Geschäftliche und private Daten auf iOS-Geräten trennen

Unterstützte Versionen für diese Funktion: Frontline Starter, Frontline Standard und Frontline Plus; Business Plus; Enterprise Standard und Enterprise Plus; Education Standard, Education Plus und Endpoint Education Upgrade; Enterprise Essentials und Enterprise Essentials Plus; G Suite Basic und G Suite Business; Cloud Identity Premium. Versionen vergleichen

Als Administrator können Sie alle Daten auf dem privaten iOS-Gerät eines Nutzers oder nur die geschäftlichen Daten verwalten. Mit der Apple-Nutzerregistrierung werden geschäftliche und private Daten auf iOS-Geräten getrennt. So haben Sie die volle Kontrolle über geschäftliche Daten auf dem Gerät, während die Nutzer ihre privaten Daten schützen.

Optionen für die iOS-Geräteregistrierung vergleichen

Sie können zwischen der Geräteregistrierung und der Nutzerregistrierung für iOS-Geräte mit BYOD (Bring Your Own Device, Nutzung eigener Geräte) wählen. Jeder Registrierungstyp bietet Ihnen eine andere Reihe von Funktionen.

• Verwenden Sie die Nutzerregistrierung , wenn Sie geschäftliche Daten auf dem Gerät schützen und den Nutzern Privatsphäre in Bezug auf ihre privaten Daten bieten möchten.
• Mit der Geräteregistrierung haben Sie mehr Kontrolle über das Gerät, z. B. die Möglichkeit, es auf Werkseinstellungen zurückzusetzen.

Funktion der Mobilgeräteverwaltung	Geräteregistrierung	Nutzerregistrierung
Konten für den Zugriff auf geschäftliche Daten in integrierten iOS-Apps konfigurieren	✔	✔
Apps installieren und konfigurieren	✔	✔
Passwörter für Geräte erfordern	✔	✔
Inventar für geschäftliche Apps aufrufen	✔	✔
Nur geschäftliche Daten entfernen	✔	✔
Starkes Passwort erfordern	✔
Auf Inventar privater Apps zugreifen	✔
Gesamtes Gerät aus der Ferne löschen (einschließlich privater Daten)	✔

Hinweis

• Die Nutzerregistrierung wird auf privaten Geräten mit iOS 15.5 und höher unterstützt. Sie ist für unternehmenseigene Geräte nicht verfügbar.

Hinweis:Die ursprüngliche profilbasierte Nutzerregistrierungsmethode (unterstützt unter iOS 15.5 und höher) wird für Geräte mit iOS 18 und höher nicht mehr unterstützt.

• Bereiten Sie die Anmeldedaten für die Admin-Konsole und den Apple Business Manager oder Apple School Manager Ihrer Organisation vor.
• Aktivieren Sie die erweiterte Mobilgeräte verwaltung für die Organisationseinheit, in der die Geräte verwendet werden.
• Richten Sie das Programm für Volumenlizenzen (Volume Purchase Program, VPP) von Apple (VPP) ein, um geschäftliche Apps an Nutzer zu verteilen.

Schritt 1: Apple Business Manager mit Google Workspace verknüpfen

Sie verknüpfen Apple Business Manager oder Apple School Manager mit Google Workspace, damit Nutzer ihre Google Workspace-Nutzernamen als verwaltete Apple-IDs verwenden können. Mit diesen Daten können sie sich auf ihrem iOS-Gerät anmelden. Sie benötigen Lizenzen für die Google Device Policy App und alle anderen Apps, die Sie an von Nutzern registrierten Geräten verteilen möchten. So verknüpfen Sie Apple Business Manager mit Google Workspace:

1. Öffnen Sie Apple Business Manager oder Apple School Manager und melden Sie sich mit der Apple-ID Ihres Unternehmens bzw. Ihrer Bildungseinrichtung an.
2. Wählen Sie links unten Ihren Namen Einstellungen Verwaltete Apple-IDs aus.
3. Klicken Sie neben Verbundauthentifizierung auf Bearbeiten.
4. Wählen Sie Google Workspace Verknüpfen aus und melden Sie sich mit Ihrem Google Workspace-Administratorkonto an.
5. Setzen Sie ein Häkchen neben jeder der angeforderten Berechtigungen und klicken Sie auf Weiter Fertig.
6. Klicken Sie neben Domains auf Bearbeiten.
7. Klicken Sie neben Ihrer bestätigten Domain auf Föderation.
8. Klicken Sie links auf Directory Sync und aktivieren Sie Google Workspace-Synchronisierung.

