Como a Apple está atualizando o gerenciamento de dispositivos móveis

Como esperado, a Apple anunciou na WWDC uma série de mudanças significativas na forma como Macs, iPads, iPhones e Apple TVs são gerenciados em ambientes empresariais e educacionais. Essas mudanças se dividem em dois grupos: aquelas que afetam o gerenciamento geral de dispositivos e aquelas que se aplicam ao gerenciamento declarativo (um novo tipo de gerenciamento de dispositivos que a Apple introduziu no ano passado no iOS 15).

É importante olhar para cada grupo separadamente para entender melhor as mudanças.

Como a Apple mudou o gerenciamento geral de dispositivos?

Configurador da Apple

O Apple Configurator para iPhone teve uma expansão significativa. Há muito tempo é um método manual de registrar iPhones e iPads no gerenciamento, em vez de usar ferramentas automatizadas ou de autoinscrição. A ferramenta foi originalmente enviada como um aplicativo para Mac que podia configurar dispositivos, mas tinha uma grande desvantagem: os dispositivos precisavam ser conectados via USB ao Mac que executava o aplicativo. Isso teve implicações óbvias em termos de tempo e mão de obra em qualquer coisa que não fosse um ambiente pequeno.

No ano passado, a Apple lançou uma versão do Configurator para iPhone que reverteu o fluxo de trabalho do original, o que significa que uma versão do aplicativo para iPhone pode ser usada sem fio para registrar Macs no gerenciamento. Ele foi usado principalmente para registrar Macs que foram comprados fora do canal corporativo/educacional da Apple no Apple Business Manager (os produtos da Apple adquiridos por meio do canal podem ser registrados automaticamente com configuração sem toque).

A encarnação do iPhone é incrivelmente simples. Durante o processo de configuração, você aponta uma câmera do iPhone para uma animação na tela do Mac (como emparelhar um Apple Watch) e isso aciona o processo de registro.

A grande mudança deste ano é que a Apple expandiu o uso do Apple Configurator para iPhone para oferecer suporte ao registro de iPad e iPhone usando o mesmo processo – removendo a exigência de que os dispositivos sejam conectados a um Mac. Isso reduz muito o tempo e o esforço necessários para registrar esses dispositivos. Há uma ressalva: os dispositivos que exigem ativação de celular ou foram bloqueados para ativação precisarão que a ativação seja concluída manualmente antes que o Configurador possa ser usado.

Gerenciamento de identidade

A Apple fez alterações úteis para gerenciamento de identidade em ambientes corporativos. O mais significativo: agora oferece suporte para provedores de identidade adicionais, incluindo Google Workspace e Oauth 2, que permite um amplo conjunto de provedores. (O Azure AD já era compatível.) Esses provedores de identidade podem ser usados em conjunto com o Apple Business Manager para gerar IDs Apple gerenciados para funcionários.

A empresa também anunciou que o suporte para registro de logon único em suas plataformas será implementado após o macOS Ventura e iOS/iPadOS16 chegarem neste outono norte-americano. O objetivo aqui é tornar o registro de usuários mais fácil e simplificado, exigindo que os usuários autentiquem apenas uma vez. A Apple também anunciou a Platform Single Sign-on, um esforço para expandir e simplificar o acesso a aplicativos e sites corporativos sempre que eles fizerem login em seus dispositivos.

Rede gerenciada por aplicativo

A Apple tem há muito tempo recursos de VPN por aplicativo, que permitem que apenas aplicativos empresariais ou relacionados ao trabalho específicos usem uma conexão VPN ativa. Isso aplica a segurança da VPN, mas limita a carga da VPN enviando apenas tráfego de aplicativo específico por meio de uma conexão VPN. Com o macOS Ventura e iOS/iPadOS 16, a Apple está adicionando proxy DNS por aplicativo e filtragem de conteúdo da Web por aplicativo. Isso ajuda a proteger o tráfego para aplicativos específicos e funciona da mesma forma que a VPN por aplicativo. E isso não requer alterações nos próprios aplicativos. O proxy DNS oferece suporte a opções em todo o sistema ou por aplicativo, enquanto a filtragem de conteúdo oferece suporte a todo o sistema ou até sete instâncias por aplicativo.

Aprovisionamento de E-SIM

Para iPhones que suportam eSIMs, a Apple está possibilitando ao software de gerenciamento de dispositivos móveis (MDM) configurar e provisionar um eSIM. Isso pode incluir o provisionamento de um novo dispositivo, migração de operadoras, uso de várias operadoras ou configuração para viagens e roaming.

Gerenciando as configurações de acessibilidade

A Apple é bem conhecida por seu amplo conjunto de recursos de acessibilidade para pessoas com necessidades especiais. De fato, muitas pessoas sem necessidades especiais também usam vários desses recursos. No iOS/iPadOS 16, a Apple está permitindo que o MDM habilite e configure automaticamente alguns dos recursos mais comuns, incluindo: tamanho do texto, Voice Over, Zoom, Acomodações de Toque, Negrito, Reduzir Movimento, Aumentar Contraste e Reduzir Transparência. Esta será uma ferramenta bem-vinda em áreas como educação especial ou situações hospitalares e de saúde onde os dispositivos podem ser compartilhados entre usuários com necessidades especiais.

O que há de novo no processo de gerenciamento declarativo da Apple?

