Metódy registrácie založené na účtoch s Apple zariadeniami
Registrácia užívateľa prostredníctvom účtu a registrácia zariadenia prostredníctvom účtu poskytujú užívateľom a organizáciám bezproblémový a bezpečný spôsob nastavenia Apple zariadení na prácu tak, že sa prihlásia pomocou spravovaného Apple účtu.
Tento prístup umožňuje, aby spravovaný Apple účet a osobný Apple účet boli prihlásené do toho istého zariadenia s úplným oddelením pracovných a osobných dát. Užívatelia si zachovajú súkromie svojich osobných informácií a IT podporuje apky, nastavenia a účty súvisiace s prácou.
Z dôvodu podpory tohto oddelenia sa vykonali nasledujúce zmeny, týkajúce sa spôsobu práce s apkami a zálohami:
Všetky konfigurácie a nastavenia sa odstránia, keď sa odstráni registračný profil.
Spravované apky sa pri zrušení registrácie vždy odstránia.
Apky nainštalované pred registráciou do riešenia správy mobilných zariadení (MDM) nie je možné skonvertovať na spravované apky.
Obnovením zo zálohy sa neobnoví registrácia v riešení MDM.
Užívatelia, ktorí sa prihlásia pomocou svojho osobného Apple účtu, nemôžu prijať pozvánku na distribúciu spravovaných apiek.
Hoci spravované Apple účty je možné vytvoriť manuálne, organizácie môžu využiť možnosť integrácie so službami IdP, Google Workspace alebo Microsoft Entra ID.
Viac informácií o federovanej autentifikácii nájdete v článku Úvod do federovanej autentifikácie s Apple School Managerom alebo Úvod do federovanej autentifikácie s Apple Business Managerom.
Proces registrácie založený na účte
Ak chcete zaregistrovať zariadenie pomocou registrácie užívateľa prostredníctvom účtu alebo registrácie zariadenia prostredníctvom účtu, užívateľ prejde do časti Nastavenia > Všeobecné > VPN a správa zariadení alebo do časti Systémové nastavenia > Všeobecné > Správa zariadení a vyberie tlačidlo Prihlásiť sa do pracovného alebo školského účtu.
Tým sa začne štvorfázový proces registrácie do MDM:
Objavenie služby: Zariadenie určuje registračnú URL adresu riešenia MDM.
Autentifikácia a prístupový token: Užívateľ poskytne prihlasovacie údaje na autorizáciu registrácie a dostane prístupový token vydaný na prebiehajúcu autentifikáciu.
Registrácia v MDM: Registračný profil sa odošle do zariadenia a od užívateľa sa vyžaduje, aby sa prihlásil so svojim spravovaným Apple účtom, čím dokončí registráciu.
Prebiehajúca autentifikácia: Riešenie MDM verifikuje prihláseného užívateľa priebežne pomocou prístupového tokenu.
Fáza 1: Objavenie služby
V prvom kroku sa zisťovací modul služby snaží identifikovať registračné URL riešenia MDM. Na to požíva identifikátor zadaný užívateľom, napríklad eliza@betterbag.com. Doména musí byť plne kvalifikovaný názov domény (FQDN), pričom informuje organizáciu užívateľa o MDM službe.
Potom sa udeje toto:
Krok 1
Zariadenie identifikuje doménu v zadanom identifikátore (v príklade vyššie je to betterbag.com).
Krok 2
Zariadenie si vyžiada známy zdroj z domény organizácie, napríklad https://<domain>/.well-known/com.apple.remotemanagement.
Klient zahrnie dva parametre požiadavky do URL cesty požiadavky HTTP GET:
user-identifier: Hodnota zadaného identifikátora účtu (v príklade vyššie eliza@betterbag.com).
model-family: Rodina modelov zariadenia (napríklad iPhone, iPad, Mac).
Poznámka: Zariadenie postupuje podľa požiadaviek HTTP 3xx na presmerovanie, čo umožňuje, aby sa aktuálny súbor com.apple.remotemanagement hosťoval na inom serveri, ku ktorému sa zariadenie môže dostať.
