macOS MDM Enrollment (Hexnode ADE/DEP)

Tento návod popisuje registraci firemního Macu do správy Hexnode MDM prostřednictvím Apple Device Enrollment (ADE/DEP). Po úspěšné registraci se automaticky nainstalují povinné firemní aplikace a aktivuje se šifrování disku.

Platformy a verze

MDM konzole: etnetera.hexnodemdm.com
Operační systém: macOS Tahoe (15) a novější
Přihlášení: Microsoft SSO (Entra ID) nebo AD Connect

Část A – IT admin: Příprava zařízení v Hexnode

Tuto část provádí IT administrátor před vydáním zařízení uživateli.

1. Ověření zařízení v Apple Business Manager

Přihlaste se do business.apple.com pomocí firemního Apple ID.
Přejděte do sekce Devices a ověřte, že nový Mac se zobrazuje v seznamu DEP zařízení.
Zkontrolujte přiřazení MDM serveru — kolonka MDM Server musí ukazovat na etnetera.hexnodemdm.com.

Zařízení není v ABM?

Pokud Mac v Apple Business Manager chybí, kontaktujte dodavatele s žádostí o přidání sériového čísla do DEP programu. Alternativně lze zařízení přidat ručně přes Apple Configurator 2.

2. Přihlášení do Hexnode konzole

Otevřete etnetera.hexnodemdm.com.
Klikněte na Sign in with Microsoft a přihlaste se svým firemním účtem (@etnetera.cz).
V levém menu zvolte Enroll → Apple → DEP Devices.

3. Vytvoření nebo přiřazení DEP profilu

Doporučený postup

Použijte předpřipravený profil Etnetera-Standard-macOS. Tento profil zajišťuje správnou konfiguraci Setup Assistantu a automatické přiřazení do skupiny All-Mac-Devices.

Klikněte na Enrollment Profiles → New Profile (nebo otevřete existující Etnetera-Standard-macOS).
Nastavte:
Parametr Hodnota
Profile Name Etnetera-Standard-macOS
Department IT
Support Phone +420 XXX XXX XXX
Supervised ✅ Ano
Mandatory Enrollment ✅ Ano
MDM Removal ❌ Zakázáno
V části Setup Assistant skryjte kroky: Apple ID, iCloud, Siri, Screen Time, Privacy.
Uložte profil a přiřaďte ho k příslušnému zařízení (nebo celé skupině DEP zařízení).

Parametr	Hodnota
Profile Name	`Etnetera-Standard-macOS`
Department	IT
Support Phone	`+420 XXX XXX XXX`
Supervised	✅ Ano
Mandatory Enrollment	✅ Ano
MDM Removal	❌ Zakázáno

4. Přiřazení aplikačních politik

Přejděte do Manage → Policies → macOS.
Přiřaďte ke zařízení (nebo skupině) politiku Etnetera-Mac-Standard, která zajistí instalaci:
- ESET Endpoint Security (antivirus)
- Viscosity (VPN klient)
- Slack
- Google Chrome
Potvrzení ukažte zelenou ikonou stavu politiky.

Licence ESET

Před enrollmentem ověřte, že máte dostupnou licenci v ESET Business Account (EBA). Instalace ESET bez platné licence spustí pouze 30denní trial.

5. Předání zařízení uživateli

Zařízení musí být resetováno do továrního nastavení (nebo nové z krabice).
Informujte uživatele, že první spuštění proběhne s průvodcem Setup Assistantem a vyžaduje připojení k internetu (Wi-Fi nebo kabel).
Předejte tento návod — Část B — uživateli.

Část B – Uživatel: Enrollment nového Macu

Tuto část provádí uživatel při prvním spuštění firemního Macu.

Co budete potřebovat

Firemní Mac (nový nebo resetovaný)
Připojení k internetu (Wi-Fi nebo Ethernet)
Firemní e-mail a heslo (jmeno.prijmeni@etnetera.cz)

1. První spuštění a Setup Assistant

Zapněte Mac — spustí se průvodce Setup Assistant (s logem Apple).
Vyberte jazyk a zemi.
Připojte se k Wi-Fi nebo zapojte Ethernet kabel.

Firemní Wi-Fi

Připojte se k síti Etnetera-Corp heslem, které vám poskytl IT tým. Síť je k dispozici ve všech kancelářích.

Mac automaticky kontaktuje Apple servery a stáhne MDM enrollment profil z Hexnode.
Zobrazí se obrazovka Remote Management s textem: "This Mac is supervised and managed by Etnetera a.s."
Klikněte na Continue.

Nepoužívejte osobní Apple ID

Setup Assistant nabídne přihlášení přes Apple ID. Toto pole přeskočte nebo použijte firemní Apple ID (pokud vám bylo přiděleno IT týmem). Nikdy nezadávejte osobní Apple ID na firemním zařízení.

