Înscrierea utilizatorului și MDM
Înscrierea utilizatorului este concepută pentru implementările BYOD (Bring Your Own Device, lucrul pe un dispozitiv propriu), în care utilizatorul (și nu organizația) deține dispozitivul. Aceasta funcționează cu un furnizor de identitate (IdP), Google Workspace sau Microsoft Entra ID și cu Apple School Manager sau Apple Business Manager și o soluție MDM terță. Aceasta funcționează și cu gestionarea dispozitivelor în Apple Business Essentials.
Cele patru etape ale înscrierii utilizatorului în MDM sunt:
Detectare servicii: Dispozitivul se identifică singur la soluția MDM.
Înscrierea utilizatorului: Utilizatorul furnizează acreditările către furnizorul de identitate (IdP) pentru autorizarea înscrierii în soluția MDM.
Token de sesiune: Un token de sesiune este emis pe dispozitiv pentru a permite autentificarea continuă.
Înscrierea MDM: Profilul de înscriere este trimis pe dispozitiv cu sarcinile configurate de administratorul MDM.
Înscrierea utilizatorului și conturile Apple gestionate
Înscrierea utilizatorului necesită conturi Apple gestionate. Acestea sunt deținute și gestionate de către o organizație și le oferă angajaților acces la anumite servicii Apple. În plus, conturile Apple gestionate:
Sunt create manual sau automat, utilizând autentificarea federativă
Sunt integrate cu un Sistem de informații despre elevi (SIS) sau încarcă fișiere .csv (doar Apple School Manager)
Pot fi utilizate și la autentificarea cu un rol alocat din cadrul Apple School Manager, Apple Business Manager sau Apple Business Essentials
Când un utilizator elimină un profil de înscriere, toate profilurile de configurare, configurările acestora și aplicațiile gestionate bazate pe respectivul profil sunt și ele eliminate.
Înscrierea utilizatorului este integrată cu conturile Apple gestionate pentru stabilirea unei identități a utilizatorului pe dispozitiv. Utilizatorul trebuie să se autentifice cu succes pentru ca înscrierea să fie finalizată. Contul Apple gestionat poate fi utilizat alături de contul Apple personal cu care utilizatorul s-a autentificat deja, iar cele două conturi nu interacționează între ele.
Înscrierea utilizatorului și autentificarea federativă
Deși conturile Apple gestionate pot fi create manual, organizațiile pot să beneficieze de sincronizarea cu un IdP, Google Workspace sau Microsoft Entra ID și de înscrierea utilizatorului. Pentru aceasta, este necesar ca organizația dvs. să efectueze mai întâi următoarele:
Gestionarea acreditărilor utilizatorului cu un IdP, Google Workspace sau Microsoft Entra ID
Dacă aveți o versiune locală de Active Directory, pregătirea pentru autentificarea federativă presupune realizarea unei configurări suplimentare.
Înscrieți organizația dvs. în Apple School Manager, Apple Business Manager sau Apple Business Essentials
Configurați autentificarea federativă în Apple School Manager, Apple Business Manager sau Apple Business Essentials
Configurați o soluție MDM și asociați-o la Apple School Manager, Apple Business Manager sau Apple Business Essentials sau utilizați gestionarea dispozitivelor care este integrată direct în Apple Business Essentials
(Opțional) Crearea conturilor Apple gestionate
Înscrierea utilizatorului și aplicațiile gestionate (macOS)
Înscrierea utilizatorilor a adăugat aplicații gestionate la macOS (această funcționalitate era deja posibilă cu înscrierea dispozitivelor și cu înscrierea automată a dispozitivelor). Aplicațiile gestionate care utilizează CloudKit utilizează contul Apple gestionat asociat cu înscrierea MDM. Administratorii MDM trebuie să adauge cheia InstallAsManaged la comanda InstallApplication. Asemenea aplicațiilor iOS și iPadOS, aceste aplicații pot fi eliminate automat când un utilizator își retrage înscrierea în MDM.
Înscrierea utilizatorilor și conectarea la rețea per aplicație
Pe iOS 16, iPadOS 16.1 și visionOS 1.1 sau versiunile ulterioare, conectarea la rețea per aplicație este disponibilă pentru VPN (denumit și VPN per aplicație), proxy‑uri DNS și filtrele de conținut web pentru dispozitivele înregistrate prin înscrierea utilizatorilor. Acest lucru înseamnă că doar traficul în rețea inițiat de aplicațiile gestionate este transmis prin proxy-ul DNS, filtrul de conținut web sau ambele. Traficul personal al utilizatorului rămâne separat și nu va fi filtrat sau transmis prin proxy de către o organizație. Acest lucru se realizează folosind noi perechi cheie-valoare pentru sarcinile următoare:
Înregistrarea de către utilizatori a dispozitivelor personale
Pe iOS 15, iPadOS 15, macOS 14 și visionOS 1.1 sau versiunile ulterioare, organizațiile pot utiliza un proces simplificat pentru înscrierea utilizatorului, integrat direct în aplicația Configurări, pentru a facilita înregistrarea dispozitivelor personale de către utilizatori.
Pentru aceasta:
Pe iPhone, iPad și Apple Vision Pro, utilizatorul navighează la Configurări > General > VPN și gestionare dispozitive și apoi apasă pe butonul “Autentificare în contul de serviciu sau de la școală”.
Pe Mac, utilizatorul navighează la Configurări > Intimitate și securitate > Profiluri și apoi apasă pe butonul “Autentificare în contul de serviciu sau de la școală”.
