Introducere în profilurile de gestionare a dispozitivelor mobile
iOS, iPadOS, macOS, tvOS, watchOS 10 sau versiunile ulterioare și visionOS 1.1 sau versiunile ulterioare au un cadru de lucru integrat care acceptă gestionarea dispozitivelor mobile (MDM). MDM vă permite să configurați dispozitive în mod securizat și wireless prin trimiterea profilurilor și comenzilor către dispozitive, indiferent dacă acestea sunt deținute de utilizator sau de organizația dvs. Capacitățile MDM includ actualizarea software‑ului și configurărilor dispozitivelor, monitorizarea conformității cu politicile organizaționale și ștergerea sau blocarea de la distanță a dispozitivelor. Utilizatorii își pot înscrie propriile dispozitive în MDM, iar dispozitivele deținute de organizație pot fi înscrise automat în MDM folosind Apple School Manager sau Apple Business Manager. Dacă utilizați Apple Business Essentials, puteți utiliza și gestionarea deja integrată a dispozitivelor.
Sunt câteva concepte care trebuie înțelese dacă urmează să utilizați MDM. Prin urmare, citiți secțiunile de mai jos pentru a înțelege modul în care MDM utilizează profiluri de înscriere și de configurare, supervizare și sarcini.
Cum se înscriu dispozitivele
Înscrierea în MDM implică înscrierea identităților de certificat client folosind protocoale precum Mediu de gestionare automată a certificatelor (ACME) sau Protocolul de înscriere simplă a certificatelor (SCEP). Dispozitivele utilizează aceste protocoale pentru a crea certificate cu identitate unică, pentru autentificarea serviciilor unei organizații.
Cu excepția cazului în care înscrierea este automată, utilizatorii decid dacă se înscriu într-o soluție MDM și pot retrage în orice moment asocierea dispozitivelor lor de la MDM. Prin urmare, se recomandă să aveți în vedere stimulente pentru ca utilizatorii să fie administrați. De exemplu, puteți solicita înscrierea în MDM pentru accesul la rețeaua Wi-Fi utilizând MDM pentru a furniza automat acreditările wireless. Atunci când un utilizator părăsește MDM, dispozitivul acestuia încearcă să anunțe soluția MDM că nu mai poate fi gestionat.
Pentru dispozitivele deținute de organizația dvs., puteți utiliza Apple School Manager, Apple Business Manager sau Apple Business Essentials pentru înscrierea automată a acestora în MDM și supervizarea lor wireless în timpul configurării lor inițiale. Acest proces de înscriere este cunoscut drept înscriere automată a dispozitivelor.
MDM și protecția pentru dispozitive furate
Când este activată Protecția pentru dispozitive furate, dacă utilizatorul se află într-un loc nefamiliar, următoarele acțiuni sunt întârziate cu o oră:
Înrolarea manuală a dispozitivului său în MDM
Instalarea manuală a profilului și configurației unui cod de acces
Configurarea unui cont Microsoft Exchange în configurări sau cu un profil sau o configurație
Profiluri de înscriere
Un profil de înscriere este unul dintre cele două modalități principale prin care utilizatorii pot înscrie un dispozitiv personal într-o soluție MDM (cealaltă metodă fiind înscrierea utilizatorilor). Cu ajutorul acestui profil, care conține o sarcină MDM, soluția MDM trimite comenzi și, dacă este necesar, profiluri de configurare suplimentare către dispozitiv. De asemenea, poate interoga dispozitivul pentru a obține informații, cum ar fi starea blocării activării, nivelul bateriei și numele.
Când un utilizator elimină un profil de înscriere, toate profilurile de configurare, configurările acestora și aplicațiile gestionate bazate pe respectivul profil sunt și ele eliminate. Pe un dispozitiv poate exista un singur profil de înscriere.
