Μέθοδοι εγγραφής βάσει λογαριασμού με συσκευές Apple

Η Εγγραφή χρήστη βάσει λογαριασμού και η Εγγραφή συσκευής βάσει λογαριασμού παρέχουν έναν απρόσκοπτο και ασφαλή τρόπο για τους χρήστες και τους οργανισμούς να διαμορφώνουν συσκευές Apple για εργασία, πραγματοποιώντας σύνδεση με έναν διαχειριζόμενο λογαριασμό Apple.

Αυτή η προσέγγιση επιτρέπει τόσο σε έναν διαχειριζόμενο λογαριασμό Apple όσο και σε έναν προσωπικό λογαριασμό Apple να είναι συνδεδεμένοι στην ίδια συσκευή, με πλήρη διαχωρισμό των δεδομένων εργασίας από τα προσωπικά δεδομένα. Οι χρήστες διατηρούν το απόρρητο των προσωπικών πληροφοριών τους και το τμήμα πληροφορικής υποστηρίζει εφαρμογές, ρυθμίσεις και λογαριασμούς που σχετίζονται με την εργασία.

Για την υποστήριξη αυτού του διαχωρισμού, έχουν γίνει οι ακόλουθες αλλαγές στον τρόπο χειρισμού εφαρμογών και εφεδρικών αντιγράφων:

Όλες οι ρυθμίσεις παραμέτρων και οι ρυθμίσεις αφαιρούνται όταν αφαιρεθεί το προφίλ εγγραφής.
Οι διαχειριζόμενες εφαρμογές αφαιρούνται πάντα κατά την κατάργηση της εγγραφής.
Οι εφαρμογές που είχαν εγκατασταθεί πριν από την εγγραφή σε μια λύση διαχείρισης φορητών συσκευών (MDM) δεν είναι δυνατό να μετατραπούν σε διαχειριζόμενες εφαρμογές.
Η επαναφορά από εφεδρικό αντίγραφο δεν αποκαθιστά την εγγραφή MDM.
Οι χρήστες που συνδέονται με τον προσωπικό τους λογαριασμό Apple δεν είναι δυνατό να δεχτούν μια πρόσκληση για διανομή διαχειριζόμενης εφαρμογής.

Αν και οι διαχειριζόμενοι λογαριασμοί Apple μπορούν να δημιουργηθούν χειροκίνητα, οι οργανισμοί μπορούν να επωφεληθούν από την ενσωμάτωση με έναν πάροχο ταυτότητας (IdP), το Google Workspace ή το Microsoft Entra ID.

Για περισσότερες πληροφορίες σχετικά με τον ομόσπονδο έλεγχο ταυτότητας, ανατρέξτε στις ενότητες Εισαγωγή στον ομόσπονδο έλεγχο ταυτότητας με το Apple School Manager ή Εισαγωγή στον ομόσπονδο έλεγχο ταυτότητας με το Apple Business Manager.

Διαδικασία εγγραφής βάσει λογαριασμού

Για εγγραφή μιας συσκευής μέσω της Εγγραφής χρήστη βάσει λογαριασμού ή της Εγγραφής συσκευής βάσει λογαριασμού, ο χρήστης μπορεί να μεταβεί στις «Ρυθμίσεις» > «Γενικά» > «VPN και διαχείριση συσκευών» ή στις «Ρυθμίσεις συστήματος» > «Γενικά» > «Διαχείριση συσκευών» και να επιλέξει το κουμπί «Σύνδεση σε λογαριασμό εργασίας ή σχολείου».

