Úvod do profilov správy mobilných zariadení
Riešenie správy mobilných zariadení (MDM) vám umožňuje bezpečne a bezdrôtovo konfigurovať zariadenia prostredníctvom odosielania profilov a príkazov do zariadení, či už sú ich vlastníkmi užívatelia alebo vaša organizácia. Funkcie riešenia MDM zahŕňajú aktualizáciu softvéru a nastavení zariadení, monitorovanie súladu s pravidlami organizácie a vzdialené vymazanie alebo zamknutie zariadení. Užívatelia si môžu do MDM zaregistrovať svoje vlastné zariadenia. Zariadenia, ktoré vlastní organizácia, je možné do MDM zaregistrovať automaticky pomocou Apple School Managera alebo Apple Business Managera.
Ak chcete používať riešenie MDM, je potrebné, aby ste rozumeli niektorým základným pojmom. Prečítajte si preto nasledujúce časti o tom, ako riešenie MDM používa profily registrácie a konfiguračné profily, dohľad a objemy dát.
Podporované Apple zariadenia
Tieto Apple zariadenia majú vstavanú architektúru, ktorá podporuje riešenia MDM:
iPhone so systémom iOS 4 alebo novším
iPad so systémom iOS 4.3 alebo novším alebo iPadOS 13.1 alebo novším
Počítače Mac so systémom OS X 10.7 alebo novším
Apple TV so systémom tvOS 9 alebo novším
Apple Watch so systémom watchOS 10 alebo novším
Apple Vision Pro so systémom visionOS 1.1 alebo novším
Ako sa registrujú zariadenia
Registrácia v MDM zahŕňa registračné identity certifikátov klienta pomocou protokolov ako Automated Certificate Management Environment (ACME) alebo Simple Certificate Enrollment Protocol (SCEP). Zariadenia používajú tieto protokoly na vytváranie certifikátov unikátnej identity na overovanie služieb organizácie.
Pokiaľ registrácia neprebieha automaticky, rozhodujú o registrácii zariadení v riešení MDM ich užívatelia a môžu ich tiež z prostredia MDM kedykoľvek odstrániť. Odporúčame preto užívateľov nabádať, aby zostali v spravovanom režime. Môžete napríklad vyžadovať registráciu v MDM na prístup k Wi-Fi sieti tak, že cez MDM automaticky poskytnete prihlasovacie údaje do bezdrôtovej siete. Keď užívateľ riešenie MDM opustí, jeho zariadenie sa pokúsi oznámiť riešeniu MDM, že už ho naďalej nemôže spravovať.
Zariadenia, ktoré vaša organizácia vlastní, môžete v riešení MDM registrovať automaticky pomocou Apple School Managera alebo Apple Business Managera a počas počiatočného nastavenia pre ne aktivovať bezdrôtový dohľad. Tento proces registrácie sa označuje ako automatická registrácia zariadenia.
MDM a ochrana odcudzeného zariadenia
Keď je zapnutá ochrana odcudzeného zariadenia, v prípade, že sa užívateľ ocitne na neznámom mieste, nasledujúce akcie sa oneskoria o jednu hodinu:
manuálne zaregistrovať svoje zariadenie v riešení MDM,
Manuálna inštalácia profilu alebo konfigurácie kódu
Konfigurácia účtu Microsoft Exchange v nastaveniach alebo pomocou profilu či konfigurácie
Registračné profily
Registračný profil je jeden z dvoch hlavných spôsobov, ako si užívatelia môžu zaregistrovať zariadenie do riešenia MDM (druhým spôsobom je použitie registrácia užívateľov alebo registrácia zariadenie prostredníctvom účtov). S týmto profilom, ktorý obsahuje objem dát MDM, odosiela riešenie MDM do zariadenia príkazy, a v prípade potreby, aj dodatočné konfiguračné profily. Môže tiež od zariadenia vyžiadať informácie ako napríklad stav zámku aktivácie, úroveň nabitia batérie a názov.
