在组织中部署 macOS Big Sur

嗨 我是 Mike 我是 Apple 负责支持企业与教育的 高级咨询工程师 我和来自 Enterprise Product Marketing 部门的同事 Danielle 一起 很高兴带大家从技术层面深入了解 部署 macOS Big Sur macOS Big Sur 是我们最新的操作系统 去年秋天通过 Mac 电脑发布 而且该系统带来了许多新功能 因此我们决定将 macOS 版本 升级到版本 11 它采用全新设计 可以更新成你喜欢的 app 比如信息和地图 包括增强的翻译功能 和 Safari 中的隐私保护 以及其他诸多功能 今天我们将主要关注影响信息技术公司的 平台变化

在本次演讲中 我将对这些平台的变化进行概述 Danielle 将更深入地介绍 我们将 Mac 电脑切换到 自定义 Apple 芯片的情况 以及在过渡期间进行部署的注意事项 然后我们都将总结出具体的流程指南 包括对一对一和共享部署的建议 除录制的视频之外 本次演讲还提供了其他资源 详情将在最后进行简要介绍 下面我们从平台变化开始吧

自动推进是我们几年前 为 Apple TV 引入的一项功能 该功能通过简单连接电源和以太网 就可以实现自动配置 进而非常易于进行大规模设置 它非常成功 我们在 macOS Big Sur 中 将其引入了 Mac 这是实际操作的快速演示 可以看到我们到达 macOS 登录窗口的速度非常快 （设置你的 MAC…）

一旦使用 MDM 和 Apple 校园教务管理 或 Apple 商务管理将设备注册配置文件 分配给设备后 只需插入电源 连接以太网 然后打开电源即可 你可以使用 MDM 预先选择语言和地区 所有设置屏幕都会自动推进 如希望立即使用 你的网络必须支持 DHCP 并且不能要求客户端代理配置

一旦过程开始 在大约 30 秒钟没有用户交互之后 Mac 将迅速到达登录窗口 因为此流程适合共享部署 或无人参与配置 所以我们假定除通常使用 MDM 创建的信息技术管理员帐户外 用户帐户要么来自目录服务 要么由使用其他辅助工具所供应 如果选择在一对一部署中使用自动推进 你需要考虑 如何为使用 Mac 的初始用户创建帐户 自动推进是设置 Mac 的最快方法 与我稍后会讲到的 startosinstall 结合使用 会是一种强大的组合 可以实现 macOS 的完全自动化 甚至远程的 升级和重新安装

多年来 我们在 macOS 上提供了 多种不同类型的 MDM 注册 包括设备注册 用户批准的 MDM 注册和自动化设备注册 这些都是由于使用 Apple 校园教务管理 或 Apple 商务管理 进行注册而形成的结果 每种注册类型分别被授权 管理或限制更多的功能 而使用自动化设备注册则可以实现 最高级别的设备管理 因为该注册启用了监管 在 macOS Big Sur 中 用户批准的 MDM 等同于监管 从而大大简化了 macOS 上 设备注册的注意事项 如果用户使用下载的注册配置文件 手动注册 Mac 并使用系统偏好进行安装 去年在 macOS Catalina 中 这种情况会产生用户批准的 MDM 在 macOS Big Sur 中 这种行为仅被称为设备注册 生成监管 以对设备进行全面管理 升级到 Big Sur 时 我们还将自动把 所有现有的用户批准的 MDM 注册 转换为受监管的注册 用户批准的 MDM 是过去的注意事项 我们希望这对部署流程有很大帮助 对于搭载 Apple 芯片的 Mac 电脑 会出现监管警告 但这一点 Danielle 将在稍后进行讨论

对于设备注册和用户注册 MacOS Big Sur 将管理式 app 引入到 Mac 主要好处是 MDM 现在 可以通过选择或取消注册后 自动删除已安装的 app

并且支持 iOS 风格的 管理式 app 配置和反馈 尽管 macOS 长期以来都支持 具有自定义参数的 自定义配置文件 管理式 app 配置 允许与用户注册一起使用 并且在大多数情况下 可以在通用 MDM 平台内 实现更紧密的耦合配置 对于设备注册 MDM 可以将 非管理式 app 转换为管理式 app 但是用户注册不支持从非管理式 app 转换为管理式 app

对于 macOS 上的管理式 app 这里有一些要求 安装 app 的软件包必须只能 将一个 .app 套装文件 安装到“应用程序”目录中 如果未将 app 套装 从 “应用程序”目录中移出 则可以将其删除 由于默认情况下从 Apple 校园教务管理 或 Apple 商务管理中的 Apps and Books 安装的 app 安装在 “应用程序”目录中 因此这就使这些 app 成为管理式 app 的理想选择 请注意 管理式 app 情景中的 数据分离和管理式打开项 当前仅适用于 iOS 和 iPad OS

自定义 app 可让你满足 你的组织的独特需求 现在你可以分发自定义 Mac app 自定义 app 可以提供 量身定制的外观和感觉 针对敏感数据的安全功能 独特企业或学校工作流程的特殊功能 以及更多 然后可以通过 Apple 商务管理 或 Apple 校园教务管理 可将它们设置为组织专供 以便在内部将其分发给客户或用户 使用 macOS Big Sur Mac Pro 2019 年或更高版本 支持快速远程管理 这意味着 Mac Pro 可以根据需要远程启动 关闭和重新启动 意味着无需为补救任务 再亲自到数据中心进行访问 注册 MDM 的 Mac 被指定为快速远程管理控制器 并且当 MDM 想要在可用设备上 执行快速远程管理行为时 MDM 会向该控制器发送命令 然后该控制器通过 IPv6 使用安全且专有的行业标准 PKI 协议 又将命令发送给 Mac Pro 快速远程管理需要 macOS Big Sur 并且你的 Mac Pro 电脑 必须有一个网络连接 与通过 IPv6 使用以太网的控制器 Mac 有相同的子网 你还需要确保已将快速远程管理有效负载 和使用 RSA 密钥配置证书的有效负载 例如 SCEP 被部署到希望管理的 控制器和 Mac Pro 电脑上 你打算管理的 Mac Pro 电脑上 需要支持网络接口绑定

这里是一个简单的演示 作为 MDM 管理员 你从 MDM 服务器发送快速远程管理命令 控制器 Mac 接收该命令 然后将其分发到你指定的 每台 Mac Pro 电脑

macOS Catalina 引入了只读系统卷 macOS Big Sur 通过引入 加密签名的系统卷来防止恶意篡改 而更上一层楼 作为其中一部分 macOS 实际上 是从 Apple 文件系统 snapshot 启动的 签名系统卷还可以简化系统更新 因为更新过程现在与 iOS 和 iPadOS 更加相似了 由于系统卷是经过加密验证的 所以这时文件保险箱的工作方式有所不同 它不再加密系统卷 但是 文件保险箱仍可用于加密 数据卷上的用户数据 此项变更对信息技术的整体影响 微乎其微 但我们希望你意识到 这是重要的平台更改

通过引入 Bootstrap Token 在 macOS Catalina 中 与 Secure Token 的大规模交互显著改善 我们扩展了 令牌在 macOS Big Sur 中的使用方式 从而对你的组织更加有用 Bootstrap Token 使 macOS 可以将 SecureToken 授予帐户 无需使用已启用 SecureToken 的管理员密码 分别进行身份验证 在 macOS Big Sur 中 Bootstrap Token将默认把 SecureToken 授予受监管的 Mac 上的任何用户 包括本地用户帐户 以前 SecureToken 的自动授予 仅限于移动帐户和 MDM 创建的 信息技术管理员帐户 另外 需要指出的一个重要更改是 在 macOS Catalina 10.15.4 中 针对该版本 及更高版本进行的更改 如果你的 MDM 支持 Bootstrap Token 功能 并且Bootstrap Token还尚未 被 macOS 生成 并与 MDM 一起存储 则 macOS 将尝试生成一个 Bootstrap Token 并随时在现有启用了 SecureToken 的用户 登录 Mac 时进行存储 在大多数情况下 这意味着你的组织中的 Mac 电脑 应该可以使用唯一的一个 Mac Bootstrap Token 而无需额外的脚本编制 Bootstrap Token还可以在 带有 Apple 芯片的 Mac 电脑上 启用其他管理功能 Danielle 稍后将进行介绍

macOS Catalina 中引入的系统扩展 是允许 app 开发者使用的 API … 用于 Endpoint Security、网络 文件提供程序以及打印机和扫描仪… 来构建系统内核之外的 app 使用内核扩展或 kexts 的供应商 应该改用这些新的系统扩展 来提供现有功能和新功能 同时保持系统安全 作为信息技术管理员 我们知道你在使用可能仍需要内核扩展的 设备驱动程序、文件提供程序 网络和安全 app 我们建议你与供应商尽快讨论 如何把这些移动到 基于系统扩展的较新版本 在某些情况下 这可能意味着需要更换供应商 这些新的版本极大地降低了 Mac 电脑上 发生内核错误的可能性 因为这些版本在用户空间运行 减少了攻击面 并且可以使用 MDM 进行管理 就像这许多年来 内核扩展如何被处理的一样

