Nasazení Nextcloud appky přes MDM: Intune, Jamf a Apple Business Manager Deploying a Nextcloud app via MDM: Intune, Jamf, and Apple Business Manager
Nainstalovat appku na jeden telefon zvládne každý. Rozvalit ji bezpečně na desítky firemních zařízení — s vynucenou biometrií, povolenými servery a možností odebrat přístup, když někdo odejde — je jiná disciplína. Od toho je tu MDM (Mobile Device Management) a takzvaná managed app configuration. Anyone can install an app on one phone. Rolling it out securely to dozens of company devices — with enforced biometrics, allowed servers, and the ability to revoke access when someone leaves — is a different discipline. That's what MDM (Mobile Device Management) and so-called managed app configuration are for.
Proč MDM místo ručního nasazeníWhy MDM instead of manual setup
- Bezpečnost jako standard — biometrický zámek a časový limit relace vynutíte centrálně, ne prosbou u každého zaměstnance.Security by default — you enforce biometric lock and session timeout centrally, not by asking each employee.
- Off-boarding — když člověk odejde nebo ztratí telefon, přístup a data z appky odeberete na dálku.Off-boarding — when a person leaves or loses a phone, you revoke access and app data remotely.
- Škála — konfiguraci nastavíte jednou a MDM ji rozešle na všechna zařízení.Scale — you set the configuration once and MDM pushes it to every device.
Jak managed app configuration fungujeHow managed app configuration works
Princip je na obou platformách stejný: IT administrátor nahraje do MDM sadu klíčů a hodnot, MDM je pošle na zařízení a aplikace je při startu přečte (jen ke čtení — zdroj pravdy vlastní administrátor). Na iOS to iOS předává přes klíč com.apple.configuration.managed, na Androidu přes Android Enterprise Managed Configurations (RestrictionsManager). Funguje to napříč MDM řešeními — Microsoft Intune, Jamf, VMware Workspace ONE, Mosyle, Google Workspace i další.
The principle is the same on both platforms: the IT admin uploads a set of keys and values to the MDM, the MDM pushes them to the device, and the app reads them at launch (read-only — the admin owns the source of truth). On iOS this is delivered via the com.apple.configuration.managed key; on Android via Android Enterprise Managed Configurations (RestrictionsManager). It works across MDM solutions — Microsoft Intune, Jamf, VMware Workspace ONE, Mosyle, Google Workspace, and others.
Co všechno jde vynutit (na příkladu NextHubu)What can be enforced (using NextHub as an example)
Dobrý firemní klient nabídne sadu klíčů, kterými IT nastaví bezpečnostní politiku. NextHub například podporuje mimo jiné: A good business client offers a set of keys through which IT sets the security policy. NextHub, for example, supports among others:
| KlíčKey | Co děláWhat it does |
|---|---|
allowedServerHosts |
Omezí, na které Nextcloud servery se lze přihlásitRestricts which Nextcloud servers users can log into |
forceBiometricLock |
Vynutí Face ID / biometrický zámek appkyForces Face ID / biometric app lock |
sessionTimeoutMinutes |
Automatické odhlášení po nečinnosti (např. 15)Auto-logout after inactivity (e.g. 15) |
disableShareExtension |
Zablokuje sdílení dat z jiných appek dovnitř (proti exfiltraci)Blocks sharing data in from other apps (anti-exfiltration) |
prePinnedSPKI |
Připne certifikát serveru už od prvního spojeníPins the server certificate from the very first connection |
disableNotificationPreviews |
Skryje náhledy zpráv na zamykací obrazovceHides message previews on the lock screen |
expectedAppleTeamID / expectedSigningSha256 |
Odhalí přebalenou (resigned) appku mimo váš MDM kanálDetects a resigned app distributed outside your MDM channel |
Přesnou a aktuální sadu klíčů i příklad payloadu poskytujeme na vyžádání — schéma se může s verzemi rozšiřovat. We provide the exact, up-to-date key set and a sample payload on request — the schema may expand across versions.
iOS: Apple Business Manager + MDMiOS: Apple Business Manager + MDM
Aplikaci přiřadíte zařízením přes Apple Business Manager a vaše MDM (Intune, Jamf, Mosyle…). V profilu aplikace pak vyplníte managed configuration jako <dict> payload — dvojice klíč/hodnota z tabulky výše. Při dalším přihlášení zařízení appka konfiguraci přečte a politiku uplatní. Změníte-li hodnoty později, MDM je doručí za běhu.
You assign the app to devices via Apple Business Manager and your MDM (Intune, Jamf, Mosyle…). In the app's profile you then fill in the managed configuration as a <dict> payload — the key/value pairs from the table above. On the device's next check-in the app reads the configuration and applies the policy. If you change the values later, the MDM delivers them at runtime.
Android: Managed ConfigurationsAndroid: Managed Configurations
Na Androidu appku distribuujete přes managed Google Play a v MDM (Intune, Workspace ONE, Google Workspace…) vyplníte Managed Configuration. MDM konzole obvykle sama zobrazí formulář s dostupnými klíči appky, takže je nemusíte psát ručně. Aplikace je čte přes RestrictionsManager a uplatní stejnou politiku jako na iOS. On Android you distribute the app via managed Google Play and fill in the Managed Configuration in your MDM (Intune, Workspace ONE, Google Workspace…). The MDM console usually renders a form with the app's available keys, so you don't have to type them by hand. The app reads them via RestrictionsManager and applies the same policy as on iOS.
Vzdálené odebrání přístupuRemote access revocation
Klíčová schopnost pro off-boarding: když zaměstnanec odejde, přes MDM odeberete aplikaci ze zařízení nebo spustíte selektivní vymazání firemních dat. Data v šifrované offline cache tak zmizí, aniž byste museli sahat na soukromý obsah zaměstnance. A key capability for off-boarding: when an employee leaves, you remove the app from the device via MDM or trigger a selective wipe of company data. Data in the encrypted offline cache disappears without you having to touch the employee's personal content.
Checklist před rolloutemPre-rollout checklist
- Zaregistrovaná zařízení v Apple Business Manager / Android EnterpriseDevices enrolled in Apple Business Manager / Android Enterprise
- Definovaná bezpečnostní politika (biometrie, timeout, povolené servery)A defined security policy (biometrics, timeout, allowed servers)
- Ověřená verze TLS a certifikát serveru (před zapnutím pinningu / TLS 1.3)Verified TLS version and server certificate (before enabling pinning / TLS 1.3)
- Pilotní skupina 2–3 zařízení před plošným nasazenímA pilot group of 2–3 devices before a full rollout
- Postup off-boardingu (kdo a jak odebírá přístup)An off-boarding procedure (who revokes access, and how)
Nasazení na míru vaší firměA rollout tailored to your company
NextHub podporuje managed app configuration na iOS i Androidu a funguje s Intune, Jamf i Workspace ONE. Rádi vám s nasazením pomůžeme. NextHub supports managed app configuration on iOS and Android and works with Intune, Jamf, and Workspace ONE. We're happy to help with the rollout.
Domluvit nasazení → Arrange a deployment →