Apple 기기를 통한 계정 기반 등록 방법
계정 기반 사용자 등록 및 계정 기반 기기 등록은 관리형 Apple 계정으로 로그인하여 사용자와 조직이 Apple 기기를 업무용으로 설정할 수 있는 원활하고 안전한 방법을 제공합니다.
이 접근 방식을 사용하면 관리형 Apple 계정 및 개인용 Apple 계정을 모두 동일한 기기에서 로그인하면서 작업 데이터와 개인 데이터를 완전히 분리할 수 있습니다. 사용자는 자신의 개인정보를 안전하게 보호하며 IT는 업무 관련 앱, 설정 및 계정을 지원합니다.
이러한 분리를 지원하기 위해 앱 및 백업을 처리하는 방식이 다음과 같이 변경되었습니다.
등록 프로필을 제거하면 모든 구성 및 설정이 제거됩니다.
관리형 앱은 등록 해제 중에 항상 제거됩니다.
MDM(모바일 기기 관리) 솔루션에 등록하기 전에 설치된 앱은 관리형 앱으로 변환할 수 없습니다.
MDM 등록은 백업에서 복원해도 복원되지 않습니다.
개인용 Apple 계정으로 로그인한 사용자는 관리형 앱 배포 초대를 수락할 수 없습니다.
관리형 Apple 계정을 수동으로 생성할 수 있지만 조직은 IdP, Google Workspace 또는 Microsoft Entra ID 통합을 활용할 수 있습니다.
연합 인증에 대한 자세한 정보는 Apple School Manager의 연합 인증 소개 또는 Apple Business Manager의 연합 인증 소개의 내용을 참조하십시오.
계정 기반 등록 과정
계정 기반 사용자 등록 또는 계정 기반 기기 등록을 사용하여 기기를 등록하려면 설정 > 일반 > VPN 및 기기 관리 또는 시스템 설정 > 일반 > 기기 관리로 이동한 다음 ‘직장 또는 학교 계정에 로그인’ 버튼을 선택하면 됩니다.
이렇게 하면 MDM에 등록하기 위한 네 단계 프로세스가 시작됩니다.
서비스 발견: 기기는 MDM 솔루션의 등록 URL을 결정합니다.
인증 및 접근 토큰: 사용자는 자격 증명을 제공하여 등록을 인증하고 진행 중인 인증을 위해 발행된 접근 토큰을 받습니다.
MDM 등록: 등록 프로필이 기기로 전송되고 사용자는 자신의 관리형 Apple 계정으로 로그인하여 등록을 완료해야 합니다.
진행 중인 인증: MDM 솔루션은 접근 토큰을 사용하여 지속적으로 로그인한 사용자를 확인합니다.
스테이지 1: 서비스 발견
첫 번째 단계인 서비스 발견에서 MDM 솔루션의 등록 URL을 식별하려고 시도합니다. 이를 위해 사용자가 입력한 식별자를 사용합니다(예: [email protected]). 도메인은 사용자 조직의 MDM 서비스를 알리는 전체 주소 도메인 이름(FQDN)이어야 합니다.
다음과 같은 작업이 수행됩니다.
1단계
기기는 제공된 식별자의 도메인을 식별합니다(위의 예에서는 betterbag.com).
2단계
기기는 조직의 도메인에서 well-known 리소스를 요청합니다(예: https://<domain>/.well-known/com.apple.remotemanagement).
클라이언트에는 HTTP GET 요청의 URL 경로에 두 개의 쿼리 매개변수가 포함됩니다.
user-identifier: 입력된 계정 식별자의 값입니다(위의 예에서는 [email protected]).
model-family: 기기의 모델 제품군입니다(예: iPhone, iPad, Mac).
참고: 기기는 HTTP 3xx 리디렉션 요청을 따르므로 기기가 연결할 수 있는 다른 서버에서 실제 com.apple.remotemanagement 파일을 호스팅할 수 있습니다.
iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 이상이 설치된 기기의 경우, 서비스 발견 프로세스를 통해 기기가 Apple School Manager 또는 Apple Business Manager에 연결된 MDM 솔루션으로 지정된 대체 위치에서 well-known 리소스를 가져올 수 있습니다. 서비스 발견의 첫 번째 환경설정은 조직 도메인의 well-known 리소스입니다. 요청이 실패하는 경우, 기기는 well-known 리소스의 대체 위치를 확인하기 위해 Apple School Manager 또는 Apple Business Manager에서 계속 확인합니다. 이 프로세스에서는 식별자에 사용된 도메인을 Apple School Manager 또는 Apple Business Manager에서 확인해야 합니다. 자세한 정보는 Apple School Manager의 도메인 추가 및 확인 또는 Apple Business Manager의 도메인 추가 및 확인의 내용을 참조하십시오.
이 기능을 사용하려면 대체 서비스 발견 URL이 Apple Business Manager 및 Apple School Manager에 연결된 MDM 솔루션으로 구성되어야 합니다. 기기가 Apple School Manager 또는 Apple Business Manager에 연결되면 기기 유형은 해당 유형에 할당된 MDM 솔루션을 결정하는 데 사용되며, 이는 자동 기기 등록을 위한 기본 MDM 솔루션을 결정하는 프로세스와 동일합니다. 할당된 MDM 솔루션에서 서비스 발견 URL을 구성한 경우 기기는 해당 위치에서 well-known 리소스를 계속 요청합니다. 기본 기기 할당을 설정하려면 Apple School Manager에서 기본 기기 할당 설정 또는 Apple Business Manager에서 기본 기기 할당 설정의 내용을 참조하십시오.
또한 MDM 솔루션은 well-known 리소스를 호스팅할 수 있습니다.
3단계
well-known 리소스를 호스팅하는 서버는 다음 스키마를 따르는 서비스 발견 JSON 문서로 응답합니다.
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}MDM 등록 키, 유형 및 설명은 다음 표에 있습니다. 모든 키가 필요합니다.
키 | 유형 | 설명 |
|---|---|---|
Servers | 배열 | 단일 항목이 포함된 목록입니다. |
Version | 문자열 | 이 키는 사용할 등록 방법을 결정하며 |
BaseURL | 문자열 | MDM 솔루션의 등록 URL입니다. |
중요사항: 서버는 HTTP 응답의 Content-Type 헤더 필드가 application/json으로 설정되어 있는지 확인해야 합니다.
4단계
기기는 BaseURL로 지정된 등록 URL에 HTTP POST 요청을 보냅니다.
스테이지 2: 인증 및 접근 토큰
등록을 인증하려면 사용자가 MDM 솔루션으로 인증해야 합니다. 인증에 성공하면 MDM 솔루션이 기기에 대한 접근 토큰을 발행합니다. 기기는 후속 요청을 인증할 때 사용하기 위해 토큰을 안전하게 저장합니다.
접근 토큰은 다음과 같습니다.
초기 인증 프로세스 및 MDM 리소스에 대한 지속적인 접근 모두에서 핵심적인 역할을 합니다.
사용자의 관리형 Apple 계정과 MDM 솔루션 간에 안전한 다리 역할을 합니다.
모든 계정 기반 등록을 위한 작업 리소스에 지속적으로 접근할 수 있도록 하는 데 사용됩니다.
iPhone, iPad 및 Apple Vision Pro에서는 반복되는 인증 메시지를 줄이기 위해 등록 SSO(등록 단일 로그인)를 사용하여 최초 및 진행 중인 인증 프로세스를 간소화할 수 있습니다. 자세한 정보는 iPhone, iPad 및 Apple Vision Pro용 등록 단일 로그인의 내용을 참조하십시오.
스테이지 3: MDM 등록
접근 토큰을 사용하면 기기는 MDM 솔루션으로 인증하고 MDM 등록 프로필에 접근할 수 있습니다. 이 프로필에는 등록을 수행하기 위해 장치에서 필요한 모든 정보가 포함됩니다. 등록을 완료하려면 사용자가 자신의 관리형 Apple 계정으로 성공적으로 로그인해야 합니다. 등록을 완료하면 설정 및 시스템 설정 내에서 관리형 Apple 계정이 강조되어 표시됩니다.
사용자가 사용할 수 있는 iCloud 서비스에 대한 자세한 정보는 iCloud 서비스 접근하기의 내용을 참조하십시오.
스테이지 4: 진행 중인 인증
등록 후에 접근 토큰은 활성화된 상태로 유지되며 Authorization HTTP 헤더를 사용하여 MDM 솔루션에 대한 모든 요청에 포함됩니다. 이를 통해 MDM 솔루션은 사용자를 지속적으로 확인할 수 있으므로 인증된 사용자만 조직 리소스에 대한 접근 권한을 유지할 수 있도록 합니다.
접근 토큰은 일반적으로 일정 기간이 지나면 만료됩니다. 이 경우 기기는 사용자에게 접근 토큰을 갱신하기 위해 다시 인증하라는 메시지를 표시할 수 있습니다. 주기적인 재검증은 보안 업로드에 도움이 되며 이는 개인 및 조직 소유 기기 모두에 중요합니다. SSO 등록을 사용하면 조직의 신원 제공자를 통해 자동으로 토큰 갱신이 이루어지므로 다시 인증하지 않아도 중단 없이 접근할 수 있습니다.
계정 기반 등록 방법으로 사용자 데이터를 조직 데이터와 분리하는 방법
계정 기반 사용자 등록 또는 계정 기반 기기 등록이 완료되면 기기에 분리된 암호화 키가 자동으로 생성됩니다. MDM을 사용하여 직접 또는 원격으로 기기를 등록 해제하는 경우, 이 암호화 키는 안전하게 삭제됩니다. 해당 키는 이 표에 나열된 관리형 데이터를 암호화하여 분리하는 데 사용됩니다.
콘텐츠 | 지원되는 최소 운영 체제 버전 | 설명 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
관리형 앱 데이터 컨테이너 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 관리형 앱은 iCloud 데이터 동기화를 위해 MDM 등록에 연결된 관리형 Apple 계정을 사용합니다. 여기에는 CloudKit를 사용하는 Mac의 관리형 앱( | |||||||||
캘린더 앱 | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | 이벤트는 분리되어 있습니다. | |||||||||
키체인 항목 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 타사 Mac 앱은 데이터 보호 키체인 API를 사용해야 합니다. 자세한 정보는 Apple Developer 웹사이트에서 전역 변수 kSecUseDataProtectionKeychain의 내용을 참조하십시오. | |||||||||
Mail 앱 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 이메일 첨부 파일 및 이메일 메시지 본문은 분리되어 있습니다. | |||||||||
메모 앱 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 메모는 분리되어 있습니다. | |||||||||
미리 알림 앱 | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | 미리 알림은 분리되어 있습니다. | |||||||||
iPhone, iPad 및 Apple Vision Pro에서 관리형 앱 및 웹 기반 문서는 모두 조직의 iCloud Drive에 접근할 수 있습니다(사용자가 관리형 Apple 계정으로 로그인한 후 파일 앱에 별도로 나타남). MDM 관리자는 특정 제한 사항을 통해 특정 개인 문서와 조직 문서를 분리하여 보관할 수 있습니다. 자세한 정보는 관리형 앱 제한 사항 및 기능의 내용을 참조하십시오.
사용자가 개인용 Apple 계정 및 관리형 Apple 계정으로 로그인한 경우, ‘Apple로 로그인’은 관리형 앱의 관리형 Apple 계정과 비관리형 앱의 개인용 Apple 계정을 자동으로 사용합니다. 관리형 앱 내의 Safari 또는 SafariWebView에서 로그인 흐름을 사용할 때 사용자는 관리형 Apple 계정을 선택하고 입력하여 로그인을 직장 또는 학교 계정과 연결할 수 있습니다.