关于旧版本 内核扩展 macOS Big Sur 中的新功能是 当一些内核扩展 应该被更新以使用系统扩展 或者 尝试加载 DriverKit 时 警报将警告用户 kexts 需要更新 并且 KEXTS 不会在 macOS Big Sur上加载 但是对于 MDM 允许的 kexts 有例外情况 这旨在帮助支持向系统扩展的迁移 同时还平衡了大型组织的需求

在 macOS Big Sur 默认情况下 安装内核扩展并允许其加载 要求管理员执行用户启动操作 以重建内核缓存 我们知道许多组织 不允许其用户成为管理员 因此 macOS Big Sur 为各个组织提供了两种选择 使 kexts 可以无需管理凭据地加载

第一个选择利用 MDM 重新启动设备并重建内核缓存 而不依赖用户去参与该过程 在 RestartDevice MDM 命令上 有 3 个选项 可以适用这个情况 其中一个是 macOS 11.3 中的新增功能 第一个选项 RebuildKernelCache 告诉 Mac 重建其缓存 并重新启动 可选的随附 KextPath 选项 允许 MDM 发去特定 kexts 请求 它们还尚未被系统发现 可通过 app 尝试加载 这样 MDM 可以安装 app 并加载 kexts 而用户无需 在重新构建内核缓存的重启之前 率先重新启动 app 在 macOS 11.3 的新功能中 通知用户选项将向用户显示通知 并在通知中包含“立即重新启动”选项 点击后 这样可以平滑重启 macOS 譬如去 Apple 菜单并选择重启 值得注意的是 NotifyUser 可以在内核扩展情景外 与 RestartDevice MDM 命令一起使用 因此虽然这里没有显示 与 kext 相关的选项 但是将它们结合使用时特别有用

第二个选择是在 MDM 的 系统策略内核扩展有效负载中 包括新密钥 AllowNonAdminUserApprovals 设置为真 使用此密钥时 标准用户从系统偏好、安全和隐私中 重新启动 Mac 来手动完成 kexts 的安装 无需提供管理员凭据

为了提高数据安全性 并防止意外的配置文件安装 下载配置文件后 在进行安装之前 用户会收到一条警报显示 显示他们需要完成系统偏好中的 配置文件安装 这类似于我们在 iOS 和 iPadOS 13 中 引入的内容 对于 MDM 注册配置文件 和配置概况都是如此 要安装配置文件或将设备注册 执行到 MDM 中 用户必须手动启动系统偏好 导航到配置文件偏好窗口 然后选择配置文件 到时 用户将看到一个 描述配置文件功能的窗口 然后可以选择安装或忽略该文件 如果用户在下载配置文件后 大约 8 分钟未采取任何行动 则该配置文件将自动从系统偏好中删除 在部署流程和文档中 考虑这些额外步骤的很重要的

对于影响信息技术团队 在部署流程中可能使用的几种命令行工具 我们将继续提高其中的安全性 在 macOS Big Sur 之中 无法再使用配置文件命令行工具 来安装配置文件 工具的其他所有功能保持不变 并可以按预期继续发挥作用 此外 networksetup 命令行工具 不允许标准用户帐户在没有管理员用户名 和密码的情况下更改网络设置 标准用户帐户仍然可以打开和关闭 Wi-Fi 更改 Wi-Fi 网络名称或 SSID 以及读取所有网络设置 这使得 networksetup 命令行工具 与标准用户 在系统偏好的网络窗口 或在菜单栏中的 Wi-Fi 菜单 可以控制的功能相一致 macOS Big Sur 还会阻止使用安全命令行工具 将证书添加到系统密钥连中 无需管理员用户的交互式授权 这意味着如果没有管理员明确授权 或者根证书 没有使用 MDM 进行安装 整个系统中的根证书就都无法再被信任

macOS Big Sur 中的软件更新方面 引入了许多变更 首先 正如我之前提到的 macOS 已采用类似于 iOS 的更新机制 这使得在进行软件更新时 在你需要重新启动之前 更新程序就可以对系统进行更改 这样可以大大减少在安装软件更新时的 系统停机时间 从而提供更好的用户体验 对于 macOS 主要升级 以及次要升级、安全、测试版 以及 app 更新 你可以指定延迟最多90天 macOS 11.3 的新功能是 主要的 macOS 升级 次要的 macOS 更新和非 OS 更新 每种都可以 用分别的延迟窗口进行延迟 意思是可以使用三个不同的延迟窗口 每个窗口最多可以延迟 90 天

发送 ScheduleOSUpdate MDM 命令 去安装 macOS 的软件更新时 MDM 可以强制安装更新 并在必要时强制重新启动

如果你一直在使用软件更新命令行工具 来忽略特定更新 或设置自定义软件更新目录 请注意 这些标志 已在 macOS Big Sur 中删除 并且使用 MDM 管理软件更新是未来趋势

在 macOS 上 隐私偏好策略控制中包含两种服务： 用户和系统 用户服务由单个用户授权 并且授权范围仅包括 该用户会话内运行的进程… 例如 访问用户的相机或麦克风 相比之下 系统服务 只能由管理员授予访问权限 但能为系统上的每个用户授权该服务 有些服务对隐私特别敏感 例如相机、麦克风、屏幕捕捉和侦听事件 虽然可以使用 MDM 对其进行配置 但只能拒绝和不允许这些服务 在 macOS Catalina 中 标准用户可以批准自己的 app 进行屏幕捕捉 但是在 macOS Big Sur 中 需要管理员身份验证 然而 在 macOS Big Sur 中 MDM 可以指定一些 app 让标准用户可以授权它们 进行屏幕捕捉和侦听事件 这有助于平衡大规模配置设备的需求 和用户对于是否需要访问 特别是访问隐私敏感的 app 或服务 做出明智的决策

授权密钥可以接受用于屏幕捕获 和侦听事件服务条目的 AllowStandardUserToSetSystemService 以启用此功能 设置完成后 安全和隐私偏好窗口 在表格列表中有明显的 视觉区别 这样标准用户可以批准这些 app 授权密钥替换了之前的允许密钥 之前的只有 Boolean 真和假 但在 macOS Big Sur 中 我们支持两种密钥使用其他服务类型 以帮助简化过渡

对于要升级到 macOS Big Sur 的电脑 升级后 在先前版本的 macOS 中 得到批准的任何条目 都将保持批准状态

macOS Big Sur 为 SSO 扩展 和内置的 Kerberos 扩展 推出了许多新功能和增强功能 首先 MDM 有效负载配置 SSO 扩展 现在可以安装在 用户通道上 并且在用户通道上配置的设置 优先于在设备通道上配置的任何设置

针对 SSO 扩展处理 Per-App VPN 的方式 做了改进提高 包括现在与 Per-App VPN 一起使用的关联的域

现在 SSO 扩展也接收尝试使用该扩展的 调用 app 的更多信息 还有一个新的配置文件删除操作 当从设备中删除 MDM 配置文件 配置 SSO 扩展时 扩展现在可以有很短的时间可以登出 清理文件或钥匙串条目、撤消令牌 或根据需要执行其他清理操作 有关 macOS Big Sur 中 SSO 扩展 和改进的更多详细信息 请观看 WWDC 2020 的 《利用企业身份和身份验证》讲座

内置的 Kerberos 扩展还包括许多新功能 如果你不熟悉内置的 Kerberos 扩展 它提供了一种方法 可以把目录链接 提供到预置的 Active Directory 环境 无需将 Mac 电脑本身绑定到目录 该扩展提供了许多功能 例如密码同步 和自动 Kerberos 票据管理 我们将 Kerberos 扩展内置到 macOS Catalina、iOS 和 iPad OS 13 的 操作系统中 并且将在未来替代 Enterprise Connect 现在我们支持用户通道配置文件传送 以配置 Kerberos 扩展 此改进可以允许用户级证书标识 与基于证书的 Kerberos 或 PKINIT 一起使用 我们现在还支持在 macOS 上 为 app 配置 Kerberos 扩展 到 Per-App VPN 必须将 Kerberos 菜单附加功能 和 AppSSOAgent 添加到 app-to-Per App VPN 有效负载 才能利用这一改进

现在信息技术人员 可以更好地控制初始登录体验 包括可延迟首次登录提示的 新 MDM 配置选项 以及在 AppSSO 命令行工具上的新标志 以便在部署期间 最方便的时候手动触发初始登录提示 现在菜单附加功能 可以更准确地向用户表示扩展的状态 并在单击时 提供有关网络状态 和凭据的额外信息 最后 用户界面现在也可以自定义 包括设置自定义身份名称 和自定义帮助文本的功能

