正如预期的那样,Apple 在 WWDC 上宣布了一系列重大变化,以改变 Mac、iPad、iPhone 和 Apple TV 在商业和教育环境中的管理方式。 这些变化主要分为两组:影响整体设备管理的变化和适用于声明式管理(Apple 去年在 iOS 15 中引入的一种新型设备管理)的变化。
重要的是分别查看每个组以最好地了解变化。
Apple 如何改变整体设备管理?
苹果配置器
适用于 iPhone 的 Apple Configurator 得到了显着扩展。 长期以来,在管理中注册 iPhone 和 iPad 一直是一种手动方法,而不是使用自动或自助注册工具。 该工具最初作为可以配置设备的 Mac 应用程序发布,但它有一个主要缺点:设备必须通过 USB 连接到运行该应用程序的 Mac。 这在除小型环境之外的任何时间和人力方面都有明显的影响。
[相关:什么是 UEM? 统一端点管理解释]
去年,Apple 推出了一个版本的 iPhone Configurator,它颠倒了原来的工作流程,这意味着可以无线使用 iPhone 版本的应用程序将 Mac 注册到管理中。 它主要用于将在 Apple 企业/教育渠道之外购买的 Mac 注册到 Apple Business Manager(通过该渠道购买的 Apple 产品可以通过零接触配置自动注册)。
iPhone 的化身非常简单。 在设置过程中,您将 iPhone 摄像头对准 Mac 屏幕上的动画(很像配对 Apple Watch),这会触发注册过程。
今年的重大变化是 Apple 扩大了 Apple Configurator for iPhone 的使用范围,以支持使用相同流程的 iPad 和 iPhone 注册——取消了将设备连接到 Mac 的要求。 这大大减少了注册这些设备所需的时间和精力。 有一个警告:需要蜂窝激活或激活锁定的设备将需要手动完成激活,然后才能使用配置器。
身份管理
Apple 对企业环境中的身份管理进行了有益的更改。 最重要的是:它现在提供对其他身份提供者的支持,包括 Google Workspace 和 Oauth 2,这允许提供更多的提供者。 (已经支持 Azure AD。)这些身份提供商可以与 Apple 商务管理结合使用,为员工生成管理式 Apple ID。
该公司还宣布,将在今年秋季 macOS Ventura 和 iOS/iPadOS16 发布后实施跨平台单点登录支持。 此处的目标是通过要求用户仅进行一次身份验证来使用户注册更加轻松和简化。 Apple 还宣布了 Platform Single Sign-on,旨在扩大和简化每次登录设备时对企业应用程序和网站的访问。
托管的每个应用程序网络
Apple 长期以来一直具有每个应用程序的 VPN 功能,仅允许特定的企业或与工作相关的应用程序使用活动的 VPN 连接。 这适用于 VPN 安全性,但通过仅通过 VPN 连接发送特定应用程序流量来限制 VPN 负载。 在 macOS Ventura 和 iOS/iPadOS 16 中,Apple 正在添加每个应用的 DNS 代理和每个应用的 Web 内容过滤。 这有助于保护特定应用程序的流量,并且功能与每应用程序 VPN 相同。 这不需要对应用程序本身进行任何更改。 DNS 代理支持系统范围或每个应用程序选项,而内容过滤支持系统范围或最多七个每个应用程序实例。
E-SIM 配置
对于支持 eSIM 的 iPhone,Apple 使移动设备管理软件 (MDM) 能够配置和配置 eSIM。 这可能包括配置新设备、迁移运营商、使用多个运营商或配置旅行和漫游。
管理辅助功能设置
Apple 以其为有特殊需要的人提供的广泛的辅助功能而闻名。 事实上,许多没有特殊需求的人也会使用其中的几个功能。 在 iOS/iPadOS 16 中,Apple 允许 MDM 自动启用和配置一些最常见的功能,包括:文本大小、画外音、缩放、触摸调整、粗体文本、减少运动、增加对比度和降低透明度。 在特殊教育或医院和医疗保健等领域,有特殊需要的用户可以共享设备,这将是一个受欢迎的工具。
Apple 的声明式管理流程有哪些新功能?
