#2 WWDC25: Efektivnější správa zařízení

Nejen pro IT správce jsou důležité především nové funkce a vylepšení pro správu a zabezpečení Apple zařízení ve firmách. A takových nám WWDC25 přineslo celou řadu, včetně několika vytoužených změn. V minulém zpravodaji jsme se zaměřili na novinky ve využívání operačních systémů Apple pro práci a vyšší produktivitu v systémech verze 26. Nyní se zaměříme na nové funkce Apple Business Manageru, nové možnosti pro hromadnou správu pomocí služby MDM a propojení s uživatelskými identitami.

Pomalu se blíží konec podpory x86 aplikací ⏰

Než se pustíme do jednotlivých novinek, máme tu na úvod důležité oznámení, a to že macOS verze 26 je posledním OS pro Macy s procesory Intel (ještě s 3 lety bezpečnostních záplat). Tím bude dokončen přechod z architektury x86 na ARM a v macOS 28 bude odstraněna podpora x86 aplikací za pomoci vestavěného emulátoru Rosetta 2. Vývojáři, kteří své aplikace ještě nepřepsali do nativního kódu pro Apple Silicon čipy M1 a novější, tak na to mají poslední dva roky.

Nové funkce Apple Business Manageru 💼

Portál Apple Business Manager (ABM) nebo Apple School Manager slouží firmám a školám pro automatickou registraci zařízení do hromadné správy (MDM), nákup aplikací z App Store a vytváření spravovaných Apple účtů. Brzy se dočká mnoha užitečných vylepšení.

🔹 Hladká migrace zařízení ze starého na nové MDM

Pokud firma začíná zvažovat přechod z jednoho MDM řešení na druhé, často ji i přes nevyhovující stávající řešení odrazuje nutnost iPhony a iPady smazat do továrního nastavení. Apple nyní představil elegantní způsob, jak migraci zařízení provést s minimálním dopadem na uživatele.

Na straně ABM stačí při změně přiřazení MDM serveru nastavit Enrollment deadline ve formě data a času. Uživatel pak opakovaně dostává notifikaci, aby potvrdil migraci a pokud tak neprovede do stanoveného termínu, zařízení se restartuje a migraci vynutí. Mezi požadavky pro využití migrace patří zařízení ve firemním vlastnictví registrované v ABM a verze systému 26 a vyšší. V případě manuální registrace zařízení aplikací Apple Configurator pak ještě uplynulá 30 denní ochranná lhůta.

Nový MDM server převezme kontrolu také nad aktivačním zámkem, vytvoří nový FileVault obnovovací klíč pro dešifrování disku a pokud instalaci aplikací probíhá při enrollmentu, zachová i spravované aplikace a jejich data.

🔹 Stažení seznamu nespravovaných e-mailových adres

Při převzetí domény své firmy pro využití spravovanými Apple účty portál dosud zobrazoval pouze počet nalezených nespravovaných (tedy osobních) Apple účtů na dané firemní doméně. Nově bude možné stáhnout i jejich seznam, ovšem pouze těch, které jsou registrované na portálech AppleCare Enterprise, Apple Developer nebo APNs. Nezískáte tedy stále adresy všech běžných uživatelů, ale aspoň účty k firemním službám. Seznam se v průběhu převzetí domény každý den aktualizuje.

🔹 Omezení pro přihlášení spravovaným Apple účtem

Na spravovaných, firmou vlastněných zařízeních bude možné omezit přihlášení pouze pomocí spravovaného Apple účtu, nikoliv osobního. Na rozdíl od již minulý rok oznámeného nastavení, které naopak povoluje přihlášení spravovaným Apple účtem pouze na spravovaném zařízení, tato novinka nevyžaduje dodatečnou podporu ze strany MDM, a tak bude možné jej využít hned, jakmile se objeví v ABM.

🔹 Rozšířené informace o zařízení

Již na jaře na kartě zařízení iPhone a iPad přibyly vedle sériového čísla také identifikátory IMEI a EID. Nově budou k dispozici také MAC adresy pro Wi-Fi a Bluetooth. Především MAC adresa pro Wi-Fi je velice užitečná informace v korporátních sítích s omezeným přístupem právě na základě tohoto hardwarového identifikátoru. ABM bude rovněž zobrazovat historii o tom kdo a kdy uvolnil zařízení z firemního vlastnictví a stav rozšířené záruky AppleCare.

🔹 API pro databázi zařízení

V ABM bude možné nově vytvořit API klíč pro komunikaci s interní aplikací či službou třetí strany a díky tomu ji umožnit číst data a posílat příkazy do ABM. Půjde získat informace o všech zařízeních, jejich parametry, přidané MDM servery, aktivity a dále také zjistit MDM server aktuálně přiřazený ke konkrétnímu zařízení a naopak všechna zařízení aktuálně přiřazená ke konkrétnímu MDM serveru. Rovněž bude možnost u jednotlivých zařízení změnit přiřazený MDM server.

🔹 Spravovaný Apple účet může být plnohodnotným vývojářským

Spravované Apple účty vytvořené v ABM nemohly využívat některé vývojářské služby a funkce jako je například notarizace aplikací. Kvůli tomu je tedy nešlo plnohodnotně používat při publikování aplikací. To se konečně změnilo a nyní již nic nebrání tomu, aby Apple účty v Apple Developer Programu byly zároveň spravované.

📅 A kdy budou nové funkce ABM k dispozici?

Apple uvádí později tento rok a zpravidla bývají takto oznámené novinky vydávány postupně během léta a podzimu. Ty vyžadující nové OS verze 26 lze očekávat až po jejich vydání. Některé však bývají dostupné už jako beta dříve a můžete si je v nastavení ABM aktivovat a vyzkoušet předčasně.

Vylepšení Platform SSO v macOS 26 👤

Platform SSO je technologie od Apple, která propojuje uživatelský Mac účet s cloudovou identitou, nejčastěji s Microsoft Entra ID v rámci služby Microsoft 365. Uživatelům umožňuje se jedním přihlášením firemním účtem ověřit jak do systému, tak i ke všem podporovaným firemním aplikacím a službám. Technologie prošla již několika dílčími vylepšeními na straně macOS, ale tu nejočekávanější změnu přináší právě macOS 26 Tahoe.

🔹 Registrace do Platform Single Sign-On během enrollmentu

Až doposud bylo možné provést registraci PSSO teprve, když se uživatel dostal na plochu. To ale není zdaleka vhodná situace pro tzv. zero-touch nasazení, při kterém zařízení putuje přímo od prodejce k rukám zaměstnance. Uživatel totiž mohl registraci odkládat či před ní provádět nežádoucí změny konfigurace.

S macOS 16 Tahoe je registrace PSSO po enrollmentu do MDM řešení hned na prvním panelu průvodce nastavení. Uživatel je tak vyzván k přihlášení svou firemní identitou a na jejím základě teprve vzniká lokální Mac účet s příslušeným oprávněním admin nebo standard. V případě použití federace spravovaných Apple účtů lze dokonce nastavit rovnou i přihlášení Apple účtu.

Při využití metody synchronizace hesla Mac účtu s cloudovou identitou už uživatel nemusí vytvářet lokální heslo. S bezpečnější metodou Secure Enclave pak k automaticky vytvořenému účtu uživatel pouze doplní vlastní lokální heslo. Registrací do PSSO je také nahrazena funkce Authenticated enrollment, tedy autorizace firemním cloudovým účtem pro počáteční potvrzení, že je zařízení oprávněno se zaregistrovat do MDM služby.

Uživatel se tak přihlásí opravdu jen jedenkrát na začátku průvodce a získá ověření do systému, Apple účtu a všech podporovaných firemních aplikací a webových služeb. Dokonce se může od IdP načíst i obrázek účtu.

🔹 Authenticated Guest Mode pro sdílená zařízení

Výše popsaný proces je vhodný pro nasazení 1:1, tedy když každý uživatel má svůj vlastní Mac. V prostředích jako jsou školy a nemocnice, kde jsou počítače sdílené, jistě ocení novinku v podobě ověřeného účtu hosta. Uživatel organizace se může svými cloudovými údaji (opět např. Microsoft Entra ID) přihlásit na libovolný takto nakonfigurovaný Mac a ten mu vytvoří lokální uživatelský Mac účet. Jakmile dokončí svou práci a odhlásí se, účet a jeho data jsou automaticky smazána. V komerčním sektoru lze takový model aplikovat nejčastěji na recepcích, u sezónních pracovníků nebo u hot-desk pracovišť. Nasazení takovýchto sdílených počítačů pak může probíhat zcela automaticky pomocí funkce Auto Advance, která přeskočí úvodní kroky nastavení až na přihlašovací obrazovku.

Pro ještě hladší přihlašování bez zadávání hesla je tu nová funkce Tap to login, díky níž lze v kombinaci s externí NFC čtečkou používat zcela bezheslové přihlašování do macOS. Uživatel se ověří hardwarovým klíčem spojeným s poskytovatelem identity v podobě fyzické karty nebo záznamu v Apple Wallet v iPhonu či Apple Watch.

Nové možnosti pro MDM řešení ⚙️

🔹 Správa aplikací přechází pod DDM s mnoha vylepšeními

Declarative Device Management (DDM) je moderní způsob správy Apple zařízení, který umožňuje definovat žádoucí stav zařízení pomocí deklarací. Na rozdíl od tradičního modelu, kde server posílá konkrétní příkazy, zařízení s DDM získá informaci o cílovém stavu a samo se podle něj nastavuje a proaktivně reportuje aktuální stav zpět serveru. Tento přístup je rychlejší, spolehlivější a méně náročný na síť i výkon. Apple postupně přesouvá jednotlivé konfigurace z tradičního MDM frameworku právě pod DDM.

V systémech verze 26 přechází na DDM instalace, aktualizace a reporting aplikací. Až doposud byla pro instalaci aplikací nutná mnohonásobná komunikace zařízení s MDM serverem a App Storem a celý proces tak byl zdlouhavý a netransparentní. Nyní bude možné sledovat stav doručení příkazu a instalace v reálném čase.

Kromě toho bude konečně možné řídit aktualizace aplikací z App Store a to pro všechny platformy. Správce bude moci pro každou spravovanou aplikaci zvlášť vynutit nebo naopak zakázat její aktualizaci. Rovněž může nastavit specifickou verzi aplikace, kterou firma požaduje rovnou při počáteční instalaci nebo na ní aktualizovat.

Na macOS bude možné pomocí DDM distribuovat také instalační balíčky (.pkg) aplikací, které jsou mimo App Store a nyní je jejich instalace zajišťována dodatečným macOS agentem MDM řešení. Aplikace budou moci být označené pro uživatele jako vyžadované nebo volitelné. Na iOS a iPadOS pak bude možné zakázat stahování aplikací přes mobilní data.

🔹 Konfigurace Safari s novými možnostmi

Ve webovém prohlížeči od Apple lze nyní pomocí MDM konfigurovat kromě rozšíření také oblíbené položky (Bookmarks) a domovskou stránku. Restrikce jednotlivých funkcí Safari se přesouvají z obecného profilu restrikcí také přímo do konfigurace Safari, která již také probíhá pomocí moderního protokolu DDM.

🔹 Další novinky v bodech

• MDM bude mít možnost nakonfigurovat výchozí aplikace pro zprávy a hovory a zakázat uživateli jejich změnu.
• iPady jsou schopny reportovat do MDM kondici baterie. Funkce je podporována však pouze u nejnovějších modelů.
• Konfigurace filtrování webového obsahu nyní umožní blokovat konkrétní URL adresy a nikoliv jen celé domény.
• iOS a iPadOS 26 jsou poslední verze s podporou Kerberos SSO konfigurace. Od verze 27 bude možné využít pouze Enterprise SSO s moderním ověřováním.
• Aktualizace OS pomocí protokolu DDM přicházejí také na tvOS a visionOS. Od původních klasických MDM konfigurací bude v budoucnu upuštěno.
• Funkce Return to Service již druhým rokem umožňuje po uvedení zařízení do továrního provozu následný automatický enrollment do MDM bez interakce se zařízením. Nově přináší pro iOS, iPadOS i tvOS možnost zachovat stávající spravované aplikace (bez uživatelských dat) a bez jejich opětovného stahování tak celý proces zrychlit a ušetřit provoz na síti. Této funkce se poprvé dočká také visionOS.
• Na iPhonu a iPadu pod plným dohledem MDM bude možné zapnout dočasné párování sluchátek AirPods a Beats (s čipem H1 a novějším). Díky tomu si mohou uživatelé připojit vlastní sluchátka, aniž by došlo k provázání s iCloud účtem na zařízení. O půlnoci (čas lze změnit) se pak sluchátka automaticky odpárují. Uživatel si případně může párování nastavit jako trvalé, pokud bude chtít.
• Apple Vision Pro lze nově registrovat do ABM také manuálně pomocí aplikace Apple Configurator pro iPhone stejně jako Macy, iPady a iPhony.
• VisionOS umožní přeskočit některé kroky průvodce nastavení, jako je tomu u jiných Apple zařízení a aplikovat restrikce pro různé Apple Intelligence funkce.

📅 A kdy budou nové funkce ve vašem MDM k dispozici?

Poskytovatelé MDM řešení se o nových možnostech dozvěděli stejně jako vy až z WWDC. Musí tedy nyní jednotlivé funkce implementovat do svých nástrojů, což může trvat měsíce, ale i roky s ohledem na jejich náročnost. Přední poskytovatelé MDM řešení zaručí vám a vaší firmě kompatibilitu s novými OS verze 26 v den jejich vydání, to je hlavní priorita. Výše zmíněné nové funkce však do této záruky nespadají a každý poskytovatel je bude či nebude implementovat dle svých možností. V případě Platform SSO je nutné ještě zajištění kompatibility ze strany poskytovatele Identity jako je např. Microsoft nebo Okta.

Zaujaly vás nové možnosti v Apple Business Manageru nebo v hromadné správě? Pak budu rád, když mě kontaktujete a probereme, jak zlepšit praxi s Apple zařízeními i ve vaší firmě.

Naplánujte si nezávaznou konzultaci a společně se do toho pustíme.