Εγγραφή χρήστη και MDM
Η εγγραφή χρήστη έχει σχεδιαστεί για BYOD –ή αναπτύξεις με χρήση εξατομικευμένων συσκευών– όπου η συσκευή ανήκει στον χρήστη και όχι στον οργανισμό. Λειτουργεί με έναν πάροχο ταυτότητας (IdP), το Google Workspace ή το Microsoft Entra ID, και το Apple School Manager ή το Apple Business Manager και μια τρίτη λύση MDM. Λειτουργεί επίσης με τη διαχείριση συσκευών στο Apple Business Essentials.
Τα τέσσερα στάδια της Εγγραφής χρήστη σε MDM είναι:
Ανακάλυψη υπηρεσίας: Η συσκευή ταυτοποιείται στη λύση MDM.
Εγγραφή χρήστη: Ο χρήστης παρέχει διαπιστευτήρια σε έναν πάροχο ταυτότητας (IdP) για εξουσιοδότηση για εγγραφή στη λύση MDM.
Διακριτικό συνεδρίας: Ένα διακριτικό συνεδρίας εκδίδεται στη συσκευή για να επιτρέψει τον συνεχιζόμενο έλεγχο ταυτότητας.
Εγγραφή MDM: Το προφίλ εγγραφής αποστέλλεται στη συσκευή με διαμορφωμένα φορτία από τον διαχειριστή MDM.
Εγγραφή χρήστη και Διαχειριζόμενοι λογαριασμοί Apple
Η Εγγραφή χρήστη απαιτεί Διαχειριζόμενους λογαριασμούς Apple. Αυτά ανήκουν σε έναν οργανισμό ο οποίος τα διαχειρίζεται και παρέχουν στους υπαλλήλους πρόσβαση σε συγκεκριμένες υπηρεσίες Apple. Επιπλέον, οι Διαχειριζόμενοι λογαριασμοί Apple:
Δημιουργούνται χειροκίνητα, ή αυτόματα μέσω ομόσπονδου ελέγχου ταυτότητας
Ενσωματώνονται με ένα Σύστημα Πληροφοριών Μαθητών (Student Information System – SIS) ή ανεβάζουν αρχεία .csv (μόνο Apple School Manager)
Μπορούν επίσης να χρησιμοποιηθούν για σύνδεση με έναν εκχωρημένο ρόλο στο Apple School Manager, το Apple Business Manager ή το Apple Business Essentials
Όταν ένας χρήστης αφαιρεί ένα προφίλ εγγραφής, αφαιρούνται μαζί του και όλα τα προφίλ ρύθμισης παραμέτρων, οι ρυθμίσεις τους και οι Διαχειριζόμενες εφαρμογές που βασίζονται στο συγκεκριμένο προφίλ εγγραφής.
Η Εγγραφή χρήστη είναι ενσωματωμένη στους Διαχειριζόμενους λογαριασμούς Apple για δημιουργία μιας ταυτότητας χρήστη στη συσκευή. Ο χρήστης πρέπει να πραγματοποιήσει επιτυχή έλεγχο ταυτότητας για να ολοκληρωθεί η εγγραφή. Ο διαχειριζόμενος λογαριασμός Apple μπορεί να χρησιμοποιηθεί παράλληλα με τον προσωπικό λογαριασμό Apple με τον οποίο έχει ήδη συνδεθεί ο χρήστης. Αυτά τα δύο δεν αλληλεπιδρούν μεταξύ τους.
Εγγραφή χρήστη και ομόσπονδος έλεγχος ταυτότητας
Αν και οι Διαχειριζόμενοι λογαριασμοί Apple μπορούν να δημιουργηθούν χειροκίνητα, οι οργανισμοί μπορούν να επωφεληθούν από τον συγχρονισμό με έναν πάροχο ταυτότητας (IdP), το Google Workspace ή το Microsoft Entra ID και την Εγγραφή χρήστη. Για να το κάνει, ο οργανισμός σας πρέπει πρώτα να κάνει τα εξής:
Διαχείριση διακριτικών χρηστών με πάροχο ταυτότητας (IdP), το Google Workspace ή το Microsoft Entra ID
Αν διαθέτετε μια επιτόπια έκδοση του Active Directory, απαιτείται πρόσθετη διαμόρφωση για να είναι δυνατός ο ομόσπονδος έλεγχος ταυτότητας.
Εγγράψτε τον οργανισμό σας στο Apple School Manager, το Apple Business Manager ή το Apple Business Essentials
Διαμορφώστε τον ομόσπονδο έλεγχο ταυτότητας στο Apple School Manager, το Apple Business Manager ή το Apple Business Essentials
Διαμορφώστε μια λύση MDM και συνδέστε τη με το Apple School Manager, το Apple Business Manager ή το Apple Business Essentials, ή χρησιμοποιήστε τη διαχείριση συσκευών που είναι ενσωματωμένη στο Apple Business Essentials
(Προαιρετικά) Δημιουργήστε Διαχειριζόμενους λογαριασμούς Apple
Εγγραφή χρήστη και Διαχειριζόμενες εφαρμογές (macOS)
Η Εγγραφή χρήστη έχει προσθέσει Διαχειριζόμενες εφαρμογές στο macOS (αυτή η δυνατότητα ήταν ήδη διαθέσιμη με την Εγγραφή συσκευής και την Αυτοματοποιημένη εγγραφή συσκευής). Οι Διαχειριζόμενες εφαρμογές που χρησιμοποιούν το CloudKit χρησιμοποιούν τον Διαχειριζόμενο λογαριασμό Apple που σχετίζεται με την εγγραφή MDM. Οι διαχειριστές MDM πρέπει να προσθέσουν το κλειδί InstallAsManaged στην εντολή InstallApplication. Όπως και οι εφαρμογές iOS και iPadOS, αυτές οι εφαρμογές μπορούν να αφαιρεθούν αυτόματα όταν ένας χρήστης καταργήσει την εγγραφή του από τη λύση MDM.
Εγγραφή χρήστη και δικτύωση ανά εφαρμογή
Σε iOS 16, iPadOS 16.1 και visionOS 1.1 ή μεταγενέστερη έκδοση, η δικτύωση ανά εφαρμογή είναι διαθέσιμη για VPN (γνωστό ως VPN ανά εφαρμογή), μεσολαβητές DNS και φίλτρα περιεχομένου Ιστού για συσκευές που έχουν εγγραφεί με την Εγγραφή χρήστη. Αυτό σημαίνει ότι μόνο η δικτυακή κίνηση που ξεκινά από διαχειριζόμενες εφαρμογές μεταβιβάζεται μέσω του μεσολαβητή DNS, του φίλτρου περιεχομένου Ιστού ή και των δύο. Η προσωπική κίνηση ενός χρήστη παραμένει διαχωρισμένη και δεν φιλτράρεται ούτε στέλνεται σε μεσολαβητή από έναν οργανισμό. Αυτό επιτυγχάνεται με τη χρήση νέων ζευγών κλειδιού-τιμής για τα ακόλουθα φορτία:
Πώς οι χρήστες εγγράφουν τις προσωπικές συσκευές τους
Σε iOS 15, iPadOS 15, macOS 14 και visionOS 1.1 ή μεταγενέστερη έκδοση, οι οργανισμοί μπορούν να χρησιμοποιούν μια βελτιστοποιημένη διαδικασία Εγγραφής χρήστη, ενσωματωμένη απευθείας στην εφαρμογή «Ρυθμίσεις», ώστε να είναι ευκολότερο για τους χρήστες να εγγράψουν τις προσωπικές συσκευές τους.
Για να το κάνετε αυτό:
Σε iPhone, iPad και Apple Vision Pro, ο χρήστης πρέπει να μεταβεί στις «Ρυθμίσεις» > «Γενικά» > «VPN και διαχείριση συσκευών» και έπειτα να αγγίξει το κουμπί «Σύνδεση σε λογαριασμό εργασίας ή σχολείου».
Σε Mac, ο χρήστης πρέπει να μεταβεί στις «Ρυθμίσεις» > «Απόρρητο και ασφάλεια» > «Προφίλ» και έπειτα να αγγίξει το κουμπί «Σύνδεση σε λογαριασμό εργασίας ή σχολείου».
Όταν εισαγάγει τον διαχειριζόμενο λογαριασμό Apple του, η ανακάλυψη υπηρεσίας αναγνωρίζει τη διεύθυνση URL της λύσης MDM.
Κατόπιν, ο χρήστης εισαγάγει το όνομα χρήστη και το συνθηματικό του οργανισμού του. Μετά τον επιτυχή έλεγχο ταυτότητας του οργανισμού, το προφίλ εγγραφής αποστέλλεται στη συσκευή. Ένα διακριτικό συνεδρίας εκδίδεται επίσης στη συσκευή για να επιτρέψει τη συνεχιζόμενη εξουσιοδότηση. Η συσκευή ξεκινά τη διαδικασία εγγραφής και ζητά από τον χρήστη να συνδεθεί με τον Διαχειριζόμενο λογαριασμό Apple του. Σε iPhone, iPad και Apple Vision Pro, η διαδικασία ελέγχου ταυτότητας μπορεί να βελτιστοποιηθεί με τη χρήση της Ενιαίας σύνδεσης εγγραφής για μείωση των επαναλαμβανόμενων προτροπών ελέγχου ταυτότητας.
Όταν ολοκληρωθεί η εγγραφή, ο νέος διαχειριζόμενος λογαριασμός εμφανίζεται σε εμφανή θέση στην εφαρμογή «Ρυθμίσεις» (iPhone, iPad και Apple Vision Pro) και στις Ρυθμίσεις συστήματος (Mac). Αυτό επιτρέπει στους χρήστες να εξακολουθούν να έχουν πρόσβαση σε αρχεία στο προσωπικό τους iCloud Drive που δημιουργήθηκε από τον λογαριασμό Apple. Το iCloud Drive για τον οργανισμό (που είναι συσχετισμένο με τον Διαχειριζόμενο λογαριασμό Apple του χρήστη) εμφανίζεται ξεχωριστά στην εφαρμογή «Αρχεία».
Σε iPhone, iPad και Apple Vision Pro, οι Διαχειριζόμενες εφαρμογές και τα διαχειριζόμενα διαδικτυακά έγγραφα έχουν όλα πρόσβαση στο iCloud Drive του οργανισμού, αλλά ο διαχειριστής MDM μπορεί να βοηθήσει να διατηρούνται ξεχωριστά συγκεκριμένα προσωπικά έγγραφα και έγγραφα του οργανισμού χρησιμοποιώντας συγκεκριμένους περιορισμούς. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Περιορισμοί και δυνατότητες διαχειριζόμενων εφαρμογών.
Οι χρήστες μπορούν να δουν λεπτομέρειες σχετικά με το τι είναι υπό διαχείριση στην προσωπική συσκευή τους και πόσος χώρος αποθήκευσης iCloud παρέχεται από τον οργανισμό τους. Επειδή ιδιοκτήτης της συσκευής είναι ο χρήστης, η εγγραφή χρήστη μπορεί να εφαρμόσει στη συσκευή μόνο ένα περιορισμένο σύνολο φορτίων και περιορισμών. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Πληροφορίες MDM εγγραφής χρήστη.
Πώς η Apple διαχωρίζει τα δεδομένα χρήστη από τα δεδομένα οργανισμού
Όταν ολοκληρωθεί η Εγγραφή χρήστη, δημιουργούνται αυτόματα ξεχωριστά κλειδιά κρυπτογράφησης στη συσκευή. Αν καταργηθεί η συσκευή της εγγραφής από τον χρήστη ή εξ αποστάσεως μέσω MDM, αυτά τα κλειδιά κρυπτογράφησης καταστρέφονται με ασφάλεια. Τα κλειδιά χρησιμοποιούνται για κρυπτογραφικό διαχωρισμό των διαχειριζόμενων δεδομένων που παρατίθενται παρακάτω:
Περιέκτες δεδομένων εφαρμογών: iPhone, iPad, Mac και Apple Vision Pro
Ημερολόγιο: iPhone, iPad, Mac και Apple Vision Pro
Οι συσκευές πρέπει να διαθέτουν το iOS 16, iPadOS 16.1, macOS 13, visionOS 1.1 ή μεταγενέστερη έκδοση.
Στοιχεία κλειδοθήκης: iPhone, iPad, Mac και Apple Vision Pro
Σημείωση: Η εφαρμογή Mac τρίτων πρέπει να χρησιμοποιεί το API κλειδοθήκης προστασίας δεδομένων. Για περισσότερες πληροφορίες, ανατρέξτε στην τεκμηρίωση Apple Developer kSecUseDataProtectionKeychain.
Συνημμένα Mail και το κύριο τμήμα των αντίστοιχων μηνυμάτων email: iPhone, iPad, Mac και Apple Vision Pro
Σημειώσεις: iPhone, iPad, Mac και Apple Vision Pro
Υπομνήσεις: iPhone, iPad, Mac και Apple Vision Pro
Οι συσκευές πρέπει να διαθέτουν το iOS 17, iPadOS 17, macOS 14, visionOS 1.1 ή μεταγενέστερη έκδοση.
Αν ένας χρήστης έχει συνδεθεί με προσωπικό λογαριασμό Apple και Διαχειριζόμενο λογαριασμό Apple, η Σύνδεση μέσω Apple χρησιμοποιεί αυτόματα τον Διαχειριζόμενο λογαριασμό Apple για τις διαχειριζόμενες εφαρμογές, και τον προσωπικό λογαριασμό Apple για τις μη διαχειριζόμενες εφαρμογές. Όταν χρησιμοποιείτε μια ροή σύνδεσης στο Safari ή στο SafariWebView μέσα σε μια διαχειριζόμενη εφαρμογή, ο χρήστης μπορεί να επιλέξει και να εισαγάγει τον Διαχειριζόμενο λογαριασμό Apple του για να συσχετίσει τη σύνδεση με τον εταιρικό λογαριασμό του.
Οι διαχειριστές συστήματος μπορούν να διαχειρίζονται μόνο τους λογαριασμούς, τις ρυθμίσεις και τις πληροφορίες ενός οργανισμού που παρέχονται με τη λύση MDM, ενώ δεν μπορούν να διαχειριστούν ποτέ προσωπικούς λογαριασμούς χρηστών. Μάλιστα, οι ίδιες δυνατότητες που διατηρούν ασφαλή τα δεδομένα σε Διαχειριζόμενες εφαρμογές που ανήκουν στον οργανισμό, αποτρέπουν επίσης την είσοδο των προσωπικών δεδομένων του χρήστη στη ροή εταιρικών δεδομένων.
Η λύση MDM μπορεί να κάνει τα εξής | Η λύση MDM δεν μπορεί να κάνει τα εξής |
|---|---|
Διαμόρφωση λογαριασμών | Εμφάνιση προσωπικών πληροφοριών, δεδομένων χρήσης ή αρχείων καταγραφής |
Πρόσβαση καταλόγου Διαχειριζόμενων εφαρμογών | Πρόσβαση καταλόγου προσωπικών εφαρμογών |
Αφαίρεση μόνο διαχειριζόμενων δεδομένων | Αφαίρεση προσωπικών δεδομένων |
Εγκατάσταση και διαμόρφωση εφαρμογών | Ανάληψη της διαχείρισης μιας προσωπικής εφαρμογής |
Απαίτηση συνθηματικού | Απαίτηση πολύπλοκου κωδικού ή συνθηματικού |
Επιβολή συγκεκριμένων περιορισμών | Πρόσβαση στην τοποθεσία συσκευής |
Διαμόρφωση VPN ανά εφαρμογή | Πρόσβαση σε μοναδικά αναγνωριστικά συσκευών |
| Απομακρυσμένο σβήσιμο ολόκληρης της συσκευής |
| Διαχείριση Κλειδώματος ενεργοποίησης |
| Πρόσβαση σε κατάσταση περιαγωγής |
| Ενεργοποίηση της Απώλειας |
Σημείωση: Για iPhone και iPad, οι διαχειριστές μπορούν να απαιτήσουν κωδικούς με τουλάχιστον 'εξι χαρακτήρες και να μην επιτρέψουν στους χρήστες τη χρήση απλών κωδικών (π.χ. 123456 ή abcdef), αλλά δεν μπορούν να απαιτήσουν σύνθετους χαρακτήρες ή συνθηματικά.