Az Apple‑eszközök fiókvezérelt regisztrációs módszerei
A fiókvezérelt felhasználói regisztráció és a fiókvezérelt eszközregisztráció zökkenőmentes és biztonságos módszert biztosít a felhasználók és szervezetek számára Apple‑eszközök munkához történő beállítására felügyelt Apple‑fiókba történő bejelentkezés által.
Ez a megközelítés lehetővé teszi, hogy ugyanazon az eszközön egy felügyelt Apple‑fiók és egy személyes Apple‑fiók is bejelentkezhessen, a munkavégzési és a személyes adatok teljes különválasztása mellett. Ily módon a felhasználók biztonságban tudhatják a személyes adataikat, és az IT támogatást biztosíthat a munkával kapcsolatos appokhoz, beállításokhoz és fiókokhoz.
Ezen különválasztás támogatása érdekében az alábbi módosítások kerültek elvégzésre az appok és biztonsági mentések kezelésének módjában:
A regisztrációs profil eltávolításakor az összes konfiguráció és beállítás is eltávolításra kerül.
A felügyelt appok mindig el vannak távolítva a regisztráció megszűntetésekor.
A mobileszköz-felügyeleti (MDM) megoldásba történő regisztráció előtt telepített appok nem alakíthatók át felügyelt appokká.
A visszaállítás egy biztonsági mentésből nem állítja vissza az MDM-regisztrációt.
A személyes Apple‑fiókjukkal bejelentkező felhasználók nem fogadhatnak el meghívót felügyelt appok terjesztéséhez.
Bár a felügyelt Apple‑fiókok manuálisan is létrehozhatók, a szervezetek kihasználhatják az identitásszolgáltatókkal, a Google Workspace-szel és a Microsoft Entra ID-val történő integráció által nyújtott előnyöket.
Az összevont hitelesítéssel kapcsolatos további információkért, lásd: Összevont hitelesítés az Apple School Managerben vagy Összevont hitelesítés az Apple Business Managerben.
A fiókvezérelt regisztráció folyamata
Az eszköz fiókvezérelt felhasználói regisztráción vagy fiókvezérelt eszközregisztráción keresztül történő regisztrálásához a felhasználó kiválasztja a Beállítások > Általános > VPN és eszközfelügyelet vagy a Rendszerbeállítások > Általános > Eszközfelügyelet menüpontot, és kiválasztja a Jelentkezzen be a munkahelyi vagy iskolai fiókjába gombot.
Ez kezdeményezi az MDM-megoldásba történő regisztrációs négyszakaszos folyamatát:
Szolgáltatáskeresés: Az eszköz határozza meg az MDM-megoldás regisztrációs URL-címét.
Hitelesítés és hozzáférési token: A felhasználó hitelesítő adatokat ad meg a regisztráció jóváhagyásához, és hozzáférési tokent kap folyamatos hitelesítés céljából.
MDM-regisztráció: A regisztrációs profilt a rendszer elküldi az eszközre, és kötelezi a felhasználót, hogy jelentkezzen be a felügyelt Apple‑fiókjába a regisztrációs befejezése érdekében.
Folyamatos hitelesítés: Az MDM megoldás folyamatosan ellenőrzi a bejelentkezett felhasználót a hozzáférési token segítségével.
1. színpad: Szolgáltatáskeresés
Az első lépésben a szolgáltatáskeresés megpróbálja beazonosítani az MDM-megoldás regisztrációs URL-címét. Ehhez a felhasználó által megadott azonosítót (pl. [email protected]) használja fel. A doménnek egy olyan teljesen minősített doménnévnek (FQDN) kell lennie, amely az MDM-szolgáltatást hirdeti a felhasználó szervezete számára.
Ezután a következő történik:
1. lépés
Az eszköz beazonosítja a biztosított azonosítóban található domént (a fenti példa esetében: betterbag.com).
2. lépés
Az eszköz lekéri a jól ismert erőforrást a szervezet doménjéről (pl. https://<domain>/.well-known/com.apple.remotemanagement).
A kliens két lekérési paramétert biztosít a HTTP GET-kérelem URL-útvonalában:
user-identifier: A megadott fiókazonosító értéke (a fenti példa esetében: [email protected]).
model-family: Az eszköz modellcsaládja (pl. iPhone, iPad, Mac).
Megjegyzés: Az eszköz HTTP 3xx átirányítási kérelmet követ, amely lehetővé teszi a tényleges com.apple.remotemanagement fájl számára, hogy egy, az eszköz által elérhető másik szerveren legyen hosztolva.
iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 vagy újabb rendszert futtató eszközökön a szolgáltatáskeresési folyamat lehetővé teszi az eszközök számára, hogy beolvassák a jól ismert erőforrást az Apple School Managerhez vagy az Apple Business Managerhez kapcsolt MDM-megoldás által megadott, másodlagos helyről. A szolgáltatáskeresés első preferenciája továbbra is a szervezet doménjénél található jól ismert erőforrás marad. Ha a kérelem meghiúsul az eszköz az Apple School Manageren vagy az Apple Business Manageren keresztül keresi meg a jól ismert erőforrás alternatív helyét. Ezen folyamat használatához ellenőrizni kell az azonosítóban használt domént az Apple School Managerben vagy az Apple Business Managerben. További információkért, lásd: Tartomány hozzáadása és igazolása az Apple School Managerben vagy Tartomány hozzáadása és igazolása az Apple Business Managerben.
Ezen képesség használatához konfigurálni kell a másodlagos szolgáltatáskeresési URL-címet az Apple Business Managerhez és az Apple School Managerhez kapcsolt MDM-megoldással. Amikor az eszköz kapcsolatba lép az Apple School Managerrel vagy az Apple Business Managerrel, a rendszer az eszköz típusa alapján határozza meg az adott típushoz hozzárendelt MDM-megoldást. Ugyanezzel az eljárással határozható meg az automatizált eszközregisztrációhoz használt alapértelmezett MDM-megoldás. Ha a hozzárendelt MDM-megoldás rendelkezik konfigurált szolgáltatáskeresési URL-címmel, az eszköz lekéri a jól ismert erőforrást az adott helyről. Az alapértelmezett eszköz-hozzárendelés beállításával kapcsolatban, lásd: Az alapértelmezett eszköz-hozzárendelés módjának beállítása az Apple School Managerben vagy Az alapértelmezett eszköz-hozzárendelés módjának beállítása az Apple Business Managerben.
A jól ismert erőforrás hosztolására az MDM-megoldás is képes.
3. lépés
A jól ismert erőforrást hosztoló szerver az alábbi sémának megfelelő szolgáltatáskeresési JSON-dokumentummal válaszol:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Az MDM regisztrációs kulcsait, típusait és leírásait az alábbi táblázat tartalmazza. Ezek a kulcsok nem hagyhatók ki.
Kulcs | Típus | Leírás |
|---|---|---|
Szerverek | Tömb | Egy egyetlen bejegyzéssel rendelkező lista. |
Version (Verzió) | Karakterlánc | Ez a kulcs határozza meg a használandó regisztrációs módszert, és felhasználói regisztráció esetében |
BaseURL | Karakterlánc | Az MDM-megoldás regisztrációs URL-címe. |
Fontos: A szervernek biztosítania kell, hogy a HTTP-válaszban található Content-Type fejléc mező application/json beállítással rendelkezik.
4. lépés
Az eszköz egy HTTP POST-kérelmet küldd a BaseURL által megadott regisztrációs URL-címnek.
2. színpad: Hitelesítés és hozzáférési token
A regisztrációs engedélyezése érdekében a felhasználónak hitelesítenie kell magát az MDM-megoldásban. A sikeres hitelesítést követően az MDM-megoldás egy hozzáférési tokent bocsát ki az eszköz számára. Az eszköz biztonságosan eltárolja a tokent használat céljából a következő kérelmek feljogosításakor.
A hozzáférési token:
Központi szerepet játszik az első hitelesítési folyamatban és az MDM-erőforrások folyamatos elérésének biztosításában
Biztonságos hídként szolgál a felhasználó felügyelt Apple‑fiókja és az MDM-megoldás között
A segítségével folyamatos hozzáférés biztosítható a munkavégzési erőforrásokhoz valamennyi fiókvezérelt regisztráció esetében
iPhone-on, iPaden és Apple Vision Prón az első és a folyamatos hitelesítési folyamat leegyszerűsíthető regisztrációs SSO (regisztrációs egyszeri bejelentkezés) használatával, amelynek révén csökkenthető az ismétlődő hitelesítési üzenetek száma. Bővebben: Regisztrációs egyszeri bejelentkezés iPhone‑hoz, iPadhez és Apple Vision Próhoz.
3. színpad: MDM-regisztráció
A hozzáférési token segítségével az eszköz hitelesítheti magát az MDM-megoldásban, és hozzáférhet az MDM-megoldás regisztrációs profiljához. Ez a profil tartalmazza az eszköz által a regisztráció elvégzéséhez igényelt információt. A regisztráció befejezéséhez a felhasználónak sikeresen be kell jelentkeznie a felügyelt Apple‑fiókjába. A regisztráció befejezését követően a felügyelt Apple‑fiók jól látható módon jelenik meg a Beállítások és a Rendszerbeállítások menüben.
A felhasználók számára elérhető iCloud-szolgáltatásokkal kapcsolatos további információkért, lásd: Hozzáférés az iCloud-szolgáltatásokhoz.
4. színpad: Folyamatos hitelesítés
A regisztrációt követően a hozzáférési token aktív állapotú marad, és az Authorization HTTP-fejlécet használó összes MDM-megoldásnak küldött kérelemben megtalálható lesz. Ennek köszönhetően az MDM-megoldás folyamatosan ellenőrizheti a felhasználót, és biztosíthatja, hogy kizárólag feljogosított felhasználók férhessenek hozzá szervezeti erőforrásokhoz.
A hozzáférési tokenek általában egy adott idő múlva lejárnak. Ezen esetekben előfordulhat, hogy az eszköz felkéri a felhasználót, hogy a hozzáférési token megújítása érdekében ismét hitelesítse magát. Az időszakos újravalidálás segítségével növelhető a biztonság, amely a személyes és a szervezeti tulajdonban álló eszközök számára egyaránt fontos. A regisztrációs SSO segítségével a tokenek megújítása automatikusan megy végbe a szervezet identitásszolgáltatóján keresztül, ezzel biztosítva a zavartalan hozzáférést anélkül, hogy ismételt hitelesítésre lenne szükség.
Hogyan választhatók külön a felhasználói és a szervezeti adatok a fiókvezérelt regisztrációs módszerek segítségével?
A fiókvezérelt felhasználói regisztráció vagy a fiókvezérelt eszközregisztráció befejezését követően különálló titkosítási kulcsok kerülnek automatikusan létrehozásra az adott eszközön. Ha az eszköz regisztrációját a felhasználó vagy távolból egy MDM segítségével törlik, a titkosítási kulcsok biztonságos módon megsemmisítésre kerülnek. A kulcsok az alábbi táblázatban felsorolt, felügyelt adatok kriptográfiai elkülönítésére kerülnek felhasználásra.
Tartalom | Minimális támogatott operációsrendszer-verziók | Leírás | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Felügyelt appadattárolók | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A felügyelt appok az MDM-regisztrációhoz társított felügyelt Apple‑fiókot használják az iCloud-adatok szinkronizálásához. Ez magában foglalja a CloudKitet használó Mac (az | |||||||||
Naptár app | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Az események különálló elemek. | |||||||||
Kulcskarika-elemek | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A harmadik felek Maces appjainak az adatvédelem-kulcskarika API-t kell használnia. További információkért tekintse meg a kSecUseDataProtectionKeychain globális változót az Apple fejlesztői webhelyen. | |||||||||
Mail app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A Mail-mellékletek és az e-mail-üzenetek törzsrésze különállóan kezelendők. | |||||||||
Jegyzetek app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | A Jegyzetek app különállóan kezelendő. | |||||||||
Emlékeztetők app | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Az Emlékeztetők app különállóan kezelendő. | |||||||||
iPhone-on, iPaden és Apple Vision Prón a felügyelt appok és a felügyelt, webalapú dokumentumok hozzáférnek a szervezet iCloud Drive‑jához (ez különálló módon jelenik meg a Fájlok appban, miután a felhasználó bejelentkezik a felügyelt Apple‑fiókjával). Az MDM-adminisztrátor külön tud választani adott személyes és szervezeti dokumentumokat meghatározott korlátozások segítségével. Bővebben: Felügyelt Appok korlátozásai és funkciói.
Ha a felhasználó bejelentkezett személyes Apple‑fiókjával és felügyelt Apple‑fiókjával, a Bejelentkezés az Apple‑lel automatikusan a Felügyelt Apple‑fiókot használja a felügyelt appokhoz és a személyes Apple‑fiókot a nem felügyelt appokhoz. Amikor a felhasználó Safari vagy a SafariWebView bejelentkezési folyamatát használja egy felügyelt appban, a felhasználó kijelölheti és megadhatja felügyelt Apple‑fiókját, hogy a bejelentkezést munkahelyi vagy iskolai fiókjához társítsa.
