Back‑ups van beheerde apparaten maken en terugzetten
Het migreren van gebruikers en hun gegevens naar een nieuwe iPhone, iPad of Apple Vision Pro is een veelvoorkomende workflow in veel organisaties. Voor de migratie wordt vaak een MDM-oplossing (Mobile Device Management) gebruikt die mogelijk ook aan Apple School Manager, Apple Business Manager of Apple Business Essentials gekoppeld is. Je kunt deze workflow gebruiken voor apparaten die het eigendom zijn van de organisatie of van de gebruiker.
Afhankelijk van het implementatiemodel kun je op drie verschillende manieren back‑ups van apparaten maken en terugzetten. Gebruikers kunnen hierbij hun persoonlijke Apple Account of de beheerde Apple Account van de organisatie gebruiken. In het geval van gebruikersinschrijving en apparaatinschrijving op basis van accounts kunnen ze mogelijk beide gebruiken. Zie Gebruikersinschrijving en MDM voor meer informatie. Zie Apparaten opnieuw inschrijven bij MDM als je naar een andere MDM-oplossing migreert.
Opmerking: Om back‑ups van apparaten die het eigendom zijn van een organisatie optimaal te beveiligen, wordt het gebruik van een Mac aanbevolen.
Wat wordt in een iPhone- of iPad-back‑up opgeslagen?
Back‑ups bevatten informatie zoals de indeling van het beginscherm, gegevens van apps, apparaatinstellingen en foto's en video's (als iCloud-foto's niet wordt gebruikt). Back‑ups bevatten geen apps en media die door gebruikers vanaf hun computer zijn gesynchroniseerd of in iCloud zijn opgeslagen. Back‑ups kunnen versleuteld en onversleuteld zijn.
Als een back‑up onversleuteld is, bevat deze nooit de volgende informatie:
Bewaarde wachtwoorden
Belgeschiedenis
Gezondheidsgegevens
Browsergeschiedenis
Wifi-instellingen
Hoe worden back‑ups van iPhones en iPads gemaakt?
Je kunt op de volgende manieren back‑ups maken:
Back‑up in iCloud: Vereist een persoonlijke Apple Account of beheerde Apple Account en is standaard versleuteld. 'Back‑up in iCloud' werkt alleen wanneer het apparaat is vergrendeld, is aangesloten op een voedingsbron en via wifi toegang tot het internet heeft.
Finder: Vereist geen persoonlijke Apple Account of beheerde Apple Account en is standaard onversleuteld.
Apple Configurator voor de Mac: Vereist geen persoonlijke Apple Account of beheerde Apple Account en is standaard onversleuteld.
Back‑ups maken met Apple Configurator voor de Mac
Je kunt handmatig een apparaat op de gewenste manier configureren, een back‑up van het apparaat maken met Apple Configurator voor de Mac en de back‑up vervolgens terugzetten op andere apparaten.
Belangrijk: Back‑ups die zijn gemaakt terwijl een gebruiker is ingelogd met een persoonlijke Apple Account of een beheerde Apple Account kunnen persoonlijke gegevens bevatten, zoals gegevens uit apps, account- en wachtwoordgegevens en de browsergeschiedenis. Voordat je een back‑up maakt van een apparaat, moet je controleren of er gegevens op dat apparaat staan die je niet wilt terugzetten op andere apparaten.
Back‑ups maken met MDM
Back‑ups kunnen verschillende informatie bevatten, afhankelijk van de manier waarop ze zijn ingeschreven bij MDM: gebruikersinschrijving, apparaatinschrijving of automatische apparaatinschrijving.
