Kullanıcı Kaydı ve MDM
Kullanıcı Kaydı, kuruluşun değil kullanıcının aygıt sahibi olduğu kendi aygıt dağıtımlarınızı getirin (BYOD) yöntemi için tasarlanmıştır. Bir kimlik sağlayıcı (IdP), Google Workspace veya Microsoft Entra ID ve Apple Okul Yönetimi veya Apple İşletme Yönetimi ve bir üçüncü parti MDM çözümüyle çalışır. Apple İşletme Temelleri’nde aygıt yönetimi ile de çalışır.
MDM’ye Kullanıcı Kaydı’nın dört aşaması şunlardır:
Servis bulma: Aygıt kendini MDM çözümüne tanıtır.
Kullanıcı kaydı: Kullanıcı, MDM çözümüne kaydolmak amacıyla kimlik doğrulama için bir kimlik sağlayıcısına (IdP) kimlik bilgilerini verir.
Oturum belirteci: Devam eden kimlik doğrulamaya izin vermek için aygıta bir oturum belirteci verilir.
MDM kaydı: Kayıt profili, MDM yöneticisi tarafından ayarlanan verileri içeren aygıta gönderilir.
Kullanıcı Kaydı ve Yönetilen Apple Hesapları
Kullanıcı Kaydı için Yönetilen Apple Hesapları gerekir. Bunlar bir kuruluşa aittir, o kuruluş tarafından yönetilir ve çalışanların belirli Apple servislerine erişimini sağlar. Ayrıca, Yönetilen Apple Hesapları:
Elle veya birleştirilmiş kimlik doğrulama kullanılarak otomatik olarak yaratılır
Bir Öğrenci Bilgi Sistemi (SIS) ile entegredir veya .csv dosyaları yüklemektedir (yalnızca Apple Okul Yönetimi)
Apple Okul Yönetimi’ndeki, Apple İşletme Yönetimi’ndeki veya Apple İşletme Temelleri’ndeki atanmış bir rol ile giriş yapmak üzere de kullanılabilir
Kullanıcı bir kayıt profilini sildiğinde, o kayıt profilini baz alan tüm konfigürasyon profilleri, ayarlar ve Yönetilen Uygulamalar profille birlikte silinir.
Kullanıcı Kaydı, aygıtta bir kullanıcı kimliği oluşturmak için Yönetilen Apple Hesapları ile entegre edilmiştir. Kaydın tamamlanması için kullanıcı mutlaka kimlik doğrulamasını başarıyla yapmalıdır. Yönetilen Apple Hesabı ile kullanıcının önceden giriş yaparken kullandığı kişisel Apple Hesabı bir arada kullanılabilir; bu ikisi birbirini etkilemez.
Kullanıcı Kaydı ve birleştirilmiş kimlik doğrulama
Yönetilen Apple Hesapları’nın elle yaratılması mümkün olsa da kuruluşlar IdP, Google Workspace veya Microsoft Entra ID ve Kullanıcı Kaydı eşzamanlamasından yararlanabilir. Bunu yapmak için kuruluşunuzun öncelikle şu işlemleri yapması gerekir:
Kullanıcı kimlik bilgilerini IdP, Google Workspace veya Microsoft Entra ID ile yönetme
Active Directory’nin şirket içi bir sürümüne sahipseniz birleştirilmiş kimlik doğrulamaya hazırlık amacıyla ek konfigürasyon yapılması gerekir.
Apple Okul Yönetimi’nde, Apple İşletme Yönetimi’nde veya Apple İşletme Temelleri’nde kuruluşunuzu kaydetme
Apple Okul Yönetimi’nde, Apple İşletme Yönetimi’nde veya Apple İşletme Temelleri’nde birleştirilmiş kimlik doğrulamayı ayarlama
Bir MDM çözümünü ayarlama ve bunu Apple Okul Yönetimi’ne, Apple İşletme Yönetimi’ne veya Apple İşletme Temelleri’ne bağlama ya da doğrudan Apple İşletme Temelleri’nde yerleşik olan aygıt yönetimini kullanma
(İsteğe Bağlı) Yönetilen Apple Hesapları yaratma
Kullanıcı Kaydı ve Yönetilen Uygulamalar (macOS)
Kullanıcı Kaydı yönetilen uygulamaları macOS’e eklemiştir (bu özellik Aygıt Kaydı ve Otomatik Aygıt Kaydı ile zaten mümkündü). CloudKit kullanan yönetilen uygulamalar, MDM kaydı ile ilişkili Yönetilen Apple Hesabı’nı kullanır. MDM yöneticileri InstallAsManaged anahtarını InstallApplication komutuna eklemelidir. iOS ve iPadOS uygulamalarına benzer şekilde, bir kullanıcı aygıtın kaydını MDM’den sildiğinde bu uygulamalar otomatik olarak silinebilir.
