Pendaftaran Pengguna dan MDM
Pendaftaran Pengguna direka bentuk untuk BYOD—atau pengerahan bawa peranti anda sendiri—apabila pengguna, bukan organisasi, yang memiliki peranti.
Empat peringkat pendaftaran pengguna ke dalam MDM ialah:
Penemuan perkhidmatan: Peranti mengenal pasti diri sendiri ke penyelesaian MDM.
Pendaftaran pengguna: Pengguna menyediakan kelayakan pada penyedia identiti (IdP) untuk kebenaran mendaftar dalam penyelesaian MDM.
Token sesi: Token sesi dikeluarkan kepada peranti untuk membenarkan pengesahan berterusan.
Pendaftaran MDM: Profil pentadbiran dihantar ke peranti dengan muatan yang dikonfigurasikan oleh pentadbir MDM.
Pendaftaran Pengguna dan Apple ID Terurus
Pendaftaran Pengguna memerlukan Apple ID Terurus. Ini dimiliki dan diurus oleh organisasi dan memberikan pekerja akses kepada perkhidmatan Apple tertentu. Selain itu, Apple ID Terurus:
Dicipta secara manual, atau secara automatik menggunakan pengesahan bersekutu
Berintegrasi dengan Sistem Maklumat Pelajar (SIS) atau memuat naik fail .csv (Apple School Manager sahaja)
Juga boleh digunakan untuk mendaftar masuk dengan peranan yang ditetapkan dalam Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple
Apabila pengguna mengeluarkan profil pendaftaran, semua profil konfigurasi, seting profil dan App Terurus berdasarkan profil pendaftaran tersebut dikeluarkan dengannya.
Pendaftaran Pengguna disepadukan dengan Apple ID Terurus untuk mewujudkan identiti pengguna pada peranti. Pengguna mesti berjaya mengesahkan untuk menyelesaikan pendaftaran. Apple ID Terurus boleh digunakan bersama Apple ID peribadi yang pengguna telah gunakan untuk daftar masuk; kedua-duanya tidak berinteraksi antara satu sama lain. Pendaftaran Pengguna direka bentuk untuk peranti yang dimiliki oleh pengguna.
Pendaftaran Pengguna dan pengesahan bersekutu
Pendaftaran Pengguna berfungsi dengan Google Workspace atau Microsoft Azure Active Directory (AD) dan Apple School Manager atau Apple Business Manager dan penyelesaian MDM pihak ketiga. Ia juga berfungsi dengan pengurusan peranti dalam Keperluan Perniagaan Apple. Untuk pengguna anda memanfaatkan penyelarasan dengan Google Workspace atau Microsoft Azure AD dan Pendaftaran Pengguna, organisasi anda mesti terlebih dahulu:
Konfigurasi Google Workspace atau Azure AD
Jika anda mempunyai versi setempat Active Directory, konfigurasi tambahan mesti diambil untuk menyediakan pengesahan bersekutu.
Daftar organisasi anda dalam Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple
Sediakan pengesahan bersekutu dalam Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple
Konfigurasi penyelesaian MDM dan pautkannya ke Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple, atau gunakan pengurusan peranti yang terbina terus dalam pada Keperluan Perniagaan Apple
(Pilihan) Mencipta Apple ID Terurus
Pendaftaran Pengguna dan App Terurus (macOS)
Pendaftaran Pengguna telah menambah App Terurus ke macOS (ciri ini telah boleh digunakan dengan Pendaftaran Peranti dan Pendaftaran Peranti Diautomasikan). App Terurus yang menggunakan CloudKit menggunakan Apple ID Terurus yang dikaitkan dengan pendaftaran MDM. Pentadbir MDM mesti menambah kunci InstallAsManaged ke perintah InstallApplication. Seperti app iOS dan iPadOS, app ini boleh dikeluarkan secara automatik apabila pengguna menyahdaftar daripada MDM.
Pendaftaran Pengguna dan perangkaian per app
Perangkaian per app dalam iOS 16 dan iPadOS 16.1 tersedia untuk VPN (dikenali sebagai VPN Per App), proksi DNS dan penapis kandungan web untuk peranti yang didaftarkan dengan Pendaftaran Pengguna. Ini bermakna hanya trafik rangkaian yang dimulakan oleh app terurus melalui proksi DNS, penapis kandungan web, atau kedua-duanya. Trafik peribadi pengguna kekal berasingan dan tidak akan ditapis atau diproksi oleh organisasi. Ini dicapai menggunakan pasangan kunci-nilai baharu untuk muatan berikut. Untuk mendapatkan maklumat lanjut, lihat:
Cara pengguna mendaftarkan peranti peribadi mereka
Terdapat dua cara utama pengguna boleh mendaftarkan peranti peribadi dalam Pendaftaran Pengguna—menerusi akaun atau menerusi profil pendaftaran.
Pendaftaran pengguna dipacu akaun
Dalam iOS 15 dan iPadOS 15 atau lebih baharu, organisasi boleh menggunakan proses Pendaftaran Pengguna yang lancar, terbina terus dalam app Seting bagi memudahkan pengguna untuk mendaftarkan peranti peribadi mereka.
Untuk melakukan ini, pengguna menavigasi ke Seting > Umum > Pengurusan VPN & Peranti dan kemudian mengetik butang Daftar Masuk ke Akaun Kerja atau Sekolah.
