Výber riešenia správy mobilných zariadení
Čo je správa mobilných zariadení (MDM)?
Systémy iOS, iPadOS, macOS a tvOS majú vstavaný framework, ktorý podporuje správu mobilných zariadení (MDM). MDM vám umožňuje bezpečne a bezdrôtovo konfigurovať zariadenia prostredníctvom odosielania profilov a príkazov do zariadení, či už sú ich vlastníkmi užívatelia, alebo vaša organizácia. Medzi schopnosti riešenia MDM patria aktualizácia softvéru a nastavení zariadení, monitorovanie súladu s pravidlami organizácie a vzdialené vymazanie alebo zamknutie zariadení. Užívatelia si môžu do riešenia MDM zaregistrovať vlastné zariadenia, pričom zariadenia, ktoré patria organizácii, je možné do riešenia MDM zaregistrovať automaticky pomocou Apple School Managera.
Ako funguje riešenie MDM?
Po schválení registračného profilu zariadením alebo užívateľom sa konfiguračné profily obsahujúce objemy dát doručia do zariadenia. Následne môžete bezdrôtovo distribuovať, spravovať a konfigurovať apky a knihy zakúpené cez Apple School Manager. Užívatelia si môžu apky nainštalovať sami, alebo ich možno nainštalovať automaticky v závislosti od typu apky, spôsobu priradenia a podľa toho, či je zariadenie pod dohľadom.
Čo je dohľad?
Výraz dohľad všeobecne znamená, že zariadenie je majetkom organizácie, ktorá má súčasne rozšírenú kontrolu nad jeho konfiguráciou a obmedzeniami.
Ďalšie informácie nájdete v časti Dohľad nad Apple zariadeniami v príručke Nasadzovanie Apple platformy.
Čo posudzovať pri výbere riešenia MDM
K dispozícii je množstvo riešení MDM od rôznych nezávislých vývojárov. Skôr než sa pre niektoré z nich rozhodnete, mali by ste si ujasniť, ktoré aspekty riešenia MDM sú pre vašu organizáciu najdôležitejšie (vrátane možností hostingu a nákladov). Nižšie uvedené tipy vám s rozhodovaním môžu pomôcť.
Tip: Najvhodnejšie riešenie MDM je nutné vybrať ešte pred nasadením. Zmena v priebehu nasadenia bude s najväčšou pravdepodobnosťou vyžadovať vymazanie všetkých zariadení a ich opätovnú registráciu.
Lokálny hosting alebo cloudový hosting: Pre riešenie MDM je možné využívať hosting na lokálnom serveri alebo v cloude. MDM je nenáročný protokol na základe HTTPS, ktorý dokáže spravovať zariadenia kdekoľvek na svete a pri nízkej spotrebe dát, vďaka čomu je vhodné na hosting na cloude. Ak si vaša organizácia vyberie riešenie založené na cloudovom alebo internetovom hostingu, nastavovanie riešenia MDM môže byť jednoduchšie a pozostávať z menšieho počtu krokov, než popisuje táto príručka.
Podpora zariadení: Niektoré riešenia MDM obsahujú integrovanú detailnú podporu konkrétnych typov Apple zariadení, napríklad len počítačov Mac alebo len iPhonov, zatiaľ čo iné ponúkajú podporu pre rôzne platformy. Dodávateľov riešení MDM môžete skombinovať tak, že podporu jednotlivých typov zariadení budú zabezpečovať oddelené riešenia. Tento postup uľahčuje automatické priraďovanie podľa typu zariadenia v Apple School Manageri. Prípadne si môžete vybrať jedného dodávateľa riešenia MDM, ktorý zabezpečí podporu všetkých typov Apple zariadení používaných vo vašej organizácii.
Funkcie zamerané na vzdelávacie sektor: Niektorí predajcovia MDM ponúkajú funkcie zamerané konkrétne na vzdelávacie prostredie. Uistite sa, že váš dodávateľ riešenia MDM podporuje príslušné riešenia, napríklad Apple School Managera, apky Učebňa, Škola, funkciu Zdieľaný iPad a ďalšie vzdelávacie funkcie dostupné v najnovších verziách operačných systémov Apple k dátumu uvedenia.
