#9 Ohlédnutí za rokem 2025, OS 26.2 a Mac onboarding

Vítejte u předvánočního dílu zpravodaje Apple@Business, ve kterém se podíváme na dvě nejzásadnější vylepšení roku 2025 pro fungování Apple zařízení ve firemním prostředí. Dále vám představím další praktickou aplikaci zdarma a podíváme se, co vše je nového v OS 26.2, u předních MDM poskytovatelů a asistentů pro onboarding na macOS.

Téma

Odhlédnutí za rokem 2025

Apple zařízení se těší stále větší oblibě uživatelů a stále více společností ve světě i v Česku zavádí program Employee Choice, v kterém si zaměstnanci mohou vybrat platformu dle své preference. Tento dlouhodobý trend je a bude dále motivován ze strany zájmu uživatelů vysoce efektivními Apple Silicon čipy a čím dál více sjednoceným uživatelským rozhraním a funkcemi mezi Macem, iPhonem a dalšími Apple zařízeními. Ze strany businessu pak nižšími náklady na celkový ekonomický dopad pořízení a provozu Apple zařízení díky delší životnosti, vyšší zůstatkové hodnotě, vyšší produktivitě a nižším nákladům na dodatečný software či IT podporu.

Apple neustále rozvíjí své schopnosti ve firemním prostředí a letos přinesl mnoho vylepšení, která posunou uživatelský komfort a bezpečnost ještě dále a usnadní práci IT správcům. Za dva nejzásadnější kroky vpřed považuji funkci migrace zařízení na jiné MDM řešení a dotaženou integraci macOS s cloudovou identitou.

Snadná migrace do jiného MDM

Řešení hromadné správy zařízení (Mobile Device Management) je základním kamenem pro vynucení bezpečnostních politik i zvýšení komfortu uživatelů a automatizace jejich onboardingu. Tato oblast se neustále vyvíjí, přináší praktické nové funkce, ale také umí ty již překonané vyřadit z provozu. Proto musí každé MDM řešení neustále držet krok s dobou. Za příklad mohu dát systémové aktualizace, které prošly v posledních letech přeměnou za použití nového protokolu DDM (Deklarativní správy zařízení) a původní způsob je již v systému 26 označen jako "deprecated", tedy zavrhnutý. Podporuje vaše řešení tuto základní funkcionalitu moderní cestou nebo výrobce v posledních letech zaspal a v příštím roce nebude schopen Apple zařízení aktualizovat?

Naštěstí už přechod na jiné MDM nemusí být utrpením pro IT správce i pro uživatele. Díky novému mechanismu v Apple Business Manageru je přeřazení z jednoho MDM na druhé snadné, uživatelsky přívětivé a především nevyžaduje smazání zařízení do továrního stavu. Uživatel po krátkém procesu pokračuje tam, kde skončil, se svými daty, aplikacemi a nastavením. Proto již nedává smysl zůstávat na řešení, které z jakýchkoliv důvodů není v současnosti vyhovující. Nikdy nebyla změna tak snadná a hladká a firmy neměly takovou svobodu v provedení zásadní změny k lepšímu.

Zjistěte vše o tématu Migrace MDM s workshopem na fruitit.cz

Kompletní Platform SSO

Počítače Mac se dočkaly opravdu vyspělé integrace s cloudovou identitou, což zásadně posune uživatelský komfort i bezpečnost. Platform Single Sign-On totiž spojuje lokální uživatelský Mac účet s firemní cloudovou identitou jakou je Microsoft Entra ID nebo Okta. Díky tomu se uživatel ověří pouze jednou a získává přístup ke všem firemním zdrojům. Včetně vychytávek jako je uložení ověřovacího tokenu do Secure Enclave čipu, čímž se z Macu stává v podstatě velký hardwarový klíč nebo online ověřením i na FileVault přihlašovací obrazovce ve chvíli, kdy je zamknutý disk a není nabootovaný systém. Funkce, které by bez nativní podpory ze strany Apple nebyly možné.

Platform SSO sice není novinkou roku 2025, ale přesto tento rok přinesl dva podstatné milníky. Tím prvním je plná podpora ze strany světově nejrozšířenějšího poskytovatele identity – Microsoft Entra ID (dříve Azure Active Directory). A tím druhým je automatické vytvoření lokálního Mac účtu na základě přihlášení cloudovou identitou hned během úvodního průvodce nastavením. Díky tomu budeme využívat plně nativní integrace firemní identity s macOS, která dokáže být maximálně uživatelsky komfortní, spolehlivá a navíc odolná vůči Phishingu.