Apple 去年推出了 Declarative Management,作为对其原始 MDM 协议的改进。 它的一大优势是它将大部分业务逻辑、合规性和管理从 MDM 服务转移到每个设备。 因此,设备可以主动监控其状态。 这消除了 MDM 服务不断轮询其设备状态然后发出响应命令的需要。 相反,设备根据它们的当前状态和发送给它们的声明进行这些更改,并将它们报告回服务。
声明式管理依赖于包含激活和配置等内容的声明。 一个优点是声明可以包括多个配置以及指示何时或是否应激活配置的激活。 这意味着单个声明可以包含所有用户的所有配置,并与指示他们应该应用到哪些用户的激活配对。 这减少了对大量不同配置的需求,因为设备本身可以确定由于其用户而应该为设备启用哪些配置。
今年,Apple 扩展了声明式管理的使用范围。 最初,它仅在利用用户注册的 iOS/iPadOS 15 设备上可用。 今后,将支持所有运行 macOS Ventura 或 iOS/iPadOS/tvOS 16 的 Apple 设备,无论其注册类型如何。 这意味着设备注册(包括受监督设备)得到全面支持,共享 iPad 也是如此(一种允许多个用户共享同一台 iPad 的注册类型,每个用户都有自己的配置和文件。)
该公司已经明确表示,声明式管理是 Apple 设备管理的未来,任何新的管理功能都将只推出声明式模型。 尽管传统的 MDM 将在一段未指定的时间内可用,但它已被弃用并最终将被淘汰。
这对已经在使用的设备有重大影响。 无法运行 macOS Ventura 或 iOS/iPadOS 16 的设备最终将被丢弃,任何仍在使用中的设备都需要更换。 鉴于大量设备失去支持,这可能会给一些组织带来代价高昂的过渡。 虽然这不是立竿见影的,但您应该开始确定过渡的规模和成本以及您将如何管理它(特别是因为它可能需要过渡到 Apple Silicon,它不支持运行 Windows 或 Windows 的能力 应用程序,在这个过程中)。
除了扩展哪些产品可以使用声明式管理外,Apple 还扩展了其功能,包括支持密码配置、企业帐户和 MDM 管理的应用程序安装。
密码选项比简单地要求某种类型的密码更复杂。 传统上,某些与安全相关的配置需要符合密码,例如将公司 Wi-Fi 配置发送到设备。 在声明式模型中,这些配置可以在设置密码之前发送到设备。 它们与密码要求一起发送,并包含一个激活,只有在用户创建符合该策略的密码后才会启用它。 用户设置密码后,设备将检测到更改并启用与 MDM 服务的多个连接的 Wi-Fi 配置,立即启用 Wi-Fi 并通知服务它已被激活。
帐户——可以包括邮件、便笺、日历和订阅的日历等内容——功能类似。 声明可以指定组织内支持的所有类型的帐户以及所有订阅的日历。 然后,设备将根据用户的帐户和组织内的角色确定激活和启用。
MDM 应用程序安装是对声明式管理最重要的补充,因为应用程序安装是给 MDM 带来最大负载的任务之一,也是大规模设备激活期间的最大瓶颈(例如新员工的大量入职、新设备推出、 或开学第一天)。 声明可以指定在激活时安装并发送到设备的所有潜在应用程序,甚至在将其交给用户之前。 同样,设备将根据用户确定激活和提供哪些应用程序安装配置。 这避免了每个设备都必须重复查询服务和下载应用程序及其配置。 如果用户的角色发生变化,它还可以简化并加快启用(或禁用)应用程序的过程。
这些都是重大的改进,很容易看出为什么它们是声明式管理首次推出后的第一批补充。 仍然有一些 MDM 功能还没有实现声明式使用的飞跃,但很明显最终——也许最快明年——它们会实现。
这是对企业最重要的 WWDC 公告之一,很高兴看到 Apple 在决定添加或更新哪些功能时考虑周到,因为其中大多数解决的领域都是困难、耗时、资源密集或乏味的。 Apple 不仅满足企业客户的需求,而且证明它了解这些需求。
