Czerwiec w kalendarzu każdego admina IT, który zarządza flotą urządzeń Apple, to miesiąc specjalny. Czas, kiedy kawa smakuje jakoś inaczej, a na jednym z monitorów przez cały dzień odpalony jest stream z WWDC. Co roku liczymy na nowości, które ułatwią nam życie, załatają irytujące luki i pozwolą spać spokojniej. Czasem dostajemy drobne usprawnienia, a czasem… no cóż, czasem Apple serwuje nam prawdziwą ucztę.

I mam wrażenie, że w tym roku stół jest wyjątkowo suto zastawiony. Inżynierowie z Cupertino wzięli sobie do serca nasze prośby (i pewnie tysiące ticketów wsparcia) i dostarczyli funkcje, na które czekaliśmy od lat. Mówię tu o konkretnych, mięsistych rozwiązaniach, które realnie zmienią naszą codzienną pracę.

Święty Graal Admina: Migracja urządzeń między serwerami MDM!

Zacznijmy od funkcji, na którą czekałem od… zawsze. Każdy, kto choć raz musiał przenieść flotę kilkuset czy kilku tysięcy iPhonów lub Maców z jednego systemu MDM do drugiego, wie, jaki to koszmar. Do tej pory jedyną w 100% skuteczną metodą było „Wipe & Re-enroll”, czyli… wymazanie urządzenia do ustawień fabrycznych i ponowne zapisanie go do nowego systemu.

W praktyce oznaczało to gigantyczną operację logistyczną, setki telefonów od wściekłych użytkowników, którym „zniknęły zdjęcia z wakacji” (mimo stu backupów i tysiąca maili z instrukcją) i długie tygodnie pracy. To była największa bariera powstrzymująca firmy przed zmianą dostawcy MDM, nawet jeśli obecny im nie odpowiadał.

A teraz? Apple mówi: „Potrzymaj mi piwo” 😉

Wraz z iOS 18.xx, iPadOS 18.xx i macOS 15.xx dostajemy wbudowany, oficjalny mechanizm migracji urządzeń między serwerami MDM. Koniec z partyzantką! Jak to działa?

1. Inicjacja z poziomu MDM: Administrator w swoim starym systemie MDM będzie mógł „wypchnąć” na urządzenie polecenie migracji do nowego serwera.
2. Ustalenie terminu (Deadline): Możemy ustawić użytkownikowi termin, do którego powinien zaakceptować migrację. Koniec z wymówkami, że „nie było czasu kliknąć”.
3. Notyfikacje dla użytkownika: Na urządzeniu pojawi się czytelne powiadomienie o konieczności migracji i ostatecznym terminie.
4. Zachowanie danych! I to jest absolutny hit. Na iPhonach i iPadach, jeśli nowy serwer MDM zdąży dostarczyć aplikacje przed zakończeniem procesu, urządzenie zachowa te aplikacje i ich dane! To kolosalna zmiana, która oszczędzi czas i nerwy zarówno nam, jak i użytkownikom. W przypadku Maców migrację musi autoryzować zalogowany użytkownik.
5. Wymuszenie migracji: Jeśli użytkownik zignoruje wszystkie prośby, organizacja może wymusić migrację, co na iPhonie/iPadzie skończy się restartem, a na Macu wyświetleniem niedającego się zamknąć okna.

To fundamentalna zmiana. Dla firm, które do tej pory tkwiły u jednego dostawcy MDM, otwierają się nowe drzwi. Wyobraźcie sobie, jak proste staje się przejście na przykład na polski system Proget MDM lub TechStep Essentials MDM, które często oferują świetne wsparcie lokalne i konkurencyjne warunki, na przykład w ofercie operatorów takich jak Plus. Do tej pory blokowała Was wizja ręcznej migracji? Ten problem właśnie znika.

Koniec z klikaniem! Nowe „Services API” dla Apple Business/School Manager

Apple Business Manager (ABM) i Apple School Manager (ASM) to fundament zarządzania urządzeniami Apple w firmach i edukacji. To stąd przypisujemy nowe urządzenia do naszego serwera MDM. Jednak do tej pory wiele operacji wymagało ręcznego logowania i „klikania” w portalu webowym. Przy dużej skali to po prostu niewygodne.

Teraz Apple udostępni Services API. Co to dla nas oznacza? Możliwość automatyzacji!

Zamiast ręcznie logować się do ABM, żeby sprawdzić status zamówienia czy przypisać setkę nowych Maców do serwera MDM, będziemy mogli zlecić to zadanie bezpośrednio z naszego systemu zarządzania. MDM-y takie jak Microsoft Intune, Essentials MDM, Proget czy Jamf będą mogły (i z pewnością to zrobią – prawda??) zintegrować się z tym API, aby dać nam, adminom, nowe supermoce.

Wyobraźcie sobie scenariusz: Dział zakupów zamawia 100 nowych iPhonów u operatora. Numery seryjne trafiają do systemu. Nasz MDM, zintegrowany z API, sam odpytuje ABM, czy urządzenia są już dostępne. Gdy tylko się pojawią, automatycznie przypisuje je do właściwego serwera MDM i stosuje wstępną konfigurację. Zanim kurier dostarczy paczkę do biura, urządzenia są już gotowe do pracy.

To jest właśnie przyszłość zarządzania – proaktywna i zautomatyzowana.

