Scheid werk- en privégegevens op iOS-apparaten.

Ondersteunde edities voor deze functie: Frontline Starter, Frontline Standard en Frontline Plus; Business Plus; Enterprise Standard en Enterprise Plus; Education Standard, Education Plus en Endpoint Education Upgrade; Enterprise Essentials en Enterprise Essentials Plus; G Suite Basic en G Suite Business; Cloud Identity Premium. Vergelijk uw editie

Als beheerder kunt u alle gegevens op het persoonlijke iOS-apparaat van een gebruiker beheren, of alleen de werkgegevens. Apple User Enrollment scheidt werk- en privégegevens op iOS-apparaten, zodat u volledige controle hebt over de werkgegevens op het apparaat, terwijl gebruikers de privacy van hun privégegevens behouden.

Vergelijk de opties voor het registreren van iOS-apparaten.

Voor BYOD (Bring Your Own Device) iOS-apparaten kun je kiezen tussen apparaatregistratie en gebruikersregistratie. Elk registratietype biedt een andere set functies.

• Gebruik gebruikersregistratie als u werkgegevens op het apparaat wilt beveiligen en de gebruiker privacy wilt bieden met betrekking tot zijn of haar persoonlijke gegevens.
• Gebruik apparaatregistratie voor meer controle over het apparaat, inclusief de mogelijkheid om het apparaat te wissen.

Mobiele beheerfunctie	Apparaatregistratie	Gebruikersregistratie
Configureer accounts om toegang te krijgen tot werkgegevens in ingebouwde iOS-apps.	✔	✔
Apps installeren en configureren	✔	✔
Vereis wachtwoorden voor apparaten	✔	✔
Bekijk het overzicht van werk-apps	✔	✔
Verwijder alleen werkgegevens	✔	✔
Een sterk wachtwoord is vereist.	✔
Toegang tot de inventaris van persoonlijke apps	✔
Wis op afstand het volledige apparaat (inclusief persoonlijke gegevens)	✔

Voordat je begint

• Gebruikersregistratie wordt ondersteund op persoonlijke apparaten met iOS 15.5 en hoger. Het is niet beschikbaar voor apparaten die eigendom zijn van het bedrijf.

Let op: de oorspronkelijke, op profielen gebaseerde methode voor gebruikersregistratie (ondersteund op iOS 15.5 en later) wordt niet langer ondersteund voor apparaten met iOS 18 en later.

• Zorg dat u de aanmeldgegevens hebt voor zowel de Google Admin-console als Apple Business Manager of Apple School Manager van uw organisatie.
• Schakel geavanceerd mobiel beheer in voor de organisatie-eenheid die de apparaten gaat gebruiken.
• Stel het Apple Volume Purchase Program (VPP) in om werkgerelateerde apps aan gebruikers te distribueren.

Stap 1: Apple Business Manager koppelen aan Google Workspace

Je koppelt Apple Business Manager of Apple School Manager aan Google Workspace, zodat gebruikers hun Google Workspace-gebruikersnamen als beheerde Apple ID's kunnen gebruiken. Ze kunnen deze gegevens vervolgens gebruiken om in te loggen op hun iOS-apparaat. Je hebt licenties nodig voor de Google Device Policy-app en alle andere apps die je wilt distribueren naar apparaten die aan gebruikers zijn gekoppeld. Om Apple Business Manager aan Google Workspace te koppelen:

1. Open Apple Business Manager of Apple School Manager en meld u aan met uw zakelijke Apple ID.
2. Selecteer linksonder uw naam. Voorkeuren Beheerde Apple-accounts .
3. Klik naast 'Federated Authentication' op 'Bewerken' .
4. Selecteer Google Werkruimte Maak verbinding en meld u aan met uw Google Workspace-beheerdersaccount.
5. Vink het vakje naast elk van de gevraagde machtigingen aan en klik op Doorgaan. Klaar .
6. Klik naast Domeinen op Bewerken .
7. Klik naast uw geverifieerde domein op 'Federeren' .
8. Klik aan de linkerkant op Mapsynchronisatie en schakel Google Workspace-synchronisatie in.