2. Přihlášení firemním účtem (Microsoft SSO)

Po dokončení Setup Assistantu se Mac přihlásí na pracovní plochu.
Hexnode automaticky zobrazí výzvu k přihlášení — klikněte na Sign in with Microsoft.
Zadejte svůj firemní e-mail: jmeno.prijmeni@etnetera.cz.
Na přihlašovací stránce Microsoft Entra ID zadejte heslo.
Dokončete vícefaktorové ověření (MFA) v Microsoft Authenticator na telefonu.

AD Connect (alternativní přihlášení)

Pokud se přihlášení přes Microsoft SSO nezdaří, použijte přímé přihlášení Active Directory: uživatelské jméno ETNETERA\jmeno.prijmeni a vaše doménové heslo. Tuto situaci nahlaste IT týmu.

3. Automatická instalace aplikací

Po úspěšném přihlášení Hexnode začne automaticky instalovat firemní software. Proces trvá přibližně 10–20 minut v závislosti na rychlosti internetu.

Nainstalované aplikace:

Aplikace	Popis
ESET Endpoint Security	Antivirová ochrana — spustí se automaticky
Viscosity	VPN klient pro přístup do firemní sítě
Slack	Firemní komunikační platforma
Google Chrome	Webový prohlížeč (doporučený pro firemní systémy)

Sledování průběhu instalace

Průběh instalace lze sledovat v aplikaci Hexnode MDM (ikona štítu v Docku nebo menu baru). Zelená ikona = vše v pořádku.

4. Aktivace FileVault šifrování

Hexnode automaticky aktivuje FileVault — šifrování celého disku. Proces proběhne na pozadí.

Zobrazí se systémové oznámení: "FileVault encryption is being enabled."
Pokud Mac požádá o zadání hesla pro spuštění FileVault, zadejte své přihlašovací heslo macOS.
Šifrování disku probíhá na pozadí — Mac lze normálně používat.

Neodpojujte Mac od napájení

Během šifrování disku nechte Mac zapojený do napájení. Odpojení napájení šifrování nepřeruší, ale může zpomalit proces.

Obnovovací klíč FileVault

Obnovovací klíč FileVault je automaticky zálohován do Hexnode MDM konzole. Uživatel ho nepotřebuje uchovávat — v případě potřeby kontaktujte IT tým.

5. Ověření enrollment stavu

Po dokončení instalace ověřte, že enrollment proběhl správně:

Klikněte na → System Settings → Privacy & Security → Profiles.
V seznamu by měl být profil Etnetera MDM Profile se statusem ✅ Verified.
Otevřete aplikaci ESET Endpoint Security — zobrazí se zelený štít "Your computer is protected."

VPN nastavení

Po instalaci Viscosity je potřeba importovat VPN konfiguraci. Viz návod VPN připojení.

Řešení problémů

Mac se nezaregistroval do MDM automaticky

Zkontrolujte, že zařízení je v Apple Business Manager přiřazeno k MDM serveru etnetera.hexnodemdm.com.
Proveďte reset MDM enrollment: System Settings → Privacy & Security → Profiles → odeberte profil a restartujte Mac.
Kontaktujte IT tým.

Přihlášení Microsoft SSO nefunguje

Ověřte připojení k internetu.
Zkuste alternativní přihlášení přes AD Connect: ETNETERA\jmeno.prijmeni.
Zkontrolujte, že váš účet není zablokován v Azure Active Directory.

Aplikace se nenainstalovala

Otevřete Hexnode MDM aplikaci → Apps a zkontrolujte stav instalace.
Ručně spusťte synchronizaci: Hexnode MDM → Settings → Sync.
Pokud aplikace chybí i po synchronizaci, obraťte se na IT tým.

Kontakt na IT tým

Máte-li jakékoli problémy s MDM enrollment, kontaktujte nás:

E-mail: it@etnetera.cz

Uveďte v předmětu e-mailu: MDM Enrollment – [vaše jméno] a přiložte sériové číslo Macu (About This Mac → Serial Number).

macOS MDM Enrollment (Hexnode ADE/DEP) ​

Část A – IT admin: Příprava zařízení v Hexnode ​

1. Ověření zařízení v Apple Business Manager ​

2. Přihlášení do Hexnode konzole ​

3. Vytvoření nebo přiřazení DEP profilu ​

4. Přiřazení aplikačních politik ​

5. Předání zařízení uživateli ​

Část B – Uživatel: Enrollment nového Macu ​

1. První spuštění a Setup Assistant ​

2. Přihlášení firemním účtem (Microsoft SSO) ​

3. Automatická instalace aplikací ​

4. Aktivace FileVault šifrování ​

5. Ověření enrollment stavu ​

Řešení problémů ​

Mac se nezaregistroval do MDM automaticky ​

Přihlášení Microsoft SSO nefunguje ​

Aplikace se nenainstalovala ​