Keď užívateľ odstráni profil registrácie, všetky konfiguračné profily, ich nastavenia a spravované apky založené na tomto profile registrácie, sa odstránia spolu s ním. Naraz môže byť na zariadení iba jeden profil registrácie.
Po schválení registračného profilu zariadením alebo užívateľom sa konfiguračné profily obsahujúce objemy dát doručia do zariadenia. Následne môžete bezdrôtovo distribuovať, spravovať a konfigurovať apky a knihy zakúpené cez Apple School Manager alebo Apple Business Manager. Užívatelia si môžu apky nainštalovať samostatne, alebo sa apky môžu nainštalovať automaticky v závislosti od typu apky, spôsobu priradenia a podľa toho, či je zariadenie pod dohľadom. Viac informácií nájdete v téme Informácie o dohľade nad zariadeniami Apple.
Konfiguračné profily
Konfiguračný profil je XML súbor (s príponou .mobileconfig) pozostávajúci z objemov dát, ktoré načítavajú nastavenia a informácie o autorizácii do Apple zariadení. Konfiguračné profily automatizujú konfiguráciu nastavení, účtov, obmedzení a osobných údajov. Tieto súbory môžu byť vytvorené v riešení MDM alebo v nástroji Apple Configurator pre Mac, prípadne ich možno vytvoriť manuálne. Viac informácií o používaní Apple Configuratora pre Mac na vytváranie a inštaláciu konfiguračných profilov na iPhone, iPade a Apple TV nájdete v téme Vytváranie a úprava konfiguračných profilov v užívateľskej príručke Apple Configuratora pre Mac.
Keďže konfiguračné profily môžu byť šifrované a podpísané, ich používanie môžete obmedziť na špecifické Apple zariadenie a s výnimkou užívateľských mien a hesiel môžete komukoľvek zabrániť v zmene nastavení. Konfiguračný profil môžete tiež označiť ako uzamknutý pre dané zariadenie.
Ak vaše MDM riešenie podporuje takúto funkciu, môžete konfiguračné profily distribuovať ako emailovú prílohu prostredníctvom odkazu na vašej webovej stránke alebo cez vstavaný užívateľský portál daného MDM riešenia. Keď užívatelia otvoria emailovú prílohu alebo si konfiguračný profil stiahnu pomocou webového prehliadača, zobrazí sa im výzva na spustenie inštalácie konfiguračného profilu.
Pomocou dodaného konfiguračného profilu môžete zmeniť nastavenia pre celé zariadenie alebo pre konkrétneho užívateľa:
Profily zariadenia, ktoré je možné odoslať do jednotlivých zariadení aj do skupín zariadení, nastavujú možnosti pre celé zariadenie.
iPhone, iPad, Apple TV, Apple Watch a Apple Vision Pro nemajú žiadny spôsob, ako rozpoznať viac ako jedného užívateľa, takže konfiguračné profily vytvorené pre podporované Apple zariadenia sú vždy profily zariadenia. V systéme iPadOS sa síce profily definujú ako profily zariadenia, ale iPady s nakonfigurovanou funkciou Zdieľaný iPad môžu podporovať profily založené na zariadení aj profily založené na užívateľovi.
Užívateľské profily je možné posielať užívateľom aj skupinám užívateľov (ak ich riešenie MDM podporuje). Slúžia na nastavenie užívateľských nastavení vždy len pre príslušných užívateľov. Počítače Mac môžu mať viacero užívateľov, takže objemy dát a nastavenia macOS profilov môžu byť založené buď na zariadení, alebo na užívateľovi. Užívateľský účet vytvorený v Sprievodcovi nastavením sa považuje za účet spravovaný riešením MDM, ktorý môže prijímať profily. Na Macu so systémom macOS 11 alebo novším je možné používať účet správcu (vytvorený riešením MDM počas registrácie) alternatívne ako spravovaný. Pri nasadeniach naviazaných na službu Active Directory je možné aktuálne prihlásených sieťových užívateľov spravovať pomocou riešenia MDM.
Nastavenia zariadenia a užívateľské nastavenia sa líšia podľa umiestnenia: Nastavenia nainštalované na úrovni systému sú umiestnené v kanáli zariadenia. Nastavenia nainštalované pre konkrétneho užívateľa sú umiestnené v užívateľskom kanáli.
Ďalšie informácie o inštalácii profilov a režime uzamknutia nájdete v článku podpory Apple Informácie o režime uzamknutia.
Odstránenie profilu
Spôsob odstránenia profilu záleží od spôsobu jeho inštalácie. Nasledujúca sekvencia určuje, ako je možné odstrániť profil:
1. Všetky profily je možné odstrániť vymazaním všetkých dát zo zariadenia.
2. Ak zariadenie bolo zaregistrované do riešenia MDM pomocou nástroja Apple School Manager alebo Apple Business Manager, správca môže vybrať, či profil registrácie môže odstrániť užívateľ, alebo či ho môže odstrániť iba samotný MDM server.
3. Ak je profil nainštalovaný MDM riešením, dá sa odstrániť daným konkrétnym MDM riešením alebo užívateľom, ktorý sa odregistruje z MDM tak, že odstráni registračný konfiguračný profil.
4. Ak je profil nainštalovaný na zariadení pod dohľadom pomocou Apple Configuratora, môže táto inštancia Apple Configurator vykonávajúca dohľad aj odstrániť profil.
5. Ak je profil nainštalovaný na zariadení pod dohľadom manuálne alebo pomocou Apple Configuratora, a daný profil má objem dát odstránenia hesla, na odstránenie profilu musí užívateľ zadať heslo na odstránenie.
6. Všetky ostatné profily môže odstrániť užívateľ.
Účet nainštalovaný konfiguračným profilom je možné odstrániť odstránením profilu. Účet Microsoft Exchange ActiveSync vrátane účtu nainštalovaného pomocou konfiguračného profilu je možné odstrániť pomocou servera Microsoft Exchange tak, že vydá príkaz len na vymazanie účtu.
Dôležité: Ak užívatelia poznajú kód zariadenia, môžu odstrániť manuálne nainštalované konfiguračné profily z iPhonu a iPadu, ktoré nie sú pod dohľadom, dokonca aj keď je možnosť nastavená na „nikdy“. Užívatelia na Macu môžu urobiť to isté, len ak užívateľ pozná užívateľské meno a heslo správcu. Dá sa to vykonať pomocou nástroja príkazového riadka profily alebo Systémových nastavení (v systéme macOS 13 alebo novšom aj v systéme macOS 12.0.1 alebo staršom). Na Macu so systémom macOS 10.15 alebo novším sa podobne ako pri iOS a iPadOS profily nainštalované pomocou MDM musia odstrániť taktiež pomocou MDM, prípadne sa odstránia automaticky pri zrušení registrácie v riešení MDM.
Požiadavky na komunikáciu v riešení MDM
Komunikácia riešení MDM tretích strán s Apple zariadeniami bude s najväčšou pravdepodobnosťou úspešná za nasledujúcich predpokladov:
Riešenie MDM je nastavené, úspešne otestované a funguje podľa očakávania.
Certifikát služby APNs je platný (jeho platnosť nevypršala).
Zariadenie je zapnuté.
Zariadenie je aktuálne zaregistrované v riešení MDM.
Sieť, ku ktorej je zariadenie pripojené, má prístup na internet (na komunikáciu cez službu APNs).
Sieť, ku ktorej je zariadenie pripojené, má prístup k hostiteľom Apple súvisiacim s riešením MDM.
Ďalšie informácie nájdete v článku podpory Apple Používanie Apple produktov v podnikových sieťach.
Poznámka: Spoločnosť Apple nemá nad riešeniami MDM tretích strán žiadnu kontrolu. Zlyhanie komunikácie s riešením MDM môže byť spôsobené aj ďalšími problémami, napríklad nesprávne nakonfigurovaným objemom dát MDM.