Introdução aos perfis de gestão de dispositivos
Um serviço de gestão de dispositivos permite que um administrador configure dispositivos, remotamente e em segurança, ao enviar configurações, perfis e comandos para o dispositivo, quer sejam propriedade do utilizador ou da sua organização. As capacidades incluem a atualização de software e as definições dos dispositivos, monitorização da conformidade com as políticas organizacionais, assim como limpeza e bloqueio de dispositivos à distância. Os utilizadores podem registar os próprios dispositivos num serviço de gestão de dispositivos e as organizações podem registar automaticamente dispositivos que são propriedade da organização através do Apple School Manager ou Apple Business Manager.
Existem alguns conceitos que é importante compreender se pretender usar um serviço de gestão de dispositivos, por isso leia as seguintes secções para compreender como um serviço de gestão de dispositivos usa perfis de configuração e de registo, supervisão e cargas úteis.
Dispositivos Apple suportados
Os seguintes dispositivos Apple têm uma framework integrada compatível com a gestão de dispositivos:
iPhone com o iOS 4 ou posterior.
iPad com iOS 4.3 ou posterior ou iPadOS 13.1 ou posterior.
Computadores Mac com OS X 10.7 ou posterior.
Apple TV com tvOS 9 ou posterior.
Apple Watch com watchOS 10 ou posterior
Apple Vision Pro com visionOS 1.1 ou posterior.
Como é feito o registo do dispositivo
O registo num serviço de gestão de dispositivos envolve o registo de identidades de certificação de clientes utilizando protocolos como o ambiente automatizado de gestão de certificados (ACME) ou o protocolo simples de registo para certificados (SCEP). Os dispositivos usam estes protocolos para criar certificados de identidade única para autenticação dos serviços de uma organização.
Salvo se o registo for automático, o utilizador decide se pretende registar o respetivo dispositivo e pode desassociar os seus dispositivos do serviço em qualquer altura. Desta forma, deve considerar incentivos para os utilizadores se manterem geridos. Por exemplo, pode exigir o registo para acesso à rede Wi-Fi usando o serviço de gestão de dispositivos para fornecer automaticamente as credenciais sem fios. Quando um utilizador abandona o serviço, o seu dispositivo tenta notificar o serviço de gestão de dispositivos que deixará de ser gerido.
Para dispositivos detidos pela sua organização, pode usar o Apple School Manager ou Apple Business Manager para os registar automaticamente num serviço de gestão de dispositivos e supervisioná-los sem fios durante a configuração inicial; este processo de registo é conhecido como registo automático de dispositivos.
Gestão de dispositivos e proteção de dispositivos roubados
Quando a opção “Proteção de dispositivos roubados” está ativada, se o utilizador estiver num local com o qual não está familiarizado, o sistema operativo adia as seguintes ações por uma hora:
Registar manualmente o dispositivo num serviço de gestão de dispositivos.
Instalar manualmente um perfil ou configuração de código.
Configurar uma conta do Microsoft Exchange nas Definições ou com um perfil ou configuração.
Perfis de registo
Um perfil de registo é uma das duas formas com que os utilizadores podem registar um dispositivo num serviço de gestão de dispositivos (a outra forma é usar o registo do utilizador ou o registo de dispositivos com base em contas). Com este perfil, que contém um carga útil, o serviço envia comandos e — se necessário — perfis de configuração adicionais para o dispositivo. Também podem fazer pedidos de informação ao dispositivo, como o estado do bloqueio de ativação, o nível de bateria e o nome.
Quando um utilizador remove um perfil de registo, todos os perfis de configuração, as suas definições e as aplicações geridas com base nesse perfil de registo são removidos também. Apenas pode haver um perfil de registo num dispositivo de cada vez.
Assim que o perfil de registo for aprovado, quer pelo dispositivo ou pelo utilizador, os perfis de configuração com cargas úteis são fornecidos ao dispositivo. É depois possível distribuir, gerir e configurar sem fios aplicações e livros comprados, através do Apple School Manager ou Apple Business Manager. Os utilizadores podem instalar aplicações manualmente ou as aplicações podem ser instaladas automaticamente consoante o tipo de aplicação, a forma como está atribuída e se o dispositivo é supervisionado. Encontrará informação adicional em Acerca da supervisão de dispositivos Apple.
Perfis de configuração
Um perfil de configuração (configuration profile) é um ficheiro XML (terminado em .mobileconfig) composto por cargas úteis que carregam definições e informação de autorização em dispositivos Apple. Os perfis de configuração automatizam a configuração de definições, contas, restrições e credenciais. Um serviço de gestão de dispositivos pode criar estes ficheiros, ou é possível criá-los manualmente ou com o Apple Configurator para Mac. Encontrará mais informação acerca de usar o Apple Configurator para Mac para criar e instalar perfis de configuração em dispositivos iPhone, iPad e Apple TV em Criar e editar perfis de configuração no Manual de Utilização do Apple Configurator para Mac.
Visto que pode cifrar e assinar os perfis de configuração, é possível restringir a sua utilização a um dispositivo Apple específico e — à exceção dos nomes de utilizador e palavras-passe — impedir que alguém altere as definições. Também pode assinalar um perfil de configuração como estando bloqueado para o dispositivo.
