Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Lesson 11. Managing with Profile Manager by 김
응식 (neoroman)
목표
프로파일 매니저 설정
관리 프로파일 생성
프로파일 전달
프로파일 설치와 삭제
프로파일을 통한 사용자, 사용자 그룹, 장치, 장지 그룹 관리
번외 - 용어정리, Supervised Mode with Apple Con...
용어정리
프로파일 매니저Profile Manager => 10장에서는 Server.app 내의 섹션을
의미, 11장에서는 Profile Manager 웹 포털을 의미
사용자 포털User Portal => 사용자 각자가 프로...
프로파일 매니저 > '계정 관리'에서 할 수 있는 것
모바일 장치와 컴퓨터 Settings 제어
특정 그룹 또는 개인의 리소스 접근 제한
사무실, 교실 또는 연구실 등에서의 장치 보안
UX 커스터마이징
앱과 책 제공
Level of Management
사용자User - 이름 또는 User ID(UID)로 구분
그룹Group - 사용자의 그룹, 그룹의 그룹
장치Device - MAC 주소, Serial Number 로 구분되는 컴퓨터...
그룹 내의 사용자 관리
네트워크 사용자로 개별 관리(추가, 삭제) 가능
사용자의 장치를 일괄 관리하기에 편리
VPP의 대량의 사용자 관리에 유용
장치그룹 계정 관리
장치 그룹은 다수의 OS X 장치나 iOS 장치를 묶어 관리할 수 있는 단위
CSV 파일로 다량의 장치를 불러올 수 있으며 동시에 장치그룹으로 등록할 수 있
음
예제) 교재 부록으로 제공되는 Stud...
앱 관리
앱은 엔터프라이즈(in-house) 앱과 VPP 앱만 허용
엔터프라이즈 앱은 장치 또는 장치그룹에 배포 가능
VPP에 등록된 앱은 Profile Manager의 App 섹션에 자동적으로 표시됨
엔터프라이즈 앱은 ...
프로파일 전달
사용자 포털(https://server.domain.com/mydevices)을 통해 로그인 후
직접 설치
Profile Manager에서 다운로드한 *.mobileconfig 파일(XML)을 이메일을
통해 ...
자동푸쉬 Automatic Push
Automatic Push는 애플 APN에 의존
프로파일 매니저에 가입된 장치가 APN에 체크인(Check-in) 되있다면 장치는
프로파일 매니저가 APN을 통해 신호를 보내기를 “대...
원격 잠금(Lock)과 원격 초기화(Wipe)
관리자Admin는 프로파일 매니저에서 가입Enrollment된 모든 단말의 원격 잠
금과 초기화를 할 수 있음
사용자User는 사용자포털에서 자신이 등록한 장치의 원격 잠금...
어떤 설정들을 관리할 수 있을까?
Table 11-
1. Manageable Preferences Payloads for Users and Groups
Table 11-2. Manageable Preferences Pa...
중첩과 중복 프로파일 생성시 고려사항
서로 상충되는 Payload
AD
Certificate, APN, Directory, General, Gl
obal HTTP
Proxy, Identification, Restrictio...
Troubleshooting
로그보기: Server.app 또는 /Library/Logs/ProfileManager/
프로파일에 문제가 있는 경우 장치에서 확인
프로파일 설치가 안되는 경우 SSL 인증서 확인
장치 가입(...
한계와 극복
Payload Profile의 백업(Download)은 가능하나 export/import 기능이
없음 => 기능 추가/제거는 수작업
상용 MDM 서버는 Profile export/import를 가능하게끔 했을까?
프로파일 관리 실습
Exercise 11.1 Use Profile Manager for Shared Devices
공용장비(Mac) 관리 예제
Exercise 11.2 Use Profile Manager for One-to...
Exercise Scenario of Profile Manager by
neoroman
Generals
1. Add device group name: osxdev training group
VPN Profile
1. Turn on VPN server on Server.app!!!
2. Add VPN profile: Type(L2TP), User(osxdev), Password,
Hostname(server1....
Restrictions
1. Add restriction profile
2. Not allowing - Touch ID, Screen capture, Camera, Safari
3. Waiting till push pro...
Single App Mode
1. Add Single App Mode profile
2. Not Allowing - side key, home key, etc, Allowing touch only
3. Waiting ti...
Web Clips
1. Add Web Clips profile
2. Add label as ‘OSXDevices'
3. Add URL as ‘https://server1.osxdev.info/
4. Add Icon as ...
Supervised Mode with Apple Configurator
(1/11)
Apple Configurator 설치
- https://itunes.apple.com/hk/app/apple-
configurator/id...
Supervised Mode with Apple Configurator
(2/11)
3G나 LTE 활성화가 안되거나 USIM이 없는 iOS 장비의 경우 네트워크 연결이
안되면 Profile설치에서 실패하여 처음부터 다시 P...
Supervised Mode with Apple Configurator
(3/11)
Prepare 절차는 iOS 최신 버전을 다운로드(아마 Supervise mode가 포함된
버전일 수 도...?!?)하여 설치함
Supervised Mode with Apple Configurator
(4/11)
iOS 다운로드 이후 자동적으로 설치가 진행됨
Supervised Mode with Apple Configurator
(5/11)
네트워크가 활성화되지 않은 iOS 장치에서 Profile이 켜져있는 경우 다음과 같
이 Prepare절차가 실패함
Supervised Mode with Apple Configurator
(6/11)
Supervised Mode 완료...끝
Supervised Mode withSupervised Mode with
Apple Configurator (7/10)Apple Configurator (7/10)
Supervised Mode with Apple Configurator
(8/11)
Prepare > Setup 에서 설치과정에서 Skip을 설정할 수 있음
Supervised Mode with Apple Configurator
(9/11)
네트워크 설정 이후 Profile 설치 과정
Supervised Mode with Apple Configurator
(10/11)
알 수 없는 이유로 원격 관리(MDM) Profile설치가 실패함
Supervised Mode with Apple Configurator
(11/11)
원격 관리 프로파일은 사용자 포털을 통해서 설치함. Supervised Mode가 켜
진 것을 확인
Exercise Scenario of Profile Manager by
neoroman (Supervised Mode)
Single App Mode
1. Add Single App Mode profile
2. Allowin...
Thanks
Upcoming SlideShare
Loading in …5
×

