Urządzenia Firmy Apple w roli sprzętu służbowego coraz częściej pojawiają się w różnych organizacjach, od małych startupów po wielkie korporacje. Jak podejść do zarządzania nimi, jeżeli do tej pory znany był nam tylko świat Windowsów?

Wstęp do cyklu “Apple w organizacji”

Urządzenia Firmy Apple w roli sprzętu służbowego coraz częściej pojawiają się w różnych organizacjach, od małych startupów po wielkie korporacje. Prawdopodobnie jest to miła odmiana dla użytkowników przyzwyczajonych do stacji roboczych z Windowsem, jednak dla działu IT to niemałe wyzwanie organizacyjne. Od czego zacząć? Jak wspierać takich użytkowników? Jak zaplanować cykl życia sprzętu?

To jest temat rzeka i nie wyczerpię go w jednym wpisie, jednak nawet najdłuższa podróż zaczyna się od pierwszego kroku i chciałbym być Twoim przewodnikiem w podróży przez świat nadgryzionego jabłka. 

Naszą wędrówkę zaczniemy od podstaw i najmniejszej skali.

Apple Configurator 2

Apple Configurator 2 to aplikacja od Apple, która służy do provosiningu iPadów, iPhonów, iPodów oraz AppleTV w trybie zarządzanym (supervised) w małych i średnich firmach, które nie używają DEP.

DEP – Device Enrollment Program – Program automatycznej rejestracji urządzeń w serwerze MDM podczas aktywacji przez serwery Apple. Jest to wygodne rozwiązanie, ponieważ dział IT nie musi konfigurować urządzeń ręcznie ani nawet wyciągać ich z pudełek. Aby urządzenie mogło być częścią DEP musi pochodzić od autoryzowanego sprzedawcy oraz nie może być zarejestrowane w tym programie w przeszłości.

Jednak w tym wpisie skupmy się na organizacji, która nie planowała od początku takiego podejścia, nie ma takiej floty urządzeń lub kupowała nie koniecznie od autoryzowanych resellerów Apple.

Aby przeprowadzić ten proces, potrzebujesz sprzętu z systemem operacyjnym macOS. Po zainstalowaniu Apple Configurator 2 z AppStore, aplikacja znajdzie się na launchpadzie (zsuń ze sobą 4 palce na gładziku), a po jej uruchomieniu zobaczysz zachętę do podpięcia urządzenia do komputera.

Główny ekran Apple Configurator 2

Stworzenie organizacji

Zanim skonfigurujesz swojego pierwszego iPhone’a czy iPad’a, musisz przygotować informacje o Twojej organizacji, jeżeli chcesz posiadać urządzenia w pełnym zarządzaniu. W tym celu z górnej belki wybierz Apple Configurator 2 -> Preferences (⌘+,) i przechodzimy do karty Organizations a następni klikamy ikonę plusa.

Pomijamy gdyż nie uczestniczymy na razie w żadnym programie
Podajemy podstawowe informacje o organizacji
Narazie nie posiadamy serwera MDM więc wybieramy tą opcje.

Dodawanie aplikacji

Z górnej belki wybieramy kartę Account -> Sign in. Po zalogowaniu się będziemy mieć możliwość zainstalowania aplikacji, których licencje posiadamy.

Mimo, że aplikacja jest darmowa też musisz posiadać jej licencje. Najprościej “kupić” taką aplikacje na Appstore z urządzenia mobilnego. Licencja zostanie przypisana do konta i będziemy mogli użyć jej w Apple Configurator 2.

Blueprint

Zanim podepniesz urządzenie, przygotuj szablon, zwany w aplikacji blueprintem, który będzie zawierał profile ustawień i aplikacje, które chcesz powielić na wszystkich konfigurowanych urządzeniach. Możesz posiadać wiele zapisanych szablonów/blueprintów i zbudować wśród nich taki podział, jaki spełnia Twoje potrzeby. Stwórzmy razem nasz pierwszy blueprint.

Pierwszy blueprint

Gdy klikniesz na dany blueprint prawym przyciskiem myszy, zobaczysz menu, a w nim kilka przydatnych funkcji, które kryją się w karcie Advanced.

Możliwości modyfikacji blueprinta

Save Unlock Token. Jak często zdarzyło Ci się, że pracownik zapomniał ustawionego PINu do telefonu i potrzebował pomocy? W wielu przypadkach oznacza to utratę danych i mozolną konfiguracją urządzenia od początku, jednak dzięki zapisaniu Tokenu na komputerze będziesz w stanie odblokować takie urządzenie w mgnieniu oka, bez utraty danych przy użyciu opcji Clear Passcode.

Single App Mode czyli tryb kiosku, który uniemożliwia zmianę wyświetlanej na ekranie aplikacji. Takie rozwiązanie jest wykorzystywane np. w sklepach H&M w celu zbierania feedbacku od klientów, przy użyciu tabletów umiejscowionych w pobliżu kas. Zastosowania tej opcji są niezliczone, od wyświetlania rezerwacji sal konferencyjnych, wyświetlaczy z reklamam, po wykorzystanie ich jako pilotów. W moim doświadczeniu zawodowym również zdarzyło mi się stosować tę opcję do wykorzystania starych iPadów w celach użytkowych 🙂

Zachęcam również do odkrywania pozostałych opcji na własną rękę.

