#11 Blížící se změny ve správě a další únorové novinky

Vítejte u únorového vydání Apple@Business. Zatímco nedávno vydaná aktualizace 26.3 přinesla spíše jen opravy chyb, tak chystaná další aktualizace přináší celou řadu změn, které mohou mít dopad na používání Apple zařízení i ve vaší organizaci. Co vás čeká v následujícím měsíci a co na podzim, se dočtete v dnešním hlavním tématu. Kromě toho níže najdete tip na aplikaci pro inspekci instalačních balíčků, tradiční seznam oprav chyb v aktualizacích, info o podpoře AI agentů v novém Xcode a novinky u předních MDM řešení pro správu Apple zařízení.

Téma

Změny, které nás čekají už na jaře

Stále častěji se stává, že si Apple nenechá systémové změny a úpravy dopadající na hromadnou správu zařízení (MDM) na vydání velkých verzí, ale aplikuje je pro mnohé nečekaně v některé z minor aktualizací. To je přesně případ chystané 26.4 pro všechny Apple platformy, která by měla veřejně vyjít někdy v druhé polovině března či začátkem dubna. Na co se tedy připravit?

Upozornění na konec kompatibility x86 aplikací na macOS

Na Apple Silicon čipech M1 až M5 používající architekturu ARM skvěle fungují i aplikace napsané pro dříve používané procesory Intel s architekturou x86. A to díky emulátoru Rosetta 2 přímo od Apple. Většina vývojářů své aplikace pro Mac již přepracovala na novou architekturu, někteří to však doposud neprovedli a čas pro to možný se krátí.

Od macOS 26.4 se uživatelům při spuštění takové aplikace, která ještě používá emulátor Rosetta bude zobrazovat upozornění o blížícím se konci jeho podpory. IT správci mohou pomocí nové MDM restrikce tyto notifikace zcela zakázat, aby firemní aplikace takto neděsily uživatele.

Ochrana odcizeného zařízení na iPhonech je nově zapnutá

Funkce Ochrana odcizených zařízení / Stolen Device Protection bude od iOS 26.4 nově ve výchozím stavu zapnutá. Tato funkce zabraňuje, aby neoprávněná osoba, která zjistila kód zařízení nemohla smazat všechna data a nastavení, nastavit nové zařízení v blízkosti, zobrazovat hesla a další. Tyto akce jsou při zapnuté ochraně možné pouze za použití biometrických údajů (Face ID nebo Touch ID). Pomocí kódu je lze provést jen na známých místech, tedy např. doma nebo v kanceláři.

Pro změnu hesla k Apple účtu, odhlášení z něj, změnu kódu zařízení nebo biometrických údajů, vypnutí funkce Stolen Device Protection a pro registraci do firemního MDM je pak nutné ještě hodinu počkat, než je takovou akci možné provést. Pokud uživatel není na známém místě, musí se ověřit biometricky, hodinu počkat a poté se znovu biometricky ověřit.

To může v případě uživatelem zahájené registrace zkomplikovat a prodloužit samotný proces. Je proto třeba s touto funkcí a možnými komplikacemi především pro BYOD zařízení počítat více, než dříve. U firmou vlastněných zařízení je to další důvod, proč využívat automatický enrollment zařízení (ADE), s kterým toto není třeba řešit.

Více o ochraně odcizeného zařízení na apple.cz

Přesun správy AI a Siri z restrikcí do deklarací

Různé funkcionality Apple Intelligence a Siri lze nyní zakázat pomocí konfiguračního profilu restrikcí. Tyto konkrétní restrikce již nebudou do budoucna podporovány a budou v iOS 26.4, iPadOS 26.4, macOS 26.4 a visionOS 26.4 nahrazeny novými deklarativními konfiguracemi. Půjde o nové, samostatné konfigurace pro Siri, Apple Intelligence, Externí poskytovatele (např. ChatGPT) a nastavení klávesnice.

Spravovaný Migrační asistent

MDM bude moci během Průvodce nastavením (Setup Assistant) nastavit migraci obsahu z domovské uživatelské složky na Macu se systémem macOS 15 nebo novějším do spravovaného Macu se systémem macOS 26.4 nebo novějším. Tuto funkci musejí však nejprve implementovat poskytovatelé jednotlivých MDM řešení.

