Introduktion till enhetshanteringsprofiler
En enhetshanteringstjänst som gör att en administratör kan fjärrkonfigurera enheter på ett säkert sätt genom att skicka konfigurationer, profiler och kommandon till enheten, oavsett om användaren eller organisationen äger enheten. Funktioner inkluderar uppdatering av programvara och enhetsinställningar, övervakning av att organisationens policyer följs samt fjärradering och fjärrlåsning av enheter. Användare kan registrera sina egna enheter i en enhetshanteringstjänst och organisationer kan automatiskt registrera organisationsägda enheter via Apple School Manager eller Apple Business Manager.
Det finns några koncept som du bör förstå om du ska använda en enhetshanteringstjänst. Läs de följande avsnitten så förstår du hur en enhetshanteringstjänst använder registrerings- och konfigurationsprofiler, övervakning och nyttolaster.
Apple-enheter som stöds
Följande Apple-enheter har ett inbyggt ramverk som stöder enhetshantering:
iPhone med iOS 4 eller senare
iPad med iOS 4.3 eller senare eller iPadOS 13.1 eller senare
Mac-datorer med OS X 10.7 eller senare
Apple TV med tvOS 9 eller senare
Apple Watch med watchOS 10 eller senare
Apple Vision Pro med visionOS 1.1 eller senare
Så här registreras enheter
Registrering i en enhetshanteringstjänst omfattar registrering av klientcertifikat-ID:n med protokoll som Automated Certificate Management Environment (ACME) eller Simple Certificate Enrollment Protocol (SCEP). Enheterna använder de här protokollen till att skapa unika identitetscertifikat för autentisering av en organisations tjänster.
Med undantag för om registreringen är automatisk väljer användarna om de vill registrera sin enhet och de kan när som helst avregistrera sina enheter från tjänsten. Därför bör du på olika sätt uppmuntra användarna till att fortsätta vara hanterade. Du kan till exempel kräva registrering för tillgång till Wi-Fi-nätverket genom att använda enhetshanteringstjänsten till att automatiskt tillhandahålla de trådlösa inloggningsuppgifterna. När en användare lämnar tjänsten försöker enheten meddela enhetshanteringstjänsten att den inte längre kan hanteras.
För enheter som organisationen äger kan du använda Apple School Manager eller Apple Business Manager till att automatiskt registrera dem i en enhetshanteringstjänst och övervaka dem trådlöst under den inledande inställningen. Detta kallas automatisk enhetsregistrering.
Enhetshantering och Skydd för stulen enhet
När Skydd för stulen enhet har slagits på, och användaren befinner sig på en obekant plats, fördröjer operativsystemet följande åtgärder en timme:
Manuell registrering av enheten i en enhetshanteringstjänst
Manuell installation av en lösenkodsprofil eller -konfiguration
Konfiguration av ett Microsoft Exchange-konto i Inställningar eller med en profil eller konfiguration
Registreringsprofiler
En registreringsprofil är ett av två huvudsakliga sätt som användare kan registrera en personlig enhet i en enhetshanteringstjänst (det andra sättet är att använda användarregistrering eller kontodriven enhetsregistrering). Med den här profilen, som innehåller en nyttolast, skickar tjänsten kommandon och vid behov ytterligare konfigurationsprofiler till enheten. Den kan också skicka förfrågningar till enheten om information som dess aktiveringslåsstatus, batterinivå och namn.
När en användare tar bort en registreringsprofil tas samtidigt även alla konfigurationsprofiler, deras inställningar och alla hanterade appar som är kopplade till den registreringsprofilen bort. Det kan bara finnas en registreringsprofil i taget på en och samma enhet.
När registreringsprofilen har godkänts (antingen av enheten eller av användaren) skickas konfigurationsprofiler som innehåller nyttolaster till enheten. Du kan sedan trådlöst distribuera, hantera och konfigurera appar och böcker som har köpts in via Apple School Manager eller Apple Business Manager. Användarna kan installera appar, eller så kan appar installeras automatiskt beroende på vilken typ av app det är, hur den har tilldelats och om enheten övervakas eller inte. Mer information finns i Om Apple-enhetsövervakning.
Konfigurationsprofiler
En konfigurationsprofil är en XML-fil (med filnamnstillägget .mobileconfig) som består av nyttolaster som läser in inställningar och auktoriseringsinformation på Apple-enheter. Konfigurationsprofiler automatiserar konfigureringen av inställningar, konton, begränsningar och behörigheter. En enhetshanteringstjänst kan skapa de här filerna, men du kan också skapa dem manuellt eller med Apple Configurator för Mac. Mer information om att använda Apple Configurator för Mac till att skapa och installera konfigurationsprofiler på iPhone-, iPad- och Apple TV-enheter finns i Create and edit configuration profiles i Apple Configurator for Mac User Guide.
Eftersom du kan kryptera och signera konfigurationsprofiler kan du begränsa deras användning till specifika Apple-enheter och – med undantag för användarnamn och lösenord – förhindra att någon annan änder inställningarna. Du kan också markera en konfigurationsprofil som låst till enheten.
