使用者註冊和 MDM
「使用者註冊」專為 BYOD(自攜裝置部署)設計,意指此處的裝置擁有人是使用者而非組織。「使用者註冊」可搭配識別身分供應商(IdP)、Google Workspace 或 Microsoft Entra ID 和「Apple 校務管理」或「Apple 商務管理」以及第三方 MDM 解決方案運作。這也適用於「Apple 商務必備」中的裝置管理。
「使用者註冊」到 MDM 的四個階段為:
服務搜索:裝置對 MDM 解決方案識別自己的身分。
使用者註冊:使用者提供憑證給識別身分供應商(IdP)進行授權以在 MDM 解決方案中註冊。
區段代號:區段代號會核發給裝置以允許進行中的認證。
MDM 註冊:註冊描述檔會透過 MDM 管理者設定的承載資料傳送到裝置。
「使用者註冊」和「管理式 Apple 帳號」
「使用者註冊」需要「管理式 Apple 帳號」。管理式 Apple ID 由組織擁有和管理,提供員工特定 Apple 服務的取用權限。此外,「管理式 Apple 帳號」:
為手動製作,或使用聯合驗證自動製作
與「學生資訊系統」(SIS)或上傳的 .csv 檔案(僅限「Apple 校務管理」)
也可用來以「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」中的指派職務登入
當使用者移除註冊描述檔,所有設定描述檔、描述檔設定,以及該註冊描述檔之管理式 App 都會一併移除。
「使用者註冊」會與「管理式 Apple 帳號」整合以在裝置上建立使用者識別身分。使用者必須成功認證以完成註冊。「管理式 Apple 帳號」可搭配使用者已登入的個人「Apple 帳號」使用,且兩者不會互動。
「使用者註冊」和聯合驗證
雖然「管理式 Apple 帳號」可手動建立,組織仍可利用與 IdP、Google Workspace 或 Microsoft Entra ID 的同步和「使用者註冊」。若執行此操作,組織必須先:
搭配 IdP、Google Workspace 或 Microsoft Entra ID 管理使用者憑證
若你有 Active Directory 的內部部署版本,則必須執行其他設定以準備聯合驗證。
在「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」中註冊組織
在「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」中設定聯合驗證
設定 MDM 解決方案並連結到「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」,或使用「Apple 商務必備」中內建的裝置管理
(選擇性)建立「管理式 Apple 帳號」
「使用者註冊」和管理式 App(macOS)
「使用者註冊」已將管理式 App 加入 macOS(此功能已經適用於「裝置註冊」和「自動裝置註冊」)。使用 CloudKit 的管理式 App 會使用與 MDM 註冊產生關聯的「管理式 Apple 帳號」。MDM 管理者必須將 InstallAsManaged 密鑰加入 InstallApplication 指令。如同 iOS 和 iPadOS App,這些 App 可在使用者從 MDM 取消註冊時自動移除。
「使用者註冊」和個別 App 網路
在 iOS 16、iPadOS 16.1 和 visionOS 1.1 或以上版本中,個別 App 網路適用於透過「使用者註冊」註冊之裝置的 VPN(稱為個別 App VPN)、DNS 代理伺服器和網頁內容過濾器。這表示只有管理式 App 發起的網路流量會透過 DNS 代理伺服器、網頁內容過濾器或一併透過兩者傳送。使用者的個人流量會維持獨立且不會由組織過濾或代理。此操作會使用以下承載資料的新鍵值對完成:
使用者如何註冊其個人裝置
在 iOS 15、iPadOS 15、macOS 14 和 visionOS 1.1 或以上版本中,組織可使用簡化的「使用者註冊」流程,該流程直接內建於「設定」App 中讓使用者更容易註冊他們的個人裝置。
若要執行此操作:
在 iPhone、iPad 和 Apple Vision Pro 上,使用者需導覽到「設定」>「一般」>「VPN 與裝置管理」,然後選取「登入公司或學校帳號」按鈕。
