Zaměstnanec ti zavolá v pátek odpoledne: ztratil notebook s přihlašovacími údaji do firemního e-mailu. Bez MDM začneš doufat, že ho někdo poctivý najde a nebude se snažit dostat dovnitř. S MDM otevřeš konzoli, za 30 sekund zařízení vzdáleně zamkneš nebo vymažeš — a víkend je zachráněn. MDM (Mobile Device Management) je systém, který dává IT správcům kontrolu nad firemními zařízeními bez ohledu na to, kde se právě nacházejí. V tomto průvodci projdeme vše od základů a terminologického slovníku přes to, jak MDM funguje pod kapotou, až po srovnání platforem a reálné nasazení krok za krokem.
Co si lidé pod MDM představí — a proč je to víc než šmírování zaměstnanců
Když IT správce zmíní, že firma zavede MDM, první reakce zaměstnanců bývá skoro vždy stejná: „Takže budou vidět, co dělám na telefonu?" Tato obava je pochopitelná, ale z velké části mylná. MDM není špionský nástroj — je to systém správy a bezpečnosti.
Zkus si to představit takto: máš kancelářskou budovu s recepcí, která vede seznam všech klíčových karet. Recepce ví, komu která karta patří, kam dovoluje vstup a dokáže kteroukoli okamžitě zablokovat — ať už zaměstnanec odejde z firmy nebo kartu ztratí. MDM dělá totéž pro digitální zařízení: ví, jaká zařízení ve firmě existují, jaké politiky na nich platí a může je vzdáleně zamknout nebo vymazat.
Bez MDM je situace ve většině menších firem přibližně taková: notebooky nakoupené před třemi lety, část z nich bez aktualizací OS, hesla si volí každý sám a nikdo přesně neví, jestli je disk šifrovaný. Když zaměstnanec odejde, IT mu smaže účet v Microsoft 365 — ale notebook zůstane doma v šuplíku s uloženými přihlašovacími údaji v prohlížeči. S MDM se tohle nestane.
Terminologický chaos: MDM, MAM, EMM, UEM — co je co
Obor správy zařízení trpí přemírou zkratek, které se volně zaměňují. Pojďme si je jednou provždy ujasnit — je to důležité, protože různé firmy nabízejí různé věci pod různými názvy, a bez orientace v terminologii si snadno koupíš nástroj, který neumí to, co potřebuješ.
MDM — Mobile Device Management
MDM je nejstarší a nejzákladnější pojem. Označuje správu celého zařízení na úrovni operačního systému — IT může vynucovat politiky (heslo, šifrování, aktualizace), distribuovat aplikace, vzdáleně zařízení zamknout nebo vymazat. Původně se zaměřoval na chytré telefony, dnes pokrývá telefony, tablety i notebooky.
MAM — Mobile Application Management
MAM je jemnější přístup: spravují se pouze aplikace a data v nich, nikoli celé zařízení. IT může řídit, které firemní aplikace jsou k dispozici, zda je možné z nich kopírovat data do osobních appek, a může vzdáleně smazat jen firemní kontejner — bez dotyku osobního obsahu. MAM je klíčový pro BYOD (vlastní zařízení zaměstnanců).
EMM — Enterprise Mobility Management
EMM je nadmnožina: zahrnuje MDM + MAM + správu firemního obsahu (MCM — Mobile Content Management, tedy bezpečný přístup k firemním dokumentům). Většina „MDM platforem" dnes ve skutečnosti nabízí EMM.
UEM — Unified Endpoint Management
UEM je dnešní standard. Jde o sjednocenou správu všech koncových zařízení z jedné konzole: smartphony, tablety, notebooky, desktopy, linuxové pracovní stanice a servery, a někdy i IoT nebo tiskárny. Nerozlišuje se, jestli jde o Android nebo iPhone, Windows nebo macOS — vše se spravuje z jednoho místa.
| Zkratka | Co spravuje | Typické použití |
|---|---|---|
| MDM | Celé zařízení (OS, politiky, vzdálené mazání) | Firemní telefony a notebooky |
| MAM | Jen aplikace a firemní data v nich | BYOD — vlastní zařízení zaměstnanců |
| EMM | MDM + MAM + firemní obsah a dokumenty | Mobilní pracovníci, kombinace BYOD + firemní |
| UEM | Vše výše + PC, Mac, Linux, IoT z jedné konzole | Dnešní standard pro firmy od 20+ zařízení |
Jak MDM funguje pod kapotou
Abychom pochopili, co MDM umí a kde má limity, je dobré vědět, jak to technicky funguje. Není to magie — je to protokol a sada rozhraní, které operační systémy záměrně poskytují.
Enrollment — jak se zařízení přihlásí do MDM
Než může MDM se zařízením cokoliv dělat, musí se zařízení enrollovat — zaregistrovat se u MDM serveru a navázat důvěryhodný vztah. Existují dva základní způsoby:
- Ruční enrollment: Zaměstnanec si nainstaluje aplikaci nebo navštíví webový portál, přihlásí se firemním účtem a potvrdí instalaci MDM profilu. Jednoduché, ale závisí na spolupráci uživatele — a na existujících zařízeních může být komplikované.
- Zero-touch enrollment: Zařízení se enrolluje automaticky při prvním spuštění, bez zásahu uživatele. IT nakoupí zařízení přes autorizovaného prodejce, který je zaregistruje do firemního programu (Apple Business Manager, Android Zero-Touch Enrollment, Windows Autopilot). Zaměstnanec dostane krabici, zapne notebook — a za 20 minut má plně nakonfigurované firemní zařízení.
MDM protokol — jak server komunikuje se zařízením
Jakmile je zařízení enrollováno, MDM server a zařízení spolu komunikují přes HTTPS. Funguje to ale obráceně, než by sis možná myslel: zařízení se pravidelně ptá serveru „máš pro mě nějaký příkaz?" (polling), případně server pošle push notifikaci, která zařízení řekne „přijď se zeptat" — a zařízení pak příkaz stáhne.
Push notifikace jdou přes infrastrukturu daného výrobce:
- Apple Push Notification Service (APNs) — pro iOS, macOS, iPadOS
- Firebase Cloud Messaging (FCM) — pro Android
- Windows Notification Service (WNS) — pro Windows
To má důsledky: pokud je zařízení offline (třeba v letadle nebo v místě bez signálu), příkaz se doručí až po připojení. Vzdálené vymazání nefunguje okamžitě bez internetového připojení — proto je dobré mít šifrování disku jako zálohu pro případ, že se zařízení nepodaří vzdáleně smazat.
Profily a politiky — co se na zařízení instaluje
MDM server posílá na zařízení konfigurační profily — balíčky nastavení ve formátu XML (Apple) nebo JSON/OMA-URI (Windows, Android). Každý profil definuje jedno nebo více nastavení: délku PIN kódu, povolené Wi-Fi sítě, VPN konfiguraci, e-mailový účet, certifikát pro podnikovou síť nebo omezení funkcí (zákaz kamery, zákaz Bluetooth, zákaz App Store).
Profily jdou přes MDM odinstalovat nebo přepsat centrálně — zaměstnanec je nemůže sám odebrat (pokud mu to politika nepovoluje). Při odregistraci zařízení z MDM (nebo vzdáleném vymazání) se profily automaticky smažou.
Agent vs. agentless
U mobilních zařízení (iOS, Android) MDM funguje bez speciální aplikace — využívá nativní MDM rozhraní operačního systému. U počítačů (Windows, macOS, Linux) je situace různá:
- Agentless MDM: Windows a macOS mají nativní MDM rozhraní, které Intune nebo Jamf využívají bez instalace agenta. Omezené na to, co OS nativně podporuje.
- Agent-based: Platformy jako NinjaOne instalují na zařízení vlastního agenta (NinjaAgent), který běží na pozadí a umožňuje pokročilejší správu — monitoring výkonu, vzdálený přístup, patch management, spouštění skriptů. Agent toho umí víc než nativní MDM rozhraní.
Co MDM umí v praxi — přehled funkcí
Přejděme od teorie k tomu, co IT správce v praxi zajímá nejvíc: co konkrétně MDM umí a k čemu to je dobré.
Vzdálené zamčení a vymazání
Ztracené nebo odcizené zařízení lze z konzole okamžitě zamknout (uživatel se nedostane dovnitř) nebo vymazat (factory reset, všechna data pryč). U BYOD zařízení lze provést selektivní vymazání — smaže se jen firemní kontejner s daty, osobní fotky a aplikace zůstanou nedotčeny.
Vynucení hesla a šifrování disku
MDM může vynutit minimální délku PIN nebo hesla, počet nesprávných pokusů před zamčením, automatické zamčení po době nečinnosti a povinné šifrování disku. Na Windows jde o BitLocker, na macOS o FileVault, na iOS je šifrování zapnuto automaticky po nastavení PIN. Bez MDM ti uhlídat, jestli má každý zaměstnanec opravdu šifrování zapnuté, dá hodně práce — s MDM je to compliance report na jeden klik.
Distribuce aplikací
IT může na zařízení tiše (bez interakce uživatele) nainstalovat povinné firemní aplikace — antivirový software, VPN klienta, Microsoft 365 nebo interní appku. Volitelné aplikace lze nabídnout přes self-service portál, kde si zaměstnanec sám vybere, co potřebuje, aniž by musel mít admin práva nebo instalaci řešit s IT.
Patch management — aktualizace OS a aplikací
Neaktualizované systémy jsou jednou z nejčastějších příčin bezpečnostních incidentů. MDM (a zejména RMM platformy jako NinjaOne) umožňují definovat politiku aktualizací: třeba „instaluj kritické záplaty automaticky do 24 hodin od vydání, ostatní aktualizace instaluj každou sobotu v noci". Zařízení, která podmínky nesplňují, jsou v reportech označena jako non-compliant.
Inventarizace a compliance reporting
MDM průběžně sbírá informace o každém zařízení: model, sériové číslo, verze OS, seznam nainstalovaných aplikací, stav šifrování, kapacita úložiště, kdy bylo naposledy online. Z toho se generují reporty — třeba „kolik zařízení má ještě Windows 10?" nebo „která zařízení nemají nainstalovaný antivirový software?"
Podmíněný přístup a compliance politiky
Pokročilá funkce: MDM lze propojit s firemními aplikacemi tak, že zařízení bez platného enrollmentu nebo nesplňující podmínky (zastaralý OS, chybí šifrování) prostě nedostane přístup k Microsoft 365, firemnímu SharePointu nebo VPN. Tohle je základ zero-trust bezpečnostní architektury.
Omezení funkcí
Na firemních zařízeních lze zakázat konkrétní funkce: fotoaparát (citlivá pracoviště), Bluetooth, USB porty, přenos dat přes AirDrop, kopírování dat z firemních aplikací do osobních nebo naopak. Lze také zakázat App Store a povolovat jen schválené aplikace ze soukromého katalogu.
BYOD vs. firemní zařízení — dvě různé hry
Jedním z nejdůležitějších rozhodnutí při zavádění MDM je, jestli firma povoluje zaměstnancům používat vlastní zařízení (BYOD — Bring Your Own Device), nebo vydává firemní. Každý přístup má jiné technické řešení i jiné hranice toho, co IT může a nesmí dělat.
Firemní zařízení — plná kontrola
Firemní zařízení jsou enrollována do MDM jako „corporate-owned". IT má plný přístup: může instalovat a odebírat jakékoliv aplikace, vynucovat libovolné politiky, sledovat compliance stav a v případě potřeby provést úplné vymazání. Zaměstnanec ví, že jde o pracovní nástroj, a na soukromí na tomto zařízení nemůže spoléhat.
BYOD — jen pracovní kontejner
Na vlastním telefonu zaměstnance nelze nasadit plné MDM — bylo by to nepřiměřené a pravděpodobně nezákonné. Místo toho se používá MAM kontejner: firemní aplikace (Outlook, Teams, SharePoint) běží v izolovaném prostoru, odkud nelze data kopírovat ven (do osobních appek) ani je sdílet přes osobní cloud. IT spravuje jen tento kontejner — osobní fotky, WhatsApp nebo Instagram se ho netýkají.
Při odchodu zaměstnance (nebo ztrátě zařízení) IT selektivně smaže jen firemní kontejner. Osobní data zůstanou nedotčena. Zaměstnanec to může klidně akceptovat, protože ví, že jeho soukromí je chráněné.
| Vlastnost | Firemní zařízení (MDM) | Vlastní zařízení (BYOD/MAM) |
|---|---|---|
| Co IT spravuje | Celé zařízení, veškeré aplikace | Jen firemní aplikace a data |
| Co IT vidí | Vše: OS, aplikace, compliance stav | Jen firemní část (aplikace, verze OS) |
| Vzdálené vymazání | Úplné (factory reset) | Selektivní (jen firemní kontejner) |
| Osobní data | Oddělena jen dohodou, ne technicky | Technicky oddělena, IT se jich nedotkne |
| Náklady | Firma platí hardware i software | Zaměstnanec má vlastní hardware |
| Typické použití | Citlivá pracoviště, vysoké nároky na bezpečnost | Startupy, kreativní agentury, vzdálení pracovníci |
Největší platformy — přehled a srovnání
Na trhu existují desítky MDM/UEM platforem. Níže jsou ty, se kterými se ve firemním prostředí v Česku setkáš nejčastěji — plus kdy dává která smysl.
Microsoft Intune
Intune (součást Microsoft Endpoint Manager) je dnes pravděpodobně nejrozšířenější UEM platforma na světě. Klíčová výhoda: pokud firma platí za Microsoft 365 Business Premium, Intune už je v ceně. Intune spravuje Windows, macOS, iOS, Android a Linux z jedné webové konzole — a díky hluboké integraci s Microsoft Entra ID (dřív Azure AD) nabízí podmíněný přístup: do firemního SharePointu nebo Exchange se nedostaneš ze zařízení, které není v Intune enrollováno nebo nesplňuje compliance podmínky.
Silné stránky: Windows Autopilot (zero-touch nasazení nových notebooků), integrace s M365, podmíněný přístup, hloubka funkcí. Slabší stránky: strmější křivka učení, nastavení může být komplexní, pro čistě Apple prostředí není optimální.
Jamf
Jamf je jednoznačný specialist na Apple ekosystém — Mac, iPhone, iPad. V tomto ohledu nemá konkurenci: hluboká integrace s Apple Business Managerem, podpora pro nejnovější macOS funkce téměř v den vydání, detailní správa macOS politiky a scriptování přes Jamf Pro. Pro menší firmy a školy existuje jednodušší (a levnější) Jamf Now.
Pokud má firma fleet převážně Apple zařízení — design studio, marketingová agentura, startup — Jamf je první volba. Pro smíšené prostředí (Mac + Windows) bývá kombinace Jamf + Intune nebo Jamf + NinjaOne.
NinjaOne
NinjaOne (dříve NinjaRMM) je platforma primárně zaměřená na RMM (Remote Monitoring and Management) — tedy průběžný monitoring a vzdálenou správu zařízení — s robustní MDM vrstvou navrch. Na rozdíl od čistých MDM nástrojů NinjaOne instaluje na Windows, macOS a Linux agenta (NinjaAgent), který přináší možnosti daleko za hranice toho, co nativní MDM rozhraní OS dovolí: monitoring CPU, paměti, disku, teploty, logů a event logu, vzdálený přístup jedním klikem (NinjaRemote), spouštění skriptů (PowerShell, Bash, Python), integrace ticketingového systému a zálohovací nástroje.
Na rozdíl od jiných platforem NinjaOne plnohodnotně spravuje i linuxové stroje — Ubuntu, Debian, RHEL, CentOS a Fedora. Přes agenta funguje patch management, vzdálený přístup i spouštění skriptů, což z NinjaOne dělá přirozenou volbu v heterogenních prostředích, kde vedle Windows notebooků běží linuxové servery nebo kde část vývojářů používá Linux jako primární pracovní stanici.
NinjaOne je oblíbená platforma MSP (managed service providerů) — IT firem, které spravují IT infrastrukturu zákazníků externě. Díky multi-tenant konzoli vidí MSP v jednom dashboardu všechna zařízení všech zákazníků a může reagovat na incidenty ještě dříve, než si zákazník všimne problému. Pokud využíváš externí IT správu nebo technický dohled, pravděpodobně tvůj partner NinjaOne nebo podobnou RMM platformu používá.
Pro iOS a Android NinjaOne využívá nativní MDM protokoly — bez agenta, přes ABM nebo Android Enterprise enrollment. Patch management je dlouhodobě považován za jednu z nejsilnějších stránek platformy: automatické záplatování Windows, macOS, Linux i třetích stran (Chrome, Firefox, Adobe Reader a stovky dalších).
VMware Workspace ONE (Omnissa)
Po akvizici VMware firmou Broadcom byl produkt rebranded na Omnissa Workspace ONE. Jde o enterprise-grade platformu s obrovskou hloubkou funkcí a odpovídající komplexitou (a cenou). Typicky se vyskytuje ve velkých korporacích. Pro SMB firmy je zbytečně komplikovaná a drahá.
