User Tools

Site Tools


mdm

Mobile Device Management (MDM)

Bakgrund

MDM står för Mobile Device Management och innebär rutiner och teknik som stöder smidig och säker hantering av de mobila enheter som används i arbetet, såsom exempelvis mobiltelefoner och plattor. Se även Mobile Device Management.

Enkelt beskrivet innebär stödet för hantering att mycket konfiguration av mobila enheter kan göras helt automatiskt, exempelvis:

  • Automatisk konfiguration av trådlösa nätverk såsom Eduroam och installation av certifikat och nätverksprofiler som behövs för detta
  • Automatisk konfiguration av appar för t.ex. e-post och kalender
  • Automatisk konfiguration av webbläsare
  • Automatisk installation av vissa utvalda arbetsrelaterade appar
  • Tillhandahållande av valfria rekommenderade appar som kan installeras på ett enkelt sätt
  • Rekommenderade säkerhetsinställningar
  • Låsning av stulna enheter

I sin enklaste form fungerar MDM så att den mobila enheten fungerar precis som annars, med den skillnaden att det som behövs för arbetet redan är förinstallerat och fungerar rakt av när användaren första gången loggar in på den mobila enheten (med sitt arbetskonto), utan behov av tidsödande manuell konfiguration.

Målet med MDM vid Lunds universitet är att exempelvis en fabriksny mobiltelefon eller platta i princip ska kunna packas upp ur sin kartong och ges till användaren, med minimalt behov av konfiguration, och att enheten därefter i sitt vidare liv automatiskt ska kunna få nya inställningar som krävs för fortsatt funktionalitet, t.ex. nya certifikat eller inställningar som behövs för fortsatt åtkomst till LU-tjänster.

Microsoft Intune

Lunds universitet har licens för Microsoft Intune via Office 365. Intune är en bakomliggande teknik för hantering, och som vi använder för MDM. Mer om Intune finns beskrivet här:

Det finns en Intune-instans vid LU som kan hantera alla mobila enheter på LU som ska hanteras.

Stöd för hantering

I dagsläget stödjer Intune vid LU hantering av mobila enheter från följande tillverkare:

  • Apple för hantering av iPhone och iPad via registrering i Apple Device Enrollment Program (DEP)
    • De flesta mobila Apple-enheter med en modern version av iOS (iOS version 7 eller senare) stöds
  • Samsung för hantering av alla Samsung-enheter via registrering i Samsung Knox Mobile Enrollment (KME)
  • Android (flera tillverkare) för hantering av de Android-enheter som stöder registrering i Google Android Enterprise Zero Touch

Gör så här

För att en enhet ska kunna hanteras krävs att den först registreras i hårdvarutillverkarens databas såsom tillhörandes Lunds universitet. Registreringen måste göras av den leverantör som enheten köptes ifrån. Det är nämligen bara den leverantör som ursprungligen sålde enheten som kan registrera den hos tillverkaren på uppdrag av slutkund.

All sådan enhetsregistrering är idag valfri. Det är alltså upp till dig som beställare vid LU att själv välja att registrera dina mobila enheter. Gör du ingenting blir enheten inte registrerad. Du måste aktivt välja att registrera enheten för att den ska kunna hanteras.

Nyregistrering

Det enklaste sättet att få en enhet registrerad är att beställa registreringen i samma beställning i Lupin samtidigt som inköpet av själva enheten, så kallad nyregistrering.

Många av avtalsleverantörerna erbjuder registreringstjänsten som en produkt som kan beställas samtidigt som enheten i Lupin. Du kan hitta denna registreringsprodukt genom att söka på t.ex. “DEP” för Apple DEP-registrering, “Knox” för registrering i Samsung Knox Mobile Enrollment, eller “Zero” för Android Zero Touch.

Se till att beställningen av registrering sker till samma avtalsleverantör som inköpet av enheten, och anpassa antalet registreringar efter antalet enheter som köps.

