Apple 기기 관리의 새로운 기능

♪부드러운 힙합 음악♪ ♪ WWDC에 오신 것을 환영합니다! 저 Nadia와 제 동료인 Graham이 새로운 디바이스 관리 기능을 macOS Ventura와 iOS, iPadOS 16에 선보이겠습니다 디바이스 관리 분야에서 저희의 공통 책임은 직장에서 직원이 성공적인 업무를 수행하고 학생과 선생님 간의 생산성을 증가시키는 것입니다 저희는 도구와 기술에 발전을 거듭하여 이러한 협업을 촉진시키고자 합니다 그리고 macOS Ventura, iOS, iPadOS 16의 여러 향상된 사항과 기능 중 일부를 이번 세션에서 다루고자 합니다 먼저 간단하게 기업과 교육 공간에 대해 더 많이 알 수 있도록 몇 가지 추가 세션을 진행하겠습니다 WWDC 2021 기간 동안 선언전 디바이스 관리라는 디바이스 관리의 새로운 패러다임을 소개 드렸습니다 이는 디바이스를 보다 자율적이고 선제적으로 만들며 서버를 가볍고 반응성 있게 만들 수 있습니다 올해 저희는 선언적 디바이스 관리를 확대하여 새로운 플랫폼 지원과 새로운 기능을 선보입니다 '선언적 디바이스 관리 적용' 세션을 꼭 시청하시기 바랍니다 Apple Business Essentials은 완전한 구독의 형태로 디바이스 관리를 완벽하게 통합하고 24시간 7일 연중무휴 지원과 클라우드 저장 공간을 제공합니다 Apple Business Essentials로 소규모 기업은 모든 단계에서 iPhone, iPad, Mac 및 Apple TV를 쉽게 관리할 수 있습니다 자세한 내용은 'Apple Business Essentials 탐색' 세션을 참조하십시오 새로운 보안 기능인 디바이스 인증 업무 관리는 Secure Enclave를 사용하여 아이덴티티나 소프트웨어 버전과 같은 클라이언트 디바이스에 강력한 보안을 제공합니다 "디바이스 인증 업무 관리의 발견" 세션을 시청하여 추가 정보를 얻으시기 바랍니다 이번 세션의 논의 사항은 Apple Configurator의 새로운 역량과 플랫폼 전반의 아이덴티티 기술, macOS Ventura향 프로토콜 변경, iOS와 iPadOS 16, 그리고 문서 제공 방식의 흥미로운 변화입니다 먼저 Apple Configurator부터 시작하겠습니다 WWDC 2021에서 iPhone용 Configurator를 발표했습니다 교육 및 기업 고객은 이 솔루션을 사용하여 모든 Mac에 대해 자동 디바이스 등록의 활용을 무척이나 반기고 있습니다 iPhone용 Apple Configurator으로 정규 채널이 아닌 곳에서 구입한 Mac 디바이스를 조직에 추가할 수 있습니다 Apple School Manager나 Apple Business Manager를 통해 말이죠 Mac의 Setup Assistant에서 Configurator를 실행하는iPhone을 애니메이션 위에 놓기만 하면 됩니다 그러면 Mac 디바이스가 인터넷과 연결되어 저절로 조직에 추가될 것입니다 Version 1.0.1은 Mac에서 사용 가능한 경우 기존 네트워크 연결이 가능하여 새롭고, 명시적인 지원을 할 수 있습니다 이제 iOS 및 iPad OS 16을 통해 iPhone용 Apple Configurator가 iPhone과 iPad를 조직에 추가할 수 있게 되었습니다 예상하셨겠지만 Mac을 추가하는 것과 같은 방법입니다 이것은 Mac용 Configurator에 대한 훌륭한 새 대안으로 더 이상 각 디바이스를 USB로 Mac에 연결하여 Configurator를 실행하지 않아도 됩니다 iOS와 iPadOS 간의 주요한 차이점은 Setup Assistant의 검색 창입니다 iOS와 iPadOS에서는 Wi-Fi이지만 macOS에서는 국가 또는 지역입니다 또한 활성화 잠금 또는 셀룰러 캐리어 활성화와 같은 대화형 활성화가 필요한 디바이스는 수동으로 처리하여 조직에 추가되어야 하는 점 기억하시기 바랍니다 마치 Mac용 Configurator 같이요 iOS나 iPadOS 16을 실행하는 디바이스는 현재 App Store에 있는 iPhone용 Apple Configurator를 사용하여 추가할 수 있습니다 이제, 비즈니스와 교육계를 위한 ID 관리를 살펴보겠습니다 저희는 업계에서 ID 관리가 중요하다는 것을 알고 있습니다 이것은 Apple의 주요 우선 순위이기도 합니다 이를 통해 사용자는 통합적인 경험이 가능하고 동시에 데이터 보안을 확실시 할 수 있습니다

저희의 목표는 사용자가 한 번 로그인을 하면 그 이후부터 운영 체제 전반에 걸쳐 동일한 ID 사용이 가능하도록 하는 것으로 저희는 이 목표를 위해 노력하고 있으며 이를 지원하는 여러 기술을 보유하고 있습니다 macOS Ventura와 iOS, iPadOS 16의 새로운 기능이 그 예입니다 연합 인증의 경우 이제 Apple Business Manager가 ID 공급 업체인 Google Workspace와 통합되었습니다 이를 통해 사용자는 자신의 작업 자격 증명을 Managed Apple ID로 활용하여 iOS, iPadOS, macOS상 서비스 인증이 가능합니다 디렉토리 동기화를 사용해야 한다는 것을 명심하십시오 이것은 전에 SCIM으로 불렀는데 이는 사용자 계정을 자동으로 Managed Apple ID로 만듭니다 이제 회사 및 학교에서 Apple에 로그인 할 때 Managed Apple ID를 사용할 수 있습니다 Apple 로그인을 지원하는 앱은 구동이 잘 됩니다! 사용자의 로그인 장소를 제어하고자 한다면 모든 앱을 허용하거나 Apple School Manager 또는 Apple Business Manager의 명시적 허용 목록에 앱을 추가할 수 있습니다 참고하실 세션은 '직장과 학교에서 Apple 로그인 방법 알아보기' 입니다 또 다른 주목할 만한 ID 관리 업데이트는 OAuth 지원입니다 iOS와 iPadOS 15에서 간단한 액세스 토큰 인증 메커니즘을 사용하여 MDM 서버가 사용자의 신원을 확인할 수 있도록 하였습니다 iOS와 iPadOS 16에서 OAuth 2를 또 다른 인증 메커니즘으로 추가하였습니다 OAuth는 MDM 서버가 현재 OAuth를 이미 사용하고 있는 다양한 ID 공급자를 지원할 수 있는 기회를 제공합니다 또한 새로 고침 토큰 매커니즘을 통해 보안을 향상시켰는데 짧은 기간만 유용한 액세스 토큰을 사일런트 새로 고침과 함께 사용하여 사용자의 크리덴셜을 묻지 않게 되었습니다 OAuth는 기존 계정 기반 사용자 등록 과정과 함께 사용할 수 있지만 멋진 새로운 기능과 결합하면 훨씬 더 나은 사용자 환경을 경험하실 수 있습니다 이 새로운 기능은 등록 단일 로그인 또는 등록 SSO라고 합니다 개인 디바이스를 MDM 등록할 수 있는 새롭고 빠른 방법으로 단일 인증으로 조직의 앱 및 웹 사이트에 액세스할 수 있습니다 이는 몇 가지 기존 기술을 기반으로 합니다 iOS 13은 확장 가능한 SSO를 도입하여 조직의 앱과 웹사이트의 SSO를 새로운 방식으로 구성하였습니다 그리고 iOS와 iPadOS 15는 계정 기반 사용자 등록 기능을 도입하여 사용자가 설정에 이메일 주소를 입력하기만 하면 MDM에 등록할 수 있도록 하였습니다 등록을 더욱 개선하기 위해 이 두 가지 기술을 결합하였는데요 이는 배포에 있어 BYOD 디바이스의 중요성을 잘 알고 있기 때문입니다 사용자는 먼저 설정에 이메일 주소를 기입합니다 App Store에서는 앱을 다운로드하라는 메시지를 표시합니다 이 앱은 등록 단일 로그인을 포함하여 인증 단계를 수행하기 위한 기본 UI를 제공합니다 이는 앱을 기반으로 한 모델이기 때문에 여러분이 선택한 모든 인증 기술을 사용할 수 있습니다 사용자는 로그인을 한 번만 하면 됩니다 앱이 한 번 로그인 후에는 재 로그인할 필요 없이 등록 과정을 거칠 수 있습니다 등록 단일 로그인을 활성화하는 데 필요한 네 가지 주요 요소가 있습니다 첫째, 앱 개발자는 등록 SSO를 지원하도록 앱을 업데이트합니다 다음으로, MDM 공급업체는 MDM 프로토콜 클라이언트 인증을 ID 공급자와 결합합니다 그 다음 관리자는 Apple School 또는 Business Manager를 사용하여 관리되는 Apple ID를 설정합니다 마지막으로, MDM 서버를 구성하여 URL을 인증 응답 헤더의 JSON 문서로 반환합니다 지금까지 이 기능이 무엇을 하고 누가 무엇을 해야 하는지 이야기했으니 이제 세부 사항으로 들어가겠습니다 서버로부터 초기 인증 도전을 받으면 HTTP 헤더가 등록 단일 로그인이 유용하고 사용해야 한다고 나타냅니다 이 헤더 값은 URL로 클라이언트가 JSON 문서를 다운로드하는 데 사용합니다 JSON 문서에는 클라이언트가 등록을 계속하는 데 필요한 세부 사항이 포함되어 있습니다 iTunesStoreID의 값은 등록 중에 사용할 등록 단일 로그인 앱을 참조해야 합니다 AssociatedDomains 키는 ApplicationAttributes에서 사용할 수 있는 키와 동일하며 여기서도 구성할 수 있습니다 마지막으로 ConfigurationProfile은 Base64EncodedProfile 이어야 하는데 이는 최소 하나의 확장 가능 SSO 페이로드를 포함하고 필요한 경우 인증서 페이로드를 포함할 수 있습니다 또한 iOS 및 iPadOS 16의 후속 릴리스에서 이 기능을 고객에게 제공할 예정입니다 이러한 기능을 지원하는 앱을 지원하고자 한다면 새로운 