Wprowadzenie do profili zarządzania urządzeniami mobilnymi (MDM)
System iOS, iPadOS, macOS, tvOS, watchOS 10 lub nowszy oraz visionOS 1.1 lub nowszy zawiera wbudowany szablon roboczy obsługujący zarządzanie urządzeniami mobilnymi (MDM). MDM umożliwia bezpieczne konfigurowanie urządzeń drogą bezprzewodową za pośrednictwem wysyłanych do nich profili i poleceń, niezależnie od tego, czy urządzenia należą do użytkownika, czy do organizacji. Możliwości MDM obejmują uaktualnianie oprogramowania oraz ustawień urządzeń, nadzorowanie zgodności z zasadami organizacyjnymi, a także zdalne wymazywanie oraz zdalne blokowanie urządzeń. Użytkownicy mogą zarejestrować w MDM własne urządzenia, natomiast urządzenia należące do organizacji mogą zostać zarejestrowane w MDM automatycznie przy użyciu usługi Apple School Manager lub Apple Business Manager. Jeśli korzystasz z Niezbędnika biznesowego Apple, możesz również skorzystać z wbudowanej funkcji zarządzania urządzeniami.
Jeśli zamierzasz korzystać z MDM, warto poznać kilka pojęć. Zapoznaj się z poniższymi sekcjami, aby dowiedzieć się, w jaki sposób MDM używa profili rejestracji, profili konfiguracji, nadzoru oraz pakietów danych.
Sposób rejestracji urządzeń
Rejestracja w rozwiązaniu MDM obejmuje rejestrowanie tożsamości certyfikatów klienta przy użyciu protokołów, takich jak Automated Certificate Management Environment (ACME) lub Simple Certificate Enrollment Protocol (SCEP). Przy użyciu tych protokołów urządzenia tworzą jednoznaczne certyfikaty tożsamości, wykorzystywane podczas uwierzytelniania usług organizacji.
Jeśli rejestracja nie jest zautomatyzowana, to użytkownicy decydują, czy chcą zarejestrować swoje urządzenia w MDM. Mogą je także wyrejestrować z MDM w dowolnej chwili. Z tego powodu należy rozważyć sposoby zachęcania użytkowników, aby pozostawiali swoje urządzenia w trybie zarządzania. Na przykład, można wymagać rejestracji w MDM w celu uzyskania dostępu do sieci Wi‑Fi, automatycznie podając przy użyciu MDM dane uwierzytelniania wymagane przez sieć bezprzewodową. Gdy użytkownik wyrejestruje się z MDM, urządzenie próbuje powiadomić rozwiązanie MDM, że nie jest już urządzeniem zarządzanym.
W przypadku urządzeń należących do organizacji można użyć usługi Apple School Manager, Apple Business Manager lub Niezbędnik biznesowy Apple, aby automatycznie zarejestrować je w MDM podczas początkowej konfiguracji oraz skonfigurować bezprzewodowo jako urządzenia zarządzane. Proces ten to automatyczna rejestracja urządzeń (Automated Device Enrollment).
MDM i ochrona skradzionego urządzenia
Gdy włączona jest funkcja ochrony skradzionego urządzenia, a użytkownik znajduje się w nieznanym miejscu, wykonanie poniższych czynności wymaga godzinnego opóźnienia:
Ręczna rejestracja urządzenia w rozwiązaniu MDM
Ręczna instalacja profilu lub konfiguracji kodu
Konfiguracja konta Microsoft Exchange w Ustawieniach albo przy użyciu profilu lub konfiguracji
Profile rejestracji
Profil rejestracji to jeden z dwóch głównych sposobów, w jakie użytkownicy mogą zarejestrować urządzenie osobiste w rozwiązaniu MDM (drugi sposób to mechanizm rejestracji przez użytkownika). Dzięki temu profilowi, który zawiera pakiet danych MDM, rozwiązanie MDM wysyła do urządzenia polecenia i — w razie potrzeby — dodatkowe profile konfiguracji. Może również wysyłać zapytania do urządzenia o informacje, takie jak stan blokady aktywacji, poziom naładowania baterii i nazwa.
Gdy użytkownik usuwa profil rejestracji, usuwane są wszystkie profile konfiguracji, ich ustawienia oraz aplikacje zarządzane powiązane z tym profilem. Jednocześnie na urządzeniu może być tylko jeden profil rejestracji.
Gdy profil rejestracji zostanie zaakceptowany (przez urządzenie lub przez użytkownika), do urządzenia dostarczane są profile konfiguracji zawierające pakiety danych. Następnie można bezprzewodowo dystrybuować, zarządzać i konfigurować aplikacje i książki kupione za pomocą usługi Apple School Manager, Apple Business Manager lub Niezbędnik biznesowy Apple. Aplikacje mogą być instalowane przez użytkowników lub automatycznie — zależnie od rodzaju aplikacji, sposobu przypisania do urządzenia oraz tego, czy dane urządzenie jest urządzeniem nadzorowanym (supervised). Aby uzyskać więcej informacji, zobacz: Nadzór nad urządzeniami Apple.
Profile konfiguracyjne
Profil konfiguracji (configuration profile) to plik XML (z rozszerzeniem .mobileconfig) zawierający pakiety danych, dzięki którym do urządzeń Apple wczytywane są ustawienia oraz dane uwierzytelniania. Profile konfiguracyjne pozwalają na automatyzowanie konfiguracji ustawień, kont, ograniczeń i danych uwierzytelniających. Te pliki mogą być tworzone przez rozwiązanie MDM lub aplikację Apple Configurator dla komputerów Mac. Można je również tworzyć ręcznie. Aby uzyskać więcej informacji na temat używania aplikacji Apple Configurator na Maca do tworzenia i instalowania profili konfiguracyjnych na iPhonie, iPadzie oraz Apple TV, zapoznaj się z rozdziałem Create and edit configuration profiles (Tworzenie i edytowanie profili konfiguracji) w Podręczniku użytkownika aplikacji Apple Configurator na Maca.
Profile konfiguracji mogą być zaszyfrowane i podpisane cyfrowo, co pozwala na ograniczenie ich użycia do określonych urządzeń Apple oraz uniemożliwia innym zmienianie ich ustawień (za wyjątkiem nazw użytkowników i haseł). Możesz także oznaczyć profil konfiguracji jako zablokowany na danym urządzeniu.
Jeśli Twoje rozwiązanie MDM obsługuje taką funkcję, możesz dystrybuować profile konfiguracji przy użyciu załączników we wiadomościach email, łączy we własnych witrynach sieciowych lub za pośrednictwem wbudowanego portalu oferowanego przez rozwiązanie MDM. Gdy użytkownicy otworzą załącznik pocztowy lub pobiorą profil konfiguracji przy użyciu przeglądarki Internetu, zobaczą prośbę o potwierdzenie rozpoczęcia instalowania profilu konfiguracji.
Możesz dostarczyć profil konfiguracji zmieniający ustawienia całego urządzenia lub pojedynczego użytkownika:
Profile urządzeń mogą być wysyłane do urządzeń oraz grup urządzeń. Stosują one ustawienia dotyczące całego urządzenia.
iPhone, iPad, Apple TV, Apple Watch i Apple Vision Pro nie rozpoznają więcej niż jednego użytkownika, więc profile konfiguracji utworzone dla systemu iOS, iPadOS, tvOS, watchOS 10 lub nowszego oraz visionOS 1.1 lub nowszego są zawsze profilami urządzeń. Profile iPadOS są profilami urządzeń, ale iPady ze skonfigurowaną funkcją Wspólny iPad mogą obsługiwać zarówno profile dotyczące urządzenia, jak i profile dotyczące użytkownika.
Profile użytkowników mogą być wysyłane do użytkowników oraz grup użytkowników (jeśli ta funkcja jest obsługiwana przez rozwiązanie MDM). Stosują one ustawienia dotyczące tylko wybranych użytkowników. Komputery Mac mogą obsługiwać wielu użytkowników, zatem pakiety danych oraz ustawienia profili dla systemu macOS mogą dotyczyć urządzenia lub użytkownika. Konto użytkownika tworzone przy użyciu Asystenta ustawień jest uznawane przez rozwiązanie MDM za zarządzane i może otrzymywać profile. W systemie macOS 11 lub nowszym konto administratora tworzone przez rozwiązanie MDM podczas rejestracji urządzenia może opcjonalnie być zarządzane. W przypadku wdrożeń powiązanych z Active Directory konto aktualnie zalogowanego użytkownika sieciowego staje się kontem zarządzanym przez rozwiązanie MDM.
Ustawienia urządzenia i użytkownika różnią się w zależności od miejsca instalacji. Ustawienia instalowane na poziomie systemu znajdują się w kanale urządzenia. Ustawienia instalowane dla użytkownika znajdują się w kanale użytkownika.
Aby uzyskać więcej informacji na temat instalacji profilu i trybu blokady, zapoznaj się z artykułem Wsparcia Apple: Tryb blokady.
