A Device Enrollment Program (DEP) segítségével képesek vagyunk az Apple-eszközök egyszerű üzembe helyezésére és konfigurálására. A DEP gyors és egyszerű módot biztosít a szervezet tulajdonában lévő iPad és iPhone eszközök, valamint Mac számítógépek üzembe helyezésére. Ez az útmutató segítséget nyújt a DEP funkciói kapcsán, elmagyarázza a regisztráció módját, és segít az indulásban.

A DEP-hez hozzáadott összes iOS, macOS és tvOS-eszköz automatikusan regisztrálásra kerül az Intune MDM-be. A regisztráció biztosítja, hogy az eszközök a szervezet követelményei alapján legyenek konfigurálva úgy hogy minden felhasználó megkapja a kívánt konfigurációkat az eszközén.

A fenti kép demonstrálja az eszközök regisztrációs folyamatát. Az cég által vásárolt Apple eszközöket akár a reseller is tudja regisztrálni a cég Apple Business Manager inventory-ába.

Feltételek:

• Microsoft Intune license
• Jogosultság eszközök regisztrálására az Intune-ban (Ebben a cikkben nem részletezem az Intune policyk és appok deploymentjét!)
• Apple Business Manager regisztráció

Lépések az Intune és az Apple Business Manager közti eszköz szinkronizáláshoz:

• Először regisztrálnunk kell egy fiókot az apple.com-on, és az apple.business.com-on. Ajánlott service account-ot használni, hogy a késöbbiekben ne legyen gond a hozzáféréssel.
• Szerezzük be az Apple MDM push cert-et az apple.business.com-ról és töltsük fel az Intune-ba. Köves a lépéseket: LINK Fontos, hogy technikai userrel kérjük le a cert-et, mert megújításkor ha más userrel újítjuk meg, a már regisztrált eszközök nem fogják megkapni az új policykat!
• Fontos, hogy ennek az MDM push cert-nek is mint minden más certnek van lejárati ideje, így erre érdemes egy értesítést beállítani magunknak!
• Validáljuk a regisztrált domaineket, hogy használni tudjuk a Managed Apple ID-kat: LINK
• Szükségünk van egy D-U-N-S számra is, erről itt találsz bőveben infót: LINK
• Hozzuk létre az Enrollment Program tokent az Apple Business Manager (ABM) oldalon, hogy az ABM-be regisztrált eszközöket az Intune-ba tudjuk syncelni.
  • Először hozzunk létre egy MDM szervert az ABM oldalon.
  • A “Download token/Token letöltése” gombra kattintva töltsük le a device enrollment certificatet.
  • Fontos, hogy ennek a tokenek is mint minden más tokennek van lejárati ideje, így erre érdemes egy értesítést beállítani magunknak!
  • Töltsük fel az Intune-ba az imént letöltött cert-et LINK:
  • Már tudjuk is syncelni az Intune és az ABM között az eszközöket.
  • Ha egy eszközt szeretnénk eltávolítani az management alól, ezt az apple.bussiness.com-on tudjuk megtenni a “Release device from MDM/ Eltávolítás a szervezetből” gombra kattintva.
  • 

Lépések az Apple App Store-ban megvárásolt alkalmások szinkronizálásához Intune az ABM között:

• Rögzítsük az ABM-ben a cég adószámát: LINK
• Ha validálásra került a cég adószáma, töltsük le a VPP tokent és kapcsoljuk össze az Intune-t és az ABM-et.
  • Nyissuk meg a Payment and billing settings oldalt az ABM oldalon: LINK
  • Kattintsunk a cég nevére és töltsük le a tokent.
  • Töltsük fel az imént beszerzett tokent az Intune portálra: LINK
  • Miután a tokent feltöltöttük, a 3pontra kattintva hozzuk elő a “Sync” gombot és szinkronizáljuk az ABM-ben lévő app inventoryt:
  • Sikeres szinkronizálás után az Intune app inventoryban látni fogjuk a “Volume purchased program app” típussú applikációinkat:
  • Az így beszerzett applikációkat már lehet is terjeszteni a supervised eszközökre. Míg a BYOD eszközökön a felhasználónak jóvá kell hagyni a letöltést, itt “silent install” módban tudnak települni az alkalmazások. Fontos tudni, hogy BYOD esetén, nem az appokat küldjük le az eszközökre, csak a telepítési kérést hiszen az applikáció (valójában license) ownere az eszköz tulajdonosa. ABM esetében a tulajdonos a cég, így a jóváhagyást már mi az applikáció beszerzése során elvégeztük.
  • Fontos, hogy ennek a tokkenek is mint minden más tokennek van lejárati ideje, így erre érdemes egy értesítést beállítani magunknak!

