Az Apple‑eszközök fiókvezérelt regisztrációs módszerei
A fiókvezérelt felhasználói regisztráció és a fiókvezérelt eszközregisztráció zökkenőmentes és biztonságos módszert biztosít a felhasználók és szervezetek számára Apple‑eszközök munkához történő beállítására felügyelt Apple‑fiókba történő bejelentkezés által.
Ez a megközelítés lehetővé teszi, hogy ugyanazon az eszközön egy felügyelt Apple‑fiók és egy személyes Apple‑fiók is bejelentkezhessen, a munkavégzési és a személyes adatok teljes különválasztása mellett. Ily módon a felhasználók biztonságban tudhatják a személyes adataikat, és az IT támogatást biztosíthat a munkával kapcsolatos appokhoz, beállításokhoz és fiókokhoz.
Ezen különválasztás támogatása érdekében az alábbi módosítások kerültek elvégzésre az appok és biztonsági mentések kezelésének módjában:
A regisztrációs profil eltávolításakor az összes konfiguráció és beállítás is eltávolításra kerül.
A felügyelt appok mindig el vannak távolítva a regisztráció megszűntetésekor.
Az eszközfelügyeleti szolgáltatásba történő regisztráció előtt telepített appok nem alakíthatók át felügyelt appokká.
A biztonsági mentésből történő visszaállítás nem állítja vissza az eszközfelügyeleti szolgáltatásban lévő regisztrációt.
A személyes Apple‑fiókjukkal bejelentkező felhasználók nem fogadhatnak el meghívót felügyelt appok terjesztéséhez.
Bár manuálisan is létrehozhat felügyelt Apple‑fiókokat, a szervezetek kihasználhatják a Google Workspace-szel, a Microsoft Entra ID-val vagy az identitásszolgáltatójukkal történő integráció által nyújtott előnyöket.
Az összevont hitelesítéssel kapcsolatos további információkért, lásd: Összevont hitelesítés az Apple School Managerben vagy Összevont hitelesítés az Apple Business Managerben.
A fiókvezérelt regisztráció folyamata
Az eszköz fiókvezérelt felhasználói regisztráción vagy fiókvezérelt eszközregisztráción keresztül történő regisztrálásához a felhasználó kiválasztja a Beállítások > Általános > VPN és eszközfelügyelet vagy a Rendszerbeállítások > Általános > Eszközfelügyelet menüpontot, és kiválasztja a Jelentkezzen be a munkahelyi vagy iskolai fiókjába gombot.
Ez elindítja az eszközfelügyeleti szolgáltatásba történő regisztráció négyszakaszos folyamatát:
Szolgáltatáskeresés: Az eszköz határozza meg az eszközfelügyeleti szolgáltatás regisztrációs URL-címét.
Hitelesítés és hozzáférési token: A felhasználó hitelesítő adatokat ad meg a regisztráció jóváhagyásához, és hozzáférési tokent kap folyamatos hitelesítés céljából.
Regisztrálás a szolgáltatásba: A regisztrációs profilt a rendszer elküldi az eszközre, és kötelezi a felhasználót, hogy jelentkezzen be a felügyelt Apple‑fiókjába a regisztrációs befejezése érdekében.
Folyamatos hitelesítés: Az eszközfelügyeleti szolgáltatás folyamatosan ellenőrzi a bejelentkezett felhasználót a hozzáférési token segítségével.
1. színpad: Szolgáltatáskeresés
Az első lépésben a szolgáltatáskeresés megpróbálja beazonosítani az eszközfelügyeleti szolgáltatás regisztrációs URL-címét. Ehhez a felhasználó által megadott azonosítót (pl. eliza@betterbag.com) használja fel. A doménnek egy olyan teljesen minősített doménnévnek (FQDN) kell lennie, amely az eszközfelügyeleti szolgáltatást hirdeti a felhasználó szervezete számára.
Ezután a következő történik:
1. lépés
Az eszköz beazonosítja a biztosított azonosítóban található domént (a fenti példa esetében: betterbag.com).
2. lépés
Az eszköz lekéri a jól ismert erőforrást a szervezet doménjéről (pl. https://<domain>/.well-known/com.apple.remotemanagement).
A kliens két lekérési paramétert biztosít a HTTP GET-kérelem URL-útvonalában:
user-identifier: A megadott fiókazonosító értéke (a fenti példa esetében: eliza@betterbag.com).
model-family: Az eszköz modellcsaládja (pl. iPhone, iPad, Mac).
