Métodos de registo com base em contas com dispositivos Apple
O registo de utilizadores e o registo de dispositivos com base em contas oferece uma forma simples e segura de os utilizadores e organizações configurarem os dispositivos Apple para o trabalho ao iniciarem sessão com uma conta Apple gerida.
Esta abordagem permite que uma conta Apple gerida e uma conta Apple pessoal tenham sessão iniciada no mesmo dispositivo, com separação total entre os dados de trabalho e pessoais. Os utilizadores mantêm a privacidade das informações pessoais e a IT suporta aplicações, definições e contas relacionadas com trabalho.
Para suportar esta separação, foram feitas as seguintes alterações em relação à forma como as aplicações e cópias de segurança são tratadas:
Todas as configurações e definições são removidas quando o perfil de registo é removido.
As aplicações geridas são sempre removidas durante a anulação do registo.
As aplicações instaladas antes do registo numa solução de gestão de dispositivos móveis (MDM) podem ser convertidas para que se tornem aplicações geridas.
Restaurar a partir de uma cópia de segurança não restaura o registo na MDM.
Os utilizadores que iniciem sessão com a sua conta Apple pessoal não podem aceitar um convite para a distribuição de aplicações geridas.
Embora as contas Apple geridas possam ser criadas manualmente, as organizações podem beneficiar da integração com um IdP, o Google Workspace ou o Microsoft Entra ID.
Encontrará mais informação acerca da autenticação federada em Introdução à autenticação federada com o Apple School Manager ou Introdução à autenticação federada com o Apple Business Manager.
Processo de registo com base em contas
Para registar um dispositivo usando o registo do utilizador com base em contas ou o registo do dispositivo com base em contas, o utilizador navega para Definições > Geral > VPN e gestão de dispositivos ou Definições do Sistema > Geral > Gestão de dispositivos e, depois, seleciona o botão “Iniciar sessão na conta da escola ou do trabalho”.
Isto inicia um processo de quatro fases para efetuar o registo na solução MDM:
Deteção de serviços: o dispositivo determina o URL de registo da solução MDM.
Autenticação e token de acesso: o utilizador fornece credenciais para autorizar o registo e obter um token de acesso emitido para autenticação contínua.
Registo na solução MDM: o perfil de registo é enviado para o dispositivo e o utilizador tem de iniciar sessão com a respetiva conta Apple gerida para concluir o registo.
Autenticação contínua: a solução MDM verifica o utilizador que tem sessão iniciada de forma contínua usando o token de acesso.
Fase 1: Deteção de serviços
No primeiro passo, a deteção de serviços tenta identificar o URL de registo na solução MDM. Para tal, usa o identificador digitado pelo utilizador (por exemplo, carla@betterbag.com). O domínio deve ser um nome de domínio totalmente qualificado que anuncia o serviço MDM para a organização do utilizador.
Depois, acontece o seguinte:
Passo 1
O dispositivo identifica o domínio no identificador fornecido (no exemplo acima, betterbag.com).
Passo 2
O dispositivo solicita o recurso conhecido do domínio da organização (por exemplo, https://<domain>/.well-known/com.apple.remotemanagement.
O cliente inclui dois parâmetros de consulta no caminho de URL do pedido HTTP GET:
user-identifier: o valor do identificador de conta fornecido (no exemplo acima, carla@betterbag.com).
model-family: a família de modelo do dispositivo (por exemplo, iPhone, iPad, Mac).
Nota: O dispositivo segue pedidos de reencaminhamento HTTP 3xx, o que permite que o ficheiro com.apple.remotemanagement seja alojado noutro servidor que esteja acessível ao dispositivo.
Para dispositivos com o iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 ou posterior, o processo de deteção de serviços permite que um dispositivo obtenha o recurso conhecido numa localização alternativa especificada pela solução MDM associada ao Apple School Manager ou Apple Business Manager. A primeira preferência da deteção de serviços continua a ser o recurso conhecido no domínio da organização. Caso o pedido falhe, o dispositivo consulta o Apple School Manager ou Apple Business Manager para obter uma localização alternativa do recurso conhecido. Este processo requer que o domínio usado no identificador seja verificado no Apple School Manager ou Apple Business Manager. Encontrará mais informação em Adicionar e verificar um domínio no Apple School Manager ou Adicionar e verificar um domínio no Apple Business Manager.
Para usar esta funcionalidade, o URL de deteção de serviços alternativo deve ser configurado pela solução MDM associada ao Apple Business Manager e Apple School Manager. Quando o dispositivo acede ao Apple School Manager ou Apple Business Manager, o tipo de dispositivo é usado para determinar a solução MDM atribuída a esse tipo — o mesmo processo para determinar a solução MDM predefinida para o registo automático de dispositivos. Se a solução MDM atribuída tiver configurado um URL de deteção de serviços, o dispositivo avança com o pedido do recurso conhecido dessa localização. Para definir a atribuição de dispositivos predefinida, consulte Definir a atribuição de dispositivos predefinida no Apple School Manager ou Definir a atribuição de dispositivos predefinida no Apple Business Manager.
A solução MDM também pode alojar o recurso conhecido.
