Apple’ın Haziran ayında WWDC 2025‘de duyurduğu cihaz yönetim yenilikleri arasında kuşkusuz en önemlisi Device Management Migration, yani MDM vendor değişikliği ile ilgili olandı. Bu yeni değişiklik ile Apple sistem yöneticilerine cihazı sıfırlamadan MDM üreticisini değiştirebilme olanağı sağlandı. Bundan önce kurumlar bir MDM üreticisi ile çalışmaya başlar ve lisans fiyatlaması ne kadar yüksek olursa olsun vendor değiştirmenin getireceği operasyonel yükler nedeniyle aynı üretici ile hayatlarına devam ederlerdi. Şimdiden sonra MDM lisanslarını satın aldığınız firma, eğer size fiyat avantajı sağlamıyorsa hemen bugün bir başka üreticiye geçiş yapabilirsiniz.
Sıfırlamak neden gerekliydi?
Uzun uzun anlatacağım ama cümlenin en başından sonucunu söyleyeyim; “Enrollment Profili nedeniyle”.
Herhangi bir Apple cihazını bir MDM’e kaydetmenin birkaç yöntemi vardır.
• Automated Device Enrollment. (DEP Enrollment olarak da bilinir)
• Profile Based Device Enrollment
• Account Driven Device Enrollment
Eğer Profile Based Device Enrollment yöntemini seçtiyseniz, bir cihaz halihazırda kullanımda iken, cihazı sıfırlamadan kayıt profilini bir web portalı üzerinden kullanıcıya indirterek cihazı MDM sunucunuza kaydedebilirsiniz. Bunu yaptığınızda kullanıcının MDM ile yönetilmekten çıkma seçeneği vardır. Kullanıcı basitçe System Settings > General > Device Management bölümüne gider ve oradaki profili siler. Ve MDM sunucunuz ile bağını tamamen koparmış olur.
Ya da Account Driven Device Enrollment seçeneğini tercih ettiyseniz, kullanıcı kendisine verdiğiniz bir Managed Apple Account‘u kullanarak System Settings > General > Device Management bölümünden Sign in olarak cihazını MDM sunucunuza kaydetmiş olur. Kaydetmesi kadar çıkması da kolaydır. Sadece bir adet Sign Out komutu gereklidir.
Sonuç olarak eğer Automated Device Enrollment yöntemini kullanmıyorsanız son kullanıcının kendisini yönetim dışında bırakması mümkündür. Automated Device Enrollment yönteminde ise Apple Business Manager‘dan bir MDM sunucusuna atanan bir cihaz ilk kurulum sırasında kayıt profilini MDM sunucusundan otomatik olarak çeker. Ve aldığı enrollment profili cihazda kalıcı olur. Kullanıcının bu profili silebilme şansı bulunmaz. Cihazı sıfırlasa da, DFU moduna alsa da, sabit diskini değiştirerek yeniden macOS kursa da cihaz her seferinde yeniden kayıt profilini MDM’den otomatik olarak çekecektir.
Cihazda bulunan bir kayıt profilini silebilmenin tek yolu cihazı MDM yönetiminden çıkartmaktır. Cihazı örneğin Jamf ile yönetiyorsanız Jamf’ten çıkardığınızda kayıt profili ve onunla birlikte cihazda yapılan birçok değişiklik (tamamı değil) silinir.
MDM yönetiminden çıkarılan cihazda kısa bir süre sonra aşağıdaki gibi bir bildirim görürsünüz. Bu bildirim sonrasında da çeşitli ek bildirimler alabilirsiniz. Örneğin daha önceden PPPC konfigürasyonu ile izin verdiğiniz bir uygulama, örneğin masaüstüne erişmek isteyebilir. Aradan PPPC profili silindikten sonra bu izni tekrar istediğini belirten bir bildirim görünebilir.
Re-Enrollment
Eski MDM yönetiminden çıkan cihazı yeniden bir MDM yönetimi altına almak için birkaç farklı senaryonuz bulunur.
1. Profile Based Device Enrollment yöntemi ile cihazı sıfırlamadan yeni MDM’e kaydedebilirsiniz.
2. Account Driven Device Enrollment yöntemi ile yine sıfırlamadan KVKK / GDPR’a uygun bir şekilde yeni MDM’e kaydedebilirsiniz.
3. Cihazı Apple Business Manager‘dan yeni MDM sunucusuna atadıktan sonra Terminal‘i açarak şu komutu yazabilirsiniz.
sudo profiles renew -type enrollmentBu komutu yazdıktan ve Admin parolanızı girdikten kısa bir süre sonra karşınıza aşağıdaki gibi bir ekran gelir. Bu ekrandan Enroll butonuna tıklayarak cihazı Apple Business Manager‘da kendisine atanmış MDM sunucuya Automated Device Enrollment yöntemi ile kayıt etmiş olursunuz. Evet, cihazı formatlamadan.
Yukarıda 3. seçenek olarak anlattığım işlemi yapabilmeniz için cihazlarda macOS Tahoe bulunmasına falan da ihtiyacınız yok. Bu yöntemi yıllardır kullanıyoruz zaten.
“E hoca, burada yeni olan ne? Cihazı formatlamadan eski MDM’den çıkardık, yeni MDM’e ekledik” dediğinizi duyar gibiyim. Evet aslında tam olarak bunu yaptık. Ama iki farkla…
İlki, bu işlemi manuel olarak yapmamız ve cihaz başına Admin yetkisi ile oturup Terminal’den yukarıdaki komutu girmemiz gerekti. Sahada dağınık bir şekilde kullanılan örneğin 350 adet Mac kullanıcınız varsa bu seçenek aslında tam bir seçenek değil.
İkincisi, yukarıdaki örneği verirken kullandığım test cihazı bir Mac. iPhone ve iPad’lerde cihaz yönetim servisi değişikliğini bu eski yöntem ile yapamazsınız.
Device Management Migration
WWDC 25‘te duyurulan bu yeni özelliği kullanarak yönettiğiniz cihazın Mac, iPhone veya iPad olmasından bağımsız olarak MDM çözümleri arasında geçiş yapabilirsiniz. Bunun için tek yapmanız gereken Apple Business Manager üzerinden cihazı yeni MDM sunucusuna atamak. Eğer isterseniz bu geçiş için bir son tarih ve saat de belirleyebilirsiniz.
Cihaz atamasını ABM üzerinden değiştirdikten kısa bir süre sonra kullanıcı cihazında Enrollment Required isminde bir uyarı görünecektir. Bir deadline belirlendiyse kullanıcının Not Now (Şimdi değil) butonuna tıklayarak kayıt işlemini ötelemesi mümkündür. Belirlenen zaman geldiğinde ise otomatik olarak yeni MDM kayıt işlemi tetiklenecektir.
Bu yeni Device Management Migration yöntemini kullanabilmeniz için bazı ön koşullar bulunuyor.
• Geçiş yapacağınız cihazların macOS 26, iOS 26 veya iPadOS 26 sürümlerine geçmiş olması gerekiyor.
• Geçiş yapacağınız cihaz iPhone veya iPad ise eski MDM sunucusuna Automated Device Enrollment yöntemi ile kayıt olmuş olması gerekiyor. Mac’ler için Profile Based Device Enrollment yöntemi ile kayıt olmuş ve sonradan eski MDM’deki kaydı silinmiş cihazlar için de kullanılabiliyor.
• Eğer cihazınızı Apple Business Manager‘a Apple Configurator uygulaması üzerinden manuel olarak kaydettiyseniz 30 günlük cihaz sahipliğinin kuruma geçmesini bekleme süresinin geçmiş olması gerekiyor. Bu işlemi daha önce yapmadıysanız aşağıdaki iki makalemizi okuyarak yapabilirsiniz.
Bir iPad’i (veya iPhone’u) Apple Business Manager’a ekleme
Bir Mac’i Apple Business Manager’a ekleme
Dikkat edilecek noktalar…
• Öncelikle, bu tür bir geçişi planlarken eski MDM çözümünüz ile yenisi üzerinden dağıtacağınız politikaların birbirleri ile olabildiğince benzer olmasını sağlamanız gerekiyor. Son kullanıcı deneyimi açısından bu geçişin olabildiğince transparan bir şekilde yapılması çok önemli. Bu nedenle eski MDM’deki ile aynı profiller, aynı uygulamalar ve yapılandırmalar MDM’de bulunmalı.
• Eski MDM ile yönetilen cihazda Activation Lock açık durumda ise yeni MDM çözümünüz bunu devralacaktır. O dakikadan itibaren eski MDM’iniz ile üretilmiş Bypass kodları geçersiz kalır.
• Benzer bir şekilde eski MDM ile hazırlanmış ve cihazlara dağıtılmış bir FileVault konfigürasyonu bulunuyorsa, yeni MDM bootstrap token‘ı kullanarak Personal Recovery Key‘i döndürecek ve kendindeki cihaz kaydında tutmaya başlayacaktır.
• Yöneteceğiniz cihazlar için geçişi yapmadan önce “Ben bunu nasılsa yenisinden tekrar gönderirim” diyerek uygulamaları silme komutunu göndermemelisiniz. MDM unenrollment komutu, yönetilen uygulamaları silmez. Yeni MDM’iniz o uygulamaları devralır ve Managed App konfigürasyonları için kullanır. Böylece geçişi daha hızlı yapabilirsiniz.
• Eğer dağıttığınız uygulamalar arasında VPP uygulamaları da bulunuyorsa geçiş deadline’ı olarak 30 günden daha uzun bir süre belirlememelisiniz. Bu yapıyı yönetmek için basitçe eski MDM’inizden VPP Token‘ını kaldırarak yenisine tanıtmanız yeterli.
Yorum bırakın