iCloud para Contas Apple Gerenciadas
Dependendo do modelo de implementação da sua organização, os usuários dos dispositivos gerenciados podem usar as respectivas Contas Apple pessoais, uma Conta Apple Gerenciada, as duas ou nenhuma delas.
Para usuários que trabalham em dispositivos de propriedade da sua organização, considere fornecer a eles uma Conta Apple Gerenciada. Como a conta é de propriedade da organização, você pode gerenciar não apenas os serviços que os usuários acessam, mas também os dispositivos nos quais eles iniciam sessão.
Serviços do iCloud
Com os serviços do iCloud disponíveis para uma Conta Apple Gerenciada, os usuários podem armazenar conteúdo, como contatos, calendários, documentos e notas, e mantê-lo atualizado entre vários dispositivos Apple. O iCloud protege o conteúdo com criptografia ao enviá-lo pela Internet, armazenando-o em um formato criptografado e usando tokens seguros para a autenticação. Para obter mais informações sobre a segurança do iCloud, consulte Visão geral da segurança do iCloud em Segurança da Plataforma Apple.
Nota: alguns recursos do iCloud requerem uma conexão Wi-Fi; alguns recursos não estão disponíveis em todos os países ou regiões; e o acesso a alguns serviços é limitado a 10 dispositivos com a mesma Conta Apple.
iCloud Drive
Os usuários podem armazenar documentos e arquivos no iCloud Drive e acessá-los em dispositivos iPhone, iPad e Mac e em computadores Windows configurados com o iCloud. Os documentos são mantidos atualizados em todos os dispositivos, e as alterações feitas em um arquivo quando o usuário está offline são atualizadas automaticamente quando o dispositivo fica online.
Usuários também podem configurar as pastas Mesa e Documentos do macOS para que elas sejam armazenadas automaticamente no iCloud Drive, permitindo que o conteúdo seja disponibilizado em todos os dispositivos dos usuários.
Os usuários podem até mesmo colaborar em documentos armazenados no iCloud Drive, desde que eles tenham sido criados com o Pages, o Numbers, o Keynote ou outros apps compatíveis com CloudKit. No caso das Contas Apple Gerenciadas, as organizações podem definir se a colaboração é possível apenas com usuários internos ou também com usuários externos.
Chaves do iCloud
As Chaves do iCloud mantêm senhas de redes Wi-Fi e senhas de sites usadas no Safari atualizadas em todos os dispositivos iPhone, iPad e Mac configurados com o iCloud. Elas também armazenam informações de início de sessão e configuração de contas de Internet, além de senhas de apps compatíveis com o iCloud. As Chaves do iCloud também podem armazenar informações de cartão de crédito salvas por usuários no Safari, para que o Safari possa preenchê-las automaticamente.
As Chaves do iCloud consistem em dois serviços:
Manutenção das Chaves atualizadas em todos os dispositivos;
Recuperação das Chaves.
Para trocar itens das chaves em segurança, um círculo de confiança é estabelecido e usado entre os dispositivos aprovados de um usuário. Se novos dispositivos forem adicionados ao círculo, eles precisam ser aprovados por um dispositivo já existente nas Chaves do iCloud ou usando a recuperação das Chaves do iCloud. Cada item sincronizado é criptografado de forma a ser descriptografado apenas por um dispositivo dentro do círculo de confiança do usuário; não é possível descriptografá-lo por qualquer outro dispositivo ou pela Apple.
As Chaves do iCloud fazem a guarda segura dos dados das chaves dos usuários com a Apple, sem permitir que a Apple leia as senhas e outros dados que elas contêm. Mesmo que o usuário tenha apenas um dispositivo, a recuperação das chaves fornece uma rede de segurança contra perda de dados. Isso é particularmente importante quando o Safari é usado para gerar senhas robustas e aleatórias para contas da web, pois o único registro dessas senhas fica nas chaves.
