Kontobaserte registreringsmetoder med Apple-enheter
Kontobasert brukerregistrering og kontobasert enhetsregistrering er en sømløs og sikker måte for brukere og organisasjoner å konfigurere Apple-enheter for arbeid på ved å logge på med en administrert Apple-konto.
Denne tilnærmingen tillater å logge på både en administrert Apple-konto og en personlig Apple-konto på samme enhet, og jobbdata og personlige data holdes helt adskilt. Brukernes personvern ivaretas for deres personlige informasjon, og IT-avdelingen støtter arbeidsrelaterte apper, innstillinger og kontoer.
For å støtte denne adskillelsen har følgende endringer blitt gjort i måten apper og sikkerhetskopier håndteres på:
Alle konfigurasjoner og innstillinger fjernes når registreringsprofilen fjernes.
Administrerte apper fjernes alltid under avregistrering.
Apper som installeres før registrering i en MDM-løsning, kan ikke konverteres til å bli administrerte apper.
Gjenoppretting fra en sikkerhetskopi gjenoppretter ikke MDM-registrering.
Brukere som logger på med en personlig Apple-konto, kan ikke godta en invitasjon om utrulling av en administrert app.
Selv om administrerte Apple-kontoer kan opprettes manuelt, kan organisasjoner dra nytte av integrering med en IdP, Google Workspace eller Microsoft Entra ID.
Du finner mer informasjon om forent autentisering under Introduksjon til forent autentisering med Apple School Manager eller Introduksjon til forent autentisering med Apple Business Manager.
Kontobasert registreringsprosess
For å registrere en enhet ved hjelp av kontobasert brukerregistrering går brukeren til Innstillinger > Generelt > VPN og enhetsadministrering eller Systeminnstillinger > Generelt > Enhetsregistrering og velger Logg på jobb- eller skolekontoen-knappen.
Dette starter en firefasers prosess for å registrere i MDM:
Tjenestesøk: Enheten finner registrerings-URL-en for MDM-løsningen.
Autentisering og tilgangskjennetegn: Brukeren oppgir brukernavn og passord for å godkjenne registreringen og få et tilgangskjennetegn for å tillate autentisering.
MDM-registrering: Registreringsprofilen sendes til enheten, og brukeren må logge på med administrert Apple-konto for å fullføre registreringen.
Pågående autentisering: MDM-løsningen verifiserer den påloggede brukeren hele tiden ved hjelp av tilgangskjennetegnet.
Fase 1: Tjenestesøk
I det første steget forsøker tjenestesøk å identifisere MDM-løsningens registrerings-URL. For å gjøre det brukes identifikatoren som brukeren angir, for eksempel eliza@betterbag.com. Domenet må være et fullt kvalifisert domenenavn (FQDN) som annonserer MDM-tjenesten for brukerens organisasjon.
Deretter skjer følgende:
Trinn 1
Enheten identifiserer domenet i den angitte identifikatoren (betterbag.com i eksempelet over).
Trinn 2
Enheten ber om den velkjente ressursen fra organisasjonens domene, for eksempel https://<domain>/.well-known/com.apple.remotemanagement.
Klienten inkluderer to forespørselsparametre i URL-banen for HTTP GET-forespørselen:
user-identifier: Verdien til den angitte kontoidentifikatoren (eliza@betterbag.com i eksempelet over).
model-family: Enhetens modellfamilie (for eksempel iPhone, iPad eller Mac).
Merk: Enheten følger HTTP 3xx omdirigeringsforespørsler, som gjør at den faktiske com.apple.remotemanagement-filen kan oppbevares på en annen tjener som enheten har tilgang til.
Prosessen med tjenestesøk gir enheter med iOS 18.2, iPadOS 18.2, macOS 15.2 eller visionOS 2.2 eller nyere mulighet for å hente den velkjente ressursen fra en alternativ plassering som er angitt av MDM-løsningen som er koblet til Apple School Manager eller Apple Business Manager. Det foretrukne valget for tjenestesøk er fortsatt den velkjente ressursen på organisasjonens domene. Hvis den forespørselen mislykkes, går enheten videre til å spørre Apple School Manager eller Apple Business Manager om en alternativ plassering for den velkjente ressursen. Denne prosessen krever at domenet som brukes i identifikatoren, er verifisert i Apple School Manager eller Apple Business Manager. Du finner mer informasjon i Legg til og verifiser et domene i Apple School Manager eller Legg til og verifiser et domene i Apple Business Manager.
For å bruke denne muligheten må den alternative URL-en for tjenestesøk være konfigurert av MDM-løsningen som er koblet til Apple Business Manager og Apple School Manager. Når enheten kontakter Apple School Manager eller Apple Business Manager, brukes enhetstypen til å fastslå den tildelte MDM-løsningen for den typen – den samme prosessen som for å finne standard MDM-løsning for automatisert enhetsregistrering. Hvis den tildelte MDM-løsningen har konfigurert en URL for tjenestesøk, vil enheten be om den velkjente ressursen fra den plasseringen. For å angi standard enhetstilordning kan du se Angi standard enhetstilordning i Apple School Manager eller Angi standard enhetstilordning i Apple Business Manager.
MDM-løsningen kan også fungere som vert for den velkjente ressursen.
Trinn 3
Tjeneren der den velkjente ressursen oppbevares, svarer med et JSON-dokument for tjenestesøk, som har følgende struktur:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Registreringsnøklene, typene og beskrivelsene for MDM er i følgende tabell. Alle nøkler er påkrevd.
