適用於「管理式 Apple 帳户」的 iCloud
視你的機構部署模型而定,你的受管理裝置用户可能會使用其個人 Apple 帳户、「管理式 Apple 帳户」、兩者均會使用,或兩者均不使用。
針對使用機構持有裝置的用户,請考慮向其提供「管理式 Apple 帳户」。 因為該帳户為你的機構擁有,之後你除了可以管理其能取用的服務外,也能管理其可以登入的裝置。
iCloud 服務
用户可以透過「管理式 Apple 帳户」可用的 iCloud 服務儲存內容,例如通訊錄、日曆、文件和備忘錄;並且可以在多部 Apple 裝置上讓這些內容保持更新。 iCloud 在透過互聯網傳送內容時會進行加密、以加密的格式儲存內容並使用安全代號來認證,藉此保護你的資料安全。 如需更多 iCloud 保安的資料,請參閲「Apple 平台保安」中的 iCloud 保安概覽。
附註:部份 iCloud 功能需要 Wi-Fi 連線,某些功能不適用於部份國家或地區,並且有些服務只限 10 部使用相同 Apple 帳户的裝置取用。
iCloud 雲碟
用户可以在「iCloud 雲碟」上儲存文件和檔案,並且在已設定 iCloud 的 iPhone、iPad 和 Mac 裝置以及 Windows 電腦上取用。 文件會在所有裝置上保持更新,而且用户離線時對檔案所作出的變更會在裝置上網時自動更新。
用户也可以設定讓 macOS 的「桌面」和「文件」資料夾自動儲存至「iCloud 雲碟」,讓用户可以從所有裝置上取得這些內容。
用户甚至可以共同編輯儲存在「iCloud 雲碟」中的文件,前提是必須為 Pages、Numbers、Keynote 和其他支援 CloudKit 的 App 製作的文件。 針對「管理式 Apple 帳户」,機構可以定義只能與內部用户共同編輯,或是也可以與外部用户共同編輯。
iCloud 鑰匙圈
「iCloud 鑰匙圈」會讓 Safari 中使用的 Wi-Fi 網絡密碼和網站密碼在所有已透過 iCloud 設定的 iPhone、iPad 和 Mac 裝置上保持最新狀態。 它也會儲存互聯網帳户登入和設定資料,以及支援 iCloud 的其他 App 密碼。 「iCloud 鑰匙圈」也能儲存用户在 Safari 中儲存的信用卡資料,讓 Safari 可以自動填寫資料。
「iCloud 鑰匙圈」是由兩種服務構成:
讓「鑰匙圈」在所有裝置上保持最新狀態
鑰匙圈還原
為了安全地交換鑰匙圈項目,系統會建立信任圈並在用户已核准的裝置之間使用。 新加入信任圈的裝置需要經由現有的「iCloud 鑰匙圈」裝置核准,或使用「iCloud 鑰匙圈」還原核准。 同步的每個項目都已加密,因此只能由用户信任圈內的裝置解密;項目無法被任何其他裝置解密或由 Apple 解密。
「iCloud 鑰匙圈」將用户的鑰匙圈資料託管給 Apple,且不允許 Apple 讀取其中的密碼和其他資料。 即使用户只有單一裝置,鑰匙圈還原會提供以防資料遺失的安全網絡。 如果使用了 Safari 來為網頁帳户隨機產生強式密碼,鑰匙圈還原就顯得格外重要,因為只有鑰匙圈會記錄這些密碼。
鑰匙圈還原的部份包括二次驗證和安全託管服務,由 Apple 專門為支援此功能而製作。 用户的鑰匙圈使用高強度加密密鑰進行加密,而且託管服務只會在符合一組嚴格的條件,且用户輸入他們其中一部之前裝置的密碼時,才會提供該密鑰的副本。
重要事項:「管理式 Apple 帳户」不支援使用還原聯絡人進行「iCloud 鑰匙圈」還原。
通行密匙
通行密匙的設計旨在提供方便且安全的無密碼登入體驗。 其是一種基於標準的技術,可以抵禦網絡釣魚,十分強大且沒有共享秘密。
透過「管理式 Apple 帳户」的「iCloud 鑰匙圈」支援,機構可以部署通行密匙,以允許員工取用公司資源,並確保通行密匙安全地同步到所有 iPhone、iPad 和 Mac 裝置。 使用取用權限管理功能,他們亦可以定義裝置所需的管理狀態,以允許取用受管理的通行密匙。
聲明式通行密匙證明設定允許受管理裝置在為機構服務佈建通行密匙時提供證明。 當用户使用設定中指定的網域註冊網站或 App 的通行密匙時,就會提供證明。 裝置安全地產生通行密匙後,其會使用設定中定義的證書身份對取用的服務執行 WebAuthn 證明。 這允許服務在佈建取用之前驗證通行密匙是否在機構管理的裝置上製作。
產生的通行密匙會自動儲存在連繫至「管理式 Apple 帳户」的「iCloud 鑰匙圈」中。 如沒有「管理式 Apple 帳户」,則無法製作通行密匙。
為了向用户提供簡單的登入流程,App 開發者可以利用關聯網域來在網域與其 App 之間建立安全關聯(並可選擇透過 MDM 允許關聯網域的設定)。 可用時,iOS、iPadOS 和 macOS 可以自動選擇並提供正確的通行密匙,以獲得流暢的登入體驗。 如驗證由第三方服務執行,可以改用 ASWebAuthenticationSession。
如需更多資料,請參閲:「通行密匙證明」聲明式設定。
取用 iCloud 服務
在「設定輔助程式」期間使用「管理式 Apple 帳户」登入,或使用「設定」(iPhone 和 iPad)或「系統設定」(Mac)最上方的 Apple 帳户選單項目登入,即可取用帳户可用的所有服務。
用户可在「設定」>「郵件」>「帳户」(iPhone、iPad 和 Apple Vision Pro)或「系統設定」>「互聯網帳户」(Mac)中新增其他帳户,以取用由其他個人 Apple 帳户儲存的郵件(該帳户的可用郵件)、通訊錄和日曆,以及「管理式 Apple 帳户」的通訊錄、日曆和提醒事項。
由帳户控制的「裝置註冊」和「用户註冊」將具有「管理式Apple 帳户」的裝置上可取用之服務列表延伸至通訊錄、日曆、提醒事項、備忘錄、「iCloud 雲端硬碟」和「iCloud 備份」。
管理 iCloud 取用
你可以在 Apple School Manager 和 Apple Business Manager 關閉「管理式 Apple 帳户」可用的個別 iCloud 服務。 此外,你可以決定用户可以登入的裝置、取用其「管理式 Apple 帳户」的資料,並指定其可以通訊和共同編輯的對象。 如用户主要使用個人的 Apple 帳户,機構可以透過取用限制在受管理的裝置上停用某些 iCloud 服務。 請注意,部份取用限制要求裝置受監管。