Úvod do profilů pro správu mobilních zařízení
Systémy iOS, iPadOS, macOS, tvOS, watchOS 10 nebo novější a visionOS 1.1 nebo novější obsahují integrovaný framework, který zajišťuje podporu pro správu mobilních zařízení (MDM). Služba MDM umožňuje bezpečné bezdrátové nastavení konfigurace zařízení pomocí profilů a příkazů odesílaných do zařízení, ať už jsou tato zařízení majetkem uživatele nebo vaší organizace. Služba MDM obsahuje funkce pro aktualizaci nastavení softwaru a zařízení, monitoring dodržování pravidel organizace a mazání a zamykání zařízení na dálku. Uživatelé mohou ve službě MDM zaregistrovat svá vlastní zařízení. Pokud jsou zařízení ve vlastnictví organizace, lze je ve službě MDM registrovat automaticky pomocí nástroje Apple School Manager nebo Apple Business Manager. Pokud používáte Apple Business Essentials, můžete využívat také funkce správy zařízení vestavěné přímo v tomto nástroji.
Pokud se chystáte začít používat službu MDM, je třeba, abyste porozuměli několika souvisejícím principům a pojmům. V následujících oddílech se dozvíte, jak služba MDM využívá registrační a konfigurační profily, dohled nad zařízeními a datové části.
Jak se zařízení registrují
Registrace ve službě MDM zahrnuje registraci identit klientských certifikátů pomocí protokolů, jako je prostředí ACME (Automated Certificate Management Environment) nebo SCEP (Simple Certificate Enrollment Protocol). Zařízení pomocí těchto protokolů vytvářejí jedinečné certifikáty identity pro ověřování služeb organizace.
Pokud registrace neprobíhá automaticky, rozhodují o registraci zařízení ve službě MDM jejich uživatelé a můžou je z prostředí MDM také kdykoli odebrat. Měli byste proto zvážit, jakými pobídkami uživatele přimějete, aby svá zařízení ve správě ponechali. Registrací ve službě MDM můžete například podmínit přístup k Wi‑Fi síti, použijete‑li službu MDM k automatickému poskytování přihlašovacích údajů pro bezdrátové připojení. Když uživatel službu MDM opustí, jeho zařízení se pokusí oznámit MDM serveru, že už ho nadále nemůže spravovat.
Zařízení, která vaše organizace vlastní, můžete ve službě MDM registrovat automaticky pomocí Apple School Manageru, Apple Business Manageru nebo Apple Business Essentials a během počátečního nastavení pro ně aktivovat bezdrátový dohled. Tento proces registrace se označuje jako automatická registrace zařízení.
MDM a ochrana odcizených zařízení
Když je zapnuta ochrana odcizených zařízení a uživatel se nachází na neznámém místě, bude mít provedení následujících akcí hodinovou prodlevu:
Ručně zaregistrovat zařízení ve službě MDM
Ruční instalace profilů nebo konfigurací přístupových kódů
Konfigurace účtů Microsoft Exchange v nastavení nebo pomocí profilů či konfigurací
Registrační profily
Jedním ze dvou hlavních způsobů, jak můžou uživatelé zaregistrovat osobní zařízení ve službě MDM, je registrační profil (druhým způsobem je registrace uživatelů). Pomocí tohoto profilu, který obsahuje datovou část MDM, odešle služba MDM do zařízení příkazy a v případě potřeby případně další konfigurační profily. Může se také dotazovat na informace o zařízení, jako je stav zámku aktivace, úroveň nabití baterie nebo název.
Když uživatel ze zařízení odstraní registrační profil, budou spolu s ním odstraněny také všechny konfigurační profily, položky nastavení a spravované aplikace, které jsou na tomto registračním profilu založené. V zařízení může být vždy pouze jeden registrační profil.
