Na WWDC da semana passada, a Apple lançou uma série de alterações que afetam a gestão global de dispositivos ou que se aplicam à gestão declarativa utilizada em dispositivos individuais. Aqui está um resumo das alterações e porque são importantes.
Por Ryan Faas
Como esperado, na WWDC, a Apple anunciou uma série de mudanças significativas na forma como os Macs, iPads, iPhones, e Apple TV são geridos em ambientes empresariais e educativos. Estas mudanças dividem-se em dois grupos: as que afetam a gestão global de dispositivos e as que se aplicam à gestão declarativa (um novo tipo de gestão de dispositivos introduzido pela Apple no ano passado no iOS 15).
É importante olhar para cada grupo separadamente para melhor compreender as mudanças.
Como é que a Apple alterou a gestão global de dispositivos?
Configurador Apple
O Apple Configurator para iPhone teve uma expansão significativa. Há muito que tem sido um método manual de inscrição de iPhones e iPads na gestão, em vez de utilizar ferramentas automatizadas ou de auto-inscrição. A ferramenta originalmente enviada como uma aplicação Mac podia configurar dispositivos, mas tinha uma grande desvantagem: os dispositivos tinham de ser ligados via USB ao Mac que executava a aplicação. Isto tinha implicações óbvias em termos de tempo e mão-de-obra em qualquer coisa que não fosse um ambiente pequeno.
No ano passado, a Apple introduziu uma versão do Configurador para iPhone que inverteu o fluxo de trabalho do original, o que significa que uma versão da aplicação para iPhone poderia ser utilizada sem fios para inscrever Macs na gestão. Foi utilizada principalmente para inscrever Macs que tinham sido comprados fora do canal empresarial/educativo da Apple no Apple Business Manager (os produtos Apple comprados através do canal podem ser auto-inscritos com configuração de toque zero).
A encarnação do iPhone é incrivelmente simples. Durante o processo de configuração, aponta-se uma câmara do iPhone para uma animação no ecrã do Mac (tal como emparelhar um Apple Watch) e isso desencadeia o processo de inscrição.
A grande mudança este ano é que a Apple expandiu o uso do Apple Configurator para iPhone para suportar a inscrição no iPad e iPhone usando o mesmo processo – eliminando a exigência de que os dispositivos sejam ligados a um Mac. Isto reduz grandemente o tempo e o esforço necessários para a inscrição destes dispositivos. Há uma advertência: os dispositivos que requerem ativação celular ou que tenham sido bloqueados necessitarão que essa ativação seja completada manualmente antes de o Configurador poder ser utilizado.
Gestão da identidade
A Apple fez alterações úteis para a gestão da identidade em ambientes empresariais. As mais significativas: oferece agora apoio a fornecedores de identidade adicionais, incluindo Google Workspace e Oauth 2, o que permite um conjunto expansivo de fornecedores. (O Azure AD já era suportado.) Estes fornecedores de identidade podem ser utilizados em conjunto com o Apple Business Manager para gerar Managed Apple IDs para os funcionários.
A empresa anunciou também que o apoio à inscrição de single sign-on nas suas plataformas será implementado depois de o macOS Ventura e o iOS/iPadOS16 chegarem neste outono. O objetivo aqui é tornar a inscrição dos utilizadores mais fácil e mais racionalizada, exigindo que os utilizadores se autentiquem apenas uma vez. A Apple também anunciou a Plataforma Single Sign-on, um esforço para expandir e simplificar o acesso a aplicações e websites empresariais cada vez que se autenticam no(s) seu(s) dispositivo(s).
Rede gerida por utilizador
Há muito que a Apple tem capacidades de VPN per-app, que permite apenas a utilização de uma ligação VPN ativa por parte de empresas específicas ou aplicações relacionadas com o trabalho. Isto aplica-se à segurança VPN, mas limita a carga VPN apenas enviando tráfego específico de aplicações através de uma ligação VPN. Com o macOS Ventura e o iOS/iPadOS 16, a Apple está a adicionar proxy DNS per-app e filtragem de conteúdo web per-app. Isto ajuda a proteger o tráfego para aplicações e funções específicas da mesma forma que o por-app VPN. E isto não requer alterações às próprias aplicações. O DNS proxy suporta as opções de todo o sistema ou per-app enquanto a filtragem de conteúdos suporta todo o sistema ou até sete instâncias per-app.
Aprovisionamento E-SIM
Para iPhones que suportam eSIMs, a Apple está a tornar possível que o software de gestão de dispositivos móveis (MDM) configure e forneça um eSIM. Isto pode incluir o aprovisionamento de um novo dispositivo, a migração de portadores, a utilização de múltiplos portadores ou a configuração para viagens e roaming.
Gestão de configurações de Acessibilidade
A Apple é bem conhecida pelo seu vasto conjunto de características de Acessibilidade para pessoas com necessidades especiais. Na verdade, muitas pessoas sem necessidades especiais também utilizam várias destas características. No iOS/iPadOS 16, a Apple permite que o MDM active configure automaticamente um punhado das características mais comuns, incluindo: tamanho do texto, Voice Over, Zoom, Alojamentos Tácteis, Texto Negrito, Reduzir Movimento, Aumentar Contraste, e Reduzir Transparência. Esta será uma ferramenta bem-vinda em áreas tais como educação especial ou situações hospitalares e de cuidados de saúde onde os dispositivos podem ser partilhados entre utilizadores com necessidades especiais.
O que há de novo no processo de Gestão Declarativa da Apple?
