Apple Business Manager nedir? Temel bilgiler

Önce şöyle başlayalım:. Apple Business Manager ne değildir? Apple Business Manager Apple cihazlarınızı yönetebileceğiniz bir tür uzaktan yönetim aracı değildir. Örneğin. Apple cihazlarınıza disk şifreleme komutu göndermek istiyorsanız bunu Apple Business Manager üzerinden yapamazsınız. Ya da RDP (Uzak masaüstü) yapmak için Apple Business Manager’ı kullanamazsınız.

Apple Business Manager bir tür kimlik doğrulama servisi değildir. Microsoft Entra ID veya Google Workspace ile entegre olabilir ama bu kimlik doğrulama ve erişim yönetimi konusunda kullanılabileceği anlamına gelmez.

Apple Business Manager ücretsiz bir portaldır ama yeni bir Instagram hesabı açar gibi hesap açamazsınız. Açarsınız ama bir işinize yaramaz.

Peki nedir bu Apple Business Manager?

Ne olmadığından bahsettik, biraz da ne olduğunu konuşalım. En basit anlatımıyla Apple Business Manager, kurumunuzca satın alınmış Apple cihazların tümünün tutulacağı merkezi bir envanter portalıdır. Önce biraz bu cihaz envanteri konusunu açalım.

Şirketiniz yeni bir satın alım yapacağı zaman satın alma biriminiz çeşitli kurumlardan teklif toplayıp aralarından koşulları en uygun olanı tercih ediyor olmalı. Satın alma birimleri doğaları gereği aynı ürünü en ucuza ve en uzun vade ile satın almaya çalışacaktır. Apple ürünlerini kurumsal olarak satın almak söz konusu olduğunda 3 teklif toplayıp aralarından en uygun fiyat veren şirketi seçmek, bazen sonradan daha pahalıya mal olabilir.

Resmi olarak Apple Türkiye‘nin yurdumuza getirdiği cihazları satabilen Apple iş ortakları kabaca kendi aralarında ikiye ayrılır. Kurumsal iş ortakları ve perakende satış yapan iş ortakları. Perakende olarak satan iş ortakları arasında Teknosa ve Vatan Bilgisayar ve benzeri zincir mağazaları sayabiliriz. Kurumsal olarak Apple ürünlerini satan şirketlerin de sadece bazıları kendilerini Apple’a DEP (Device Enrollment Program) kapsamında satış yapabilen bayiler olarak tanıtmışlardır. Pozitif Teknoloji, Aynet Teknoloji, KoçSistem, Artı & Artı, Innova, Turkcell, Kuralkan, Egemek, TVT, MediaMarkt Kurumsal gibi firmaların yanısıra Apple’ın şu anda Türkiye’de bulunan 3 adet mağazası da (Zorlu, Akasya ve Bağdat Caddesi) yine kendilerini Apple’a DEP kapsamında satış yapabilen kurumsal iş ortağı olarak tanıtmışlardır. Son cümle biraz kafa karışıklığı yaratmış olabilir diye tekrar ediyorum; Apple’ın mağazaları da kendilerini Apple’a bir DEP yetkili satıcısı olarak kaydettiriyor.

Bu şirketlerin kendilerini Apple’a tanıtmaları sadece bir adet form doldurarak ya da sözleşme imzalayarak gerçekleşmez. Bu firmaların tümü kendi ERP çözümlerini Apple ile iletişim kurabilir hale getirmişlerdir. Bu bağlamda bu şirketlerin DEP kapsamında sattıkları cihazlardan Apple’ın doğrudan haberi olur.

Satın Alma Süreci Nasıl İşler?

