Nieuwe MDM-functies in iOS 15 en macOS 12 Monterey

Apple heeft tijdens de Worldwide Developer Conference (WWDC) een reeks nieuwe MDM-functies aangekondigd voor het nieuwe iOS 15, macOS 12 Monterey en de huidige versies van iOS 14 en macOS Big Sur 10.15.

iOS Aankondigingen


Vereiste Apps

Op apparaten zonder toezicht kan MDM een enkele "verplichte" app installeren zonder de gebruiker om toestemming te vragen. Deze wordt geïnstalleerd als onderdeel van het oorspronkelijke MDM-profiel. Toestemming om de app te installeren wordt opgenomen tijdens de profielinstallatie. Dit is handig voor het installeren van een applicatie die noodzakelijk is voor bedrijfsfuncties en/of beheer, zoals de toepassing agent van de MDM-service.


Beheerd plakbord

Op dit moment biedt Apple binnen het profiel Beperkingen instellingen voor Beheerd openen. Met deze instellingen kunt u voorkomen dat gegevens en inhoud binnen beheerde apps worden verplaatst naar niet-beheerde apps, en vice versa. Met de instellingen voor Beheerd plakken biedt Apple u de mogelijkheid om dezelfde beperkingen toe te passen op de kopieer- en plakfunctionaliteit, wat betekent dat informatie die vanuit beheerde apps wordt gekopieerd, niet in onbeheerde apps kan worden geplakt en/of omgekeerd.


Gedeelde iPad

Apple heeft de mogelijkheid toegevoegd om in te loggen op gedeelde iPads als een tijdelijke gebruiker, wat betekent dat een gebruiker kan inloggen met elke Apple ID in plaats van alleen een beheerde Apple ID uit Apple Business Manager. Na het uitloggen worden alle gegevens die bij die gebruikersaccount horen verwijderd.

Met de toevoeging van het tijdelijke gebruikersconcept heeft Apple drie bijbehorende functionaliteiten toegevoegd, waaronder:

- De mogelijkheid om gebruikersaanmeldingen te beperken tot alleen tijdelijke gebruikers (wat betekent dat Apple ID-aanmeldingen van Managed iCloud accounts beperkt worden).

- De mogelijkheid om een maximale duur in te stellen dat een tijdelijke gebruiker ingelogd kan zijn.

- De mogelijkheid om een maximale duur in te stellen dat elke gebruiker ingelogd kan zijn.


"Neem beheer" vraag op iOS

Wanneer een onbeheerde toepassing op een apparaat is geïnstalleerd, kan MDM het beheer van die toepassing aanvragen. Dit verzoek zal de gebruiker vragen om beheer van de applicatie toe te staan. Met de nieuwe regels van Apple kan deze prompt maximaal 3 keer worden getoond en door de gebruiker worden afgewezen, waarna de prompt 24 uur lang niet meer zal worden getoond.

macOS Aankondigingen


Systeem Extensies

Voor macOS Big Sur, activeert het installeren van een Systeem Extensies payload de extensie als deze al in afwachting is van goedkeuring en het verwijderen van de payload deactiveert de extensie.

In macOS Monterey, introduceert Apple Verwijderbare Systeemextensies. Hiermee kunnen apps hun eigen systeemextensies deactiveren, bijvoorbeeld wanneer de app wordt verwijderd, en is er geen admin-goedkeuring nodig.


Kernel Uitbreidingen

Vanaf macOS Big Sur moet een Mac opnieuw worden opgestart om wijzigingen in kernel-extensies aan te brengen. MDM kan nu een opdracht Apparaat herstarten verzenden om de herstart te forceren, met opties om:

- De kernelcache opnieuw opbouwen zodat kernel-extensies kunnen worden geladen.

- Geef kernel-extensies op die niet door het besturingssysteem worden gedetecteerd. Met deze optie kan een app via MDM worden geïnstalleerd en kan de kernel-extensie worden geladen zonder dat de app door de gebruiker wordt gestart vóór de herstart.

- Geef een melding weer aan de gebruiker van het apparaat wanneer de Mac opnieuw wordt opgestart.

Bovendien is de optie om niet-admin gebruikers kernel extensies te laten goedkeuren toegevoegd aan de kernel extensies payload.

iOS app compatibiliteit op Apple Silicon

Apple heeft de mogelijkheid toegevoegd om te bepalen of een Mac iOS-programma's kan installeren en uitvoeren. Dit geldt voor M1 Macs. Voor aangepaste programma's ondersteunen M1 Macs nu provisioning-profielen die vergelijkbaar zijn met die van iOS.


Vergrendeling op afstand op Apple Silicon

Met het commando Remote Lock op macOS kunnen beheerders apparaten op afstand vergrendelen met een 6-cijferige pincode. Apple Silicon-apparaten ondersteunen nu de mogelijkheid om een bericht op het vergrendelscherm op te geven, evenals een telefoonnummer. Beide zijn optioneel.


Herstel wachtwoorden instellen

Apple heeft een nieuwe beveiligingsfunctie toegevoegd die beheerders de mogelijkheid biedt een wachtwoord op te leggen dat door de gebruiker moet worden ingevoerd om een Mac in de herstelmodus te kunnen opstarten. Dit wachtwoord kan alleen door MDM worden ingesteld en verwijderd. Het wachtwoord wordt automatisch verwijderd als een apparaat wordt uitgeschreven uit MDM.