Se o seu serviço de gestão de dispositivos o permitir, é possível distribuir perfis de configuração como anexo de correio, através de uma hiperligação na sua própria página web ou através do portal de utilização integrado do serviço. Quando os utilizadores abrem o anexo de correio ou descarregam um perfil de configuração através de um navegador web, recebem um pedido para iniciar a instalação do perfil de configuração.
Pode enviar um perfil de configuração que pode alterar as definições de um dispositivo inteiro para um único utilizador:
Perfis de dispositivo: pode enviar perfis de dispositivo a dispositivos e grupos de dispositivos e aplicar definições a todo o dispositivo.
O iPhone, iPad, Apple TV, Apple Watch e Apple Vision Pro não possuem funcionalidade de reconhecimento de mais de um utilizador, por isso os perfis de configuração criados paradispositivos Apple suportados são sempre perfis de dispositivo. Enquanto os perfis de iPadOS são perfis de dispositivo, os dispositivos iPad configurados para iPad partilhado podem suportar perfis com base no dispositivo ou utilizador.
Perfis de utilizador: pode enviar perfis de utilizador a utilizadores e (se o serviço de gestão de dispositivos for compatível) grupos de utilizadores e aplicar definições apenas aos respetivos utilizadores. Os computadores Mac podem ter vários utilizadores, para que as cargas úteis e definições dos perfis macOS possam ser baseadas no dispositivo ou no utilizador. A conta de utilizador criada pelo Assistente de Configuração é considerada gerida pelo serviço de gestão de dispositivos e pode receber perfis. Para um Mac com o macOS 11 ou posterior, uma conta de administrador que um serviço de gestão de dispositivos crie durante o registo pode ser gerida opcionalmente. Para implementações vinculadas ao Active Directory, o utilizador da rede que tenha sessão iniciada atualmente torna-se gerido usando um utilizador gerido.
As definições do dispositivo e do utilizador variam de acordo com o local onde residem: as definições instaladas ao nível do sistema estão no canal de um dispositivo. As definições instaladas para um utilizador estão no canal de um utilizador.
Encontrará informação adicional sobre a instalação de perfis e o modo de bloqueio no artigo do Suporte Apple Acerca do Modo de bloqueio.
Remoção do perfil
A forma como remove perfis depende de como foram instalados. A seguinte sequência indica como um perfil pode ser removido:
1. É possível remover todos os perfis limpando todos os dados do dispositivo.
2. Se o dispositivo foi registado num gestão de dispositivos associado ao Apple School Manager ou Apple Business Manager, o administrador pode escolher se o utilizador pode remover perfil de registo ou se este apenas pode ser removido pelo serviço de gestão de dispositivos.
3. Se o perfil for instalado por um serviço de gestão de dispositivos, o perfil pode ser removido por esse serviço ou pelo utilizador ao anular o registo no serviço (ao remover o perfil de configuração).
4. Se o Apple Configurator instalar perfil, essa instância de supervisão do Apple Configurator pode remover o perfil.
5. Se o Apple Configurator instalar o perfil ou este for instalado manualmente num dispositivo supervisionado e o perfil tiver uma carga útil de palavra-passe de remoção, o utilizador tem de introduzir a palavra-passe de remoção para remover o perfil.
6. O utilizador pode remover todos os outros perfis.
Uma conta instalada por um perfil de configuração pode ser removida ao remover o perfil. Uma conta Microsoft Exchange ActiveSync, incluindo uma instalada através de um perfil de configuração, pode ser removida pelo Microsoft Exchange Server emitindo o comando de eliminação remota limitada a contas.
Importante: Se os utilizadores souberem o código do dispositivo, podem remover os perfis de configuração instalados manualmente no iPhone e iPad que não são supervisionados, mesmo que a opção esteja definida como “Nunca”. Os utilizadores no Mac fazem-no da mesma forma se o utilizador souber o nome de utilizador e a palavra-passe de um administrador. Podem fazê-lo utilizando a ferramenta da linha de comandos profiles, as Definições do Sistema (no macOS 13 ou posterior) ou as Preferências do Sistema (no macOS 12.0.1 ou anterior). Para um Mac com o macOS 10.15 ou posterior, tal como no iOS e iPadOS, se um serviço de gestão de dispositivos instalar um perfil, esse serviço pode removê-lo, ou o sistema operativo remove-o automaticamente após o cancelamento do registo do serviço.
Requisitos de comunicação do serviço de gestão de dispositivos
A comunicação do serviço de gestão de dispositivos com os dispositivos Apple tem mais possibilidades de sucesso quando:
o serviço de gestão de dispositivos configura o dispositivo, testa-o com sucesso e garante que o mesmo funciona corretamente;
o certificado APN é valido e não está expirado;
o dispositivo está ligado;
o dispositivo está atualmente registado no serviço de gestão de dispositivos;
a rede a que o dispositivo está ligado tem acesso à internet (para comunicação de APN);
é necessário que a rede a que o dispositivo está ligada tenha acesso a hosts Apple relacionados com o serviço.
Encontrará mais informação no artigo do Suporte da Apple Utilizar produtos Apple em redes empresariais.
Nota: a Apple não controla serviços de gestão de dispositivos de terceiros. Os problemas adicionais, como, por exemplo, uma carga útil mal configurada, também pode causar a falha da comunicação.