Introduktion till MDM-profiler
iOS, iPadOS, macOS, tvOS, watchOS 10 eller senare och visionOS 1.1 eller senare har ett inbyggt ramverk som stöder MDM (Mobile Device Management). Med MDM kan du säkert och trådlöst konfigurera enheter genom att skicka profiler och kommandon till enheterna, vare sig de ägs av användaren eller organisationen. MDM-funktioner inkluderar uppdatering av programvara och enhetsinställningar, övervakning av att organisationens policyer följs samt fjärradering och fjärrlåsning av enheter. Användarna kan registrera sina egna enheter i MDM, och organisationsägda enheter kan registreras i MDM automatiskt via Apple School Manager eller Apple Business Manager. Om du använder Apple Business Essentials kan du också använda den inbyggda enhetshanteringen.
Det finns några koncept som du bör förstå om du tänker använda MDM, så läs följande avsnitt för att förstå hur MDM använder registreringsprofiler, konfigurationsprofiler, övervakning och nyttolaster.
Så här registreras enheter
Registrering i MDM omfattar registrering av klientcertifikat-ID:n med protokoll som Automated Certificate Management Environment (ACME) eller Simple Certificate Enrollment Protocol (SCEP). Enheterna använder de här protokollen till att skapa unika identitetscertifikat för autentisering av en organisations tjänster.
Med undantag för om registreringen är automatisk väljer användarna om de vill registrera i MDM och de kan när som helst avregistrera sina enheter från MDM. Därför bör du på olika sätt uppmuntra användarna till att fortsätta vara hanterade. Du kan t.ex. kräva MDM-registrering för tillgång till Wi-Fi-nätverket genom att låta MDM-lösningen automatiskt tillhandahålla inloggningsuppgifterna till nätverket. När en användare avregistrerar sig från MDM försöker enheten meddela MDM-lösningen att den inte längre kan hanteras.
För enheter som organisationen äger kan du använda Apple School Manager, Apple Business Manager eller Apple Business Essentials till att automatiskt registrera dem i MDM och övervaka dem trådlöst under den inledande inställningen. Detta kallas automatisk enhetsregistrering.
MDM och Skydd för stulen enhet
När Skydd för stulen enhet har slagits på, och användaren befinner sig på en obekant plats, fördröjs följande åtgärder en timme:
Manuell registrering av enheten i MDM
Manuell installation av en lösenkodsprofil eller -konfiguration
Konfiguration av ett Microsoft Exchange-konto i inställningarna eller med en profil eller konfiguration
Registreringsprofiler
En registreringsprofil är ett av två huvudsakliga sätt som användare kan registrera en personlig enhet i en MDM-lösning (det andra sättet är att använda användarregistrering). Med den här profilen, som innehåller en MDM-nyttolast, skickar MDM-lösningen kommandon och vid behov ytterligare konfigurationsprofiler till enheten. Den kan också skicka förfrågningar till enheten om information som dess aktiveringslåsstatus, batterinivå och namn.
När en användare tar bort en registreringsprofil tas samtidigt även alla konfigurationsprofiler, deras inställningar och alla hanterade appar som är kopplade till den registreringsprofilen bort. Det kan bara finnas en registreringsprofil i taget på en och samma enhet.
När registreringsprofilen har godkänts (antingen av enheten eller av användaren) skickas konfigurationsprofiler som innehåller nyttolaster till enheten. Du kan sedan trådlöst distribuera, hantera och konfigurera appar och böcker som har köpts in via Apple School Manager, Apple Business Manager eller Apple Business Essentials. Användarna kan installera appar, eller så kan appar installeras automatiskt beroende på vilken typ av app det är, hur den har tilldelats och om enheten övervakas eller inte. Mer information finns i Om Apple-enhetsövervakning.
Konfigurationsprofiler
En konfigurationsprofil är en XML-fil (med filnamnstillägget .mobileconfig) som består av nyttolaster som läser in inställningar och auktoriseringsinformation på Apple-enheter. Konfigurationsprofiler automatiserar konfigureringen av inställningar, konton, begränsningar och behörigheter. De här filerna kan skapas med en MDM-lösning eller Apple Configurator för Mac eller skapas manuellt. Mer information om att använda Apple Configurator för Mac till att skapa och installera konfigurationsprofiler på iPhone-, iPad- och Apple TV-enheter finns i Create and edit configuration profiles i Apple Configurator for Mac User Guide.
Eftersom konfigurationsprofiler kan krypteras och signeras kan du begränsa deras användning till specifika Apple-enheter och – med undantag för användarnamn och lösenord – förhindra att någon annan ändrar inställningarna. Du kan också markera en konfigurationsprofil som låst till enheten.
Om MDM-lösningen har stöd för det kan du distribuera konfigurationsprofiler som en e-postbilaga, via en länk på en webbsida, eller via MDM-lösningens inbyggda användarportal. När användarna öppnar e-postbilagan eller hämtar en konfigurationsprofil via en webbläsare blir de ombedda att påbörja installationen av konfigurationsprofilen.
Du kan leverera en konfigurationsprofil som kan ändra inställningar för en hel enhet eller för en enskild användare:
Device profiles kan skickas till enheter och enhetsgrupper och göra inställningar på hela enheten.
iPhone, iPad, Apple TV, Apple Watch och Apple Vision Pro kan inte identifiera fler än en användare, så konfigurationsprofiler skapade för iOS, iPadOS, tvOS, watchOS 10 eller senare och visionOS 1.1 eller senare är alltid enhetsprofiler. Även om iPadOS-profiler är enhetsprofiler har iPad-enheter som är konfigurerade för Delad iPad stöd för profiler som är baserade på enheten eller användaren.
User profiles kan skickas till användare och (om MDM-lösningen stöder dem) användargrupper och gör endast användarinställningar för respektive användare. Mac-datorer kan ha flera användare, så nyttolaster och inställningar för macOS-profiler kan baseras på antingen enheten eller användaren. Användarkontot som skapas i inställningsassistenten betraktas som hanterat av MDM-lösningen och kan ta emot profiler. I macOS 11 eller senare kan ett administratörskonto som skapas av en MDM-lösning under registreringen väljas att hanteras istället. För Active Directory–kopplade driftsättningar blir den aktuella inloggade nätverksanvändaren hanterbar med MDM.
Enhets- och användarinställningar varierar beroende på var de finns: Inställningar som är installerade på systemnivå finns i en enhetskanal. Inställningar som är installerade för en användare finns i en användarkanal.
Mer information om profilinstallation och Låst läge finns i Apple Support-artikeln Om låsningsläge.
Borttagning av profiler
Hur du tar bort profiler beror på hur de har installerats. Följande visar hur en profil kan tas bort:
1. Alla profiler kan tas bort genom att enheten rensas på alla data.
2. Om enheten har registrerats i MDM via Apple School Manager, Apple Business Manager eller Apple Business Essentials kan administratören välja om användaren ska kunna ta bort registreringsprofilen eller bara själva MDM-servern kan ta bort den.
3. Om profilen har installerats via en MDM-lösning kan den tas bort av den specifika MDM-lösningen eller av användaren som avregistrerar sig från MDM genom att ta bort registreringskonfigurationsprofilen.
4. Om profilen har installerats på en övervakad enhet via Apple Configurator kan den övervakande instansen av Apple Configurator ta bort profilen.
5. Om profilen har installerats på en övervakad enhet manuellt eller via Apple Configurator, och profilen har en nyttolast för borttagning av lösenord, måste användaren ange lösenordet för borttagning för att ta bort profilen.
6. Alla andra profiler kan tas bort av användaren.
Ett konto som har installerats av en konfigurationsprofil kan tas bort genom att profilen tas bort. Ett Microsoft Exchange ActiveSync-konto, inklusive ett som har installerats via en konfigurationsprofil, kan tas bort av Microsoft Exchange Server genom att ett kommando för fjärradering av endast kontot utfärdas.
Viktigt: Om användare känner till enhetslösenkoden kan de manuellt ta bort installerade konfigurationsprofiler från en iPhone och iPad som inte övervakas även om alternativet är inställt på ”never”. Användare på en Mac kan göra samma sak förutsatt att användaren har en administratörs användarnamn och lösenord. De kan göra det med kommandoradsverktyget profiles eller Systeminställningar. Från och med macOS 10.15, liksom i iOS och iPadOS, måste profiler som installeras med MDM tas bort med MDM. Annars tas de bort automatiskt vid avregistrering från MDM.
Krav för MDM-kommunication
Kommunikation med Apple-enheter från tredjeparts-MDM är mest trolig att fungera när:
MDM-lösningen är inställd, testad och fungerar som den ska
APNs-certifikatet är giltigt och har inte löpt ut
Enheten är påslagen
Enheten är för närvarande registrerar i MDM-lösningen
Nätverket som enheten är ansluten till har tillgång till internet (för APNs-kommunikation)
Nätverket som enheten är ansluten till måste kunna ansluta till MDM-relaterade Apple-värdar
Om du vill veta mer läser du Apple Support-artikeln Använda Apple-produkter i ett företagsnätverk.
Obs! Apple har inte kontroll över MDM-lösningar från tredje part. Andra problem, till exempel felkonfigurerade MDM-nyttolaster, kan också leda till att MDM-kommunikation misslyckas.
Apple-enheter som stöds
Följande Apple-enheter har ett inbyggt ramverk som stöder MDM:
iPhone med iOS 4 eller senare
iPad med iOS 4.3 eller senare eller iPadOS 13.1 eller senare
Mac-datorer med OS X 10.7 eller senare
Apple TV med tvOS 9 eller senare
Apple Watch med watchOS 10 eller senare
Apple Vision Pro med visionOS 1.1 eller senare
Obs! Alla alternativ är inte tillgängliga i alla MDM-lösningar. Läs dokumentationen från MDM-leverantören om du vill veta vilka MDM-alternativ som finns för dina enheter.