iCloud 管理式 Apple 账户
根据组织的部署模型不同,管理式设备的用户可能使用其个人 Apple 账户、管理式 Apple 账户、两者皆使用,或者两者皆不使用。
针对在组织所拥有的设备上工作的用户,考虑为其提供管理式 Apple 账户。该账户属于组织,因此你之后不仅可以管理用户可访问的服务,还可管理其能够登录到的设备。
iCloud 服务
通过管理式 Apple 账户可用的 iCloud 服务,用户可以储存通讯录、日历、文稿和备忘录等内容,并使其在多台 Apple 设备间保持最新。当内容通过互联网发送时,iCloud 会对其加密,以加密的格式储存并使用安全令牌进行认证来保护内容的安全。有关 iCloud 安全性的更多信息,请参阅《Apple 平台安全保护》中的 iCloud 安全性概览。
【注】部分 iCloud 功能需要无线局域网连接,部分功能并非在所有国家或地区都可用,并且部分服务最多在 10 台设备上通过相同 Apple 账户访问。
iCloud 云盘
用户可将其文稿和文件储存在 iCloud 云盘上,并从设置了 iCloud 的 iPhone、iPad 和 Mac 设备以及 Windows 电脑访问。文稿在所有设备上保持最新,并且用户离线时对文件所做的更改会在设备恢复上线时自动更新。
用户也可以将其 macOS “桌面”和“文稿”文件夹配置为自动储存在 iCloud 云盘中,从而允许在用户的所有设备上访问这些内容。
用户甚至可以协作处理 iCloud 云盘中储存的文稿,只要文稿是使用 Pages 文稿、Numbers 表格、Keynote 讲演和支持 CloudKit 的其他 App 创建。对于管理式 Apple 账户,组织可以定义协作仅内部用户可用,还是外部用户也可用。
iCloud 钥匙串
在设置了 iCloud 的所有 iPhone、iPad 和 Mac 设备上,iCloud 钥匙串可使无线局域网密码和用于 Safari 浏览器中的网站密码保持最新。它还储存互联网账户登录和配置信息,以及支持 iCloud 的其他 App 的密码。iCloud 钥匙串还可储存用户在 Safari 浏览器中存储的信用卡信息,这样 Safari 浏览器便能自动填充该信息。
iCloud 钥匙串包含两项服务:
保持钥匙串在所有设备上最新
钥匙串恢复
若要安全交换钥匙串项,系统会建立信任圈并在用户已批准的设备间使用。加入信任圈的新设备需要通过现有 iCloud 钥匙串设备或使用 iCloud 钥匙串恢复来进行批准。同步的每个钥匙串项都会加密,因此它仅可被用户信任圈中的设备解密,而无法被任何其他设备或 Apple 解密。
iCloud 钥匙串通过 Apple 托管用户的钥匙串数据,但不允许 Apple 读取密码及其包含的其他数据。钥匙串恢复可提供防止数据丢失的安全保障,即使用户只有一台设备。当使用 Safari 浏览器为网页账户生成随机的强密码时,这一点就特别重要,因为这些密码的唯一记录就存储在钥匙串中。
钥匙串恢复的一部分是提供辅助认证和安全托管服务,这是 Apple 专为支持此功能而创建的。用户的钥匙串使用强加密密钥进行加密,只有在满足一系列严格条件且用户输入其曾用设备之一的密码时,托管服务才会提供该密钥的副本。
【重要事项】管理式 Apple 账户不支持使用恢复联系人来进行 iCloud 钥匙串恢复。
通行密钥
通行密钥旨在提供方便且安全的无密码登录体验。这是一种可抵御网络钓鱼的基于标准的技术,始终强大且无共享密钥。
通过 iCloud 钥匙串对管理式 Apple 账户的支持,组织可以部署通行密钥以允许员工访问企业资源和确保通行密钥在其所有 iPhone、iPad 和 Mac 设备上安全同步。使用访问管理功能,组织还可定义设备所需的管理状态以允许访问受管理的通行密钥。
声明式通行密钥证明配置允许管理式设备在为组织服务预置通行密钥时提供证明。该证明会在用户使用配置中指定域为网站或 App 注册通行密钥时提供。设备成功生成通行密钥后,它使用配置中定义的证书身份以对所访问的服务执行 WebAuthn 证明。这允许服务在预置访问前先验证通行密钥是在被组织管理的设备上进行创建。
生成的通行密钥会自动储存在与管理式 Apple 账户关联的 iCloud 钥匙串中。不存在管理式 Apple 账户时,则不会创建通行密钥。
为向用户提供简单的登录流程,App 开发者可利用关联域以在域及其 App 间建立安全的关联(并可选择允许通过 MDM 配置相关域)。若此方法可用,iOS、iPadOS 和 macOS 可自动选择并提供正确的通行密钥以实现无缝登录体验。如果认证由第三方服务执行,则可改为使用 ASWebAuthenticationSession。
有关更多信息,请参阅“通行密钥证明”声明式配置。
访问 iCloud 服务
在“设置助理”运行期间或使用“设置”(iPhone 和 iPad)或“系统设置” (Mac) 顶部的 Apple 账户菜单项通过管理式 Apple 账户登录可让用户访问该账户可用的所有服务。
用户可在“设置”>“邮件”>“账户”(iPhone、iPad、Apple Vision Pro)或“系统设置”>“互联网账户” (Mac) 中添加其他账户,以访问通过其他个人 Apple 账户储存的邮件(若该账户可使用邮件)、通讯录和日历,以及管理式 Apple 账户的通讯录、日历和提醒事项。
账户驱动型设备注册和用户注册将设备上可通过管理式 Apple 账户访问的服务列表扩展至通讯录、日历、提醒事项、备忘录、iCloud 云盘和 iCloud 云备份。
管理 iCloud 访问
你可以在“Apple 校园教务管理”和“Apple 商务管理”中将管理式 Apple 账户可用的各个 iCloud 服务关闭。另外,你可以定义用户可登录的设备、访问其管理式 Apple 账户数据,以及指定其可通信和协作的对象。如果用户主要使用个人 Apple 账户,组织可以在管理式设备上通过访问限制停用特定 iCloud 服务。请注意,部分访问限制需要设备被监督才能使用。