当前位置:统一通信/协作企业动态 → 正文

2019年的苹果公司:预计会更加关注企业身份和设备所有权

责任编辑:cres 作者:Ryan Faas |来源:企业网D1Net  2019-01-04 09:53:20 原创文章 企业网D1Net

近年来,苹果公司已经做了很多工作,使IT管理员可以更轻松地部署、配置和管理各种Mac电脑、iPhone和iPad设备。以下将介绍苹果公司是如何完成这些工作的,以及接下来可能做的工作。
 
如果说2018年是苹果公司改进与企业用户关系的一年,那么2019年很可能成为该公司侧重于工作场所中设备所有权和身份的一年。事实上,苹果公司已经发出这种关注的信号有一段时间了,采取一系列措施改变了公司处理硬件管理工作的方式,并为未来一年奠定了基础。
 
这些看似无关的举措将使苹果公司能够加强其在处理企业身份(无论设备所有权是谁)方面的作用,从而使其能够为IT管理员提供更多灵活性和管理选项。
 
以下是苹果公司过去几年所做的工作:
 
1.在2017年的年度开发者大会上,苹果公司宣布将对企业控制其设备进行多项变化;而不是应用于所有受管理的macOS和iOS系统,这些控制将仅适用于在监督模式下的系统。 (从本质上说,这是一种更加严格的设备管理方式,仅适用于公司拥有的硬件,而不适用于带入公司办公的个人手机和平板电脑。)当时,苹果公司预计,随着macOS Mojave和iOS12系统的发布,这些变化将在2018年推出。但是应开发商、供应商和客户的要求,实施工作被推迟到2019年。
 
2.然后,在2018年初,苹果公司表示它们实际上正在关闭其服务器平台,并建议客户转向使用替代方案,包括构建了macOS服务器相关的一些功能的开源解决方案。最常见的功能之一始终是Open Directory,苹果公司的本机目录服务。虽然这种转变并不意味着关闭Mac电脑上的Open Directory或目录服务,Mac电脑还支持Active Directory和其他LDAP目录服务,但这是一个奇怪的举措。苹果公司实际上是轻视其服务器平台,同时仍然支持自己的目录服务(在某些情况下,比如该公司的Xsan集群管理解决方案就需要这一服务)。(重要的是要记住:iOS系统根本没有真正的目录系统。iPhone和iPad设计为单用户设备,尽管集成了K-12学校使用的Apple School Manager和Classroom应用程序的iPad是个例外。)
 
3.苹果公司正致力于更紧密地整合其桌面和移动产品。 2018年公司推出包括Marzipan的项目,这是苹果公司内部的一个项目,旨在让开发人员更容易在两个平台之间移植应用程序。虽然只有极少数iOS应用程序转到Mojave系统中的Mac电脑,但人们的评价并不高,看起来这个项目还有很长的路要走。尽管如此,这表明苹果公司正致力于在其整个生态系统中简化开发,以及可能的管理工作。
 
这将对Mac电脑上的身份产生重大影响。
 
苹果公司和企业身份:我们如何走到今天
 
要了解苹果公司在用户和设备管理方面可能的发展方向,就需要了解苹果公司如何发展到今天。
 
发布早期版本的Mac OS X时,用户帐户、设备标识、设置、配置数据和限制条件都存储在目录系统中(在本地计算机或网络上)。这种方法也反映出了其他主要操作系统的方法,包括Unix及其变体系统以及Windows系统。苹果公司构建了一个类似于微软的Active Directory组策略模型的托管首选项架构。默认情况下,它在基于LDAP的系统(称为Open Directory)中存储首选项、用户标识和计算机标识。
 
由于Open Directory和Active Directory都基于LDAP和Kerberos协议,因此过去(现在仍然)可以集成那些使用Active Directory的Mac电脑。典型的方法是将Mac电脑和Mac服务器连接到Active Directory环境,允许基本用户管理和身份验证使用Active Directory,而Open Directory来处理Mac电脑的管理和用户环境。Mac电脑和用户所需的所有配置文件数据都位于一个或多个目录服务中。
 
当苹果公司在2007年发布iPhone时,它没有创建多用户功能,除了在Apple School Manager和Classroom应用程序中,目前还没有创建任何此类功能。事实上,苹果公司从未表达过要这样做。即使当苹果公司发布其管理商用iOS设备的MDM协议的第一个迭代版本时,也没有支持多用户,尽管利用MDM协议的产品可能依赖于存储在目录系统中的用户(或其设备)信息(通常是Active Directory)来应用包含配置数据和访问限制的管理配置文件。今天仍然如此。
 