Ongeacht het inschrijvingstype bevatten iPhones en iPads nu minimaal één configuratieprofiel, dat een of meer payloads kan bevatten. Deze payloads bevatten vaak meerdere configuraties, zoals de authenticatiegegevens voor verbinding met specifieke wifinetwerken of VPN-netwerken en voor het toepassen van bepaalde beperkingen (om te beperken wat gebruikers met hun apparaat kunnen doen). Met bepaalde payloads kunnen ook de volgende onderdelen aan de apparaten van gebruikers worden toegevoegd:
Certificaten
Lettertypen
Webfragmenten
Een back‑up bevat configuratieprofielen en de bijbehorende gegevens. Bij het maken van back‑ups met de Finder of Apple Configurator voor de Mac kan de MDM-oplossing vereisen dat de back‑up wordt versleuteld.
Beheerconfiguratie in back‑ups
Als een back‑up wordt gemaakt van een apparaat, wordt de beheerconfiguratie opgenomen in de back‑up. In deze configuratie wordt onder andere beschreven of een apparaat onder toezicht staat of een gedeelde iPad is. Bij gebruik van apparaatinschrijving op basis van profielen of automatische apparaatinschrijving wordt het MDM-inschrijvingsprofiel alleen toegevoegd wanneer de back‑ups zijn versleuteld.
Beperkingen voor back‑ups
iOS en iPadOS ondersteunen verschillende beperkingen waarmee je kunt beheren hoe back‑ups worden opgeslagen en welke gegevens ze bevatten:
Back‑up in iCloud: Hiermee schakel je 'Back‑up in iCloud' uit op apparaten onder toezicht.
Forceer versleutelde back‑ups: Als deze sleutel is ingesteld op waar, wordt encryptie toegepast op back‑ups die met de Finder of Apple Configurator worden gemaakt.
Back‑ups maken van interne boeken van de organisatie: Boeken die door de organisatie zijn gedistribueerd, worden niet in de back‑up opgenomen.
Back‑ups van apps voorkomen: Beheerde apps worden niet in de back‑up opgenomen.
Beheerde apps
Apps die met een MDM-oplossing zijn geïnstalleerd, worden beheerde apps genoemd en kunnen aan een apparaat, een persoonlijke Apple Account of een beheerde Apple Account worden toegewezen. Wanneer een beheerde app wordt geïnstalleerd, kun je voor apparaatinschrijving op basis van profielen en automatische apparaatinschrijving via de MDM-oplossing opgeven of de app op het apparaat moet blijven staan als de MDM-inschrijving wordt verwijderd. Als de app wordt verwijderd, worden de gegevens ervan ook verwijderd. Beheerde apps die zijn geïnstalleerd op apparaten die gebruikmaken van apparaatinschrijving op basis van accounts en gebruikersinschrijving worden altijd verwijderd tijdens uitschrijving.
Je kunt via de MDM-oplossing ook opgeven of de gebruiker back‑ups kan maken van de gegevens van een beheerde app. De app zelf maakt geen deel uit van de back‑up en moet opnieuw worden geïnstalleerd nadat de back‑up is teruggezet. Zie Beheerde apps distribueren voor meer informatie over beheerde apps.
Beheerde boeken
Je kunt EPUB-boeken en pdf's die je hebt aangemaakt distribueren via een MDM-oplossing. Als je dit doet, kun je via de MDM-oplossing opgeven dat die beheerde boeken niet in de back‑up mogen worden opgenomen.
Back‑ups voor gebruikersinschrijving en apparaatinschrijving op basis van accounts
Voor gebruikersinschrijving en apparaatinschrijving op basis van accounts is een beheerde Apple Account vereist. In dit implementatiemodel kunnen gebruikers ook zijn ingelogd met hun persoonlijke Apple Account. Back‑ups die met een persoonlijke Apple Account zijn gemaakt, werken als hierboven beschreven. Een back‑up die met een beheerde Apple Account is gemaakt, bevat alleen gegevens van beheerde apps en kan niet worden gebruikt om een apparaat volledig te herstellen.