Efterregistrering

Det finns också möjlighet till så kallad efterregistrering, dvs en separat beställning till en avtalsleverantör efter det att själva inköpet i Lupin är gjort. Det går bra att beställa efterregistrering av flera enheter samtidigt, så länge de är köpta av samma leverantör. Du kan bara beställa registrering av den leverantör som inköpet av enheten gjordes ifrån.

I beställningen av efterregistrering måste du ange serienummer eller IMEI-nummer på de enheter som ska registreras i fältet kommentar till leverantör. I vissa fall kan även kopia på originalfaktura krävas för att styrka ägandet. Originalfakturan hittar du, om det var du som köpte in enheten, som så kallad “orderfaktura” i Lupin.

Id

När du beställer registrering, oavsett om det är nyregistrering eller efterrregistrering, ska du även ange ett id som är unikt för LU:s Intune-lösning. Detta id kallas ibland kundid (customer id) och är också unikt för det system för enhetsregistrering som gäller för den aktuella tillverkaren. Det är detta unika id som knyter enheten till LU och även pekar den till rätt hanteringsserver vid LU, som sedan sköter hanteringen av enheten i fortsättningen.

Ange rätt id enligt följande:

System för enhetsregistrering Kundid
Apple DEP 25621371
Samsung KME 4977994568
Android Zero Touch 1744263298

När du väl beställt registrering återkommer leverantören till dig och informerar dig om när enhetsregistrering är gjord enligt din beställning.

När enheten därefter startas första gången och får kontakt med ett nätverk, visas därefter information om att enheten kan hanteras utav Lunds universitet, och inställningar hämtas automatiskt. Är enheten redan installerad sedan tidigare dyker hanteringen upp nästa gång enheten återställs.

Allt detta gäller generellt för alla typer av enhetsregistreringar. Nedan följer råd och tips som gäller för de specifika tillverkarna och deras typer av enhetsregistrering.

Att tänka på

Apple DEP

Följande instruktioner gäller specifikt för efterregistrering av iPad eller iPhone. Så snart du fått bekräftelse av leverantören att enheten är registrerad hamnar den i LU:s Intune-lösning och kan bli hanterad. Enheten hamnar automatiskt i olika grupper och får olika inställningar beroende på om det är en iPad eller iPhone.

Är enheten helt ny får du information om att enheten hanteras så snart enheten fått nätverksanslutning under installationsguiden.

Är enheten installerad sedan tidigare måste du först välja att återställa enheten för att den ska hanteras.

Återställ från annan enhet fungerar, men inte ursprunglig återställning eftersom den kastar ur enheten ur DEP.
Du bör återställa från iCloud och inte från iTunes! Återställning från iCloud fungerar, men inte från iTunes.

Samsung KME

Följande instruktioner gäller specifikt för registrering av Samsung-enheter i Samsung Knox Mobile Enrollment.

Användaren bör logga in på enheten först, så att enheten får alla inställningar för hanteringen, innan enheten uppdateras. I hanteringen ingår inställningen att enheten ska få alla säkerhetsuppdateringar. Vänta alltså med att uppdatera enheten tills användaren loggat in på enheten första gången.

Sker uppdatering innan användaren loggat in i enheten första gången, kan det i vissa fall hända att enheten låser sig då användaren senare loggar in.

Google Android Enterprise Zero Touch

Följande instruktioner gäller specifikt för efterregistrering av Android-enheter som stödjer Google Android Enterprise Zero Touch. ​

FIXME

Frågor och svar

Är MDM obligatoriskt?

Nej. MDM-hantering tillhandahålls som ett alternativ för de organisationsenheter som så önskar det.

Måste telefonen registreras?

Ja, om den ska kunna hanteras. En grundläggande förutsättning för MDM är att telefonen först registreras som tillhörande Lunds universitet i hårdvarutillverkarens databas. Denna registrering pekar sedan i sin tur ut vilken MDM-server på LU som ska kontaktas.

För att åstadkomma detta måste varje mobil enhet (som ska kunna hanteras) först registreras, och detta gör man med så kallad efterregistrering genom att kontakta den leverantör som telefonen köptes ifrån. Vilken information som måste anges och hur den ska registreras beror på vilken tillverkare det gäller. Ofta behöver exempelvis serienummer eller IMEI-nummer anges och originalfaktura bifogas, samt LU:s tillverkarspecifika id för registrering uppges. Se instruktioner ovan.

