#13 Apple Business v praxi a jak jej využít naplno

Výčet novinek ze světa Apple ve firmách, které spatřily světlo světa v dubnu je tentokrát poměrně krátký. Vděčíme tomu především blížící se konferenci WWDC, kde nám Apple teprve odhalí nadílku novinek na další rok. Jednu jsme si však rozbalili již s předstihem 14. dubna. Spustil se totiž celosvětově portál Apple Business, který jsem důkladně vyzkoušel a chci se o dojmy z něj s vámi podělit.

Téma

Praktické zkušenosti s Apple Business

Z portálu Apple Business Manager se v dubnu stal Apple Business, který nově přinesl vestavěnou základní MDM funkcionalitu v jednotném prostředí přímo od Apple. Zdarma, bez licenčních poplatků. Jaké jsou první zkušenosti z praxe a kde jsou jeho limity? Dokáže nahradit MDM řešení třetích stran? Zvládnou nastavení i netechničtí uživatelé a majitelé malých firem?

Už samotný proces registrace firmy se zjednodušil a zrychlil. Není potřeba mít pro ověření firmy DUNS číslo v mezinárodní databázi firem. Stačí přes domény pomocí nahrání txt záznamu do jejích DNS. Případně organizacím může pouze doložit dokumenty o svém založení.

Po necelých 10 dnech provozu hned přišla první aktualizace, která přinesla custom konfigurační profily a moderní aktualizace operačního systému pomocí DDM s širokými možnostmi nastavení. Bude zajímavé sledovat, jak rychle bude Apple své nové řešení vylepšovat.

Registrace zařízení a přiřazení konfigurací

V přehledném a přívětivém prostředí si snadno v sekci Devices aktivujete "Built-in management". V jeho nastavení si můžete zvolit pro každý typ zařízení způsob registrace uživatelem pomocí spravovaného Apple účtu - buď jako soukromá zařízení (BYOD) nebo jako zařízení vlastněná firmou. Podporovaná je samozřejmě i možnost automatické registrace pro nová zařízení. Klasický proces propojení MDM řešení s Apple Business Managerem, tvorbu APNs certifikátu a jejich následné obnovy zde nemusíte vůbec řešit.

Poté můžete začít s přiřazováním nastavení na jednotlivé zařízení, uživatele nebo skupiny. To se děje pomocí tzv. Blueprintů - jedná se o sady nastavení, do kterých přiřadíte jednotlivé konfigurace, aplikace, zařízení i uživatele. Blueprinty jsou jednoduché na používání i pochopení, ale postrádají pokročilejší automatizaci. Buď nově koupené zařízení nebo nového uživatele musíte k nějakému Blueprintu ručně přiřadit.

Existuje i možnost Blueprint přiřadit všem uživatelům, což ovšem skrývá jedno zásadní omezení. Jakmile je Blueprint přiřazen uživatelům, zařízení vyžaduje přihlášení spravovaným Apple účtem. To je sice žádoucí při manuální registraci uživatele do správy pomocí pracovního účtu v nastavení zařízení, ale při automatické registraci zařízení do správy během průvodce při prvním spuštění je u Apple Business, narozdíl od MDM řešení třetích stran, vyžadováno po registraci do správy také přihlášení spravovaným Apple účtem. Ten se následně stane jediným Apple účtem na daném zařízení.

Většina organizací však chce povolit uživatelům používání svých osobních Apple účtů (dříve Apple ID) pro soukromé využití jako benefit. V takovém případě je třeba vytvořit tzv. Blueprint pro servisní zařízení, který není vázaný na uživatele. V Apple Business pak ale neuvidíte, kdo zařízení používá, což kazí přehlednost a evidenci. U jiných MDM řešení tento neduh neřešíte. V současné době také Apple Business nepodporuje funkci migrace zařízení z jiného MDM řešení bez jejich smazání do továrního nastavení.

Možnosti nastavení

Pomocí jednotlivých konfigurací nastavíte základní zabezpečení, jako je politika hesla, šifrování disku nebo Firewall. Nastavíte uživatelům přístup do jednoduchých Wi-Fi sítí, VPN, e-mailové účty, kalendáře atd. Na výběr je pouze základních 20 konfiguračních profilů, které jsou však velice srozumitelně popsány a jejich nastavení je otázkou několika minut.

Aktualizace operačního systému používají moderní způsob pomocí deklarativní správy zařízení. Nemůžete přesně řídit konkrétní verzi OS a konkrétní datum její instalace, ale naopak si můžete velice přesně naplánovat automatické vynucování aktualizací a to lépe než u předních MDM řešení třetích stran. Nastavit můžete odklad aktualizace (maximálně o 28 dní) a následný deadline pro aktualizaci v počtu týdnů po odkladu. A to samostatně jednotlivé platformy (macOS, iOS, visionOS) a samostatně pro major upgrady (např. macOS Tahoe 26) a minor updaty (např. macOS 26.1). Stačí jednou nastavit a o všechny budoucí aktualizace je postaráno.

Výhodou je možnost nahrát vlastní konfigurační profil vytvořený například pomocí aplikace iMazing Profile Editor, o které se více dozvíte níže. Vytváření vlastních konfiguračních profilů není už tak jednoduché a nelze je doporučit pro netechnické uživatele. Dokáží však výrazně rozšířit dnes omezenou funkcionalitu MDM řešení od Apple. Potřebujete zamknout iPad do režimu jedné aplikace? Nastavit Platform SSO pro synchronizaci hesla Mac účtu s Microsoft 365? S custom konfiguračními profily a pomocí odborníka to lze.

Velký prostor pro zlepšení je u nastavení šifrování disku na počítačích Mac vestavěnou technologií FileVault. U této základní bezpečnostní funkcionality, kterou přední MDM řešení třetích stran zvládají na pár kliknutí, vyžaduje Apple Business manuální práci s certifikáty. A to nejen pro prvotní nastavení, ale také pro získání jednotlivých dešifrovacích klíčů k počítačům. Zrovna u správy této funkce macOS lze hodně pokazit a manuální práce s certifikáty a Terminálem si o to vyloženě říká, nehledě na riziko ztráty privátního klíče, který si musí správce Apple Business služby někde bokem uložit.

Co zcela chybí je jakékoliv nastavení průvodce prvním nastavením (Setup Assistant) pro přizpůsobení při automatické registraci firemních zařízení. U MDM třetích stran je možné přeskočit libovolné obrazovky, které po uživatelích nechcete nastavovat jako např. osobní Apple účet, čas u obrazovky, Siri a plno dalších. V případě přípravy desítek či stovek zařízení spravovaných službou Apple Business např. pro zaměstnance ve výrobě musíte vše odklikat jako bez správy. Neřešitelnou bezpečnostní mezerou je pak nemožnost u počítačů Mac nastavit uživatelům standardní účet místo správcovského.

Specificky pro počítače Mac mají MDM třetích stran pomocníka v podobě agenta - procesu, který běží na pozadí a spouští skripty, sbírá dodatečné informace a zkrátka dělá vše, co pomocí MDM protokolu nelze. Takového agenta Apple Business nemá a není tak možné spouštět skripty pro pokročilá nastavení a automatizaci.

Distribuce aplikací

Nákup a distribuce aplikací z App Store je velice komfortní. V záložce Apps & Services pořídíte potřebný počet licencí a následně je hned vedle v záložce Devices přiřadíte k vybranému Blueprintu zařízením nebo uživatelům. Jednoduché a efektivní, žádné integrace a pravidelné obnovy tokenů a snadno zvládnutelné uživatelem, který nemá se správou Apple zařízení žádné zkušenosti. Navíc je samotná instalace velice rychlá a informace o stavu u jednotlivých zařízení jsou k dispozici takřka okamžitě.

Aplikace se mohou instalovat na zařízení buď automaticky nebo na vyžádání prostřednictvím samoobslužné aplikace Business, česky "Byznys". Tato aplikace se automaticky nainstaluje po zaregistrování zařízení do hromadné správy. Ovšem pouze v případě použití Blueprintu vázaného na uživatele, tedy se spravovaným Apple účtem.

Pro macOS je zde možnost nahrát instalační balíček pro aplikace mimo App Store. Můžete nahrát dokonce i ikonku aplikace, potřebná povolení pro systémová rozšíření, povolení pro přístup k soukromým datům (PPPC) a automatický běh na pozadí. Lze tak nasadit různé EDR / antimalware nástroje nebo VPN služby. Na druhou stranu Apple Business neumožňuje balíček aplikace nahrát. Takže musíte vložit veřejný odkaz ke stažení balíčku a k němu ještě checksum pro kontrolu úspěšného stažení. Ten získáte v příkazové řádce Terminal a tím se už dostáváme opět mimo uživatelskou jednoduchost a přívětivost. Balíčky pro Macy je tak opět lepší svěřit IT odborníkovi.

Shrnutí

Pro malé firmy a jejich zaměstnance jde o skvělý nástroj, jak spravovat Apple zařízení, poskytnout potřebné účty a aplikace a zajistit základní úroveň zabezpečení. Navíc zcela zdarma. Dnes už díky Apple Business neexistuje žádný reálný důvod svá firemní Apple zařízení nemít pod správou. Ačkoliv je ve většině případů portál jednoduchý a přívětivý, není v tom vždy konzistentní a například u nastavení šifrování disku nebo nahrávání instalačních balíčků aplikací pro Mac vyžaduje obsluhu s IT zkušenostmi.

Jsem proto přesvědčený, že na začátku bude většina z CEO či zaměstnanců zodpovědných za IT jen jako vedlejší činnost potřebovat pomoc od odborníka. Proto nabízíme přesně pro tuto situaci pomoc v podobě startovacího balíčku s konzultací, úvodním nastavením a zaškolením v používání. Navíc vám s využitím custom konfiguračních profilů a balíčků pomůžeme rozšířit funkce Apple Business na maximum.

Pro komplexnější požadavky, firmy se složitější infrastrukturou a speciální use cases pak dle očekávání není Apple Business vhodné řešení a MDM služby třetích stran mají stále své místo na trhu. Nejste si jistí, zda je to váš případ? Využijte úvodní konzultaci zdarma nebo rovnou specializovaný workshop, kde se dozvíte o Apple Business vše do hloubky.

Více na fruitit.cz/apple-business

Tip na aplikaci

iMazing Profile Editor

Pro případy, kdy uživatelské rozhraní vašeho MDM řešení neobsahuje nějaké nastavení je tu aplikace iMazing Profile Editor. Ta si při každém spuštění stáhne nejnovější databázi konfiguračních profilů pro všechna Apple zařízení a nabízí tak zdaleka nejširší možnosti nastavení. Kromě profilů obsažených v Apple MDM protokolu nabízí také konfigurace nejčastěji používaných aplikací jako Microsoft Office, Google Chrome a mnoho dalších.

Stačí nejprve vyplnit hlavní payload General s názvem profilu. Využít můžete automaticky vygenerované unikátní ID profilu a možnost podpisu profilu, který zabrání následným úpravám. Poté již vybíráte z dostupných payloadů v levém sloupci, v kterých můžete vyhledávat či je třídit dle typu podporovaného zařízení. Rovněž je obsažen šikovný inspektor aplikací, který vám zobrazí jejich potřebné identifikátory. Na závěr můžete hotovou konfiguraci vyexportovat jako XML soubor .plist nebo jako hotový konfigurační profil .mobileconfig připravený pro nahrání do MDM serveru.

iMazing Profile Editor je ke stažení zdarma na Mac App Store nebo na imazing.com

Aktualizace OS

Všechny nově vydané aktualizace

Kromě betaverzí 26.5 Apple vydal ještě několik drobných aktualizací. 26.4.1 s opravami chyb (především pro nové MacBooky s M5 čipem, které měly problém s připojením do korporátních sítí). A také 26.4.2 a 18.7.8 s opravou zranitelnosti kvůli které šlo z logů zařízení vyčíst obsah notifikací od již smazaných aplikací. Díky tomu dokázali vyšetřovatelé zpětně přečíst došlé zprávy.