„Stuknij i wejdź”, czyli dowód osobisty w iPhonie (prawie)

Kolejna rewelacja dotyczy tożsamości i logowania. Apple mocno rozwija Platform Single Sign-On (SSO), czyli mechanizm, który pozwala na użycie jednego konta (np. firmowego z Microsoft Entra ID/Azure AD) do logowania się wszędzie – do aplikacji, stron, a nawet do samego komputera Mac.

Teraz idą o krok dalej z funkcją „Tap to Login”. Koniec z wpisywaniem długich i skomplikowanych haseł, aby odblokować swojego Maca! Użytkownik będzie mógł po prostu zbliżyć swojego służbowego iPhone’a lub Apple Watcha do komputera, aby się zalogować. Będzie to działać w oparciu o klucze dostępu (Access Keys), które mogą być bezpiecznie dostarczone na telefon. To nie tylko wygoda, ale też ogromny skok w bezpieczeństwie – eliminujemy najsłabsze ogniwo, czyli hasła.

Dla środowisk, gdzie z jednego komputera korzysta wiele osób (szkoły, sklepy, szpitale), Apple wprowadza „Authenticated Guest Mode”. Dzięki zewnętrznemu czytnikowi NFC pracownik będzie mógł dotknąć swoją kartą pracowniczą czytnika podłączonego do Maca, a system zaloguje go na tymczasowe, zarządzane konto z odpowiednimi uprawnieniami. Po wylogowaniu wszystkie dane znikają. Proste, bezpieczne i genialne dla współdzielonych stanowisk. Koncepcja hotdesków zostaje wyniesiona na nowy poziom.

Deklaratywne Zarządzanie wchodzi na salony i przejmuje dowodzenie

O deklaratywnym zarządzaniu (Declarative Device Management – DDM) mówimy już od kilku lat, ale teraz Apple stawia wszystko na jedną kartę. Stary model zarządzania, oparty na wysyłaniu pojedynczych komend, odchodzi do lamusa.

Żeby to dobrze zrozumieć, użyjmy analogii.

• Stary model MDM (reaktywny): Byłeś jak mikromenedżer. Mówiłeś do urządzenia: „Zainstaluj aplikację X”. Czekałeś na potwierdzenie. Potem: „Ustaw hasło”. Czekałeś. „Zablokuj aparat”. Czekałeś. Ciągłe odpytywanie i wysyłanie komend.
• Nowy model DDM (deklaratywny): Jesteś jak mądry szef. Mówisz do urządzenia: „Twoim zadaniem jest być w takim stanie: masz mieć iOS 18.2, zainstalowane aplikacje X, Y, Z, włączony firewall i zablokowany dostęp do App Store. Zamelduj, jak skończysz i informuj mnie, jeśli coś się zmieni”. Urządzenie samo, autonomicznie dąży do osiągnięcia tego stanu i raportuje tylko wtedy, gdy jest to potrzebne.

To o wiele wydajniejsze i bardziej niezawodne. Apple oficjalnie ogłosiło, że stary mechanizm zarządzania aktualizacjami zostanie w przyszłości wycofany. Całe zarządzanie przenosi się do DDM, włączając w to nowe opcje konfiguracji przeglądarki Safari (zakładki, strona domowa) czy zarządzanie nowościami związanymi z Apple Intelligence (np. blokowanie integracji z ChatGPT w narzędziach systemowych).

Garść smakowitych dodatków, które ułatwią nam życie

Poza tymi grubymi tematami, dostaliśmy też masę mniejszych, ale jakże użytecznych usprawnień:

• Blokowanie i ukrywanie aplikacji: Nareszcie! Będziemy mogli zablokować konkretną aplikację (np. systemową) za pomocą Face ID / Touch ID / kodu lub całkowicie ją ukryć przed użytkownikiem.
• Wyłączanie Activation Lock z poziomu ABM/ASM: Kolejny gigantyczny „pain point” rozwiązany. Jeśli pracownik odchodzi z firmy i zapomni wylogować swoje prywatne Apple ID z urządzenia, do tej pory odzyskanie sprzętu było drogą przez mękę. Teraz admin będzie mógł zdjąć tę blokadę bezpośrednio z portalu ABM. Alleluja!
• Ulepszone zarządzanie eSIM: Nowe restrykcje pozwolą m.in. zablokować użytkownikowi możliwość samodzielnego usunięcia służbowego eSIM-a.
• Nowa aplikacja „Hasła”: Apple w końcu stworzyło dedykowaną aplikację do zarządzania hasłami, która synchronizuje się między iOS, macOS, a nawet Windowsem.

Podsumowanie

Tegoroczne WWDC to nie była ewolucja. To była mała rewolucja w świecie zarządzania urządzeniami Apple. Funkcje takie jak migracja MDM czy wyłączanie Activation Lock z poziomu portalu to game-changery, które zdejmą z nas, administratorów, masę żmudnej i frustrującej pracy. Lepsze zarządzanie tożsamością i postawienie na model deklaratywny to wyraźny sygnał, w którym kierunku zmierza Apple: ku większej automatyzacji, bezpieczeństwu i skalowalności.

Osobiście najbardziej cieszę się na bezbolesną migrację, bo otwiera to pole do wyboru naprawdę najlepszego systemu MDM dla danej organizacji, bez historycznych obciążeń. Czeka nas pracowita jesień pełna testów, ale już teraz wiem, że nasza praca stanie się o wiele prostsza. I o to w tym wszystkim chodzi!

Źródło: Apple WWDC 2024 Session: „What’s new in Apple device management and identity„

Do następnego!