Introdução a perfis de gerenciamento de dispositivos móveis
O iOS, iPadOS, macOS, tvOS, watchOS 10 ou posteriores e o visionOS 1.1 ou posterior têm um framework integrado compatível com o gerenciamento de dispositivos móveis (MDM). O MDM permite a configuração de dispositivos de maneira segura através da rede sem fio por meio do envio de perfis e comandos para o dispositivo, sejam eles de propriedade do usuário ou da organização. As capacidades do MDM incluem atualização do software e ajustes do dispositivo, monitoramento da conformidade com as políticas organizacionais e apagamento ou bloqueio remoto de dispositivos. Os usuários podem registrar seus próprios dispositivos no MDM, e os dispositivos de propriedade da organização podem ser registrados no MDM automaticamente com o Apple School Manager ou Apple Business Manager. Se estiver usando o Apple Business Essentials, você também pode usar o gerenciamento de dispositivos integrado.
Se você pretende usar o MDM, há alguns conceitos que devem ser entendidos, portanto leia as seções a seguir para entender como o MDM usa perfis de registro e de configuração, supervisão e payloads.
Como os dispositivos são registrados
O registro no MDM envolve o registro de identidades de certificados de clientes através de protocolos como Ambiente de Gerenciamento Automatizado de Certificados (ACME) ou Protocolo de Registro de Certificado Simples (SCEP). Os dispositivos usam esses protocolos para criar certificados de identidade únicos para autenticar os serviços de uma organização.
A menos que o registro seja automatizado, os usuários decidem se querem se registrar no MDM e podem dissociar seus dispositivos do MDM a qualquer momento. Portanto, você deve considerar a oferta de incentivos para que os usuários permaneçam registrados. Por exemplo, você pode solicitar o registro no MDM para acessar a rede Wi-Fi ao usar o MDM para fornecer as credenciais da rede sem fio automaticamente. Quando um usuário sai do MDM, seu dispositivo tenta notificar a solução MDM de que ele não pode mais ser gerenciado.
No caso de dispositivos de propriedade da organização, você pode usar o Apple School Manager, Apple Business Manager ou Apple Business Essentials para registrá-los automaticamente no MDM e supervisioná-los via conexão sem fio durante a configuração inicial. Esse processo de registro é conhecido como Registro de Dispositivo Automatizado.
MDM e Proteção de Dispositivo Roubado
Quando a Proteção de Dispositivo Roubado está ativada, se o usuário estiver em um local não familiar, as ações a seguir são atrasadas em uma hora:
Registrar o dispositivo no MDM manualmente
Instalar manualmente uma configuração ou um perfil de código
Configure uma conta do Microsoft Exchange nos ajustes ou com um perfil ou configuração
Perfis de registro
Um perfil de registro é uma das duas formas principais pelas quais os usuários podem registrar um dispositivo pessoal em uma solução MDM (a outra é pelo uso do Registro de Usuário). Com esse perfil, que contém um payload de MDM, a solução MDM envia comandos e, se necessário, perfis de configuração adicionais ao dispositivo. Ele também pode consultar informações do dispositivo, como o estado do Bloqueio de Ativação, o nível da bateria e o nome.
Quando um usuário remove um perfil de registro, todos os perfis de configuração, seus ajustes e os Apps Gerenciados baseados nesse perfil de registro também são removidos. Só pode haver um perfil de registro em um dispositivo de cada vez.
Após a aprovação do perfil de registro, seja pelo dispositivo ou pelo usuário, os perfis de configuração que contêm os payloads são entregues ao dispositivo. Então, você pode usar uma conexão sem fio para distribuir, gerenciar e configurar apps e livros adquiridos no Apple School Manager, Apple Business Manager ou Apple Business Essentials. Os apps podem ser instalados automaticamente ou pelos usuários, dependendo do tipo do app, sua forma de atribuição e se o dispositivo está supervisionado (supervised). Para obter mais informações, consulte Sobre a supervisão de dispositivos Apple.
Perfis de configuração
Um perfil de configuração (configuration profile) é um arquivo XML (com extensão .mobileconfig) que consiste em payloads que carregam ajustes e informações de autorização em dispositivos Apple. Os perfis de configuração automatizam a configuração de ajustes, contas, restrições e credenciais. Tais arquivos podem ser criados por uma solução MDM, pelo Apple Configurator para Mac ou manualmente. Para obter mais informações sobre o uso do Apple Configurator para Mac para criar e instalar perfis de configuração em dispositivos iPhone, iPad e Apple TV, consulte Create and edit configuration profiles (em inglês) no Apple Configurator for Mac User Guide.
Como os perfis de configuração podem ser criptografados e assinados, você pode restringir seu uso a um dispositivo da Apple específico e, exceto por nomes e senhas de usuário, impedir que os ajustes sejam alterados. Você pode marcar um perfil de configuração como bloqueado no dispositivo.
Se a sua solução MDM for compatível, você pode distribuir perfis de configuração como um anexo de e-mail, através de um link em sua própria página web ou através do portal do usuário integrado da solução MDM. Quando os usuários abrem o anexo do e-mail ou baixam o perfil de configuração através do navegador web, eles são solicitados a iniciar a instalação do perfil de configuração.