A Apple revelou a Gestão Declarativa no ano passado como uma melhoria em relação ao seu protocolo MDM original. A sua grande vantagem é que move grande parte da lógica empresarial, conformidade e gestão do serviço MDM para cada dispositivo. Como resultado, os dispositivos podem monitorizar proactivamente o seu estado. Isto elimina a necessidade de o serviço MDM fazer uma pesquisa constante do estado do seu dispositivo e depois emitir comandos em resposta. Em vez disso, os dispositivos fazem essas alterações com base no seu estado atual e nas declarações que lhes são enviadas e reportam-nas ao serviço.
A gestão declarativa baseia-se em declarações que contêm coisas como ativações e configurações. Uma vantagem é que uma declaração pode incluir múltiplas configurações, bem como as ativações que indicam quando ou se a configuração deve ser ativada. Isto significa que uma única declaração pode incluir todas as configurações para todos os utilizadores, juntamente com as ativações que indicam a que utilizadores se devem aplicar. Isto reduz a necessidade de grandes conjuntos de configurações diferentes, pois o próprio dispositivo pode determinar quais devem ser ativadas para o dispositivo devido ao seu utilizador.
Este ano, a Apple expandiu-se onde a Gestão Declarativa pode ser utilizada. Inicialmente, estava disponível apenas em dispositivos iOS/iPadOS 15 que alavancaram a inscrição do utilizador. Seguindo em frente, todos os dispositivos Apple que executam MacOS Ventura ou iOS/iPadOS/tvOS 16 serão suportados, independentemente do seu tipo de inscrição. Isto significa que o registo de dispositivos (incluindo dispositivos supervisionados) é suportado em toda a linha, tal como o iPad partilhado (um tipo de registo que permite a múltiplos utilizadores partilharem o mesmo iPad, cada um com a sua própria configuração e ficheiros).
A empresa deixou bem claro que a Gestão Declarativa é o futuro da gestão de dispositivos Apple e que quaisquer novas funcionalidades de gestão serão implementadas apenas no modelo declarativo. Embora o MDM tradicional esteja disponível por algum tempo não especificado, foi depreciado e acabará por ser reformado.
Isto tem grandes implicações para os dispositivos já em uso. Os dispositivos que não possam executar MacOS Ventura ou iOS/iPadOS 16 serão eventualmente abandonados e os que permanecerem em serviço terão de ser substituídos. Dada a faixa de dispositivos que estão a perder apoio, isto poderá fazer uma transição dispendiosa para algumas organizações. Embora não seja imediato, deverá começar a determinar a dimensão e o custo da transição e a forma como a irá gerir (particularmente porque provavelmente irá requerer uma transição para o Silício Apple, que não suporta a capacidade de executar aplicações Windows ou Windows, no processo).
Para além de expandir os produtos que podem utilizar a gestão declarativa, a Apple também alargou a sua funcionalidade, incluindo o suporte para configuração de código de acesso, contas empresariais, e instalação de aplicações geridas pelo MDM.
A opção de senha é mais complexa do que requerer simplesmente uma senha de um determinado tipo. A conformidade com a palavra-passe é tradicionalmente exigida para certas configurações relacionadas com a segurança, tais como o envio da configuração Wi-Fi corporativa para um dispositivo. No modelo declarativo, essas configurações podem ser enviadas para o dispositivo antes de ser definida uma palavra-passe. Elas são enviadas juntamente com o requisito da senha e incluem uma ativação que só a ativará quando o utilizador criar uma senha que cumpra essa política. Assim que o utilizador definir uma palavra-passe, o dispositivo detetará a alteração e ativará a configuração Wi-Fi com múltiplas ligações ao serviço MDM, ativando a Wi-Fi imediatamente e notificando o serviço que foi ativado.
As contas – que podem incluir coisas como correio, notas, calendário e calendários subscritos – funcionam de forma semelhante. Uma declaração pode especificar todos os tipos de contas suportadas dentro da organização, bem como todos os calendários subscritos. O dispositivo irá então determinar – com base na conta do utilizador e na(s) função(ões) dentro da organização – a ativação e ativação.
A instalação de app MDM é a adição mais significativa à gestão declarativa, uma vez que a instalação de app é uma das tarefas que coloca mais carga num MDM e o maior estrangulamento durante as ativações em massa de dispositivos. Uma declaração pode especificar todas as potenciais aplicações a serem instaladas e enviadas para um dispositivo aquando da ativação, mesmo antes de este ter sido entregue ao seu utilizador. Mais uma vez, o dispositivo determinará quais as configurações de instalação da aplicação a ativar e a disponibilizar, com base no utilizador. Isto evita que cada dispositivo tenha de consultar repetidamente o serviço e descarregar aplicações e as suas configurações. Também simplifica e acelera o processo de ativação (ou desativação) de aplicações se o papel de um utilizador mudar.
Estas são melhorias significativas e é fácil perceber porque são as primeiras adições à Gestão Declarativa após a sua implementação inicial. Ainda existem capacidades MDM que não deram o salto para a utilização declarativa, mas é óbvio que eventualmente – talvez logo no próximo ano – o farão.
Este é um dos anúncios mais significativos da WWDC para empresas e é bom ver que a Apple tem sido atenciosa ao decidir quais as características a acrescentar ou atualizar, uma vez que a maioria delas aborda áreas que eram difíceis, demoradas, consumidoras de recursos, ou enfadonhas. A Apple não está apenas a abordar as necessidades dos clientes empresariais, mas também a demonstrar que compreende essas necessidades.