Passo 3
O servidor que aloja o recurso conhecido responde com um documento JSON de deteção de serviços em conformidade com a seguinte estrutura:
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}As chaves de registo de MDM, os tipos e as descrições encontram-se na tabela abaixo. Todas as chaves são obrigarórias.
Chave | Tipo | Description (Descrição) |
|---|---|---|
Servidores | Sequência | Uma lista com uma única entrada. |
Version (Versão) | Cadeia | Esta chave determina o método de registo a usar e deve ser |
BaseURL | Cadeia | O URL de registo da solução MDM. |
Importante: O servidor deve garantir que o campo de cabeçalho Content-Type na resposta HTTP está definido como application/json.
Passo 4
O dispositivo envia um pedido HTTP POST ao URL de registo especificado pelo BaseURL.
Fase 2: Autenticação e token de acesso
Para autorizar o registo, é necessário que o utilizador faça a autenticação com a soluação MDM. Após a autenticação bem-sucedida, a solução MDM emite um token de acesso para o dispositivo. O dispositivo protege de forma segura o token para usar aquando da autorização dos pedidos subsequentes.
O token de acesso:
é central ao processo de autenticação inicial e ao acesso contínuo para recursos MDM;
atua como ponte segura entre a conta Apple gerida do utilizador e a solução MDM;
é usado para permitir o acesso contínuo a recursos de trabalho para todos os registos com base em contas.
No iPhone, iPad e Apple Vision Pro, o processo de autenticação inicial e contínuo pode ser agilizado com o início de sessão único de registo para reduzir pedidos de autenticação repetidos. Encontrará mais informação em Início de sessão único de registo para iPhone, iPad e Apple Vision Pro.
Fase 3: Registo na solução MDM
Usando o token de acesso, o dispositivo pode fazer a autenticação com a solução MDM e aceder ao perfil de registo de MDM. Este perfil contém todas as informações necessárias para que o dispositivo efetue o registo. Para concluir o registo, o utilizador deve iniciar sessão na respetiva conta Apple gerida. Após a conclusão do registo, a conta Apple gerida é apresentada em destaque na aplicação Definições e nas Definições do Sistema.
Encontrará mais informação sobre que serviços iCloud estão disponíveis em Aceder aos serviços iCloud.
Fase 4: Autenticação contínua
Após o registo, o token de acesso mantém-se ativado e é incluído em todos os pedidos à solução MDM usando o cabeçalho HTTP de autorização. Isto permite que a solução MDM verifique continuamente o utilizador e ajuda a garantir que apenas os utilizadores autorizados têm acesso aos recursos organizacionais.
Normalmente, os tokens de acesso expiram após um período definido. Quando isto acontece, o dispositivo pode pedir ao utilizador que se autentique novamente para renovar o token de acesso. A revalidação periódica ajuda a aumentar a segurança, o que é importante tanto para dispositivos pessoais como para dispositivos detidos pela organização. Com o início de sessão de registo, a renovação do token ocorre automaticamente através do fornecedor de identidade da organização, garantindo o acesso ininterrupto sem necessidade de nova autenticação.
A forma como os dados de utilizador são separados dos dados de organização com métodos de registo com base em contas
Quando o registo do utilizador com base em contas ou o registo do dispositivo com base em contas está concluído, são criadas automaticamente chaves de cifragem separadas no dispositivo. Se o registo do dispositivo for anulado pelo utilizador ou remotamente através da solução MDM, essas chaves de cifragem são destruídas de forma segura. As chaves estão a ser usadas para separar criptograficamente os dados geridos indicados nesta tabela.
Conteúdo | Versões de sistemas operativos mínimos compatíveis | Description (Descrição) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Contentores de dados de aplicação gerida | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | As aplicações geridas usam a conta Apple gerida associada ao registo de MDM para a sincronização de dados de iCloud. Isto inclui aplicações geridas (instaladas com a chave | |||||||||
Aplicação Calendário | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Os eventos são separados. | |||||||||
Elementos do porta‑chaves | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | a aplicação Mac de terceiros tem de usar a API de porta-chaves de proteção de dados. Encontrará mais informação em variável global kSecUseDataProtectionKeychain no site da Apple para Programadores. | |||||||||
Aplicação Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Os anexos do Mail e o corpo da mensagem de e‑mail são separados. | |||||||||
Aplicação Notas | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | As notas são separadas. | |||||||||
Aplicação Lembretes | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Os lembretes são separados. | |||||||||
No iPhone, iPad e Apple Vision Pro, as aplicações geridas e documentos web geridos têm acesso a iCloud Drive da organização (que aparece em separado na aplicação Ficheiros depois de um utilizador iniciar sessão com a respetiva conta Apple gerida). O administrador de MDM pode ajudar a manter documentos pessoais e organizacionais específicos em separado. Encontrará mais informação em Restrições e capacidades das aplicações geridas.
Se um utilizador tiver sessão iniciada com um ID Apple pessoal e com uma conta Apple gerida, “Iniciar sessão com a Apple” usa automaticamente a conta Apple gerida para aplicações geridas e a conta Apple pessoal para aplicações não geridas. Ao usar um processo de início de sessão no Safari ou em SafariWebView numa aplicação gerida, o utilizador pode selecionar e introduzir a conta Apple gerida para associar o início de sessão com a conta de trabalho.
翻译: