2021-02-11

Ateas experter om Jamf, Intune och Workspace One: Få koll på Apple-produkterna med rätt mdm-verktyg

För något år sedan kunde de medarbetare som valt Apple-produkter segla lite vid sidan om den övriga verksamheten. De flesta skötte till och med sin egen support. Men, med ökade krav på säkerhet och automatiserad mdm-hantering, är den tiden förbi. Vi vände oss till några av Ateas främsta experter på Jamf, Intune och Workspace One, för att ta reda på hur man kan tänka för att välja rätt verktyg.

Ulrika Nybäck Journalist
Apple iPhone 12

Det är lätt att bli överväldigad när man jämför verktyg inom mobile device management, mdm.
Dels finns det många varianter att välja mellan och vid en första anblick verkar de ganska lika. Men i takt med att allt fler vill sköta jobb och studier med en Mac och/eller iPad, blir det allt viktigare att kunna hantera verksamhetens produkter på ett enkelt och säkert sätt

Vi bestämde oss för att ta reda på hur Jamf Pro (från Jamf Software), Workspace One UEM (från VMware) och Microsoft Intune (MEM*) klarar av att hantera produkter från Apple och andra aktörer.

Mikael Svensson, Seniorkonsult

Support från dag ett för nya operativsystem

– Jamf Pro är ju nischat på att hantera produkter från Apple och för den uppgiften är verktyget överlägset. Eftersom det endast är Apple-produkter hanteras, alltså: Mac, iPhone och iPad med macOS, iOS, iPadOS, så är antalet funktioner maximerade. Och när Apple lanserar ett nytt operativsystem erbjuder de support från dag ett, vilket är unikt, säger Mikael Svensson.

Mikael är seniorkonsult på Atea och utöver konsultrollen utbildar han kunder och kollegor i hur de kan använda Jamf (och Jamf Pro) för att skapa effektiva rutiner och flöden.

Många väljer att kombinera Intune med Jamf Pro

De flesta offentliga verksamheter som Mikael stöttar har migrerat till Microsoft 365 och har mdm-verktyget Intune som bas. De kan då välja att integrera Jamf Pro, via Conditional Access, för att få till en mer mångfacetterad hantering av Mac, iPads och iPhones. Man kan också fortsätta att hantera iPhones och iPads i Intune, men hantera Mac-datorerna i Jamf Pro.

– Just nu hjälper jag många kunder att utforma automatiserade flöden som förenklar vardagen för it-avdelningen och för användarna. De flesta vill att medarbetarna (eller studenterna) själva ska kunna beställa produkter hos en administratör eller upphandlad leverantör. Därför ser vi till att alla produkter levereras i ett skick som gör att man kan börja jobba direkt. De får Office-paketet, skrivarfunktioner, rätt identitetshantering och säkerhetsfunktioner installerat från Jamf Pro direkt när de startar datorn första gången, beskriver Mikael Svensson.

Detta sker genom en Appletjänst som heter Automatisk enhetsregistrering. Tjänsten innebär att Apple-enheterna automatiskt kopplar upp sig mot mdm-verktyget och därifrån får användarna sedan allt installerat automatiskt.

Lukas Nord, Systemkonsult

Integrering, samarbete och säkerhet

Lukas Nord är systemkonsult på Atea och specialist på VMwares produktsvit Workspace One. Han hjälper sina kunder med bland annat klientmanagering och hur de kan utforma en smidig, mobil, användarupplevelse.

– De främsta styrkorna med Workspace One är att du på ett enkelt och säkert sätt kan hantera och integrera produkter från alla aktörer, även från Apple. Du får också koll på de produkter som används av flera personer. Du kan exempelvis se: ”Ah, nu är OS uppdaterat för femton iPads som tillhör klass 2C eller sjuksköterskor på IVA, förklarar Lukas Nord.

Verktyget lever också upp till höga säkerhetskrav och passar verksamheter som enligt lag är skyldiga att lagra uppgifter både On Prem (alltså i serverhallar i närheten) och i molnet.

Vill du prata med oss om vilken mdm-lösning som kan göra din vardag enklare?

Kontakta en specialist här

– VMware är erkänt duktiga på samarbete, integrering och säkerhet, vilket märks. Det går smidigt att koppla in virtuella applikationer till Workspace One. Vad gäller säkerhet så bygger konceptet Zero Trust på att alla måste identifiera sig innan de får åtkomst till data. Det gäller oavsett om du är en känd användare, ett nätverk, ett program eller ett API, säger Lukas Nord.

