What's new in Apple device management and identity
Business & Education 进阶 1m

Apple 设备管理与身份认证年度更新:API 开放与 Tap to Login

What's new in Apple device management and identity

2025年6月9日

在 Apple 官方观看视频

一句话判断

这是一场面向 IT 管理员和 MDM 开发者的”解气”更新——ABM/ASM 终于有了 API,设备管理迁移不再需要全盘擦除,Vision Pro 支持 Return to Service,而 Tap to Login 用 iPhone/Apple Watch 一碰登录 Mac 的体验确实很酷。

这场 Session 讲了什么

围绕四个主题板块展开:

服务层更新:Managed Apple Account 增强——管理员可下载域内个人 Apple Account 列表、阻止个人 Apple Account 登录公司设备(无需 MDM 依赖)。ABM/ASM 首次开放 API,初始支持设备库存查询、MDM 服务器分配、批量活动状态等端点。visionOS 支持 Apple Configurator for iPhone 添加设备和跳过 Setup Assistant 面板。账户驱动注册新增 MDM 服务器配置服务发现 URL 的备选方案。重磅:设备管理迁移——在 ABM/ASM 中重新分配设备到新 MDM 服务器,可设截止日期,到期自动迁移,旧配置移除、新配置安装。

设备管理:软件更新的声明式设备管理扩展到 visionOS 和 tvOS,旧版 MDM 更新管理标记废弃。Safari 管理新增声明式书签和默认主页配置,Safari 设置从 restrictions payload 统一迁移到声明式设备管理。Apple Intelligence 限制扩展到 visionOS。Return to Service 增强:iPhone/iPad 可保留托管应用(不再重新下载),Vision Pro 支持 Return to Service(控制中心新增”Reset for Next User”选项 + Digital Crown 锁屏重置)。

应用管理:iOS/iPadOS 托管应用支持按 app 配置更新行为(强制/禁用自动更新、版本锁定)。macOS Tahoe 开始支持通过声明式设备管理部署 App Store app、自定义 app 和 package。新增 ManagedApp Framework 允许 app 安全部署配置(设置、密码、证书、身份)。

身份集成:Platform SSO 注册移入 Setup Assistant(Automated Device Enrollment 期间),登录即注册、注册即 SSO。新增 Authenticated Guest Mode 支持共享设备场景(云端身份登录,退出时擦除用户数据)。Tap to Login——用 iPhone/Apple Watch 的 Wallet Access Key(Secure Enclave 存储、Express Mode)一碰 NFC 读卡器即可登录 Mac。

值得深挖的点

ABM/ASM API 的意义被低估了。过去所有设备管理操作都必须通过 Web 界面手动完成。有了 API,企业可以构建自己的设备管理流水线,把设备库存数据集成到内部系统。API key 由管理员创建和下载,认证机制是标准的 API key 方式。

设备管理迁移解决了 MDM 切换的长期痛点。以前换 MDM 要么全盘擦除(丢失所有数据),要么让用户手动操作(体验差)。现在 ABM/ASM 直接重新分配设备,用户收到通知后在截止日期前自行迁移,到期自动执行。关键是新旧 MDM 配置要尽量匹配,否则用户会感知到服务中断。

Tap to Login 的技术栈很有意思。它依赖三个组件协作:iPhone 上的 Wallet Access Key(存储在 Secure Enclave,硬件级加密)、Mac 上的外部 NFC 读卡器、Authenticated Guest Mode 配置。Express Mode 让用户不需要唤醒或解锁 iPhone 就能完成认证——就像刷交通卡一样。这对医院、零售等需要频繁在不同设备间切换的场景是颠覆性的体验改进。

代码片段

// ABM/ASM API 端点示例
// 查询设备信息
GET /v1/devices
// 响应包含:序列号、型号、MDM 服务器分配、
// 激活锁状态、存储容量、AppleCare 覆盖信息

// 将设备分配到 MDM 服务器
POST /v1/devices/{id}/relationships/mdmServers
{
  "data": [{ "id": "mdm-server-id", "type": "mdmServers" }]
}

// Return to Service 配置(保留应用)
{
  "PreserveInstalledApps": true
}
// 配合 awaitDeviceConfigured 使用
// 设备重置后保留应用,无需重新下载

最佳实践

  1. 尽快锁定你的域。这是采用 Managed Apple Account 的第一步,阻止个人账号创建,然后逐步推进账号捕获和联邦认证。

  2. 规划 MDM 迁移时匹配新旧配置。设备管理迁移会移除旧配置、安装新配置。如果差异太大,用户体验会断崖式下降。使用 awaitDeviceConfigured 确保所有应用在退出注册流程前重新安装。

  3. Return to Service 配合应用保留使用。对网络受限环境(零售店铺、医院)特别有价值。配置步骤:设置新 key + awaitDeviceConfigured + 安装需要保留的应用 + 释放设备时系统做快照。

  4. Platform SSO 在 Setup Assistant 中注册。对新设备部署来说流程大幅简化。配合 Auto Advance,共享设备场景下 Mac 可以静默完成 Platform SSO 注册和 MDM 注册,直接到达登录窗口。

  5. ManagedApp Framework 值得 app 开发者关注。它允许 MDM 安全地向 app 推送配置——API token、自定义信任证书、硬件绑定密钥。这比传统的 managed app configuration 灵活得多。

还有什么值得关注

  • iPad 电池健康信息纳入设备管理
  • 支持设置默认消息和通话应用
  • 新限制可按 SIM 卡限制 iMessage 和 FaceTime
  • 支持临时使用 AirPods 和 Beats 耳机
  • 网络 relay 配置文件支持完全限定域名
  • 新增 Network Extension URL Filtering API
  • visionOS 的 Return to Service 有 10 秒倒计时让用户取下设备
商业与教育