כיצד אפל מעדכנת את ניהול המכשירים הניידים

אפל ניהול מכשירים

כצפוי, אפל הכריזה ב-WWDC על סדרה של שינויים משמעותיים באופן שבו מחשבי Mac מנהלים את האייפדים, האייפדים, האייפונים והטלוויזיות של אפל בסביבות עסקיות וחינוך. השינויים הללו מתחלקים במידה רבה לשתי קבוצות: אלו שמשפיעים על ניהול המכשירים הכולל ואלו שחלים על ניהול הצהרתי (סוג חדש של ניהול מכשירים שאפל הציגה בשנה שעברה ב-iOS 15).

נושאים:

חשוב להסתכל על כל קבוצה בנפרד כדי להבין בצורה הטובה ביותר את השינויים.

כיצד שינתה אפל את ניהול המכשיר הכולל?

Apple Configurator

Apple Configurator לאייפון קיבל הרחבה משמעותית. יש כבר מזמן שיטה ידנית לרישום מכשירי אייפון ואייפד לניהול במקום להשתמש בכלי הרשמה אוטומטיים או עצמיים. הכלי נשלח במקור כיישום מק שיכול להגדיר התקנים, אך היה לו חסרון משמעותי אחד: התקנים היו צריכים להיות מחוברים באמצעות USB למק המריץ את האפליקציה. היו לכך השלכות ברורות במונחים של זמן ועבודה בכל סביבה.

בשנה שעברה הציגה אפל גרסה של Configurator לאייפון שהפכה את זרימת העבודה של המקור, כלומר ניתן להשתמש בגרסת האייפון של האפליקציה באופן אלחוטי כדי לרשום מחשבי Mac לניהול. הוא שימש בעיקר לרישום מחשבי Mac שנרכשו מחוץ לערוץ Apple Enterprise / Education ל-Apple Business Manager (ניתן לרשום אוטומטית מוצרי אפל שנרכשו דרך הערוץ עם תצורת אפס מגע).

השינוי הגדול השנה הוא שאפל הרחיבה את השימוש ב-Apple Configurator לאייפון כדי לתמוך בהרשמה לאייפד ואייפון באמצעות אותו תהליך – והסירה את הדרישה שמכשירים יהיו מחוברים למק. זה מקטין מאוד את הזמן והמאמץ הדרושים לרישום מכשירים אלה. יש אזהרה אחת: מכשירים הדורשים הפעלה סלולרית או שננעלו הפעלה יצטרכו להשלים את ההפעלה באופן ידני לפני שניתן יהיה להשתמש ב-Configurator.

החדשות הגדולות השנה הן שאפל הרחיבה את השימוש ב-Apple Configurator לאייפון כדי לתמוך בהרשמה לאייפד ואייפון באמצעות אותו תהליך – והסירה את הדרישה שהמכשירים יהיו מחוברים למק. זה מקטין משמעותית את הזמן והמאמץ הנדרשים לרישום מכשירים אלו. עם זאת, יש אזהרה אחת: מכשירים הדורשים הפעלה ניידת או נעולה חייבים להשלים את ההפעלה באופן ידני לפני שניתן יהיה להשתמש בקונפיגורטור.

ניהול זהות

אפל ביצעה שינויים שימושיים לניהול זהויות בסביבות ארגוניות. החשוב ביותר: כעת היא מספקת תמיכה לספקי זהות נוספים, כולל Google Workspace ו-Oauth 2, ומאפשרת מגוון רחב יותר של ספקים (Azure AD כבר נתמכת). ניתן להשתמש בספקי זהויות אלה בשילוב עם Apple Business Manager ליצירת מזהי Apple מנוהלים לעובדים.

החברה גם הודיעה כי:

  • תתמוך בכניסה יחידה חוצת פלטפורמות תיושם לאחר השקת macOS Ventura ו-iOS/iPadOS16 בסתיו הקרוב
  • תהפוך את רישום המשתמש לקלה ויעילה יותר על ידי דרישה מהמשתמשים לאימות פעם אחת בלבד
  • תרחיב ולייעל את הגישה לאפליקציות ואתרי אינטרנט ארגוניים כשהם נכנסים למכשירים שלהם

