Apple-laitteiden hallitut Apple ID:t
Kuten kaikkia Apple ID:itä, myös hallittuja Apple ID:itä voidaan käyttää henkilökohtaisissa tai jaetuissa laitteissa tiettyjen Applen palveluiden (kuten jaetun iPadin, iCloudin sekä iWorkin ja Muistiinpanojen yhteistyöominaisuuksien) käyttämiseen ja Apple School Managerin, Apple Business Managerin ja Apple Business Essentialsin käyttämiseen. Hallitut Apple ID:t eivät tue Perhejakoa.
Apple School Managerissa hallitut Apple ID:t ovat oppilaitoksen omistuksessa ja hallinnassa ja ne on suunniteltu vastaamaan oppilaitosten tarpeisiin, kuten salasanojen nollaamiseen, viestinnän rajoittamiseen sekä rooleihin perustuvaan ylläpitoon. Apple School Managerilla on helppoa luoda kerralla kaikille yksilöllinen hallittu Apple ID.
Apple Business Managerissa ja Apple Business Essentialsissa organisaatio omistaa hallitut Apple ID:t ja hallitsee niitä, mukaan lukien salasanojen nollaus ja rooleihin perustuva ylläpito. Apple Business Managerilla ja Apple Business Essentialsilla on helppoa luoda kerralla kaikille yksilöllinen hallittu Apple ID.
Apple-alustojen sertifioinnit -sivuston artikkelissa Applen internet-palveluiden tietoturvasertifioinnit voit tutustua sertifiointeihin, joita Apple ylläpitää hallituille Apple ID:ille ISO 27001- ja ISO 27018 ‑standardien mukaisesti.
Hallitun Apple ID:n luominen
Hallittuja Apple ID:itä luodaan seuraavalla tavalla:
Vain Apple School Manager: tuomalla tilit oppilastietojärjestelmästä
Vain Apple School Manager: tuomalla CSV-tiedostoja SFTP-protokollalla
tuomalla käyttäjät Google Workspacesta
käyttämällä federoitua todentamista identiteetin tarjoajan (IdP),Google Workspacen tai Microsoft Entra ID:n kanssa
tuomalla käyttäjät identiteetin tarjoajalta OIDC-protokollalla
tuomalla käyttäjät identiteetin tarjoajalta tai Microsoft Entra ID:ltä käyttäen SCIMiä
luomalla tilit käsin
Tärkeää: Muista, että jokaisen hallitun Apple ID:n tulee olla yksilöllinen. Se ei myöskään saa olla sama kuin muut Apple ID:t, joita muilla käyttäjillä jo on.
Kirjaudu sisään Applella töissä ja koulussa
”Kirjaudu sisään Applella töissä ja koulussa” on ominaisuus, joka lisää Kirjaudu sisään Applella ‑toimintoon tuen hallittujen Apple ID:iden käytölle. Työntekijät, opettajat ja oppilaat voivat kirjautua hallituilla Apple ID:illään päästäkseen appeihin ja verkkosivustoille, jotka tukevat Kirjaudu sisään Applella ‑toimintoa. Ylläpitäjät, järjestelmänhallinnan vastuuhenkilöt (vain Apple School Manager) ja henkilöhallinnan vastuuhenkilöt voivat hallita sitä, millä apeilla voidaan käyttää Kirjaudu sisään Applella ‑toimintoa. Jotta Kirjaudu sisään Applella töissä ja koulussa ‑toimintoa voidaan käyttää, Apple-laitteissa on oltava iOS 16, iPadOS 16.1 tai macOS 13 tai uudempi.
Jos haluat lisätietoja, katso WWDC22-video Discover Sign in with Apple at Work & School.
Pääsyavaimet ja hallitut Apple ID:t
Pääsyavaimet on suunniteltu tarjoamaan salasanaton käyttökokemus, joka on sekä kätevä että turvallinen. Ne ovat verkkourkintaa estävää standardiperusteista teknologiaa, jotka ovat aina vahvoja, eikä niillä ole jaettuja salaisuuksia.
Koska iCloud-avainnippu tukee hallittuja Apple ID:itä, organisaatiot voivat ottaa käyttöön pääsyavaimia, joilla työntekijät pääsevät yrityksen resursseihin. Näin voidaan myös varmistaa, että pääsyavaimet synkronoidaan turvallisesti kaikkiin työntekijöiden iPhone-, iPad- ja Mac-laitteisiin. Pääsynhalintatoiminnolla voidaan myös määrittää laitteen tarvittava hallinnan taso, jotta siinä voidaan sallia hallittujen pääsyavaimien käyttö.
Deklaratiivisella pääsyavaintodennuksen määrityksellä hallittu laite voi tarjota todennuksen, kun pääsyavain provisioidaan organisaation palvelua varten. Todennus tarjotaan, kun käyttäjä rekisteröi pääsyavaimen verkkosivustolle tai appiin määrityksessä valitulla domainilla. Kun laite on luonut turvallisesti pääsyavaimen, se tekee määrityksessä olevan varmenneidentiteetin avulla WebAuthn
-todentamisen käytettävään palveluun. Näin palvelu voi vahvistaa ennen pääsyn tarjoamista, että pääsyavain luotiin organisaation hallitsemassa laitteessa.
Luodut pääsyavaimet tallennetaan automaattisesti iCloud-avainnippuun, joka on liitetty hallittuun Apple ID:hen. Kun hallittua Apple ID:tä ei ole saatavilla, pääsyavainta ei voida luoda.
Appikehittäjät voivat tarjota käyttäjälle yksinkertaisen kertakirjautumiskokemuksen hyödyntämällä toisiinsa liittyviä domaineja. Näin voidaan muodostaa suojattu yhteys domainien ja niiden apin välille (ja valinnaisesti sallia toisiinsa liittyvien domainien määritys MDM:llä). Jos tämä on käytettävissä, iOS, iPadOS ja macOS voivat automaattisesti valita ja tarjota oikean pääsyavaimen, jotta sisäänkirjautuminen sujuu saumattomasti. Jos muun valmistajan palvelu tekee todennuksen, voidaan käyttää sen sijaan ASWebAuthenticationSession
-komentoa.
Jos haluat lisätietoja, katso Pääsyavaimen todennuksen deklaratiivinen määritys.