What's new in managing Apple devices
System & Services 进阶 20m

Apple 设备管理新特性

What's new in managing Apple devices

2022年6月6日

在 Apple 官方观看视频

一句话判断

如果你负责企业或教育场景的设备部署,这场 Session 涵盖了 Apple Configurator for iPhone 支持 iOS 设备加入组织、OAuth 2 认证、Enrollment SSO、声明式设备管理扩展等关键更新。

这场 Session 讲了什么

Session 由设备管理团队的 Nadia 和 Graham 主讲,覆盖 macOS Ventura 和 iOS/iPadOS 16 的设备管理新特性。

核心更新包括:Apple Configurator for iPhone 现在可以将 iPhone 和 iPad(不只是 Mac)添加到组织;身份管理方面新增 Google Workspace 作为联合身份认证的 Identity Provider、Sign in with Apple 对 Managed Apple ID 的支持、OAuth 2 授权机制、以及 Enrollment Single Sign-On(一次性认证完成 MDM 注册);声明式设备管理在更多平台上可用;Apple Business Essentials 为小企业提供一体化订阅方案。

值得深挖的点

Enrollment SSO 的架构设计。 它结合了 Account-Driven User Enrollment(iOS 15)和 Extensible SSO(iOS 13),让 BYOD 用户只需一次认证就能完成 MDM 注册并访问组织资源。App Store 上的 SSO Extension App 提供原生认证 UI,MDM 服务器通过 JSON 文档告诉客户端该下载哪个 Extension App。

OAuth 2 在 MDM 中的引入。 iOS 15 只有简单的 access token 认证,iOS 16 支持 OAuth 2 的 refresh token 机制。短命 access token 加上静默 refresh,用户不会被反复弹出认证窗口。这为 MDM 服务器对接各种 Identity Provider 打开了大门。

Apple Configurator for iPhone 的扩展。 之前只能添加 Mac 到组织,现在 iPhone 和 iPad 也能通过 iPhone 上的 Configurator App 无线添加。iOS/iPadOS 的扫描入口是 Wi-Fi 设置页面(macOS 是国家/地区页面),需要设备运行 iOS/iPadOS 16。

代码片段

// Enrollment SSO 的 JSON 文档格式
// MDM 服务器通过认证响应头返回此文档的 URL
{
    "iTunesStoreID": 1234567890,
    "AssociatedDomains": ["example.com"],
    "ConfigurationProfile": "<Base64 编码的配置文件,至少包含一个 Extensible SSO payload>"
}
# OAuth 2 认证流程概要
# 1. MDM 服务器在认证响应头中返回 Enrollment SSO URL
#    HTTP/1.1 401 Unauthorized
#    Enrollment-Sign-In-URL: https://mdm.example.com/enrollment-sso/config.json
#
# 2. 客户端下载 JSON 文档,获取 SSO Extension App 的 App Store ID
# 3. 用户通过 Extension App 完成一次认证
# 4. 认证结果用于完成 MDM 注册,无需再次登录

最佳实践

  • BYOD 场景优先使用 Enrollment SSO。 一次认证完成注册和资源访问,用户体验远优于传统多步流程。
  • 利用 Directory Sync 自动创建 Managed Apple ID。 配合 Google Workspace 联合认证,用户直接用工作账号登录。
  • Sign in with Apple 对 Managed Apple ID 开箱即用。 已支持 Sign in with Apple 的 App 不需要额外修改,管理员可以在 Apple Business Manager 中设置允许列表。
  • 关注声明式设备管理的扩展。 设备管理从命令式转向声明式,减少服务器负载,设备更加自主。

还有什么值得关注

  • Managed Device Attestation 利用 Secure Enclave 提供设备身份和软件版本的强验证
  • Apple Business Essentials 将设备管理、24/7 支持和云存储打包成小企业友好的订阅方案
  • 推荐观看 “Adopt Declarative Device Management” 了解声明式管理的详细用法
  • Apple 的设备管理文档现在有了新的呈现方式,查找更方便
WWDC 2022