Apple डिवाइस के साथ खाता संचालन नामांकन विधियाँ
खाता संचालित यूज़र नामांकन और खाता संचालित डिवाइस नामांकन से यूज़र और संगठनों को प्रबंधित Apple खाते से साइन इन करके काम के लिए Apple डिवाइस सेटअप करने के लिए अबाधित और सुरक्षित तरीक़ा उपलब्ध होता है।
इस दृष्टिकोण से प्रबंधित Apple खाते और व्यक्तिगत Apple खाते दोनों को समान डिवाइस पर साइन इन करने की सुविधा मिलती है जबकि कार्य और व्यक्तिगत डेटा की पूरी तरह से पृथकता बनी रहती है। यूज़र अपनी व्यक्तिगत सूचना के बजाय गोपनीयता बनाए रखते हैं और आईटी द्वारा कार्य संबंधी ऐप्स, सेटिंग्ज़ और खातों का समर्थन किया जाता है।
इस अलगाव का समर्थन करने के लिए ऐप्स और बैकअप को नियंत्रित करने के तरीक़े के लिए निम्नलिखित परिवर्तन किए गए हैं :
नामांकन प्रोफ़ाइल हटाने पर सभी कॉन्फ़िगरेशन और सेटिंग्ज़ को हटा लिया जाता है।
प्रबंधित ऐप्स को नामांकन हटाने के दौरान कभी भी हटाया जा सकता है।
यदि आप डिवाइस प्रबंधन सेवा में नामांकन करने से पहले ऐप्स इंस्टॉल करते हैं, तो आप उन्हें प्रबंधित ऐप्स में नहीं बदल सकते हैं।
बैकअप से रीस्टोर करने पर डिवाइस प्रबंधन सेवा नामांकन रीस्टोर नहीं होता है।
अपने व्यक्तिगत Apple खाते से साइन इन करने वाले यूज़र प्रबंधित ऐप वितरण के आमंत्रण स्वीकार नहीं कर सकते हैं।
हालाँकि, आप प्रबंधित Apple खाते मैनुअली बना सकते हैं, लेकिन संगठन Google Workspace, Microsoft Entra ID या उनके आइडेंटिटी प्रोवाइडर (IdP) के साथ इंटीग्रेशन का फ़ायदा उठा सकते हैं।
फ़ेडरेटेड प्रमाणीकरण के बारे में अधिक जानकारी के लिए Apple School Manager के साथ फ़ेडरेटेड प्रमाणीकरण का परिचय या Apple Business Manager के साथ फ़ेडरेटेड प्रमाणीकरण का परिचय देखें।
खाता संचालन नामांकन प्रक्रिया
खाता संचालित यूज़र नामांकन या खाता संचालित डिवाइस नामांकन का इस्तेमाल करके डिवाइस को नामांकित करने के लिए यूज़र सेटिंग्ज़ > सामान्य > VPN और डिवाइस प्रबंधन या सिस्टम सेटिंग्ज़ > सामान्य > डिवाइस प्रबंधन में नैविगेट करता है और फिर “कार्यस्थल या स्कूल खाते में साइन इन करें” बटन चुनता है।
इससे डिवाइस प्रबंधन सेवा में नामांकन के लिए चार-चरण वाली प्रक्रिया की शुरुआत होती है :
सेवा डिस्कवरी : डिवाइस, डिवाइस प्रबंधन सेवा का URL नामांकन निर्धारित करता है।
प्रमाणन और ऐक्सेस टोकन : यूज़र नामांकन को अधिकृत करने के लिए क्रेडेंशियल प्रदान करता है और सतत प्रमाणन के लिए जारी ऐक्सेस टोकन प्राप्त करता है।
सेवा नामांकन : नामांकन प्रोफ़ाइल डिवाइस के पास भेजा जाता है और यूज़र के लिए नामांकन पूरा करने के लिए उनके प्रबंधित Apple खाते से साइन इन करना आवश्यक होता है।
सतत प्रमाणन : डिवाइस प्रबंधन सेवा ऐक्सेस टोकन का इस्तेमाल करके साइन-इन किए गए यूज़र को सतत आधार पर सत्यापित करती है।
स्टेज 1 : सेवा खोज
पहले चरण में सेवा खोज डिवाइस प्रबंधन सेवा के नामांकन URL को चिह्नित करने की कोशिश करती है। ऐसा करने के लिए यह यूज़र द्वारा दर्ज किए गए आइडेंटिफ़ायर उदाहरण के लिए example eliza@betterbag.com का इस्तेमाल करती है। डोमेन पूरी तरह से योग्यता प्राप्त डोमेन नाम (FQDN) होना चाहिए जो यूज़र के संगठन के लिए डिवाइस प्रबंधन सेवा का विज्ञापन करता है।
