Registrácia užívateľa a MDM
Registrácia užívateľov je určená na nasadenie typu BYOD (bring your own device – nasadenie vlastných prinesených zariadení), kde je vlastníkom zariadenia užívateľ, nie organizácia.
Existujú štyri fázy registrácie užívateľa v riešení MDM:
Objavenie služby: Zariadenie sa identifikuje v MDM riešení.
Registrácia užívateľa: Užívateľ poskytne poskytovateľovi identity (IdP) svoje prihlasovacie údaje na autorizáciu v MDM riešení.
Token relácie: Zariadeniu sa udelí token relácie, ktorým sa povolí prebiehajúca autentifikácia.
Registrácia v MDM: Do zariadenia sa odošle registračný profil s objemami dát skonfigurovanými správcom MDM.
Registrácia užívateľa a spravované Apple ID
Registrácia užívateľa vyžaduje spravované Apple ID. Vlastní a spravuje ich organizácia a poskytuje zamestnancom prístup k určitým Apple službám. Spravované Apple IDs okrem toho:
sa vytvárajú manuálne alebo automaticky pomocou federovanej autentifikácie;
sú prepojené so študentským informačným systémom (SIS) alebo sa odosielajú .csv súbory (platí len pre Apple School Manager);
je možné používať aj na prihlasovanie s priradenou rolou v rámci Apple School Managera, Apple Business Managera alebo Apple Business Essentials
Keď užívateľ odstráni profil registrácie, všetky konfiguračné profily, ich nastavenia a spravované apky založené na tomto profile registrácie, sa odstránia spolu s ním.
Registrácia užívateľa je integrovaná so spravovanými účtami Apple ID na vytvorenie užívateľskej identity na zariadení. Pred dokončením registrácie sa musí užívateľ úspešne overiť. Spravované Apple ID je možné používať spolu s osobným Apple ID, prostredníctvom ktorého je už užívateľ prihlásený, pričom obe navzájom nekolidujú. Registrácia užívateľa je určená pre zariadenia vlastnené ich užívateľom.
Registrácia užívateľa a federovaná autentifikácia
Registrácia užívateľa funguje s Google Workspace alebo nástrojmi Microsoft Azure Active Directory (AD) a Apple School Manager alebo nástrojom Apple Business Manager a s riešením MDM tretej strany. Funguje to aj so správou zariadení v Apple Business Essentials. Na to, aby mohli užívatelia využívať výhody synchronizácie s Google Workspace alebo Microsoft Azure AD a registrácie užívateľom, musí organizácia najskôr:
Konfigurácia Google Workspace alebo Azure AD
Ak máte lokálnu verziu Active Directory, v rámci prípravy na federovanú autentifikáciu bude potrebná ďalšia konfigurácia.
Prihlásenie vašej organizácie v Apple School Manageri, Apple Business Manageri alebo v Apple Business Essentials
Nastavenie federovanej autentifikácie v Apple School Manageri, Apple Business Manageri alebo v Apple Business Essentials
Konfigurácia riešenia MDM a jeho prepojenie s Apple School Managerom, Apple Business Managerom alebo Apple Business Essentials, alebo použitie správy zariadení, ktorá je priamo vstavaná do Apple Business Essentials
(voliteľné) vytvoriť spravované Apple ID.
Registrácia užívateľa a spravované apky (macOS)
Registrácia užívateľa pridala spravované apky do macOS (táto funkcia je možná vďaka registrácii zariadenia a automatickej registrácii zariadenia). Spravované apky, ktoré používajú CloudKit, používajú spravované Apple ID prepojené s registráciou v MDM. Správcovia MDM musia pridať kľúč InstallAsManaged do príkazu InstallApplication. Tak ako pri apkách pre iOS a iPadOS, aj tieto apky je možné automaticky odstrániť, keď sa užívateľ odregistruje z MDM.
Registrácia užívateľov a sieťová komunikácia na základe apiek
Sieťový prenos pre jednotlivé apky je v systémoch iOS 16 a iPadOS 16.1 alebo novších k dispozícii pre VPN siete (označované ako VPN na úrovni apiek), DNS proxy servery a filtre webového obsahu pre zariadenia zaregistrované prostredníctvom registrácie užívateľov. Znamená to, že cez DNS proxy server, filter webového obsahu alebo oboje prechádzajú iba sieťové prenosy iniciované spravovanými apkami. Osobná komunikácia užívateľa zostane oddelená a nebude organizáciou filtrovaná ani presmerovaná cez proxy. Vykonáva sa to pomocou nových párov kľúč-hodnota pre nasledujúce objemy dát:
Registrácia osobných zariadení užívateľmi
V systémoch iOS 15, iPadOS 15 a macOS 14 alebo novších môžu organizácie využívať zjednodušený proces registrácie užívateľov vstavaný priamo do apky Nastavenia, vďaka čomu bude pre užívateľov jednoduchšie zaregistrovať si zariadenia.
Postup je nasledujúci:
Na iPhone a iPade je potrebné prejsť na Nastavenia > Všeobecné > VPN a správa zariadení a vybrať tlačidlo Prihlásenie do pracovného alebo školského účtu.
Na Macu je potrebné prejsť na Nastavenia > Súkromie a bezpečnosť > Profily a vybrať tlačidlo Prihlásenie do pracovného alebo školského účtu.
Keď užívateľ zadá svoje spravované Apple ID, zisťovací modul služby identifikuje registračnú URL adresu riešenia MDM.