Έπειτα ξεκινά μια διαδικασία τεσσάρων σταδίων για εγγραφή σε μια λύση MDM:

Ανακάλυψη υπηρεσίας: Η συσκευή προσδιορίζει τη διεύθυνση URL εγγραφής της λύσης MDM.
Έλεγχος ταυτότητας και διακριτικό πρόσβασης: Ο χρήστης παρέχει διαπιστευτήρια για την εξουσιοδότηση της εγγραφής και την έκδοση ενός διακριτικού πρόσβασης για συνεχιζόμενο έλεγχο ταυτότητας.
Εγγραφή MDM: Το προφίλ εγγραφής αποστέλλεται στη συσκευή και ο χρήστης πρέπει να συνδεθεί με τον διαχειριζόμενο λογαριασμό Apple του για να ολοκληρώσει την εγγραφή.
Συνεχιζόμενος έλεγχος ταυτότητας: Η λύση MDM επαληθεύει τον συνδεδεμένο χρήστη σε συνεχή βάση χρησιμοποιώντας το διακριτικό πρόσβασης.

Στάδιο 1: Ανακάλυψη υπηρεσίας

Στο πρώτο βήμα, η ανακάλυψη υπηρεσίας προσπαθεί να προσδιορίσει τη διεύθυνση URL εγγραφής της λύσης MDM. Για τον σκοπό αυτόν, χρησιμοποιεί το αναγνωριστικό που εισήγαγε ο χρήστης, για παράδειγμα [email protected]. Ο τομέας πρέπει να είναι ένα πλήρως προσδιορισμένο όνομα τομέα (FQDN) που διαφημίζει την υπηρεσία MDM για τον οργανισμό του χρήστη.

Μια οθόνη iPhone όπου εμφανίζεται η διεπαφή Εγγραφής χρήστη.

Στη συνέχεια πραγματοποιούνται τα εξής:

Βήμα 1

Η συσκευή αναγνωρίζει τον τομέα στο παρεχόμενο αναγνωριστικό (στο παραπάνω παράδειγμα, αυτό είναι το betterbag.com).

Βήμα 2

Η συσκευή ζητάει τον γνωστό πόρο από τον τομέα του οργανισμού – για παράδειγμα, https://<domain>/.well-known/com.apple.remotemanagement.

Ο πελάτης περιλαμβάνει δύο παραμέτρους ερωτήματος στη διαδρομή URL του αιτήματος HTTP GET:

user-identifier: Η τιμή του αναγνωριστικού λογαριασμού που εισαγάγατε (στο παραπάνω παράδειγμα, [email protected]).
model-family: Η οικογένεια μοντέλων της συσκευής (για παράδειγμα, iPhone, iPad, Mac).

Σημείωση: Η συσκευή ακολουθεί αιτήματα ανακατεύθυνσης HTTP 3xx, και αυτό επιτρέπει τη φιλοξενία του πραγματικού αρχείου com.apple.remotemanagement σε έναν άλλο διακομιστή ο οποίος μπορεί να προσπελαστεί από τη συσκευή.

Για συσκευές με iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, ή μεταγενέστερες εκδόσεις, η διαδικασία ανακάλυψης υπηρεσίας επιτρέπει σε μια συσκευή να προσκομίσει τον γνωστό πόρο από μια εναλλακτική τοποθεσία που καθορίζεται από τη λύση MDM η οποία είναι συνδεδεμένη με το Apple School Manager ή το Apple Business Manager. Η πρώτη προτίμηση για την ανακάλυψη υπηρεσίας εξακολουθεί να είναι ο γνωστός πόρος στον τομέα του οργανισμού. Σε περίπτωση αποτυχίας του αιτήματος, η συσκευή συνεχίζει τον έλεγχο με το Apple School Manager ή το Apple Business Manager για μια εναλλακτική τοποθεσία του γνωστού πόρου. Αυτή η διαδικασία απαιτεί την επαλήθευση του τομέα που χρησιμοποιείται στο αναγνωριστικό στο Apple School Manager ή στο Apple Business Manager. Για περισσότερες πληροφορίες, ανατρέξτε στις ενότητες Προσθήκη και επαλήθευση τομέα στο Apple School Manager ή Προσθήκη και επαλήθευση τομέα στο Apple Business Manager.

Η ροή εργασιών ανακάλυψης υπηρεσίας που εμφανίζει την εναλλακτική μέθοδο ανακάλυψης υπηρεσίας.

