WWDC Quick Look 💓 By SwiftGGTeam
What's new in managing Apple devices

What's new in managing Apple devices

观看原视频

Highlight

Apple 将声明式设备管理(Declarative Management)确立为企业设备管理的标准,并在 macOS 27、iOS 27 和 iPadOS 27 中新增了凭证复用、系统健康监控、隐私权限统一提示、二进制执行控制、Web 认证登录等能力,让 IT 管理员能用更少的轮询、更细的粒度、更自动化的方式管理整个设备集群。

核心内容

从轮询到声明:设备管理的范式转移

传统设备管理依赖服务器不断向设备发送查询指令,确认状态、下发配置。设备越多,服务器压力越大,延迟越高。声明式管理改变了这个模式:IT 管理员定义好”设备应该处于什么状态”,设备自动向服务器汇报变化,无需轮询。

02:43)Apple 明确表示:声明式管理不再是路线图上的未来功能,它已经投入生产,在全球各地的设备集群中运行。如果你今天管理设备还不使用它,你的工作比实际需要更繁重。

Apple Business 全面扩展

00:45)Apple Business 现在覆盖超过 200 个国家和地区。企业可以获得零接触部署(zero-touch deployment)、托管 Apple 账户(Managed Apple Accounts)和内置设备管理功能。

配套的 REST API 也同步扩展,支持创建蓝图(Blueprints)和配置、修改用户和群组、查询应用许可信息、获取审计事件。这些 API 与现有的设备清单管理、AppleCare 保修查询等接口一起,构成了完整的自动化管理链路。

01:53)App Store 应用订阅也新增了批量许可机制,IT 管理员可以像分发普通应用一样,通过设备管理服务为员工分配应用订阅。

凭证管理:一次更新,全局生效

05:19)配置描述文件(configuration profiles)在引用凭证时有个老问题:多个 profile 可能包含同一份证书或密码,更新时必须逐个替换。声明式管理的多对多关系模型解决了这个痛点。

现在,多个配置可以引用同一个声明式凭证资产(declarative asset)。当凭证需要刷新时,服务器只需修改这个资产一次,设备会自动更新所有引用它的配置。这大幅简化了证书轮换和身份生命周期管理。

06:00)新的声明式配置在需要凭证时(无论是证书、身份还是密码),都统一使用声明式资产来承载凭证数据。

状态通道:从被动查询到主动推送

06:11)声明式状态通道(status channel)让设备在状态变化时主动推送给服务器,彻底消除了轮询需求。本次更新新增了多项状态项:

  • 注册类型(enrollment type)
  • 等待设备配置状态
  • 返厂维修状态(return to service)
  • Shared iPad 状态
  • 设备当前推送令牌
  • 用户是否启用了锁定模式(Lockdown Mode)

06:48)iOS 和 iPadOS 27 还新增了设备系统健康状态项,涵盖基带、摄像头、Face ID、Touch ID 等硬件组件的健康状况。IT 管理员可以在仪表板上看到整个集群的设备健康全景,在问题影响用户之前采取预防措施。

日志收集与内容缓存

07:24)IT 管理员现在可以通过新的 TriggerEnhancedLogCollection 命令,在组织拥有的设备上启动增强日志收集,方便 AppleCare 分析问题。配合声明式状态,可以实时监控收集进度。

08:12)macOS 27 新增了内容缓存(Content Caching)的声明式配置和状态项。IT 管理员可以直接控制 Mac 上的缓存服务,并监控服务健康。缓存服务器还能直接向任意 HTTPS 端点发送报告,方便构建更复杂的监控控制台。

应用管理:macOS 迎头赶上

09:48)iOS、iPadOS 和 visionOS 上的声明式应用配置(declarative app configuration)现在来到了 macOS 27。企业应用可以获得安全凭证配置,支持硬件绑定密钥(hardware-bound keys)和托管设备证明(Managed Device Attestation),用于向企业服务端认证应用和扩展。

10:35)macOS 27 还允许在移除声明式包配置时,一并删除该包安装的所有文件和目录。这避免了配置移除后残留垃圾文件的问题。

隐私权限:从多个弹窗到一个统一提示

10:59)员工每天使用的应用可能反复请求相机、麦克风、位置等权限,用户快速点击容易配置错误。iOS、iPadOS 和 macOS 27 引入了统一的隐私同意提示。

应用首次启动时,用户会看到一个汇总提示,包含:

  • 组织和应用名称
  • IT 管理员提供的理由说明
  • 每个隐私组件的默认值及对应理由

用户点击”允许”,所有默认设置一次性生效,后续不再弹窗。点击”暂不”,则保持现有行为,使用时逐个提示。“允许”按钮是默认高亮选项,引导用户做出正确选择。

12:36)Safari 网站权限也适用同样的统一提示机制。IT 管理员通过声明式的 app.settingssafari.settings 配置来控制这些权限。

二进制执行控制

13:19)企业需要控制 Mac 上运行哪些应用和二进制文件以满足合规要求。macOS 27 新增了声明式管理设置来控制二进制执行,基于 Endpoint Security 框架实现。

规则利用代码签名属性来匹配二进制文件,确保控制的精确性。还可以选择自动允许所有托管应用,无需为每个应用单独添加规则。当某个二进制被拒绝时,关联的进程会被终止。

Platform SSO:更灵活、更安全的身份认证

15:06)Platform SSO 在 macOS 27 上获得了多项重要升级。

强制 Touch ID:(15:56)IT 管理员可以要求用户在组织设备上同时使用密码和 Touch ID,提供内置的双因素认证。这在登录、屏幕解锁和 FileVault 解锁时都会被强制执行。

Web 认证:(16:55)macOS 27 引入了基于 WebView 的认证选项,身份提供商可以在登录窗口和屏幕解锁界面渲染安全的 WebView,运行任何现代认证流程,包括自定义挑战-响应序列、一次性验证码、条件访问推送通知、QR 码免密登录等。

WebView 在操作系统严格控制的执行上下文中运行。QR 码扫描时,摄像头完全在独立的安全系统进程中操作,Web 页面只收到解码后的数据,永远不会收到原始摄像头画面或图像数据。

18:02)离线认证也受支持,确保未联网设备的安全访问连续性。

Authenticated Guest Mode:(18:43)护士、医生等需要在多台共享 Mac 间快速切换的用户,现在可以在 FileVault 加密的 Mac 上使用认证访客模式登录。临时会话的数据在登出后自动清除,同时全盘加密保护设备数据。这项功能无需额外配置,在已启用认证访客模式的设备上自动可用。

19:54)Shared iPad 也将在本次更新周期内支持认证访客模式。iPad 启动进入临时会话,用户用托管 Apple 账户登录,支持原生认证和联合身份认证(SSO)。临时会话与系统共享设备容量,没有硬性配额限制。登出后所有本地数据和账户自动清除。

Classroom 应用新增引导浏览

20:55)教师可以通过 Classroom 应用将学生锁定在指定的一个或多个网站标签页上,也可以锁定到单个标签页作为即时焦点。教师可以直接输入网址,也可以使用备课时准备的收藏夹。可以限制学生在网站内外的导航能力,还可以授予相机和麦克风访问权限(学生可自行决定是否保持启用)。

详细内容

声明式凭证管理的数据模型

声明式管理的核心优势在于关系模型。传统配置描述文件是一对一的:一个 profile 包含一份凭证。声明式模型支持多对多关系:

配置 A ──┬── 凭证资产 X ──┬── 配置 B
         │                │
         └── 凭证资产 Y ───┘

当凭证资产 X 更新时,配置 A 和配置 B 都会自动获得新凭证,无需分别下发更新。

05:48)服务器修改资产的流程:

  1. 创建或更新声明式凭证资产(证书、身份或密码)
  2. 设备接收资产变更
  3. 设备自动更新所有引用该资产的配置
  4. 通过状态通道向服务器确认更新完成

设备系统健康状态项的组件列表

07:05)iOS 和 iPadOS 27 报告的系统健康组件包括:

  • 基带(baseband)
  • 摄像头
  • Face ID
  • Touch ID
  • 其他硬件组件

IT 管理员订阅这些状态项后,设备在组件状态变化时自动推送更新。

统一隐私提示的配置方式

IT 管理员通过声明式配置定义隐私权限:

