(圖說:Apple 利用 APNs 打造緊密而且高度可靠的大量部屬生態)

 

MDM 這個名詞,大家可能聽過,但又有點模模糊糊,不太確定實際上是有什麼作用,只知道好像可以一次管理很多台裝置。

 

不過我們先從我們的日常生活講起,自從 iPhone 第一代問世開始,我們就可以用 iTunes 來管理上面的音樂、影片、通訊錄等等。一直到現在最新的 iPhone,雖然我們越來越減少透過電腦來管理他的時間,但管理的需求依然還在。甚至有時候我們需要對手上的 iPhone 做一些限制,比如說給小朋友的 iPhone,我們會關閉他的 App Store 等等。

▼ 這個在以前在「設定」當中叫做取用限制,現在則是可以在「螢幕限制時間」中掌控。

如果是 Mac 呢?我們也常常需要升級系統、派發資料、重灌 不同台的 Mac。如果事情都在個人層級的話,到好解決,反正一台一小時,兩台兩小時,作業流程弄的順的話,同時 3、4 台也不是問題。但如果不是個人層級,而是企業等級呢?當我們面對幾十台、上百台、甚至上千上萬台的裝置,我們不可能每台都人工去做的。

所以,MDM 的概念就產生了,MDM 全名是 Mobile Device Management 移動裝置管理,不過現在由於可以管理的範圍除了 iPhone 、iPad 也包含 iMac、MacBook Pro、Apple TV 等等,所以不一定是移動裝置。

所以,在面對大量的裝置,需要有一個統一的管理辦法是必要的,通常脫離不了三個目的

 

1.  裝置限制、資訊安全 (比如很多廠區要關閉照相機,或是只能上內網)

2. 派發資料到裝置 (可能是應用程式、可能是內部資料給員工)

3. 控管庫存資訊 (知道發出去幾台設備、用了幾台)

 

那麼,以蘋果來說,要做到 MDM 控管,是透過什麼方式呢?

▼ Apple Configurator 是2012 年蘋果推出的軟體,現在已經出到 Apple Configurator 2,他可以製作描述檔,或是大量部屬。不過都是透過有線的方式,所以我們現在很少會用到他,畢竟面對大量的裝置,透過有線的方式去做,不是理想的作法。

太古老的管理方式我們就不提,我就從十年前開始聊起,2009 年 Apple 在 iOS 4 就介紹了 Apple Push Notifications(APNs),什麼是 APNs 呢?APNs 是蘋果管的伺服器,就是現在我們每天都在用的推播,我們每天收到 Line、email、Facebook 的通知,都是由 APNs 所推到我們的鎖定畫面,讓我們知道有新的訊息。

 

由於這是由 APNs 統一推送給系統層級,不是由單一 app 推送到你的 app 內容,所以有時候,在網路很不穩的情況下。你可能會在鎖定畫面看到有一則 Line 的新訊息,但點進去 Line,卻沒有訊息,直到網路順暢,才在 Line 中看到剛剛在鎖定畫面上看到的該則訊息。

所以 APNs 在裝置管理上也起了很大的作用,畢竟我們面對幾百幾千台裝置,不可能期望物理上去碰到每一台裝置,當然是透過網路管理,也就是透過 APNs 這個橋樑,所有的裝置都會上網回報給蘋果的 17 網段 (蘋果這一間公司就擁有 17.x.x.x(17.0.0.0/8) 的所有 IP,粗略來說佔了全 IPv4 位置的 1/256。),由蘋果判斷這台裝置屬於哪個組織,應該指向哪個伺服器,然後該伺服器的管理員看到裝置之後,下發的指令會透過 APNs 發送給所有裝置。

而至於管理者要選擇用什麼樣的管理服務,用什麼伺服器,來管理這些裝置,是我們下一篇討論的事情。

 

以上,算是 MDM 簡單的技術背景介紹。那麼我們現在回頭來看,除了省時間之外,為什麼當你擁有大量 Apple 裝置的時候,你會需要管理,我們回頭來看最常見的三大目標,而達到這三大目標,我們會學到一個新的英文單字 Deployment 佈署,這三個目標,都需要我們把資源、或是規則,佈署到底下的 Apple 裝置上。

 

1.  裝置限制、資訊安全 (比如很多廠區要關閉照相機,或是只能上內網

這算是很多人對於 MDM 的第一印象,可能是因為對許多人來說,想到裝置控管,第一個經驗就是去當兵的時候手機要備控管,不能拍照等等。

實際上不只是軍中,企業也相同的有著許多機敏資料不應該被外洩,所以企業內部常常有著相對應的措施,比如只能用內網登陸員工網站,某些電腦不能使用 USB,所以也不能使用 Airdrop 等等。

這些限制你當然可以一台一台去設定,但所需要的時間跟人力成本就是難以估算的可怕。所以透過 MDM 大量一次性的派發政策規則到裝置上,則是穩定又可靠的方式。

(如果你有過 MDM 的經驗,但你覺得不可靠的話,相信我,你選擇錯誤的服務了。)

 

2. 派發資料到裝置 

控管裝置,除了限制,當然就是提供資源。除了自家開發的 App 可以派發給員工之外,當然還有官方 App Store 那些數不盡的優秀資源。除此之外,電子書、文件檔案等等,也都可以遠端大量的派發

也可以搭配上面的第一點,做到完整的配套,比如說限制員工要透過內網才能上員工網站,但也對應的發送了 VPN 設定到每台員工電腦裡面。

 

3. 控管庫存資訊 

實際掌控到底哪個員工拿了哪些裝置,有沒有真的使用,派下去的資源有沒有使用,還是浪費,都需要做成報表往上回報,才不會浪費公司花錢買的資源。

 

以上就是關於 Apple MDM 粗略的介紹,下一篇我們會介紹實際上到底透過什麼樣的方式控管裝置,以及介紹更多的關鍵字:DEP、Apple Business Manager、Apple School Manager、VPP、Jamf 等等 。請繼續閱讀第二篇

>> Apple 裝置佈署管理 專題:(二) MDM 的通訊、管理原理介紹

>> Apple 裝置佈署管理 專題:(三) 管理的選擇:Jamf 與 Apple Profile Manager

 

如果你對裝置控管有興趣,你可以從免費的 Jamf Now 開始試用(點我),可以免費管理三台裝置,4台以上才開始收費。雖然 Jamf Now 跟上面提到的 Jamf Pro 比起來,功能有差異,Jamf Pro 比較適合企業,Jamf Now 比較適合小家庭或是10人以下的組織,不過就算你是大企業,也可以先從 Jamf Now 開始感受他流暢的同步性。

 461,810 total views,  7 views today