फिर निम्नलिखित लागू होता है :
चरण 1
डिवाइस प्रदान किए गए आइडेंटिफ़ायर में डोमेन को चिह्नित करता है (उपरोक्त उदाहरण में betterbag.com)।
चरण 2
डिवाइस द्वारा संगठन के डोमेन से जाने-पहचाने संसाधनों का अनुरोध किया जाता है उदाहरण के लिए https://<domain>/.well-known/com.apple.remotemanagement।
क्लाइंट में HTTP GET अनुरोध के URL पाथ में दो क्वेरी पैरामीटर शामिल होते हैं :
user-identifier: दर्ज किए गए खाता आइडेंटिफ़ायर का मान (उपरोक्त उदाहरण में, eliza@betterbag.com) है।
model-family: डिवाइस का मॉडल परिवार (उदाहरण के लिए iPhone, iPad, Mac)।
नोट : डिवाइस HTTP 3xx रीडायरेक्ट अनुरोध का पालन करता है, जो वास्तविक com.apple.remotemanagement फ़ाइल को ऐसे अन्य सर्वर पर होस्ट करने की अनुमति देता है जिस तक डिवाइस द्वारा पहुँचा जा सकता है।
iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2 या बाद के संस्करण वाले डिवाइस के लिए, सेवा खोज प्रक्रिया किसी डिवाइस को Apple School Manager या Apple Business Manager से लिंक किए जाने पर उस वैकल्पिक स्थान से जाना-पहचाना संसाधन लाने की अनुमति देती है जो डिवाइस प्रबंधन सेवा द्वारा निर्दिष्ट है। सेवा खोज की पहली प्राथमिकता अभी भी संगठन के डोमेन में मौजूद जाना-पहचाना संसाधन है। यदि अनुरोध विफल हो जाता है, तो जाने-पहचाने संसाधन के वैकल्पिक स्थान के लिए डिवाइस Apple School Manager या Apple Business Manager से जाँच करने के लिए आगे बढ़ता है। यह प्रोसेस के लिए ज़रूरी है कि Apple School Manager या Apple Business Manager द्वारा आइडेंटिफ़ायर के साथ डोमेन सत्यापित किया जाए। अधिक जानकारी के लिए Apple School Manager में डोमेन जोड़ें और सत्यापित करें या Apple Business Manager में डोमेन जोड़ें और सत्यापित करें देखें।
इस क्षमता का उपयोग करने के लिए, डिवाइस प्रबंधन सेवा को Apple School Manager या Apple Business Manager से लिंक करते समय वैकल्पिक सेवा खोज URL को कॉन्फ़िगर करने की आवश्यकता होती है। जब डिवाइस Apple School Manager या Apple Business Manager से संपर्क करता है, तो डिवाइस प्रकार उस प्रकार के लिए असाइन की गई सेवा को निर्धारित करता है—यह वही प्रक्रिया है जिससे ऑटोमेटेड डिवाइस नामांकन के लिए डिफ़ॉल्ट सेवा निर्धारित की जाती है। यदि असाइन की गई सेवा में सेवा खोज URL कॉन्फ़िगर किया गया है, तो डिवाइस उस स्थान के जाने-माने संसाधन के लिए अनुरोध करने के लिए आगे बढ़ता है। डिफ़ॉल्ट डिवाइस असाइनमेंट सेट करने के लिए Apple School Manager में डिफ़ॉल्ट डिवाइस असाइनमेंट सेट करें या Apple Business Manager में डिफ़ॉल्ट डिवाइस असाइनमेंट सेट करें देखें।
डिवाइस प्रबंधन सेवा जाने-पहचाने संसाधन को भी होस्ट कर सकती है।
चरण 3
जाने-पहचाने संसाधन को होस्ट करने वाला सर्वर सेवा खोज JSON दस्तावेज़ के ज़रिए प्रतिक्रिया करता है जो निम्नलिखित स्कीमा के अनुरूप होती है :
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}डिवाइस प्रबंधन सेवा नामांकन कीज़, प्रकार और विवरण निम्नलिखित टेबल में हैं। सभी कीज़ आवश्यक हैं।
