تسجيل المستخدم و MDM
تم تصميم تسجيل المستخدم من أجل BYOD —أو عمليات نشر أحضر جهازك الخاص— حيث يكون الجهاز مملوكًا للمستخدم، وليس للمؤسسة. ويعمل مع مزود خدمة بطاقة الهوية (IdP) أو Google Workspace أو Microsoft Entra ID و Apple School Manager أو Apple Business Manager وحل MDM من جهة خارجية. يمكن العمل كذلك مع إدارة الجهاز في Apple Business Essentials.
المراحل الأربع لتسجيل المستخدم في MDM:
اكتشاف الخدمة: يعرّف الجهاز نفسه بحل MDM.
تسجيل المستخدم: يوفر المستخدم بيانات الاعتماد لمزوّد الهوية (IdP) لمصادقة التسجيل في حل MDM.
الرمز المميز للجلسة: يتم إصدار رمز مميز للجلسة إلى الجهاز للسماح بالمصادقة المستمرة.
تسجيل MDM: يتم إرسال ملف تعريف التسجيل إلى الجهاز مع الحمولات التي تم تكوينها بواسطة مسؤول MDM.
تسجيل المستخدم وحسابات Apple المُدارة
يتطلب تسجيل المستخدم حسابات Apple المُدارة. يتم امتلاك هذه الحسابات وإدارتها من قِبَل مؤسسة وتوفر للموظفين الوصول إلى خدمات Apple محددة. بالإضافة إلى ذلك، حسابات Apple المُدارة:
يتم إنشاؤها يدويًا، أو تلقائيًا باستخدام المصادقة الموحدة
تتكامل مع أحد أنظمة معلومات الطلاب (SIS) أو تقوم بتحميل ملفات .csv (مع Apple School Manager فقط)
يمكن كذلك استخدامها لتسجيل الدخول بدور معين في Apple School Manager أو Apple Business Manager أو Apple Business Essentials
عندما يزيل مستخدم ملف تعريف تسجيل، تتم إزالة كل ملفات تعريف التكوين وإعداداتها والتطبيقات المُدارة المستندة إلى ملف تعريف التسجيل هذا معها.
يتم دمج تسجيل المستخدم مع حسابات Apple المُدارة لتأسيس هوية المستخدم على الجهاز. يجب على المستخدم المصادقة بنجاح حتى يكتمل التسجيل. ويمكن استخدام حساب Apple المُدار جنبًا إلى جنب مع حساب Apple الشخصي الذي استخدمه المستخدم لتسجيل الدخول بالفعل، ولا يتفاعل أحدهما مع الآخر.
تسجيل المستخدم والمصادقة الموحدة
بالرغم من أن حسابات Apple المدارة يمكن إنشاؤها يدويًا، فإن المؤسسات يمكنها الاستفادة من المزامنة مع مزود خدمة بطاقة الهوية (IdP) أو Google Workspace أو Microsoft Entra ID وتسجيل المستخدم. لإجراء ذلك، يجب قيام مؤسستك بالآتي أولًا:
إدارة بيانات اعتماد المستخدم باستخدام مزود خدمة بطاقة الهوية (IdP) أو Google Workspace أو Microsoft Entra ID
إذا كان لديك إصدار محلي من Active Directory، فيجب إجراء تكوين إضافي للتحضير للمصادقة الموحدة.
تسجيل المؤسسة في Apple School Manager أو Apple Business Manager أو Apple Business Essentials
إعداد المصادقة الموحدة في Apple School Manager أو Apple Business Manager أو Apple Business Essentials
تكوين حل MDM وربطه بـ Apple School Manager أو Apple Business Manager أو Apple Business Essentials، أو استخدام إدارة الجهاز المتضمنة في Apple Business Essentials
(اختياري) إنشاء حسابات Apple مُدارة
تسجيل المستخدم والتطبيقات المُدارة (macOS)
لقد أضاف تسجيل المستخدم تطبيقات مُدارة إلى macOS (هذه الميزة كانت ممكنة بالفعل مع تسجيل الجهاز و تسجيل الجهاز التلقائي). تستخدم التطبيقات المُدارة التي تستخدم CloudKit حساب Apple مُدارًا مرتبطًا بتسجيل MDM. يجب على مسؤولي MDM إضافة المفتاح InstallAsManaged إلى الأمر InstallApplication. على غرار تطبيقات iOS و iPadOS، يمكن إزالة هذه التطبيقات تلقائيًا عندما يقوم المستخدم بإلغاء التسجيل في MDM.
تسجيل المستخدم والشبكات لكل تطبيق
في iOS 16 و iPadOS 16.1 و visionOS 1.1 أو أحدث، تتوفر الشبكات لكل تطبيق لشبكة VPN (المعروفة باسم VPN لكل تطبيق) وخوادم DNS الوكيلة وفلاتر محتوى الويب للأجهزة المسجلة باستخدام تسجيل المستخدم. يعني ذلك أن حركة مرور الشبكة التي تبدأها التطبيقات المُدارة هي فقط التي تمر من خلال خادم DNS الوكيل أو فلتر محتوى الويب أو كليهما. تظل حركة مرور المستخدم الشخصية منفصلة ولن تتم تصفيتها أو تلقيمها بواسطة مؤسسة. يمكن تحقيق هذا باستخدام زوجي المفتاح-القيمة للحمولات الآتية:
كيفية تسجيل المستخدمين أجهزتهم الشخصية
في iOS 15 و iPadOS 15 و macOS 14 و visionOS 1.1 أو أحدث، يمكن للمؤسسات استخدام عملية تسجيل مستخدم سلسة، مضمنة مباشرةً في تطبيق الإعدادات لتسهيل تسجيل المستخدمين لأجهزتهم الشخصية.
لإجراء ذلك:
على iPhone و iPad و Apple Vision Pro، ينتقل المستخدم إلى الإعدادات > عام > VPN وإدارة الجهاز ثم يحدد الزر "تسجيل الدخول إلى حساب العمل أو المدرسة".
على Mac، ينتقل المستخدم إلى الإعدادات > الخصوصية والأمن > ملفات التعريف ثم يحدد الزر "تسجيل الدخول إلى حساب العمل أو المدرسة".
عند إدخال حساب Apple المُدار الخاص به، يحدد اكتشاف الخدمة رابط التسجيل في حل MDM.
بعد ذلك، يُدخِل المستخدم اسم المستخدم وكلمة السر للمؤسسة. بعد نجاح مصادقة المؤسسة، يُرسَل ملف تعريف التسجيل إلى الجهاز. يتم أيضًا إصدار رمز مميز للجلسة إلى الجهاز للسماح بالتخويل المستمر. ثم يبدأ الجهاز عملية التسجيل، ويطالب المستخدم بتسجيل الدخول باستخدام حساب Apple المُدار الخاص به. على iPhone و iPad و Apple Vision Pro، يمكن تبسيط عملية المصادقة باستخدام تسجيل الدخول الموحد للتسجيل لتقليل مطالبات المصادقة المتكررة.
عند اكتمال التسجيل، يتم عرض الحساب المُدار الجديد بشكل بارز داخل تطبيق الإعدادات (على iPhone و iPad و Apple Vision Pro) وإعدادات النظام (على Mac). يسمح ذلك للمستخدمين باستمرارية الوصول إلى الملفات في حساب iCloud Drive المنشأ باستخدام حساب Apple الشخصي الخاص بهم. يظهر حساب iCloud Drive الخاص بالمؤسسة (المرتبط بحساب Apple المُدار الخاص بالمستخدم) بشكل منفصل في تطبيق الملفات.
على iPhone و iPad و Apple Vision Pro، تتمتع جميع التطبيقات المُدارة والمستندات المُدارة المستندة إلى الويب بإمكانية الوصول إلى iCloud Drive الخاص بالمؤسسة، وبإمكان مسؤول MDM أن يساعد في الفصل بين المستندات الشخصية والمؤسسية المحددة باستخدام قيود محددة. لمزيد من المعلومات، انظر قيود وإمكانات التطبيق المُدار.
يمكن للمستخدمين الاطلاع على تفاصيل حول ما تتم إدارته على أجهزتهم الشخصية ومقدار مساحة تخزين iCloud التي توفرها المؤسسة لهم. نظرًا إلى أن المستخدم يملك الجهاز، يمكن لتسجيل المستخدم تطبيق مجموعة محدودة فقط من الحمولات والقيود على الجهاز. لمزيد من المعلومات، انظر معلومات MDM الخاصة بتسجيل المستخدم.
