Novidades no gerenciamento de dispositivos Apple e identidade

Olá! Esta é a WWDC. Meu nome é Graham. Faço parte da equipe Device Management na Apple. Se você é responsável por implantar e proteger dispositivos Apple em uma empresa ou está desenvolvendo ferramentas de gerenciamento de dispositivos ou soluções de identidade, esta sessão é para você. Na Apple, acreditamos que bons produtos devem capacitar as pessoas, seja no local de trabalho ou na sala de aula. Nosso hardware, software e serviços são projetados para trabalhar juntos e proteger dados, aumentar a produtividade e criar experiências intuitivas que funcionam. Queremos que você proporcione experiências incríveis aos usuários enquanto atende às necessidades de segurança de sua empresa. Este ano, gostaríamos de mostrar como estamos indo ainda mais longe. Organizamos a sessão de hoje em torno de quatro tópicos principais. Primeiro, veremos as novidades nos serviços Apple, com atualizações do Apple Business Manager e Apple School Manager. Depois, falaremos das melhorias no gerenciamento de dispositivos, seguidas de novos recursos no gerenciamento de app. E, por fim, vamos nos aprofundar nas integrações de identidade. Vamos começar com os serviços Apple, a base para implantar e gerenciar dispositivos da Apple em grande escala. O Apple Business Manager e o Apple School Manager são serviços gratuitos baseados na web que funcionam com seu MDM para configurar dispositivos, comprar apps e gerenciar contas em toda a empresa. Vamos começar com algumas atualizações nas Contas Apple Gerenciadas. Essas contas são projetadas para o trabalho e a escola, atribuindo à TI a propriedade total da conta e dos dados associados. As equipes de TI podem configurar seu domínio e conectar seu provedor de identidade para habilitar a autenticação federada, permitindo que os usuários iniciem sessão com as credenciais que já usam.

No ano passado, possibilitamos que a TI bloqueie o domínio e assuma a propriedade das Contas Apple criadas com esse domínio. Quando for assim, os usuários serão guiados em um processo de atualização da conta.

Este ano, os administradores poderão baixar uma lista de Contas Apple pessoais em seu domínio, para que possam se comunicar com os usuários sobre a atualização das contas. Quando a atualização for concluída, os usuários terão acesso a todos os serviços fornecidos pela empresa, incluindo um novo serviço de autenticação de app. Além da autenticação de app, expandimos o gerenciamento de acesso para impedir que Contas Apple pessoais iniciem sessão em dispositivos de propriedade da empresa. Agora você pode garantir que apenas contas corporativas sejam usadas em dispositivos de trabalho. Isso inclui todos os lugares, como Assistente de Configuração e Ajustes do Sistema. Não há requisitos ou dependência do MDM. Essa nova configuração será aplicada a todos os dispositivos da empresa. Com essas alterações, queremos facilitar a adoção de Contas Apple Gerenciadas pela sua empresa. Como primeiro passo, recomendamos bloquear seu domínio para impedir a criação de contas pessoais. Então você poderá avançar para a captura de conta, federação e habilitação dos serviços de que os usuários precisam. Agora vamos falar sobre o inventário de dispositivos. Adicionamos mais informações aos dispositivos em sua empresa, como status do bloqueio de ativação e armazenamento de dispositivo. No início do ano, adicionamos informações de dispositivos móveis, incluindo IMEI e EID. Estamos também expandindo as informações sobre os dispositivos, para incluir quem os lançou e quando. Ainda este ano, adicionaremos endereços de Mac para Bluetooth e Wi-Fi no iPhone e no iPad. Isso será útil para empresas que dependem dessas informações para gerenciar o acesso à rede. Por último, mas não menos importante, adicionamos informações sobre a cobertura do AppleCare. Essas informações ajudarão as equipes de TI a acompanhar a cobertura e tomar decisões sobre reparos e substituições. Em geral, essas informações só podem ser visualizadas por meio de um navegador da web. Bem, hoje, temos o prazer de anunciar as APIs do Apple Business Manager e Apple School Manager para empresas. Com esse conjunto inicial de APIs, você pode interagir