Поддержка Консалтинг Обучение Jamf Pro Блог

Управляемые Apple ID и общий режим iPad

Антон Конобеев 16.03.2023

Это перевод статьи

Местами вольный. Оригинал можно найти тут

Данная статья предназначена в основном для того, чтобы поиздеваться показать, какие возможности доступны для тех наших клиентов, которые релоцировались за границу. Перечень стран, для которых доступны все те вещи, о которых пойдет речь — по этой ссылке.

Изначально управляемые Apple ID предназначались для образовательных учреждений, управлялись с помощью Apple School Manager (ASM) и использовались на устройствах студентов. Через некоторое время после появления они стали доступны для бизнеса через Apple Business Manager (ABM). Функционал и для школ, и для бизнеса был одинаковый: покупка лицензий приложений и книг для сотрудников, управление устройствами и их автоматический энролл с помощью Device Enrolment Program (DEP), добавление других пользователей и назначение им прав.

Управляемые Apple ID также должны были упростить распределение приложений и прочего контента между рабочими устройствами сотрудников, но в действительности сейчас многим проще сделать это с помощью MDM-решений, назначив лицензии прямо на устройства, а управляемые Apple ID использовать только для администрирования ABM или ASM.

Плюсы и минусы использования управляемых Apple ID

Управляемые Apple ID:

  • Принадлежат компании и ей же контролируются;
  • Могут создаваться автоматически с помощью интеграции с Microsoft Azure Active Directory (Azure AD) или Google Workspace;
  • Позволяют пользоваться режимом Shared iPad;
  • Не дают вашим пользователям создать личные Apple ID в домене компании.

Основной минус в том, что для управляемых Apple ID ограничен или вовсе закрыт доступ к некоторым из сервисов Apple. Подробнее тут.

Как создать управляемый Apple ID?

Раньше можно было только вручную, но сейчас можно также немного упростить себе жизнь благодаря интеграциям.

Вручную

Руками управляемый Apple ID можно создать с помощью веб-интерфейса ABM. Подробное описание для зануд можно найти тут, но в двух словах: не забыв указать и подтвердить ваш домен, вы создаете аккаунт и назначаете на него желаемые права, выбор которых не очень большой. Создаваемые аккаунты всегда можно подредактировать, так что не относитесь к этому слишком серьезно.

Создание управляемых Apple ID с помощью интеграций (Federation)

Второй способ создать управляемые Apple ID — уже упомянутая интеграция в Apple Business Manager вашей организации Azure AD или Google Workspace. С ее помощью Apple ID будут автоматически создаваться в момент запроса для всех тех аккаунтов, которые есть в вашем интегрированном сервисе, причем с тем же паролем. Подробнее в документации от Apple.

Подтверждать домен тоже, само собой, нужно перед настройкой всего этого великолепия. Есть и еще пара мелочей, о которых стоит знать: для Azure AD, поля User Principal Name (UPN) у всех пользователей должны совпадать с их почтовым ящиком; также для Azure для корректной работы требуется macOS 10.13.4, iOS 11.3, iPadOS 13.1 или новее. Интеграция с Google Workspace появилась немного позже, так что требует iOS 15.5, iPadOS 15.5 или macOS 12.4 или новее.

Синхронизация пользователей

Помимо интеграции, Apple также поддерживает синхронизацию пользователей как с Azure AD (с помощью SCIM, System for Cross-domain Identity Management) так и с Google Workspace для создания Apple ID для уже существующих аккаунтов. Это может быть удобным в случае необходимости ввести большое количество аккаунтов с определенным уровнем доступа в Apple Business Manager. Документацию по этому режиму можно найти тут для Azure AD и тут для Google Workspace.

Как преобразовать обычный Apple ID в управляемый?

Если вы используете маки в вашей работе, то с большой вероятностью у ваших пользователей уже есть Apple ID в вашем домене, поэтому обсудить вопрос конвертации будет не лишним. 

Прямой конвертации нет, но Apple предлагает процесс, который с одной стороны позволяет компаниям избавиться от всех аккаунтов, зарегистрированных на их доменные имена, а с другой позволяет пользователям проблемных аккаунтов сохранить их в целости вместе со всем купленным контентом.

Суть такова: Apple предупреждает пользователей всех затронутых аккаунтов либо через электронную почту и с помощью уведомлений на устройствах, что им нужно изменить ящик, к которому привязан Apple ID на другой, вне текущего домена. На это дается приличное количество времени, около месяца — уточнить можно в документации Apple по этому процессу.

Главное — помните, что управляемые Apple ID ограничены в функционале и сервисах относительно обычных потребительских аккаунтов. Разделяйте сферы их сферы применения и объясните эти моменты вашим пользователям.

Использование управляемых Apple ID для режима Shared iPad

Самый интересный способ использования управляемых Apple ID, достойный отдельного упоминания это Shared (или общий) iPad, который позволяет нескольким работникам пользоваться одним устройством и при этом ни в чем себе не отказывать.

Изначально этот режим был доступен только через Apple School Manager, но затем его открыли также и бизнес-клиентам, начиная с iPadOS 13.4. До этого компаниям приходилось для подобных сценариев использования либо изобретать собственные методы с помощью MDM или стороннего софта, либо просто сбрасывать устройства при каждой передаче от владельца к владельцу.

Также обращу внимание — для настройки этого режима он должен поддерживаться вашим MDM-решением.

Когда пользователь логинится в iPad со своим Apple ID, iPadOS выделяет на устройстве место под ползовательские данные. Всё, что нагенерирует пользователь, сохраняется на самом iPad, кэшируется на локальные устройства и копируется в облако, то есть становится доступно пользователю и на других подобных устройствах при логине. Когда пользователь выходит из своей учетной записи, его данные, оставаясь недоступными для других пользователей, будут ждать следующего логина.

Такой режим доступен для iPad mini (4 поколение или новее), iPad Air (2 поколение или новее), iPad (5 поколение или новее) и для всех моделей iPad Pro. У устройство должно быть не менее 32ГБ памяти.

Кстати, про память: при конфигурировании общего iPad нужно будет указать, сколько памяти будет доступно каждому пользователю. Ну или количество пользователей, что по сути приведет к одному и тому же. Но помните про то, что во-первых каждый новый логин — это очередная выгрузка или загрузка в iCloud, а во-вторых все любят, когда памяти достаточно, так что лучше не перебарщивать с количеством пользователя на устройство.

Вводятся в такой режим только те айпады, которые энроллятся автоматически через DEP. После энролла устройство перезагрузится уже в общем режиме, и избавиться от него можно будет только стерев устройство.

Проще всего использовать общий режим, когда у вас настроена интеграция с Azure или Google: у всех пользователей уже будут подходящие учетные записи. Если же нет, то придется создавать аккаунты вручную.

Хотя можно пользоваться и без управляемых Apple ID, но только в режиме гостя (iPadOS 13.4 и новее). Все данные после завершения сессии будут стёрты, а настройки сброшены.