طرق التسجيل المستند إلى الحساب مع أجهزة Apple
يوفر تسجيل المستخدم المستند إلى الحساب وتسجيل الجهاز المستند إلى الحساب طريقة سلسة وآمنة للمستخدمين والمؤسسات لإعداد أجهزة Apple للعمل من خلال تسجيل الدخول باستخدام حساب Apple مُدار.
يسمح هذا النهج لكل من حساب Apple المُدار و حساب Apple الشخصي بتسجيل الدخول على الجهاز نفسه، مع الفصل التام بين بيانات العمل والبيانات الشخصية. وبهذا يحافظ المستخدمون على خصوصية معلوماتهم الشخصية، وتدعم تقنية المعلومات التطبيقات والإعدادات والحسابات المتعلقة بالعمل.
لدعم هذا الفصل، تم إجراء التغييرات التالية على طريقة التعامل مع التطبيقات والنسخ الاحتياطية:
تتم إزالة كل التكوينات والإعدادات عند إزالة ملف تعريف التسجيل.
تتم إزالة التطبيقات المُدارة دائمًا أثناء إلغاء التسجيل.
إذا قمت بتثبيت التطبيقات قبل التسجيل في خدمة إدارة الأجهزة، فلا يمكنك تحويلها لتصبح تطبيقات مُدارة.
لا تؤدي الاستعادة من نسخة احتياطية إلى استعادة تسجيل خدمة إدارة الأجهزة.
لا يمكن للمستخدمين الذين يسجلون الدخول باستخدام حساب Apple الشخصي الخاص بهم قبول دعوة لتوزيع التطبيقات المُدارة.
بالرغم من أنك يمكنك إنشاء حسابات Apple المدارة يدويًا، فإن المؤسسات يمكنها الاستفادة من التكامل مع Google Workspace أو Microsoft Entra ID مزود خدمة بطاقة الهوية (IdP) الخاص بها.
للاطلاع على مزيد من المعلومات حول المصادقة الموحدة، انظر مقدمة للمصادقة الموحدة مع Apple School Manager أو مقدمة للمصادقة الموحدة مع Apple Business Manager.
عملية التسجيل المستند إلى الحساب
لتسجيل جهاز باستخدام تسجيل المستخدم المستند إلى الحساب أو تسجيل الجهاز المستند إلى الحساب، ينتقل المستخدم إلى الإعدادات > عام > VPN وإدارة الجهاز أو إعدادات النظام > عام > إدارة الجهاز ويحدد الزر "تسجيل الدخول إلى حساب العمل أو المدرسة".
يؤدي ذلك إلى بدء عملية من أربع مراحل للتسجيل في إحدى خدمات إدارة الأجهزة:
اكتشاف الخدمة: يحدد الجهاز رابط التسجيل الخاص بخدمة إدارة الأجهزة.
المصادقة ورمز الوصول: يوفر المستخدم بيانات الاعتماد لتفويض التسجيل والحصول على رمز وصول للمصادقة المستمرة.
تسجيل الخدمة: يتم إرسال ملف تعريف التسجيل إلى الجهاز ويتطلب من المستخدم تسجيل الدخول باستخدام حساب Apple المُدار لإكمال التسجيل.
المصادقة المستمرة: تتحقق خدمة إدارة الأجهزة من المستخدم الذي قام بتسجيل الدخول بشكل مستمر باستخدام رمز الوصول.
المرحلة 1: اكتشاف الخدمة
في الخطوة الأولى، يحاول اكتشاف الخدمة تحديد رابط التسجيل الخاص بخدمة إدارة الأجهزة. للقيام بذلك، يستخدم المعرف الذي يدخله المستخدم، على سبيل المثال eliza@betterbag.com. يجب أن يكون النطاق اسم نطاق مؤهل بالكامل (FQDN) يعلن عن خدمة إدارة الأجهزة لمؤسسة المستخدم.
ثم يحدث بعد ذلك الآتي:
الخطوة 1
يحدد الجهاز النطاق في المعرف المزود (في المثال أعلاه، betterbag.com).
الخطوة 2
يطلب الجهاز المورد المعروف من نطاق المؤسسة - على سبيل المثال، https://<domain>/.well-known/com.apple.remotemanagement.
يُدرج العميل معلمتَي استعلام في مسار رابط الطلب HTTP GET:
معرّف المستخدم: قيمة معرف الحساب المُدخل (في المثال أعلاه، eliza@betterbag.com).
عائلة الطراز: عائلة طراز الجهاز (على سبيل المثال iPhone أو iPad أو Mac).
