用户注册和 MDM
用户注册为 BYOD(自带设备部署)而设计,这些设备由用户拥有,不属于组织。它可配合身份提供商 (IdP)、Google Workspace 或 Microsoft Entra ID、“Apple 校园教务管理”或“Apple 商务管理”以及第三方 MDM 解决方案使用。它还可配合“Apple 商务必备”中的设备管理使用。
以下是用户注册到 MDM 的四个阶段:
服务发现:设备自行识别到 MDM 解决方案。
用户注册:用户向身份提供商 (IdP) 提供用于认证的凭证以注册 MDM 解决方案。
会话令牌:会话令牌会对设备发放以允许正在进行的认证。
MDM 注册:注册描述文件会连同已由 MDM 管理员配置的有效负载发送到设备。
用户注册和管理式 Apple 账户
用户注册需要管理式 Apple 账户。这类账户由组织拥有和管理,提供特定 Apple 服务的雇员访问许可。此外,管理式 Apple 账户:
使用手动创建,或使用联合认证自动创建
与学生信息系统 (SIS) 或上传的 .csv 文件(仅限“Apple 校园教务管理”)整合
还可用于在“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”中登录到分配的职务
用户移除注册描述文件后,基于该注册描述文件的所有配置描述文件及其设置和受管理的 App 都会随之移除。
用户注册与管理式 Apple 账户集成,用于在设备上建立用户身份。用户必须成功认证才能完成注册。管理式 Apple 账户可与用户已登录的个人 Apple 账户共同使用,二者互不影响。
用户注册和联合认证
虽然管理式 Apple 账户可手动创建,但组织可充分利用 IdP、Google Workspace 或 Microsoft Entra ID 同步和用户注册。若要这么做,你的组织必须先:
通过 IdP、Google Workspace 或 Microsoft Entra ID 管理用户凭证
如果你的 Active Directory 为预置版,则必须进行额外的配置以针对联合认证作准备。
在“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”中注册组织
在“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”中设置联合认证
配置 MDM 解决方案并将其关联到“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”,或者使用“Apple 商务必备”中直接内建的设备管理
(可选)创建管理式 Apple 账户
用户注册和受管理的 App (macOS)
用户注册已将受管理的 App 添加到 macOS(此功能在设备注册和自动设备注册中已经实现)。使用 CloudKit 的受管理的 App 使用与 MDM 注册关联的管理式 Apple 账户。MDM 管理员必须将 InstallAsManaged 键添加到 InstallApplication 命令。与 iOS 和 iPadOS App 相似,此类 App 可在用户从 MDM 取消注册后自动移除。
用户注册和 App 单独联网
对于通过用户注册进行注册的设备,iOS 16、iPadOS 16.1、visionOS 1.1 或更高版本中的 App 单独联网可用于 VPN(称为“为 App 单独设置 VPN”)、DNS 代理和网页内容过滤器。这意味着只有受管理的 App 发起的网络流量才通过 DNS 代理和/或网页内容过滤器。用户的个人流量保持独立,不会被组织过滤或代理。此过程使用针对以下有效负载的新键值对完成:
用户如何注册其个人设备
在 iOS 15、iPadOS 15、macOS 14、visionOS 1.1 或更高版本中,组织可以使用直接内建于“设置” App 的简化版用户注册过程,让用户更方便地注册其个人设备。
若要执行此操作:
在 iPhone、iPad 和 Apple Vision Pro 上,用户需要导航到“设置”>“通用”>“VPN 与设备管理”,然后选择“登录工作或学校账户”按钮。
在 Mac 上,用户需要导航到“设置”>“隐私与安全性”>“描述文件”,然后选择“登录工作或学校账户”按钮。
用户输入其管理式 Apple 账户时,服务发现会识别 MDM 解决方案的注册 URL。
然后,用户输入其组织用户名和密码。组织认证成功后,注册描述文件会发送到设备。会话令牌也会对设备发放以允许正在进行的授权。设备随后开始注册过程,并提示用户通过其管理式 Apple 账户登录。在 iPhone、iPad 和 Apple Vision Pro 上,可使用注册单点登录减少重复的认证提示以简化认证过程。
注册完成后,新的管理式账户会以醒目的方式显示在“设置” App(iPhone、iPad 和 Apple Vision Pro)以及“系统设置” (Mac) 中。这允许用户仍可访问使用其个人 Apple 账户创建的 iCloud 云盘中的文件。组织的 iCloud 云盘(与用户的管理式 Apple 账户关联)会单独显示在“文件” App 中。
在 iPhone、iPad 和 Apple Vision Pro 上,受管理的 App 和被管理的基于网页的文稿均可访问组织的 iCloud 云盘,MDM 管理员可使用特定访问限制帮助保持特定的个人和组织文稿独立。有关更多信息,请参阅受管理的 App 的访问限制和功能。
用户可以查看其个人设备上被管理内容的详细信息以及其组织提供了多少 iCloud 储存空间。由于设备由用户所有,用户注册仅能将数量有限的一组有效负载和访问限制应用到设备。有关更多信息,请参阅用户注册 MDM 信息。
Apple 如何分离用户数据和组织数据
用户注册完成后,设备上会自动创建单独的加密密钥。如果设备被用户或使用 MDM 以远程方式取消注册,这些加密密钥会被安全销毁。密钥用于以加密方式分离下列被管理的数据:
App 数据容器:iPhone、iPad、Mac 和 Apple Vision Pro
日历:iPhone、iPad、Mac 和 Apple Vision Pro
设备必须使用 iOS 16、iPadOS 16.1、macOS 13、 visionOS 1.1 或更高版本。
钥匙串项:iPhone、iPad、Mac 和 Apple Vision Pro
【注】第三方 Mac App 必须使用数据保护钥匙串 API。有关更多信息,请参阅 Apple 开发者文稿:kSecUseDataProtectionKeychain。
邮件附件和正文:iPhone、iPad、Mac 和 Apple Vision Pro
备忘录:iPhone、iPad、Mac 和 Apple Vision Pro
提醒事项:iPhone、iPad、Mac 和 Apple Vision Pro
设备必须使用 iOS 17、iPadOS 17、macOS 14、visionOS 1.1 或更高版本。
如果用户通过个人 Apple 账户和管理式 Apple 账户登录,“通过 Apple 登录”将自动为受管理的 App 使用管理式 Apple 账户,并为未受管理的 App 使用个人 Apple 账户。在 Safari 浏览器或受管理 App 的 SafariWebView 中使用登录流程时,用户可以选择并输入其管理式 Apple 账户以将登录与其工作账户关联。
系统管理员只能管理通过 MDM 预置的组织账户、设置和信息,不能管理用户的个人账户。事实上,用于保护由组织所有的受管理的 App 中数据安全的功能同时也在防止用户的个人数据进入企业数据流。
MDM 可以执行 | MDM 不能执行 |
|---|---|
配置账户 | 查看个人信息、使用数据或日志 |
访问受管理的 App 清单 | 访问个人 App 清单 |
仅移除被管理的数据 | 移除任何个人数据 |
安装和配置 App | 接管个人 App |
需要密码 | 需要复杂密码 |
实施特定访问限制 | 访问设备位置 |
配置“为 App 单独设置 VPN” | 访问唯一设备标识符 |
| 远程擦除整台设备 |
| 管理激活锁 |
| 访问漫游状态 |
| 打开丢失模式 |
【注】对于 iPhone 和 iPad,管理员可以要求至少 6 个字符的密码并阻止用户使用简单密码(如 123456 或 abcdef),但不能要求复杂字符或密码。