Apple aygıtları ile hesap temelli kayıt yöntemleri
Hesap Temelli Kullanıcı Kaydı ve Hesap Temelli Aygıt Kaydı, kullanıcıların ve kuruluşların bir Yönetilen Apple Hesabı ile giriş yaparak Apple aygıtlarını iş için ayarlamaları amacıyla sorunsuz ve güvenli bir yol sunar.
Bu yaklaşım, hem Yönetilen Apple Hesabı ’nın hem de kişisel Apple Hesabı’nın tamamen ayrı iş ve kişisel verilerle aynı aygıta giriş yapmasına olanak tanır. Kullanıcılar, kendi kişisel bilgilerinin gizliliğini korur, BT de işle ilgili uygulamaları, ayarları ve hesapları destekler.
Bu ayrımı desteklemek için uygulamaların ve yedeklemelerin işleniş şeklinde şu değişiklikler yapılmıştır:
Tüm konfigürasyonlar ve ayarlar, kayıt profili silindiğinde silinir.
Yönetilen uygulamalar, kayıt silme sırasında her zaman silinir.
Mobil aygıt yönetimi (MDM) çözümüne kaydolmadan önce yüklenen uygulamalar yönetilen uygulama olacak şekilde dönüştürülemez.
Yedeklemeden geri yüklendiğinde MDM kaydı geri yüklenmez.
Kişisel Apple Hesapları ile giriş yapan kullanıcılar, yönetilen uygulama davetini kabul edemez.
Yönetilen Apple Hesapları’nın elle yaratılması mümkün olsa da kuruluşlar IdP, Google Workspace veya Microsoft Entra ID entegrasyonundan yararlanabilir.
Birleştirilmiş kimlik doğrulama hakkında daha fazla bilgi için Apple Okul Yönetimi ile birleştirilmiş kimlik doğrulamaya giriş veya Apple İşletme Yönetimi ile birleştirilmiş kimlik doğrulamaya giriş konularına bakın.
Hesap temelli kayıt işlemi
Kullanıcı, hesap temelli Kullanıcı Kaydı’nı veya hesap temelli Aygıt Kaydı’nı kullanarak aygıtı kaydettirmek için Ayarlar > Genel > VPN ve Aygıt Yönetimi veya Sistem Ayarları > Genel > Aygıt Yönetimi bölümüne gider ve İş veya Okul Hesabına Giriş Yap düğmesini seçer.
Bu, MDM’ye kaydolmak için dört aşamalı bir işlemi başlatır:
Servis bulma: Aygıt, MDM çözümünün kayıt URL’sini belirler.
Kimlik doğrulama ve erişim jetonu: Kullanıcı, kaydı yetkilendirmek için kimlik bilgilerini verir ve devam eden kimlik doğrulama için verilen erişim jetonunu alır.
MDM kaydı: Kayıt profili, aygıta gönderilir ve kullanıcının kayıt işlemini tamamlaması için kendi Yönetilen Apple Hesabı ile giriş yapması istenir.
Devam eden kimlik doğrulama: MDM çözümü, giriş yapmış kullanıcıyı erişim jetonunu kullanarak sürekli olarak doğrular.
1. Aşama: Servis bulma
İlk adımda, servis bulma, MDM çözümünün kayıt URL’sini belirlemeye çalışır. Bunu yapmak için kullanıcı tarafından girilen tanıtıcıyı (örneğin eliza@betterbag.com) kullanır. Alanın, kullanıcının kuruluşu için MDM servisini duyuran tamamen tanımlanmış bir alan adı (FQDN) olmalıdır.
Sonrasında aşağıdakiler gerçekleşir:
1. Adım
Aygıt, sağlanan tanıtıcıda (yukarıdaki örnekte betterbag.com) alanı belirler.
2. Adım
Aygıt, kuruluşun alanından well-known kaynağını (örneğin https://<domain>/.well-known/com.apple.remotemanagement) ister.
İstemci, HTTP GET isteğinin URL yolunda iki sorgu parametresi içerir:
user-identifier: Girilen hesap tanıtıcısının (yukarıdaki örnekte eliza@betterbag.com) değeri.
model-family: Aygıtın model ailesi (örneğin iPhone, iPad, Mac).
Not: Aygıt, gerçek com.apple.remotemanagement dosyasının aygıtın ulaşabileceği başka bir sunucuda barındırılmasını sağlayan HTTP 3xx yeniden yönlendirme isteklerini izler.
iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 veya daha yenisine sahip aygıtlar için servis bulma işlemi, aygıtın Apple Okul Yönetimi’ne veya Apple İşletme Yönetimi’ne bağlı MDM çözümü tarafından belirtilen alternatif bir konumdan well-known kaynağını almasına olanak tanır. Kuruluşun alanındaki well-known kaynağı yine de servis bulma için ilk tercihtir. İsteğin başarısız olması durumunda aygıt, well-known kaynağının alternatif bir konumu olup olmadığını öğrenmek için Apple Okul Yönetimi’ni veya Apple İşletme Yönetimi’ni denetlemeye devam eder. Bu işlem, tanıtıcıda kullanılan alanın Apple Okul Yönetimi’nde veya Apple İşletme Yönetimi’nde doğrulanmasını gerektirir. Daha fazla bilgi için Apple Okul Yönetimi’nde alan ekleme ve doğrulama veya Apple İşletme Yönetimi’nde alan ekleme ve doğrulama konularına bakın.
Bu özelliği kullanmak için alternatif servis bulma URL’sinin Apple Okul Yönetimi’ne veya Apple İşletme Yönetimi’ne bağlı MDM çözümü tarafından ayarlanmasını gerektirir. Aygıt Apple Okul Yönetimi’ne veya Apple İşletme Yönetimi’ne eriştiğinde, aygıt türü kullanılarak o türe atanmış MDM çözümü belirlenir (Otomatik Aygıt Kaydı için saptanmış MDM çözümünü belirleme işleminin aynısı). Atanmış MDM çözümünde ayarlanmış bir servis bulma URL’si varsa aygıt o konumdan well-known kaynağını ister. Saptanmış aygıt atamasını ayarlamak için Apple Okul Yönetimi’nde saptanmış aygıt atamasını ayarlama veya Apple İşletme Yönetimi’nde saptanmış aygıt atamasını ayarlama konularına bakın.
well-known kaynağını MDM çözümü de barındırabilir.
3. Adım
well-known kaynağını barındıran sunucu, aşağıdaki şemaya uyan bir servis bulma JSON belgesi ile yanıtlar:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}MDM kayıt anahtarları, türleri ve açıklamalar aşağıdaki tablodadır. Tüm anahtarlar gereklidir.
Anahtar | Tür | Açıklama |
|---|---|---|
Servers | Dizi | Tek bir girişe sahip bir liste. |
Version | Dizgi | Bu anahtar, kullanılacak kayıt yöntemini belirler ve Kullanıcı Kaydı için |
BaseURL | Dizgi | MDM çözümünün kayıt URL’si. |
Önemli: Sunucu, HTTP yanıtındaki Content-Type başlık alanının application/json olarak ayarlanmasını sağlamalıdır.
4. Adım
Aygıt, BaseURL tarafından belirtilen kayıt URL’sine bir HTTP POST isteği gönderir.
2. Aşama: Kimlik doğrulama ve erişim jetonu
Kullanıcının kayıt işlemini yetkilendirmek için MDM çözümünde kimliğini doğrulaması gerekir. Kimlik doğrulama başarılı olduktan sonra MDM çözümü, aygıta bir erişim jetonu verir. Aygıt, jetonu bundan sonraki istekleri yetkilendirirken kullanmak üzere güvenli bir şekilde saklar.
Erişim jetonu:
Hem başlangıçtaki kimlik doğrulama işleminde hem de MDM kaynaklarına kesintisiz erişimde kilit bir rol oynar
Kullanıcının Yönetilen Apple Hesabı ile MDM çözümü arasında güvenli bir köprü görevi görür
Tüm hesap temelli kayıtlarda iş kaynaklarına kesintisiz erişimi sağlamak için kullanılır
iPhone, iPad ve Apple Vision Pro üzerinde, başlangıçtaki ve devam eden kimlik doğrulama işlemi Kayıt SSO (Kayıtta Tek Oturum Açma) kullanılarak kolaylaştırılabilir ve yinelenen kimlik doğrulama istekleri azaltılabilir. Daha fazla bilgi için iPhone, iPad ve Apple Vision Pro için Kayıt SSO (Tek Oturum Açma) konusuna bakın.
3. Aşama: MDM kaydı
Aygıt, erişim jetonunu kullanarak MDM çözümünde kimliğini doğrulayabilir ve MDM kayıt profiline erişebilir. Bu profil, aygıtın kayıt işlemini gerçekleştirmek için gereksinim duyduğu tüm bilgileri sağlar. Kullanıcının kayıt işlemini tamamlamak için Yönetilen Apple Hesabı ile başarılı bir şekilde giriş yapması gerekir. Kayıt tamamlandıktan sonra Yönetilen Apple Hesabı, Ayarlar’ın ve Sistem Ayarları’nın içinde belirgin olarak görüntülenir.
