Accountgebonden inschrijvingsmethoden voor Apple apparaten
Met accountgebonden gebruikersinschrijving en accountgebonden apparaatinschrijving kunnen gebruikers en organisaties naadloos en veilig Apple apparaten voor het werk configureren door in te loggen met een beheerde Apple Account.
Bij deze benadering is het mogelijk om op hetzelfde apparaat met zowel een beheerde Apple Account als een persoonlijke Apple Account te zijn ingelogd, waarbij de werkgegevens en persoonlijke gegevens volledig van elkaar worden gescheiden. De persoonlijke gegevens van gebruikers blijven privé en de IT-afdeling ondersteunt de apps, instellingen en accounts die met het werk verband houden.
Om deze scheiding mogelijk te maken, zijn de volgende wijzigingen aangebracht in de manier waarop apps en back‑ups worden behandeld:
Wanneer het inschrijvingsprofiel wordt verwijderd, worden ook alle configuraties en instellingen verwijderd.
Beheerde apps worden altijd verwijderd tijdens uitschrijving.
Apps die je voorafgaand aan de inschrijving bij een voorziening voor apparaatbeheer installeert, kun je niet omzetten in beheerde apps.
Bij het terugzetten van een back‑up wordt de inschrijving bij de voorziening voor apparaatbeheer niet hersteld.
Gebruikers die zijn ingelogd met hun persoonlijke Apple Account kunnen geen uitnodigingen voor de distributie van beheerde apps accepteren.
Je kunt beheerde Apple Accounts handmatig aanmaken, maar organisaties hebben ook de mogelijkheid om te integreren met Google Workspace, Microsoft Entra ID of hun identiteitsprovider (IdP).
Zie Inleiding tot gefedereerde authenticatie met Apple School Manager of Inleiding tot gefedereerde authenticatie met Apple Business Manager voor meer informatie over gebundelde authenticatie.
Accountgebonden inschrijvingsproces
Om een apparaat in te schrijven via accountgebonden gebruikersinschrijving of accountgebonden apparaatinschrijving, moet de gebruiker in Instellingen naar 'Algemeen' > 'VPN- en apparaatbeheer' of in Systeeminstellingen naar 'Algemeen' > 'Apparaatbeheer' gaan en vervolgens de knop 'Log in bij je werk- of schoolaccount' selecteren.
Hiermee wordt het proces gestart voor inschrijving bij een voorziening voor apparaatbeheer. Dit proces bestaat uit vier fasen:
Detectie voorzieningen: Het apparaat bepaalt de inschrijvings-URL van de voorziening voor apparaatbeheer.
Authenticatie en toegangstoken: De gebruiker verstrekt inloggegevens om de inschrijving te autoriseren en een toegangstoken voor doorlopende authenticatie te ontvangen.
Inschrijving bij voorziening: Het inschrijvingsprofiel wordt naar het apparaat verstuurd en de gebruiker moet inloggen met de beheerde Apple Account om de inschrijving te voltooien.
Doorlopende authenticatie: De ingelogde gebruiker wordt doorlopend geverifieerd door de voorziening voor apparaatbeheer op basis van het toegangstoken.
Fase 1: Detectie voorzieningen
In de eerste stap wordt voor de detectie van voorzieningen geprobeerd de inschrijvings-URL van de voorziening voor apparaatbeheer te achterhalen. Hiervoor wordt de ID gebruikt die door de gebruiker is ingevoerd, bijvoorbeeld elise@betterbag.com. Het domein moet een volledig gekwalificeerde domeinnaam (FQDN) hebben die de voorziening voor apparaatbeheer voor de organisatie van de gebruiker bekendmaakt.
Vervolgens gebeurt het volgende:
Stap 1
Het apparaat identificeert het domein in de verstrekte ID (in het bovenstaande voorbeeld is dit betterbag.com).
Stap 2
Het apparaat vraagt om de bekende resource van het domein van de organisatie, bijvoorbeeld https://<domain>/.well-known/com.apple.remotemanagement.
De client voegt twee verzoekparameters toe aan het URL-pad van het HTTP GET-verzoek:
user-identifier: De waarde van de ingevoerde account-ID (in het bovenstaande voorbeeld elise@betterbag.com).
model-family: De modelfamilie van het apparaat (bijvoorbeeld iPhone, iPad, Mac).