Profile Konfiguracyjne

Profile konfiguracyjne to pliki XML o rozszerzeniu .mobileconfig, które definiują konfiguracje systemu i aplikacji. Są zrozumiałe dla urządzeń firmy Apple i taki profil może konfigurować iOS jak i macOS. Oczywiście nie wszystkie funkcje są dostępne dla wszystkich urządzeń. Funkcjonalnym odpowiednikiem z ekosystemu Microsoftu będą paczki .ppkg dla Windows 10.

Niezależnie z jakiego MDM korzystasz – Intune, FAMOC itp. – finalnie urządzenie Apple otrzymuje właśnie taki profil. Taki standard.

Profile możemy tworzyć w Apple Configurator 2 wybierając File -> New Profile. Ukaże się ekran z możliwościami konfiguracji zachowania urządzenia. Dla przykładu zbudujmy profil, który doda firmową sieć WiFi do urządzenia.

Karta General pierwszego profilu
Przykładowa konfiguracja payloadu Wi-Fi

Profil który zbudowaliśmy przed chwilą wygląda tak:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>ConsentText</key>
	<dict>
		<key>default</key>
		<string>Ten Profil konfiguruje sieć WiFi</string>
	</dict>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>AutoJoin</key>
			<true/>
			<key>CaptiveBypass</key>
			<false/>
			<key>DisableAssociationMACRandomization</key>
			<false/>
			<key>EncryptionType</key>
			<string>WPA</string>
			<key>HIDDEN_NETWORK</key>
			<false/>
			<key>IsHotspot</key>
			<false/>
			<key>Password</key>
			<string>HasloDoFirmowejSieci</string>
			<key>PayloadDescription</key>
			<string>Configures Wi-Fi settings</string>
			<key>PayloadDisplayName</key>
			<string>Wi-Fi</string>
			<key>PayloadIdentifier</key>
			<string>com.apple.wifi.managed.8D4A68BA-0127-40C0-8F54-1B3705794303</string>
			<key>PayloadType</key>
			<string>com.apple.wifi.managed</string>
			<key>PayloadUUID</key>
			<string>8D4A68BA-0127-40C0-8F54-1B3705794303</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>ProxyType</key>
			<string>None</string>
			<key>SSID_STR</key>
			<string>FirmowaSiecWiFi</string>
		</dict>
	</array>
	<key>PayloadDescription</key>
	<string>Przykładowy Profil dodający firmową sieć do urządzenia.</string>
	<key>PayloadDisplayName</key>
	<string>WiFi</string>
	<key>PayloadIdentifier</key>
	<string>Kobylarek-pl.5DB49F69-52A2-49B0-96B2-7F9DE1FD1ABA</string>
	<key>PayloadOrganization</key>
	<string>Kobylarek.pl</string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<string>063DDBA6-77F4-4722-B30D-CBA72700A2BF</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>

Po dodaniu takiego profilu do blueprintu urządzenie nie będzie wymagało konfiguracji sieci WiFi – dokona się ona samoczynnie.

Wybierz Add -> Profiles, a następnie plik z profilem konfiguracyjnym zapisz jako BluePrint.

A może dodamy jakieś urządzenie?

Dodanie w trybie zarządzanym wymaga przywrócenia urządzenia do ustawień fabrycznych!! Bez kopii zapasowej dane zostaną utracone!!

Przejdźmy do testów na sprzęcie. Podłącz urządzenie do komputera – zostanie ono wykryte i wyświetlone w Apple Configuratorze.

Gdy urządzenie zostanie wykryte
Wybieramy jaki blueprint ma zostać użyty
Zapytanie czy napewno chcemy użyć tego blueprintu
Zapytanie czy chcemy żeby urządzenie było nadzorowane
Wybieramy Manual Configuration
Nie dodajemy do serwera MDM – Jeszcze go nie mamy 🙂
Wybieramy organizację – Możemy posiadać więcej niż jedną
Jakie kroki mają się wyświetlić przy konfiguracji urządzenia
iPhone świeżo po skonfigurowaniu
Istnieje możliwość podejrzenia szczegółów urządzenia

Zachęcam Cię do eksperymentów i tworzenia innych payloadów. Więcej możliwości konfiguracji znajdziesz w innych wpisach.

Tak jak wspominałem, profil konfiguracyjny możesz wykorzystać nie tylko dla urządzeń mobilnych ale również dla komputerów Mac. Wspominam o tym w kontekście zajawki, która zostanie rozwinięta w przyszłych wpisach. Tak to wygląda, gdy ten sam profil użyjemy na Macbooku:

Po dwukliku na profil
Wybieramy Profile z Preferencji systemowych
Widzimy przygotowany przez nas profil jako pobrany jednak jeszcze nie zainstalowany
Po kliknięciu instaluj

Co teraz?

Profil zainstalowany na macOS oraz na iOS wykonuje swoje obowiązki. Możesz samemu eksperymentować a Apple Configurator i rozpocząć zarządzaniem swoją flotą. Tak jak mówiłem na początku to dopiero podstawy, dostajemy narzędzie półautomatyczne, upraszcza pracę ale to nie jest rozwiązanie dla dużej organizacji. Takim rozwiązaniem jest MDM ale to temat już na inny wpis.