Cómo Apple está actualizando la administración de dispositivos móviles

Como era de esperar, Apple en WWDC anunció una serie de cambios significativos en la forma en que se administran las Mac, iPad, iPhone y Apple TV en entornos empresariales y educativos. Estos cambios se dividen en gran medida en dos grupos: los que afectan la gestión general de dispositivos y los que se aplican a la gestión declarativa (un nuevo tipo de gestión de dispositivos que Apple introdujo el año pasado en iOS 15).

Es importante observar cada grupo por separado para comprender mejor los cambios.

¿Cómo cambió Apple la administración general de dispositivos?

Configurador de Apple

Apple Configurator para iPhone obtuvo una expansión significativa. Durante mucho tiempo ha sido un método manual para inscribir iPhones y iPads en la gestión en lugar de utilizar herramientas de autoinscripción o automatizadas. La herramienta se envió originalmente como una aplicación para Mac que podía configurar dispositivos, pero tenía una desventaja importante: los dispositivos tenían que conectarse a través de USB a la Mac que ejecutaba la aplicación. Esto tenía implicaciones obvias en términos de tiempo y mano de obra en todo lo que no fuera un entorno pequeño.

El año pasado, Apple presentó una versión de Configurator para iPhone que invirtió el flujo de trabajo del original, lo que significa que una versión de iPhone de la aplicación podría usarse de forma inalámbrica para inscribir Mac en la administración. Se usó principalmente para inscribir Mac que se compraron fuera del canal empresarial/educativo de Apple en Apple Business Manager (los productos de Apple comprados a través del canal se pueden inscribir automáticamente con una configuración sin intervención).

La encarnación del iPhone es increíblemente simple. Durante el proceso de configuración, apunta la cámara de un iPhone a una animación en la pantalla de la Mac (muy parecido a emparejar un Apple Watch) y eso activa el proceso de inscripción.

El gran cambio de este año es que Apple amplió el uso de Apple Configurator para iPhone para respaldar la inscripción de iPad y iPhone usando el mismo proceso, eliminando el requisito de que los dispositivos estén conectados a una Mac. Esto reduce en gran medida el tiempo y el esfuerzo necesarios para inscribir estos dispositivos. Hay una advertencia: los dispositivos que requieren activación celular o han sido bloqueados necesitarán que la activación se complete manualmente antes de que se pueda usar el Configurador.

Gestión de identidad

Apple ha realizado cambios útiles para la gestión de identidades en entornos empresariales. Lo más significativo: ahora ofrece soporte para proveedores de identidad adicionales, incluidos Google Workspace y Oauth 2, lo que permite un amplio conjunto de proveedores. (Azure AD ya era compatible). Estos proveedores de identidad se pueden usar junto con Apple Business Manager para generar ID de Apple administrados para los empleados.

La compañía también anunció que la compatibilidad con la inscripción de inicio de sesión único en todas sus plataformas se implementará después de que lleguen macOS Ventura e iOS/iPadOS16 este otoño. El objetivo aquí es hacer que la inscripción de usuarios sea más fácil y más eficiente al requerir que los usuarios se autentiquen solo una vez. Apple también anunció Platform Single Sign-on, un esfuerzo por expandir y simplificar el acceso a aplicaciones y sitios web empresariales cada vez que inician sesión en sus dispositivos.

Redes administradas por aplicación

Apple ha tenido durante mucho tiempo capacidades de VPN por aplicación, que permiten que solo aplicaciones empresariales específicas o relacionadas con el trabajo usen una conexión VPN activa. Esto aplica la seguridad de VPN, pero limita la carga de VPN al enviar solo tráfico de aplicaciones específicas a través de una conexión VPN. Con macOS Ventura e iOS/iPadOS 16, Apple está agregando proxy DNS por aplicación y filtrado de contenido web por aplicación. Esto ayuda a proteger el tráfico para aplicaciones y funciones específicas de la misma manera que la VPN por aplicación. Y esto no requiere cambios en las propias aplicaciones. El proxy DNS admite opciones para todo el sistema o por aplicación, mientras que el filtrado de contenido admite todo el sistema o hasta siete instancias por aplicación.

Aprovisionamiento de E-SIM

Para los iPhone que admiten eSIM, Apple hace posible que el software de administración de dispositivos móviles (MDM) configure y aprovisione una eSIM. Esto puede incluir el aprovisionamiento de un nuevo dispositivo, la migración de operadores, el uso de múltiples operadores o la configuración para viajes y roaming.

Administrar la configuración de accesibilidad

Apple es bien conocido por su amplio conjunto de funciones de accesibilidad para personas con necesidades especiales. De hecho, muchas personas sin necesidades especiales también utilizan varias de estas funciones. En iOS/iPadOS 16, Apple permite que MDM habilite y configure automáticamente un puñado de las funciones más comunes, que incluyen: tamaño del texto, voz superpuesta, zoom, adaptaciones táctiles, texto en negrita, reducción de movimiento, aumento de contraste y reducción de transparencia. Esta será una herramienta bienvenida en áreas tales como educación especial u hospital y situaciones de atención médica donde los dispositivos pueden compartirse entre usuarios con necesidades especiales.

¿Qué hay de nuevo en el proceso de gestión declarativa de Apple?

