Apple 设备管理和身份管理方面的新动向

大家好 欢迎来到 WWDC 我叫 Graham 来自 Apple Device Management 团队 如果你负责部署和保护 组织内的 Apple 设备 或者是构建设备管理工具 或身份解决方案的开发者 那么这个讲座非常适合你 在 Apple 我们坚信出色的产品 应该为用户赋能 在工作场所和课堂也不例外 我们的硬件、软件和服务相辅相成 能够保护数据、提高工作效率 并打造既直观 又务实的体验 我们希望让你能够 为用户提供出色的体验 同时兼顾组织的安全需求 今年 很高兴与你分享 我们在这方面取得了重大进展 今天的讲座将围绕四大主题展开 首先 我们了解一下 Apple 服务的新功能 包括 Apple 商务管理 和 Apple 校园教务管理的更新 然后 我们将深入了解 设备管理方面的增强功能 随后是 App 管理方面的新功能 最后 我们将更深入地 探讨身份识别集成 首先说说 Apple 服务 这是大规模部署和管理 Apple 设备的基础 Apple 商务管理 和 Apple 校园教务管理 是基于网页的免费服务 可与你的 MDM 无缝协作 帮助你配置设备、购买 App 以及管理整个组织中的账户 我们先来了解一下 管理式 Apple 账户的一些更新

这些账户专为工作场所和学校设计 让 IT 团队能够完全掌控账户 以及与账户关联的数据 IT 团队可以自行设置域 并连接组织的身份识别提供程序 以实现联合认证 让用户能够使用 他们已经在使用的凭证登录

去年 我们推出的功能 让 IT 团队能够锁定组织的域 取得使用这个域创建的 所有 Apple 账户的所有权 开始采用这种方式后 系统会引导用户完成账户更新流程

今年 管理员将能够下载 组织域上的个人 Apple 账户列表 以便就账户更新事宜与用户沟通 更新完成后 用户将可以访问组织预置的所有服务 包括一项新服务：App 公证 除了 App 公证之外 我们还将扩展访问管理 防止个人 Apple 账户 登录组织拥有的设备 这意味着 现在可以确保 在工作设备上只能使用工作账户 这适用于你所期望的各种位置 包括“设置助理”和“系统设置” 并且对 MDM 没有任何要求或依赖 这项新设置将应用于 组织中的所有设备 通过这些更改 我们希望 帮助你让组织更轻松地 采用管理式 Apple 账户 首先 我们建议你锁定域 以阻止创建个人账户 然后 你可以进行 账户采集、联合身份验证 以及启用用户所需的服务 接下来谈谈设备清单 一直以来 我们不断完善 有关组织设备的信息 例如激活锁状态和设备储存空间 今年早些时候 我们添加了 蜂窝网络信息 包括 IMEI 和 EID 我们还将扩展设备发放信息 添加发放者和发放时间 今年晚些时候 我们将添加在 iPhone 和 iPad 上 连接蓝牙和无线局域网 所使用的 MAC 地址 这项功能对于依靠这些信息 来管理网络访问的组织来说 非常有用 最后一项更新也同样重要 我们将添加 AppleCare 保障信息 这些信息将帮助 IT 团队 跟踪保障情况 并在维修和更换方面 做出更明智的决策 在过去 这些信息只能 通过网络浏览器查看 今天 很高兴宣布推出面向组织的 Apple Business Manager API 和 Apple School Manager API 借助我们提供的第一组 API 你将能够与设备清单数据 和 MDM 服务器分配进行交互 我们来看看端点列表 你将能够查询 列表中设备的相关信息、 将这些设备分配给设备管理服务、 获取批量活动状态 等等 要开始使用这项功能 首先需要创建一个 API 账户 只能由管理员和站点管理者创建 然后你就可以生成 并下载专用 API 密钥 用于你的 App 或服务 这就引出了我们要介绍的 最后一组 Apple 商务管理 和 Apple 校园教务管理更新： 部署方面的更新 自动化设备注册功能 为 Apple 简单易行的设备管理方法 奠定了坚实的基础 可实现即时硬件交付 而无需 IT 团队实际接触每台设备 去年 我们将这项功能 扩展到了 Apple Vision Pro 但我们知道 组织中使用的设备 并非全都是通过常规渠道购买的 因此 在 visionOS 中 iPhone 版 Apple Configurator 现在可以将 Vision Pro 添加到你的组织 然后 Vision Pro 就能 严格按照预期的方式工作 当 Vision Pro 启动到 “设置助理”界面时 将一台运行 Apple Configurator 的 