Overzicht van MDM voor Apple apparaten
Deze handleiding is bedoeld voor IT- en MDM-beheerders. Je vindt hier alle informatie over de instellingen voor mobielapparaatbeheer (MDM, Mobile Device Management) zoals deze door Apple zijn gedefinieerd. Als je een Apple ontwikkelaar bent, kun je ook Device Management op de Apple Developer-website raadplegen.
Wat is mobielapparaatbeheer (MDM)?
Met behulp van mobielapparaatbeheer (MDM) kun je de apparaten van de gebruiker of van je organisatie veilig en draadloos configureren. MDM omvat het bijwerken van software- en apparaatinstellingen, het controleren op de naleving van het organisatiebeleid en het op afstand wissen of vergrendelen van de apparaten. Gebruikers kunnen hun eigen apparaten inschrijven bij de MDM-oplossing. Apparaten die eigendom van de organisatie zijn, kunnen automatisch bij de MDM-oplossing worden ingeschreven via Apple School Manager of Apple Business Manager.
Wat is een inschrijvingsprofiel?
Een inschrijvingsprofiel is een configuratieprofiel met een MDM-payload waarmee een apparaat kan worden ingeschreven bij de MDM-oplossing die voor dat apparaat is opgegeven. De MDM-oplossing kan vervolgens commando's en configuratieprofielen naar het apparaat versturen en bepaalde aspecten van het apparaat opvragen. Wanneer een gebruiker een inschrijvingsprofiel verwijdert, worden alle configuratieprofielen en de bijbehorende instellingen eveneens verwijderd, net als de beheerde apps die op dat inschrijvingsprofiel zijn gebaseerd. Er kan altijd maar één inschrijvingsprofiel zijn geïnstalleerd op een apparaat.
Hoe werkt MDM?
Zodra het inschrijvingsprofiel is goedgekeurd, door het apparaat of door de gebruiker, worden configuratieprofielen met payloads op het apparaat geïnstalleerd. Vervolgens kun je apps en boeken die via Apple School Manager of Apple Business Manager zijn gekocht, draadloos distribueren, beheren en configureren. Apps kunnen door de gebruikers worden geïnstalleerd of automatisch worden geïnstalleerd. In het laatste geval hangt het ervan af om wat voor type app het gaat, hoe de app wordt toegewezen en of het een apparaat onder toezicht betreft.
Er zijn enkele concepten die bij het gebruik van MDM van belang zijn. Lees daarom hieronder hoe MDM inschrijvings- en configuratieprofielen, toezicht en payloads gebruikt.
Wat zijn configuratieprofielen?
Een configuratieprofiel is een XML-bestand (met de extensie .mobileconfig) met payloads waarmee instellingen en identiteitscontrolegegevens op Apple apparaten kunnen worden geladen. Met behulp van configuratieprofielen kun je de configuratie van instellingen, accounts, beperkingen en identiteitsgegevens automatiseren. Deze bestanden kunnen worden aangemaakt door een MDM-oplossing of Apple Configurator 2. Een andere optie is om ze handmatig aan te maken.
Aangezien configuratieprofielen kunnen worden gecodeerd en ondertekend, kun je het gebruik ervan beperken tot een bepaald Apple apparaat en voorkomen dat iemand de instellingen wijzigt (met uitzondering van gebruikersnamen en wachtwoorden). Bovendien kun je een configuratieprofiel markeren als behorend bij het apparaat.
Als dit in je MDM-oplossing wordt ondersteund, kun je configuratieprofielen distribueren als e-mailbijlage, via een koppeling op je eigen webpagina of via het ingebouwde gebruikersportaal van de MDM-oplossing. Wanneer gebruikers de e-mailbijlage openen of het configuratieprofiel met een webbrowser downloaden, wordt hun gevraagd de installatie van het configuratieprofiel te starten.
Opmerking: Met Apple Configurator 2 kun je apparaatconfiguratieprofielen automatisch of handmatig toevoegen aan iPhones, iPads en Apple TV's. Configuratieprofielen met instellingen die specifiek zijn voor macOS kun je toevoegen met een MDM-oplossing van een andere fabrikant of met Profielbeheer, dat deel uitmaakt van macOS Server.
Op welke kanalen kunnen configuratieprofielen worden toegepast?
