แยกข้อมูลงานและข้อมูลส่วนตัวในอุปกรณ์ iOS

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus; Business Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Enterprise Essentials และ Enterprise Essentials Plus; G Suite Basic และ G Suite Business; Cloud Identity Premium เปรียบเทียบรุ่น

ในฐานะผู้ดูแลระบบ คุณสามารถจัดการข้อมูลทั้งหมดในอุปกรณ์ iOS ส่วนตัวของผู้ใช้หรือเฉพาะข้อมูลงานได้ การลงทะเบียนผู้ใช้ Apple จะแยกข้อมูลงานและข้อมูลส่วนตัวในอุปกรณ์ iOS เพื่อให้คุณควบคุมข้อมูลงานในอุปกรณ์ได้อย่างเต็มที่ในขณะที่ผู้ใช้ยังคงรักษาความเป็นส่วนตัวในเรื่องข้อมูลส่วนตัวของตนเองได้

เปรียบเทียบตัวเลือกการลงทะเบียนอุปกรณ์ iOS

โดยเลือกระหว่างการลงทะเบียนอุปกรณ์และการลงทะเบียนผู้ใช้สำหรับอุปกรณ์ iOS แบบ BYOD (นำอุปกรณ์มาใช้เอง) การลงทะเบียนแต่ละประเภทจะมีชุดฟีเจอร์ให้ใช้แตกต่างกัน

• ใช้การลงทะเบียนผู้ใช้ หากต้องการรักษาความปลอดภัยให้กับข้อมูลงานในอุปกรณ์และปกป้องความเป็นส่วนตัวของผู้ใช้ในเรื่องข้อมูลส่วนตัว
• ใช้การลงทะเบียนอุปกรณ์ เพื่อให้ควบคุมอุปกรณ์ได้มากขึ้น รวมถึงความสามารถในการล้างข้อมูลอุปกรณ์

ฟีเจอร์การจัดการมือถือ	การลงทะเบียนอุปกรณ์	การลงทะเบียนผู้ใช้
กำหนดค่าบัญชีให้เข้าถึงข้อมูลงานในแอป iOS ในตัว	✔	✔
ติดตั้งและกำหนดค่าแอป	✔	✔
กำหนดรหัสผ่านสำหรับอุปกรณ์	✔	✔
ดูคลังของแอปงาน	✔	✔
นำเฉพาะข้อมูลงานออก	✔	✔
กำหนดรหัสผ่านที่รัดกุม	✔
เข้าถึงคลังแอปส่วนตัว	✔
ล้างข้อมูลทั้งหมดในอุปกรณ์จากระยะไกล (รวมถึงข้อมูลส่วนตัว)	✔

ข้อควรทราบก่อนที่จะเริ่มต้น

• การลงทะเบียนผู้ใช้ได้รับการรองรับในอุปกรณ์ส่วนตัวที่ใช้ iOS 15.5 ขึ้นไป โดยไม่พร้อมใช้งานสำหรับอุปกรณ์ที่เป็นของบริษัท

หมายเหตุ: ระบบไม่รองรับวิธีการลงทะเบียนผู้ใช้แบบอิงตามโปรไฟล์เดิม (รองรับใน iOS 15.5 ขึ้นไป) สำหรับอุปกรณ์ที่ใช้ iOS 18 ขึ้นไปอีกต่อไป

• เตรียมรายละเอียดการลงชื่อเข้าใช้สำหรับทั้งคอนโซลผู้ดูแลระบบของ Google และ Apple Business Manager หรือ Apple School Manager ขององค์กร
• เปิดการจัดการมือถือขั้นสูงสำหรับหน่วยขององค์กรที่จะใช้อุปกรณ์
• ตั้งค่า Apple Volume Purchase Program (VPP) เพื่อกระจายแอปงาน ไปยังผู้ใช้

ขั้นตอนที่ 1: ลิงก์ Apple Business Manager กับ Google Workspace

การลิงก์ Apple Business Manager หรือ Apple School Manager กับ Google Workspace จะช่วยให้ผู้ใช้ใช้ชื่อผู้ใช้ Google Workspace เป็น Apple ID ที่มีการจัดการได้ โดยผู้ใช้สามารถใช้รายละเอียดดังกล่าวเพื่อลงชื่อเข้าใช้อุปกรณ์ iOS ได้ คุณต้องมีใบอนุญาตสำหรับแอป Google Device Policy และแอปอื่นๆ ที่ต้องการเผยแพร่ไปยังอุปกรณ์ของผู้ใช้ที่ลงทะเบียนไว้ วิธีลิงก์ Apple Business Manager กับ Google Workspace มีดังนี้

1. เปิด Apple Business Manager หรือ Apple School Manager แล้วลงชื่อเข้าใช้ด้วย Apple ID สำหรับธุรกิจ
2. ที่ด้านซ้ายล่าง ให้เลือกชื่อ Preferences Managed Apple Accounts
3. ถัดจาก Federated Authentication ให้คลิก Edit
4. เลือก Google Workspace Connect แล้วลงชื่อเข้าใช้ด้วย บัญชีผู้ดูแลระบบ Google Workspace
5. เลือกช่องข้างสิทธิ์ที่ขอแต่ละรายการ แล้วคลิก Continue Done
6. ถัดจาก Domains ให้คลิก Edit
7. ข้างโดเมนที่ยืนยันแล้ว ให้คลิก Federate
8. คลิก Directory Sync ทางด้านซ้าย แล้วเปิดใช้ Google Workspace Sync

ขั้นตอนที่ 2: รับใบอนุญาตแอปสำหรับ Google Device Policy

คุณต้องมีใบอนุญาตสำหรับแอป Device Policy และแอปอื่นๆ ที่ต้องการเผยแพร่ไปยังอุปกรณ์ของผู้ใช้ที่ลงทะเบียนไว้ โปรดดูรายละเอียดที่หัวข้อ เผยแพร่แอป iOS ด้วย Apple VPP

ขั้นตอนที่ 3: เลือกประเภทการลงทะเบียน

ก่อนเริ่มต้น: หากคุณมีอุปกรณ์ที่มีข้อกำหนดการลงทะเบียนแตกต่างกัน ให้ตั้งค่าหน่วยขององค์กรสำหรับประเภทการลงทะเบียนแต่ละประเภท ตัวอย่างเช่น อุปกรณ์ของบริษัทจะมีการลงทะเบียนอุปกรณ์ ดังนั้นโปรดตรวจสอบว่าอุปกรณ์อยู่ในหน่วยขององค์กรที่มีการเลือกการลงทะเบียนอุปกรณ์หรือตัวเลือกของผู้ใช้ โปรดดูรายละเอียดที่หัวข้อเพิ่มหน่วยขององค์กร

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ มือถือและอุปกรณ์ปลายทาง การตั้งค่า iOS

   ไปที่ iOS

   คุณต้องมีสิทธิ์ผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

2. คลิก Enrollment
3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กร ที่ด้านข้าง
4. เลือกตัวเลือก (1 ตัวเลือกต่อหน่วยขององค์กร) ดังนี้
   • (ค่าเริ่มต้น) หากต้องการจัดการข้อมูลงานและข้อมูลส่วนตัวในอุปกรณ์ iOS ส่วนตัว ให้เลือก Device Enrollment
   • หากต้องการจัดการเฉพาะข้อมูลงานในอุปกรณ์ส่วนตัว ให้เลือก User Enrollment
     หากต้องการใช้การตั้งค่าเฉพาะกับอุปกรณ์ใหม่เท่านั้น ให้เลือกช่อง Allow Device Enrollment for existing users
   • หากต้องการให้ผู้ใช้เลือกประเภทการลงทะเบียน ให้เลือก User's choice
     • หากผู้ใช้เลือก Device Enrollment ผู้ใช้จะต้องติดตั้งแอป Google Device Policy และโปรไฟล์การกำหนดค่า โปรดดูรายละเอียดที่หัวข้อติดตั้งแอป Google Device Policy
     • หากเลือก User Enrollment ให้ไปที่ขั้นตอนที่ 5 (ด้านล่างในหน้านี้) เพื่อดูขั้นตอนการลงทะเบียนอุปกรณ์
5. คลิกบันทึก หรือคลิกลบล้าง สำหรับหน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

