Úvod do profilov správy zariadení
Služba správy zariadení umožňuje správcovi bezpečne a na diaľku konfigurovať zariadenia tak, že odošle konfigurácie, profily a príkazy do zariadenia, bez ohľadu na to, či ho vlastní užívateľ alebo vaša organizácia. Možnosti zahŕňajú aktualizáciu softvéru a nastavení zariadení, monitorovanie súladu s pravidlami organizácie a vzdialené vymazanie alebo zamknutie zariadení. Užívatelia si môžu zaregistrovať svoje vlastné zariadenia do služby správy zariadenia a organizácie môžu automaticky zaregistrovať zariadenia vlastnené organizáciou pomocou Apple School Managera alebo Apple Business Managera.
Ak chcete používať služby správy zariadení, je potrebné, aby ste rozumeli niektorým základným pojmom. Prečítajte si preto nasledujúce časti o tom, ako služba správy zariadení používa profily registrácie a konfiguračné profily, dohľad a objemy dát.
Podporované Apple zariadenia
Nasledujúce Apple zariadenia majú vstavaný rámec, ktorý podporuje správu zariadení:
iPhone so systémom iOS 4 alebo novším
iPad so systémom iOS 4.3 alebo novším alebo iPadOS 13.1 alebo novším
Počítače Mac so systémom OS X 10.7 alebo novším
Apple TV so systémom tvOS 9 alebo novším
Apple Watch so systémom watchOS 10 alebo novším
Apple Vision Pro so systémom visionOS 1.1 alebo novším
Ako sa registrujú zariadenia
Registrácia v službe správy zariadení zahŕňa registračné identity certifikátov klienta pomocou protokolov ako Automated Certificate Management Environment (ACME) alebo Simple Certificate Enrollment Protocol (SCEP). Zariadenia používajú tieto protokoly na vytváranie certifikátov unikátnej identity na overovanie služieb organizácie.
Pokiaľ registrácia neprebieha automaticky, rozhodujú o registrácii zariadení ich užívatelia a môžu ich tiež z prostredia služby kedykoľvek odstrániť. Odporúčame preto užívateľov nabádať, aby zostali v spravovanom režime. Môžete napríklad vyžadovať registráciu na prístup k Wi-Fi sieti tak, že pomocou služby správy zariadení automaticky poskytnete prihlasovacie údaje do bezdrôtovej siete. Keď užívateľ službu opustí, jeho zariadenie sa pokúsi oznámiť službe správy zariadení, že už ho naďalej nie je možné spravovať.
Zariadenia, ktoré vaša organizácia vlastní, môžete v službe správy zariadení registrovať automaticky pomocou Apple School Managera alebo Apple Business Managera a počas počiatočného nastavenia pre ne aktivovať bezdrôtový dohľad. Tento proces registrácie sa označuje ako automatická registrácia zariadenia.
Správa zariadení a ochrana odcudzeného zariadenia
Keď je zapnutá ochrana odcudzeného zariadenia, v prípade, že sa užívateľ ocitne na neznámom mieste, operačný systém oneskorí nasledujúce akcie o jednu hodinu:
Manuálna registrácia zariadenia do služby správy zariadení
Manuálna inštalácia profilu alebo konfigurácie kódu
Konfigurácia účtu Microsoft Exchange v časti Nastavenia alebo pomocou profilu či konfigurácie
Registračné profily
Registračný profil je jeden z dvoch hlavných spôsobov, ako si užívatelia môžu zaregistrovať zariadenie do služby správy zariadení (druhým spôsobom je použitie registrácia užívateľov alebo registrácia zariadenie prostredníctvom účtov). S týmto profilom, ktorý obsahuje objem dát, odosiela služba do zariadenia príkazy, a v prípade potreby, aj dodatočné konfiguračné profily. Môže tiež od zariadenia vyžiadať informácie ako napríklad stav zámku aktivácie, úroveň nabitia batérie a názov.
Keď užívateľ odstráni profil registrácie, všetky konfiguračné profily, ich nastavenia a spravované apky založené na tomto profile registrácie, sa odstránia spolu s ním. Naraz môže byť na zariadení iba jeden profil registrácie.
Po schválení registračného profilu zariadením alebo užívateľom sa konfiguračné profily obsahujúce objemy dát doručia do zariadenia. Následne môžete bezdrôtovo distribuovať, spravovať a konfigurovať apky a knihy zakúpené cez Apple School Manager alebo Apple Business Manager. Užívatelia si môžu apky nainštalovať samostatne, alebo sa apky môžu nainštalovať automaticky v závislosti od typu apky, spôsobu priradenia a podľa toho, či je zariadenie pod dohľadom. Viac informácií nájdete v téme Informácie o dohľade nad zariadeniami Apple.
Konfiguračné profily
Konfiguračný profil je XML súbor (s príponou .mobileconfig) pozostávajúci z objemov dát, ktoré načítavajú nastavenia a informácie o autorizácii do Apple zariadení. Konfiguračné profily automatizujú konfiguráciu nastavení, účtov, obmedzení a osobných údajov. Služba správy zariadení môže vytvoriť tieto súbory, alebo ich môžete vytvoriť manuálne prípadne pomocou nástroja Apple Configurator pre Mac. Viac informácií o používaní Apple Configuratora pre Mac na vytváranie a inštaláciu konfiguračných profilov na iPhone, iPade a Apple TV nájdete v téme Vytváranie a úprava konfiguračných profilov v užívateľskej príručke Apple Configuratora pre Mac.
Keďže konfiguračné profily môžete šifrovať a podpísať, ich používanie môžete obmedziť na špecifické Apple zariadenie a s výnimkou užívateľských mien a hesiel môžete komukoľvek zabrániť v zmene nastavení. Konfiguračný profil môžete tiež označiť ako uzamknutý pre dané zariadenie.
Ak vaša služba správy zariadení podporuje takúto funkciu, môžete konfiguračné profily distribuovať ako emailovú prílohu prostredníctvom odkazu na vašej webovej stránke alebo cez vstavaný užívateľský portál danej služby. Keď užívatelia otvoria emailovú prílohu alebo si konfiguračný profil stiahnu pomocou webového prehliadača, zobrazí sa im výzva na spustenie inštalácie konfiguračného profilu.
Pomocou dodaného konfiguračného profilu môžete zmeniť nastavenia pre celé zariadenie alebo pre konkrétneho užívateľa:
Profily zariadenia: Môžete odoslať profily zariadení do jednotlivých zariadení a skupín zariadení a použiť nastavenia zariadenia pre celé zariadenie.
iPhone, iPad, Apple TV, Apple Watch a Apple Vision Pro nemajú žiadny spôsob, ako rozpoznať viac ako jedného užívateľa, takže konfiguračné profily vytvorené pre podporované Apple zariadenia sú vždy profily zariadenia. V systéme iPadOS sa síce profily definujú ako profily zariadenia, ale iPady s nakonfigurovanou funkciou Zdieľaný iPad môžu podporovať profily založené na zariadení aj profily založené na užívateľovi.
Užívateľské profily: Užívateľské profily je možné posielať užívateľom a skupinám užívateľov (ak ich služba správy zariadení podporuje) a taktiež je možné aplikovať užívateľské nastavenia len príslušným užívateľom. Počítače Mac môžu mať viacero užívateľov, takže objemy dát a nastavenia macOS profilov môžete určiť podľa zariadenia alebo užívateľa. Užívateľský účet, ktorý vytvorí Sprievodca nastavením sa považuje za účet spravovaný službou správy zariadení, ktorý môže prijímať profily. Na Macu so systémom macOS 11 alebo novším je možné používať účet správcu vytvorený službou správy zariadení počas registrácie alternatívne ako spravovaný. Pri nasadeniach naviazaných na službu Active Directory sa aktuálne prihlásení sieťoví užívatelia stanú spravovanými užívateľmi.
Nastavenia zariadenia a užívateľské nastavenia sa líšia podľa umiestnenia: Nastavenia nainštalované na úrovni systému sú umiestnené v kanáli zariadenia. Nastavenia nainštalované pre konkrétneho užívateľa sú umiestnené v užívateľskom kanáli.
Ďalšie informácie o inštalácii profilov a režime uzamknutia nájdete v článku podpory Apple Informácie o režime uzamknutia.
Odstránenie profilu
Spôsob odstránenia profilu záleží od spôsobu jeho inštalácie. Nasledujúca sekvencia označuje, ako je možné odstrániť profil:
1. Všetky profily je možné odstrániť vymazaním všetkých dát zo zariadenia.
2. Ak bolo zariadenie zaregistrované do služby správy zariadení prepojenej s Apple School Managerom alebo Apple Business Managerom, správca môže vybrať, či užívateľ môže odstrániť registračný profil, alebo či ho môže odstrániť iba služba správy zariadení.
3. Ak služba správy zariadení nainštaluje profil, môže ho odstrániť táto služba alebo užívateľ, a to tak, že sa odregistruje zo služby (odstránením registračného konfiguračného profilu).
4. Ak je profil nainštalovaný pomocou Apple Configuratora, môže táto inštancia Apple Configuratora vykonávajúca dohľad aj odstrániť profil.
5. Ak profil nainštaluje Apple Configurator alebo ho nainštalujete vy manuálne na zariadení pod dohľadom, a daný profil obsahuje objem dát hesla na odstránenia, na odstránenie profilu musí užívateľ zadať heslo na odstránenie.
6. Užívateľ môže odstrániť všetky ostatné profily.
Účet nainštalovaný konfiguračným profilom je možné odstrániť odstránením profilu. Účet Microsoft Exchange ActiveSync vrátane účtu nainštalovaného pomocou konfiguračného profilu je možné odstrániť pomocou servera Microsoft Exchange tak, že vydá príkaz len na vymazanie účtu.
Dôležité: Ak užívatelia poznajú kód zariadenia, môžu odstrániť manuálne nainštalované konfiguračné profily z iPhonu a iPadu, ktoré nie sú pod dohľadom, dokonca aj keď je možnosť nastavená na Nikdy. Užívatelia na Macu môžu urobiť to isté, len ak užívateľ pozná užívateľské meno a heslo správcu. Dá sa to vykonať pomocou nástroja príkazového riadka profily alebo Systémových nastavení (v systéme macOS 13 alebo novšom aj v systéme macOS 12.0.1 alebo staršom). Na Macu so systémom macOS 10.15 alebo novším a podobne na systémoch iOS a iPadOS platí, že ak služba správy zariadení nainštaluje profil, odstrániť ho môže daná služba, alebo ho automaticky odstráni operačný systém po odregistrovaní zo služby.
Požiadavky na komunikáciu v službe správy zariadení
Komunikácia služby správy zariadení so zariadeniami Apple bude s najväčšou pravdepodobnosťou úspešná za nasledujúcich predpokladov:
Služba správy zariadení nastavuje zariadenie, úspešne ho testuje a zabezpečuje, že funguje správne.
Certifikát služby APNs je platný (jeho platnosť nevypršala).
Zariadenie je zapnuté.
Zariadenie je aktuálne zaregistrované v službe.
Sieť, ku ktorej je zariadenie pripojené, má prístup na internet (na komunikáciu cez službu APNs).
Sieť, ku ktorej je zariadenie pripojené, musí mať prístup k hostiteľom Apple súvisiacim so službou.
Ďalšie informácie nájdete v článku podpory Apple Používanie Apple produktov v podnikových sieťach.
Poznámka: Spoločnosť Apple nemá kontrolu nad službami správy zariadení tretích strán. Zlyhanie komunikácie môže byť spôsobené aj ďalšími problémami, napríklad nesprávne nakonfigurovaným objemom dát.