Wi-Fi熱點(diǎn)2.0

iOS與OS X現(xiàn)在都支持Wi-Fi熱點(diǎn)2.0標(biāo) 準(zhǔn)（即Passpoint），其基于IEEE 802.11u標(biāo)準(zhǔn)、 從本質(zhì)上說相當(dāng)于允許用戶自動接入那些已經(jīng)訂 購了服務(wù)的無線熱點(diǎn)。新型蘋果API允許我們對 該功能進(jìn)行配置與管理。

OS X中的加密管理

自4.2版本以來，iOS一直能夠在設(shè)備層面對內(nèi) 容進(jìn)行加密，而且用戶無法通過控制機(jī)制關(guān)閉這 一加密設(shè)定。

另外，MDM服務(wù)器現(xiàn)在可以對任何設(shè)備進(jìn)行查詢，驗證 其移動熱點(diǎn)功能是否啟用（使目標(biāo)設(shè)備成為可供其它設(shè) 備接入的Wi-Fi訪問點(diǎn)，從而實(shí)現(xiàn)蜂窩連接共享），防打 擾模式是否激活、“查找我的iPhone”是否啟用以及是 否已經(jīng)登錄iTunes賬戶等。其它新型控制功能還包括自 定義鎖定屏幕、將設(shè)備設(shè)定為丟失模式（這樣其鎖定屏 幕上就會顯示‘如果您找到我’信息）以及禁用熱點(diǎn)功 能等。

對于任何一臺iOS 設(shè)備來說，新型 API限制政策包含 廣告追蹤控制、 iCloud鑰匙串同 步、PKI無線更新 以及在鎖定屏幕中 是否顯示W(wǎng)i-Fi與 飛行模式按鈕。

相比之下，設(shè)備加密（即File Vault）在OS X 系統(tǒng)中只作為備選方案存在。OS X美洲獅首次將 加密機(jī)制作為管理政策的組成部分，而OS X Mavericks則對控制功能加以進(jìn)一步擴(kuò)展?，F(xiàn)在 IT部門可以防止用戶在政策中關(guān)閉加密功能，還 可以直接管理加密恢復(fù)密鑰。這些密鑰現(xiàn)在能夠 通過企業(yè)服務(wù)器上的密鑰履約保證實(shí)現(xiàn)管理，而 不必再經(jīng)由蘋果自己的密鑰服務(wù)器。另外，恢復(fù) 密鑰現(xiàn)在可以通過MDM工具與IT部門所使用的 計劃方案相結(jié)合。

其它iOS政策

在任何運(yùn)行于監(jiān)管模式下的設(shè)備上——所謂監(jiān)管 模式是指由企業(yè)進(jìn)行預(yù)配置的模式，類似于黑莓 提供的方案——iOS都提供作用于政策的API， 旨在確定用戶是否能夠變更賬戶信息、是否可以 修改“查找我的朋友”應(yīng)用內(nèi)容（例如只追蹤工 作組內(nèi)的特定同事，避免處于位置追 蹤狀態(tài)下的用戶進(jìn)入隱身模式）、應(yīng) 用是否能夠使用蜂窩數(shù)據(jù)、設(shè)備能否 與其它Mac設(shè)備相匹配以及為選定的 文本定義許可服務(wù)（例如復(fù)制或者粘 貼）。

現(xiàn)在設(shè)備的監(jiān)管模式設(shè)置不再需要將 其與運(yùn)行蘋果配置工具的PC或者M(jìn)ac 進(jìn)行物理連接；監(jiān)管機(jī)制現(xiàn)在可以通 過無線方式進(jìn)行實(shí)施與管理。

對于任何一臺iOS設(shè)備來說，新型API限制政策 包含廣告追蹤控制、iCloud鑰匙串同步、PKI無 線更新以及在鎖定屏幕中是否顯示W(wǎng)i-Fi與飛行 模式按鈕。

無需接觸即實(shí)現(xiàn)設(shè)備登記

除了前面提到的這些API之外，蘋果還為受監(jiān)管設(shè)備的 登記工作創(chuàng)建了一套新型協(xié)議，這樣企業(yè)就能夠根據(jù)管 理政策對iPhone、iPad、Mac甚至Apple TV進(jìn)行預(yù)配置 ——且無需打開這些設(shè)備或者與其直接接觸。從本質(zhì)上 講，IT部門只需在登記工具內(nèi)輸入采購訂單上提供的設(shè) 備ID，而后為其指定需要應(yīng)用的政策即可（例如密碼、 可用網(wǎng)絡(luò)、VPN設(shè)置、應(yīng)用程序黑名單以及iCloud與 iTunes訪問等）。需要注意的是，新設(shè)備登記服務(wù)只針 對企業(yè)所擁有（監(jiān)管）的設(shè)備，并不支持由用戶持有的 BYOD類設(shè)備。

