Registrácia užívateľa a MDM
Registrácia užívateľov je určená na nasadenie typu BYOD (bring your own device – nasadenie vlastných prinesených zariadení), kde je vlastníkom zariadenia užívateľ, nie organizácia. Pracuje s poskytovateľom identity, Google Workspace alebo nástrojmi Microsoft Entra ID a Apple School Manager alebo nástrojom Apple Business Manager a s riešením MDM tretej strany. Funguje to aj so správou zariadení v Apple Business Essentials.
Existujú štyri fázy registrácie užívateľa v riešení MDM:
Objavenie služby: Zariadenie sa identifikuje v MDM riešení.
Registrácia užívateľa: Užívateľ poskytne poskytovateľovi identity (IdP) svoje prihlasovacie údaje na autorizáciu v MDM riešení.
Token relácie: Zariadeniu sa udelí token relácie, ktorým sa povolí prebiehajúca autentifikácia.
Registrácia v MDM: Do zariadenia sa odošle registračný profil s objemami dát skonfigurovanými správcom MDM.
Registrácia užívateľa a spravované Apple účty
Registrácia užívateľa vyžaduje spravované Apple účty. Vlastní a spravuje ich organizácia a poskytuje zamestnancom prístup k určitým Apple službám. Spravované Apple účty okrem toho:
sa vytvárajú manuálne alebo automaticky pomocou federovanej autentifikácie;
sú prepojené so študentským informačným systémom (SIS) alebo sa odosielajú .csv súbory (platí len pre Apple School Manager);
je možné používať aj na prihlasovanie s priradenou rolou v rámci Apple School Managera, Apple Business Managera alebo Apple Business Essentials
Keď užívateľ odstráni profil registrácie, všetky konfiguračné profily, ich nastavenia a spravované apky založené na tomto profile registrácie, sa odstránia spolu s ním.
Registrácia užívateľa je integrovaná so spravovanými Apple účtami na vytvorenie užívateľskej identity na zariadení. Pred dokončením registrácie sa musí užívateľ úspešne overiť. Spravovaný Apple účet je možné používať spolu s osobným Apple účtom, prostredníctvom ktorého je už užívateľ prihlásený, pričom obe navzájom nekolidujú.
Registrácia užívateľa a federovaná autentifikácia
Hoci spravované Apple účty je možné vytvárať manuálne, organizácie môžu využiť synchronizáciu s IdP, Google Workspace alebo Microsoft Entra ID a funkciu Registrácia užívateľov. Ak to chcete urobiť, vo vašej organizácii musí byť najskôr postarané o:
Správa užívateľských prihlasovacích údajov s poskytovateľom identity, Google Workspace alebo Microsoft Entra ID
Ak máte lokálnu verziu Active Directory, v rámci prípravy na federovanú autentifikáciu bude potrebná ďalšia konfigurácia.
Prihlásenie vašej organizácie v Apple School Manageri, Apple Business Manageri alebo v Apple Business Essentials
Nastavenie federovanej autentifikácie v Apple School Manageri, Apple Business Manageri alebo v Apple Business Essentials
Konfigurácia riešenia MDM a jeho prepojenie s Apple School Managerom, Apple Business Managerom alebo Apple Business Essentials, alebo použitie správy zariadení, ktorá je priamo vstavaná do Apple Business Essentials
(Voliteľné) Vytvorenie spravovaných Apple účtov
Registrácia užívateľa a spravované apky (macOS)
Registrácia užívateľa pridala spravované apky do macOS (táto funkcia je možná vďaka registrácii zariadenia a automatickej registrácii zariadenia). Spravované apky, ktoré používajú CloudKit, používajú spravované Apple účty prepojené s registráciou v MDM. Správcovia MDM musia pridať kľúč InstallAsManaged do príkazu InstallApplication. Tak ako pri apkách pre iOS a iPadOS, aj tieto apky je možné automaticky odstrániť, keď sa užívateľ odregistruje z MDM.
Registrácia užívateľov a sieťová komunikácia na základe apiek
Sieťový prenos pre jednotlivé apky je v systémoch iOS 16, iPadOS 16.1 a visionOS 1.1 alebo novších k dispozícii pre VPN siete (označované ako VPN na úrovni apiek), DNS proxy servery a filtre webového obsahu pre zariadenia zaregistrované prostredníctvom registrácie užívateľov. Znamená to, že cez DNS proxy server, filter webového obsahu alebo oboje prechádzajú iba sieťové prenosy iniciované spravovanými apkami. Osobná komunikácia užívateľa zostane oddelená a nebude organizáciou filtrovaná ani presmerovaná cez proxy. Vykonáva sa to pomocou nových párov kľúč-hodnota pre nasledujúce objemy dát:
Registrácia osobných zariadení užívateľmi
V systémoch iOS 15, iPadOS 15, macOS 14 a visionOS 1.1 alebo novších môžu organizácie využívať zjednodušený proces registrácie užívateľov vstavaný priamo do apky Nastavenia, vďaka čomu bude pre užívateľov jednoduchšie zaregistrovať si svoje osobné zariadenia.
Postup je nasledujúci:
Na iPhone, iPade a Apple Vision Pro je potrebné prejsť na Nastavenia > Všeobecné > VPN a správa zariadení a vybrať tlačidlo Prihlásenie do pracovného alebo školského účtu.
Na Macu je potrebné prejsť na Nastavenia > Súkromie a bezpečnosť > Profily a vybrať tlačidlo Prihlásenie do pracovného alebo školského účtu.
Keď užívateľ zadá svoj spravovaný Apple účet, zisťovací modul služby identifikuje registračnú URL adresu riešenia MDM.
Užívateľ potom zadá užívateľské meno a heslo pridelené organizáciou. Po úspešnej autentifikácii v organizácii sa do zariadenia odošle registračný profil. Zariadeniu sa tiež udelí token relácie, ktorým sa povolí prebiehajúca autorizácia. Zariadenie potom spustí proces registrácie a vyzve užívateľa na prihlásenie pomocou spravovaného Apple účtu. Na iPhone, iPade a Apple Vision Pro je možné zjednodušiť proces autentifikácie pomocou jednorazového prihlásenia pre registráciu, ktoré obmedzí počet výziev na autentifikáciu.
Po dokončení registrácie sa zobrazí nový spravovaný účet na poprednom mieste v apke Nastavenia (iPhone, iPad a Apple Vision Pro) alebo v Systémových nastaveniach (Mac). Vďaka tomu bude mať užívateľ naďalej prístup k súborom na iCloud Drive vytvorenom pomocou osobného Apple účtu. iCloud Drive vytvorený pre organizáciu (spojený so spravovaným Apple účtom užívateľa) sa v apke Súbory zobrazuje zvlášť.
Na iPhone, iPade a Apple Vision Pro majú všetky spravované apky a spravované webové dokumenty prístup na iCloud Drive organizácie a správca riešenia MDM môže prostredníctvom jednotlivých obmedzení udržiavať a spravovať špecifické dokumenty užívateľov a organizácie oddelene. Viac informácií nájdete v téme Obmedzenia a možnosti spravovaných apiek.
Užívatelia vidia podrobné informácie o tom, ktoré funkcie ich osobného zariadenia sú spravované a koľko úložného priestoru v iCloude im organizácia poskytuje. Keďže užívateľ vlastní zariadenie, registrácia užívateľa naň môže použiť len obmedzenú zostavu objemov dát a obmedzení. Viac informácií nájdete v téme Informácie o registrácii užívateľom v MDM.
Ako spoločnosť Apple oddeľuje užívateľské dáta a dáta organizácie
Keď sa dokončí registrácia užívateľom, na zariadení sa automaticky vytvoria samostatné šifrovacie kľúče. Ak je zariadenie odregistrované užívateľom alebo na diaľku pomocou MDM, tieto šifrovacie kľúče sú bezpečne zničené. Tieto kľúče sa používajú na kryptografické oddelenie spravovaných dát uvedených nižšie:
Kontajnery s dátami z apiek: iPhone, iPad, Mac a Apple Vision Pro
Kalendár: iPhone, iPad, Mac a Apple Vision Pro
Na zariadeniach musí bežať iOS 16, iPadOS 16.1, macOS 13 a visionOS 1.1 alebo novší.
Položky kľúčenky: iPhone, iPad, Mac a Apple Vision Pro
Poznámka: Apka pre Mac tretej strany musí používať API s kľúčenkou na ochranu dát. Viac informácií nájdete v dokumentácii pre vývojárov Apple v časti kSecUseDataProtectionKeychain.
Prílohy a telo mailových správ: iPhone, iPad, Mac a Apple Vision Pro
Poznámky: iPhone, iPad, Mac a Apple Vision Pro
Pripomienky: iPhone, iPad, Mac a Apple Vision Pro
Na zariadeniach musí bežať systém iOS 17, iPadOS 17, macOS 14 a visionOS 1.1 alebo novší.
Ak je používateľ prihlásený pod osobným Apple účtom a spravovaným Apple účtom, prihlásenie cez Apple automaticky použije spravovaný Apple účet pre spravované apky a osobný Apple účet pre nespravované apky. Pri použití prihlasovacieho procesu v Safari alebo SafariWebView v rámci spravovanej apky môže užívateľ vybrať a zadať svoj spravovaný Apple účet a priradiť tak prihlásenie k svojmu pracovnému účtu.
Systémoví správcovia môžu spravovať len účty, nastavenia a informácie organizácie získané z riešenia MDM, nemôžu spravovať osobné účty užívateľov. V konečnom dôsledku rovnaké funkcie, ktoré chránia dáta v spravovaných apkách vlastnených organizáciami, zároveň bránia prenikaniu osobného obsahu užívateľa do firemného dátového prúdu.
Dostupné cez MDM | Nedostupné cez MDM |
|---|---|
Konfigurácia účtov | Zobrazenie osobných údajov, údajov o využití a protokolov |
Prístup k inventáru spravovaných apiek | Prístup k inventáru osobných apiek |
Odstránenie len spravovaných dát | Odstraňovanie osobných údajov |
Inštalácia a konfigurácia apiek | Prevzatie správy osobnej apky |
Vyžadovanie hesla | Vyžadovanie komplexného kódu alebo hesla |
Presadzovanie zadaných obmedzení | Prístup k polohe zariadenia |
Konfigurácia VPN na úrovni apiek | Prístup k unikátnym identifikátorom zariadení |
| Vzdialené vyčistenie celého zariadenia |
| Správa zámku aktivácie |
| Prístup k stavu roamingu |
| Zapnutie režimu Stratené |
Poznámka: Na iPhone a iPade môžu správcovia vyžadovať minimálne šesťmiestne kódy a zabrániť užívateľom v nastavení jednoduchých kódov (napríklad 123456 alebo abcdef), ale nemôžu vyžadovať používanie zložitých znakov a hesiel.