返回首頁

蘋果企業管理新紀元:宣告式管理成主流,IT部門迎來全面革新

編輯核心觀點

  • 蘋果正式宣告傳統行動裝置管理(MDM)模式終結,宣告式裝置管理(DDM)成為 macOS 27 和 iOS 27 的新標準。
  • 新系統強制採用 DDM 進行軟體更新與 Apple Intelligence 功能控管,並強化端點安全、身分管理與裝置部署流程。
  • 企業級功能如應用程式執行控制、整合式隱私提示、平台 SSO 強化及應用訂閱批量授權,大幅提升 IT 管理效率與安全性。
蘋果企業管理新紀元:宣告式管理成主流,IT部門迎來全面革新

隨著蘋果全球開發者大會(WWDC)落幕,企業IT管理領域正迎來一場深刻變革。根據資深蘋果IT管理員布萊德利·錢伯斯(Bradley Chambers)的觀察,過去的傳統行動裝置管理(MDM)時代已然終結,宣告式裝置管理(Declarative Device Management, DDM)不再是遙遠的藍圖,而是隨著 macOS 27 和 iOS 27 的推出,正式成為蘋果裝置管理的全新標準。

這項轉變不僅將傳統配置移入宣告式模型,更引入了強大的原生控制功能,賦予IT部門前所未有的工具,確保蘋果裝置在企業端點市場中保持領先地位。錢伯斯強調,現在正是IT團隊測試裝置工作流程與應用程式的關鍵時刻,及早回報錯誤將有助於問題在正式版本推出前獲得修復。

告別傳統配置檔,擁抱宣告式管理

本次IT領域最重大的公告,莫過於將傳統配置遷移至DDM。透過全新的 ProfileAssetReference 金鑰,IT團隊現在能將舊有的配置描述檔包裝進宣告式模型中。然而,這項轉變伴隨一個關鍵要求:系統程序將強制要求裝置管理服務必須符合 TLS 1.2+ 標準。若裝置管理供應商未能及時更新以符合這些標準,包括裝置註冊、描述檔安裝和軟體更新等基本管理任務將會失效。這是所有管理員必須盡快審核的第一要務。

此外,運行新作業系統的裝置將不再從備份中恢復裝置管理資訊。取而代之的是,裝置在恢復完成後會自動執行「自動裝置註冊」(Automated Device Enrollment),確保裝置接收的是最新的管理狀態,而非過時的配置。僅此一項改進,預計就能為服務台節省無數的故障排除時間。

軟體更新與智慧功能,全面宣告式掌控

蘋果已正式終結傳統的軟體更新管理模式。在新作業系統版本中,舊有的軟體更新指令與查詢功能將不再運作。這意味著IT團隊現在必須全面採用宣告式軟體更新管理,來配置和強制執行更新。

不僅如此,蘋果也將裝置上的智慧系統管理,完全轉移至宣告式配置。IT團隊將能獲得更細緻的控制權,允許或拒絕裝置範圍內的 Apple Intelligence 功能,包括 Genmoji、Image Playground 和寫作工具(Writing Tools)。對於不希望這些功能在企業環境中運行的組織,現在終於有了官方支援的方式來關閉它們。

端點安全與隱私,企業級防護再升級

在 macOS 27 中,蘋果為應用程式執行提供了一套企業級解決方案。透過現有且可靠的「端點安全框架」(Endpoint Security framework),管理員現在可以部署宣告式規則,允許或拒絕特定應用程式二進位檔的執行。這對於安全合規性而言是一大勝利,特別是對於需要防止未經批准的命令列工具或非受管二進位檔執行的組織。

為了解決使用者端「提示過載」(prompt overload)的實際問題,蘋果引入了一個全新的整合式隱私同意提示,該提示會在應用程式首次啟動時出現。IT管理員可以提供自訂的理由說明字串,並建議預設的隱私設定,大大提高使用者在授予權限時做出正確選擇的可能性。

身分管理與裝置部署,流程更流暢

身分管理在今年秋季也獲得了顯著關注。「平台單一登入」(Platform SSO)功能正在演進,以直接在登入視窗支援基於網路的身份驗證流程。這帶來了對現代多重因素驗證(MFA)、自訂身份提供者流程和 QR 碼登入的全面支援。在共享裝置環境中,這解決了身份驗證的摩擦,同時允許IT部門透過觸控ID(Touch ID)強制執行裝置登入和檔案保險箱(FileVault)解鎖的第二因素驗證。

在裝置部署方面,IT團隊現在可以直接控制「設定輔助程式」(Setup Assistant)中的 Mac 對 Mac 資料遷移。管理員可以精確指定哪些子資料夾和檔案需要遷移,將決策權完全從終端使用者手中移除。「返回服務」(Return to Service)功能也獲得了重大增強,最值得注意的是,現在可以直接在「自動裝置註冊」描述檔中設定裝置語言和區域,並在受監管裝置接收到清除指令時,強制執行強制性軟體更新。

裝置健康監測與應用訂閱批量授權

「狀態通道」(Status Channel)正在演變為一個主動的裝置健康監測器。受管裝置現在可以直接向裝置管理伺服器報告硬體組件的狀態,例如攝影機、Face ID 等。當出現問題時,新的 TriggerEnhancedLogCollection 指令允許IT團隊在受監管裝置上開啟遠端日誌收集,以深入探究問題根源。

應用程式訂閱的批量授權機制加入,令人振奮。這項功能終於將現代軟體分發中大量依賴 SaaS 的世界,帶入了與標準批量採購計畫(VPP)長期存在的相同流線型管理工作流程。蘋果過去從未為傳統應用程式內購(IAP)提供批量授權,因此能看到他們為訂閱服務解決此問題,令人欣慰。從採購角度來看,這對小型 SaaS 供應商而言是一大勝利。

總體而言,今年蘋果在企業IT管理方面帶來了許多實用的增強功能。宣告式裝置管理已成為標準,蘋果也正透過這些新工具,持續改進遠端IT支援的能力。

資料來源

本文由 AI 綜合上述來源編譯整理,內容僅供參考;著作權歸原出處所有。

相關文章