Вибір рішення керування мобільними пристроями
Що таке керування мобільним пристроєм (MDM)?
iOS, iPadOS, macOS і tvOS мають вбудоване середовище, яке підтримує рішення керування мобільними пристроями (MDM). MDM дає змогу безпечно та бездротовим чином настроювати пристрої, надсилаючи на них профілі і команди, незалежно від того, чи є вони власністю користувача, чи вашої організації. Керування мобільними пристроями (MDM) це, зокрема, оновлення параметрів пристрою, контроль за дотриманням правил організації та віддалене стирання й замикання пристроїв. Користувачі можуть реєструвати свої власні пристрої в рішенні MDM, а пристрої, що належать організації, можна зареєструвати в MDM автоматично, використовуючи Apple School Manager.
Як працює MDM?
Коли пристрій чи користувач схвалить профіль реєстрації, на пристрій буде передано профілі конфігурації з наборами корисних даних. Після цього можна через бездротову мережу розповсюджувати програми та книги, придбані через Apple School Manager, а також керувати ними й налаштовувати параметри. Користувачі можуть самостійно інсталювати програми або ж програми можуть інсталюватися автоматично залежно від типу програми, способу її призначення та стану нагляду за пристроєм.
Що таке нагляд?
Здебільшого нагляд указує на належність пристрою організації, і це забезпечує додатковий контроль над конфігурацією та обмеженнями пристрою.
Додаткову інформацію дивіться в розділі Про пристрої Apple під наглядом в «Розгортанні платформи Apple».
На що слід зважати під час вибору рішення MDM
Різні сторонні розробники пропонують рішення MDM для будь-яких потреб. Перш ніж вибрати рішення, оцініть, які аспекти рішення MDM мають для вашої організації найбільше значення, включно з варіантами хостингу й вартістю. Наведені нижче поради допоможуть прийняти рішення.
Порада. Відповідне вашому проєкту рішення MDM необхідно вибрати до розгортання. Якщо змінити своє рішення після початку розгортання, пристрої ймовірно доведеться стирати та реєструвати повторно.
Локальне чи хмарне. Рішення MDM може розміщуватися на локальному сервері чи в хмарі. MDM це легкий протокол на основі HTTPS, який дозволяє керувати пристроями в будь-якій точці світу, не перенавантажуючи мережу трафіком, що робить його зручним для розміщення в хмарі. Якщо ваша організація вибере хмарний чи інтернет-хостинг, низку кроків із настроювання MDM, які описані в цьому посібнику, можна значно скоротити або взагалі пропустити.
Підтримка пристроїв. Деякі рішення MDM створені з урахуванням глибокої підтримки певних типів пристроїв Apple, наприклад лише комп’ютерів Mac чи пристроїв iPhone, інші — забезпечують міжплатформну підтримку. Ви можете вибрати кілька постачальників MDM, щоб кожен тип пристроїв підтримувало спеціалізоване рішення. Функція автоматичного призначення за типом пристрою в Apple School Manager спрощує це завдання. Також можна вибрати одного постачальника MDM, який буде підтримувати всі типи пристроїв Apple у вашій організації.
Функціонал для освітніх потреб. Деякі провайдери MDM пропонують функції, розроблені спеціально для освітніх потреб. Переконайтеся, що ваш постачальник MDM підтримує такі рішення як Apple School Manager, Клас, Шкільні уроки, «Спільний iPad», а також усі інші освітні функції, представлені в найновіших версіях операційних систем Apple у день їх запуску.
Служби запитів і звітів. Рішення MDM може опитувати пристрої Apple і отримувати різноманітну інформацію, зокрема серійний номер обладнання, UDID пристрою, адресу для керування доступом до носія (MAC) в мережі Wi-Fi і стан шифрування FileVault (для комп’ютерів Mac). Також може запитуватися інформація про програмне забезпечення, наприклад, версія пристрою й обмеження, а також список інстальованих на пристрої програм. Цю інформацію можна використовувати, щоб гарантувати використання користувачами належних програм. iOS і iPadOS дозволяють запити про час останнього резервного копіювання пристрою в iCloud, та про залишкові дані користувача, який увійшов в систему, в обліковому записі, якому призначено програму. В операційній системі tvOS рішення MDM може запитувати в зареєстрованих пристроїв Apple TV базову інформацію, зокрема дані про мову, регіон і організацію.
Правила та доступ до служби підтримки постачальника. MDM є сервісом, критично важливим для всієї роботи інституції. Вам потрібно оцінити засоби підтримки, додаткові послуги та навчальні програми, які надає постачальник MDM.
На основі визначених критеріїв можна створити короткий перелік рішень MDM і випробувати їх на кількох тестових пристроях, щоб з’ясувати, яке рішення підходить вам найбільше. Apple School Manager дає змогу під’єднувати більше одного рішення MDM, а також за потреби призначати пристрої різним серверам. Більше інформації наведено у відео Choosing an MDM Solution (Вибір рішення MDM).
Мережеві вимоги до рішення MDM
Коли ви інсталюєте та настроюєте рішення MDM, варто враховувати спосіб конфігурації мережі, протоколу безпеки транспортного рівня (TLS), інфраструктурних служб, служб Apple і резервного копіювання.
Інсталюючи рішення MDM локально, вам потрібно налаштувати все наведене нижче. Задля безперешкодного розгортання налаштуйте й перевірте їх на початкових етапах. Якщо ваше рішення MDM керується ззовні або розміщене в хмарі, багатьма з цих елементів може керувати від вашого імені провайдер MDM:
DNS. Рішення MDM має використовувати прийнятне доменне ім’я, яке можна обробити як ізсередини мережі організації, так і ззовні. Це дозволяє серверові керувати пристроями як з локальним підключенням, так і віддалено. Не можна змінювати це доменне ім’я, щоб не втратити зв’язок з клієнтами.
IP-адреса. Більшість рішень MDM потребує статичної IP-адреси. Якщо змінюється IP-адреса, наявне ім’я DNS має залишатися незмінним.
Налаштування MDM за допомогою TLS. Уся комунікація між пристроями Apple і рішенням MDM шифрується за допомогою HTTPS. Для захисту цієї комунікації потрібний сертифікат TLS (раніше SSL). Не розгортайте пристрої без сертифіката від добре відомого центру сертифікації (ЦС). Запишіть термін дії сертифіката й поновіть його до завершення терміну.
Порти брандмауера. Щоб увімкнути внутрішній і зовнішній доступ до рішення MDM, необхідно відкрити певні порти брандмауера. Більшість рішень MDM приймають вхідні з’єднання за допомогою HTTPS через порт 443. Рішення MDM і пристрої мають зв’язуватися через службу push-сповіщень Apple Push Notification. До листопада 2020 року рішення MDM для служби APN використовували порти 2195 і 2196, а клієнти — порт 5223. З листопада 2020 року рішення MDM починають використовувати порт 2197.
Порада. Ваше рішення MDM може містити ключі депонування замка активації та обхідні коди, токени самозавантаження macOS та інші унікальні елементи даних, важливі для неперервного доступу до пристрою. З цієї причини переконайтеся, що у вас є надійна стратегія аварійного відновлення локальних інсталяцій MDM. Бажано регулярно тестувати резервне копіювання і відновлення.