WWDC又一次落下帷幕,今秋IT领域将迎来多项关键更新。在开始之前提醒一句:现在正是测试设备工作流、应用等的最佳时机。在Beta测试阶段早期报告的Bug才是能得到及时修复的。
随着macOS 27和iOS 27的发布,向声明式设备管理的转型不再是苹果的前瞻性路线图通知。它已成为标准。通过将传统配置迁移到声明式模型,并引入强大新的原生控制功能,苹果正在为IT部门提供工具,让苹果继续成为IT终端设备的最佳供应商。
传统配置文件的终结
最重大的IT公告是将传统配置迁移到DDM。使用新的ProfileAssetReference键,IT团队现在可以将传统配置描述文件包装在声明式模型中。不过有一点需要特别注意:系统进程现在对设备管理服务强制执行TLS 1.2+要求。如果设备管理供应商未更新以满足这些标准,那么注册、描述文件安装和软件更新等关键管理任务将直接失败。这是每位管理员需要尽快审计的第一件事。
此外,运行新操作系统的设备将不再从备份中恢复设备管理信息。相反,在恢复完成后,它们将自动执行Automated Device Enrollment,确保设备接收当前的管理状态,而不是过时的配置。这一点本身就能为帮助台节省无数故障排除时间。
软件更新与Apple Intelligence
苹果正式淘汰了传统软件更新管理。在新操作系统版本中,软件更新命令和查询不再有效。IT团队现在必须使用声明式软件更新管理来配置和强制执行更新。
苹果还将设备上智能系统的管理完全转向声明式配置。IT团队可以精细控制是否允许或拒绝设备范围内的Apple Intelligence功能,包括Genmoji、Image Playground和Writing Tools。如果您不希望在环境中运行这些功能,现在终于有了受支持的关闭方式。
端点安全与隐私
在macOS 27中,苹果为应用执行提供了企业级解决方案。使用现有且可靠的Endpoint Security框架,管理员现在可以部署声明式规则来允许或拒绝特定应用二进制文件的执行。这对安全合规来说是一大胜利,尤其是对那些需要阻止未批准命令行工具或非托管二进制文件执行的组织。
为了应对用户端的提示 overload(这已成为实际问题),苹果引入了新的统一隐私同意提示,当应用首次启动时出现。IT管理员可以提供自定义理由字符串并推荐默认隐私设置,让用户在授予权限时更有可能做出正确选择。
身份管理与新手引导
今秋身份管理也受到了关注。Platform SSO正在演进,以直接在登录窗口支持基于Web的身份验证流程。这带来了对现代MFA、自定义身份提供商流程和二维码登录的全面支持。在共享设备环境中,这解决了身份验证的摩擦,同时允许IT通过Touch ID强制要求第二因素用于设备登录和FileVault解锁。
对于新手引导,IT团队现在可以直接控制Setup Assistant期间的Mac-to-Mac数据迁移。管理员可以精确指定需要迁移的子文件夹和文件,完全将决策权从最终用户手中拿走。Return to Service也获得了重大增强,最值得注意的是能够在Automated Device Enrollment描述文件中直接设置设备语言和地区,并在受监督设备收到擦除命令时强制执行软件更新。
设备健康监控
Status Channel正在演变为主动设备健康监控器。受管理设备现在可以直接向设备管理服务器报告摄像头、Face ID等硬件组件的状态。当出现问题时,新的TriggerEnhancedLogCollection命令让IT团队能够在受监督设备上开启远程日志收集,以深入排查问题。
应用订阅的批量授权
为应用订阅添加批量授权机制令人兴奋,因为它终于将现代SaaS密集型软件分发世界带入了长期存在于标准批量购买程序分发中的 streamlined 管理流程。苹果从未为传统IAP提供批量授权,因此我很高兴看到他们针对订阅解决了这个问题。从采购角度看,这对较小的SaaS供应商来说是一大胜利。
总结
Apple Business于今年早些时候宣布,目前正在扩展到超过200个国家和地区。这是一项重大更新,苹果原本也可以留到WWDC发布。总体而言,今年有很多不错的增强功能。DDM已成为标准,苹果也在用新工具改进远程IT支持。
一如既往,请观看视频或阅读所有技术细节。
