Föga överraskande tillkännagav Apple på WWDC ett antal betydande förändringar av hur Mac-datorer, iPads, iPhones och Apple TV-apparater hanteras i företags- och utbildningsmiljöer. Dessa förändringar delas i stort sett in i två grupper: de som påverkar allmän enhetshantering, och de som gäller deklarativ hantering (en ny typ av enhetshantering som Apple introducerade förra året i iOS 15).

Det är viktigt att titta på varje grupp för sig för att bättre förstå förändringarna.

Hur ändrade Apple global enhetshantering?

Apple Configurator

Apple Configurator för iPhone har expanderat kraftigt. Det har länge varit en manuell metod för att registrera iPhones och iPads i hanteringen snarare än att använda automatiserade eller självregistreringsverktyg. Verktyget levererades ursprungligen som en Mac-app som kunde konfigurera enheter, men det hade en stor nackdel: enheterna måste anslutas via USB till Mac som kör appen. Detta hade uppenbara tids- och arbetskraftskonsekvenser i allt annat än en liten miljö.

Förra året introducerade Apple en version av Configurator för iPhone som vände om originalets arbetsflöde, vilket innebär att en iPhone-version av appen kunde användas trådlöst för att registrera Mac-datorer i hanteringen. Används i första hand för att registrera Mac-datorer som köpts utanför Apples Business/Education-kanal i Apple Business Manager (Apple-produkter köpta via kanalen kan registreras automatiskt med en noll-touch-inställning).

iPhone-inkarnationen är otroligt enkel. Under installationsprocessen, rikta en iPhone-kamera mot en animering på Mac-skärmen (ungefär som att para ihop en Apple Watch) och starta registreringsprocessen.

Den stora förändringen i år är att Apple har utökat användningen av Apple Configurator för iPhone för att stödja registrering av iPads och iPhones genom samma process, vilket tar bort kravet på att enheter måste vara anslutna till en Mac. Detta minskar avsevärt tiden och ansträngningen som krävs för att registrera dessa enheter. Det finns en varning: enheter som kräver mobilaktivering eller som har låsts kommer att behöva denna aktivering göras manuellt innan konfiguratorn kan användas.

identitetshantering

Apple har gjort användbara ändringar av identitetshantering i företagsmiljöer. Ännu viktigare, det erbjuder nu stöd för ytterligare identitetsleverantörer, inklusive Google Workspace och Oauth 2, vilket möjliggör en utökad uppsättning leverantörer. (Azure AD stöddes redan.) Dessa identitetsleverantörer kan användas tillsammans med Apple Business Manager för att generera hanterade Apple-ID:n för anställda.

Företaget meddelade också att stöd för enkel inloggning på alla dess plattformar kommer att rullas ut efter att macOS Ventura och iOS/iPadOS16 kommer i höst. Målet här är att göra användarregistreringen enklare och mer strömlinjeformad genom att kräva att användarna endast autentiseras en gång. Apple tillkännagav också Platform Single Sign-on, ett försök att utöka och effektivisera åtkomsten till affärsapplikationer och webbplatser varje gång de loggar in på sina enheter.

Programhanterade nätverk

Apple har länge haft VPN-funktioner per app, som endast tillåter specifika företags- eller jobbappar att använda en aktiv VPN-anslutning. Detta stärker VPN-säkerheten, men begränsar VPN-nyttolasten genom att endast skicka trafik från specifika appar över en VPN-anslutning. Med macOS Ventura och iOS/iPadOS 16 lägger Apple till DNS-proxy per app och filtrering av webbinnehåll per app. Detta säkrar trafik för specifika appar och fungerar på samma sätt som VPN per app. Och det kräver inga ändringar av själva apparna. DNS-proxy stöder systemomfattande eller per applikationsalternativ, medan innehållsfiltrering stöder systemomfattande eller upp till sju instanser per applikation.

E-SIM provisionering

För iPhones som stöder eSIM tillåter Apple programvara för mobil enhetshantering (MDM) att konfigurera och tillhandahålla ett eSIM. Detta kan inkludera provisionering av en ny enhet, migrering av operatörer, användning av flera operatörer eller konfigurering för resor och roaming.

Hantera tillgänglighetsinställningar

Apple är välkänt för sin omfattande uppsättning tillgänglighetsfunktioner för personer med särskilda behov. Faktum är att många människor utan särskilda behov också använder många av dessa funktioner. I iOS/iPadOS 16 tillåter Apple att MDM automatiskt aktiverar och konfigurerar några av de vanligaste funktionerna, inklusive: textstorlek, voiceover, zoom, peklayouter, fet text, rörelsereducering, kontrastförbättring och transparens. Det kommer att vara ett välkommet verktyg inom områden som specialundervisning eller sjukvård och sjukhussituationer där enheter kan delas mellan användare med särskilda behov.

Vad är nytt i Apples deklarativa hanteringsprocess?

Apple introducerade deklarativ hantering förra året som en förbättring jämfört med sitt ursprungliga MDM-protokoll. Dess stora fördel är att den överför en stor del av affärslogiken, efterlevnaden och hanteringen av MDM-tjänsten till varje enhet. Som ett resultat kan enheter proaktivt övervaka sin status. Detta eliminerar behovet av att MDM-tjänsten ständigt ska kontrollera din enhets status och sedan utfärda kommandon som svar. Istället gör enheter dessa ändringar baserat på deras nuvarande tillstånd och de uttalanden som skickas till dem och rapporterar dem till tjänsten.