Configuratieprofielen kunnen op twee manieren worden toegepast:
Profielen die kunnen worden verzonden naar apparaten en apparaatgroepen
iPhone, iPad en Apple TV hebben geen ingebouwde mogelijkheden om meerdere gebruikers te herkennen. Configuratieprofielen die zijn gemaakt van payloads en instellingen voor iOS, iPadOS en tvOS zijn dan ook altijd apparaatprofielen. Hoewel iPadOS-profielen apparaatprofielen zijn, kunnen iPads in het onderwijs die voor Gedeelde iPad zijn geconfigureerd, profielen ondersteunen die op het apparaat of op de gebruiker zijn gebaseerd.
Profielen die kunnen worden verzonden naar gebruikers en gebruikersgroepen
Mac-computers kunnen meerdere gebruikers hebben, dus payloads en instellingen voor macOS-profielen kunnen op het apparaat of op de gebruiker zijn gebaseerd.
Wat is toezicht?
Apparaten onder toezicht zijn meestal eigendom van de organisatie, die daarmee extra controle heeft over de apparaatconfiguratie en -beperkingen.
iPhones en iPads met iOS 5 of hoger en Apple TV's met tvOS 10.2 of hoger staan in de volgende gevallen onder toezicht:
Als Apple Configurator 2 wordt gebruikt om het apparaat onder toezicht te plaatsen
Tijdens dit proces wordt het apparaat gewist en gaan alle gegevens verloren.
Het inschrijven van het apparaat bij een MDM-oplossing en het selecteren van toezicht als onderdeel van het inschrijvingsproces
Mac-computers kunnen onder toezicht worden geplaatst als ze aan deze voorwaarden voldoen:
Ze gebruiken macOS 11 en zijn via apparaatinschrijving ingeschreven bij MDM
Ze zijn bijgewerkt naar macOS 11 en de inschrijving bij MDM was een door de gebruiker goedgekeurde inschrijving bij MDM
Ze gebruiken macOS 10.14.4 of hoger en:
De serienummers van de Macs worden vermeld in Apple School Manager of Apple Business Manager
Je bent ingeschreven bij een MDM-oplossing via Apple School Manager of Apple Business Manager
De volgende apparaten worden automatisch onder toezicht geplaatst als ze worden ingeschreven bij Apple School Manager of Apple Business Manager:
iPhone en iPod touch met iOS 13 of hoger
iPad met iPadOS 13.1 of hoger
Apple TV met tvOS 13 of hoger
Mac-computers met macOS 10.14.4 of hoger
Zie Automatische apparaatinschrijving in Inschrijvingstypen voor informatie over het automatisch onder toezicht plaatsen van apparaten.
Voor Mac-computers die bij een toegewezen MDM-oplossing zijn ingeschreven en waarvan het serienummer wordt weergegeven in Apple School Manager of Apple Business Manager, kan het toezicht via de commandoregeltool profiles opnieuw worden ingesteld met dit commando: profiles renew -type enrollment of profiles -N. Als de Mac niet is verbonden met het internet tijdens de eerste configuratie, ontvangt de gebruiker om de 2 uur een melding dat er instellingen voor apparaatinschrijving voor de Mac beschikbaar zijn. De gebruiker kan vervolgens op de melding klikken om te beginnen met het inschrijvingsproces bij MDM. Voor inschrijving bij MDM zijn de gebruikersnaam en het wachtwoord van een beheerder vereist.
Belangrijk: Op iPhones en iPads die niet onder toezicht staan, kunnen handmatig geïnstalleerde configuratieprofielen worden verwijderd als de gebruiker de toegangscode weet. Dit kan zelfs als de optie is ingesteld op 'Nooit'. Handmatig geïnstalleerde configuratieprofielen voor Mac-computers kunnen worden verwijderd met de commandoregeltool profiles of via Systeemvoorkeuren als de gebruiker de naam en het wachtwoord van een beheerder weet. Net als op iOS en iPadOS moeten vanaf macOS 10.15 profielen die zijn geïnstalleerd via MDM ook worden verwijderd met MDM, anders worden ze automatisch verwijderd bij uitschrijving uit MDM.
Wat is een payload?
Met een payload kunnen specifieke instellingen op Apple apparaten worden beheerd. Zo kun je verschillende payloads configureren om bijvoorbeeld een complexe toegangscode te verlangen, om alle Exchange-servergegevens in een Exchange-account in te stellen en om een apparaat van een VPN-configuratie te voorzien. Hoewel elke payload zijn eigen unieke instellingen heeft, worden voor alle payloads de volgende kenmerken vastgelegd:
Een of meer besturingssystemen die de payload ondersteunt
Het kanaal dat de payload gebruikt
Of voor de payload een Apple apparaat onder toezicht nodig is
Of de payload exclusief is of met andere payloads van hetzelfde type kan worden gecombineerd
Of de payload duplicaten kan hebben
Nadat payloads zijn geconfigureerd, worden ze in een configuratieprofiel bewaard.
