مقدمة عن ملفات تعريف برنامج إدارة الأجهزة المحمولة
يتمتع iOS و iPadOS و macOS و tvOS و watchOS 10 أو أحدث و visionOS 1.1 أو أحدث بإطار عمل مضمن يدعم برنامج إدارة الأجهزة المحمولة (MDM). يتيح لك MDM تكوين الأجهزة بشكل آمن ولاسلكي عن طريق إرسال ملفات التعريف والأوامر إلى الجهاز، سواء كانت مملوكة للمستخدم أو للمؤسسة. تشمل إمكانات MDM تحديث البرامج وإعدادات الأجهزة ومراقبة الامتثال للسياسات المؤسسية ومسح الأجهزة أو قفلها عن بُعد. يمكن للمستخدمين تسجيل أجهزتهم الخاصة في MDM، بينما يمكن تسجيل الأجهزة المملوكة للمؤسسة في MDM تلقائيًا باستخدام Apple School Manager أو Apple Business Manager. إذا كنت تستخدم تطبيق Apple Business Essentials، يمكنك كذلك استخدام إدارة الجهاز المتضمنة فيه.
توجد بضعة مفاهيم ينبغي فهمها إذا كنت تنوي استخدام MDM؛ لذا يمكنك الاطلاع على الأقسام التالية لفهم آلية استخدام MDM لملفات تعريف التسجيل والتكوين والإشراف والحمولات.
كيفية تسجيل الأجهزة
يتضمن التسجيل في MDM تسجيل معرِّفات شهادة العميل باستخدام بروتوكولات، مثل بيئة إدارة الشهادة التلقائية (ACME) أو بروتوكول تسجيل الشهادة البسيط (SCEP). تستخدم الأجهزة هذه البروتوكولات لإنشاء شهادات تعريف فريدة لمصادقة خدمات مؤسسة ما.
ما لم يكن التسجيل تلقائيًا، يقرر المستخدمون ما إذا كانوا يريدون التسجيل في MDM، ويمكنهم إلغاء ارتباط أجهزتهم مع MDM في أي وقت. لذا، عليك أن تفكر في حوافز تشجع المستخدمين على البقاء في نطاق الإدارة. على سبيل المثال، يمكنك أن تطالب بالتسجيل في MDM للوصول إلى شبكة Wi-Fi باستخدام حل MDM لتوفير بيانات اعتماد الشبكة اللاسلكية تلقائيًا. عندما يغادر المستخدم حل MDM، يحاول جهازه إعلام حل MDM بأنه لا يمكن أن يظل مُدارًا.
بالنسبة إلى الأجهزة المملوكة لمؤسستك، يمكنك استخدام Apple School Manager أو Apple Business Manager أو Apple Business Essentials لتسجيلها تلقائيًا في MDM والإشراف عليها لاسلكيًا أثناء الإعداد الأولي؛ وتعرف عملية التسجيل هذه باسم تسجيل الجهاز التلقائي.
MDM وحماية الجهاز المسروق
عند تشغيل حماية الجهاز المسروق، يتم تأخير الإجراءات الآتية بمقدار ساعة إذا كان المستخدم في موقع غير معروف:
تسجيل جهازه يدويًا في MDM
تثبيت رمز مرور ملف تعريف أو تكوين يدويًا
تكوين حساب Microsoft Exchange في الإعدادات أو باستخدام ملف تعريف أو تكوين
ملفات تعريف التسجيل
يُعد ملف تعريف التسجيل إحدى طريقتين رئيسيتين تُمكّن المستخدمين من تسجيل جهاز شخصي في حل MDM (الطريقة الأخرى هي استخدام تسجيل المستخدم). من خلال ملف التعريف الذي يتضمن حمولة MDM هذا، يرسل حل MDM أوامر وملفات تعريف تكوين إضافية إلى الجهاز إذا لزم الأمر. يمكن كذلك أن يستعلم عن معلومات من الجهاز، مثل حالة قفل التنشيط ومستوى البطارية والاسم.
عندما يزيل مستخدم ملف تعريف تسجيل، تتم إزالة كل ملفات تعريف التكوين وإعداداتها والتطبيقات المُدارة المستندة إلى ملف تعريف التسجيل هذا معها. ولا يمكن وجود سوى ملف تعريف تسجيل واحد فقط على الجهاز في كل مرة.