După ce profilul de înrolare este aprobat de dispozitiv sau de utilizator, pe dispozitiv sunt livrate profiluri de configurare conținând sarcini. Apoi puteți distribui, gestiona și configura wireless aplicații și cărți cumpărate prin Apple School Manager, Apple Business Manager sau Apple Business Essentials. Utilizatorii pot instala aplicații sau aplicațiile pot fi instalate automat în funcție de tipul aplicației, de modul în care este alocată și de faptul dacă dispozitivul este sau nu supervizat. Pentru mai multe informații, consultați Despre supervizarea dispozitivelor Apple.
Profiluri de configurare
Un profil de configurare este un fișier XML (care se termină în .mobileconfig), alcătuit din sarcini care încarcă informații de autorizare și configurări pe dispozitivele Apple. Profilurile de configurare automatizează definirea configurărilor, a conturilor, a restricțiilor și a acreditărilor. Aceste fișiere pot fi create cu ajutorul unei soluții MDM sau cu Apple Configurator pentru Mac sau pot fi create manual. Pentru informații suplimentare despre utilizarea Apple Configurator pentru Mac pentru a crea și instala profiluri de configurare pe dispozitive iPhone, iPad și Apple TV, consultați Crearea și editarea profilurilor de configurare în Manualul de utilizare Apple Configurator pentru Mac.
Deoarece profilurile de configurare pot fi criptate și semnate, puteți să restricționați utilizarea acestora la un anumit dispozitiv Apple și – cu excepția numelor de utilizator și a parolelor – să împiedicați modificarea configurărilor de către oricine altcineva. De asemenea, puteți marca un profil de configurare ca fiind blocat pe dispozitiv.
Dacă soluția dvs. MDM acceptă această funcționalitate, puteți distribui profilurile de configurare ca fișiere atașate la e-mail, printr-un link pe propria dvs. pagină web sau prin portalul pentru utilizatori integrat în soluția MDM. Când utilizatorii deschid fișierul atașat la e-mail sau descarcă profilul de configurare folosind un browser web, li se solicită să înceapă instalarea profilului de configurare.
Puteți furniza un profil de configurare ce poate schimba configurările pentru un dispozitiv întreg sau pentru un singur utilizator:
Profilurile de dispozitiv pot fi trimise dispozitivelor și grupurilor de dispozitive și aplică configurările pentru întregul dispozitiv.
iPhone, iPad, Apple TV, Apple Watch și Apple Vision Pro nu pot recunoaște mai mulți utilizatori, astfel încât profilurile de configurare create pentru iOS, iPadOS, tvOS, watchOS 10 sau versiunile ulterioare și visionOS 1.1 sau versiunile ulterioare sunt întotdeauna profilurile de dispozitiv. Deși profilurile iPadOS sunt profiluri de dispozitiv, dispozitivele iPad configurate pentru iPad partajat pot accepta profiluri bazate pe dispozitiv sau pe utilizator.
Profilurile de utilizator pot fi trimise utilizatorilor și (dacă soluția MDM le acceptă) grupurilor de utilizatori și sunt aplicate configurările doar pentru respectivii utilizatori. Computerele Mac pot avea mai mulți utilizatori, deci sarcinile și configurările pentru profilurile macOS se pot baza pe dispozitiv sau pe utilizator. Contul de utilizator creat în timpul Asistentului de configurare este considerat gestionat de soluția MDM și poate primi profiluri. Pe macOS 11 sau versiunile ulterioare, opțional poate fi gestionat în schimb un cont de administrator creat de o soluție MDM în timpul înscrierii. Pentru implementările bazate pe Active Directory, utilizatorul de rețea autentificat curent devine gestionabil prin utilizarea MDM.
Configurările de dispozitiv și utilizator variază în funcție de locul unde se află: Configurările instalate la nivelul sistemului se află într-un canal de dispozitiv. Configurările instalate pentru un utilizator se află într-un canal de utilizator.
Pentru informații suplimentare despre profilul de instalare și modul Izolare, consultați articolul de asistență Apple Despre modul Izolare.
