Εγγραφή χρήστη και MDM
Η εγγραφή χρήστη έχει σχεδιαστεί για BYOD –ή αναπτύξεις με χρήση εξατομικευμένων συσκευών– όπου η συσκευή ανήκει στον χρήστη και όχι στον οργανισμό.
Τα τέσσερα στάδια της εγγραφής χρήστη σε MDM είναι:
Ανακάλυψη υπηρεσίας: Η συσκευή ταυτοποιείται στη λύση MDM.
Εγγραφή χρήστη: Ο χρήστης παρέχει διαπιστευτήρια σε έναν πάροχο ταυτότητας (IdP) για εξουσιοδότηση για εγγραφή στη λύση MDM.
Διακριτικό συνεδρίας: Ένα διακριτικό συνεδρίας εκδίδεται στη συσκευή για να επιτρέψει τον συνεχιζόμενο έλεγχο ταυτότητας.
Εγγραφή MDM: Το προφίλ εγγραφής αποστέλλεται στη συσκευή με διαμορφωμένα φορτία από τον διαχειριστή MDM.
Εγγραφή χρήστη και Διαχειριζόμενα Apple ID
Η εγγραφή χρήστη απαιτεί Διαχειριζόμενα Apple ID. Αυτά ανήκουν σε έναν οργανισμό ο οποίος τα διαχειρίζεται και παρέχουν στους υπαλλήλους πρόσβαση σε συγκεκριμένες υπηρεσίες Apple. Επιπλέον, τα Διαχειριζόμενα Apple ID:
Δημιουργούνται χειροκίνητα, ή αυτόματα μέσω ομόσπονδου ελέγχου ταυτότητας
Ενσωματώνονται με ένα Σύστημα Πληροφοριών Μαθητών (Student Information System – SIS) ή ανεβάζουν αρχεία .csv (μόνο Apple School Manager)
Μπορούν επίσης να χρησιμοποιηθούν για σύνδεση με έναν εκχωρημένο ρόλο στο Apple School Manager, το Apple Business Manager ή το Apple Business Essentials
Όταν ένας χρήστης αφαιρεί ένα προφίλ εγγραφής, αφαιρούνται μαζί του και όλα τα προφίλ ρύθμισης παραμέτρων, οι ρυθμίσεις τους και οι Διαχειριζόμενες εφαρμογές που βασίζονται στο συγκεκριμένο προφίλ εγγραφής.
Η Εγγραφή χρήστη είναι ενσωματωμένη στο Διαχειριζόμενο Apple ID για δημιουργία μιας ταυτότητας χρήστη στη συσκευή. Ο χρήστης πρέπει να πραγματοποιήσει επιτυχή έλεγχο ταυτότητας για να ολοκληρωθεί η εγγραφή. Το διαχειριζόμενο Apple ID μπορεί να χρησιμοποιηθεί παράλληλα με το προσωπικό Apple ID με το οποίο έχει ήδη συνδεθεί ο χρήστης. Αυτά τα δύο δεν αλληλεπιδρούν μεταξύ τους. Η Εγγραφή χρήστη έχει σχεδιαστεί για συσκευές που ανήκουν στον χρήστη.
Εγγραφή χρήστη και ομόσπονδος έλεγχος ταυτότητας
Η Εγγραφή χρήστη λειτουργεί με το Google Workspace ή το Microsoft Azure Active Directory (AD) και το Apple School Manager ή το Apple Business Manager και μια τρίτη λύση MDM. Λειτουργεί επίσης με τη διαχείριση συσκευών στο Apple Business Essentials. Για να μπορέσουν οι χρήστες σας να επωφεληθούν από τον συγχρονισμό με το Google Workspace ή το Microsoft Azure AD και την Εγγραφή χρήστη, ο οργανισμός σας πρέπει πρώτα να κάνει τα εξής:
Ρύθμιση παραμέτρων Google Workspace ή Azure AD
Αν διαθέτετε μια τοπική έκδοση του Active Directory, απαιτείται πρόσθετη διαμόρφωση για να είναι δυνατός ο ομόσπονδος έλεγχος ταυτότητας.
Εγγράψτε τον οργανισμό σας στο Apple School Manager, το Apple Business Manager ή το Apple Business Essentials
Διαμορφώστε τον ομόσπονδο έλεγχο ταυτότητας στο Apple School Manager, το Apple Business Manager ή το Apple Business Essentials
Διαμορφώστε μια λύση MDM και συνδέστε τη με το Apple School Manager, το Apple Business Manager ή το Apple Business Essentials, ή χρησιμοποιήστε τη διαχείριση συσκευών που είναι ενσωματωμένη στο Apple Business Essentials
(προαιρετικά) Δημιουργία Διαχειριζόμενων Apple ID
Εγγραφή χρήστη και Διαχειριζόμενες εφαρμογές (macOS)
Η Εγγραφή χρήστη έχει προσθέσει Διαχειριζόμενες εφαρμογές στο macOS (αυτή η δυνατότητα ήταν ήδη διαθέσιμη με την Εγγραφή συσκευής και την Αυτοματοποιημένη εγγραφή συσκευής). Οι Διαχειριζόμενες εφαρμογές που χρησιμοποιούν το CloudKit χρησιμοποιούν το Διαχειριζόμενο Apple ID που σχετίζεται με την εγγραφή MDM. Οι διαχειριστές MDM πρέπει να προσθέσουν το κλειδί InstallAsManaged στην εντολή InstallApplication. Όπως και οι εφαρμογές iOS και iPadOS, αυτές οι εφαρμογές μπορούν να αφαιρεθούν αυτόματα όταν ένας χρήστης καταργήσει την εγγραφή του από τη λύση MDM.
Εγγραφή χρήστη και δικτύωση ανά εφαρμογή
Η δικτύωση ανά εφαρμογή στο iOS 16 και το iPadOS 16.1 είναι διαθέσιμη για VPN (γνωστό ως VPN ανά εφαρμογή), διαμεσολαβητές DNS και φίλτρα περιεχομένου Ιστού για συσκευές που έχουν εγγραφεί με την Εγγραφή χρήστη. Αυτό σημαίνει ότι μόνο η δικτυακή κίνηση που ξεκινά από διαχειριζόμενες εφαρμογές μεταβιβάζεται μέσω του μεσολαβητή DNS, του φίλτρου περιεχομένου Ιστού ή και των δύο. Η προσωπική κίνηση ενός χρήστη παραμένει διαχωρισμένη και δεν φιλτράρεται ούτε στέλνεται σε μεσολαβητή από έναν οργανισμό. Αυτό επιτυγχάνεται με τη χρήση νέων ζευγών κλειδιού-τιμής για τα ακόλουθα φορτία. Για περισσότερες πληροφορίες δείτε:
Πώς οι χρήστες εγγράφουν τις προσωπικές συσκευές τους
Υπάρχουν δύο βασικοί τρόποι με τους οποίους οι χρήστες μπορούν να εγγράψουν μια προσωπική συσκευή στην Εγγραφή χρήστη—μέσω ενός λογαριασμού ή μέσω ενός προφίλ εγγραφής.
Εγγραφή χρήστη βάσει λογαριασμού
Στο iOS 15 και το iPadOS 15 ή μεταγενέστερες εκδόσεις, οι οργανισμοί μπορούν να χρησιμοποιούν μια βελτιστοποιημένη διαδικασία Εγγραφής χρήστη, ενσωματωμένη απευθείας στην εφαρμογή «Ρυθμίσεις», ώστε να είναι ευκολότερο για τους χρήστες να εγγράψουν τις προσωπικές συσκευές τους.
Για να το κάνει αυτό, ο χρήστης πρέπει να μεταβεί στις «Ρυθμίσεις» > «VPN και διαχείριση συσκευών» και έπειτα να αγγίξει το κουμπί «Σύνδεση σε λογαριασμό εργασίας ή σχολείου».
Όταν εισαγάγει το διαχειριζόμενο Apple ID του, η ανακάλυψη υπηρεσίας αναγνωρίζει τη διεύθυνση URL της λύσης MDM.
Ο χρήστης εισαγάγει το όνομα χρήστη και το συνθηματικό του οργανισμού του. Μετά τον επιτυχή έλεγχο ταυτότητας του οργανισμού, το προφίλ εγγραφής αποστέλλεται στη συσκευή. Επιπρόσθετα, ένα διακριτικό συνεδρίας εκδίδεται στη συσκευή για να επιτρέψει τη συνεχιζόμενη εξουσιοδότηση.
Τέλος, μετά τη σύνδεση ενός χρήστη, ο νέος διαχειριζόμενος λογαριασμός εμφανίζεται σε εμφανή θέση στην εφαρμογή «Ρυθμίσεις».
Μετά την εγγραφή, ο χρήστες εξακολουθούν να μπορούν να έχουν πρόσβαση σε αρχεία στο προσωπικό τους iCloud Drive. Το iCloud Drive για τον οργανισμό εμφανίζεται ξεχωριστά στην εφαρμογή «Αρχεία». Στο iOS και iPadOS, οι Διαχειριζόμενες εφαρμογές και τα διαχειριζόμενα διαδικτυακά έγγραφα έχουν όλα πρόσβαση στο iCloud Drive, αλλά ο διαχειριστής MDM μπορεί να βοηθήσει να διατηρούνται ξεχωριστά συγκεκριμένα προσωπικά έγγραφα και έγγραφα του οργανισμού χρησιμοποιώντας συγκεκριμένους περιορισμούς.
Οι χρήστες μπορούν να δουν λεπτομέρειες σχετικά με το τι είναι υπό διαχείριση στην προσωπική συσκευή τους και πόσος χώρος αποθήκευσης iCloud παρέχεται από τον οργανισμό τους.
Εγγραφή χρήση βάσει προφίλ
Με την υπάρχουσα ροή Εγγραφής χρήστη βάσει προφίλ, παρέχεται στους χρήστες ένα προφίλ εγγραφής με χρήση ενός προσαρμοσμένου URL, μηνύματος mail, ή με άλλα μέσα. Μετά τη λήψη του προφίλ εγγραφής και των επιπλέον προφίλ διαμόρφωσης, εμφανίζεται μια οθόνη Εγγραφής χρήστη. Ο χρήστης κάνει κλικ στην «Εγγραφή του (iPhone, iPad, Mac) μου» και μετά:
Με ομόσπονδο έλεγχο ταυτότητας: Εισάγει το όνομα χρήση και το συνθηματικό του λογαριασμού Google Workspace ή Azure AD
Χωρίς ομόσπονδο έλεγχο ταυτότητας: Εισαγάγει το Διαχειριζόμενο Apple ID του
Όταν ολοκληρωθεί η εγγραφή, θα εμφανιστεί ένας πρόσθετος λογαριασμός στη συγκεκριμένη συσκευή – σε iPhone ή iPad (στις «Ρυθμίσεις» > «Συνθηματικά και λογαριασμοί») ή σε Mac (στις Ρυθμίσεις συστήματος σε macOS 13 ή μεταγενέστερες εκδόσεις, ή στις Προτιμήσεις συστήματος σε macOS 12.0.1 ή προγενέστερες εκδόσεις).
Επειδή ιδιοκτήτης της συσκευής είναι ο χρήστης, η εγγραφή χρήστη μπορεί να εφαρμόσει στη συσκευή μόνο ένα περιορισμένο σύνολο φορτίων και περιορισμών. Για προβολή αυτού του συνόλου, δείτε την ενότητα Πληροφορίες MDM εγγραφής χρήστη.
Πώς η Apple διαχωρίζει τα δεδομένα χρήστη από τα δεδομένα οργανισμού
Όταν ολοκληρωθεί η Εγγραφή χρήστη, δημιουργούνται αυτόματα ξεχωριστά κλειδιά κρυπτογράφησης στη συσκευή. Αν καταργηθεί η συσκευή της εγγραφής από τον χρήστη ή εξ αποστάσεως μέσω MDM, αυτά τα κλειδιά κρυπτογράφησης καταστρέφονται με ασφάλεια. Τα κλειδιά χρησιμοποιούνται για κρυπτογραφικό διαχωρισμό των διαχειριζόμενων δεδομένων που παρατίθενται παρακάτω:
Περιέκτες δεδομένων εφαρμογών: iPhone, iPad και Mac.
Ημερολόγιο: iPhone, iPad και Mac. Οι συσκευές πρέπει να διαθέτουν iOS 16, iPadOS 16.1, macOS 13 ή μεταγενέστερη έκδοση.
Στοιχεία κλειδοθήκης: iPhone, iPad και Mac.
Σημείωση: Η εφαρμογή Mac τρίτων πρέπει να χρησιμοποιεί το API κλειδοθήκης προστασίας δεδομένων. Για περισσότερες πληροφορίες, ανατρέξτε στην τεκμηρίωση Apple Developer kSecUseDataProtectionKeychain.
Συνημμένα Mail και το κύριο τμήμα των αντίστοιχων μηνυμάτων email: iPhone, iPad και Mac.
Σημειώσεις: iPhone, iPad και Mac.
Σε iOS και iPadOS, οι Διαχειριζόμενες εφαρμογές και τα διαχειριζόμενα διαδικτυακά έγγραφα έχουν όλα πρόσβαση στο iCloud Drive του οργανισμού μέσω των υπαρχόντων περιορισμών «Διαχειριζόμενο άνοιγμα σε». Ο διαχειριστής MDM μπορεί να σας βοηθήσει να διατηρήσετε ξεχωριστά συγκεκριμένα προσωπικά έγγραφα και έγγραφα του οργανισμού.
Οι διαχειριστές συστήματος μπορούν να διαχειρίζονται μόνο τους λογαριασμούς, τις ρυθμίσεις και τις πληροφορίες ενός οργανισμού που παρέχονται με τη λύση MDM, ενώ δεν μπορούν να διαχειριστούν ποτέ προσωπικούς λογαριασμούς χρηστών. Μάλιστα, οι ίδιες δυνατότητες που διατηρούν ασφαλή τα δεδομένα σε Διαχειριζόμενες εφαρμογές που ανήκουν στον οργανισμό, αποτρέπουν επίσης την είσοδο των προσωπικών δεδομένων του χρήστη στη ροή εταιρικών δεδομένων.
Η λύση MDM μπορεί να κάνει τα εξής | Η λύση MDM δεν μπορεί να κάνει τα εξής |
|---|---|
Διαμόρφωση λογαριασμών | Εμφάνιση προσωπικών πληροφοριών, δεδομένων χρήσης ή αρχείων καταγραφής |
Πρόσβαση καταλόγου Διαχειριζόμενων εφαρμογών | Πρόσβαση καταλόγου προσωπικών εφαρμογών |
Αφαίρεση μόνο διαχειριζόμενων δεδομένων | Αφαίρεση προσωπικών δεδομένων |
Εγκατάσταση και διαμόρφωση εφαρμογών | Ανάληψη της διαχείρισης μιας προσωπικής εφαρμογής |
Απαίτηση συνθηματικού | Απαίτηση πολύπλοκου κωδικού ή συνθηματικού |
Επιβολή συγκεκριμένων περιορισμών | Πρόσβαση στην τοποθεσία συσκευής |
Διαμόρφωση VPN ανά εφαρμογή | Πρόσβαση σε μοναδικά αναγνωριστικά συσκευών |
| Απομακρυσμένο σβήσιμο ολόκληρης της συσκευής |
| Διαχείριση Κλειδώματος ενεργοποίησης |
| Πρόσβαση σε κατάσταση περιαγωγής |
| Turn on Lost Mode |
Σημείωση: Οι διαχειριστές μπορούν να απαιτήσουν κωδικούς με τουλάχιστον 6 χαρακτήρες και να μην επιτρέψουν στους χρήστες τη χρήση απλών κωδικών (π.χ. 123456 ή abcdef), αλλά δεν μπορούν να απαιτήσουν σύνθετους χαρακτήρες ή συνθηματικά.