Tiliin perustuvat rekisteröintitavat Apple-laitteissa
Tiliin perustuva käyttäjärekisteröinti ja tiliin perustuva laiterekisteröinti tarjoavat käyttäjille ja organisaatioille saumattoman, turvallisen tavan ottaa käyttöön Apple-laitteita töitä varten kirjautumalla sisään hallitulla Apple-tilillä.
Näin samalle laitteelle voi kirjautua sekä hallitulla Apple-tilillä että henkilökohtaisella Apple-tilillä, ja työ- ja henkilökohtaiset tiedot on erotettu kokonaan toisistaan. Käyttäjien henkilökohtaiset tiedot pysyvät yksityisinä ja IT-ylläpitäjä tukee työhön liittyviä appeja, asetuksia ja tilejä.
Erottelun vuoksi appien ja varmuuskopioiden käsittelyyn on tehty seuraavat muutokset:
Kaikki määritykset ja asetukset poistetaan, kun rekisteröintiprofiili poistetaan.
Hallitut apit poistetaan aina rekisteröinnin poistamisen yhteydessä.
Appeja, jotka on asennettu ennen mobiililaitteiden hallintaratkaisuun (MDM) rekisteröintiä, ei voi muuttaa hallituiksi apeiksi.
Palautus varmuuskopiosta ei palauta MDM-rekisteröintiä.
Käyttäjät, jotka kirjautuvat sisään henkilökohtaisella Apple-tilillään, eivät voi hyväksyä kutsua hallittujen appien jakeluun.
Vaikka hallittuja Apple-tilejä voidaan luoda manuaalisesti, organisaatiot voivat hyödyntää identiteetin tarjoajan, Google Workspacen tai Microsoft Entra ID:n integrointia.
Jos haluat lisätietoja federoidusta todentamisesta, katso Johdatus federoituun todennukseen Apple School Managerilla tai Johdatus federoituun todennukseen Apple Business Managerilla.
Tiliin perustuva rekisteröintiprosessi
Käyttäjä voi rekisteröidä laitteen käyttäen tiliin perustuvaa käyttäjärekisteröintiä tai tiliin perustuvaa laiterekisteröintiä siirtymällä osioon Asetukset >Yleiset > VPN ja laitehallinta tai Järjestelmäasetukset > Yleiset > Laitehallinta ja valitsemalla Kirjaudu työpaikan tai koulun tilille ‑painikkeen.
Tämä käynnistää neljävaiheisen MDM-rekisteröintiprosessin:
Palvelun löytäminen: Laite määrittää MDM-ratkaisun rekisteröintiosoitteen.
Todennus ja käyttötunnus: Käyttäjä antaa tunnistetietonsa rekisteröitymisen valtuuttamista varten ja saadakseen käyttötunnuksen jatkuvaa todentautumista varten.
MDM-rekisteröinti: Rekisteröintiprofiili lähetetään laitteeseen ja käyttäjän tulee suorittaa rekisteröityminen loppuun kirjautumalla sisään hallitulla Apple-tilillään.
Jatkuva todentautuminen: MDM-ratkaisu vahvistaa kirjautuneen käyttäjän jatkuvasti käyttötunnuksen avulla.
Vaihe 1: Palvelun löytäminen
Ensimmäisessä vaiheessa palvelun löytäminen yrittää tunnistaa MDM-ratkaisun rekisteröintiosoitteen. Se käyttää tähän käyttäjän antamaa tunnistetta (esimerkiksi [email protected]). Domainin tulee olla täydellinen domainnimi (FQDN), josta MDM-palvelu käy ilmi käyttäjän organisaatiolle.
Sitten tapahtuu seuraavaa:
Vaihe 1
Laite tunnistaa annetun tunnisteen domainin (edellisessä esimerkissä betterbag.com).
Vaihe 2
Laite pyytää tunnettua resurssia organisaation domainista (esimerkiksi https://<domain>/.well-known/com.apple.remotemanagement).
Asiakas sisällyttää kaksi kyselyparametria HTTP GET -pyynnön URL-osoitteeseen:
user-identifier: Syötetyn tilitunnisteen arvo (edellisessä esimerkissä [email protected]).
model-family: Laitteen tuoteperhe (esimerkiksi iPhone, iPad, Mac).
Huomaa: Laite noudattaa HTTP 3xx ‑uudelleenohjauspyyntöjä, jolloin varsinaista com.apple.remotemanagement-tiedostoa voidaan säilyttää toisella palvelimella, johon laitteella on pääsy.
Laitteissa, joissa on iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 tai uudempi, palvelun löytämisprosessi antaa laitteen hakea tunnettua resurssia vaihtoehtoisesta sijainnista, jonka määrittää Apple School Manageriin tai Apple Business Manageriin yhdistetty MDM-ratkaisu. Palvelua yritetään silti ensin löytää organisaation domainissa sijaitsevasta tunnetusta resurssista. Jos pyyntö epäonnistuu, laite tarkistaa Apple School Managerista tai Apple Business Managerista tunnetun resurssin vaihtoehtoisen sijainnin. Prosessi edellyttää, että tunnisteessa käytetty domain vahvistetaan Apple School Managerissa tai Apple Business Managerissa. Jos haluat lisätietoja, katso Domainin lisääminen ja vahvistaminen Apple School Managerissa tai Domainin lisääminen ja vahvistaminen Apple Business Managerissa.
Tämän ominaisuuden käyttö edellyttää, että palvelun löytämiseen käytettävä vaihtoehtoinen osoite on määritetty MDM-ratkaisuun, joka on yhdistetty Apple Business Manageriin tai Apple School Manageriin. Kun laite ottaa yhteyden Apple School Manageriin tai Apple Business Manageriin, kyseiselle laitetyypille liitetty MDM-ratkaisu valitaan laitetyypin perusteella. Prosessi on sama, jolla valitaan MDM-oletusratkaisu automaattista laiterekisteröintiä varten. Jos liitettyyn MDM-ratkaisuun on määritetty palvelun löytämiseen käytettävä osoite, laite pyytää tunnettua resurssia tästä sijainnista. Jos haluat asettaa oletuslaiteliitännän, katso Oletuslaiteliitännän määrittäminen Apple School Managerissa tai Oletuslaiteliitännän määrittäminen Apple Business Managerissa.
MDM-ratkaisu voi säilyttää myös tunnettua resurssia.
Vaihe 3
Palvelin, jolla tunnettua resurssia säilytetään, vastaa palvelun löytämistä koskevalla JSON-dokumentilla, joka noudattaa seuraavaa mallia:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}MDM-rekisteröintiavaimet sekä niiden tyypit ja kuvaukset on esitetty seuraavassa taulukossa. Kaikki avaimet vaaditaan.
Avain | Tyyppi | Kuvaus |
|---|---|---|
Servers | Taulukko | Luettelo, joka sisältää yhden merkinnän. |
Version | Merkkijono | Avain määrittää käytettävän rekisteröintitavan, ja sen on oltava joko |
BaseURL | Merkkijono | MDM-ratkaisun rekisteröintiosoite. |
Tärkeää: Palvelimen on varmistettava, että HTTP-vastauksen Content-Type-otsakekentäksi on asetettu application/json.
Vaihe 4
Laite lähettää HTTP POST ‑pyynnön BaseURL:n määrittämään rekisteröintiosoitteeseen.
Vaihe 2: Todennus ja käyttötunnus
Rekisteröitymisen valtuuttaminen edellyttää käyttäjän todentamista MDM-ratkaisulla. Todennuksen jälkeen MDM-ratkaisu antaa käyttötunnuksen laitteeseen. Laite tallentaa tunnuksen suojatusti myöhempien pyyntöjen valtuuttamista varten.
Käyttötunnus:
on olennainen sekä alussa tehtävässä todentamisprosessissa että myöhemmin MDM-resurssien käyttämisessä
toimii turvallisena siltana käyttäjän hallitun Apple-tilin ja MDM-ratkaisun välillä
mahdollistaa jatkuvan käyttöoikeuden antamisen työresursseihin kaikille tiliin perustuville rekisteröinneille
iPhonessa, iPadissa ja Apple Vision Prossa alussa tehtävää ja myöhempää todentamisprosessia voidaan sujuvoittaa käyttämällä rekisteröinnin kertakirjautumista, joka vähentää toistuvia todentamiskehotuksia. Jos haluat lisätietoja, katso Rekisteröinnin kertakirjautuminen iPhonelle, iPadille ja Apple Vision Prolle.
Vaihe 3: MDM-rekisteröinti
Käyttötunnusta käytettäessä laite pystyy todentamaan MDM-ratkaisulla ja käyttämään MDM-rekisteröintiprofiilia. Profiili sisältää kaikki tiedot, joita laite tarvitsee rekisteröinnin suorittamiseen. Suorittaakseen rekisteröitymisen loppuun käyttäjän tulee kirjautua sisään hallitulla Apple-tilillään. Kun rekisteröityminen on suoritettu valmiiksi, hallittu Apple-tili tulee selkeästi näkyviin Asetuksissa ja Järjestelmäasetuksissa.
Jos haluat lisätietoja siitä, mitä iCloud-palveluja käyttäjille saatavilla on, katso iCloud-palvelujen käyttäminen.
Vaihe 4: Jatkuva todentautuminen
Rekisteröitymisen jälkeen käyttötunnus pysyy aktiivisena ja se sisällytetään Authorization-HTTP-otsakkeella kaikkiin MDM-ratkaisulle osoitettuihin pyyntöihin. Näin MDM-ratkaisu pystyy jatkuvasti vahvistamaan käyttäjän, minkä lisäksi ratkaisu auttaa varmistamaan, että vain valtuutetuilla käyttäjillä on pääsy organisaation resursseihin.
Yleensä käyttöoikeudet vanhentuvat tietyn ajan kuluttua. Kun näin käy, laite voi pyytää käyttäjää todentautumaan uudelleen, jotta käyttöoikeus voidaan uusia. Ajoittainen varmentamisen uusiminen auttaa pitämään huolta tietoturvasta, mikä on tärkeää sekä henkilökohtaisissa että organisaatioiden omistamissa laitteissa. Rekisteröinnin kertakirjautumista käytettäessä käyttöoikeus uusiutuu automaattisesti organisaation identiteetin tarjoajan kautta, mikä varmistaa häiriöttömän käytön ilman uutta todentamista.
Käyttäjän datan erottaminen organisaation datasta tiliin perustuvilla rekisteröintitavoilla
Kun tiliin perustuva käyttäjärekisteröinti tai tiliin perustuva laiterekisteröinti on valmis, laitteeseen luodaan automaattisesti erilliset salausavaimet. Jos laitteen rekisteröinti poistetaan käyttäjän toimesta tai etänä MDM-ratkaisua käyttäen, kyseiset salausavaimet tuhotaan turvallisesti. Avaimia käytetään erottamaan kryptografisesti tässä taulukossa esitetty hallittu data.
Sisältö | Pienimmät tuetut käyttöjärjestelmäversiot | Kuvaus | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Hallittujen appien dataohjaimet | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Hallitut apit käyttävät iCloud-datan synkronointiin hallittua Apple-tiliä, joka on liitetty MDM-rekisteröintiin. Tämä koskee myös Cloudkitiä käyttävän Macin hallittuja appeja (asennettuna siten, että | |||||||||
Kalenteri-appi | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Tapahtumat ovat erillisiä. | |||||||||
Avainnipun kohteet | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Muun valmistajan Mac-apin on käytettävä tietojen suojauksen avainnipun ohjelmointirajapintaa. Jos haluat lisätietoja, katso globaali muuttuja kSecUseDataProtectionKeychain Apple Developer ‑verkkosivustolla. | |||||||||
Mail-appi | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Sähköpostiliitteet ja sähköpostiviestin leipäteksti ovat erillisiä. | |||||||||
Muistiinpanot-appi | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Muistiinpanot ovat erillisiä. | |||||||||
Muistutukset-appi | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Muistutukset ovat erillisiä. | |||||||||
iPhonessa, iPadissa ja Apple Vision Prossa hallitut apit ja hallitut verkkodokumentit pääsevät kaikki organisaation iCloud Driveen (joka näkyy erikseen Tiedostot-apissa, kun käyttäjä on kirjautunut sisään hallitulla Apple-tilillään). MDM-ylläpitäjä voi auttaa pitämään tietyt henkilökohtaiset ja organisaation dokumentit erillään käyttämällä tiettyjä rajoituksia. Jos haluat lisätietoja, katso Hallittujen appien rajoitukset ja ominaisuudet.
Jos käyttäjä on kirjautunut sekä henkilökohtaisella Apple-tilillä että hallitulla Apple-tilillä, Kirjaudu sisään Applella käyttää automaattisesti hallittua Apple-tiliä hallituille apeille ja henkilökohtaista Apple-tiliä ei-hallituille apeille. Kun hallitussa apissa käytetään sisäänkirjautumista Safarissa tai SafariWebView’ssa, käyttäjä voi valita ja syöttää hallitun Apple-tilinsä, jotta sisäänkirjautuminen yhdistyy hänen työ- tai koulutiliinsä.
