iWant

Nasazujeme produkty Applu v byznysu #1: MDM jako základ všeho

iWant

Seriálem „Nasazujeme produkty Applu v byznysu“ pomáháme se šířením osvěty, jak lze efektivně integrovat iPady, Macy nebo iPhony do provozů firem a institucí v České republice. V prvním díle se zaměříme na program MDM.

Celý seriál najdete na Jablíčkáři pod štítkem #byznys.



V prvním díle našeho seriálu se podíváme na integraci iPadů do výrobní společnosti, která je využívá pro zefektivnění práce přímo ve výrobě, konkrétně na prvotní proces výběru produktů, jejich instalaci a následné správy.

Společnost AVEX Steel Products je výrobcem skladovacích a transportních palet pro automobilový průmysl. V minulosti firma řešila stejně jako dnes většina firem otázku efektivity práce na jednotlivých pracovištích. AVEX se v tomto konkrétním případě zaměřil na zvýšení produktivity odstraněním stávajících nefunkčních mechanizmů, postavených na distribuci informací ve výrobě na papíru.

Jednotlivé pracovní stanice získávaly informace o zakázce, uskladnění a výrobě v papírové formě, případně docházely za vedoucím směny, který měl všechna data na svém stanovišti v počítači. Tento neproduktivní a především neefektivní způsob přenosu informací jednotlivým pracovníkům výroby se rozhodli řešit zavedením tabletů na jednotlivá pracovní stanoviště.

Tablety tak začaly suplovat papíry s výkresy, informacemi o zakázkách a skladovém hospodářství. Lidé přestali ztrácet papíry s informacemi, získali přehled o zakázce a mohli se začít věnovat především své práci a nikoliv administraci.

ipad-byznys5

První kroky, když chcete do firmy nasadit iPady

Způsob, jakým dnes v AVEXu tablety využívají, zásadně změnil celý chod výroby a celkovou informovanost o jednotlivých zakázkách. K tomu, jak probíhala tato zásadní změna, která vedla k navýšení produktivity a zefektivnění činnosti v AVEXu, se ovšem podrobněji vrátíme v jednom z následujících dílů. Nyní se zaměříme na nutnou teorii, kterou vše začíná.

Na úplném počátku všeho totiž pro firmu AVEX bylo rozhodnutí, jaké tablety pořídit a jakým způsobem se o ně bude firma starat. Zcela klíčové pro jejich nasazení byly následující dotazy.

  1. Jaký tablet zvolit?
  2. Jak si poradit s přípravou a nastavením většího množství tabletů?
  3. Jak instalovat potřebné aplikace pro distribuci výkresů, zakázek a skladů do tabletů?
  4. Jak se bude o tablety firma starat?
  5. Jak zajistit uživatelský komfort ve výrobě, aniž by byly kladeny na zaměstnance zvýšené nároky na technickou znalost nastavení tabletů?

V době realizace projektu připadal do úvahy pouze jediný tablet na trhu, který splňoval všechny definovaná kritéria. Jimi zdaleka nebyla jen cena, ale především reference z obdobných nasazení ve výrobním prostředí, jednoduchost vývoje stabilní aplikace pro potřeby výroby na míru společnosti, možnost tablet celkově ovládat vzdáleně, znemožnit uživateli náhodné smazání aplikací a úpravy nastavení v tabletu.

Tablety, které dnes na trhu pořídíte, se sice tváří, že všechny tyto funkce splňují, ale stále velký kus cesty zaostávají za možnostmi, kterými disponuje právě iPad.

ipad-byznys11

Do AVEXu se tedy pořídily iPady a na řadě byl další krok. Firma potřebuje nainstalovat několik aplikací, které uživatelům ve výrobě umožní přístup k informacím a práci se zakázkou ve výrobě. Představte si větší množství zařízení a správce IT, který je musí všechny nejprve nastavit, nainstalovat aplikace, připojit na Wi-Fi a zabezpečit proti náhodnému odinstalování a změnám v nastavení. Navíc je potřeba zajistit také bezpečnost dat, jež aplikace obsahují, a zabránit jejich případnému odcizení z provozu.

V této fázi přichází na řadu technologie MDM (Mobile Device Management), neboli mobilní správa zařízení. Vše, co bude firma pro nastavení, instalaci a správu iPadů potřebovat, zvládá právě tato technologie od Applu.

Na trhu existuje několik poskytovatelů služby MDM a ceny se pohybují od 49 do 90 korun za zařízení měsíčně. Firmy také mohou využít nativní serverové aplikace od Applu, která zajistí správu všech iOS a Mac zařízení bez měsíčních poplatků a takzvaně on premise.

