Declaratief apparaatbeheer gebruiken voor het beheer van Apple apparaten
Je organisatie kan de status van apparaten beheren en handhaven door apparaten zelf configuraties te laten toepassen op basis van bepaalde criteria. Dit beheerproces, dat declaratief apparaatbeheer wordt genoemd, geeft je nieuwe mogelijkheden om software-updates af te dwingen, configuraties te implementeren en een actueel overzicht bij te houden van al je beheerde apparaten. Om de toepassing van dit protocol eenvoudiger te maken, maakt het nu deel uit van het bestaande protocol voor apparaatbeheer. (Als je wilt weten welke functies voor declaratief apparaatbeheer voor jouw apparaten beschikbaar zijn, raadpleeg je de documentatie van de ontwikkelaar van je voorziening voor apparaatbeheer.)
Declaratief apparaatbeheer inschakelen
Je kunt declaratief apparaatbeheer inschakelen door een speciaal apparaatbeheercommando naar een apparaat te versturen. Op twee soorten Apple apparaten, Macs en gedeelde iPads, worden meerdere gebruikers ondersteund. Ook kun je declaraties aan het gebruikerskanaal toewijzen. Om declaratief apparaatbeheer voor zowel het apparaat als het gebruikerskanaal in te schakelen, moet je naar beide een commando sturen.
Voor meer informatie over gedeelde iPads raadpleeg je Overzicht van Gedeelde iPad.
Configuraties definiëren
Het modulaire karakter van declaratief apparaatbeheer zorgt voor grote flexibiliteit bij het definiëren van de configuratie van een apparaat. In plaats van een een-op-eenrelatie, waarbij een activering van toepassing is op één configuratie en mogelijk zelfs op één onderdeel, gebruikt declaratief apparaatbeheer een efficiëntere benadering.
Alle configuraties die moeten worden toegepast, kunnen bijvoorbeeld tegelijk in één activering worden gegroepeerd. Om onnodige herhaling te voorkomen, kun je dezelfde configuratie in meerdere activeringen gebruiken. Op dezelfde manier kunnen onderdelen in meerdere configuraties worden gebruikt. Daarnaast kunnen onderdelen onafhankelijk van de bijbehorende configuraties worden bijgewerkt. Deze autonome benadering vermindert de hinder voor gebruikers omdat de configuratie zelf op de apparaten blijft staan. Dit is met name handig als de inloggegevens van een account moeten worden bijgewerkt, omdat dan niet alle bijbehorende gegevens hoeven te worden gesynchroniseerd en de lokale gebruikersinstellingen behouden blijven.
Overgang naar declaratief apparaatbeheer
Om de overgang naar declaratief apparaatbeheer zo eenvoudig mogelijk te maken, bevat het bestaande protocol voor apparaatbeheer verschillende functies. Je kunt bijvoorbeeld bestaande profielen in een declaratie voor verouderde profielen insluiten. Of je kunt een voorziening voor apparaatbeheer verantwoordelijk maken voor een reeds geïmplementeerd profiel en dit door de voorziening naar een declaratie voor verouderde configuraties laten migreren. Zo hoef je geen bestaand profiel te verwijderen en door een configuratie te vervangen en voorkom je hinder voor de gebruiker.
Als je dezelfde instelling zowel als profiel en als declaratieve configuratie naar een apparaat verstuurt, zijn dezelfde regels van toepassing als wanneer de instelling in meerdere profielen wordt afgeleverd. Als er bijvoorbeeld zowel via een profiel als via een configuratie beleidsregels voor toegangscodes zijn geconfigureerd, worden de beleidsregels door het systeem samengevoegd en worden de strengste instellingen afgedwongen.
Belangrijk: Software-updates en appconfiguraties die je toepast via declaratief apparaatbeheer krijgen voorrang boven equivalente apparaatbeheercommando's.
