Методи реєстрації за обліковим записом для пристроїв Apple
Реєстрація користувача за обліковим записом і реєстрація пристрою за обліковим записом забезпечують безперешкодний безпечний спосіб для користувачів та організацій налаштувати пристрої Apple для роботи через вхід у керований обліковий запис Apple.
З таким підходом на пристрої може бути здійснено вхід одночасно в керований обліковий запис Apple і персональний обліковий запис Apple з повним розділенням робочих і особистих даних. Користувачі зберігають приватність персональної інформації, а IT-спеціалісти підтримують пов’язані з роботою програми, параметри й облікові записи.
Щоб підтримати це розділення, необхідно внести такі зміни у роботу з програмами й резервними копіями:
Коли вилучається профіль реєстрації, вилучаються всі конфігурації й параметри.
Керовані програми завжди вилучаються під час вилучення реєстрації.
Якщо ви інсталюєте програми перед реєстрацією в службі керування пристроями, ви не зможете перетворити їх на керовані.
Відновлення з резервної копії не відновлює реєстрацію в службі керування пристроями.
Користувачі, які ввійшли зі своїми персональними обліковими записами Apple, не можуть приймати запрошення для розповсюдження керованих програм.
Хоча можна створювати керовані облікові записи Apple вручну, організації можуть користуватися перевагами інтеграції з Google Workspace, Microsoft Entra ID або своїм постачальником посвідчень (IdP).
Щоб отримати більше інформації про федеративну автентифікацію, перегляньте статті Вступ до федеративної автентифікації з Apple School Manager або Вступ до федеративної автентифікації з Apple Business Manager.
Процес реєстрації за обліковим записом
Щоб зареєструвати пристрій, використовуючи реєстрацію користувача за обліковим записом або реєстрацію пристрою за обліковим записом, користувач переходить у Параметри > Загальні > VPN та керування пристроями або Системні параметри >Загальні > Керування пристроєм, а потім вибирає «Увійти в робочий або навчальний обліковий запис».
Це починає чотириетапний процес реєстрації в службі керування пристроями:
Виявлення служб. Пристрій визначає URL-адресу реєстрації служби керування пристроями.
Автентифікація і токен доступу. Користувач надає облікові дані для авторизації реєстрації й отримує токен доступу, створений для постійної автентифікації.
Реєстрація в службі. На пристрій надсилається профіль реєстрації, і користувач має ввійти у свій керований обліковий запис Apple, щоб завершити реєстрацію.
Постійна автентифікація. Служба керування пристроями постійно перевіряє вхідного користувача за допомогою токена доступу.
Етап 1. Виявлення служб
На першому кроці виявлення служби намагається визначити URL реєстрації служби керування пристроями. Для цього використовується ідентифікатор, введений користувачем, наприклад eliza@betterbag.com. Домен має бути повним доменним іменем (FQDN), що оголошує службу керування пристроями для організації користувача.
Після цього відбуваються такі кроки:
Крок 1
Пристрій визначає домен в наданому ідентифікаторі (у наведеному прикладі це betterbag.com).
Крок 2
Пристрій запитує відомий ресурс від домена організації —наприклад, https://<domain>/.well-known/com.apple.remotemanagement.
Клієнт включає два параметри в шлях URL запиту HTTP GET:
user-identifier: значення введеного ідентифікатора облікового запису (у наведеному прикладі це eliza@betterbag.com).
model-family: сімейство моделей пристрою (наприклад, iPhone, iPad, Mac).
Примітка. Пристрій виконує запити HTTP 3xx redirect, які дозволяють актуальний файл com.apple.remotemanagement розміщувати на іншому сервері, до якого має доступ пристрій.
Для пристроїв із iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 або новіших процес виявлення служби дозволяє пристрою отримати відомий ресурс із альтернативного розташування, вказаного службою керування пристроями, пов’язаного з Apple School Manager або Apple Business Manager. Першим параметром для виявлення служби залишається відомий ресурс на домені організації. У разі невдалого виконання запиту пристрій переходить до перевірки Apple School Manager або Apple Business Manager на предмет альтернативного розташування відомого ресурсу. Для цього процесу необхідно, щоб домен, який використовується в ідентифікаторі, був перевірений в Apple School Manager або Apple Business Manager. Додаткову інформацію дивіться в розділах Додавання і перевірка домена в Apple School Manager або Додавання і перевірка домена в Apple Business Manager.
Щоб використовувати цю функцію, службі керування пристроями потрібно сконфігурувати альтернативну URL-адресу пошуку служб під час звʼязку з Apple School Manager або Apple Business Manager. Коли пристрій звертається до Apple School Manager або Apple Business Manager, за типом пристрою визначається призначена служба керування пристроями: процес такий самий, як і для визначення типової служби для автоматизованої реєстрації пристрою. Якщо призначена служба має сконфігурований URL виявлення служби, пристрій переходить до запиту відомого ресурсу з цього розташування. Про задання типового призначення пристрою дивіться розділи Задання типового призначення пристрою в Apple School Manager або Задання типового призначення пристрою в Apple Business Manager.
Служба керування пристроями також може містити відомий ресурс.
