#3 Letní novinky v MDM: Nové funkce pro správu Apple

Léto je sice v plném proudu, ale z hlediska novinek ve firemní správě Apple zařízení rozhodně nejde o okurkovou sezónu. Po dvou vydáních zaměřených čište na novinky z vývojářské konference WWDC25 z pohledu změn pro uživatele a pro správce vám tentokrát přináším zpravodaj již v běžnějším formátu. V něm najdete řadu témat a novinek napříč různými technologiemi, které však mají vždy společného jmenovatele: Apple ve firemním prostředí.

O čem se na následujících řádcích dočtete tentokrát? O dalších nových funkcích OS 26, ale také přicházející šesté aktualizaci stávajícího systému, užitečných novinkách v Apple Business Manageru a MDM řešeních Jamf, Mosyle a Microsoft Intune a také o nových Compliance benchmarcích. Pokud vás to či ono řešení pro správu zařízení nezajímá, s klidem přeskočte na další sekci. Na druhou stranu si můžete udělat představu o možnostech u jiných poskytovatelů.

Dozvuky WWDC 🧑🏻💻

WWDC25 je však ještě třeba věnovat několik řádků, ohledně nových funkcí, které se minule nevešly nebo byly objeveny až následně.

🔹 Export passkeys

Bezheslová budoucnost ve formě passkeys je opět o kousek blíže každodennímu komfortnímu používání a pomalému konci phishingových útoků. Aplikace Hesla totiž umožní exportovat v ní vytvořené passkeys do jiných manažerů hesel. A to zabezpečeně přímou komunikací a nikoliv exportem do plaintextového .csv souboru jako tomu bývá v případě běžných hesel. Export passkeys doposud nebyl možný a uživatelé tak byli v podstatě nuceni si vybrat jednoho poskytovatele, od kterého nemohli snadno odejít. Ať už to byl operační systém, prohlížeč nebo samostatný správce hesel. Proto byl v rámci FIDO aliance, jejímž je Apple členem, vytvořen standard pro jejich bezpečný export a import.

🔹 Rozšířená podpora vyplňování

Jednorázové kódy se v OS 26 nevyplňují automaticky pouze ze Zpráv do Safari, ale i z jiných chatovacích aplikací do libovolných prohlížečů. Kromě toho prohlížeč Firefox na Windows 11 dostal podporu iCloud hesel stejně jako dříve Chrome a Edge.

🔹 Konfigurace aplikací

Aplikacím spravovaným pomocí nového protokolu deklarativní správy půjde skrz MDM aktivovat nejen jednotlivá nastavení aplikace (jako doposud), ale také posílat tajnosti. Bude tak možné nejrůznější aplikace třetích stran pro uživatele předkonfigurovat i včetně hesel a certifikátů. K tomu je však zapotřebí kromě OS 26 podpora také ze strany používaného MDM řešení a dané aplikace.

🔹 Content Caching

Pokud používáte funkci macOS Caching serveru, který poskytuje cache pro aktualizace všech Apple OS či aplikací a výrazně tak šetří síťový provoz a zrychluje stažení aktualizací Apple zařízení, tak oceníte zlepšenou viditelnost této funkce na koncových zařízeních. To nově v OS 26 v Nastavení > Wi-Fi zobrazuje dostupný cache server a možnost otestovat jeho efektivitu. Caching server je také na síti automaticky rozpoznán rychleji, než dříve.

🔹 Konec FireWire

V macOS 26 chybí zabudovaná podpora dříve oblíbeného rozhraní FireWire. Kdysi nejrychlejší datové rozhraní, které nabízelo přenosovou rychlost až 800 Mb/s bylo v roce 2011 nahrazeno novým rozhraním Thunderbolt. Výroba zařízení a kabelů s tímto konektorem již byla také před lety ukončena. Pokud tak ještě využíváte nějaký externí disk, zvukovou kartu či jeden z prvních iPodů s konektorem FireWire, je na čase shánět definitivní náhradu.

🔹 Další nové funkce

• V EU bude možné pro volání, SMS, MMS a RCS zprávy používat i jiné než vestavěné aplikace Telefon a Zprávy.
• Tlačítka, která si přidáte v ovládacím centru na iPhonu se objeví také ve watchOS 26. V případě, že aplikace nebo funkce není na hodinkách dostupná, se po stisknutí spustí přímo na iPhonu.
• OS 26 bude podporovat standard Wi-Fi Aware pro rychlý přenos dat mezi dvěma zařízeními, který celosvětově umožní poskytnout alternativy pro funkce AirPlay a AirDrop v aplikacích třetích stran.
• iPhone získá funkci Recovery Assistant, která slouží obdobně jako Recovery OS na Macu k odstranění potíží se startem zařízení. Umožní také pomocí jiného Apple zařízení poblíž stáhnout a přeinstalovat iOS bezdrátově.
• iOS 26 bude dynamicky rezervovat místo pro automatické aktualizace OS, aby proběhly úspěšně.

Nové funkce Apple Business Manageru 💼

Tři z minule popisovaných nových funkcí portálu Apple Business Manager jsou již všem organizacím k dispozici.

🔹 Migrace zařízení

Enrollment Enforcement Deadline je skvělá funkce, která umožňuje snadno migrovat firemní zařízení z jednoho MDM řešení na druhé. Najdete ji ve formě jednoduchého výběru data a času při změně přiřazení MDM serveru na vybraném jednom či více zařízeních.

Zařízení musí mít minimálně OS 26 a být registrováno do MDM pomocí automatické registrace zařízení (ADE). Také je samozřejmě třeba mít nastavenou odpovídající konfiguraci v novém MDM řešení, které musí podporovat funkci „await_device_configured“.

🔹 API přístup

V ABM již můžete vytvářet API klíče pro přístup k databázi svých firemních zařízení a přiřazených MDM serverů. Bude tak možné aplikací vlastní nebo třetí strany načíst aktuální seznam a stav zařízení a měnit jejich přiřazení k MDM serverům.

🔹 Seznam nespravovaných účtů

Uživatelé v organizacích mají často vytvořené osobní Apple účty (dříve Apple ID) na firemní doméně. Při procesu převzetí těchto e-mailových adres pro účely vytváření spravovaných Apple účtů portál ukazuje z důvodu ochrany osobních údajů pouze počet osobních Apple účtů s firemní doménou. Nově ABM dovolí správcům stáhnout seznam těchto adres alespoň u účtů registrovaných v Apple Developer Programu, AppleCare Enterprise a Apple Push Notification Certificate portálu.

Plno praktických vylepšení v Jamfu ⚙️

Populární enterprise MDM řešení Jamf Pro se dočkalo mnoha významných aktualizací hned několika svých zásadních funkcí a aplikací.

🔹 Self Service+ a Jamf Connect

Nová, zcela přepracovaná samoobslužná aplikace má za cíl být jedinou Jamf aplikací na koncovém zařízení a postupně sloučit funkcionalitu rozhraní původních Self Service, Jamf Connect, Jamf Protect a Jamf Trust aplikací. Doposud bylo možné ji především pro testovací účely manuálně nasadit vedle klasické Self Service aplikace. Nově lze Self Service+ aktivovat jako výchozí a nahradit tak klasickou verzi.

Aplikace Self Service+ také za poslední dobu prošla mnoha aktualizacemi a současná verze 2.4.1 kromě oprav chyb a automatického nasazení již obsahuje kompletní integraci menu bar aplikace Jamf Connect. Ta synchronizuje Mac účet s cloudovou identitou (Microsoft Entra ID, Google Cloud Identity, Okta, Ping ID, ...), nastavuje uživatelská oprávnění či mapuje síťové disky.

Aktualizace aplikace Self Service+ je nyní automatická a zahrnuje v sobě také aktualizaci zmíněného Jamf Connect, který je nyní dostupný již ve verzi 3.1.0. Samostatná aplikace Jamf Connect Menu Bar zůstává na finální verzi 2.45.1 a nebude již dále aktualizována.

🔹 Jamf Pro 11.8

Nová verze samotného MDM řešení obsahuje další řadu vylepšení z nichž zmíníme dvě hlavní:

Jamf Pro nově umí načítat informace o členství uživatelů ve skupinách z Entra ID a to včetně vnořených skupin. Předchozí řešení spočívalo v načítání těchto informací z LDAP serveru a cílení konfigurací přímo na skupiny uživatelů. Nově je možné načíst členství ve skupinách jako Extension atribut a na základě toho přiřadit zařízení uživatelů v těchto skupinách rovnou do Smart Groups. Díky tomu je možné na tyto skupiny cílit i instalátory aplikací z Jamf App Catalogu, Blueprinty a Compliance Benchmarky, což doposud nebylo možné.

Funkce Return to Service pro rychlé smazání a automatický opětovný enrollment zařízení bez zásahu člověka byla v Jamfu doposud dostupná pouze prostřednictvím API. Nyní získává ovládání přímo skrz uživatelské rozhraní, kde ji lze aktivovat v nastavení PreStage a poté vyvolat při mazání zařízení.

🔹 Nové Blueprinty

Sekce Blueprints v Jamf Pro obsahuje konfigurace doručované pomocí moderního protokolu deklarativní správy (DDM). Nově je přes ně možné doručit také celou řadu nastavení používajících původní MDM protokol pod označením Legacy Payloads. Pomocí nich je možné přes nové uživatelské rozhraní nastavit konfigurace AirPrint, Conference Room Display, Domains, Lock Screen Message, Parental Controls: Dictionary, Screensaver User, Single App Mode a především Restrictions!

