طرق التسجيل المستند إلى الحساب مع أجهزة Apple
يوفر تسجيل المستخدم المستند إلى الحساب وتسجيل الجهاز المستند إلى الحساب طريقة سلسة وآمنة للمستخدمين والمؤسسات لإعداد أجهزة Apple للعمل من خلال تسجيل الدخول باستخدام حساب Apple مُدار.
يسمح هذا النهج لكل من حساب Apple المُدار و حساب Apple الشخصي بتسجيل الدخول على الجهاز نفسه، مع الفصل التام بين بيانات العمل والبيانات الشخصية. وبهذا يحافظ المستخدمون على خصوصية معلوماتهم الشخصية، وتدعم تقنية المعلومات التطبيقات والإعدادات والحسابات المتعلقة بالعمل.
لدعم هذا الفصل، تم إجراء التغييرات التالية على طريقة التعامل مع التطبيقات والنسخ الاحتياطية:
تتم إزالة كل التكوينات والإعدادات عند إزالة ملف تعريف التسجيل.
تتم إزالة التطبيقات المُدارة دائمًا أثناء إلغاء التسجيل.
لا يمكن تحويل التطبيقات المثبتة قبل التسجيل في حل إدارة الأجهزة المحمولة (MDM) لتصبح تطبيقات مُدارة.
لا تؤدي الاستعادة من نسخة احتياطية إلى استعادة تسجيل MDM.
لا يمكن للمستخدمين الذين يسجلون الدخول باستخدام حساب Apple الشخصي الخاص بهم قبول دعوة لتوزيع التطبيقات المُدارة.
بالرغم من أن حسابات Apple المدارة يمكن أن يتم إنشاؤها يدويًا، فإن المؤسسات يمكنها الاستفادة من التكامل مع مزود خدمة بطاقة الهوية (IdP) أو Google Workspace أو Microsoft Entra ID.
للاطلاع على مزيد من المعلومات حول المصادقة الموحدة، انظر مقدمة للمصادقة الموحدة مع Apple School Manager أو مقدمة للمصادقة الموحدة مع Apple Business Manager.
عملية التسجيل المستند إلى الحساب
لتسجيل جهاز باستخدام تسجيل المستخدم المستند إلى الحساب أو تسجيل الجهاز المستند إلى الحساب، ينتقل المستخدم إلى الإعدادات > عام > VPN وإدارة الجهاز أو إعدادات النظام > عام > إدارة الجهاز ويحدد الزر "تسجيل الدخول إلى حساب العمل أو المدرسة".
يؤدي ذلك إلى بدء عملية من أربع مراحل للتسجيل في MDM:
اكتشاف الخدمة: يحدد الجهاز رابط التسجيل الخاص بحل MDM.
المصادقة ورمز الوصول: يوفر المستخدم بيانات الاعتماد لتفويض التسجيل والحصول على رمز وصول للمصادقة المستمرة.
تسجيل MDM: يتم إرسال ملف تعريف التسجيل إلى الجهاز ويتطلب من المستخدم تسجيل الدخول باستخدام حساب Apple المُدار لإكمال التسجيل.
المصادقة المستمرة: يتحقق حل MDM من المستخدم الذي قام بتسجيل الدخول بشكل مستمر باستخدام رمز الوصول.
المرحلة 1: اكتشاف الخدمة
في الخطوة الأولى، يحاول اكتشاف الخدمة تحديد رابط التسجيل الخاص بحل MDM. للقيام بذلك، يستخدم المعرف الذي أدخله المستخدم، على سبيل المثال [email protected]. يجب أن يكون النطاق اسم نطاق مؤهل بالكامل (FQDN) يعلن عن خدمة MDM لمؤسسة المستخدم.
ثم يحدث بعد ذلك الآتي:
الخطوة 1
يحدد الجهاز النطاق في المعرف المزود (في المثال أعلاه، betterbag.com).
الخطوة 2
يطلب الجهاز المورد المعروف من نطاق المؤسسة - على سبيل المثال، https://<domain>/.well-known/com.apple.remotemanagement.
يُدرج العميل معلمتَي استعلام في مسار رابط الطلب HTTP GET:
معرّف المستخدم: قيمة معرف الحساب المُدخل (في المثال أعلاه، [email protected]).
عائلة الطراز: عائلة طراز الجهاز (على سبيل المثال iPhone أو iPad أو Mac).
