Kontodrevne tilmeldingsmetoder med Apple-enheder
Med kontodrevet brugertilmelding og kontodrevet enhedstilmelding kan brugere og organisationer indstille Apple-enheder til arbejdsbrug på en problemfri og sikker måde ved at logge ind med en administreret Apple-konto.
Denne metode gør det muligt at logge ind på den samme enhed med både en administreret Apple-konto og en personlig Apple-konto, således at personlige og arbejdsrelaterede data er fuldstændigt adskilte. Brugerne kan holde deres personlige oplysninger private, og IT-afdelingen kan understøtte arbejdsrelaterede apps, indstillinger og konti.
For at understøtte denne adskillelse er der blevet foretaget følgende ændringer i den måde, apps og sikkerhedskopier håndteres på:
Alle konfigurationer og indstillinger fjernes, når tilmeldingsprofilen fjernes.
Administrerede apps fjernes altid under frameldingen.
Hvis du installerer apps før tilmeldingen til en tjeneste til enhedsadministration, kan du ikke konvertere dem til administrerede apps.
Gendannelse fra en sikkerhedskopi gendanner ikke tilmeldingen til en tjeneste til enhedsadministration.
Brugere, der logger ind med deres personlige Apple-konto, kan ikke acceptere en invitation til administreret appdistribution.
Selvom du kan oprette administrerede Apple-konti manuelt, kan organisationer med fordel benytte integration med Google Workspace, Microsoft Entra ID eller organisationens identitetsudbyder.
Du kan få flere oplysninger om forenet godkendelse i Introduktion til godkendelse via organisationsnetværket med Apple School Manager eller Introduktion til godkendelse via organisationsnetværket med Apple Business Manager.
Kontodrevet tilmeldingsproces
For at tilmelde en enhed vha. kontodrevet brugertilmelding eller kontodrevet enhedstilmelding skal brugeren gå til Indstillinger > Generelt > VPN og Administration af enhed eller gå til Systemindstillinger > Generelt > Administration af enhed og trykke på knappen Log ind på arbejds- eller skolekonto.
Dette starter en tilmeldingsproces til en tjeneste til enhedsadministration, der består af følgende fire faser:
Søgning efter tjeneste: Enheden fastslår URL-adressen til tilmelding i tjenesten til enhedsadministration.
Godkendelse og adgangstoken: Brugeren angiver sine brugeroplysninger for at godkende tilmeldingen og får udstedt et adgangstoken til løbende godkendelse.
Tilmelding til tjeneste: Tilmeldingsprofilen sendes til enheden, og brugeren skal logge ind med sin administrerede Apple-konto for at færdiggøre tilmeldingen.
Løbende godkendelse: Tjenesten til enhedsadministration bekræfter løbende den bruger, der er logget ind, vha. adgangstokenet.
Fase 1: Søgning efter tjeneste
Under det første trin forsøger tjenestesøgningen at identificere URL-adressen til tilmelding i tjenesten til enhedsadministration. I den forbindelse anvendes id'et, som brugeren indtaster, f.eks. eliza@betterbag.com. Domænet skal være et fuldstændigt domænenavn (FQDN), der meddeler tjenesten til enhedsadministration til brugerens organisation.
Herefter sker følgende:
Trin 1
Enheden identificerer domænet i det anførte id (i eksemplet ovenfor er det betterbag.com).
Trin 2
Enheden anmoder om den velkendte ressource fra organisationens domæne, f.eks https://<domain>/.well-known/com.apple.remotemanagement.
Klienten inkluderer to forespørgselsparametre i HTTP GET-anmodningens URL-sti:
user-identifier: Værdien af det indtastede konto-id (i eksemplet ovenfor er det eliza@betterbag.com).
model-family: Enhedens modelserie (f.eks. iPhone, iPad eller Mac).
Bemærk: Enheden følger HTTP 3xx-omdirigeringsanmodninger, så selve com.apple.remotemanagement-arkivet kan hostes på en anden server, som enheden har adgang til.
Processen med tjenestesøgning giver enheder med iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 eller nyere versioner mulighed for at hente den velkendte ressource fra en alternativ placering, som tjenesten til enhedsadministration angiver, når den er tilknyttet Apple School Manager eller Apple Business Manager. Ved tjenestesøgning anmodes der stadigvæk først om den velkendte ressource på organisationens domæne. Hvis anmodningen slår fejl, fortsætter enheden til Apple School Manager eller Apple Business Manager for at søge efter en alternativ placering for den velkendte ressource. Dennne proces kræver, at Apple School Manager eller Apple Business Manager bekræfter domænet i id’et. Du kan få flere oplysninger i Tilføj og bekræft et domæne i Apple School Manager eller Tilføj og bekræft et domæne i Apple Business Manager.
For at kunne benytte denne funktion skal tjenesten til enhedsadministration konfigurere den alternative URL-adresse til tjenestesøgning, når den er tilknyttet Apple Business Manager eller Apple School Manager. Når enheden kontakter Apple School Manager eller Apple Business Manager, fastslår enhedstypen den tildelte tjeneste for den pågældende type. Det er den samme proces, der bruges til at fastslå standardtjenesten for automatisk enhedstilmelding. Hvis den tildelte tjeneste har en konfigureret URL-adresse til tjenestesøgning, anmoder enheden derefter om den velkendte ressource fra denne placering. Se Indstil standarden for enhedstildeling i Apple School Manager eller Indstil standarden for enhedstildeling i Apple Business Manager, hvis du vil indstille standarden for enhedstildeling.
Tjenesten til enhedsadministration kan også hoste den velkendte ressource.