Nøkkel | Type | Beskrivelse |
|---|---|---|
Servers | Matrise | En liste med én oppføring. |
Version | Streng | Denne nøkkelen bestemmer registreringsmetoden som skal brukes, og den må være enten |
BaseURL | Streng | Registrerings-URL-en for MDM-løsningen. |
Viktig: Tjeneren må sikre at Content-Type-meldingshodefeltet i HTTP-svaret er satt til application/json.
Trinn 4
Enheten sender en HTTP POST-forespørsel til registrerings-URL-en som er angitt av BaseURL.
Fase 2: Autentisering og tilgangskjennetegn
For å godkjenne registreringen må brukeren autentisere med MDM-løsningen. Når godkjenningen er fullført, sender MDM-løsningen et tilgangskjennetegn til enheten. Enheten lagrer kjennetegnet trygt, slik at det kan brukes ved godkjenning av påfølgende forespørsler.
Tilgangskjennetegnet:
er viktig både for den første godkjenningsprosessen og for pågående tilgang til MDM-ressurser
er en sikker bro mellom brukerens administrerte Apple-konto og MDM-løsningen
brukes for å gi kontinuerlig tilgang til arbeidsressurser for alle kontobaserte registreringer
På iPhone, iPad og Apple Vision Pro kan den første godkjenningsprosessen og den pågående godkjenningsprosessen strømlinjeformes ved å bruke Enrollment SSO (Enrollment Single Sign-on) for å redusere gjentatte forespørsler om godkjenning. Hvis du vil ha mer informasjon, kan du lese Enrollment Single Sign-on (SSO) for iPhone, iPad og Apple Vision Pro.
Fase 3: MDM-registrering
Enheten kan bruke tilgangskjennetegnet for å autentisere med MDM-løsningen og få tilgang til MDM-registeringsprofilen. Denne profilen inneholder all informasjon som enheten trenger for å utføre registreringen. For å fullføre registreringen må brukeren logge på med sin administrerte Apple-konto. Når registreringen er fullført, vises den administrerte Apple-kontoen tydelig i Innstillinger og Systeminnstillinger.
Du finner mer informasjon om hvilke iCloud-tjenester som er tilgjengelige for brukere, i Tilgang til iCloud-tjenester.
Fase 4: Pågående autentisering
Etter registreringen forblir tilgangskjennetegnet aktivt, og det inkluderes i alle forespørsler til MDM-løsningen ved hjelp av HTTP-meldingshodefeltet Authorization. Dette gjør at MDM-løsningen kan kontinuerlig verifisere brukeren, og det bidrar til å sikre at kun autoriserte brukere har tilgang til organisasjonens ressurser.
Tilgangskjennetegn utløper vanligvis etter en bestemt periode. Når dette skjer, kan enheten be brukeren om å autentisere på nytt for å fornye tilgangskjennetegnet. Periodisk revalidering bidrar til opplastingssikkerheten, noe som er viktig for både personlige enheter og enheter som eies av organisasjonen. Med Enrollment SSO fornyes kjennetegn automatisk via organisasjonens identitetsleverandør for å sikre uavbrutt tilgang uten å måtte autentisere på nytt.
Slik holdes brukernes data adskilt fra organisasjonens data ved hjelp av kontobaserte registreringsmetoder
Når kontobasert brukerregistrering eller kontobasert enhetsregistrering er fullført, opprettes det automatisk separate krypteringsnøkler på enheten. Hvis enheten avregistreres av brukeren eller eksternt via MDM, ødelegges krypteringsnøklene på en sikker måte. Nøklene brukes til å holde de administrerte dataene som er oppført i denne tabellen, adskilt ved hjelp av kryptering.
Innhold | Eldste støttede operativsystemversjoner | Beskrivelse | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Administrert app-databeholdere | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Administrerte apper bruker den administrerte Apple-kontoen som er tilknyttet MDM-registreringen, ved iCloud-datasynkronisering. Dette inkluderer administrerte apper (som er installert med | |||||||||
Kalender-app | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Hendelser er separate. | |||||||||
Nøkkelringobjekter | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Tredjeparts-Mac-appen må bruke databeskyttelsesnøkkelring-API-en. Hvis du vil ha mer informasjon, kan du se den globale variabelen kSecUseDataProtectionKeychain på Apple Developer-nettstedet. | |||||||||
Mail-app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | E-postvedlegg og brødteksten i e-postmeldingen er separate. | |||||||||
Notater-app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notater er separate. | |||||||||
Påminnelser-app | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Påminnelser er separate. | |||||||||
På iPhone, iPad og Apple Vision Pro har administrerte apper og administrerte nettbaserte dokumenter tilgang til organisasjonens iCloud Drive (som vises separat i Filer-appen når brukerne logger på med administrert Apple-konto). MDM-administratorer kan hjelpe med å holde spesifikke personlige dokumenter og dokumenter som tilhører organisasjonen, adskilt ved å bruke spesifikke restriksjoner. Hvis du vil ha mer informasjon, kan du lese Restriksjoner og egenskaper for administrerte apper.
Hvis brukeren er logget inn med en personlig Apple-konto og en administrert Apple-konto, vil Logg på med Apple automatisk bruke den administrerte Apple-kontoen for administrerte apper og den personlige Apple-kontoen for uadministrerte apper. Når det brukes en påloggingsflyt i Safari eller SafariWebView i en administrert app, kan brukeren velge og angi den administrerte Apple-kontoen sin for å koble påloggingen til jobb- eller skolekontoen.
