为您的组织做好部署 macOS Monterey 的准备

Mike Boylan：大家好 我叫 Mike Boylan 我是一名高级 咨询工程师 来自 Apple 的全球 现场工程团队 我主要负责 macOS 部署和管理 我很高兴能帮助 您为您的组织做好 部署 macOS Monterey 的准备

macOS Monterey 带来了强大的功能 旨在让您以前所未有 的方式进行连接、 共享和创作 更快地完成工作 并在各种 Apple 设备间 无缝切换工作环境 并且还有许多 平台更改、 新的管理功能 以及许多针对 IT 的 部署工作流程改进

在部署 macOS Big Sur 时 我们涉及到了 对搭载 Apple 芯片 的 Mac 电脑 部署和管理的更改 并且深入探索了 部署工作流程 重点集中在 macOS 安装程序上 在 WWDC21 上 我们为您准备了 很多讲座 内容涵盖与部署和 管理 macOS 相关的 一系列主题 我们将会回顾这些讲座 中的一些关键点 但我们也会分享我们在 这些讲座之后根据大家的 反馈所做的更新 macOS Monterey 的改进 遍布部署生命周期 的各个方面 从初始注册 到部署和 持续管理 再到恢复使用 我们从初始 注册开始说吧 利用“自动化设备注册” 组织可以从 设备开箱时 就开始配置和 管理设备 并且您可以使用 所有可用的 MDM 功能 包括将 MDM 描述文件 标记为不可移动 自动化设备注册 是为组织拥有的 设备设计的 最适合用于直接 从 Apple 或从 参与计划的 Apple 授权 经销商或运营商处 购买的设备 我们知道有些设备 可能是从支持 “自动化设备注册”的 正常渠道之外 购买或 获得捐赠的； 对于这些情形 我们推出了 iPhone 版 Apple Configurator 并将在 App Store 上提供 利用 iPhone 版 Apple Configurator 您可以轻松 将任何运行 macOS Monterey 的受支持 Mac 分配到组织的 Apple 校园教务管理 或 Apple 商务管理 从而能够利用 “自动化设备注册” 支持的所有 出色的设备 管理功能

使用 iPhone 版 Apple Configurator 要求 Mac 电脑 搭载 Apple T2 安全芯片 或 Apple 芯片并运行 macOS Monterey 并且要求以管理员或 “设备注册经理”用户身份 进行登录 当 iPhone 版 Apple Configurator 在“设置助理”中时 只需将它靠近 Mac 即可启动该流程 与在 iOS 上一样 有 30 天的临时期 在此期间用户可以通过 从“系统偏好设置”中的 “描述文件”面板删除 MDM 描述文件来选择退出 “自动化设备注册” 此操作需要 管理员凭证 并且还会从 Apple 校园教务管理 或 Apple 商务管理中 移除 Mac 有关详细信息 请观看 WWDC21 讲座 “用 Apple Configurator 管理设备” 现在我们来了解一下 持续管理任务的改进 我们讨论 系统扩展 已经很多年了 我们希望与您 合作的开发者 已经完成了从内核 扩展的过渡 在部署和管理 系统扩展时 为了避免向用户 显示不必要的审批提示 最佳做法是部署 配置有效负载 以便在 app 尝试加载 扩展之前批准这些扩展 但我们知道 那样并不一定可行 所以在 macOS 11.3 和更高版本中 安装系统扩展 有效负载会改变 扩展的状态 举个例子 如果系统扩展 已在等待 用户批准 那么安装有效负载 就会激活该扩展 相反 移除 有效负载将会停用 系统扩展 并将其标记为 在下次重启 Mac 时移除 这样就可以 简化移除过程

但是为了更轻松地 移除 macOS Monterey 中的 系统扩展 系统扩展有效负载中 提供了一个新配置选项 名为 RemovableSystemExtensions 此列表中的 app 可以停用 其自己的系统扩展 例如 在卸载 app 时 设置了此键后 删除系统扩展就 不需要管理员密码了 从而可以实现 完全自动化的移除

对于许多系统扩展来说 若要获得完全配置 需要的不只是系统 扩展有效负载 例如 使用网络扩展 框架构建的 系统扩展 可能需要设置 内容过滤器 您可以使用内容过滤器有效负载 来启用和批准该过滤器 有些扩展可能还需要 “隐私偏好设置 策略控制”有效负载 而且您可能 希望管理使用 系统扩展的 关键 app 的通知 请与您的系统扩展供应商 核实完全启用和配置 解决方案 所需的配置 并且询问 这些配置是否兼容 任何其他您计划 同时运行的 系统扩展 如果您计划将多个 供应商的产品一起使用 上面说的这一点尤其重要

如果组织使用 文件保险箱 并通过 MDM 保管 个人恢复密钥 (PRK) 利用 macOS Monterey 可以 更轻松地访问搭载 Apple 芯片 的 Mac 电脑 在 macOS Monterey 中 您可以使用 PRK 直接启动 Mac 无需要求更改密码和 通过 recoveryOS 进行 中间阶段的重新启动 这样就可以更快地 访问 Mac 进行故障排除 或者协助用户 在这台搭载 Apple 芯片的 MacBook Pro 上 展示了统一的登录体验 这对于 Apple 芯片来说 是全新的 请注意登录屏幕 会选择 显示用户名和 密码字段 而不是显示用户列表 即使启用了文件保险箱也是如此 如果要使用 PRK 来启动 Mac 只需按 Option-Shift-Return 并在“恢复密钥”字段中 输入 PRK 完成后只需 按 Return 或点按 向前箭头 即可启动 Mac

我们来谈一下对使用 个人恢复密钥或 机构恢复密钥的建议 后者也称为 IRK 也继续了解一下文件保险箱 在基于 Intel 的 Mac 电脑上 IRK 可用于解锁通过 文件保险箱加密的 Mac 使用命令行 停用文件保险箱 或者使用目标磁盘模式来恢复数据 后者更为常见 大规模使用 IRK 现在 被认为是旧的做法 并且 IRK 在 搭载 Apple 芯片的 Mac 电脑上不会 提供任何功能用途 搭载 Apple 芯片的 Mac 电脑具有 Mac 共享模式 而不是目标磁盘模式 并且它需要有 recoveryOS 的 访问权限才能使用 或者 每个加密卷的 个人恢复密钥 (PRK) 都是独一无二的 可以托管到 MDM 并且允许在使用后 轻松轮换密钥 它也可以直接在 Mac 上 用于访问 recoveryOS 或启动 macOS 正如刚刚的 Apple 芯片 所展示的那样 这个流程在基于 Intel 的 Mac 电脑上也是类似的 PRK 对组织 来说是一种 非常强大的工具 目前使用 机构恢复密钥 的组织 以后应该改用 个人恢复密钥

我们会继续为 macOS 添加更多的 用户隐私保护 在 macOS Monterey 中 需要安装或 配置可插拔 身份验证模块 (PAM 模块) 的 app 或服务 现在需要用户授权 可以使用 MDM 中的 “隐私偏好设置策略控制” 描述文件来授予授权 从而授予完全磁盘访问权限 或对系统管理员 文件的访问权限 许多 MDM 已经向 它们的代理工具授予了 这些类别的访问权限 因此您现有的 工作流程可能根本 不需要做出更改 就能适应这种 新的保护

内置的 Kerberos 扩展 为目录与本地有效 目录环境的连接 提供了一种方法 而不需要 将 Mac 电脑本身绑定到 该目录 在一对一部署中 我们建议尽可能 使用 Kerberos 扩展 或类似的解决方案以及 本地帐户 而不使用传统的目录绑定和 移动帐户 我们将 Kerberos 扩展 构建到了 macOS Catalina、 iOS 和 iPadOS 13 操作系统中 它替代了 macOS 上的 Enterprise Connect Enterprise Connect 自 macOS Monterey 起正式停用 并且不支持在 macOS Monterey 上运行 Enterprise Connect Kerberos 扩展在 macOS Monterey 中 有一些新的可选设置 您现在可以指定首选的 Kerberos 分发中心 简称为 KDC 以供您的 Mac 电脑使用 并且您可以限定 能够访问 Kerberos 凭证 的 app 必须 与已配置的 访问控制列表 中的捆绑 ID 匹配 并且已明确作为 受管理的 app 进行安装 另外您也可以允许 标准系统 Kerberos 实用程序 包括 klist 中的 Ticket Viewer 访问和使用 该凭证 我们还改进了 检查所需 密码更改 方面的可靠性 有关 Kerberos 扩展的 更多详细信息 请观看 WWDC 2020 的 “讨论企业身份和认证”讲座 自 macOS 10.15 Catalina 起 macOS 中提供 Python、Ruby 和 Pearl 等脚本语言运行时 只是为了与 旧版软件兼容 macOS 的将来版本 默认不会提供 脚本语言运行时 并且可能会需要您 安装其他软件包 如果您使用的软件 依赖于脚本语言 建议供应商改为 将运行时捆绑在 他们的 app 中 在 macOS Monterey 中 已经移除了以前 捆绑的系统 PHP Python 软件基金会 已于 2020 年 1 月 正式停用了 Python 2 并不建议再使用它 在 macOS Monterey 中 当 app 尝试使用 内置系统 Python 2.7 时 将会出现图形对话框 需要注意的是 该对话框会显示 调用方 app 的信息 因此如果某个 MDM 代理 运行您编写的调用 系统 Python 的脚本 该对话框可能会显示 该代理 app 的名称 即使他们实际可能根本 没有在其 app 中 使用 Python 因此建议 检查您的脚本中是否 使用了系统 Python 并根据需要更新这些脚本 macOS 将来的版本 不会提供 Python 2.7 建议您安装 和管理您自己的运行时 包括 Python 3 如果需要您也可以 调用系统 Python 3 但这需要 安装 Xcode 命令行工具

在 macOS Monterey 中 使用 socketfilterfw 命令行工具或 MDM 来管理系统防火墙 是互斥的 如果使用 MDM 配置 防火墙的任何选项 该命令行工具将不会 允许修改任何设置 即使是由管理员修改也不行 通过启用 日志记录选项的配置 包括将日志记录 设置为打开和相应级别 我们增强了 macOS Monterey 中 系统防火墙的 MDM 可管理性 当前配置的 日志记录选项 现在还会在安全信息 查询中提供给 MDM 以帮助完成 合规性报告 请注意在使用 MDM 管理系统防火墙时 用于允许已签名、 已下载或系统 app 的传入连接的选项 会始终启用 这些选项会 映射回用于 允许、下载、 已签名、已启用 和允许、已签名、已启用、 设置为打开的命令行选项 macOS Monterey 中的 TLS 证书信任 有许多变化 现在允许在 DNS 名称中使用下划线 拒绝多个扩展 使用同一 extenID 更严格地强制 使用密钥 并且针对企业根 CA 强制执行 pathLenConstraints 对于 SMIME 不再信任 RSA 密钥少于 2048 位的证书

我们在 macOS Big Sur 中 启用了 macOS 上受管理的 app 包括支持受管理的 app 配置和反馈 以及可以使用 MDM 命令 或在设备从 MDM 取消注册时 移除 app macOS Monterey 中有一个新特性 如果您针对 BYOD 环境 使用“用户注册” 受管理的 app 数据就会 分离到不同宗卷上 而且使用 CloudKit 的 受管理的 app 现在会使用与 MDM 描述文件 关联的管理式 Apple ID 在移除 app 后 数据容器会被抹掉 管理式 Apple ID 现在还 支持 iCloud Drive 进行用户注册 组织的 iCloud Drive 在 “访达”中会显示为 附加位置 请观看 WWDC 2021 中的 “探索帐户驱动的用户注册”讲座 以了解更多详细信息 在 macOS Monterey 中 搭载 Apple 芯片的 Mac 电脑 现在支持 802.11k、 v 和 r Wi-Fi 标准 以优化在企业 网络中的漫游 在所有支持 macOS Monterey 的 Mac 电脑上的 DHCPv4 现在也支持 IPv6-Only-Preferred 选项 此选项允许 具备 IPv6 功能的 设备放弃分配的 IPv4 地址 还有一个限制 可用于阻止 使用 iCloud 专用代理 这是一项全新的 iCloud+ 功能 有助于用户在 Safari 浏览器中 浏览网页时 保护用户隐私 您可以 使用 DNS 在特定网络上 阻止 iCloud 专用代理 但此限制 首先会阻止 在 Mac 上启用它 如果您使用代理 自动配置 或 PAC 文件 将 Mac 电脑配置为使用代理 则需要注意 macOS Monterey 中的一些重要更改 不推荐将 HTTP URL 用于 PAC 文件 此更改不影响 通过 DNS 进行 Web 代理自动发现 也称为 WPAD 不过对于 PAC 文件的 任何其他配置 包括通过 DHCP 选项 252 进行 WPAD macOS Monterey 可能 会先尝试通过 HTTPS 访问 PAC 文件 然后再最终回退 到 HTTP URL 有关这些更改 请咨询您的网络团队 因为将来 只应将 安全的 URL 方案 用于 PAC 文件 现在我们来 谈谈组织 设备管理中 一个非常重要的方面： 管理软件更新 在 WWDC 2021 上 来自软件更新团队的 我的同事 Lucy 在 一场精彩讲座中详细介绍了 跨 Apple 平台管理 软件更新方面的改进 这场讲座提供了 大量适合 MDM 开发者 和管理员等人员 了解的信息 建议大家观看一下 在这里我们将 专门针对作为 管理员的您 提供一些额外指导 首先我们从 软件更新命令行 工具开始 因为我们认识到 许多组织目前 都围绕它选择工具 以便管理 macOS 上的软件更新 软件更新 命令行工具 仍然受支持 并未弃用 它需要有升级的权限 才能在 Intel 和 Apple 芯片上运行 但在 Apple 芯片上 它会要求提供 宗卷所有者用户凭证 才能安装软件更新 有关宗卷所有权的更多详细信息 请参见 资源部分 我们将在讲座最后 讨论相关信息 默认情况下 该工具将会以交互方式 提示输入这些凭证 不过 macOS Monterey 也提供了 将用户凭证直接 传递到命令中的选项 在 macOS Monterey 中 您也可以使用登录窗口中的 软件更新 CLI 工具 来安装软件更新 虽然软件更新 命令行工具 仍受支持 并且您可以修改 现有工具或工作流程 以适应 Apple 芯片上的 身份验证要求 但您还是应该使用 MDM 和 ScheduleOSUpdateCommand 来部署软件更新 以便将来 管理组织中的 Mac 电脑 使用 MDM 有助于 在基于 Intel 的Mac 电脑 和搭载 Apple 芯片的 Mac 电脑之间 统一更新 部署工作流程 管理软件更新 分为三个阶段： 测试、部署 和执行 我们从测试和 推迟软件更新的 功能开始

当我们发布 OS 的 beta 版时 您有时间和工具在该 OS 发布之前在您的环境中 对它进行测试 包括使用 AppleSeed for IT 中的测试计划 和重点发布说明 在更新 公开发布后 可从 MDM 向 受监管的 Mac 电脑 应用软件更新延迟限制 从而阻止 向用户提供 软件更新 直至指定的 时间段到期 此时间段 可配置为 1 天到 90 天 Mac 上相对于延迟期的 的更新可见性 是更新的 发布日期 而不是基于 客户端 Mac 电脑 首次发现更新的时间 在 macOS 11.3 或更高版本中 您可以为主要、 次要以及 Safari 浏览器 等非 OS 更新 设置单独的、 独立的延迟窗口 虽然所有更新类型的 最长延迟时间段 为 90 天 但请注意以用户身份 安装主要 macOS 升级 需要有管理员凭证 并且需要运行 “安装助手”app 此外特别需要注意的是 虽然在“软件更新” 偏好设置面板或 软件更新命令行 工具的输出中看不到 延迟的更新 但 MDM 仍然能够 在设备上安装 特定的更新 换句话说用户 不需要看到更新 MDM 也能 安装它 这样就为您 提供了灵活性 例如可以在您的环境中 完全跳过某个特定更新 如果需要就可以 指示您的 Mac 电脑 向前跳到 较新的 OS 更新 在测试完成后 接下来就可以 部署软件更新了 在使用 MDM 来 更新设备时 MDM 会发送 ScheduleOSUpdateCommand macOS 上的命令 有多种不同的操作模式 称为 “安装操作” 可用的安装操作包括 DownloadOnly、 NotifyOnly、InstallASAP 或 default、 InstallForceRestart 以及 InstallLater 现在我们来详细介绍一下 对于有人值守和 无人值守的设备 DownloadOnly 都可以 用来在安装更新之前 先在后台下载更新 NotifyOnly 可用于 提醒用户 有安装操作 这些选项实际上 都不会启动安装 InstallASAP 或 Default 是 macOS 上的 主要更新机制 它非常适合用于无人值守的 或远程 macOS 设备 或者适用于特定的情形 具体来说就是您需要 尽快强制执行某个更新 但仍要顾及当前可能 需要阻止因更新而 重新启动的 app 例如某个关键 任务需要完成运行 除非某个 app 阻止重新启动 否则此操作就会在 下载完成后 立即执行更新 同时会在通知中 显示选项 让用户在 60 秒内 取消重新启动 在 macOS Monterey 中 进行主要和次要更新时 都会显示这个 60 秒的倒计时器 InstallASAP 也是 使用 MDM 进行 主要 macOS 升级时应该 并且可以使用的安装操作 例如您可以只使用 MDM 将 Mac 从 macOS Big Sur 11.5 及更高版本升级到 macOS Monterey 而不需要 先单独下载 完整的 macOS 安装程序 也不需要使用 startosinstall 等工具 来编写 任何脚本

InstallForceRestart 是用于安装更新的 最终强制执行操作 因为它会忽略任何 阻止更新的 app 并且会尽快 安装更新 此操作非常适合确保 只要设备在线就 遵守某个明确的日期 或者适合无人值守的 系统或远程系统 因为当时设备上正在 发生什么情况并不重要 请注意此操作可能会 导致数据丢失 因为前面说过 它不会因为有阻止更新 的 app 而停止 所以使用此操作时 应该非常谨慎 最后一个是 InstallLater 这个操作也同样重要 利用 InstallLater 您可以在可能的情况下 计划在当天 晚上安装更新 类似于标准的 “软件更新”系统 提供给用户的 InstallTonight 选项 该设备将会基于 机器学习技术 结合该设备何时 使用最少等条件 来选择 进行安装的时间段 通常在凌晨 2 点 到 4 点之间

macOS Monterey 中 进行的很多更改 使这些安装 操作对组织 更加有用 以至少 50% 的 电池续航时间来 支持 InstallLater 将有助于确保 在更大范围内 强制执行 软件更新 接下来 所有实际启动 并安装的安装操作 都支持使用 MDM 提供的 Bootstrap Token 来授权 在 Apple 芯片上 进行安装 并且需要一个 用于在没有自动发生 用户交互的情况下 执行更新 但是请注意 如果用户根据通知采取操作 并且通过“系统偏好设置” 自己开始更新 Apple 芯片系统将会 提示他们输入密码 用户无需是 管理员也可以 授权更新 他们只需是 宗卷所有者即可 macOS Monterey 支持在标准用户 登录 Mac 时 以及在没有 用户登录时 从登录窗口安装 OS 更新 这有助于确保 兼容远程或 无人值守的部署 例如在某个电脑 实验室或数据中心 在 macOS Monterey 中 可以使用 12.1 等 ProductVersion 来安装更新 这样会降低识别 可用软件更新的 复杂性 现在您的 MDM 可以进行 单个服务器端查询 而不必查询 您所有的设备 并将该查询与软件更新 设备 ID 进行比较 后者属于 您的 MDM 已定期获取的 设备信息 这让您的更新 过程简单到 只需选择某个特定版本 发送到设备即可 在 beta 周期中 您也可以使用 同一版本来安装 最新可用的 beta 版 例如发送 12.1 就会安装 12.1 的 最新可用 beta 版 即使您的设备已在运行 12.1 的更早 beta 版也是如此 现在我们来看看 执行更新 正如我们之前提到的 InstallForceRestart 操作是最终的 强制执行操作并且 可以在您需要立即 强制执行更新时随时使用 但是如果您知道 既定的时间表 或者只是 需要确保符合 组织安全策略 macOS Monterey 中 新增的用户延迟选项 是一个不错的选择 利用这个新增的用户 延迟配额选项 您可以指定 Mac 在 强制执行更新之前 应提示用户安装 更新的最大次数 此操作会将 InstallLater 安装操作 与名为 MaxUserDeferrals 的 新键配合使用 用户会看到通知 告诉他们 已请求安装所需的 管理式更新 通知的标题为 “所需的管理式更新” 并且会询问用户 希望何时安装该更新 展开该通知 他们会看到相关选项 包括立即安装 该更新、 尝试在当天晚上 安装或推迟安装 其中还提供了该用户 剩余的延迟次数 用户每看到 该通知一次 该次数就会 减少 1 次 大约为每天一次 如果用户忽略该 通知或使用延迟 则当天晚上不会 尝试安装更新 这是对 WWDC 上 描述的行为的 一项重要更改 是我们想重点指出的 在达到了最大 延迟次数后 该通知会 告诉用户 已没有 剩余的延迟次数 并且已计划在 当晚自动 安装该更新 MacOS 将会强制 安装该更新 就像使用了 InstallForceRestart 操作一样 而且会要求设备 连接到电源 或者至少有 50% 的 电池续航时间才能继续 如果不满足这些条件 该设备将会 在第二天晚上再次 尝试强制执行更新 在 macOS Monterey 中 使用 MDM 来管理软件更新的方式 获得了这些改进之后 您可以更轻松地 确保合规性 跨机群管理 软件兼容性 并在基于 Intel 的 Mac 电脑 和搭载 Apple 芯片 的 Mac 电脑 之间统一更新部署 工作流程 我们鼓励大家 继续提交有关 软件更新管理的反馈 请务必使用 Apple 校园教务管理 或 Apple 商务管理 中的管理式 Apple ID 通过 AppleSeed for IT 计划 来提交您的反馈 现在我们来研究一下 恢复使用 macOS Monterey 在这方面 提供了非常重大的改进 macOS Monterey 为 Mac 引入了 “抹掉所有内容和设置” “抹掉所有内容和设置” 可快速将 Mac 重置 为其当前的 OS 版本 在此过程中会以加密 方式移除所有用户数据 搭载 Apple T2 安全芯片 和 Apple 芯片的 Mac 电脑 都支持 “抹掉所有内容和设置” 默认情况下将 EraseDeviceCommand 从 MDM 发送到运行 macOS Monterey 的受支持 Mac 机型将会 启动“抹掉所有内容和设置” 以前称为“清除” 的抹掉设备行为 只用作后备行为 我们稍后再做讨论 在搭载 Apple 芯片 的 Mac 电脑上 您在 recoveryOS 中 修改的任何启动安全 设置也会被重置 而且我们知道您可能 不希望用户能够 自己轻松抹掉 他们的 Mac 因此 MDM 中 提供了一个限制 以防止用户在 macOS 中 运行“抹掉助理” 哪怕是以管理员身份也不行 在从 MDM 中启动 “抹掉所有内容和设置”时 还有几件相关事项要了解 Mac 必须从内部 密封的系统宗卷启动 如果磁盘上有 多个分区 还必须从 第一个分区启动 如果这台 Mac 确实 有多个宗卷或分区 它们将会在此 过程中被移除 但外部宗卷 不会被抹掉 搭载 Apple 芯片的 Mac 电脑 必须具有 MDM 提供的 Bootstrap Token 才能授权抹掉 搭载 Apple T2 安全芯片的 基于 Intel 的 Mac 电脑 必须处于“完整安全性”模式中 如果设置了 EFI 固件密码 则在启动 “抹掉所有内容和设置” 之前需要先清除该密码 请注意在 macOS 12.01 及更高版本中 MDM 可以发送 SetFirmwarePasswordCommand 来清除固件密码 然后再发送 EraseDeviceCommand 来启动 “抹掉所有内容和设置” 在这些命令之间 不需要进行中间阶段的 重新启动 如果没有满足 使用 MDM 启动 “抹掉所有内容和设置” 的一项或多项要求 默认情况下 Mac 会回退到 macOS 11 行为 称为“清除” 清除需要先完全 重新安装 macOS 然后才能使用 Mac 您可以选择性地 控制这一回退行为 方法是在 MDM 的 EraseDeviceCommand 中 指定新的 清除行为键 您可以指定 Mac 是否应该 回退到清除 每个选项都会控制 发回到 MDM 的 响应代码 请与您的 MDM 供应商 确认是否支持此选项 因为如果您只是想 “抹掉所有内容和设置” 此选项 有助于确保 不会意外地 变成需要完全 重新安装 macOS 从 MDM 触发 “抹掉所有内容和设置” 需要在 recoveryOS 中 重新激活 Mac 电脑 但是我们非常 高兴地宣布 在 macOS 12.1 及更高版本中 从 MDM 启动的 “抹掉所有内容和设置” 可以和我们去年 在 macOS Big Sur 中 推出的 Auto Advance 结合使用 如果连接到了以太网 Mac 可以完成抹掉设备、 在 recoveryOS 中 重新激活以及重新启动 回到 macOS 以在 MDM 中 自动注册的整个循环 这两项技术 结合在一起 为远程 Mac 电脑 提供了 超快速的恢复使用 和重新预配策略 请注意 在搭载 Apple 芯片的 Mac 计算机上 在执行过程中 重新启动到 macOS 时 并不会显示 语言选择器 现在我们要快速介绍几个 在 macOS Monterey 中 需要注意的其他更改 这些更改可能会 对您的组织有用 macOS Monterey 为 Mac 带来了快捷指令 快捷指令是 Mac 自动化的未来 而 macOS Monterey 从“自动操作”过渡 的多年过程的开端 我们仍然非常关注 “自动操作” 以及依赖于它的每个人 因此为了使这次 过渡尽可能顺畅 我们已经构建了 一个迁移工具 它可以将大多数自动化 工作流程转换为快捷指令 包括完全支持 AppleScript 和 shell 脚本 有关此次过渡的 更多详细信息 请观看 WWDC 2021 中的讲座 “认识 macOS 快捷指令” 在 macOS Monterey 中 您现在可以在 Mac 上 共享、播放或呈现 另一台 Apple 设备的内容 如果要更轻松地 共享学校作业 演示 app 或者 只是更轻松地镜像或 扩展您的显示屏 这会非常有用 这里只是列举了 其中的一些例子 Mac 现在还可以用作 隔空播放扬声器 甚至可以用作 辅助扬声器 来创建 多房间音频 隔空播放接收器功能 默认处于开启状态 并且默认只接受具有 相同 Apple ID 的设备 但对于 管理式 Apple ID 这一自动发现功能 是停用的 在“系统偏好设置”的 “共享”面板中 可以关闭 隔空播放接收器 或更改安全设置 请注意 同一网络选项仍会 通过“通知中心”中的 通知来提示 需要权限 并且会要求用户输入特定于 设备的 PIN 码 即使没有 连接到 WI-FI “所有人”选项也支持 发送方 Mac 和 接收方 Mac 之间的 点对点发现和连接 在首次从设备 启动隔空 播放连接时 会显示带有 PIN 码的 隔空播放代码屏幕 一旦连接 隔空播放会话即会 在 Mac 上全屏显示 Apple 校园教务管理 和 Apple 商务管理中 推出了“Apps 和图书” API 的新版本 虽然它在 macOS Monterey 中 不是新功能 但我们 还是想重点介绍一下 MDM 使用这个 API 为您的用户或设备 分配 app 和图书许可证 全新的“Apps 和图书”API 使用异步处理 针对分配、素材资源 和注册用户的 状态变化提供 实时通知 并且支持更大的 请求大小 例如过去为 10,000 名 用户部署 25 个 app 需要 25,000 个请求 现在只需要 10 个请求 即可完成部署 这应该会显著提升 大规模设备部署的 速度和可靠性 无论是 教育机构的 返校季、 员工入职活动 还是大规模设备更新 有关更多详细信息 请观看 WWDC 2021 中 的讲座 “改善 app 和图书 MDM 分配” 现在我们来介绍 一些可帮助您 成功部署 macOS Monterey 的资源 我们强烈建议您在 新 Apple 软件发布之前 先在您的组织中 对其进行测试 AppleSeed for IT 计划允许任何来自 Apple 校园教务管理 或 Apple 商务管理 的非学生管理式 Apple ID 参与 无需邀请 利用 AppleSeed for IT 您可以访问和下载 预发布的 Apple 软件 以在您的环境中进行测试 添加详细的测试计划 并将您提交的 反馈放入 组织的专用队列中 发行说明也以 组织为目标受众 并且您可以轻松地将 反馈重新分配给其他同事 “Apple 设备部署参考” 是一份技术文档 其中包含 有关 MDM 有效负载 命令以及查询的信息 以帮助在您的环境中 配置设备 其中包括的信息有 是否可以组合有效负载 设备、用户、或这两者 是否都支持有效负载 等等 同时 它提供的 支持信息还包括 基础架构 和服务集成 “MDM 开发者文稿” 虽然主要面向 MDM 开发者 但它是非常有用的 全面资源 您也可以用来帮助您 了解 MDM 的 工作原理和 协议级别的 可用选项 “Apple 平台安全保护” 文稿 提供了有关 Apple 平台上所有 软件、硬件和服务的 安全信息 AppleCare 专业支持网站 为 IT 部门和服务台 提供了 每个 AppleCare OS 支持产品 的计划信息 包括 AppleCare for Enterprise 企业版 有关宗卷所有权信息 可以参考 “Apple 设备部署参考” 以及 “Apple 平台安全指南” 我们有几篇 Apple 支持文章 也涉及了我们 今天讨论的信息 macOS Monterey 中 所有的重大平台更改、 全新的管理功能 以及部署工作流程 方面的改进 让我们感到非常兴奋 希望大家也有同感 非常感谢 大家的观看