ניהול רשתות לכל אפליקציה

אפל מציעה זה מכבר תכונות VPN לאפליקציות בודדות המאפשרות רק לאפליקציות מסוימות לעסקים או לעבודה להשתמש בחיבור VPN פעיל. זה קודם כל מספק אבטחת VPN. מצד שני, זה מגביל את עומס ה-VPN על ידי שליחת תעבורת אפליקציה מסוימת דרך חיבור VPN. עם macOS Ventura ו-iOS/iPadOS 16, Apple מוסיפה פרוקסי DNS לכל אפליקציה ולכל אפליקציה סינון תוכן אינטרנט. זה עוזר לאבטח תעבורה עבור אפליקציות ספציפיות ועובד בדיוק כמו VPN לכל אפליקציה. וזה לא דורש שינויים באפליקציות עצמן. פרוקסי ה-DNS תומך באפשרויות כלל מערכתיות או ספציפיות לאפליקציה, בעוד שסינון התוכן תומך בכל המערכת או עד שבעה מופעים ספציפיים לאפליקציה.

הקצאת E-SIM

עבור מכשירי אייפון התומכים ב-eSIM, אפל מאפשרת לתוכנת ניהול מכשירים ניידים (MDM) להגדיר ולהעניק eSIM. זה יכול לכלול הקצאת מכשיר חדש, העברת ספקים, שימוש במספר ספקים או תצורה לנסיעות ונדידה.

ניהול הגדרות נגישות

אפל ידועה במגוון הרחב של תכונות נגישות לאנשים עם צרכים מיוחדים. למעשה, אנשים רבים ללא צרכים מיוחדים גם משתמשים בחלק מהתכונות הללו. ב-iOS/iPadOS 16, Apple MDM מאפשר לך להפעיל ולהגדיר באופן אוטומטי קומץ מהתכונות הנפוצות ביותר, כולל: גודל טקסט, Voice Over, זום, התאמות מגע, טקסט מודגש, הפחתת תנועה, הגדלת ניגודיות והפחתת שקיפות. זהו כלי מבורך בתחומים כמו חינוך מיוחד או בתי חולים ובריאות, שבהם מכשירים משותפים למשתמשים עם צרכים מיוחדים.

מאמרים מומלצים:

מה חדש בתהליך הניהול ההצהרתי של אפל?

אפל הציגה בשנה שעברה ניהול הצהרתי כשיפור לפרוטוקול ה-MDM המקורי שלה. היתרון העיקרי שלו הוא שהוא מעביר חלק גדול מההיגיון העסקי, התאימות והניהול משירות MDM לכל מכשיר. זה מאפשר למכשירים לפקח באופן יזום על בריאותם. זה מבטל את הצורך בשירות ה-MDM לסקור כל הזמן את מצב המכשיר ולהוציא פקודות בתגובה. במקום זאת, מכשירים מבצעים שינויים אלה על סמך מצבם הנוכחי וההצהרות שנשלחו אליהם, ומדווחים בחזרה לשירות.

ניהול הצהרתי מסתמך על הצהרות המכילות דברים כמו הפעלה ותצורות. יתרון אחד הוא שהצהרה יכולה להכיל תצורות מרובות וכן את הפעלות המציינות מתי או אם יש להפעיל את התצורה. המשמעות היא שהצהרה בודדת יכולה להכיל את כל התצורות עבור כל המשתמשים, בשילוב עם הפעלות שמציינות לאילו משתמשים הם צריכים להגיש בקשה. זה מפחית את הצורך בקבוצות גדולות של תצורות שונות, מכיוון שהמכשיר עצמו יכול לקבוע אילו תצורות יש להפעיל עבור המכשיר בהתבסס על המשתמש שלו.

השנה, אפל הרחיבה את השימושים בניהול הצהרתי. במקור, זה היה זמין רק במכשירי iOS/iPadOS 15 שהשתמשו ברישום משתמש. מעתה ואילך, כל מכשירי אפל המריצים macOS Ventura או iOS/iPadOS/tvOS 16 יתמכו, ללא קשר לסוג הרשמה של המשתמש. המשמעות היא שהרשמת מכשירים (כולל מכשירים מנוטרים) תתמוך מקצה לקצה, וכך גם אייפד משותף (סוג של הרשמה המאפשרת למספר משתמשים לשתף את אותו iPad, כל אחד עם תצורה וקבצים משלו).

החברה הבהירה שניהול הצהרתי הוא העתיד של ניהול מכשירי אפל ושכל תכונות הניהול החדשות יהיו זמינות רק עבור הדגם ההצהרתי. למרות שה-MDM המסורתי יהיה זמין לתקופת זמן בלתי מוגבלת, הוא מיושן ובסופו של דבר יבוטל.

