Registro do usuário no Apple Business Manager

Esta seção contém os seguintes tópicos:

Aplicável a:

  • Dispositivos não supervisionados com iOS 13.0 até a versão mais recente, conforme suporte de Ivanti Neurons for MDM.
  • Dispositivos com macOS 10.15 ou versões mais recentes com suporteIvanti Neurons for MDM.

O Apple Business Manager é um local para as equipes de TI automatizarem a implantação de dispositivos, comprarem e distribuírem conteúdo e gerenciarem funções em suas organizações. O Apple Business Manager implementa o registro do usuário, que é uma opção de registro projetada para empresas que implementam BYOD (Bring Your Own Device, Traga Seu Próprio Dispositivo). O registro do usuário é uma versão modificada do protocolo MDM com um foco muito maior na privacidade do usuário, implementada com um nível de segurança que as empresas precisam.

O registro do usuário permite que o administrador:

  • Instale e remova aplicativos gerenciados
  • Instale e remova configurações de rede
  • Instale uma VPN parcial com escopo para aplicativos e contas gerenciados
  • Exija o uso de uma senha

Requisitos para ativar o registro do usuário

Abaixo estão os requisitos para ativar o registro do usuário. Se algum deles não for atendido, o tipo de registro será registrado pelo dispositivo.

  • Um dispositivo não supervisionado com iOS 13.0 até a versão mais recente é compatível com Ivanti Neurons for MDM ou com um dispositivo com macOS 10.15 ou versões mais recentes com suporteIvanti Neurons for MDM.
  • A configuração do usuário para o campo Tipo de registro da Apple deve ser definida como "Registro do usuário".
  • Uma conta do Apple Business Manager.
    • A conta de licença de aplicativo da Apple precisa fazer parte da mesma conta do Apple Business Manager.
    • No Apple Business Manager, se você possui uma conta listada em Locais, é necessário que o Apps and Books corresponda ao mesmo local. Pode ser necessário adicionar um novo local (por exemplo, costa oeste).
  • Apple ID gerenciado: Apple ID gerenciado a ser associado a cada dispositivo registrado.
    • Esse Apple ID gerenciado fornece autenticação para gerenciamento de MDM e licenciamento de aplicativos.
    • Quando o MDM envia aplicativos e mídias, as licenças Apple necessárias são atribuídas ao Apple ID gerenciado associado ao dispositivo.
    • De acordo com a conformidade com a RGPD, os Apple IDs gerenciados são mascarados nas páginas de lista de usuários e detalhes do usuário, considerando-se que o Apple ID seja dado do usuário.
    • Os Apple IDs gerenciados foram utilizados pela primeira vez pelo Apple School Manager e agora são utilizados pelo Apple Business Manager para registro de usuários.

      • O Apple ID gerenciado do dispositivo e o token de localização do Apps and Books devem ser da mesma organização da conta do Apple Business Manager.

      Se forem diferentes, uma notificação será exibida no portal do administrador Ivanti Neurons for MDM quando a alocação de licença falhar para um aplicativo.

  • Microsoft Azure Active Directory configurado para Autenticação federada ou um Apple ID criado manualmente no Apple Business Manager com um domínio validado.
  • Os usuários do dispositivo sincronizados com o LDAP devem ser atribuídos a uma função de gerenciamento de dispositivos e associados a um Apple ID gerenciado.

Na página da lista Usuários e na página da lista Dispositivos, você pode adicionar a coluna Apple ID gerenciado a ser exibida para todos os usuários. Na página da lista Dispositivos, você pode adicionar a coluna Registro de usuário registrado para exibir o status dos dispositivos de Usuário registrado. Além disso, as exportações de usuário e dispositivo incluem essas colunas nos arquivos CSV.