V nové deklarativní konfiguraci pak bude možné určit, které složky se mají migrovat, které mají být vyloučeny a zda mají být některé uživatelské účty z migrace vyřazeny. Po dokončení migrace zařízení oznámí, zda byla migrace úspěšná, nebo zda se některé konkrétní soubory nepodařilo přenést. Zároveň také nahlásí datum, čas a objem přenesených dat.

Širší možnosti správy cloudové synchronizace souborů

S macOS 26.4 získají organizace větší kontrolu nad tzv. File Provider rozšířeními. Ty používají aplikace pro synchronizaci souborů mezi úložištěm počítače a cloudem jako jsou Google Drive nebo Microsoft OneDrive (který se mimo jiné brzy dočká velkého redesignu).

Nově bude možné omezit takové aplikace pouze na seznam povolených a také omezit synchronizaci souborů z externích disků.

Změny, které nás čekají na podzim

Novinky v operačních systémech verze 27 Apple samozřejmě představí až na konferenci WWDC26 v červnu. Již nyní je však oznámeno několik změn, s kterými je třeba počítat a připravit se na ně do konce roku.

Konec aktualizací mimo DDM

Pokud čtete tento zpravodaj pravidelně, tak již víte, že v OS 27 pro všechny Macy, iPhony, iPady, Apple TV, Apple Watch a Apple Vision Pro bude možné řídit aktualizace na firemních zařízeních pouze pomocí moderní metody prostřednictvím tzv. deklarativní správy zařízení (DDM). Přesvědčte se proto, zda MDM řešení ve vaší organizaci tuto funkcionalitu podporuje. V opačném případě totiž nebudete moci na dálku vynutit aktualizace systému.

Pokud si nejste jistí, domluvte si bezplatnou prvotní konzultaci a dozvíte se, zda je vámi používané řešení připraveno na příští operační systém od Apple.

Poslední rok kompatibility x86 aplikací na macOS

Současný macOS 26 je posledním systémem, který lze nainstalovat ještě na poslední modely počítačů Mac s intel procesorem. A macOS 27 bude už posledním systémem s podporou emulace aplikací vytvořených pro architekturu x86 pomocí nástroje Rosetta. Pokud tedy v organizaci používáte nějakou kritickou aplikace vyžadující Rosettu, kontaktujte její vývojáře pro zjištění dalších zda a kdy k aktualizaci dojde.

Blížící se konec povolení zpřístupnění pro macOS aplikace

Řízení soukromí a zabezpečení na macOS známé pod zkratkami TCC (Transparency, Consent & Control) nebo PPPC (Privacy Preferences Policy Control) přijde v macOS 27 o jednu z často používaných možností. V rámci změn v zabezpečení systému již nepůjde povolit pomocí MDM konfiguračního profilu subsystém Zpřístupnění / Accessibility, který dovoluje ovládat počítač.

Tento způsob přístupu k ovládání počítače používají především aplikace pro vzdálenou plochu, včetně oblíbeného TeamVieweru, ovladače periferií nebo aplikace pro ovládání konferenčních videosystémů. Apple doporučuje firmám přestat tuto konfiguraci používat.

Aktualizace OS

Vydaný OS verze 26.3

Některé funkce, jako přeposílání notifikací a hladší párování se zařízeními třetích stran, o kterých jsem informoval minule, byly odloženy do verze 26.4. Změny pro uživatele tak jsou pouze drobné:

• Omezení sledování polohy operátorem: Nově lze zapnout omezení určení přesné polohy operátorem pomocí triangulace, tedy výpočtu polohy dle vzdálenosti od tří okolních vysílačů. Tato funkce je však dostupná jen u vybraných operátorů a pouze pro novější iPhony s Apple C1/C1X modemem, tedy iPhone Air a iPhone 16e.
• Přenos dat na Android: V Nastavení je při mazání iPhonu nová funkce pro bezdrátový přenos dat na zařízení Android. Stačí umístit obě zařízení vedle sebe a vybrat, zda chcete přenést fotky, zprávy, poznámky, aplikace a další. Obdobnou funkci implementuje také Google pro Android a do budoucna tím tak budou nahrazeny samostatné aplikace Move to iOS pro Android a Android Switch pro iPhone.

Opravy chyb v iOS a iPadOS 26.3

• Opravena chyba, kde Global Address List (GAL) nevracel výsledky vyhledávání v aplikacích Mail a Kalendář.
• Exchange účty se základním ověřením přidané konfiguračním profilem se nezaseknou během přidávání nového účtu, když je nastavení profilu upraveno.
• Zamykací obrazovka se zobrazuje v režimu jedné aplikace, když je na zařízení nastaven kód.
• Notifikace o spravované aktualizaci systému se nedotazují opakovaně dříve jak 24 hodin před termínem aktualizace.
• Novým účtům nebude zabráněno v přihlášení na sdílený iPad kvůli nedostatku místa na disku.
• Opravena chyba, kdy zařízení ztrácela připojení s některými MDM službami.
• Zakázání App Store již nelze obejít použitím vyhledávání nebo Siri k nalezení a stažení aplikací.

Opravy chyb v macOS 26.3

• Šifrování disku FileVault je korektně aplikováno pro standardní uživatele při vynucení ze strany MDM během průvodce nastavením.
• Oprávnění pro nahrávání obrazovky pro aplikace jsou korektně ukázány v Systémových nastavení, když je MDM povoluje k zapnutí standardním uživatelům.
• Platform SSO přihlášení je dokončeno úspěšně použitím User Principle Name (UPN), když je heslo poskytovatele identity změněno mimo macOS.
• Oblast pro změnu velikosti oken nyní odpovídá více zakulaceným rohům Liquid Glass designu a nenachází se z většiny mimo samotné okno.

Všechny nově vydané aktualizace

Kromě verzí 26.3 Apple vydal ještě, jak je zvykem, několik aktualizací s bezpečnostními záplatami pro předchozí dvě major verze macOS a jednu iOS/iPadOS. Vedle toho také vydal opravu problémů způsobených nedávnou aktualizací některých historických verzí systémů.

Přehled opravených zranitelností na apple.cz

• macOS Tahoe 26.3 (změny pro uživatele, pro správce, pro vývojáře)
• macOS Sequoia 15.7.4 (změny pro uživatele)
• macOS Sonoma 14.8.4 (změny pro uživatele)
• macOS Big Sur 11.7.11
• iOS 26.3 (změny pro uživatele, pro správce, pro vývojáře)
• iOS 18.7.5 (změny pro uživatele)
• iOS 16.7.14
• iPadOS 26.3 (změny pro uživatele, pro správce, pro vývojáře)
• iPadOS 18.7.5 (změny pro uživatele)
• iPadOS 16.7.14
• tvOS 26.3 (změny pro uživatele)
• watchOS 26.3 (změny pro uživatele)
• watchOS 11.6.2
• watchOS 10.6.2
• watchOS 9.6.4
• watchOS 6.3.1
• visionOS 26.3 (změny pro uživatele)
• visionOS 26.3.1 (změny pro uživatele)

Připravovaný OS verze 26.4

Budoucí aktualizaci si nyní můžete stáhnout v její betaverzi. Kromě výše popsaných novinek obsahuje také velké množství oprav, které řeší různé problémy při firemním využití. Na nové funkce pro uživatele se zaměříme po jeho veřejném vydání.

Betaverze 26.4 jsou dostupné pro macOS, iOS, iPadOS, tvOS, watchOS a visionOS na portálu AppleSEED for IT nebo beta.apple.com.

Opravy chyb v iOS a iPadOS 26.4

• Keynote, Numbers a Pages nepožadují přihlášení Apple účtem, když byly nainstalovány jako spravované aplikace.
• Termín pro vynucenou aktualizaci je v posledních 13 dnech v textu notifikace přesněji popsán.
• Webové záložky (Webclip) se již neotevírají ve výchozím prohlížeči, když byl specifikován jiný.
• Uživatelé na sdílených iPadech nejsou dotazováni na ověření svého Apple účtu.
• Zařízení v režimu jedné aplikace nezůstávají po aktualizaci na "Hello" obrazovce.

Opravy chyb v macOS 26.4

• Keynote, Numbers a Pages nepožadují přihlášení Apple účtem, když byly nainstalovány jako spravované aplikace.
• Když selže instalace nového certifikátu při obnově enrollment profilu, původní certifikát zůstane aby zabránil odebrání zařízení z MDM
• Uživatelský kanál pro MDM konfigurace je správně nastaven pro uživatele zmigrované pomocí nové funkce nastavení Migračního asistenta.
• Uživatelské účty vytvořené MDM příkazem s nastaveným maximálním stářím hesla už se mohou přihlásit.
• U síťových disků přidaných do oblíbených a odpojených již opětovné připojování neselže.
• Zákaz sdílení souborů přes Bluetooth pomocí MDM již nelze obejít modifikací nastavení přes Terminál.
• Opravena chyba, kdy standardní uživatel nemohl odemknout obrazovku pomocí Touch ID, dokud se nepřihlásil administrátor.
• Přihlašovací obrazovka konfigurovaná pomocí MDM se po odstranění konfigurace vrátí do výchozího nastavení.
• Opravena chyba, při které se nastavené tiskárny odstranily během aktualizace systému.

