Apple 设备管理方面的更新

伙计们 伙计们 我刚才和 Vivian 约了个时间开会 什么 怎么回事 我撞到她的车了

什么 你刚才约了个会议 是的 请问有事吗 实际上 什么时候 刚刚 不是 会议是什么时候 噢 周四早上 8 点 下周四吗 是的 不是 这周四 什么 不可能 来不及 我们可以的 看 圆盒子回来了 这只是一个草图 我们的进度刚到这儿 两天 我们需要两周 我们要因此被炒了 Dave 你能拿到比萨盒的销售数据吗 我有点晕

很简单的 圆披萨 圆盒子 完美 嘿 有人饿了吗 我们必须要证明披萨盒有问题 它们是正方形的 浪费空间 对 我真的要去金融部见 Mike 吗 是的 嘿 Mike 你能不能给我发 嘘 看收件箱 我们有这样一个想法 我需要某种 3D 模型 我得去接孩子了 我希望我们一起 为盒子取个名字 环形盒 怪圈 圆盒子 这谁 嘿 Siri 打开勿扰模式 Brian Brian 我醒了 嘿 Siri 告诉 Bridget 我要迟到了 不对 不对 不对 这是错的 这些全都错了 Dave 你能帮忙 再检查一下那些数据吗 工厂的 Adam 有消息了吗 他正在整理模型 你们有什么好想法 什么都没有

什么都没有 把它移到那边去 标题弄大点 加个破折号 让我静会儿 马上要做完了 我不知道最后结果会怎么样 我的意思是 我甚至没有 你在做什么 Bud 嘿 那个能还给我吗 不 我在邮件里把视频给你 隔空投送就好 真棒 朋友们 我收到模型了 哇哦 这在会议演示中效果会很好 太棒了 哇 嗨起来 我醒了 啊

时间到了

有人按电梯吗

我们做到了 我们做出了一个圆形的披萨盒 千万不要说 Apple 不够重视企业

早上好 欢迎来到 303 讲座 管理 Apple 设备的新方式 我是 Todd Fernandez 我是 Apple 设备管理工程 团队的负责人 我很高兴这个上午能与你们在此共度

刚才的视频很有趣 但现在我想要认真地谈谈 当我们为组织 比如化名公司 你的公司或学校 开发工具 用于管理 Apple 设备时 时刻谨记的一些要点 我们一直在努力实现 我们的目标 希望能让你们 用相同的工具和技术 管理你们所有的 Apple 设备 并使你们的用户和组织 能够选到最适合的设备

因为你们的用户很关心 个人信息的隐私性 而且组织 非常在意 知识产权的安全性

Apple 既无比关心隐私 又无比关心安全 也尽量减少 它们有时对 Apple 设备可管理性 造成的影响

我们努力在这些价值观之间 找到正确的平衡 当我们添加新的设备管理功能时 这些价值观有时会发生冲突

因为我们希望我们的设备 能够很好地融入你们组织 各种设备的生态系统 能够允许你继续使用 正在使用的服务 同时 充分利用 Apple 服务 使其脱颖而出

所以让我们开始我们的旅程 了解“Apple 校园教务管理” 和“Apple 商务管理”的更新 或称作大家更熟知的 ABM 和 ASM 现在 这些工具帮助你们 管理所有的 Apple 设备 账户 App 和图书

再说说 App 定制 App 功能 正式名称为 BW App 在今年初春 进行了功能扩展 使组织可以将 App 分发给自己的员工 以及其他公司

今年秋天 我们也将 定制 App 引入 ASM 说到 谢谢 说到账户 今年初春 我们将联合验证和 Microsoft Azure Active Directory 添加到 ASM 并且该功能 将在今年秋天加入 ABM 我 很好 我爱你们 你们太捧场了

我也很高兴地宣布 截至本周 ABM 和 ASM 均已全面支持 iPad 上的 iOS 版本 我们也爱 iPad

请再次确认你可以 在我们所有的平台上使用 这些服务和 App

事实上 ABM 和 ASM 反响非常好 我们将在今年年底结束对其前身 Apple Deployment Programs 的支持 是时候加入 ABM 和 ASM 了

因为事实上 当你使用与 登录 ABM 和 ASM 时 相同的管理式 Apple ID 你可以获益更多 比如访问 AppleSeed for IT 这样你可以获得所有 新发布的 Beta 版软件 比如我们本周发布的所有内容 包括文档和测试计划 帮助你确保 这些新的软件版本 在你的组织中运行良好 当你发现一些 你不那么喜欢的功能时 立即使用内置在 我们所有 OS 中的“反馈助手” 向我们提出建议 以便我们将它们与你的 组织关联起来并更准确地 在程序中追踪它们 关于 ABM 和 ASM 的更新到此结束 现在我想谈谈 另外一个很好的例子 说明我们如何在每个平台上 为你提供相同的工具 并让你能够选择最佳设备 这就是“课堂”

我们在三月发布了 iPad 和 Mac 版 “课堂”的最新更新 现在 教师能够使用 他们所喜爱的 与管理学生 iPad 时相同的 强大功能集 来管理 Mac 在左侧 你可以看到 学生可以在系统偏好设置中 使用新的课堂面板 管理他们的课程 就像他们在 iPad 设置中一样 我们还将 iOS 中配置 课堂行为的所有设置 带到 macOS 中 包括控制 “课堂屏幕巡视”的功能 但我们做的远不止这些 我们还将屏幕共享 截屏和 Apple 远程桌面等 用户熟悉和喜爱的 所有其他屏幕查看功能 移植到 macOS 并遵循这些限制 本周早些时候 我们发布了秋季版“课堂” 当然 它支持 iOS 13 上的深色模式 我们还有一个很棒的新功能 帮助教师 在无需锁定设备的情况下 重新获得学生的注意力 我们称之为 Hide App 它是这么工作的 当老师点击工具栏中 新的“隐藏”按钮时 学生将回到他们 iPad 上的主屏幕

