Introdução a perfis de gerenciamento de dispositivos
Um serviço de gerenciamento de dispositivos permite que um administrador configure dispositivos de forma segura e remota enviando configurações, perfis e comandos ao dispositivo, seja ele de propriedade do usuário ou da organização. As capacidades incluem atualização do software e ajustes do dispositivo, monitoramento da conformidade com as políticas organizacionais e apagamento ou bloqueio remoto de dispositivos. Os usuários podem registrar seus próprios dispositivos em um serviço de gerenciamento de dispositivos, e as organizações podem registrar dispositivos automaticamente com o Apple School Manager ou o Apple Business Manager.
Você precisa entender alguns conceitos se usar um serviço de gerenciamento de dispositivos. Leia as seções a seguir para entender como um serviço de gerenciamento de dispositivos usa perfis de registro e configuração, supervisão e payloads.
Dispositivos da Apple compatíveis
Os dispositivos Apple a seguir possuem uma estrutura integrada que é compatível com o gerenciamento de dispositivos:
iPhone com iOS 4 ou posterior
iPad com iOS 4.3 ou posterior ou iPadOS 13.1 ou posterior
Computadores Mac com OS X 10.7 ou posterior
Apple TV com tvOS 9 ou posterior
Apple Watch com watchOS 10 ou posterior
Apple Vision Pro com visionOS 1.1 ou posterior
Como os dispositivos são registrados
O registro no serviço de gerenciamento de dispositivos envolve o registro de identidades de certificados de clientes através de protocolos como Ambiente de Gerenciamento Automatizado de Certificados (ACME) ou Protocolo de Registro de Certificado Simples (SCEP). Os dispositivos usam esses protocolos para criar certificados de identidade únicos para autenticar os serviços de uma organização.
A menos que o registro seja automatizado, os usuários decidem se querem se registrar seu dispositivo e podem dissociar seus dispositivos do serviço a qualquer momento. Portanto, você deve considerar a oferta de incentivos para que os usuários permaneçam registrados. Por exemplo, você pode solicitar o registro para acessar a rede Wi-Fi usando o serviço de gerenciamento de dispositivos, que vai fornecer as credenciais da rede sem fio automaticamente. Quando um usuário sai do serviço, o dispositivo tenta notificar o serviço de gerenciamento de dispositivos de que não pode mais ser gerenciado.
No caso de dispositivos de propriedade da organização, você pode usar o Apple School Manager ou o Apple Business Manager para registrá-los automaticamente no serviço de gerenciamento de dispositivos e supervisioná-los via conexão sem fio durante a configuração inicial. Esse processo de registro é conhecido como Registro de Dispositivo Automatizado.
Gerenciamento de dispositivos e Proteção de Dispositivo Roubado
Quando a Proteção de Dispositivo Roubado está ativada, se o usuário estiver em um local não familiar, o sistema operacional atrasa as ações a seguir em uma hora:
Registrar o dispositivo manualmente em um serviço de gerenciamento de dispositivos
Instalar manualmente uma configuração ou um perfil de código
Configurar uma conta do Microsoft Exchange nos Ajustes ou com um perfil ou uma configuração
Perfis de registro
Um perfil de registro é uma das duas formas principais pelas quais os usuários podem registrar um dispositivo em um serviço de gerenciamento de dispositivos (a outra é pelo uso do Registro de Usuário ou do Registro de Dispositivo conduzido por conta). Com esse perfil, que contém um payload, o serviço envia comandos e, se necessário, perfis de configuração adicionais ao dispositivo. Ele também pode consultar informações do dispositivo, como o estado do Bloqueio de Ativação, o nível da bateria e o nome.
Quando um usuário remove um perfil de registro, todos os perfis de configuração, seus ajustes e os Apps Gerenciados baseados nesse perfil de registro também são removidos. Só pode haver um perfil de registro em um dispositivo de cada vez.
Após a aprovação do perfil de registro, seja pelo dispositivo ou pelo usuário, os perfis de configuração que contêm os payloads são entregues ao dispositivo. Então, você pode usar uma conexão sem fio para distribuir, gerenciar e configurar apps e livros adquiridos no Apple School Manager ou Apple Business Manager. Os apps podem ser instalados automaticamente ou pelos usuários, dependendo do tipo do app, sua forma de atribuição e se o dispositivo está supervisionado (supervised). Para obter mais informações, consulte Sobre a supervisão de dispositivos Apple.
Perfis de configuração
Um perfil de configuração (configuration profile) é um arquivo XML (com extensão .mobileconfig) que consiste em payloads que carregam ajustes e informações de autorização em dispositivos Apple. Os perfis de configuração automatizam a configuração de ajustes, contas, restrições e credenciais. Um serviço de gerenciamento de dispositivos pode criar esses arquivos ou você pode criá-los manualmente ou com o Apple Configurator para Mac. Para obter mais informações sobre o uso do Apple Configurator para Mac para criar e instalar perfis de configuração em dispositivos iPhone, iPad e Apple TV, consulte Create and edit configuration profiles (em inglês) no Apple Configurator for Mac User Guide.
Como você pode criptografar e assinar perfis de configuração, é possível restringir seu uso a um dispositivo da Apple específico e, exceto por nomes e senhas de usuário, impedir que os ajustes sejam alterados. Você pode marcar um perfil de configuração como bloqueado no dispositivo.
Se o serviço de gerenciamento de dispositivos for compatível, você pode distribuir perfis de configuração como um anexo de e-mail, através de um link na sua própria página web ou através do portal de usuário integrado do serviço. Quando os usuários abrem o anexo do e-mail ou baixam o perfil de configuração através do navegador web, eles são solicitados a iniciar a instalação do perfil de configuração.
Você pode fornecer um perfil de configuração que pode alterar os ajustes de um dispositivo inteiro ou de um único usuário:
Perfis de dispositivo: você pode enviar perfis de dispositivos a dispositivos e grupos de dispositivos, e aplicar ajustes ao dispositivo todo.
Como o iPhone, o iPad, a Apple TV, o Apple Watch e o Apple Vision Pro não têm como reconhecer mais de um usuário, os perfis de configuração criados para dispositivos Apple compatíveis são sempre perfis de dispositivo. Embora os perfis do iPadOS sejam perfis de dispositivo, dispositivos iPad configurados como iPad Compartilhado são compatíveis com perfis baseados no dispositivo ou no usuário.
Perfis do usuário: você pode enviar perfis de usuário a usuários e (se o serviço de gerenciamento de dispositivos for compatível) grupos de usuários, e aplicar ajustes de usuário apenas aos respectivos usuários. Os computadores Mac podem ter vários usuários e, portanto, você pode basear os payloads e ajustes de perfis do macOS no dispositivo ou no usuário. A conta de usuário que o Assistente de Configuração cria é considerada gerenciada pelo serviço de gerenciamento de dispositivos e pode receber perfis. Em um Mac com macOS 11 ou posterior, uma conta de administrador que um serviço de gerenciamento de dispositivos cria durante o registro pode ser gerenciada, se desejado. Em implementações associadas ao Active Directory, o usuário de rede com uma sessão iniciada no momento se torna um usuário gerenciável.
Os ajustes do dispositivo e do usuário variam de acordo com o local onde residem: os ajustes instalados no nível do sistema residem em um canal do dispositivo. Os ajustes instalados para um usuário residem em um canal do usuário.
Para obter mais informações sobre a instalação de perfis e o Modo de Bloqueio, consulte o artigo de Suporte da Apple Sobre o Modo de Bloqueio.
Remoção de perfil
A maneira de remover perfis depende da forma como eles foram instalados. A sequência a seguir indica como remover um perfil:
1. Você pode remover todos os perfis ao apagar os dados do dispositivo.
2. Se o dispositivo estiver registrado em um serviço de gerenciamento de dispositivos vinculado ao Apple School Manager ou ao Apple Business Manager, o administrador pode escolher se o usuário pode remover o perfil de registro (enrollment) ou se somente o serviço de gerenciamento de dispositivos pode removê-lo.
3. Se um serviço de gerenciamento de dispositivos instalar o perfil, esse serviço poderá removê-lo. Alternativamente, o usuário poderá removê-lo cancelando o registro no serviço (removendo o perfil de configuração do registro).
4. Se o Apple Configurator instalar o perfil, a instância de supervisão do Apple Configurator poderá removê-lo.
5. Se o Apple Configurator instalar o perfil ou você instalá-lo manualmente em um dispositivo supervisionado e o perfil tiver um payload de senha de remoção, o usuário deverá inserir a senha de remoção para remover o perfil.
6. O usuário pode remover todos os outros perfis.
Uma conta instalada por um perfil de configuração pode ser removida ao remover o perfil. Uma conta Microsoft Exchange ActiveSync, inclusive se instalada usando um perfil de configuração, pode ser removida pelo Microsoft Exchange Server atribuindo um comando de apagamento remoto para essa conta apenas.
Importante: se os usuários souberem o código, eles poderão remover os perfis de configuração instalados manualmente de um iPhone e iPad não supervisionados, mesmo se a opção estiver definida como Nunca. Os usuários do Mac poderão fazer o mesmo somente se o usuário souber o nome de usuário e a senha do administrador. Para fazer isso, eles podem usar a ferramenta de linha de comando profiles, os Ajustes do Sistema (no macOS 13 ou posterior) ou as Preferências do Sistema (no macOS 12.0.1 ou anterior). Em um Mac com macOS 10.15 ou posterior, assim como no iOS e no iPadOS, se um serviço de gerenciamento de dispositivos instalar um perfil, esse mesmo serviço poderá removê-lo, ou o sistema operacional o removerá automaticamente após o cancelamento do registro no serviço.
Requisitos de comunicação do serviço de gerenciamento de dispositivos
A comunicação do serviço de gerenciamento de dispositivos com dispositivos Apple tem mais chances de ser bem‑sucedida quando:
O serviço de gerenciamento de dispositivos configura o dispositivo, testa-o com sucesso e garante que ele esteja funcionando corretamente
O certificado do APNs é válido e não está vencido
O dispositivo está ligado
O dispositivo está registrado no serviço
A rede a qual o dispositivo está conectado tem acesso à internet (para comunicação com o APNs)
A rede à qual o dispositivo está conectado precisa ser capaz de acessar hosts da Apple relacionados ao serviço
Para obter mais informações, consulte o artigo de Suporte da Apple Usar produtos Apple em redes corporativas.
Nota: a Apple não controla serviços de gerenciamento de dispositivos de terceiros. Problemas adicionais, como um payload mal configurado, também podem fazer com que a comunicação falhe.