#7 Novinky v Jamfu, podpora OS 26 a jeho první záplaty

Nové operační systémy Apple se společným číslem 26 pro všechny platformy jsou již nějakou dobu vydané a tak se v tomto vydání podíváme, která řešení hromadné správy (MDM) jsou na ně připravena, na aktualizované bezpečnostní benchmarky, příjemnou novinku v Chromu, ale především na nové funkce a plány u Jamfu po konferenci JNUC. Nemine vás však ani už obligátní přehled Apple aktualizací.

Aktualizace operačních systémů a služeb Apple

Krátce po vydání nových OS verze 26 jsme se dočkali drobných aktualizací, řešící opravy chyb a zranitelnost při vykreslování písem. K dispozici pro testování je rovněž první větší aktualizace OS 26.1 v podobě bety. Její veřejné vydání lze očekávat koncem října.

macOS Tahoe 26.0.1

• Bezpečnostní záplaty
• Nyní je možné macOS 26 nainstalovat na Mac Studio s M3 Ultra čipem.
• Oprava instalace certifikátů vázaných na hardware pro ověření do korporátní sítě.
• Další opravy chyb

macOS Sequoia 15.7.1

• Bezpečnostní záplaty

macOS Sonoma 14.8.1

• Bezpečnostní záplaty

iOS, iPadOS a visionOS 26.0.1

• Bezpečnostní záplaty
• Oprava chyb u iPhone 17 a iPhone Air
• Oprava chyby, která způsobovala selhání Single Sign-On rozšíření, včetně selhání během registrace do MDM Apple účtem.
• Další opravy chyb

iOS a iPadOS 18.7.1

• Bezpečnostní záplaty

iOS a iPadOS 16.7.12

• Bezpečnostní záplaty

iOS a iPadOS 15.8.5

• Bezpečnostní záplaty

tvOS 26.0.1

• Opravy chyb

watchOS 26.0.2

• Opravy chyb

Apple Business Manager

• K dispozici je nová funkce umožňující na spravovaných zařízeních organizace přihlášení pouze spravovaným Apple účtem a nikoliv soukromým. Funkce vyžaduje iOS 17, iPadOS 17, macOS 14, visionOS 2 nebo novější.

macOS Tahoe 26.1 Beta 2

• Nová funkce pro bezpečnostní záplaty na pozadí "Background Security Improvements" by mohla nahradit nepříliš používané Rapid Security Response. Bližší údaje však nejsou oficiálně k dispozici.
• Nastavení PPPC pro oprávnění aplikací pomocí MDM řešení se nyní ukazují v uživatelském rozhraní Systémových Nastavení.
• Panely "OS Showcase" a "Update Completed" v průvodci nastavením lze pomocí MDM přeskočit.
• Zpřísněné zabezpečení souboru sudoers definujícím oprávnění uživatelů nyní vyžaduje, aby vlastníkem sudoers souborů byl root.
• Když je spravovaná aktualizace systému po deadlinu, neukazuje se uživateli v notifikaci tlačítko na odložení.
• Oprava chyby Platform SSO s použitím Secure Enclave, kvůli které na uživatele vyskakovaly dotazy na opětovné zadání hesla.

iOS, iPadOS a visionOS 26.1 Beta 2

• Nová funkce bezpečnostních záplat na pozadí je i na mobilních zařízeních.
• Blob URL nyní respektují managed open-in restrikce.
• Na iPady se vrací zrušená funkce Slide Over pro zobrazení aplikace v úzkém pruhu na boku obrazovky.
• Budík na iPhonu se nyní musí zastavit přejetím prstem a nikoliv jen ťuknutím na tlačítko.

Nové CIS Benchmarky

Nové operační systémy samozřejmě vyžadují na míru upravený set doporučených pravidel zabezpečení a macOS Security Compliance Project pro den jejich vydání připravil aktualizované "baselines". Kromě nové sady pro macOS 26 Tahoe se však aktualizace dočkala i pravidla pro macOS 15 Sequoia ve třetí revizi a macOS 14 Sonoma v páté revizi.

Všechna nová pravidla jsou k dispozici na GitHub stránce projektu nebo v Jamf Pro v rámci vestavěné funkce Compliance Benchmarks.

Podpora OS 26 v den vydání

V minulém díle jsem vás informoval o dopředu oznámené "zero-day" podpoře OS 26 u MDM řešení od Jamfu a Mosyle. Kdo patří mezi další poskytovatelé MDM, kteří byli připraveni?

Microsoft Intune

V den vydání nových OS od Apple oznámil plnou podporu také Microsoft Intune. Ten podporuje operační systémy Apple v klasickém schématu N-2, tedy dvě verze dozadu. Minimálními podporovanými verzemi se tak stávají macOS 14 Sonoma a iOS/iPadOS 17. U starších verzí Microsoft nezaručuje správnou funkčnost.

Z nových nastavení pro tyto systémy, které byly přidávány v průběhu léta můžeme jmenovat nastavení dočasného párování sluchátek AirPods a Beats, nastavení Safari (konfigurace, rozšíření, homepage, historie), povolení kamery pouze ve specifikovaných iOS aplikacích a nastavení výchozí aplikace pro volání a zprávy.

Kandji

I třetí z Apple-centric MDM poskytovatelů tradičně podporuje OS 26 ode dne jejich vydání. K tomu také přináší celou řadu z nových nastavení od nové konfigurace výchozích aplikací, přes nové restrikce až po přeskočení nových panelů průvodce nastavením.

K tomu přidává přepracované aktualizace operačního systému pomocí moderní deklarativní správy zařízení (DDM) a přepracovanou správu Apple TV rovněž přes DDM. Také již zobrazuje stav baterie u iPadů.

Jamf Pro 11.21 a jeho nové funkce

MDM řešení Jamf Pro pokračuje v rychlém sledu aktualizací:

• Upozornění na dopad změn při ukládání konfigurace se rozšířilo ze SmartGroups i na politiky, konfigurační profily, aplikace, PreStage a další. Díky tomu lze předejít nechtěným změnám s velkým dopadem na spravovaná zařízení.
• Vyšlo několik aktualizací aplikace Jamf Self Service+, nyní na verzi 2.10 s opravou celé řady chyb.
• Jamf Connect Login se dočkal také záplat v podobě verze 3.4, ale především praktické možnosti automatické aktualizace pomocí Jamf App Catalogu. Self Service+ totiž aktualizuje pouze součást Jamf Connect Menu Bar.
• Katalog Jamfem aktualizovaných aplikací pro macOS se rozrostl o další tituly jako jsou Claude, Cursor AI, Microsoft 365 Copilot, Parallels Desktop 26 a také všechny aplikace přímo od Jamfu.
• Jamf Compliance Benchmarky přidávají podporu macOS 26 Tahoe, aktualizované revize pro macOS 15 Sequoia a macOS 14 Sonoma. Navíc kromě CIS Benchmarků nově nabízí také sadu pravidel NIST 800-53 ve třech úrovních.

Nové Blueprinty

Mezi Blueprinty přibyla další velká dávka "legacy" MDM konfigurace doručované skrz DDM:

• Nastavení autonomního režimu jedné aplikace
• Nastavení DNS Proxy
• Nastavení chování přihlašovací obrazovky
• Filtr obsahu přes rodičovskou kontrolu
• Nastavení logování systému
• Skrývání bezpečnostních konfigurací ze Systémových Nastavení
• Nastavení účtu hosta na Macu
• Nastavení Game Center
• Nastavení párování SmarCards na Macu
• Nastavení Gatekeeperu a jeho obejití
• Nastavení Apple TV ovladače
• Zákaz použití iCloud hesla pro lokální Mac účet
• Nastavení optických disků
• Nastavení tiskáren
• Nastavení zálohování Time Machine

Novinky v Jamfu na příští rok

Tak jako pořádá Apple v červnu tradiční vývojářskou konferenci WWDC, má Jamf pro administrátory zářijovou konferenci JNUC. Na ní byla představena celá řada novinek a především další směřování vývoje jedničky na poli správy Apple zařízení pro další rok. Úvodní přednáška se nesla v duchu výběru způsobu správy zařízení pomocí UI, AI, API nebo IaC = Infrastructure as Code.

