Accountgesteuerte Registrierungsmethoden mit Apple-Geräten
Die accountgesteuerte Benutzerregistrierung und die accountgesteuerte Geräteregistrierung bieten eine nahtlose und sichere Möglichkeit für Benutzer:innen und Organisationen, um Apple-Geräte für die Arbeit einzurichten, indem die Anmeldung mit einem verwalteten Apple Account erfolgt.
Dieser Ansatz ermöglicht es, sich mit einem verwalteten Apple Account und einem persönlichen Apple Account auf demselben Gerät anzumelden. Dabei werden die berufsbezogenen und die persönlichen Daten vollständig voneinander getrennt. Die Benutzer:innen behalten die Kontrolle über ihre persönlichen Daten und die IT unterstützt berufsbezogene Apps, Einstellungen und Accounts.
Um diese Trennung zu unterstützen, wurden die folgenden Änderungen bei der Handhabung von Apps und Backups vorgenommen:
Alle Konfigurationen und Einstellungen werden entfernt, wenn das Registrierungsprofil entfernt wird.
Verwaltete Apps werden bei der Deregistrierung immer entfernt.
Apps, die vor der Registrierung in einer MDM-Lösung (Mobile Device Management) installiert wurden, können nicht in verwaltete Apps umgewandelt werden.
Die MDM-Registrierung wird durch das Wiederherstellen eines Backups nicht wiederhergestellt.
Benutzer:innen, die sich mit ihrem persönlichen Apple Account anmelden, können keine Einladungen für die Verteilung verwalteter Apps annehmen.
Obwohl verwaltete Apple Accounts manuell erstellt werden können, können Organisationen die Integration über einen Identitätsanbieter, Google Workspace oder Microsoft Entra ID nutzen.
Weitere Informationen über die föderierte Authentifizierung findest du unter Einführung in die verknüpfte Authentifizierung in Apple School Manager oder Einführung in die verknüpfte Authentifizierung in Apple Business Manager.
Accountgesteuerter Registrierungsprozess
Um ein Gerät mit der accountgesteuerten Benutzerregistrierung oder der accountgesteuerten Geräteregistrierung zu registrieren, müssen Benutzer:innen „Einstellungen“ > „Allgemein“ > „VPN und Geräteverwaltung“ oder „Systemeinstellungen“ > „Allgemein“ > „Geräteverwaltung“ öffnen und die Taste „Bei Arbeits- oder Schulaccount anmelden“ auswählen.
Dadurch wird ein vierstufiger Registrierungsprozess in der MDM gestartet:
Dienstentdeckung: Das Gerät bestimmt die Registrierungs-URL der MDM-Lösung.
Authentifizierungs- und Zugriffstoken: Benutzer:innen geben ihre Anmeldedaten an, um die Registrierung zu autorisieren und die Erstellung eines Zugriffstokens für die fortlaufende Authentifizierung anzustoßen.
MDM-Registrierung: Das Registrierungsprofil wird an das Gerät gesendet und die Benutzer:innen werden aufgefordert, sich mit ihrem verwalteten Apple Account anzumelden, um die Registrierung abzuschließen.
Fortlaufende Authentifizierung: Die MDM-Lösung verifiziert die angemeldete Person kontinuierlich mithilfe des Zugriffstokens.
Phase 1: Dienstentdeckung
Im ersten Schritt versucht die Diensterkennung, die Registrierungs-URL der MDM-Lösung zu identifizieren. Hierfür wird die von Benutzer:innen eingegebene Kennung verwendet, beispielsweise [email protected]. Die Domain muss ein vollständig qualifizierender Domainname (Fully Qualified Domain Name, FQDN) sein, der den MDM-Dienst für die Organisation der Benutzer:innen anbietet.
Danach geschieht Folgendes:
Schritt 1
Das Gerät identifiziert die Domain in der bereitgestellten Kennung (im oben aufgeführten Beispiel betterbag.com).
Schritt 2
Das Gerät fordert die Well-known-Ressource von der Domain der Organisation an, beispielsweise https://<domain>/.well-known/com.apple.remotemanagement.
Der Client fügt zwei Anfrageparameter zum URL-Pfad der HTTP Get-Anfrage hinzu:
user-identifier: Der Wert der eingegebenen Account-Kennung (im oben aufgeführten Beispiel [email protected]).
model-family: Die Modellfamilie des Gerätes (beispielsweise iPhone, iPad, Mac).