简而言之:大多数产品查询目录服务(通常是Active Directory)以获取必要的数据,但是存储设备和该目录之外的用户的实际管理信息(通常在它们自己的目录或数据库中)。
 
苹果公司的MDM answer存储数据的功能方法与该公司对Mac电脑基于目录的方法相同-- 结构化XML数据。由于数据不存储在自身目录中,因此它提供了一种更轻量级和更灵活的方法—事实证明,这对于其他企业软件供应商作为潜在集成商和合作伙伴是很有吸引力的。随着Mac OS X Lion系统的发布,苹果公司在Mac电脑上推出了这种方法,并在短短几年内复制了较重目录系统的所有管理功能。这带来了更大的灵活性:任何提供iOS管理的供应商都可以进行Mac管理,并且无需繁琐的目录集成。这对苹果公司和企业来说都是一场胜利。
 
苹果公司基本上将目录集成简化为其核心原则:企业身份和身份验证。
 
多年来,企业中的设备所有权也沿着不断发展的道路前进。苹果公司在推动企业发展的同时,可能已经进行了有计划的推进。
 
自带设备(BYOD)运动主要是从2007年的iPhone手机开始。随着一年后iPhone 3G、iOS 2和App Store的发布,许多用户开始尝试如何用他们的设备来处理专业工作,特别是在移动生产力和协作任务方面。所以,很自然地,他们开始将手机带到办公室,有时选择使用自己的iPhone而非公司的设备或黑莓手机。苹果公司对Exchange的支持和iOS 2中的新增配置文件功能助推了这一过程,但它并不是主要推动因素。
 
2010年,苹果公司推出了iPad,并支持使用该公司的MDM架构对iOS设备进行无线管理。iPad本身就成为了重要的自带设备之一,通过MDM配置和保障iPad安全的功能使IT管理员更加满意。(这种趋势也为公司提供了一个好处:他们不需要花钱购买设备,或者在许多情况下,也不必为服务付费。)
 
另一方面,Mac电脑则倾向于保留为企业设备,部分原因在于其相关成本,而且苹果公司需要一段时间来集成MDM功能。管理Mac电脑仍然需要以目录集成方式,该方式不太适合个人设备。结果就发展出了所有权模式(和公司责任)的分割。iMacs和苹果笔记本电脑采用一种管理方式;iDevices采用另一管理方式。
 
MDM功能随着Supervision模式和DEP(设备注册程序)的发展而演变
 
起初,苹果公司为企业和员工拥有的设备提供了相同的MDM功能。然后,在2012年,Apple Configurator工具出现了Supervision模式的概念。Supervision模式为企业和教育设备提供了管理功能的超集,并非用于个人设备。实际上,它需要在设备启用之前进行配置,以防止IT部门在用户不知情的情况下监控设备。首先,该过程需要受到监管—该设备必须通过USB连接到运行有Apple Configurator工具的Mac电脑进行初始设置--这一操作在苹果公司于2014年推出其设备注册程序(DEP)之前没有改变。
 
Supervision模式和设备注册程序(DEP)提供无线设置,可选择监督公司或学校购买的设备,Supervision模式和设备注册程序(DEP)均仅为公司所拥有的设备而设计。
 
很明显,苹果公司打算通过MDM管理其所有产品,使用一种基本上与供应商无关的方法。由于可以完全从企业环境中的Mac电脑中删除目录服务,因此管理和配置工作可通过MDM功能与设备的关联以及具有自身用户管理选项的MDM基础架构来完成。(本地用户帐户可用于在Mac电脑上进行访问。)
 
这有其优势,因为小型组织可以在不需要目录基础结构的情况下继续工作。这还允许使用其他解决方案进行用户帐户管理,而并非Open Directory,包括Active Directory、Azure AD或okta等服务。
 
目前,只有Active Directory在Mac电脑上享有本机支持,但第三方选项可以填补这一空白。 NoMAD公司于2018年被Mac企业供应商JAMF收购,其允许使用包括okta在内的替代服务。JAMF公司已经宣布了Azure AD身份验证,尽管该公司尚未就使用NoMAD技术的JAMF Connect产品提供发布时间表。
 
