Kaedah pendaftaran dipacu akaun dengan peranti Apple
Pendaftaran Pengguna dipacu akaun dan Pendaftaran Peranti dipacu akaun memberikan cara yang lancar dan selamat untuk pengguna dan organisasi menyediakan peranti Apple untuk kerja dengan mendaftar masuk dengan Akaun Apple Terurus.
Pendekatan ini membenarkan Akaun Apple Terurus dan Akaun Apple peribadi didaftar masuk pada peranti yang sama, dengan pemisahan data kerja dan peribadi sepenuhnya. Pengguna mengekalkan privasi untuk maklumat peribadi mereka dan IT menyokong app, seting serta akaun berkaitan kerja.
Untuk menyokong pengasingan ini, perubahan berikut telah dilakukan kepada cara app dan sandaran dikendalikan:
Semua konfigurasi dan seting dikeluarkan apabila profil pendaftaran dikeluarkan.
App Terurus sentiasa dikeluarkan semasa penyahdaftaran.
Jika anda memasang app sebelum mendaftar dalam perkhidmatan pengurusan peranti, anda tidak boleh menukarnya menjadi App Terurus.
Memulihkan daripada sandaran tidak memulihkan pendaftaran perkhidmatan pengurusan peranti.
Pengguna yang mendaftar masuk dengan Akaun Apple peribadi mereka tidak boleh menerima jemputan untuk pengedaran App Terurus.
Walaupun anda boleh mencipta Akaun Apple Terurus secara manual, organisasi boleh memanfaatkan penyepaduan dengan Google Workspace, Microsoft Entra ID atau penyedia identiti mereka (IdP).
Untuk mendapatkan maklumat tentang pengesahan bersekutu, lihat Pengenalan kepada pengesahan bersekutu dengan Apple School Manager atau Pengenalan kepada pengesahan bersekutu dengan Apple Business Manager.
Proses pendaftaran dipacu akaun
Untuk mendaftarkan peranti menggunakan Pendaftaran Pengguna dipacu akaun atau Pendaftaran Peranti dipacu akaun, pengguna menavigasi ke Seting > Umum > Pengurusan VPN & Peranti atau ke Seting Sistem > Umum > Pengurusan Peranti dan memilih butang Daftar Masuk ke Akaun Kerja atau Sekolah.
Ini memulakan proses empat peringkat untuk mendaftar dalam perkhidmatan pengurusan peranti:
Penemuan perkhidmatan: Peranti menentukan URL pendaftaran untuk perkhidmatan pengurusan peranti.
Pengesahan dan token akses: Pengguna memberikan kelayakan untuk membenarkan pendaftaran dan mengeluarkan token akses untuk pengesahan berterusan.
Pendaftaran perkhidmatan: Profil pendaftaran dihantar kepada peranti dan pengguna diperlukan untuk mendaftar masuk dengan Akaun Apple Terurus mereka untuk melengkapkan pendaftaran.
Pengesahan berterusan: Perkhidmatan pengurusan peranti mengesahkan pengguna didaftar masuk secara berterusan menggunakan token akses.
Peringkat 1: Penemuan perkhidmatan
Dalam langkah pertama, penemuan perkhidmatan cuba mengenal pasti URL pendaftaran perkhidmatan pengurusan peranti. Untuk berbuat demikian, ia menggunakan pengecam yang pengguna masukkan, contohnya eliza@betterbag.com. Domain mesti nama domain penuh yang layak (FQDN) yang mengiklankan perkhidmatan pengurusan peranti untuk organisasi pengguna.
Diikuti langkah berikut:
Langkah 1
Peranti mengenal pasti domain dalam pengecam yang dibekalkan (dalam contoh di atas, betterbag.com).
Langkah 2
Peranti meminta sumber well-known daripada domain organisasi—contohnya, https://<domain>/.well-known/com.apple.remotemanagement.
Klien menyertakan dua parameter pertanyaan dalam laluan URL permintaan GET HTTP:
user-identifier: Nilai pengecam akaun yang dimasukkan (dalam contoh di atas, eliza@betterbag.com).
model-family: Keluarga model peranti (contohnya, iPhone, iPad, Mac).
Nota: Peranti mengikuti permintaan ubah hala 3xx HTTP, yang membenarkan fail com.apple.remotemanagement sebenar dihoskan pada pelayan lain yang boleh dicapai oleh peranti.
Untuk peranti dengan iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, atau lebih baharu, proses penemuan perkhidmatan membolehkan peranti mengambil sumber well-known daripada lokasi alternatif yang ditentukan oleh perkhidmatan pengurusan peranti apabila dipautkan ke Apple School Manager atau Apple Business Manager. Keutamaan pertama untuk penemuan perkhidmatan ialah sumber well-known di domain organisasi. Jika permintaan gagal, peranti terus menyemak dengan Apple School Manager atau Apple Business Manager untuk lokasi alternatif bagi sumber well-known. Proses ini memerlukan Apple School Manager atau Apple Business Manager mengesahkan domain dalam pengecam. Untuk mendapatkan maklumat lanjut, lihat Tambah dan sahkan domain dalam Apple School Manager atau Tambah dan sahkan domain dalam Apple Business Manager.
Untuk menggunakan keupayaan ini, perkhidmatan pengurusan peranti perlu mengkonfigurasikan URL penemuan perkhidmatan alternatif apabila dipautkan ke Apple Business Manager atau Apple School Manager. Apabila peranti mencapai Apple School Manager atau Apple Business Manager, jenis peranti digunakan menentukan perkhidmatan yang ditetapkan bagi jenis tersebut—proses yang sama untuk menentukan perkhidmatan lalai bagi Pendaftaran Peranti Diautomasikan. Jika perkhidmatan yang ditetapkan mempunyai URL penemuan perkhidmatan yang dikonfigurasi, peranti meneruskan untuk meminta sumber well-known daripada lokasi tersebut. Untuk mengesetkan penetapan peranti lalai, lihat Setkan penetapan peranti lalai dalam Apple School Manager atau Setkan penetapan peranti lalai dalam Apple Business Manager.
Perkhidmatan pengurusan peranti juga boleh mengehoskan sumber well-known.
Langkah 3
Pelayan yang mengehoskan sumber well-known, membalas dengan dokumen JSON penemuan perkhidmatan yang mengikuti skema berikut:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Kunci pendaftaran, jenis dan perihalan perkhidmatan pengurusan peranti terdapat dalam jadual berikut. Semua kunci diperlukan.
Kunci | Jenis | Perihalan |
|---|---|---|
Pelayan | Tatasusunan | Senarai dengan entri tunggal. |
Versi | Rentetan | Kekunci ini menentukan kaedah pendaftaran untuk digunakan dan mestilah sama anda |
BaseURL | Rentetan | URL pendaftaran perkhidmatan pengurusan peranti. |
Penting: Pelayan perlu memastikan yang medan pengepala Content-Type dalam respons HTTP disetkan kepada application/json.
Langkah 4
Peranti menghantar permintaan POST HTTP kepada URL pendaftaran yang ditentukan oleh BaseURL.
Peringkat 2: Pengesahan dan token akses
Untuk membenarkan pendaftaran, pengguna perlu membenarkan dengan perkhidmatan pengurusan peranti. Selepas pengesahan berjaya, perkhidmatan pengurusan peranti mengeluarkan token akses kepada peranti. Peranti menyimpan token dengan selamat untuk digunakan semasa mengesahkan permintaan berikutnya.
Token akses:
Penting untuk proses pengesahan awal dan akses berterusan kepada sumber perkhidmatan pengurusan peranti
Berfungsi sebagai titian selamat antara Akaun Apple Terurus pengguna dan perkhidmatan pengurusan peranti
Digunakan untuk membenarkan akses berterusan kepada sumber kerja untuk semua pendaftaran dipacu akaun
Pada iPhone, iPad dan Apple Vision Pro, proses pengesahan awal dan berterusan boleh diperkemas dengan menggunakan SSO Pendaftaran (Daftar Diri Tunggal Pendaftaran) untuk mengurangkan gesaan pengesahan berulang. Untuk mendapatkan maklumat lanjut, lihat Daftar Diri Tunggal Pendaftaran untuk iPhone, iPad dan Apple Vision Pro.
Peringkat 3: Pendaftaran perkhidmatan pengurusan peranti
Menggunakan token akses, peranti boleh mengesahkan dengan perkhidmatan pengurusan peranti dan mengakses profil pendaftaran. Profil ini mengandungi semua maklumat yang diperlukan oleh peranti untuk melaksanakan pendaftaran. Untuk melengkapkan pendaftaran, pengguna perlu berjaya mendaftar masuk dengan Akaun Apple Terurus mereka. Selepas pendaftaran selesai, Akaun Apple Terurus memaparkan secara menonjol dalam Seting dan Seting Sistem.
Untuk mendapatkan maklumat lanjut tentang perkhidmatan iCloud yang tersedia kepada pengguna, lihat Akses perkhidmatan iCloud.
Peringkat 4: Pengesahan berterusan
Selepas pendaftaran, token akses kekal aktif dan disertakan dalam semua permintaan kepada perkhidmatan pengurusan peranti menggunakan pengepala HTTP Pengesahan. Ini membolehkan perkhidmatan mengesahkan pengguna secara berterusan dan membantu memastikan yang hanya pengguna dibenarkan mengekalkan akses ke sumber organisasi.
Token akses biasanya tamat tempoh selepas tempoh yang ditetapkan. Apabila ini berlaku, peranti mungkin menggesa pengguna untuk mengesahkan semula bagi memperbaharui token akses. Pengesahan semula berkala membantu memuat naik keselamatan, yang penting untuk peranti peribadi dan yang dimiliki oleh organisasi. Dengan SSO Pendaftaran, pembaharuan token berlaku secara automatik menerusi penyedia identiti organisasi, yang memastikan akses tanpa gangguan tanpa mengesahkan semula.
Cara data pengguna diasingkan daripada data organisasi dengan kaedah pendaftaran dipacu akaun
Apabila Pendaftaran Pengguna dipacu akaun atau Pendaftaran Peranti dipacu akaun selesai, sistem pengendalian mencipta kunci penyulitan berasingan secara automatik pada peranti. Jika pengguna menyahdaftarkan peranti atau jika perkhidmatan pengurusan peranti menyahdaftarkannya dari jauh, sistem pengendalian menghapuskan kunci penyulitan tersebut. Sistem pengendalian menggunakan kunci untuk memisahkan data diuruskan yang disenaraikan dalam jadual ini secara kriptografi.
Kandungan | Versi sistem pengendalian disokong minimum | Perihalan | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Bekas data App Terurus | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | App Terurus yang menggunakan CloudKit menggunakan Akaun Apple Terurus yang dikaitkan dengan pendaftaran perkhidmatan pengurusan peranti untuk penyelarasan data iCloud. Ini termasuk App Terurus (dipasang dengan kunci | |||||||||
App Kalendar | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Peristiwa adalah berasingan. | |||||||||
Item Rantai Kunci | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | App Mac pihak ketiga perlu menggunakan API Rantai Kunci Perlindungan Data. Untuk mendapatkan maklumat lanjut, lihat Global Variable kSecUseDataProtectionKeychain di tapak web Pembangun Apple. | |||||||||
App Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Lampiran mel dan isi mesej mel adalah berasingan. | |||||||||
App Nota | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Nota adalah berasingan. | |||||||||
App Peringatan | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Peringatan adalah berasingan. | |||||||||
Pada iPhone, iPad dan Apple Vision Pro, App Terurus dan dokumen berasaskan web terurus, semuanya mempunyai akses ke iCloud Drive organisasi (yang kelihatan secara berasingan dalam app Fail selepas pengguna mendaftar masuk dengan Akaun Apple Terurus mereka). Pentadbir perkhidmatan pengurusan peranti boleh membantu menyimpan dokumen peribadi dan organisasi khusus secara berasingan dengan menggunakan pengehadan khusus. Untuk mendapatkan maklumat lanjut, lihat Edarkan App Terurus ke peranti Apple.
Jika pengguna mendaftar masuk dengan Akaun Apple peribadi dan Akaun Apple Terurus, Daftar masuk dengan Apple menggunakan Akaun Apple Terurus secara automatik untuk App Terurus dan Akaun Apple peribadi untuk app tidak terurus. Apabila menggunakan aliran daftar masuk dalam Safari atau SafariWebView dalam App Terurus, pengguna boleh memilih dan memasukkan Akaun Apple Terurus mereka untuk mengaitkan daftar masuk dengan akaun kerja atau sekolah mereka.