Är det inte möjligt att registrera nya enheter på ett smidigt sätt direkt i samband med inköp?

Nej, tyvärr, inte ännu. LU:s avtal täcker idag inte automatisk registrering av nya enheter direkt i samband med inköp på ett smidigt sätt.

Tills vidare är man alltså i de flesta fall hänvisad till separat registrering, antingen som nyregistering i samma beställning vid inköp, eller efterregistrering.

Vad händer om jag måste skicka in en hanterad enhet för reparation eller service?

Om en hanterad mobil enhet måste skickas in för reparation eller service (t.ex. för byte av en spräckt skärm) kräver ofta servicestället att enheten först plockas bort från all hantering, eftersom servicestället direkt efter reparationen behöver kunna återställa enheten och köra tester för att verifiera att den fortfarande fungerar som avsett enligt tillverkarens specifikationer.

Du bör därför meddela oss (se Support) innan en hanterad enhet ska skickas in för reparation. Ange serienummer eller IMEI-nummer så kan vi tillfälligt plocka bort enheten från hanteringen. Meddela oss sedan igen när du fått tillbaka enheten efter reparation, så lägger vi till enheten som hanterad igen. Du kan då när det skett återställa enheten på nytt, så blir den hanterad som vanligt igen.

Vad händer om vi ska utrangera en hanterad enhet och skicka den till Inrego?

Lunds universitet har avtal med Inrego för utrangering och återanvändning av IT-produkter.

Innan en hanterad enhet ska utrangeras och skickas till Inrego måste den först plockas bort från all hantering samt avregistreras från tillverkarens enhetsregistrering, för att det ska bli möjligt för Inrego att återanvända enheten och eventuellt sälja den till ny kund.

Du bör därför meddela oss (se Support) innan en hanterad enhet ska utrangeras och skickas till Inrego. Ange serienummer eller IMEI-nummer så plockar vi permanent bort enheten från hanteringen samt avregistrerar den permanent från tillverkarens registreringsportal.

Vad händer om en hanterad enhet har blivit stulen?

En hanterad enhet som har blivit stulen bör omgående markeras som stulen och spärras via hanteringen. Då går den inte längre att använda och blir obrukbar för tjuv eller hälare.

Du bör därför omgående meddela oss (se Support) om du får kännedom om att en hanterad enhet kan ha blivit stulen. Ange serienummer eller IMEI-nummer.

Är detta LTH-specifikt?

Nej. Målet med MDM på LU är att det ska fungera likadant för alla organisationsenheter på LU, oavsett var på LU det gäller. Därför är alla inställningar gjorda så att de ska passa överallt på LU. Intune-lösningen tillhör Lunds universitet och är gemensam för hela universitetet.

Är det skillnad på Apple DEP-registrering för MDM och för LUMac?

Ja!

LU hanterar Mac-datorer via LUMac och ett system som heter Jamf Pro. Om en dator ska hanteras via LUMac ska den registreras med LU:s särskilda DEP-id för LUMac, eftersom detta DEP-id då pekar ut LU:s Jamf-server.

Om istället en iPhone eller iPad ska hanteras är det istället MDM via Intune som i första hand är aktuellt, och då måste den mobila enheten registreras med LU:s särskilda DEP-id för MDM, eftersom detta DEP-id då pekar ut LU:s Intune-server.

Skulle man inte kunna använda hantering via Jamf för allt, eller hantering via Intune för allt?

Jamf Pro är den marknadsledande lösningen för hantering av Apple-datorer. När det gäller MDM och hantering av mobila enheter är Intune i många avseenden bättre och framförallt oberoende av tillverkare. Därför används idag vid LU samtidigt två olika system för hantering. Vilket DEP-id du anger vid registrering avgör i vilket system enheten hamnar i. Därför bör du vara noga med att ange rätt DEP-id.

Support

Kontakta LTH Support.

mdm.txt · Last modified: 2019-10-16 14:37 by cr