iCloud w przypadku zarządzanych kont Apple
Zależnie od modelu wdrażania stosowanego przez organizację, użytkownicy urządzeń zarządzanych mogą korzystać ze swojego osobistego konta Apple, zarządzanego konta Apple, obu tych kont Apple lub żadnego.
Jeśli użytkownicy korzystają z urządzeń należących do organizacji, warto rozważyć udostępnienie każdemu z nich zarządzanego konta Apple. Konto to należy do organizacji, więc pozwala zarządzać nie tylko dostępem użytkowników do usług, ale także urządzeniami, na których dany użytkownik może się logować.
Usługi iCloud
Usługi iCloud dostępne dla zarządzanego konta Apple pozwalają użytkownikom przechowywać swoje materiały, takie jak kontakty, kalendarze, dokumenty i zdjęcia, oraz synchronizować je między różnymi urządzeniami Apple. iCloud zabezpiecza przechowywane dane, szyfrując je podczas przesyłania ich przez Internet, przechowując je w postaci zaszyfrowanej oraz używając bezpiecznych tokenów do uwierzytelniania. Aby uzyskać więcej informacji na temat bezpieczeństwa iCloud, zobacz: iCloud security overview (Omówienie bezpieczeństwa iCloud) w dokumencie Bezpieczeństwo platform Apple.
Uwaga: Niektóre funkcje iCloud wymagają sieci Wi‑Fi, dostępność funkcji zależy od kraju i regionu, a w przypadku części usług dostęp jest ograniczony do 10 urządzeń z tym samym kontem Apple.
iCloud Drive
Użytkownicy mogą przechowywać swoje dokumenty i pliki na iCloud Drive, aby mieć do nich dostęp z iPhone'ów, iPadów, Maców oraz komputerów z systemem Windows, na których skonfigurowana została funkcja iCloud. Dokumenty są synchronizowane między wszystkimi urządzeniami, a gdy użytkownik wprowadzi zmiany w pliku nie mając dostępu do sieci, zostaną one automatycznie uaktualnione, gdy urządzenie połączy się z siecią.
Użytkownicy mogą także wybrać, aby zawartość folderów Biurko i Dokumenty w systemie macOS była automatycznie przechowywana na iCloud Drive, dzięki czemu jest ona dostępna na wszystkich urządzeniach danego użytkownika.
Użytkownicy mogą również współpracować nad dokumentami przechowywanymi na iCloud Drive, jeśli zostały one utworzone w Pages, Numbers, Keynote i innych aplikacjach obsługujących CloudKit. W przypadku zarządzanych kont Apple organizacje mogą definiować, czy współpraca jest możliwa tylko z użytkownikami wewnętrznymi, czy również z użytkownikami zewnętrznymi.
Pęk kluczy w iCloud
Pęk kluczy iCloud synchronizuje hasła sieci Wi-Fi i hasła witryn internetowych używane w Safari na wszystkich iPhone’ach, iPadach i Macach skonfigurowanych do korzystania z iCloud. Przechowuje również dane logowania do kont internetowych oraz ich konfiguracje, a także hasła używane w innych aplikacjach obsługujących iCloud. W pęku kluczy iCloud mogą także znajdować się zachowane przez użytkownika dane kart płatniczych, dzięki czemu Safari może wypełniać je automatycznie.
Na pęk kluczy iCloud składają się dwie usługi:
Uaktualnianie pęku kluczy na wszystkich urządzeniach
Odzyskiwanie pęku kluczy
W celu bezpiecznej wymiany rzeczy w pęku kluczy między zatwierdzonymi urządzeniami użytkownika tworzony jest i używany krąg zaufania. Nowe urządzenia dołączające do tego kręgu muszą zostać zatwierdzone przez inne urządzenie korzystające już z pęku kluczy iCloud lub przy użyciu funkcji odzyskiwania pęku kluczy iCloud. Każda synchronizowana rzecz jest szyfrowana i może zostać odszyfrowana tylko przez urządzenie należące do kręgu zaufania użytkownika. Nie jest możliwe odszyfrowanie jej przez inne urządzenia ani przez Apple.
Pęk kluczy iCloud deponuje dane pęków kluczy użytkowników na serwerach Apple w sposób uniemożliwiający odczytanie przez Apple haseł i innych zawartych danych. Nawet jeśli użytkownik ma tylko jedno urządzenie, funkcja odzyskiwania pęku kluczy zapewnia zabezpieczenie przed utratą danych. Jest to szczególnie ważne w przypadku używania losowych, silnych haseł generowanych automatycznie przez Safari, ponieważ hasła te przechowywane są tylko w pęku kluczy.
Częścią mechanizmu odzyskiwania pęku kluczy jest dodatkowe uwierzytelnienie oraz bezpieczna usługa deponowania, utworzona przez Apple specjalnie do obsługi tej funkcji. Pęk kluczy użytkownika jest szyfrowany przy użyciu silnego klucza szyfrującego, a usługa depozytowa zapewnia kopię tego klucza tylko wtedy, gdy spełniony zostanie ściśle określony zestaw warunków, a użytkownik wprowadzi hasło jednego ze swoich poprzednich urządzeń.
Ważne: Zarządzane konta Apple nie obsługują odzyskiwania pęku kluczy iCloud za pośrednictwem kontaktów odzyskiwania.
Klucze
Klucze są zaprojektowane w celu zapewnienia wygodnego i bezpiecznego mechanizmu logowania bez konieczności używania haseł. Stanowią technologię opartą na standardach, są odporne na phishing, są zawsze silne i nie wymagają wymiany haseł wspólnych.
Obsługa pęku kluczy iCloud dla zarządzanych kont Apple umożliwia organizacjom wdrażanie kluczy w celu zapewnienia pracownikom dostępu do zasobów firmowych oraz bezpiecznego synchronizowania kluczy z ich iPhone’ami, iPadami i Macami. Mechanizm zarządzania dostępem umożliwia również definiowanie wymaganego stanu zarządzania urządzeniem, aby pozwalać na dostęp do kluczy zarządzanych.
Deklaratywna konfiguracja atestacji kluczy pozwala urządzeniom zarządzanym zapewniać atestację po aprowizacji klucza dla określonej usługi w organizacji. Atestacja jest zapewniana, gdy użytkownik rejestruje klucz dla witryny lub aplikacji z domeną podaną w konfiguracji. Gdy urządzenie w bezpieczny sposób wygeneruje klucz, używa tożsamości certyfikatu zdefiniowanej w konfiguracji w celu wykonania atestacji WebAuthn w usłudze, do której uzyskiwany jest dostęp. W ten sposób usługa może zweryfikować przed przyznaniem dostępu, czy klucz został utworzony na urządzeniu zarządzanym przez organizację.
Wygenerowane klucze są automatycznie przechowywane w pęku kluczy iCloud powiązanym z zarządzanym kontem Apple. Jeśli zarządzane konto Apple nie jest dostępne, utworzenie klucza jest niemożliwe.
W celu zapewnienia użytkownikom prostego procesu logowania deweloperzy aplikacji mogą używać powiązanych domen, aby ustalać bezpiecznie powiązanie między domenami i aplikacją (oraz opcjonalnie umożliwiać konfigurowanie powiązanych domen przez rozwiązanie MDM). Jeśli funkcja ta jest dostępna, systemy iOS, iPadOS i macOS mogą automatycznie wybierać i podawać właściwy klucz, aby zapewnić bezproblemowe logowanie. Jeśli uwierzytelnianie przeprowadzane jest przy użyciu usługi innego dostawcy, zamiast tego można użyć klasy ASWebAuthenticationSession.
Aby uzyskać więcej informacji, zobacz: Konfiguracja deklaratywna atestacji klucza.
Dostęp do usług iCloud
Zalogowanie się przy użyciu zarządzanego konta Apple na ekranie Asystenta ustawień lub za pomocą pozycji menu Konto Apple u góry Ustawień (iPhone i iPad) lub Ustawień systemowych (Mac) zapewnia dostęp do wszystkich usług dostępnych dla danego konta.
Użytkownicy mogą dodawać kolejne konta (Ustawienia > Poczta > Konta na iPhonie, iPadzie i Apple Vision Pro lub Ustawienia systemowe > Konta internetowe na Macu), aby uzyskiwać dostęp do poczty (jeśli jest dostępna na danym koncie), kontaktów oraz kalendarzy przechowywanych na innym osobistym Apple ID, jak również kontaktów, kalendarzy i przypomnień powiązanych z zarządzanym kontem Apple.
Mechanizmy rejestracji urządzeń opartej o konto oraz rejestracji przez użytkownika rozszerzają listę usług dostępnych na urządzeniu z zarządzanym kontem Apple na kontakty, kalendarze, przypomnienia, notatki, iCloud Drive oraz backup w iCloud.
Zarządzanie dostępem do iCloud
Przy użyciu usługi Apple School Manager lub Apple Business Manager możesz wyłączyć określone usługi iCloud dostępne dla danego zarządzanego konta Apple. Możesz także wybrać, na których urządzeniach użytkownik może się zalogować, masz dostęp do danych zarządzanego konta Apple użytkownika, a także możesz wybrać, z kim użytkownik może się komunikować i współpracować. Jeśli użytkownik korzysta przede wszystkim ze swojego osobistego konta Apple, organizacje mogą wyłączyć określone usługi iCloud na urządzeniach zarządzanych, korzystając z mechanizmu ograniczeń. Należy pamiętać, że niektóre ograniczenia wymagają, aby urządzenie było urządzeniem nadzorowanym.