Megjegyzés: Az eszköz HTTP 3xx átirányítási kérelmet követ, amely lehetővé teszi a tényleges com.apple.remotemanagement fájl számára, hogy egy, az eszköz által elérhető másik szerveren legyen hosztolva.
iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 vagy újabb rendszert futtató eszközökön a szolgáltatáskeresési folyamat lehetővé teszi az eszközök számára, hogy beolvassák a jól ismert erőforrást az Apple School Managerhez vagy az Apple Business Managerhez kapcsolt eszközfelügyeleti szolgáltatás által megadott alternatív helyről. A szolgáltatáskeresés első preferenciája továbbra is a szervezet doménjénél található jól ismert erőforrás marad. Ha a kérelem meghiúsul, az eszköz az Apple School Manageren vagy az Apple Business Manageren keresztül keresi meg a jól ismert erőforrás alternatív helyét. Ez a folyamat megköveteli, hogy az Apple School Manager vagy az Apple Business Manager ellenőrizze az azonosítóban használt domént. További információkért lásd: Tartomány hozzáadása és igazolása az Apple School Managerben vagy Tartomány hozzáadása és igazolása az Apple Business Managerben.
Ezen képesség használatához az eszközfelügyeleti szolgáltatásnak konfigurálnia kell a másodlagos szolgáltatáskeresési URL-címet, ha össze van kapcsolva az Apple Business Managerrel vagy az Apple School Managerrel. Amikor az eszköz kapcsolatba lép az Apple School Managerrel vagy az Apple Business Managerrel, az eszköz típusa határozza meg az adott típushoz hozzárendelt szolgáltatást. Ugyanezzel az eljárással határozható meg az automatizált eszközregisztrációhoz használt alapértelmezett szolgáltatás. Ha a hozzárendelt szolgáltatás rendelkezik konfigurált szolgáltatáskeresési URL-címmel, az eszköz lekéri a jól ismert erőforrást az adott helyről. Az alapértelmezett eszköz-hozzárendelés beállításával kapcsolatban lásd: Az alapértelmezett eszköz-hozzárendelés módjának beállítása az Apple School Managerben vagy Az alapértelmezett eszköz-hozzárendelés módjának beállítása az Apple Business Managerben.
A jól ismert erőforrás hosztolására az eszközfelügyeleti szolgáltatás is képes.
3. lépés
A jól ismert erőforrást hosztoló szerver az alábbi sémának megfelelő szolgáltatáskeresési JSON-dokumentummal válaszol:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Az eszközfelügyeleti szolgáltatás regisztrációs kulcsait, típusait és leírásait az alábbi táblázat tartalmazza. Ezek a kulcsok nem hagyhatók ki.
Kulcs | Típus | Leírás |
|---|---|---|
Szerverek | Tömb | Egy egyetlen bejegyzéssel rendelkező lista. |
Version (Verzió) | Karakterlánc | Ez a kulcs határozza meg a használandó regisztrációs módszert, és felhasználói regisztráció esetében |
BaseURL | Karakterlánc | Az eszközfelügyeleti szolgáltatás regisztrációs URL-címe. |
Fontos: A szervernek gondoskodnia kell arról, hogy a HTTP-válaszban található Content-Type fejléc mező application/json beállítással rendelkezzen.
4. lépés
Az eszköz egy HTTP POST-kérelmet küldd a BaseURL által megadott regisztrációs URL-címnek.
2. színpad: Hitelesítés és hozzáférési token
A regisztráció engedélyezése érdekében a felhasználónak hitelesítenie kell magát az eszközfelügyeleti szolgáltatásban. A sikeres hitelesítést követően az eszközfelügyeleti szolgáltatás egy hozzáférési tokent bocsát ki az eszköz számára. Az eszköz biztonságosan eltárolja a tokent használat céljából a következő kérelmek feljogosításakor.
A hozzáférési token:
Központi szerepet játszik az első hitelesítési folyamatban és az eszközfelügyeleti szolgáltatás erőforrásaihoz való folyamatos hozzáférés biztosításában
Biztonságos hídként szolgál a felhasználó felügyelt Apple‑fiókja és az eszközfelügyeleti szolgáltatás között
A segítségével folyamatos hozzáférés biztosítható a munkavégzési erőforrásokhoz valamennyi fiókvezérelt regisztráció esetében
iPhone-on, iPaden és Apple Vision Prón az első és a folyamatos hitelesítési folyamat leegyszerűsíthető regisztrációs SSO (regisztrációs egyszeri bejelentkezés) használatával, amelynek révén csökkenthető az ismétlődő hitelesítési üzenetek száma. Bővebben: Regisztrációs egyszeri bejelentkezés iPhone‑hoz, iPadhez és Apple Vision Próhoz.
