Inleiding tot profielen voor apparaatbeheer
Met een voorziening voor apparaatbeheer kan een beheerder apparaten veilig en op afstand configureren door er configuraties, profielen en commando's naartoe te sturen, ongeacht of een apparaat eigendom is van de gebruiker of van de organisatie. De voorziening bevat functies voor het bijwerken van software- en apparaatinstellingen, het controleren op de naleving van het organisatiebeleid en het op afstand wissen of vergrendelen van apparaten. Gebruikers kunnen hun eigen apparaten inschrijven bij een voorziening voor apparaatbeheer en organisaties kunnen apparaten die hun eigendom zijn automatisch inschrijven via Apple School Manager of Apple Business Manager.
Er zijn enkele concepten die bij het gebruik van een voorziening voor apparaatbeheer van belang zijn. Lees daarom de volgende gedeelten over de manier waarop een voorziening voor apparaatbeheer inschrijvings- en configuratieprofielen, toezicht en payloads toepast.
Ondersteunde Apple apparaten
De volgende Apple apparaten hebben een ingebouwd framework dat apparaatbeheer ondersteunt:
iPhone met iOS 4 of nieuwer
iPad met iOS 4.3 of nieuwer of iPadOS 13.1 of nieuwer
Mac-computers met OS X 10.7 of nieuwer
Apple TV met tvOS 9 of nieuwer
Apple Watch met watchOS 10 of nieuwer
Apple Vision Pro met visionOS 1.1 of nieuwer
Apparaten inschrijven
Inschrijving bij een voorziening voor apparaatbeheer omvat het inschrijven van certificaatidentiteiten van clients met behulp van protocollen zoals Automated Certificate Management Environment (ACME) of Simple Certificate Enrollment Protocol (SCEP). Apparaten gebruiken deze protocollen om unieke identiteitscertificaten aan te maken waarmee de voorzieningen van een organisatie kunnen worden geauthenticeerd.
Tenzij de inschrijving automatisch verloopt, beslissen de gebruikers of hun apparaat wordt ingeschreven. Ze kunnen de koppeling met de voorziening op elk moment verbreken. Het is voor organisaties dan ook raadzaam om gebruikers aan te moedigen om apparaatbeheer niet uit te schakelen. Je kunt bijvoorbeeld voor toegang tot het wifinetwerk inschrijving verplicht stellen door de inloggegevens daarvoor automatisch via de voorziening voor apparaatbeheer te verstrekken. Als een gebruiker zich uitschrijft bij de voorziening, probeert het apparaat aan de voorziening voor apparaatbeheer te melden dat het niet langer kan worden beheerd.
Als de apparaten het eigendom zijn van je organisatie, kun je Apple School Manager of Apple Business Manager gebruiken om de apparaten tijdens de eerste configuratie automatisch bij een voorziening voor apparaatbeheer in te schrijven en ze onder draadloos toezicht te plaatsen. Dit inschrijvingsproces wordt automatische apparaatinschrijving genoemd.
Apparaatbeheer en bescherming voor gestolen apparaten
Wanneer 'Bescherming voor gestolen apparaat' is ingeschakeld en de gebruiker zich op een onbekende locatie bevindt, vertraagt het besturingssysteem de volgende acties met een uur:
Een apparaat handmatig inschrijven bij een voorziening voor apparaatbeheer
Een toegangscodeprofiel of -configuratie handmatig installeren
Een Microsoft Exchange-account configureren in Instellingen of via een profiel of configuratie
Inschrijvingsprofielen
Een inschrijvingsprofiel is een van de twee belangrijkste manieren waarop gebruikers een apparaat kunnen inschrijven bij een voorziening voor apparaatbeheer (de andere manier is via gebruikersinschrijving of accountgebonden apparaatinschrijving). Met dit profiel, dat een payload bevat, kan de voorziening commando's en (indien nodig) ook aanvullende configuratieprofielen naar het apparaat versturen. Ook kan de voorziening op deze manier gegevens opvragen bij het apparaat, zoals de status van het activeringsslot, het batterijniveau en de naam.
