Apple 设备管理和身份管理方面的新动向

大家好，欢迎！ 我叫 Cyrus Daboo，是设备管理团队的工程师。 我将向您介绍 Apple 设备管理的新功能。 以下是今天的内容。 我将介绍 Apple 服务的新功能。 然后介绍声明式管理的若干新增功能。 接下来是应用管理的更新。

以及新身份管理功能的详细介绍。 最后，我将简要介绍一些与教育相关技术的更新。

首先，介绍面向企业和教育领域的 Apple 服务更新。 Apple 商务是一个全新的一体化平台， 为各种规模的企业整合了多种工具， 帮助他们有效地运营和发展组织。 其中包括一项重大扩展： Apple 商务现已在超过 200 个国家和地区上线。 这为您的组织提供零触摸部署等功能， 为用户提供托管 Apple 账户， 以及全新的内置设备管理功能。 这使企业更加方便， 能够快速上手管理 Apple 设备。 为了支持这些新功能的自动化， Apple 商务提供了新的 API， 包括创建蓝图和配置， 修改用户和群组， 应用授权信息以及获取审计事件。

这些 API 与现有的列出服务器、设备和库存的 API 相辅相成， 负责管理库存到设备管理服务器的分配， 以及获取设备的 AppleCare 保修详情。 请务必查阅新 API 的相关文档， 开始将其集成到您的产品中。 此外，还新增了一种批量授权机制， 用于 App Store 应用的订阅管理。 这使 IT 管理员能够购买和管理应用订阅。 该功能将在 Apple 商务和 Apple 校园教务管理 中稍后上线。 您可以使用设备管理服务分配应用订阅， 使用相同的工作流程， 与大规模分发应用的现有流程保持一致。 请观看"向群组和组织提供订阅"视频， 了解所有详情。 这些令人振奋的新功能，Apple 商务 和 Apple 校园教务管理 将持续演进，以满足各地 IT 团队的需求。

接下来，我将介绍 Apple 设备上设备管理支持的变化。 我想先回顾一下 Apple 设备管理愿景的核心支柱： "设备管理的未来是声明式管理"—— 这描述了向声明式管理转变的趋势。 但未来就是现在。 声明式管理不再只是路线图上的规划， 它已经到来， 它正在发布， 它已在全球范围内的设备群中投入生产使用。 如果您现在管理设备时还没有使用它， 您正在做不必要的额外工作。 所以现在"设备管理的标准就是声明式管理。"

我将在此介绍的声明式管理 增强功能并非孤立构建的， 它们是与最近发布的出色新硬件同步开发的。 企业和教育领域正迸发出强劲的发展势头， 这在一定程度上得益于全新的 Mac 电脑系列。 MacBook Neo 非常适合许多 初次使用 Mac 的用户， 尤其是 K-12 和高等教育领域的用户。

最新款 MacBook Air 和 MacBook Pro 的性能提升， 非常适合企业中流行的高要求 AI 工作流程。 综合来看，这传递出一个清晰的信号： Mac 和完整的 Apple 设备阵容 不只是企业和教育领域的一种选择， 而是最佳选择。

为了更轻松地迁移到新 Mac， 全新的托管迁移功能可帮助迁移数据， 同时保留设备管理注册和设置。 要激活此功能，需要新的声明式配置， 在设备管理注册后立即部署到设备。

这使 IT 管理员可以控制迁移哪些账户、文件、 以及安全和隐私设置。 迁移助理会报告声明式管理状态， 让 IT 管理员能够监控迁移进度。 这些设置会向用户显示，但它们处于锁定状态。 用户只需点击"继续"，即可开始迁移过程。 这是帮助用户快速上手新 Mac 的绝佳方式。 26.4 版本还包含针对 Apple 智能、Siri 和键盘设置的新声明式配置。 在最新版本中，这些配置已得到更新， 为 IT 管理员提供精细化控制， 针对各个 Apple 智能和 Siri 功能， 这些功能现已向用户开放。

接下来我将介绍 如何利用声明式管理数据模型的强大功能， 从凭证管理开始。 配置描述文件在引用凭证方面存在限制， 常常导致需要使用大型描述文件，并使更新过程效率低下。 由于声明式模型支持多对多关系， 多个配置可以引用同一个凭证。 使用凭证的配置描述文件 正在过渡到声明式配置， 因此管理凭证的生命周期效率大幅提升。 当您需要更新凭证时， 服务器只需更改资产， 设备会自动更新所有使用该凭证的配置。 以下是新增配置。 每当这些配置需要凭证时—— 无论是证书、身份还是密码， 都使用声明式资产来提供凭证数据。