com os dados do inventário de dispositivos e com a atribuição do servidor MDM. Vamos dar uma olhada na lista de endpoints. Você poderá consultar informações sobre uma lista de dispositivos, atribuí-los a um serviço de gerenciamento de dispositivos, obter o status da atividade em lote e muito mais. Para começar a usar esse recurso, você começará criando uma conta de API, que só pode ser criada por administradores e gerentes de site. Então, você gera e baixa uma chave de API privada para usar com o app ou serviço. Isso leva ao conjunto final de atualizações do Apple Business Manager e do Apple School Manager, a implantação. O registro automatizado de dispositivos é a base da abordagem da Apple para o gerenciamento simples e fácil, permitindo a entrega de hardware sem que a TI precise mexer em cada máquina. Ano passado, estendemos isso para o Apple Vision Pro, mas sabemos que nem todos os dispositivos de uma empresa são comprados por meio dos canais usuais. Agora, no visionOS, o Apple Configurator para iPhone pode adicionar o Vision Pro à sua empresa, e funciona muito bem. Com o Vision Pro no Assistente de Configuração, aproxime um iPhone com Apple Configurator do Vision Pro e aparecerá um código de emparelhamento. Ao inserir o código de emparelhamento no iPhone, o dispositivo será adicionado à empresa. Com essa alteração, você pode adicionar todos os dispositivos compatíveis com MDM à sua empresa com o Apple Configurator. Uma observação adicional: o visionOS agora aceita pular painéis no Assistente de Configuração. Consulte a documentação de gerenciamento de dispositivos para ver as novas teclas de omissão. O registro automatizado de dispositivos nem sempre está disponível, por isso os registros baseados na conta são uma maneira simples e focada na privacidade para os usuários se inscreverem usando a Conta Apple Gerenciada. Os registros baseados na conta requerem um endpoint conhecido que forneça um URL de redirecionamento para registro no MDM. Pode ser um desafio para as equipes de TI configurar isso em seu domínio, então oferecemos uma alternativa. Agora você pode usar o servidor MDM para configurar o URL de descoberta de serviço. Assim, se um dispositivo não encontrar um endpoint no seu domínio, ele fará com que o Apple Business Manager ou o Apple School Manager conclua o registro. Depois que o servidor MDM configurar o URL de redirecionamento, entre no Apple Business Manager ou Apple School Manager para especificar o gerenciamento de dispositivos padrão para cada dispositivo que deve ter registro baseado na conta. Quando tudo estiver configurado, o servidor MDM poderá fornecer a solução completa para o registro baseado na conta. Com essa mudança, tornamos mais fácil para você adotar registros baseados na conta em sua empresa para dispositivos de propriedade corporativa, habilitados pessoalmente ou de propriedade pessoal. Para concluir, gostaria de falar sobre um novo recurso interessante que tornará um processo complexo muito mais fácil. As empresas precisam realocar dispositivos entre servidores MDM em casos como uma aquisição, mudança de um MDM local para um MDM na nuvem ou troca de soluções de gerenciamento de dispositivos. Isso requer a limpeza total do dispositivo ou um processo manual orientado pelo usuário. Hoje apresentamos a migração pelo gerenciamento de dispositivos no Apple Business Manager e no Apple School Manager. Agora é possível reatribuir um iPhone, iPad ou Mac a um novo serviço de gerenciamento de dispositivos para iniciar uma migração. Também é possível definir um prazo para a migração ser concluída. Os usuários receberão uma notificação informando que precisam migrar e qual é o prazo. Se nenhuma ação for tomada antes do prazo, a migração será iniciada automaticamente, e o usuário será guiado durante o processo. Quando a migração for concluída, o novo serviço de gerenciamento poderá assumir o Bloqueio de Ativação e girar a chave FileVault usando o token de bootstrap. As configurações antigas são removidas e as novas são instaladas, por isso é recomendável combinar as configurações o máximo possível para evitar transtornos. Para preservar os apps e os dados, use “await device configured” e confirme que todos os apps estão