Nasazení pro ITIT deployment

Nasazení Nextcloud appky přes MDM: Intune, Jamf a Apple Business Manager Deploying a Nextcloud app via MDM: Intune, Jamf, and Apple Business Manager

Nainstalovat appku na jeden telefon zvládne každý. Rozvalit ji bezpečně na desítky firemních zařízení — s vynucenou biometrií, povolenými servery a možností odebrat přístup, když někdo odejde — je jiná disciplína. Od toho je tu MDM (Mobile Device Management) a takzvaná managed app configuration. Anyone can install an app on one phone. Rolling it out securely to dozens of company devices — with enforced biometrics, allowed servers, and the ability to revoke access when someone leaves — is a different discipline. That's what MDM (Mobile Device Management) and so-called managed app configuration are for.

Proč MDM místo ručního nasazeníWhy MDM instead of manual setup

Jak managed app configuration fungujeHow managed app configuration works

Princip je na obou platformách stejný: IT administrátor nahraje do MDM sadu klíčů a hodnot, MDM je pošle na zařízení a aplikace je při startu přečte (jen ke čtení — zdroj pravdy vlastní administrátor). Na iOS to iOS předává přes klíč com.apple.configuration.managed, na Androidu přes Android Enterprise Managed Configurations (RestrictionsManager). Funguje to napříč MDM řešeními — Microsoft Intune, Jamf, VMware Workspace ONE, Mosyle, Google Workspace i další. The principle is the same on both platforms: the IT admin uploads a set of keys and values to the MDM, the MDM pushes them to the device, and the app reads them at launch (read-only — the admin owns the source of truth). On iOS this is delivered via the com.apple.configuration.managed key; on Android via Android Enterprise Managed Configurations (RestrictionsManager). It works across MDM solutions — Microsoft Intune, Jamf, VMware Workspace ONE, Mosyle, Google Workspace, and others.

Co všechno jde vynutit (na příkladu NextHubu)What can be enforced (using NextHub as an example)

Dobrý firemní klient nabídne sadu klíčů, kterými IT nastaví bezpečnostní politiku. NextHub například podporuje mimo jiné: A good business client offers a set of keys through which IT sets the security policy. NextHub, for example, supports among others:

KlíčKey Co děláWhat it does
allowedServerHosts Omezí, na které Nextcloud servery se lze přihlásitRestricts which Nextcloud servers users can log into
forceBiometricLock Vynutí Face ID / biometrický zámek appkyForces Face ID / biometric app lock
sessionTimeoutMinutes Automatické odhlášení po nečinnosti (např. 15)Auto-logout after inactivity (e.g. 15)
disableShareExtension Zablokuje sdílení dat z jiných appek dovnitř (proti exfiltraci)Blocks sharing data in from other apps (anti-exfiltration)
prePinnedSPKI Připne certifikát serveru už od prvního spojeníPins the server certificate from the very first connection
disableNotificationPreviews Skryje náhledy zpráv na zamykací obrazovceHides message previews on the lock screen
expectedAppleTeamID / expectedSigningSha256 Odhalí přebalenou (resigned) appku mimo váš MDM kanálDetects a resigned app distributed outside your MDM channel

Přesnou a aktuální sadu klíčů i příklad payloadu poskytujeme na vyžádání — schéma se může s verzemi rozšiřovat. We provide the exact, up-to-date key set and a sample payload on request — the schema may expand across versions.

iOS: Apple Business Manager + MDMiOS: Apple Business Manager + MDM

Aplikaci přiřadíte zařízením přes Apple Business Manager a vaše MDM (Intune, Jamf, Mosyle…). V profilu aplikace pak vyplníte managed configuration jako <dict> payload — dvojice klíč/hodnota z tabulky výše. Při dalším přihlášení zařízení appka konfiguraci přečte a politiku uplatní. Změníte-li hodnoty později, MDM je doručí za běhu. You assign the app to devices via Apple Business Manager and your MDM (Intune, Jamf, Mosyle…). In the app's profile you then fill in the managed configuration as a <dict> payload — the key/value pairs from the table above. On the device's next check-in the app reads the configuration and applies the policy. If you change the values later, the MDM delivers them at runtime.

Android: Managed ConfigurationsAndroid: Managed Configurations

Na Androidu appku distribuujete přes managed Google Play a v MDM (Intune, Workspace ONE, Google Workspace…) vyplníte Managed Configuration. MDM konzole obvykle sama zobrazí formulář s dostupnými klíči appky, takže je nemusíte psát ručně. Aplikace je čte přes RestrictionsManager a uplatní stejnou politiku jako na iOS. On Android you distribute the app via managed Google Play and fill in the Managed Configuration in your MDM (Intune, Workspace ONE, Google Workspace…). The MDM console usually renders a form with the app's available keys, so you don't have to type them by hand. The app reads them via RestrictionsManager and applies the same policy as on iOS.

Vzdálené odebrání přístupuRemote access revocation

Klíčová schopnost pro off-boarding: když zaměstnanec odejde, přes MDM odeberete aplikaci ze zařízení nebo spustíte selektivní vymazání firemních dat. Data v šifrované offline cache tak zmizí, aniž byste museli sahat na soukromý obsah zaměstnance. A key capability for off-boarding: when an employee leaves, you remove the app from the device via MDM or trigger a selective wipe of company data. Data in the encrypted offline cache disappears without you having to touch the employee's personal content.

Checklist před rolloutemPre-rollout checklist

Nasazení na míru vaší firměA rollout tailored to your company

NextHub podporuje managed app configuration na iOS i Androidu a funguje s Intune, Jamf i Workspace ONE. Rádi vám s nasazením pomůžeme. NextHub supports managed app configuration on iOS and Android and works with Intune, Jamf, and Workspace ONE. We're happy to help with the rollout.

Domluvit nasazení → Arrange a deployment →