Apple 设备管理的新功能

♪ ♪

Patrick：大家好 我是 Patrick 是 Device Management 团队的一名工程师 我很高兴 能与同事 Jonathan 一起 跟大家分享 Apple 设备管理的新功能 我们很高兴看到 Apple 设备 应用于工作和教学中 Apple 设备既可以用于讲课 也可以协助实现 和简化业务工作流程 我们希望 在 Apple 设备的帮助下 信息技术管理员和用户 都能更轻松地实现伟大目标 在本期讲座中 我们将介绍许多新功能 这些功能会进一步帮助你 进行规模较大的管理和部署 本期视频干货很多 但在正式开始前 我想先介绍另外几个讲座 在这些讲座介绍的领域中 我们同样也取得了很大进步 今年 由于 Continuity、 Apple 钱包和 iCloud 钥匙串的更新 管理式 Apple ID 的性能 变得更为强大 应用也更广泛 随着信息技术管理员的 控制范围进一步扩大 他们的用户登录工作中需要的 App 和服务时也更为轻松 在其他应用场景下 管理式 Apple ID 还可以用于注册设备 并且将个人隐私和工作数据分开 为了让管理式 Apple ID 适用于更多组织 我们还在 Apple 校园教务管理 和 Apple 商务管理中 添加了 OpenID Connect 支持 这样 支持该协议的任何身份提供程序 都可以和管理式 Apple ID 连接 记得观看讲座“使用管理式 Apple ID 实现更多功能” 了解更多信息 管理式 Apple ID 和新版声明式设备管理配置选项中 新增了 iCloud 钥匙串 企业现在可以使用 密钥实现无密码化 关于该主题的更多信息请观看讲座 “如何在工作中部署密钥” 声明式设备管理性能 得到了显著增强 部署 App、证书甚至在 macOS 上 管理公共服务配置文件 都可支持新的方式 软件更新也采用声明式设备管理 信息技术管理员现在可以 在特定截止日期前强制执行软件更新 从而进一步提高用户透明度 请观看讲座“声明式设备管理的改进” 获取更多详细信息 今年 Apple Watch 也实现支持设备管理功能 现在 Apple Watch 可以在移动设备管理中注册 工作应用场景进一步增加 若想了解该功能的 详细工作原理和应用方法 请观看讲座 “探索 watchOS 管理” 在本期讲座中 我们会重点介绍以下内容： macOS 如何帮助组织 更轻松地满足安全要求、 如何在更多地方 使用你的身份提供程序、 iOS 和 iPadOS 如何更好地支持 常见使用案例 以及蜂窝网络的新功能 除此之外 我们还会讲解 Apple Configurator 如何帮助 减少手动操作并提高自动化程度 我们先从 macOS 开始说起 首先 有请我的同事 Jonathan 来讲解相关内容 Jonathan： 谢谢你 Patrick 大家好 我是 Patrick 是 Device Management 团队的一名工程师 很高兴今天能在这里向大家介绍 macOS 14 一些新增的 非常棒的设备管理功能 先来看一下自动化设备注册功能 该功能可以让你的用户体验到 顺畅的注册及设置流程 但我们明白 很多组织希望 在注册 Mac 和用户首次登录之前 也要确保某些安全配置已经到位 比如说 有些组织希望 确保文件保险箱已经打开 设备已切换至特定版本的操作系统 并已注册到移动设备管理中 今年 自动化设备注册流程 有了很多重大改进 比如文件保险箱 macOS 14 允许移动设备管理 在设置助理运行期间要求启用文件保险箱 信息技术管理员可以自由选择 是在设置助理界面显示 文件保险箱恢复密钥 还是将其托管给移动设备管理 此外 为了满足注册需要 移动设备管理还可以将设备 切换到特定的操作系统版本 如此一来 可以确保 设备在投入生产之前 就切换至必要的操作系统版本 设备请求发送注册配置文件后 移动设备管理会发出一个 JSON 403 响应 如果需要最低操作系统版本 用户会收到更新 Mac 的引导 直至完成更新 重启也会自动执行 完成以上步骤后 Mac 会返回设置助理面板 以便用户完成注册及设置