iPhone 靠近 Vision Pro 就会显示配对码 在 iPhone 上输入配对码后之后 系统就会将这台设备添加到你的组织 得益于这项变化 你现在可以 使用 Apple Configurator 将所有可使用 MDM 的设备 添加到你的组织 还有一点需要注意 visionOS 现在支持跳过 “设置助理”中的面板界面 如需了解新增的跳过密钥 请查看设备管理文档 自动化设备注册功能 并非适用于所有部署方式 因此 我们提供了账户驱动型注册 让用户能够使用管理式 Apple 账户 以既简单又注重 隐私保护的方式进行注册 账户驱动型注册需要一个已知端点 来提供重定向 URL 以在 MDM 中进行注册 我们知道 对于 IT 团队而言 可能很难在组织域上完成这项设置 因此我们现在提供一种替代方案 现在 你可以使用 MDM 服务器 来配置服务发现 URL 这意味着 如果设备无法 在你的域上找到端点 它就会向 Apple 商务管理 或 Apple 校园教务管理 进行核实 以完成注册 等 MDM 服务器配置好重定向 URL 后 便可登录 Apple 商务管理 或 Apple 校园教务管理 为每台应提供账户驱动型注册的设备 指定默认设备管理服务分配 完成所有配置后 你的 MDM 服务器现在可以提供 完整的账户驱动型注册 端到端解决方案 得益于这项变化 你将能够更轻松地 在组织中采用账户驱动型注册 这种注册方式适用于公司拥有 并支持个人使用的设备 也适用于个人自有设备 在服务方面 最后我想向大家介绍 一项激动人心的新功能 它将会大大简化一个复杂的流程 组织经常需要 在不同 MDM 服务器之间迁移设备 这类情况包括发生并购、 从本地部署转为基于云的 MDM 或是切换设备管理解决方案 等等 这类情况通常需要彻底抹掉设备 或者执行由用户主导的手动流程 今天 我们在 Apple 商务管理 和 Apple 校园教务管理中 推出了设备管理迁移功能 现在 你可以将 iPhone、iPad 或 Mac 重新分配到新的设备管理服务 以开始进行迁移 你还可以设置截止时间 用户需要在这之前完成迁移 然后 用户会收到通知 告诉他们需要进行迁移 并告知截止时间 如果用户在截止日期之前 没有采取任何行动 系统就会自动启动迁移 并引导用户完成迁移过程 迁移完成后 新的设备管理服务可以接管激活锁 并使用启动引导令牌 进行文件保险箱密钥轮换 系统会移除旧配置并安装新配置 因此建议新旧配置 具有尽可能高的一致性 以免导致中断 要保留 App 和 App 数据 请使用配置好的等待设备 并确保在退出注册流程之前 重新安装所有 App 我们认为设备管理迁移功能 将会大大简化 MDM 服务器 之间的迁移任务 以上就是我们对服务的更新 务必查看相关文档 了解更多详细信息 接下来 我们深入了解一下 设备管理方面的最新改进 在设备管理方面 我们将介绍几项重要发布内容 包括软件更新、 Safari 浏览器管理方面的更新、 Apple 智能控制 以及“恢复使用”的增强功能 对任何组织而言 确保设备始终保持最新状态 都是设备管理工作的重中之重 通过声明式设备管理 进行软件更新的方式 最初在 iOS 17、iPadOS 17 和 macOS Sonoma 中推出 并且广受好评 今年 我们将在 Vision Pro 和 Apple TV 上引入所有这些功能 包括控制更新延迟、 设置更新频率 以及定义更新截止时间 在我们的所有平台上 完成转向声明式设备管理的 迁移过程后 我们宣布将弃用 使用 MDM 进行软件更新管理 的旧方式 这意味着旧方式将会继续发挥作用 但将在未来的版本中移除 下一项内容 Safari 浏览器管理不断改进 将使用全新声明式配置来管理书签 并将能够设置默认主页 这意味着用户只要打开 新的标签页或窗口 就会一眼看到你的员工或学校门户 我们还借这个机会 整合了 Safari 浏览器的设置 对这些设置的管理目前 在限制有效负载中进行 这意味着 Safari 浏览器的 所有管理工作 现在都可以 通过声明式设备管理来进行 此外 书写工具、通知摘要 和图乐园等 Apple 智能功能 能够帮助员工和学生提高效率 随着 visionOS 2.4 的推出 Apple 智能已登陆 Vision Pro 为确保组织遵守行业法规和内部政策 我们也在 visionOS 中 引入了所有适用的限制条件 最后 我们来了解一下 “恢复使用”中的一些新功能 在零售和医疗保健行业 多位用户共用设备的情况很常见 而“恢复使用” 是快速还原设备的绝佳方式 今年 