Novinky ve správě iOS 13 zařízení

Z DEPu se stává Automated Device Enrollment

První důležitou změnou je přejmenování aktuálního programu DEP na Automated Device Enrollment. Pokud tedy nakupujete Apple zařízení ve velkém, budete tak od nynějška činit v rámci tohoto programu. V České republice jde tedy o případy, kdy jsou zařízení pořizována přes oficiálního distributora (iSTYLE, apod.). Teoreticky i u nás můžete pořizovat DEP zařízení přímo přes Apple a jeho online obchod, ale připravte se na zdlouhavý proces, komunikaci s podporou v USA a nejistý výsledek přiřazení nakoupených zařízení k vašemu DEP ID.

Do Automated Device Enrollmentu můžete stejně jako doposud přidat i zařízení pořízená v běžné maloobchodní síti, ale potřebujete k tomu počítač Apple s Apple Configurator 2. Nadále platí i pravidlo, že takto ručně přidaná zařízení jsou ve správě 30 dní „na zkoušku“ a je možné je ze správy po tuto dobu vyjmout. V praxi takové zařízení asi těžko přiřadíte uživateli do běžného užívání, je proto nutné počítat s tím, že si ho na 30 dní vyblokujete a bude vám ležet na stole či někde ve skladu.

Důležitou změnou je, že všechna zařízení zapsaná v Automated Device Enrollmentu jsou automaticky zapisována v Supervised módu, který nabízí širší možnosti nastavení. Tento krok je v souladu s aktuálním přístupem Applu, kdy řadu nastavení umožňuje aplikovat pouze na firmou vlastněná zařízení, nad kterými má IT oddělení plnou kontrolu.

Nový způsob zápisu v iOS 13 - User Enrollment

Apple pod tlakem okolností tlačí na ochranu dat uživatelů a zároveň se tak trochu inspiroval od Googlu a jeho Android Enterprise a pracovních profilů. V poslední verzi iOS (zatím neplatí pro iPadOS, ale je to jen otázka času) přichází s podobnou variantou správy zařízení a nazývá jí User Enrollment. Je to v podstatě odlehčený zápis zařízení, který do jisté míry „chrání“ uživatele a je určený primárně pro BYOD (Bring Your Own Device) scénáře.

Výhody User Enrollmentu:

• Ideální pro BYOD, kdy uživatel zapíše své zařízení do správy IT oddělení zaměstnavatele.
• Firemní data jsou uložena na odděleném APFS oddílu, IT oddělení si nemůže sáhnout na citlivé informace o zařízení či soukromá data zaměstnance.
• Uživatel může přistupovat k službám Apple pod soukromým i firemním Apple ID

Co už tak výhodné na User Enrollmentu není:

• MDM politiky v případě User Enrollmentu jsou výrazně okleštěny, zdaleka nad zařízením nemá IT oddělení takovou kontrolu jako v případě běžného zápisu přes (Automated) Device Enrollment.
• Je potřeba mít spravované firemní Apple ID, které jde federovat pouze s Azure AD (alespoň v současné době, navíc pouze v beta verzi). Toto je asi těžko překonatelná překážka pro všechny správce, kteří buď Azure AD nepoužívají, nebo jednoduše federovat nechtějí/nemohou. Apple evidentně tlačí na využívání svých služeb (iCloud, Pages, Numbers, Keynote, atd.) a rozhodl se, že cesta, kdy firemním uživatelům Apple ID prostě vnutí, by mohla být jedním z řešení. Pokud nefederujete s Azure AD, můžete sice spravovat firemní Apple ID ručně přes Apple Business Manager, ale v praxi je toto řešení aplikovatelné pouze u malých společností či takových, kde ajťáci rádi páchají sebevraždy nebo ve volných chvílích uživatelům manuálně synchronizují hesla.
• Zařízení nejdou smazat, což logicky souvisí s omezenými možnostmi správy. Toto může být problém při ztrátě či krádeži zařízení, záleží na dalších okolnostech a tom, jak je dále zařízení zabezpečeno.

Z jakých možností správy můžeme vybírat

Apple nám v tom všem udělal teď trochu zmatek, pojďme si proto sesumírovat, jaké vlastně máme možnosti, pokud chceme Apple zařízení spravovat přes MDM:

• Automated Device Enrollment (starý DEP) - absolutní správa zařízení, kdy si s ním, můžeme dělat, co chceme (=co nám Apple dovolí). Zařízení musí být pořízené v DEP režimu přes oficiálního distributora, vlastní ho zaměstnavatel.
• Device Enrollment - správa zařízení, kdy dojde k zápisu běžně pořízeného zařízení (rozuměj přes prodejce typu Alza, CZC, apod.) do správy zaměstnavatele. Běžně se takto zapisují zařízení menších společností, které nenakupují přes DEP.
• User Enrollment - zápis vhodný pro BYOD scénáře, kdy jsou chráněna soukromá data uživatele. Je však potřeba spravované Apple ID.
• Mobile Aplication Management - ač nejde o zápis zařízení do správy (spravují se pouze aplikace), je to scénář, který se až do současné doby celkem obstojně používal na ochranu firemní dat na BYOD zařízení, protože nám umožňoval vytvářet „deštník“, pod který jsme firemní data schovali. Uvidíme, co s tím provede nový User Enrollment, každopádně MAM je výhodný v tom, že jde kombinovat s výše uvedenými možnostmi zápisu, tedy můžeme mít zařízení ve správě, a ještě k tomu na něm spravovat aplikace a usměrňovat tak přenos firemních dat mezi nimi (kopírování/vkládání/apod.).

User Enrollment v Intune

Aktuálně je možnost zapsat iOS zařízení přes User Enrollment do Intune v preview verzi. Nic náročného nás v nastavení nečeká - v podstatě stačí vytvořit nový Enrollment type profile a v něm si zvolíme, zda budeme zařízení zapisovat jako Device Enrollment, User Enrollment, či necháme výběr na uživateli.

Profily samozřejmě můžeme cílit na různé skupiny uživatelů. Pokud nemáme profil, zařízení se zapisují po staru, tedy přes Device Enrollment (je otázka, zda toto bude platit i do budoucna, spíš bych odhadoval, že defaultně bude na výběr). Zápis zařízení z pohledu uživatele probíhá klasicky přes Company Portal aplikaci, v obou variantách zápisů se na zařízení instaluje Microsoft Authenticator, který se nám postará o splnění požadavků na autentizaci a podmíněný přístup.

Závěrem

User Enrollment je zdařilý krok Applu ve směru zápisu BYOD zařízení. Zatím jsou však limitace zásadní a v praxi příliš restriktivní (spravované Apple ID, omezená federace v beta verzi). Je to tedy spíše slibný příslib do budoucna než něco, co bychom museli v současné chvíli aktivně řešit a kvůli čemu přeregistrovávat spravovaná zařízení. Každopádně se dá očekávat, že tímto směrem povedou i budoucí kroky Applu v oblasti BYOD a už jenom z toho důvodu je vhodné vývoj v této oblasti sledovat.