Kullanıcıların kullanabilecekleri iCloud servisleri hakkında daha fazla bilgi için iCloud servislerine erişme konusuna bakın.
4. Aşama: Devam eden kimlik doğrulama
Kayıttan sonra erişim jetonu etkin kalır ve Authorization HTTP başlığını kullanan tüm MDM isteklerine dahil edilir. Bu, MDM çözümünün kullanıcıyı sürekli olarak doğrulamasına olanak tanır ve yalnızca yetkilendirilmiş kullanıcıların kuruluş kaynaklarına erişebildiğinden emin olunmasını sağlar.
Erişim jetonlarının süresi genellikle belirli bir süre sonra dolar. Bu durumda aygıt, erişim jetonunu yenilemek için kullanıcıdan yeniden kimliğini doğrulamasını isteyebilir. Düzenli yeniden doğrulama, hem kişisel hem de kuruluşa ait aygıtlar için önemli olan güvenliği yüklemeye yardımcı olur. Kayıt SSO sayesinde jeton, kuruluşun kimlik sağlayıcısı aracılığıyla otomatik olarak yenilenir ve kimlik yeniden doğrulanmadan kesintisiz erişim sağlar.
Hesap temelli kayıt yöntemlerinde kullanıcı verileri kuruluş verilerinden nasıl ayrılır?
Hesap temelli Kullanıcı Kaydı veya hesap temelli Aygıt Kaydı tamamlandığında, aygıtta otomatik olarak ayrı şifreleme anahtarları yaratılır. Aygıtın kaydı kullanıcı tarafından ya da MDM kullanılarak uzaktan silinirse bu şifreleme anahtarları güvenli bir şekilde ortadan kaldırılır. Anahtarlar bu tabloda listelenen yönetilen verileri kriptografik olarak ayırmak için kullanılır.
İçerik | Desteklenen minimum işletim sistemi sürümleri | Açıklama | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Yönetilen uygulama verisi kapsayıcıları | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Yönetilen uygulamalar, iCloud veri eşzamanlaması için MDM kaydı ile ilişkili Yönetilen Apple Hesabı’nı kullanır. Bu, CloudKit’i kullanan Mac’te yönetilen uygulamaları ( | |||||||||
Takvim uygulaması | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Etkinlikler ayrıdır. | |||||||||
Anahtar Zinciri öğeleri | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Üçüncü parti Mac uygulaması, Veri Koruma Anahtar Zinciri API’sini kullanmalıdır. Daha fazla bilgi için Apple Geliştirici web sitesinde kSecUseDataProtectionKeychain genel değişkeni konusuna bakın. | |||||||||
Mail uygulaması | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Mail ilişikleri ve e-posta iletisinin gövde bölümü ayrıdır. | |||||||||
Notlar uygulaması | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notlar ayrıdır. | |||||||||
Anımsatıcılar uygulaması | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Anımsatıcılar ayrıdır. | |||||||||
iPhone, iPad ve Apple Vision Pro üzerinde, yönetilen uygulamaların ve yönetilen web tabanlı belgelerin tamamının kuruluşun iCloud Drive’ına erişimi vardır (kullanıcı Yönetilen Apple Hesabı ile giriş yaptıktan sonra Dosyalar uygulamasında ayrı bir şekilde görünür). MDM yöneticisi belirli sınırlamaları kullanarak belirli kişisel ve kurumsal belgeleri ayrı tutmaya yardımcı olabilir. Daha fazla bilgi için Yönetilen Uygulama sınırlamaları ve özellikleri konusuna bakın.
Kullanıcı kişisel bir Apple Hesabı ve Yönetilen Apple Hesabı ile giriş yaptıysa Apple ile Giriş Yap, yönetilen uygulamalar için Yönetilen Apple Hesabı’nı ve yönetilmeyen uygulamalar için kişisel Apple Hesabı’nı otomatik olarak kullanır. Safari’de veya yönetilen bir uygulamanın içindeki SafariWebView’da giriş yapma akışı kullanılırken kullanıcı, yapılan girişi kendi iş veya okul hesabıyla ilişkilendirmek için kendi Yönetilen Apple Hesabı’nı seçip girebilir.
