使用 Apple 裝置的由帳户控制的註冊方式
由帳户控制的「用户註冊」和由帳户控制的「裝置註冊」,透過使用「管理式 Apple 帳户」登入,為用户和機構提供流暢並且安全的方式設定工作用的 Apple 裝置。
此方式可以讓「管理式 Apple 帳户」和個人的Apple 帳户同時登入至同一部裝置,並完全分離工作和個人資料。 用户可以維持個人資料的私隱,而 IT 能支援工作相關的 App、設定和帳户。
為了支援此分離方式,已針對 App 和備份處理進行以下更改:
當註冊描述檔被移除,所有設置和設定都會移除。
「受管理的 App」總是會在取消註冊期間被移除。
如你在註冊裝置管理服務前安裝 App,你無法將那些 App 轉換為「受管理的 App」。
從備份還原並不會還原裝置管理服務註冊。
使用個人 Apple 帳户登入的用户無法接受「受管理的 App」分派的邀請。
雖然你可以手動建立「管理式 Apple 帳户」,但機構可以善用與 Google Workspace、Microsoft Entra ID 或其身份服務供應商(IdP)整合的功能。
如需更多聯合認證的資料,請參閲 Apple School Manager 配合聯合認證簡介或 Apple Business Manager 配合聯合認證簡介。
由帳户控制的註冊程序
如要使用由帳户控制的「用户註冊」或由帳户控制的「裝置註冊」來註冊裝置,用户要導覽至「設定」>「一般」>「VPN 與裝置管理」或「系統設定」>「一般」>「裝置管理」,然後選擇「登入工作或學校帳户」按鈕。
這會啟動在裝置管理服務註冊的四階段程序:
服務搜尋: 裝置會確定裝置管理服務的註冊 URL。
認證和取用代碼: 用户提供憑證來授權註冊並取得核發給進行中之認證的取用代碼。
服務註冊: 註冊描述檔會傳送到裝置而用户必須登入其「管理式 Apple 帳户」來完成註冊。
進行中的認證: 裝置管理服務會使用取用代碼持續驗證已登入的用户。
階段 1: 服務搜尋
在第一個步驟中,服務搜尋會嘗試識別裝置管理服務的註冊 URL。 為了執行此操作,服務搜尋會使用由用户輸入的識別碼,例如 eliza@betterbag.com。 網域需完全合格的網域名稱(FQDN),以便公佈用户機構的裝置管理服務。
然後會進行下列步驟:
步驟 1
裝置會在提供的識別碼中識別該網域(上方例子中的 betterbag.com)。
步驟 2
裝置會要求來自機構網域的 well-known 資源,例如 https://<domain>/.well-known/com.apple.remotemanagement。
用户端會在 HTTP GET 要求的 URL 路徑中包含兩個查詢參數:
user-identifier:輸入的帳户識別碼的值(上方例子中的 eliza@betterbag.com)。
model-family:裝置的型號系列(例如 iPhone、iPad、Mac)。
備註:裝置會聽從 HTTP 3xx 重新導向要求,這可讓實際的 com.apple.remotemanagement 檔案在其他可由裝置聯繫的伺服器上託管。
針對安裝 iOS 18.2、iPadOS 18.2、macOS 15.2、visionOS 2.2 或較新版本的裝置,服務搜尋程序會讓裝置從連接 Apple School Manager 或 Apple Business Manager 時由裝置管理服務指定的替代位置截取 well-known 資源。 服務搜尋的第一優先順序仍為機構網域的 well-known 資源。 如果要求失敗,裝置會繼續聯絡 Apple School Manager 或 Apple Business Manager 以取得 well-known 資源的替代位置。 此程序要求 Apple School Manager 或 Apple Business Manager 驗證識別碼中的網域。 如需更多資料,請參閲:在 Apple School Manager 中新增並驗證網域或在 Apple Business Manager 中新增並驗證網域。
如要使用此功能,裝置管理服務需要在連接 Apple School Manager 或 Apple Business Manager 時設定替代服務搜尋 URL。 當裝置聯繫 Apple School Manager 或 Apple Business Manager,裝置類型會決定該類型獲分派的服務,這和確定「自動裝置註冊」的預設服務是相同的程序。 如獲分派的服務已設定服務搜尋 URL,裝置會繼續要求來自該位置的 well-known 資源。 如要設定預設裝置分派,請參閲:在 Apple School Manager 設定預設裝置分派或在 Apple Business Manager 設定預設裝置分派。
裝置管理服務也可以託管 well-known 資源。
步驟 3
託管 well-known 資源的伺服器會以符合下列架構的服務搜索 JSON 文件回應:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}裝置管理服務註冊鍵、類型和説明列於下表。 所有鍵皆為必要。
鍵 | 類型 | 説明 |
|---|---|---|
