Корпоративное управление устройствами apple

Чтобы управлять мобильными устройствами Apple под управлением macOS, iOS и tvOS и их настройками, используется технология MDM (Mobile Device management). Не стоит путать эту аббревиатуру с понятием MDM как таковым, подразумевающим собой устоявшийся отраслевой термин – Mobile device management или с технологиями Android MDM или MDM от Microsoft. Все это называется “протоколами”, но работает по разному.

Протокол MDM позволяет управлять устройствами Apple, начиная с iOS 4, macOS 10.7 и Apple TV с iOS 7. При помощи MDM администратор может проверять, устанавливать или удалять конфигурационные профили, удалять код блокировки устройств и стирать информацию с управляемого устройства.

Конфигурационный профиль

Конфигурационный профиль – это файл, с помощью которого можно распространять настройки на устройства Apple, например: настройки электронной почты, VPN, сертификаты. Конфигурационные профили удобно распространять на большое количество устройств.

Список всех настраиваемых параметров:

Ограничения на использование устройств
Настройки Wi-Fi
Настройки VPN
Настройки электронной почты
Настройки Exchange
Настройки подключения к каталогу LDAP (Active Directory)
Настройки подключения к серверу календарей CalDAV
Настройки Web clips
Данные для аутентификации

По сути конфигурационный профиль (далее профиль) является plist-файлом с расширением .mobileconfig. Такой файл можно создать через приложения Apple Configurator 2, Server.app или вручную, следуя документации Apple – Configuration Profile Reference

Что входит в сам профиль:

Configuration Profile Keys – обязательные ключи для любого профиля
Payload Dictionary Keys – ключи для описания типа Payload (набора настроек)
Payload-Specific Property Keys – ключи описания конкретных типов Payload
Domains Payload – группа настроек, которая управляется профилем
macOS Server Payload – настройки учетных записей macOS Server
Active Directory Payload – настройки Active Directory

Также профили можно шифровать или подписывать сертификатом.

Пример профиля, содержащего набор настроек для работы с SCEP – Simple Certificate Enrollment Protocol (SCEP)

Распространить профиль можно несколькими способами:

через Apple Configurator 2 (для iOS)
отправить Email
разместить ссылку на странице
Over-the-air (для iOS) – Over-the-Air Profile Delivery Concepts
Over-the-air с помощью сервера MDM
с помощью DEP – Device Enrollment Program на supervised-устройствах (в России пока недоступно)

Протокол MDM

Протокол MDM работает поверх HTTP, использует TLS и Push-уведомления. Apple Push Notification Service (APNS) требуется для отправки “wake up”-сообщений на управляемое устройство, которое подключается к заранее указанному веб-сервису для получения команд и возврата результатов выполнения. Сам сервис MDM представляет из себя HTTPS-сервер, поэтому, в отличие от Active Directory, устройство не обязано находиться в одной сети с сервером, чтобы получить новые настройки: достаточно, чтобы MDM-сервер был доступен извне по протоколу HTTPS. Устройство связывается с MDM-сервером в ответ на push-сообщение, устанавливая TLS-подключение к серверу, далее проверяет сертификат сервера и проходит аутентификацию. Благодаря этому, становятся невозможными атаки с подменой сервера, когда злоумышленник заменяет легитимный сервер своим: у него просто нет доступа к ключам сервера. Далее требуется распространить набор настроек MDM Payload, на ваши устройства.

Распространение MDM Payload

MDM Payload распространяется через конфигурационные профили или через Device Enrollment Program. На одном устройстве – только один MDM Payload, привязать к двум серверам нельзя.

Профили, распространяемые через сервис MDM, называются управляемыми. Если MDM Payload удалить – эти профили также будут удалены. Хотя сервис MDM имеет доступ ко списку всех профилей, установленных на устройстве, удалять он может только те профили и приложения, которые были установлены через него же. Также с помощью MDM можно создавать управляемые записи и устанавливать приложения приобретенные через Volume Purchase Program (в России пока недоступен).

