Metody registrace na zařízeních Apple prostřednictvím účtů
Registrace uživatelů prostřednictvím účtů a registrace zařízení prostřednictvím účtů nabízí uživatelům a organizacím bezproblémový a bezpečný způsob nastavení zařízení Apple pro práci přihlášením ke spravovanému účtu Apple.
Tento přístup umožňuje přihlásit se na témže zařízení jak ke spravovanému účtu Apple, tak také k osobnímu účtu Apple, přičemž pracovní a osobní data jsou zcela oddělená. Uživatelé si uchovají v soukromí své osobní údaje, zatímco IT oddělení podporuje pracovní aplikace, volby nastavení a účty.
S cílem podpořit toto oddělení byly provedeny následující změny ve způsobu práce s aplikacemi a zálohami:
Při odstranění profilu registrace se odstraní všechny položky konfigurace a nastavení.
Spravované aplikace jsou při zrušení registrace vždy odstraněny.
Pokud aplikace nainstalujete před registrací ve službě správy zařízení, nemůžete je na spravované aplikace převést.
Obnovení ze zálohy neobnoví registraci ve službě správy zařízení.
Uživatelé, kteří se přihlásí pomocí svého osobního účtu Apple, nemůžou přijmout pozvánku k distribuci spravovaných aplikací.
I když můžete spravované účty Apple vytvářet ručně, organizace mají možnost využít integraci se službou Google Workspace, Microsoft Entra ID nebo poskytovatelem identit (IdP).
Další informace o sdruženém ověřování totožnosti najdete v tématu Úvod do sdruženého ověřování totožnosti pomocí Apple School Manageru nebo Úvod do sdruženého ověřování totožnosti pomocí Apple Business Manageru.
Proces registrace prostřednictvím účtů
Pokud chce uživatel zaregistrovat zařízení v rámci registrace uživatele prostřednictvím účtů nebo registrace zařízení prostřednictvím účtů, musí přejít do oddílu Nastavení > Obecné > VPN a správa zařízení, resp. Nastavení systému > Obecné > Správa zařízení a pak vybrat tlačítko „Přihlásit se k pracovnímu nebo školnímu účtu“.
Tím se spustí čtyřfázový proces registrace ve službě správy zařízení:
Zjišťování služby: Zařízení určí registrační URL pro službu správy zařízení.
Ověřování totožnosti a přístupový token: Uživatel poskytne údaje pověření pro autorizaci v rámci registrace a získá přístupový token pro průběžné ověřování totožnosti.
Registrace ve službě: Do zařízení se odešle registrační profil a registrace se dokončí tak, že je uživatel vyzván k přihlášení pomocí svého spravovaného účtu Apple.
Průběžné ověřování totožnosti: Služba správy zařízení průběžně ověřuje přihlášeného uživatele prostřednictvím přístupového tokenu.
Fáze 1: Zjišťování služby
V prvním kroku se zjišťovací modul služby pokouší identifikovat registrační URL služby správy zařízení. Použije k tomu identifikátor zadaný uživatelem, například eliza@betterbag.com. Jako doménu je nutné zadat úplný název domény (FQDN) inzerující službu správy zařízení pro organizaci uživatele.
Pak následují tyto kroky:
Krok 1
Zařízení v obdrženém identifikátoru identifikuje doménu (v uvedeném příkladu betterbag.com).
Krok 2
Zařízení si vyžádá známý prostředek z domény organizace – například https://<domain>/.well-known/com.apple.remotemanagement.
Klient do cesty URL požadavku HTTP GET zahrne dva parametry požadavku:
iuser-identifier: Hodnota zadaného identifikátoru účtu (v uvedeném příkladu eliza@betterbag.com).
model-family: Modelová řada zařízení (například iPhone, iPad, Mac).