状态通道是声明式管理的另一个强大要素。 它消除了服务器需要 持续轮询设备以获取状态变更的需求。 新版本新增了若干声明式状态项， 例如注册类型、等待设备配置、 返回服务状态、共享 iPad， 设备当前的推送令牌，以及更多内容。 此外，还有一个新的状态项， 用于指示用户是否已开启锁定模式。

状态通道还提供了一项新功能， 即设备系统健康监控。 iOS 和 iPadOS 设备可以通过"设置"应用 向用户报告硬件组件问题。 现在，iOS 和 iPadOS 27 可以在新的声明式管理 状态项中提供相同的信息，用于设备系统健康状态。 这包括硬件组件，例如基带、摄像头、 Face ID、Touch ID 等。 这为 IT 管理员提供了整个设备群的全面健康状态视图， 覆盖所有设备， 使他们能够采取主动行动，保持用户的高效运转。 设备管理的另一项新功能 是简化收集日志并提交给 AppleCare 进行分析的流程。 AppleCare 支持人员 目前可以为客户提供一个链接， 以触发设备上的增强日志收集过程。 在 iOS、iPadOS、tvOS 和 macOS 27 版本中， IT 管理员现在可以在组织自有设备上 启动增强日志收集。 这通过使用新的 TriggerEnhancedLogCollection 命令来实现。 因此，IT 团队可以在需要时协助 AppleCare 收集这些关键日志。 声明式状态也可帮助 IT 团队监控此过程。

另一个状态功能扩展的领域是内容缓存。 内容缓存可以减少带宽使用， 并加快软件更新的安装速度， 以及 Apple 设备上的应用、Apple 智能 和其他内容的安装， 方式是将这些内容存储在本地网络上的 Mac 电脑中。 内容缓存服务器可以扩展，以支持拥有大规模网络的大型组织。 覆盖广泛的网络。 在 macOS 27 中，现在提供声明式配置， 可控制 Mac 上的内容缓存服务， 并提供新的声明式状态项来报告服务状态。 这为 IT 管理员提供了一种直接的方式， 来监控其内容缓存服务器群的健康状况。 此外，内容缓存服务器还具备一项新功能， 允许它们直接将自己的报告 发送到任意 HTTPS 端点。 这使得可以构建更复杂的监控控制台， 以辅助 IT 管理员工作。 所有这些新的状态项为设备管理服务提供了 更多向 IT 管理员和支持人员 报告有用及关键信息的途径。 请记住，添加对声明式状态项的支持， 只需简单地订阅这些状态项， 设备便会在状态值发生变化时 实时发送给您的服务器。

设备管理的另一个重要领域 是管理和配置应用。 这是设备管理中最重要的方面之一。 现在，我将介绍此版本中应用管理的变化。 首先，声明式应用配置功能 已在 iOS、iPadOS 和 visionOS 上提供，现在即将推出到 macOS 27。 这允许对托管应用进行 安全的凭证和配置预配， 包括使用硬件绑定密钥的能力， 以及启用托管设备认证支持， 以使用企业服务对应用和扩展进行身份验证。 这开启了 在 macOS 上更安全的企业应用部署和配置的大门。 请鼓励您的企业应用开发者 在其产品中采用 ManagedApp 框架， 以帮助保持您的组织安全、顺畅地运转。

接下来，谈谈软件包。 macOS 27 现在为 IT 管理员提供了移除所有文件的选项， 以及由声明式管理软件包安装的目录， 当软件包配置本身被移除时。 这确保了不再需要的不必要数据和文件 不会遗留在设备上。