ملاحظة: يتبع الجهاز طلبات إعادة التوجيه HTTP 3xx، مما يتيح استضافة ملف com.apple.remotemanagement الفعلي على خادم آخر يمكن الوصول إليه بواسطة الجهاز.
بالنسبة إلى الأجهزة المزودة بنظام iOS 18.2 أو iPadOS 18.2 أو macOS 15.2 أو visionOS 2.2 أو أحدث، تسمح عملية اكتشاف الخدمة للجهاز بجلب المورد المعروف من موقع بديل محدد بواسطة حل MDM المرتبط بـ Apple School Manager أو Apple Business Manager. لا يزال التفضيل الأول لاكتشاف الخدمة هو المورد المعروف في مجال المؤسسة. في حالة فشل الطلب، يتابع الجهاز التحقق مع Apple School Manager أو Apple Business Manager للحصول على موقع بديل للمورد المعروف. تتطلب هذه العملية التحقق من النطاق المستخدم في المعرف في Apple School Manager أو Apple Business Manager. لمزيد من المعلومات، انظر إضافة نطاق والتحقق منه في Apple School Manager أو إضافة نطاق والتحقق منه في Apple Business Manager.
لاستخدام هذه الإمكانية، يجب تكوين رابط اكتشاف الخدمة البديلة بواسطة حل MDM المرتبط بـ Apple Business Manager و Apple School Manager. عندما يتواصل الجهاز مع Apple School Manager أو Apple Business Manager، يتم استخدام نوع الجهاز لتحديد حل MDM المعيِّن لهذا النوع - وهي العملية نفسها لتحديد حل MDM الافتراضي لتسجيل الجهاز التلقائي. إذا كان حل MDM المعين قد قام بتكوين عنوان رابط اكتشاف الخدمة، يتابع الجهاز طلب المورد المعروف من ذلك الموقع. لتعيين الجهاز الافتراضي، انظر تعيين الجهاز الافتراضي في Apple School Manager أو تعيين الجهاز الافتراضي في Apple School Manager.
يمكن أن يستضيف حل MDM أيضًا المورد المعروف.
الخطوة 3
يستجيب الخادم الذي يستضيف المورد المعروف، بوثيقة JSON لاكتشاف الخدمة التي تتوافق مع المخطط التالي:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}مفاتيح تسجيل MDM وأنواعها وأوصافها في الجدول التالي. كل المفاتيح مطلوبة.
المفتاح | النوع | الوصف |
|---|---|---|
الخوادم | مصفوفة | قائمة تحتوي على مدخل واحد. |
الإصدار | سلسلة | يحدد هذا المفتاح طريقة التسجيل التي يجب استخدامها ويجب أن تكون إما |
BaseURL | سلسلة | رابط التسجيل في حل MDM. |
هام: يجب أن يضمن الخادم أن حقل العنوان نوع المحتوى في استجابة HTTP معيَّن على application/json.
الخطوة 4
يقوم الجهاز بإرسال طلب HTTP POST إلى رابط التسجيل المحدد بواسطة BaseURL.
المرحلة 2: المصادقة ورمز الوصول
لتفويض التسجيل، يحتاج المستخدم إلى إجراء مصادقة مع حل MDM. بعد المصادقة الناجحة، يصدر حل MDM رمز وصول للجهاز. يخزن الجهاز الرمز بشكل آمن لاستخدامه عند تفويض الطلبات اللاحقة.
رمز الوصول:
يعد جزءًا أساسيًا في كل من عملية المصادقة الأولية والوصول المستمر إلى موارد MDM
يعمل بمنزلة جسر آمن بين حساب Apple المُدار الخاص بالمستخدم وحل MDM
يُستخدم للسماح بالوصول المستمر إلى موارد العمل لجميع عمليات التسجيل المستندة إلى الحساب
على iPhone و iPad و Apple Vision Pro، يمكن تبسيط عملية المصادقة الأولية والمستمرة باستخدام SSO للتسجيل (تسجيل الدخول الموحد للتسجيل) لتقليل مطالبات المصادقة المتكررة. لمزيد من المعلومات، انظر تسجيل الدخول الموحد الخاص بالتسجيل في iPhone و iPad و Apple Vision Pro.
المرحلة 3: تسجيل MDM
باستخدام رمز الوصول، يمكن للجهاز المصادقة مع حل MDM والوصول إلى ملف تعريف تسجيل MDM. يحتوي ملف التعريف هذا على كل المعلومات التي يحتاجها الجهاز لإجراء التسجيل. لإكمال التسجيل، يجب على المستخدم تسجيل الدخول بنجاح باستخدام حساب Apple المُدار الخاص به. بعد اكتمال التسجيل، يتم عرض حساب Apple المُدار بشكل واضح ضمن الإعدادات وإعدادات النظام.
