Een oplossing voor mobielapparaatbeheer kiezen
Wat is mobielapparaatbeheer (MDM)?
iOS, iPadOS, macOS en tvOS hebben een ingebouwd framework dat mobielapparaatbeheer (MDM) ondersteunt. Met behulp van MDM kun je de apparaten van de gebruiker of van je organisatie veilig en draadloos configureren door er profielen en commando's naartoe te sturen. MDM bevat functies voor het bijwerken van software- en apparaatinstellingen, het controleren op de naleving van het organisatiebeleid en het op afstand wissen of vergrendelen van apparaten. Gebruikers kunnen hun eigen apparaten inschrijven bij de MDM-oplossing. Apparaten die eigendom van de organisatie zijn, kunnen automatisch bij de MDM-oplossing worden ingeschreven via Apple School Manager.
Hoe werkt MDM?
Zodra het inschrijvingsprofiel is goedgekeurd (door het apparaat of door de gebruiker), worden configuratieprofielen met payloads op het apparaat geïnstalleerd. Vervolgens kun je apps en boeken die via Apple School Manager zijn gekocht, draadloos distribueren, beheren en configureren. Apps kunnen door de gebruikers zelf worden geïnstalleerd of automatisch worden geïnstalleerd. In het laatste geval hangt het ervan af om wat voor type app het gaat, hoe de app wordt toegewezen en of het een apparaat onder toezicht betreft.
Wat is toezicht?
Apparaten onder toezicht zijn meestal eigendom van de organisatie, die daarmee extra controle heeft over de apparaatconfiguratie en -beperkingen.
Zie Toezicht van Apple apparaten in Implementatie van het Apple platform voor meer informatie.
Overwegingen bij het kiezen van een MDM-oplossing
Er zijn allerlei MDM-oplossingen verkrijgbaar bij andere leveranciers. Voordat je een oplossing kiest, moet je goed nagaan welke aspecten van MDM het meest van belang zijn voor de organisatie. Denk daarbij ook aan de hostingmogelijkheden en de kosten. Onderstaande tips kunnen je helpen de juiste keuze te maken.
Tip: Het is van essentieel belang dat je vóór de implementatie beslist welke MDM-oplossing het geschiktst is. Als je halverwege de implementatie een andere MDM-oplossing kiest, moet je mogelijk alle apparaten wissen en opnieuw inschrijven.
Lokale hosting of cloudhosting: Een MDM-oplossing kan op een lokale server of in de cloud worden gehost. MDM is een lichtgewicht protocol op basis van HTTPS waarmee apparaten overal ter wereld kunnen worden beheerd. Aangezien hierbij een minimale hoeveelheid gegevens hoeft te worden uitgewisseld, is MDM zeer geschikt voor cloudhosting. Als de organisatie kiest voor een MDM-oplossing met cloud- of internethosting, kunnen veel van de in deze handleiding beschreven configuratiestappen geheel of gedeeltelijk worden overgeslagen.
Apparaatondersteuning: Sommige MDM-oplossingen bieden ingebouwde ondersteuning voor specifieke typen Apple apparaten, bijvoorbeeld alleen voor Macs of iPhones, terwijl andere oplossingen ondersteuning voor verschillende platforms bieden. Je kunt meerdere MDM-leveranciers kiezen, zodat elk apparaattype wordt ondersteund met een specifieke oplossing voor dat type. Dit wordt eenvoudig gemaakt door automatische toewijzing per apparaattype in Apple School Manager. Je kunt ook een MDM-leverancier kiezen die ondersteuning biedt voor alle typen Apple apparaten die in je organisatie worden gebruikt.
Speciale functionaliteit voor het onderwijs: Sommige MDM-leveranciers bieden functionaliteit die speciaal is ontworpen voor onderwijsomgevingen. Ga na of de MDM-leverancier ondersteuning biedt voor oplossingen zoals Apple School Manager, Klaslokaal, Schoolwerk, Gedeelde iPad en alle onderwijsvoorzieningen die bij de lancering van de nieuwste versie van Apple besturingssystemen zijn geïntroduceerd.
