iOS डिवाइसों पर, काम से जुड़ा और निजी डेटा अलग-अलग रखना

इस सुविधा के साथ काम करने वाले वर्शन: Frontline Starter, Frontline Standard, और Frontline Plus; Business Plus; Enterprise Standard और Enterprise Plus; Education Standard, Education Plus, और Endpoint Education Upgrade; Enterprise Essentials और Enterprise Essentials Plus; G Suite Basic और G Suite Business; Cloud Identity Premium. अपने वर्शन की तुलना करें

एडमिन के तौर पर, आपके पास किसी उपयोगकर्ता के निजी iOS डिवाइस पर मौजूद सभी डेटा या सिर्फ़ ऑफ़िस के डेटा को मैनेज करने का विकल्प होता है. Apple User Enrollment की मदद से, iOS डिवाइसों पर ऑफ़िस और निजी डेटा को अलग-अलग रखा जाता है. इससे, आपको डिवाइस पर मौजूद ऑफ़िस के डेटा को पूरी तरह से कंट्रोल करने की सुविधा मिलती है. वहीं, उपयोगकर्ता अपने निजी डेटा की निजता बनाए रख सकते हैं.

iOS डिवाइस रजिस्टर करने के विकल्पों की तुलना करना

ऑफ़िस में निजी डिवाइस का इस्तेमाल (बीवाईओडी) करने वाले iOS डिवाइसों के लिए, डिवाइस रजिस्टर करने और उपयोगकर्ता के रजिस्ट्रेशन के बीच कोई भी विकल्प चुना जा सकता है. रजिस्टर करने के हर टाइप के लिए, आपको अलग-अलग सुविधाएं मिलती हैं.

• अगर आपको डिवाइस पर मौजूद ऑफ़िस के डेटा को सुरक्षित रखना है और उपयोगकर्ता को अपने निजी डेटा की निजता बनाए रखने की सुविधा देनी है, तो उपयोगकर्ता का रजिस्ट्रेशन विकल्प चुनें.
• डिवाइस पर ज़्यादा कंट्रोल पाने के लिए, डिवाइस रजिस्टर करना विकल्प चुनें. इसमें डिवाइस को वाइप करने की सुविधा भी शामिल है.

मोबाइल मैनेजमेंट की सुविधा	डिवाइस रजिस्टर करना	उपयोगकर्ता का रजिस्ट्रेशन
iOS के इन-बिल्ट ऐप्लिकेशन में, ऑफ़िस का डेटा ऐक्सेस करने के लिए खाते कॉन्फ़िगर करना	✔	✔
ऐप्लिकेशन इंस्टॉल और कॉन्फ़िगर करना	✔	✔
डिवाइसों के लिए पासवर्ड की ज़रूरत होना	✔	✔
ऑफ़िस के ऐप्लिकेशन की इन्वेंट्री देखना	✔	✔
सिर्फ़ ऑफ़िस का डेटा हटाना	✔	✔
मज़बूत पासवर्ड की ज़रूरत होना	✔
निजी ऐप्लिकेशन की इन्वेंट्री ऐक्सेस करना	✔
पूरे डिवाइस को दूर से वाइप करना (इसमें निजी डेटा भी शामिल है)	✔

शुरू करने से पहले

• उपयोगकर्ता के रजिस्ट्रेशन की सुविधा, iOS 15.5 और इसके बाद के वर्शन वाले निजी डिवाइसों पर काम करती है. यह सुविधा, कंपनी के मालिकाना हक वाले डिवाइसों के लिए उपलब्ध नहीं है.

ध्यान दें: प्रोफ़ाइल पर आधारित उपयोगकर्ता के रजिस्ट्रेशन का ओरिजनल तरीका (iOS 15.5 और इसके बाद के वर्शन वाले डिवाइसों पर काम करता है) अब iOS 18 और इसके बाद के वर्शन वाले डिवाइसों के लिए काम नहीं करता.

