Jamf Blog
Juin 17, 2022 Par Emily Kausalik

Découvrez la gestion déclarative

Lors de la conférence mondiale des développeurs de 2021, Apple nous a donné un aperçu de sa vision de l'avenir de la gestion des appareils mobiles : la gestion déclarative des appareils. Lors de l'événement de 2022, Apple a cette fois entièrement levé le voile sur cette nouvelle technologie destinée à changer l'avenir de la gestion des appareils pour l'informatique comme pour les utilisateurs.

MDM : une approche réactive de la gestion

Le protocole de gestion des appareils mobiles (MDM) d'Apple joue un rôle clé dans la gestion et la maintenance des appareils macOS, iOS, iPadOS et tvOS d'une entreprise. À chaque sortie d'un nouveau système d'exploitation Apple, le protocole MDM reçoit de nouvelles fonctionnalités. Dans l'état actuel des choses, la MDM repose en grande partie sur une approche réactive de la gestion : un appareil s'inscrit au service de gestion, le service lui envoie le profil de configuration souhaité, et l'appareil l'informe de son état. Il faut parfois plusieurs allers-retours pour confirmer l'état d'un appareil et prendre des mesures en cas de besoin. Et quand ce va-et-vient concerne un grand nombre d'appareils, cela peut représenter une lourde charge pour le serveur de gestion.

Des appareils plus proactifs et autonomes avec la DDM

L'arrivée de la gestion déclarative des appareils (DDM) représente un tournant dans la philosophie MDM d'Apple. Cette nouvelle approche donne davantage d'autonomie à l'appareil et lui permet d'agir de manière proactive, dans les limites des règles définies par le serveur de gestion. La machine détecte ses propres changements d'état et prend des mesures en fonction de critères définis. Elle n'a plus besoin de contacter le serveur de gestion et d'attendre sa réponse. Elle peut aussi envoyer des informations utiles sur son état directement au serveur, selon les besoins, sans être tributaires des instructions émises par le serveur à intervalle régulier. Les information sur l'état des appareils, transmises plus rapidement, sont ainsi plus précises. Il devient alors possible de réduire le délai d'application des règles visant à maintenir un appareil dans son état souhaité.

La DDM repose sur trois modèles de données : déclarations, statut et extensibilité.

Déclarations

Les déclarations sont les charges utiles qui définissent l'état souhaité d'un appareil. Ce sont elles qui encapsulent les règles de l'entreprise. Elles sont sérialisées sous la forme d'objets JSON (et non plus de PLIST comme c'est le cas actuellement) et possèdent des propriétés obligatoires qui assurent sa synchronisation avec le serveur de gestion. Il existe quatre types de déclarations :

Icons representing the different declaration types: configurations, assets, activations, and management.
  1. Configurations : similaires à ce que nous utilisons actuellement pour appliquer des configurations et des restrictions sur les appareils (le réglage du code secret, par exemple).
  2. Actifs : données de référence dont un appareil a besoin pour sa configuration. Ces données peuvent être hébergées par le serveur de gestion ou sur un réseau de diffusion de contenu (CDN).
  3. Activations : ensembles de données de configuration que l'appareil appliquera automatiquement. Les activations peuvent se référer à plusieurs configurations, créant une relation de plusieurs à plusieurs avec les appareils. Pour le dire simplement, les activations permettront à la MDM d'envoyer à tous les appareils gérés toutes les déclarations pour n'importe quel état. Ensuite, chaque appareil déterminera ce qu'il doit appliquer. Quand son état change, l'appareil peut prendre des mesures de façon autonome sans attendre l'intervention du serveur de gestion.
  4. Gestion : permet d'envoyer à un appareil des informations statiques sur l'organisation qui gère l'appareil et les capacités du serveur, par exemple.

Canal d'état

Lorsque l'état de l'appareil change (à la suite d'une mise à jour de l'OS, par exemple), le canal d'état lui permet de signaler ce changement au serveur de gestion. Ce dernier peut alors appliquer les nouvelles règles correspondantes.

Extensibilité

L'extensibilité décrit la façon dont le serveur de gestion et un appareil géré se contactent lorsque de nouvelles capacités sont disponibles. Le serveur et l'appareil savent quand profiter des nouvelles fonctionnalités et échangent ces informations. Ils peuvent donc utiliser sans délai de nouvelles fonctionnalités et charges utiles.

