Wprowadzenie do profili zarządzania urządzeniami
Usługa zarządzania urządzeniami umożliwia administratorom zdalne i bezpieczne konfigurowanie urządzeń za pośrednictwem wysyłanych do nich konfiguracji, profili i poleceń, niezależnie od tego, czy urządzenia te należą do użytkownika czy do organizacji. Możliwości usługi obejmują uaktualnianie oprogramowania oraz ustawień urządzeń, nadzorowanie zgodności z zasadami organizacyjnymi, a także zdalne wymazywanie oraz zdalne blokowanie urządzeń. Użytkownicy mogą zarejestrować w usłudze zarządzania urządzeniami własne urządzenia, natomiast urządzenia należące do organizacji mogą zostać zarejestrowane automatycznie przy użyciu usługi Apple School Manager lub Apple Business Manager.
Jeśli zamierzasz korzystać z usługi zarządzania urządzeniami, warto poznać kilka pojęć. Zapoznaj się z poniższymi sekcjami, aby dowiedzieć się, w jaki sposób usługa zarządzania urządzeniami używa profili rejestracji, profili konfiguracji, nadzoru oraz pakietów danych.
Obsługiwane urządzenia Apple
Oto urządzenia Apple zawierające wbudowany szablon roboczy obsługujący zarządzanie urządzeniami:
iPhone z iOS 4 lub nowszym
iPady z systemem iOS 4.3 lub nowszym, albo z systemem iPadOS 13.1 lub nowszym
Komputery Mac z systemem OS X 10.7 lub nowszym
Apple TV z systemem tvOS 9 lub nowszym
Apple Watch z systemem watchOS 10 lub nowszym
Apple Vision Pro z systemem visionOS 1.1 lub nowszym
Sposób rejestracji urządzeń
Rejestracja w usłudze zarządzania urządzeniami obejmuje zarejestrowanie tożsamości certyfikatów klienta przy użyciu różnych protokołów, takich jak Automated Certificate Management Environment (ACME) lub Simple Certificate Enrollment Protocol (SCEP). Przy użyciu tych protokołów urządzenia tworzą jednoznaczne certyfikaty tożsamości, wykorzystywane podczas uwierzytelniania usług organizacji.
Jeśli rejestracja nie jest zautomatyzowana, to użytkownicy decydują, czy chcą zarejestrować swoje urządzenia w usłudze zarządzania urządzeniami. Mogą je także wyrejestrować z tej usługi w dowolnej chwili. Z tego powodu należy rozważyć sposoby zachęcania użytkowników, aby pozostawiali swoje urządzenia w trybie zarządzania. Na przykład, możesz wymagać rejestracji w usłudze zarządzania urządzeniami w celu uzyskania dostępu do sieci Wi‑Fi, automatycznie podając przy użyciu usługi zarządzania urządzeniami dane uwierzytelniania wymagane przez sieć bezprzewodową. Gdy użytkownik opuszcza usługę zarządzania urządzeniami, urządzenie próbuje powiadomić tę usługę, że nie jest już urządzeniem zarządzanym.
W przypadku urządzeń należących do organizacji można użyć usługi Apple School Manager lub Apple Business Manager, aby automatycznie zarejestrować je w usłudze zarządzania urządzeniami podczas początkowej konfiguracji oraz skonfigurować bezprzewodowo jako urządzenia zarządzane. Proces ten to automatyczna rejestracja urządzeń (Automated Device Enrollment).
Zarządzanie urządzeniami a funkcja ochrony skradzionego urządzenia
Gdy włączona jest funkcja ochrony skradzionego urządzenia, a użytkownik znajduje się w nieznanym miejscu, system operacyjny wymaga godzinnego opóźnienia przed:
ręczną rejestracją urządzenia w usłudze zarządzania urządzeniami,
ręczną instalacją profilu lub konfiguracji kodu,
skonfigurowaniem konta Microsoft Exchange w Ustawieniach albo przy użyciu profilu lub konfiguracji.
Profile rejestracji
Profil rejestracji to jeden z dwóch głównych sposobów, w jakie użytkownicy mogą zarejestrować urządzenie osobiste w usłudze zarządzania urządzeniami (drugi sposób to mechanizm rejestracji przez użytkownika lub rejestracji urządzeń opartej o konto). Dzięki temu profilowi, który zawiera pakiet danych, usługa zarządzania urządzeniami wysyła do urządzenia polecenia i — w razie potrzeby — dodatkowe profile konfiguracji. Może również wysyłać zapytania do urządzenia o informacje, takie jak stan blokady aktywacji, poziom naładowania baterii i nazwa.