بعد الموافقة على ملف تعريف التسجيل، سواء بواسطة الجهاز أو المستخدم، يتم تسليم ملفات تعريف التكوين التي تحتوي على الحمولات إلى الجهاز. يمكنك بعد ذلك توزيع التطبيقات والكتب المُشتراة من خلال Apple School Manager أو Apple Business Manager أو Apple Business Essentials وإدارتها وتكوينها لاسلكيًا. ويمكن للمستخدمين تثبيت التطبيقات، أو يمكن تثبيت التطبيقات تلقائيًا، حسب نوع التطبيق وكيفية تعيينه وما إذا كان الجهاز خاضعًا للإشراف أم لا. لمزيد من المعلومات، انظر حول الإشراف على جهاز Apple.
ملفات تعريف التكوين
يُعد ملف تعريف التكوين ملف XML (ينتهي بـ .mobileconfig) يتكون من حمولات تقوم بتحميل الإعدادات ومعلومات المصادقة على أجهزة Apple. تقوم ملفات تعريف التكوين بالتنفيذ التلقائي لتكوين الإعدادات، الحسابات، القيود، وبيانات الاعتماد. يمكن إنشاء تلك الملفات بواسطة حل MDM أو أداة إعداد Apple لـ Mac، أو يمكن إنشاؤها يدويًا. لمزيد من المعلومات حول استخدام أداة إعداد Apple لـ Mac لإنشاء ملفات تعريف تكوين وتثبيتها على أجهزة iPhone و iPad و Apple TV، انظر إنشاء ملفات تعريف التكوين وتعديلها في دليل مستخدم أداة إعداد Apple لـ Mac.
يمكن تشفير ملفات تعريف التكوين وتوقيعها، وبذلك يمكنك حصر استخدامها على جهاز Apple محدد ومنع أي شخص من تغيير الإعدادات، باستثناء أسماء المستخدمين وكلمات السر. يمكنك أيضًا تمييز ملف تعريف تكوين على أنه مقيد بالجهاز.
يمكنك توزيع ملفات تعريف التكوين في صورة مرفق بريد من خلال رابط على صفحة الويب الخاصة بك أو من خلال بوابة المستخدم المضمنة في حل MDM، إذا كان حل MDM الخاص بك يدعم ذلك. وعندما يقوم المستخدمون بفتح مرفق البريد أو تنزيل ملف تعريف التكوين باستخدام متصفح ويب، تتم مطالبتهم ببدء تثبيت ملف تعريف التكوين.
يمكنك تقديم ملف تعريف تكوين يمكنه تغيير الإعدادات لجهاز بأكمله أو لمستخدم واحد:
ملفات تعريف الجهاز يمكن إرسالها إلى الأجهزة ومجموعات الأجهزة، وتطبّق إعدادات الجهاز على الجهاز بأكمله.
لا يملك iPhone و iPad و Apple TV و Apple Watch و Apple Vision Pro أي طريقة للتعرف على أكثر من مستخدم واحد، لذا فإن ملفات تعريف التكوين التي يتم إنشاؤها لـ iOS و iPadOS و tvOS و watchOS 10 أو أحدث و visionOS 1.1 أو أحدث دائمًا ما تكون ملفات تعريف الجهاز. وبالرغم من أن ملفات تعريف iPadOS تكون ملفات تعريف أجهزة، إلا أن أجهزة iPad التي يتم تكوينها لاستخدام iPad المشترك يمكن أن تدعم ملفات التعريف المستندة إلى الجهاز أو المستخدم.
ملفات تعريف المستخدمين يمكن إرسالها إلى المستخدمين ومجموعات المستخدمين (إذا كان حل MDM يدعمهم) وتطبَّق إعدادات المستخدم على المستخدمين المعنيين فقط. يمكن أن يكون لأجهزة كمبيوتر Mac عدة مستخدمين، وبذلك يمكن أن تكون الحمولات والإعدادات لملفات تعريف macOS مستندة إما إلى الجهاز إما إلى المستخدم. يُعتبر حساب المستخدم الذي تم إنشاؤه أثناء مساعد الإعداد مُدارًا بواسطة حل MDM ويمكنه تلقي ملفات التعريف. في macOS 11 أو أحدث، يمكن إدارة حساب المسؤول الذي تم إنشاؤه بواسطة MDM أثناء التسجيل بشكل اختياري بدلاً من ذلك. بالنسبة إلى عمليات النشر المرتبطة بـ Active Directory، يصبح مستخدم الشبكة الذي سجَّل الدخول حاليًا قابلاً للإدارة باستخدام MDM.
تختلف إعدادات الجهاز والمستخدم وفقًا لمكان وجودها: الإعدادات المثبتة على مستوى النظام موجودة في قناة الجهاز. الإعدادات المثبتة للمستخدم موجودة في قناة المستخدم.
لمزيد من المعلومات حول تثبيت ملف التعريف ونمط المنع، انظر مقال دعم Apple، حول نمط المنع.
