Como a Apple está mudando a gestão de dispositivos móveis no iOS 15

Uma das maiores adições empresariais ao iOS 15 e iPadOS 15 é uma mudança significativa no protocolo de MDM (gerenciamento de dispositivo móvel) da Apple. As alterações anteriores do MDM focavam principalmente na adição de novos recursos de gerenciamento, segurança ou implantação, estendendo as opções de MDM. O gerenciamento declarativo, apresentado na conferência de desenvolvedores da empresa em junho, é a primeira atualização que modifica o próprio protocolo.

Enquanto o gerenciamento declarativo fará sua estreia com iOS 15 e iPadOS 15, a Apple disse que também terá suporte no macOS Monterey, embora não imediatamente.

O Apple MDM hoje

Antes de chegarmos ao que é o gerenciamento declarativo, vamos fazer uma breve recapitulação de como o protocolo MDM da Apple foi implementado anteriormente.

O Apple MDM engloba vários componentes diferentes: perfis de configuração e provisionamento, o serviço MDM e vários comandos MDM.

Perfis de configuração são strings de dados XML formatados como arquivos .plist. Na verdade, eles são anteriores ao Apple MDM, e foram introduzidos pela primeira vez no iPhone OS 2, junto com o suporte para Exchange. Esses arquivos podem configurar ou restringir a maior parte da experiência iOS. Eles podem até ser usados para pré-definir as configurações do aplicativo corporativo, se necessário. O conteúdo de um perfil costuma ser chamado de carga.

Perfis de provisionamento fazem exatamente o que o nome indica: eles provisionam vários certificados e outros elementos de segurança que são essenciais para dispositivos gerenciados, permitindo que eles se conectem a servidores/serviços necessários para acessar recursos corporativos.

Um servidor/serviço MDM é a cola que une os vários dispositivos em uma empresa e atribui perfis a eles. O MDM também pode ser usado para consultar dispositivos sobre seu estado atual e enviar comandos de MDM, como solicitar uma nova senha, limpar dados corporativos de um dispositivo perdido ou limpar uma senha quando o usuário a esqueceu.

A checagem de status dos dispositivos é uma das grandes coisas que fazem o MDM funcionar. Os servidores MDM podem consultar dispositivos de forma automatizada ou sob demanda. Essa conferência, que pode consultar quase todas as configurações do dispositivo e, em seguida, enviar atualizações aos dispositivos para atender à conformidade, requer muita largura de banda para o dispositivo e servidor/serviços. Um dos objetivos do gerenciamento declarativo é eliminar essa abordagem de vaivém.

O resultado pode ser uma redução na carga do servidor e na largura de banda do dispositivo (e da rede à qual ele está conectado). Também afeta coisas como largura de banda para aplicativos e duração geral da bateria.

Então, o que é gerenciamento declarativo? E por que eu deveria me importar?

O gerenciamento declarativo empurra grande parte da determinação sobre conformidade – e, até certo ponto, remediação da não conformidade – para o dispositivo. Isso descarrega a funcionalidade do servidor/serviço MDM.

Em vez de depender da pesquisa do servidor para obter o status atual do dispositivo, os dispositivos agora têm autonomia para monitorar o estado de seu próprio dispositivo e comunicá-lo proativamente ao servidor/serviço conforme necessário. Eles também podem avaliar as alterações no estado do dispositivo e tomar as ações apropriadas, mesmo se um dispositivo estiver off-line e não puder se conectar aos serviços de gerenciamento ou à Internet como um todo.

Adeus plists, olá JSON

Uma diferença entre o MDM tradicional e o MDM declarativo é como os dados são comunicados e interpretados. Até agora, os perfis de configuração existiam como arquivos de texto .plist. O gerenciamento declarativo descarta essa abordagem em favor dos objetos JSON.

Embora seja uma mudança, a maioria dessas strings de dados XML são essencialmente as mesmas, apesar da diferença no tipo de arquivo. Espero que os fornecedores de MDM tornem essa mudança absolutamente invisível para o administrador.

Declarações em quatro tipos

No novo sistema, as declarações incluem quatro tipos de diretivas para dispositivos gerenciados: configurações, ativos, ativações e gerenciamento.

Configuração: este tipo de declaração se aproxima aos perfis de configuração do MDM tradicional. As declarações designam as várias configurações, restrições e outros tipos de gerenciamento suportados pelos dispositivos Apple.

Ativos: este tipo de declaração fornece informações de suporte aos dispositivos. Isso inclui coisas como informações da conta do usuário, certificados de segurança e URLs de serviço relacionados ao MDM. Até certo ponto, eles funcionam como perfis de provisionamento no MDM tradicional (normalmente usado para implantar certificados).

Uma das principais vantagens dos ativos: em vez de instalar vários certificados (ou várias instâncias do mesmo certificado), uma declaração de ativos pode ser aplicada a várias configurações. Isso deve oferecer aos departamentos de TI a capacidade de agilizar o gerenciamento de certificados; em particular, deve ajudar na implantação de certificados atualizados, uma vez que haverá menos certificados que precisam ser implantados.

