Metodi di registrazione basati sull’account con i dispositivi Apple
La registrazione utente e la registrazione dei dispositivi basata sull’account consentono a utenti e organizzazioni di configurare in modo sicuro ed efficiente i dispositivi Apple a scopo lavorativo, effettuando l’accesso a un Apple Account gestito.
In questo modo, sullo stesso dispositivo, è possibile accedere sia a un Apple Account gestito sia a un Apple Account personale, mantenendo la completa separazione delle informazioni relative al lavoro da quelle personali. Da un lato, la privacy delle informazioni personali degli utenti è tutelata, dall’altro l’IT gestisce le app, le impostazioni e gli account di lavoro.
Per mantenere questa separazione, sono stati effettuati i seguenti cambiamenti nel modo in cui vengono gestite le app e i backup.
Quando un profilo di registrazione viene rimosso, vengono rimosse anche tutte le configurazione e le relative impostazioni.
Le app gestite vengono sempre rimosse durante l’annullamento della registrazione.
Le app installate prima della registrazione a un servizio di gestione dei dispositivi non possono essere convertite in app gestite.
Il ripristino da un backup non ripristina la registrazione al servizio di gestione dei dispositivi.
Gli utenti che effettuano l’accesso con il proprio Apple Account personale non possono accettare un invito per la distribuzione di app gestite.
Sebbene sia possibile creare Apple Account gestiti manualmente, le organizzazioni possono usufruire dell’integrazione con Google Workspace, Microsoft Entra ID o il proprio provider di identità (IdP).
Per ulteriori informazioni sull’autenticazione federata, consulta Introduzione all’autenticazione con account associato in Apple School Manager o Introduzione all’autenticazione con account associato in Apple Business Manager.
Procedura di registrazione basata sull’account
Per registrare un dispositivo utilizzando la registrazione basata sull’account, l’utente va in Impostazioni > Generali > VPN e gestione dispositivi o in Impostazioni di Sistema > Generali > Gestione dispositivi, quindi seleziona il pulsante “Accedi all’account di lavoro o scolastico”.
In questo modo verrà avviata la procedura in quattro fasi per la registrazione a un servizio di gestione dei dispositivi:
Ricerca del servizio: il dispositivo determina l’URL per la registrazione al servizio di gestione dei dispositivi.
Autenticazione e token di accesso: l’utente fornisce le credenziali per autorizzare la registrazione e ottiene un token di accesso per l’autenticazione continua.
Registrazione al servizio: il profilo di registrazione viene inviato al dispositivo e l’utente deve effettuare l’accesso con il proprio Apple Account gestito per completare la registrazione.
Autenticazione continua: Il servizio di gestione dei dispositivi verifica l’utente che ha effettuato l’accesso costantemente tramite il token di accesso.
Fase 1: Ricerca del servizio
Nella prima fase, la ricerca del servizio tenta di identificare l’URL di registrazione del servizio di gestione dei dispositivi. Per farlo, utilizza l’identificativo inserito dall’utente, ad esempio eliza@betterbag.com. Il dominio deve essere un nome dominio completo (FQDN) che pubblicizzi il servizio di gestione dei dispositivi per l’organizzazione dell’utente.
Quindi avviene quanto descritto di seguito:
Fase 1
Il dispositivo identifica il dominio presente nell’identificativo fornito (nell’esempio sopra, betterbag.com).
Fase 2
Il dispositivo richiede la risorsa well-known dal dominio dell’organizzazione, ad esempio, https://<domain>/.well-known/com.apple.remotemanagement.
Il client include due parametri di query nell’URL della richiesta HTTP GET:
user-identifier: il valore dell’identificativo dell’account inserito (nell’esempio sopra, eliza@betterbag.com).
model-family: il modello del dispositivo (ad esempio, iPhone, iPad, Mac).
Nota: il dispositivo segue le richieste di reindirizzamento HTTP 3xx, che consentono l’hosting del file com.apple.remotemanagement su un altro server raggiungibile dal dispositivo.