reinstalados antes de sair do fluxo de registro. Acreditamos que a migração pelo gerenciamento de dispositivos tornará a migração entre servidores MDM muito mais fácil. Essa é a nossa atualização sobre serviços. Não deixe de consultar a documentação para saber mais detalhes. A seguir, vamos abordar as melhorias mais recentes no gerenciamento de dispositivos. Abordaremos anúncios importantes sobre atualização de software, atualizações no gerenciamento do Safari, controles da Apple Intelligence e melhoramentos para retornar ao serviço. Manter os dispositivos atualizados é essencial para o gerenciamento de dispositivos de toda empresa. As atualizações de software com o gerenciamento declarativo de dispositivos foram introduzidas no iOS 17, iPadOS 17 e macOS Sonoma, e o feedback é extremamente positivo. Este ano, vamos trazer todos esses recursos para o Vision Pro e Apple TV. Isso inclui controlar adiamentos de atualizações, definir a cadência de atualizações e definir prazos para atualizações. Com a transição para o gerenciamento declarativo de dispositivos concluída em todas as nossas plataformas, anunciamos o descontinuidade do antigo gerenciamento de atualizações de software usando MDM, que continuará funcionando, mas será removido em uma versão futura. O gerenciamento do Safari continua a evoluir usando uma nova configuração declarativa para gerenciar favoritos e a capacidade de definir uma página de início padrão. Assim, o portal do funcionário ou da escola será a primeira coisa que os usuários verão em uma nova guia ou janela. Também aproveitamos para consolidar as configurações do Safari que são gerenciadas na carga útil de restrições, de modo que todo o gerenciamento do Safari agora está disponível no gerenciamento declarativo de dispositivos. Os recursos da Apple Intelligence, como ferramentas de escrita, resumos de notificações e Image Playground, tornaram funcionários e alunos mais produtivos. A Apple Intelligence chegou ao Vision Pro no visionOS 2.4. Para garantir que as empresas atendam às regulamentações do setor e políticas internas, trouxemos todas as restrições relevantes para o visionOS também. Por fim, vamos analisar alguns recursos novos no Return to Service. Setores como varejo e saúde costumam compartilhar dispositivos entre usuários, e o Return to Service é uma ótima forma de redefini-los rapidamente. Este ano, estamos deixando esse processo ainda melhor. O iPhone e o iPad preservam os apps gerenciados quando são redefinidos. Os dados do usuário são apagados como antes, mas os apps permanecem. Elimina-se a necessidade de baixar novamente os apps e poupa-se um tempo valioso do próximo usuário. Esse recurso é habilitado com uma chave nova na configuração de nuvem. Além da chave nova, você também precisará definir “await device configured”. Quando o dispositivo atingir o estado de “aguardando configuração”, você poderá instalar os apps que deseja preservar. Quando você libera o dispositivo, o sistema tira um instantâneo dos apps instalados. Após a próxima redefinição, você precisará enviar o comando InstallApplication ou a declaração ManagedApp para assumir o gerenciamento dos apps preservados antes de liberar o dispositivo de uma configuração em espera. Fazer a redefinição sem baixar novamente os apps não apenas acelera o tempo de resposta entre os usuários, mas também ajuda em ambientes com restrição de rede. Esse recurso é ótimo para iPhone e iPad, mas também queremos trazê-lo para uma plataforma onde os casos de uso compartilhados estão começando a ganhar força. Trata-se do Apple Vision Pro. O visionOS traz uma nova maneira de preparar o dispositivo para o próximo usuário. Depois da configuração, o Vision Pro mostrará uma nova opção, “Redefinir para o próximo usuário”, na Central de Controle. Ao ser selecionada, ela contará 10 segundos para o usuário remover o dispositivo e iniciar o processo de redefinição. Além disso, o Vision Pro pode ser redefinido na tela de bloqueio, é só pressionar a Digital Crown. Não poderia ser mais fácil preparar o Vision Pro para um novo usuário, e a preservação de apps manterá os apps específicos da empresa para que o tempo de inatividade seja mínimo. Vimos algumas implantações incríveis do Vision