Реєстрація користувача та MDM
Реєстрацію користувача розроблено для BYOD, або як іще називають цей спосіб введення в дію, — розгортання власних пристроїв, коли пристроями володіють користувачі, а не організація. Реєстрацію користувача можна виконувати за допомогою постачальника посвідчень (IdP), Google Workspace або Microsoft Entra ID та Apple School Manager або Apple Business Manager і за допомогою стороннього рішення MDM. Її також можна застосовувати з керуванням пристроями в Apple Business Essentials.
Реєстрація користувача в MDM відбувається в чотири етапи:
Виявлення служб. Пристрій повідомляє про себе рішенню MDM.
Реєстрація користувача. Користувач надає облікові дані постачальнику посвідчення (IdP), щоб авторизувати реєстрацію в рішенні MDM.
Токен сеансу. Пристрій отримує токен сеансу, який дозволить здійснити автентифікацію.
Реєстрація в MDM. На пристрій надсилається профіль реєстрації з наборами даних, налаштованими адміністратором MDM.
Реєстрація користувача та керовані облікові записи Apple
Для реєстрації користувача необхідні керовані облікові записи Apple. Вони належать організації, яка ними керує, і надають її працівникам доступ до певних служб Apple. Крім того, для керованих облікових записів Apple властиве таке:
Створюються вручну або автоматично шляхом федеративної автентифікації
Інтегровані в систему учнівських даних (SIS) або в закачувані файли .csv (лише Apple School Manager)
Також можуть бути використані для входу з призначеною роллю в Apple School Manager, Apple Business Manager або Apple Business Essentials
Коли користувач вилучає профіль реєстрації, усі профілі конфігурації, їх параметри та керовані програми на основі профілю реєстрації вилучаються разом із ним.
Функцію реєстрації користувача інтегровано з керованими обліковими записами Apple, що дає змогу створювати посвідчення користувача на пристрої. Користувач має успішно автентифікуватися, щоб завершити реєстрацію. Керований обліковий запис Apple можна використовувати разом із персональним обліковим записом Apple, з яким користувач уже ввійшов у систему. Ці два ідентифікатори не перетинаються.
Реєстрація користувача та федеративна автентифікація
Хоча керовані облікові записи Apple можна створювати вручну, організації можуть користуватися перевагами синхронізації з IdP, Google Workspace чи Microsoft Entra ID і функцією реєстрації користувача. Для цього ваша установа має спершу виконати такі дії:
Запровадити керування обліковими даними користувачів через IdP, Google Workspace чи Microsoft Entra ID.
Якщо ви користуєтеся локальною версією Active Directory, для федеративної автентифікації знадобиться додаткове конфігурування.
Зареєструвати організацію в Apple School Manager, Apple Business Manager або Apple Business Essentials
Налаштувати федеративну автентифікацію в Apple School Manager, Apple Business Manager або Apple Business Essentials
Налаштувати рішення MDM і зв’язати його з Apple School Manager, Apple Business Manager чи Apple Business Essentials або скористатися функцією керування пристроями, вбудованою в Apple Business Essentials.
Створити керовані облікові записи Apple (необовʼязково).
Реєстрація користувача та керовані програми (macOS)
У реєстрацію користувача додано керовані програми в macOS (цю функцію вже можна було використовувати за звичайної та автоматизованої реєстрації пристрою). Керованим програмам, які використовують CloudKit, потрібен керований обліковий запис Apple, пов’язаний із реєстрацією MDM. Адміністратори MDM повинні додавати ключ InstallAsManaged у команду InstallApplication. Подібно до програм iOS та iPadOS, ці програми можна вилучати автоматично, коли користувач скасовує реєстрацію в MDM.
Реєстрація користувачів та мережева робота для кожної окремої програми
В iOS 16, iPadOS 16.1 і visionOS 1.1 або новіших мережева робота для кожної окремої програми доступна для VPN (відома також як VPN на одну програму ), DNS-проксі та фільтрів вебвмісту для пристроїв, зареєстрованих шляхом реєстрації користувачів. Це означає, що тільки мережевий трафік, ініційований керованими програмами, проходить через DNS-проксі, фільтр вебвмісту або через обидва ці рішення. Особистий трафік користувача залишається відокремленим і не буде фільтруватися або проходити через проксі-сервер організації. Це досягається за допомогою нових пар ключ-значення для зазначених нижче наборів даних:
Як користувачі реєструють свої персональні пристрої
В iOS 15, iPadOS 15, macOS 14 і visionOS 1.1 або новіших версіях організації можуть використовувати спрощений процес реєстрації користувачів, вбудований безпосередньо в програму «Параметри», щоб полегшити користувачам реєстрацію своїх персональних пристроїв.
Для цього:
На iPhone, iPad і Apple Vision Pro користувач переходить у меню Параметри > Загальні > VPN та керування пристроями, а потім натискає кнопку «Увійти в робочий або шкільний обліковий запис».
