Про керовані облікові записи Apple
Огляд
Організації розробляють, володіють і керують керованими обліковими записами Apple спеціально для підвищення продуктивності співробітників, викладачів і студентів та надання їм доступу до потрібних служб. Ці облікові записи працюють окремо від персональних (некерованих) облікових записів Apple, які користувачі створюють для власних потреб. Ваша організація підтримує це розділення, щоб забезпечувати розрізнення між організаційними та особистими даними за допомогою надійних засобів керування.
Щоб ознайомитися із сертифікацією, яку Apple здійснює згідно зі стандартами ISO 27001 і 27018 для керованих облікових записів Apple, перегляньте статтю Сертифікації безпеки інтернет-служб Apple на платформі Apple Platform Certifications.
Як створюються керовані облікові записи Apple
Ви створюєте керовані облікові записи Apple, використовуючи назву домена, що належить організації. Тоді можна створювати облікові записи за допомогою таких методів:
Вручну
Конфігурування й увімкнення федеративної автентифікації з Google Workspace, Microsoft Entra ID чи постачальником посвідчень (IdP)
Синхронізування за допомогою Open ID Connect (OIDC) з Google Workspace або глобальною службою Microsoft Entra ID (login.microsoftonline.com)
Синхронізування за допомогою Open ID Connect (OIDC) або системи міждоменного керування посвідченнями (SCIM) з постачальником посвідчень (IdP)
Лише для Apple School Manager: імпортування облікових записів зі своєї системи учнівських даних (SIS)
Лише для Apple School Manager: закачування файлів .csv за допомогою захищеного протоколу передавання файлів (SFTP)
Примітка. Термін «домен» в контексті цього документа позначає окреме повністю визначене доменне ім’я (FQDN). Це означає, що, наприклад, betterbag.com і accounts.betterbag.com розглядаються як два різні домени, і в Apple School Manager або Apple Business Manager їх слід додавати та керувати ними окремо.
Як використовуються керовані облікові записи Apple
Як і персональні облікові записи Apple, керовані облікові записи Apple можна використовувати для входу на призначені або спільні пристрої Apple, а також для доступу до певних служб Apple, включно зі Спільним iPad, iCloud та співпрацею в iWork, Нотатках і Нагадуваннях.
Для кожного керованого облікового запису Apple призначається певна роль. Ця роль визначає, які завдання користувач може виконувати в Apple School Manager та Apple Business Manager.
Якщо у вас є обліковий запис користувача з роллю адміністратора або спеціальними ролями менеджера, ви можете використовувати керовані облікові записи Apple трьома основними способами: з обліковими записами користувачів, класами і ролями.
Облікові записи. Користувачі з роллю Administrator (Адміністратор) можуть виконувати ряд завдань для керування обліковими записами користувачів. Наприклад, ви можете призначати ролі або пристрої користувачам.
Класи (лише для Apple School Manager). Клас — це набір облікових записів інструкторів та учнів. Користувачі Apple School Manager із відповідною роллю додають принаймні одного інструктора під час створення класу. Після створення класу ваша служба керування пристроями вмикає відображення класів у програмі «Клас» для iPad, Mac і спільного iPad, а також полегшує використання спільного iPad для учнів.
Ролі. Ролі визначають рівень доступу користувачів. В Apple School Manager та Apple Business Manager є такі ролі:
Роль | Опис |
|---|---|
Administrator (Адміністратор) | Кількість користувачів з цією роллю обмежено до чотирьох, і вони мають найвищі привілеї. |
Site Manager (Керівник установи) (лише для Apple School Manager) | Ця роль має такі ж привілеї, як і в адміністратора, з такими винятками:
|
Керівник персоналу | Цю роль розроблено для керування обліковими записами користувачів, під’єднання до системи учнівських даних (SIS), закачування файлів за допомогою SFTP, під’єднання до провайдерів посвідчень (IdP) і призначення ролей. Під час створення облікового запису ви призначаєте йому роль, яка визначає привілеї для цього облікового запису. Під час імпортування з системи учнівських даних (SIS) користувач із роллю адміністратора автоматично призначає ролі для кожного облікового запису. |
Апаратний менеджер із реєстрації пристроїв | Ця роль призначена для привʼязування до служби керування пристроями, випуску пристроїв і вилучення замка активації з пристроїв, які належать організації. |
Manager (Менеджер) (лише для Apple School Manager) | Цю роль можна призначити будь-якій локації, і вона дозволяє керувати обліковими записами, класами та вмістом. |
Адміністратор вмісту | Ця роль відповідає за пакетне придбання в конкретних локація і може керувати ліцензіями для програм і книг. |
Instructor (Інструктор) (лише для Apple School Manager) | Ця роль може знаходитися в будь-якій локації, може скидати паролі учнів, керувати класами і вмістом. |
Staff (Адмінперсонал) | Цю роль можна призначити будь-якій локації, і вона дозволяє використовувати пристрої Apple, керовані вашою організацією. |
Student (Учень) (лише для Apple School Manager) | Цю роль можна призначити будь-якій локації, і вона дозволяє використовувати пристрої Apple, керовані вашою організацією. |
Більше інформації наведено в таких статтях:
Посібник користувача Apple School Manager: Вступ до ролей і привілеїв
Посібник користувача Apple Business Manager: Вступ до ролей і привілеїв
До чого мають і не мають доступу керовані облікові записи
Керовані облікові записи Apple надають доступ до багатьох технологій, програм і служб Apple, включно з певними службами iCloud, службою неперервності між пристроями, освітніми та корпоративними службами, програмами і службами Apple Developer та службами співпраці і комунікації.
Керовані облікові записи Apple забороняють доступ до певних служб iCloud, деяких програм Apple Developer, медіаслужб і вмісту магазинів.
Повний перелік можна переглянути тут:
Посібник користувача Apple School Manager: Доступ до сервісів для керованих облікових записів Apple
Посібник користувача Apple Business Manager: Доступ до сервісів для керованих облікових записів Apple