Maandag 5 juni was het weer zover: WWDC23! Voor velen hét jaarlijkse moment waarbij de laatste software-innovaties worden gedeeld met de wereld. Voor onze zakelijke klanten en wij als Apple Solutionists voornamelijk belangrijk welke functionaliteiten en verbeteringen Apple zal toepassen, zodat Root3 jou een nóg betere werkplek kan bieden. Dat is uiteindelijk onze missie: optimale gebruikerservaring, maximale productiviteit voor jouw medewerkers en organisatie!

In dit blog vertellen we je over de belangrijkste vernieuwingen en voordelen voor organisaties in macOS Sonoma, iOS 17, iPadOS 17, tvOS 17 en watchOS 10.

Spatial computing

Tijdens het evenement had Apple nog een ‘One More Thing’ in petto. Mogelijk heb je er iets van meegekregen in de media dat het gaat om een compleet nieuw apparaat dat spatial computing mogelijk maakt met onbeperkte ruimtelijke mogelijkheden. Hartstikke mooi allemaal, maar we kijken graag met de Root3-bril snel verder naar de innovaties die op korte termijn organisaties kunnen gaan helpen. Spatial computing zal vast terugkeren in 2024!

Autonoom en proactief apparaatbeheer: een revolutie

Al twee jaar geleden heeft Apple een voorzet gegeven met Declarative Device Management (DDM) om configuraties en functies binnen het bestaande MDM-protocol toe te passen en te distribueren, al was het toen voornamelijk toekomstmuziek en nog beperkt. Dit jaar voert Apple de druk op en geeft een sterk signaal aan MDM-ontwikkelaars: “The focus of new protocol features is declarative device management”.

Maar wat is DDM nou precies? Simpel gezegd zal het zorgen voor schaalbaarheid door apparaten autonoom en proactief te laten reageren op wijzigingen en zelf direct actie ondernemen indien nodig. Binnen het huidige MDM vindt er veel communicatie plaats tussen het apparaat en MDM, eigenlijk té veel. Dit zorgt voor onnodige vertraging en betrouwbaarheidsproblemen. Een voorbeeld hiervan is software-updates voor macOS en iOS. Andere problemen die organisaties ervaren, is vertraging bij het rapporteren van de status van het apparaat naar MDM zoals de versie van het OS of de status van FileVault. Een MDM-oplossing moet nu periodiek (en onnodig vaak) de status aan het apparaat vragen en kan daarna pas actie ondernemen door een nieuw profiel of commando te versturen naar het apparaat. Je kunt je voorstellen dat hier vertraging optreedt in het communicatieproces.

Welke voordelen gaat DDM opleveren? Naast de schaalbaarheid denken we dat er grote voordelen ontstaan voor compliance omdat apparaten direct na een status-wijziging kunnen acteren en toegang tot data kunnen blokkeren. Er is immers geen tijd te verliezen als een apparaat gecompromitteerd is, directe actie vereist. Ook zullen apps vanuit MDM sneller kunnen worden geïnstalleerd omdat het niet langer afhankelijk is van communicatie met MDM en kunnen lokaal worden afgehandeld en geïnstalleerd. Een functionaliteit waar we vooral naar uitkijken is Declarative Software Updates, maar later in dit blog meer hierover!

Al met al denken we dat Declarative Device Management dit jaar een vlucht gaat nemen en een karrevracht aan problemen gaat wegnemen en voor een revolutie gaat zorgen binnen Apple device management.

Forceren van OS updates: nu echt

Sinds de introductie van Apple silicon is er een transitie ingezet voor de manier waarop een Mobile Device Management (MDM) een macOS update dient te installeren. Vanwege beveiligingsverbeteringen konden (oude) scripting-methodes niet meer worden gebruikt en worden organisaties gedwongen om MDM-commando’s te gaan gebruiken. Helaas zaten hier nogal wat beperkingen aan vast en betrouwbaarheid-problemen.