• Google Admin console के साथ-साथ, अपने संगठन के Apple Business Manager या Apple School Manager के लिए, साइन-इन की जानकारी तैयार करें.
• संगठन की उस इकाई के लिए, मोबाइल के बेहतर मैनेजमेंट की सुविधा चालू करें जो डिवाइसों का इस्तेमाल करेगी.
• उपयोगकर्ताओं को ऑफ़िस के ऐप्लिकेशन डिस्ट्रिब्यूट करने के लिए, Apple Volume Purchase Program (VPP) सेट अप करें.

पहला चरण: Apple Business Manager को Google Workspace से लिंक करना

Apple Business Manager या Apple School Manager को Google Workspace से लिंक करें, ताकि उपयोगकर्ता अपने Google Workspace के उपयोगकर्ता नामों को, मैनेज किए गए Apple आईडी के तौर पर इस्तेमाल कर सकें. वे उन क्रेडेंशियल का इस्तेमाल करके, अपने iOS डिवाइस में साइन इन कर सकते हैं. आपको Google Device Policy ऐप्लिकेशन और उन सभी अन्य ऐप्लिकेशन के लिए लाइसेंस की ज़रूरत होती है जिन्हें आपको, उपयोगकर्ता के रजिस्टर किए गए डिवाइसों में डिस्ट्रिब्यूट करना है. Apple Business Manager को Google Workspace से लिंक करने के लिए:

1. Apple Business Manager या Apple School Manager खोलें और अपने कारोबार की Apple आईडी से साइन इन करें.
2. सबसे नीचे बाईं ओर, अपना नाम Preferences Managed Apple Accounts को चुनें.
3. Federated Authentication के बगल में, Edit पर क्लिक करें.
4. Google Workspace Connect को चुनें और अपने Google Workspace एडमिन खाते से साइन इन करें.
5. अनुरोध की गई हर अनुमति के बगल में मौजूद बॉक्स को चुनें. इसके बाद, Continue Done पर क्लिक करें.
6. Domains के बगल में, Edit पर क्लिक करें.
7. पुष्टि किए गए अपने डोमेन के बगल में, Federate पर क्लिक करें.
8. बाईं ओर, Directory Sync पर क्लिक करें और Google Workspace Sync को चालू करें.

दूसरा चरण: Google Device Policy के लिए ऐप्लिकेशन लाइसेंस पाना

आपको Device Policy ऐप्लिकेशन और उन सभी अन्य ऐप्लिकेशन के लिए लाइसेंस की ज़रूरत होती है जिन्हें आपको, उपयोगकर्ता के रजिस्टर किए गए डिवाइसों में डिस्ट्रिब्यूट करना है. ज़्यादा जानकारी के लिए, Apple VPP की मदद से, संगठन के सभी iOS डिवाइसों के लिए ऐप्लिकेशन उपलब्ध कराना लेख पढ़ें.

तीसरा चरण: रजिस्टर करने का टाइप चुनना

शुरू करने से पहले: अगर आपके पास ऐसे डिवाइस हैं जिनके लिए रजिस्टर करने की अलग-अलग शर्तें हैं, तो रजिस्टर करने के हर टाइप के लिए, संगठन की एक इकाई सेट अप करें. उदाहरण के लिए, कंपनी के मालिकाना हक वाले डिवाइस, डिवाइस रजिस्टर करने के विकल्प के तहत आते हैं. इसलिए, पक्का करें कि वे संगठन की ऐसी इकाई में शामिल हों जिसमें डिवाइस रजिस्टर करने या उपयोगकर्ता की पसंद का विकल्प चुना गया हो. ज़्यादा जानकारी के लिए, संगठन की इकाई जोड़ना लेख पढ़ें.

1. Google Admin console में, मेन्यू डिवाइस मोबाइल और एंडपॉइंट सेटिंग iOS पर जाएं. 

   iOS पर जाएं

   इसके लिए, आपके पास सेवाओं और डिवाइसों से जुड़ा एडमिन का अधिकार होना चाहिए.

