Naše cesta k moderní správě Apple zařízení s Kandji 

Když jsme před několika lety převzali správu IT v distribučním centru zákazníka, čekalo nás mimo jiné více než 320 iMaců a přes 50 MacBooků. A číslo se mělo během roku zvýšit o dalších více než sto.

Zařízení byla sice teoreticky spravována Profile Managerem od Apple běžícím na jednom Macu v lokální serverovně, ale ten dokázal nastavit jen ty nejzákladnější politiky jako např. zamykání obrazovky, zákaz vzdáleného připojení. Všechno ostatní, jako instalace aplikací, aktualizace systému, konfigurace, se provádělo ručně. Technik musel fyzicky přijít ke stroji a změnu aplikovat. Navíc tento nástroj přestal být podporován výrobcem.

Každý týden to samé. Nová verze SAP GUI? Obíhat uživatele. Aktualizace macOS? Vyrazit do skladu a obcházet počítače. IT tým tak místo podpory uživatelů trávil hodiny a hodiny mechanickou prací.

Do toho se přidávala ještě nejednotnost uživatelských účtů. iMacy fungovaly pod firemní doménou, zatímco MacBooky používaly hybridní model. Při každé konfiguraci se tak muselo improvizovat. Bylo zjevné, že tento model dlouhodobě nevydrží.

Požadavky na nové řešení

Když jsme se zákazníkem definovali cíle, rychle se ukázalo, že hledají víc než jen lepší nástroj. Potřebovali novou filozofii správy.

• Zařízení nesměla být závislá na staré doméně. Buď měla fungovat zcela mimo ni, nebo pod novou.
• Správa měla být cloud‑first. Pryč s lokálními servery, spravovat chtěli odkudkoliv.
• Velkou roli hrály i vysoké požadavky na zabezpečení: od FileVault šifrování disků s uložením klíčů, přes blokaci Airdropu a iCloudu, až po detailní nastavení lockoutu a sdílecích služeb.
• Firma zároveň potřebovala mít jistotu, že bude schopná nasadit aplikace centrálně, plánovat rollouty aktualizací po vlnách a integrovat nové řešení do stávajících systémů – zejména do Asset Managementu a antivirové ochrany.
• V neposlední řadě, nástroj musel být připraven škálovat. Dnes jedna lokalita, zítra další.

Proč Kandji 

MDM nástrojů pro správu MacOS zařízení existuje celá řada, my jsme do užšího výběru vybrali tyto tři:  

• Jamf, dnes asi nejpoužívanější MDM pro MacOS, nabízel obrovské množství funkcí. Jenže jeho robustnost a té odpovídající cena byla pro nás spíš nevýhodou.  

• Intune, který nabízel unifikace, protože był použit pro správu Windows zařízení, ale neměl dostatečné funkce pro macOS. 

• Pak přišlo Kandji. Na první pohled nás zaujala jeho jednoduchost. Konzole byla intuitivní, logická i pro méně zkušeného admina. A zároveň nabízela dostatek flexibility, aby zvládla požadovanou komplexitu. 

Jako každý podobný projekt i tento začal přípravou a schválením business case. Při významném rozšíření provozu (logistické a opravárenské centrum) bylo plánováno posílit lokální IT tým, který zajišťuje i kompletní správu MacOS zařízení, o dalšího člověka. Navrhli jsme jako alternativu centrální správu MacOS zařízení, která by umožnila zachovat původní velikost IT týmu. Takže kalkulace pak byla snadná. Měsíční náklady na nového IT technika vs. cena MDM licencí. Při objemu 500 licencí jsme se s Kandji dostali na cenu pod 5 USD/zařízení/měsíc. 

Důležité ale bylo i to, že reakce pre-sales týmu i podpory byly rychlé a srdečné – během testovací fáze jsme dostávali odpovědi v řádu minut (a to trvá dodnes).  

Rozhodnutí padlo poměrně snadno: Kandji se stalo novým standardem. 

Plánování 

Mac zařízení jsme rozdělili do několika skupin podle způsobu využití. V Kandji se tento koncept nazývá Blueprints. Vytvořili jsme jich celkem sedm a v rámci každého jsme nasadili aplikace a politiky odpovídající konkrétním požadavkům. 

Blueprint pro skladová zařízení měl například přísnější restrikce (včetně zákazu používání kamery) zatímco blueprint pro mobilní uživatele obsahoval nainstalovaný Zscaler pro vzdálené VPN připojení. Takto nastavená struktura umožnila udržet jednotnou politiku pro každou skupinu a současně reflektovat jejich rozdílné potřeby. 

Cesta implementace 

Projekt jsme rozběhli a do tří měsíců jsme měli hotovo. 

Začali jsme onboardingem. Každý MacBook byl kompletně vymazán a zaregistrován do Apple Business Manageru, odkud se automaticky připojil do Kandji. Tím jsme se elegantně vyhnuli konfliktům s původními politikami. Pochopitelně jde migrovat do Kandji i bez reinstalace zařízení, ale v našem případě jsme zvolili cestu kompletního výmazu. 

Tam, kde bylo potřeba, jsme vytvořili vlastní custom profily a skripty: například pro pevně nastavenou proxy, nebo pro úplné vypnutí WiFi u skladových MacBooků.  

Bezpečnostní pravidla se nasadila rychle a bez výjimek. FileVault s centrálním uložením klíčů, vypnutí sdílení, zákaz externích médií, blokace iCloudu. Najednou se počítače chovaly jednotně a v souladu s politikami. 

Kandji je částečně otevřený systém, který umožňuje doscriptovat funkcionality, které v základu chybí. Šli jsme na to přes jejich API systém. Poweshellem jsme si nascriptovali pravidelné customizované reportování.  

Největší výzvou však nebyla technická implementace. Tou bylo změnit způsob práce IT týmu. Přestat obcházet stroje a používat lokální administrátorský účet k ad hoc změnám, smířit se s tím, že spousta věcí se řeší automaticky a vzdáleně. Ale jakmile tým zjistil, kolik času jim to šetří, přijetí přišlo rychle. 

Asset Management a compliance 

Jedním z výrazných přínosů bylo i zlepšení evidence. V konzoli dnes vidíme všechna zařízení, víme, která jsou aktivní, a která byla smazána, stav aktualizace jejich OS i aplikací, atd., atd. Vzdálený wipe ukládá záznam do activity logu. FileVault klíče jsou bezpečně uložené. 

Kandji sice není plnohodnotným reportingovým enginem nebo asset databází, ale základní funkce pro compliance plně dostačují. Firma tak získala jistotu, že její zařízení jsou spravovaná, zabezpečená a dohledatelná s minimálním úsilím vynaloženým na reporting. 

Přínosy 

Prakticky okamžitě se projevil efekt. 

IT tým už netráví dny manuálními zásahy. Příprava strojů pro nově příchozí zaměstnance je mnohem rychlejší. Bezpečnostní politika je jednotná (v rámci každé Blueprint) a dodržovaná. Administrátoři dokážou jediným klikem upravit práva uživatelů a mají možnost zařízení na dálku vymazat. 

Z pohledu managementu to znamenalo jedno: procesy se zrychlily, bezpečnostní rizika se snížila, compliance se výrazně zlepšila a tlak na IT tým povolil. V cloudu navíc není správa vázaná na jednu lokalitu – což se ukázalo jako zásadní benefit i pro kolegy na home office. 

Integrace s Apple ekosystémem 

Druhým klíčovým hráčem v celém řešení byl Apple Business Manager. Ten zajistil autoenrollment, díky kterému uživatel nemůže odstranit MDM profil. A co je nejdůležitější – je zdarma a dnes v podstatě nepostradatelný pro každou firmu, která spravuje stovky Maců. 

Apple Essentials jako alternativní MDM nástroj jsme sice krátce zvažovali, ale v Evropě na podzim 2024 nebyl dostupný. Takže jsme se vlastně ani nedostali k hodnocení jeho pro a proti. Proto kombinace Business Manager + Kandji byla jasná volba. 

Budoucnost a dlouhodobé zkušenosti s používáním 

Postupem času dochází v produkci k nahrazení některých MacOS zařízení iPADy. Zatím se jedná o prvních padesát kusů, ale postupem času bude iPadů dále přibývat. Až v tomto okamžiku jsme zjistili, že pro správu iPadů v Kandji jsou třeba jiné licence než pro správu MacOS zařízení. Zde nám Kandji vyšlo vstříc a podle našich požadavků obratem a bezplatně převádí naše licence pro MacOS zařízení na licence pro iOS.  

Do budoucna plánujeme využít pokročilejší funkce Kandji, zejména pro detailnější reporting a automatizaci workflow v jednotlivých týmech. Cesta směrem k plně automatizované a bezpečné správě je jasně daná. 

Pokud bychom měli shrnout doporučení: Kandji je ideální volbou pro firmy, které spravují desítky až stovky Apple zařízení a hledají rovnováhu mezi jednoduchostí, robustními funkcemi a férovou cenou. 

Role Nexona 

Naše úloha v projektu nespočívala pouze v technické implementaci. Se zákazníkem dlouhodobě spolupracujeme na poskytování IT služeb a tento projekt byl proto přirozenou součástí kontinuálního zlepšování (continuous service improvement). 

Pomohli jsme zákazníkovi zmapovat výchozí stav, definovat požadavky, vybrat vhodný nástroj a zajistit kompletní nasazení. Stejně důležité ale bylo provést tým organizační změnou, kterou přechod na MDM vždy přináší – naučit IT pracovat novým způsobem, opustit rutinní manuální úkony a přijmout automatizaci. 

Nexono zde vystupovalo nejen jako technický dodavatel, ale především jako partner, který zákazníka provází celou cestou a pomáhá mu plně využít potenciál moderní správy zařízení. 

Závěr  

Naše cesta od ruční správy přes zastaralý Profile Manager až k modernímu MDM s Kandji jasně ukazuje, že změna je nejen možná, ale i nesmírně přínosná. A když se k ní přistoupí správně, nemusí trvat dlouho.  

Kandji nám pomohlo automatizovat správu, zvýšit bezpečnost prostředí, snížit zátěž IT týmu i náklady zákazníka a připravit infrastrukturu na budoucí růst. 

Pokud právě řešíte, jak efektivně spravovat firemní MacBooky, iMacy nebo iPady, rádi se s vámi podělíme o naši zkušenost a ukážeme vám cestu, jak udělat krok do moderní éry správy Apple zařízení. Pokud řešíte stejný problém pro zařízení Windows, připravujeme pro vás příběh implementace Intune pro jiného zákazníka.