WWDC Quick Look 💓 By SwiftGGTeam
Do more with Managed Apple IDs

Do more with Managed Apple IDs

观看原视频

Highlight

Managed Apple ID 在 iOS 17、iPadOS 17 和 macOS 14 上新增 iCloud Keychain、Wallet、Continuity 支持,引入 account-driven Device Enrollment 和 Access Management 策略,并开放自定义 Identity Provider 集成。

核心内容

企业 IT 管理员一直在平衡两件事:给员工足够的生产力工具,同时保护组织数据安全。Managed Apple ID 今年的更新让这道选择题变得简单了一些。

Managed Apple ID 是专为企业/学校设计的 Apple ID 类型。组织通过 Apple Business Manager 或 Apple School Manager 创建和管理这些账号。员工用 Managed Apple ID 登录设备,数据归组织所有,不需要暴露个人 Apple ID。

更多 iCloud 功能

01:50)今年 Managed Apple ID 解锁了多项之前仅限个人账号的功能:

  • iCloud Keychain:密码和 Passkey 跨设备同步,Face ID / Touch ID 登录 App 和网站
  • Messages、Stocks、News、Siri:数据跨设备同步
  • Wallet:信用卡、驾照、公交卡、钥匙和门禁卡
  • Continuity:Handoff、Sidecar、Instant Hotspot、Universal Clipboard、Continuity Camera

员工在设置中登录 Managed Apple ID 后,可以在 iCloud 设置里看到所有可用的服务。

Account-driven Device Enrollment

04:03)之前有两种设备注册方式:

  • User Enrollment(BYOD):员工在个人设备上登录工作账号,工作数据与个人数据加密隔离
  • Device Enrollment:组织拥有设备,通过安装配置描述文件注册,管理权限更高

Device Enrollment 的问题是流程繁琐,需要手动下载和安装描述文件。今年新增的 account-driven Device Enrollment 把登录体验统一了:

  1. 用户在设置中点击 “Sign in to Work or School Account”
  2. 用 Managed Apple ID 登录
  3. 系统显示远程管理说明
  4. 完成注册,Managed Apple ID 与 personal Apple ID 并存

数据依然隔离,但组织获得了接近完整 Device Enrollment 的管理能力(密码策略、远程擦除、锁定设备等)。macOS 上注册后设备变为 Supervised 状态。

MDM 开发者只需要改两个配置:

  • well-known endpoint 的 Version 从 mdm-byod 改为 mdm-adde
  • Enrollment Profile 的 EnrollmentMode 从 BYOD 改为 ADDE

Access Management

10:59)组织现在可以控制 Managed Apple ID 的登录策略:

  • Any Device:任何设备都可以登录
  • Managed Devices Only:仅限已管理的设备
  • Supervised Devices Only:仅限受监督设备,最高安全级别

还可以单独控制 Messages 和 FaceTime(仅限组织内联系人或完全禁用)、开发者工具访问(Xcode、Apple Developer 网站)、以及各个 iCloud 服务的开关。

12:51)MDM 需要实现新的 GetToken Check-in 请求来支持这些策略。设备在登录时向 MDM 请求一个 JWT token,验证设备的管理状态是否符合组织策略。

自定义 Identity Provider

16:52)之前 federated authentication 只支持 Microsoft Azure AD 和 Google Workspace。今年开放了对自定义 Identity Provider 的支持,任何符合标准的 IdP 都可以集成。

需要支持三个标准:

  • OpenID Connect:联邦认证
  • SCIM:目录同步
  • OpenID Shared Signals Framework:账户安全事件(如密码修改)

Okta 已宣布将在今年晚些时候成为支持的 Identity Provider。

详细内容

Sign in with Apple at Work and School

07:01)Managed Apple ID 现在可以用于登录支持 Sign in with Apple 的第三方 App。工作 App 用工作账号,个人 App 用个人账号。如果 App 使用 web view 认证,点击 “Use a different Apple ID” 可以输入 Managed Apple ID。

macOS 上的注册流程

07:39)macOS Sonoma 在 System Settings > Privacy & Security > Profiles 下新增了 “Work or School Account” 登录入口。流程与 iOS/iPadOS 一致,根据配置返回 User Enrollment 或 Device Enrollment。

GetToken 实现细节

14:53)GetToken 请求的 MessageType 是 GetToken,TokenServiceType 设为 com.apple.maid。响应是一个 JWT,包含以下 claims:

  • Issuer:MDM server UUID
  • Issued at:token 生成时间戳
  • Jwt identifier:随机 UUID,确保一次性使用
  • Service_typecom.apple.maid

JWT 用 MDM server 证书的私钥签名。设备验证 token 后,检查设备管理状态是否符合组织的登录策略。

核心启发

  • 做什么:给 B2B App 添加 “Sign in with Apple at Work and School” 支持

  • 为什么值得做:企业用户 increasingly 使用 Managed Apple ID。支持这个登录方式可以让你的 App 被更多企业采用

  • 怎么开始:检查现有的 Sign in with Apple 实现,确保 web view 认证流程支持 “Use a different Apple ID”

  • 做什么:测试 App 在 User Enrollment 环境下的行为

  • 为什么值得做:BYOD 场景下,工作数据和个人数据在设备上隔离。App 如果依赖某些系统级数据(如相册、通讯录),可能在隔离环境中表现不同

  • 怎么开始:在测试设备上通过 Settings > General > VPN & Device Management > Sign in to Work or School Account 创建 User Enrollment,验证 App 功能

  • 做什么:如果是 MDM 开发者,尽快支持 account-driven Device Enrollment

  • 为什么值得做:配置改动很小(两个字段),但大幅改善了企业用户的注册体验。用户不再需要手动安装描述文件

  • 怎么开始:修改 well-known endpoint 返回 mdm-adde,Enrollment Profile 设 EnrollmentMode 为 ADDE

  • 做什么:评估 Access Management 对 App 功能的影响

  • 为什么值得做:组织可能禁用某些 iCloud 服务(如 iCloud Drive、Reminders)。App 如果依赖这些服务,需要在禁用状态下优雅降级

  • 怎么开始:检查代码中所有 iCloud 服务调用,添加可用性检查,在不可用时提供本地替代方案

关联 Session

评论

GitHub Issues · utterances