Identidade corporativa é foco da Apple em 2019
Com bases construídas em 2018, empresa promete mais flexibilidade e opções de gerenciamento de hardware no ambiente de trabalho
Em 2019, a Apple provavelmente se comprometerá com a propriedade e a identidade do dispositivo no local de trabalho. A Apple vem sinalizando esse tipo de foco há algum tempo, com uma série de mudanças que mexeram com a forma como ela lida com o gerenciamento de hardware e estabelece as bases para o próximo ano.
Esses movimentos aparentemente não relacionados permitirão fortalecer seu papel no tratamento da identidade corporativa, independentemente da propriedade do dispositivo, permitindo que ofereça aos administradores de TI mais flexibilidade e opções de gerenciamento no futuro.
Em sua conferência anual de desenvolvedores em 2017, a Apple anunciou mudanças planejadas em vários controles corporativos para seus dispositivos. Em vez de aplicar a todos os sistemas MacOS e iOS gerenciados, os controles se aplicariam apenas aos do modo Supervisionado. Na época, a empresa esperava que as mudanças acontecessem em 2018 com o lançamento do macOS Mojave e iOS 12, mas a implementação foi empurrada para 2019 a pedido de desenvolvedores, fornecedores e clientes.
Então, no início de 2018, a Apple informou que estava efetivamente desligando sua plataforma de servidores – e aconselhou os clientes a fazer a transição para alternativas, incluindo as soluções de código aberto que alguns dos recursos do MacOS Server foram construídos. Uma das funções mais comuns sempre foi o Open Directory, o serviço de diretório nativo da Apple.
Embora a mudança não signifique um desligamento do Open Directory ou serviços de diretório no Mac, esse é um movimento curioso. A Apple está essencialmente desaprovando sua plataforma de servidor enquanto ainda suporta seu próprio serviço de diretório. Os iPhones e iPads são projetados como dispositivos para um único usuário, embora os iPads integrados ao Apple School Manager e ao aplicativo do Google Sala de Aula usados em escolas de ensino fundamental e médio sejam uma exceção.
Integração desktop e celular
A Apple está trabalhando para integrar melhor suas ofertas de desktop e celular. Em 2018, incluiu revelações sobre o Marzipan, um projeto para tornar mais fácil para os desenvolvedores portar aplicativos entre as duas plataformas. Embora apenas um punhado de aplicativos iOS tenha feito o salto para o Mac em Mojave, os comentários não foram exatamente estelares e parece que o projeto tem um caminho a percorrer. Ainda assim, isso mostra que a Apple está trabalhando para facilitar o desenvolvimento – e provavelmente o gerenciamento – dos seus ecossistemas. Isso teria grandes implicações para a identidade no Mac.
Identidade corporativa
Para entender a direção da Apple em gerenciamento de usuários e dispositivos, é preciso entender como a empresa chegou onde está agora. Quando as primeiras versões do Mac OS X eram enviadas, a conta do usuário, a identificação do dispositivo, as configurações, os dados de configuração e as restrições eram todos armazenados em sistemas de diretório (locais na máquina ou na rede).
Essa abordagem espelhava a de outros sistemas operacionais importantes, incluindo o Unix e suas variantes, além do Windows. A Apple construiu uma arquitetura de preferências gerenciadas semelhante ao modelo Active Directory’s Group Policy model, da Microsoft. Por padrão, ele armazenava preferências, identidades de usuários e identidades de computadores em um sistema baseado em LDAP chamado Open Directory.
Como o Open Directory e o Active Directory eram baseados em LDAP e Kerberos, era (e ainda é) possível integrar Macs usando o Active Directory. A abordagem típica era unir servidores Macs e Mac a um ambiente do Active Directory, permitindo que a administração e a autenticação básicas de usuários aproveitassem o Active Directory, enquanto o Open Directory lidava com o gerenciamento de Macs e os ambientes dos usuários. Todos os dados do perfil de configuração necessários para Macs e usuários residiam em um ou mais serviços de diretório.