2. Enrollment पर क्लिक करें.
3. (ज़रूरी नहीं) किसी विभाग या टीम के लिए सेटिंग लागू करने के लिए, साइड पैनल में जाकर संगठन की कोई इकाई चुनें.
4. कोई विकल्प चुनें (हर संगठन की इकाई के लिए एक):
   • (डिफ़ॉल्ट) निजी iOS डिवाइसों पर ऑफ़िस और निजी डेटा को मैनेज करने के लिए, डिवाइस रजिस्टर करना विकल्प चुनें.
   • निजी डिवाइसों पर सिर्फ़ ऑफ़िस के डेटा को मैनेज करने के लिए, उपयोगकर्ता का रजिस्ट्रेशन विकल्प चुनें.
     सिर्फ़ नए डिवाइसों पर सेटिंग लागू करने के लिए, मौजूदा उपयोगकर्ताओं के लिए डिवाइस रजिस्टर करने की अनुमति दें बॉक्स को चुनें.
   • रजिस्टर करने का टाइप तय करने की अनुमति उपयोगकर्ता को देने के लिए, उपयोगकर्ता की पसंद विकल्प चुनें.
     • अगर उपयोगकर्ता, डिवाइस रजिस्टर करने का विकल्प चुनता है, तो उसे Google Device Policy ऐप्लिकेशन और कॉन्फ़िगरेशन प्रोफ़ाइल इंस्टॉल करनी होगी. ज़्यादा जानकारी के लिए, Google Device Policy ऐप्लिकेशन इंस्टॉल करना लेख पढ़ें.
     • अगर उपयोगकर्ता, उपयोगकर्ता के रजिस्ट्रेशन का विकल्प चुनता है, तो डिवाइस रजिस्टर करने का तरीका जानने के लिए, इस पेज पर मौजूद पांचवें चरण पर जाएं.
5. सेव करें पर क्लिक करें. इसके अलावा, किसी संगठन की इकाई के लिए बदलें पर क्लिक किया जा सकता है.

   इनहेरिट की गई वैल्यू को बाद में वापस लाने के लिए, इनहेरिट करें पर क्लिक करें.

चौथा चरण: खाते के आधार पर उपयोगकर्ता के रजिस्ट्रेशन की सुविधा सेट अप करना

यह सुविधा, iOS 18 और इसके बाद के वर्शन वाले डिवाइसों के लिए ज़रूरी है. यह सुविधा, iOS 17 और इससे पहले के वर्शन वाले डिवाइसों के लिए ज़रूरी नहीं है.

खाते के आधार पर उपयोगकर्ता के रजिस्ट्रेशन की सुविधा सेट अप करें, ताकि उपयोगकर्ता iOS सेटिंग ऐप्लिकेशन में अपने निजी डिवाइस रजिस्टर कर सकें. खाते के आधार पर रजिस्ट्रेशन की सुविधा सेट अप करने के लिए, आपको अपने वेब सर्वर पर रजिस्ट्रेशन की जानकारी होस्ट करके, डिवाइस और सेवाओं की अपने-आप पहचान करने की सुविधा कॉन्फ़िगर करनी होगी. इससे, Apple को Google एंडपॉइंट मैनेजमेंट से जानकारी पाने में मदद मिलती है.

डिवाइस और सेवाओं की अपने-आप पहचान करने की सुविधा कॉन्फ़िगर करना

1. डिवाइस और सेवाओं की अपने-आप पहचान करने की सुविधा के लिए, JSON दस्तावेज़ तय करें:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. अपने वेब होस्टिंग को इस तरह कॉन्फ़िगर करें कि वह JSON दस्तावेज़ को यहां दी गई जगह से दिखाए:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   अहम जानकारी:

   • पक्का करें कि एचटीटीपी रिस्पॉन्स में, Content-Type हेडर को application/json पर सेट किया गया हो.
   • वेब सर्वर के लिए एसएसएल प्रमाणपत्र, भरोसेमंद सर्टिफ़िकेट अथॉरिटी से जारी किया गया होना चाहिए. साथ ही, इसमें वही पूरी तरह क्वालिफ़ाइड डोमेन नेम (एफ़क्यूडीएन) होना चाहिए जो इस पेज पर पहले दिए गए पहले चरण में, पुष्टि किए गए डोमेन के लिए सेट अप किया गया था.
   • डिवाइस और सेवाओं की अपने-आप पहचान करने की सुविधा का कॉन्फ़िगरेशन, ऐसे सर्वर पर होस्ट किया जाना चाहिए जो एचटीटीपीएस जीईटी अनुरोधों को स्वीकार करता हो.

3. यह कमांड चलाकर, डिवाइस और सेवाओं की अपने-आप पहचान करने की सुविधा के कॉन्फ़िगरेशन की पुष्टि करें:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   पक्का करें कि JSON फ़ाइल दिखाने वाला वेब सर्वर, यूआरएल के अतिरिक्त पैरामीटर को हैंडल कर सकता हो. iOS के कुछ वर्शन, एचटीटीपी जीईटी अनुरोध में ये पैरामीटर जोड़ सकते हैं:

   • user-identifier—उपयोगकर्ता खाते का आइडेंटिफ़ायर (उदाहरण के लिए, email@yourdomain.com)
   • model-family—डिवाइस का मॉडल फ़ैमिली (उदाहरण के लिए, iPhone या iPad)

   कमांड से, इस तरह का रिस्पॉन्स दिखना चाहिए:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

इस कॉन्फ़िगरेशन की मदद से, खाते के आधार पर रजिस्ट्रेशन की प्रोसेस के दौरान, iOS डिवाइस को Google MDM के रजिस्ट्रेशन सर्वर ढूंढने में मदद मिलती है. जब कोई उपयोगकर्ता, अपने मैनेज किए गए Apple खाते का ईमेल पता डालता है, तो यह होता है:

1. डिवाइस, मैनेज किए गए Apple खाते से डोमेन का नाम निकालता है.
2. डिवाइस, रजिस्ट्रेशन की जानकारी होस्ट करने वाले वेब सर्वर को एचटीटीपी अनुरोध भेजता है.

उदाहरण
अगर उपयोगकर्ता एंडी जोन्स, मैनेज किए गए Apple आईडी andy.jones@yourdomain.com से किसी डिवाइस में साइन इन करता है, तो:

• डिवाइस, yourdomain.com को निकालता है और डिवाइस और सेवाओं की अपने-आप पहचान करने की प्रोसेस का इस्तेमाल करके, रजिस्ट्रेशन की जानकारी के लिए एचटीटीपीएस अनुरोध करता है. यह जानकारी, https://your_domain/.well-known/com.apple.remotemanagement पर होस्ट की जाती है.
• डिवाइस और सेवाओं की अपने-आप पहचान करने की सुविधा के कॉन्फ़िगरेशन से, Google MDM की पहचान होती है और रजिस्ट्रेशन शुरू हो जाता है.

डिवाइस और सेवाओं की अपने-आप पहचान करने की प्रोसेस के बारे में ज़्यादा जानने के लिए, Apple Developer की वेबसाइट पर, Discover Authentication Servers documentation से जुड़ा दस्तावेज़ देखें.

