В преддверии продаж новых iPhone 13 и iPad с iOS 15 хотим поделиться своими впечатлениями о новшествах в управлении яблочными девайсами.
На прошедшей WWDC-2021 Apple сделали несколько докладов об использовании iOS и macOS для работы. Обзорный доклад доступен по ссылке. Далее под катом расскажем о нём и остальных докладах подробнее.
Вместо предисловия
Два года назад, на WWDC 2019, Apple объявила, что iOS для iPad – больше не iOS, а iPadOS. Но это не мешает обеим операционкам гордо отвечать на запрос версии ОС, что они iPhoneOS. iPadOS тоже так отвечает.
С точки зрения управления iOS и iPadOS – это одно и то же, поэтому далее по тексту для простоты будем называть обе мобильные операционки iOS.
Обзор новинок
iOS – управляемый буфер обмена и инклюзивность
Наконец-то на устройствах с iOS стало возможным запретить пользователю вставлять данные из корпоративных приложений и аккаунтов (например, Exchange) в личные с помощью буфера обмена. В предыдущих версиях iOS можно было запретить только возможность передачи файлов с помощью функции «Open-In», но пользователи могли копипастить данные через буфер обмена куда угодно.
Копировать корпоративные данные в iOS 15 в буфер обмена всё ещё можно, а вот вставлять их куда ни попадя нельзя. При попытке вставить корпоративные данные «не туда», пользователь увидит такое уведомление.
Следующее большое изменение сделано, чтобы никого не обидеть. В современном мире «чёрные» и «белые» списки – это недостаточно инклюзивно. Поэтому Apple переименовал соответствующие политики ограничений. Теперь «чёрные» списки – это список запретов, а «белый» список – это список разрешений. В нашем таск-трекере эта задача висит с хэштегом #blaklistmatters :-)
Ещё несколько менее крупных изменений.
1. В iOS можно брать под управление приложения пользователя. Например, чтобы их удалённо настраивать или чтобы запрещать им резервное копирование в iCloud. Если iOS устройство не находится в режиме supervised, пользователь должен подтвердить взятие приложения под управление.
Начиная с iOS 15, поведение устройства при взятии приложения под управление будет таким: если пользователь трижды отказался, следующий запрос появится только через сутки. Подробнее о режиме supervised читайте в нашей прошлой статье.
2. Если устройство iOS не находится в режиме supervised, пользователь должен подтверждать установку приложений с сервера управления. Начиная с iOS 15, можно сделать одно обязательное приложение, которое можно установить без подтверждения пользователя. Например, мобильный клиент системы управления.
Фича может и прикольная, но несвоевременная. Большинство производителей систем управления переустанавливают обязательный софт, если пользователь его удалил, и продолжают попытки доставки до того, как пользователь согласится с предложенным. На то он и обязательный софт. Мы в SafePhone сделали именно так.
macOS – пароль на вход в рекавери, удалённый сброс к заводским настройкам
В части управляемости Маки который год находятся в догоняющих. Так, например, возможность централизованной установки приложений на macOS появилась только в прошлом году. В этом году эту возможность дополнили функцией установки на Маки приложений для iOS. Зачем это нужно, откровенно говоря, непонятно. Но если Apple зажигает, значит это кому-нибудь нужно…
То, что, на наш взгляд, может пригодится больше, чем iOS приложения на macOS:
1. Системы управления могут дистанционно установить пароль на вход в режим восстановления (recovery) macOS. Настроить этот пароль иначе нельзя.
2. Устройства с процессорами Apple Silicon теперь можно удалённо сбрасывать к заводским настройкам. А ещё можно запрещать пользователям этих устройств сброс к заводским настройкам.
Управление обновлениями ОС
Теме обновлений ОС был посвящен отдельный доклад. В основном, обзорный. Прямая ссылка на запись тут, далее – конспект доклада.
Для начала интересная статистика. По данным Apple, 86% iPhone, выпущенных за последние четыре года, используют актуальную iOS 14. Можно задаться вопросом статистики для iPad, но в любом случае это очень крутой показатель, до которому Android ещё далеко. Просто пусть побудет здесь.
Далее собственно к управлению обновлениями.
Как мы уже писали в одной из своих прошлогодних статей, администратор системы управления может отложить обновление ОС на устройствах Apple в режиме supervised на срок до 90 дней. За этот срок корпоративный софт должен быть адаптирован под новые реалии. После этого можно с помощью системы управления ускорить процесс обновления ОС на клиентских устройствах.
Система управления может отправить на клиентское устройство запросы скачивания и обновления ОС. Если обновление уже скачано, устройство можно попросить установить его как можно скорее. При этом устройства будут обрабатывать этот запрос так:
Если на устройстве нет пароля, обновление будет установлено немедленно.
Если на устройстве есть пароль, пользователь должен его ввести. После пользователю будет предложен выбор – установить обновление немедленно или отложить его на сутки. Максимум можно отложить обновление трижды. Иными словами, обновление iOS «доедет» до устройства максимум за трое суток. Почти как из Москвы до Иркутска.
Что нового появилось за прошедший год в управлении обновлениями ОС:
В macOS появилась возможность устанавливать разные периоды задержки обновления ОС для мажорных и минорных релизов.
В приложении «Настройки» на iOS теперь пользователям будет предлагаться выбор стратегии обновления ОС – перейти на следующий мажорный релиз (iOS 15) или остаться на текущем (iOS 14) и получать все обновления безопасности.
С помощью системы управления можно сделать так, что пользователь увидит только одну стратегию. Тем самым теоретически можно скрыть мажорное обновление от пользователя. Но есть нюанс. Сказано, что политика управления действует, если для устройства одновременно доступно два обновления. Если мажорное обновление единственное, трюк может не сработать.
Изменений немного, но чем богаты…
Новые возможности Apple Configurator
Apple Configurator – это must have утилита для любого сисадмина, которому нужно обслуживать устройства Apple. Только конфигуратор переводит iOS устройства в supervised режим. Конфигуратор также можно использовать для установки на устройства профилей и приложений. Повторяющиеся действия в конфигураторе можно объединять в скрипты, чтобы подготавливать устройства быстрее. В общем, вещь стОящая.
Видеозапись тематического доклада можно посмотреть по ссылке. Дальше наш конспект.
За прошедший год в конфигуратор добавили следующие возможности:
1. Теперь с помощью конфигуратора можно восстанавливать Маки с процессорами Apple Silicon или T2. Есть два режима восстановления – собственно восстановление (restore) и оживление (revive). При оживлении Маков на них сохраняются пользовательские данные. Оживление требуется, например, если ноутбук разрядился в процессе установки обновления.
2. Начиная с macOS Monterey, с помощью конфигуратора можно подключать любые Маки к Apple Business Manager. Раньше такая опция была доступна только для устройств iOS. Включение Мака или iOS устройства в Apple Business Manager позволяет запретить пользователю отключаться от управления.
Обычно устройства добавляются в Business Manager автоматически при покупке у авторизованного ресселера. Но не все поставщики и страны имеют доступ к Business Manager. Например, в России к нему доступа нет.
Если у компании есть «родственники» за рубежом (дочка, внучка, племянница, падчерица, …), то с помощью конфигуратора можно подключить российские устройства к Business Manager. Начиная с этой осени, можно подключать не только айфоны и айпады, но и Маки.
Если устройства Apple подключаются к Business Manager не автоматически, а через конфигуратор, то первые 30 дней пользователь устройства сможет отключиться от управления. Это сделано, чтобы исключить случайные попадания в корпоративные аккаунты личных устройств. Как вариант, можно после включения устройств в Business Manager отправлять их на 30-дневный карантин…
Чтобы проще подключать Маки к Business Manager, Apple готовит к выпуску ограниченную версию Apple Configurator для iPhone. Сообщается, что работать она будет так:
Пользователь устанавливает Apple Configurator на свой iPhone и заходит в свой аккаунт Business Manager.
Если поднести iPhone с открытым Apple Configurator к Маку в процессе инициализации, когда Мак просит пользователя выбрать язык, на экране Мака появится динамическое изображение.
Чтобы подключить Мак в Business Manager, достаточно навести камеру iPhone на это изображение.
Не про нашу необъятную…
На WWDC 2021 было ещё три доклада, которые относятся к управлению устройствами Apple. Они касаются технологий, которые требуют Apple Business Manager или Managed Apple ID, которые в России недоступны уже не первый год.
Контейнеры на личных устройствах
Когда пользователь добавляет на личное iOS устройство Managed Apple ID, на устройстве создаётся шифрованный раздел для корпоративных данных и устройство подключается к системе управления.
Система управления может управлять только корпоративным разделом и не может получить доступа к данным пользователя. В чистом виде контейнер. В терминах Apple этот способ управления называется User Enrollment.
User Enrollment появился только год назад. За прошедший год в него добавили возможность использовать стороннюю token-based аутентификацию перед тем, как настраивать на устройстве Managed Apple ID. Это можно использовать, например, для реализации Single-Sing-On (SSO) при доступе к корпоративным сервисам. Новая технология подключения устройств называется account-driven User Enrollment.
Ещё у корпоративных Managed Apple ID появился свой собственный доступ к iCloud Drive. Вряд ли кому-то в России захочется хранить корпоративные документы в iCloud, но запретить это похоже нельзя.
Более подробно с изменениями в iOS контейнерах можно ознакомиться на записи тематического доклада. А мы в заключение раздела поделимся обзорным слайдом о том, какими функциями управления можно и нельзя пользоваться на личных iOS устройствах.
Декларативное управление личными iOS
Apple предложил новую «парадигму» декларативного управления устройствами iOS. Суть сводится к тому, что серверу управления больше не нужно постоянно опрашивать устройство, чтобы узнать, что на нём произошло.
В текущей парадигме, которую можно назвать оперативной, сервер управления может отправить на устройство команду и получить её результат. При этом никакой возможности узнать о событиях, происходящих на устройстве нет.
Например, если нужно узнать, какие приложения устанавливает на устройство пользователь, нужно периодически запрашивать с устройства список установленных приложений. Если делать это часто, устройство будет быстрее разряжаться. Если делать это редко, можно не узнать о тех приложениях, которые пользователь установил, затем немного попользовался и удалил.
В рамках декларативного управления устройства сами будут отчитываться о событиях и результате применения настроек и политик, которые Apple назвал декларациями.
Технологически это большой шаг вперёд, но есть ряд существенных ограничений:
Декларативное управление доступно только для личных устройств, подключенных с помощью account-driven User Enrollment (подробности см. в прошлом разделе).
Событий, о которых устройство само докладывает на сервер, пока немного. Кроме результата применения деклараций, это только обновление iOS. Об установке приложений пользователем или смене SIM-карты устройство не докладывает и нужно по старинке периодически слать устройству запросы.
Возможно, это ограничение связано с тем, что декларативное управление пока доступно только для личных устройств, где серверу управления по идее не положено знать о том, что происходит с устройством вне корпоративного контейнера.
В текущем виде декларативное управление напоминает скорее задел на будущее, чем то, на чём стоит сосредоточится в данный момент. Подождём WWDC 2022 и посмотрим, что будет через год.
С докладом Apple по теме декларативного управления в этом году можно ознакомиться по ссылке.
Асинхронное управление купленными приложениями
В Apple Business Manager компании могут централизованно покупать приложения для своих сотрудников. Чтобы установить купленные приложения на устройства, нужна система управления. Для доставки приложений на устройства система управления должна использовать Apps and Books Management API. В этом году Apple представили вторую версию этого API. Видеозапись здесь, далее суть.
Ключевые отличия второй версии Apps and Books Management API:
Серверу управления не нужно постоянно опрашивать устройства, чтобы узнать установилось приложение или нет. Теперь для этого есть уведомления.
Вызовы API стали асинхронными. За счёт этого Apple увеличил число устройств, которым можно одновременно назначать приложения за один раз.
В качестве примера для иллюстрации Apple привели сценарий доставки 25 приложений на 10 000 устройств. В первой версии API нужно было 25 000 запросов, во второй достаточно 10.
Call to action
Если статья наберёт 3К просмотров и положительный рейтинг, мы сделаем такой же обзор WWDC 2022. Всё зависит от вас!
Если хотите обсудить или попробовать управление устройствами Apple на практике, оставляйте заявку на демонстрацию на нашем сайте. Встретимся в зуме, расскажем о продукте и дадим доступ к SafePhone на две недели бесплатно.
Комментарии (9)
v1000
19.09.2021 23:44+1В приложении «Настройки» на iOS теперь пользователям будет предлагаться выбор стратегии обновления ОС – перейти на следующий мажорный релиз (iOS 15) или остаться на текущем (iOS 14) и получать все обновления безопасности.
я правильно понимаю, что теперь не надо будет извращяться с подсовыванием телефону профиля от Эппл ТВ?
oassur
20.09.2021 08:13Хотелось бы верить, но есть сомнения. В докладе WWDC сказано, что команда MDM работает, если для устройства доступно И мажорное, И минорное обновление. Нужно проверять, что будет, если доступно только мажорное обновление. Условно для iPhone доступен iOS 15, но iOS 14.что-то-там для него нет. Может оказаться так, что в этом случае нужно по-старинке подсовывать профиль для Apple TV.
Документация Apple в этой части удивительно лаконична. Нужна политика принимает три возможных значения - 0, 1 и 2. Чтобы узнать, что такое 0, 1 и 2, видимо, нужно смотреть доклад на WWDC...
Dee3
19.09.2021 23:45+1Насколько все это дорого и каким образом внедряется (централизованное управление корпоративными Apple девайсами)? Есть статьи на эту тему?
oassur
20.09.2021 08:47Если устройства только Apple и их несколько десятков, можно поставить на один из Маков macOS Server и управлять устройствами с его помощью. На сегодняшний день этот софт в Mac App Store стоит 1790 руб. Нужна 1 шт.
Если кроме техники Apple есть Андроиды или устройств Apple от сотни, нужна система управления мобильностью. Одну из таких систем производим мы. У SafePhone есть разные виды лицензий. Для простоты можно ориентироваться на 2000 руб. на 1 устройство в год.
Про нюансы, с которыми сталкиваются компании при внедрении управления устройствами Apple, можно почитать в одной из наших прошлых статей.
Относительно порядка внедрения он скорее всего будет выглядеть так:
Отсупервайзить корпоративные устройства. Отсупервайзить = перепрошить для корпоративного использования. Можно обойтись без этого, но тогда будет доступно меньше политик и установка приложений будет требовать подтверждения пользователя. Руководители этого не любят. Для супервайза нужен Мак. По времени можно ориентироваться на 0,5-1 час для каждого устройства. Устройства можно супервайзить параллельно.
Развернуть сервер управления. Нужна одна или несколько VM в зависимости от числа клиентских устройств. Плюс "белые" порты. Технически решается за несколько дней. Может затянуться, если согласование VM или портов требует кучи подписей и бумаг.
Подключить устройства к серверу. Могут делать пользователи. Если пользователи подключаются по доменным учёткам, им достаточно сообщить адрес сервера. Обычно хватает почтовой рассылки.
Dee3
20.09.2021 19:05Macos Server стоит всего 1790 и позволяет прям централизованно рулить всеми девайсами Apple внутри компании? Как-то фантастически дешево, по сравнению с организацией AD на Windows Server
oassur
20.09.2021 22:56Согласен, подозрительно дёшево.
Ключевое - macOS Server подходит, если устройств несколько десятков. Если устройств больше 50, нужно другое решение. Плюс мало компаний ограничиваются только техникой Apple. В этом случае macOS Server тоже не подойдёт.
С точки зрения числа устройств ситуация в чём-то похожа на AD. Если в компании всего 10-20 персоналок на Windows, она не всегда будет использовать AD. Чем больше устройств, тем нужнее AD.
rezdm
Открываю BlackBerry почту, не получиается копи-пейст в оба направления. Select/copy появляются, но вставить в другом приложении -- ни-ни.
oassur
Скорее всего речь про приложение BlackBerry Work для iOS, а не про BlackBerry OS :)
Разработчик iOS приложения может запретить передавать данные в другие приложения из буфера обмена. Если не ошибаюсь, это одна из базовых функций UIPasteboard. Если разработчик об этом подумал, то всё будет тип-топ.
Если же в приложении эта функция не реализована, могли быть нюансы. Например, на устройство добавили корпоративный Exchange аккаунт и пользователь юзает Apple Mail. Политики запрещают передавать файл из почтового вложения в воцап, но скопировать и вставить туда его текст можно было без проблем.
Теперь запрет несанкционированной копипасты управляется на уровне ОС и не зависит от того, какие приложения вы используете.
rezdm
Ессно. UEM Client -- это всё.
Спасибо за уточнение.