Laitehallintaa jargonitta

Kertaus on opintojen äiti ja mieleenpalauttaminen säännöllisin väliajoin luo tanakampia muistijälkiä! Otetaan siis kronologinen ja yksinkertainen kertaus käyttöönottamisen automaatioon ja laitehallinnan (Mobile Device Management, MDM) toimintaan pysyen ymmärrettävissä sanoissa ja koetetaan käyttää kuvaannollisia termejä. Siten saamme oikean käsityksen ja ajatuksen piirtymään mieleemme ja tietysti myöhemmin palaamaan mieleen kun itse kukin työssämme törmäämme näihin asioihin sekä ilman näitä tapahtuvaan ajanhukkaan ja turhaan työhön.

Avataan laitteen pakkaus ja laitetaan virta päälle. Silloin useimmat nykyaikaiset mobiililaitteet ja kannettavat tietokoneet kysyvät kieli- ja maa-asetukset ymmärtääkseen oikein näppäimistöä. Seuraavaksi laite haluaa verkkoyhteyden ja useimmiten verkkoyhteys on mobiiliverkko (4G/5G) tai langaton yhteys (Wi-Fi). Kun laite saa verkkoyhteyden se "soittaa kotiin" eli ilmoittautuu sarjanumerollaan Applen tai muun laitevalmistajan palveluun ja kertoo käynnistyneensä. Tällöin aktivointipalvelu tarkistaa laitteen sarjanumeron tietokannastaan ja merkitsee sen aktivoituneeksi sekä tekee mahdollisia tarkistuksia sarjanumeron perusteella.

• Onko sarjanumero kieltolistalla esimerkiksi varkauden tai muun väärinkäytöksen vuoksi?
• Onko sarjanumero jo sidottu jollekin käyttäjälle? Esimerkiksi Find My iPhone - aktivointilukitus sitoo Apple ID:n ja laitteen sarjanumeron toisiinsa, eikä käyttöönottoa pysty jatkamaan tunnistautumatta.
• Onko sarjanumero merkitty kuuluvaksi jollekin yritykselle? Jos sarjanumero on merkitty yritykselle niin aktivoitumista seuraa tieto yrityksen laitehallinnan osoitteesta (URL), joka palautetaan laitteelle. Tämän toiminnon nimi Applella on ollut DEP (Device Enrollment Program) ja on nykyään ADE (Automated Device Enrollment). Myös muilla valmistajilla on automaattiselle laitehallintaan liittymiselle oma nimensä. Samsungilla tuon palvelun nimi on Knox Mobile Enrollment.

Näiden tarkistuksien jälkeen laitteen käyttöönotto jatkuu tarkistuksien tuloksista riippuvalla tavalla joko laitteen käyttöönottovelhon kysymyksiin vastaamisella tai laitteen automaattisella ilmoittautumisella viimeisen tarkistuksen mukaiseen yrityksen laitehallintaan.

Ilmoittautuminen laitehallintaan tapahtuu siis käyttöönoton aikana jos tuo viimeinen tarkistus palauttaa tiedon laitteen kuulumisesta yritykselle (laite on "depattu"). Jos yritys on ottanut käyttöön laitehallintapalvelun sekä määritellyt sen osoitteen (URL) tämä on täysin automaattista. Laitteella ei siis tässä kohdassa käyttöönottoa ole vaihtoehtoa vaan se kertoo käyttäjälle kuuluvansa yritykselle ja ilmoittautuu saamaansa laitehallintapalvelun osoitteeseen (esimerkiksi laitehallinta.yritys.com/enroll). 