我们进一步优化这个流程 现在 iPhone 和 iPad 可以 在还原后保留受管理 App 系统会像之前一样抹掉数据 但会保留 App 无需重新下载 App 从而帮助下一位用户节省宝贵时间 这项功能是通过 云配置中的新密钥实现的 除了新密钥之外 设置配置好的等待设备 一旦设备达到等待的配置状态 就可以安装要保留的 App 当你发放设备时 系统会拍摄当前已安装 App 的快照 下次还原后 需要发送 InstallApplication 命令 或 ManagedApp 声明 以管理在发放设备之前 通过等待配置保留的 App 无需重新下载 App 即可还原 这样不仅可以加快 不同用户之间的周转时间 在网络受限的环境中也有帮助 “恢复使用”在 iPhone 和 iPad 上一直非常好用 但我们还希望 在一个新平台上引入这项功能 因为这个平台已经开始涌现出 越来越多的设备共享用例 这个新平台就是 Apple Vision Pro visionOS 提供了为下一位用户 准备好设备的全新方式 完成“恢复使用”所需的配置后 Vision Pro 会在“控制中心” 显示新增的 “Reset for Next User”选项 选中这个选项后 就会打开一个 10 秒计时器 用户可以在这段时间内移除设备 并将它放在一旁 然后启动还原流程 此外 还可以在锁定屏幕上 还原 Vision Pro 只需按下数码旋钮即可 为新用户准备好 Vision Pro 真是再简单不过了 而 App 保留功能 可以保留组织特有的 App 从而实现极少的停用时间 到目前为止 我们已经看到了 一些令人惊叹的 Vision Pro 部署 我们相信这一趋势将会持续下去 解锁各种激动人心的新用例 除了我们到目前为止 介绍的所有内容之外 你还可以查看设备管理文档 了解更多更新 包括 iPad 电池健康状况信息、 设置用于收发信息 和通话的默认 App、 按 SIM 卡限制信息收发 和 FaceTime 通话的新增限制、 允许临时使用 AirPods 和 Beats 耳机、 在网络中继描述文件中 添加对完全限定域名的支持 以及全新的 Network Extension URL Filtering API 有关这方面的更多详细信息 请观看 “借助 NetworkExtension 优化 网络流量过滤和隧道”讲座 以上就是设备管理的全部内容 接下来谈谈 App 管理 App 让用户能够发挥创意、高效工作 并随时随地随时了解最新信息 及时更新 App 对于安全至关重要 但对于一些任务关键型 App IT 团队需要更多控制权 例如在逐步实施更新之前 先对它们进行验证 而今年 我们推出了这样的功能 现在 在 iOS 和 iPadOS 上 受管理 App 配置 提供了定义每个 App 更新行为的选项 这样一来 组织可以更好地控制 由组织管理的 App 可以强制执行 也可以停用 App 的自动更新 还可以将 App 固定为特定版本 从而让发布流程更具可控性 状态通道提供了实时查看 App 安装进度和版本信息的途径 管理员甚至可以指定是否应限制 通过蜂窝网络下载 App 的行为 借助所有这些新功能 IT 团队能够更好地控制 他们所管理设备上的 App 在 iOS 18.4 和 iPadOS 18.4 中 受管理 App 正式告别 Beta 版 我们还在 visionOS 2.4 中添加了 对所需 App 的支持 接下来 我们谈谈 Mac 从 macOS Tahoe 开始 现在可以 使用声明式设备管理 部署 App Store App、 自定 App 和软件包 App 和软件包均支持 以必要配置或可选配置进行部署 状态通道将使用安装状态更新服务器 今年晚些时候 ManagedAppDistribution 框架 将可用于 Mac 让 MDM 开发者能够 创建自助服务 App 最后 在 iOS 18.4、iPadOS 18.4 和 visionOS 2.4 中 App 开发者现在可以采用全新 ManagedApp 框架来构建自己的 App 借助这个 API 组织可以 安全地部署 App 配置 包括设置、密码、证书和身份 我们相信这个 API 能够实现 一些很有意思的用例 包括自定 App 体验、 安全地检索 API 访问令牌、 添加自定信任证书 以及访问硬件绑定密钥 让 App 能够获得 设备状态的有力证据 请观看讲座 “了解 ManagedApp 框架” 了解更多信息 使用声明式设备管理来管理 App 是绝佳的 App 管理方式 而借助全新 