Если вы подготавливаете iOS-устройства к MDM через Apple Configurator 2, то начиная с iOS 5 устройства могут быть помечены как контролируемые (supervised). Устройства, начиная с iOS 7, обозначаются контролируемыми через DEP. Для контролируемых устройств доступны дополнительные настройки и ограничения.

Если профиль установлен не через DEP – пользователь устройства может удалить MDM payload самостоятельно. То же самое под силу серверу MDM.

Профиль, содержащий MDM Payload и установленный через DEP, будет блокирован для удаления. Профили, установленные через MDM, также могут быть заблокированы, однако они будут удалены с устройства, как только вы удалите профиль MDM.

Привязка устройств к MDM

Для того, чтобы сервер MDM мог управлять устройствами, требуется следующее:

Установить конфигурационный профиль, содержащий в себе специальный MDM payload, или с помощью DEP
Устройство подключается к серверу (check-in server), предоставляет свой собственный сертификат для аутентификации, свой уникальный номер UDID и другую служебную информацию

Если сервер принимает устройство – последнее предоставляет свой push-токен серверу, который использует для отправки push-уведомлений.

Работа устройства с MDM

Сервер отправляет push-сообщение на устройство
Устройство запрашивает на сервере, какую команду нужно выполнить
Устройство выполняет команду
Устройство отправляет на сервер результат выполнения команды и делает запрос на следующую команду

Время от времени токен может меняться. Если такое изменение зафиксировано при очередном push-сообщении с сервера, устройство автоматически отмечается на сервере MDM и сообщает ему о новом push-токене.

Безопасность

В ответ на push-сообщение, устройство связывается с MDM-сервером через TLS-подключение (используется TLS 1.2), проверяет сертификат сервера, затем проходит аутентификацию. Благодаря этому, становятся невозможными атаки с подменой сервера.

Дополнения к протоколу MDM для macOS

Как следует из названия Mobile Device Management, этот протокол был изначально придуман для управления мобильными устройствами (iPhone и iPad). Чтобы обеспечить работу и с компьютерами под управлением macOS, протокол MDM расширили дополнительными функциями.

Mac, в отличие от iPhone, – устройство, которым могут пользоваться несколько человек. Поскольку настройки для разных пользователей могут быть индивидуальными, MDM-клиент macOS подключает компьютер и пользователей этого компьютера к серверу MDM как отдельные сущности. Это позволяет управлять настройками как компьютера, так и отдельных пользователей.

MDM-запросы для устройства отправляются демоном mdmclient, а запросы для отдельного пользователя отправляются агентом mdmclient, работающим от имени этого пользователя. Если на компьютере осуществлен вход нескольких пользователей, будет запущено несколько экземпляров агента mdmclient, по количеству вошедших пользователей. Эт агенты взаимодействуют с сервером независимо друг от друга.

Если MDM-сервер поддерживает управление и пользователями, и устройствами, то при установке профиля он автоматически будет “промоутирован” до профиля устройства. Это приведет к следующим последствиям:

Устройство будет управляемым
Локальный пользователь, установивший профиль, будет управляемым
Другие локальные пользователи не будут управляемыми. Сервер никогда не получит запросы от локальных пользователей, кроме того, который установил профиль
Сетевые учетные записи будут управляемыми, если сервер их аутентифицирует. Если сервер по каким-то причинам не примет их, то они также будут неуправляемыми

Итого

Управление устройствами Apple не похоже на те привычные механизмы, которые работают в Active Directory.
Идея взаимодействия MDM с инфраструктурой Windows популярна, так как количество техники Apple в компаниях растет, сотрудники приносят свои собственные устройства. С помощью MDM и конфигурационных профилей можно привязать ваши Маки к домену AD, использовать SCEP, сетевые учетные записи и SSO. Но управлять Маками с помощью политик active Directory не получится. Для этого потребуются сторонние решения, включающие в себя функционал MDM и дополняющие его своими собственным решениями. Об этом мы напишем в следующих статьях.

Источник

На старт, внимание, сделано.

Решения Apple легко впишутся в инфраструктуру вашей организации — будь у вас 10 устройств или 10 000.

Интеграция в любую среду.

Wi‑Fi и работа в сети. Устройства Apple обеспечивают безопасное беспроводное подключение. В системы iOS, iPadOS и macOS встроена защита доступа к беспроводным сетям, в том числе передовых стандартов WPA3-Enterprise и 802.1X. Когда устройства Apple используются в сети Cisco, функция Fast Lane задаёт высокий приоритет для самых важных бизнес-приложений, и доступ сотрудников к сети не прерывается. А благодаря расширенной поддержке роуминга для iPhone и iPad вы всегда на связи.

VPN. В устройствах Apple легко настроить безопасный доступ к корпоративной сети через встроенную функцию поддержки VPN. Системы iOS, iPadOS и macOS по умолчанию поддерживают отраслевые стандарты сетей IKEv2, Cisco IPsec и L2TP через IPsec. Кроме того, устройства Apple поддерживают функции VPN по запросу, всегда включённый VPN и VPN для конкретных приложений. Это удобно при работе с управляемыми приложениями или отдельными доменами. Передача данных всегда защищена — какой бы способ ни выбрала ваша организация.

Электронная почта. iPhone, iPad и Mac поддерживают Microsoft Exchange, Office 365 и другие популярные почтовые сервисы, такие как G Suite, и у вас всегда есть мгновенный и защищённый SSL‑шифрованием доступ к электронной почте, календарю, контактам, задачам и соответствующим push‑уведомлениям. Поддержка Exchange встроена прямо в Почту, Календарь, Контакты и Напоминания на iPhone и iPad, поэтому сотрудникам легче справляться с повседневными задачами — например, принимать приглашения и находить контакты в глобальном списке адресов.

Файловые сервисы. Приложение «Файлы» в iOS и iPadOS, как и Finder в macOS, обеспечивает мгновенный доступ к таким популярным сторонним сервисам, как Box, Dropbox, OneDrive, Adobe Creative Cloud и Google Drive, поэтому у сотрудников есть доступ к их файлам со всех устройств. В приложения «Файлы» и Finder встроена поддержка обмена файлами через SMB и WebDAV, чтобы у сотрудников всегда был удобный доступ к корпоративным файловым серверам со всех устройств Apple.

Службы каталогов. С устройств Apple можно переходить к службам каталогов для управления идентификацией и другими данными пользователей. Среди этих сервисов — Active Directory, LDAP и Open Directory. Некоторые сторонние компании MDM по умолчанию предоставляют инструменты для интеграции управленческих решений в каталоги Active Directory и LDAP. А для организаций, которые пользуются локальными сервисами Active Directory, будет удобно нативное расширение Kerberos. Оно позволяет управлять паролями и мандатами Kerberos для входа в корпоративные приложения и на веб‑сайты.

Поставщики удостоверений. Новейшие версии iOS, iPadOS и macOS поддерживают новую инфраструктуру расширений для единого входа, позволяя пользователю вводить данные для входа только один раз, а не для каждого сайта и приложения. При входе в корпоративные системы эта функция подключает передовые технологии многофакторной аутентификации, которые поддерживаются соответствующими поставщиками удостоверений. IT‑администраторы могут проводить аутентификацию через облачные системы поставщиков удостоверений во время первоначальной настройки и регистрации устройств.

Источник

Обзор чудо-программы Apple Configurator 2. Восстановитель и мультитул для владельцев iPhone и Mac

Далеко не все пользователи яблочной техники знают о существовании специальных программ для администрирования iPhone, iPad, iPod Touch, Apple TV и даже некоторых компьютеров Mac.