这是用自定义帮助文本进行自定义的 身份名称的示例 （自定义身份名称 自定义帮助文本）

关于 Enterprise Connect macOS Big Sur 是支持 Enterprise Connect 的最后一个版本 请使用全新的 Kerberos 扩展 测试流程和部署方法 并请 Apple 团队提供流程和迁移指南 Kerberos 扩展的用户指南 其中包括 Enterprise Connect 的 迁移指南 可以从 apple.com/business 的 信息技术页面的 身份管理资源下获得 （macOS Big Sur 管理更新） 这是对 macOS Big Sur 中 最重要的平台变化的总结 我建议查看 AppleSeed for IT 发行说明 和 MDM Settings Guide for IT 以获取所有最新更新

现在将时间交给 Danielle 来讨论一下 到 Apple 芯片的过渡 谢谢 Mike Mac 正在过渡到其自己的定制芯片 并于 2020 年 11 月 以 M1 开始了这一过渡 这为 Mac 提供了令人兴奋的新性能 以及强大的新技术 此项更改允许 所有 Apple 产品采用通用架构 从而使开发者更容易 为整个 Apple 生态系统 编写和优化 app 未来几年 我们将继续支持 基于 Intel 的 Mac 电脑 你应该了解 在部署和管理的情景下 Apple 芯片的 一些重要注意事项 现在我们就来讲一讲

迁移到新处理架构的一大考虑事项 就是 app 的兼容性 macOS Big Sur 包含 确保平稳无缝向 Apple 芯片过渡的技术 使用 Universal 2 app 二进制文件 开发者可以轻松创建一个 app 该 app 可以利用 Apple 芯片 充分利用新型 Mac 电脑的 本机动力和性能 同时仍然支持基于 Intel 的 Mac 电脑

开发者可以轻松地将其现有的 app 转换到可在 Apple 芯片上运行 并且这是首次 开发者可以在 Mac 上 使用 iOS 和 iPadOS app 而无需进行任何修改 在 macOS Big Sur 11.3 的新功能中 MDM 可以在搭载 Apple 芯片的 Mac 电脑上安装 iOS 和 iPadOS app

借助 Rosetta 2 的转译技术 用户可以运行大多数现有的 但尚未更新的 Mac app 包括带有插件的 app 由于 Rosetta 无法转译内核扩展 因此如果需要 必须重新编译内核扩展 才能在 Apple 芯片上运行 但未来供应商应采用系统扩展的方法

Hypervisor 框架将可视化成为可能 包括运行 Linux 的能力

我们谈谈 Mac 共享模式 搭载 Apple 芯片的 Mac 电脑 没有目标磁盘模式 相反 它们有一个功能 称为 Mac 共享模式 该模式使用 SMB 通过雷雳 或 USB 电缆进行连接 由于它是基于文件的 因此不支持使用 asr 或 Apple 软件还原工具通过此接口 进行块复制数据 一旦使用用户帐户设置 Mac 后 如果启用了文件保险箱或激活锁 使用 Mac 共享模式则需要身份验证 Mac 共享模式可提供 对 macOS 卷的整体访问 而不仅仅是访问用户的主文件夹

带 Apple 芯片的主机 Mac 在你要连接的目标 Mac 上显示 就像挂载的网络共享一样 你需要做的就是以访客身份连接

搭载 Apple 芯片的 Mac 电脑 具有类似于你现在已经习惯访问的 macOS 恢复环境 称为 recoveryOS 然而 我们不是使用 Command加R 而是在启动时按住电源按钮来访问它 在 recoveryOS 重新安装 macOS 时 将安装当前正在运行的 macOS 主版本的最新可用更新版本 例如 如果你在 Mac 上安装了 11.1 但现在 11.3 可用 则 recoveryOS 将安装 macOS 11.3 如果 recoveryOS 出现问题 或需要重新安装 不会像基于 Intel 的 Mac 电脑那样 使用互联网恢复 Apple Configurator 2 可以通过恢复选项重新安装它 如果选择还原选项 则在此过程中 Apple Configurator 2 甚至可以安装最新版本的 macOS 这使 Apple Configurator 2 成为在搭载 Apple 芯片的 Mac 电脑上 要快速恢复服务的理想选择 请注意 使用 Apple Configurator 2 恢复机制不支持就地升级 macOS

在搭载 Apple 芯片的 Mac 电脑上 macOS 具有全新的统一登录体验 即使文件保险箱处于开启状态 统一登录体验也允许使用新功能 它支持具有加速图形的更丰富的 UI 与 macOS 的外观和风格相一致 通过完全启动进入 macOS 而不用户解锁系统 就可以实现这种体验 例如 如果不选择默认用户列表 而选择用户名和密码视图 现在是受到支持的 它的内置支持 用 CCID 和 PIV 兼容的智能卡 进行身份验证 包括提供更大可访问性的旁白支持

