Memisahkan data kerja dan pribadi di perangkat iOS

Edisi yang didukung untuk fitur ini: Frontline Starter, Frontline Standard, dan Frontline Plus; Business Plus; Enterprise Standard dan Enterprise Plus; Education Standard, Education Plus, dan Endpoint Education Upgrade; Enterprise Essentials dan Enterprise Essentials Plus; G Suite Basic dan G Suite Business; Cloud Identity Premium. Bandingkan edisi Anda

Sebagai administrator, Anda dapat mengelola semua data di perangkat iOS pribadi pengguna, atau hanya data kerja. Apple User Enrollment memisahkan data kerja dan pribadi di perangkat iOS untuk memberi Anda kontrol penuh atas data kerja di perangkat, sementara pengguna mempertahankan privasi atas data pribadi mereka.

Membandingkan opsi pendaftaran perangkat iOS

Anda dapat memilih antara pendaftaran perangkat dan pendaftaran pengguna untuk perangkat iOS BYOD (bawa perangkat sendiri). Setiap jenis pendaftaran memberi Anda serangkaian fitur yang berbeda.

  • Gunakan pendaftaran pengguna jika Anda ingin mengamankan data kerja di perangkat dan memberikan privasi kepada pengguna atas data pribadinya.
  • Gunakan pendaftaran perangkat untuk memiliki kontrol lebih atas perangkat, termasuk kemampuan untuk menghapus total perangkat.
Fitur pengelolaan seluler Pendaftaran perangkat Pendaftaran pengguna
Mengonfigurasi akun untuk mengakses data kerja di aplikasi iOS bawaan
Menginstal dan mengonfigurasi aplikasi
Mewajibkan sandi untuk perangkat
Melihat inventaris aplikasi kerja
Menghapus data kerja saja
Mewajibkan sandi yang kuat
Mengakses inventaris aplikasi pribadi
Menghapus total seluruh perangkat dari jarak jauh (termasuk data pribadi)

Sebelum memulai

  • Pendaftaran pengguna didukung di perangkat pribadi yang menjalankan iOS 15.5 dan yang lebih baru. Fitur ini tidak tersedia untuk perangkat milik perusahaan.

Catatan: Metode Pendaftaran Pengguna berbasis profil asli (didukung di iOS 15.5 dan yang lebih baru) tidak lagi didukung untuk perangkat yang menjalankan iOS 18 dan yang lebih baru.

Tautkan Apple Business Manager atau Apple School Manager ke Google Workspace agar pengguna dapat menggunakan nama pengguna Google Workspace mereka sebagai Managed Apple ID. Pengguna dapat menggunakan detail tersebut untuk login ke perangkat iOS. Anda memerlukan lisensi untuk aplikasi Google Device Policy dan aplikasi lain yang ingin didistribusikan ke perangkat yang didaftarkan pengguna. Untuk menautkan Apple Business Manager ke Google Workspace:

  1. Buka Apple Business Manager atau Apple School Manager, lalu login menggunakan ID Apple bisnis Anda.
  2. Di kiri bawah, pilih nama Anda laluPreferences laluManaged Apple Accounts.
  3. Di samping Federated Authentication, klik Edit.
  4. Pilih Google Workspace laluConnect, lalu login dengan akun administrator Google Workspace Anda.
  5. Centang kotak di samping setiap izin yang diminta, lalu klik Lanjutkan laluSelesai.
  6. Di samping Domain, klik Edit.
  7. Di samping domain terverifikasi Anda, klik Federate.
  8. Di sebelah kiri, klik Directory Sync, lalu aktifkan Google Workspace Sync.

Langkah 2: Dapatkan lisensi aplikasi untuk Google Device Policy

Anda memerlukan lisensi untuk aplikasi Device Policy dan aplikasi lain yang ingin didistribusikan ke perangkat yang didaftarkan pengguna. Untuk mengetahui detailnya, buka Mendistribusikan aplikasi iOS dengan Apple VPP.

