Kontodrivna registreringsmetoder med Apple-enheter
Kontodriven användarregistrering och kontodriven enhetsregistrering erbjuder ett sömlöst, säkert sätt för användare och organisationer att ställa in Apple-enheter för arbetet genom att logga in med ett hanterat Apple-konto.
Med det här tillvägagångssättet kan både ett hanterat Apple-konto och ett personligt Apple-konto vara inloggade på samma enhet med total separering av arbetsdata och personliga data. Användarens personliga information förblir privat och IT-avdelningen stöder arbetsrelaterade appar, inställningar och konton.
För att göra denna separering möjlig har följande ändringar gjorts när det gäller hur appar och säkerhetskopior hanteras:
Alla konfigurationer och inställningar tas bort när registreringsprofilen tas bort.
Hanterade appar tas alltid bort vid avregistrering.
Om du installerar appar före registrering i en enhetshanteringstjänst kan du inte konvertera dem till hanterade appar.
Återskapning från en säkerhetskopia återskapar inte registrering i en enhetshanteringstjänst.
Användare som loggar in med sitt personliga Apple-konto kan inte tacka ja till en inbjudan om hanterad appdistribution.
Trots att du kan skapa hanterade Apple-konton manuellt kan organisationer dra nytta av att integrera med Google Workspace, Microsoft Entra ID eller sin identitetsleverantör (IdP).
Mer information om federerad autentisering finns i Introduktion till federerad autentisering med Apple School Manager eller Introduktion till federerad autentisering med Apple Business Manager.
Kontodriven registreringsprocess
En användare som vill registrera sin enhet med kontodriven användarregistrering eller kontodriven enhetsregistrering gör det genom att navigera till Inställningar > Allmänt > VPN och enhetshantering, eller Systeminställningar > Allmänt > Enhetshantering, och sedan välja knappen Logga in med ditt arbets- eller skolkonto.
Detta inleder en fyrstegsprocess för att registrera en enhet i en enhetshanteringstjänst:
Upptäckt av tjänst: Enheten fastställer registrerings-URL för enhetshanteringstjänsten.
Autentisering och åtkomsttoken: Användaren tillhandahåller inloggningsuppgifter för auktorisering av registreringen och får en åtkomsttoken som utfärdas för fortlöpande autentisering.
Tjänsteregistrering: Registreringsprofilen skickas till enheten och användaren måste logga in med sitt hanterade Apple-konto för att slutföra registreringen.
Fortlöpande autentisering: Enhetshanteringstjänsten verifierar den inloggade användaren fortlöpande via dess åtkomsttoken.
Etapp 1: Upptäckt av tjänst
I det första steget försöker tjänsteupptäckten identifiera enhetshanteringstjänstens registrerings-URL. För det använder den identifieraren som användaren anger, till exempel eliza@betterbag.com. Domänen måste vara ett fullständigt kvalificerat domännamn (FQDN) som annonserar enhetshanteringstjänsten för användarens organisation.
Sedan händer följande:
Steg 1
Enheten identifierar domänen i den angivna identifieraren (i exemplet ovan är detta betterbag.com).
Steg 2
Enheten begär well-known-resursen från organisationens domän – till exempel https://<domain>/.well-known/com.apple.remotemanagement.
Klienten inkluderar två förfrågningsparametrar i URL-sökvägen i sin HTTP GET-förfrågan:
user-identifier: Värdet för den angivna kontoidentifieraren (i exemplet ovan är detta eliza@betterbag.com).
model-family: Enhetens modellfamilj (till exempel iPhone, iPad, Mac).
Obs! Enheten följer HTTP 3xx-omdirigeringsförfrågningar, vilket tillåter att den faktiska com.apple.remotemanagement-filen finns på en annan server som kan nås av enheten.
För enheter med iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 eller senare innebär processen för tjänsteupptäckt att en enhet kan hämta well-known-resursen från en alternativ plats som anges av enhetshanteringstjänsten som är kopplad till Apple School Manager eller Apple Business Manager. Det första valet för tjänsteupptäckt är fortfarande well-known-resursen i organisationens domän. Om denna förfrågan misslyckas stämmer enheten av med Apple School Manager eller Apple Business Manager för att kontrollera om well-known-resursen finns på en annan plats. Den här processen kräver att Apple School Manager eller Apple Business Manager verifierar domänen inuti identifieraren. Mer information finns i Lägga till och verifiera en domän i Apple School Manager eller Lägga till och verifiera en domän i Apple Business Manager.
För att använda den här funktionen måste enhetshanteringstjänsten konfigurera den alternativa URL-adressen för tjänsteupptäckt när den är kopplad till Apple School Manager eller Apple Business Manager. När enheten kontaktar Apple School Manager eller Apple Business Manager fastställer enhetstypen den tilldelade tjänsten för den typen – samma process som används till att fastställa den förvalda tjänsten för automatisk enhetsregistrering. Om den tilldelade tjänsten har konfigurerat en URL för tjänsteupptäckt går enheten vidare genom att efterfråga well-known-resursen från den platsen. Information om att ställa in den förvalda enhetstilldelningen finns i Ställ in standardtilldelningen för enheter i Apple School Manager eller Ställ in standardtilldelningen för enheter i Apple Business Manager.
Enhetshanteringstjänsten kan även vara värd för well-known-resursen.
Steg 3
Servern som är värd för well-known-resursen svarar med ett JSON-dokument för tjänsteupptäckt som överensstämmer med följande schema:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Registreringsnycklar för enhetshanteringstjänsten, typer och beskrivningar finns i följande tabell. Alla nycklar krävs.
Nyckel | Typ | Beskrivning |
|---|---|---|
Servers | Array | En lista med en enda post. |
Version | Sträng | Den här nyckeln avgör vilken registreringsmetod som ska användas och måste vara antingen |
BaseURL | Sträng | Registrerings-URL:en för enhetshanteringstjänsten. |
Viktigt: Servern måste se till att huvudfältet Content-Type i HTTP-svaret är inställt på application/json.
Steg 4
Enheten skickar en HTTP POST-förfrågan till den registrerings-URL som anges av BaseURL.
Etapp 2: Autentisering och åtkomsttoken
Användaren måste autentisera sig via enhetshanteringstjänsten för att auktorisera registreringen. När autentiseringen har slutförts utfärdar enhetshanteringstjänsten en åtkomstoken till enheten. Enheten lagrar denna token på ett säkert sätt för användning vid auktorisering av kommande förfrågningar.
Åtkomsttoken:
Är central för både den inledande autentiseringsprocessen och fortlöpande åtkomst till enhetshanteringstjänstens resurser
Fungerar som en säker brygga mellan användarens hanterade Apple-konto och enhetshanteringstjänsten
Används för att tillåta kontinuerlig åtkomst till arbetsresurser för alla kontodrivna registreringar
På iPhone, iPad och Apple Vision Pro kan den inledande och fortlöpande autentiseringsprocessen strömlinjeformas genom att använda Enrollment SSO (enkel registreringsinloggning) som minskar upprepade uppmaningar om autentisering. Mer information finns i Enkel registreringsinloggning för iPhone, iPad och Apple Vision Pro.
Etapp 3: Registrering av enhetshanteringstjänst
Genom att använda sin åtkomsttoken kan enheten autentisera hos enhetshanteringstjänsten och komma åt registreringsprofilen. Den här profilen innehåller all information som enheten behöver för att genomföra registreringen. Användaren måste logga in med sitt hanterade Apple-konto för att slutföra registreringen. När registreringen är klar visas Hanterat Apple-konto framträdande inuti Inställningar och Systeminställningar.
Mer information om vilka iCloud-tjänster som är tillgängliga för användare finns i Åtkomst till iCloud-tjänster.
Etapp 4: Fortlöpande autentisering
Efter registreringen förblir åtkomsttoken aktiv och inkluderas i alla förfrågningar till enhetshanteringstjänsten med HTTP-huvudet Authorization. Det innebär att tjänsten kontinuerligt verifierar användaren och bidrar till att säkerställa att endast auktoriserade användare har tillgång till organisationens resurser.
Åtkomsttokens upphör vanligtvis att gälla efter en angiven tidsperiod. När det sker kan enheten uppmana användaren att återautentisera för att förnya denna åtkomsttoken. Periodvis återvalidering bidrar till att upprätthålla säkerheten, vilket är viktigt för både personligt ägda och organisationsägda enheter. Med Enrollment SSO förnyas tokens automatiskt via organisationens identitetsleverantör vilket ger oavbruten åtkomst utan att behöva autentisera på nytt.
Så här separeras användardata från organisationsdata med kontodrivna registreringsmetoder
När kontodriven användarregistrering eller kontodriven enhetsregistrering är klar skapar operativsystemet automatiskt separata krypteringsnycklar på enheten. Om användaren avregistrerar enheten, eller om enhetshanteringstjänsten avregistrerar den på distans, förstör operativsystemet de krypteringsnycklarna. Operativsystemet använder nycklarna till att kryptografiskt separera de hanterade data som listas i den här tabellen.
Innehåll | Lägsta operativsystemsversioner som stöds | Beskrivning | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Hanterade appdatabehållare | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Hanterade appar använder det hanterade Apple-konto som är kopplat till enhetshanteringstjänstens registrering för iCloud-datasynkronisering. Det omfattar hanterade appar (installerade med nyckeln | |||||||||
Kalender-appen | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Aktiviteter är separata. | |||||||||
Nyckelringsobjekt | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Mac-appen från tredje part måste använda API:t Data Protection Keychain. Mer information finns i Global Variable kSecUseDataProtectionKeychain på Apple Developer-webbplatsen. | |||||||||
Mail-appen | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Mail-bilagor och brödtexten i mejl är separata. | |||||||||
Anteckningar-appen | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Anteckningar är separata. | |||||||||
Påminnelser-appen | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Påminnelser är separata. | |||||||||
På iPhone, iPad och Apple Vision Pro har alla hanterade appar och hanterade webbaserade dokument tillgång till organisationens iCloud Drive (som visas separat i appen Filer när en användare loggar in med sitt hanterade Apple-konto). Enhetshanteringstjänstens administratör kan hålla specifika personliga dokument och organisationsdokument åtskilda genom att använda specifika begränsningar. Mer information finns i Distribuera hanterade appar till Apple-enheter.
Om en användare är inloggad med både ett personligt Apple-konto och ett hanterat Apple-konto använder Logga in med Apple automatiskt det hanterade Apple-kontot för hanterade appar och det personliga Apple-kontot för ohanterade appar. När ett inloggningsflöde används i Safari eller SafariWebView inuti en hanterad app kan användaren välja att ange sitt hanterade Apple-konto så att inloggningen associeras med arbets- eller skolkontot.
