Skrevet af

Ole Bülow, Commercial Manager

Systemadministratorer, it-chefer og direktører kender det. Brugerne kender det. Udfordringerne med Apple-id’er. For i mange år var det en nødvendighed for en bruger at have et Apple-id for at kunne få apps på sin enhed. Det gav også problemer da Find My iPhone, og Activation Lock blev introduceret.

Det ændrede sig dog drastisk, da Apple introducerede Apple Device Enrollment Program (DEP) i forhold til enheder og Apple Volume Purchase Program (VPP), som nu begge hører under Apple Business Manager. Dermed kunne vi pludselig udrulle enheder trådløst til brugere uden Activation Lock, og vi kunne købe applikationer og bøger og udrulle dem til brugere - uden behovet for et Apple-id, men ved hjælp af et MDM-værktøj som fx Microsoft Endpoint Manager (tidl. Microsoft Intune). Læs mere om dét her.

Men hvis brugeren så ønsker at gøre brug af Apple’s omfattende økosystem af tjenester, kræver det stadig et Apple-id. Det har gjort, at vi har levet i et limbo af, at brugerne enten bruger deres private Apple-id eller har oprettet et med deres arbejdsmail. Og  har vi balladen med glemte passwords!
For at løse det, har Apple lanceret et par nyheder i Apple Business Manager, der virkelig løser alle disse udfordringer og sikrer identitetsstyring med en god brugerlevelse:

  • Managed Apple-id
  • Custom Domains
  • Azure AD Federated Authentication
  • SCIM integration
  • Single Sign-On Extension

Managed Apple-id

Som ethvert Apple-id bruges Managed Apple-id til at personalisere en enhed, men også til at få adgang til Apple's apps og tjenester. I modsætning til et almindeligt Apple-id er et Managed Apple-id udstedt, ejet og administreret af arbejdsgiveren. Managed Apple-id’er kom først til Apple School Manager og krævede manuel oprettelse. I den "nye" version er de også kommet til Apple Business Manager, OG nu kan vi provisionere dem via SCIM-integrationen til Azure AD! Dermed sikrer vi, at brugerne kan benytte deres eksisterende Azure AD konti, og at kontrollen og sikkerheden kommer fra Azure AD’et.

Et Managed Apple-id giver brugeren adgang til følgende tjenester:

  • Specifikke iCloud-tjenester, herunder samarbejde med iWork og Noter. Brugeren har ikke adgang til iCloud Mail, Familiedeling eller iCloud nøglering - disse kan dog bruges med det private Apple-id, der kan co-eksistere på enheden!
  • FaceTime er kun tilgængelig, når et Managed Apple-id er det eneste Apple-id på enheden
  • iMessage er kun tilgængelig, når et Managed Apple-id er det eneste Apple-id på enheden
  • Søgning efter brugerkonto. Brugerne kan søge efter andre brugeres kontaktoplysninger i Azure Ad synkroniserede brugere, så der kan samarbejdes på tværs af Apple’s apps

Alt sammen med Apple’s indbyggede anonymitet og sikkerhed. Managed Apple-id’er bruger de samme datakrypteringsbeskyttelser som private Apple-id’er og blokeres mod målrettede reklamer på Apple's reklameplatform. Handel er deaktiveret, og det samme er adgangen til tjenester som Apple Pay og Wallet. Find My iPhone er deaktiveret, fordi arbejdsgiveren kan bruge funktionen Mistet Enhed via MDM-værktøjet.

Custom Domains

Med Custom domains kan man - som administrator i Apple Business Manager - tilføje organisationens domæner og validere ejerskabet af disse. Det sikrer, at når en bruger opretter et Apple-id med det givne domæne som mailadresse, så bliver kontoen markeret som Managed. Ejerskabet sker ved at man tilføjer en TXT-record i DNS-opsætningen for det givne domæne.

