Zero-Touch deployment Apple zařízení

Martin přichází do práce, kde na něj čeká nový MacBook. Těší se, že jej zapne a začne okamžitě vytvářet nabídky, které pak nasdílí kolegům přes cloudové úložiště. Ve sdílených kalendářích zjistí časové možnosti kolegů a pro jistotu to s nimi ještě probere v chatovacím programu. Dostupnost nezbytného materiálu ověří skrz interní web, kam se přihlásí firemním účtem.

Večer z domova využije VPN připojení do sítě kanceláře, aby zkontroloval stav faktur na serveru s účetnictvím. Jenže stůl okupuje nerozbalená krabice s nedotčeným počítačem.

Stráví Martin minimálně půl den přípravou počítače podle zdlouhavých a komplikovaných návodů? Nebo snad začne nahánět někoho z věčně vytíženého IT oddělení, aby mu s tím pomohl?

Firma pořídila nový kancelářský balík Microsoft Office 365. IT oddělení dostalo pokyn, aby na všechny firemní počítače nainstalovalo nezbytné aplikace a nastavilo účty zaměstnanců v emailovém klientu.

Příští týden již musí všichni používat nový software, protože předplatné starého nebude prodlouženo. Inventář aktuálně hlásí 249 přidělených počítačů.

Budou ajťáci doufat, že si všichni zaměstnanci přečtou e-mail s postupem a zvládnout to sami? Nebo začnou svolávat zaměstnance a nastavovat jejich počítače ručně?

Jak jistě tušíte, odpovědí na oba předchozí odstavce je jednoznačné ne. Firma naštěstí přešla na systém hromadné správy zařízení.

Ten se postará, aby všechny Macy měly vždy aktuální operační systém, potřebné programové vybavení a zajištěnou bezpečnost dat. Uživatelé se díky němu bez problémů dostanou ke všem firemním systémům. Stačí, aby si pamatovali svoji emailovou adresu a jedno heslo.

 

Systém hromadné správy (MDM)

Představu společnosti Apple o hromadné správě lze shrnout do tří písmen – MDM, což znamená Mobile Device Management. Nejde o konkrétní produkt, ale o technologii, která umožňuje vzdáleně spravovat Apple zařízení. S každou novou verzí operačních systémů macOS, iOS a tvOS získává již tak velmi široká paleta voleb další schopnosti.

Apple však momentálně žádné profesionální MDM řešení nenabízí (Profile Manager mezi ně rozhodně nepatří). Místo toho nechává prostor ostatním výrobcům, aby nabídli vlastní řešení. Vznikla celá řada produktů, které se liší především tím, kolik možností z MDM rámce dokáží ovládat a jak je lze provázat s ostatními produkty výrobce či dalšími technologiemi.

Logicworks svým klientům nabízí taková řešení, která rychle reagují na vývoj operačních systémů společnosti Apple a zároveň nejsou enormně nákladná.

Mezi naše favority momentálně patří Workspace ONE (dříve AirWatch) od společnosti VMware. Hlavním argumentem, jenž hovoří v jeho prospěch, je velmi dobrá podpora systému macOS, což mezi řešeními určenými primárně pro mobilní zařízení rozhodně není standard.

Workspace ONE lze provázat s mnoha dalšími firemními technologiemi jako je např. centrální správa uživatelů (Active Directory) nebo přihlašování uživatelů přes webové portály jiných služeb (SAML).

Vedle cloudové varianty jej můžete provozovat na vlastním serveru. Umožňuje také správu platforem Windows a Android a je tak vhodný pro firmy, které chtějí spravovat všechna zařízení z jednoho místa.

Někteří zákazníci hledají jednodušší nástroj, který zvládnou obsluhovat sami. Zde dobře poslouží cloudové SimpleMDM mířící především na iOS zařízení. Dobře si poradí i s důležitými prvky správy macOS.

Zatímco Workspace ONE se snaží pokrýt velké množství platforem a technologií, orientaci SimpleMDM přesně vystihuje jeho název.

Nebudete se v něm cítit zahlcení možnostmi a velmi rychle připravíte konfiguraci pro vaše Apple zařízení.

 

 

 

Profile Manager od Apple je součástí aplikace macOS server, což byla dříve celá sada nástrojů pro provoz serverových služeb pod systémem macOS. Několik let poté, co Apple upustil od prodeje serverových Maců, došlo i na macOS Server.

Možnost konfigurace většiny služeb byla odstraněna a prakticky zbyl pouze Profile Manager. Paradoxně v něm nenajdete všechny možnosti MDM nastavení, která Apple specifikuje.

Jste limitováni provozem služby na hardware od Apple bez možnosti jakékoliv škálovatelnosti nebo vysoké dostupnosti. Podpora prakticky neexistuje a u nahlášené chyby se budete několik měsíců modlit, aby byla v příští verzi opravena.

Profile Manager najde své uplatnění spíše  v malých školách, pro testovací účely nebo pro potřeby školení.

Firmám, které to se správou Apple zařízení myslí vážně, ho rozhodně nedoporučujeme.

 

Apple Business Manager

Historický scénář nákupu nových zařízení vyžadoval, aby IT pracovníci trávili mnoho hodin rozbalováním krabic a konfigurováním. S MDM řešením se tato práce zúžila na zapojení počítače či mobilu do MDM.

Apple však proces automatické konfigurace dotáhl ještě o jeden krok dál. DEP nebo-li Device Enrollment Program je speciální režim nákupu Apple zařízení firmami, kdy Macy, iPhony, iPady a Apple TV mohou během prvotního nastavení zjistit, že patří pod konkrétní firmu a nechat se kompletně nastavit MDM serverem.

Nerozbalenou krabici můžete předat zaměstnanci a vše potřebné pro práci bude nastaveno automaticky.

Webový portál programu DEP byl společně s portálem pro nákup hromadných licencí aplikací z App Store (VPP) sloučen pod jednu střechu – Apple Business Manager (ABM). Na jednom místě propojíte nakoupená zařízení s vámi provozovaným MDM řešením a nakoupíte aplikace, které pak MDM může všem nainstalovat. Vedle ABM existuje ještě Apple School Manager, což je velice podobný portál pro školské instituce.

Zero-Touch deployment

Termín Zero-Touch deployment představuje způsob automatického nastavení Apple zařízení pro firemní prostředí, který jsme již nakousli v předchozí části. Nyní se podíváme na několik praktických detailů.

Předpokládejme, že jste ABM propojili s vaším MDM serverem a zapínáte Mac (koupený v rámci DEP programu) právě vybalený z krabice. Uvítá vás průvodce prvotním nastavením, vyberete jazyk, region a připojíte Mac k Internetu. V následujícím kroku jste informováni o tom, že zařízení bude vzdáleně spravováno firmou.

Zde je možné vynutit i povinné přihlášení uživatelským účtem, který je známý MDM serveru, aby se v případě zcizení zařízení ke spravovanému systému nedostal nikdo kromě zaměstnance. Pokračujete vytvořením prvního lokálního účtu. V běžné přípravě macOS by šlo o účet administrátora. MDM však umožňuje nastavení, kdy půjde o účet standardní a administrátora vytvoří automaticky. S novým lokálním uživatelem již může proběhnout první přihlášení.

Občas budete chtít provést další změny či instalace, nicméně ani Apple v MDM specifikaci nemyslel na všechno. Schopnější MDM naštěstí podporují instalaci vlastního instalačního balíčku. Díky němu můžete upravit proces první přípravy Macu zcela dle své libosti.

Je tak možné docílit výsledku, kdy uživatele po vybalení zařízení z krabice přivítá kompletně připravené prostředí, nemusí nic řešit a okamžitě začíná pracovat.

 

Zaujala vás možnost vzdálené správy a konfigurace nového Macu? V Logicworks vám rádi pomůžeme s přípravou řešení, které bude vyhovovat vašim potřebám. Kolegové jsou připraveni na osobní schůzku.

 

autoři: Michal Moravec, Ivan Malík

Comments
Logicworks