Kontodrevne tilmeldingsmetoder med Apple-enheder
Med kontodrevet brugertilmelding og kontodrevet enhedstilmelding kan brugere og organisationer indstille Apple-enheder til arbejdsbrug på en problemfri og sikker måde ved at logge ind med en administreret Apple-konto.
Denne metode gør det muligt at logge ind på den samme enhed med både en administreret Apple-konto og en personlig Apple-konto, således at personlige og arbejdsrelaterede data er fuldstændigt adskilte. Brugerne kan holde deres personlige oplysninger private, og IT-afdelingen kan understøtte arbejdsrelaterede apps, indstillinger og konti.
For at understøtte denne adskillelse er der blevet foretaget følgende ændringer i den måde, apps og sikkerhedskopier håndteres på:
Alle konfigurationer og indstillinger fjernes, når tilmeldingsprofilen fjernes.
Administrerede apps fjernes altid under frameldingen.
Apps, der er installeret før tilmeldingen til en løsning til administration af mobile enheder (MDM), kan ikke konverteres til administrerede apps.
Gendannelse fra en sikkerhedskopi gendanner ikke MDM-tilmeldingen.
Brugere, der logger ind med deres personlige Apple-konto, kan ikke acceptere en invitation til administreret appdistribution.
Selvom administrerede Apple-konti kan oprettes manuelt, kan organisationer med fordel benytte integration med en identitetsudbyder, Google Workspace eller Microsoft Entra ID.
Du kan få flere oplysninger om forenet godkendelse i Introduktion til godkendelse via organisationsnetværket med Apple School Manager eller Introduktion til godkendelse via organisationsnetværket med Apple Business Manager.
Kontodrevet tilmeldingsproces
For at tilmelde en enhed vha. kontodrevet brugertilmelding eller kontodrevet enhedstilmelding skal brugeren gå til Indstillinger > Generelt > VPN og Administration af enhed eller gå til Systemindstillinger > Generelt > Administration af enhed og trykke på knappen Log ind på arbejds- eller skolekonto.
Dette starter en tilmeldingsproces til MDM, der består af følgende fire faser:
Søgning efter tjeneste: Enheden fastslår MDM-løsningens URL-adresse til tilmelding.
Godkendelse og adgangstoken: Brugeren angiver sine brugeroplysninger for at godkende tilmeldingen og får udstedt et adgangstoken til løbende godkendelse.
MDM-tilmelding: Tilmeldingsprofilen sendes til enheden, og brugeren skal logge ind med sin administrerede Apple-konto for at færdiggøre tilmeldingen.
Løbende godkendelse: MDM-løsningen verificerer løbende den bruger, der er logget ind, vha. adgangstokenet.
Fase 1: Søgning efter tjeneste
Under det første trin forsøger tjenestesøgningen at identificere MDM-løsningens URL-adresse til tilmelding. I den forbindelse anvendes id'et, som brugeren har indtastet, f.eks. eliza@betterbag.com. Domænet skal være et fuldstændigt domænenavn (FQDN), der meddeler MDM-tjenesten til brugerens organisation.
Herefter sker følgende:
Trin 1
Enheden identificerer domænet i det anførte id (i eksemplet ovenfor er det betterbag.com).
Trin 2
Enheden anmoder om den velkendte ressource fra organisationens domæne, f.eks https://<domain>/.well-known/com.apple.remotemanagement.
Klienten inkluderer to forespørgselsparametre i HTTP GET-anmodningens URL-sti:
user-identifier: Værdien af det indtastede konto-id (i eksemplet ovenfor er det eliza@betterbag.com).
model-family: Enhedens modelserie (f.eks. iPhone, iPad eller Mac).
Bemærk: Enheden følger HTTP 3xx-omdirigeringsanmodninger, så selve com.apple.remotemanagement-arkivet kan hostes på en anden server, som enheden har adgang til.
Processen med tjenestesøgning giver enheder med iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 og nyere versioner mulighed for at hente den velkendte ressource fra en alternativ placering angivet af MDM-løsningen, som er tilknyttet Apple School Manager eller Apple Business Manager. Ved tjenestesøgning anmodes der stadigvæk først om den velkendte ressource på organisationens domæne. Hvis anmodningen slår fejl, fortsætter enheden til Apple School Manager eller Apple Business Manager for at søge efter en alternativ placering til den velkendte ressource. Dennne proces kræver, at domænet, der blev brugt i id’et, skal kontrolleres i Apple School Manager eller Apple Business Manager. Du kan få flere oplysninger i Tilføj og bekræft et domæne i Apple School Manager eller Tilføj og bekræft et domæne i Apple Business Manager.
For at benytte denne mulighed skal URL-adressen til den alternative tjenestesøgning være konfigureret af MDM-løsningen, der er tilknyttet Apple Business Manager eller Apple School Manager. Når enheden kontakter Apple School Manager eller Apple Business Manager, bruges enhedstypen til at fastslå den tildelte MDM-løsning for den pågældende type. Det er den samme proces, der bruges til at fastslå standard-MDM-løsningen for automatisk enhedstilmelding. Hvis den tildelte MDM-løsning har konfigureret en URL-adresse til tjenestesøgning, anmoder enheden placeringen om den velkendte ressource. Se Indstil standarden for enhedstildeling i Apple School Manager eller Indstil standarden for enhedstildeling i Apple Business Manager, hvis du vil indstille standarden for enhedstildeling.
MDM-løsningen kan også hoste den velkendte ressource.