لمزيد من المعلومات حول خدمات iCloud المتاحة للمستخدمين، انظر الوصول إلى خدمات iCloud.
المرحلة 4: المصادقة المستمرة
بعد التسجيل، يظل رمز الوصول نشطًا ويتم تضمينه في جميع الطلبات المقدمة إلى حل MDM باستخدام رأس HTTP للتخويل. يسمح ذلك لحل MDM بالتحقق المستمر من المستخدم ويساعد على ضمان احتفاظ المستخدمين المصرح لهم فقط بالوصول إلى الموارد المؤسسية.
تنتهي صلاحية رموز الوصول عادةً بعد فترة محددة. عند حدوث ذلك، قد يطالب الجهاز المستخدم بإعادة المصادقة لتجديد رمز الوصول. تساعد عملية إعادة التحقق الدورية على رفع مستوى الأمان، وهو أمر مهم لكل من الأجهزة الشخصية والمملوكة للمؤسسة. باستخدام SSO للتسجيل، يتم تجديد الرموز تلقائيًا عبر مزود هوية المؤسسة، ما يضمن وصولًا مستمرًا دون الحاجة إلى إعادة المصادقة.
كيفية فصل بيانات المستخدم عن بيانات المؤسسة باستخدام طرق التسجيل المستندة إلى الحساب
عند اكتمال تسجيل المستخدم المستند إلى الحساب أو تسجيل الجهاز المستند إلى الحساب، يتم إنشاء مفاتيح تشفير منفصلة تلقائيًا على الجهاز. إذا تم إلغاء تسجيل الجهاز بواسطة المستخدم أو باستخدام MDM عن بُعد، فسيتم إتلاف مفاتيح التشفير هذه بشكل آمن. تُستخدم المفاتيح لفصل البيانات المدارة المدرجة في هذا الجدول بشكل مشفر.
المحتوى | الحد الأدنى من إصدارات أنظمة التشغيل المدعومة | الوصف | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
حاويات بيانات التطبيق المُدارة | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | تستخدم التطبيقات المُدارة حساب Apple المدار المرتبط بتسجيل MDM لمزامنة بيانات iCloud. يتضمن ذلك التطبيقات المُدارة (مثبتة باستخدام المفتاح | |||||||||
تطبيق التقويم | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | الأحداث منفصلة عن بعضها. | |||||||||
عناصر سلسلة المفاتيح | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | يجب أن يستخدم تطبيق Mac التابع لجهة خارجية واجهة برمجة تطبيقات سلسلة المفاتيح لحماية البيانات. لمزيد من المعلومات، انظر المتغير العام kSecUseDataProtectionKeychain على الموقع الإلكتروني لمطوري Apple. | |||||||||
تطبيق البريد | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | مرفقات البريد ونص رسالة البريد منفصلان عن بعضهما. | |||||||||
تطبيق الملاحظات | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | الملاحظات منفصلة عن بعضها البعض. | |||||||||
تطبيق التذكيرات | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | التذكيرات منفصلة عن بعضها البعض. | |||||||||
على iPhone و iPad و Apple Vision Pro، تتمتع جميع التطبيقات المُدارة والمستندات المُدارة المستندة إلى الويب بإمكانية الوصول إلى iCloud Drive الخاص بالمؤسسة (والذي يظهر بشكل منفصل في تطبيق الملفات بعد تسجيل دخول المستخدم باستخدام حساب Apple المُدار). وبإمكان مسؤول MDM أن يساعد في الفصل بين المستندات الشخصية والمؤسسية المحددة باستخدام قيود محددة. لمزيد من المعلومات، انظر قيود وإمكانات التطبيق المُدار.
إذا قام المستخدم بتسجيل الدخول باستخدام حساب Apple شخصي و حساب Apple مُدار، فإن تسجيل الدخول باستخدام Apple يستخدم تلقائيًا حساب Apple المُدار للتطبيقات المُدارة و حساب Apple الشخصي للتطبيقات غير المُدارة. عند استخدام تدفق تسجيل الدخول في سفاري أو SafariWebView داخل تطبيق مُدار، يمكن للمستخدم تحديد وإدخال حساب Apple المُدار الخاص به لربط تسجيل الدخول بحساب العمل أو المدرسة الخاص به.
