Insight24.02.2022

Apple Device Enrollment Program

Cos'è il Device Enrollment Program (DEP) di Apple e quali sono i suoi vantaggi?

Con il Device Enrollment Program di Apple, in breve DEP, è possibile automatizzare l'iscrizione dei dispositivi in un sistema MDM e semplificare la configurazione iniziale dei dispositivi Apple. Ad esempio, i dispositivi iOS, macOS e tvOS possono essere preconfigurati in Relution automaticamente e con pochissimo sforzo manuale durante l'avvio iniziale.

I dispositivi DEP registrati presentano i seguenti vantaggi:

Rendere obbligatoria l'iscrizione dei dispositivi tramite un sistema MDM
Funzionamento dei dispositivi Apple in modalità supervisionata ("dispositivi di monitoraggio") per ottenere opzioni di configurazione estese.
Proteggere l'iscrizione del dispositivo e vietare l'eliminazione del profilo MDM sul dispositivo.
Mettere i dispositivi in modalità "iPad condiviso".
Saltare le fasi di configurazione durante l'impostazione iniziale del dispositivo

Con Relution, i dispositivi Apple DEP possono essere preparati comodamente per l'uso in scenari critici per la sicurezza.

Quali sono i requisiti per utilizzare il DEP?

Per usufruire dei vantaggi, è necessario accedere gratuitamente all'Apple Business Manager (clienti aziendali) o all' Apple School Manager (istituti scolastici). I dispositivi Apple possono essere iscritti all'Apple Device Enrollment Program (DEP).

Le opzioni disponibili sono essenzialmente due:

I dispositivi Apple devono essere acquistati come dispositivi DEP. È possibile farlo direttamente tramite Apple o tramite i rivenditori autorizzati Apple.
I dispositivi Apple che non sono stati acquistati come dispositivi DEP possono essere aggiunti al programma DEP anche in un secondo momento, a partire da iOS 11. A tal fine è necessaria la versione corrente di Apple Configurator2 . L'aggiunta successiva di dispositivi è descritta nell'approfondimento Aggiungere dispositivi DEP con Apple Configurator 2 L'aggiunta successiva di dispositivi macOS non è attualmente prevista da Apple.

Si consiglia di procurarsi i dispositivi presso un rivenditore autorizzato Apple per evitare di doverli aggiungere successivamente.

La registrazione dei dispositivi DEP è descritta più avanti in questo approfondimento. Questo consente la registrazione automatica dei dispositivi con i seguenti dispositivi:

Dispositivi iOS con iOS 7 o più recente
Dispositivi iPadOS
Dispositivi macOS con OS X Mavericks 10.9 o più recente
Dispositivi Apple TV (quarta generazione o più recente) con tvOS 10.2 o più recente.

Come si collega Relution a un account DEP?

Innanzitutto, un account DEP viene creato in "Impostazioni" -> "Registrazione automatica dei dispositivi Apple".

insight-apple_device_enrollment_program_relution-01-en.png

Relution genera un certificato del server che deve essere scaricato. Un nuovo server MDM viene quindi creato in Apple Business Manager o Apple School Manager alla voce "Impostazioni per la gestione dei dispositivi".

insight-apple_device_enrollment_program_relution-02-en.png

Per rendere noto il server Relution, il certificato scaricato da Relution viene caricato su Apple Business Manager o Apple School Manager. Quando si assegna un nome al server MDM, è consigliabile utilizzare il dominio e l'organizzazione Relution per garantire una visione d'insieme in presenza di più server MDM.

insight-apple_device_enrollment_program_relution-03-en.png

Dopo questo passaggio, è possibile scaricare un token Apple per il nuovo server MDM.

insight-apple_device_enrollment_program_relution-04-en.png

Per completare l'accoppiamento di Relution con l'Apple Business Manager o l'Apple School Manager per utilizzare il DEP, questo viene memorizzato in Relution alla voce "Upload token".

insight-apple_device_enrollment_program_relution-05-en.png

In questo modo si completa la configurazione iniziale di DEP in Relution e viene visualizzato l'account DEP impostato.

insight-apple_device_enrollment_program_relution-06-en.png

Attualmente, il token di Apple ha una data di scadenza e deve quindi essere aggiornato in tempo utile prima della sua scadenza. Relution mostra gli aggiornamenti in sospeso nel Centro notifiche in tempo utile prima della scadenza.

Affinché i dispositivi DEP siano visualizzati in Relution, i dispositivi devono ancora essere assegnati al server MDM appena creato in Apple Business Manager o Apple School Manager nell'area "Dispositivi". Se in Apple Business Manager o Apple School Manager è stato configurato un solo server MDM, è consigliabile assegnare automaticamente i nuovi dispositivi DEP a questo server MDM. A questo scopo, è possibile configurare l'assegnazione automatica dei dispositivi nelle impostazioni di Apple Business Manager o Apple School Manager.

