Apple manage apple id: Manage and use your Apple ID – Apple Support (UK)

Что такое управляемые идентификаторы Apple ID и как их использовать

Разделы

• Что такое управление Apple ID?
• Что такое управляемый Apple ID?
• Как использовать управляемый Apple ID
• Что такое регистрация пользователей?
• Взвешивание подходов
• Управление Apple ID в среде BYOD
• Почему бизнес может отказаться от управления Apple ID?

Разделы

Что такое управление Apple ID?

Что такое управляемый Apple ID?

Как использовать управляемый Apple ID

Что такое регистрация пользователей?

Взвешивание подходов

Управление Apple ID в среде BYOD

Почему бизнес может отказаться от управления Apple ID?

Управление Apple ID позволяет системным администраторам персонализировать системные настройки, распространять приложения, менять пароли, блокировать учетные записи Apple и выполнять другие действия. Чаще всего этот процесс включает в себя использование управляемых идентификаторов Apple ID, назначенных через Apple Business Manager (ABM) или Apple School Manager (ASM). Хотя многие компании используют этот подход к администрированию устройств, он не идеален для всех условий. Мы разберем ваши варианты управления идентификаторами Apple ID или устройствами без идентификаторов, взвесив потенциальные плюсы и минусы.

Что такое управление Apple ID?

Проще говоря, управление Apple ID относится к любой стратегии, которую компания использует для наблюдения за рабочими Apple ID. Поскольку экосистема Apple постоянно развивается, процесс управления сильно изменился за эти годы.

В первые дни управления устройствами Apple организации были вынуждены полагаться на личные учетные записи Apple ID для распространения лицензий. Для удобства некоторые компании создавали только один общий Apple ID для бизнес-целей, на который полагались несколько пользователей. Излишне говорить, что этот подход породил целый ряд проблем. Во-первых, это нарушало политику Apple, что могло привести к приостановке действия ID. Кроме того, если один пользователь решил изменить общий пароль, вы должны были сообщить об этом всем пользователям.

Даже если вы держите все в порядке, используя только одного пользователя для каждого Apple ID, поддержание длинных списков идентификаторов и связанных с ними паролей было утомительной рутиной.

Затем Apple представила программу Apple Volume Purchase Program (VPP), которая позволяла организациям распространять лицензии на приложения без Apple ID. Прогресс был восхитительным. (Эта же функциональность теперь включена в ABM.)

Но затем Apple ввела в заблуждение новой опцией: управляемые идентификаторы Apple ID. Эти аккаунты предназначены специально для бизнеса. Они предлагают такие функции, как автоматическое создание учетной записи, назначаемые роли и привилегии, а также инструменты для совместной работы. Кроме того, благодаря федеративной аутентификации управляемые идентификаторы Apple ID используют те же учетные данные, что и существующая инфраструктура, поэтому вам не нужно хранить длинные списки паролей.

Однако, несмотря на то, что управляемые идентификаторы Apple ID предоставляют определенные преимущества, они не всегда необходимы. Вы можете выполнять многие задачи напрямую через ABM без какой-либо формы Apple ID. Во многих случаях управление устройствами Apple без ID через ABM является самым простым вариантом.

Что такое управляемый Apple ID?

Управляемые идентификаторы Apple ID доступны через Apple Business Manager и Apple School Manager. Этот тип Apple ID позволяет регистрировать устройства и управлять ими с помощью решения MDM с помощью параметра «Регистрация пользователя». К преимуществам относятся следующие:

• Упрощенная встроенная и устранение неисправностей

• Снижение избыточности

• Идентификационный создание в Scale

• . Улучшение безопасности

• . . Администраторы могут выполнять следующие задачи:

  • Создание новых идентификаторов

  • Назначение ролей идентификаторам

  • Сброс пароля идентификационных сбросов. Active Directory и Google Workspace. Это означает, что учетная запись Apple Business Manager может быть связана с Microsoft Azure AD или Google Workspace. Затем ABM автоматически создает управляемые идентификаторы Apple ID на основе существующих удостоверений на связанной платформе.

    Как использовать управляемый Apple ID

    Управляемые Apple ID служат нескольким целям:

    • Предоставление доступа к порталу Apple Business Manager: Администраторы могут делегировать роли, относящиеся к тому, что пользователь может и не может получить в Apple Управляющий делами.

    • Разрешить общий доступ: Для поддержки совместной работы пользователи могут получать доступ к корпоративным учетным записям для служб Apple, таких как iCloud Drive и iCloud Notes.

    • Упрощение назначения лицензий: Лицензии на управляемые приложения могут быть привязаны к управляемому Apple ID, а не к устройству, что позволяет передавать лицензии между устройствами.

    • Включить блокировку активации: Администраторы могут заблокировать устройства в случае их утери или кражи и восстановить доступ, если они будут восстановлены.

    • Совместное использование устройств: Функция «Общий iPad» позволяет пользователям с отдельными управляемыми идентификаторами Apple ID входить на одно и то же устройство «Общий iPad». Это позволяет персонализировать опыт на общей машине.

    • Разрешить регистрацию пользователей: Разработанная для использования собственных устройств (BYOD), регистрация пользователей позволяет использовать управляемый Apple ID вместе с существующим Apple ID. Мы расскажем об этом в следующем разделе.

    Пользователи управляемого Apple ID не имеют доступа ко всем службам Apple. Apple Pay, Apple Music, Apple TV+ и некоторые другие функции отключены для защиты бизнеса. Пользователи также могут просматривать App Store, но не могут совершать покупки.

    Что такое регистрация пользователей?

    Регистрация пользователей Apple — это дополнение к вариантам регистрации устройств, поддерживаемым спецификацией Apple MDM, начиная с iOS 13 и macOS Catalina 10. 15. Предназначенная для организаций, которые хотят поддерживать политику BYOD, эта форма регистрации значительно более ориентирована на конфиденциальность. Это дает MDM только ограниченный доступ к устройствам пользователей, разделяя личные и корпоративные данные.

    Для регистрации пользователя требуется управляемый Apple ID, и он должен быть связан с устройством. Пользователю необходимо ввести учетные данные управляемого идентификатора Apple ID, чтобы завершить процесс регистрации. Этот идентификатор используется для установки профиля MDM, назначения лицензий приложений, предоставления доступа к общим учетным записям iCloud и управления тем, какие пользователи имеют доступ к этим корпоративным активам на своих личных устройствах. Один управляемый Apple ID можно использовать на нескольких устройствах, и он не мешает использованию стандартного личного Apple ID, настроенного на устройстве.

    Взвешивание подходов

    У компаний есть три основных варианта, связанных с Apple ID: управление личными идентификаторами, управление управляемыми идентификаторами или полный отказ от Apple ID. Каждый из этих вариантов имеет потенциальные варианты использования, а также явные недостатки, поэтому лучший выбор в конечном итоге зависит от вашей среды и целей.

    Персональные идентификаторы

    Когда их использовать

    • Вам необходимо распространять приложения, а ABM недоступен в вашей стране

    • You want to allow employees to install work-related apps themselves

    • Continued access to Apple services

    • Self-installation of apps

    • Administrative burden of maintaining each Apple ID and Пароль Apple ID

    • Риск нарушения политики Apple из-за совместного использования идентификатора на устройствах iOS

    • Отсутствие административных функций

    Управляемые IDS

    Когда их использовать

    • Вы планируете использовать Shared Icloud Resources

    • . Вы планируете использовать общий iPad

    • Вы хотите распространять книги через ABM

    • Упрощенные параметры создания учетной записи

    • Федеративная аутентификация

    • Назначаемые роли и права

    • Разделение личных и корпоративных ресурсов на устройствах BYOD

    • Отключены некоторые службы (Apple Music, Apple Fitness+, Apple News+, Apple TV+ и т. д.)

    • Пользователи не могут вручную устанавливать приложения из Apple Store

    NO IDS

    Когда их использовать

    • 0003

    • Вы хотите позволить сотрудникам устанавливать сами приложения, связанные с работой,

    • Простые и оптимизированные

    • Самоустроение и распределение компании

    • 119. Greate Relies

    • Регистрация пользователей недоступна

    Управление Apple ID в среде BYOD

    Два пути хорошо подходят для управления устройствами в среде BYOD: управляемые идентификаторы или администрирование без идентификаторов.

    Регистрация пользователей создает новые управляемые идентификаторы Apple ID посредством федеративной проверки подлинности с помощью Azure AD или Google Workspace. Этот управляемый Apple ID может работать вместе с индивидуальным Apple ID на устройстве, принадлежащем сотруднику, для четкого разделения корпоративных и личных ресурсов. Имея несколько идентификаторов Apple ID на одном устройстве, пользователи могут сохранить свой существующий идентификатор Apple ID для личного использования, переключаясь на управляемый идентификатор для доступа к корпоративным ресурсам. Это позволяет компании контролировать соответствующие приложения и данные, но без предоставления каких-либо реальных возможностей управления устройствами. Если вы предпочитаете избегать использования управляемых идентификаторов Apple ID в своей среде BYOD, многие важные административные функции остаются доступными через ABM:

    • Свяжите устройства с вашей учетной записью ABM с помощью автоматической регистрации устройств

    • Разрешите пользователям регистрировать свои собственные устройства по ссылке или в Apple Configurator 2

    • Устанавливайте корпоративные приложения на основе устройства, а не Apple ID

      6

      Ограничение доступа к корпоративным приложениям и данным

    • Требование безопасных паролей

    • Назначение, отзыв и переназначение лицензий на приложения с назначением на основе устройства

    • Включить блокировку активации на основе устройства в случае утери или кражи устройства

    Хотя обычно мы не рекомендуем управлять личными идентификаторами Apple ID в среде BYOD, теоретически это также возможно. Однако большинство компаний предпочтут либо использовать управляемые идентификаторы Apple ID, либо вообще отказаться от управления идентификаторами.

    Почему компания может отказаться от управления Apple ID?

    Компании часто избегают управления Apple ID, чтобы сэкономить время и силы. ABM позволяет контролировать лицензии на приложения, принадлежащие компании, без Apple ID. Это также позволяет более детально управлять устройством через контролируемый режим. Использование ABM вместо управления Apple ID дает несколько потенциальных преимуществ:

    • Избавьтесь от административной нагрузки, связанной с сохранением идентификаторов Apple ID и паролей

    • Сохраните доступ пользователей к App Store, Apple Pay, Apple Music, Apple TV+, Find My и другим функциям

    • Предоставьте пользователям смысл независимости

    Поскольку ABM в сочетании с решением MDM предоставляет большинству предприятий все необходимые им функции, нет причин беспокоиться об управлении Apple ID.

    Независимо от того, используете ли вы управляемые идентификаторы Apple ID или предпочитаете альтернативный подход, SimpleMDM может помочь вам упростить мониторинг, обновление и лицензирование устройств Apple. Попробуйте SimpleMDM с бесплатной 30-дневной пробной версией, чтобы убедиться в этом лично!

    Apple ID и Колиде | Добро пожаловать в службу поддержки Kolide

    Использование Kolide для проверки личных идентификаторов Apple ID.

    Устройства Apple используют учетную запись Apple ID (ранее iCloud) для работы различных служб (например, Find My) и интеграций, а также для связывания лицензий на программное обеспечение, приобретенных в App Store. Существует два различных типа идентификаторов Apple ID, с которыми может быть настроено/связано устройство:

    Все чаще устройства, принадлежащие организации (например, MacBook), выносятся за пределы офиса в личное жилье, чтобы сотрудники могли использовать его в контексте «Работа из дома». . Этот сдвиг привел к большему совпадению личных и рабочих действий, происходящих на устройствах, принадлежащих организации. По этой причине многие организации пересматривают, какие функции macOS они хотят разрешить в своих документах политики допустимого использования.

    Работа с Apple ID в корпоративной среде

    Обычный вопрос, который нам задают в Kolide, заключается в создании проверок, связанных с настроенным Apple ID на устройствах. Однако эта задача имеет ряд побочных эффектов, о которых вы должны знать, прежде чем решать, как действовать дальше.

    Наиболее распространенная форма, которую принимает этот вопрос:

    «Я хочу найти людей, использующих личный адрес электронной почты для своей учетной записи Apple ID»

    Прежде чем мы углубимся в запрос, давайте на мгновение распакуем Apple ID. Как уже упоминалось выше, Apple ID — это тесно интегрированный компонент macOS, и понимание того, как он используется, может помочь определить объем ваших целей безопасности.

    Какие возможности дает подключение Apple ID?

    Услуги синхронизации, предоставляемые через личный Apple ID, имеют большое значение из-за предполагаемых преимуществ качества жизни, которые они предлагают обычному домашнему пользователю:

    • Связка ключей : Включает функции диспетчера паролей, которые позволяют пользователю безопасно генерировать и хранить аутентификацию реквизиты для входа.

    • Облачный диск (Документы, Рабочий стол, Фотографии): Эти синхронизированные папки домашнего каталога пользователя позволяют пользователю получать доступ к документам, которые он сохранил в облаке.

    • Find My : Позволяет пользователю удаленно определить местонахождение устройства в случае его утери или кражи.

    • Календарь, Контакты и Почта : Эти основные приложения/службы могут быть настроены как с личной, так и с рабочей информацией.

    • Мультимедиа и покупки : приложения, приобретенные в магазине приложений, связаны с идентификатором Apple ID, с помощью которого они были приобретены, и могут переноситься с устройства на устройство.

    Почему личные идентификаторы Apple ID иногда вызывают беспокойство у администраторов ИТ и безопасности?

    Существует множество причин, по которым ИТ-администратор или администратор службы безопасности может захотеть ограничить или запретить использование личных идентификаторов Apple ID на устройствах, предоставленных компанией. Ниже приведены некоторые (но не все) возможные причины:

    Shadow IT

    Shadow IT обычно называют персональными или неуправляемыми SaaS-сервисами (как правило, облачными решениями для хранения), которые не входят в компетенцию IT или службы безопасности. коллектив в организации.