Declaraties handmatig installeren
Op apparaten met iOS 17, iPadOS 17, macOS 14, visionOS 1.1 of nieuwer kunnen organisaties en ontwikkelaars van een voorziening voor apparaatbeheer tests uitvoeren door handmatig een profiel met declaraties te installeren via Instellingen (op de iPhone, iPad en Apple Vision Pro) of via Systeeminstellingen (op de Mac). Je kunt deze optie gebruiken voor het installeren van accounts, verouderde profielen, toegangscode- en schermdelingsconfiguraties, certificaten en identiteiten.
Activeringspredicaten
Met declaratief apparaatbeheer kunnen apparaten zelf configuraties toepassen op basis van bepaalde criteria. De criteria worden gedefinieerd als logische voorwaarden die werken op basis van predicaten.
Activeringen kunnen optionele predicaten bevatten die bepalen of de configuraties waarnaar in de activering wordt verwezen op het apparaat worden toegepast. Voor activeringspredicaten kun je beschikbare statusrapporten en aangepaste beheerkenmerken gebruiken. Je organisatie kan deze aangepaste beheerkenmerken als gehele getallen, tekenreeksen, booleaanse waarden of arrays definiëren. Een activering kan op basis van deze beheerkenmerken bepalen of een bepaalde set configuraties moet worden toegepast.
Activeringspredicaten maken slim gebruik mogelijk, waarbij vooraf op apparaten geïnstalleerde declaraties automatisch worden geactiveerd wanneer de voorziening voor apparaatbeheer het juiste beheerkenmerk verstuurt. Dankzij deze benadering hoef je geen complexe groepen of bereiken te definiëren in de voorziening.
Software-updates
Declaratief apparaatbeheer kan worden gebruikt voor het beheer van updates in iOS, iPadOS en macOS. Het biedt nieuwe opties waarmee kan worden opgegeven wanneer en hoe een software-update of -upgrade moet worden afgedwongen. Bovendien wordt extra informatie voor gebruikers weergegeven in Instellingen (iOS en iPadOS) en Systeeminstellingen (macOS) wanneer een update beschikbaar is en wanneer deze moet worden geïnstalleerd.
Meldingen worden steeds vaker weergegeven naarmate de uiterste datum dichterbij komt. Om ervoor te zorgen dat de gebruiker deze meldingen te zien krijgt, wordt de functie 'Niet storen' tijdens de laatste 24 uur vóór de deadline genegeerd. Zo kunnen gebruikers het meest geschikte tijdstip kiezen om de update uit te voeren. Wanneer de gebruiker de update niet vóór de vereiste datum heeft geïnstalleerd, gebeurt het volgende:
In macOS worden geopende apps geforceerd gesloten en wordt indien nodig een herstart uitgevoerd.
Als er in iOS en iPadOS een toegangscode is ingesteld, wordt de gebruiker gevraagd om deze in te voeren (behalve wanneer deze al eerder is ingevoerd).
Om een update te starten, kunnen de volgende nieuwe sleutels worden gebruikt:
TargetOSVersion en TargetBuildVersion: Hiermee geef je de versie op waarnaar moet worden bijgewerkt. Als beide sleutels zijn ingesteld, heeft
TargetBuildVersionvoorrang.TargetLocalDateTime: Hiermee geef je de lokale tijd van het apparaat op als de update wordt afgedwongen.
DetailsURL: Hiermee geef je de URL van een webpagina op die door de organisatie kan worden gebruikt om meer informatie en context over de update te verstrekken.
Met declaratieve statusrapporten kunnen voorzieningen voor apparaatbeheer ook meer inzicht krijgen in de status van de update, bijvoorbeeld of er op de update wordt gewacht, of de update wordt gedownload of dat de update wordt geïnstalleerd. Duidelijke foutcodes geven aan wanneer updates niet kunnen worden uitgevoerd of voltooid, bijvoorbeeld als het apparaat offline is, als de batterij bijna leeg is of als er onvoldoende vrije ruimte beschikbaar is.