用户註冊與 MDM
「用户註冊」是為 BYOD(攜帶個人裝置部署)而設計,即用户擁有該裝置,而非機構擁有。 其可與身份服務供應商(IdP)、Google Workspace 或 Microsoft Entra ID,以及 Apple School Manager 或 Apple Business Manager,還有第三方 MDM 解決方案配合使用。 其也適用於 Apple Business Essentials 中的裝置管理。
以下為「用户註冊」到 MDM 的四個階段:
服務搜尋: 裝置向 MDM 解決方案識別自己的身份。
用户註冊: 用户向身份服務供應商(IdP)提供憑證以取得註冊到 MDM 解決方案的授權。
階段操作代碼: 階段操作代碼會傳送到裝置,以便進行後續的認證。
MDM 註冊: 註冊描述檔與 MDM 管理員設定的承載資料一同傳送到裝置。
「用户註冊」和「管理式 Apple 帳户」
「用户註冊」需要「管理式 Apple 帳户」。 它們是由機構擁有及管理,並能向員工提供取用特定 Apple 服務的權限。 此外,「管理式 Apple 帳户」:
為手動建立,或自動使用聯合認證
與「學生資料系統」(SIS)或上載的 .csv 檔案整合(只限 Apple School Manager)
亦可用於配搭 Apple School Manager、Apple Business Manager 或 Apple Business Essentials 獲分派的職務來登入
當用户移除註冊描述檔,基於該註冊描述檔的所有設定描述檔、設定和「受管理的 App」都會被移除。
「用户註冊」與「管理式 Apple 帳户」整合,以在裝置上建立用户身份。 用户必須成功認證來完成註冊。 「管理式 Apple 帳户」可與已登入的用户個人 Apple 帳户一併使用,而兩者並不會產生互動。
「用户註冊」和聯合認證
雖然可以手動建立「管理式 Apple 帳户」,機構可以善用 IdP、Google Workspace 或 Microsoft Entra ID 與「用户註冊」之間的同步功能。 如要這樣做,你的機構先要:
透過 IdP、Google Workspace 或 Microsoft Entra ID 管理用户憑證
如你擁有本機版本的 Active Directory,就必須進行其他配置為聯合認證作準備。
在 Apple School Manager、Apple Business Manager 或 Apple Business Essentials 中註冊你的機構
在 Apple School Manager、Apple Business Manager 或 Apple Business Essentials 中設定聯合認證
配置 MDM 解決方案並將其連結到 Apple School Manager、Apple Business Manager 或 Apple Business Essentials,或者使用 Apple Business Essentials 中內置的裝置管理
(非必要)建立「管理式 Apple 帳户」
「用户註冊」和「受管理的 App」(macOS)
「用户註冊」已將「受管理的 App」加至 macOS(此功能原本已可透過「裝置註冊」和「自動裝置註冊」使用)。 使用 CloudKit 的「受管理的 App」會使用連繫至 MDM 註冊的「管理式 Apple 帳户」。 MDM 管理員必須將 InstallAsManaged 密鑰加至 InstallApplication 指令。 當用户在 MDM 中取消註冊時,這些 App 可像 iOS 和 iPadOS App 一樣被自動移除。
「用户註冊」和個別 App 網絡
在 iOS 16、iPadOS 16.1 和 visionOS 1.1 或較新版本中,個別 App 網絡適用於透過「用户註冊」註冊之裝置的 VPN(稱為「個別 App VPN」)、DNS 代理和網頁內容過濾器。 這代表只有「受管理的 App」發起的網絡流量會透過 DNS 代理、網頁內容過濾器或一併透過兩者傳送。 用户的個人流量會維持獨立且不會由機構過濾或代理。 此操作會使用以下承載資料的新鍵值對完成:
用户註冊其個人裝置的方式
在 iOS 15、iPadOS 15、macOS 14 和 visionOS 1.1 或較新版本中,機構可以使用流暢的「用户註冊」流程,其已直接內置於「設定」App 中,讓用户可以輕鬆註冊其個人裝置。
如要執行:
在 iPhone、iPad 和 Apple Vision Pro 上,用户要導覽至「設定」>「一般」>「VPN 與裝置管理」,然後選擇「登入工作或學校帳户」按鈕。
在 Mac 上,用户要導覽至「設定」>「私隱與保安」>「描述檔」,然後選擇「登入工作或學校帳户」按鈕。
當他們輸入「管理式 Apple 帳户」時,服務搜尋會識別 MDM 解決方案的註冊 URL。
然後用户輸入他們的機構用户名稱和密碼。 成功進行機構認證後,註冊描述檔會被傳送到裝置。 階段操作代碼也會傳送到裝置,以便進行後續的授權。 然後裝置會開始註冊程序,並提示用户使用其「管理式 Apple 帳户」登入。 在 iPhone、iPad 和 Apple Vision Pro 上,可以透過使用註冊單一登入來簡化身份認證程序,從而減少重複的認證提示。
註冊完成後,「設定」App(iPhone、iPad 和 Apple Vision Pro)和「系統設定」(Mac)中會明顯地顯示新的受管理帳户。 這允許用户仍能取用以其個人 Apple 帳户製作的「iCloud 雲碟」中的檔案。 機構的「iCloud 雲碟」(已連繫至用户的「管理式Apple 帳户」)單獨顯示在「檔案」App 中。
在 iPhone、iPad 和 Apple Vision Pro 中,「受管理的 App」和受管理的網頁式文件都可以取用機構的「iCloud 雲碟」,但 MDM 管理員可以使用特定取用限制來協助將指定的個人和機構文件分隔。 如需更多資料,請參閲:「受管理的 App」取用限制和功能。
用户可以看到關於他們的個人裝置上的詳細資料,以及看到其機構所提供的 iCloud 儲存空間容量。 因為用户擁有該裝置,「用户註冊」只可以將有限組數的承載資料和取用限制套用到裝置。 如需更多資料,請參閲:「用户註冊」MDM 資料。
Apple 分隔用户資料和機構資料的方式
完成「用户註冊」後,系統會自動在裝置上製作獨立的加密密鑰。 如裝置被用户或使用 MDM 遙距取消註冊,系統會安全地銷毀那些加密密鑰。 以下列出用於以加密編譯方式分隔受管理資料的密鑰:
App 資料容器: iPhone、iPad、Mac 和 Apple Vision Pro
日曆: iPhone、iPad、Mac 和 Apple Vision Pro
裝置必須執行 iOS 16、iPadOS 16.1、macOS 13 以及 visionOS 1.1 或較新版本。
鑰匙圈項目: iPhone、iPad、Mac 和 Apple Vision Pro
附註:第三方 Mac App 必須使用資料保護鑰匙圈 API。 如需更多資料,請參閲 Apple 開發者文件:kSecUseDataProtectionKeychain。
郵件附件和郵件內文: iPhone、iPad、Mac 和 Apple Vision Pro
備忘錄: iPhone、iPad、Mac 和 Apple Vision Pro
提醒事項: iPhone、iPad、Mac 和 Apple Vision Pro
裝置必須執行 iOS 17、iPadOS 17、macOS 14 以及 visionOS 1.1 或較新版本。
如果用户使用個人 Apple 帳户和「管理式 Apple 帳户」登入,針對「受管理的 App」,「使用 Apple 登入」會自動使用「管理式 Apple 帳户」;而未受管理的 App 會使用個人 Apple 帳户。 在受管理的 App 中使用 Safari 或 SafariWebView 中的登入流程時,用户可以選擇並輸入其「管理式 Apple 帳户」,以連繫其登入與工作帳户。
系統管理員只能管理使用 MDM 建置的機構帳户、設定和資料,而無法管理用户的個人帳户。 事實上,用來保護機構擁有的「受管理的 App」的功能,同樣也可以保護用户的私人內容免於流進公司的資料流。
MDM 可以 | MDM 不可以 |
|---|---|
設定帳户 | 查看個人資料、使用狀況或記錄 |
取用「受管理的 App」的清單 | 取用個人 App 清單 |
只移除受管理的資料 | 移除任何個人資料 |
安裝和設定 App | 接管個人 App 的管理 |
要求密碼 | 要求複雜密碼 |
強制執行特定取用限制 | 取用裝置位置 |
設定「個別 App VPN」 | 取用獨有的裝置識別碼 |
| 遙距清除整個裝置 |
| 管理「啟用鎖」 |
| 取用漫遊狀態 |
| 開啟「遺失模式」 |
附註:針對 iPhone 和 iPad,管理員可以要求最少六個字元的密碼,並阻止用户使用簡單密碼(例如「123456」或「abcdef」),但無法要求複雜的字元或密碼。