Pre zariadenia so systémami iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 alebo novšími umožňuje proces zisťovania služby, aby zariadenie načítalo známy zdroj z alternatívnej lokality špecifikovanej riešením MDM, ktoré je prepojené na Apple School Manager alebo Apple Business Manager. Prvou preferenciou na zistenie služby je stále známy zdroj na doméne organizácie. V prípade, že požiadavka zlyhá, zariadenie pokračuje tak, že skontroluje v Apple School Manageri alebo Apple Business Manageri alternatívnu lokalitu známeho zdroja. Tento proces vyžaduje, aby sa doména použitá v identifikátore overila v Apple School Manageri alebo Apple Business Manageri. Ďalšie informácie nájdete v téme Pridanie a overenie domény v Apple School Manageri alebo Pridanie a overenie domény v Apple Business Manageri.
Aby bolo možné používať túto možnosť, URL adresa alternatívneho zisťovania služby musí byť nakonfigurovaná MDM riešením, ktoré je prepojené na Apple Business Manager a Apple School Manager. Keď sa zariadenie obráti na Apple School Manager alebo Apple Business Manager, typ zariadenia sa použije na určenie priradeného MDM riešenia pre tento typ. Rovnaký proces určí predvolené MDM riešenie pre automatickú registráciu zariadenia. Ak má priradené MDM riešenie nakonfigurovanú URL adresu zistenia služby, zariadenie pokračuje na žiadosť o známy zdroj z danej lokality. Ak chcete nastaviť priradenie predvoleného zariadenia, pozrite si tému Nastavenie priradenia predvoleného zariadenia v Apple School Manageri alebo Nastavenie priradenia predvoleného zariadenia v Apple Business Manageri.
MDM riešenie môže tiež hosťovať známy zdroj.
Krok 3
Server, ktorý hosťuje známy zdroj, odpovie dokumentom JSON zistenia služby, ktorý je v súlade s nasledujúcou schémou:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Registračné kľúče, typy a popisy MDM riešenia sú v nasledujúcej tabuľke. Vyžadujú sa všetky kľúče.
Kľúč | Typ | Popis |
|---|---|---|
Servery | Pole | Zoznam s jediným zápisom. |
Verzia | Reťazec | Tento kľúč určuje metódu registrácie, ktorá sa použije, a musí byť buď |
BaseURL | Reťazec | Registračné URL riešenia MDM. |
Dôležité: Server musí zaručiť, že pole hlavičky Content-Type v HTTP odozve je nastavené na application/json.
Krok 4
Zariadenie pošle požiadavku HTTP POST na registračnú URL adresu špecifikovanú parametrom BaseURL.
Fáza 2: Autentifikácia a prístupový token
Za účelom autorizácie registrácie sa musí užívateľ autentifikovať pomocou MDM riešenia. Po úspešnej autentifikácii vydá MDM riešenie prístupový token do zariadenia. Zariadenie bezpečne uchová token, ktorý sa použije pri autorizácii následných požiadaviek.
Prístupový token:
Je centrálnym bodom procesu úvodnej autentifikácie a priebežného prístupu k MDM zdrojom
Slúži ako bezpečný most medzi spravovaným Apple účtom užívateľa a MDM riešením
Používa sa na to, aby sa umožnil nepretržitý prístup k pracovným zdrojom pre všetky registrácie prostredníctvom účtov
Na iPhone, iPade a Apple Vision Pro je možné úvodný a priebežný proces autentifikácie zjednodušiť pomocou jednorazového prihlásenia pre registráciu (SSO), čím sa zníži počet opakovaných autentifikačných výziev. Viac informácií nájdete v téme Jednorazové prihlásenie pre registráciu na iPhone, iPade a Apple Vision Pro.
Pódium 3: Registrácia v MDM
Pomocou prístupového tokenu sa zariadenie môže autentifikovať s MDM riešením a získať prístup k registračnému profilu MDM. Tento profil obsahuje všetky informácie, ktoré zariadenie potrebuje na vykonanie registrácie. Aby sa registrácia mohla dokončiť, užívateľ sa musí úspešne prihlásiť so svojim spravovaným Apple účtom. Keď je registrácia hotová, spravovaný Apple účet sa zobrazí na poprednom mieste v častiach Nastavenia a Systémové nastavenia.
Ďalšie informácie o tom, aké iCloud služby sú k dispozícii pre užívateľov nájdete v téme Prístup k iCloud službám.
Pódium 4: Priebežná autentifikácia
Po registrácii zostane prístupový token aktívny a zahrnie sa do všetkých požiadaviek na MDM riešenie použitím HTTP hlavičky Authorization. To umožní MDM riešeniu nepretržite overovať užívateľa a pomáha zabezpečiť, aby len autorizovaní užívatelia mali zachovaný prístup k zdrojom organizácie.
Platnosť prístupových tokenov obvykle vyprší po určenom časovom období. Keď sa to stane, zariadenie môže vyzvať užívateľa, aby sa znova autentifikoval a obnovil svoj prístupový token. Pravidelné overovanie pomáha so zvýšením bezpečnosti, čo je dôležité pre osobné zariadenia aj pre zariadenia vlastnené organizáciou. S registračným jednorazovým prihlásením (SSO), sa obnovenie tokenu vykoná automaticky prostredníctvom poskytovateľa identity v organizácii, čo zabezpečuje neprerušený prístup bez opätovnej autentifikácie.
Ako sú užívateľské dáta oddelené od dát organizácie pomocou metód registrácie prostredníctvom účtu
Keď sa dokončí registrácia užívateľa prostredníctvom účtu alebo registrácia zariadenia prostredníctvom účtu, v zariadení sa automaticky vytvoria samostatné šifrovacie kľúče. Ak je zariadenie odregistrované užívateľom alebo na diaľku pomocou MDM, tieto šifrovacie kľúče sú bezpečne zničené. Kľúče sa používajú na kryptografické oddelenie spravovaných dát uvedených v tejto tabuľke.
Obsah | Minimálne podporované verzie operačných systémov | Popis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Dátové kontajnery spravovaných apiek | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Spravované apky používajú spravovaný Apple účet prepojený s registráciou v MDM na synchronizáciu iCloud dát. To zahŕňa spravované apky (nainštalované s kľúčom | |||||||||
Apka Kalendár | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Udalosti sú oddelené. | |||||||||
Položky kľúčenky | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Apka pre Mac tretej strany musí používať API s kľúčenkou na ochranu dát. Ďalšie informácie nájdete v globálnej premennej kSecUseDataProtectionKeychain na webovej stránke Apple Developer. | |||||||||
Apka Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Prílohy v apke Mail a telo mailových správ sú oddelené. | |||||||||
Apka Poznámky | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Poznámky sú oddelené. | |||||||||
Apka Pripomienky | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Pripomienky sú oddelené. | |||||||||
Na iPhone, iPade a Apple Vision Pro majú všetky spravované apky a spravované webové dokumenty prístup na iCloud Drive organizácie (zobrazuje sa oddelene v apke Súbory po tom, ako sa užívateľ prihlási so svojim spravovaným Apple účtom). Správca MDM riešenia môže uchovávať špecifické dokumenty užívateľov a organizácie oddelene tak, že použije špecifické obmedzenia. Viac informácií nájdete v téme Obmedzenia a možnosti spravovaných apiek.
Ak je používateľ prihlásený pod osobným Apple účtom a spravovaným Apple účtom, prihlásenie cez Apple automaticky použije spravovaný Apple účet pre spravované apky a osobný Apple účet pre nespravované apky. Pri použití prihlasovacieho procesu v Safari alebo SafariWebView v rámci spravovanej apky môže užívateľ vybrať a zadať svoj spravovaný Apple účet a priradiť tak prihlásenie k svojmu pracovnému alebo školskému účtu.
