Блог Ринго

Памятка: что нужно, чтобы переехать на российский MDM без стресса

2025-03-27 12:45

Этап 1: планирование

Определите, какие сценарии использования устройств применяются в вашей организации, например:
  • устройства в корпоративной сети,
  • устройства удаленно работающих сотрудников,
  • устройства VIP-пользователей.
Проработайте для каждого сценария свои варианты настройки, как то:
  • новые устройства,
  • устройства, которые уже находятся на руках у пользователей.
Далее вам потребуется определиться с набором настроек, ограничений и списком ПО для каждого варианта:
  • отдел маркетинга,
  • отдел разработки,
  • отдел продаж
и так далее.
Начните с тех сценариев, который будет самыми востребованными, например:
  • устройства в корпоративной сети;
  • устройства, которые находятся на руках у пользователей.

Наборы настроек по отделам можно будет разобрать уже потом.
После того, как вы определились со сценарием:
  • составьте список корпоративных доступов, которые должны настраиваться на устройстве: Wi-Fi, Ethernet, VPN, Proxy, выпуск сертификатов,
  • убедитесь, что с помощью новой MDM вы сможете выпустить сертификаты для ваших устройств (например, некоторые решения используют протокол DCOM, который считается устаревшим),
  • составьте список ограничений, которые требуется настроить на устройстве: запрет iCloud, шифрование диска, запрет флешек,
  • составьте список ПО, которое требуется установить на устройство: Google Chrome, MS Office, ВКС.

Этап 2: моделирование

Отключение от старой MDM
Проверьте:
  • что пропадет с устройства после отключения MDM: профили, сертификаты, настройки системы, ограничения, приложения, настройки приложений, системные демоны и пользовательские агенты,
  • какие остатки старой MDM вам потребуется удалить после отключения,
  • проверьте, есть ли у вас данные учетных записей поддержки, чтобы отключить устройство вручную,
  • что передача пароля поддержки не компрометирует остальные устройства,
  • можно ли отключить устройство от старой MDM через API.
Подключение к новой MDM
Проверьте, что компьютер может подключиться к новому серверу MDM
Что следует учесть
  • если у вас 802.1X, может потребоваться организовать отдельную техническую сеть, из которой есть доступ к серверам Apple и серверу MDM,
  • обратите внимание, что при удалении профиля Wi-Fi включится функция MAC address randomization. Если у вас привязка по MAC, то потребуется озаботиться этой проблемой заранее,
  • еще раз убедитесь, что пароль учетной записи поддержки, который будет использоваться для привязки к новой MDM, не будет компрометировать другие устройства,
  • если вы решили выдать пользователю права администратора перед отключением от старой MDM, чтобы он мог отключиться и подключиться самостоятельно, то не забудьте эти права у него забрать автоматически при подключении к новой MDM.

Этап 3: сбор информации из старой MDM

Перед отключением устройств настоятельно рекомендуется собрать из старой MDM следующую информацию (вполне вероятно, что это можно сделать через API):
  • ключи Filevault Recovery Key,
  • коды обхода блокировки Activation Lock,
  • пароли прошивки Firmware Password для компьютеров с процессором Intel.

Этап 4: тестирование

  • Определитесь, как вы будете отключать устройства: вручную или через API.
  • Не забывайте, что подключить устройство к новой MDM можно только вручную.
  • Подготовьте инструкции для пользователей и Service Desk заранее.
  • Обеспечьте себе возможность мониторинга за ситуацией: как вы будете проверять, что устройство отключено от старой системы и подключилось к новой.

Если у вас остались вопросы или нужна помощь с миграцией, обращайтесь на почту hello@ringomdm.ru!