Die starke Zunahme der in modernen Unternehmen eingesetzten Geräte – insbesondere Apple-Geräte – erhöht den ohnehin schon anspruchsvollen Aufwand für das Gerätemanagement für IT- und Cybersicherheitsteams.

Laut aktuellen Forschungsergebnissen setzen 76 % der großen Unternehmen zunehmend Apple-Geräte ein, und 57 % der US-Unternehmen geben an, dass die Einführung von Apple-Geräten schneller voranschreitet als bei anderen Optionen. Daher ist es für immer mehr Unternehmen entscheidend geworden, Apple Declarative Device Management (DDM) zu nutzen, um das Gerätemanagement zu optimieren, Compliance zu automatisieren und die Skalierbarkeit zu verbessern.

Apples Ansatz für DDM wurde 2021 eingeführt und mit jeder Betriebssystemversion erweitert. Er hat einen grundlegenden Wandel im Gerätemanagement bewirkt und Softwareupdates sowie Patching vereinfacht. IT-Teams können nun gewünschte Zustände definieren, sodass Apple-Geräte Konfigurationen und Updates lokal selbst durchsetzen können. Dadurch sinkt die Abhängigkeit von Servern und manuellen Eingriffen.

So können Updates schneller erfolgen, Fehler minimiert und die Erfahrungen der Endbenutzer unauffällig und proaktiv verbessert werden. Das reduziert die IT-Arbeitslast spürbar und erhält gleichzeitig Sicherheit und operative Agilität.

Apple stellt das bisherige Softwareupdate-Management in iOS, iPadOS und macOS 26 ein und wird die Unterstützung in den Betriebssystemversionen 2027 entfernen. Daher ist jetzt der richtige Zeitpunkt, auf DDM umzusteigen. Erfahren Sie, wie die MDM- und UEM-Produkte von Ivanti Administratoren dabei unterstützen, Apple DDM optimal zu nutzen.

Was ist deklaratives Gerätemanagement (DDM)?

DDM ist ein fortschrittlicher Ansatz für das Management von Geräten, vor allem in IT-Umgebungen von Unternehmen oder Organisationen. Er ermöglicht Administratoren, den gewünschten Zustand eines Geräts oder Systems zu definieren, und erlaubt es dem System, diesen Zustand automatisch durchzusetzen und aufrechtzuerhalten.

Das DDM-Modell löst sich vom traditionellen imperativen Management, bei dem Konfigurationen und Aktionen zentral von IT-Administratoren per Skript erstellt und verwaltet werden. Dieser Ansatz erfordert direkte Anweisungen, um auf jedem Gerät das gewünschte Ergebnis zu erzielen.

Wichtige Funktionen und Vorteile von DDM

Welche Vorteile bietet DDM gegenüber einem traditionellen Gerätemanagementmodell?

  • Administratoren können den gewünschten Zustand oder das gewünschte Verhalten eines Geräts festlegen und sich dabei auf das „Was“ konzentrieren, statt auf das „Wie“ zur Erreichung dieses Zustands. Anstatt beispielsweise einzelne Befehle zur Konfiguration von Sicherheitseinstellungen zu skripten, kann ein Administrator einfach die erforderlichen Einstellungen deklarieren, und das System setzt sie durch.
  • Geräte überwachen ihre Konfigurationen autonom, um die Einhaltung eines vordefinierten Zustands sicherzustellen. Weicht ein Gerät davon ab, korrigiert es sich automatisch selbst, um die Compliance ohne manuellen Eingriff wiederherzustellen.
  • DDM erweist sich in Umgebungen mit großem Umfang als äußerst effektiv, da es den Bedarf an wiederkehrenden und manuellen Konfigurationsaufgaben minimiert.
  • DDM reduziert die Komplexität von Management-Workflows und gewährleistet Konsistenz über alle Geräte hinweg.
  • DDM-Lösungen nutzen moderne Managementprotokolle für schnellere und zuverlässigere Updates von Gerätekonfigurationen und Richtlinien.
  • DDM wird häufig in cloudbasierten Mobile-Device-Management-Lösungen (MDM) implementiert und nutzt die Cloud für Synchronisierung, Monitoring und Durchsetzung. Es kann jedoch auch in On-Premises-Lösungen umgesetzt werden.
  • DDM reduziert manuellen Aufwand durch die Automatisierung von Konfigurations- und Durchsetzungsprozessen.
  • Es gewährleistet Konsistenz und Compliance über alle Geräte hinweg und reduziert so das Risiko menschlicher Fehler.
  • Dynamische Updates ermöglichen eine schnellere Anwendung von Richtlinien und Einstellungen als traditionelle Methoden.
  • Änderungen werden nahtlos implementiert, ohne die Benutzererfahrung zu beeinträchtigen.

