Az Apple‑eszközök fiókvezérelt regisztrációs módszerei
A fiókvezérelt felhasználói regisztráció és a fiókvezérelt eszközregisztráció zökkenőmentes és biztonságos módszert biztosít a felhasználók és szervezetek számára Apple‑eszközök munkához történő beállítására felügyelt Apple‑fiókba történő bejelentkezés által.
Ez a megközelítés lehetővé teszi, hogy ugyanazon az eszközön egy felügyelt Apple‑fiók és egy személyes Apple‑fiók is bejelentkezhessen, a munkavégzési és a személyes adatok teljes különválasztása mellett. Ily módon a felhasználók biztonságban tudhatják a személyes adataikat, és az IT támogatást biztosíthat a munkával kapcsolatos appokhoz, beállításokhoz és fiókokhoz.
Ezen különválasztás támogatása érdekében az alábbi módosítások kerültek elvégzésre az appok és biztonsági mentések kezelésének módjában:
A regisztrációs profil eltávolításakor az összes konfiguráció és beállítás is eltávolításra kerül.
A felügyelt appok mindig el vannak távolítva a regisztráció megszűntetésekor.
Az eszközfelügyeleti szolgáltatásba történő regisztráció előtt telepített appok nem alakíthatók át felügyelt appokká.
A biztonsági mentésből történő visszaállítás nem állítja vissza az eszközfelügyeleti szolgáltatásban lévő regisztrációt.
A személyes Apple‑fiókjukkal bejelentkező felhasználók nem fogadhatnak el meghívót felügyelt appok terjesztéséhez.
Bár manuálisan is létrehozhat felügyelt Apple‑fiókokat, a szervezetek kihasználhatják a Google Workspace-szel, a Microsoft Entra ID-val vagy az identitásszolgáltatójukkal történő integráció által nyújtott előnyöket.
Az összevont hitelesítéssel kapcsolatos további információkért, lásd: Összevont hitelesítés az Apple School Managerben vagy Összevont hitelesítés az Apple Businessben.
A fiókvezérelt regisztráció folyamata
Az eszköz fiókvezérelt felhasználói regisztráción vagy fiókvezérelt eszközregisztráción keresztül történő regisztrálásához a felhasználó kiválasztja a Beállítások > Általános > VPN és eszközfelügyelet vagy a Rendszerbeállítások > Általános > Eszközfelügyelet menüpontot, és kiválasztja a Jelentkezzen be a munkahelyi vagy iskolai fiókjába gombot.
Ez elindítja az eszközfelügyeleti szolgáltatásba történő regisztráció négyszakaszos folyamatát:
Szolgáltatáskeresés: Az eszköz határozza meg az eszközfelügyeleti szolgáltatás regisztrációs URL-címét.
Hitelesítés és hozzáférési token: A felhasználó hitelesítő adatokat ad meg a regisztráció jóváhagyásához, és hozzáférési tokent kap folyamatos hitelesítés céljából.
Regisztrálás a szolgáltatásba: A regisztrációs profilt a rendszer elküldi az eszközre, és kötelezi a felhasználót, hogy jelentkezzen be a felügyelt Apple‑fiókjába a regisztrációs befejezése érdekében.
Folyamatos hitelesítés: Az eszközfelügyeleti szolgáltatás folyamatosan ellenőrzi a bejelentkezett felhasználót a hozzáférési token segítségével.
1. színpad: Szolgáltatáskeresés
Az első lépésben a szolgáltatáskeresés megpróbálja beazonosítani az eszközfelügyeleti szolgáltatás regisztrációs URL-címét. Ehhez a felhasználó által megadott azonosítót (pl. elana.landot@melardclothing.com) használja fel. A doménnek egy olyan teljesen minősített doménnévnek (FQDN) kell lennie, amely az eszközfelügyeleti szolgáltatást hirdeti a felhasználó szervezete számára.
Ezután a következő történik:
1. lépés
Az eszköz beazonosítja a biztosított azonosítóban található domént (a fenti példa esetében: melardclothing.com).
2. lépés
Az eszköz lekéri a jól ismert erőforrást a szervezet doménjéről (pl. https://<domain>/.well-known/com.apple.remotemanagement).
A kliens két lekérési paramétert biztosít a HTTP GET-kérelem URL-útvonalában:
user-identifier: A megadott fiókazonosító értéke (a fenti példa esetében: (elana.landot@melardclothing.com).
model-family: Az eszköz modellcsaládja (pl. iPhone, iPad, Mac).
