רוצים לאמץ DDM? שנת 2025 עשויה להיות שנת המפנה בניהול מכשירי Apple בארגון

אחד המהלכים החדשניים של אפל הוא Declarative Device Management, ובשנה האחרונה הוא תופס תאוצה. הנה מה שחשוב לדעת על השינוי המשמעותי מ-MDM ל-DDM

עומר ניניו
2.2.25

תמונה: dreamstime

ניהול מכשירים בארגונים עובר שינוי משמעותי, ו-Declarative Device Management – DDM הוא ללא ספק אחד המהלכים החדשניים ביותר שאפל הציגה בשנים האחרונות. DDM משנה את הגישה לניהול מכשירים בכך שהוא מעניק למכשירים עצמם יכולת לנהל את המדיניות והעדכונים שלהם, במקום להסתמך על הוראות משרת MDM באופן רציף.

המעבר מ-MDM ל-DDM

עד היום, ניהול מכשירים ב-MDM היה מבוסס על גישה הוראתית (Imperative), שבה השרת שולח פקודות ישירות למכשירים באמצעות שרתי ה-Push של Apple (כן, אותם אלה שמשמשים לכל שאר ההתראות שאתם מקבלים – APNS) כדי להגדיר מדיניות, להחיל הגדרות או לבצע פעולות. גישה זו יצרה תלות בתקשורת שוטפת בין המכשירים לשרת, שבתורו היה צריך לשלוח פקודה נוספת בכל פעם שהיה עליו לבדוק סטטוס של פקודה קודמת, ולעיתים גרמה לעיכובים ולתקלות במקרים של ניתוק זמני מהרשת.

DDM מציג גישה הצהרתית (Declarative), שבה ה-MDM מגדיר את המצב הרצוי של המכשירים באמצעות תכנית, Plan, המופצת באמצעות Declarations, והמכשירים אחראיים באופן עצמאי למלא את ההוראות בתכנית ולשמור על אותו מצב. במקום להמתין לפקודות, המכשירים מבצעים את השינויים הנדרשים בעצמם ומדווחים חזרה לשרת באמצעות Status Channel.

התקדמות הדרגתית באימוץ DDM

מאז הצגת DDM בכנס המפתחים העולמי של אפל WWDC 2021, חלה התקדמות הדרגתית באימוצו ובפיתוחו. בכנס WWDC 2022, אפל פרסמה לראשונה את Device Management Client Schema ב-GitHub, המספקת נתונים מובנים עבור פרוטוקול MDM ו-DDM. מאגר זה כלל מידע על פקודות MDM, בקשות check-in, פרופילים, שגיאות, וכן הצהרות ניהול הצהרתי ופריטי סטטוס.


כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime


בשנים האחרונות חלו שיפורים משמעותיים בניהול המכשירים של Apple באמצעות DDM:

  • ניהול מכשירים הורחב ל-Apple Watch, מה שמאפשר רישום (enrollment) של השעון לניהול ארגוני.
  • דרכים חדשות להפצת אפליקציות, תעודות (certificates), וכן ניהול קובצי תצורה של שירותים נפוצים ב-macOS.
    Software Update החל לנצל את DDM, ומאפשר לאדמינים לקבוע דדליינים לעדכוני תוכנה תוך שיפור השקיפות למשתמשים.
  • האימוץ של DDM היה איטי בתחילה, אך עם ההתקדמות השנתית והמאמצים של אפל וספקי MDM, הוא צובר תאוצה והופך לכלי מרכזי בניהול מכשירי אפל בארגונים, ושנת 2025 עשויה להיות שנת המפנה.

מה חדש ב-DDM?

ביצועים משופרים: מאחר שהמכשירים פועלים על בסיס מדיניות הצהרתית, הם יכולים לבצע שינויים מהר יותר וללא צורך בפינגים תכופים מול השרת, יחד עם הגברת החסינות מתקלות רשת ותקשורת.

דיווח שוטף ועדכונים מדויקים: Status Channel מספק דיווח מתמשך, מה שמאפשר למנהלי IT לקבל תמונת מצב מעודכנת על מצב המכשירים. למשל, דיווח על הצפנת Mac עם FileVault מתרחשת מיד ואין צורך להמתין לעדכון מלאי, רענון או פעולה אקטיבית מצדנו.

שיפור אבטחה ו-Compliance: המכשירים עצמם מבצעים שינויים להגברת אבטחת מידע ולווידוא תאימות למדיניות הארגונית.

התקנה ופריסה מהירות יותר:  מכשירים חדשים מיישמים את מדיניות הארגון מיד עם החיבור לרשת, ללא צורך בפעולות ידניות רבות, וללא צורך ״לעמוד בתור״ לקבלת פקודות מרובות ללא סדר מסוים.

גמישות והרחבה: בכל שינוי או עדכון של התכנית שפרסנו למכשיר, מכשיר הקצה יבצע השוואה וישלים את מה שחסר לו בתכנית וימשיך בדיווח. כך גם נוכל להמשיך לעדכן ולהרחיב בכל עדכון של Apple לפרוטוקול בעתיד.

איך זה עובד?

DDM מתבסס על שני מנגנונים עיקריים: Declarations ו-Status Channel.

Declarations – איך מגדירים מדיניות?

MDM מגדיר סט של Declarations, שמכילים הנחיות למכשירים על מצבם הרצוי. אלה יכולים לכלול תצורות רשת, הצפנת דיסק, מדיניות אפליקציות ועוד. ברגע שהמכשיר מקבל Declaration, הוא משווה את מצבו בפועל ומבצע שינויים בהתאם כדי לעמוד בדרישות.

Status Channel – איך המכשירים מדווחים?

המכשירים משתמשים ב-Status Channel כדי לדווח על מצבם בחזרה לשרת ה-MDM. בניגוד לעבר, אין צורך בשליחת פקודות הלוך ושוב, אלא רק ערוץ מיוחד שמוקדש לשידור והאזנה של הדיווח מהמכשיר. כך, מנהלי IT יכולים לוודא שהמכשירים אכן עומדים במדיניות שהוגדרה ולבצע התאמות במידת הצורך.

כיצד ספקי MDM מאמצים את DDM?

מאז שאפל הכריזה על DDM, ספקים שונים החלו לשלב את התמיכה במנגנון החדש, אך בקצב אימוץ משתנה. ניתן לראות זאת בהטמעה של דיווחים על מצבי המכשירים בלבד ברמה הבסיסית, בפעולות אקטיביות כמו עדכוני מערכת שהוצגו כבר לפני שנתיים ועד הטמעה של הגדרות חדשות ומתקדמות שלא היו קיימות כלל קודם בניהול מכשירי Apple, כגון ניהול הרחבות ב-Safari או הגדרות אבטחה מתקדמות.

חשוב לציין שהמעבר מ-MDM מסורתי ל-DDM אינו מיידי, ובשלב זה שתי השיטות מתקיימות במקביל. ארגונים יכולים לשלב אותן בהתאם לצרכים שלהם ולרמת התמיכה של ספקי ה-MDM שלהם, אך יש לוודא שההטמעה מתבצעת מול ספק שמותאם לאימוץ טכנולוגיות עתידיות ובצורה שבה ניתן יהיה לבצע מעבר מהיר ויעיל לשיטה העדיפה לכשיושלם.

ספקי MDM מובילים התאימו את הפתרונות שלהם כדי לתמוך ב-DDM בהתממשקות ישירה מול Apple. לדוגמה, Jamf הציגה את DDM Explorer, כלי המאפשר לכל מנהל IT לנתח ולהבין את המדיניות והמצב הנוכחי של DDM. הכלי מתממשק ישירות מול ה-GitHub של אפל, ואף מאפשר להעלות הגדרות ישירות לשימוש כ-Blueprints בעדכון החדש ל-Jamf Pro עליו דיווחנו לא מזמן, שיטת ניהול שנבנתה מאפס על מנת להיות מותאמת ל-DDM ולעקוב אחרי מדיניות Apple לניהול מכשירים מודרני על מנת למצות את הפוטנציאל הטמון בה.

Screenshot

אתגרי ההטמעה של DDM

למרות היתרונות הברורים של DDM, ישנם כמה אתגרים שארגונים צריכים להביא בחשבון:

שינוי תפיסתי: מעבר לניהול הצהרתי דורש חשיבה שונה לחלוטין מצד מנהלי IT ו-Mac Admins.

תמיכה חלקית בפתרונות קיימים: לא כל פלטפורמות ה-MDM תומכות באופן מלא ב-DDM, ולכן יש לבדוק את רמת התמיכה של הספקים השונים ולבחור בספק שמתמחה במדיניות של אימוץ טכנולוגיות Apple ב-Day One.

תאימות למערכת הפעלה: לכל עדכון ל-DDM יש גם דרישות מינימום למערכות ההפעלה למכשירים עליהם אנו רוצים להפעיל את הטכנולוגיה החדשה. למשל עדכון מערכת הפעלה עם DDM יעבוד רק על macOS 14 או iOS 17 ומעלה.

בדיקות ותיקונים: כמו בכל שינוי טכנולוגי משמעותי, יש לוודא שהמדיניות החדשה אכן פועלת כראוי, ולבצע בדיקות על קבוצות מכשירים קטנות לפני הטמעה נרחבת. גם כאן, מומלץ לבחור ספק שמאפשר גמישות בבדיקות מול קבוצות חכמות למשל.

מבט לעתיד

אין ספק כי DDM מסמן את הכיוון העתידי של ניהול מכשירי Apple. המעבר לגישה הצהרתית מאפשר ניהול חכם, גמיש ופרואקטיבי יותר של צי המכשירים בארגון. ככל שאפל תרחיב את התמיכה ב-DDM ותפתח יכולות נוספות, סביר שנראה את מרבית הארגונים מאמצים את המודל החדש.

האם הארגון שלכם מוכן לשינוי? זה הזמן להתחיל לחקור את DDM ולראות כיצד ניתן לשלב אותו בפלטפורמת ה-MDM הקיימת שלכם.

הכותב הוא Professional Services Specialist בחברת Wediggit

משרות פתוחות

אולי פיספסת

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם