Společnost Apple na vývojářské konferenci WWDC 2019 představila mnoho novinek. Tradičně mezi nimi nechyběly ani nové funkce pro hromadnou správu.

User enrollment

Mezi nejzajímavější novinky patří nový způsob zapojení zařízení vlastněných zaměstnanci do firemního MDM (Mobile Device Management) řešení. Scénář často označovaný jako BYOD (Bring Your Own Device) má za cíl umožnit snadný přístup k podnikovým zdrojům i ze zařízení, která společnost nevlastní. Firma však svá data chce chránit, což vyžaduje jistou úroveň vzdálené kontroly.

Zde vzniká třecí plocha mezi uživateli a IT. V současné verzi systému iOS se sice rozlišuje mezi typem správy supervised (firemní) a unsupervised (firemní i osobní). Unsupervised režim záměrně neumožňuje vzdáleně ovládat mnoho přísnějších omezení funkcionality a zařízení nelze převést do supervised režimu bez jeho smazání.

Na spravovaném unsupervised zařízení je však stále možné vzdáleně dělat mnoho věcí, ze kterých mohou mít uživatelé strach. Administrátor má například schopnost poslat příkaz ke smazání všech dat bez rozdílu. Některé zaměstnance to logicky odradí od přidání svého osobního telefonu do firemní správy. To může pro firmu znamenat vyšší náklady ve formě nákupu firemního telefonu.

Nový režim zapojení do MDM nazvaný User enrollment (Dále jen UE) přináší lepší balanc mezi soukromím zaměstnance a ochranou firemních dat. MDM administrátor nemůže spravovat celou řadu nastavení souvisejících s osobním životem uživatele. Například již není možné zakázat použití iCloudu, vynucovat supersložité heslo nebo na dálku celé zařízení smazat. Vzdáleně lze samozřejmě poslat příkaz pro odebrání z hromadné správy, kdy se smažou pouze aplikace, data a nastavení, které vznikly díky MDM serveru. Odebrání z hromadné správy bylo značně vylepšeno.

Dříve systém, po obdržení příkazu k odstranění firemní konfigurace, začal postupně mazat firemní aplikace a data. Celý proces obsahoval mnoho kroků, a pokud by v průběhu některého z nich nastala neočekávaná chyba, hrozilo, že firemní data zůstanou nesmazána a vzdáleně již nebylo možné vzniklou situací řešit. iOS 13 a macOS 10.15 v UE režimu správy vytvoří šifrovaný APFS oddíl určený výhradně pro firemní aplikace a data. Během odebírání ze správy systém pouze smaže šifrovací klíče k „firemnímu“ oddílu, čímž de facto data navždy znepřístupní.

Proces odebrání to značně zjednodušuje a zvyšuje ochranu dat při ztrátě zařízení. Aby User Enrollment fungoval, musí být zaměstnanci přiděleno spravované firemní Apple ID. Co to je a jak funguje vám osvětlíme v následujících odstavcích.

Managed Apple ID

Dosud bylo možné být v Apple systému přihlášen pomocí jednoho Apple ID účtu. Apple ID mělo vždy velmi osobní povahu. Některé instituce je sice pro své zaměstnance vytvářely pseudo-firemní účty, ale v BYOD scénáři je tento postup zcela irelevantní. Apple se konečně rozhodl situaci řešit a nově umožňuje přihlášení dvěma Apple ID účty zároveň a to osobním a firemním. Firemní Apple ID budou vytvořena přes webový portál Apple Business Manager. Větší organizace jistě rády využijí propojení přihlášování s ostatními cloud platformami (v první vlně bude podporován Microsoft Azure).

Kromě přiřazování firmou nakoupených aplikací (program VPP) bude možné firemní Apple ID využít k ukládání poznámek a dat firemních aplikací do iCloudu. Apple tak mimoděk ohlásil iCloud Drive pro firmy. Více informací o něm však zatím neposkytl.

Nové možnosti konfigurace

Z dalších novinek nás velmi potěšila možnost vlastního rozhraní pro přihlašování během automatického zapojení do hromadné správy. Dosud mohl průvodce prvotním nastavení vyžádat po uživateli pouze jméno a heslo, jež následně poslal MDM serveru, který uživatele musel buď znát nebo jej ověřit v databázi typu LDAP/Active Directory. Nově může MDM server v kroku automatického zapojení prezentovat libovolnou webovou stránku, čímž se otevírá cesta pro přihlášení pomocí cloudových účtu jako Microsoft Azure, Google, atd. Jako každý rok se rozšíření dočkala paleta voleb, které může MDM server na spravovaných zařízeních nastavovat pomocí konfiguračních profilů. Za zmínku stojí následující:

  • Selektivně nastavíte, které služby se automaticky zapnou po přidání Exchange účtu. Lze tedy aktivovat např. email a poznámky, ale kontakty a kalendář ponechat vypnuté. 
  • Konfigurace Exchange umožňuje OAuth přihlašování.
  • Nastavení reflektuje nové možnosti systému v oblasti bezpečnosti jako je zabezpečení Wi-Fi WPA3 nebo novější šifrovací algoritmy pro VPN.
  • V macOS přibylo několik nových kategorií chráněných dat, ke kterým aplikace nemají automaticky přístup. MDM dokáže aplikacím dopředu přístup povolit, aby to nemusel dělat uživatel.
Obrovskou radost všem správcům Apple zařízení udělal nový dokumentační web. Doposud byl obsah konfiguračních profilů dokumentován pouze jako příručka pro vývojáře MDM řešení, z čehož se nedávno stal jeden velký PDF dokument. Na webové stránce Device Management naleznete odkazy na dokumentaci obsahu konfiguračních profilů a specifikaci příkazů, jež může MDM server zařízení poslat. Web podporuje základní verzování, díky kterému jsou zvýrazněny v aktuálním systému nově přidané funkce.  Přístup k beta verzím systémů a nástroji pro hlášení chyb vyžadoval dříve vývojářský účet. Díky novému programu AppleSeed for IT získají společnosti registrované do Apple Business Manager přístup betám bez nutnosti platit vývojářský účet.

Single Sign-On

Velké firmy někdy mají velké množství míst, kde se uživatel musí přihlašovat pomocí jména a hesla. V lepším případě jde o stejné přihlašovací údaje. V ideálním případě zadává uživatel tyto údaje pouze jednou. Single Sign-On (SSO) v korporátních sítích tradičně umožňovala technologie Kerberos (často jako součást Active Directory). Co však dělat, když stále více aplikací běží někde v cloudu, kde použití Kerberosu není většinou reálné? Pro řešení této situace Apple představil rozhraní systému, kdy vývojář může vytvořit jednoduchý nástroj pro přihlášení uživatele jednou z mnoha technologií jako SAML 2.0, OpenID Connect, OAuth 2.0 nebo právě již zmíněný Kerberos. Aplikace a webové stránky podporující SSO tohoto typu již uživatele přihlásí automaticky. V macOS 10.15 Catalina a iOS 13 bude systém obsahovat rozšíření podporující Kerberos SSO, jež by mělo nahradit produkt Apple Enterprise Connect. Vedle SSO umožní synchronizaci hesla mezi lokálním účtem a Active Directory. Rovněž by měl usnadnit přihlašování pomocí Smart karet a osobních certifikátů.

Letošní operační systémy přináší mnoho nových funkcí, které značně zjednoduší život společnostem používající hromadnou správu. Doufáme, že vývojáři MDM řešení budou flexibilní a novou funkcionalitu nabídnou současně s vydáním ostrých verzí Apple systémů na podzim.

Zdroje