Apple-laitteiden hallitut Apple-tilit
Hallitut Apple-tilit ovat erinomainen tapa parantaa työntekijöiden tuottavuutta ja tarjota palveluita, joita käyttäjät saattavat tarvita. Nämä tilit on suunniteltu erityisesti organisaatioiden käyttöön ja ovat erillään henkilökohtaisista Apple-tileistä, jotka käyttäjät luovat itselleen. Näin saadaan organisaation tiedot pidettyä erillään henkilökohtaisista tiedoista turvallisella hallinnalla.
Kuten kaikkia Apple-tilejä, myös hallittuja Apple-tilejä voidaan käyttää henkilökohtaisissa tai jaetuissa laitteissa tiettyjen Applen palveluiden (kuten jaetun iPadin, iCloudin sekä iWorkin ja Muistiinpanojen yhteistyöominaisuuksien) käyttämiseen sekä Apple School Managerin ja Apple Business Managerin käyttämiseen.
Apple School Managerissa hallitut Apple-tilit ovat oppilaitoksen omistuksessa ja hallinnassa ja ne on suunniteltu vastaamaan oppilaitosten tarpeisiin, kuten salasanojen nollaamiseen, viestinnän rajoittamiseen sekä rooleihin perustuvaan ylläpitoon. Apple School Managerilla on helppoa luoda kerralla kaikille yksilöllinen hallittu Apple-tili.
Apple School Managerissa ja Apple Business Managerissa organisaatio omistaa hallitut Apple-tilit ja hallitsee niitä, mukaan lukien salasanojen nollaus, palveluiden käytön hallinta ja rooleihin perustuva ylläpito. Apple School Managerilla ja Apple Business Managerilla on helppoa luoda kerralla kaikille yksilöllinen hallittu Apple ID.
Apple-alustojen sertifioinnit -sivuston artikkelissa Applen internetpalveluiden tietoturvasertifioinnit voit tutustua sertifiointeihin, joita Apple ylläpitää hallituille Apple-tileille ISO 27001- ja ISO 27018 ‑standardien mukaisesti.
Näin luodaan hallittuja Apple-tilejä
Hallittuja Apple-tilejä luodaan seuraavalla tavalla:
käyttämällä federoitua todentamista Google Workspacen, Microsoft Entra ID:n tai identiteetin tarjoajan (IdP) kanssa.
tuomalla käyttäjät Google Workspacesta, Microsoft Entra ID:stä tai identiteetin tarjoajalta (IdP)
Vain Apple School Manager: tuomalla tilit oppilastietojärjestelmästä
Vain Apple School Manager: tuomalla CSV-tiedostoja SFTP-protokollalla
luomalla tilit käsin
Domainin kaappaus ja tilin siirtäminen
Jos organisaatio haluaa hallita ja omistaa kaikki henkilökohtaiset Apple-tilit käyttämällä vahvistettua domainia Apple School Managerissa ja Apple Business Managerissa, se voi käyttää domainin kaappausprosessia vaatiakseen itselleen domainin ja siihen liittyvien henkilökohtaisten Apple-tilien omistuksen.
Jos haluat lisätietoja, katso:
Apple School Managerin käyttöopas: Domainin omistuksen hallinta
Apple Business Managerin käyttöopas: Domainin omistuksen hallinta
Kirjaudu sisään Applella töissä ja koulussa
”Kirjaudu sisään Applella töissä ja koulussa” on ominaisuus, joka lisää Kirjaudu sisään Applella ‑toimintoon tuen hallittujen Apple-tilien käytölle. Työntekijät, opettajat ja oppilaat voivat kirjautua hallituilla Apple-tileillään päästäkseen appeihin ja verkkosivustoille, jotka tukevat Kirjaudu sisään Applella ‑toimintoa. Ylläpitäjät, järjestelmänhallinnan vastuuhenkilöt (vain Apple School Manager) ja henkilöhallinnan vastuuhenkilöt voivat hallita sitä, millä apeilla voidaan käyttää Kirjaudu sisään Applella ‑toimintoa. Jotta Kirjaudu sisään Applella töissä ja koulussa ‑toimintoa voidaan käyttää, Apple-laitteissa on oltava iOS 16, iPadOS 16.1, macOS 13 tai uudempi.
Jos haluat lisätietoja, katso WWDC22-video Discover Sign in with Apple at Work & School.
Pääsyavaimet ja hallitut Apple-tilit
Pääsyavaimet on suunniteltu tarjoamaan salasanaton käyttökokemus, joka on sekä kätevä että turvallinen. Ne ovat verkkourkintaa estävää standardiperusteista teknologiaa, jotka ovat aina vahvoja, eikä niillä ole jaettuja salaisuuksia.
Koska iCloud-avainnippu tukee hallittuja Apple-tilejä, organisaatiot voivat ottaa käyttöön pääsyavaimia, joilla työntekijät pääsevät yrityksen resursseihin. Näin voidaan myös varmistaa, että pääsyavaimet synkronoidaan turvallisesti kaikkiin työntekijöiden iPhone-, iPad- ja Mac-laitteisiin. Pääsynhalintatoiminnolla voidaan myös määrittää laitteen tarvittava hallinnan taso, jotta siinä voidaan sallia hallittujen pääsyavaimien käyttö.
Deklaratiivisella pääsyavaintodennuksen määrityksellä hallittu laite voi tarjota todennuksen, kun pääsyavain provisioidaan organisaation palvelua varten. Todennus tarjotaan, kun käyttäjä rekisteröi pääsyavaimen verkkosivustolle tai appiin määrityksessä valitulla domainilla. Kun laite on luonut turvallisesti pääsyavaimen, se tekee määrityksessä olevan varmenneidentiteetin avulla WebAuthn-todentamisen käytettävään palveluun. Näin palvelu voi vahvistaa ennen pääsyn tarjoamista, että pääsyavain luotiin organisaation hallitsemassa laitteessa.
Luodut pääsyavaimet tallennetaan automaattisesti iCloud-avainnippuun, joka on liitetty hallittuun Apple-tiliin. Kun hallittua Apple-tiliä ei ole saatavilla, pääsyavainta ei voida luoda.
Appikehittäjät voivat tarjota käyttäjälle yksinkertaisen kertakirjautumiskokemuksen hyödyntämällä toisiinsa liittyviä domaineja. Näin voidaan muodostaa suojattu yhteys domainien ja niiden apin välille (ja valinnaisesti sallia toisiinsa liittyvien domainien määritys MDM:llä). Jos tämä on käytettävissä, iOS, iPadOS ja macOS voivat automaattisesti valita ja tarjota oikean pääsyavaimen, jotta sisäänkirjautuminen sujuu saumattomasti. Jos muun valmistajan palvelu tekee todennuksen, voidaan käyttää sen sijaan ASWebAuthenticationSession-komentoa.
Jos haluat lisätietoja, katso Pääsyavaimen todennuksen deklaratiivinen määritys.