Kandji a Mosyle
Dvě moderní alternativy v Apple MDM prostoru. Kandji sází na blueprint systém — předdefinované šablony konfigurací, které lze snadno aplikovat na skupiny zařízení. Mosyle je silný v školním prostředí a menších Apple-only firmách. Oba mají moderní UI a nižší cenu než Jamf Pro, ale chybí jim hloubka pro enterprise nasazení.
| Platforma | OS pokrytí | Vhodné pro | Cena (orientačně) |
|---|---|---|---|
| Microsoft Intune | Windows, macOS, iOS, Android, Linux | M365 firmy, Windows-first prostředí | V ceně M365 Business Premium; ~8 USD/uživatel/měsíc samostatně |
| Jamf Pro / Now | macOS, iOS, iPadOS | Apple-only nebo Apple-heavy firmy | Jamf Now ~2 USD/zař./měsíc; Jamf Pro ~8–12 USD/zař./měsíc |
| NinjaOne | Windows, macOS, Linux, iOS, Android | Externě spravované firmy, MSP, patch management | ~3–4 USD/zař./měsíc |
| Workspace ONE | Windows, macOS, iOS, Android, Linux | Velké korporace s komplexními požadavky | Enterprise, individuálně |
| Kandji / Mosyle | macOS, iOS, iPadOS | Menší Apple-only firmy, školy | ~2–4 USD/zař./měsíc |
Jak vypadá nasazení v reálné firmě
Teorie je jedna věc, praxe druhá. Nasazení MDM v existující firmě je projekt, který se vyplatí dělat postupně. Tady je jak na to.
Fáze 1: Inventarizace — co vlastně máme
Než cokoliv nastavíš, potřebuješ vědět, s čím pracuješ. Projdi seznam zařízení: kolik notebooků, kolik telefonů, jaké OS, jaké verze. V menších firmách to jde udělat ručně v tabulce, ve větších pomůže síťový skener nebo první krok s agentem. Výsledkem má být jasná mapa: zařízení × uživatel × OS × verze.
Fáze 2: Výběr platformy a enrollment strategie
Na základě inventáře zvol platformu. Microsoft 365 firma přejde nejpřirozeněji na Intune. Apple fleet dostane Jamf. Smíšené prostředí spravované externím IT partnerem nejčastěji využije NinjaOne. Pak zvol enrollment strategii: nová zařízení přes zero-touch (Autopilot, ABM, Zero-Touch Enrollment), existující zařízení ruční enrollment přes portál nebo aplikaci.
Fáze 3: Minimální sada politik — začni jednoduše
Nepokoušej se nasadit vše najednou. Začni s politikami, které přinášejí nejvíc hodnoty a nejméně tření:
- Povinné heslo / PIN (minimální délka, automatické zamčení)
- Šifrování disku (BitLocker / FileVault)
- Automatické bezpečnostní aktualizace OS
- Blokování zařízení bez enrollmentu z firemního e-mailu (podmíněný přístup)
Teprve po stabilizaci přidávej další vrstvy: distribuce aplikací, pokročilé omezení, compliance reporting.
Fáze 4: Pilotní skupina, pak plošný rollout
Nejdřív otestuj na malé skupině: IT tým + pár dobrovolníků. Ověř, že politiky fungují jak mají, že uživatelé vědí, co se děje a proč, a že self-service enrollment je dostatečně srozumitelný. Teprve pak rozjeď rollout na celou firmu — ideálně s krátkým průvodcem nebo FAQ pro zaměstnance.
Fáze 5: Offboarding — jak vymazat odcházejícího zaměstnance
Offboarding je jedním z nejdůležitějších případů použití MDM. Zaměstnanec odejde → IT provede tyto kroky: zablokuje firemní účet v Entra ID / Google Workspace, vzdáleně vymaže firemní zařízení (nebo selektivně smaže BYOD kontejner), odregistruje zařízení z MDM, odvolá všechny certifikáty a ověří, že se zařízení přestalo hlásit. Celý proces by měl trvat méně než 15 minut a měl by být zdokumentovaný jako checklist — ne spoléhat na paměť IT správce.
MDM a kybernetická bezpečnost — proč to spolu úzce souvisí
MDM není bezpečnostní nástroj v klasickém smyslu (není to antivirus ani firewall), ale je klíčovou součástí moderní kybernetické bezpečnosti. Tady je proč.
Zero-trust: nikdy nedůvěřuj, vždy ověřuj
Tradiční přístup k bezpečnosti: „jsem v kancelářské síti, takže mi věřte". Zero-trust říká: „Nezáleží, jestli jsi v kanceláři nebo doma — každý přístup k firemním zdrojům musí být ověřen." MDM je jedním ze tří pilířů zero-trust ověření (identita uživatele + stav zařízení + kontext přístupu). Zařízení bez MDM enrollmentu prostě nedostane přístup — nezáleží na tom, kde fyzicky je.
