Métodos de registro conduzidos por conta com dispositivos Apple
O Registro de Usuário conduzido por conta e o Registro de Dispositivo conduzido por conta oferecem uma maneira simples e segura para usuários e organizações configurarem dispositivos Apple para o trabalho por meio de uma sessão com uma Conta Apple Gerenciada.
Essa abordagem permite que tanto uma Conta Apple Gerenciada quanto uma Conta Apple pessoal tenham uma sessão iniciada no mesmo dispositivo, com separação completa de dados de trabalho e pessoais. Os usuários mantêm a privacidade de suas informações pessoais, e o TI dá suporte aos apps, ajustes e contas relacionados ao trabalho.
Para possibilitar essa separação, as seguintes alterações foram feitas na forma como os apps e backups são tratados:
Todas as configurações e os ajustes são removidos quando o perfil de registro é removido.
Apps Gerenciados sempre são removidos durante o cancelamento do registro.
Os apps instalados antes do registro em uma solução de gerenciamento de dispositivos móveis (MDM) não podem ser convertidos para se tornarem Apps Gerenciados.
A restauração de um backup não restaura o registro no MDM.
Usuários com uma sessão iniciada com suas Contas Apple pessoais não podem aceitar um convite de distribuição de App Gerenciado.
Embora as Contas Apple Gerenciadas possam ser criadas manualmente, as organizações podem se beneficiar da integração com um IdP, Google Workspace ou Microsoft Entra ID.
Para obter mais informações sobre a autenticação federada, consulte Introdução à autenticação federada com Apple School Manager ou Introdução à autenticação federada com Apple Business Manager.
Processo de registro conduzido por conta
Para registrar um dispositivo por meio do Registro de Usuário conduzido por conta ou do Registro de Dispositivo conduzido por conta, o usuário deve acessar Ajustes > Geral > Gerenciamento de VPN e Dispositivo ou Ajustes do Sistema > Geral > Gerenciamento de Dispositivos e selecionar o botão “Iniciar a Sessão na Conta do Trabalho ou da Escola”.
Isso inicia um processo de quatro estágios para registro no MDM:
Descoberta do serviço: o dispositivo determina o URL de registro da solução MDM.
Autenticação e token de acesso: o usuário fornece credenciais para autorizar o registro e obter um token de acesso emitido para autenticação contínua.
Registro no MDM: o perfil de registro é enviado ao dispositivo, e o usuário deve iniciar sessão com sua Conta Apple Gerenciada para concluir o registro.
Autenticação contínua: a solução MDM usa o token de acesso para verificar continuamente o usuário com sessão iniciada.
Estágio 1: Descoberta do serviço
No primeiro estágio, a descoberta de serviço tenta identificar o URL de registro da solução MDM. Para isso, usa o identificador inserido pelo usuário (por exemplo, [email protected]). O domínio deve ser um nome de domínio totalmente qualificado (FQDN) que divulgue o serviço MDM para a organização do usuário.
O seguinte ocorre:
Etapa 1
O dispositivo identifica o domínio no identificador fornecido (no exemplo acima, betterbag.com).
Etapa 2
O dispositivo solicita o recurso conhecido do domínio da organização (por exemplo, https://<domain>/.well-known/com.apple.remotemanagement).
O cliente inclui dois parâmetros de consulta no caminho do URL da solicitação HTTP GET:
user-identifier: o valor do identificador de conta inserido (no exemplo acima, [email protected]).
model-family: a família do modelo do dispositivo (por exemplo, iPhone, iPad, Mac).
Nota: o dispositivo segue as solicitações de redirecionamento HTTP 3xx, permitindo que o arquivo com.apple.remotemanagement seja hospedado em outro servidor acessível pelo dispositivo.
Em dispositivos com iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, ou posteriores, o processo de descoberta de serviço permite que um dispositivo recupere o recurso conhecido de um local alternativo especificado pela solução MDM vinculada ao Apple School Manager ou Apple Business Manager. A primeira preferência para a descoberta de serviço ainda é o recurso conhecido no domínio da organização. Caso a solicitação falhe, o dispositivo verifica com o Apple School Manager ou o Apple Business Manager um local alternativo do recurso conhecido. Esse processo requer que o domínio usado no identificador seja verificado no Apple School Manager ou no Apple Business Manager. Para obter mais informações, consulte Adicione e verifique um domínio no Apple School Manager ou Adicione e verifique um domínio no Apple Business Manager.
Para usar esse recurso, o URL de descoberta de serviço alternativa deve ser configurado pela solução MDM vinculada ao Apple Business Manager e ao Apple School Manager. Quando o dispositivo entra em contato com o Apple School Manager ou o Apple Business Manager, o tipo de dispositivo é usado para determinar a solução MDM atribuída para esse tipo — o mesmo processo usado para determinar a solução MDM padrão no Registro de Dispositivo Automatizado. Se a solução MDM atribuída configurou um URL de descoberta de serviço, o dispositivo prossegue e solicita o recurso conhecido desse local. Para configurar a atribuição padrão de dispositivos, consulte Configurar a atribuição padrão de dispositivos no Apple School Manager ou Configurar a atribuição padrão de dispositivos no Apple Business Manager.
A solução MDM também pode hospedar o recurso conhecido.
