设备管理方面的新动向

大家好 我叫 Mike 是一名工程经理 来自 Device Management 团队 很高兴能为大家分享今年 Apple 设备管理方面的新功能 Apple 的使命是打造 能够丰富人们生活的产品 我们认为 在教育和商务领域的努力 是实现这一目标的要素之一 全球各地的学校和办公室 都在使用 Apple 设备 以提高各年龄段用户的 学习能力和工作效率 我们希望 IT 管理员 能够让用户轻松使用 设备做一些了不起的事情 在本讲座中 我们将介绍面向 IT 的新功能 帮助他们部署和管理 Apple 设备 还会探讨开发者 如何在所选的 MDM 和身份解决方案中实现这些更新 首先 我们将介绍 Apple 商务管理 和 Apple 校园教务管理 的新增功能 然后介绍 Apple 平台 迎来的管理更新 最后介绍教育专用工具的增强功能 我们先从 Apple 商务管理 和 Apple 校园教务管理开始吧 这些基于网页的免费门户 可配合第三方 MDM 解决方案 帮助 IT 管理员轻松部署设备、 查看库存、批量购买 App 以及管理用户账户 我们先来介绍部署功能 有了自动化设备注册功能 IT 团队就可以 直接向用户分发设备、将设备 注册到 MDM 中、自定设置体验 并确保设备已准备好接受管理 所有这一切都无需实际接触设备 自动化设备注册功能适用于 Mac、 iPhone、iPad 和 Apple TV 很高兴告诉大家 今年 这项功能将登陆我们最新的设备 Apple Vision Pro！ 借助 visionOS 2.0 IT 团队就能在设置助理中自动 将 Apple Vision Pro 注册到 MDM 就像注册现有其他 Apple 设备一样 已购买 Vision Pro 的组织 在将这些设备 与 Apple 客户编号关联后 就能够在 Apple 商务管理和 Apple 校园教务管理中访问设备 Device Assignment API 集合目前 包含适用于 Vision Pro 的值 我们稍后将在讲座中详细介绍 有关 Vision Pro 的内容 自动化设备注册功能 还推出了其他更新 将继续使 IT 团队 更轻松地部署 Apple 设备 macOS 15 上的 自动化设备注册功能 目前支持 WebAuthN 网页验证 借助 ASWebAuthenticationSession 公钥加密技术 简化了注册自定 并确保了这一流程的安全性 而且还支持安全密钥和通行密钥 非常适合高度受监管行业 最后 和往常一样 记得查看相关文档 了解有关新增和扩展的 设置助理跳过键的信息 例如 用来跳过 iOS 欢迎界面的键 目前同样适用于 macOS 另请注意 设置助理有效负载中的 SkipSetupItems 数组 现已适用于 macOS Apple 商务管理和 Apple 校园教务管理 便于集中一处查看 组织拥有的所有设备 我们来看看设备方面新增的功能

你可以在这个屏幕上看见组织 所拥有设备的整体视图 在这里 可以看到设备列表中列出了 Apple Vision Pro 和 Apple Watch Apple Vision Pro 和 Apple Watch 都可以 在购买时自动添加到组织中 Apple Watch MDM 注册 在配对过程中进行 但 Apple 商务管理 和 Apple 校园教务管理中的 其他管理功能 也适用于组织拥有的设备 比如 ActivationLock 我们致力于解决各地 IT 团队 提出的一个常见问题 当设备被抹掉或锁定时 激活锁可以 防止未经授权的用户 使用这个设备 但在某些情况下 激活锁会无意中打开 这意味着无法重新预置设备 在 Apple 商务管理 和 Apple 校园教务管理中 现在可为组织拥有的设备 关闭激活锁 管理员只需选择设备 打开菜单 然后选择 “Turn Off Activation Lock”

这项功能适用于 iPhone、iPad、 Mac、Apple Watch 和 Vision Pro 当然前提是设备在组织内

这项功能对组织激活锁 和用户激活锁均适用 尤其是对于 Mac 即使用户在 Mac 注册 MDM 之前 使用个人 Apple 账户 启用了激活锁 组织也可以将激活锁关闭

