Highlight
Apple 在 2020 年把自动设备注册、Mac 受监督管理、托管 App、Bootstrap Token、Shared iPad for Business、Per Account VPN、Encrypted DNS 与 Set Timezone 等能力接入 MDM 流程,让组织能远程部署、更新并保护 Mac、iPhone 和 iPad。
核心内容
远程办公突然扩大以后,IT 管理员遇到的问题很具体:Mac 要寄到员工家里,iPhone 和 iPad 分布在不同地区,设备开机后要自动进入组织管理,系统更新还要留出测试窗口。手动配置每台设备会拖慢交付,也会留下安全策略没有及时下发的空档。
(00:37)Apple 先把重点放在 Mac。macOS Big Sur 让自动设备注册更完整:用户只需要选择语言并连接 Wi-Fi,组织拥有的设备就能自动进入 MDM。Enrollment customization 可以加入品牌、同意文本和现代认证,并用身份提供商的凭据预填用户名。
(02:44)部署流程还变得更像机房里的批量操作。Auto-advance for automated device enrollment 让 Mac 只接上电源和以太网就能跳过设置助理并到达登录界面。Mac Pro 还得到 Lights Out Management,管理员可以通过 MDM 远程启动、关机或重启同一子网内的 Mac Pro。
(04:31)设备进入组织以后,管理能力也补齐到 Mac。User-approved MDM 注册的 Mac 会被视为受监督设备,管理员可以控制 Activation Lock、使用 Bootstrap Token、查询和删除本地用户、替换或移除 profile、安装受监督限制,并安排软件更新。
(13:31)iOS 和 iPadOS 的更新覆盖部署、共享设备、托管 App、数据流控制和网络安全。Apple Configurator 支持 Apple School Manager 和 Apple Business Manager 的 apps and books locations;Shared iPad 扩展到企业场景;Temporary Session 允许用户无需账号临时使用共享 iPad,登出后删除本次会话数据。
详细内容
1. Mac 的零触摸部署和远程电源控制
(00:58)自动设备注册的目标是“拆箱并开机”。用户选择语言、连接 Wi-Fi 后,组织拥有的设备会自动注册到 MDM。注册期间,Enrollment customization 可以展示品牌和同意文本,接入 Microsoft Azure Active Directory、Okta、Ping 等身份提供商,并预填 full name 和 short name。
关键点:
- 自动设备注册让设备在首次启动时进入 MDM,IT 不需要先拿到设备再逐台处理。
- Enrollment customization 把认证放进设置流程,组织可以在创建本地账号前确认用户身份。
- 设置助理步骤可以按组织需要隐藏或保留,演讲列出的例子包括 Siri、Touch ID、FileVault、Analytics 和 Location。
(02:44)Auto-advance for automated device enrollment 把 Apple TV 上的批量设置体验带到 Mac。设备只需要电源和以太网,网络支持 DHCP,就能跳过设置助理并快速到达登录界面。如果磁盘已加密,用户仍需要输入密码。
关键点:
- 这个流程要求设备通过 Apple Business Manager 或 Apple School Manager 管理。
- 它适合机房、教室、实验室等有线网络环境,管理员可以让设备批量到达登录状态。
- 加密磁盘仍保留密码要求,部署速度不会绕过 FileVault 的保护。
(03:18)Lights Out Management 面向新 Mac Pro。管理员先注册一台 Mac 作为本地网络里的 controller,再把 Mac Pro 注册并连接到这台 LOM controller。MDM 服务器发送命令后,controller 会把启动、关机或重启命令分发给 Mac Pro。
关键点:
- Lights Out Management 要求 macOS Big Sur,Mac Pro 需要和 controller 位于同一子网。
- 设备要安装 Lights Out Management payload。
- MDM 厂商需要支持新的 Mac commands,才能把远程电源操作接入自己的管理界面。
2. Mac 管理能力补齐到 MDM
(04:31)过去,user-approved MDM 没有自动设备注册 Mac 的全部能力。macOS Big Sur 改变了这一点:任何注册到 user-approved MDM 的 Mac 都会被视为 supervised。管理员获得更接近组织拥有设备的控制面。
关键点:
- 管理员可以控制 Activation Lock,并利用 Bootstrap Token。
- MDM 命令可以查询和列出本地用户,按需要删除用户。
- 管理员可以替换或移除 profiles、安装 supervised restrictions,并安排软件更新。
(05:24)Managed Software Updates 从 iOS 和 iPadOS 扩展到 Mac 的经验更完整。新的 MDM commands 可以强制客户端 Mac 接受软件更新并重启;macOS major releases 和 non-OS updates 可以最多延迟 90 天;软件更新 catalog 被移除,Ignore flag 只保留给 major updates。
关键点:
- 90 天延迟给组织留下认证窗口,适合先在测试组验证再推广。
- 强制接受更新并重启解决长期不更新的终端。
- 移除 catalog 和收窄 Ignore flag 是安全侧调整,MDM 产品需要更新旧流程。
