Apple Watch 的设备管理功能

♪ ♪

Melissa：大家好 我是 Melissa Nierle 是 Enterprise 和 Education Technologies 的 一名软件工程师 今天 很高兴能向大家介绍 Apple Watch 的设备管理功能 Apple Watch 已成为用户 日常生活中不可或缺的伙伴 有助于拉近用户与世界的联系、 保持活力、改善身体健康 Apple Watch 拥有免提通话功能、 在忙碌时回复消息 以及摔倒检测等安全保障功能 已成为企业用户的绝佳助手 从小型企业、公共事业单位 到大型企业、医疗保健系统 各行各业都有 Apple Watch 的身影 在沃尔沃等公司 员工已开始 使用 Apple Watch 记录工作 进一步改善了公司的工作流程 并提高了与客户的沟通效率 我们希望各个组织都能 在员工中部署使用 Apple Watch 来打造能够持续提高生产力、 改善员工身体健康、 加强安全保障的解决方案 因此 我们今年推出了 watchOS 的设备管理功能 有了该功能 组织就可以 与其他 Apple 设备 方便地部署和配置 Apple Watch 了 我们非常期待 Apple Watch 在大规模应用后 能给用户及其组织带来的积极作用 先来介绍一下该功能的使用方法 我们会先讲解 Apple Watch 全新的注册流程 然后介绍 Apple Watch 管理的注意事项 将 Apple Watch 加入移动设备管理 需要注意以下几点： 首先 就像搭配使用 Apple Watch 和 iPhone 一样 Apple Watch 和移动设备管理 也是可以配对进行管理的 两个设备之间不仅可以 共享 App 和访问限制等功能 还可以无缝传送信息 并执行任务 Apple Watch 的注册流程 正是基于这一功能设计的 组织管理员和终端用户 都需要在 iPhone 上注册 主机 iPhone 必须是 已用移动设备管理注册过的、 受监管的 iPhone 这样才能注册与其配对的手表 移动设备管理注册过程属于 手表配对流程中的一步 因此 Apple Watch 必须是 全新未使用过的 否则需要重置 已配对过的 Apple Watch 需要重置才能注册 Apple Watch 的注册流程 使用的是声明式设备管理 因此 你的服务器需要 同时支持 Apple Watch 和声明式设备管理功能 才能成功注册 Apple Watch 观看相关讲座可详细了解 声明式设备管理 今年更新了哪些功能 以上是开始注册的前提条件 下面开始分步讲解 注册流程 我们以这台 受管的 iPhone 为例 首先 组织管理员 要向手机发送一份新声明 打开后 里面是 新版的 Watch 注册配置 这意味着与这台 iPhone 配对的 所有 Apple Watch 都应该在移动设备管理中注册 这就是该配置的详细内容 一起来看一下这里的有效负载密钥 画面中选中的这一行 是注册 URL 端点的密钥 该端点负责 向 Apple Watch 传送 需要下载并安装的 移动设备管理配置文件 Apple Watch 上的移动设备管理配置文件 与已用于 iOS 和 macOS 设备的 移动设备管理配置文件并无区别 下一个密钥 是一个可选项 它列出了一组锚证书 这些锚证书将用于评估 注册配置文件服务器的可信任度 主机 iPhone 的 已有资产声明中 必须含有此流程使用的所有锚证书 配置安装完成后 接下来 开始设置 Apple Watch 就像我之前提到的那样 此时 Apple Watch 会开启配对状态 用户在手机上开启配对模式后 就会收到接受远程管理的提示 在此页面中 用户需要 点击接受远程管理 才能继续配对 如果用户不接受 配对流程会结束 也无法继续设置手表 为满足 iPhone 和 Apple Watch 的 配对管理需求 在设计 Apple Watch 的 注册流程时 已充分考虑安全性 安全性的保障具体体现在两个方面： 第一 管理员需要验证 在组织管理的移动设备管理服务器中 该主机 iPhone 是否已注册过 其次 管理员需要能够 识别出每一台 iPhone 和每一只 Apple Watch 的 配对关系 那么 新的注册流程 是如何实现这一目标的呢？ 在 Watch 配对过程中 iPhone 会将 Watch 注册配置信息 发送到 Apple Watch 然后 Apple Watch 会 利用 URL 及所有收到的锚证书 与服务器创建初始连接 与连接请求一起发出的 还有已签名的机器信息 服务器收到 Apple Watch 的注册请求后 会检查机器信息数据 并寻找新的“配对令牌”密钥 由于第一次尝试时 不会出现配对令牌密钥 服务器会输出 HTTP 403 响应 这是 403 响应的具体代码 通过该错误代码 可以判断出之前的请求中 缺少 Watch 配对令牌 详细信息库中会提供一个安全令牌 Watch 会使用 这个随机 UUID 字符串 来启动配对令牌检索流程 在 Watch 将这个安全令牌 发送到 iPhone 之后 iPhone 会执行 GetToken 