Mnoho společností, či školních institucí dnes potřebuje efektivně spravovat svá mobilní zařízení, která poskytují svým zaměstnancům, studentům. Dle mého je pro firemní IT jednou z největších výzev dosáhnout efektivní správy takového zařízení od jeho nákupu, přes konfiguraci, až po předání zařízení koncovému uživateli. Výše zmíněný proces by měl zahrnovat co nejvyšší míru konfigurace a zabezpečení, abychom měli jistotu, že jsou firemní data na takovém zařízení opravdu v bezpečí.
Abychom mohli zařízení skutečně nakonfigurovat tak, jak si představujeme, potřebujeme jej dostat do plně firemního, tzv. supervised režimu. Tento režim nám umožňuje nejvyšší míru konfigurace pomocí mobile device managementu (MDM), například Microsoft Intune.
Jak se do tohoto režimu dostat, jsem popsal v předchozím článku: Správa mobilních zařízení pomocí Microsoft Intune. Jen malé doplnění. Pokud toto chceme dělat opravdu automatizovaně, potřebujeme smlouvu s certifikovaným prodejcem hardware a platí to pouze pro nově nakoupená zařízení. Alespoňtakto je tomu u platformy Apple, o které je tu dnes řeč.
Co ale dělat v případě, že firma/škola již zařízení dávno rozdala svým zaměstnancům/studentům, a navíc nemá smlouvu s žádným certifikovaným dodavatelem zařízení, který by zpětně provedl import, v minulosti nakoupených zařízení, do Apple Business Manageru (ABM)? Dobrou zprávou je, že i zde existuje řešení. Bohužel to znamená vyhrnout si rukávy a pustit se do tak trochu manuální činnosti, kterou si nyní ve zkratce popíšeme.
V minulosti, bylo možné dostat Apple zařízení přes Device Enrollment Program (DEP), dnes známý pod názvem Automated Device Enrollment (ADE) do ABM, nebo do ASM a následně do MS Intune, pouze přes certifikovaného prodejce. Nicméně od verze iOS 11, Apple umožňuje ruční přidání nových, či starších iOS a iPadOS zařízení pomocí Apple Configurator 2.5 (AC2). To znamená, že bez ohledu na způsob pořízení zařízení je možné benefitovat z výhod, které přináší ABM, nebo ASM.
Ještě bych měl upozornit, že výše zmíněný způsob ručního přidání, zatím není podporován u zařízení s operačním systémem MacOS.
Prerekvizity:
- Zařízení s MacOS (desktop, nebo laptop) s minimální verzí OS Catalina (10.15.6 a novější).
- Aplikaci Apple Configurator 2.5 staženou s App Store (vyžaduje Apple ID)
- Fyzický přístup k iOS/iPadOS, které chceme dostat do ABM/ASM. Toto zařízení musíme propojit kabelem s MacOS zařízením s nainstalovaným AC2. Na zařízení musí být vypnuta funkce “Find My“.
- ABM, nebo ASM učet s přiřazenou rolí “Device Enrollment Manager“
- ABM, nebo ASM nakonfigurovaný a propojený s Microsoft Endpoint Manager (Intune)
Konfigurace Apple Configurator
Možnosti Apple konfigurátoru jsou velmi rozsáhlé, proto se budeme soustředit pouze na nezbytný import zařízení do ABM a ASM a následné přiřazení zařízení do MDM Intune. Podrobná dokumentace je případně zde: Apple Configurator 2 User Guide – Apple Support
- Vytvoření Wifi profilu v AC2 – v průběhu “onboardingu“ je nutné, aby zařízení mělo přístup na internet.
Obrázek 1: Wifi profil
- Vygenerovat MDM server URL v Intune – zde musíme do konzoly Intune, kde vytvoříme erollment profil pro Apple Configurator, následně se nám vygeneruje potřebné URL, které použijeme v dalším bodu v AC2.
Obrázek 2: MDM URL
- Připojíme zařízení pomocí kabelu k MacOS – pozor, během posledního bodu tohoto procesu bude zařízení resetováno do továrního režimu.
- Vybereme možnost Prepare.
- Manual Configuration
- Add to ASM or ABM
Obrázek 3: Příprava zařízení
- Definujeme MDM server – vytvoříme název a vložíme odkaz, který byl vygenerován v bodě 2.
- Přiřadíme zařízení k naší organizaci do ABM/ASM.
Zařízení se po dokončení nastavení objeví v ABM/ASM, odkud je možné jej synchronizovat do cílového Intune. Intune poté zabezpečí finální konfiguraci zařízení pomocí připraveného enrollment profilu a následně dalších konfiguračních profilů, které zařízení nakonfigurují přesně podle definovaných kritérií. V tento moment je zařízení v plně firemním tzv. supervised režimu.
Našim zákazníkům vždy doporučujeme najít si dobrého partnera v podobě certifikovaného dodavatele Apple zařízení, který bude nově pořízené zařízení automaticky importovat do ABM/ASM, čímž se maximálně automatizuje celý proces přípravy takového zařízení z pohledu IT i koncového uživatele. V případech, kdy nemáme certifikovaného prodejce, je dle mého skvělé, že zde existuje možnost ruční konfigurace pomocí AC2, díky které můžeme dosáhnout stejné úrovně správy zařízení ve spojení s MS Intune.