Apple presentó la gestión declarativa el año pasado como una mejora con respecto a su protocolo MDM original. Su gran ventaja es que traslada gran parte de la lógica comercial, el cumplimiento y la administración del servicio MDM a cada dispositivo. Como resultado, los dispositivos pueden monitorear proactivamente su estado. Eso elimina la necesidad de que el servicio MDM sondee constantemente el estado de su dispositivo y luego emita comandos en respuesta. En cambio, los dispositivos realizan esos cambios en función de su estado actual y de las declaraciones que se les envían y los informan al servicio.

La gestión declarativa se basa en declaraciones que contienen cosas como activaciones y configuraciones. Una ventaja es que una declaración puede incluir varias configuraciones, así como las activaciones que indican cuándo o si se debe activar la configuración. Esto significa que una sola declaración puede incluir todas las configuraciones para todos los usuarios, junto con activaciones que indican a qué usuarios se deben aplicar. Esto reduce la necesidad de grandes conjuntos de configuraciones diferentes, ya que el propio dispositivo puede determinar cuáles deben habilitarse para el dispositivo debido a su usuario.

Este año, Apple se ha expandido donde se puede utilizar la gestión declarativa. Inicialmente, solo estaba disponible en dispositivos iOS/iPadOS 15 que aprovechaban la inscripción de usuarios. En el futuro, todos los dispositivos Apple que ejecuten macOS Ventura o iOS/iPadOS/tvOS 16 serán compatibles, independientemente de su tipo de inscripción. Eso significa que la inscripción de dispositivos (incluidos los dispositivos supervisados) es compatible en todos los ámbitos, al igual que el iPad compartido (un tipo de inscripción que permite que varios usuarios compartan el mismo iPad, cada uno con su propia configuración y archivos).

La compañía ha dejado muy claro que la gestión declarativa es el futuro de la gestión de dispositivos de Apple y que cualquier nueva función de gestión se implementará solo en el modelo declarativo. Aunque el MDM tradicional estará disponible durante un tiempo no especificado, ha quedado obsoleto y finalmente se retirará.

Esto tiene implicaciones importantes para los dispositivos que ya están en uso. Los dispositivos que no pueden ejecutar macOS Ventura o iOS/iPadOS 16 eventualmente se eliminarán y cualquiera que permanezca en servicio deberá reemplazarse. Dada la gran cantidad de dispositivos que pierden soporte, esto podría generar una transición costosa para algunas organizaciones. Aunque no es inmediato, debe comenzar a determinar el tamaño y el costo de la transición y cómo la administrará (especialmente porque probablemente requerirá una transición a Apple Silicon, que no admite la capacidad de ejecutar Windows o Windows aplicaciones, en el proceso).

Más allá de expandir qué productos pueden usar la administración declarativa, Apple también amplió su funcionalidad, incluida la compatibilidad con la configuración de códigos de acceso, las cuentas empresariales y la instalación de aplicaciones gobernadas por MDM.

La opción de código de acceso es más compleja que simplemente requerir un código de acceso de cierto tipo. El cumplimiento del código de acceso se requiere tradicionalmente para ciertas configuraciones relacionadas con la seguridad, como enviar la configuración Wi-Fi corporativa a un dispositivo. En el modelo declarativo, esas configuraciones se pueden enviar al dispositivo antes de que se establezca un código de acceso. Se envían junto con el requisito del código de acceso e incluyen una activación que solo lo habilitará una vez que el usuario cree un código de acceso que cumpla con esa política. Una vez que el usuario establece un código de acceso, el dispositivo detectará el cambio y habilitará la configuración Wi-Fi con múltiples conexiones al servicio MDM, habilitando Wi-Fi inmediatamente y notificando al servicio que ha sido activado.

Las cuentas, que pueden incluir cosas como correo, notas, calendario y calendarios suscritos, funcionan de manera similar. Una declaración puede especificar todos los tipos de cuentas admitidas dentro de la organización, así como todos los calendarios suscritos. Luego, el dispositivo determinará, en función de la cuenta del usuario y la(s) función(es) dentro de la organización, para activar y habilitar.

La instalación de la aplicación MDM es la adición más importante a la administración declarativa, ya que la instalación de la aplicación es una de las tareas que impone la mayor carga en un MDM y el mayor cuello de botella durante las activaciones masivas de dispositivos (como una gran incorporación de nuevos empleados, implementaciones de nuevos dispositivos, o el primer día de clases). Una declaración puede especificar todas las aplicaciones potenciales que se instalarán y enviarán a un dispositivo en el momento de la activación, incluso antes de que se haya entregado a su usuario. Nuevamente, el dispositivo determinará qué configuraciones de instalación de aplicaciones activar y hacer disponibles, según el usuario. Esto evita que cada dispositivo tenga que consultar repetidamente el servicio y descargar aplicaciones y sus configuraciones. También simplifica y acelera el proceso de habilitar (o deshabilitar) aplicaciones si cambia el rol de un usuario.

Estas son mejoras significativas y es fácil ver por qué son las primeras adiciones a la gestión declarativa después de su lanzamiento inicial. Todavía hay capacidades de MDM que no han dado el salto al uso declarativo, pero es obvio que eventualmente, tal vez tan pronto como el próximo año, lo harán.

Este es uno de los anuncios más significativos de la WWDC para empresas y es bueno ver que Apple ha sido cuidadoso al decidir qué funciones agregar o actualizar, ya que la mayoría de ellas abordan áreas que eran difíciles, consumían mucho tiempo, requerían muchos recursos o eran tediosas. Apple no solo está abordando las necesidades de los clientes empresariales, sino que también está demostrando que las comprende.

Derechos de autor © 2022 IDG Communications, Inc.