最后 我们还增加了安全措施 以确保用户在建立网络连接后 能完成设备自动化注册

目前 如果 Mac 在初始设置期间 没有连接到网络 系统就会跳过移动设备管理注册 屏幕上会出现请求注册的通知 今年 我们推出了全屏设置助理 极大地提升了用户体验 网络连接成功后 “设置助理”会提示两个选项： 继续注册或“暂时跳过” 若选择后者 用户需在注册移动设备管理前 8 小时内完成注册 特别提示 用户仍然可以 随时进入系统设置 完成注册 在 macOS 14 新功能的帮助下 用户和信息技术管理员 可以确保数据安全、 设备能切换至正确的操作系统版本 以及设备在移动设备管理中 已受监管 我们相信你一定会喜欢 ⾃动化设备注册的新功能 设备配置完成 并注册到移动设备管理之后 你需要访问 App 和网站 为了确保只有经过授权的个人 才能访问其公司数据 用户身份验证非常重要 然而 验证通常需要 很多种数字身份 单点登录平台可以解决该问题 之前 在 macOS Ventura 的 单点登录平台上 组织的身份提供程序账户 可以执行一次身份验证 并访问用户 应有权访问的所有服务 今年 我们新增了许多很棒的功能 并改进了单点登录平台 用户现在可以在 macOS 的更多地方 使用其公司身份 系统设置现在也可以显示 单点登录平台的状态 你可以修改你的注册信息 或用你的身份提供程序重新验证 许多使用共享设备的组织 也希望在登录时创建新用户 新用户在登录窗口使用其组织的 身份提供程序提供的凭证 进行身份验证时 单点登录平台现在还支持 按需创建本地账户 该功能需要使用 共享设备密钥来启动 此密钥可以保障设备维护 与独立于特定用户的 身份提供程序之间的可信连接 本地账户的创建要满足几个要求： 第一 Mac 需能够连接到 身份提供程序； 设备需要在文件保险箱 解锁的情况下处于登录窗口； 最后 组织的移动设备管理 必须支持 Bootstrap 令牌 只有满足以上三个条件 用户才可以使用他们的 身份提供程序的用户名和密码 或智能卡来创建账户 现在 有了这项新功能的支持 智能卡就可以用于登录窗口 和屏幕保护程序中的身份验证了 身份验证成功后 身份提供程序分组 可用于分配用户权限 移动设备管理配置文件可以定义 要使用以下哪一个访问级别： 标准用户权限、管理员权限 或由分组成员定义的权限 同一配置文件还可以定义 身份提供程序分组 如何映射到 Mac 上的本地分组 通过网络授权 我们将分组管理的概念 扩展到没有本地账户的用户 这样就可以在获得 授权提示时使用他们

请注意 专门提供给 当前登录用户的授权提示 不能用于非本地用户 也不能用于具有 SecureToken 或所有权权限的用户 我们来看一下如何进行配置的示例 在这个可扩展的 单点登录配置文件中 单点登录平台分组会员资格 是在新的单点登录平台字典中 完成配置的 用户授权模式为“分组”时 分组会员资格会应用于本地用户 EnableAuthorization 为 true 时 网络账户也会使用相同的分组 对于 AdministratorGroups 来说 不论是本地用户还是非本地用户 只要是此数组中所列出分组的一部分 就可以在管理员授权提示中使用

特定分组 AuthorizationGroups 用于 授予对特定受限权限的访问权限 该特定受限权限由授权数据库定义 在本示例中 用户不需要管理权限 就可以在系统设置中 修改打印机配置 如果没有本地分组的话 AdditionalGroups 数组中的一个条目 会创建一个本地分组 可以 在本地目录服务中找到该本地分组 在本示例中 sudo 的配置被改为使用该分组 用户身份验证的 另一方面是密码管理 我很高兴能介绍 我们在该领域所做的改进 在企业或学校 密码安全至关重要 在有些场景中 需要运用的密码复杂程度 已经超出了之前选项的配置能力 今年 我们允许将密码政策 定义为正则表达式 进一步提升了配置的灵活性 但由于正则表达式的 使用难度可能较大 因此 请尽可能使用 现有的密码政策选项 我们还增加了性能更强大的 密码合规性管理 在 macOS 14 上 我们改变了 密码合规性的显示方式 如果采取了更严格的密码政策 用户会收到一则通知 上面会说明该密码可能不符合要求 但只有当密码不符合 已安装的有效负载政策时 这个通知才会出现 用户下次登录时将检查 是否满足合规性 如果不满足 也会显示通知 用户可以选择立即更改或稍后更改 如果用户选择稍后更改 那么 之后每次登录时 都会跳出相同的通知 直到密码更改至符合要求 接下来一下介绍 提升 Mac 安全保障的一些新措施 组织有时希望能限制 用户或管理员在 Mac 上 配置设置的权力 为了满足这一要求 之前的整个系统偏好设置窗格 都是隐藏起来的 由于引入了系统设置 所以才能实施精细的管理 管理员现在可以不用隐藏整个窗格 而是直接限制对特定设置的修改 该特定设置现在显示 关于其管理状态的标签 现在我们在 macOS 14 中 引入了新的限制 禁止用户修改 Apple ID 登录账户和互联网账户、 添加本地用户账户、 阻止时间机器备份等操作 去年我们推出了 Managed Device Attestation 这项安全保障功能使用了 安全隔区的证明功能 设备在发送请求时 会提供自身相关的有力证据 Managed Device Attestation 是指可信赖的 合法设备在访问资源 且已阻止攻击者 该功能是通过提供 关于设备的这些保证实现的 只有在围绕受管设备构建的 部署模型正确地使用证明的情况下 该构建块才能提供安全保障 这里给出了一些部署模型 供各组织参考 第一个模型可向移动设备管理服务器 证明设备的身份 并且不会将其他服务器牵涉进来 同时 有一个自动化证书管理环境服务器 会集成到移动设备管理服务器中 仅用于给移动设备管理颁发证书 移动设备管理服务器 还使用了 DeviceInformation 证明 来监视设备的属性 在这个模型中 为确保安全需求得到满足 务必同时使用 自动化证书管理环境证明 和 DeviceInformation 证明 来了解它所监管设备的所有信息 第二个模型中 自动化证书管理环境 服务器拥有最高的权限 自动化证书管理环境服务器 从属性的证明开始执行信任评估 并决定是否颁发证书 颁发的证书中可以包含 贵组织所需的任何内容 与设备连接的后续服务器 也称为依赖方 不需要执行任何额外的任务 第三种模型中 自动化证书管理环境 服务器不会执行信任评估 它只是将证明中的设备属性 复制到了颁发的证书中 然后由依赖方执行自己的信任评估 需要注意的是 你可以组合运用各个模型中的概念 以便适应你的应用场景 我非常高兴地宣布 我们今年已经将 Managed Device Attestation 正式引入了 macOS！

和 iOS 一样 macOS 也支持 Managed Device attestation 的所有功能 此外 在 macOS 上 基于这些相同的可靠设备属性 自动化证书管理环境认证 可以提供硬件绑定密钥 提示一下 硬件绑定密钥 存储在数据保护钥匙串中 这些密钥可用于 VPN、 802.1x、Kerberos、Exchange 和移动设备管理等服务 想要了解有关 Managed Device attestation 工作原理的更多信息 请观看去年 WWDC 会议中的视频 “探索 Managed Device Attestation” 我们还为证明证书添加了新的属性 包括 SIP 状态、安全启动引导状态 以及是否允许第三方内核扩展 所有支持 Managed Device Attestation 的平台 也新增了一些属性 新的属性将证明以下内容的真实性： 低级引导加载程序版本、 操作系统版本以及 Software Update Device ID 新的安全隔区注册 ID 属性 将证明与注册联系了起来 如果两个不同的证明 具有相同的 ID 那么 你可以非常确定 这两个证明来自同一个设备 如果设备先取消注册再重新注册 