הפרדה בין נתוני עבודה למידע אישי במכשירי iOS

התכונה הזו נתמכת במהדורות הבאות: Frontline Starter,‏ Frontline Standard ו-Frontline Plus;‏ Business Plus;‏ Enterprise Standard ו-Enterprise Plus;‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade;‏ Enterprise Essentials ו-Enterprise Essentials Plus;‏ G Suite Basic ו-G Suite Business;‏ Cloud Identity Premium. השוואה בין מהדורות

אדמינים יכולים לנהל במכשיר iOS אישי של משתמש את כל הנתונים או רק את נתוני העבודה. בתהליך רישום המשתמשים של אפל מוגדרת הפרדה בין נתוני עבודה למידע אישי במכשירי ה-iOS, כדי לתת לכם שליטה מלאה על נתוני העבודה במכשיר, תוך שמירה על פרטיות המידע האישי של המשתמשים.

השוואה בין אפשרויות שיוך מכשירי iOS לארגון

אתם יכולים לבחור בין שיוך מכשירים לארגון לבין רישום משתמשים עם מכשירי iOS בשיטת BYOD (Bring Your Own Device –העובדים מביאים את המכשיר שלהם לעבודה). כל סוג הרשמה כולל קבוצת תכונות שונה.

• אם אתם רוצים לאבטח את נתוני העבודה במכשיר ולשמור על הפרטיות של המשתמש לגבי הנתונים האישיים שלו, השתמשו ברישום משתמשים.
• כדי לקבל שליטה רבה יותר במכשיר, כולל היכולת לאפס את נתוני המכשיר, השתמשו בשיוך מכשיר לארגון.

תכונה לניהול ניידים	צירוף מכשיר לתוכנית	רישום משתמשים
הגדרת חשבונות לגישה לנתוני עבודה באפליקציות מובנות ל-iOS	✔	✔
התקנה והגדרה של אפליקציות	✔	✔
איך דורשים סיסמאות למכשירים	✔	✔
צפייה ברשימת האפליקציות לעבודה	✔	✔
הסרת נתונים שקשורים לעבודה בלבד	✔	✔
דרישה לסיסמה חזקה	✔
גישה לאפליקציות לשימוש אישי	✔
מחיקה מרחוק של כל הנתונים במכשיר (כולל מידע אישי)	✔

לפני שמתחילים

• יש תמיכה ברישום משתמשים במכשירים אישיים עם iOS מגרסה 15.5 ואילך. אי אפשר לעשות זאת במכשירים בבעלות החברה.

הערה: שיטת הרישום המקורית של משתמשים שמבוססת על פרופיל (נתמכת ב-iOS מגרסה 15.5 ואילך) כבר לא נתמכת במכשירים עם iOS מגרסה 18 ואילך.

• מכינים את פרטי הכניסה למסוף Google Admin ול-Apple Business Manager או ל-Apple School Manager של הארגון.
• מפעילים ניהול מתקדם של מכשירים ניידים ביחידה הארגונית שבה ישתמשו במכשירים.
• מגדירים את התוכנית Volume Purchase Program (VPP) של אפל כדי להפיץ אפליקציות לעבודה למשתמשים.

שלב 1: מקשרים את Apple Business Manager ל-Google Workspace

אתם מקשרים את Apple Business Manager או את Apple School Manager ל-Google Workspace כדי שהמשתמשים יוכלו להשתמש בשמות המשתמש שלהם ב-Google Workspace בתור מזהים מנוהלים של אפל. הם יוכלו להשתמש בפרטים האלה כדי להיכנס למכשיר iOS שלהם. אתם צריכים רישיונות לאפליקציה Google Device Policy ולכל אפליקציה אחרת שאתם רוצים להפיץ למכשירים שרשומים לניהול. כדי לקשר את Apple Business Manager ל-Google Workspace:

1. פותחים את Apple Business Manager או את Apple School Manager ונכנסים באמצעות ה-Apple ID העסקי.
2. בצד ימין למטה, לוחצים על השם שלכם העדפות חשבונות אפל מנוהלים.
3. לצד Federated Authentication (אימות מאוחד), לוחצים על Edit (עריכה).
4. בוחרים באפשרות Google Workspace Connect (חיבור) ונכנסים באמצעות חשבון האדמין ב-Google Workspace.
5. מסמנים את התיבה לצד כל אחת מההרשאות המבוקשות ולוחצים על המשך סיום.
6. לצד Domains (דומיינים), לוחצים על Edit (עריכה).
7. לצד הדומיין המאומת, לוחצים על Federate (איחוד).
8. בצד ימין, לוחצים על Directory Sync ומפעילים את סנכרון Google Workspace.

