使用管理式 Apple ID 探索更多可能

♪ ♪

Darsh：欢迎各位收看！ 我是 Darsh 是 Enterprise Services 团队的一名工程师 我非常高兴能和大家分享 管理式 Apple ID 今年即将推出的新功能 在本讲座中 我将介绍 一系列有关使用、管理和创建 管理式 Apple ID 的主要新功能 在这之前 让我们先快速回顾一下 什么是管理式 Apple ID

管理式 Apple ID 是一种 专用于企业或学校等组织的 Apple ID 类型 在不使用个人 Apple ID 的情况下 员工或学生也能 通过管理式 Apple ID 登录设备、App 和服务 并使数据在设备之间保持同步 帐户和数据的所有权属于组织 管理式 Apple ID 通过 Apple 商务管理 或 Apple 校园教务管理 来创建和管理 回顾结束 让我们进入主题 我会先介绍 新推出的功能和注册选项 以便你能更轻松地 使用管理式 Apple ID 然后 我会介绍 访问权限管理的新功能 它能帮助你更好地管理 你的管理式 Apple ID 最后 我会介绍 与身份提供商 (IdP) 集成的新方式 让你能更便捷地创建 管理式 Apple ID 我们先来了解管理式 Apple ID 今年推出的新功能和注册选项 在使用管理式 Apple ID 登录设备时 iCloud 会将你的数据进行备份 并同步到所有设备的 App 中 比如：日历、通讯录和笔记等数据 今年 我们为更多 App 提供了 iCloud 云备份支持 让我们来看看 管理式 Apple ID 现在能支持 iCloud 钥匙串 可让你在所有设备上 同步并自动填充密码和其他安全信息 你也可以使用 iCloud 钥匙串同步通行密钥 从而轻松使用面容 ID 或触控 ID 来登录 App 和网站 要进一步了解有关管理式 Apple ID 使用通行密钥的信息 请观看讲座“在工作中部署通行密钥” 虽然管理式 Apple ID 早已支持信息、股市 新闻和 Siri 这些 App 但这次的更新可让你 将这些 App 中的数据 在所有设备之间保持同步 管理式 Apple ID 还将支持钱包 让你可以安全存储信用卡和借记卡、 驾驶证或身份证、 交通卡、钥匙和胸牌等 并在所有登录管理式 Apple ID 的 设备上访问它们 此外 管理式 Apple ID 还将支持所有的 “连续互通”功能 以便你在设备之间能实现无缝衔接 通过“连续互通”功能 你可以 在登录管理式 Apple ID 的多台设备上 使用连续互通相机、 接力、随航、智能热点 以及通用剪贴板等一系列功能 现在 除了目前支持的 App 和服务外 通过充分利用 iCloud 我们还为管理式 Apple ID 增加了更多功能 要想使用这些功能 只需在“设置”中 登录你的管理式 Apple ID 登录后 可以看到你帐户的所有信息 以及你的管理式 Apple ID 可使用的所有 iCloud 服务 若你有一台专门的工作设备 通过管理式 Apple ID 使用 iCloud 会非常方便 但如果贵组织 让你使用个人设备进行工作 该怎么办呢？ 你可能会想 在个人设备上访问工作数据 但该设备的 iCloud 已经登录了你的个人 Apple ID 你要如何在同一设备上 访问两个账号呢？ 别急 管理式 Apple ID 已支持在个人设备上访问工作数据 只需使用基于帐户的 用户注册方式即可 如需了解更多 请观看 2021 年 WWDC 视频 “了解基于帐户的用户注册” 我们来快速回顾一下用户要如何操作