这就是“课堂”的更新 现在 我想再谈谈设备管理的 一些其他变化

周一 我们公布了 iPad 将使用 桌面级浏览器的消息 如果你使用 UserAgent 字符串 来区分 iPad 和 Mac 以自定义 UI 或注册流程 则你的“移动设备管理”产品可能会受影响 请停止这种做法 因为 iPad 现在被识别为 Mac 有关更多 iPad 新功能的信息 请查看本周早些时候的讲座 我们还将 iOS 和 macOS 上 许多出色的设备管理功能 移植到 AppleTV 上 现在 组织可以控制 软件更新提示 出现在 Apple tvOS 用户界面上的时间 你还可以设置自动日期和时间

希望 你们的组织都用上了 内容缓存 这一功能 现在 Apple tvOS 的 屏幕保护程序也可以缓存了 为你节省大量带宽

第一部分内容到此结束 现在我想介绍一些 帮助我们在安全性 隐私性和可管理性之间 实现正确平衡的新功能 第一个是 Craig 在周一主题演讲中强调的 一个非常重要的话题 有请 Bob Whiteman 上台 介绍关于用户注册的所有信息 嘿 我是 Bob Whiteman Apple 的高级设备管理工程师 到目前为止 管理 iOS 设备的方法有两种 设备注册提供了许多 设备范围的管理功能 对于机构所拥有的 受监督设备 自动设备注册提供了 所有设备管理功能 以及自动设置功能

当用户将他们的个人设备 带到工作场所或学校时 他们不希望管理员 完全管理整个设备 同时 BYOD 管理员也并不想 管理整个设备 他们只是想提供 用户所需的 App 数据和配置 以提高工作效率 今天 我将介绍一种新的 管理 BYOD 设备的方法 叫做“用户注册” 这是一个新的“移动设备管理”注册方法 可为 BYOD 提供 更好的平衡 它保护个人数据的隐私 同时 保障企业数据的安全 当用户和管理员达到 这种更好的平衡时 BYOD 计划的接受度会更高 而且用户的工作效率也更高 这是共赢

用户注册基于三个支柱 第一个是管理式 Apple ID 和个人 Apple ID 第二个是个人和工作 数据的加密分离 第三个是一组有限的 设备范围的管理功能 用户注册必须使用管理式 Apple ID 这是用户在设备上 工作标识的锚点 这不是一个多用户系统 这是一个多角色系统 这是同一个用户 戴着不同的帽子 管理员在“Apple 校园教务管理” 或“Apple 商务管理”中 创建管理式 Apple ID 用户必须在注册过程中 登录管理式 Apple ID 联合关闭意味着 这对用户来说非常有效 因为他们受到 组织中已知证书的质疑 注册结束时 管理式 Apple ID 将从设备中移除 登录时 管理式 App 和账户使用 管理式 Apple ID 的 iCloud 账户 个人 App 和账户使用 个人 Apple ID 的 iCloud 账户

第三方 App 始终是 完全管理式或完全非管理式 它们无法更改模式 也无法同时在这两种模式下运行

一些内置的 App 如基于我们账户的“备忘录” 这意味着它们可以同时处理 管理式账户和非管理式账户 并且这些 App 将根据当前 正在操作的账户 使用相应的 Apple ID 下一个支柱是数据分离 注册开始时 iOS 会创建一个管理式 APFS 宗卷 并为此使用单独的 加密密钥 注册结束后 iOS 将销毁加密密钥和宗卷 所以 数据就消失了 现在 iOS 总会在 注册结束后 移除管理式数据 所以 这是一个加密保障 以确保即使注销过程出现错误 相应的数据 也一定已抹除

管理式 APFS 宗卷 包含所有这些项的管理式版本 App 容器是存储在第三方 App 中的 本地数据 “备忘录”App 将管理式 “备忘录”账户的本地数据 存储在管理式 APFS 宗卷中 并将个人“备忘录”账户的本地数据 存储在个人或系统的 APFS 宗卷中

当 iOS 创建管理式 APFS 宗卷时 它同时也创建管理式钥匙串 这将存储 第三方 App 保存的所有安全项 例如密码和证书 还同时为 管理式账户 存储身份验证证书

邮件附件 和完整的电子邮件正文 存储在管理式 APFS 分区中 虽然 邮件的中央数据库 位于包含部分元数据和五行预览的 系统分区中 请放心 这些数据会在注册结束时删除

一旦数据被分离 数据的管理也必须分离 用户注册 拥有一些管理整个设备的 有限功能 但它们没有 管理个人 App 和数据的功能

用户注册管理 基于“移动设备管理”协议的 修改版本 它的启动方式 与设备注册相同 以注册描述文件启动 管理式 Apple ID 密钥表明 这是用户注册 它的价值在于 用户必须使用 管理式 Apple ID 的用户名来登录

还有一个有效负载组织密钥 这是设备注册的现有密钥 但对于用户注册 格外有用 因为它可以标识设备上的管理式账户 它将出现在“设置” “备忘录”App 和一些其他地方 还要注意 用户注册没有访问权限密钥 设备注册 使用访问权限 控制某些管理功能 但这些功能 不适用于用户注册 所以它没有访问权限密钥

设备注册协议和用户注册协议 之间的差距 比我在这里讨论的要多得多 但我会说明最关键的要点 首先 文件服务描述文件 不能和用户注册混在一起 你不能使用它们进行注册 你也不能通过用户注册安装它