  1. 确定用户需要访问的隐私组件(相机、麦克风、位置等)
  2. 为每个组件提供理由说明(justification string)
  3. 创建 app.settingssafari.settings 声明式配置
  4. 指定应用或网站及对应的组件列表

用户首次启动应用或访问网站时,系统展示汇总提示。这个提示包含 IT 管理员提供的组织级理由,以及应用自身为每个组件提供的理由。

二进制执行控制的规则匹配

14:13)macOS 27 的二进制执行控制规则基于代码签名属性进行匹配,包括:

  • 团队标识符
  • 签名标识符
  • 证书哈希
  • 其他代码签名属性

规则可以设置为允许(allow)或拒绝(deny)。被拒绝的二进制文件关联的所有进程都会被终止。还可以启用”自动允许托管应用”选项,简化规则维护。

Platform SSO Web 认证的安全架构

17:10)WebView 认证的安全设计要点:

  1. WebView 在操作系统控制的执行上下文中渲染
  2. 身份提供商可以运行任何现代认证流程
  3. QR 码扫描时,摄像头在独立的安全系统进程中操作
  4. Web 页面只接收解码后的字符串数据
  5. 原始图像数据和摄像头画面永远不会暴露给 Web 内容

这个设计覆盖了登录窗口、屏幕解锁和 FileVault 解锁三个场景,同时支持离线认证。

核心启发

构建企业设备健康仪表板

做什么:利用新的系统健康状态项和 Content Caching 状态项,开发一个实时监控面板。订阅设备基带、摄像头、Face ID/Touch ID 的健康状态,结合缓存服务器的运行状态,在问题影响用户前主动预警。

为什么值得做:设备硬件故障往往在用户投诉前就有征兆。提前发现摄像头失灵或 Face ID 异常,可以主动安排维修或更换,减少用户工作中断时间。

怎么开始:订阅 com.apple.system.health 和 Content Caching 相关的声明式状态项,在 MDM 控制台或自建仪表板中聚合展示。

简化企业证书轮换流程

做什么:将企业根证书、Wi-Fi 证书、VPN 身份等抽象为可复用的声明式凭证资产,多个配置共享引用。

为什么值得做:传统配置描述文件是一对一包含凭证的,证书到期前必须逐个 profile 替换。声明式资产只需更新一次,所有引用它的配置自动生效,运维工作量从”逐个设备推送”降到”改一处全局生效”。

怎么开始:使用声明式管理中的 credential asset 类型,把现有 profile 中的证书提取为独立资产,修改配置使其引用资产而非内嵌证书。

为共享设备场景设计无缝登录

做什么:医疗、零售、物流行业的共享设备基于 Platform SSO 的 Web 认证和 QR 码登录,打造零摩擦的临时会话体验。

为什么值得做:护士、医生需要在多台共享 Mac 间快速切换,传统登录流程每次都要输入密码。认证访客模式让用户扫码或刷员工证即可登录,会话结束后数据自动清除,兼顾效率和安全。

怎么开始:配置 Authenticated Guest Mode + Platform SSO Web 认证,在 provisioning options 中开启自动登录,配合身份提供商的 QR 码认证流程。

开发合规驱动的二进制管控方案

做什么:利用 macOS 27 的二进制执行控制,为企业构建应用白名单/黑名单系统。

为什么值得做:金融、医疗等行业对设备上能运行什么软件有严格合规要求。基于代码签名属性的精确匹配比文件路径或进程名更可靠,防止攻击者改名绕过。

怎么开始:创建声明式 app.settings 配置,设置 Endpoint Security 规则,按团队标识符、签名标识符或证书哈希匹配二进制文件,启用”自动允许托管应用”简化维护。

优化教育场景的课堂管理工具

做什么:基于 Classroom 应用的新引导浏览能力,开发配套的教师备课工具。

为什么值得做:教师可以提前配置网站收藏夹和权限模板,上课一键分发到学生设备,将学生锁定在指定网站标签页上。这比口头要求学生”不要切页面”有效得多。

怎么开始:集成 Classroom 应用的引导浏览 API,配合网站书签管理,在教师端 App 中预配置课程所需的网址列表和导航限制。

关联 Session

评论

GitHub Issues · utterances