通过“基于帐户的用户注册”功能 你可以使用个人 Apple ID 访问个人帐户 使用管理式 Apple ID 访问工作帐户 你设备上的工作数据和个人数据 会加密存储在不同的分区 以确保数据的安全性和隐私性 当同时登录两个帐户时 你的管理式 Apple ID 可以使用 iCloud 处理重要的工作事务 这个设置非常简单 在“设置”中 选择“通用” 然后选择“VPN 与设备管理” 接着轻点“登录工作或学校帐户” 然后 登录贵组织的 管理式 Apple ID “用户注册”能让你一键登录工作帐户 并将设备加入管理 选择允许远程管理后 就能成功注册了 但今年 我们想为拥有设备 并向用户提供设备的组织 提供更多功能 这些组织通常会使用 “设备注册”功能来管理设备 这样可增强组织对设备的管理和监督 让设备注册的体验 和用户注册一样便捷是非常重要的 因此 除了基于帐户的用户注册 我们今年新增了 基于帐户的设备注册 通过基于帐户的设备注册 进行注册的设备 拥有基于描述文件 注册的设备的大部分管理功能 设备上的个人数据 和工作数据也能分区存储 我们来看看具体流程 新的注册流程 和用户注册完全一样 是在“设置”中登录工作或学校帐户 Service Discovery 会抓取描述文件 并提示用户使用管理式 Apple ID 进行身份验证 如果是基于帐户的设备注册 系统会弹出“远程管理”窗口 告知用户 其组织可以 在其设备上查看和执行的操作 完成注册后 管理式 Apple ID 会登录到设备上 与已登录的个人 Apple ID 互不影响 用户可以看到其管理式 Apple ID 的信息 包括注册时安装的管理描述文件 和可使用的 iCloud 服务 这与在用户注册时可用的服务相同 操作相当简单 通过基于帐户的设备注册 用户不再需要手动下载 和安装描述文件来完成设备注册 对于通过任一基于帐户的注册流程 进行注册的设备 我们更新了使用“在公司和学校 通过 Apple 登录”功能的 App 现在 你可以使用管理式 Apple ID 来登录 iOS、iPadOS 和 macOS 上 使用“通过 Apple 登录”的 受管理 App 这便于你用工作帐户登录工作 App 用个人帐户登录个人 App 如果 App 使用 web view 进行身份认证 或者你在使用 Safari 浏览器 请选择“使用其他 Apple ID” 然后输入管理式 Apple ID 来完成登录 现在 来了解一下如何在 Mac 上 登录管理式 Apple ID 今年 我们非常激动 在 macOS 上新增了 这两种基于帐户的注册方式 让我们来看看 在系统设置中选择“隐私与安全性” 描述文件中新增了 “工作或学校帐户”按钮 与之前一样 登录你的管理式 Apple ID 根据定义的不同的注册类型 你会收到用户注册或设备注册提示 和在 iOS 和 iPadOS 上一样 管理式 Apple ID 会与个人 Apple ID 分开显示 工作数据和个人数据分开存储 你也可以使用之前 在 iOS 和 iPadOS 上 看到的 iCloud 服务 我们已经了解了这两种注册方式 接下来 了解一下移动设备管理 开发者在支持用户注册的同时 如何扩展基于帐户的设备注册 以及如何在两者间做出选择 作为移动设备管理开发者 如果你 已经支持基于帐户的用户注册功能 那你已经调用了 well-known 端点 在用户进行注册时 管理式 Apple ID 会作为 query 参数传递给服务器 现在 除了用户 ID 服务器还会收到尝试注册的设备机型 这个新信息会帮助你了解 哪类用户或设备需要用户注册 或设备注册功能 为了支持基于帐户的用户注册 当设备向端点发送请求时 服务器会返回“mdm-byod” 作为“Version”密钥的值 在注册描述文件中 将 EnrollmentMode 的值 设为“BYOD”类型 为了支持基于帐户的 设备注册 移动设备管理开发者只需 将 Version 的值 改为“mdm-adde” 然后 在注册描述文件中 将 EnrollmentMode 设为“ADDE” 这样就完成了 这几个配置的更改能为用户 解锁基于帐户的设备注册选项 我们来总结一下 基于帐户的设备注册 可让你轻松将设备登录到管理中 和用户注册一样 只需在设备上 登录管理式 Apple ID 就能使用设备注册的大部分管理功能 从而更好地控制你的设备 比如 控制密码策略、 擦除和锁定设备的能力 它可以让你同时登录 管理式 Apple ID 和个人 Apple ID 并分别存储两者的数据 iOS、iPadOS 和 macOS 都支持该功能 和 macOS 支持的 基于描述文件的设备注册一样 基于帐户的设备注册 也能获得最高级别的管理 对设备进行监督 移动设备管理开发者只需 修改几个配置即可支持该功能 有了这些新功能和注册选项 管理式 Apple ID 就能为企业提供更多方式 在工作效率、个人隐私 和数据安全之间取得平衡 除了管理式 Apple ID 的新功能外 我们也新增了更多强大的功能 用于控制管理式帐户的访问权限 一起来了解下吧 我们在访问权限管理中 针对组织发放的 管理式 Apple ID 新增了选项 你将根据设备管理级别 来控制管理式 Apple ID 的登录 并决定帐户可使用的 iCloud 服务 这些选项可以通过 Apple 商务管理 或 Apple 校园教务管理进行设置 我们来看看如何操作 你可以根据设备管理级别 来控制管理式 Apple ID 在不同设备上的登录 你可以保留默认设置 即“任何设备” 这表示设备不受任何管理 若设置为“仅限受管理设备” 就能为使用个人设备工作的用户 提供更高级别的安全性 若设置为“仅限受监督设备” 可以为给员工提供设备的组织 提供最高等级的安全性 我们也为信息和 FaceTime 通话 增加了新的控制选项 你可以选择只接受 来自贵组织的信息和 FaceTime 通话 或禁止所有信息和呼叫