ขั้นตอนที่ 4: ตั้งค่าการลงทะเบียนผู้ใช้ตามบัญชี

ต้องดำเนินการสำหรับอุปกรณ์ iOS 18 ขึ้นไป ไม่บังคับสำหรับอุปกรณ์ iOS 17 ลงไป

ตั้งค่าการลงทะเบียนผู้ใช้ที่อิงตามบัญชีเพื่อให้ผู้ใช้ลงทะเบียนอุปกรณ์ส่วนตัวในแอปการตั้งค่า iOS ได้ หากต้องการตั้งค่าการลงทะเบียนที่อิงตามบัญชี คุณต้องกำหนดค่า Service Discovery โดยโฮสต์ข้อมูลการลงทะเบียนในเว็บเซิร์ฟเวอร์ ซึ่งจะช่วยให้ Apple ดึงข้อมูลจากการจัดการอุปกรณ์ปลายทางของ Google ได้

กำหนดค่า Service Discovery

1. กำหนดเอกสาร JSON Service Discovery

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. กำหนดค่าเว็บโฮสติ้งเพื่อให้แสดงเอกสาร JSON จากตำแหน่งต่อไปนี้

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   สำคัญ

   • ตรวจสอบว่ามีการตั้งค่าส่วนหัว Content-Type ในการตอบกลับ HTTP เป็น application/json
   • ใบรับรอง SSL สำหรับเว็บเซิร์ฟเวอร์ต้องออกโดยผู้ออกใบรับรองที่เชื่อถือได้และมีชื่อโดเมนที่สมบูรณ์ในตัวเอง (FQDN) เหมือนกับโดเมนที่ยืนยันแล้วซึ่งตั้งค่าในขั้นตอนที่ 1 (ก่อนหน้านี้ในหน้านี้)
   • การกำหนดค่า Service Discovery ต้องโฮสต์ในเซิร์ฟเวอร์ที่รองรับคำขอ HTTPS GET

3. ตรวจสอบการกำหนดค่า Service Discovery โดยเรียกใช้คำสั่งต่อไปนี้

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   ตรวจสอบว่าเว็บเซิร์ฟเวอร์ที่แสดงไฟล์ JSON จัดการพารามิเตอร์ URL เพิ่มเติมได้ iOS บางเวอร์ชันอาจแนบพารามิเตอร์ต่อไปนี้กับคำขอ HTTP GET

   • user-identifier \- ตัวระบุบัญชีผู้ใช้ (เช่น email@yourdomain.com)
   • model-family \- ตระกูลรุ่นของอุปกรณ์ (เช่น iPhone หรือ iPad)

   คำสั่งควรแสดงการตอบกลับที่คล้ายกับตัวอย่างต่อไปนี้

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

การกำหนดค่านี้ช่วยให้อุปกรณ์ iOS ค้นหาเซิร์ฟเวอร์การลงทะเบียน Google MDM ได้ในระหว่างกระบวนการลงทะเบียนที่อิงตามบัญชี หลังจากที่ผู้ใช้ป้อนที่อยู่อีเมล ของบัญชี Apple ที่มีการจัดการแล้ว อุปกรณ์จะดำเนินการต่อไปนี้

1. อุปกรณ์จะแยกชื่อโดเมนออกจากบัญชี Apple ที่มีการจัดการ
2. อุปกรณ์จะส่งคำขอ HTTP ไปยังเว็บเซิร์ฟเวอร์ที่โฮสต์ข้อมูลการลงทะเบียน

ตัวอย่าง
หากผู้ใช้ Andy Jones ลงชื่อเข้าใช้อุปกรณ์ด้วย Apple ID ที่มีการจัดการ andy.jones@yourdomain.com:

• อุปกรณ์จะแยก yourdomain.com และใช้กระบวนการ Service Discovery เพื่อส่งคำขอ HTTPS สำหรับข้อมูลการลงทะเบียนที่โฮสต์อยู่ที่ https://your_domain/.well-known/com.apple.remotemanagement
• อุปกรณ์จะระบุ Google MDM จากการกำหนดค่า Service Discovery และเริ่มการลงทะเบียน

