MDM : quelle est la prochaine étape ?

Voici le résumé de la session 1231 de la JNUC, intitulée « MDM : quelle est la prochaine étape ? ». Dans cette conférence, Katie English, de Jamf, a présenté un bref historique de la gestion des appareils mobiles (MDM) et expliqué en quoi la gestion déclarative transforme la pratique.

Septembre 19 2023 Par

What's next for MDM?

Katie English, directrice de la stratégie produit de Jamf, a introduit sa prise de parole par une conclusion : « À la fin de cette conférence, a-t-elle déclaré, l’objectif est que vous soyez tous débordants d’optimisme et convaincus que la MDM va vous aider à résoudre les problèmes qui vous préoccupent le plus. »

Mais tout d’abord, un bref historique de la MDM

« Avant l’avènement du protocole MDM, les seuls appareils Apple que vous pouviez gérer étaient les Mac. Quand ces Mac étaient gérés à l’aide de la Casper Suite, ils recevaient des binaires locaux au moment de l’inscription. Ces binaires locaux avaient des privilèges root et pouvaient récupérer des données sur le Mac pour les renvoyer à un serveur de gestion selon un planning défini. Ils pouvaient également demander au client local d’agir de façon programmatique en téléchargeant des paquets et en exécutant des scripts locaux. C’est ce que nous appelions la gestion des appareils “en pull forcé”. »

L’avènement de l’iPhone a tout changé. Et Jamf a développé des capacités de gestion des appareils mobiles. « Il fallait impérativement changer de style de gestion. En effet, iOS n’est presque jamais physiquement connecté à un réseau réel, et présente une architecture système fortement isolée. »

Il n’était plus possible de compter sur un agent doté d’un accès root et capable de contacter périodiquement un serveur de gestion. La MDM avait besoin de notifications push.

L’appareil est en connexion permanente avec Apple. Il se manifeste auprès de services centraux et Apple lui commande ensuite de « contacter la base » pour recevoir un réglage, exécuter une commande ou installer une application.

MDM 101

« C’est la base de la MDM, » a déclaré K. English. « La technologie que nous utilisons parallèlement au cadre de gestion Jamf depuis près de 13 ans. » D’ailleurs, Jamf Pro utilise encore des actions pull associées à des binaires et des commandes push MDM.

L’avenir de la gestion des appareils

« Bien sûr, le protocole s’est enrichi de nouvelles fonctionnalités depuis. Nous avons maintenant tout un éventail de commandes et de réglages détaillés. »

C’est dans ce contexte qu’intervient l’annonce d’Apple en 2021 : « La gestion déclarative est l’avenir de la gestion des appareils. » Cela ne laisse aucune place au doute.

« Un an a passé, a poursuivi K. English, et Apple continue d’investir dans ce nouveau protocole de gestion déclarative qui, fort heureusement, fonctionne parallèlement à la MDM traditionnelle. »

Workflows MDM hérités

« N’oubliez pas que la MDM traditionnelle repose sur une connexion persistante avec Apple : le serveur de gestion doit demander à Apple que l’appareil géré “contacte la base” pour recevoir une commande ou une requête, » a rappelé K. English.

Un exemple :

  • La commande pourrait être « Mettre à jour l’OS ».
  • Suivie de la requête : « Quelle version d’OS utilisez-vous actuellement ? »
  • Un administrateur pourrait poser la question une fois de plus, pour vérifier que la commande s’est bien exécutée : « Et maintenant ? Et si je vérifiais à nouveau demain ? »

Avec la MDM traditionnelle, les administrateurs reçoivent des confirmations une fois les commandes reçues ou exécutées, et peuvent obtenir de nombreuses informations sur l’appareil en les demandant.

« Mais nous devons les demander, » souligne K. English. « À chaque fois. Et nous recevons beaucoup d’informations en double. À chaque fois. » Quand les commandes sont complexes ou contiennent des workflows conditionnels, les échanges d’informations s’intensifient. Et si votre serveur de gestion doit analyser ces informations et effectuer des calculs, cela peut déclencher d’autres commandes et d’autres requêtes.

Comment fonctionne la gestion déclarative ?

Les déclarations ont un fonctionnement diamétralement opposé. Elles permettent d’envoyer des réglages extrêmement détaillés pour indiquer à l’appareil comment se comporter dans certaines conditions. Associé à des rapports d’état, cet ensemble d’instructions avertit le serveur de gestion lorsque certaines valeurs changent sur l’appareil.

