Apple 平台部署中的新功能
部署和行動裝置管理(MDM)為 iPhone、iPad、Mac、Apple TV、Apple Watch 和 Apple Vision Pro 裝置導入新功能。這些更新項目包含下列作業系統:
iOS 18.0
iPadOS 18.0
macOS 15.0
tvOS 18.0
watchOS 11.0
visionOS 2.0
【注意】這並非「Apple 平台部署」中所有全新和更動內容的完整詳盡列表。如需更完整的列表,請參閱:文件修改記錄。
如需更多資訊,請參閱 WWDC24 影片:裝置管理的新內容。
Apple Vision Pro 的「自動裝置註冊」
在 visionOS 2.0 中,組織可以使用「自動裝置註冊」加入 Apple Vision Pro 裝置來自動化 MDM 註冊,在啟用期間監管裝置以及簡化初始裝置設定。
Apple Vision Pro 裝置也可使用 visionOS 1.1 或以上版本中的「帳號導向的裝置註冊」和「帳號導向的使用者註冊」來進行註冊。「帳號導向的裝置註冊」和「帳號導向的使用者註冊」可讓組織以加密編譯方式將組織資料與個人資料區隔。
軟體更新程序
iPhone、iPad 和 Mac 裝置上的軟體更新現在可使用宣告式裝置管理進行全面管理,取代軟體更新取用限制、設定以及軟體更新指令和查詢的 MDM 描述檔。結果是軟體更新程序的管理更有韌性以及提升對使用者的顯示頻率。
在 iOS 18、iPadOS 18 和 macOS 15 中,com.apple.configuration.softwareupdate.settings 設定可在 iPhone、iPad 和 Mac 裝置上使用來設定下列項目:
自動軟體更新動作
「快速安全回應」動作
軟體更新的延遲(1-90 天)
是否需要本機管理者授權才能執行 macOS 的更新
強制執行軟體更新時的預設通知動作
軟體升級(僅限 iOS 和 iPadOS)的顯示頻率(建議的步調)
如需更多資訊,請參閱:
Beta 版軟體管理
管理 Beta 版軟體的安裝時,組織現在可以執行下列操作:
透過遠端方式將裝置註冊不同的 Beta 版計畫,而且與延遲 Beta 版和產品發佈的選項結合,從初始 Beta 版軟體升級開始實施階段的測試和首次推出的方式。
在受監管裝置上強制執行、限制和延遲這些計畫提供的 Beta 版本(與軟體更新相似)。
提供增加顯示頻率的狀態報告和允許組織追蹤受管理裝置上的 Beta 版計畫註冊。
使用組織代號將裝置加入 Beta 版計畫。使用者不需要使用任何(個人或管理式)「Apple 帳號」登入「設定」或「系統設定」。這可免除由使用者手動執行的步驟需求並讓程序在整個 Beta 版測試生命週期中獲得簡化。程序會因作業系統而異:
使用「自動裝置註冊」時在「設定輔助程式」期間加入裝置。(iOS 17.5、iPadOS 17.5 和 macOS 14.5 或以上版本)。
使用 com.apple.configuration.softwareupdate.settings 設定加入裝置(iOS 18 Beta 版、iPadOS 18 Beta 版)。
如需更多資訊,請參閱:使用 AppleSeed for IT Beta 版計畫測試軟體更新。
eSIM 更新
在 iOS 18 和 iPadOS 18 中,allowESIMOutgoingTransfers 可用來控制 eSIM 是否可移轉到新設定的裝置。
如需更多資訊,請參閱:關於 allowESIMOutgoingTransfers 取用限制。
多個「私人行動網路」承載資料
iOS 18 和 iPadOS 18 支援多個「專用行動網路」承載資料,允許最多五個專用 5G 或 LTE 網路的設定。由於承載資料會定義每個網路的地理柵欄,適用的 eSIM 可隨著使用者移進和移出專用網路涵蓋範圍而自動開啟或關閉。
如需更多資訊,請參閱:搭配專用行動網路的 MDM。
Safari 延伸功能管理
Safari 延伸功能可增強和自訂 iPhone、iPad 和 Mac 上的網頁瀏覽體驗。在 iOS 18、iPadOS 18 和 macOS 15 中,組織現在可以使用 MDM 解決方案來管理 Safari 延伸功能如何在受監管裝置上使用。例如,企業可能會想安裝並開啟特定延伸功能來提供權限給內部服務,或是教育機構可能會想防止學生使用會提供違反校規資訊的延伸功能。這些延伸功能管理功能可配合標準瀏覽和「私密瀏覽」運作並包含:
定義哪些延伸功能可供使用
控制哪些延伸功能會一律開啟或一律關閉
設定延伸功能來依照特定網域和子網域連接網站
如需更多資訊,請參閱:Safari 延伸功能管理宣告式設定。
組織 API 的 App 和書籍
MDM 開發者現在可以使用其開發者帳號來設定「服務識別碼」,以及組織 API 的 App 和書籍的授權密鑰,藉此取得其所管理之 App 和書籍的相關資訊。其他更動包含:
表示 App 是否與 visionOS 相容的新欄位
搜尋 App Store 的新端點
如需更多資訊,請參閱 Apple 開發者網站上的設定組織 API 的 App 和書籍。
佈建和管理內部專用 App 開發者的使用者
內部專用(企業)App 開發者將擁有佈建和管理使用者的 Apple APIs 取用權限,可以自動化佈建描述檔產生和將使用者管理整合到現有工作流程中等作業。
如需更多資訊,請參閱 Apple 開發者網站上的企業程式 API。
設定 MDM 客戶推播通知的安全性改進
MDM 開發者現在可以使用「Apple 推播通知」服務(APNs)來替其客戶製作簡化的推播憑證製作程序。這包含替每個客戶製作和簽署「憑證簽署要求」(CSR)。然後,每個客戶可以使用提供的 CSR 來從 Apple 推播憑證入口網站取得憑證。
今年稍晚,「Apple 推播憑證」入口網站會需要 CSR 來使用 SHA2 演算法簽署,藉此提升安全性。憑證將不會核發給使用 SHA1 簽署的 CSR。如需更多最佳實作的相關資訊,請參閱 Apple 開發者網站上的設定推播通知。
「數學備忘錄」、「智慧型書寫」、Image Playground 和「書寫工具」的裝置管理
Apple 將提供「數學備忘錄」、「智慧型書寫」、Image Playground 和「書寫工具」的裝置管理(MDM)和「評量模式」(AAC)控制項目。
如需更多資訊,請參閱:「數學」和「計算機」App 設定。
組織也可以進一步瞭解「書寫工具」和 Image Playground 等 Apple Intelligence 功能如何運用「私密雲端運算」。如需更多資訊,請參閱「Apple 安全性研究」網站上的私密雲端運算:AI 隱私權在雲端中的新境界。
註冊期間的通行密鑰和硬體安全性密鑰支援
在 macOS 15 中,「設定輔助程式」會支援 ASWebAuthenticationSession,讓通行密鑰和支援的硬體安全性密鑰在註冊期間得以使用。
「可延伸單一登入 Kerberos」承載資料
以下為「可延伸單一登入 Kerberos」承載資料的新密鑰:
若要允許切換到密碼模式:
allowPassword若要允許切換到「智慧卡」模式:
allowSmartCard若要過濾可用的「智慧卡」列表:
identityIssuerAutoSelectFilter若要在「智慧卡」模式中啟動 Kerberos 延伸功能:
startInSmartCardMode
平台單一登入
為了支援需要使用 IdP 認證的高度安全 macOS 部署,macOS 15 中的「平台單一登入」(平台 SSO)已延伸為:
使用新規則選項:
RequireAuthentication要求跨「檔案保險箱」、「鎖定螢幕」和登入視窗的 IdP 認證選擇是否設定 Touch ID 或 Apple Watch 來在啟用
RequireAuthentication時解鎖螢幕以便輕鬆使用設定離線和認證寬限期,讓使用者可以在離線時登入或解鎖螢幕
外部和網路儲存空間取用
在 macOS 15 中,為了協助組織管理其資料如何傳出裝置,現在可以使用新的磁碟管理設定來選擇允許或不允許外部或網路儲存空間,或是限制裝載唯讀卷宗。
此設定會取代已棄用的媒體管理承載資料。如需更多資訊,請參閱:「儲存空間管理」宣告式設定。
背景作業管理
macOS 包含代表使用者啟動或以獨立程序執行來在背景中提供持續服務的背景作業支援。
在 macOS 15 中,執行檔、工序指令和啟動設定檔案可使用 MDM 安裝並儲存在安全且防竄改的位置(與去年推出的服務設定檔案相似),提供組織部署和控制受管理服務的輕鬆方式。
macOS 的區域網路連線
在 macOS 15 中,想在使用者的區域網路上與裝置互動的第三方 App 或啟動代理程式必須在初次嘗試瀏覽區域網路時要求權限。
與 iOS 和 iPad OS 相似,使用者現在可以前往「系統設定」>「隱私權」>「區域網路」來允許或拒絕此權限,讓使用者可以掌控其隱私權。
macOS 虛擬機器更新
在執行 macOS 15 的虛擬機器上,使用者可以執行下列操作:
在其帳號已在實體 Apple 裝置上登入後,登入 iCloud(使用個人「Apple 帳號」)。這可讓使用者在虛擬機器上取用與 iCloud 相關的 iCloud 服務和 App。
使用「清除所有內容和設定」。
「設定輔助程式」更新
下列選項(已可在 iOS 和 iPadOS 上使用)現在也可在 macOS 15 上使用以取得流暢的設定體驗:
Welcome作為「自動裝置註冊」之「略過密鑰」的部分「設定輔助程式」描述檔承載資料中的
SkipSetupItems
「系統設定」更新
在 macOS 15 中,「系統設定」的「描述檔」區域已重新命名為「裝置管理」而且現在會在「一般」區域中顯示。此更動會讓 Mac 與 iOS 和 iPadOS 更緊密一致。
隱藏和鎖定 App
iOS 18 和 iPadOS 18 推出新選項,可讓使用者必須使用 Face ID、Touch ID 和密碼才能打開 App,以及將其從主畫面隱藏。MDM 可以管理透過下列操作來管理這些選項的適用範圍:
控制使用者根據個別 App 隱藏和鎖定管理式 App 的能力
停用隱藏和鎖定受監管裝置上的所有 App
針對透過「使用者註冊」的裝置,已隱藏的 App 在接受管理時才會回報給 MDM。針對透過「裝置註冊」的裝置,已隱藏的 App 會回報給 MDM 作為所有已安裝之 App 的部分。
內部 App 安裝
在 iOS 18 和 iPadOS 18 中,手動安裝(未使用 MDM)的內部專用 App 現在需要裝置重新啟動才能完成佈建描述檔的信任。之前,由相同佈建描述檔簽署的已安裝 App 不需要重新啟動而且會自動受到信任。
返回服務狀態
「返回服務狀態」可讓重置程序和將 Apple TV 裝置重新註冊 MDM 透過無線網路完全自動化。在 tvOS 18 中,當 MDM 解決方案送出清除受管理裝置的指令時,必須提供 Wi-Fi 詳細資料並定義要讓裝置註冊哪一個 MDM 解決方案。
如果裝置在「Apple 商務管理」或「Apple 校務管理」中顯示,就可以略過 MDM 伺服器設定。這會在啟用過程中觸發裝置檢查註冊描述檔。裝置接著會清除所有資料,並透過「設定輔助程式」使用之前的語言和地區設定自動繼續進行直到其抵達主畫面,準備好使用。
AirPlay 接收器身分
在 tvOS 18 中,AirPlay 接收器不會再公佈其裝置識別碼(MAC 位址)。RequestMirror 指令可使用裝置名稱或裝置識別碼,但只有裝置名稱可搭配執行 tvOS 18 的 Apple TV 裝置使用。對 AirPlay 承載資料進行的其他更動包含以下:
允許的裝置識別碼列表,稱為允許列表,現在可以接受裝置名稱。
在 macOS 15 中,密碼列表會將密碼連結到裝置名稱。此功能已適用於 iOS 和 iPadOS。
設定管理更新
在 visionOS 2.0 中,組織可以設定「註冊 SSO」,例如裝置鎖定、「啟用鎖定」、密碼管理等設定,讓部署在組織中更加輕鬆。如需更多資訊,請參閱 Apple 裝置管理 GitHub 資源庫。
如需支援 visionOS 1.1 或以上版本的承載資料、取用限制、指令和宣告式設定完整列表,請參閱以下內容:
iPad 的多重 App「評量模式」
在 iPadOS 17.6 或以上版本中,開發者可以一併利用額外的 App 與其主要的評量 App,例如輔助使用 App 和可能會使用計算機、備忘錄和試算表的 App。
課業 3.0
在包含「課業」3.0 的 iPadOS 17.5 或以上版本中,教師可以:
傳送任何文件或檔案作為「課堂」評量,包含從 Pages、Numbers、Keynote 和 Google Suite(文件、工作表、幻燈片)製作的 PDF 和檔案
從 iCloud 上傳文件和直接掃描紙本文件到「課業」中
使用計分功能檢閱並替學生作業和文件計分
依照問題分析學生表現,這會包含其他回報和詳細資訊功能
「課堂」App 中未受管理的附近班級
在 iPadOS 17.4 和 macOS 14.4 或以上版本中,此功能可讓擁有「管理式 Apple 帳號」的講師在「課堂」(而非「Apple 校務管理」班級)中建立並使用未受管理的附近班級。