Jakmile zařízení nebo uživatel registrační profil schválí, jsou do zařízení přeneseny konfigurační profily, které obsahují datové části. Následně můžete bezdrátově distribuovat, spravovat a konfigurovat aplikace a knihy zakoupené prostřednictvím Apple School Manageru, Apple Business Manageru nebo Apple Business Essentials. Uživatelé můžou aplikace instalovat sami nebo je lze instalovat automaticky – záleží na tom, o jaký typ aplikace se jedná, jak je řešeno její přiřazení a zda je zařízení pod dohledem. Další informace najdete v části O dohledu nad zařízeními Apple.
Konfigurační profily
Konfigurační profil (configuration profile) je XML soubor (s příponou .mobileconfig) obsahující datové části, které slouží k načítání dat nastavení a autorizačních údajů do zařízení Apple. Konfigurační profily umožňují automaticky konfigurovat nastavení, účty, omezení a přihlašovací údaje. Tyto soubory lze vytvořit v systému MDM či v Apple Configuratoru pro Mac nebo je lze vytvořit ručně. Další informace o použití Apple Configuratoru pro Mac k vytvoření a instalaci konfiguračních profilů na zařízení iPhone, iPad a Apple TV najdete v tématu Create and edit configuration profiles (Vytváření a úpravy konfiguračních profilů) v uživatelské příručce pro Apple Configurator pro Mac.
Vzhledem k tomu, že konfigurační profily lze šifrovat a podepisovat, můžete jejich použití omezit na konkrétní zařízení Apple a zároveň zabránit jakékoli změně nastavení s výjimkou uživatelských jmen a hesel. Konfigurační profil můžete v zařízení také označit jako zamčený.
Pokud to vaše implementace služby MDM podporuje, můžete konfigurační profily šířit v e‑mailových přílohách, prostřednictvím odkazů z vlastní webové stránky nebo přes uživatelský portál, který je součástí služby MDM. Když uživatelé otevřou poštovní přílohu s konfiguračním profilem nebo si profil stáhnou ve webovém prohlížeči, jsou vyzváni ke spuštění jeho instalace.
Pomocí dodaného konfiguračního profilu můžete změnit nastavení pro celé zařízení nebo pro konkrétního uživatele:
Profily zařízení, které lze odeslat do jednotlivých zařízení i do skupin zařízení, nastavují volby pro celé zařízení.
Na iPhonech, iPadech, Apple TV, Apple Watch a Apple Vision Pro nelze rozlišit víc než jednoho uživatele, a proto jsou konfigurační profily vytvořené pro systémy iOS, iPadOS, tvOS, watchOS 10 či novější a visionOS 1.1 či novější vždy definované jako profily zařízení. V systému iPadOS se sice profily definují jako profily zařízení, ale iPady s nakonfigurovanou funkcí Sdílený iPad můžou podporovat jak profily založené na zařízení, tak i profily založené na uživateli.
Uživatelské profily lze posílat uživatelům a (pokud je služba MDM podporuje) skupinám uživatelů. Slouží k nastavení uživatelských voleb vždy jen pro příslušné uživatele. V počítačích Mac lze vytvořit více uživatelských účtů, takže datové části a nastavení v profilech pro macOS můžou být určené jak pro zařízení, tak pro uživatele. Uživatelský účet vytvořený v Průvodci nastavením se považuje za účet spravovaný službou MDM, který může přijímat profily. V systému macOS 11 a novějších je možné používat účet správce (vytvořený službou MDM během registrace) alternativně jako spravovaný. U nasazení vázaných na službu Active Directory je možné aktuálně přihlášené síťové uživatele spravovat pomocí MDM.
Nastavení zařízení a uživatelské nastavení se liší umístěním: Nastavení nainstalované na celosystémové úrovni je umístěno v kanálu zařízení. Nastavení nainstalované pro konkrétního uživatele je umístěno v uživatelském kanálu.
Další informace o instalaci profilů a režimu blokování najdete v článku podpory Apple O režimu blokování.