שלב 2: קבלת רישיונות לאפליקציות ל-Google Device Policy

צריך רישיונות לאפליקציה Device Policy ולכל אפליקציה אחרת שרוצים להפיץ למכשירים רשומים של משתמשים. פרטים נוספים מופיעים במאמר בנושא הפצת אפליקציות ל-iOS באמצעות Apple VPP.

שלב 3: בוחרים את סוג ההרשמה

לפני שמתחילים: אם יש לכם מכשירים עם דרישות שונות להרשמה, צריך להגדיר יחידה ארגונית לכל סוג הרשמה. לדוגמה, לגבי מכשירים בבעלות החברה צריך לבצע שיוך מכשירים לארגון, לכן חשוב לוודא שהם נמצאים ביחידה ארגונית שבה נבחרה האפשרות 'שיוך מכשיר לחשבון' או 'לפי בחירת המשתמש'. פרטים נוספים זמינים במאמר בנושא הוספה של יחידה ארגונית.

1. במסוף Google Admin, נכנסים לתפריט מכשירים ניידים ונקודות קצה הגדרות iOS. 

   מעבר אל iOS

   כדי לעשות את זה צריך הרשאת אדמין לשירותים ומכשירים.

2. לוחצים על הרשמה.
3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
4. בוחרים באחת מהאפשרויות (אחת לכל יחידה ארגונית):
   • (ברירת מחדל) כדי לנהל נתוני עבודה ומידע אישי במכשירי iOS אישיים, בוחרים באפשרות שיוך מכשירים לארגון.
   • כדי לנהל רק את נתוני העבודה במכשירים אישיים, בוחרים באפשרות רישום משתמשים.
     כדי להחיל את ההגדרה רק על מכשירים חדשים, מסמנים את התיבה המשתמשים הקיימים רשאים לבצע רישום מכשירים.
   • כדי לאפשר למשתמש לבחור את סוג ההרשמה, בוחרים באפשרות בחירת המשתמש.
     • אם המשתמשים בוחרים לשייך את המכשיר לארגון, הם צריכים להתקין את אפליקציית Google Device Policy ואת הפרופיל להעלאת הגדרות אישיות. פרטים נוספים זמינים במאמר בנושא התקנה של אפליקציית Google Device Policy.
     • אם הם בוחרים באפשרות "רישום משתמשים", צריך לעבור לשלב 5 (בהמשך הדף הזה) כדי לבצע את השלבים לרישום המכשיר.
5. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

   אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

שלב 4: הגדרת רישום משתמשים לפי חשבון

נדרש במכשירים עם iOS 18 ואילך. אופציונלי במכשירים עם iOS 17 וגרסאות קודמות.

אתם יכולים להגדיר רישום משתמשים לפי חשבון, כדי שהמשתמשים יוכלו לרשום את המכשירים האישיים שלהם באפליקציית ההגדרות של iOS. כדי להגדיר הרשמה לפי חשבון, אתם צריכים להגדיר זיהוי שירותים על ידי אירוח פרטי ההרשמה בשרת האינטרנט שלכם. כך אפל יכולה לאחזר את המידע מניהול נקודות קצה ב-Google.

הגדרת זיהוי שירותים

1. מגדירים את מסמך ה-JSON של גילוי השירות:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. מגדירים את האירוח באינטרנט כך שיציג את מסמך ה-JSON מהמיקום הבא:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   חשוב לדעת:

   • מוודאים שהכותרת Content-Type בתגובת ה-HTTP מוגדרת ל-application/json.
   • אישור ה-SSL של שרת האינטרנט צריך להיות מונפק על ידי רשות אישורים מהימנה, ושם הדומיין שמוגדר במלואו (FQDN) צריך להיות זהה לזה של הדומיין המאומת שהוגדר בשלב 1 (בתחילת המאמר הזה).
   • ההגדרה של זיהוי השירותים צריכה להתארח בשרת שתומך בבקשות HTTPS GET.

