Som väntat tillkännagav Apple på WWDC ett antal betydande förändringar av hur Mac, iPad, iPhone och Apple TV hanteras i affärs- och utbildningsmiljöer. Dessa förändringar delas i stort sett in i två grupper: de som påverkar allmän enhetshantering och de som gäller deklarativ hantering (en ny typ av enhetshantering som Apple introducerade förra året i iOS 15).
Det är viktigt att titta på varje grupp för sig för att bättre förstå förändringarna.
Hur ändrade Apple global enhetshantering?
Apple Configurator
Apple Configurator för iPhone har expanderat kraftigt. Det har länge varit en manuell metod att registrera iPhones och iPads i hanteringen snarare än att använda automatiserade eller självregistreringsverktyg. Verktyget levererades ursprungligen som en Mac-app som kunde konfigurera enheter, men det hade en stor nackdel: enheterna måste anslutas via USB till Mac som kör appen. Detta hade uppenbara tids- och arbetskonsekvenser i allt annat än en liten miljö.
Förra året introducerade Apple en version av Configurator för iPhone som ändrade arbetsflödet från originalet, vilket innebär att en iPhone-version av appen kan användas trådlöst för att registrera Mac-datorer i hanteringen. Används främst för att registrera Mac-datorer som köpts utanför Apples Business/Education-kanal i Apple Business Manager (Apple-produkter köpta via kanalen kan registreras automatiskt med noll-touch-inställning).
iPhone-inkarnationen är otroligt enkel. Under installationsprocessen, rikta en iPhones kamera mot en animering på Mac-skärmen (ungefär som att para ihop en Apple Watch) och utlösa registreringsprocessen.
Den stora förändringen i år är att Apple har utökat användningen av Apple Configurator för iPhone för att stödja iPad- och iPhone-registrering med samma process, vilket tar bort kravet på att enheter måste vara anslutna till en Mac. Detta minskar avsevärt tiden och ansträngningen som krävs för att registrera dessa enheter. Det finns en varning: enheter som kräver cellulär aktivering eller som har låsts måste denna aktivering göras manuellt innan konfiguratorn kan användas.
Identitetshantering
Apple har gjort användbara ändringar av identitetshantering i företagsmiljöer. Ännu viktigare, det erbjuder nu stöd för ytterligare identitetsleverantörer, inklusive Google Workspace och Oauth 2, vilket möjliggör en utökad uppsättning leverantörer. (Azure AD stöddes redan). Dessa identitetsleverantörer kan användas tillsammans med Apple Business Manager för att generera hanterade Apple-ID:n för anställda.
Företaget meddelade också att stöd för registrering av enkel inloggning på alla dess plattformar kommer att rullas ut efter att macOS Ventura och iOS/iPadOS16 kommer i höst. Målet här är att göra användarregistreringen enklare och mer strömlinjeformad genom att kräva att användarna endast autentiseras en gång. Apple tillkännagav också Platform Single Sign-on, ett försök att utöka och effektivisera åtkomsten till företagsappar och webbplatser varje gång de loggar in på sina enheter.
Programhanterade nätverk
Apple har länge haft VPN-funktioner per app, som endast tillåter specifika företags- eller jobbappar att använda en aktiv VPN-anslutning. Detta stärker VPN-säkerheten, men begränsar VPN-belastningen genom att endast skicka trafik från specifika applikationer över en VPN-anslutning. Med macOS Ventura och iOS/iPadOS 16 lägger Apple till DNS-proxy per app och filtrering av webbinnehåll per app. Detta säkrar trafik för specifika appar och fungerar på samma sätt som VPN per app. Och det kräver inga ändringar i själva applikationerna. DNS-proxy stöder systemomfattande alternativ per app, medan innehållsfiltrering stöder systemomfattande eller upp till sju instanser per app.
E-SIM provisionering
För iPhones som stöder eSIM tillåter Apple programvara för mobil enhetshantering (MDM) att konfigurera och tillhandahålla ett eSIM. Detta kan inkludera provisionering av en ny enhet, migrering av operatörer, användning av flera operatörer eller konfigurering för resor och roaming.
Hantera tillgänglighetsinställningar
Apple är välkänt för sin omfattande uppsättning tillgänglighetsfunktioner för personer med särskilda behov. Faktum är att många människor utan särskilda behov också använder många av dessa funktioner. I iOS/iPadOS 16 tillåter Apple att MDM automatiskt aktiverar och konfigurerar några av de vanligaste funktionerna, inklusive: textstorlek, voiceover, zoom, peklayouter, fet text, skakningsreducering, kontrastökning och försämring av transparens. Det kommer att vara ett välkommet verktyg inom områden som specialundervisning eller sjukhus- och sjukvårdssituationer där enheter kan delas mellan användare med särskilda behov.
Vad är nytt i Apples deklarativa hanteringsprocess?
Apple introducerade deklarativ hantering förra året som en förbättring jämfört med sitt ursprungliga MDM-protokoll. Dess stora fördel är att den flyttar mycket av affärslogiken, efterlevnaden och hanteringen av MDM-tjänsten till varje enhet. Som ett resultat kan enheter proaktivt övervaka sin status. Detta eliminerar behovet av att MDM-tjänsten ständigt ska kontrollera din enhets status och sedan utfärda kommandon som svar. Istället gör enheter dessa ändringar baserat på deras nuvarande tillstånd och uttalanden som skickas till dem och rapporterar dem till tjänsten.