签入请求 其中不仅包括手机和 Watch 的 UDID 还有来自 Watch 的 移动设备管理服务器的安全令牌 这里列出的是 新签入请求的信息代码 今年 我们新增了一种 叫做“获取码”签入请求的 全新签入消息类型 此类型让设备可以向 移动设备管理服务器支持的各种服务 申请安全令牌 TokenServiceType 密钥说明了 我们正在向哪个服务申请安全令牌 在这里 该值表示 它需要一个 Watch 配对令牌 在下面几行中 TokenParameters 密钥 是一个包含用于 特定令牌服务类型的参数库 手机收到的 Watch 配对令牌 包括 Watch 的安全令牌、 手机本身的 UDID 和 Apple Watch 的 UDID 移动设备管理服务器 收到这些信息后 会用其生成一个安全的配对令牌 Apple Watch 的移动设备管理服务器 收到该码后可以进行验证 在此过程中 移动设备管理服务器 可以根据接收到的 UDID 在 iPhone 和 Apple Watch 之间 创建正确的连接 服务器最终会将生成的配对令牌 发送到 iPhone 这里给出了服务器 发送的一个配对令牌的详细信息 配对令牌由 base64 编码数据格式构成 手机会将收到的配对令牌 发送给 Apple Watch 然后 Watch 将配对令牌 添加到手表的机器信息中 并在发送新的注册请求时 一同发回给移动设备管理服务器 这里展示了 Apple Watch 发送给服务器的 含有安全配对令牌的机器信息 移动设备管理服务器使用机器信息 来验证其收到的配对令牌 因此 可以确认 这台 iPhone 的 移动设备管理服务器的身份 以及 iPhone 和 Apple Watch 之间的配对关系 之后 服务器将移动设备管理 注册配置文件发回给 Apple Watch 用户可以在手机上 继续设置 Apple Watch 注册配置文件将在配对结束前 安装在 Apple Watch 上 和 iOS 一样 Apple Watch 发送 带有 Authenticate 消息类型的 签入请求后 注册流程将正式完成 现在 Apple Watch 已完成注册并在监督管理范围内了！ Apple Watch 的 注册流程结束后 需要注意以下几点相关内容： 第一 在构建设备管理解决方案时 注册期间发送到服务器的数据 可以用来检测 Apple Watch 与 iPhone 之间的 配对关系 需要识别配对设备的信息技术管理员 可以使用这些信息 来创建更为直观的 UI 请注意 Watch 的注册配置 应用于手机后 用户会收到一个提示 表明所有与手机配对的 Apple Watch 都会在移动设备管理中注册 不过 之前与该手机配对的 其他 Apple Watch 的功能 并不会受到影响 只是需要重置 并再次配对才能注册成功 最后 请注意 注册后的 Apple Watch 已成为受监督管理的设备 因此 你可以将其添加到 组织已有设备的任意工作流程中 和 iOS 一样 Watch 绝不会将用户的健康信息 和健身活动发送到移动设备管理服务器上 了解 Apple Watch 的 注册流程后 下面来介绍管理方法 watchOS 从一开始就支持 声明式设备管理功能 在 watchOS 10 中 watchOS 不仅支持所有声明类型 而且还支持激活声明中的 多种谓语表达 你可以在 Watch 上 自定义多个步骤的管理工作流 通过 Apple Watch 上的 状态通道 用户可以在所有 Apple 设备上 接收主动更新 下面来看一下 watchOS 10 中的 声明性设备管理功能 为反映该功能在 watchOS 上的 实用性 我们已更新 开源概要和开发者文档 其中包括完整的支持列表 请尽情探索 当然 受管的手表 也支持移动设备管理协议 和其他 Apple 设备一样 Apple Watch 也可以接收有效负载、 访问限制、 移动设备管理命令和查询等 今年 新一代 watchOS 支持很多移动设备管理功能 我们先来介绍一些 可用的配置有效负载 首先 我们开发了很多网络功能 Apple Watch 支持安装专用 VPN 就是 watchOS 10 新增的一个功能 除了现有的网络有效负载、 Wi-Fi 和蜂窝网络外 watchOS 还新增了 对所有 App VPN 有效负载的支持 现在 所有 Apple 设备 都可以安全地访问企业 VPN 接下来 介绍一下可用于保障 watchOS 安全性的有效负载 watchOS 已支持所有之前用于安装 简单证书注册协议 (SCEP)、 自动化证书管理环境 (ACME) 证书、 执行密码规则 以及在 Apple 设备上 应用限制的有效负载 在 watchOS 平台上 密码政策 和限制有效负载的 执行方式较为特殊 接下来 介绍一下这方面的内容 iPhone 上的限制和密码规则 将同步到与其配对的 Apple Watch上 例如 如果 iPhone 上 启用了密码解锁 那么 与其配对的受管 Watch 也会提示用户为手表设置密码 如果 iPhone 要求使用 字母数字混合密码 那么在手表没有佩戴在手腕上 等场景中 他们需要使用 iPhone 来解锁 Apple Watch 但是 直接在 Apple Watch 上 设置的限制有效负载 和密码有效负载 都不会同步到 iPhone 上 你可以利用该定向性规则的详细信息 为各个平台定制 不同的限制和密码政策有效负载 移动设备管理查询有助于了解设备 及其存储内容的当前状态 当然 该步骤会 轮询服务器、手表等设备 相比于持续轮询 Apple Watch 我们更推荐使用 声明性设备管理的状态通道 这样一来 只要服务器订阅的状态项发生变化 Apple Watch 都会主动通知服务器 接下来介绍 watchOS 支持的命令 为确保 Apple Watch 上 企业数据的一致性 watchOS 可以支持 iOS 发送的所有命令 你可以根据需要远程清除密码、 锁定及擦除设备等 此外 watchOS 还支持通过删除 配置文件从移动设备管理取消注册 但在不同设备上有不同的表现形式 现在我们来了解一下 无论是用户操作还是 通过移动设备管理命令 从 Apple Watch 中 移除移动设备管理配置文件都会导致 Watch 的注册从服务器中移除 被取消注册后 Apple Watch 会与主机 iPhone 解除配对 其内容和设置都会被删除 但主机 iPhone 的注册状态 不会受到影响 如果用户或组织 将主机 iPhone 取消注册 与其配对的 Watch 的注册 也会随之被移除 因此 从主机 iPhone 中 移除管理会导致 受管的 Apple Watch 与主机解除配对并进行重置 接下来介绍移动设备管理协议的 最后一部分 App 部署 watchOS 上 有三种类型的 App 第一种是与主机 iPhone 配对使用的 App 即手表上的 App 其会与 iPhone 上对应的 App 共享数据 若 iPhone 没有安装对应的 App 此类 App 在手表上也能独立运行 第二种是非独立 watchOS App 此类 Apple Watch App 需要搭配 配套的 iPhone App 才能使用 最后一种是 独立的 watchOS App 只在 watchOS 平台上有 并且没有 iOS 配套 App 对于前两种 watchOS App 管理员需要分别在两台设备上管理； 而对于独立的 watchOS App 只需要将 App 安装命令 发送到 Apple Watch 上即可 安装配对使用类 和非独立类 App 时 需先在 iPhone 上 安装完成后 再发送 App 安装命令 到 Apple Watch； 如果这两类 watchOS App 需要更新 你需要分别发送命令给手机 和 Watch App 才能完成更新； 删除的过程也一样 需要向 Apple Watch 和 iPhone 分别发送删除命令才可以 通过这样协同管理配对使用类和非独立类 iPhone 和 Apple Watch App 不仅 App 的可用性得到保障 管理员也可以准确管理各类 App 在获得最佳使用感受的同时 还能实现最流畅的工作流程 Apple Watch 管理 可实现的场景还有很多 以上只是其中的一小部分 充分理解本次讲座提到的应用示例 有助于更好地适应 并提升 watchOS 管理模式 现在 总结一下其中的几个要点 管理员需要将 iPhone 和 watchOS 配对并进行协同管理 因此 在构建移动设备管理产品时 需要考虑到这种配对关系 创建组合的工作流 并在 UI 中公开设备关系 有助于管理员保持 两个平台之间的同步 充分利用声明式设备管理中 内置的主动状态通道 可避免获取信息时持续轮询设备 后者对电池的消耗较大 发生重大变更时 声明性设备管理状态通道 将更新至服务器 虽然 Apple Watch 管理 新增了一些操作 但你对移动设备管理协议 和声明性设备管理功能 肯定非常熟悉了 所以现在就可以开始 管理 Apple Watch 了 总结一下本次讲座 关于 Apple Watch 的内容 现在 可在 watchOS 10 管理 Apple Watch 并可以与搭载 iOS 17 的 受监管 iPhone 配对 记得尽快开启 Apple Watch 注册 和管理支持 以便获取移动设备管理解决方案 让信息技术管理员及其组织 能够尽可能地简化企业的 Apple Watch 工作流程 管理员可以开始规划如何通过 受管的 Apple Watch 来优化组织的生产力 加深与终端用户的联系 并为他们谋求福利 我们非常期盼 能收到相关信息的反馈 希望能了解你是如何计划实施 Apple Watch 工作流程的 以及 Apple Watch 如何改善 贵组织的数字生态系统 无论你是移动设备管理开发者还是 即将部署 Apple Watch 的管理员 我们都希望倾听你的意见 记得登录 feedback.apple.com 将所有反馈发给我们 最后 你可以查看我们本周发布的 关于声明式设备管理的其他讲座 以及管理 Apple 设备的 其他新内容 以上就是本次讲座 “Apple Watch 设备管理”的所有内容 感谢观看 祝各位工作顺利！