of door de gebruiker als die zich bij MDM uitschrijft door het configuratieprofiel voor inschrijving te verwijderen.
4. Als het profiel met Apple Configurator op een apparaat onder toezicht is geïnstalleerd, kan het profiel door dat exemplaar van Apple Configurator worden verwijderd.
5. Als het profiel handmatig of met Apple Configurator op een apparaat onder toezicht is geïnstalleerd en als het profiel een payload met een wachtwoord voor verwijdering heeft, moet de gebruiker dat wachtwoord invoeren om het profiel te kunnen verwijderen.
6. Alle andere profielen kunnen door de gebruiker worden verwijderd.
Een account die met een configuratieprofiel is geïnstalleerd, kan worden verwijderd door het profiel te verwijderen. Een Microsoft Exchange ActiveSync-account, al dan niet geïnstalleerd met een configuratieprofiel, kan door Microsoft Exchange Server worden verwijderd met het commando voor wissen op afstand voor accounts.
Belangrijk: Gebruikers van iPhones en iPads die niet onder toezicht staan, kunnen handmatig geïnstalleerde configuratieprofielen verwijderen als ze de toegangscode van het apparaat weten. Dit kan zelfs als de optie is ingesteld op 'Nooit'. Mac-gebruikers kunnen dit alleen doen als ze de gebruikersnaam en het wachtwoord van een beheerder weten. Ze kunnen dit doen met de commandoregeltool profiles, via Systeeminstellingen (in macOS 13 of nieuwer) of via Systeemvoorkeuren (in macOS 12.0.1 of ouder). Net als in iOS en iPadOS moeten in macOS 10.15 of nieuwer profielen die zijn geïnstalleerd via MDM ook worden verwijderd met MDM. Ze worden automatisch verwijderd bij uitschrijving uit MDM.
Vereisten voor MDM-communicatie
MDM-communicatie van derden met Apple apparaten heeft de grootste kans van slagen wanneer:
De MDM-oplossing is geconfigureerd, alle tests goed heeft doorlopen en goed werkt
Het APNs-certificaat geldig en niet verlopen is
Het apparaat is ingeschakeld
Het apparaat is ingeschreven bij de MDM-oplossing
Het netwerk waarmee het apparaat verbonden is toegang heeft tot het internet (voor APNs-communicatie)
Het netwerk waarmee het apparaat verbonden is toegang kan krijgen tot MDM-hosts van Apple
Zie het Apple Support-artikel Apple producten op bedrijfsnetwerken gebruiken voor meer informatie.
Opmerking: Apple heeft geen controle over MDM-oplossingen van derden. Andere problemen, zoals een onjuist geconfigureerde MDM-payload, kunnen er ook toe leiden dat MDM-communicatie mislukt.
Ondersteunde Apple apparaten
De volgende Apple apparaten hebben een ingebouwd framework dat MDM ondersteunt:
iPhone met iOS 4 of nieuwer
iPad met iOS 4.3 of nieuwer of iPadOS 13.1 of nieuwer
Mac-computers met OS X 10.7 of nieuwer
Apple TV met tvOS 9 of nieuwer
Apple Watch met watchOS 10 of nieuwer
Apple Vision Pro met visionOS 1.1 of nieuwer
Opmerking: Niet alle opties zijn in alle MDM-oplossingen beschikbaar. Als je wilt weten welke MDM-opties voor jouw apparaten beschikbaar zijn, raadpleeg je de documentatie van je MDM-leverancier.