Megjegyzés: Az eszköz HTTP 3xx átirányítási kérelmet követ, amely lehetővé teszi a tényleges com.apple.remotemanagement fájl számára, hogy egy, az eszköz által elérhető másik szerveren legyen hosztolva.
iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 vagy újabb rendszert futtató eszközökön a szolgáltatáskeresési folyamat lehetővé teszi az eszközök számára, hogy beolvassák a jól ismert erőforrást az Apple School Managerhez vagy az Apple Businesshez kapcsolt eszközfelügyeleti szolgáltatás által megadott alternatív helyről. A szolgáltatáskeresés első preferenciája továbbra is a szervezet doménjénél található jól ismert erőforrás marad. Ha a kérelem meghiúsul, az eszköz az Apple School Manageren vagy az Apple Businessen keresztül keresi meg a jól ismert erőforrás alternatív helyét. Ez a folyamat megköveteli, hogy az Apple School Manager vagy az Apple Business ellenőrizze az azonosítóban használt domént. További információkért lásd: Tartomány hozzáadása és igazolása az Apple School Managerben vagy Tartomány hozzáadása és igazolása az Apple Businessben.
Ezen képesség használatához az eszközfelügyeleti szolgáltatásnak konfigurálnia kell a másodlagos szolgáltatáskeresési URL-címet, ha össze van kapcsolva az Apple School Managerrel vagy az Apple Business-szel. Amikor az eszköz kapcsolatba lép az Apple School Managerrel vagy az Apple Business-szel, az eszköz típusa határozza meg az adott típushoz hozzárendelt szolgáltatást. Ugyanezzel az eljárással határozható meg az automatizált eszközregisztrációhoz használt alapértelmezett szolgáltatás. Ha a hozzárendelt szolgáltatás rendelkezik konfigurált szolgáltatáskeresési URL-címmel, az eszköz lekéri a jól ismert erőforrást az adott helyről. Az alapértelmezett eszköz-hozzárendelés beállításával kapcsolatban lásd: Az alapértelmezett eszköz-hozzárendelés módjának beállítása az Apple School Managerben vagy Az alapértelmezett eszköz-hozzárendelés módjának beállítása az Apple Businessben.
A jól ismert erőforrás hosztolására az eszközfelügyeleti szolgáltatás is képes.
3. lépés
A jól ismert erőforrást hosztoló szerver az alábbi sémának megfelelő szolgáltatáskeresési JSON-dokumentummal válaszol:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Az eszközfelügyeleti szolgáltatás regisztrációs kulcsait, típusait és leírásait az alábbi táblázat tartalmazza. Ezek a kulcsok nem hagyhatók ki.
Kulcs | Típus | Leírás |
|---|---|---|
Szerverek | Tömb | Egy egyetlen bejegyzéssel rendelkező lista. |
Version (Verzió) | Karakterlánc | Ez a kulcs határozza meg a használandó regisztrációs módszert, és felhasználói regisztráció esetében |
BaseURL | Karakterlánc | Az eszközfelügyeleti szolgáltatás regisztrációs URL-címe. |
Fontos: A szervernek gondoskodnia kell arról, hogy a HTTP-válaszban található Content-Type fejléc mező application/json beállítással rendelkezzen.
4. lépés
Az eszköz egy HTTP POST-kérelmet küldd a BaseURL által megadott regisztrációs URL-címnek.
2. színpad: Hitelesítés és hozzáférési token
A regisztráció engedélyezése érdekében a felhasználónak hitelesítenie kell magát az eszközfelügyeleti szolgáltatásban. A sikeres hitelesítést követően az eszközfelügyeleti szolgáltatás egy hozzáférési tokent bocsát ki az eszköz számára. Az eszköz biztonságosan eltárolja a tokent használat céljából a következő kérelmek feljogosításakor.
A hozzáférési token:
Központi szerepet játszik az első hitelesítési folyamatban és az eszközfelügyeleti szolgáltatás erőforrásaihoz való folyamatos hozzáférés biztosításában
Biztonságos hídként szolgál a felhasználó felügyelt Apple‑fiókja és az eszközfelügyeleti szolgáltatás között
A segítségével folyamatos hozzáférés biztosítható a munkavégzési erőforrásokhoz valamennyi fiókvezérelt regisztráció esetében
iPhone-on, iPaden és Apple Vision Prón az első és a folyamatos hitelesítési folyamat leegyszerűsíthető regisztrációs SSO (regisztrációs egyszeri bejelentkezés) használatával, amelynek révén csökkenthető az ismétlődő hitelesítési üzenetek száma. Bővebben: Regisztrációs egyszeri bejelentkezés iPhone‑hoz, iPadhez és Apple Vision Próhoz.
3. színpad: Eszközfelügyeleti szolgáltatással történő regisztráció
A hozzáférési token segítségével az eszköz hitelesítheti magát az eszközfelügyeleti szolgáltatásban, és hozzáférhet a regisztrációs profilhoz. Ez a profil tartalmazza az eszköz által a regisztráció elvégzéséhez igényelt információt. A regisztráció befejezéséhez a felhasználónak sikeresen be kell jelentkeznie a felügyelt Apple‑fiókjába. A regisztráció befejezését követően a felügyelt Apple‑fiók jól látható módon jelenik meg a Beállításokban és a Rendszerbeállításokban.
A felhasználók számára elérhető iCloud-szolgáltatásokkal kapcsolatos további információkért, lásd: Hozzáférés az iCloud-szolgáltatásokhoz.
4. színpad: Folyamatos hitelesítés
A regisztrációt követően a hozzáférési token aktív állapotú marad, és az Authorization HTTP-fejlécet használó összes eszközfelügyeleti szolgáltatásnak küldött kérelemben megtalálható lesz. Ennek köszönhetően a szolgáltatás folyamatosan ellenőrizheti a felhasználót, és biztosíthatja, hogy kizárólag feljogosított felhasználók férhessenek hozzá a szervezeti erőforrásokhoz.
A hozzáférési tokenek általában egy adott idő múlva lejárnak. Ezen esetekben előfordulhat, hogy az eszköz felkéri a felhasználót, hogy a hozzáférési token megújítása érdekében ismét hitelesítse magát. Az időszakos újravalidálás segítségével növelhető a biztonság, amely a személyes és a szervezeti tulajdonban álló eszközök számára egyaránt fontos. A regisztrációs SSO segítségével a tokenek megújítása automatikusan megy végbe a szervezet identitásszolgáltatóján keresztül, ezzel biztosítva a zavartalan hozzáférést anélkül, hogy ismételt hitelesítésre lenne szükség.
Hogyan választhatók külön a felhasználói és a szervezeti adatok a fiókvezérelt regisztrációs módszerek segítségével?
A fiókvezérelt felhasználói regisztráció vagy a fiókvezérelt eszközregisztráció befejezését követően az operációs rendszer automatikusan létrehoz különálló titkosítási kulcsokat az adott eszközön. Ha a felhasználó törli az eszköz regisztrációját, vagy az eszközfelügyeleti szolgáltatás távolról megszünteti a regisztrációt, az operációs rendszer megsemmisíti ezeket a titkosítási kulcsokat. Az operációs rendszer arra használja a kulcsokat, hogy az alábbi táblázatban felsorolt, felügyelt adatokat kriptográfiailag elkülönítse.
Tartalom | Minimális támogatott operációsrendszer-verziók | Leírás | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Felügyelt appadattárolók | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A felügyelt appok az eszközfelügyeleti szolgáltatásban lévő regisztrációval társított felügyelt Apple‑fiókot használják az iCloud-adatok szinkronizálásához. Ez magában foglalja a CloudKitet használó Mac (az | |||||||||
Naptár app | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Az események különálló elemek. | |||||||||
Kulcskarika-elemek | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Harmadik felek Mac-appjainak az Adatvédelem-kulcskarika API-t kell használniuk. További információkért tekintse meg a kSecUseDataProtectionKeychain globális változót az Apple fejlesztői webhelyen. | |||||||||
Mail app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A Mail-mellékletek és az e-mail-üzenetek törzsrésze különállóan kezelendők. | |||||||||
Jegyzetek app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A Jegyzetek app különállóan kezelendő. | |||||||||
Emlékeztetők app | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Az Emlékeztetők app különállóan kezelendő. | |||||||||
iPhone-on, iPaden és Apple Vision Prón a felügyelt appok és a felügyelt, webalapú dokumentumok hozzáférnek egy szervezet iCloud Drive‑jához (ez különálló módon jelenik meg a Fájlok appban, miután a felhasználó bejelentkezik a felügyelt Apple‑fiókjával). Az eszközfelügyeleti szolgáltatás adminisztrátora különválaszthat bizonyos személyes és szervezeti dokumentumokat meghatározott korlátozások segítségével. Bővebben: Felügyelt appok terjesztése Apple-eszközökre.
Ha a felhasználó bejelentkezett személyes Apple‑fiókjával és felügyelt Apple‑fiókjával, a Bejelentkezés az Apple‑lel automatikusan a Felügyelt Apple‑fiókot használja a felügyelt appokhoz és a személyes Apple‑fiókot a nem felügyelt appokhoz. Amikor a felhasználó Safari vagy a SafariWebView bejelentkezési folyamatát használja egy felügyelt appban, a felhasználó kijelölheti és megadhatja felügyelt Apple‑fiókját, hogy a bejelentkezést munkahelyi vagy iskolai fiókjához társítsa.
