认识声明性设备管理

♪低音音乐播放♪ ♪ 梅利莎尼尔利：我是梅利莎尼尔利 我是软件工程师 任职于企业与教育技术团队 在Apple 我们总是努力创造 最好的设备管理功能和能力 以提供我们的企业伙伴 和教育组织他们需要的工具 来和他们的团队成员或学生连接 这些管理功能的支柱 是MDM协议本身 此协议是一个完善 且频繁使用的解决方案 直接在iOS macOS和tvOS中提供 而且已成为移动设备管理的标准 虽然我们每年都会向它添加功能 我们也持续评估这个协议 是否符合我们的设备管理目标 并且让它进化 以满足MDM解决方案开发者 管理员和用户的动态需求 现今 我们的MDM协议可以形容为 必要且被动的协议 每个管理工作流都需要花时间 而且在设备和服务器之间多次往返 然后当你在组织中 管理大量设备 性能挑战会更加恶化 这个例子中我们想确保 协议的性能和可扩展性尽可能地高 为了达到最佳性能和可扩展性 我们重新想象了MDM协议本身 设备管理的未来是声明式管理 协议的变革性更新 将策略管理带到设备上 声明式管理让设备能 自主又主动 解放服务器 让服务器变得轻量、被动 不需时常轮询就能订阅更新 自主的设备会对它自身的状态改变 做出反应 然后对自己应用管理逻辑 不需要服务器提示 主动的设备有个状态通道 在重大状态改变发生时 向服务器异步报告 让服务器不需轮询设备 让设备能够既自主又主动 是声明式管理的根基 并且能够提升性能和可扩展性 最棒的部分是 虽然它是新的范例 它不是新的协议 我们将这个全新的声明式功能 建构在我们现有的MDM协议里面 从iOS设备开始 我们将深入了解 驱动新的声明式范例的数据模型 然后 我们会谈谈MDM的集成 我们会逐步讲解一个特定例子 了解如何开始 我们先来谈声明式数据模型 声明式数据模型有三大梁柱 声明 也就是服务器定义 并发送到设备的负载 状态通道 也就是新的通信通道 设备会通过它主动向服务器更新 它自身的新信息 还有扩展性 有了它 随着Apple推出声明式管理的新功能 你的设备和服务器能无缝处理 了解这三大梁柱会让你准备好 导入声明式管理 到你的MDM解决方案 我们先从声明开始 声明代表 组织想要在设备上强制的策略… 例如 账户、设置和限制 声明可以为 所有用户共同的策略创建 也可以为 单一用户或设备的特定策略创建 我们来检视声明的组成 声明的数据表示 类似配置文件 声明也是一个字典 里面有一组键还有值的标准类型 不过声明在网络上发送时 是作为JSON对象序列化而不是plist 所有声明都有三个必要属性 Type Identifier和ServerToken Type定义配置表示哪个策略 Identifier键有个值 能唯一地标识 发送到设备的所有声明中的 那个特定声明 通常这会是一个表示成字符串的UUID 设备会在和服务器同步声明时 使用这个值 ServerToken键表示 基于Identifier键 声明的唯一修订版本 这个键也用于 和服务器同步声明 这个值是一个字符串 每个修订版本必须不同 它可以是简单计数器或UUID字符串 就像例子中显示的 负载是声明的一个数据特定部分 包含和声明类型相关的 键和值 跟配置文件负载一样 有些键可能是必要的 有些可能是可选的 值可以是字符串、数字、布尔、数组 或字典 并且可能受限于一个范围… 像是数字一到十…或是一组特定的值 像是字符串枚举 共有四种声明类型：配置 资产、激活和管理 第一个类型的声明是配置 配置表示 要应用在设备上的策略… 例如 账户、设置和限制 配置类似MDM现有的配置文件负载 这是一个配置声明的例子 它应用限制到设备密码 标准键… Type、Identifier和ServerToken… 都在 因为所有声明都必须有这三项 Type的值将这个标识为 一个密码配置类型的声明 Payload键包含配置的 密码策略数据 下一个声明的类型是资产 资产表示配置需要的 辅助数据的引用 这可以是大型数据的共同项目 或是个性化的 对于大型数据项目 资产声明包含一个URL 设备用那个URL从服务器提取 实际资产数据 此服务器可能是你的MDM服务器 或是另外的内容分发网络服务器 从另外的内容分发网络服务资产 将支持大型网络带宽的负担 转移到更适合处理的服务上 资产也可以用来表示 用户的特定数据 例如他们的姓名 电子邮件地址、账户密码和证书 这会将每用户的自定义数据 从配置移动到更小的 专属的资产类型声明 资产和配置 有一对多的关系 例如 一个凭据资产 可以被多个账户配置引用 因此不需在每个账户配置中 复制同样的用户信息 如此 如果用户凭据需要更新 只有那个资产需要更新 所有引用那个资产的配置 都维持不变 而设备会对策略进行相应的更新 像这样一次为很多配置 进行渐进更新的能力 将会改善设备管理系统的 总体响应能力 我们来检视一个资产声明的组成 这是一个资产声明的例子 它定义用户标识… 基本上就是用户的联系信息 三个必要标准键都在 Type的值将它定义为 用户标识资产声明 Payload键包含这个资产的 用户标识属性 下一个类型的声明是激活 激活表示设备会原子性应用的 一组配置 这代表所有配置集中的配置 还有任何引用的资产 必须有效 全部才能应用 如果有任何一个无效 激活会失败 无法应用关联策略 这是一个简单激活的例子 它包含两个配置 三个必要的声明键都在 Payload包含要由激活原子性应用的 一组配置 配置通过它们的标识符键引用 激活和配置之间 有多对多关系 激活可以引用多个配置 一个配置可以有多个激活 引用它 此多对多关系 允许设备自主处理 复杂的业务逻辑 激活可以包含一个谓词 确定设备上的激活状态 何时是可用或停用 设备只会在谓词评估为true时 处理激活引用的配置 作为例子 一个谓词可以声明 特定的激活 只在某特定设备类型可用 例如iPad 另一个例子是想让一组策略 只应用于某特定版本的OS 这让服务器能为任何设备状态 发送所有声明 并让设备自己决定应用哪些 让设备更加自主 随着设备状态改变 激活谓词会被重新评估 不需要服务器介入 和新的设备状态关联的策略会被应用 而任何过期的策略会被移除 这个设备变得越来越主动 没有谓词时 设备永远会处理 激活引用的配置 这是先前的激活例子 但现在它有个谓词 表示这个激活 应该只在设备是iPad时 应用它的策略 最后一种类型的声明是管理声明 管理声明用来 对设备传达总体管理状态 这包含一个描述组织细节的声明 还有一个 描述服务器能力的声明 这些声明能帮助 向设备传达静态信息 这就是将组织策略应用到你的设备的 四种声明类型 新的声明式管理数据模型 第二梁柱 是状态通道 由于声明运作的方式 设备的声明状态可能不匹配 设备在任何时点的实际状态 例如 任何要求用户交互的声明 只有在那个操作发生时才会应用 一个好例子是密码策略 用户必须采取行动 为设备创建一个新的符合策略的密码 为了提升这个设备状态过渡的可见性 我们创建了状态通道 设备状态的更新会通过状态报告 发送到服务器 服务器可以订阅特定的状态项目 让它只接收它在乎的变更的更新 状态项目由项路径识别 项路径由句号分隔的字符串令牌组成 状态项目可以当作 激活谓词中的表达式使用 就像之前在激活谓词例子里 展示的那样 服务器用状态订阅配置 订阅特定的状态项目 一收到这个配置 设备会为订阅的状态项目 发送一个初始状态报告 然后在订阅项目变更时发送报告 状态报告为渐进式 所以只会报告变更的项目 声明的状态… 也就是它们是否被应用… 在变更时总是会向服务器报告 服务器不需要订阅 我们来检视一个配置 它订阅特定的状态项目更新 这个配置订阅三个状态项目 分别表示设备的操作系统版本 类型和模型 当这个配置在设备上已激活 它会发送每个新订阅的状态项目的 初始状态报告 状态项目表示成JSON对象 由相应项路径的 分层组件嵌套 这个例子中 设备报告它是在iOS 14.5上 当用户将软件更新为 最新的iOS 版本 设备会报告 操作系统版本项目的状态变更 服务器现在检测到 设备已升级成iOS 15 声明式数据模型的第三梁柱 是扩展性 由于Apple产品的生命周期较长 你一定要 让你的MDM解决方案的不同版本 和Apple设备维持兼容性 特别是随着软件更新和新的硬件型号 推出 有了声明式管理 设备和服务器 两者现在都播发对彼此的支持能力 两者都知道何时可以开始利用新功能 而不需要你硬编码软件版本 或硬件依赖项 服务器和客户都播发的能力 包含一个支持功能的列表 里面表示较小和重大的协议更新 客户端也播发支持的负载 列出客户端支持的 完整的声明和状态项目 服务器的能力通过一个管理声明 发送到设备 当服务器更新 它会将所有新功能同步到设备 就像它为其他类型的声明做的一样 设备能够立即利用 服务器的新功能 客户端的能力会在每次功能变更时 作为一个特定状态项目发送到服务器 这样 服务器可以立即开始利用 设备的新功能和负载 将扩展性内置于声明式数据模型 能确保声明式管理 能够应付现在和未来的挑战 现在你了解数据模型 我们来深入了解声明式管理如何 无缝集成到MDM协议之中 现有的MDM供应商今天就能开始 使用声明式管理功能 声明式管理已集成到MDM协议 并利用它管理 注册和取消注册流程 处理HTTP传输 和设备与用户验证 现有的成熟MDM产品 可以流畅地转移到声明式管理 不需要破坏性改变 像是采用新协议 或新的服务器基础结构 声明和状态通道 和你已经在用的MDM命令和配置文件 以可扩展的方式共存 这让你能逐渐采用 声明式管理的不同功能 不需一口气更新所有MDM工作流 例如 服务器可以选择 只实现状态订阅 有效地添加一个状态通道到MDM协议 而不需采用所有声明式管理 当设备从MDM取消注册 所有声明都会被移除 而且设备状态会做出相应调整 重要的是 声明式管理 完全不会影响现有的MDM行为 事实上 声明式管理 利用现有MDM行为 方式是用一个激活的MDM命令 和一个用于同步和状态报告的 MDM CheckIn请求 我们接着来深入了解这些 DeclarativeManagement命令 已添加到MDM 这个命令有两个作用 第一 它激活设备上的 声明式管理功能 请注意 一旦开启 声明式管理无法被关闭 不过服务器可以移除所有声明 有效地禁用声明式管理 第二 命令可以包含一个 包含同步令牌的负载 它会在需要时启动一个同步流 也有一个新的声明式管理 CheckIn请求类型 设备将它用于同步声明 和发送状态报告给服务器 这里有个新CheckIn请求类型的例子 MessageType键设置为 新的DeclarativeManagement值 终结点密钥设置为一个值 表示客户端正在提出一个请求 要从服务器取回声明清单数据 有些请求…例如这个状态报告… 也可以包含base64EncodedData 用CheckIn请求同步声明时 会有一个来自服务器的响应 有两种类型的响应：一个是清单 它会列出服务器定义的所有声明的 标识符和服务器令牌属性 还有设备应用的单一声明 现在你学会了如何用CheckIn请求 启用声明式管理和将声明同步 我们来谈谈可以如何逐渐将你的策略 从配置文件迁移到声明 有个声明类型特别用于 将配置文件以配置形式发送和安装 这让你能善用 MDM配置文件的完整套件 通过将基于配置文件的策略逻辑 移转到设备 立即利用声明式管理 这是一个配置文件配置的例子 这个配置文件通过URL引用 这个配置启动后 配置文件会从URL提取 并安装在设备上 我们采取这些步骤让声明式管理 能通过iOS 15 beta轻松采用 现在我们来查看一个例子 看声明式管理如何和服务器交互 首先 我们激活声明式管理 这从已经在MDM中注册的设备开始 服务器发送一个推送通知到设备 设备以平常的方式响应推送通知 也就是发送一个状态设置为Idle的 服务器URL终结点请求 接着服务器 用声明式管理命令响应 接收后 设备激活声明式管理 处理声明式管理命令之后 设备回送“已确认”状态给服务器 然后如果服务器没有更多命令 它会返回一个空白的响应 设备接着开始 它的声明式管理同步流程 我们接下来看看这个 设备首先发送一个CheckIn请求 终结点密钥设置为 declaration-items 服务器响应一个 包含声明元数据的清单 设备接着比较清单中的项目 和它之前从服务器接收的 那一组声明 通过比较 设备可以判断 哪些声明是新的 哪些变更了 哪些被移除了 对于每个新的或变更的声明 设备发送一个CheckIn请求 这个请求的EndPoint键设置为一个 唯一标识声明资源的路径 服务器接着用表示那个声明的 JSON对象响应 一旦所有声明都已从服务器提取 设备开始应用这个更新状态的声明 所表示的策略变更 一旦策略变更已应用 设备会发送状态报告到服务器 内含相应的更新状态项目 为了协助你起步 我们来了解iOS 15中推出什么 声明式管理功能 可用于使用iOS 15 和iPadOS 15的设备 它也只可用于当MDM注册类型 是用户注册时… 可能是iOS 15引进的新加入流程 或是iOS 13的流程 对于配置 我们有账户 和密码配置 代替相等的 MDM账户和密码配置文件负载 我们也支持配置文件配置 让你能开始用声明方式 安装MDM支持配置文件的完整套件 到你的设备 状态订阅配置 现在也可用 用来让服务器 声明它想接收的 特定的状态项目更新 现在有一种激活可用 这个简单的激活定义一个 必须原子性应用的配置的列表 而且可能包含一个可选的谓词 对于资产声明 有两种类型可用 用户标识资产 这表示一个用户的联系信息 和用户凭据资产 这包含用户ID和用户账户的密码 对于管理声明 我们支持两种类型 组织细节和服务器功能 接着 这些是现在可用的状态项目 每个声明都有自己的状态项目 会自动从设备发送到服务器 另外可用的是一组状态项目 它包含了设备的基本属性 像是设备的硬件模型细节 和它的操作系统 想知道这些声明 和状态项目的更多细节 请看Apple的设备管理 开发者文档 今天我们谈了 声明式管理的新范例和它的功能 发掘声明式管理如何让你能够 让设备更自主 更主动 我们学到如何集成声明式管理 到你的MDM解决方案中 我们讲了一个例子 展示声明式管理如何运作 并评论声明式管理如何已经准备好 让你今天就开始使用 我们等不及看到你如何用声明式管理 彻底改造MDM解决方案 谢谢收看 祝你有美好的WWDC ♪