Introdução aos perfis de gestão de dispositivos móveis
O serviço de gestão de dispositivos móveis (MDM) permite-lhe configurar dispositivos em segurança e sem fios ao enviar perfis e comandos para o dispositivo, quer sejam propriedade do utilizador ou da sua organização. As capacidades da MDM incluem a atualização de software e as definições dos dispositivos, monitorização da conformidade com as políticas organizacionais, assim como limpeza e bloqueio de dispositivos à distância. Os utilizadores podem registar os próprios dispositivos na MDM, e os dispositivos que são propriedade da organização podem ser registados automaticamente na MDM através do Apple School Manager ou Apple Business Manager.
Existem alguns conceitos que é importante compreender se pretender usar a MDM, por isso leia as seguintes secções para compreender como a MDM usa perfis de configuração e de registo, supervisão e cargas úteis.
Dispositivos Apple suportados
Os seguintes dispositivos Apple têm uma framework integrada compatível com MDM:
iPhone com o iOS 4 ou posterior.
iPad com iOS 4.3 ou posterior ou iPadOS 13.1 ou posterior.
Computadores Mac com OS X 10.7 ou posterior.
Apple TV com tvOS 9 ou posterior.
Apple Watch com watchOS 10 ou posterior
Apple Vision Pro com visionOS 1.1 ou posterior.
Como é feito o registo do dispositivo
O registo numa solução MDM envolve o registo de identidades de certificação de clientes utilizando protocolos como o ambiente automatizado de gestão de certificados (ACME) ou o protocolo simples de registo para certificados (SCEP). Os dispositivos usam estes protocolos para criar certificados de identidade única para autenticação dos serviços de uma organização.
Salvo se o registo for automático, o utilizador decide se pretende registar-se na MDM e pode desassociar os seus dispositivos da MDM em qualquer altura. Desta forma, deve considerar incentivos para os utilizadores se manterem geridos. Por exemplo, pode exigir o registo na MDM para acesso à rede Wi-Fi usando a MDM para fornecer automaticamente as credenciais sem fios. Quando um utilizador abandona a MDM, o seu dispositivo tenta notificar a solução MDM que deixará de ser gerido.
Para dispositivos detidos pela sua organização, pode usar o Apple School Manager ou Apple Business Manager para os registar automaticamente na MDM e supervisioná-los sem fios durante a configuração inicial; este processo de registo é conhecido como registo automático de dispositivos.
MDM e proteção de dispositivos roubados
Quando a opção “Proteção de dispositivos roubados” está ativada, se o utilizador estiver num local com o qual não está familiarizado, as seguintes ações são adiadas por uma hora:
registar manualmente o dispositivo na MDM;
Instalar manualmente um perfil ou configuração de código
Configurar uma conta do Microsoft Exchange nas definições ou com um perfil ou configuração.
Perfis de registo
Um perfil de registo é uma das duas formas com que os utilizadores podem registar um dispositivo numa solução MDM (a outra forma é usar o registo do utilizador ou o registo de dispositivos com base em contas). Com este perfil, que contém um carga útil de MDM, a solução MDM envia comandos e — se necessário — perfis de configuração adicionais para o dispositivo. Também podem fazer pedidos de informação ao dispositivo, como o estado do bloqueio de ativação, o nível de bateria e o nome.
Quando um utilizador remove um perfil de registo, todos os perfis de configuração, as suas definições e as aplicações geridas com base nesse perfil de registo são removidos também. Apenas pode haver um perfil de registo num dispositivo de cada vez.
Assim que o perfil de registo for aprovado, quer pelo dispositivo ou pelo utilizador, os perfis de configuração com cargas úteis são fornecidos ao dispositivo. É depois possível distribuir, gerir e configurar sem fios aplicações e livros comprados, através do Apple School Manager ou Apple Business Manager. Os utilizadores podem instalar aplicações manualmente ou as aplicações podem ser instaladas automaticamente consoante o tipo de aplicação, a forma como está atribuída e se o dispositivo é supervisionado. Encontrará informação adicional em Acerca da supervisão de dispositivos Apple.
Perfis de configuração
Um perfil de configuração (configuration profile) é um ficheiro XML (terminado em .mobileconfig) composto por cargas úteis que carregam definições e informação de autorização em dispositivos Apple. Os perfis de configuração automatizam a configuração de definições, contas, restrições e credenciais. Estes ficheiros podem ser criados manualmente por uma solução MDM ou pelo Apple Configurator para Mac. Encontrará mais informação acerca de usar o Apple Configurator para Mac para criar e instalar perfis de configuração em dispositivos iPhone, iPad e Apple TV em Criar e editar perfis de configuração no Manual de Utilização do Apple Configurator para Mac.
Visto que os perfis de configuração podem ser cifrados e assinados, é possível restringir a sua utilização a um dispositivo Apple específico e — à exceção dos nomes de utilizador e palavras-passe — impedir que alguém altere as definições. Também pode assinalar um perfil de configuração como estando bloqueado para o dispositivo.
Se a sua solução MDM o permitir, é possível distribuir perfis de configuração como anexo de correio, através de uma hiperligação na sua própria página web ou através do portal de utilização integrado da solução MDM. Quando os utilizadores abrem o anexo de correio ou descarregam um perfil de configuração através de um navegador web, é-lhes solicitado que iniciem a instalação do perfil de configuração.
Pode enviar um perfil de configuração que pode alterar as definições de um dispositivo inteiro para um único utilizador:
Device profiles (Perfis de dispositivo) podem ser enviados para dispositivos e grupos de dispositivos e aplicar definições a todo o dispositivo.
O iPhone, iPad, Apple TV, Apple Watch e Apple Vision Pro não possuem funcionalidade de reconhecimento de mais de um utilizador, por isso os perfis de configuração criados paradispositivos Apple suportados são sempre perfis de dispositivo. Enquanto os perfis de iPadOS são perfis de dispositivo, os dispositivos iPad configurados para iPad partilhado podem suportar perfis com base no dispositivo ou utilizador.
User profiles (Perfis de utilizador) podem ser enviados para utilizadores e (se a solução MDM for compatível) grupos de utilizadores e aplicar definições apenas aos respetivos utilizadores. Os computadores Mac podem ter vários utilizadores, pelo que as cargas úteis e definições dos perfis macOS podem ser baseadas no dispositivo ou no utilizador. A conta de utilizador criada durante o Assistente de Configuração é considerada gerida pela solução MDM e pode receber perfis. Para um Mac com o macOS 11 ou posterior, pode ser gerida opcionalmente uma conta de administrador criada por uma MDM durante o registo. Para implementações vinculadas ao Active Directory, o utilizador da rede que tenha sessão iniciada atualmente torna-se gerido usando a MDM.
As definições do dispositivo e do utilizador variam de acordo com o local onde residem: as definições instaladas ao nível do sistema estão no canal de um dispositivo. As definições instaladas para um utilizador estão no canal de um utilizador.
Encontrará informação adicional sobre a instalação de perfis e o modo de bloqueio no artigo do Suporte Apple Acerca do Modo de bloqueio.
Remoção do perfil
A forma como remove perfis depende de como foram instalados. A seguinte sequência indica como um perfil pode ser removido:
1. É possível remover todos os perfis limpando todos os dados do dispositivo.
2. Se o dispositivo foi registado na MDM com o Apple School Manager ou Apple Business Manager, o administrador pode escolher se o perfil de registo pode ser removido pelo utilizador ou se apenas pode ser removido pelo servidor MDM.
3. Se o perfil for instalado por uma solução MDM, pode ser removido pela solução MDM específica ou pelo utilizador que está a anular o registo na MDM ao remover o perfil de configuração.
4. Se o perfil está instalado num dispositivo supervisionado ou através do Apple Configurator 2, essa instância de supervisão do Apple Configurator pode remover o perfil.
5. Se o perfil está instalado manualmente num dispositivo supervisionado ou através do Apple Configurator e o perfil tem uma carga útil de palavra-passe de remoção, o utilizador tem de introduzir a palavra-passe de remoção para remover o perfil.
6. Todos os outros perfis podem ser removidos pelo utilizador.
Uma conta instalada por um perfil de configuração pode ser removida ao remover o perfil. Uma conta Microsoft Exchange ActiveSync, incluindo uma instalada através de um perfil de configuração, pode ser removida pelo Microsoft Exchange Server emitindo o comando de eliminação remota limitada a contas.
Importante: se os utilizadores souberem o código do dispositivo, podem remover os perfis de configuração instalados manualmente no iPhone e iPad que não são supervisionados, mesmo que a opção esteja definida como “nunca”. Os utilizadores no Mac fazem-no da mesma forma se o utilizador souber o nome de utilizador e a palavra-passe de um administrador. Podem fazê-lo utilizando a ferramenta da linha de comandos profiles, as Definições do Sistema (no macOS 13 ou posterior) ou as Preferências do Sistema (no macOS 12.0.1 ou anterior). Para um Mac com o macOS 10.15 ou posterior, tal como no iOS e iPadOS, os perfis instalados com a MDM têm de ser removidos com a MDM ou são removidos automaticamente após o cancelamento do registo da MDM.
Requisitos de comunicação de MDM
A comunicação de MDM de terceiros com os dispositivos Apple tem mais possibilidades de sucesso quando:
a solução MDM está configurada, foi testada com sucesso e funciona corretamente;
o certificado APN é valido e não está expirado;
o dispositivo está ligado;
o dispositivo está atualmente registado na MDM;
a rede a que o dispositivo está ligado tem acesso à internet (para comunicação de APN);
é necessário que a rede a que o dispositivo está ligada tenha acesso a hosts Apple relacionados com a MDM.
Encontrará mais informação no artigo do Suporte da Apple Utilizar produtos Apple em redes empresariais.
Nota: a Apple não controla soluções MDM de terceiros. Os problemas adicionais, como, por exemplo, uma carga útil MDM mal configurada, também pode causar a falha da comunicação de MDM.