Metode de înscriere pe bază de cont cu dispozitivele Apple
Înscrierea bazată pe cont a utilizatorilor și înscrierea bazată pe cont a dispozitivelor le oferă utilizatorilor și organizațiilor o metodă securizată și fluidă de configurare a dispozitivelor Apple pentru muncă prin autentificarea cu un cont Apple gestionat.
Această abordare permite autentificarea atât a unui cont Apple gestionat, cât și a unui cont Apple personal pe același dispozitiv, oferind o separare completă a datelor de serviciu și a celor personale. Intimitatea informațiilor personale ale utilizatorilor este protejată, iar departamentul IT se ocupă de aplicațiile, configurările și conturile legate de serviciu.
Pentru a asigura această separare, au fost efectuate următoarele modificări ale modului în care sunt gestionate aplicațiile și backupurile:
Toate configurările și reglajele sunt eliminate atunci când este eliminat profilul de înscriere.
Aplicațiile gestionate sunt eliminate întotdeauna în timpul retragerii înscrierii.
Aplicațiile instalate înainte de înscrierea într-o soluție de gestionare a dispozitivelor mobile (MDM) nu pot fi convertite în aplicații gestionate.
Restaurarea dintr-un backup nu restaurează înscrierea MDM.
Utilizatorii care se autentifică la contul lor Apple personal nu pot accepta o invitație pentru distribuirea de aplicații gestionate.
Deși conturile Apple gestionate pot fi create manual, organizațiile pot să beneficieze de integrarea cu un IdP, Google Workspace sau Microsoft Entra ID.
Pentru informații suplimentare despre autentificarea federativă, consultați Introducere în autentificarea federativă cu Apple School Manager sau Introducere în autentificarea federativă cu Apple Business Manager.
Procesul de înscriere pe bază de cont
Pentru a înscrie un dispozitiv folosind înscrierea bazată pe cont a utilizatorilor sau a dispozitivelor, utilizatorul navighează la Configurări > General > VPN și gestionare dispozitive sau la Configurări sistem > General > Gestionare dispozitive, apoi selectează butonul „Autentificare în contul de serviciu sau de la școală”.
Este inițiat astfel un proces de înscriere în MDM în patru etape:
Detectarea serviciului: dispozitivul determină URL-ul de înscriere al soluției MDM.
Autentificarea și tokenul de acces: utilizatorul furnizează acreditările pentru autorizarea înscrierii și primește un token de acces, emis pentru a permite autentificarea continuă.
Înscrierea în MDM: profilul de înscriere este trimis pe dispozitiv și utilizatorului i se solicită să se autentifice cu contul său Apple gestionat pentru a finaliza înscrierea.
Autentificare continuă: soluția MDM verifică în permanență utilizatorul autentificat folosind tokenul de acces.
Etapa 1: Detectarea serviciului
În prima etapă, detectarea serviciului încearcă să identifice URL-ul de înscriere al soluției MDM. În acest scop, utilizează identificatorul introdus de utilizator (de exemplu, eliza@betterbag.com). Domeniul trebuie să fie un nume de domeniu complet calificat (FQDN), care anunță serviciul MDM pentru organizația utilizatorului.
Apoi au loc următoarele:
Pasul 1
Dispozitivul identifică domeniul din identificatorul furnizat (betterbag.com în exemplul de mai sus).
Pasul 2
Dispozitivul solicită resursa cunoscută din domeniul organizației (de exemplu, https://<domain>/.well-known/com.apple.remotemanagement).
Clientul include doi parametri de interogare în calea URL a solicitării HTTP GET:
user-identifier: valoarea identificatorului de cont introdus (eliza@betterbag.com în exemplul de mai sus).
model-family: familia de modele a dispozitivului (de exemplu, iPhone, iPad, Mac).
Notă: dispozitivul urmează solicitările de redirecționare HTTP 3xx, ceea ce permite găzduirea fișierului com.apple.remotemanagement propriu-zis pe alt server accesibil de către dispozitiv.
Pentru dispozitivele cu iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 sau ulterior, procesul de detectare a serviciului permite ca un dispozitiv să preia resursa cunoscută dintr-un amplasament alternativ, specificat de soluția MDM asociată cu Apple School Manager sau Apple Business Manager. Prima preferință pentru detectarea serviciului este tot resursa cunoscută din domeniul organizației. În cazul unui eșec al solicitării, dispozitivul caută apoi în Apple School Manager sau Apple Business Manager un amplasament alternativ pentru resursa cunoscută. Pentru acest proces este necesar ca domeniul utilizat în identificator să fie verificat în Apple School Manager sau Apple Business Manager. Pentru mai multe informații, consultați Adăugarea și verificarea unui domeniu în Apple School Manager sau Adăugarea și verificarea unui domeniu în Apple Business Manager.
Pentru a utiliza această capacitate, URL-ul alternativ de detectare a serviciului trebuie configurat de soluția MDM asociată cu Apple Business Manager și Apple School Manager. Când dispozitivul contactează Apple School Manager sau Apple Business Manager, tipul dispozitivului este utilizat pentru a determina soluția MDM alocată tipului respectiv (același proces utilizat pentru a determina soluția MDM implicită pentru înscrierea automată a dispozitivelor). Dacă soluția MDM alocată a configurat un URL de detectare a serviciului, dispozitivul solicită apoi resursa cunoscută din amplasamentul respectiv. Pentru a configura alocarea implicită a dispozitivului, consultați Configurarea alocării implicite a dispozitivelor în Apple School Manager sau Configurarea alocării implicite a dispozitivelor în Apple Business Manager.
Resursa cunoscută poate fi găzduită și de soluția MDM.