Než si zvolíte správné řešení, je potřeba si definovat, co budete od této služby vyžadovat. Jednotliví poskytovatelé se od sebe mohou lišit v možnostech nabízených funkcionalit a s tím také souvisí i koncová cena. V našem případě se zaměříme na základní funkce MDM, které dostatečně naplňují všechna kritéria firmy AVEX.

MDM jako klíč ke všemu

MDM je řešení pro správu mobilních zařízení a zároveň technologie, jež se rázem stane nejlepším pomocníkem pracovníka IT, který má na starosti právě správu iPadů.

„Díky MDM může správce mobilních zařízení vykonávat časově náročné operace, jako je například hromadná instalace aplikací nebo nastavení Wi-Fi, a to vše během pár vteřin,“ vysvětluje Jan Kučeřík, který se dlouhodobě zabývá implementací produktů Applu do různých odvětví lidské činnosti a s nímž na tomto seriálu spolupracujeme. „Stačí jen, aby správce zadal z jakéhokoliv zařízení s webovým prohlížečem příkaz k dané operaci pro všechny iPady najednou.“

„V řádu sekund začne probíhat instalace, a to bez ohledu na to, kde se jednotlivé iPady momentálně nacházejí. Instalaci lze například udělat z iPhonu během cesty mezi kanceláří a skladem. Správce má také kompletní přehled o všech zařízeních, vidí například, kolik zbývá v každém iPadu místa na disku nebo jaký je aktuální stav baterie,“ dodává Kučeřík.

Pro potřeby výrobní firmy jako je AVEX můžete pomocí MDM skrýt například App Store nebo iTunes a zabránit tak koncovým uživatelům přihlášení pod jiným Apple ID. Můžete zcela znemožnit mazání aplikací, zakázat změnu pozadí či definovat parametry kódového zámku jako jeden z prvků firemní bezpečnosti. MDM také umí skrýt jakoukoliv aplikaci v iPadu.

„Ne vždy je žádoucí, aby koncový uživatel brouzdal na Facebooku nebo na internetu,“ uvádí příklad Kučeřík s tím, že MDM si poradí i se správou hesel a nastavením Wi-Fi, což je taktéž klíčová vlastnost.

mdm

Aplikace zmizí, když je potřeba

Ve firemním prostředí můžete dokonce nastavit lokalitu, kdy se všem zařízením automaticky vypnou nebo z nich zmizí fotoaparáty, což se hodí například tehdy, když potřebujete chránit výrobní tajemství. „Nemusíte tak přelepovat čočky izolepou, jak je dnes běžná praxe,“ pokračuje Kučeřík.

Uplatnění geolokačních funkcí v MDM je několik. Správce iPadů může nastavit politiku geolokace iPadů tak, že pokud by zařízení opustilo vymezený prostor, může automatizovaně dojít ke smazání dat. Správce je vždy informován o porušení nastavené lokace uživatelem, jakmile zařízení opustí vymezený prostor. Využití je mnoho a převážná z nich vede k maximálnímu zajištění firemních dat proti jejich zneužití.

„MDM mi umožňuje poslat na kterýkoliv iPad aplikaci, kterou tam potřebuji. Můžu nastavit bezpečnostní politiku pro iPad nebo skupinu iPadů a zakázat zbytečnou, případně nepotřebnou funkcionalitu vzhledem k požadovanému využití iPadu. Současně s hlídáním geografické polohy je MDM mocným nástrojem pro firemní prostředí,“ potvrzuje IT manager AVEX Steel Products Stanislav Farda.

Jak je na tom soukromí?

V tuto chvíli je možné namítat, že díky MDM se z iPadů a iPhonů vytrácí soukromí a bezpečnost uživatelem zadaných dat. Co když bude uživatel chtít použít své vlastní zařízení? Může správce nahlížet do mých zpráv, e-mailů nebo si prohlížet fotografie? Režimy nastavení MDM pro iOS zařízení dělíme na dva – supervizovaný a režim bez supervize, takzvaný BYOD (Bring Your Own Device).

„Zařízení, které je v majetku soukromé osoby a nikoliv ve vlastnictví firmy, převážně nastavujeme v režimu bez supervize. Tento režim je významně benevolentnější a správce MDM nemůže se zařízením uživatele dělat na dálku cokoliv, co jej zrovna napadne.

„Toto nastavení slouží především jako vzdálená technická podpora a nástroj pro poskytování nastavení a instalaci aplikací v prostředí, v němž se uživatel v rámci firmy pohybuje,“ vysvětluje Kučeřík.

Režim bez supervize

Jak se tedy nastavení bez supervize chová a jaké benefity přináší uživateli ve firemním prostředí a co může správce pomocí MDM vzdáleně nastavit? „Jde například o přístupy na Wi-Fi sítě, nastavení VPN, Exchange serverů a e-mailových klientů, může instalovat nové fonty, instalovat podpisové a serverové certifikáty, instalovat aplikace pro firemní použití, nastavit přístupy na AirPlay, instalovat tiskárny nebo přidávat přístupy pro odebírané kalendáře a kontakty,“ vyjmenovává Kučeřík.

Instalace aplikací v režimu bez supervize se významně liší od té s vyšším dohledem. Uživatel v tomto případě obdrží na displej svého iOS zařízení informaci o tom, že správce MDM se chystá instalovat aplikaci do jeho zařízení. Je pak na samotném uživateli, jestli instalaci povolí, nebo zamítne.

IMG_0387-960x582

Správce MDM nemá v tomto režimu jakoukoliv možnost vidět a prohlížet obsah uživatelova zařízení. Samotný Apple by takovou funkci ani nikdy nepovolil a správcům MDM dává do rukou pouze nástroj, kterým zajišťuje maximální uživatelský komfort, nikoliv špehování. „Toto nastavení nelze žádným způsobem obejít,“ zdůrazňuje Kučeřík a podotýká, že podobné je to i se sledováním polohy a lokality, kde se právě zařízení nachází.

„Lokalizace polohy zařízení, neboli určení místa, kde se momentálně vaše zařízení nachází, je funkce, kterou byste jako uživatel v rámci MDM museli na svém zařízení potvrdit, a to tak, že povolíte polohové služby u MDM aplikace, již vám správce do iOS zařízení nainstaluje. Bez kombinace vašeho povolení této funkce na zařízení v rámci polohových služeb a písemného souhlasu není možné určovat vaši momentální polohu,“ ujišťuje Kučeřík.

Správci sítě se tak může zpravidla zobrazovat pouze poloha vašeho poskytovatele síťového připojení, což mnohdy bývá na opačné straně republiky podle toho, kdo je vašim poskytovatelem internetového připojení.

Režim supervize

Nastavení v režimu supervize se využívá především u iOS zařízení, které jsou ve vlastnictví firmy a zaměstnanci mají iPady pouze zapůjčené. V takovémto případě může správce MDM se zařízením dělat téměř cokoliv. Opět je potřeba zmínit, že stejně jako u nesupervizované verze nemůže správce prohlížet obsah zařízení a číst e-maily, prohlížet fotografie a podobně. Toto jsou ale jediná zákoutí, do kterých se správce MDM nedostane. Zbytek dveří je mu tady otevřen dokořán.

Jak je to ale se sledováním polohy zařízení v tomto případě? „V České republice platí zákony a ty musí i správci MDM dodržovat, dojde-li na téma sledování polohy zařízení. V případě supervizovaného zařízení je povinností majitele zařízení, který vám jej zapůjčil do užívání, vás informovat o tom, že zařízení je pod dohledem a jeho poloha je monitorována. Tímto majitel nebo firma splní oznamovací povinnost. V ideálním případě byl měl zaměstnavatel uživatele informovat písemně,“ vysvětluje Kučeřík.

Významným prvkem supervizovaného nastavení je možnost využití takzvaného Single App Mode (režim jediné aplikace). Ten umožní například ve firmě spustit na vybraných iPadech jedinou aplikaci bez možnosti uživatelů ji vypnout nebo přejít v iPadu kamkoliv jinam.

Tato funkce přináší své benefity v momentě, kdy má iPad sloužit jako jednoúčelový nástroj pro výkon definované funkce. Správce iPadů má pro tento nástroj k dispozici na svém iOS zařízení aplikaci, jež během několika málo vteřin spustí požadovaný obsah ve všech vybraných zařízeních. Pro ukončení režimu Single App Mode jednoduše funkci vypne a iPady se do několika vteřin odblokují a umožní naplno využívat jejich potenciál.

V režimu supervize také mimo jiné může správce mazat aplikace, provádět změny v nastavení, propojit iPad s dalším zařízení (Apple Watch), změnit pozadí či se přihlásit do Apple Music a dalších služeb.

„MDM je naprostý základ, bez kterého se neobejdete v případě, že ve firmě uvažujete o implementaci iPadů či iPhonů. Následně přicházejí na řadu nové programy VPP a DEP, které Apple pro Českou republiku spustil teprve vloni v říjnu,“ uzavírá Kučeřík.