Dit jaar brengt Apple functionaliteit voor software-updates naar Declarative Device Management en als het goed is begrijp je nu waarom dit een groot voordeel gaat zijn: door een configuratie te versturen naar een apparaat met een verplichte versie en deadline, weet het apparaat genoeg en zal het de update precies toepassen zoals jouw organisatie dit wilt. Gebruikers worden beter geïnformeerd door het apparaat (ook met Do Not Disturb aan) en naarmate de deadline dichterbij komt zal de frequentie van meldingen worden verhoogd. Als beheerder weet je dat de update automatisch door het apparaat wordt opgepakt en op tijd voldoet aan het beleid van de organisatie. Als gebruiker weet je waar je aan toe bent en kun je hier op anticiperen.

We kunnen niet wachten om dit te testen en toe te passen voor onze klanten.

Managed Apple IDs: call to action!

Al enkele jaren bestaan speciale Apple ID’s voor organisaties, een Managed Apple ID noemen we dat. Managed Apple ID’s zijn eigendom van de organisatie, kunnen automatisch worden aangemaakt voor al jouw medewerkers en bieden speciale functionaliteiten. In de afgelopen jaren waren de functionaliteiten nog wat beperkt en werd voornamelijk gebruikt om een Bring Your Own Device-apparaat in te schrijven in MDM met een privacy-vriendelijke balans voor de gebruiker. Een Managed Apple ID had daarnaast een beperkte set aan iCloud-functies.

Waarom zou ik dan gebruik moeten maken van Managed Apple ID’s? Vanaf macOS Sonoma en iOS/iPadOS 17 wordt het mogelijk om eenvoudig ‘company-owned’ apparaten in MDM in te schrijven middels een Managed Apple ID, direct vanuit de instellingen van het apparaat. Dit zorgt ervoor dat speciale inschrijvings-URL’s en -portalen niet meer nodig zijn. Dat betekent dat iedere MDM-oplossing dezelfde eenvoudige inschrijving kan realiseren. Gebruikers loggen in met hun inloggegevens van de organisatie, bijvoorbeeld van Microsoft 365, Google Workspace of een andere Identity Provider! Inderdaad, vanaf dit najaar kunnen ook andere Identity Providers integreren met Managed Apple ID’s waardoor nog meer organisaties hiervan gebruik kunnen maken. Onder andere Okta is aangekondigd als Identity Provider met ondersteuning binnenkort.

Ook komen er meer functies naar Managed Apple ID’s waaronder Continuity, iCloud Keychain, Apple Wallet, Developer account. De accounts worden hierdoor een stuk bruikbaarder voor organisaties

Gebruikt jouw organisatie al Managed Apple ID’s? We denken dat nu het juiste moment is om er mee te starten. Of in ieder geval voorbereidingen te treffen. Wist je bijvoorbeeld dat het koppelen van Managed Apple ID’s aan Microsoft 365 of Google Workspace (federated authentication) ervoor zorgt dat gebruikers geen persoonlijke Apple ID’s meer kunnen aanmaken op het email-domein van jouw organisatie? Het is een ‘best practice’ om geen persoonlijke Apple ID’s aan te maken met een email-adres van de organisatie en kan problemen op gaan leveren als de medewerker de organisatie verlaat. Zeker als er privé-data (per ongeluk) in dit account terecht is gekomen. Met federated authentication voorkom je dit en moeten gebruikers een persoonlijke Apple ID wijzigen naar een privé email-adres. Je gebruikers krijgen hier in totaal 60 dagen de tijd voor.

We verwachten dat Apple de Managed Apple ID’s steeds verder zal gaan toepassen en zelfs vereisen voor belangrijke functionaliteiten. Daarom raden we je aan om het onderwerp Managed Apple ID’s dit jaar op de agenda te zetten. Uiteraard kan Root3 je adviseren hoe je dit het beste kunt aanpakken.

