Поддержка Консалтинг Обучение Jamf Pro Блог

WWDC 2022: Что нового для системных администраторов

Антон Конобеев 08.06.2022

6 июня состоялось открытие конференции WWDC 2022 и уже доступен документ под названием “What’s New for Enterprise and Education | WWDC | June 2022 (v1.0)”

Также доступен и ролик: What’s new in managing Apple devices

Итак, что же нового?

Авторизация и безопасность

Managed Apple ID

  • Cинхронизация с каталогом Google Workspace — автоматическое создание Managed Apple IDs и вход в них с помощью реквизитов Google Workspace. Работает только на последних версиях систем (iOS/iPadOS 15.5, macOS 12.4)
  • Поддержка Sign in with Apple для Managed Apple IDs. Будет работать на готовящихся релизах (iOS/iPadOS 16, macOS 13)
  • API для синхронизации данных из Apple School Manager с 3rd party системами под названием Roster API

Platform Single sign-on (SSO) для macOS

Раньше SSO Extension работали только после логина и требовали дополнительного входа — теперь же они умеют использовать локальные реквизиты пользователя для входа в систему. 

Работает только в связке с MDM и если компьютер перестает быть управляемым — отключается. Поддерживается аутентификация с помощью Secure Enclave-backed key (беспарольный, с регистрацией ключа в IdP) и, как обычо, по логину-паролю. 

Будет работать в macOS 13, информация о поддержке этой функции IdP и MDM-вендорами будет позже.

Managed Device Attestation для iOS, iPadOS, and tvOS

Защита подключений к серверу MDM, VPN или 802.1X с помощью Secure Enclave и криптографических проверок. Эти “проверочные” сертификаты гарантируют корректность передаваемых данных и нужны для защиты от воровства приватных ключей TLS и спуфинга.

Будет работать на готовящихся релизах (iOS/iPadOS 16, macOS 13)

User Enrollment

Новое расширение Extension SSO, которое позволяет разработать приложение (и опубликовать его в App Store), которое сделает проще процесс энролла. Скачиваем, запускаем, вводим логин-пароль (можно использовать Managed Apple ID или реквизиты MDM-сервера) — и всё готово! В теории, можно работать с любым SSO, поддерживается OAuth 2.0.

Поддержка OAuth 2.0

  • При использовании User Enrollment, появилась возможность фильтрации только того трафика, который проходит через приложения, установленные организацией (Managed per-app networking); пользовательский трафик при этом не фильтруется. Для этого используются новые пейлоады профилей DNS Proxy (DNSProxyUUID) и Web Content Filter (WebContentFilterUUID) — в них указывается UUID, который потом нужно указать в атрибутах приложений, для которых эта функция нужна.
  • Полное разделение корпоративных данных и данных пользователя — для корпоративных данных создается отдельная БД.
  • Поддержка Managed Apple ID в приложении Напоминания.

Работать это будет в готовящихся релизах (iOS/iPadOS 16)

Rapid Security Response

Новый механизм быстрой доставки обновлений безопасности для iOS 16, iPadOS 16, and macOS 13. Применяются только к актуальной версии ОС.

Функция может быть отключена или заблокирована.

Поддержка Smart Card

Поддержка PIV Smart Cards и CCID-compliant readers (должно поддерживаться производителем) в iOS 16 и iPadOS 16.

Управление iOS и iPadOS

Сотовые сети

  • Улучшена поддержка устройств с двумя сим-картами. Ключи DeviceInformation и ServiceSubscriptions deprecated.
  • Поддержка private LTE и 5G сетей в iPadOS.
    • iPad Pro (12.9-inch 5th generation or later)
    • iPad Pro (11-inch 3rd generation or later)
    • iPad mini (6th generation or later)
    • iPad Air (5th generation or later)

Обновления для Shared iPad

  • Можно указать домен по умолчанию при входе в учетную запись на Shared iPad
  • Возможность входа в учетную запись на Shared iPad с помощью локального пароля при отсутствии интернета.

