MDM功能随着Supervision模式和DEP(设备注册程序)的发展而演变
起初,苹果公司为企业和员工拥有的设备提供了相同的MDM功能。然后,在2012年,Apple Configurator工具出现了Supervision模式的概念。Supervision模式为企业和教育设备提供了管理功能的超集,并非用于个人设备。实际上,它需要在设备启用之前进行配置,以防止IT部门在用户不知情的情况下监控设备。首先,该过程需要受到监管—该设备必须通过USB连接到运行有Apple Configurator工具的Mac电脑进行初始设置--这一操作在苹果公司于2014年推出其设备注册程序(DEP)之前没有改变。
Supervision模式和设备注册程序(DEP)提供无线设置,可选择监督公司或学校购买的设备,Supervision模式和设备注册程序(DEP)均仅为公司所拥有的设备而设计。
很明显,苹果公司打算通过MDM管理其所有产品,使用一种基本上与供应商无关的方法。由于可以完全从企业环境中的Mac电脑中删除目录服务,因此管理和配置工作可通过MDM功能与设备的关联以及具有自身用户管理选项的MDM基础架构来完成。(本地用户帐户可用于在Mac电脑上进行访问。)
这有其优势,因为小型组织可以在不需要目录基础结构的情况下继续工作。这还允许使用其他解决方案进行用户帐户管理,而并非Open Directory,包括Active Directory、Azure AD或okta等服务。
目前,只有Active Directory在Mac电脑上享有本机支持,但第三方选项可以填补这一空白。 NoMAD公司于2018年被Mac企业供应商JAMF收购,其允许使用包括okta在内的替代服务。JAMF公司已经宣布了Azure AD身份验证,尽管该公司尚未就使用NoMAD技术的JAMF Connect产品提供发布时间表。
然后是Jump Cloud产品,它提供基于云的目录服务,支持内置于macOS系统中的LDAP功能。该产品提供本地Mac电脑支持,无需管理在本地macOS Server上运行的Open Directory服务。(MacStadium还提供基于云的macOS Server实例。)将这些视为“开发目录即服务(Open-Directory-as-a-Service)”选项。
毫不奇怪,云计算对许多希望管理身份的组织带来了挑战,因为它跨越多个内部服务和云服务,包括目录服务等基础服务。但这是苹果公司决定将身份从Mac管理服务中分离出来的另一种选择(尽管是默认的)。苹果公司正逐渐为IT管理员打开大门,让他们寻找和开发对其组织、用户和设备所有权模型最适合的身份和设备管理结构。
即将展开的身份/管理对话
尽管苹果公司正在迫使企业界对设备所有权和身份进行对话,但苹果公司也正在构建关于身份、访问、管理和所有权如何结合在一起的问题。虽然设备级管理是企业移动管理的首选,但条件访问、应用程序管理和内容级管理以及移动应用程序的企业许可等功能已经得到了发展。这意味着组织现在可以更灵活地设计安全和访问策略、部署策略和移动用例。简单地锁定硬件--特别是锁定那些不是组织所拥有的设备--不是唯一的选择。也不一定是最好的选择。
在管理用户拥有的设备时尤其如此。随着智能手机和平板电脑包含更多的个人数据,包括详细的健康信息,生硬的管理必然不会有吸引力。鉴于苹果公司在隐私方面的声誉如此之高,它很自然地希望在IT管理员、人力资源部门和公司高管之间开展这类设备管理的讨论。
最终,2019年苹果公司在工作场所的一个大亮点可能是其管理灵活性,特别是因为它继续增加可以扩展其企业客户的内部运营工作的合作伙伴。在这些问题成为数字化转型计划核心的核心竞争力时,苹果公司推出这些选择以及这些对话,也是很明智的。