Wi-Fi熱點2.0

iOS與OS X現在都支持Wi-Fi熱點2.0標 準（即Passpoint），其基于IEEE 802.11u標準、 從本質上說相當于允許用戶自動接入那些已經訂 購了服務的無線熱點。新型蘋果API允許我們對 該功能進行配置與管理。

OS X中的加密管理

自4.2版本以來，iOS一直能夠在設備層面對內 容進行加密，而且用戶無法通過控制機制關閉這 一加密設定。

另外，MDM服務器現在可以對任何設備進行查詢，驗證 其移動熱點功能是否啟用（使目標設備成為可供其它設 備接入的Wi-Fi訪問點，從而實現蜂窩連接共享），防打 擾模式是否激活、“查找我的iPhone”是否啟用以及是 否已經登錄iTunes賬戶等。其它新型控制功能還包括自 定義鎖定屏幕、將設備設定為丟失模式（這樣其鎖定屏 幕上就會顯示‘如果您找到我’信息）以及禁用熱點功 能等。

對于任何一臺iOS 設備來說，新型 API限制政策包含 廣告追蹤控制、 iCloud鑰匙串同 步、PKI無線更新 以及在鎖定屏幕中 是否顯示Wi-Fi與 飛行模式按鈕。

相比之下，設備加密（即File Vault）在OS X 系統中只作為備選方案存在。OS X美洲獅首次將 加密機制作為管理政策的組成部分，而OS X Mavericks則對控制功能加以進一步擴展?，F在 IT部門可以防止用戶在政策中關閉加密功能，還 可以直接管理加密恢復密鑰。這些密鑰現在能夠 通過企業服務器上的密鑰履約保證實現管理，而 不必再經由蘋果自己的密鑰服務器。另外，恢復 密鑰現在可以通過MDM工具與IT部門所使用的 計劃方案相結合。

其它iOS政策

在任何運行于監管模式下的設備上——所謂監管 模式是指由企業進行預配置的模式，類似于黑莓 提供的方案——iOS都提供作用于政策的API， 旨在確定用戶是否能夠變更賬戶信息、是否可以 修改“查找我的朋友”應用內容（例如只追蹤工 作組內的特定同事，避免處于位置追 蹤狀態下的用戶進入隱身模式）、應 用是否能夠使用蜂窩數據、設備能否 與其它Mac設備相匹配以及為選定的 文本定義許可服務（例如復制或者粘 貼）。

現在設備的監管模式設置不再需要將 其與運行蘋果配置工具的PC或者Mac 進行物理連接；監管機制現在可以通 過無線方式進行實施與管理。

對于任何一臺iOS設備來說，新型API限制政策 包含廣告追蹤控制、iCloud鑰匙串同步、PKI無 線更新以及在鎖定屏幕中是否顯示Wi-Fi與飛行 模式按鈕。

無需接觸即實現設備登記

除了前面提到的這些API之外，蘋果還為受監管設備的 登記工作創建了一套新型協議，這樣企業就能夠根據管 理政策對iPhone、iPad、Mac甚至Apple TV進行預配置 ——且無需打開這些設備或者與其直接接觸。從本質上 講，IT部門只需在登記工具內輸入采購訂單上提供的設 備ID，而后為其指定需要應用的政策即可（例如密碼、 可用網絡、VPN設置、應用程序黑名單以及iCloud與 iTunes訪問等）。需要注意的是，新設備登記服務只針 對企業所擁有（監管）的設備，并不支持由用戶持有的 BYOD類設備。

當用戶開啟設備并進行操作時，該設備會與蘋果服務器 進行驗證。若屬于受管設備，后者會將其轉接至企業的 管理服務器。該用戶則需要通過由企業方面提供的業務 憑證或者獨立證書進行登錄，從而由企業服務器或者 MDM工具將XML政策內容上傳至該設備當中，旨在對設 備進行配置并安裝任何與該用戶相關聯的應用程序。

如果有用戶清除了設備內的所有數據而只 保留政策負載，則該設備只能正常運行企 業設置——除非IT部門將該設備中的政策 消除（例如打算將該設備出售給即將離職的 員工）或者應用一組新政策（例如將該設備 移交給其他用戶）。當政策更新之后，設備 也會隨之更新——整個過程將以自動化形式 在后臺完成。

這種新型設備登記機制還幫助用戶擺脫了對蘋 果ID的強烈依賴，當然企業方面也可以要求用 戶繼續利用保存在iOS設備或者Mac（而非企業 服務器）上的蘋果ID來訪問個人應用或者其它 服務。因此，用戶的蘋果ID不再需要與企業共 享（即由企業方面保存其散列信息，這樣蘋果 服務器即可以匿名方式將企業用戶與用戶設備 進行關聯）。這意味著個人與企業信息、應用甚 至是驗證憑證都能在同一臺設備上彼此隔離。

