管理 Apple 设备方面的新功能

♪ 柔和乐器演奏的嘻哈音乐 ♪ ♪ Nadia Hussein： 欢迎来到 WWDC 我是 Nadia 我和我的 同事 Graham 迫不及待 想要和您分享 macOS Ventura iOS 以及 iPadOS 16 上 设备管理功能的相关新资讯 在设备管理领域 让员工蓬勃发展 提高师生间的教学效率 是我们共同的使命 我们不断研发 推动师生合作的工具和技术 在 macOS Ventura iOS 以及 iPadOS 16 中 进行了许多优化升级 并新增了不少功能 本次讲座会提及部分上述内容 但我首先想快速地强调一下 您可以查看其他讲座 来获取更多企业和 教育空间的相关资讯 在 WWDC 2021 上 我们推出了声明式设备管理 这一设备管理的新范式 使设备变得更加自治和主动 同时允许服务器 更轻量化、反应更快 今年我们继续增加 声明式设备管理的平台支持和功能 我们强烈推荐您观看 《Adopt declarative device management》讲座 Apple Business Essentials 是一项一站式的订阅 它可以无缝的整合设备管理 提供 7*24 全天候 支持和云存储 有了 Apple Business Essentials 小型企业能够轻松管理 每台 iPhone iPad Mac 还有 Apple TV 面面俱到 查看《探索 Apple Business Essentials》讲座 了解更多信息 托管设备证明是一项新的安全功能 此功能使用 Secure Enclave 为客户端设备提供强有力的保障 比如身份识别和软件版本 参与讲座《Discover Managed Device Attestation》 了解更多信息 在本次讲座中 我们将探讨 Apple Configurator 的新功能 跨平台身份识别技术 关于 macOS Ventura iOS 和 iPadOS 16 的协议变更 iOS and iPadOS 16 最后是激动人心的 文档提供方式的变更 我们先从 Apple Configurator 讲起 在 WWDC 2021 上 我们发布了 iPhone 版本的 Apple Configurator 教育和企业用户 都喜欢通过这个方案 来进行所有 Mac 的 自动设备注册 有了 iPhone 版本的 Apple Configurator 即便是常规购买渠道 以外到手的 Mac 也能轻松添加到所属组织 只要组织在 Apple School Manager 或 Apple Business Manager 在 Mac 上的设置助理中 只需拿着您的 iPhone 用 Configurator 对准动态图片扫描 Mac 将连接到网络 并自动添加到您的组织当中 1.0.1 版本带来了显著新支持 只要在 Mac 上是可用的网络 就能活用现有网络连接 我们很高兴地宣布 在 iOS 和 iPadOS 16 里 iPhone 版本 Apple Configurator 现在也可以添加 iPhone 和 iPad 设备 到您的组织中去 而且正如您预想那般 这俩种设备的添加 跟 Mac 的添加操作无异 这也是 Mac 版本 Configurator 的强势新功能 运行着 Configurator 的 Mac 需要通过 USB 连接每个设备 您扫描 iOS 和 iPadOS Setup Assistant 面板时 会发现跟 macOS 有所不同 在 iOS 和 iPadOS 上 显示的是“Wi-Fi”面板 但在 macOS 上 会显示“国家或地区”面板 请留意 就跟 Mac 版的 Configurator 使用一样 在将任何设备添加到您的组织之前 若该设备需要进行交互式激活操作 例如 激活锁或蜂窝网络运营商激活 都要手动处理 运行 iOS 或 iPadOS 16 的设备 目前可在 App Store 中下载 iPhone 版本的 Apple Configurator 加入组织 我们接着介绍商业和教育版块的 身份验证管理 我们知道业界很注重身份验证管理 Apple 也同样注重 身份验证管理为用户提供连贯的体验 同时保障用户数据安全

我们的身份验证目标 是让用户只用登录一次 登录了一次后 就能在操作系统中一直使用该身份 我们在逐步实现这个目标 研发了很多技术来支持这目标 其中包括 macOS Ventura iOS 和 iPadOS 16 中的新功能 Apple Business Manager 现与 Google Workspace 共同成为 Identity Provider 进行联合身份验证 这允许用户凭借自身工作凭证 作为管理式 Apple ID 去对 iOS iPadOS 和 macOS 上的服务进行身份验证 请别忘了打开 Directory Sync 之前称之为 SCIM 来实现自动创建用户帐户 为管理式 Apple ID 有了 Managed Apple ID 现通过 Apple 登录 可以用在工作和学校中 只要是支持 通过 Apple 登录的 App 就可以使用 如果您想限制用户登录范围 您可以选择允许在 Apple 校园教务管理 或 Apple Business Manager 中所有 App 中使用 或允许部分添加到范围 列表的 App 使用 若想了解更多信息 请看 《在工作和学校发现通过 Apple 登录》讲座 另一值得留意的身份验证管理升级 是 OAuth 支持 在 iOS 和 iPadOS 15 中 我们运用了一个简单的 准入令牌授权机制 来允许 MDM 服务器 验证用户身份 而在 iOS 和 iPadOS 16 中 我们将增加 OAuth 2 作为另一种授权机制 OAuth 给 MDM 服务器提供了 各种已使用 OAuth 的身份提供者 作为选择 它还依靠其令牌刷新 机制提高了安全性 该机制能够使用短期访问令牌 加上无提示刷新 这刷新方式不会主动 提醒用户输入凭证 OAuth 可与现有的 帐户驱动的用户注册流程共用 但当它跟下面提到的 炫酷新功能结合使用时 会提供更好的用户体验 这个功能就是 Enrollment Single Sign-on 简称 Enrollment SSO 这是一种通过对个人设备 来进行单次身份验证的更快捷新的方法 能够快速完成 MDM 注册 并快速准入 您组织的 App 和网站 此新技术建立在一些 现有技术的基础上 iOS 13 为组织的 App 和网站推出了 可扩展 SSO 作为 SSO 的新配置 而 iOS 和 iPadOS 15 推出了帐户驱动的用户注册 使得用户只需在设置 中输入邮箱地址 就能注册 MDM 为了继续优化注册 我们将这两种技术结合在一起 因为我们知道 BYOD 设备 是部署的重要组成部分 首先 用户在设置中输入邮箱地址 然后会有消息提示 他们去 App Store 下载 App 这个 App 其中包含 Enrollment Single Sign-on 扩展 能够提供 原生 UI 来完成身份验证步骤 因为这是一个基于 App 的模型 您可以使用 您随意选择的身份验证技术 作为用户 只需登录一次 该 App 就无需再次登录并帮助 您完成一系列注册流程 激活 Enrollment Single Sign-on 主要需要四个组件 首先 App 开发者 需要更新 App 才能使用 Enrollment SSO 接着 MDM 厂商联合 MDM 协议客户端身份验证 作为身份提供商 然后管理员运用 Apple 校园教务管理 或 Apple Business Manager 设置管理式 Apple ID 最后 配置 MDM 服务器 返回一个 URL 到身份验证响应标头 中的 JSON 文档里 既然我们讨论完这个功能的作用 操作跟执行者 下面我们继续深入了解细节 接收到来自服务器的初始身份验证 质询时 会出现一个 HTTP 标头 意味着能够使用 Enrollment SSO 而且应该使用 该标头的值将是客户端将用来 下载 JSON 文档的 URL 此 JSON 文档包含所有 客户端继续注册所需的详细信息 “iTunesStoreID” 键的值 必须参考注册时会用到的 Enrollment Single Sign-on App “AssociatedDomains”键与 “ApplicationAttributes”可用的键相同 都可以在这里配置 最后“ConfigurationProfile” 应该是“Base64EncodedProfile” 里面包含至少一个 可扩展 SSO 有效负载 如果有需要 也可能 包含证书有效负载 我们会在即将推出的 iOS 和 iPadOS 16 中 为顾客提供此功能 如果您有兴趣开发 支持此功能的 App 您需要通过 Apple Developer Program 申请新的Entitlement 不过 现在您可以在测试模式下 就能进行开发 这是 Enrollment Single Sign-on 研发过程中的一个特殊的版本 发放您测试您 App 的许可 而且还是在 上架 App Store 之前 要想着手使用测试模式 请前往设置的 Developer 启用 Enrollment Single Sign-on 测试模式 然后 您需要 用新的 HTTP 标头 跟相应的 JSON 文档 配置您的身份验证响应 接着在 VPN 和设备管理中 开始注册 在此期间 系统将提示您 安装 Single Sign-on 您可以使用任何可行 渠道来安装此 App 例如 Xcode 或是 TestFlight 甚至 Enterprise App Distribution 下载后 返回设置完成注册 测试模式需要用到不同的标头来响应 和修改过的 JSON 文档 屏幕上是测试模式的 JSON 文档示例 您可以看到“iTunesStoreID”键 已被“AppIDs”键取代 这个键的值是个字符串数组 包含着能注册的 App ID 其余的都维持原样 我们接着来探索 Single Sign-on 扩展 2019 年 iOS 13 和 macOS Catalina 里有了 Single Sign-On 插件 身份提供商能够 让其用户所使用的 App 和网站都用上 SSO 身份验证 使用 SSO 扩展程序时 设备解锁后 会提示用户登录扩展程序 这意味着要输入凭据两次 如果一个组织同时使用 内置的 Kerberos 扩展程序 用户大概率都要重新登录 很多情况下 身份凭证都是一样的 因此 在 macOS Ventura 中 我们准备推出 Platform Single Sign-On 简称 Platform SSO 用户只需在登录窗口登录一次 就能自动登录各 App 和网站了 Platform SSO 在登录中生成令牌 令牌可用于 第三方 SSO 扩展程序 也能与内置的 Kerberos 扩展程序并行 首次登录 使用本地帐户密码进行身份验证 同时也能解锁 设备里的加密 FileVault 用户可以离线登录 也可以连接 Captive Network 登录 这之后 身份提供商的密码 也能用于解锁 此外 Platform SSO 支持使用密码 或 Secure Enclave 支持的密钥 向身份提供商进行身份验证 而且无论用了何种身份验证方法 SSO 令牌能在身份提供者那检索 存储在钥匙串中 能用于 SSO 扩展程序 也能检索 Kerberos TGT 导入凭证缓存 还能选择与 Kerberos 扩展程序共享 如果身份提供商密码变更了 Platform SSO 将在解锁后 向身份提供商验证新密码 Platform SSO 是 一个完整集成协议 建立在使用 OAuth 和 OpenID 之上 且不需要打开网页进行身份验证 Platform SSO 是 AD Binding 和移动帐户的新型替代品 请注意 它不会直接使用目录服务 或在每次解锁时 与身份提供商验证身份 反而只在用户尝试用新密码解锁 或检索 SSO 令牌时 身份提供商才会被调用 Platform SSO 也不会 基于身份提供商的响应 而阻止登录 Mac 若想阻止登录 运用 MDM 或替代方案来禁用准入 要想利用好 Platform SSO 身份提供商需实现 SSO 协议 更新他们的 SSO 扩展 然后确保 可扩展 SSO 评测已更新 以支持托管设备上的新密钥 更多实施详情 请查看 Apple Platform Deployment 指南 总结一下 我们推出了 跟 Google Workspace 的集成 Enrollment SSO OAuth 支持 和 Platform SSO 以提供便捷的登录体验 身份验证管理是一项日新月盛的技术 我们仅仅是刚起步而已 未来将更精彩 macOS Ventura 进行了不少优化升级 涵盖注册 安全方面和操作系统升级 让我们从软件的更新说起 macOS Monterey 对“托管软件更新” 进行了根本性的变革 我的同事 Lucy 在 《管理您组织中的软件更新》 讲座中细讲了这点 我们将操作系统更新分为三个方面 测试 部署和执行 今年 我们更多地专注于 升级部署和执行这两方面 回顾历史 命令在 “电能小憩”模式下发送时 每次操作系统更新命令后 返回的都是“NotNow” 为了提供更加连贯和 稳健的操作系统更新部署 即使设备处于睡眠状态 或“电能小憩”模式 设备现将识别并响应 “ScheduleOSUpdate” “OSUpdateStatus” 以及“AvailableOSUpdate”命令 另外因为我们也理解管理员有时 想要尽快更新操作系统 我们引入了一个新的名为“priority”的键 通过“ScheduleOSUpdate”命令发送 选择“High” 或“Low”字符串值 该值控制调度下载 和准备已请求更新的优先级 发送“High”优先级 命令将在系统设置中 模仿成像用户 自己请求更新的样子 请留意 这个键仅支持 小型的操作系统更新 在 macOS 12.3 里 我们运用 “OSUpdateStatus”命令 提升了更多日志和报告的管理可见性 “DeferralsRemaining”指的是提示 用户更新的通知剩下多少次 “MaxDeferrals”表示 允许用户推迟操作系统 更新通知的总次数 “NextScheduledInstall” 是操作系统 将尝试下次安装更新的日期 最后是“PastNotifications” 代表通知推送给用户 时的确切时间和日期 所有这些 OSUpdateStatus 命令的更新 对管理员进一步明确 其用户的合规性都很有帮助 macOS Ventura iOS 和 iPadOS 16 正在推出一种新机制 能够更快地向用户发送 重要的安全修复程序 即 Rapid Security Response 它不会修改固件 而且如有必要 用户也可以删除 为此 我们推出了两个限制键 用“allowRapidSecurityResponseInstallation” 能够让这新型安全响应机制失效 而用“allowRapidSecurityResponseRemoval” 能阻止终端用户 删除 Rapid Security Response 接下来 我们谈谈注册方面的变更 设备自动注册流程简化 从设备拆箱 激活到 在该组织的 MDM 解决方案下注册 即将发布的版本里 抹掉或恢复 Mac 后 在“Apple 校园教务管理” 或“Apple Business Manager ” 中注册到您的组织的设备 将需要连接网络来使用“设置助手” Mac 首次设置好 并连接到网络后 这台 Mac 就确认好 归组织所有了 假如 MDM 后来发动 “删除所有内容和设置”操作 如果设备是通过 Configurator 恢复的 那么不论是网络 还是设备注册 都无法在“设置助手”中绕过 请继续关注 AppleSeed for IT 获取发布时间说明 描述文件命令行工具已成为重要工具 多年来作为管理工具 用于 MDM 部署 迁移和报告 我们现对其在 macOS Ventura 中的使用进行了更新 描述文件工具 在 macOS 上的使用 将实施速率限制 该工具将仅为 组织注册类型开放 拥有“show” “ renew”和 “validate”三个命令 每个命令每天最多接收 来自服务器的 10 个请求 如果超过该数量 结果将以缓存信息返回 如果您不想用掉 10 个 请求中的一次机会 “show”命令有一个可选新标记 来返回缓存的信息 详情请参阅“profile manual page” 了解更多 每次 macOS 版本上新 我们都在为我们的用户 不断提升保护能力 下面是一些即将上线且 值得关注的安全变更 在 iOS 10.3 中 我们推出了一项 证书有效负载的 默认 TLS 信任策略变更 以加强对用户的整体保护 即将到来的上新环节 我们将把 此变更带到 macOS 中去 这意味着手动安装的证书有效负载 将不再受 TLS 意图的信任 除非用户信任授权其 使用“钥匙串访问” 请注意 如果证书是嵌入 在 MDM 描述文件中的 那么我们仍将继续完全信任证书 但在涉及交互式证书安装的情况下 请务必更新相关工作流程 接着是 macOS 上的 “允许配件连接” 其旨在保护我们的客户 免受近距离访问攻击 在配备了“Apple 设计的芯片”的 便携式 Mac 上受支持 初始配置是即使在解锁状态下 也要询问用户来允许 新的“雷雳”或 USB 配件 获批准的配件 可连接上着锁的 Mac 长达三天时间 如果您将未知配件 连接到锁着的 Mac 系统将提示您解锁 Mac 从 MDM 的角度来看 我们理解这可能 影响企业和教育工作流程 例如批量配置或测试 为了解决这个问题 我们准备给 macOS 使用在 iOS 和 iPadOS 上相同的限制条件 现有的“allowUSBRestrictedMode”限制 将允许有线配件 没有任何限制一直保持连接 该限制能忽略 需用户同意的要求 提供授权 还请知晓 这操作本质上会降低 用户系统的安全性 所以请仅在您有 合法的企业需求的情况下 使用此限制 至于其他限制和有效载荷修改 比如新的“allowUniversalControl” 和“UIConfigurationProfileInstallation” 请务必查看文档 感谢收听即将面世的 macOS Ventura 一系列激动人心的变化 现在我将把舞台交给 Graham 来谈谈 iOS Graham McLuhan：谢谢 Nadia 我很高兴今天能借此机会告诉您 在 iOS 和 iPadOS 16 中 上新的大量出众设备管理功能 我们知道管理设备上的网络流量 是提高数据安全性的重要方式 您管理 Apple 设备上的 流量主要有三种方式 VPN 以及 DNS Proxy 和 Web Content Filter 多年来 我们一直 提供 Per-app VPN 实际上 对于用户注册的设备来说 这款 VPN 是 MDM 唯一可用的类型 在 iOS 和 iPadOS 16 中 我们准备扩宽“Per-app” 线的产品类型 将把 DNS Proxy 和 Web Content Filter 也包括进去 这类功能可用于所有注册类型 但我们认为用在用户注册 它们会特别好用 因为这是组织第一次 能够通过这种方式保护 BYOD 设备 App 流量 配置这些新功能需要两步 而且跟配置 Per-App VPN 差不多 我们快速了解一下操作步骤 首先 您需要添加一个新的键值对 到每个有效负载 在 Web Content Filter 有效负载中 用的键是“ContentFilterUUID” 对于 DNS Proxy 来说 用的键是“DNSProxyUUID” 使用这些键需要注意一些事项 首先 这些键的值可以是任意字符串 其次 当这个键被添加到 Payload 时 它只能通过 MDM 安装 然后 我们需要配置 App 来使用这些新功能 使用“InstallApplication”命令 或“Settings”命令 把相同的 UUID 添加到 App 的属性中 属性将运用“Per-app”的功能 在这个示例中 我们把 两个键都包含进去了 但您可以只包含其中任意一个键 另外 我还想指出一些细节的地方 首先 App 开发者 无需新做任何事物 一切现有的 DNS Proxy 和 Web Content Filter App 都能使用 其次 您可以拥有 多个 DNS Proxy 但您不能混用用于系统的 和用于一个 App 的代理 最后 对于 Web Content Filter 类型来说 Per-app 过滤器 最多可有七个 用于系统的过滤器能有一个 接下来 我想谈谈管理 eSIM eSIM 对于世界各地的运营商 已成为新标准 在过去的几年里 我们添加了些许 MDM 功能 让管理 eSIM 变得前所未有的轻松 我们想花点时间谈谈 MDM 供应商如何 把这些功能结合起来 以提供更好的体验 当我们与 使用 eSIM 的组织交流时 他们正在做的主要任务有 配备新设备 在运营商之间迁移设备 还有帮助有需要的用户 要解决的有多个运营商的问题 或传送和漫游的相关问题 为了完成这些任务 他们要从已注册的设备中查询数据 并将收集好的数据提供给运营商 然后 他们得能 在设备上安装 eSIM 让我们先从着手探讨 设备查询和运营商数据要求 “DeviceInformation” 查询是收集设备数据 最简单的方法 在 iOS 12 中 “ServiceSubscriptions” 是一站式收集 iPhone 和 iPad 上 所有关于蜂窝网络数据的键 查看这些响应时 说几个 您可能会觉得有用的点 在“ServiceSubscriptions” 中返回两个项的设备 支持两个活跃的蜂窝网络计划 如果响应包含 EID 那么设备用的是 eSIM 较新的设备 例如 iPhone 13 和 iPhone SE (第 3 代) 支持双活跃运营商 eSIM 描述文件 因在“ServiceSubscriptions” 响应中 可能有不止一个 eSIM 返回 还请注意 每个设备的 EID 都是独一无二的 从 iOS 和 iPadOS 16 开始 返回数据的 “otherDeviceInformation”查询 不再会出现在 “ServiceSubscriptions”响应 一同响应的做法现已弃用 且在以后的操作系统都不会返回 既然我们知道了如何 从设备中获取数据 现在我们来看我们需要给运营商什么 一般来说 运营商需要四类数据 为设备设置 eSIM IMEI 和 EID 序列号还有电话号码 让您的管理员能够生成 包含这些数据的报告 会让其更容易启动并运行 eSIM 我们来总结回顾一下 如何配备 eSIM 首先 MDM 服务器使用 “ServiceSubscriptions”查询 在设备中收集所需的数据 然后 管理员将数据发送给运营商 最后 运营商在其 eSIM 服务器上 为设备配备 eSIM 我们现在可以把注意力 放到设备安装 eSIM 上 运营商将向客户提供服务器 URL 设备可以通过 “RefreshCellularPlans”命令 在 URL 中获取 eSIM MDM 服务器将发送 “RefreshCellularPlans”命令至设备 这会向运营商的 eSIM 服务器发起请求 并检查有没有可用的 eSIM 如果有 MDM 会自动 下载并安装 eSIM 无需任何用户交互 然后 MDM 服务器可以使用 “ServiceSubscriptions”查询 当查询返回的是非空号时 就能确认 eSIM 已成功安装 现在我们来谈谈几个 您应该记住的关键点 eSIM 安装是一次性操作 以及未来在同一设备上 安装 eSIM 的请求 会要求运营商配备新的 eSIM 为防止用户意外 移除自己的 eSIM 使用“allowESIMModification”限制 还要注意“RefreshCellularPlans”命令 在安装限制的情况下 可以安装 eSIM 最后 MDM 清除设备时也可以 把 eSIM 移除掉 为避免这种情况 发送 “EraseDevice”命令时请务必将 “PreserveDataPlan”键 设置为“True” 我们希望这些信息就如何管理 和部署 eSIM 提供了更清晰的理解 接下来 让我们来谈谈 共享 iPad 的一些更新 共享 iPad 是教育 和商业客户的好伙伴 能一对多环境中使用 iPad 同时还能为用户提供个性化体验 我们今年做了些许变更 能把共享 iPad 做得更好 首先 我们把 “ManagedAppleIDDefaultDomains”添加 到了“SharedDeviceConfiguration”设置命令 有了这命令 您将能够节省用户 使用快速输入键盘输入 管理式 Apple ID 的时间 只要用户开始输入 管理式 Apple ID 显示您域名的输入建议 将自动出现供用户点击使用 这个设置命令将接受任何大小的列表 但只会向用户显示其中三个用户 我们还对 远程认证的要求进行了变更 