Právě programy registrace zařízení a hromadných nákupů posouvají efektivitu využití iPadů v rámci firemního prostředí o výrazný kus dál. O těchto nových programech společnosti Apple se budeme podrobněji bavit v příštím díle našeho seriálu.

  • Michal

    Pěkný článek, je ho zajímavé, ocenil bych ale také články o možnostech pro domácnosti/živnostníky – jednotlivé možnosti a nastavení několika zařízení.

    • Dobrý den Michale. Co konkrétně pro živnostníky máte namysli? Připravují se pokračování a pokud nám dáte námět, který bude odpovídat reálnému řešení, které jsme realizovali, rádi zakomponujeme. V tomto seriále se zaměřujeme na případy z praxe z ČR, abychom nepřinášeli jen teoretické možnosti. Děkuji za komentář.

      • Michal

        Dobrý den, měl jsem na mysli ,,malé řešení,, – v rámci rodiny nebo malé skupiny či třeba živnostníků – příklad – MacBook nebo iMac, iPad, iPhone, Time Capsule, Watch….
        Možnosti které to přinese co do propojení, sdílení obsahu přitom třeba nějaké soukromí, zálohování, zvýšení efektivity, nějaký osobní komfort….
        Prostě když někdo k této platformě chce přejít aby vůbec věděl co vše mu to umožní co třeba ne, jak zařízení pro takové použití nastavit aby se mohl snadno dostat třeba z telefonu nebo iPadu k fakturám v Mac přitom ale nemohl procházet jiné dokumenty a nemusel být na stejném ID, sdílení kalendáře, poznámek nebo obsluha hovoru třeba na Mac.
        Takové ty základy i pokročilé postupy prostě to co když člověk jde od Windows tak v tom tápe a kolikrát ani neví co vše je a není možné.
        Možná to tu už bylo, možná je to velmi snadné, ale nějaký ucelený článek na toho téma jsem zatím nečetl.
        Děkuji.

        • Dobrý den Michale. Děkuji za upřesenění. Ano máte pravdu, že toto téma je také vlemi zajímavé. Myslím, že je to námět pro jablíčkáře a zcela určitě klukům doporučím něco takového sepsat. Aktuálně tento článek je věnován firemnímu prostředí. Sice se v úvodu jeví, že se bavíme o výrobní firmě a MDM, ale budou zde postřehy využitelné a aplikovatelné i pro OSVČ a menší firmy. Témat a obsahu je velká spousta. V každém případě děkuji za námět! Hezký den

          • Michal

            Také děkuji, ano rád si přečtu další pokračování – takovéto vlastní články jsou moc fajn.
            Pěkný den i Vám.

          • Dobrý den, téma pro domácnosti/živnostníky, viz „p.Michal“ bych také uvítal.
            Děkuji

    • Pavel Průcha

      Zrovna toto resi primo Apple sam v zakladu. Vsechna zarizeni jsou si vzajemne propojena v ramci jednoho Apple ID. A skrze iCloud Drive se lze skvele dostat ke vsem dokumentum, treba i tem fakturam.

  • Skvělý seriál, jen tak dále, mě by třeba zajímali možnosti nasazení Outlooku pro Mac ve firemním prostředí, nepodařilo se mi na tom rozjet třeba firemní kalendář, správu kontaktů v outlooku (syncronizace s kontakty v telefonu…)

    • Zdravím Franto z 1.cestovní! Dobré téma a díky za ně. Outlook a všobecně e-mailoví klienti je vleké téma nejen co se týče nastavení, ale také využitelnosti pro firemní prostředí na Apple zařízeních. Do úvahy hraje několik faktorů. Jestli používám ještě iOS zařízení. Pokud ano, jestli chci mít šifrovací (komerční) certifikát, anebo autentizační pro úřady (kvalifikovaný) certifikát, případně oba. Budou tato zařízení s klienty v MDM? Pokud ano nedá se kromě nativního mail klienta zajistit distribuci certifikátů na všechny zařízení. Pak také jakou službu pro doručování a odesílání používáte? exchange, imap, pop3, jaký provider? Faktorů je opravdu moc. Více méně je však vše řešitelné. Odobně používám nativní emailový klient právě kvůli zařazení mým Apple zařízení do MDM a využití také na iOS a certifikátů. Výhodou MDM je, že se nemusíte o nic starat. Potřebujete znát jen heslo, nic víc.

    • Tohle vám vyřeší Office 365. Vlastně i bez práce. To, co poptáváte je všechno v „defaultu“.

