Rejestracja przez użytkownika i MDM
Rejestracja przez użytkownika przeznaczona jest dla modelu BYOD, w którym urządzenie należy do użytkownika, a nie do organizacji. Funkcja działa z dostawcą tożsamości, usługami Google Workspace, Microsoft Entra ID, Apple School Manager lub Apple Business Manager oraz z rozwiązaniem MDM innej firmy. Działa ona również w zakresie zarządzania urządzeniami w usłudze Niezbędnik biznesowy Apple.
Oto cztery etapy rejestracji urządzenia w rozwiązaniu MDM przez użytkownika:
Wykrywanie usług: Urządzenie przedstawia się rozwiązaniu MDM.
Rejestracja przez użytkownika: Użytkownik przedstawia dane uwierzytelniające dostawcy tożsamości w celu uwierzytelnienia rejestracji w rozwiązaniu MDM.
Token sesji: Urządzenie otrzymuje token sesji, umożliwiający ciągłe uwierzytelnianie.
Rejestracja w rozwiązaniu MDM: Urządzenie otrzymuje profil rejestracji zawierający pakiety danych skonfigurowane przez administratora rozwiązania MDM.
Rejestracja przez użytkownika i zarządzane konta Apple
Rejestracja przez użytkownika wymaga zarządzanych kont Apple. Należą one do organizacji i są przez nią zarządzane. Zapewniają pracownikom dostęp do określonych usług Apple. Oprócz tego zarządzane konta Apple:
są tworzone ręcznie lub automatycznie przy użyciu uwierzytelniania federacyjnego.
są zintegrowane z używanym systemem do zarządzania danymi uczniów i studentów (SIS) lub dopuszczają wysyłanie plików .csv (tylko w usłudze Apple School Manager),
mogą być również używane do logowania się z przypisaną rolą w usługach Apple School Manager, Apple Business Manager lub Niezbędnik biznesowy Apple.
Gdy użytkownik usuwa profil rejestracji, usuwane są wszystkie profile konfiguracji, ich ustawienia oraz aplikacje zarządzane powiązane z tym profilem.
Funkcja rejestracji przez użytkownika jest zintegrowana z zarządzanymi kontami Apple i pozwala ustanowić tożsamość użytkownika na urządzeniu. Dokończenie procesu rejestrowania wymaga od użytkownika prawidłowego uwierzytelnienia. Zarządzane konto Apple może być używane razem z prywatnym kontem Apple, przy pomocy którego użytkownik już się zalogował. Te dwa konta w żaden sposób nie wpływają na siebie.
Rejestracja przez użytkownika i uwierzytelnianie federacyjne
Chociaż zarządzane konta Apple mogą być tworzone ręcznie, organizacje mogą skorzystać z synchronizacji przy użyciu dostawcy tożsamości, usługi Google Workspace lub Microsoft Entra ID oraz rejestracji przez użytkownika. W tym celu organizacji musi najpierw wykonać następujące czynności:
Zarządzanie danymi uwierzytelniania użytkownika przy użyciu dostawcy tożsamości, usługi Google Workspace lub Microsoft Entra ID.
Jeśli używana jest lokalna (on-premise) wersja Active Directory, przygotowanie uwierzytelniania federacyjnego wymaga dodatkowej konfiguracji.
Zalogowanie organizacji w usłudze Apple School Manager, Apple Business Manager lub Niezbędnik biznesowy Apple.
Skonfigurowanie uwierzytelniania federacyjnego w usłudze Apple School Manager, Apple Business Manager lub Niezbędnik biznesowy Apple.
Skonfigurowanie rozwiązania MDM i połączenie go z usługami Apple School Manager, Apple Business Manager lub Niezbędnik biznesowy Apple, albo użycie funkcji zarządzania urządzeniami wbudowanej w usługę Niezbędnik biznesowy Apple.
(Opcjonalnie) Utworzenie zarządzanych kont Apple.
Rejestracja przez użytkownika i aplikacje zarządzane (macOS)
Rejestracja przez użytkownika dodała aplikacje zarządzane do systemu macOS (było to już możliwe w przypadku rejestracji urządzeń oraz automatycznej rejestracji urządzeń). Aplikacje zarządzane korzystające z CloudKit używają zarządzanego konta Apple powiązanego z rejestracją w rozwiązaniu MDM. Administratorzy MDM muszą dodać klucz InstallAsManaged do polecenia InstallApplication. Podobnie jak w przypadku aplikacji dla systemów iOS i iPadOS, aplikacje te mogą być automatycznie usuwane, gdy użytkownik wyrejestrowuje urządzenie z rozwiązania MDM.
Rejestracja przez użytkownika i tworzenie sieci dla poszczególnych aplikacji
Sieć dla poszczególnych aplikacji w systemach iOS 16, iPadOS 16.1 oraz visionOS 1.1 i nowszych dostępna jest dla połączeń VPN (jest to VPN dla aplikacji), serwerów proxy DNS oraz filtrów materiałów internetowych na urządzeniach zarejestrowanych przy użyciu mechanizmu rejestracji przez użytkownika. Oznacza to, że tylko ruch sieciowy inicjowany przez aplikacje zarządzane przechodzi przez serwer proxy DNS, filtr treści internetowych lub oba te elementy. Ruch osobisty użytkownika pozostaje oddzielony i nie będzie filtrowany ani udostępniany przez organizację. Odbywa się to za pomocą nowych par klucz-wartość dla następujących pakietów danych:
Sposób rejestrowania urządzeń osobistych przez użytkowników
W systemach iOS 15, iPadOS 15, macOS 14 oraz visionOS 1.1 i nowszych organizacje mogą korzystać z usprawnionego procesu rejestracji przez użytkowników wbudowanego bezpośrednio w aplikację Ustawienia, aby ułatwić użytkownikom rejestrowanie ich urządzeń osobistych.
W tym celu:
Na iPhonie, iPadzie oraz Apple Vision Pro użytkownik musi otworzyć Ustawienia i wybrać Ogólne > VPN i urządzenia zarządzane, a następnie wybrać Zaloguj się na konto służbowe lub szkolne.
Na Macu użytkownik musi otworzyć Ustawienia systemowe i wybrać Prywatność i ochrona > Profile, a następnie wybrać Zaloguj się na konto służbowe lub szkolne.
Gdy użytkownik wprowadzi swoje zarządzane konto Apple, funkcja wykrywania usług rozpoznaje przekazywany przez rozwiązanie MDM adres URL umożliwiający rejestrację urządzenia.
Następnie użytkownik wprowadza swoją nazwę użytkownika i hasło, których używa w organizacji. Po pomyślnym uwierzytelnieniu w organizacji do urządzenia wysyłany jest profil rejestracji. Urządzenie otrzymuje także token sesji, umożliwiający ciągłe uwierzytelnianie. Następnie urządzenie rozpoczyna proces rejestracji i wyświetla użytkownikowi prośbę o zalogowanie się przy użyciu zarządzanego konta Apple. Proces uwierzytelniania na iPhonie, iPadzie i Apple Vision Pro może zostać usprawniony przy użyciu logowania jednokrotnego podczas rejestracji, co pozwala zmniejszyć liczbę powtarzanych próśb o uwierzytelnienie.
Gdy rejestracja zostanie ukończona, w aplikacji Ustawienia (na iPhonie, iPadzie i Apple Vision Pro) oraz Ustawienia systemowe (na Macu) pojawia się nowe konto zarządzane. Dzięki temu użytkownicy nadal mają dostęp do plików na osobistym iCloud Drive utworzonym przy użyciu własnych kont Apple. iCloud Drive organizacji (powiązany z zarządzanym kontem Apple użytkownika) widoczny jest jako osobna pozycja w aplikacji Pliki.
Na iPhonie, iPadzie i Apple Vision Pro aplikacje zarządzane oraz sieciowe dokumenty zarządzane mają dostęp do dysku iCloud Drive organizacji, jednak za pośrednictwem istniejących ograniczeń administrator MDM może pomóc rozdzielać dokumenty osobiste od dokumentów organizacji. Aby uzyskać więcej informacji, zobacz: Ograniczenia i możliwości Aplikacji zarządzanych.
Użytkownicy widzą, jakie rzeczy są zarządzane na ich osobistych urządzeniach, a także ile miejsca w iCloud jest przydzielane przez organizację. Ponieważ urządzenie należy do użytkownika, funkcja rejestracji przez użytkownika oferuje ograniczony zestaw pakietów danych oraz ograniczeń. Aby uzyskać więcej informacji, zobacz: Informacje dotyczące rejestracji w rozwiązaniu MDM przez użytkownika.
Jak Apple oddziela dane użytkownika od danych organizacji?
Po zakończeniu rejestracji przez użytkownika na urządzeniu automatycznie tworzone są osobne klucze szyfrowania. Gdy urządzenie zostaje wyrejestrowane przez użytkownika lub zdalnie przy użyciu rozwiązania MDM, te klucze szyfrowania są bezpiecznie niszczone. Klucze są używane do kryptograficznego oddzielenia zarządzanych danych przedstawionych poniżej:
Kontenery danych aplikacji: iPhone, iPad, Mac i Apple Vision Pro
Kalendarz: iPhone, iPad, Mac i Apple Vision Pro
Urządzenia muszą używać systemu iOS 16, iPadOS 16.1, macOS 13, visionOS 1.1 lub nowszego.
Rzeczy pęku kluczy: iPhone, iPad, Mac i Apple Vision Pro
Uwaga: Na Macu aplikacja innej firmy musi używać API pęku kluczy ochrony danych. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Apple dla deweloperów: kSecUseDataProtectionKeychain.
Załączniki wiadomości w aplikacji Poczta oraz treść wiadomości: iPhone, iPad, Mac i Apple Vision Pro
Notatki: iPhone, iPad, Mac i Apple Vision Pro
Przypomnienia: iPhone, iPad, Mac i Apple Vision Pro
Urządzenia muszą używać systemu iOS 17, iPadOS 17, macOS 14, visionOS 1.1 lub nowszego.
Jeśli użytkownik jest zalogowany przy użyciu osobistego konta Apple oraz zarządzanego konta Apple, funkcja Zaloguj się, używając konta Apple automatycznie używa zarządzanego konta Apple w przypadku aplikacji zarządzanych oraz osobistego konta Apple w przypadku aplikacji niezarządzanych. Podczas procesu logowania w Safari lub widoku SafariWebView w aplikacji zarządzanej użytkownik może wybrać i wprowadzić swoje zarządzane konto Apple, aby powiązać logowanie ze swoim kontem służbowym.
Administratorzy systemu mogą zarządzać tylko kontami, ustawieniami i informacjami organizacji objętymi MDM. Nie mają dostępu do osobistego konta użytkownika. Te same funkcje, które zabezpieczają dane w aplikacjach zarządzanych posiadanych przez organizację, używane są do zabezpieczania prywatnych danych użytkownika przed połączeniem z danymi korporacyjnymi.
Dostępne dla MDM | Niedostępne dla MDM |
|---|---|
Konfigurowanie kont | Wyświetlanie danych osobistych, danych dotyczących użycia oraz dzienników |
Lista dostępu aplikacji zarządzanych | Lista dostępu osobistych aplikacji |
Usuwanie wyłącznie danych zarządzanych | Usuwanie osobistych danych |
Instalowanie i konfigurowanie aplikacji | Przejmowanie zarządzania osobistą aplikacją |
Wymaganie kodu | Wymaganie złożonego kodu lub hasła |
Wymuszanie określonych ograniczeń | Dostęp do lokalizacji urządzenia |
Konfigurowanie VPN dla aplikacji | Dostęp do jednoznacznych identyfikatorów urządzeń |
| Zdalne wymazywanie całego urządzenia |
| Zarządzana blokada aktywacji |
| Dostęp do statusu roamingu |
| Włączanie trybu Utracony |
Uwaga: W przypadku iPhone’a i iPada administratorzy mogą skonfigurować wymaganie kodu złożonego z co najmniej sześciu znaków oraz uniemożliwić użytkownikom używanie prostych kodów (takich jak „123456” lub „abcdef”), ale nie mogą skonfigurować wymagania znaków specjalnych lub haseł.