Benutzerregistrierung und MDM
Die Benutzerregistrierung ist auf BYOD-Umgebungen ausgelegt, d. h., die Benutzer bringen ihre eigenen Geräte in die Organisation mit und bleiben Eigentümer dieser Geräte. Sie funktioniert mit Identitätsanbietern, Google Workspace oder Microsoft Entra ID, Apple School Manager oder Apple Business Manager sowie einer MDM-Drittanbieterlösung. Sie funktioniert außerdem mit der in Apple Business Essentials integrierten Geräteverwaltung.
Bei der Benutzerregistrierung in der MDM-Lösung gibt es vier Phasen:
Dienstentdeckung: Das Gerät identifiziert sich selbst bei der MDM-Lösung.
Benutzerregistrierung: Die Benutzer stellen einem Identitätsanbieter (IdP) Anmeldedaten für die Autorisierung zur Verfügung, um sich bei der MDM-Lösung zu registrieren.
Sitzungstoken: Für das Gerät wird ein Sitzungstoken ausgestellt, das eine kontinuierliche Authentifizierung erlaubt.
MDM-Registrierung: Das Registrierungsprofil mit den vom MDM-Administrator konfigurierten Payloads wird an das Gerät gesendet.
Benutzerregistrierung und verwaltete Apple Accounts
Für die Benutzerregistrierung sind verwaltete Apple Accounts erforderlich. Diese befinden sich im Eigentum einer Organisation, werden von ihr verwaltet und ermöglichen Mitarbeitenden den Zugriff auf bestimmte Apple-Dienste. Zusätzlich werden verwaltete Apple Accounts:
manuell erstellt oder mit einer föderierten Authentifizierung automatisch erstellt
mit einem Studierendeninformationssystem (SIS) oder durch das Hochladen von .csv-Dateien (nur Apple School Manager) integriert
oder für die Anmeldung mit einer zugewiesenen Rolle in Apple School Manager, Apple Business Manager oder Apple Business Essentials verwendet
Wenn ein Benutzer ein Registrierungsprofil entfernt, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden.
Die Funktion für die Benutzerregistrierung ist in den verwalteten Apple Accounts integriert, um eine Benutzeridentität auf dem jeweiligen Gerät zu etablieren. Der Benutzer muss sich erfolgreich authentifizieren, um die Registrierung abzuschließen. Der verwaltete Apple Account kann parallel zum privaten Apple Account verwendet werden, den ein Benutzer für die Anmeldung verwendet. Die beiden Accounts interagieren nicht miteinander.
Benutzerregistrierung und föderierte Authentifizierung
Obwohl verwaltete Apple Accounts manuell erstellt werden können, können Organisationen die Synchronisierung über einen Identitätsanbieter, Google Workspace oder Microsoft Entra ID und die Benutzerregistrierung nutzen. Dazu muss die Organisation zuerst:
Anmeldedaten des Benutzers mit einem Identitätsanbieter, Google Workspace oder Microsoft Entra ID verwalten
Bei Verwendung einer Version von Active Directory vor Ort ist eine zusätzliche Konfiguration erforderlich, um die föderierte Authentifizierung vorzubereiten.
Organisation bei Apple School Manager, Apple Business Manager oder Apple Business Essentials anmelden
Föderierte Authentifizierung in Apple School Manager, Apple Business Manager oder Apple Business Essentials konfigurieren
MDM-Lösung konfigurieren und diese mit Apple School Manager, Apple Business Manager oder Apple Business Essentials verknüpfen oder die in Apple Business Essentials integrierte Geräteverwaltung verwenden
(Optional) verwaltete Apple Accounts erstellen
Benutzerregistrierung und verwaltete Apps (macOS)
Bei der Benutzerregistrierung werden verwaltete Apps zu macOS hinzugefügt (diese Funktion war bereits mit den Optionen „Geräteregistrierung“ und „Automatische Geräteregistrierung“ möglich). Verwaltete Apps, die CloudKit verwenden, nutzen den verwalteten Apple Account, der der MDM-Registrierung zugeordnet ist. MDM-Administratoren müssen den Schlüssel InstallAsManaged
zum Befehl InstallApplication
hinzufügen. Diese Apps können, ähnlich wie bei iOS- und iPadOS-Apps, automatisch entfernt werden, wenn Benutzer die Registrierung bei der MDM-Lösung aufheben.
Benutzerregistrierung und Pro-App-Netzwerk
Netzwerk pro App ist in iOS 16, iPadOS 16.1 und visionOS 1.1 (oder neuer) für VPN (auch als VPN pro App bezeichnet), DNS-Proxies und Webinhaltsfilter für Geräte verfügbar, die mit der Benutzerregistrierung registriert wurden. Dies bedeutet, dass nur Netzwerkverkehr, der von verwalteten Apps stammt, durch den DNS-Proxy, den Webinhaltsfilter oder beide geleitetet wird. Der persönliche Netzwerkverkehr eines Benutzers bleibt separat und wird nicht durch die Organisation gefiltert oder über einen Proxy geleitet. Dies wird durch die Nutzung von neuen Schlüsselwertpaaren für die folgenden Payloads erreicht:
Registrieren persönlicher Geräte durch Benutzer
In iOS 15, iPadOS 15, macOS 14 und visionOS 1.1 (oder neuer) können Organisationen einen optimierten Prozess für die Benutzerregistrierung nutzen, der in die App „Einstellungen“ integriert ist und die Registrierung persönlicher Geräte erleichtert.
Gewünschte Aktion:
Dazu müssen Benutzer auf iPhone-, iPad- und Apple Vision Pro-Geräten „Einstellungen“ > „Allgemein“ > „VPN und Geräteverwaltung“ öffnen und auf die Taste „Bei Arbeits- oder Schulaccount anmelden“ tippen.
Auf Mac-Geräten öffnen Benutzer „Systemeinstellungen“ > „Datenschutz & Sicherheit“ > „Profile“ und wählen die Taste „Bei Arbeits- oder Schulaccount anmelden“.
Nach dem Eingeben ihres verwalteten Apple Account identifiziert die Diensterkennung die Registrierungs-URL der MDM-Lösung.
Die Benutzer geben dann ihren Benutzernamen und das zugehörige Passwort von ihrer Organisation ein. Nachdem die Authentifizierung der Organisation erfolgreich durchgeführt wurde, wird das Registrierungsprofil an das Gerät gesendet. Für das Gerät wird ebenfalls ein Sitzungstoken ausgestellt, das eine kontinuierliche Authentifizierung erlaubt. Daraufhin startet das Gerät den Registrierungsprozess und fordert den Benutzer auf, sich mit seinem verwalteten Apple Account anzumelden. Auf dem iPhone, iPad und der Apple Vision Pro kann der Authentifizierungsprozess durch die Verwendung der SSO-Registrierung (Single Sign-on) optimiert werden, um wiederholte Authentifizierungsaufforderungen zu reduzieren.
Nach abgeschlossener Registrierung wird der neue verwaltete Account gut sichtbar in der App „Einstellungen“ (iPhone, iPad und Apple Vision Pro) und in den Systemeinstellungen (Mac) angezeigt. Das ermöglicht es Benutzern, weiterhin auf Dateien in dem mit ihrem persönlichen Apple Account erstellten iCloud Drive zuzugreifen. Das iCloud Drive der Organisation (das mit dem verwalteten Apple Account des Benutzers verknüpft it), wird separat in der App „Dateien“ angezeigt.
Auf dem iPhone, iPad und der Apple Vision Pro haben verwaltete Apps und verwaltete webbasierte Dokumente Zugriff auf iCloud Drive der Organisation. Der MDM-Administrator kann aber mit bestimmten Einschränkungen dafür sorgen, dass private und unternehmenseigene Dokumente getrennt voneinander aufbewahrt werden. Weitere Informationen findest du unter Einschränkungen und Funktionen für verwaltete Apps.
Die Benutzer können sich detaillierter anzeigen lassen, was auf ihrem persönlichen Gerät verwaltet und wie viel iCloud-Speicherplatz von der Organisation bereitgestellt wird. Da der Benutzer der Eigentümer des Geräts ist, kann die Benutzerregistrierung nur eine begrenzte Anzahl an Payloads und Einschränkungen auf das Gerät anwenden. Weitere Informationen findest du unter MDM-Informationen für die Benutzerregistrierung.
Trennung von Benutzer- und Organisationsdaten durch Apple
Wenn die Benutzerregistrierung abgeschlossen ist, werden auf dem Gerät automatisch separates Verschlüsselungsschlüssel erstellt. Wenn das Gerät vom Benutzer oder remote via MDM-Lösung deregistriert wird, werden diese Verschlüsselungsschlüssel sicher zerstört. Die Schlüssel werden verwendet, um die unten aufgelisteten Daten kryptographisch zu trennen:
App-Daten-Container: iPhone, iPad, Mac und Apple Vision Pro
Kalender: iPhone, iPad, Mac und Apple Vision Pro
Geräte müssen iOS 16, iPadOS 16.1, macOS 13 oder visionOS 1.1 (oder neuer) verwenden.
Schlüsselbundobjekte: iPhone, iPad, Mac und Apple Vision Pro
Hinweis: Die Mac-Drittanbieter-App muss die Datenschutz-Keychain API nutzen. Weitere Informationen findest du in der Apple Developer-Dokumentation kSecUseDataProtectionKeychain.
E-Mail-Anhänge und Text der E-Mail-Nachricht: iPhone, iPad, Mac und Apple Vision Pro
Notizen: iPhone, iPad, Mac und Apple Vision Pro
Erinnerungen: iPhone, iPad, Mac und Apple Vision Pro
Geräte müssen iOS 17, iPadOS 17, macOS 14 oder visionOS 1.1 (oder neuer) verwenden.
Wenn ein Benutzer mit einem persönlichen Apple Account und einem verwalteten Apple Account angemeldet ist, verwendet „Mit Apple anmelden“ automatisch den verwalteten Apple Account für verwaltete Apps und den persönlichen Apple Account für nicht verwaltete Apps. Beim Verwenden eines Anmeldeflusses in Safari oder SafariWebView in einer verwalteten App, kann der Benutzer seinen verwalteten Apple Account auswählen und eingeben, um die Anmeldung seinem Arbeitsaccount zuzuordnen.
Systemadministratoren können nur Accounts, Einstellungen und Informationen von Organisationen verwalten, die von MDM bereitgestellt werden, keine persönlichen Accounts eines Benutzers. Dieselben Funktionen, die Daten in den Apps der Organisation schützen, verhindern auch, dass die persönlichen Daten des Benutzers in den Datenstrom des Unternehmens gelangen.
Mit MDM möglich | Mit MDM nicht möglich |
---|---|
Accounts konfigurieren | Persönliche Informationen, Nutzungsdaten und Protokolle sehen |
Verzeichnis von verwalteten Apps aufrufen | Verzeichnis von persönlichen Apps aufrufen |
Nur verwaltete Daten entfernen | Persönliche Daten löschen |
Apps installieren und konfigurieren | Verwaltung von persönlichen Apps übernehmen |
Eingabe eines Codes verlangen | Komplexe Codes oder Passwörter erforderlich |
Bestimmte Einschränkungen durchsetzen | Auf Geräteort zugreifen |
VPN pro App konfigurieren | Auf eindeutige Geräte-IDs zugreifen |
| Das gesamte Gerät per Fernzugriff löschen |
| Aktivierungssperre verwalten |
| Auf den Roaming-Status zugreifen |
| Modus „Verloren“ aktivieren |
Hinweis: Für iPhone- und iPad-Geräte können Administratoren festlegen, dass Codes mit mindestens 6 Zeichen erforderlich sind, und Benutzer daran hindern, leicht zu erratende Codes (wie „123456“ oder „abcdef“) zu verwenden. Allerdings können sie nicht durchsetzen, dass Sonderzeichen oder Passwörter verwendet werden.