Moderni mobiililaitehallinta tutuksi – esittelyssä hallintamallit iOS-laitteille

Nykyajalle tyypillistä on työnteon paikkariippumattomuus – töitä tehdään missä vain, milloin vain ja millä tahansa laitteella. Liikkuvan työn aikakaudella arkaluoteisen yritysdatan suojaus on aiempaa tärkeämmässä roolissa. Kuinka yrityksen kannattaa suojata ja hallita työntekijöiden mobiililaitteita? Mitä ovat mobiililaitteiden hallintamallit?

Käyn tässä artikkelissa läpi mobiililaitteiden eri hallintamalleja, jotka ovat MDM-hallinnalla (Mobile Device Management) käyttöönotettavissa. Toimiva mobiililaitehallinta on edellytys laitteiden turvalliselle käytölle yritysmaailmassa.

Riippuen käyttöönotettavasta hallintamallista laitteiden käyttöönottoa on mahdollista helpottaa erilaisilla laiterekisteröintiohjelmilla.

Tämä artikkeli keskittyy iOS-laitteisiin. Mikäli haluat lukea ohjeita Android-laitteille, tutustu toiseen artikkeliini.

Mobiililaitehallinta Microsoftin työkaluilla

Käytän MDM-hallinnan esimerkeissä Microsoft Intunea. Microsoft-maailmassa yritysdatan suojaamiseen mobiililaitteilla on muutamia keinoja, joista oma suosikkini on ehdollinen pääsynhallinta eli Conditional Access. Toiminta perustuu siihen, että onko laite luotettu eli laitteen täytyy olla Intune-hallinnassa ja se läpäisee vaatimukset (Intunen Compliance Policyt) ja tämän perusteella tehdään päätös, päästetäänkö käyttäjä järjestelmään sisään tai kysytäänkö käyttäjältä kaksivaiheista tunnistautumista eli MFA:ta (Multi-Factor Authentication)

Esimerkkinä yrityksen sähköpostiin kirjautuminen voidaan estää, jos

a) Laite ei ole hallinnan piirissä
b) Laite on hallinnan piirissä, mutta laitteella ei ole tarpeeksi monimutkaista PIN-koodia määritelty
c) Sähköposti-sovellus ei tue modernia käyttäjätodennusta (eli legacy authentication voidaan estää)

Intunen avulla laitteista saadaan luotettuja esimerkiksi vaatimalla tarpeeksi monimutkaista PIN-koodia, laitteen kryptausta tai tiettyä käyttöjärjestelmän tasoa.

Intuneen saadaan kerättyä laitteista myös inventaariotietoja, kuten sarjanumerot ja ohjelmistoversiot. Lisäksi voidaan jaella tai poistaa sovelluksia keskitetysti.

Lisäksi varkaustapauksissa tai työsuhteen päättyessä laite voidaan tyhjentää.

Tässä artikkelissa en kerro tätä lyhyttä kuvausta enempää Conditional Accessista tai Compliance Policyistä vaan kuvailen lähinnä kuinka laitteet saadaan Intune-hallinnan piiriin.

Erityisenä huomiona, että artikkelissa käsitellään myös joitakin kirjoitushetkellä ”Public Preview” tilassa olevia tuotteita, joka tarkoittaa sitä, että Microsoft on julkaissut tämän suurelle yleisölle testaamista varten. Public Preview -tilassa olevat tuotteet on saatavilla kaikille, mutta näitä ei vielä suositella tuotantokäyttöön. Ennen suurempaa käyttöönottoa kannattaa siis odotella tämä General Available (GA) -tilaan. Jos tuote on vielä kirjoitushetkellä Public Preview tilassa, niin olen erotellut sen otsikossa – Preview! maininnalla.

Hallintamallit iOS-laitteille

Esivaatimuksena Applen hallintamallien käyttöönotto Intunella vaatii Apple MDM push sertifikaatin tai toiselta nimeltään Apple Push Notification Service (APNs) sertifikaatin konfiguroinnin. Tämän käyttöönotto käydään läpi seuraavassa laiterekisteröintiohjelmien artikkelissani.

Apple Device Enrollment (Personally-owned devices)

Tässä hallintamallissa laitteet ovat käyttäjien henkilökohtaisia laitteita eli tämä on periaatteessa BYOD (Bring Your Own Device). Hallintamallissa annetaan laajamittainen koko laitteen käsittävä hallinta, mutta MDM-hallintaa ei voi kumminkaan laitteelle lukita, kuten Supervised-tilassa olevissa laitteissa (esittely tästä myöhemmin). Kumminkin siis esimerkiksi varkaustilanteissa laite voidaan täydellisesti palauttaa tehdasasetuksille Intunen päästä.