Prioridade dos registros

  • O Registro do usuário é compatível com o Go para iOS client e iReg.
  • O registro automatizado de dispositivos e os registros do Apple Configurator sempre serão registrados pelo dispositivo.
  • Se a configuração do MAM for aplicada a um dispositivo, o registro do MAM terá precedência sobre o Registro do usuário.
  • Se os requisitos auth-only e Registro do usuário forem atendidos, o Registro do usuário terá precedência.
  • Se você inscrever novamente um dispositivo do Go para iOS client, o tipo de registro será o mesmo durante o registro do dispositivo, independentemente da alteração no tipo de registro em Ivanti Neurons for MDM. Por exemplo, se um dispositivo foi registrado pelo usuário, altere o tipo para Registro pelo dispositivo em Ivanti Neurons for MDM e inscreva novamente o dispositivo no Go client. O dispositivo ainda será registrado pelo usuário e não pelo dispositivo.

Diferença entre o registro padrão no MDM e o registro do usuário

Esta seção aborda a diferença entre o registro padrão no MDM e o registro do usuário no Apple Business Manager.

Registro padrão no MDM

A lista a seguir indica o que um servidor Ivanti Neurons for MDM pode fazer em um registro padrão no MDM, mas não pode fazer no modo de Registro do usuário.

O servidor MDM:

  • Não pode apagar o dispositivo.
  • Não vê os aplicativos pessoais que o usuário do dispositivo instalou no dispositivo.
  • Não pode converter aplicativos instalados pelo usuário em aplicativos gerenciados pelo MDM.
  • Não pode limpar a senha do dispositivo (ou seja, desbloquear o dispositivo).
  • Não pode definir um requisito longo e complexo para a senha do dispositivo.
  • Não pode configurar uma VPN ou proxy Wi-Fi em todo o dispositivo, nem gerenciar a funcionalidade do celular.
  • Não pode ver identificadores de dispositivo como UDID, número de série ou IMEI.
  • Não pode aplicar muitas restrições em todo o dispositivo (como restringir a classificação do conteúdo do aplicativo), bloquear o iCloud e aplicar restrições supervisionadas.

Registro do usuário no Apple Business Manager

No registro do usuário, o servidor MDM ainda pode fazer todo o necessário para gerenciar aplicativos, contas e dados corporativos.

O registro do usuário pode:

  • Instalar aplicativos internos ou aplicativos por meio de licenças do Apps and Books (Apple) baseadas no usuário.
    • As licenças são aplicadas por ordem de chegada e são consumidas pelos Apple IDs gerenciados.
    • A licença consumida por um aplicativo instalado no dispositivo Registrado pelo usuário será diferente da licença consumida pelo mesmo aplicativo instalado no dispositivo registrado pelo dispositivo.
    • Verifique o tipo de licença dos aplicativos Apple Apps and Books na página de detalhes do usuário, na guia Uso da licença; o Tipo de registro é exibido como Registro do usuário ou Registro do dispositivo.
  • Impor configurações de carga útil de senha. Por exemplo:
    • allowSimple = false
    • forcePIN = true
    • minLength = 6
  • Consultar dados relacionados a aplicativos, certificados e perfis gerenciados pela empresa.
  • Configurar uma VPN por aplicativo para aplicativos, e-mail, contatos e calendários que foram instalados pelo MDM.
  • Impor algumas restrições, como abertura gerenciada, contatos gerenciados, dados gerenciados na tela de bloqueio e várias outras.

Os dados corporativos são armazenados em um volume separado do Apple File System (APFS), criado no registro e criptografado separadamente dos dados do usuário do dispositivo. Este volume contém dados armazenados por aplicativos gerenciados, Notes corporativo, documentos corporativos do iCloud Drive, entradas do Keychain corporativo, anexos e mensagens de correio gerenciados e anexos de calendário. Cancelar o registro no MDM destrói o volume e as chaves.

Todos os aplicativos de terceiros podem ser apenas aplicativos pessoais ou gerenciados pelo Ivanti Neurons for MDM. O serviço MDM não pode começar a gerenciar aplicativos que o usuário do dispositivo já instalou. Nesse caso, o administrador precisará solicitar que o usuário do dispositivo exclua o aplicativo pessoal antes de instalá-lo pelo MDM. O serviço MDM não pode começar a gerenciar aplicativos que o usuário já instalou. No entanto, alguns aplicativos do sistema, como o Notes e o Files, são compatíveis com contas comerciais e pessoais.

Registro do usuário para dispositivos macOS

O Registro do usuário é compatível com dispositivos com macOS 10.15 ou versões mais recentes com suporteIvanti Neurons for MDM.

  • O Mobile@Work para macOS não oferece suporte para dispositivos de Registro de usuário registrado do macOS.
    • Ainda que o aplicativo seja distribuído para o dispositivo de Registro de usuário registrado do macOS, ele não será enviado ao dispositivo pelo MDM.
    • Portanto, recursos do Mobile@Work, como gerenciamento de script e gerenciamento de aplicativo para aplicativos Packager (MIP), não têm suporte em dispositivos de Registro de usuário registrado do macOS.
  • Dependência do aplicativo e alterações comportamentais em dispositivos de Registro de usuário registrado do macOS.
    • Em dispositivos de Registro de usuário registrado do macOS, a dependência do aplicativo funciona na base do melhor esforço, pois o MDM não detecta (não é capaz de confirmar) o status de instalação de apps necessários antes de distribuir o aplicativo principal.
    • Apps e configurações podem ser distribuídos para usuários e grupos de usuários pertencentes aos dispositivos de Registro de usuário registrado do macOS. No entanto, os apps sempre exibem o botãoInstalarem vez de "Instalado", uma vez que o MDM não pode exibir o status de instalação de apps em dispositivos de Registro de usuário registrado do macOS.
    • Os apps instalados são indicados como Apps solicitados na páginaDispositivos > Inventário de apps, pois os dispositivos de Registro de usuário registrado do macOS não informam ao servidorIvanti Neurons for MDMse os apps estão ou não instalados no relatório do inventário.
  • No filtro de distribuição de apps, os atributos Registro de usuário registrado e Registro de dispositivo automatizado registrado podem ser usados para distribuição personalizada, conforme a necessidade.
  • Licenças baseadas em usuário são permitidas mediante o uso de Apple IDs gerenciados para instalar os aplicativos Apple Apps and Books. Licenças baseadas em dispositivos não são permitidas. O App Catalog exibe apenas os aplicativos Apple Apps and Books.
  • Nem todas as configurações, políticas e ações são permitidas. Veja a lista completa de configurações e políticas depois deste procedimento.
    • Caso configurações não suportadas sejam distribuídas para um dispositivo de Registro de usuário registrado do macOS, elas não serão distribuídas nem aplicadas ao dispositivo e poderão exibir uma mensagem como "Restrições: este tipo de solicitação não é válido".
    • Da mesma forma, ações não suportadas do dispositivo do administrador serão informadas na interface do usuário do Ivanti Neurons for MDM.
    • Os relatórios não suportados não serão enviados pelo Ivanti Neurons for MDM.

Veja a seguir as configurações e políticas sem suporte que devem ser distribuídas para dispositivos de Registro de usuário registrado do macOS:

  • Senha
  • Túnel
  • Tunnel (sob demanda)
  • Configurações VPN
  • Criação de conta automática do Office 365
  • Política de extensão Kernel de macOS
  • Preferência de privacidade
  • Restrições do macOS
  • Atualizações de software
  • AirPrint
  • Privacidade do cliente MI
  • FileVault 2
  • Chave de recuperação do FileVault
  • Firewall
  • Regra de política do sistema
  • Preferência de certificado
  • Controle de política do sistema
  • Gerenciamento da política do sistema
  • Restrições de Mac OS app Store
  • Restrições de gravação de disco do Mac OS
  • Configurações do Finder do Mac OS
  • Mobile@Work para macOS
  • Script do Mobile@Work para macOS
  • Controle de mídia permitido
  • Servidor de tempo
  • Política de aplicativos permitidos

Diferença entre Registro do usuário e Registro de dispositivo

Esta seção aborda a diferença entre o registro do usuário e o registro do dispositivo.

O Registro do usuário se aplica a dispositivos com iOS 13.0 e macOS 10.15 até a versão mais recente com suporte. Os dispositivos inferiores ao iOS 13.0 e ao macOS 10.15 serão considerados para "registro do dispositivo", independentemente se o usuário do dispositivo tiver sido ativado para registro do usuário ou não.

O registro do usuário para o Apple Business Manager não permite a limpeza ou desbloqueio. No entanto, o portal do usuário ainda terá essas opções disponíveis, mesmo que elas não funcionem.

Table 1.  Registro do usuário versus Registro do dispositivo

Funcionalidade

Registro do usuário

MAM

Registro de dispositivos

Apagar o dispositivo e ver os aplicativos pessoais do usuário

Converter gerenciado para não gerenciado ou vice-versa

Limpar a senha do dispositivo, configurar a VPN ou o proxy Wi-Fi em todo o dispositivo ou gerenciar a funcionalidade de celular

Ver identificadores de dispositivo como número de série, IMEI

Aplicar restrições supervisionadas

(Somente dispositivos supervisionados)

Possibilidade de instalar e configurar aplicativos e contas

Possibilidade de configurar uma VPN por aplicativo para apps, e-mail, contatos e calendários que foram instalados pelo MDM

Possibilidade de impor algumas restrições, como abertura gerenciada, contatos gerenciados, dados gerenciados na tela de bloqueio e várias outras

Possibilidade de consultar dados relacionados a aplicativos, certificados e perfis gerenciados pela empresa

Conectando o Ivanti Neurons for MDM ao Apple Business Manager

Esta seção aborda a ativação do registro do usuário para o Apple Business Manager.

Pré-requisitos

Criando usuários locais para ativar o registro do usuário

Esta seção aborda a criação de usuários locais e LDAP e a configuração do registro do usuário para dispositivos Apple não supervisionados. O registro do usuário não funcionará em dispositivos supervisionados ou dispositivos registrados no registro de dispositivos da Apple.

Criando um grupo de usuários gerenciado manualmente (estático)

Este procedimento é realizado uma única vez. Se você já criou este grupo, pule para a seção "Criando usuários para registro do usuário".

Procedimento

  1. Acesse Usuários > Grupos de usuários.
  2. Crie um grupo de usuários gerenciado manualmente (estático), como o Grupo de registro do usuário, para adicionar usuários com o tipo de registro de dispositivo como registro do usuário.
  3. Clique em Salvar.

Criando uma configuração de tipo de registro do dispositivo

Este procedimento é realizado uma única vez. Se você já criou este grupo, pule para a seção "Criando usuários para registro do usuário". Para dispositivos de Registro de usuário registrado, as configurações padrão do Proprietário do dispositivo serão "Propriedade do usuário".

Procedimento

  1. AcesseUsuários >Configurações do usuário.
  2. Na seção Configuração do registro do dispositivo, clique em + Adicionar configuração para grupos de usuários específicos.
  3. Crie uma nova configuração, como Registro UE, para usuários com tipo de registro de dispositivo como registro de usuário.
  4. Na seção Registro da Apple, selecione Registro do usuário como o tipo de registro da Apple.
  5. Clique em Avançar.
  6. Na página Distribuição de configuração do usuário, selecione o grupo de usuários recém-criado, como Grupo de registro do usuário.
  7. Clique em Concluído.

Criando um usuário local para registro do usuário

Como pré-requisito, crie um grupo de usuários gerenciado manualmente e uma configuração de registro do dispositivo para registro do usuário.

Procedimento

  1. Acesse Usuários.
  2. Clique em +Adicionar > Usuário único.

    3. Digite as novas informações do usuário e adicione-as ao grupo de usuários recém-criado, como Grupo de registro do usuário. Para obter mais informações, consulte "Adicionando um usuário" no tópico Usuários.

Importando usuários LDAP para ativar o registro do usuário

Como pré-requisito, configure um Ivanti Neurons for MDM conector para acessar os recursos de LDAP. Verifique se a configuração doApple ID gerenciadoestá definida comoPadrão (endereço de e-mail do usuário) e, opcionalmente, inclua o subdomínio "appleid" para evitar conflitos com os Apple IDs existentes. Verifique se o padrão para o Apple ID gerenciado é exclusivo. Caso contrário, a conta não será atualizada com o Apple ID gerenciado se o mesmo Apple ID gerenciado existir em outra conta.

