iCloud für verwaltete Apple Accounts
Abhängig vom Implementierungsmodell deiner Organisation können die Benutzer:innen deiner verwalteten Geräte ihren persönlichen Apple Account, einen verwalteten Apple Account, beide oder keinen verwenden.
Benutzer, die mit Geräten arbeiten, die deiner Organisation gehören, sollten einen verwalteten Apple Account erhalten. Da der Account der Organisation gehört, kannst du nicht die Dienste verwalten, auf die mit diesem Account zugegriffen werden kann, sondern auch die Geräte, bei denen sich dieser Account anmelden kann.
iCloud-Dienste
Wenn iCloud-Dienste für einen verwalteten Apple Account verfügbar sind, können Benutzer Inhalte wie Kontakte, Kalender, Dokumente und Notizen speichern und übergreifend auf mehreren Apple-Geräten auf dem aktuellen Stand halten. iCloud sichert Inhalte, indem diese verschlüsselt werden, wenn sie über das Internet gesendet werden. Die Daten werden verschlüsselt gespeichert und außerdem werden Secure Token für die Authentifizierung verwendet. Weitere Informationen zur iCloud-Sicherheit findest du unter iCloud-Sicherheit – Übersicht in „Sicherheit der Apple-Plattformen“.
Hinweis: Einige iCloud-Funktionen erfordern eine WLAN-Verbindung, einige Funktionen sind nicht in allen Ländern oder Regionen verfügbar und der Zugriff auf einige Dienste ist mit demselben Apple Accountauf 10 Geräte begrenzt.
iCloud Drive
Benutzer können ihre Dokumente und Dateien auf iCloud Drive speichern und von ihren iPhone-, iPad- und Mac-Geräten sowie von Windows-Computern, die mit iCloud eingerichtet wurden, darauf zugreifen. Dokumente werden auf allen Geräten auf dem aktuellen Stand gehalten und Änderungen, die an einer Datei vorgenommen werden, während der Benutzer offline ist, werden automatisch aktualisiert, sobald das Gerät online geht.
Benutzer können auch ihre macOS-Schreibtisch- und -Dokumentenordner so konfigurieren, dass sie automatisch auf iCloud Drive gespeichert werden, sodass deren Inhalte auf allen Geräten dieses Benutzers zur Verfügung stehen.
Benutzer können Dokumente, die auf iCloud Drive gespeichert sind, auch gemeinsam verwenden, vorausgesetzt, sie wurden mit Pages, Numbers, Keynote und anderen Apps, die CloudKit unterstützen, erstellt. Für verwaltete Apple Accounts können Organisationen festlegen, ob die Zusammenarbeit nur mit internen oder auch mit externen Benutzern möglich sein soll.
iCloud-Schlüsselbund
Der iCloud-Schlüsselbund sorgt dafür, dass WLAN-Netzwerkpasswörter und Website-Passwörter in Safari auf all deinen iPhone-, iPad- und Mac-Geräten, die mit iCloud eingerichtet wurden, auf dem aktuellen Stand sind. Er speichert auch Anmelde- und Konfigurationsdaten von Internet-Accounts sowie Passwörter für andere Apps, die iCloud unterstützen. Der iCloud-Schlüsselbund kann auch Kreditkartendaten speichern, die Benutzer in Safari sichern, sodass Safari diese Daten automatisch eintragen kann.
Der iCloud -Schlüsselbund besteht aus zwei Diensten:
Schlüsselbund auf allen Geräten auf dem aktuellen Stand halten
Schlüsselbund wiederherstellen
Um Schlüsselbundobjekte sicher auszutauschen, wird ein Vertrauenskreis eingerichtet und mit den genehmigten Geräten eines Benutzers verwendet. Neue Geräte, die dem Kreis beitreten, müssen entweder durch ein vorhandenes iCloud-Schlüsselbundgerät genehmigt sein oder die iCloud-Schlüsselbundwiederherstellung verwenden. Jedes synchronisierte Objekt ist verschlüsselt, sodass es nur von einem Gerät entschlüsselt werden kann, das sich innerhalb des Vertrauenskreises des Benutzers befindet. Es kann nicht von anderen Geräten oder von Apple entschlüsselt werden.
Der iCloud-Schlüsselbund hinterlegt die Schlüsselbunddaten des Benutzers bei Apple, ohne es Apple zu erlauben, Passwörter und andere enthaltene Daten zu lesen. Selbst wenn der Benutzer nur ein einziges Gerät verwendet, stellt die Schlüsselbundwiederherstellung ein Sicherheitsnetz vor Datenverlust bereit. Dies ist besonders wichtig, wenn Safari verwendet wird, um zufällige, starke Passwörter für Webaccounts zu erstellen, da sich die einzige Aufzeichnung dieser Passwörter im Schlüsselbund befindet.
Teil der Schlüsselbundwiederherstellung sind die zweite Authentifizierung sowie ein sicherer Escrow-Dienst, der von Apple ausschließlich zur Unterstützung dieser Funktion erstellt wurde. Der Schlüsselbund des Benutzers wird mit einem starken Verschlüsselungsschlüssel verschlüsselt und der Escrow-Dienst stellt nur dann eine Kopie des Schlüssels bereit, wenn eine Reihe strenger Bedingungen erfüllt ist und der Benutzer den Code eines der vorherigen Geräte eingibt.
Wichtig: Verwaltete Apple Accounts unterstützen die iCloud-Schlüsselbundwiederherstellung über einen Wiederherstellungskontakt nicht.
Passkeys
Passkeys wurden entwickelt, um eine komfortable und sichere Anmeldung ohne Passwörter zu ermöglichen. Diese auf Standards basierende Technologie verhindert das Phishing, sie ist immer stark und es gibt keine geteilten Geheimnisse.
Mit der Unterstützung des iCloud-Schlüsselbunds für verwaltete Apple Accounts können Organisationen Passkeys bereitstellen, um den Mitarbeitern den Zugriff auf Unternehmensressourcen zu ermöglichen, und sicherstellen, dass die Passkeys auf all ihren iPhone-, iPad und Mac-Geräten synchronisiert werden. Durch die Zugriffsverwaltung kann die Organisation außerdem den erforderlichen Verwaltungsstatus eines Geräts definieren, um den Zugriff auf die verwalteten Passkeys zu erlauben.
Die Konfiguration für die deklarative Passkey-Beglaubigung ermöglicht einem verwalteten Gerät, eine Beglaubigung bereitzustellen, wenn ein Passkey für einen Organisationsdienst bereitgestellt wird. Die Beglaubigung wird bereitgestellt, wenn ein Benutzer den Passkey für eine Website oder App mithilfe einer in der Konfiguration angegebenen Domain registriert. Nachdem das Gerät den Passkey auf sichere Weise erstellt hat, verwendet das Gerät die Zertifikatsidentität, die in der Konfiguration definiert wurde, um eine WebAuthn-Beglaubigung mit dem Dienst, auf den zugegriffen wurde, durchzuführen. Dadurch wird dem Dienst ermöglicht, zu verifizieren, dass der Passkey auf einem von der Organisation verwalteten Gerät erstellt wurde, bevor der Zugriff ermöglicht wurde.
Die erstellten Passkeys werden automatisch in dem iCloud-Schlüsselbund gespeichert, der mit dem verwalteten Apple Account verknüpft ist. Ohne verwalteten Apple Account kann der Passkey nicht erstellt werden.
Um Benutzern einen einfachen Anmeldungsablauf zu ermöglichen, können Entwickler mithilfe von verknüpfte Domains eine sichere Verbindung zwischen Domains und ihrer App herstellen (und optional eine Konfiguration von verknüpften Domains via MDM zu erlauben). Falls dies verfügbar ist, können iOS, iPadOS und macOS automatisch den korrekten Passkey für eine nahtlose Anmeldung auswählen und bereitstellen. Bei einer Authentifizierung durch den Dienst eines Drittanbieters kann stattdessen ASWebAuthenticationSession verwendet werden.
Weitere Informationen findest du unter Deklarative Konfiguration „Passkey-Beglaubigung“.
Auf iCloud-Dienste zugreifen
Die Anmeldung mit einem verwalteten Apple Account während der Ausführung des Systemassistenten oder das Verwenden des Apple Account-Menüobjekts oben in den Einstellungen (iPhone und iPad) oder den Systemeinstellungen (Mac) ermöglicht den Zugriff auf alle für den Account verfügbaren Dienste.
Benutzer können weitere Accounts unter „Einstellungen“ > „Mail“ > „Accounts“ (iPhone, iPad, Apple Vision Pro) oder „Systemeinstellungen“ > „Internetaccounts“ (Mac) hinzufügen, um auf Mails (sofern diese für den Account verfügbar sind), auf Kontakte und Kalender, die mit einem anderen persönlichen Apple Account gespeichert wurden, und auf Kontakte, Kalender und Erinnerungen eines verwalteten Apple Accounts zuzugreifen.
Die accountgesteuerte Geräte- und Benutzerregistrierung erweitert die Liste der Dienste, auf die mit einem Gerät mit einem verwalteten Apple Account auf Kontakte, Kalender, Erinnerungen, Notizen, iCloud Drive und iCloud-Backup zugegriffen werden kann.
iCloud-Zugriff verwalten
Du kannst einzelne iCloud-Dienste deaktivieren, die für einen verwalteten Apple Account in Apple School Manager und Apple Business Manager verfügbar sind. Außerdem kannst du festlegen, an welchen Geräten sich Benutzer anmelden können, ob sie auf ihre verwalteten Apple Account-Daten zugreifen dürfen und mit wem sie kommunizieren und zusammenarbeiten können. Wenn der Benutzer hauptsächlich einen persönlichen Apple Account nutzt, können Organisationen bestimmte iCloud-Dienste auf verwalteten Geräten über Beschränkungen deaktivieren. Beachte, dass einige Einschränkungen voraussetzen, dass das Gerät betreut wird.