Stap 2: App-licenties verkrijgen voor Google Device Policy

Je hebt licenties nodig voor de Device Policy-app en alle andere apps die je wilt distribueren naar apparaten die door gebruikers zijn geregistreerd. Ga naar iOS-apps distribueren met Apple VPP voor meer informatie.

Stap 3: Selecteer het type inschrijving

Voordat u begint: Als u apparaten hebt met verschillende registratievereisten, stelt u voor elk registratietype een organisatie-eenheid in. Bedrijfsapparaten worden bijvoorbeeld geregistreerd via de apparaatregistratiemethode, dus zorg ervoor dat ze zich in een organisatie-eenheid bevinden waar 'Apparaatregistratie' of 'Gebruikerskeuze' is geselecteerd. Zie ' Een organisatie-eenheid toevoegen' voor meer informatie.

1. Ga in de Google Admin-console naar Menu. Apparaten Mobiel & eindpunten Instellingen iOS .

   Ga naar iOS

   Hiervoor is beheerdersrechten voor services en apparaten vereist.

2. Klik op Inschrijven .
3. (Optioneel) Om de instelling op een afdeling of team toe te passen, selecteert u aan de zijkant een organisatie-eenheid .
4. Kies een optie (één per organisatie-eenheid):
   • (Standaard) Om werk- en persoonlijke gegevens op persoonlijke iOS-apparaten te beheren, selecteer je Apparaatregistratie .
   • Om alleen de werkgegevens op persoonlijke apparaten te beheren, selecteer je Gebruikersregistratie .
     Om de instelling alleen op nieuwe apparaten toe te passen, vinkt u het vakje 'Apparaatregistratie toestaan ​​voor bestaande gebruikers' aan.
   • Om de gebruiker zelf het type inschrijving te laten kiezen, selecteer je 'Keuze van de gebruiker' .
     • Als de gebruiker kiest voor apparaatregistratie, moet hij of zij de Google Device Policy-app en het configuratieprofiel installeren. Zie Google Device Policy-app installeren voor meer informatie.
     • Als ze kiezen voor Gebruikersregistratie, ga dan naar stap 5 (verderop op deze pagina) voor de instructies om het apparaat te registreren.
5. Klik op Opslaan. Of u kunt voor een organisatie-eenheid op Overschrijven klikken.

   Om de overgeërfde waarde later te herstellen, klikt u op Overnemen .

Stap 4: Gebruikersregistratie op basis van accounts instellen

Vereist voor iOS 18 en latere apparaten. Optioneel voor iOS 17 en eerdere apparaten.

Stel accountgestuurde gebruikersregistratie in, zodat gebruikers hun persoonlijke apparaten kunnen registreren in de iOS-instellingen-app. Om accountgestuurde registratie in te stellen, moet u service discovery configureren door registratiegegevens op uw webserver te hosten. Hierdoor kan Apple de informatie ophalen via Google Endpoint Management.

Servicedetectie configureren

1. Definieer het JSON-document voor service discovery:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Configureer uw webhosting zodanig dat het JSON-document vanaf de volgende locatie wordt aangeboden:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Belangrijk:

   • Zorg ervoor dat de Content-Type-header in het HTTP-antwoord is ingesteld op application/json.
   • Het SSL-certificaat voor de webserver moet zijn uitgegeven door een vertrouwde certificeringsinstantie en dezelfde volledig gekwalificeerde domeinnaam (FQDN) hebben als de geverifieerde domeinnaam die in stap 1 (eerder op deze pagina) is ingesteld.
   • De service discovery-configuratie moet worden gehost op een server die HTTPS GET-verzoeken ondersteunt.

