Skip to main content
Yleinen

IOS/IPADOS-laitoksen rollauttaminen Intuneen käyttäjävetoisesti – Ai ettien että!

Kirjoittanut 17.12.202128 huhtikuun, 2022Ei kommentteja3 min lukuaika

Taustojen maalailu

Tässä fiktiota mahdollisesti hipovassa skenaariossa sinulle on pilviherrana annettu tehtäväksi rollauttaa kaikki yrityksen iLaitteet Intunen pauloihin. Tämähän vain passaa, koska käyttäjillä oli ennestään jo shoppailtu järeähköt Microsoft 365 E3-lisenssit tulille. Ainoa nice to have -palanen, joka puuttui palvelupinosta, oli järkevästi konfiguroitu Applen Business Manager.

ABM:n uupuminen pinosta ei sinänsä estä hankkeen onnistumista, mutta se aiheuttaa vähän ylimääräistä humppaa loppukäyttäjille Intune-rolliksen yhteydessä.

Erittäin karkeasti ja ylhäältä ilmaistuna ABM pitää kiinni laitteen ja yrityksen omistajuussuhteesta, tästä ei tavantallaaja IOS-kapteeni pääse rimpuilemaan irti. ABM ohjaa myös automaagisesti uudet laitteet suoraan boksista kohti Intunen syövereitä, jos uudet laitokset ovat käyneet läpi DEP-prosessin toimittajan osalta.

Etevänä pilvijefenä olet jo julkaissut firman intraan kivan interaktiiviset ohjeet MFA:n rekkaamisesta ja iLaitteiden käyttäjäpohjaisesta rollauksesta Intuneen. Olet myös saanut onnistuneesti Intunen ja Applen hallintakanavat lyömään käsipäivää tervehdykset ja pystyt autorisoimaan firman omaan sovelluskauppaan appisia Applen virallisesta app storesta. MDM-sertit ovat myös leimattu ja good to go.

Tässä kohden noheva pilvikurgo tekee kalendaaririitin, eli merkkaa tasan 364 päivän päähän all capseilla APPLE MDM SERTIN UUSINTA.

Konffeja myöden kaikki näyttää olevan valmista suureen päivään ja H-hetkeen.

”Tässä on jotain vikaa!”

Aamutuimaan ensimmäistä kahviasi ryystäessä Teamssi alkaa paukkumaan loppukäyttäjien sos-viesteistä. Keskeisin asiasisältö näyttäisi olevan se, että hallintaprofiilin lataus näyttää vain looppaavan ad nauseum saamatta mitään järkevää aikaiseksi.

Onneksi nokkelana iLuuri-teknikkona hiffaat noin heti, mistä tässä on kysymys. Nimittäin…

Vaikka tempausta suorittavana tahona näyttäisi olevan Intunen oma selain, on kysymyksessä oikeasti Safarin metkut. Nimittäin tässä arkkitehtuurissa on aivan se ja sama, mitä selaimia on ajossa, on pohjalla aina Safarin kirjastot ja niihin liittyvät asetukset.

Tarkistetaan siis Safarin asetuksista parit muuttuja. Asetuksia säätäessäsi huomaat, että Safarin settingsit ovat tosiaankin aivan eri tierillä, kuin tavallisten kuolevaisten virkkaamien appsien.

Eli Asetukset->Safari->Lisävalinnat.

Täällä olisi hyvä olla päällä JavaScript ja tietyissä skenaarioissa myös Etäautomaatio:

Asetellaan siis nämä vivut asentoihin ja pyydetään käyttäjää aloittamaan Intune-rollis alusta. Nyt siis pitäisi onnistua hallintaprofiilin haku ja myöhempi käyttöönotto.

”VIELÄKIN TULEE IHAN KUMMALLISIA HERJOJA!”

Ai pentele! Vieläkään ei jörni liitos? Vaikka käyttäjän iLaitos on seriaalia myöden Intunen lastauslaiturilla odottelemassa ja käyttäjällä rollaukseen oikeuttava security grouppi.

Kas, eipä varmaan onnistukkaan, koska tässä skenaariossa edeltävä pilviverhojen keisari oli kaltannut E3-lisenssistä Intuneen oikeuttavan planin pois.

Miksi? Tätä emme saa koskaan tietää. Navigoidaan siis huutavan käyttäjän tietoihin Azure AD:n syövereihin:

Dashboard->All users->klikataan haluttu ongelmakäyttäjä auki.

Kohdasta licenses ja valikoidaan tämän tarinan kontekstissa E3.

KAS KAS! Haluttu plani tosiaankin oli asennossa off. Näprätään se asentoon on ja yritetään uudestaan rollausta.

”Missä se luvattu work-profiili on!?”

Suolaisia keksejä luvassa, kyseessä on Android-ominaisuus, jota ei ole saatavilla 1:1 IOS/IPADOS -laitoksiin. Miksi näin? Koska Steve Jobsin haamu haluaa asiain laitojen olevan näin.

Näihin kuviin ja tunnelmiin, sekä kohti liikevoittoja!

– Pilvipalvoja Kai Kolima