جداسازی داده‌های کاری و شخصی در دستگاه‌های iOS

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Starter، Frontline Standard و Frontline Plus؛ Business Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard، Education Plus و Endpoint Education Upgrade؛ Enterprise Essentials و Enterprise Essentials Plus؛ G Suite Basic و G Suite Business؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

به عنوان مدیر، می‌توانید تمام داده‌های موجود در دستگاه iOS شخصی کاربر یا فقط داده‌های کاری را مدیریت کنید. ثبت نام کاربر اپل، داده‌های کاری و شخصی را در دستگاه‌های iOS جدا می‌کند تا به شما کنترل کامل داده‌های کاری روی دستگاه را بدهد، در حالی که کاربران حریم خصوصی داده‌های شخصی خود را حفظ می‌کنند.

مقایسه گزینه‌های ثبت‌نام دستگاه‌های iOS

شما می‌توانید بین ثبت‌نام دستگاه و ثبت‌نام کاربر برای دستگاه‌های iOS با دستگاه خودتان (BYOD) یکی را انتخاب کنید. هر نوع ثبت‌نام، مجموعه‌ای از ویژگی‌های متفاوت را در اختیار شما قرار می‌دهد.

• اگر می‌خواهید داده‌های کاری روی دستگاه را ایمن کنید و به کاربر حریم خصوصی روی داده‌های شخصی‌اش بدهید، از ثبت‌نام کاربر استفاده کنید.
• برای کنترل بیشتر دستگاه، از جمله امکان پاک کردن اطلاعات، از ثبت نام دستگاه استفاده کنید.

قابلیت مدیریت موبایل	ثبت نام دستگاه	ثبت نام کاربر
پیکربندی حساب‌ها برای دسترسی به داده‌های کاری در برنامه‌های داخلی iOS	✔	✔
نصب و پیکربندی برنامه‌ها	✔	✔
الزام رمز عبور برای دستگاه‌ها	✔	✔
فهرست برنامه‌های کاری را ببینید	✔	✔
فقط داده‌های کاری را حذف کنید	✔	✔
نیاز به یک رمز عبور قوی	✔
دسترسی به فهرست برنامه‌های شخصی	✔
پاک کردن کل دستگاه از راه دور (از جمله اطلاعات شخصی)	✔

قبل از اینکه شروع کنی

• ثبت‌نام کاربر در دستگاه‌های شخصی دارای iOS 15.5 و بالاتر پشتیبانی می‌شود. این امکان برای دستگاه‌های متعلق به شرکت در دسترس نیست.

توجه: روش اصلی ثبت‌نام کاربر مبتنی بر پروفایل (که در iOS 15.5 و بالاتر پشتیبانی می‌شود) دیگر برای دستگاه‌هایی که iOS 18 و بالاتر را اجرا می‌کنند، پشتیبانی نمی‌شود.

• جزئیات ورود به سیستم را هم برای کنسول مدیریت گوگل و هم برای Apple Business Manager یا Apple School Manager سازمان خود آماده کنید.
• مدیریت پیشرفته موبایل را برای واحد سازمانی که از دستگاه‌ها استفاده خواهد کرد، فعال کنید.
• برنامه خرید حجمی اپل (VPP) را برای توزیع برنامه‌های کاری به کاربران راه‌اندازی کنید.

مرحله ۱: اتصال Apple Business Manager به Google Workspace

شما Apple Business Manager یا Apple School Manager را به Google Workspace متصل می‌کنید تا کاربران بتوانند از نام‌های کاربری Google Workspace خود به عنوان شناسه‌های اپل مدیریت‌شده استفاده کنند. آن‌ها می‌توانند از این جزئیات برای ورود به دستگاه iOS خود استفاده کنند. برای برنامه Google Device Policy و هر برنامه دیگری که می‌خواهید در دستگاه‌های ثبت‌نام‌شده توسط کاربر توزیع کنید، به مجوزهایی نیاز دارید. برای اتصال Apple Business Manager به Google Workspace:

1. Apple Business Manager یا Apple School Manager را باز کنید و با Apple ID تجاری خود وارد شوید.
2. در پایین سمت چپ، نام خود را انتخاب کنید تنظیمات برگزیده حساب‌های کاربری مدیریت‌شده اپل
3. در کنار «احراز هویت فدرال» ، روی «ویرایش» کلیک کنید.
4. انتخاب فضای کاری گوگل متصل شوید و با حساب کاربری مدیر Google Workspace خود وارد سیستم شوید.
5. کادر کنار هر یک از مجوزهای درخواستی را علامت بزنید و روی ادامه کلیک کنید انجام شد .
6. در کنار دامنه‌ها ، روی ویرایش کلیک کنید.
7. در کنار دامنه تأیید شده خود، روی Federate کلیک کنید.
8. در سمت چپ، روی «همگام‌سازی دایرکتوری» کلیک کنید و «همگام‌سازی Google Workspace» را فعال کنید.

مرحله ۲: مجوزهای برنامه را برای خط‌مشی دستگاه گوگل دریافت کنید

شما برای برنامه Device Policy و هر برنامه دیگری که می‌خواهید در دستگاه‌های ثبت‌شده توسط کاربر توزیع کنید، به مجوزهایی نیاز دارید. برای جزئیات بیشتر، به Distribute iOS apps with Apple VPP مراجعه کنید.

مرحله ۳: انتخاب نوع ثبت نام

قبل از شروع: اگر دستگاه‌هایی با الزامات ثبت‌نام متفاوت دارید، برای هر نوع ثبت‌نام یک واحد سازمانی تنظیم کنید. به عنوان مثال، دستگاه‌های متعلق به شرکت، ثبت‌نام‌شده در دستگاه هستند، بنابراین مطمئن شوید که در یک واحد سازمانی با گزینه ثبت‌نام دستگاه یا انتخاب کاربر قرار دارند. برای جزئیات بیشتر، به افزودن یک واحد سازمانی بروید.

1. در کنسول مدیریت گوگل، به منو بروید دستگاه‌ها موبایل و نقاط پایانی تنظیمات آی او اس .

   به iOS بروید

   نیاز به داشتن امتیاز مدیر سرویس‌ها و دستگاه‌ها دارد.

2. روی ثبت‌نام کلیک کنید.
3. (اختیاری) برای اعمال تنظیمات به یک بخش یا تیم، در کنار آن، یک واحد سازمانی را انتخاب کنید.
4. یک گزینه را انتخاب کنید (برای هر واحد سازمانی یکی):
   • (پیش‌فرض) برای مدیریت داده‌های کاری و شخصی در دستگاه‌های iOS شخصی، گزینه «ثبت دستگاه» را انتخاب کنید.
   • برای مدیریت فقط داده‌های کاری در دستگاه‌های شخصی، ثبت‌نام کاربر را انتخاب کنید.
     برای اعمال این تنظیم فقط روی دستگاه‌های جدید، گزینه‌ی «اجازه ثبت‌نام دستگاه برای کاربران موجود» را علامت بزنید.
   • برای اینکه کاربر نوع ثبت نام را تعیین کند، گزینه «انتخاب کاربر» را انتخاب کنید.
     • اگر کاربر گزینه ثبت دستگاه (Device Enrollment) را انتخاب کند، باید برنامه Google Device Policy و پروفایل پیکربندی را نصب کند. برای جزئیات بیشتر، به Install the Google Device Policy app مراجعه کنید.
     • اگر آنها ثبت نام کاربر را انتخاب کردند، برای مراحل ثبت نام دستگاه به مرحله 5 (بعداً در همین صفحه) بروید.
5. روی ذخیره کلیک کنید. یا می‌توانید برای یک واحد سازمانی روی لغو کلیک کنید.

   برای بازیابی مقدار ارث‌بری شده در آینده، روی «به ارث بردن» کلیک کنید.

مرحله ۴: ثبت نام کاربر مبتنی بر حساب را تنظیم کنید

برای دستگاه‌های iOS 18 و بالاتر الزامی است. برای دستگاه‌های iOS 17 و قبل از آن اختیاری است.

ثبت‌نام کاربر بر اساس حساب کاربری را تنظیم کنید تا کاربران بتوانند دستگاه‌های شخصی خود را در برنامه تنظیمات iOS ثبت‌نام کنند. برای تنظیم ثبت‌نام بر اساس حساب کاربری، باید کشف سرویس را با میزبانی اطلاعات ثبت‌نام در وب سرور خود پیکربندی کنید. این به اپل اجازه می‌دهد تا اطلاعات را از مدیریت نقطه پایانی گوگل بازیابی کند.

پیکربندی کشف سرویس

1. سند JSON مربوط به کشف سرویس را تعریف کنید:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. میزبانی وب خود را طوری پیکربندی کنید که سند JSON را از آدرس زیر ارائه دهد:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   مهم:

   • مطمئن شوید که هدر Content-Type در پاسخ HTTP روی application/json تنظیم شده باشد.
   • گواهی SSL برای وب سرور باید توسط یک مرجع صدور گواهی معتبر صادر شود و نام دامنه کاملاً واجد شرایط (FQDN) آن با نام دامنه تأیید شده در مرحله 1 (که قبلاً در این صفحه توضیح داده شد) یکسان باشد.
   • پیکربندی کشف سرویس باید روی سروری میزبانی شود که از درخواست‌های HTTPS GET پشتیبانی می‌کند.

