Управление iOS устройствами

Наверное с этой статьи стоило начать, так как это собственно то с чего я начал работать с Intune, а именно управление мобильными устройствами.

Intune сейчас может управлять следующими операционными системами:

  • iOS (и ipadOS сюда же)
  • Android/Android Enterprise
  • macOS
  • Windows 10

Я отдельно опишу возможности и особенности управления каждой из OS, а сейчас остановимся на iOS.

Если в вашей организации есть потребность в управлении мобильными устройствами, то с большой долей вероятности вам нужно будет управлять iOS устройствами. 

Работа с ними достаточно проста и настройка Intune для работы с ними по сути требует наличие APN сертификата – https://docs.microsoft.com/en-us/intune/apple-mdm-push-certificate-get

После этого вы уже сможете добавлять устройства в Intune (правда на них ничего не прилетит, так как мы еще не создали ни политики, ни настройки).

Для начала пройдемся по тому, как устройства могут попадать в Intune.

Варианты добавления iOS устройств в Intune

МетодТребуется ли сброс устройстваУстройство ассоциируется с пользователем?Комментарий
Регистрация через приложение Intune Company PortalНетДаОсновной способ регистрации устройств, если вы хотите, чтобы это делали пользователи сами. Поддерживает как корпоративные, так и персональные устройства.
Device Enrollment ManagerНетНетDEM – это аккаунт, который может иметь до 1000 зарегистрированных устройств. Подходит в случаях, когда требуется использование не разных аккаунтов.
ВАЖНО: в этом случае все удаленные действия (сброс устройства, разблокирование и т.д.) можно запускать только через Azure Portal.
Apple Device Enrollment ProgramДаЗависит от настроек профиля регистрацииСпособ использует Apple Business Manager, который связывает устройство на моменте продажи с вашей организацией, что позволяет полностью автоматизировать настройку, так как все будет применяться на моменте первичной активации устройства. 
ВАЖНО: Не работает в России на момент написания статьи. Единственный доступный для нас способ заключается в ручном добавлении устройств в DEP через Apple Configurator, но все равно нужна компания, зарегистрированная не в РФ.
USB – Support AssistanceДаЗависит от настроек профиля регистрацииРучная регистрация устройства через Apple Configurator. Позволяет использовать режим Supervised, без использования DEP.После настройки администратором, пользователю нужно будет завершить регистрацию.
USB – DirectНетНетРучная регистрация устройства администратором. При этом невозможна работа Conditional Access.

Если устройство добавляется через приложение Intune Company Portal, то в этом случае оно по умолчанию добавляется, как Персональное. Если вам необходимо, чтобы устройство было помечено как Корпоративное, то идентификатор этого устройства (серийный номер или IMEI), должны быть добавлены в Intune до регистрации устройства. 

Политики соответствия

Так называемые compliance policies, статус которых используется для Conditional Access, если вам это нужно.

Политики по сути своей проверяют устройство на соответствие определенным требованиям и дальше может происходить действие, которое вы запланируете.Требованиями могут быть наличие пароля, шифрования, версия ОС, и т.д.

По действиям, вы можете запланировать последовательность действий, например статусnon-compliant отправляет письмо пользователю и дает какое то время на решение ситуации. По истечению этого срока устройство помечается на noncompliant. 

Например, как то вот так:

Конфигурации

Если политики просто проверяют устройство, то конфигурации именно настраивают устройство.

Для iOS устройств доступны следующие опции:

  • Сертификаты – Root CA, SCEP, PKCS сертификаты
  • Wi-Fi профили
  • Общие настройки (в основном требуют наличия supervised режима)
  • Настройки безопасности (настройки пароля, беспроводных сетей и прочего)
  • Также возможен импорт профилей, созданных через Apple Configurator.Я таким образом доставлял какие то узко специальные вещи, например дополнительные шрифты.

Приложения

Для добавления приложений, мы имеем три варианта:

  • Приложения из App Store
  • Приложения из App Store с использованием лицензий Volume Purchase Program
  • Приложения, которые вы пишете для своей компании или Line-of-Business приложения. Для этого вы должны быть зарегистрированы в Apple Enterprise Developer Program

Для добавления приложения из App Store, нужно просто найти его в поиске (App Store интегрирован с недавнего времени).

После создания приложения в Intune останется только добавить пользователей в приложение и выбрать способ деплоймента (Required или Available for Install).

При добавлении LOB приложения, вам нужен .ipa файл для загрузки вIntune.А потом нужно будет так же добавить пользователей и тип деплоймента.

ВАЖНО: По личному опыту, есть несколько важных моментов при работе с LOB приложениями.

В приложении необходимо обновлять сертификат, которые устаревает каждый год.У каждого приложения есть параметр Expiration Dateза которым необходимо следить. После этой даты приложения на устройствах перестанут работать.

Также важный момент, что при обновлении приложения необходимо не только изменять номер версии, но и CFBundleVersion. Без изменения обоих, у вас не получится загрузить обновленное приложение.

VPP приложения не буду затрагивать, так как это не работает в России. Если тема Apple Business Manager и все что с этим связано (DEP, VPP) интересна, могу это раскрыть отдельной статьей.

Что администратор может делать с устройством?

Конечно же читать смс и смотреть фото

После того, как вы создали политики, настройки и добавили приложения, пользователи могут добавлять свои устройства, чтобы этим всем пользоваться.

Когда устройство добавлено в Intune, вы сможете их видеть в списке доступных к управлению.

Выбрав конкретное устройство, вы увидите информацию по нему:

Тут можно выполнить некоторые удаленные действия, например заблокировать устройство или наоборот убрать пароль.

Так же есть более детальная информация как по самому устройству (серийный номер,  IMEI, количество свободного места и т.д.) так и по статусу применения профилей и приложений. 

Теперь у вас есть некоторая базовая информация по управлению iOS устройствами. Дальше нужна практика и только практика.

%d bloggers like this: