Розповсюдження керованих програм на пристроях Apple
Програми, інстальовані за допомогою служби керування пристроями, називаються керованими програмами. Вони часто містять конфіденційну інформацію, і ви ретельніше контролюєте їх, ніж програми, викачані користувачами.
Керовані програми можна інсталювати віддалено за допомогою служби керування пристроями, зокрема з конфігураціями й секретами для окремих програм, щоб налаштувати користувацький досвід роботи з програмами.
Установлення керованих програм
Служба керування пристроями може інсталювати програми за допомогою таких методів:
Декларативне керування програмами (iOS 17.2, iPadOS 17.2, macOS 26, visionOS 2.4 чи новіші)
Команда
InstallApplication
Якщо для програми використовується декларативне керування програмами, це має вищий пріоритет і призводить до невдачі виконання команди для цієї самої програми. Щоб спростити перехід, програми, інстальовані за допомогою команди InstallApplication, можна перетворити на керовані програми за допомогою декларативного керування програмами.
Важливо! Перш ніж почати інсталювання програми, придбаної в розділі Apps and Books (Програми й книги) в Apple School Manager або Apple Business Manager, служба керування пристроями має призначити ліцензію на пристрій або користувача.
Декларативне керування програмами дає змогу пристроям інсталювати програми самостійно та надає детальні відомості за допомогою звітів про статус. Використовуючи активаційні предикати, можна також задавати правила, коли інсталювати програму. Наприклад, пристрій інсталює програму, що потребує безпечного зʼєднання, тільки коли застосовано відповідну конфігурацію мережевого реле й на пристрої задано код допуску.
За допомогою декларативної системи керування програмами можна визначити програму як необхідну чи необов’язкову. Обовʼязкові програми інсталюються автоматично і залишаються на пристрої. Необовʼязкова програма буде інстальована за запитом користувача. Розробники служб керування пристроями можуть використовувати бібліотеку ManagedAppDistribution, щоб створити власну програму для обробки інсталювання таких програм.
На пристроях під наглядом програми інсталюються непомітно. Інакше користувачу пропонується схвалити інсталювання.
Програми, інстальовані на пристроях iPhone, iPad, Apple TV і Apple Vision Pro, завжди керовані. На Mac програми, інстальовані за допомогою декларативної системи керування програмами, також керуються, інакше служба керування пристроями може визначити стан керування для кожної програми окремо.
Інсталювання певної версії програми
Зазвичай інсталюється остання версія програми, доступна в App Store. З декларативним керуванням програмами можна інсталювати певну версію програми. Попередні версії програм зберігаються в App Store, якщо розробник не вирішив їх вилучити.
Щоб вказати версію в конфігурації, потрібно використовувати ідентифікатор програми ExternalVersionIdentifier.
Коли ви переймаєте керування програмою, локально інстальована версія автоматично оновлюється до версії, зазначеної в конфігурації. Якщо локально інстальована версія новіша за вказану, службі керування пристроями повертається помилка.
Бібліотека ManagedAppDistribution
Після призначення ліцензії програми пристрою чи користувачу й застосування відповідної декларативної конфігурації програми можна використовувати єдиний інтерфейс, щоб запустити інсталяцію програми за допомогою бібліотеки ManagedAppDistribution. Цю бібліотеку можуть імплементувати служби керування пристроями, і вона дає змогу інсталювання на пристрої без додаткових дій від служби керування пристроями. Крім того, це забезпечує для користувача прозорий перебіг і кращу взаємодію.
Конфігурування керованих програм
Організаціям часто потрібно налаштувати взаємодію користувачів з програмою за своїми потребами чи навіть для певної групи користувачів.