Come si crea un profilo DEP in Relution e perché è necessario?

Affinché i dispositivi DEP registrati automaticamente in Relution ricevano tutte le informazioni di configurazione necessarie direttamente durante il processo di registrazione, è necessario creare in anticipo un profilo DEP in "Dispositivi" -> "Profili DEP". Questo profilo definisce quali impostazioni vengono preconfigurate sui dispositivi Apple prima che l'effettiva registrazione del dispositivo avvenga automaticamente durante l'avvio iniziale. Le opzioni più importanti sono:

Forza l'iscrizione MDM
Forza l'autenticazione dell'utente al momento dell'iscrizione
Monitoraggio del dispositivo (supervisione) - vedere approfondimento Gestire i dispositivi iOS supervisionati
L'utente è autorizzato a rimuovere l'iscrizione a MDM
Attivare "iPad condiviso" - vedere l'approfondimento Relution con l'iPad condiviso di Apple

Le opzioni "Controlla il dispositivo (supervisione)" e "L'utente può rimuovere l'iscrizione MDM" sono particolarmente importanti. La modalità supervisionata è il presupposto per cui un profilo MDM sul dispositivo non può più essere rimosso manualmente dagli utenti. In questo modo si evita che l'MDM perda il controllo del dispositivo.

insight-apple_device_enrollment_program_relution-07-en.png

Inoltre, nell'area inferiore della maschera d'immissione del profilo DEP, è possibile definire quali fasi di configurazione devono essere saltate durante la messa in funzione iniziale dei dispositivi. L'opzione per saltare i servizi di localizzazione non deve essere selezionata, altrimenti il dispositivo Apple non verrà automaticamente assegnato al fuso orario corretto. In alternativa, il fuso orario può essere impostato anche tramite un criterio.

Un profilo DEP può essere definito come profilo standard per tutti i nuovi dispositivi DEP da registrare. Le modifiche alle impostazioni di un profilo DEP non influiscono sui dispositivi registrati, a meno che non vengano reimpostati e registrati nuovamente tramite DEP.

Dove vengono visualizzati in Relution i dispositivi DEP dell'account DEP collegato?

Una panoramica di tutti i dispositivi DEP sincronizzati con l'account DEP per il server MDM corrispondente è elencata in "Devices" -> "Auto-Enrollment". L'elenco dei dispositivi viene regolarmente confrontato in Relution con Apple Business Manager o Apple School Manager. In alternativa, la sincronizzazione dei dispositivi può essere avviata manualmente. Se un dispositivo non viene visualizzato in Relution, è necessario verificare in Apple Business Manager o Apple School Manager se il dispositivo è stato assegnato al server MDM corrispondente.

insight-apple_device_enrollment_program_relution-08-en.png

A ogni dispositivo deve essere assegnato un profilo DEP, in modo che i dispositivi siano automaticamente preconfigurati alla prima accensione (o dopo un reset) e si connettano al server Relution per registrarsi automaticamente. Inoltre, qui è possibile memorizzare un utente del dispositivo, impostare il nome del dispositivo e assegnare linee guida e regole.

insight-apple_device_enrollment_program_relution-09-en.png

Dopo l'assegnazione del profilo DEP, i dispositivi vengono configurati di conseguenza durante la prima messa in funzione o dopo un reset di fabbrica e vengono automaticamente inseriti in Relution. Finché l'assegnazione del profilo DEP non viene modificata, il reset di un dispositivo Apple comporta una nuova registrazione. Nel corso dell'iscrizione, le configurazioni vengono nuovamente importate utilizzando le linee guida. Quando si esegue il reset, si deve ovviamente notare che tutti i dati, le app o le impostazioni regolate manualmente sul dispositivo vengono eliminati e non possono essere ripristinati automaticamente da un backup esistente.

È possibile spostare i dispositivi DEP da un altro sistema MDM a Relution?

Creando il server Relution in Apple Business Manager o Apple School Manager, assegnandovi i dispositivi DEP e quindi ripristinando le impostazioni di fabbrica, è facile passare da un altro sistema MDM a Relution. Quando si ripristina lo stato di consegna dei dispositivi DEP, tutte le app, i dati e le impostazioni del dispositivo vengono eliminati. Al riavvio, i dispositivi si registrano automaticamente con Relution e ricevono le configurazioni assegnate tramite il profilo DEP assegnato da Relution.

Questo meccanismo può essere utilizzato anche per spostare facilmente i dispositivi da un Relution server a un altro Relution server.

I dispositivi Apple possono essere ripristinati in Relution nell'elenco dell'inventario dei dispositivi utilizzando l'azione "Ripristina le impostazioni di fabbrica del dispositivo":

insight-apple_device_enrollment_program_relution-10-en.png

In alternativa, i dispositivi possono essere resettati tramite l'app Apple Configurator 2 su un Mac via USB.