Apple Business Manager v praxi

Před časem společnost Apple spustila nový portál pro IT týmy business.apple.com, který je známý pod názvem Apple Business Manager. Usnadňuje registraci nových zařízení, nasazování obsahu a delegování oprávnění správy dalším zaměstnacům a stává se základním kamenem pro hromadnou správu Apple zařízení.

Součástí portálu Apple Business Manager je Program nasazování zařízení, dříve označovaný zkratkou DEP a Program hromadných nákupů, dříve označovaný jako VPP. Oba programy končí již 1. prosince 2019 a po tomto datu nebudou dostupné původní portály deploy.apple.com a s největší pravděpodobností ani vpp.itunes.apple.com.

Registrace do Apple Business Manager

Pokud máte platnou registraci v DEP a VPP programu, migrace těchto programů do Apple Business Manageru je velmi snadná a trvá pouze několik minut. Po dokončení najdete v novém portálu všechny vytvořené účty, servery MDM, registrovaná zařízení, serverové tokeny, historii objednávek, popřípadě další položky související s vaším účtem.

Pokud však přístup do portálu Apple Business Manager ještě nemáte, je potřeba provést několik kroků a praxe praví, že se celková doba registrace může vyšplhat na několik týdnů.

V prvním kroku je potřeba ověřit, jestli již máte D-U-N-S číslo. Zřizovatelem a správcem je samostatná firma Dun & Bradstreet (D&B). Pomocí tohoto nástroje si můžete ověřit, zda bylo vaší firmě číslo již přiděleno. Pokud ne, pomocí stejného nástroje zažádejte o číslo D-U-N-S.

V následujícím kroku je vyplníte žádost o registraci do portálu Apple Business Manager. V průběhu tohoto procesu vás bude společnost Apple reálně kontaktovat, aby ověřila všechny poskytnuté údaje. Jakmile bude vše ze strany Apple schváleno, obdržíte e-mail s žádostí potvrzení tzv. „počátečního“ (prvního) administrátora.

Po potvrzení administrátora bude ještě potřeba vytvořit spravované Apple ID počátečního administrátora a odsouhlasit dohodu a smluvní podmínky Apple Business Manageru. Toto Apple ID by mělo být unikátní a nemělo by být používáno pro další účely, například získání tokenů nebo certifikátů APN serverů.

Konfigurace Apple Business Manageru

Po úspěšné validaci se může zdát, že je na čase začít registrovat zařízení a začít spravovat jejich obsah. Opak je pravdou – nejdříve je potřeba správně Apple Business Manager nakonfigurovat. V prvním kroku ověřte údaje o společnosti. V bočním panelu vyberte položku Nastavení a v sekci Nastavení organizace zkontrolujte údaje. Tyto údaje budou použity pro primární organizační jednotku. Ta je v Apple Business Manageru nazývána jako „Místo“.

Dále v sekci Osobní nastavení zkontrolujte údaje počátečního administrátora. Pokud je vše v pořádku, propojíme Apple Business Manager s jedním nebo více MDM servery. Opět v bočním panelu vyberte položku Nastavení a vyberte položku Nastavení správy zařízení. Zde máte možnost přidat MDM server, přiřadit mu název a nahrát certifikát veřejného klíče.

V dalším kroku je potřeba vygenerovat a stáhnout token. Ten má platnost rok. Ze seznamu vyberte konfiguraci, kterou jste vytvořili v předchozím kroku a v detailech konfigurace (pod názvem konfigurace) najdete možnost stáhnout token, který je potřeba nainstalovat na MDM server. Tím jste úspěšně propojili MDM server s Apple Business Managerem a zabezpečili přenos mezi oběma nody.

Na stejném místě najdete možnost změnit výchozí přiřazení zařízení podle typu. Pro nasazení mobilních zařízení tak můžete použít stávající MDM řešení, které pokrývá mobilní platformy iOS a Android a pro počítače to, které je vhodnější pro macOS.

Vytváření účtů a přiřazování funkcí

Nyní se můžeme přesunout k dalšímu kroku, kterým je vytvoření účtů a přiřazení jednotlivých funkcí uživatelům. Těch je celkem pět – administrátoři, správci obsahu, zařízení a osob a zcela nově Zaměstnanec.

Administrátor

Po prvním přihlášení bude počáteční administrátor upozorněn na fakt, že Apple Business Manager spravuje pouze jeden administrátor. Pokud chcete (a měli byste chtít) vytvořit další, klikněte na záložku Účty, kterou najdete v bočním panelu a vytvořte nového. Celkový počet administrátorů je 5. Administrátoři mohou vytvářet, upravovat a mazat spravovaná Apple ID, přiřazovat funkce nebo resetovat hesla ostatním uživatelům včetně ostatních administrátorů.

Správce osob

Správce osob je po administrátorovi druhá nejdůležitější funkce. Může totiž vytvářet, upravovat a mazat nejenom Místa, ale především spravovaná Apple ID, uživatelů a umožňuje jim přiřazovat a měnit funkce. Kromě toho umožňuje spravovat zařízení.

Správce zařízení

Správce zařízení může přidávat, přiřazovat a odstraňovat zařízení a spravovat MDM servery. Stává se tak nepostradatelným pomocníkem administrátora a správce osob, který přebírá starost o základní denní operace IT týmu.

