A mobileszköz-felügyelet profiljainak bemutatása
A mobileszköz-felügyelet (MDM) használatával biztonságosan és vezeték nélkül konfigurálhatja az eszközöket profilok és parancsok átküldésével, függetlenül attól, hogy az adott eszköz a felhasználó vagy a szervezet tulajdona. Az MDM-képességek magukban foglalják a szoftver és az eszközbeállítások frissítését, a vállalati szabályzatok betartásának ellenőrzését, az eszközökön lévő adatok távolról történő törlését és az eszközök zárolását. A felhasználók saját maguk regisztrálhatják eszközeiket az MDM-ben, a szervezet eszközei pedig automatikusan regisztrálhatók az Apple School Manager vagy az Apple Business Manager segítségével.
Az MDM használata előtt érdemes megismerkedni néhány alapvető fogalommal, ezért azt javasoljuk, hogy tekintse át a következő részeket, hogy megértse, hogy az MDM hogyan használja a regisztrációs és konfigurációs profilokat, az adminisztrációt és az adatcsomagokat.
Támogatott Apple eszközök
A következő Apple eszközök rendelkeznek egy beépített keretrendszerrel, amely támogatja az MDM-et:
iOS 4 vagy újabb rendszerű iPhone
iPad iOS 4.3 vagy újabb vagy iPadOS 13.1 vagy újabb operációs rendszerrel
Mac számítógépek OS X 10.7 vagy újabb rendszerekkel
Apple TVtvOS 9 vagy újabb rendszerrel
Apple WatchwatchOS 10 vagy újabb operációs rendszerrel
visionOS 1.1 vagy újabb rendszerrel működő Apple Vision Pro
Eszközök regisztrálásának módja
Az MDM-be való regisztráció magában foglalja az ügyféltanúsítvány-identitások regisztrálását olyan protokollok használatával, mint az Automatizált tanúsítványkezelési környezet (ACME) vagy az Egyszerű tanúsítványigénylési protokoll (SCEP). Ezekkel a protokollokkal az eszközök egyedi identitású tanúsítányokat hoznak létre, amelyekkel a szervezet szolgáltatásait lehet hitelesíteni.
Az automatizált regisztráció kivételével a felhasználók döntik el, hogy szeretnének-e regisztrálni az MDM-be, és az MDM-hez hozzárendelt eszközeiket bármikor igény szerint törölhetik. Emiatt érdemes fontolóra venni azt, hogy a felhasználók felügyelet alatt maradjanak. Kötelezővé teheti például az MDM-regisztrációt a Wi-Fi-hálózatok eléréséhez, és az MDM segítségével automatikusan kioszthatja a vezeték nélküli kapcsolatok hozzáférési adatait. Amikor egy felhasználó kilép az MDM szolgáltatásból, az eszköze megpróbálja értesíteni az MDM-megoldást arról, hogy többé nem felügyelhető.
A szervezethez tartozó eszközök esetében használhatja az Apple School Managert és az Apple Business Managert, amelyekkel automatikusan regisztrálhatja az eszközöket az MDM-be és vezeték nélkül adminisztrálhatja őket a kezdeti beállítások elvégzése közben; ez a regisztrációs folyamat az automatizált eszközregisztráció folyamata.
MDM és ellopott eszköz védelme
Ha az Ellopott eszköz védelme funkció be van kapcsolva, és a felhasználó egy számára ismeretlen tartózkodik, az alábbi műveletek 1 órával késleltetve vannak:
Saját eszköz MDM-be történő manuális regisztrálásakor
Jelkód-profil vagy -konfiguráció telepítése manuálisan
Microsoft Exchange-fiókok konfigurálása a beállításokban vagy egy profil vagy konfiguráció segítségével
Regisztrációs profilok
Egy regisztrációs profil egyike a két fő módnak, amivel a felhasználók eszközöket regisztrálhatnak egy MDM-megoldásba (a másik mód a felhasználói regisztráció vagy a fiókvezérelt eszközregisztráció használata). Ezzel a profillal, amely egy MDM-adatcsomagot tartalmaz, az MDM-megoldás parancsokat és szükség esetén további konfigurációs profilokat küld az eszköznek. Ezenkívül információkat kérhet az eszköztől, például az Aktiválási zár állapotát, az akkumulátor töltöttségi szintjét és a nevét.
