Verwenden der deklarativen Geräteverwaltung zum Verwalten von Apple-Geräten
Deine Organisation kann den Status eines Geräts verwalten (und beibehalten), indem die Geräte unabhängig voneinander Konfigurationen auf der Grundlage bestimmter Kriterien anwenden. Dieses Verwaltungsverfahren wird als deklarative Geräteverwaltung bezeichnet und eröffnet dir neue Möglichkeiten zum Durchsetzen von Softwareupdates und Implementieren von Konfigurationen. Außerdem bietet es dir einen aktuellen Überblick all deiner verwalteten Geräte. Das Protokoll wurde zum bestehenden MDM-Protokoll hinzugefügt, um die Einführung zu vereinfachen. (In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, welche Funktionen der deklarativen Geräteverwaltung für deine Geräte verfügbar sind.)
Deklarative Geräteverwaltung aktivieren
Du aktivierst die deklarative Geräteverwaltung, indem du einen speziellen MDM-Befehl an ein Gerät sendest. Zwei Apple-Geräte – Mac- und iPad-Geräte mit der Funktion „Geteiltes iPad“ – bieten Unterstützung für mehrere Benutzer. Darüber hinaus kannst du dem Benutzerkanal Deklarationen zuweisen. Zum Aktivieren der deklarativen Geräteverwaltung sowohl für den Geräte- als auch den Benutzerkanal, musst du einen Befehl an beide senden.
Weitere Informationen zur Funktion „Geteiltes iPad“ findest du unter Geteiltes iPad – Übersicht.
Konfigurationen definieren
Da die deklarative Geräteverwaltung einen modularen Ansatz verfolgt, bietet sie große Flexibilität beim Definieren der Gerätekonfiguration. Anstelle einer Eins-zu-eins-Beziehung, bei der sich eine Aktivierung auf eine einzige Konfiguration und möglicherweise ein einziges Asset bezieht, verwendet sie einen effizienteren Ansatz.
So kann eine Aktivierung beispielsweise gleichzeitig alle Konfigurationen, die angewendet werden müssen, in einer Gruppe zusammenfassen. Zum Vermeiden unnötiger Wiederholungen kannst du dieselbe Konfiguration in mehreren Aktivierungen verwenden. So wie bei Konfigurationen können auch Assets von mehreren Konfigurationen verwendet werden. Darüber hinaus können Assets unabhängig von verbundenen Konfigurationen aktualisiert werden. Dieser autonome Ansatz reduziert die Auswirkungen auf Benutzer, da die Konfiguration selbst auf den Geräten verbleibt. Er ist besonders nützlich, wenn die Anmeldeinformationen eines Accounts aktualisiert werden müssen und eine vollständige Neusynchronisierung verbundener Daten verhindert sowie die lokalen Benutzereinstellungen beibehalten werden sollen.
Umstellung auf die deklarative Geräteverwaltung
Das MDM-Protokoll enthält verschiedene Funktionen, die eine nahtlose Umstellung auf die deklarative Geräteverwaltung ermöglichen sollen. So kannst du beispielsweise bestehende Profile in eine Deklaration für ältere Profile einbetten. Alternativ kannst du eine MDM-Lösung dazu veranlassen, ein bereits implementiertes Profil zu übernehmen und in eine Deklaration für ältere Konfigurationen zu migrieren. Auf diese Weise kannst du vermeiden, dass ein bestehendes Benutzerprofil entfernt und durch eine Konfiguration ersetzt wird, die den Benutzer einschränken könnte.
Wenn dieselbe Einstellung als MDM-Profil und als deklarative Konfiguration an ein Gerät gesendet wird, gelten dieselben Regeln, als wäre die Einstellung von mehreren Profilen übermittelt worden. Wenn beispielsweise Coderichtlinien von einem Profil und einer Konfiguration eingerichtet werden, werden die Richtlinien zusammengefügt und die strengsten Einstellungen umgesetzt.
Wichtig: Softwareupdates und App-Konfigurationen, die mit einer deklarativen Geräteverwaltung angewendet werden, werden gegenüber den ähnlichen MDM-Befehlen bevorzugt behandelt.
Deklarationen manuell installieren
In iOS 17, iPadOS 17, macOS 14, visionOS 1.1 (oder neuer) können Organisationen und MDM-Entwickler Tests durchführen, indem sie ein Profil mit Deklarationen manuell in den Einstellungen (iPhone, iPad und Apple Vision Pro) oder den Systemeinstellungen (Mac) installieren. Du kannst diese Option verwenden, um Accounts, ältere Profile, Konfigurationen für Codes und die Bildschirmfreigabe sowie Zertifikate und Identitäten zu installieren.
Aktivierungsprädikate
Mit der deklarativen Geräteverwaltung können Geräte Konfigurationen unabhängig voneinander und auf der Grundlage bestimmter Kriterien anwenden. Die Kriterien werden als logische Bedingungen definiert, die Prädikate verwenden.
Aktivierungen können optionale Prädikate enthalten, die bestimmen, ob die in der Aktivierung referenzierten Konfigurationen auf das Gerät angewendet werden. Für Aktivierungsprädikate kannst du verfügbare Statusberichte und eigene Verwaltungseigenschaften verwenden. Deine Organisation definiert diese eigenen Verwaltungseigenschaften als ganzzahlige Werte, Strings, boolesche Werte oder Arrays. Eine Aktivierung kann diese Werte verwenden, um zu bestimmen, ob ein bestimmter Satz von Konfigurationen angewendet werden soll.
Die Vorteile von Aktivierungsprädikaten zeigen sich in intelligenten Anwendungsfällen, in denen Deklarationen im Vorfeld auf Geräte geladen und automatisch aktiviert werden, sobald die richtige Verwaltungseigenschaft von der MDM-Lösung gesendet wird. Durch diesen Ansatz können komplexe MDM-seitige Gruppierungen und Scopings vermieden werden.