Я наконец-то добрался до экспериментов с управлением устройствами Apple через связку Microsoft Intune и SCCM 2012 R2. Здесь пока не будет про настройку System Center Configuration Manager 2012 R2 и Microsoft Intune, про настройку DNS, сертификаты от Apple и т.д.
Вся регистрация устройства идет в ручную. Пользователь или администратор устанавливает приложение Company Portal от Microsoft из AppStore, либо путем перехода на страницу m.manage.microsoft.com, где уже вводит свою учетную запись.
Здесь, кстати, вариантов два, либо у вас учетные записи создаются в Microsoft Intune ручками, либо вы используете DirSync или сейчас он называется AAD Sync (Azure Active Directory Synchronization Services).
Для чего? Для активации лицензий в Microsoft Intune на пользователя. (все еще старое название Windows Intune)
На этом регистрация устройства не заканчивается. В приложении появляется ваше устройство с восклицательным знаком. tap.
И в окне «Сведения об устройстве» выбираем «Добавить устройство». Теперь за вашей учетной записью закрепленно устройство, таких мобильных устройств может быть несколько. Концепция такая же, как и Primary Device в SCCM 2012.
Но и на этом подготовка устройства не закончилась. Далее, необходимо зайти в «Настройки» на вашем iOS устройстве (iPhone, iPad) и установить профиль управления.
Вот, теперь всё. Устройство добавлено, скоро оно появится в консоли вашего on-prem SCCM 2012 R2. Абсолютно идентичная схема регистрации устройства, если вы используете Standalone Microsoft Intune, то есть без всяких интеграций с SCCM, только в облаке.
Стоит помнить, что если вы интегрируете System Center Configuration Manager и Microsoft Intune, то все устройства у вас будут отображаться в консоли SCCM, а не на портале Microsoft Intune https://manage.microsoft.com/ и обратной дороги нет. Просто помните об этом.
В разделе Administration — Mobile Device Management видно, что Set to Configuration Manager.
А вот наше устройство в консоли на нашем SCCM 2012 R2.
Перейдем к политикам. Будет отдельный пост по политикам и конфигурации, пока только картинки. )
Итак, если зайти на iPad в Настройки — Основные — Профиль, то будет видно, какие политики применены на устройство.
В ограничениях видно, что «ползунки» заблокировались и пользователь их изменить не сможет.
Что же происходит со стороны пользователя? Политикой для iPad, я запретил использование AppStore и отключил встроенный браузер Safari. Политики применились через пару минут, изменения для пользователя произошли, когда он «свайпнул» на соседний рабочий стол и вернулся обратно.
И вот, иконок приложений больше нет. Любый вызовы браузера из других приложений игнорируются, то есть его для пользователя больше нет, как и возможность установить приложения из Apple Store.
Я думал, что обману систему, сделав такой рабочий процесс: запрещаем браузер, установку приложений и AppStore, и публикуем только нужные приложения через SCCM 2012 на устройство пользователя, через ссылки на AppStore, но такая конфигурация работать не будет. Пообщавшись с Microsoft, по этому поводу, выяснилось, что пока так. Автоматическая установка приложений, как для iOS (iPhone, iPad), так и для Android есть, но эти приложения должны быть в родных форматах. Так для iOS это *.ipa файлы + *.xml (manifest file), при этом приложение должно быть подписано сертификатом разработчика, другого пока не дано, а вытащить *.ipa на не jailbreak’нутое устройство не выйдет. Да это и не наш путь.
В следующем посте посмотрим, какие действия необходимо выполнить со стороны SCCM 2012 R2 и как назначить политики, через конфигурационные единицы (Configuration Items) в SCCM и какие возможности есть для управления iOS (iPhone, iPad).
Если кто-то знает интересный документ по MDM у Apple для iOS, то добро пожаловать в комментарии, т.к. по MDM Windows Phone 8.1 я нашел — Windows Phone 8.1 MDM protocol documentation.
«Стоит помнить, что если вы интегрируете System Center Configuration Manager и Microsoft Intune, то все устройства у вас будут отображаться в консоли SCCM, а не на портале Microsoft Intune https://manage.microsoft.com/ и обратной дороги нет. Просто помните об этом.»
Антон, спасибо за статью!
Возник вопрос: изходя из вашего опыта, в каких случаях лучше использовать для мобильных устройств только Intune или SCCM 2012 с интеграцией Intune? Есть ли ограничения в обоих ситуациях?
привет, Евгений.
Ограничения по выходу функционала. В Windows Intune все фишки появляются первыми, только потом в виду extensions для on-prem sccm. Ну обычно это происходит достаточно быстро.
При интеграции надо будет выполнить часть предустановок. Вот тут есть два документа:
Для Intune — http://technet.microsoft.com/en-us/library/dn600287.aspx
Для интеграции c SCCM — http://technet.microsoft.com/en-us/library/jj884158.aspx
При интеграции надо будет получить сертификат у той же Apple. (бесплатно) ну и т.д.
В любом случае, можно попробовать взять триал на 30 дней — http://www.microsoft.com/ru-ru/server-cloud/products/microsoft-intune/try.aspx
В веб-консоли все понятно.
>>Если кто-то знает интересный документ по MDM у Apple для iOS, то добро пожаловать в комментарии<<
iOS_Deployment_Technical_Reference
Он довольно простенький и не такой интересный как:
https://developer.apple.com/devcenter/download.action?path=/Documents/mobile_device_management_protocol/mobiledevicemanagement_121211.pdf
Но с последним, я думаю, ты люто обломаешься, так как нужен "особый " apple account (честно не знаю какой, но девелоперского не достаточно)
спасибо, Максим, как выяснилось требуется «enterprise ios developer», а таких найти в России шансов не много.
зыж у «enterprise ios developer» тоже нет доступа к этому документу.