Distribuce spravovaných aplikací do zařízení Apple
V závislosti na požadavcích vaší organizace může být nutné kontrolovat, jak se aplikace, které distribuujete svým uživatelům, připojují k interním zdrojům, a jak zacházíte s bezpečností dat, když uživatel opustí organizaci. Bezplatné, placené i vlastní aplikace můžete distribuovat bezdrátově prostřednictvím služby správy zařízení a spravovat tok dat tak, abyste dosáhli vyváženého poměru zabezpečení organizace a individuálního přizpůsobení uživatelského prostředí.
Spravované aplikace
Aplikace instalované prostřednictvím služby správy zařízení označujeme jako spravované aplikace. Často obsahují citlivé informace a máte nad nimi větší kontrolu než nad aplikacemi, které si stáhne uživatel.
Spravované aplikace lze ze zařízení odstranit:
Na dálku prostřednictvím služby správy zařízení,
když uživatel zruší registraci zařízení ve službě správy zařízení.
Při odstranění aplikace z iPhonu, iPadu a Apple Vision Pro budou ze zařízení zároveň odstraněna přidružená data obsažená v jejím datovém kontejneru. V případě, že služba správy zařízení odebere z iPhonu, iPadu nebo Apple Vision Pro licenci k aplikaci, ale samotnou aplikaci neodstraní, lze tuto aplikaci na zařízení používat ještě dalších 30 dní. Pokud vývojář aplikace implementuje kontrolu nákupních dokladů, může být aplikace deaktivována dříve. Na Macu zůstává aplikace použitelná, dokud nedojde ke kontrole dokladu o koupi.
Po deaktivaci už aplikaci nelze spustit a uživatel je na to upozorněn, ale aplikace zůstává v zařízení a její data jsou zachována. Když si uživatel zakoupí její kopii, může ji začít znovu používat.
Omezení a možnosti spravovaných aplikací
U spravovaných aplikací lze pro posílení zabezpečení a vylepšení uživatelského prostředí nastavit následující možnosti a omezení:
Unenrollment from a device management service: Určuje, zda mají spravované aplikace a jejich data v zařízení zůstat, když uživatel zruší registraci ve službě správy zařízení.
Convert apps: Převod nespravovaných aplikací na spravované.
U zařízení pod dohledem probíhá převod nespravovaných aplikací na spravované bez interakce s uživatelem, pokud si to služba správy zařízení vyžádá. V případě zařízení, která pod dohledem nejsou, musí uživatel správu formálně přijmout. Při použití registrace uživatelů není převod aplikací podporován.
App version updates: Tato funkce pravidelně vyhledává v App Storu nové verze aplikací a následně vysílá do zařízení příkazy k jejich instalaci a aktualizaci. Stejný proces funguje i pro vlastní aplikace. Aplikace přiřazené k zařízení, které instalujete a spravujete prostřednictvím služby správy zařízení, musí aktualizovat tato služba; uživatelé nevidí v App Storu žádná oznámení o aktualizaci těchto aplikací.
Allow Tap to Pay (iOS): Na zařízeních se systémem iOS 16.4 nebo novějším lze platební aplikaci spuštěnou v popředí označit jako určenou k bezpečnému použití při transakcích Tap to Pay. Pokud je tato volba nastavená, uživatel musí zařízení odemknout pomocí Face ID, Touch ID nebo přístupového kódu po každé transakci, během níž bylo zařízení předáno zákazníkovi, aby zadal PIN ke své kartě.
Use Managed Open In restrictions (iOS, iPadOS): K dispozici máte výběr ze tří funkcí chránících data aplikací vaší organizace:
Allow documents from unmanaged sources in managed destinations: Toto omezení, je‑li vynucováno, pomáhá zabránit osobním zdrojům a účtům uživatele v otvírání dokumentů, které jsou obsaženy v cílových prostředcích spravovaných vaší organizací. Může například zabránit uživateli v otevření PDF dokumentu z náhodné webové stránky v aplikaci vaší organizace určené ke čtení PDF dokumentů.
Allow documents from managed sources in unmanaged destinations: Toto omezení, je‑li vynucováno, pomáhá zabránit zdrojům a účtům spravovaným organizací v otvírání dokumentů, které jsou obsaženy v osobních cílových prostředcích uživatele. Může například zabránit otevření důvěrné e‑mailové přílohy z poštovního účtu spravovaného vaší organizací v kterékoli z osobních aplikací uživatele.
Managed pasteboard. Toto omezení pomáhá na zařízeních se systémem iOS 15 či iPadOS 15 nebo novějším s udržením kontroly nad kopírováním a vkládáním obsahu mezi spravovanými a nespravovanými umístěními. Pokud jsou vynucována výše uvedená omezení, vkládání obsahu respektuje hranici spravované funkce „Otevřít v“ mezi aplikacemi od nezávislých vývojářů a vlastními aplikacemi společnosti Apple, jako je Kalendář, Soubory, Mail nebo Poznámky. Navíc platí, že pokud je použito toto omezení a obsah překračuje hranice správy, nemohou si aplikace vyžádat obsah ze schránky. Na zařízeních se systémem iOS 16 či iPadOS 16.1 nebo novějším toto omezení zahrnuje spravované domény.