Бібліотека ManagedApp
На пристроях з iOS 18.4, iPadOS 18.4, visionOS 2.4 або новішої версії можна безпечно розгортати конфігурації й секрети (як‑от паролі, сертифікати й ідентифікатори) для конкретних керованих програм, які підтримують бібліотеку ManagedApp. Це дозволяє вам налаштувати поведінку програми, удосконалювати досвід користувача та посилити безпеку за допомогою декларативного керування програмами. Приклади:
Наперед конфігуруйте керовану програму або розширення програми для певного пристрою або користувача.
Використовуйте автоматично надані посвідчення для автентифікації та підпису.
Безпечно отримуйте токени доступу API.
Отримуйте сертифікати для власного довірення (закріплення сертифікатів).
Використовуйте ключі, привʼязані до обладнання, і кероване засвідчення пристроїв для надійної автентифікації пристрою.
Докладніше на вебсторінці Apple Developer: ManagedApp framework.
Атрибути програми
На iPhone, iPad і Apple Vision Pro можна визначити додаткові атрибути, які потрібно застосувати до програми:
Prevent Managed Apps from backing up data (Заборона резервного копіювання даних із керованих програм). Резервні копії даних керованих програм не створюються в Finder чи iCloud. Заборона резервного копіювання допомагає запобігти відновленню даних керованих програм, якщо служба керування пристроями видалить програму, а користувач повторно її інсталює пізніше.
Define a Network Relay or per-app VPN (Визначити мережеве реле або VPN на одну програму). Призначення програми до мережевого реле або конфігурації VPN, що тунелює трафік із програми.
Allow an app to be hidden or locked (Дозволити приховання або замикання програм). На пристроях iPhone і iPad з iOS 18 і iPadOS 18 або новіших версій користувачі можуть приховувати програми і навіть замикати їх. Для керованих програм можна обмежити ці функції. Якщо ви забороняєте користувачу замикати програму, то він не зможе і приховувати її.
Associated domains and direct downloads (Повʼязані домени й прямі викачування). Конфігуруйте повʼязані домени для програми та визначте, чи може пристрій використовувати прямі викачування для повʼязаних доменів.
Assign a content filter or DNS proxy (Призначити фільтр вмісту або DNS‑проксі). Призначте для програми фільтр вмісту чи конфігурацію DNS‑проксі.
Assign the app to a cellular slice (Призначити програму сегменту стільникової мережі) (лише для iPhone і iPad). Конфігуруйте програму, щоб вона використовувала конкретний сегмент стільникової мережі. Докладну інформацію наведено в статті Підтримка пристроїв Apple для сегментування мережі 5G.
Allow Tap to Pay (Дозволити Tap to Pay) (лише на iPhone). На пристроях з iOS 16.4 і новіших платіжну програму, яка виконується на передньому плані, можна позначити для захищеного використання під час транзакцій «Tap to Pay». Коли цей параметр задано, користувач має відмикати пристрій за допомогою Face ID, Touch ID або коду допуску після кожної транзакції, під час якої пристрій передавався клієнтові для введення PIN-коду картки.
Allow downloads over cellular (Дозволити викачування через стільникову мережу) (лише iPhone і iPad, лише декларативне керування програмами). Вказує, як пристрій використовує стільникову мережу під час викачування чи оновлення програми. Можна дозволити викачування будь-якого розміру, заборонити використання стільникової мережі або використовувати параметри App Store. Цей параметр не застосовується до дій, запущених користувачем.
Для програм, інстальованих за допомогою команди InstallApplication на iOS 14, iPadOS 14 і tvOS 14 або новіших, є додатковий параметр.
Mark apps as nonremovable (Позначення програм такими, які не можна вилучити). Можна позначити керовану програму як таку, яку не можна вилучити. Це дозволяє користувачам впорядковувати програми, інсталювати нові програми та видаляти інші програми, але забороняє вилучати важливі керовані програми. Якщо користувачі намагаються видалити або вивантажити керовану програму, їм це не вдасться та з’явиться відповідне застереження. Завдяки керованим програмам, вилучення яких заборонене, користувачі в організації завжди матимуть необхідні програми на своїх пристроях.