Ein Beispiel für einen DDM-Anwendungsfall

In einem hypothetischen Beispiel legt ein IT-Administrator fest, dass alle Mitarbeitergeräte in der Unternehmensumgebung Folgendes erfüllen müssen:

  • Eine bestimmte Version des Betriebssystems aufweisen.
  • Verschlüsselung aktivieren.
  • Den Zugriff auf bestimmte Anwendungen einschränken.

Mit DDM werden diese Anforderungen automatisch angewendet, kontinuierlich durchgesetzt und bei Abweichungen korrigiert.

Softwareupdates und Betriebssystem-Patching über Apple DDM

Der Einsatz von Apple Declarative Device Management für Softwareupdates und das Patching von Betriebssystemen (OS) verbessert diese Prozesse erheblich und macht sie proaktiver, effizienter und nahtloser. Er vereinfacht die Administration, reduziert Verzögerungen und stellt sicher, dass eine Geräteflotte stets sicher und auf dem neuesten Stand ist.

Vorteile von Softwareupdates

Zentrale Steuerung mit verteilter Ausführung

  • Administratoren legen Konfigurationen zentral fest, nutzen für die Ausführung jedoch die lokalen Funktionen des Geräts.

Proaktive lokale Durchsetzung

  • Updates werden auf Geräteebene durchgesetzt, sodass keine ständige Serverintervention erforderlich ist. Administratoren legen eine gewünschte Betriebssystemversion und eine Frist fest, und das Gerät stellt die Compliance autonom sicher.
  • Das Gerät überwacht sich selbst und wendet Updates an, ohne dass eine kontinuierliche Serverkommunikation erforderlich ist.

Automatisierung

  • Administratoren können bestimmte Versionen, Fristen und Update-Zeitpläne konfigurieren, z. B. außerhalb der Arbeitszeiten. So wird der Prozess automatisiert und die Beeinträchtigung der Endbenutzer minimiert.
  • Beispielsweise kann ein kritischer Sicherheitspatch für einen bestimmten Zeitpunkt geplant werden, sodass alle Geräte ohne Benutzereingriff aktualisiert werden.
  • Wenn ein Gerät ausgeschaltet ist und die Update-Frist verpasst, plant das deklarative Management das Update automatisch für einen späteren Zeitpunkt neu.

Benachrichtigung und Erfahrung der Benutzer

  • Benachrichtigungen beginnen 14 Tage vor Ablauf der Frist und erinnern Benutzer daran, das Update zu einem passenden Zeitpunkt durchzuführen. Am Stichtag startet das Gerät bei Bedarf automatisch neu und installiert Updates.
  • Administratoren können diese Benachrichtigungen anpassen oder frühe Erinnerungen unterdrücken, z. B. für Umgebungen im Einzelhandel oder Gesundheitswesen.
  • Administratoren können den Umfang der von Apple DDM zugelassenen Benutzerinteraktion konfigurieren, etwa indem sie manuelle Updates vor der erzwungenen Frist erlauben oder Benutzeraufschübe begrenzen.

Schnellere Updates bei geringerer Netzwerkabhängigkeit

  • Im Gegensatz zu traditionellem MDM, bei dem der Server den Gerätestatus kontinuierlich prüft, reduziert DDM die Latenz, indem der Compliance-Mechanismus auf den Endpunkt verlagert wird.

Erweiterte Statusberichte

  • Geräte melden den Status von Updates proaktiv an den Server, einschließlich der Information, ob ein Update läuft, erfolgreich abgeschlossen wurde oder fehlgeschlagen ist. Im Fehlerfall stehen detaillierte Fehlerprotokolle zur Verfügung.

Vorteile beim Betriebssystem-Patching

Prädikate für kontextbezogene Updates

  • DDM ermöglicht bedingte Regeln (Prädikate) für Updates, etwa dass ein Patch nur angewendet wird, wenn ein Gerät geladen wird oder der Akkustand über 80 % liegt.
  • Diese Bedingungen werden lokal auf dem Gerät ausgewertet, wodurch Updates kontextsensitiv und effizient werden.

Nahtloser Übergang zu neuen Betriebssystemversionen

  • DDM verwaltet den Übergang zu neuen Betriebssystemversionen oder Sicherheitspatches automatisch, ohne dass in jedem Schritt eine manuelle Überwachung durch Administratoren erforderlich ist.

Lokale Aktion ohne Internet

  • Geräte können Konfigurationen und Patches auch offline durchsetzen, Updates auf Grundlage vorab geladener Kriterien anwenden und Änderungen aktivieren, sobald die Bedingungen dies zulassen, z. B. bei Anschluss an die Stromversorgung oder außerhalb der Geschäftszeiten.

Ein weiterer praktischer Anwendungsfall

In einer Organisation mit mehr als 1.000 iPhones und MacBooks erfordert eine Zero-Day-Schwachstelle sofortiges Patching. Die Lösung?

  • Der Administrator legt mit Apple DDM eine Patch-Frist und eine Zielversion fest.
  • Geräte setzen das Update auf Grundlage lokaler Prädikate durch und stellen sicher, dass der Patch unter optimalen Bedingungen angewendet wird, z. B. in Zeiten geringer Akkubelastung.
  • Benutzer erhalten vor dem Update Benachrichtigungen, sodass sie informiert sind, ohne dass Workflows unterbrochen werden.

Ivantis Unterstützung für deklaratives Management

Ivantis Unterstützung für deklaratives Management baut auf Apples Declarative Device Management (DDM)-Framework auf und bietet einen nahtlosen, proaktiven und effizienten Ansatz für das Management von Apple-Geräten. Was sind einige der wichtigsten Komponenten?

Integration mit Apples DDM-Framework

Ivanti nutzt Apples DDM als Erweiterung des bestehenden Mobile-Device-Management-Protokolls (MDM) – nicht als vollständigen Ersatz, sondern als zusätzliche Ebene, die darauf ausgelegt ist:

  • Gerätereaktionen zu automatisieren: Geräte können Konfigurationen und Richtlinien lokal durchsetzen, wodurch die Abhängigkeit vom Server für kontinuierliche Prüfungen reduziert wird.
  • Proaktivität in Echtzeit zu ermöglichen: Geräte können Updates oder Konfigurationen autonom anwenden, wenn vordefinierte Bedingungen (Prädikate) erfüllt sind.

Durchsetzung von Softwareupdates

Ivantis Plattform unterstützt Apples deklaratives Softwareupdate-Management, das Folgendes einführt:

  • Durchsetzungseinstellungen: Administratoren können Betriebssystemversionen, Fristen und Update-Zeitpläne festlegen.
  • Proaktive lokale Aktionen: Geräte überwachen sich selbst und wenden Updates an, ohne dass manuelle Eingaben erforderlich sind oder auf serverseitige Auslöser gewartet werden muss.
  • Verbesserte Kommunikation: Geräte melden ihren Update-Fortschritt, Erfolg oder Fehler direkt an den Ivanti-Managementserver und bieten Administratoren Echtzeittransparenz.

Prädikat-Management

Ein herausragendes Merkmal der Ivanti-Unterstützung ist der Umgang mit Prädikaten – logischen Bedingungen, die Geräte vor dem Anwenden von Konfigurationen oder Updates auswerten. Zum Beispiel:

  • Eine Richtlinie gilt nur, wenn der Akkustand des Geräts über 80 % liegt.
  • Eine Konfiguration wird aktiviert, wenn das Gerät geladen wird.

Vereinfachtes Prädikat-Management in der Ivanti-Konsole

  • Ivanti stellt eine dedizierte Oberfläche zum Erstellen, Verwalten und Wiederverwenden von Prädikaten über Konfigurationen hinweg bereit.
  • Diese Prädikate können einfach auf deklarative Konfigurationen angewendet werden und optimieren so komplexe Workflows.

Benutzererfahrung und Benachrichtigungen

Ivanti verbessert die Benutzererfahrung, indem es die Benachrichtigungsfunktionen von Apple nutzt:

  • Benachrichtigungen können 14 Tage vor der Update-Frist beginnen, mit Optionen zur Anpassung von Häufigkeit und Inhalt.
  • Kritische Updates können Benutzeraufschübe außer Kraft setzen, indem Neustarts und Updates zum geplanten Stichtag durchgesetzt werden.

Umgang mit überschrittenen Fristen

  • Wenn ein Gerät die Frist verpasst, z. B. weil es ausgeschaltet war, plant Ivanti Updates automatisch neu und stellt so die Compliance sicher.

Unterstützte Konfigurationen

  • Ivanti gewährleistet Abwärtskompatibilität und einen reibungslosen Übergang zu deklarativem Management, indem sowohl ältere MDM- als auch neuere DDM-Konfigurationen unterstützt werden.
  • Bestehende Richtlinien und Workflows laufen ohne Unterbrechung weiter.
  • Deklarative Konfigurationen, z. B. Prädikate und lokale Durchsetzung, werden schrittweise in die Plattform integriert und hervorgehoben.

