!!L?sningen er i en tidlig fase og mindre endringer kan forekomme
Det er tidvis behov for maskiner som har helt spesielle funksjoner og oppgaver i laboratorier, til instrumentstyring, eller andre forskningsrelaterte bruksomr?der. Det er av flere grunner ofte ikke hensiktsmessig eller ?nskelig at disse maskinene er sentralt administrert, men av sikkerhetsmessige grunner er det likevel ?nskelig at disse er innrullert i management systemet til UiO.
Non-managed enrolment er en l?sning som kan benyttes i disse tilfellene. Enhetene innrulleres i Workspace One, men blir er adskilt fra den ?vrige maskinparken, og vil ikke f? de normale administrasjonsprofilene, programmer eller innstillingene fra systemet. Det vil installeres et absolutt minimum av ressurser ved innrullering som gj?r at det kan hentes ut begrenset telemetri fra systemet, samt sende l?se, eller slette maskin kommando til enheten i tilfelle utstyret skulle bli borte.
Slik fungerer det
Maskinen m? v?re registrert i UiO?s Apple School Manager. Her tilegnes den en egen DEP profil som sender maskinen til Workspace One "Non-managed enrollment" ved f?rstegangs oppstart. Man f?r beskjed i oppsettsassisten at maskinen er administrert av UiO. Etter dette innrulleres automatisk med en "staging bruker". N?r dette er gjort vil maskinene starte opp med Apples setup assistant, og bruker kan oppretter lokal brukerkonto p? systemet som om maskinen var unmanaged. Dette er ikke enn UiO bruker, og den vil ikke ha noen tilknytning til UiO brukerdata. Maskinen vil etter alle praktiske form?l fungere som en ikke-administrert maskin. Bruker vil ha full admintilgang med root privilegier.
Prosedyre for ? f? Non-managed enrolment.
Avvik fra normalt driftsopplegg skal godkjennes av it-sikkerhet. Foresp?rsel om dette fylles sendes it-sikkerhet via RT. Henvendelse m? inneholde serienr p? enheten, og en begrunnelse for behovet.
Godkjent foresp?rsel g?r videre til Mac-gruppen, som setter en egen DEP profil p? maskin. N?r dette er gjort sendes beskjed til requestor, og maskinen kan settes opp og klargj?res.
Krav
Maskinens bruksomr?det skal avvike vesentlig fra normal bruk. Det skal v?re behov for en h?y grad av lokal tilpasning, og fare for at sentral administrasjon, og endringer i denne, kan knekke lokalt oppsett p? maskin ved endringer gjort sentralt.
Det vil normal sett v?re krav om at disse maskinen er koblet til instrumentnett, og ikke har normal internett tilgang.
Maskiner med non-managed enrolment er ikke ansett som personlig enheter, og GPS posisjonering vil av sikkerhetsmessige grunne v?re aktivert p? disse.
Hva installeres p? maskinen?
Det installeres et minimum av resursser p? maskinen for at den skal ha kontakt med management systemet. Managementet er obligatorisk, og kan ikke fjernes av bruker.
Software:
- Intelligent HUB. Dette er agentprogramvaren som s?rger for kommunikasjonen mellom maskin og management system.
Profiler:
- Device Manager profil. Binder maskin til Management System
- Intelligent HUB Settings. Gir n?dvendige rettigheter til agentprogramvaren
- Privacy profil. Gir mulighet for ? sende Push meldinger til maskin, samt GPS lokalisering.
- LocationService Status profil. Sjekker status p? LocationServices daemon
Brukere:
- Uioitadmin. Skjult adminbruker med roterende passord. Denne kan benyttes til av drifts personell med tilgang til maskin i driftsopplegg.
Hvilke data samler vi:
Vi samler inn f?lgende data om enheten; hardware, systemversjon, lokasjon og sikkerhetsinfo.
Dersom bruker velger ? kryptere disken ( anbefales p? det sterkeste ) vil kryperingsn?kkelen overf?res til systemet. Siden vi benytter en statisk "staginguser" til innrullering kan vi ikke koble maskin til bruker. Brukerkontoen som opprettes av bruker etter innrullering er "usynlig" for driftssystemet.