Introduksjon til administrering av profiler for mobile enheter
Med MDM kan du konfigurere enheter sikkert og trådløst ved å sende profiler og kommandoer til enheten enten de eies av brukeren eller organisasjonen. Mulighetene med MDM inkluderer oppdatering av programvare og enhetsinnstillinger, kontroll av etterlevelse av organisasjonens regler og fjernsletting og fjernlåsing av enheter. Brukere kan registrere sine egne enheter i MDM, og enheter som eies av en organisasjon, kan registreres i MDM automatisk ved hjelp av Apple School Manager eller Apple Business Manager.
Det er noen begreper du må forstå for å bruke MDM, så les disse avsnittene for å se hvordan MDM bruker registrering og konfigurasjonsprofiler, tilsyn og nyttelaster.
Støttede Apple-enheter
Følgende Apple-enheter har et innebygd rammeverk som støtter MDM:
iPhone med iOS 4 eller nyere
iPad med iOS 4.3 eller nyere eller iPadOS 13.1 eller nyere
Macer med OS X 10.7 eller nyere
Apple TV med tvOS 9 eller nyere
Apple Watch med watchOS 10 eller nyere
Apple Vision Pro med visionOS 1.1 eller nyere
Registrering av enheter
Registrering i MDM innebærer registrering av klientsertifikatidentiteter via protokoller som Automated Certificate Management Environment (ACME) eller Simple Certificate Enrollment Protocol (SCEP). Enheter bruker disse protokollene til å opprette unike identitetssertifikater for autentisering av organisasjonens tjenester.
Med mindre registrering er automatisk, kan brukerne velge om de vil registrere enhetene i MDM, og de kan når som helst melde enhetene ut av MDM. Du bør derfor vurdere incentiver som gjør at brukere forblir administrert. For eksempel kan du kreve MDM-registrering for tilgang til Wi-Fi-nettverket ved å bruke MDM til å overføre akkreditivene til det trådløse nettet automatisk. Når en bruker forlater MDM, forsøker enheten å varsle MDM-løsningen om at den ikke lenger kan administreres.
Når det gjelder enheter som organisasjonen eier, kan du bruke Apple School Manager eller Apple Business Manager for å registrere dem automatisk i MDM og ha trådløst tilsyn med dem ved første klargjøring. Dette kalles automatisert enhetsregistrering.
MDM og Beskyttelse av stjålet enhet
Når Beskyttelse av stjålet enhet er slått på, og brukeren er på et ukjent sted, vil følgende handlinger utsettes med én time:
Manuell registrering av enheten i MDM
Manuell installering av kodeprofil eller konfigurasjon
Konfigurering av en Microsoft Exchange-konto i innstillingene eller med en profil eller konfigurasjon
Registreringsprofiler
En registreringsprofil er en av to måter å registrere en personlig enhet på i en MDM-løsning (den andre måten er å bruke brukerregistrering eller kontobasert enhetsregistrering). Med denne profilen, som inneholder en MDM-nyttelast, sender MDM-løsningen kommandoer og, hvis det trengs, ytterligere konfigurasjonsprofiler til enheten. Den kan også spørre enheten om informasjon, som status for aktiveringslås, batterinivå og navn.
Når en bruker fjerner en registreringsprofil, fjernes også alle konfigurasjonsprofiler, innstillinger og administrerte apper basert på registreringsprofilen. Det kan kun være én registreringsprofil på en enhet om gangen.
Når registreringsprofilen har blitt godkjent, enten av enheten eller av brukeren, leveres konfigurasjonsprofiler som inneholder nyttelaster, til enheten. Deretter kan du trådløst distribuere, administrere og konfigurere apper og bøker kjøpt via Apple School Manager eller Apple Business Manager. Brukere kan installere apper, eller apper kan installeres automatisk – avhengig av typen app, hvordan den er tilordnet og om enheten er under tilsyn. Hvis du vil ha mer informasjon, kan du lese Om enhetstilsyn for Apple-enheter.
Konfigurasjonsprofiler
En konfigurasjonsprofil er en XML-fil (som slutter på .mobileconfig) som består av nyttelaster som laster inn innstillinger og autoriseringsinformasjon på Apple-enheter. Konfigurasjonsprofiler automatiserer konfigurasjonen av innstillinger, kontoer, restriksjoner og påloggingsinformasjon. Disse filene kan opprettes av en MDM-løsning eller Apple Configurator for Mac eller manuelt. Hvis du vil ha mer informasjon om hvordan du kan bruke Apple Configurator for Mac til å opprette og installere konfigurasjonsprofiler på iPhone, iPad og Apple TV, kan du lese Create and edit configuration profiles in Apple Configurator i Apple Configurator for Mac User Guide.
Fordi konfigurasjonsprofiler kan krypteres og signeres, kan du begrense bruken til spesifikke Apple-enheter. I tillegg, med unntak av brukernavn og passord, kan ingen endre innstillingene. Du kan også merke en konfigurasjonsprofil som låst til enheten.
Hvis MDM-løsningen støtter det, kan du distribuere konfigurasjonsprofiler som et e-postvedlegg, via en lenke på din egen nettside eller gjennom MDM-løsningens innebygde brukerportal. Når brukere åpner e-postvedlegget eller laster ned konfigurasjonsprofilen med en nettleser, blir de bedt om å starte installering av konfigurasjonsprofilen.
Du kan levere en konfigurasjonsprofil som kan endre innstillingene for enheten eller for en enkeltbruker:
Enhetsprofiler kan sendes til enheter og enhetsgrupper og gjør enhetsinnstillinger gjeldende for hele enheten.
iPhone, iPad, Apple TV, Apple Watch og Apple Vision Pro kan ikke gjenkjenne flere enn én bruker, så konfigurasjonsprofiler som opprettes for støttede Apple-enheter, er alltid enhetsprofiler. Selv om iPadOS-profiler også er enhetsprofiler, kan iPad-enheter som er konfigurert for Delt iPad, støtte profiler basert på enheten eller brukeren.
Brukerprofiler kan sendes til brukere og brukergrupper (hvis MDM-løsningen støtter dem) og gjør brukerinnstillinger gjeldende kun for de respektive brukerne. Macer kan ha flere brukere, og nyttelaster og innstillinger for macOS-profiler kan baseres på enten enheten eller brukeren. Brukerkontoen som ble opprettet under Oppsettassistent, anses som administrert av MDM-løsningen og kan motta profiler. For Macer med macOS 11 eller nyere kan en administratorkonto som er opprettet av MDM under registrering, administreres i stedet. For utrullinger som skal til Active Directory kan nettverksbrukeren som er logget på, bli administrert av MDM.
Enhets- og brukerinnstillinger varierer avhengig av hvor de ligger: Innstillinger som installeres på systemnivå, ligger i en enhetskanal. Innstillinger som installeres for en bruker, ligger i en brukerkanal.
Du finner mer informasjon om profilinstallering og Sikringsmodus i Apple-kundestøtteartikkelen Om Sikringsmodus.
Profilfjerning
Hvordan du fjerner profiler avhenger av hvordan de ble installert. Sekvensen nedenfor viser hvordan en profil kan fjernes:
1. Alle profiler kan fjernes ved å slette alle data på enheten.
2. Hvis enheten ble registrert i MDM med Apple School Manager eller Apple Business Manager, kan administratoren velge om registreringsprofilen kan fjernes av brukeren eller om den kun kan fjernes av MDM-tjeneren.
3. Hvis profilen er installer av en MDM-løsning, kan den fjernes av den gitte MDM-løsningen eller ved at brukeren avregistrerer seg fra MDM-løsningen ved å gjerne konfigurasjonsprofilen.
4. Hvis profilen er installert på en enhet under tilsyn med Apple Configurator, kan tilsynsforekomsten av Apple Configurator fjerne profilen.
5. Hvis profilen er manuelt installert på en enhet under tilsyn eller via Apple Configurator, og profilen har en nyttelast for fjerning av passord, må brukeren skrive inn fjerningspassordet for å fjerne profilen.
6. Alle andre profiler kan fjernes av brukeren.
En konto som er konfigurert av en konfigurasjonsprofil, kan kun fjernes ved å fjerne profilen. En Microsoft Exchange ActiveSync-konto, inkludert en som er installert via en konfigurasjonsprofil, kan fjernes av Microsoft Exchange Server ved å sende fjernslettingskommandoen account-only.
Viktig: Hvis brukerne kan enhetskoden, kan de fjerne installerte konfigurasjonsprofiler manuelt fra iPhone- og iPad-enheter som ikke er under tilsyn selv om valget er satt til «never». Brukere av Mac kan gjøre det samme hvis de har brukernavn og passord for en administratorbruker. De kan gjøre dette med profiles-kommandolinjeverkttøyet, Systeminnstillinger (i macOS 13 eller nyere) eller Systemvalg (i macOS 12.0.1 eller eldre). For Macer med macOS 10.15 og nyere må profiler som installeres ved hjelp av MDM, også fjernes med MDM, på samme måte som i iOS og iPadOS. Profilene fjernes uansett automatisk ved avregistrering fra MDM.
MDM-kommunikasjonskrav
Tredjeparts MDM-kommunikasjon med Apple-enheter har størst sannsynlighet for å lykkes når:
MDM-løsningen er konfigurert, testet og fungerer som den skal
APNs-sertifikatet er gyldig og ikke utløpt
enheten er slått på
enheten er registrert i MDM
nettverket enheten er koblet til, har tilgang til internett (for APNs-kommunikasjon)
nettverket som enheten er koblet til, må kunne få tilgang til MDM-relaterte Apple-verter
Hvis du vil ha mer informasjon, kan du se Apple-supportartikkelen Bruke Apple-produkter i bedriftsnettverk.
Merk: Apple kontrollerer ikke MDM-løsninger fra tredjeparter. Andre problemer som en MDM-nyttelast som ikke er riktig konfigurert, kan også føre til at MDM-kommunikasjon mislykkes.