Mehr dazu: Sehen Sie sich das Webinar an Apple Device Management mit Ivanti meistern

Ivantis Leitfaden für Updates und Patches von Apple-Geräten mit deklarativem Gerätemanagement

Ivantis Ansatz zur Unterstützung von Apple DDM nutzt die proaktiven Funktionen des deklarativen Management-Frameworks von Apple und kombiniert sie mit einer benutzerfreundlichen Oberfläche, Automatisierung und Unterstützung für komplexe Unternehmens-Workflows. Diese umfassende Anleitung verbessert die Effizienz und Sicherheit des Gerätemanagements in Unternehmen.

Updates und Patches durchsetzen

  • Automatisierte Planung ermöglicht es Administratoren, Updates durchzusetzen, indem sie die Ziel-Betriebssystemversion sowie ein bestimmtes Datum und eine bestimmte Uhrzeit für das Update festlegen. Dadurch entfällt die Notwendigkeit manueller Updates, und die Einhaltung von Unternehmensrichtlinien wird sichergestellt.
  • Geräte setzen Updates lokal durch und wenden sie auf Grundlage vorkonfigurierter Bedingungen an, ohne auf kontinuierliche Serverkommunikation angewiesen zu sein.

Benutzerbenachrichtigungen verwalten

  • Benachrichtigungen werden ab 14 Tagen vor der Update-Frist an Endbenutzer gesendet. Das schafft Transparenz und motiviert Benutzer, das Update zu einem passenden Zeitpunkt durchzuführen.
  • Für bestimmte Anwendungsfälle wie Einzelhandel oder Gesundheitswesen ermöglichen flexible Benachrichtigungskonfigurationen Administratoren, frühe Benachrichtigungen zu unterdrücken und stattdessen kurzfristige Hinweise zu nutzen, um Störungen zu minimieren.

Compliance und Transparenz verbessern

  • Geräte melden ihren Update-Status proaktiv an den Ivanti-Server und geben an, ob Updates laufen, erfolgreich abgeschlossen wurden oder fehlgeschlagen sind. Administratoren erhalten außerdem Zugriff auf detaillierte Fehlerprotokolle, um Probleme zu beheben.
  • Wenn ein Gerät die Frist verpasst, z. B. weil es ausgeschaltet ist, plant das Gerät das Update automatisch für die nächste verfügbare Stunde neu.

Prädikate für bedingte Updates verwenden

  • Administratoren können Prädikatlogik definieren, um festzulegen, wann Updates angewendet werden sollen.
  • Da Bedingungen lokal ausgewertet werden, können Updates auch dann erfolgen, wenn das Gerät offline ist.
  • Ivanti stellt Tools zum Erstellen, Verwalten und Wiederverwenden von Prädikaten über Konfigurationen hinweg bereit, wodurch bedingte Updates einfacher und leichter umzusetzen sind.

Benutzererfahrung verbessern

  • Endbenutzer erhalten klare Informationen zum Update-Zeitplan, einschließlich der erzwungenen Frist. Sie haben die Möglichkeit, Updates vor Ablauf der Frist manuell zu installieren, um eine automatische Durchsetzung zu vermeiden.
  • Updates können außerhalb der Geschäftszeiten geplant werden, um die täglichen Aktivitäten der Benutzer möglichst wenig zu beeinträchtigen.

Patch-Management optimieren

  • Ivanti unterstützt deklaratives Patch-Management für Apple-Systemupdates.
  • Administratoren können Updates, einschließlich kritischer Sicherheitspatches, durchsetzen und so sicherstellen, dass Geräte geschützt und compliant bleiben.

Mehr dazu: Lesen Sie unseren Knowledge-Base-Artikel zu So erzwingen Sie Apple-Softwareupdates mit Neurons for MDM und EPMM

Ein herausragender Ansatz zur Unterstützung von Apple DDM

Ivantis Ansatz für Apple Declarative Device Management zeichnet sich dadurch aus, dass er die Automatisierung, lokale Durchsetzung und proaktiven Funktionen eines Unternehmens erweitert.

Administratoren profitieren von benutzerfreundlichen Tools, anpassbaren Benachrichtigungen und detaillierten Statusberichten, während Beeinträchtigungen für Endbenutzer durch geplante Updates und nahtlose Workflows minimiert werden. Mit Ivanti wird Apple DDM für die Organisationen, die darauf angewiesen sind, noch effizienter, sicherer und skalierbarer.

Mehr dazu: Ein Leitfaden zu Apple Declarative Device Management für Unternehmen