Gdy użytkownik usuwa profil rejestracji, usuwane są wszystkie profile konfiguracji, ich ustawienia oraz aplikacje zarządzane powiązane z tym profilem. Jednocześnie na urządzeniu może być tylko jeden profil rejestracji.
Gdy profil rejestracji zostanie zaakceptowany (przez urządzenie lub przez użytkownika), do urządzenia dostarczane są profile konfiguracji zawierające pakiety danych. Następnie można bezprzewodowo dystrybuować, zarządzać i konfigurować aplikacje i książki kupione za pomocą usługi Apple School Manager lub Apple Business Manager. Aplikacje mogą być instalowane przez użytkowników lub automatycznie — zależnie od rodzaju aplikacji, sposobu przypisania do urządzenia oraz tego, czy dane urządzenie jest urządzeniem nadzorowanym (supervised). Aby uzyskać więcej informacji, zobacz: Nadzór nad urządzeniami Apple.
Profile konfiguracyjne
Profil konfiguracji (configuration profile) to plik XML (z rozszerzeniem .mobileconfig) zawierający pakiety danych, dzięki którym do urządzeń Apple wczytywane są ustawienia oraz dane uwierzytelniania. Profile konfiguracji pozwalają automatyzować konfigurację ustawień, kont, ograniczeń i danych uwierzytelniających. Pliki te mogą być tworzone przez usługę zarządzania urządzeniami. Możesz je także tworzyć ręcznie lub przy użyciu aplikacji Apple Configurator na Maca. Aby uzyskać więcej informacji na temat używania aplikacji Apple Configurator na Maca do tworzenia i instalowania profili konfiguracji na iPhonie, iPadzie oraz Apple TV, zapoznaj się z rozdziałem Create and edit configuration profiles (Tworzenie i edytowanie profili konfiguracji) w Podręczniku użytkownika aplikacji Apple Configurator na Maca.
Profile konfiguracji mogą być zaszyfrowane i podpisane cyfrowo, co pozwala ograniczać ich użycie do określonych urządzeń Apple oraz uniemożliwia innym zmienianie ich ustawień (za wyjątkiem nazw użytkowników i haseł). Możesz także oznaczyć profil konfiguracji jako zablokowany na danym urządzeniu.
Jeśli Twoja usługa zarządzania urządzeniami obsługuje taką funkcję, możesz dystrybuować profile konfiguracji przy użyciu załączników w wiadomościach email, łączy we własnych witrynach sieciowych lub za pośrednictwem wbudowanego portalu oferowanego przez usługę zarządzania urządzeniami. Gdy użytkownicy otworzą załącznik pocztowy lub pobiorą profil konfiguracji przy użyciu przeglądarki Internetu, zobaczą prośbę o potwierdzenie rozpoczęcia instalowania profilu konfiguracji.
Możesz dostarczyć profil konfiguracji zmieniający ustawienia całego urządzenia lub pojedynczego użytkownika:
Profile urządzeń: Profile urządzeń mogą być wysyłane do urządzeń oraz grup urządzeń. Stosują one ustawienia dotyczące całego urządzenia.
iPhone, iPad, Apple TV, Apple Watch i Apple Vision Pro nie rozpoznają więcej niż jednego użytkownika, więc profile konfiguracji utworzone dla obsługiwanych urządzeń Apple są zawsze profilami urządzeń. Profile iPadOS są profilami urządzeń, ale iPady ze skonfigurowaną funkcją Wspólny iPad mogą obsługiwać zarówno profile dotyczące urządzenia, jak i profile dotyczące użytkownika.
Profile użytkowników: Profile użytkowników mogą być wysyłane do użytkowników oraz grup użytkowników (jeśli ta funkcja jest obsługiwana przez usługę zarządzania urządzeniami). Stosują one ustawienia dotyczące tylko wybranych użytkowników. Komputery Mac mogą obsługiwać wielu użytkowników, zatem pakiety danych oraz ustawienia profili dla systemu macOS mogą dotyczyć urządzenia lub użytkownika. Konto użytkownika tworzone przy użyciu Asystenta ustawień jest uznawane przez usługę zarządzania urządzeniami za zarządzane i może otrzymywać profile. Na Macu z systemem macOS 11 lub nowszym konto administratora tworzone przez usługę zarządzania urządzeniami podczas rejestracji urządzenia może opcjonalnie być zarządzane. W przypadku wdrożeń powiązanych z Active Directory konto aktualnie zalogowanego użytkownika sieciowego staje się kontem zarządzanym.
