Apple 平台部署新功能
部署和移动设备管理 (MDM) 推出针对 iPhone、iPad、Mac、Apple TV、Apple Watch 和 Apple Vision Pro 设备的新功能。这些更新包括以下操作系统:
iOS 18.0
iPadOS 18.0
macOS 15.0
Apple tvOS 18.0
watchOS 11.0
visionOS 2.0
【注】这不是《Apple 平台部署》中所有新内容和更改内容的完整列表。有关更完整的列表,请参阅文稿修订历史。
有关更多信息,请参阅 WWDC24 视频:设备管理方面的新动向。
Apple Vision Pro 自动设备注册
在 visionOS 2.0 中,组织可使用自动设备注册引导设置 Apple Vision Pro 设备以自动化 MDM 注册、在激活期间监督设备以及简化初始设备设置。
使用 visionOS 1.1 或更高版本的 Apple Vision Pro 设备还可通过账户驱动型设备注册和账户驱动型用户注册进行注册。账户驱动型设备注册和账户驱动型用户注册可让组织以加密方式分离组织数据和个人数据。
软件更新过程
iPhone、iPad 和 Mac 设备上的软件更新现可完全通过声明式设备管理进行管理,这种方式替代了用于软件更新限制、设置以及软件更新命令和查询的 MDM 描述文件。带来的结果是适应性更强的软件更新过程管理和更高的用户透明度。
在 iOS 18、iPadOS 18 和 macOS 15 中,com.apple.configuration.softwareupdate.settings 配置可在 iPhone、iPad 和 Mac 设备上用于配置以下项目:
自动软件更新行为
快速安全响应行为
推迟软件更新(1–90 天)
为 macOS 执行更新是否需要本地管理员授权
执行软件更新时的默认通知行为
软件升级的可见性(推荐规律)(仅限 iOS 和 iPadOS)
有关更多信息,请参阅:
Beta 版软件管理
管理 Beta 版软件安装时,组织现可执行以下操作:
远程将设备注册到不同的 Beta 版计划(包含推迟 Beta 版及生产版更新和升级的选项),以及实施从初始 Beta 版软件升级开始的分阶段测试和推出方式。
在被监督设备上执行、限制和推迟这些项目提供的 Beta 版本(类似于软件更新)。
提供状态报告来提高可见度,并允许组织跟踪管理式设备上的 Beta 版计划注册。
使用组织令牌将设备添加到 Beta 版计划。用户无需通过任何(个人或管理式)Apple 账户在“设置”或“系统设置”中登录。这样就不再需要用户手动执行步骤,可在 Beta 版测试生命周期内精简流程。该流程因操作系统而异:
使用自动设备注册时,在“设置助理”运行期间添加设备。(iOS 17.5、iPadOS 17.5 和 macOS 14.5 或更高版本)。
使用 com.apple.configuration.softwareupdate.settings 配置添加设备(iOS 18 Beta 版、iPadOS 18 Beta 版)。
有关更多信息,请参阅使用 AppleSeed for IT Beta 计划测试软件更新。
eSIM 更新
在 iOS 18 和 iPadOS 18 中,allowESIMOutgoingTransfers 可用于控制 eSIM 是否能传输到新设置的设备。
有关更多信息,请参阅关于 allowESIMOutgoingTransfers 限制。
多个“蜂窝专用网络”有效负载
iOS 18 和 iPadOS 18 支持多个“专用蜂窝网络”有效负载,可配置最多五个专用 5G 或 LTE 网络。有效负载定义了每个网络的地理围栏,因此随着用户进入和离开专用网络覆盖范围,合适的 eSIM 可自动打开或关闭。
有关更多信息,请参阅 MDM 与专用蜂窝网络。
Safari 浏览器扩展管理
Safari 浏览器扩展可优化和自定义 iPhone、iPad 和 Mac 上的网络浏览体验。在 iOS 18、iPadOS 18 和 macOS 15 中,组织现可使用 MDM 解决方案管理被监督设备上 Safari 浏览器扩展的使用方式。例如,企业可能想要安装和打开特定扩展以供访问内部服务,教育机构可能想要阻止学生使用提供的信息违反学校政策的扩展。这些扩展管理功能适用于标准浏览和无痕浏览,且包括:
定义允许的扩展
控制始终打开或始终关闭的扩展
配置扩展来按特定域和子域访问网站
有关更多信息,请参阅 Safari 浏览器扩展管理声明式配置。
Apps and Books for Organizations API
MDM 开发者现可使用其开发者账户配置服务 ID 以及用于 Apps and Books for Organizations API 的授权密钥,以获取其管理的 App 和图书的相关信息。其他更改包括:
指示 App 是否兼容 visionOS 的新字段
用于搜索 App Store 的新端点
有关更多信息,请参阅 Apple 开发者网站上的配置 Apps and Books for Organizations API。
为企业内部专有 App 开发者预置和管理用户
企业内部专有 App 开发者将可访问 Apple API 以预置和管理用户,这可允许其自动执行任务,如生成预置描述文件和将用户管理集成到现有工作流程中。
有关更多信息,请参阅 Apple 开发者网站上的企业项目 API。
为 MDM 客户设置推送通知的安全性提升
MDM 开发者当前可使用 Apple 推送通知服务 (APNs) 为其客户创建精简的推送证书创建流程。此流程包括为每位客户创建证书签名请求 (CSR) 并签名。然后每位客户即可使用提供的 CSR 从 Apple 推送通知门户获取证书。
今年晚些时候,Apple 推送通知门户将要求通过 SHA2 算法为 CSR 签名,以提高安全性。对于通过 SHA1 签名的 CSR,证书将不会颁发。有关最佳实践的更多信息,请参阅 Apple 开发者网站上的设置推送通知。
针对数学笔记、智能手写、Image Playground 和写作工具的设备管理
Apple 将针对数学笔记、智能手写、Image Playground 和写作工具提供设备管理 (MDM) 和评估模式 (AAC) 控制。
有关更多信息,请参阅数学笔记和计算器 App 设置配置。
组织还可进一步了解写作工具和 Image Playground 等 Apple 智能功能如何利用专用云计算。有关更多信息,请参阅 Apple 安全性研究网站上的专用云计算:云端人工智能隐私新前沿。
注册期间通行密钥和硬件安全密钥支持
在 macOS 15 中,“设置助理”支持 ASWebAuthenticationSession,可允许在注册期间使用通行密钥和受支持的硬件安全密钥。
“可扩展单点登录 Kerberos”有效负载
以下是“可扩展单点登录 Kerberos”有效负载的新键:
允许切换到密码模式:
allowPassword允许切换到智能卡模式:
allowSmartCard过滤可用智能卡列表:
identityIssuerAutoSelectFilter在智能卡模式中启动 Kerberos 扩展:
startInSmartCardMode
平台单点登录
为支持需要通过 IdP 认证的高安全性 macOS 部署,macOS 15 中的平台单点登录(平台 SSO)将扩展以实现:
使用新策略选项
RequireAuthentication,在文件保险箱、锁定屏幕和登录窗口中要求 IdP 认证RequireAuthentication启用后,选择配置触控 ID 或 Apple Watch 以用于轻松解锁屏幕配置离线和认证宽限期,以便用户在离线时登录或解锁屏幕
外部和网络储存空间访问
在 macOS 15 中,为帮助组织管理其数据传输出设备的方式,组织现可使用新磁盘管理配置选取允许或不允许外部或网络储存空间,或者限制装载只读宗卷。
此配置替代了已弃用的媒体管理有效负载。有关更多信息,请参阅储存空间管理声明式配置。
后台任务管理
macOS 支持以用户名义启动或作为独立进程运行以在后台提供持续服务的后台任务。
在 macOS 15 中,可执行文件、脚本和已启动配置文件可使用 MDM 安装,并储存在防篡改的安全位置(类似于去年推出的服务配置文件),为组织提供了部署和控制受管理服务的简单方式。
macOS 本地网络访问
在 macOS 15 中,想要与用户本地网络上的设备交互的第三方 App 或启动代理必须在首次尝试浏览本地网络时请求许可。