Služby požiadaviek a správ: Riešenie MDM môže posielať do Apple zariadení množstvo požiadaviek na informácie vrátane sériového čísla hardvéru, identifikátora UDID zariadenia, MAC adresy (Media Access Control) Wi-Fi siete a stavu šifrovania FileVault (v prípade počítačov Mac). Okrem toho môže posielať požiadavky na informácie o softvéri, ako napríklad verzia a obmedzenia zariadenia a zoznam apiek nainštalovaných na zariadení. Tieto informácie je možné použiť na overenie toho, či si užívatelia udržiavajú tie správne apky. Systémy iOS a iPadOS umožňujú požiadavky o čase posledného zálohovania zariadenia na iCloud a o údaji použitia účtu v apke prihláseným užívateľom. V systéme tvOS môže riešenie MDM posielať požiadavky do registrovaných Apple TV zariadení a požiadať ich o informácie o jazyku, regionálnych nastaveniach a organizácii.
Prístup k podpore dodávateľa a jej pravidlá: MDM je služba s kritickým významom. Vyhodnoťte úroveň podpory, služieb a školení, ktoré poskytovateľ riešenia MDM ponúka.
Podľa takto stanovených kritérií môžete ešte pred konečným rozhodnutím zostaviť užší výber riešení MDM, nainštalovať ich na skúšku len na niekoľko testovacích zariadení a posúdiť, ktoré z nich najviac vyhovuje vašim predstavám. Apple School Manager je možné prepojiť s viacerými riešeniami MDM a priradiť jednotlivé zariadenia k rôznym serverom podľa potreby. Ďalšie informácie nájdete vo videu Choosing an MDM Solution (Výber riešenia MDM).
Požiadavky na sieť pre riešenie MDM
Pri inštalácii a nastavovaní riešenia MDM zvážte spôsob konfigurácie siete, protokolu TLS (Transport Layer Security), infraštruktúrnych služieb, Apple služieb a zálohovania.
Pri inštalácii riešenia MDM s lokálnym hostingom musíte všetky nižšie uvedené položky nakonfigurovať sami. Každú z nich nakonfigurujte a otestujte čo najskôr na začiatku celého procesu, aby ste zaistili bezproblémovú implementáciu. Ak je vaše riešenie MDM spravované externe alebo umiestnené na cloude, predajca MDM sa môže postarať o mnohé z týchto položiek namiesto vás:
DNS: Riešenie MDM musí používať plne spôsobilý názov domény, aby ho bolo možné vyriešiť zvnútra, ako i zvonka siete organizácie. Umožňuje to serveru spravovať zariadenia, či už sú pripojené lokálne alebo vzdialene. Názov domény sa nesmie zmeniť, aby sa zachovalo spojenie s klientmi.
IP adresa: Väčšina riešení MDM vyžaduje statickú IP adresu. Existujúci názov DNS sa musí zachovať v prípade, že sa zmení IP adresa servera.
Konfigurácia MDM pomocou TLS: Celá komunikácia medzi Apple zariadeniami a riešením MDM je šifrovaná pomocou HTTPS. Na zabezpečenie tejto komunikácie sa vyžaduje certifikát TLS (predtým SSL). Zariadenia neimplementujte bez certifikátu od dobre známej certifikačnej autority (CA). Skontrolujte dátum skončenia jeho platnosti a nezabudnite ho obnoviť pred jej vypršaním.
Porty firewallu: Na umožnenie interného aj externého prístupu k riešeniu MDM musia byť otvorené niektoré porty firewallu. Väčšina riešení MDM prijíma prichádzajúce pripojenia pomocou HTTPS na porte 443. Riešenie MDM aj zariadenia musia komunikovať so službou hlásení Apple Push. Do októbra 2020 používali riešenia MDM pre službu APNs porty 2195 a 2196, zatiaľ čo klientske zariadenia používali port 5223. Od novembra 2020 používajú riešenia MDM port 2197.
Tip: Vaše riešenie MDM môže hostiť kľúče úschovy a kódy na obídenie zámku aktivácie, bootstrap tokeny pre macOS a ďalšie jedinečné údaje, ktoré sú nevyhnutné na zachovanie prístupu k zariadeniam. Preto sa uistite, že máte pre svoju inštaláciu MDM v budove organizácie komplexnú stratégiu obnovy v prípade živelnej pohromy. Odporúča sa pravidelne testovať zálohovanie a obnovenie.