Pro até agora e acreditamos que continuarão aparecendo casos de uso novos e empolgantes. Além de tudo que vimos até agora, confira a documentação de gerenciamento de dispositivos para saber mais, incluindo: informações da bateria no iPad, definição de apps padrão para mensagens e ligações, restrições para limitar mensagens e FaceTime por SIM, uso temporário de fones de ouvido AirPods e Beats, suporte para nomes de domínio totalmente qualificados no perfil de retransmissão de rede e uma nova API de filtragem de URL de extensão de rede. Para saber mais detalhes, consulte a sessão “Filtrar e redirecionar o tráfego de rede com o Network Extension”. E isso encerra o gerenciamento de dispositivos. Passemos ao gerenciamento de app. Os apps permitem que os usuários sejam criativos, produtivos e se mantenham informados. Manter os apps atualizados é essencial para a segurança. Para alguns apps de missão crítica, as equipes de TI precisam de mais controle, como validar as atualizações antes que sejam implementadas. Este ano, estamos fazendo exatamente isso. No iOS e iPadOS, a configuração de app gerenciada oferece opções para definir o comportamento de atualização por app. Isso dá às empresas ainda mais controle sobre os apps gerenciados. Você poderá impor ou desativar a atualização automática de apps. Os apps também podem ser fixados em uma versão específica, permitindo uma liberação mais controlada. O canal de status fornece visibilidade em tempo real do progresso da instalação do app e informações de versão. Os administradores podem até especificar se o download de apps pelo celular deve ser restrito. Com todos esses recursos, as equipes de TI têm mais controle sobre os apps nos seus dispositivos. Como parte do iOS 18.4 e iPadOS 18.4, retiramos oficialmente os apps gerenciados do beta e adicionamos suporte para apps necessários no visionOS 2.4. Agora, vamos falar do Mac. A partir do macOS Tahoe, apps da App Store, apps personalizados e pacotes podem ser implantados usando o gerenciamento declarativo de dispositivos. Apps e pacotes poderão ser implantados de modo obrigatório ou opcional. E o canal de status atualizará o servidor com o status de instalação. O framework ManagedAppDistribution, que permite que desenvolvedores MDM criem apps de autoatendimento, estará disponível para Mac ainda este ano. Por fim, no iOS 18.4, iPadOS 18.4 e visionOS 2.4, os desenvolvedores têm um novo framework ManagedApp que podem incorporar aos apps. Essa API permite que as empresas implantem configurações de app com segurança, incluindo definições, senhas, certificados e identidades. Acreditamos que há inúmeros casos de uso para essa API: personalizar experiências do app, recuperar tokens de acesso à API, adicionar certificados de confiança personalizados e acessar chaves vinculadas ao hardware para permitir que apps tenham uma comprovação robusta da postura do dispositivo. Consulte o sessão “Conhecer o framework ManagedApp” para obter mais informações. A melhor maneira de gerenciar apps é com o gerenciamento declarativo de dispositivos. Com o novo framework ManagedApp, é possível criar experiências de usuário ainda melhores. Vamos abordar nosso tópico final com atualizações para integrações de identidade. A identidade é um aspecto fundamental em qualquer implantação. Ao garantir que apenas usuários autorizados possam acessar dados e recursos, o SSO da plataforma permite entrar no Mac com o provedor de identificação e acessearm apps e sites usando uma senha sincronizada ou uma chave com suporte do Secure Enclave. Hoje, o registro do SSO da plataforma ocorre quando um Mac é configurado com um usuário local. Este ano, simplificamos esse processo trazendo o SSO da plataforma para o Assistente de Configuração no registro automatizado de dispositivos. Vamos ver como esse processo se apresenta para o usuário. Ao iniciar o registro no gerenciamento de dispositivos, um novo painel do SSO da plataforma aparece no Assistente de Configuração, solicitando a autenticação do usuário com o provedor de identidade. Os usuários não poderão prosseguir sem o registro de SSO da plataforma. Ao entrar, o SSO pode fornecer um registro autenticado no gerenciamento de dispositivos e, se federado ao