以上都是 Apple 商务管理 和 Apple 校园教务管理中 部署和设备方面的重大更新 接下来我们将讨论身份方面的内容 管理式 Apple 账户 是一种特殊的 Apple 账户 专门供企业或学校等组织使用 这种账户允许组织同时拥有 账户和账户中的数据 对任何部署而言 都是必不可少的关键要素 去年 我们对管理式 Apple 账户 进行了重大更新 为连续互通、“Developer”和 通行密钥等大量 Apple App 和服务 提供了 iCloud 支持 我们认为所有组织都应采用 管理式 Apple 账户 我们正在努力让组织 能够更轻松地开始采用 我们简化了域捕获流程 同时提供更多选项来确保 所有账户都在使用组织的域 如今 如果组织希望在自有域上 创建新的管理式 Apple 账户 则需要验证自己的域 不过 个人 Apple 账户仍可使用 这个域 但不会成为受管理账户 除非连接到身份提供方 这个提供方允许 在你的域上屏蔽新账户 以及捕获现有的不受管理的账户

今年 IT 管理员将能够限制 在相应域上创建的新 Apple 账户 但只能是管理式 Apple 账户 对于希望确保能够管理和拥有 使用组织域名的所有 Apple 账户 的组织来说 管理员现在无需连接身份提供方 就能捕获使用 相应组织域名的 Apple 账户

现在 当组织启动流程以捕获 使用相应域名的 Apple 账户时 系统会要求用户选择 一个不同的电子邮件地址 虽然这样可以释放账户名 以便重复使用 但我们知道 即使 在管理式 Apple 账户推出之前 许多账户也只是为了工作而创建的 因此 今年用户还可以 选择将现有账户 转换为管理式 Apple 账户 这会自动将账户添加到 Apple 商务管理和 Apple 校园教务管理中的组织 如果用户在 30 天后 还未做出选择 这个账户仍将是个人账户 且系统将自动重命名

Apple 商务管理和 Apple 校园教务管理 是组织的重要工具 借助这些功能 IT 团队可以更轻松地 管理组织的设备 并开始使用管理式 Apple 账户 而 Apple 商务必备的用户 也可以使用这些功能 接下来 我们看看你所管理的设备 新增了哪些新功能 管理软件更新 是所有平台的一项常见任务

确保设备始终保持最新状态 是组织环境中设备管理的 重要组成部分 去年 我们发布了 按特定日期和时间 强制执行更新的功能 今年 我们将推出 新的软件更新设置配置 它将取代所有传统的 MDM 软件更新管理命令、 描述文件和限制 这种声明可用于装有 iOS 和 iPadOS 18 以及 macOS 15 或更高版本的受监督设备 以管理软件更新的所有方面 而且还包含新功能 新增了一种更改通知行为的方法 以便只在强制执行时间 和重启倒计时 前一小时显示通知 还可以管理 Beta 版更新 现在 管理组织内对公共或 AppleSeed for IT Beta 版计划的 参与情况比以往任何时候都要容易 首先 需要由 Apple 校园教务管理 或 Apple 商务管理中 拥有管理员角色的用户 在 beta.apple.com/it 上 注册 AppleSeed for IT 可随时使用组织令牌 将设备添加到 Beta 版计划中 用户无需使用 Apple 账户 登录设置页面

与软件更新和升级类似 这些计划提供的 Beta 版本 可在受监督设备上 强制执行和推迟执行

声明式状态报告提高了曝光度 有助于组织跟踪受管理设备的 Beta 版计划注册情况

我们来看看令牌的生成和检索方式 首先 需要由 Apple 校园教务管理 或 Apple 商务管理中 拥有管理员角色的用户 在 beta.apple.com/it 上注册 接下来 系统会为这个组织 和种子期生成唯一的令牌 为了检索令牌 MDM 会检查 操作系统 Beta 版注册令牌端点 以查找可用的计划 与其他服务端点类似 MDM 解决方案必须 使用 OAuth 进行身份验证 最后 系统会将计划令牌返回至 Apple 商务管理 和 Apple 校园教务管理 然后再返回至 MDM

将设备注册到管理中后 MDM 解决方案可以使用这些令牌 通过新软件更新声明中的 Beta 版词典 邀请、注册、取消注册以及阻止 受监督的 iPhone 和 iPad 设备 参与 Beta 版计划 此外 从 iOS 和 iPadOS 17.5 以及 macOS 14.5 开始 Beta 版计划可在设置助理的 自动化设备注册过程中进行设置 在注册期间 MDM 解决方案可以返回 包含 403 状态代码的 HTTP 响应 以强制执行 特定的 Beta 版本 并在响应正文中 加入 JSON 或 XML 对象