Etapa 3
O servidor que hospeda o recurso conhecido responde com um documento JSON de descoberta de serviço que segue o seguinte esquema:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}As chaves, os tipos e as descrições de registro no MDM estão na tabela a seguir. Todas as chaves são obrigatórias.
Chave | Tipo | Descrição |
|---|---|---|
Servers | Vetor | Uma lista com uma única entrada. |
Version | String | Esta chave determina o método de registro a ser usado e deve ser |
BaseURL | String | O URL de registro da solução MDM. |
Importante: o servidor deve garantir que o campo de cabeçalho Content-Type na resposta HTTP seja definido como application/json.
Etapa 4
O dispositivo envia uma solicitação HTTP POST para o URL de registro especificado pelo BaseURL.
Estágio 2: Autenticação e token de acesso
Para autorizar o registro, o usuário precisa autenticar-se com a solução MDM. Após a autenticação bem-sucedida, a solução MDM emite um token de acesso para o dispositivo. O dispositivo armazena o token de forma segura para usar ao autorizar solicitações subsequentes.
O token de acesso:
É central tanto para o processo de autenticação inicial quanto para o acesso contínuo aos recursos do MDM
Serve como uma ponte segura entre a Conta Apple Gerenciada do usuário e a solução MDM
É usado para permitir acesso contínuo aos recursos de trabalho para todos os registros conduzidos por conta
No iPhone, iPad e Apple Vision Pro, o processo inicial e contínuo de autenticação pode ser simplificado com o uso do SSO de Registro (início de sessão único de registro) para reduzir o número de pedidos de autenticação. Para obter mais informações, consulte Início de Sessão Único de Registro para iPhone, iPad e Apple Vision Pro.
Estágio 3: Registro no MDM
Usando o token de acesso, o dispositivo pode se autenticar com a solução MDM e acessar o perfil de registro no MDM. Esse perfil contém todas as informações necessárias para que o dispositivo realize o registro. Para concluir o registro, o usuário deve iniciar sessão com sua Conta Apple Gerenciada. Após a conclusão do registro, a Conta Apple Gerenciada é exibida em destaque nos Ajustes e nos Ajustes do Sistema.
Para obter mais informações sobre os serviços do iCloud disponíveis aos usuários, consulte Acesso aos serviços do iCloud.
Estágio 4: Autenticação contínua
Após o registro, o token de acesso permanece ativo e é incluído em todas as solicitações para a solução MDM por meio do cabeçalho HTTP Authorization. Isso permite que a solução MDM verifique continuamente o usuário e ajuda a garantir que apenas usuários autorizados mantenham acesso aos recursos organizacionais.
Os tokens de acesso geralmente expiram após um período definido. Quando isso ocorre, o dispositivo pode solicitar que o usuário se autentique novamente para renovar o token de acesso. A revalidação periódica ajuda a aumentar a segurança, importante tanto para dispositivos pessoais quanto para dispositivos de propriedade da organização. Com o SSO de Registro, a renovação do token ocorre automaticamente por meio do provedor de identidade da organização, garantindo acesso ininterrupto sem necessidade de nova autenticação.
Como os dados do usuário são separados dos dados da organização com métodos de registro conduzidos por conta
Quando o Registro de Usuário conduzido por conta ou o Registro de Dispositivo conduzido por conta é concluído, chaves de criptografia separadas são criadas automaticamente no dispositivo. Se o dispositivo tiver seu registro cancelado pelo usuário ou de forma remota pelo MDM, as chaves de criptografia são destruídas com segurança. As chaves são usadas para separar criptograficamente os dados gerenciados listados nesta tabela.
Conteúdo | Versões mínimas compatíveis de sistemas operacionais | Descrição | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Contêineres de dados de apps gerenciados | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Apps Gerenciados utilizam a Conta Apple Gerenciada associada com o registro no MDM para a sincronização de dados no iCloud. Isso inclui Apps Gerenciados (instalados com a chave | |||||||||
App Calendário | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Os eventos são separados. | |||||||||
Itens das Chaves | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | O app de terceiros para Mac deve usar a API de Chaves de Proteção de Dados. Para obter mais informações, consulte a Variável Global kSecUseDataProtectionKeychain (em inglês) no site Apple Developer. | |||||||||
App Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Os anexos do Mail e o corpo da mensagem de e-mail são separados. | |||||||||
App Notas | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | As notas são separadas. | |||||||||
App Lembretes | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Os lembretes são separados. | |||||||||
No iPhone, iPad e Apple Vision Pro, os Apps Gerenciados e documentos web gerenciados têm acesso ao iCloud Drive da organização (que aparece separadamente no app Arquivos depois que um usuário inicia sessão com a sua Conta Apple Gerenciada). O administrador do MDM pode usar restrições específicas para ajudar a manter documentos pessoais e organizacionais específicos separados. Para obter mais informações, consulte Restrições e capacidades de Apps Gerenciados.
Se um usuário tiver uma sessão iniciada com uma Conta Apple pessoal e uma Conta Apple Gerenciada, o recurso Iniciar sessão com a Apple usará automaticamente a Conta Apple Gerenciada para Apps Gerenciados e a Conta Apple pessoal para apps não gerenciados. Ao usar um fluxo de início de sessão no Safari ou SafariWebView em um App Gerenciado, o usuário poderá selecionar e digitar sua Conta Apple Gerenciada para associar o início de sessão à sua conta de trabalho ou da escola.