Ha egy felhasználó eltávolítja a regisztrációs profilt, azzal együtt az összes konfigurációs profil, azok beállításai és a regisztrációs profilon alapuló Felügyelt appok is törlődni fognak. Egy eszközön egyszerre csak egy regisztrációs profil lehet.
Miután az eszköz vagy a felhasználó jóváhagyta a regisztrációs profilt, a rendszer adatcsomagokat tartalmazó konfigurációs profilokat továbbít az eszköznek. Ezután vezeték nélküli módon terjesztheti, kezelheti és konfigurálhatja az Apple School Managerben vagy az Apple Business Managerben megvásárolt appokat és könyveket. A felhasználók telepíthetnek appokat, ezenkívül automatikusan is telepíthetők appok attól függően, hogy az adott app milyen típusú, hogyan lett hozzárendelve, és az eszköz adminisztrálva van-e. További információk: Az Apple-eszközfelügyelet bemutatása.
Konfigurációs profilok
A konfigurációs profil egy olyan XML-fájl (.mobileconfig végződéssel), amely adatcsomagokat tartalmaz. Ezek az adatcsomagok beállításokat és feljogosítási adatokat töltenek be az Apple-eszközökre. A konfigurációs profilok automatizálják a beállítások, fiókok, korlátozások és bejelentkezési adatok konfigurálását. Ezek a fájlok az MDM-megoldásban vagy a Machez készült Apple Configuratorban hozhatóak létre, vagy manuálisan is elkészíthetők. Ha további információkat szeretne megtudni arról, hogyan használhatja a Machez készült Apple Configuratort konfigurációs profilok létrehozásához és telepítéséhez iPhone‑on, iPaden és Apple TV‑n, tekintse meg a Konfigurációs profilok létrehozása és szerkesztése című részt a Machez készült Apple Configurator felhasználói útmutatójában.
Mivel a konfigurációs profilok igény szerint titkosíthatók és aláírhatók, a profilok használatát egy meghatározott Apple-eszközre korlátozhatja, amivel megakadályozhatja, hogy bárki más módosítsa a beállításokat (kivéve a felhasználóneveket és a jelszavakat). A konfigurációs profilokat meg is jelölheti az adott eszközhöz zároltként.
Ha az MDM-megoldás támogatja, a konfigurációs profilt e-mail-üzenethez csatolt mellékletként, a saját weboldalán megjelenő linkként vagy az MDM-megoldás beépített felhasználói portálján keresztül terjesztheti. Amikor a felhasználó megnyitja a mellékletet vagy letölti a konfigurációs profilt egy webböngészőben, a rendszer felkéri a konfigurációs profil telepítésére.
Olyan konfigurációs profilt továbbíthat, amely módosíthatja egy teljes eszköz vagy egy egyedülálló felhasználó beállításait:
Az eszközprofilok leküldhetők az eszközökre és eszközcsoportokra, és a teljes eszközön beállításokat végeznek.
Az iPhone, az iPad, az Apple TV, az Apple Watch és az Apple Vision Pro nem képes egynél több felhasználó felismerésére, így a támogatott Apple‑eszközökhöz létrehozott konfigurációs profilok mindig eszközprofilok. Azzal együtt, hogy az iPadOS-profilok eszközprofilok, a megosztott iPad használatára konfigurált iPad eszközök támogatják az eszköz- és a felhasználó-alapú profilokat is.
A felhasználói profilok elküldhetők a felhasználóknak és (ha az MDM-megoldás lehetővé teszi) a felhasználói csoportoknak, és csak az adott felhasználókon végeznek beállításokat. A Macek több felhasználóval rendelkezhetnek, így a macOS-profilok adatcsomagjai és beállításai az eszközön vagy a felhasználón alapulhatnak. A Beállítási asszisztens használatával létrehozott felhasználói fiók az MDM-megoldás által felügyeltnek számít, és képes profilok fogadására. macOS 11 vagy újabb operációs rendszerrel működő Mac esetén a regisztráció során az MDM által létrehozott adminisztrátori fiók opcionálisan felügyelt is lehet. Az Active Directory–hoz kötött üzembe helyezések esetén, a jelenleg bejelentkezett hálózati felhasználó MDM által felügyelhetővé válik.
