Geschäftliche und private Daten auf iOS-Geräten trennen

Unterstützte Versionen für diese Funktion: Frontline Starter, Frontline Standard und Frontline Plus; Business Plus; Enterprise Standard und Enterprise Plus; Education Standard, Education Plus und Endpoint Education Upgrade; Enterprise Essentials und Enterprise Essentials Plus; G Suite Basic und G Suite Business; Cloud Identity Premium. Versionen vergleichen

Als Administrator können Sie alle Daten auf dem privaten iOS-Gerät eines Nutzers oder nur die geschäftlichen Daten verwalten. Mit der Apple-Nutzerregistrierung werden geschäftliche und private Daten auf iOS-Geräten getrennt. So haben Sie die volle Kontrolle über geschäftliche Daten auf dem Gerät, während die Nutzer ihre privaten Daten schützen.

Optionen für die iOS-Geräteregistrierung vergleichen

Sie können zwischen der Geräteregistrierung und der Nutzerregistrierung für iOS-Geräte mit BYOD (Bring Your Own Device, Nutzung eigener Geräte) wählen. Jeder Registrierungstyp bietet unterschiedliche Funktionen.

• Verwenden Sie die Nutzerregistrierung, wenn Sie geschäftliche Daten auf dem Gerät schützen und den Nutzern Privatsphäre in Bezug auf ihre privaten Daten bieten möchten.
• Mit der Geräteregistrierung haben Sie mehr Kontrolle über das Gerät, z. B. die Möglichkeit, es auf Werkseinstellungen zurückzusetzen.

Funktion zur Mobilgeräteverwaltung	Geräteregistrierung	Nutzerregistrierung
Konten für den Zugriff auf Arbeitsdaten in integrierten iOS-Apps konfigurieren	✔	✔
Apps installieren und konfigurieren	✔	✔
Passwörter für Geräte erfordern	✔	✔
Inventar für geschäftliche Apps aufrufen	✔	✔
Nur geschäftliche Daten entfernen	✔	✔
Starkes Passwort erforderlich	✔
Auf Inventar persönlicher Apps zugreifen	✔
Gesamtes Gerät aus der Ferne löschen (einschließlich privater Daten)	✔

Hinweis

• Die Nutzerregistrierung wird auf privaten Geräten mit iOS 15.5 und höher unterstützt. Für unternehmenseigene Geräte ist sie nicht verfügbar.

Hinweis:Die ursprüngliche profilbasierte Nutzerregistrierungsmethode (unterstützt unter iOS 15.5 und höher) wird für Geräte mit iOS 18 und höher nicht mehr unterstützt.

• Bereiten Sie die Anmeldedaten für die Admin-Konsole und den Apple Business Manager oder Apple School Manager Ihrer Organisation vor.
• Aktivieren Sie die erweiterte Mobilgeräteverwaltung für die Organisationseinheit, in der die Geräte verwendet werden.
• Richten Sie das Apple-Programm für Volumenlizenzen (VPP) ein, um Arbeits-Apps an Nutzer zu verteilen.

Schritt 1: Apple Business Manager mit Google Workspace verknüpfen

Sie verknüpfen Apple Business Manager oder Apple School Manager mit Google Workspace, damit Nutzer ihre Google Workspace-Nutzernamen als verwaltete Apple-IDs verwenden können. Damit können sie sich auf ihrem iOS-Gerät anmelden. Sie benötigen Lizenzen für die Google Device Policy App und alle anderen Apps, die Sie an von Nutzern registrierten Geräten verteilen möchten. So verknüpfen Sie Apple Business Manager mit Google Workspace:

1. Öffnen Sie Apple Business Manager oder Apple School Manager und melden Sie sich mit der Apple-ID Ihres Unternehmens bzw. Ihrer Bildungseinrichtung an.
2. Wählen Sie links unten Ihren Namen Einstellungen Verwaltete Apple-IDs aus.
3. Klicken Sie neben Verbundauthentifizierung auf Bearbeiten.
4. Wählen Sie Google Workspace Verbinden aus und melden Sie sich mit Ihrem Google Workspace-Administratorkonto an.
5. Klicken Sie das Kästchen neben jeder der angeforderten Berechtigungen an und klicken Sie auf Weiter. Fertig.
6. Klicken Sie neben Domains auf Bearbeiten.
7. Klicken Sie neben Ihrer bestätigten Domain auf Föderation.
8. Klicken Sie links auf Directory Sync und aktivieren Sie Google Workspace-Synchronisierung.

Schritt 2: App-Lizenzen für Google Device Policy abrufen

Sie benötigen Lizenzen für die Device Policy App und alle anderen Apps, die Sie an von Nutzern registrierten Geräten verteilen möchten. Weitere Informationen finden Sie im Hilfeartikel iOS-Apps mit Apple VPP bereitstellen.

Schritt 3: Registrierungstyp auswählen

Hinweis:Wenn Sie Geräte mit unterschiedlichen Registrierungsanforderungen haben, richten Sie für jeden Registrierungstyp eine Organisationseinheit ein. Unternehmenseigene Geräte werden beispielsweise mit der Geräteregistrierung registriert. Achten Sie also darauf, dass sie sich in einer Organisationseinheit mit der Option „Geräteregistrierung“ oder „Nutzerauswahl“ befinden. Weitere Informationen finden Sie im Hilfeartikel Eine Organisationseinheit hinzufügen.

1. Klicken Sie in der Admin-Konsole auf das Dreistrichmenü    Geräte  Mobilgeräte und Endpunkte  Einstellungen  iOS. 

   Zu iOS wechseln

   Hierfür benötigen Sie die Administratorberechtigung „Dienste und Geräte“.

2. Klicken Sie auf Registrierung.
3. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
4. Wählen Sie eine Option aus (eine pro Organisationseinheit):
   • (Standard) Wenn Sie geschäftliche und private Daten auf privaten iOS-Geräten verwalten möchten, wählen Sie Geräteregistrierung aus.
   • Wenn Sie nur die geschäftlichen Daten auf privaten Geräten verwalten möchten, wählen Sie Nutzerregistrierung aus.
     Wenn die Einstellung nur für neue Geräte gelten soll, setzen Sie ein Häkchen bei Geräteregistrierung für vorhandene Nutzer zulassen.
   • Wenn der Nutzer den Registrierungstyp selbst auswählen soll, wählen Sie Nutzer kann entscheiden aus.
     • Wenn der Nutzer die Geräteregistrierung auswählt, muss er die Google Device Policy App und das Konfigurationsprofil installieren. Weitere Informationen finden Sie unter App „Google Device Policy“ installieren.
     • Wenn sie die Nutzerregistrierung auswählen, fahren Sie mit Schritt 5 (weiter unten auf dieser Seite) fort, um das Gerät zu registrieren.
5. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

   Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Schritt 4: Kontogesteuerte Nutzerregistrierung einrichten

Erforderlich für Geräte mit iOS 18 und höher. Optional für Geräte mit iOS 17 und früher.

Richten Sie die kontobasierte Nutzerregistrierung ein, damit Nutzer ihre privaten Geräte in der iOS-Einstellungen-App registrieren können. Dazu müssen Sie die Diensterkennung konfigurieren, indem Sie Registrierungsinformationen auf Ihrem Webserver hosten. So kann Apple die Informationen aus der Google-Endpunktverwaltung abrufen.

Service Discovery konfigurieren

1. Definieren Sie das JSON-Dokument für die Dienstermittlung:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Konfigurieren Sie Ihr Webhosting so, dass das JSON-Dokument vom folgenden Speicherort bereitgestellt wird:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Wichtig:

   • Der Content-Type-Header in der HTTP-Antwort muss auf „application/json“ gesetzt sein.
   • Das SSL-Zertifikat für den Webserver muss von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt werden und denselben voll qualifizierten Domainnamen (FQDN) haben wie die in Schritt 1 (weiter oben auf dieser Seite) eingerichtete bestätigte Domain.
   • Die Dienstermittlungskonfiguration muss auf einem Server gehostet werden, der HTTPS-GET-Anfragen unterstützt.

