Välja en MDM-lösning
Vad är MDM?
iOS, iPadOS, macOS och tvOS har inbyggda ramverk som ger stöd för MDM (Mobile Device Management). Med MDM kan du säkert och trådlöst konfigurera enheter genom att skicka profiler och kommandon till enheterna, vare sig de ägs av användaren eller organisationen. MDM-funktioner inkluderar uppdatering av programvara och enhetsinställningar, övervakning av att organisationens policyer följs samt fjärradering och fjärrlåsning av enheter. Användarna kan registrera sina egna enheter i MDM, och organisationsägda enheter kan registreras i MDM automatiskt via Apple School Manager.
Hur fungerar MDM?
När registreringsprofilen har godkänts (antingen av enheten eller av användaren) skickas konfigurationsprofiler som innehåller nyttolaster till enheten. Du kan sedan trådlöst distribuera, hantera och konfigurera appar och böcker som har köpts in via Apple School Manager. Användarna kan installera appar själva, eller så kan appar installeras automatiskt beroende på vilken typ av app det är, hur den tilldelas och om enheten övervakas eller inte.
Vad är övervakning?
Övervakning innebär normalt att enheten ägs av organisationen, vilket ger ökad kontroll över dess konfiguration och begränsningar.
Mer information finns i Om Apple-enhetsövervakning i Driftsättning av Apple-plattformar.
Överväganden när du väljer en MDM-lösning
Det finns många olika MDM-lösningar från tredje part att välja på. Du bör utvärdera vilka aspekter av MDM-lösningen som är viktigast för organisationen, som alternativ för att agera värd samt pris, innan du väljer en lösning. Tipsen nedan kan vara till hjälp.
Tips: Det är viktigt att du väljer en lämplig MDM-lösning innan du driftsätter något. Om du ändrar något mitt i driftsättningen kanske du måste radera alla enheter och registrera dem igen.
Lokal eller molnbaserad: En MDM-lösning kan vara baserade på en lokal server eller i molnet. MDM är ett effektivt HTTPS-baserat protokoll som kan hantera enheter var som helst i världen med låg påverkan på datatrafiken, vilket gör att den passar väl för placering i molnet. Om organisationen väljer en moln- eller internetbaserad lösning kan många av de inställningssteg för MDM som beskrivs i det här referensdokumentet hoppas över eller kortas ned.
Enhetssupport: Vissa MDM-lösningar har inbyggt stöd för endast specifika typer av Apple-enheter, t.ex. bara Mac-datorer eller iPhone-enheter, medan andra erbjuder stöd för flera olika typer av enheter. Du kan välja en blandning av MDM-leverantörer så att varje enhetstyp stöds med en riktad lösning. Automatisk tilldelning efter enhetstyp i Apple School Manager gör det här enkelt. Du kan också välja en MDM-leverantör med stöd för alla Apple-enhetstyper som används i organisationen.
Utbildningscentrerad funktionalitet: Vissa MDM-leverantörer erbjuder funktioner speciellt skapade för utbildningsmiljöer. Se till att MDM-leverantören har stöd för lösningar som Apple School Manager, Klassrum, Skolarbete och Delad iPad och alla de nya utbildningsfunktionerna som följer med de senaste versionerna av Apple-operativsystem.
Förfrågnings- och rapporteringstjänster: En MDM-lösning kan skicka en förfrågan till Apple-enheter om olika typer av information, t.ex. serienumret på maskinvaran, enhetens UDID, Wi-Fi-MAC-adress (Media Access Control) och FileVault-krypteringsstatus (för Mac-datorer). Den kan också efterfråga programvaruinformation, som enhetsversion och begränsningar, och lista vilka appar som är installerade på enheten. Denna information kan användas till att kontrollera att användarna har de programvaror de ska ha på sina enheter. iOS och iPadOS tillåter förfrågningar om senaste gången enheten säkerhetskopierades till iCloud och den inloggade användarens kontohash för apptilldelning. I tvOS kan MDM skicka förfrågningar till registrerade Apple TV-enheter och begära information som språk, plats och organisation.
Tillgång och policyer för leverantörsstöd: MDM är en verksamhetskritisk tjänst. Du måste utvärdera supporten, tjänsterna och utbildningen din MDM-leverantör erbjuder.
Du kan skapa en urvalslista med MDM-lösningar baserat på villkor som du ställer upp. Ställ sedan in de olika lösningarna för bara några få testenheter och utvärdera vilken lösning som bäst uppfyller organisationens behov innan du fattar ett slutligt beslut. Med Apple School Manager kan du ansluta till fler än en MDM-lösning, och tilldela enheter till olika servrar efter behov. Mer information finns i videon Choosing an MDM Solution.
Nätverkskrav för MDM-lösningen
När du installerar och ställer in MDM-lösningen bör du tänka på hur du ska konfigurera nätverket, TLS (Transport layer Security), infrastrukturtjänster, Apple-tjänster och säkerhetskopiering.
När du installerar en MDM-lösning med lokal värd måste du konfigurera alla de följande objekten. Konfigurera och testa vart och ett tidigt i processen så att du är säker på att driftsättningen går problemfritt. Om MDM-lösningen hanteras externt eller ligger i molnet kanske MDM-leverantören hanterar många av de här objekten åt dig:
DNS: En MDM-lösning måste använda ett fullständigt domännamn som är åtkomligt både inifrån och utanför organisationens nätverk. På så vis kan servern hantera enheter vare sig de är fjärranslutna eller anslutna lokalt. För att kontakten med klienterna ska kunna upprätthållas måste domännamnet behållas oförändrat.
IP-adress: De flesta MDM-lösningar kräver en statisk IP-adress. Det befintliga DNS-namnet måste stå kvar oförändrat även om serverns IP-adress ändras.
Konfigurering av MDM med TLS: All kommunikation mellan Apple-enheter och MDM-lösningen krypteras med HTTPS. Ett TLS-certifikat (förut SSL) krävs för att göra dessa kommunikationer säkra. Driftsätt inte några enheter utan certifikat från en välkänd certifikatutfärdare. Lägg märke till utgångsdatumet och se till att förnya certifikatet innan det går ut.
Brandväggsportar: För att kunna ge både intern och extern tillgång till MDM-lösningen måste vissa brandväggsportar vara öppna. De flesta MDM-lösningar accepterar inkommande anslutningar via HTTPS på port 443. Både MDM-lösningen och enheterna måste kommunicera med Apples tjänst för pushnotiser (APNs). Före november 2020 använde MDM-lösningen portarna 2195 och 2196 för APNs och klienterna använder port 5223. Efter november 2020 använder MDM-lösningar port 2197.
Tips: Din MDM-lösning kan vara värd för deponerade nycklar och förbigångskoder för aktiveringslås, macOS bootstrap-tokens och andra viktiga datadelar som är viktiga för fortsatt enhetsåtkomst. Av det skälet bör du se till att ha en robust haveristrategi för återställning av lokala MDM-installationer. Säkerhetskopior och återskapningar bör testas regelbundet.