1. Bir firma Apple ürünleri satın almak ister ve bunun için bir Apple Business Manager hesabı oluşturur (Nasıl olacağını aşağıda anlatıyorum)
2. Aktif bir Apple Business Manager hesabı bulunan her firmanın bir adet Organization ID‘si oluşur. Bu 68488573 gibi bir sayısal numara olur.
3. Satın almayı yapacak olan firma yukarıda ismini saydığım kurumsal iş ortaklarından birinden teklif ister ve şartnamesinde cihazları DEP kapsamında satın almak istediğini ve Organization ID‘sini belirtir.
4. Müşteri olan firma, Apple kurumsal iş ortağı olan firmanın Reseller ID‘sini (Yani satıcı kimlik numarasını) kendi Apple Business Manager’ına girer. Bu Reseller ID‘ler HA4B3F0 gibi alfanümerik bir dizilimde olabilir. Böylece satıcı olan bayi, müşterinin ID numarasını; müşteri olan firma da Apple bayisi olan firmanın ID numarasını kendi portallarına eklemiş olur.
5. Apple bayisi istenen ürünlerin satış işlemini gerçekleştirir. Ürünler fiziki olarak müşterinin eline ulaşmamış dahi olsa satın alınan cihazların seri numaraları Apple Business Manager’da listelenmeye başlar. Cihaza ilişkin model bilgisi, seri numarası, satın alma tarihi, sipariş numarası, hangi bayi tarafından satıldığı gibi bilgilerin tümü cihaz detayında görülebilir.
6. Müşteri bugün envanterinde bulunan, kullanıcılar tarafından kullanılmakta olan Apple cihazlarını geriye dönük olarak da Apple Business Manager’a işletebilir. Bu cihazlar doğrudan Apple’dan satın alındıysa 1 Mart 2011 tarihi sonrasında satın alınmış herhangi bir cihaz şirkete ait Apple Business Manager portalına eklenebilir. Apple’ın kendisinin dışındaki bayiler tarafından satılan cihazlar için de satın alınmış olan bayiler ile iletişime geçilmelidir. Yukarıda listesini yazdığım bayiler de geriye dönük olarak işlem yapabilirler.

Cihazlar Apple Business Manager’a eklendi. Peki sonra?

İşin bundan sonrasında sahneye bir MDM (Mobile Device Management) çözümünün girmesi gerekiyor. MDM çözümleri kendi içlerinde birden fazla veritabanı bulundurabilirler; cihaz veritabanı, kullanıcı veritabanı gibi. Örneğin CK09Z2K760 seri numaralı bir bilgisayarın MDM sunucu üzerindeki kaydını kontrol ettiğinizde o cihazın kimin tarafından kullanıldığı bilgisine ulaşabilirsiniz.

MDM ile yönettiğiniz cihazların MDM sunucusuna kayıt edilmiş olması gerekmektedir. Bu kayıt işlemini yapmanın birkaç farklı yöntemi bulunur ama en etkili olan kayıt yöntemi Apple’ın Automated Device Enrollment ismini verdiği yöntemdir. Bu yöntem de cihazların DEP kapsamında satın alınmış olmasını ve Apple Business Manager’da seri numaralarının listelenmesini gerektirir.

Apple Business Manager ile MDM sunucusu arka planda birbirleri ile iletişim kuracak şekide yapılandırır. Bir firmanın farklı cihaz filoları için birden fazla MDM sunucusu bulunuyor olabilir. Örneğin bir kurum, Mac’leri yönetmek için Filewave‘i, iPhone’ları yönetmek için Mosyle Business‘ı kullanıyor olabilir. Bu durumda hem Filewave‘in hem de Mosyle Business‘ın Apple Business Manager’a tanıtılmış olması gerekir.

Bir firmanın Apple Business Manager portalında seri numarası kayıtlı olan cihazlardan birinin hangi MDM sunucu ile hayatına devam edeceğini belirleme işi de Apple Business Manager’dan yapılabilir. Bir cihaz ilk defa açılırken Filewave sunucusundan mı yoksa Workspace One sunucusundan mı kayıt profilini alacağı ABM üzerinden yapılan atamaya bağlı olarak belirlenir.

Edit MDM Server komutunu verdiğinizde açılan pencere üzerinden ABM’e daha önceden bağlamış olduğunuz MDM sunucuları listelenir. İstediğiniz sunucuyu seçersiniz ve o dakikadan itibaren o cihaz hayatına belirlenen MDM ile devam eder. Örneğin cihaz sıfırlansa, hatta diski değişse ve yeni bir disk üzerine işletim sistemi sıfırdan kurulmuş dahi olsa, cihaz açılır açılmaz MDM sunucusuna otomatik olarak bağlanır ve kayıt profilini otomatik olarak çeker.

