Apple 设备管理新动态：macOS 安全增强与 Platform SSO 进化

一句话判断

如果你的团队负责企业 Apple 设备的部署和管理，macOS 14 的自动化设备注册（ADE）增强和 Platform SSO 新能力是最值得关注的——FileVault 可以在设置助手中强制启用，身份提供商的集成范围进一步扩大。

这场 Session 讲了什么

Session 覆盖了 macOS 14、iOS 17 和 iPadOS 17 在设备管理方面的新功能，重点放在 macOS 的安全增强和身份认证扩展上。

macOS 自动化设备注册（ADE）增强。macOS 14 允许 MDM 在 Setup Assistant 阶段就要求启用 FileVault，IT 管理员可以选择在设置过程中展示恢复密钥或将其托管到 MDM。MDM 还可以设置最低操作系统版本要求——如果设备版本不够，会自动引导用户完成系统更新再继续注册。未联网时跳过注册的问题也得到了解决：联网后系统会全屏显示 Setup Assistant，给用户两个选择——立即继续注册或延迟最多 8 小时。

Platform SSO 的进化。macOS Ventura 引入的 Platform SSO 让用户通过一次身份提供商认证访问所有企业服务。今年新增：在登录窗口使用企业凭证按需创建本地账户（需要共享设备密钥和 Bootstrap Token 支持）；SmartCard 可用于登录窗口和屏幕保护程序认证；身份提供商的用户组可以直接映射到本地用户权限（标准用户、管理员或自定义组）；网络授权让非本地用户也能在权限提示中使用。

其他更新：Apple Watch 可以注册到 MDM；声明式设备管理（Declarative Device Management）支持新方式部署应用和证书；软件更新可以强制执行到特定期限。

值得深挖的点

FileVault 在 Setup Assistant 中强制启用：此前 FileVault 通常在用户登录后才启用，存在一个安全窗口期。现在从一开始就加密，设备从开箱到投入使用都处于受保护状态。恢复密钥托管到 MDM 也让 IT 团队有了统一的密钥管理方案。

按需创建本地账户的依赖条件：需要 Mac 能连接到身份提供商、设备处于登录窗口且 FileVault 已解锁、MDM 支持 Bootstrap Token。四个条件缺一不可。这种设计确保了安全性——不会在未受信任的设备上随意创建账户。

网络授权的边界：非本地用户可以在授权提示中使用，但不能用于要求当前登录用户或需要 SecureToken/ownership 权限的特定操作。了解这个边界对于正确配置企业环境的权限模型至关重要。

代码片段

Platform SSO 的 Extensible SSO Profile 配置示例概念：

// Platform SSO 组映射配置（概念示意）
// 在 Extensible SSO Profile 中定义：
// - 身份提供商的 URL 和客户端 ID
// - 共享设备密钥（用于按需创建本地账户）
// - 组映射规则：
//   Identity Provider Group "IT-Admins" -> 本地管理员组
//   Identity Provider Group "Engineering" -> 标准用户
//   Identity Provider Group "Contractors" -> 自定义权限组
//
// 登录窗口行为：
// - 用户使用企业凭证登录
// - 系统验证身份提供商
// - 根据组映射创建本地账户并分配权限
// - SmartCard 用户同样支持此流程

最佳实践

• 利用 macOS 14 的 ADE 增强在设备初始化时就启用 FileVault，消除安全窗口期
• 设置最低操作系统版本要求，确保设备在投产前已更新到安全补丁版本
• Platform SSO 的组映射要与企业的角色权限体系对齐，避免过度授权
• 测试 SmartCard 认证在登录窗口和屏幕保护程序中的完整流程
• 网络授权功能适合临时访客场景，但不要用于需要 SecureToken 的操作

还有什么值得关注

• Apple Watch MDM 注册的具体能力和限制
• 声明式设备管理在应用部署方面的详细工作流程
• 软件更新强制执行的期限配置选项
• OpenID Connect 支持在 Apple Business Manager 中的配置方式