Langkah 3: Pilih jenis pendaftaran

Sebelum memulai: Jika Anda memiliki perangkat dengan persyaratan pendaftaran yang berbeda-beda, siapkan unit organisasi untuk setiap jenis pendaftaran. Misalnya, perangkat milik perusahaan didaftarkan perangkat, jadi pastikan perangkat tersebut berada di unit organisasi dengan opsi Pendaftaran Perangkat atau Pilihan pengguna dipilih. Untuk mengetahui detailnya, buka Menambahkan unit organisasi.

  1. Di konsol Google Admin, buka Menu lalu Perangkat laluSeluler & endpoint laluSetelan laluiOS

    Anda harus memiliki hak istimewa administrator Layanan dan perangkat.

  2. Klik Pendaftaran.
  3. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
  4. Pilih opsi (satu per unit organisasi):
    • (Default) Untuk mengelola data kerja dan pribadi di perangkat iOS pribadi, pilih Pendaftaran Perangkat.
    • Untuk mengelola data kerja di perangkat pribadi saja, pilih Pendaftaran Pengguna.
      Untuk menerapkan setelan hanya ke perangkat baru, centang kotak Izinkan Pendaftaran Perangkat untuk pengguna yang ada.
    • Agar pengguna dapat memutuskan jenis pendaftaran, pilih Pilihan pengguna.
      • Jika pengguna memilih Pendaftaran Perangkat, dia harus menginstal aplikasi Google Device Policy dan profil konfigurasi. Untuk mengetahui detailnya, buka Menginstal aplikasi Google Device Policy.
      • Jika pengguna memilih Pendaftaran Pengguna, lanjutkan ke Langkah 5 (pada bagian lain di halaman ini) untuk mengetahui langkah-langkah mendaftarkan perangkat.
  5. Klik Simpan. Atau, Anda dapat mengklik Ganti untuk unit organisasi.

    Untuk memulihkan nilai yang diwarisi pada lain waktu, klik Warisi.

Langkah 4: Siapkan pendaftaran pengguna berdasarkan akun

Wajib untuk perangkat iOS 18 dan yang lebih baru. Opsional untuk perangkat iOS 17 dan yang lebih lama.

Siapkan pendaftaran pengguna berdasarkan akun sehingga pengguna dapat mendaftarkan perangkat pribadi mereka di aplikasi setelan iOS. Untuk menyiapkan pendaftaran berdasarkan akun, Anda perlu mengonfigurasi penemuan layanan dengan menghosting informasi pendaftaran di server web Anda. Hal ini memungkinkan Apple mengambil informasi dari pengelolaan endpoint Google.

Mengonfigurasi penemuan layanan

  1. Tentukan dokumen JSON penemuan layanan:

    {
   "Servers": [
    {
       "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
       "Version":"mdm-byod"
    }
   ]
}

  2. Konfigurasi hosting web Anda untuk memproses dokumen JSON dari lokasi berikut:

    https://yourdomain.com/.well-known/com.apple.remotemanagement

    Penting:

    • Pastikan header Content-Type dalam respons HTTP ditetapkan ke application/json.
    • Sertifikat SSL untuk server web harus diterbitkan oleh certificate authority tepercaya dan memiliki nama domain yang sepenuhnya memenuhi syarat (FQDN) yang sama dengan domain terverifikasi sebagaimana disiapkan di langkah 1 (pada bagian sebelumnya di halaman ini).
    • Konfigurasi penemuan layanan harus dihosting di server yang mendukung permintaan GET HTTPS.