Bu atamayı her seferinde her cihaz için ayrı ayrı yapmak zorunda değilsiniz. Eğer isterseniz farklı cihaz türleri için otomatik atama yapılmasını da sağlayabilirsiniz. “Bütün Mac’ler Filewave’e otomatik olarak atansın” veya “Bütün iPad’ler Jamf Now’a otomatik olarak atansın” gibi. Bu işlemi Apple Business Manager’da sol alt köşeden kendi isminize tıkladıktan sonra Preferences / MDM Server Assignments bölümünden yapabilirsiniz. Bunun küçük bir istisnası var, detaylarını biraz aşağıda yazdığım Apple Configurator yazılım ile Apple Business Manager’a eklenen cihazlar bir MDM sunucuya otomatik olarak atanamazlar.

MDM içinden uygulayacağınız kısıtlamalar ile bir son kullanıcının kendi bilgisayarını herhangi bir şekilde sıfırlayamamasını sağlayabilirsiniz. Ama diyelim ki kullanıcı bunu bir şekilde başardı. Bu durum kullanıcının MDM profilinden kurtulabileceği anlamına gelmez. Cihaz sıfırlandıktan ve yeniden aktive olduktan sonra otomatik olarak MDM kayıt profilini alır ve yeniden MDM’e kayıt olmuş olarak açılır.

Burada süreç şu sıralama ile ilerler:

1. Bir cihaz Apple DEP yetkili satıcısı tarafından otomatik olarak veya Apple Configurator yazılımı ile manuel olarak Apple Business Manager’a eklenir.
2. ABM’e kayıtlı olan ve MDM sunucu ataması yapılmış bir cihaz ilk defa açılırken kullanıcının karşısına Setup Assistant’ın ilk birkaç adımı gelir.
3. Ağ seçimi yapıldıktan ve cihaz internet bağlantısına kavuştuğu an seri numarası Apple Business Manager’dan otomatik olarak sorgulanır.
4. Cihazın seri numarası ABM tarafından bir MDM sunucusu atanmış olup olmadığına göre kontrol edilir.
5. Eğer bir MDM sunucu ataması yapılmışsa cihaz kayıt profilini almak üzere MDM sunucusuna doğru yönlendirilir.
6. Eğer bir MDM sunucu ataması yapılmamışsa, cihaz bir son kullanıcı bilgisayarı olarak açılacaktır.
7. MDM sunucusu ile haberleşen cihaz sunucudan standart kayıt profilini çeker. Bu kayıt profili, Setup Assistant ayarlarını da içerebilir. Eğer kayıt profili oluşturulurken kullanıcının karşısına tüm Setup Assistant ekranlarının gelmesi istenmemişse cihazı açan kullanıcı sadece zorunlu olanları görecektir.
8. Setup Assistant süreci bittikten sonra cihaz masaüstüne ulaşır. Bu noktada MDM sunucu tarafından bu cihazın seri numarasını da içerecek şekilde bazı konfigürasyon profilleri oluşturulduysa cihaz otomatik olarak bu profilleri alacaktır. Örneğin güvenlik ve gizlilik ayarları, sertifikalar, Filevault şifrelemesi vb gibi.

Bu diyagramda en son adımda bulunan yani yönetilen ve kullanımda olan bir Mac, herhangi bir şekilde sıfırlanırsa süreç otomatik olarak yeniden başlar ve cihaz yeniden açıldığında yeniden kayıt profilini otomatik olarak alır. Yani, cihaz kurumun Apple Business Manager’ında kayıtlı ise ve oradan da bir MDM’e ataması yapılmışsa onu bu döngüden çıkarmak imkansızdır.

Konu dışı küçük bir uyarı: Herhangi bir bilgisayar mağazasından ikinci el bir Mac ya da iPhone veya iPad satın alacaksanız açık olan cihazı en azından bir kere sıfırlayarak yeniden kurulum yapmanızı öneririm. Kurulmuş ve açık bir cihazın, aynı anda bir başka kurumun Apple Business Manager’ında kayıtlı olduğunu ve MDM ile yönetiliyor olduğunu ilk bakışta anlamayabilirsiniz. İkinci el cihaz satan mağazalarda çalıntı ya da bir kuruma ait cihazlara denk gelebilme ihtimaliniz var. Eğer bir kurum sizin satın almaya çalıştığınız cihazı (yani kendi cihazlarını) ABM + MDM ikilisi ile yönetiyorsa para ödeyip aldığınız bilgisayarı açamayabilirsiniz bile.