Schritt 2: App-Lizenzen für die Google Device Policy App erwerben

Sie benötigen Lizenzen für die Device Policy App und alle anderen Apps, die Sie an von Nutzern registrierten Geräten verteilen möchten. Weitere Informationen finden Sie im Hilfeartikel iOS-Apps mit Apple VPP bereitstellen.

Schritt 3: Registrierungstyp auswählen

Hinweis:Wenn Sie Geräte mit unterschiedlichen Registrierungsanforderungen haben, richten Sie für jeden Registrierungstyp eine Organisationseinheit ein. Unternehmenseigene Geräte werden beispielsweise mit der Geräteregistrierung registriert. Achten Sie daher darauf, dass sie sich in einer Organisationseinheit befinden, in der „Geräteregistrierung“ oder „Auswahl des Nutzers“ ausgewählt ist. Wie das geht, wird im Hilfeartikel Organisationseinheit hinzufügen erläutert.

1. Gehen Sie in der Admin-Konsole zu „Menü“ Geräte Mobilgeräte und Endpunkte Einstellungen iOS. 

   Zu iOS

   Hierfür benötigen Sie die Administratorberechtigung „Dienste und Geräte“.

2. Klicken Sie auf Registrierung.
3. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
4. Wählen Sie eine Option aus (eine pro Organisationseinheit):
   • (Standard) Wenn Sie geschäftliche und private Daten auf privaten iOS-Geräten verwalten möchten, wählen Sie Geräteregistrierung aus.
   • Wenn Sie nur die geschäftlichen Daten auf Geräten verwalten möchten, wählen Sie Nutzer registrierung aus.
     Wenn die Einstellung nur für neue Geräte gelten soll, setzen Sie ein Häkchen bei Geräteregistrierung für vorhandene Nutzer zulassen.
   • Wenn der Nutzer den Registrierungstyp selbst auswählen soll, wählen Sie Auswahl des Nutzers aus.
     • Wenn der Nutzer die Geräteregistrierung auswählt, muss er die Google Device Policy App und das Konfigurationsprofil installieren. Weitere Informationen finden Sie im Hilfeartikel Die Google Device Policy Appinstallieren.
     • Wenn er die Nutzerregistrierung auswählt, fahren Sie mit Schritt 5 (weiter unten auf dieser Seite) fort, um das Gerät zu registrieren.
5. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

   Wenn Sie später den übernommenen Wert wiederherstellen möchten, klicken Sie auf Übernehmen.

Schritt 4: Kontogesteuerte Nutzerregistrierung einrichten

Erforderlich für Geräte mit iOS 18 und höher. Optional für Geräte mit iOS 17 und niedriger.

Richten Sie die kontogesteuerte Nutzerregistrierung ein, damit Nutzer ihre privaten Geräte in der iOS-Einstellungen-App registrieren können. Dazu müssen Sie die Service Discovery konfigurieren, indem Sie Registrierungsinformationen auf Ihrem Webserver hosten. So kann Apple die Informationen von der Google-Endpunktverwaltung abrufen.

Service Discovery konfigurieren

1. Definieren Sie das JSON-Dokument für die Service Discovery:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Konfigurieren Sie Ihr Webhosting so, dass das JSON-Dokument vom folgenden Speicherort bereitgestellt wird:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Wichtig :

   • Der Content-Type-Header in der HTTP-Antwort muss auf „application/json“ gesetzt sein.
   • Das SSL-Zertifikat für den Webserver muss von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt werden und denselben voll qualifizierten Domainnamen (Fully Qualified Domain Name, FQDN) haben wie die bestätigte Domain, die in Schritt 1 (weiter oben auf dieser Seite) eingerichtet wurde.
   • Die Service Discovery-Konfiguration muss auf einem Server gehostet werden, der HTTPS-GET-Anfragen unterstützt.