Você pode importar usuários do LDAP e convidá-los para o registro do usuário. Os usuários LDAP importados terão seus Apple IDs gerenciados sincronizados com Ivanti Neurons for MDM, que é um requisito para o registro do usuário.

Procedimento

  1. Acesse Usuários.
  2. Clique em +Adicionar > Convidar usuários do LDAP.
  3. Clique em Selecionar usuários na entrada do servidor LDAP.
  4. Na página Adicionar usuários LDAP, insira o nome do usuário, grupo ou OU no campo de busca.
  5. Para adicionar novos usuários ou grupos, clique em +Adicionar ao lado da entrada que deseja adicionar.
  6. Clique em Concluído.

Importando usuários AAD para ativar o registro do usuário

Como pré-requisito, conecte Ivanti Neurons for MDM com o Microsoft Azure Active Directory (AAD).

Você pode convidar usuários do AAD para registro do usuário. Os usuários AAD importados terão seus Apple IDs gerenciados sincronizados com Ivanti Neurons for MDM, que é um requisito para o registro do usuário.

Procedimento

  1. Acesse Admin > Origem do usuário do Azure AD.
  2. Edite as configurações.
  3. Selecione Ativar este AAD.
  4. Na configuração do Apple ID gerenciado, selecione Padrão (endereço de e-mail do usuário). Verifique se o padrão para o Apple ID gerenciado é exclusivo. Caso contrário, a conta não será atualizada com o Apple ID gerenciado se o mesmo Apple ID gerenciado existir em outra conta.
  5. Opcionalmente, inclua o subdomínio "appleid" para evitar conflitos com os Apple IDs existentes.
  6. Selecione Convidar automaticamente usuários importados do AAD. Usuários importados do AAD para Ivanti Neurons for MDM são automaticamente convidados a se registrar por e-mail.
  7. Clique em Salvar.

Instruções do usuário do dispositivo para registrar usando o registro do usuário

Esta seção aborda as ações que o usuário do dispositivo precisa executar para registrar o registro do usuário da Apple.

Procedimento

  1. No dispositivo iOS que você deseja registrar, abra o e-mail de convite que contém um link e um texto que direcionam o usuário final para um link de registro, como mobileiron.com/go.
  2. Abra o link de registro no Safari.

    3. A página de login é exibida. O usuário do dispositivo deve efetuar login usando o usuário local ou as credenciais LDAP.

    A página de registro é exibida com uma mensagem informando que o perfil foi baixado.

  3. Toque em Configurações. A página Configurações é exibida.
  4. Toque em Registrar em [Nome da sua empresa].
  5. A página Registro do usuário será exibida.

    6. Toque em Registrar meu [seu dispositivo]. Por exemplo, toque em Registrar meu iPhone.

    Se você tocar em Cancelar e Excluir perfil, terá que iniciar o processo de registro novamente.

  6. Você receberá um login para a Apple ou sua conta federada. Digite a senha para o seu Apple ID gerenciado. (O Apple ID gerenciado será listado na parte superior da sua página de login.)

    7. Você pode receber a opção de permanecer conectado, escolha uma opção.

    Uma página exibe "Registro bem-sucedido".

Usando logs do dispositivo para solução de problemas

Para solucionar erros ou problemas de um dispositivo registrado pelo usuário, comece examinando os logs do dispositivo.

Procedimento

  1. Acesse Dispositivos.
  2. Clique no nome do dispositivo para exibir a página de detalhes do usuário. Você pode verificar os campos do Apple ID gerenciado registrado e do Registro do usuário registrado.
  3. Selecione a guia Registros.
  4. Na região Filtros, restrinja os logs do dispositivo usando filtros baseados nos nomes de ação (como Check-out, Nome do dispositivo, Definir token de inicialização, Obter token de inicialização, e assim por diante), status, data de início e data de término.
  5. Na coluna Ações, clique no ícone de olho para exibir os detalhes do registro do dispositivo, como ID do registro.
  6. Clique em OK.