Nastavování restrikcí (omezení systémových funkcí) pro počítače Mac bylo v Jamf Pro doposud nešikovné, protože uživatelské rozhraní vytvářelo profil, které nastavoval vždy všechny položky a tak pokud jste na jeden počítač chtěli poslat konfigurace dvě, museli jste sáhnout po manuálním vytvoření profilu. Tomu je však nyní konec, protože pomocí nového rozhraní v Blueprintech můžete vytvářet samostatné konfigurace jednotlivých restrikcí.

Také byla doplněna deklarace pro nastavení spravovaných aktualizací OS. Ty umožňují pomocí DDM nastavit, kteří uživatelé mají oprávnění aktualizovat (macOS), upravit jak jsou aktualizace zobrazovány uživatelům, ovládat odklad minor updatů nebo major upgradů, nastavovat aplikaci bezpečnostních záplat a také kontrolovat registraci zařízení do beta programů.

🔹 Nové tituly v Jamf App Catalogu

Jamfem spravovaný katalog aplikací pro macOS umožňuje aplikace mimo App Store instalovat bez práce prostřednictvím App Installers včetně jejich automatických aktualizací a stanovení konkrétní verze. V posledních měsících se dočkal přidání desítek nových populárních titulů z nichž bych vypíchnul aplikace Cisco Webex, Opera, Bitwarden, ChatGPT, KeePassXC, Tunnelblick nebo VLC. Celkem se v katalogu už nachází 239 aplikací, které s Jamfem není nutné balíčkovat ručně.

🔹 Jamf Setup Manager

Praktická open-source aplikace pro kontrolovaný onboarding počítačů Mac se v nové verzi 1.3 dočkala mimo jiné podpory macOS 26, vylepšeného logování a možnosti pozastavit instalaci aplikací dokud není hotová konfigurace.

Nové funkce v Mosyle ⚙️

Oblíbené MDM řešení Mosyle přináší podporu beta verzí OS 26 a naopak tři funkce tohoto MDM se nálepky „beta“ zbavily a jsou tak připravené pro plnohodnotné nasazení.

🔹 Microsoft Conditional Access

Tato funkce umožňuje na základě Device Compliance partnerství vytvářet objekty zařízení do Microsoft Entra portálu a reportovat stav jejich compliance na základě zvolených kritérií jako jsou například minimální verze OS nebo aktivované šifrování disku. Na straně Microsoftu pak lze na základě této informace vynucovat podmíněný přístup a k firemním zdrojům se tak dostanou pouze zařízení aktuálně splňující compliance kritéria.

🔹 Mosyle AI Script

Jak už název napovídá, novinka pomáhá správcům vytvářet skripty pro macOS s pomocí AI asistenta vytrénovaného specificky za tímto účelem přímo v portálu Mosyle.

🔹 Detection & Removal 2

Nová verze antimalware řešení pro macOS z dílny Mosyle využívá pro vyhodnocování škodlivého kódu on-device AI a behaviorální detekci. Stejně jako předchozí verze umí provádět plánované skeny disku, pracovat s karanténou a lze u něj nastavovat výjimky.

🔹 Assetbots

Mosyle minulý rok provedl akvizici nástroje Assetbots, který poskytuje pokročilý asset management v přehledném webovém rozhraní. Nyní přichází s balíčkem, který je pro zákazníky Mosyle zcela zdarma. Kromě toho je k dispozici integrace, s kterou je možné mezi těmito službami synchronizovat zařízení, uživatele, tagy a dokonce z Assetbots zařízení vzdáleně například zamknout.

🔹 Podpora OS 26

Mosyle již přidává nové konfigurace pro 26. verze Apple OS:

• přeskočení nových obrazovek průvodce prvním spuštěním zařízení
• nastavení Apple sluchátek
• povolení failoveru pro Network Relay a DNS nastavení
• Return to Service pro visionOS
• Rozšíření pro Safari na visionOS

Nová nastavení v Intune ⚙️

Také multiplatformní MDM řešení od Microsoftu představilo několik nových funkcí pro Apple zařízení.

🔹 Idle Reboot

Pro iOS a iPadOS lze nastavit novou konfiguraci povolení tzv. Idle Rebootu přidanou v iOS 18.4. iPhone či iPad se při delší nečinnosti z bezpečnostních důvodů automaticky restartují, aby systém byl v plně zamknutém stavu a uživatel je poté musí odemknout kódem a nikoliv biometrikou. Zařízení v tu chvíli rovněž nejsou připojena k Wi-Fi a nemohou komunikovat s MDM. V supervised módu je však ve výchozím stavu Idle Reboot zakázaný.

🔹 Microsoft Edge

Do nastavení Intune byla přidána celá řada nových konfigurací pro prohlížeč Edge na macOS. Konfigurovat lze celkem 259 různých nastavení ovlivňujících prvky uživatelského rozhraní, vestavěný správce hesel nebo záložky.

Nové podmínky pro vývojáře aplikací v EU 🇪🇺

Evropská Unie shledala, že Apple stále nesplňuje podmínky nařízení Digital Markets Act (DMA), které má za cíl otevřít možnosti vývojářům třetích stran na uzavřených platformách, za kterou jsou iOS a iPadOS považovány. Proto Apple přichází s novými podmínkami a upraveným API pro vývojáře. Ty na jednu stranu umožňují vývojářům přidat přímo do aplikací vlastní platební metody mimo App Store, na druhou stranu se však provizím pro Apple stejně nevyhnou. Ten totiž zavádí další nové poplatky na základě počtu stažení aplikace i externích nákupů v nich pro pokrytí nákladů spojených s provozem platformy.

Pokud aplikace, jako je například Spotify, využijí této nové možnosti, odvedou na provizích Apple nižší procentuální částku, než by to bylo nyní. Ve srovnání s prodejem na vlastním webu se však znatelné provizi nevyhnou a tak pravděpodobně stále budou promítat tyto náklady ve vyšších cenách pro koncové uživatele. Nový proces a také nové méně výhružné informační obrazovky budou brzy implementovány do iOS a iPadOS 18.6, které jsou aktuálně ve třetí betaverzi.

Nově vydané Apple OS 📲

🔹 OS .6 beta 3

Na dlouhou dobu poslední z větších aktualizací pro stávající verze operačních systémů od Apple nepřináší kromě změn pro alternativní platební metody a alternativní tržiště aplikací v EU žádné zásadní novinky. Opravuje však celou řadu chyb:

🔹 macOS 15.6

• MDM příkaz pro stažení instalátoru nové verze macOS neselže
• Mac správně obdrží IP adresu skrz DHCP při použití transparentní proxy
• Průvodce po spuštění neselže když se uživatel pokusí migrovat data z počítače nebo zálohy a MDM přeskočí panel pro přijetí podmínek i migraci
• Zvuk z mikrofonu již není ztlumený nebo zkreslený po probuzení ze spánku
• MacBook se již neočekávaně nevybije při spánku
• Mac nenastartuje do Recovery režimu po aktualizaci macOS
• Registrace do Platform SSO neselže když je vyžadována konfigurace propojených domén
• Timeout pro ověření manuálně zadaných 802.1X údajů je zvýšen

🔹 iOS a iPadOS 18.6

• Vylepšení rozhraní pro volbu certifikátu
• Spravované aplikace nyní mohou prohlížet soubory ze spravovaných umístění ve výběru souborů
• MDM službou definované dočasné session se nyní po uplynutí času odhlásí

🔹 OS 26 beta 3

Novými funkcemi OS 26 jsme se již zabývali v minulých vydání zpravodaje (pro uživatele a pro správce), zaměříme se tak pouze na rozdíly v druhé a třetí betaverzi. Ty přinášejí celou řadu oprav a také ladí vzhled nového Liquid Glass designu, který je v některých místech mnohem méně dramatický a prvky jsou lépe čitelné. Nejvýraznější změny se dočkalo ovládací centrum na iOS, které bylo v první betě častým terčem kritiky. Mnoho aplikací nyní používá efekt, kde sklo není zcela průhledné.

Aktualizované mSCP baselines 🛡️

macOS Security Compliance Project je open-source projekt, který vytváří nástroj pro kontrolu splnění bezpečnostních benchmarků, jako je například CIS a vytvoření konfiguračních profilů a skriptů pro vynucení těchto požadovaných pravidel.

Tento měsíc došlo k aktualizaci sad pro vynucování zmíněných pravidel pro macOS, iOS, iPadOS i visionOS. Ty mimo jiné reflektují i změny, obsažené v nedávno vydaném CIS Benchmarku verze 1.1 pro macOS Sequoia.

Některá MDM řešení mají podporu těchto benchmarků zcela nebo částečně vestavěnou a tak jejich správci nemusí v běžných scénářích ruční nasazení těchto bezpečnostních prvků řešit. V jiných případech je nástroj mSCP nepostradatelným pomocníkem pro aplikování těchto pravidel pokročilého zabezpečení Apple zařízení.

Zaujaly vás nové možnosti v Apple Business Manageru nebo v MDM řešeních Jamf, Mosyle či Intune? Pak budu rád, když mě kontaktujete a probereme, jak zlepšit praxi s Apple zařízeními i ve vaší firmě.

Naplánujte si nezávaznou konzultaci a společně se do toho pustíme.