What’s new in managing Apple devices
Privacy & Security 高级 23m

Apple 设备管理和身份管理方面的新动向

What’s new in managing Apple devices

2026年6月10日

在 Apple 官方观看视频

一句话判断

✅ 声明式管理(DDM)在 macOS 27 彻底终结了传统配置描述文件,Platform SSO 新增的系统级 Web 视图让企业定制登录界面终于不用再跟系统权限死磕了。

这场 Session 讲了什么

过去几年 Apple 一直在强推声明式设备管理(Declarative Device Management, DDM),但 macOS 上总有些死角(比如应用配置和底层二进制拦截)还得靠老掉牙的 Configuration Profiles(配置描述文件)。企业 IT 管理员每天在“推描述文件失败”和“用户狂点隐私弹窗”中崩溃,Identity Provider(身份提供商,IdP)为了在 Mac 登录界面搞点多因素认证(MFA)花样,更是把系统扩展玩出了各种 Bug。

现在 macOS 27 把这些坑全填上了。DDM 的 app.settings 配置直接调用 Endpoint Security 框架拦截未签名的野二进制文件,顺便用一个统一的隐私弹窗把摄像头、麦克风权限在 App 首次启动时一次性问完。更绝的是 Platform SSO(平台单点登录)直接在登录窗口和 FileVault 解锁界面嵌入了受控的 Web 视图,甚至能安全地调用摄像头扫 QR 码。

写 MDM(移动设备管理)服务器的开发者得赶紧重构状态通道(Status Channel)逻辑,企业内部开发 IdP 的团队终于能实现丝滑且合规的自定义登录流了。

值得深挖的点

Platform SSO 系统级 Web 视图:把 IdP 的花活关进安全沙盒

企业的身份验证流程极其复杂,Okta、PingID 等 IdP 有各种条件访问、自定义挑战响应和无密码登录需求。以前 macOS 原生的 Platform SSO 界面太死板,根本跟不上 IdP 的迭代速度,开发者只能妥协或者用极其受限的扩展去硬凑。

Apple 这次直接在系统登录窗口、屏幕解锁和 FileVault 解锁流程中塞进了一个 Web 视图。这个设计极其聪明:它允许 IdP 运行任何现代 Web 认证流程,甚至把登录页做成公司品牌风格,但把这个 Web 视图关在了操作系统管理的严格沙盒里。最典型的 Trade-off 体现在 QR 码扫描上——启动扫码时,摄像头完全在系统安全进程里跑,Web 页面只能拿到解码后的字符串,拿不到一帧原始图像。这完美解决了“企业需要扫码登录”和“系统严防死守摄像头隐私”之间的矛盾。坑在于,这个 Web 视图必须支持离线认证(Offline authentication),IdP 开发者需要自己处理好断网时的 Fallback(回退)机制和状态缓存,别让员工在没网的咖啡厅彻底锁死在登录界面。

DDM 全面接管 macOS:从隐私弹窗到二进制拦截的降维打击

Mac 上装个外挂或者不明脚本太容易了。老方案用 PPPC(隐私偏好策略控制)或者内核扩展,不仅难配还容易搞崩系统。而且员工每天打开内部 App 都要点七八个隐私权限弹窗,点烦了直接拒绝,导致 App 没法用,最后只能找 IT 帮助台重装。

macOS 27 用 DDM 的 app.settings 结合 Endpoint Security 框架实现了降维打击。IT 管理员可以直接基于代码签名属性(Code Signing attributes)来放行或拦截二进制文件,并且能设置“自动允许所有托管应用”,省去了写几百条规则的麻烦。统一隐私同意提示(Unified privacy consent prompt)更是个懂人性的设计:App 首次启动时,把需要的权限打包弹窗,并且默认高亮“允许”按钮。用户点一次就完事,后续不再打扰。这极大降低了 IT 帮助台的工单量。不过,如果用户手滑点了“暂不”,后续的权限引导逻辑需要 App 开发者自己做得更优雅,系统不会再主动帮你做这种“打包提示”了。

