Wie geht es mit MDM weiter?

Katie English, Direktorin für Produktstrategie bei Jamf, begann dieses Seminar mit dem Ende: „Am Ende der Sitzung”, sagte sie, „ist das Ziel, dass jeder von Optimismus überwältigt sein wird, dass MDM ihnen helfen wird, die Probleme zu lösen, die ihnen wirklich wichtig sind.”

Doch zunächst ein kurzer Überblick über die Geschichte von MDM

„Vor dem MDM-Protokoll”, so English, „waren die einzigen Apple Geräte, die man verwalten konnte, Macs. Wenn diese Macs von der Casper Suite verwaltet wurden, erhielten sie bei der Registrierung einige lokale Binärdateien, die über Root-Rechte verfügten und Daten über den Mac abrufen konnten, um sie nach einem festgelegten Zeitplan an einen Verwaltungs-Server zu senden. Sie können dem lokalen Client auch anweisen, programmatische Maßnahmen zu ergreifen, indem sie Pakete herunterladen und lokale Skripte ausführen. Wir nannten dies die 'erzwungenes Pull der Geräteverwaltung.”

Schließlich hat das iPhone alles verändert. Und Jamf entwickelte Mobile Device Management (Mobilgeräteverwaltung, MDM) Funktionen. „Die Änderung des Verwaltungsstils wurde dadurch notwendig, dass iOS fast nie physisch mit einem tatsächlichen Netzwerk verbunden ist, und auch durch seine stark sandboxbasierte Systemarchitektur.”

Ein Agent/eine Agentin mit Root-Zugriff, der regelmäßig einen Verwaltungsserver kontaktiert, war verschwunden. MDM erforderte Push-Benachrichtigungen.

Ein Gerät, das eine dauerhafte Verbindung zu Apple unterhält, pingt deren Kerndienste an und bittet Apple, das Gerät „nach Hause zu telefonieren”, um eine Einstellung zu erhalten, einen Befehl zu installieren oder eine App zu installieren.

MDM 101

„Das ist MDM 101”, sagt English. „Die Technologie, die wir seit fast 13 Jahren zusammen mit dem Jamf Verwaltungs Framework verwenden.” Tatsächlich verwendet Jamf Pro immer noch binärbezogene Pull-Aktionen und MDM-Push-Befehle.

Die Zukunft der Geräteverwaltung

„Natürlich”, so English, „hat das Protokoll seither einige neue Tricks gelernt. Wir haben haufenweise Befehle und tonnenweise granulare Einstellungen.”

Im Jahr 2021 kündigte Apple an: „Die Zukunft der Geräteverwaltung ist die deklarative Verwaltung.” Das ist wirklich ziemlich eindeutig.

„Ein Jahr später ist es soweit”, sagt English, „und Apple investiert weiter in dieses neue deklarative Verwaltungsprotokoll, das glücklicherweise direkt neben dem traditionellen MDM funktioniert.”

Veraltete MDM-Workflows

„Denken Sie daran, dass herkömmliches MDM darauf beruht, dass ein Gerät eine dauerhafte Verbindung zu Apple hat und ein Verwaltungsserver Apple bittet, ein verwaltetes Gerät 'nach Hause telefonieren' zu lassen, um einen Befehl oder eine Abfrage zu erhalten”, so English.

Ein Beispiel:

• Der Befehl könnte lauten: „Aktualisieren Sie Ihr Betriebssystem.”
• Dann könnte die nächste Frage lauten: „Was ist Ihr Betriebssystem im Moment?”
• Ein Administrator/eine Administratorin könnte dann noch einmal nachfragen, um sicherzustellen, dass der Befehl korrekt ausgeführt wurde: „Wie sieht es jetzt aus? Wie wäre es, wenn ich morgen noch einmal nachsehe?”