Käyttöönottoprofiilin määritys Intuneen

Käyttöönotossa asennetaan App Storesta henkilökohtaisella Apple ID:llä Company Portal (Yritysportaali) -sovellus ja käyttäjä tekee yrityksen tunnuksin MDM-hallinnan käyttöönoton. Mikäli jokin yrityksen asettamista vaatimuksista ei laitteella ennestään täyty, kuten PIN-koodin pituus, niin tämä kehotetaan tässä yhteydessä vaihtamaan.

Käyttöönotto

Esimerkissä otetaan iPhone-laitteelle hallintamalli käyttöön. Käyttöönotto ei periaatteessa ole kovin hankalaa, mutta Company Portal -kirjautumisen jälkeen hallintaprofiilin asennus on sellainen, jossa täytyy osata navigoida Settings / General / Profile / Management Profile alle tämä tekemään (ei osaa siirtyä siis sinne automaattisesti).


Sovelluksien asennus toimii edelleen App Storesta henkilökohtaisella Apple ID:llä. Tämän lisäksi voidaan julkaista App Store -sovelluksia Company Portal:n tarjolle linkkeinä tai halutessa jakaa näitä pakotetusti. Pakotetusta sovellusjakelusta tulee käyttäjälle erillinen ilmoitus eli täysin näkymättömästi näitä ei tässä hallintamallissa voi asentaa.

Jos jokin sovellus on jo pohjalle asennettu, niin ilmoitetaan käyttäjälle, että tämä sovellus otetaan hallintaan.

Maksullisten/lisenssoitujen sovelluksien jakelu ei suoraan onnistu, vaan tämä edellyttää Apple Business Managerin käyttöönottoa, jonka Apps and Books -osiosta nämä haetaan ja jaetaan Intunesta iOS volume purchase program appeina.

Koska kyseessä on henkilökohtainen laite, niin käyttäjä voi halutessaan itse myös poistaa asennetun hallintaprofiilin laitteelta. Tällöin kaikki MDM-hallinnalla tuodut asetukset ja riippuen Intunen määrityksistä niin myös hallitut sovellukset poistuvat laitteelta.

Apple User Enrollment (Personally-owned) – Preview!

Applen uusin hallintamalli, joka on kehitetty eritoten BYOD (Bring Your Own Device) -skenaariota varten. Hallintamalli toimii samalla idealla kuin Android-artikkelissa esitelty Android Enterprise – Work Profile eli hallintamallissa annetaan MDM:lle lupa toimia laitteen ”suljetussa tilassa”. Tällöin käyttäjä voi asentaa henkilökohtaiseen puhelimeensa MDM-hallinnan ja saada sen hyödyt uhraamatta kumminkaan millään tavalla omaa yksityisyyttään.

Laite ei ole tässä mallissa täydellisesti yrityksen hallinnassa ja on hyvinkin voimakkaasti rajattua, mitä kaikkea MDM-hallinnalla voi tehdä ja mitä inventaariota näistä laitteista voidaan kerätä. Mitään, mikä rajaa tiukasti käyttäjän toimia, ei ole tässä mallissa sallittua tehdä. Esimerkiksi täydellinen ”device wipe” ei ole mahdollista. Tarkemmat tiedot rajoitteista Intunen osalta: https://docs.microsoft.com/en-gb/mem/intune/enrollment/ios-user-enrollment-supported-actions

Kun hallintamallia käyttöönotetaan, niin laitteelle luodaan erillinen virtuaalinen APFS-osio, joka on ikään kuin oma ”kuplansa” laitteessa. APFS-osiossa on oma salauksensa ja tämä toimii täysin erillään muista osioista, jossa itse käyttöjärjestelmä ja henkilökohtaiset tiedot ovat.

Hallintamallin käyttöönotto vaatii käyttöön myös hallitut Apple ID:t eli Managed Apple ID:t.

Tämä hallintamalli ei vaadi eikä edes tue laiterekisteröintiohjelmia. Mutta koska Managed Apple ID:itä hallinnoidaan vain Apple Business Managerissa (tai koulumaailmassa Apple School Managerissa), niin tämän vaatimuksen vuoksi Apple Business Managerin käyttöönotto tuleekin pakolliseksi.

Käyttöönottoprofiilin määritys Intuneen

Profiilia luodessa tulee valita tyyppi, jolla enrollment tehdään. Täältä voi pakottaa jonkin tietyn hallintamallin tai antaa käyttäjälle mahdollisuuden valita. Vaikka käsittelen tässä osiossa vain Apple User Enrollmenttia niin kerrottakoon, että tämän saman profiilin kautta pystyy periaatteessa asentamaan laitteen kahdella erilaisella hallintamallilla.

