Apple aygıtları ile hesap temelli kayıt yöntemleri
Hesap Temelli Kullanıcı Kaydı ve Hesap Temelli Aygıt Kaydı, kullanıcıların ve kuruluşların bir Yönetilen Apple Hesabı ile giriş yaparak Apple aygıtlarını iş için ayarlamaları amacıyla sorunsuz ve güvenli bir yol sunar.
Bu yaklaşım, hem Yönetilen Apple Hesabı ’nın hem de kişisel Apple Hesabı’nın tamamen ayrı iş ve kişisel verilerle aynı aygıta giriş yapmasına olanak tanır. Kullanıcılar, kendi kişisel bilgilerinin gizliliğini korur, BT de işle ilgili uygulamaları, ayarları ve hesapları destekler.
Bu ayrımı desteklemek için uygulamaların ve yedeklemelerin işleniş şeklinde şu değişiklikler yapılmıştır:
Tüm konfigürasyonlar ve ayarlar, kayıt profili silindiğinde silinir.
Yönetilen uygulamalar, kayıt silme sırasında her zaman silinir.
Aygıt yönetimi servisine kaydolmadan önce uygulamaları yüklerseniz bunları Yönetilen Uygulama olacak şekilde dönüştüremezsiniz.
Yedeklemeden geri yüklendiğinde aygıt yönetimi servisi kaydı geri yüklenmez.
Kişisel Apple Hesapları ile giriş yapan kullanıcılar, yönetilen uygulama davetini kabul edemez.
Yönetilen Apple Hesapları’nın elle yaratılması mümkün olsa da kuruluşlar Google Workspace, Microsoft Entra ID veya kimlik sağlayıcıları (IdP) entegrasyonundan yararlanabilir.
Birleştirilmiş kimlik doğrulama hakkında daha fazla bilgi için Apple Okul Yönetimi ile birleştirilmiş kimlik doğrulamaya giriş veya Apple İşletme Yönetimi ile birleştirilmiş kimlik doğrulamaya giriş konularına bakın.
Hesap temelli kayıt işlemi
Kullanıcı, hesap temelli Kullanıcı Kaydı’nı veya hesap temelli Aygıt Kaydı’nı kullanarak aygıtı kaydettirmek için Ayarlar > Genel > VPN ve Aygıt Yönetimi veya Sistem Ayarları > Genel > Aygıt Yönetimi bölümüne gider ve İş veya Okul Hesabına Giriş Yap düğmesini seçer.
Bu, aygıt yönetim hizmetine kaydolmak için dört aşamalı bir işlemi başlatır:
Servis bulma: Aygıt, aygıt yönetimi servisinin kayıt URL’sini belirler.
Kimlik doğrulama ve erişim jetonu: Kullanıcı, kaydı yetkilendirmek için kimlik bilgilerini verir ve devam eden kimlik doğrulama için verilen erişim jetonunu alır.
Servis kaydı: Kayıt profili, aygıta gönderilir ve kullanıcının kayıt işlemini tamamlaması için kendi Yönetilen Apple Hesabı ile giriş yapması istenir.
Devam eden kimlik doğrulama: Aygıt yönetimi servisi, giriş yapmış kullanıcıyı erişim jetonunu kullanarak sürekli olarak doğrular.
1. Aşama: Servis bulma
İlk adımda, servis bulma, aygıt yönetim servisinin kayıt URL’sini belirlemeye çalışır. Bunu yapmak için kullanıcının girdiği tanıtıcıyı (örneğin eliza@betterbag.com) kullanır. Alanın, kullanıcının kuruluşu için aygıt yönetimi servisini duyuran tamamen tanımlanmış bir alan adı (FQDN) olmalıdır.
Sonrasında aşağıdakiler gerçekleşir:
1. Adım
Aygıt, sağlanan tanıtıcıda (yukarıdaki örnekte betterbag.com) alanı belirler.
2. Adım
Aygıt, kuruluşun alanından well-known kaynağını (örneğin https://<domain>/.well-known/com.apple.remotemanagement) ister.
İstemci, HTTP GET isteğinin URL yolunda iki sorgu parametresi içerir:
user-identifier: Girilen hesap tanıtıcısının (yukarıdaki örnekte eliza@betterbag.com) değeri.
model-family: Aygıtın model ailesi (örneğin iPhone, iPad, Mac).
Not: Aygıt, gerçek com.apple.remotemanagement dosyasının aygıtın ulaşabileceği başka bir sunucuda barındırılmasını sağlayan HTTP 3xx yeniden yönlendirme isteklerini izler.
iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 veya daha yenisine sahip aygıtlar için servis bulma işlemi, aygıtın Apple Okul Yönetimi’ne veya Apple İşletme Yönetimi’ne bağlı aygıt yönetimi servisi tarafından belirtilen alternatif bir konumdan well-known kaynağını almasına olanak tanır. Kuruluşun alanındaki well-known kaynağı yine de servis bulma için ilk tercihtir. İsteğin başarısız olması durumunda aygıt, well-known kaynağının alternatif bir konumu olup olmadığını öğrenmek için Apple Okul Yönetimi’ni veya Apple İşletme Yönetimi’ni denetlemeye devam eder. Bu işlem Apple Okul Yönetimi veya Apple İşletme Yönetimi’nin tanıtıcı içindeki alanı doğrulamasını gerektirir. Daha fazla bilgi için Apple Okul Yönetimi’nde alan ekleme ve doğrulama veya Apple İşletme Yönetimi’nde alan ekleme ve doğrulama konularına bakın.
Bu özelliği kullanmak için aygıt yönetimi servisinin Apple Okul Yönetimi’ne veya Apple İşletme Yönetimi’ne bağlandığında alternatif servis bulma URL’sini ayarlaması gerekir. Aygıt Apple Okul Yönetimi’ne veya Apple İşletme Yönetimi’ne eriştiğinde, aygıt türü kullanılarak o türe atanmış servis belirlenir (Otomatik Aygıt Kaydı için saptanmış servis belirleme işleminin aynısı). Atanmış serviste ayarlanmış bir servis bulma URL’si varsa aygıt o konumdan well-known kaynağını ister. Saptanmış aygıt atamasını ayarlamak için Apple Okul Yönetimi’nde saptanmış aygıt atamasını ayarlama veya Apple İşletme Yönetimi’nde saptanmış aygıt atamasını ayarlama konularına bakın.
well-known kaynağını aygıt yönetimi servisi de barındırabilir.
3. Adım
well-known kaynağını barındıran sunucu, aşağıdaki şemaya uyan bir servis bulma JSON belgesi ile yanıtlar:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Aygıt yönetimi servisi kayıt anahtarları, türleri ve açıklamalar aşağıdaki tablodadır. Tüm anahtarlar gereklidir.
Anahtar | Tür | Açıklama |
|---|---|---|
Servers | Dizi | Tek bir girişe sahip bir liste. |
Version | Dizgi | Bu anahtar, kullanılacak kayıt yöntemini belirler ve Kullanıcı Kaydı için |
BaseURL | Dizgi | Aygıt yönetimi servisinin kayıt URL’si. |
Önemli: Sunucu, HTTP yanıtındaki Content-Type başlık alanının application/json olarak ayarlanmasını sağlamalıdır.
4. Adım
Aygıt, BaseURL tarafından belirtilen kayıt URL’sine bir HTTP POST isteği gönderir.
2. Aşama: Kimlik doğrulama ve erişim jetonu
Kullanıcının kayıt işlemini yetkilendirmek için aygıt yönetimi servisinde kimliğini doğrulaması gerekir. Kimlik doğrulama başarılı olduktan sonra aygıt yönetimi servisi, aygıta bir erişim jetonu verir. Aygıt, jetonu bundan sonraki istekleri yetkilendirirken kullanmak üzere güvenli bir şekilde saklar.
Erişim jetonu:
Hem başlangıçtaki kimlik doğrulama işleminde hem de aygıt yönetimi servisi kaynaklarına kesintisiz erişimde kilit bir rol oynar
Kullanıcının Yönetilen Apple Hesabı ile aygıt yönetimi servisi arasında güvenli bir köprü görevi görür
Tüm hesap temelli kayıtlarda iş kaynaklarına kesintisiz erişimi sağlamak için kullanılır
iPhone, iPad ve Apple Vision Pro üzerinde, başlangıçtaki ve devam eden kimlik doğrulama işlemi Kayıt SSO (Kayıtta Tek Oturum Açma) kullanılarak kolaylaştırılabilir ve yinelenen kimlik doğrulama istekleri azaltılabilir. Daha fazla bilgi için iPhone, iPad ve Apple Vision Pro için Kayıt SSO (Tek Oturum Açma) konusuna bakın.
3. Aşama: Aygıt yönetimi servisi kaydı
Aygıt, erişim jetonunu kullanarak aygıt yönetimi servisinde kimliğini doğrulayabilir ve kayıt profiline erişebilir. Bu profil, aygıtın kayıt işlemini gerçekleştirmek için gereksinim duyduğu tüm bilgileri sağlar. Kullanıcının kayıt işlemini tamamlamak için Yönetilen Apple Hesabı ile başarılı bir şekilde giriş yapması gerekir. Kayıt tamamlandıktan sonra Yönetilen Apple Hesabı, Ayarlar’ın ve Sistem Ayarları’nın içinde belirgin olarak görüntülenir.