Bei herkömmlichem MDM erhalten Administrator*innen Bestätigungen, wenn Befehle empfangen oder ausgeführt wurden, und wir können viele Informationen vom Gerät zurückerhalten, wenn wir danach fragen.

„Aber wir müssen fragen„”, sagte English. „Wiederholt. Und wir erhalten eine Menge doppelter Informationen zurück. Wiederholt.” Bei Befehlen, die komplex sind oder bedingte Workflows enthalten, erhöht sich der Informationsfluss hin und her. Wenn Sie Ihren Verwaltungsserver auffordern, diese Informationen zu analysieren und möglicherweise Berechnungen mit den Änderungen durchzuführen, kann dies zu entsprechenden Befehlen und Abfragen führen.

Wie funktioniert das Declaration Management?

Declarations sind das genaue Gegenteil und können weitaus detailliertere Anweisungen im Voraus senden, die dem Gerät mitteilen, wie es sich unter bestimmten Bedingungen verhalten soll. Diese Anweisungen werden mit Statusberichten kombiniert, um den Verwaltungsserver zu alarmieren, wenn sich bestimmte Werte auf dem Gerät ändern.

„Anstelle von häufigen Abfragen, ausführlichen Antworten und reaktiven MDM-Aktionen, die darauf basieren, was das Gerät schließlich als Antwort auf Abfragen meldet”, so English weiter, „kann der Verwaltungsserver einfach eine Reihe von Anweisungen zusammenstellen, diese an das Gerät senden, woraufhin sich das Gerät autonom verhalten kann, ohne dass auch nur annähernd so viel Datenverkehr an das MDM zurückgeht.” Und das, wie sie betonte, ohne dass der Verwaltungsserver selbst auch nur annähernd so viele rechenintensive Vorgänge durchführen muss, um dem Gerät mitzuteilen, was es als Nächstes tun soll.

„Mit dieser einzigen spärlichen Wertaktualisierung für diesen Gerätedatensatz”, so English weiter, „kann der Verwaltungsserver alle zusätzlichen Verarbeitungen vornehmen, die im Hinblick auf Abhilfeworkflows, die Freigabe oder Einschränkung des Zugriffs auf Unternehmensdaten und dergleichen erforderlich sind.”

Jamf begann letztes Jahr mit grundlegenden Erklärungen und Statusaktualisierungen in Jamf Pro 10.42 und bot sie Anfang dieses Jahres in Jamf School an. Jamf hat nun den nächsten Schritt unternommen, um Software-Aktualisierungen durch Erklärungen einzuführen, die jetzt in Jamf Pro verfügbar sind und bald auch in Jamf School verfügbar sein werden.

English zeigte anhand von Software-Aktualisierungen, wohin die Reise geht, und führte die Teilnehmer*innen durch die Arbeitsabläufe bei Software-Aktualisierungen und die Möglichkeiten, mit denen Apple einen Schritt weiter gegangen ist:

• Client-seitige Benachrichtigungen
• Die Möglichkeit für die Nutzer*innen, Aktualisierungen vor der angestrebten Durchsetzungszeit vorzunehmen
• Die Möglichkeit für Benutzer*innen, die Aktualisierung mit lokaler Client-Logik zu planen

English geht davon aus, dass Apple diese Funktion nach und nach verbessern wird und erinnert die Administrator*innen daran, dass sie vor einigen Jahren wahrscheinlich Richtlinien oder skriptgesteuerte Befehle verwendet haben, um die Softwareaktualisierung der Binärdatei aufzurufen. Jetzt, nach der Einführung des ersten M1 Mac, hat sich das Verhalten geändert. Die Authentifizierung erfordert ein MDM-Bootstrap-Token und ein aktualisiertes Betriebssystem und/oder ein Benutzerkennwort für lokale, vom Benutzer/von der Benutzerin initiierte Aktualisierung.

„Unbeaufsichtigte Richtlinien, die durch ein Skript oder einen lokalen Agenten/eine lokale Agentin mit Root-Rechten ausgelöst werden, wurden im Grunde genommen abgeschafft”, so English.

