Apple iOS brukes på iPhone og eldre iPader. På nyere benyttes iPadOS, med støtte for styreflate, mus og fleroppgavekjøring. Her behandles operativsystemene under ett og omtales som iOS. Det er flere måter å innrullere iOS-enheter i Intune på: Enhetsregistrering med Firmaportalen, brukerregistrering med en administrert Apple-ID som krever Apple Business Manager eller Apple School Manager, og automatisert enhetsregistrering eller Automated Device Enrollment (ADE), tidligere kjent som Apple Device Enrollment Program (Apple DEP).
Enhetsregistrering anvendes til vanlig for brukereide enheter (BYOD). Brukerregistrering er minst inngripende og oppretter et administrert bedriftsvolum som holdes atskilt fra brukernes personlige volum. For å få full kontroll over enhetene – såkalt overvåket modus – er det enkleste å benytte automatisert enhetsregistrering via en offisiell Apple-forhandler. Men du kan også manuelt gjøre en enhet overvåket via Apple Configurator 2 på en Mac. Det lar deg, om nødvendig, låse iOS-enhetene helt for en enkelt oppgave eller app (kiosk).
Apple Configurator 2
Apple Configurator 2 er en gratis Mac-app tilgjengelig fra App Store og krever macOS. Configurator gjør det enkelt å distribuere iPad, iPhone og Apple TV-enheter på skolen eller i virksomheten din. Du kan konfigurere én eller flere iPhone- og iPad-enheter som er koblet til en Mac via USB, eller Apple TV sammenkoblet med Bonjour. Velg en enhet – eller mange samtidig – og utfør en handling. Du kan oppdatere programvare, installere apper og konfigurasjonsprofiler, eksportere enhetsinformasjon og dokumenter og mye annet. Du kan også bruke den til å gjenopprette enheter fra en sikkerhetskopi.
MOBILECONFIG-filer du ønsker å distribuere til iOS-enheter. Det gir langt flere og fleksible konfigurasjonsmuligheter. Her skal Apple Configurator benyttes til å omgjøre en iPad fra ikke-overvåket modus (unsupervised) til overvåket (supervised). Underveis skal iPaden registreres i Intune som bedriftseid uten primær bruker. Den blir en delt ressurs låst til å kjøre bare én app. Vær obs på at innstillinger tilbakestilles, alt innhold vil bli slettet.
Vanlige bruksområder sammen med Intune er å opprette
Konfigurere en Apple Configurator-profil
Det første du må gjøre, er å lage en innrulleringsprofil i Intune. Gå inn i Endepunktbehandling. Velg Devices, Enroll devices, Apple enrollment. Klikk på Apple Configurator.
Velg Profiles. Klikk på Create for å opprette en ny profil.
Gi profilen et navn, her AC iOS Profile. Valgfritt kan du føye til en beskrivelse. Klikk på Next.
Nå kan du velge om du vil registrere enhetene med eller uten brukeraffinitet. Om du bestemmer deg for med, må du angi om brukere skal autentisere seg mot Firmaportalen eller Setup Assistant. Vi er ute etter å sette opp en kiosk og har valgt Enroll without user affinity. Klikk på Next.
Se over sammendraget og klikk på Create.
Da er profilen opprettet (uheldig nok uten beskrivelse). Brukeraffinitet er satt til usant.
Importer og tilordne iOS-enheter
Først må du opprette en CSV-fil (komma-separert verdi) for enhetene du vil konfigurere. Vi har bare valgt én, og den ser sånn ut i TextEdit (Tekstredigering). Den består av serienummer og beskrivelse for enheten. Ikke legg til et mellomrom etter kommaet.
Velg Devices og klikk på Add. Du får opp et blad til høyre. Velg innrulleringsprofilen du har opprettet på bladet til høyre (AC iOS Profile), og importer CSV-filen (iOS Devices.csv) for enhetene du vil registrere via Apple Configurator-profilen. Klikk på Add.