Back‑ups terugzetten met apparaatinschrijving op basis van profielen en automatische apparaatinschrijving
Back‑ups kunnen op hetzelfde apparaat of op een ander apparaat worden teruggezet. Wat precies wordt teruggezet, is afhankelijk van het beheerniveau van de MDM-oplossing. Nadat de back‑up is teruggezet op het apparaat, moet de gebruiker altijd een nieuwe toegangscode of een nieuw wachtwoord aanmaken, ongeacht of een back‑up versleuteld of onversleuteld is. Indien gewenst kan de gebruiker ook de stappen doorlopen voor het aanmaken van een nieuwe biometrische authenticatie (Face ID of Touch ID).
Een back‑up terugzetten op hetzelfde apparaat
Als een back‑up wordt teruggezet die van hetzelfde apparaat afkomstig is, worden de beheerconfiguratie en het inschrijvingsprofiel voor MDM uit de back‑up teruggezet. De volgende keer dat het apparaat verbinding maakt met het internet, wordt met behulp van deze informatie contact opgenomen met de MDM-oplossing, die vervolgens bepaalt of de verbinding van het herstelde apparaat moet worden geaccepteerd.
Belangrijk: Als de verbinding van het herstelde apparaat niet door de MDM-oplossing wordt geaccepteerd, worden de volgende onderdelen verwijderd: het MDM-inschrijvingsprofiel, de bijbehorende configuraties, en apps die zijn aangemerkt voor verwijdering bij uitschrijving.
Profielen met een aan hardware gekoppelde sleutel die zijn geïmplementeerd via het ACME-protocol (Automated Certificate Management Environment) kunnen niet worden hersteld. Als de MDM-oplossing een dergelijke identiteit gebruikt om een apparaat te authenticeren, kan de inschrijving niet worden hersteld en wordt deze verwijderd. Als een apparaat is geregistreerd in Apple School Manager of Apple Business Manager, wordt in plaats daarvan automatisch inschrijving via automatische apparaatinschrijving gestart.
Als de back‑up gegevens van beheerde apps of bedrijfsboeken bevat, worden deze gegevens ook teruggezet. Als de back‑up de gegevens van een beheerde app bevat, maar die beheerde app niet op het apparaat staat, wordt een plaatsaanduiding voor de app weergegeven. Er worden geen plaatsaanduidingen weergegeven wanneer je back‑ups op apparaten terugzet met Apple Configurator.
Opmerking: Om de back‑up op hetzelfde apparaat terug te zetten met Apple Business Essentials via automatische apparaatinschrijving met een werknemersabonnement, moet de gebruiker het apparaat opnieuw inschrijven met een beheerde Apple Account.
Een back‑up terugzetten op een ander apparaat
Als een back‑up wordt teruggezet die van een ander apparaat afkomstig is, worden de beheerconfiguratie en de MDM-inschrijving automatisch verwijderd tijdens het terugzetten van de back‑up. Als het serienummer van het apparaat voorkomt in Apple School Manager of Apple Business Manager, informeert Apple School Manager of Apple Business Manager of er een beheerconfiguratie voor het apparaat is gedefinieerd. Als dit het geval is, wordt de beheerconfiguratie gedownload en toegepast.
Als de back‑up gegevens van beheerde apps bevat, worden deze gegevens ook teruggezet, behalve wanneer via de MDM-oplossing is opgegeven dat de app bij uitschrijving moet worden verwijderd. Als de back‑up bedrijfsboeken bevat, worden deze teruggezet.
Een back‑up terugzetten met gebruikersinschrijving en apparaatinschrijving op basis van accounts
Als een back‑up is gemaakt met dezelfde beheerde Apple Account waarmee ook de inschrijving is gestart, wordt een hersteloptie weergegeven tijdens het inschrijvingsproces. Als de back‑up gegevens van beheerde apps bevat, worden deze gegevens teruggezet, behalve wanneer de app al op het apparaat is geïnstalleerd. In dat geval ontvangt de gebruiker een melding over de appgegevens die tijdens het terugzetten worden overgeslagen.