Kullanıcıların kullanabilecekleri iCloud servisleri hakkında daha fazla bilgi için iCloud servislerine erişme konusuna bakın.
4. Aşama: Devam eden kimlik doğrulama
Kayıttan sonra erişim jetonu etkin kalır ve Authorization HTTP başlığını kullanan tüm aygıt yönetimi servisi isteklerine dahil edilir. Bu, servisin kullanıcıyı sürekli olarak doğrulamasına olanak tanır ve yalnızca yetkilendirilmiş kullanıcıların kuruluş kaynaklarına erişebildiğinden emin olunmasını sağlar.
Erişim jetonlarının süresi genellikle belirli bir süre sonra dolar. Bu durumda aygıt, erişim jetonunu yenilemek için kullanıcıdan yeniden kimliğini doğrulamasını isteyebilir. Düzenli yeniden doğrulama, hem kişisel hem de kuruluşa ait aygıtlar için önemli olan güvenliği yüklemeye yardımcı olur. Kayıt SSO sayesinde jeton, kuruluşun kimlik sağlayıcısı aracılığıyla otomatik olarak yenilenir ve kimlik yeniden doğrulanmadan kesintisiz erişim sağlar.
Hesap temelli kayıt yöntemlerinde kullanıcı verileri kuruluş verilerinden nasıl ayrılır?
Hesap temelli Kullanıcı Kaydı veya hesap temelli Aygıt Kaydı tamamlandığında, işletim sistemi aygıtta otomatik olarak ayrı şifreleme anahtarları yaratır. Kullanıcı aygıtın kaydını silerse veya aygıt yönetimi servisi aygıtın kaydını uzaktan silerse, işletim sistemi bu şifreleme anahtarlarını yok eder. İşletim sistemi, anahtarları bu tabloda listelenen yönetilen verileri kriptografik olarak ayırmak için kullanır.
İçerik | Desteklenen minimum işletim sistemi sürümleri | Açıklama | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Yönetilen Uygulama verisi kapsayıcıları | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Yönetilen uygulamalar, iCloud veri eşzamanlaması için aygıt yönetimi servisi kaydı ile ilişkili Yönetilen Apple Hesabı’nı kullanır. Bu, CloudKit’i kullanan Mac’te yönetilen uygulamaları ( | |||||||||
Takvim uygulaması | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Etkinlikler ayrıdır. | |||||||||
Anahtar Zinciri öğeleri | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Üçüncü parti Mac uygulaması, Veri Koruma Anahtar Zinciri API’sini kullanmalıdır. Daha fazla bilgi için Apple Geliştirici web sitesinde kSecUseDataProtectionKeychain genel değişkeni konusuna bakın. | |||||||||
Mail uygulaması | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Mail ilişikleri ve e-posta iletisinin gövde bölümü ayrıdır. | |||||||||
Notlar uygulaması | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notlar ayrıdır. | |||||||||
Anımsatıcılar uygulaması | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Anımsatıcılar ayrıdır. | |||||||||
iPhone, iPad ve Apple Vision Pro üzerinde, yönetilen uygulamaların ve yönetilen web tabanlı belgelerin tamamının kuruluşun iCloud Drive’ına erişimi vardır (kullanıcı Yönetilen Apple Hesabı ile giriş yaptıktan sonra Dosyalar uygulamasında ayrı bir şekilde görünür). Aygıt yönetimi servisi yöneticisi belirli sınırlamaları kullanarak belirli kişisel ve kurumsal belgeleri ayrı tutmaya yardımcı olabilir. Daha fazla bilgi için Yönetilen uygulamaları Apple aygıtlarına dağıtma konusuna bakın.
Kullanıcı kişisel bir Apple Hesabı ve Yönetilen Apple Hesabı ile giriş yaptıysa Apple ile Giriş Yap, yönetilen uygulamalar için Yönetilen Apple Hesabı’nı ve yönetilmeyen uygulamalar için kişisel Apple Hesabı’nı otomatik olarak kullanır. Safari’de veya yönetilen bir uygulamanın içindeki SafariWebView’da giriş yapma akışı kullanılırken kullanıcı, yapılan girişi kendi iş veya okul hesabıyla ilişkilendirmek için kendi Yönetilen Apple Hesabı’nı seçip girebilir.