Apple služby a aplikace

Xcode 26.3 s podporou AI agentů

Nová verze Apple vývojového prostředí Xcode získává podporu pro agenty OpenAI Codex a Anthropic Claude Agent, kteří jsou schopni vyvinout autonomně celou aplikaci. Apple s těmito předními AI společnostmi spolupracoval na tom, aby agenti měli přístup k plnému rozsahu funkcionalit Xcode.

Agenti dokáží vytvářet nové soubory, prozkoumat strukturu kódu celého projektu, kompilovat kód, provádět testy, dělat snapshoty ke kontrole své práce a přistupovat ke kompletní dokumentaci Apple. Kromě uvedených agentů je Xcode 26.3 kompatibilní s jakýmkoliv agentem nebo nástrojem, který používá otevřený standard Model Context Protocol.

Více v tiskové zprávě na apple.cz

iPhone a iPad certifikovány pro NATO

Na základě důkladného testování bezpečnosti a zhodnocení německou vládou byla zařízení iPhone a iPad jako první spotřebitelská zařízení schválena pro práci s přísně tajnými informacemi v prostředí severoatlantické aliance. Tato certifikace je výsledkem špičkového zabezpečení na úrovni software i hardware.

Více v tiskové zprávě na apple.cz

Tip na aplikaci

Suspicious package

Jak už název napovídá, dnešní tip má co dočinění s balíčky. S balíčky aplikací na Macu, které už s touto praktickou aplikací nebudou nadále podezřelé. Slouží totiž k detailnímu prověření obsahu instalačních .pkg balíčků a celých aplikací, aniž byste je museli instalovat či spouštět. To se hodí nejen pokud jste obezřetný uživatel, ale především pokud jste IT správce a potřebujete zjistit o aplikacích potřebné informace před nasazením pomocí MDM.

Se Suspicious Package velice rychle zjistíte verzi aplikace, její bundle ID nebo ID vývojáře, což se hodí při nastavování politik ochrany soukromí. Dále, zda je podepsaná platným certifikátem, prošla ověřením Gatekeeperu, notarizací či jestli běží v sandboxu. Můžete si projít všechny soubory obsažené v balíčku a jejich budoucí umístění na disku, před i po instalační skripty a tzv. Receipts, které zapisují do systému informaci o úspěšně nainstalovaných aplikacích. Třešničkou na dortu je, že většinu těchto informací zjistíte už přes Quick Look, tedy stisknutím mezerníku, aniž byste Suspicious Package museli spouštět.

Aplikace je dostupná zdarma na webu vývojáře mothersruin.com

Novinky v hromadné správě

Jamf Pro

• Self Service+ aplikaci je nyní možné změnit ikonu a jméno, stejně jako to šlo pomocí nastavení brandingu u dřívější verze. Nová verze má také vylepšené zobrazení informací o uživatelském účtu po kliknutí na jméno v levém dolním rohu.
• Jamf Pro 11.25 nyní podporuje registraci pomocí spravovaného Apple účtu (Account-Driven Enrollment) i bez konfigurace vlastního webového discovery serveru. Zatím pouze pomocí API lze nastavit tuto službu přímo na Jamf Pro cloudovém serveru a organizacím tak odpadá nutnost hostovat potřebný konfigurační soubor na vlastní doméně.
• SSO přihlášení do administrační konzole si nyní pamatuje naposledy použitého poskytovatele identity a není tak nutné zadávat e-mailovou adresu. Také odhlášení z jednoho Jamf produktu odhlásí i všechny ostatní.
• V rámci Jamf Account SSO lze nastavit delší trvání session a dobu před automatickým odhlášením z Jamf aplikací.
• V Blueprintech, tedy deklaracích, jsou nová nastavení pro privátní mobilní síť, Safari lze nakonfigurovat více rozšíření a Rapid Security Responses se přejmenovaly na Background Security Improvements podle nového názvu od Apple.
• Do Compliance Benchmarků byla přidána šablona Government Information Security Baseline 2 (BIO2).
• Jamf Connect v nové verzi 3.6.0 přináší opravu řady chyb, odstraňuje z menu položky About, Quit a Preferences a nástroj authchanger je nyní kompatibilní s Platform SSO.
• Jamf Setup Manager ve verzi 1.4.4 opravuje podstatnou chybu, která zabraňovala aktualizaci dat v inventáři po dokončení onboardingu.

