Metody registrace na zařízeních Apple prostřednictvím účtů
Registrace uživatelů prostřednictvím účtů a registrace zařízení prostřednictvím účtů nabízí uživatelům a organizacím bezproblémový a bezpečný způsob nastavení zařízení Apple pro práci přihlášením ke spravovanému účtu Apple.
Tento přístup umožňuje přihlásit se na témže zařízení jak ke spravovanému účtu Apple, tak také k osobnímu účtu Apple, přičemž pracovní a osobní data jsou zcela oddělená. Uživatelé si uchovají v soukromí své osobní údaje, zatímco IT oddělení podporuje pracovní aplikace, volby nastavení a účty.
S cílem podpořit toto oddělení byly provedeny následující změny ve způsobu práce s aplikacemi a zálohami:
Při odstranění profilu registrace se odstraní všechny položky konfigurace a nastavení.
Spravované aplikace jsou při zrušení registrace vždy odstraněny.
Aplikace, které byly nainstalované před registrací do služby správy mobilních zařízení (MDM), nelze na spravované aplikace převést.
Obnovení ze zálohy neobnoví registraci v MDM.
Uživatelé, kteří se přihlásí pomocí svého osobního účtu Apple, nemůžou přijmout pozvánku k distribuci spravovaných aplikací.
Přestože spravované účty Apple lze vytvořit ručně, můžou organizace využít integraci prostřednictvím IdP, služby Google Workspace nebo Microsoft Entra ID.
Další informace o sdruženém ověřování totožnosti najdete v tématu Úvod do sdruženého ověřování totožnosti pomocí Apple School Manageru nebo Úvod do sdruženého ověřování totožnosti pomocí Apple Business Manageru.
Proces registrace prostřednictvím účtů
Pokud chce uživatel zaregistrovat zařízení v rámci registrace uživatele prostřednictvím účtů nebo registrace zařízení prostřednictvím účtů, musí přejít do oddílu Nastavení > Obecné > VPN a správa zařízení, resp. Nastavení systému > Obecné > Správa zařízení a pak vybrat tlačítko „Přihlásit se k pracovnímu nebo školnímu účtu“.
Tím se spustí čtyřfázový proces registrace do MDM:
Zjišťování služby: Zařízení určí registrační URL pro službu MDM.
Ověřování totožnosti a přístupový token: Uživatel poskytne údaje pověření pro autorizaci v rámci registrace a získá přístupový token pro průběžné ověřování totožnosti.
Registrace v MDM: Do zařízení se odešle registrační profil a registrace se dokončí tak, že je uživatel vyzván k přihlášení pomocí svého spravovaného účtu Apple.
Průběžné ověřování totožnosti: Služba MDM průběžně ověřuje přihlášeného uživatele prostřednictvím přístupového tokenu.
Fáze 1: Zjišťování služby
V prvním kroku se zjišťovací modul služby pokouší identifikovat registrační URL služby MDM. K tomu použije identifikátor zadaný uživatelem, například eliza@betterbag.com. Jako doménu je nutné zadat úplný název domény (FQDN), který inzeruje službu MDM pro organizaci uživatele.
Pak následují tyto kroky:
Krok 1
Zařízení v obdrženém identifikátoru identifikuje doménu (v uvedeném příkladu betterbag.com).
Krok 2
Zařízení si vyžádá známý prostředek z domény organizace – například https://<domain>/.well-known/com.apple.remotemanagement.
Klient do cesty URL požadavku HTTP GET zahrne dva parametry požadavku:
iuser-identifier: Hodnota zadaného identifikátoru účtu (v uvedeném příkladu eliza@betterbag.com).
model-family: Modelová řada zařízení (například iPhone, iPad, Mac).
Poznámka: Zařízení se řídí požadavky na přesměrování HTTP 3xx, což umožňuje, aby vlastní soubor com.apple.remotemanagement byl umístěn na jiném hostitelském serveru dosažitelném ze zařízení.
V případě zařízení se systémem iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 nebo novějším může díky procesu zjišťování služeb toto zařízení načíst známý prostředek z alternativního umístění určeného službou MDM propojenou s Apple School Managerem nebo Apple Business Managerem. První preferovanou volbou pro proces zjišťování služeb je nadále známý prostředek v doméně organizace. V případě neúspěšného zpracování požadavku zkontroluje zařízení v Apple School Manageru nebo Apple Business Manageru alternativní umístění známého prostředku. Tento proces vyžaduje, aby doména použitá v identifikátoru byla ověřena v Apple School Manageru nebo Apple Business Manageru. Další informace viz Přidání a ověření domény v Apple School Manageru nebo Přidání a ověření domény v Apple Business Manageru.
Aby bylo možné tuto funkci využívat, musí být ve službě MDM propojené s Apple Business Managerem nebo Apple School Managerem nakonfigurována adresa URL pro zjišťování alternativních služeb. Když se zařízení spojí s Apple School Managerem nebo Apple Business Managerem, podle typu zařízení se určí přiřazená služba MDM pro daný typ – stejným postupem se určí výchozí služba MDM pro automatickou registraci zařízení. Pokud pro přiřazenou službu MDM existuje nakonfigurovaná adresa URL pro zjišťování služeb, zařízení si z tohoto umístění vyžádá známý prostředek. Postup pro nastavení výchozího přiřazení zařízení viz Nastavení výchozího přiřazení zařízení v Apple School Manageru nebo Nastavení výchozího přiřazení zařízení v Apple Business Manageru.
Hostitelem známého prostředku může být také služba MDM.
Krok 3
Server, který je hostitelem známého prostředku, odpoví zasláním dokumentu JSON pro zjišťování služeb, který odpovídá následujícímu schématu:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}V následující tabulce jsou uvedeny klíče pro registraci ve službě MDM, jejich typy a popisy. Všechny klíče jsou povinné.