Trin 3
Serveren, der hoster den velkendte ressource, svarer med et JSON-dokument til tjenestesøgning i overensstemmelse med følgende skema:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}MDM-tilmeldingsnøglerne med oplysninger om type og beskrivelser af dem kan ses i tabellen herunder. Alle nøgler er obligatoriske.
Nøgle | Type | Beskrivelse |
|---|---|---|
Servers | Array | En liste med en enkelt optegnelse. |
Version | Streng | Denne nøgle bestemmer, hvilken tilmeldingsmetode der bruges, og den skal enten være |
BaseURL | Streng | MDM-løsningens URL-adresse til tilmelding. |
Vigtigt: Serveren skal sikre, at Content-Type-headerfeltet i HTTP-svaret er indstillet til application/json.
Trin 4
Enheden sender en HTTP POST-anmodning til URL-adressen til tilmelding, som er angivet afBaseURL-nøglen.
Fase 2: Godkendelse og adgangstoken
For at godkende tilmeldingen skal brugeren godkende med MDM-løsningen. Når godkendelsen er færdig, udsteder MDM-løsningen et adgangstoken til enheden. Enheden opbevarer tokenet på sikker vis til brug ved godkendelse af fremtidige anmodninger.
Om adgangstokenet:
Er vigtigt i både den indledende godkendelsesproces og for den løbende adgang til MDM-ressourcer
Fungerer som en sikker bro mellem brugerens administrerede Apple-konto og MDM-løsningen
Bruges til at give kontinuerlig adgang til arbejdsressourcer til alle kontodrevne tilmeldinger
På iPhone, iPad og Apple Vision Pro kan den indledende og den løbende godkendelsesproces strømlines vha. tilmelding med log ind i et trin, som reducerer gentagne godkendelsesanmodninger. Du kan få flere oplysninger i Tilmelding med Log ind i et trin til iPhone, iPad og Apple Vision Pro.
Fase 3: MDM-tilmelding
Vha. adgangstokenet kan enheden godkende med MDM-løsningen og få adgang til MDM-tilmeldingsprofilen. Profilen indeholder alle oplysninger, som enheden skal bruge til at udføre tilmeldingen. Brugeren skal logge ind med sin administrerede Apple-konto for at færdiggøre tilmeldingen. Når tilmeldingen er færdig, vises den administrerede Apple-konto tydeligt i Indstillinger og Systemindstillinger.
Du kan få flere oplysninger om, hvilke iCloud-tjenester der er tilgængelige for brugerne, i Adgang til iCloud-tjenester.
Fase 4: Løbende godkendelse
Efter tilmelding er adgangstokenet stadig aktivt og inkluderes i alle anmodninger til MDM-løsningen vha. HTTP headeren Authorization På den måde kan MDM-løsningen godkende brugeren løbende, og det hjælper med at sikre, at kun godkendte brugere kan få adgang til organisationens ressourcer.
Adgangstokens udløber typisk efter en fastsat periode. Når det sker, kan enheden bede brugeren om at godkende adgangstokenet igen for at forny det. Periodisk forlængelse er med til at forbedre sikkerheden, og det er vigtigt for både personlige og organisationsejede enheder. Med tilmelding med SSO fornys tokens automatisk via organisationens identitetsudbyder, hvilket sikrer uforstyrret adgang uden at skulle godkende igen.
Sådan adskilles brugerdata fra organisationens data med kontodrevne tilmeldingsmetoder
Når kontodrevet brugertilmelding eller kontodrevet enhedstilmelding er gennemført, oprettes der automatisk separate krypteringsnøgler på enheden. Hvis enheden afmeldes af brugeren eller eksternt via MDM, bliver disse krypteringsnøgler destrueret på en sikker måde. Nøglerne bruges til kryptografisk adskillelse af de administrerede data i denne tabel.
Indhold | Min. understøttede operativsystemversioner | Beskrivelse | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Beholdere med data fra administrerede apps | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Administrerede apps bruger den administrerede Apple-konto, der er knyttet til MDM-tilmeldingen, til synkronisering af iCloud-data. Herunder administrerede apps (installeret med nøglen | |||||||||
Appen Kalender | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Begivenheder er adskilte. | |||||||||
Nøgleringsemner | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Tredjepartsappen på Mac skal bruge databeskyttelsesnøglering-API’en. Du kan få flere oplysninger i beskrivelsen af den globale variabel kSecUseDataProtectionKeychain på Apple Developer-webstedet. | |||||||||
Appen Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Bilag til og indholdet af e-mails er adskilte. | |||||||||
Appen Noter | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Noter er adskilte. | |||||||||
Appen Påmindelser | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Påmindelser er adskilte: | |||||||||
På iPhone, iPad og Apple Vision Pro har administrerede apps og administrerede dokumenter på internettet alle adgang til organisationens iCloud Drive (som vises separat i appen Arkiver, når en bruger logger ind med sin administrerede Apple-konto). MDM-administratoren kan bruge bestemte begrænsninger til at holde personlige dokumenter og organisationens dokumenter adskilt. Du kan få flere oplysninger i Begrænsninger og muligheder for administrerede apps.
Hvis en bruger både er logget ind med en personlig Apple-konto og en administreret Apple-konto, bruger Log ind med Apple automatisk den administrerede Apple-konto til administrerede apps og den personlige Apple-konto til ikke-administrerede apps. Ved brug af en loginproces i Safari eller SafariWebView i en administreret app kan brugeren vælge og indtaste sin administrerede Apple-konto for at forbinde sit login med sin arbejds- eller skolekonto.
