使用 Apple 裝置的由帳户控制的註冊方式
由帳户控制的「用户註冊」和由帳户控制的「裝置註冊」,透過使用「管理式 Apple 帳户」登入,為用户和機構提供流暢並且安全的方式設定工作用的 Apple 裝置。
此方式可以讓「管理式 Apple 帳户」和個人的Apple 帳户同時登入至同一部裝置,並完全分離工作和個人資料。 用户可以維持個人資料的私隱,而 IT 能支援工作相關的 App、設定和帳户。
為了支援此分離方式,已針對 App 和備份處理進行以下更改:
當註冊描述檔被移除,所有設置和設定都會移除。
「受管理的 App」總是會在取消註冊期間被移除。
在註冊流動裝置管理(MDM)解決方案前安裝的 App 無法轉換為「受管理的 App」。
從備份還原並不會還原 MDM 註冊。
使用個人 Apple 帳户登入的用户無法接受「受管理的 App」分派的邀請。
雖然可以手動建立「管理式 Apple 帳户」,機構可以善用與 IdP、Google Workspace 或 Microsoft Entra ID 整合。
如需更多聯合認證的資料,請參閲Apple School Manager 配合聯合認證簡介或Apple Business Manager 配合聯合認證簡介。
由帳户控制的註冊程序
如要使用由帳户控制的「用户註冊」或由帳户控制的「裝置註冊」來註冊裝置,用户要導覽至「設定」>「一般」>「VPN 與裝置管理」或「系統設定」>「一般」>「裝置管理」,然後選擇「登入工作或學校帳户」按鈕。
這會啟動四階段的註冊 MDM 程序:
服務搜尋: 裝置會確定 MDM 解決方案的註冊 URL。
認證和取用代碼: 用户提供憑證來授權註冊並取得核發給進行中之認證的取用代碼。
MDM 註冊: 註冊描述檔會傳送到裝置而用户必須登入其「管理式 Apple 帳户」來完成註冊。
進行中的認證: MDM 解決方案會使用取用代碼持續驗證登入的用户。
階段 1: 服務搜尋
在第一個步驟中,服務搜尋會嘗試識別 MDM 解決方案的註冊 URL。 為了執行此操作,服務搜尋會使用由用户輸入的識別碼,例如 eliza@betterbag.com。 網域必須是完全合格的網域名稱(FQDN),以便公佈用户機構的 MDM 服務。
然後會進行下列步驟:
步驟 1
裝置會在提供的識別碼中識別該網域(上方例子中的 betterbag.com)。
步驟 2
裝置會要求來自機構網域的 well-known 資源,例如 https://<domain>/.well-known/com.apple.remotemanagement。
用户端會在 HTTP GET 要求的 URL 路徑中包含兩個查詢參數:
user-identifier:輸入的帳户識別碼的值(上方例子中的 eliza@betterbag.com)。
model-family:裝置的型號系列(例如 iPhone、iPad、Mac)。
附註:裝置會聽從 HTTP 3xx 重新導向要求,這可讓實際的 com.apple.remotemanagement 檔案在其他可由裝置聯繫的伺服器上託管。
針對安裝 iOS 18.2、iPadOS 18.2、macOS 15.2、visionOS 2.2 或較新版本的裝置,服務搜尋程序可讓裝置從與 Apple School Manager 或 Apple Business Manager 連接之 MDM 解決方案指定的替代位置取回 well-known 資源。 服務搜尋的第一優先順序仍為機構網域的 well-known 資源。 如果要求失敗,裝置會繼續聯絡 Apple School Manager 或 Apple Business Manager 以取得 well-known 資源的替代位置。 此程序會要求識別碼中使用的網域在 Apple School Manager 或 Apple Business Manager 中驗證。 如需更多資料,請參閲:在 Apple School Manager 中新增並驗證網域或在 Apple Business Manager 中新增並驗證網域。
如要使用此功能,替代的服務搜尋 URL 必須由已與 Apple Business Manager 和 Apple School Manager 連結的 MDM 解決方案設定。 當裝置聯繫 Apple School Manager 或 Apple Business Manager,裝置類型會用來確定該類型的指派 MDM 解決方案,這和確定「自動裝置註冊」的預設 MDM 解決方案是相同的程序。 如指派的 MDM 解決方案已設定服務搜尋 URL,裝置會繼續要求來自該位置的 well-known 資源。 如要設定預設裝置指派,請參閲:在 Apple School Manager 指派、重新指派或取消指派裝置或在 Apple Business Manager 指派、重新指派或取消指派裝置。
MDM 解決方案也可以託管 well-known 資源。
步驟 3
託管 well-known 資源的伺服器會以符合下列架構的服務搜索 JSON 文件回應:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}MDM 註冊鍵、類型和説明列於下表。 所有鍵皆為必要。
鍵 | 類型 | 説明 |
|---|---|---|
伺服器 | 陣列 | 包含單一項目的列表。 |
版本 | 字串 | 此鍵會確定要使用的註冊方式且必須為「用户註冊」的 |
BaseURL | 字串 | MDM 解決方案的註冊 URL。 |
重要事項:伺服器必須確保 HTTP 回應中的 Content-Type 標題欄位設為 application/json。
步驟 4
裝置會傳送 HTTP POST 要求到 BaseURL 指定的註冊 URL。
階段 2: 認證和取用代碼
如要授權註冊,用户需要使用 MDM 解決方案認證。 完成認證後,MDM 解決方案會向裝置發出取用代碼。 裝置會以安全方式儲存代碼以供授權後續要求時使用。
取用代碼:
是初始認證程序和持續取用 MDM 資源的核心
會作為用户的「管理式 Apple 帳户」和 MDM 解決方案之間的安全橋樑
會用來允許持續取用所有由帳户控制的註冊的工作資源
在 iPhone、iPad 和 Apple Vision Pro 上,可以使用「註冊 SSO」(「註冊單一登入」)功能來減少重複的認證提示訊息,藉此簡化初始和進行中的認證程序。 如需更多資料,請參閲:iPhone、iPad 和 Apple Vision Pro 適用的「註冊單一登入」。
階段 3: MDM 註冊
使用取用代碼,裝置可以使用 MDM 解決方案認證並取用 MDM 註冊描述檔。 此描述檔包含裝置執行註冊所需的所有資料。 如要完成註冊,用户必須成功登入其「管理式 Apple 帳户」。 註冊完成後,「管理式 Apple 帳户」會在「設定」和「系統設定」中的顯眼位置呈現。
如需更多關於哪些 iCloud 服務可供用户使用的資料,請參閲:取用 iCloud 服務。
階段 4: 進行中的認證
註冊後,取用代碼會保持啟用並使用 Authorization HTTP 標題包含在所有對 MDM 解決方案提出的要求中。 這可讓 MDM 解決方案持續驗證用户並有助確保只有獲批准的用户會保留機構資源的取用權限。
取用代號通常會在一段時間後過期。 發生此情況時,裝置可能會提示用户重新認證來更新取用代碼。 定期重新驗證有助使上載更安全,這對個人和機構擁有的裝置都很重要。 透過「註冊 SSO」,代碼更新會透過機構的身份供應商自動進行,確保取用不中斷而無須再次認證。
如何使用由帳户控制的註冊方式分隔用户資料和機構資料
完成由帳户控制的「用户註冊」或由帳户控制的「裝置註冊」後,系統會自動在裝置上製作獨立的加密密鑰。 如裝置被用户或使用 MDM 遙距取消註冊,系統會安全地銷毀那些加密密鑰。 此表格列出用於以加密編譯方式分隔受管理資料的密鑰。
內容 | 支援的最低作業系統版本 | 説明 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
受管理的 App 資料容器 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 「受管理的 App」會使用與 MDM 註冊連繫的「管理式 Apple 帳户」進行 iCloud 資料同步。 這會包括在 Mac 上使用 CloudKit 的「受管理的 App」(使用在 | |||||||||
「日曆」App | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | 行程會被分隔。 | |||||||||
鑰匙圈項目 | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 第三方 Mac App 必須使用「資料保護鑰匙圈 API」。 如需更多資料,請參閲 Apple 開發者網站上的「全域變數」kSecUseDataProtectionKeychain。 | |||||||||
「郵件」App | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 郵件附件和郵件內文會被分隔。 | |||||||||
「備忘錄」App | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | 備忘錄會被分隔。 | |||||||||
「提醒事項」App | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | 提醒事項會被分隔。 | |||||||||
在 iPhone、iPad 和 Apple Vision Pro 中,「受管理的 App」和受管理的網頁式文件都可以取用機構的「iCloud 雲碟」(「iCloud 雲碟」在用户登入其「管理式 Apple 帳户」後會另外顯示在「檔案」App 中)。 MDM 管理員可以使用特定取用限制來協助將指定的個人和機構文件分隔。 如需更多資料,請參閲:「受管理的 App」取用限制和功能。
如果用户使用個人 Apple 帳户和「管理式 Apple 帳户」登入,針對「受管理的 App」,「使用 Apple 登入」會自動使用「管理式 Apple 帳户」;而未受管理的 App 會使用個人 Apple 帳户。 在「受管理的 App」中使用 Safari 或 SafariWebView 中的登入流程時,用户可以選擇並輸入其「管理式 Apple 帳户」,以連繫其登入與工作或學校帳户。