« Ainsi, au lieu de multiplier les sondages, les réponses verbeuses et les actions MDM réactives basées sur le résultat des requêtes, poursuit K. English, le serveur de gestion compose simplement un ensemble d’instructions et les envoie à l’appareil, qui se comporte ensuite de manière autonome en échangeant un minimum de données avec la MDM. » Et comme elle le rappelle, tout cela se fait sans que le serveur de gestion lui-même n’ait à faire autant de calculs pour indiquer à l’appareil ce qu’il doit faire.

« À partir de la modification d’une seule valeur dans l’enregistrement d’un appareil, a-t-elle expliqué, le serveur de gestion réalise toutes les opérations nécessaires – workflows de correction, autorisation ou limitation de l’accès aux données de l’organisation, etc. »

Jamf a introduit les déclarations de base et les mises à jour de statut dans Jamf Pro 10.42 l’année dernière, puis dans Jamf School en début d’année. Nous avons ensuite franchi une nouvelle étape en adoptant les mises à jour logicielles par déclaration, désormais disponibles dans Jamf Pro et bientôt dans Jamf School.

K. English s’est d’ailleurs appuyée sur les mises à jour logicielles pour illustrer cette nouvelle orientation. Elle a présenté à l’assistance les workflows permettant de mettre à jour les logiciels, avec tous les avantages propres à Apple :

  • Notifications côté client
  • Les utilisateurs peuvent faire la mise à jour avant la date limite d’application forcée
  • Les utilisateurs peuvent programmer la mise à jour à l’aide d’une logique de client local.

K. English s’attend à ce qu’Apple améliore cette fonctionnalité au fur et à mesure. Les administrateurs s’en souviennent peut-être : il y a quelques années, ils devaient utiliser des règles ou des commandes scriptées pour invoquer le binaire softwareupdate. Aujourd’hui, après l’avènement de la première puce M1, le comportement des Mac a changé. L’authentification exige un jeton de démarrage MDM, un OS à jour et/ou un mot de passe utilisateur dans le cas des mises à jour initiées par l’utilisateur local.

« Très simplement, les règles qui s’exécutaient sans surveillance, déclenchées par un script ou par un agent local disposant de privilèges root, ont disparu, » a annoncé K. English.

L’avenir : Apple évolue

Selon Katie English, ce changement pourrait marquer le début d’une tendance. « L’accès programmatique à certains binaires sera progressivement abandonné, et les opérations correspondantes seront confiées soit à la MDM, soit à l’utilisateur doté de droits d’administration. »

« On comprend aisément les choix d’Apple, poursuit K. English, notamment du point de vue de la sécurité. Supposons qu’un utilisateur télécharge par inadvertance une application contenant des logiciels malveillants. Au moment de l’installation, la charge utile veut accéder à un binaire local en dehors du bundle de l’application pour modifier ses privilèges ou obtenir un accès au-delà de sa sandbox. Si elle est obligée de demander à l’utilisateur de saisir son mot de passe, cela peut suffire à l’alerter et donc empêcher l’exécution de cette action de binaire malveillant. »

Les extensions du noyau sont, elles aussi, concernées par ces changements : il faut des étapes supplémentaires pour qu’un utilisateur puisse les installer sans intervention de la MDM.

« Les actions administratives sont de plus en plus strictement encadrées, » a déclaré K. English. « Je prédis que vous allez utiliser la MDM pour beaucoup d’opérations que vous avez l’habitude de faire à l’aide de scripts. »

Différents degrés de gestion

Pour illustrer cette tendance, K. English a évoqué le workflow BYOD. Dans ce contexte, l’inscription des utilisateurs est associée à un ensemble délibérément limité de fonctionnalités MDM, dont la visibilité est aussi restreinte. « La gestion peut faire certaines choses, mais les données de l’utilisateur sont ignorées et les choix de l’utilisateur ne peuvent pas être arbitrairement annulés par une commande. »

Quelles conclusions pouvons-nous donc tirer de ces nouveaux workflows axés sur les comptes et des évolutions de la MDM pour les appareils grand public ? La clé réside dans les identifiants Apple gérés. Ils rendent possibles de nombreux workflows et leurs fonctionnalités sont appelées à évoluer.

Pour K. English, le secteur va continuer de prendre en charge différents degrés de gestion, comme le permettent les identifiants Apple.