mesmo provedor de identidade, pode conectar os usuários com sua Conta Apple Gerenciada. Uma conta local é criada e a senha é sincronizada com o provedor de identidade ou definida pelo usuário usando uma chave com suporte do Secure Enclave. Além disso, a foto de perfil da conta pode ser sincronizada a partir do provedor de identidade. Recapitulando, a configuração simplificada do SSO da plataforma agilizará a implantação do Mac e permitirá que os usuários comecem a usar rapidamente um novo Mac com as credenciais da empresa. Embora isso seja ótimo para implantações individuais, sabemos que há muitas implantações de uso compartilhado, e temos uma atualização interessante para elas. Apresentamos o Modo Convidado Autenticado, um modo otimizado para uso compartilhado. Quando configurado, os usuários podem entrar em um Mac usando a identidade de nuvem na janela de login. A autenticação pode ser concluída com senha ou cartão inteligente, e o Mac deve estar online para fazer login. Após o login, o usuário pode aproveitar o SSO e entrar facilmente em apps e sites. Quando o usuário terminar e sair, todos os dados da sessão serão apagados do dispositivo. Para otimizar a configuração desse recurso, você pode emparelhar o SSO da plataforma com o avanço automático, ou seja, durante a configuração, o Mac concluirá o registro do SSO da plataforma, fará o registro no gerenciamento de dispositivos e irá para a janela de login, pronto para o usuário entrar. Em muitos ambientes de uso compartilhado, é importante poder entrar e acessar recursos rapidamente. Os usuários podem precisar fazer isso muitas vezes ao dia em várias máquinas, como médicos ou enfermeiros que atendem pacientes em leitos diferentes ao longo do dia. Este ano, quisemos melhorar essa experiência com o “toque para entrar”. Nos últimos anos, empresas e escolas começaram a adotar crachás corporativos e IDs escolares na Carteira da Apple. Esses passes podem destrancar portas com apenas um toque do iPhone ou Apple Watch. Não é necessário cartão físico. Estamos trazendo essa mesma experiência para o Mac. Será possível tocar no iPhone ou Apple Watch em um Mac com o Modo Convidado Autenticado configurado para iniciar sessão e usar o início de sessão único em todos os apps e sites. As credenciais do usuário podem ser fornecidas como uma chave de acesso em uma Carteira por um app no iPhone. As chaves de acesso são armazenadas no Secure Enclave, portanto, são armazenadas em hardware, criptografadas e protegidas contra adulteração ou extração. E, assim como cartões de transporte, o Modo Expresso permite fazer login com apenas um toque, sem precisar ligar ou desbloquear o dispositivo. Além de configurar o Mac com o Modo Convidado Autenticado, será necessário conectar um leitor NFC externo. Esse recurso é muito legal e será incrível para empresas que compartilham dispositivos, como educação, varejo e saúde. Desenvolvedores como SwiftConnect, que já fornecem crachás de funcionários e IDs escolares, estão trabalhando para habilitar as chaves de acesso para uso com “toque para entrar”. Abordamos muitas informações hoje, então vamos fazer uma recapitulação. Existem novos e excelentes recursos para Contas Apple Gerenciadas, e esperamos que eles ajudem a criar experiências melhores para os usuários. Com a nova API de serviços para Apple Business Manager e Apple School Manager, é possível executar tarefas comuns por meio de APIs, tornando o gerenciamento de dispositivos mais fácil. Migrar dispositivos entre servidores MDM ficou mais simples com a migração pelo gerenciamento de dispositivos. Com as atualizações da distribuição de app, este é o momento ideal para gerenciar apps com o Gerenciamento Declarativo de Dispositivos. O Apple Vision Pro agora pode ser compartilhado com o recurso Return to Service. E, com as atualizações do SSO da plataforma, você pode iniciar sessão em um Mac com um iPhone ou Apple Watch. Temos uma ótima documentação disponível em developer.apple.com, em que você pode aprender mais sobre novos recursos que apresentamos hoje. Obrigado por me acompanhar. Espero que possamos tornar o gerenciamento de dispositivos Apple um prazer para desenvolvedores, administradores e usuários. Tenham uma ótima WWDC.