När du använder Workspace One och Zero Trust tillsammans, måste medarbetaren identifiera sig både som individ (tex fingerskanning) och med sin enhet (Apple-id), vilket ger ett högt skydd för verksamhetens information och data.

5 tips, kom igång med hanteringen av dina Macar!
  1. Skapa en ”basinstallation” i din mdm-lösning.
    Gör en konfiguration som gäller alla dina Macar och som innehåller de vanligaste programmen i din verksamhet, t.ex. Microsoft Office, Google Chrome samt de vanligast förekommande inställningarna för exempelvis hårddiskkryptering, anslutning till ett trådlöst nätverk mm.
  2. Skapa grupper utifrån behov utöver ”basinstallationen”
    Olika grupper har olika behov av programvaror och inställningar. Distribuera ett fåtal specifika program och inställningar till dessa grupper utöver basinstallationen.
  3. Publicera allt i ett självbetjäningsprogram.
    Där finns de program som endast vissa medarbetare använder, men som alla bör ha tillgång till, som möjligheten att ominstallera Office-paketet. Vidare kan det i självbetjäningsprogrammet finnas möjlighet att reparera sin Mac, ominstallera den med mera. Man kan ganska enkelt ordna lösningar av typen: ”Klicka-på-den-här-knappen” så utförs avancerade funktioner utan att någon från it behöver hjälpa till.
  4. Distribuera uppdateringar snabbt.
    Uppdateringar innehåller ofta lösningar på säkerhetsproblem eller buggar samtidigt som de inför nya funktioner som användarna behöver och vill ha. Distribuera dessa så snabbt det går.
  5. Utbilda dig och spar tid
    Att bygga på sin kompetens inom mdm-området frigör tid för it-avdelningen och för verksamheten. Några första steg är att lära sig mer om Apple-produkterna, Apple-tjänsterna och mdm-lösningen. Mikael Svensson: ”Ta kontakt med oss på Atea så hjälper vi dig. Vi kan också visa hur andra har fått till en effektiv och smidig hantering av sina Macar”.

Många har redan ett mdm-verktyg utan att veta om det

Under 2020 migrerade många företag och offentliga verksamheter från Office 365 till Microsoft 365.

Richard Hagerwald, Lösningsarkitekt

– Det är väl bara en bokstav som ändrats från O till M, kan man tycka. Men vad många missat är, att det redan ingår ett mdm-verktyg i de flesta M365-licenser, nämligen Microsoft Intune*. Ett utmärkt verktyg för att managera alla mobila enheter i verksamheten, även Apple-produkterna, konstaterar Richard Hagerwald, lösningsarkitekt på Atea.

Sedan fem år tillbaka har han fördjupat sig i Microsofts Enterprise Mobility + Security-svit och hanteringen av identiteter som används i molnet.

– Det är när vi lägger ihop Azure Active Directory* med AppleID som magi uppstår. Då får vi till enkelheten och sömlösheten, säger Richard Hagerwald och förklarar:

– När användaren ska ansluta till verksamhetens appar och tjänster loggar de in med samma uppgifter som de har till sin Microsoft 365-miljö. Med ett federerat Apple-konto kan man även logga in på iPads som är anpassade för att underlätta delning av enheten. Jag hoppas att det blir möjligt att göra på alla Apple-enheter framöver.

5 fördelar när du hanterar dina Macar med ett mdm-verktyg!
  1. Förenklar för medarbetaren/användaren. Eftersom allt som behöver installeras och konfigureras på Macarna görs automatiskt utan att användaren behöver ingripa. Slutanvändare kan också ges möjlighet att själv installera program genom ett självbetjäningsprogram.
  2. Förenklar för verksamheten. Eftersom nyinköpta Mac-datorer kan levereras direkt till slutanvändaren utan att gå via it-avdelningen. Tidigare behövdes en viss handpåläggning innan en Mac överlämnades, men det behövs inte längre.
  3. Förenklar för it-supporten. Det blir färre inställningar och uppdateringar som behöver genomföras manuellt. Dessutom ger mdm-systemet god överblick över Macarnas status. Detta gör behovet av support mindre, samtidigt som supporten blir enklare.
  4. Integration av Macarna i övriga företagslösningar. Genom mdm-lösningen kan man t.ex. integrera autentiseringen och hantera Single Sign-On på ett enkelt sätt. 
  5. Det blir aldrig fel! 
    När man testat konfigurering och funktioner på en eller två Macar kan man med ett knapptryck distribuera samma lösning till samtliga Mac-datorer. Det är lika enkelt oavsett om man har: 50, 500 eller 5 000 datorer. Man behöver inte skriva instruktioner till slutanvändaren där de skall följa långa listor på åtgärder, man behöver inte heller skicka ut it-supporten för att hjälpa användaren. Resultatet blir enhetligt konfigurerade Macar med enhetliga programversioner och operativsystem, vilket i sin tur leder till ett enklare underhåll.

