Appleが、WWDC22において、宣言型デバイス管理の手法について解説した「Adopt declarative device management」を公開しています。

WWDC21 でMDMシステムを新しい世代に押し上げる構想として「declarative device management」（宣言型デバイス管理）が提案され、iOS に実装されて来ました。

WWDC22 では、この宣言型デバイス管理の手法が、macOS Ventura、tvOS 16にも拡大されます。

さて、「宣言型デバイス管理」とは何か? という話ですが、これまでMDMで管理された iOS ではMDMよりコマンドが発行されて設定変更が行われた際に、MDMは設定変更が完了したかを知るには設定が変更されたことを定期的にチェックし続けるしかありませんでした。

つまり、MDM から端末への一方的な問い掛けしかできないという状態でした。

ここで宣言型デバイス管理の概念が問い入れられると、MDMよりコマンドが発行され、それが端末に到達して設定変更に成功した場合は端末側から設定変更の完了を MDM へ通知します。

この「申告」と「状態 (の回答)」という手順を繰り返すことで、MDMと端末で対話をできるようにしたのが「宣言型デバイス管理」となります。

宣言型デバイス管理モデルを採用することで、状態確認のための利用されるネットワーク帯域幅を削減できるだけでなく、設定変更の検知が高速化されることでユーザからはレスポンスが向上したように感じられ、システム管理者においては端末の状態を把握するまでの時間が削減されることになります。

そして、通常は1つのMDMチャンネルですが、macOSデバイスと共有iPadデバイスには「デバイス」と「ユーザー」のMDMチャンネルが存在します。

「デバイス」チャンネルはデバイスレベルでの管理を、「ユーザー」チャンネルはユーザごとの管理を実施します。

このチャンネルごとに宣言型デバイス管理モデルは有効化する必要があります。

宣言型デバイス管理モデルを採用した場合には、設定ファイルである「プロファイル」の部分アクティブ化が可能になります。

例えば、パスコードの複雑性などを定義したポリシーに準拠した端末に対してのみWi-Fiやメール構成のプロファイルを設定するというエンタープライズでは一般的な要求を考えます。

この場合、旧来のMDMではパスコードがポリシーに準拠するのを確認するまで、Wi-Fi などを定義したプロファイルのファイルは MDM より発信されません。

多数の端末を一斉にアクティベーションする場合などには MDM に過大な負荷が掛かります。

宣言型デバイス管理モデルを採用した場合にはパスコードのポリシーと共に、Wi-Fi やメール構成を定義したプロファイルを端末へ送り込んでしまいます。

その上で Wi-Fi の定義部分は無効化されます。

パスコードのポリシーに準拠したことが端末から報告されるとMDMは Wi-Fi の定義などを有効化します。

このような動作によって通信トラフィックを最小限にすると共に、デバイスの状態を素早く変更することに役立ちます。