На Mac користувач переходить у меню Параметри > Приватність і безпека > Профілі, а потім натискає кнопку «Увійти в робочий або шкільний обліковий запис».
Коли користувач вводить свій керований обліковий запис Apple, служба виявлення визначає URL-адресу реєстрації рішення MDM.
Після цього користувач вводить ім’я користувача та пароль своєї організації. Після успішної автентифікації організації профіль реєстрації надсилається на пристрій. Пристрій також отримує токен сеансу, який дозволить здійснити авторизацію. Після цього на пристрої розпочнеться процес реєстрації, а користувач отримає запит увійти зі своїм керованим обліковим записом Apple. На iPhone, iPad і Apple Vision Pro процес автентифікації може бути спрощено за допомогою функції єдиного входу з реєстрацією для зменшення кількості повторюваних запитів автентифікації.
Коли реєстрацію завершено, у програмі «Параметри» (iPhone, iPad і Apple Vision Pro) та «Системні параметри» (Mac) з’являється новий керований обліковий запис. Користувач все ще матиме доступ до своїх файлів на iCloud Drive, створених за допомогою персонального облікового запису Apple. iCloud Drive для організації (пов’язаний з керованим обліковим записом Apple користувача) з’явиться окремо в програмі «Файли».
На iPhone, iPad і Apple Vision Pro керовані програми та керовані вебдокументи мають доступ до iCloud Drive організації, але, використовуючи специфічні обмеження, адміністратор MDM може розділити певні особисті та організаційні документи. Докладну інформацію наведено в статті Обмеження й можливості керованих програм.
Користувачі можуть дізнатися, що перебуває під керуванням на їхніх персональних пристроях, і скільки місця для зберігання в iCloud надає їхня організація. Оскільки пристрій належить користувачу, під час реєстрації користувача до пристрою можна застосувати лише невелику кількість обмежень і наборів даних. Докладну інформацію наведено в статті Інформація про реєстрацію користувача в MDM.
Як Apple відокремлює дані користувача від даних організації
Коли реєстрація користувача завершується, на пристрої автоматично створюються окремі ключі шифрування. Якщо реєстрацію пристрою буде скасовано користувачем або віддалено за допомогою MDM, ці ключі шифрування надійно знищуються. Ключі, які використовуються для криптографічного виокремлення керованих даних, наведено нижче.
Контейнери даних програми: iPhone, iPad, Mac і Apple Vision Pro
Календар: iPhone, iPad, Mac і Apple Vision Pro
Пристрої мають працювати під керуванням iOS 16, iPadOS 16.1, macOS 13 і visionOS 1.1 або новішої.
Елементи в’язок: iPhone, iPad, Mac і Apple Vision Pro
Примітка. Стороння програма для Mac має використовувати API в’язки захисту даних. Більше інформації наведено в документації для розробників Apple за посиланням kSecUseDataProtectionKeychain.
Вкладення пошти та вміст повідомлення пошти: iPhone, iPad, Mac і Apple Vision Pro
Нотатки: iPhone, iPad, Mac і Apple Vision Pro
Нагадування: iPhone, iPad, Mac і Apple Vision Pro
Пристрої мають працювати під керуванням iOS 17, iPadOS 17, macOS 14 і visionOS 1.1 або новішої.
Якщо користувач увійшов із персональним обліковим записом Apple і керованим обліковим записом Apple, функція входу з Apple автоматично використовує керований обліковий запис Apple для керованих програм і персональний обліковий запис Apple для некерованих програм. Під час використання процедури входу в Safari або SafariWebView у керованій програмі користувач може вибрати та ввести свій керований обліковий запис Apple, щоб пов’язати вхід із робочим обліковим записом.
Адміністратори системи можуть бачити тільки облікові записи організації, налаштування й інформацію, надану сервісом MDM, однак ніколи не бачать особисті облікові записи користувачів. Фактично ті самі функції, які захищають дані в керованих програмах, що належать організаціям, захищають персональний вміст користувачів від потрапляння в потік корпоративних даних.
Доступно для MDM | Недоступно для MDM |
|---|---|
Конфігурування облікових записів | Перегляд персональної інформації, даних про використання чи журналів |
Доступ до переліку керованих програм | Доступ до переліку персональних програм |
Вилучення лише керованих даних | Вилучення персональних даних |
Інсталювання та конфігурування програм | Взяття контролю над персональною програмою |
Вимога коду допуску | Вимога складного коду допуску або пароля |
Запровадження певних обмежень | Отримання даних про місцеположення пристрою |
Конфігурування VPN на одну програму | Доступ до унікальних ідентифікаторів пристрою |
| Віддалене стирання всього пристрою |
| Керування замком активації |
| Доступ до статусу роумінгу |
| Ввімкнення режиму втрати |
Примітка. Для iPhone і iPad адміністратори можуть вимагати коди допуску зі щонайменше 6 символами та забороняти користувачам використання простих кодів допуску (наприклад,123456 чи abcdef), але не можуть вимагати використовувати складні символи чи паролі.