  • Adam Vaško

    Zdravim!
    Zajimalo by me zda se da pomoci „free“ MDM primo od Applu osetrit i napr jednoducha zaloha kontaktu, zprav, backup zarizeni apod. Pripadne jaka omezeni ma Apple MDM oproti placenym sluzbam, jestli se to vyplati?
    Konkretne: Mame ve firme cca 15 iphonu, ze zacatku jsme nechavali zamestnance pouzivat sve vlastni AppleID na firemnich telefonech, ale samozrejme se to vymklo kontrole, ztracime prehled o firemnich kontaktech a zarizenich vseobecne… Nemam s MDM vubec zkusenosti, ale rad bych timhle zpusobem zacal kontrolovat vsechna firemni zarizeni, ale nevim kde zacit. Je potreba k nastaveni Mac nebo to jde i na Windows (interni server, mail, vsechno jede na win a ve firme nemame ani jeden mac).

    • Dobrý den pane Vaško. Děkuji za dotaz. Nativním Apple serverem se dá řešit obzvláště u Vás v menší firmě poměrně hodně, obzvláště pokud jsou uživatelská zařízení pouze od Applu. Abych Vám mohl poradit, potřebuji znát více informací. Pokud budete mít zájem, můžete mne kontaktovat osobně. jankucerik@me.com

      • Zdeněk

        Dobrý den. pane Kučeříku. Nešlo by odpovědět zde? Řeším podobnou situaci – firma výhradně na MS serverech, ale cca s dvacítkou iPadů a desítkou iPhonů. Zatím jediné řízení je vynucení bezpečnostní politiky přes eXchange. Ale zajímala by mě možnost vzdáleného nastavování, instalace aplikací, konfigurace wi-fi, přidání mailového účtu. A jako všude, i u nás se šetří (někdy nesmyslně) a tak free řešení by bylo super. Třeba nějaký virtualizovaný nativním Apple serverem? Nebo z mého privátního Maca?

        • Dobrý den Zdeňku a děkuji za děkuji za dotaz. MDM server od Applu má svoje velké výhody, ale nelze zde úplně obsáhnout celou problematiku. Ne že bych nechtěl, ale je toho opravdu moc. Spíše mne napadá, že pro zájemce připravíme s jablickar.cz workshop zabývajíci se tímto způsobem nasazení. Pojali bychom to jednoduše a nízkonákladově, aby byl pro všechny zájemce opravdu dostupný a připravili bychom ho pro Vás v Praze. Cílem workshopu by bylo řešení jak si můžete postavit mdm server sami a jak jej používat. Pokud bude zájem, za jeden den budou schopni všichni účastníci v rámci workshopu schopni odejít s vlastním MDM a bez dalších nákladů na licence a další provoz (kromě vlastních lidských zdrojů). Je k tomu zapotřebí dedikovaný Mac a znalosti.

          • už se těším, pěkný článek

          • Pavel Průcha

            Skvěle ??

          • Elvis Ek

            super, nápad s tím workshopem určitě je nás více, kteří tento problém ve firemním prostředí řeší.

            • Jen musím dopředu zmínit, že toto MDM umí pracovat jen s iOS a macOS. Jiná zařízení tam nedáte.

              • Elvis Ek

                jj s tím počítam :)

  • Zdeněk

    Dobrý den.
    Budou i další seriály? Dost dobře si třeba dokážu představit nasazení nějaké správy zařízení v rámci rodiny (zablokování aplikací dětem, zablokování nastavení, centrální instalace vzdělávacích aplikací, centrální distribuce multimédií do iPadů). Jsme trochu netypická domácnost (5 potomků, všichni máme iPady, my se ženou iPhone a ipady, capsuli, já k tomu macbooka), k tomu se pouštím na pole chytré domácnosti (první krůčky s Netatmo a Philps Hue), takže instalace aplikací na ovládání světel…. by bylo super to celé nějak mít pod kontrolou. Díky

    • Spoustu věcí za Vás obstará i Sdílená domácnost. Pokud nastavíte, platíte za app jednou kartou, všechny se mouhu instalovat do všech iOS a pokud by děti zabrousily do appstore, Vám dojde požadavek na sms z appstoru jestli nákup autorizujete. Vytvoří se rodinné kalendáře, sdílená možnost hudby a další.

      • Teofrast

        Zdravím pane Kučeřík. Nevíte, je nějaká možnost, jak zapnout autorizaci nákupů i pro členy rodiny starší 18ti let?

        • Zdravím! Děkuju za dotaz. Obávám se, že s tím asi nepomůžu. Zapíná se to automaticky u účtu pto děti, ale u dospělých to asi nenastavíte. Zkusím zapátrat. Pokud zjistím opak, ozvu se.