Eliminarea profilului
Modul în care eliminați profilurile depinde de modul în care au fost instalate. Următoarea succesiune indică modul în care poate fi eliminat un profil:
1. Toate profilurile pot fi eliminate prin ștergerea tuturor datelor de pe dispozitiv.
2. Dacă dispozitivul a fost înscris în MDM folosind Apple School Manager, Apple Business Manager sau Apple Business Essentials, administratorul poate alege dacă profilul de înscriere poate fi eliminat de utilizator sau dacă poate fi eliminat doar de serverul MDM.
3. Dacă profilul este instalat de o soluție MDM, acesta poate fi eliminat de respectiva soluție MDM sau de către utilizatorul care anulează înscrierea din MDM prin eliminarea profilului de configurare a înscrierii.
4. Dacă profilul este instalat pe un dispozitiv supervizat utilizându-se Apple Configurator, instanța care supervizează Apple Configurator poate elimina profilul respectiv.
5. Dacă profilul este instalat pe un dispozitiv supervizat manual sau utilizându-se Apple Configurator și profilul are o sarcină parolă pentru eliminare, utilizatorul trebuie să introducă parola de eliminare pentru a elimina profilul respectiv.
6. Toate celelalte profiluri pot fi eliminate de utilizator.
Un cont instalat printr-un profil de configurare poate fi eliminat prin eliminarea profilului. Un cont Microsoft Exchange ActiveSync, inclusiv unul instalat prin utilizarea unui profil de configurare, poate fi eliminat de Microsoft Exchange Server prin emiterea unei comenzi de ștergere exclusivă a contului de la distanță.
Important: Dacă utilizatorii cunosc codul de acces al dispozitivului, aceștia pot elimina profilurile de configurare instalate manual de pe dispozitivele iPhone și iPad nesupervizate, chiar dacă opțiunea este configurată la “Niciodată”. Utilizatorii Mac pot face același lucru doar dacă utilizatorul cunoaște numele de utilizator și parola unui administrator. Pentru aceasta, ei pot utiliza instrumentul în linie de comandă profiles, Configurări sistem (pe macOS 13 sau ulterior) sau Preferințe sistem (pe macOS 12.0.1 sau anterior). În macOS 10.15 sau versiunile ulterioare, ca și pe iOS și iPadOS, profilurile instalate cu MDM trebuie eliminate cu MDM sau sunt eliminate automat la retragerea înscrierii din MDM.
Cerințe de comunicare MDM
Comunicarea MDM terță cu dispozitivele Apple are cele mai mari șanse de succes când:
Soluția MDM este configurată, testată cu succes și funcționează corect
Certificatul APNs este valid și nu a expirat
Dispozitivul este pornit
Dispozitivul este înregistrat în prezent în MDM
Rețeaua la care este conectat dispozitivul are acces la internet (pentru comunicarea APNs)
Rețeaua la care este conectat dispozitivul trebuie să poată acces gazde Apple asociate cu MDM
Pentru informații suplimentare, consultați articolul de asistență Apple Utilizarea produselor Apple în rețelele companiilor.
Notă: Apple nu controlează soluțiile MDM terțe. Alte probleme, precum o sarcină MDM configurată incorect, pot conduce de asemenea la eșecul comunicării MDM.
Dispozitive Apple compatibile
Următoarele dispozitive Apple au un cadru de lucru integrat care acceptă MDM:
iPhone cu iOS 4 sau o versiune ulterioară
iPad cu iOS 4.3 sau o versiune ulterioară sau iPadOS 13.1 sau o versiune ulterioară
Computere Mac cu OS X 10.7 sau o versiune ulterioară
Apple TV cu tvOS 9 sau o versiune ulterioară
Apple Watch cu watchOS 10 sau o versiune ulterioară
Apple Vision Pro cu visionOS 1.1 sau versiuni ulterioare
Notă: Unele opțiuni nu sunt disponibile pentru anumite soluții MDM. Pentru a afla ce opțiuni MDM sunt disponibile pentru dispozitivele dvs., consultați documentația oferită de furnizorul soluției MDM.