Distribuce vlastních interních aplikací do zařízení Apple
Zařízení Apple podporují bezdrátovou instalaci vlastních interních aplikací bez použití Macu nebo procházení App Storu. Pokud chcete distribuovat tyto aplikace, musíte mít nejprve zřizovací profil. Zřizovací profily lze instalovat a spravovat prostřednictvím služby správy mobilních zařízení (MDM) a uživatelé si je pak mohou stáhnout a nainstalovat pomocí MDM nebo v rámci aktualizace aplikace. Před vypršením platnosti zřizovacího profilu navštivte webové stránky Apple Developer a vytvořte pro aplikaci nový profil. V případě aplikace v iOS nebo iPadOS je potřeba pro uživatele, kteří aplikaci instalují poprvé, exportovat nový balík aplikace (soubor .ipa) s novým zřizovacím profilem.
Zřizování a správa uživatelských profilů pro vývojáře vlastních interních aplikací
Vývojáři vlastních interních aplikací mají přístup k aplikačním programovým rozhraním (API) pro zřizování a správu uživatelských profilů, které jim umožňují automatizovat úlohy, jako například generování zřizovacích profilů a integraci uživatelské správy do existujících sledů úloh.
Vlastní interní aplikace můžete distribuovat dvěma způsoby:
Pomocí MDM
Pomocí webové stránky
Při obou těchto postupech je nutné provést přípravu aplikace na distribuci, což zahrnuje přípravu manifestu.
Důležité: Ručně (bez použití MDM) nainstalované vlastní interní aplikace v systémech iOS 18, iPadOS 18 a novějších vyžadují k dokončení ověření důvěryhodnosti zřizovacího profilu restart zařízení.
Příprava vlastní interní aplikace na bezdrátovou distribuci
Příprava vlastní interní aplikace na bezdrátovou distribuci spočívá v sestavení archivované verze (souboru .ipa) a souboru manifestu, který umožní bezdrátovou distribuci a instalaci aplikace. Pomocí Xcodu vytvořte verzi archivu aplikace a pak ji vyexportujte pro distribuci v organizaci. Xcode použije distribuční certifikát a přidá vhodný zřizovací profil. Soubor manifestu je seznam vlastností (soubor .plist ve formátu XML), s jehož pomocí zařízení Apple vyhledávají, stahují a instalují aplikace z vašeho webového serveru. Vytváří jej nástroj Xcode na základě informací, které zadáte při nasdílení archivované aplikace pro distribuci v organizaci. Seznam atributů a příslušných hodnot najdete na stránce Install Application command (Příkaz Install Application) na webových stránkách Apple Developer.
Správa vlastních interních aplikací pro počítače Mac
V systémech macOS 14 a novějších je možné spravovat víc aplikací. Pokud balíček obsahuje více balíků aplikací, každá aplikace nasazená do umístění /Applications je spravována. Pokud mají být aplikace spravované, musí zůstat ve složce /Aplikace.
Pomocí MDM může organizace definovat, zda se má spravovaná aplikace při zrušení registrace zachovat nebo odebrat, případně s použitím MDM odinstalovat. Přitom dojde k odstranění balíku aplikace v umístění /Applications. Veškerá data nainstalovaná pomocí balíčku nebo přidružených skriptů do jiných umístění zůstanou nedotčena.
Při použití registrace uživatelů nebo registrace zařízení prostřednictvím účtů jsou také data spravovaných aplikací umístěna na samostatném svazku.
Zřizování a správa uživatelských profilů pro vývojáře vlastních interních aplikací
Vývojáři vlastních interních aplikací mají přístup k aplikačním programovým rozhraním (API) pro zřizování a správu uživatelských profilů, které jim umožňují automatizovat úlohy, jako například generování zřizovacích profilů a integraci uživatelské správy do existujících sledů úloh.
Další informace najdete v části Enterprise Program API (Aplikační programové rozhraní firemních programů) na webových stránkách developerů společnosti Apple.
Načtení ID balíku aplikace pro počítače Mac
Chcete‑li si zobrazit identifikátor balíku (také známý jako ID balíku), podržte klávesu Control, klikněte na aplikaci a vyberte volbu Zobrazit obsah balíčku. Otevřete složku Contents a potom soubor Info.plist. Pokud nevíte, jakou aplikaci použít, otevřete soubor v TextEditu. Pomocí funkce Hledat najděte v souboru klíč CFBundleIdentifier a potom zkopírujte řetězec, který se nachází na řádku pod klíčem. Příklad: com.betterbag.applicationname. Identifikátor balíku aplikace vložte do textového souboru nebo do poznámky pro pozdější použití.
Distribuce aplikací prostřednictvím služby MDM
Pokud chcete použít MDM, použijte soubor manifestu s příkazem InstallEnterpriseApplication (soubor manifestu nebo vložený manifest) nebo s příkazem InstallApplication (soubor manifestu). Systém macOS podporuje také standard sha256 a připínání certifikátů. Při použití těchto příkazů v jiných operačních systémech jsou k dispozici další volby:
Na zařízeních se systémy iOS 17.2 a iPadOS 17.2 nebo novějšími lze také použít deklarativní konfiguraci aplikací.
Na zařízeních se systémem macOS můžete používat:
Příkaz
InstallApplicationpro hromadné nákupy a instalace balíčků (.pkg)Příkaz
InstallEnterpriseApplicationjen pro instalace balíčků (.pkg).
Další informace najdete v části Příkazy MDM.
Distribuce aplikací prostřednictvím webových stránek
Pro bezdrátovou instalaci musí aplikace systému iOS, iPadOS a visionOS 1.1 splňovat následující požadavky:
Aplikace musí být ve formátu .ipa a k jejímu sestavení musí být použit interní zřizovací profil.
Musí mít soubor manifestu XML.
Musí být stažené z webových stránek, jejichž adresa začíná řetězcem HTTPS.
Musí být podepsané pomocí certifikátu, který je na zařízení označen jako důvěryhodný.
Jejich síťová konfigurace musí zařízením umožňovat přístup k serveru společnosti Apple. Další informace najdete v článku podpory Apple Používání produktů Apple ve firemních sítích.
Uživatelé, kteří chtějí balíček nainstalovat, si stáhnou soubor manifestu z vašich webových stránek s použitím speciální předpony URL. URL pro stažení souboru manifestu můžete distribuovat prostřednictvím služby iMessage nebo e‑mailových zpráv. Zde je ukázka odkazu s přidanou příponou:
<a href="itms-services://?action=download-manifest&url=https://betterbag.com/manifest.plist">Nainstalovat aplikaci</a>
Webové stránky použité k distribuci aplikací tohoto typu musíte navrhnout a provozovat sami. Dbejte na to, aby byla ověřována totožnost uživatelů a aby byly stránky podle potřeby dostupné z vašeho intranetu nebo internetu. „Webové stránky“ může tvořit i jediná stránka s odkazem na soubor manifestu. Když uživatel na tento webový odkaz klepne, stáhne se soubor manifestu, což spustí stažení a instalaci položky popsané pomocí webové stránky.
Vždy dodržujte také tyto další pokyny:
Na stránku nepřidávejte webový odkaz přímo na archivovanou aplikaci (.ipa). Zařízení stáhne soubor .ipa automaticky po načtení souboru manifestu. Ačkoli je v URL uveden protokol „itms-services“, App Store se do tohoto procesu nezapojuje.
Nezapomeňte se ujistit, že je soubor .ipa dostupný prostřednictvím protokolu HTTPS a že jsou vaše stránky podepsané s použitím certifikátu, kterému systém iOS nebo iPadOS důvěřuje. Pokud není ukotvena důvěryhodnost certifikátu s vlastním podpisem a zařízení jej nemůže ověřit, instalace selže.
Do prostoru na vašich webových stránkách, kam mají přístup ověření uživatelé, uložte:
Soubor manifestu (s příponou souboru .plist)
Soubor aplikace (s příponou souboru .ipa)
Pro správný přenos souborů manifestu a aplikace je v některých případech nutné webový server nakonfigurovat. Pro server přidejte do nastavení typů MIME webové služby typy MIME:
application/octet-stream ipa
text/xml plist
Pro server Microsoft IIS (Internet Information Server) přidejte typy MIME na stránce vlastností serveru pomocí správce IIS:
.ipa application/octet-stream
.plist text/xml
Poznámka: Pokud vytváříte samoobslužný portál, zvažte možnost přidat na plochu uživatele webový klip, přes který uživatele v budoucnu snadno nasměrujete k dalším informacím na portálu, například k novým konfiguračním profilům nebo doporučeným aplikacím v App Storu, a umožníte mu registraci ve službě MDM.
