Beheerde Apple Accounts voor Apple apparaten
Met beheerde Apple Accounts kun je de productiviteit van werknemers vergroten en gebruikers toegang geven tot de voorzieningen die ze nodig hebben. Deze accounts zijn speciaal ontworpen voor organisaties en verschillen van de persoonlijke Apple Accounts die gebruikers voor zichzelf aanmaken. Zo kunnen de gegevens van de organisatie met behulp van krachtige beheermogelijkheden gescheiden worden van persoonlijke gegevens.
Net als andere Apple Accounts kunnen beheerde Apple Accounts op persoonlijke of gedeelde apparaten worden gebruikt om toegang te krijgen tot bepaalde Apple voorzieningen, zoals Gedeelde iPad, iCloud, Apple School Manager, Apple Business Manager of Apple Business Essentials, en om samen te werken in iWork en Notities.
Beheerde Apple Accounts in Apple School Manager zijn speciaal bedoeld voor gebruik in onderwijsinstellingen. Het eigendom en beheer ervan is in handen van de onderwijsinstelling. Dit betekent dat de instelling wachtwoorden opnieuw kan instellen, communicatiebeperkingen kan opgeven en accounts op basis van rollen kan beheren. Met Apple School Manager kun je eenvoudig in één keer voor iedereen een unieke beheerde Apple Account aanmaken.
Beheerde Apple Accounts in Apple School Manager, Apple Business Manager en Apple Business Essentials zijn eigendom van en worden beheerd door de organisatie. Dit betekent dat de organisatie wachtwoorden opnieuw kan instellen, toegang tot voorzieningen kan beheren en accounts op basis van rollen kan beheren. Met Apple School Manager, Apple Business Manager en Apple Business Essentials kun je eenvoudig in één keer voor iedereen een unieke beheerde Apple Account aanmaken.
Zie Apple internet services security certifications in Apple Platform Certifications om de certificeringen voor beheerde Apple Accounts te bekijken waaraan Apple voldoet conform de normen ISO 27001 en 27018.
Beheerde Apple Accounts aanmaken
Voordat je beheerde Apple Accounts kunt aanmaken, moet je:
Gebundelde authenticatie gebruiken met Google Workspace, Microsoft Entra ID of een identiteitsprovider (IdP)
Gebruikers importeren uit Google Workspace, Microsoft Entra ID of een IdP
Alleen Apple School Manager: Accounts importeren uit je SIS-systeem (Student Information System)
Alleen Apple School Manager: Csv-bestanden importeren via het SFTP-protocol (Secure File Transfer Protocol)
Handmatig accounts aanmaken
Inloggen met Apple op je werk en op school
Er is ondersteuning voor beheerde Apple Accounts toegevoegd aan 'Log in met Apple', waardoor je kunt inloggen met je werk- of schoolaccount. Medewerkers, leerkrachten en leerlingen kunnen inloggen met hun beheerde Apple Account om toegang te krijgen tot apps en websites die 'Log in met Apple' ondersteunen. Beheerders, systeembeheerders (alleen in Apple School Manager) en personenmanagers kunnen instellen welke apps met 'Log in met Apple' kunnen worden gebruikt. Je kunt 'Log in met Apple' alleen gebruiken met een werk- of schoolaccount als op de Apple apparaten iOS 16, iPadOS 16.1, macOS 13 of nieuwer is geïnstalleerd.
Bekijk de WWDC22-video Discover Sign in with Apple at Work & School voor meer informatie (Engelstalig).
Passkeys met beheerde Apple Accounts
Passkeys zijn ontworpen om gebruikers gemakkelijk en veilig te laten inloggen zonder wachtwoord. Passkeys zijn een op standaarden gebaseerde technologie die bestand is tegen phishing. Passkeys zijn altijd sterk en maken geen gebruik van gedeelde geheimen.
Met ondersteuning voor beheerde Apple Accounts in iCloud-sleutelhanger kunnen organisaties passkeys implementeren waarmee gebruikers toegang hebben tot bedrijfsinformatie en ervoor zorgen dat passkeys veilig worden gesynchroniseerd met al hun iPhones, iPads en Macs. Met de functionaliteit voor toegangsbeheer kunnen ze ook de vereiste beheerstatus van een apparaat definiëren om toegang tot de beheerde passkeys mogelijk te maken.
Met een declaratieve configuratie voor passkey-attestatie kan een beheerd apparaat een attestatie beschikbaar stellen wanneer een passkey wordt verstrekt voor een voorziening van de organisatie. De attestatie wordt verstrekt wanneer een gebruiker een passkey registreert voor een website of app via een domein dat in de configuratie is opgegeven. Nadat het apparaat op veilige wijze een passkey heeft aangemaakt, gebruikt het apparaat de certificaatidentiteit die in de configuratie is gedefinieerd om een WebAuthn-attestatie uit te voeren voor de benaderde voorziening. Zo kan de voorziening verifiëren dat de passkey is aangemaakt op een apparaat dat door de organisatie wordt beheerd voordat er toegang wordt verleend.
De aangemaakte passkeys worden automatisch in de iCloud-sleutelhanger opgeslagen die aan de beheerde Apple Account is gekoppeld. Als er geen beheerde Apple Account beschikbaar is, kan de passkey niet worden aangemaakt.
Om te zorgen dat gebruikers zo eenvoudig mogelijk kunnen inloggen, kunnen appontwikkelaars gekoppelde domeinen gebruiken om een beveiligde koppeling tussen domeinen en hun app tot stand te brengen (en eventueel een configuratie met gekoppelde domeinen via MDM toe te staan). Als deze mogelijkheid beschikbaar is, kunnen iOS, iPadOS en macOS automatisch de juiste passkey selecteren en opgeven om naadloos te kunnen inloggen. Als de authenticatie door een voorziening van derden wordt uitgevoerd, kan in plaats daarvan ASWebAuthenticationSession worden gebruikt.
Zie Declaratieve configuratie voor passkey-attestatie voor meer informatie.