Крок 3
Сервер, на якому розміщено відомий ресурс, відповідає документом виявлення служби JSON, який відповідає такій схемі:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Ключі, типи і описи реєстрації служби керування пристроями наведено в таблиці. Усі ключі обов’язкові.
Ключ | Тип | Опис |
|---|---|---|
Servers (Сервери) | Масив | Список з одним записом. |
Version (Версія) | Рядок | Цей ключ визначає метод реєстрації. Його значення має бути |
BaseURL | Рядок | URL-адреса реєстрації служби керування пристроями. |
Важливо! Сервер має забезпечити, щоб поле заголовку Content-Type у відповіді HTTP було задане значенням application/json.
Крок 4
Пристрій надсилає запит HTTP POST на URL реєстрації, вказаний в ключі BaseURL.
Етап 2: Автентифікація і токен доступу
Щоб авторизувати реєстрацію, користувач має автентифікуватися в службі керування пристроями. Після успішної автентифікації служба керування пристроями випускає токен доступу для пристрою. Пристрій безпечно зберігає токен для використання під час подальших запитів авторизації.
Токен доступу:
Він є ключовим як для початкового процесу автентифікації, так і для постійного доступу до ресурсів служби керування пристроями.
Служить безпечним мостом між керованим обліковим записом Apple користувача й службою керування пристроями
Використовується для постійного доступу до робочих ресурсів для всіх реєстрацій за обліковим записом.
На iPhone, iPad і Apple Vision Pro процес початкової й подальшої автентифікації може бути спрощено за допомогою функції Enrollment SSO (Єдиного входу з реєстрацією) для зменшення кількості повторюваних запитів автентифікації. Докладну інформацію наведено в статті Єдиний вхід із реєстрацією (SSO) для iPhone, iPad та Apple Vision Pro.
Етап 3: Реєстрація служби керування пристроями
За допомогою токена доступу пристрій автентифікується в службі керування пристроями та отримує доступ до профіля реєстрації. Цей профіль містить усю інформацію, необхідну пристроєві для реєстрації. Щоб завершити реєстрацію, користувач має успішно ввійти у свій керований обліковий запис Apple. Після завершення реєстрації в Параметрах і Системних параметрах підкреслено відображається керований обліковий запис Apple.
Додаткову інформацію про служби iCloud, доступні для користувачів, дивіться в статті Доступ до служб iCloud.
Етап 4: Постійна автентифікація
Після реєстрації токен доступу залишається активним і включається в усі запити до служби керування пристроями через заголовок HTTP Authorization. Це дозволяє службі неперервно перевіряти користувача і гарантує, що тільки авторизовані користувачі отримують доступ до ресурсів організації.
Токени доступу зазвичай втрачають придатність через заданий період. Після цього на пристрої може з’явитися підказка користувачеві про потребу повторної автентифікації або поновлення токена доступу. Періодична повторна перевірка дозволяє підвищити безпеку, що важливо як для пристроїв у персональній власності, так і для пристроїв організації. У разі використання єдиного входу з реєстрацією поновлення токена відбувається автоматично через постачальника посвідчення організації, що забезпечує безперебійний доступ без повторної автентифікації.
Про відокремлення даних користувача і даних організації для методів реєстрації за обліковим записом
Коли реєстрація користувача за обліковим записом або реєстрація пристрою за обліковим записом завершується, операційна система автоматично створює окремі ключі шифрування на пристрої. Якщо користувач скасує реєстрацію пристрою або служба керування пристроями віддалено скасує її, операційна система знищить ці ключі шифрування. Операційна система використовує ці ключі для криптографічного виокремлення керованих даних, наведених в таблиці.
Вміст | Мінімальні підтримувані версії операційної системи | Опис | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Контейнери даних керованих програм | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Керовані програми використовують керований обліковий запис, пов’язаний із реєстрацією служби керування пристроями, для синхронізації даних в iCloud. Сюди входять керовані програми (інстальовані зі значенням ключа | |||||||||
Програма «Календар» | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Події відокремлені. | |||||||||
Елементи в’язок | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Стороння програма для Mac має використовувати API в’язки захисту даних. Додаткову інформацію дивіться в розділі «Global Variable kSecUseDataProtectionKeychain» на вебсайті розробників Apple. | |||||||||
Програма «Пошта» | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Вкладення пошти та вміст листів пошти відокремлені. | |||||||||
Програма «Нотатки» | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Нотатки відокремлені. | |||||||||
Програма «Нагадування» | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Нагадування відокремлені. | |||||||||
На iPhone, iPad і Apple Vision Pro, керовані програми і керовані вебдокументи мають доступ до iCloud Drive організації (який відображається окремо у програмі «Файли» після входу користувача у його керований обліковий запис). Адміністратор служби керування пристроями може допомогти відокремити певні особисті й організаційні документи, застосовуючи певні обмеження. Докладну інформацію наведено в статті Розповсюдження керованих програм на пристроях Apple.
Якщо користувач увійшов із персональним обліковим записом Apple і керованим обліковим записом Apple, функція входу з Apple автоматично використовує керований обліковий запис Apple для керованих програм і персональний обліковий запис Apple для некерованих програм. Під час використання процедури входу в Safari або SafariWebView у керованій програмі користувач може вибрати та ввести свій керований обліковий запис Apple, щоб пов’язати вхід із робочим обліковим записом.
