Whitepaper
MDM en DEP
1
Inhoudsopgave 1. Mobile Device Management........................................................................................................................................................................................................ 3 1.2 Voorzieningen............................................................................................................................................................................................................................. 3 1.2 MDM-servercertificaten......................................................................................................................................................................................................... 3 1.3 MDM-serverbeveiliging......................................................................................................................................................................................................... 4 1.4 MDM-servernamen.................................................................................................................................................................................................................. 4 1.5 Beheer MDM................................................................................................................................................................................................................................ 4 2. Het Apple Device Enrollment Program (DEP).................................................................................................................................................................... 5 2.1 Voordelen DEP-programma................................................................................................................................................................................................ 5 3. Instellen Device Enrollment Program (DEP)........................................................................................................................................................................ 6 3.1 Stappenplan DEP voor organisaties............................................................................................................................................................................... 6 4. Programma vereisten....................................................................................................................................................................................................................... 7 4.1 Deelnemers................................................................................................................................................................................................................................... 7 5. Meer informatie.................................................................................................................................................................................................................................... 7
2
1. Mobile Device Management Het Device Enrollment Program (DEP) maakt deel uit van het Apple Deployment Program (ADP), waarmee bedrijven, zorgen onderwijsinstellingen gemakkelijk iOS- en OS X-apparatuur kunnen implementeren en beheren. Om het Apple DEPprogramma te kunnen gebruiken is het noodzakelijk dat er binnen de organisatie een MDM omgeving bestaat die gebruikt kan worden om de Apple devices op uit te rollen. Mobile Device Management is software dat het beheer regelt voor mobiele Apple devices die zijn gekoppeld aan het netwerk van een organisatie. Voor organisaties is een MDM-server een eenvoudige manier om de activiteiten van werknemers op hun iPad, iPhone of Macbook te kunnen controleren en waar nodig te beperken. Met behulp van MDM kan een IT-afdeling op een veilige manier apparaten toevoegen aan een bedrijfsnetwerk. Bovendien kan IT op deze manier zelf de instellingen verzorgen voor draadloze verbinding en het ophalen van updates, toezien op naleving van de bedrijfsregels en kan het apparaten op afstand vergrendelen of wissen.
1.2 Voorzieningen
De MDM-server heeft een aantal voorzieningen: 1. Beheren van accounts (installeren, beheren en verwijderen van accounts die toegang hebben tot bedrijfsvoorzieningen); 2. Beheren van configuraties (Instellingen zoals toegangscodes, beperkingen en een roaminggebied voor spraak en gegevens opgeven); 3. Beheren van materiaal (Installatie, beheer en verwijderen van apps uit de App store en van interne apps op maat, boeken en documenten); 4. Beheren van informatie van apparaten (Gepland gegevens opvragen over apparaat, netwerk en beveiliging); 5. Uitvoeren van beveiligingscommando’s (Mogelijkheid om toegangscode van gebruiker te wissen en een apparaat na verlies of diefstal op afstand te vergrendelen of te wissen); 6. Beheren van domeinen (Beheren van specifieke e-mail of URL’s en subdomeinen om bedrijfsgegevens gescheiden te houden). Het Mobile Device Management (MDM) server heeft drie grote voordelen: • Organisaties kunnen iOS- en OS X-devices moeiteloos beheren. • Eenvoudige implementatie op elke schaal. • Gebruikers kunnen meteen aan de slag.
1.2 MDM-servercertificaten
Voor iedere MDM-server die u wilt toevoegen, moet u eerst het certificaat van de openbare sleutel (deze eindigt op .pem of .der) ophalen bij uw MDM-leverancier. (zie de MDM-leveranciersdocumentatie voor informatie over het ophalen van certificaten van openbare sleutels voor een server). Servertokens verlopen na één kalenderjaar en moeten dan vervangen worden. Afhankelijk van de MDM-leverancier krijgt u al dan niet een waarschuwing dat een token bijna verlopen is. Wanneer een token gaat verlopen, moet u inloggen op https://deploy.apple.com, opnieuw een token voor de MDM-server genereren, dit downloaden en naar de MDM-server overzetten om het direct te installeren. Zie de documentatie van uw MDM-leverancier voor informatie over hoe u de token overzet.
3
1.3 MDM-serverbeveiliging
Iedere MDM-server die u opzet, moet bij Apple bekend zijn en moet op een beveiligde wijze door middel van een tweestaps-verificatieproces geautoriseerd zijn. Het verificatieproces houdt in dat u een token aanmaakt en deze op uw MDMserver installeert.
1.4 MDM-servernamen
Als u een MDM-server een naam geeft, dan hoeft u niet de volledig gekwalificeerde domeinnaam te gebruiken. U kunt bijvoorbeeld een naam kiezen gebaseerd op een bepaald gebouw, locatie, ruimte of functietitel (maar u kunt niet dezelfde naam voor meerdere servers gebruiken).
1.5 Beheer MDM
Stappenplan MDM-server toevoegen 1. Ga naar https://deploy.apple.com, log in met uw Apple ID en volg het twee-staps-verificatieproces. 2. Selecteer ‘Device Enrollment Program’ in de zijkolom. 3. Selecteer ‘Beheer servers’ en klik vervolgens op ‘Voeg MDM-server toe’. 4. Voer een naam in voor de server. 5. Selecteer ‘Wijs automatisch nieuwe apparaten toe’ als u wilt dat deze MDM-server standaard alle in de toekomst aangeschafte apparaten beheert nadat ze goedgekeurd en verwerkt zijn. 6. Klik op ‘Volgende’. 7. Upload het certificaat van de openbare sleutel en klik op ‘Volgende’. 8. Klik in het venster dat verschijnt op ‘Uw servertoken’ om uw token te downloaden. Stappenplan MDM-server bewerken 1. Ga naar https://deploy.apple.com, log in met uw Apple ID en volg het twee-staps-verificatieproces. 2. Selecteer ‘Device Enrollment Program’ in de zijkolom. 3. Selecteer ‘Beheer servers’ en kies vervolgens de naam van de server. U kunt: • De standaardserver instellen of wijzigen • De servernaam bekijken of wijzigen • Een certificaat van een openbare sleutel bekijken of uploaden • Een nieuw servertoken bekijken, genereren of downloaden • De server verwijderen en apparaten toewijzen aan een andere server • Toegewezen apparaten bekijken en een overzicht per apparaattype en aantal krijgen • Een komma gescheiden (csv-)bestand downloaden dat de serienummers van alle toegewezen apparaten bevat • Automatisch alle nieuwe apparaten aan een MDM-server toewijzen door het selecteren van ‘Wijs automatisch nieuwe apparaten toe’ 4. Nadat u wijzigingen hebt aangebracht of een nieuw token of csv-bestand hebt gedownload, klikt u op OK. Stappenplan MDM-server verwijderen 1. Ga naar https://deploy.apple.com, log in met uw Apple ID en volg het twee-staps-verificatieproces. 2. Selecteer ‘Device Enrollment Program’ in de zijkolom. 3. Selecteer ‘Beheer servers’ en klik vervolgens op de naam van een server. 4. Klik op ‘Verwijder server’ en selecteer een van de volgende opties: • Toewijzing apparaten opheffen • Apparaten opnieuw toewijzen (en vervolgens de MDM-server kiezen waar ze aan zullen worden toegewezen) 5. Klik op ‘Verwijder’.
4
2. Het Apple Device Enrollment Program (DEP) Apple DEP biedt een snelle, soepele manier om iOS- en OS X- apparaten in gebruik te nemen die uw bedrijf rechtstreeks van Apple of van een deelnemende door Apple geautoriseerde reseller heeft gekocht. U kunt apparaten automatisch bij MDM aanmelden zonder ze fysiek aan te raken of gereed te maken voordat gebruikers ze in ontvangst nemen. Met MDM kunt u het configuratieproces voor de gebruiker nog verder vereenvoudigen door bepaalde stappen in de Configuratieassistent te verwijderen, zodat de gebruiker snel aan de slag kan. Gebruiksklaar Ook kunt u bepalen of de gebruiker het MDM-profiel al dan niet van het apparaat kan verwijderen. U kunt bijvoorbeeld apparaten bij Apple bestellen, alle beheerinstellingen configureren en de apparaten rechtstreeks naar het huisadres van de gebruikers laten verzenden. Als het apparaat eenmaal is uitgepakt en geactiveerd, wordt het aangemeld in uw MDM en zullen alle beheerinstellingen, apps en boeken bij het opstarten automatisch worden geconfigureerd.
2.1 Voordelen DEP-programma
Het Device Enrollment Program heeft 4 grote voordelen: 1. MDM-aanmelding is geautomatiseerd (en vergrendeld) voor apparaten in eigendom van de organisatie (koppeling serienummer aan DEP Customer ID). 2. Zero-touch configuratie voor uw IT-afdeling. Omdat uw mobiele device automatisch geconfigureerd wordt met het MDM bij de aanschaf, hoeft u niet eerst langs IT. 3. Gebruikers kunnen hun eigen device gemakkelijk configureren en stappen (schermen) overslaan dankzij de ingebouwde Configuratie-assistent. 4. Als organisatie heeft u draadloze supervisie over de apparaten, met de mogelijkheid tot extra beperkingen, toezicht en functies.