תהיה לכך השפעה משמעותית על מכשירים שכבר נמצאים בשימוש. מכשירים שאינם יכולים להריץ את macOS Ventura או iOS/iPadOS 16 יופסקו בסופו של דבר, וכל אלה שעדיין בשימוש יצטרכו להיות מוחלפים. בהתחשב בנפח המכשירים שלא ייתמכו עוד, זה עשוי להיות מעבר יקר עבור ארגונים מסוימים. גם אם זה לא קורה מיד, כדאי להתחיל לקבוע את היקף ועלות המעבר וכיצד תבצעו אותו (במיוחד מכיוון שסביר להניח שזה ידרוש מעבר ל-Apple Silicon, שאינה תומכת בהפעלת יישומי Windows או Windows).

בנוסף להרחבת המוצרים שיכולים להשתמש בניהול הצהרתי, אפל גם הרחיבה את הפונקציונליות, כולל תמיכה בתצורת קוד סיסמה, חשבונות ארגוניים והתקנת אפליקציות מונעות MDM.

אפשרות קוד הגישה מורכבת יותר מדרישת קוד גישה מסוג מסוים. תאימות לקוד סיסמה נדרשת באופן מסורתי עבור תצורות מסוימות הקשורות לאבטחה, כגון שליחת תצורת ה-Wi-Fi הארגונית למכשיר. במודל ההצהרתי, ניתן לשלוח תצורות אלו למכשיר לפני קביעת קוד גישה. הם נשלחים עם בקשת הסיסמה וכוללים הפעלה שאינה מפעילה את המכשיר עד שהמשתמש יוצר סיסמה התואמת למדיניות זו. לאחר שהמשתמש מגדיר קוד סיסמה, המכשיר מזהה את השינוי ומפעיל את תצורת ה-Wi-Fi עם מספר חיבורים לשירות ה-MDM, מאפשר מיידית את ה-Wi-Fi ומודיע לשירות על ההפעלה.

חשבונות – שיכולים לכלול דואר אלקטרוני, הערות, לוחות שנה ולוחות שנה מנויים, למשל – פועלים באופן דומה. הצהרה יכולה לציין את כל סוגי החשבונות הנתמכים בתוך הארגון, כמו גם כל לוחות שנה רשומים. לאחר מכן המכשיר מחליט אם להפעיל ולבטל את הנעילה בהתבסס על חשבון המשתמש והתפקידים בארגון.

התקנת אפליקציית MDM היא ההשלמה החשובה ביותר לניהול הצהרתי. התקנת אפליקציה היא אחת המשימות המכבידות ביותר עבור MDM והצוואר הבקבוק הגדול ביותר במהלך הפעלת מכשירים המונית (למשל, כניסת עובד חדש, השקת מכשיר חדש או היום הראשון ללימודים) . הצהרה יכולה לציין את כל האפליקציות הפוטנציאליות להתקנה ולשלוח למכשיר כאשר היא מופעלת, עוד לפני שהיא נמסרת למשתמש. שוב, המכשיר קובע אילו תצורות התקנת אפליקציה להפעיל ולהפוך לזמינות בהתבסס על המשתמש. זה ימנע את הצורך של כל מכשיר לבצע שאילתות חוזרות על השירות ולהוריד אפליקציות ותצורותיהן. זה גם מפשט ומאיץ את תהליך ההפעלה (או השבתה) של אפליקציות כאשר תפקידו של המשתמש משתנה.

אלו שיפורים משמעותיים, וקל להבין מדוע הם התוספות הראשונות לניהול הצהרתי לאחר הפריסה הראשונית. יש עדיין תכונות MDM שלא עשו את הקפיצה לשימוש הצהרתי, אבל ברור שבסופו של דבר – אולי כבר בשנה הבאה.

זוהי אחת ההכרזות החשובות ביותר של WWDC לארגונים, וטוב לראות שאפל עשתה החלטה נבונה באילו תכונות להוסיף או לעדכן, שכן רובן מתייחסות לתחומים שהיו קשים, גוזלים זמן, עתירי משאבים או משאבים. מסורבל. אפל לא רק נותנת מענה לצרכים של לקוחות ארגוניים, אלא גם מראה שהיא מבינה את הצרכים הללו.

קָשׁוּר: