Como era de esperar, Apple en la WWDC anunció una serie de cambios significativos en la forma en que se manejan las Mac, iPad, iPhone y Apple TV en entornos empresariales y educativos. Estos cambios se dividen en gran medida en dos grupos: los que afectan la gestión general de dispositivos y los que se aplican a la gestión declarativa (un nuevo tipo de gestión de dispositivos que Apple introdujo el año pasado en iOS 15).

Es importante observar cada grupo por separado para comprender mejor los cambios.

¿Cómo cambió Apple la gestión global de dispositivos?

Configurador de Apple

Apple Configurator para iPhone ha visto una expansión significativa. Durante mucho tiempo ha sido un método manual para inscribir iPhones y iPads en la gestión en lugar de utilizar herramientas automatizadas o de autoinscripción. La herramienta se envió originalmente como una aplicación de Mac capaz de configurar dispositivos, pero tenía un gran inconveniente: los dispositivos tenían que estar conectados a través de USB a la Mac que ejecutaba la aplicación. Esto tenía implicaciones obvias de tiempo y mano de obra en todo lo que no fuera un entorno pequeño.

El año pasado, Apple presentó una versión de Configurator para iPhone que invirtió el flujo de trabajo del original, lo que significa que una versión de iPhone de la aplicación podría usarse de forma inalámbrica para inscribir Mac en la administración. Se usó principalmente para inscribir Mac que se compraron fuera del canal Business/Education de Apple en Apple Business Manager (los productos de Apple comprados a través del canal se pueden inscribir automáticamente con una configuración sin intervención).

La encarnación del iPhone es increíblemente simple. Durante el proceso de configuración, apunta la cámara de un iPhone a una animación en la pantalla de Mac (muy parecido a emparejar un Apple Watch) y activa el proceso de inscripción.

El gran cambio de este año es que Apple ha ampliado el uso de Apple Configurator para iPhone para admitir la inscripción de iPad y iPhone mediante el mismo proceso, eliminando el requisito de que los dispositivos deben estar conectados a una Mac. Esto reduce en gran medida el tiempo y el esfuerzo necesarios para inscribir estos dispositivos. Hay una advertencia: los dispositivos que requieren activación celular o han sido bloqueados necesitarán que esta activación se realice manualmente antes de que se pueda usar el configurador.

Gestión de identidad

Apple ha realizado cambios útiles en la gestión de identidades en entornos empresariales. Lo que es más importante, ahora ofrece soporte para proveedores de identidad adicionales, incluidos Google Workspace y Oauth 2, lo que permite un conjunto ampliado de proveedores. (Azure AD ya era compatible). Estos proveedores de identidad se pueden usar junto con Apple Business Manager para generar ID de Apple administrados para los empleados.

La compañía también anunció que la compatibilidad con el registro de inicio de sesión único en todas sus plataformas se implementará después de que lleguen macOS Ventura e iOS/iPadOS16 este otoño. El objetivo aquí es hacer que el registro de usuarios sea más fácil y más ágil al requerir que los usuarios se autentiquen solo una vez. Apple también anunció Platform Single Sign-on, un esfuerzo por ampliar y optimizar el acceso a aplicaciones y sitios web empresariales cada vez que inician sesión en sus dispositivos.

Redes administradas por aplicaciones

Apple ha tenido durante mucho tiempo capacidades de VPN por aplicación, que solo permiten que aplicaciones empresariales o de trabajo específicas utilicen una conexión VPN activa. Esto refuerza la seguridad de VPN, pero limita la carga de VPN al enviar solo tráfico de aplicaciones específicas a través de una conexión VPN. Con macOS Ventura e iOS/iPadOS 16, Apple agrega proxy DNS por aplicación y filtrado de contenido web por aplicación. Esto asegura el tráfico para aplicaciones específicas y funciona de manera similar a la VPN por aplicación. Y no requiere ningún cambio en las propias aplicaciones. El proxy DNS admite opciones para todo el sistema o por aplicación, mientras que el filtrado de contenido admite todo el sistema o hasta siete instancias por aplicación.

Aprovisionamiento de E-SIM

Para los iPhone que admiten eSIM, Apple permite que el software de administración de dispositivos móviles (MDM) configure y aprovisione una eSIM. Esto puede incluir el aprovisionamiento de un nuevo dispositivo, la migración de operadores, el uso de múltiples operadores o la configuración para viajes y roaming.

Administrar la configuración de accesibilidad

Apple es bien conocido por su amplio conjunto de funciones de accesibilidad para personas con necesidades especiales. De hecho, muchas personas sin necesidades especiales también utilizan muchas de estas funciones. En iOS/iPadOS 16, Apple permite que MDM habilite y configure automáticamente algunas de las funciones más comunes, que incluyen: tamaño del texto, voz en off, zoom, diseños táctiles, texto en negrita, reducción del movimiento, aumento del contraste y reducción de la transparencia. Será una herramienta bienvenida en áreas como la educación especial o las situaciones hospitalarias y de atención médica donde los dispositivos pueden compartirse entre usuarios con necesidades especiales.

¿Qué hay de nuevo en el proceso de gestión declarativa de Apple?

Apple presentó la gestión declarativa el año pasado como una mejora con respecto a su protocolo MDM original. Su gran ventaja es que traslada gran parte de la lógica de negocio, el cumplimiento y la gestión del servicio MDM a cada dispositivo. Como resultado, los dispositivos pueden monitorear proactivamente su estado. Esto elimina la necesidad de que el servicio MDM sondee constantemente el estado de su dispositivo y luego emita comandos en respuesta. En su lugar, los dispositivos realizan estos cambios en función de su estado actual y las declaraciones que se les envían y los informan al servicio.

La gestión declarativa se basa en declaraciones que contienen cosas como activaciones y configuraciones. Una ventaja es que una declaración puede incluir varias configuraciones, así como activaciones que indican cuándo o si se debe activar la configuración. Esto significa que una sola declaración puede incluir todas las configuraciones para todos los usuarios, junto con activaciones que indican a qué usuarios deben aplicar. Esto reduce la necesidad de grandes conjuntos de configuraciones diferentes porque el propio dispositivo puede determinar cuáles deben habilitarse para el dispositivo debido a su usuario.

Este año, Apple ha ampliado las áreas en las que se puede utilizar la gestión declarativa. Inicialmente, solo estaba disponible en dispositivos iOS/iPadOS 15 que aprovechaban el registro de usuarios. En el futuro, todos los dispositivos Apple que ejecuten macOS Ventura o iOS/iPadOS/tvOS 16 serán compatibles, independientemente del tipo de inscripción. Esto significa que la inscripción de dispositivos (incluidos los dispositivos supervisados) es compatible en todos los niveles, al igual que iPad compartido (un tipo de inscripción que permite que varios usuarios compartan el mismo iPad, cada uno con su propia configuración y sus propios archivos).

La compañía ha dejado en claro que la administración declarativa es el futuro de la administración de dispositivos Apple y que cualquier función de administración nueva solo se implementará en el modelo declarativo. Aunque el MDM tradicional está disponible por un período indefinido, está obsoleto y finalmente se retirará.

Esto tiene implicaciones importantes para los dispositivos que ya están en uso. Los dispositivos que no pueden ejecutar macOS Ventura o iOS/iPadOS 16 eventualmente serán descontinuados y aquellos que permanezcan en servicio deberán ser reemplazados. Dada la cantidad de dispositivos que ya no son compatibles, esto podría significar una transición costosa para algunas organizaciones. Aunque no será inmediato, debe comenzar a determinar qué tan grande y costosa será la transición y cómo la administrará (especialmente porque es probable que requiera una transición a Apple Silicon, que no es compatible con el capacidad de ejecutar Windows o aplicaciones de Windows, en proceso).

Más allá de expandir los productos que pueden usar la gestión declarativa, Apple también ha ampliado su funcionalidad, incluida la compatibilidad con la configuración de códigos de acceso, cuentas empresariales y la instalación de aplicaciones gobernadas por MMD.

La opción de contraseña es más compleja que simplemente requerir una contraseña de cierto tipo. El cumplimiento de la contraseña se requiere tradicionalmente para ciertas configuraciones relacionadas con la seguridad, como enviar la configuración Wi-Fi corporativa a un dispositivo. En el modelo declarativo, estas configuraciones se pueden enviar al dispositivo antes de establecer una contraseña. Se envían con el requisito de contraseña e incluyen una activación que solo la activará una vez que el usuario haya creado una contraseña que cumpla con esta política. Una vez que el usuario ha establecido una contraseña, el dispositivo detecta el cambio y activa la configuración de Wi-Fi con múltiples conexiones al servicio MDM, activando inmediatamente el Wi-Fi y notificando al servicio que ha sido activado.

Las cuentas, que pueden incluir cosas como correo, notas, calendario y calendarios suscritos, funcionan de la misma manera. Una declaración puede especificar todos los tipos de cuentas admitidas dentro de la organización, así como todos los calendarios suscritos. Luego, el dispositivo determinará, en función de la cuenta del usuario y la(s) función(es) dentro de la organización, para activar y activar.

La instalación de aplicaciones de MDM es la adición más importante a la administración declarativa, porque la instalación de aplicaciones es una de las tareas más onerosas para un MDM y el mayor cuello de botella durante las activaciones masivas de dispositivos (como la incorporación masiva de nuevos empleados, el lanzamiento de nuevos dispositivos o el primer día de escuela). Una declaración puede especificar todas las aplicaciones potenciales que se instalarán y enviarán a un dispositivo tras la activación, incluso antes de que se haya entregado a su usuario. Una vez más, el dispositivo determinará qué configuraciones de instalación de aplicaciones activar y hacer disponibles, según el usuario. Esto evita que cada dispositivo consulte repetidamente el servicio y descargue aplicaciones y sus configuraciones. También simplifica y acelera el proceso de habilitar (o deshabilitar) aplicaciones si cambia el rol de un usuario.

Estas son mejoras significativas y es fácil ver por qué estas son las primeras adiciones a la administración declarativa después de su implementación inicial. Todavía hay capacidades de MDM que no han dado el salto al uso declarativo, pero es obvio que eventualmente lo harán, tal vez tan pronto como el próximo año.

Este es uno de los anuncios más importantes de la WWDC para empresas y es bueno ver que Apple lo pensó un poco al decidir qué funciones agregar o actualizar, ya que la mayoría de ellas se refieren a dominios difíciles, lentos, intensivos en recursos o tediosos. Apple no solo satisface las necesidades de los clientes empresariales, sino que demuestra que las comprende.

Derechos de autor © 2022 IDG Communications, Inc.

Share This