5
3. Instellen Device Enrollment Program (DEP) Als u als organisatie voor uw medewerkers Apple devices hebt aangekocht via Apple of een Apple Premium Reseller, kunt u het serienummer of het imei-nummer van de devices koppelen aan het DEP Customer ID van je organisatie. Door deze koppeling zijn de devices bovendien meteen aangesloten op het Mobile Device Management. › dit is een instelling, moet de klant aanvinken. Als een apparaat eenmaal geactiveerd is, worden de in MDM opgegeven configuraties en/of restricties automatisch geïnstalleerd.
3.1 Stappenplan DEP voor organisaties
1. Aanmelden bij de Apple Deployment Programs (ADP) U dient eerst een Agent account aan te maken met een officieel emailadres van uw bedrijf (Yahoo of Gmail zijn ongeldig) bij het ADP. Dit emailadres wordt via twee-staps-verificatie gecontroleerd en er wordt een Apple ID aangemaakt. Vervolgens dient u alle aanvullende bedrijfsgegevens in te vullen, waaronder het Reseller ID voor DEP van uw Apple reseller. 2. Beheeraccounts toevoegen Ga vervolgens naar https://deploy.apple.com en log in met uw Apple ID. Gebruik uw Apple ID om beheerdersaccounts toe te voegen die door uw bedrijf of instelling geautoriseerd zijn om de website te gebruiken. Log in bij de ADP-website en kies ‘Admins’ in het menu links. Kies vervolgens ‘Add Admin Account’ en voer een naam en emailadres (let op: elke nieuwe beheerder moet een uniek emailadres gebruiken i.v.m. het aangemaakte Apple ID) in van de nieuwe beheerder. U kunt zoveel beheeraccounts toevoegen als u zelf wilt. 3. DEP koppelen aan de MDM-server Op de DEP-website maakt u een virtuele server aan voor uw MDM-server. Deze worden gekoppeld aan uw fysieke MDMserver. Elke MDM-server wordt door middel van twee-staps-verificatie veilig geautoriseerd, zodat hij bij Apple bekend is. 4. Apparaten toewijzen aan DEP Onder Manage Devices kunt u in één keer alle devices van uw medewerkers toevoegen aan DEP op basis van het serienummer, het CSV-bestand of u kunt zoeken op bestellingen met uw ordernummer. Kies vervolgens: ‘assign to server’.* 5. Controleren van de gegevens Nadat u virtuele MDM-servers hebt ingesteld en apparaten hebt toegevoegd, kunt u de apparaattoewijzing bekijken en controleren. U kunt bovendien een CSV-bestand downloaden met alle serienummers van de apparaten die aan elke MDMserver zijn toegewezen. *Als u een device kwijtraakt, kapot gaat, of verkoopt, zorg er dan te allen tijde voor dat het device permanent verwijderd wordt van de DEP-lijst.
6
4. Programma vereisten Apparaten in eigendom van de organisatie dienen minimaal op de volgende besturingssystemen te draaien: • iOS 7 of hoger • OS X versie 10.9 (Mavericks) of hoger
4.1 Deelnemers
De aankoop van Apple DEP-devices dient rechtstreeks bij Apple of bij een geautoriseerde Apple Premium Reseller of Netwerkaanbieder plaats te vinden. Deelnemende door Apple geautoriseerde resellers in Nederland: A-mac, Scholten Awater, Infotheek, iCentre, BTC Teleconsult, Central Point, Creaforti, Pro Warehouse, Insight, Ivizi, LJS, MCPartners, NEG IT Solutions, Skool, Switch, Misco Nederland, Van Dijk Educatie, Xando. Het Device Enrollment Program is beschikbaar in de volgende landen of regio’s: Australië, België, Canada, Denemarken, Duitsland, Finland, Frankrijk, Griekenland, Hongkong, Ierland, Italië, Japan, Luxemburg, Mexico, Nederland, Nieuw-Zeeland, Noorwegen, Singapore, Spanje, Taiwan, Turkije, Verenigde Arabische Emiraten, Verenigd Koninkrijk, Verenigde Staten, Zweden en Zwitserland.
5. Meer informatie Voor meer informatie over de Apple Deployment Programs en het Device Enrollment Program neemt u contact op met een van bovenstaande resellers of raadpleeg de helpfunctie op http://help.apple.com/deployment/programs.
7