Az eszköz- és felhasználói beállítások a helyüktől függően eltérőek lehetnek: A rendszerszinten telepített beállítások az eszközcsatornán találhatók meg. A felhasználóhoz telepített beállítások a felhasználó csatornán találhatók meg.
A profilok telepítésére és a Zárt módra vonatkozó bővebb tudnivalókért tekintse meg a következő Apple-támogatási cikket: A Zárt mód bemutatása.
Profil eltávolítása
A profilok eltávolításának módja a telepítésüktől függ. A következő lépéssor jelzi a profil eltávolításának módját:
1. Minden profil eltávolítható úgy, ha törli az eszközön lévő összes adatot.
2. Ha az eszközt MDM segítségével regisztrálták az Apple School Managerbe vagy az Apple Business Managerbe, az adminisztrátor kiválaszthatja, hogy a regisztrációs profilt a felhasználó is, vagy kizárólag csak az MDM-szerver távolíthassa el.
3. Ha a profilt MDM-megoldás telepítette, akkor az adott MDM-megoldás képes azt eltávolítani, illetve a felhasználó is, ha a felhasználó törli a regisztrációt az MDM-ből a felíratkozás konfigurációs profiljának eltávolításával.
4. Ha a profil az Apple Configurator segítségével volt felügyelt eszközre telepítve, akkor az Apple Configurator felügyelő példánya képes eltávolítani a profilt.
5. Ha a profil manuálisan vagy az Apple Configurator segítségével volt felügyelt eszközre telepítve, és a profil rendelkezik eltávolítási jelszó adatcsomaggal, akkor a felhasználónak meg kell adnia az eltávolítási jelszót a profil eltávolításához.
6. A felhasználó minden más profilt eltávolíthat.
A konfigurációs profil által telepített fiókok csak a profil eltávolításával távolíthatók el. A Microsoft Exchange ActiveSync-fiók – az is, amely konfigurációs profil segítségével lett telepítve – a Microsoft Exchange Server használatával távolítható el, az account-only távoli törlési parancs kiadásával.
Fontos: Ha a felhasználó ismeri az eszköz jelkódját, eltávolíthatja a manuálisan telepített konfigurációs profilt a nem felügyelt iPhone-ról vagy iPadről, még ha a beállítás értéke „soha” is. A Mac-felhasználók csak akkor tehetik meg ugyanezt, ha a felhasználó ismeri az adminisztrátor felhasználónevét és jelszavát. Ezt megtehetik a profiles parancssori eszközzel a Rendszerbeállításokban (macOS 13 vagy újabb rendszerben), illetve a Rendszerbeállításokban (macOS 12.0.1 vagy régebbi rendszerben). macOS 10.15 vagy újabb rendszert futtató Macek esetén – az iOS és iPadOS rendszerekhez hasonlóan – az MDM-mel telepített profilokat az MDM segítségével kell eltávolítani, vagy a regisztráció MDM-ből történő törlésekor automatikusan törlődnek.
MDM kommunikációs követelmények
A harmadik felek MDM-megoldásainak kommunikációja az Apple eszközökkel a legnagyobb eséllyel akkor sikeres, ha:
Az MDM-megoldás be van állítva, sikeresen tesztelve lett, és megfelelően működik;
Az APN tanúsítvány érvényes, és nem járt le;
Az eszköz be van kapcsolva;
Az eszköz jelenleg regisztrálva van MDM-be;
A hálózati eszköz csatlakoztatva van, és van internetkapcsolata (az APN kommuniációjához);
A hálózati eszköz kapcsolódik, hogy elérhesse az MDM-mel kapcsolatos Apple-hosztokat.
További információkért olvassa el a következő Apple-támogatási cikket: Apple-termékek használata vállalati hálózatokon.
Megjegyzés: Az Apple-nek nincs befolyása a külső gyártóktól származó MDM-megoldásokra. További problémák, például egy helytelenül konfigurált MDM adatcsomag is okozhatják az MDM kommunikációs hibáját.