Quando a Apple embarcou o iPhone em 2007, ele não criou a funcionalidade de vários usuários – e ainda não criou essa capacidade, com exceção do ambiente Classroom, habilitado pelo Apple School Manager e pelo aplicativo Classroom. Na verdade, nunca expressou qualquer intenção de fazê-lo.
Mesmo quando a Apple distribuiu a primeira iteração de seu protocolo MDM para gerenciar dispositivos iOS nos negócios, não havia suporte multiusuário, embora os produtos aproveitados pudessem contar com informações sobre um usuário (ou seu dispositivo) armazenadas em um sistema de diretórios (normalmente Active Directory) para aplicar perfis de gerenciamento com dados de configuração e restrições de acesso. O mesmo continua verdadeiro hoje.
Em resumo, a maioria dos produtos consulta um serviço de diretório (geralmente o Active Directory) para os dados necessários, mas armazena as informações reais de gerenciamento para o dispositivo e os usuários fora desse diretório (geralmente em um diretório ou banco de dados próprio).
A resposta do MDM da Apple armazena dados da mesma maneira funcional que a abordagem baseada em diretórios da empresa fez para os Macs – como dados XML estruturados. Como os dados não são armazenados no próprio diretório, ele oferece uma abordagem mais leve e flexível – algo que se mostrou atraente para outros fornecedores de software corporativo como integradores e parceiros em potencial.
Com o lançamento do Mac OS X Lion, a Apple fez essa abordagem no Mac, replicando todos os recursos de gerenciamento do mais pesado sistema de diretórios em apenas alguns anos. Isso rendeu mais flexibilidade: qualquer fornecedor que oferecesse gerenciamento iOS também poderia oferecer gerenciamento de Mac e fazê-lo sem precisar de integrações de diretório complicadas. Essa foi uma vitória da Apple e das empresas.
A Apple basicamente reduziu a integração de diretórios aos seus princípios fundamentais: identidade corporativa e autenticação. A propriedade de dispositivos nos negócios também seguiu uma estrada em evolução ao longo dos anos. A investida da Apple na empresa, embora possa ter sido planejada, se desdobrou mais organicamente.
Na esteira do BYOD
O movimento BYOD (bring-your-own-device) começou, em grande parte, com o iPhone em 2007. E com o lançamento do iPhone 3G, iOS 2 e App Store um ano depois, muitos usuários começaram a ver como seus dispositivos poderiam lidar com o seu trabalho, particularmente tarefas on-the-go de produtividade e colaboração.
Assim, naturalmente, eles começaram a trazer seus telefones para o escritório, às vezes escolhendo seus próprios iPhones sobre opções corporativas ou BlackBerrys. O suporte da Apple para o Exchange e uma função de perfil de configuração nascente no iOS 2 ajudaram no processo, mas não foi o principal driver.
Em 2010, a Apple lançou o iPad – e suporte para gerenciamento pelo ar de dispositivos iOS usando a arquitetura MDM da empresa. O iPad, por si só, tornou-se um dos dispositivos BYOD, e a capacidade de configurar e proteger iPads via MDM os tornou mais palatáveis para os administradores de TI.
Os Macs, por outro lado, tendem a permanecer como dispositivos corporativos, em parte devido aos custos envolvidos e porque a Apple demorou um pouco para integrar os recursos do MDM. O gerenciamento de Macs ainda exigia a integração de diretórios de uma maneira que não parecia totalmente apropriada para um dispositivo pessoal. Como resultado, uma divisão nos modelos de propriedade (e responsabilidade corporativa) foi desenvolvida. Os iMacs e os laptops da Apple foram gerenciados de uma maneira e iDevices foram gerenciados outro.
Evolução do MDM
Inicialmente, a Apple ofereceu os mesmos recursos de MDM para dispositivos corporativos e de funcionários. Então, em 2012, surgiu o conceito de Supervisão, usando o utilitário Apple Configurator. A supervisão oferecia um superconjunto de recursos de gerenciamento para dispositivos corporativos e educacionais e não se destinava a dispositivos pessoais.