這類受管應用的許可可以被撤銷，撤銷之后應用程序將 不再自動由用戶擁有。（不過內容授權——例如電子書 ——仍將與用戶匹配且無法被撤銷。）被撤銷的iOS應 用將可以繼續工作三十天（屬于優惠使用期），且可以 立即為其購買非企業副本。（大家需要分別對信息訪問 進行管理，例如禁用VPN或者利用針對性政策控制郵件 訪問。）被撤銷的OS X應用則會立即停止工作，正在運 行中的應用也將馬上退出。受管應用會檢查自身授權狀 態以確保這一機制切實生效。

新型應用管理 協議還允許IT 部門直接購買 并發布應用程 序許可（而不 必再單獨為每 位用戶提供授 權），從而以自 動化方式在 iOS設備及Mac 上安裝特定應 用程序。

管理應用配置、狀態、安裝 與移除

名為“應用配置與反饋”的新型MDM 管理功能允許IT部門通過配置文件 （在iOS中被稱為‘詞典’）對受管 應用的設置進行管理，并支持在每 次應用啟動或者解鎖時檢查其配置 狀態、收集錯誤信息及使用統計以 進行故障排查。

這項功能可以幫助企業配置下的應 用在安裝完成后始終遵循IT部門的 指引，同時幫助IT部門在故障出現時快速掌控用 戶應用的具體設置方式。

新的單一應用模式允許特定應用接管整臺設備， 即不再允許其運行其它應用。這種模式的適用范 圍非常廣泛，例如實體店中的公共設備以及其它 一些需要將iOS設備用作單一目的的環境——包 括投票工具或者病患登記等。這種模式的啟用與 禁用可由MDM服務器控制，這樣應用程序就可以 在特定階段進入單一應用模式——例如學校中的 考試或者授課應用。

新型應用管理協議還允許IT部門直接購買并發布 應用程序許可（而不必再單獨為每位用戶提供授 權），從而以自動化方式在iOS設備及Mac上安裝 特定應用程序。MDM服務器能夠管理用戶有權使用 哪些應用、哪些應用可以自動安裝（其它應用顯示 在用戶設備的App Store已購買面板之下，從而在 必要時供用戶下載）。

這些授權與安裝管理機制可用于蘋果企業應用程序商店 中的所有應用，也就是“App Store批量購買方案”，而 且不會影響到公共App Store中的應用 ——蘋果認為這些屬于員工的個人應用， 企業無權對其對其進行管理。這種劃分 機制非常明確：雖然處于同一套用戶界面 之下，iOS與OS X仍然會對來自企業應用 商店、Exchange或者其它服務器的應用 程序及內容進行追蹤，而后為IT部門提 供進行控制所必要的一切輔助手段。無論 是用戶個人從公共App Store中購買的應 用還是從其郵件及其它賬戶中獲取的內 容，都將由用戶本人所有——包括蘋果 ID。

這一原則自4.2版本開始就已經在iOS當 中生效，不過新的API與協議對其進行了 深度擴展、從而保證其對應用程序及內容 全面起效。這樣一來，大部分企業數據保護及應用隔離 需求都能夠得到支持，而且無需依賴于特定供應商的管 理工具及API。IT部門可以使用更為廣泛的企業應用類 型，同時又不必擔心因此被鎖定在特定管理供應商身上 ——最終結果是，IT部門能夠對更多應用程序進行嚴格 管理。如此一來，我們再也不必在不同個人機制之下來 回切換，其實際效果優于BlackBerry 10的Balance功 能、三星的Knox協議、General Dynamics的Android版 本以及Enterproid已經推出了兩年的Divide等Android 工具。這些方案與iOS 7相比都顯得相當笨拙——而笨 拙永遠不會成為優勢，對吧？

不要再糾結于生物 識別以及這項安全 技術當中的優勢與 弊端了。就目前來 看，TouchID輕松 縮短了用戶輸入密 碼以解鎖設備或者 登錄iTunes Store 賬戶的時間。

哦，也別忘了TouchID

最后，新的iPhone 5S在Home鍵上提供指紋識 別器，這能大大降低用戶在輸入解鎖密碼或者 iTunes Store密碼時浪費的時間。這項TouchID 功能屬于密碼輸入的替代性方案——用戶仍然需 要設定傳統密碼，指紋識別器的作用只是在識別 出正確的用戶指紋后提交該密碼內容。TouchID 功能在其它應用當中無法生效，其作用范圍僅限 于解鎖屏幕與登錄iTunes Store。另外，其指紋 信息散列也只能保存在當前設備上，因此用戶無 法將其發送到蘋果或者其它設備當中。

不要再糾結于生物識別以及這項安全技術當中的優勢 與弊端了。就目前來看，TouchID輕松縮短了用戶輸 入密碼以解鎖設備或者登錄iTunes Store賬戶的時 間。它對于用戶來說效果拔群，但對應用程序或者IT 部門來說則毫無意義。