  3. Verifikasi konfigurasi penemuan layanan dengan menjalankan perintah:

    curl -I https://your_domain/.well-known/com.apple.remotemanagement

    Pastikan server web yang memproses file JSON dapat menangani parameter URL tambahan. Versi iOS tertentu dapat melampirkan parameter berikut ke permintaan HTTP GET:

    • user-identifier—ID akun pengguna (misalnya, email@domainanda.com)
    • model-family—kategori model perangkat (misalnya, iPhone atau iPad)

    Perintah akan mencetak respons yang mirip dengan:

    HTTP/2 200  content-type: application/json
last-modified: Wed, 30 Oct 2024 19:14:12 GMT
accept-ranges: bytes
date: Fri, 27 Dec 2024 18:40:36 GMT
content-length: 138

Dengan konfigurasi ini, perangkat iOS dapat menemukan server pendaftaran MDM Google selama proses pendaftaran berdasarkan akun. Setelah pengguna memasukkan alamat email Managed Apple Account, hal berikut akan terjadi:

  1. Perangkat mengekstrak nama domain dari akun Apple terkelola.
  2. Perangkat mengirimkan permintaan HTTP ke server web yang menghosting informasi pendaftaran.

Contoh
Jika pengguna bernama Andika Januar login ke perangkat dengan Apple ID Terkelola andika.januar@domainanda.com:

  • Perangkat mengekstrak domainanda.com dan menggunakan proses penemuan layanan guna membuat permintaan HTTPS untuk informasi pendaftaran yang dihosting di https://domain_anda/.well-known/com.apple.remotemanagement.
  • Perangkat mengidentifikasi MDM Google dari konfigurasi penemuan layanan dan memulai pendaftaran.

Untuk mengetahui informasi selengkapnya tentang proses penemuan layanan, lihat dokumentasi Discover Authentication Servers dari situs Apple Developer.

Langkah 5: Minta pengguna mendaftarkan perangkat mereka

Untuk mendaftarkan perangkat iOS agar dapat dikelola, minta pengguna melakukan hal berikut:

  1. Jika perangkat pengguna sudah terdaftar untuk dikelola, minta pengguna membatalkan pendaftaran akun Google Workspace dari aplikasi Device Policy, lalu meng-uninstal aplikasi. Untuk mengetahui detailnya, buka Mengelola aplikasi Device Policy.
  2. Pilih salah satu opsi:
    • Jika Anda menyiapkan pendaftaran pengguna berdasarkan akun (pada bagian sebelumnya di artikel ini), instruksikan pengguna untuk mengetuk Settings laluGeneral laluVPN & Device Management laluSign In to Work or School Account, lalu login dengan akun Workspace mereka.
    • Atau, instruksikan pengguna untuk login dengan akun kerja mereka di aplikasi Gmail yang diinstal dari Apple App Store.
  3. Ikuti petunjuk untuk menginstal profil konfigurasi. Pengguna mungkin perlu membuka aplikasi setelan iOS untuk menginstal profil yang didownload. Aplikasi Google Device Policy akan otomatis diinstal.
  4. Pengguna harus login dengan aplikasi Device Policy setelah didownload. Untuk mengetahui detailnya, buka Menyiapkan perangkat pribadi.
  5. Instal aplikasi terkelola dari aplikasi Device Policy. Jika aplikasi ditandai sebagai Wajib di aplikasi Device Policy, pengguna harus meng-uninstal aplikasi tersebut, lalu menginstalnya ulang dari aplikasi Device Policy. Untuk mengetahui detailnya, buka Mendapatkan aplikasi kerja yang disetujui di perangkat iOS.

Catatan: Demi alasan privasi, pengelolaan endpoint Google tidak dapat membaca daftar aplikasi yang diinstal di perangkat yang didaftarkan pengguna. Jika pengguna belum menginstal aplikasi terkelola dari aplikasi Device Policy, kami tidak dapat mengetahui apakah aplikasi telah diinstal sebagai tidak terkelola dari App Store. Jika aplikasi sudah ada di perangkat, pengguna harus meng-uninstalnya sebelum menginstalnya dari aplikasi Device Policy. Untuk mengetahui detail selengkapnya tentang cara melindungi privasi pengguna, lihat dokumentasi Apple.

Mengelola aplikasi seluler untuk organisasi Anda