Selecionar uma solução de gestão de dispositivos móveis
O que é a gestão de dispositivos móveis (MDM)?
O serviço MDM permite-lhe configurar dispositivos em segurança e sem fios, quer sejam propriedade do utilizador ou da sua organização. A MDM inclui atualização de software e definições dos dispositivos, monitorização da conformidade com as políticas organizacionais, assim como limpeza e bloqueio de dispositivos à distância. Os utilizadores podem registar os próprios dispositivos na MDM, e os dispositivos que são propriedade da organização podem ser registados automaticamente na MDM através do Apple School Manager.
Como funciona a MDM?
Assim que o perfil de inscrição é aprovado, quer pelo dispositivo ou pelo utilizador, os perfis de configuração com cargas úteis são fornecidos ao dispositivo. É depois possível distribuir, gerir e configurar sem fios aplicações e livros comprados, através do Apple School Manager. Os utilizadores podem instalar aplicações manualmente ou as aplicações podem ser instaladas automaticamente consoante o tipo de aplicação, a forma como está atribuída e se o dispositivo é supervisionado.
O que é a supervisão?
Os dispositivos iPhone, iPad, iPod touch, Mac e Apple TV podem ser supervisionados. A supervisão geralmente denota que o dispositivo é detido pela organização, o que fornece controlo adicional sobre a respetiva configuração e restrições. A supervisão é recomendada para dispositivos que são propriedade da organização.
Os dispositivos iPhone, iPad, iPod touch e Apple TV tornam-se supervisionados através da:
utilização do Apple Configurator 2.
Durante este processo, o dispositivo é apagado e todos os dados são perdidos;
inscrição do dispositivo numa solução MDM e da seleção da supervisão como parte do processo de inscrição.
Os computadores Mac podem ser supervisionados se:
Estão a executar o macOS 10.15 ou posterior e:
aparecem no Apple School Manager;
estão inscritos numa solução MDM associada ao Apple School Manager.
estiverem a executar o macOS 11 e a inscrição na MDM estiver aprovada pelo utilizador;
estiverem atualizados para o macOS 11 e a inscrição na MDM foi aprovada pelo utilizador no canal de dispositivos;
Os seguintes dispositivos podem ser supervisionados:
iPhone, iPad e iPod touch com iOS 5 ou posterior;
Apple TV com o tvOS 10.2 ou posterior.
Os seguintes dispositivos são supervisionados automaticamente quando são inscritos no Apple School Manager:
iPhone e iPod touch com iOS 13 ou posterior;
iPad com o iPadOS 13.1 ou posterior;
Apple TV com o tvOS 13 ou posterior;
computadores Mac com macOS 10.15 ou posterior.
Importante: se o utilizador souber o código, os perfis de configuração dos dispositivos iPhone e iPad que não são supervisionados podem ser removidos, mesmo que a opção esteja definida como Nunca nas definições gerais. Os perfis de configuração de computadores Mac podem ser removidos utilizando a ferramenta da linha de comandos profiles ou as Preferências do Sistema se o utilizador souber o nome de utilizador e a palavra-passe de um administrador, exceto se os dispositivos aparecerem no Apple School Manager.
Considerações ao escolher uma solução MDM
Existem diversas soluções MDM disponíveis, de uma variedade de terceiros. Deverá avaliar que aspetos de MDM são mais importantes para a sua organização — incluindo suporte para plataforma de servidor e preço — antes de escolher uma solução. As sugestões seguintes podem ajudar na sua decisão.
Importante: é fundamental selecionar a solução MDM adequada antes de proceder à implementação. Qualquer mudança durante a implementação poderá implicar apagar e voltar a registar cada iPad.
Alojada localmente ou alojada na nuvem: uma solução MDM pode ser alojada num servidor local ou na nuvem. MDM é um protocolo leve com base em HTTPS que pode gerir dispositivos em qualquer parte do mundo com um reduzido impacto de tráfego de dados, tornando-o adequado para alojamento na nuvem. Se a sua organização optar por uma solução de alojamento na nuvem ou na Internet, muitas das etapas da configuração da solução MDM incluídas neste manual podem ser reduzidas consideravelmente ou eliminadas completamente.
