Článek přečtěte do 7 min.

Exploze zařízení – zejména zařízení Apple – nasazených v moderním podniku zvyšuje již tak náročnou zátěž správou zařízení pro týmy IT a kybernetickou bezpečnost.

Podle nedávného výzkumu 76 % velkých podniků používá více zařízení Apple a 57 % amerických firem tvrdí, že přijetí Applu předčí ostatní možnosti. Pro více podniků se tedy stalo zásadním využít Apple Declarative Device Management (DDM) k zefektivnění správy zařízení, automatizaci souladu a zlepšení škálovatelnosti.

Přístup společnosti Apple k DDM byl představen v roce 2021 a rozšiřován s každým vydáním OS. Je to zásadní posun ve správě zařízení, zefektivnění aktualizací softwaru a oprav. Nyní mohou IT týmy definovat požadované stavy, takže zařízení Apple mohou lokálně vynucovat konfigurace a aktualizace , což snižuje závislost na serverech a manuální zásahy.

Aktualizace tak mohou probíhat rychleji, chyby mohou být minimalizovány a zkušenosti koncových uživatelů mohou být zlepšeny neviditelně a proaktivně. Což znatelně ulehčuje pracovní zátěž IT při zachování bezpečnosti a provozní pružnosti.

Apple nedávno aktualizoval svou deklarativní správu zařízení, aby lépe podporoval aktualizace OS. Pojďme prozkoumat, jak produkty Ivanti MDM a UEM umožní správcům vytěžit maximum z Apple DDM.

Co je to deklarativní správa zařízení (DDM)?

DDM je pokročilý přístup ke správě zařízení, především v podnikových nebo organizačních IT prostředích. Umožňuje správcům definovat požadovaný stav zařízení nebo systému a umožňuje systému tento stav automaticky vynutit a udržovat.

Model DDM se odklání od tradiční imperativní správy, kde jsou konfigurace a akce centrálně skriptovány a spravovány správci IT. Tento přístup vyžaduje přímé pokyny k dosažení požadovaného výsledku na každém zařízení.

Klíčové vlastnosti a výhody DDM

Jaké jsou výhody DDM oproti tradičnímu modelu správy zařízení?

  • Správci mohou specifikovat požadovaný stav nebo chování zařízení a zaměřit se na to, „jak“ by mělo vypadat, namísto „jak“ tohoto stavu dosáhnout. Například namísto skriptování jednotlivých příkazů pro konfiguraci nastavení zabezpečení může správce jednoduše deklarovat požadovaná nastavení a systém je vynutí.
  • Zařízení autonomně monitorují své konfigurace, aby zajistily shodu s předem definovaným stavem. Pokud se zařízení odchyluje, automaticky se opraví a obnoví shodu bez ručního zásahu.
  • DDM se ukazuje jako vysoce efektivní v rozsáhlých nastaveních, protože minimalizuje potřebu opakujících se a manuálních konfiguračních úloh.
  • DDM minimalizuje složitost pracovních postupů správy a zajišťuje konzistenci napříč zařízeními.
  • DDM využívají moderní protokoly pro správu pro rychlejší a spolehlivější aktualizace konfigurací a zásad zařízení.
  • DDM se běžně implementuje v cloudových řešeních pro správu mobilních zařízení (MDM) a využívá cloud pro synchronizaci, monitorování a vynucování, i když jej lze implementovat i do on-prem řešení.
  • DDM snižuje manuální úsilí automatizací procesů konfigurace a vynucení.
  • Zajišťuje konzistenci a shodu mezi zařízeními a snižuje riziko lidské chyby.
  • Dynamické aktualizace znamenají rychlejší aplikaci zásad a nastavení oproti tradičním metodám.
  • Změny jsou implementovány hladce, aniž by došlo k narušení uživatelské zkušenosti.

Příklad použití DDM

V hypotetickém příkladu správce IT deklaruje, že všechna zařízení zaměstnanců v podnikovém prostředí musí:

  • Mít konkrétní verzi operačního systému.
  • Povolit šifrování.
  • Omezit přístup k určitým aplikacím.

Pomocí DDM jsou tyto požadavky automaticky uplatňovány, průběžně vynucovány a napravovány, pokud dojde k jakékoli odchylce.

Aktualizace softwaru a záplatování OS přes Apple DDM

Využití Apple Declarative Device Management pro aktualizace softwaru a záplatování operačního systému (OS) tyto procesy vážně zlepšuje, takže jsou proaktivnější, efektivnější a bezproblémovější. Zjednodušuje administrativu, snižuje zpoždění a zaručuje, že flotila zařízení je vždy bezpečná a aktuální.

Výhody aktualizace softwaru

Centralizované řízení s distribuovaným prováděním

  • Správci nastavují konfigurace centrálně, ale spoléhají na místní možnosti zařízení.

Proaktivní místní vymáhání

  • Aktualizace jsou vynucovány na úrovni zařízení, což eliminuje potřebu neustálého zásahu serveru. Správci nastaví požadovanou verzi operačního systému a termín a zařízení autonomně zajistí shodu.
  • Zařízení se samo monitoruje a aplikuje aktualizace bez nutnosti neustálé komunikace se serverem.

Automatizace

  • Správci mohou nakonfigurovat konkrétní verze a termíny a plány aktualizací (např. po pracovní době), čímž automatizují proces a zároveň minimalizují narušení koncových uživatelů.
  • Například kritická bezpečnostní oprava může být naplánována na konkrétní čas, což zajistí, že všechna zařízení budou aktualizována bez zásahu uživatele.
  • Pokud je zařízení vypnuto a zmešká termín aktualizace, deklarativní správa automaticky přeplánuje aktualizaci na pozdější dobu.

Upozornění a zkušenosti uživatelů

  • Oznámení začínají 14 dní před konečným termínem a připomínají uživatelům, aby aktualizovali, jak se jim to hodí. V termínu se zařízení automaticky restartuje a v případě potřeby nainstaluje aktualizace.
  • Správci mohou tato upozornění přizpůsobit nebo potlačit včasná připomenutí (např. pro maloobchodní nebo zdravotnická prostředí).
  • Správci mohou nakonfigurovat úroveň uživatelské interakce, kterou Apple DDM umožňuje, jako je povolení ručních aktualizací před vynuceným termínem nebo omezení odkladů uživatelů.

Rychlejší aktualizace se sníženou závislostí na síti

  • Na rozdíl od tradičního MDM, kde server průběžně kontroluje stav zařízení, DDM snižuje latenci přesunem mechanismu dodržování předpisů na koncový bod.

Vylepšené hlášení stavu

  • Zařízení proaktivně hlásí serveru stav aktualizací včetně toho, zda aktualizace probíhá, zda byla úspěšně dokončena nebo zda se nezdařila. V případě selhání jsou k dispozici podrobné protokoly chyb.

Výhody záplatování OS

Predikáty pro kontextově orientované aktualizace

  • DDM umožňuje podmíněná pravidla (predikáty) pro aktualizace, jako je použití opravy pouze tehdy, když se zařízení nabíjí nebo má baterii nad 80 %.
  • Tyto podmínky jsou vyhodnocovány lokálně na zařízení, díky čemuž jsou aktualizace kontextově citlivé a efektivní.

Bezproblémový přechod na nové verze OS

  • DDM automaticky spravuje přechod na nová vydání operačního systému nebo opravy zabezpečení, aniž by v každém kroku vyžadoval manuální dohled správce.

Místní akce bez internetu

  • Zařízení mohou vynucovat konfigurace a opravy, i když jsou offline, aplikují aktualizace na základě předem zavedených kritérií a aktivují změny, když to podmínky dovolí (např. při připojení k napájení nebo mimo hodiny).

Další praktický případ použití

V organizaci s více než 1 000 iPhony a MacBooky vyžaduje zranitelnost zero-day okamžitou opravu. Řešení?

  • Správce deklaruje termín opravy a cílovou verzi pomocí Apple DDM.
  • Zařízení vynucují aktualizaci na základě místních predikátů a zajišťují, že oprava bude aplikována za optimálních podmínek (např. při nízkém vybíjení baterie).
  • Uživatelé dostávají upozornění před aktualizací, takže jsou informováni bez přerušení pracovních postupů.

Deklarativní podpora managementu Ivanti

Podpora deklarativní správy Ivanti staví na rámci Apple Declarative Device Management (DDM) a nabízí bezproblémový, proaktivní a efektivní přístup ke správě zařízení Apple. Jaké jsou některé z jeho klíčových součástí?

Integrace s rámcem DDM společnosti Apple

Ivanti využívá Apple DDM jako vylepšení stávajícího protokolu Mobile Device Management (MDM) – nejde o úplnou náhradu, ale o další vrstvu navrženou pro:

  • Automatizujte odezvy zařízení: Umožněte zařízením vynucovat konfigurace a zásady lokálně, čímž se sníží závislost na serveru pro nepřetržité kontroly.
  • Povolit proaktivitu v reálném čase: Zařízení mohou autonomně aplikovat aktualizace nebo konfigurace, když jsou splněny předem definované podmínky (predikáty).

Vynucení aktualizací softwaru

Platforma Ivanti podporuje deklarativní správu aktualizací softwaru společnosti Apple, která zavádí:

  • Nastavení vynucení: Správci mohou určit verze OS, termíny a plány aktualizací.
  • Proaktivní místní akce: Zařízení se sama monitorují a aplikují aktualizace bez nutnosti ručního zadávání nebo čekání na spouštěče na straně serveru.
  • Vylepšená komunikace: Zařízení hlásí průběh aktualizace, úspěch nebo selhání přímo serveru pro správu Ivanti, což správcům poskytuje přehled v reálném čase.

Predikátové řízení

Význačným rysem podpory Ivanti je zpracování predikátů – logických podmínek, které zařízení vyhodnocují před použitím konfigurací nebo aktualizací. Například:

  • Zásady platí pouze v případě, že je baterie zařízení vyšší než 80 %.
  • Konfigurace se aktivuje, když se zařízení nabíjí.

Zjednodušená správa predikátů v konzole Ivanti

  • Ivanti poskytuje vyhrazené rozhraní pro vytváření, správu a opětovné použití predikátů napříč konfiguracemi.
  • Tyto predikáty lze snadno aplikovat na deklarativní konfigurace, což zjednodušuje složité pracovní postupy.

Uživatelská zkušenost a upozornění

Ivanti vylepšuje uživatelský zážitek využitím možností upozornění Apple:

  • Oznámení mohou začít 14 dní před termínem aktualizace s možností přizpůsobit jejich frekvenci a obsah.
  • Kritické aktualizace mohou potlačit odklady uživatelů vynucením restartů a aktualizací v plánovaném termínu.

Manipulace po lhůtě splatnosti

  • Pokud zařízení zmešká lhůtu (např. je vypnuto), Ivanti automaticky přeplánuje aktualizace, aby byla zajištěna shoda.

Podporované konfigurace

  • Ivanti zajišťuje zpětnou kompatibilitu a hladký přechod na deklarativní správu tím, že podporuje jak starší MDM, tak novější konfigurace DDM.
  • Stávající zásady a pracovní postupy pokračují bez přerušení.
  • Deklarativní konfigurace (např. predikáty a místní vymáhání) jsou postupně integrovány a zvýrazněny v rámci platformy.

Návod Ivanti pro aktualizaci a opravy zařízení Apple pomocí deklarativní správy zařízení

Přístup Ivanti k podpoře Apple DDM využívá proaktivní schopnosti deklarativního rámce správy společnosti Apple a kombinuje jej s uživatelsky přívětivým rozhraním, automatizací a podporou komplexních podnikových pracovních postupů. Tento komplexní návod zvyšuje efektivitu a zabezpečení správy podnikových zařízení.

Vynucování aktualizací a oprav

  • Automatické plánování umožňuje správcům vynutit aktualizace zadáním cílové verze operačního systému spolu s konkrétním datem a časem, kdy k aktualizaci dojde. To eliminuje potřebu ručních aktualizací a zajišťuje soulad s organizačními zásadami.
  • Zařízení vynucují vynucování aktualizací lokálně, aplikují aktualizace na základě předem nakonfigurovaných podmínek, aniž by se spoléhali na nepřetržitou komunikaci se serverem.

Správa uživatelských upozornění

  • Oznámení jsou zasílána koncovým uživatelům počínaje 14 dny před termínem aktualizace, což poskytuje transparentnost a povzbuzuje uživatele, aby aktualizovali podle svého uvážení.
  • Pro specifické případy použití, jako je maloobchod nebo zdravotnictví, umožňují flexibilní konfigurace oznámení správcům potlačit včasná oznámení a rozhodnout se pro výstrahy na poslední chvíli, aby se minimalizovalo narušení.

Zlepšení souladu a viditelnosti

  • Zařízení proaktivně hlásí svůj stav aktualizace serveru Ivanti a hlásí, zda aktualizace probíhají, zda byly úspěšně dokončeny nebo se nezdařily. Správci také získají přístup k podrobným protokolům chyb, aby mohli řešit problémy.
  • Pokud zařízení zmešká termín (např. pokud je vypnuto), zařízení automaticky přeplánuje aktualizaci na další dostupnou hodinu.

Použití predikátů pro podmíněné aktualizace

  • Správci mohou definovat predikátovou logiku pro to, kdy se mají aktualizace použít.
  • Vzhledem k tomu, že podmínky jsou vyhodnocovány místně, aktualizace mohou probíhat, i když je zařízení offline.
  • Ivanti poskytuje nástroje pro vytváření, správu a opětovné použití predikátů napříč konfiguracemi, díky čemuž jsou podmíněné aktualizace jednodušší a snadněji implementovatelné.

Zlepšení uživatelské zkušenosti

  • Koncoví uživatelé dostanou jasnou komunikaci o plánu aktualizací, včetně vynuceného termínu. Mají možnost nainstalovat aktualizace ručně před termínem, aby se zabránilo automatickému vynucení.
  • Aktualizace lze naplánovat mimo pracovní dobu, aby se minimalizovalo narušení každodenních činností uživatele.

Zefektivnění správy patchů

  • Ivanti podporuje deklarativní správu oprav – aktualizace systému Apple.
  • Správci mohou vynutit aktualizace, včetně kritických bezpečnostních záplat, a zajistit tak, aby zařízení zůstala bezpečná a kompatibilní.

Jedinečný přístup k podpoře Apple DDM

Přístup Ivanti k Apple Declarative Device Management vyniká tím, že rozšiřuje automatizaci organizace, místní prosazování a proaktivní schopnosti.

Správci těží z uživatelsky přívětivých nástrojů, přizpůsobitelných oznámení a podrobných zpráv o stavu, zatímco narušení koncových uživatelů je minimalizováno prostřednictvím plánovaných aktualizací a bezproblémových pracovních postupů. S Ivanti se Apple DDM stává ještě efektivnější, bezpečnější a škálovatelnější pro organizace, které na něj spoléhají. Pro více informací nás neváhejte kontaktovat.

Zdroj: Ivanti