Wanneer een gebruiker een inschrijvingsprofiel verwijdert, worden alle configuratieprofielen en de bijbehorende instellingen eveneens verwijderd, net als de beheerde apps die op dat inschrijvingsprofiel zijn gebaseerd. Er kan altijd maar één inschrijvingsprofiel zijn geïnstalleerd op een apparaat.
Zodra het inschrijvingsprofiel is goedgekeurd (door het apparaat of door de gebruiker), worden configuratieprofielen met payloads op het apparaat geïnstalleerd. Vervolgens kun je apps en boeken die via Apple School Manager of Apple Business Manager zijn gekocht, draadloos distribueren, beheren en configureren. Apps kunnen door de gebruikers worden geïnstalleerd of automatisch worden geïnstalleerd. In het laatste geval hangt het ervan af om wat voor type app het gaat, hoe de app wordt toegewezen en of het een apparaat onder toezicht betreft. Zie Toezicht van Apple apparaten voor meer informatie.
Configuratieprofielen
Een configuratieprofiel is een XML-bestand (met de extensie .mobileconfig) dat payloads bevat waarmee instellingen en autorisatiegegevens op Apple apparaten kunnen worden geladen. Met behulp van configuratieprofielen kun je de configuratie van instellingen, accounts, beperkingen en identiteitsgegevens automatiseren. Deze bestanden kunnen door een voorziening voor apparaatbeheer worden aangemaakt of je kunt ze handmatig of met Apple Configurator voor de Mac aanmaken. Voor meer informatie over hoe je Apple Configurator voor de Mac gebruikt om configuratieprofielen voor iPhones, iPads en Apple TV's aan te maken en te installeren, raadpleeg je Configuratieprofielen aanmaken en wijzigen in de gebruikershandleiding van Apple Configurator voor de Mac.
Aangezien je configuratieprofielen kunt versleutelen en ondertekenen, kun je het gebruik ervan beperken tot een bepaald Apple apparaat en voorkomen dat iemand de instellingen wijzigt (met uitzondering van gebruikersnamen en wachtwoorden). Bovendien kun je een configuratieprofiel markeren als behorend bij het apparaat.
Als dit in je voorziening voor apparaatbeheer wordt ondersteund, kun je configuratieprofielen distribueren als e‑mailbijlage, via een link op je eigen webpagina of via het ingebouwde gebruikersportaal van de voorziening. Wanneer gebruikers de e‑mailbijlage openen of het configuratieprofiel met een webbrowser downloaden, wordt hun gevraagd de installatie van het configuratieprofiel te starten.
Je kunt een configuratieprofiel versturen waarmee instellingen voor het hele apparaat of voor één gebruiker kunnen worden gewijzigd:
Apparaatprofielen: Je kunt apparaatprofielen naar apparaten en apparaatgroepen versturen om apparaatinstellingen op het hele apparaat toe te passen.
De iPhone, iPad, Apple TV, Apple Watch en Apple Vision Pro hebben geen ingebouwde mogelijkheden om meerdere gebruikers te herkennen. Configuratieprofielen die zijn gemaakt voor ondersteunde Apple apparaten zijn dan ook altijd apparaatprofielen. Hoewel iPadOS-profielen apparaatprofielen zijn, kunnen iPads die als een gedeelde iPad zijn geconfigureerd, profielen ondersteunen die op het apparaat of op de gebruiker zijn gebaseerd.
Gebruikersprofielen: Je kunt gebruikersprofielen naar gebruikers en (als de voorziening voor apparaatbeheer dit ondersteunt) gebruikersgroepen versturen om gebruikersinstellingen op de desbetreffende gebruikers toe te passen. Mac-computers kunnen meerdere gebruikers hebben, dus payloads en instellingen voor macOS-profielen kunnen op het apparaat of op de gebruiker zijn gebaseerd. De gebruikersaccount die is aangemaakt tijdens het gebruik van de configuratie-assistent wordt als beheerd beschouwd door de voorziening voor apparaatbeheer en kan profielen ontvangen. Op Macs met macOS 11 of nieuwer kan een beheerdersaccount die tijdens de inschrijving door een voorziening voor apparaatbeheer is aangemaakt, eventueel als beheerde account worden gebruikt. In implementaties die aan Active Directory zijn gekoppeld, wordt de ingelogde netwerkgebruiker een beheerde gebruiker.
Apparaat- en gebruikersinstellingen verschillen afhankelijk van waar ze zich bevinden: Instellingen die op systeemniveau zijn geïnstalleerd, bevinden zich in een apparaatkanaal. Instellingen die voor een gebruiker zijn geïnstalleerd, bevinden zich in een gebruikerskanaal.
Zie het Apple Support-artikel Over de isolatiemodus voor meer informatie over het installeren van profielen en de isolatiemodus.
Profielen verwijderen
De manier waarop je profielen verwijdert, is afhankelijk van de manier waarop ze zijn geïnstalleerd. Hieronder wordt uitgelegd hoe je een profiel kunt verwijderen:
1. Je kunt alle profielen verwijderen door alle gegevens van het apparaat te wissen.
2. Als het apparaat is ingeschreven bij een voorziening voor apparaatbeheer die is gekoppeld aan Apple School Manager of Apple Business Manager, kan de beheerder aangeven of de gebruiker het inschrijvingsprofiel kan verwijderen of dat alleen de voorziening voor apparaatbeheer dit kan doen.
3. Als het profiel door een voorziening voor apparaatbeheer is geïnstalleerd, kan het door die voorziening worden verwijderd of door de gebruiker als die zich bij de voorziening uitschrijft (door het configuratieprofiel voor inschrijving te verwijderen).
4. Als het profiel met Apple Configurator op een apparaat onder toezicht is geïnstalleerd, kan het profiel door dat exemplaar van Apple Configurator worden verwijderd.
5. Als het profiel met Apple Configurator of handmatig op een apparaat onder toezicht is geïnstalleerd en als het profiel een payload met een wachtwoord voor verwijdering heeft, moet de gebruiker dat wachtwoord invoeren om het profiel te kunnen verwijderen.
6. De gebruiker kan alle andere profielen zelf verwijderen.
Een account die met een configuratieprofiel is geïnstalleerd, kan worden verwijderd door het profiel te verwijderen. Een Microsoft Exchange ActiveSync-account, al dan niet geïnstalleerd met een configuratieprofiel, kan door Microsoft Exchange Server worden verwijderd met het commando voor wissen op afstand voor accounts.
Belangrijk: Gebruikers van iPhones en iPads die niet onder toezicht staan, kunnen handmatig geïnstalleerde configuratieprofielen verwijderen als ze de toegangscode van het apparaat weten. Dit kan zelfs als de optie is ingesteld op 'Nooit'. Mac-gebruikers kunnen dit alleen doen als ze de gebruikersnaam en het wachtwoord van een beheerder weten. Ze kunnen dit doen met de commandoregeltool profiles, via Systeeminstellingen (in macOS 13 of nieuwer) of via Systeemvoorkeuren (in macOS 12.0.1 of ouder). Net als in iOS en iPadOS kunnen op Macs met macOS 10.15 of nieuwer profielen die via een voorziening voor apparaatbeheer zijn geïnstalleerd, ook met die voorziening worden verwijderd. Bij uitschrijving uit de voorziening worden de profielen automatisch door het besturingssysteem verwijderd.
Communicatievereisten voor een voorziening voor apparaatbeheer
De communicatie van een voorziening voor apparaatbeheer met Apple apparaten heeft de grootste kans van slagen wanneer:
Het apparaat met de voorziening voor apparaatbeheer is geconfigureerd, alle tests goed zijn doorlopen en zeker is dat het apparaat goed werkt
Het APNs-certificaat geldig en niet verlopen is
Het apparaat is ingeschakeld
Het apparaat is ingeschreven bij de voorziening
Het netwerk waarmee het apparaat verbonden is toegang heeft tot het internet (voor APNs-communicatie)
Het netwerk waarmee het apparaat verbonden is toegang kan krijgen tot voorzieningenhosts van Apple
Zie het Apple Support-artikel Apple producten op bedrijfsnetwerken gebruiken voor meer informatie.
Opmerking: Apple heeft geen controle over voorzieningen voor apparaatbeheer van derden. Andere problemen, zoals een onjuist geconfigureerde payload, kunnen er ook toe leiden dat de communicatie mislukt.