管理 Apple 设备方面的新功能

大家好 欢迎来到WWDC 我是格雷厄姆 由我和 我的同事娜迪雅来为各位说明 我们都是Apple设备管理团队的成员 过去一年我们经历了前所未有的变化 无论是对我们的工作、生活还是学习 从办公室到厨房餐桌 再到客厅沙发上 Apple的硬件、软件和服务 都一直在那里给予人们力量 并让人能灵活运用 完成所需要做的事情 Apple平台为系统管理员 和移动设备管理开发人员 提供了绝佳的机会 能够为客户、员工、学生和老师 提供超棒的应用程序、 丰富的内容和强大的服务 在Apple 我们相信在隐私 用户代理和管理控制取得平衡 才能造就出色的设备管理解决方案 在iOS 15和macOS Monterey中 我们将会在所有平台上 推出多项强大的新功能 有非常多令人兴奋的新功能 要和大家分享 我们也为许多功能举办了说明会 在进入今天的内容之前 我想先简单谈谈几个主题 首先是对用户注册的变更 用户注册是专门为 自带设备办公这样的部署而设计 设备是用户而非组织所拥有 这种行动设备管理注册类型可保护 个人数据的隐私 同时也能保护 设备上的公司数据 今年 我们对数据分离和用户引导 进行了一些令人兴奋的改进 查看“了解帐户驱动的用户注册” 说明来更深入了解 接下来 非常高兴能与大家 分享iPhone的Apple Configurator 即将于App Store推出 我们也为macOS自动设备注册 开发了一项新功能 你不会想错过 “使用Apple configurator 管理设备”说明 我们正在改善设备管理协议 使其更加可靠和高效 若要了解行动设备管理的未来 可以去看“会议宣告式 设备管理”说明 今年 我们针对iOS、 iPadOS和macOS 进行了多项令人兴奋的 软件更新变更 可以去看看“管理组织中的 软件更新”说明中的新内容 我们会讨论到测试、部署 和强制执行操作系统更新 接下来要交给我的同事娜迪雅来谈谈 今年即将在iOS和iPadOS 15中推出的 非常精彩的新功能

嗨 很高兴能向各位介绍 iOS和iPadOS的设备管理新功能 今年 我们对用户查看 其托管账户的方式 设备上安装的描述文件 以及在设置中配置VPN的方式 进行了重大更改

将VPN和设备管理结合在一起 提供一个更全面 显示设备状态的地方 你就能在那里全面了解 设备的管理方式 行动设备管理的另一个重要元素 是安装应用程序 许多行动设备管理供应商 都有一个代理应用程序 他们需要 将其作为配置设备的一部分 或者组织可能拥有一个 所有员工都需要的关键应用程序 在受监督的设备上 因为安装应用程序时不会提示用户 所以这不会成为问题 但是 未受监督的设备会出现 安装应用程序权限的提示 这时候用户有可能会拒绝 如果你能对此有更多控制权 那不是很好吗？ 你现在有了 所需的应用程序的介绍 你现在可以指定要安装在 无人监督设备上的应用程序 我们会确保用户隐私受到保护 由于用户同意 在行动设备管理注册期间 安装应用程序 所以只有这个应用程序会在 无需额外用户批准的情况下进行安装 只需将App Store应用程序的 iTunes Store ID 新增到行动设备管理描述文件 然后确保应用程序具有设备或 用户许可 并传送InstallApplication命令 还要记得新增托管应用程序的属性 以确保用户无法删除应用程序 保护应用程序之间的数据流 也是一个非常重要的考虑因素 受管理的打开方式可让你控制是否 允许数据进入或离开管理范围 在最基本的情况下 这个功能 可独立控制数据 是否可以从非托管应用程序 传送到托管应用程序 反之亦然 而现在我们使用托管剪贴板 使其比以往任何时候都更好

