Egen MDM-lösning med VPP – OSX Server

Total
4
Delningar

För ett tag sedan fick jag en fråga av en god vän till mig om jag kunde hjälpa honom att sätta upp en lösning för deras iPads. Eftersom de börjar närma sig 80+ gällande dessa enheter är det inte längre ett alternativ att köra det manuellt. Tiden det tar från uppackning tills att paddan är ute i verksamheten måste minska. Och managering måste kunna ske OTA (over the air). Eftersom det till största del handlar om delade iPads behöver även ominstallation optimeras. Så jag tänkte lösa det genom en Mac Mini med OSX Server och VPP – Volume Purchase Program.
Detta är ingen steg-för-steg-instruktion utan mer en dokumentation över hur jag gick tillväga.

Det vi vill uppnå

En billig, driftsäker lösning som kommer hålla även över tid. OSX Server och dess MDM (Mobile Device Management) ska teoretiskt klara upp till 5.000 enheter (både OSX och iOS).
En Mac Mini med serverprogramvaran kostar heller inte särskilt många tusenlappar och det i kombo med backup-diskar borde lösa problemet för denna mindre verksamhet. Vi landar på en slutsumma under 10.000 kr.
Arbetstiden för att sätta upp systemet beräknas till ca en arbetsdag.

Allt ska hanteras av verksamheten själv.

Det vi vill att MDM och VPP ska göra

  • Sätta några grundinställningar och restriktioner och skjuta ut dessa trådlöst, med möjligheten att kunna förändra dessa och skjuta ut trådlöst.
  • Konfigurera e-post, wi-fi och annat automatiskt så det är klart när iPaden går ut i verksamheten. Detta ska också skjutas ut och förändras trådlöst.
  • Köpa in och dela ut appar och e-böcker trådlöst.
  • Minimera antalet steg och automatisera så mycket som möjligt, för att få en nyinköpt iPad från kartong till verksamheten i ett nafs. Men även för att snabbt kunna ominstallera – återställa en iPad, eftersom de flesta är delade paddor.

Apple VPP – Volume Purchase Program – Education

Det första vi gör är att ansöka om ett VPP-konto hos Apple. Det är här vi kommer att köpa våra appar och böcker, eller rättare sagt licenserna till dessa. Sedan knyter vi ihop vår MDM med VPP:n.
https://www.apple.com/se/education/it/vpp/

Det här tar ett par dagar att få godkänt, men när det är klart kan vi köpa appar i massor, så länge vi har ett kontokort eller annat godkänt betalmedel inlagt. Det fina är ju att de flesta appar kostar 50% om du köper fler än 20 licenser åt gången.

DEP

I nuläget hoppar vi över DEP.

OSX Server

Mac Minin kör OSX El Capitan, som är den senaste versionen i skrivande stund. Till det köper vi tilläggsprogramvaran OSX Server på App Store som kostar 209 kr.

Servern kommer endast att befinna sig inom verksamhetens egna nätverk och därför bryr jag mig inte om att sätta upp något domännamn för den, utan kallar den helt enkelt för iosserver, vilket gör att den anropas genom det lokala domännamnet https://iosserver.local

Jag aktiverar också Apple Push Notifications så servern kan skjuta ut inställningar och dylikt OTA.

De enda två tjänsterna jag bryr mig om i OSX Server är Caching (för att cacha appar och annat så vi inte sliter på internet för mycket) och Profile Manager (som är själva MDM:en). Resten av tjänsterna är av.
Dock använder jag mig av användare i OSX Server, då de ligger till grund för infon för att kunna trycka ut e-postinställningarna.

Upplägget – från kartong till hand

Jag har döpt alla paddor enligt p001, p002, p003 osv. Användarkontona i OSX server heter också likadant. Jag lade lite tid på att lägga in alla paddor som placeholders i MDM så när de rullas in ligger de redan rätt i systemet med inställningar och appar. Detta stannar också kvar när paddorna installeras om.
Vi behöver inte längre några apple-id till varje padda från iOS9, så det sparar en hel del tid.