Nå skal du se serienummer og beskrivelse for enheten(e).
Eksportere Apple Configurator-profilen
Velg Overview. Klikk på Export Profile. Det vises en nettadresse (Profile URL). Du må kopiere og lagre den til senere når du konfigurerer Apple Configurator-enheten. Formatet ser sånn ut:
Klargjøre enheten for Apple Configurator
For å klargjøre enheter for overvåket modus må du deaktivere Finn iPhone. Velg Innstillinger, trykk på navnet ditt øverst: Kari Normann, Apple ID, iCloud. På eldre versjoner av iOS ser du Finn iPhone eller Finn iPad. På nyere utgaver ser du Hvor er? Du må oppgi passordet for Apple-IDen din.
Koble enheten til Apple Configurator 2
Neste trinn er å koble enheten til en Mac og starte Apple Configurator. Du ser den tilkoblede iOS-enheten din. Klikk på Prepare. Det vil lede deg gjennom konfigurasjonen med en veiviser.
Vi må konfigurere MDM-registreringen. Velg Manual Configuration siden vi skal legge til koblingen til konfigurasjonsprofilen. Huk av for Supervise devices og Allow devices to pair with other computers. Klikk på Next. Så skal vi velge New Server. Standardvalget er Do not enroll in MDM, som står for Mobile Device Management eller mobil enhetsbehandling, som i vårt tilfelle er Intune.
Velg New Server. Klikk på Next. Legg til et beskrivende navn. Kopier inn nettadressen (URLen) du kopierte tidligere. Klikk på Next.
Velg øverste alternativ. Klikk på Next. Du skal ikke logge på Apple School Manager eller Apple Business Manager. Klikk på Skip.
Legg inn informasjon om organisasjonen din. Klikk på Next. Velg Generate a new supervision identity. Klikk på Next.
Du bruker ikke Setup Assistant og skal ikke velge noe.Klikk på Prepare. Siden iOS-enheten ikke er ny, får du en advarsel om at den allerede er klargjort. Velg Erase, som kan ta en stund. I Apple Configurator vil du se at enheten figurerer som Supervised (overvåket).
Microsoft Intune
Etter hvert dukker enheten – Sildeviga iPad – opp i Microsoft 365, først som registrert enhet i Azure AD, så i Intune. Enheten figurerer som bedriftseid (corporate). Til vanlig vil du tildele konfigurasjonsprofiler og samsvarspolicyer på brukernivå. Men her er det ingen primær bruker. Her må du opprette en egen gruppe for denne type enheter og tildele profiler og policyer på enhetsnivå.
I overvåket modus er alternativene for Supervised only ikke grånet ut. Du får langt mer kontroll over bedriftseide enheter, som å holde dem oppdatert og hindre apper i å bli installert. Det kan gjøre det aktuelt å bruke denne fremgangsmåten også for enheter knyttet til primære brukere.
Aktivere kiosk-modus med Intune
Kiosk-modus låser innstillinger i en enhet og spesifiserer en enkelt app som kan kjøres på den. Velg Devices, Configuration profiles. Klikk på Create profile for å opprett en ny profil for å begrense enheter. Plattformen er iOS/iPadOS, profiltypen Device restrictions. Klikk på Create.
Gi konfigurasjonsprofilen et navn og eventuelt en beskrivelse (i engelske grensesnitt bruker jeg samme språk). Klikk på Next.
Her kan du velge mellom en Store App, administrert app og innebygd app. Vi har valgt Edge Chromium (som vi senere har endret til Safari).
Det er mye annet du kan konfigurere for kiosk-modus. Listen er lengre enn vist her. Klikk på Next.
Tildel konfigurasjonsprofilen til en gruppe som inneholder enheten(e). Klikk på Next og på Create. Du må ha litt tålmodighet. Etter hvert vil iOS-enheten være i kiosk-modus og bare kjøre nettleseren.
