Кожен, хто керує пристроями Apple за допомогою МДМ, принаймні частково стикався з керованими ідентифікаторами Apple ID. Як і персональні Apple ID, керовані можна використовувати для доступу до пристроїв і сервісів Apple. Але на відміну від особистих ідентифікаторів, керовані Apple ID належать і контролюються організацією, а не кінцевим користувачем.

З моменту їх впровадження у 2016 році компанія Apple постійно розвиває керовані Apple ID, щороку надаючи їм все більше функціональних можливостей. З останніми анонсами Apple на WWDC 2023 ця еволюція продовжилася. Щоб зрозуміти, куди рухається ця еволюція, потрібно зрозуміти, де були керовані ідентифікатори Apple ID.

Що таке керовані ідентифікатори Apple ID?

Варто почати з визначення від Apple:

“Керований Apple ID належить вашій організації та управляється нею, включно зі зміною пароля та адмініструванням на основі ролей. Він також надає доступ до iCloud для співпраці з iWork і резервного копіювання на пристроях iPhone та iPad”. 

Тут багато чого можна пояснювати, але функціонально суть полягає в тому, що немає великої різниці між керованим Apple ID і обліковими даними, керованими в Entra ID (раніше Azure Active Directory), Google Workspace або будь-якій іншій системі ідентичності: Організація володіє та керує ідентифікатором, а потім використовує його для керування доступом до служб. Просто керовані ідентифікатори Apple ID використовуються виключно для керування доступом до пристроїв і сервісів Apple.

(Важливо зазначити, що керовані ідентифікатори Apple ID доступні не в усьому світі, а лише в країнах, де є Apple Business Manager (або Apple School Manager). Тож, хоча вони є чудовими, вони доступні не для всіх).

Користувачі можуть використовувати керований ідентифікатор Apple ID для доступу до облікового запису на комп’ютерах Mac, iPhone або iPad, що належать організації. Він також може використовуватися для доступу до сервісів Apple, таких як iCloud. Загалом, облікові записи, прив’язані до керованих ідентифікаторів Apple ID, будуть значно обмеженими – з точки зору дозволених програм, передачі даних тощо – ніж особисті. Тож не слід їх порівнювати. А якщо користувач звільняється з організації, адміністратори можуть закрити доступ до речей, які були розблоковані за допомогою ідентифікатора. 

Для адміністраторів керовані ідентифікатори Apple ID є більш важливими. Вони потрібні, наприклад, для доступу до Apple Business Manager, де персонал за їх допомогою можна призначити на різні ролі – адміністратора, менеджера по роботі з персоналом, менеджера з реєстрації пристроїв тощо. 

Але, як ми вже говорили вище, функціональність керованих ідентифікаторів Apple ID з часом еволюціонувала. Щоб зрозуміти, де вони знаходяться зараз і куди вони можуть рухатися, корисно озирнутися назад.

Коротка історія керованих ідентифікаторів Apple ID

Керовані ідентифікатори Apple ID стали відповіддю на стару проблему: як компанія може керувати доступом до екосистеми Apple, не вимагаючи від кожного працівника використовувати свій особистий ідентифікатор Apple ID? 

До появи керованих Apple ID окремих користувачів зазвичай просили створювати власні спеціальні Apple ID для використання на пристроях і сервісах, контрольованих компанією. Хоча ці “робочі” ідентифікатори могли бути створені на підконтрольних компаніям доменах, вони все одно залишалися особистими; організації фактично не мали над ними контролю. Це часто призводило до ситуацій, коли пристрої були заблоковані за допомогою ідентифікаторів людей, які залишили організацію.

2016

У відповідь на цю ситуацію у 2016 році Apple представила керовані ідентифікатори Apple ID за допомогою Apple School Manager. Шкільні ІТ-команди могли створювати Apple ID для кожного учня, який міг використовувати його для доступу до спільного обладнання та керованих додатків. Це було гарним рішенням для освітнього ринку, оскільки ідентифікатори, які школи присвоюють учням, коли вони вперше приїжджають до школи, можуть залишатися з ними на весь час їхнього перебування в школі.

2018

У 2018 році Apple представила Apple Business Manager – по суті, бізнес-версію Apple School Manager. Як і Apple School Manager, Apple Business Manager постачався з кількома програмами, включаючи програму масових закупівель (тепер відому як Apps and Books) та програму реєстрації пристроїв (тепер відому як Automated Device Enrollment), які допомагають компаніям централізовано керувати контентом і пристроями. 

2019

Рік по тому Apple випустила інтеграцію між Apple Business Manager та Entra ID (раніше Azure Active Directory) як постачальником ідентичностей. Це означало, що компанії могли об’єднати ці дві системи, а це, в свою чергу, означало, що логіни користувачів Entra ID слугували керованими Apple ID. Це дало користувачам один логін для всього, а адміністраторам – єдине джерело достовірності ідентифікаційних даних.

2021

У macOS Monterey Apple перенесла ідею розділення даних з iOS та iPadOS на macOS. Корпоративні дані (пов’язані з керованим Apple ID) та особисті дані (пов’язані з особистим) зберігалися в окремих томах сховища. Для користувача це не виглядало ніяк інакше – програми все ще знаходилися в папці /Applications, – але якщо комп’ютер Mac відключався від рішення MDM, корпоративні програми та дані видалялися. Особисті папки та програми при цьому залишались. Керовані ідентифікатори Apple ID уможливили таке розділення.

2022

Apple додала федерацію Google Workspace і більше способів використання керованих ідентифікаторів Apple ID в окремі програми для автентифікації та налаштування. 

Також було додано підтримку OAuth2, що надає більшої гнучкості в управлінні ідентичностями, і вдосконалено єдиний вхід. 

У 2022 році також з’явилася можливість використовувати керовані ідентифікатори Apple ID у сервісах, які підтримують Sign in with Apple – наприклад, коли хтось використовує керований ідентифікатор Apple ID для входу в екземпляр Slack на роботі, його особисті дані (ім’я, електронна пошта тощо) вже будуть заповнені, і всі канали, якими він користується, вже будуть налаштовані.

Керовані ідентифікатори Apple ID та федерація

Ми вже кілька разів згадували про федерацію, і вона стала ключовим елементом того, як керовані ідентифікатори Apple ID можуть допомогти ІТ-відділу, тому варто коротко про неї нагадати. 

На найпростішому рівні федерація дозволяє різним доменам, таким як Entra ID, Google Workspace та Apple Business Manager, отримувати доступ до одних і тих самих ресурсів. Ви можете об’єднати Apple Business Manager з Entra ID, Google Workspace або (починаючи з WWDC 2023) з будь-яким IdP, що підтримує OpenID Connect. Об’єднання означає, що вам не потрібно підтримувати окремі сховища ідентичностей для управління доступом до різних ресурсів; ви можете використовувати одне джерело і надавати доступ з нього. 

Отже, як ми описали вище, якщо ви об’єднаєте домен Apple Business Manager вашої організації з Entra ID, ваші користувачі зможуть входити на пристрої Apple, використовуючи свої облікові дані Entra ID; те саме стосується Google Workspace або IdP з підтримкою OpenID Connect. Оскільки ці два домени об’єднані, адміністраторам не потрібно реплікувати загальну інформацію про користувачів або підтримувати кілька баз даних паролів у кожному з них. IdP обробляє всю автентифікацію; федерація дозволяє ідентифікатору від одного з цих постачальників ідентифікаторів служити в якості керованого Apple ID. 

З точки зору користувача, йому навіть не потрібно знати, що він використовує керований Apple ID; це просто його ідентифікатор, і він використовує ті ж самі ім’я користувача, пароль та фактори автентифікації, що й його корпоративні облікові дані. Вони входять в систему, і все “просто працює”. Налаштування федерації не обов’язково тривіальне, але це набагато простіше і ефективніше, ніж намагатися вести паралельні записи для кожного користувача.

Керування Apple ID тепер

На WWDC 2023 компанія Apple анонсувала ще більше функцій, пов’язаних з керованими ідентифікаторами Apple ID – у багатьох випадках це стосується останніх версій macOS, iOS та iPadOS. 

Найважливіші з них пов’язані з керуванням доступом. Apple додає більше засобів контролю над тим, до яких служб і функцій можна отримати доступ за допомогою керованого Apple ID. Ці елементи керування дозволяють адміністраторам визначати доступ на основі стану пристрою: керований, контрольований або жоден з них.

Інші зміни, оголошені на WWDC, включають

Підтримка iCloud Keychain (і синхронізація), включаючи підвищену безпеку Passkeys.

Більше можливостей синхронізації даних додатків через iCloud, особливо повідомлень.

Підтримка гаманців, що дозволить додавати до сховищ даних, пов’язаних з керованими Apple ID, корпоративні кредитні картки, корпоративні ідентифікатори та інші дані, такі як корпоративні кредитні картки, корпоративні ідентифікатори тощо.

Подальші покращення використання особистих Apple ID та керованих Apple ID на одному пристрої.

Більше контролю для адміністраторів над Messages та Facetime, включаючи блокування обох додатків, щоб вони підтримували лише внутрішні дзвінки та повідомлення.

Справа в тому, що Apple продовжує розширювати можливості керованих ідентифікаторів Apple ID – послуги, які вони можуть розблокувати, та їх інтеграцію з системами управління ідентифікацією, надаючи адміністраторам все більше можливостей для управління. Головне питання для адміністраторів: чи достатньо розвинулися керовані ідентифікатори Apple ID для того, щоб ви могли ширше впроваджувати їх у своїй організації? 

Відповідь, звичайно, залежить від контексту, зокрема від розміру організації. Але в міру того, як ваша організація масштабується, як ви намагаєтеся синхронізувати управління пристроями та ідентичностями, і як ви продовжуєте вирішувати проблеми віддаленої та гібридної роботи, ви повинні принаймні розглянути можливість ширшого використання керованих ідентифікаторів Apple ID для контролю доступу до пристроїв і сервісів.

З оригіналом статті можна ознайомитися на сторінці Kandji

Якщо у вас з’явилися запитання стосовно  роботи керованих Apple ID, заповніть форму і ми з радістю поділимось своїм досвідом.

Універсальна бізнес форма