Apple Pro Training Series: OS X Server Essential 10.10

1. Lesson 11. Managing with Profile Manager by 김
응식 (neoroman)

2. 목표
프로파일 매니저 설정
관리 프로파일 생성
프로파일 전달
프로파일 설치와 삭제
프로파일을 통한 사용자, 사용자 그룹, 장치, 장지 그룹 관리
번외 - 용어정리, Supervised Mode with Apple Configurator

3. 용어정리
프로파일 매니저Profile Manager => 10장에서는 Server.app 내의 섹션을
의미, 11장에서는 Profile Manager 웹 포털을 의미
사용자 포털User Portal => 사용자 각자가 프로파일 설치를 위해서 장치에서
접근할 수 있는 웹사이트, 가입(Enrollment) 이후에는 등록된 장치를 확인할 수
있음
Supervised Device => DEP로 가입(Enroll)된 장치 또는 Apple
Configurator로 Supervised된 장치 https://support.apple.com/en-
us/HT202837

4. 프로파일 매니저 > '계정 관리'에서 할 수 있는 것
모바일 장치와 컴퓨터 Settings 제어
특정 그룹 또는 개인의 리소스 접근 제한
사무실, 교실 또는 연구실 등에서의 장치 보안
UX 커스터마이징
앱과 책 제공

5. Level of Management
사용자User - 이름 또는 User ID(UID)로 구분
그룹Group - 사용자의 그룹, 그룹의 그룹
장치Device - MAC 주소, Serial Number 로 구분되는 컴퓨터와 IMEI,
MEID로 구분되는 iOS 장치
장치그룹Device Group - 장치의 그룹, 그룹의 그룹
각 콤포너트를 활용한 설정을 혼용하여 프로파일을 만들 수 있으나 충돌이 예상되
는 혼용이나 중첩은 권장하지 않음

6. 그룹 내의 사용자 관리
네트워크 사용자로 개별 관리(추가, 삭제) 가능
사용자의 장치를 일괄 관리하기에 편리
VPP의 대량의 사용자 관리에 유용

7. 장치그룹 계정 관리
장치 그룹은 다수의 OS X 장치나 iOS 장치를 묶어 관리할 수 있는 단위
CSV 파일로 다량의 장치를 불러올 수 있으며 동시에 장치그룹으로 등록할 수 있
음
예제) 교재 부록으로 제공되는 StudentMaterial - Lesson 11으로 실
습

8. 앱 관리
앱은 엔터프라이즈(in-house) 앱과 VPP 앱만 허용
엔터프라이즈 앱은 장치 또는 장치그룹에 배포 가능
VPP에 등록된 앱은 Profile Manager의 App 섹션에 자동적으로 표시됨
엔터프라이즈 앱은 ipa 형태로 업로드 해야함
논란의 시작 =>
“The VPP apps will be assigned to the devices at the next push,
but in-house Enterprise apps get automatically pushed.”

9. 프로파일 전달
사용자 포털(https://server.domain.com/mydevices)을 통해 로그인 후
직접 설치
Profile Manager에서 다운로드한 *.mobileconfig 파일(XML)을 이메일을
통해 장치에 전달
별도의 웹페이지에 *.mobileconfig를 올려두고 그 링크를 전달
가입Enrollment된 장치 한하여 자동 푸쉬를 통해 프로파일 전달됨

10. 자동푸쉬 Automatic Push
Automatic Push는 애플 APN에 의존
프로파일 매니저에 가입된 장치가 APN에 체크인(Check-in) 되있다면 장치는
프로파일 매니저가 APN을 통해 신호를 보내기를 “대기(Polling?)” 함
APN을 통해서 전달되는 신호에는 특별한 데이터가 없으며 대부분의 데이터는
프로파일 매니저와 장치간에 직접 전달됨
이런 방식으로 데이터를 보안함
프로파일 매니저-APN-장치 연동그림

11. 원격 잠금(Lock)과 원격 초기화(Wipe)
관리자Admin는 프로파일 매니저에서 가입Enrollment된 모든 단말의 원격 잠
금과 초기화를 할 수 있음
사용자User는 사용자포털에서 자신이 등록한 장치의 원격 잠금과 초기화를 수행
할 수 있음
단, OS X 장치의 경우 원격 잠금을 수행하면 Shutdown과 동시에
EFI(Extensible Firmware Interface) Passcode가 설정되므로 주의하여
야 함
사용자포털 화면

12. 어떤 설정들을 관리할 수 있을까?
Table 11-
1. Manageable Preferences Payloads for Users and Groups
Table 11-2. Manageable Preferences Payloads for Devices and
Device Groups
사용자/그룹 vs. 장치/장치그룹 관리 항목 비교 참고
- https://www.icloud.com/numbers/AwBUCAESEOPt16u1
CWPYQEYABhQZH4MaKVolqT2Fj1TUMwQn2h64nNexrN
LiTt90Bmm_jWB3sYV0upWPeUE_a_ATMCUCAQEEINF
9PsIEb4pGdMAZ_JyWC2EwUqm9c4HtFflGLUJpS_pa#D
ifference_Manageable_Preferences_Payloads

13. 중첩과 중복 프로파일 생성시 고려사항
서로 상충되는 Payload
AD
Certificate, APN, Directory, General, Gl
obal HTTP
Proxy, Identification, Restrictions, Sec
urity & Privacy, Single App
Mode, Single Sign-On, Xsan
중복 설정 가능한 Payload
Accessibility, AirPlay, AirPrint, Calendar, Certificate, Conta
cts, Content Filter, Custom Settings, Dock, Domains, Ener
gy Saver, Finder, Fonts, Exchange, LDAP, Login items, Log
inWindow, Mail, Messages, Mobility, Network, Passcode, P
arental Controls, Printing, SCEP, Software Update, Subscri
bed Calendars, Time Machine , VPN, Web Clips