كيف تفصل Apple بين بيانات المستخدم وبيانات المؤسسة
عند اكتمال تسجيل المستخدم، يتم إنشاء مفاتيح تشفير منفصلة تلقائيًا على الجهاز. إذا تم إلغاء تسجيل الجهاز بواسطة المستخدم أو باستخدام MDM عن بُعد، فسيتم إتلاف مفاتيح التشفير هذه بشكل آمن. تُستخدم المفاتيح لفصل البيانات المدارة المدرجة أدناه بشكل مشفر:
حاويات بيانات التطبيق: iPhone و iPad و Mac و Apple Vision Pro
التقويم: iPhone و iPad و Mac و Apple Vision Pro
يجب أن تكون الأجهزة تعمل بأنظمة iOS 16 و iPadOS 16.1 و macOS 13 و visionOS 1.1 أو أحدث.
عناصر سلسلة المفاتيح: iPhone و iPad و Mac و Apple Vision Pro
ملاحظة: يجب أن يستخدم تطبيق Mac التابع لجهة خارجية واجهة برمجة تطبيقات سلسلة المفاتيح لحماية البيانات. لمزيد من المعلومات، انظر kSecUseDataProtectionKeychain في وثائق مطوري Apple.
مرفقات البريد ونص رسالة البريد: iPhone و iPad و Mac و Apple Vision Pro
الملاحظات: iPhone و iPad و Mac و Apple Vision Pro
التذكيرات: iPhone و iPad و Mac و Apple Vision Pro
يجب أن تكون الأجهزة تعمل بأنظمة iOS 17 و iPadOS 17 و macOS 14 و visionOS 1.1 أو أحدث.
إذا قام المستخدم بتسجيل الدخول باستخدام حساب Apple شخصي وحساب Apple مُدار، فإن تسجيل الدخول باستخدام Apple يستخدم تلقائيًا حساب Apple المُدار للتطبيقات المُدارة وحساب Apple الشخصي للتطبيقات غير المُدارة. عند استخدام تدفق تسجيل الدخول في سفاري أو SafariWebView داخل تطبيق مُدار، يمكن للمستخدم تحديد وإدخال حساب Apple المُدار الخاص به لربط تسجيل الدخول بحساب العمل الخاص به.
يمكن لمسؤولي النظام إدارة الحسابات والإعدادات والمعلومات على مستوى المؤسسة فقط والتي يتم توفيرها من خلال حل MDM، ولا يمكنهم فعل ذلك أبدًا باستخدام الحساب الشخصي للمستخدم. في الواقع، تقوم كذلك الميزات ذاتها التي تحمي البيانات في التطبيقات المُدارة المملوكة للمؤسسة بحماية محتوى المستخدم الشخصي من الدخول في تدفق بيانات الشركة.
يستطيع MDM | لا يستطيع MDM |
|---|---|
تكوين الحسابات | عرض المعلومات الشخصية أو بيانات الاستخدام أو السجلات |
الوصول إلى مخزون التطبيقات المُدارة | الوصول إلى مخزون التطبيقات الشخصية |
إزالة البيانات المُدارة فقط | إزالة أي بيانات شخصية |
تثبيت التطبيقات وتكوينها | تولّي إدارة التطبيقات الشخصية |
المطالبة برمز دخول | المطالبة برمز مرور أو كلمة سر معقدين |
فرض قيود معينة | الوصول إلى موقع الجهاز |
تكوين VPN لكل تطبيق | الوصول إلى معرفات الجهاز الفريدة |
| مسح الجهاز بالكامل عن بُعد |
| إدارة قفل التنشيط |
| الوصول إلى حالة التجوال |
| تشغيل نمط الفقدان |
ملاحظة: على iPhone و iPad، يمكن للمسؤولين طلب رموز دخول تتكون من ستة أحرف كحد أدنى ومنع المستخدمين من استخدام رموز دخول بسيطة (على سبيل المثال، "123456" أو "abcdef")، ولكن لا يمكنهم المطالبة بأحرف أو كلمات سر معقدة.