macadmins israel round icon rec

העוצמה המהפכנית של Declarative Device Management (DDM)

מה זה Declarative Device Management?

Apple מתארת את ה-DDM כ"עדכון מהפכני" ל-MDM protocol הקיים המאפשר למכשירים לפעול בצורה proactive ועצמאית.

ה-DDM מאפשר למכשיר Apple להיות proactive ועצמאי באמצעות הגדרות מתוכנתות. לכל מכשיר יש הנחיות כיצד להגיב לשינויים במצבו וכיצד לבצע כל פעולה נדרשת – מבלי להמתין להוראות מ-server.

איך ה-DDM שינה את ה-MDM?

השינוי הזה באופן בו מכשירים ושרתים מתקשרים הוא ממש מהפכני, עם השפעות על כמעט כל ההיבטים של ניהול מכשירי Apple.

ההשפעה של DDM על אבטחת המכשירים היא השינוי הברור ביותר בהתחלה. לדוגמה, אם מכשיר יוצא מ-compliance או חווה פעילות המוגדרת כנוזקה אפשרית, הוא יכול לפעול מיד. משמעות הדבר היא שלשחקנים רעים אין עוד זמן השהיה לתקוף בו.

זה משפיע הרבה מעבר לכך. DDM:

  • משחרר תעבורת שרת-מכשיר, משפר ביצועים
  • מאפשר sandboxing ותיקון מהירים יותר של נוזקות אפשריות, מגביר את האבטחה
  • דורש פחות משאבים להרחבת קנה מידה והיקף, מסייע לצמיחה ארגונית.

איך DDM עובד

DDM משתמש בעיקר בשלושה עמודי תווך: declarations, status channel ו-extensibility.

  1. Declarations הן payloads מוגדרות משרת הנשלחות למכשירים. הן מגדירות policies שאמורות להיות מיושמות ישירות על המכשירים כגון חשבונות, הגדרות והגבלות. ניתן להפיץ אותן לכל המשתמשים, לקבוצות קטנות יותר או אפילו למשתמש או מכשיר בודד.
  2. ה-status channel עוקב אחר שינויי מצב המכשיר. המכשירים שולחים דיווחי עדכון לשרת, אשר מסנן שינויים אלה רק לעדכונים הנוגעים לו ביותר. משמעות הדבר היא שמידע רלוונטי יותר מגיע הרבה יותר מהר.
  3. ה-extensibility הטבועה ב-DDM משמעותה ששמירה על תאימות בין גרסאות שונות של תוכנה ויכולות חומרה שונות לא רק קלה יותר, אלא גם מקיפה יותר. סנכרון אוטומטי של יכולות מעודכנות מאפשר למכשיר להשתמש מיד בכל תכונה חדשה שימושית.

התכוננות לעתיד העבודה

מסגרת זריזה כזו מספקת מהירות מיידית ואבטחה מוגברת. היא גם מאפשרת לארגונים לקבל את העתיד מבלי לחכות שהתשתית שלהם תתפוס.

אופי העבודה כבר חווה שינוי עמוק, כמו באפשרויות remote והיברידיות החוסכות לארגונים ולעובדים זמן, כסף ומאמץ; מודלים של BYOD המאפשרים פרטיות וניהול; וציפיות מוגברות שלעובדים תהיה בחירה באיזה מכשיר הם ישתמשו לעבודה. Jamf, בין היתר בזכות יכולות ה-DDM החדשות, ניווטה בשינויים עמוקים אלה בקלות.

ויש עוד הרבה יותר לבוא.

מה יבוא בהמשך?

למרות שלאף אחד אין ראיית הנולד לגבי המהלכים העתידיים של Apple, מנהלי Jamf מצפים להתפתחויות בתחומים הבאים די בקרוב:

  • אבטחה משופרת: צפו שפעולות ניהוליות ידרשו יותר ויותר כלים ניהוליים הולמים. זה מפחית את הסיכון ממבצעים זדוניים וטעויות אנוש פשוטות.
  • גישה מעודנת יותר: אנו מאמינים שלארגונים תהיה אפילו יותר יכולת לשלוט בצורה מדורגת ב-access לשירותים (ולמתקנים).
  • חווית משתמש טובה ובטוחה יותר: ככל שיכולות הזהות המותאמות אישית ממשיכות לכלול ספקים רבים יותר, כל אחד יכול להתחבר וליצור בקלות זהויות מנוהלות. משתמשים שיכולים להשתמש במפתח אחד לגישה לכל מה שהם צריכים לעבודה הם מאושרים ובטוחים יותר.

