Deklarative Verwaltung: Was hat es damit auf sich?

MDM: ein reaktiver Ansatz für die Verwaltung

Das Mobile Device Management Protokoll (Mobilgeräteverwaltung) von Apple ist ein wichtiger Bestandteil der Verwaltung und Wartung von macOS, iOS, iPadOS und tvOS Geräten in einem Unternehmen. Mit fast jedem neuen Release des Betriebssystems von Apple werden dem MDM-Protokoll neue Funktionen und Funktionalitäten hinzugefügt. In seiner jetzigen Form ist MDM weitgehend ein reaktiver Verwaltungsansatz: Ein Gerät registriert sich bei einem Management Service, der Service gibt Profile vor, um den gewünschten Zustand des Geräts zu definieren, das Gerät meldet dann seinen Status zurück. Es kann einige Zeit dauern, bis der Server den Status eines Geräts bestätigt und ggf. Maßnahmen ergreift. Wenn dieses Hin und Her bei einer großen Anzahl von Geräten auftritt, kann dies eine große Belastung für einen Management Server darstellen.

Proaktives, autonomeres Handeln der Geräte mit DDM

Die Ankündigung von Declarative Device Management (DDM) stellt eine wesentliche Veränderung in Apples MDM-Philosophie dar. Dieser neue Ansatz befähigt das einzelne Gerät, im Rahmen der Richtlinien seines Verwaltungsservers autonomer und proaktiver zu handeln. Ein Gerät erkennt seine eigenen Zustandsänderungen und ergreift Maßnahmen auf der Grundlage definierter Kriterien, anstatt auf eine Rückmeldung des Management-Servers zu warten. Und anstatt auf einen wiederkehrenden Push zu warten, damit der Server von Änderungen auf einem Gerät erfährt, kann das Gerät seine Aktualisierungen bei Bedarf proaktiv direkt an den Server senden. Das Ergebnis ist, dass die Geräteinformationen genauer sind und zeitnah zurückgemeldet werden, und dass Richtlinien schneller auf ein Gerät angewendet werden können, um dessen gewünschten Zustand besser zu erhalten.

Die drei zentralen Daten-Modelle von DDM: Deklarationen, Status und Erweiterbarkeit

Deklarationen

Deklarationen sind die Nutzdaten, die Richtlinien und den gewünschten Zustand eines Geräts definieren. Deklarationen bilden die Richtlinien, die eine Organisation für ein Gerät festlegen möchte. Sie werden als JSON-Objekte serialisiert (eine erwähnenswerte Änderung gegenüber der derzeitigen Verwendung von Listen) und verfügen über erforderliche Eigenschaften, die eine Synchronisierung der Richtlinie mit dem Verwaltungsserver ermöglichen. Deklarationen gibt es in vier Varianten:

1. Konfigurationen: ähnlich dem, was wir derzeit verwenden, um Einstellungen und Einschränkungen auf Geräte anzuwenden (z. B. Passwort-Einstellungen für Geräte).
2. Assets: die Referenzdaten, die ein Gerät für die Konfiguration benötigt. Diese Daten können auf dem Server der Verwaltung oder in einem Netzwerk zur Bereitstellung von Inhalten (CDN) gehostet werden.
3. Aktivierungen: die Menge(n) der Konfigurationsdaten, die das Gerät automatisch anwendet. Aktivierungen können sich auf mehrere Einstellungen beziehen, was zu einer Many-to-many-Beziehung mit Geräten führt. Kurz gesagt, Aktivierungen geben einem MDM die Möglichkeit, alle Erklärungen für einen beliebigen Gerätezustand an alle verwalteten Geräte zu senden, wobei das einzelne Gerät bestimmt, was gelten soll. Wenn sich der Zustand des Geräts ändert, kann das Gerät selbständig Maßnahmen ergreifen, ohne auf den Eingriff des Verwaltungsservers zu warten.
4. Verwaltung: eine Möglichkeit, statische Informationen an ein Gerät zu senden, z. B. Informationen über die Organisation, die das Gerät verwaltet, und die Fähigkeiten des Servers.

Status Channel

Wenn sich der Zustand des Geräts ändert (z. B. wenn ein Gerät sein Betriebssystem aktualisiert), ermöglicht der Statuskanal dem Gerät, diese Änderung an den Verwaltungsserver zu melden, der dann wiederum neue Richtlinien anwenden kann, die verfügbar werden.

Erweiterbarkeit

Unter Erweiterbarkeit versteht man die Art und Weise, wie ein Management Server und ein verwaltetes Gerät einander mitteilen, wenn neue Fähigkeiten verfügbar sind. Sowohl der Server als auch das Gerät wissen, wann sie die Vorteile neuer Funktionen nutzen können und teilen sich diese Informationen gegenseitig mit. Das bedeutet, dass Server und Geräte sofort in der Lage sind, neue Funktionen und Nutzdaten zu nutzen.

Warum sollten Sie eine deklarative Geräteverwaltung einführen?

