Gebruikersinschrijving en MDM
Gebruikersinschrijving is bedoeld voor BYOD-implementaties (Bring Your Own Device), waarbij het apparaat het eigendom is van de gebruiker en niet van de organisatie. Dit type inschrijving werkt met een identiteitsprovider (IdP), Google Workspace of Microsoft Entra ID en Apple School Manager of Apple Business Manager plus een MDM-oplossing van een andere leverancier. De voorziening werkt ook met apparaatbeheer in Apple Business Essentials.
Gebruikersinschrijving bij MDM bestaat uit de volgende vier fasen:
Detectie voorzieningen: Het apparaat maakt zichzelf bekend bij de MDM-oplossing.
Gebruikersinschrijving: De gebruiker verstrekt inloggegevens aan een identiteitsprovider (IdP) om te worden geauthenticeerd voor inschrijving bij de MDM-oplossing.
Sessietoken: Er wordt een sessietoken aan het apparaat verstrekt om doorlopende authenticatie toe te staan.
MDM-inschrijving: Het inschrijvingsprofiel wordt naar het apparaat verstuurd met payloads die door de MDM-beheerder zijn geconfigureerd.
Gebruikersinschrijving en beheerde Apple Accounts
Voor gebruikersinschrijving zijn beheerde Apple Accounts vereist. Met deze beheerde Apple ID's, waarvan een organisatie de eigenaar en beheerder is, kunnen gebruikers toegang krijgen tot bepaalde Apple voorzieningen. Daarnaast geldt het volgende voor beheerde Apple Accounts:
Ze kunnen handmatig worden aangemaakt of automatisch met behulp van gebundelde authenticatie worden aangemaakt
Ze kunnen worden geïntegreerd met een studenteninformatiesysteem (SIS) of worden geüpload via .csv-bestanden (alleen van toepassing op Apple School Manager)
Ze kunnen ook worden gebruikt om met een toegewezen rol in te loggen bij Apple School Manager, Apple Business Manager of Apple Business Essentials
Wanneer een gebruiker een inschrijvingsprofiel verwijdert, worden alle configuratieprofielen en de bijbehorende instellingen eveneens verwijderd, net als de beheerde apps die op dat inschrijvingsprofiel zijn gebaseerd.
Gebruikersinschrijving is geïntegreerd met beheerde Apple Accounts om een gebruikersidentiteit op het apparaat in te stellen. De gebruiker moet zich authenticeren om de inschrijving te voltooien. De beheerde Apple Account kan worden gebruikt naast de persoonlijke Apple Account waarmee de gebruiker al is ingelogd. Er is geen interactie tussen de twee Apple Accounts.
Gebruikersinschrijving en gebundelde authenticatie
Beheerde Apple Accounts kunnen handmatig worden aangemaakt, maar organisaties hebben ook de mogelijkheid om te synchroniseren met een IdP, Google Workspace of Microsoft Entra ID en gebruikersinschrijving. Hiervoor moet je organisatie eerst:
Inloggegevens van gebruikers beheren met een IdP, Google Workspace of Microsoft Entra ID
Als je een lokale versie van Active Directory hebt, is er extra configuratie nodig om gebundelde authenticatie voor te bereiden.
De organisatie inschrijven bij Apple School Manager, Apple Business Manager of Apple Business Essentials
Gebundelde authenticatie instellen Apple School Manager, Apple Business Manager of Apple Business Essentials
Een MDM-oplossing configureren en deze koppelen aan Apple School Manager, Apple Business Manager of Apple Business Essentials, of de voorziening voor apparaatbeheer gebruiken die standaard aanwezig is in Apple Business Essentials
Beheerde Apple Accounts aanmaken (optioneel)
Gebruikersinschrijving en beheerde apps (macOS)
Gebruikersinschrijving biedt nu ondersteuning voor beheerde apps in macOS (deze functie was al mogelijk met apparaatinschrijving en automatische apparaatinschrijving). Beheerde apps die CloudKit gebruiken, maken gebruik van de beheerde Apple Account die aan de MDM-inschrijving is gekoppeld. MDM-beheerders moeten de sleutel InstallAsManaged aan het commando InstallApplication toevoegen. Deze apps kunnen net als iOS- en iPadOS-apps automatisch worden verwijderd wanneer een gebruiker het apparaat uitschrijft bij MDM.
Gebruikersinschrijving en app-gebonden netwerkverbindingen
In iOS 16, iPadOS 16.1 en visionOS 1.1 of nieuwer zijn app-gebonden netwerkverbindingen beschikbaar voor VPN (ook wel app-gebonden VPN genoemd), DNS-proxy's en webmateriaalfilters voor apparaten die via gebruikersinschrijving zijn ingeschreven. Dit betekent dat alleen netwerkverkeer dat door beheerde apps is geïnitieerd, wordt doorgelaten door de DNS-proxy, het webmateriaalfilter of beide. Het persoonlijke verkeer van een gebruiker blijft gescheiden en wordt niet gefilterd of langs een proxy gestuurd door een organisatie. Dit wordt gerealiseerd met behulp van nieuwe sleutelwaardeparen voor de volgende payloads:
Hoe gebruikers hun persoonlijke apparaten inschrijven
In iOS 15, iPadOS 15, macOS 14 en visionOS 1.1 of nieuwer kunnen organisaties rechtstreeks vanuit de Instellingen-app een gestroomlijnd proces voor gebruikersinschrijving gebruiken, zodat gebruikers eenvoudiger persoonlijke apparaten kunnen inschrijven.
Dit werkt als volgt:
Op een iPhone, iPad of Apple Vision Pro gaat de gebruiker in Instellingen naar 'Algemeen' > 'VPN- en apparaatbeheer' en selecteert de knop 'Log in bij je werk- of schoolaccount'.
Op een Mac gaat de gebruiker in Systeeminstellingen naar 'Privacy en beveiliging' > 'Profielen' en selecteert de knop 'Log in bij je werk- of schoolaccount'.
Bij het invoeren van de beheerde Apple Account wordt de inschrijvings-URL van de MDM-oplossing opgehaald.
De gebruiker voert vervolgens de gebruikersnaam en het wachtwoord voor de organisatie in. Nadat de gegevens voor de organisatie zijn geverifieerd, wordt het inschrijvingsprofiel naar het apparaat gestuurd. Er wordt ook een sessietoken aan het apparaat verstrekt om doorlopende autorisatie toe te staan. Het apparaat begint vervolgens met het inschrijvingsproces en vraagt de gebruiker om in te loggen met de beheerde Apple Account. Op iPhones, iPads en de Apple Vision Pro kan het authenticatieproces worden gestroomlijnd door eenmalige aanmelding voor inschrijving te gebruiken zodat de gebruiker zich niet steeds opnieuw hoeft te authenticeren.
Zodra de inschrijving is voltooid, wordt de nieuwe beheerde account in de Instellingen-app (iPhone, iPad en Apple Vision Pro) en Systeeminstellingen (Mac) weergegeven. Zo hebben gebruikers nog steeds toegang tot hun bestanden op de iCloud Drive die ze met hun persoonlijke Apple Account hebben aangemaakt. De iCloud Drive voor de organisatie (die is gekoppeld aan de beheerde Apple Account van de gebruiker) wordt apart weergegeven in de Bestanden-app.
Op iPhones, iPads en de Apple Vision Pro hebben beheerde apps en beheerde webdocumenten allemaal toegang tot de iCloud Drive van de organisatie. Met specifieke beperkingen kan de MDM-beheerder persoonlijke documenten en documenten van de organisatie gescheiden houden. Zie Beperkingen en mogelijkheden van beheerde apps voor meer informatie.
Gebruikers kunnen zien wat er precies op hun persoonlijke apparaat wordt beheerd en hoeveel iCloud-opslagruimte hun organisatie ter beschikking heeft gesteld. Omdat het apparaat eigendom is van de gebruiker, kan er met gebruikersinschrijving slechts een beperkte set payloads en beperkingen worden toegepast op het apparaat. Zie MDM-informatie voor gebruikersinschrijving voor meer informatie.
Hoe Apple gebruikersgegevens en organisatiegegevens van elkaar scheidt
Wanneer gebruikersinschrijving is voltooid, worden er automatisch afzonderlijke encryptiesleutels aangemaakt op het apparaat. Als het apparaat door de gebruiker of op afstand via de MDM-oplossing wordt uitgeschreven, worden die encryptiesleutels veilig vernietigd. De sleutels worden gebruikt om de beheerde gegevens hieronder cryptografisch van elkaar te scheiden:
Containers met appgegevens: iPhone, iPad, Mac en Apple Vision Pro
Agenda: iPhone, iPad, Mac en Apple Vision Pro
Op de apparaten moet iOS 16, iPadOS 16.1, macOS 13 of visionOS 1.1 of nieuwer zijn geïnstalleerd.
Sleutelhangeronderdelen: iPhone, iPad, Mac en Apple Vision Pro
Opmerking: De Mac-app van een andere leverancier moet de sleutelhanger-API voor gegevensbeveiliging gebruiken. Zie kSecUseDataProtectionKeychain in de Apple Developer-documentatie voor meer informatie.
E‑mailbijlagen en tekst van het e‑mailbericht: iPhone, iPad, Mac en Apple Vision Pro
Opmerkingen: iPhone, iPad, Mac en Apple Vision Pro
Herinneringen: iPhone, iPad, Mac en Apple Vision Pro
Op de apparaten moet iOS 17, iPadOS 17, macOS 14 of visionOS 1.1 of nieuwer zijn geïnstalleerd.
Als een gebruiker is ingelogd met een persoonlijke Apple Account en een beheerde Apple Account, wordt bij gebruik van 'Log in met Apple' automatisch de beheerde Apple Account voor beheerde apps en de persoonlijke Apple Account voor onbeheerde apps gebruikt. Gebruikers die inloggen bij een beheerde app in Safari of SafariWebView kunnen hun beheerde Apple Account selecteren en invoeren om de inlogsessie aan hun werkaccount te koppelen.
Systeembeheerders kunnen via MDM alleen de accounts, instellingen en gegevens van een organisatie beheren. Ze kunnen nooit de persoonlijke account van een gebruiker beheren. Dezelfde voorzieningen die gegevens beveiligen in beheerde apps die eigendom zijn van de organisatie, zorgen er ook voor dat het persoonlijke materiaal van de gebruiker niet in de zakelijke gegevensstroom terechtkomt.
Mogelijk via MDM | Niet mogelijk via MDM |
|---|---|
Accounts configureren | Persoonlijke gegevens, gebruiksgegevens of logbestanden zien |
Toegang tot lijst van beheerde apps | Toegang tot lijst van persoonlijke apps |
Alleen beheerde gegevens verwijderen | Persoonlijke gegevens verwijderen |
Apps installeren en configureren | Beheer van een persoonlijke app overnemen |
Een toegangscode vereisen | Een complexe toegangscode of wachtwoord vereisen |
Bepaalde beperkingen afdwingen | De apparaatlocatie opvragen |
App-gebonden VPN configureren | Toegang tot unieke apparaat-ID's |
| Het hele apparaat op afstand wissen |
| Het activeringsslot beheren |
| Toegang tot de roamingstatus |
| Verloren-modus inschakelen |
Opmerking: Op iPhones en iPads kunnen beheerders toegangscodes met minimaal zes tekens verplicht stellen en voorkomen dat gebruikers eenvoudige toegangscodes kiezen (zoals "123456" of "abcdef"), Ze kunnen echter geen complexe tekens of wachtwoorden vereisen.