גלו עוד על DDM

האפשרויות של DDM לפעמים יכולות להיראות מבלבלות בדיוק כמו שהן חדשניות, וקשה להבין זאת. לכן Jamf יצרה מדריך מדיניות פשוט אך מפורט המפרט את הפרטים והיתרונות של DDM. בו תלמדו דרכים לנצל את ה-DDM בתהליכי העבודה שלכם וכיצד Jamf יכולים לעזור.

אבולוציה של ניהול מכשירי Apple: מאיפה התחלנו

 

בהתחלה, היה ה-Binary.

ב-2003, לפני ש-Apple שחררה את ה-MDM framework, רוב מנהלי Apple ניהלו מכשירי macOS עם Casper Suite – שלימים נודע כ-Jamf Pro.

מנהלי Mac היו:

  1. רושמים את המכשירים הארגוניים בשירותי Apple
  2. מקבלים binaries מקומיים עם הרשאות root
  3. שולחים נתונים על ה-Mac לשרת ניהול במועדים מוגדרים

מנהלי Mac יכלו גם לגרום ללקוח המקומי לבצע פעולות תכנותיות על ידי הורדת חבילות והרצת סקריפטים מקומיים.

זה היה ניהול מכשירים בשיטת "forced pull".

תרשים של זרימת מידע עם binary

איור 1: ניהול מכשירים ב-"forced pull" עם binary

iPhone שינה הכל.

עם הצגת iOS ב-2007, החיים נהיו מעניינים יותר.

הדבר שהפך את ה-iPhones למושכים למשתמשים גם הפך אותם ליותר מאתגרים לניהול. מכשיר שתוחם בצורה כבדה ולא מתחבר פיזית לרשת לעתים קרובות פירושו יותר חופש ובטיחות למשתמשים, אך יותר כאבי ראש עבור IT.

בהתחלה, IT ניהל מכשירי iOS ארגוניים באופן ידני דרך iTunes. Apple הציגה פרופילים – קבצי XML שמחילים הגדרות תצורה על מכשיר iOS – עם iPhone Configuration Utility ב-2008.

זה עזר, אבל מנהלי Apple עדיין היו צריכים דרך לנהל macOS ו-iOS בצורה יותר מתוחכמת.

כש-Apple שחררה את iPhone 4 הם גם הציגו יכולות MDM עם פרוטוקול ה-MDM שלהם. זה פתח את הדלת להמון אפשרויות חדשות עבור macOS ו-iOS.

תוך כדי תנועה במהירות של Apple, Jamf פיתחה יכולות MDM עבור לקוחות במקביל אליהם.

נעלם סוכן עם גישת root שיוצר קשר עם שרת ניהול באופן תקופתי.

חיבור מתמשך

MDM דרש התראות push. כך שבמקום שסוכן מקומי יצור קשר תקופתי עם השרת ניהול ושואל "האם אני צריך לעשות משהו? ועכשיו?" השרתים שמרו על חיבור מתמשך מול Apple.

כאשר שרת הניהול רצה שמשהו יקרה, הוא שלח ping לשירותי הליבה של Apple וביקש מ-Apple שהמכשיר ייצור איתו קשר כדי לקבל הגדרה או פקודה.

פרוטוקול ה-MDM גדל מאוד מאז ש-Apple הציגה אותו, עם הרבה יותר פקודות והגדרות מפורטות יותר הזמינות. זו הטכנולוגיה ש-Jamf משתמשת בה לצד ה-Jamf Management Framework כבר כמעט 13 שנים. למעשה, Jamf Pro עדיין משתמש בפעולות משיכה הקשורות ל-binary וגם בפקודות דחיפה של MDM.

תרשים של זרימת המידע עם פרוטוקול ה-MDM

איור 2: MDM עם התראות push

זרימות עבודה מסורתיות של MDM

מבנה ה-MDM היה שיפור לעומת הסתמכות בלעדית על ה-binary, וגם Apple וגם Jamf עשו הרבה עם מבנה זה כדי להפוך את העבודה לפשוטה יותר עבור כולם.

אבל זה לא היה ללא בעיות.

זכור ש-MDM מסורתי תלוי במכשיר שיש לו חיבור קבוע ל-Apple, ובשרת ניהול שמבקש מ-Apple שהמכשיר המנוהל ייצור איתו קשר כדי לקבל פקודה או שאילתה.

