Apple डिवाइस के साथ खाता संचालन नामांकन विधियाँ
खाता संचालित यूज़र नामांकन और खाता संचालित डिवाइस नामांकन से यूज़र और संगठनों को प्रबंधित Apple खाते से साइन इन करके काम के लिए Apple डिवाइस सेटअप करने के लिए अबाधित और सुरक्षित तरीक़ा उपलब्ध होता है।
इस दृष्टिकोण से प्रबंधित Apple खाते और व्यक्तिगत Apple खाते दोनों को समान डिवाइस पर साइन इन करने की सुविधा मिलती है जबकि कार्य और व्यक्तिगत डेटा की पूरी तरह से पृथकता बनी रहती है। यूज़र अपनी व्यक्तिगत सूचना के बजाय गोपनीयता बनाए रखते हैं और आईटी द्वारा कार्य संबंधी ऐप्स, सेटिंग्ज़ और खातों का समर्थन किया जाता है।
इस अलगाव का समर्थन करने के लिए ऐप्स और बैकअप को नियंत्रित करने के तरीक़े के लिए निम्नलिखित परिवर्तन किए गए हैं :
नामांकन प्रोफ़ाइल हटाने पर सभी कॉन्फ़िगरेशन और सेटिंग्ज़ को हटा लिया जाता है।
प्रबंधित ऐप्स को नामांकन हटाने के दौरान कभी भी हटाया जा सकता है।
मोबाइल डिवाइस प्रबंधन (MDM) समाधान में नामांकित करने से पहले इंस्टॉल किए गए ऐप्स को प्रबंधित ऐप्स बनने के लिए रूपांतरित नहीं किया जा सकता है।
बैकअप से रीस्टोर करने पर MDM नामांकन रीस्टोर नहीं होता है।
अपने व्यक्तिगत Apple खाते से साइन इन करने वाले यूज़र प्रबंधित ऐप वितरण के आमंत्रण स्वीकार नहीं कर सकते हैं।
हालाँकि प्रबंधित Apple खाते मैनुअली बनाए जा सकते हैं, लेकिन संगठन IdP, Google Workspace या Microsoft Entra ID के साथ इंटीग्रेशन का फ़ायदा उठा सकते हैं।
फ़ेडरेटेड प्रमाणीकरण के बारे में अधिक जानकारी के लिए Apple School Manager के साथ फ़ेडरेटेड प्रमाणीकरण का परिचय या Apple Business Manager के साथ फ़ेडरेटेड प्रमाणीकरण का परिचय देखें।
खाता संचालन नामांकन प्रक्रिया
खाता संचालित यूज़र नामांकन या खाता संचालित डिवाइस नामांकन का इस्तेमाल करके डिवाइस को नामांकित करने के लिए यूज़र सेटिंग्ज़ > सामान्य > VPN और डिवाइस प्रबंधन या सिस्टम सेटिंग्ज़ > सामान्य > डिवाइस प्रबंधन में नैविगेट करता है और फिर “कार्यस्थल या स्कूल खाते में साइन इन करें” बटन चुनता है।
इससे MDM में नामांकन के लिए चार-चरण वाली प्रक्रिया की शुरुआत होती है :
सेवा डिस्कवरी : डिवाइस MDM समाधान का URL नामांकन निर्धारित करता है।
प्रमाणन और ऐक्सेस टोकन : यूज़र नामांकन को अधिकृत करने के लिए क्रेडेंशियल प्रदान करता है और सतत प्रमाणन के लिए जारी ऐक्सेस टोकन प्राप्त करता है।
MDM नामांकन : नामांकन प्रोफ़ाइल डिवाइस के पास भेजा जाता है और यूज़र के लिए नामांकन पूरा करने के लिए उनके प्रबंधित Apple खाते से साइन इन करना आवश्यक होता है।
सतत प्रमाणन : MDM समाधान ऐक्सेस टोकन का इस्तेमाल करके साइन-इन किए गए यूज़र को सतत आधार पर सत्यापित करता है।
स्टेज 1 : सेवा खोज
पहले चरण में सेवा खोज MDM समाधान के नामांकन URL को चिह्नित करने की कोशिश करता है। ऐसा करने के लिए यह यूज़र द्वारा दर्ज किए गए आइडेंटिफ़ायर उदाहरण के लिए example eliza@betterbag.com का इस्तेमाल करता है। डोमेन पूरी तरह से योग्यता प्राप्त डोमेन नाम (FQDN) होना चाहिए जो यूज़र के संगठन के लिए MDM सेवा का विज्ञापन करता है।