Deklarativ hantering bygger på deklarationer som innehåller saker som aktiveringar och konfigurationer. En fördel är att en sats kan innehålla flera konfigurationer, samt triggers som indikerar när eller om konfigurationen ska aktiveras. Detta innebär att ett enda uttalande kan inkludera alla inställningar för alla användare, tillsammans med aktiveringar som anger vilka användare de ska ansöka till. Detta minskar behovet av stora uppsättningar av olika inställningar eftersom enheten själv kan bestämma vilka som ska aktiveras för enheten baserat på dess användare.

I år har Apple utökat de områden där deklarativ hantering kan användas. Inledningsvis var det bara tillgängligt på iOS/iPadOS 15-enheter som utnyttjade användarregistrering. Framöver kommer alla Apple-enheter som kör macOS Ventura eller iOS/iPadOS/tvOS 16 att stödjas, oavsett registreringstyp. Detta innebär att enhetsregistrering (inklusive övervakade enheter) stöds på alla nivåer, liksom Shared iPad (en registreringstyp som tillåter flera användare att dela samma iPad, var och en med sina egna inställningar och filer).

Företaget har gjort det klart att deklarativ hantering är framtiden för Apples enhetshantering och att eventuella nya hanteringsfunktioner endast kommer att implementeras i den deklarativa modellen. Även om traditionell MDM är tillgänglig på obestämd tid, är den föråldrad och kommer så småningom att gå i pension.

Detta har viktiga konsekvenser för enheter som redan används. Enheter som inte kan köra macOS Ventura eller iOS/iPadOS 16 kommer så småningom att avvecklas och de som är kvar i drift kommer att behöva bytas ut. Med tanke på antalet enheter som inte längre stöds kan detta bli en kostsam övergång för vissa organisationer. Även om det inte kommer att ske omedelbart, måste du börja räkna ut hur stor och dyr övergången kommer att bli och hur du kommer att hantera den (särskilt eftersom det sannolikt kommer att kräva en övergång till Apple Silicon, som inte stöder möjligheten att kör Windows- eller Windows-appar under processen).

Utöver att utöka produkterna som kan använda deklarativ hantering, har Apple också utökat sin funktionalitet, inklusive stöd för att konfigurera lösenord, företagskonton och installation av MMD-styrda appar.

Lösenordsalternativet är mer komplext än att bara kräva ett lösenord av en viss typ. Lösenordsupprätthållande krävs traditionellt för vissa säkerhetsrelaterade inställningar, som att skicka företagets Wi-Fi-inställningar till en enhet. I den deklarativa modellen kan dessa inställningar skickas till enheten innan ett lösenord ställs in. De levereras med lösenordskravet och inkluderar en aktivering som bara aktiveras när användaren har skapat ett lösenord som följer denna policy. När användaren har ställt in ett lösenord, upptäcker enheten ändringen och aktiverar Wi-Fi-inställningarna med flera anslutningar till MDM-tjänsten, slår omedelbart på Wi-Fi och meddelar tjänsten att den har aktiverats.

Konton, som kan innehålla saker som e-post, anteckningar, kalender och prenumererade kalendrar, fungerar på samma sätt. Ett kontoutdrag kan ange alla kontotyper som stöds inom organisationen, såväl som alla prenumererade kalendrar. Enheten avgör sedan, baserat på användarens konto och roll(er) inom organisationen, för att aktivera och aktivera.

Att installera MDM-appar är det viktigaste tillägget till deklarativ hantering, eftersom att installera appar är en av de mest betungande uppgifterna för en MDM och den största flaskhalsen under massenhetsaktiveringar (som massintroduktion av nya enheter), anställda, lansering av nya enheter eller första dagen i skolan). Ett uttalande kan specificera alla potentiella applikationer som kommer att installeras och skickas till en enhet vid aktivering, även innan den har levererats till dess användare. Återigen kommer enheten att avgöra vilka appinstallationsinställningar som ska aktiveras och göras tillgängliga, beroende på användaren. Detta förhindrar att varje enhet upprepade gånger frågar efter tjänsten och laddar ner appar och deras inställningar. Det förenklar och påskyndar också processen att aktivera (eller inaktivera) applikationer om en användares roll ändras.

Dessa är betydande förbättringar och det är lätt att se varför dessa är de första tilläggen till deklarativ hantering efter den första implementeringen. Det finns fortfarande MDM-funktioner som inte har tagit steget till deklarativ användning, men det är uppenbart att de kommer så småningom, kanske så snart som nästa år.

Det här är ett av de största tillkännagivandena av WWDC för företag och det är bra att se att Apple tänkte på det när de beslutade vilka funktioner som skulle läggas till eller uppdateras eftersom de flesta av dem finns i domäner som är svåra, långsamma, resurskrävande eller tråkiga. . Apple möter inte bara företagskunders behov utan visar att de förstår dem.

Copyright © 2022 IDG Communications, Inc.

Dela detta