目前共享 iPad 大概每 7 天要求 进行一次远程身份验证 在 iPadOS 16 中 共享 iPad 将对于设备上的现有用户 仅需要进行本地验证 如果管理员想要强制 执行远程身份验证 管理员可以 在“SharedDeviceConfiguration”设置命令中 设置“OnlineAuthenticationGracePeriod”键 该键将是一个整数值 表示 两次远程身份验证相隔的天数 零值则需要所有登录 都进行远程身份验证 “ManagedAppleIDDefaultDomains”值 和“OnlineAuthenticationGracePeriod”值 可以通过 “DeviceInformation”查询检索到 最后 我想围绕共享 iPad 配额 如何明确提供一些帮助 “SharedDeviceConfiguration”命令 是在共享 iPad 上 管理配额的最佳方式 您可以使用两个相关键来设置配额 “QuotaSize”和 “ResidentUsers” 无论您选择设置哪个键 最终操作系统都会计算存储配额 我们来看一个例子 这台 iPad 有 35 GB 的可用 空间能用于存储用户数据 如果我发送 “SharedDeviceConfigurationSettings”命令 要求设备将 “ResidentUsers”设置为三个 它将计算出 每个用户的配额为 11.67 GB 或者 如果我要求设备 配额大小为 10 GB 每个用户将有 10 GB 的配额 假设设备上现有三个用户 第四个用户想要登录 现有用户中的某一用户 数据将从设备中删除 来为新用户创造足够的空间 在“QuotaSize”的示例中 即使有 5 GB 的空间仍然可用 但这不满足 第四个用户要登录的要求 因此仍然需要删除一位用户 我们再看一个场景 是关于 在不改变配额的情况下 如何在设备上调整用户数量 还是原来的背景设定 我们有 35 GB 的可用空间 但其实是 iPad 上 总空间的 25 GB 都被 App 和书籍文件占用了 做了一点研究后 我找到这台设备上有一些 App 没有人会继续用了 然后我帮我的 App 库瘦身成功 我的设备有额外的 10 GB 可用空间 意味着有第四个用户要登录 也不需要删除另一个用户了 另外 请记住 自 iOS 13.4 起 只要设备上没有缓存的用户 配额大小可以随时调整 记住这些要点应该可以让您享受到 共享 iPad 部署的最佳体验 让我们用 MDM 协议以及 您应该留意的行为变化 来结束我们的 iOS 和 iPadOS 更新部分 Apple 设备标配内置辅助功能 使人们体验到设备 应该提供的各种花样 每个用户本来都需要 自己启用辅助功能设置 但在 iOS 和 iPadOS 16 中 我们允许 MDM 管理许多热度高的辅助功能设置 管理的功能中包括 文字大小、旁白、缩放 触控调节、粗体文本 减弱动态效果、增强对比度 和降低透明度 有了这些选项 我们相信管理员可以 让所有用户体会到 在学校、餐厅和医院都 能更方便地访问设备 请注意 这些设置在 完成后不会被锁定 用户可以自由修改设置 来匹配自己各自的喜好 MDM 服务器也可以 使用“DeviceInformation” 查询这些设置 还有 从 iOS 和 iPadOS 16 开始 您现在可以 在自动设备注册期间 在“AwaitDeviceConfigured” 状态下安装 App 有几件事值得留意 在这个阶段用户很有可能 无法登录到 App Store 因此我们建议使用基于 设备的 App 许可证 设置中的未受监督设备 仍将返回“NotNow” 直到用户见到主屏幕 有了这个功能 您现在能够 在退出设置助手之前 就把设备需要用户 入门的一切准备好了 随着我们不断提高设备的安全性 在第一次解锁之前 某些数据类型变得不可访问 因此“CertificateList”查询 将在第一次解锁之前 都会返回“NotNow” 一旦用户解锁设备 查询将正常响应 直至设备重新启动 请 MDM 开发者确保您的服务器 能够处理此类查询 的“NotNow”响应 最后 Apple TV 也有激动人心的更新 从 tvOS 16 开始 在您通过设置或 MDM 抹除 Apple TV 时 遥控器现将保持配对状态 与 Auto Advance 相结合 让您的 Apple TV 常在常新 蓄势待发 除了我们今天涵盖的内容之外 您还可以在 developer.apple.com/cn 上的文档里 查看更多改变 说到文档 在之前的 WWDC 上 我们把 MDM 文档 带到了它的新家 这此变动提供了更准确 与时俱进的文档 但也能让您在 特定的操作系统版本中 突出显示变化 这份文件的接受度令人惊叹 今天 我很高兴地告诉您 我们准备公开支持该文档的源代码 在 MIT 开源许可证下公开可用 我们放在 Apple 的 GitHub 页面上 新的设备管理项目中 让我们来看看您打开后会发现什么 两个文件夹 一个包含所有的 MDM 文档 另一个 包含声明式设备管理新文档 以及 README 文件 和我们的许可信息 在 MDM 文件夹中 您会找到 签入 命令和描述文件的文件夹 而声明式管理文件夹 有声明 协议和状态文件夹 如果您仔细查看这些文件夹 您会发现 每个命令的 YAML 文件 描述文件或声明 我想强调一些项目 来让您熟悉这些文件 首先是 Payload 键 该键显示 MDM 命令的请求类型 在这个例子中 就是“ProfileList” 它返回一个安装在设备上 的所有描述文件的列表 接下来 是“supportedOS”键 这个键为您提供平台的信息 比如操作系统 版本支持 需要监督与否 或者该键是否适用于用户注册 我们能在这里发现 “ProfileList ”键 是在 iOS 4 中推出的 “payloadkeys” 为您提供 关于查询提供的附加功能的相关信息 每个子键可能包含一个 额外的“supportedOS”键 额外键将覆盖超过 Payload 的值 “ProfileList”查询是 在 iOS 4 中引入的 但“ManagedOnly” 功能直到 iOS 13 才有 “supportedOS” 的其余信息保持不变 表示不需要监督 并且查询适用于用户注册 对于 “ProfileList”查询 它从 MDM 服务器返回响应 响应键详细说明了此信息 在我们的例子中 我们 可以得知一个字典数组 对应描述安装好的一个描述文件 在该字典中 您将看到键值对 包括“PayloadUUID” 和“PayloadIdentifier” 这只是一个简单的例子 您会在 README 里发现 关于存储库的架构 和结构的全面的细节 我们接着聊一些细节 您会发现 数据公布到 iOS 15 和 macOS Monterey 的初始版本 从那起 我们为每个版本发布新分支 并根据需要播种 这意味着 您现在就能查看 iOS 16 和 macOS Ventura 文档 我们认为有很多对于这些 新数据的有趣用例 我们迫不及待地想看 您想出了什么新工具或集成 您开始处理这些数据时 请使用反馈助理让我们知道进展情况 我们今天涵盖了大量的信息 所以我们来花点时间回顾一下 iPhone 版本的 Apple Configurator 现可以将 iPhone 和 iPad 添加到您的组织中去 让您更轻松地管理和部署设备 然后来到身份验证 Google Workspace 集成 Enrollment SSO 和 Platform SSO 带来更具连贯的身份验证体验 Nadia 接着向我们介绍了 macOS Ventura 如何 为您提供更多信息以帮助您 管理您的队伍的软件更新 在抹掉或恢复 Mac 之后 设置助手期间需要网络连接 自动设备注册更为智能 然后我们谈及 影响部署的重要的安全变更 在 iOS 和 iPadOS 16 中 您现在可以基于每个 App 管理 DNS Proxy 和 Web Content Filter 我们探索了用在 iPhone 和 iPad 上管理 eSIM 的工具 我们讨论了共享 iPad 的优化升级 最后 MDM 协议的更改 包括在设置助手期间 安装 App 的能力 最后的最后 我们希望 我们机器可读的新文档 能使您构建激动 人心的新工具和新集成 感谢您参加我们的讲座 希望您能过个难忘的 WWDC ♪