選擇流動裝置管理解決方案
什麼是流動裝置管理(MDM)?
iOS、iPadOS、macOS 和 tvOS 具備內置架構可支援流動裝置管理(MDM)。MDM 可讓你透過傳送描述檔和指令至裝置,以安全和無線的方式設定裝置(無論它們是否由用户或機構所擁有)。MDM 功能包括更新軟件和裝置設定、監控機構政策的貫徹情況,以及遙距清除或鎖定裝置。用户可在 MDM 中註冊其本身的裝置,而機構擁有的裝置可使用 Apple School Manager 在 MDM 中自動註冊。
MDM 如何運作?
裝置或用户批准註冊描述檔後,便會將含有承載資料的設定描述檔傳送至裝置。然後你便能以無線方式分配、管理和設定透過 Apple School Manager 購買的 App 與書籍。用户可以自行安裝 App,或者 App 可依據類型、分配方式以及是否監管裝置而定,來自動進行安裝。
選擇 MDM 解決方案時的考量
有許多各類型第三方所提供的 MDM 解決方案。在選擇解決方案前,你應先評估哪些 MDM 層面對你的機構最重要,包括託管選項和價格。以下的提示可協助你進行選擇。
貼士:在進行部署之前,請務必選擇適當的 MDM 解決方案。於部署中途進行更改可能需要清除每部裝置並重新註冊。
本機託管或雲端託管:MDM 解決方案可託管於本機伺服器或雲端。MDM 是輕量且以 HTTPS 為基礎的通訊協定,可管理位於全球各地的裝置,對資料流量的影響不高,十分適用於雲端託管。如果你的機構選擇雲端託管或互聯網託管的解決方案,便可大幅減少或完全省略本參考資料中所說明的許多 MDM 設定步驟。
裝置支援:某些 MDM 解決方案對特定 Apple 裝置類型提供內置深度支援,例如只針對 Mac 電腦或 iPhone 裝置,而其他解決方案則提供跨平台支援。你可以選擇混合不同 MDM 廠商,讓每種裝置類型都受到專用的解決方案支援。Apple School Manager 的按裝置類型自動分配使這變得簡單。或選擇支援機構內使用的所有 Apple 裝置類型的 MDM 廠商。
以教育機構為中心的功能:部份 MDM 供應商會提供專門針對教育環境設計的功能。請確定你的 MDM 廠商支援解決方案(例如 Apple School Manager、「課堂」、「功課」、「共用的 iPad」)和最新版 Apple 作業系統發表當日推出的所有教育功能。
查詢和報告服務:你的 MDM 解決方案可查詢各種 Apple 裝置資料,包括硬件序號、裝置 UDID、Wi-Fi 媒體存取控制(MAC)地址及「檔案保險箱」加密狀態(Mac 電腦適用)。它也可查詢軟件資料,如裝置版本與限制,並列出裝置上安裝的 App。這些資料可確保用户裝置上擁有適當的 App。iOS 與 iPadOS 允許查詢上次裝置備份到 iCloud 的時間,以及已登入之用户的 App 指定帳户雜湊。在 tvOS,MDM 可以查詢已註冊 Apple TV 裝置的資產資料,如語言、地區與機構。
供應商支援取用和規則:MDM 是一項重要任務的服務。你需要評估 MDM 廠商所提供的支援、服務和訓練。
你可以根據你的條件製作一份 MDM 解決方案簡短清單,並安排透過幾部測試裝置進行試用,以評估哪個解決方案最能滿足你的需求,然後再做出最終決策。Apple School Manager 可讓你與多個 MDM 解決方案連結,並視需要將裝置指派給不同的伺服器。如需更多資料,請觀看選擇 MDM 解決方案影片。
你 MDM 解決方案的網絡要求
安裝和設定你的 MDM 解決方案時,考慮你會如何設定網絡、「傳輸層保安」(TLS)、基礎架構服務、Apple 服務和備份。
當你安裝在本機託管的 MDM 解決方案時,需要設定下列所有項目。請在流程中配置並儘早測試每個項目,以確保部署順利進行。如你的 MDM 解決方案於外部管理或於雲端託管,你的 MDM 供應商可代表你處理以下這些項目:
DNS:MDM 解決方案必須使用完全合格的網域名稱,以便從機構網絡的內部和外部進行解析。這樣可讓伺服器管理裝置,無論這些裝置是否與本機連線或遙距連線。為了維持與用户端的連線,此網域名稱無法更改。
IP 位址:大部份的 MDM 解決方案需要有固定 IP 位址。如伺服器的 IP 位址有所變更,現有 DNS 名稱必須維持不變。
配置 MDM 和 TLS:Apple 裝置和 MDM 解決方案之間的所有通訊都使用 HTTPS 加密。系統必須使用 TLS(前身為 SSL)證書來保護這些通訊。如沒有來自知名證書授權管理中心(CA)的證書,請勿部署裝置。請留意到期日,並確定在證書到期前完成更新。
防火牆傳輸埠:如要同時啟用對 MDM 解決方案的內部與外部存取,特定防火牆傳輸埠必須開啟。大部份的 MDM 解決方案於傳輸埠 443 接受使用 HTTPS 的入埠連線。MDM 解決方案和裝置兩者必須以「Apple 推送通知服務」進行通訊。2020 年 11 月之前,MDM 解決方案使用連接埠 2195 和 2196 來配搭 APNs;用户端則使用連接埠 5223。2020 年 11 月之後,MDM 解決方案會使用連接埠 2197。
貼士:你的 MDM 解決方案可能會託管「啟用鎖」託管密鑰和略過代碼、macOS 啟動代號,以及其他對裝置取用連續性十分重要的獨有數據。因此,確保為本地 MDM 安裝製定了強大的災難還原策略。建議定期進行備份和還原測試。