選擇行動裝置管理解決方案
什麼是行動裝置管理(MDM)?
iOS、iPadOS、macOS 和 tvOS 內建支援行動裝置管理(MDM)的架構。MDM 可將描述檔和指令傳送到裝置來讓你以安全和無線的方式設定裝置(無論它們是否由使用者或組織所擁有)。MDM 功能包含更新軟體和裝置設定、監控與組織政策的合規事項,以及遠端清除或鎖定裝置。使用者可在 MDM 中註冊自己的裝置,而組織擁有的裝置可使用「Apple 校務管理」在 MDM 中自動註冊。
MDM 是如何運作的?
註冊描述檔經裝置或使用者核准後,包含承載資料的設定描述檔便會傳送到裝置。然後你便能以無線方式分配、管理和設定透過「Apple 校務管理」購買的 App 與書籍。使用者可以自行安裝 App,或者 App 可依據類型、指派方式以及是否監管裝置而定,來自動進行安裝。
選取 MDM 解決方案時的考量事項
有許多各類型第三方所提供的 MDM 解決方案。在選擇解決方案前,你應先評估哪些 MDM 層面對你的組織最重要,包括主機選項和價格。以下的提示可協助你進行選擇。
【提示】在進行部署之前,請務必選取適當的 MDM 解決方案。於部署中途進行更改可能需要清除每部裝置並重新註冊。
本機託管或雲端託管:MDM 解決方案可託管於本機伺服器或雲端。MDM 是輕量且以 HTTPS 為基礎的通訊協定,可管理位於全球各地的裝置,對資料流量的影響不高,十分適用於雲端託管。如果你的組織選擇雲端託管或網際網路託管的解決方案,便可大幅減少或完全省略本參考指南中所說明的許多 MDM 設定步驟。
裝置支援:某些 MDM 解決方案對特定 Apple 裝置類型提供內建深度支援,例如,只針對 Mac 電腦或 iPhone 裝置,而其他解決方案則提供跨平台支援。你可以選擇混合不同 MDM 廠商,讓每種裝置類型都受到專用的解決方案支援。依照「Apple 校務管理」中的裝置類型自動指派可讓支援變得容易。或是選擇支援組織中所有 Apple 裝置類型的 MDM 廠商。
以教育機構為中心的功能:部分 MDM 供應商會提供專門針對教育環境設計的功能。請確定你的 MDM 廠商支援如「Apple 校務管理」、「課堂」、「課業」、「共享的 iPad」和最新版 Apple 作業系統發表當天推出之所有教育功能的解決方案。
查詢和報告服務:MDM 解決方案可查詢各種 Apple 裝置資訊,包含硬體序號、裝置 UDID、Wi-Fi、媒體存取控制(MAC)位址或「檔案保險箱」加密狀態(Mac 電腦適用)。其也可查詢軟體資訊,如裝置版本與限制,並列出裝置上安裝的 App。這些資訊可確保使用者裝置上擁有適當的 App。iOS 與 iPadOS 允許查詢上次裝置備份到 iCloud 的時間,以及已登入之使用者的 App 指派帳號雜湊。在 tvOS 中,MDM 可以查詢註冊的 Apple TV 裝置的資產資訊,如語言、地區與組織。
供應商支援取用和規則:MDM 是一項重要任務的服務。你需要評估 MDM 廠商所提供的支援、服務和訓練。
你可以根據你的條件製作一份 MDM 解決方案簡短清單,並安排透過幾部測試裝置進行試用,以評估哪個解決方案最能滿足你的需求,然後再做出最終決策。「Apple 校務管理」可讓你與多個 MDM 解決方案連結,並視需要將裝置指派給不同的伺服器。如需更多資訊,請觀看選擇 MDM 解決方案影片。
你 MDM 解決方案的網路要求
安裝和設定你的 MDM 解決方案時,請考量你要如何設定網路、「傳輸層安全性」(TLS)、基礎架構服務、Apple 服務和備份。
當你安裝在本機託管的 MDM 解決方案時,需要設定下列所有項目。請在流程中設定並儘早測試每個項目,以確保部署順利進行。若你的 MDM 解決方案於外部管理或於雲端託管,你的 MDM 供應商可代表你處理以下這些項目:
DNS:MDM 解決方案必須使用完全合格的網域名稱,以便從組織網路的內部和外部進行解析。這樣可讓伺服器管理裝置,無論這些裝置是否與本機連線或遠端連線。為了維持與用戶端的連線,此網域名稱無法更改。
IP 位址:大部分的 MDM 解決方案需要有固定 IP 位址。若伺服器的 IP 位址有所更動,現有 DNS 名稱必須維持不變。
設定 MDM 和 TLS:Apple 裝置和 MDM 解決方案間的所有通訊都使用 HTTPS 加密。系統必須使用 TLS(前身為 SSL)憑證來保護這些通訊。若沒有來自知名憑證機構(CA)的憑證,請勿部署裝置。請留意到期日,並確定在憑證到期前完成更新。
防火牆連接埠:若要同時啟用對 MDM 解決方案的內部與外部存取,特定防火牆傳輸埠必須開啟。大部分的 MDM 解決方案於傳輸埠 443 接受使用 HTTPS 的入埠連線。MDM 解決方案和裝置兩者必須以「Apple 推播通知服務」進行通訊。2020 年 11 月之前,MDM 解決方案使用連接埠 2195 和 2196 來搭配 APNs;用戶端則使用連接埠 5223。2020 年 11 月之後,MDM 解決方案會使用連接埠 2197。
【提示】你的 MDM 解決方案可能會託管對裝置取用的持續性相當重要的「啟用鎖定」委付密鑰和旁路代碼、macOS Bootstrap 代號和其他獨有資料片段。有鑑於此,請確定你針對內部部署 MDM 安裝具備健全的嚴重損壞復原策略。建議定期測試備份和還原。