iCloud hallituille Apple-tileille
Organisaatiosi käyttämästä käyttöönottomallista riippuen hallittujen laitteidenne käyttäjät saattavat käyttää henkilökohtaista henkilökohtaista Apple-tiliä, hallittua Apple-tiliä molempia tai eivät kumpaakaan.
Jos käyttäjät työskentelevät organisaation omistamilla laitteilla, heille kannattaa harkita hallittua Apple-tiliä. Koska tili on organisaatiosi omistama, voit hallita käytettävissä olevien palvelujen lisäksi myös sitä, mille laitteille käyttäjät voivat kirjautua.
iCloud-palvelut
Hallitulle Apple-tilille saatavilla olevilla iCloud-palveluilla käyttäjät voivat tallentaa sellaista sisältöä kuten yhteystietoja, kalentereita, dokumentteja ja muistiinpanoja ja pitää ne ajan tasalla useilla Apple-laitteilla. Sisältö suojataan iCloudissa salaamalla, kun sitä siirretään internetissä, tallentamalla se salattuun muotoon sekä käyttämällä Secure Tokeneita todentamiseen. Jos haluat lisätietoja iCloudin suojauksesta, katso iCloudin suojauksen yleiskatsaus Apple-alustojen tietoturva ‑ohjeessa.
Huomaa: Jotkin iCloudin ominaisuudet edellyttävät Wi-Fi-yhteyttä, jotkin ominaisuudet eivät ole saatavilla kaikissa maissa tai kaikilla alueilla, ja joidenkin palvelujen käyttö samalla Apple-tilillä on rajoitettu kymmeneen laitteeseen.
iCloud Drive
Käyttäjät voivat tallentaa dokumenttejaan ja tiedostojaan iCloud Driveen ja käyttää niitä iPhone-, iPad- ja Mac-laitteilla sekä Windows-tietokoneilla, joissa iCloud on käytössä. Dokumentit pidetään ajan tasalla kaikissa laitteissa, ja muutokset, joita tiedostoon tehdään, kun käyttäjä ei ole linjoilla, päivitetään automaattisesti, kun laite palaa linjoille.
Käyttäjät voivat myös asettaa macOS:n Työpöytä- ja Dokumentit-kansiot tallentumaan automaattisesti iCloud Driveen, jolloin niiden sisällöt ovat käytettävissä kaikilla käyttäjän laitteilla.
Käyttäjät voivat jopa tehdä yhteistyötä iCloud Driveen tallennetuissa dokumenteissa, jos ne on luotu Pagesilla, Numbersilla, Keynotella ja muilla CloudKitiä tukevilla apeilla. Hallittujen Apple-tilien osalta organisaatiot voivat määritellä, onko yhteistyö mahdollista ainoastaan organisaation sisäisten käyttäjien kanssa vai myös ulkopuolisten käyttäjien kanssa.
iCloud-avainnippu
iCloud-avainnippu pitää Wi-Fi-verkkojen salasanat ja Safarissa käytettävät verkkosivustojen salasanat ajan tasalla kaikissa iPhone-, iPad- ja Mac-laitteissa, jotka käyttävät iCloudia. Lisäksi se säilyttää internet-tilien kirjautumis- ja määritystiedot sekä muiden iCloudia tukevien appien salasanat. iCloud-avainnippu voi säilyttää myös käyttäjien Safariin tallentamat luottokorttitiedot, joten Safari pystyy täyttämään tiedot automaattisesti.
iCloud-avainnippu muodostuu kahdesta palvelusta:
avainnipun pitäminen ajan tasalla kaikissa laitteissa
avainnipun palautus
Avainnipun kohteiden suojattua vaihtoa varten käyttäjän hyväksyttyjen laitteiden kesken muodostetaan luottamusverkosto. Verkostoon liittyvät uudet laitteet täytyy hyväksyä joko laitteella, jossa iCloud-avainnippu on jo käytössä, tai käyttämällä iCloud-avainnipun palautusta. Jokainen synkronoitava kohde salataan siten, että vain käyttäjän luottamusverkostossa oleva laite voi purkaa sen salauksen, eikä salausta voida purkaa millään muulla laitteella tai Applen toimesta.
iCloud-avainnippu turvatallentaa käyttäjien avainnipun tiedot Applelle niin, ettei Apple voi lukea salasanoja eikä muita niiden sisältämiä tietoja. Vaikka käyttäjällä olisi vain yksi laite, avainnipun palautus tarjoaa turvaverkon, jolla voidaan estää tietojen menettäminen. Tämä on erityisen tärkeää silloin, kun Safarilla luodaan sattumanvaraisia, vahvoja salasanoja verkkotileille, koska kyseiset salasanat on tallennettu ainoastaan avainnippuun.
Avainnipun palautukseen kuuluvat toinen todennus ja turvatallennuspalvelu, jonka Apple on luonut nimenomaan tämän ominaisuuden tukemista varten. Käyttäjän avainnippu on salattu vahvalla salausavaimella, ja turvatallennuspalvelu antaa avaimen kopion ainoastaan, jos tiukat vaatimukset täyttyvät ja käyttäjä syöttää aiemman laitteen pääsykoodin.
