Apple 设备管理的新变化

一句话判断

Apple Vision Pro 和 Apple Watch 正式加入 Automated Device Enrollment，Activation Lock 终于可以远程关闭了——如果你在企业或教育场景做 MDM，这个 session 把今年所有你需要知道的更新都汇总了。

这场 Session 讲了什么

Apple 的设备管理生态在今年迎来了多个重要更新，涉及 Apple Business Manager (ABM)、Apple School Manager (ASM)、以及各平台的 MDM 能力。Session 按照”部署与设备管理”、“身份管理”、“平台更新”、“教育工具”四个板块逐一展开。

部署方面最大的新闻是 Apple Vision Pro 正式支持 Automated Device Enrollment——企业采购后可以零接触部署，设备开箱即在 Setup Assistant 中自动注册 MDM。Apple Watch 也加入了组织设备的自动添加列表。设备管理方面，ABM/ASM 现在可以远程关闭 Activation Lock，无论锁是组织设置的还是用户个人设置 prior to MDM enrollment 的。

身份管理方面，Managed Apple Account 的域名管理做了简化：不再需要连接 Identity Provider 就能捕获组织域名上的个人 Apple Account，用户还可以选择将个人账号直接转换为 Managed Apple Account 而非被迫改名。平台更新方面，软件更新管理迎来了统一的配置声明（declaration），替代了之前分散的多个 legacy 命令和 profile。

值得深挖的点

Activation Lock 远程关闭：企业设备管理的痛点终于解决

对于管理数千台设备的企业 IT 团队来说，Activation Lock 一直是让人头疼的问题。当员工离职或设备被重置后，如果 Activation Lock 还开着（不管是有意还是忘了关），设备就无法重新分配给新用户。之前的解决方案是联系 Apple Support，流程繁琐且响应慢。

今年 ABM/ASM 直接提供了”Turn Off Activation Lock”的操作入口，管理员选中设备后一键即可关闭。覆盖范围包括 iPhone、iPad、Mac、Apple Watch 和 Vision Pro。更关键的是，即使 Activation Lock 是用户在设备被 MDM 管理之前用自己的 Apple Account 开启的，组织也能关闭它——对 Mac 来说这解决了”员工自带设备入职后离职”场景下的设备回收难题。对于使用 Apple Business Essentials 的企业，这个功能同样可用。

统一的软件更新管理声明

过去管理 Apple 设备的软件更新需要用多个 MDM 命令和 profile：有 scheduleOSUpdate 命令、有 MaximumPDITimeHours 限制、有 enforcedSoftwareUpdateDelay 策略等，分散在不同地方且行为不一致。今年 Apple 引入了统一的 Software Update Settings 配置声明（declaration），一站式管理所有软件更新相关的策略。

新声明支持的功能包括：按日期时间强制更新、控制通知行为（只在强制执行前 1 小时显示通知和重启倒计时）、以及管理 Beta 更新。Beta 更新管理是全新能力——管理员可以直接在 ABM/ASM 中注册 AppleSeed for IT 项目，然后通过 MDM 将设备加入 beta 渠道，不再需要用户手动操作。这让企业测试新版本变得可控且规模化。

代码片段

这个 session 偏向 IT 管理和 MDM 配置，没有传统意义上的代码。但如果你在做 MDM 解决方案的开发，以下是一些关键的配置变更。

新的软件更新管理声明结构（概念性示例）

<!-- 新的统一软件更新配置声明 -->
<dict>
    <key>DeclarationType</key>
    <string>com.apple.configuration.softwareupdate.settings</string>
    <key>AllowedUpdates</key>
    <dict>
        <key>RapidSecurityResponse</key>
        <true/>
        <key>Major</key>
        <true/>
        <key>Minor</key>
        <true/>
    </dict>
    <key>NotificationBehavior</key>
    <string>OneHourBefore</string>
    <!-- 只在强制执行前1小时通知用户 -->
    
    <key>Enforcement</key>
    <dict>
        <key>Deadline</key>
        <string>2024-09-01T00:00:00Z</string>
        <!-- 在此日期前必须更新 -->
    </dict>
    
    <key>BetaProgram</key>
    <dict>
        <key>EnablePublicBeta</key>
        <true/>
        <!-- 允许设备接收公共 beta 更新 -->
    </dict>
</dict>

坑点：这个声明只适用于 iOS/iPadOS 18 和 macOS 15 及以上版本的受监督设备。如果你的设备还在运行旧版本，需要继续使用 legacy 命令。建议在过渡期同时维护两套逻辑。

Activation Lock 管理的 MDM 命令

# 通过 ABM/ASM 界面操作（无需代码）
# 路径：选择设备 → 菜单 → "Turn Off Activation Lock"

# 通过 API 操作（Device Assignment API）
# 支持的设备类型现在包括：
# - iPhone, iPad, Mac, Apple TV
# - Apple Watch (新增)
# - Apple Vision Pro (新增)

# 检查设备 Activation Lock 状态
# MDM 命令: SecurityInfo
# 返回字段: ActivationLockSupportedUntilDate

坑点：关闭 Activation Lock 需要设备在组织的 ABM/ASM 账户中。如果设备已经被删除出组织或者从未被添加，这个操作不可用。

Managed Apple Account 域名捕获（无需 IdP）

# 之前的流程：
# 1. 验证域名所有权
# 2. 连接 Identity Provider (如 Azure AD)
# 3. 通过 IdP 阻止新账号 / 捕获已有账号

# 新的简化流程：
# 1. 验证域名所有权
# 2. 直接在 ABM/ASM 中发起域名捕获
# 3. 用户收到通知后可以：
#    a. 转换为 Managed Apple Account（新选项）
#    b. 选择不同的邮箱地址（原有选项）
# 4. 30 天未操作 → 自动重命名保留为个人账号

坑点：域名捕获是异步过程，从发起操作到所有用户完成转换可能需要数周时间。建议在非工作高峰期发起，并提前通知用户。

最佳实践

对于企业 IT 团队：尽快将 Apple Vision Pro 纳入你的 MDM 部署流程。Vision Pro 的 Automated Device Enrollment 支持意味着你可以像管理 iPhone 和 Mac 一样零接触部署头显设备。对于已经有大量 Mac 设备的企业，利用新的 Activation Lock 管理能力清理过去积累的被锁设备——这些设备之前只能闲置或走 Apple Support 流程回收。

对于 MDM 解决方案开发者：开始实现新的 Software Update Settings 声明，同时保留对 legacy 命令的兼容。关键是要确保在 UI 上让 IT 管理员清楚知道哪些设备支持新声明、哪些还在用旧逻辑。Beta 更新管理是一个新的卖点，很多企业客户会有需求。

还有什么值得关注

• macOS 15 的 Automated Device Enrollment 现在支持 WebAuthN 认证，适用于高安全要求场景下的安全密钥和 Passkey。
• Apple Business Essentials 客户同样获得所有新功能，包括 Activation Lock 管理和域名捕获。
• 教育场景下，Classroom App 也有新功能——但如果你不涉及教育部署，可以跳过那部分。