
Керовані облікові записи Apple для пристроїв Apple
Керовані облікові записи Apple допомагають підвищити продуктивність співробітників і забезпечують користувачам доступ до потрібних служб. Ці облікові записи розроблені спеціально для організацій і діють окремо від персональних облікових записів Apple, які користувачі створюють для себе. Це допомагає зберігати організаційні дані окремо від персональних, і забезпечує надійні засоби керування ними.
Як і будь-який обліковий запис Apple, керовані облікові записи Apple можна використовувати на призначених або спільних пристроях для доступу до певних служб Apple, — включно зі спільним iPad, iCloud і співпрацею в iWork і Нотатках, — а також для доступу і використання Apple School Manager і Apple Business Manager.
В Apple School Manager керовані облікові записи Apple належать освітній установі, яка ними й керує. Ці ідентифікатори було розроблено для потреб навчальних закладів, зокрема для скидання паролів, обмеження звʼязку та адміністрування на основі ролей. Apple School Manager спрощує створення унікальних керованих облікових записів Apple для кожного користувача, коли це потрібно зробити масово.
В Apple School Manager і Apple Business Manager керовані облікові записи Apple належать організації, яка ними керує, зокрема скидає паролі, керує доступом до служб і здійснює адміністрування на основі ролей. Apple School Manager та Apple Business Manager спрощують створення унікального керованого облікового запису Apple для кожного користувача, коли це потрібно зробити масово.
Щоб ознайомитися із сертифікацією, яку Apple здійснює згідно зі стандартами ISO 27001 і 27018 для керованих облікових записів Apple, перегляньте статтю Сертифікації безпеки інтернет-служб Apple на платформі Apple Platform Certifications.
Як створюються керовані облікові записи Apple
Керовані облікові записи Apple створюються, коли ви виконуєте такі дії:
Використовуєте федеративну автентифікацію з Google Workspace, Microsoft Entra ID чи постачальником посвідчень (IdP)
Імпортуєте користувачів із Google Workspace, Microsoft Entra ID чи IdP
(лише для Apple School Manager) імпортуєте облікові записи зі своєї системи учнівських даних (SIS)
(лише для Apple School Manager) імпортуєте файли .csv за допомогою захищеного протоколу передавання файлів (SFTP)
Створення облікових записів вручну
Надбання домена та передавання облікового запису
Якщо організація прагне керувати всіма персональними обліковими записами Apple й володіти ними в Apple School Manager чи Apple Business Manager за допомогою свого підтвердженого домена, вона може використовувати процедуру надбання домена, щоб заявити права власності на свій домен і всі повʼязані персональні облікові записи Apple.
Більше інформації наведено в таких статтях:
Посібник користувача Apple School Manager: Керування правом власності на домен
Посібник користувача Apple Business Manager: Керування правом власності на домен
Вхід з Apple для роботи й навчання
«Вхід з Apple для роботи й навчання» — це функція, яка додає підтримку керованих облікових записів Apple для функції входу Apple. Працівники, наставники та учні можуть здійснювати вхід за допомогою своїх керованих облікових записів Apple для доступу до програм і вебсайтів, що підтримують функцію «Вхід з Apple». Адміністратори, керівники установ (лише для Apple School Manager) і менеджери з персоналу можуть контролювати, які саме програми можна використовувати за допомогою функції «Вхід з Apple». Для використання функції Apple «Вхід з Apple для роботи й навчання» пристрої мають використовувати iOS 16, iPadOS 16.1, macOS 13 або новіші.
Щоб дізнатися більше, перегляньте відео WWDC22 Відкрийте для себе функцію «Вхід з Apple at Work & School».
Ключі допуску для керованих облікових записів Apple
Ключі допуску розроблені для забезпечення можливості безпарольного входу, який є не лише зручним, а й надійним способом авторизації. Це стандартизована технологія, яка стійка до фішингу, надійна та не покладається на спільні секрети.
Завдяки підтримці вʼязки iCloud для керованих облікових записів Apple організації можуть розгортати ключі допуску для працівників, які даватимуть доступ до корпоративних ресурсів, і водночас гарантуватимуть надійну синхронізацію ключів допуску на пристроях iPhone, iPad і Mac. За допомогою функції керування доступом вони також можуть визначити потрібний стан керування пристроєм, щоб уможливити доступ до керованих ключів допуску.
Декларативна конфігурація засвідчення коду допуску дає змогу керованому пристрою забезпечувати засвідчення, коли ключ допуску готується до використання в організації. Засвідчення забезпечується, коли користувач реєструє ключ допуску для вебсайту чи програми за допомогою вказаного в конфігурації домену. Після того, як пристрій надійно згенерує ключ допуску, він використає посвідчення сертифіката, визначеного в конфігурації, для виконання засвідчення WebAuthn
у службі, до якої здійснюється доступ. Це дає службі змогу перевіряти, чи ключ допуску дійсно створено на пристрої, яким керує організація, перш ніж надавати доступ.
Згенеровані ключі допуску автоматично зберігаються у вʼязці iCloud, повʼязаній із керованим обліковим записом Apple. Коли керований обліковий запис Apple відсутній, ключ допуску створити не можна.
Щоб забезпечити користувачу простий процес входу, розробники програм можуть використовувати повʼязані домени для налагодження надійного звʼязку між доменами та їхньою програмою (також додатково можна дозволити настроювання повʼязаних доменів через MDM). За такого впровадження системи iOS, iPadOS і macOS можуть автоматично вибирати й надавати правильний код допуску для безперешкодного входу. Якщо автентифікація виконується сторонньою службою, можна натомість використовувати ASWebAuthenticationSession
.
Щоб отримати більше інформації, перегляньте статтю про декларативну конфігурацію засвідчення коду допуску.