Для удобного управления мобильных гаджетов Apple уже давно существует приложение Apple Configurator 2. Это не какое-то закрытое ПО для сервисных центров, авторизованных дилеров или корпоративных клиентов, а просто бесплатное, официальное приложение, которое можно загрузить прямо из Mac App Store.

Сейчас разберемся во всех тонкостях работы Apple Configurator 2, посмотрим все возможности утилиты и разберемся, кому она может пригодиться.

📌 Спасибо re:Store за полезную информацию. 👌

Что такое Apple Configurator 2

Изначально утилита Apple Configurator 2 предназначена для предприятий или учебных заведений, в которых используется большое количество рабочих гаджетов Apple. Приложения является бесплатным инструментом для их администрирования и централизованного управления.

Программа позволяет быстро настраивать все устройства по заданному профилю, обновлять программное обеспечение, устанавливать определенные приложения, запрещать какие-либо действия на гаджетах, блокировать или ограничивать их определенные возможности.

Таким способом можно управлять любыми iPhone, iPad, iPod Touch с iOS 7 и выше или последними поколениями Apple TV. Запустить Apple Configurator 2 можно на любом Mac с установленной macOS 10.15.6 или новее.

Данный инструмент является бесплатным, купертиновцы не ограничивают круг его пользователей.

Чем Apple Configurator 2 будет полезен обычному пользователю

▣ Можно одним нажатием обновить прошивку и ПО всех гаджетов в доме. Если обладаете обширной коллекцией гаджетов и при этом не хотите устанавливать все обновления софта в фоновом режиме, можно делать это с определенной периодичностью через Apple Configurator 2.

Например, домашний iPad, смартфон или планшет родителей, общий гаджет, который используется всеми членами семьи, и т.п. не обязательно постоянно держать в режиме автоматического обновления. Устройство в нужный момент может уйти на обновление системы, то или иное приложение может обновляться во время работы или банально на гаджет прилетит нежелательный апдейт который потом придется сносить.

Проще сразу отключить все обновления и раз в месяц (чаще или реже, в зависимости от ваших потребностей) производить обновление через Configurator.

▣ Можно быстро установить на устройство профили настроек и набор ПО. Данная операция снова будет удобна для большого количества гаджетов, которые не нуждаются в частых апдейтах или не закреплены за определенным пользователем.

Получится разом обновлять все телевизионные приставки или планшеты в доме. Либо при встрече с родственниками, одним махом настраивать все находящиеся у них гаджеты Apple. Я вот собираюсь настроить Apple TV, iPad и пару iPhone у родителей для управления через Configurator.

▣ Есть возможность создать Blueprint образ настроенного гаджета и загружать его на все новые устройства. Это своего рода шаблон со всеми параметрами, настройками, приложениями и нужным контентом, который задается один раз, а в дальнейшем быстро разворачивается на новом устройстве.

Система отличается от привычных бекапов iOS девайсов и предназначена в первую очередь для новых устройств в компании, организации или семье, когда не нужно переносить контент и данные со старого устройства, а просто необходимо быстро настроить новое.

▣ Можно перевести iPhone или iPad в Supervised-режим — ограничить и заблокировать любые функции. Изначально фишка предназначена для корпоративных гаджетов, но она здорово заменяет родительский контроль на устройствах.

Получится ограничить перечень устанавливаемых на устройстве приложений, задать веб-фильтры, заблокировать ненужные сайты или сервисы. Есть возможность даже установить временные рамки с запретом на использование развлекательных программ и игр, например, запретить просмотр YouTube и игры в учебное время на гаджете ребенка.

Заданные таким способом настройки и ограничения не могут быть самостоятельно отключены на iPhone или iPad, для их изменения потребуется обновление конфигурации через приложение на компьютере. Это здорово поможет в том случае, когда смышленые детишки то и дело обходят установленные стандартными средствами iOS запреты.

▣ На Mac с процессором M1 или чипом T2 можно сбрасывать и обновлять прошивку. В некоторых случаях утилита по настройке поможет избежать похода в сервисный центр и выполнить некоторые служебные процедуры с компьютером. Подробно об этом расскажем ниже.

