Společnost Apple na své již tradiční konferenci představila novinky pro vývojáře a uživatele v další velké aktualizaci svých operačních systémů. Pojďme se podívat na ty nejzajímavější, kterých může využít i firemní IT.
Platforma Apple se stala oblíbenou u nemalé škály zákazníků i uživatelů. Ať se jedná především o mobilní telefony s operačním systémem iOS, tablety disponující iPadOS nebo dnes již i počítače vybavené systémem macOS. Firemní IT oddělení dlouhá léta neměla tyto platformy pod kontrolou, neboť se tyto systémy prostě a jednoduše špatně připojují k tradičnímu doménovému prostředí.
Rovnováhu, možnost distribuce aktualizací a bezpečnostních politik, nastolil až příchod služeb pro takzvaný Mobile Device Management (MDM). Potřebu takového systému potvrdila i doba nedávné pandemie, kdy trend práce z domova ukázal, že stejné možnosti potřebujeme i pro tradiční svět operačních systémů Windows.
Do řad MDM nepochybně náleží i řešení Microsoft Intune, které je obsažené v rámci služeb Microsoft 365. I díky němu bude moci firemní IT využít novinek, které si pro nás chystá další verze operačních systémů z jablečné dílny.
SSO již na úrovni platformy
Již delší dobu můžeme využít jednotného přihlášení mezi Microsoft aplikacemi, které sdílejí takzvanou MSAL knihovnu. Což nabízí pro uživatele značný komfort s nutností hlásit se jen do jedné aplikace a všechny ostatní přebírají stejná uživatelská pověření. To ulehčuje také implementaci například druhého faktoru nebo politik podmíněného přístupu.
V několika předchozích verzích existovala možnost nastavit i takzvané rozšíření pro SSO, které mohlo MDM doručit právě i pro nativní aplikace, například přihlašování v prohlížeči Safari.
Nyní jde Apple ještě o krok dále a plánuje přinést takzvané platformní SSO. To umožňuje s pomocí identit ze systémů, které jsou často synchronizovány do podpory takzvaných Managed Apple ID i do samotného systému. Uživateli tak kromě prvotního nastavení může odpadnout potřeba pamatovat si další zbytečné heslo.
Obrázek 1: SSO na úrovni platformy s externím poskytovatelem identit (Zdroj: Apple)
Přihlášení Apple i s firemní identitou
V soukromém světě se uživatelé již delší dobu mohou potkat s volbou použít pro přihlášení do aplikace nebo webové stránky svého Apple ID, nebo anonymního Apple identifikátoru. Nyní je tato možnost rozšířena právě i na Managed Apple ID. Společnosti tak odpadá nutnost řešit nativní napojení identit u aplikací, které jiné metody, jako třeba SCIM nebo ověření vůči Azure AD, nepodporovaly.
Obrázek 2: Přihlášení pomocí Apple ID nyní i pro firemní účty (Zdroj: Apple)
Mobilní Apple Configurator
Pokud organizace neměla k dispozici certifikovaného prodejce zařízení, který by zařídil registraci zařízení do účtu organizace, muselo IT podstoupit krkolomný proces připojení zařízení a nahrání konfiguračního profilu. Scénář byl validním i pro již pořízená zařízení před konfigurací firemního účtu. Nová mobilní verze této aplikace jednoduše do firemní flotily registruje zařízení bez nutnosti jeho připojení k jinému zařízení.
Obrázek 3: Mobilní verze Apple Configurator (Zdroj: Apple)
Zvýšení bezpečnosti napříč ekosystémem
Novinkou je též služba Device Attestation, která nám ověřuje stav, identitu, integritu zařízení a bezpečnou formou dokáže tuto informaci sdělit například MDM serveru.
Pomocí takzvaných Passkeys pak Apple vstupuje do hry zvané Passwordless. Ty umožňují bezpečné přihlášení do aplikací, stránek pomocí jedinečných hesel generovaných vůči dané služby unikátně a zabezpečené právě Apple identitou. Což je metoda odolná standardním phishing útokům, protože útočník nedokáže vygenerovat přihlášení se stejným otiskem serveru a uživatel i bez toho neví, které heslo by do formuláře vyzradil.
Vývojářům, stejně jako firemnímu IT, je pak doporučována implementace IPv6 a zabezpečených DNS dotazů, které přinášejí větší soukromí uživatelům. Stejně tak importované certifikáty musejí být technicky platné a používat bezpečné kombinace šifer, i když je vydává interní certifikační autorita.
Po relativně dlouhých letech platforma dostává politiky pro zpracování a řízení aktualizací. Spolu s tím úvodní konfigurace zařízení může počkat až na instalaci a konfiguraci všech politik, což může připomínat Autopilot na platformě Windows.
Pro bezpečnostní řešení přichází možnost využít Web Content Filter, čímž může odpadnout nutnost směrovat provoz vždy přes centrální firemní proxy, nebo na zařízení navazovat lokální VPN.
Společně s dalšími novinkami Apple představil i svoje cloudové MDM jako přídavek k Apple Business Manager. Zatím řešení umí spravovat právě a jen zařízení této značky, ale poskytuje nativní integrovanou zkušenost správcům i uživatelům. Nicméně, kdo již pořídil Intune, o žádnou z novinek nepřijde. Vše je řešeno přes standardní politiky kompatibilní napříč systémy pro správu. Pokud tedy nevyužíváte ryze flotilu stejné značky, i cenová politika dává naznačit, že má stále smysl uvažovat právě o využití výhod a benefitů z Microsoft 365.
Obrázek 4: Nová služba MDM integrovaná s Apple Business Manager (Zdroj: Apple)
