02/03/2025
Styring af iOS-enheder med Microsoft Intune og Apple Business Manager
I takt med at virksomheder i stigende grad benytter mobile enheder, er effektiv styring af disse enheder blevet afgørende. Microsoft Intune, i kombination med Apple Business Manager (ABM), tilbyder en robust løsning til at administrere iOS- og iPadOS-enheder. Denne artikel dykker ned i, hvordan du kan opsætte og administrere fjernadministration, håndtere enheder der er inaktive, og hvordan du korrekt fjerner enheder fra administrationen.
Opsætning af Fjernadministration med Intune og ABM
For at opnå en glidende administration af iOS-enheder i en virksomhed, er den korrekte opsætning af Intune og Apple Business Manager essentiel. Processen involverer typisk følgende trin:
- Apple Business Manager Integration: Sikr dig, at din virksomheds enheder er registreret i Apple Business Manager.
- Push-certifikat: Konfigurer et Apple Push Notification service (APNs) certifikat i Intune. Dette certifikat er nødvendigt for, at Intune kan kommunikere med Apple-enheder.
- MDM-serveropsætning: I Apple Business Manager skal du tildele dine enheder til din Intune MDM-server. Dette gøres ved at oprette en ny MDM-serverkonfiguration i ABM og angive Intunes server-URL.
- Profiloprettelse i Intune: Opret en registreringsprofil i Intune, der definerer, hvordan enhederne skal konfigureres. Vælg enhederne fra ABM og tildel dem denne profil.
- Locked Environment: Overvej at aktivere "Locked Environment" i din registreringsprofil. Dette forhindrer brugeren i at ændre visse indstillinger på enheden, hvilket sikrer en mere kontrolleret administration.
Når enhederne synkroniseres fra Apple Business Manager til Intune, vil de automatisk blive konfigureret med de politikker og applikationer, der er tildelt via profilen. Dette sikrer en automatiseret og ensartet udrulning.
Håndtering af Inaktive Enheder og Kommunikationsproblemer
Det kan ske, at enheder bliver inaktive, eller at Intune-administrationskonsollen ikke kan kommunikere med dem. Dette kan skyldes flere faktorer, herunder manglende internetforbindelse, at enheden er slukket, eller problemer med APNs-certifikatet.
Hvad sker der, når Intune ikke kan kommunikere?
Hvis Intune ikke kan kommunikere med en iOS/iPadOS-enhed, kan følgende konsekvenser opstå:
- Manglende opdateringer: Politikker, applikationer og sikkerhedsindstillinger kan ikke opdateres på enheden.
- Ingen fjernkommandoer: Kommandoer som fjernopdatering, sletning eller låsning af enheden vil ikke kunne udføres.
- Forældede data: Enheden forbliver i den tilstand, den sidst var i, hvilket kan føre til sikkerhedsrisici, hvis der er ændringer, der skal udrulles.
Fejlfinding af Kommunikationsproblemer:
For at løse problemer med kommunikationen mellem Intune og enhederne, kan følgende trin afprøves:
- Tjek Enhedens Status: Verificer, at enheden er tændt, har en aktiv internetforbindelse (Wi-Fi eller mobildata) og at flytilstand ikke er aktiveret.
- APNs-certifikat: Kontroller gyldigheden og udløbsdatoen for dit APNs-certifikat i Intune. Et udløbet certifikat vil medføre, at Intune ikke kan sende beskeder til iOS-enheder. Genforny certifikatet om nødvendigt.
- Synkronisering: Anmod brugeren om manuelt at synkronisere enheden ved at åbne Intune-appen (hvis installeret) og trykke på "Synkroniser". Alternativt kan en synkronisering ske ved at åbne en administreret app og vente på, at synkroniseringen finder sted.
- Tjek Apple Business Manager: Sørg for, at enhederne stadig er tildelt den korrekte MDM-server i Apple Business Manager, og at der ikke er foretaget ændringer, der kan forstyrre forbindelsen.
Fjernelse af Fjernadministration fra iOS-enheder
En af de udfordringer, der kan opstå, er, hvordan man fjerner fjernadministration fra en iOS-enhed, især efter synkronisering med Apple Business Manager. Når en enhed er tilknyttet via ABM og opsat med en profil med "Locked Environment = Yes", er fjernelsen af fjernadministrationen ikke umiddelbart mulig for brugeren på samme måde som ved enheder administreret uden ABM.
Brugerinitieret fjernelse:
Det er et kendt scenarie, at brugere under Indstillinger > Generelt > VPN/Fjernadministration kan finde en mulighed for at fjerne fjernadministrationen. Når dette sker, fjernes enheden typisk fra Intune, og samtidig kan den blive afregistreret fra Apple Business Manager. Dette sker, fordi "Locked Environment" forhindrer brugeren i at foretage ændringer, men hvis brugeren alligevel finder en måde at fjerne administrationen på, kan det udløse en afregistrering fra ABM for at opretholde sikkerheden og forhindre fortsat administration.
Hvorfor kan enheden fjernes?
Selvom "Locked Environment" er aktiveret, kan der være specifikke scenarier eller enheder, hvor denne mulighed stadig dukker op. Dette kan skyldes forskellige versioner af iOS/iPadOS, eller hvordan enheden oprindeligt blev onboardet. Apple og Microsoft arbejder løbende på at forbedre sikkerheden og styringen, men der kan altid være kanttilfælde.
Korrekt fjernelse af enheder fra Intune (ikke via ABM):
Hvis du ønsker at fjerne en personlig iOS-enhed fra Intune MDM, uden at den er tilknyttet ABM, kan brugeren typisk fjerne enheden direkte fra Intune-portalen. Når enheden fjernes (retires) fra Intune-administrationscenteret, slettes enheden og alle tilknyttede data. For iOS-enheder betyder dette, at administrerede apps, app-data og selve applikationerne fjernes, medmindre de er konfigureret til ikke at blive afinstalleret ved fjernelse.
Vigtige overvejelser ved fjernelse:
- Data tab: Vær opmærksom på, at fjernelse af en enhed fra Intune vil slette alle firma-data fra enheden.
- Applikationsdata: Applikationer, der er installeret via MDM, og som er knyttet til administrationsprofilen, vil blive fjernet.
- MAM vs. MDM: Hvis din strategi er at skifte fra MDM til Mobile Application Management (MAM), vil brugeren stadig kunne tilgå firma-apps beskyttet af MAM-politikker, men de skal muligvis geninstallere disse apps.
En komplet oversigt over effekten af "Retire"-handlingen kan findes i Microsofts dokumentation.
Sammenligning: MDM vs. MAM
For at give et bedre overblik over administrationsmetoderne, kan vi se på forskellene mellem Mobile Device Management (MDM) og Mobile Application Management (MAM):
| Funktion | MDM (Mobile Device Management) | MAM (Mobile Application Management) |
|---|---|---|
| Omfang | Styrer hele enheden (hardware, OS, apps, data). Kræver ofte registrering af enheden. | Styrer kun specifikke applikationer og de data, der er tilknyttet disse apps. Kræver ikke nødvendigvis fuld enhedsregistrering. |
| Registrering | Kræver typisk, at enheden registreres i administrationssystemet (f.eks. via Apple Business Manager). | Kan anvendes på både administrerede og personlige enheder uden fuld enhedsregistrering. |
| Datakontrol | Har fuld kontrol over alle data på enheden. Kan slette alle data ved fjernelse. | Kontrollerer kun data inden for de administrerede apps. Kan isolere og slette firma-data fra disse apps. |
| Brugertilfredshed | Kan opfattes som mere indgribende for brugerne, da det påvirker hele enheden. | Mindre indgribende for brugerne, da det primært påvirker arbejdsrelaterede apps og data. Giver større privatliv for personlige data. |
| Anvendelse | Ideel til virksomhedsejede enheder, hvor fuld kontrol er nødvendig. | Ideel til BYOD (Bring Your Own Device) scenarier, hvor virksomheden skal beskytte data uden at få adgang til personlige data. |
Ofte Stillede Spørgsmål (FAQ)
Spørgsmål: Hvad sker der med mine personlige data, hvis min enhed fjernes fra Intune MDM?
Svar: Hvis din enhed fjernes fra Intune MDM, vil alle firma-data og administrerede apps blive slettet. Dine personlige data og apps forbliver uberørte, medmindre de er integreret med firma-data på en måde, der gør dem uadskillelige.
Spørgsmål: Hvordan kan jeg forhindre, at brugere fjerner fjernadministrationen fra ABM-registrerede enheder?
Svar: Ved at aktivere "Locked Environment = Yes" i registreringsprofilen i Intune, begrænser du brugerens muligheder for at ændre administrative indstillinger, herunder fjernelse af fjernadministration. Det er dog vigtigt at teste dette grundigt, da der kan være sjældne tilfælde, hvor en fjernelse stadig er mulig.
Spørgsmål: Hvad skal jeg gøre, hvis mit APNs-certifikat udløber?
Svar: Du skal forny APNs-certifikatet i Microsoft Endpoint Manager (Intune) administrationscenteret. Følg vejledningen for at downloade en anmodningsfil fra Intune, uploade den til Apple Push Certificates Portal, downloade det fornyede certifikat og uploade det igen i Intune. Uden et gyldigt APNs-certifikat kan Intune ikke kommunikere med iOS/iPadOS-enheder.
Spørgsmål: Kan jeg administrere personlige iPhones med Intune?
Svar: Ja, du kan administrere personlige iPhones med Intune ved hjælp af MAM-politikker. Dette giver dig mulighed for at beskytte firma-data i apps uden at skulle administrere hele enheden.
Spørgsmål: Hvordan kan jeg fjerne en enhed fra Apple Business Manager, hvis den ikke længere er i brug?
Svar: Enheder, der er tildelt Apple Business Manager, kan normalt kun fjernes fra ABM, hvis de er købt direkte fra Apple eller en autoriseret Apple-forhandler, og der er gået en vis periode (typisk 30 dage). Hvis en enhed er blevet fjernet fra Intune, og du ønsker at fjerne den fra ABM, skal du muligvis kontakte Apple Support for at få assistance.
Konklusion
Effektiv styring af mobile enheder er en hjørnesten i moderne virksomhedssikkerhed og produktivitet. Ved at udnytte kraften i Microsoft Intune og Apple Business Manager kan organisationer opnå en sømløs og sikker administration af deres iOS- og iPadOS-enheder. Forståelse af processerne for opsætning, fejlfinding af kommunikationsproblemer og korrekt fjernelse af enheder er afgørende for at opretholde et sikkert og velfungerende IT-miljø.
Hvis du vil læse andre artikler, der ligner Styr iOS-enheder med Intune, kan du besøge kategorien Mobil.