通过 Apple 设备的账户驱动型注册方式
账户驱动型用户注册和账户驱动型设备注册通过使用管理式 Apple 账户登录,提供了无缝且安全的方式供用户和组织设置用于工作的 Apple 设备。
此方式允许在同一台设备上同时登录管理式 Apple 账户和个人 Apple 账户,并且实现工作和个人数据的完全分离。用户保持其个人信息私密,而 IT 可为工作相关的 App、设置和账户提供支持。
为支持此分离,对 App 和备份的处理方式进行了以下更改:
注册描述文件移除时会移除所有配置和设置。
在取消注册过程中始终会移除受管理的 App。
如果你在设备管理服务注册前安装了 App,则无法将其转换为受管理的 App。
从备份恢复时不会恢复设备管理服务注册。
通过其个人 Apple 账户登录的用户无法接受受管理的 App 分发邀请。
虽然你可以手动创建管理式 Apple 账户,但组织可充分利用 Google Workspace、Microsoft Entra ID 或其身份提供商 (IdP) 集成。
有关联合认证的更多信息,请参阅对 Apple 校园教务管理使用联合验证的简介或对 Apple 商务管理使用联合验证的简介。
账户驱动型注册流程
若要使用账户驱动型用户注册或账户驱动型设备注册来注册设备,用户需要导航到“设置”>“通用”>“VPN 与设备管理”或者“系统设置”>“通用”>“设备管理”,然后选择“登录工作或学校账户”按钮。
这会发起包含四个阶段的设备管理服务注册流程:
服务发现:设备决定了设备管理服务的注册 URL。
认证和访问令牌:用户提供授权注册的凭证并获取签发给持续认证的访问令牌。
服务注册:注册描述文件会发送给设备,用户需要通过其管理式 Apple 账户登录来完成注册。
持续认证:设备管理服务会使用访问令牌持续验证登录的用户。
阶段 1:服务发现
第一步,服务发现会尝试识别设备管理服务的注册 URL。为此,它会使用用户输入的标识符,如 eliza@betterbag.com。该域需要是完全限定域名 (FQDN),会为用户的组织广播设备管理服务。
接着会进行以下步骤:
步骤 1
设备会在提供的标识符中识别域(上述示例中的 betterbag.com)。
步骤 2
设备会请求来自组织域的 well-known 资源,例如,https://<domain>/.well-known/com.apple.remotemanagement。
客户端会在 HTTP GET 请求的 URL 路径中包括两个查询参数:
user-identifier:所输入账户标识符的值(上述示例中的 eliza@betterbag.com)。
model-family:设备的机型系列(如 iPhone、iPad、Mac)。
【注】设备会遵循 HTTP 3xx 重定向请求,这允许实际的 com.apple.remotemanagement 文件在设备可连接的另一个服务器上托管。
对于运行 iOS 18.2、iPadOS 18.2、macOS 15.2、visionOS 2.2 或更高版本的设备,服务发现流程允许设备从关联至 Apple 校园教务管理或 Apple 商务管理的设备管理服务指定的替代位置获取 well-known 资源。 服务发现的首选仍是组织域的 well-known 资源。如果请求失败,设备会继续联系 Apple 校园教务管理或 Apple 商务管理获取 well-known 资源的替代位置。此流程需要 Apple 校园教务管理或 Apple 商务管理验证标识符中的域。有关更多信息,请参阅在 Apple 校园教务管理中添加并验证域或在 Apple 商务管理中添加并验证域。
若要使用此功能,设备管理服务需要在关联至 Apple 校园教务管理或 Apple 商务管理的情况下配置替代服务发现 URL。设备联系 Apple 校园教务管理或 Apple 商务管理时,设备类型会确定该类型分配的服务,这与确定自动设备注册的默认服务流程相同。如果分配的服务拥有已配置的服务发现 URL,设备会继续从该位置请求 well-known 资源。若要设定默认设备分配,请参阅在 Apple 校园教务管理中设置默认设备分配或在 Apple 商务管理中设置默认设备分配。
设备管理服务也可托管 well-known 资源。
步骤 3
托管 well-known 资源的服务器通过符合以下方案的服务发现 JSON 文稿响应:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}下表中包括了设备管理服务注册键、类型和描述。所有键均为必要项。
键 | 类型 | 描述 |
|---|---|---|
Servers | 数组 | 包含单一条目的列表。 |
Version | 字符串 | 此键决定了要使用的注册方式,且需要是 |
BaseURL | 字符串 | 设备管理服务的注册 URL。 |