Deklarativ hantering bygger på deklarationer som innehåller saker som aktiveringar och konfigurationer. En fördel är att ett uttalande kan innehålla flera inställningar, samt aktiveringar som indikerar när eller om inställningen ska aktiveras. Det betyder att ett enskilt uttalande kan innehålla alla inställningar för alla användare, tillsammans med aktiveringar som anger vilka användare de ska ansöka om. Detta minskar behovet av stora uppsättningar av olika inställningar eftersom enheten själv kan bestämma vilka som ska aktiveras för enheten på grund av dess användare.
I år har Apple utökat de områden där deklarativ hantering kan användas. Inledningsvis var det bara tillgängligt på iOS/iPadOS 15-enheter som utnyttjade användarregistrering. Framöver kommer alla Apple-enheter som kör macOS Ventura eller iOS/iPadOS/tvOS 16 att stödjas, oavsett registreringstyp. Detta innebär att enhetsregistrering (inklusive övervakade enheter) stöds på alla nivåer, liksom iPad-delning (en typ av registrering som gör att flera användare kan dela samma iPad, var och en med sina egna inställningar och filer. ).
Företaget har gjort det klart att deklarativ hantering är framtiden för Apples enhetshantering och att eventuella nya hanteringsfunktioner endast kommer att implementeras i den deklarativa modellen. Även om traditionell MDM är tillgänglig på obestämd tid, är den föråldrad och kommer så småningom att gå i pension.
Detta har viktiga konsekvenser för enheter som redan används. Enheter som inte kan köra macOS Ventura eller iOS/iPadOS 16 kommer så småningom att avvecklas och de som är kvar i drift kommer att behöva bytas ut. Med tanke på antalet enheter som inte längre stöds kan detta innebära en kostsam övergång för vissa organisationer. Även om det inte kommer att ske omedelbart, bör du börja bestämma hur stor och dyr övergången kommer att bli och hur du kommer att hantera den (särskilt eftersom det sannolikt kommer att kräva en övergång till Apple Silicon, som inte stöder möjligheten att köra Windows eller Windows ansökningar pågår).
Utöver att utöka produkterna som kan använda deklarativ hantering, har Apple också utökat sin funktionalitet, inklusive stöd för att konfigurera lösenord, företagskonton och installation av MMD-styrda appar.
Lösenordsalternativet är mer komplext än att bara kräva ett lösenord av en viss typ. Lösenordsupprätthållande krävs traditionellt för vissa säkerhetsrelaterade konfigurationer, som att skicka företagets Wi-Fi-inställningar till en enhet. I den deklarativa modellen kan dessa inställningar skickas till enheten innan ett lösenord ställs in. De levereras med ett lösenordskrav och inkluderar en aktivering som endast aktiveras när användaren har skapat ett lösenord som följer denna policy. När användaren har ställt in ett lösenord upptäcker enheten ändringen och aktiverar Wi-Fi-inställningar med flera anslutningar till MDM-tjänsten, slår omedelbart på Wi-Fi och meddelar tjänsten att den har aktiverats.
Konton, som kan innehålla saker som e-post, anteckningar, kalender och prenumererade kalendrar, fungerar på samma sätt. Ett kontoutdrag kan ange alla kontotyper som stöds inom organisationen, såväl som alla prenumererade kalendrar. Enheten avgör sedan, baserat på användarens konto och roll(er) inom organisationen, för att aktivera och aktivera.
Installation av MDM-applikationer är det viktigaste tillägget till deklarativ hantering, eftersom installation av applikationer är en av de mest betungande uppgifterna för en MDM och den största flaskhalsen under massenhetsaktiveringar (som massintroduktion av nya enheter), anställda, lansering av nya enheter eller första dagen i skolan). En deklaration kan specificera alla potentiella applikationer som kommer att installeras och levereras till en enhet vid aktivering, även innan den har levererats till dess användare. Återigen kommer enheten att avgöra vilka appinstallationsinställningar som ska aktiveras och göras tillgängliga, beroende på användaren. Detta förhindrar att varje enhet upprepade gånger frågar efter tjänsten och laddar ner applikationer och deras inställningar. Det förenklar och påskyndar också processen att aktivera (eller inaktivera) applikationer om en användares roll ändras.
Det här är betydande förbättringar och det är lätt att se varför dessa är de första tilläggen till deklarativ hantering efter den första implementeringen. Det finns fortfarande MDM-funktioner som inte har tagit steget till deklarativ användning, men det är uppenbart att de så småningom kommer att göra det, kanske redan nästa år.
Det här är ett av de största WWDC-meddelandena för företag och det är bra att se att Apple har tänkt på det när de bestämmer vilka funktioner som ska läggas till eller uppdateras, eftersom de flesta av dem finns i svåra, långsamma, resurskrävande eller tråkiga domäner. . Apple möter inte bara företagskunders behov, det visar att de förstår dem.
Copyright © 2022 IDG Communications, Inc.