Декларативне керування програмами автоматично позначає необхідні програми як такі, які не можна вилучити.
Перетворення некерованих програм на керовані
Якщо користувач вже інсталював програму, служба керування пристроями може взяти на себе керування цією програмою. На пристроях під наглядом це відбувається без участі користувача, в іншому разі користувач має формально погодити керування. Конвертування програм недоступне для реєстрації за обліковим записом.
Оновлення керованих програм
Служба керування пристроями може керувати тим, як оновлюються керовані програми.
Оновлення програм із декларативним керуванням програмами
Програми, розгорнуті за допомогою декларативного керування програмами, можна оновлювати двома способами:
Використовуючи автоматичне оновлення програм
Через інсталювання нової конфігурації, яка вказує або відсутність, або новішу версію програми. Якщо версію не вказано, інсталюється найновіша доступна версія.
Параметр поведінки оновлень дозволяє задати спосіб оновлення програм:
Automatically (Автоматично). Пристрій періодично (зазвичай що 24 години) перевіряє App Store чи файл маніфесту на наявність нових версій і автоматично оновлює програму до найновішої версії.
Never (Ніколи). Пристрій ніколи не оновлює цю програму автоматично.
App Store settings (Параметри App Store). Пристрій використовує параметри відповідного магазину і також ніколи не автоматично не оновлює власні внутрішні програми.
На iPhone, iPad і Apple Vision Pro програма оновлюється, коли пристрій замкнено. У macOS користувачу пропонується закрити програму, якщо це потрібно.
Примітка. Якщо в конфігурації зазначено конкретну версію програми, пристрій ігнорує конфігурацію поведінки оновлення та вимикає автоматичне оновлення програм.
Оновлення програм за допомогою команди інсталювання
Якщо програму інстальовано за допомогою команди, служба керування пристроєм періодично перевіряє App Store чи файл маніфесту на наявність нових версій і потім надсилає на пристрій команду інсталювання програми для оновлення програми. Це також застосовується до спеціальних програм. Призначені для пристрою програми оновлюються тільки тоді, коли служба керування пристроями надсилає команду інсталювання програми. Користувачі не отримуватимуть сповіщень про оновлення програми в App Store.
Якщо пристрій під наглядом, оновлення застосовується непомітно, якщо програма не працює на передньому плані, — тооді користувач отримує повідомлення про оновлення. На пристроях без нагляду користувачу пропонується схвалити чи скасувати оновлення.
Remove Managed Apps (Вилучити керовані програми)
Керовані програми можна вилучити з пристрою:
Віддалено службою керування пристроями через вилучення конфігурації програми або надсилання команди вилучення програми.
Коли користувач відв’язує пристрій від служби керування пристроями.
Під час скасування реєстрації також вилучаються застосовані конфігурації програм і повʼязані з ними програми.
Якщо програму інстальовано за допомогою команди інсталювання програми, можна задати атрибут, який визначає, чи буде вилучено програму після скасування реєстрації.
Керовані програми завжди вилучаються під час скасування реєстрації за обліковим записом.
На пристроях iPhone, iPad і Apple Vision Pro вилучення програми також призводить до вилучення пов’язаної з нею інформації в контейнері даних.
Відкликання ліцензії програми
Служба керування пристроями може відкликати ліцензію програми, призначену для пристрою чи користувача.
Відкликання ліцензії програми, інстальованої за допомогою декларативного керування програмами
Якщо служба керування пристроями відкликає ліцензію програми, інстальованої за допомогою декларативної керування програмами, програму буде вилучено.
Відкликання ліцензії програми, інстальованої за допомогою команд інсталювання
Якщо служба керування пристроями відкликає ліцензію програми, але не вилучає її, програму можна використовувати до запуску вхідної перевірки.
Після деактивації програми її не можна більше запустити, а користувач отримує сповіщення. Проте програма залишається на пристрої, і дані зберігаються. Після того, як користувач придбає копію, програму можна використовувати знову.