Správce obsahu

Poslední je správce zařízení, jak již jistě správně tušíte, může nakupovat licence pro aplikace a knihy pro iOS, iPadOS, macOS a od září 2018 také pro tvOS. Dále pak mohou tyto licence přiřazovat jednotlivým Místům, popřípadě licence mezi jednotlivými Místy přesouvat.

Zaměstnanec

Novinkou je role „Zaměstnanec“, která umožňuje používat spravovaná zařízení a využívat aplikace a knihy. Až doteď Apple oficiálně nepodporoval tento typ účtů a doporučoval vytváření pouze účtů správců a administrátorů. Implikace ukazuje na možnost využití tohoto typu spravovaných Apple ID pro řízení přístupu k firemnímu iCloud Drive. Zanechme pro teď spekulací a nechme se překvapit.

Správa zařízení

Správa zařízení umožňuje automaticky přiřazovat zařízení specifickým osobám ve specifických Místech. Zařízení se díky „chain of trust“ objeví ve vašem portálu. Jak tento řetězec funguje?

Pro pochopení celého systému si ukážeme, jaká je cesta zařízení od výrobce k zákazníkovi. Zařízení vyrobená společností Apple jsou dodána distributorovi, který jej dodá AAR partnerovi nebo operátorovi. Ten je dodá koncovému zákazníkovi. Národní distributoři mají svoje vlastní identifikátory, pomocí kterých společně se společností Apple komunikují a AAR partnerem, který má tzv. ID prodejce a ten pak s koncovým zákazníkem, který má vlastní ID organizace.

ID prodejce

Prodejce, který má udělený status Apple Authorized Reseller (AAR) nebo operátor musí podporovat funkci Device Enrollment v rámci Apple Business Manageru a musí být propojený s některým s distributorů. Současně musí existovat propojení mezi koncovým zákazníkem a prodejcem. Požádejte ho proto o jeho identifikátor (tedy ID prodejce) a zadejte jej do svého Apple Business Manageru.

ID organizace

Tento unikátní identifikátor je přiřazen vaší firmě. Klikněte na Nastavení a pak na Registrační údaje. Své ID organizace najdete na panelu Registrační údaje. Toto ID bude pro změnu potřebovat vědět váš prodejce. Tímto posledním krokem je „chain of trust“ kompletní.

Zařízení se objeví ve vašem Apple Business Manageru zhruba do 24 hodin. Druhou možností je přiřazovat zařízení dodatečně podle čísla objednávky nebo sériového čísla. Větší počet zařízení lze přidat hromadně nahráním CSV souboru, obsahujícího sériová čísla.

Další funkcionalita nabízí možnost zrušit přiřazení uživateli nebo zařízení z Apple Business Manageru zcela odstranit. Zařízení se z programu trvale odstraňuje tehdy, pokud bylo prodáno, ztraceno nebo je nelze opravit. V případě výměny zařízení za nové v autorizovaném servisním středisku dojde k odstranění zařízení automaticky.

Sluší se dodat, že pokud jste iOS zařízení zakoupili z jiných zdrojů než od společnosti Apple, AAR partnera či operátora, existuje možnost přidat jej do Apple Business Manageru pomocí nástroje Apple Configurator 2. Zařízení se pak chová stejně jako ostatní registrovaná zařízení, uživatel má ovšem 30 denní ochrannou lhůtu, během které může zařízení sám z registrace, dohledu a MDM řešení odstranit.

Obsah

Proces nákupu obsahu je velmi podobný jiným nákupním portálům Apple, vyhledejte aplikaci nebo knihu v App Store podle názvu a upřesněte platformu – např. aplikace pro iOS, Mac nebo knihy. Po nalezení obsahu, který vás zajímá, si projděte údaje o obsahu a zadejte množství, které chcete zakoupit. Slušelo by se dodat, že pro kombinovanou distribuci obsahu je v App Store společně s dalším obsahem (aplikace mimo App Sotre, síťové tiskárny, post-instalační skripty a další) je vhodnější využít jiný model distribuce. Ideální je forma vlastního firemního portálu, což je ovšem téma nad rámec tohoto článku. Proto se soustřeďme na spravovanou distribuci obsahu s pomocí MDM řešení v kombinaci s Apple Business Managerem.

Distribuce a stahování obsahu

Spravovaná distribuce umožňuje používat řešení MDM nebo Apple Configurator 2 ke správě distribuce aplikací a knih. Pro distribuci obsahu je proto potřeba propojit Apple Business Manager s MDM řešením pomocí tokenu. Tento Token si stáhnete v Nastavení, pod nabídkou Aplikace a knihy. Tam vyberte token pro MDM server a nahrajte jej na MDM server. Tím dojde k propojení a zabezpečení komunikace. Trvání tokenu je opět jeden rok.

Pokud ke správě zařízení a obsahu používáte Apple Configurator 2, použijte nabídku Účet a přihlaste se platným účtem Správce obsahu. Od verze iOS 10 a macOS Sierra si navíc můžete touto metodou předběžně načíst aplikace pro všechna vaše nasazení. Po propojení s MDM serverem můžete začít přidělovat aplikace a knihy včetně aktualizací aplikací – a to i když je (samozřejmě) zakázaný App Store.

 

autor: Ivan Malík

Comments
Logicworks