फिर निम्नलिखित लागू होता है :
चरण 1
डिवाइस प्रदान किए गए आइडेंटिफ़ायर में डोमेन को चिह्नित करता है (उपरोक्त उदाहरण में betterbag.com)।
चरण 2
डिवाइस द्वारा संगठन के डोमेन से जाने-पहचाने संसाधनों का अनुरोध किया जाता है उदाहरण के लिए https://<domain>/.well-known/com.apple.remotemanagement।
क्लाइंट में HTTP GET अनुरोध के URL पाथ में दो क्वेरी पैरामीटर शामिल होते हैं :
user-identifier: दर्ज किए गए खाता आइडेंटिफ़ायर का मान (उपरोक्त उदाहरण में, eliza@betterbag.com) है।
model-family: डिवाइस का मॉडल परिवार (उदाहरण के लिए iPhone, iPad, Mac)।
नोट : डिवाइस HTTP 3xx रीडायरेक्ट अनुरोध का पालन करता है, जो वास्तविक com.apple.remotemanagement फ़ाइल को ऐसे अन्य सर्वर पर होस्ट करने की अनुमति देता है जिस तक डिवाइस द्वारा पहुँचा जा सकता है।
iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 या बाद के संस्करण वाले डिवाइस के लिए सेवा खोज प्रक्रिया द्वारा डिवाइस को Apple School Manager या Apple Business Manager से लिंक किए गए MDM समाधान द्वारा निर्दिष्ट वैकल्पिक स्थान के जाने-पहचाने संसाधन को फ़ेच करने की अनुमति दी जाती है। सेवा खोज की पहली प्राथमिकता अभी भी संगठन के डोमेन में मौजूद जाना-पहचाना संसाधन है। अनुरोध विफल होने की स्थिति में जाने-पहचाने संसाधन के वैकल्पिक स्थान के लिए डिवाइस Apple School Manager या Apple Business Manager से जाँच के लिए आगे कार्रवाई करता है। इस प्रक्रिया के लिए आवश्यक है कि आइडेंटिफ़ायर में इस्तेमाल किया गया डोमेन Apple School Manager या Apple Business Manager में सत्यापित किया जाए। अधिक जानकारी के लिए Apple School Manager में डोमेन जोड़ें और सत्यापित करें या Apple Business Manager में डोमेन जोड़ें और सत्यापित करें देखें।
इस क्षमता का इस्तेमाल करने के लिए वैकल्पिक सेवा खोज URL को Apple Business Manager और Apple School Manager से लिंक किए गए MDM समाधान द्वारा कॉन्फ़िगर किया जाना चाहिए। जब डिवाइस Apple School Manager या Apple Business Manager से संपर्क करता है, तो डिवाइस प्रकार का इस्तेमाल उस प्रकार के लिए असाइन किए गए MDM समाधान निर्धारित करने के लिए किया जाता है — यह वही प्रक्रिया है जो ऑटोमेटेड डिवाइस नामांकन के लिए डिफ़ॉल्ट MDM समाधान निर्धारित करने के लिए होती है। अगर असाइन किए गए MDM समाधान में सेवा खोज URL कॉन्फ़िगर किया गया है, तो डिवाइस उस स्थान के अच्छी तरह से ज्ञात संसाधन का अनुरोध करने के लिए आगे कार्रवाई करता है। डिफ़ॉल्ट डिवाइस असाइनमेंट सेट करने के लिए Apple School Manager में डिफ़ॉल्ट डिवाइस असाइनमेंट सेट करें या Apple Business Manager में डिफ़ॉल्ट डिवाइस असाइनमेंट सेट करें देखें।
MDM जाने-पहचाने संसाधन को भी होस्ट कर सकता है।
चरण 3
जाने-पहचाने संसाधन को होस्ट करने वाला सर्वर सेवा खोज JSON दस्तावेज़ के ज़रिए प्रतिक्रिया करता है जो निम्नलिखित स्कीमा के अनुरूप होती है :