Trin 3
Serveren, der hoster den velkendte ressource, svarer med et JSON-dokument til tjenestesøgning i overensstemmelse med følgende skema:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Nøglerne til tilmelding til tjenesten til enhedsadministration med oplysninger om typer og beskrivelser af dem kan ses i tabellen herunder. Alle nøgler er obligatoriske.
Nøgle | Type | Beskrivelse |
|---|---|---|
Servers | Array | En liste med en enkelt optegnelse. |
Version | Streng | Denne nøgle bestemmer, hvilken tilmeldingsmetode der bruges, og den skal enten være |
BaseURL | Streng | URL-adressen til tilmelding i tjenesten til enhedsadministration. |
Vigtigt: Serveren skal sikre, at Content-Type-headerfeltet i HTTP-svaret er indstillet til application/json.
Trin 4
Enheden sender en HTTP POST-anmodning til URL-adressen til tilmelding, som er angivet afBaseURL-nøglen.
Fase 2: Godkendelse og adgangstoken
For at godkende tilmeldingen skal brugeren godkende med tjenesten til enhedsadministration. Når godkendelsen er færdig, udsteder tjenesten til enhedsadministration et adgangstoken til enheden. Enheden opbevarer tokenet på sikker vis til brug ved godkendelse af fremtidige anmodninger.
Om adgangstokenet:
Er vigtigt i både den indledende godkendelsesproces og for den løbende adgang til ressourcer i tjenesten til enhedsadministration
Fungerer som en sikker bro mellem brugerens administrerede Apple-konto og tjenesten til enhedsadministration
Bruges til at give kontinuerlig adgang til arbejdsressourcer til alle kontodrevne tilmeldinger
På iPhone, iPad og Apple Vision Pro kan den indledende og den løbende godkendelsesproces strømlines vha. tilmelding med log ind i et trin, som reducerer gentagne godkendelsesanmodninger. Du kan få flere oplysninger i Tilmelding med Log ind i et trin til iPhone, iPad og Apple Vision Pro.
Fase 3: Tilmelding til tjenesten til enhedsadministration
Vha. adgangstokenet kan enheden godkende med tjenesten til enhedsadministration og få adgang til tilmeldingsprofilen. Profilen indeholder alle oplysninger, som enheden skal bruge til at udføre tilmeldingen. Brugeren skal logge ind med sin administrerede Apple-konto for at gennemføre tilmeldingen. Når tilmeldingen er gennemført, vises den administrerede Apple-konto tydeligt i Indstillinger og Systemindstillinger.
Du kan få flere oplysninger om, hvilke iCloud-tjenester der er tilgængelige for brugerne, i Adgang til iCloud-tjenester.
Fase 4: Løbende godkendelse
Efter tilmelding er adgangstokenet stadig aktivt og inkluderes i alle anmodninger til tjenesten til enhedsadministration vha. HTTP-headeren Authorization. På den måde kan tjenesten godkende brugeren løbende, og det bidrager til at sikre, at kun godkendte brugere kan få adgang til organisationens ressourcer.
Adgangstokens udløber typisk efter en fastsat periode. Når det sker, kan enheden bede brugeren om at godkende adgangstokenet igen for at forny det. Periodisk forlængelse er med til at forbedre sikkerheden, og det er vigtigt for både personlige og organisationsejede enheder. Med tilmelding med SSO fornys tokens automatisk via organisationens identitetsudbyder, hvilket sikrer uforstyrret adgang uden at skulle godkende igen.
Sådan adskilles brugerdata fra organisationens data med kontodrevne tilmeldingsmetoder
Når kontodrevet brugertilmelding eller kontodrevet enhedstilmelding er gennemført, opretter operativsystemet automatisk separate krypteringsnøgler på enheden. Hvis brugeren framelder enheden, eller hvis tjenesten til enhedsadministration framelder enheden eksternt, ødelægger operativsystemet disse krypteringsnøgler. Operativsystemet bruger nøglerne til kryptografisk adskillelse af de administrerede data vist i denne tabel.
Indhold | Min. understøttede operativsystemversioner | Beskrivelse | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Beholdere med data fra administrerede apps | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Administrerede apps bruger den administrerede Apple-konto, der er knyttet til tilmeldingen til tjenesten til enhedsadministration, til synkronisering af iCloud-data. Herunder administrerede apps (installeret med nøglen | |||||||||
Appen Kalender | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Begivenheder er adskilte. | |||||||||
Nøgleringsemner | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Tredjepartsappen på Mac skal bruge Data Protection Keychain-API’en. Du kan få flere oplysninger i beskrivelsen af den globale variabel kSecUseDataProtectionKeychain på Apple Developer-webstedet. | |||||||||
Appen Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Bilag til og indholdet af e-mails er adskilte. | |||||||||
Appen Noter | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Noter er adskilte. | |||||||||
Appen Påmindelser | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Påmindelser er adskilte: | |||||||||
På iPhone, iPad og Apple Vision Pro har administrerede apps og administrerede dokumenter på internettet alle adgang til en organisations iCloud Drive (som vises separat i appen Arkiver, når en bruger logger ind med sin administrerede Apple-konto). Administratoren af tjenesten til enhedsadministration kan bruge bestemte begrænsninger til at holde personlige dokumenter og organisationens dokumenter adskilt. Du kan få flere oplysninger i Distribuer administrerede apps til Apple-enheder.
Hvis en bruger både er logget ind med en personlig Apple-konto og en administreret Apple-konto, bruger Log ind med Apple automatisk den administrerede Apple-konto til administrerede apps og den personlige Apple-konto til ikke-administrerede apps. Ved brug af en loginproces i Safari eller SafariWebView i en administreret app kan brugeren vælge og indtaste sin administrerede Apple-konto for at forbinde sit login med sin arbejds- eller skolekonto.