Azure AD Federated Authentication

Det er svært at udtale, men jeg lover, at det er drønsmart! For med Federated Authentication kan man forbinde Apple Business Manager med sit eksisterende Microsoft Azure Active Directory (Azure AD), så medarbejdere kan anvende deres eksisterende brugernavne og adgangskoder som Managed Apple-id’er. Microsoft Azure AD er dermed identitetsstyrende - som det, man kalder Identity Provider (IdP) - og dermed er konti til Apple Business Manager drevet af Azure AD'et.

Med ét slag sikrer man, at alle organisationens Managed Apple-id’er styres i Azure AD og er sikret af dennes adgangskodepolitikker og multifaktorgodkendelser. Samtidig sikres det at eventuel nulstilling af adgangskoder sker i Azure AD, og at brugeroprettelser og nedlæggelser sker i Azure AD.

SCIM-integration

System for Cross-domain Identity Management (SCIM), er - som min kollega og infrastructure specialist, Søren Lassen, udtaler - en industristandard for opslag og opdatering af brugeridentiteter på tværs af systemer og platforme. Med understøttelse af SCIM opnås et fælles sprog, hvor platforme er i stand til at udveksle brugerinformationer på en sikker og kontrolleret måde. Dét har Apple bygget ind i Apple Business Manager og med integration til Microsoft Azure Active Directory (Azure AD). Med SCIM-integrationen synkroniseres brugere automatisk fra Azure AD over i Apple Business Manager. Man vælger i integrationen, om alle brugere skal synkroniseres, eller om det skal være udvalgte brugere og/eller grupper.

Single Sign-On Extension

Single Sign-On Extensions blev lanceret i 2019 til iOS 13, iPadOS13 og macOS Catalina og gør det muligt at udnytte Single Sign-On (SSO) i native apps samt i WebKit (Safari) på brugernes enheder. Med SSO sikrer man, at brugerne logger ind med deres eksisterende credentials i et ensartet User Interface på både native og web apps - og det understøtter de eksisterende multifaktor-valideringsmekanismer deri. Den gode nyhed heri er, at Microsoft lige nu kører preview på denne funktionalitet i Microsoft Endpoint Manager (Intune) via Microsoft Enterprise SSO plug-in for Apple devices (der sikrer Single Sign-On via Microsoft Azure AD på tværs af alle native apps og WebKit apps, der understøtter Apple's Single Sign-On Extension). I skrivende stund fungerer det kun i iOS og iPadOS, men Microsoft arbejder på at levere samme oplevelse i macOS.

Sådan kommer du i gang

Med implementeringen af ovennævnte nye funktioner i Apple Business Manager får du som organisation styr på jeres Apple-id’er, idet alle eksisterende Apple-id’er med arbejdsgivers mail-adresse konverteres til et managed Apple-id (brugeren får mulighed for at migrere eventuelle private køb og data ud inden).

Alle brugere kan få muligheden for et Managed Apple-id og samtidig - hvis de ønsker det - fortsætte med det private Apple-id, da de to id'er kan sameksistere på enheden. Det sker ved hjælp af brugerens eksisterende credentials, det kan udnytte SSO og understøtter multifaktorgodkendelse som fx Microsoft Authenticator.

I edgemo råder vi over mange specialister inden for både Apple, Azure og device management via Microsoft Endpoint Manager. Fælles for dem er, at de er vildt begejstrede for den nye funktionalitet i Apple Business Manager og står klar til at hjælpe dig med at få det implementeret.

Tøv ikke med at "tænde kontakten" herunder, så vi i fælleskab kan skabe en mere sikker måde at håndtere Apple-id’er med en meget forbedret brugeroplevelse til følge.

Tænd kontakten

Vil du vide mere?

Udfyld felterne, så kontakter vi dig senest næste arbejdsdag. Du er også altid velkommen på +45 69 89 88 00 eller info@edgemo.com - og i menuen under Kontakt finder du alle edgemo people's kontaktdata.