Registrazione dell’utente e MDM
La Registrazione utente è progettata per la distribuzione BYOD, o Bring Your Own Device (porta il tuo dispositivo), in cui l’utente, e non l’organizzazione, è il proprietario del dispositivo. Quest’ultima supporta i fornitori di identità (IdP), Google Workspace o Microsoft Entra ID e Apple School Manager o Apple Business Manager e una soluzione MDM di terze parti. Funziona anche con la gestione del dispositivo in Apple Business Essentials.
Le quattro fasi della registrazione utente in MDM sono:
Ricerca servizio: il dispositivo si identifica alla soluzione MDM.
Registrazione dell’utente: L’utente fornisce le credenziali a un provider di identità (IdP) per ottenere l’autorizzazione alla registrazione nella soluzione MDM.
Token sessione: un token di sessione viene inviato al dispositivo per consentire l’autenticazione continua.
Registrazione MDM: il profilo di registrazione viene inviato al dispositivo con payload configurati dall’amministratore MDM.
Registrazione utente e Apple Account gestiti
Per la registrazione utente è necessario disporre di Apple Account gestiti. Tali ID sono di proprietà e gestiti da un’organizzazione e forniscono ai dipendenti l’accesso ad alcuni servizi di Apple. Inoltre, gli Apple Account gestiti:
Vengono creati manualmente o automaticamente tramite l’autenticazione federata.
Vengono integrati con uno Student Information System (SIS) o caricano file .csv (solo per Apple School Manager)
Possono anche essere utilizzati per accedere con un ruolo assegnato all’interno di Apple School Manager, Apple Business Manager o Apple Business Essentials.
Quando un utente rimuove un profilo di registrazione, anche tutti i profili di configurazione, le relative impostazioni e le app gestite basati su tale profilo di registrazione vengono rimossi.
La registrazione dell’utente è integrata con l’Apple Account gestito per stabilire l’identità di un utente sul dispositivo. L’utente deve autenticarsi correttamente per completare la registrazione. L’Apple Account gestito può essere utilizzato insieme all’Apple Account personale con cui l’utente ha già effettuato l’accesso; i due ID non interagiscono tra di loro.
Registrazione dell’utente e autenticazione federata
Sebbene gli Apple Account gestiti possano essere creati manualmente, le organizzazioni possono usufruire della sincronizzazione con IdP, Google Workspace o Microsoft Entra ID e della registrazione utente. Per farlo l’organizzazione deve prima:
Gestire le credenziali utente con un IdP, con Google Workspace o con Microsoft Entra ID
Se disponi di una versione on-premise di Active Directory, è necessario eseguire configurazioni aggiuntive in preparazione all’esecuzione dell’autenticazione federata.
Registrare l’organizzazione in Apple School Manager, Apple Business Manager o Apple Business Essentials.
Configurare l’autenticazione federata in Apple School Manager, Apple Business Manager o Apple Business Essentials.
Configurare una soluzione MDM e collegarla ad Apple School Manager, Apple Business Manager o Apple Business Essentials, oppure utilizzare la gestione dei dispositivi integrata in Apple Business Essentials.
Creare Apple Account gestiti (facoltativo).
Registrazione utente e app gestite (macOS)
La Registrazione utente aggiunge app gestite a macOS (questa funzionalità è già possibile con l’opzione “Registrazione automatica dei dispositivi”). Le app gestite che usano CloudKit utilizzano l’Apple Account gestito associato alla registrazione MDM. Gli amministratori MDM devono aggiungere la chiave InstallAsManaged al comando InstallApplication. Come accade per le app di iOS e iPadOS, queste app possono essere rimosse automaticamente quando un utente annulla la registrazione da MDM.
Registrazione utente e networking lato app
In iOS 16, iPadOS 16.1 e visionOS 1.1, il networking lato-app è disponibile per le VPN (“VPN per app”), i proxy DNS e i filtri dei contenuti web per i dispositivi registrati con “Registrazione utente”. Ciò significa che solo il traffico di rete avviato dalle app gestite passa attraverso il proxy DNS, il filtro dei contenuti web o entrambi. Il traffico personale di un utente rimane separato e non viene filtrato o non gli viene applicato un proxy da un’organizzazione. Ciò avviene utilizzando nuove coppie chiave-valore per i seguenti payload:
Come gli utenti registrano i propri dispositivi personali
In iOS 15, iPadOS 15, macOS 14 e visionOS 1.1 o versioni successive, le organizzazioni possono utilizzare una procedura di registrazione degli utenti semplificata e integrata nell’app Impostazioni per aiutare gli utenti a registrare il proprio dispositivo personale in modo più semplice.
Per eseguire questa operazione:
Su iPhone, iPad e Apple Vision Pro, l’utente può andare in Impostazioni > Generali > VPN e gestione dispositivi, quindi selezionare il pulsante “Accedi all’account di lavoro o scolastico”.
Sul Mac, l’utente può andare in Impostazioni di Sistema > Privacy e sicurezza > Profili, quindi toccare il pulsante “Accedi all’account di lavoro o scolastico”.
Quando inseriscono il proprio Apple Account gestito, la ricerca servizio identifica l’URL di registrazione alla soluzione MDM.
L’utente quindi inserisce il nome utente e la password della propria organizzazione. Dopo che l’autenticazione dell’organizzazione ha successo, il profilo di registrazione viene inviato al dispositivo. Il token di sessione viene inoltre inviato al dispositivo per consentire l’autorizzazione su base continua. Quindi il dispositivo avvia il processo di registrazione e chiede all’utente di effettuare l’accesso con il proprio Apple Account gestito. Su iPhone, iPad e Apple Vision Pro, la procedura di autenticazione può essere ottimizzata utilizzando la registrazione Single Sign-On (SSO) al fine di ridurre le richieste di autenticazioni multiple.
Una volta completata la registrazione, il nuovo account gestito viene visualizzato in modo prominente nell’app Impostazioni (iPhone, iPad, Apple Vision Pro) e in Impostazioni di Sistema (Mac). Ciò consente all’utente di accedere comunque ai file sul proprio iCloud Drive creato con l’Apple Account personale. I file di iCloud Drive dell’organizzazione (associati all’Apple Account gestito dell’utente) vengono mostrati separatamente nell’app File.
Su iPhone, iPad e Apple Vision Pro, le app gestite e i documenti gestiti basati sul web hanno tutti accesso all’iCloud Drive dell’organizzazione e l’amministratore MDM può aiutare a mantenere separati i documenti personali da quelli dell’organizzazione. Per ulteriori informazioni, consulta Restrizioni e capacità delle app gestite.
Gli utenti possono visualizzare i dettagli di ciò che viene gestito sul loro dispositivo personale e di quanto spazio di archiviazione iCloud è fornito dalla loro organizzazione. Siccome l’utente è il proprietario del dispositivo, Registrazione utente può applicare solo un set limitato di payload e restrizioni. Per ulteriori informazioni, consulta Informazioni MDM per la registrazione utente.
Come Apple separa i dati utente dai dati dell’organizzazione
Una volta completata la registrazione utente, sul dispositivo vengono create automaticamente delle chiavi di crittografia separate. Se la registrazione del dispositivo viene annullata dall’utente o remotamente tramite MDM, tali chiavi di crittografia vengono distrutte in modo sicuro. Le chiavi vengono usate per separare tramite crittografia i dati gestiti indicati di seguito.
Container dati app: iPhone, iPad, Mac e Apple Vision Pro
Calendario: iPhone, iPad, Mac e Apple Vision Pro
I dispositivi devono eseguire iOS 16, iPadOS 16.1, macOS 13 e visionOS 1.1 o versioni successive.
Oggetti portachiavi: iPhone, iPad, Mac e Apple Vision Pro
Nota: l’app per Mac di terze parti deve utilizzare un’API di protezione dati del portachiavi. Per maggiori informazioni, consulta la documentazione per sviluppatori Apple kSecUseDataProtectionKeychain.
Allegati di Mail e corpi dei messaggi email: iPhone, iPad, Mac e Apple Vision Pro
Note: iPhone, iPad, Mac e Apple Vision Pro
Promemoria: iPhone, iPad, Mac e Apple Vision Pro
I dispositivi devono eseguire iOS 17, iPadOS 17, macOS 14 e visionOS 1.1 o versioni successive.
Se un utente ha effettuato l’accesso con un Apple Account personale e un Apple Account gestito, “Accedi con Apple” utilizza automaticamente l’Apple Account gestito per le app gestite e l’Apple Account personale per le app non gestite. Quando si utilizza una procedura di accesso in Safari o in SafariWebView all’interno di un’app gestita, l’utente può selezionare il proprio Apple Account gestito per associare l’accesso al proprio account di lavoro.
Gli amministratori di sistema possono gestire solo account, impostazioni e informazioni dell’organizzazione fornite tramite una soluzione MDM, mai gli account personali degli utenti. Anzi, le stesse funzionalità che garantiscono la sicurezza dei dati nelle app gestite di proprietà di un’organizzazione evitano anche che il contenuto personale degli utenti entri nel flusso dei dati aziendale.
MDM può | MDM non può |
|---|---|
Configurare account | Consulta informazioni personali, dati di utilizzo o log |
Accedere all’elenco di app gestite | Accede all’elenco di app personali |
Rimuovere solo i dati gestiti | Rimuove qualsiasi dato personale |
Installare e configurare app | Assume la gestione di un’app personale |
Richiedere un codice | Richiede un codice o una password complessi |
Imporre alcune restrizioni | Accedi alla posizione del dispositivo |
Configurare “VPN per app” | Accedi agli identificativi unici del dispositivo |
| Cancella da remoto l’intero dispositivo |
| Gestisci il blocco di attivazione |
| Accede allo stato di roaming |
| Attiva la modalità Smarrito |
Nota: per iPhone e iPad, gli amministratori possono richiedere codici con un minimo di sei caratteri e impedire agli utenti di usare codici semplici (per esempio, “123456” o “abcdef”), ma non possono richiedere caratteri o password complessi.