类似于 iOS 和 iPad OS,用户现可前往“系统设置”>“隐私”>“本地网络”以允许或拒绝此访问,从而控制自己的隐私。
macOS 虚拟机更新
在运行 macOS 15 的虚拟机上,用户可执行以下操作:
登录 iCloud(使用个人 Apple 账户),前提是其账户已在 Apple 实体设备上登录。这将允许用户在虚拟机上访问 iCloud 服务和与 iCloud 关联的 App。
使用“抹掉所有内容和设置”。
“设置助理”更新
以下选项(iOS 和 iPadOS 中已经可用)现还可在 macOS 15 中使用以实现无缝设置体验:
自动设备注册中作为“跳过密钥”一部分的
Welcome“设置助理”描述文件有效负载中的
SkipSetupItems
“系统设置”更新
macOS 15 中“系统设置”的“描述文件”部分已重新命名为“设备管理”,现显示在“通用”部分中。此更改使得 Mac 与 iOS 和 iPadOS 更加一致。
隐藏和锁定 App
iOS 18 和 iPadOS 18 带来了新选项,可让用户要求使用面容 ID、触控 ID 或密码打开 App,以及将其从主屏幕隐藏。MDM 可通过以下方式管理这些选项的可用性:
针对每个 App 控制用户隐藏和锁定受管理 App 的能力
停用被监督设备上隐藏和锁定所有 App 的功能
对于通过用户注册进行注册的设备,只有受管理的隐藏 App 才会报告给 MDM。对于通过设备注册进行注册的设备,隐藏的 App 会随所有已安装 App 报告给 MDM。
企业内部 App 安装
在 iOS 18 和 iPadOS 18 中,手动安装(而非使用 MDM)的企业内部专有 App 现需要重新启动设备以完成对预置描述文件的信任。之前由相同预置描述文件签名的已安装 App 无需重新启动且自动受信任。
以可用状态返还
“以可用状态返还”可让在 MDM 中还原和重新注册 Apple TV 设备的过程通过无线网络完全自动化。在 Apple tvOS 18 中,MDM 解决方案发送抹掉管理式设备的命令时,它必须提供无线局域网详细信息并定义要将设备注册到的 MDM 解决方案。
如果设备显示在“Apple 商务管理”或“Apple 校园教务管理”中,则可忽略 MDM 服务器配置。这会触发设备在激活过程中检查注册描述文件。然后设备会抹掉所有数据,并使用之前的语言和地区设置自动运行“设置助理”,直至显示主屏幕且可供使用。
隔空播放接收器身份认证
在 Apple tvOS 18 中,隔空播放接收器不再广播其设备 ID(MAC 地址)。RequestMirror 命令可使用设备名称或设备 ID,但仅设备名称适用于运行 Apple tvOS 18 的 Apple TV 设备。“隔空播放”有效负载的其他更改包括:
允许的设备 ID 列表(称为允许列表)现可接受设备名称。
在 macOS 15 中,密码列表会将密码关联到设备名称。此功能在 iOS 和 iPadOS 中已经可用。
配置管理更新
在 visionOS 2.0 中,组织可配置注册 SSO 以及设备锁、激活锁和密码管理等配置,以更轻松在组织中部署。有关更多信息,请参阅 Apple 设备管理 GitHub 仓库。
有关 visionOS 1.1 或更高版本支持的有效负载、访问限制、命令和声明式配置的完整列表,请参阅以下内容:
iPad 多 App 评估模式
在 iPadOS 17.6 或更高版本中,开发者可搭配其主要评估 App 充分利用其他 App,例如辅助功能 App 和可能使用计算器、备忘录和电子表格的 App。
课业 3.0
配合 iPadOS 17.5 或更高版本使用课业 3.0 时,教师可:
将任何文稿或文件作为“课堂”评估发送,包括 PDF 以及从 Pages 文稿、Numbers 表格、Keynote 讲演和 Google Suite(文稿、表格、幻灯片)创建的文件
从 iCloud 上传文稿,以及将纸质文稿直接扫描到“课业”中
使用打分功能检查学生作业和文稿并打分
逐题分析学生表现,还包括其他报告和分析功能
“课堂” App 中未受管理的附近课程
在 iPadOS 17.4 和 macOS 14.4 或更高版本中,此功能可让使用管理式 Apple 账户的教师在“课堂”中创建和使用未受管理的附近课程(而非 Apple 校园教务管理课程)。