A Apple revelou o Declarative Management no ano passado como uma melhoria em relação ao seu protocolo MDM original. Sua grande vantagem é que ele move grande parte da lógica de negócios, conformidade e gerenciamento do serviço MDM para cada dispositivo. Como resultado, os dispositivos podem monitorar proativamente seu estado. Isso elimina a necessidade de o serviço MDM pesquisar constantemente o estado do dispositivo e emitir comandos em resposta. Em vez disso, os dispositivos fazem essas alterações com base em seu estado atual e nas declarações enviadas a eles e as relatam ao serviço.

O gerenciamento declarativo depende de declarações que contêm coisas como ativações e configurações. Uma vantagem é que uma declaração pode incluir várias configurações, bem como as ativações que indicam quando ou se a configuração deve ser ativada. Isso significa que uma única declaração pode incluir todas as configurações de todos os usuários, combinadas com ativações que indicam a quais usuários devem ser aplicadas. Isso reduz a necessidade de grandes conjuntos de configurações diferentes, pois o próprio dispositivo pode determinar quais devem ser habilitadas para o dispositivo devido ao seu usuário.

Este ano, a Apple expandiu onde o Gerenciamento Declarativo pode ser usado. Inicialmente, estava disponível apenas em dispositivos iOS/iPadOS 15 que aproveitavam o registro de usuários. No futuro, todos os dispositivos Apple que executam o macOS Ventura ou iOS/iPadOS/tvOS 16 serão suportados, independentemente do tipo de registro. Isso significa que o registro de dispositivos (incluindo dispositivos supervisionados) é suportado em todos os níveis, assim como o iPad compartilhado (um tipo de registro que permite que vários usuários compartilhem o mesmo iPad, cada um com sua própria configuração e arquivos).

A empresa deixou bem claro que o Declarative Management é o futuro do gerenciamento de dispositivos da Apple e que quaisquer novos recursos de gerenciamento serão implementados apenas no modelo declarativo. Embora o MDM tradicional esteja disponível por algum tempo não especificado, ele foi descontinuado e, eventualmente, será aposentado.

Isso tem grandes implicações para os dispositivos já em uso. Os dispositivos que não podem executar o macOS Ventura ou iOS/iPadOS 16 acabarão sendo descartados e os que permanecerem em serviço precisarão ser substituídos. Dada a grande quantidade de dispositivos perdendo suporte, isso pode resultar em uma transição cara para algumas organizações. Embora não seja imediato, você deve começar a determinar o tamanho e o custo da transição e como você a gerenciará (principalmente porque provavelmente exigirá uma transição para o Apple Silicon, que não suporta a capacidade de executar Windows ou Windows aplicativos, no processo).

Além de expandir quais produtos podem usar o gerenciamento declarativo, a Apple também ampliou sua funcionalidade, incluindo suporte para configuração de senha, contas corporativas e instalação de aplicativos controlados por MDM.

A opção de senha é mais complexa do que simplesmente exigir uma senha de um determinado tipo. A conformidade com o código de acesso é tradicionalmente exigida para determinadas configurações relacionadas à segurança, como enviar a configuração de Wi-Fi corporativa para um dispositivo. No modelo declarativo, essas configurações podem ser enviadas ao dispositivo antes que uma senha seja definida. Eles são enviados junto com o requisito de senha e incluem uma ativação que só a habilitará quando o usuário criar uma senha que esteja em conformidade com essa política. Assim que o usuário definir uma senha, o dispositivo detectará a alteração e habilitará a configuração do Wi-Fi com várias conexões ao serviço MDM, habilitando o Wi-Fi imediatamente e notificando o serviço que foi ativado.

As contas — que podem incluir coisas como correspondências, notas, calendário e calendários assinados — funcionam de forma semelhante. Uma declaração pode especificar todos os tipos de contas suportadas na organização, bem como todos os calendários inscritos. O dispositivo determinará, com base na conta e nas funções do usuário na organização, a ativação e a habilitação.

A instalação de aplicativos MDM é a adição mais significativa ao gerenciamento declarativo, pois a instalação de aplicativos é uma das tarefas que mais sobrecarregam um MDM e o maior gargalo durante ativações de dispositivos em massa (como uma grande integração de novos funcionários, lançamentos de novos dispositivos, ou como no primeiro dia de aula). Uma declaração pode especificar todos os aplicativos em potencial a serem instalados e enviados a um dispositivo na ativação, mesmo antes de serem entregues ao usuário. Novamente, o dispositivo determinará quais configurações de instalação do aplicativo serão ativadas e disponibilizadas, com base no usuário. Isso evita que cada dispositivo tenha que consultar repetidamente o serviço e baixar aplicativos e suas configurações. Ele também simplifica e acelera o processo de habilitar (ou desabilitar) aplicativos se a função de um usuário mudar.

Essas são melhorias significativas e é fácil ver porque elas são as primeiras adições ao Gerenciamento Declarativo após seu lançamento inicial. Ainda existem recursos de MDM que não deram o salto para o uso declarativo, mas é óbvio que eventualmente – talvez no próximo ano – eles o farão.

Este é um dos anúncios mais significativos da WWDC para empresas e é bom ver que a Apple foi cuidadosa ao decidir quais recursos adicionar ou atualizar, pois a maioria deles aborda áreas difíceis, demoradas, intensivas em recursos ou tediosas. A Apple não está apenas atendendo às necessidades dos clientes corporativos, mas demonstrando que entende essas necessidades.