理解苹果声明式设备管理 | Ivanti

苹果声明式管理引入了从传统基于命令的模式向更自主和灵活框架的转变。这种方法旨在提高管理苹果设备的效率和响应能力。

苹果声明式管理的组件——声明、资产、谓词和状态通道——共同协作，创建了一个更高效、可扩展和响应迅速的MDM框架。声明定义了期望状态；资产提供必要的资源；谓词启用上下文感知策略应用；状态通道促进高效通信。

苹果正在弃用iOS、iPadOS和macOS 26中的传统软件更新管理方法，并在2027年的操作系统版本中移除支持，要求您过渡到新的声明式管理软件更新强制执行和软件更新设置。Ivanti完全支持这些用于自动化和主动更新管理的新工作流程。

向声明式设备管理的转变

让我们探讨苹果声明式设备管理的技术方面及其对MDM用户的好处。

传统MDM基于命令和控制操作，服务器发送命令给设备以执行操作，如安装应用程序或强制执行策略。设备随后将其状态报告回服务器，需要持续通信。

这种频繁的检查过程是必要的，以确保设备符合组织的策略，并且更改或更新能够及时应用。没有定期检查，管理员对设备状态的可见性有限，难以实时验证合规性、部署更新或解决安全问题。

苹果声明式设备管理使用声明式格式，管理员定义期望状态和策略。设备接收这些声明并自主强制执行期望状态，仅在发生更改时向服务器报告。

在此模型中，设备的操作系统在使设备更加自主方面发挥着关键作用。操作系统持续评估设备的当前状态与声明定义的期望状态。如果检测到差异，设备将自我修复。

操作系统独立应用声明和谓词中定义的必要更改，以符合指定的策略。这种自主评估和执行能力最小化了对服务器命令的依赖，并允许实时调整，确保设备即使离线或超出网络范围也能保持合规。

声明代表管理员希望应用于设备的期望状态或配置。声明发送给设备，设备随后解释并自主强制执行这些状态。声明的关键特性包括：

在苹果声明式管理中，资产是设备用于实现声明中定义的策略和配置的资源。这些资产包括证书、数据和用户信息。

证书用于设备和服务之间的身份验证、加密和安全通信。管理员通过声明部署数字证书，以启用对公司网络、电子邮件、VPN和其他资源的安全访问。这些证书可以独立于声明进行更新，保持当前的安全凭据，而无需完全的策略 overhaul。

数据包括配置文件、脚本、二进制文件和内容资源。配置文件包含应用程序或网络配置的特定设置，而脚本和二进制文件自动化任务或添加功能。内容资源包括品牌材料或合规文档。将数据作为资产管理允许在多个声明中高效更新和重用。

用户信息包括组织内的用户配置文件、偏好设置和角色。此信息根据用户角色定制设备设置和权限。动态数据，如基于位置的信息或活动日志，确保设备配置适应用户当前需求。

资产与声明分开管理，允许高效重用和更新。当资产更新时，所有引用该资产的声明可以自动应用更新版本。

苹果声明式管理中的谓词作为声明中的条件逻辑元素，定义何时以及如何将特定策略应用于设备。谓词在设备本身上评估，允许实时、上下文感知的决策。它们由可以引用各种设备属性和上下文信息的逻辑表达式组成。当满足谓词指定的条件时，声明中的相应策略或配置将被强制执行。

谓词利用Cocoa编程语言的语法和功能来定义应应用特定策略的条件。Cocoa谓词是评估布尔值的表达式，使用设备类型、操作系统版本、网络状态等属性启用复杂的逻辑条件。

状态通道是设备用于将其状态报告回服务器的通信路径。与传统MDM设备不断与服务器检查不同，状态通道启用异步和事件驱动的通信。状态通道的关键特性包括：

状态通道确保管理员了解任何与期望状态的偏差，实现主动管理和快速修复。

Ivanti保持其产品与设备管理行业的最新增强功能同步。我们的UEM云和本地解决方案都支持声明式管理。

声明式设备管理并非完全替代传统MDM协议。因此，解决方案将呈现混合方法，利用两种框架的最佳特性。随着苹果在其操作系统的每个新版本中改进框架，Ivanti客户将在我们的平台中看到新功能的渐进和无缝集成。