Užívateľ potom zadá užívateľské meno a heslo pridelené organizáciou. Po úspešnej autentifikácii v organizácii sa do zariadenia odošle registračný profil. Pre zariadenie sa navyše vydá token relácie, ktorý umožní priebežnú autorizáciu. Zariadenie potom spustí proces registrácie a vyzve užívateľa na prihlásenie pomocou spravovaného Apple ID. Na iPhone a iPade je možné zjednodušiť proces autentifikácie pomocou jednorazového prihlásenia pre registráciu, ktoré obmedzí počet výziev na autentifikáciu. Nakoniec sa po prihlásení užívateľa zobrazí nový spravovaný účet na poprednom mieste v apke Nastavenia (iPhone a iPad) alebo Systémové nastavenia (Mac).
Po dokončení registrácie užívateľ uvidí na zariadení v časti Nastavenia > Heslá a účty (na iPhone a iPade) alebo v Systémových nastaveniach (na Macu) ďalší účet. Vďaka tomu bude mať užívateľ naďalej prístup k súborom na iCloud Drive vytvorenom pomocou osobného Apple ID. iCloud Drive vytvorený pre organizáciu (spojený so spravovaným Apple ID užívateľa) sa v apke Súbory zobrazuje zvlášť.
Na iPhone a iPade majú všetky spravované apky a spravované webové dokumenty prístup na iCloud Drive organizácie a správca riešenia MDM môže prostredníctvom jednotlivých obmedzení udržiavať a spravovať špecifické dokumenty užívateľov a organizácie oddelene. Viac informácií nájdete v téme Obmedzenia a možnosti spravovaných apiek.
Užívatelia vidia podrobné informácie o tom, ktoré funkcie ich osobného zariadenia sú spravované a koľko úložného priestoru v iCloude im organizácia poskytuje. Keďže užívateľ vlastní zariadenie, registrácia užívateľa naň môže použiť len obmedzenú zostavu objemov dát a obmedzení. Viac informácií nájdete v téme Informácie o registrácii užívateľom v MDM.
Ako spoločnosť Apple oddeľuje užívateľské dáta a dáta organizácie
Keď sa dokončí registrácia užívateľom, na zariadení sa automaticky vytvoria samostatné šifrovacie kľúče. Ak je zariadenie odregistrované užívateľom alebo na diľaku pomocou MDM, tieto šifrovacie kľúče sú bezpečne zničené. Tieto kľúče sa používajú na kryptografické oddelenie spravovaných dát uvedených nižšie:
Kontajnery s dátami z apiek: iPhone, iPad a Mac.
Kalendár: iPhone, iPad a Mac. Na zariadeniach musí bežať iOS 16, iPadOS 16.1, macOS 13 alebo novší.
Položky kľúčenky: iPhone, iPad a Mac.
Poznámka: Apka pre Mac tretej strany musí používať API s kľúčenkou na ochranu dát. Viac informácií nájdete v dokumentácii pre vývojárov Apple v časti kSecUseDataProtectionKeychain.
Prílohy a telo mailových správ: iPhone, iPad a Mac.
Poznámky: iPhone, iPad a Mac.
Pripomienky: iPhone, iPad a Mac. Na zariadeniach sa musí používať systém iOS 17, iPadOS 17 alebo macOS 14, prípadne novší.
Na iPhone a iPade majú všetky spravované apky a spravované webové dokumenty prístup k iCloud Drivu organizácie prostredníctvom existujúcich obmedzení spravovanej funkcie „Otvoriť v“. Správca riešenia MDM môže pomôcť s oddeleným uchovávaním osobných dokumentov a dokumentov organizácie.
Ak je používateľ prihlásený pod osobným Apple ID a spravovaným Apple ID, prihlásenie cez Apple automaticky použije spravované Apple ID pre spravované apky a osobné Apple ID pre nespravované apky. Pri použití prihlasovacieho procesu v Safari alebo SafariWebView v rámci spravovanej apky môže užívateľ vybrať a zadať svoje spravované Apple ID a priradiť tak prihlásenie k svojmu pracovnému účtu.
Systémoví správcovia môžu spravovať len účty, nastavenia a informácie organizácie získané z riešenia MDM, nemôžu spravovať osobné účty užívateľov. V konečnom dôsledku rovnaké funkcie, ktoré chránia dáta v spravovaných apkách vlastnených organizáciami, zároveň bránia prenikaniu osobného obsahu užívateľa do firemného dátového prúdu.
Dostupné cez MDM | Nedostupné cez MDM |
|---|---|
Konfigurácia účtov | Zobrazenie osobných údajov, údajov o využití a protokolov |
Prístup k inventáru spravovaných apiek | Prístup k inventáru osobných apiek |
Odstránenie len spravovaných dát | Odstraňovanie osobných údajov |
Inštalácia a konfigurácia apiek | Prevzatie správy osobnej apky |
Vyžadovanie hesla | Vyžadovanie komplexného kódu alebo hesla |
Presadzovanie zadaných obmedzení | Prístup k polohe zariadenia |
Konfigurácia funkcie Per-app VPN | Prístup k unikátnym identifikátorom zariadení |
| Vzdialené vyčistenie celého zariadenia |
| Správa zámku aktivácie |
| Prístup k stavu roamingu |
| Zapnutie režimu Stratené |
Poznámka: Na iPhone a iPade môžu správcovia vyžadovať minimálne šesťmiestne kódy a zabrániť užívateľom v nastavení jednoduchých kódov (napríklad 123456 alebo abcdef), ale nemôžu vyžadovať používanie zložitých znakov a hesiel.