3. با اجرای دستور زیر، پیکربندی کشف سرویس را تأیید کنید:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   مطمئن شوید که وب سروری که فایل JSON را ارائه می‌دهد، می‌تواند پارامترهای اضافی URL را مدیریت کند. برخی از نسخه‌های iOS ممکن است پارامترهای زیر را به درخواست HTTP GET پیوست کنند:

   • شناسه کاربر - شناسه حساب کاربری (برای مثال، email@yourdomain.com)
   • خانواده مدل — خانواده مدل دستگاه (مثلاً آیفون یا آیپد)

   این دستور باید پاسخی مشابه زیر چاپ کند:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

این پیکربندی به دستگاه iOS اجازه می‌دهد تا سرورهای ثبت‌نام Google MDM را در طول فرآیند ثبت‌نام مبتنی بر حساب کاربری پیدا کند. پس از اینکه کاربر آدرس ایمیل حساب مدیریت‌شده اپل خود را وارد کرد، موارد زیر رخ می‌دهد:

1. دستگاه نام دامنه را از حساب مدیریت‌شده اپل استخراج می‌کند.
2. دستگاه یک درخواست HTTP به سرور وب میزبان اطلاعات ثبت نام ارسال می‌کند.

مثال
اگر کاربر Andy Jones با شناسه مدیریت‌شده Apple ID و با آدرس andy.jones@yourdomain.com وارد دستگاهی شود:

• دستگاه، yourdomain.com را استخراج کرده و از فرآیند کشف سرویس برای ارسال درخواست HTTPS برای اطلاعات ثبت‌نام که در آدرس https:// your_domain /.well-known/com.apple.remotemanagement میزبانی می‌شود، استفاده می‌کند.
• دستگاه، Google MDM را از پیکربندی کشف سرویس شناسایی کرده و ثبت نام را آغاز می‌کند.

برای اطلاعات بیشتر در مورد فرآیند کشف سرویس، به مستندات Discover Authentication Servers از وب‌سایت Apple Developer مراجعه کنید.

مرحله ۵: از کاربران بخواهید دستگاه خود را ثبت کنند

برای ثبت دستگاه‌های iOS برای مدیریت، از کاربران بخواهید موارد زیر را انجام دهند:

1. اگر دستگاه کاربر قبلاً برای مدیریت ثبت شده است، از او بخواهید حساب Google Workspace خود را از برنامه Device Policy لغو ثبت کند و سپس برنامه را حذف نصب کند. برای جزئیات بیشتر، به برنامه Manage the Device Policy بروید.
2. یک گزینه را انتخاب کنید:
   • اگر ثبت‌نام کاربر مبتنی بر حساب را تنظیم کرده‌اید (قبلاً در این مقاله)، از کاربران بخواهید روی تنظیمات ضربه بزنند عمومی مدیریت VPN و دستگاه وارد حساب کاری یا تحصیلی خود شوید و با حساب کاربری Workspace خود وارد شوید.
   • در غیر این صورت، از کاربران بخواهید با حساب کاری خود در برنامه Gmail که از فروشگاه App Store نصب شده است، وارد سیستم شوند.
3. برای نصب پروفایل پیکربندی، دستورالعمل‌ها را دنبال کنید. ممکن است کاربر برای نصب پروفایل دانلود شده نیاز به مراجعه به برنامه تنظیمات iOS داشته باشد. برنامه Google Device Policy به طور خودکار نصب می‌شود.
4. کاربر پس از دانلود برنامه‌ی Device Policy باید با آن وارد سیستم شود. برای جزئیات بیشتر، به بخش «راه‌اندازی یک دستگاه شخصی» مراجعه کنید.
5. برنامه‌های مدیریت‌شده را از برنامه‌ی Device Policy نصب کنید. اگر برنامه‌ای در برنامه‌ی Device Policy به عنوان «مورد نیاز» علامت‌گذاری شده باشد، کاربر باید برنامه را حذف نصب کرده و سپس آن را از برنامه‌ی Device Policy دوباره نصب کند. برای جزئیات بیشتر، به «دریافت برنامه‌های کاری تأیید شده در دستگاه‌های iOS» مراجعه کنید.

توجه: به دلایل حفظ حریم خصوصی، مدیریت نقطه پایانی گوگل نمی‌تواند لیست برنامه‌های نصب شده روی دستگاه‌های ثبت شده توسط کاربر را بخواند. اگر کاربری هنوز یک برنامه مدیریت شده را از برنامه خط مشی دستگاه نصب نکرده باشد، نمی‌توانیم تشخیص دهیم که آیا این برنامه از قبل به صورت مدیریت نشده از فروشگاه برنامه نصب شده است یا خیر. اگر برنامه از قبل روی دستگاه است، کاربر باید قبل از نصب آن از برنامه خط مشی دستگاه، آن را حذف نصب کند. برای جزئیات بیشتر در مورد محافظت از حریم خصوصی کاربر، به مستندات اپل خود مراجعه کنید.

موضوع مرتبط

مدیریت برنامه‌های تلفن همراه برای سازمان شما