3. színpad: Eszközfelügyeleti szolgáltatással történő regisztráció
A hozzáférési token segítségével az eszköz hitelesítheti magát az eszközfelügyeleti szolgáltatásban, és hozzáférhet a regisztrációs profilhoz. Ez a profil tartalmazza az eszköz által a regisztráció elvégzéséhez igényelt információt. A regisztráció befejezéséhez a felhasználónak sikeresen be kell jelentkeznie a felügyelt Apple‑fiókjába. A regisztráció befejezését követően a felügyelt Apple‑fiók jól látható módon jelenik meg a Beállításokban és a Rendszerbeállításokban.
A felhasználók számára elérhető iCloud-szolgáltatásokkal kapcsolatos további információkért, lásd: Hozzáférés az iCloud-szolgáltatásokhoz.
4. színpad: Folyamatos hitelesítés
A regisztrációt követően a hozzáférési token aktív állapotú marad, és az Authorization HTTP-fejlécet használó összes eszközfelügyeleti szolgáltatásnak küldött kérelemben megtalálható lesz. Ennek köszönhetően a szolgáltatás folyamatosan ellenőrizheti a felhasználót, és biztosíthatja, hogy kizárólag feljogosított felhasználók férhessenek hozzá a szervezeti erőforrásokhoz.
A hozzáférési tokenek általában egy adott idő múlva lejárnak. Ezen esetekben előfordulhat, hogy az eszköz felkéri a felhasználót, hogy a hozzáférési token megújítása érdekében ismét hitelesítse magát. Az időszakos újravalidálás segítségével növelhető a biztonság, amely a személyes és a szervezeti tulajdonban álló eszközök számára egyaránt fontos. A regisztrációs SSO segítségével a tokenek megújítása automatikusan megy végbe a szervezet identitásszolgáltatóján keresztül, ezzel biztosítva a zavartalan hozzáférést anélkül, hogy ismételt hitelesítésre lenne szükség.
Hogyan választhatók külön a felhasználói és a szervezeti adatok a fiókvezérelt regisztrációs módszerek segítségével?
A fiókvezérelt felhasználói regisztráció vagy a fiókvezérelt eszközregisztráció befejezését követően az operációs rendszer automatikusan létrehoz különálló titkosítási kulcsokat az adott eszközön. Ha a felhasználó törli az eszköz regisztrációját, vagy az eszközfelügyeleti szolgáltatás távolról megszünteti a regisztrációt, az operációs rendszer megsemmisíti ezeket a titkosítási kulcsokat. Az operációs rendszer arra használja a kulcsokat, hogy az alábbi táblázatban felsorolt, felügyelt adatokat kriptográfiailag elkülönítse.
Tartalom | Minimális támogatott operációsrendszer-verziók | Leírás | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Felügyelt appok adattárolói | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A felügyelt appok az eszközfelügyeleti szolgáltatásban lévő regisztrációval társított felügyelt Apple‑fiókot használják az iCloud-adatok szinkronizálásához. Ez magában foglalja a CloudKitet használó Mac (az | |||||||||
Naptár app | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Az események különálló elemek. | |||||||||
Kulcskarika-elemek | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Harmadik felek Mac-appjainak az Adatvédelem-kulcskarika API-t kell használniuk. További információkért tekintse meg a kSecUseDataProtectionKeychain globális változót az Apple fejlesztői webhelyen. | |||||||||
Mail app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A Mail-mellékletek és az e-mail-üzenetek törzsrésze különállóan kezelendők. | |||||||||
Jegyzetek app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A Jegyzetek app különállóan kezelendő. | |||||||||
Emlékeztetők app | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Az Emlékeztetők app különállóan kezelendő. | |||||||||
iPhone-on, iPaden és Apple Vision Prón a felügyelt appok és a felügyelt, webalapú dokumentumok hozzáférnek egy szervezet iCloud Drive‑jához (ez különálló módon jelenik meg a Fájlok appban, miután a felhasználó bejelentkezik a felügyelt Apple‑fiókjával). Az eszközfelügyeleti szolgáltatás adminisztrátora különválaszthat bizonyos személyes és szervezeti dokumentumokat meghatározott korlátozások segítségével. Bővebben: Felügyelt appok terjesztése az Apple-eszközökre.
Ha a felhasználó bejelentkezett személyes Apple‑fiókjával és felügyelt Apple‑fiókjával, a Bejelentkezés az Apple‑lel automatikusan a Felügyelt Apple‑fiókot használja a felügyelt appokhoz és a személyes Apple‑fiókot a nem felügyelt appokhoz. Amikor a felhasználó Safari vagy a SafariWebView bejelentkezési folyamatát használja egy felügyelt appban, a felhasználó kijelölheti és megadhatja felügyelt Apple‑fiókját, hogy a bejelentkezést munkahelyi vagy iskolai fiókjához társítsa.
