[20/06/2022] Como era de esperar, Apple anunció en la WWDC una serie de cambios significativos en la forma de gestionar las Macs, iPads, iPhones y Apple TVs en entornos empresariales y educativos. Estos cambios se dividen en gran medida en dos grupos: los que afectan a la gestión general de dispositivos y los que se aplican a la gestión declarativa (un nuevo tipo de gestión de dispositivos que Apple introdujo el año pasado en iOS 15).
Es importante examinar cada grupo por separado para comprender mejor los cambios.
¿Cómo ha cambiado Apple la gestión general de dispositivos?
Configurador de Apple: Apple Configurator para el iPhone ha recibido una importante ampliación. Durante mucho tiempo ha sido un método manual para inscribir iPhones y iPads en la gestión, en lugar de utilizar herramientas automatizadas o de autoinscripción. La herramienta se comercializaba originalmente como una aplicación para Mac que podía configurar los dispositivos, pero tenía un inconveniente importante: los dispositivos tenían que estar conectados por USB a la Mac que ejecutaba la aplicación. Esto tenía implicaciones obvias en términos de tiempo y mano de obra en cualquier cosa que no fuera un entorno pequeño.
El año pasado, Apple introdujo una versión de Configurator para iPhone que invertía el flujo de trabajo del original, lo que significaba que una versión de la aplicación para iPhone podía utilizarse de forma inalámbrica para inscribir las Mac en la gestión. Se utilizó principalmente para inscribir las Macs que habían sido comprados fuera del canal de empresa/educación de Apple en Apple Business Manager (los productos de Apple comprados a través del canal pueden ser inscritos automáticamente con una configuración sin intervención).
La encarnación del iPhone es increíblemente sencilla. Durante el proceso de configuración, se apunta con la cámara del iPhone a una animación en la pantalla de la Mac (de forma parecida al emparejamiento de un Apple Watch) y eso desencadena el proceso de inscripción.
El gran cambio de este año es que Apple ha ampliado el uso de Apple Configurator para el iPhone para permitir la inscripción de la iPad y del iPhone mediante el mismo proceso, eliminando el requisito de que los dispositivos estén conectados a una Mac. Esto reduce en gran medida el tiempo y el esfuerzo necesarios para inscribir estos dispositivos. Hay una advertencia: los dispositivos que requieren activación celular, o que han sido bloqueados por activación, necesitarán que la activación sea completada manualmente antes de que Configurator pueda ser utilizado.
Gestión de identidades: Apple ha realizado cambios útiles para la gestión de identidades en entornos empresariales. El más significativo: ahora ofrece soporte para proveedores de identidad adicionales, incluyendo Google Workspace y Oauth 2, que permite un amplio conjunto de proveedores. (Azure AD ya era compatible.) Estos proveedores de identidad pueden utilizarse junto con Apple Business Manager para generar ID de Apple gestionados para los empleados.
La compañía también anunció que el soporte para la inscripción de inicio de sesión único en todas sus plataformas se implementará después de que macOS Ventura y iOS/iPadOS16 lleguen esta primavera. El objetivo aquí es hacer que la inscripción de los usuarios sea más fácil y más racionalizada, al requerir que los usuarios se autentifiquen solo una vez. Apple también ha anunciado el inicio de sesión único en la plataforma, un esfuerzo por ampliar y agilizar el acceso a las aplicaciones y sitios web de la empresa cada vez que inicien sesión en su(s) dispositivo(s).
Redes gestionadas por aplicación: Apple ha tenido durante mucho tiempo capacidades de VPN por aplicación, que permiten que solo aplicaciones específicas relacionadas con la empresa o el trabajo utilicen una conexión VPN activa. Esto aplica la seguridad de la VPN, pero limita la carga de la VPN al enviar solo el tráfico de una app específica a través de una conexión VPN. Con macOS Ventura y iOS/iPadOS 16, Apple está añadiendo el proxy DNS por aplicación y el filtrado de contenido web por aplicación. Esto ayuda a asegurar el tráfico de aplicaciones específicas y funciona igual que la VPN por aplicación. Y esto no requiere cambios en las propias aplicaciones. El proxy DNS admite opciones para todo el sistema o por aplicación, mientras que el filtrado de contenidos admite todo el sistema o hasta siete instancias por aplicación.
Aprovisionamiento de E-SIM: En el caso de los iPhones que admiten eSIM, Apple está haciendo posible que el software de gestión de dispositivos móviles (MDM) configure y aprovisione una eSIM. Esto puede incluir el aprovisionamiento de un nuevo dispositivo, la migración de operadores, el uso de múltiples operadores o la configuración para viajes e itinerancia.
Gestión de los ajustes de accesibilidad: Apple es conocida por su amplio conjunto de funciones de accesibilidad para personas con necesidades especiales. De hecho, muchas personas sin necesidades especiales también utilizan varias de estas funciones. En iOS/iPadOS 16, Apple permite a MDM habilitar y configurar automáticamente un puñado de las funciones más comunes, entre ellas: tamaño del texto, Voice Over, Zoom, Acomodaciones táctiles, Texto en negrita, Reducir movimiento, Aumentar contraste y Reducir transparencia. Esta será una herramienta bienvenida en ámbitos como la educación especial, o las situaciones hospitalarias y sanitarias en las que los dispositivos pueden ser compartidos por usuarios con necesidades especiales.
¿Qué hay de nuevo en el proceso de gestión declarativa de Apple?
Apple presentó el año pasado la Gestión Declarativa como una mejora de su protocolo MDM original. Su gran ventaja es que traslada gran parte de la lógica empresarial, el cumplimiento y la gestión del servicio MDM a cada dispositivo. Como resultado, los dispositivos pueden supervisar su estado de forma proactiva. Esto elimina la necesidad de que el servicio de MDM pregunte constantemente por el estado del dispositivo y emita comandos en respuesta. En su lugar, los dispositivos realizan esos cambios basándose en su estado actual y en las declaraciones que se les envían y los comunican al servicio.
La gestión declarativa se basa en declaraciones que contienen cosas como activaciones y configuraciones. Una ventaja es que una declaración puede incluir múltiples configuraciones, así como las activaciones que indican cuándo o si la configuración debe ser activada. Esto significa que una sola declaración puede incluir todas las configuraciones para todos los usuarios, junto con las activaciones que indican a qué usuarios deben aplicarse. Esto reduce la necesidad de grandes conjuntos de configuraciones diferentes, ya que el propio dispositivo puede determinar cuáles deben activarse para el dispositivo por su usuario.
Este año, Apple ha ampliado los lugares en los que se puede utilizar la gestión declarativa. Inicialmente, solo estaba disponible en los dispositivos iOS/iPadOS 15 que aprovechaban la inscripción del usuario. En adelante, todos los dispositivos de Apple que ejecuten macOS Ventura o iOS/iPadOS/tvOS 16 serán compatibles, independientemente de su tipo de inscripción. Eso significa que la inscripción de dispositivos (incluidos los dispositivos supervisados) es compatible en todos los casos, al igual que la iPad compartida (un tipo de inscripción que permite a varios usuarios compartir la misma iPad, cada una con su propia configuración y archivos).
La empresa ha dejado muy claro que la gestión declarativa es el futuro de la gestión de dispositivos de Apple, y que cualquier nueva función de gestión se desplegará únicamente en el modelo declarativo. Aunque el MDM tradicional estará disponible durante un tiempo no especificado, ha quedado obsoleto y acabará siendo retirado.
Esto tiene importantes implicaciones para los dispositivos que ya están en uso. Los dispositivos que no puedan ejecutar macOS Ventura o iOS/iPadOS 16 acabarán siendo retirados, y los que sigan en servicio tendrán que ser sustituidos.
Dada la franja de dispositivos que pierden soporte, esto podría suponer una costosa transición para algunas organizaciones. Aunque no es inmediato, debería empezar a determinar el tamaño y el costo de la transición, y cómo la gestionará (sobre todo porque es probable que requiera una transición a Apple Silicon, que no admite la capacidad de ejecutar aplicaciones de Windows o de Windows, en el proceso).
Además de ampliar los productos que pueden utilizar la gestión declarativa, Apple también ha ampliado su funcionalidad, incluyendo la compatibilidad con la configuración del código de acceso, las cuentas de empresa y la instalación de aplicaciones controladas por MDM.
La opción del código de acceso es más compleja que simplemente requerir un código de acceso de un tipo determinado. Tradicionalmente se exige el cumplimiento del código de acceso para ciertas configuraciones relacionadas con la seguridad, como el envío de la configuración de la Wi-Fi corporativa a un dispositivo. En el modelo declarativo, esas configuraciones pueden enviarse al dispositivo antes de establecer un código de acceso. Se envían junto con el requisito del código de acceso, e incluyen una activación que solo se habilitará una vez que el usuario cree un código de acceso que cumpla con esa política. Una vez que el usuario establece un código de acceso, el dispositivo detectará el cambio y habilitará la configuración Wi-Fi con múltiples conexiones al servicio MDM, habilitando el Wi-Fi inmediatamente y notificando al servicio que ha sido activado.
Las cuentas -que pueden incluir cosas como el correo, las notas, el calendario y los calendarios suscritos- funcionan de forma similar. Una declaración puede especificar todos los tipos de cuentas admitidos en la organización, así como todos los calendarios suscritos. A continuación, el dispositivo determinará -en función de la cuenta del usuario y de su(s) función(es) dentro de la organización- su activación y habilitación.
La instalación de aplicaciones MDM es la adición más significativa a la gestión declarativa, ya que la instalación de aplicaciones es una de las tareas que más carga supone para un MDM, y el mayor cuello de botella durante las activaciones masivas de dispositivos (como una gran incorporación de nuevos empleados, el despliegue de nuevos dispositivos o el primer día de clase). Una declaración puede especificar todas las posibles aplicaciones que se instalarán y se enviarán a un dispositivo en el momento de la activación, incluso antes de que se haya entregado a su usuario. De nuevo, el dispositivo determinará qué configuraciones de instalación de aplicaciones debe activar y poner a disposición, en función del usuario. Esto evita que cada dispositivo tenga que consultar repetidamente el servicio y descargar las aplicaciones y sus configuraciones. También simplifica y acelera el proceso de activación (o desactivación) de aplicaciones si el rol de un usuario cambia.
Estas son mejoras significativas y es fácil ver por qué son las primeras adiciones a Declarative Management después de su lanzamiento inicial. Todavía hay capacidades de MDM que no han dado el salto al uso declarativo, pero es obvio que con el tiempo -quizás tan pronto como el próximo año- lo harán.
Este es uno de los anuncios más significativos de la WWDC para las empresas y es bueno ver que Apple ha sido reflexivo a la hora de decidir qué características añadir o actualizar, ya que la mayoría de ellas abordan áreas que eran difíciles, que consumían mucho tiempo, que requerían muchos recursos o que eran tediosas.
Basado en el artículo de Ryan Faas (Computerworld) y editado por CIO Perú