伺服器 | 陣列 | 包含單一項目的列表。 |
版本 | 字串 | 此鍵會確定要使用的註冊方式且需為「用户註冊」的 |
BaseURL | 字串 | 裝置管理服務的註冊 URL。 |
重要事項:伺服器需確保 HTTP 回應中的 Content-Type 標題欄位設為 application/json。
步驟 4
裝置會傳送 HTTP POST 要求到 BaseURL 指定的註冊 URL。
階段 2: 認證和取用代碼
如要授權註冊,用户需要使用裝置管理服務認證。 成功完成認證後,裝置管理服務會向裝置發出取用代碼。 裝置會以安全方式儲存代碼以供授權後續要求時使用。
取用代碼:
是初始認證程序和持續取用裝置管理服務資源的核心
會作為用户的「管理式 Apple 帳户」和裝置管理服務之間的安全橋樑
會用來允許持續取用所有由帳户控制的註冊的工作資源
在 iPhone、iPad 和 Apple Vision Pro 上,可以使用「註冊 SSO」(「註冊單一登入」)功能來減少重複的認證提示訊息,藉此簡化初始和進行中的認證程序。 如需更多資料,請參閲:iPhone、iPad 和 Apple Vision Pro 適用的「註冊單一登入」。
階段 3: 裝置管理服務註冊
使用取用代碼,裝置可以使用裝置管理服務認證並取用註冊描述檔。 此描述檔包含裝置執行註冊所需的所有資料。 如要完成註冊,用户需成功登入其「管理式 Apple 帳户」。 註冊完成後,「管理式 Apple 帳户」會在「設定」和「系統設定」中的顯眼位置顯示。
如需更多關於哪些 iCloud 服務可供用户使用的資料,請參閲:取用 iCloud 服務。
階段 4: 進行中的認證
註冊後,取用代碼會保持啟用,並會包括在所有使用 Authorization HTTP 標題對裝置管理服務提出的要求中。 這可讓服務持續驗證用户並有助確保只有獲批准的用户會保留機構資源的取用權限。
取用代號通常會在一段時間後過期。 發生此情況時,裝置可能會提示用户重新認證來更新取用代碼。 定期重新驗證有助使上載更安全,這對個人和機構擁有的裝置都很重要。 透過「註冊 SSO」,代碼更新會透過機構的身份供應商自動進行,確保取用不中斷而無須再次認證。
如何使用由帳户控制的註冊方式分隔用户資料和機構資料
完成由帳户控制的「用户註冊」或由帳户控制的「裝置註冊」後,作業系統會自動在裝置上製作獨立的加密密鑰。 如用户取消註冊裝置,或者裝置管理服務以遙距方式取消註冊,作業系統會銷毀那些加密密鑰。 作業系統會使用密鑰來以加密編譯方式分隔此表格中列出的受管理資料。
內容 | 支援的最低作業系統版本 | 説明 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
受管理的 App 資料容器 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 「受管理的 App」會使用與裝置管理服務註冊連繫的「管理式 Apple 帳户」進行 iCloud 資料同步。 這會包括在 Mac 上使用 CloudKit 的「受管理的 App」(使用在 | |||||||||
「日曆」App | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | 行程會被分隔。 | |||||||||
鑰匙圈項目 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 第三方 Mac App 需使用「資料保護鑰匙圈 API」。 如需更多資料,請參閲 Apple 開發者網站上的「全域變數」kSecUseDataProtectionKeychain。 | |||||||||
「郵件」App | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 郵件附件和郵件內文會被分隔。 | |||||||||
「備忘錄」App | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 備忘錄會被分隔。 | |||||||||
「提醒事項」App | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | 提醒事項會被分隔。 | |||||||||
在 iPhone、iPad 和 Apple Vision Pro 中,「受管理的 App」和受管理的網頁式文件都可以取用機構的「iCloud 雲碟」(「iCloud 雲碟」在用户登入其「管理式 Apple 帳户」後會另外顯示在「檔案」App 中)。 裝置管理服務管理員可以使用特定取用限制來協助將指定的個人和機構文件分隔。 如需更多資料,請參閲:將「受管理的 App」分派到 Apple 裝置。
如果用户使用個人 Apple 帳户和「管理式 Apple 帳户」登入,針對「受管理的 App」,「使用 Apple 登入」會自動使用「管理式 Apple 帳户」;而未受管理的 App 會使用個人 Apple 帳户。 在「受管理的 App」中使用 Safari 或 SafariWebView 中的登入流程時,用户可以選擇並輸入其「管理式 Apple 帳户」,以連繫其登入與工作或學校帳户。
