這篇是系列文的第二篇,有興趣的朋友可以先從第一篇開始看

>> Apple 裝置佈署管理 專題:(一) MDM 的前世今生、為什麼需要管理裝置

前一篇我們提到了為什麼我們需要 MDM,這一篇我們就來延伸解釋 MDM 常常見到的一些名詞,以及他是怎麼運作的。

首先,當我們要討論管理 Apple 裝置的時候,首先要認識的一個名詞就是 Supervise 監管 

監管顧名思義,就是有著完全的管理權限,而非監管的手機,自然在管理上的權限就比較有限了。而為什麼會有這兩種的區分呢,我們試想一下,假設你在某間公司上班,你能用的設備有公司配給你的 Mac,還有你自己私人的手機。公司為了保護他們的資訊安全,自然會想要掌控所有裝置,而公司配給你的電腦,通常就會走監管模式,公司有著完全的掌控權,而你自己的手機是你自己花錢買的,這種我們叫做自帶設備 BYOD (Bring your own device),既然不是公司花錢配給員工的,我想應該沒幾個人願意把自己手機的所有權限都交給公司,所以自然只能掌控一些軟體層面的權限,無法遠端清除這種大動作,所以主要的目的是發送資源給這些裝置,而不是控制他們。

那麼,監管跟非監管,是怎麼決定的呢?首先,很多人都不知道的事情是,其實我們平常購買 Apple 的管道來源,比如說 燦坤、SA 等等,都算是一般零售經銷商,而通常企業部門,則是會有企業經銷商的管道。

一台機器,透過零售經銷商,跟企業經銷商,定價都是一樣的。但是企業經銷商在賣給你電腦之後,會把你這批電腦的序號,上傳給蘋果伺服器,指定這批序號是屬於某個公司企業。如此一來,這批電腦不需要透過公司的 IT 人員,員工可以拿到全新的電腦,但是在開機的那一瞬間,每一台電腦都會上蘋果伺服器去確認,這台電腦是不是屬於某個組織,如果沒有,就是一般個人用的電腦,就會像是我們平常看到的那樣,選擇帳號密碼、選擇 iCloud 帳號等等,然後進到桌面。

 

DEP

但如果他偵測到這個序號是有被上傳過指定給某個組織,你開機的畫面就會多一個這個。跟你說這台電腦是屬於某個企業的,即將安裝某企業套用的 MDM 規則。

DEP

所以這個流程會是這樣

1. 裝置第一次開機連上網,向蘋果伺服器去報到。

2. 蘋果伺服器回傳,你屬於某個組織。

3. 裝置改去跟某組織報到,此組織可能是用蘋果 Profile manager 的管理系統,或是 Jamf 的管理系統。

4. Jamf 跟裝置之間開始進行管理跟回報。

 

這個動作,叫做 Apple 裝置註冊計劃 Device Enrollment Program(DEP),而只要是透過 DEP 的機器,就一定是進入監管模式。這很合理對吧,畢竟是公司買的機器,進入被公司監管也合理。那麼如果公司規模不大,以前都是從一般零售買的,能不能也進入監管呢?嗯,技術上並不是完全不行,不過那個手續就有點複雜,不是本篇討論的篇幅。總之,我們就先當做,從企業經銷商買的都會進入監管(完全的掌控權限),而一般自帶的裝置則是非監管(有限的掌控權限)這樣就好。

 

透過 DEP 的好處是,你可以發現,他進入監管的時間點,不是什麼開機進入桌面之後的事情,是你還在設定帳號之前就發生的,所以無論員工拿到電腦之後,怎麼重灌、格式化之類的,最終都逃離不了被監管的命運。

 

不過,很多人在上網查 Apple MDM 管理的時候,常常會以為整個監管系統就叫做 Apple School Manager (ASM) 以及 Apple Business Manager (ABM) 一個是校園用,一個是企業用,功能差不多。其實嚴格說來,這兩個是用來管理 DEP 的指向以及下載 App Store 的資源。

https://business.apple.com/

所以如果你的裝置,不是經過企業經銷商管的,沒得 DEP,也沒有要派 App Store 的 App 給你的裝置,是可以不用 ABM 的,不過 ABM 跟 ASM 申請都是免費,所以除非你的企業不符合資格,不然其實蠻建議為你的企業或學校申請一個 ABM/ASM 帳號。

DEP

如圖所示,在 ABM 中,企業主可以大量購買一些生產力的 App,派給底下的裝置,而這些 App 的 License 則是掌控在企業手上,所以不會發生員工離職,企業還要買下一套給新員工使用的狀況,有人離職,或是裝置遺失,可以直接把 License 收回。

而被派發的裝置,也不會需要輸入企業主的 Apple ID 才能下載這些指定的 App,會自動出現在他們裝置上面,減少員工的困擾。

如果你是校園管理員,請申請 ASM https://school.apple.com
如果你是企業管理員,請申請 ABM https://business.apple.com

 

那麼,前兩篇講解了 mdm 的歷史跟原理,下一篇,我們就要來介紹,到底管理 mdm 的工具有什麼好選擇了。

>> Apple 裝置佈署管理 專題:(三) 管理的選擇:Jamf 與 Apple Profile Manager

 

如果你對裝置控管有興趣,你可以從免費的 Jamf Now 開始試用(點我),可以免費管理三台裝置,4台以上才開始收費。雖然 Jamf Now 跟上面提到的 Jamf Pro 比起來,功能有差異,Jamf Pro 比較適合企業,Jamf Now 比較適合小家庭或是10人以下的組織,不過就算你是大企業,也可以先從 Jamf Now 開始感受他流暢的同步性。

 450,132 total views,  20 views today