Uživatelské rozhraní = Blueprinty

Deklarativní správa zařízení (DDM) jakožto moderní náhrada MDM není už budoucností, ale pomalu přítomností. V Jamfu jsou tato nastavení k dispozici v sekci Blueprints, jejíž dostupné konfigurace se v posledních měsících zněkolikanásobily. Tento trend bude pokračovat a Jamf se zavázal same-day podporou všech nových konfiguračních profilů a deklarací. Kromě toho je do budoucna přislíbena podpora komplexního přiřazování (scoping), podpora proměnných, podmínek (predicates), podpory více lokací a také migrace profilů. Tedy i všech funkcionalit, na které jsou správci Jamf Pro zvyklí u klasických konfiguračních profilů a politik.

Brzy bude k dispozici nastavení automatických aktualizací OS pomocí DDM ve stylu "nastav a zapomeň". Vyberete si například, že se nové verze OS pro jednotlivé platformy mají instalovat vždy do 14 dní od vydání a o zbytek se již postará daný Blueprint automaticky.

Umělá Inteligence

Vestavěný AI asistent je stále chytřejší a kromě rad ohledně nastavení nebo hledání v dokumentaci umí získat plno informací o zařízeních, konfiguracích a jejich závislostech. Na druhou stranu nikdy do nastavení sám nezasahuje a nechává vám plnou kontrolu.

Ještě do konce roku bude k dispozici také v Jamf Protect, kde dokáže vyhodnotit závažnost bezpečnostního incidentu, komplexně jej porovnat se souvisejícími událostmi a dát vám doporučení na další akci pro nápravu.

Platform APIs

Jamf představil nové API (rozhraní pro komunikaci mezi různými programy), které propojuje všechny jednotlivé služby jako jsou Jamf účty, Blueprinty, Compliance benchmarky, inventář zařízení a další. Toto nové řešení bude náhradou stávajících Classic API a Jamf Pro API a bude fungovat napříč všemi produkty Jamfu. Bude možné jej i napojit na chatbota a získávat tak informace či měnit nastavení pomocí psaných dotazů.

Infrastructure as Code

Aby nebylo AI a API málo, přichází Jamf s další, ještě více technicky pokročilou možností. A to spravovat konfigurace přímo pomocí kódu. Například konfigurace Blueprintu může být zapsána jako kód, verzována a po schválení v GitHubu rovnou aplikována na MDM serveru.

Další novinky

• Self Service+ pro iOS - Nová aplikace sjednotí samoobsluhu pro instalaci firemních aplikací s Jamf Trust pro zabezpečení a podmíněný přístup. Vyjít má začátkem roku 2026 formou aktualizace stávající aplikace.
• Vulnerability management - Nově lze jedním zaškrtnutím načítat data z Jamf Pro do Jamf Security Cloudu pro vyhodnocování zranitelností na aktuálně nainstalovaných aplikacích a OS. Výsledky lze pak vidět v přehledném portálu nebo je poslat do existujícího XDR či SIEM řešení organizace.

Google Chrome podporuje nativní SSO

Doposud bylo pro Single Sign-On funkcionalitu v populárním prohlížeči Google Chrome pro macOS nutné instalovat rozšíření, jako je Microsoft SSO. Nyní Chrome podporuje vestavěný systémový framework Extensible SSO, stejně jako Safari, a rozšíření tak již není potřeba. Požadavky jsou následující:

• Microsoft Entra ID
• Zařízení registrované v MDM
• macOS 10.15 Catalina a novější
• Chrome 136 a novější
• Konfigurační profil SSO rozšíření
• Aplikace Microsoft Company Portal

Zaujala vás hladká aktualizace na nové Apple OS 26, Single Sign-On rozšíření pro Microsoft identitu, zabezpečení pomocí CIS Benchmarku či řešení správy a zabezpečení od Jamfu? Pak budu rád, když mě kontaktujete a probereme, jak zlepšit praxi s Apple zařízeními i ve vaší firmě.

Naplánujte si nezávaznou konzultaci a společně se do toho pustíme.