Mosyle

• Katalog Mosylem spravovaných aplikací rozšířily nové tituly jako jsou Parallels Desktop, Codex, PowerShell, Proton Mail, AWS VPN Client a další.
• V rámci Early Access lze vyzkoušet novou tapetu obsahující QR kód se sériovým číslem zařízení.
• Přidána restrikce pro zákaz notifikací o konci podpory Intel aplikací (Rosetta Usage Awareness).
• Pro země, kde je státem vyžadována kontrola věku (např. Velká Británie), je možné krok průvodce nastavením pro ověření věku na spravovaných zařízeních přeskočit.
• Redesignu se dočkaly profily pro WiFi, Chrome Management, Google Account, Login Items, Install Enterprise, Install PKG, Single Shot. K dispozici je přepracovaný výběr aplikací.
• Funkce Hardening&Compliance pro iOS/iPadOS získala 16 nových pravidel, které umožní monitorovat a vynucovat další restrikce na zařízení.

Microsoft Intune

ACME protokol

Intune nově registruje Apple zařízení s moderním certifikátem typu ACME (Automated Certificate Management Environment) namísto stávajícího SCEP (Simple Certificate Enrollment Protocol). Přidává se tak k dalším předním MDM poskytovatelům, kteří nabízí tento bezpečnější protokol.

ACME certifikát je totiž spjatý s unikátním hardwarovým klíčem daného zařízení a zabraňuje tak možnosti neoprávněného použití díky technologii Manage Device Attestation na Apple zařízeních. Pro využití ACME není třeba ze strany organizace nic nastavovat. Všechna nově registrovaná zařízení automaticky získají tento nový typ certifikátu.

Nové možnosti konfigurace

• Filtry pro přiřazování konfigurací (Assignment Filters) nově podporují také deklarativní konfigurace (DDM) jako jsou například ty pro aktualizaci systému. Doposud byly tyto filtry u DDM konfigurací bez upozornění ignorovány, což mohlo způsobit neplánovanou instalaci na všechna zařízení ze skupiny bez ohledu na filtry.
• Nové obrazovky průvodce nastavením (Setup Assistant), které lze přeskočit při automatické registraci zařízení (ADE), jako je např. nastavení App Store nebo kamery.
• U administrátorského LAPS účtu na macOS lze nyní nastavit délku automatické rotace hesla od 1 do 180 dní. Původně byla možná pouze výchozí doba 180 dní.

Iru (Kandji)

Multiplatformní UEM (Unified Endpoint Management) řešení Iru, dříve Apple-centric MDM zvané Kandji přidává novou funkcionalitu pro automatické přiřazování konfigurací k zařízením.

Nově představená funkce Blueprint Routing umožňuje automatické přiřazování zařízení do správných Blueprintů (sad konfigurací) už během jejich registrace, a to na základě atributů zařízení a uživatele. Díky tomu IT správci nemusí předem ručně určovat, kam které zařízení patří, nebo řešit různé registrační kódy — zařízení vstupují do správy přes jediný inteligentní proces a systém je sám nasměruje podle definovaných pravidel.

Blueprint Routing pracuje s pravidly podobnými těm v Assignment Maps (přiřazování specifických konfigurací různým zařízením podle podmínek). Rozhodnutí o zařazení se provádí jednou při registraci a zařízení následně zůstává v cílovém Blueprintu. Ve spojení s Assignment Maps jde o plně automatizovaný způsob, jak zajistit správné nasazení a konfiguraci zařízení, což dříve bylo obtížně dosažitelné. Narozdíl od jiných řešení s dynamickými skupinami zařízení a uživatelů tak Iru nabízí jednodušší a přehlednější alternativu.

Více na blogu the-sequence.com

Potřebujete poradit s výběrem nového MDM řešení nebo provést audit toho stávajícího? Chcete se dozvědět více o Apple Business Manageru a hromadné distribuci aplikací?

Pak budu rád, když mě kontaktujete a během nezávazné online konzultace probereme, jak zlepšit praxi s Apple zařízeními i ve vaší firmě.

Naplánujte si nezávaznou konzultaci a společně se do toho pustíme.