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}MDM नामांकन कीज़, प्रकार और विवरण निम्नलिखित टेबल में हैं। सभी कीज़ आवश्यक हैं।
“की” | प्रकार | वर्णन |
|---|---|---|
सर्वर | ऐरे | एकल प्रविष्टि वाली सूची। |
संस्करण | स्ट्रिंग | यह “की” उस नामांकन विधि को निर्धारित करती है जिसे प्रयुक्त किया जाना है और यह यूज़र नामांकन के लिए |
BaseURL | स्ट्रिंग | MDM समाधान का URL नामांकन। |
महत्वपूर्ण : सर्वर को सुनिश्चित करना चाहिए कि HTTP प्रतिक्रिया में Content-Type हेडर फ़ील्ड को application/json पर सेट किया जाए।
चरण 4
डिवाइस HTTP POST अनुरोध नामांकन URL को भेजता है जो BaseURL से निर्दिष्ट होता है।
स्टेज 2 : प्रमाणन और ऐक्सेस टोकन
नामांकन को अधिकृत करने के लिए यूज़र को MDM समाधान से प्रमाणित करने की आवश्यकता होती है। सफल प्रमाणन के बाद MDM समाधान डिवाइस को एक ऐक्सेस टोकन जारी करता है। उत्तरवर्ती अनुरोधों को अधिकृत करने पर डिवाइस उपयोग के लिए टोकन को सुरक्षित रूप से संग्रहित करता है।
ऐक्सेस टोकन :
MDM संसाधनों की आरंभिक प्रमाणन प्रक्रिया और सतत ऐक्सेस दोनों में मुख्य रूप से उपस्थित होता है
यूज़र के प्रबंधित Apple खाते और MDM समाधान के बीच सुरक्षित पुल के रूप में काम करता है
इसका इस्तेमाल सभी खाता संचालित डिवाइस नामांकन के लिए कार्य संबंधी संसाधनों के सतत ऐक्सेस की अनुमति देने के लिए किया जाता है
iPhone, iPad और Apple Vision Pro पर, बार-बार प्रमाणन संकेत कम करने के लिए नामांकन SSO का उपयोग करके आरंभिक और सतत प्रमाणीकरण प्रक्रिया को सुगम बनाया जा सकता है। अधिक जानकारी के लिए iPhone, iPad और Apple Vision Pro के लिए नामांकन सिंगल साइन-ऑन देखें।
स्टेज 3 : MDM नामांकन
ऐक्सेस टोकन का इस्तेमाल करके डिवाइस MDM समाधान के साथ प्रमाणित कर सकता है और MDM नामांकन प्रोफ़ाइल को ऐक्सेस कर सकता है। इस प्रोफ़ाइल में डिवाइस द्वारा नामांकन करने के लिए आवश्यक सभी जानकारी मौजूद होती है। नामांकन पूरा करने के लिए यूज़र को अपने प्रबंधित Apple खाते से सफलतापूर्वक साइन इन करना चाहिए। नामांकन पूरा होने के बाद प्रबंधित Apple खाता सेटिंग्ज़ और सिस्टम सेटिंग्ज़ के भीतर प्रमुखता से प्रदर्शित होता है।
यूज़र को कौन सी iCloud सेवाएँ उपलब्ध हैं, इस बारे में अधिक जानकारी के लिए iCloud सेवाएँ ऐक्सेस करें देखें।
स्टेज 4 : सतत प्रमाणन
नामांकन के बाद ऐक्सेस टोकन सक्रिय रहता है और इसे ऑथराइज़ेशन HTTP हेडर का इस्तेमाल करके MDM समाधान को किए जाने वाले सभी अनुरोधों में शामिल किया जाता है। इससे MDM समाधान को अनुमति मिलती है कि यूज़र को निरंतर सत्यापित किया जाए और यह सुनिश्चित करने में मदद मिलती है कि केवल अधिकृत यूज़र के पास ही सांगठनिक संसाधनों का ऐक्सेस रहे।
