iPadOS 中「共享的 iPad」安全性
「共享的 iPad」是在 iPad 部署中使用的多重使用者模式。此模式可讓使用者共享一部 iPad,同時讓每位使用者的文件和資料維持獨立狀態。每位使用者可獲得專為他們保留的儲存位置,這個位置是以 APFS(Apple 檔案系統)卷宗形式導入,且受到使用者的憑證保護。「共享的 iPad」需使用由組織核發並擁有的管理式 Apple ID。
使用「共享的 iPad」,可讓使用者登入任何組織擁有且設為供多重使用者使用的裝置。使用者資料會分割至獨立的目錄中,而每個目錄都位於其專屬的資料保護網域中,且受到 UNIX 權限和沙盒技術保護。在 iPadOS 13.4 或以上版本中,使用者也可登入暫時操作階段。當使用者登出暫時操作階段,使用者的 APFS 卷宗會被刪除,而且保留的空間會歸還給系統。
登入「共享的 iPad」
當登入「共享的 iPad」時,同時支援原生和同盟管理式 Apple ID。第一次使用同盟帳號時,系統會將使用者重新導向至身分提供者(IdP)的登入入口網站。經過認證後,會核發一個效期短的存取代碼以支援管理式 Apple ID,而登入程序會繼續執行,類似於原生管理式 Apple ID 登入程序。登入後,「共享的 iPad」上的「設定輔助程式」會提示使用者建立一組密碼(憑證),用來在未來保護裝置上的本機資料及認證登入畫面。在單一使用者裝置上,使用者會使用同盟帳號登入一次其管理式 Apple ID,然後用自己的密碼解鎖其裝置;同樣地,在「共享的 iPad」上,使用者會使用同盟帳號登入一次,此後便使用自行建立的密碼。
當使用者不是透過聯合驗證登入時,「Apple 識別服務」(IDS)會使用 SRP 通訊協定認證該管理式 Apple ID。若認證成功,則會授予一個該裝置專用的短效期存取代號。如果使用者先前使用過裝置,他們便已有使用相同憑證解鎖的本機使用者帳號。
如果使用者之前沒有用過裝置或正在使用暫時操作階段功能,則「共享的 iPad」會佈建一個新的 UNIX 使用者 ID、一個用於儲存使用者個人資料的 APFS 卷宗,以及一個本機鑰匙圈。由於建立 APFS 卷宗時會為使用者分配(保留)儲存空間,因此可能沒有足夠空間建立一個新卷宗。在這種情況下,系統會識別已完成將資料同步到雲端的現有使用者,並讓該使用者退出裝置,以便讓新使用者登入。萬一全部現有的使用者都尚未完成上傳其雲端資料,新的使用者登入程序便會失敗。若要登入,新的使用者需要等待一位使用者的資料同步完成,或請管理者強制刪除一個現有的使用者帳號,而這麼做會有資料遺失的風險。
如果裝置未連接網際網路(例如使用者沒有 Wi-Fi 連接點時),則可能會在有限天數內針對本機帳號進行認證。在這種情況下,只有擁有先前已存在本機帳號或暫時操作階段的使用者可以登入。這個時限過後,即使本機帳號已存在,使用者仍需於線上進行認證。
使用者的本機帳號解鎖或建立後,若進行遠端認證,由 Apple 伺服器核發的短效期代號便會轉換為 iCloud 代號,以允許登入 iCloud。接著使用者的設定會回復,且其文件和資料會從 iCloud 同步。
當使用者的作業為作用中且裝置維持線上狀態時,文件和資料皆會在其製作或修改時儲存至 iCloud。此外,使用者登出之後,背景同步機制可協助確保更動會推送至 iCloud,或是使用 NSURLSession 背景作業的其他 Web 服務。該使用者的背景同步作業完成後,系統會卸載其 APFS 卷宗,且若使用者沒有重新登入,就無法再次裝載。
暫時操作階段不會與 iCloud 同步資料,且雖然暫時操作階段可以登入第三方同步服務(例如 Box 或 Google 雲端硬碟),但並沒有在暫時操作階段結束時繼續同步資料的功能。
登出「共享的 iPad」
使用者登出「共享的 iPad」時,系統會立即鎖定該使用者的 Keybag,並關閉所有 App。為了加快新使用者登入的速度,iPadOS 會暫時延遲部分的一般登出操作,並向新使用者顯示登入視窗。如果使用者在這段期間(約 30 秒)登入,「共享的 iPad」會執行延遲的清除,做為新使用者登入帳號程序的一部分。但是如果「共享的 iPad」維持閒置狀態,便會觸發延遲的清除程序。執行清除階段期間,「登入視窗」會重新啟動,就像是發生另一個登出操作。
當暫時操作階段結束時,「共享的 iPad」會執行完整的登出程序,並立即刪除暫時操作階段的 APFS 卷宗。