[Osx dev] server essential lesson 11. managing with profile manager

305 views

Published on

Apple Pro Training Series: OS X Server Essential 10.10

Published in: Technology
  • Be the first to comment

  • Be the first to like this

[Osx dev] server essential lesson 11. managing with profile manager

  1. 1. Lesson 11. Managing with Profile Manager by 김 응식 (neoroman)
  2. 2. 목표 프로파일 매니저 설정 관리 프로파일 생성 프로파일 전달 프로파일 설치와 삭제 프로파일을 통한 사용자, 사용자 그룹, 장치, 장지 그룹 관리 번외 - 용어정리, Supervised Mode with Apple Configurator
  3. 3. 용어정리 프로파일 매니저Profile Manager => 10장에서는 Server.app 내의 섹션을 의미, 11장에서는 Profile Manager 웹 포털을 의미 사용자 포털User Portal => 사용자 각자가 프로파일 설치를 위해서 장치에서 접근할 수 있는 웹사이트, 가입(Enrollment) 이후에는 등록된 장치를 확인할 수 있음 Supervised Device => DEP로 가입(Enroll)된 장치 또는 Apple Configurator로 Supervised된 장치 https://support.apple.com/en- us/HT202837
  4. 4. 프로파일 매니저 > '계정 관리'에서 할 수 있는 것 모바일 장치와 컴퓨터 Settings 제어 특정 그룹 또는 개인의 리소스 접근 제한 사무실, 교실 또는 연구실 등에서의 장치 보안 UX 커스터마이징 앱과 책 제공
  5. 5. Level of Management 사용자User - 이름 또는 User ID(UID)로 구분 그룹Group - 사용자의 그룹, 그룹의 그룹 장치Device - MAC 주소, Serial Number 로 구분되는 컴퓨터와 IMEI, MEID로 구분되는 iOS 장치 장치그룹Device Group - 장치의 그룹, 그룹의 그룹 각 콤포너트를 활용한 설정을 혼용하여 프로파일을 만들 수 있으나 충돌이 예상되 는 혼용이나 중첩은 권장하지 않음
  6. 6. 그룹 내의 사용자 관리 네트워크 사용자로 개별 관리(추가, 삭제) 가능 사용자의 장치를 일괄 관리하기에 편리 VPP의 대량의 사용자 관리에 유용
  7. 7. 장치그룹 계정 관리 장치 그룹은 다수의 OS X 장치나 iOS 장치를 묶어 관리할 수 있는 단위 CSV 파일로 다량의 장치를 불러올 수 있으며 동시에 장치그룹으로 등록할 수 있 음 예제) 교재 부록으로 제공되는 StudentMaterial - Lesson 11으로 실 습
  8. 8. 앱 관리 앱은 엔터프라이즈(in-house) 앱과 VPP 앱만 허용 엔터프라이즈 앱은 장치 또는 장치그룹에 배포 가능 VPP에 등록된 앱은 Profile Manager의 App 섹션에 자동적으로 표시됨 엔터프라이즈 앱은 ipa 형태로 업로드 해야함 논란의 시작 => “The VPP apps will be assigned to the devices at the next push, but in-house Enterprise apps get automatically pushed.”
  9. 9. 프로파일 전달 사용자 포털(https://server.domain.com/mydevices)을 통해 로그인 후 직접 설치 Profile Manager에서 다운로드한 *.mobileconfig 파일(XML)을 이메일을 통해 장치에 전달 별도의 웹페이지에 *.mobileconfig를 올려두고 그 링크를 전달 가입Enrollment된 장치 한하여 자동 푸쉬를 통해 프로파일 전달됨
  10. 10. 자동푸쉬 Automatic Push Automatic Push는 애플 APN에 의존 프로파일 매니저에 가입된 장치가 APN에 체크인(Check-in) 되있다면 장치는 프로파일 매니저가 APN을 통해 신호를 보내기를 “대기(Polling?)” 함 APN을 통해서 전달되는 신호에는 특별한 데이터가 없으며 대부분의 데이터는 프로파일 매니저와 장치간에 직접 전달됨 이런 방식으로 데이터를 보안함 프로파일 매니저-APN-장치 연동그림
  11. 11. 원격 잠금(Lock)과 원격 초기화(Wipe) 관리자Admin는 프로파일 매니저에서 가입Enrollment된 모든 단말의 원격 잠 금과 초기화를 할 수 있음 사용자User는 사용자포털에서 자신이 등록한 장치의 원격 잠금과 초기화를 수행 할 수 있음 단, OS X 장치의 경우 원격 잠금을 수행하면 Shutdown과 동시에 EFI(Extensible Firmware Interface) Passcode가 설정되므로 주의하여 야 함 사용자포털 화면
  12. 12. 어떤 설정들을 관리할 수 있을까? Table 11- 1. Manageable Preferences Payloads for Users and Groups Table 11-2. Manageable Preferences Payloads for Devices and Device Groups 사용자/그룹 vs. 장치/장치그룹 관리 항목 비교 참고 - https://www.icloud.com/numbers/AwBUCAESEOPt16u1 CWPYQEYABhQZH4MaKVolqT2Fj1TUMwQn2h64nNexrN LiTt90Bmm_jWB3sYV0upWPeUE_a_ATMCUCAQEEINF 9PsIEb4pGdMAZ_JyWC2EwUqm9c4HtFflGLUJpS_pa#D ifference_Manageable_Preferences_Payloads
  13. 13. 중첩과 중복 프로파일 생성시 고려사항 서로 상충되는 Payload AD Certificate, APN, Directory, General, Gl obal HTTP Proxy, Identification, Restrictions, Sec urity & Privacy, Single App Mode, Single Sign-On, Xsan 중복 설정 가능한 Payload Accessibility, AirPlay, AirPrint, Calendar, Certificate, Conta cts, Content Filter, Custom Settings, Dock, Domains, Ener gy Saver, Finder, Fonts, Exchange, LDAP, Login items, Log inWindow, Mail, Messages, Mobility, Network, Passcode, P arental Controls, Printing, SCEP, Software Update, Subscri bed Calendars, Time Machine , VPN, Web Clips
  14. 14. Troubleshooting 로그보기: Server.app 또는 /Library/Logs/ProfileManager/ 프로파일에 문제가 있는 경우 장치에서 확인 프로파일 설치가 안되는 경우 SSL 인증서 확인 장치 가입(Enrollment)가 안되는 경우 신뢰할 수 있는 인증기관에서 생성한 SSL인지 확인 프로파일 전달(Pushing)이 안되는 경우 다음의 포트가 열려있는 확인 TCP/UDP TCP TCP TCP TCP 프로파일이 원하는 동작을 하지 않는 경우 사용자/그룹 또는 장치/장치그룹에 중 첩 또는 중복된 Payload를 포함하는 설정이 있는지 확인 Port Description 2195, 2196 Used by Profile Manager to send push notifications 5223 Used to maintain a persistent connection to APNs and receive push notifications 80/443 Provides access to the web interface for Profile Manager admin 1640 Enrollment access to the Certificate Authority
  15. 15. 한계와 극복 Payload Profile의 백업(Download)은 가능하나 export/import 기능이 없음 => 기능 추가/제거는 수작업 상용 MDM 서버는 Profile export/import를 가능하게끔 했을까?
  16. 16. 프로파일 관리 실습 Exercise 11.1 Use Profile Manager for Shared Devices 공용장비(Mac) 관리 예제 Exercise 11.2 Use Profile Manager for One-to-One Devices 개인장비(iOS) 가입(Enroll)과 해지 (Unenroll) 예제 Exercise Scenario of Profile Manager by neoroman
  17. 17. Exercise Scenario of Profile Manager by neoroman Generals 1. Add device group name: osxdev training group
  18. 18. VPN Profile 1. Turn on VPN server on Server.app!!! 2. Add VPN profile: Type(L2TP), User(osxdev), Password, Hostname(server1.osxdev.info), Secret(@pplekore@) 3. Add members to device group 4. Waiting till push profile to device automatically 5. Ask peoples who own devices to connect to 192.168.1.120/mydevices of server1.osxdev.info’s IP. 6. Check the profile of device and see what’s changed.