Přehled opravených zranitelností na apple.cz

• macOS Tahoe 26.4.1 (změny pro uživatele, pro správce, pro vývojáře)
• iOS 26.4.2 (změny pro uživatele, pro správce, pro vývojáře)
• iOS 26.4.1
• iOS 18.7.8 (změny pro uživatele)
• iPadOS 26.4.2 (změny pro uživatele, pro správce, pro vývojáře)
• iPadOS 26.4.1
• iPadOS 18.7.8 (změny pro uživatele)

Co se chystá v OS 26.5

K dispozici je již několikátá beta verze nadcházející desetinové aktualizace, která se očekává v první polovině května. Nepřináší žádné zásadní změny, ale spíše drobné úpravy a spoustu oprav chyb.

• Opravena chyba při které se počítače Mac nečekaně restartovaly při připojování k SMB síťovým diskům.
• Uživatelům již opakovaně nevyskakuje výzva k odemknutí klíčenky při používání Smart Card nebo Platform SSO.
• Automatické vyplňování hesel a passkeys může být v nastavení macOS zapnuto pro jiné aplikace v případě že je vyplňování vypnuto v Safari pomocí správy zařízení.
• FaceTime hovory neselžou při použití transparentní proxy na síti.
• Aplikace na macOS používající technologii XQuartz se nyní zobrazují korektně při změně velikosti okna.
• Opravena chyba, kdy uživatelé byli vyzváni k přeregistraci Platform SSO, ale nebylo to možné až do reinstalalace jeho konfigurace.
• Opravena chyba, kdy některé počítače Mac nastartovaly do černé obrazovky po aktualizaci macOS.
• Opravena chyba, kdy úspěšné přihlášení pomocí Smart Card bylo zaznamenáno jako neúspěšný pokus o přihlášení.
• V macOS bude změněn způsob vyhledávání doménových řadičů v případech, kde Macy nejsou bindované do Active Directory.
• Při aktualizaci z iOS 26.4 beta 4 a novějších (tedy i v 26.4.1) bude funkce Stolen Device Protection automaticky zapnuta při nastavení nového zařízení nebo obnově. U starších nikoliv.
• Opravena chyba kdy při velkém množství kontaktů nešlo zahájit nebo přijmout hovor.
• Opravena chyba, kvůli které se některé iPady nemohly připojit k mobilním datům.
• Důvěryhodné certifikáty již neselžou s chybou "Not Standards Compliant".
• Opravena chyba při které zařízení s jazykem jiným, než angličtinou nezobrazily klávesnici pro zadání hesla.
• Apple Mapy dostanou funkci návrhů míst a reklamy v USA.
• V EU se opět testuje přeposílání notifikací a rychlé párování s příslušenstvím třetích stran. Navíc bude možné sdílet i živé aktivity.
• Apple Magic Keyboard, Trackpad a Mouse se po připojení k USB-C iPhonu automaticky spárují přes Bluetooth jako u Macu.
• Při přenosu dat z Androidu lze vybrat časový interval 30 dní, 1 rok nebo vše.

Důležité oznámení pro OS 27

Operační systémy iOS, iPadOS, macOS, watchOS, tvOS a visionOS verze 27 již nebudou podporovat starší SSL a TLS zabezpečení pro veškerá síťová připojení. Apple vyzývá k včasné kontrole infrastruktury, zda nepoužívá zastaralé bezpečnostní protokoly.

Apple služby a aplikace

Změny v App Store a podpoře AirDrop v Androidu

• Staré verze Pages, Keynote a Numbers pro macOS (bez Apple Creative Studio) již nejsou dostupné v App Store.
• V App Store jsou nově možné měsíční platby předplatného s ročním závazkem. Pro hromadnou distribuci jsou předplatná však stále nedostupná.
• Podpora AirDrop prostřednictvím funkce Android QuickShare se rozšiřuje kromě řady Google Pixel na další telefony značek Samsung, Oppo a Vivo.

