W poprzednich artykułach omówiliśmy, czym jest usługa Microsoft Intune. Poruszyliśmy, dlaczego warto ją wdrożyć w nowoczesnej firmie, której zależy na nieskomplikowanym i bezpiecznym sposobie rejestracji i kontroli urządzeń oraz danych firmowych. Przybliżyliśmy również sposoby zarządzania urządzeniami firmy Apple.
Dziś skupimy się na rozszerzonym trybie zarządzania urządzeniami Apple przy pomocy usługi ABM, która dodatkowo pozwala na automatyczną rejestrację urządzeń oraz w prosty sposób integruje się z rozwiązaniem MDM firmy Microsoft.
Czym jest ABM?
Apple Business Manager to portal internetowy, który pomaga administratorom IT zarządzać urządzeniami iPhone, iPad i Mac. Portal ten współpracuje z rozwiązaniami MDM innej firmy, umożliwiając łatwy i masowy zakup treści oraz licencji.
- Jeśli urządzenie zostało zakupione bezpośrednio od firmy Apple, nabywca musi użyć zarejestrowanego i zweryfikowanego identyfikatora klienta Apple.
- Jeśli urządzenie zostało zakupione bezpośrednio od uczestniczącego w programie autoryzowanego dystrybutora Apple lub operatora komórkowego, urządzenie musi być połączone z identyfikatorem tego dystrybutora.
- Urządzenie musi zostać zamówione po 1 marca 2011 r., niezależnie od tego, czy zostało zakupione bezpośrednio od firmy Apple, autoryzowanego dystrybutora Apple czy operatora komórkowego.
Rejestracja w ABM jest prosta i zajmuje tylko kilka minut. Każda firma może zarejestrować się w ABM zgodnie z warunkami świadczenia usług. Pierwszą rzeczą, od której należy zacząć, jest rejestracja w D-U-N-S.
Co to jest numer „D-U-N-S”?
Uniwersalny System Numeracji Danych (ang. Data Universal Numbering System), powszechnie określany skrótem DUNS lub D-U-N-S, jest zastrzeżonym systemem opracowanym i zarządzanym przez Dun & Bradstreet (D&B), który przypisuje unikalny identyfikator numeryczny do „numeru DUNS” do pojedynczego podmiotu gospodarczego.
Został wprowadzony w latach 60. XX wieku na potrzeby sprawozdawczości kredytowej i jest obecnie standardem stosowanym na całym świecie.
Dziewięciocyfrowy numer jest przypisywany do każdej jednostki biznesowej w celu jej identyfikacji. Numer DUNS jest losowy, a cyfry nie mają konkretnego znaczenia.
Dlaczego numer D-U-N-S jest wymagany do korzystania z usług Apple?
Gdy organizacja decyduje się na zakup urządzeń Apple, musi wykupić usługi Apple Enterprise, aby nimi zarządzać. ABM, Apple Developer Portal etc., wymagają, aby organizacja posiadała numer DUNS.
Podobnie, jeśli organizacja chce dystrybuować aplikacje w różnych lokalizacjach geograficznych, musi mieć subskrypcje ABM, a do zarejestrowania się w ABM potrzebny będzie numer DUNS.
Numer D-U-N-S będzie używany do sprawdzania tożsamości i statusu prawnego organizacji w ramach procesu weryfikacji podczas przystąpienia do programu Apple Developer Program lub Apple Developer Enterprise Program. Firma/przedsiębiorstwo musi być uznana za osobę prawną (taką jak korporacja, spółka komandytowa lub spółka z ograniczoną odpowiedzialnością), aby móc przystąpić do warunków prawnych i zobowiązań wynikających z umów programu Apple Developer Program.
ADP nie pozwala administratorom baz danych, fikcyjnym firmom, nazwom handlowym i oddziałom na rejestrację. Firmy i instytucje edukacyjne muszą podać numer D-U-N-S zarejestrowany na swój podmiot prawny.
Etapy składania wniosku o numer D-U-N-S
Możliwe, że firma D&B przypisała już Twojej organizacji bezpłatny numer D-U-N-S. Przed zarejestrowaniem się można sprawdzić swoją organizację pod tym kątem. Jeśli Twojej firmy nie ma na liście, możesz przesłać swoje dane do Dun & Bradstreet, aby uzyskać bezpłatny numer DUNS.
Podczas wyszukiwania organizacji zostanie wyświetlony monit o podanie następujących informacji:
- nazwa podmiotu prawnego,
- adres siedziby głównej,
- adres korespondencyjny,
- twoje służbowe dane kontaktowe.
Przedstawiciel D&B skontaktuje się z Tobą bezpośrednio, aby uzyskać więcej informacji (takich jak rodzaj działalności lub liczba pracowników) w ramach procesu weryfikacji.
- Kliknij lub skopiuj poniższy link do swojej przeglądarki Uzyskaj numer D-U-N-S – Załóż swoją firmę – D&B (dnb.com)
- Z menu rozwijanego wybierz główny powód rejestracji numeru D-U-N-S.
- Wypełnij sekcje z informacjami o firmie. Musisz podać informacje o swojej organizacji, takie jak imię i nazwisko, adres, imię i nazwisko osoby kontaktowej oraz stanowisko.
- Przejrzyj szczegóły
- Kliknij przycisk „Prześlij”, aby dokończyć żądanie.
- Po zakończeniu całego procesu otrzymasz wiadomość e-mail z potwierdzeniem. Nadanie numeru D‐U‐N‐S, który otrzymasz e-mailem w celach archiwalnych, zajmie od 24 do 48 godzin.
Następnym krokiem jest dołączenie do Apple Business Manager. Kontynuujemy więc logowanie do ABM. Proces rejestracji przebiega zgodnie z poniższym opisem.
Rejestracja w ABM
- Zaloguj się do usługi Apple Business Manager lub Apple School Manager.
- Kliknij „Zarejestruj się teraz”.
- Wprowadź informacje dotyczące swojej organizacji, takie jak nazwa organizacji, numer DUNs, numer telefonu etc.
Użytkownik, który domyślnie rejestruje się w ABM po raz pierwszy, staje się głównym administratorem ABM, ponieważ rejestruje się w ABM w imieniu organizacji. Administrator powinien wyrazić zgodę na umowy licencyjne dotyczące programu i oprogramowania zawarte przez firmę ABM. Główny administrator konta może utworzyć do czterech innych użytkownikom jako „administratorów” w ABM. Ponadto tych kont nie można powiązać z żadnym istniejącym kontem Apple ID ani innymi usługami Apple.
Firma Apple zapozna się ze wszystkimi podanymi informacjami i skontaktuje się z wpisanym przedstawicielem, który może zostać poproszony o dodatkowe informacje telefonicznie lub pocztą e-mail przed zatwierdzeniem rejestracji.
Wybierz lokalizację, w której zarejestrowana jest Twoja organizacja.
Gdy zgłoszenie zostanie odebrane, a firma Apple potwierdzi, że kwalifikujesz się do usługi Apple Business Manager (ABM), otrzymasz wiadomość e-mail z prośbą o wyrażenie zgody na Warunki i postanowienia. Należy pamiętać, że link w wiadomości e-mail jest aktywny przez określony czas i wygaśnie po tygodniu. Jeśli nie wykonasz tego kroku w ciągu 7 dni, będziesz musiał ponownie skontaktować się z Apple, aby kontynuować.
Po weryfikacji administrator otrzyma wiadomość e-mail z instrukcjami dotyczącymi konfiguracji ABM dla firmy. Na Twój adres e-mail i numer telefonu podany podczas tworzenia zarządzanego identyfikatora zostanie wysłany kod weryfikacyjny. Wprowadź wysłany kod w celu weryfikacji.
Następnie zostaniesz poproszony o utworzenie zarządzanego Apple ID. Zaakceptuj warunki korzystania z Apple Business Manager i gotowe!
Zarządzanie użytkownikami, uprawnieniami i rolami w ABM
W usłudze Apple Business Manager każdemu użytkownikowi przypisana jest jedna lub wiele ról, które określają jego uprawnienia w systemie. Niektóre role mają również uprawnienia do nadzorowania innych ról. Na przykład użytkownik wyznaczony jako administrator ma możliwość zarządzania osobami w rolach menagera lub personelu.
Warto zauważyć, że użytkownicy pełniący rolę Administrator lub Menager osób nie mogą logować się za pomocą uwierzytelniania federacyjnego, są to konta lokalne. Mogą oni jedynie nadzorować proces uwierzytelniania federacyjnego.
Każda rola jest definiowana przez zbiór uprawnień, które mają zastosowanie do wszystkich przypisanych użytkowników. Role personelu mają minimalne uprawnienia, role menedżera oferują więcej, a role administratora korzystają z najszerszego zakresu uprawnień.
Każdy użytkownik w ABM musi mieć co najmniej jedną rolę, a każda rola ma określone uprawnienia. Poniższa tabela pomoże Ci w podstawowym rozeznaniu się w rolach dostępnych w ABM:
Przywileje (uprawnienia) związane z rolami w ABM to:
- przywileje osób,
- uprawnienia urządzenia,
- uprawnienia do zawartości,
- przywileje personelu,
- podstawowe uprawnienia.
Dodawanie nowego użytkownika w ABM
- Zaloguj się do usługi Apple Business Manager przy użyciu użytkownika, który ma rolę administratora. (Użytkownik, który domyślnie rejestruje się w ABM po raz pierwszy, staje się głównym administratorem ABM).
- Kliknij Użytkownicy na lewym pasku bocznym, kliknij przycisk Dodaj, wprowadź wymagane dane i kliknij Zapisz.
Tworzenie danych logowania dla nowego użytkownika
Zaloguj się do usługi Apple Business Manager i kliknij opcję Użytkownicy, a następnie wyszukaj nowo utworzonego użytkownika.
- Wybierz użytkownika z listy i kliknij przycisk Utwórz logowanie, aby utworzyć nowe informacje logowania dla nowego użytkownika.
- Wybierz sposób wysyłania informacji do użytkownika. Informacje można pobrać w formacie PDF lub CSV albo wysłać je do użytkownika pocztą e-mail.
Integrowanie rozwiązania ABM z usługą Intune
Do zarządzania urządzeniami z systemami iOS/iPadOS i macOS w Microsoft Intune potrzebny jest certyfikat wypychania MDM (ang. MDM push certificate) firmy Apple. Ten token umożliwia urządzeniom rejestrowanie za pośrednictwem portalu Intune Company Portal lub ADE/ASM/AC2.
Wykonaj poniższe kroki, aby utworzyć certyfikat wypychania MDM firmy Apple i przekazać go do portalu Intune.
Krok 1. Udzielanie firmie Microsoft uprawnienia do wysyłania informacji o użytkowniku i urządzeniu do firmy Apple
- Zaloguj się do centrum administracyjnego usługi Intune, przejdź do pozycji Rejestracja urządzeń > > rejestracja firmy Apple > certyfikat wypychania MDM firmy Apple
- Wybierz opcję Zgadzam się. aby zezwolić firmie Microsoft na wysyłanie danych do firmy Apple
- Wybierz pozycję Pobierz żądanie CSR, aby pobrać i zapisać plik lokalnie. Plik służy do żądania certyfikatu relacji zaufania z portalu Apple Push Certificates.
Krok 2. Utwórz certyfikat powiadomienia push firmy Apple
- Wybierz opcję Utwórz certyfikat wypychania MDM do portalu certyfikatów wypychanych firmy Apple i zaloguj się przy użyciu identyfikatora organizacji. Pamiętaj, aby używać identyfikatora firmowego jako identyfikatora Apple ID. Unikaj używania osobistego identyfikatora Apple ID.
- Wybierz pozycję Utwórz certyfikat.
- Przeczytaj i zaakceptuj warunki. Następnie wybierz pozycję Akceptuj.
- Wybierz pozycję Wybierz plik i wybierz plik CSR pobrany w Intune.
- Wybierz opcję Prześlij.
- Na stronie potwierdzenia wybierz pozycję Pobierz. Plik certyfikatu (.pem) zostanie pobrany na urządzenie. Zapisz ten plik w takiej postaci, w jakiej przekażemy go w usłudze Intune.
- Wróć do centrum administracyjnego i wprowadź swój identyfikator Apple ID jako przypomnienie, kiedy musisz odnowić certyfikat
- Przejdź do certyfikatu wypychania MDM firmy Apple, aby go przekazać. Wybierz pozycję Prześlij, aby zakończyć konfigurowanie certyfikatu wypychania MDM.
Krok 3. Tworzenie i przekazywanie tokena automatycznej rejestracji urządzeń firmy Apple
Przed zarejestrowaniem urządzeń z systemem iOS/iPadOS potrzebny jest plik dodatkowy tokenu serwera firmy Apple (p7m). Ten token synchronizuje informacje z Intune do urządzeń ADE, których właścicielem jest Twoja firma. Umożliwia on również usłudze Intune przypisywanie profilów rejestracji do firmy Apple i przypisywanie urządzeń do tych profilów.
Wykonaj poniższe czynności, aby utworzyć i przesłać token ADE:
- W portalu Intune wybierz pozycję Urządzenia > iOS/iPadOS > Rejestracja systemu iOS/iPadOS > Tokeny programu rejestracji > Dodaj
- Wybierz pozycję Pobierz certyfikat klucza publicznego usługi Intune wymagany do utworzenia tokenu. Ten krok powoduje pobranie i zapisanie pliku klucza szyfrowania (pem) lokalnie. Plik pem służy do żądania certyfikatu relacji zaufania z portalu usługi Apple Business Manager.
- Kliknij Utwórz token za pośrednictwem Apple Business Manager, aby otworzyć portal Apple Business Manager w celu utworzenia tokena ADE (serwera MDM).
- Zaloguj się za pomocą firmowego identyfikatora Apple ID w usłudze Apple Business Manager.
- Kliknij swoje imię i nazwisko na dole paska bocznego > Preferencje, a następnie kliknij „Dodaj”, aby dodać serwer MDM.
- Przekaż klucz publiczny pobrany z Intune w kroku 2. Możesz wpisać nazwę serwera, aby szybko zidentyfikować dzierżawę MDM.
- Po zapisaniu serwera MDM wybierz go i pobierz token (plik .p7m).
- Teraz wróćmy do portalu usługi Intune — krok 4. Przekaż token i kliknij przycisk Dalej, a następnie zapisz.
Krok 4. Przypisz urządzenia do tokena Apple (serwera)
- W usłudze Apple Business Manager > Urządzenia wybierz urządzenia, które chcesz przypisać do tego tokenu. Możesz również wybrać wiele urządzeń jednocześnie lub zdefiniować, że wszystkie urządzenia są domyślnie przypisane do tego tokenu.
- Edytuj zarządzanie urządzeniami i wybierz właśnie dodany serwer MDM.
Podsumowanie
Po skonfigurowaniu instancji usługi Apple Business Manager (ABM) według powyższych kroków możesz rozpocząć dodawanie urządzeń, którymi chcesz zarządzać. Urządzenia można dodawać samodzielnie lub poprosić sprzedawcę, aby zrobił to za Ciebie.
***
Jeśli jesteś zainteresowany tematem MS Intune, zajrzyj koniecznie do poprzednich artykułów autora 🙂
Wyczerpujący artykuł, jak wszystkie spod ręki Andrzeja – dają dużą dawkę wiedzy o aktualnych rynkowych trendach w zakresie Intune’a.