通过 Apple 设备的账户驱动型注册方式
账户驱动型用户注册和账户驱动型设备注册通过使用管理式 Apple 账户登录,提供了无缝且安全的方式供用户和组织设置用于工作的 Apple 设备。
此方式允许在同一台设备上同时登录管理式 Apple 账户和个人 Apple 账户,并且实现工作和个人数据的完全分离。用户保持其个人信息私密,而 IT 可为工作相关的 App、设置和账户提供支持。
为支持此分离,对 App 和备份的处理方式进行了以下更改:
注册描述文件移除时会移除所有配置和设置。
在取消注册过程中始终会移除受管理的 App。
在移动设备管理 (MDM) 解决方案注册前安装的 App 无法转换为受管理的 App。
从备份恢复时不会恢复 MDM 注册。
通过其个人 Apple 账户登录的用户无法接受受管理的 App 分发邀请。
虽然管理式 Apple 账户可手动创建,但组织可充分利用 IdP、Google Workspace 或 Microsoft Entra ID 集成。
有关联合认证的更多信息,请参阅对 Apple 校园教务管理使用联合验证的简介或对 Apple 商务管理使用联合验证的简介。
账户驱动型注册流程
若要使用账户驱动型用户注册或账户驱动型设备注册来注册设备,用户需要导航到“设置”>“通用”>“VPN 与设备管理”或者“系统设置”>“通用”>“设备管理”,然后选择“登录工作或学校账户”按钮。
这会发起包含四个阶段的 MDM 注册流程:
服务发现:设备决定了 MDM 解决方案的注册 URL。
认证和访问令牌:用户提供授权注册的凭证并获取签发给持续认证的访问令牌。
MDM 注册:注册描述文件会发送给设备,用户需要通过其管理式 Apple 账户登录来完成注册。
持续认证:MDM 解决方案会使用访问令牌持续验证登录的用户。
阶段 1:服务发现
第一步,服务发现会尝试识别 MDM 解决方案的注册 URL。为此,它会使用用户输入的标识符,如 eliza@betterbag.com。该域必须是完全限定域名 (FQDN),会为用户的组织广播 MDM 服务。
接着会进行以下步骤:
步骤 1
设备会在提供的标识符中识别域(上述示例中的 betterbag.com)。
步骤 2
设备会请求来自组织域的 well-known 资源,例如,https://<domain>/.well-known/com.apple.remotemanagement。
客户端会在 HTTP GET 请求的 URL 路径中包括两个查询参数:
user-identifier:所输入账户标识符的值(上述示例中的 eliza@betterbag.com)。
model-family:设备的机型系列(如 iPhone、iPad、Mac)。
【注】设备会遵循 HTTP 3xx 重定向请求,这允许实际的 com.apple.remotemanagement 文件在设备可连接的另一个服务器上托管。
对于运行 iOS 18.2、iPadOS 18.2、macOS 15.2、visionOS 2.2 或更高版本的设备,服务发现流程允许设备从链接至“Apple 校园教务管理”或“Apple 商务管理”的 MDM 解决方案指定的替代位置获取 well-known 资源。 服务发现的首选仍是组织域的 well-known 资源。在请求失败的情况下,设备会继续联系“Apple 校园教务管理”或“Apple 商务管理”获取 well-known 资源的替代位置。此流程需要标识符中使用的域在“Apple 校园教务管理”或“Apple 商务管理”中进行验证。有关更多信息,请参阅在 Apple 校园教务管理中添加并验证域或在 Apple 商务管理中添加并验证域。
若要使用此功能,替代服务发现 URL 必须由链接至“Apple 商务管理”和“Apple 校园教务管理”的 MDM 解决方案配置。设备联系“Apple 校园教务管理”或“Apple 商务管理”时,设备类型会用于确定该类型分配的 MDM 解决方案,这与确定自动设备注册的默认 MDM 解决方案流程相同。如果分配的 MDM 解决方案拥有已配置的服务发现 URL,设备会继续从该位置请求 well-known 资源。若要设定默认设备分配,请参阅在 Apple 校园教务管理中设置默认设备分配或在 Apple 商务管理中设置默认设备分配。
MDM 解决方案也可托管 well-known 资源。
步骤 3
托管 well-known 资源的服务器通过符合以下方案的服务发现 JSON 文稿响应:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}下表中包括了 MDM 注册键、类型和描述。所有键均为必要项。
键 | 类型 | 描述 |
|---|---|---|
Servers | 数组 | 包含单一条目的列表。 |
Version | 字符串 | 此键决定了要使用的注册方式,且必须是 |