Raadpleeg de volledige lijst met payloads. Als je wilt weten welke MDM-payloads voor jouw apparaten worden ondersteund, raadpleeg je de documentatie van je MDM-leverancier.
Wat zijn beperkingen?
Beperkingen kunnen door beheerders worden ingeschakeld (of in sommige gevallen worden uitgeschakeld) om te voorkomen dat gebruikers toegang hebben tot een specifieke app, voorziening of functie op een iPhone, iPad, Mac of Apple TV die is ingeschreven bij een MDM-oplossing. Beperkingen worden naar apparaten gestuurd in een beperkingenpayload, die onderdeel is van een configuratieprofiel. Bepaalde beperkingen op een iPhone kunnen worden gespiegeld op een gekoppelde Apple Watch.
Configuratieprofielen en Gedeelde iPad
Als je Gedeelde iPad gebruikt, kun je:
Profielen voor apparaten en apparaatgroepen installeren met je MDM-oplossing
Profielen voor gebruikers en gebruikersgroepen installeren met je MDM-oplossing
Profielen verwijderen
De manier waarop je profielen verwijdert, is afhankelijk van de manier waarop ze zijn geïnstalleerd. Hieronder wordt uitgelegd hoe je een profiel kunt verwijderen:
1. Alle profielen kunnen worden verwijderd door alle gegevens van het apparaat te wissen.
2. Als het apparaat via Apple School Manager of Apple Business Manager bij MDM is ingeschreven, kan de beheerder aangeven of het inschrijvingsprofiel door de gebruiker kan worden verwijderd of dat alleen de MDM-server zelf dit kan doen.
3. Als het profiel door een MDM-oplossing is geïnstalleerd, kan het door die specifieke MDM-oplossing worden verwijderd of door de gebruiker als die zich bij MDM uitschrijft door het configuratieprofiel voor inschrijving te verwijderen.
4. Als het profiel met Apple Configurator 2 op een apparaat onder toezicht is geïnstalleerd, kan het profiel door die instance van Apple Configurator 2 worden verwijderd.
5. Als het profiel handmatig of met Apple Configurator 2 op een apparaat onder toezicht is geïnstalleerd en als het profiel een payload met een wachtwoord voor verwijdering heeft, moet de gebruiker dat wachtwoord invoeren om het profiel te kunnen verwijderen.
6. Alle andere profielen kunnen door de gebruiker worden verwijderd.
Een account die met een configuratieprofiel is geïnstalleerd, kan worden verwijderd door het profiel te verwijderen. Een Microsoft Exchange ActiveSync-account, al dan niet geïnstalleerd met een configuratieprofiel, kan door de Microsoft Exchange Server worden verwijderd met het commando voor wissen op afstand voor accounts.
Interactie van payloads met Open Directory
macOS-payloads kunnen in combinatie met Open Directory-instellingen anders werken:
Gebruikersprofielen die op beheerde apparaten zijn toegepast, hebben voorrang op de gebruikersinstellingen die in Open Directory worden bewaard.
Gebruikersinstellingen die in Open Directory worden bewaard, hebben voorrang op apparaatprofielen die op beheerde apparaten zijn toegepast.
Gebruikersprofielen die op beheerde apparaten zijn toegepast, hebben voorrang op de gebruikersinstellingen die in Open Directory worden bewaard.
Handmatig geïnstalleerde gebruikers- en apparaatprofielen hebben altijd een lagere prioriteit dan gebruikers- of apparaatinstellingen die in Open Directory worden bewaard of die op een beheerd apparaat zijn toegepast.
Ondersteunde Apple apparaten
De volgende Apple apparaten hebben een ingebouwd framework dat MDM ondersteunt:
iPhone en iPod touch met iOS 5 of hoger
iPad met iOS 5 of hoger of iPadOS 13.1 of hoger
Mac-computers met OS X 10.7 of hoger
Apple TV met tvOS 9 of hoger
In de rest van dit document wordt met de term iPhone zowel de iPhone als de iPod touch bedoeld.
Opmerking: Niet alle payloads en de bijbehorende instellingen zijn in alle MDM-oplossingen beschikbaar. Raadpleeg de documentatie van je MDM-leverancier om te zien welke payloads en instellingen ze ondersteunen.
Informatie over het voorbereiden van je organisatie op het implementeren van Apple apparaten vind je in de Implementatiehandleiding voor iPhone en iPad en de Implementatiehandleiding voor Mac.