对开发者来说 除 AppleSeed for IT 外 还能控制对 Xcode 和 Apple Developer 网站的访问 你也可以针对 管理式 Apple ID 支持的 App 和服务选择禁用 iCloud 功能 当针对个别 App 禁用 iCloud 时 组织的政策会显示在设备上 在这个示例中 因为管理者 在 Apple 商务管理中 关闭了提醒事项的 iCloud 服务 所以设备上相应的开关已关闭 用户仍可以 在这台设备上使用提醒事项 但数据不会同步到 iCloud 为了支持仅限受管理设备 和仅限受监督设备的注册政策 移动设备管理开发者需要调用 一条新的 Check-in 请求代码 其会返回安全令牌 该令牌会验证管理式 Apple ID 只登录到在组织注册的 移动设备管理服务器上管理的设备上 让我们看看如何操作 这个新的 Check-in 请求类型 是 GetToken 为了执行这条请求 我们需要使用 在 Apple 商务管理 或 Apple 校园教务管理中 为组织注册的 移动设备管理服务器的 UUID 这可在 Get Account Detail 端点找到 移动设备管理服务器证书的密钥 与已注册的移动设备 管理服务器相关联 管理者在 Apple 商务管理 或 Apple 校园教务管理中 为组织设置访问权限管理选项 此设置会应用于所有属于组织的 管理式 Apple ID 在设备上登录管理式 Apple ID 时 设备会向关联的移动设备管理服务器 发送 GetToken 请求会话令牌 移动设备管理服务器会返回 包含令牌的 JSON 文件 登录时 设备会 验证令牌是否匹配 令牌通过验证 且用户设备管理级别 符合组织的登录选项时 用户便能成功注册 “访问权限管理”中的 组织登录设置选项会出现在 iOS 17、 iPadOS 17 和 macOS 14 上 如因为设置更新 或设备管理级别变更导致验证失败 用户会被登出设备 GetToken check-in 请求 确保了有访问权限的用户 才能访问设备和数据 我将为移动设备管理开发者 展示调用细节 GetToken 请求 和其他 Check-in 命令的结构类似 MessageType 的值是 GetToken 这个新的 TokenServiceType 密钥 表示请求会话令牌的服务类型 值应设为“com.apple.maid” 这条 GetToken check-in 请求 会返回一个包含令牌的 JSON 文件 这段代码中 Issuer 的值 设为移动设备管理服务器的 UUID Issued at 表示 服务器生成令牌的时间 这用于限制会话令牌的有效时间 Jwt identifier 是服务器生成的标识符 是一串随机的 UUID 字符串 用于确保令牌仅能使用一次 Service_type 密钥 是请求的 TokenServiceType 应设为“com.apple.maid” JSON 文件在返回给用户之前 需要经过服务器密钥签署 这些新的访问权限管理控制功能 将作为 Apple 商务管理 和 Apple 校园教务管理的 测试功能在今年夏天上线 我们已经介绍了使用和管理 管理式 Apple ID 的新功能 接下来 让我们看看如何创建它们 以及如何与第三方身份提供商集成 你可以通过 Apple 商务管理 或 Apple 校园教务管理 手动创建管理式 Apple ID 也可以借助 第三方身份提供商自动创建 借助身份提供商 你可以使用自己的域 让管理式 Apple ID 看起来就像是组织的邮箱 ID 使用联合认证让用户可以 使用组织凭证 来登录管理式 Apple ID 你也可以同步用户目录 当管理式 Apple ID 发生变动时 能自动获取更新 Apple 商务管理 和 Apple 校园教务管理 最早为微软 Azure AD 启用了联合认证 去年 我们为 Google Workspace 提供了联合认证 现在 越来越多的组织 使用身份提供商 来自动创建管理式 Apple ID 并保证帐户同步 今年 我们希望让所有组织 都能借助第三方身份提供商 来创建管理式 Apple ID 我们非常激动地宣布 我们新增了 支持自定义身份提供商的集成选项 现在 所有公共和企业身份提供商 都可以和 Apple 商务管理 或 Apple 校园教务管理集成 与 Azure AD 和 Google Workspace 一样 自定义身份提供商集成 支持联合认证、用户目录同步 和帐户安全功能 集成引入了三个标准： 支持联合认证的 OpenID Connect、 支持同步目录的 System for Cross-domain Identity Management (SCIM) 以及支持密码修改等帐户安全功能的 OpenID Shared Signals Framework 为了兼容集成功能 身份提供商 需支持这三种标准 我们非常高兴地宣布 今年 Okta 将会成为 我们的身份提供商 这意味着 如果你是 Okta 用户 你的管理式 Apple ID 即将可以享受 该身份提供商提供的所有功能 我们很高兴看到越来越多的组织 在使用这个全新的集成功能 通过身份提供商 创建和同步管理式 Apple ID 现在 我们来总结一下 请充分利用 管理式 Apple ID 的新功能 包括 iCloud 钥匙串、钱包 和所有强大的“连续互通”功能 在移动设备管理解决方案的支持下 通过基于帐户的设备注册 将 iPhone、iPad 和 Mac 登录到管理中 用户不再需要手动安装描述文件 可利用访问权限管理的全新功能 控制管理式 Apple ID 可登录的设备和可使用的 App 和服务 最后 身份提供商 可以与 Apple 商务管理 或 Apple 校园教务管理集成 进而为管理式 Apple ID 提供联合认证、 用户目录同步和帐户安全功能 我们非常期待你能开始体验 管理式 Apple ID 的这些新功能 感谢观看今天的讲座 祝你生活愉快