Dzisiaj bierzemy na warsztat system Samsung Knox Manage, ale nie tylko w kontekście urządzeń z Androidem, z którymi jest najczęściej kojarzony. Okazuje się bowiem, że Knox Manage całkiem sprawnie radzi sobie z zarządzaniem flotą urządzeń z logo nadgryzionego jabłka (iOS, iPadOS, macOS) oraz okienkami Microsoftu (Windows 10/11). Tak, tak, dobrze czytacie! Samsung postanowił wyjść naprzeciw potrzebom firm, które mają w swoich zasobach prawdziwe technologiczne ZOO.

Zanim zaczniemy – przygotowania ogólne

Zanim rzucimy się w wir konfiguracji, jest kilka rzeczy, o które musimy zadbać globalnie, niezależnie od tego, czy będziemy zarządzać iPhonem szefa, czy laptopem z Windowsem nowej stażystki.

Klucz do świata Apple: certyfikat APNs

Jeśli myślicie o zarządzaniu urządzeniami Apple (iOS, iPadOS, macOS), bez jednej rzeczy ani rusz – mowa o certyfikacie APNs (Apple Push Notification service). To taki cyfrowy listonosz, który dostarcza polecenia z konsoli Knox Manage prosto na urządzenia Apple. Bez niego, Wasze iPhone’y i MacBooki będą głuche na wołania administratora.

W Knox Manage konfiguracja jest prosta jak budowa cepa (no, prawie):

1. W konsoli Knox Manage przejdź do sekcji Ustawienia (ang. Settings) [1]
2. Następnie wybierz iOS/macOS [2]
3. Znajdź i kliknij Ustawienia APNs (ang. APNs Setting) [3]
4. Tutaj będziecie musieli pobrać żądanie podpisania certyfikatu (CSR) [4] z Knox Manage, następnie zalogować się na portalu Apple Push Certificates Portal przy użyciu swojego Apple ID (firmowego, nie prywatnego – błagam!), wygenerować certyfikat i wreszcie załadować go z powrotem do Knox Manage [5]

Pro Tip: Pamiętajcie, że certyfikat APNs jest ważny przez rok. Zapiszcie sobie w kalendarzu przypomnienie o jego odnowieniu, bo inaczej obudzicie się z ręką w nocniku, a Wasze jabłuszka przestaną słuchać.

Zarządzanie urządzeniami iOS w Knox Manage – witajcie w sadzie!

Mamy już APNs, więc czas zaprosić pierwsze iPhone’y i iPady do naszej zarządzanej rodziny. Knox Manage oferuje tu kilka scenariuszy.

Rejestracja urządzeń iOS – jak zapisać jabłko do szkoły Samsunga?

Knox Manage, podobnie jak inne systemy MDM, daje nam wybór, jak chcemy „zapisać” urządzenia iOS.

1. Rejestracja inicjowana przez użytkownika (User-initiated enrollment):
   • Idealna dla scenariuszy BYOD (Bring Your Own Device), gdzie pracownik korzysta z prywatnego iPhone’a do celów służbowych.
   • Proces jest prosty: użytkownik otrzymuje specjalny link URL do portalu rejestracyjnego Knox Manage (np. nazwafirmy.knoxmanage.com) oraz swoje dane logowania, ewentualnie skanuje kod QR.
   • Następnie pobiera agenta Knox Manage z App Store i postępuje zgodnie z instrukcjami na ekranie. Kilka kliknięć i gotowe! Telefon jest pod częściową kontrolą firmy, zgodnie z ustawionymi politykami.
2. Automatyczna rejestracja urządzeń Apple (Apple Automated Device Enrollment – ADE), dawniej DEP:
   • To jest złoty standard dla urządzeń firmowych. Jeśli kupujecie iPhone’y czy iPady bezpośrednio od Apple lub autoryzowanych resellerów (takich jak polscy operatorzy – Plus, Orange czy T-Mobile, którzy często mają ciekawe oferty dla biznesu), możecie skorzystać z Apple Business Manager (ABM).