14. Troubleshooting
로그보기: Server.app 또는 /Library/Logs/ProfileManager/
프로파일에 문제가 있는 경우 장치에서 확인
프로파일 설치가 안되는 경우 SSL 인증서 확인
장치 가입(Enrollment)가 안되는 경우 신뢰할 수 있는 인증기관에서 생성한
SSL인지 확인
프로파일 전달(Pushing)이 안되는 경우 다음의 포트가 열려있는 확인
TCP/UDP
TCP
TCP
TCP
TCP
프로파일이 원하는 동작을 하지 않는 경우 사용자/그룹 또는 장치/장치그룹에 중
첩 또는 중복된 Payload를 포함하는 설정이 있는지 확인
Port Description
2195, 2196 Used by Profile Manager to send push notifications
5223 Used to maintain a persistent connection to APNs and receive push notifications
80/443 Provides access to the web interface for Profile Manager admin
1640 Enrollment access to the Certificate Authority

15. 한계와 극복
Payload Profile의 백업(Download)은 가능하나 export/import 기능이
없음 => 기능 추가/제거는 수작업
상용 MDM 서버는 Profile export/import를 가능하게끔 했을까?

16. 프로파일 관리 실습
Exercise 11.1 Use Profile Manager for Shared Devices
공용장비(Mac) 관리 예제
Exercise 11.2 Use Profile Manager for One-to-One
Devices
개인장비(iOS) 가입(Enroll)과 해지
(Unenroll) 예제
Exercise Scenario of Profile Manager by
neoroman

17. Exercise Scenario of Profile Manager by
neoroman
Generals
1. Add device group name: osxdev training group

18. VPN Profile
1. Turn on VPN server on Server.app!!!
2. Add VPN profile: Type(L2TP), User(osxdev), Password,
Hostname(server1.osxdev.info), Secret(@pplekore@)
3. Add members to device group
4. Waiting till push profile to device automatically
5. Ask peoples who own devices to connect to
192.168.1.120/mydevices of server1.osxdev.info’s IP.
6. Check the profile of device and see what’s changed.

19. Restrictions
1. Add restriction profile
2. Not allowing - Touch ID, Screen capture, Camera, Safari
3. Waiting till push profile to device automatically
4. Check devices
5. Check the profile of device and see what’s changed.
6. After removing this profile you should enable Touch ID manually
;-(

20. Single App Mode
1. Add Single App Mode profile
2. Not Allowing - side key, home key, etc, Allowing touch only
3. Waiting till push profile to devices automatically
4. There’s an error: "This profile can only be installed on a
Supervised device.” in Profile > Device Server Log on Server.app
5. How to make “Supervised” devices?
6. There is no keyword of “Supervise” in Textbook.

21. Web Clips
1. Add Web Clips profile
2. Add label as ‘OSXDevices'
3. Add URL as ‘https://server1.osxdev.info/
4. Add Icon as ‘Icon-60@2x.png'
5. Check ‘Full Screen’ and ‘Precomposed Icon'
6. Click ‘OK'
7. Click ‘Save'
8. Check devices

22. Supervised Mode with Apple Configurator
(1/11)
Apple Configurator 설치
- https://itunes.apple.com/hk/app/apple-
configurator/id434433123?mt=12
USB로 맥에 iOS 장치 연결
Supervise Mode를 켜려면 연결된 장치의 ‘Find My iPhone’ 이 꺼져있어야
함

23. Supervised Mode with Apple Configurator
(2/11)
3G나 LTE 활성화가 안되거나 USIM이 없는 iOS 장비의 경우 네트워크 연결이
안되면 Profile설치에서 실패하여 처음부터 다시 Prepare절차를 수행해야 하므
로 Profile은 끄도록 함

24. Supervised Mode with Apple Configurator
(3/11)
Prepare 절차는 iOS 최신 버전을 다운로드(아마 Supervise mode가 포함된
버전일 수 도...?!?)하여 설치함

25. Supervised Mode with Apple Configurator
(4/11)
iOS 다운로드 이후 자동적으로 설치가 진행됨

26. Supervised Mode with Apple Configurator
(5/11)
네트워크가 활성화되지 않은 iOS 장치에서 Profile이 켜져있는 경우 다음과 같
이 Prepare절차가 실패함

27. Supervised Mode with Apple Configurator
(6/11)
Supervised Mode 완료...끝

28. Supervised Mode withSupervised Mode with
Apple Configurator (7/10)Apple Configurator (7/10)

29. Supervised Mode with Apple Configurator
(8/11)
Prepare > Setup 에서 설치과정에서 Skip을 설정할 수 있음

30. Supervised Mode with Apple Configurator
(9/11)
네트워크 설정 이후 Profile 설치 과정

31. Supervised Mode with Apple Configurator
(10/11)
알 수 없는 이유로 원격 관리(MDM) Profile설치가 실패함

32. Supervised Mode with Apple Configurator
(11/11)
원격 관리 프로파일은 사용자 포털을 통해서 설치함. Supervised Mode가 켜
진 것을 확인

33. Exercise Scenario of Profile Manager by
neoroman (Supervised Mode)
Single App Mode
1. Add Single App Mode profile
2. Allowing ‘Touch' and 'Sleep/Wake Button' only
3. Waiting till push profile to devices automatically
4. Done and Check your device

34. Thanks