« Qu’on le veuille ou non, doser la gestion appliquée à un appareil devient une question de plus en plus complexe, » a affirmé K. English. « Et cette question n’est plus aussi tranchée qu’auparavant, quand il n’y avait que deux options : tout ou rien. Les entreprises savent que les utilisateurs finaux maîtrisent leurs outils et qu’ils peuvent s’opposer à la fusion entre données personnelles et professionnelles. Dans ce contexte, la MDM doit offrir des expériences capables de satisfaire à la fois les besoins des entreprises et les attentes des utilisateurs. »

Trusted Access

Selon K. English, le Trusted Access va devenir une déclaration plutôt qu’une série de réactions, ce qui le rendra à la fois plus simple et plus sûr.

Chez Jamf, Trusted Access est la combinaison de solutions de gestion et de sécurité qui garantit l’accès des personnes de confiance, munies d’appareils conformes, aux ressources de votre organisation. « C’est un sujet qui nous tient particulièrement à cœur chez Jamf, explique K. English, et si vous n’avez pas encore visité notre page web à ce sujet, vous devriez le faire. »

« En tant qu’administrateurs, nous avons l’habitude que la sécurité soit un processus réactif. Mais la gestion déclarative évolue et propose davantage d’interactions. Bientôt, les administrateurs n’auront qu’à définir l’état de conformité des appareils pour qu’ils ne puissent plus s’en écarter. »

Autrement dit, grâce aux améliorations apportées par la gestion déclarative, la MDM va permettre aux administrateurs de mieux sécuriser les appareils par défaut et informera plus rapidement les utilisateurs en cas de modification critique de la situation.

Prochaines étapes : Jamf va plus loin

« Pendant qu’Apple fait évoluer la MDM, a repris K. English, parlons un peu de ce que fera Jamf pour transformer ces fonctionnalités brutes en outils de résolution pour les administrateurs. »

Apple a ouvert de nombreuses portes à Jamf cette année.

« J’ai évoqué Trusted Access, une approche holistique pour gérer et sécuriser les appareils, mais pour prendre un exemple plus spécifique, je vais m’attarder sur une fonctionnalité apparue cette année, la commande de remise en service. »

K. English a expliqué aux participants en quoi cette commande avait changé et son impact sur les workflows dans Jamf Pro et Jamf School.

Comme elle l’a rappelé, ces nouveautés ont permis à Jamf d’améliorer des outils existants comme le Self Service pour les rendre encore plus simples et efficaces.

Prochaines étapes : pas de panique

« [La gestion déclarative] est une nouvelle orientation. Je ne pense pas que cela va beaucoup changer ce que je fais. Dans l’ensemble, la WWDC a surtout présenté de nouveaux jouets avec lesquels je n’aurai pas l’occasion de m’amuser. »

– Un client de Jamf dans un entretien UX Research.

« Je compatis, » a admis K. English. « Le changement peut être très déstabilisant, et certaines organisations le découragent activement. J’ai aussi été une administratrice rétive au changement, et je n’avais aucun problème à scripter littéralement toutes les opérations. Mais je crois que nous pouvons commencer à abandonner nos peurs face au changement. Parce que si je regarde comment la MDM évolue, le changement est en fait bienvenu. »

Selon Katie English, même les administrateurs Apple sceptiques réticents comprendront l’intérêt de l’évolution de la MDM.

Comme elle l’affirme, la MDM va devenir :

  • Plus sûre – en permettant de définir la conformité dès le départ à l’aide de déclarations et en limitant les interactions programmatiques avec les binaires de bas niveau
  • Plus native – en invitant l’utilisateur à interagir sur la base des déclarations
  • Plus utile – en apportant des améliorations successives à la base déjà robuste de la MDM grâce à la DDM

Vous n’êtes pas seul !

N’oubliez pas : Jamf est là pour vous aider à utiliser la MDM pour résoudre des problèmes réels, comme nous l’avons fait avec les mises à jour logicielles et la remise en service. Chez Jamf, nous aidons les administrateurs à adopter les nouvelles fonctionnalités plus rapidement en optimisant notre architecture pour itérer et livrer des fonctionnalités au plus tôt. Et Jamf vous permet toujours de gérer et de sécuriser vos appareils Apple selon les normes propres à votre organisation.

Inscrivez-vous à la JNUC pour accéder à cette session et bien d’autres.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.