   

   • Integracja ABM z Knox Manage to bajka:
     1. W Knox Manage, w sekcji Rejestracja urządzenia (ang. Device Enrollment) [1] -> Apple ADE (Automated Device Enrollment) -> Ustawienia serwera (ang. Server Setting) [2]
     2. Pobieracie stamtąd klucz publiczny serwera MDM [3]
     3. Logujecie się do swojego portalu ABM, tworzycie serwer MDM dla Knox Manage i wgrywacie pobrany klucz

     

     4. Pobieracie token serwera z ABM

     

     5. Wracacie do Knox Manage i wgrywacie ten token [4]. Efekt? Każde nowo zakupione i przypisane w ABM urządzenie, po pierwszym uruchomieniu i połączeniu z internetem, automatycznie zarejestruje się w Knox Manage. Bez dotykania przez administratora! Magia, prawda? Użytkownik odpakowuje, włącza i od razu ma skonfigurowane wszystko, co trzeba.

Profile konfiguracji dla iOS – dyrygowanie jabłkową orkiestrą

Mamy już urządzenia w systemie, więc czas nadać im odpowiednie polityki i konfiguracje. W Knox Manage robimy to za pomocą profili.

1. Tworzenie profilu iOS:
   • Przejdź do sekcji Profil (ang. Profile) w konsoli Knox Manage [1]
   • Kliknij Dodaj (ang. Add), a następnie wybierz Profil iOS (ang. iOS Profile).
   • Nadaj profilowi nazwę, która coś mówi, np. „iOS Standard Firmowy” albo „iOS Marketing Bezpieczny” [2]



2. Co możemy skonfigurować? Całkiem sporo!
   • Ograniczenia (Restrictions): Tutaj poszalejecie! Chcecie zablokować App Store, żeby pracownicy nie instalowali TikToka na służbowym iPadzie? Proszę bardzo. Wyłączyć aparat, zrzuty ekranu, AirDrop? Nie ma problemu. Knox Manage daje Wam tu spore pole do popisu, aby dostosować urządzenie do wymogów bezpieczeństwa i produktywności.
   • Wi-Fi: Automatyczna konfiguracja dostępu do firmowej sieci Wi-Fi. Wystarczy raz ustawić, a urządzenia same będą się łączyć. Koniec z pytaniami „Jakie jest hasło do Wi-Fi?”.
   • E-mail (Exchange ActiveSync): Skonfigurujcie konta pocztowe Exchange ActiveSync. Użytkownik dostaje urządzenie i od razu ma dostęp do maili, kalendarza i kontaktów.
   • Polityka haseł (Passcode Policy): Wymuście stosowanie silnych haseł blokady ekranu. Możecie zdefiniować minimalną długość, złożoność, czas do automatycznej blokady. Podstawa bezpieczeństwa!
   • Zarządzanie aplikacjami (App Management):
     • Aplikacje publiczne z App Store: Możecie zdalnie instalować (lub wymuszać instalację) aplikacji dostępnych w publicznym App Store.
     • Aplikacje z programu zakupów hurtowych (VPP – teraz Apps and Books): Jeśli kupujecie aplikacje hurtowo przez Apple Business Manager, możecie je łatwo dystrybuować na zarządzane urządzenia, zachowując licencje w firmie. Ścieżka dodawania: Aplikacje (ang. Applications) -> Dodaj (ang. Add) -> Business (VPP).
     • Aplikacje wewnętrzne (In-house): Jeśli tworzycie własne aplikacje dla pracowników, możecie je dystrybuować z pominięciem App Store. Ścieżka dodawania: Aplikacje (ang. Applications) -> Dodaj(ang. Add) -> In-house.

Po skonfigurowaniu profilu, przypisujecie go do odpowiedniej grupy urządzeń lub użytkowników. I voilà! Polityki zaczynają działać.

