Tiliin perustuvat rekisteröintitavat Apple-laitteissa
Tiliin perustuva käyttäjärekisteröinti ja tiliin perustuva laiterekisteröinti tarjoavat käyttäjille ja organisaatioille saumattoman, turvallisen tavan ottaa käyttöön Apple-laitteita töitä varten kirjautumalla sisään hallitulla Apple-tilillä.
Näin samalle laitteelle voi kirjautua sekä hallitulla Apple-tilillä että henkilökohtaisella Apple-tilillä, ja työ- ja henkilökohtaiset tiedot on erotettu kokonaan toisistaan. Käyttäjien henkilökohtaiset tiedot pysyvät yksityisinä ja IT-ylläpitäjä tukee työhön liittyviä appeja, asetuksia ja tilejä.
Erottelun vuoksi appien ja varmuuskopioiden käsittelyyn on tehty seuraavat muutokset:
Kaikki määritykset ja asetukset poistetaan, kun rekisteröintiprofiili poistetaan.
Hallitut apit poistetaan aina rekisteröinnin poistamisen yhteydessä.
Jos asennat appeja ennen laitehallintapalveluun rekisteröintiä, et voi muuttaa niitä hallituiksi apeiksi.
Palautus varmuuskopiosta ei palauta rekisteröintiä laitehallintapalveluun.
Käyttäjät, jotka kirjautuvat sisään henkilökohtaisella Apple-tilillään, eivät voi hyväksyä kutsua hallittujen appien jakeluun.
Vaikka voit luoda hallittuja Apple-tilejä käsin, organisaatiot voivat hyödyntää Google Workspacen, Microsoft Entra ID:n tai identiteetin tarjoajan integrointia.
Jos haluat lisätietoja federoidusta todentamisesta, katso Johdatus federoituun todennukseen Apple School Managerilla tai Johdatus federoituun todennukseen Apple Business Managerilla.
Tiliin perustuva rekisteröintiprosessi
Käyttäjä voi rekisteröidä laitteen käyttäen tiliin perustuvaa käyttäjärekisteröintiä tai tiliin perustuvaa laiterekisteröintiä siirtymällä osioon Asetukset >Yleiset > VPN ja laitehallinta tai Järjestelmäasetukset > Yleiset > Laitehallinta ja valitsemalla Kirjaudu työpaikan tai koulun tilille ‑painikkeen.
Tämä käynnistää neljävaiheisen rekisteröintiprosessin laitehallintapalveluun:
Palvelun löytäminen: Laite määrittää laitehallintapalvelun rekisteröintiosoitteen.
Todennus ja käyttötunnus: Käyttäjä antaa tunnistetietonsa rekisteröitymisen valtuuttamista varten ja saadakseen käyttötunnuksen jatkuvaa todentautumista varten.
Rekisteröinti palveluun: Rekisteröintiprofiili lähetetään laitteeseen ja käyttäjän tulee suorittaa rekisteröityminen loppuun kirjautumalla sisään hallitulla Apple-tilillään.
Jatkuva todentautuminen: Laitehallintapalvelu vahvistaa kirjautuneen käyttäjän jatkuvasti käyttötunnuksen avulla.
Vaihe 1: Palvelun löytäminen
Ensimmäisessä vaiheessa palvelun löytäminen yrittää tunnistaa laitehallintapalvelun rekisteröintiosoitteen. Se käyttää tähän käyttäjän antamaa tunnistetta (esimerkiksi eliza@betterbag.com). Domainin tulee olla täydellinen domainnimi (FQDN), josta laitehallintapalvelu käy ilmi käyttäjän organisaatiolle.
Sitten tapahtuu seuraavaa:
Vaihe 1
Laite tunnistaa annetun tunnisteen domainin (edellisessä esimerkissä betterbag.com).
Vaihe 2
Laite pyytää tunnettua resurssia organisaation domainista (esimerkiksi https://<domain>/.well-known/com.apple.remotemanagement).
Asiakas sisällyttää kaksi kyselyparametria HTTP GET -pyynnön URL-osoitteeseen:
user-identifier: Syötetyn tilitunnisteen arvo (edellisessä esimerkissä eliza@betterbag.com).
model-family: Laitteen tuoteperhe (esimerkiksi iPhone, iPad, Mac).
Huomaa: Laite noudattaa HTTP 3xx ‑uudelleenohjauspyyntöjä, jolloin varsinaista com.apple.remotemanagement-tiedostoa voidaan säilyttää toisella palvelimella, johon laitteella on pääsy.