3. Controleer de configuratie van de service discovery door het volgende commando uit te voeren:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Zorg ervoor dat de webserver die het JSON-bestand aanbiedt, extra URL-parameters kan verwerken. Bepaalde iOS-versies voegen mogelijk de volgende parameters toe aan het HTTP GET-verzoek:

   • gebruikers-ID — de identificatiecode van het gebruikersaccount (bijvoorbeeld email@yourdomain.com)
   • model-familie — de modelfamilie van het apparaat (bijvoorbeeld iPhone of iPad)

   Het commando zou een reactie moeten afdrukken die lijkt op:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Deze configuratie zorgt ervoor dat het iOS-apparaat de Google MDM-inschrijvingsservers kan vinden tijdens het accountgestuurde inschrijvingsproces. Nadat een gebruiker het e-mailadres van zijn of haar beheerde Apple-account heeft ingevoerd, gebeurt het volgende:

1. Het apparaat haalt de domeinnaam op uit het beheerde Apple-account.
2. Het apparaat stuurt een HTTP-verzoek naar de webserver waarop de inschrijvingsgegevens staan.

Voorbeeld
Als gebruiker Andy Jones zich aanmeldt bij een apparaat met een beheerde Apple ID, bijvoorbeeld andy.jones@yourdomain.com :

• Het apparaat extraheert yourdomain.com en gebruikt het service discovery-proces om een ​​HTTPS-verzoek te doen voor de inschrijvingsinformatie die wordt gehost op https: //your_domain/.well-known/com.apple.remotemanagement .
• Het apparaat identificeert Google MDM aan de hand van de configuratie voor serviceontdekking en start de inschrijving.

Voor meer informatie over het service-ontdekkingsproces kunt u de documentatie 'Authenticatieservers ontdekken' op de Apple Developer-website raadplegen.

Stap 5: Laat gebruikers hun apparaat registreren

Om iOS-apparaten voor beheer te registreren, moeten gebruikers het volgende doen:

1. Als het apparaat van de gebruiker al was geregistreerd voor beheer, laat de gebruiker dan het Google Workspace-account uitschrijven in de app Apparaatbeleid en vervolgens de app verwijderen. Ga naar De app Apparaatbeleid beheren voor meer informatie.
2. Kies een optie:
   • Als u accountgestuurde gebruikersregistratie hebt ingesteld (eerder in dit artikel), laat gebruikers dan op Instellingen tikken. Algemeen VPN- en apparaatbeheer Meld u aan bij uw werk- of schoolaccount en log vervolgens in met uw Workspace-account.
   • Anders kunnen gebruikers zich aanmelden met hun werkaccount in de Gmail-app die is geïnstalleerd vanuit de Apple App Store.
3. Volg de aanwijzingen om het configuratieprofiel te installeren. Mogelijk moet de gebruiker naar de iOS-instellingen gaan om het gedownloade profiel te installeren. De Google Device Policy-app wordt automatisch geïnstalleerd.
4. De gebruiker moet zich aanmelden met de app Apparaatbeleid nadat deze is gedownload. Zie Een persoonlijk apparaat instellen voor meer informatie.
5. Installeer beheerde apps via de app Apparaatbeleid. Als een app is gemarkeerd als 'Vereist' in de app Apparaatbeleid, moet de gebruiker de app verwijderen en vervolgens opnieuw installeren via de app Apparaatbeleid. Zie Goedgekeurde werk-apps verkrijgen op iOS-apparaten voor meer informatie.

Opmerkingen:

• Om privacyredenen kan Google Endpoint Management de lijst met geïnstalleerde apps op door gebruikers geregistreerde apparaten niet lezen. Als een gebruiker nog geen beheerde app heeft geïnstalleerd via de app Apparaatbeleid, kunnen we niet zien of de app al als niet-beheerd apparaat in de App Store is geïnstalleerd. Als de app al op het apparaat staat, moet de gebruiker deze eerst verwijderen voordat hij of zij deze via de app Apparaatbeleid kan installeren. Raadpleeg de Apple-documentatie voor meer informatie over de bescherming van de privacy van de gebruiker.
• U ontvangt geen e-mailmeldingen voor beheerdersgoedkeuring bij Apple-gebruikersregistratie. U moet apparaten handmatig controleren en goedkeuren via de lijst met apparaten in afwachting van goedkeuring.

Gerelateerd onderwerp

Beheer mobiele apps voor uw organisatie.