「管理式 Apple 帳號」的 iCloud
視組織的部署機型而定,受管理裝置的使用者可能會使用其個人「Apple 帳號」、「管理式 Apple 帳號」、兩者皆使用或兩者皆不使用。
針對在組織擁有的裝置上作業的使用者,請考量提供「管理式 Apple 帳號」給對方。因為該帳號為組織擁有,這樣你可以管理的就不只是對方能取用的服務,還包括他們可以登入的裝置。
iCloud 服務
使用者可以透過適用於「管理式 Apple 帳號」的 iCloud 服務儲存內容,例如聯絡人、行事曆、文件和備忘錄,並且可以在多部 Apple 裝置上讓這些內容保持更新。iCloud 在透過網際網路傳送內容時會進行加密、以加密的格式儲存內容並使用安全代碼來認證,藉此保護你的資料安全。如需更多 iCloud 安全性的相關資訊,請參閱「Apple 平台安全性」中的 iCloud 安全性概覽。
【注意】部分 iCloud 功能需要 Wi-Fi 連線,部分功能無法在部分國家或地區使用,而且取用部分服務會限制為 10 部使用相同 Apple 帳號的裝置。
iCloud 雲碟
使用者可將文件和檔案儲存在「iCloud 雲碟」上,並從已設定 iCloud 的 iPhone、iPad 和 Mac 裝置以及 Windows 電腦取用。文件會在所有裝置上保持更新,而且使用者在離線時對檔案進行的更動會在裝置連線時自動更新。
使用者也可以設定讓 macOS 的「桌面」和「文件」檔案夾自動儲存至「iCloud 雲碟」,讓使用者可以從所有裝置上取得這些內容。
使用者還能在「iCloud 雲碟」中儲存的文件上合作,前提是必須為 Pages、Numbers、Keynote 和其他支援 CloudKit 的 App 製作的文件。針對「管理式 Apple 帳號」,組織可以定義合作只能與內部使用者或是也能與外部使用者進行。
iCloud 鑰匙圈
「iCloud 鑰匙圈」會讓 Safari 中使用的 Wi-Fi 網路密碼和網站密碼在已設定 iCloud 的所有 iPhone、iPad 和 Mac 裝置上保持最新狀態。它能儲存網際網路帳號登入和設定資訊,以及支援 iCloud 的其他 App 密碼。「iCloud 鑰匙圈」也能儲存使用者在 Safari 中儲存的信用卡資訊,讓 Safari 可以自動填寫資訊。
「iCloud 鑰匙圈」是由兩種服務構成:
讓「鑰匙圈」在所有裝置上保持最新狀態
鑰匙圈復原
為了安全地交換鑰匙圈項目,系統會在使用者的核准裝置間建立並使用信任圈。加入此圈的新裝置需要由現有的「iCloud 鑰匙圈」裝置或是使用「iCloud 鑰匙圈」復原核准。已同步的每個項目都會經過加密,因此只能由使用者信任圈之內的裝置解密;項目無法由任何其他裝置或 Apple 解密。
「iCloud 鑰匙圈」會與 Apple 託管使用者的鑰匙圈資料而不讓 Apple 讀取密碼和其他所包含的資料。即使使用者只有單一裝置,鑰匙圈復原仍會架構安全的保護網以避免資料流失。如果使用了 Safari 來為網頁帳號隨機產生高強度密碼,鑰匙圈復原就顯得格外重要,因為只有鑰匙圈會記錄這些密碼。
鑰匙圈復原的部分為第二層認證和安全託管服務,由 Apple 專門針對支援此功能所製作。使用者的鑰匙圈會在高強度加密密鑰下加密,而且託管服務會在一組嚴密的條件均符合,以及使用者輸入他們其中一部之前裝置的密碼時才提供該密鑰的副本。
【重要事項】「管理式 Apple 帳號」不支援使用復原聯絡人的「iCloud 鑰匙圈」。
通行密鑰
通行密鑰的設計旨在提供方便且安全的無密碼登入體驗。標準本位的通行密鑰技術可以抵禦網路釣魚、保持高強度,而且沒有未分享的機密。
透過「管理式 Apple 帳號」的「iCloud 鑰匙圈」支援,組織可以部署通行密鑰來讓員工取用企業資源和確保安全密鑰以安全方式同步到其所有 iPhone、iPad 和 Mac 裝置。使用取用管理功能,組織也可以定義所需的管理狀態來允許取用受管理的通行密鑰。
宣告式通行密鑰證明設定會允許受管理的裝置在對組織服務佈建通行密鑰時提供證明。在使用者以設定中指定的網域註冊網站或 App 的通行密鑰時,系統便會提供證明。在裝置安全產生安全密鑰後,裝置會使用設定中定義的憑證識別身分來搭配取用的服務執行 WebAuthn 證明。這會讓該服務驗證通行密鑰是在由組織管理的裝置上製作後再佈建取用權限。
產生的通行密鑰會自動儲存在與「管理式 Apple 帳號」綁定的「iCloud 鑰匙圈」中。若當下沒有「管理式 Apple 帳號」,便無法製作通行密鑰。
為了提供使用者簡易的登入流程,App 開發者可以利用相關的網域來建立網域和其 App 之間的安全關聯(以及選擇是否允許透過 MDM 設定相關的網域)。若此流程可用,iOS、iPadOS 和 macOS 便能自動選取並提供正確的通行密鑰以取得流暢的登入體驗。若認證正由第三方服務執行,則可改用 ASWebAuthenticationSession。
如需更多資訊,請參閱:「通行密鑰證明」宣告式 App 設定。
取用 iCloud 服務
在「設定輔助程式」期間使用「管理式 Apple 帳號」登入或使用「設定」(iPhone 和 iPad)或「系統設定」(Mac)最上方的「Apple 帳號」選單項目會提供該帳號可用的所有服務權限。
使用者可以在「設定」>「郵件」>「帳號」(iPhone、iPad、Apple Vision Pro)或「系統設定」>「網際網路帳號」(Mac)中加入其他帳號來取用以另一個個人「Apple 帳號」儲存的郵件(若郵件適用於該帳號)、聯絡人和行事曆,以及「管理式 Apple 帳號」的聯絡人、行事曆和提醒事項。
帳號導向的「裝置註冊」和「使用者註冊」會將可在「管理式 Apple 帳號」裝置上取用的服務列表擴展到聯絡人、行事曆、提醒事項、「iCloud 雲碟」和「iCloud 備份」。
管理 iCloud 權限
你可以在「Apple 校務管理」和「Apple 商務管理」中關閉適用於「管理式 Apple 帳號」的個別 iCloud 服務。此外,你可以定義哪些裝置能讓使用者能登入,取用其「管理式 Apple 帳號」資料,以及指定使用者可以通訊和合作的對象。若使用者主要是使用個人「Apple 帳號」,組織可以透過取用限制在受管理的裝置上停用特定 iCloud 服務。請注意部分取用限制必須讓裝置接受監管。