一个名为 requireManagedPasteboard的新限制 控制了复制/贴上是否会被 受管理的打开方式所影响 日历、便笺、邮件和文件等 系统应用程序 都必须遵守这项限制 所有其他应用程序无需额外变更 便能采用这项功能 一如以往 通过行动设备管理 安装的应用程序 将自动被视为托管 而用户安装的应用程序则会 被视为非托管 有了托管剪贴板 你就一直都能 看到剪贴按钮 如果因为限制而无法 在某处剪贴内容 你会收到 “不可剪贴”的通知 顺带一提 通知中显示的组织名称 可以用 OrganizationInfo Settings命令 来做修改 去年 我们将共享的iPad引入企业 让员工可以在共享设备上 获得个人体验 共享的iPad一般来说需要 使用管理式Apple ID 但通过暂时区段 任何人 都可以使用共享的iPad 注销后 诸如Safari浏览记录 修改过的用户设定和新增的文件 都会从设备中删除 方便下一个用户使用 在iOS 14.5版本 我们在 SharedDeviceConfiguration 设定命令中推出了三个新功能 TemporarySessionOnly可用来限制 是否能通过管理式Apple ID登入 TemporarySessionTimeout和 UserSessionTimeout 则会在设定的时间后自动将用户注销 确保你的数据在闲置一段时间后 仍是安全的 记得不要将计时器时间设定的太短 而且按下电源或Home键 会导致计时器重置 现在来谈谈我们 针对Apple TV所做的一些更改 TV Remote承载可用来连结 特定Apple TV与 iOS和iPadOS设备上 控制中心的Remote小工具 tvOS 15有一项新的安全增强功能 Apple TV不会再 通过Bonjour广播Mac的地址 由于这项变更 我们无法再避免 TV上出现PIN提示 为了要让对你部署的影响降到最低 我们在TV Remote承载中 加入了一个新密钥 除了TVDeviceID密钥之外 还可以用新的TVDeviceName密钥 来筛选Remote小工具中的 Apple TV设备名称 这能避免托管设备 进行任何不必要的配对尝试 还要注意的一些其他更改： 单一描述文件中的所有承载类型 都要有不同的承载标识符 另外 若是不受监督的设备 应用程序的Take Management提示 最多可以拒绝3次 在那之后 24小时内设备 不会再出现提示 我们也更新了许多承载密钥 以使用更中性的语言 一定要记得去看更新后的设备管理 文件来更进行深入的了解