Deze functie kan worden gebruikt naast het bestaande Activation Lock-mechanisme om uw Macs te beveiligen, zelfs als ze worden gewist.


Wis alle inhoud en instellingen

In macOS Monterey hebben gebruikers de optie om alle inhoud en instellingen te wissen om hun apparaat gemakkelijk te kunnen resetten naar de fabrieksinstellingen. Dit zal ook beschikbaar zijn voor MDM als een commando. Met deze toevoeging heeft MDM de optie om de mogelijkheid om alle inhoud en instellingen te wissen binnen het Restrictions-profiel te verbieden. Deze functie zal beschikbaar zijn op Apple Silicon en Macs met een T2-chip.


Apple Configurator

Apple Configurator is een tool die basisfuncties voor beheer biedt wanneer een apparaat is aangesloten, zoals de mogelijkheid om profielen toe te passen, apps te installeren en acties uit te voeren zoals het resetten van een apparaat, het upgraden van software en het inschakelen van de modus Supervised. Voorheen was Apple Configurator alleen beschikbaar via de macOS App Store (wat betekent dat de app alleen op een Mac kon draaien) en kon deze alleen worden gebruikt om iOS- en tvOS-apparaten te beheren.

Met de nieuwe updates van Apple biedt Apple Configurator beheerfunctionaliteiten voor macOS-apparaten met de T2- of M1-chip. De twee belangrijkste functionaliteiten zijn Restore en Revive. Met Restore worden alle gebruikersgegevens gewist, de firmware hersteld en de nieuwste macOS-versie opnieuw geïnstalleerd. Revive zal de firmware en het herstel-OS bijwerken met behoud van gebruikersgegevens. Deze functionaliteiten zijn vandaag beschikbaar.

Bovendien ondersteunde Apple Configurator voorheen de mogelijkheid om iOS- en tvOS-apparaten die buiten een formeel zakelijk kanaal waren gekocht, toe te voegen aan Apple Business Manager of Apple School Manager met behulp van een zogeheten voorlopige inschrijving. Apple zal nu de mogelijkheid ondersteunen om macOS toe te voegen aan Apple Business Manager of Apple School Manager met behulp van voorlopige inschrijving. Dit gebeurt met behulp van een Apple Configurator-applicatie die beschikbaar is via de App Store voor iOS-apparaten.

Voorlopige inschrijving is beschikbaar voor macOS-apparaten met een T2- of M1-chip waarop macOS Monterey is geïnstalleerd. Apple Configurator voor iOS zal in het najaar van 2021 beschikbaar zijn.

Voor meer informatie over Apple Configurator en het gebruik ervan, zie de officiële documentatie van Apple die hier beschikbaar is: Apple Configurator 2 Gebruikershandleiding


Software Updates

Een belangrijk aspect van Apple apparaatbeheer is het beheren van updates voor het besturingssysteem (OS). Apple stond voorheen het pushen van OS-updates naar apparaten via MDM toe. Daarnaast konden beheerders met het profiel Beperkingen tot 90 dagen vertraging afdwingen om te voorkomen dat OS- en software-updates werden geïnstalleerd. Apple biedt nu extra granulariteit om updatebeperkingen te beheren (om de aan de gebruiker getoonde updatemeldingen uit te stellen), evenals extra opties bij het pushen van OS-updates via een MDM.

Vanaf macOS 11.3 en later kan een beheerder grote OS-upgrades langer uitstellen dan kleine releases, waardoor beveiligingsupdates voor bestaande OS-versies kunnen worden geïnstalleerd zonder een grote upgrade toe te staan. Met Apple Silicon is voor updates verificatie vereist, wat handmatig door de gebruiker kan worden gedaan of met behulp van een MDM-bootstrap token.

Op Apple Silicon-apparaten met macOS Monterey of later ondersteunt Apple door MDM geïnitieerde updates met behulp van de opdracht "InstallLater" op apparaten met een bootstrap-token, waarmee updates van het besturingssysteem zonder interactie van de gebruiker worden geïnstalleerd op een moment dat wordt gedetecteerd dat het apparaat niet in gebruik is. Apple heeft de optie toegevoegd om de installatie van OS-updates toe te staan wanneer wordt gedetecteerd dat een apparaat op dat moment niet in gebruik is. Apple voegt ook extra berichten toe aan de gebruiker bij het uitvoeren van updates, waarin wordt gemeld dat een update is gepland, dat het apparaat moet worden aangesloten op een voedingsbron, enzovoort.

Voor macOS-apparaten met Monterey biedt Apple nu de optie om het aantal keren op te geven dat de gebruiker wordt gevraagd om een OS-update te installeren voordat de update wordt geforceerd. Een beheerder kan bijvoorbeeld aangeven dat een gebruiker ervoor kan kiezen om de update maximaal drie keer over te slaan, waarna hij wordt gedwongen om de update te installeren. Met deze optie kunnen beheerders ervoor zorgen dat gebruikers belangrijke OS-updates op tijd installeren. Wanneer dit is ingesteld, wordt er ook een melding aan gebruikers getoond die hen informeert over hoeveel uitstel ze nog hebben en/of wanneer de update geforceerd zal worden geïnstalleerd.

Daarnaast heeft Apple meer mogelijkheden toegevoegd om te bepalen welke OS-versies aan gebruikers worden getoond en/of naar apparaten worden gepusht.