Om enhetshanteringstjänsten har stöd för det kan du distribuera konfigurationsprofiler som en e-postbilaga, via en länk på en webbsida, eller via tjänstens inbyggda användarportal. När användarna öppnar e-postbilagan eller hämtar konfigurationsprofilen via en webbläsare får de en uppmaning om att påbörja installationen av konfigurationsprofilen.
Du kan leverera en konfigurationsprofil som kan ändra inställningar för en hel enhet eller för en enskild användare:
Enhetsprofiler: Du kan skicka enhetsprofiler till enheter och enhetsgrupper och göra inställningar på hela enheten.
iPhone, iPad, Apple TV, Apple Watch och Apple Vision Pro kan inte identifiera fler än en användare, så konfigurationsprofiler skapade för Apple-enheter som stöds är alltid enhetsprofiler. Även om iPadOS-profiler är enhetsprofiler har iPad-enheter som är konfigurerade för Delad iPad stöd för profiler som är baserade på enheten eller användaren.
Användarprofiler: Du kan skicka användarprofiler till användare och (om enhetshanteringstjänsten stöder dem) användargrupper samt använda användarinställningar endast för de respektive användarna. Mac-datorer kan ha flera användare, så nyttolaster och inställningar för macOS-profiler kan baseras på antingen enheten eller användaren. Användarkontot som inställningsassistenten skapar betraktas som hanterat av enhetshanteringstjänsten och kan ta emot profiler. För en Mac med macOS 11 eller senare kan ett administratörskonto som skapas av en enhetshanteringstjänst under registreringen väljas att hanteras istället. För Active Directory–kopplade driftsättningar blir den aktuella inloggade nätverksanvändaren en hanterad användare.
Enhets- och användarinställningar varierar beroende på var de finns: Inställningar som är installerade på systemnivå finns i en enhetskanal. Inställningar som är installerade för en användare finns i en användarkanal.
Mer information om profilinstallation och Låst läge finns i Apple Support-artikeln Om låsningsläge.
Borttagning av profiler
Hur du tar bort profiler beror på hur de har installerats. Följande visar hur du kan ta bort en profil:
1. Du kan ta bort alla profiler genom att radera alla data från enheten.
2. Om enheten har registrerats i en enhetshanteringstjänst som är länkad till Apple School Manager eller Apple Business Manager kan administratören välja om användaren ska kunna ta bort registreringsprofilen eller om bara enhetshanteringstjänsten kan ta bort den.
3. Om en enhetshanteringstjänst installerar profilen kan den tjänsten ta bort den. Användaren kan också ta bort den genom att avregistrera sig från tjänsten (genom att ta bort registreringskonfigurationsprofilen).
4. Om Apple Configurator installerar profilen kan den övervakande instansen av Apple Configurator ta bort profilen.
5. Om Apple Configurator installerar profilen, eller om du installerar den manuellt på en övervakad enhet och profilen har en nyttolast för borttagning av lösenord, måste användaren ange lösenordet för borttagning för att ta bort profilen.
6. Användaren kan ta bort alla andra profiler.
Ett konto som har installerats av en konfigurationsprofil kan tas bort genom att profilen tas bort. Ett Microsoft Exchange ActiveSync-konto, inklusive ett som har installerats via en konfigurationsprofil, kan tas bort av Microsoft Exchange Server genom att ett kommando för fjärradering av endast kontot utfärdas.
Viktigt: Om användare känner till enhetslösenkoden kan de manuellt ta bort installerade konfigurationsprofiler från en iPhone och iPad som inte övervakas även om alternativet är inställt på Never. Användare på en Mac kan göra samma sak förutsatt att användaren har en administratörs användarnamn och lösenord. De kan göra det med kommandoradsverktyget profiles eller Systeminställningar. För en Mac med macOS 10.15 eller senare, liksom i iOS och iPadOS, kan en enhetshanteringstjänst som installerar en profil ta bort den och operativsystemet tar bort den automatiskt vid avregistrering från tjänsten.
Kommunikationskrav för enhetshanteringstjänst
Enhetshanteringstjänstens kommunikation med Apple-enheter fungerar sannolikt bäst när följande gäller:
Enhetshanteringstjänsten ställer in enheten, testar den och kontrollerar att den fungerar korrekt
APNs-certifikatet är giltigt och har inte löpt ut
Enheten är påslagen
Enheten är för närvarande registrerad i tjänsten
Nätverket som enheten är ansluten till har tillgång till internet (för APNs-kommunikation)
Nätverket som enheten är ansluten till måste kunna ansluta till tjänsterelaterade Apple-värdar
Om du vill veta mer läser du Apple Support-artikeln Använda Apple-produkter i ett företagsnätverk.
Obs! Apple har ingen kontroll över enhetshanteringstjänster från tredje part. Andra problem, till exempel en felkonfigurerad nyttolast, kan också leda till att kommunikation misslyckas.