“की” | प्रकार | वर्णन |
|---|---|---|
सर्वर | ऐरे | एकल प्रविष्टि वाली सूची। |
संस्करण | स्ट्रिंग | यह “की” उस नामांकन विधि को निर्धारित करती है जिसे इस्तेमाल किया जाना है और यह यूज़र नामांकन के लिए |
BaseURL | स्ट्रिंग | डिवाइस प्रबंधन सेवा का नामांकन URL |
महत्वपूर्ण : सर्वर के द्वारा यह सुनिश्चित किया जाना आवश्यक है कि HTTP प्रतिक्रिया में Content-Type हेडर फ़ील्ड को application/json पर सेट किया गया है।
चरण 4
डिवाइस HTTP POST अनुरोध नामांकन URL को भेजता है जो BaseURL से निर्दिष्ट होता है।
स्टेज 2 : प्रमाणन और ऐक्सेस टोकन
नामांकन को अधिकृत करने के लिए यूज़र को डिवाइस प्रबंधन सेवा से प्रमाणित करने की आवश्यकता होती है। सफल प्रमाणन के बाद डिवाइस प्रबंधन सेवा डिवाइस को एक ऐक्सेस टोकन जारी करती है। उत्तरवर्ती अनुरोधों को अधिकृत करने पर डिवाइस उपयोग के लिए टोकन को सुरक्षित रूप से संग्रहित करता है।
ऐक्सेस टोकन :
डिवाइस प्रबंधन सेवा संसाधनों की आरंभिक प्रमाणन प्रक्रिया और सतत ऐक्सेस दोनों में मुख्य रूप से उपस्थित होती है
यूज़र के प्रबंधित Apple खाते और डिवाइस प्रबंधन सेवा के बीच सुरक्षित पुल के रूप में काम करती है
इसका इस्तेमाल सभी खाता संचालित डिवाइस नामांकन के लिए कार्य संबंधी संसाधनों के सतत ऐक्सेस की अनुमति देने के लिए किया जाता है
iPhone, iPad और Apple Vision Pro पर, बार-बार प्रमाणन संकेत कम करने के लिए नामांकन SSO का उपयोग करके आरंभिक और सतत प्रमाणीकरण प्रक्रिया को सुगम बनाया जा सकता है। अधिक जानकारी के लिए iPhone, iPad और Apple Vision Pro के लिए नामांकन सिंगल साइन-ऑन देखें।
स्टेज 3 : डिवाइस प्रबंधन सेवा नामांकन
ऐक्सेस टोकन का इस्तेमाल करके डिवाइस, डिवाइस प्रबंधन सेवा के साथ प्रमाणित कर सकता है और नामांकन प्रोफ़ाइल को ऐक्सेस कर सकता है। इस प्रोफ़ाइल में डिवाइस द्वारा नामांकन करने के लिए आवश्यक सभी जानकारी मौजूद होती है। नामांकन पूरा करने के लिए यूज़र को अपने प्रबंधित Apple खाते से सफलतापूर्वक साइन इन करना आवश्यक है। नामांकन पूरा होने के बाद प्रबंधित Apple खाता सेटिंग्ज़ और सिस्टम सेटिंग्ज़ के भीतर प्रमुखता से प्रदर्शित होता है।
यूज़र को कौन सी iCloud सेवाएँ उपलब्ध हैं, इस बारे में अधिक जानकारी के लिए iCloud सेवाएँ ऐक्सेस करें देखें।
स्टेज 4 : सतत प्रमाणन
नामांकन के बाद ऐक्सेस टोकन सक्रिय रहता है और इसे ऑथराइज़ेशन HTTP हेडर का इस्तेमाल करके डिवाइस प्रबंधन सेवा को किए जाने वाले सभी अनुरोधों में शामिल किया जाता है। इससे सेवा को अनुमति मिलती है कि यूज़र को निरंतर सत्यापित किया जाए और यह सुनिश्चित करने में मदद मिलती है कि केवल अधिकृत यूज़र के पास सांगठनिक संसाधनों का ऐक्सेस रहे।
ऐक्सेस टोकन की समय सीमा आम तौर पर एक निर्धारित अवधि के बाद समाप्त हो जाती है। ऐसा होने पर ऐक्सेस टोकन को नवीनीकृत करने के लिए डिवाइस फिर से प्रमाणित करने के लिए यूज़र को संकेत दे सकता है। नियमित रूप से फिर से वैलिडेशन से सुरक्षा अपलोड करने में मदद मिलती है जो व्यक्तिगत और सांगठनिक के ओनरशिप वाले डिवाइस के लिए महत्वपूर्ण है। नामांकन SSO से संगठन के आइडेंटिटी प्रोवाइडर के ज़रिए टोकन नवीनीकरण ऑटोमैटिकली होता है जिससे सुनिश्चित होता है कि फिर से प्रमाणित किए बिना अबाधित ऐक्सेस मिले।