• Yritys ottaa käyttöön mahdollisen automaattisen liittymisen laitehallintaan. Applella se tapahtuu rekisteröimällä yritykselle Apple Business Manager (ABM) tai koulujen käyttöön Apple School Manager (ASM) -niminen ilmainen palvelu, josta rekisteröitymisen jälkeen voi lukea "Organization ID"-tunnuksen.
• Ostaessaan laitteen valtuutetulta jälleenmyyjältä yritys ilmoittaa tuon "Organization ID"-tunnuksensa jälleenmyyjälle ja jälleenmyyjä merkitsee sarjanumeron kuuluvaksi ostavalle yritykselle, "deppaa" laitteen.
• Yritys rekisteröi itselleen laitehallintapalvelun (tai esimerkiksi päivittää M365 lisenssinsä sisältämään myös Microsoft Endpoint Managerin). Laitehallintapalveluja on monia ja monenlaisia ja laitehallintapalvelun valinta ja käyttö on erillisen opiskelun ja kertauksen aihe. Valittuun laitehallintapalveluun määritellään tarvitaanko autentikoitumista, mitä asetuksia laitetaan päälle tai pois, mitä sovelluksia asennetaan ja millaisia laitteiden tulee olla liityttyään laitehallintaan. Useimmissa laitehallintapalveluissa "luodaan profiili" laitteille.
• Yrityksen rekisteröimä laitehallintapalvelu liitetään aiemmin rekisteröityyn Apple Business Manager -palveluun ja Apple Business Managerin hallintaliittymässä merkitään yrityksen laitteet hallittavaksi nyt rekisteröidyllä laitehallintapalvelulla.
• Laite ilmoittautuu käynnistyessään ja aktivoiduttuaan laitehallintaan ja ottaa edellä mainitun profiilin käyttöön eli määrittää asetukset, asentaa ohjelmistot ja luo tarvittavat tilit ja määrittelyt.

Nyt laite on yrityksen laitehallinnassa ja valmis käyttöön. Kaikkeen tähän vaadittiin käyttäjältä ainoastaan laitteen käynnistäminen, maan ja kielen valinta sekä verkkoyhteys!

Kun laite on yrityksen laitehallinnassa, niin laitehallinta mahdollistaa (laitehallinnasta riippuen) asetuksien määrittelyä, sovelluksien asennuksia ja käyttöjärjestelmän sekä ohjelmistojen päivittämisen. Applen laitteita hallittaessa hallinta perustuu Applen määrittelemään julkiseen rajapintaan ja tuo rajapinta on kaikille toimijoille sama (MDM-protokolla). Laitehallinnan mahdollistamat toimenpiteet ja määrittelyt ovat siis laitehallintavalmistajan päättämiä ja kaikki niistä käyttävät samaa tapaa ja samoja komentoja hallita laitteita. MDM-protokolla ja -rajapinta ei kuitenkaan ole täydellinen ja monet laitehallintapalvelut laajentavat laitehallinnan mahdollisuuksia asentamalla käyttöönotossa omia hallintasovelluksia, agentteja, hallittaville laitteille.

Tällaisesta laajennuksesta esimerkki on mcontrol-tuotteemme, joka laajentaa laitehallinnan mahdollisuuksia ainutlaatuisella tavalla ja tuo hallintaan ominaisuuksia, joita laitehallinta yksin ei pysty macOS-tietokoneille toteuttamaan. MS Endpoint Manager ja sen Intune -laitehallinta vaativat aikaa ja osaamista sovellusten paketointinnista pystyäkseen asentamaan hallittuihin tietokoneisiin sovelluksia. mcontrol pystyy asentamaan ja päivittämään sovelluksia ilman erillistä latehallintakohtaista käsittelyä tai paketointia.

Laitehallinta on ainoa todellinen ja toimiva keino yrityksen varmistaa käytössä olevien laitteiden ohjelmistojen ja käyttöjärjestelmien ajantasaisuus. Se on myös keino saada raportti ja tieto siitä mitä versioita sovelluksista yrityksellä on käytössään. On kaikkien etu, että laitteita voidaan käyttää turvallisesti aikaa (ja rahaa) säästäen kun asetuksien kanssa askarteluun ja ohjelmistojen päivittämiseen ei kulu työntekijöiden aikaa, vaan he voivat keskityä siihen työhön mitä varten laitteet on heille hankittu.

Alla olevalla videolla näet miten mcontrol-laitehallintapalvelumme toimii ja kuinka Mac otetaan käyttöön laitehallinnalla. 

Jos video tai muu, mitä edellä ääneen ajattelin herättää kysymyksiä tai jos joku asia herätti ajatuksia niiden soveltamisesta teidän laitteisiinne, niin ottakaa yhteyttä ja autamme mielellämme!

Sovi Teams-tapaaminen blogin kirjoittajan Markus Saviaron kanssa klikkaamalla alla olevaa painiketta.