Métodos de registo com base em contas com dispositivos Apple
O registo de utilizadores e o registo de dispositivos com base em contas oferece uma forma simples e segura de os utilizadores e organizações configurarem os dispositivos Apple para o trabalho ao iniciarem sessão com uma conta Apple gerida.
Esta abordagem permite que uma conta Apple gerida e uma conta Apple pessoal tenham sessão iniciada no mesmo dispositivo, com separação total entre os dados de trabalho e pessoais. Os utilizadores mantêm a privacidade das informações pessoais e a IT suporta aplicações, definições e contas relacionadas com trabalho.
Para suportar esta separação, foram feitas as seguintes alterações em relação à forma como as aplicações e cópias de segurança são tratadas:
Todas as configurações e definições são removidas quando o perfil de registo é removido.
As aplicações geridas são sempre removidas durante a anulação do registo.
Se instalar aplicações antes do registo num serviço de gestão de dispositivos, não pode convertê-las para que se tornem aplicações geridas.
Restaurar a partir de uma cópia de segurança não restaura o registo no serviço de gestão de dispositivos.
Os utilizadores que iniciem sessão com a sua conta Apple pessoal não podem aceitar um convite para a distribuição de aplicações geridas.
Embora possa criar contas Apple geridas manualmente, as organizações podem beneficiar da integração com o Google Workspace, o Microsoft Entra ID ou o respetivo fornecedor de identidade (IdP).
Encontrará mais informação acerca da autenticação federada em Introdução à autenticação federada com o Apple School Manager ou Introdução à autenticação federada com o Apple Business Manager.
Processo de registo com base em contas
Para registar um dispositivo usando o registo do utilizador com base em contas ou o registo do dispositivo com base em contas, o utilizador navega para Definições > Geral > VPN e gestão de dispositivos ou Definições do Sistema > Geral > Gestão de dispositivos e, depois, seleciona o botão “Iniciar sessão na conta da escola ou do trabalho”.
Isto inicia um processo de quatro fases para efetuar o registo no serviço de gestão de dispositivos:
Deteção de serviços: o dispositivo determina o URL de registo do serviço de gestão de dispositivos.
Autenticação e token de acesso: o utilizador fornece credenciais para autorizar o registo e obter um token de acesso emitido para autenticação contínua.
Registo no serviço: o perfil de registo é enviado para o dispositivo e o utilizador tem de iniciar sessão com a respetiva conta Apple gerida para concluir o registo.
Autenticação contínua: o serviço de gestão de dispositivos verifica o utilizador que tem sessão iniciada de forma contínua usando o token de acesso.
Fase 1: Deteção de serviços
No primeiro passo, a deteção de serviços tenta identificar o URL de registo do serviço de gestão de dispositivos. Para tal, usa o identificador digitado pelo utilizador (por exemplo, carla@betterbag.com). O domínio deve ser um nome de domínio totalmente qualificado que anuncia o serviço de gestão de dispositivos para a organização do utilizador.
Depois, acontece o seguinte:
Passo 1
O dispositivo identifica o domínio no identificador fornecido (no exemplo acima, betterbag.com).
Passo 2
O dispositivo solicita o recurso conhecido do domínio da organização (por exemplo, https://<domain>/.well-known/com.apple.remotemanagement.
O cliente inclui dois parâmetros de consulta no caminho de URL do pedido HTTP GET:
user-identifier: o valor do identificador de conta fornecido (no exemplo acima, carla@betterbag.com).
model-family: a família de modelo do dispositivo (por exemplo, iPhone, iPad, Mac).
Nota: O dispositivo segue pedidos de reencaminhamento HTTP 3xx, o que permite que o ficheiro com.apple.remotemanagement seja alojado noutro servidor que esteja acessível ao dispositivo.
Para dispositivos com o iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 ou posterior, o processo de deteção de serviços permite que um dispositivo obtenha o recurso conhecido numa localização alternativa especificada pelo serviço de gestão de dispositivos associado ao Apple School Manager ou Apple Business Manager. A primeira preferência da deteção de serviços continua a ser o recurso conhecido no domínio da organização. Se o pedido falhar, o dispositivo consulta o Apple School Manager ou Apple Business Manager para obter uma localização alternativa do recurso conhecido. Este processo requer que o Apple School Manager ou Apple Business Manager verifique o domínio dentro do identificador. Encontrará mais informação em Adicionar e verificar um domínio no Apple School Manager ou Adicionar e verificar um domínio no Apple Business Manager.
Para usar esta funcionalidade, o serviço de gestão de dispositivos tem de configurar o URL de deteção de serviços alternativo quando está associado ao Apple Business Manager e Apple School Manager. Quando o dispositivo acede ao Apple School Manager ou Apple Business Manager, o tipo de dispositivo determina o serviço atribuído a esse tipo — o mesmo processo para determinar o serviço predefinido para o registo automático de dispositivos. Se o serviço atribuído tiver configurado um URL de deteção de serviços, o dispositivo avança com o pedido do recurso conhecido dessa localização. Para definir a atribuição de dispositivos predefinida, consulte Definir a atribuição de dispositivos predefinida no Apple School Manager ou Definir a atribuição de dispositivos predefinida no Apple Business Manager.
O serviço de gestão de dispositivos também pode alojar o recurso conhecido.
Passo 3
O servidor que aloja o recurso conhecido responde com um documento JSON de deteção de serviços em conformidade com a seguinte estrutura:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}As chaves de registo do gestão de dispositivos, os tipos e as descrições encontram-se na tabela abaixo. Todas as chaves são obrigarórias.
Chave | Tipo | Description (Descrição) |
|---|---|---|
Servidores | Sequência | Uma lista com uma única entrada. |
Version (Versão) | Cadeia | Esta chave determina o método de registo a usar e deve ser |
BaseURL | Cadeia | O URL de registo do serviço de gestão de dispositivos. |
Importante: O servidor deve garantir que o campo de cabeçalho Content-Type na resposta HTTP está definido como application/json.
Passo 4
O dispositivo envia um pedido HTTP POST ao URL de registo especificado pelo BaseURL.
Fase 2: Autenticação e token de acesso
Para autorizar o registo, é necessário que o utilizador faça a autenticação com o serviço de gestão de dispositivos. Após a autenticação bem-sucedida, o serviço de gestão de dispositivos emite um token de acesso para o dispositivo. O dispositivo protege de forma segura o token para usar aquando da autorização dos pedidos subsequentes.
O token de acesso:
é central ao processo de autenticação inicial e ao acesso contínuo para recursos de serviço de gestão de dispositivos;
atua como ponte segura entre a conta Apple gerida do utilizador e o serviço de gestão de dispositivos;
é usado para permitir o acesso contínuo a recursos de trabalho para todos os registos com base em contas.
No iPhone, iPad e Apple Vision Pro, o processo de autenticação inicial e contínuo pode ser agilizado com o início de sessão único de registo para reduzir pedidos de autenticação repetidos. Encontrará mais informação em Início de sessão único de registo para iPhone, iPad e Apple Vision Pro.
Fase 3: Registo no serviço de gestão de dispositivos
Usando o token de acesso, o dispositivo pode fazer a autenticação com o serviço de gestão de dispositivos e aceder ao perfil de registo. Este perfil contém todas as informações necessárias para que o dispositivo efetue o registo. Para concluir o registo, o utilizador deve iniciar sessão na respetiva conta Apple gerida. Após a conclusão do registo, a conta Apple gerida é apresentada em destaque na aplicação Definições e nas Definições do Sistema.
Encontrará mais informação sobre que serviços iCloud estão disponíveis em Aceder aos serviços iCloud.
Fase 4: Autenticação contínua
Após o registo, o token de acesso mantém-se ativado e é incluído em todos os pedidos ao serviço de gestão de dispositivos usando o cabeçalho HTTP de autorização. Isto permite que o serviço verifique continuamente o utilizador e ajuda a garantir que apenas os utilizadores autorizados têm acesso aos recursos organizacionais.
Normalmente, os tokens de acesso expiram após um período definido. Quando isto acontece, o dispositivo pode pedir ao utilizador que se autentique novamente para renovar o token de acesso. A revalidação periódica ajuda a aumentar a segurança, o que é importante tanto para dispositivos pessoais como para dispositivos detidos pela organização. Com o início de sessão de registo, a renovação do token ocorre automaticamente através do fornecedor de identidade da organização, garantindo o acesso ininterrupto sem necessidade de nova autenticação.
A forma como os dados de utilizador são separados dos dados de organização com métodos de registo com base em contas
Quando o registo do utilizador com base em contas ou o registo do dispositivo com base em contas está concluído, o sistema operativo cria automaticamente chaves de cifragem separadas no dispositivo. Se o utilizador anular o registo do dispositivo, ou se o serviço de gestão de dispositivo anular o registo remotamente, o sistema operativo destrói essas chaves de cifragem. O sistema optativo usa as chaves para separar criptograficamente os dados geridos indicados nesta tabela.
Conteúdo | Versões de sistemas operativos mínimos compatíveis | Description (Descrição) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Contentores de dados de aplicação gerida | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | As aplicações geridas usam a conta Apple gerida associada ao registo do serviço de gestão de dispositivos para a sincronização de dados de iCloud. Isto inclui aplicações geridas (instaladas com a chave | |||||||||
Aplicação Calendário | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Os eventos são separados. | |||||||||
Elementos do porta‑chaves | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | a aplicação Mac de terceiros tem de usar a API de porta-chaves de proteção de dados. Encontrará mais informação em variável global kSecUseDataProtectionKeychain no site da Apple para Programadores. | |||||||||
Aplicação Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Os anexos do Mail e o corpo da mensagem de e‑mail são separados. | |||||||||
Aplicação Notas | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | As notas são separadas. | |||||||||
Aplicação Lembretes | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Os lembretes são separados. | |||||||||
No iPhone, iPad e Apple Vision Pro, as aplicações geridas e documentos web geridos têm acesso a uma iCloud Drive da organização (que aparece em separado na aplicação Ficheiros depois de um utilizador iniciar sessão com a respetiva conta Apple gerida). O administrador do serviço de gestão de dispositivos pode ajudar a manter documentos pessoais e organizacionais específicos em separado. Encontrará mais informação em Distribuir aplicações geridas a dispositivos Apple.
Se um utilizador tiver sessão iniciada com um ID Apple pessoal e com uma conta Apple gerida, “Iniciar sessão com a Apple” usa automaticamente a conta Apple gerida para aplicações geridas e a conta Apple pessoal para aplicações não geridas. Ao usar um processo de início de sessão no Safari ou em SafariWebView numa aplicação gerida, o utilizador pode selecionar e introduzir a conta Apple gerida para associar o início de sessão com a conta de trabalho.