然后是Jump Cloud产品,它提供基于云的目录服务,支持内置于macOS系统中的LDAP功能。该产品提供本地Mac电脑支持,无需管理在本地macOS Server上运行的Open Directory服务。(MacStadium还提供基于云的macOS Server实例。)将这些视为“开发目录即服务(Open-Directory-as-a-Service)”选项。
 
毫不奇怪,云计算对许多希望管理身份的组织带来了挑战,因为它跨越多个内部服务和云服务,包括目录服务等基础服务。但这是苹果公司决定将身份从Mac管理服务中分离出来的另一种选择(尽管是默认的)。苹果公司正逐渐为IT管理员打开大门,让他们寻找和开发对其组织、用户和设备所有权模型最适合的身份和设备管理结构。
 
即将展开的身份/管理对话
 
尽管苹果公司正在迫使企业界对设备所有权和身份进行对话,但苹果公司也正在构建关于身份、访问、管理和所有权如何结合在一起的问题。虽然设备级管理是企业移动管理的首选,但条件访问、应用程序管理和内容级管理以及移动应用程序的企业许可等功能已经得到了发展。这意味着组织现在可以更灵活地设计安全和访问策略、部署策略和移动用例。简单地锁定硬件--特别是锁定那些不是组织所拥有的设备--不是唯一的选择。也不一定是最好的选择。
 
在管理用户拥有的设备时尤其如此。随着智能手机和平板电脑包含更多的个人数据,包括详细的健康信息,生硬的管理必然不会有吸引力。鉴于苹果公司在隐私方面的声誉如此之高,它很自然地希望在IT管理员、人力资源部门和公司高管之间开展这类设备管理的讨论。
 
最终,2019年苹果公司在工作场所的一个大亮点可能是其管理灵活性,特别是因为它继续增加可以扩展其企业客户的内部运营工作的合作伙伴。在这些问题成为数字化转型计划核心的核心竞争力时,苹果公司推出这些选择以及这些对话,也是很明智的。

关键字:统一通信协作苹果

原创文章 企业网D1Net

x 2019年的苹果公司:预计会更加关注企业身份和设备所有权 扫一扫
分享本文到朋友圈
当前位置:统一通信/协作企业动态 → 正文

2019年的苹果公司:预计会更加关注企业身份和设备所有权

责任编辑:cres 作者:Ryan Faas |来源:企业网D1Net  2019-01-04 09:53:20 原创文章 企业网D1Net

近年来,苹果公司已经做了很多工作,使IT管理员可以更轻松地部署、配置和管理各种Mac电脑、iPhone和iPad设备。以下将介绍苹果公司是如何完成这些工作的,以及接下来可能做的工作。
 
如果说2018年是苹果公司改进与企业用户关系的一年,那么2019年很可能成为该公司侧重于工作场所中设备所有权和身份的一年。事实上,苹果公司已经发出这种关注的信号有一段时间了,采取一系列措施改变了公司处理硬件管理工作的方式,并为未来一年奠定了基础。
 
这些看似无关的举措将使苹果公司能够加强其在处理企业身份(无论设备所有权是谁)方面的作用,从而使其能够为IT管理员提供更多灵活性和管理选项。
 
以下是苹果公司过去几年所做的工作:
 
1.在2017年的年度开发者大会上,苹果公司宣布将对企业控制其设备进行多项变化;而不是应用于所有受管理的macOS和iOS系统,这些控制将仅适用于在监督模式下的系统。 (从本质上说,这是一种更加严格的设备管理方式,仅适用于公司拥有的硬件,而不适用于带入公司办公的个人手机和平板电脑。)当时,苹果公司预计,随着macOS Mojave和iOS12系统的发布,这些变化将在2018年推出。但是应开发商、供应商和客户的要求,实施工作被推迟到2019年。
 
2.然后,在2018年初,苹果公司表示它们实际上正在关闭其服务器平台,并建议客户转向使用替代方案,包括构建了macOS服务器相关的一些功能的开源解决方案。最常见的功能之一始终是Open Directory,苹果公司的本机目录服务。虽然这种转变并不意味着关闭Mac电脑上的Open Directory或目录服务,Mac电脑还支持Active Directory和其他LDAP目录服务,但这是一个奇怪的举措。苹果公司实际上是轻视其服务器平台,同时仍然支持自己的目录服务(在某些情况下,比如该公司的Xsan集群管理解决方案就需要这一服务)。(重要的是要记住:iOS系统根本没有真正的目录系统。iPhone和iPad设计为单用户设备,尽管集成了K-12学校使用的Apple School Manager和Classroom应用程序的iPad是个例外。)
 
3.苹果公司正致力于更紧密地整合其桌面和移动产品。 2018年公司推出包括Marzipan的项目,这是苹果公司内部的一个项目,旨在让开发人员更容易在两个平台之间移植应用程序。虽然只有极少数iOS应用程序转到Mojave系统中的Mac电脑,但人们的评价并不高,看起来这个项目还有很长的路要走。尽管如此,这表明苹果公司正致力于在其整个生态系统中简化开发,以及可能的管理工作。
 
这将对Mac电脑上的身份产生重大影响。
 
苹果公司和企业身份:我们如何走到今天
 
要了解苹果公司在用户和设备管理方面可能的发展方向,就需要了解苹果公司如何发展到今天。
 
发布早期版本的Mac OS X时,用户帐户、设备标识、设置、配置数据和限制条件都存储在目录系统中(在本地计算机或网络上)。这种方法也反映出了其他主要操作系统的方法,包括Unix及其变体系统以及Windows系统。苹果公司构建了一个类似于微软的Active Directory组策略模型的托管首选项架构。默认情况下,它在基于LDAP的系统(称为Open Directory)中存储首选项、用户标识和计算机标识。
 
由于Open Directory和Active Directory都基于LDAP和Kerberos协议,因此过去(现在仍然)可以集成那些使用Active Directory的Mac电脑。典型的方法是将Mac电脑和Mac服务器连接到Active Directory环境,允许基本用户管理和身份验证使用Active Directory,而Open Directory来处理Mac电脑的管理和用户环境。Mac电脑和用户所需的所有配置文件数据都位于一个或多个目录服务中。
 
当苹果公司在2007年发布iPhone时,它没有创建多用户功能,除了在Apple School Manager和Classroom应用程序中,目前还没有创建任何此类功能。事实上,苹果公司从未表达过要这样做。即使当苹果公司发布其管理商用iOS设备的MDM协议的第一个迭代版本时,也没有支持多用户,尽管利用MDM协议的产品可能依赖于存储在目录系统中的用户(或其设备)信息(通常是Active Directory)来应用包含配置数据和访问限制的管理配置文件。今天仍然如此。
 
简而言之:大多数产品查询目录服务(通常是Active Directory)以获取必要的数据,但是存储设备和该目录之外的用户的实际管理信息(通常在它们自己的目录或数据库中)。
 
苹果公司的MDM answer存储数据的功能方法与该公司对Mac电脑基于目录的方法相同-- 结构化XML数据。由于数据不存储在自身目录中,因此它提供了一种更轻量级和更灵活的方法—事实证明,这对于其他企业软件供应商作为潜在集成商和合作伙伴是很有吸引力的。随着Mac OS X Lion系统的发布,苹果公司在Mac电脑上推出了这种方法,并在短短几年内复制了较重目录系统的所有管理功能。这带来了更大的灵活性:任何提供iOS管理的供应商都可以进行Mac管理,并且无需繁琐的目录集成。这对苹果公司和企业来说都是一场胜利。
 
苹果公司基本上将目录集成简化为其核心原则:企业身份和身份验证。
 
多年来,企业中的设备所有权也沿着不断发展的道路前进。苹果公司在推动企业发展的同时,可能已经进行了有计划的推进。
 
自带设备(BYOD)运动主要是从2007年的iPhone手机开始。随着一年后iPhone 3G、iOS 2和App Store的发布,许多用户开始尝试如何用他们的设备来处理专业工作,特别是在移动生产力和协作任务方面。所以,很自然地,他们开始将手机带到办公室,有时选择使用自己的iPhone而非公司的设备或黑莓手机。苹果公司对Exchange的支持和iOS 2中的新增配置文件功能助推了这一过程,但它并不是主要推动因素。
 
2010年,苹果公司推出了iPad,并支持使用该公司的MDM架构对iOS设备进行无线管理。iPad本身就成为了重要的自带设备之一,通过MDM配置和保障iPad安全的功能使IT管理员更加满意。(这种趋势也为公司提供了一个好处:他们不需要花钱购买设备,或者在许多情况下,也不必为服务付费。)
 
另一方面,Mac电脑则倾向于保留为企业设备,部分原因在于其相关成本,而且苹果公司需要一段时间来集成MDM功能。管理Mac电脑仍然需要以目录集成方式,该方式不太适合个人设备。结果就发展出了所有权模式(和公司责任)的分割。iMacs和苹果笔记本电脑采用一种管理方式;iDevices采用另一管理方式。
 
MDM功能随着Supervision模式和DEP(设备注册程序)的发展而演变
 
起初,苹果公司为企业和员工拥有的设备提供了相同的MDM功能。然后,在2012年,Apple Configurator工具出现了Supervision模式的概念。Supervision模式为企业和教育设备提供了管理功能的超集,并非用于个人设备。实际上,它需要在设备启用之前进行配置,以防止IT部门在用户不知情的情况下监控设备。首先,该过程需要受到监管—该设备必须通过USB连接到运行有Apple Configurator工具的Mac电脑进行初始设置--这一操作在苹果公司于2014年推出其设备注册程序(DEP)之前没有改变。
 
Supervision模式和设备注册程序(DEP)提供无线设置,可选择监督公司或学校购买的设备,Supervision模式和设备注册程序(DEP)均仅为公司所拥有的设备而设计。
 
很明显,苹果公司打算通过MDM管理其所有产品,使用一种基本上与供应商无关的方法。由于可以完全从企业环境中的Mac电脑中删除目录服务,因此管理和配置工作可通过MDM功能与设备的关联以及具有自身用户管理选项的MDM基础架构来完成。(本地用户帐户可用于在Mac电脑上进行访问。)
 
这有其优势,因为小型组织可以在不需要目录基础结构的情况下继续工作。这还允许使用其他解决方案进行用户帐户管理,而并非Open Directory,包括Active Directory、Azure AD或okta等服务。
 
目前,只有Active Directory在Mac电脑上享有本机支持,但第三方选项可以填补这一空白。 NoMAD公司于2018年被Mac企业供应商JAMF收购,其允许使用包括okta在内的替代服务。JAMF公司已经宣布了Azure AD身份验证,尽管该公司尚未就使用NoMAD技术的JAMF Connect产品提供发布时间表。
 
然后是Jump Cloud产品,它提供基于云的目录服务,支持内置于macOS系统中的LDAP功能。该产品提供本地Mac电脑支持,无需管理在本地macOS Server上运行的Open Directory服务。(MacStadium还提供基于云的macOS Server实例。)将这些视为“开发目录即服务(Open-Directory-as-a-Service)”选项。
 
毫不奇怪,云计算对许多希望管理身份的组织带来了挑战,因为它跨越多个内部服务和云服务,包括目录服务等基础服务。但这是苹果公司决定将身份从Mac管理服务中分离出来的另一种选择(尽管是默认的)。苹果公司正逐渐为IT管理员打开大门,让他们寻找和开发对其组织、用户和设备所有权模型最适合的身份和设备管理结构。
 
即将展开的身份/管理对话
 
尽管苹果公司正在迫使企业界对设备所有权和身份进行对话,但苹果公司也正在构建关于身份、访问、管理和所有权如何结合在一起的问题。虽然设备级管理是企业移动管理的首选,但条件访问、应用程序管理和内容级管理以及移动应用程序的企业许可等功能已经得到了发展。这意味着组织现在可以更灵活地设计安全和访问策略、部署策略和移动用例。简单地锁定硬件--特别是锁定那些不是组织所拥有的设备--不是唯一的选择。也不一定是最好的选择。
 
在管理用户拥有的设备时尤其如此。随着智能手机和平板电脑包含更多的个人数据,包括详细的健康信息,生硬的管理必然不会有吸引力。鉴于苹果公司在隐私方面的声誉如此之高,它很自然地希望在IT管理员、人力资源部门和公司高管之间开展这类设备管理的讨论。
 
最终,2019年苹果公司在工作场所的一个大亮点可能是其管理灵活性,特别是因为它继续增加可以扩展其企业客户的内部运营工作的合作伙伴。在这些问题成为数字化转型计划核心的核心竞争力时,苹果公司推出这些选择以及这些对话,也是很明智的。

关键字:统一通信协作苹果

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^