當(dāng)用戶開啟設(shè)備并進(jìn)行操作時，該設(shè)備會與蘋果服務(wù)器 進(jìn)行驗證。若屬于受管設(shè)備，后者會將其轉(zhuǎn)接至企業(yè)的 管理服務(wù)器。該用戶則需要通過由企業(yè)方面提供的業(yè)務(wù) 憑證或者獨(dú)立證書進(jìn)行登錄，從而由企業(yè)服務(wù)器或者 MDM工具將XML政策內(nèi)容上傳至該設(shè)備當(dāng)中，旨在對設(shè) 備進(jìn)行配置并安裝任何與該用戶相關(guān)聯(lián)的應(yīng)用程序。

如果有用戶清除了設(shè)備內(nèi)的所有數(shù)據(jù)而只 保留政策負(fù)載，則該設(shè)備只能正常運(yùn)行企 業(yè)設(shè)置——除非IT部門將該設(shè)備中的政策 消除（例如打算將該設(shè)備出售給即將離職的 員工）或者應(yīng)用一組新政策（例如將該設(shè)備 移交給其他用戶）。當(dāng)政策更新之后，設(shè)備 也會隨之更新——整個過程將以自動化形式 在后臺完成。

這種新型設(shè)備登記機(jī)制還幫助用戶擺脫了對蘋 果ID的強(qiáng)烈依賴，當(dāng)然企業(yè)方面也可以要求用 戶繼續(xù)利用保存在iOS設(shè)備或者M(jìn)ac（而非企業(yè) 服務(wù)器）上的蘋果ID來訪問個人應(yīng)用或者其它 服務(wù)。因此，用戶的蘋果ID不再需要與企業(yè)共 享（即由企業(yè)方面保存其散列信息，這樣蘋果 服務(wù)器即可以匿名方式將企業(yè)用戶與用戶設(shè)備 進(jìn)行關(guān)聯(lián)）。這意味著個人與企業(yè)信息、應(yīng)用甚 至是驗證憑證都能在同一臺設(shè)備上彼此隔離。

這類受管應(yīng)用的許可可以被撤銷，撤銷之后應(yīng)用程序?qū)?不再自動由用戶擁有。（不過內(nèi)容授權(quán)——例如電子書 ——仍將與用戶匹配且無法被撤銷。）被撤銷的iOS應(yīng) 用將可以繼續(xù)工作三十天（屬于優(yōu)惠使用期），且可以 立即為其購買非企業(yè)副本。（大家需要分別對信息訪問 進(jìn)行管理，例如禁用VPN或者利用針對性政策控制郵件 訪問。）被撤銷的OS X應(yīng)用則會立即停止工作，正在運(yùn) 行中的應(yīng)用也將馬上退出。受管應(yīng)用會檢查自身授權(quán)狀 態(tài)以確保這一機(jī)制切實(shí)生效。

新型應(yīng)用管理 協(xié)議還允許IT 部門直接購買 并發(fā)布應(yīng)用程 序許可（而不 必再單獨(dú)為每 位用戶提供授 權(quán)），從而以自 動化方式在 iOS設(shè)備及Mac 上安裝特定應(yīng) 用程序。

管理應(yīng)用配置、狀態(tài)、安裝 與移除

名為“應(yīng)用配置與反饋”的新型MDM 管理功能允許IT部門通過配置文件 （在iOS中被稱為‘詞典’）對受管 應(yīng)用的設(shè)置進(jìn)行管理，并支持在每 次應(yīng)用啟動或者解鎖時檢查其配置 狀態(tài)、收集錯誤信息及使用統(tǒng)計以 進(jìn)行故障排查。

這項功能可以幫助企業(yè)配置下的應(yīng) 用在安裝完成后始終遵循IT部門的 指引，同時幫助IT部門在故障出現(xiàn)時快速掌控用 戶應(yīng)用的具體設(shè)置方式。