पांचवां चरण: उपयोगकर्ताओं से अपने डिवाइस रजिस्टर कराना

iOS डिवाइसों को मैनेजमेंट के लिए रजिस्टर कराने के लिए, उपयोगकर्ताओं से यह तरीका अपनाने के लिए कहें:

1. अगर उपयोगकर्ता का डिवाइस पहले से ही मैनेजमेंट के लिए रजिस्टर है, तो उनसे Device Policy ऐप्लिकेशन से अपना Google Workspace खाता अनरजिस्टर करने के लिए कहें. इसके बाद, ऐप्लिकेशन को अनइंस्टॉल करें. ज़्यादा जानकारी के लिए, Device Policy ऐप्लिकेशन मैनेज करना लेख पढ़ें.
2. कोई विकल्प चुनें:
   • अगर आपने खाते के आधार पर उपयोगकर्ता के रजिस्ट्रेशन की सुविधा सेट अप की है (इस लेख में पहले बताया गया है), तो उपयोगकर्ताओं से Settings General VPN & Device Management Sign In to Work or School Account पर टैप करने के लिए कहें. इसके बाद, अपने Workspace खाते से साइन इन करने के लिए कहें.
   • इसके अलावा, उपयोगकर्ताओं से Apple App Store से इंस्टॉल किए गए Gmail ऐप्लिकेशन में, अपने ऑफ़िस वाले खाते से साइन इन करने के लिए कहें.
3. कॉन्फ़िगरेशन प्रोफ़ाइल इंस्टॉल करने के लिए, निर्देशों का पालन करें. डाउनलोड की गई प्रोफ़ाइल इंस्टॉल करने के लिए, उपयोगकर्ता को iOS सेटिंग ऐप्लिकेशन पर जाना पड़ सकता है. Google Device Policy ऐप्लिकेशन अपने-आप इंस्टॉल हो जाता है.
4. डाउनलोड होने के बाद, उपयोगकर्ता को Device Policy ऐप्लिकेशन में साइन इन करना होगा. ज़्यादा जानकारी के लिए, निजी डिवाइस सेट अप करना लेख पढ़ें.
5. Device Policy ऐप्लिकेशन से, मैनेज किए गए ऐप्लिकेशन इंस्टॉल करें. अगर किसी ऐप्लिकेशन को Device Policy ऐप्लिकेशन में ज़रूरी के तौर पर मार्क किया गया है, तो उपयोगकर्ता को उस ऐप्लिकेशन को अनइंस्टॉल करना होगा. इसके बाद, उसे Device Policy ऐप्लिकेशन से फिर से इंस्टॉल करना होगा. ज़्यादा जानकारी के लिए, iOS डिवाइसों पर, ऑफ़िस के काम से जुड़े मंज़ूरी वाले ऐप्लिकेशन पाना लेख पढ़ें.

ध्यान दें:

• निजता बनाए रखने के लिए, Google एंडपॉइंट मैनेजमेंट, उपयोगकर्ता के रजिस्टर किए गए डिवाइसों पर इंस्टॉल किए गए ऐप्लिकेशन की सूची नहीं पढ़ सकता. अगर किसी उपयोगकर्ता ने Device Policy ऐप्लिकेशन से, मैनेज किया गया कोई ऐप्लिकेशन अब तक इंस्टॉल नहीं किया है, तो हम यह नहीं बता सकते कि वह ऐप्लिकेशन, App Store से पहले ही बिना मैनेज किए इंस्टॉल किया गया है या नहीं. अगर ऐप्लिकेशन पहले से ही डिवाइस पर मौजूद है, तो उपयोगकर्ता को Device Policy ऐप्लिकेशन से उसे इंस्टॉल करने से पहले, उसे अनइंस्टॉल करना होगा. उपयोगकर्ता की निजता को सुरक्षित रखने के बारे में ज़्यादा जानने के लिए, Apple का दस्तावेज़ देखें.
• Apple User Enrollment के लिए, एडमिन की मंज़ूरी के बारे में ईमेल से सूचनाएं नहीं भेजी जाती हैं. आपको मैन्युअल तरीके से, रजिस्टर किए जाने के इंतज़ार में मौजूद डिवाइसों की सूची का इस्तेमाल करके, डिवाइसों की जांच करनी होगी और उन्हें मंज़ूरी देनी होगी.

मिलते-जुलते विषय

अपने संगठन के लिए, मोबाइल ऐप्लिकेशन मैनेज करना