!!Løsningen er i en tidlig fase og mindre endringer kan forekomme
Det er tidvis behov for maskiner som har helt spesielle funksjoner og oppgaver i laboratorier, til instrumentstyring, eller andre forskningsrelaterte bruksområder. Det er av flere grunner ofte ikke hensiktsmessig eller ønskelig at disse maskinene er sentralt administrert, men av sikkerhetsmessige grunner er det likevel ønskelig at disse er innrullert i management systemet til UiO.
Non-managed enrolment er en løsning som kan benyttes i disse tilfellene. Enhetene innrulleres i Workspace One, men blir er adskilt fra den øvrige maskinparken, og vil ikke få de normale administrasjonsprofilene, programmer eller innstillingene fra systemet. Det vil installeres et absolutt minimum av ressurser ved innrullering som gjør at det kan hentes ut begrenset telemetri fra systemet, samt sende låse, eller slette maskin kommando til enheten i tilfelle utstyret skulle bli borte.
Slik fungerer det
Maskinen må være registrert i UiO´s Apple School Manager. Her tilegnes den en egen DEP profil som sender maskinen til Workspace One "Non-managed enrollment" ved førstegangs oppstart. Man får beskjed i oppsettsassisten at maskinen er administrert av UiO. Etter dette innrulleres automatisk med en "staging bruker". Når dette er gjort vil maskinene starte opp med Apples setup assistant, og bruker kan oppretter lokal brukerkonto på systemet som om maskinen var unmanaged. Dette er ikke enn UiO bruker, og den vil ikke ha noen tilknytning til UiO brukerdata. Maskinen vil etter alle praktiske formål fungere som en ikke-administrert maskin. Bruker vil ha full admintilgang med root privilegier.
Prosedyre for å få Non-managed enrolment.
Avvik fra normalt driftsopplegg skal godkjennes av it-sikkerhet. Forespørsel om dette fylles sendes it-sikkerhet via RT. Henvendelse må inneholde serienr på enheten, og en begrunnelse for behovet.
Godkjent forespørsel går videre til Mac-gruppen, som setter en egen DEP profil på maskin. Når dette er gjort sendes beskjed til requestor, og maskinen kan settes opp og klargjøres.
Krav
Maskinens bruksområdet skal avvike vesentlig fra normal bruk. Det skal være behov for en høy grad av lokal tilpasning, og fare for at sentral administrasjon, og endringer i denne, kan knekke lokalt oppsett på maskin ved endringer gjort sentralt.
Det vil normal sett være krav om at disse maskinen er koblet til instrumentnett, og ikke har normal internett tilgang.
Maskiner med non-managed enrolment er ikke ansett som personlig enheter, og GPS posisjonering vil av sikkerhetsmessige grunne være aktivert på disse.
Hva installeres på maskinen?
Det installeres et minimum av resursser på maskinen for at den skal ha kontakt med management systemet. Managementet er obligatorisk, og kan ikke fjernes av bruker.
Software:
- Intelligent HUB. Dette er agentprogramvaren som sørger for kommunikasjonen mellom maskin og management system.
Profiler:
- Device Manager profil. Binder maskin til Management System
- Intelligent HUB Settings. Gir nødvendige rettigheter til agentprogramvaren
- Privacy profil. Gir mulighet for å sende Push meldinger til maskin, samt GPS lokalisering.
- LocationService Status profil. Sjekker status på LocationServices daemon
Brukere:
- Uioitadmin. Skjult adminbruker med roterende passord. Denne kan benyttes til av drifts personell med tilgang til maskin i driftsopplegg.
Hvilke data samler vi:
Vi samler inn følgende data om enheten; hardware, systemversjon, lokasjon og sikkerhetsinfo.
Dersom bruker velger å kryptere disken ( anbefales på det sterkeste ) vil kryperingsnøkkelen overføres til systemet. Siden vi benytter en statisk "staginguser" til innrullering kan vi ikke koble maskin til bruker. Brukerkontoen som opprettes av bruker etter innrullering er "usynlig" for driftssystemet.