Johdanto mobiililaitteiden hallinnan profiileihin
iOS:ään, iPadOS:ään, macOS:ään, tvOS:ään, watchOS 10:een tai uudempaan ja visionOS 1.1:een tai uudempaan on integroitu kehys, joka tukee mobiililaitteiden hallintaa (MDM). MDM-ratkaisulla voi määrittää sekä käyttäjän omia että organisaation omistamia laitteita turvallisesti ja langattomasti lähettämällä niihin profiileja ja komentoja. MDM:n avulla voidaan päivittää ohjelmistoja ja laiteasetuksia, valvoa organisaation käytäntöjen noudattamista sekä tyhjentää tai lukita laitteita etänä. Käyttäjät voivat rekisteröidä omat laitteensa MDM-ratkaisuun, ja organisaation omistamat laitteet voidaan rekisteröidä MDM-ratkaisuun automaattisesti käyttäen Apple School Manageria tai Apple Business Manageria. Jos käytät Apple Business Essentialsia, voit myös käyttää sen sisäänrakennettua laitehallintaa.
Jos aiot käyttää MDM:ää, on sinun tärkeä tuntea muutamia siihen liittyviä käsitteitä, joten lue seuraavat osiot oppiaksesi, kuinka MDM käyttää rekisteröinti- ja asetusprofiileja, valvontaa ja tietosisältöjä.
Laitteiden rekisteröimistavat
MDM-rekisteröintiin kuuluu asiakasvarmenneidentiteettien rekisteröiminen käyttäen sellaisia protokollia kuten Automated Certificate Management Environment (ACME) tai Simple Certificate Enrollment Protocol (SCEP). Laitteet luovat näiden protokollien avulla yksilöiviä identiteettivarmenteita organisaation palveluiden todentamista varten.
Jos rekisteröinti ei tapahdu automaattisesti, käyttäjät päättävät, rekisteröivätkö he laitteensa MDM:ään vai eivät, ja he voivat myös irtautua siitä laiteillaan milloin tahansa. Siksi organisaatioiden kannattaa tarjota kannustimia, joilla käyttäjät pysyvät hallittuina. Esimerkiksi käyttämällä MDM-ratkaisua, joka antaa automaattisesti langattoman yhteyden tunnistetiedot, voidaan edellyttää MDM-rekisteröimistä Wi-Fi-verkon käyttöä varten. Kun käyttäjä poistuu MDM:stä, laite yrittää ilmoittaa MDM-ratkaisulle, ettei sitä voi enää hallita.
Jos organisaatiosi omistaa laitteet, voit käyttää Apple School Manageria, Apple Business Manageria tai Apple Business Essentialsia rekisteröidäksesi ne automaattisesti MDM:ään ja valvoaksesi niitä langattomasti alkukäyttöönoton aikana. Tällaista rekisteröintiprosessia kutsutaan automaattiseksi laiterekisteröinniksi.
MDM ja varastetun laitteen suojaus
Kun varastetun laitteen suojaus on päällä ja jos käyttäjä on tuntemattomassa sijainnissa, seuraavilla toiminnoilla on tunnin viive:
rekisteröidä laitteensa manuaalisesti MDM:ään
Pääsykoodiprofiilin tai -määrityksen asentaminen manuaalisesti
Microsoft Exchange -tilin määrittäminen asetuksissa tai profiililla tai määrittelyllä
Rekisteröintiprofiilit
Rekisteröintiprofiili on toinen kahdesta pääasiallisesta tavasta, joilla käyttäjät voivat rekisteröidä omia laitteitaan MDM-ratkaisuun. (Toinen on käyttäjärekisteröinti.) Tällä MDM-tietosisällön sisältävällä profiililla MDM-ratkaisu lähettää komennon ja (tarvittaessa) lisäasetusprofiilit laitteelle. Se voi myös kysellä laitteen tietoja, kuten aktivointilukituksen tilaa, akun varaustasoa ja nimeä.
Kun käyttäjä poistaa rekisteröintiprofiilin, kaikki asetusprofiilit, niiden asetukset ja rekisteröintiprofiiliin perustuvat hallitut apit poistetaan samalla. Laitteessa voi olla vain yksi rekisteröintiprofiili kerrallaan.
Kun laite tai käyttäjä on hyväksynyt rekisteröintiprofiilin, laitteeseen toimitetaan tietosisältöjä sisältävät asetusprofiilit. Sen jälkeen voit jaella, hallita ja määrittää Apple School Managerin, Apple Business Managerin tai Apple Business Essentialsin kautta ostettuja appeja tai kirjoja langattomasti. Käyttäjät voivat asentaa apit, tai apit voidaan asentaa automaattisesti sen mukaan, minkä tyyppisestä apista on kysymys, miten se on jaettu ja onko laite valvottu vai ei. Jos haluat lisätietoja, katso Tietoja Apple-laitteiden valvonnasta.
Asetusprofiilit
Asetusprofiili on XML-tiedosto (jonka tiedostopääte on .mobileconfig), joka koostuu tietosisällöistä, jotka lataavat asetukset ja valtuutustiedot Apple-laitteisiin. Asetusprofiilit automatisoivat asetusten, tilien, rajoitusten ja tunnistetietojen määritystä. Nämä tiedostot voidaan luoda MDM-ratkaisulla, Macin Apple Configuratorilla tai käsin. Jos haluat lisätietoja Macin Apple Configuratorin käytöstä asetusprofiilien luomiseen ja asentamiseen iPhone-, iPad- ja Apple TV -laitteisiin, katso Asetusprofiilien luominen ja muokkaaminen Macin Apple Configuratorin käyttöoppaassa.
Koska asetusprofiilit voidaan salata ja allekirjoittaa, niiden käyttö voidaan rajoittaa tiettyyn Applen laitteeseen, ja asetusten muuttaminen (käyttäjätunnuksia ja salasanoja lukuun ottamatta) voidaan estää. Voit myös merkitä asetusprofiilin lukituksi laitteeseen.
Jos MDM-ratkaisusi tukee jakamista, voit jakaa asetusprofiileja sähköpostin liitteenä, linkkinä omalla verkkosivullasi tai MDM-ratkaisun sisäisessä käyttäjäportaalissa. Kun käyttäjät avaavat sähköpostiliitteen tai lataavat asetusprofiilin verkkoselaimella, heitä kehotetaan aloittamaan asetusprofiilin asennus.
Voit toimittaa asetusprofiilin, joka voi muuttaa asetuksia joko koko laitteelle tai yksittäiselle käyttäjälle:
Laiteprofiileja voidaan lähettää laitteille tai laiteryhmille, ja ne vaikuttavat laiteasetuksiin koko laitteessa.
iPhone, iPad, Apple TV, Apple Watch ja Apple Vision Pro eivät pysty tunnistamaan enempää kuin yhden käyttäjän, joten iOS:ssä, iPadOS:ssä, tvOS:ssä, watchOS 10:ssä tai uudemmassa ja visionOS 1.1:ssä tai uudemmassa luodut asetusprofiilit ovat aina laiteprofiileja. Vaikka iPadOS:n profiilit ovat laiteprofiileja, jaetuksi iPadiksi määritetyt iPad-laitteet voivat tukea joko laitteeseen tai käyttäjään perustuvia profiileja.
Käyttäjäprofiileja voidaan lähettää käyttäjille tai (jos MDM-ratkaisu tukee käyttäjäryhmiä) käyttäjäryhmille, ja ne vaikuttavat vain kyseisten käyttäjien käyttäjäasetuksiin. Mac-tietokoneilla voi olla useita käyttäjiä, joten macOS:n profiilien tietosisällöt ja asetuksen voivat perustua joko laitteeseen tai sen käyttäjään. Käyttöönottoapurissa luotu käyttäjätili katsotaan MDM-ratkaisun hallitsemaksi ja se voi vastaanottaa profiileja. macOS 11:ssä tai uudemmissa voidaan valita, että sen sijasta hallitaan ylläpitäjätiliä, jonka MDM on luonut rekisteröinnin aikana. Active Directoryyn sidotuissa käyttöönotoissa parhaillaan kirjautuneena olevasta verkkokäyttäjästä tulee MDM:llä hallittava.
Laite- ja käyttäjäasetukset ovat eri kanavissa: Järjestelmätasolla asennettavat asetukset ovat laitekanavassa. Käyttäjälle asennettavat asetukset ovat käyttäjäkanavassa.
Jos haluat lisätietoja profiilien asennuksesta ja Sulkutilasta, katso Applen tukiartikkeli Tietoja Sulkutilasta.
Profiilin poistaminen
Profiilien poistamistapa riippuu siitä, miten ne on asennettu. Seuraavassa luettelossa kerrotaan, miten profiilin voi poistaa:
1. Kaikki profiilit voidaan poistaa tyhjentämällä kaikki laitteen tiedot.
2. Jos laite rekisteröitiin MDM-ratkaisuun Apple School Managerilla, Apple Business Managerilla tai Apple Business Essentialsilla, ylläpitäjä voi valita, voiko käyttäjä poistaa rekisteröintiprofiilin vai voiko ainoastaan MDM-palvelin itse poistaa sen.
3. Jos MDM-ratkaisu on asentanut profiilin, kyseinen MDM-ratkaisu voi poistaa sen, tai käyttäjä voi poistaa sen poistamalla rekisteröinnin asetusprofiilin, jolloin laitteen MDM-rekisteröinti poistetaan.
4. Jos profiili on asennettu valvottuun laitteeseen käyttäen Apple Configuratoria, kyseinen valvova Apple Configurator voi poistaa profiilin.
5. Jos profiili on asennettu valvottuun laitteeseen käsin tai käyttäen Apple Configuratoria ja profiililla on poiston salasanan tietosisältö, käyttäjän on syötettävä poiston salasana, jotta profiili poistetaan.
6. Käyttäjä voi poistaa kaikki muu profiilit.
Asetusprofiilin asentama tili voidaan poistaa poistamalla profiili. Microsoft Exchange Server voi poistaa Microsoft Exchange ActiveSync ‑tilin (myös asetusprofiilia käyttäen asennetun) antamalla ainoastaan tiliä koskevan etätyhjennyskomennon.
Tärkeää: Jos käyttäjät tietävät laitteen pääsykoodin, he voivat poistaa käsin asennetut asetusprofiilit valvomattomasta iPhonesta ja iPadista, vaikka asetukseksi olisi valittu ”ei koskaan”. Käyttäjät voivat tehdä saman Macissa ainoastaan, jos käyttäjä tietää ylläpitäjän käyttäjätunnuksen ja salasanan. He voivat tehdä sen käyttämällä profiles-komentorivityökalua tai Järjestelmäasetuksia. Samalla tavalla kuin iOS:ssä ja iPadOS:ssä MDM:llä asennetut profiilit täytyy poistaa MDM:llä macOS 10.15:ssä ja uudemmissa, tai ne poistetaan automaattisesti, kun rekisteröinti poistetaan MDM:stä.
MDM-tietoliikenteen vaatimukset
Muiden valmistajien MDM-ratkaisujen tietoliikenne Apple-laitteiden kanssa onnistuu todennäköisimmin, kun seuraavat ehdot täyttyvät:
MDM-ratkaisu on otettu käyttöön, testattu onnistuneesti ja toimii oikein
APNs-varmenne on kelvollinen eikä se ole vanhentunut
Laitteessa on virta päällä
Laite on sillä hetkellä rekisteröitynä MDM:ään
Verkosta, johon laite on yhdistetty, on yhteys internetiin (APNs-tietoliikennettä varten)
Verkon, johon laite on yhdistetty, täytyy voida käyttää MDM-hallintaan liittyviä Applen palvelimia
Jos haluat lisätietoja, tutustu Applen tukiartikkeliin Apple-tuotteiden käyttäminen yritysverkoissa.
Huomaa: Apple ei hallitse muiden valmistajien MDM-ratkaisuja. Myös muut ongelmat, kuten virheet MDM-tietosisällön määrityksissä, voivat johtaa MDM-tietoliikenteen epäonnistumiseen.
Tuetut Apple-laitteet
Seuraavissa Apple-laitteissa on sisäänrakennettuna sovelluskehys, joka tukee MDM:ää:
iPhone, jossa on iOS 4 tai uudempi
iPad, jossa on iOS 4.3 tai uudempi tai iPadOS 13.1 tai uudempi
Mac-tietokoneet, joissa on OS X 10.7 tai uudempi
Apple TV, jossa on tvOS 9 tai uudempi
Apple Watch, jossa on watchOS 10 tai uudempi
Apple Vision Pro, jossa on visionOS 1.1 tai uudempi
Huomaa: Kaikki valinnat eivät ole saatavilla kaikissa MDM-ratkaisuissa. Jos haluat tietää, mitä MDM-valintoja laitteillesi on saatavilla, tutustu MDM-toimittajasi dokumentaatioon.