Ativação: as ativações são essencialmente regras (chamadas de predicados) para quando configurações ou ações específicas devem ocorrer. Como as declarações são processadas no dispositivo, um dispositivo notará quando seu estado foi alterado. Em seguida, ele determinará se as alterações resultaram em um estado que atende aos requisitos de uma ativação (ou se não atende mais ao estado de uma ativação) e aplicará proativamente essa ativação e seus dados de configuração relacionados em tempo real.

Uma das vantagens das ativações é que é possível enviar dados de configuração para uma grande variedade de dispositivos, mesmo que alguns não se apliquem a todos os dispositivos no momento da implantação. As ativações permitem que essas configurações fiquem no dispositivo, mas inativas até que uma alteração no estado do dispositivo corresponda a uma ativação e ative a configuração relacionada.

Gerenciamento: as declarações de gerenciamento são usadas para enviar informações relativamente estáticas aos dispositivos. Isso inclui os recursos do servidor ou serviço MDM. Essas informações permitem que o dispositivo saiba quais recursos de gerenciamento declarativo e MDM estão disponíveis. Isso provavelmente se tornará mais importante à medida que a Apple começar a lançar mais recursos declarativos e estendê-los a outros dispositivos além de iPhones e iPads.

Status

Junto com as declarações, há um canal de status que o MDM usa para garantir que o servidor esteja ciente do estado do dispositivo. Como as declarações aplicam as alterações ao estado do dispositivo de forma independente, é crucial que haja uma maneira de um dispositivo relatar seu novo estado ao servidor ou serviço MDM. Isso substitui a necessidade do MDM tradicional de pesquisar dispositivos periodicamente para verificar o estado do dispositivo e garante que os dados do estado do dispositivo sejam atualizados em tempo real.

Os benefícios disso são enormes, porque libera muito da carga do servidor e da rede necessária para pesquisar regularmente todos os dispositivos em uma organização. Ele também tem o potencial de aumentar a vida útil da bateria dos dispositivos, uma vez que a quantidade de dados relatados é minimizada e só acontece quando o estado do dispositivo muda. E, como observei, ele tem o potencial de detectar problemas, como um dispositivo fora de conformidade ou com atividade incomum (e possivelmente suspeita), com mais rapidez porque as informações são enviadas imediatamente conforme as alterações são feitas.

Extensibilidade

Extensibilidade refere-se à capacidade do MDM de dispositivos e servidores/serviços de MDM relatarem uns aos outros quais recursos estão disponíveis. Isso pode então acionar ações, implantar cargas úteis e habilitar novos recursos – e tudo isso pode acontecer imediatamente.

Para obter mais informações, você pode ver a apresentação aprofundada sobre o gerenciamento declarativo do WWDC.

Mudança do MDM tradicional para o gerenciamento declarativo

A maior questão para a TI em relação ao gerenciamento declarativo é quando (e como) essa transição ocorre. A boa notícia é que cabe a cada organização se ou quando adotar a gestão declarativa. A Apple parece estar planejando uma implementação suave de gerenciamento declarativo – a princípio, ele só estará disponível para dispositivos iOS 15 e iPadOS 15 sob registro de usuário (normalmente preferido para BYOD), e a maioria das declarações não estará disponível inicialmente. No momento em que este texto foi escrito, por exemplo, apenas configurações de conta e senha estão planejadas como parte do lançamento do iOS 15. O suporte para macOS Monterey está planejado para algum momento futuro.

Também é importante perceber que, no momento, o gerenciamento declarativo é opcional. Eventualmente, espero que veremos o MDM tradicional descontinuado, mas acho que isso ainda estará longe. Até lá, o MDM tradicional será compatível com o gerenciamento declarativo. Isso deve ser um alívio para a maioria dos departamentos de TI.

Este é um bom momento para começar a pensar sobre como sua plataforma MDM atual e seu portfólio de políticas e perfis existentes poderão tirar proveito do gerenciamento declarativo e onde você poderá simplificar o gerenciamento usando declarações no futuro.

Este também pode ser um bom momento para verificar com seu fornecedor atual de MDM para ver qual é o plano dele para dar suporte ao gerenciamento declarativo e como eles esperam que isso altere os vários fluxos de trabalho de seus produtos. Indo ainda mais longe, este poderia ser o momento ideal para verificar outros fornecedores de mobilidade empresarial para ver quais são seus planos e reavaliar se deseja continuar com seu provedor atual.

Em última análise, o gerenciamento declarativo vai trazer muitos benefícios e tornar o gerenciamento de dispositivos Apple um processo muito mais simples e com menos uso de rede. Haverá uma curva de aprendizado e algumas tentativas e erros – para clientes, fornecedores e Apple – mas o caminho parece extremamente promissor e até empolgante.