Nieuwe functies voor de implementatie van het Apple platform

Automatische apparaatinschrijving voor de Apple Vision Pro

In visionOS 2.0 kunnen organisaties automatische apparaatinschrijving gebruiken om Apple Vision Pro-apparaten in gebruik te nemen. Zo kunnen ze de inschrijving bij een MDM-oplossing automatiseren, apparaten onder toezicht plaatsen tijdens de activering en de eerste configuratie van apparaten vereenvoudigen.

Apple Vision Pro-apparaten met visionOS 1.1 of nieuwer kunnen ook worden ingeschreven via apparaatinschrijving op basis van accounts en gebruikersinschrijving op basis van accounts. Met apparaatinschrijving op basis van accounts en gebruikersinschrijving op basis van accounts kunnen organisaties de gegevens van de organisatie cryptografisch van persoonlijke gegevens scheiden.

Software-updateproces

Software-updates voor iPhones, iPads en Macs kunnen nu volledig worden beheerd via declaratief apparaatbeheer, waarbij MDM-profielen voor beperkingen, instellingen, commando's en verzoeken voor software-updates worden vervangen. Dit zorgt voor robuustere beheermogelijkheden voor software-updates en verbeterde transparantie voor gebruikers.

Op iPhones, iPads en Macs met iOS 18, iPadOS 18 en macOS 15 kan de configuratie com.apple.configuration.softwareupdate.settings worden gebruikt om het volgende te configureren:

• Toepassing van automatische software-updates

• Toepassing van snelle beveiligingsmaatregelen

• Uitstel van software-updates (1 tot 90 dagen)

• Of autorisatie van een lokale beheerder vereist is om een update voor macOS uit te voeren

• Welke meldingen standaard worden weergegeven bij het afdwingen van software-updates

• De zichtbaarheid (aanbevolen frequentie) van software-upgrades (alleen iOS en iPadOS)

Zie voor meer informatie:

• Over software updates

• Bijgewerkt proces voor software-updates van Apple

• Software-updates installeren en afdwingen

• Software-updates implementeren met MDM

• De verschillende stadia voor het afdwingen van software-updates van Apple

Releasedatums van software-updates

De nieuwste releasedatums van software-updates zijn toegevoegd.

Zie Datums van softwarereleases voor meer informatie.

Beheer van bètasoftware

Organisaties kunnen nu de installatie van bètasoftware op de volgende manieren beheren:

• Apparaten op afstand bij verschillende bètaprogramma's inschrijven en met behulp van de opties voor het uitstellen van updates en upgrades voor bèta- en productiesoftware een gefaseerd test- en uitroltraject implementeren dat begint met de eerste bètasoftware-upgrade.

• De installatie van bètaversies uit deze programma's afdwingen, beperken en uitstellen op apparaten onder toezicht (vergelijkbaar met software-updates).

• Statusrapporten samenstellen voor meer inzicht in de installatie van bètasoftware en inschrijvingen bij bètaprogramma's op beheerde apparaten bijhouden.

• Apparaten aan een bètaprogramma toevoegen met behulp van een token van de organisatie. De gebruiker hoeft niet met een (persoonlijke of beheerde) Apple Account in te loggen in Instellingen of Systeeminstellingen. Zo ontstaat een gestroomlijnd proces voor het testen van bètasoftware waarbij de gebruiker geen handmatige stappen hoeft uit te voeren. Dit proces verschilt per besturingssysteem:

  • Bij het gebruik van automatische apparaatinschrijving worden apparaten toegevoegd in de configuratie-assistent (iOS 17.5, iPadOS 17.5 en macOS 14.5 of nieuwer).

  • Bij de installatie van bètasoftware worden apparaten toegevoegd met de configuratie com.apple.configuration.softwareupdate.settings (iOS 18 bèta, iPadOS 18 bèta).

Zie Software-updates testen met het AppleSeed for IT-bètaprogramma voor meer informatie.

Nieuwe hardwarevereisten voor attestatie van beheerde apparaten

De hardwarevereisten voor attestatie van beheerde apparaten zijn gewijzigd.

Zie Ondersteunde hardware voor attestatie van beheerde apparaten voor meer informatie.

Nieuwe functies voor e‑sims

In iOS 18 en iPadOS 18 kan de sleutel allowESIMOutgoingTransfers worden gebruikt om in te stellen of een e‑sim kan worden overgezet bij de configuratie van een nieuw apparaat.

Zie De beperking 'allowESIMOutgoingTransfers' voor meer informatie.

Meerdere payloads voor mobiele privénetwerken

In iOS 18 en iPadOS 18 worden meerdere payloads voor mobiele privénetwerken ondersteund, waardoor maximaal vijf 5G- of LTE-privénetwerken kunnen worden geconfigureerd. Omdat de payload een geozone voor elk netwerk definieert, kan de juiste e‑sim automatisch worden in- of uitgeschakeld al naargelang de gebruiker zich binnen of buiten het bereik van het privénetwerk bevindt.

Zie MDM met mobiele privénetwerken voor meer informatie.

Beheer van Safari-extensies

Met Safari-extensies kun je de functionaliteit van Safari uitbreiden en aanpassen op een iPhone, iPad en Mac. In iOS 18, iPadOS 18 en macOS 15 kunnen organisaties nu MDM-oplossingen gebruiken om te beheren hoe Safari-extensies worden gebruikt op apparaten die onder toezicht staan. Een bedrijf kan bijvoorbeeld instellen dat specifieke extensies moeten worden geïnstalleerd en ingeschakeld om toegang tot interne voorzieningen te bieden. Een onderwijsinstelling kan bijvoorbeeld voorkomen dat leerlingen extensies gebruiken die informatie weergeven die in strijd is met het beleid van de school. Deze functies voor extensiebeheer werken zowel in de standaard- als in de privémodus van de browser en kunnen als volgt worden gebruikt:

• Instellen welke extensies zijn toegestaan

• Bepalen welke extensies altijd zijn ingeschakeld of uitgeschakeld

• Een extensie configureren voor toegang tot websites in specifieke domeinen en subdomeinen

Zie Declaratieve configuratie voor beheer van Safari-extensies voor meer informatie.

API voor apps en boeken van organisaties

MDM-ontwikkelaars kunnen nu hun ontwikkelaarsaccount gebruiken om voorzieningen-ID's en autorisatiesleutels te configureren voor de API voor apps en boeken van organisaties om informatie op te vragen over de apps en boeken die ze beheren. Andere wijzigingen zijn:

• Nieuwe velden die aangeven of een app compatibel is met visionOS

• Een nieuw eindpunt voor zoeken in de App Store

Zie Configure the Apps and Books for Organizations API op de Apple Developer-website voor meer informatie (Engelstalig).

Ontwikkelaars van interne apps van de organisatie kunnen gebruikers beheren en van materiaal voorzien

Ontwikkelaars van interne (bedrijfs)apps van de organisatie hebben nu toegang tot API's van Apple om gebruikers te beheren en van materiaal te voorzien, zodat ze taken kunnen automatiseren, zoals het genereren van voorzieningenprofielen en het integreren van gebruikersbeheer in bestaande workflows.

Zie Enterprise Program API op de Apple Developer-website voor meer informatie (Engelstalig).

Verbeterde beveiliging voor het configureren van pushmeldingen voor MDM-klanten

MDM-ontwikkelaars kunnen de Apple Push Notification-service (APNs) gebruiken om een gestroomlijnd proces op te zetten voor het aanmaken van pushcertificaten voor hun klanten. Hierbij wordt een certificaatondertekeningsaanvraag (CSR) voor elke klant aangemaakt en ondertekend. Vervolgens kan de klant de verstrekte certificaatondertekeningsaanvraag gebruiken om een certificaat aan te vragen via de Apple Push Certificates Portal.

Later dit jaar moeten certificaatondertekeningsaanvragen voor de Apple Push Certificates Portal worden ondertekend met het SHA2-algoritme voor betere beveiliging. Er worden dan geen certificaten meer verstrekt voor aanvragen die zijn ondertekend met SHA1. Zie Setting Up Push Notifications op de Apple Developer-website voor meer informatie over aanbevolen procedures (Engelstalig).

Apparaatbeheer voor Wiskundenotities, Slim schrijven, Image Playground en Schrijfhulp

Apple biedt instellingen voor apparaatbeheer (MDM) en de beoordelingsmodus (AAC) aan voor Wiskundenotities, Slim schrijven, Image Playground en Schrijfhulp.

Zie Configuratie van instellingen voor wiskundevoorzieningen en de Rekenmachine-app voor meer informatie.

Organisaties kunnen ook meer informatie bekijken over hoe Apple Intelligence-functies zoals Schrijfhulp en Image Playground gebruikmaken van Private Cloud Compute. Zie Private Cloud Compute: A new frontier for AI privacy in the cloud op de Apple Security Research-website voor meer informatie (Engelstalig).

Ondersteuning voor passkeys en hardwarematige beveiligingssleutels tijdens de inschrijving

In macOS 15 ondersteunt de configuratie-assistent ASWebAuthenticationSession, waarmee passkeys en ondersteunde hardwaresleutels kunnen worden gebruikt tijdens de inschrijving.

De payload 'Uitbreidbare SSO met Kerberos'

De volgende nieuwe sleutels zijn beschikbaar voor de payload 'Uitbreidbare SSO met Kerberos':

• Overschakeling naar de wachtwoordmodus toestaan: allowPassword

• Overschakeling naar de smartcardmodus toestaan: allowSmartCard

• De lijst met beschikbare smartcards filteren: identityIssuerAutoSelectFilter

• De Kerberos-extensie in de smartcardmodus starten: startInSmartCardMode

Eenmalige platformaanmelding

Ter ondersteuning van extra beveiligde macOS-implementaties waarvoor authenticatie bij de IdP is vereist, is eenmalige platformaanmelding in macOS 15 uitgebreid met de volgende mogelijkheden:

• Met de nieuwe beleidsoptie RequireAuthentication kan worden ingesteld dat authenticatie bij de IdP is vereist voor FileVault, het toegangsscherm en het inlogvenster.

• Om het gebruiksgemak te vergroten, kan Touch ID of een Apple Watch worden geconfigureerd om het scherm te ontgrendelen wanneer RequireAuthentication is ingeschakeld.

• Er kan een geldigheidsperiode voor offline authenticatie worden ingesteld, zodat gebruikers kunnen inloggen of het scherm kunnen ontgrendelen als ze offline zijn.

Toegang tot externe opslag en netwerkopslag

Om te beheren hoe gegevens vanaf apparaten kunnen worden gekopieerd, hebben organisaties in macOS 15 nu de beschikking over de nieuwe configuratie voor schijfbeheer, waarmee ze externe opslag of netwerkopslag wel of niet kunnen toestaan en kunnen opgeven dat uitsluitend alleen-lezenvolumes mogen worden geactiveerd.

Deze configuratie vervangt de verouderde payload voor mediabeheer. Zie Declaratieve configuratie voor opslagbeheer voor meer informatie.

Beheer van achtergrondtaken

macOS bevat ondersteuning voor achtergrondtaken die namens de gebruiker worden gestart of als zelfstandig proces worden uitgevoerd om te zorgen dat voorzieningen op de achtergrond altijd beschikbaar zijn.

In macOS 15 kunnen uitvoerbare bestanden, scripts en configuratiebestanden voor launchd worden geïnstalleerd met MDM, waarna ze worden opgeslagen op een veilige en fraudebestendige locatie (vergelijkbaar met de configuratiebestanden van voorzieningen die vorig jaar zijn geïntroduceerd). Zo kunnen organisaties eenvoudig beheerde voorzieningen implementeren en beheren.

Toegang tot lokale netwerken in macOS

Als een app of launch agent van een andere ontwikkelaar in macOS 15 met apparaten in het lokale netwerk van een gebruiker wil communiceren, moet deze app of launch agent om toestemming vragen als deze de eerste keer het lokale netwerk probeert te doorzoeken.

Net als in iOS en iPadOS kunnen gebruikers nu in Systeeminstellingen naar 'Privacy' > 'Lokaal netwerk' gaan om deze toegang toe te staan of te weigeren, waardoor gebruikers meer controle over hun privacy hebben.

Nieuwe functies voor virtuele machines in macOS

Op een virtuele machine met macOS 15 kunnen gebruikers het volgende doen:

• Inloggen bij iCloud (met een persoonlijke Apple Account) nadat ze bij deze account zijn ingelogd op een fysiek Apple apparaat. Hiermee hebben gebruikers op de virtuele machine toegang tot iCloud-voorzieningen en apps die met iCloud zijn verbonden.

• 'Wis alle inhoud en instellingen' gebruiken.

Nieuwe functies voor de configuratie-assistent

De volgende opties (die al beschikbaar zijn in iOS en iPadOS) kunnen nu ook in macOS 15 worden gebruikt voor een naadloze configuratie:

• Welcome als een van de sleutels om over te slaan bij automatische apparaatinschrijving

• SkipSetupItems in de payload met het profiel voor de configuratie-assistent

Nieuwe functies in Systeeminstellingen

In macOS 15 is de naam van het gedeelte 'Profielen' in Systeeminstellingen gewijzigd in 'Apparaatbeheer' en is dit gedeelte verplaatst naar 'Algemeen'. Door deze wijziging lijkt de interface van de Mac meer op die van iOS en iPadOS.

Apps verbergen en vergrendelen

iOS 18 en iPadOS 18 bevatten nieuwe opties waarmee gebruikers kunnen instellen dat Face ID, Touch ID of een toegangscode vereist is om een app te openen en waarmee ze apps in het beginscherm kunnen verbergen. Met MDM kunnen deze opties als volgt worden geconfigureerd:

• Per app instellen of een gebruiker beheerde apps kan verbergen of vergrendelen

• De mogelijkheid uitschakelen om apps te verbergen of te vergrendelen op apparaten onder toezicht

Op apparaten die zijn ingeschreven met gebruikersinschrijving worden verborgen apps alleen aan MDM gemeld als het om beheerde apps gaat. Op apparaten die zijn ingeschreven met apparaatinschrijving worden verborgen apps als onderdeel van alle geïnstalleerde apps aan MDM gemeld.

Installatie van interne apps

Als in iOS 18 en iPadOS 18 interne apps van de organisatie handmatig worden geïnstalleerd (niet via MDM), moet het apparaat nu opnieuw worden opgestart om het vertrouwen in het voorzieningenprofiel te bevestigen. In eerdere versies werden geïnstalleerde apps die waren ondertekend door hetzelfde voorzieningenprofiel automatisch vertrouwd en hoefde het apparaat niet opnieuw te worden opgestart.

Terug naar gebruiksklaar

Met 'Terug naar gebruiksklaar' kan het opnieuw instellen en opnieuw inschrijven van Apple TV's bij een MDM-oplossing volledig worden geautomatiseerd via een draadloos netwerk. Wanneer de MDM-oplossing in tvOS 18 het commando verstuurt om een beheerd apparaat te wissen, moet de MDM-oplossing de wifigegevens verschaffen en opgeven bij welke MDM-oplossing het apparaat moet worden ingeschreven.

Als het apparaat in Apple Business Manager of Apple School Manager is geregistreerd, kan de MDM-serverconfiguratie worden weggelaten. Dit zorgt ervoor dat het apparaat tijdens de activering naar een inschrijvingsprofiel zoekt. Vervolgens wist het apparaat alle gegevens en doorloopt automatisch de configuratie-assistent met de eerder gebruikte taal- en regio-instellingen totdat het beginscherm is bereikt, waarna het apparaat klaar is om te worden gebruikt.

Identificatie van AirPlay-ontvangers

In tvOS 18 maken AirPlay-ontvangers niet langer hun apparaat-ID (MAC-adres) bekend. Voor het commando RequestMirror kan een apparaatnaam of apparaat-ID worden gebruikt, maar op Apple TV's met tvOS 18 kan alleen een apparaatnaam worden gebruikt. Andere wijzigingen in de payload 'AirPlay' zijn:

• De lijst met toegestane apparaat-ID's, de zogenaamde toestemmingslijst, kan nu ook apparaatnamen bevatten.

• In macOS 15 worden wachtwoorden aan een apparaatnaam gekoppeld in de wachtwoordenlijst. Deze functie is al beschikbaar in iOS en iPadOS.

Nieuwe functies voor configuratiebeheer

In visionOS 2.0 kunnen organisaties eenmalige aanmelding voor inschrijving configureren, met configuraties zoals apparaatvergrendeling, activeringsslot en toegangscodebeheer, waardoor de Apple Vision Pro gemakkelijker in een organisatie kan worden geïmplementeerd. Zie de GitHub-repository voor Apple apparaatbeheer voor meer informatie (Engelstalig).

Zie de volgende onderwerpen voor een volledige lijst met payloads, beperkingen, commando's en declaratieve configuraties die worden ondersteund voor visionOS 1.1 of nieuwer:

• Lijst met MDM-payloads voor de Apple Vision Pro

• MDM-beperkingen voor de Apple Vision Pro

• MDM-commando's voor Apple apparaten

• Lijst met opties voor het MDM-instellingencommando

• Declaratieve configuraties voor Apple apparaten

Beoordelingsmodus voor meerdere apps op de iPad

In iPadOS 17.6 of nieuwer kunnen ontwikkelaars extra apps gebruiken naast hun primaire beoordelingsapp, zoals toegankelijkheidsapps en apps die rekenmachines, notities en spreadsheets kunnen gebruiken.

Schoolwerk 3.0

In iPadOS 17.5 of nieuwer met Schoolwerk 3.0 kunnen leerkrachten:

• Elk document of bestand als Klaslokaal-beoordeling versturen, inclusief pdf's en bestanden die zijn aangemaakt in Pages, Numbers, Keynote en Google Suite (documenten, werkbladen, dia's)

• Documenten uploaden vanuit iCloud en papieren documenten rechtstreeks in Schoolwerk scannen

• Het werk en documenten van leerlingen nakijken en er een waardering aan toekennen

• De prestaties van leerlingen per vraag analyseren, inclusief nieuwe functies voor rapportage en inzicht in de voortgang van leerlingen

Onbeheerde klassen in de buurt in de Klaslokaal-app

Met deze functie kunnen leerkrachten in iPadOS 17.4 en macOS 14.4 of nieuwer met beheerde Apple Accounts onbeheerde klassen in de buurt aanmaken en gebruiken in Klaslokaal (in plaats van Apple School Manager-klassen).