Старт використання будь якої системи Mobile Device Management вимагає підтвердження користувача — завантаження профілю і потім його встановлення з введенням паролю користувача.
Зазвичай системні адміністратори роблять це на macOS у такий спосіб: створюють користувача Admin з правами Administrator та користувача #Username з правами Standard. Вручну встановлюють профіль MDM і потім вже керують пристроєм віддалено через панель адміністратора системи Mobile Device Management.
На iOS/iPadOS такий варіант не спрацює. Тут у нас гілка варіантів.
1. Non-supervised пристрій. Користувач, який має пароль розблокування пристрою, може у будь який момент — навмисно або випадково, видалити профіль MDM.
2. Supervised пристрій. Робиться через програму Apple Configurator шляхом приєднання до комп’ютера з macOS та перешивки з потрібними кастомними налаштуваннями. У цьому випадку профіль MDM можна видалити тільки повністю відновивши(restore) пристрій.
Встановлення профілю MDM на tvOS для Apple TV також вимагає під’єднання до комп’ютера з macOS та встановлення tvOS через програму Apple Configurator. І профіль MDM, знову ж, можна видалити відновивши(restore) пристрій.
Всі ці рутини системні адміністратори macOS/iOS вже давно навчилися чудово та швидко впроваджувати. Трохи складніше робити стартове налаштування(enrollment) та подальше керування, коли є кілька віддалених офісів, або під час карантину. І тут нам приходить на допомогу один важливий корпоративний сервіс від Apple, який ще і безкоштовний, на диво.
Non-removable MDM
Non-removable MDM робиться виключно через безкоштовні сервіси Apple Business Manager або Apple School Manager. Ще до використання пристрою серійні номери потрібної техніки прописуються в адмін панелі Apple Business Manager. В панелі відразу можна прописати правила автоматичного енролменту для різних типів пристроїв на різні сервери MDM з, відповідно, різними налаштуваннями.
Apple Business Manager розподіл пристроїв
Важливою відмінністю від раніше описаного сценарію user-approved MDM є наступне — навіть після повного відновлення(restore) пристрою він все одно при активації звертається на MDM-сервер вашої компанії і завантажує відповідний профіль MDM для цього пристрою, і тільки після того активується.
З цього приводу є дві історії.
Історія перша. Зі складу компанії було викрадено партію iPhone. Компанія оформила запити до поліції та страхової компанії, поліція завела справу а страхова відшкодувала збитки. Викрадені пристрої роз’їалися різими країнами, як це зазвичай робиться щоб локальна поліція не змогла швидко знайти пристрої за номерами IMEI. Після оформлення всіх документів системні адміністратори компанії завели всі викрадені пристрої до системи Apple Business Manager і прив’язали їх до свого серверу MDM. Після наступного оновлення на викрадених iPhone з’явилося повідомлення про те що пристрої належать компанії XXX. Повернути таким чином вдалося не всю партію викрадених телефонів, але крадіям та покупцям краденого було ускладнено життя — користуватися телефоном коли ти точно знаєш що він крадений вже не дуже комфортно.
Історія друга. В кав’ярні крадій поцупив кастомний MacBook Pro. Приніс його у свою “майстерню” та побачив, о щастя!, що ноутбук не прив’язаний до сервісу Find My Mac. Зірки зійшлися — операційну систему було витерто, створеного нового користувача і можна продавати. Новий щасливий власник недорогого офіційного ноутбука не довго дивувався чому у комплекті немає блока живлення, але швиденько придбав блок на форумі і почав інтенсивно використовувати нове придбання. У цей час системні адміністратори компанії-власника ноутбука через налаштування геопозиції у своїй системні MDM вже приблизно знали маршрути нового “власника” ноутбука і у певний час разом з поліцією завітали до чергової кав’ярні та повернули викрадений MacBook Pro.
У якості висновку можна резюмувати наступне: з сервісами Apple Business Manager та Apple School Manager йдеться про максимальний рівень захисту техніки та інформації разом з гнучкою системою віддаленого керування через MDM.
Всі матеріали за темою Apple Business Manager.