Zjistěte vše o tématu Platform SSO s workshopem na fruitit.cz

Tip na aplikaci

SupportApp

Tato mezi Mac adminy oblíbená aplikace umožňuje uživateli získat rychlý přehled o stavu svého firemního Maca a snadno požádat o podporu či firemní aplikace. V jednoduchosti této aplikace je její síla. Běží v horní nabídce Menu Bar, kde po kliknutí nabídne uživateli všechny důležité informace, které by o svém Macu měl vědět a zároveň všechny důležité odkazy. V nové verzi 3.0 navíc aplikace prošla redesignem ve stylu Liquid Glass.

Nabídka je rozdělena do několika typů modulů, mezi které patří aktuální název počítače, informace o síti, datum posledního restartu, využití úložiště nebo aktualizace systému a aplikací. U posledních zmíněných se v případě potřebné akce zobrazují také červené odznaky a po kliknutí uživatele navedou ke stažení aktualizace. Mimo to lze přidat odkazy na libovolné aplikace či webové stránky – samoobsluhu pro stažení firemních aplikací, spuštění vzdálené plochy nebo prostý odkaz do ticketingu, HR portálu nebo na intranet. Vše na jednom místě s plně přizpůsobitelnými popisky a ikonami, tak jak potřebujete.

Vlastní kombinaci informací, upozornění a odkazů si můžete sami snadno vyzkoušet. Nově je v aplikaci totiž možnost konfigurace všech prvků přímo v jejím rozhraní, odkud lze vyexportovat hotový konfigurační profil, který se poté pomocí MDM nasadí na všechny počítače. Editaci běžným uživatelům lze samozřejmě zakázat.

Aplikace je zdarma ke stažení na GitHub stránce projektu

Apple služby a aplikace

Identita a přihlašování

• Okta podporuje zjednodušenou registraci Platform SSO během průvodce nastavení. Uživatel se tak může ověřit svým Okta účtem hned při prvotním nastavení nového Macu a na základě toho je mu vytvořen lokální Mac účet. Okta je tak prvním poskytovatelem identity, který tuto novinku macOS Tahoe 26 podporuje. U Microsoft Entra ID je tato možnost stále ve vývoji. Více na okta.com
• Pro ověřování se do Microsoft účtu lze nově použít také passkey synchronizovaný s iCloud Klíčenkou. Toto bezheslové ověření pak má uživatel k dispozici na všech svých Apple zařízeních. Možnost musí aktivovat správce organizace a je k dispozici zatím pouze v režimu Public Preview.
• Nové verze aplikací Microsoft Outlook pro všechny platformy umožňují snazší způsob přihlášení k iCloud účtu pro e-mail, kalendář a kontakty. Nově už není potřeba vytvořit tzv. app-specific heslo, ale stačí se běžně přihlásit svým Apple účtem. Více na microsoft.com

Compliance

Nástroj pro monitoring a vynucení compliance dle standardů jako jsou CIS, NIST a další zvaný macOS Security Compliance Project vydal nové revize svých pravidel pro Apple zařízení. Více na GitHub stránce projektu

• macOS Sequoia revision 4.0
• macOS Tahoe revision 2.0
• iOS/iPadOS/visionOS 26 revision 2.0

Produktivita

• Google představil plnou kompatibilitu přenosu fotek a dokumentů mezi svou funkcí QuickShare v systému Android a funkcí AirDrop od Apple. Je tak možné posílat i přijímat soubory mezi Android zařízeními a iPhony, iPady či Macy. Podporu získala zatím pouze řada Google Pixel 10. Apple oficiálně novinku nekomentoval. Více na blog.google.com

Aplikace pro snazší správu

• Oblíbená aplikace SupportApp, o které bylo psáno již výše, se dočkala verze 3.0. Ta přináší především možnost IT správcům snadno přizpůsobit vzhled a obsah nabídky rovnou v uživatelském rozhraní. Jednotlivé prvky jsou nově rozvržené, modulární a v designu Liquid Glass. Více na GitHub stránce SupportApp
• Onboarding asistent Octory vychází ve verzi 3.0. Pokročilý nástroj provázející uživatele při instalaci nového počítače Mac získal několik nových funkcí. Podporu Apple SF Symbolů pro snadné přidávání grafických prvků, nové monitorování pro instalaci konfiguračních profilů a plist souborů a redesignovaný systém komponent nabízející větší flexibilitu a konzistenci. Nástroj je i nadále kompatibilní s celou řadou MDM řešení jako jsou Jamf, Intune a další. Více na octory.io