代码片段

1. 构建 DDM 二进制执行控制配置

场景:MDM 服务器下发 DDM 配置,拦截非托管且未签名的二进制文件执行,同时自动放行所有由 MDM 托管的应用。

// 构建 DDM 的 app.settings 配置负载
let appSettingsPayload: [String: Any] = [
    "type": "com.apple.configuration.app.settings",
    "identifier": "com.mycompany.mdm.appsettings.v1",
    "server-token": "token-12345",
    "settings": [
        // 配置二进制文件执行控制
        "binaryExecution": [
            "managedApps": "allow", // 自动允许所有 MDM 托管的应用
            "rules": [
                [
                    "action": "deny",
                    "match": [
                        "codeSigning": [
                            "status": "unsigned" // 拦截未签名的二进制文件
                        ]
                    ]
                ]
            ]
        ],
        // 配置统一的隐私权限提示
        "privacyConsent": [
            "promptBehavior": "unified", // 启用统一弹窗
            "components": ["camera", "microphone", "location"]
        ]
    ]
]

// 坑:DDM 配置是通过声明式状态通道下发的,别再用老式的 MDM InstallProfile 命令去推这个字典,服务器必须实现 DDM 协议。

2. 触发设备增强日志收集

场景:当员工的 Mac 出现诡异问题,IT 管理员通过 MDM 服务器下发命令,直接在设备上启动增强日志收集,以便后续提交给 AppleCare。

import Foundation

// 构建 TriggerEnhancedLogCollection MDM 命令
func buildEnhancedLogCollectionCommand() -> [String: Any] {
    return [
        "Command": [
            "RequestType": "TriggerEnhancedLogCollection",
            // 指定日志收集的持续时间(秒),这里设为 10 分钟
            "Duration": 600, 
            // 可选:指定特定的子系统以缩小日志范围
            "Subsystems": ["com.apple.security", "com.apple.network"]
        ]
    ]
}

// 坑:这个命令只能在组织自有设备(Supervised/Managed)上执行。执行后需要通过 DDM 的状态通道(Status Channel)监听日志收集进度,而不是傻等命令的同步返回。

最佳实践

  • 已有项目的迁移策略:立刻停止在新的 macOS 27 部署中使用 Configuration Profiles 管理应用配置和隐私权限。把现有的 PPPC 和 App 配置全面翻译成 DDM 的 app.settingssafari.settings。如果你的 MDM 服务器还在用轮询(Polling)查设备状态,赶紧重构成事件驱动架构,订阅 DDM 的状态通道。
  • 新项目的采用建议:IdP 开发者赶紧接入 Platform SSO 的 Web 视图 API。把那些花里胡哨的 MFA 流程、条件访问判断直接搬进系统底层的 Web 视图里,用户体验会比你自己画原生 UI 顺滑得多,而且天然防钓鱼。
  • 实战中容易踩的坑:DDM 的凭证管理现在是多对多关系了。更新证书时,千万别再像以前那样把整个巨大的描述文件重新推一遍。直接在 DDM 里更新对应的 Asset(资产),设备会自动把新证书同步到所有引用它的配置里,能省下巨量的网络带宽。

还有什么值得关注

  • Managed Migration(托管迁移):换 Mac 时,Migration Assistant(迁移助理)现在受 DDM 控制,能保留 MDM 注册和设置,IT 管理员可以精确控制哪些文件和账户能带到新电脑上。
  • Shared iPad 的 Authenticated Guest Mode(认证访客模式):医疗和零售场景的福音,临时会话退出即焚,现在不仅支持联合认证,还能直接用来解锁 FileVault 加密的 Mac。
  • Classroom App 的 Guided Browsing(引导浏览):老师能把学生死死按在某个网页的单个 Tab 里,限制网站内外导航,上课摸鱼彻底成为历史。
Declarative Management Platform SSO Endpoint Security MDM Identity