3. Prüfen Sie die Service Discovery-Konfiguration, indem Sie den folgenden Befehl ausführen:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Achten Sie darauf, dass der Webserver, der die JSON-Datei bereitstellt, zusätzliche URL-Parameter verarbeiten kann. Bei bestimmten iOS-Versionen werden möglicherweise die folgenden Parameter an die HTTP-GET-Anfrage angehängt:

   • user-identifier: Die Nutzerkonto-ID, z. B. email@yourdomain.com
   • model-family: Die Modellfamilie des Geräts, z. B. iPhone oder iPad

   Der Befehl sollte eine Antwort ähnlich der folgenden ausgeben:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Mit dieser Konfiguration kann das iOS-Gerät die Registrierungsserver der Google-Mobilgeräteverwaltung während der kontogesteuerten Registrierung finden. Nachdem ein Nutzer die E-Mail Adresse seines verwalteten Apple-Kontos eingegeben hat, passiert Folgendes:

1. Das Gerät extrahiert den Domainnamen aus dem verwalteten Apple-Konto.
2. Das Gerät sendet eine HTTP-Anfrage an den Webserver, auf dem die Registrierungsinformationen gehostet werden.

Beispiel
Wenn sich der Nutzer Max Müller mit der verwalteten Apple- ID max.mueller@yourdomain.com auf einem Gerät anmeldet:

• Das Gerät extrahiert yourdomain.com und verwendet die Service Discovery um eine HTTPS-Anfrage für die Registrierungsinformationen zu senden, die unter https://your_domain/.well-known/com.apple.remotemanagement gehostet werden.
• Das Gerät erkennt die Google-Mobilgeräteverwaltung anhand der Service Discovery-Konfiguration und initiiert die Registrierung.

Weitere Informationen zur Service Discovery finden Sie in der Dokumentation Discover Authentication Servers documentation auf der Apple Developer-Website.

Schritt 5: Nutzer lassen ihre Geräte registrieren

Bitten Sie Nutzer, für die Registrierung von iOS-Geräten für die Verwaltung Folgendes zu tun:

1. Wenn das Gerät des Nutzers bereits für die Verwaltung registriert ist, muss er die Registrierung seines Google Workspace-Kontos in der Device Policy App aufheben und dann die App deinstallieren. Weitere Informationen finden Sie im Hilfeartikel Die App „Google Device Policy“ verwalten.
2. Wählen Sie eine Option aus:
   • Wenn Sie die kontogesteuerte Nutzerregistrierung eingerichtet haben (siehe oben), lassen Sie die Nutzer auf Einstellungen Allgemein VPN und Geräteverwaltung Im Konto eines Unternehmens oder einer Bildungseinrichtung anmelden tippen und sich mit ihrem Workspace-Konto anmelden.
   • Andernfalls lassen Sie die Nutzer sich mit ihrem Arbeitskonto in der Gmail App anmelden, die aus dem Apple App Store installiert wurde.
3. Folgen Sie der Anleitung, um das Konfigurationsprofil zu installieren. Der Nutzer muss möglicherweise die iOS-Einstellungen-App aufrufen, um das heruntergeladene Profil zu installieren. Die Google Device Policy App wird automatisch installiert.
4. Der Nutzer muss sich nach dem Herunterladen in der Device Policy App anmelden. Weitere Informationen finden Sie im Hilfeartikel Privates Gerät einrichten.
5. Installieren Sie verwaltete Apps über die Device Policy App. Wenn eine App in der Device Policy App als Erforderlich gekennzeichnet ist, muss der Nutzer die App deinstallieren und dann über die Device Policy App neu installieren. Weitere Informationen finden Sie im Hilfeartikel Zugelassene geschäftliche Apps auf iOS Geräten verwenden.

Hinweise :

• Aus Datenschutzgründen kann die Google-Endpunktverwaltung die Liste der installierten Apps auf von Nutzern registrierten Geräten nicht lesen. Wenn ein Nutzer noch keine verwaltete App über die Device Policy App installiert hat, können wir nicht feststellen, ob die App bereits als nicht verwaltete App aus dem App Store installiert wurde. Wenn die App bereits auf dem Gerät vorhanden ist, muss der Nutzer sie deinstallieren, bevor er sie über die Device Policy App installiert. Weitere Informationen zum Schutz der Privatsphäre des Nutzers finden Sie in Ihrer Apple-Dokumentation.
• Für die Apple-Nutzerregistrierung werden keine E-Mail-Benachrichtigungen zur Administratorgenehmigung gesendet. Sie müssen Geräte manuell über die Liste der ausstehenden Geräte prüfen und genehmigen.

Weitere Informationen

Verwaltete Apps für Android-Geräte einrichten