Ověření certifikátu
Když uživatel otevře aplikaci poprvé, proběhne ověření distribučního certifikátu kontaktováním serveru OCSP společnosti Apple. Pokud byl certifikát odvolán, aplikace se nespustí. Aby bylo možné stav certifikátu ověřit, musí mít zařízení přístup k adrese ocsp.apple.com.
Odezva serveru OCSP se ukládá do mezipaměti zařízení na dobu kterou určí server OCSP – v současné době se tato doba pohybuje mezi třemi a sedmi dny. Platnost certifikátu se znovu neověřuje, dokud není zařízení restartováno a nevyprší platnost odezvy uložené v mezipaměti. Jestliže je poté přijata informace o odvolání, aplikace se nespustí.
VAROVÁNÍ: Odvoláním distribučního certifikátu pozbudou platnosti všechny aplikace, které jste s jeho použitím podepsali. K odvolání certifikátu byste měli sáhnout pouze v krajním případě – pokud jste si jisti, že došlo ke ztrátě soukromého klíče nebo k narušení integrity certifikátu.
Poskytování aktualizovaných vlastních interních aplikací
Aplikace, které distribuujete sami, se neaktualizují automaticky. Pokud jste vytvořili novou verzi, oznamte uživatelům, že je k dispozici aktualizace, a vyzvěte je, aby si aplikaci nainstalovali. Zvažte možnost zapracovat do aplikace vyhledávání aktualizací při otevření aplikace a oznamování nalezených aktualizací uživatelům. Ujistěte se, že oznámení obsahuje odkaz itms-services. Aktualizaci můžete instalovat také otevřením URL přímo z aplikace.
Chcete‑li zachovat uživatelská data aplikace uložená v zařízení, ujistěte se, že nová verze používá stejný identifikátor balíku jako verze, kterou nahrazuje, a upozorněte uživatele, že před instalaci nové verze nemají mazat starou verzi.
Před vypršením platnosti zřizovacího profilu navštivte vývojářské webové stránky pro iOS, vývojářské webové stránky pro iPadOS nebo vývojářské webové stránky pro visionOS a vytvořte pro aplikaci nový profil. Pro uživatele, kteří aplikaci instalují poprvé, exportujte nový balík aplikace (soubor .ipa) s novým zřizovacím profilem.
Pokud už uživatelé mají aplikaci nainstalovanou, může být vhodné načasovat vydání nové verze tak, aby obsahovalo nový zřizovací profil. Uživatelé tak nebudou muset přerušovat práci s aplikací. V opačném případě můžete distribuovat pouze nový soubor .mobileprovision, aby uživatelé nemuseli aplikaci přeinstalovávat. Nový zřizovací profil přepíše profil, který je už obsažen v archivu aplikace.
Zřizovací profily pro distribuci jsou platné 12 měsíců od data vydání. Po vypršení platnosti je profil odstraněn a aplikace se nespustí.
Pokud vyprší platnost distribučního certifikátu, aplikaci nebude možné spustit a musíte ji znovu sestavit s použitím nového distribučního certifikátu. Distribuční certifikát platí 3 roky od data vystavení nebo do vypršení vašeho členství v programu Apple Developer Enterprise Program podle toho, co nastane dříve. Chcete‑li předejít vypršení platnosti svého certifikátu, nezapomeňte si včas prodloužit členství.
V každém okamžiku můžete používat dva vzájemně nezávislé aktivní distribuční certifikáty. Druhý certifikát vám poskytne časovou rezervu, v níž můžete aplikace aktualizovat ještě před vypršením prvního certifikátu. Při zadávání požadavku na druhý distribuční certifikát dejte pozor, abyste neodvolali svůj první certifikát.
Řešení potíží s bezdrátovou distribucí aplikací
Pokud bezdrátová distribuce aplikace selže a zobrazí se zpráva „nelze stáhnout“:
Zkontrolujte, zda je aplikace správně podepsána. Zkuste ji do zařízení nainstalovat pomocí Apple Configuratoru pro Mac a sledujte, zda se vyskytnou nějaké chyby.
Ověřte správnost odkazu na soubor manifestu a ujistěte se, že k němu mají uživatelé webových stránek přístup.
Ověřte správnost URL souboru .ipa (v souboru manifestu) a ujistěte se, že k tomuto souboru mají weboví uživatelé přístup prostřednictvím protokolu HTTPS.