Pasul 3
Serverul care găzduiește resursa cunoscută răspunde cu un document JSON de detectare a serviciului, care corespunde schemei următoare:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Cheile de înscriere în MDM, tipurile și descrierile se află în tabelul de mai jos. Toate cheile sunt obligatorii.
Cheie | Tip | Descriere |
|---|---|---|
Servers | Matrice | O listă cu o singură intrare. |
Version | Șir | Această cheie determină metoda de înscriere de utilizat și trebuie să fie |
BaseURL | Șir | URL-ul de înscriere al soluției MDM. |
Important: Câmpul de antet Content-Type din răspunsul HTTP trebuie configurat la application/json.
Pasul 4
Dispozitivul trimite o solicitare HTTP POST la URL-ul de înscriere specificat de BaseURL.
Etapa 2: Autentificarea și tokenul de acces
Pentru a autoriza înscrierea, utilizatorul trebuie să se autentifice la soluția MDM. După o autentificare cu succes, soluția MDM emite un token de acces pentru dispozitiv. Dispozitivul stochează în mod securizat tokenul, pentru a-l utiliza la autorizarea solicitărilor ulterioare.
Tokenul de acces:
Este esențial atât în procesul inițial de autentificare, cât și pentru accesul continuu la resursele MDM
Funcționează ca o punte securizată între contul Apple gestionat al utilizatorului și soluția MDM
este utilizat pentru a permite accesul continuu la resursele de lucru pentru toate înscrierile bazate pe cont
Pe iPhone, iPad și Apple Vision Pro, procesul de autentificare inițială și continuă poate fi simplificat prin utilizarea autentificării unice pentru înscriere (SSO pentru înscriere), care reduce solicitările repetate de autentificare. Pentru mai multe informații, consultați Autentificarea unică a înscrierii pentru iPhone, iPad și Apple Vision Pro.
Etapa 3: Înscrierea în MDM
Folosind tokenul de acces, dispozitivul se poate autentifica la soluția MDM și poate accesa profilul de înscriere MDM. Acest profil conține toate informațiile de care are nevoie dispozitivul pentru a efectua înscrierea. Pentru a finaliza înscrierea, utilizatorul trebuie să se autentifice cu succes în contul său Apple gestionat. Când înscrierea este finalizată, contul Apple gestionat este afișat proeminent în aplicațiile Configurări și Configurări sistem.
Pentru mai multe informații despre serviciile iCloud disponibile utilizatorilor, consultați Accesarea serviciilor iCloud.
Etapa 4: Autentificare continuă
După înscriere, tokenul de acces rămâne activ și este inclus în toate solicitările către soluția MDM folosind antetul HTTP Authorization. Astfel, soluția MDM poate verifica utilizatorul în permanență, asigurându-se astfel că doar utilizatorii autorizați au în continuare acces la resursele organizației.
Tokenurile de acces expiră în general după o perioadă stabilită. Când se întâmplă acest lucru, dispozitivul îi poate solicita utilizatorului să se autentifice din nou pentru a reînnoi tokenul de acces. Revalidarea periodică contribuie la sporirea securității, lucru important atât pentru dispozitivele personale, cât și pentru cele deținute de organizație. Cu autentificarea unică pentru înscriere, reînnoirea tokenului are loc automat, prin intermediul furnizorului de identitate al organizației, asigurând un acces neîntrerupt fără a mai fi necesară o nouă autentificare.
Modul în care datele utilizatorului sunt separate de datele organizației în cazul metodelor de înscriere pe bază de cont
Când este finalizată înscrierea bazată pe cont a utilizatorilor sau înscrierea bazată pe cont a dispozitivelor, pe dispozitiv sunt create automat chei de criptare separate. Dacă înscrierea dispozitivului este anulată de către utilizator sau de la distanță, utilizând MDM, cheile de criptare respective sunt distruse în mod securizat. Cheile utilizate pentru a separa criptografic datele gestionate sunt prezentate în tabelul de mai jos.
Conținut | Versiuni minime acceptate ale sistemului de operare | Descriere | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Containere pentru datele aplicațiilor gestionate | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Aplicațiile gestionate utilizează contul Apple gestionat asociat cu înscrierea MDM pentru sincronizarea datelor iCloud. Sunt incluse aici aplicațiile gestionate (instalate având cheia | |||||||||
Aplicația Calendar | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Evenimentele sunt separate. | |||||||||
Articole de portchei | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Aplicația terță pentru Mac trebuie să utilizeze API‑ul portcheiului de protecție a datelor. Pentru mai multe informații, consultați variabila globală kSecUseDataProtectionKeychain pe site-ul web al dezvoltatorilor Apple. | |||||||||
Aplicația Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Fișierele atașate la Mail și corpul mesajelor e‑mail sunt separate. | |||||||||
Aplicația Notițe | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notițele sunt separate. | |||||||||
Aplicația Mementouri | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Mementourile sunt separate. | |||||||||
Pe iPhone, iPad și Apple Vision Pro, aplicațiile gestionate și documentele gestionate bazate pe web au acces la iCloud Drive-ul organizației (care apare separat în aplicația Fișiere după autentificarea unui utilizator folosindu-și contul Apple gestionat). Administratorul MDM poate menține separat anumite documente personale și organizaționale folosind restricții specifice. Pentru mai multe informații, consultați Restricțiile și capabilitățile aplicațiilor gestionate.
Dacă un utilizator este autentificat cu un cont Apple personal și cu contul Apple gestionat, „Autentificare cu Apple” utilizează automat contul Apple gestionat pentru aplicațiile gestionate și contul Apple personal pentru aplicațiile negestionate. Când utilizează un flux de autentificare în Safari sau SafariWebView într-o aplicație gestionată, utilizatorul poate selecta și își poate introduce contul Apple gestionat pentru a asocia autentificarea cu contul său de serviciu sau de la școală.
