iCloud til administrerede Apple-konti
Afhængigt af din organisations implementeringsmodel kan brugere af dine administrerede enheder bruge deres personlige Apple-konto, en administreret Apple-konto, dem begge eller ingen af delene.
Overvej at forsyne brugere, som arbejder på enheder, der ejes af din organisation, med en administreret Apple-konto. Eftersom kontoen ejes af din organisation, kan du derfor både administrere tjenesterne, brugerne har adgang til, og enhederne, de kan logge ind på.
iCloud-tjenester
Hvis iCloud-tjenester er tilgængelige via en administreret Apple-konto, kan brugerne opbevare personligt indhold som kontakter, kalendere, dokumenter og noter – og holde dem opdateret på flere Apple-enheder. iCloud beskytter indhold ved at kryptere det, når det sendes over internettet, opbevare det i krypteret format og bruge sikre tokens til godkendelse. Du finder flere oplysninger om iCloud-sikkerhed under Oversigt over iCloud-sikkerhed i Sikkerhed på Apples platforme.
Bemærk: Nogle iCloud-funktioner kræver en Wi-Fi-forbindelse, ikke alle funktioner er tilgængelige i alle lande og områder, og adgang til nogle tjenester er begrænset til 10 enheder med den samme Apple-konto.
iCloud Drive
Brugerne kan lagre deres dokumenter og arkiver på iCloud Drive og få adgang til dem fra iPhone-, iPad- og Mac-enheder eller Windows-computere, hvor iCloud er indstillet. Dokumenter holdes ajour på alle enheder, og ændringer, der foretages i et arkiv, mens brugeren er offline, opdateres automatisk, når enheden har internetforbindelse igen.
Brugere kan konfigurere deres macOS-mapper Skrivebord og Dokumenter til automatisk at blive opbevaret i iCloud Drive, hvilket betyder, at indholdet er tilgængeligt på alle brugerens enheder.
Brugere kan endda samarbejde om dokumenter, der opbevares i iCloud Drive, hvis dokumenterne er oprettet med Pages, Numbers, Keynote eller andre apps, der understøtter CloudKit. Hvis der bruges administrerede Apple-konti, kan organisationer definere, om samarbejde er muligt med både interne og eksterne brugere.
iCloud-nøglering
iCloud-nøglering holder adgangskoder til Wi-Fi-netværk og til websteder, som bruges i Safari, ajour på alle dine iPhone-, iPad- og Mac-enheder, hvor iCloud er indstillet. Den opbevarer også login- og konfigurationsoplysninger om internetkonti og adgangskoder til andre apps, der understøtter iCloud. iCloud-nøglering kan også opbevare oplysninger om kreditkort, som brugerne gemmer i Safari, så Safari kan udfylde dem automatisk.
iCloud-nøglering består af to tjenester:
Nøglering holdes ajour på alle enheder
Gendannelse af nøglering
Der etableres en godkendelseskæde, som bruges på en brugers godkendte enheder, så nøgleringsemner kan udveksles på sikker vis. Nye enheder, der føjes til kæden, skal enten godkendes af en eksisterende enhed med iCloud-nøglering eller vha. gendannelse af iCloud-nøglering. Hvert synkroniseret emne krypteres, så det kun kan dekrypteres af en enhed i brugerens godkendelseskæde. Det kan ikke dekrypteres af nogen andre enheder eller Apple.
iCloud-nøglering deponerer brugeres data i nøgleringen hos Apple, uden at Apple har tilladelse til at læse adgangskoder og andre data, den indeholder. Hvis brugeren kun har en enkelt enhed, leverer gendannelse af nøglering stadig et sikkerhedsnet, der forhindrer tab af data. Det er især vigtigt, når Safari bruges til at fremstille tilfældige, stærke adgangskoder til webkonti, fordi disse adgangskoder kun er registreret i nøgleringen.
En del af gendannelse af nøglering er sekundær godkendelse og en sikker deponeringstjeneste, der er udviklet af Apple specifikt til at understøtte denne funktion. Brugerens nøglering krypteres med en stærk krypteringsnøgle, og deponeringstjenesten udleverer kun en kopi af nøglen, hvis nogle strenge betingelser opfyldes, og brugeren skriver koden til en af sine tidligere enheder.
Vigtigt: Administrerede Apple-konti understøtter ikke gendannelse af iCloud-nøglering vha. en gendannelseskontakt.
Loginnøgler
Loginnøgler er designet til at gøre det muligt at logge ind uden adgangskoder, hvilket både er praktisk og sikkert. De bygger på en standardbaseret teknologi, som kan modstå phishing, er altid stærke og ikke har nogen shared secrets.
Med understøttelse af iCloud-nøglering til administrerede Apple-konti kan organisationer implementere loginnøgler, så medarbejderne kan få adgang til virksomhedsressourcer, og sørge for, at loginnøglerne synkroniseres sikkert til alle deres iPhone-, iPad- og Mac-enheder. Ved hjælp af funktioner til administration af adgang kan de også definere den nødvendige administrationsstatus for en enhed, så den tillader adgang til administrerede loginnøgler.
En konfiguration med deklarationsbaseret attestering af loginnøgler gør det muligt for en administreret enhed at levere en attestering, når der tilvejebringes en loginnøgle til en organisationstjeneste. Attesteringen leveres, når en bruger registrerer en loginnøgle til et websted eller en app, der bruger et domæne anført i konfigurationen. Når enheden har en sikkert genereret loginnøgle, benyttes den certifikatidentitet, som er defineret i konfigurationen, til at udføre en WebAuthn-attestering med den brugte tjeneste. Det gør det muligt for tjenesten at bekræfte, at loginnøglen blev oprettet på en enhed, der administreres af organisationen, før der gives adgang.
De genererede loginnøgler bliver automatisk lagret i den iCloud-nøglering, der er tilknyttet den administrerede Apple-konto. Hvis der ikke er en administreret Apple-konto, kan loginnøglen ikke oprettes.
Appudviklere kan give brugeren en enkel loginproces ved at bruge tilknyttede domæner til at etablere en sikker forbindelse mellem domæner og deres app (og evt. tillade en konfiguration af tilknyttede domæner via MDM). Hvis det er tilgængeligt, kan iOS, iPadOS og macOS automatisk vælge og levere den rigtige loginnøgle og sikre en problemfri loginoplevelse. Hvis en tredjepartstjeneste udfører godkendelsen, kan ASWebAuthenticationSession bruges i stedet.
Du kan få flere oplysninger i Deklarationsbaseret konfiguration af attestering af loginnøgle.
Adgang til iCloud-tjenester
Hvis der logges ind med en administreret Apple-konto under Indstillingsassistent, eller menuemnet Apple-konto øverst i Indstillinger (iPhone og iPad) eller Systemindstillinger (Mac) bruges, giver det adgang til alle tjenester, der er tilgængelige i kontoen.
Brugere kan tilføje yderligere konti i Indstillinger > Mail > Konti (iPhone, iPad, Apple Vision Pro) eller i Systemindstillinger > Internetkonti (Mac) for at få adgang til e-mail (hvis Mail er tilgængelig for kontoen), kontakter og kalendere, der opbevares med en anden personlig Apple-konto, og kontakter, kalendere og påmindelser for en administreret Apple-konto.
Kontodrevet enhedstilmelding og brugertilmelding udvider listen af tjenester, der er tilgængelige på en enhed med en administreret Apple-konto, til kontakter, kalendere, påmindelser, noter, iCloud Drive og iCloud-sikkerhedskopiering.
Administrer adgang til iCloud
Du kan slå individuelle iCloud-tjenester, der er tilgængelige i en administreret Apple-konto, fra i Apple School Manager og Apple Business Manager. Du kan også definere, hvilke enheder brugere kan logge ind på, få adgang til data fra deres administerede Apple-konti og vælge, hvem de kan kommunikere og samarbejde med. Hvis brugeren primært bruger en personlig Apple-konto, kan organisationen slå visse iCloud-tjenester fra på administrerede enheder vha. begrænsninger. Bemærk, at nogle begrænsninger kræver, at enheden er under tilsyn.