Nei dispositivi con iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, versioni successive, la procedura di ricerca del servizio consente al dispositivo di recuperare la risorsa well-known da una posizione alternativa specificata dal servizio di gestione dei dispositivi collegato ad Apple School Manager o Apple Business Manager. La prima preferenza della ricerca del servizio è comunque la risorsa well-known nel dominio dell’organizzazione. Se la richiesta non va a buon fine, il dispositivo procede a verificare la presenza di una posizione alternativa per la risorsa well-known con Apple School Manager o Apple Business Manager. La procedura richiede che Apple School Manager o Apple Business Manager verifichino il dominio all’interno dell’identificativo. Per maggiori informazioni, consulta Aggiungere e verificare un dominio in Apple School Manager o Aggiungere e verificare un dominio in Apple Business Manager.
Per utilizzare questa funzionalità, il servizio di gestione dei dispositivi deve configurare l’URL alternativo per la ricerca del servizio quando è collegato ad Apple School Manager o ad Apple Business Manager. Quando il dispositivo contatta Apple School Manager o Apple Business Manager, il tipo di dispositivo determina il servizio assegnato a quel tipo specifico. La stessa procedura è utilizzata per determinare il servizio di default per la registrazione automatica dei dispositivi. Se il servizio assegnato ha configurato un URL per la ricerca del servizio, il dispositivo richiede la risorsa the well-known dalla posizione corrispondente. Per impostare l’assegnazione del dispositivo di default, consulta Impostare l’assegnazione predefinita del dispositivo in Apple School Manager o Impostare l’assegnazione predefinita del dispositivo in Apple Business Manager.
La risorsa well-known può trovarsi anche nella soluzione MDM. può ospitare anche nel servizio di gestione dei dispositivi.
Fase 3
Il server su cui si trova la risorsa well-known, risponde con un documento JSON per la ricerca del servizio che è conforme allo schema di seguito:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Le chiavi, i tipi e le descrizioni per la registrazione al servizio di gestione dei dispositivi sono riportati nella tabella seguente. Tutte le chiavi sono richieste.
Chiave | Tipo | Descrizione |
|---|---|---|
Server | Array | Un elenco con un’unica voce. |
Versione | Stringa | Questa chiave determina il metodo di registrazione da utilizzare che deve essere |
BaseURL | Stringa | L’URL di registrazione del servizio di gestione dei dispositivi. |
Importante: Il server deve assicurarsi che il campo dell’intestazione Content-Type nella risposta HTTP sia impostato su application/json.
Fase 4
Il dispositivo invia una richiesta HTTP POST all’URL di registrazione specificato da BaseURL.
Fase 2: Autenticazione e token di accesso
Per autorizzare la registrazione, l’utente deve autenticarsi tramite il servizio di gestione dei dispositivi. Dopo aver effettuato l’autenticazione, il servizio di gestione dei dispositivi genera un token di accesso per il dispositivo, che verrà archiviato in modo sicuro per autorizzare le richieste future.
Il token di accesso:
È fondamentale sia per la procedura di autenticazione iniziale sia per gli accessi continui alle risorse del servizio di gestione dei dispositivi.
Rappresenta un ponte sicuro tra l’Apple Account gestito dell’utente e il servizio di gestione dei dispositivi
Viene utilizzato per consentire l’accesso continuo alle risorse di lavoro per tutte le registrazioni basate sull’account.
Su iPhone, iPad e Apple Vision Pro, è possibile ottimizzare le procedure di autenticazione iniziale e continua utilizzando la registrazione Single Sign-On (SSO) al fine di ridurre le richieste di autenticazioni multiple. Per ulteriori informazioni, consulta Registrazione Single Sign-on per iPhone, iPad e Apple Vision Pro.
Fase 3: registrazione al servizio di gestione dei dispositivi
Con il token di accesso, il dispositivo può effettuare l’autenticazione tramite il servizio di gestione dei dispositivi e accedere al profilo di registrazione. Questo profilo contiene tutte le informazioni che servono al dispositivo per effettuare la registrazione. Per completare la registrazione, l’utente deve effettuare l’accesso al proprio Apple Account gestito. Al termine della registrazione, l’Apple Account gestito viene mostrato in evidenza in Impostazioni e in Impostazioni di Sistema.
Per maggiori informazioni sui servizi iCloud disponibili per gli utenti, consulta Accesso ai servizi iCloud.
Fase 4: Autenticazione continua
In seguito alla registrazione, il token di accesso rimane attivo ed è incluso in tutte le richieste inviate al servizio di gestione dei dispositivi con l’intestazione HTTP Authorization. In questo modo, il servizio di gestione dei dispositivi esegue delle verifiche costanti dell’utente e garantisce che soltanto gli utenti autorizzati abbiano accesso alle risorse aziendali.
Normalmente, i token di accesso scadono dopo un determinato periodo. Alla scadenza, il dispositivo potrebbe richiedere all’utente di effettuare nuovamente l’autenticazione per rinnovare il token di accesso. La convalida ripetuta periodicamente garantisce la sicurezza, che è importante sia per i dispositivi personali che per quelli di proprietà dell’organizzazione. Con la registrazione SSO, il token viene rinnovato automaticamente tramite il provider d’identità dell’organizzazione, garantendo accesso ininterrotto senza richiedere nuovamente l’autenticazione.
Modalità di separazione dei dati dell’utente da quelli aziendali con i metodi di registrazione basati sull’account
Al termine della registrazione utente o della registrazione dei dispositivi basata sull’account, il sistema operativo crea automaticamente delle chiavi di crittografia separate sul dispositivo. Se l’utente annulla la registrazione del dispositivo o se il servizio di gestione dei dispositivi la annulla da remoto, il sistema operativo distrugge le relative chiavi di crittografia. Le chiavi verranno utilizzate per separare crittograficamente i dati gestiti elencati nella tabella.
Contenuto | Versioni minime dei sistemi operativi supportate | Descrizione | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Container dati app gestite | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Le app gestite utilizzano l’Apple Account gestito associato alla registrazione al servizio di gestione dei dispositivi per eseguire la sincronizzazione dei dati su iCloud. Sono incluse le app gestite installate con la chiave | |||||||||
App Calendario | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Gli eventi sono separati. | |||||||||
Oggetti portachiavi | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | L’app per Mac di terze parti deve utilizzare un’API di protezione dati del portachiavi. Per ulteriori informazioni, consulta la variabile globale kSecUseDataProtectionKeychain sul sito web Apple Developer. | |||||||||
App Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Allegati di Mail e il corpo del messaggio email sono separati. | |||||||||
App Note | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Le note sono separate. | |||||||||
App Promemoria | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | I promemoria sono separati. | |||||||||
Su iPhone, iPad e Apple Vision Pro, le app gestite e i documenti gestiti basati sul web hanno tutti accesso all’iCloud Drive dell’organizzazione, che viene mostrato separatamente nell’app File, dopo che l’utente ha effettuato l’accesso al proprio Apple Account gestito). L’amministratore del servizio di gestione dei dispositivi può mantenere separati i documenti personali da quelli dell’organizzazione utilizzando restrizioni specifiche. Per ulteriori informazioni, consulta Distribuire le app gestite ai dispositivi Apple.
Se un utente ha effettuato l’accesso con un Apple Account personale e un Apple Account gestito, “Accedi con Apple” utilizza automaticamente l’Apple Account gestito per le app gestite e l’Apple Account personale per le app non gestite. Quando si utilizza una procedura di accesso in Safari o in SafariWebView all’interno di un’app gestita, l’utente può selezionare il proprio Apple Account gestito per associare l’accesso al proprio account di lavoro o di studio.
