Brukerregistrering og MDM
Brukerregistrering er laget for BYOD-utrullinger, eller bring your own device-utrullinger, der brukeren, ikke organisasjonen, eier enheten. Den fungerer med en identitetsleverandør (IdP), Google Workspace eller Microsoft Entra ID og Apple School Manager eller Apple Business Manager og en MDM-løsning fra en tredjepart. Det fungerer også med enhetsadministrering i Apple Business Essentials.
De fire trinnene i brukerregistrering i MDM er:
Tjenestesøk: Enheten identifiserer seg selv til MDM-løsningen.
Brukerregistrering: Brukeren oppgir brukernavn og passord til en identitetsleverandør (IdP) for autorisering for å registrere seg i MDM-løsningen.
Øktkjennetegn: Enheten får tildelt et øktkjennetegn for å tillate autorisering.
MDM-registrering: Registreringsprofilen sendes til enheten med nyttelaster konfigurert av MDM-administratoren.
Brukerregistrering og administrerte Apple-kontoer
Brukerregistrering krever administrerte Apple-kontoer. Disse eies og administreres av en organisasjon og gir ansatte tilgang til spesifikke Apple-tjenester. Og administrerte Apple-kontoer:
opprettes manuelt eller automatisk ved hjelp av forent autentisering
er integrert med et elevinformasjonssystem eller laster opp .csv-filer (kun Apple School Manager)
kan også brukes til pålogging med en tildelt rolle i Apple School Manager, Apple Business Manager eller Apple Business Essentials
Når en bruker fjerner en registreringsprofil, fjernes også alle konfigurasjonsprofiler, innstillinger og administrerte apper basert på registreringsprofilen.
Brukerregistrering er integrert med administrerte Apple-kontoer for å etablere en brukeridentitet på enheten. Brukeren må autentisere seg for at registreringen skal fullføres. Den administrerte Apple-kontoen kan brukes sammen med den personlige Apple-kontoen som brukeren allerede har logget på med, og de to samhandler ikke med hverandre.
Brukerregistrering og forent autentisering
Selv om administrerte Apple-kontoer kan opprettes manuelt, kan organisasjoner dra nytte av synkronisering med en IdP, Google Workspace eller Microsoft Entra ID og brukerregistrering. For å gjøre det må organisasjonen først:
administrere brukerakkreditiver med en IdP, Google Workspace eller Microsoft Entra ID
Hvis du har en lokal versjon av Active Directory, må det utføres ytterligere konfigurering for å forberede for forent autentisering.
registrere organisasjonen din i Apple School Manager, Apple Business Manager eller Apple Business Essentials
konfigurere forent autentisering i Apple School Manager, Apple Business Manager eller Apple Business Essentials
konfigurere en MDM-løsning og lenke den til Apple School Manager, Apple Business Manager eller Apple Business Essentials eller bruke enhetsadministreringen som er innebygd i Apple Business Essentials
opprette administrerte Apple-kontoer (valgfritt)
Brukerregistrering og administrerte apper (macOS)
Brukerregistrering har lagt til administrerte apper i macOS (denne funksjonen var allerede mulig med enhetsregistrering og automatisert enhetsregistrering). Administrerte apper som bruker CloudKit, bruker den administrerte Apple-kontoen som er tilknyttet MDM-registreringen. MDM-administratorer må legge til InstallAsManaged-nøkkelen til InstallApplication-kommandoen. Som iOS- og iPadOS-apper kan disse appene også fjernes automatisk når en bruker avregistreres fra MDM.
Brukerregistrering og per-app-nettverk
I iOS 16, iPadOS 16.1 og visionOS 1.1 eller nyere er per-app-nettverk tilgjengelig for VPN (kjent som app-VPN), DNS-proxyer og nettinnholdsfiltre for enheter registrert med brukerregistrering. Det betyr at det kun er nettverkstrafikk initiert av administrerte apper som sendes gjennom DNS-proxy, nettinnholdsfilteret eller begge. Brukerens personlige trafikk holdes adskilt og blir ikke filtrert eller rutet av en organisasjon. Dette oppnås ved å bruke nye nøkkelverdi-par for følgende nyttelaster:
Slik kan brukere registrere personlige enheter
I iOS 15, iPadOS 15, macOS 14 og visionOS 1.1 eller nyere kan organisasjoner bruke en effektivisert brukerregistreringsprosess som er innebygd i Innstillinger-appen, for å gjøre det enklere for brukere å registrere personlige enheter.
Slik gjør du det:
På iPhone, iPad og Apple Vision Pro går brukeren til Innstillinger > Generelt > VPN og enhetsregistrering og trykker deretter på Sign In to Work or School Account-knappen.
På Mac går brukeren til Innstillinger > Personvern og sikkerhet > Profiler og trykker deretter på Sign In to Work or School Account-knappen.
Når de oppgir en administrert Apple-konto, vil tjenestesøk identifisere MDM-løsningens registrerings-URL.
Brukeren oppgir deretter brukernavn og passord for organisasjonen. Når organisasjonens autentisering er fullført, sendes registreringsprofilen til enheten. Enheten får også tildelt et øktkjennetegn for å tillate autorisering. Enheten starter deretter registreringsprosessen, og brukeren blir bedt om å logge på med den administrerte Apple-kontoen sin. På iPhone, iPad og Apple Vision Pro kan godkjenningsprosessen effektiviseres ved å bruke Enrollment single sign-on for å redusere gjentatte forespørsler om godkjenning.
Når registreringen er fullført, vises den nye administrerte kontoen tydelig i Innstillinger-appen (iPhone, iPad og Apple Vision Pro) og i Systeminnstillinger (Mac). Dette gjør at brukeren fremdeles har tilgang til filene i iCloud Drive som er opprettet med den personlige Apple-kontoen. iCloud Drive for organisasjonen (tilknyttet brukerens administrerte Apple-konto) vises separat i Filer-appen.
På iPhone, iPad og Apple Vision Pro har administrerte apper og administrerte nettbaserte dokumenter tilgang til organisasjonens iCloud Drive, og MDM-administratorer kan hjelpe med å holde spesifikk personlige dokumenter og bedriftsdokumenter adskilt ved å bruke spesifikke restriksjoner. Hvis du vil ha mer informasjon, kan du lese Restriksjoner og egenskaper for administrerte apper.
Brukere kan se informasjon om hva som administreres på den private enheten, samt hvor mye iCloud-lagringsplass organisasjonen tilbyr. Fordi brukeren eier enheten, kan brukerregistrering kun legge til et begrenset sett med nyttelaster og restriksjoner på enheten. Hvis du vil ha mer informasjon, kan du lese MDM-informasjon for brukerregistrering.
Slik separerer Apple brukerdata fra organisasjonsdata
Når brukerregistrering er fullført, opprettes separate krypteringsnøkler automatisk på enheten. Hvis enheten avregistreres av brukeren eller eksternt via MDM, ødelegges krypteringsnøklene på en sikker måte. Nøklene brukes til å holde de administrerte dataene adskilt ved hjelp av kryptering:
Appdatabeholdere: iPhone, iPad, Mac og Apple Vision Pro
Kalender: iPhone, iPad, Mac og Apple Vision Pro
Enhetene må bruke iOS 16, iPadOS 16.1, macOS 13 og visionOS 1.1 eller nyere.
Nøkkelringobjekter: iPhone, iPad, Mac og Apple Vision Pro
Merk: Tredjeparts-Mac-appen må bruke databeskyttelsesnøkkelring-API-en. Se mer informasjon i Apple Developer-dokumentasjonen kSecUseDataProtectionKeychain.
E-postvedlegg og brødteksten i e-postmeldingen: iPhone, iPad, Mac og Apple Vision Pro
Notater: iPhone, iPad, Mac og Apple Vision Pro
Påminnelser: iPhone, iPad, Mac og Apple Vision Pro
Enhetene må ha iOS 17, iPadOS 17, macOS 14 og visionOS 1.1 eller nyere.
Hvis brukeren er logget inn med en personlig Apple-konto og en administrert Apple-konto, vil Logg på med Apple automatisk bruke den administrerte Apple-kontoen for administrerte apper og den personlige Apple-kontoen for uadministrerte apper. Når det brukes en påloggingsflyt i Safari eller SafariWebView i en administrert app, kan brukeren velge og angi den administrerte Apple-kontoen sin for å koble påloggingen til jobbkontoen.
Systemadministratorer kan kun administrere en organisasjons kontoer, innstillinger og informasjon konfigurert med MDM, aldri en brukers personlige konto. Det er faktisk de samme funksjonene som holder dataene trygge i organisasjonsadministrerte apper, som også beskytter en brukers personlige innhold mot å komme inn i bedriftens datastrøm.
MDM kan | MDM kan ikke |
|---|---|
Konfigurere kontoer | Se personlig informasjon, bruksdata eller logger |
Få tilgang til oversikt over administrerte apper | Få tilgang til oversikt over personlige apper |
Fjerne kun administrerte data | Fjerne personlige data |
Installere og konfigurere apper | Overta administrasjonen av en personlig app |
Kreve kode | Kreve en kompleks kode eller passord |
Håndheve bestemte restriksjoner | Få tilgang til enhetens posisjon |
Konfigurere App-VPN | Få tilgang til unike enhetsidentifikatorer |
| Fjernslette hele enheten |
| Aktivere Aktiveringslås |
| Få tilgang til roamingstatus |
| Slå på Mistet-modus |
Merk: For iPhone og iPad kan administratorer kreve koder med minst seks tegn og forhindre at brukere bruker enkle koder (for eksempel 123456 eller abcdef), men de kan ikke kreve komplekse tegn eller passord.