  • User enrollment = Pakotetaan käyttöön varsinainen Apple User Enrollment eli tämä juuri esiteltävä uusi hallintamalli
  • Device enrollment = Pakotetaan käyttöön Apple Device Enrollment, jonka esittelin aiemmin. Laite tulee tällöin ”Personal” omistajuudella Intuneen.
  • Determine based on user choise = Käyttäjä voi valita, onko laite yrityksen omistama vai henkilökohtainen ja tämän perusteella laitteesta tulee joko Apple User Enrollment tai Apple Device Enrollment hallintamallilla varustettu.

 

Jos profiiliin on valittu ”Determine based on user choise” niin käyttäjälle tulee käyttöönotossa tämmöinen valintaikkuna:

  • Company owns this device = Laite käyttöönotetaan Apple Device Enrollment -tyyppisenä ja laite näkyy hallinnassa yrityksen omistuksessa eli ”Corporate” antaen hieman lisää hallintamahdollisuuksia (laite ei kumminkaan ole supervised, sillä vain laiterekisteröintiohjelman kautta laitteen saa tähän tilaan).
  • I own this device = Käyttäjälle tulee vielä yksi extra-kysymys:
  • Secure entire device = Laitteesta tulee Apple Device Enrollment -tyyppinen, mutta omistajuus Intunessa on ”Personal”.
  • Secure work-related apps and data only = Laitteesta tulee Apple User Enrollment -tyyppinen.

 

Saattaa kuulostaa kohtalaisen sekavalta, mutta huomattakoon että ominaisuus on vielä Preview-tilassa eli ei voida olla täysin varmoja, mihin suuntaan tämä tästä vielä kehittyy. Näen tässä kumminkin hyvää potentiaalia, että pystyy tekemään monimutkaisemmissa ympäristöissä erilaisia valintoja skenaarioiden osalta, jos laitteet ei välttämättä tule vain yhtä kanavaa pitkin eli on vaikkapa sekaisin henkilökohtaisia laitteita ja yrityksen laitteita.

Käyttöönotto

Esivaatimuksena laitteilta on vähintään iOS 13 tai macOS 10.15 Catalina (alla iOS 13 esimerkit). Käyttöönotto lähtee käyntiin, kuten Apple Device Enrollmentissa eli asentamalla Company Portal (yritysportaalin) App Storesta. Tässä esimerkissä on Intunen profiiliin valittu, että pakotetaan Apple User Enrollment eli ei tule erillistä ikkunaa, jossa käyttäjä voi tehdä valintoja.

Tässä hallintamallissa normaalit iOS store -sovellukset eivät ole yhteensopivia asentaa pakotettuina jakeluina eli sovellukset tulee hakea Apple Business Managerin ”Apps and Books” osiosta ja synkronoida Intuneen, jolloin ne voidaan jaella iOS volume purchase program appeina. Kun hallinta poistuu laitteelta niin myös jaetut sovellukset poistuvat.

Company Portal sovellukseen voi kumminkin viedä normaalisti tarjolle iOS store appeja linkkeinä App Storeen, jotka lopulta ladataan käyttäjän henkilökohtaisen Apple ID:n kautta. Tällöin sovellukset eivät poistu, mikäli hallinta laitteelta poistetaan.

Käyttöliittymään integroituu sekä käyttäjän henkilökohtainen Apple ID sekä Managed Apple ID. Tämä näkyy käyttäjälle sovelluksissa, joissa Managed Apple ID on tuettu eivätkä nämä ole mitenkään ristiriidassa keskenään. Tallentaessa esimerkiksi muistioita tulee vain valita, kummalle tunnukselle haluat nämä tallentaa.

Apple Automated Device Enrollment – ADE (Corporate-owned)

Esivaatimuksena on Applen laiterekisteröintiohjelmaan liittyminen ja Apple Business Manager -portaali, joita esittelen omassa artikkelissaan. Hallintamallin kautta on mahdollista ottaa käyttöön uusimmat iPhone/iPad/iPod Touch, Mac-tietokoneita ja Apple TV -laitteita, mutta käsittelen esimerkkinä iOS-laitteita.

Tässä hallintamallissa laitteet ovat yrityksen omistamia ja nämä tulevat suoraan käyttöönotettaessa yrityksen MDM-hallintaan, joten suoraviivaistetaan käyttöönottoa huomattavasti. Hallintamallia ei voida ottaa käyttöön ilman laitteen palauttamista tehdasasetuksille eli parhaiten malli soveltuu vain uusille laitteille.

Käyttöönotossa laite menee niin sanottuun Supervised-tilaan. Supervised-tila on kehitetty jo Apple iOS 5:ssä, joka on erityinen moodi, jossa annetaan admineille ”lisää valtaa” hallinnoida tällaista laitetta. Ilman ADE-ohjelmaa käyttöönotetut iOS-laitteet eivät ole Supervised-tilassa, eikä tätä ole mahdollista saada näihin edes kytkettyä päälle.

Supervised-tilan muutama hyödyllinen ominaisuus on, että yrityksen sovellukset saadaan asentumaan täysin ilman ylimääräisiä ilmoituksia. Lisäksi laite voidaan ”lukita” yrityksen omistukseen eli MDM-hallinnasta ei pääse irti ilman laitteen vapauttamista Apple Business Manager portaalista.

Täydellisen listan Supervised-tilan rajoituksista löytää täältä: https://support.apple.com/guide/mdm/supervised-restrictions-for-iphone-and-ipad-mdm54960f92a/web

Käyttöönottoprofiilin määritys Intuneen

Esivaatimuksena tätä ennen toki tulee olla tehtynä Intunen ja Apple Business Managerin välille integraatio ennen kuin varsinaista laitetta koskevaa profiilia pystyy konfiguroimaan. Käsittelen tämän tekemistä seuraavassa artikkelissani tarkemmin.

Alla esimerkki profiilista, joka on tehty siten, että käyttäjä ei voi poistaa laitteelta MDM-hallintaa ilman, että laite erikseen vapautetaan Apple Business Managerista.

    • Supervised = Yes
    • Locked enrollment = Yes

 

Asetus ”Run Company Portal in Single App Mode until authentication” on suositeltava asetus, mutta käyttö vain mahdollisuuksien mukaan ja testaathan huolellisesti! Tämä auttaa siihen, että Company Portal käynnistyisi laitteella automaattisesti käyttöönoton yhteydessä, eikä ennen Company Portal kirjautumista voi tehdä laitteella yhtään mitään. Tässä on tosin mm. sellaisia haasteita, että jos ympäristössäsi on konfiguroitu kaksivaiheinen tunnistautuminen eli MFA käyttöön niin MFA:n hyväksymisessä voi tulla haasteita, koska Single App Modessa et pysty käynnistämään muita sovelluksia tai vastaamaan puhelimeen (tekstarin notifikaatio tosin saattaa toimia, jos on vain sallittu..).

Lisäksi voidaan valita asetukset, mitä Setup Assistant näyttää käyttäjälle eli kannattaa piilottaa kaikki, jotka eivät ole käyttöönoton kannalta merkityksellisiä:

Käyttöönotto

Jos olet joskus ostanut kaupasta iPhonen, niin käyttöönotto on hyvin samankaltainen – tässä tosin lisukkeena, että laite pakotetaan suoraan MDM-hallinnan piiriin. Kuvakaappauksista oleellisimmat MDM-hallinnan käyttöönoton kantilta ovat

  • ”Remote Management”, jossa Management-profiili asentuu suoraan laitteelle
  • Laite on single app moodissa ja odottaa Company portal -asentumista
  • Company Portal käynnistynyt single app moodissa, johon kirjaudutaan yrityksen tunnuksin

 

Single app mode käynnistyy tästä:

Yhteenveto

Artikkelin myötä varmastikin huomasit, että hallintamallin valinta ei ole aina kovinkaan yksinkertaista. Mikäli et vielä artikkelin luettuasi osaa tehdä valintaa, mikä hallintamalleista olisi juuri sinun yrityksellesi paras tai konfiguroinnit ei vain tahdo onnistua, niin hallintamallien käyttöönotot sopivat erittäin hyvin Elisan työpajamalliin. Lue lisää työpajoistamme ja päätelaite- ja loppukäyttäjäpalveluista.

Lähteet

https://docs.microsoft.com/en-us/mem/intune/enrollment/ios-enroll

https://support.apple.com/en-gb/guide/mdm/welcome/web

https://bloggerz.cloud

 

Kirjoittanut

Kirjoittaja työskentelee Elisalla Senior Technical Consultant -roolissa erilaisissa päätelaitehallinnan projekteissa. Mika omaa yli 10 vuoden kokemuksen päätelaitteiden hallinnasta ja on työskennellyt pitkään mm. Microsoft Endpoint Manager Configuration Manager (MEMCM) ent. SCCM, AD / Group Policy hallinnan, sovelluspaketoinnin ja näiden logiikoiden parissa. Viime vuosina tekeminen on painottunut yhä enemmän modernin päätelaitehallinnan puolelle, kuten ConfigMgr Co-Management, Windows Autopilot ja Intune-hallinnan muodossa.