Käyttäjärekisteröinti ja MDM
Käyttäjärekisteröinti on suunniteltu käyttäjien omien laitteiden käyttöönottoon, eli BYOD-käyttöönottoon, jossa organisaation sijaan käyttäjä omistaa laitteen. Se toimii identiteetin tarjoajan, Google Workspacen tai Microsoft Entra ID:n ja Apple School Managerin tai Apple Business Managerin sekä muun valmistajan MDM-ratkaisun kanssa. Se toimii myös Apple Business Essentialsin laitehallinnan kanssa.
MDM-käyttäjärekisteröinnin neljä vaihetta ovat:
Palvelun löytäminen: Laite tunnistautuu MDM-ratkaisulle.
Käyttäjärekisteröinti: Käyttäjä antaa tunnistetietonsa identiteetin tarjoajalle (IdP) MDM-ratkaisuun rekisteröitymisen valtuuttamista varten.
Istuntotunnus: Istuntotunnus annetaan laitteelle jatkuvan todentautumisen sallimiseen.
MDM-rekisteröinti: Rekisteröintiprofiili lähetetään laitteeseen tietosisällöillä, jotka MDM-ylläpitäjä on määrittänyt.
Käyttäjärekisteröinti ja hallitut Apple-tilit
Käyttäjärekisteröinti vaatii hallitut Apple-tilit. Ne ovat organisaation omistuksessa ja hallinnassa ja tarjoavat henkilökunnalle pääsyn tiettyihin Applen palveluihin. Lisäksi hallitut Apple-tilit:
luodaan käsin tai automaattisesti federoidun todentamisen avulla
on integroitu oppilastietojärjestelmään tai ladattu .csv-tiedostoilla (vain Apple School Manager)
voivat myös olla käytettävissä kirjauduttaessa Apple School Managerin, Apple Business Managerin tai Apple Business Essentialsin määritettyihin rooleihin
Kun käyttäjä poistaa rekisteröintiprofiilin, kaikki asetusprofiilit, niiden asetukset ja rekisteröintiprofiiliin perustuvat hallitut apit poistetaan samalla.
Käyttäjärekisteröinti on integroitu hallittuihin Apple-tileihin, jolloin laitteelle saadaan luotua käyttäjätunniste. Käyttäjän on tehtävä todennus onnistuneesti, jotta rekisteröinti suoritetaan loppuun. Hallittua Apple-tiliä voidaan käyttää rinnakkain käyttäjän henkilökohtaisen Apple-tilin kanssa, jolla hän on kirjautunut sisään. Apple-tilit eivät vaikuta toisiinsa.
Käyttäjärekisteröinti ja federoitu todentaminen
Vaikka hallittuja Apple-tilejä voidaan luoda käsin, organisaatiot voivat hyödyntää identiteetin tarjoajan, Google Workspacen tai Microsoft Entra ID:n synkronointia ja käyttäjärekisteröintiä. Sitä varten organisaatiosi täytyy ensin:
hallita tunnistetietoja identiteetin tarjoajalla, Google Workspacella tai Microsoft Entra ID:llä
Jos käytössä on paikallinen versio Active Directorysta, tarvitaan lisämäärityksiä federoidun todentamisen valmistelemiseksi.
ilmoittaa organisaatio Apple School Manageriin, Apple Business Manageriin tai Apple Business Essentialsiin
ottaa käyttöön federoitu todentaminen Apple School Managerissa, Apple Business Managerissa tai Apple Business Essentialsissa
määrittää MDM-ratkaisu ja linkittää se Apple School Manageriin, Apple Business Manageriin tai Apple Business Essentialsiin tai käyttää Apple Business Essentialsin sisäänrakennettua laitehallintaa
(valinnainen) luoda hallittuja Apple-tilejä
Käyttäjärekisteröinti ja hallitut apit (macOS)
Käyttäjärekisteröintiin on lisätty hallitut apit macOS:ssä (tämä ominaisuus oli jo saatavilla laiterekisteröinnillä ja automaattisella laiterekisteröinnillä). CloudKitiä käyttävät hallitut apit käyttävät hallittua Apple-tiliä, joka on liitetty MDM-rekisteröintiin. MDM-ylläpitäjien täytyy lisätä InstallAsManaged-avain InstallApplication-komentoon. Samoin kuin iOS- ja iPadOS-apit, nämä apit voidaan poistaa automaattisesti, kun käyttäjä poistaa rekisteröinnin MDM:stä.
Käyttäjärekisteröinti ja appikohtaiset verkkotoiminnot
iOS 16:ssa, iPadOS 16.1:ssä ja visionOS 1.1:ssä tai uudemmissa appikohtaiset verkkotoiminnot ovat saatavilla VPN:lle (tunnetaan nimellä appikohtainen VPN), DNS-välipalvelimille ja verkkosisällön suodattimille käyttäjärekisteröinnillä rekisteröidyille laitteille. Tämä tarkoittaa, että ainoastaan hallittujen appien aloittama verkkoliikenne kulkee DNS-välipalvelimen, verkkosisällön suodattimen tai molempien läpi. Käyttäjän henkilökohtainen liikenne pysyy erillään eikä organisaatio suodata sitä tai käytä välipalvelintaan sille. Tämä onnistuu käyttämällä uusia avain-arvopareja seuraaville tietosisällöille:
Käyttäjien omien laitteiden rekisteröiminen
iOS 15:ssä, iPadOS 15:ssä, macOS 14:ssä ja visionOS 1.1:ssä tai uudemmissa organisaatiot voivat käyttää entistä selkeämpää, suoraan Asetukset-apissa tehtävää käyttäjärekisteröinnin prosessia, joka helpottaa käyttäjien omien laitteiden rekisteröintiä.
Se toimii näin:
iPhonessa, iPadissa ja Apple Vision Prossa käyttäjä siirtyy osioon Asetukset > Yleiset > VPN ja laitehallinta ja valitsee Kirjaudu työpaikan tai koulun tilille ‑painikkeen.
Macissa käyttäjä siirtyy osioon Asetukset > Tietosuoja ja suojaus > Profiilit ja valitsee Kirjaudu työpaikan tai koulun tilille ‑painikkeen.
Kun hän syöttää hallitun Apple-tilinsä, palvelun löytäminen tunnistaa MDM-ratkaisun rekisteröintiosoitteen.
Sitten käyttäjä syöttää organisaation käyttäjätunnuksensa ja salasanansa. Kun organisaation todennus on onnistunut, laitteeseen lähetetään rekisteröintiprofiili. Istuntotunnus annetaan laitteelle myös jatkuvan valtuutuksen sallimiseen. Laite aloittaa rekisteröintiprosessin ja kehottaa käyttäjää kirjautumaan sisään hallitulla Apple-tilillään. iPhonessa, iPadissa ja Apple Vision Prossa todentamisprosessia voidaan sujuvoittaa käyttämällä rekisteröinnin kertakirjautumista, joka vähentää toistuvia todentamiskehotuksia.
Kun rekisteröinti on valmis, uusi hallittu tili tulee selkeästi näkyviin Asetukset-apissa (iPhone, iPad ja Apple Vision Pro) ja Järjestelmäasetuksissa (Mac). Näin käyttäjät voivat edelleen käyttää henkilökohtaisella Apple-tilillään luodun iCloud Driven tiedostoja. Organisaation iCloud Drive (joka liittyy käyttäjän hallittuun Apple-tiliin) näytetään erikseen Tiedostot-apissa.
iPhonessa, iPadissa ja Apple Vision Prossa hallitut apit ja hallitut verkkodokumentit pääsevät kaikki organisaation iCloud Driveen, mutta MDM-ylläpitäjät voivat auttaa pitämään tietyt henkilökohtaiset ja organisaation dokumentit erillään käyttämällä tiettyjä rajoituksia. Jos haluat lisätietoja, katso Hallittujen appien rajoitukset ja ominaisuudet.
Käyttäjät näkevät yksityiskohtaisesti, mitä heidän henkilökohtaisessa laitteessaan hallitaan ja kuinka paljon iCloud-tallennustilaa organisaatio tarjoaa. Koska käyttäjä omistaa laitteen, käyttäjärekisteröinti voi käyttää siihen vain rajoitettua joukkoa tietosisältöjä ja rajoituksia. Jos haluat lisätietoja, katso Käyttäjärekisteröinnin MDM-tiedot.
Kuinka Apple erottelee käyttäjän datan organisaation datasta
Kun käyttäjärekisteröinti on valmis, laitteeseen luodaan automaattisesti erilliset salausavaimet. Jos laitteen rekisteröinti poistetaan käyttäjän toimesta tai etänä MDM-ratkaisua käyttäen, kyseiset salausavaimet tuhotaan turvallisesti. Avaimia käytetään erottamaan kryptografisesti alla luetellut hallitut tiedot:
Appidataohjaimet: iPhone, iPad, Mac ja Apple Vision Pro
Kalenteri: iPhone, iPad, Mac ja Apple Vision Pro
Laitteissa on oltava iOS 16, iPadOS 16.1, macOS 13 tai visionOS 1.1 tai uudempi.
Avainnipun kohteet: iPhone, iPad, Mac ja Apple Vision Pro
Huomaa: Muun valmistajan Mac-apin on käytettävä tietojen suojauksen avainnipun ohjelmointirajapintaa. Lisätietoja saat katsomalla Apple Developer ‑dokumentaatiosta kSecUseDataProtectionKeychain.
Sähköpostiliitteet ja sähköpostiviestin leipäteksti: iPhone, iPad, Mac ja Apple Vision Pro
Muistiinpanot: iPhone, iPad, Mac ja Apple Vision Pro
Muistutukset: iPhone, iPad, Mac ja Apple Vision Pro
Laitteissa on oltava iOS 17, iPadOS 17, macOS 14 tai visionOS 1.1 tai uudempi.
Jos käyttäjä on kirjautunut sekä henkilökohtaisella Apple-tilillä että hallitulla Apple-tilillä, Kirjaudu sisään Applella käyttää automaattisesti hallittua Apple-tiliä hallituille apeille ja henkilökohtaista Apple-tiliä ei-hallituille apeille. Kun käytetään sisäänkirjautumista Safarissa tai SafariWebView’ssa hallitussa apissa, käyttäjä voi valita ja syöttää hallitun Apple-tilinsä, jotta sisäänkirjautuminen liitetään hänen työtiliinsä.
Järjestelmäylläpitäjät voivat hallita vain MDM:llä provisioituja organisaation tilejä, asetuksia ja tietoja, ei koskaan käyttäjän henkilökohtaisia tilejä. Samat ominaisuudet, jotka suojaavat tietoja organisaation hallitsemissa apeissa, suojaavat myös käyttäjän henkilökohtaista sisältöä yrityksen tietovirtaan joutumiselta.
MDM voi tehdä | MDM ei voi tehdä |
|---|---|
Tilien määrittäminen | Henkilökohtaisten tietojen, käyttötietojen tai lokien näkeminen |
Pääsy hallittujen appien luetteloon | Pääsy henkilökohtaisten appien luetteloon |
Ainoastaan hallittujen tietojen poistaminen | Henkilökohtaisten tietojen poistaminen |
Appien asentaminen ja määrittäminen | Henkilökohtaisen apin ottaminen hallintaan |
Pääsykoodin vaatiminen | Vaadi monimutkainen pääsykoodi tai salasana |
Tiettyjen rajoitusten käyttäminen | Laitteen sijainnin käyttäminen |
Appikohtaisen VPN:n määritys | Pääsy yksilöllisiin laitetunnisteisiin |
| Koko laitteen tyhjentäminen etänä |
| Aktivointilukituksen hallinta |
| Pääsy roaming-tilaan |
| Kadonnut-tilan laittaminen päälle |
Huomaa: iPhonen ja iPadin tapauksessa ylläpitäjät voivat vaatia vähintään kuusi merkkiä pitkiä pääsykoodeja ja estää käyttäjiä käyttämästä yksinkertaisia pääsykoodeja (esimerkiksi ”123456” tai ”abcdef”) mutta eivät voi vaatia erikoismerkkejä tai monimutkaisia salasanoja.