Felhasználói regisztráció és MDM
A Felhasználó regisztráció a BYOD-hoz (saját készülékek használata) került kialakításra, ahol a felhasználó és nem a szervezet az eszköz tulajdonosa. Együtt használható az identitásszolgáltatókkal, a Google Workspace-szel és a Microsoft Entra ID-val, továbbá az Apple School Managerrel, az Apple Business Managerrel és harmadik felek által biztosított MDM-megoldásokkal. Az Apple Business Essentialsban lévő eszközkezeléssel is működik.
Az MDM-be való felhasználói regisztráció négy szakasza a következő:
Szolgáltatáskeresés: Az eszköz azonosítja magát az MDM-megoldás számára.
Felhasználói regisztráció: A felhasználó hitelesítő adatokat ad az identitásszolgáltató (IdP) számára az MDM-megoldásba való regisztráció engedélyezéséhez.
Munkameneti token: Az eszköz megkapja a munkameneti tokent a folyamatban lévő hitelesítés engedélyezéséhez.
MDM-regisztráció: A regisztrációs profil az eszközre kerül az MDM-adminisztrátor által konfigurált adatcsomagokkal.
Felhasználói regisztráció és felügyelt Apple‑fiókok
A felhasználói regisztrációhoz felügyelt Apple‑fiók szükséges. Ezek egy szervezet tulajdonában állnak, és az kezeli őket, illetve a szervezet biztosít hozzáférést az alkalmazottaknak adott Apple-szolgáltatásokhoz. Továbbá a felügyelt Apple‑fiókok:
Manuálisan vannak létrehozva, vagy automatikus formában összevont hitelesítés használatával
Integrálva vannak a Hallgatói információs rendszerrel (SIS) vagy .csv fájlok feltöltésével (csak az Apple School Manager esetén)
Felhasználhatnak az Apple School Manager, az Apple Business Manager vagy az Apple Business Essentials programban történő bejelentkezéshez, hozzárendelt szerepkörrel
Ha egy felhasználó eltávolítja a regisztrációs profilt, azzal együtt az összes konfigurációs profil, azok beállításai és a regisztrációs profilon alapuló Felügyelt appok is törlődni fognak.
A felhasználói regisztráció a felügyelt Apple‑fiókkal van integrálva, hogy meg lehessen állapítani a felhasználó személyazonosságát az eszközön. A regisztráció befejezéséhez a felhasználónak sikeresen hitelesítenie kell magát. A felügyelt Apple‑fiók együtt használható a felhasználó személyes Apple‑fiókjával, amellyel a felhasználó bejelentkezett, és a kettő nem lép egymással kapcsolatba.
Felhasználó-felíratás és összevont hitelesítés
Bár a felügyelt Apple‑fiókok manuálisan is létrehozhatók, a szervezetek kihasználhatják egy identitásszolgáltató, a Google Workspace vagy a Microsoft Entra ID és a felhasználói regisztráció által nyújtott előnyöket. Ehhez a szervezetének először az alábbiakat kell elvégeznie:
Felhasználói hitelesítő adatok felügyelete egy identitásszolgáltatóval, a Google Workspace-szel vagy a Microsoft Entra ID-val
Ha a szervezet az Active Directory egy helyszíni verziójával rendelkezik, akkor további konfigurálást kell végezni az összevont hitelesítés előkészítése érdekében.
Szervezet regisztrálása az Apple School Managerben, az Apple Business Managerben vagy az Apple Business Essentialsban
Összevont hitelesítés beállítása az Apple School Managerben, az Apple Business Managerben vagy az Apple Business Essentialsban
Konfiguráljon MDM-megoldást, és kapcsolja össze az Apple School Manager, az Apple Business Manager vagy az Apple Business Essentials programmal, vagy használja az Apple Business Essentialsba közvetlenül beépített eszközkezelést.
