Introduktion til profiler til administration af mobile enheder
iOS, iPadOS, macOS, tvOS, watchOS 10 og nyere versioner og visionOS 1.1 og nyere versioner har en indbygget struktur, der understøtter administration af mobile enheder (MDM). Du kan bruge MDM til at indstille enheder sikkert og trådløst ved at sende profiler og kommandoer til dem, uanset om de ejes af brugeren eller organisationen. MDM-funktioner omfatter opdatering af software og enhedsindstillinger, overvågning af, at organisationens politikker overholdes, og ekstern sletning eller låsning af enheder. Brugere kan tilmelde deres egne enheder i MDM, og enheder, der ejes af organisationen, kan automatisk tilmeldes i MDM vha. Apple School Manager eller Apple Business Manager. Hvis du bruger Apple Business Essentials, kan du også bruge den indbyggede administration af enheder.
Der er nogle begreber, du bør forstå, hvis du skal bruge MDM, så læs følgende afsnit for at forstå, hvordan MDM bruger tilmeldings- og konfigurationsprofiler, tilsyn og data.
Sådan tilmeldes enheder
Tilmelding til MDM involverer tilmelding af klientcertifikat-id'er vha. protokoller som f.eks. Automated Certificate Management Environment (ACME) eller Simple Certificate Enrollment Protocol (SCEP). Enheder bruger disse protokoller til oprettelse af forskellige identitetscertifikater til godkendelse af en organisations tjenester.
Medmindre tilmeldingen sker automatisk, beslutter brugerne i de fleste tilfælde, om de vil tilmeldes i MDM, og de kan altid framelde deres enheder fra MDM. Du bør derfor overveje tiltag, så brugernes enheder forbliver administrerede. Du kan f.eks. kræve MDM-tilmelding til Wi-Fi-adgang ved at bruge MDM til automatisk at levere de trådløse godkendelsesoplysninger. Når en bruger ophører med at bruge MDM, forsøger brugerens enhed at underrette MDM-løsningen om, at den ikke længere administreres.
Til enheder, som organisationen ejer, kan du bruge Apple School Manager, Apple Business Manager eller Apple Business Essentials til automatisk at tilmelde dem trådløst i MDM og føre tilsyn med dem under den første indstilling. Denne tilmeldingsproces kaldes Automatisk enhedstilmelding.
MDM og beskyttelse af stjålet enhed
Når Beskyttelse af stjålet enhed er slået til, og brugeren befinder sig på en ukendt lokalitet, udsættes de følgende handlinger med en time:
Manuel tilmelding af enheden til MDM
Manual installation af en adgangskodebeskyttet profil eller konfiguration
Konfiguration af en Microsoft Exchange-konto i indstillingerne eller med en profil eller konfiguration
Tilmeldingsprofiler
En tilmeldingsprofil er en af de to primære måder, hvorpå brugere kan tilmelde en personlig enhed til en MDM-løsning (den anden måde er via brugertilmelding). Med denne konto, som indeholder MDM-data, sender MDM-løsningen kommandoer og – om nødvendigt – yderligere konfigurationsprofiler til enheden. Den kan også forespørge enheden om oplysninger, f.eks. den status for Aktiveringslås, batteriniveau og navn.
Når en bruger fjerner en tilmeldingsprofil, fjernes alle konfigurationsprofiler, deres indstillinger og administrerede apps baseret på denne tilmeldingsprofil sammen med den. Der kan kun være en tilmeldingsprofil på en enhed ad gangen.
Når tilmeldingsprofilen er godkendt, enten af enheden eller brugeren, leveres konfigurationsprofiler, der indeholder data, til enheden. Du kan derefter trådløst distribuere, administrere og konfigurere apps og bøger, som er købt via Apple School Manager, Apple Business Manager eller Apple Business Essentials. Brugere kan installere apps, eller de kan installeres automatisk, afhængigt af deres type, hvordan de er tildelt, og om enheden er under tilsyn. Du kan få flere oplysninger i Om tilsyn med Apple-enheder.
Konfigurationsprofiler
En konfigurationsprofil er et XML-arkiv (slutter med .mobileconfig), som består af data, der indlæser indstillinger og godkendelsesoplysninger på Apple-enheder. Konfigurationsprofiler automatiserer konfigurationen af indstillinger, konti, begrænsninger og godkendelsesoplysninger. Disse arkiver kan oprettes af en MDM-løsning eller Apple Configurator til Mac, eller de kan oprettes manuelt. Du kan få flere oplysninger om, hvordan du bruger Apple Configurator på Mac til at oprette og installere konfigurationsprofiler på iPhone-, iPad- og Apple TV-enheder, under Create and edit configuration profiles i brugerhåndbogen om Apple Configurator til Mac.
Da konfigurationsprofilerne kan krypteres og signeres, kan du begrænse deres brug til en bestemt Apple-enhed og forhindre, at nogen ændrer indstillinger bortset fra brugernavne og adgangskoder. Du kan også markere en konfigurationsprofil som låst på enheden.
Hvis MDM-løsningen understøtter det, kan du distribuere konfigurationsprofiler som et e-mailbilag, via et link på din egen webside eller via MDM-løsningens indbyggede brugerportal. Når brugerne åbner e-mailbilaget eller henter konfigurationsprofilen ved hjælp af en webbrowser, bliver de bedt om at begynde installeringen af konfigurationsprofilen.