Usuwanie profilu
Sposób usuwania profili zależy od sposobu ich zainstalowania. Poniższa lista przedstawia sposoby usuwania profili:
1. Wszystkie profile mogą zostać usunięte przez wymazanie wszystkich danych z urządzenia.
2. Jeśli urządzenie zostało zarejestrowane w rozwiązaniu MDM przy użyciu usługi Apple School Manager, Apple Business Manager lub Niezbędnik biznesowy Apple, administrator może wybrać, czy profil rejestracji (enrollment) może zostać usunięty przez użytkownika, czy usunięcie tego profilu możliwe jest tylko przy użyciu rozwiązania MDM.
3. Jeśli profil został zainstalowany przez rozwiązanie MDM, może zostać usunięty przez to konkretne rozwiązanie MDM, a także przez użytkownika na drodze wyrejestrowania urządzenia z rozwiązania MDM przez usunięcie profilu rejestracji.
4. Jeśli profil został zainstalowany na urządzeniu nadzorowanym przy użyciu aplikacji Apple Configurator, może zostać usunięty przy użyciu tej samej instancji aplikacji Apple Configurator.
5. Jeśli profil został zainstalowany na urządzeniu nadzorowanym ręcznie lub przy użyciu aplikacji Apple Configurator i zawiera on pakiet danych Removal Password, w celu usunięcia profilu użytkownik musi wprowadzić hasło.
6. Wszystkie inne profile mogą zostać usunięte przez użytkownika.
Konto zainstalowane przez profil konfiguracji może zostać usunięte przez usunięcie danego profilu. Konto ActiveSync Microsoft Exchange (włączając w to konto zainstalowane przy użyciu profilu konfiguracji) może zostać zdalnie usunięte przez serwer Microsoft Exchange po wysłaniu polecenia zdalnego wymazania dotyczącego samego konta.
Ważne: Jeśli użytkownicy znają kod urządzenia, mogą ręcznie usuwać profile konfiguracyjne z iPhone'ów oraz iPadów, które nie są nadzorowane, nawet jeśli ta opcja jest ustawiona na „nigdy”. Na Macu użytkownicy mogą to zrobić tylko wtedy, gdy znają nazwę i hasło administratora. Można tego dokonać za pomocą narzędzia wiersza polecenia profiles, Ustawień systemowych (w systemie macOS 13 lub nowszym) albo Preferencji systemowych (w systemie macOS 12.0.1 lub starszym). W systemie macOS 10.15 lub nowszym, podobnie jak na urządzeniach iOS oraz iPadOS, profile zainstalowane przy użyciu rozwiązania MDM muszą być usuwane przez rozwiązanie MDM. Są one również usuwane automatycznie w momencie wyrejestrowania z rozwiązania MDM.
Wymagania komunikacji z MDM
Komunikacja rozwiązań MDM innych firm z urządzeniami Apple powinna być skuteczna, gdy:
rozwiązanie MDM jest skonfigurowane, przetestowane i działa prawidłowo,
certyfikat APN jest poprawny i nie wygasł,
urządzenie jest włączone,
urządzenie jest zarejestrowane w rozwiązaniu MDM,
sieć, z którą połączone jest urządzenie, ma dostęp do Internetu (w celu komunikacji przy użyciu APN),
sieć, z którą urządzenie jest połączone, musi mieć dostęp do hostów Apple powiązanych z MDM.
Aby uzyskać więcej informacji, przeczytaj artykuł Wsparcia Apple: Korzystanie z produktów Apple w sieciach korporacyjnych.
Uwaga: Apple nie kontroluje rozwiązań MDM innych firm. Problemy z komunikacją z rozwiązaniem MDM mogą być także powodowane przez inne przyczyny, takie jak nieprawidłowa konfiguracja pakietu danych MDM.
Obsługiwane urządzenia Apple
Poniższe urządzenia Apple mają wbudowany szablon roboczy obsługujący MDM:
iPhone z iOS 4 lub nowszym
iPady z systemem iOS 4.3 lub nowszym, albo z systemem iPadOS 13.1 lub nowszym
Komputery Mac z systemem OS X 10.7 lub nowszym
Apple TV z systemem tvOS 9 lub nowszym
Apple Watch z systemem watchOS 10 lub nowszym
Apple Vision Pro z systemem visionOS 1.1 lub nowszym
Uwaga: Dostępność opcji zależy od rozwiązania MDM. Aby dowiedzieć się, które opcje MDM są dostępne w przypadku Twoich urządzeń, zapoznaj się z dokumentacją dostawcy rozwiązania MDM.