Για χρήση αυτής της δυνατότητας, πρέπει να διαμορφωθεί το εναλλακτικό URL ανακάλυψης υπηρεσίας από τη λύση MDM που είναι συνδεδεμένη με το Apple Business Manager και το Apple School Manager. Όταν η συσκευή επικοινωνήσει με το Apple School Manager ή το Apple Business Manager, ο τύπος συσκευής χρησιμοποιείται για τον προσδιορισμό της εκχωρημένης λύσης MDM για τον συγκεκριμένο τύπο – η ίδια διαδικασία που χρησιμοποιείται για τον προσδιορισμό της προεπιλεγμένης λύσης MDM για την Αυτοματοποιημένη εγγραφή συσκευής. Αν η εκχωρημένη λύση MDM έχει διαμορφώσει μια διεύθυνση URL ανακάλυψης υπηρεσίας, η συσκευή στη συνέχεια ζητά τον γνωστό πόρο από τη συγκεκριμένη τοποθεσία. Για να ορίσετε την προεπιλεγμένη εκχώρηση συσκευής, δείτε την ενότητα Ορισμός προεπιλεγμένης εκχώρησης συσκευής στο Apple School Manager ή Ορισμός προεπιλεγμένης εκχώρησης συσκευής στο Apple Business Manager.

Ο γνωστός πόρος μπορεί επίσης να φιλοξενείται από τη λύση MDM.

Βήμα 3

Ο διακομιστής που φιλοξενεί τον γνωστό πόρο αποκρίνεται με ένα έγγραφο JSON ανακάλυψης υπηρεσίας, το οποίο συμμορφώνεται με το ακόλουθο σχήμα:

{    "Servers": [    {        "Version": "<Version>",        "BaseURL": "<BaseURL>"    }    ]}

Τα κλειδιά εγγραφής MDM, οι τύποι και οι περιγραφές παρουσιάζονται στον ακόλουθο πίνακα. Απαιτούνται όλα τα κλειδιά.

Κλειδί	Τύπος	Περιγραφή
Servers	Πίνακας	Μια λίστα με μία καταχώριση.
Version	Συμβολοσειρά	Αυτό το κλειδί προσδιορίζει τη μέθοδο εγγραφής που θα χρησιμοποιηθεί και η τιμή του πρέπει να είναι είτε `mdm-byod` για Εγγραφή χρήστη είτε `mdm-adde` για Εγγραφή συσκευής βάσει λογαριασμού.
BaseURL	Συμβολοσειρά	Η διεύθυνση URL εγγραφής της λύσης MDM.

Σημαντικό: Ο διακομιστής πρέπει να διασφαλίσει ότι το πεδίο κεφαλίδας Content-Type στην απόκριση HTTP έχει οριστεί σε application/json.

Βήμα 4

Η συσκευή στέλνει ένα αίτημα HTTP POST στη διεύθυνση URL εγγραφής που καθορίζεται από το κλειδί BaseURL.

Στάδιο 2: Έλεγχος ταυτότητας και διακριτικό πρόσβασης

Για εξουσιοδότηση της εγγραφής, ο χρήστης πρέπει να πραγματοποιήσει έλεγχο ταυτότητας με τη λύση MDM. Μετά τον επιτυχή έλεγχο ταυτότητας, η λύση MDM εκδίδει ένα διακριτικό πρόσβασης στη συσκευή. Η συσκευή αποθηκεύει με ασφάλεια το διακριτικό για χρήση κατά την εξουσιοδότηση επακόλουθων αιτημάτων.

Το διακριτικό πρόσβασης:

Παίζει κεντρικό ρόλο τόσο στη διαδικασία αρχικού ελέγχου ταυτότητας όσο και στη συνεχιζόμενη πρόσβαση σε πόρους MDM
Λειτουργεί ως ασφαλής γέφυρα μεταξύ του διαχειριζόμενου λογαριασμού Apple του χρήστη και της λύσης MDM
Χρησιμοποιείται για να επιτρέπεται η συνεχιζόμενη πρόσβαση σε πόρους εργασίας για όλες τις εγγραφές βάσει λογαριασμού

Σε iPhone, iPad και Apple Vision Pro, η διαδικασία αρχικού και συνεχιζόμενου ελέγχου ταυτότητας μπορεί να βελτιστοποιηθεί με τη χρήση SSO εγγραφής (Ενιαία σύνδεση εγγραφής) για μείωση των επαναλαμβανόμενων προτροπών ελέγχου ταυτότητας. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ενιαία σύνδεση εγγραφής για iPhone, iPad και Apple Vision Pro.

Στάδιο 3: Εγγραφή MDM

Χρησιμοποιώντας το διακριτικό πρόσβασης, η συσκευή μπορεί να πραγματοποιήσει έλεγχο ταυτότητας με τη λύση MDM και να προσπελάσει το προφίλ εγγραφής MDM. Αυτό το προφίλ περιέχει όλες τις πληροφορίες που χρειάζεται η συσκευή για να πραγματοποιήσει την εγγραφή. Για ολοκλήρωση της εγγραφής, ο χρήστης πρέπει να συνδεθεί επιτυχώς με τον διαχειριζόμενο λογαριασμό Apple του. Μετά την ολοκλήρωση της εγγραφής, ο διαχειριζόμενος λογαριασμός Apple εμφανίζεται σε εμφανή θέση στις Ρυθμίσεις και στις Ρυθμίσεις συστήματος.

Για περισσότερες πληροφορίες σχετικά με τις υπηρεσίες iCloud που είναι διαθέσιμες στους χρήστες, ανατρέξτε στην ενότητα Πρόσβαση στις υπηρεσίες iCloud.

Στάδιο 4: Συνεχιζόμενος έλεγχος ταυτότητας

Μετά την εγγραφή, το διακριτικό πρόσβασης παραμένει ενεργό και περιλαμβάνεται σε όλα τα αιτήματα προς τη λύση MDM με χρήση της κεφαλίδας HTTP Authorization. Αυτό επιτρέπει στη λύση MDM να επαληθεύει συνεχώς τον χρήστη και διασφαλίζει ότι μόνο οι εξουσιοδοτημένοι χρήστες διατηρούν το δικαίωμα πρόσβασης σε πόρους του οργανισμού.

Τα διακριτικά πρόσβασης συνήθως λήγουν μετά από μια καθορισμένη περίοδο. Όταν συμβεί αυτό, η συσκευή μπορεί να ζητήσει από τον χρήστη να επαναλάβει τον έλεγχο ταυτότητας για να ανανεώσει το διακριτικό πρόσβασης. Η περιοδική επανάληψη επικύρωσης συμβάλλει στην αύξηση της ασφάλειας, η οποία είναι σημαντική τόσο για προσωπικές συσκευές όσο και για συσκευές που ανήκουν στον οργανισμό. Με το SSO εγγραφής, η ανανέωση του διακριτικού πραγματοποιείται αυτόματα μέσω του παρόχου ταυτότητας του οργανισμού, διασφαλίζοντας αδιάλειπτη πρόσβαση χωρίς να απαιτείται εκ νέου έλεγχος ταυτότητας.

Τρόπος διαχωρισμού των δεδομένων χρήστη από τα δεδομένα οργανισμού με μεθόδους εγγραφής βάσει λογαριασμού

Όταν ολοκληρωθεί η Εγγραφή χρήστη βάσει λογαριασμού ή η Εγγραφή συσκευής βάσει λογαριασμού, δημιουργούνται αυτόματα ξεχωριστά κλειδιά κρυπτογράφησης στη συσκευή. Αν καταργηθεί η συσκευή της εγγραφής από τον χρήστη ή εξ αποστάσεως μέσω MDM, αυτά τα κλειδιά κρυπτογράφησης καταστρέφονται με ασφάλεια. Τα κλειδιά χρησιμοποιούνται για τον κρυπτογραφικό διαχωρισμό των διαχειριζόμενων δεδομένων που παρατίθενται σε αυτόν τον πίνακα.

Περιεχόμενο	Ελάχιστες υποστηριζόμενες εκδόσεις λειτουργικών συστημάτων	Περιγραφή
Περιέκτες δεδομένων διαχειριζόμενων εφαρμογών	iOS 15 iPadOS 15 macOS 14 visionOS 1.1	Οι διαχειριζόμενες εφαρμογές χρησιμοποιούν τον διαχειριζόμενο λογαριασμό Apple που σχετίζεται με την εγγραφή MDM για συγχρονισμό δεδομένων iCloud. Αυτό περιλαμβάνει διαχειριζόμενες εφαρμογές (που έχουν εγκατασταθεί με την τιμή true για το κλειδί `InstallAsManaged` στην εντολή `InstallApplication`) σε ένα Mac που χρησιμοποιεί το CloudKit.
Εφαρμογή «Ημερολόγιο»	iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1	Τα γεγονότα είναι ξεχωριστά.
Στοιχεία κλειδοθήκης	iOS 15 iPadOS 15 macOS 14 visionOS 1.1	Η εφαρμογή Mac τρίτου πρέπει να χρησιμοποιεί το API κλειδοθήκης προστασίας δεδομένων. Για περισσότερες πληροφορίες, δείτε την καθολική μεταβλητή kSecUseDataProtectionKeychain στον ιστότοπο Apple Developer.
Εφαρμογή «Mail»	iOS 15 iPadOS 15 macOS 14 visionOS 1.1	Τα συνημμένα και το κύριο τμήμα του μηνύματος email διαχωρίζονται.
Εφαρμογή «Σημειώσεις»	iOS 15 iPadOS 15 macOS 14 visionOS 1.1	Οι σημειώσεις διαχωρίζονται.
Εφαρμογή «Υπομνήσεις»	iOS 17 iPadOS 17 macOS 14 visionOS 1.1	Οι υπομνήσεις διαχωρίζονται.

Σε iPhone, iPad και Apple Vision Pro, οι διαχειριζόμενες εφαρμογές και τα διαχειριζόμενα έγγραφα Ιστού έχουν πρόσβαση στο iCloud Drive του οργανισμού (το οποίο εμφανίζεται ξεχωριστά στην εφαρμογή «Αρχεία» αφότου ο χρήστης συνδεθεί με τον διαχειριζόμενο λογαριασμό Apple του). Ο διαχειριστής MDM μπορεί να σας βοηθήσει να διατηρείτε ξεχωριστά συγκεκριμένα προσωπικά έγγραφα και έγγραφα του οργανισμού χρησιμοποιώντας συγκεκριμένους περιορισμούς. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Περιορισμοί και δυνατότητες διαχειριζόμενων εφαρμογών.

Αν ένας χρήστης έχει συνδεθεί με προσωπικό λογαριασμό Apple και Διαχειριζόμενο λογαριασμό Apple, η Σύνδεση μέσω Apple χρησιμοποιεί αυτόματα τον Διαχειριζόμενο λογαριασμό Apple για τις διαχειριζόμενες εφαρμογές, και τον προσωπικό λογαριασμό Apple για τις μη διαχειριζόμενες εφαρμογές. Όταν χρησιμοποιείτε μια ροή σύνδεσης στο Safari ή στο SafariWebView μέσα σε μια διαχειριζόμενη εφαρμογή, ο χρήστης μπορεί να επιλέξει και να εισαγάγει τον Διαχειριζόμενο λογαριασμό Apple του για να συσχετίσει τη σύνδεση με τον λογαριασμό της εργασίας ή του σχολείου του.

Μια οθόνη iPhone όπου φαίνονται δύο iCloud Drive, ένα με χρήση προσωπικού λογαριασμού Apple και ένα με χρήση διαχειριζόμενου λογαριασμού Apple.

Δείτε επίσηςΠληροφορίες MDM εγγραφής χρήστη Λίστα φορτίων MDM εγγραφής συσκευής Λίστα φορτίων MDM αυτοματοποιημένης εγγραφής συσκευής Βίντεο WWDC21: Παρουσίαση της Εγγραφής χρήστη βάσει λογαριασμού

Χρήσιμο;

Ανάπτυξη πλατφόρμας Apple