Was kommt als Nächstes? Apple entwickelt sich weiter

English vermutet, dass diese Veränderung den Beginn eines Trends darstellen könnte. „Programmatischer Zugriff auf bestimmte Binärdateien wird weiterhin veraltet sein zugunsten von 'MDM sollte es stattdessen tun' oder 'der Endbenutzer/die Endbenutzerin muss mit Administratorrechten interagieren, um es zu ermöglichen'.”

„Es ist leicht nachvollziehbar”, so English weiter, „vor allem aus der Sicherheitsperspektive, warum Apple diese Entscheidungen getroffen hat. Angenommen, ein Benutzer/eine Benutzerin lädt versehentlich eine App herunter, in der Malware enthalten ist. Bei der Installation will die Nutzlast auf eine lokale Binärdatei außerhalb des App-Bündels zugreifen, um ihre Berechtigungen zu ändern oder Zugriff über die Sandbox der App hinaus zu erhalten. Wenn man dafür anhalten und ein Kennwort eingeben muss, ist das vielleicht schon Reibung genug, um den endgültigen Aufruf dieser bösartigen Binäraktion zu verhindern.

Die Branche hat auch eine ähnliche Veränderung in Bezug auf Kernel-Erweiterungen und den zusätzlichen Aufwand erlebt, den ein Endnutzer/eine Endbenutzerin betreiben muss, um sie ohne MDM-Eingriff zu installieren.

„Das Verwaltungshandeln wird in zunehmendem Maße ein angemessenes Verwaltungsinstrumentarium erfordern”, sagte English. „Ich sage voraus, dass Sie MDM brauchen werden, um mehr Dinge zu tun, als Sie gewohnt sind, Skripte zu schreiben.”

Grad der Verwaltung

Als weiteren Beweis für diesen Trend verwies English auf den BYOD-Workflow mit der Benutzerregistrierung, die eine bewusst begrenzte Teilmenge der MDM-Funktionalität und Sichtbarkeit bietet. „Die Verwaltung kann einiges tun”, sagte sie, „aber die Benutzerdaten werden ignoriert, und die Entscheidungen der Benutzer*innen werden nicht willkürlich durch einen Verwaltungsbefehl außer Kraft gesetzt.”

Welche Schlussfolgerungen können wir also aus kontoabhängigen Workflows, Endgeräten und der Zukunft von MDM ziehen? Der Schlüssel ist die Verwaltung von Apple IDs. Sie ermöglichen viele neue Arbeitsabläufe, und ihre Funktionalität wird sich weiterentwickeln.

English ist der Meinung, dass die Branche auch in Zukunft auf die durch Apple IDs ermöglichte Verwaltung zurückgreifen wird.

„Der Umfang und die Art der Verwaltung eines Geräts wird zwangsläufig immer komplizierter”, so English. „Es ist nicht mehr so einfach wie früher: Volle Verwaltung oder gar nichts. Man hat erkannt, dass die Endbenutzer*innen immer versierter werden und sich gegen die Kollision zwischen persönlichen Daten und Arbeitsdaten wehren, und dass MDM Erfahrungen bieten muss, die die Bedürfnisse des Unternehmens mit den Wünschen der Verbraucher*innen verbinden.”

Trusted Access

Nach Ansicht von English wird Trusted Access eher zu einer Erklärung als zu einer Reihe von Reaktionen, was den Zugang einfacher und sicherer macht.

Bei Jamf ist Trusted Access die Kombination aus Verwaltungs- und Sicherheitslösungen, die sicherstellt, dass die richtigen Personen auf den richtigen Geräten den richtigen Zugriff auf die Ressourcen in Ihrem Unternehmen haben. „Das ist etwas, das uns bei Jamf sehr am Herzen liegt”, sagt English, „und wenn Sie unsere Webseite noch nicht besucht haben, sollten Sie das tun.”

„Als Administrator*innen sind wir eigentlich daran gewöhnt, dass Sicherheit ein reaktiver Prozess ist”, so English. „Wenn das Declarative Management ausgereift ist und mehr beliebige Interaktionen bietet, werden Administrator*innen in der Lage sein, einfach den Status für die Compliance zu definieren und die Geräte werden nicht in der Lage sein, davon abzuweichen.”

All dies bedeutet, dass MDM durch Verbesserungen mit Declarative Management den Administrator*innen ermöglicht, Geräte standardmäßig sicherer zu machen, und dass die Mitarbeiter*innen schneller wissen, wenn sich ein wichtiger Zustand ändert.

Was kommt als Nächstes? Jamf erweitert

„Während Apple also MDM weiterentwickelt”, sagt English, „lassen Sie uns ein wenig darüber sprechen, was Jamf tun wird, um rohe Funktionalität in Problemlösungen für Administrator*innen zu verwandeln.”

Apple hat Jamf in diesem Jahr viele Möglichkeiten geboten.

„Ich habe über Trusted Access gesprochen, eine Art ganzheitlicher Ansatz zur Verwaltung und Schutz von Geräten, aber um ein konkreteres Beispiel herauszugreifen, werde ich einfach eine spezielle Funktion wählen, die in diesem Jahr verfügbar ist, nämlich den Befehl Return to Service.”

Anschließend erläuterte English den Teilnehmer*innen, wie sich dieser Befehl verändert hat und wie er die Arbeitsabläufe von Jamf Pro und Jamf School verbessert.

Jamf hat es außerdem geschafft, bestehende Tools wie den Self Service mit diesen neuen Möglichkeiten zu erweitern, wodurch diese Tools noch einfacher zu nutzen und noch effektiver sind.

Was kommt als Nächstes? Nicht in Panik geraten

„[Declarative Management] ist die nächste Richtung. Ich glaube nicht, dass es meine Arbeit allzu sehr beeinträchtigen wird. Insgesamt war die WWDC eine Ansammlung von glänzendem Spielzeug , mit dem ich nicht spielen werde.”

- ein Jamf Kunde/eine Jamf Kundin, während eines UX Research Interviews

„Ich kann das nachvollziehen”, gab English zu. „Veränderungen können wirklich sehr beunruhigend sein, und einige Organisationen raten aktiv davon ab. Außerdem war ich ein änderungsunwilliger Administrator/eine änderungsunwillige Administrator*in, und die Skripterstellung war für mich völlig in Ordnung. Aber ich hoffe, dass wir die Sorge vor Veränderungen abschütteln können - denn so wie sich MDM entwickelt, sind Veränderungen eigentlich ziemlich cool.”

English glaubt, dass selbst skeptische oder ängstliche Apple Administrator*innen den Wert der MDM-Entwicklung erkennen werden.

MDM, sagt English, wird:

• Sicherer (durch die Möglichkeit, dass Deklarationen die Compliance von vornherein festlegen, und durch die Begrenzung der programmatischen Interaktionen mit Low-Level-Binärprogrammen)
• Nativer (durch Ermöglichung von Endbenutzerinteraktionen auf der Grundlage von Deklarationen)
• Mehr Nutzen im Laufe der Zeit (durch Erweiterung der bereits soliden Grundlage von MDM mit DDM)

Sie sind nicht allein!

Darüber hinaus ist Jamf hier, um Ihnen zu helfen, MDM zu nutzen, um echte Probleme zu lösen, so wie wir es mit Software-Aktualisierungen und Return to Service getan haben. Jamf hilft Administrator*innen, neue Funktionen schneller zu übernehmen, indem wir unsere Architektur optimieren, um Funktionen schneller zu iterieren und bereitzustellen. Und mit Jamf können Sie Ihre Apple Geräte gemäß den Standards Ihres Unternehmens verwalten und schützen.