3. כדי לאמת את ההגדרה של זיהוי השירותים, מריצים את הפקודה:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   מוודאים ששרת האינטרנט שמציג את קובץ ה-JSON יכול לטפל בפרמטרים נוספים של כתובות URL. יכול להיות שבגרסאות מסוימות של iOS יצורפו הפרמטרים הבאים לבקשת HTTP GET:

   • ‫user-identifier – מזהה חשבון המשתמש (לדוגמה, email@yourdomain.com)
   • ‫model-family – משפחת הדגמים של המכשיר (לדוגמה, iPhone או iPad)

   הפקודה אמורה להדפיס תגובה שדומה לזו:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

ההגדרה הזו מאפשרת למכשיר iOS למצוא את שרתי ההרשמה ל-MDM (ניהול מכשירים ניידים) של Google במהלך תהליך ההרשמה לפי חשבון. אחרי שמשתמש מזין את כתובת האימייל של החשבון המנוהל שלו באפל, קורה הדבר הבא:

1. המכשיר מחלץ את שם הדומיין מהחשבון המנוהל באפל.
2. המכשיר שולח בקשת HTTP לשרת האינטרנט שמארח את פרטי ההרשמה.

דוגמה
אם המשתמש אנדי ג'ונס נכנס למכשיר עם מזהה מנוהל של אפל andy.jones@yourdomain.com:

• המכשיר מחלץ את yourdomain.com ומשתמש בתהליך של זיהוי שירותים כדי לשלוח בקשת HTTPS למידע על ההרשמה שמתארח בכתובת https://your_domain/.well-known/com.apple.remotemanagement.
• המכשיר מזהה את Google MDM מתוך הגדרת זיהוי השירותים ומתחיל את ההרשמה.

מידע נוסף על תהליך זיהוי שירותים זמין במאמרי העזרה בנושא שרתי אימות (AS) באתר של אפל למפתחים.

שלב 5: מבקשים מהמשתמשים לרשום את המכשיר

כדי לרשום מכשירי iOS לניהול בארגון, המשתמשים צריכים לבצע את הפעולות הבאות:

1. אם המכשיר של המשתמש כבר רשום לניהול, צריך לבקש ממנו לבטל את הרישום של חשבון Google Workspace שלו באפליקציית Device Policy ואז להסיר את האפליקציה. פרטים נוספים זמינים במאמר בנושא ניהול אפליקציית Device Policy.
2. בוחרים אפשרות:
   • אם הגדרתם רישום משתמשים לפי חשבון (כמו שמוסבר בשלבים קודמים במאמר), המשתמשים צריכים ללחוץ על הגדרות כללי VPN וניהול מכשירים כניסה לחשבון לצורכי עבודה או לחשבון בית ספרי ולהיכנס באמצעות חשבון Workspace שלהם.
   • לחלופין, המשתמשים צריכים להיכנס באמצעות החשבון של מקום העבודה באפליקציית Gmail שהותקנה דרך Apple App Store.
3. פועלים לפי ההנחיות כדי להתקין את הפרופיל להעלאת הגדרות אישיות. יכול להיות שהמשתמש יצטרך להיכנס לאפליקציית ההגדרות של iOS כדי להתקין את הפרופיל שהורד. אפליקציית Google Device Policy מותקנת באופן אוטומטי.
4. אחרי שהאפליקציה Device Policy מורידה את עצמה, המשתמש צריך להיכנס אליה. פרטים נוספים מופיעים במאמר בנושא הגדרת מכשיר אישי.
5. מתקינים אפליקציות מנוהלות דרך אפליקציית Device Policy. אם אפליקציה מסומנת כנדרשת באפליקציית Device Policy, המשתמש צריך להסיר את האפליקציה ואז להתקין אותה מחדש דרך אפליקציית Device Policy. לפרטים נוספים, אפשר לעבור אל קבלת אפליקציות לעבודה מאושרות במכשירי iOS.

הערה: מטעמי פרטיות, התכונות לניהול נקודת קצה ב-Google לא יכולות לקרוא את רשימת האפליקציות המותקנות במכשירים שנרשמו על ידי המשתמשים. אם משתמש עדיין לא התקין אפליקציה מנוהלת דרך האפליקציה Device Policy, אנחנו לא יכולים לדעת אם האפליקציה כבר מותקנת כאפליקציה לא מנוהלת דרך App Store. אם האפליקציה כבר מותקנת במכשיר, המשתמש צריך להסיר אותה לפני שהוא מתקין אותה דרך אפליקציית Device Policy. לפרטים נוספים על הגנה על פרטיות המשתמש, אפשר לעיין במאמרי העזרה של אפל.

נושא קשור

ניהול אפליקציות לנייד בארגון