ManagedApp 框架 你现在可以打造更出色的用户体验 我们来深入探讨一下最后一个主题 身份识别集成的更新 对于任何部署而言 身份识别都是一个至关重要的方面 通过确保只有授权用户 才能访问数据和资源 平台 SSO 让用户能够 使用自己的身份识别提供程序 登录 Mac 然后使用同步密码 或是安全隔区支持的密钥 登录各个 App 和网站 现在 本地用户设置 Mac 后 会进行平台 SSO 注册 今年 我们将简化这个注册流程 在自动设备注册期间 将平台 SSO 引入到 “设置助理”中 我们来看看对于用户来说 这个过程是什么样的 当 Mac 开始注册到设备管理时 “设置助理”中会显示 全新“平台 SSO”面板 提示用户使用他们的 身份识别提供程序进行认证 用户如果不进行平台 SSO 注册 就无法继续操作 成功登录后 SSO 可以在设备管理中 提供经认证的注册 并且 如果联合 同一身份识别提供程序 就能让用户登录自己的 管理式 Apple 账户 创建本地账户后 可以与身份识别提供程序同步密码 也可由用户使用 安全隔区支持的密钥来设置密码 此外 还可以从身份识别提供程序 同步账户的头像 总结一下 精简的平台 SSO 设置流程 可以简化 Mac 部署 也使用户能够使用组织的凭证 让新 Mac 快速 设置完毕并投入使用 虽然这是绝佳的一对一部署方式 但我们知道还有许多 共享设备部署 为此 我们还推出了一项 令人兴奋的更新 即 经过身份验证的访客模式 这个模式针对共享设备进行了优化 配置完成后 用户可以 直接从登录窗口 通过云身份识别登录 Mac 可以使用密码或智能卡完成认证 并且 Mac 需要处于在线状态 才可以登录 登录后 用户可以充分利用 SSO 的优势 轻松登录各个 App 和网站 用户使用完设备并退出登录后 系统将从设备上抹掉 来自这次会话的所有用户数据 为了优化这项功能的设置 你可以将平台 SSO 与自动前进功能搭配使用 这意味着在设置过程中 Mac 将以静默方式完成 平台 SSO 注册 在设备管理中注册 最终显示可供用户登录的登录窗口 在许多共享设备环境中 能够快速登录 并访问资源非常重要 用户可能每天都需要 在多台不同的设备上 多次执行这一操作 比如医生或护士在一天之内 会到不同的病房探访患者 今年 我们着手通过轻触登录 改善这方面的体验 过去几年中 众多企业和学校已经开始 在 Apple 钱包中采用 公司工牌和校园卡 借助这些通行证 用户只需用 iPhone 或 Apple Watch 轻触一下即可开门 无需使用实体卡片 现在 我们将在 Mac 上 引入相同的体验 将 Mac 配置为支持 经过身份验证的访客模式后 用户用自己的 iPhone 或 Apple Watch 轻触读卡器 即可快速登录并开始工作 可通过单点登录 访问他们的所有 App 和网站 可以通过 iPhone 上的 App 将用户凭证预置为 “钱包”凭证中的访问密钥 访问密钥储存在安全隔区中 因此它们得到硬件支持、 经过加密处理 可以防范篡改或解包 就像交通卡一样 借助快速模式 只需轻触一下即可登录 无需唤醒或解锁设备 除了为 Mac 设置 经过身份验证的访客模式之外 还需要连接一台外接 NFC 读卡器 这项功能太酷了 对于教育、零售和医疗保健等领域 需要共享设备的组织来说 真是棒极了 SwiftConnect 等开发者 已经预置了员工工牌和校园卡 现在正努力实现访问密钥的预置 以便与轻触登录搭配使用 今天我们介绍了大量信息 接下来花点时间总结一下 管理式 Apple 账户新增了 许多很棒的功能 我们希望这些可以帮助你 为用户打造更出色的体验 适用于 Apple 商务管理 和 Apple 校园教务管理的 全新服务 API 意味着现在可以 通过 API 执行许多常见任务 让设备管理变得更轻松 借助设备管理迁移功能 不同 MDM 服务器之间的设备迁移 也变得更轻松了 得益于 App 分发方式的更新 现在就是开始使用声明式设备管理 来管理 App 的绝佳时机 现在可以通过“恢复使用” 共享 Apple Vision Pro 此外 得益于平台 SSO 的更新 现在只需用 iPhone 或 Apple Watch 轻触一下即可登录 Mac 我们在 developer.apple.com/cn 上 提供了大量很棒的文档 可以帮助你更深入地进一步了解 我们今天讨论的许多新功能 感谢大家参加今天的讲座 期待看到大家 都能为开发者、管理员和用户 带来愉快的 Apple 设备管理体验 祝你在 WWDC 度过美妙的时光