Как начать пользоваться Apple Configurator 2

1. Установите приложение из Mac App Store на свой компьютер.

2. Подключите подходящий мобильный гаджет к Mac при помощи кабеля. Беспроводное соединение не предусмотрено.

3. Выберите найденное мобильное устройство в Apple Configurator 2.

Теперь вы можете осуществлять базовые действия с подключенным гаджетом, например, просматривать системную информации об устройстве, список установленных приложений или создавать резервные копии.

Как создать Blueprint образ в Apple Configurator 2

Образ Blueprint может быть настроен заранее, а затем загружен на любое доступное устройство с применением всех необходимых настроек и установкой всего нужного ПО.

Для создания нового образа следует перейти в раздел All Blueprints в верхнем меню программы. При помощи кнопки New создаем новый образ и настраиваем его.

На данном этапе можно выбрать тип конфигурации (универсальный, только для iPad, для iPhone и iPod или для Apple TV). Это будет влиять на возможные настройки и тип устанавливаемых в профиль приложений.

При помощи меню Add – Apps можно загрузить в образ все ранее приобретенные для вашего Apple ID приложения. Сама утилита не позволяет просматривать магазин приложения и совершать новые покупки\загрузки. Для этого придется использовать другой свой гаджет.

Этот режим позволяет задать первоначальный список необходимых приложений вроде YouTube, навигатора, видеоплеера и т.п., которые в одно нажатие будут загружаться на новый купленный гаджет.

Как перевести iPhone или iPad в Supervised-режим

Как уже было сказано ранее, Supervised-режим это своего рода набор установленных ограничений, которые могут быть заданы и изменены только через Apple Configurator 2.

Включить или отключить данный режим можно только одновременно с полным сбросом гаджета. Применять его удобнее всего на новом iPhone либо на устройстве перед загрузкой заранее настроенного Blueprint образа.

Читайте также: Проверка айфон по email

Переключение в Supervised-режим и обратно будут сопровождаться сбросом гаджета, так что всегда перед данными процедурами создавайте резервную копию данных любым удобным способом: через iCloud, в iTunes/Finder или в самом Apple Configurator 2.

Использование гаджета в Supervised-режиме имеет смысл лишь с настроенными профилями, которые позволяют задавать всевозможные ограничения на мобильных устройствах. Удалить такой профиль, как и отключить сам Supervised-режим, получится только через Configurator.

А еще на iPhone из такого режима получится сбрасывать или отключать пароль разблокировки, сбросить настройки и включать режим одного приложения, чтобы использовать его только для демонстрации какой-либо программы или игры.

Перевести гаджет в такой режим можно из строки меню Actions – Prepare… далее следуем указаниям мастера настройки и производим установку базовых параметров.

Как настроить профиль для загрузки через Configurator

Достаточно в строке меню выбрать пункт File – New Profile. Затем следует составить необходимую конфигурацию для мобильного устройства.

Программа позволяет настроить просто тонну параметров и ограничений для девайса, начиная от запрета на использования каких-либо приложений или сервисов и заканчивая возможностью подключения лишь к определенным Wi-Fi сетям или точкам доступа.

Можно ввести свои ограничения на сложность пароля блокировки, настроить фильтры разрешенных и запрещенных сайтов для просмотра в браузере. Есть возможность ограничить практически любую фишку смартфона или настроить ее работу только заданным образом.

Разумеется, большая часть опций направлена на корпоративных пользователей, но заботливые родители с легкостью адаптируют запреты под свои нужды.

Так можно один раз настроить защищенный профиль и в дальнейшем подключать его на детские или общие семейные гаджеты.

Чем поможет Apple Configurator 2 владельцам Mac c чипом Apple T2

Служебная утилита пригодится не только для работы с мобильными гаджетами, но и с компьютерами Mac, в которых устанавливается чип T2. Это следующие модели компьютеров:

В редких случаях, если во время обновления macOS произошел обрыв питания, может быть повреждена прошивка на чипе Apple T2. После этого компьютер не сможет запускаться с загрузочного тома или области восстановления.

В этом случае можно восстановить прошивку чипа T2 при помощи Apple Configurator 2. Будьте внимательны, восстановление прошивки T2 возможно только с полной очисткой внутренней памяти Mac. Восстанавливать данные после этого придется из самого актуального бекапа.

Для восстановления Mac с T2 таким способом потребуется другой компьютер с установленной утилитой Apple Configurator 2, доступ к сети и кабель для соединения компьютеров между собой USB-A/USB-C или USB-C/USB-C.

К какому порту Type-C нужно подключаться для восстановления прошивки T2

Проблемный Mac нужно подключить через правый порт Type-C. После этого зажать кнопку включения на 3-5 секунд, на MacBook вместе с этим нужно зажать сочетание клавиш: Shift справа + Option слева + Control слева.

Рабочий Mac с запущенным Apple Configurator 2 распознает подключенный компьютер в DFU-режиме.

В меню выберите пункт Actions – Advanced – Revive Device и нажмите Revive.

Дождитесь окончания процесса и перезагрузки проблемного Mac. После этого произведите восстановление системы из последней резервной копии.

Как использовать Apple Configurator 2 с компьютерами на чипе M1

Новые модели Mac с процессором M1 в ряде случаев тоже могут быть восстановлены при помощи конфигуратора.

Такой способ пригодится при ошибках или сбое питания во время обновления macOS. Mac с M1 при этом не может загрузиться с основного тома или с раздела восстановления.

Снова понадобится рабочий Mac с доступом в интернет и кобель для подключения компьютеров между собой. Это может быть USB-A/USB-C или USB-C/USB-C шнурок.

К какому порту Type-C нужно подключаться для восстановления прошивки M1

При восстановлении компьютеров с процессором M1 нужно подключать проблемный Mac к левому порту Type-C.

Далее последовательность действий схожая. Нужно зажать кнопку включения Mac mini на 10 секунд, на MacBook вместе с этим нужно задать сочетание клавиш: Shift справа + Option слева + Control слева.

На рабочем Mac в Apple Configurator 2 отобразится подключенный компьютер в DFU-режиме.

В меню выберите пункт Actions – Advanced – Revive Device и нажмите Revive.

Что в итоге: кому нужен Apple Configurator 2?

◻ Приложение не нужно тем, кто пользуется одним-двумя гаджетами Apple и не обслуживает устройства друзей или родственников.

◻ Программа не нужна тем, кто предпочитает менять один гаджет Apple на другой, так проще переносить данные через резервные копии. Configurator больше подходит для регулярного расширения коллекции гаджетов, когда новое устройство приобретается не взамен старого.

◻ Утилита не подойдет тем, кто не хочет потратить немного времени на создание автоматизации для будущей настройки гаджетов. Здесь нет одной волшебной кнопки, придется поковыряться в параметрах, вручную подобрать список приложений и задать все параметры конфигурации.

Утилита может пригодиться в следующих сценариях эксплуатации.

◼ Apple Configurator 2 нужен пользователям, которые имеют дома 5-6 или более гаджетов Apple и нуждаются в их постоянном администрировании.

◼ Приложение поможет “семейным администраторам”, которые регулярно настраивают iPhone и iPad родителям, друзьям, детям или родственникам.

◼ Утилита пригодится для настройки продвинутого фаервола на мобильном гаджете ребенка. Однако, придется повозиться с настройками и подбором нужных параметров.

◼ В определенных ситуациях Apple Configurator 2 поможет восстановить Mac с процессором M1 или с чипом T2 после сбоев питания.

В любом случае это полезная и бесплатная утилита от Apple, о которой нужно знать всем владельцам яблочной техники. Скачать Apple Configurator 2 можно бесплатно в App Store для Mac.

Источник