BaseURL | 字符串 | MDM 解决方案的注册 URL。 |
【重要事项】服务器必须确保 HTTP 响应中的 Content-Type 标头栏设为 application/json。
步骤 4
设备将 HTTP POST 请求发送给由 BaseURL 指定的注册 URL。
阶段 2:认证和访问令牌
若要授权注册,用户需要通过 MDM 解决方案认证。认证成功后,MDM 解决方案会向设备签发访问令牌。设备会安全储存该令牌以在授权后续请求时使用。
访问令牌:
是初始认证流程和持续访问 MDM 资源的核心
用作用户管理式 Apple 账户和 MDM 解决方案之间的安全桥梁
用于允许持续访问所有账户驱动型注册的工作资源
在 iPhone、iPad 和 Apple Vision Pro 上,可使用注册 SSO(注册单点登录)减少重复的认证提示以简化初始和持续认证流程。有关更多信息,请参阅适用于 iPhone、iPad 和 Apple Vision Pro 的注册单点登录。
阶段 3:MDM 注册
使用访问令牌,设备可通过 MDM 解决方案认证并访问 MDM 注册描述文件。此描述文件包含所有设备执行注册所需的信息。若要完成注册,用户必须通过其管理式 Apple 账户成功登录。注册完成后,管理式 Apple 账户会以醒目的方式显示在“设置”和“系统设置”中。
有关用户可用的 iCloud 服务的更多信息,请参阅访问 iCloud 服务。
阶段 4:持续认证
注册后,访问令牌仍为活跃状态并使用 Authorization HTTP 标头包括在所有针对 MDM 解决方案的请求中。这可让 MDM 解决方案持续验证用户,并有助于确保仅授权用户可保留对组织资源的访问。
访问令牌通常会在一段时间后过期。过期后,设备可能会提示用户重新认证以续订访问令牌。定期重新验证有助于上传安全性,这对于个人和组织拥有的设备很重要。通过注册 SSO,令牌续订会通过组织的身份提供商自动发生,确保不间断访问,而无需再次认证。
如何通过账户驱动型注册方式使用户数据与组织数据分离
账户驱动型用户注册或账户驱动型设备注册完成后,设备上会自动创建分离加密密钥。如果设备被用户或使用 MDM 以远程方式取消注册,这些加密密钥会被安全销毁。密钥用于以加密方式分离下表中所列的被管理的数据。
内容 | 支持的最低操作系统版本 | 描述 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
受管理的 App 数据容器 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 受管理的 App 使用与 MDM 注册关联的管理式 Apple 账户同步 iCloud 数据。这包括了 Mac 上使用 CloudKit 的受管理的 App(使用在 | |||||||||
“日历” App | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | 日程会被分离。 | |||||||||
钥匙串项 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 第三方 Mac App 必须使用“数据保护钥匙串” API。有关更多信息,请参阅 Apple 开发者网站上的 Global Variable kSecUseDataProtectionKeychain。 | |||||||||
“邮件” App | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 邮件附件和邮件正文会被分离。 | |||||||||
“备忘录” App | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 备忘录会被分离。 | |||||||||
“提醒事项” App | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | 提醒事项会被分离。 | |||||||||
在 iPhone、iPad 和 Apple Vision Pro 上,受管理的 App 和被管理的基于网页的文稿均可访问组织的 iCloud 云盘(用户通过其管理式 Apple 账户登录后在“文件” App 中分开显示)。MDM 管理员可使用特定访问限制帮助保持特定的个人和组织文稿分离。 有关更多信息,请参阅受管理的 App 的访问限制和功能。
如果用户通过个人 Apple 账户和管理式 Apple 账户登录,“通过 Apple 登录”会自动为受管理的 App 使用管理式 Apple 账户,并为未受管理的 App 使用个人 Apple 账户。在 Safari 浏览器或受管理 App 的 SafariWebView 中使用登录流程时,用户可以选择并输入其管理式 Apple 账户以将登录与其工作或学校账户关联。
