Metode de înscriere pe bază de cont cu dispozitivele Apple
Înscrierea bazată pe cont a utilizatorilor și înscrierea bazată pe cont a dispozitivelor le oferă utilizatorilor și organizațiilor o metodă securizată și fluidă de configurare a dispozitivelor Apple pentru muncă prin autentificarea cu un cont Apple gestionat.
Această abordare permite autentificarea atât a unui cont Apple gestionat, cât și a unui cont Apple personal pe același dispozitiv, oferind o separare completă a datelor de serviciu și a celor personale. Intimitatea informațiilor personale ale utilizatorilor este protejată, iar departamentul IT se ocupă de aplicațiile, configurările și conturile legate de serviciu.
Pentru a asigura această separare, au fost efectuate următoarele modificări ale modului în care sunt gestionate aplicațiile și backupurile:
Toate configurările și reglajele sunt eliminate atunci când este eliminat profilul de înscriere.
Aplicațiile gestionate sunt eliminate întotdeauna în timpul retragerii înscrierii.
Dacă instalați aplicații înainte de înscrierea într-un serviciu de gestionare a dispozitivelor, nu le puteți converti în aplicații gestionate.
Restaurarea dintr-un backup nu restaurează înscrierea în serviciul de gestionare a dispozitivelor.
Utilizatorii care se autentifică la contul lor Apple personal nu pot accepta o invitație pentru distribuirea de aplicații gestionate.
Deși puteți crea manual conturi Apple gestionate, organizațiile pot să beneficieze de integrarea cu Google Workspace, Microsoft Entra ID sau cu furnizorul lor de identitate (IdP).
Pentru informații suplimentare despre autentificarea federativă, consultați Introducere în autentificarea federativă cu Apple School Manager sau Introducere în autentificarea federativă cu Apple Business Manager.
Procesul de înscriere pe bază de cont
Pentru a înscrie un dispozitiv folosind înscrierea bazată pe cont a utilizatorilor sau a dispozitivelor, utilizatorul navighează la Configurări > General > VPN și gestionare dispozitive sau la Configurări sistem > General > Gestionare dispozitive, apoi selectează butonul „Autentificare în contul de serviciu sau de la școală”.
Este inițiat astfel un proces de înscriere într-un serviciu de gestionare a dispozitivelor în patru etape:
Detectarea serviciului: dispozitivul determină URL-ul de înscriere al serviciului de gestionare a dispozitivelor.
Autentificarea și tokenul de acces: utilizatorul furnizează acreditările pentru autorizarea înscrierii și primește un token de acces, emis pentru a permite autentificarea continuă.
Înscrierea în serviciu: profilul de înscriere este trimis pe dispozitiv și utilizatorului i se solicită să se autentifice cu contul său Apple gestionat pentru a finaliza înscrierea.
Autentificare continuă: serviciul de gestionare a dispozitivelor verifică în permanență utilizatorul autentificat folosind tokenul de acces.
Etapa 1: Detectarea serviciului
În prima etapă, detectarea serviciului încearcă să identifice URL-ul de înscriere în serviciul de gestionare a dispozitivelor. În acest scop, utilizează identificatorul introdus de utilizator (de exemplu, eliza@betterbag.com). Domeniul trebuie să fie un nume de domeniu complet calificat (FQDN), care anunță serviciul de gestionare a dispozitivelor pentru organizația utilizatorului.
Apoi au loc următoarele:
Pasul 1
Dispozitivul identifică domeniul din identificatorul furnizat (betterbag.com în exemplul de mai sus).
Pasul 2
Dispozitivul solicită resursa cunoscută din domeniul organizației (de exemplu, https://<domain>/.well-known/com.apple.remotemanagement).
Clientul include doi parametri de interogare în calea URL a solicitării HTTP GET:
user-identifier: valoarea identificatorului de cont introdus (eliza@betterbag.com în exemplul de mai sus).
model-family: familia de modele a dispozitivului (de exemplu, iPhone, iPad, Mac).
Notă: dispozitivul urmează solicitările de redirecționare HTTP 3xx, ceea ce permite găzduirea fișierului com.apple.remotemanagement propriu-zis pe alt server accesibil de către dispozitiv.
Pentru dispozitivele cu iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 sau ulterior, procesul de detectare a serviciului permite ca un dispozitiv să preia resursa cunoscută dintr-un amplasament alternativ, specificat de serviciul de gestionare a dispozitivelor atunci când este asociat cu Apple School Manager sau Apple Business Manager. Prima preferință pentru detectarea serviciului este tot resursa cunoscută din domeniul organizației. Dacă solicitarea nu are succes, dispozitivul caută apoi în Apple School Manager sau Apple Business Manager un amplasament alternativ pentru resursa cunoscută. Pentru acest proces este necesar ca Apple School Manager sau Apple Business Manager să verifice domeniul din cadrul identificatorului. Pentru mai multe informații, consultați Adăugarea și verificarea unui domeniu în Apple School Manager sau Adăugarea și verificarea unui domeniu în Apple Business Manager.
Pentru a utiliza această capacitate, serviciul de gestionare a dispozitivelor trebuie să configureze URL-ul de detectare a serviciului alternativ atunci când este asociat cu Apple School Manager sau Apple Business Manager. Când dispozitivul contactează Apple School Manager sau Apple Business Manager, tipul dispozitivului determină serviciul alocat tipului respectiv (același proces de a determina serviciul implicit pentru înscrierea automată a dispozitivelor). Dacă serviciul alocat are un URL configurat de detectare a serviciului, dispozitivul solicită apoi resursa cunoscută din amplasamentul respectiv. Pentru a configura alocarea implicită a dispozitivului, consultați Configurarea alocării implicite a dispozitivelor în Apple School Manager sau Configurarea alocării implicite a dispozitivelor în Apple Business Manager.
Resursa cunoscută poate fi găzduită și de serviciul de gestionare a dispozitivelor.
Pasul 3
Serverul care găzduiește resursa cunoscută răspunde cu un document JSON de detectare a serviciului, care corespunde schemei următoare:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Cheile de înscriere, tipurile și descrierile serviciului de gestionare a dispozitivelor se află în tabelul de mai jos. Toate cheile sunt obligatorii.
Cheie | Tip | Descriere |
|---|---|---|
Servers | Matrice | O listă cu o singură intrare. |
Version | Șir | Această cheie determină metoda de înscriere de utilizat și trebuie să fie |
BaseURL | Șir | URL-ul de înscriere al serviciului de gestionare a dispozitivelor. |
Important: Câmpul de antet Content-Type din răspunsul HTTP trebuie configurat la application/json.
Pasul 4
Dispozitivul trimite o solicitare HTTP POST la URL-ul de înscriere specificat de BaseURL.
Etapa 2: Autentificarea și tokenul de acces
Pentru a autoriza înscrierea, utilizatorul trebuie să se autentifice la serviciul de gestionare a dispozitivelor. După o autentificare cu succes, serviciul de gestionare a dispozitivelor emite un token de acces pentru dispozitiv. Dispozitivul stochează în mod securizat tokenul, pentru a-l utiliza la autorizarea solicitărilor ulterioare.
Tokenul de acces:
Este esențial atât în procesul inițial de autentificare, cât și pentru accesul continuu la resursele serviciului de gestionare a dispozitivelor
Funcționează ca o punte securizată între contul Apple gestionat al utilizatorului și serviciul de gestionare a dispozitivelor
este utilizat pentru a permite accesul continuu la resursele de lucru pentru toate înscrierile bazate pe cont
Pe iPhone, iPad și Apple Vision Pro, procesul de autentificare inițială și continuă poate fi simplificat prin utilizarea autentificării unice pentru înscriere (SSO pentru înscriere), care reduce solicitările repetate de autentificare. Pentru mai multe informații, consultați Autentificarea unică a înscrierii pentru iPhone, iPad și Apple Vision Pro.