Hinweis: Das Gerät folgt HTTP-3xx-Redirect-Anfragen, wodurch die eigentliche com.apple.remotemanagement-Datei auf einem anderen Server gehostet werden kann, der von dem Gerät erreicht werden kann.
Bei Geräten mit iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 oder neueren Versionen erlaubt der Diensterkennungsprozess einem Gerät, die Well-known-Ressource von einem alternativen Ort abzurufen, der von der MDM-Lösung festgelegt wird, die mit Apple School Manager oder Apple Business Manager verknüpft ist. Die erste Einstellungen für die Diensterkennung ist weiterhin die Well-known-Ressource in der Domain der Organisation. Falls die Anfrage fehlschlägt, sucht das Gerät anschließend bei Apple School Manager oder Apple Business Manager nach einem anderen Ort für die Well-known-Ressource. Für diesen Vorgang muss die in der Kennung verwendete Domain in Apple School Manager oder Apple Business Manager bestätigt werden. Weitere Informationen findest du unter Eine Domain in Apple School Manager hinzufügen und bestätigen oder Eine Domain in Apple Business Manager hinzufügen und bestätigen.
Um diese Funktion nutzen zu können, muss die alternative Diensterkennungs-URL von der MDM-Lösung konfiguriert werden, die mit Apple Business Manager und Apple School Manager verknüpft ist. Wenn das Gerät Apple School Manager oder Apple Business Manager kontaktiert, wird der Gerätetyp zum Ermitteln der zugewiesenen MDM-Lösung für diesen Typ verwendet. Dabei handelt es sich um denselben Vorgang, der beim Ermitteln der Standard-MDM-Lösung für die automatische Geräteregistrierung zum Einsatz kommt. Wenn die zugewiesene MDM-Lösung eine Diensterkennung-URL konfiguriert hat, fragt das Gerät die Well-known-Ressource von diesem Ort ab. Weitere Informationen zum Festlegen der Standardgerätezuweisung findest du unter Standardgerätezuweisung in Apple School Manager festlegen oder Standardgerätezuweisung in Apple Business Manager festlegen.
Die MDM-Lösung kann ebenfalls die Well-known-Ressource hosten.
Schritt 3
Der Server, der die Well-known-Ressource hostet, antwortet mit einem JSON-Dokument für die Diensterkennung, das dem folgenden Schema entspricht:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Die Schlüssel, Typen und Beschreibungen für die MDM-Registrierung sind in der folgenden Tabelle aufgeführt. Alle Schlüssel sind erforderlich.
Schlüssel | Typ | Beschreibung |
|---|---|---|
Server | Array | Eine Liste mit einem einzigen Eintrag. |
Version | Zeichenkette | Dieser Schlüssel legt die zu verwendende Registrierungsmethode fest und muss entweder |
BaseURL | Zeichenkette | Die Registrierungs-URL der MDM-Lösung. |
Wichtig: Der Server muss sicherstellen, dass das Feld für den Content-Type-Header in der HTTP-Antwort auf application/json festgelegt ist.
Schritt 4
Das Gerät sendet eine HTTP POST-Anfrage an die von BaseURL angegebene Registrierungs-URL.
Phase 2: Authentifizierungs- und Zugriffstoken
Zum Autorisieren der Registrierung müssen sich Benutzer:innen mit der MDM-Lösung authentifizieren. Nach der erfolgreichen Authentifizierung gibt die MDM-Lösung ein Zugriffstoken an das Gerät aus. Das Gerät speichert dieses Token sicher für die Autorisierung nachfolgender Anfragen.
Das Zugriffstoken:
Ist zentraler Bestandteil für den ersten Authentifizierungsvorgang und den fortlaufenden Zugriff auf MDM-Ressourcen.
Dient als sichere Brücke zwischen dem verwalteten Apple Account von Benutzer:innen und der MDM-Lösung.
Wird verwendet, um für alle accountgesteuerten Registrierungen den fortlaufenden Zugriff auf Arbeitsressourcen zu ermöglichen.
Auf dem iPhone, iPad und der Apple Vision Pro können der erste Authentifizierungsvorgang und die fortlaufende Authentifizierung mit der SSO-Registrierung (Enrollment Single Sign-on) optimiert werden, da hierdurch wiederholte Authentifizierungsanfragen reduziert werden. Weitere Informationen findest du unter Registrierung per Gesamtauthentifizierung für iPhone, iPad und Apple Vision Pro.