Pourquoi adopter la gestion déclarative des appareils ?

La DDM va transformer la gestion des appareils pour tous les acteurs. Elle va notamment :

  • Prendre en charge des stratégies de gestion innovantes et complexes
  • Améliorer l'expérience utilisateur globale des appareils gérés
  • Soulager les administrateurs informatiques des tâches répétitives et fastidieuses
  • Donner de l'autonomie aux appareils pour qu'ils deviennent acteurs de leur état de gestion driver

Avantages de la DDM : déclarations et état

Pour mieux comprendre l'intérêt de ce modèle, voyons d'abord les avantages du modèle de données de gestion des appareils. Les deux éléments clés qui composent ce modèle – les déclarations et l'état – ont été abordés précédemment.

  • Les déclarations englobent les activations et les prédicats, les configurations, les actifs et les types de gestion.
  • L'état englobe les éléments d'état et leur signalement.tatus

État

Les rapports d'état délivrent des retours enrichis qui permettent aux serveurs de gestion de surveiller étroitement les appareils. Ils facilitent également l'échange rapide et fiable d'informations pertinentes grâce à des mises à jour asynchrones. Cette évolution n'est pas seulement synonyme de gain d'efficacité du fait des économies de bande passante réalisées ; elle réduit aussi la complexité de la méthode d'interrogation traditionnelle. Cette dernière a en effet un défaut : les informations détenues sur les appareils ne sont pas toujours à jour. De ce point de vue, l'état améliore la fiabilité du processus.

Avantages de la DDM pour les développeurs et les équipes informatiques

Pour les développeurs, le modèle de données déclaratif permet d'avoir des serveurs légers et réactifs.developers Quant au service informatique, il a l'assurance que les appareils sont bien dans l'état annoncé. Dans le cas contraire, par exemple en cas de perte de connectivité au serveur, il existe un état sûr qui permet de protéger les données organisationnelles sensibles.

Et parce que cette approche reflète fidèlement la structure de l'organisation, les modifications apportées aux appareils se font de façon plus intuitive et efficace – un avantage pour les deux.both Elle allège la charge des développeurs autant que de l'équipe informatique, qui sont ainsi libres de se concentrer sur les fonctionnalités les plus utiles de gestion des appareils. Le résultat : une solution appréciée autant des clients que des utilisateurs finaux, avec :customersend-users

  • Une expérience plus réactive et plus fiable
  • Un onboarding plus rapide des appareils des utilisateurs finaux
  • Des temps de récupération plus rapides dans le cycle de vie de l'appareil
  • Un meilleur soutien de la part de leur organisation.

Dans un souci d'efficacité et d'amélioration de l'expérience des développeurs, de l'informatique et, bien sûr, des utilisateurs finaux, Apple a clairement indiqué que « theles futures fonctionnalités du protocole seront axées sur la gestion déclarative des appareils. » Autrement dit, n'attendez pas pour mettre en place des workflows qui favoriseront l'adoption de la DDM.

Quelles nouvelles fonctionnalités ont été annoncées par Apple pour la DDM lors de la WWDC 22 ?

La présentation à la WWDC 2022 s'est concentrée sur trois domaines spécifiques et leur prise en charge par les OS de l'écosystème Apple :

Élargir le champ d'application de la gestion déclarative des appareils

Au départ, la DDM n'était compatible qu'avec les systèmes basés sur iOS avec inscription par l'utilisateur. Elle est désormais disponible pour toutes les plateformes et tous les types d'inscription pris en charge par le protocole MDM. La compatibilité commence avec macOS Ventura, tvOS 16 et l'iPad partagé, avec les déploiements suivants :

  • Inscription automatique des appareils
  • Appareils supervisés
  • Inscription basée sur le profil
  • Inscription de l'utilisateur basée sur le profil et le compte

Amélioration des rapports d'état

Les appareils envoient au serveur des rapports d'état incrémentiels sur des éléments définis. Ils reçoivent ensuite une réponse qui garantit que les mises à jour d'état sont fiables et disponibles. Les appareils deviennent proactifs : les serveurs n'ont plus besoin de les interroger en permanence pour être informés des changements d'état. Concernant les aspects pouvant faire l'objet d'une mise à jour itérative, Apple a étendu l'état à trois domaines :

  1. L'état du code secret détermine si les appareils auxquels s'appliquent des règles de code secret sont conformes, sans retard entre l'attribution de la règle et son application. Le modèle déclaratif a également l'avantage d'assurer la conformité sans interroger l'appareil.
  2. Comptes installés par les configurations : les organisations utilisent souvent des appareils avec des configurations de comptes installées qui donnent accès aux ressources de l'entreprise. La nouvelle version de l'état DDM comporte huit nouveaux éléments couvrant différents types de comptes, comme le courrier et le calendrier. Le service informatique a ainsi une visibilité sur l'état de ces comptes et peut aider les utilisateurs à résoudre leurs problèmes.
  3. -iApplications installées par la MDM : le suivi de l'état d'installation des applications peut avoir un effet important sur l'expérience de l'utilisateur et sa productivité. En utilisant les attributs d'un objet JSON, la DDM signale de manière proactive et incrémentielle la progression de l'installation des applications au serveur. Ce dernier va alors identifier immédiatement l'application concernée et son état tout au long du processus d'installation (ou de désinstallation).

Amélioration des prédicats

Les prédicats sont des données facultatives qui déterminent si des configurations (dans le cadre de la déclaration des activations) doivent être appliquées à l'appareil. En incluant des valeurs d'état dans les prédicats, les administrateurs peuvent appliquer des propriétés de gestion via de nouvelles déclarations. En termes simples, les prédicats servent de déclencheurs pour l'application de plusieurs propriétés de gestion, sur la base de déclarations conditionnelles.

Par exemple, supposons qu'une règle installe une application spécifique pour tous les utilisateurs appartenant à un groupe particulier. Les membres des autres groupes n'ont pas accès à cette application, sauf s'ils sont également membres du groupe admin. Enfin, les utilisateurs qui ne font partie d'aucun des deux groupes reçoivent une application différente.

Il faut donc trois profils de configuration distincts et, côté serveur, une logique qui va interroger chaque appareil et utilisateur afin de déterminer leur groupe avant de déployer les profils de configuration correspondants – jusqu'à trois selon l'utilisateur. Avec la DDM, toutes les déclarations sont préchargées sur l'appareil, et des prédicats déclenchent l'activation des configurations selon le rôle.

Dans l'ensemble, cela minimise le trafic sur les serveurs et les réseaux, tout en réduisant la complexité lorsqu'il faut modifier rapidement l'état des appareils. La logique complexe est déplacée du serveur vers l'appareil, pour des workflows de gestion plus fluides et plus immédiats.

NoteLes appareils macOS et iPad partagés utilisent deux canaux MDM : appareil et utilisateur. Le premier permet la gestion de l'état au niveau de l'appareil ; le second canal cible l'état de gestion pour des utilisateurs spécifiques. Pour que la gestion déclarative fonctionne, chaque canal amené à envoyer des commandes DDM ou à générer des rapports d'état doit être activé et surveillé séparément.

Quand la DDM sera-t-elle prête ?

Apple a déjà mis la gestion déclarative à la disposition des fournisseurs de MDM. Elle est conçue pour fonctionner parallèlement au protocole actuel de gestion des appareils Apple. Dans un premier temps, cette nouvelle fonctionnalité va prendre en charge les appareils iOS et iPadOS inscrits par l'utilisateur. Elle couvre actuellement les configurations de comptes et de code secret, et d'autres aspects seront probablement ajoutés par la suite. Des configurations d'abonnement sont également disponibles : grâce à elles, les serveurs de gestion peuvent spécifier les mises à jour d'état qu'ils souhaitent recevoir. La première activation disponible dans la gestion déclarative est celle qui définit les configurations à appliquer sur un appareil. Les actifs d'identités et d'identifiants utilisateurs sont également disponibles dès maintenant. Pour le moment, l'état comprend deux éléments, l'état de déclaration et les propriétés de l'appareil.

Pour une introduction approfondie à la DDM et connaître les étapes nécessaires à son adoption, regardez la session WWDC 2021 sur le portail des développeurs Apple.

Jamf étudie l'impact de la gestion déclarative des appareils sur Jamf Pro, ainsi que sur Jamf Now et Jamf School, et détaillera bientôt notre approche de cette fonctionnalité intéressante.

Emily Kausalik
Jamf
Manager, Client Platform Engineering
S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.