(Opcionális) Felügyelt Apple‑fiókok létrehozása
Felhasználói regisztráció és felügyelt appok (macOS)
A felhasználói regisztrációban megjelentek a macOS felügyelt appok (ez a funkció már lehetséges az eszközregisztráció és az automatizált eszközregisztráció esetén). A CloudKitet használó felügyelt appok az MDM-regisztrációhoz társított felügyelt Apple‑fiókot használják. Az MDM-adminisztrátoroknak hozzá kell adniuk az InstallAsManaged
kulcsot az InstallApplication
parancshoz. Az iOS- és az iPadOS-appokhoz hasonlóan ezek az appok automatikusan eltávolíthatók, amikor a felhasználó törli a regisztrációját az MDM-ből.
Regisztráció és apponkénti hálózat használata
iOS 16, iPadOS 16.1, visionOS 1.1 vagy újabb rendszer használata esetén az apponkénti hálózat elérhető a VPN-hez (apponkénti VPN), a DNS-proxykhoz és a webtartalomszűrőkhöz a felhasználói regisztrációval regisztrált eszközökön. Ez azt jelenti, hogy csak a felügyelt appok által kezdeményezett hálózati forgalom kerül át a DNS-proxyn, a webtartalomszűrőn vagy mindkettőn. Egy felhasználó személyes forgalma elkülönítve marad és nem lesz szűrve vagy proxyként továbbítva egy szervezet által. Ez új kulcs-érték párok használatával érhető el a következő adatcsomagokhoz:
Hogyan regisztrálhatják a felhasználók a saját eszközeiket
Az iOS 15, az iPadOS 15, a macOS 14, a visionOS 1.1 és újabb rendszerek megjelenésével a szervezetek egy letisztult felhasználói regisztrációs eljárást alkalmazhatnak, amely közvetlenül a Beállítások appba lett beépítve, ezzel is megkönnyítve a felhasználók számára a saját eszközük regisztrálását.
Ennek elvégzéséhez:
iPhone-on, iPaden és Apple Vision Prón a felhasználó elnavigál a Beállítások > Általános > VPN és eszközfelügyelet menüponthoz, majd kiválasztja a Jelentkezzen be a munkahelyi vagy iskolai fiókjába gombot.
Macen a felhasználó elnavigál a Beállítások > Biztonság és adatvédelem > Profilok menüponthoz, majd kiválasztja a Jelentkezzen be a munkahelyi vagy iskolai fiókjába gombot.
Amikor megadják a felügyelt Apple‑fiókjukat, a szolgáltatáskeresés beazonosítja az MDM-megoldás regisztrációs URL-címét.
A felhasználó megadja a szervezeti felhasználónevét és jelszavát. Miután a szervezet hitelesítése végbemegy, a regisztrációs profilt a rendszer elküldi az eszközre. Az eszköz egy munkameneti tokent is kap a folyamatban lévő hitelesítés engedélyezéséhez. Az eszköz ekkor megkezdi a regisztráció folyamatát, és arra kéri a felhasználót, hogy jelentkezzen be Felügyelt Apple‑fiókjával. iPhone-on, iPaden és Apple Vision Prón a hitelesítési folyamat leegyszerűsíthető regisztrációs egyszeri bejelentkezés használatával, amelynek révén csökkenthető az ismétlődő hitelesítési üzenetek száma.
A regisztráció elvégzését követően jól láthatóan megjelenik az új felügyelt fiók a Beállításokban (iPhone, iPad és Apple Vision Pro esetén) és a Rendszerbeállításokban (Mac esetén). Így a felhasználók továbbra is elérhetik a személyes Apple‑fiókjukkal létrehozott iCloud Drive-ot. A szervezet iCloud Drive-ja (amely a felhasználó Felügyelt Apple‑fiókjához van társítva) külön jelenik meg a Fájlok appban.
iPhone-on, iPaden és Apple Vision Prón a felügyelt appok és a felügyelt, webalapú dokumentumok hozzáférnek a szervezet iCloud Drive-jához, és az MDM-adminisztrátor külön tudja választani a személyes és a szervezeti dokumentumokat adott korlátozásokkal. További információk: Felügyelt Appok korlátozásai és funkciói.