Novinky v hromadné správě

Jamf Pro

• Nový konfigurační profil umožní zakázat uživatelům mazat historii Safari a používat mód soukromého prohlížení.
• V Blueprintech jsou nově dostupné konfigurace síťové proxy, nastavení AI, klávesnice, Siri a funkce sdílení obrazovky na macOS.
• AI Asistant je nyní veřejně dostupný pro všechny zákazníky. Stačí jej aktivovat v Jamf Account > AI Assistant a vybrat požadované funkce.
• S konfigurací Single Sign-On mezi Jamf Pro a Jamf Accountem nyní pomůže specializovaný průvodce.
• Z Jamf Accountu lze zakládat Jamf Pro uživatele a zobrazovat failover URL adresu pro přihlášení bez SSO.
• Upozornění na dopad změn při přiřazování konfigurací je nyní ve výchozím stavu zapnuté.
• Do Self Service+ ve verzi 2.20 přibyla možnost resetovat heslo (při použití Jamf Connect).

• V Jamf Security Cloud Portálu lze nově povolit vybraným aplikacím výjimku z blokování webových stránek. Za příplatek lze pořídit dedikovanou internetovou bránu s unikátní IP adresou, přes kterou jde filtrovaný webový provoz.
• Pro organizace v přísně regulovaných odvětvích nabízí Jamf funkci Bring Your Own Key, s kterou je dedikovaný cloudový server šifrovaný klíčem, ke kterému má přístup pouze daná organizace.

Mosyle

• Mosyle App Catalog nyní instaluje Apple Silicon verzi aplikací pro Mac vždy, když je dostupná.
• V katalogu jsou k dispozici nové aplikace jako např. Gemini, CapCut a TextMate.
• Nová restrikce umožňuje kontrolovat synchronizaci souborů s cloudovými poskytovali jako např. Microsoft OneDrive a Google Drive. Je možné vybrané automaticky povolit či naopak ostatní zakázat.
• Nastavení restrikcí pro Mac se dočkalo nového rozhraní.

Microsoft Intune

• Nově podporuje správu a automatickou registraci tvOS a visionOS bez přiřazení uživatelů. Apple TV a Vision Pro zařízení tak lze automaticky nasadit, zařadit do skupiny dle času registrace a následně přiřadit příslušné konfigurace a aplikace nebo posílat příkazy na přejmenování či smazání. Funkce je dostupná pouze v rámci Intune Plan 2 / Microsoft 365 E3 / Microsoft 365 E5 licence.
• Také pro iOS/iPadOS a macOS zařízení přibyde podpora seskupování podle času provedeného enrollmentu.
• Company Portal se pro iOS/iPadOS zařízení v nově vytvořených Enrollment profilech již nebude instalovat automaticky.
• Konfigurace pro Platform SSO obsahuje možnost aktivace zjednodušené registrace během průvodce nastavení. Nyní už zbývá jen počkat na vydání nové verze aplikace Company Portal.
• Intune nyní umožňuje organizacím vybrat zda spravované Apple účty mohou být použity na jakýchkoliv nebo pouze na firemních zařízeních. Osobní Apple účty mohou být pro přihlášení na firemních zařízeních zablokovány.

Iru

• Vstupuje na trh MSP = Managed Service Providers. Tedy umožňuje IT společnostem spravovat pomocí Iru jednotlivé organizace svých zákazníků jako službu.

Chcete se připravit na nové funkce a změny? Potřebujete poradit s výběrem nového MDM řešení nebo provést audit toho stávajícího? Nevíte zda je Apple Business to pravé řešení pro vaší firmu?

Pak budu rád, když mě kontaktujete a během nezávazné online konzultace probereme, jak zlepšit praxi s Apple zařízeními i ve vaší firmě.

Naplánujte si nezávaznou konzultaci a společně se do toho pustíme.