Zeg wachtwoorden vaarwel: Passkeys at Work

Vorig jaar schreven we al over Passkeys en hoe consumenten dit kunnen gebruiken in plaats van ouderwetse en kwetsbare wachtwoorden. Dit jaar zijn Passkeys at Work geïntroduceerd zodat Passkeys ook te gebruiken en beheren zijn binnen organisaties.

Wat zijn ook alweer de voordelen van Passkeys ten opzichte van wachtwoorden? Ze zijn sneller en gemakkelijker in gebruik, bestand tegen phishing en synchroniseren op al je apparaten. Daarnaast is het een ‘industry standard’ zodat ze ook te gebruiken zijn op apparaten van andere fabrikanten zoals Google en Microsoft.

Met Passkeys at Work kunnen organisaties het gebruik van Passkeys toestaan met een Managed Apple ID’s en controleren op welke typen apparaten deze gebruikt mogen worden, bijvoorbeeld alleen op apparaten die worden beheerd door de MDM-oplossing en niet op onbeheerde privé-apparaten.

Wat ons betreft zijn Passkeys de toekomst voor passwordless, gebruiksvriendelijke en veilige authenticatie. We denken wel dat Passkeys dit jaar nog door een adoptiefase zullen gaan en dat het nog wel even duurt voordat dit breed gebruikt zal kunnen worden. Voornamelijk vanwege alle afhankelijkheden en partijen die dit moeten gaan ondersteunen: Apple, de MDM-oplossing en de app waarbij je wilt inloggen. Daarnaast zien we ook dat password-managers gaan integreren met Passkeys en eigen implementaties gaan toepassen die waarschijnlijk voor- en nadelen zullen bieden ten opzichte van het gebruik van Passkeys binnen een Managed Apple ID.

Diepgaande Single Sign-On integratie: nog steeds veelbelovend

In macOS Ventura (13) werd Platform Single Sign-On geïntroduceerd. Dit framework bood Identity Providers zoals Google Workspace en Microsoft 365 de mogelijkheid om een diepgaande SSO-integratie te bouwen als moderne vervanger voor organisaties die voorheen met een ‘directory binding’ werkten. Gebruikers zouden op hun Mac kunnen inloggen met dezelfde inloggegevens als die van hun organisatie, naadloos geïntegreerd in macOS. Destijds was al bekend dat dit een bijdrage vereist van partijen als Google en Microsoft om ondersteuning hiervoor te bieden. Helaas hebben we tot op dit moment geen ondersteuning gezien van deze Identity Providers en blijft Platform SSO bij een veelbelovende theorie.

Dit jaar voegt Apple nieuwe functionaliteiten toe aan Platform SSO zoals ondersteuning voor het aanmaken van lokale gebruikers van het loginvenster of middels gebruikersgroepen bepalen of een gebruiker een beheerder is of beperkte rechten krijgt. Verder zijn er tal van verbeteringen aangebracht waarvan wij de indruk hebben dat dit vooral gedreven is door feedback vanuit de Identity Providers.

Wanneer hebben we dan iets aan Platform SSO? Dat is lastig te zeggen en soms kunnen we ook niet blind uitgaan van roadmaps die worden gedeeld door Identity Providers. Er kunnen onvoorziene problemen ontstaan waardoor de integratie alsnog wordt vertraagd. Op dit moment zijn er twee Identity Providers die publiekelijk hun roadmap hebben gedeeld. Okta heeft aangegeven ‘Q3 2023’ en Microsoft zegt ondersteuning in de toekomst te gaan bieden zonder een tijdspad te delen.

Vooralsnog is de techniek nog steeds veelbelovend en verwachten we veel gebruiksgemak. We moeten echter voorzichtig zijn en werken met oplossingen die op dit moment verkrijgbaar zijn. Heb je vragen of wil je graag meer advies? We helpen je graag!