Deklarative Geräteverwaltung zum Verwalten von Apple-Geräten verwenden
Deine Organisation kann den Status eines Geräts verwalten (und beibehalten), indem die Geräte unabhängig voneinander Konfigurationen auf der Grundlage bestimmter Kriterien anwenden. Dieses Verwaltungsverfahren wird als deklarative Geräteverwaltung bezeichnet und eröffnet dir neue Möglichkeiten zum Durchsetzen von Softwareupdates und Implementieren von Konfigurationen. Außerdem bietet es dir einen aktuellen Überblick all deiner verwalteten Geräte. Das Protokoll wurde zum bestehenden MDM-Protokoll hinzugefügt, um die Einführung zu vereinfachen. (In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, welche Funktionen der deklarativen Geräteverwaltung für deine Geräte verfügbar sind.)
Deklarative Geräteverwaltung aktivieren
Du aktivierst die deklarative Geräteverwaltung, indem du einen speziellen MDM-Befehl an ein Gerät sendest. Zwei Apple-Geräte – Mac- und iPad-Geräte mit der Funktion „Geteiltes iPad“ – bieten Unterstützung für mehrere Benutzer. Darüber hinaus kannst du dem Benutzerkanal Deklarationen zuweisen. Zum Aktivieren der deklarativen Geräteverwaltung sowohl für den Geräte- als auch den Benutzerkanal, musst du einen Befehl an beide senden.
Weitere Informationen zur Funktion „Geteiltes iPad“ findest du unter Geteiltes iPad – Übersicht.
Konfigurationen definieren
Da die deklarative Geräteverwaltung einen modularen Ansatz verfolgt, bietet sie große Flexibilität beim Definieren der Gerätekonfiguration. Anstelle einer Eins-zu-eins-Beziehung, bei der sich eine Aktivierung auf eine einzige Konfiguration und möglicherweise ein einziges Asset bezieht, verwendet sie einen effizienteren Ansatz.
So kann eine Aktivierung beispielsweise gleichzeitig alle Konfigurationen, die angewendet werden müssen, in einer Gruppe zusammenfassen. Zum Vermeiden unnötiger Wiederholungen kannst du dieselbe Konfiguration in mehreren Aktivierungen verwenden. So wie bei Konfigurationen können auch Assets von mehreren Konfigurationen verwendet werden. Darüber hinaus können Assets unabhängig von verbundenen Konfigurationen aktualisiert werden. Dieser autonome Ansatz reduziert die Auswirkungen auf Benutzer, da die Konfiguration selbst auf den Geräten verbleibt. Er ist besonders nützlich, wenn die Anmeldeinformationen eines Accounts aktualisiert werden müssen und eine vollständige Neusynchronisierung verbundener Daten verhindert sowie die lokalen Benutzereinstellungen beibehalten werden sollen.
Umstellung auf die deklarative Geräteverwaltung
Das MDM-Protokoll enthält verschiedene Funktionen, die eine nahtlose Umstellung auf die deklarative Geräteverwaltung ermöglichen sollen. So kannst du beispielsweise bestehende Profile in eine Deklaration für ältere Profile einbetten. Alternativ kannst du eine MDM-Lösung dazu veranlassen, ein bereits implementiertes Profil zu übernehmen und in eine Deklaration für ältere Konfigurationen zu migrieren. Auf diese Weise kannst du vermeiden, dass ein bestehendes Benutzerprofil entfernt und durch eine Konfiguration ersetzt wird, die den Benutzer einschränken könnte.
Wenn dieselbe Einstellung als MDM-Profil und als deklarative Konfiguration an ein Gerät gesendet wird, gelten dieselben Regeln, als wäre die Einstellung von mehreren Profilen übermittelt worden. Wenn beispielsweise Coderichtlinien von einem Profil und einer Konfiguration eingerichtet werden, werden die Richtlinien zusammengefügt und die strengsten Einstellungen umgesetzt.
Wichtig: Softwareupdates und App-Konfigurationen, die mit einer deklarativen Geräteverwaltung angewendet werden, werden gegenüber den ähnlichen MDM-Befehlen bevorzugt behandelt.
Deklarationen manuell installieren
Bei Geräten mit iOS 17, iPadOS 17, macOS 14, visionOS 1.1 oder neueren Versionen können Organisationen und MDM-Entwickelnde Tests durchführen, indem sie ein Profil mit Deklarationen manuell in den Einstellungen (iPhone, iPad und Apple Vision Pro) oder den Systemeinstellungen (Mac) installieren. Du kannst diese Option verwenden, um Accounts, ältere Profile, Konfigurationen für Codes und die Bildschirmfreigabe sowie Zertifikate und Identitäten zu installieren.
Aktivierungsprädikate
Mit der deklarativen Geräteverwaltung können Geräte Konfigurationen unabhängig voneinander und auf der Grundlage bestimmter Kriterien anwenden. Die Kriterien werden als logische Bedingungen definiert, die Prädikate verwenden.
Aktivierungen können optionale Prädikate enthalten, die bestimmen, ob die in der Aktivierung referenzierten Konfigurationen auf das Gerät angewendet werden. Für Aktivierungsprädikate kannst du verfügbare Statusberichte und eigene Verwaltungseigenschaften verwenden. Deine Organisation definiert diese eigenen Verwaltungseigenschaften als ganzzahlige Werte, Strings, boolesche Werte oder Arrays. Eine Aktivierung kann diese Werte verwenden, um zu bestimmen, ob ein bestimmter Satz von Konfigurationen angewendet werden soll.
Die Vorteile von Aktivierungsprädikaten zeigen sich in intelligenten Anwendungsfällen, in denen Deklarationen im Vorfeld auf Geräte geladen und automatisch aktiviert werden, sobald die richtige Verwaltungseigenschaft von der MDM-Lösung gesendet wird. Durch diesen Ansatz können komplexe MDM-seitige Gruppierungen und Scopings vermieden werden.
Softwareaktualisierungen
Mit der deklarativen Geräteverwaltung lassen sich Updates in iOS, iPadOS und macOS verwalten. Sie bietet neue Optionen, um festzulegen, wann und wie ein Softwareupdate oder -upgrade erzwungen werden sollte. Darüber hinaus erhalten Benutzer:innen zusätzliche Informationen in den Einstellungen (iOS und iPadOS) und den Systemeinstellungen (macOS), wenn ein Update angefordert oder wenn es erzwungen wird.
Im Zeitraum vor dem Datum, an dem das Update erzwungen wird, werden zusätzliche Mitteilungen häufiger angezeigt. Um sicherzustellen, dass diese Mitteilungen auch den Benutzer:innen angezeigt werden, wird 24 Stunden vor dem durchgesetzten Update die Funktion „Nicht stören“ ignoriert. So können Benutzer:innen den passenden Zeitpunkt auswählen, zu dem das Update durchgeführt wird. Wenn Benutzer:innen das Update nicht vor dem Durchsetzungsdatum installiert haben:
macOS setzt das Beenden aller geöffneten Apps durch und führt bei Bedarf einen Neustart aus.
iOS und iPadOS zwingen den Benutzer, ihren Code einzugeben, sofern ein Code festgelegt ist (und er nicht bereits eingegeben wurde).
Zum Anstoßen eines Updates können die folgenden neuen Schlüssel verwendet werden:
TargetOSVersion und TargetBuildVersion: Definiert die Version, auf die aktualisiert werden soll. Wenn beide Schlüssel festgelegt sind, wird
TargetBuildVersionbevorzugt.TargetLocalDateTime: Definiert die lokale Uhrzeit des Gerätes, wann das Update durchgesetzt wird.
DetailsURL: Stellt die URL einer Webseite bereit, mit der die Organisation weitere Informationen und Kontext zum Update zur Verfügung stellen kann.
Mit deklarativen Statusberichten können MDM-Lösungen höhere Transparenz über den Status eines Updates erhalten (beispielsweise, ob auf das Update gewartet, es geladen oder installiert wird). Aussagekräftige Fehlercodes werden hinzugefügt, falls ein Update nicht ausgeführt oder abgeschlossen werden konnte. Dazu gehören beispielsweise Fälle, in denen das Gerät offline, die Batterieladung zu gering oder nicht genügend Speicherplatz verfügbar war.