Distribuer administrerede apps til Apple-enheder
Afhængigt af organisationen skal du måske styre, hvordan apps, som du distribuerer til brugerne, opretter forbindelse til interne ressourcer, og hvordan du håndterer datasikkerheden, når en bruger forlader organisationen. Du kan distribuere gratis, købte og specielle apps trådløst via tjenesten til enhedsadministration og administrere dataflowet for at skabe den rette balance mellem organisationens sikkerhed og brugertilpasning.
Administrerede apps
Apps, der installeres vha. en tjeneste til enhedsadministration, kaldes administrerede apps. De indeholder ofte fortrolige oplysninger, og du har større kontrol over dem end over apps, som brugeren henter.
Administrerede apps kan fjernes fra en enhed på følgende måder:
Eksternt af tjenesten til enhedsadministration.
Når en bruger framelder en enhed fra en tjeneste til enhedsadministration.
Når du fjerner en app på iPhone, iPad og Apple Vision Pro, fjernes også de tilknyttede data i databeholderen. Hvis en tjeneste til enhedsadministration tilbagekalder en applicens på en iPhone, iPad eller Apple Vision Pro, men ikke fjerner den, kan appen bruges på enheden i 30 dage. Hvis appudvikleren implementerer kontrol for modtagelse, kan appen blive deaktiveret tidligere. På en Mac kan apps bruges indtil kontrol for modtagelse.
Når en app deaktiveres, kan den ikke længere startes, og brugeren får besked, men appen bliver på enheden, og dens data bevares. Appen kan bruges igen, når brugeren køber en kopi.
Begrænsninger og muligheder for administrerede apps
Administrerede apps kan have følgende muligheder og begrænsninger, som giver større sikkerhed og en bedre brugeroplevelse:
Framelding fra en tjeneste til enhedsadministration: Angiv, om administrerede apps og deres data skal blive på enheden, når brugeren framelder sig fra en tjeneste til enhedsadministration.
Konverter apps: Konverter ikke-administrerede apps til administrerede apps.
Hvis enheden er under tilsyn, sker skiftet fra en ikke-administreret app til en administreret app, uden at brugeren skal gøre noget, hvis tjenesten til enhedsadministration anmoder om det. Hvis enheden ikke er under tilsyn, skal brugeren formelt godkende administrationen. Konvertering af apps understøttes ikke sammen med brugertilmelding.
Opdateringer af appversion: Undersøg regelmæssigt, om der er nye versioner af apps i App Store, og send derefter en installeringskommando til enheden for at opdatere appen. Denne kontrol gælder også for specielle apps. Apps, som er tildelt en enhed, og som du installerer og administrerer via en tjeneste til enhedsadministration, skal opdateres af den pågældende tjeneste. Notifikationer om opdatering af disse apps vises ikke til brugerne i App Store.
Tillad Tap to Pay (iOS): På enheder med iOS 16.4 eller en nyere version kan en betalingsapp, der afvikles i forgrunden, markeres til sikker brug under en Tap to Pay-transaktion. Når det er indstillet, skal brugeren låse sin enhed op med Face ID, Touch ID eller en kode efter hver transaktion, hvor enheden har været overladt til en kunde, som skulle indtaste sin PIN-kode til et kort.
Brug begrænsninger for Administreret åbning (iOS, iPadOS): Du kan vælge mellem tre funktioner til at beskytte din organisations appdata:
Tillad dokumenter fra ikke-administrerede afsenderenheder på administrerede modtagerenheder. Håndhævelse af denne begrænsning kan forhindre en brugers personlige afsenderenheder og konti i at åbne dokumenter på organisationens administrerede modtagerenheder. Denne begrænsning kan for eksempel forhindre en bruger i at åbne et PDF-dokument fra et tilfældigt websted i organisationens app til PDF-dokumenter.
Tillad dokumenter fra administrerede afsenderenheder på ikke-administrerede modtagerenheder. Håndhævelse af denne begrænsning kan forhindre en organisations administrerede afsenderenheder og konti i at åbne dokumenter på en brugers personlige modtagerenheder. Denne begrænsning kan forhindre, at et fortroligt bilag i en e-mail i organisationens administrerede e-mailkonto kan åbnes i en af brugerens personlige apps.
Administreret udklipsholder. På enheder med iOS 15 og iPadOS 15 eller nyere versioner hjælper denne begrænsning med at styre indsættelse af indhold mellem administrerede og ikke-administrerede destinationer. Når ovennævnte begrænsninger håndhæves, respekteres begrænsningen for Administreret åbning mellem tredjeparts- og førstepartsapps som Kalender, Arkiver, Mail og Noter ved indsættelse af indhold. Når denne begrænsning håndhæves, og indhold går på tværs af den administrerede grænse, kan apps ikke anmode om emner fra udklipsholderen. På enheder med iOS 16 og iPadOS 16.1 og nyere versioner inkluderer dette administrerede domæner.
Indstil, at apps ikke kan fjernes (iOS, iPadOS): På enheder med iOS 14 og iPadOS 14 og nyere versioner kan du indstille, at administrerede apps ikke kan slettes. Tidligere var administratorer nødt til helt at låse hjemmeskærmen og forhindre sletning af alle apps. Det begrænsede brugerens mulighed for at administrere sine egne apps. Brugerne kan stadig flytte rundt på deres apps, installere nye og slette andre, de selv har installeret. Administratorer kan indstille, at deres forretningskritiske administrerede apps ikke kan slettes. Hvis brugerne forsøger at slette eller fjerne en administreret app, forhindres proceduren, og der vises en advarsel. Muligheden for at forhindre, at administrerede apps slettes, sikrer, at en organisation altid har de nødvendige apps på sine enheder.
Undgå, at administrerede apps foretager sikkerhedskopiering af data (macOS): Du kan hjælpe med at forhindre administrerede apps i at sikkerhedskopiere data til Finder (macOS 10.15 og nyere versioner), iTunes (macOS 10.14 og tidligere versioner) eller iCloud. Hvis sikkerhedskopiering ikke er tilladt, er det med til at forhindre, at nogen gendanner data fra en administreret app, hvis en tjeneste til enhedsadministration fjerner appen, og en bruger installerer den igen senere.
Brug indstillinger til appkonfiguration: Appudviklere kan identificere konfigurationsindstillinger, som kan angives, før eller efter appen er installeret som en administreret app. For eksempel kan en udvikler angive en SkipIntro-indstilling for at få appen til at springe over introduktionsskærmen for den administrerede app.
Brug indstillinger til appfeedback, som en tjeneste til enhedsadministration kan læse: Appudviklere kan identificere appindstillinger, som en tjeneste til enhedsadministration kan læse. F.eks. angiver en udvikler måske nøglen
DidFinishSetup, som en tjeneste til enhedsadministration kan sende en forespørgsel til for at afgøre, om en app starter og indstilles korrekt.Hent administrerede dokumenter fra Safari: Overførsler fra Safari betragtes som administrerede dokumenter, hvis de stammer fra et administreret domæne. Hvis en bruger f.eks. overfører et PDF-dokument fra et administreret domæne, kræves det, at PDF-dokumentet overholder alle indstillingerne til administrerede dokumenter. Du kan få flere oplysninger i Eksempler på administreret domæne.
Undgå, at administrerede apps gemmer data i iCloud: Data, som oprettes af brugere i ikke-administrerede apps, kan stadig lagres i iCloud.
Bemærk: Det er ikke alle muligheder, som er tilgængelige i alle tjenester til enhedsadministration. Du kan se, hvilke muligheder der er tilgængelige til dine enheder, i dokumentationen fra udvikleren af din tjeneste til enhedsadministration.
Konfiguration af administrerede apps
Organisationer har ofte brug for at tilpasse brugeroplevelsen i en app efter deres specifikke behov eller efter en særlig gruppe brugere.
På enheder med iOS 18.4, iPadOS 18.4, visionOS 2.4 eller nyere versioner kan organisationer implementere appspecifikke konfigurationer og hemmelige dele (f.eks. adgangskoder, certifikater og identiteter) på en sikker måde for administrerede apps, der bruger frameworket ManagedApp. Det giver organisationer mulighed for at tilpasse virkemåden for en app, strømline brugeroplevelsen og styrke sikkerheden med konfigurationen com.apple.configuration.app.managed. De kan f.eks.:
Forudkonfigurere en administreret app eller appudvidelse til en bestemt enhed eller bruger.
Bruge automatisk klargjorte identiteter til godkendelse og signering.
Modtage API-adgangstokens på en sikker måde.
Hente certifikater til speciel godkendelse (pinning-certifikater).
Bruge hardwareknyttede nøgler og Attestering af administreret enhed til avanceret enhedsgodkendelse.
Du kan få flere oplysninger i ManagedApp framework på Apple Developer-webstedet.
Administrerede bøger
Du kan også bruge en tjeneste til enhedsadministration til at distribuere administrerede bøger, EPUB-bøger og PDF-dokumenter, som du opretter.
EPUB-bøger og PDF-dokumenter, som distribueres af en tjeneste til enhedsadministration, har samme egenskaber som andre administrerede dokumenter. Du kan opdatere dem med nyere versioner efter behov, vælge kun at dele dem med andre administrerede apps eller sende dem via e-mail vha. en administreret Apple-konto. Tjenesten til enhedsadministration kan også forhindre brugere i at sikkerhedskopiere administrerede bøger. Selvom du tildeler disse bøger til brugere, vises de kun på iPhone- og iPad-enheder, som en tjeneste til enhedsadministration tildeler til brugerne.
Bemærk: Administrerede bøger understøttes ikke på Apple Vision Pro.
Begræns tastaturer fra tredjeparter
iOS og iPadOS understøtter regler for Administreret åbning, som gælder for tastaturudvidelser fra tredjeparter. Reglerne forhindrer ikke-administrerede tastaturer i at blive vist over administrerede apps.