在搭载 Apple 芯片的 Mac 电脑上 将为通过自动化设备注册 注册到 MDM 的设备 自动启用管理软件更新 并加载内核扩展的功能 并且会利用 Bootstrap Token 说一下 Mike 先前提到的监督小警告： 对于使用设备注册进行监督的设备 以前被称为用户批准的 MDM 可在启动安全工具中手动降低安全性 以允许 MDM 管理内核扩展 MDM 不需要管理软件 以更新到最新版本

搭载 Apple 芯片的 Mac 电脑 引入了所有权概念 所有权可以粗略地被定义为 第一个为了自己使用进行配置 而占据此 Mac 的用户 但和真正的合法所有权或保管链没有关系 在这种情况下 所有权定义了谁有权为特定安装的 macOS 更改启动安全性策略 启动安全策略定义了 关于哪个版本的 macOS 可以在搭载 Apple 芯片的 Mac 电脑上 启动的限制 和如何以及是否 可以加载和管理第三方内核扩展 所有权由在安全隔区受保护的 加密技术支持 并且更应该用于实现细节 而不是部署操作的首要考虑因素 但由于安全策略所针对的是 每次安装的 macOS 因此在执行某些安装操作之前 例如安装 macOS 的其他副本之前 有可能会收到输入当前用户凭据的提示 更具体地说是当前所有者的凭据 在 recoveryOS 下安装特定 macOS 时 更改启动安全性策略之前 你还会收到输入所有者凭据的提示 成为所有者是可能的 管理员则不行 但是某些需要所有权的任务 会同时检查这两者 例如 修改启动安全性设置 需要既是管理员 又是所有者

在搭载 Apple 芯片的 Mac 电脑上 安装软件更新 在安装开始之前 需要所有者身份验证 但是请记住 管理式设备 还利用了 MDM 的 Bootstrap Token

这是针对搭载 Apple 芯片的 Mac 电脑 关于部署的变更总结 现在 Mike 将讨论部署流程 包括一对一和共享部署的最佳做法 谢谢 Danielle 在这一部分 我想先花点时间 讲一下 macOS 安装器 这对于安装 macOS 至关重要 而且安装器包含功能强大的 信息技术自动化工具 可帮助完成各种部署流程 我们很自豪能够在 macOS Big Sur 中 提供 8 年的硬件支持 macOS 安装器可在从 2013 年开始的 大部分 Mac 电脑运行

macOS 安装器的部署模型和发行方法 将决定获取它的最佳方法 历史上 对于信息技术驱动的大多数流程 包括我马上要讲到的流程 从 Mac App Store 或系统偏好中获取安装器的单个副本 是最好的方法 根据你的信息技术政策 如果用户可以自己升级 Mac 电脑 那他们也可以直接利用 Mac App Store 或系统偏好 下载安装器 你可以从 Apple 校园教务管理 或 Apple 商务管理的 Apps and Books 获得 macOS 安装器的许可证 以用于从 MDM 发行 获得安装器的另一个不错的选择 是选用去年在 macOS Catalina 中 引入的用于软件更新命令行工具的选项 这一方法允许你编写下载脚本 我将在稍后对此做详细介绍 获得安装器后 你需要考虑如何将其分发到 Mac 电脑 你可以使用首选工具 将其远程复制到 Mac 电脑上 你可以将安装器放在外部介质上 例如优盘 你可以直接使用 MDM 推进安装器 app 作为从 Apple 校园教务管理 或 Apple 商务管理中的 Apps and Books 获得的 app 或如我提到的 从 macOS Catalina 开始 你可以轻松地编写下载脚本 可直接在目标 Mac 上进行

从 macOS Catalina 开始 softwareupdate 命令行工具上的 fetch-full-installer 标志 会自动下载软件更新目录中的 macOS 安装器的最新完整副本 你还可以使用 full-installer-version 标志指定特定版本 前提是该目录中仍提供那一版本 快速说明一下 在 macOS Catalina 中 甚至可能需要使用该标志 来下载最新的安装器 但这在 Big Sur 中 不是必需的 在 Big Sur 中 可以使用 list-full-installers 选项 查看可用下载的安装器列表 但请注意 该列表是针对 命令执行所在的 Mac 定制的 而且仅包括 Mac 可用的 可找到的最古老的 macOS 版本 与 startosinstall 配合使用时 我将在稍后介绍它 这可以实现 macOS 下载 安装或重新安装的完全自动化