Voorzieningen voor het opvragen en registreren van gegevens: Een MDM-oplossing kan bij Apple apparaten allerlei gegevens opvragen, zoals het hardwareserienummer, de UDID van het apparaat, het MAC-adres (Media Access Control) voor wifi en de FileVault-encryptiestatus (voor Mac-computers). Bovendien kan de oplossing diverse softwaregegevens opvragen, zoals de versie van het apparaat, de beperkingen die voor het apparaat zijn ingesteld en welke apps op het apparaat zijn geïnstalleerd. Aan de hand van deze gegevens kan worden gecontroleerd of gebruikers de juiste apps hebben. De MDM-oplossing kan in iOS en iPadOS opvragen wanneer er voor het laatst een reservekopie van een apparaat is gemaakt in iCloud en wat de account-hash van de ingelogde gebruiker voor de apptoewijzing is. De MDM-oplossing kan in tvOS bij ingeschreven Apple TV-apparaten gegevens opvragen over bijvoorbeeld de taal, de landinstelling en de organisatie.
Ondersteuning en beleid van leverancier: MDM is een zeer belangrijke voorziening. Je moet dan ook nagaan of de MDM-leverancier voldoende ondersteuning, voorzieningen en training biedt.
Op basis van je criteria kun je een eerste selectie van MDM-oplossingen maken. Door aan een proefversie van die oplossingen een paar testapparaten toe te voegen, kun je zien welke MDM het beste bij je behoeften aansluit voordat je een definitieve beslissing neemt. Je kunt Apple School Manager koppelen aan meerdere MDM-oplossingen, en apparaten indien nodig toewijzen aan verschillende servers. Zie de video Choosing an MDM Solution voor meer informatie.
Netwerkvereisten voor een MDM-oplossing
Wanneer je een MDM-oplossing installeert en configureert, moet je bepalen hoe je het netwerk, TLS (Transport Layer Security), infrastructuurvoorzieningen, Apple voorzieningen en reservekopieën configureert.
Als je een lokaal gehoste MDM-oplossing installeert, moet je alle volgende onderdelen configureren. Configureer en test elk onderdeel in een vroeg stadium, zodat de uiteindelijke implementatie soepel verloopt. Als je MDM-oplossing extern wordt beheerd of wordt gehost in de cloud, kan je MDM-leverancier veel van deze onderdelen namens jou afhandelen:
DNS: Een MDM-oplossing moet een volledig gekwalificeerde domeinnaam (FQDN) hebben die zowel binnen als buiten het netwerk van de organisatie kan worden omgezet. Op deze manier kan de server apparaten altijd beheren, ongeacht of deze lokaal of extern zijn verbonden. Teneinde connectiviteit met de clients te behouden, mag deze domeinnaam niet worden gewijzigd.
IP-adres: Voor de meeste MDM-oplossingen is een statisch IP-adres vereist. De bestaande DNS-naam moet behouden blijven als het IP-adres van de server wordt gewijzigd.
MDM configureren met TLS: Alle communicatie tussen Apple apparaten en de MDM-oplossing wordt versleuteld met HTTPS. Er is een TLS-certificaat (voorheen SSL) nodig om deze communicatie te beveiligen. Je wordt afgeraden om apparaten te implementeren waarvoor geen certificaat van een vertrouwde certificaatautoriteit (CA) beschikbaar is. Let op de vervaldatum en vergeet niet het certificaat vóór deze datum te verlengen.
Firewallpoorten: Om de MDM-oplossing zowel intern als extern toegankelijk te maken, moeten bepaalde poorten op de firewall geopend zijn. De meeste MDM-oplossingen accepteren inkomende verbindingen via HTTPS op poort 443. Zowel de MDM-oplossing als de apparaten moeten communiceren met de Apple Push Notification-service (APNs). Tot november 2020 gebruikten MDM-oplossingen de poorten 2195 en 2196 met APNs, terwijl clients poort 5223 gebruikten. Na november 2020 gebruiken MDM-oplossingen poort 2197.
Tip: Je MDM-oplossing kan als host fungeren voor bewaringssleutels en bypasscodes voor een activeringsslot, Bootstrap Tokens voor macOS en andere unieke gegevens die belangrijk zijn voor het waarborgen van de apparaattoegang. Zorg er daarom voor dat je over een solide herstelstrategie voor je lokale MDM-installatie beschikt in het geval van calamiteiten. Aangeraden wordt om reservekopieën en het terugzetten daarvan regelmatig te testen.