Poznámka: Zařízení se řídí požadavky na přesměrování HTTP 3xx, což umožňuje, aby vlastní soubor com.apple.remotemanagement byl umístěn na jiném hostitelském serveru dosažitelném ze zařízení.
Zařízení se systémem iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 nebo novějším můžou díky procesu zjišťování služeb načíst známý prostředek z alternativního místa určeného službou správy zařízení propojenou s Apple School Managerem nebo Apple Business Managerem. První preferovanou volbou pro proces zjišťování služeb je nadále známý prostředek v doméně organizace. V případě neúspěšného zpracování požadavku požádá zařízení Apple School Manager nebo Apple Business Manager o poskytnutí alternativního umístění známého prostředku. Tento proces vyžaduje, aby doménu použitou v identifikátoru ověřil Apple School Manager nebo Apple Business Manager. Další informace viz Přidání a ověření domény v Apple School Manageru nebo Přidání a ověření domény v Apple Business Manageru.
Aby bylo možné tuto funkci využívat, musí služba správy zařízení propojená s Apple School Managerem nebo Apple Business Managerem nakonfigurovat URL pro zjišťování přítomnosti alternativních služeb. Když se zařízení spojí s Apple School Managerem nebo Apple Business Managerem, je mu přiřazena služba na základě typu zařízení – stejným postupem se určuje výchozí služba pro automatickou registraci zařízení. Pokud pro přiřazenou službu existuje nakonfigurovaná adresa URL pro zjišťování služeb, zařízení si z tohoto místa vyžádá známý prostředek. Postup nastavení výchozího přiřazení zařízení viz Nastavení výchozího přiřazení zařízení v Apple School Manageru nebo Nastavení výchozího přiřazení zařízení v Apple Business Manageru.
Hostitelem známého prostředku může být také služba správy zařízení.
Krok 3
Server, který je hostitelem známého prostředku, odpoví zasláním dokumentu JSON pro zjišťování služeb, který odpovídá následujícímu schématu:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}V následující tabulce jsou uvedeny klíče pro registraci ve službě správy zařízení, jejich typy a popisy. Všechny klíče jsou povinné.
Klíč | Typ | Popis |
|---|---|---|
Servery | Pole | Seznam s jedinou položkou. |
Verze | Řetězec | Tento klíč určuje metodu registrace. Musí mít buď hodnotu |
BaseURL | Řetězec | Registrační URL služby správy zařízení. |
Důležité: Server musí nastavit pole záhlaví Content-Type v odezvě HTTP na hodnotu application/json.
Krok 4
Zařízení odešle požadavek HTTP POST na registrační URL zadané parametrem BaseURL.
Fáze 2: Ověřování totožnosti a přístupový token
Aby bylo možné registraci autorizovat, musí uživatel ve službě správy zařízení ověřit svou totožnost. Po úspěšném ověření totožnosti služba správy zařízení vydá pro zařízení přístupový token. Token se v zařízení bezpečně uloží pro použití při autorizaci následných požadavků.
Přístupový token:
Je ústředním prvkem procesu počátečního ověření totožnosti i průběžného přístupu k prostředkům služeb správy zařízení
Slouží jako bezpečné přemostění mezi spravovaným účtem Apple uživatele a službou správy zařízení
Umožňuje nepřetržitý přístup k pracovním prostředkům pro všechny registrace prováděné prostřednictvím účtů
Na iPhonu, iPadu a Apple Vision Pro je možné počáteční i průběžný proces ověřování totožnosti zjednodušit pomocí registračního SSO, což omezí opakované zobrazování výzev k ověření. Další informace viz Jednotné přihlášení pro registraci pro iPhone, iPad a Apple Vision Pro.
Fáze 3: Registrace ve službě správy zařízení
Pomocí přístupového tokenu může zařízení ověřit svou totožnost ve službě správy zařízení a získat přístup k registračnímu profilu. Tento profil obsahuje všechny informace, které zařízení potřebuje k provedení registrace. Aby bylo možné dokončit registraci, musí se uživatel úspěšně přihlásit pomocí svého spravovaného účtu Apple. Po dokončení registrace se spravovaný účet Apple výrazně zobrazí v Nastavení a Nastavení systému.