现在，我想介绍隐私设置。 披露和同意是 Apple 隐私保护方式的核心要素。 这意味着当应用 或 Safari 中的网站 尝试访问摄像头、麦克风或位置等功能时 系统会向用户显示提示。 对于某些工作人员，这意味着需要反复点击 他们每天使用的应用所弹出的多个提示。 这些提示可能会被用户快速关闭， 导致应用配置不当。 为了简化此过程，iOS、iPadOS 和 macOS 27 中 新增了一个整合的隐私同意提示， 该提示会在应用首次启动时， 或网站首次在 Safari 中显示时呈现。 让我们来看看这对应用的作用。 提示会显示组织和应用的名称。 IT 管理员提供的理由说明， 以及每个组件的详细信息 （其隐私默认值正在被推荐）， 以及应用对每一项的理由说明。 这让用户清晰地了解到所请求的内容， 原因以及请求方。 提示中有两个按钮。 如果用户选择"允许"， 默认设置将应用到隐私设置中， 用户在使用该应用时不会再出现额外提示。 如果用户选择"暂不"， 当用户使用应用且应用访问相关组件时 同意提示会照常出现， 与未托管状态相同。 重要的是，"允许"按钮是默认按钮， 并明显突出显示，以引导用户做出正确选择。 应用的相同提示 也适用于在 Safari 中请求隐私权限的网站。 提示包含相同的元素，同样清晰显示默认按钮。 以下是可为应用和网站管理的隐私组件。 IT 管理员决定用户在其应用中需要访问哪些组件， 或在网站上，然后创建一个声明式配置， 列出应用或网站以及所选组件。 这些新的控制措施在保护用户隐私的同时 消除了多次提示的情况。 它也让 IT 管理员放心， 用户现在更有可能做出正确的选择。 现在让我们将注意力转向 macOS 上应用管理的关键部分： 控制哪些应用和其他二进制文件正在运行的能力。 Mac 电脑包含来自 App Store 的应用集合， 以及可能从 App Store 以外安装的 其他二进制文件和可执行文件。 其中许多是受管理的， 但还有更多是由用户有意或无意安装的， 无论是有意还是无意， 但这些并不总是符合组织的要求。 组织需要对允许的二进制文件进行控制， 以满足合规性法规。 因此，在 macOS 27 中，新的声明式管理设置 可用于控制二进制文件的执行。 这使用 Endpoint Security 框架 来允许或拒绝二进制文件的执行， 并关闭与已被拒绝的二进制文件 相关联的所有进程。 有灵活的规则来匹配二进制文件 这些规则利用代码签名属性， 以确保匹配的二进制文件确实是 IT 管理员希望控制的那些。 还有一个选项可以自动允许任何托管应用， 无需为每个应用添加特定规则。 新的应用隐私控制和二进制文件阻止限制 是新的声明式 app.settings 配置的一部分。 Safari 网站权限则是现有声明式 safari.settings 配置的一部分。

这些是控制应用、二进制文件、 隐私提示等方面的出色新功能。 现在我将介绍 Mac 电脑的另一个重要企业功能： 使用平台单点登录与身份提供商集成。 过去几个版本已经显著改进 并增强了 macOS 上的平台 SSO， 以简化设置并更好地支持共享工作流程。 所有这些都以使登录更直观、 高度安全，以及提供更多防网络钓鱼方式 来保护组织用户及其 Mac 数据为目标。

我们正在借助 macOS 27 将平台 SSO 推进得更远， 从全新的登录和解锁体验开始。 从一开始，用户就清楚地知道 他们正在使用其组织的凭证。 用户可以像今天一样输入密码或使用 Touch ID。 Touch ID 是最安全、 最方便的 Mac 解锁方式， 但直到现在，它一直是可选的。 macOS 27 的新功能允许 IT 管理员 要求用户使用 Touch ID， 除了在组织设备上输入密码外， 还提供内置的第二重验证因素。 这在登录时、屏幕解锁时 甚至 FileVault 解锁过程中都会强制执行。