【重要事项】服务器需要确保 HTTP 响应中的 Content-Type 标头栏设为 application/json。
步骤 4
设备将 HTTP POST 请求发送给由 BaseURL 指定的注册 URL。
阶段 2:认证和访问令牌
若要授权注册,用户需要通过设备管理服务认证。认证成功后,设备管理服务会向设备签发访问令牌。设备会安全储存该令牌以在授权后续请求时使用。
访问令牌:
是初始认证流程和持续访问设备管理服务资源的核心
用作用户管理式 Apple 账户和设备管理服务之间的安全桥梁
用于允许持续访问所有账户驱动型注册的工作资源
在 iPhone、iPad 和 Apple Vision Pro 上,可使用注册 SSO(注册单点登录)减少重复的认证提示以简化初始和持续认证流程。有关更多信息,请参阅适用于 iPhone、iPad 和 Apple Vision Pro 的注册单点登录。
阶段 3:设备管理服务注册
使用访问令牌,设备可通过设备管理服务认证并访问注册描述文件。此描述文件包含所有设备执行注册所需的信息。若要完成注册,用户需要通过其管理式 Apple 账户成功登录。注册完成后,管理式 Apple 账户会以醒目的方式显示在“设置”和“系统设置”中。
有关用户可用的 iCloud 服务的更多信息,请参阅访问 iCloud 服务。
阶段 4:持续认证
注册后,访问令牌仍为活跃状态并使用 Authorization HTTP 标头包括在所有针对设备管理服务的请求中。这可让服务持续验证用户,并有助于确保仅授权用户可保留对组织资源的访问。
访问令牌通常会在一段时间后过期。过期后,设备可能会提示用户重新认证以续订访问令牌。定期重新验证有助于上传安全性,这对于个人和组织拥有的设备很重要。通过注册 SSO,令牌续订会通过组织的身份提供商自动发生,确保不间断访问,而无需再次认证。
如何通过账户驱动型注册方式使用户数据与组织数据分离
账户驱动型用户注册或账户驱动型设备注册完成后,操作系统会自动在设备上创建分离加密密钥。如果用户取消注册设备,或者设备管理服务远程取消注册设备,操作系统会销毁这些加密密钥。操作系统会将密钥用于以加密方式分离下表中所列的被管理的数据。
内容 | 支持的最低操作系统版本 | 描述 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
受管理的 App 数据容器 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 受管理的 App 使用与设备管理服务注册关联的管理式 Apple 账户同步 iCloud 数据。这包括了 Mac 上使用 CloudKit 的受管理的 App(使用在 | |||||||||
“日历” App | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | 日程会被分离。 | |||||||||
钥匙串项 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 第三方 Mac App 需要使用“数据保护钥匙串” API。有关更多信息,请参阅 Apple 开发者网站上的 Global Variable kSecUseDataProtectionKeychain。 | |||||||||
“邮件” App | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 邮件附件和邮件正文会被分离。 | |||||||||
“备忘录” App | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 备忘录会被分离。 | |||||||||
“提醒事项” App | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | 提醒事项会被分离。 | |||||||||
在 iPhone、iPad 和 Apple Vision Pro 上,受管理的 App 和被管理的基于网页的文稿均可访问组织的 iCloud 云盘(用户通过其管理式 Apple 账户登录后在“文件” App 中分开显示)。设备管理服务管理员可使用特定访问限制帮助保持特定的个人和组织文稿分离。 有关更多信息,请参阅将受管理的 App 分发到 Apple 设备。
如果用户通过个人 Apple 账户和管理式 Apple 账户登录,“通过 Apple 登录”会自动为受管理的 App 使用管理式 Apple 账户,并为未受管理的 App 使用个人 Apple 账户。在 Safari 浏览器或受管理 App 的 SafariWebView 中使用登录流程时,用户可以选择并输入其管理式 Apple 账户以将登录与其工作或学校账户关联。
