Kontobaserte registreringsmetoder med Apple-enheter
Kontobasert brukerregistrering og kontobasert enhetsregistrering er en sømløs og sikker måte for brukere og organisasjoner å konfigurere Apple-enheter for arbeid på ved å logge på med en administrert Apple-konto.
Denne tilnærmingen tillater å logge på både en administrert Apple-konto og en personlig Apple-konto på samme enhet, og jobbdata og personlige data holdes helt adskilt. Brukernes personvern ivaretas for deres personlige informasjon, og IT-avdelingen støtter arbeidsrelaterte apper, innstillinger og kontoer.
For å støtte denne adskillelsen har følgende endringer blitt gjort i måten apper og sikkerhetskopier håndteres på:
Alle konfigurasjoner og innstillinger fjernes når registreringsprofilen fjernes.
Administrerte apper fjernes alltid under avregistrering.
Hvis du installerer apper før du registrerer deg i en tjeneste for enhetsadministrering, kan du ikke konvertere dem til administrerte apper.
Gjenoppretting fra en sikkerhetskopi gjenoppretter ikke registrering i tjenesten for enhetsadministrering.
Brukere som logger på med en personlig Apple-konto, kan ikke godta en invitasjon om utrulling av en administrert app.
Selv om du kan opprette administrerte Apple-kontoer manuelt, kan organisasjoner dra nytte av integrering med Google Workspace, Microsoft Entra ID eller identitetsleverandøren sin (IdP).
Du finner mer informasjon om forent autentisering under Introduksjon til forent autentisering med Apple School Manager eller Introduksjon til forent autentisering med Apple Business Manager.
Kontobasert registreringsprosess
For å registrere en enhet ved hjelp av kontobasert brukerregistrering går brukeren til Innstillinger > Generelt > VPN og enhetsadministrering eller Systeminnstillinger > Generelt > Enhetsregistrering og velger Logg på jobb- eller skolekontoen-knappen.
Dette starter en firefasers prosess for å registrere en tjeneste for enhetsadministrering:
Tjenestesøk: Enheten finner registrerings-URL-en for tjenesten for enhetsadministrering.
Autentisering og tilgangskjennetegn: Brukeren oppgir brukernavn og passord for å godkjenne registreringen og få et tilgangskjennetegn for å tillate autentisering.
Tjenesteregistrering: Registreringsprofilen sendes til enheten, og brukeren må logge på med administrert Apple-konto for å fullføre registreringen.
Pågående autentisering: Tjenesten for enhetsadministrering verifiserer den påloggede brukeren hele tiden ved hjelp av tilgangskjennetegnet.
Fase 1: Tjenestesøk
I det første steget forsøker tjenestesøk å identifisere registrerings-URL-en for tjenesten for enhetsadministrering. For å gjøre det brukes identifikatoren som brukeren angir, for eksempel eliza@betterbag.com. Domenet må være et fullt kvalifisert domenenavn (FQDN) som annonserer tjenesten for enhetsadministrering for brukerens organisasjon.
Deretter skjer følgende:
Trinn 1
Enheten identifiserer domenet i den angitte identifikatoren (betterbag.com i eksempelet over).
Trinn 2
Enheten ber om den velkjente ressursen fra organisasjonens domene, for eksempel https://<domain>/.well-known/com.apple.remotemanagement.
Klienten inkluderer to forespørselsparametre i URL-banen for HTTP GET-forespørselen:
user-identifier: Verdien til den angitte kontoidentifikatoren (eliza@betterbag.com i eksempelet over).
model-family: Enhetens modellfamilie (for eksempel iPhone, iPad eller Mac).
Merk: Enheten følger HTTP 3xx omdirigeringsforespørsler, som gjør at den faktiske com.apple.remotemanagement-filen kan oppbevares på en annen tjener som enheten har tilgang til.
Prosessen med tjenestesøk gir enheter med iOS 18.2, iPadOS 18.2, macOS 15.2 eller visionOS 2.2 eller nyere mulighet for å hente den velkjente ressursen fra en alternativ plassering som er angitt av tjenesten for enhetsadministrering når den er koblet til Apple School Manager eller Apple Business Manager. Det foretrukne valget for tjenestesøk er fortsatt den velkjente ressursen på organisasjonens domene. Hvis forespørselen mislykkes, går enheten videre til å spørre Apple School Manager eller Apple Business Manager om en alternativ plassering for den velkjente ressursen. Denne prosessen krever at Apple School Manager eller Apple Business Manager verifiserer domenet med identifikatoren. Du finner mer informasjon i Legg til og verifiser et domene i Apple School Manager eller Legg til og verifiser et domene i Apple Business Manager.
For å bruke denne muligheten må tjenesten for enhetsadministrering konfigurere den alternative URL-en for tjenestesøk når den er koblet til Apple School Manager eller Apple Business Manager. Når enheten kontakter Apple School Manager eller Apple Business Manager, bestemmer enhetstypen den tildelte tjenesten for den typen – den samme prosessen som for å finne standard tjeneste for automatisert enhetsregistrering. Hvis den tjenesten har konfigurert en URL for tjenestesøk, vil enheten be om den velkjente ressursen fra den plasseringen. For å angi standard enhetstilordning kan du se Angi standard enhetstilordning i Apple School Manager eller Angi standard enhetstilordning i Apple Business Manager.
Tjenesten for enhetsadministrering kan også fungere som vert for den velkjente ressursen.
Trinn 3
Tjeneren der den velkjente ressursen oppbevares, svarer med et JSON-dokument for tjenestesøk, som har følgende struktur:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Registreringsnøklene, typene og beskrivelsene for tjenesten for enhetsregistrering er i følgende tabell. Alle nøkler er påkrevd.
Nøkkel | Type | Beskrivelse |
|---|---|---|
Servers | Matrise | En liste med én oppføring. |
Version | Streng | Denne nøkkelen bestemmer registreringsmetoden som skal brukes, og den må være enten |
BaseURL | Streng | Registrerings-URL-en for tjenesten for enhetsadministrering. |
Viktig: Tjeneren må sikre at Content-Type-meldingshodefeltet i HTTP-svaret er satt til application/json.
Trinn 4
Enheten sender en HTTP POST-forespørsel til registrerings-URL-en som er angitt av BaseURL.
Fase 2: Autentisering og tilgangskjennetegn
For å godkjenne registreringen må brukeren autentisere med tjenesten for enhetsadministrering. Når godkjenningen er fullført, sender tjenesten for enhetsadministrering et tilgangskjennetegn til enheten. Enheten lagrer kjennetegnet trygt, slik at det kan brukes ved godkjenning av påfølgende forespørsler.
Tilgangskjennetegnet:
er viktig både for den første godkjenningsprosessen og for pågående tilgang til ressurser fra tjenesten for enhetsadministrering
er en sikker bro mellom brukerens administrerte Apple-konto og tjenesten for enhetsadministrering
brukes for å gi kontinuerlig tilgang til arbeidsressurser for alle kontobaserte registreringer
På iPhone, iPad og Apple Vision Pro kan den første godkjenningsprosessen og den pågående godkjenningsprosessen strømlinjeformes ved å bruke Enrollment SSO (Enrollment Single Sign-on) for å redusere gjentatte forespørsler om godkjenning. Hvis du vil ha mer informasjon, kan du lese Enrollment Single Sign-on (SSO) for iPhone, iPad og Apple Vision Pro.
Fase 3: Registrering i tjeneste for enhetsadministrering
Enheten kan bruke tilgangskjennetegnet for å autentisere med løsningen for enhetsadministrering og få tilgang til registreringsprofilen. Denne profilen inneholder all informasjon som enheten trenger for å utføre registreringen. For å fullføre registreringen må brukeren logge på med sin administrerte Apple-konto. Når registreringen er fullført, vises den administrerte Apple-kontoen tydelig i Innstillinger og Systeminnstillinger.
Du finner mer informasjon om hvilke iCloud-tjenester som er tilgjengelige for brukere, i Tilgang til iCloud-tjenester.
Fase 4: Pågående autentisering
Etter registreringen forblir tilgangskjennetegnet aktivt, og det inkluderes i alle forespørsler til tjenesten for enhetsadministrering ved hjelp av HTTP-meldingshodefeltet Authorization. Dette gjør at tjenesten kan kontinuerlig verifisere brukeren, og det bidrar til å sikre at kun autoriserte brukere har tilgang til organisasjonens ressurser.
Tilgangskjennetegn utløper vanligvis etter en bestemt periode. Når dette skjer, kan enheten be brukeren om å autentisere på nytt for å fornye tilgangskjennetegnet. Periodisk revalidering bidrar til opplastingssikkerheten, noe som er viktig for både personlige enheter og enheter som eies av organisasjonen. Med Enrollment SSO fornyes kjennetegn automatisk via organisasjonens identitetsleverandør for å sikre uavbrutt tilgang uten å måtte autentisere på nytt.
Slik holdes brukernes data adskilt fra organisasjonens data ved hjelp av kontobaserte registreringsmetoder
Når kontobasert brukerregistrering eller kontobasert enhetsregistrering er fullført, oppretter operativsystemet automatisk separate krypteringsnøkler på enheten. Hvis brukeren avregistrerer enheten, eller hvis tjenesten for enhetsadministrering avregistrerer den eksternt, ødelegger operativsystemet disse krypteringsnøklene. Operativsystemet bruker nøklene til å holde de administrerte dataene som er oppført i denne tabellen, adskilt ved hjelp av kryptering.
Innhold | Eldste støttede operativsystemversjoner | Beskrivelse | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Administrert app-databeholdere | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Administrerte apper bruker den administrerte Apple-kontoen som er tilknyttet registreringen i tjenesten for enhetsadministrering, ved iCloud-datasynkronisering. Dette inkluderer administrerte apper (som er installert med | |||||||||
Kalender-app | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Hendelser er separate. | |||||||||
Nøkkelringobjekter | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Tredjeparts-Mac-appen må bruke databeskyttelsesnøkkelring-API-en. Hvis du vil ha mer informasjon, kan du se den globale variabelen kSecUseDataProtectionKeychain på Apple Developer-nettstedet. | |||||||||
Mail-app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | E-postvedlegg og brødteksten i e-postmeldingen er separate. | |||||||||
Notater-app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notater er separate. | |||||||||
Påminnelser-app | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Påminnelser er separate. | |||||||||
På iPhone, iPad og Apple Vision Pro har administrerte apper og administrerte nettbaserte dokumenter tilgang til organisasjonens iCloud Drive (som vises separat i Filer-appen når brukerne logger på med administrert Apple-konto). Administratoren av tjenesten for enhetsadministrering kan hjelpe med å holde spesifikke personlige dokumenter og dokumenter som tilhører organisasjonen, adskilt ved å bruke spesifikke restriksjoner. Hvis du vil ha mer informasjon, kan du lese Distribuer administrerte apper til Apple-enheter.
Hvis brukeren er logget inn med en personlig Apple-konto og en administrert Apple-konto, vil Logg på med Apple automatisk bruke den administrerte Apple-kontoen for administrerte apper og den personlige Apple-kontoen for uadministrerte apper. Når det brukes en påloggingsflyt i Safari eller SafariWebView i en administrert app, kan brukeren velge og angi den administrerte Apple-kontoen sin for å koble påloggingen til jobb- eller skolekontoen.
