探索帐户驱动的用户注册

嗨 我是提姆海农 Apple的Core OS工程经理 在本次会议中 我和我的同事梅丽莎尼尔 将为你介绍 移动设备管理（MDM）的用户注册

用户注册专为自携设备（BYOD） 而设计 是用户而不是组织 拥有的设备 因为拥有设备的是用户 用户注册具有一组 有限的有效负载和限制 可以通过 移动设备管理解决方案应用于设备 适用于iOS、iPadOS、和macOS

用户的安全和隐私是 Apple的核心 用户注册是一个很好的设备管理选项 把这两者结合了在一起 这样的设计让用户可以放心 他们的隐私和个人资料受到保护 而组织可以让用户确信 他们手上的资料是安全的

有三样核心组件 构成了用户注册的基础

第一个是管理式Apple ID 管理式Apple ID提供 对Apple服务的访问 例如iCloud

由组织拥有和管理 可通过Apple商务管理 和Apple校园教务管理获得 支持Azure Active Directory 使用其组织的现有凭证 以便用户进行身份验证

第二是数据分离

在注册期间 会创建 具有不同加密密钥的 独立苹果文件系统（APFS） 来自管理应用程序和管理账户的数据 安全地保存在此卷宗上 与个人内容区隔开 当设备从管理中取消注册时 此卷宗和加密密钥将被消除 最后 管理功能 仅限那些适用于 控制设备上 组织内容的功能

因为用户拥有并持续使用该设备 因此保护他们的隐私至关重要

通过用户注册 用户可以保持设备上个人数据的控制 设备不会视为受用户注册监督

MDM服务器 可用的管理功能 允许其 完全控制管理内容 但访问个人数据和设置 则会被限制 MDM服务器无法访问 个人账户、应用程序 和单一识别系统 系统范围的 远程擦除设备操作也是如此

我们今年一直在 努力更新用户注册 我很高兴现在能向你介绍 管理式Apple ID 和管理式应用程序由我介绍 接着我的同事梅丽莎 将介绍用户入职流程变更 如何启用持续用户身份验证 以及入门导览

让我们先从管理式Apple ID开始 在iOS 15中 我们改进了 在“设置”中访问管理账户的体验 当设备经用户注册后 账户将显示在设置的最上层 你可以从那里查看 iCloud的详细信息和设置 现在管理附加账户 变得比以往更加容易 添加了我们重新设计的体验 设置反映了 组织内容的明确分布 用户能够看到 系统哪些部分由组织管理 哪些不是

iOS 15和macOS Monterey 中的新功能有 管理式Apple ID 支持iCloud Drive iCloud Drive是 iCloud账户的重要功能 现在将可用于用户注册的设备

在iOS和iPadOS上 会在“文件”应用中显示为新位置

在macOS上 Finder中会显示为附加位置 多亏适用管理式Apple ID的 iCloud Drive 组织现在能够 轻松地为他们的用户提供 一个内建的云端储存方案

基于文件浏览器的应用程序 还可以访问额外的iCloud Drive 当然 iCloud Drive会尊重 用于管理应用程序和数据访问的 管理开放限制

现在让我们转向管理应用程序

在macOS Big Sur中 我们首次在 macOS上启用了管理应用程序

使组织可在管理设备上安装应用程序 类似于在iOS上的安装方式 包括自定义配置负载

它还提供了使用MDM命令 或在设备取消注册时 删除应用程序的功能

在macOS Monterey中 我们正将功能 扩展到用户注册

就像在iOS上一样 应用程序数据在不同的卷宗上分开 取消注册 或使用MDM命令便会删除应用程序 与此同时 数据储存处也会被删除

使用CloudKit的管理应用程序 现在将使用管理Apple ID 与MDM配置文件相关联 你需要将InstallAsManaged添加到 InstallApplication命令 顺道一提 管理应用程序需要安装到 应用程序文件夹中 并且应该只包含一个应用程序包 我们建议你采用 钥匙圈存取 和应用程序沙箱 以确保数据正确分离

我们还为所有注册类型的管理应用 添加了一些与用户注册相关的 增强功能 一、受管理的打开方式 限制功能 已扩展为包括复制和粘贴 以后组织控制数据 便可双向管理 边界粘贴 现在还可以指定 在设备注册管理时 安装所需的应用程序 该应用程序在设备注册时 就会允许安装 所以它不需要额外的用户确认 有关管理粘贴板 和所需应用程序安装的更多信息 请参阅《管理Apple设备的新功能》 现在将由梅丽莎 来介绍注册和持续的用户身份验证

谢谢 提姆 通过对用户注册的所有这些改进 我们更新了入职流程 增添更为个性化 和用户驱动的体验 iOS 13中 引入的用户注册入门体验 由MDM注册配置文件启动和驱动 必须为每个用户创建此配置文件 并由其管理员分配 在iOS 15中 为了为用户 和管理员提供更简化的体验 我们创建了一个 新的用户注册入职流程 将用户的组织身份建立 为切入点 用户已经熟悉 使用组织身份登录 以设置邮件和日历等服务 因此他们对于使用其组织身份 在iPhone上设置MDM也会很轻松 此入职流程为用户注册 启用了新的安全功能 现在在注册流程中 有一层安全保障 你的MDM服务器甚至可以 在将MDM配置文件下载到设备之前 验证用户的位置

让我们来看看这个 全新基于账户的流程是如何运作的

新的用户注册入职流程 有四个部分 “服务发现” 设备识别组织的MDM服务器

“用户身份验证” 这是MDM服务器验证用户的方式

“交谈令牌授权” 这是执行身份验证的方式

以及“注册” 也就是将MDM负载安装到设备上 让我们仔细来了解一下

当用户开始入职流程时 系统会提示他们输入其组织标识符

这个标识符有两个主要部分 由@符号划分 第一部分是用户ID 第二部分是组织网域 或子网域 用户输入组织ID后 设备将获取标识符的网域部分 并将其转换为HTTPS URL 指向该网域中的HTTP资源

此URL 是你MDM服务器文件的位置 可指引设备注册端点位置

然后设备对该URL执行GET请求 以取回JSON文件

接收到的JSON 包含一个版本密钥 让设备知道 服务器支持的注册类型 和MDM服务器的注册端点 指定URL的BaseURL键

有了这些信息 设备现在 就可以从服务器请求注册配置文件了

设备将属性列表 发布到服务器的注册端点 具有各种设备属性

如果你熟悉 无线配置文件交付过程 便会发现这与 设备向配置文件服务端点 发出的请求相同

但这里的关键区别在于 服务器要求用户 在移交注册数据之前 对自己进行身份验证

它通过发出HTTP 401未授权状态代码 来向用户询问凭证来进行此请求 服务器必须发出此身份验证请求 才能成功注册

重要的是 这个401状态代码 包含一个WWW-Authenticate标头 其中包含设备 用于进行身份验证的信息 这个WWW-Authenticate标头 使用承载认证方案 和两个附加参数

方法参数告知设备 正使用哪种类型的身份验证 该值表示设备将使用 AuthenticationServices 网页登录流程 来验证用户 该数值目前是固定的

对于此方法参数 还包括一个URL

此键的值是一个HTTPS URL 它指定 进行身份验证的端点 此URL应该是MDM服务器本身的端点 收到此身份验证标头便会开始 AuthenticationServices 网页登录流程 让我们来看看这个运作方式 AuthenticationServices 网页登录流程 显示的网页视图初始内容 是对401响应的URL参数 指定的身份验证端点的 HTTP GET请求的结果

在一个单纯的情况下 此网页登录流程 可以显示一个窗体 让用户输入他们的用户名和密码

在较为复杂的情况下 它可以利用企业单点登录 甚至重定向到第三方身份提供商 或执行多因素身份验证

设备和身份验证服务之间 可能会发生多次往返 当服务器向设备 进行HTTP重定向回应时 完成AuthenticationServices 网页流程 就像这里展示的一样

回应包含一个带有 使用自定义固定方案的 URL位置标头

该URL还包含一个存取令牌参数 其值是一个不透明令牌 设备将在向MDM服务器发出请求时 将其用作对话令牌

有了对话令牌 设备重新发出原始HTTP POST请求 以获取注册配置文件

这一次 该请求包含一个 Authorization标头 包含对话令牌作为值 服务器验证此令牌 并在成功后将 注册配置文件返回给设备 用户注册配置文件 在MDM负载中包含两个新密钥

首先 AssignedManagedAppleID 是与企业用户关联的 管理式Apple ID 作为注册流程的一部分 用户将需要验证 此管理式Apple ID 以登录iCloud和iTunes账户 成功注册MDM可确保 管理式Apple ID 在设备上处于激活状态 如果缺少 AssignedManagedAppleID 或是用户没有成功验证 设备将无法注册

第二个密钥是EnrollmentMode 表示注册是BYOD类型 设备验证该值是否与 所处模式匹配 如果不匹配或密钥不存在 此次注册将失败 请务必使用这两个新密钥 更新你的MDM有效负载 收到注册配置文件后 设备便会设置所需的 管理式Apple ID账户 并注册到MDM服务器 现在 对服务器的所有请求 包含对话令牌 都在授权标头中 以便服务器进行验证 我们一起来把所有部分看一遍 首先 用户导航到 “设置”中重新设计的VPN 和设备管理部分 然后点击新的 “登录工作或学校”按钮 然后输入他们的组织ID 触发“服务发现”步骤 从网域中 发现注册端点后 开始Authentication Services Web UI流程 这是用于身份验证的 简单网页窗体示例 用户输入其组织密码 一旦组织的身份验证成功 我们就会收到MDM配置文件 我们从配置文件中获取 AssignedManagedAppleID 并将其预填写到 下一个登录页面中 用户在此处输入密码 身份验证成功后 用户便允许他们的设备管理

他们输入设备密码 以创建加密的企业数据分区 并授权MDM注册 用户注册成功 这就是用于新的用户注册 账户驱动入职流程 在入职流程中 我们查看了服务器 如何在发送注册数据之前 对用户进行身份验证 通过iOS 15中的新用户注册 我们引入该功能 以便组织能在任何时间点 重新验证用户 使你的服务器和客户端连接 比之前都更加安全 MDM服务器现在可以验证 来自客户端的每个请求的授权 并要求用户重新认证 他们的身份凭证 此功能是通过 使用对话令牌来执行的

下面是一个MDM客户端登入服务器 以获取下一个MDM命令的示例 Authorization标头包含对话令牌 这是身份验证进行中 两个要素的主要内容

第一个元素是持久授权 在每个客户端对服务器的请求中 发送对话令牌

第二个元素是刷新对话令牌 这使组织管理员 随时可请求用户重新认证

通过实现你自己的 对话令牌的服务器端验证逻辑 你可以将组织的安全规则 直接添加到管理解决方案中

例如 你可以定期验证 用户的凭证 以确保仅将敏感负载发送到 受信任用户拥有的设备

让我们来看看这是如何运作的 当对话令牌失效时 会触发重新认证

下次设备发出MDM HTTP请求时 我们会在之前在入职流程的 初始身份验证交换中看到 目前HTTP PUT中无效的对话令牌

将触发来自服务器的401状态代码 服务器发送的回应 包含相同的 WWW-Authenticate标头

当然 因为MDM进程 在设备的后台运行 所以这个重新认证请求 会通过通知中心告知用户

通过点击通知 用户在设置中继续 重新认证流程

客户端将启动另一个 AuthenticationServices 网页登录流程 与入职流程中的流程类似

用户需要进行身份验证 AuthenticationServices 网页登录流程 是要使用简单的机制 或更复杂的机制 由服务器 与其身份提供者决定

当完成该身份验证服务流程时 服务器再次发送带有 自定义位置标头的重定向回应 带有自定义位置标头 其中包含一个新的对话令牌

成功的再次身份验证 可使设备立即重复 最初收到401状态代码的MDM请求 从刚刚停止的地方继续 而无需服务器采取任何其他行动 和之前一样 这个新的对话令牌包含了所有 后续的MDM HTTP请求 如果出于任何原因 用户的身份验证失败 服务器可能不再信任该设备

在这种情况下 服务器可以删除 任何敏感的MDM负载 或者会完全取消设备的注册 当涉及到要从MDM取消注册时 由于正在进行的身份验证 使用了HTTP 401状态代码 因此请务必注意 基于配置文件的注册 与新用户注册之间的主要区别

在iOS 15之前 所有MDM注册的设备 将来自服务器的401状态代码 视为取消注册的命令 当这种新的用户注册样式生效时 401状态代码会触发重新验证

要触发取消注册 你仍然可以使用现有机制 对MDM注册配置文件 发送RemoveProfile命令 这命令会使MDM完全取消注册 完整的管理账户 管理数据和数据分离 皆会从设备中删除

基于配置文件注册的 所有取消注册动作 包括来自iOS 13的 用户注册流程 都保持不变

以上是身份验证的快速浏览 现在让我们来快速入门与总结 你可以立即开始使用 iOS 15的新用户注册入职 和持续身份验证 以下五件事要注意执行 一、为你的企业网域 设置和发布一个 HTTP资源文件

二、将MDM服务器 与你的身份提供者整合 以在注册期间执行用户身份验证 并利用进行中的身份验证 来增加安全性优势

三、创建管理式Apple ID 或使用在Apple校园教务管理 和Apple商务管理中 创建的管理式Apple ID 来登入服务器MDM负载中的 AssignedManagedAppleID

更新你的MDM负载 以包括新的EnrollmentMode

最后 找出新的 iOS 15 Apple设备管理文件 查看我们的特定更新 以及我们今天讨论的所有细节 这就是你开始使用 基于账户的用户注册所需的全部介绍 我们今天的内容很多 现在我们来回顾一下 新的iCloud Drive 对管理式Apple ID的支持 为你的组织带来了 内建的云端储存选项 你现在可以在用户注册中管理 macOS上的应用程序 在你的MDM解决方案中建构 对新入职流程的支持 或鼓励你的MDM提供商 支持新的账户驱动入职 使用户注册史无前例地简单

在整个管理工作流程中 持续身份验证与你的账户结合起来

利用iOS 15 和macOS Monterey的新功能 为你和你的用户 大幅改进 自携设备工作流程 感谢你今天的收听 希望你有个精彩的WWDC体验 [音乐]