खाता संचालित नामांकन विधियों की मदद से यूज़र डेटा को संगठन के डेटा से कैसे अलग किया जाता है
जब खाता संचालित यूज़र नामांकन या खाता संचालित डिवाइस नामांकन पूरा हो जाता है, तो ऑपरेटिंग सिस्टम ऑटोमैटिकली डिवाइस पर अलग एंक्रिप्शन कीज़ बनाता है। यदि यूज़र डिवाइस का नामांकन रद्द कर देता है या यदि डिवाइस प्रबंधन सेवा रिमोटली उसका नामांकन रद्द कर देती है, तो ऑपरेटिंग सिस्टम उन एंक्रिप्शन कीज़ को नष्ट कर देता है। ऑपरेटिंग सिस्टम इस टेबल में सूचीबद्ध प्रबंधित डेटा को क्रिप्टोग्राफ़िक रूप से अलग करने के लिए कीज़ का उपयोग करता है।
कॉन्टेंट | न्यूनतम समर्थित ऑपरेटिंग सिस्टम संस्करण | वर्णन | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
प्रबंधित ऐप डेटा कंटेनर | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | प्रबंधित ऐप्स डिवाइस प्रबंधन सेवा नामांकन से संबंधित प्रबंधित Apple खाते का उपयोग iCloud डेटा सिंक्रोनाइज़ेशन के लिए करते हैं। इसमें CloudKit का इस्तेमाल करने वाले Mac पर प्रबंधित ऐप्स ( | |||||||||
कैलेंडर ऐप | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | इवेंट अलग हैं। | |||||||||
कीचेन आइटम | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | तृतीय-पक्ष Mac ऐप के द्वारा डेटा सुरक्षा कीचेन API का इस्तेमाल किया जाना आवश्यक है। अधिक जानकारी के लिए Apple डेवलपर वेबसाइट पर ग्लोबल वैरिएबल kSecUseDataProtectionKeychain देखें। | |||||||||
मेल ऐप | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | मेल अटैचमेंट और मेल संदेश का मुख्य भाग अलग हैं। | |||||||||
नोट्स ऐप | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | नोट्स अलग हैं। | |||||||||
रिमाइंडर ऐप | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | रिमाइंडर अलग हैं। | |||||||||
iPhone, iPad और Apple Vision Pro पर प्रबंधित ऐप्स और प्रबंधित वेब आधारित दस्तावेज़, सभी के पास संगठन की iCloud Drive (जो यूज़र द्वारा अपने प्रबंधित Apple खाते से साइन इन किए जाने के बाद फ़ाइल ऐप में अलग-अलग दिखाई देता है) का ऐक्सेस होता है। डिवाइस प्रबंधन सेवा ऐडमिनिस्ट्रेटर से विशिष्ट प्रतिबंधों का इस्तेमाल करते हुए विशिष्ट निजी दस्तावेज़ों और संगठन के दस्तावेज़ों को अलग रखने में सहायता मिल सकती है। अधिक जानकारी के लिए प्रबंधित ऐप्स Apple डिवाइस को वितरित करें देखें।
यदि यूज़र ने व्यक्तिगत Apple खाते और प्रबंधित Apple खाते से साइन इन किया है, तो Apple द्वारा प्रबंधित ऐप्स के लिए प्रबंधित Apple खाते और अप्रबंधित ऐप्स के लिए व्यक्तिगत Apple खाते का ऑटोमैटिकली उपयोग किया जाता है। प्रबंधित ऐप में Safari या SafariWebView में साइन-इन फ़्लो का इस्तेमाल करते हुए, यूज़र साइन-इन को अपने कार्यस्थल या स्कूल के खाते से संबद्ध करने के लिए अपने प्रबंधित Apple खाते को चुन और दर्ज कर सकता है।
