用户注册和 MDM

用户注册为 BYOD（自带设备部署）而设计，这些设备由用户拥有，不属于组织。

以下是用户注册到 MDM 的四个阶段：

服务发现：设备自行识别到 MDM 解决方案。

用户注册：用户向身份提供商 (IdP) 提供用于认证的凭证以注册 MDM 解决方案。

会话令牌：会话令牌会对设备发放以允许正在进行的认证。

MDM 注册：注册描述文件会连同已由 MDM 管理员配置的有效负载发送到设备。

用户注册需要“管理式 Apple ID”。“管理式 Apple ID”由组织拥有和管理，提供特定 Apple 服务的雇员访问许可。此外，管理式 Apple ID：

使用手动创建，或使用联合认证自动创建

与学生信息系统 (SIS) 或上传的 .csv 文件（仅限“Apple 校园教务管理”）整合

还可用于在“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”中登录到分配的角色

用户移除注册描述文件后，基于该注册描述文件的所有配置描述文件及其设置和受管理的 App 都会随之移除。

用户注册与“管理式 Apple ID”集成，用于在设备上建立用户身份。用户必须成功认证才能完成注册。“管理式 Apple ID”可与用户已登录的个人 Apple ID 共同使用，二者互不影响。用户注册专为用户所有的设备而设计。

用户注册可配合 Google Workspace 或 Microsoft Azure Active Directory (AD)、“Apple 校园教务管理”或“Apple 商务管理”以及第三方 MDM 解决方案使用。它还可配合“Apple 商务必备”中的设备管理使用。为了让用户充分利用 Google Workspace 或 Microsoft Azure AD 同步和用户注册，你的组织必须先完成以下操作：

配置 Google Workspace 或 Azure AD

如果你的 Active Directory 为本地版，则必须进行额外的配置以针对联合认证作准备。

在“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”中注册组织

在“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”中设置联合认证

配置 MDM 解决方案并将其关联到“Apple 校园教务管理”、“Apple 商务管理”或“Apple 商务必备”，或者使用“Apple 商务必备”中直接内建的设备管理

（可选）创建“管理式 Apple ID”

用户注册已将受管理的 App 添加到 macOS（此功能在设备注册和自动设备注册中已经实现）。使用 CloudKit 的受管理的 App 使用与 MDM 注册关联的“管理式 Apple ID”。MDM 管理员必须将 InstallAsManaged 键添加到 InstallApplication 命令。与 iOS 和 iPadOS App 相似，此类 App 可在用户从 MDM 取消注册后自动移除。

对于通过用户注册的设备，iOS 16 和 iPadOS 16.1 或更高版本中的 App 单独联网可用于 VPN（称为“为 App 单独设置 VPN”）、DNS 代理和网页内容过滤器。这意味着只有受管理的 App 发起的网络流量才通过 DNS 代理和/或网页内容过滤器。用户的个人流量保持独立，不会被组织过滤或代理。此过程使用针对以下有效负载的新键值对完成：

为 App 单独设置 VPN

“DNS 代理” MDM 有效负载设置

“网页内容过滤器” MDM 有效负载设置

在 iOS 15、iPadOS 15 和 macOS 14 或更高版本中，组织可以使用“设置” App 中直接内建的简化的用户注册过程，更方便用户注册其个人设备。

若要执行此操作：

在 iPhone 和 iPad 上，用户需要导航到“设置”>“通用”>“VPN 与设备管理”，然后选择“登录工作或学校账户”按钮。

在 Mac 上，用户需要导航到“设置”>“隐私与安全性”>“描述文件”，然后选择“登录工作或学校账户”按钮。

用户输入其“管理式 Apple ID”时，服务发现会识别 MDM 解决方案的注册 URL。

然后，用户输入其组织用户名和密码。组织认证成功后，注册描述文件会发送到设备。此外，会话令牌会对设备发放以允许正在进行的授权。设备随后开始注册过程，并提示用户通过其“管理式 Apple ID”登录。在 iPhone 和 iPad 上，通过使用注册单点登录可简化认证过程以减少重复的认证提示。最后，用户登录后，新的被管理账户会以醒目的方式显示在“设置” App（iPhone 和 iPad）和“系统设置” (Mac) 中。

注册完成后，用户会在该设备上看到一个额外的账户，iPhone 和 iPad 上位于“设置”>“密码与账户”，Mac 上位于“系统设置”。这允许用户仍可访问使用其个人 Apple ID 创建的 iCloud 云盘中的文件。组织的 iCloud 云盘（与用户的“管理式 Apple ID”关联）会单独显示在“文件” App 中。

在 iPhone 和 iPad 上，受管理的 App 和被管理的基于网页的文稿均可访问组织的 iCloud 云盘，MDM 管理员可使用特定访问限制帮助保持特定的个人和组织文稿独立。有关更多信息，请参阅受管理的 App 的访问限制和功能。

用户可以查看其个人设备上被管理内容的详细信息以及其组织提供了多少 iCloud 储存空间。由于设备由用户所有，用户注册仅能将数量有限的一组有效负载和访问限制应用到设备。有关更多信息，请参阅用户注册 MDM 信息。

用户注册完成后，设备上会自动创建单独的加密密钥。如果设备被用户或使用 MDM 以远程方式取消注册，这些加密密钥会被安全销毁。密钥用于以加密方式分离下列被管理的数据：

App 数据容器：iPhone、iPad 和 Mac。

日历：iPhone、iPad 和 Mac。设备必须运行 iOS 16、iPadOS 16.1、macOS 13 或更高版本。

钥匙串项：iPhone、iPad 和 Mac。

【注】第三方 Mac App 必须使用数据保护钥匙串 API。有关更多信息，请参阅 Apple 开发者文稿：kSecUseDataProtectionKeychain。

邮件附件和正文：iPhone、iPad 和 Mac。

备忘录：iPhone、iPad 和 Mac。

提醒事项：iPhone、iPad 和 Mac。设备必须运行 iOS 17、iPadOS 17、macOS 14 或更高版本。

在 iPhone 和 iPad 上，受管理的 App 和被管理的基于网页的文稿均可通过现有的“被管理的打开方式”访问限制访问组织的 iCloud 云盘。MDM 管理员可帮助保持特定的个人文稿和组织文稿各自独立。

如果用户通过个人 Apple ID 和“管理式 Apple ID”登录，“通过 Apple 登录”将自动为受管理的 App 使用“管理式 Apple ID”，并为未受管理的 App 使用个人 Apple ID。在 Safari 浏览器或受管理 App 的 SafariWebView 中使用登录流程时，用户可以选择并输入其“管理式 Apple ID”以将登录与其工作账户关联。

系统管理员只能管理通过 MDM 预置的组织账户、设置和信息，不能管理用户的个人账户。事实上，用于保护由组织所有的受管理的 App 中数据安全的功能同时也在防止用户的个人数据进入企业数据流。

MDM 可以执行

MDM 不能执行

配置账户

查看个人信息、使用数据或日志

访问受管理的 App 清单

访问个人 App 清单

仅移除被管理的数据

移除任何个人数据

安装和配置 App

接管个人 App

需要密码

需要复杂密码

实施特定访问限制

访问设备位置

配置“为 App 单独设置 VPN”

访问唯一设备标识符

远程擦除整台设备

管理激活锁

访问漫游状态

打开丢失模式

【注】对于 iPhone 和 iPad，管理员可以要求至少 6 个字符的密码并阻止用户使用简单密码（如 123456 或 abcdef），但不能要求复杂字符或密码。