ID 会发生变化 不同的服务器可以 通过比较安全隔区注册 ID 来验证它们是否正在 与同一台设备通信 由于这些新属性都不能识别设备 因此它们可用于所有注册类型 我们已经介绍了很多内容 包括配置文件更新 以及新的限制等 但是还有更多的管理更新 等待着你去探索 接下来 了解一下 我们在 App 管理方面的改进 通过移动设备管理 可以安装 App 这已经有很多年了 macOS Big Sur 引入了受管的 App 此类 App 支持配置和反馈、 取消注册时自动删除 以及通过移动设备管理 删除 App 等 之前 要想方便地管理 App 程序包中必须有单个 App 安装在 /Applications 中 在 macOS 14 中 我们现在增加了 InstallApplication 命令的功能 这样程序包就可以 安装多个 App 了 程序包安装 到 /Applications 中的任何 App 都将被视为已受管 并且 可通过移动设备管理单独删除 需要注意的是 安装在 /Applications 之外的内容 不会被跟踪 所以我们强烈建议 使用独立的 App 哇 我们已经介绍了这么多 出色的 macOS 更新了 现在 我要把时间 交给 Patrick 他会介绍我们在 iOS 和 iPadOS 上所做的改进 交给你了 Patrick

Patrick： 谢谢你 Jonathan 很高兴为大家介绍我们 在管理 iOS 和 iPadOS 设备方面 进行的一些很棒的改进 在许多部署中 设备会相当频繁地 从一个用户传递给下一个用户 虽然可以远程抹除设备 但要让设备恢复使用需要手动操作 因为需要有人亲自触摸设备 完成设置助理的一些步骤 今年 我们引入了 iOS 和 iPadOS 的恢复服务 所以 额外的手动步骤得以取消 原理是这样的： 移动设备管理服务器 向设备发送抹除命令 该命令中的附加信息 可以实现设备重置、 安全抹除所有数据、 连接 Wi-Fi、注册移动设备管理 最后返回主屏幕 以备使用 要实现此行为 可以在 EraseDevice 命令中 添加一个额外的字典 该字典中需要包含 Wi-Fi 配置的配置文件 以便设备在被抹除后 能够连接 Wi-Fi 作为替代方案 该设备也可以通过不同的方式 连接到互联网 比如共享网络连接 其次 该字典应该包括一个 含有必要注册信息的配置文件 如果设备 是在 Apple 校园教务管理 或 Apple 商务管理中注册的 则此配置文件可以省略不要 这将触发设备在激活期间 检查注册配置文件 在该过程中 先前选择的语言和地区会保留

现在 我想介绍一下 我们认为与教育机构 有密切关系的几项改进 对于教师来说 开始上课的环节可能会很有压力 教师必须确保所有人 都已签到并准备就绪 如果是个大一点的班级 这项任务会更具挑战性 为了让签到过程更简单快捷 我们推出了学生版简易签到流程 在启动该签到流程前 教师需要先登录 自己管理的 Apple ID 同时 学生也需要在设置中 打开 iPad 的 iCloud 登录视图 两个 iPad 靠近后 教师的那台 iPad 就会打开一张签到感应卡 然后教师点击“学生继续签到” 教师 iPad 上的感应卡 就会转换为相机扫描页面 学生 iPad 上的视图 会出现粒子云 然后教师拿 iPad 扫描粒子云 继续选择其他学生 除此之外 教师可以选择一个班级 来查看当前的学生名册 也可以使用搜索栏 来查找学生的名字 在该画面中 老师点击了“数学”课 所选班级的学生 将会准确地列表显示出来 教师随后选择 Allison 登录学生 iPad 设置好 iPad 后 教师成功确认 学生的 iPad 成功签到 简化签到流程 需要满足几个前提条件 首先 教师和学生必须位于 同一个 Apple 校园教务管理位置 其次 两个设备需要 在物理上真实地靠近 最后 如果学生使用个人设备 他们需要先在收到的提示中 授权教师启用此功能 除此之外 登录共享 iPad 也变得更加容易 在新版 AwaitUserConfiguration 