Ustawienia urządzenia i użytkownika różnią się w zależności od miejsca instalacji. Ustawienia instalowane na poziomie systemu znajdują się w kanale urządzenia. Ustawienia instalowane dla użytkownika znajdują się w kanale użytkownika.
Aby uzyskać więcej informacji na temat instalacji profilu i trybu blokady, zapoznaj się z artykułem Wsparcia Apple: Tryb blokady.
Usuwanie profilu
Sposób usuwania profili zależy od sposobu ich zainstalowania. Poniższa sekwencja opisuje, jak można usunąć profil:
1. Możesz usunąć wszystkie profile, wymazując wszystkie dane z urządzenia.
2. Jeśli urządzenie zostało zarejestrowane w usłudze zarządzania urządzeniami połączonej z usługą Apple School Manager lub Apple Business Manager, administrator może wybrać, czy profil rejestracji może zostać usunięty przez użytkownika, czy usunięcie tego profilu możliwe jest tylko przy użyciu usługi zarządzania urządzeniami.
3. Jeśli profil został zainstalowany przez usługę zarządzania urządzeniami, może zostać usunięty przez tę usługę, a także przez użytkownika na drodze wyrejestrowania urządzenia z usługi (usunięcie profilu konfiguracji).
4. Jeśli profil został zainstalowany przy użyciu aplikacji Apple Configurator, może zostać usunięty przy użyciu tej samej instancji aplikacji Apple Configurator, która go zainstalowała.
5. Jeśli profil został zainstalowany ręcznie lub przy użyciu aplikacji Apple Configurator na urządzeniu nadzorowanym i zawiera on pakiet danych Removal Password, w celu usunięcia profilu użytkownik musi wprowadzić hasło.
6. Wszystkie pozostałe profile mogą zostać usunięte przez użytkownika.
Konto zainstalowane przez profil konfiguracji może zostać usunięte przez usunięcie danego profilu. Konto ActiveSync Microsoft Exchange (włączając w to konto zainstalowane przy użyciu profilu konfiguracji) może zostać zdalnie usunięte przez serwer Microsoft Exchange po wysłaniu polecenia zdalnego wymazania dotyczącego samego konta.
Ważne: Jeśli użytkownicy znają kod urządzenia, mogą ręcznie usuwać profile konfiguracji z iPhone’ów oraz iPadów, które nie są nadzorowane, nawet jeśli ta opcja jest ustawiona na Nigdy. Na Macu użytkownicy mogą to zrobić tylko wtedy, gdy znają nazwę i hasło administratora. Można tego dokonać za pomocą narzędzia wiersza polecenia profiles, Ustawień systemowych (w systemie macOS 13 lub nowszym) albo Preferencji systemowych (w systemie macOS 12.0.1 lub starszym). Na Macu z systemem macOS 10.15 lub nowszym, podobnie jak na urządzeniach iOS oraz iPadOS, profile zainstalowane przy użyciu usługi zarządzania urządzeniami muszą być usuwane przez tę usługę. Są one również usuwane automatycznie przez system operacyjny w momencie wyrejestrowania z usługi zarządzania urządzeniami.
Wymagania komunikacji z usługą zarządzania urządzeniami
Komunikacja usługi zarządzania urządzeniami z urządzeniami Apple powinna być skuteczna, gdy:
usługa zarządzania urządzeniami została skonfigurowana, przetestowana i działa prawidłowo,
certyfikat APN jest poprawny i nie wygasł,
urządzenie jest włączone,
urządzenie jest zarejestrowane w usłudze zarządzania urządzeniami,
sieć, z którą połączone jest urządzenie, ma dostęp do Internetu (w celu komunikacji przy użyciu APN),
sieć, z którą urządzenie jest połączone, ma dostęp do hostów Apple powiązanych z daną usługą.
Aby uzyskać więcej informacji, przeczytaj artykuł Wsparcia Apple: Korzystanie z produktów Apple w sieciach korporacyjnych.
Uwaga: Apple nie kontroluje usług zarządzania urządzeniami oferowanych przez inne firmy. Problemy z komunikacją z usługą mogą być także powodowane przez inne przyczyny, takie jak nieprawidłowa konfiguracja pakietu danych.