Vylepšené nástroje pro IT: Spravovaná Apple ID, Apple Configurator a firemní Passkeys
Vylepšené nástroje pro IT: Spravovaná Apple ID, Apple Configurator a firemní Passkeys
Předchozí
Kromě zařízení a systémů se po WWDC23 dočkají výrazných změn i cloudové služby. Pro IT správce zásadní portál Apple Business Manager (ABM) či Apple School Manager (ASM) začne brzy nabízet vylepšená spravovaná Apple ID, která se svými možnostmi přiblíží těm soukromým a nabídne i podporu passkeys. Nových funkcí se dočkal také praktický nástroj Apple Configurator.
Spravovaná Apple ID s plnohodnotným iCloudem
Spravovaná (Managed) Apple ID, vytvořena v ABM/ASM, dosud neměla přístup ke všem funkcionalitám. Nově bude možné u těchto účtů používat Apple Wallet a iCloudovou klíčenku pro ukládání přístupových hesel, passkeys či vstupních karet a pozvánek. Dále také použít ID jako účet pro vývojáře, kteří tak již nemusí spoléhat na soukromé Apple ID. Samotní uživatelé pak ocení hlavně sadu oblíbených funkcionalit Continuity pro propojení Apple zařízení mezi sebou, ke kterým patří již široká sada praktických funkcí: AirPlay z iPhone na Mac, Automatické odemknutí pomocí Apple Watch, Continuity kamera pro rychlé přidávání příloh na počítači Macu přes iPhone fotoaparát, Handoff pro pokračování v rozdělaném dokumentu na jiném zařízení, Instant Hotspot pro připojení k internetu na jedno kliknutí, mobilní hovory přes iPhone na počítači Mac, synchronizace SMS, Sidecar pro využití tabletu iPad jako externí obrazovky pro Mac, Universal Clipboard pro kopírování a vkládání na jiném zařízení a Universal Control pro ovládání vedle stojícího tabletu iPad klávesnicí a myší z počítače Mac nebo obráceně.
Dále bude možné u těchto Apple ID omezit přístup k jednotlivým iCloud službám, omezit přístup k AppleSEED for IT pro konkrétní uživatele, omezit přístup k Xcode a k portálu Apple Developer. Omezit i iMessage a hovory pouze mezi Apple ID v rámci organizace. A co je nejdůležitější, je možné omezit přihlášení spravovaným Apple ID pouze na organizací spravovaná zařízení. Nově budou mít správci na výběr z několika možností. V té výchozí se může spravovaným Apple ID zaměstnanec přihlásit kdekoliv, jak je tomu nyní. Přihlášení bude možné nově omezit pouze na organizací spravovaná zařízení. Nebo jít ještě dále a vyžadovat pro přihlášení spravované zařízení v režimu dohledu (supervision), tím jsou vyloučena zařízení nevlastněná organizací (BYOD). Tato funkcionalita však vyžaduje nejnovější OS a podporu ze strany samotného MDM řešení.
Aby správci mohli automatizovat vytváření a rušení spravovaných Apple ID, přidat další úroveň zabezpečení a uživatelé měli pouze jeden firemní účet, je možné nastavit federaci účtů. A to jak z Microsoft Azure Active Directory, nebo od loňska také s Google Workspace a letos prakticky s jakýmkoliv poskytovatelem identity díky podpoře OpenID a SCIM. Prvním, který podporu OpenID využije, bude Okta, ale nastavit bude možné i svého vlastního IdP.
Tyto nové funkcionality jsou momentálně dostupné skrze možnost Beta features v nastavení ABM/ASM.
Passkeys pro firmy
Jedním z důvodů pro iCloudovou klíčenku pro spravovaná Apple ID jsou passkeys. Ano, passkeys s malým “p”, jelikož nejde o obchodní název. Passkeys jsou loni zavedený standard uznávaný napříč všemi velkými technologickými společnostmi, který postupně nahradí klasické přihlášení heslem. K čemu je to dobré? Passkeys zcela odstraňují uživatelský element v podobě slabého hesla, nelze je zneužít phishingovým útokem, protože z uživatele není co vylákat, nelze je ukrást ze serveru a navíc jsou jednodušší na používání a uživatel si nemusí nic pamatovat. Jde totiž o kombinaci soukromého klíče uloženého bezpečně na ověřeném zařízení a veřejného klíče uloženého u poskytovatele služby, ke které se chce uživatel přihlásit. Jeden klíč bez druhého tak nelze využít. Zařízení navíc vyžaduje ověření uživatele pomocí biometrických údajů získaných senzory Touch ID, Face ID a nebo již brzy i Optic ID.
K bezpečnému ukládání a synchronizaci passkeys je však zapotřebí nějaký nástroj a tím může být právě iCloud Klíčenka. U spravovaného Apple ID, na které jsou firemní passkeys vázané, se Klíčenka bude synchronizovat pouze na spravovaná zařízení. Pomocí Atestace zařízení lze prokazovat, že passkeys vytváří ověřené spravované zařízení. V kombinaci ABM/ASM a podporovaného MDM řešení bude možné do budoucna zcela nahradit přístupová hesla a posunout zabezpečení na zcela novou úroveň. Samozřejmě to bude vyžadovat adopci této technologie také u všech služeb, aplikací a webových stránek. Apple zařízení jsou však již na bezheslovou budoucnost připravena.
Apple Configurator
Aplikace Apple Configurator pro Mac a pro iPhone umožňuje správcům manuálně přidat do ABM/ASM zařízení, která nebyla automaticky zaregistrována při koupi u autorizované prodejce či přímo u Apple. Letos se i ona již dočkala praktických vylepšení.
Apple Configurator pro iPhone může nově zařízení při přidávání do ABM/ASM rovnou přiřadit ke zvolenému MDM serveru. Ať už k výchozímu nebo jinému vybranému v nastavení.
Apple Configurator pro Mac nově spolupracuje s aplikací Zkratky (Shortcuts), pomocí nichž lze snadno vytvořit automatizované operace. Například automatické přidání každého připojeného iPhonu do ABM/ASM k vybranému MDM či automatické smazání každého připojeného iPadu do továrního nastavení. Představivosti se meze nekladou.