Semasa mereka memasukkan Apple ID Terurus mereka, penemuan perkhidmatan mengenal pasti URL pendaftaran penyelesaian MDM.
Pengguna memasukkan nama pengguna dan kata laluan organisasi mereka. Selepas pengesahan organisasi digantikan, profil pendaftaran dihantar ke peranti. Tambahan lagi, token sesi dikeluarkan kepada peranti untuk membenarkan kebenaran berterusan.
Akhir sekali, selepas pengguna mendaftar masuk, akaun terurus baharu dipaparkan secara menonjol dalam app Seting.
Selepas pendaftaran, pengguna masih boleh mengakses fail dalam iCloud Drive peribadi mereka. iCloud Drive untuk organisasi kelihatan secara berasingan dalam app Fail. Dalam iOS dan iPadOS, App Terurus dan dokumen berasaskan web terurus, semuanya mempunyai akses ke iCloud Drive organisasi, tetapi pentadbir MDM boleh membantu menyimpan dokumen peribadi dan organisasi khusus secara berasingan dengan menggunakan pengehadan khusus.
Pengguna boleh melihat butiran tentang perkara yang terurus pada peranti peribadi mereka dan jumlah ruang storan iCloud yang disediakan oleh organisasi mereka.
Pendaftaran Pengguna berdasarkan Profil
Dengan aliran Pendaftaran Pengguna berdasarkan profil sedia ada, pengguna diberikan profil pendaftaran menggunakan URL disesuaikan, mesej mel, atau dengan cara lain. Selepas profil pendaftaran dan sebarang profil konfigurasi tambahan dimuat turun, skrin Pendaftaran Pengguna kelihatan. Pengguna mengklik Daftar (iPhone, iPad, Mac) Saya, kemudian:
Dengan pengesahan bersekutu: Masukkan nama pengguna dan kata laluan Google Workspace atau Azure AD
Tanpa pengesahan bersekutu: Masukkan nama dan kata laluan pengguna Apple ID Terurus mereka
Apabila pendaftaran selesai, pengguna melihat akaun tambahan pada peranti tersebut—pada iPhone atau iPad (dalam Seting > Kata Laluan & Akuan) atau pada Mac (dalam Seting Sistem untuk macOS 13 atau lebih baharu, atau dalam Keutamaan Sistem untuk macOS 12.0.1 atau lebih awal).
Disebabkan pengguna memiliki peranti, Pendaftaran Pengguna hanya boleh menggunakan set terhad muatan dan pengehadan padanya. Untuk melihat set tersebut, lihat Maklumat MDM Pendaftaran Pengguna.
Cara Apple mengasingkan data pengguna daripada data organisasi
Apabila Pendaftaran Pengguna selesai, kunci penyulitan berasingan dicipta secara automatik pada peranti. Jika peranti dinyahdaftarkan oleh pengguna atau secara jauh menggunakan MDM, kunci penyulitan tersebut dimusnahkan secara selamat. Kunci sedang digunakan untuk memisahkan data diuruskan yang disenaraikan di bawah secara kriptografi:
Bekas data app: iPhone, iPad dan Mac.
Kalendar: iPhone, iPad dan Mac. Peranti mestilah menjalankan iOS 16, iPadOS 16.1, macOS 13 atau lebih baharu.
Item Rantai Kunci: iPhone, iPad dan Mac.
Nota: App Mac pihak ketiga mesti menggunakan API rantai kunci perlindungan data. Untuk mendapatkan maklumat lanjut, lihat dokumentasi Pembangun Apple kSecUseDataProtectionKeychain.
Lampiran mel dan isi mesej mel: iPhone, iPad dan Mac.
Nota: iPhone, iPad dan Mac.
Dalam iOS dan iPadOS, App Terurus dan dokumen berasaskan web terurus, semuanya mempunyai akses ke iCloud Drive organisasi menerusi pengehadan Buka Dalam Terurus sedia ada. Pentadbir MDM boleh membantu mengasingkan dokumen peribadi dan organisasi khusus.
Pentadbir sistem hanya boleh mengurus akaun organisasi, seting dan maklumat yang diperuntukkan dengan MDM, tidak sesekali akaun peribadi pengguna. Malah, ciri sama yang memastikan data selamat dalam App Terurus dimiliki organisasi juga melindungi kandungan peribadi pengguna daripada memasuki strim data korporat.
MDM boleh | MDM tidak boleh |
|---|---|
Konfigurasi akaun | Lihat maklumat peribadi, data pengguna atau log |
Akses inventori App Terurus | Akses inventori app peribadi |
Keluarkan data terurus sahaja | Keluarkan sebarang data peribadi |
Pasang dan konfigurasi app | Ambil alih pengurusan app peribadi |
Perlukan kod laluan | Perlukan kod laluan atau kata laluan kompleks |
Kuatkuasakan pengehadan tertentu | Akses lokasi peranti |
Konfigurasi VPN Mengikut App | Akses pengecam peranti unik |
| Padam keseluruhan peranti secara jauh |
| Urus Kunci Pengaktifan |
| Akses status perayauan |
| Aktifkan Mod Hilang |
Nota: Pentadbir boleh memerlukan kod laluan dengan minimum 6 aksara dan menghalang pengguna daripada menggunakan kod laluan ringkas (contohnya,123456 atau abcdef), tetapi tidak boleh memerlukan aksara atau kata laluan kompleks.