Почну з дуже оригінальної думки: під час карантину компанії покладаються на IT-відділи як ніколи раніше.

З 2019 року Україна стала однією з 68 країн у світі, де почав працювати сервіс Apple Business Manager. Все більше замовників вимагають від команд розробників використовувати ABM(GDPR,CCPA, ISO 27001, ISO 27018), тому розповім трохи детальніше.
Колишня назва Apple Business Manager — DEP, Device Enrollment Program. Це безкоштовний сервіс для бізнесу та освіти, який дозволяє спростити процес керування пристроями (macOS, iOS, iPadOS, tvOS), програмами та обліковими записами.

Apple Business Manager — це простий безкоштовний вебпортал для IT-адміністраторів, призначений для впровадження пристроїв iPhone, iPad, iPod touch, Apple TV та комп’ютерів Mac — усе з однієї платформи. Якщо цей портал використовується з рішенням для керування мобільними пристроями (MDM), ви зможете налаштовувати параметри пристроїв і купувати й розповсюджувати вміст. Крім того, Apple Business Manager інтегрується, використовуючи об’єднану автентифікацію за допомогою Microsoft Azure Active Directory (AD), тож ви зможете швидко створювати облікові записи працівників із керованими Apple ID.
Корпорація Apple Inc. підтримує сертифікацію відповідно до стандартів ISO/IEC 27001 і 27018, щоб клієнти Apple могли виконувати свої нормативні та договірні зобов’язання. Ці сертифікати забезпечують користувачів незалежною атестацією щодо практик захисту інформації й конфіденційності Apple для галузевих систем.
Наведу кілька прикладів роботи Apple Business Manager.

Zero touch configuration

Компанія купує техніку для працівника та відправляє її напряму у домашній офіс, минуючи офіс компанії. Поки техніка їде доставкою, системні адміністратори заводять її у портал ABM, прив’язують до свого провайдера MDM, застосовують потрібні політики. Працівник розпаковує та запускає новий комп’ютер (iPhone чи iPad тощо), приєднує його до WiFi і без традиційних привітань та вікон налаштування бачить вікно авторизації. Після введення логіну та паролю на комп’ютер завантажуються всі потрібні облікові записи, програми, налаштування VPN, документи та взагалі все, що потрібно для онбордингу нового члена команди.

Захист даних, non-removable MDM

Викрадається ноутбук працівника. Адміністратор швидко ставить ноутбук в режим «втрачено» — на корпоративному Apple ID це може робити компанія а не тільки сам працівник. Також через MDM відправляється команда Swipe, видалити всі дані та увімкнути геолокацію.
Крадій спробує видалити дані та встановити чисту систему, щоб спробувати продати комп’ютер. Відразу після перевстановлення системи ноутбук звертається на сервери Apple та підхоплює ті самі корпоративні налаштування компанії. І працює геолокація. Пишеться заява у поліцію та через геолокацію відшукується викрадений ноутбук. Маємо чотири подібних кейси.
Але найголовніше у цьому сценарії це додатковий захист даних, що особливо важливо коли компанія працює за GDPR/CCPA.
Важлива відмінність — MDM легко встановлюється на будь який Mac. Але руками, зазвичай треба доступ до копм’ютера, і MDM-профіль у той чи інший спосіб можна видалити. Це називається user approved installation, тобто встановлення тільки за згоди користувача. Ну або адміністратор має зробити pre-setup і потім вже передати користувачеві.
Зв’язка ж Apple Business Manager + Mobile Device Management зводить ймовірність видалення MDM-профілю майже до нуля. Отже, щоб не сталося з Маком (iPhone, iPad, Apple TV тощо) вашої компанії — якщо він хоч якось буде «світитися» в Інтернеті, він залишається у вашому керуванні. Навіть маємо успішні приклади з блокуванням пристроїв, що були викрадені кілька років тому.

Спільна Apple TV

Клієнт готелю хоче доступ до своєї медіатеки. Він логіиться до **готельної** Apple TV із своїм приватним обліковим записом Apple ID та має доступ до музики, фільмів, ігор та підписок на відповідні сервіси.
Після чекауту клієнта виявляється, що він не вийшов з свого облікового запису на Apple TV. Щоб підготувати пристрій для наступного клієнта готелю, сисьемний адміністратор мережі готелів віддалено повністю скидає налаштування Apple TV. Пристрій перезавантажується і знову готовий до роботи з наступним відвідувачем.
Такий режимо роботи називається Supervised mode, режим під наглядом, і налаштовується вручну підєнанням кожного окремого пристроя до комп’ютера з налаштуваннями. А з використанням Apple Business Manager сотні і тисячі пристроїв можна рогортати з відповідними налаштуваннями — і все не торкаючись пристроїв, zero touch configuration.

Спільний iPad

iPad може використовувати багато користувачів. Працівник заступає на зміну, вводить керований Apple ID компанії та отримує свій звичний робочій стіл з усіма необхідними програмами та налаштуваннями. Після закінчення роботи працівник виходить з керованого облікового запису і iPad готовий для використання іншим працівником. У цьому сценарії процес підтягування данних під кожного працівника також можна істотно прискорити певними рішеннями.
Такий сценарій роботи можна використовувати разом з Azure AD, а для шкіл адміністратор може налаштувати спроцення складності паролів наприклад для учнів молодших класів. Також у сценарії «Спільний iPad» є можливість ініціювати «тимчасовий сеанс», так званий режим гостя, коли гість може не вводячи логін та пароль користуватися iPad, а після закінчення сесії всі дані гостя включно з історією переглядів видаляються з планшета.
Сервіс Apple Business Manager може сприйматися як інструмент для великих компаній. Звісно, для великих компаній це must have. Але з особистого досвіду та спостережень зауважу, що і для компактних команд з 5-7-9 людей він також чудово працює та не меш корисний.
Сервіс Apple Business Manager/Apple School Manager іде безкоштовно до всієї офіційно імпортованої техніки Apple але не через всіх дилерів (всіх більше ніж 400 компаній). Працювати буде з вашою поточною системою Mobile Device Management.

Статтю підготовано для форуму DOU.ua

Запитання та демо Apple Business Manager та Mosyle MDM надсилайте у форму зворотнього зв’язку

0