Você pode fornecer um perfil de configuração que pode alterar os ajustes de um dispositivo inteiro ou de um único usuário:
Perfis de dispositivos podem ser enviados para dispositivos e grupos de dispositivos, e aplicam ajustes ao dispositivo todo.
Como o iPhone, o iPad, a Apple TV, o Apple Watch e o Apple Vision Pro não têm como reconhecer mais de um usuário, os perfis de configuração criados para iOS, iPadOS, tvOS, watchOS 10 ou posteriores e visionOS 1.1 ou posterior são sempre perfis de dispositivo. Embora os perfis do iPadOS sejam perfis de dispositivo, dispositivos iPad configurados como iPad Compartilhado são compatíveis com perfis baseados no dispositivo ou no usuário.
Perfis de usuário podem ser enviados para usuários e (se a solução MDM for compatível) grupos de usuários e aplicam ajustes de usuário apenas para os respectivos usuários. Os computadores Mac podem ter vários usuários e, portanto, os payloads e ajustes de perfis do macOS podem ser baseados no dispositivo ou no usuário. A conta de usuário criada durante o Assistente de Configuração é considerada gerenciada pela solução MDM e pode receber perfis. No macOS 11 ou posterior, uma conta de administrador criada por um MDM durante o registro pode ser gerenciada, se desejado. Em implementações associadas ao Active Directory, o usuário de rede com uma sessão iniciada no momento se torna gerenciável com o MDM.
Os ajustes do dispositivo e do usuário variam de acordo com o local onde residem: os ajustes instalados no nível do sistema residem em um canal do dispositivo. Os ajustes instalados para um usuário residem em um canal do usuário.
Para obter mais informações sobre a instalação de perfis e o Modo de Bloqueio, consulte o artigo de Suporte da Apple Sobre o Modo de Bloqueio.
Remoção de perfil
A maneira de remover perfis depende da forma como eles foram instalados. A sequência a seguir indica como remover um perfil:
1. Todos os perfis podem ser removidos ao apagar os dados do dispositivo.
2. Se o dispositivo foi registrado no MDM usando o Apple School Manager, o Apple Business Manager ou o Apple Business Essentials, o administrador pode escolher se o perfil de registro (enrollment) pode ser removido pelo usuário ou somente pelo próprio servidor MDM.
3. Se o perfil for instalado por uma solução MDM, ele poderá ser removido por essa solução MDM específica ou pelo cancelamento do registro do usuário no MDM, removendo o perfil de configuração do registro.
4. Se o perfil for instalado em um dispositivo supervisionado usando o Apple Configurator, a instância de supervisão do Apple Configurator poderá remover o perfil.
5. Se o perfil for instalado manualmente ou usando o Apple Configurator em um dispositivo supervisionado e o perfil tiver um payload de senha de remoção, o usuário deverá inserir a senha de remoção para remover o perfil.
6. Todos os outros perfis podem ser removidos pelo usuário.
Uma conta instalada por um perfil de configuração pode ser removida ao remover o perfil. Uma conta Microsoft Exchange ActiveSync, inclusive se instalada usando um perfil de configuração, pode ser removida pelo Microsoft Exchange Server atribuindo um comando de apagamento remoto para essa conta apenas.
Importante: se os usuários souberem o código, eles poderão remover os perfis de configuração instalados manualmente de um iPhone e iPad não supervisionados, mesmo se a opção estiver definida como “nunca”. Os usuários do Mac poderão fazer o mesmo somente se o usuário souber o nome de usuário e a senha do administrador. Para fazer isso, eles podem usar a ferramenta de linha de comando profiles, os Ajustes do Sistema (no macOS 13 ou posterior) ou as Preferências do Sistema (no macOS 12.0.1 ou anterior). No macOS 10.15 ou posterior, assim como no iOS e no iPadOS, os perfis instalados com o MDM devem ser removidos com o MDM, ou serão removidos automaticamente após o cancelamento do registro no MDM.
Requisitos de comunicação do MDM
A comunicação de soluções MDM de terceiros com dispositivos Apple tem mais chances de ser bem‑sucedida quando:
A solução MDM está configurada, testada com sucesso e funcionando corretamente
O certificado do APNs é válido e não está vencido
O dispositivo está ligado
O dispositivo se encontra registrado no MDM
A rede a qual o dispositivo está conectado tem acesso à internet (para comunicação com o APNs)
A rede a qual o dispositivo está conectado é capaz de acessar hosts da Apple relacionados ao MDM
Para obter mais informações, consulte o artigo de Suporte da Apple Usar produtos Apple em redes corporativas.
Nota: a Apple não controla soluções MDM de terceiros. Problemas adicionais, como um payload MDM mal configurado, também podem fazer com que a comunicação do MDM falhe.
Dispositivos da Apple compatíveis
Os dispositivos da Apple a seguir possuem um framework integrado compatível com MDM:
iPhone com iOS 4 ou posterior
iPad com iOS 4.3 ou posterior ou iPadOS 13.1 ou posterior
Computadores Mac com OS X 10.7 ou posterior
Apple TV com tvOS 9 ou posterior
Apple Watch com watchOS 10 ou posterior
Apple Vision Pro com visionOS 1.1 ou posterior
Nota: nem todas as opções estão disponíveis em todas as soluções MDM. Para saber quais opções de MDM são disponíveis para seus dispositivos, consulte a documentação do fornecedor do MDM.