Etapa 3: Înscrierea în serviciul de gestionare a dispozitivelor
Folosind tokenul de acces, dispozitivul se poate autentifica la serviciul de gestionare a dispozitivelor și poate accesa profilul de înscriere. Acest profil conține toate informațiile de care are nevoie dispozitivul pentru a efectua înscrierea. Pentru a finaliza înscrierea, utilizatorul trebuie să se autentifice cu succes în contul său Apple gestionat. Când înscrierea este finalizată, contul Apple gestionat se afișează proeminent în aplicațiile Configurări și Configurări sistem.
Pentru mai multe informații despre serviciile iCloud disponibile utilizatorilor, consultați Accesarea serviciilor iCloud.
Etapa 4: Autentificare continuă
După înscriere, tokenul de acces rămâne activ și este inclus în toate solicitările către serviciul de gestionare a dispozitivelor folosind antetul HTTP Authorization. Astfel, serviciul poate verifica utilizatorul în permanență, asigurându-se astfel că doar utilizatorii autorizați au în continuare acces la resursele organizației.
Tokenurile de acces expiră în general după o perioadă stabilită. Când se întâmplă acest lucru, dispozitivul îi poate solicita utilizatorului să se autentifice din nou pentru a reînnoi tokenul de acces. Revalidarea periodică contribuie la sporirea securității, lucru important atât pentru dispozitivele personale, cât și pentru cele deținute de organizație. Cu autentificarea unică pentru înscriere, reînnoirea tokenului are loc automat, prin intermediul furnizorului de identitate al organizației, asigurând un acces neîntrerupt fără a mai fi necesară o nouă autentificare.
Modul în care datele utilizatorului sunt separate de datele organizației în cazul metodelor de înscriere pe bază de cont
Când este finalizată înscrierea bazată pe cont a utilizatorilor sau înscrierea bazată pe cont a dispozitivelor, sistemul de operare creează automat pe dispozitiv chei de criptare separate. Dacă utilizatorul anulează înscrierea dispozitivului sau dacă serviciul de gestionare a dispozitivelor anulează de la distanță înscrierea acestuia, sistemul de operare distruge respectivele chei de criptare. Sistemul de operare utilizează cheile pentru a separa criptografic datele gestionate prezentate în tabelul de mai jos.
Conținut | Versiuni minime acceptate ale sistemului de operare | Descriere | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Containere pentru datele aplicațiilor gestionate | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Aplicațiile gestionate utilizează contul Apple gestionat asociat cu înscrierea în serviciul de gestionare a dispozitivelor pentru sincronizarea datelor iCloud. Sunt incluse aici aplicațiile gestionate (instalate având cheia | |||||||||
Aplicația Calendar | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Evenimentele sunt separate. | |||||||||
Articole de portchei | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Aplicația terță pentru Mac trebuie să utilizeze API‑ul portcheiului de protecție a datelor. Pentru mai multe informații, consultați variabila globală kSecUseDataProtectionKeychain pe site-ul web al dezvoltatorilor Apple. | |||||||||
Aplicația Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Fișierele atașate la Mail și corpul mesajelor e‑mail sunt separate. | |||||||||
Aplicația Notițe | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notițele sunt separate. | |||||||||
Aplicația Mementouri | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Mementourile sunt separate. | |||||||||
Pe iPhone, iPad și Apple Vision Pro, aplicațiile gestionate și documentele gestionate bazate pe web au acces la un iCloud Drive al organizației (care apare separat în aplicația Fișiere după autentificarea unui utilizator folosindu-și contul Apple gestionat). Administratorul serviciului de gestionare a dispozitivelor poate menține separat anumite documente personale și organizaționale folosind restricții specifice. Pentru mai multe informații, consultați Distribuirea aplicațiilor gestionate pe dispozitivele Apple.
Dacă un utilizator este autentificat cu un cont Apple personal și cu contul Apple gestionat, „Autentificare cu Apple” utilizează automat contul Apple gestionat pentru aplicațiile gestionate și contul Apple personal pentru aplicațiile negestionate. Când utilizează un flux de autentificare în Safari sau SafariWebView într-o aplicație gestionată, utilizatorul poate selecta și își poate introduce contul Apple gestionat pentru a asocia autentificarea cu contul său de serviciu sau de la școală.
