WWDC:值得企業 IT 人員注意的新功能


Apple 矽晶片、新款 Mac 及新問世的 Vision Pro,是 WWDC 2023 上的吸睛焦點。但 IT 專業人士關心的是,有哪些新功能可以幫助他們更輕鬆有效地管理設備。

Apple-WWDC23-event-photos-MacBook-Air-15in隨著 Apple 產品在企業中的使用率大幅增長,大規模部署 Apple 設備時,首要考慮的是設備管控及安全防護。在 WWDC 上,Apple 表現出與市場一致的脈動。將 Apple Watch 納入行動裝置管理(MDM),也反映出企業使用數位設備的新趨勢。

管理式 Apple ID

隨著今年「接續互通」、Apple 錢包 和 iCloud 鑰匙圈等功能更新,Apple ID 的功能變得更加豐富。管理員擁有更多控制權讓使用者登錄他們所需 app 和服務。管理式 Apple ID 的應用情況還可以應用在註冊設備時,以便將個人資料和工作資料分開。

聯合身份驗證

Apple Business Manager(ABM)早已支援聯合身份驗證,如 Okta、Azure、OAuth 和 Workspace。今年還增加了 OpenID Connect 支援,這對於希望以同一身份授權服務整合多平台的公司,帶來更多便利。

iCloud 鑰匙圈

管理式 Apple ID 的另一項改進是加入支援 iCloud 鑰匙圈,可供 IT 人員對託管設備自動部署密碼和通行密鑰,幫助企業邁向無密碼登入的時代。WWDC 2023 上亦發表使用者群組可以新增及編輯密碼和密鑰,群組內每個人都可以隨時保持更新。

宣告式設備管理

今年 Apple 在「宣告式設備管理」(Declarative device management)上投入不少努力。在大會討論的改進措施包括部署 app 和憑證的新方式,在 macOS 上甚至還可管理常用的服務設置檔。

軟體更新

現在,IT 管理人員能夠在特定期限內強制進行軟體更新,提高使用者透明度。其他改進功能可讓管理人員使用 MDM 在 Mac 上管理和安裝多重版本的 app。

Mac 上的自動裝置註冊

許多企業希望在註冊 Mac 和使用者首次登錄之前,便確保安全配置到位。他們可能希望啓用 FileVault 檔案保險箱,並要求 Mac 執行特定的作業系統版本。Apple 公司在 WWDC 上宣佈了以下改進措施:

macOS 14 允許 MDM 在「設置輔助程式」中要求啓用 FileVault 檔案保險箱。復原密鑰可在設置期間與最終使用者共享,或由 MDM 系統管理。

MDM 可以要求裝置使用特定的作業系統版本才能註冊,這意味著使用者若無更新系統,則無法取用公司的服務。設備正在使用的作業系統版本以 JSON 來告知 MDM。若需要更新作業系統版本,將引導使用者進行更新。

確保 Mac 註冊 

目前,若使用者嘗試設置的 Mac 未連接網路時,則會跳過 MDM 註冊,並要求使用者註冊該電腦。Apple 對此做出改變。首先,設置輔助程式會以全螢幕顯示佔,提供使用者選擇:立即註冊 Mac,或先不要註冊,給予 8 小時的緩衝時間再要求註冊。這有助於確保 Mac 註冊至 MDM,並確保資料不會輕易流落到託管裝置範圍外。

使用者身份驗證和單一登錄 (SSO)

macOS Ventura 可讓使用者透過企業的身份識別供應商所提供的帳戶,進行一次性身份驗證,以取用服務。macOS Sonoma 以便捷工具擴展此功能,可供恢復或重新驗證註冊,依要求建立本機帳戶,以便使用者利用身份憑證或智慧卡登錄,以建立或驗證帳戶。

密碼及系統偏好設定的管理

Apple 在這方面也有所改變。其中之一是加強密碼規範管理,標記出低強度的密碼,使用者如欲繼續使用低強度密碼,會被提醒更改密碼。另新增限制,防止託管設備的使用者修改 Apple ID 登錄和 Internet 帳戶,或新增本機使用者帳戶。

受管理裝置證明

Apple 於 2022 年為 iOS 引入「受管理裝置證明」(Managed Device Attestation)功能,確保只有合法設備才能取用企業資源。現在,Mac 也可以使用這種保護措施。Apple 更擴展 Mac 系統功能,使其能夠監控更多的系統元件(如設備 ID 或 OS 版本),為「受管理裝置證明」所保護的系統提高安全層級。

返還服務

許多企業的裝置使用流動率較快。一台 iPad 可能在一個月或一周內輪流更換許多使用者。雖然自設備中刪除舊資料不難,但必須手動完成。Return to Service(返還服務)可以自動完成其中一些步驟,包括刪除內容、重置、註冊到 MDM 並連接到 Wi-Fi,這樣下一位使用者拿到設備後,就可以立即使用。

5G 網路切片技術和專用網路

越來越多企業採用 5G 和 LTE 專用網路。這類網路支持新一代企業技術所需的服務層級和延遲,或提供比 Wi-Fi 支援範圍更大的連線網路。iPad 已經支援專用 LTE 和 5G 網路,包括以 MDM 為基礎的 eSIM 部署。現在,iPhone 也將具備同樣功能,支援專用的獨立 5G 網路。Apple 亦支援 5G 網路切片技術,這項新興技術旨在有效管理連接服務和設備。

中繼

Apple 亦推出一種安全訪問企業網路資源的新方式:中繼。Apple 表示,中繼是一種安全代理服務器,Apple 設備均對此提供原生支援。與傳統的 VPN 服務相比,它提供更好的使用者體驗,且更易於管理,亦可以透過 MDM 來設定配置。