ऐक्सेस टोकन की समय सीमा आम तौर पर एक निर्धारित अवधि के बाद समाप्त हो जाती है। ऐसा होने पर ऐक्सेस टोकन को नवीनीकृत करने के लिए डिवाइस फिर से प्रमाणित करने के लिए यूज़र को संकेत दे सकता है। नियमित रूप से फिर से वैलिडेशन से सुरक्षा अपलोड करने में मदद मिलती है जो व्यक्तिगत और सांगठनिक के ओनरशिप वाले डिवाइस के लिए महत्वपूर्ण है। नामांकन SSO से संगठन के आइडेंटिटी प्रोवाइडर के ज़रिए टोकन नवीनीकरण ऑटोमैटिकली होता है जिससे सुनिश्चित होता है कि फिर से प्रमाणित किए बिना अबाधित ऐक्सेस मिले।
खाता संचालित नामांकन विधियों की मदद से यूज़र डेटा को संगठन के डेटा से कैसे अलग किया जाता है
जब खाता संचालित यूज़र नामांकन या खाता संचालित डिवाइस नामांकन पूरा हो जाता है, तो डिवाइस पर ऑटोमैटिकली अलग एंक्रिप्शन कीज़ बन जाती हैं। यदि डिवाइस को यूज़र द्वारा नामांकित किया जाता है या MDM का उपयोग करके रिमोटली किया जाता है, तो वे एंक्रिप्शन कीज़ सुरक्षित रूप से नष्ट हो जाती हैं। इस टेबल में प्रबंधित डेटा को क्रिप्टोग्राफ़िक रूप से अलग करने के लिए कीज़ का उपयोग किया जा रहा है।
कॉन्टेंट | न्यूनतम समर्थित ऑपरेटिंग सिस्टम संस्करण | वर्णन | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
प्रबंधित ऐप डेटा कंटेनर | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | प्रबंधित ऐप्स MDM नामांकन से संबंधित प्रबंधित Apple खाते का उपयोग iCloud डेटा सिंक्रोनाइज़ेशन के लिए करते हैं। इसमें CloudKit का इस्तेमाल करने वाले Mac पर प्रबंधित ऐप्स ( | |||||||||
कैलेंडर ऐप | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | इवेंट अलग हैं। | |||||||||
कीचेन आइटम | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | तृतीय-पक्ष Mac ऐप को डेटा सुरक्षा कीचेन API का उपयोग करना चाहिए। अधिक जानकारी के लिए Apple डेवलपर वेबसाइट पर ग्लोबल वैरिएबल kSecUseDataProtectionKeychain देखें। | |||||||||
मेल ऐप | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | मेल अटैचमेंट और मेल संदेश का मुख्य भाग अलग हैं। | |||||||||
नोट्स ऐप | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | नोट्स अलग हैं। | |||||||||
रिमाइंडर ऐप | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | रिमाइंडर अलग हैं। | |||||||||
iPhone, iPad और Apple Vision Pro पर प्रबंधित ऐप्स और वेब आधारित दस्तावेज़ों सभी के पास संगठन की iCloud Drive (जो उनके प्रबंधित Apple खाते से यूज़र द्वारा साइन इन करने के बाद फ़ाइल ऐप में अलग दिखाई देते हैं) का ऐक्सेस होता है। MDM ऐडमिनिस्ट्रेटर से विशिष्ट प्रतिबंधों की मदद से विशिष्ट निजी दस्तावेज़ों और संगठन के दस्तावेज़ों को अलग रखने में सहायता मिल सकती है। अधिक जानकारी के लिए प्रबंधित ऐप के प्रतिबंध और क्षमताएँ देखें।
यदि यूज़र ने व्यक्तिगत Apple खाते और प्रबंधित Apple खाते से साइन इन किया है, तो Apple द्वारा प्रबंधित ऐप्स के लिए प्रबंधित Apple खाते और अप्रबंधित ऐप्स के लिए व्यक्तिगत Apple खाते का ऑटोमैटिकली उपयोग किया जाता है। प्रबंधित ऐप में Safari या SafariWebView में साइन-इन फ़्लो का इस्तेमाल करते हुए, यूज़र साइन-इन को अपने कार्यस्थल या स्कूल के खाते से संबद्ध करने के लिए अपने प्रबंधित Apple खाते को चुन और दर्ज कर सकता है।