Suporte dos dispositivos: algumas soluções MDM foram desenvolvidas com suporte aprofundado para tipos de dispositivos Apple específicos, por exemplo, apenas computadores Mac ou dispositivos iPad, enquanto que outros oferecem suporte entre plataformas. Pode optar por selecionar uma combinação de fornecedores de MDM para que cada tipo de dispositivo seja suportado com uma solução especializada ou selecionar um fornecedor de MDM que suporte todos os tipos de dispositivos Apple usados na sua organização.
Funcionalidades centradas no ensino: alguns fornecedores de MDM oferecem funcionalidades concebidas especialmente para ambientes educativos. Certifique-se de que o fornecedor da solução MDM suporta o Apple School Manager, a aplicação Sala de Aula, a aplicação TPC e todas as funcionalidades de ensino introduzidas nas versões mais recentes dos sistemas operativos da Apple no dia do lançamento.
Serviços de consulta e relatório: uma solução MDM pode consultar dispositivos Apple em relação a várias informações, incluindo número de série do hardware, UDID do dispositivo, endereço MAC (Media Access Control) de Wi-Fi e estado de cifragem FileVault (para o computadores Mac). Também pode consultar informações de software e restrições, e listar as aplicações instaladas no dispositivo.
Políticas e acesso a assistência do fornecedor: o serviço MDM é fundamental. É necessário avaliar o serviço de assistência, serviços e formação que o seu fornecedor de MDM oferece.
Com base nos seus critérios, pode criar uma lista de soluções MDM e configurá-las numa base experimental com apenas alguns dispositivos de teste para avaliar que solução cumpre melhor as suas necessidades antes de tomar uma decisão final. O Apple School Manager permite-lhe ligar-se a mais do que uma solução MDM e atribuir dispositivos a servidores diferentes conforme necessário. Encontrará mais informação no vídeo Escolher uma solução MDM.
Requisitos de rede para a solução MDM
Ao instalar e configurar a sua solução MDM, há considerações importantes para configurar a rede, TLS (Transport Layer Security), serviços de infraestrutura, serviços Apple e cópia de segurança. Se está a usar uma solução MDM de terceiros, a maioria dessas considerações é tratada automaticamente pelo seu fornecedor de MDM.
Quando instala uma solução MDM alojada localmente, é necessário configurar todos os elementos seguintes. Configure e teste cada um deles precocemente para garantir uma implementação sem falhas. Caso a sua solução MDM seja gerida externamente ou esteja alojada na nuvem, o seu fornecedor de MDM pode gerir muitos destes elementos em seu nome:
DNS: uma solução MDM tem de usar um nome de domínio completamente qualificado que possa ser resolvido dentro e fora da rede da organização. Isto permite que o servidor faça a gestão dos dispositivos quer estes estejam ligado local ou remotamente. De forma a manter a ligação com os clientes, o nome de domínio não pode ser alterado.
Endereço IP: a maioria das soluções MDM exige um endereço IP estático. O nome DNS existente tem de persistir se o endereço do IP do servidor for alterado.
Configurar a MDM com TLS: todas as comunicações entre os dispositivos Apple e a solução MDM são cifradas com HTTPS. É necessário um certificado TLS (antigamente SSL) para proteger estas comunicações. Não implemente dispositivos sem um certificado de uma autoridade de certificação (CA) conceituada. Preste atenção à data de validade e certifique-se de que renova o certificado antes de este expirar.
Portas de firewall: para ativar o acesso interno e externo a solução MDM, determinadas portas de firewall têm de estar abertas. A maioria das soluções MDM aceitam ligações recebidas usando HTTPS na porta 443. A solução MDM e os dispositivos devem comunicar com o serviço Apple Push Notification. Antes de Novembro de 2020, as soluções MDM usam as portas 2195 e o 2196 com APN; os clientes usam a porta 5223. Após novembro de 2020, as soluções MDM usam a porta 2197.
Nota: tem de adicionar pelo menos um servidor MDM para o Apple School Manager antes de começar a atribuir dispositivos.