Ställ lika höga krav som på PC – och börja testköra

Om du är osäker på om Microsoft Intune är ett tillräckligt kraftfullt verktyg för att hantera dina Apple-produkter, behöver det inte vara svårare än att börja. Du har ju, med hög sannolikhet, redan licensen.

– Den största säkerhetsrisken uppstår när du inte agerar alls, utan låter dina Apple-produkter sväva runt omanagerade. Därför är min uppmaning: börja testköra och utvärdera. Och du ska absolut ställa samma krav på dina Macar och iPads som när du managerar PC, säger Richard Hagerwald.

Framtid med öppnare gränssnitt och ökad automatisering

Hur mdm-området kommer att utvecklas de kommande två-tre åren är något som Richard, Lukas och Mikael är ganska enliga om.

–Mdm-verktygen kommer att ha fler funktioner än idag. Medarbetaren kommer aldrig behöva göra några manuella uppdateringar eller inställningar. Automatiserade flöden i mdm-systemen kommer se till att datorerna alltid är välkonfigurerade, säkra och att de har rätt programvara, sett från verksamhetens perspektiv. Apples fokus har alltid varit användaren – och personliga inställningar är och förblir centralt. Ett av skälen till att vi använder mdm-verktyg överhuvudtaget, är ju för att frigöra medarbetarens tid och potential, inte begränsa den, säger Mikael Svensson och fortsätter:

– Vi kommer också att se krav på tvåfaktorautentisering och olika tredjepartslösningar för autentisering.

Lukas Nord funderar en stund och utvecklar spaningen.

– Jag bedömer att mdm-verktygen om två till tre år liknar varandra mer än vad de gör idag. De kommer att erbjuda ungefär samma funktionalitet. Då finns det inte plats för lika många aktörer, det blir de som är bäst på samarbete, integrering, säkerhet och en smidig användarupplevelse som kommer att överleva.

Tips från Mikael, Lukas och Richard: ”Välj det mdm-verktyg som stöttar din verksamhet bäst”
  • Mikael Svensson: ”Börja med att ta reda på vilka funktioner och automatiserade flöden som ni vill att mdm-lösningen ska kunna utföra. Bjud in medarbetare från exempelvis: it, licenshantering, inköp, säkerhet, marknad, ekonomi och HR, som har tankar och åsikter om hur er vardag kan blir enklare och mer produktiv.
  • Lukas Nord: ”VMware erbjuder en 30-dagars testperiod för Workspace One UEM. Självklart kan du få stöd av oss för att sätta upp testmiljön”.
  • Richard Hagerwald: ”Många kunder upplever ett stort värde med Ateas tjänst Tjänsten är utvecklad för att hjälpa dig använda Microsoft 365 fullt ut. Här kan du också få stöd med att testa hur Intune kan hantera dina Apple-produkter.
  • Jämför olika mdm-verktyg och välj det som bäst passar din/er verksamhet.
  • Väg in att det ger konkurrensfördelar när medarbetarna är fria att välja de produkter som gör dem mest produktiva.
It-lingo, så här menar vi

EMM står för Enterprise Mobility Management och omfattar: Mobile Device Management (MDM), Mobile Application Management (MAM) och Mobile Content Management (MCM).

Att fatta strategiskt kloka EMM-beslut gör vardagen enklare för it-avdelningen och ger användarna en smidig och säker åtkomst till mobila lösningar. Det ger dem även tillgång till rätt uppgifter, från rätt nätverk med rätt applikationer.

Microsoft Intune ingår som en del av Ateas tjänst Microsoft Endpoint Manager (MEM).

Workspace One från VMware hette tidigare AirWatch. Namnet hörs fortfarande, men det officiella namnet är idag: Workspace ONE Unified Endpoint Management (UEM) Powered by AirWatch.

Active Directory är en katalogtjänst från Microsoft. Tjänsten förser dig med information om resurser som datorer, skrivare och användare, i ett nätverk (eller en domän). Produkterna klassificeras som objekt och kan hanteras samt skyddas i den egna domänen.

Med federerad autentisering kan du länka din Apple Business Manager eller Apple School Manager till Microsoft Azure Active Directory. Då kan dina medarbetare använda samma användarnamn (userprincipalname, oftast din e-post) och lösenord för Azure-AD som för hanterade AppleID.