拥有 macOS 安装器的副本后 有很多方法可以开始安装 macOS Big Sur 有许多选择就可以在许多不同的流程中 获得很大的灵活性 在下一部分中 我将介绍这里举出的 开始安装 macOS 的方法 这些安装方法中的许多方法 还利用内容缓存 来帮助降低网络上的互联网带宽利用率 我们从命令行工具 startosinstall 开始

startosinstall 位于 macOS 安装器的 内容和资源文件夹 该工具可以使用脚本 来实现自动化的工作流程 并且该工具具有许多标志 使其成为升级 或重新安装 macOS 的强大工具 其中一个标志是擦除安装 该标志对于将 macOS 重新安装 到默认状态很有用 它需要 Apple 文件系统 即 APFS 因为它在 APFS 容器中创建了一个新卷 将 macOS 安装到其中 然后重新启动 然后删除同一容器中的所有其他卷 包括先前的启动卷 如果要保留其他卷 可以使用 preparecontainer 标志 最终结果是全新安装了 macOS 就像先前使用磁盘工具手动擦除了 内部存储一样

另一个强大标志是 installpackage 此标志可以在 macOS 安装完成后 让 macOS 安装器为你安装 任意数量的软件包 如果你需要安装多个软件包 只需将多个 installpackage 标志 传递到命令 每个标志都具有指向不同软件包的路径 如果结合使用 deleteinstall 和 installpackage 就可以将一台 最近交回技术支持服务部的电脑 重新安装 macOS 和任何其他套装 app 并做好分发给新用户的准备 macOS Catalina 和 macOS Big Sur 会使用 installpackage 标志 按照传递给命令的顺序 安装所有传递给命令的软件包 请注意在搭载 Apple 芯片的 Mac 电脑上 使用 startosinstall 要求将管理员所有者凭据传递到命令 用 -h 运行命令可查看其他的用法信息

安装器内还有另一个 命令行工具 createcreatemedia 用来创建可引导安装器 用于安装 macOS 用 -h 选项运行可获取用法信息 若你要升级的机器很多 但网络资源有限 则此工具非常有帮助 在安装期间 在外部介质上使用安装器 对网络的影响最小 因为几乎所有安装 macOS 所需的文件 都位于外部介质本身

该工具上有一个名为 downloadassets 的标志 用于预下载在搭载 Apple T2 安全芯片的 Mac 电脑上 安装 macOS 时使用的 Apple T2 安全芯片固件 请注意 在 Mac 上安装时 即使使用了该标志 仍需要互联网连接 因为在搭载 Apple T2 安全芯片的 Mac 电脑上 操作系统仍需要在安装时 针对该硬件进行个性化处理 这需要连接到 Apple 服务器 另请注意 在搭载 Apple T2 安全芯片的 Mac 电脑上 默认情况下不允许从外部介质启动 但也可以更改选择到允许启动 默认情况下 在其他 Mac 电脑上 可以从外部介质启动 包括搭载 Apple 芯片的 Mac 电脑

使用恢复是安装 macOS Big Sur 的 另一种选择 有三种恢复形式： 对基于 Intel 的 Mac 有一种本地形式是 macOS 恢复分区 基于 Intel 的 Mac 电脑的互联网恢复 以及针对 Apple 芯片的 recoveryOS 和 Apple Configurator 2

对于基于 Intel 的 Mac 电脑 可以在启动时按 Command-R 重启到本地 macOS 恢复分区 这会允许你重新安装 Mac 上已安装过的 macOS 的最新版本 基于 Intel 的 Mac 电脑的互联网恢复 类似于 macOS 恢复 但是通过网络引导到 Apple 云端的 服务器来处理 即使 Mac 上的本地恢复分区 出现问题 也可以使用 互联网恢复有几种不同的启动密钥 但最常用的是 Option-Command-R 这会安装 macOS 的最新版本 使用恢复的时候 使用本地或互联网恢复时 在安装之前 可以选择使用磁盘工具手动清除内部存储 请注意 在搭载 Apple T2 安全芯片的 Mac 电脑上 引导到最新版本的 macOS 取决于你尝试引导至 互联网恢复时芯片的固件版本 如果需要与 macOS 分开进行更新 可以使用 Apple Configurator 2 以 DFU 模式更新 T2 芯片固件

Danielle 早些时候讨论了 搭载 Apple 芯片的 Mac 电脑的 Apple Configurator 2 中的 新 recoveryOS 和功能

最后 如果你的信息技术政策允许 用户还可以使用 Mac App Store 或系统偏好中的 安装助手自行安装 macOS Big Sur 这与消费者在家中的体验相同 并为用户提供了图形化的安装步骤 这个方法需要管理员权限才能开始安装 现在我把时间交还给 Danielle