Apple Configurator da ne?

Apple Configurator yazılımı başlı başına ayrı bir makalenin konusu. Burada tüm kullanım senaryolarına girmeyeceğim. Ama bu makalenin konusunu ilgilendiren kısmına değinmek istiyorum.

Apple Configurator, birçok farklı işlevin yanısıra, elimizde bulunan bir Apple cihazını herhangi bir DEP reseller ile iletişime geçme zorunluluğu olmaksızın kurumumuzun ABM’ine ekleyebilmemizi sağlayan Apple’ın ücretsiz bir yazılımıdır. Mac ve iOS sürümleri bulunur.

Başlangıçta Apple Business Manager portalına (eski ismi Device Enrollment Program’dı) cihaz kaydetme yetkisi sadece Apple’a kendini yetkili DEP satıcısı olarak tanıtmış şirketlerde bulunuyordu. Apple özellikle okulların ihtiyacı doğrultusunda bu yetkiyi Apple Configurator üzerinden de kullandırmaya başladı. Apple Configurator ile ABM’e cihaz kaydetme yetkisinin önemini bir senaryo ile anlatayım müsaadenizle;

Bir okulun IT biriminde çalıştığınızı varsayalım. Okulunuz iPad ile eğitime geçmeye karar vermiş olsun. Ve okul yönetimi kullanılacak iPad modeli olarak örneğin minimum 10. Nesil, 64 GB kapasiteli bir iPad seçmiş olsun. Bu iPad’in kullanılacağını velilere duyurduktan sonra kimi aileler yeni birer iPad alacaktır, kimileri ise evde zaten bulunan iPad’i gönderecektir. Yeni satın alanlar da farklı farklı kanallardan cihazları satın almış olacaklar. Günün sonunda okul IT biriminin önünde örneğin 150 adet farklı satıcılardan alınmış iPad yığılmış olacak.

Okulun IT çalışanları bu iPad’leri tek bir merkezden yönetebilmek için bir MDM’e kayıt etmek durumunda. Ve bu kayıt işleminin de en etkin yöntem olan Automated Device Enrollment yöntemi ile yapılabilmesi için bütün cihazların okula ait Apple Business Manager (Okullar özelindeki ismi Apple School Manager) hesabına eklenmesi gerekiyor. Fakat sorun şu ki, cihazların bazıları Teknosa’dan alınmış, bazıları Troy mağazalarından, kimisi evde zaten duruyormuş ve okula gönderilmiş vb. Böyle bir durumda okul IT ekibinin elinde Apple Configurator gibi bir araç olmadığı durumda bu 150 adet iPad okulun Apple School Manager portalına eklenemez ve MDM ile de istenildiği seviyede yönetilemez.

Bu noktada okulun IT ekibi cihazları tek tek kutularından çıkarıp açarak ellerinde bulunan bir Mac ya da iPhone üzerinden Apple Configurator yazılımını kullanarak okulun Apple School Manager hesabına ekleyebilirler.

Cihazların bir DEP yetkili satıcı tarafından Apple Business Manager’a eklenmesi ile Apple Configurator aracılığıyla eklenmesi arasında bazı farklar bulunur:

Apple Configurator ile ABM’e eklenen bir cihaz için 30 günlük “cayma hakkı” vardır. 30 gün içinde o cihazı eline alan bir kullanıcı cihazı bağlı bulunduğu Apple Business Manager’dan çıkartabilir. Bu nedenle eğer kurumunuzda cihar envanteriniz uygun ise Apple Configurator ile eklenmiş cihazları 30 gün depoda bekletip ondan sonra son kullanıcıya dağıtmanızı önerebilirim.

Bayiler kanalıyla ABM’e eklenen cihazlar, ABM’deki admin kullanıcılardan biri bilerek – isteyerek çıkarmadığı sürece orada durmaya devam eder. Ancak Apple Configurator ile eklenen cihazlar, sonradan kendilerine yüklenen MDM kayıt profili silindiğinde Apple Business Manager’dan da çıkmış olurlar. Yeniden eklemek için cihazı sıfırlamak ve tüm süreci baştan başlatmak gereklidir.