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการ Service Discovery ได้ที่เอกสารประกอบเกี่ยวกับการค้นหาเซิร์ฟเวอร์การตรวจสอบสิทธิ์จากเว็บไซต์ Apple Developer

ขั้นตอนที่ 5: ให้ผู้ใช้ลงทะเบียนอุปกรณ์

หากต้องการลงทะเบียนอุปกรณ์ iOS เพื่อรับการจัดการ ให้ผู้ใช้ทำดังนี้

1. หากอุปกรณ์ของผู้ใช้มีการลงทะเบียนเพื่อรับการจัดการแล้ว ให้ผู้ใช้ ยกเลิกการลงทะเบียนบัญชี Google Workspace จากแอป Device Policy และ จากนั้นถอนการติดตั้งแอป โปรดดูรายละเอียดที่หัวข้อ จัดการแอป Device Policy
2. เลือกตัวเลือกต่อไปนี้
   • หากคุณตั้งค่าการลงทะเบียนผู้ใช้ตามบัญชี (ก่อนหน้านี้ในบทความนี้) ให้ผู้ใช้แตะ Settings General VPN & Device Management Sign In to Work or School Account แล้วลงชื่อเข้าใช้ด้วยบัญชี Workspace ของตนเอง
   • หากไม่ได้ตั้งค่า ให้ผู้ใช้ลงชื่อเข้าใช้ด้วยบัญชีงานในแอป Gmail ที่ติดตั้งจาก Apple App Store
3. ทำตามข้อความแจ้งที่ปรากฏเพื่อติดตั้งโปรไฟล์การกำหนดค่า ผู้ใช้อาจต้องไปที่แอปการตั้งค่า iOS เพื่อติดตั้งโปรไฟล์ที่ดาวน์โหลด ระบบจะติดตั้งแอป Google Device Policy โดยอัตโนมัติ
4. ผู้ใช้ต้องลงชื่อเข้าใช้แอป Device Policy หลังจากดาวน์โหลด โปรดดูรายละเอียดที่หัวข้อตั้งค่าอุปกรณ์ส่วนตัว
5. ติดตั้งแอปที่มีการจัดการจากแอป Device Policy หากมีการทำเครื่องหมายแอปเป็น ต้องใช้ ในแอป Device Policy ผู้ใช้จะต้องถอนการติดตั้งแอป แล้ว ติดตั้งอีกครั้งจากแอป Device Policy โปรดดูรายละเอียดที่หัวข้อดาวน์โหลด แอปงานที่ได้รับอนุมัติในอุปกรณ์ iOS

หมายเหตุ

• การจัดการอุปกรณ์ปลายทางของ Google ไม่สามารถอ่านรายการแอปที่ติดตั้งในอุปกรณ์ของผู้ใช้ที่ลงทะเบียนไว้ได้เนื่องจากเหตุผลด้านความเป็นส่วนตัว หากผู้ใช้ยังไม่ได้ติดตั้งแอปที่มีการจัดการจากแอป Device Policy เราจะไม่สามารถบอกได้ว่าแอปดังกล่าวติดตั้งเป็นแอปที่ไม่มีการจัดการจาก App Store แล้วหรือไม่ หากแอปอยู่ในอุปกรณ์แล้ว ผู้ใช้ต้องถอนการติดตั้งแอปก่อนที่จะติดตั้งจากแอป Device Policy โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการปกป้องความเป็นส่วนตัวของผู้ใช้ได้ในเอกสารประกอบของ Apple
• ระบบไม่ ส่งการแจ้งเตือนทางอีเมลการอนุมัติของผู้ดูแลระบบสำหรับการลงทะเบียนผู้ใช้ Apple คุณต้องตรวจสอบและอนุมัติอุปกรณ์ด้วยตนเองโดยใช้รายการอุปกรณ์ที่รอดำเนินการ

หัวข้อที่เกี่ยวข้อง

จัดการแอปบนอุปกรณ์เคลื่อนที่สำหรับองค์กร