DDM wird dazu beitragen, die Geräteverwaltung für alle Stakeholder neu zu gestalten. Das wird sie:

• Unterstützung neuer, komplexer Verwaltungsstrategien
• Verbessern Sie die allgemeine Benutzererfahrung verwalteter Geräte
• Erleichterung der sich wiederholenden und mühsamen Aufgaben eines IT-Administrators/einer IT-Administratorin
• Ermächtigt die Geräte, driver in ihrem eigenen Verwaltungszustand zu sein

Vorteile von DDM: Erklärungen und Status

Um zu verstehen, warum Sie dieses Modell übernehmen sollten, müssen Sie die Vorteile des Datenmodells für die Geräteverwaltung kennen. Zwei Schlüsselelemente, die dieses Modell ausmachen — Erklärungen und Status — wurden bereits erörtert.

• Deklarationen umfassen Aktivierungen und Prädikate, Konfigurationen, Assets und Verwaltungstypen.
• Status deckt Statuspunkte und Status-Reporting ab.

Status

Die Statusberichte bieten einen umfangreichen Channel für Feedback und ermöglichen es den Servern der Verwaltung, die Geräte genauer zu überwachen. Außerdem ist es zulässig, relevante Informationen durch asynchrone Aktualisierungen zeitnah und zuverlässig zu präsentieren. Diese Änderung verbessert nicht nur die Effizienz, da weniger Ressourcen für die Netzwerk-Bandbreite verbraucht werden, sondern verringert auch die Komplexität der herkömmlichen Polling-Methode. Diese herkömmliche Methode könnte dazu führen, dass die Informationen über die Geräte nicht aktuell sind — Status erhöht die Zuverlässigkeit des Verfahrens.

Vorteile von DDM für Entwickler*innen und IT

Das developersdeklarative Datenmodell ermöglicht es Ihren Servern , leichtgewichtig und reaktiv zu sein. Für IT gibt dieser Ansatz die Gewissheit, dass sich ein Gerät in dem erwarteten Zustand befindet. Für den Fall, dass dies nicht der Fall ist, z. B. bei einem Verlust der Konnektivität zum Server, gibt es einen sicheren Zustand, in dem die sensiblen Daten des Unternehmens geschützt sind.

Denn bothdurch die enge Anlehnung an die Struktur von Organisationen werden Änderungen an Geräten intuitiver und effizienter umgesetzt. Dies bedeutet einen geringeren Aufwand sowohl für Entwickler*innen als auch für die IT-Abteilung, sodass sie sich auf die Funktionen zur Geräteverwaltung konzentrieren können, die die Organisation benötigt. So entsteht eine Lösung customers und end-userswird lieben, mit:

• Eine reaktionsschnellere und zuverlässigere Erfahrung
• Schnelleres Onboarding von Endbenutzer-Geräten
• Kürzere Wiederherstellungszeiten im Lifecycle der Geräte
• Bessere Unterstützung durch ihre Organisation

Mit Blick auf Effizienz und eine bessere Erfahrung für Entwickler, IT und natürlich Endbenutzer hat Apple unmissverständlich klargestellt, dass „the der Schwerpunkt künftiger Protokollfunktionen auf deklarativem Gerätemanagement liegen wird.” Umso wichtiger ist es, schon heute Workflows zu implementieren, die die Einführung von DDM unterstützen.

Welche neuen Funktionen hat Apple auf der WWDC '22 für DDM angekündigt?

Die Präsentation auf der WWDC 2022 konzentrierte sich speziell auf drei Bereiche und darauf, wie die Betriebssysteme im Apple Ökosystem der Produkte diese unterstützen:

Ausweitung des Anwendungsbereichs der deklarativen Geräteverwaltung

Ursprünglich wurde DDM nur auf iOS basierten Systemen mit Benutzer-Registrierungen unterstützt. Jetzt ist sie für jede Plattform und jede Art der Registrierung verfügbar, die vom MDM-Protokoll unterstützt wird. Diese Unterstützung beginnt mit macOS Ventura und tvOS 16 sowie dem gemeinsam genutzten iPad:

• Automatische Registrierung von Geräten
• Überwachte Geräte
• Profilbasierte Registrierung
• Profil- und Account-basierte Benutzer-Registrierungen

Verbesserung der Statusberichte

Durch inkrementelle Statusmeldungen an den Server für abonnierte Elemente können die Geräte erfolgreiche Antworten verfolgen, um sicherzustellen, dass Statusaktualisierungen zuverlässig und immer verfügbar sind. Dadurch werden die Geräte proaktiv, da die Server die Geräte nicht mehr ständig auf Zustandsänderungen hin abfragen. Als Statuselement, das iterativ aktualisiert werden kann, hat Apple den Status in drei Bereichen erweitert:

1. Passwort-Status bestimmt, ob Geräte mit aktivierten Richtlinien für Passcodes konform sind, ohne von der Verzögerung zwischen der Zuweisung der Richtlinie und ihrer Anwendung auf dem Gerät betroffen zu sein. Außerdem erzwingt das deklarative Modell die Compliance, ohne dass eine Abfrage des Geräts erforderlich ist.
2. Durch Einstellungen installierte Accounts: Organisationen verwenden häufig Geräte mit installierten Account-Konfigurationen, um Benutzer*innen Zugang zu Unternehmensressourcen zu geben. Mit dem neuen DDM Status Release wurden acht Account-Status-Elemente für mehrere Account-Typen hinzugefügt, wie z.B. Mail und Kalender. Dadurch erhält die IT-Abteilung Einblick in den Status dieser Accounts, um die Benutzer*innen bei der Problemlösung zu unterstützen.
3. MDM-iinstallierte Apps: Die Überwachung des Installationsstatus von Apps kann einen großen Einfluss auf die Benutzererfahrung und die Fähigkeit der Benutzer*innen haben, ihre Arbeit zu bewältigen. Durch die Verwendung von Attributen in einem JSON-Objekt sendet DDM proaktiv den Fortschritt der App-Installation an den Server und berichtet schrittweise über den Status. Dadurch kann der Server sofort erkennen, welche App gemeldet wird und welchen Status sie während des gesamten Installations- (und Deinstallations-) Verfahrens hat.

Erweiterung der Prädikate

Prädikate sind optionale Daten, die bestimmen, ob Einstellungen (als Teil der Aktivierungserklärung) auf das Gerät angewendet werden. Durch die Verwendung von Prädikaten zur Aufnahme von Statuswerten können Administrator*innen neue Verwaltungseigenschaften durch Hinzufügen neuer Deklarationen anwenden. Laienhaft ausgedrückt, dienen Prädikate als Auslöser für die Anwendung mehrerer Verwaltungseigenschaften auf der Grundlage von bedingten Aussagen.

Ein Beispiel: Es gibt eine Richtlinie, die eine bestimmte App für alle Benutzer*innen installiert, die einer bestimmten Gruppe angehören. Mitglieder anderer Gruppen erhalten diese App nicht, es sei denn, sie sind auch Mitglieder der Admin-Gruppe. Benutzer*innen, die keiner der beiden Gruppen angehören, bekommen eine andere App zugewiesen.

Dies erfordert drei separate Konfigurationsprofile und eine serverseitige Logik, um jedes Gerät und jede*n Benutzer*in abzufragen, um die Mitgliedsstufen zu bestimmen, bevor die entsprechenden Konfigurationsprofile bereitgestellt werden — je nach Benutzer*in bis zu drei. Mit DDM wird der vollständige Satz von Deklarationen auf das Gerät vorgeladen, mit Prädikaten, die die Aktivierung der Einstellungen für die entsprechenden Rollen auslösen.

Insgesamt wird dadurch sowohl der Server- als auch der Netzwerkverkehr minimiert und gleichzeitig die Komplexität, die eine schnelle Änderung des Zustands der Geräte erfordert, verringert. Dies führt zu reibungsloseren, direkteren Workflows in der Geräteverwaltung, indem komplexe Geschäftslogik vom Server auf das Gerät verlagert wird.

NotemacOS und gemeinsam genutzte iPad Geräte verwenden zwei MDM Channels: Gerät und Benutzer*innen. Ersterer erlaubt die Verwaltung des Zustands auf Geräteebene; der zweite Channel zielt auf den Verwaltungszustand für bestimmte Benutzer*innen ab. Damit die deklarative Verwaltung erfolgreich sein kann, muss jeder entsprechende Channel, der DDM-Befehle senden oder Statusberichte generieren soll, separat aktiviert und überwacht werden.

Wann wird DDM fertig sein?

Apple hat MDM-Anbieter*innen bereits eine deklarative Verwaltung zur Verfügung gestellt, die mit dem aktuellen Protokoll für die Geräteverwaltung von Apple zusammenarbeiten soll. Diese neue Funktionalität wird zunächst iOS und iPadOS Geräte unterstützen, die durch Registrierung der Benutzer*innen registriert werden. Derzeit werden Einstellungen für Accounts und Passcodes unterstützt, weitere Funktionen werden voraussichtlich in Zukunft veröffentlicht. Einstellungen für Statusabonnements sind ebenfalls verfügbar und können von Verwaltungsservern verwendet werden, um die gewünschten iOS Aktualisierungen zu spezifizieren. Die erste Aktivierung, die in der deklarativen Verwaltung zur Verfügung steht, ist eine, die die Einstellungen definiert, die auf ein Gerät angewendet werden müssen. Benutzer*innen können jetzt auch ID-Anmeldeinformationen und Anmeldedaten abrufen. Zu den anfänglichen Statuselementen gehören der Deklarationsstatus und die Eigenschaften des Geräts.

Eine ausführliche Einführung in DDM und die notwendigen Schritte zur Einführung finden Sie in der WWDC 2021 Session auf dem Apple Developer Portal.

Jamf hat die Auswirkungen der deklarativen Geräteverwaltung auf Jamf Pro zusammen mit Jamf Now und Jamf School geprüft und wird in Kürze ankündigen, wie wir diese interessante Funktion unterstützen werden.