Când își introduce contul Apple gestionat, detectarea serviciului identifică URL-ul de înscriere al soluției MDM.
Utilizatorul își introduce apoi numele de utilizator și parola corespunzătoare organizației. După ce autentificarea organizației are succes, profilul de înscriere este trimis pe dispozitiv. De asemenea, un token de sesiune este emis pe dispozitiv pentru a permite autorizarea continuă. Dispozitivul începe apoi procesul de înregistrare și invită utilizatorul să se autentifice cu contul său Apple gestionat. Pe iPhone, iPad și Apple Vision Pro, procesul de autentificare poate fi simplificat prin utilizarea autentificării unice pentru înscriere, care reduce solicitările repetate de autentificare.
La finalizarea înscrierii, noul cont gestionat este afișat proeminent în aplicația Configurări (iPhone, iPad și Apple Vision Pro) și în Configurări sistem (Mac). Aceasta le permite utilizatorilor să acceseze în continuare fișierele din iCloud Drive-ul creat cu contul lor Apple personal. iCloud Drive-ul organizației (asociat cu contul Apple gestionat al utilizatorului) apare separat în aplicația Fișiere.
Pe iPhone, iPad și Apple Vision Pro, aplicațiile gestionate și documentele gestionate bazate pe web au acces la iCloud Drive-ul organizației, iar administratorul MDM poate menține separat anumite documente personale și organizaționale folosind restricții specifice. Pentru mai multe informații, consultați Restricțiile și capabilitățile aplicațiilor gestionate.
Utilizatorii pot vedea detalii despre ce anume este gestionat pe dispozitivul lor personal și cât de mult spațiu de stocare iCloud este furnizat de organizația lor. Întrucât utilizatorul deține dispozitivul, înscrierea utilizatorului poate aplica doar un set limitat de sarcini și restricții. Pentru mai multe informații, consultați Informații despre înscrierea utilizatorului la MDM.
Separarea de către Apple a datelor utilizatorului de datele organizației
Când înscrierea utilizatorului este finalizată, pe dispozitiv sunt create automat chei separate de criptare. Dacă înscrierea dispozitivului este anulată de către utilizator sau de la distanță, utilizând MDM, cheile de criptare respective sunt distruse în mod securizat. Cheile sunt utilizate pentru a separa criptografic datele gestionate listate mai jos:
Containere pentru datele aplicațiilor: iPhone, iPad, Mac și Apple Vision Pro
Calendar: iPhone, iPad, Mac și Apple Vision Pro
Dispozitivele trebuie să ruleze iOS 16, iPadOS 16.1, macOS 13 și visionOS 1.1 sau versiuni ulterioare.
Articole de portchei: iPhone, iPad, Mac și Apple Vision Pro
Notă: Aplicația terță pentru Mac trebuie să utilizeze API‑ul portcheiului de protecție a datelor. Pentru mai multe informații, consultați documentația pentru dezvoltatori Apple kSecUseDataProtectionKeychain.
Fișiere atașate la Mail și corpul mesajului de e‑mail: iPhone, iPad, Mac și Apple Vision Pro
Notițe: iPhone, iPad, Mac și Apple Vision Pro
Mementouri: iPhone, iPad, Mac și Apple Vision Pro
Dispozitivele trebuie să ruleze iOS 17, iPadOS 17, macOS 14 și visionOS 1.1 sau versiuni ulterioare.
Dacă un utilizator este autentificat cu un cont Apple personal și cu contul Apple gestionat, Autentificare cu Apple utilizează automat contul Apple gestionat pentru aplicațiile gestionate și contul Apple personal pentru aplicațiile negestionate. Când utilizează un flux de autentificare în Safari sau SafariWebView într-o aplicație gestionată, utilizatorul poate selecta și își poate introduce contul Apple gestionat pentru a asocia autentificarea cu contul său profesional.
Administratorii de sistem pot administra doar conturile, configurările și informațiile unei organizații puse la dispoziție în MDM, niciodată contul personal al unui utilizator. De fapt, aceleași funcționalități care păstrează datele securizate în cadrul aplicațiilor gestionate deținute de o organizație protejează și conținutul personal al unui utilizator de pătrunderea în fluxul de date corporativ.
Acțiuni MDM permise | Acțiuni MDM interzise |
|---|---|
Configurarea conturilor | Vizualizarea informațiilor, a datelor de utilizare sau a jurnalelor personale |
Accesarea inventarului de aplicații gestionate | Accesarea inventarului de aplicații personale |
Eliminarea exclusiv a datelor gestionate | Eliminarea datelor personale |
Instalarea și configurarea aplicațiilor | Controlul gestionării unei aplicații personale |
Solicitarea unui cod de acces | Solicitarea unui cod de acces complex sau a unei parole complexe |
Impunerea anumitor restricții | Accesarea localizării dispozitivului |
Configurarea VPN per aplicație | Accesarea identificatorilor de dispozitiv unici |
| Ștergerea completă a întregului dispozitiv |
| Gestionarea blocării activării |
| Accesarea stării roamingului |
| Activarea modului Pierdut |
Notă: Pentru iPhone și iPad, administratorii pot solicita coduri de acces formate din cel puțin șase caractere și pot împiedica utilizatorii să utilizeze coduri de acces simple (de exemplu, “123456” sau “abcdef”), dar nu pot solicita caractere sau parole complexe.