Управление macOS

Обязательный интернет для Setup Assistant

Маки с Apple Silicon или чипом T2 не смогут продолжить настройку Setup Assistant без доступа в интернет, если они уже хотя бы раз подключались к сети (если они в DEP).

Managed software updates

Теперь есть возможность указывать приоритет для установки только минорных системных обновлений, а еще Мак в режиме сна или в режиме PowerNap может отвечать на команды cheduleOSUpdate, OSUpdateStatus и AvailableOSUpdate. Также появились новые ключи для OSUpdateStatus: DeferralsRemaining, MaxDeferrals, NextScheduledInstall, PastNotifications.

Ограничение обращений к команде profiles

Для org-owned enrollment types устанавливается ограничения для выполнения команды profiles с ключами show, renew, validate – до 10 обращений в сутки. Если количество превышает указанное – возвращается кэшированная информация.

Безопасность аксессуаров

Начиная с macOS 13 лаптопы с Apple Silicon запрашивают разрешение на подключение аксессуаров USB или Thunderbolt. Для пользователя предлагается четыре варианта:

  • Ask every time
  • Ask for new accessories
  • Automatically when unlocked
  • Always

Если пользователь подключает неизвестное устройство к заблокированному лаптопу – отобразится запрос на разблокировку. Разрешенные аксессуары могут подключаться к устройству без запросов в течение трех дней с момента последней разблокировки. Потом запрос повторится.

Ключ MDM allowUSBRestrictedMode позволяет обойти это ограничение.

Ассистент миграции

В macOS 13 Migration Assistant не переносит следующие настройки:

  • Системные
  • Сетевые
  • Принтеры

MDM-enrollment также не переносится

Ручное управление доверием для сертификатов

В будущих версиях macOS 13 certificate payloads в конфигурационных профилях, которые были установлены вручную, более не будут поддерживаться. Пользователю потребуется, как и раньше, делать сертификат доверенным в Keychain вручную. Если сертификат установлен через MDM или через Enrollment Profile – с доверием проблем не будет.

Протокол MDM

Declarative Device Management

Apple добавляет функционал декларативного MDM на все платформы. Таблица совместимости выглядит так:

Automated Device EnrollmentsProfile-based Device EnrollmentsUser EnrollmentsShared iPad
iOS 16iOS 16iOS 15 or laterN/A
iPadOS 16iPadOS 16iPadOS 15 or lateriPadOS 16
macOS 13macOS 13macOS 13N/A
tvOS 16tvOS 16N/AN/A

Суть в том, что устройства теперь сами отправляют свой статус на сервер, не ожидая запроса.

Вдобавок к общим свойствам устройства, которые и ранее собирались с помощью MDM, теперь доступна также информация о наличии пароля, установленных параметров безопасности, учетных записях и установленных (или устанавливаемых) приложениях MDM.

Также в презентации упоминалась такая вещь, как “активации”, которые представляют собой набор настроек, для которых можно установить опциональный предикат, с помощью которого можно применять активацию только при соблюдении определенных условий. Текст составлен так, как будто это дополнение к уже существующему механизму, но мы такой не встречали. Но если встречали вы, то мы будем рады комментариям!

Приложения от Apple

  • Apple Configurator в версиях для iOS/iPadOS 16 теперь умеет добавлять в ваш ABM/ASM не только маки, но и айфоны с айпадами.
  • Classroom получил дополнительный функционал автоматизации: с помощью “Повесток” — специальных файлов, которые могут содержать задания и действия над ними — можно отправлять учеников в военкомат создавать автоматизации для уроков.
  • Schoolwork теперь позволяет добавлять фото, видео и аудио к инструкциям, сообщениям и билетам. Также расширен функционал планирования.

AppleSeed

Теперь с помощью ABM или ASM можно назначить аккаунты, которым можно открыть доступ для бета-тестов новых версий софта от Apple. Таким аккаунтам достаточно будет зайти в https://appleseed.apple.com/it со своим Managed Apple ID, чтобы принять пользовательское соглашение, и после этого они смогут скачивать бета-версии софта и использовать его.