Jag har dessutom skapat grupper för appar och grupper för inställningar. En device kan alltså ligga i flera olika grupper. Givetvis går det att lägga inställningar eller appar ända ned på devicenivå.

Om vi tittar på detta i stegnivå vid en nyinstallation av iPad så ser flödet ut så här:

  • iPad packas upp
  • Vi öppnar Apple Configurator på serverdatorn och ställer in namnet på paddan, ex P0003 och kör igång “prepare”.
  • Nu pluggar vi i paddan i datorn och Apple Configurator uppdaterar den till senaste iOS, installerar wi-fi samt enrollar den i MDM automatiskt. Denna process tar ca 3-4 minuter. Vi kan givetvis plugga in fler paddor samtidigt beroende på antal usb-portar.
  • Nu kan vi plugga ur paddan och MDM tar över och skickar ut inställningar, appar och e-postkonto över wi-fi. Här kan egentligen paddan lämnas ut till verksamheten, även om det tar ett tag tills alla appar är nere.

+ Positivt

Jag har än så länge bara positivt att säga om denna lösning. Det återstår dock att se hur det kommer fungera ute i verksamheten och jag får nog återkomma till denna post.
Väldigt enkelt och smidigt att komma igång med och möjligheterna till inställningar och automatisering är stora.

– Negativt

Jag hade önskat att users kunde förbli kopplade till sin device även när ominstallation görs. Det tar iofs inte många sekunder att lägga till den igen, men ändå. Så fort användningen skalas upp blir varje extra klick en extra börda.

Som vanligt, om ni har några frågor får ni gärna ställa dessa i kommentarsfältet.

5 kommentarer
  1. Hej Micke,

    Tack för denna post. Har hjälp mycket om tänket för att lägga upp vår MDM-lösning.

    Två frågor:
    1. Finns det fördelar att döpa paddorna till nummer istället för elevens namn?
    2. Använder ni DEP eller ASM? Fördelar och nackdelar med det val ni gjort.

    Tackar på förhand för svar så här i semestertider.

    Petter

  2. Hej Micke,

    Hade visst en fråga till.
    Hur kopplas epostkonton automatiskt? Det ser ut som ni använder Exchange på era paddor. Vi kommer nog köra med edu.huddinge.se adresser. Är det samma lösning som gäller?

    Tack igen för ett bra inlägg.

    Petter

    1. Ledsen för sent svar.

      1. Finns det fördelar att döpa paddorna till nummer istället för elevens namn?
      Denna setup är gjord till en skola med endast delade paddor. Därav nummer istället för namn. Det finns dock inget som hindrar namn.

      2. Använder ni DEP eller ASM? Fördelar och nackdelar med det val ni gjort.
      Ingetdera. DEP är ju trevligt och det kör vi i Sthlm Stad, men just för detta projekt var det lite overkill. Apple School Manager ser jag inte någon direkt vinst av just nu.

      3. Hur kopplas epostkonton automatiskt? Det ser ut som ni använder Exchange på era paddor.
      Alla e-postkonton är inlagda som konton i OSX Server. Sedan finns en inställning för just Exchange som skjuts ut per padda.

  3. Hej Micke!

    Jag jobbar som admin på en liten skola i Västerbotten, och vi har tittat på en liknande lösning.

    Vi tänkte använda oss av ASM och en MDM-server…
    Däremot så tänkte vi installera MDM-servern på en bärbar Macbook Pro. Vad tror du om den lösningen? Eller måste MDM-servern alltid vara online för att iPads ska fungera?

    Tacksam för svar!
    Vänligen
    Simon

    1. Hej Simon
      Den burk som ni kör MDM-servern på bör alltid vara på och online för att det ska fungera bra. Dessutom bör den vara kopplad fysiskt till nätet, dvs inte via wifi, då mycket data går via den.
      Tänk dessutom på att ha någon enkel backup på den i form av extern disk.
      MVH Micke

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *