Pendaftaran Pengguna dan MDM
Pendaftaran Pengguna direka bentuk untuk BYOD—atau pengerahan bawa peranti anda sendiri—apabila pengguna, bukan organisasi, yang memiliki peranti. Ia berfungsi dengan penyedia identiti (IdP), Google Workspace atau Microsoft Entra ID dan Apple School Manager atau Apple Business Manager dan penyelesaian MDM pihak ketiga. Ia juga berfungsi dengan pengurusan peranti dalam Keperluan Perniagaan Apple.
Empat peringkat Pendaftaran Pengguna ke dalam MDM ialah:
Penemuan perkhidmatan: Peranti mengenal pasti diri sendiri ke penyelesaian MDM.
Pendaftaran pengguna: Pengguna menyediakan kelayakan pada penyedia identiti (IdP) untuk kebenaran mendaftar dalam penyelesaian MDM.
Token sesi: Token sesi dikeluarkan kepada peranti untuk membenarkan pengesahan berterusan.
Pendaftaran MDM: Profil pentadbiran dihantar ke peranti dengan muat beban yang dikonfigurasikan oleh pentadbir MDM.
Pendaftaran Pengguna dan Akaun Apple Terurus
Pendaftaran Pengguna memerlukan Akaun Apple Terurus. Ini dimiliki dan diurus oleh organisasi dan memberikan pekerja akses kepada perkhidmatan Apple tertentu. Selain itu, Akaun Apple Terurus:
Dicipta secara manual, atau secara automatik menggunakan pengesahan bersekutu
Berintegrasi dengan Sistem Maklumat Pelajar (SIS) atau memuat naik fail .csv (Apple School Manager sahaja)
Juga boleh digunakan untuk mendaftar masuk dengan peranan yang ditetapkan dalam Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple
Apabila pengguna mengeluarkan profil pendaftaran, semua profil konfigurasi, seting profil dan App Terurus berdasarkan profil pendaftaran tersebut dikeluarkan dengannya.
Pendaftaran Pengguna disepadukan dengan Akaun Apple Terurus untuk mewujudkan identiti pengguna pada peranti. Pengguna mesti berjaya mengesahkan untuk menyelesaikan pendaftaran. Akaun Apple Terurus boleh digunakan bersama Akaun Apple peribadi yang pengguna telah gunakan untuk daftar masuk; kedua-duanya tidak berinteraksi antara satu sama lain.
Pendaftaran Pengguna dan pengesahan bersekutu
Walaupun Akaun Apple Terurus boleh dicipta secara manual, organisasi boleh memanfaatkan penyelarasan dengan IdP, Google Workspace atau Microsoft Entra ID dan Pendaftaran Pengguna. Untuk berbuat demikian, organisasi anda mesti melakukan yang berikut terlebih dahulu:
Urus kelayakan pengguna dengan IdP, Google Workspace atau Microsoft Entra ID
Jika anda mempunyai versi pada premis Active Directory, konfigurasi tambahan mesti diambil untuk menyediakan pengesahan bersekutu.
Daftar organisasi anda dalam Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple
Sediakan pengesahan bersekutu dalam Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple
Konfigurasi penyelesaian MDM dan pautkannya ke Apple School Manager, Apple Business Manager, atau Keperluan Perniagaan Apple, atau gunakan pengurusan peranti yang terbina terus dalam pada Keperluan Perniagaan Apple
(Pilihan) Cipta Akaun Apple Terurus
Pendaftaran Pengguna dan App Terurus (macOS)
Pendaftaran Pengguna telah menambah App Terurus ke macOS (ciri ini telah boleh digunakan dengan Pendaftaran Peranti dan Pendaftaran Peranti Diautomasikan). App Terurus yang menggunakan CloudKit menggunakan Akaun Apple Terurus yang dikaitkan dengan pendaftaran MDM. Pentadbir MDM mesti menambah kunci InstallAsManaged ke perintah InstallApplication. Seperti app iOS dan iPadOS, app ini boleh dikeluarkan secara automatik apabila pengguna menyahdaftar daripada MDM.
Pendaftaran Pengguna dan rangkaian mengikut app
Dalam iOS 16, iPadOS 16.1 dan visionOS 1.1 atau lebih baharu, perangkaian mengikut app tersedia untuk VPN (dikenali sebagai VPN mengikut app), proksi DNS dan penapis kandungan web untuk peranti yang didaftarkan dengan Pendaftaran Pengguna. Ini bermakna hanya trafik rangkaian yang dimulakan oleh App Terurus melalui proksi DNS, penapis kandungan web, atau kedua-duanya. Trafik peribadi pengguna kekal berasingan dan tidak akan ditapis atau diproksi oleh organisasi. Ini dicapai menggunakan pasangan kunci-nilai baharu untuk muat beban berikut:
Cara pengguna mendaftarkan peranti peribadi mereka
Dalam iOS 15, iPadOS 15, macOS 14 dan visionOS 1.1 atau lebih baharu, organisasi boleh menggunakan proses Pendaftaran Pengguna yang lancar, terbina terus dalam app Seting bagi memudahkan pengguna untuk mendaftarkan peranti peribadi mereka.
Untuk melakukan ini:
Pada iPhone, iPad dan Apple Vision Pro, pengguna menavigasi ke Seting > Umum > Pengurusan VPN & Peranti dan kemudian memilih butang Daftar Masuk ke Akaun Kerja atau Sekolah.
Pada Mac, pengguna menavigasi ke Seting > Privasi & Keselamatan > Profil dan kemudian memilih butang Daftar Masuk ke Akaun Kerja atau Sekolah.
Apabila mereka memasukkan Akaun Apple Terurus mereka, penemuan perkhidmatan mengenal pasti URL pendaftaran penyelesaian MDM.
Pengguna kemudian memasukkan nama pengguna dan kata laluan organisasi mereka. Selepas pengesahan organisasi digantikan, profil pendaftaran dihantar ke peranti. Token sesi juga dikeluarkan kepada peranti untuk membenarkan kebenaran berterusan. Peranti kemudian memulakan proses pendaftaran dan menggesa pengguna untuk mendaftar masuk dengan Akaun Apple Terurus mereka. Pada iPhone, iPad dan Apple Vision Pro, proses pengesahan boleh diperkemas dengan menggunakan daftar diri tunggal pendaftaran untuk mengurangkan gesaan pengesahan berulang.
Apabila pendaftaran selesai, akaun terurus baharu dipaparkan secara menonjol dalam app Seting (iPhone, iPad dan Apple Vision Pro), serta Seting Sistem (Mac). Ini membenarkan pengguna untuk masih mengakses dalam iCloud Drive dicipta Akaun Apple peribadi mereka. iCloud Drive untuk organisasi (berkaitan dengan Akaun Apple Terurus pengguna) kelihatan secara berasingan dalam app Fail.
Pada iPhone, iPad dan Apple Vision Pro, App Terurus dan dokumen berasaskan web terurus, semuanya mempunyai akses ke iCloud Drive organisasi dan pentadbir MDM boleh membantu menyimpan dokumen peribadi dan organisasi khusus secara berasingan dengan menggunakan pengehadan khusus. Untuk mendapatkan maklumat lanjut, lihat Pengehadan dan keupayaan App Terurus.
Pengguna boleh melihat butiran tentang perkara yang terurus pada peranti peribadi mereka dan jumlah ruang storan iCloud yang disediakan oleh organisasi mereka. Disebabkan pengguna memiliki peranti, Pendaftaran Pengguna hanya boleh menggunakan set terhad muat beban dan pengehadan padanya. Untuk mendapatkan maklumat lanjut, lihat Maklumat MDM Pendaftaran Pengguna.
Cara Apple mengasingkan data pengguna daripada data organisasi
Apabila Pendaftaran Pengguna selesai, kunci penyulitan berasingan dicipta secara automatik pada peranti. Jika peranti dinyahdaftarkan oleh pengguna atau secara jauh menggunakan MDM, kunci penyulitan tersebut dimusnahkan secara selamat. Kunci sedang digunakan untuk memisahkan data diuruskan yang disenaraikan di bawah secara kriptografi:
Bekas data app: iPhone, iPad, Mac dan Apple Vision Pro
Kalendar: iPhone, iPad, Mac dan Apple Vision Pro
Peranti mestilah menjalankan iOS 16, iPadOS 16.1, macOS 13 dan visionOS 1.1, atau lebih baharu.
Item Rantai Kunci: iPhone, iPad, Mac dan Apple Vision Pro
Nota: App Mac pihak ketiga mesti menggunakan API rantai kunci perlindungan data. Untuk mendapatkan maklumat lanjut, lihat dokumentasi Pembangun Apple kSecUseDataProtectionKeychain.
Lampiran mel dan isi mesej mel: iPhone, iPad, Mac dan Apple Vision Pro
Nota: iPhone, iPad, Mac dan Apple Vision Pro
Peringatan: iPhone, iPad, Mac dan Apple Vision Pro
Peranti mestilah menjalankan iOS 17, iPadOS 17, macOS 14 dan visionOS 1.1, atau lebih baharu.
Jika pengguna mendaftar masuk dengan Akaun Apple peribadi dan Akaun Apple Terurus, Daftar masuk dengan Apple menggunakan Akaun Apple Terurus secara automatik untuk App Terurus dan Akaun Apple peribadi untuk app tidak terurus. Apabila menggunakan aliran daftar masuk dalam Safari atau SafariWebView dalam app terurus, pengguna boleh memilih dan memasukkan Akaun Apple Terurus mereka untuk mengaitkan daftar masuk dengan akaun kerja mereka.
Pentadbir sistem hanya boleh mengurus akaun organisasi, seting dan maklumat yang diperuntukkan dengan MDM, tidak sesekali akaun peribadi pengguna. Malah, ciri sama yang memastikan data selamat dalam App Terurus dimiliki organisasi juga melindungi kandungan peribadi pengguna daripada memasuki strim data korporat.
MDM boleh | MDM tidak boleh |
|---|---|
Konfigurasi akaun | Lihat maklumat peribadi, data pengguna atau log |
Akses inventori App Terurus | Akses inventori app peribadi |
Keluarkan data terurus sahaja | Keluarkan sebarang data peribadi |
Pasang dan konfigurasi app | Ambil alih pengurusan app peribadi |
Perlukan kod laluan | Perlukan kod laluan atau kata laluan kompleks |
Kuatkuasakan pengehadan tertentu | Akses lokasi peranti |
Konfigurasi VPN mengikut app | Akses pengecam peranti unik |
| Padam keseluruhan peranti secara jauh |
| Urus Kunci Pengaktifan |
| Akses status perayauan |
| Aktifkan Mod Hilang |
Nota: Untuk iPhone dan iPad, pentadbir boleh memerlukan kod laluan dengan minimum enam aksara dan menghalang pengguna daripada menggunakan kod laluan ringkas (contohnya, “123456” atau “abcdef”), tetapi tidak boleh memerlukan aksara atau kata laluan kompleks.