响应的正文可以包括 RequireBetaProgram 词典 其中必须包含以下键 以便设置 Beta 版计划： Description 即 Beta 版计划描述 以及 Token

在 Beta 版计划中注册设备后 即可获得后续的 Beta 版更新 利用可用的配置选项 组织可以将不同的设备 远程注册到不同的 Beta 版计划中 再结合推迟 Beta 版 和生产版发布的选项 就可以实施分段测试和推出的方法 而且是从第一个 Beta 版本开始 在新的软件更新文档中 系统提供了 丰富的软件更新管理详情 这个文档可从 AppleSeed for IT 下载 接下来 我们了解一下 Safari 浏览器管理方面的新功能 Safari 浏览器是最适合 Apple 设备的浏览器 具有业界领先的速度 和持久的电池续航时间 今年 IT 专业人员可以 更轻松地管理组织用户 在 App 中的操作 很高兴告诉大家 现在可以在 iOS、iPadOS 和 macOS 上 管理 Safari 扩展 利用新的 Safari 扩展配置 你可以 定义允许使用的扩展 让用户能够打开或关闭它们 控制扩展是始终打开还是始终关闭 让 IT 管理员 根据机群的需要进行选择 按域和子域配置扩展网站访问权限 而且所有这些功能还可与 Safari 浏览器无痕浏览结合使用

当然 Safari 浏览器还 为用户提供了视觉指示 显示哪些扩展处于受管理状态 下面我们来看看 Apple Vision Pro Vision Pro 将数字内容 与现实世界无缝融合 为企业和教育行业 提供了颠覆性的功能 我们已经看到 在工作效率、协作式设计、 模拟和培训以及引导式工作方面 涌现出了许多企业用例 对于开发者 请观看“为你介绍 适用于 visionOS 的企业 API”讲座 进一步了解我们如何助力企业客户 实现更多用例 为了支持大规模部署 在今年早些时候推出的 visionOS 1.1 中 我们将 MDM 引入了 Vision Pro 对于 IT 团队 最好将 Vision Pro 的管理方式 与目前管理 iPhone 和 iPad 的方式保持一致 因为它使用的设备管理和基础架构 与 IT 目前使用的设备管理 和基础架构完全相同

visionOS 1.1 支持 两种注册类型 设备注册和用户注册 对于这两种注册类型 用户只需使用自己的 管理式 Apple 账户登录即可

在“设置”App 中 用户导航到 “通用”>“VPN 与设备管理” 然后选择“登录工作或学校账户” 管理职能和功能对用户透明 可向用户显示 IT 为所用设备配置的功能 通过采用了 管理式 Apple 账号的 设备注册或用户注册 也能 在 iCloud 云盘、“备忘录” “提醒事项”等 App 和服务中 实现数据分离 这是 iCloud 云盘内部的 数据分离示例 用户的个人 iCloud 云盘 会出现在公司 iCloud 云盘旁边 这个云盘与用户的 管理式 Apple 账户相关联 即使是在组织拥有的设备上 短信和照片等个人数据 也始终保持私密性

正如前面所说 visionOS 2.0 增加了第三种注册类型 对于组织拥有的设备 自动化设备注册现在可用于 零接触部署 与 iPhone 和 iPad 一样 这也会启用监督功能 在设置助理中 用户会看到 新的“Remote Management”屏幕 这个屏幕说明设备归组织所有 并提示用户完成 MDM 注册 注册完成后 IT 团队可以 配置各项设置并部署 App 适用于 iPhone 和 iPad 的 App 部署流程 这时同样适用 可直接将 App 部署到设备上 并确保这些资源处于受管理状态 对于 MDM 开发者 Apps and Books for Organizations API 目前包含有关 App 与 visionOS 兼容性的信息 除了自动化设备注册功能外 我们今年还借助 新的配置和有效负载、 新的 MDM 命令 以及许多新的限制 大大扩展了 Vision Pro 的 管理功能 visionOS 2.0 现支持 大多数配置和有效负载 包括密码策略、域名 和网页内容过滤器有效负载 此外还有许多新的 MDM 命令 例如 DeviceConfigured、DeviceLock 以及各种 Settings 子命令 最后还有最常用、最相关的 各种限制 其中大多数限制的工作原理 与 iOS 和 iPadOS 类似 包括“受管理的打开方式”限制、 账户修改 另外 对于 allowCamera 我们进行了 特别的设计调整 这是因为考虑到 Vision Pro 是一款 以摄像头为中心的设备 例如 当用户截屏时 背景会被移除 只截取活跃窗口 借助 visionOS 2.0 我们扩大了 对 Apple Vision Pro 的管理 以支持大部分 MDM 有效负载、 配置和命令 管理 Vision Pro 与 管理 iPhone 或 iPad 一样简单 接下来 我们谈谈 Mac 去年 我们增加了 对安装服务配置文件的支持 比如 sudo、PAM 和 SSH 我们鼓励社区成员 将这个功能用于管理 他们自己的配置文件 今年 我们在服务配置文件中 增加了对可执行文件的支持 使管理员 能够在防篡改位置 安装 IT 管理工具和其他脚本 所有脚本都采用 相同的 zip 存档格式 此外 现在还可以使用 后台任务服务配置 来安装 launchd 配置文件 这为 IT 部门创建和控制后台任务 提供了一种简便的方法 而后台任务也会储存在 一个安全且防篡改的位置 对于受监管的行业 我们知道 控制 Mac 电脑上 可以使用的外部数据源 是至关重要的 今年 我们很高兴推出了 新的磁盘管理配置 方便 IT 管理员管理 外部存储和网络存储 IT 管理员可以选择 是否允许或完全不允许 外部存储或网络存储 甚至可以选择 是否将挂载限制为只读卷 这一新配置取代了之前弃用的 媒体管理有效负载 后者将在未来的版本中移除

使用平台单点登录 也称为平台 SSO 开发者可构建扩展至 macOS 登录窗口的 SSO 扩展 允许用户将本地账户凭证 与身份提供方 (IdP) 同步

今年 我们扩展了平台 SSO 的功能 因此你可以在更多地方 利用身份提供方提供的信息 身份提供方身份验证 现在可以解锁文件保险箱 登录策略现在可以要求 在文件保险箱、 登录窗口和锁定屏幕上 进行 IdP 身份验证 系统已添加更强大的安全选项 包括 HPKE 我们来快速了解一下示例配置 在这里 你可以看到 文件保险箱登录屏幕的 文件保险箱策略被设置为 AttemptAuthentication 在这种情况下 会先尝试进行 IdP 身份验证 但是如果服务器不可用 但用户提供了正确的凭证 用户仍能进行登录 对于 UnlockPolicy 可控制屏保的解锁状态 这里设置了 RequireAuthentication 这样一来 从屏保发起的登录操作 就会受到更多限制 除少数特定的例外情况外 在继续操作前必须进行 有效的 IdP 身份验证 这里设置了 AllowOfflineGracePeriod 因此 如果设备处于离线状态 就会使用 OfflineGracePeriod 来确定 用户是否可以 使用有效凭证继续操作 我们还看到 这里设置了 AllowTouchIDOrWatchForUnlock 这意味着生物识别技术和 Watch 可以代替 IdP 身份验证 来解锁屏保

最后 “描述文件”部分 已更名为“设备管理” 并移至“通用”下 从而与 iPhone 和 iPad 更加一致 现在 你还可以在“通用”中 找到“登录项和扩展”部分 现在我们来看看 iPhone 和 iPad 的更新内容 我们进行了多项 与蜂窝网络相关的改进 我们新增了两项限制 可以防止 eSIM 卡被删除 首先 抹掉时强制保留 eSIM 可防止用户在本地 抹掉设备时移除 eSIM 其次 允许 eSIM 外发转移 这样做可以控制 eSIM 是否可以转移到新设置的设备 现在 用户可以轻触并按住 二维码或点按链接 在正在进行设置的设备上 设置 eSIM 让用户比以往更轻松地 配置自己的设备 如果为某个 App 同时配置了 网络切片和每个 App 专属的 VPN 则受管理 App 中的所有流量 都将被路由到经过识别的 5G 网络切片 同时仍提供使用 VPN 的益处 并且 iOS 和 iPadOS 18 将支持多个专用蜂窝网络有效负载 最多可配置 五个专用 5G 或 LTE 网络 iOS 和 iPadOS 18 提供了新的控件 允许用户通过面容 ID、 触控 ID 或密码锁定 App 还允许用户隐藏主屏幕上的 App 组织可以通过两种方式管理用户 使用控件的能力 组织可以限制受监督设备上 所有 App 的锁定和隐藏 也可以根据每个 App 来控制 受管理 App 的锁定和隐藏 请注意 隐藏 App 也会将 App 锁定 因此限制锁定 App 的功能 也会限制隐藏 App 设备注册时 隐藏的 App 仍然对 MDM 可见 在用户注册时 MDM 仍可看到 隐藏的受管理 App