Zarządzanie macOS w Knox Manage – jabłko na większym ekranie

Proces jest bardzo zbliżony do tego, co widzieliśmy dla iOS:

• Rejestracja: Podobnie, można skorzystać z rejestracji inicjowanej przez użytkownika (instalacja agenta) lub, co jest rekomendowane dla urządzeń firmowych, przez Apple Business Manager (ADE).
• Profile konfiguracji: Dostępne są również profile dla macOS, pozwalające na zarządzanie ustawieniami systemu, bezpieczeństwem i aplikacjami.

Zarządzanie Windows 10/11 w Knox Manage – okienka pod kontrolą Samsunga!

No dobrze, jabłka mamy z grubsza ogarnięte. A co z drugą stroną barykady – urządzeniami z Windows? Tu Knox Manage również pokazuje pazur, oferując całkiem zaawansowane możliwości.

Rejestracja urządzeń Windows – jak zaprosić Microsoft do koreańskiego domu?

1. Integracja z Azure Active Directory (Azure AD) dla Windows Autopilot:
   • To jest wisienka na torcie dla nowoczesnego zarządzania Windows. Jeśli Wasza firma korzysta z Azure AD (szczególnie w wersji Premium), możecie skonfigurować tzw. „out-of-the-box experience” (OOBE). Użytkownik wyjmuje laptopa z pudełka, loguje się swoimi firmowymi danymi Azure AD, a urządzenie automatycznie rejestruje się w Knox Manage i pobiera wszystkie konfiguracje.
   • Konfiguracja wymaga dodania Knox Manage jako aplikacji MDM w Azure AD. W konsoli Knox Manage znajdziecie odpowiednie adresy URL, które trzeba wkleić w ustawieniach Azure AD. Ścieżka w Knox Manage: Rejestracja urządzenia (ang. Device Enrollment) -> Windows (ang. Windows) -> Ustawienia rejestracji (ang. Enrollment Settings). Należy również skonfigurować zakres użytkowników MDM w Azure AD.

1. Rejestracja ręczna (Manual enrollment):
   • Jeśli nie macie Azure AD Premium lub dla specyficznych scenariuszy, użytkownik może ręcznie zarejestrować urządzenie.
   • Wystarczy, że wejdzie na specjalny portal Knox Manage (np. nazwafirmy.knoxmanage.com) używając przeglądarki na swoim komputerze z Windows, zaloguje się i pobierze agenta Knox Manage. Po instalacji agenta, urządzenie pojawi się w konsoli.
2. Rejestracja zbiorcza za pomocą pakietu aprowizacyjnego (Bulk enrollment / Provisioning Package):
   • Świetna opcja do szybkiego przygotowania większej liczby urządzeń bez Azure AD.
   • Używacie narzędzia Windows Configuration Designer (WCD) do stworzenia pakietu aprowizacyjnego (.ppkg). Knox Manage dostarcza skrypt lub szczegóły potrzebne do tego procesu. Ścieżka w Knox Manage: Rejestracja urządzenia (ang. Device Enrollment) -> Windows (ang. Windows) -> Ustawienia rejestracji (ang. Enrollment Settings).
   • Gotowy plik .ppkg możecie wgrać na pendrive, wysłać mailem lub umieścić na dysku sieciowym. Uruchomienie go na nowym komputerze (np. podczas pierwszej konfiguracji) spowoduje automatyczną rejestrację w Knox Manage.

Profile konfiguracji dla Windows – sterujemy okienkami

Podobnie jak dla iOS, dla Windows tworzymy profile, aby zarządzać konfiguracjami i bezpieczeństwem.

1. Tworzenie profilu Windows:
   • W konsoli Knox Manage: Profile (ang. Profiles) -> Dodaj (ang. Add) -> Profil Windows (ang. Windows Profile).



