Registro de Usuário e MDM
O Registro de Usuário é projetado para implementações onde o usuário traz o seu próprio dispositivo (BYOD) — onde o dispositivo é de propriedade do usuário, e não da organização. Funciona com um provedor de identidade (IdP), Google Workspace ou Microsoft Entra ID, e o Apple School Manager ou o Apple Business Manager e uma solução MDM de terceiros. Ele também funciona com o gerenciamento de dispositivos no Apple Business Essentials.
Os quatro estágios do Registro de Usuário no MDM são:
Descoberta do serviço: o dispositivo identifica a si mesmo para a solução MDM.
Registro de Usuário: o usuário fornece credenciais a um fornecedor de identidade (IdP) para obter autorização para registro na solução MDM.
Token de sessão: um token de sessão é emitido para o dispositivo para permitir autenticação contínua.
Registro no MDM: o perfil de registro é enviado para o dispositivo com payloads configurados pelo administrador do MDM.
Registro de Usuário e Contas Apple Gerenciadas
O Registro de Usuário exige Contas Apple Gerenciadas. Eles são propriedade de uma organização e gerenciados por ela, e oferecem a funcionários o acesso a certos serviços da Apple. Além disso, as Contas Apple Gerenciadas:
São criados manual ou automaticamente usando autenticação federada
São integrados com um Sistema de Informações do Aluno (SIS) ou pelo envio de arquivos .csv (apenas no Apple School Manager)
Também podem ser usados para início de sessão com uma função atribuída no Apple School Manager, Apple Business Manager ou Apple Business Essentials
Quando um usuário remove um perfil de registro, todos os perfis de configuração, seus ajustes e os Apps Gerenciados baseados nesse perfil de registro também são removidos.
O Registro de Usuário é integrado a Contas Apple Gerenciadas para estabelecer uma identidade de usuário no dispositivo. O usuário deve autenticar com sucesso para que o registro seja concluído. A Conta Apple Gerenciada pode ser usada ao mesmo tempo que a Conta Apple pessoal com a qual o usuário já iniciou a sessão; as duas não interagem entre si.
Registro de Usuário e autenticação federada
Embora as Contas Apple Gerenciadas possam ser criadas manualmente, as organizações podem se beneficiar da sincronização com um IdP, Google Workspace ou Microsoft Entra ID e do Registro de Usuário. Para isso, sua organização precisa primeiro:
Gerenciar as credenciais de usuário com um IdPs, o Google Workspace ou o Microsoft Entra ID
Se você tiver uma versão local do Active Directory, configurações adicionais serão necessárias como preparação para a autenticação federada.
Registrar sua organização no Apple School Manager, Apple Business Manager ou Apple Business Essentials
Configurar a autenticação federada no Apple School Manager, Apple Business Manager ou Apple Business Essentials
Configurar uma solução MDM e vinculá-la ao Apple School Manager, Apple Business Manager ou Apple Business Essentials, ou usar o gerenciamento de dispositivo integrado ao Apple Business Essentials
(Opcional) Criar Contas Apple Gerenciadas
Registro de Usuário e Apps Gerenciados (macOS)
O Registro de Usuário adicionou Apps Gerenciados ao macOS (esse recurso já estava disponível com o Registro de Dispositivo e o Registro Automático de Dispositivo). Apps Gerenciados que usam o CloudKit utilizam a Conta Apple Gerenciada associada com o registro no MDM. Os administradores do MDM devem adicionar a chave InstallAsManaged ao comando InstallApplication. Assim como os apps do iOS e do iPadOS, esses apps podem ser removidos automaticamente quando um usuário cancela sua inscrição no MDM.
Registro de Usuário e rede por app
No iOS 16, iPadOS 16.1 e visionOS 1.1 ou posteriores, as redes por app estão disponíveis para VPN (chamada de VPN por app), proxies DNS e filtros de conteúdo da web em dispositivos registrados com o Registro de Usuário. Isso significa que apenas o tráfego de rede iniciado por Apps Gerenciados passa pelo proxy DNS, filtro de conteúdo da web ou ambos. O tráfego pessoal do usuário permanece separado e não será filtrado ou passado pelo proxy de uma organização. Para fazer isso, novos pares de chave-valor são usados nos seguintes payloads:
Como os usuários registram seus dispositivos pessoais
No iOS 15, iPadOS 15, macOS 14 e visionOS 1.1 ou posteriores, as organizações podem usar um processo simplificado de Registro de Usuário, integrado diretamente ao app Ajustes para facilitar o registro de dispositivos pessoais pelos usuários.
Para fazer isso:
No iPhone, iPad e Apple Vision Pro, o usuário deve navegar até Ajustes > Geral > Gerenciamento de VPN e Dispositivo e selecionar o botão “Iniciar a Sessão na Conta do Trabalho ou da Escola”.
No Mac, o usuário deve navegar até Ajustes do Sistema > Privacidade e Segurança > Perfis e selecionar o botão “Iniciar a Sessão na Conta do Trabalho ou da Escola”.
Quando o usuário inicia sessão com sua Conta Apple Gerenciada, a descoberta do serviço identifica o URL de registro da solução MDM.
O usuário digita o nome de usuário e a senha da organização. Depois da autenticação da organização, o perfil do registro é enviado ao dispositivo. Um token de sessão também é emitido para o dispositivo para permitir autorização contínua. O dispositivo começa o processo de registro e pede ao usuário para iniciar a sessão com a respectiva Conta Apple Gerenciada. No iPhone, iPad e Apple Vision Pro, o processo de autenticação pode ser simplificado com o uso do início de sessão único de registro para reduzir o número de pedidos de autenticação.
Quando o registro estiver concluído, a nova conta gerenciada é exibida proeminentemente no app Ajustes (iPhone, iPad e Apple Vision Pro) e nos Ajustes do Sistema (Mac). Isso permite que os usuários ainda acessem arquivos no iCloud Drive das respectivas Contas Apple pessoais. O iCloud Drive da organização (associado à Conta Apple Gerenciada do usuário) aparece separadamente no app Arquivos.
No iPhone, iPad e Apple Vision Pro, os Apps Gerenciados e documentos web gerenciados têm acesso ao iCloud Drive da organização, e o administrador do MDM pode usar restrições específicas para ajudar a manter documentos pessoais e organizacionais específicos separados. Para obter mais informações, consulte Restrições e capacidades de Apps Gerenciados.
Os usuários podem ver detalhes sobre o que está sendo gerenciado em seus dispositivos pessoais e quanto espaço de armazenamento do iCloud é fornecido por sua organização. Pelo fato do dispositivo ser de propriedade do usuário, o Registro de Usuário pode aplicar apenas um conjunto limitado de payloads e restrições ao dispositivo. Para obter mais informações, consulte Informações do MDM sobre Registro de Usuário.
Como a Apple separa os dados dos usuários e os da organização
Quando o Registro de Usuário é concluído, chaves de criptografia separadas são criadas automaticamente no dispositivo. Se o dispositivo tiver seu registro cancelado pelo usuário ou de forma remota pelo MDM, as chaves de criptografia são destruídas com segurança. As chaves são usadas para separar criptograficamente os dados gerenciados listados abaixo:
Contêineres de dados de app: iPhone, iPad, Mac e Apple Vision Pro
Calendário: iPhone, iPad, Mac e Apple Vision Pro
Os dispositivos devem ter iOS 16, iPadOS 16.1, macOS 13 ou visionOS 1.1 ou posterior.
Itens das Chaves: iPhone, iPad, Mac e Apple Vision Pro
Nota: o app de terceiros para Mac deve usar a API de chaves de proteção de dados. Para obter mais informações, consulte a documentação do site Apple Developer kSecUseDataProtectionKeychain.
Anexos do Mail e corpo da mensagem de e-mail: iPhone, iPad, Mac e Apple Vision Pro
Notas: iPhone, iPad, Mac e Apple Vision Pro
Lembretes: iPhone, iPad, Mac e Apple Vision Pro
Os dispositivos devem ter iOS 17, iPadOS 17, macOS 14 ou visionOS 1.1 ou posterior.
Se um usuário tiver uma sessão iniciada com uma Conta Apple pessoal e uma Conta Apple Gerenciada, o recurso Iniciar sessão com a Apple usará automaticamente a Conta Apple Gerenciada para Apps Gerenciados e a Conta Apple pessoal para apps não gerenciados. Ao usar um fluxo de início de sessão no Safari ou SafariWebView em um app gerenciado, o usuário poderá selecionar e digitar sua Conta Apple Gerenciada para associar o início de sessão à sua conta de trabalho.
Os administradores de sistema podem gerenciar apenas contas, ajustes e informações de uma organização fornecidos com o MDM, e nunca uma conta pessoal de usuário. Na verdade, os mesmos recursos que mantêm os dados seguros em Apps Gerenciados de propriedade da organização também impedem que o conteúdo pessoal de um usuário entre no fluxo de dados corporativo.
MDM pode | MDM não pode |
|---|---|
Configurar contas | Ver informações pessoais, dados de uso ou registros |
Acessar o inventário de Apps Gerenciados | Acessar o inventário de apps pessoais |
Remover apenas dados gerenciados | Remover quaisquer dados pessoais |
Instalar e configurar apps | Assumir o gerenciamento de um app pessoal |
Exigir um código | Exigir um código ou senha complexa |
Aplicar certas restrições | Acessar a localização do dispositivo |
Configurar VPN por App | Acessar identificadores exclusivos do dispositivo |
| Apagar remotamente todo o dispositivo |
| Gerenciar o Bloqueio de Ativação |
| Acessar o estado de roaming |
| Ativar o Modo Perdido |
Nota: no iPhone e iPad, administradores podem exigir códigos com um mínimo de seis caracteres e impedir que as pessoas usem códigos simples (como “123456” ou “abcdef”), mas não podem exigir caracteres ou senhas complexas.