当你的 iPhone 离开熟悉地点时 比如家或工作场所 失窃设备保护功能 可为你增加一层安全保护 通过强制执行一小时的安全延迟 来防止窃贼 在你的 iPhone 上执行关键操作 比如注册 MDM、手动添加 Exchange 账户、 手动安装密码声明 或 Exchange 有效负载 在 iOS 18 中 我们新增了特殊的 例外处理 注册 MDM 时 在新设置的尚未添加 任何熟悉位置的设备上 启用失窃设备保护功能后 前 3 小时内不会造成安全延迟

从 iOS 和 iPadOS 18 开始 使用新团队身份安装内部 App 除了需要在“设置”中信任身份外 还需要重新启动 这个要求仅适用于未使用 MDM 进行安装的内部 App 每个新的团队 ID 都需要 重启一次设备 升级到 iOS 和 iPadOS 18 之前 受信任的任何团队身份都将被迁移 因此如果使用这个身份的 App 仍安装在设备上 则无需重启 我们介绍了很多内容 但除此之外 还有非常多的平台变更 例如 iPhone 镜像、 FaceTime 通话远程控制等限制 因此 请务必查看开发者文档 了解更多信息 接下来 我们来看看专为 教育设计的一些增强功能 借助“学生轻松登录”功能 使用管理式 Apple 账号 登录 iPad 的教师 可以使用这个设备 快速将学生登录到他们的设备 现在 随着 iPadOS 17.4 和 macOS 14.4 的发布 我们推出了一项新功能 可让使用管理式 Apple 账号 的教师 将“课堂”与附近的任何 iPad 和 Mac 设备搭配使用 无论账号状态如何 现在 “学生轻松登录”和 “‘课堂’中未受管理的附近班级” 都可在 Apple 校园教务管理的 “访问管理”部分找到 因此 管理员可以在自己的机构中 控制这些功能

“课业”是一款 iPad App 可帮助教师节省时间、 发现趋势、查看进度 并尽可能发挥每个学生的潜能 使用“课业”App 教师可以创建和发送作业、 课堂公告或学习提醒 而现在 随着课业 3.0 的推出 我们发布了全新的评估 和评分工作流程 在 iPadOS 17.5 及更高版本中 教师现在可以通过扫描 或导入现有文档来发送评估 支持的格式有 Pages 文稿、Numbers 表格、 Keynote 讲演、Google Suite 文档和 PDF 教师还可以对文档进行评分 并分析学生在每个问题上的表现 这些新的评估和评分功能 可帮助教师利用分析数据发现趋势 以及为学生提供个性化的学习体验 最后 借助评估模式 开发者可以配置自己的 App 在启动时停用某些硬件和软件功能 以创建一个安全的测试环境 从 iPadOS 17.6 开始 我们很高兴 能为 iPad 推出多 App 模式 其中包括备忘录、电子表格、 辅助 App、编码 App 等次要 App 当然还有适用于 iPad 的 新“计算器”App 为了确保对新的“计算器”App 进行定制以适合各类课堂 并为高强度的标准化考试 做好测试准备 我们为评估模式和 MDM 配置了内置功能 例如 关闭科学模式或数学笔记 以上只是教育方面的其中几项更新 请务必查看开发者文档 和开源架构文件 了解更多信息

现在我们来总结一下 我们对 Apple 商务管理 和 Apple 校园教务管理中的 域捕获功能进行了重大改进 让你可以更轻松地在组织中 部署管理式 Apple 账户 利用新的激活锁功能 恢复 无意中开启激活锁的组织设备 比以往任何时候都更容易 无论激活锁是由 MDM 启用 还是用户启用 利用新的软件更新控件 你可以从最早的 Beta 版开始 分阶段部署更新 IT 团队现在可以直接在 MDM 中 管理和启用 Safari 扩展 因此开箱即可为组织 定制 Safari 浏览器 此外 visionOS 2.0 中的更新 为 Apple Vision Pro 提供了最重要的 MDM 命令、 有效负载、声明和限制 感谢观看 祝你在 WWDC 度过美妙的时光