Podmíněný přístup (Conditional Access)
Microsoft Intune v kombinaci s Microsoft Entra ID umožňuje podmíněný přístup: přihlásit se k Teams nebo SharePointu lze jen ze zařízení, které splňuje podmínky — má platný enrollment, šifrování, aktuální OS a je označeno jako compliant. Zařízení mimo MDM (soukromý počítač kamaráda, neregistrovaný starý laptop) dostane odmítnutí, nebo mu bude přístup omezen pouze na webový prohlížeč bez možnosti stahovat soubory.
Compliance politiky — automatická strážní služba
Compliance politika je sada podmínek, které musí zařízení splňovat, aby bylo označeno jako „zdravé". Příklady podmínek: verze OS musí být alespoň X.Y, šifrování musí být zapnuto, antivirový software musí být aktivní a aktuální, zařízení nesmí být jailbroken/rooted. Zařízení, která podmínky nesplňují, jsou automaticky označena jako non-compliant — a podle nastavení podmíněného přístupu jim lze omezit přístup k firemním zdrojům, dokud IT problém nevyřeší.
Propojení správy zařízení s podmíněným přístupem je jeden z nejefektivnějších způsobů, jak výrazně snížit bezpečnostní rizika bez toho, aniž bys přidával složitost pro uživatele — oni jen pracují, a MDM tiše v pozadí hlídá, aby všechno bylo v pořádku.
Diagnostika pro ty, kdo chtějí nahlédnout pod kapotu
Pokud spravuješ MDM sám nebo chceš ověřit, že politika skutečně dorazila na zařízení, tady jsou nástroje a příkazy pro každou platformu.
Windows
Stav enrollmentu a Azure AD join:
dsregcmd /statusHledej AzureAdJoined : YES a MDMUrl — pokud jsou vyplněné, zařízení je správně enrollováno. Pro detailní diagnostický report:
mdmdiagnosticstool.exe -area DeviceEnrollment;DeviceProvisioning -zip C:\mdm-report.zipVýsledný ZIP obsahuje logy, politiky a stav enrollmentu — zlatý důl při řešení problémů s nasazením.
macOS
Seznam nainstalovaných MDM profilů:
profiles listDetailní výpis všech profilů (vyžaduje sudo):
sudo profiles show -allOvěření enrollmentu a MDM serveru:
sudo profiles status -type enrollmentiOS / iPadOS
Na zařízení přejdi do Nastavení → Obecné → Správa VPN a zařízení. Pokud je zařízení enrollováno, uvidíš zde nainstalovaný MDM profil s názvem organizace. Kliknutím zobrazíš detail — jaký server zařízení spravuje a které profily jsou aktivní.
Android
Na Androidu závisí zobrazení na výrobci a verzi OS. Obecně hledej Nastavení → Biometrika a zabezpečení → Aplikace správce zařízení (nebo Device Admin Apps). U Android Enterprise fully managed enrollment jde o hlubokou integraci — hledej Nastavení → Pracovní profil nebo aplikaci IT Správce/Device Policy.
Shrnutí — checklist před spuštěním MDM
MDM není složitý koncept, ale jeho nasazení vyžaduje přípravu. Tady je rychlý checklist, než se do toho pustíš:
- Víš, jaká zařízení spravuješ — máš inventarizaci (OS, verze, uživatelé)
- Zvolil jsi správnou platformu — Intune pro M365 firmy, Jamf pro Apple, NinjaOne pro externně spravované IT nebo smíšené prostředí
- Připravil jsi zaměstnance — mají srozumitelný dokument, co MDM vidí a co ne
- Začínáš s minimální sadou politik — heslo, šifrování, aktualizace; komplexitu přidáš postupně
- Otestoval jsi na pilotní skupině — enrollment, politiky, self-service portál fungují dřív, než rolloutneš na celou firmu
- Compliance politika je nejdřív v režimu „report", ne „blokovat" — abys neuzamkl zaměstnance z práce uprostřed rollout
- Máš zdokumentovaný offboarding postup — co udělat, když zaměstnanec odejde nebo ztratí zařízení
MDM je investice, která se vrátí při prvním odcizeném notebooku, prvním odchodu zaměstnance s přístupy k firemním datům nebo první bezpečnostní kontrole. Pokud nevíš, kde začít, nebo chceš nasadit MDM bez starosti o technické detaily, rádi ti s tím pomůžeme.
Řešíte podobný problém ve vaší firmě?
Napište nám