的帮助下 移动设备管理解决方案 可以在用户身份验证后 将设备停留在登录过程中 直到所有必要的配置都已应用完毕 该过程有点类似于 在使用自动设备注册的设备上 已经存在的一个流程 并且确实需要移动设备管理服务器 通过特定的移动设备管理命令 将设备从该状态中释放出来 为进一步简化登录流程 移动设备管理解决方案可以使用新的 SkipLanguageAndLocaleSetupForNewUsers 键 该键可以让设备在首次登录时 不显示相应的选择屏幕 移动设备管理解决方案 还可以应用系统默认值 如果有一台共享 iPad 仅供临时用户使用 那么现在 该临时用户的配额配置 在该设备上可以获得支持了 这为信息技术管理员 在用户登录时预留了足够的空间 来分配新的 App 和内容 下一个话题 将介绍 iPhone 和 iPad 部署的 另一个关键要素：蜂窝网络连接 我们了解到 许多组织都很想体验 专用 5G 和 LTE 网络 带来的强大新功能 常见的使用案例包括在没有 Wi-Fi 或 Wi-Fi 不能用的大面积区域 提供网络连接 从去年开始 iPad 设备支持 私有 LTE 和非独立 5G 网络 而且能够通过设备管理安装 eSIM 我们正在为支持 5G 的 iPhone 机型 添加相同的功能 这样两个平台上就都具备 连接到私有独立 5G 网络的能力了 要想搜索并关联专用网络 必须要装一张可用的 SIM 卡 这个过程可能会很费电 特别是当网络不可用时 得益于硬件和软件的紧密协作 我们成功创建了一种高能效的方法 即仅在需要时启用 SIM 卡 如此一来 组织可以定义 设备监控的一组地理位置 只有它进入其中一个位置后 专用网络的 SIM 卡才会被激活 根据网络质量测量结果 iPhone 和 iPad 设备 会智能选择质量最佳的蜂窝 SIM 卡 进行数据连接 还有一个可选项 组织还可以 定义设备优先连接专用网络 优先级甚至可以 比潜在可用的 Wi-Fi 网络还高 我们还增加了 5G 网络切片支持 这允许将单个受管的 App 分配到一个网络切片 该网络切片可以提供特定的网络功能 和特性来优化 App 使用体验 使用移动设备管理 App 安装命令 或者声明性 App 配置中 新的 CellularSliceUUID App 属性 都可以完成分配 支持运营商需提供 要放入密钥的网络切片的字符串值 需要注意的是 如果特定 App 或整个设备中的 任何一个配置被调为使用 VPN 那么 5G 网络切片将不会被调用 接下来 一起来了解 最后一个连接性方面的更新 我很高兴能向你介绍一种安全访问 企业网络资源的新方法： 中继 中继是 iOS、iPadOS、macOS 和 Apple tvOS 本身就支持的安全代理 也是使用 VPN 访问企业资源的一项替代方案 该方案可以提供更好的用户体验 并且更易于管理 移动设备管理使用一种新类型的 配置文件有效负载就可以配置中继 而无需安装 App 或者也可以使用 NetworkExtension framework 中的 NERelayManager API 进行配置 这些配置可以应用于 受管的 App、域 或整个设备 并可以与 iCloud Private Relay 结合使用 旨在保护用户 在访问企业资源时的隐私 若想进一步了解这一内置的 保护流量的新方式 请观看讲座“准备、设置、中继： 使用网络中继保护 App 流量” 除此之外 还有更多新的配置可能性 比如在设备自动注册期间 请求最低版本 除了 macOS 常见的功能外 还有一些特定平台的改进 比如在 iOS、iPadOS 甚至在 Apple tvOS 上 为以太网配置 802.1x 身份验证 以及让点击支付 App 使用更简便、更安全等 提醒一下 在未来的版本中 我们将执行之前宣布的弃用 我们将从 DeviceInformation 查询中删除 APN 有效负载 以及顶级蜂窝网络密钥 请改用 com.apple.cellular 有效负载 和 ServiceSubscriptions 响应 同样 在未来的版本中 我们还将更改列出的限制 以便监督 此外 有些限制将只适用于 在设备上登录的个人 Apple ID 还有很多新功能无法一一介绍 比如 Apple TV 增加了 VPN 支持 所有信息都详细地列在文档中 请记得查看 此外 关于 iPhone 版 Apple Configurator 我们也带来了激动人心的消息 iPhone 版 Apple Configurator 自推出以来 许多信息技术管理员一直在用它 来向他们的 Apple 校园教务管理 或 Apple 商务管理组织中 添加设备 添加设备分为两步 第一步 先将设备添加到组织中

第二步 担任 Device Enrollment Manager 角色的用户 需要登录进 Web 门户 并将设备分配给 正确的移动设备管理服务器 今年 用户可以在 Apple Configurator 中 自动将每台设备分配给 移动设备管理服务器 用户分配设备有三个选项： 不分配给移动设备管理服务器、 分配给为其类型配置的 默认移动设备管理服务器 （例如 Mac 或 iPad）、 分配给组织的其中一个 移动设备管理服务器 用户使用 管理式 Apple ID 登录后 会自动获得可用的 移动设备管理服务器列表 接下来 了解一下 Mac 版的 Apple Configurator 该工具用来配置 iOS 和 iPadOS 设备时非常有帮助 而且有助于同时 在多个连接设备上执行操作 今年 为了让这些工作流程更为自动化 我们新增了很多快捷指令操作 在快捷指令的帮助下 信息技术管理员 可以通过 Apple Configurator 的 操作来构建强大的自定义快捷方式 这些快捷指令操作可以更新、恢复、 抹除和准备 iPhone 和 iPad 设备 不论设备处于连接还是断开状态 快捷指令都可以触发运行 如果将这些附加功能 与移动设备管理提供的操作相结合 你将拥有一个 功能非常强大的自动化工具箱 下面的示例展示了一个简单的快捷指令 如何调用 Apple Configurator 操作 这是一个配置 iPad 的 基本快捷指令 首先 我们重置设备 安装最新版本的 iPadOS 然后设备会使用自动化设备注册 来注册移动设备管理 并完成设置助理的所有步骤 最终将其显示在主屏幕上 由于 Mac 共享了它的互联网连接 并启用了内容缓存 所以 Mac 从移动设备管理服务器 接收到了命令 开始快速安装 App 完成后 快捷指令将使用 单独 csv 文件中的资产标签号 来更新移动设备管理服务器 快捷指令完善后 你可以使用 Apple Configurator 中 快捷指令的新设置 在每次连接或断开设备时 运行 Apple Configurator 如果你是移动设备管理开发人员 我们认为提供快捷指令的 简易操作集成非常重要 如果需要从你的产品 向设备发送命令 客户会希望与你的移动设备管理服务器 交互的过程能更加轻松 他们还希望将资产标签号等信息 发送回你的产品 以便更新设备信息 我们非常期待 你对新功能的充分利用！ 对 iOS 及 iPadOS 上的 更新就介绍到这里 在本讲座中 我们介绍了许多功能改进 一起来回顾一下吧 正如 Jonathan 所提到的 为确保设备处于所需的状态 macOS 为组织提供了新的选项 我们还介绍了基于你的身份系统 创建和管理本地用户账户的新方法 Mac 新增了 Managed Device Attestation 功能 后者在所有支持的平台上 都新增了属性 在 iOS 上 我们介绍了一种 让设备重新恢复使用的简单方法 以及对教室设置 和共享 iPad 的重大改进 我们还介绍了 iPhone 和 iPad 增加了对私有蜂窝网络的支持 此外 我们还了解了 用 Apple Configurator 来简化注册设备的过程 以及它提供的创建 强大自动化功能的新选项 我们已经迫不及待地想让你 体验到这些强大的管理新功能 我们期待你的反馈 非常感谢观看本期视频 ♪ ♪