Phase 3: MDM-Registrierung
Mithilfe eines Zugriffstokens kann das Gerät sich bei der MDM-Lösung authentifizieren und auf das MDM-Registrierungsprofil zugreifen. Dieses Profil enthält alle Informationen, die das Gerät zum Durchführen der Registrierung benötigt. Um die Registrierung abzuschließen, müssen sich Benutzer:innen erfolgreich mit ihrem verwalteten Apple Account anmelden. Nach Abschluss der Registrierung wird der verwaltete Apple Account deutlich sichtbar in den Einstellungen und Systemeinstellungen angezeigt.
Weitere Informationen zu den iCloud-Diensten, die Benutzer:innen zur Verfügung stehen, findest du unter Auf iCloud-Dienste zugreifen.
Phase 4: Fortlaufende Authentifizierung
Nach der Registrierung bleibt das Zugriffstoken aktiv und es ist über den Authorization-HTTP-Header in allen Anfragen an die MDM-Lösung enthalten. Dies erlaubt der MDM-Lösung die fortlaufende Bestätigung von Benutzer:innen und hilft dabei, sicherzustellen, dass nur autorisierte Benutzer:innen Zugriff auf Organisationsressourcen erhalten.
Die Zugriffstoken sind üblicherweise nach einem bestimmten Zeitraum nicht mehr gültig. Wenn dies der Fall ist, fordert das Gerät die Benutzer:innen auf, sich erneut zu authentifizieren, um das Zugriffstoken zu erneuern. Die regelmäßige Überprüfung der Gültigkeit erhöht die Sicherheit, was für persönliche und organisationseigene Geräte wichtig ist. Mit der SSO-Registrierung erfolgt die Erneuerung der Token automatisch über den Identitätsanbieter der Organisation. Dadurch ist der unterbrechungsfreie Zugriff ohne erneute Authentifizierung sichergestellt.
Wie Benutzerdaten und Organisationsdaten mit accountgesteuerten Registrierungsmethoden getrennt werden
Wenn die accountgesteuerte Benutzerregistrierung oder accountgesteuerte Geräteregistrierung abgeschlossen ist, werden auf dem Gerät automatisch separates Verschlüsselungsschlüssel erstellt. Wenn das Gerät vom Benutzer oder remote via MDM-Lösung deregistriert wird, werden diese Verschlüsselungsschlüssel sicher zerstört. Die Schlüssel werden verwendet, um die in dieser Tabelle aufgeführten Daten kryptographisch zu trennen:
Inhalt | Mindestens unterstützte Betriebssystemversionen | Beschreibung | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Verwaltete App-Daten-Container | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Verwaltete Apps verwenden den verwalteten Apple Account, der mit der MDM-Registrierung verknüpft ist, für die Datensynchronisation via iCloud. Dazu gehören verwaltete Apps (die mit dem auf „wahr“ festgelegten | |||||||||
App „Kalender“ | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Ereignisse sind getrennt. | |||||||||
Schlüsselbundobjekte | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Die Mac-Drittanbieter-App muss die Data Protection Keychain-API nutzen. Weitere Informationen findest du unter der globalen Variable kSecUseDataProtectionKeychain auf der Apple Developer-Website. | |||||||||
App „Mail“ | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | E-Mail-Anhänge und Text der E-Mail sind getrennt. | |||||||||
App „Notizen“ | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notizen sind getrennt. | |||||||||
App „Erinnerungen“ | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Erinnerungen sind getrennt. | |||||||||
Auf dem iPhone, iPad und der Apple Vision Pro haben verwaltete Apps und verwaltete webbasierte Dokumente Zugriff auf iCloud Drive der Organisation (sie werden in der App „Dateien“ separat angezeigt, wenn sich Benutzer:innen mit ihrem verwalteten Apple Account anmelden). MDM-Admins können aber mit bestimmten Einschränkungen dafür sorgen, dass private und organisationseigene Dokumente getrennt voneinander aufbewahrt werden. Weitere Informationen findest du unter Einschränkungen und Funktionen für verwaltete Apps.
Wenn Benutzer:innen mit einem persönlichen Apple Account und einem verwalteten Apple Account angemeldet sind, verwendet „Mit Apple anmelden“ automatisch den verwalteten Apple Account für verwaltete Apps und den persönlichen Apple Account für nicht verwaltete Apps. Beim Verwenden eines Anmeldeflusses in Safari oder SafariWebView in einer verwalteten App, können Benutzer:innen ihren verwalteten Apple Account auswählen und eingeben, um die Anmeldung ihrem Arbeits- oder Schulaccount zuzuordnen.
