Apparaatinschrijving en MDM
Bij apparaatinschrijving kunnen organisaties apparaten handmatig door hun gebruikers laten inschrijven bij een MDM-oplossing (Mobile Device Management) en vervolgens als organisatie diverse aspecten van het apparaatgebruik beheren, waaronder de mogelijkheid om het apparaat te wissen. Op Mac-computers met macOS 11 of nieuwer wordt bij apparaatinschrijving de Mac ook onder toezicht geplaatst.
Wanneer een gebruiker een inschrijvingsprofiel verwijdert, worden alle configuratieprofielen en de bijbehorende instellingen eveneens verwijderd, net als de beheerde apps die op dat inschrijvingsprofiel zijn gebaseerd.
Bij apparaatinschrijving zijn er meer payloads die op het apparaat kunnen worden toegepast. Zie Lijst met MDM-payloads bij apparaatinschrijving voor een compleet overzicht.
Apparaatinschrijving op basis van accounts
In iOS 17, iPadOS 17, macOS 14 en visionOS 1.1 of nieuwer kunnen organisaties rechtstreeks vanuit Instellingen en Systeeminstellingen een apparaatinschrijvingsproces op basis van accounts gebruiken, zodat gebruikers eenvoudiger apparaten kunnen inschrijven.
De gebruiker moet hiervoor in Instellingen naar 'Algemeen' > 'VPN- en apparaatbeheer' of in Systeeminstellingen naar 'Privacy en beveiliging' > 'Profielen' gaan en vervolgens de knop 'Log in bij je werk- of schoolaccount' selecteren.
Nadat de gebruiker de beheerde Apple Account heeft ingevoerd, wordt de inschrijvings-URL van de MDM-oplossing opgehaald. De gebruiker voert vervolgens de gebruikersnaam en het wachtwoord voor de organisatie in. Nadat de gegevens zijn geverifieerd, wordt het inschrijvingsprofiel naar het apparaat gestuurd. Er wordt ook een sessietoken aan het apparaat verstrekt om doorlopende autorisatie toe te staan. Het apparaat begint vervolgens met het MDM-inschrijvingsproces en vraagt de gebruiker om in te loggen met de beheerde Apple Account. Op iPhones, iPads en de Apple Vision Pro kan het authenticatieproces worden gestroomlijnd door eenmalige aanmelding voor inschrijving te gebruiken zodat de gebruiker zich niet steeds opnieuw hoeft te authenticeren. Zodra een gebruiker is ingelogd, wordt de nieuwe beheerde account in Instellingen en Systeeminstellingen weergegeven.
Net als bij gebruikersinschrijving worden de gegevens van de organisatie cryptografisch van de persoonlijke gegevens gescheiden (zie Hoe Apple gebruikersgegevens en organisatiegegevens van elkaar scheidt). Vanwege deze scheiding moeten er enkele wijzigingen worden aangebracht in de manier waarop apps en back‑ups worden behandeld. Bijvoorbeeld:
Apps die voorafgaand aan de MDM-inschrijving zijn geïnstalleerd, kunnen niet worden omgezet in beheerde apps.
Beheerde apps worden altijd verwijderd tijdens uitschrijving.
Bij het terugzetten van een back‑up wordt de MDM-inschrijving niet hersteld.
Gebruikers die zijn ingelogd met hun persoonlijke Apple Account kunnen geen uitnodigingen voor de distributie van beheerde apps accepteren.
Omdat voor het detectieproces hetzelfde com.apple.remotemanagement-detectiebestand wordt gebruikt als voor gebruikersinschrijving, kunnen organisaties op basis van het apparaatmodel en de beheerde Apple Account van de gebruiker kiezen welk inschrijvingstype op basis van accounts (gebruikersinschrijving of apparaatinschrijving) ze willen gebruiken.
Hoe Apple gebruikersgegevens en organisatiegegevens van elkaar scheidt
In de onderstaande tabel zie je hoe Apple met apparaatinschrijving gebruikersgegevens scheidt van de gegevens van de organisatie.
Gegevens | Zichtbaar voor MDM? | Ondersteunde besturingssystemen |
|---|---|---|
Capaciteit en vrije ruimte | Ja | iOS iPadOS macOS visionOS 1.1 |
Naam van het apparaat | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Geïnstalleerde apps | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Modelnaam en -nummer | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Versienummer besturingssysteem | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Telefoonnummer | Ja | iOS |
Serienummer | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Locatie van het apparaat | Nee | iOS (onder toezicht) iPadOS (onder toezicht) |
Logs van FaceTime of telefoongesprekken | Nee | iOS iPadOS macOS visionOS 1.1 |
Frequentie van appgebruik | Nee | iOS iPadOS macOS tvOS visionOS 1.1 |
iMessage of sms-berichten | Nee | iOS iPadOS macOS visionOS 1.1 |
Persoonlijke agenda's, contacten, e‑mail, notities, herinneringen | Nee | iOS iPadOS macOS visionOS 1.1 |
Safari-geschiedenis | Nee | iOS iPadOS macOS visionOS 1.1 |