Automatic Device Enrollment – iOS

iOS eszközök regisztrálásának menete az Apple Business Manager-be:

Ha macOS és iOS eszközöket is szeretnénk regisztrálni az ABM-be, szükségünk lesz egy macOS és egy iOS eszközre amivel a regisztrációkat végezzük. A regisztráció iOS esetén egy macOS eszközön történik míg macOS regisztrálása esetén egy iOS eszközre lesz szükségünk. Fontos felismerni, hogy Apple eszközök távolról nem regisztrálhatóak be az ABM-be, abban az esetben ha a kezelni kívánt eszköz rögtön a felhasználóhoz kerül kiszállításra, akkor a distributorral kell egyeztetni, hogy tudják-e ők szállítás előtt regisztrálni az eszközt az ABM-be. Sajnos ha a distributor nem rendelkezik ilyen tudással, a kezelni kívánt eszközöknek először az IT-ra kell kerüljenek, hogy regisztrálni tudják azokat majd superviseolni.

A post ezen részében az iOS eszközök regisztrációjára koncentrálunk, de a következő szekcióban a macOS-es eszközök regisztrációját is bemutatom!

Lépések:

• Töltsük le az Apple Configurator appot a Mac eszközünkre.
• Nyissuk meg a Configurator appot, és menjünk a “preferences/ beállítások” menübe.
• Az “Organizations” szekcióban kattintsunk a “+” gombra és adjuk hozzá a Managed Apple ID-nkat:
• Válasszuk a “Generate new supervision identity” lehetőséget:
• Most szükségünk van az MDM szerver URL-re, amit az Intune-ban tudunk létrehozni.
  • Nyissuk meg az Apple Configurator blade-et: LINK
  • Hozzunk létre egy új profilt.
  • Válasszuk ki, hogy milyen módon szeretnénk enrollolni az eszközöket:
  • Ha Company Portál segítségével szeretnénk az enrollmentet elvégezni akkor válasszuk az “Enroll with user affinity” opciót. Abban az esetben ha nem szeretnénk felhasználóhoz rendelni az eszközöket akkor válasszuk a másik opciót, de erre nem térek ki ebben a postban.
  • Az így létrehozott profilnál kattintsunk az “Export profile” gombra, hogy megkapjuk az MDM szerver URL-t amit be kell illeszteni az Apple Configurátorba :
• Adjuk meg az imént exportált MDM szerver URL-jét az Apple Configurátorba:
• A következő lépés, hogy csatlakoztassuk a regisztrálni kívánt iOS eszközt a Mac-hez egy usb kábellal, miután megjelent az eszköz a Configurátor app-ban már nyomhatunk is a “Prepare” gombra.
• Válasszuk a “Manual Configuration” opciót, és pipáljuk be az “Add to Apple School Manager or Apple Business Manager” opciót, illetve vegyük ki a pipát az “Activate and complete enrollment” mellől. Így csak az ABM-be fog regisztrálódni az eszköz, de nem kerül aktiválásra.
• Válasszuk ki a szerver és az organizációt.
• A következő lépés jelen példánk esetében nem fontos, mert ezeket a beállításokat Intune-ból kezeljük :
  • Hozzuk létre az enrollment profilet az Intune-ban!
  • Ebben a profilban adjuk meg, hogy milyen beállításokat bízunk a felhasználóra, illetve válasszuk ki a user affinity, authentication method, VPP, Supervised, Locaked Enrollment és igény esetén a device name template beállításokat. Setup Assistant szekcióban én csak a passcode beállítását választom ki így mikor a felhasználó megkapja az eszközt csak a passcode-ot, és a céges email címét kell megadja a Company Portálban. (Ehhez szükséges egy Managed Apple ID a usernek amit az ABM oldalun tudsz létrehozni a felhasználó számára, vagy lehetőség van deferált authentikációra, ilyenkor az Azure végzi az authentikációt. Ennek a beállítását később részletezem) Ez a profil fogja az eszközre telepíteni a Device Management profilt is.
• Visszatérve a Configurator applikációba, adjuk meg a wifi profilt ha szükséges, és nyomjunk a “Prepare” gombra. Ezzel regisztráljuk az eszközt az ABM-be.
• Az Intune device inventoryba való synceléshez keressük meg az imént regisztrált eszközt az ABM oldalon, és módosítsuk az MDM kiszolgálót.
• MDM kiszolgáló módosítása után Sync-eljük le az ABM-ből a készüléket az Intune-ba, ezt az enrollment program token alatt lévő MDM profilban tudjuk megtenni. (Ez autómatikusan is végbe fog menni, de most sietünk 🙂 )
  • Ilyenkor a létrehozott profil autómatikusan hozzá fog rendelődni az eszközhöz, de ehhez definiálni kell az alapértelmezett profilt iOS és macOS esetén is:
• Sikeres szinkronizálás után a megjelenik az eszköz és a hozzátartozó profil neve:
• Mivel még nem aktiváltuk a készüléket, ezért térjünk vissza a Configurator appba a mac eszközünkön, és nyomjunk a “Prepair” gombra újból, de most az “Automated Enrollment” opciót válasszuk ki. Wifi profil opcionális, és a username password megadása is.

Jelenleg a készülék “Supervised” állapotba került és aktiváltuk is. A cég-hez kötöttük az eszközt a device management profil telepítésével. Most már ki is lehet adni az eszközt a felhasználónak. A felhasználónak annyi a dolga, hogy beírja a céges Managed Apple ID azonosítóját a Company Portál login képernyőjén, követi a szokásos varázslót és vár, hogy minden Intune policy, és applikáció települjön a készülékre.

Automatic Device Enrollment – macOS

macOS eszközök regisztrálásának menete az Apple Business Manager-be:

Lépések:

• Töltsük le az Apple Configurator iOS verzióját az iPhone-unkra vagy iPade-ünkre amivel a regisztrációt végezzük. LINK
• Nyissuk meg a Configurator appot és lépjünk be a Managed Apple ID-kal.
• Ha a mac eszközünk macOS 12-nél (Monterey) régebbi OS-el rendelkezik, akkor frissitsűk az eszközt!
• Formázzuk meg a mac eszközünket.
• Mikor a mac képernyőn a “Select region” feliratot látjuk, vigyük a billentyűzet fölé vagy a gép közelébe az iPhone-unkat amin az Apple Configurator app fut, egy animált felhő fog megjelenni:
• Ha nem jelenik meg az animáció, akkor ellenőrizzük, hogy az iOS és a macOS eszközök azonos hálózaton vannak-e!
• Olvassuk be a felhőt az Configurator app segítségével mint ahogy egy QR code-al tennénk.
• Sikeres beolvasás után kapcsoljuk ki a mac eszközünket.
• Lépjünk be az apple.business.com-ra és módosítsuk az MDM szervert az eszköznél. (Előző szekcióban leírtakhoz hasonlóan)
• Szinkeljük az ABM és az Intune között az eszközöket a device enrollment token alatt található sync gomb segítségével mint ahogy az iOS esetében is tettük.
• Hozzunk létre egy enrollment profilt macOS eszközökre is ha még nem tettük, ezt szintén az MDM server beállításai alatt tudjuk megtenni a Profiles szekcióban:
• Ha sikeresen synceltük az ABM és az Intune között és az enrollment profilt is megkapta az eszköz akkor kapcsoljuk vissza a mac eszközünket. A profil assignment állapotát az enrollment profil alatt az “Assigned devices” menüben tudod ellenőrizni.
• Kövessük a mac eszközön a Setup Assistant lépéseit, válasszuk ki a nyelvet és a régiót.
  • Fontos, hogy az eszköz végig kapcsolódjon az internethez!
• Adjuk meg a felhasználó Managed Apple ID-ját. Mint az előző szekcióban is leírtam ezt az ABM oldalun tudod létrehozni a felhasználó számára, vagy lehetőség van deferált authentikációra, ilyenkor az Azure végzi az authentikációt. Erről egy másik blog postomban olvashatsz: LINK)
• Adjon meg a felhasználó egy eszköz jelszót.
• Várj amíg a Company Portál app megjelnik, majd a felhasználó lépjen be a céges email címével, most fog minden Intune policy és applikáció rákerülni a gépre.
• Abban az esetben ha FileVault-ot is konfiguráltunk az adott eszközön indítsuk újra a klienst, hogy a titkosítás végbe tudjon menni. A recovery kulcs az Intune-ban lesz megtalálható.
• Miután minden policy és alkalmazás iskeresen deployolódott a kliensre használatba is veheti a kolléga.

Eszközök visszavétele, kiadása másik felhasználónak.

iOS

Coming Soon

macOS

Miután minden szükséges file-t lementettünk, egyszerűen csak nyomjunk rá a”Erase all data from device” opcióra a System Preferences-ben. Ilyenkor minden user file és applikáció törlésre kerül, majd vissza kerülünk a nyelv és régió választás képernyőkre. A következő felhasználónak csak egy Managed Apple ID-ra van szüksége, majd az Automated Device enrollment folyamat újra lefut az új tulajdonos nevében.