设备注册使用 UDID 作为正在通信的 设备的主要标识符 用户注册不向“移动设备管理”服务器 提供 UDID 或其他任何持久标识符 它包括序列号 IMEI 和 MEID 相反 当开始注册时 iOS 会创建一个注册 ID 并在所有“移动设备管理”通信中 将其传递给“移动设备管理”服务器

“移动设备管理”服务器可将这个 ID 用作注册的主要标识符 当注册结束时 iOS 会销毁此注册 ID 因此 如果同一设备重复注册 将获得不同的注册 ID

ActiveSync 也有类似功能

当用户注册 安装 Exchange 账户时 将进入用户注册模式

它使用 在注册开始时生成的 EAS 设备标识符 并在设备信息查询时 将其传递给 Exchange 服务器 和“移动设备管理”服务器 因此他们可以 如常使用它来进行关联 同样 当注册结束时 该数据将被销毁

令牌更新命令 不包括解锁令牌 这意味着“移动设备管理”服务器 无法清除设备密码

用户抗拒 BYOD 计划的主要原因之一 是他们担心 管理员可能会抹掉整个设备 那么他们将 丢失自己设备中的数据 用户注册 不支持抹掉设备命令

ActiveSync 也有类似功能 如果 Exchange 账户账户 处于用户注册模式 那么 Exchange 服务器无法发送 RemoteWipe 命令 当不处于用户注册模式时 “移动设备管理”服务器可以结束注册 Exchanger 服务器可以发送 指定账户的 RemoteWipe 命令 它只删除管理式数据 而个人数据完好无损 某些查询 仅返回管理式数据结果 因此“移动设备管理”服务器 可能无法找出 设备上安装的个人 App

这是我们为设备注册 添加的新功能 这个功能有一个新的仅管理式密钥 以刚才所说的方式过滤数据结果

安装 App 时 用户注册不能接管或放弃 对 App 的管理 App 总是会在注册结束时删除 用户注册支持企业 App 分发 以及基于用户的 PurchaseMethod 1 的批量购买计划 这样可以确保 进行购买的是管理式 Apple ID 而不是个人 Apple ID

对于 VPN 用户注册支持每个 App 的 VPN 我们通过添加一些新密钥去扩展它 这些密钥有助于 通过每个 APP 的 VPN 引导相关协议的流量 这也适用于设备注册 但对于用户注册 有一个非常重要的限制 那就是 VPN 服务器的次级域名 必须与这些密钥值中的 次级域名匹配 因此 举个例子 如果 VPN 服务器是 VPN.acme.com 则邮件域可以包含 mail.acme.com 但它们不能包含 include mail.aol.com 这可以确保 在每个 APP 的 VPN 中 只有管理式账户进行流量引导

如果用户注册 安装了密码政策 iOS 将强制执行 六位数的非简单密码

并且它不支持 更复杂的密码要求 造成这种情况的主要原因是 更复杂的密码要求 会增加用户忘记密码的风险 而“移动设备管理”服务器 在这种情况下 无法通过清除密码来帮助用户 因此 复杂的密码要求并不合理

有关为什么这是密码政策亮点的 更多信息 我建议你阅读 最新版本的 iOS 安全文档

如果你需要代理 Wi-Fi 请使用配置在接入点上的 WPAD Wi-Fi 有效负载不支持 任何代理密钥 并且不支持 记录有效负载的默认值 它们对于 故障排除或向 Apple 报告问题 非常有用 它们可以安装 但安装必须由用户进行 这样 他们就有机会接受这些 对他们个人设备所做的更改 用户注册确实支持一些限制功能 Managed Open In 是可用的 也支持 allowLockScreen 限制 因此 管理式数据不会显示在锁定屏幕上 但它不支持任何 仅受监督的限制 也不支持 任何与管理式数据 无关的限制 例如内容分级 或关闭主要功能 比如 iCloud

当 Exchange 账户 处于用户注册模式时 这也适用于它们的 ActiveSync 等效程序

对于“移动设备管理”服务器的开发者 我有一个重要的提醒 请确保你的服务器 能够应对意外或缺失的密钥及其后果 因为这些功能会随着时间的推移 而发生变化

现在 欢迎我的同事 Ren 上台 演示用户注册 Ren 谢谢 Bob

好的 大家好 我是 Ren 今天 我将演示用户注册流程 就像设备注册一样 用户注册也从描述文件开始 为了得到这个文件 我将要去一家叫做 Acme Inc. 公司的真实网站

这是一个网站 请注意这只是一个演示网站 在现实世界中 下载任何内容前 你可能都需要先进行身份验证 但是我们在这个演示中跳过了这一步

正如 Bob 所说 用户注册与管理式 Apple ID 密切相关 所以我必须 向这个网站提供这个 ID 信息 才能下载或生成 一个描述文件 让我粘贴用户名 并按下注册按钮 仔细阅读警告信息 现在 描述文件已经下载到我的手机上了 我们去“设置”看看 打开“设置”后 会注意到此页面中添加了带有文本 "Enroll in Acme Inc."的 一个新条目 这是启动用户注册的捷径 现在 我准备开始使用它 这是我们为用户注册创建的新 UI 我们将描述文件的 基本信息 警告和承诺 全都合并到一个页面中 我们希望这将使你的 描述文件安装体验更加流畅

此外 如果你想 深入了解此描述文件的详细信息 你可以点击右上角的 详细信息按钮 让我们来看看这个描述文件的 “移动设备管理”有效负载 你会注意到 我在网站上提供的 管理式 Apple ID 已添加到此有效负载中 这是触发用户注册的关键 此外 我们从有效负载中 移除了“访问权限”部分 因为用户注册不需要用到它

你可能没有注意到 如果你回到 此配置文件的顶层页面 你将找不到 任何关于 公司可以对员工设备（此设备） 所进行操作的警告 这是因为 正如 Bob 提到的 我们谨慎地限制了 “移动设备管理”服务器的能力 因此 当你使用个人设备时 你的个人用户体验 不会被干扰

到目前为止一切似乎都很好 让我们轻按底部的大圆角按钮 继续安装描述文件 我将提供我的设备密码 现在它提示我 登录此管理式 Apple ID 因此 根据这个账户 是否为联合账户 你看到的 UI 可能略有不同 这里我只是使用 一个非联合的常规账户 所以 我只需输入 这个账户的密码 然后轻按登录按钮 现在 很多过程正在后台进行着 我们在此设备上创建了 一个供企业使用的独立磁盘宗卷 我们正在此设备上 登录管理式 Apple ID 并将设备注册到“移动设备管理”服务器 所有这些步骤 都环环相扣 如果它们中的任何一步失败 它将还原所有内容 就像一切都没发生过

现在 用户注册 已成功完成 “移动设备管理”服务器可以开始 向该设备发送“移动设备管理”命令 例如 安装 App 和管理设备信息等 你现在看到的弹出窗口 来自“移动设备管理”服务器 它要求我安装 一个名为 Slack 的 App 同意之后安装马上开始 另一个关于用户注册的提示是 如果你想查看 刚才登录的账户 你可以 前往“设置” 选择“密码与账户” 然后你便可 在此界面找到你的账户 你还会发现这个账户也已被添加至 “文件”和“备忘录”等 App 中 并可随时供你使用 让我们以“文件”为示例 打开“文件”后 你会注意到带有“企业”标签的 新 iCloud 云盘已经添加 你所有的企业数据 将通过此 iCloud 云盘发送

演示到此结束 感谢观看 Bob 交给你了 macOS 也支持用户注册 使用管理式 Apple ID 创建一个管理式 APFS 宗卷 根据不同的账户 “备忘录”数据 在宗卷之间完全分离 并且 管理功能与 我为 iOS 所描述的类似 虽然由于平台不同 还存在一些差异

这使用户可以 在个人 iOS 设备和 Mac 上 访问相同的管理式 Apple ID 用户注册为 BYOD 计划 提供了更好的平衡 是时候在管理员和 用户之间建立新的协议了 管理员应该评估用户注册 并且他们应该 重新评估他们的安全政策 并去除一些 在现有的设备上 没有意义的过时要求 管理员应该提供一个隐私政策 来保护和保障他们的用户 我们认为这是 将 BYOD 设备引入组织的最佳方式 谢谢 非常感谢 Bob 和 Ren 现在我想再讨论一些 与平衡这些价值观相关的 其他话题 第一个是证书透明度 这是我们于去年 12 月 为所有 OS 操作系统带来的 一项重要的新安全增强功能 但这有时会将内部主机名 泄露给公共日志 企业也许会担心这一点 因此 我们同时也添加了 一个新的有效负载 使他们能够退出特定的 敏感证书或域 并且可以安装 任意数量的有效负载 来管理所有敏感项

我们还为 Wi-Fi 的有效负载 添加了对 WPA3 安全类型的支持 包括个人和企业 身份验证 我们还希望能使 “移动设备管理”服务器更轻松地使用 全新的 更高效的推送 API 与所有注册的设备通信 因此 我们现在支持 基于令牌的 APNS 身份验证 这个话题并不新鲜 我们去年已经讨论过了 但是今年 我们施行的方法是 使用设备注册时 这些设备 将受到监督 并且注册将是强制性的 今年 我们将利用这个机会 进一步弃用 允许配对密钥 因为它会在注册时永久设置该值 相反 我们建议使用 现有的配置文件限制 它可以随时更改 现在 我想再次讨论 一些针对 macOS 的主题 仍然是关于 减轻各种安全性改进对 可管理性的影响 第一个是 Mojave 中引入的 安全性改进 这使得在配置新的 Mac 时 不能轻易启用远程管理 在 macOS X.14.4 中 我们添加了一对新命令 使你能够通过两个“移动设备管理”命令 启用远程桌面管理 并且配置了 你对这些 Mac 进行持续远程管理所需要的 最常用选项“远程桌面”

我们还希望你能 使用“文件保险箱” 将你的移动设备账户用于 Mac 因此“移动设备管理”服务器 可以管理一个新的引导令牌 这是一个新功能 他们向客户端 Mac 询问该令牌 然后自己托管 每当新用户 在 Mac 登录时 它将从“移动设备管理”服务器 请求引导令牌 并使用它生成 安装文件系统和启用 Mac 所需的安全令牌

我们认为这对组织中的 密码更改大有帮助 目前在 Catalina 中 隐私政策的有效负载不是新功能 尽管它也是 帮助你减轻重要的安全性增强 对管理 Apple 设备影响的 一个很好的例子 而且 在 macOS Catalina 中 有一些新的安全性增强功能 现在也可以使用该政策 来进行配置 例如 在后台 启用键盘记录程序或屏幕录制 或将你不想公证的 内部 App 列入白名单 即使 macOS Catalina 要求 对 App 和文本进行公证 它们也能继续运行

接下来 在 macOS Catalina 中 有一个新的变化 我们再次调整了 安全性与可管理性之间的平衡 现在 通过“移动设备管理” 启用“文件保险箱”需要用户批准的 “移动设备管理”注册 这意味着你无法再在命令行的 Fdesetup 上传递证书 因此 如果你的“移动设备管理”产品中 有脚本和“移动设备管理”代理 你应该对它们进行检查 以便为这项更改做好准备 接下来 我认为 你们听到这些将会很兴奋 Activation Lock 将进入配备 T2 芯片的 Mac 和 macOS Catalina 所以 我们使它可以通过 “移动设备管理”进行管理 就像在 iOS 中一样 实际上 你的“移动设备管理”服务器 将在 API 中使用与 iOS 相同的端点 这些 API 将很快推出 相应的完整服务 将在今年夏天晚些时候可用 因此 你可以测试你的实施情况 并为今年晚秋的 Catalina 发布做好准备

这是一件大事 同样 为了调整平衡 也做了一些改变 我们将从 macOS Catalina 开始 弃用一些功能 从命令行的描述文件 静默安装开始 虽然这些功能都可以 继续在 Catalina 中运行

随着“屏幕使用时间”进入 macOS 和 Catalina 我们正在取消 目前使用家长控制 App 访问权限有效负载 进行配置的 基于路径的 App 黑名单和白名单

如果你的“移动设备管理”服务器 仍在使用过时的用户频道注册 你应该改用 用户注册所需的 当前 macOS 特定的注册 这也将在未来 成为 macOS 设备管理的 增强举措

我终于可以展示这个幻灯片了

我为展示这个功能准备了好多年 我不想说具体多少年 但是今年 在 iOS 13 中 我们将停止执行 在监督存在之前 创建的限制清单 这确实只需要 受到监督即可 但对于依赖这些限制的组织来说 祖父条款 会使过渡更容易一些 对于在 iOS 12 中强制执行 这些限制的不受监督设备 当它们升级到 iOS 13 时 这将仍然有效 但对于不受监督的设备 如果你进行备份然后还原到 该设备或其他不受监督的设备 则该功能 无法执行

这意味着“移动设备管理”服务器 需要停止将这些限制 发送到缺少监督的设备上 因为它们将不再执行

Bob 解释了用户注册 不支持解锁令牌 我们还对相关的 设备注册 进行了一些更改 但具体来说 这不是新的最佳做法 我强烈建议 你在需要解锁令牌时 立即获取并记住它 现在 只有在注册后 第一次成功更新令牌时 它才可用

同样地 对于使用 Apple Configurator 配对 和监督的设备 你仍然需要在设备上设置密码之前 获取解锁令牌 因此 这就是我们 第二部分内容的结尾 现在我想介绍一些 新的设备功能 使你能继续使用 你正在使用的服务 同时添加一些很棒的新 Apple 服务 来帮助 Apple 设备 在你的组织中脱颖而出 第一个功能又是一个重大消息 Craig 在周一的主题演讲中 介绍过它 我想请 Matt Chanda 上台 向你们介绍关于单点登录的一切 Matt 谢谢 Todd 早上好 我是 Matt Chanda 我是一名咨询工程师 也是创建单点登录的 团队中的一员

众所周知 几乎所有企业 App 和网站 都需要进行身份验证才能运行 这些 App 连接系统 所以 记录要么在云端 要么在内部部署 有时两者中都有

不过最近 身份验证变得越来越复杂 你必须处理多种身份验证协议 比如 Kerberos OpenID Connect 和 SAML 你现在已联合到云端 你需要信任你的设备 而身份验证 不仅仅只是需要密码 那么 组织如何应对 这些挑战呢 它们使用单点登录 当使用单点登录时 它们有一套 App 和网站 仅需要登录一次 便可在所有这些 App 和网站中重复使用 组织也将使用它来改善 用户的身份验证体验 避免因一次次登录 引起用户不适

一些组织没有密码 因此 他们必须使用单点登录 进行身份验证 而难点在于 不是每个 App 都支持其身份验证堆栈

并且 鉴于目前存在的所有风险 你希望使用 信任评分数据和 你正在运行的设备的其他信息 来增补你的 身份验证过程 所以 今天我想向你们介绍 我们在 iOS 13 和 macOS Catalina 中添加的 强大的新单点登录功能

它由可扩展的 SSO MDM 描述文件 以及关联域启用 它也适用于用户注册

扩展程序可以选择 显示用户界面 加载网页 或只是静默处理请求 我们认为这些更改 将帮助你使用和创建 安全且对用户友好的 SSO 解决方案 所以 在今天的讲座中 我将介绍单点登录的摘要 及其工作原理 有关更多详细信息 请在会议结束后查看录制的 包含代码示例和更多消息的讲座视频 你可能在本周早些时候 听说过一款为消费者打造的名为 Sign in with Apple 的强大新功能 这是消费者 App 的福音 但它们不支持 企业 App 所需的所有复杂应用场景

而单点登录不同 它适用于第三方身份验证供应商 如 Microsoft Okta 和 Ping 等

此外 你应该知道 管理式 Apple ID 不适用于 Sign in with Apple 因此 为了使 单点登录可用 你需要有一套 App 和网站 并且你必须拥有一个 它们已设置使用的身份验证提供商 新的单点登录扩展 将它紧密结合在一起

所以 今天我们将要重点关注 单点登录扩展程序 那么 它是如何运作的呢 有两种类型的扩展程序 重定向和凭据

所以 让我们从重定向扩展程序开始 重定向扩展适用于 新式身份验证协议 比如 OpenIDConnect OAuth 2 或 SAML 它们将在网页技术的基础上运行 并且经常与 用于内部部署或云端系统的 联合配对 以进行身份验证 让我们来看看这个流程的一个示例 对于 Safari 我们会将请求 发送至单点登录扩展程序 而不是加载网页

该扩展程序将接收 请求的头部 主体和 URL

身份验证过程现在由 扩展程序使用 身份验证提供商完成

准备就绪后 它会将 URL 响应 返回给 Safari

请注意 该响应不应该很大 它旨在将 SAML 响应的网页表单提交 或其他令牌 发回服务器 不要试图在其中加载巨大的 1 兆网页

那么 这些扩展程序可以做什么 它们可以做很多事情 我在这列举了其中一些 它们可以选择展示本机屏幕 而不是加载网页 来进行身份验证 适用情况下 本机屏幕可以请求用户名和密码 也可以根据 你的请求要求 请求额外的多重因素 如果你已经使用 secure enclave 创建了密钥 它们可以签署属性 并将其与请求一起发送 以便将设备与用户紧密配对 这样你就可以 对请求格外放心

可以附加其他 信任评分值 例如 在设备上运行的操作系统版本 或者你需要 取得信任的其他任何信息

它可以简单地加载一个网页 并遵循联合的重定向 这将是一个 非常常见的场景

今年 随着 macOS 加入 新的 FIDO2 功能 它也可以 使用网页身份验证 来验证设备 如果你的身份验证提供商支持的话 有关更多网页验证的信息 请查看今年大会的 身份验证新功能讲座 重定向扩展程序 也适用于原生 App 虽然原生 App 具有额外功能 它们可以将操作发送到扩展程序 这些操作可以是 登录 刷新令牌或退出登录

这样 App 开发者可以决定 身份验证适用于 App 流程的时机 希望扩展程序能够 适应这种情况 对于观众席中的 企业开发者 这意味着你可以有效地 使用扩展程序作为你的 身份库或者身份验证库

它避免了在你的 每个 App 中包含 库的副本 并在随后 随着时间的推移进行维护

这很棒 那么 让我们看看原生 App 的流程

原生 App 将操作 发送到扩展程序 而不是 URL 请求 在这个示例中 操作是登录 扩展程序仍然 负责使用身份验证提供商 完成身份验证过程 当准备就绪时 它将返回 URL 响应 实际上 最重要的是 为了处理和正常工作 它们请求的 App 所需的令牌认为 ID 令牌和访问令牌 使用其他服务 既然我们知道了它的作用 让我们谈谈我们需要做些什么 才能使它发挥作用 它由 iOS 13 和 macOS Catalina 中的可扩展 SSO 描述文件启用

看看这里的例子 标识符是 com.apple.extensiblesso 它在你的环境中 指定你想要使用的特定扩展程序 包括团队标识符

它列出了类型 在本例中为 重定向 以及将被重定向 至扩展程序的 URL 清单

最后还有“移动设备管理”中的 扩展程序特定值的可选字典 在这个例子中 我发送了 一个用户名 但是你可以 放置你需要的任何信息

第二个要求是使用关联域 你需要使用关联域 因为你不能将设备上的 任何身份验证流量 重定向至 你的扩展程序 你只能重定向 你或你的身份验证供应商拥有的流量

因此 为了设置关联域 你需要使用 offserve 服务类型 后跟冒号 然后使用我们在上一张幻灯片中 看到的 URL 列表中的每个主机名 如果你的 App 有多个主机 则需要在文件中 单独列出每个主机

关联域还要求 主机 App ID 位于 目标服务器上的 Apple App 站点关联文件中 服务器对设备必须为可访问 并具有有效的 SSL 证书

不支持用户批准 或自定义根证书

但是 在某些情况下 在开发 App 时 关联域还是未知的 一个很好的例子是 当身份验证提供商 开发一个扩展程序时 每个客户的 主机名都不同 他们无法在授权文件中 将成千上万个全部列出 这是不可能的 出现这种情况时 我们可以在 macOS 上使用新的 托管关联域描述文件 在这里的示例中 请注意 有效负载值 与开发的 App 中 授权文件中的 值相同 在 iOS 上你可以使用新的 关联域 App 属性 再一次提醒 该属性的值与 将在主机 App 授权文件中 可能发生的值相同 使用托管关联域的 最后一步是在 主机 App 文件中 包含托管关联域的授权 这让我们知道 除了在授权文件中 已有的内容之外 你还希望使用托管值

关联域的数组 必须存在且不能为空

你甚至可以 在其中包含其他值 我们将把“移动设备管理”中的值 固定到列表中供你使用 有关关联域的更多详细信息 以及使用方法 请查看今年大会的 通用链接新功能讲座

好 重定向扩展介绍完了

所以 现在让我们转到凭据扩展程序

凭据扩展程序用于 质询响应类 身份验证流 其中 一个很好的例子是 Kerberos

这些流与重定向不同 因为当客户端请求数据时 它们将受到 身份验证的质询

然而对于重定向扩展程序 客户端将在需要令牌之前 主动检索 并使用它们

为此 我们还支持 自定义身份验证质询

凭据扩展程序与 重定向扩展程序是不同的 因为它们接收的 HTTP 质询 来自操作系统 而不是请求 质询将包括 URL 和返回的头部信息 “移动设备管理”描述文件将包含 应用于该扩展程序的 主机或托管后缀列表

所以 例如 如果你有 .example.com 它将被视为后缀 凭据模式的扩展程序 也支持操作

并且没有关联域的要求 好 我们来看看流程

在 Safari 或你的本机 App 中 它将向服务器发出请求

接着 服务器将返回 身份验证质询 到操作系统 我们将这一质询发送到扩展程序中

就像其他扩展程序一样 它要求使用 身份验证提供商或身份验证服务器 的任意一个 完成身份验证过程 准备就绪后 扩展程序 会将头部信息 返回到操作系统 该信息将发送回服务器 我们假设服务器接受它 那么数据将返回到所需的 调用 App 里 这就是凭据扩展程序的流程 现在有请我的同事 Rick Lemmon 演示凭据模式扩展程序 Rick

