Vývojářská konference WWDC 2020 nepřinesla žádný revoluční přelom v hromadné správě Apple zařízení. Představena byla spíše menší vylepšení, která však mnoha firmám správu značně zjednoduší. Pojďme se na ně podívat.

Device Enrollment

Proces automatizovaného zapojení Maců do MDM správy - Automated Device Enrollment se často označuje jako Zero Touch deployment. Když se nad tímto termínem zamyslíte, zjistíte, že Zero Touch ve skutečnosti znamenalo Zero Touch for IT, protože uživatel musel vždy projít ručně několik kroků přípravy Macu. Dosud nebylo možné pomocí Device Enrollment zcela automatizovaně nasadit celý Mac bez nutnosti uživatelského zásahu, což byl problém zejména v situacích, kdy instituce spravuje například učebnu vybavenou Macy.

macOS BigSur přináší kompletní automatizaci nasazení stacionárních Maců. Tyje nyní možné po prvním zapnutí nakonfigurovat skrz Device Enrollment tak, aby se uživatel mohl rovnou přihlásit. Podmínkou je připojení do sítě pomocí Ethernet kabelu. V praxi administrátor učebny musí všechny počítače pouze vybalit, připojit a zapnout. Zbytek zařídí systém hromadné správy. Uživatelé se následně mohou přihlásit síťovým kontem nebo lokálním účtem vytvořeným skrz MDM řešení.

V průvodci prvotním nastavením (SetupAssistant) každý rok přibude minimálně jeden nový panel. Ani letošek není výjimkou a uživatelé mohou potkat panel Zpřístupnění (Accessibility). Díky MDM může být přeskočen na všech platformách. Nově lze přeskočit také iOS/iPadOS panely Restore Completed a Update Completed.

Novinky ve správě macOS

Režim supervize indikující firemní vlastnictví zařízení dorazil na Mac v macOS 10.15 Catalina. Díky němu má instituce nad zařízením mnohem větší kontrolu, kdy MDM může například získat bypass kód k Activation Lock nebo vynutit instalaci systémové aktualizace. MacOS Big Sur jasně definuje úkony vyžadující supervizi na Macu. Zapnutí supervize již není omezeno na automatizovaný Device Enrollment a na Macu se automaticky aktivuje během klasického MDM Enrollmentu s potvrzením uživatele (User Approved MDM). Volnější User Enrollment vhodný pro správu zařízení vlastněných zaměstnanci pochopitelně supervizi nepodporuje.

Apple zásadním způsobem mění infrastrukturu pro aktualizaci macOS. Ta nyní bude využívat stejné mechanismy jako iOS/iPadOS. Pro uživatele se nic nemění, ale administrátoři se musí připravit na změnu včas. Doposud bylo možné replikovat službu aktualizací systému macOS pomocí Apple Software Update Server (dříve součást macOS Server) nebo open source nástrojem Reposado. Administrátor měl kompletní kontrolu nad dostupností aktualizací i zdrojem jejich distribuce, kdy místo Apple CDN infrastruktury mohl aktualizace poskytovat z firemních serverů.

V macOS 11.0 tato funkcionalita již není dostupná. Apple v MDM specifikaci poskytuje vlastní mechanismy pro odložení dostupnosti aktualizací systému a vynucení jejich instalace. Celkovým konceptem změny však Apple jasně akcentuje zájem zařízení aktualizovat podobným způsobem jako iOS s menším zdržováním ze strany firemního IT. Zdroj instalačních souborů aktualizací lze řešit službou Caching ve firemní síti.

Ze systému iOS přichází funkce spravovaných aplikací. MDM doposud mohlo macOS aplikace instalovat a konfigurovat unikátním způsobem. Nově je možné provádět konfiguraci aplikací stejně jako na iOS. Firmy dostávají větší kontrolu nad konverzí již nainstalovaných aplikací do spravovaného režimu a odinstalací aplikací kdykoliv i během specifické situace odebrání zařízení z hromadné správy.