2. Co ciekawego możemy tu ustawić?
   • Szyfrowanie BitLocker: Możecie wymusić szyfrowanie dysków za pomocą BitLockera i co ważne – skonfigurować przechowywanie kluczy odzyskiwania w Knox Manage. Bezcenne, gdy użytkownik zapomni hasła!
   • Ustawienia Windows Defender / Antywirus: Zarządzajcie wbudowanym antywirusem Windows Defender, konfigurujcie skanowanie, aktualizacje definicji.
   • Polityka haseł (Password Policy): Wymagajcie silnych haseł logowania, ustawcie polityki blokady konta.
   • Certyfikaty (Certificates): Dystrybuujcie certyfikaty (np. dla Wi-Fi EAP-TLS, VPN) na zarządzane komputery.
   • Konfiguracja Wi-Fi, VPN: Zdefiniujcie profile sieci bezprzewodowych czy połączeń VPN.
   • Zarządzanie aplikacjami (Application Management):
     • Pakiety MSI: Dystrybuujcie i instalujcie tradycyjne aplikacje Windows w formacie .msi. Ścieżka dodawania aplikacji: Aplikacje (ang. Applications) -> Dodaj (ang. Add).
     • Aplikacje UWP (Universal Windows Platform): Zarządzajcie również nowoczesnymi aplikacjami ze sklepu Microsoft Store lub własnymi aplikacjami UWP.
   • Tryb Kiosku (Assigned Access): Skonfigurujcie urządzenie Windows do pracy w trybie kiosku – z jedną aplikacją (np. przeglądarka na stanowisku informacyjnym) lub z wybranym zestawem aplikacji.
   • Zarządzanie aktualizacjami Windows (Windows Updates): Kontrolujcie, jak i kiedy instalowane są aktualizacje systemu Windows. Możecie ustawić aktywne godziny, odroczyć aktualizacje funkcji czy jakościowe.
   • Device Firmware Configuration Interface (DFCI): To jest prawdziwy game-changer! DFCI pozwala zarządzać ustawieniami UEFI/BIOS z poziomu MDM. Wyobraźcie sobie, że możecie zdalnie wyłączyć kamerę, mikrofon, porty USB czy zmienić kolejność bootowania na poziomie firmware’u! Samsung mocno podkreślał tę funkcjonalność jako wyróżnik.

Zdalne akcje dla Windows – Magiczne sztuczki administratora

Knox Manage pozwala na wykonywanie zdalnych poleceń na zarządzanych komputerach z Windows. Do dyspozycji mamy m.in.:

• Wyczyść (Wipe): Zdalne przywrócenie urządzenia do ustawień fabrycznych (przydatne w przypadku zgubienia lub kradzieży).
• Zablokuj (Lock): Zdalne zablokowanie urządzenia.
• Uruchom ponownie (Restart): Zdalny restart.
• Wdrożenie plików (File Deployment): Możliwość wysłania plików na urządzenie.
• Wykonywanie skryptów (Script Execution): Uruchamianie własnych skryptów (np. PowerShell) na urządzeniach.

Licencjonowanie i wsparcie – Gdzie po Knoxa?

Knox Manage jest częścią większego pakietu o nazwie Knox Suite, który zawiera również inne ciekawe narzędzia. Jeśli chodzi o licencje i wsparcie techniczne, warto zgłosić się bezpośrednio do Samsunga lub ich autoryzowanych partnerów. W Polsce wielu operatorów komórkowych, takich jak Plus, Orange czy T-Mobile, oferuje rozwiązania MDM i może pomóc w doborze odpowiednich licencji oraz zapewnić wsparcie.

Podsumowanie – Knox Manage nie tylko Androidem stoi!

Jak widzicie, Samsung Knox Manage to nie tylko narzędzie do zarządzania smartfonami Galaxy. To całkiem kompetentna platforma UEM (Unified Endpoint Management), która pozwala objąć kontrolą również urządzenia z iOS, macOS i Windows. Oczywiście, jak każde rozwiązanie, ma swoje mocniejsze i słabsze strony w porównaniu do dedykowanych systemów dla danej platformy (np. Jamf dla Apple czy Intune dla Windows), ale jako część zintegrowanego pakietu Knox Suite, oferuje spójne środowisko do zarządzania różnorodną flotą urządzeń.

A jak już ogarniecie wszystkie integracje w Knox Manage, to zainteresujcie się tematem Zero Trust 😉

Do następnego!