Реєстрація користувача та MDM
Реєстрацію користувача розроблено для BYOD, або як іще називають цей спосіб введення в дію, — розгортання власних пристроїв, коли пристроями володіють користувачі, а не організація.
Реєстрація користувача в MDM відбувається в чотири етапи:
Виявлення служб. Пристрій повідомляє про себе рішенню MDM.
Реєстрація користувача. Користувач надає облікові дані постачальнику посвідчення (IdP), щоб авторизувати реєстрацію в рішенні MDM.
Токен сеансу. Пристрій отримує токен сеансу, який дозволить здійснити автентифікацію.
Реєстрація в MDM. На пристрій надсилається профіль реєстрації з наборами даних, налаштованими адміністратором MDM.
Реєстрація користувача та керовані Apple ID
Для реєстрації користувача необхідні керовані Apple ID. Вони належать організації, яка ними керує, і надають її працівникам доступ до певних служб Apple. Крім того, керовані Apple ID:
Створюються вручну або автоматично шляхом федеративної автентифікації
Інтегровані в систему учнівських даних (SIS) або в закачувані файли .csv (лише Apple School Manager)
Також можуть бути використані для входу з призначеною роллю в Apple School Manager, Apple Business Manager або Apple Business Essentials
Коли користувач вилучає профіль реєстрації, усі профілі конфігурації, їх параметри та керовані програми на основі профілю реєстрації вилучаються разом із ним.
Функцію реєстрації користувача інтегровано з керованими Apple ID, що дає змогу створювати посвідчення користувача на пристрої. Користувач має успішно автентифікуватися, щоб завершити реєстрацію. Керований Apple ID можна використовувати разом із персональним Apple ID, з яким користувач уже ввійшов у систему. Ці два ідентифікатори не перетинаються.
Реєстрація користувача та федеративна автентифікація
Реєстрацію користувача можна виконувати за допомогою постачальника посвідчень (IdP), Google Workspace або Microsoft Entra ID та Apple School Manager або Apple Business Manager і за допомогою стороннього рішення MDM. Її також можна застосовувати з керуванням пристроями в Apple Business Essentials. Щоб ваші користувачі отримали переваги синхронізації з IdP, Google Workspace або Microsoft Entra ID та реєстрації користувача, ваша організація спершу має:
Запровадити керування обліковими даними користувачів через IdP, Google Workspace чи Microsoft Entra ID.
Якщо ви користуєтеся локальною версією Active Directory, для федеративної автентифікації знадобиться додаткове конфігурування.
Зареєструвати організацію в Apple School Manager, Apple Business Manager або Apple Business Essentials
Налаштувати федеративну автентифікацію в Apple School Manager, Apple Business Manager або Apple Business Essentials
Налаштувати рішення MDM і зв’язати його з Apple School Manager, Apple Business Manager чи Apple Business Essentials або скористатися функцією керування пристроями, вбудованою в Apple Business Essentials.
(Необов’язково) Створити керовані Apple ID
Реєстрація користувача та керовані програми (macOS)
У реєстрацію користувача додано керовані програми в macOS (цю функцію вже можна було використовувати за звичайної та автоматизованої реєстрації пристрою). Керованим програмам, які використовують CloudKit, потрібен керований Apple ID, пов’язаний із реєстрацією MDM. Адміністратори MDM повинні додавати ключ InstallAsManaged
у команду InstallApplication
. Подібно до програм iOS та iPadOS, ці програми можна вилучати автоматично, коли користувач скасовує реєстрацію в MDM.
Реєстрація користувачів та мережева робота для кожної окремої програми
В iOS 16, iPadOS 16.1 і visionOS 1.1 або новіших мережева робота для кожної окремої програми доступна для VPN (відома також як VPN на одну програму ), DNS-проксі та фільтрів вебвмісту для пристроїв, зареєстрованих шляхом реєстрації користувачів. Це означає, що тільки мережевий трафік, ініційований керованими програмами, проходить через DNS-проксі, фільтр вебвмісту або через обидва ці рішення. Особистий трафік користувача залишається відокремленим і не буде фільтруватися або проходити через проксі-сервер організації. Це досягається за допомогою нових пар ключ-значення для зазначених нижче наборів даних:
Як користувачі реєструють свої персональні пристрої
В iOS 15, iPadOS 15, macOS 14 і visionOS 1.1 або новіших версіях організації можуть використовувати спрощений процес реєстрації користувачів, вбудований безпосередньо в програму «Параметри», щоб полегшити користувачам реєстрацію своїх персональних пристроїв.
Для цього:
На iPhone, iPad і Apple Vision Pro користувач переходить у меню Параметри > Загальні > VPN та керування пристроями, а потім натискає кнопку «Увійти в робочий або шкільний обліковий запис».
На Mac користувач переходить у меню Параметри > Приватність і безпека > Профілі, а потім натискає кнопку «Увійти в робочий або шкільний обліковий запис».
Коли користувач вводить свій керований Apple ID, служба виявлення визначає URL-адресу реєстрації рішення MDM.
Після цього користувач вводить ім’я користувача та пароль своєї організації. Після успішної автентифікації організації профіль реєстрації надсилається на пристрій. Пристрій також отримує токен сеансу, який дозволить здійснити авторизацію. Після цього на пристрої розпочнеться процес реєстрації, а користувач отримає запит увійти зі своїм керованим Apple ID. На iPhone, iPad і Apple Vision Pro процес автентифікації може бути спрощено за допомогою функції єдиного входу з реєстрацією для зменшення кількості повторюваних запитів автентифікації.
Коли реєстрацію завершено, у програмі «Параметри» (iPhone, iPad і Apple Vision Pro) та «Системні параметри» (Mac) з’являється новий керований обліковий запис. Користувач все ще матиме доступ до своїх файлів на iCloud Drive, створених за допомогою персонального Apple ID. iCloud Drive для організації (пов’язаний з керованим Apple ID користувача) з’явиться окремо у програмі «Файли».
На iPhone, iPad і Apple Vision Pro керовані програми та керовані вебдокументи мають доступ до iCloud Drive організації, але, використовуючи специфічні обмеження, адміністратор MDM може розділити певні особисті та організаційні документи. Докладну інформацію наведено в статті Обмеження й можливості керованих програм.
Користувачі можуть дізнатися, що перебуває під керуванням на їхніх персональних пристроях, і скільки місця для зберігання в iCloud надає їхня організація. Оскільки пристрій належить користувачу, під час реєстрації користувача до пристрою можна застосувати лише невелику кількість обмежень і наборів даних. Докладну інформацію наведено в статті Інформація про реєстрацію користувача в MDM.
Як Apple відокремлює дані користувача від даних організації
Коли реєстрація користувача завершується, на пристрої автоматично створюються окремі ключі шифрування. Якщо реєстрацію пристрою буде скасовано користувачем або віддалено за допомогою MDM, ці ключі шифрування надійно знищуються. Ключі, які використовуються для криптографічного виокремлення керованих даних, наведено нижче.
Контейнери даних програми: iPhone, iPad, Mac і Apple Vision Pro
Календар: iPhone, iPad, Mac і Apple Vision Pro
Пристрої мають працювати під керуванням iOS 16, iPadOS 16.1, macOS 13 і visionOS 1.1 або новішої.
Елементи в’язок: iPhone, iPad, Mac і Apple Vision Pro
Примітка. Стороння програма для Mac має використовувати API в’язки захисту даних. Більше інформації наведено в документації для розробників Apple за посиланням kSecUseDataProtectionKeychain.
Вкладення пошти та вміст повідомлення пошти: iPhone, iPad, Mac і Apple Vision Pro
Нотатки: iPhone, iPad, Mac і Apple Vision Pro
Нагадування: iPhone, iPad, Mac і Apple Vision Pro
Пристрої мають працювати під керуванням iOS 17, iPadOS 17, macOS 14 і visionOS 1.1 або новішої.
Якщо користувач увійшов з персональним Apple ID і керованим Apple ID, функція входу з Apple автоматично використовує керований Apple ID для керованих програм і персональний Apple ID для некерованих програм. Під час використання процедури входу в Safari або SafariWebView в керованій програмі користувач може вибрати і ввести свій керований Apple ID, щоб пов’язати вхід з робочим обліковим записом.
Адміністратори системи можуть бачити тільки облікові записи організації, налаштування й інформацію, надану сервісом MDM, однак ніколи не бачать особисті облікові записи користувачів. Фактично ті самі функції, які захищають дані в керованих програмах, що належать організаціям, захищають персональний вміст користувачів від потрапляння в потік корпоративних даних.
Доступно для MDM | Недоступно для MDM |
---|---|
Конфігурування облікових записів | Перегляд персональної інформації, даних про використання чи журналів |
Доступ до переліку керованих програм | Доступ до переліку персональних програм |
Вилучення лише керованих даних | Вилучення персональних даних |
Інсталювання та конфігурування програм | Взяття контролю над персональною програмою |
Вимога коду допуску | Вимога складного коду допуску або пароля |
Запровадження певних обмежень | Отримання даних про місцеположення пристрою |
Конфігурування VPN на одну програму | Доступ до унікальних ідентифікаторів пристрою |
| Віддалене стирання всього пристрою |
| Керування замком активації |
| Доступ до статусу роумінгу |
| Ввімкнення режиму втрати |
Примітка. Для iPhone і iPad адміністратори можуть вимагати коди допуску зі щонайменше 6 символами та забороняти користувачам використання простих кодів допуску (наприклад,123456 чи abcdef), але не можуть вимагати використовувати складні символи чи паролі.