Na verdade, exigia que os dispositivos fossem apagados antes mesmo de serem ativados, impedindo os departamentos de TI de supervisionar os dispositivos sem o conhecimento do usuário. No início, o processo exigia supervisão vinculada – o dispositivo tinha que ser conectado via USB a um Mac rodando o Apple Configurator para a configuração inicial – algo que não mudou até que a Apple introduzisse o Device Enrollment Program (DEP), em 2014.
A supervisão e o DEP, que fornecem a configuração pelo ar com a opção de supervisão para dispositivos adquiridos por uma empresa ou escola, permanecem sendo projetados apenas para dispositivos de propriedade da empresa.
É claro que a Apple pretende que todos os seus produtos sejam gerenciados via MDM usando uma abordagem essencialmente independente de fornecedor. Como é possível remover completamente os serviços de diretório dos Macs em um ambiente corporativo, o gerenciamento e o provisionamento podem ser feitos pelo MDM com associações ao dispositivo e uma infraestrutura de MDM com suas próprias opções de gerenciamento de usuários.
Isso tem vantagens, pois pequenas organizações podem prosseguir sem precisar de uma infraestrutura de diretório. Ele também permite que outras soluções sejam usadas para o gerenciamento de contas de usuários em vez do Open Directory, incluindo o Active Directory, o Azure AD ou serviços como o okta.
Atualmente, somente o Active Directory desfruta de suporte nativo no Mac, mas as opções de terceiros podem preencher a lacuna. O NoMAD, que foi adquirido pelo fornecedor corporativo JAMF da Mac em 2018, permite o uso de alternativas, incluindo okta. JAMF anunciou a autenticação do AD do Azure, embora ainda tenha que oferecer um cronograma para lançamento em seu produto JAMF Connect, que utiliza a tecnologia NoMAD.
E também há o Jump Cloud, que oferece um serviço de diretório baseado em nuvem que suporta a capacidade do LDAP incorporada ao macOS. Ele oferece suporte nativo para Mac sem a necessidade de gerenciar serviços Open Directory em execução no local no macOS Server.
Não surpreendentemente, a nuvem representa um desafio para muitas organizações que buscam gerenciar a identidade, pois ela abrange vários serviços no local e na nuvem, incluindo fundamentos como serviços de diretório. Mas é outra opção possível graças à decisão da Apple de desagregar a identidade do gerenciamento do Mac (embora tacitamente).
A Apple está lentamente abrindo portas para que os administradores de TI busquem e desenvolvam estruturas de gerenciamento de identidade e dispositivos que façam mais sentido para suas organizações, usuários e modelos de propriedade de dispositivos.
Mais flexibilidade
Mesmo que esteja forçando uma conversa sobre propriedade e identidade de dispositivos no mundo corporativo, a Apple está enquadrando a questão sobre como identidade, acesso, gerenciamento e propriedade se unem. Embora o gerenciamento em nível de dispositivo tenha surgido primeiro no gerenciamento de mobilidade empresarial, desde então, recursos como acesso condicional, gerenciamento de aplicativos e de conteúdo e licenciamento corporativo de aplicativos móveis evoluíram.
Isso significa que as organizações agora têm mais flexibilidade na criação de políticas de segurança e acesso, estratégias de implantação e casos de uso de mobilidade. Simplesmente bloquear hardware – particularmente dispositivos que uma organização não possui – não é a única opção. Nem é necessariamente o melhor.
Isso é especialmente verdadeiro quando os dispositivos de propriedade do usuário estão sendo gerenciados. Como os smartphones e tablets contêm cada vez mais dados pessoais, incluindo informações detalhadas sobre a saúde, o gerenciamento forçado será menos atraente.
Dado que a Apple assume grande parte de sua reputação na privacidade, é natural que esses tipos de discussões sobre gerenciamento de dispositivos ocorram entre os administradores de TI, departamentos de recursos humanos e executivos da empresa.
Em última análise, uma das grandes histórias sobre a Apple no local de trabalho em 2019 provavelmente será a flexibilidade de gerenciamento que ela permite, especialmente ao continuar a adicionar parceiros que podem ampliar suas operações internas para clientes corporativos.
Também é inteligente para a Apple apresentar essas opções – e essas conversas – no momento em que essas questões estão se tornando competências essenciais no centro das iniciativas de transformação digital.