Parte da recuperação das chaves é autenticação secundária e um serviço de guarda segura, que a Apple criou especificamente para ser compatível com esse recurso. As chaves do usuário são criptografadas com uma chave de criptografia forte e o serviço de guarda segura fornece uma cópia dessa chave apenas se um conjunto de condições rígidas for atendido e se o usuário digitar o código de um de seus dispositivos anteriores.
Importante: as Contas Apple Gerenciadas não são compatíveis com a recuperação das Chaves do iCloud usando um contato de recuperação.
Chaves-senha
O objetivo das chaves-senha é fornecer uma experiência de login sem senha conveniente e segura. A tecnologia delas é baseada em padrões que podem resistir a phishing, são sempre fortes e não compartilham segredos.
Com as Chaves do iCloud para Contas Apple Gerenciadas, as organizações podem implementar chaves-senha para permitir que os funcionários acessem recursos corporativos e garantir que as chaves-senha sejam sincronizadas com segurança com todos os dispositivos iPhone, iPad e Mac. Com a funcionalidade de gerenciamento de acesso, as organizações também podem definir o estado de gerenciamento necessário de um dispositivo para permitir acesso às chaves-senha gerenciadas.
Uma configuração de atestado de chave‑senha declarativa permite que um dispositivo gerenciado forneça um atestado quando uma chave‑senha é provisionada para um serviço organizacional. O atestado é fornecido quando um usuário registra uma chave-senha para um site ou app usando um domínio especificado na configuração. Depois que o dispositivo tiver gerado com segurança uma chave-senha, ele usa a identidade do certificado definido na configuração para executar um atestado WebAuthn com o serviço acessado. Isso permite que o serviço verifique se a chave-senha foi criada em um dispositivo gerenciado pela organização antes de provisionar o acesso.
As chaves-senha geradas são armazenadas automaticamente nas Chaves do iCloud associadas à Conta Apple Gerenciada. Quando não houver uma Conta Apple Gerenciada, a chave-senha não pode ser criada.
Para fornecer ao usuário um fluxo de início de sessão simples, os desenvolvedores de aplicativos podem usar domínios associados para estabelecer uma associação segura entre os domínios e seus apps (e opcionalmente permitir uma configuração de domínios associados via MDM). Se isso estiver disponível, o iOS, o iPadOS e o macOS podem selecionar e fornecer automaticamente a chave-senha correta para oferecer uma experiência de início de sessão perfeita. Se a autenticação estiver sendo realizada por um serviço de terceiros, ASWebAuthenticationSession pode ser usado.
Para mais informações, consulte Configuração declarativa de Atestado de Chave‑senha.
Acesso aos serviços do iCloud
Iniciar sessão com uma Conta Apple Gerenciada durante o Assistente de Configuração ou usando o item de menu Conta Apple na parte superior dos Ajustes (iPhone e iPad) ou Ajustes do Sistema (Mac) fornece acesso a todos os serviços disponíveis para a conta.
Os usuários podem adicionar outras contas em Ajustes > Mail > Contas (iPhone, iPad e Apple Vision Pro) ou Ajustes do Sistema > Contas de Internet (Mac) para acessar e-mail (se o e-mail estiver disponível para a conta), contatos e calendários armazenados com outra Conta Apple pessoal, e contatos, calendários e lembretes de uma Conta Apple Gerenciada.
Registro de Dispositivo e Registro de Usuário conduzidos por conta estendem a lista de serviços acessíveis em um dispositivo com uma Conta Apple Gerenciada para contatos, calendários, lembretes, notas, iCloud Drive e Backup do iCloud.
Gerenciar acesso ao iCloud
Você pode desativar serviços individuais do iCloud disponíveis para uma Conta Apple Gerenciada no Apple School Manager e Apple Business Manager. Além disso, você pode definir em quais dispositivos os usuários podem iniciar sessão, acessar os dados da Conta Apple Gerenciada deles e especificar com quem eles podem se comunicar e colaborar. Se o usuário usar principalmente uma Conta Apple pessoal, as organizações podem desativar alguns serviços do iCloud em dispositivos gerenciados por meio de restrições. Observe que algumas restrições requerem que o dispositivo seja supervisionado.