Brugertilmelding og MDM
Brugertilmelding er beregnet til implementeringer med medbragte enheder (BYOD), hvor det er brugerne og ikke organisationen, der ejer enhederne.
Der er fire faser i brugernes tilmelding til MDM:
Søgning efter tjeneste: Enheden identificerer sig over for MDM-løsningen.
Brugertilmelding: Brugeren oplyser brugeroplysninger til en identitetsudbyder til godkendelse af tilmelding til MDM-løsningen.
Sessionstoken: Der udstedes et sessionstoken til enheder, så der kan foretages løbende godkendelse.
MDM-tilmelding: Tilmeldingsprofilen sendes til enheden med de data, der er konfigureret af MDM-administratoren.
Brugertilmelding og administrerede Apple-id’er
Brugertilmelding kræver administrerede Apple-id’er. De ejes og administreres af organisationen og giver medarbejdere adgang til visse Apple-tjenester. Administrerede Apple-id'er:
Oprettes manuelt, eller som oprettes automatisk ved hjælp af forenet godkendelse
Er integreret med et elevinformationssystem (SIS) eller overfører .csv-arkiver (kun Apple School Manager)
Kan også bruges til at logge ind med en tildelt rolle i Apple School Manager, Apple Business Manager eller Apple Business Essentials
Når en bruger fjerner en tilmeldingsprofil, fjernes alle konfigurationsprofiler, deres indstillinger og administrerede apps baseret på denne tilmeldingsprofil sammen med den.
Brugertilmelding er integreret med administrerede Apple-id’er for at etablere en brugeridentitet på enheden. Brugeren skal godkendes for at gennemføre tilmeldingen. Det administrerede Apple-id kan bruges sideløbende med det personlige Apple-id, brugeren allerede har logget ind med, og de to interagerer ikke med hinanden.
Brugertilmelding og godkendelse via organisationsnetværket
Brugertilmelding fungerer sammen med en identitetsudbyder (IdP), Google Workspace eller Microsoft Entra ID samt Apple School Manager eller Apple Business Manager og en MDM-løsning fra tredjepart. Det fungerer også sammen med administration af enheder i Apple Business Essentials. Før dine brugere kan benytte synkronisering med en identitetsudbyder, Google Workspace eller Microsoft Extra ID og brugertilmelding, skal organisationen sørge for at:
Administrere brugernes godkendelsesoplysninger med en identitetsudbyder, Google Workspace eller Microsoft Entra ID
Hvis du har en lokal version af Active Directory, skal der foretages ekstra konfiguration, der forbereder forenet godkendelse.
Tilmelde din organisation i Apple School Manager, Apple Business Manager og Apple Business Essentials
Indstille forenet godkendelse i Apple School Manager, Apple Business Manager eller Apple Business Essentials
Konfigurere en MDM-løsning og knytte den til Apple School Manager, Apple Business Manager eller Apple Business Essentials eller bruge den indbyggede administration af enheder i Apple Business Essentials
(Valgfrit) Oprette administrerede Apple-id'er
Brugertilmelding og administrerede apps (macOS)
Brugertilmelding har føjet administrerede apps til macOS (denne funktion var allerede mulig med enhedstilmelding og automatisk enhedstilmelding). Administrerede apps, som bruger CloudKit, bruger det administrerede Apple-id, der er knyttet til MDM-tilmeldingen. MDM-administratorer skal føje nøglen InstallAsManaged
til kommandoen InstallApplication
. Som det gælder for apps til iOS og iPadOS, kan disse apps automatisk fjernes, hvis en bruger framelder sig MDM.
Brugertilmelding og netværk til hver app
I iOS 16, iPadOS 16.1, visionOS 1.1 og nyere versioner er netværk til hver app tilgængeligt til VPN (kaldet VPN til hver app), DNS-proxyservere og webindholdsfiltre til enheder, der er tilmeldt med brugertilmelding. Det betyder, at kun netværkstrafik startet af administrerede apps passerer gennem DNS-proxyen, webindholdsfilteret eller begge. En brugers personlige trafik forbliver adskilt og vil ikke blive filtreret eller gå via en proxyserver hos en organisation. Dette opnås vha. nye nøgle- og værdipar for følgende data:
Sådan tilmelder brugerne deres personlige enheder
I iOS 15, iPadOS 15, macOS 14 og visionOS 1.1 og nyere versioner kan organisationer bruge en strømlinet proces til brugertilmelding, som er indbygget direkte i appen Indstillinger, så det er nemmere for brugerne at tilmelde deres personlige enheder.
Gør et af følgende:
På iPhone, iPad og Apple Vision Pro skal brugeren gå til Indstillinger > Generelt > VPN og Administration af enhed og derefter trykke på knappen Log ind på arbejds- eller skolekonto.
På Mac skal brugeren navigere til Indstillinger > Anonymitet & sikkerhed > Profiler og klikke på knappen Log ind på arbejds- eller skolekonto.