  19. 19. Restrictions 1. Add restriction profile 2. Not allowing - Touch ID, Screen capture, Camera, Safari 3. Waiting till push profile to device automatically 4. Check devices 5. Check the profile of device and see what’s changed. 6. After removing this profile you should enable Touch ID manually ;-(
  20. 20. Single App Mode 1. Add Single App Mode profile 2. Not Allowing - side key, home key, etc, Allowing touch only 3. Waiting till push profile to devices automatically 4. There’s an error: "This profile can only be installed on a Supervised device.” in Profile > Device Server Log on Server.app 5. How to make “Supervised” devices? 6. There is no keyword of “Supervise” in Textbook.
  21. 21. Web Clips 1. Add Web Clips profile 2. Add label as ‘OSXDevices' 3. Add URL as ‘https://server1.osxdev.info/ 4. Add Icon as ‘Icon-60@2x.png' 5. Check ‘Full Screen’ and ‘Precomposed Icon' 6. Click ‘OK' 7. Click ‘Save' 8. Check devices
  22. 22. Supervised Mode with Apple Configurator (1/11) Apple Configurator 설치 - https://itunes.apple.com/hk/app/apple- configurator/id434433123?mt=12 USB로 맥에 iOS 장치 연결 Supervise Mode를 켜려면 연결된 장치의 ‘Find My iPhone’ 이 꺼져있어야 함
  23. 23. Supervised Mode with Apple Configurator (2/11) 3G나 LTE 활성화가 안되거나 USIM이 없는 iOS 장비의 경우 네트워크 연결이 안되면 Profile설치에서 실패하여 처음부터 다시 Prepare절차를 수행해야 하므 로 Profile은 끄도록 함
  24. 24. Supervised Mode with Apple Configurator (3/11) Prepare 절차는 iOS 최신 버전을 다운로드(아마 Supervise mode가 포함된 버전일 수 도...?!?)하여 설치함
  25. 25. Supervised Mode with Apple Configurator (4/11) iOS 다운로드 이후 자동적으로 설치가 진행됨
  26. 26. Supervised Mode with Apple Configurator (5/11) 네트워크가 활성화되지 않은 iOS 장치에서 Profile이 켜져있는 경우 다음과 같 이 Prepare절차가 실패함
  27. 27. Supervised Mode with Apple Configurator (6/11) Supervised Mode 완료...끝
  28. 28. Supervised Mode withSupervised Mode with Apple Configurator (7/10)Apple Configurator (7/10)
  29. 29. Supervised Mode with Apple Configurator (8/11) Prepare > Setup 에서 설치과정에서 Skip을 설정할 수 있음
  30. 30. Supervised Mode with Apple Configurator (9/11) 네트워크 설정 이후 Profile 설치 과정
  31. 31. Supervised Mode with Apple Configurator (10/11) 알 수 없는 이유로 원격 관리(MDM) Profile설치가 실패함
  32. 32. Supervised Mode with Apple Configurator (11/11) 원격 관리 프로파일은 사용자 포털을 통해서 설치함. Supervised Mode가 켜 진 것을 확인
  33. 33. Exercise Scenario of Profile Manager by neoroman (Supervised Mode) Single App Mode 1. Add Single App Mode profile 2. Allowing ‘Touch' and 'Sleep/Wake Button' only 3. Waiting till push profile to devices automatically 4. Done and Check your device
  34. 34. Thanks

×