Apple 在 2026 年 6 月 8 日的 WWDC26 主題演講之後,同步發布了年度的「企業 IT 新功能」部署指南。對 IT 團隊來說,今年的訊息非常明確:OS 27 世代(iOS 27、iPadOS 27、macOS 27、tvOS 27、visionOS 27、watchOS 27)就是宣告式裝置管理(Declarative Device Management,DDM)從「建議採用」變成「不得不採用」的一年 — 多項舊式 MDM 機制不只是列入棄用,而是直接停止運作。
本文整理 Apple 公布的五大領域更新 — Apple 服務、裝置管理、App 管理、身分整合與教育 — 並在文末提供 OS 27 今年秋天正式推出前的準備清單。
一、Apple 服務:Apple Business 持續成熟
- Apple Business 平台 — 整合 Apple Business Manager、Business Essentials 與 Business Connect 的統一平台(2026 年 4 月上線)已成為 Apple 企業服務的核心,支援全球 200 多個國家,並提供 Admin API 自動化裝置、庫存與指派管理。詳細介紹可參考我們先前的 Apple Business 專文。
- 大量採購支援 App 訂閱制 — Apple Business 與 Apple School Manager 現在可以採購自動續訂的 App 訂閱授權,並透過裝置管理指派給「使用者」(而非裝置)。IT 部門終於有官方管道集中採購訂閱制 App。
- MDM 可取得更完整的裝置資訊 — 透過 X-Server-Protocol-Version 10,
GetDeviceDetails端點可回傳 Wi-Fi 與藍牙 MAC 位址、行動裝置的 EID / IMEI / MEID,以及整新替換機狀態;新的GetReplacementDetails端點則提供原機與替換機序號及更換時間 — 對追蹤維修與換機的資產管理系統很實用。
二、裝置管理:今年的重頭戲
網路設定全面宣告式化
七個新的 DDM 設定把整個網路堆疊納入宣告式管理:VPN 外掛、IKEv2、IPsec、Always On VPN、DNS Proxy、加密 DNS 與網路中繼(Network Relay)(com.apple.configuration.network.*)。實務上最大的好處是:憑證可以拆成獨立的宣告式 asset,不再內嵌於描述檔中,因此憑證可以自動換發、跨設定共用,不需要重推整份描述檔。
管理流量強制更嚴格的 TLS
在 OS 27 裝置上,所有與裝置管理相關的連線 — 註冊、描述檔、App 安裝、軟體更新 — 都必須使用 TLS 1.2 以上,且加密套件與憑證需符合新版 App Transport Security(ATS)要求。如果你有自建 MDM、SCEP 服務或內部派送伺服器,現在就該檢查憑證鏈。
舊式軟體更新管理正式移除
這是最硬的轉換:在所有 27.0 版本上,舊式 MDM 軟體更新指令、查詢、延遲套用與建議節奏設定全部停止運作。還在用舊機制管理更新的組織,必須在升級前轉換到宣告式軟體更新管理。
其他值得注意的變更
- 舊式描述檔可包成宣告式 asset — 既有的設定描述檔可透過
ProfileAssetReference由 DDM 派送,降低轉換門檻。 - 狀態回報強化 — 新的狀態項目可回報註冊類型、共用 iPad 狀態、APNs 細節、鎖定模式(Lockdown Mode)狀態,以及 iPhone / iPad 的硬體健康度(行動通訊基頻晶片、相機、Face ID / Touch ID、NFC、超寬頻)。
- AppleCare 遠端收集診斷紀錄 — 新的 MDM 指令可遠端觸發裝置收集診斷 log,並自動上傳到 AppleCare 支援工單。
- 備份不再帶入 MDM 註冊資訊 — iOS 27、iPadOS 27 與 visionOS 27 起,還原備份不會還原裝置管理狀態;已加入 Apple Business / Apple School Manager 的裝置會自動透過自動化裝置註冊(ADE)重新註冊。維修與換機流程變得更簡單也更安全。
- Return to Service 強化 — 註冊失敗自動重試、可預先設定語言與地區、使用者可從控制中心啟動、共用 iPad 閒置逾時自動啟動,並可在重新註冊時強制要求最低 OS 版本。
- 內容快取(Content Caching)納入 DDM — macOS 27 將內容快取改為宣告式設定,並新增完整狀態回報(儲存空間、快取壓力、上游與對等快取),還可定時將 JSON 狀態 POST 到自訂 HTTPS 端點。舊的
com.apple.AssetCache.managed描述檔已棄用。 - Apple Intelligence、Siri 與鍵盤管理 — 從 OS 26.4 起,宣告式設定可管控 Genmoji、Image Playground、書寫工具、外部 AI 服務、Siri 行為,以及預測文字、自動校正等鍵盤功能。
三、App 管理
- App 與 Binary 啟動管控 — iOS 27、iPadOS 27、tvOS 27 與 visionOS 27 新增以 Bundle ID 比對的
AllowedApps/DeniedApps清單;macOS 27 新增以 CD Hash 與 Team ID 比對的AllowedBinaries/DeniedBinaries,並可用AlwaysAllowManagedApps自動信任受管理的 App。 - 隱私授權提示整合 — 單一授權對話框可涵蓋多項權限,並顯示組織名稱與申請理由。IT 可預設輔助使用、藍牙、相機、麥克風、定位、區域網路(Local Network)等權限;Safari 的相機 / 麥克風權限更可以按網域(含萬用字元網域)預先設定。
- macOS 27 的 ManagedApp 框架 — 透過
com.apple.configuration.app.managed安全地派送 App 設定與硬體綁定身分,取代舊式 MDM App 設定指令。 - macOS 27 支援 App Attest — 金鑰由 Secure Enclave 硬體產生,後端服務可驗證請求確實來自未經竄改的正版 App。
- Intel 過渡期確定 — macOS 26 是最後一版完整支援 Intel Mac 的版本,之後僅提供三年安全性更新。OS 27 世代的 Mac 機隊就是 Apple Silicon 機隊。
四、身分整合
- Extensible SSO / Platform SSO 納入 DDM —
com.apple.configuration.extensible-sso將 SSO 設定帶入宣告式管理(iOS 27、iPadOS 27、macOS 27、visionOS 27)。 - Platform SSO 支援網頁式驗證 — macOS 27 可以直接在登入視窗、鎖定畫面與 FileVault 解鎖呈現 IdP 的實際登入頁面,支援多步驟流程與 QR code 登入 — 讓防釣魚、無密碼的驗證流程從開機的第一道關卡就開始。搭配 URL 允許清單(FQDN、不支援萬用字元)、離線寬限期與選用的密碼同步,也可強制要求 Touch ID。
- 登入視窗即可連網 — 受監管的 macOS 27 Mac 可以在登入視窗切換 Wi-Fi 並完成 captive portal(強制登入頁)認證(
ForceCaptivePortalConnectionFromLockScreen)— 解決了筆電在訪客網路、飯店與會展場地長年「登入前連不上網」的痛點。 - 認證訪客模式(Authenticated Guest Mode) — 共用 Mac 的 FileVault 現在支援 IdP 認證的臨時使用者;共用 iPad 也即將支援以 Managed Apple Account 認證的臨時工作階段。
- Microsoft Graph API — macOS 27 的郵件、行事曆、聯絡人、備忘錄與提醒事項將從 Exchange Web Services(EWS)改用 Graph API,並支援宣告式設定 — 對 Microsoft 365 環境很重要,因為微軟正逐步淘汰 EWS。
- Shared Signals Framework 1.0 — Apple 的 IdP 同步機制已對齊正式定案的 OpenID Shared Signals Framework 規範。
五、教育
- Guided Browsing / 鎖定網址 — iPadOS 27 與 macOS 27 的 Classroom 可將學生裝置鎖定在教師指定的網站,以全螢幕引導式瀏覽器呈現,內容過濾與輔助使用功能照常運作。
- 多 App 模式(Multi-App Mode) — 將學生裝置鎖定在多個核准的 App,課程中可隨時調整清單不中斷。
- macOS 27 評量模式(Assessment Mode) — 標準化測驗環境,可在系統層級控制 Dock、選單列,並內建考前檢查。
OS 27 上線前,企業該做的六件事
- 盤點舊式軟體更新管理 — 如果你的 MDM 工作流程還在用舊式更新指令或延遲套用限制,升級到 27.0 後會直接失效。先轉換到宣告式軟體更新管理。
- 檢查 TLS / ATS 合規 — 確認所有參與註冊、描述檔派送、App 派送與更新的伺服器,其憑證鏈與加密套件符合新要求。
- 規劃 DDM 轉換 — 網路設定(VPN、DNS、Relay)、App 設定與 SSO 都已宣告式化;
ProfileAssetReference是舊描述檔的過渡橋樑,但橋樑不是終點。 - 檢視維修與換機流程 — 備份還原不再帶入 MDM 註冊;確認裝置都在 Apple Business / Apple School Manager 中,讓 ADE 自動接手。
- 盤點 Intel Mac — macOS 26 是最後一版完整支援 Intel 的版本,汰換週期要開始排了。
- 評估 Platform SSO 網頁式驗證 — 如果你的 IdP 路線圖包含無密碼或防釣魚驗證,macOS 27 的登入視窗整合正是過去缺的那一塊。
可立可如何協助您
可立可是全球唯一同時具備 Jamf Elite Partner、MSP 與 MSSP 三項認證的合作夥伴,在半導體、電子製造、金融、政府與教育領域累積多年 Apple 裝置管理導入經驗。
- OS 27 升級就緒評估 — 盤點現有 MDM 環境中將在 27.0 失效的舊式機制
- DDM 轉換規劃 — 將描述檔、網路設定、軟體更新管控與 App 設定移轉到宣告式管理
- Platform SSO 架構設計 — 整合 Microsoft Entra ID、Okta、Google Workspace 或您既有的 IdP
- Apple Business + Jamf 混合架構 — 以 Apple 免費的基礎能力搭配企業級進階管控
延伸閱讀:Apple MDM 完整指南 · Apple Business 正式上線
聯繫可立可 預約免費諮詢,一起評估貴公司的 OS 27 升級準備。