Registo do utilizador e MDM
O registo do utilizador foi concebido para implementações BYOD — ou traga o seu próprio dispositivo — em que o utilizador, e não a organização, é proprietário do dispositivo. Funciona com um fornecedor de identidade, o Google Workspace ou o Microsoft Entra ID e o Apple School Manager ou o Apple Business Manager e uma solução MDM de terceiros. Também funciona com a gestão de dispositivos no Apple Business Essentials.
As quatro fases do registo do utilizador na solução MDM são as seguintes:
Deteção de serviços: o dispositivo identifica-se perante a solução MDM.
Registo do utilizador: o utilizador fornece credenciais a um Fornecedor de Identidade (IdP) para autorização para se registar na solução MDM.
Token de sessão: é emitido um token de sessão para o dispositivo para permitir a autenticação contínua.
Registo na solução MDM: o perfil de registo é enviado para o dispositivo com cargas úteis configuradas pelo administrador de MDM.
Registo de utilizadores e contas Apple geridas
O registo do utilizadores requer contas Apple geridas. Estes são detidos e geridos por uma organização e dão acesso aos funcionários a determinados serviços Apple. Além disso, contas Apple geridas:
são criados de forma manual, ou automática através de autenticação federada;
são integradas com um Sistema de Informações de Alunos (SIS) ou ficheiros .csv carregados (só Apple School Manager);
também podem ser usados para iniciar sessão com uma função atribuída no Apple School Manager, Apple Business Manager ou Apple Business Essentials.
Quando um utilizador remove um perfil de registo, todos os perfis de configuração, as suas definições e as aplicações geridas com base nesse perfil de registo são removidos também.
O registo do utilizador é integrado nas contas Apple geridas para estabelecer uma identidade de utilizador no dispositivo. O utilizador tem de se autenticar com sucesso para que o registo seja concluído. A conta Apple gerida pode ser usada em conjunto com a conta Apple com a qual o utilizador já tenha iniciado sessão; as duas não interagem entre si.
Registo do utilizador e autenticação federada
Embora as contas Apple geridas possam ser criadas manualmente, as organizações podem beneficiar da sincronização com um IdP, o Google Workspace ou o Microsoft Entra ID e o registo do utilizador. Para tal, primeiro é necessário a organização:
gerir as credenciais do utilizador com um IdP, o Google Workspace ou o Microsoft Entra ID;
Se tiver uma versão do Active Directory nas instalações, é necessário efetuar uma configuração adicional em preparação para a autenticação federada;
inscrever a sua organização no Apple School Manager, Apple Business Manager ou Apple Business Essentials;
configurar a autenticação federada no Apple School Manager, Apple Business Manager ou Apple Business Essentials;
configurar uma solução MDM e associá-la ao Apple School Manager, Apple Business Manager ou Apple Business Essentials, ou usar a gestão de dispositivos integrada no Apple Business Essentials;
(opcional) criar contas Apple geridas.
Registo do utilizador e aplicações geridas (macOS)
O registo do utilizador adicionou aplicações geridas ao macOS (esta funcionalidade já foi possível com o registo do dispositivo e o registo automático de dispositivos). As aplicações geridas que usam CloudKit usam a conta Apple gerida associada ao registo na MDM. Os administradores de MDM têm de adicionar a chave InstallAsManaged ao comando InstallApplication. À semelhança das aplicações iOS e iPadOS, estas aplicações podem ser removidas automaticamente quando um utilizador anula o registo na MDM.
Registo do utilizador e ligações em rede por aplicação
No iOS 16, iPadOS 16.1 e visionOS 1.1 ou posterior, as ligações em rede por aplicação estão disponíveis para VPN (conhecida como VPN por aplicação), proxies de DNS e filtros de conteúdo web para dispositivos registados com o registo do utilizador. Isto significa que apenas o tráfego de rede iniciado por aplicações geridas é passado pelo proxy de DNS, pelo filtro de conteúdo web ou por ambos. O tráfego pessoal de um utilizador mantém-se separado e não será filtrado nem passado pelo proxy por uma organização. Isto é realizado através da utilização de novos pares de valores chave para as cargas úteis a seguir descritas:
A forma como os utilizadores registam os seus dispositivos pessoais
No iOS 15, iPadOS 15, macOS 14 e visionOS 1.1 ou posterior, as organizações podem usar um processo agilizado de registo do utilizador, integrado na aplicação Definições, para simplificar o registo do utilizador nos seus dispositivos pessoais.
Para isso:
no iPhone, iPad e Apple Vision Pro, o utilizador navega para Definições > Geral > VPN e gestão de dispositivos e, depois, toca no botão “Iniciar sessão na conta da escola ou do trabalho”;
no Mac, o utilizador navega para Definições > Privacidade e segurança > Perfis e, depois, seleciona o botão “Iniciar sessão na conta da escola ou do trabalho”.
Conforme digitam a conta Apple gerida, a deteção de serviços identifica o URL de registo na solução MDM.
O utilizador depois digita o seu nome de utilizador e palavra‑passe da organização. Após a autenticação bem-sucedida da organização, o perfil de registo é enviado para o dispositivo. É também emitido um token de sessão para o dispositivo para permitir a autorização contínua. O dispositivo inicia o processo de registo e pede ao utilizador para iniciar sessão com a sua conta Apple gerida. No iPhone, iPad e Apple Vision Pro, o processo de autenticação pode ser agilizado com o início de sessão único de registo para reduzir pedidos de autenticação repetidos.
Quando o registo estiver concluído, a nova conta gerida é apresentada em destaque na aplicação Definições (iPhone, iPad e Apple Vision Pro) e nas Definições do Sistema (Mac). Isso permite que os utilizadores continuem a aceder aos ficheiros no iCloud Drive pessoal criado com a conta Apple. O iCloud Drive da organização (associado à conta Apple gerida do utilizador) aparece em separado na aplicação Ficheiros.
No iPhone, iPad e Apple Vision Pro, as aplicações geridas e documentos web geridos têm acesso a iCloud Drive da organização, mas o administrador de MDM pode ajudar a manter documentos pessoais e organizacionais específicos em separado. Encontrará informação adicional em Restrições e capacidades das aplicações geridas.
Os utilizadores podem ver detalhes acerca do que está a ser gerido no seu dispositivo pessoal e a quantidade de espaço de armazenamento em iCloud que é fornecido pela sua organização. Visto que o utilizador controla o dispositivo, o registo do utilizador só pode ser aplicado a um conjunto limitado de cargas úteis e restrições que lhe podem ser aplicadas. Encontrará informação adicional em Informação de MDM de registo do utilizador.
A forma como a Apple separa os dados de utilizador dos dados de organização
Quando o registo do utilizador está concluído, são criadas automaticamente chaves de cifragem separadas no dispositivo. se o registo do dispositivo for anulado pelo utilizador ou remotamente através da solução MDM, essas chaves de cifragem são destruídas de forma segura. As chaves estão a ser usados para separar criptograficamente os dados geridos indicados abaixo:
Contentores de dados de aplicação: iPhone, iPad, Mac e Apple Vision Pro
Calendário: iPhone, iPad, Mac e Apple Vision Pro
Os dispositivos têm de ter o iOS 16, iPadOS 16.1, macOS 13 e visionOS 1.1 ou posterior.
Elementos do porta‑chaves: iPhone, iPad, Mac e Apple Vision Pro
Nota: a aplicação Mac de terceiros tem de usar a API de porta-chaves de proteção de dados. Encontrará informação adicional na documentação da Apple para programadores kSecUseDataProtectionKeychain.
Anexos do Mail e o corpo da mensagem de e‑mail: iPhone, iPad, Mac e Apple Vision Pro
Notas: iPhone, iPad, Mac e Apple Vision Pro
Lembretes: iPhone, iPad, Mac e Apple Vision Pro
Os dispositivos têm de ter o iOS 17, iPadOS 17, macOS 14 e visionOS 1.1 ou posterior.
Se um utilizador tiver sessão iniciada com um ID Apple pessoal e com uma conta Apple gerida, “Iniciar sessão com a Apple” usa automaticamente a conta Apple gerida para aplicações geridas e a conta Apple pessoal para aplicações não geridas. Ao usar um processo de início de sessão no Safari ou em SafariWebView numa aplicação gerida, o utilizador pode selecionar e introduzir a conta Apple gerida para associar o início de sessão com a conta de trabalho.
Os administradores do sistema só podem gerir contas, definições e informações da organização fornecidas com o serviço MDM, nunca a conta pessoal de um utilizador. Na verdade, as mesmas funcionalidades que mantêm os dados seguros em aplicações geridas que são propriedade da organização também impedem que os conteúdos pessoais de um utilizador entrem no fluxo de dados da empresa.
O MDM pode | O MDM não pode |
|---|---|
Configurar contas | Consultar informações pessoais, dados de utilização ou registos |
Aceder a inventário de aplicações geridas | Aceder a inventário de aplicações pessoais |
Remover apenas dados geridos | Recuperar dados pessoais |
Instalar e configurar aplicações | Assumir a gestão de uma aplicação pessoal |
Pedir um código | Pedir um código ou uma palavra-passe complexa |
Aplicar determinadas restrições | Aceder à localização do dispositivo |
Configurar VPN por aplicação | Aceder a identificadores únicos de dispositivo |
| Eliminar remotamente todo o dispositivo |
| Gerir o bloqueio de ativação |
| Aceder ao estado do roaming |
| Ativar o modo Perdido |
Nota: para o iPhone e iPad, os administradores podem pedir códigos com um mínimo de seis caracteres e impedir os utilizadores de usarem códigos simples (por exemplo, “123456” ou “abcdef”), mas não podem pedir caracteres nem palavras-passe complexas.