Odstranění profilu
Postup odstranění profilů závisí na způsobu, jakým byly nainstalovány. Následující postup popisuje, jak lze profil odstranit:
1. Všechny profily lze odstranit vymazáním všech dat ze zařízení.
2. Na zařízeních zaregistrovaných ve službě MDM prostřednictvím Apple School Manageru, Apple Business Manageru nebo Apple Business Essentials si správce může vybrat, zda může být registrační profil odstraněn uživatelem nebo zda ho může odstranit pouze samotný server MDM.
3. Je‑li profil nainstalován ve službě MDM, lze ho odstranit v téže konkrétní službě MDM nebo prostřednictvím zrušení registrace ve službě MDM tak, že se odstraní konfigurační profil této registrace.
4. Pokud byl profil nainstalován na zařízení pod dohledem prostřednictvím Apple Configuratoru, může ho odstranit příslušná dohlížející instance Apple Configuratoru.
5. Jestliže byl profil na zařízení pod dohledem nainstalován ručně nebo pomocí Apple Configuratoru a obsahuje datovou část s heslem pro odstranění, musí uživatel při odstraňování profilu zadat toto heslo.
6. Všechny ostatní profily může odstranit uživatel.
Účet nainstalovaný pomocí konfiguračního profilu lze odstranit jen odstraněním profilu. Účty Microsoft Exchange ActiveSync, včetně účtů nainstalovaných pomocí konfiguračního profilu, lze odstranit prostřednictvím Microsoft Exchange Serveru zadáním dálkového příkazu k vymazání platného jen pro účty.
Důležité: Pokud uživatel zná přístupový kód k iPhonu nebo iPadu, který není pod dohledem, může z něj ručně nainstalované konfigurační profily odstranit, i když je příslušná volba nastavená na hodnotu „nikdy“. Uživatelé Maců mohou totéž provést pouze v případě, že znají uživatelské jméno a heslo správce. To můžou provést pomocí nástroje příkazového řádku profiles, v Nastavení systému (macOS 13 a novější) nebo v Předvolbách systému (macOS 12.0.1 a starší). V systémech macOS 10.15 a novějších stejně jako v systémech iOS a iPadOS platí, že profily nainstalované pomocí služby MDM lze odstranit opět jen pomocí služby MDM, případně se odstraní automaticky při zrušení registrace ve službě MDM.
Požadavky na komunikaci v MDM
Komunikace služeb MDM od nezávislých dodavatelů se zařízeními Apple bude s největší pravděpodobností úspěšná za následujících předpokladů:
Služba MDM je nastavená, úspěšně otestovaná a funguje podle očekávání
Certifikát služby APNs je platný (jeho platnost nevypršela)
Zařízení je zapnuté
Zařízení je aktuálně zaregistrované ve službě MDM
Síť, ke které je zařízení připojené, má přístup k internetu (pro komunikaci přes službu APNs)
Síť, ke které je zařízení připojené, má přístup k hostitelům Apple souvisejícím se službou MDM
Další informace najdete v článku podpory Apple Používání produktů Apple ve firemních sítích.
Poznámka: Společnost Apple nemá nad službami MDM od nezávislých dodavatelů žádnou kontrolu. Selhání komunikace se službou MDM může být způsobeno i dalšími problémy, například nesprávně nakonfigurovanou datovou částí MDM.
Podporovaná zařízení Apple
Framework zajišťující podporu MDM je integrován do následujících zařízení Apple:
iPhone s iOS 4 nebo novějším
iPady se systémy iOS 4.3 a novějšími nebo iPadOS 13.1 a novějšími
Počítače Mac se systémem OS X 10.7 nebo novějším
Apple TV se systémem tvOS 9 nebo novějším
Apple Watch se systémem watchOS 10 nebo novějším
Apple Vision Pro se systémem visionOS 1.1 nebo novějším
Poznámka: Některé možnosti jsou k dispozici jen v určitých službách MDM. Informace o tom, které volby MDM jsou dostupné pro vaše zařízení, najdete v dokumentaci od dodavatele služby MDM.