A mobileszköz-felügyelet profiljainak bemutatása
Az iOS, az iPadOS, a macOS, a tvOS, a watchOS 10 és újabb, illetve a visionOS 1.1 és újabb rendszerek olyan beépített keretrendszerrel rendelkeznek, amely támogatja a mobileszköz-felügyelet (MDM) használatát. Az MDM használatával biztonságosan és vezeték nélkül konfigurálhatja az eszközöket profilok és parancsok átküldésével, függetlenül attól, hogy az adott eszköz a felhasználó vagy a szervezet tulajdona. Az MDM-képességek magukban foglalják a szoftver és az eszközbeállítások frissítését, a vállalati szabályzatok betartásának ellenőrzését, az eszközökön lévő adatok távolról történő törlését és az eszközök zárolását. A felhasználók saját maguk regisztrálhatják eszközeiket az MDM-ben, a szervezet eszközei pedig automatikusan regisztrálhatók az Apple School Manager vagy az Apple Business Manager segítségével. Ha az Apple Business Essentialst használja, akkor használhatja a beépített eszközfelügyeletet is.
Az MDM használata előtt érdemes megismerkedni néhány alapvető fogalommal, ezért azt javasoljuk, hogy tekintse át a következő részeket, hogy megértse, hogy az MDM hogyan használja a regisztrációs és konfigurációs profilokat, az adminisztrációt és az adatcsomagokat.
Eszközök regisztrálásának módja
Az MDM-be való regisztráció magában foglalja az ügyféltanúsítvány-identitások regisztrálását olyan protokollok használatával, mint az Automatizált tanúsítványkezelési környezet (ACME) vagy az Egyszerű tanúsítványigénylési protokoll (SCEP). Ezekkel a protokollokkal az eszközök egyedi identitású tanúsítányokat hoznak létre, amelyekkel a szervezet szolgáltatásait lehet hitelesíteni.
Az automatizált regisztráció kivételével a felhasználók döntik el, hogy szeretnének-e regisztrálni az MDM-be, és az MDM-hez hozzárendelt eszközeiket bármikor igény szerint törölhetik. Emiatt érdemes fontolóra venni azt, hogy a felhasználók felügyelet alatt maradjanak. Kötelezővé teheti például az MDM-regisztrációt a Wi-Fi-hálózatok eléréséhez, és az MDM segítségével automatikusan kioszthatja a vezeték nélküli kapcsolatok hozzáférési adatait. Amikor egy felhasználó kilép az MDM szolgáltatásból, az eszköze megpróbálja értesíteni az MDM-megoldást arról, hogy többé nem felügyelhető.
A szervezethez tartozó eszközök esetében használhatja az Apple School Manager, az Apple Business Manager vagy az Apple Business Essentials programot, amelyekkel automatikusan regisztrálhatja az eszközöket az MDM-be és vezeték nélkül adminisztrálhatja őket a kezdeti beállítások elvégzése közben; ez a regisztrációs folyamat az automatizált eszközregisztráció folyamata.
MDM és ellopott eszköz védelme
Ha az Ellopott eszköz védelme funkció be van kapcsolva, és a felhasználó egy számára ismeretlen tartózkodik, az alábbi műveletek 1 órával késleltetve vannak:
Saját eszköz MDM-be történő manuális regisztrálásakor
Jelkód-profil vagy -konfiguráció telepítése manuálisan
Microsoft Exchange-fiókok konfigurálása a beállításokban vagy egy profil vagy konfiguráció segítségével
Regisztrációs profilok
Egy regisztráiós profil egyike a két fő módnak, amivel a felhasználók regisztrálni tudnak egy személyes eszközt egy MDM-megoldásba (a másik mód a Felhasználói regisztráció használata). Ezzel a profillal, amely egy MDM-adatcsomagot tartalmaz, az MDM-megoldás parancsokat és szükség esetén további konfigurációs profilokat küld az eszköznek. Ezenkívül információkat kérhet az eszköztől, például az Aktiválási zár állapotát, az akkumulátor töltöttségi szintjét és a nevét.
Ha egy felhasználó eltávolítja a regisztrációs profilt, azzal együtt az összes konfigurációs profil, azok beállításai és a regisztrációs profilon alapuló Felügyelt appok is törlődni fognak. Egy eszközön egyszerre csak egy regisztrációs profil lehet.