Tärkeää: Hallitut Apple-tilit eivät tue iCloud-avainnipun palautusta palautuksen yhteyshenkilön avulla.
Pääsyavaimet
Pääsyavaimet on suunniteltu tarjoamaan salasanaton käyttökokemus, joka on sekä kätevä että turvallinen. Ne ovat verkkourkintaa estävää standardiperusteista teknologiaa, jotka ovat aina vahvoja, eikä niillä ole jaettuja salaisuuksia.
Koska iCloud-avainnippu tukee hallittuja Apple-tilejä, organisaatiot voivat ottaa käyttöön pääsyavaimia, joilla työntekijät pääsevät yrityksen resursseihin. Näin voidaan myös varmistaa, että pääsyavaimet synkronoidaan turvallisesti kaikkiin työntekijöiden iPhone-, iPad- ja Mac-laitteisiin. Pääsynhalintatoiminnolla voidaan myös määrittää laitteen tarvittava hallinnan taso, jotta siinä voidaan sallia hallittujen pääsyavaimien käyttö.
Deklaratiivisella pääsyavaintodennuksen määrityksellä hallittu laite voi tarjota todennuksen, kun pääsyavain provisioidaan organisaation palvelua varten. Todennus tarjotaan, kun käyttäjä rekisteröi pääsyavaimen verkkosivustolle tai appiin määrityksessä valitulla domainilla. Kun laite on luonut turvallisesti pääsyavaimen, se tekee määrityksessä olevan varmenneidentiteetin avulla WebAuthn-todentamisen käytettävään palveluun. Näin palvelu voi vahvistaa ennen pääsyn tarjoamista, että pääsyavain luotiin organisaation hallitsemassa laitteessa.
Luodut pääsyavaimet tallennetaan automaattisesti iCloud-avainnippuun, joka on liitetty hallittuun Apple-tiliin. Kun hallittua Apple-tiliä ei ole saatavilla, pääsyavainta ei voida luoda.
Appikehittäjät voivat tarjota käyttäjälle yksinkertaisen kertakirjautumiskokemuksen hyödyntämällä toisiinsa liittyviä domaineja. Näin voidaan muodostaa suojattu yhteys domainien ja niiden apin välille (ja valinnaisesti sallia toisiinsa liittyvien domainien määritys MDM:llä). Jos tämä on käytettävissä, iOS, iPadOS ja macOS voivat automaattisesti valita ja tarjota oikean pääsyavaimen, jotta sisäänkirjautuminen sujuu saumattomasti. Jos muun valmistajan palvelu tekee todennuksen, voidaan käyttää sen sijaan ASWebAuthenticationSession-komentoa.
Jos haluat lisätietoja, katso Pääsyavaimen todennuksen deklaratiivinen määritys.
iCloud-palvelujen käyttäminen
Kirjautuminen hallitulla Apple-tilillä joko käyttöönottoapurissa tai käyttämällä Apple-tili-valikkokohdetta ylhäällä Asetuksissa (iPhone ja iPad) tai Järjestelmäasetuksissa (Mac) mahdollistaa kaikkien niiden palvelujen käytön, jotka ovat saatavilla kyseiselle tilille.
Käyttäjät voivat lisätä useamman tilin valitsemalla Asetukset > Mail > Tilit (iPhone, iPad, Apple Vision Pro) tai Järjestelmäasetukset > Internet-tilit (Mac) käyttääkseen sähköpostia (jos tilillä voi käyttää sähköpostia), yhteystietoja ja kalentereita, jotka on tallennettu toiselle henkilökohtaiselle Apple-tilille, sekä hallitun Apple-tilin yhteystietoja, kalentereita ja muistutuksia.
Jos käytetään tiliin perustuvaa laiterekisteröintiä tai käyttäjärekisteröintiä, laitteella käytettävissä olevien palvelujen luettelo kasvaa hallitulla Apple-tilillä yhteystiedoille, kalentereille, muistutuksille, muistiinpanoille, iCloud Drivelle ja iCloud-varmuuskopioinnille.
iCloudin käyttämisen hallinta
Voit laittaa pois päältä yksittäisiä hallitulle Apple-tilille saatavilla olevia iCloud-palveluja Apple School Managerissa ja Apple Business Managerissa. Lisäksi voit määritellä, millä laitteilla käyttäjät voivat kirjautua sisään ja käyttää hallitun Apple-tilinsä tietoja, sekä määrittää, keiden kanssa he voivat viestiä ja tehdä yhteistyötä. Jos käyttäjä käyttää ensisijaisesti henkilökohtaista Apple-tiliään, organisaatiot voivat poistaa tiettyjä iCloud-palveluja käytöstä hallituissa laitteissa käyttämällä rajoituksia. Huomaa, että jotkin rajoitukset edellyttävät, että laite on valvottu.