Accountgebonden inschrijvingsmethoden voor Apple apparaten
Met accountgebonden gebruikersinschrijving en accountgebonden apparaatinschrijving kunnen gebruikers en organisaties naadloos en veilig Apple apparaten voor het werk configureren door in te loggen met een beheerde Apple Account.
Bij deze benadering is het mogelijk om op hetzelfde apparaat met zowel een beheerde Apple Account als een persoonlijke Apple Account te zijn ingelogd, waarbij de werkgegevens en persoonlijke gegevens volledig van elkaar worden gescheiden. De persoonlijke gegevens van gebruikers blijven privé en de IT-afdeling ondersteunt de apps, instellingen en accounts die met het werk verband houden.
Om deze scheiding mogelijk te maken, zijn de volgende wijzigingen aangebracht in de manier waarop apps en back‑ups worden behandeld:
Wanneer het inschrijvingsprofiel wordt verwijderd, worden ook alle configuraties en instellingen verwijderd.
Beheerde apps worden altijd verwijderd tijdens uitschrijving.
Apps die voorafgaand aan de inschrijving bij de MDM-oplossing zijn geïnstalleerd, kunnen niet worden omgezet in beheerde apps.
Bij het terugzetten van een back‑up wordt de MDM-inschrijving niet hersteld.
Gebruikers die zijn ingelogd met hun persoonlijke Apple Account kunnen geen uitnodigingen voor de distributie van beheerde apps accepteren.
Beheerde Apple Accounts kunnen handmatig worden aangemaakt, maar organisaties hebben ook de mogelijkheid om te integreren met een IdP, Google Workspace of Microsoft Entra ID.
Zie Inleiding tot gefedereerde authenticatie met Apple School Manager of Inleiding tot gefedereerde authenticatie met Apple Business Manager voor meer informatie over gebundelde authenticatie.
Accountgebonden inschrijvingsproces
Om een apparaat in te schrijven via accountgebonden gebruikersinschrijving of accountgebonden apparaatinschrijving, moet de gebruiker in Instellingen naar 'Algemeen' > 'VPN- en apparaatbeheer' of in Systeeminstellingen naar 'Algemeen' > 'Apparaatbeheer' gaan en vervolgens de knop 'Log in bij je werk- of schoolaccount' selecteren.
Hiermee wordt het MDM-inschrijvingsproces gestart. Dit proces bestaat uit vier fasen:
Detectie voorzieningen: Het apparaat bepaalt de inschrijvings-URL van de MDM-oplossing.
Authenticatie en toegangstoken: De gebruiker verstrekt inloggegevens om de inschrijving te autoriseren en een toegangstoken voor doorlopende authenticatie te ontvangen.
MDM-inschrijving: Het inschrijvingsprofiel wordt naar het apparaat verstuurd en de gebruiker moet inloggen met de beheerde Apple Account om de inschrijving te voltooien.
Doorlopende authenticatie: De ingelogde gebruiker wordt doorlopend geverifieerd door de MDM-oplossing op basis van het toegangstoken.
Fase 1: Detectie voorzieningen
In de eerste stap wordt voor de detectie van voorzieningen geprobeerd de inschrijvings-URL van de MDM-oplossing te achterhalen. Hiervoor wordt de ID gebruikt die door de gebruiker is ingevoerd, bijvoorbeeld elise@betterbag.com. Het domein moet een volledig gekwalificeerde domeinnaam (FQDN) hebben die de MDM-voorziening voor de organisatie van de gebruiker bekendmaakt.
Vervolgens gebeurt het volgende:
Stap 1
Het apparaat identificeert het domein in de verstrekte ID (in het bovenstaande voorbeeld is dit betterbag.com).
Stap 2
Het apparaat vraagt om de bekende resource van het domein van de organisatie, bijvoorbeeld https://<domain>/.well-known/com.apple.remotemanagement.
De client voegt twee verzoekparameters toe aan het URL-pad van het HTTP GET-verzoek:
user-identifier: De waarde van de ingevoerde account-ID (in het bovenstaande voorbeeld elise@betterbag.com).
model-family: De modelfamilie van het apparaat (bijvoorbeeld iPhone, iPad, Mac).
