Accountgesteuerte Registrierungsmethoden mit Apple-Geräten
Die accountgesteuerte Benutzerregistrierung und die accountgesteuerte Geräteregistrierung bieten eine nahtlose und sichere Möglichkeit für Benutzer:innen und Organisationen, um Apple-Geräte für die Arbeit einzurichten, indem die Anmeldung mit einem verwalteten Apple Account erfolgt.
Dieser Ansatz ermöglicht es, sich mit einem verwalteten Apple Account und einem persönlichen Apple Account auf demselben Gerät anzumelden. Dabei werden die berufsbezogenen und die persönlichen Daten vollständig voneinander getrennt. Die Benutzer:innen behalten die Kontrolle über ihre persönlichen Daten und die IT unterstützt berufsbezogene Apps, Einstellungen und Accounts.
Um diese Trennung zu unterstützen, wurden die folgenden Änderungen bei der Handhabung von Apps und Backups vorgenommen:
Alle Konfigurationen und Einstellungen werden entfernt, wenn das Registrierungsprofil entfernt wird.
Verwaltete Apps werden bei der Deregistrierung immer entfernt.
Wenn du Apps installierst, bevor du dich bei einem Geräteverwaltungsdienst registrierst, kannst du sie nicht in verwaltete Apps umwandeln.
Die Registrierung beim Geräteverwaltungsdienst wird durch das Wiederherstellen eines Backups nicht wiederhergestellt.
Benutzer:innen, die sich mit ihrem persönlichen Apple Account anmelden, können keine Einladungen für die Verteilung verwalteter Apps annehmen.
Obwohl du verwaltete Apple Accounts manuell erstellen kannst, können Organisationen die Integration über Google Workspace, Microsoft Entra ID oder ihren Identitätsanbieter (IdP) nutzen.
Weitere Informationen über die föderierte Authentifizierung findest du unter Einführung in die verknüpfte Authentifizierung in Apple School Manager oder Einführung in die verknüpfte Authentifizierung in Apple Business Manager.
Accountgesteuerter Registrierungsprozess
Um ein Gerät mit der accountgesteuerten Benutzerregistrierung oder der accountgesteuerten Geräteregistrierung zu registrieren, müssen Benutzer:innen „Einstellungen“ > „Allgemein“ > „VPN und Geräteverwaltung“ oder „Systemeinstellungen“ > „Allgemein“ > „Geräteverwaltung“ öffnen und die Taste „Bei Arbeits- oder Schulaccount anmelden“ auswählen.
Hierdurch wird ein vierstufiger Prozess zur Registrierung bei einem Geräteverwaltungsdienst gestartet:
Dienstentdeckung: Das Gerät bestimmt die Registrierungs-URL des Geräteverwaltungsdienstes.
Authentifizierungs- und Zugriffstoken: Benutzer:innen geben ihre Anmeldedaten an, um die Registrierung zu autorisieren und die Erstellung eines Zugriffstokens für die fortlaufende Authentifizierung anzustoßen.
Dienstregistrierung: Das Registrierungsprofil wird an das Gerät gesendet und die Benutzer:innen werden aufgefordert, sich mit ihrem verwalteten Apple Account anzumelden, um die Registrierung abzuschließen.
Fortlaufende Authentifizierung: Der Geräteverwaltungsdienst verifiziert die angemeldete Person kontinuierlich mithilfe des Zugriffstokens.
Phase 1: Dienstentdeckung
Im ersten Schritt versucht die Diensterkennung, die Registrierungs-URL des Geräteverwaltungsdienstes zu identifizieren. Hierfür wird die von Benutzer:innen eingegebene Kennung verwendet, beispielsweise eliza@betterbag.com. Die Domain muss ein vollständig qualifizierter Domain-Name (FQDN) sein, der den Geräteverwaltungsdienst für die Organisation der Benutzer:innen anzeigt.
Danach geschieht Folgendes:
Schritt 1
Das Gerät identifiziert die Domain in der bereitgestellten Kennung (im oben aufgeführten Beispiel betterbag.com).
Schritt 2
Das Gerät fordert die Well-known-Ressource von der Domain der Organisation an, beispielsweise https://<domain>/.well-known/com.apple.remotemanagement.
Der Client fügt zwei Anfrageparameter zum URL-Pfad der HTTP Get-Anfrage hinzu:
user-identifier: Der Wert der eingegebenen Account-Kennung (im oben aufgeführten Beispiel eliza@betterbag.com).
model-family: Die Modellfamilie des Gerätes (beispielsweise iPhone, iPad, Mac).
Hinweis: Das Gerät folgt HTTP-3xx-Redirect-Anfragen, wodurch die eigentliche com.apple.remotemanagement-Datei auf einem anderen Server gehostet werden kann, der von dem Gerät erreicht werden kann.
Bei Geräten mit iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 oder neueren Versionen erlaubt der Diensterkennungsprozess einem Gerät, die Well-known-Ressource von einem alternativen Ort abzurufen, der vom Geräteverwaltungsdienst festgelegt wird, der mit Apple School Manager oder Apple Business Manager verknüpft ist. Der bevorzugte Prozess für die Diensterkennung ist weiterhin die Well-known-Ressource in der Domain der Organisation. Falls die Anfrage fehlschlägt, sucht das Gerät anschließend bei Apple School Manager oder Apple Business Manager nach einem anderen Ort für die Well-known-Ressource. Für diesen Vorgang muss Apple School Manager oder Apple Business Manager die in der Kennung verwendete Domain bestätigen. Weitere Informationen findest du unter Eine Domain in Apple School Manager hinzufügen und bestätigen oder Eine Domain in Apple Business Manager hinzufügen und bestätigen.
Um diese Funktion zu verwenden, muss der Geräteverwaltungsdienst die alternative URL für die Dienstsuche konfigurieren, wenn er mit Apple School Manager oder Apple Business Manager verknüpft ist. Wenn das Gerät Apple School Manager oder Apple Business Manager kontaktiert, wird der Gerätetyp zum Ermitteln des zugewiesenen Dienstes für diesen Typ verwendet. Dabei handelt es sich um denselben Vorgang, der beim Ermitteln des Standarddienstes für die automatische Geräteregistrierung zum Einsatz kommt. Wenn der zugewiesene Dienst eine konfigurierte Diensterkennung-URL hat, fragt das Gerät die Well-known-Ressource von diesem Ort ab. Weitere Informationen zum Festlegen der Standardgerätezuweisung findest du unter Standardgerätezuweisung in Apple School Manager festlegen oder Standardgerätezuweisung in Apple Business Manager festlegen.
Der Geräteverwaltungsdienst kann ebenfalls die Well-known-Ressource hosten.
Schritt 3
Der Server, der die Well-known-Ressource hostet, antwortet mit einem JSON-Dokument für die Diensterkennung, das dem folgenden Schema entspricht:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Die Registrierungsschlüssel, -typen und -beschreibungen für den Geräteverwaltungsdienst werden in der folgenden Tabelle aufgeführt. Alle Schlüssel sind erforderlich.
Schlüssel | Typ | Beschreibung |
|---|---|---|
Server | Array | Eine Liste mit einem einzigen Eintrag. |
Version | Zeichenkette | Dieser Schlüssel legt die zu verwendende Registrierungsmethode fest und muss entweder |
BaseURL | Zeichenkette | Die Registrierungs-URL des Geräteverwaltungsdienstes. |
Wichtig: Der Server muss sicherstellen, dass das Feld für den Content-Type-Header in der HTTP-Antwort auf application/json festgelegt ist.
Schritt 4
Das Gerät sendet eine HTTP POST-Anfrage an die von BaseURL angegebene Registrierungs-URL.
Phase 2: Authentifizierungs- und Zugriffstoken
Zum Autorisieren der Registrierung müssen sich Benutzer:innen mit dem Geräteverwaltungsdienst authentifizieren. Nach einer erfolgreichen Authentifizierung stellt der Geräteverwaltungsdienst dem Gerät ein Zugriffstoken bereit. Das Gerät speichert dieses Token sicher für die Autorisierung nachfolgender Anfragen.
Das Zugriffstoken:
Ist sowohl für den anfänglichen Authentifizierungsprozess als auch für den fortlaufenden Zugriff auf Ressourcen des Geräteverwaltungsdienstes von zentraler Bedeutung
Dient als sichere Brücke zwischen dem verwalteten Apple Account von Benutzer:innen und dem Geräteverwaltungsdienst
Wird verwendet, um für alle accountgesteuerten Registrierungen den fortlaufenden Zugriff auf Arbeitsressourcen zu ermöglichen.
Auf dem iPhone, iPad und der Apple Vision Pro können der erste Authentifizierungsvorgang und die fortlaufende Authentifizierung mit der SSO-Registrierung (Enrollment Single Sign-on) optimiert werden, da hierdurch wiederholte Authentifizierungsanfragen reduziert werden. Weitere Informationen findest du unter Registrierung per Gesamtauthentifizierung für iPhone, iPad und Apple Vision Pro.
Phase 3: Registrierung für den Geräteverwaltungsdienst
Mithilfe eines Zugriffstokens kann sich das Gerät beim Geräteverwaltungsdienst authentifizieren und auf das Registrierungsprofil zugreifen. Dieses Profil enthält alle Informationen, die das Gerät zum Durchführen der Registrierung benötigt. Um die Registrierung abzuschließen, müssen sich Benutzer:innen erfolgreich mit ihrem verwalteten Apple Account anmelden. Nach Abschluss der Registrierung wird der verwaltete Apple Account deutlich sichtbar in den Einstellungen und Systemeinstellungen angezeigt.
Weitere Informationen zu den iCloud-Diensten, die Benutzer:innen zur Verfügung stehen, findest du unter Auf iCloud-Dienste zugreifen.
Phase 4: Fortlaufende Authentifizierung
Nach der Registrierung bleibt das Zugriffstoken aktiv und es ist über den Authorization-HTTP-Header in allen Anfragen an den Geräteverwaltungsdienst enthalten. Dies erlaubt dem Dienst die fortlaufende Bestätigung von Benutzer:innen und hilft dabei, sicherzustellen, dass nur autorisierte Benutzer:innen Zugriff auf Organisationsressourcen erhalten.
Die Zugriffstoken sind üblicherweise nach einem bestimmten Zeitraum nicht mehr gültig. Wenn dies der Fall ist, fordert das Gerät die Benutzer:innen auf, sich erneut zu authentifizieren, um das Zugriffstoken zu erneuern. Die regelmäßige Überprüfung der Gültigkeit erhöht die Sicherheit, was für persönliche und organisationseigene Geräte wichtig ist. Mit der SSO-Registrierung erfolgt die Erneuerung der Token automatisch über den Identitätsanbieter der Organisation. Dadurch ist der unterbrechungsfreie Zugriff ohne erneute Authentifizierung sichergestellt.
Wie Benutzerdaten und Organisationsdaten mit accountgesteuerten Registrierungsmethoden getrennt werden
Wenn die accountgesteuerte Benutzerregistrierung oder accountgesteuerte Geräteregistrierung abgeschlossen ist, werden durch das Betriebssystem automatisch separate Verschlüsselungsschlüssel erstellt. Wenn Benutzer:innen das Gerät deregistrieren oder wenn der Geräteverwaltungsdienst es per Fernzugriff deregistriert, zerstört das Betriebssystem diese Verschlüsselungsschlüssel. Das Betriebssystem verwendet die Schlüssel, um die in der folgenden Tabelle aufgeführten Daten kryptographisch zu trennen.
Inhalt | Mindestens unterstützte Betriebssystemversionen | Beschreibung | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Verwaltete App-Daten-Container | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Verwaltete Apps verwenden den verwalteten Apple Account, der mit der Registrierung für den Geräteverwaltungsdienst verknüpft ist, für die Datensynchronisation via iCloud. Dazu gehören verwaltete Apps (die mit dem auf „wahr“ festgelegten | |||||||||
App „Kalender“ | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Ereignisse sind getrennt. | |||||||||
Schlüsselbundobjekte | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Die Mac-App eines Drittanbieters muss die Data Protection Keychain-API nutzen. Weitere Informationen findest du unter der globalen Variable kSecUseDataProtectionKeychain auf der Apple Developer-Website. | |||||||||
App „Mail“ | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | E-Mail-Anhänge und Text der E-Mail sind getrennt. | |||||||||
App „Notizen“ | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notizen sind getrennt. | |||||||||
App „Erinnerungen“ | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Erinnerungen sind getrennt. | |||||||||
Auf dem iPhone, iPad und der Apple Vision Pro haben verwaltete Apps und verwaltete webbasierte Dokumente Zugriff auf iCloud Drive einer Organisation (sie werden in der App „Dateien“ separat angezeigt, wenn sich Benutzer:innen mit ihrem verwalteten Apple Account anmelden). Admins des Geräteverwaltungsdienstes können mithilfe bestimmter Einschränkungen dafür sorgen, dass bestimmte persönliche und organisatorische Dokumente getrennt bleiben. Weitere Informationen findest du unter Verwaltete Apps an Apple-Geräte verteilen.
Wenn Benutzer:innen mit einem persönlichen Apple Account und einem verwalteten Apple Account angemeldet sind, verwendet „Mit Apple anmelden“ automatisch den verwalteten Apple Account für verwaltete Apps und den persönlichen Apple Account für nicht verwaltete Apps. Beim Verwenden eines Anmeldeflusses in Safari oder SafariWebView in einer verwalteten App, können Benutzer:innen ihren verwalteten Apple Account auswählen und eingeben, um die Anmeldung ihrem Arbeits- oder Schulaccount zuzuordnen.