إزالة ملف التعريف
تعتمد كيفية إزالة ملفات التعريف على طريقة تثبيتها. ويشير التسلسل التالي إلى كيفية إزالة ملف التعريف:
1. يمكن إزالة كل ملفات التعريف بمسح كل البيانات من الجهاز.
2. إذا تم تسجيل الجهاز في MDM باستخدام Apple School Manager أو Apple Business Manager أو Apple Business Essentials، يمكن للمسؤول اختيار ما إذا كان يمكن للمستخدم إزالة ملف تعريف التسجيل أو ما إذا كان يمكن إزالته فقط بواسطة خادم MDM نفسه.
3. إذا تم تثبيت ملف التعريف بواسطة حل MDM، يمكن إزالته بواسطة حل MDM المحدد هذا أو بواسطة إلغاء تسجيل المستخدم من MDM عن طريق إزالة ملف تعريف تكوين التسجيل.
4. إذا تم تثبيت ملف التعريف على جهاز خاضع للإشراف باستخدام أداة إعداد Apple، فإن مثيل أداة إعداد Apple القائم بالإشراف هذا يمكنه إزالة ملف التعريف.
5. إذا تم تثبيت ملف التعريف على جهاز خاضع للإشراف يدويًا أو باستخدام أداة إعداد Apple وكان ملف التعريف يحتوي على حمولة كلمة سر للإزالة، يجب على المستخدم إدخال كلمة سر الإزالة لإزالة ملف التعريف.
6. يستطيع المستخدم إزالة كل ملفات التعريف الأخرى.
يمكن إزالة أي حساب مثبَّت بواسطة ملف تعريف تكوين عن طريق إزالة ملف التعريف. يمكن إزالة حساب Microsoft Exchange ActiveSync، بما في ذلك أي حساب مثبَّت باستخدام ملف تعريف تكوين، بواسطة Microsoft Exchange Server بإصدار أمر المسح عن بُعد للحساب فقط.
هام: إذا كان المستخدمون يعرفون رمز المرور للجهاز، يمكنهم إزالة ملفات تعريف التكوين المثبتة يدويًا من الـ iPhone والـ iPad التي لا تخضع للإشراف، حتى إذا تم تعيين الخيار على "مطلقًا". يمكن لمستخدمي Mac القيام بالأمر نفسه فقط إذا كان المستخدم يعرف اسم المستخدم وكلمة السر الخاصين بالمسؤول. يمكنهم القيام بهذا باستخدام أداة سطر أوامر ملفات التعريف أو إعدادات النظام (في macOS 13 أو أحدث)، أو تفضيلات النظام (في macOS 12.0.1 أو أقدم). في macOS 10.15 أو أحدث، كما هو الحال مع iOS و iPadOS، يجب استخدام MDM لإزالة ملفات التعريف المثبتة باستخدام MDM، أو ستتم إزالتها تلقائيًا عند إلغاء التسجيل من MDM.
متطلبات الاتصال مع MDM
من المرجح أن يكون اتصال MDM التابع لجهة خارجية مع أجهزة Apple ناجحًا عندما:
يتم إعداد حل MDM واختباره بنجاح وعمله بشكل صحيح
تكون شهادة APNs صالحة وغير منتهية الصلاحية
يكون الجهاز مشغلاً
يكون الجهاز مسجلاً حاليًا في MDM
تكون الشبكة التي يتصل بها الجهاز لديها إمكانية الوصول إلى الإنترنت (لاتصالات APNs)
يلزم أن تكون الشبكة التي يتصل بها الجهاز قادرة على الوصول إلى مضيفي Apple المرتبطين بحل MDM
لمزيد من المعلومات، راجع مقال دعم Apple استخدام منتجات Apple على شبكات المؤسسة.
ملاحظة: لا تتحكم Apple في حلول MDM التابعة لجهات خارجية. قد تؤدي المشكلات الإضافية، مثل حمولة MDM التي تم تكوينها بشكل خاطئ، إلى فشل اتصال MDM أيضًا.
أجهزة Apple المدعومة
تتمتع أجهزة Apple الآتية بإطار متضمن يدعم MDM:
iPhone مثبت عليه iOS 4 أو أحدث
iPad مثبت عليه iOS 4.3 أو أحدث أو iPadOS 13.1 أو أحدث
أجهزة كمبيوتر Mac مثبت عليها OS X 10.7 أو أحدث
Apple TV مثبت عليه tvOS 9 أو أحدث
Apple Watch مثبت عليها watchOS 10 أو أحدث
Apple Vision Pro مثبت عليه visionOS 1.1 أو أحدث
ملاحظة: ليست كل الخيارات متوفرة في جميع حلول MDM. لمعرفة خيارات MDM المتوفرة لأجهزتك، راجع وثائق بائع حل MDM.