Wenig überraschend kündigte Apple auf der WWDC eine Reihe bedeutender Änderungen im Umgang mit Macs, iPads, iPhones und Apple TVs in Geschäfts- und Bildungsumgebungen an. Diese Änderungen lassen sich im Wesentlichen in zwei Gruppen einteilen: solche, die sich auf die allgemeine Geräteverwaltung auswirken, und solche, die sich auf die deklarative Verwaltung beziehen (eine neue Art der Geräteverwaltung, die Apple letztes Jahr in iOS 15 eingeführt hat).
Es ist wichtig, jede Gruppe einzeln zu betrachten, um die Veränderungen besser zu verstehen.
Wie hat Apple die globale Geräteverwaltung verändert?
Apple-Konfigurator
Der Apple Configurator für iPhone hat eine deutliche Erweiterung erfahren. Die Registrierung von iPhones und iPads erfolgt seit langem manuell bei der Verwaltung, anstatt automatisierte oder Selbstregistrierungstools zu verwenden. Das Tool wurde ursprünglich als Mac-App ausgeliefert, die Geräte konfigurieren konnte, hatte jedoch einen großen Nachteil: Geräte mussten über USB an den Mac angeschlossen werden, auf dem die App ausgeführt wurde. Dies hatte offensichtliche Auswirkungen auf den Zeit- und Arbeitsaufwand, sofern es sich nicht um eine kleine Umgebung handelte.
Letztes Jahr stellte Apple eine Version von Configurator für iPhone vor, die den Arbeitsablauf des Originals umkehrte, was bedeutete, dass eine iPhone-Version der App drahtlos verwendet werden konnte, um Macs für die Verwaltung zu registrieren. Es wurde hauptsächlich verwendet, um Macs, die außerhalb des Business-/Bildungskanals von Apple gekauft wurden, im Apple Business Manager zu registrieren (über den Kanal gekaufte Apple-Produkte können automatisch mit Zero-Touch-Setup registriert werden).
Die iPhone-Inkarnation ist unglaublich einfach. Während des Einrichtungsvorgangs richten Sie eine iPhone-Kamera auf eine Animation auf dem Mac-Bildschirm (ähnlich wie beim Koppeln einer Apple Watch) und lösen den Registrierungsvorgang aus.
Die große Änderung in diesem Jahr besteht darin, dass Apple die Verwendung von Apple Configurator für iPhone erweitert hat, um die Registrierung von iPad und iPhone über denselben Prozess zu unterstützen, wodurch die Anforderung entfällt, dass Geräte an einen Mac angeschlossen werden müssen. Dies reduziert den Zeit- und Arbeitsaufwand für die Registrierung erheblich diese Geräte. Es gibt eine Einschränkung: Geräte, die eine Mobilfunkaktivierung erfordern oder gesperrt wurden, müssen diese Aktivierung manuell durchführen, bevor der Konfigurator verwendet werden kann.
Identitätsmanagement
Apple hat nützliche Änderungen am Identitätsmanagement in Unternehmensumgebungen vorgenommen. Am wichtigsten ist, dass es jetzt Unterstützung für zusätzliche Identitätsanbieter bietet, darunter Google Workspace und Oauth 2, wodurch eine erweiterte Auswahl an Anbietern ermöglicht wird. (Azure AD wurde bereits unterstützt.) Diese Identitätsanbieter können in Verbindung mit Apple Business Manager verwendet werden, um verwaltete Apple-IDs für Mitarbeiter zu generieren.
Das Unternehmen kündigte außerdem an, dass die Single-Sign-On-Unterstützung auf allen seinen Plattformen eingeführt wird, sobald macOS Ventura und iOS/iPadOS16 im Herbst auf den Markt kommen. Ziel ist es, die Benutzerregistrierung einfacher und effizienter zu gestalten, indem Benutzer nur einmal authentifiziert werden müssen. Apple kündigte außerdem Platform Single Sign-on an, ein Versuch, den Zugriff auf Unternehmensanwendungen und Websites bei jeder Anmeldung an ihren Geräten zu erweitern und zu optimieren.
Anwendungsverwaltete Netzwerke
Apple verfügt seit langem über Pro-App-VPN-Funktionen, die nur bestimmten Geschäfts- oder Arbeits-Apps die Nutzung einer aktiven VPN-Verbindung ermöglichen. Dies erhöht die VPN-Sicherheit, begrenzt jedoch die VPN-Last, indem nur bestimmter App-Verkehr über eine VPN-Verbindung gesendet wird. Mit macOS Ventura und iOS/iPadOS 16 fügt Apple einen DNS-Proxy pro App und eine Filterung von Webinhalten pro App hinzu. Dies sichert den Datenverkehr für bestimmte Apps und funktioniert ähnlich wie ein Pro-App-VPN. Und es sind keine Änderungen an den Anwendungen selbst erforderlich. Der DNS-Proxy unterstützt systemweite oder anwendungsspezifische Optionen, während die Inhaltsfilterung systemweit oder bis zu sieben Instanzen pro Anwendung unterstützt.
E-SIM-Bereitstellung
Für iPhones, die eSIM unterstützen, ermöglicht Apple die Konfiguration und Bereitstellung einer eSIM durch MDM-Software (Mobile Device Management). Dies kann die Bereitstellung eines neuen Geräts, die Migration eines Mobilfunkanbieters, die Verwendung mehrerer Mobilfunkanbieter oder die Einrichtung von Reisen und Roaming umfassen.
Barrierefreiheitseinstellungen verwalten
Apple ist bekannt für seine umfangreichen Barrierefreiheitsfunktionen für Menschen mit besonderen Bedürfnissen. Tatsächlich nutzen auch viele Menschen ohne besondere Bedürfnisse viele dieser Funktionen. In iOS/iPadOS 16 ermöglicht Apple MDM die automatische Aktivierung und Konfiguration einiger der häufigsten Funktionen, darunter: Textgröße, Voiceover, Zoom, Touch-Layouts, fetter Text, Bewegungsreduzierung, Kontrastverstärkung und Verringerung der Transparenz. Es wird ein willkommenes Hilfsmittel in Bereichen wie der Sonderpädagogik oder in Krankenhäusern und im Gesundheitswesen sein, in denen Geräte möglicherweise von Benutzern mit besonderen Bedürfnissen gemeinsam genutzt werden.
Was ist neu im deklarativen Prozessmanagement von Apple?
Apple hat letztes Jahr die deklarative Verwaltung als Verbesserung gegenüber seinem ursprünglichen MDM-Protokoll eingeführt. Sein großer Vorteil besteht darin, dass ein Großteil der Geschäftslogik, Compliance und Verwaltung des MDM-Dienstes auf jedes Gerät übertragen wird. Dadurch können Geräte ihren Status proaktiv überwachen. Dadurch entfällt die Notwendigkeit, dass der MDM-Dienst ständig den Status Ihres Geräts abfragt und dann als Antwort Befehle ausgibt. Stattdessen nehmen Geräte diese Änderungen basierend auf ihrem aktuellen Zustand und den an sie gesendeten Anweisungen vor und melden sie dem Dienst.
Die deklarative Verwaltung basiert auf Deklarationen, die beispielsweise Aktivierungen und Konfigurationen enthalten. Ein Vorteil besteht darin, dass eine Anweisung mehrere Konfigurationen sowie Aktivierungen enthalten kann, die angeben, wann oder ob die Konfiguration aktiviert werden soll. Dies bedeutet, dass eine einzige Anweisung alle Einstellungen für alle Benutzer sowie Auslöser enthalten kann, die angeben, auf welche Benutzer sie angewendet werden sollen. Dies reduziert den Bedarf an großen Sätzen unterschiedlicher Einstellungen, da das Gerät selbst bestimmen kann, welche aufgrund seines Benutzers für das Gerät aktiviert werden sollen.
In diesem Jahr hat Apple die Bereiche erweitert, in denen deklaratives Management eingesetzt werden kann. Ursprünglich war es nur auf iOS/iPadOS 15-Geräten verfügbar, die die Benutzerregistrierung nutzten. Künftig werden alle Apple-Geräte mit macOS Ventura oder iOS/iPadOS/tvOS 16 unterstützt, unabhängig vom Registrierungstyp. Dies bedeutet, dass die Geräteregistrierung (einschließlich überwachter Geräte) auf allen Ebenen unterstützt wird, ebenso wie Shared iPad (eine Art der Registrierung, die es mehreren Benutzern ermöglicht, dasselbe iPad mit jeweils eigenen Einstellungen und Dateien zu teilen). ).
Das Unternehmen hat deutlich gemacht, dass die deklarative Verwaltung die Zukunft der Apple-Geräteverwaltung ist und dass alle neuen Verwaltungsfunktionen nur im deklarativen Modell implementiert werden. Obwohl herkömmliches MDM auf unbestimmte Zeit verfügbar ist, ist es veraltet und wird irgendwann eingestellt.
Dies hat wichtige Auswirkungen auf bereits verwendete Geräte. Geräte, auf denen macOS Ventura oder iOS/iPadOS 16 nicht ausgeführt werden können, werden irgendwann eingestellt und diejenigen, die weiterhin in Betrieb sind, müssen ersetzt werden. Angesichts der Anzahl der Geräte, die nicht mehr unterstützt werden, könnte dies für einige Organisationen eine kostspielige Umstellung bedeuten. Auch wenn dies nicht sofort erfolgen wird, sollten Sie damit beginnen, zu bestimmen, wie groß und teuer der Übergang sein wird und wie Sie ihn verwalten (vor allem, da er wahrscheinlich einen Übergang zu Apple Silicon erfordert, das die Ausführungsfähigkeit nicht unterstützt). Windows oder Windows-Apps, im Prozess).
Neben der Erweiterung der Produkte, die die deklarative Verwaltung nutzen können, hat Apple auch seine Funktionalität erweitert, einschließlich der Unterstützung für die Einrichtung von Passcodes, Unternehmenskonten und die Installation von MMD-gesteuerten Apps.
Die Passwortoption ist komplexer als nur die Anforderung eines Passworts eines bestimmten Typs. Für bestimmte sicherheitsrelevante Einstellungen ist die Durchsetzung von Passwörtern traditionell erforderlich, beispielsweise für das Senden von unternehmensinternen WLAN-Einstellungen an ein Gerät. Im deklarativen Modell können diese Einstellungen an das Gerät gesendet werden, bevor ein Passwort festgelegt wird. Sie werden mit einer Passwortanforderung ausgeliefert und beinhalten eine Aktivierung, die es erst aktiviert, wenn der Benutzer ein Passwort erstellt hat, das dieser Richtlinie entspricht. Sobald der Benutzer ein Passwort festgelegt hat, erkennt das Gerät die Änderung und aktiviert die WLAN-Konfiguration mit mehreren Verbindungen zum MDM-Dienst, schaltet WLAN sofort ein und benachrichtigt den Dienst über die Aktivierung.
Konten, die Dinge wie E-Mails, Notizen, Kalender und abonnierte Kalender enthalten können, funktionieren auf die gleiche Weise. In einem Kontoauszug können alle unterstützten Kontotypen innerhalb der Organisation sowie alle abonnierten Kalender angegeben werden. Das Gerät entscheidet dann basierend auf dem Benutzerkonto und den Rollen innerhalb der Organisation über die Aktivierung und Aktivierung.
Die MDM-App-Installation ist die wichtigste Ergänzung zur deklarativen Verwaltung, da die App-Installation eine der mühsamsten Aufgaben für einen MDM und der größte Engpass bei Massenaktivierungen von Geräten (z. B. dem Massenhinzufügen neuer Geräte) ist. Mitarbeiter, die Einführung neuer Geräte Geräte oder der erste Schultag). Eine Anweisung kann alle potenziellen Anwendungen angeben, die bei der Aktivierung installiert und auf einem Gerät bereitgestellt werden sollen, noch bevor es an den Benutzer bereitgestellt wurde. Auch hier bestimmt das Gerät je nach Benutzer, welche App-Installationseinstellungen aktiviert und verfügbar gemacht werden sollen. Dadurch wird verhindert, dass jedes Gerät den Dienst wiederholt abfragt und Apps und deren Einstellungen herunterlädt. Es vereinfacht und beschleunigt außerdem den Prozess der Aktivierung (oder Deaktivierung) von Anwendungen, wenn sich die Rolle eines Benutzers ändert.
Dies sind bedeutende Verbesserungen, und es ist leicht zu erkennen, warum dies die ersten Ergänzungen der deklarativen Verwaltung nach der ersten Implementierung sind. Es gibt immer noch MDM-Funktionen, die den Sprung zur deklarativen Nutzung noch nicht geschafft haben, aber es ist offensichtlich, dass sie dies irgendwann tun werden, vielleicht schon im nächsten Jahr.
Dies ist eine der größten WWDC-Ankündigungen für Unternehmen und es ist gut zu sehen, dass Apple bei der Entscheidung darüber, welche Funktionen hinzugefügt oder aktualisiert werden sollen, darüber nachgedacht hat, da die meisten davon schwierige, langsame, ressourcenintensive oder langwierige Domänen betreffen. . Apple geht nicht nur auf die Bedürfnisse von Geschäftskunden ein, es zeigt auch, dass es sie versteht.
Copyright © 2022 IDG Communications, Inc.