在 Mac 上,使用者需導覽到「設定」>「隱私權與安全性」>「描述檔」,然後點一下「登入公司或學校帳號」按鈕。
當他們輸入其「管理式 Apple 帳號」時,服務搜索會辨識 MDM 解決方案的註冊 URL。
使用者接著輸入其組織使用者名稱和密碼。組織的身份驗證成功後,註冊描述檔將傳送至裝置。區段代號也會核發給裝置以允許進行中的授權。接著裝置會開始註冊程序,並提示使用者登入其「管理式 Apple 帳號」。在 iPhone、iPad 和 Apple Vision Pro 上,可以使用註冊單一登入功能來減少重複的認證提示訊息,藉此簡化認證程序。
註冊完成時,新的受管理帳號會在「設定」App(iPhone、iPad 和 Apple Vision Pro)和「系統設定」(Mac)中突顯。這讓使用者仍可存取其個人「Apple 帳號」建立的「iCloud 雲碟」中的檔案。組織的「iCloud 雲碟」(綁定使用者的「管理式 Apple 帳號」)在「檔案」App 中會分開顯示。
在 iPhone、iPad 和 Apple Vision Pro 上,管理式 App 和受管理的網頁式文件皆能取用組織的「iCloud 雲碟」,而 MDM 管理者可以使用特定取用限制來協助分別特定的個人和組織文件。如需更多資訊,請參閱:管理式 App 取用限制和功能。
使用者可以查看有關在他們的個人裝置受管理項目的詳細資訊以及他們的組織提供了多少 iCloud 存儲空間。因使用者為裝置擁有者,「使用者註冊」只可將一部分的承載資料和取用限制套用至裝置。如需更多資訊,請參閱:「使用者註冊」MDM 資訊。
Apple 如何分辨使用者資料和組織資料
當「使用者註冊」完成,獨立的加密密鑰會自動在裝置上製作。若裝置遭使用者或以遠端方式使用 MDM 取消註冊,這些加密密鑰會被安全地銷毀。密鑰會用來以加密編譯方式區隔下方所列的受管理資料:
App 資料容器:iPhone、iPad、Mac 和 Apple Vision Pro
行事曆:iPhone、iPad、Mac 和 Apple Vision Pro
裝置必須執行 iOS 16、iPadOS 16.1、macOS 13 和 visionOS 1.1 或以上版本。
「鑰匙圈」項目:iPhone、iPad、Mac 和 Apple Vision Pro
【注意】第三方 Mac App 必須使用資料保護鑰匙圈 API。如需更多資訊,請參閱 Apple 開發者文件:kSecUseDataProtectionKeychain。
郵件附件和郵件訊息的本文:iPhone、iPad、Mac 和 Apple Vision Pro
備忘錄:iPhone、iPad、Mac 和 Apple Vision Pro
提醒事項:iPhone、iPad、Mac 和 Apple Vision Pro
裝置必須執行 iOS 17、iPadOS 17、macOS 14 和 visionOS 1.1 或以上版本。
如果使用者是用個人「Apple 帳號」和「管理式 Apple 帳號」登入,「使用 Apple 登入」會自動針對管理式 App 使用「管理式 Apple 帳號」,並針對非管理式 App 使用個人「Apple 帳號」。在 Safari 或管理式 App 的 SafariWebView 中使用登入流程時,使用者可選取和輸入其「管理式 Apple 帳號」來與工作帳號的登入流程綁定。
系統管理者只能管理使用 MDM 佈建的組織帳號、設定和資訊,而無法管理使用者的個人帳號。事實上,同樣用來在組織擁有的管理式 App 中保護資料安全的功能,也會防止使用者的個人內容進入公司資料串流。
MDM 可以 | MDM 無法 |
|---|---|
設定帳號 | 查看個人資訊、使用狀況資料或記錄 |
取用管理式 App 資產 | 取用個人的 App 資產 |
只移除受管理的資料 | 移除任何個人資料 |
安裝和設定 App | 接管個人 App 的管理 |
需要密碼 | 需要複雜密碼 |
強制執行特定取用限制 | 取用裝置位置 |
設定個別 App VPN | 取用獨有裝置識別碼 |
| 遠端清除整個裝置 |
| 管理「啟用鎖定」 |
| 取用漫遊狀態 |
| 開啟「遺失模式」 |
【注意】針對 iPhone 和 iPad,管理者可以要求至少六個字元的密碼並防止使用者使用簡單的密碼(例如,「123456」或「abcdef」),但不能要求複雜的字元或密碼。