3. Prüfen Sie die Service Discovery-Konfiguration mit dem folgenden Befehl:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Achten Sie darauf, dass der Webserver, der die JSON-Datei bereitstellt, zusätzliche URL-Parameter verarbeiten kann. Bei bestimmten iOS-Versionen werden möglicherweise die folgenden Parameter an die HTTP GET-Anfrage angehängt:

   • user-identifier: Die Kennung des Nutzerkontos, z. B. email@yourdomain.com
   • model-family: Modellfamilie des Geräts (z. B. iPhone oder iPad)

   Der Befehl sollte eine Antwort wie die folgende ausgeben:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Mit dieser Konfiguration kann das iOS-Gerät die Registrierungsserver der Google-Mobilgeräteverwaltung während der kontogesteuerten Registrierung finden. Wenn ein Nutzer die E‑Mail-Adresse seines verwalteten Apple-Kontos eingibt, passiert Folgendes:

1. Das Gerät extrahiert den Domainnamen aus dem verwalteten Apple-Konto.
2. Das Gerät sendet eine HTTP-Anfrage an den Webserver, auf dem die Registrierungsinformationen gehostet werden.

Beispiel
Wenn sich der Nutzer Andy Jones mit der verwalteten Apple-ID andy.jones@yourdomain.com auf einem Gerät anmeldet:

• Das Gerät extrahiert yourdomain.com und verwendet den Dienstermittlungsprozess, um eine HTTPS-Anfrage für die Registrierungsinformationen zu stellen, die unter https://your_domain/.well-known/com.apple.remotemanagement gehostet werden.
• Das Gerät erkennt die Google-Mobilgeräteverwaltung anhand der Service Discovery-Konfiguration und initiiert die Registrierung.

Weitere Informationen zum Diensterkennungsprozess finden Sie in der Dokumentation zum Erkennen von Authentifizierungsservern auf der Apple Developer-Website.

Schritt 5: Nutzer bitten, ihr Gerät zu registrieren

Bitten Sie Nutzer, für die Registrierung von iOS-Geräten für die Verwaltung Folgendes zu tun:

1. Wenn das Gerät des Nutzers bereits für die Verwaltung registriert war, soll er die Registrierung seines Google Workspace-Kontos in der Device Policy App aufheben und die App dann deinstallieren. Weitere Informationen finden Sie unter Device Policy App verwalten.
2. Wählen Sie eine Option aus:
   • Wenn Sie die kontogesteuerte Nutzerregistrierung eingerichtet haben (siehe oben), lassen Sie die Nutzer auf Einstellungen Allgemein VPN und Geräteverwaltung Im Konto eines Unternehmens oder einer Bildungseinrichtung anmelden tippen und sich mit ihrem Workspace-Konto anmelden.
   • Andernfalls sollen sich Nutzer mit ihrem Arbeitskonto in der Gmail App anmelden, die aus dem Apple App Store installiert wurde.
3. Folgen Sie der Anleitung, um das Konfigurationsprofil zu installieren. Der Nutzer muss möglicherweise die iOS-Einstellungen aufrufen, um das heruntergeladene Profil zu installieren. Die Google Device Policy App wird automatisch installiert.
4. Der Nutzer muss sich nach dem Herunterladen in der Device Policy App anmelden. Weitere Informationen finden Sie unter Privates Gerät einrichten.
5. Verwaltete Apps über die Device Policy App installieren: Wenn eine App in der Device Policy App als Erforderlich gekennzeichnet ist, muss der Nutzer die App deinstallieren und dann über die Device Policy App neu installieren. Weitere Informationen finden Sie im Hilfeartikel Genehmigte geschäftliche Apps auf iOS-Geräten installieren.

Hinweis:Aus Datenschutzgründen kann die Google-Endpunktverwaltung die Liste der installierten Apps auf von Nutzern registrierten Geräten nicht lesen. Wenn ein Nutzer eine verwaltete App noch nicht über die Device Policy App installiert hat, können wir nicht feststellen, ob die App bereits als nicht verwaltete App aus dem App Store installiert wurde. Wenn die App bereits auf dem Gerät installiert ist, muss der Nutzer sie deinstallieren, bevor er sie über die Device Policy App installieren kann. Weitere Informationen zum Schutz der Privatsphäre des Nutzers finden Sie in der Apple-Dokumentation.

Weitere Informationen

Mobile Apps für Ihre Organisation verwalten