Miután az eszköz vagy a felhasználó jóváhagyta a regisztrációs profilt, a rendszer adatcsomagokat tartalmazó konfigurációs profilokat továbbít az eszköznek. Ezután vezeték nélküli módon terjesztheti, kezelheti és konfigurálhatja az Apple School Managerben, az Apple Business Managerben vagy az Apple Business Essentialsban megvásárolt appokat és könyveket. A felhasználók telepíthetnek appokat, ezenkívül automatikusan is telepíthetők appok attól függően, hogy az adott app milyen típusú, hogyan lett hozzárendelve, és az eszköz adminisztrálva van-e. További információk: Az Apple-eszközfelügyelet bemutatása.
Konfigurációs profilok
A konfigurációs profil egy olyan XML-fájl (.mobileconfig végződéssel), amely adatcsomagokat tartalmaz. Ezek az adatcsomagok beállításokat és feljogosítási adatokat töltenek be az Apple-eszközökre. A konfigurációs profilok automatizálják a beállítások, fiókok, korlátozások és bejelentkezési adatok konfigurálását. Ezek a fájlok az MDM-megoldásban vagy a Machez készült Apple Configuratorban hozhatóak létre, vagy manuálisan is elkészíthetők. Ha további információkat szeretne megtudni arról, hogyan használhatja a Machez készült Apple Configuratort konfigurációs profilok létrehozásához és telepítéséhez iPhone-on, iPaden és Apple TV-n, tekintse meg a Konfigurációs profilok létrehozása és szerkesztése című részt a Machez készült Apple Configurator felhasználói útmutatójában.
Mivel a konfigurációs profilok igény szerint titkosíthatók és aláírhatók, a profilok használatát egy meghatározott Apple-eszközre korlátozhatja, amivel megakadályozhatja, hogy bárki más módosítsa a beállításokat (kivéve a felhasználóneveket és a jelszavakat). A konfigurációs profilokat meg is jelölheti az adott eszközhöz zároltként.
Ha az MDM-megoldás támogatja, a konfigurációs profilt e-mail-üzenethez csatolt mellékletként, a saját weboldalán megjelenő linkként vagy az MDM-megoldás beépített felhasználói portálján keresztül terjesztheti. Amikor a felhasználó megnyitja a mellékletet vagy letölti a konfigurációs profilt egy webböngészőben, a rendszer felkéri a konfigurációs profil telepítésére.
Olyan konfigurációs profilt továbbíthat, amely módosíthatja egy teljes eszköz vagy egy egyedülálló felhasználó beállításait:
Az eszközprofilok leküldhetők az eszközökre és eszközcsoportokra, és a teljes eszközön beállításokat végeznek.
Az iPhone, az iPad, az Apple TV, az Apple Watch és az Apple Vision Pro nem képes egynél több felhasználó felismerésére, így az iOS, az iPadOS, a tvOS, a watchOS 10 és újabb, illetve a visionOS 1.1 és újabb rendszerekhez létrehozott konfigurációs profilok mindig eszközprofilok. Azzal együtt, hogy az iPadOS-profilok eszközprofilok, a megosztott iPad használatára konfigurált iPad eszközök támogatják az eszköz- és a felhasználó-alapú profilokat is.
A felhasználói profilok elküldhetők a felhasználóknak és (ha az MDM-megoldás lehetővé teszi) a felhasználói csoportoknak, és csak az adott felhasználókon végeznek beállításokat. A Macek több felhasználóval rendelkezhetnek, így a macOS-profilok adatcsomagjai és beállításai az eszközön vagy a felhasználón alapulhatnak. A Beállítási asszisztens használatával létrehozott felhasználói fiók az MDM-megoldás által felügyeltnek számít, és képes profilok fogadására. A macOS 11 vagy újabb operációs rendszer esetén a regisztrációs során az MDM által létrehozott fiók, opcionálisan felügyelt is lehet. Az Active Directory–hoz kötött üzembe helyezések esetén, a jelenleg bejelentkezett hálózati felhasználó MDM által felügyelhetővé válik.
Az eszköz- és felhasználói beállítások a helyüktől függően eltérőek lehetnek: A rendszerszinten telepített beállítások az eszközcsatornán találhatók meg. A felhasználóhoz telepített beállítások a felhasználó csatornán találhatók meg.
A profilok telepítésére és a Zárt módra vonatkozó bővebb tudnivalókért tekintse meg a következő Apple támogatási cikket: A Zárt mód bemutatása.