谢谢 Mike 既然我们已经介绍了安装 macOS 的方法 下面我们介绍一些针对特定流程的建议 包括一对一和共享设备 我将介绍初始部署 升级 和恢复服务 我们从初始部署开始

对于在一对一环境中的 Mac 电脑的初始部署 用户和信息技术人员的最佳体验 是利用现成的流程 该流程将 MDM 和自动化设备注册 用作 Apple 商务管理 和Apple 校园教务管理的一部分 搭载 Apple 芯片的 Mac 电脑上的 自动化设备注册 启用监视并启用内核扩展管理 和软件更新安装功能 自动化设备注册允许信息技术部门 通过启用跳过任何普通设置屏幕的功能 为用户自定义并简化设置体验 这些屏幕通常会在进行用户设置时看到 在设备的初始设置期间 MDM 可以将设备保留在设置助手中 直到为其配置了最关键的 app 和配置以供首次使用 我们鼓励所有组织在可能的情况下 使用本地帐户 进行一对一部署 有关原因的更多信息 请查看 WWDC 2020 中的 《利用企业身份和身份验证》讲座

对于共享环境 出于相同的原因 我们还建议 使用自动化设备注册 使用新的自动推进功能 可以实现真正的零接触设置 并且与 Mike 先前讨论的 startosinstall 结合使用时 功能非常强大 由于有多个用户正在使用 Mac 因此目录服务 或身份提供商帮助程序工具 通常提供访问帐户 在访问繁忙的地区 例如图书馆或计算机实验室 考虑使用帐户过期和删除策略 来帮助清理本地主文件夹 无论自己编写脚本 还是使用移动帐户的内置功能 要在给定的时间段后自动过期 这取决于你 现在让我们看一下升级

升级到 macOS Big Sur 时 可以利用 Mike 之前讨论 macOS 安装器时 介绍的一种或多种方式 最终 由你决定 在你的环境中哪个选择最适用 但是有很多方法 可以适应不同的情况和流程 是否直接升级还是擦除后升级也取决于你

现在让我们看一下恢复服务

对于恢复服务 startosinstall 中的 deleteinstall 标志是一个很好的选择 因为它在所有 Mac 电脑上都受到支持 并且无需任何其他注意事项或配置 就可以处理 Mac 的升级和擦除

在基于 Intel 的 Mac 电脑上 可以使用互联网恢复 因为使用这种恢复服务 因此请确保在重新安装 macOS 之前 先擦除内部存储 在基于 Intel 的 Mac 电脑 和搭载 Apple 芯片的 Mac 电脑上 你可以使用macOS 恢复 Apple 芯片中的 recoveryOS 或外部介质流程 同样 请确保先使用磁盘工具 擦除内部存储 或使用某些配置工具中内置的 自动化功能来进行擦除 请注意 不建议继续从恢复环境 运行 startosinstall 并且在搭载 Apple 芯片的 Mac 电脑上 不支持该操作 对于搭载 Apple 芯片的 Mac 电脑 如前所述 可以使用 Apple Configurator 2 重新安装 macOS 请注意 使用 Apple Configurator 2 始终会在执行还原时 安装最新版本的 macOS

这就是部署流程的总结 包括针对一对一和共享设备 初始部署、升级和恢复服务的建议

最后 作为总结 让我们看一下可用资源

虽然主要面向 MDM 开发者 但 MDM 开发者文档也是信息技术人员 非常有用的、全面的资源 帮助了解 MDM 在协议级别的工作方式 《MDM Settings Guide for IT》 是一种技术资源 带有在 MDM 可用负载的信息 可帮助在当前环境中配置设备 《Mac 的部署参考》是有关我们今天 讨论主题的技术文档 Apple 平台安全文档列出了跨平台的 所有软件、硬件和服务功能 AppleCare 专业支持网站为信息技术部门 和信息技术咨询台存储了 每一 AppleCare OS 支持产品的计划信息 如果你有兴趣测试新的 Apple 软件 则来自 Apple 校园教务管理 或 Apple 商务管理的 任何非学生管理式的 Apple ID 都可以参加我们的 AppleSeed for IT 计划 该计划可以让你访问 预发行的 Apple 软件 以在你的环境中进行测试 包括详细的测试计划 并将你的反馈 放入专用提交反馈意见的队列 该处的问题和增强功能 由专注教育和企业的团队审查 发行说明还针对教育和企业 这使我们能够突出对于组织的 操作系统中任何有影响的更改或问题

最后 这是与我们讨论主题相关的 Apple 支持文章的列表

我们希望你能利用到这些资源 以及 macOS Big Sur 和 Apple 芯片的所有更新功能 谢谢