新的單一應(yīng)用模式允許特定應(yīng)用接管整臺設(shè)備， 即不再允許其運(yùn)行其它應(yīng)用。這種模式的適用范 圍非常廣泛，例如實(shí)體店中的公共設(shè)備以及其它 一些需要將iOS設(shè)備用作單一目的的環(huán)境——包 括投票工具或者病患登記等。這種模式的啟用與 禁用可由MDM服務(wù)器控制，這樣應(yīng)用程序就可以 在特定階段進(jìn)入單一應(yīng)用模式——例如學(xué)校中的 考試或者授課應(yīng)用。

新型應(yīng)用管理協(xié)議還允許IT部門直接購買并發(fā)布 應(yīng)用程序許可（而不必再單獨(dú)為每位用戶提供授 權(quán)），從而以自動化方式在iOS設(shè)備及Mac上安裝 特定應(yīng)用程序。MDM服務(wù)器能夠管理用戶有權(quán)使用 哪些應(yīng)用、哪些應(yīng)用可以自動安裝（其它應(yīng)用顯示 在用戶設(shè)備的App Store已購買面板之下，從而在 必要時供用戶下載）。

這些授權(quán)與安裝管理機(jī)制可用于蘋果企業(yè)應(yīng)用程序商店 中的所有應(yīng)用，也就是“App Store批量購買方案”，而 且不會影響到公共App Store中的應(yīng)用 ——蘋果認(rèn)為這些屬于員工的個人應(yīng)用， 企業(yè)無權(quán)對其對其進(jìn)行管理。這種劃分 機(jī)制非常明確：雖然處于同一套用戶界面 之下，iOS與OS X仍然會對來自企業(yè)應(yīng)用 商店、Exchange或者其它服務(wù)器的應(yīng)用 程序及內(nèi)容進(jìn)行追蹤，而后為IT部門提 供進(jìn)行控制所必要的一切輔助手段。無論 是用戶個人從公共App Store中購買的應(yīng) 用還是從其郵件及其它賬戶中獲取的內(nèi) 容，都將由用戶本人所有——包括蘋果 ID。

這一原則自4.2版本開始就已經(jīng)在iOS當(dāng) 中生效，不過新的API與協(xié)議對其進(jìn)行了 深度擴(kuò)展、從而保證其對應(yīng)用程序及內(nèi)容 全面起效。這樣一來，大部分企業(yè)數(shù)據(jù)保護(hù)及應(yīng)用隔離 需求都能夠得到支持，而且無需依賴于特定供應(yīng)商的管 理工具及API。IT部門可以使用更為廣泛的企業(yè)應(yīng)用類 型，同時又不必?fù)?dān)心因此被鎖定在特定管理供應(yīng)商身上 ——最終結(jié)果是，IT部門能夠?qū)Ω鄳?yīng)用程序進(jìn)行嚴(yán)格 管理。如此一來，我們再也不必在不同個人機(jī)制之下來 回切換，其實(shí)際效果優(yōu)于BlackBerry 10的Balance功 能、三星的Knox協(xié)議、General Dynamics的Android版 本以及Enterproid已經(jīng)推出了兩年的Divide等Android 工具。這些方案與iOS 7相比都顯得相當(dāng)笨拙——而笨 拙永遠(yuǎn)不會成為優(yōu)勢，對吧？

不要再糾結(jié)于生物 識別以及這項安全 技術(shù)當(dāng)中的優(yōu)勢與 弊端了。就目前來 看，TouchID輕松 縮短了用戶輸入密 碼以解鎖設(shè)備或者 登錄iTunes Store 賬戶的時間。

哦，也別忘了TouchID

最后，新的iPhone 5S在Home鍵上提供指紋識 別器，這能大大降低用戶在輸入解鎖密碼或者 iTunes Store密碼時浪費(fèi)的時間。這項TouchID 功能屬于密碼輸入的替代性方案——用戶仍然需 要設(shè)定傳統(tǒng)密碼，指紋識別器的作用只是在識別 出正確的用戶指紋后提交該密碼內(nèi)容。TouchID 功能在其它應(yīng)用當(dāng)中無法生效，其作用范圍僅限 于解鎖屏幕與登錄iTunes Store。另外，其指紋 信息散列也只能保存在當(dāng)前設(shè)備上，因此用戶無 法將其發(fā)送到蘋果或者其它設(shè)備當(dāng)中。

不要再糾結(jié)于生物識別以及這項安全技術(shù)當(dāng)中的優(yōu)勢 與弊端了。就目前來看，TouchID輕松縮短了用戶輸 入密碼以解鎖設(shè)備或者登錄iTunes Store賬戶的時 間。它對于用戶來說效果拔群，但對應(yīng)用程序或者IT 部門來說則毫無意義。