嘿 非常感谢 Matt 大家好 我是 Rick Lemmon 我是 Apple 专业服务团队的工程师

今天 我想给大家演示 我们构建的凭据模式扩展程序 此扩展程序使用户 可以轻松地在 App 和网站上 使用单点登录 如果你开发了一个单点登录 的扩展程序 你可能会把它 作为 App 的一部分交付给你的用户 因此 这个 App 便可以用来提交 在扩展程序中可能 没有提交意义的功能 例如 向用户显示状态信息 或允许他们更改密码 在我们的扩展程序中 我们使用了 附加菜单来实现这个功能 所以 这是个比较关键的亮点 现在 我想接着 登录扩展程序

开始登录吧 我现在要输入我的 用户名和密码

然后点按登录 太好了 我们已经登录了 那么 让我们来看看附加菜单

你会注意到 在附加菜单中 我们向用户展示了一些有用的状态信息 比如登录用户 和密码过期的时间 我们还展示了一些有用的功能 例如 更改密码和退出登录

既然我们已经登录到 单点登录扩展程序 便可以使用单点登录来访问 网站和 App 了 所以 让我们继续用我们已经建好的 示例网站来试试 让我们继续 加载示例网站 太棒了 你可以看到我们刚刚 使用单点登录来访问该网站 想必你们也注意到了 我没有被提示进行身份验证 我们可以看到 我已经被验证为 与登录扩展程序时相同的用户

我们继续 退出 Safari 然后展示它在 App 中 是如何运作的 我将要运行一个叫 Image Retriever 的 App 是我们为演示而特意编写的 这个 App 很简单 它的全部功能就是连接到一个 需要身份验证的网页服务器 然后下载一个图像并显示它

通常情况下 你要使这个 App 运行 必须进行某种类型的身份验证 但是由于我们有了单点登录 所以就不用验证了 让我们继续并单击“显示” 很好 根据我的姓氏 你可能会猜到 我对柠檬情有独钟 所以这个 App 已经与 一个网络服务器连接 使用我们的单点登录扩展程序验证完毕 并下载了这个超级可爱的柠檬图片

谢谢 所以 现在让我退出 Image Retriever 我将向你展示一些 触发扩展程序身份验证的方法

因此 我需要在扩展程序中退出登录 我将在附加菜单中 执行此操作 提醒一下 当你运行一个扩展程序时 并不需要退出扩展程序登录 我们现在这样做纯粹是为了演示 所以 既然我退出登录了 让我们继续 运行 Safari

点击我们的网站 你会注意到 身份验证提示立即出现 我要继续操作

然后点按登录 很棒 你会注意到 我登录以后 Safari 能马上通过身份验证 并加载我的网站 接着 退出 Safari

我将退出扩展程序登录 让我们再试试 Image Retriever App

让我们继续 然后单击显示以加载图像

你会注意到我再次被提示验证

登录 棒极了 我们再次下载了柠檬的图像 谢谢你们

好 让我们再多聊聊 这个特定的扩展程序 你们中的有些人看到这个扩展程序后 可能会说 你知道吗 这在我的组织中可能很有用 是的 我们都同意你的观点 我们还没告诉你的一件事是 这个扩展程序背后使用的是 Kerberos 和 Active Directory

因此 我们很高兴地宣布 这个扩展程序 将在 macOS Catalina iOS 13 和 iPadOS 中可用 谢谢你们 此扩展基于 Enterprise Connect 这是一个 Active Directory 集成解决方案 有些人可能已经在使用它了 它提供了一种将设备与 Active Directory 集成的简单方法 除了提供 Kerberos 支持外 它还帮助你管理 Active Directory 的密码 在 macOS 上 它还帮助你保持本地和 Active Directory 的密码同步 此外 除了在扩展程序中使用用户名和密码 进行身份验证之外 你还可以使用基于证书的标识 或者在 macOS 上 你可以使用智能卡 我们认为这个扩展程序将 帮助许多人更容易地在组织中使用 Kerberos 和 Active Directory 这就是基于凭据的 单点登录扩展程序

让我们来总结一下 我们真的很期待可以看到 你们构建了什么样的扩展程序 查看单点登录的讲座（check out 不是 out） 获得更多构建你的扩展程序的 详细信息 大会结束后它会发布到 WWDC 网站上 现在让我们交回给 Todd

非常感谢 Matt 和 Rick 我再谈谈关联域 正如 Matt 所介绍的 它们可以通过“移动设备管理”进行管理 但不仅仅适用于单点登录 别的服务类型 如通用链接和密码自动填充 也受关联域支持 并且现在 不止 App Store 的 App 定制 App 也支持关联域 所以再次强调 如果你想了解更多关于它们的信息 请查看本周早些时候的 通用链接讲座 我在这个讲座的早些时候 提到了联合身份验证 但是我想在此再次强调它 因为 它和我们今天早上在 这里宣布的其他消息 结合在一起 成为一个说明我们如何使 Apple 设备 适用于你的组织中 并发挥出色的好例子

管理式 Apple ID 进入 ABM 之后 用户注册需要 管理式 Apple ID 这意味着 我们使你非常方便地 利用你正在 使用的身份 充分利用用户注册

今天我们花了很多时间 讨论新的 热门的 用户注册 这很好 但是当然 我们也没有停止 改进设备注册 所以 我想谈谈一个很棒的新功能 它使组织可以 在用户注册设备时 自定义用户 使用 Setup Assistant 的体验 这很棒 现在 你可以提供自己的 自定义网页 UI 并将其用于多种重要用途 从选择身份验证类型 新式的 还是多重因素的 到自定义组织品牌 只要是对你的组织有用的 以及当用户注册时 你希望他们 访问的任何额外信息 只要在 Setup Assistant 中 无论是你的隐私政策 附加同意文本还是 可接受使用策略 都可展示 这只是给你们提供的一个思路 你们应该对此非常熟悉 在 Setup Assistant 的下一面板中 你可以看到你的用户界面 而不是我们的用户界面

这是 Mac 身份验证的一个例子

非常地激动人心

在 iPhone 中 例子是 可接受使用策略 基本上 这只是提供给你 让你的用户在你的组织中 获得良好体验的一种方法

我之前提到过内容缓存 这是优化你的组织的 带宽使用的一个好方法 到今天为止 这还只是一种尽力服务优化 但现在可以 为你网络上的 所有设备配置它所需的基础架构 如果这对 你的组织有用的话 你还可以配置设备 以优先特定的客户端缓存

当然 今年我们 添加了很多其他内容 就像往常一样 使你能够配置 Setup Assistant 以及许多其他 设置和限制 这非常好 但我认为 我们应该一起阅读文稿 而不只是光听我介绍 因为我们对为你提供了值得一看的 全面的 最新的文稿 而感到非常兴奋 这是个巨大的飞跃 因为 我们不仅改进了内部流程 使我们可以将 添加到描述文件的有效负载 和“移动设备管理”命令的 的新密钥和值 直接从代码导入文稿 然后像所有其他 Apple 文稿 一样向你们展示 包括强调在特定的 OS 系统发布中引入的 变更的好方法 我们认为这将 使你更容易地理解我们今天 谈论的全部内容 并且在今后 有利于我们所有的共同 客户都能好好利用它们 但我不再说下去了 我想请 Graham McLuhan 登台 并为你展示 Graham

谢谢 Todd 我很高兴今天能够 来到这里向你们展示 最新的设备管理文稿

谁已经看过了这个新文稿了

好 真棒 所以 对于你们中 没机会先睹为快的人 让我们现在一起看一下

你首先需要注意的是 设备管理文稿 与 Apple 开发者文稿的 其他部分一样 有了新的主页 单击 你将看到 你过去常常看到的 所有内容 如配置文件 “移动设备管理”协议和部署服务 那么 我们来看看配置文件

在这里 你将看到一个 易于搜索的列表 其中列出了我们所有平台上可用的 所有不同描述文件 让我们看看 ExchangeActiveSync 有效负载

我想指出的第一件事是 显示“API 变更”选项 在这儿 你可以看到 当前 OS 操作系统版本与即将推出的 Beta 版之间的差异 是的 很棒 在左侧 你可以 看到对现有密钥 进行了一次修改 并添加了 12 个新密钥 请注意 如果要找出哪个 Xcode 版本与哪个 OS 版本相关 你可以查看 Xcode 发布说明

在下面的属性部分 你可以看到 组成有效负载的所有密钥 它们的类型以及它们的默认值

向下滚动 你可以看到 用紫色波浪线 高亮显示的密钥是修改过的 我们添加的新密钥 用绿色加号高亮显示

在下方 我们有一个 描述文件可用性表 显示支持有效负载的所有不同平台 接着往下 我们看到 组成有效负载的相关对象 比如字典 以及你可能感兴趣的 其他相关的有效负载 因此 让我们使用 页面顶部面包屑导航跳回到 设备管理页面的顶部 由于显示“API 变更”功能已启用 我们可以看到“移动设备管理”协议 已经发生了一些变化 所以 让我们来看一看

快捷搜索列表 列出了所有 可用的不同命令和查询 我们来看看安装应用程序命令 在右侧 你会注意到我们列出了 添加此功能的 所有平台和相应的 OS 版本

在左侧 你可以 看到我们将命令本身 和响应记录在文稿中

在下面的命令可用性表中 它向你展示了 实施此命令的 所有不同方法 让我们看看 “移动设备管理”命令本身

好 在这里 你可以看到 组成安装应用程序命令的 所有密钥的列表 最后 我想谈谈我们是如何记录 用户注册的变更的 对于你们来说 可用性表是查看用户注册 是否支持某个功能的好方法 但是在某些情况下 我们必须更改 某些特定密钥的表现方式 限制有效负载就是一个好的例子

所以在这里 你可以看到我们 已经为每个密钥添加了帮助文本 来告诉你如何使用它 例如 allowAccount Modification 它可以在受监督的设备上使用 并且可以在 iOS 7 或更高版本上使用

我们知道 对于 BYOD 注册 Managed Open In 是我们最重要的限制之一 所以 让我们来看看它是如何实施的 在这里你可以看到 它适用于 iOS 7 或更高版本 也适用于用户注册 我们真的很高兴 你们可以看到这些新文稿 然后交给你了 Todd 非常感谢你 Graham

再一次 我们对此感到非常 兴奋 并且希望你可以去看看 如果你还没看的话 它在周一就上线了 好吧 让我们 来到内容的结尾 再一次 我们希望 这些新文稿能够让你 更轻松地吸收 所有新内容 当然 我们也希望你们 不再依赖 UserAgent 字符串 或在缺少监督的设备上 安装受监督的访问限制

这些文稿中 有许多有用的链接 还有许多讲座中的其他资源 都在屏幕上的 URL 中 午餐后来 Lab 参观吧 并查看我们 在关于通用链接 和 iPad 桌面级浏览讲座中 提到的一些参考讲座 我要感谢大家 今天早上来到这里 我希望你们能享受 WWDC2019 最后这天的剩余时间 非常感谢 [掌声]