Laitteissa, joissa on iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 tai uudempi, palvelun löytämisprosessi antaa laitteen hakea tunnettua resurssia vaihtoehtoisesta sijainnista, jonka laitehallintapalvelu määrittää, kun se on yhdistetty Apple School Manageriin tai Apple Business Manageriin. Palvelua yritetään silti ensin löytää organisaation domainissa sijaitsevasta tunnetusta resurssista. Jos pyyntö epäonnistuu, laite tarkistaa Apple School Managerista tai Apple Business Managerista tunnetun resurssin vaihtoehtoisen sijainnin. Prosessi edellyttää, että Apple School Manager tai Apple Business Manager vahvistaa tunnisteessa käytetyn domainin. Jos haluat lisätietoja, katso Domainin lisääminen ja vahvistaminen Apple School Managerissa tai Domainin lisääminen ja vahvistaminen Apple Business Managerissa.
Tämän ominaisuuden käyttö edellyttää, että laitehallintapalvelu määrittää löytämiseen käytettävän vaihtoehtoisen osoitteen, kun se on yhdistetty Apple School Manageriin tai Apple Business Manageriin. Kun laite ottaa yhteyden Apple School Manageriin tai Apple Business Manageriin, laitetyyppi valitsee kyseiselle laitetyypille liitetyn palvelun. Prosessi on sama, jolla valitaan oletuspalvelu automaattista laiterekisteröintiä varten. Jos liitettyyn palveluun on määritetty palvelun löytämiseen käytettävä osoite, laite pyytää tunnettua resurssia tästä sijainnista. Jos haluat asettaa oletuslaiteliitännän, katso Oletuslaiteliitännän määrittäminen Apple School Managerissa tai Oletuslaiteliitännän määrittäminen Apple Business Managerissa.
Laitehallintapalvelu voi säilyttää myös tunnettua resurssia.
Vaihe 3
Palvelin, jolla tunnettua resurssia säilytetään, vastaa palvelun löytämistä koskevalla JSON-dokumentilla, joka noudattaa seuraavaa mallia:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Laitehallintapalvelun rekisteröintiavaimet sekä niiden tyypit ja kuvaukset on esitetty seuraavassa taulukossa. Kaikki avaimet vaaditaan.
Avain | Tyyppi | Kuvaus |
|---|---|---|
Servers | Taulukko | Luettelo, joka sisältää yhden merkinnän. |
Version | Merkkijono | Avain määrittää käytettävän rekisteröintitavan, ja sen on oltava joko |
BaseURL | Merkkijono | Laitehallintapalvelun rekisteröintiosoite. |
Tärkeää: Palvelimen on varmistettava, että HTTP-vastauksen Content-Type-otsakekentäksi on asetettu application/json.
Vaihe 4
Laite lähettää HTTP POST ‑pyynnön BaseURL:n määrittämään rekisteröintiosoitteeseen.
Vaihe 2: Todennus ja käyttötunnus
Rekisteröitymisen valtuuttaminen edellyttää käyttäjän todentamista laitehallintapalvelulla. Todennuksen jälkeen laitehallintapalvelu antaa käyttötunnuksen laitteeseen. Laite tallentaa tunnuksen suojatusti myöhempien pyyntöjen valtuuttamista varten.
Käyttötunnus:
on olennainen sekä alussa tehtävässä todentamisprosessissa että myöhemmin laitehallintapalvelun resurssien käyttämisessä
toimii turvallisena siltana käyttäjän hallitun Apple-tilin ja laitehallintapalvelun välillä
mahdollistaa jatkuvan käyttöoikeuden antamisen työresursseihin kaikille tiliin perustuville rekisteröinneille
iPhonessa, iPadissa ja Apple Vision Prossa alussa tehtävää ja myöhempää todentamisprosessia voidaan sujuvoittaa käyttämällä rekisteröinnin kertakirjautumista, joka vähentää toistuvia todentamiskehotuksia. Jos haluat lisätietoja, katso Rekisteröinnin kertakirjautuminen iPhonelle, iPadille ja Apple Vision Prolle.
Vaihe 3: Rekisteröinti laitehallintapalveluun
Käyttötunnusta käytettäessä laite pystyy todentamaan laitehallintapalvelulla ja käyttämään rekisteröintiprofiilia. Profiili sisältää kaikki tiedot, joita laite tarvitsee rekisteröinnin suorittamiseen. Suorittaakseen rekisteröitymisen loppuun käyttäjän tulee kirjautua sisään hallitulla Apple-tilillään. Kun rekisteröityminen on suoritettu valmiiksi, hallittu Apple-tili tulee selkeästi näkyviin Asetuksissa ja Järjestelmäasetuksissa.
Jos haluat lisätietoja siitä, mitä iCloud-palveluja käyttäjille saatavilla on, katso iCloud-palvelujen käyttäminen.
Vaihe 4: Jatkuva todentautuminen
Rekisteröitymisen jälkeen käyttötunnus pysyy aktiivisena ja se sisällytetään Authorization-HTTP-otsakkeella kaikkiin laitehallintapalvelulle osoitettuihin pyyntöihin. Näin palvelu pystyy jatkuvasti vahvistamaan käyttäjän, minkä lisäksi ratkaisu auttaa varmistamaan, että vain valtuutetuilla käyttäjillä on pääsy organisaation resursseihin.
Yleensä käyttöoikeudet vanhentuvat tietyn ajan kuluttua. Kun näin käy, laite voi pyytää käyttäjää todentautumaan uudelleen, jotta käyttöoikeus voidaan uusia. Ajoittainen varmentamisen uusiminen auttaa pitämään huolta tietoturvasta, mikä on tärkeää sekä henkilökohtaisissa että organisaatioiden omistamissa laitteissa. Rekisteröinnin kertakirjautumista käytettäessä käyttöoikeus uusiutuu automaattisesti organisaation identiteetin tarjoajan kautta, mikä varmistaa häiriöttömän käytön ilman uutta todentamista.
Käyttäjän datan erottaminen organisaation datasta tiliin perustuvilla rekisteröintitavoilla
Kun tiliin perustuva käyttäjärekisteröinti tai tiliin perustuva laiterekisteröinti on valmis, käyttöjärjestelmä luo automaattisesti laitteeseen erilliset salausavaimet. Jos käyttäjä poistaa laitteen rekisteröinnin tai laitehallintapalvelu poistaa sen rekisteröinnin etänä, käyttöjärjestelmä tuhoaa kyseiset salausavaimet. Käyttöjärjestelmä käyttää avaimia erottamaan kryptografisesti tässä taulukossa esitetyn hallitun datan.
Sisältö | Pienimmät tuetut käyttöjärjestelmäversiot | Kuvaus | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Hallittujen appien dataohjaimet | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Hallitut apit käyttävät iCloud-datan synkronointiin hallittua Apple-tiliä, joka on liitetty laitehallintapalveluun. Tämä koskee myös Cloudkitiä käyttävän Macin hallittuja appeja (asennettuna siten, että | |||||||||
Kalenteri-appi | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Tapahtumat ovat erillisiä. | |||||||||
Avainnipun kohteet | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Muun valmistajan Mac-apin on käytettävä tietojen suojauksen avainnipun ohjelmointirajapintaa. Jos haluat lisätietoja, katso globaali muuttuja kSecUseDataProtectionKeychain Apple Developer ‑verkkosivustolla. | |||||||||
Mail-appi | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Sähköpostiliitteet ja sähköpostiviestin leipäteksti ovat erillisiä. | |||||||||
Muistiinpanot-appi | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Muistiinpanot ovat erillisiä. | |||||||||
Muistutukset-appi | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Muistutukset ovat erillisiä. | |||||||||
iPhonessa, iPadissa ja Apple Vision Prossa hallitut apit ja hallitut verkkodokumentit pääsevät kaikki organisaation iCloud Driveen (joka näkyy erikseen Tiedostot-apissa, kun käyttäjä on kirjautunut sisään hallitulla Apple-tilillään). Laitehallintapalvelun ylläpitäjä voi auttaa pitämään tietyt henkilökohtaiset ja organisaation dokumentit erillään käyttämällä tiettyjä rajoituksia. Jos haluat lisätietoja, katso Hallittujen appien jakeleminen Apple-laitteille.
Jos käyttäjä on kirjautunut sekä henkilökohtaisella Apple-tilillä että hallitulla Apple-tilillä, Kirjaudu sisään Applella käyttää automaattisesti hallittua Apple-tiliä hallituille apeille ja henkilökohtaista Apple-tiliä ei-hallituille apeille. Kun hallitussa apissa käytetään sisäänkirjautumista Safarissa tai SafariWebView’ssa, käyttäjä voi valita ja syöttää hallitun Apple-tilinsä, jotta sisäänkirjautuminen yhdistyy hänen työ- tai koulutiliinsä.