(05:48)Managed Apps 也来到 Mac。管理员可以通过 MDM commands 移除 App,设备取消注册时也可以移除;managed app configuration 和 feedback 与 iOS、iPadOS 一样受支持;符合条件的 unmanaged apps 可以通过 MDM 转成 managed。
关键点:
- Mac App 管理开始接近 iOS 的托管模型,卸载、配置和反馈都能由 MDM 承接。
- 设备取消注册时移除托管 App,有助于回收组织数据。
- 演讲明确指出,user-enrolled devices 上已安装的 managed apps 不支持 conversion。
(06:18)Content Caching 得到两个与管理有关的更新。macOS 会缓存完整的 6GB recovery image,让同一网络里的 Mac 恢复更快;新的 Content Caching Information MDM command 可以返回注册状态、cache pressure、bytes served 等指标。
关键点:
- 恢复镜像缓存减少外网下载,适合大量 Mac 同时恢复或更新的网络。
- MDM 可以远程判断缓存服务是否开启、是否正常工作、是否帮客户端加速下载。
- Apple 提醒开发者不要高频轮询这个 command,它不是 Activity Monitor 的实时替代品。
3. Mac 安全流程的变化
(08:03)Bootstrap Token 是 MDM 服务器提供的保留加密密钥。macOS 可以用它创建管理员账号,免去管理员密码认证。它还能帮助用户获得 secure token,并启动使用 FileVault 的 Mac。
关键点:
- Bootstrap Token 对使用网络账号的组织很有用,因为移动账号登录流程会更顺。
- 实现后,管理员可以利用 authorized software updates 和 kernel extensions。
- 该能力支持配备 Apple T2 Security Chip 的较新 Mac。
(09:34)Downloaded Profiles 被带到 Mac。用户从邮件或网页下载 profile 后,系统不会直接安装,而是把它放到 System Preferences 的 Profiles pane 里。用户需要预览、点击安装、确认并输入密码。
关键点:
- 下载的 profile 会在系统偏好设置里保留 8 分钟,然后从面板移除。
- macOS Big Sur 中,命令行安装 profile 会被视为 downloaded profile,安装仍要到 Profiles pane 手动完成。
- profiles command line tool 的其他功能继续按原方式工作。
(10:53)networksetup 工具也收紧了权限。标准用户只能读取网络设置、开关 Wi-Fi、切换接入点。修改系统级偏好设置时,系统会尊重“需要管理员密码”的设置;管理员仍可通过 sudo 执行管理操作。
关键点:
- 标准用户不再和管理员拥有相同的命令行网络修改能力。
- 企业脚本如果依赖标准用户修改网络配置,需要重新设计。
- 权限边界和图形界面的安全设置保持一致。
(11:50)自动设备注册依赖序列号识别设备。Apple 说明会开始在产品线中使用完全随机的 10 位序列号。MDM vendor 必须同时处理当前产品序列号格式和新的 10 位随机格式。
关键点:
- 旧的 12 位序列号包含生产地点和时间等可识别信息。
- 新格式减少序列号被恶意利用的风险。
- 设备识别逻辑不能假设序列号总是旧长度或旧结构。
4. iOS 和 iPadOS 的共享设备、数据流与网络安全
(13:31)Apple Configurator 支持 Apple School Manager 和 Apple Business Manager 提供的 apps and books locations。管理员可以在 account menu 选择 location,不同校区或组织位置会看到不同的 App 和图书集合。cfgutil 也变得更可扩展,可以恢复更多设备。
关键点:
- locations 让同一组织按地点分配不同内容。
- 这个能力适合学校、企业门店、区域团队分别管理 App 和图书。
- cfgutil 的扩展性提升服务于 USB 批量恢复和配置。
(14:31)iOS 14 的自动设备注册增加了 Getting Started 和 Update Completed panes 的 skip keys。Setup Assistant payload 也来到 iOS,管理员可以指定同样的 skip keys,并让它们在未来升级时生效。
关键点:
- 管理员可以跳过初始设置时还不知道的新升级面板。
- 升级期间跳过设置面板不再限于 Apple School Manager 或 Apple Business Manager 注册的设备。
- 该 payload 可用于所有 supervised devices。
(15:27)Shared iPad 从学校场景扩展到企业。员工可以用 Managed Apple ID 登录 Shared iPad;使用 Microsoft Azure Active Directory 的组织可以用 federated authentication;Shared iPad 也支持新的 single sign-on extension。
关键点:
- Shared iPad for Business 适合餐厅等服务行业的共享设备。
- 管理员可以按每个用户的存储空间动态决定 cached users 数量。
- MDM 可以一次删除共享 iPad 上所有用户,并查询 estimated resident users 和 quota size。
(16:51)Temporary Session 允许用户无需账号临时登录共享 iPad。用户登出后,本次会话创建的数据会被删除。
关键点:
- 临时会话降低共享设备的使用门槛。
- 数据在登出后清理,适合前台、访客、临时任务设备。
- 组织不需要为每次短时使用都预先准备 Managed Apple ID。
(17:28)Non-removable managed apps 让管理员只锁定关键 App。用户仍能重新排列 App、安装新 App、删除自己安装的 App,但不能删除或 offload 被标记为不可移除的托管 App。
关键点:
- 过去要防止删除关键 App,常见做法是锁住整个主屏幕。
- 新能力让用户保留日常整理空间,同时保护任务关键 App。
- 删除或 offload 受限 App 时,系统会阻止操作并显示提醒。
(18:29)Shortcuts 支持 Managed Open In。快捷指令触发动作时,如果策略不允许该数据流动,shortcut 会立刻停止运行。Notification settings payload 也新增 Preview Type key,用来控制通知预览显示时机:never、always、或仅设备解锁后显示。
关键点:
- Managed Open In 防止受管数据流入非受管 App 和服务,也防止反向流动。
- Preview Type 只在 supervised devices 上生效。
- 这两个能力都把组织数据保护扩展到用户日常操作路径。
(19:50)Set Timezone MDM command 面向跨地区远程设备。管理员可以为每台设备选择时区,且不依赖 Location Services。演讲特别提到,时区错误可能造成认证问题。
关键点:
- 远程员工分布在多个国家时,设备不应默认使用 MDM 服务器所在地时区。
- Set Timezone command 让 MDM 可以直接修正终端时间环境。
- 不依赖定位服务,适合用户关闭定位或设备没有稳定定位信息的场景。
(20:57)Per Account VPN for iOS 允许为 Contacts、Calendars 和 Mail domains 指定替代 VPN。开发者只需要替换 Domain payload 中的 keys。Encrypted DNS settings 则让组织不用配置 VPN,也能通过 MDM 管理安全 DNS。
关键点:
- Per Account VPN 把 VPN 选择从 App 流量细化到账户域。
- Encrypted DNS 保护与 DNS 服务器之间的连接。
- 两者都服务于远程网络环境下的数据传输安全。
(22:22)iOS 14 设备加入 Wi-Fi 网络时会使用随机 MAC 地址。企业网络如果依赖 captive portals 或过滤规则,可能因为设备标识变化出现异常。用户可以在设置里关闭该功能,管理员也可以通过 Wi-Fi payload 禁用。
关键点:
- 随机 MAC 地址提升隐私,但会影响按硬件地址识别设备的企业网络。
- 设备加入失败时会回退到真实 MAC 地址。
- Wi-Fi payload 给受管网络留下兼容入口。
核心启发
-
做什么:为 MDM 产品做一页 Mac Big Sur 部署准备检查。 为什么值得做:自动设备注册、Enrollment customization、Auto-advance 和 Lights Out Management 都要求网络、身份和 payload 条件先到位。 怎么开始:检查设备是否来自 Apple Business Manager 或 Apple School Manager,确认 DHCP、以太网、身份提供商配置、LOM payload 和同子网条件,再把未满足项显示给管理员。
-
做什么:做一个托管软件更新分阶段发布面板。 为什么值得做:macOS major releases 和 non-OS updates 可以最多延迟 90 天,MDM commands 还能安排更新并强制重启。 怎么开始:按测试组、试点组、全量组记录延迟策略,展示每组的扫描状态、安装状态和重启计划,避免长期停留在延迟窗口。
-
做什么:为共享 iPad 增加门店或前台模式。 为什么值得做:Shared iPad for Business、Temporary Session、动态 cached users 和一次删除所有用户,适合短时轮换设备。 怎么开始:用 Managed Apple ID 支持固定员工登录,用 Temporary Session 支持临时任务,并在交接班时触发用户清理和 quota 查询。
-
做什么:做远程员工网络安全策略模板。 为什么值得做:Per Account VPN、Encrypted DNS、Preview Type、Set Timezone 和 Wi-Fi payload 都指向分布式办公的安全细节。 怎么开始:按 Mail、Contacts、Calendars 域配置 Per Account VPN,推送 Encrypted DNS 设置,按国家或团队下发 Set Timezone command,并为企业 Wi-Fi 决定是否禁用随机 MAC 地址。
-
做什么:建立 Mac 管理脚本迁移清单。 为什么值得做:macOS Big Sur 改变了 profile 命令行安装和 networksetup 权限,旧部署脚本可能需要用户手动确认或管理员权限。 怎么开始:扫描现有脚本中 profiles install 与 networksetup 修改命令,把 profile 安装改走 MDM 或明确的用户确认流程,把网络修改迁到管理员授权路径。
关联 Session
- Deploy Apple devices using zero-touch — 讲解 Apple 内部如何用 Apple Business Manager、MDM 和 APNs 远程部署设备。
- Discover AppleSeed for IT and Managed Software Updates — 补充预发布测试、反馈协作和托管软件更新的发布治理流程。
- Leverage enterprise identity and authentication — 继续展开企业身份、联合认证、单点登录扩展和 Shared iPad for Business。
- Custom app distribution with Apple Business Manager — 说明企业自定义 App 如何通过 Apple Business Manager 分发给员工和客户。
评论
GitHub Issues · utterances