Další informace o tom, jaké služby iCloudu jsou uživatelům dostupné, viz Přístup k službám iCloudu.
Fáze 4: Průběžné ověřování totožnosti
Po registraci zůstává přístupový token aktivní a je zahrnován do všech požadavků na službu správy zařízení prostřednictvím záhlaví HTTP Authorization. To službě umožňuje průběžně ověřovat totožnost uživatele a pomáhá zajistit, aby k prostředkům organizace měli přístup pouze oprávnění uživatelé.
Platnost přístupových tokenů obvykle vyprší po uplynutí nastavené doby. Jakmile k tomu dojde, může zařízení vyzvat uživatele k novému ověření totožnosti a obnově přístupového tokenu. Pravidelně opakované ověřování totožnosti napomáhá k zajištění zabezpečení pro nahrávání dat, což je důležité pro zařízení jak v osobním vlastnictví, tak ve vlastnictví organizací. Při použití registračního SSO se tokeny obnovují automaticky prostřednictvím poskytovatele identit pro organizaci, což zajišťuje nepřerušený přístup bez nutnosti opětovného ověřování.
Jak se uživatelská data oddělují od dat organizace pomocí metod registrace prováděných prostřednictvím účtů
Po dokončení registrace uživatele nebo zařízení prostřednictvím účtů operační systém v zařízení automaticky vytvoří samostatné šifrovací klíče. Když uživatel registraci zařízení zruší nebo ho na dálku odregistruje služba správy zařízení, operační systém tyto šifrovací klíče zlikviduje. Tyto klíče používá operační systém ke kryptografickému oddělení spravovaných dat uvedených v následující tabulce.
Obsah | Minimální podporované verze operačních systémů | Popis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Kontejnery dat spravovaných aplikací | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Spravované aplikace provádějí synchronizaci dat na iCloudu za pomoci spravovaného účtu Apple sdruženého s registrací ve službě správy zařízení. Na Macu, který používá CloudKit, to zahrnuje spravované aplikace (nainstalované tak, že klíč | |||||||||
Aplikace Kalendář | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Události jsou oddělené. | |||||||||
Položky svazků klíčů | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Aplikace pro Mac poskytované nezávislým dodavatelem musí používat rozhraní API klíčenky pro ochranu dat. Další informace najdete v oddílu Global Variable kSecUseDataProtectionKeychain na webových stránkách Apple Developer. | |||||||||
Aplikace Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | E‑mailové přílohy a vlastní text e‑mailových zpráv jsou oddělené. | |||||||||
Aplikace Poznámky | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Poznámky jsou oddělené. | |||||||||
Aplikace Připomínky | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Připomínky jsou oddělené. | |||||||||
Na iPhonu, iPadu a Apple Vision Pro mají všechny spravované aplikace a spravované webové dokumenty přístup na iCloud Drive organizace (který se zobrazí odděleně v aplikaci Soubory, když se uživatel přihlásí ke svému spravovanému účtu Apple). Správce služeb správy zařízení může prostřednictvím jednotlivých omezení udržovat a spravovat specifické dokumenty uživatelů a organizace odděleně. Další informace viz Distribuce spravovaných aplikací do zařízení Apple.
Pokud je uživatel přihlášený pod osobním účtem Apple a spravovaným účtem Apple, přihlášení přes Apple automaticky použije spravovaný účet Apple pro spravované aplikace a osobní účet Apple pro nespravované aplikace. Při použití přihlašovacího procesu v Safari nebo SafariWebView v rámci spravované aplikace může uživatel vybrat a zadat svůj spravovaný účet Apple a přidružit tak přihlášení ke svému pracovnímu nebo školnímu účtu.