Opmerking: Het apparaat volgt HTTP 3xx-doorverwijzingsverzoeken, waardoor het com.apple.remotemanagement-bestand zelf kan worden gehost op een andere server die voor het apparaat bereikbaar is.
Op apparaten met iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 of nieuwer kunnen de apparaten tijdens de detectie van voorzieningen de bekende resource van een alternatieve locatie ophalen die is opgegeven via de MDM-oplossing die aan Apple School Manager of Apple Business Manager is gekoppeld. Voor de voorzieningendetectie wordt nog steeds eerst het domein van de organisatie om de bekende resource gevraagd. Als dit verzoek niets oplevert, raadpleegt het apparaat Apple School Manager of Apple Business Manager voor een alternatieve locatie van de bekende resource. Voor dit proces moet het in de ID gebruikte domein zijn geverifieerd in Apple School Manager of Apple Business Manager. Zie Een domein in Apple School Manager toevoegen en verifiëren of Een domein in Apple Business Manager toevoegen en verifiëren voor meer informatie.
Om deze mogelijkheid te kunnen gebruiken, moet de alternatieve URL voor de detectie van voorzieningen zijn geconfigureerd via de MDM-oplossing die is gekoppeld aan Apple Business Manager of Apple School Manager. Wanneer het apparaat contact opneemt met Apple School Manager of Apple Business Manager, wordt het apparaattype gebruikt om de toegewezen MDM-oplossing voor dat type te bepalen. Dit is hetzelfde proces dat wordt gebruikt om de standaard-MDM-oplossing voor automatische apparaatinschrijving te bepalen. Als via de toegewezen MDM-oplossing een URL voor de detectie van voorzieningen is geconfigureerd, vraagt het apparaat de bekende resource van deze locatie op. Zie De standaardtoewijzing van apparaten instellen in Apple School Manager of De standaardtoewijzing van apparaten instellen in Apple Business Manager om de standaardtoewijzing voor apparaten in te stellen.
De bekende resource kan ook worden gehost door de MDM-oplossing.
Stap 3
De server waarop de bekende resource wordt gehost, reageert met een JSON-document voor voorzieningendetectie dat het volgende schema heeft:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}De sleutels, typen en beschrijvingen voor MDM-inschrijvingen staan in de volgende tabel. Alle sleutels zijn vereist.
Sleutel | Type | Beschrijving |
|---|---|---|
Servers | Array | Een lijst met één onderdeel. |
Versie | Tekenreeks | Deze sleutel bepaalt de inschrijvingsmethode die moet worden gebruikt en moet |
BaseURL | Tekenreeks | De inschrijvings-URL van de MDM-oplossing. |
Belangrijk: De server moet ervoor zorgen dat het veld Content-Type in de koptekst van de HTTP-reactie is ingesteld op application/json.
Stap 4
Het apparaat verstuurt een HTTP POST-verzoek naar de inschrijvings-URL die is opgegeven door de BaseURL.
Fase 2: Authenticatie en toegangstoken
Om de inschrijving te autoriseren, moet de gebruiker zich authenticeren bij de MDM-oplossing. Nadat de authenticatie is geslaagd, verstrekt de MDM-oplossing een toegangstoken aan het apparaat. Het apparaat slaat het token veilig op voor gebruik bij het autoriseren van toekomstige verzoeken.
Het toegangstoken:
Is essentieel voor de eerste authenticatie en de doorlopende toegang tot MDM-resources
Fungeert als een beveiligde brug tussen de beheerde Apple Account van de gebruiker en de MDM-oplossing
Wordt gebruikt voor doorlopende toegang tot werkresources voor alle accountgebonden inschrijvingen
Op iPhones, iPads en de Apple Vision Pro kunnen de eerste authenticatie en het doorlopende authenticatieproces worden gestroomlijnd door eenmalige aanmelding voor inschrijving te gebruiken, zodat de gebruiker zich niet steeds opnieuw hoeft te authenticeren. Zie Eenmalige aanmelding voor inschrijving voor iPhone, iPad en Apple Vision Pro voor meer informatie.
Fase 3: MDM-inschrijving
Met het toegangstoken kan het apparaat zich authenticeren bij de MDM-oplossing en toegang krijgen tot het MDM-inschrijvingsprofiel. Het profiel bevat alle informatie die het apparaat nodig heeft om de inschrijving uit te voeren. Om de inschrijving te voltooien, moeten gebruikers inloggen met hun beheerde Apple Account. Nadat de inschrijving is voltooid, wordt de beheerde Apple Account duidelijk weergegeven in Instellingen en Systeeminstellingen.
Zie Toegang tot iCloud-voorzieningen voor meer informatie over de iCloud-voorzieningen die beschikbaar zijn voor gebruikers.
Fase 4: Doorlopende authenticatie
Na de inschrijving blijft het toegangstoken actief en wordt het opgenomen in alle verzoeken aan de MDM-oplossing via de HTTP-koptekst Authorization. Zo kan de MDM-oplossing de gebruiker doorlopend verifiëren en wordt ervoor gezorgd dat alleen geautoriseerde gebruikers toegang hebben tot de resources van de organisatie.
Toegangstokens verlopen meestal na een opgegeven periode. Als dit gebeurt, vraagt het apparaat de gebruiker om zich opnieuw te authenticeren om het toegangstoken te vernieuwen. Periodieke hervalidatie verbetert de beveiliging en is belangrijk voor zowel persoonlijke apparaten als apparaten die eigendom zijn van de organisatie. Bij eenmalige aanmelding voor inschrijving wordt het token automatisch vernieuwd via de identiteitsprovider van de organisatie, waardoor de gebruiker zichzelf niet opnieuw hoeft te authenticeren en de toegang niet wordt onderbroken.
Hoe gebruikersgegevens worden gescheiden van organisatiegegevens met accountgebonden inschrijvingsmethoden
Wanneer accountgebonden gebruikersinschrijving of accountgebonden apparaatinschrijving is voltooid, worden er automatisch afzonderlijke encryptiesleutels aangemaakt op het apparaat. Als het apparaat door de gebruiker of op afstand via de MDM-oplossing wordt uitgeschreven, worden die encryptiesleutels veilig vernietigd. De sleutels worden gebruikt om de beheerde gegevens in deze tabel cryptografisch van elkaar te scheiden.
Materiaal | Minimale OS-versies | Beschrijving | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Containers met beheerde appgegevens | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Beheerde apps maken voor de synchronisatie van iCloud-gegevens gebruik van de beheerde Apple Account die aan de MDM-inschrijving is gekoppeld. Dit geldt ook voor beheerde apps (waarvoor de sleutel | |||||||||
Agenda-app | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Activiteiten zijn gescheiden. | |||||||||
Sleutelhangeronderdelen | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | De Mac-app van een andere leverancier moet de sleutelhanger-API voor gegevensbeveiliging gebruiken. Zie de globale variabele kSecUseDataProtectionKeychain op de Apple Developer-website voor meer informatie. | |||||||||
Mail-app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | E‑mailbijlagen en tekst van het e‑mailbericht zijn gescheiden. | |||||||||
Notities-app | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Notities zijn gescheiden. | |||||||||
Herinneringen-app | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Herinneringen zijn gescheiden. | |||||||||
Op iPhones, iPads en de Apple Vision Pro hebben beheerde apps en beheerde webdocumenten allemaal toegang tot de iCloud Drive van de organisatie (die afzonderlijk wordt weergegeven in de Bestanden-app nadat gebruikers hebben ingelogd met hun beheerde Apple Account). Met specifieke beperkingen kan de MDM-beheerder persoonlijke documenten en documenten van de organisatie van elkaar gescheiden houden. Zie Beperkingen en mogelijkheden van beheerde apps voor meer informatie.
Als een gebruiker is ingelogd met een persoonlijke Apple Account en een beheerde Apple Account, wordt bij gebruik van 'Log in met Apple' automatisch de beheerde Apple Account voor beheerde apps en de persoonlijke Apple Account voor onbeheerde apps gebruikt. Gebruikers die inloggen bij een beheerde app in Safari of SafariWebView kunnen hun beheerde Apple Account selecteren en invoeren om de inlogsessie aan hun werk- of schoolaccount te koppelen.