A felhasználók megtekinthetik, hogy mi áll felügyelet alatt a személyek eszközükön, illetve hogy mennyi iCloud-tárhelyet biztosított számukra a szervezetük. Mivel az eszköz a felhasználó tulajdonában áll, a Felhasználó regisztráció csak korlátozott mennyiségű, különböző adatcsomag és korlátozás-készlettel rendelkezik, amely alkalmazható az eszközön. További információk: Felhasználó regisztrációs MDM információk.
Hogyan választja szét az Apple a felhasználói adatokat a szervezeti adatoktól
A felhasználói regisztráció befejezését követően különálló titkosítási kulcsok kerülnek automatikusan létrehozásra az adott eszközön. Ha az eszköz regisztrációját a felhasználó vagy távolból egy MDM segítségével törlik, a titkosítási kulcsok biztonságos módon megsemmisítésre kerülnek. A kulcsok az alábbiakban felsorolt, felügyelt adatok kriptográfiai elkülönítésére kerülnek felhasználásra:
Appadat-tárolók: iPhone, iPad, Mac és Apple Vision Pro
Naptár: iPhone, iPad, Mac és Apple Vision Pro
Az eszközöknek iOS 16, iPadOS 16.1, macOS 13, visionOS 1.1 vagy újabb rendszert kell futtatniuk.
Kulcskarika-elemek: iPhone, iPad, Mac és Apple Vision Pro
Megjegyzés: A harmadik féltől származó Maces appnak az adatvédelem-kulcskarika API-t kell használnia. További információkért tekintse meg az Apple fejlesztői dokumentációt: kSecUseDataProtectionKeychain.
Mail-mellékletek és az e-mail-üzenet törzsrésze: iPhone, iPad, Mac és Apple Vision Pro
Jegyzetek: iPhone, iPad, Mac és Apple Vision Pro
Emlékeztetők: iPhone, iPad, Mac és Apple Vision Pro
Az eszközöknek iOS 17, iPadOS 17, macOS 14, visionOS 1.1 vagy újabb rendszert kell használniuk.
Ha a felhasználó bejelentkezett személyes Apple‑fiókjával és Felügyelt Apple‑fiókjával, a Bejelentkezés az Apple-lel automatikusan a Felügyelt Apple‑fiókot használja a felügyelt appokhoz és a személyes Apple‑fiókot a nem felügyelt appokhoz. Amikor a felhasználó Safari vagy a SafariWebView bejelentkezési folyamatát használja egy felügyelt appban, a felhasználó kijelölheti és megadhatja felügyelt Apple‑fiókját, hogy a bejelentkezést munkahelyi fiókjához társítsa.
Az adminisztrátorok kizárólag az MDM használatával megadott szervezeti fiókokat, beállításokat és információkat tudják felügyelni, a felhasználók személyes fiókjait azonban nem. Valójában azok a funkciók, amelyek a szervezetek által birtokolt és kezelt appok adatainak biztonságáról gondoskodnak, a felhasználók személyes tartalmait is védik, és megakadályozzák, hogy ezek a tartalmak bekerüljenek a vállalati adatfolyamba.
Az MDM képes: | Az MDM nem képes: |
---|---|
Fiókok konfigurálása | Személyes adatok, használati adatok vagy naplók megtekintése |
Felügyelt appok tárházának elérése | Személyes appok tárházának elérése |
Csak felügyelt adatok eltávolítása | Személyes adatok eltávolítása |
Appok telepítése és konfigurálása | A személyes appok kezelésének átvételére |
Jelkód megkövetelése | Komplex jelkód vagy jelszó megkövetelése |
Bizonyos korlátozások kényszerítése | Access device location (Eszköz helyzetének elérése) |
Apponkénti VPN konfigurálása | Egyedi eszközazonosítók elérése |
| A teljes eszköz távoli törlése |
| Aktiválási zár felügyelete |
| Roamingállapot elérése |
| Az Elveszett mód bekapcsolására |
Megjegyzés: iPhone és iPad esetén az adminisztrátorok megkövetelhetik a legalább hat karakter hosszú jelkódok használatát, illetve megakadályozhatják, hogy a felhasználók egyszerű jelkódokat használjanak (pl. „123456” vagy „abcdef”), azonban komplex karakterek vagy jelszavak használatát nem követelhetik meg.