谢谢各位愿意探索iOS和iPadOS 15 这些超棒的功能 现在要交还给格雷厄姆来谈谈 Mac即将推出的绝佳新功能 娜迪雅 谢谢你 我想各位都会同意2020年 对Mac来说是非常精彩的一年 无论是Big Sur令人惊叹的 全新外观和使用感受 还是Apple芯片的推出 新一代的Mac能让我们的用户 做各种各样令人惊奇的新事物 而我们也在macOS Monterey提供了 一些很棒的新设备管理功能 我们就先来谈谈系统延伸吧 系统延伸可以让网络扩充和 端点安全解决方案等软件 延伸macOS的功能 不需要核心级别的存取权 我们对系统延伸承载进行了一些变更 进而提升管理体验 在macOS 11.3中安装系统延伸承载 会改变系统延伸的状态 举例来说 如果系统延伸 正在等待用户批准 安装承载就会启用延伸 相反的 若是删除承载 就会马上 停用系统延伸 macOS Monterey有一项 名为RemovableSystemExtension的 新功能 这项功能可让应用程序停用 自己的系统延伸 比如当应用程序自行卸载时 有了这项功能 不用管理员密码 就能删除系统延伸 如果是在Mac没有 管理员用户的部署下 这就很有用了 macOS Big Sur会需要 重启Mac才能修改核心延伸 我们增加了一些功能来 让管理核心延伸变得更容易 首先 我们在RestartDevice命令中 加入了一个选项 告诉Mac在重新启动时 重建其核心延伸缓存 只要是要新增或删除核心延伸 都需要这么做 使用可选的KextPaths密钥来指定 操作系统还没有发现的核心延伸 这可以让行动设备管理安装应用程序 并加载核心延伸 而且用户不需要 在重新启动之前启动应用程序 新的NotifyUser选项 可让行动设备管理 对用户显示重新启动通知 点击后 用户就能 顺利重启Mac NotifyUser功能不一定要用在 核心延伸的内容之中 但如果结合在一起特别有用 系统政策核心延伸承载中的 AllowNonAdminUserApprovals密钥 可让标准用户完成 核心延伸的安装 留意用户必须从系统偏好设置中 重新启动或使用 行动设备管理的通知来 触发核心缓存重建 依照硬件不同 可能会 需要Bootstrap代号 才能完成这个步骤 你可以去SecurityInfo进行查询 了解是否需要这样做 接着 我们来谈谈应用程序 搭载Apple芯片的mac电脑有一项 非常厉害的新功能 是能够 运行iPhone和iPad的应用程序 随着macOS Big Sur首次推出 我们加入了一个新的 DeviceInformation查询键 可用来回报Mac能否支援iPhone 和iPad应用程序的安装 而在macOS 11.3配备Apple芯片 现在也能正确处理了 准备好安装App Store应用程序 或你自己的企业内部应用程序后 必须要将一个新标志加入 InstallApplication命令中 来表明它是iPhone或iPad应用程序 如果是企业内部应用程序 要确定清单中的URL直接指向.ipa文件 而不是指向.pkg文件 我们现在能够支持 iOS风格的配置文件 这项功能可用来独立管理 企业内部应用程序和配置文件 现在 我们来谈谈Apple芯片 专属的一些新功能 我们正在强化配备Apple芯片的 mac电脑的DeviceLock命令 通过这项变更 管理员现在可以 对设备传送六位数的PIN码 信息和电话号码 这会导致Mac重新启动并向用户 显示所提供的信息 使所有Mac型号保持功能均等 远程锁定Mac后 用户必须输入PIN码 才能使用Mac 输入PIN码后 Mac会重新启动 里面的所有数据都 完好无损 可供登入 虽然这是个好的开始 但通过重新启动来复原可能会 造成意外的数据访问 或重要的安全设定有所更动 因此 我们增加了一项新功能 来设定复原密码 新的SetRecoveryLock 和VerifyRecoveryLock 行动设备管理命令 可以让你设定和验证 在Mac重新启动进行复原之前 必须输入的密码 有些关于使用这些新命令的重要细节 需要让你先了解 密码只能由行动设备管理 来设定和删除 所以如果用户 从行动设备管理中取消注册 复原密码就会被删除 行动设备管理服务器必须知道 现有的密码 才能设定新的密码 最后 如果对Mac进行清除 DeviceLock PIN和 复原密码都会一并删除 因此 我们建议将这些功能 与启用锁定功能一起使用 为你的系统提供最佳安全性 我们知道各位现在对于 这些新功能的推出感到很兴奋 但我们还有最后一件事要告诉各位 清除Mac的所有内容和设定 macOS Monterey的新功能 是能够清除所有内容 和设定以便快速复原服务 我们很高兴也能通过行动设备管理 提供这项功能 现在只要传送EraseDevice命令 就会清除所有用户数据 并重新启动回到设定辅助程序 为下一个用户做好准备 这项功能 有几点需要注意：

配备Apple芯片 和Apple T2安全芯片的 Mac电脑才能支援这项功能 如果Mac有多个分区 Mac将重新启动 回到目前的系统卷宗进行设定 且所有其他卷宗也都会被清除 在配备Apple芯片的设备上 这项功能也会重置 在复原过程中修改过的所有安全设定 我们也知道你可能不希望 用户清除他们的Mac 所以我们会针对Mac使用 allowEraseContentAndSettings 的情况加入限制 我们今天介绍了非常多的新功能 很高兴各位能亲自体验这些功能 若要了解各项功能的最新变更 请查看developer.apple.com上的 设备管理文件 也别忘了 AppleSeed for IT 可以帮助你使用和测试 所有这些新功能 只要是Apple School Manager 或Apple Business Manager的 非学生管理式Apple ID 都可以参与这项计划 除了能使用在你的环境中进行测试的 Apple软件预先发布版本外 这项计划还包含一些详细的测试计划 也能让你提供意见回馈 我还要提醒你 记得去看看 所有精彩的深度学习说明 这些说明将提供你有关 所有新设备管理功能的 更多详细信息

从用户注册到 共享iPad的更新 以及Mac 所有令人兴奋的新功能 我们期待看到你将设备管理 体验提升到新的境界 谢谢大家 好好享受WWDC的其他内容 [打击乐]