Kullanıcı Kaydı ve her uygulama için ağ
iOS 16, iPadOS 16.1, visionOS 1.1 veya daha yenisinde uygulamaya özel ağ, Kullanıcı Kaydı ile kaydettirilmiş aygıtlarda VPN (her uygulama için VPN olarak bilinir), DNS proxy’leri ve web içerik filtreleri için kullanılabilir. Bu, yalnızca yönetilen uygulamalar tarafından başlatılan ağ trafiğinin DNS proxy’den, web içeriği filtresinden ya da her ikisinden de geçeceği anlamına gelir. Kullanıcının kişisel trafiği ayrı kalır ve bir kuruluş tarafından filtrelenmez ya da bir proxy vekâlet etmez. Bu, aşağıdaki veriler için yeni anahtar-değer çiftleri kullanılarak gerçekleştirilir:
Kullanıcılar kendi kişisel aygıtlarını nasıl kaydeder?
iOS 15, iPadOS 15, macOS 14, visionOS 1.1 veya daha yenisinde kuruluşlar, kullanıcıların kişisel aygıtlarını kaydettirmelerini kolaylaştırmak amacıyla doğrudan Ayarlar uygulamasında yerleşik olan geliştirilmiş bir Kullanıcı Kaydı işlemini kullanabilir.
Bunu yapmak için:
iPhone’da, iPad’de ve Apple Vision Pro’da kullanıcı, Ayarlar > Genel > VPN ve Aygıt Yönetimi bölümüne gider ve sonra İş veya Okul Hesabına Giriş Yap düğmesini seçer.
Mac’te kullanıcı Ayarlar > Gizlilik ve Güvenlik > Profiller bölümüne gider ve ardından İş veya Okul Hesabına Giriş Yap düğmesini seçer.
Kişi, Yönetilen Apple Hesabı’nı girdiğinde servis bulma, MDM çözümünün kayıt URL’sini belirler.
Kullanıcı daha sonra kendi kuruluş kullanıcı adını ve parolasını girer. Kuruluşun kimlik doğrulaması başarılı olduktan sonra, kayıt profili aygıta gönderilir. Devam eden yetkilendirmeye izin vermek için aygıta bir oturum jetonu da verilir. Sonra da aygıt, kayıt işlemini başlatıp kullanıcıdan kendi Yönetilen Apple Hesabı ile giriş yapmasını ister. iPhone, iPad ve Apple Vision Pro üzerinde, kimlik doğrulama işlemi kayıtta tek oturum açma kullanılarak kolaylaştırılabilir ve yinelenen kimlik doğrulama istekleri azaltılabilir.
Kayıt tamamlandığında, yeni yönetilen hesap Ayarlar uygulamasının (iPhone, iPad ve Apple Vision Pro) ve Sistem Ayarları’nın (Mac) içinde belirgin olarak görüntülenir. Bu, kullanıcıların kişisel Apple Hesabı ile yaratılmış iCloud Drive’larındaki dosyalara erişmeye devam etmelerini sağlar. Kuruluşun iCloud Drive’ı (kullanıcının Yönetilen Apple Hesabı ile ilişkili) Dosyalar uygulamasında ayrı olarak görünür.
iPhone, iPad ve Apple Vision Pro üzerinde, yönetilen uygulamaların ve yönetilen web tabanlı belgelerin tamamının kuruluşun iCloud Drive’ına erişimi vardır ve MDM yöneticisi belirli sınırlamaları kullanarak belirli kişisel ve kurumsal belgeleri ayrı tutmaya yardımcı olabilir. Daha fazla bilgi için Yönetilen Uygulama sınırlamaları ve özellikleri konusuna bakın.
Kullanıcılar kişisel aygıtlarında neyin yönetildiği ve kuruluşları tarafından ne kadar iCloud saklama alanı sağladığı hakkındaki ayrıntıları görebilirler. Kullanıcı aygıtın sahibi olduğundan, Kullanıcı Kaydı’nda aygıta yalnızca veriler ve sınırlamalardan oluşan sınırlı bir küme uygulanabilir. Daha fazla bilgi için Kullanıcı Kaydı MDM bilgileri konusuna bakın.
Apple kullanıcı verilerini kuruluş verilerinden nasıl ayırır?
Kullanıcı Kaydı tamamlandığında, aygıtta otomatik olarak ayrı şifreleme anahtarları yaratılır. Aygıtın kaydı kullanıcı tarafından ya da MDM kullanılarak uzaktan silinirse bu şifreleme anahtarları güvenli bir şekilde ortadan kaldırılır. Anahtarlar aşağıda listelenen yönetilen verileri kriptografik olarak ayırmak için kullanılıyor:
Uygulama verisi kapsayıcıları: iPhone, iPad, Mac ve Apple Vision Pro
Takvim: iPhone, iPad, Mac ve Apple Vision Pro
Aygıtların iOS 16, iPadOS 16.1, macOS 13, visionOS 1.1 veya daha yenisini çalıştırıyor olması gerekir.
Anahtar Zinciri öğeleri: iPhone, iPad, Mac ve Apple Vision Pro
Not: Üçüncü parti Mac uygulaması, veri koruma anahtar zinciri API’sini kullanmalıdır. Daha fazla bilgi için kSecUseDataProtectionKeychain adlı Apple Geliştirici belgelerine bakın.
Mail ilişikleri ve e-posta iletisinin gövde bölümü: iPhone, iPad, Mac ve Apple Vision Pro
Notlar: iPhone, iPad, Mac ve Apple Vision Pro
Anımsatıcılar: iPhone, iPad, Mac ve Apple Vision Pro
Aygıtların iOS 17, iPadOS 17, macOS 14, visionOS 1.1 veya daha yenisini çalıştırıyor olması gerekir.
Kullanıcı kişisel bir Apple Hesabı ve Yönetilen Apple Hesabı ile giriş yaptıysa Apple ile Giriş Yap, yönetilen uygulamalar için Yönetilen Apple Hesabı’nı ve yönetilmeyen uygulamalar için kişisel Apple Hesabı’nı otomatik olarak kullanır. Safari’de veya yönetilen bir uygulamanın içinde SafariWebView’da giriş yapma akışı kullanılırken kullanıcı, yapılan girişi kendi iş hesabıyla ilişkilendirmek için kendi Yönetilen Apple Hesabı’nı seçip girebilir.
Sistem yöneticileri yalnızca bir kuruluşun hesaplarını, ayarlarını ve MDM ile sağlanan bilgilerini yönetebilir, kişinin kişisel hesabını asla yönetemez. Aslında, kuruluşa ait yönetilen uygulamalarda verileri güvenli tutan aynı özellikler aynı zamanda kişinin kişisel içeriklerini de kurumsal veri akışına gitmekten korur.
MDM şunları yapabilir: | MDM şunları yapamaz: |
|---|---|
Hesapları ayarla | Kişisel bilgileri, kullanım verilerini veya günlükleri göremez |
Yönetilen uygulamaların envanterine erişim sağla | Kişisel uygulamaların envanterine erişim sağla |
Yalnızca yönetilen verileri sil | Kişisel verileri sil |
Uygulamaları yükleme ve ayarlama | Kişisel bir uygulamanın yönetimini devralamaz |
Parola gereksin | Karmaşık bir parola gereksin |
Belirli sınırlamaları uygulama | Access device location |
Her uygulama için VPN’i ayarlama | Benzersiz aygıt tanıtıcılara erişim sağla |
| Tüm aygıtı uzaktan silme |
| Etkinleştirme Kilidi’ni yönetme |
| Dolaşım durumuna erişim sağla |
| Kayıp Modu’nu aç |
Not: iPhone ve iPad için yöneticiler en az altı karakterli parolalar isteyebilir ve kullanıcıların basit parolalar (örneğin “123456” veya “abcdef”) kullanmalarını engelleyebilir ancak karmaşık karakterler veya parolalar isteyemez.