Du kan levere en konfigurationsprofil, der kan ændre indstillinger for en hel enhed eller for en enkelt bruger:
Enhedsprofiler kan sendes til enheder og enhedsgrupper og anvende enhedsindstillinger på hele enheden.
iPhone, iPad, Apple TV, Apple Watch og Apple Vision Pro kan ikke genkende mere end en bruger, så konfigurationsprofiler, der er oprettet til iOS, iPadOS, tvOS, watchOS 10 og nyere versioner og visionOS 1.1 og nyere versioner, er altid enhedsprofiler. Selvom iPadOS-profiler er enhedsprofiler, kan iPad-enheder, der er konfigureret til Delt iPad, understøtte profiler baseret på enheden eller brugeren.
Brugerprofiler kan sendes til brugere og brugergrupper (hvis MDM-løsningen understøtter dem) og kun anvende brugerindstillinger på de respektive brugere. Mac-computere kan have flere brugere, så data og indstillinger til macOS-profiler kan baseres på enten enheden eller brugeren. Brugerkontoen, der blev oprettet med Indstillingsassistent, opfattes som administreret af MDM-løsningen og kan modtage profiler. I macOS 11 og nyere versioner kan en administratorkonto, der blev oprettet af en MDM-løsning under tilmeldingen, vælges til at være administreret i stedet. For Active Directory-bundne implementeringer kan den netværksbruger, der er logget ind, administreres vha. MDM.
Enheds- og brugerindstillinger varierer, afhængigt af hvor de findes: Indstillinger installeret på systemniveau befinder sig i en enhedskanal. Indstillinger installeret til en bruger befinder sig i en brugerkanal.
Du kan få flere oplysninger om installering af profiler og Nedlukningstilstand i Apple-supportartiklen Om Nedlukningstilstand.
Fjernelse af profiler
Den måde, du fjerner profiler på, afhænger af, hvordan de blev installeret. Følgende sekvens viser, hvordan en profil kan fjernes:
1. Alle profiler kan fjernes, ved at alle data på enheden slettes.
2. Hvis enheden blev tilmeldt MDM vha. Apple School Manager, Apple Business Manager eller Apple Business Essentials, kan administratoren vælge, om tilmeldingsprofilen kan fjernes af brugeren, eller om den kun kan fjernes af MDM-serveren selv.
3. Hvis profilen er installeret af en MDM-løsning, kan den fjernes af denne MDM-løsning eller af brugeren, når vedkommende afmelder sig ved at fjerne konfigurationsprofilen til tilmelding.
4. Hvis profilen er installeret ved hjælp af Apple Configurator på en enhed under tilsyn, kan den tilsynsførende forekomst af Apple Configurator fjerne profilen.
5. Hvis profilen er installeret manuelt eller ved hjælp af Apple Configurator på en enhed under tilsyn, og profilen indeholder data til adgangskoden til fjernelse, skal brugeren indtaste adgangskoden til fjernelse for at fjerne profilen.
6. Alle andre profiler kan fjernes af brugeren.
En konto, som er konfigureret med en konfigurationsprofil, kan fjernes ved at slette profilen. En Microsoft Exchange ActiveSync-konto, herunder en konto, der er installeret af en konfigurationsprofil, kan fjernes af Microsoft Exchange Server ved hjælp af følgende kommando til sletning af en konto.
Vigtigt: Hvis brugerne kender enhedskoden, kan de fjerne manuelt installerede konfigurationsprofiles fra iPhone- og iPad-enheder, der ikke er under tilsyn, også selvom muligheden er indstillet til “aldrig”. Brugere af Mac kan kun gøre det samme, hvis brugeren kender en administrators brugernavn og adgangskode. De kan gøre dette vha. kommandolinjeværktøjet profiles, Systemindstillinger (i macOS 13 og nyere versioner) eller Systemindstillinger (System Preferences) i macOS 12.0.1 og tidligere versioner. Fra og med macOS 10.15 skal profiler, der er installeret med MDM, fjernes med MDM (ligesom i iOS og iPadOS). Ellers fjernes de automatisk, når tilmeldingen til MDM fjernes.
Krav til MDM-kommunikation
MDM-kommunikation fra tredjepart med Apple-enheder har størst sandsynlighed for at lykkes, når:
MDM-løsningen er installeret, testet og fungerer korrekt
APNs-certifikatet er gyldigt og ikke er udløbet
enheden er tændt
enheden er tilmeldt MDM-løsningen
det netværk, enheden er forbundet til, har adgang til internettet (til APNs-kommunikation)
det netværk, enheden er forbundet til, kan få adgang til MDM-relaterede Apple-værter
Du kan få flere oplysninger i Apple-supportartiklen Brug Apple-produkter på virksomhedsnetværk.
Bemærk: Apple har ikke kontrol over MDM-løsninger fra tredjeparter. Andre problemer som f.eks. forkert konfigurerede MDM-data kan også være skyld i, at MDM-kommunikationen mislykkes.
Understøttede Apple-enheder
Følgende Apple-enheder har et indbygget framework, der understøtter MDM:
iPhone med iOS 4 eller en nyere version
iPad med iOS 4.3 eller en nyere version eller iPadOS 13.1 eller en nyere version
Mac-computere med OS X 10.7 eller en nyere version
Apple TV med tvOS 9 eller en nyere version
Apple Watch med watchOS 10 eller en nyere version
Apple Vision Pro med visionOS 1.1 eller en nyere version
Bemærk: Det er ikke alle muligheder, som er tilgængelige i alle MDM-løsninger. Du kan se, hvilke MDM-muligheder der understøttes til dine enheder, i dokumentationen fra din MDM-leverandør.