Nové modely profesionální stanice Mac Pro se prodávají i ve verzi určené do serverové skříně (rack). Mac Pro získal schopnost vzdáleného ovládání Lights-out Management (LOM) umožňující vypínání, zapínání a restart hardware. Tou byl naposledy vybaven poslední skutečný Apple server počítač XServe z roku 2009. MDM specifikace pro macOS 11.0 nyní nově umožňuje ovládat LOM funkcionalitu pomocí MDM a tzv. LOM controlleru běžícím na dedikovaném Macu. Podmínkou je, aby všechny zmíněné Macy byly spravovány pomocí stejného MDM serveru.

Novinky ve správě iOS/iPad OS

Do firemní sféry přichází funkce sdíleného iPadu. Ta byla dříve dostupná pouze pro vzdělávací instituce. Spravovaný iPad umožňuje přihlášení více uživatelů, kdy se každý z nich dostane po přihlášení do svého vlastního prostředí podobně jako na Macu. Nově umí sdílený režim také do časné přihlášení fungující prakticky stejně jako počítačový uživatel Guest.

MDM nyní dokáže zabránit uživateli v odinstalaci spravovaných aplikací. Doposud bylo nutné zamknout úpravu celé obrazovky s aplikacemi. Nový způsob během pokusu o smazání kritické firemní aplikace jednoduše oznámí, že to není možné.

iOS zařízením je možné vzdáleně nastavit časovou zónu, což je vhodné v situaci, kdy současně nechceme, aby byla zapnuta funkce automatického zjišťování lokace.

VPN dostává schopnost řídit tok dat individuálně pro uživatelské účty nastavené v systému. Firemní IT může například nastavit přístup aplikace Mail k Exchange serveru vždy přes firemní VPN. Rovněž lze (podobně jako na Macu) směrovat veškerý provoz skrz VPN spojení. Velmi praktické.

Bezpečnostní týmy budou mít radost ze schopnosti spravovat zobrazení obsahu notifikací na zamknutém zařízení, což dříve mohlo vést k nežádoucímu úniku dat při odcizení zařízení. K nové funkci AppClips existuje také cesta, jak ji zakázat.

Single Sign-On (SSO) doplňky pro Mac

Loni uvedené Single sign-on doplňky si kladou za cíl výrazně zjednodušit přihlašování uživatelů do firemních aplikací na webu i ve firemní síti. Zatím stále čekáme na komerční implementaci doplňku pro webové služby. Microsoft již svůj doplněk testuje. Služba Okta oznámila, že svůj doplněk uvede ještě v roce 2020.

Apple poskytuje vlastní SSO doplněk pro přihlašování pomocí Kerberos. V nových systémech získává širší paletu možností přizpůsobení uživatelského rozhraní, lepší propojitelnost s VPN a bezpečnější zacházení s Kerberos tickety.

Všechny typy doplňků lze konfigurovat na úrovni celého zařízení a nově i spravovaného uživatele. Díky této změně může MDM přednastavit např. přihlašovací jméno nebo použít klientský certifikát z klíčenky uživatele.

Ostatní novinky

Push notifikace (APNS), jenž firemní infrastruktura (včetně MDM serverů) zasílá serverům Applu k přeposlání na koncová zařízení, letos opouští původní binární protokol a musí povinně použít nástupce v podobě protokolu postaveného nad HTTP/2. Problémy v hromadné správě mohou nastat pouze v případě neaktualizovaného MDM řešení nasazeného v síti zákazníka.

Nově lze komunikaci s APNS servery a spravovanými zařízeními posílat přes HTTP proxy, což jistě ocení firmy s „ultrarestriktivním“ prostředím.

Letošní změny přinesly dílčí vylepšení a zase o krůček více sjednocují způsob správy Apple zařízení.

Zdroje

Další články z WWDC 2020