Profil eltávolítása
A profilok eltávolításának módja a telepítésüktől függ. A következő lépéssor jelzi a profil eltávolításának módját:
1. Minden profil eltávolítható úgy, ha törli az eszközön lévő összes adatot.
2. Ha az eszközt MDM segítségével regisztrálták az Apple School Managerbe, Apple Business Managerbe vagy Apple Business Essentialsba, az adminisztrátor kiválaszthatja, hogy a regisztrációs profilt a felhasználó is, vagy kizárólag csak az MDM-kiszolgáló távolíthassa el.
3. Ha a profilt MDM-megoldás telepítette, akkor az adott MDM-megoldás képes azt eltávolítani, illetve a felhasználó is, ha a felhasználó törli a regisztrációt az MDM-ből a felíratkozás konfigurációs profiljának eltávolításával.
4. Ha a profil az Apple Configurator segítségével volt felügyelt eszközre telepítve, akkor az Apple Configurator felügyelő példánya képes eltávolítani a profilt.
5. Ha a profil manuálisan vagy az Apple Configurator segítségével volt felügyelt eszközre telepítve, és a profil rendelkezik eltávolítási jelszó adatcsomaggal, akkor a felhasználónak meg kell adnia az eltávolítási jelszót a profil eltávolításához.
6. A felhasználó minden más profilt eltávolíthat.
A konfigurációs profil által telepített fiókok csak a profil eltávolításával távolíthatók el. A Microsoft Exchange ActiveSync-fiók – az is, amely konfigurációs profil segítségével lett telepítve – a Microsoft Exchange Server használatával távolítható el, az account-only távoli törlési parancs kiadásával.
Fontos: Ha a felhasználó ismeri az eszköz jelkódját, eltávolíthatja a manuálisan telepített konfigurációs profilt a nem felügyelt iPhone-ról vagy iPadről, még ha a beállítás értéke „soha” is. A Mac-felhasználók csak akkor tehetik meg ugyanezt, ha a felhasználó ismeri az adminisztrátor felhasználónevét és jelszavát. Ezt megtehetik a profiles parancssori eszközzel a Rendszerbeállításokban (macOS 13 vagy újabb rendszerben), illetve a Rendszerbeállításokban (macOS 12.0.1 vagy régebbi rendszerben). A macOS 10.15 rendszertől kezdve – az iOS és iPadOS rendszerekhez hasonlóan – az MDM-mel telepített profilokat az MDM segítségével kell eltávolítani, vagy a regisztráció MDM-ből történő törlésekor automatikusan törlődnek.
MDM kommunikációs követelmények
A harmadik felek MDM-megoldásainak kommunikációja az Apple eszközökkel a legnagyobb eséllyel akkor sikeres, ha:
Az MDM-megoldás be van állítva, sikeresen tesztelve lett, és megfelelően működik;
Az APN tanúsítvány érvényes, és nem járt le;
Az eszköz be van kapcsolva;
Az eszköz jelenleg regisztrálva van MDM-be;
A hálózati eszköz csatlakoztatva van, és van internetkapcsolata (az APN kommuniációjához);
A hálózati eszköz kapcsolódik, hogy elérhesse az MDM-mel kapcsolatos Apple-hosztokat.
További információkért olvassa el a következő Apple támogatási cikket: Apple-termékek használata vállalati hálózatokon.
Megjegyzés: Az Apple-nek nincs befolyása a külső gyártóktól származó MDM-megoldásokra. További problémák, például egy helytelenül konfigurált MDM adatcsomag is okozhatják az MDM kommunikációs hibáját.
Támogatott Apple eszközök
A következő Apple eszközök rendelkeznek egy beépített keretrendszerrel, amely támogatja az MDM-et:
iOS 4 vagy újabb rendszerű iPhone
iPad iOS 4.3 vagy újabb vagy iPadOS 13.1 vagy újabb operációs rendszerrel
Mac számítógépek OS X 10.7 vagy újabb rendszerekkel
Apple TVtvOS 9 vagy újabb rendszerrel
Apple WatchwatchOS 10 vagy újabb operációs rendszerrel
visionOS 1.1 vagy újabb rendszerrel működő Apple Vision Pro
Megjegyzés: Egyes beállítások nem érhetők el az összes MDM-megoldásban. Ha szeretné megismerni, mely MDM-beállítások érhetők el az eszközei esetében, tekintse meg az MDM-szolgáltató dokumentációját.