    Хорошим примером Shadow IT может быть сотрудник, подключающий личную учетную запись Dropbox к ноутбуку компании, когда его организация использует корпоративную управляемую (G Suite) учетную запись Google Диска. Работодатель может беспокоиться о том, что эта личная учетная запись Dropbox может непреднамеренно синхронизировать личные или конфиденциальные данные организации, при этом компания не может узнать, что было синхронизировано, или отозвать доступ в случае ухода сотрудника из компании.

    Блокировка активации

    Устройства с защищенными анклавами (T1 и T2 с процессорами Intel Mac и все компьютеры Mac M1) и не зарегистрированные в MDM, имеют функцию под названием «Блокировка активации», которая работает с программой «Локатор», чтобы предотвратить восстановление устройства или повторное создание образа без экспресс-запроса. авторизация зарегистрированного Apple ID на устройстве. Это может создать проблему, если корпоративное устройство (с включенной функцией «Локатор») будет возвращено в ИТ-отдел, поскольку устройство не будет обслуживаться до тех пор, пока этот Apple ID не будет отключен или функция «Локатор» не будет отключена.

    По этой причине Apple настоятельно рекомендует личным пользователям отключать блокировку активации при отправке устройства для обслуживания или передаче права собственности другому лицу. (https://support.apple.com/en-us/HT208987)

    Software Provisioning

    Когда конечный пользователь приобретает лицензии на программное обеспечение через Apple App Store, используя свой личный Apple ID, лицензия не -передаваемые и привязанные к их Apple ID. Это означает, что если программное обеспечение предназначено для использования в рабочих целях, эта лицензия не может быть повторно предоставлена ​​другому конечному пользователю в будущем, если существующий конечный пользователь прекратит свою работу.

    Какие существуют альтернативы персональным идентификаторам Apple ID?

    В течение ряда лет Apple предоставляла более ограниченную версию Apple ID, используемую в образовательных средах, под названием «Управляемые Apple ID». В 2018 году эти управляемые Apple ID стали доступны и для учетных записей Apple Business Program. Эти управляемые идентификаторы Apple ID предоставляются, настраиваются и управляются через портал Apple Business Manager: https://business.apple.com/

    . У управляемых идентификаторов Apple есть несколько ключевых отличий, о которых вам следует знать:

    Ограничения управляемого Apple ID:

    (https://support.apple.com/guide/apple-business-manager/what-are-managed-apple-ids-tes78b477c81/web)

    • Конечные пользователи не могут приобретать или устанавливать приложения по своему выбору через App Store

    • Apple Pay отключен

    • Find My отключен

    • Cloud Keychain отключен

    • Cloud0 Family Sharing отключен 39 Cloud0 Family Sharing0006

    • Облачные фотографии отключены

    • Облачная почта отключена

    • Sidecar отключен

    • СМИ (например, Apple Music, Apple TV, Apple Arcade и т. Д.) Преимущества управляемого Apple ID:

      • Доступ к Apple ID может предоставляться, настраиваться, управляться и отзываться для целей регистрации/отключения

      • Пароли Apple ID могут быть сброшены администратором, если пользователь забудет свой пароль

      • Лицензиями на приложения в App Store можно централизованно управлять, приобретать и распространять/повторно предоставлять их по мере необходимости.

      • Если настроено восстановление iCloud FileVault, администратор может восстановить FileVault без депонированного ключа посредством сброса пароля Apple ID.

      Как видите, существует множество соображений, которые необходимо принять во внимание, прежде чем решить, какой путь лучше всего подходит для вашей организации, и какой уровень контроля/ограничения вы хотите развернуть.

      Какие у меня есть варианты выбора как у работодателя?

      1. Разрешить конечным пользователям использовать свой личный Apple ID со своим рабочим ноутбуком.
         Мы считаем, что это лучший выбор для организаций, у которых нет явных требований соответствия, запрещающих использование Apple ID/iCloud. Риск несанкционированной синхронизации данных не больше, чем риск загрузки или отправки конфиденциальных файлов по электронной почте сотрудником через другие службы. При использовании MDM такими элементами, как блокировка активации и восстановление FileVault2, можно управлять без необходимости использования управляемого Apple ID.

      2. Настройте управляемые идентификаторы Apple ID для сотрудников и требуйте их использования.
         Это обеспечит больший контроль за счет сокращения/ограничения функциональных возможностей конечного пользователя.

      3. Используйте личный Apple ID с корпоративной электронной почтой.
         См. ниже, почему это не рекомендуется

      Почему личные идентификаторы Apple ID с электронной почтой компании могут быть нежелательными?

      Если сотрудник использует свою рабочую электронную почту для регистрации личного идентификатора Apple ID, вы не получаете никаких преимуществ управляемого идентификатора Apple ID, но в конечном итоге негативно влияет на взаимодействие с пользователем вашего сотрудника.