现代认证标准允许以多种方式对用户进行身份验证， 提供安全功能以防止网络钓鱼攻击， 以及调整认证界面 以匹配组织品牌， 安全策略和用户群体。 这包括用于多重身份验证的一次性验证码。 用于条件访问工作流程的推送通知。 以及用于无密码登录的 QR 码，专为年轻学习者 和共享设备环境（如医疗、零售和物流）设计。 还有更多内容。 为了支持这些功能， macOS 27 为平台 SSO 引入了 新的基于 Web 的认证选项。 身份提供商和组织 现在能够使用安全 Web 视图， 该视图在登录窗口和屏幕解锁中呈现。 它可以运行任何现代认证流程， 包括自定义挑战-响应序列。 Web 视图在由操作系统管理的 严格受控的执行环境中运行， 以确保组织和用户受到保护。 此外，Web 视图还可以扫描 QR 码。 启动扫描时， 摄像头完全在安全系统进程中运行， 与 Web 视图本身完全隔离。 网页只接收 QR 码中的解码数据， 而不是原始摄像头画面或任何图像数据。 这确保网站无法捕获用户或其周围环境的图像， 即使是无意中也不会。 Web 认证跨登录窗口、屏幕解锁 以及 FileVault 解锁过程工作。 并提供安全且可强制执行的认证。 离线认证也得到支持，以确保访问的连续性， 而不会削弱未连接设备的安全态势。 对于企业，这开放了深度定制，例如： 本地化登录页面、无障碍优化流程， 基于设备状态的条件提示， 以及与现有身份基础设施的无缝集成。 Authentik、ClassLink 和 Identity Automation 等开发商 正在努力在其产品中 为平台 SSO 启用新的 Web 登录和 QR 码支持。

现在，让我们介绍结合平台 SSO 的认证访客模式。 它允许用户（例如在病房间穿梭的护士或医生） 在临时会话中快速安全地登录共享 Mac。 macOS 27 现在扩展了此功能 允许已认证的访客用户 也可以登录受 FileVault 保护的 Mac 电脑， 以解锁 FileVault 本身。 因此，现在可以使用全磁盘加密 来保护设备上的数据， 当认证访客用户使用设备时， 确保符合数据保护法规。 此功能在配置了认证访客模式的设备上 自动可用， 无需额外配置。 认证不应该是障碍，而应该是桥梁。 最好的登录体验是用户甚至不需要考虑的那种。

这些新的身份和登录功能为组织提供了灵活性， 以设计对用户而言感觉毫不费力的体验， 以及安全保障的信心。

最后，简要介绍我们教育产品的一些更新。 我刚刚介绍了 macOS 的认证访客模式， 现在我可以分享，它也将在此版本 稍后推出到共享 iPad。 启用后，iPad 会启动进入临时会话 并显示登录屏幕， 用户使用其托管 Apple 账户登录。 登录可使用原生认证或联合认证， 与身份提供商配合，完全支持单点登录。 在临时会话中， 用户可以在屏幕左上角看到他们的用户名。 此外，临时会话与系统共享设备容量， 没有硬性配额，使存储使用更加灵活。 当用户从锁定屏幕退出时， 所有本地数据和托管 Apple 账户 将自动从设备中移除。 这是共享 iPad 的一个出色新增功能 为您提供了更多部署方式。

iPad 和 Mac 等设备 已成为课堂学习的常态， 但教师往往很难 让学生在课堂上专注于当前任务。 我很高兴地宣布， 课堂应用中新增了引导浏览功能。 教师可以锁定学生可以浏览的网站， 使用课堂应用限制在一个或多个标签页内。 他们还可以将学生锁定在单个标签页 以立即聚焦注意力。 教师可以配置在此模式下使用哪些网站， 通过直接输入， 或使用他们在规划课堂作业时准备的书签。 他们可以限制学生在网站内外的导航能力。 他们可以授予访问摄像头和麦克风的权限， 学生可以自主决定是否保持启用状态。 他们可以将一个或多个学生引导到所选网站集合。 学生设备 会打开引导浏览器并显示相应网站。 综合来看， 这些功能有助于解决当今课堂中的一个核心问题。

这就是对此版本中一些令人振奋的新功能的简要概述， 这些功能适用于本次发布的 Apple 设备和平台。 所有设备管理对象架构和文档 现已在开源 GitHub 网站 和 developer.apple.com 上向您开放。

另请查看"App Attest"视频， 该视频提供了安全识别企业应用的新方式的详细信息。 最后，还有"评估模式"视频， 介绍了评估模式应用供应商可用的所有新功能。 设备管理的标准是声明式管理， 凭借出色的新 Mac 硬件和强大的移动设备， 结合此版本中出色的新设备管理功能， 您可以将其定为您的标准。 您可以为用户提供 每个人对 Apple 设备所期待的一流体验。 现在是设备管理供应商 和身份提供商构建对这些功能的支持的时候了， 以便 IT 管理员可以不延迟地将这些功能交付给用户。 感谢您，祝您在 WWDC 余下的时间愉快。