Mark apps as nonremovable (iOS, iPadOS): Na zařízeních se systémem iOS 14 či iPadOS 14 nebo novějším můžete spravované aplikace označit jako neodstranitelné. Dříve museli správci zcela uzamknout plochu a znemožnit odstranění všech aplikací, což omezovalo možnosti uživatelů spravovat vlastní aplikace. Uživatelé mohou nadále přeskupovat svoje aplikace, instalovat nové aplikace a případně mazat jiné nainstalované aplikace. Správci mohou označit aplikace s kritickou důležitostí jako neodstranitelné. Když se uživatel pokusí spravovanou aplikaci smazat nebo odložit, je mu v tom zabráněno a zobrazí se upozornění. Spravované aplikace označené jako neodstranitelné jsou zárukou toho, že uživatelé v organizaci budou mít potřebné aplikace na svých zařízeních vždy k dispozici.
Prevent Managed Apps from backing up data (macOS): Toto omezení vám může pomoct zabránit spravovaným aplikacím v zálohování dat prostřednictvím Finderu (v systému macOS 10.15 a novějších) či iTunes (v systému macOS 10.14 a starších) nebo na iCloud. Zákaz zálohování pomáhá znemožnit obnovení dat spravované aplikace, pokud služba správy zařízení aplikaci odstraní, ale uživatel ji později znovu nainstaluje.
Use app configuration settings: Vývojáři aplikací mohou definovat nastavení konfigurace, které má být použito před instalací spravované aplikace nebo po její instalaci. Například nastavením volby SkipIntro může vývojář ve spravované aplikaci přeskočit úvodní obrazovky.
Use app feedback settings that a device management service can read: Vývojáři aplikací můžou definovat položky nastavení aplikací, které lze načíst prostřednictvím služby správy zařízení. Zadá‑li vývojář například hodnotu klíče
DidFinishSetup, služba správy zařízení může dotazem na tento klíč zjistit, jestli lze aplikaci správně spustit a nastavit.Download managed documents from Safari: Dokumenty stažené v Safari jsou považovány za spravované, pokud pocházejí ze spravované domény. Stáhne‑li tedy uživatel například PDF dokument ze spravované domény, musí tento dokument vyhovovat všem atributům nastavení spravovaných dokumentů. Další informace najdete v části Příklady spravovaných domén.
Prevent Managed Apps from storing data in iCloud: Data, která uživatelé vytvoří v nespravovaných aplikacích, lze na iCloud ukládat i nadále.
Poznámka: Některé volby jsou k dispozici jen ve vybraných službách správy zařízení. Informace o tom, které volby jsou dostupné na vašich zařízeních, najdete v dokumentaci od vývojáře služby správy zařízení.
Konfigurování spravovaných aplikací
Organizace často potřebují přizpůsobit uživatelské prostředí určité aplikace svým specifickým potřebám, nebo i potřebám konkrétní skupiny uživatelů.
Na zařízeních se systémy iOS 18.4, iPadOS 18.4, visionOS 2.4 a novějšími můžou organizace bezpečným způsobem nasadit konfigurace a tajné přihlašovací údaje (například hesla, certifikáty či identity) specifické pro jednotlivé spravované aplikace, které využívají framework ManagedApp. To jim umožňuje s použitím konfigurace com.apple.configuration.app.managed přizpůsobit chování konkrétních aplikací, zpřehlednit uživatelské rozhraní a posílit zabezpečení. Tímto způsobem lze například:
Přednastavit spravovanou aplikaci nebo rozšíření aplikace pro konkrétní zařízení nebo uživatele.
Využívat automaticky poskytované identifikační údaje k ověřování a podepisování.
Bezpečně přijímat tokeny pro přístup přes API.
Získávat certifikáty pro vlastní nastavení důvěry (připínání certifikátů).
Využívat klíče vázané na hardware a atestaci spravovaných zařízení k silnému ověřování zařízení.
Další informace najdete v popisu frameworku ManagedApp na webu Apple Developer.
Spravované knihy
Prostřednictvím služby správy zařízení můžete také distribuovat spravované knihy, soubory EPUB a PDF dokumenty, které vytvoříte.
Knihy ve formátu EPUB a PDF soubory, které distribuuje služba správy zařízení, mají stejné vlastnosti jako ostatní spravované dokumenty. Podle potřeby je můžete aktualizovat na nové verze, sdílet jen s jinými spravovanými aplikacemi nebo zasílat e‑mailem s použitím spravovaných účtů Apple. Služba správy zařízení také může uživatelům bránit v zálohování spravovaných knih. I když knihy přiřadíte k uživatelům, zobrazí se jen na iPhonech a iPadech, které těmto uživatelům přidělila služba správy zařízení.
Poznámka: Apple Vision Pro spravované knihy nepodporuje.
Omezení klávesnic od nezávislých vývojářů
Systémy iOS a iPadOS podporují pravidla spravované funkce „Otevřít v“, která se vztahují na rozšíření klávesnic od nezávislých vývojářů. Tato pravidla brání zobrazení nespravovaných klávesnic ve spravovaných aplikacích.