Μέθοδοι εγγραφής βάσει λογαριασμού με συσκευές Apple

Η Εγγραφή χρήστη βάσει λογαριασμού και η Εγγραφή συσκευής βάσει λογαριασμού παρέχουν έναν απρόσκοπτο και ασφαλή τρόπο για τους χρήστες και τους οργανισμούς να διαμορφώνουν συσκευές Apple για εργασία, πραγματοποιώντας σύνδεση με έναν διαχειριζόμενο λογαριασμό Apple.

Αυτή η προσέγγιση επιτρέπει τόσο σε έναν διαχειριζόμενο λογαριασμό Apple όσο και σε έναν προσωπικό λογαριασμό Apple να είναι συνδεδεμένοι στην ίδια συσκευή, με πλήρη διαχωρισμό των δεδομένων εργασίας από τα προσωπικά δεδομένα. Οι χρήστες διατηρούν το απόρρητο των προσωπικών πληροφοριών τους και το τμήμα πληροφορικής υποστηρίζει εφαρμογές, ρυθμίσεις και λογαριασμούς που σχετίζονται με την εργασία.

Για την υποστήριξη αυτού του διαχωρισμού, έχουν γίνει οι ακόλουθες αλλαγές στον τρόπο χειρισμού εφαρμογών και εφεδρικών αντιγράφων:

Όλες οι ρυθμίσεις παραμέτρων και οι ρυθμίσεις αφαιρούνται όταν αφαιρεθεί το προφίλ εγγραφής.
Οι διαχειριζόμενες εφαρμογές αφαιρούνται πάντα κατά την κατάργηση της εγγραφής.
Αν εγκαταστήσετε τις εφαρμογές πριν από την εγγραφή σε μια υπηρεσία διαχείρισης συσκευών, δεν μπορείτε να τις μετατρέψετε σε διαχειριζόμενες εφαρμογές.
Η επαναφορά από εφεδρικό αντίγραφο δεν αποκαθιστά την εγγραφή στην υπηρεσία διαχείρισης συσκευών.
Οι χρήστες που συνδέονται με τον προσωπικό τους λογαριασμό Apple δεν είναι δυνατό να δεχτούν μια πρόσκληση για διανομή διαχειριζόμενης εφαρμογής.

Αν και μπορείτε να δημιουργήσετε χειροκίνητα διαχειριζόμενους λογαριασμούς Apple, οι οργανισμοί μπορούν να επωφεληθούν από την ενσωμάτωση με το Google Workspace, το Microsoft Entra ID ή τον πάροχο ταυτότητας (IdP) τους.

Για περισσότερες πληροφορίες σχετικά με τον ομόσπονδο έλεγχο ταυτότητας, ανατρέξτε στις ενότητες Εισαγωγή στον ομόσπονδο έλεγχο ταυτότητας με το Apple School Manager ή Εισαγωγή στον ομόσπονδο έλεγχο ταυτότητας με το Apple Business Manager.

Διαδικασία εγγραφής βάσει λογαριασμού

Για εγγραφή μιας συσκευής μέσω της Εγγραφής χρήστη βάσει λογαριασμού ή της Εγγραφής συσκευής βάσει λογαριασμού, ο χρήστης μπορεί να μεταβεί στις «Ρυθμίσεις» > «Γενικά» > «VPN και διαχείριση συσκευών» ή στις «Ρυθμίσεις συστήματος» > «Γενικά» > «Διαχείριση συσκευών» και να επιλέξει το κουμπί «Σύνδεση σε λογαριασμό εργασίας ή σχολείου».

Έπειτα ξεκινά μια διαδικασία τεσσάρων σταδίων για εγγραφή σε μια υπηρεσία διαχείρισης συσκευών:

Ανακάλυψη υπηρεσίας: Η συσκευή προσδιορίζει τη διεύθυνση URL εγγραφής της υπηρεσίας διαχείρισης συσκευών.
Έλεγχος ταυτότητας και διακριτικό πρόσβασης: Ο χρήστης παρέχει διαπιστευτήρια για την εξουσιοδότηση της εγγραφής και την έκδοση ενός διακριτικού πρόσβασης για συνεχιζόμενο έλεγχο ταυτότητας.
Εγγραφή υπηρεσίας: Το προφίλ εγγραφής αποστέλλεται στη συσκευή και ο χρήστης πρέπει να συνδεθεί με τον διαχειριζόμενο λογαριασμό Apple του για να ολοκληρώσει την εγγραφή.
Συνεχιζόμενος έλεγχος ταυτότητας: Η υπηρεσία διαχείρισης συσκευών επαληθεύει τον συνδεδεμένο χρήστη σε συνεχή βάση χρησιμοποιώντας το διακριτικό πρόσβασης.

Στάδιο 1: Ανακάλυψη υπηρεσίας

Στο πρώτο βήμα, η ανακάλυψη υπηρεσίας προσπαθεί να προσδιορίσει τη διεύθυνση URL εγγραφής της υπηρεσίας διαχείρισης συσκευών. Για τον σκοπό αυτόν, χρησιμοποιεί το αναγνωριστικό που εισάγει ο χρήστης, για παράδειγμα eliza@betterbag.com. Ο τομέας πρέπει να είναι ένα πλήρως προσδιορισμένο όνομα τομέα (FQDN) που διαφημίζει την υπηρεσία διαχείρισης συσκευών για τον οργανισμό του χρήστη.

Μια οθόνη iPhone όπου εμφανίζεται η διεπαφή Εγγραφής χρήστη.

Στη συνέχεια πραγματοποιούνται τα εξής:

Βήμα 1

Η συσκευή αναγνωρίζει τον τομέα στο παρεχόμενο αναγνωριστικό (στο παραπάνω παράδειγμα, αυτό είναι το betterbag.com).

Βήμα 2

Η συσκευή ζητάει τον γνωστό πόρο από τον τομέα του οργανισμού – για παράδειγμα, https://<domain>/.well-known/com.apple.remotemanagement.

Ο πελάτης περιλαμβάνει δύο παραμέτρους ερωτήματος στη διαδρομή URL του αιτήματος HTTP GET:

user-identifier: Η τιμή του αναγνωριστικού λογαριασμού που εισαγάγατε (στο παραπάνω παράδειγμα, eliza@betterbag.com).
model-family: Η οικογένεια μοντέλων της συσκευής (για παράδειγμα, iPhone, iPad, Mac).

Σημείωση: Η συσκευή ακολουθεί αιτήματα ανακατεύθυνσης HTTP 3xx, και αυτό επιτρέπει τη φιλοξενία του πραγματικού αρχείου com.apple.remotemanagement σε έναν άλλο διακομιστή ο οποίος μπορεί να προσπελαστεί από τη συσκευή.

Για συσκευές με iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, ή μεταγενέστερες εκδόσεις, η διαδικασία ανακάλυψης υπηρεσίας επιτρέπει σε μια συσκευή να προσκομίσει τον γνωστό πόρο από μια εναλλακτική τοποθεσία που καθορίζεται από την υπηρεσία διαχείρισης συσκευών όταν είναι συνδεδεμένη με το Apple School Manager ή το Apple Business Manager. Η πρώτη προτίμηση για την ανακάλυψη υπηρεσίας εξακολουθεί να είναι ο γνωστός πόρος στον τομέα του οργανισμού. Αν το αίτημα αποτύχει, η συσκευή συνεχίζει τον έλεγχο με το Apple School Manager ή το Apple Business Manager για μια εναλλακτική τοποθεσία του γνωστού πόρου. Αυτή η διαδικασία απαιτεί το Apple School Manager ή το Apple Business Manager να επαληθεύσει τον τομέα που χρησιμοποιείται στο αναγνωριστικό. Για περισσότερες πληροφορίες, ανατρέξτε στις ενότητες Προσθήκη και επαλήθευση τομέα στο Apple School Manager ή Προσθήκη και επαλήθευση τομέα στο Apple Business Manager.

Η ροή εργασιών ανακάλυψης υπηρεσίας που εμφανίζει την εναλλακτική μέθοδο ανακάλυψης υπηρεσίας.

Για χρήση αυτής της δυνατότητας, η υπηρεσία διαχείρισης συσκευών πρέπει να διαμορφώσει το εναλλακτικό URL ανακάλυψης υπηρεσίας όταν είναι συνδεδεμένη με το Apple School Manager ή το Apple Business Manager. Όταν η συσκευή επικοινωνήσει με το Apple School Manager ή το Apple Business Manager, ο τύπος συσκευής προσδιορίζει την εκχωρημένη υπηρεσία για τον συγκεκριμένο τύπο – η ίδια διαδικασία που χρησιμοποιείται για τον προσδιορισμό της προεπιλεγμένης υπηρεσίας για την Αυτοματοποιημένη εγγραφή συσκευής. Αν η εκχωρημένη υπηρεσία έχει μια διαμορφωμένη διεύθυνση URL ανακάλυψης υπηρεσίας, η συσκευή στη συνέχεια ζητά τον γνωστό πόρο από τη συγκεκριμένη τοποθεσία. Για να ορίσετε την προεπιλεγμένη εκχώρηση συσκευής, δείτε την ενότητα Ορισμός προεπιλεγμένης εκχώρησης συσκευής στο Apple School Manager ή Ορισμός προεπιλεγμένης εκχώρησης συσκευής στο Apple Business Manager.

Ο γνωστός πόρος μπορεί επίσης να φιλοξενείται από την υπηρεσία διαχείρισης συσκευών.

Βήμα 3

Ο διακομιστής που φιλοξενεί τον γνωστό πόρο αποκρίνεται με ένα έγγραφο JSON ανακάλυψης υπηρεσίας, το οποίο συμμορφώνεται με το ακόλουθο σχήμα:

{    "Servers": [    {        "Version": "<Version>",        "BaseURL": "<BaseURL>"    }    ]}

Τα κλειδιά εγγραφής της υπηρεσίας διαχείρισης συσκευών, οι τύποι και οι περιγραφές παρουσιάζονται στον ακόλουθο πίνακα. Απαιτούνται όλα τα κλειδιά.

Κλειδί	Τύπος	Περιγραφή
Servers	Πίνακας	Μια λίστα με μία καταχώριση.
Version	Συμβολοσειρά	Αυτό το κλειδί προσδιορίζει τη μέθοδο εγγραφής που θα χρησιμοποιηθεί και η τιμή του πρέπει να είναι είτε `mdm-byod` για Εγγραφή χρήστη είτε `mdm-adde` για Εγγραφή συσκευής βάσει λογαριασμού.
BaseURL	Συμβολοσειρά	Η διεύθυνση URL εγγραφής της υπηρεσίας διαχείρισης συσκευών.

Σημαντικό: Ο διακομιστής πρέπει να διασφαλίσει ότι το πεδίο κεφαλίδας Content-Type στην απόκριση HTTP έχει οριστεί σε application/json.

Βήμα 4

Η συσκευή στέλνει ένα αίτημα HTTP POST στη διεύθυνση URL εγγραφής που καθορίζεται από το κλειδί BaseURL.

Στάδιο 2: Έλεγχος ταυτότητας και διακριτικό πρόσβασης

Για εξουσιοδότηση της εγγραφής, ο χρήστης πρέπει να πραγματοποιήσει έλεγχο ταυτότητας με την υπηρεσία διαχείρισης συσκευών. Μετά τον επιτυχή έλεγχο ταυτότητας, η υπηρεσία διαχείρισης συσκευών εκδίδει ένα διακριτικό πρόσβασης στη συσκευή. Η συσκευή αποθηκεύει με ασφάλεια το διακριτικό για χρήση κατά την εξουσιοδότηση επακόλουθων αιτημάτων.

Το διακριτικό πρόσβασης:

Παίζει κεντρικό ρόλο τόσο στη διαδικασία αρχικού ελέγχου ταυτότητας όσο και στη συνεχιζόμενη πρόσβαση σε πόρους της υπηρεσίας διαχείρισης συσκευών
Λειτουργεί ως ασφαλής γέφυρα μεταξύ του διαχειριζόμενου λογαριασμού Apple του χρήστη και της υπηρεσίας διαχείρισης συσκευών
Χρησιμοποιείται για να επιτρέπεται η συνεχιζόμενη πρόσβαση σε πόρους εργασίας για όλες τις εγγραφές βάσει λογαριασμού

Σε iPhone, iPad και Apple Vision Pro, η διαδικασία αρχικού και συνεχιζόμενου ελέγχου ταυτότητας μπορεί να βελτιστοποιηθεί με τη χρήση SSO εγγραφής (Ενιαία σύνδεση εγγραφής) για μείωση των επαναλαμβανόμενων προτροπών ελέγχου ταυτότητας. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Ενιαία σύνδεση εγγραφής για iPhone, iPad και Apple Vision Pro.

Στάδιο 3: Εγγραφή υπηρεσίας διαχείρισης συσκευών

Χρησιμοποιώντας το διακριτικό πρόσβασης, η συσκευή μπορεί να πραγματοποιήσει έλεγχο ταυτότητας με την υπηρεσία διαχείρισης συσκευών και να προσπελάσει το προφίλ εγγραφής. Αυτό το προφίλ περιέχει όλες τις πληροφορίες που χρειάζεται η συσκευή για να πραγματοποιήσει την εγγραφή. Για ολοκλήρωση της εγγραφής, ο χρήστης πρέπει να συνδεθεί επιτυχώς με τον διαχειριζόμενο λογαριασμό Apple του. Μετά την ολοκλήρωση της εγγραφής, ο διαχειριζόμενος λογαριασμός Apple εμφανίζεται σε εμφανή θέση στις Ρυθμίσεις και στις Ρυθμίσεις συστήματος.

Για περισσότερες πληροφορίες σχετικά με τις υπηρεσίες iCloud που είναι διαθέσιμες στους χρήστες, ανατρέξτε στην ενότητα Πρόσβαση στις υπηρεσίες iCloud.

Στάδιο 4: Συνεχιζόμενος έλεγχος ταυτότητας

Μετά την εγγραφή, το διακριτικό πρόσβασης παραμένει ενεργό και περιλαμβάνεται σε όλα τα αιτήματα προς την υπηρεσία διαχείρισης συσκευών με χρήση της κεφαλίδας HTTP Authorization. Αυτό επιτρέπει στην υπηρεσία να επαληθεύει συνεχώς τον χρήστη και διασφαλίζει ότι μόνο οι εξουσιοδοτημένοι χρήστες διατηρούν το δικαίωμα πρόσβασης σε πόρους του οργανισμού.

Τα διακριτικά πρόσβασης συνήθως λήγουν μετά από μια καθορισμένη περίοδο. Όταν συμβεί αυτό, η συσκευή μπορεί να ζητήσει από τον χρήστη να επαναλάβει τον έλεγχο ταυτότητας για να ανανεώσει το διακριτικό πρόσβασης. Η περιοδική επανάληψη επικύρωσης συμβάλλει στην αύξηση της ασφάλειας, η οποία είναι σημαντική τόσο για προσωπικές συσκευές όσο και για συσκευές που ανήκουν στον οργανισμό. Με το SSO εγγραφής, η ανανέωση του διακριτικού πραγματοποιείται αυτόματα μέσω του παρόχου ταυτότητας του οργανισμού, διασφαλίζοντας αδιάλειπτη πρόσβαση χωρίς να απαιτείται εκ νέου έλεγχος ταυτότητας.

Τρόπος διαχωρισμού των δεδομένων χρήστη από τα δεδομένα οργανισμού με μεθόδους εγγραφής βάσει λογαριασμού

Όταν ολοκληρωθεί η Εγγραφή χρήστη βάσει λογαριασμού ή η Εγγραφή συσκευής βάσει λογαριασμού, το λειτουργικό σύστημα δημιουργεί αυτόματα ξεχωριστά κλειδιά κρυπτογράφησης στη συσκευή. Αν ο χρήστης καταργήσει την εγγραφή μιας συσκευής, ή αν η υπηρεσία διαχείρισης συσκευών καταργήσει την εγγραφή εξ αποστάσεως, το λειτουργικό σύστημα καταστρέφει αυτά τα κλειδιά κρυπτογράφησης. Το λειτουργικό σύστημα χρησιμοποιεί τα κλειδιά για τον κρυπτογραφικό διαχωρισμό των διαχειριζόμενων δεδομένων που παρατίθενται σε αυτόν τον πίνακα.

Περιεχόμενο	Ελάχιστες υποστηριζόμενες εκδόσεις λειτουργικών συστημάτων	Περιγραφή
Περιέκτες δεδομένων διαχειριζόμενων εφαρμογών	iOS 15 iPadOS 15 macOS 14 visionOS 1.1	Οι διαχειριζόμενες εφαρμογές χρησιμοποιούν τον διαχειριζόμενο λογαριασμό Apple που σχετίζεται με την εγγραφή σε υπηρεσία διαχείρισης συσκευών για συγχρονισμό δεδομένων iCloud. Αυτό περιλαμβάνει διαχειριζόμενες εφαρμογές (που έχουν εγκατασταθεί με την τιμή true για το κλειδί `InstallAsManaged` στην εντολή `InstallApplication`) σε ένα Mac που χρησιμοποιεί το CloudKit.
Εφαρμογή «Ημερολόγιο»	iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1	Τα γεγονότα είναι ξεχωριστά.
Στοιχεία κλειδοθήκης	iOS 15 iPadOS 15 macOS 14 visionOS 1.1	Η εφαρμογή Mac τρίτου πρέπει να χρησιμοποιεί το API κλειδοθήκης προστασίας δεδομένων. Για περισσότερες πληροφορίες, δείτε την καθολική μεταβλητή kSecUseDataProtectionKeychain στον ιστότοπο Apple Developer.
Εφαρμογή «Mail»	iOS 15 iPadOS 15 macOS 14 visionOS 1.1	Τα συνημμένα και το κύριο τμήμα του μηνύματος email διαχωρίζονται.
Εφαρμογή «Σημειώσεις»	iOS 15 iPadOS 15 macOS 14 visionOS 1.1	Οι σημειώσεις διαχωρίζονται.
Εφαρμογή «Υπομνήσεις»	iOS 17 iPadOS 17 macOS 14 visionOS 1.1	Οι υπομνήσεις διαχωρίζονται.

Σε iPhone, iPad και Apple Vision Pro, οι διαχειριζόμενες εφαρμογές και τα διαχειριζόμενα έγγραφα Ιστού έχουν πρόσβαση στο iCloud Drive ενός οργανισμού (το οποίο εμφανίζεται ξεχωριστά στην εφαρμογή «Αρχεία» αφότου ο χρήστης συνδεθεί με τον διαχειριζόμενο λογαριασμό Apple του). Ο διαχειριστής της υπηρεσίας διαχείρισης συσκευών μπορεί να σας βοηθήσει να διατηρείτε ξεχωριστά συγκεκριμένα προσωπικά έγγραφα και έγγραφα του οργανισμού χρησιμοποιώντας συγκεκριμένους περιορισμούς. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Διανομή διαχειριζόμενων εφαρμογών σε συσκευές Apple.

Αν ένας χρήστης έχει συνδεθεί με προσωπικό λογαριασμό Apple και Διαχειριζόμενο λογαριασμό Apple, η Σύνδεση μέσω Apple χρησιμοποιεί αυτόματα τον Διαχειριζόμενο λογαριασμό Apple για τις διαχειριζόμενες εφαρμογές, και τον προσωπικό λογαριασμό Apple για τις μη διαχειριζόμενες εφαρμογές. Όταν χρησιμοποιείτε μια ροή σύνδεσης στο Safari ή στο SafariWebView μέσα σε μια διαχειριζόμενη εφαρμογή, ο χρήστης μπορεί να επιλέξει και να εισαγάγει τον Διαχειριζόμενο λογαριασμό Apple του για να συσχετίσει τη σύνδεση με τον λογαριασμό της εργασίας ή του σχολείου του.

Μια οθόνη iPhone όπου φαίνονται δύο iCloud Drive, ένα με χρήση προσωπικού λογαριασμού Apple και ένα με χρήση διαχειριζόμενου λογαριασμού Apple.

Δείτε επίσηςΠληροφορίες εγγραφής χρήστη σε υπηρεσία διαχείρισης συσκευών Φορτία διαχείρισης συσκευών για την Εγγραφή συσκευής Φορτία διαχείρισης συσκευών για την Αυτοματοποιημένη εγγραφή συσκευής Βίντεο WWDC21: Παρουσίαση της Εγγραφής χρήστη βάσει λογαριασμού

Χρήσιμο;

Ανάπτυξη πλατφόρμας Apple