자격을 Apple 개발자 프로그램을 통해 지원해야 합니다 하지만 지금은 테스트 모드를 사용하여 개발을 시작할 수 있습니다 테스트 모드는 등록 단일 로그인 과정의 특별한 버전으로 App Store에 앱을 제공하기 전 여러분의 앱을 테스트할 수 있습니다 테스트 모드로 시작하려면 개발자 세션의 환경으로 가서 등록 단일 로그인 테스트 모드를 사용하도록 설정합니다 그런 다음 인증확인 응답을 새 HTTP 헤더와 상응하는 JSON 문서를 사용하여 구성합니다 그 후 VPN과 디바이스 매니지먼트에서 등록 프로세스를 시작합니다 등록 과정 동안 SSO 앱을 설치하라는 메시지가 표시됩니다 이용 가능한 여러 방법을 사용하여 앱을 설치할 수 있습니다 Xcode에서 TestFlight 또는 Enterprise 앱 배포까지요 그런 다음 설정으로 돌아가서 등록을 완료하십시오 테스트 모드를 사용하려면 응답과 수정된 JSON 문서에 다른 헤더가 필요합니다 다음은 테스트 모드에 대한 JSON 문서의 예입니다 iTunesStoreID 키가 AppIDs 키로 대체된 것을 볼 수 있습니다 이 키의 값은 등록에 사용할 수 있는 App ID를 포함하는 문자열 배열입니다 다른 모든 것은 그대로입니다 다음으로 단일 로그인 확장에 대해 살펴보겠습니다 2019년 저희는 단일 로그인 확장을 iOS 13과 macOS Catalina에 추가하여 ID 공급자가 SSO 인증을 사용할 수 있도록 하였습니다 이는 사용자의 모든 앱과 웹사이트를 대상으로 하였습니다 SSO 확장 기능을 사용할 때에 디바이스 잠금 해제를 하면 사용자에게 로그인을 하라는 메시지가 표시됩니다 즉, 자격 증명을 두 번 입력합니다 조직에서 빌트인 Kerberos 확장 기능을 사용하는 경우 사용자가 다시 로그인해야 할 수 있습니다 대부분의 경우 이러한 인증 정보는 모두 동일합니다 macOS Ventura에서는 플랫폼 SSO를 도입하여 사용자가 로그인 창에서 한 번 로그인을 하면 앱과 웹사이트에 자동으로 로그인될 수 있게 하였습니다 플랫폼 SSO는 로그인 토큰을 타사 SSO 확장에 사용할 수 있도록 하고 빌트인 Kerberos 확장에서도 작동합니다 첫 번째 로그인은 로컬 계정 암호로 인증되는데 그러면 디바이스에서 FileVault 암호화도 잠금 해제됩니다 이런 방식으로 사용자는 오프라인 상태이거나 캡티브(captive) 네트워크에 연결되었을 때 로그인할 수 있습니다 이때부터 ID 공급자 암호를 사용하여 잠금을 해제할 수 있습니다 또한 플랫폼 SSO에서는 암호를 사용하거나 Secure Enclave 지원 키 사용하여 ID 공급자를 인증할 수 있습니다 인증 방법에 상관없이 SSO 토큰은 ID 제공자에게 검색되어 키체인에 저장되고 SSO 확장에 사용할 수 있습니다 Kerberos TGT도 검색하여 자격 증명 캐시로 가져오고 Kerberos 확장과 공유할 수도 있습니다 ID 제공자 암호가 변경되면

ID 제공자와 함께 새 암호를 검증합니다 플랫폼 SSO는 완전한 통합 프로토콜로 OAuth 및 OpenID를 사용하여 구축되었으며 인증에 웹 보기를 사용하지 않습니다 플랫폼 SSO는 AD 바인딩 및 모바일 계정의 현대적 대체제입니다 참고로 각 잠금 해제 시도에 대해 디렉터리 서비스를 직접 사용하거나 ID 공급자에게 확인하지는 않습니다 대신 ID 공급자 호출은 사용자가 잠금 해제 시 새로운 암호를 사용하거나 SO 토큰을 검색하려고 할 때만 입니다 또한 플랫폼 SSO는 ID 제공자의 응답을 기반으로 Mac에 로그인할 수 있습니다 이를 위해 MDM 또는 대체 전략을 활용하여 액세스를 차단합니다 이 기능을 사용하려면 ID 공급자가 SSO 프로토콜을 실행하고 SSO 확장을 업데이트한 다음 확장 가능한 SSO 프로필을 업데이트하여 관리되는 디바이스의 새 키를 지원해야 합니다 실행 세부 정보는 Apple 플랫폼 배포 안내서에서 확인할 수 있습니다 요약하자면, 단순화된 로그인 환경을 지원하기 위해 Google Workspace, Enrollment SSO, OAuth 지원 및 플랫폼 SSO와의 통합을 적용했습니다 ID 관리는 끊임없이 발전하는 기술이며 이제 막 시작했습니다 macOS Ventura는 OS 업데이트, 등록 및 보안 전반에 걸쳐 많은 향상된 기능을 제공합니다 소프트웨어 업데이트부터 시작하겠습니다 macOS Montrey는 중앙 관리 소프트웨어 업데이트에 근본적인 변화를 도입했습니다 제 동료 Lucy가 해당 세션을 진행합니다 바로 '조직에서의 소프트웨어 업데이트 관리'로 OS 업데이트를 다음의 세 가지 영역으로 분류했습니다 테스트, 배포 및 시행이 바로 그것입니다 올해는 배포 및 시행에 추가해야 할 사항에 초점을 맞추고 있습니다 이전에는 모든 OS 업데이트 명령이 Power Nap 모드일 때 보내지면 NotNow로 반환되었습니다 보다 일관되고 강력한 OS 업데이트 배포 프로세스를 위해 이제 디바이스가 ScheduleOSUpdate, OSUpdateStatus, AvailableOSUpdate 명령을 승인하고 응답합니다 디바이스가 절전 모드이거나 Power Nap 모드일 때도요 또한 관리자가 가능한 한 빨리 OS 업데이트를 원하는 경우도 있다는 점을 잘 알고 있기 때문에 '우선순위'라고 하는 새로운 키를 ScheduleOSUpdate 명령을 통해 보내게 되었습니다 높거나 낮은 문자열 값을 수락하면 예약 우선순위를 제어하여 요청한 업데이트를 다운로드하고 준비합니다 높은 우선순위로 명령을 전송하면 사용자가 시스템 설정에서 직접 업데이트를 요청한 것처럼 가장됩니다 이 키는 사소한 OS 업데이트에만 지원된다는 것을 유념하십시오 macOS 12.3에서는 로그 및 보고의 관리 가시성을 OSUpdateStatus 명령을 사용하여 더욱 높였습니다 DeferralsRemaining은 사용자를 대상으로 업데이트 요청 알림이 얼마나 남아 있는지 나타냅니다 MaxDeferrals는 사용자가 OS 업데이트 알림을 연기할 수 있는 총 횟수를 표시합니다 NextScheduledInstall은 OS가 다음에 업데이트를 설치하려고 시도하는 날짜입니다 마지막으로 PastNotifications는 사용자에게 통지가 게시된 정확한 날짜와 시간입니다 OSUpdateStatus 명령에 대한 이러한 모든 업데이트는 관리자가 사용자의 규정 준수를 보다 명확하게 하는 데 유용합니다 macOS Ventura와 iOS 그리고 iPadOS 16은 새로운 메커니즘을 도입하여 사용자에게 중요한 보안 수정 사항을 보다 신속하게 제공합니다 펌웨어를 수정하지 않으며 필요한 경우 사용자는 Rapid Security Response를 제거할 수도 있습니다 이를 위해 두 가지 제한 키를 적용했습니다 allowRapidSecurity ResponseInstallation로 새 보안 응답 메커니즘을 사용하지 않도록 설정하고 allowRapidSecurity ResponseRemoval을 사용하여 최종 사용자의 Rapid Security Response 제거를 차단합니다 이제 몇 가지 등록 변경 사항에 대해 살펴보겠습니다 자동 디바이스 등록은 간소화된 프로세스를 디바이스를 개봉하고 활성화한 후 조직의 MDM 솔루션에 등록하는 데 제공합니다 다음 릴리스에서는 Mac을 지우거나 복원한 후 Setup Assistant를 통해 인터넷에 연결하여야 합니다 이는 Apple School Manager 또는 Apple Business Manager로 여러분의 조직에 디바이스를 등록하기 위함입니다 Mac을 처음으로 설정하고 네트워크에 연결하면 Mac은 조직의 소유로 인식됩니다 예를 들어 나중에 MDM이 모든 콘텐츠 삭제와 설정을 시작하거나 Configurator를 사용하여 디바이스를 복원하는 경우 네트워크를 그러니까 디바이스 등록을 Setup Assistant에서 우회할 수 없습니다 AppleSeed for IT의 릴리스 노트를 주목하여 타이밍을 놓치지 마십시오 프로파일 명령 라인 툴은 수년간 MDM 배포, 마이그레이션, 그리고 관리자의 Toolkit 보고에 필수적인 도구였는데요 이제 macOS Ventura에서도 구동 방식을 업데이트했습니다 프로파일 도구가 macOS에서 속도 제한을 시행하기 시작합니다 이것이 적용되는 곳은 조직 소유의 등록 유형과 표시, 갱신 및 유효성 검사 명령에 한합니다 각 명령은 서버로부터 하루에 최대 10개의 요청을 받으며\ 이 수를 초과하면 캐시된 정보가 반환됩니다 10개의 요청 중 하나를 사용하지 않으려는 경우 show 명령에는 새로운 선택적 플래그가 있어 캐시된 정보를 반환합니다 프로파일 매뉴얼 페이지에서 상세 정보를 확인하실 수 있습니다 Apple은 macOS의 각 릴리스에서 사용자를 위한 보호 기능을 지속적으로 개선하고 있습니다 다음은 향후에 있을 몇 가지 보안 변경 사항입니다 iOS 10.3에서는 인증서 페이로드에 대한 기본 TLS 신뢰 정책을 변경하여 사용자를 위해 전반적인 보호를 강화했습니다 향후 릴리스에서는 이를 macOS로 가져올 예정인데 그 뜻은 수동으로 설치된 인증서 페이로드는 사용자가 Keychain Access를 사용하여 신뢰할 수 있는 권한을 부여하지 않는 한 더 이상 TSL 용도로 신뢰되지 않습니다 참고하실 사항은 MDM 프로파일에 포함된 인증서의 경우 전체 인증서 신뢰를 계속 유지하지만 대화형 인증서 설치와 관련된 경우 모든 워크플로우를 업데이트해야 합니다 다음으로, macOS의 '액세서리 연결 허용'은 근접 액세스 공격으로부터 고객을 보호하는 것을 목표로 합니다 Apple 실리콘이 포함된 휴대용 Mac에서 지원되는 초기 구성은 잠금 해제된 경우에도 새 Thunderbolt 또는 USB 액세서리를 허용하도록 사용자에게 요청합니다 승인된 액세서리는 최대 3일 동안 잠긴 Mac에 연결할 수 있습니다 잠긴 Mac에 알 수 없는 액세서리를 부착하면 Mac의 잠금을 해제하라는 메시지가 표시됩니다 MDM의 관점에서 볼 때 이것은 대량 프로비저닝이나 테스트 테이킹과 같은 기업 및 교육 워크플로우에 영향을 미칠 수 있습니다 이를 해결하고자 iOS 및 macOS용 iPadOS에 동일한 제한을 두었습니다 기존의 allowUSB RestrictedMode에서 유선 액세서리가 언제나 제한 없이 연결되는 것이죠 사용자 동의 요청을 건너 뛸 수 있는 권한을 부여한 것입니다 기억하실 사항은 이는 본질적으로 사용자 시스템의 보안을 약화시키기에 합법적인 비즈니스 니즈가 있는 경우에만 이 제한을 사용하셔야 한다는 것입니다 기타 제한이나 페이로드 수정 즉, 새로운 allowUniversalControl과 UIConfiguration ProfileInstallation은 설명서를 반드시 확인하시기 바랍니다 macOS Ventura에 있을 흥미로운 변화를 들어주셔서 감사합니다 이제 Graham이 iOS에 대한 이야기를 할 차례입니다 고마워요, Nadia! 오늘 여기서 여러분에게 iOS 및 iPadOS 16의 수많은 새 디바이스 관리 기능에 대해 알려드리게 되어 매우 기쁩니다 디바이스의 네트워크 트래픽을 관리하는 것이 데이터 보안을 향상시키는 중요한 방법이라는 것을 잘 알고 있습니다 다음의 세 가지 주요 방법으로 Apple 디바이스에서 트래픽을 관리할 수 있습니다 VPN, DNS Proxy, 그리고 Web Content Filter입니다 수년간 저희는 앱 별로 VPN을 제공해 왔습니다 사실, 사용자가 등록한 디바이스의 경우 MDM에서 사용 가능한 것은 앱별 VPN 유형뿐입니다 iOS 및 iPadOS 16에서는 앱별 오퍼링을 확장하여 DNS Proxy 및 Web Content Filter를 포함하도록 하였습니다 이러한 기능은 모든 등록 유형에서 사용할 수 있지만 특히 사용자 등록에 유용할 것으로 생각 되는데요 조직이 처음으로 이러한 방식을 사용해 BYOD 대상으로 앱 트래픽을 보호할 수 있기 때문입니다 이러한 새 기능 구성은 2단계 프로세스로 앱별 VPN의 방식과 매우 유사하게 느껴지실 것입니다 어떻게 진행되는지 빠르게 살펴보겠습니다 먼저 각 페이로드에 쌍으로 된 새 키 값을 추가해야 합니다 Web Content Filter 페이로드에서는 ContentFilterUUID를 DNS Proxy에는 DNSProxyUUID를 추가합니다 이 키에는 몇 가지 주의해야 할 사항이 있습니다 첫째, 이러한 키 값은 임의의 문자열일 수 있습니다 둘 째, 이 키를 페이로드에 추가하면 MDM을 통해서만 설치할 수 있습니다

nstallApplication 명령 또는 Settings 명령을 사용하여

동일한 UUID를 추가합니다 이 예에서는 두 개의 키를 모두 포함했지만 둘 중 하나만 포함할 수도 있습니다 몇 가지 더 짚고 넘어가야 할 세부 사항이 있습니다 첫째, 앱 개발자들은 새로운 것을 할 필요가 없습니다 기존 DNS 프록시 및 Web Content Filter 앱이 모두 그대로 작동합니다 둘째, 여러 DNS 프록시를 사용할 수 있지만 시스템 전체와 앱별 프록시를 함께 사용할 수는 없습니다 마지막으로 Web Content Filters의 경우 최대 7개의 앱별 필터와 1개의 시스템 필터를 가질 수 있습니다 다음으로 eSIMs관리에 대해 말씀드리겠습니다 eSIM은 전 세계 통신사의 새로운 표준이 되었으며 지난 몇 년 동안 여러 MDM 기능을 추가하여 eSIM을 보다 쉽게 관리할 수 있도록 하였습니다 잠시 MDM 공급업체가 이러한 모든 기능을 통합하여 환경을 개선한 방법을 말씀드리겠습니다 eSIM을 사용하는 조직의 주요 업무 중 일부는 새로운 디바이스를 권한 설정하고 통신사 간에 디바이스를 마이그레이션하며 여러 통신사 또는 여행 및 로밍과 관련된 요구 사항이 있는 사용자를 지원하는 것입니다 이러한 목표를 달성하려면 등록된 디바이스에서 데이터를 쿼리하고 해당 데이터를 통신사에 제공해야 합니다 둘째, 디바이스에 eSIM을 설치할 수 있는 기능이 필요합니다 먼저 디바이스 쿼리 및 통신사 데이터 요구사항에 대해 설명하겠습니다 디바이스 정보 쿼리는 디바이스에서 정보를 수집하는 가장 쉬운 방법입니다 그리고 iOS 12에서 서비스 가입 키는 원스톱 샵과 같이 iPhone과 iPad에서 셀룰러와 관련된 모든 정보를 수집할 수 있습니다 이러한 응답을 볼 때 유용한 몇 가지 점을 찾을 수 있는데요 서비스 구독에서 두 개의 항목을 반환하는 디바이스는 두 개의 활성 셀룰러 플랜을 지원합니다 응답에 EID가 포함되어 있으면 eSIM입니다 iPhone 13 및 iPhone SE(3세대)와 같은 최신 디바이스는 이중 활성 캐리어 eSIM 프로파일을 지원하므로 서비스 가입 응답에서 eSIM을 한 개 이상 반환할 수 있습니다 EID는 디바이스마다 고유하다는 것을 유의하십시오 iOS 및 iPadOS 16부터는 서비스 가입 응답에도 표시되는 데이터를 반환하는 기타 디바이스 정보는 이제 사용되지 않으며 이후 버전의 운영 체제에서도 더 이상 반환되지 않을 것입니다 이제 디바이스에서 데이터를 가져오는 방법을 알았으니 통신사에 무엇을 제공해야 하는지 살펴보겠습니다 일반적으로 네 가지의 데이터가 디바이스용 eSIM을 설정하는 데 필요합니다 바로 IMEI, EID, 일련 번호, 그리고 전화 번호입니다 관리자에게 이러한 모든 데이터가 포함된 보고서를 생성할 수 있는 능력을 제공하면 eSIM을 사용하여 쉽게 시작하고 실행할 수 있습니다 이제 이 모든 것을 종합하여 eSIM이 어떻게 권한 설정되는지 살펴보겠습니다 첫째, MDM 서버는 서비스 가입 쿼리를 사용하여 디바이스에서 필요한 데이터를 수집합니다 그런 다음 관리자가 해당 데이터를 통신사에 전송합니다 마지막으로, 통신사는 eSIM 서버에서 디바이스를 위한 eSIM을 권한 설정할 것입니다 이제 디바이스로 초점을 전환하여 디바이스에 eSIM을 설치하는 데 집중할 수 있습니다 통신사는 디바이스가 RefreshCellularPlans 명령을 사용하여 eSIM을 가져올 수 있는 서버 URL을 고객에게 제공합니다 MDM 서버는 RefreshCellularPlans 명령을 디바이스로 전송하고 이것으로 통신사의 eSIM 서버 요청을 개시하고 eSIM을 사용할 수 있는지 확인합니다 사용 가능하면 사용자 개입 없이 자동으로 다운로드하여 설치합니다 그런 다음 MDM 서버는 서비스 가입 쿼리를 사용하여 쿼리가 비어 있지 않은 전화 번호를 반환할 때 eSIM이 성공적으로 설치되었는지 확인할 수 있습니다 이제 여러분이 명심해야 할 몇 가지 핵심 사항에 대해 이야기해 보겠습니다 eSIM 설치는 일회성 작업이며 향후 동일한 디바이스에 eSIM을 설치하기 위해서는 통신사가 새 eSIM을 권한 설정해야 합니다 사용자가 실수로 eSIM을 제거하지 않도록 하려면

제한이 설치될 때 eSIM을 설치할 수 있습니다 마지막으로 MDM은 디바이스를 지울 때 eSIM을 제거할 수도 있습니다 이 문제를 방지하려면 EraseDevice 명령을 전송할 때 PreserveDataPlan 키를 True로 설정해야 합니다 이 정보가 eSIM을 관리하고 배포하는 방법에 대한 보다 완벽한 그림을 제공할 수 있기를 바랍니다 이제 Shared iPad의 몇 가지 업데이트 사항을 알아보겠습니다 Shared iPad는 교육 및 비즈니스 고객이 일대다수 환경에서 iPad를 사용하면서도 사용자에게 개인적인 환경을 제공할 수 있습니다 올해는 몇 가지 변화가 있었습니다 이 변화로 Shared iPad가 더 좋아졌습니다 ManagedAppleIDDefaultDomains을 먼저 SharedDeviceConfiguration Settings 명령에 도입했습니다 이 명령으로 사용자가 QuickType 키보드를 이용하여 Managed Apple ID를 입력하는 시간을 단축했습니다 사용자가 관리 Apple ID를 입력하기 시작하면 사용자가 누를 도메인명에 대한 입력 제안이 자동으로 나타납니다 Settings 명령은 어떤 크기의 목록도 수락할 것이나 단지 세 가지만 사용자에게 보이게 되어있습니다 다음으로 생긴 변화는 원격 인증 요구사항입니다 현재, Shared iPad에서는 약 7일 주기로 원격 인증을 요청합니다 iPadOS16상에서 Shared iPad는 기존 사용자 대상으로 오직 로컬 인증만을 사용할 것입니다 만약 관리자가 원격 인증을 시행하고 싶다면 다음을 설정합니다 OnlineAuthenticationGracePeriod 키를 SharedDeviceConfiguration Settings 명령에 말입니다 이 키는 정수 값으로 원격 인증의 간격의 일 수를 나타냅니다 0의 값에서는 모든 로그인이 원격으로 인증을 받습니다 ManagedAppleIDDefaultDomains과 OnlineAuthentication GracePeriod 값은 DeviceInformation 쿼리를 통해 검색 가능합니다 마지막으로 제가 조금 명확하게 Shared iPad의 쿼터에 대해 알려드리겠습니다 SharedDeviceConfiguration 명령은 Shared iPad에서 가장 효과적으로 쿼터를 관리하는 방법입니다 두 가지 키를 사용하여 쿼터를 설정할 수 있는데 QuotaSize와 ResidentUsers입니다 여러분이 어떤 키로 설정하는지와 무관하게 결국 운영 체제는 저장 데이터를 계산하고 있습니다 예시를 함께 보시죠 이 iPad에는 35GB의 데이터 저장 공간이 있습니다 SharedDevice ConfigurationSettings 명령으로 디바이스의 ResidentUsers를 세 명으로 설정한다면 각 사용자의 쿼터가 각각 11.67GB까지 설정될 것입니다 또는, 디바이스에게 각 사용자의 쿼터를 10GB로 설정해 달라고 요청한다면 각 사용자 당 10GB의 쿼터로 설정이 됩니다 만약 세 명의 디바이스 사용자가 있는 상황에서 네 번째 사용자가 로그인을 시도한다면 앞의 세 명 중 한 명의 데이터가 디바이스에서 삭제되는데 이는 새로운 사용자에게 용량을 제공하기 위함입니다 이 쿼터 사이즈의 예시에서는 설령 용량이 5GB 남아있다고 해도 이는 네 번째 사용자의 사용 요건을 충족하지 못하므로 여전히 한명의 사용자가 삭제되어야 합니다 시나리오 한 개를 더 살펴본텐데요 사용자의 수가 어떻게 디바이스에 따라 변경되면서도 쿼터를 변경하지 않을 수 있는지 보겠습니다 시작은 이렇습니다 35GB의 여유 공간이 있습니다 약 25GB의 용량은 iPad에서 앱과 책으로 저장되어 있습니다 조금 더 살펴보니 이 디바이스에서 더이상 사용하지 않는 일부 앱들이 있음을 발견했습니다 그에 따라 앱 라이브러리를 정리하고 나니 제 디바이스에 10GB의 여유 공간이 생겼습니다 즉, 네 번재 사용자가 로그인을 하더라도 더이상 다른 사용자가 삭제되지 않아도 되는 것입니다! 또한 iOS 13.4에서 기억할 점은 기기에 캐시된 사용자만 없다면 쿼터 사이즈는 언제든지 변경 가능하다는 것입니다 이러한 점들을 기억해둔다면 여러분은 최상의 Shared iPad 디플로이먼트 경험을 누릴 수 있습니다 iOS와 iPadOS의 업데이트를 일부 MDM 프로토콜과 여러분이 알아두셔야 할 변경 사항을 보며 마무리하겠습니다 Apple 디바이스에는 기본적으로 접근성 기능이 탑재되어 있으며 이 기능으로 사용자들이 기기에서 제공되는 모든 것을 경험할 수 있게 합니다 기존에는 각 사용자가 스스로 접근성 설정을 허용해야 했습니다 그러나 iOS와 iPadOS16에서는 MDM 기능이 탑재되어 자주 찾는 접근성 설정을 손쉽게 관리할 수 있습니다 이러한 기능들에는 글자 크기, 보이스오버, 줌, 터치 조절, 볼드체, 움직임 축소, 명암대비 증가 그리고 투명도 감소가 있습니다 이러한 옵션들이 모두 가능하다면 관리자는 디바이스를 학교 식당, 병원 등에서 더 많이 사용할 수 있을 것입니다 설정이 한 번 되었다고 해서 고정이 되는 것이 아니라 사용자가 자유롭게 변경할 수 있다는 사실을 기억하세요 사용자 고유의 취향에 맞게 말입니다 MDM 서버는 이러한 설정 쿼리를 DeviceInformation query를 통해 할 수 있습니다 다음으로 iOS와 iPadOS 16을 보면 이제 앱 설치를 AwaitDeviceConfigured 상태나 Automated Device Enrollment 상태에서 가능합니다 몇 가지 기억해두실 점이 있습니다 이 단계에서는 높은 확률로 App Store에 가입이 되지 않았을 것이므로 디바이스 기반 앱 라이선싱을 사용을 추천드립니다 Setup에서 감독되지 않은 디바이스는 홈 스크린에 도달할 때까지 계속 NotNow라고 응답할 것입니다 이제 이 기능을 사용하여 Setup Assistant를 나가기 전에 시작하는 데 필요한 모든 것을 디바이스에 포함시킬 수 있습니다 디바이스의 보안이 지속적으로 개선됨에 따라 어떤 특정한 데이터 유형은 첫 번째 잠금 해제 전에 접근할 수 없게 됩니다 이 때문에 CertificateList 쿼리가 첫 잠금해제 전에 NotNow로 돌아갈 겁니다 사용자가 기기를 잠금해제하면 쿼리가 정상적으로 응답하죠 기기가 재시작할 때까지요 MDM 개발자분들은 여러분들의 서버가 이 쿼리에 대해 NotNow 응답에 대응하는지 확인하세요 마지막으로 기대 되는 Apple TV 업데이트 소식입니다 tvOS 16부터 Apple TV를 삭제하면 Settings 혹은 MDM을 통해서 말이죠 리모콘은 페어링 상태를 유지하게 됩니다 Auto Advance와 결합돼 여러분의 Apple TV가 늘 리프레쉬되어 언제든 준비된 상태가 될 겁니다 오늘 저희가 설명 드린 내용과 더불어 더 많은 변경 사항들이 있으니 확인해 보세요 developer.apple.com 여기 저희 문서가 있습니다 문서하니 말이죠 이전 WWDC에서는 MDM 문서를 직접 새 집으로 가져왔습니다 이렇게 함으로써 보다 정확하고 가장 최근 문서를 불러올 수 있었습니다 또한 변경된 내용을 하이라이트 할 수도 있었죠 특정 OS에서는요 이런 문서화 작업에 대한 호응은 뜨거웠습니다 그리고 오늘 여러분께 기쁜 소식이 있습니다 이 문서화 작업을 지원할 소스 코드를 MIT Open Source License 하에 대중에 배포할 겁니다 새로운 기기 매니지먼트 프로젝트로요 Apple의 GitHub를 통해 공개할 겁니다 여러분이 도착하면 보게 되실 화면입니다 두 폴더가 있을텐데요 하나는 모든 MDM 문서가 들어있고 다른 하나는 새로운 선언적 기기 관리 문서가 들어있습니다 README 파일과 저희의 라이센스 정보도요 MDM 폴더에는 여러 폴더가 들어있죠 체크인, 커맨드, 프로필 폴더가요 선언적 관리 폴더에는 선언, 프로토콜, 상태 폴더가 있습니다 이 폴더들을 열면 각 커맨드에 부여된 YAML 파일이 보입니다 프로필, 혹은 선언에 부여된 것도 있죠 몇 가지 아이템을 중점적으로 보겠습니다 이 파일들에 여러분들이 친숙해지게요 첫번째는 페이로드 키입니다 MDM 커맨드에 대한 요청 타입을 보여주죠 이 예시를 보면 ProfileList는 모든 프로필 목록을 돌려놓죠 기기에 설치된 목록들을요 다음으로 supportedOS 키는 플랫폼 별 정보를 제공합니다 운영 체제와 버전 지원 등 감독이 필요하거나 사용자 등록과 상응하는지도요 iOS 4에서 소개된 ProfileList 키가 보이죠 이 페이로드 키들은 정보를 제공합니다 쿼리가 제공하는 추가 기능 정보죠 각각의 하위 키는 추가적인 supportedOS 키를 포함합니다 위의 페이로드에서 얻은 값을 무시하죠 ProfileList 쿼리는 iOS 4에서 소개됐지만 ManagedOnly는 iOS 13까지 없었습니다 나머지 supportedOS 정보는 동일합니다 감독이 필요 없다는 거죠 사용자 등록을 위한 쿼리 작업도 필요 없습니다 ProfileList 쿼리는 MDM 서버로 응답을 회신합니다 응답 키들은 이 정보를 세세히 담고 있죠 저희 예시를 보면 딕셔너리의 목록에 설치된 프로필들의 설명이 담겨 있습니다 사전 안에는 키 값 페어가 보일텐데 PayloadUUID 등이 포함되어 있죠 PayloadIdentifier도요 이건 짧은 예시일 뿐 종합적인 세부사항도 있죠 스키마와 리포지토리의 구조에 대한 내용입니다 README에서 보실 수 있어요 세부적인 걸 살펴보죠 데이터가 게재된 것이 보일 겁니다 iOS 15와 macOS Monterey 공개 초기 상태로 말이죠 그 상태에서 저희는 매 공개마다 새 가지를 치고 필요한만큼 씨를 뿌립니다 다시 말해 iOS 16과 macOS Ventura의 문서화를 지금 바로 확인해 보실 수 있다는 겁니다 저희는 엄청난 사용 사례들이 많을 것으로 예측합니다 이 새 데이터와 관련해서요 그리고 너무 기대됩니다 여러분들이 어떤 새 도구와 통합을 만들어낼지! 이 데이터로 작업하면서 Feedback Assistant를 통해 그 과정을 공유해 주세요 오늘 많은 주제를 다뤘으니 다시 한 번 복습해보죠 iPhone의 Apple Configurator는 여러분들의 조직에 iPhone과 iPad를 더해 기기 관리 및 배치를 더욱 손쉽게 해줍니다 정보 측면에서는 통합 Google Workspace와 Enrollment SSO, Platform SSO로 통일된 인증 방식을 경험할 수 있습니다 거기부터 Nadia가 macOS Ventura가 더 많은 정보를 제공해 여러분을 돕는다고 했죠 소프트웨어 업데이트를 쉽게 관리하도록 말이죠 Automated Device Enrollment는 더욱 개선됩니다 Setup Assistant 도중 네트워크 연결 요구를 통해서요 Mac 기기를 지우거나 복구한 이후예요 그리고 마지막으로 중요한 보안 변경 사항을 다뤘죠 여러분이 배포할 때 영향을 받는 부분입니다 iOS와 iPadOS 16에서 이제 DNS Proxy와 Web Content Filter를 관리하세요 앱 단위로 말이죠 eSIM을 iPhone과 iPad에서 관리하는 도구들도 알아봤습니다 Shared iPad의 개선점도 살펴봤습니다 마지막으로 MDM 프로토콜의 변화도 알아봤습니다 Setup Assistant 도중 앱 설치가 가능해진 점이죠 마치면서 애플의 새로운 기계 판독 문서화 기능이 새롭고 흥미로운 도구와 통합을 만드는데 도움이 되길 바랍니다 함께해 주셔서 감사합니다 WWDC도 마음껏 즐기시길 바랍니다! ♪