iOS 15 和 iPadOS 15 最大的企业新增功能之一是对 Apple 的 MDM(移动设备管理)协议的重大改变。 早期的 MDM 更改主要集中在添加新的管理、安全或部署功能,扩展 MDM 可以执行的内容。 6 月份在公司开发者大会上推出的声明式管理是第一个修改协议本身的变化。
虽然声明式管理将在 iOS 15 和 iPadOS 15 中首次亮相,但苹果表示它也将在 macOS Monterey 中得到支持,尽管不是马上。
今天的 Apple MDM
在我们了解什么是声明式管理之前,让我们简要回顾一下 Apple 的 MDM 协议,因为它之前已经实现了。
[ 如何选择合适的 UEM 平台 ]
Apple MDM 包含一些不同的组件:配置和配置文件、MDM 服务和各种 MDM 命令。
配置文件是格式化为 .plist 文件的 XML 数据字符串。 这些实际上早于 Apple MDM,并且在 iPhone OS 2 中首次引入,同时支持 Exchange。 这些文件可以配置或限制大部分 iOS 体验。 如果需要,它们甚至可以用于预配置企业应用程序设置。 配置文件的内容通常称为有效负载。
供应配置文件的作用正如其名称所暗示的那样:它们供应各种证书和其他安全元素,这些证书和其他安全元素是受管设备的关键,使它们能够连接到访问企业资源所需的服务器/服务。
MDM 服务器/服务是将企业中的各种设备连接在一起并为它们分配配置文件的粘合剂。 MDM 还可用于查询设备的当前状态并发送 MDM 命令,例如需要新密码、从丢失的设备上擦除公司数据或在用户忘记密码时清除密码。
轮询设备的状态是使 MDM 发挥作用的重要因素之一。 MDM 服务器可以自动或按需查询设备。 这种轮询可以查询几乎每一个设备配置,然后将更新发送到设备以满足合规性,需要为设备和服务器/服务提供大量带宽。 声明式管理的目标之一是消除这种来回的方法。
结果可能会减少设备(及其连接的网络)的服务器负载和带宽。 它还会影响应用程序的带宽和整体电池寿命等。
那么什么是声明式管理呢? 我为什么要关心?
声明式管理将大部分关于合规性的决定——以及在某种程度上,对不合规性的补救——推向了设备。 这会卸载 MDM 服务器/服务的功能。
设备现在不再依赖服务器轮询来获取当前设备状态,而是可以监控自己的设备状态,并根据需要主动将其与服务器/服务进行通信。 他们还可以评估设备状态的变化并采取适当的措施,即使设备处于离线状态并且无法连接到管理服务或整个互联网。
再见 plists,你好 JSON
传统 MDM 和声明式 MDM 之间的一个区别是数据的通信和解释方式。 到目前为止,配置文件以 .plist 文本文件的形式存在。 声明式管理放弃了支持 JSON 对象的方法。
虽然这是一个变化,但大多数这些 XML 数据字符串本质上是相同的,尽管文件类型不同。 我希望 MDM 供应商将使管理员完全看不到此更改。
四种类型的声明
在新系统下,声明包括四种类型的托管设备指令:配置、资产、激活和管理。
配置:这种类型的声明与传统 MDM 中的配置文件非常接近。 声明指定了 Apple 设备支持的各种设置、限制和其他类型的管理。
资产:此类声明为设备提供支持信息。 这包括用户帐户信息、安全证书和与 MDM 相关的服务 URL 等内容。 在某种程度上,它们的功能类似于传统 MDM 中的配置文件(通常用于部署证书)。
资产的一个主要优势:资产声明可以应用于多个配置,而不是安装多个证书(或同一证书的多个实例)。 这应该为 IT 部门提供简化证书管理的能力; 特别是,它应该有助于部署更新的证书,因为需要部署的证书会更少。
激活:激活本质上是关于何时应发生特定配置或操作的规则(称为谓词)。 因为声明是在设备上处理的,所以设备会在其状态发生变化时发出通知。 然后它将确定更改是否导致状态满足激活要求(或者它是否不再满足激活状态),并将主动实时应用该激活及其相关配置数据。
激活的优势之一是可以将配置数据推送到大量设备,即使在部署时某些配置数据并不适用于所有设备。 激活允许这些配置在设备上但处于非活动状态,直到设备状态的变化与激活匹配并激活相关配置。
管理:管理声明用于向设备发送相对静态的信息。 这包括 MDM 服务器或服务的功能。 此信息让设备知道哪些 MDM 和声明式管理功能可用。 随着 Apple 开始推出更多声明性功能并将其扩展到 iPhone 和 iPad 以外的设备,这可能会变得更加重要。
地位
除了声明之外,还有一个状态通道,MDM 使用它来确保服务器了解设备状态。 由于声明独立地将更改应用到设备状态,因此设备有一种方法可以将其新状态报告给 MDM 服务器或服务是至关重要的。 这取代了传统 MDM 需要定期轮询设备的设备状态,并确保设备状态数据实时更新。
这样做的好处是巨大的,因为它释放了定期轮询组织中所有设备所需的大量服务器和网络负载。 它还具有延长设备电池寿命的潜力,因为报告的数据量被最小化并且仅在设备状态发生变化时发生。 而且,正如我指出的那样,它有可能更快地发现问题,例如不合规或经历异常(并且可能可疑)活动的设备,因为在进行更改时会立即发送信息。
可扩展性
可扩展性是指 MDM 使设备和 MDM 服务器/服务能够相互报告可用功能的能力。 然后这可以触发操作、部署有效负载并启用新功能——所有这一切都可以立即发生。
有关详细信息,您可以查看来自 WWDC 的声明式管理深入探讨。
从传统的 MDM 转向声明式管理
IT 围绕声明式管理面临的最大问题是这种转变何时(以及如何)发生? 好消息是,是否或何时采用声明式管理确实取决于每个组织。 Apple 似乎正计划软推出声明式管理——起初它将仅适用于用户注册的 iOS 15 和 iPadOS 15 设备(通常是 BYOD 的首选),并且大多数声明最初将不可用。 例如,在撰写本文时,只有帐户和密码配置计划成为 iOS 15 推出的一部分。 计划在未来一段时间支持 macOS Monterey。
同样重要的是要认识到,目前声明式管理是可选的。 最终,我预计我们会看到传统的 MDM 被弃用,但我认为这在未来还有很长的路要走。 到那时,传统的 MDM 将与声明式管理一起得到支持。 对于大多数 IT 部门来说,这应该是一种解脱。
现在是开始考虑您当前的 MDM 平台和您现有的策略和配置文件组合将如何利用声明式管理以及您将来可以在何处使用声明简化管理的好时机。
这也可能是与您当前的 MDM 供应商核实的好时机,看看他们支持声明式管理的计划是什么,以及他们期望它将如何改变他们产品的各种工作流程。 更进一步,这可能是检查其他企业移动供应商的理想时机(请参阅“使用 EMM,你应该选择全栈还是同类最佳?”)以了解他们的计划是什么,并重新评估你是否想继续使用 您当前的提供商。
最终,声明式管理将带来很多好处,并使 Apple 设备管理成为一个更简单、网络密集程度更低的过程。 对于客户、供应商和 Apple,将会有一个学习曲线和一些试验和错误,但这条道路看起来非常有前途,甚至令人兴奋。