Klíč | Typ | Popis |
|---|---|---|
Servery | Pole | Seznam s jedinou položkou. |
Verze | Řetězec | Tento klíč určuje metodu registrace. Musí být buď |
BaseURL | Řetězec | Registrační URL pro službu MDM. |
Důležité: Server musí zajistit, aby pole záhlaví Content-Type v odezvě HTTP bylo nastaveno na application/json.
Krok 4
Zařízení odešle požadavek HTTP POST na registrační URL zadané parametrem BaseURL.
Fáze 2: Ověřování totožnosti a přístupový token
Aby bylo možné autorizovat registraci, musí uživatel ve službě MDM ověřit svou totožnost. Po úspěšném ověření totožnosti služba MDM vydá přístupový token pro zařízení. Token se v zařízení bezpečně uloží pro použití při autorizaci následných požadavků.
Přístupový token:
Je ústředním prvkem procesu počátečního ověření totožnosti i průběžného přístupu k prostředkům MDM
Slouží jako bezpečnostní přemostění mezi spravovaným účtem Apple uživatele a službou MDM
Umožňuje nepřetržitý přístup k pracovním prostředkům pro všechny registrace prováděné prostřednictvím účtů
Na iPhonu, iPadu a Apple Vision Pro je možné počáteční i průběžný proces ověřování totožnosti zjednodušit pomocí registračního SSO (jednotného přihlášení pro registraci), což omezí opakované zobrazování výzev k ověření. Další informace viz Jednotné přihlášení pro registraci pro iPhone, iPad a Apple Vision Pro.
Fáze 3: Registrace v MDM
Pomocí přístupového tokenu může zařízení ověřit svou totožnost ve službě MDM a získat přístup k registračnímu profilu MDM. Tento profil obsahuje všechny informace, které zařízení potřebuje k provedení registrace. Aby bylo možné dokončit registraci, musí se uživatel úspěšně přihlásit pomocí svého spravovaného účtu Apple. Po dokončení registrace se spravovaný účet Apple zobrazí zvýrazněným způsobem v Nastavení a Nastavení systému.
Další informace o tom, jaké služby iCloudu jsou uživatelům dostupné, viz Přístup k službám iCloudu.
Fáze 4: Průběžné ověřování totožnosti
Po registraci zůstává přístupový token aktivní a je zahrnován do všech požadavků na službu MDM prostřednictvím záhlaví HTTP Authorization. To službě MDM umožňuje průběžně ověřovat totožnost uživatele a pomáhá zajistit, aby k prostředkům organizace měli přístup pouze oprávnění uživatelé.
Platnost přístupových tokenů obvykle vyprší po uplynutí nastavené doby. Jakmile k tomu dojde, může zařízení vyzvat uživatele k novému ověření totožnosti a obnově přístupového tokenu. Pravidelně opakované ověřování totožnosti napomáhá k zajištění zabezpečení pro nahrávání dat, což je důležité pro zařízení jak v osobním vlastnictví, tak ve vlastnictví organizací. Při používání jednotného přihlášení pro registraci se tokeny obnovují automaticky prostřednictvím poskytovatele identit pro organizaci, což zajišťuje nepřerušený přístup bez nutnosti opětovného ověřování.
Jak se uživatelská data oddělují od dat organizace pomocí metod registrace prováděných prostřednictvím účtů
Po dokončení registrace uživatele nebo zařízení prostřednictvím účtů se v zařízení automaticky vytvoří oddělené šifrovací klíče. Pokud uživatel nebo vzdálená služba MDM registraci zruší, tyto šifrovací klíče budou bezpečně zničeny. Klíče se používají ke kryptografickému oddělení spravovaných dat uvedených v této tabulce.
Obsah | Minimální podporované verze operačních systémů | Popis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Kontejnery dat spravovaných aplikací | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Spravované aplikace provádějí synchronizaci dat na iCloudu za pomoci spravovaného účtu Apple sdruženého s MDM registrací. Na Macu, který používá CloudKit, to zahrnuje spravované aplikace (nainstalované tak, že klíč | |||||||||
Aplikace Kalendář | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Události jsou oddělené. | |||||||||
Položky svazků klíčů | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Aplikace pro Mac poskytované nezávislým dodavatelem musejí používat rozhraní API klíčenky pro ochranu dat. Další informace najdete v oddílu Global Variable kSecUseDataProtectionKeychain na webových stránkách Apple Developer. | |||||||||
Aplikace Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | E‑mailové přílohy a vlastní text e‑mailových zpráv jsou oddělené. | |||||||||
Aplikace Poznámky | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Poznámky jsou oddělené. | |||||||||
Aplikace Připomínky | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Připomínky jsou oddělené. | |||||||||
Na iPhonu, iPadu a Apple Vision Pro mají všechny spravované aplikace a spravované webové dokumenty přístup na iCloud Drive organizace (který se zobrazí odděleně v aplikaci Soubory, jakmile se uživatel přihlásí ke svému spravovanému účtu Apple). Správce MDM může prostřednictvím jednotlivých omezení udržovat a spravovat specifické dokumenty uživatelů a organizace odděleně. Další informace viz Omezení a možnosti spravovaných aplikací.
Pokud je uživatel přihlášený pod osobním účtem Apple a spravovaným účtem Apple, přihlášení přes Apple automaticky použije spravovaný účet Apple pro spravované aplikace a osobní účet Apple pro nespravované aplikace. Při použití přihlašovacího procesu v Safari nebo SafariWebView v rámci spravované aplikace může uživatel vybrat a zadat svůj spravovaný účet Apple a přidružit tak přihlášení ke svému pracovnímu nebo školnímu účtu.
