Core Service - Blogi ja uutiset

Laitehallinnan osien on sovittava toisiinsa

Kirjoittanut Markus Saviaro | 31. toukokuuta 2021 klo 7.00.00

Hyvin suunniteltu ja toteutettu Apple-laitteen (tai miksei minkä tahansa laitteen) käyttöönotto ja hallinta on sujuvaa, sopivasti käyttäjälle näkyvää tai näkymätöntä. Käyttäjällä on tottakai säilytettävä oikeus ja kyky halutessaan nähdä mitä laitehallinta hänen käyttämässään laitteessa tekee tai pystyy tekemään. Sen on kuitenkin oltava saumatonta ja eikä se saa hankaloittaa työnkulkua.

 

Kuvaamallani tavalla toimiva laitehallinta vaatii tiettyjä palveluja, rajapintoja ja ominaisuuksia ja nuo ovat kaikille laitehallintaratkaisuille enemmän tai vähemmän samoja. 

 

 

 

Laiterekisteri. Käyttöönotettava ja yrityksen omistama ja hallinnoima laite on oltava yritykselle korvamerkitty ja ensimmäisen kerran käynnistyessään laitteen täytyy "soittaa kotiin" ja tarkistaa kuulumisensa yritykselle tai organisaatiolle. Applen laitteet kysyvät käynnistyessään käytettävän kielen, käyttömaan sekä verkkoyhteyden ja saadessaan yhteyden internetiin aktivoivat itsensä Applen palveluun eli ilmoittavat aktivointipalveluun (Activation Server) sarjanumeronsa ja kertovat käynnistyneensä.

 

Samassa yhteydessä käyttäjälle näkymättömästi aktivointipalvelu tarkistaa myös laitteen sarjanumeron laiterekisteristä ADE:sta (Automated Device Enrollment), joka tunnetaan vanhalta nimeltään DEP:inä (Device Enrollment Program). Jos laitteen sarjanumero on rekisteröity yritykselle tai yhteisölle (depattu) niin laiterekisteri lähettää vastauksena laitteelle sille laiterekisterissä osoitetun laitehallintapalvelun osoitteen. Tällöin laite ottaa yhteyden mainittuun laitehallintapalveluun käyttäen tuota osoitetta ja "ilmoittautuu palvelukseen".

 

 

 

 

Laitehallinta (MDM) on palvelu, jolle laitteet ilmoittautuvat saatuaan osoitteen aktivoitumisensa ohessa. Operaatiota, jossa laite ilmoittautuu palveluun sanotaan enrollautumiseksi. Laite siis "enrollataan automaattisesti laitehallintaan DEP:llä", kuten usein käytetty sanonta kuuluu.

 

Laitehallinta on yhteydessä laiterekisteriin ja saa tiedon yrityksen omistamien laitteiden sarjanumeroista suoraan laiterekisteristä ja siis "osaa odottaa" sille tulevia laitehallintaanliittymisviestejä. Laitteen ilmoittautuessa laitehallinta tarkistaa sarjanumerot tietokannastaan ja tarvittaessa autentikoi eli kysyy käyttäjätunnuksen ja salasanan laitetta käyttöönottavan henkilön omasta tietokannasta tai yrityksen käyttäjätietokannasta.

 

Tämän jälkeen laitehallinta antaa enrollautuvalle laitteelle jo aiemmin tehdyn profiilin (esim. käyttäjätilit, asetukset, listan asennettavista ohjelmista, rajoitukset ja politiikat) ja laite asentaa profiilin sekä toteuttaa profiilissa määritellyt toimenpiteet. Käyttäjälle jää tässä toimenpiteessä tehtäväksi mahdollisen autentikoinnin jälkeen vain ottaa kupillinen kahvia ja odottaa, että laitteesta tulee yrityksen määrittämien profiilien mukainen.

 

 

 

 

Apple Business Manager (ABM) tai Apple School Manager (ASM) on Applen palvelu, jolla hallitaan yrityksen omistamia AppleID:itä (Managed AppleID, MAID), yrityksen laiterekisteriä (ADE tai DEP) ja yrityksen käyttöönsä hankkimia ohjelmistoja (Apps and Books tai vanhalta nimeltään Volume Purchase Program, VPP). ABM on yhteydessä yrityksen laitehallintaan ja kertoo yritykselle rekisteröityjen laitteiden sarjanumerot ja yrityksen hankkimien ohjelmistojen tiedot laitehallinnalle.

 

Yrityksellä voi olla monta laitehallintaa (esimerkiksi Intune ja Mosyle) eri tarpeisiin ja ABM mahdollistaa eri sarjanumerojen osoittamisen eri laitehallintaan (esimerkiksi iPhonet ja iPadit Intuneen ja Macit Mosyleen). ABM mahdollistaa myös yrityksen käyttäjätietokannan yhdistämisen ja siten on mahdollista käyttää yrityksen käyttäjätietoa myös AppleID:nä. Käytännössä tämä tarkoittaa, että työntekijän sähköpostiosoite (käyttäjä@yritys.fi) voi olla sähköpostin ja työaseman käyttäjätunnuksen lisäksi myös AppleID ja kaikkiin edellä mainittuihin saa kirjauduttua turvallisesti samalla salasanalla.

 

Alla olevalla demovideolla esitellään macOS-tietokoneen käyttöönotto Intunen ja oman mcontrol-palvelumme avulla.

 

 

 

 

 

 

Kokonaisuus on siis suunniteltava ja sovitettava aina yrityksen tarpeisiin vastaavaksi ja työnkulkuja tehostavaksi sekä tietoturvalliseksi. On katsottava mitä työkaluja ja palveluita yrityksellä jo on käytössään ja niitä on ehdottomasti hyödynnettävä tavoilla, jotka ei välttämättä olekaan ensimmäisella katsomalla itsestäänselviä, mutta voivat palvella vielä paremmin ja tehokkaammin kuin ennen. Esimerkiksi Microsoftin Intune (laitehallinta) on usein yrityksellä käytössä valmiiksi tai O365-lisenssipäivityksellä saatavissa käyttöön. Käyttäjätietokanta on usein yrityksissä AD (Active Directory) tai AzureAD, joka voi siis toimia myös AppleID:n autentikoitumisessa kun ABM-palvelu liitetään AzureAD:hen ja näin sama käyttäjätunnus ja salasana voi toimia myös Applen palveluiden käytössä.