Når de indtaster deres administrerede Apple-id, identificerer tjenestesøgningen MDM-løsningens URL-adresse til tilmelding.
Brugeren indtaster derefter brugernavn og adgangskode til sin organisation. Efter vellykket godkendelse af organisationen, sendes tilmeldingsprofilen til enheden. Der udstedes også et sessionstoken til enheden, så der kan foretages løbende godkendelse. Enheden starter derefter tilmeldingsprocessen og beder brugeren om at logge ind med sit administrerede Apple-id. På iPhone, iPad og Apple Vision Pro kan godkendelsesprocessen strømlines ved at bruge tilmelding med log ind i et trin, som reducerer gentagne godkendelsesanmodninger.
Når tilmeldingen er færdig, vises den nye administrerede konto tydeligt i appen Indstillinger (iPhone, iPad og Apple Vision Pro) og Systemindstillinger (Mac). På den måde kan brugerne stadigvæk få adgang til arkiver i iCloud Drive, som de har oprettet med deres personlige Apple-id. Organisationens iCloud Drive (der er tilknyttet brugerens administrerede Apple-id) vises separat i appen Arkiver.
På iPhone, iPad og Apple Vision Pro har administrerede apps og administrerede dokumenter på internettet alle adgang til organisationens iCloud Drive, og MDM-administratoren kan bruge bestemte begrænsninger til at holde personlige dokumenter og organisationens dokumenter adskilt. Du kan få flere oplysninger i Begrænsninger og muligheder for administrerede apps.
Brugere kan se detaljerede oplysninger om, hvad der administreres på deres personlige enhed, og hvor meget iCloud-lagringsplads, der stilles til rådighed af deres organisation. Da det er brugeren, der ejer enheden, kan brugertilmelding kun anvende en del af dataene og begrænsningerne på den. Du kan få flere oplysninger i MDM-oplysninger til tilmelding af bruger.
Sådan holder Apple brugerdata adskilt fra organisationens data
Når brugertilmelding af gennemført, oprettes der automatisk separate krypteringsnøgler på enheden. Hvis enheden afmeldes af brugeren eller eksternt via MDM, bliver disse krypteringsnøgler destrueret på en sikker måde. Nøglerne bruges til kryptografisk adskillelse af de administrerede data nedenfor:
Beholdere med appdata: iPhone, iPad, Mac og Apple Vision Pro
KALENDER: iPhone, iPad, Mac og Apple Vision Pro
Enhederne skal have iOS 16, iPadOS 16.1, macOS 13 og visionOS 1.1 eller en nyere version.
Nøgleringsemner: iPhone, iPad, Mac og Apple Vision Pro
Bemærk: Tredjepartsappen på Mac skal bruge databeskyttelsesnøglering-API’en. Du kan få flere oplysninger i Apple Developer-dokumentationen kSecUseDataProtectionKeychain.
Bilag til og indholdet af e-mails: iPhone, iPad, Mac og Apple Vision Pro
Toner: iPhone, iPad, Mac og Apple Vision Pro
Påmindelser: iPhone, iPad, Mac og Apple Vision Pro
Enhederne skal have iOS 17, iPadOS 17, macOS 14 og visionOS 1.1 eller en nyere version.
Hvis en bruger både er logget ind med et personligt Apple-id og et administreret Apple-id, bruger Log ind med Apple automatisk det administrerede Apple-id til administrerede apps og det personlige Apple-id til ikke-administrerede apps. Ved brug af en loginproces i Safari eller SafariWebView i en administreret app kan brugeren vælge og indtaste sit administrerede Apple-id for at forbinde sit login med sin arbejdskonto.
Systemadministratorer kan kun administrere en organisations konti, indstillinger og oplysninger, som er implementeret med MDM, aldrig en brugers personlige konto. Det er faktisk de samme funktioner, som opbevarer data sikkert i apps administreret af organisationen, som også beskytter en brugers personlige indhold mod at komme ind i virksomhedens datastrøm.
MDM kan | MDM kan ikke |
---|---|
Konfigurere konti | Se personlige oplysninger, brugerdata eller logarkiver |
Få adgang til oversigt over administrerede apps | Få adgang til oversigt over personlige apps |
Kun fjerne administrerede data | Fjerne personlige data |
Installere og konfigurere apps | Overtage administrationen af en personlig app |
Kræve en kode | Kræve en kompleks kode eller adgangskode |
Gennemtvinge visse begrænsninger | Få adgang til enhedens lokalitet |
Konfigurer VPN til hver app | Få adgang til entydige enheds-id'er |
| Slette hele enheden eksternt |
| Administrere aktiveringslås |
| Få adgang til roamingstatus |
| Slå funktionen Mistet til |
Bemærk: På iPhone og iPad kan administratorer kræve koder med mindst seks tegn og forhindre brugere i at bruge simple adgangskoder (f.eks. “123456” eller “abcdef”), men de kan ikke kræve komplekse tegn eller koder.