「Apple 平台部署」中的新功能
部署和流動裝置管理(MDM)為 iPhone、iPad、Mac、Apple TV、Apple Watch 和 Apple Vision Pro 裝置帶來了新的功能。 這些更新項目包括以下作業系統:
iOS 18.0
iPadOS 18.0
macOS 15.0
tvOS 18.0
watchOS 11.0
visionOS 2.0
附註:這不是「Apple 平台部署」的新增和已更改內容完整列表。 如需更完整的列表,請參閲文件修正記錄。
如需更多資料,請參閲 WWDC24 影片:裝置管理的新功能。
Apple Vision Pro 的「自動裝置註冊」
在 visionOS 2.0 中,機構可以使用「自動裝置註冊」加入 Apple Vision Pro 裝置來自動化 MDM 註冊、在啟動期間監管裝置,以及簡化初始裝置設定。
使用 visionOS 1.1 或較新版本的 Apple Vision Pro 裝置也可以使用「由帳户控制的裝置註冊」和「由帳户控制的用户註冊」來註冊。 「由帳户控制的裝置註冊」和「由帳户控制的用户註冊」可讓機構以加密編譯方式分隔機構資料和個人資料。
軟件更新程序
iPhone、iPad 和 Mac 裝置上的軟件更新現可以完全透過聲明式裝置管理來進行管理,取代用於軟件更新限制、設定﹐以及軟件更新指令和查詢的 MDM 描述檔。 可以帶來更有韌性的軟件更新程序管理並提升用户透明度。
在 iOS 18、iPadOS 18 和 macOS 15 中,com.apple.configuration.softwareupdate.settings 設定可在 iPhone、iPad 和 Mac 裝置上用於設定以下項目:
自動軟件更新行為
「快速保安回應」行為
延遲軟件更新(1–90 日)
執行 macOS 更新是否需要本機管理員授權
強制執行軟件更新時的預設通知行為
軟件更新的可見性(建議頻率)(只限 iOS 和 iPadOS)
如需更多資料,請參閲:
Beta 版軟件管理
管理 Beta 版軟件的安裝時,機構現在可以執行下列操作:
遙距將不同裝置註冊到不同 Beta 版計劃,而且與延遲 Beta 版和生產版更新和升級的選項結合,並實行從初始 Beta 版軟件升級開始的分階段測試和推出的方式。
在受監管裝置上強制執行、限制和延遲由這些計劃提供的 Beta 版本(類似軟件更新)。
提供狀態報告來提高可見性,並允許機構追蹤受管理裝置上的 Beta 版計劃註冊。
使用機構代號來將裝置加至 Beta 版計劃。 用户不需要使用任何(個人或管理式)Apple 帳户登入「設定」或「系統設定」。 這可讓用户無需手動執行步驟並可簡化整個 Beta 版測試生命週期的程序。 程序會因應作業系統而有所不同:
使用「自動裝置註冊」時在「設定輔助程式」運作期間加入裝置。 (iOS 17.5、iPadOS 17.5 和 macOS 14.5 或較新版本)。
使用 com.apple.configuration.softwareupdate.settings 設定加入裝置(iOS 18 Beta 版、iPadOS 18 Beta 版)。
eSIM 更新
在 iOS 18 和 iPadOS 18 中,allowESIMOutgoingTransfers 可用於控制是否能將 eSIM 轉移至新設定的裝置。
多個「私人流動網絡」承載資料
iOS 18 和 iPadOS 18 支援多個「私人流動網絡」承載資料,可以設定最多五個私人 5G 或 LTE 網絡。 因為承載資料會為網絡定義地理圍欄,可以在用户進出私人網絡覆蓋範圍時自動開啟或關閉適當的 eSIM。
詳情請參閲:包括私人流動網絡的 MDM。
Safari 延伸功能管理
Safari 延伸功能可以加強和自訂 iPhone、iPad 和 Mac 上的網頁瀏覽體驗。 在 iOS 18、iPadOS 18 和 macOS 15 中,機構現可以使用 MDM 解決方案管理受監管裝置上的 Safari 延伸功能使用方式。 例如,公司可能想安裝並開啟指定的延伸功能以提供取用內部服務的權限,或者教育機構可能會想阻止學生使用會提供違反學校政策的資料之延伸功能。 這些延伸功能管理功能適用於標準瀏覽和「私密瀏覽」,而且包括:
定義獲允許的延伸功能
控制總是開啟或總是關閉哪些延伸功能
透過指定網域和子網域來設定延伸功能以取用網站
如需更多資料,請參閲:Safari 延伸功能管理聲明式設定。
機構 API 的 App 和書籍
MDM 開發者現可以使用其開發者帳户設定的「服務識別碼」以及「機構 API 的 App 和書籍」之授權密鑰,以取得關於其管理的 App 和書籍之相關資料。 其他更改包括:
表示 App 是否與 visionOS 相容的新欄位
用於搜尋 App Store 的新端點
如需更多資料,請參閲 Apple 開發者網站上的設定「機構 API 的 App 和書籍」。
為專有的內部 App 開發者佈建和管理用户
專有的內部(企業)App 開發者可以存取 Apple API 以佈建和管理用户,這可以讓其將任務自動化,例如產生佈建描述檔以及將用户管理整合到現有的工作流程。
如需更多資料,請參閲 Apple 開發者網站上的企業計劃 API。
為 MDM 客户設定推送通知的保安提升
MDM 開發者現時可以使用「Apple 推送通知服務」(APNs)為其客户建立精簡的推送證書製作流程。 這個流程包括為每個客户製作「證書簽署要求」(CSR)並進行簽署。 然後每個客户即可使用獲提供的 CSR 來從「Apple 推送通知證書」入口網站取得證書。
在今年稍後時間,「Apple 推送通知證書」入口網站將會要求透過 SHA2 演算法簽署 CSR 以提升保安。 系統不會為透過 SHA1 簽署的 CSR 發出證書。 如需更多關於最佳做法的資料,請參閲 Apple 開發者網站上的設定推送通知。
「數學備忘錄」、「智慧型書寫」、「影像樂園」和「書寫工具」的裝置管理
Apple 將會為「數學備忘錄」、「智慧型書寫」、「影像樂園」和「書寫工具」提供裝置管理(MDM)和「評估模式」(AAC)控制項目。
如需更多資料,請參閲:數學和「計算機」App 設定配置。
機構也可以進一步了解「書寫工具」和「影像樂園」等 Apple Intelligence 功能如何利用「私密雲端運算」。 如需更多資料,請參閲「Apple 私隱研究」網站上的私密雲端運算:雲端 AI 私隱的新境界。
註冊期間的通行密匙和硬件保安密鑰支援
在 macOS 15 中,「設定輔助程式」支援 ASWebAuthenticationSession,允許系統在註冊期間支援通行密鑰和受支援的硬件保安密鑰。
「可延伸的單一登入 Kerberos」承載資料
以下是「可延伸的單一登入 Kerberos」承載資料的新密鑰:
允許切換到密碼模式:
allowPassword允許切換到智慧卡模式:
allowSmartCard過濾可用智慧卡列表:
identityIssuerAutoSelectFilter在智慧卡模式中開始 Kerberos 延伸功能:
startInSmartCardMode
平台單一登入
為支援需要透過 IdP 認證的高度保安 macOS 部署,macOS 15 中的「平台單一登入」(平台 SSO)已延伸至:
使用新的規則選項(
RequireAuthentication)在「檔案保險箱」、鎖定畫面和登入視窗要求 IdP 認證RequireAuthentication啟用後,可以選擇設定 Touch ID 或 Apple Watch 解鎖螢幕以便輕鬆使用設定離線和認證寬限期,讓用户在離線時可以登入或解鎖螢幕
外置和網絡儲存空間取用權限
在 macOS 15 中,為協助機構管理從裝置輸出資料的方式,機構現可以使用新的磁碟管理設定來選擇允許或不允許外置或網絡儲存空間,或者限制裝載唯讀卷宗。
此設定會取代已停用的媒體管理承載資料。 如需更多資料,請參閲:儲存空間管理聲明式設定。
背景作業管理
macOS 包括以用户身份啟動或以獨立程序執行以在背景中供持續服務的背景作業的支援。
在 macOS 15 中,執行檔、程式碼和啟動設定檔可以使用 MDM 安裝,並儲存在安全及可防止竄改的位置(類似去年推出的服務設定檔),為機構提供部署和控制受管理服務的輕鬆方式。
macOS 的區域網絡連線
在 macOS 15 中,想在用户的區域網絡上與裝置進行互動的第三方 App 或啟動代理必須在首次嘗試瀏覽區域網路時要求權限。
與 iOS 和 iPad OS 相似,用户現在可以前往「系統設定」>「私隱」>「區域網路」來允許或拒絕此取用權限,讓用户可以掌控其私隱。
macOS 虛擬機器更新
在執行 macOS 15 的虛擬機器上,用户可以執行以下操作:
在實體 Apple 裝置上登入其帳户後登入 iCloud(使用個人 Apple 帳户)。 這可以讓用户在虛擬機器上取用 iCloud 服務和已連繫至 iCloud 的 App。
使用「清除所有內容和設定」。
「設定輔助程式」更新
以下的選項(已在 iOS 和 iPadOS 上提供)現時亦可在 macOS 15 上使用,以提供流暢的設定體驗:
作為「自動裝置註冊」的「略過密鑰」一部份的
Welcome「設定輔助程式」描述檔承載資料中的
SkipSetupItems
「系統設定」更新
在 macOS 15 中,「系統設定」的「描述檔」部份已重新命名為「裝置管理」,其現會出現在「一般」部份。 這項更改讓 Mac 與 iOS 和 iPadOS 更加一致。
隱藏和鎖定 App
iOS 18 和 iPadOS 18 推出新的選項,讓用户可以要求使用 Face ID、Touch ID 或密碼來開啟 App,以及將 App 從主畫面上隱藏。 MDM 可以透過以下方式管理這些選項的適用範圍:
控制用户針對個別 App 隱藏和鎖定「受管理的 App」的能力
停止隱藏和鎖定受監管裝置上的所有 App
對於透過「用户註冊」註冊的裝置,只有在隱藏的 App 是受管理 App 時才會向 MDM 報告。 至於透過「裝置註冊」註冊的裝置,隱藏的 App 會作為所有已安裝 App 的一部份報告給 MDM。
內部 App 安裝
在 iOS 18 和 iPadOS 18 中,手動安裝(而非使用 MDM)的「專有的內部 App」現需要重新啟動裝置以完成對佈建描述檔的信任。 在之前,透過相同佈建描述檔簽署的已安裝 App 不需要重新開機並會自動受信任。
返回服務
「返回服務」讓 Apple TV 的重設和重新註冊 MDM 過程能夠完全自動化並可透過無線網絡進行。 在 tvOS 18 中,當 MDM 解決方案傳送指令來清除受管理的裝置時,其必須提供 Wi-Fi 詳細資料並定義註冊裝置的 MDM 解決方案。
如果裝置出現在 Apple Business Manager 或 Apple School Manager 中,就可以忽略 MDM 伺服器設定。 這會觸發裝置在啟用時檢查註冊描述檔。 然後裝置會清除所有資料,並使用之前的語言和地區設定透過「設定輔助程式」自動進行操作,直至到達主畫面,準備好可供使用。
AirPlay接收器識別身份
在 tvOS 18 中,AirPlay 接收器不會再公佈其裝置識別碼(MAC 地址)。 RequestMirror 指令可以使用裝置名稱或裝置識別碼,但執行 tvOS 18 的 Apple TV 裝置只能配合裝置名稱使用。 AirPlay 承載資料的其他更改包括以下項目:
允許的裝置識別碼列表(被稱為允許列表)現可以接受裝置名稱。
在 macOS 15 中,密碼列表會將密碼連結到裝置名稱。 此功能已在 iOS 和 iPadOS 中使用。
設定管理更新
在 visionOS 2.0 中,機構可以設定「註冊 SSO」,以及裝置鎖定、「啟用鎖」、密碼管理等設定,以便更輕鬆地在機構中部署。 如需更多資料,請參閲:Apple 裝置管理 GitHub 資源庫。
如需 visionOS 1.1 或較新版本支援的承載資料、取用限制、指令和聲明式設定之完整列表,請參閲以下內容:
iPad 的多 App 評估模式
在 iPadOS 17.6 或較新版本中,開發者可以配合其主要評估 App 來充份利用其他 App,例如輔助使用 App,以及可以使用計算機、備忘錄和試算表的 App。
功課 3.0
在已安裝「功課」3.0 的 iPadOS 17.5 或較新版本中,教師可以:
以「課堂」評估的形式傳送任何文件或檔案,包括 PDF 以及從 Pages、Numbers、Keynote 和 Google Suite 中製作的檔案(文件、工作表、幻燈片)
從 iCloud 上載文件,以及將紙本文件直接掃描到「功課」中
使用評分功能來檢視學生的功課和文件並進行評分
分析學生每題的表現,還會包括其他報告和分析功能
「課堂」App 中未受管理的附近班級
在 iPadOS 17.4 和 macOS 14.4 或較新版本中,此功能讓擁有「管理式 Apple 帳户」的導師可以在「課堂」中製作並使用未受管理的附近班級(而不是 Apple School Manager 班級)。