הפקודה יכולה להיות:

  • עדכן את מערכת ההפעלה שלך.
  • החל הגדרה זו כדי להתחבר ל-Wi-Fi של החברה.
  • התקן את האפליקציות המנוהלות האלה.

ואז השאילתה העוקבת כדי לוודא שהמכשיר ביצע את השינוי כראוי יכולה להיות:

  • מהי מערכת ההפעלה שלך כרגע?
  • האם החלת את הגדרת ה-Wi-Fi?
  • ספר לי אילו אפליקציות מותקנות אצלך.

אז ב-MDM מסורתי, IT מקבלים אישורים כשפקודות התקבלו או הושלמו, והם יכולים לקבל הרבה מידע בחזרה מהמכשיר כשהם שואלים – אבל הם צריכים לשאול. שוב ושוב.

IT גם יכולים לקבל הרבה מידע כפול חזרה. שוב ושוב. ואם מנהל Apple מתזמן זרימות עבודה מורכבות או מותנות, הם מבקשים די הרבה מידע, די הרבה פעמים. לאחר שהם מקבלים את המידע הזה, IT מבקשים משרת הניהול:

  • לקלוט ולנתח את המידע
  • אולי לבצע חישובים עליו
  • להפעיל פקודות וסקירות עוקבות
  • להפעיל סקרים נוספים

וכך הלאה והלאה והלאה.

זה מסתכם בזה: MDM מסורתי הוא מאוד פטפטן ויכול להשתמש בהרבה משאבי רשת.

תיאור של ניהול מכשירים דקלרטיבי

איור 3: ניהול מכשירים דקלרטיבי

מה כל כך נהדר ב-DDM?

בפשטות, ניהול מכשירים דקלרטיבי (DDM) מצמצם את כל הפטפוט הזה, ומאפשר ביצועים וסקלביליות טובים יותר.

זה מאפשר למכשיר להחיל באופן עצמאי הגדרות ולדווח לשרת ה-MDM מבלי שיבקשו ממנו.

זה אומר שמכשירים יכולים להישאר תואמים ומאובטחים, גם ללא קלט מה-MDM. מכיוון שזה מהיר ועצמאי יותר מ-MDM ללא ניהול מכשירים דקלרטיבי, זה מספק חוויית משתמש טובה יותר ומגיבה יותר.

מכשיר macOS או iOS משתף באופן פרואקטיבי מידע על מצבו הנוכחי (וכל שינוי) עם שרת ה-MDM, מה שאומר שמכשירים יכולים להגיב מיד כדי למנוע התקפות תוכנות זדוניות, לשמור על תאימות ולוודא שכל המשתמשים הם משתמשים מהימנים.

למד עוד מידע על DDM מ-Apple.

זרימות עבודה של DDM חלקות יותר.

עם הצהרות, IT יכולים לנצל הוראות מקדימות מפורטות הרבה יותר שאומרות למכשיר כיצד להתנהג תחת קבוצה של תנאים. סט ההוראות הזה משולב עם דיווחי סטטוס כדי להתריע לשרת הניהול כאשר ערכים מסוימים משתנים במכשיר.

אז, במקום הלוך ושוב ממושך וחוזר, שרת הניהול יכול להרכיב סט של הוראות ולשלוח אותן ישירות למכשיר. לאחר קבלת ההוראות, המכשיר יכול להתנהג באופן אוטונומי ללא כמעט כל תעבורה בחזרה ל-MDM, וללא כמעט כל התנהגות עתירת חישובים על שרת הניהול עצמו כדי להגיד למכשיר מה לעשות הלאה.

השרת לא צריך לחכות לעדכון מלאי מלא או לנתח את ההפרש של ערכים מסוימים מקובץ XML גדול. IT פשוט מגדיר את מצב המכשיר האידיאלי ומבקש מהמכשיר לבצע פעולה מתקנת ולדווח כאשר ערכים אלה השתנו.

DDM: העתיד של MDM הוא עכשיו.

עברנו דרך ארוכה מאז ש-Apple הציגה את ה-binaries המקומיים ב-2003. כל צעד פתח את הדלת ליכולות טובות יותר, מהירות יותר ומפורטות יותר.

ניהול מכשירים דקלרטיבי הוא קפיצה ענקית קדימה בהיסטוריה הזו. אנחנו לא יכולים לחכות לגלות מה יהיה הלאה.

נכתב במקור ב – 22 במרץ 2024 על ידי האדייר קופלי-וודס, קייטי אינגליש באתר Jamf