ملاحظة: يتبع الجهاز طلبات إعادة التوجيه HTTP 3xx، مما يتيح استضافة ملف com.apple.remotemanagement الفعلي على خادم آخر يمكن الوصول إليه بواسطة الجهاز.
بالنسبة إلى الأجهزة المزودة بنظام iOS 18.2 أو iPadOS 18.2 أو macOS 15.2 أو visionOS 2.2 أو أحدث، تسمح عملية اكتشاف الخدمة للجهاز بجلب المورد المعروف من موقع بديل تحدده خدمة إدارة الأجهزة عند الارتباط بـ Apple School Manager أو Apple Business Manager. لا يزال التفضيل الأول لاكتشاف الخدمة هو المورد المعروف في مجال المؤسسة. إذا فشل الطلب، يتابع الجهاز التحقق مع Apple School Manager أو Apple Business Manager للحصول على موقع بديل للمورد المعروف. تتطلب هذه العملية أن يتحقق Apple School Manager أو Apple Business Manager من النطاق داخل المعرف. لمزيد من المعلومات، انظر إضافة نطاق والتحقق منه في Apple School Manager أو إضافة نطاق والتحقق منه في Apple Business Manager.
لاستخدام هذه الإمكانية، يجب على خدمة إدارة الأجهزة تكوين رابط اكتشاف الخدمة البديلة عند الارتباط بـ Apple School Manager أو Apple Business Manager. عندما يتواصل الجهاز مع Apple School Manager أو Apple Business Manager، يحدد نوع الجهاز الخدمة المعيِّنة لهذا النوع - وهي العملية نفسها لتحديد الخدمة الافتراضية لتسجيل الجهاز التلقائي. إذا كانت الخدمة المعينة قد قامت بتكوين عنوان رابط اكتشاف الخدمة، يتابع الجهاز طلب المورد المعروف من ذلك الموقع. لتعيين الجهاز الافتراضي، انظر تعيين الجهاز الافتراضي في Apple School Manager أو تعيين الجهاز الافتراضي في Apple School Manager.
يمكن أيضًا لخدمة إدارة الأجهزة استضافة المورد المعروف.
الخطوة 3
يستجيب الخادم الذي يستضيف المورد المعروف، بوثيقة JSON لاكتشاف الخدمة التي تتوافق مع المخطط التالي:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}مفاتيح تسجيل خدمة إدارة الأجهزة وأنواعها وأوصافها في الجدول التالي. كل المفاتيح مطلوبة.
المفتاح | النوع | الوصف |
|---|---|---|
الخوادم | مصفوفة | قائمة تحتوي على مدخل واحد. |
الإصدار | سلسلة | يحدد هذا المفتاح طريقة التسجيل التي يجب استخدامها ويجب أن تكون إما |
BaseURL | سلسلة | رابط التسجيل في خدمة إدارة الأجهزة. |
مهم: يجب أن يضمن الخادم أن حقل العنوان نوع المحتوى في استجابة HTTP معيَّن على application/json.
الخطوة 4
يقوم الجهاز بإرسال طلب HTTP POST إلى رابط التسجيل المحدد بواسطة BaseURL.
المرحلة 2: المصادقة ورمز الوصول
لتفويض التسجيل، يحتاج المستخدم إلى إجراء مصادقة مع خدمة إدارة الأجهزة. بعد المصادقة الناجحة، تصدر خدمة إدارة الأجهزة رمز وصول للجهاز. يخزن الجهاز الرمز بشكل آمن لاستخدامه عند تفويض الطلبات اللاحقة.
رمز الوصول:
يعد جزءًا أساسيًا في كل من عملية المصادقة الأولية والوصول المستمر إلى موارد خدمة إدارة الأجهزة
يعمل بمنزلة جسر آمن بين حساب Apple المُدار الخاص بالمستخدم وخدمة إدارة الأجهزة
يُستخدم للسماح بالوصول المستمر إلى موارد العمل لجميع عمليات التسجيل المستندة إلى الحساب
على iPhone و iPad و Apple Vision Pro، يمكن تبسيط عملية المصادقة الأولية والمستمرة باستخدام SSO للتسجيل (تسجيل الدخول الموحد للتسجيل) لتقليل مطالبات المصادقة المتكررة. لمزيد من المعلومات، انظر تسجيل الدخول الموحد الخاص بالتسجيل في iPhone و iPad و Apple Vision Pro.
المرحلة 3: التسجيل في خدمة إدارة الأجهزة
باستخدام رمز الوصول، يمكن للجهاز المصادقة مع خدمة إدارة الأجهزة والوصول إلى ملف تعريف التسجيل. يحتوي ملف التعريف هذا على كل المعلومات التي يحتاجها الجهاز لإجراء التسجيل. لإكمال التسجيل، يجب على المستخدم تسجيل الدخول بنجاح باستخدام حساب Apple المُدار الخاص به. بعد اكتمال التسجيل، يتم عرض حساب Apple المُدار بشكل واضح ضمن الإعدادات وإعدادات النظام.
لمزيد من المعلومات حول خدمات iCloud المتاحة للمستخدمين، انظر الوصول إلى خدمات iCloud.
المرحلة 4: المصادقة المستمرة
بعد التسجيل، يظل رمز الوصول نشطًا ويتم تضمينه في كل الطلبات المقدمة إلى خدمة إدارة الأجهزة باستخدام رأس HTTP للتخويل. يسمح ذلك للخدمة بالتحقق المستمر من المستخدم ويساعد على ضمان احتفاظ المستخدمين المصرح لهم فقط بالوصول إلى الموارد المؤسسية.
تنتهي صلاحية رموز الوصول عادةً بعد فترة محددة. عند حدوث ذلك، قد يطالب الجهاز المستخدم بإعادة المصادقة لتجديد رمز الوصول. تساعد عملية إعادة التحقق الدورية على رفع مستوى الأمان، وهو أمر مهم لكل من الأجهزة الشخصية والمملوكة للمؤسسة. باستخدام SSO للتسجيل، يتم تجديد الرموز تلقائيًا عبر مزود هوية المؤسسة، ما يضمن وصولًا مستمرًا دون الحاجة إلى إعادة المصادقة.
كيفية فصل بيانات المستخدم عن بيانات المؤسسة باستخدام طرق التسجيل المستندة إلى الحساب
عند اكتمال تسجيل المستخدم المستند إلى الحساب أو تسجيل الجهاز المستند إلى الحساب، ينشئ نظام التشغيل مفاتيح تشفير منفصلة تلقائيًا على الجهاز. إذا قام المستخدم بإلغاء تسجيل أو قامت خدمة إدارة الأجهزة بإلغاء تسجيله عن بُعد، يقوم نظام التشغيل بإتلاف مفاتيح التشفير هذه. يستخدم نظام التشغيل المفاتيح لفصل البيانات المدارة المدرجة في هذا الجدول بشكل مشفر.
المحتوى | الحد الأدنى من إصدارات أنظمة التشغيل المدعومة | الوصف | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
حاويات بيانات التطبيق المُدار | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | تستخدم التطبيقات المُدارة حساب Apple المدار المرتبط بتسجيل خدمة إدارة الأجهزة لمزامنة بيانات iCloud. يتضمن ذلك التطبيقات المُدارة (مثبتة باستخدام المفتاح | |||||||||
تطبيق التقويم | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | الأحداث منفصلة عن بعضها. | |||||||||
عناصر سلسلة المفاتيح | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | يجب أن يستخدم تطبيق Mac التابع لجهة خارجية واجهة برمجة تطبيقات سلسلة المفاتيح لحماية البيانات. لمزيد من المعلومات، انظر المتغير العام kSecUseDataProtectionKeychain على الموقع الإلكتروني لمطوري Apple. | |||||||||
تطبيق البريد | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | مرفقات البريد ونص رسالة البريد منفصلان عن بعضهما. | |||||||||
تطبيق الملاحظات | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | الملاحظات منفصلة عن بعضها البعض. | |||||||||
تطبيق التذكيرات | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | التذكيرات منفصلة عن بعضها البعض. | |||||||||
على iPhone و iPad و Apple Vision Pro، تتمتع جميع التطبيقات المُدارة والمستندات المُدارة المستندة إلى الويب بإمكانية الوصول إلى iCloud Drive الخاص بالمؤسسة (والذي يظهر بشكل منفصل في تطبيق الملفات بعد تسجيل دخول المستخدم باستخدام حساب Apple المُدار). وبإمكان مسؤول خدمة إدارة الأجهزة أن يساعد على الفصل بين المستندات الشخصية والمؤسسية المحددة باستخدام قيود محددة. لمزيد من المعلومات، انظر توزيع التطبيقات المُدارة على أجهزة Apple.
إذا قام المستخدم بتسجيل الدخول باستخدام حساب Apple شخصي و حساب Apple مُدار، فإن تسجيل الدخول باستخدام Apple يستخدم تلقائيًا حساب Apple المُدار للتطبيقات المُدارة و حساب Apple الشخصي للتطبيقات غير المُدارة. عند استخدام تدفق تسجيل الدخول في سفاري أو SafariWebView داخل تطبيق مُدار، يمكن للمستخدم تحديد وإدخال حساب Apple المُدار الخاص به لربط تسجيل الدخول بحساب العمل أو المدرسة الخاص به.