Aktualizace OS

Druhý větší update pro nové systémy přišel těsně před deadline

Apple vydal aktualizace 26.2 netradičně v pátek večer našeho času. O pouhé dva dny před vypršením maximálního 90 denního odkladu pro upgrade ze starších systémů na 26. Pokud se IT správci organizací rozhodli odložit na spravovaných Apple zařízeních upgrade z macOS 15 či iOS 18 na nový systém verze 26, mohou nyní uživatelé upgradovat rovnou na 26.2. Tedy za předpokladu, že správci přes víkend upravili potřebná nastavení v MDM.

Nové funkce

• Upozornění na připomínky: Úkoly, které v aplikaci Připomínky označíte jako důležité se vám připomenou na iPhonu přes celou obrazovku jako budík a můžete je odložit, aby se vám připomněly znovu. Zůstanou také zobrazeny v živých aktivitách na zamykací obrazovce a v Dynamic Island.
• AirDrop kódy: Při posílání souborů mezi zařízeními pomocí funkce AirDrop neznámému kontaktu se příjemci zobrazí kód, který musí odesílatel zadat pro dokončení přenosu. Takové ověření je pak platné i pro další přenosy po dobu 30 dní.
• Multitasking na iPadOS: Gestem můžete rychle aplikaci umístit do postranního okna Slide Over přetažením její ikony z Docku, knihovny aplikací nebo vyhledávání.
• Vylepšení Freeform: Aplikace Freeform nyní podporuje tabulky, v kterých může být text, obrázky, dokumenty nebo kresby a jejich buňky se automaticky přizpůsobují velikosti obsahu.
• Výpočetní cluster pro macOS: Nově je podporována plná rychlost rozhraní Thunderbolt 5 (80Gb/s) pro framework MLX, který slouží k paralelním výpočtům. Apple Silicon čipy jsou díky možnosti obrovské sdílené paměti a nízké spotřebě ideální k běhu vlastních velkých jazykových modelů. Navíc nedávno představený čip M5 umožňuje MLX plný přístup k neural akcelerátoru.
• Live Translation: Funkce pro překlad konverzací v reálném čase pomocí AirPods z/do podporovaných jazyků je už dostupná i v EU. Mezi podporovanými jazyky jsou angličtina, francouzština, němčina, portugalština, španělština, italština, čínština, japonština a korejština. Podporovaná zařízení jsou AirPods 4 s ANC, AirPods Pro 2 a 3.
• Vyloučené stránky v Heslech: V aplikaci Hesla lze nyní spravovat webové stránky, u kterých se nebudou hesla nikdy ukládat.
• Rozšířený cestovní mód visionOS: Vedle již existujících režimů pro cestu letadlem a vlakem nově cestovní mód podporuje i jízdu v autě a autobusu. Okna tak zůstanou na správném místě i za jízdy po silnici.
• Edge Light pro macOS: Při videohovorech v tmavé místnosti se na obrazovce počítače rozzáří imitace kruhového světla, která osvítí váš obličej. Lze přizpůsobit velikost osvětlení i jeho teplotu a na Macích z roku 2024 a novějších se funkce zapne i automaticky. Pokud byste potřebovali vidět obsah obrazovky pod světlem, najetí kurzorem myši osvětlení v daném místě ztlumí. Více na support.apple.com

Změny v hromadné správě

• Konfigurace oprávnění soukromí aplikací (PPPC) na macOS pomocí MDM je nyní viditelná v uživatelském rozhraní v Systémových nastaveních. Doposud tato povolení (např. záznamu obrazovky nebo přístupu k disku) nebylo možné ověřit pouhým pohledem do nastavení počítače.
• Spravované Apple účty jsou oprávněny smazat šifrovaná iCloud data při nastavování nového zařízení a hesla pro předchozí zařízení jsou nedostupná.

Opravy chyb

• Rozšíření pro filtrování webového obsahu již nepřerušují připojení k síti pokud je jejich aplikace skryta nebo se aktualizuje. Tato chyba se dotkla například aplikace Jamf Trust.
• Některé macOS aplikace vytvořené ve frameworku Electron mohly způsobit zahlcení vykreslovacího systému a kvůli tomu docházelo k zásekům při skrolování. Tuto chybu mohli jednotliví vývojáři opravit aktualizací své aplikace, nyní Apple toto chování zamezil na úrovni systému.
• Oprava situace, kdy při konfiguraci Platform SSO s metodou ověřování pomocí Smart Cards Mac na zamykací obrazovce přestal reagovat.
• Vylepšená stabilita při prohlížení logů v Konzoli s aktivním módem Now.
• Nastavení soukromí a zabezpečení mohlo být na iOS nesprávně označeno jako spravované organizací.
• Uživatelé nyní nemohou ukládat hesla, když je správcem blokováno automatické vyplňování a aplikace Hesla.
• Prázdné výplňové mezery byly odstraněny z rozvržení domovské obrazovky pomocí MDM.
• Telefonní čísla se již neodregistrují z FaceTime když je restrikce allowChat nastavená na zákaz.
• Uživatelé již nemohou obejít restrikci na úpravu účtů použitím Apple aplikací jako jsou Poznámky, Kalkulačka nebo Fotky k přihlášení ke svým Apple účtům.
• Pokud je úprava tapety zakázána, dotyk a podržení ikony aplikace a kliknutí na editaci domovské obrazovky respektuje tuto restrikci.
• Automatická registrace zařízení (ADE) je nyní správně dokončena i po obnově dat z iCloud zálohy.

Přehled opravených zranitelností na apple.cz

Všechny nově vydané aktualizace

• macOS Tahoe 26.2 (změny pro uživatele, pro správce, pro vývojáře)
• macOS Sequoia 15.7.3 (změny pro uživatele)
• macOS Sonoma 14.8.3 (změny pro uživatele)
• iOS 26.2 (změny pro uživatele, pro správce, pro vývojáře)
• iOS 18.7.3 (změny pro uživatele)
• iPadOS 26.2 (změny pro uživatele, pro správce, pro vývojáře)
• iPadOS 18.7.3 (změny pro uživatele)
• tvOS 26.2 (změny pro uživatele)
• watchOS 26.2 (změny pro uživatele)
• visionOS 26.2 (změny pro uživatele)

Vedle aktualizací samotných OS jsou k dispozici i nové verze Safari a Xcode 26.2.

Co nás čeká v OS 26.3

• Přenos dat na Android: V Nastavení iPhonu bude při mazání iPhonu nová funkce pro bezdrátový přenos dat na zařízení Android. Stačí umístit obě zařízení vedle sebe a vybrat, zda chcete přenést fotky, zprávy, poznámky, aplikace a další. Obdobnou funkci implementuje také Google pro Android a do budoucna tím tak budou nahrazeny samostatné aplikace Move to iOS pro Android a Android Switch pro iPhone.
• Přeposílání notifikací: Nové nastavení na iPhonu umožní přeposílat notifikace na zařízení třetích stran jako jsou např. chytré hodinky se systémem Android. Tato funkce má být dostupná pouze v EU a s její aktivací nebude možné souběžně používat také Apple Watch. Na zařízení třetí strany bude přeposílána notifikace s celým obsahem, který může zahrnovat text příchozí zprávy, kódy a jiné citlivé údaje.
• Oprava FileVault: Automatické zapnutí šifrování disku FileVault pomocí MDM během Průvodce nastavení se správně aplikuje i pro uživatele se standardními oprávněními.
• Oprava zobrazení PPPC: Při povolení standardnímu uživateli povolit aplikaci záznam obrazovky počítače Mac se tato konfigurace správně zobrazí v Systémových nastaveních.

Betaverze 26.3 jsou dostupné pro macOS Tahoe, iOS, iPadOS, tvOS, watchOS a visionOS.

Novinky v hromadné správě

Jamf

Jamf Setup Manager 1.4

Pokročilý nástroj pro interaktivní onboarding macOS získává nový vzhled s Liquid Glass a přináší celou řadu novinek:

• Možnost přidat vlastní banner přes horní část okna, který může nahradit nadpis a logo.
• Jednotlivé dlaždice s akcemi mohou mít barevné pozadí.
• Po dokončení Setup Manageru se může uživateli zobrazit přizpůsobitelná zpráva.
• V logu se zobrazuje i stav instalace konfiguračních profilů.
• Opravy chyb a další drobná vylepšení

Kompletní seznam změn na GitHub stránce projektu

Jamf Pro 11.23

• Jamf Pro přináší několik nových nastavení v konfiguračních profilech v rámci PPPC (Privacy Preferences Policy Control) pro přístup k Bluetooth a souborům a datům jiných aplikací. Také v rámci inventáře přibyly nové atributy pro určení verze aplikace při hledání či Smart Groups.
• Self-Service 2.13 přináší řadu vizuálních oprav a také nové tlačítko pro sdílení přímých odkazů na jednotlivé aplikace a záložky.
• U Blueprintů bylo vylepšeno cílení, kde lze snadno rozlišit mezi chytrými a statickými skupinami a vidět počet zařízení v nich. Do budoucna přibude také filtrování počítače/zařízení.
• Zabudovaná funkce Compliance nově kromě stávajících benchmarků CIS Level 1, CIS Level 2 a NIST 800-53 obsahují také benchmarky CIS v8, NIST 800-171, CNSSI 1253, US CMMC Level 1 a 2 a DISA STIG. Výběr podporovaných sad bezpečnostních pravidel se tak podstatně rozšířil.

Kompletní přehled změn na jamf.com

Mosyle

• Přidána možnost spravovat již existující uživatele a skupiny v rámci integrací, pokud ID uživatele či e-mailová adresa již v Mosyle existují.
• Možnost blokovat pokusy o přístup na zakázané stránky v prohlížeči pomocí IP adresy
• Nové možnosti u konfigurace macOS služeb pomocí souboru. Vedle stávajících jako jsou sshd, sudo, bash a další jsou nyní k dispozici ještě Crypto Token Kit a autorizace.
• Nový panel průvodce nastavením pro zabezpečení dle věku na iOS/iPadOS 26.1 lze přeskočit.
• Nový design profilu pro instalaci aplikací umožňuje zadat krátký popis aplikace, který se zobrazí uživatelům v samoobsluze.
• Možnost nastavit automatickou obnovu SCEP certifikátu
• Správa aktualizací Safari
• Funkce Hardening & Compliance má celou řadu nových pravidel pro iOS/iPadOS týkajících se nových Background Security Improvements aktualizací, stavu Managed Device Attestation, zákazu AirDropu , iCloud zálohy, iCloud Drive, Handoff, otevírání dokumentů v nespravovaných aplikacích a plno dalších.

Některé z těchto funkcí jsou zatím přístupné pouze v rámci Mosyle Early Access. Tento předběžný přístup k novinkám si můžete zapnout v sekci Organization / Preferences / Mosyle Beta. Doporučuje se však takové funkce zatím nenasazovat na produkční zařízení.

Více v Mosyle admin portálu

Microsoft Intune

Microsoft představil pro příští rok zpřístupnění dosud příplatkových funkcí Intune v rámci stávajících licencí Microsoft 365 E3 a E5.

Organizace využívající licenční balíček Microsoft 365 E3 nově v ceně získají tyto funkce:

• Intune Remote Help pro snadnou pomoc prostřednictvím vzdálené plochy na počítačích Mac a Windows
• Intune Advanced Analytics pro pokročilý reporting stavu spravovaných zařízení
• Microsoft Tunnel for Mobile Application Management pro bezpečnou per-app VPN

Organizace s licencí Microsoft 365 E5 pak navíc k výše uvedenému získají navíc:

• Microsoft Cloud PKI pro vydávání certifikátů zařízením všech platforem, s kterou lze nahradit klasický on-premise server certifikační autority
• Intune Enterprise App Management poskytující Microsoftem udržovaný katalog aplikací pro Windows
• Intune Endpoint Privilege Management pro pokročilou správu oprávnění uživatelů během nejrůznějších akcí na Windows počítačích

Bližší informace na webu microsoft.com

Zaujala vás snadná migrace zařízení na jiné MDM řešení, technologie Platform SSO, onboarding asistent Octory či Jamf Setup Manager? Potřebujete poradit s výběrem MDM řešení nebo provést audit toho stávajícího?

Pak budu rád, když mě kontaktujete a během nezávazné online konzultace probereme, jak zlepšit praxi s Apple zařízeními i ve vaší firmě.

Naplánujte si nezávaznou konzultaci a společně se do toho pustíme.