Загальна інформація про профілі керування мобільними пристроями
iOS, iPadOS, macOS, tvOS, watchOS 10 або новіші та visionOS 1.1 або новіші мають вбудоване середовище, яке підтримує рішення керування мобільними пристроями (MDM). MDM дає змогу безпечно та бездротовим чином конфігурувати пристрої, надсилаючи на них профілі і команди, незалежно від того, чи є вони власністю користувача, чи вашої організації. До можливостей MDM належать зокрема оновлення параметрів пристрою, контроль за дотриманням правил організації та віддалене стирання й замикання пристроїв. Користувачі можуть реєструвати свої власні пристрої в рішенні MDM, а пристрої, що належать організації, можна зареєструвати в MDM автоматично, використовуючи Apple School Manager або Apple Business Manager. Якщо ви використовуєте Apple Business Essentials, то можна скористуватися вбудованими засобами керування пристроями.
Якщо ви збираєтеся використовувати MDM, необхідно ознайомитися з деякими поняттями, зокрема щодо використання профілів реєстрації та конфігурації, нагляду та наборів даних в MDM, які наведено нижче.
Як пристрої реєструються
Реєстрація в MDM передбачає реєстрацію ідентифікаторів клієнтських сертифікатів за допомогою протоколів на зразок Automated Certificate Management Environment (ACME) або Simple Certificate Enrollment Protocol (SCEP). Пристрої використовують ці протоколи для створення унікальних сертифікатів посвідчень для автентифікації сервісів організації.
Якщо реєстрація не автоматизована, здебільшого користувачі вирішують, чи реєструватися в MDM, і можуть в будь-який момент відв’язати свій пристрій від MDM. Тому слід подумати про спонукання користувачів залишати свої пристрої керованими. Наприклад, можна вимагати реєстрацію в MDM для підключення до мережі Wi-Fi, автоматично надаючи ідентифікаційні дані для доступу через MDM. Після від’єднання від MDM пристрій намагається повідомити рішенню MDM, що ним більше не можна керувати.
Пристрої, які належать вашій організації, можна автоматично реєструвати в MDM за допомогою Apple School Manager, Apple Business Manager або Apple Business Essentials під час початкового налаштування та вести за ними нагляд бездротовим чином. Цей процес реєстрації має назву «Автоматизована реєстрація пристрою».
MDM і захист викраденого пристрою
Коли ввімкнуто функцію «Захист вкраденого пристрою», і якщо користувач перебуває в незнайомому місці, наведені нижче дії затримуються на годину.
вручну зареєструвати пристрій в MDM;
Інсталювання конфігурації або профілю коду допуску вручну
Настроювання облікового запису Microsoft Exchange у параметрах або за допомогою профілю чи конфігурації
Профілі реєстрації
Профіль реєстрації — це один із двох основних способів, за допомогою яких користувачі можуть зареєструвати особистий пристрій у рішенні MDM (інший спосіб — через реєстрацію користувача). За допомогою цього профілю, який містить набір даних MDM, рішення MDM надсилає на пристрій команди та, за необхідності, додаткові профілі конфігурації. Воно також може запитувати в пристрою інформацію, як-от статус блокування активації, рівень заряду акумулятора та ім’я.
Коли користувач вилучає профіль реєстрації, усі профілі конфігурації, їх параметри та керовані програми на основі профілю реєстрації вилучаються разом із ним. Одночасно на пристрої може бути лише один профіль реєстрації.
Коли профіль реєстрації буде схвалено пристроєм чи користувачем, на пристрій буде передано профілі конфігурації з наборами даних. Після цього можна через бездротову мережу розповсюджувати й конфігурувати програми та книги, придбані через Apple School Manager, Apple Business Manager або Apple Business Essentials, а також керувати ними. Користувачі можуть самостійно інсталювати програми або ж програми можуть інсталюватися автоматично залежно від типу програми, способу її призначення та наявності нагляду за пристроєм. Докладну інформацію наведено в статті Про нагляд за пристроями Apple.
Профайли конфігурації
Профіль конфігурації — це XML-файл (назва закінчується на .mobileconfig), який складається з наборів даних, що завантажують параметри та авторизаційну інформацію на пристрої Apple. Конфігураційні профайли автоматизують конфігурацію настройок, облікових записів, обмежень та ідентифікаційні дані. Ці файли можна створити за допомогою рішення MDM чи Apple Configurator для Mac, або їх можна створити вручну. Більше інформації про використання Apple Configurator для Mac для створення та інсталювання профілів конфігурації на iPhone, iPad і Apple TV наведено в статті Створення та редагування профілів конфігурації в посібнику користувача Apple Configurator для Mac.
Профілі конфігурації можуть бути зашифровані та підписані цифровим способом, що обмежує їх використання окремими пристроями Apple і не дозволяє іншим змінювати їх параметри (окрім імен користувача та паролів). Ви також можете позначити профіль конфігурації як замкнений на пристрої.
Якщо ваше рішення MDM підтримує ці варіанти, ви можете поширювати профілі конфігурації як вкладення пошти, через посилання на власній вебсторінці або через вбудований користувацький портал рішення MDM. Коли користувачі відкриватимуть вкладення пошти або викачуватимуть профіль конфігурації за допомогою веббраузера, їм пропонуватиметься почати інсталювання профілю конфігурації.
Ви можете доставляти профіль конфігурації, який здатен змінювати параметри всього пристрою або лише для одного користувача.
Профілі пристроїв можна надсилати на пристрої та на групи пристроїв і застосовувати параметри до всього пристрою.
Пристрої iPhone, iPad, Apple TV, Apple Watch і Apple Vision Pro не можуть розпізнавати більше одного користувача, тому профілі конфігурації, створені для iOS, iPadOS, tvOS, watchOS 10 або новіших та visionOS 1.1 або новіших завжди є профілями пристрою. Хоча профілі iPadOS є профілями пристрою, пристрої iPad, налаштовані для функції «Спільний iPad», можуть підтримувати профілі на основі пристрою чи користувача.
Профілі користувачів можна надсилати користувачам і, якщо це підтримується рішенням MDM, групам користувачів, а також застосовувати параметри лише до відповідних користувачів. Комп’ютери Mac можуть мати декілька користувачів, тому набори даних і параметри для профілів macOS можуть призначатися або пристроям, або користувачам. Профіль користувача, створений під час використання Асистента налаштування, розглядається як такий, що є керованим рішенням MDM і може отримувати профілі. Натомість, у macOS 11 або новіших обліковий запис адміністратора, створений MDM під час реєстрації, може бути керованим. Для розгортань, прив’язаних до Active Directory, користувач, який в даний момент знаходиться в мережі, стає керованим через MDM.
Параметри пристрою та користувача можуть різнитися залежно від місця розташування: параметри, інстальовані на рівні системи, перебувають у каналі пристрою, тоді як параметри, інстальовані для користувача, перебувають у каналі користувача.
Додаткову інформацію про інсталювання профілів і режим карантину дивіться в статті служби безпеки Apple Про режим карантину.
Вилучення профілю
Спосіб вилучення профілів залежить від способу їх інсталювання. Нижче наведено послідовність дій для вилучення профілю.
1. Усі профілі можна вилучити, стерши всі дані на пристрої.
2. Якщо пристрій зареєстровано в MDM за допомогою Apple School Manager, Apple Business Manager або Apple Business Essentials, адміністратор може вибрати, чи профіль реєстрації може вилучати користувач, чи лише сервер MDM.
3. Якщо профіль інстальовано за допомогою рішення MDM, його можна вилучити тим самим рішенням MDM, або ж користувач може скасувати реєстрацію в MDM, вилучивши конфігураційний профіль реєстрації.
4. Якщо профіль інстальовано на пристрої під наглядом за допомогою Apple Configurator, примірник Apple Configurator, яким здійснюється нагляд, може вилучати профіль.
5. Якщо профіль інстальовано на пристрої під наглядом вручну або за допомогою Apple Configurator, і якщо він містить набір даних для пароля вилучення, користувач має ввести пароль вилучення, щоб вилучити профіль.
6. Усі інші профілі може вилучати користувач.
Обліковий запис, інстальований за допомогою профілю конфігурації, можна вилучити шляхом видалення профілю. Обліковий запис Microsoft Exchange ActiveSync, зокрема інстальований за допомогою профілю конфігурації, може вилучити сервер Microsoft Exchange Server запуском команди віддаленого стирання тільки облікового запису.
Важливо! Якщо користувачі знатимуть код допуску до пристрою, вони зможуть вилучати інстальовані вручну профілі конфігурації з iPhone та iPad, які не є під наглядом, навіть якщо для опції вибрано значення «ніколи». Користувачі Mac можуть зробити те саме тільки за умови, що їм відомі ім’я користувача-адміністратора та його пароль. Вони можуть зробити це за допомогою інструмента командного рядка profiles, Системних параметрів (у macOS 13 або новішій), або Параметрів системи (у macOS 12.0.1 або старішій). У macOS 10.15 або новіших, як і в iOS та iPadOS, інстальовані за допомогою рішення MDM профілі слід вилучати за допомогою MDM, інакше вони вилучатимуться автоматично після скасування реєстрації в MDM.
Вимоги щодо зв’язку MDM
Зв’язок сторонніх рішень MDM з пристроями Apple буде успішнішим, якщо:
Рішення MDM налаштовано, протестовано і працює належним чином
Сертифікат APN дійсний і не прострочений
Пристрій увімкнено
Пристрій зареєстровано в MDM
Мережа, до якої під’єднано пристрій, має доступ до інтернету (для зв’язку через APN)
Мережа, до якої під’єднано пристрій, має мати можливість доступу до хостів Apple, пов’язаних з MDM
Докладну інформацію наведено в статті Служби підтримки Apple Використання продуктів Apple у корпоративних мережах.
Примітка. Apple не контролює сторонні рішення MDM. Додаткові проблеми, як-от неправильно конфігурований набір даних MDM, теж можуть бути причиною відсутності зв’язку з MDM.
Підтримувані пристрої Apple
Наведені нижче пристрої мають вбудоване середовище, яке підтримує MDM.
iPhone з iOS 4 або новішої версії
iPad з iOS 4.3 або новішою чи iPadOS 13.1 або новішою
Комп’ютери Mac з OS X 10.7 або новішою
Apple TV з tvOS 9 або новішою
Apple Watch з watchOS 10 або новішою
Apple Vision Pro з visionOS 1.1 або новішою
Примітка. Не всі опції доступні в усіх рішеннях MDM. Щоб дізнатися, які опції MDM доступні для ваших пристроїв, перегляньте документацію свого постачальника MDM.