Do more with Managed Apple IDs
System & Services 进阶 20m

Managed Apple ID 全面升级:iCloud、Device Enrollment 与 Sign in with Apple

Do more with Managed Apple IDs

2023年6月5日

在 Apple 官方观看视频

一句话判断

Managed Apple ID 今年获得了 iCloud 完整支持、account-driven Device Enrollment 和 Mac 端登录——企业设备管理迎来质变。

这场 Session 讲了什么

Darsh 从使用、管理和创建三个维度介绍了 Managed Apple ID 的年度更新:

iCloud 功能扩展。Managed Apple ID 现在支持 iCloud Keychain(含 Passkey 同步)、Messages/Stocks/News/Siri 的数据同步、Wallet(信用卡、驾照、公交卡、钥匙等)以及全套 Continuity 功能(Continuity Camera、Handoff、Sidecar、Universal Clipboard 等)。

Account-driven Device Enrollment。之前 Device Enrollment 需要手动下载和安装配置描述文件,流程繁琐。今年新增了 account-driven 方式:用户在设置中登录工作或学校账号,系统自动完成注册和设备管理 enrollment。这个流程与 User Enrollment 体验一致,但提供更高的管理权限。

macOS 支持。两种 account-driven enrollment(User 和 Device)都扩展到了 macOS。在系统设置的”隐私与安全”->“描述文件”下新增了”工作或学校账号”登录入口。

Sign in with Apple at Work and School。Managed Apple ID 现在可以用于登录支持”Sign in with Apple”的第三方 App 和网站,工作账号用于工作 App,个人账号用于个人 App。

值得深挖的点

User Enrollment vs Device Enrollment 的选择。User Enrollment 适合 BYOD 场景,工作数据和个人数据加密分离,存储在不同分区;Device Enrollment 适合企业自有设备,提供更高的管理能力。两种模式的入口完全一样——用户只需登录账号,后端配置决定走哪条路径。

MDM 开发者的适配。对于已经支持 account-driven User Enrollment 的 MDM 开发者,新的 Device Enrollment 复用同一个 well-known endpoint。MDM 服务端根据设备类型和组织策略选择 enrollment 类型,返回不同的配置。

个人设备上的双账号体验。在个人设备上,个人 Apple ID 和 Managed Apple ID 可以同时登录。iCloud 功能在 Managed Apple ID 下可用于最重要的工作内容,个人数据则继续通过个人 Apple ID 管理。

代码片段

// Account-driven Enrollment 的服务发现端点配置
// MDM 服务端通过 well-known URL 返回 enrollment 配置
// JSON 格式示例:
// {
//   "ManagedAppleID": "user@enterprise.com",
//   "EnrollmentMode": "Device",  // 或 "User"
//   "ServiceURL": "https://mdm.enterprise.com/enroll"
// }
// Sign in with Apple 适配 Managed Apple ID
// 在 web 认证或 Safari 中,用户可以点击
// "Use a different Apple ID" 输入 Managed Apple ID
// 系统会识别并使用工作账号完成登录

最佳实践

  • 如果你做企业 App,考虑支持”Sign in with Apple at Work and School”,让用户用 Managed Apple ID 登录。
  • 测试两种 enrollment 路径,确保 MDM 配置能正确区分 User 和 Device Enrollment。
  • 在 macOS 上验证工作数据的隔离性,确保不会泄露到个人空间。
  • iCloud Keychain 和 Passkey 的支持意味着企业场景下密码管理可以完全走系统方案。

还有什么值得关注

  • “Deploy passkeys at work” Session 讲了 Passkey 与 Managed Apple ID 的配合
  • “Discover account-driven User Enrollment” (WWDC 21) 是前序内容
  • Continuity 功能的加入让跨设备工作流在企业场景下更顺畅
  • Wallet 支持意味着企业门禁卡、工牌等场景可以纳入 Managed Apple ID 体系
WWDC 2023