Opmerking: Het apparaat volgt HTTP 3xx-doorverwijzingsverzoeken, waardoor het com.apple.remotemanagement-bestand zelf kan worden gehost op een andere server die voor het apparaat bereikbaar is.
Op apparaten met iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 of nieuwer kunnen de apparaten tijdens de detectie van voorzieningen de bekende resource van een alternatieve locatie ophalen die door de voorziening voor apparaatbeheer bij de koppeling met Apple School Manager of Apple Business Manager is opgegeven. Voor de voorzieningendetectie wordt nog steeds eerst het domein van de organisatie om de bekende resource gevraagd. Als dit verzoek niets oplevert, raadpleegt het apparaat Apple School Manager of Apple Business Manager voor een alternatieve locatie van de bekende resource. Voor dit proces moet Apple School Manager of Apple Business Manager het domein in de ID verifiëren. Zie Een domein in Apple School Manager toevoegen en verifiëren of Een domein in Apple Business Manager toevoegen en verifiëren voor meer informatie.
Om deze functie te kunnen gebruiken, moet de alternatieve URL voor de detectie van voorzieningen zijn geconfigureerd via de voorziening voor apparaatbeheer die is gekoppeld aan Apple Business Manager of Apple School Manager. Wanneer het apparaat contact opneemt met Apple School Manager of Apple Business Manager, bepaalt het apparaattype de toegewezen voorziening voor dat type. Dit is hetzelfde proces dat wordt gebruikt om de standaardvoorziening voor automatische apparaatinschrijving te bepalen. Als via de toegewezen voorziening een URL voor de detectie van voorzieningen is geconfigureerd, vraagt het apparaat de bekende resource van deze locatie op. Zie De standaardtoewijzing van apparaten instellen in Apple School Manager of De standaardtoewijzing van apparaten instellen in Apple Business Manager om de standaardtoewijzing voor apparaten in te stellen.
De bekende resource kan ook worden gehost door de voorziening voor apparaatbeheer.
Stap 3
De server waarop de bekende resource wordt gehost, reageert met een JSON-document voor voorzieningendetectie dat het volgende schema heeft:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}De volgende tabel bevat de sleutels voor inschrijving bij een voorziening voor apparaatbeheer, het type sleutel en de beschrijving. Alle sleutels zijn vereist.
Sleutel | Type | Beschrijving |
|---|---|---|
Servers | Array | Een lijst met één onderdeel. |
Versie | Tekenreeks | Deze sleutel bepaalt de inschrijvingsmethode die moet worden gebruikt en moet |
BaseURL | Tekenreeks | De inschrijvings-URL van de voorziening voor apparaatbeheer. |
Belangrijk: De server moet ervoor zorgen dat het veld Content-Type in de koptekst van de HTTP-reactie is ingesteld op application/json.
Stap 4
Het apparaat verstuurt een HTTP POST-verzoek naar de inschrijvings-URL die is opgegeven door de BaseURL.
Fase 2: Authenticatie en toegangstoken
Om de inschrijving te autoriseren, moet de gebruiker zich authenticeren bij de voorziening voor apparaatbeheer. Na een geslaagde authenticatie verstrekt de voorziening voor apparaatbeheer een toegangstoken aan het apparaat. Het apparaat slaat het token veilig op voor gebruik bij het autoriseren van toekomstige verzoeken.
Het toegangstoken:
Is essentieel voor de eerste authenticatie en de doorlopende toegang tot resources van de voorziening voor apparaatbeheer
Fungeert als een beveiligde brug tussen de beheerde Apple Account van de gebruiker en de voorziening voor apparaatbeheer
Wordt gebruikt voor doorlopende toegang tot werkresources voor alle accountgebonden inschrijvingen
Op iPhones, iPads en de Apple Vision Pro kunnen de eerste authenticatie en het doorlopende authenticatieproces worden gestroomlijnd door eenmalige aanmelding voor inschrijving te gebruiken, zodat de gebruiker zich niet steeds opnieuw hoeft te authenticeren. Zie Eenmalige aanmelding voor inschrijving voor iPhone, iPad en Apple Vision Pro voor meer informatie.
Fase 3: Inschrijving bij de voorziening voor apparaatbeheer
Met het toegangstoken kan het apparaat zich authenticeren bij de voorziening voor apparaatbeheer en toegang krijgen tot het inschrijvingsprofiel. Het profiel bevat alle informatie die het apparaat nodig heeft om de inschrijving uit te voeren. Om de inschrijving te voltooien, moeten gebruikers inloggen met hun beheerde Apple Account. Nadat de inschrijving is voltooid, wordt de beheerde Apple Account duidelijk weergegeven in Instellingen en Systeeminstellingen.
Zie Toegang tot iCloud-voorzieningen voor meer informatie over de iCloud-voorzieningen die beschikbaar zijn voor gebruikers.
Fase 4: Doorlopende authenticatie
Na de inschrijving blijft het toegangstoken actief en wordt het opgenomen in alle verzoeken aan de voorziening voor apparaatbeheer via de HTTP-koptekst Authorization. Zo kan de voorziening de gebruiker doorlopend verifiëren en wordt ervoor gezorgd dat alleen geautoriseerde gebruikers toegang hebben tot de resources van de organisatie.
Toegangstokens verlopen meestal na een opgegeven periode. Als dit gebeurt, vraagt het apparaat de gebruiker om zich opnieuw te authenticeren om het toegangstoken te vernieuwen. Periodieke hervalidatie verbetert de beveiliging en is belangrijk voor zowel persoonlijke apparaten als apparaten die eigendom zijn van de organisatie. Bij eenmalige aanmelding voor inschrijving wordt het token automatisch vernieuwd via de identiteitsprovider van de organisatie, waardoor de gebruiker zichzelf niet opnieuw hoeft te authenticeren en de toegang niet wordt onderbroken.
Hoe gebruikersgegevens worden gescheiden van organisatiegegevens met accountgebonden inschrijvingsmethoden
Wanneer accountgebonden gebruikersinschrijving of accountgebonden apparaatinschrijving is voltooid, maakt het besturingssysteem automatisch afzonderlijke encryptiesleutels aan op het apparaat. Als het apparaat door de gebruiker of op afstand via de voorziening voor apparaatbeheer wordt uitgeschreven, worden die encryptiesleutels door het besturingssysteem vernietigd. De sleutels worden door het besturingssysteem gebruikt om de beheerde gegevens in deze tabel cryptografisch van elkaar te scheiden.
Materiaal | Minimale OS-versies | Beschrijving | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Containers met beheerde appgegevens | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Beheerde apps maken voor de synchronisatie van iCloud-gegevens gebruik van de beheerde Apple Account die aan de inschrijving bij de voorziening voor apparaatbeheer is gekoppeld. Dit geldt ook voor beheerde apps (waarvoor de sleutel | |||||||||
Agenda-app | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Activiteiten zijn gescheiden. | |||||||||
Sleutelhangeronderdelen | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | De Mac-app van een andere leverancier moet de sleutelhanger-API voor gegevensbeveiliging gebruiken. Zie de globale variabele kSecUseDataProtectionKeychain op de Apple Developer-website voor meer informatie. | |||||||||
Mail-app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | E‑mailbijlagen en tekst van het e‑mailbericht zijn gescheiden. | |||||||||
Notities-app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notities zijn gescheiden. | |||||||||
Herinneringen-app | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Herinneringen zijn gescheiden. | |||||||||
Op iPhones, iPads en de Apple Vision Pro hebben beheerde apps en beheerde webdocumenten allemaal toegang tot de iCloud Drive van een organisatie (die afzonderlijk wordt weergegeven in de Bestanden-app nadat gebruikers hebben ingelogd met hun beheerde Apple Account). Met specifieke beperkingen kan de beheerder van de voorziening voor apparaatbeheer persoonlijke documenten en documenten van de organisatie van elkaar gescheiden houden. Zie Beheerde apps naar Apple apparaten distribueren voor meer informatie.
Als een gebruiker is ingelogd met een persoonlijke Apple Account en een beheerde Apple Account, wordt bij gebruik van 'Log in met Apple' automatisch de beheerde Apple Account voor beheerde apps en de persoonlijke Apple Account voor onbeheerde apps gebruikt. Gebruikers die inloggen bij een beheerde app in Safari of SafariWebView kunnen hun beheerde Apple Account selecteren en invoeren om de inlogsessie aan hun werk- of schoolaccount te koppelen.
