Separare i dati di lavoro da quelli personali sui dispositivi iOS

Versioni supportate per questa funzionalità: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Enterprise Essentials ed Enterprise Essentials Plus; G Suite Basic e G Suite Business; Cloud Identity Premium. Confronta la tua versione

In qualità di amministratore, puoi gestire tutti i dati sul dispositivo iOS personale di un utente o solo i dati di lavoro. Registrazione degli utenti Apple: separa i dati di lavoro da quelli personali sui dispositivi iOS per consentirti di avere il controllo completo dei dati di lavoro sul dispositivo, mantenendo al tempo stesso la privacy dei dati personali.

Confrontare le opzioni di registrazione dei dispositivi iOS

Puoi scegliere tra la registrazione dei dispositivi e quella degli utenti per i dispositivi iOS per BYOD (Bring your own device, Porta il tuo dispositivo). Ogni tipo di registrazione offre un insieme diverso di funzionalità.

• Utilizza la registrazione degli utenti se vuoi proteggere i dati di lavoro sul dispositivo e tutelare la privacy degli utenti per quanto riguarda i loro dati personali.
• Utilizza la registrazione dei dispositivi per un maggiore controllo sul dispositivo, inclusa la possibilità di cancellarne i dati.

Funzionalità di gestione dei dispositivi mobili	Registrazione dei dispositivi	Registrazione degli utenti
Configurare gli account per accedere ai dati di lavoro nelle app per iOS integrate	✔	✔
Installare e configurare le app	✔	✔
Richiedere password per i dispositivi	✔	✔
Visualizzazione dell'inventario delle app di lavoro	✔	✔
Rimozione dei soli dati di lavoro	✔	✔
Richiedere una password efficace	✔
Accesso all'inventario delle app personali	✔
Cancellazione da remoto dell'intero dispositivo (inclusi i dati personali)	✔

Prima di iniziare

• La registrazione degli utenti è supportata sui dispositivi personali con iOS 15.5 e versioni successive. Non è disponibile per i dispositivi di proprietà aziendale.

Nota:il metodo di registrazione degli utenti basato sul profilo originale (supportato su iOS 15.5 e versioni successive) non è più supportato per i dispositivi con iOS 18 e versioni successive.

• Prepara i dettagli di accesso sia per la Console di amministrazione Google che per Apple Business Manager o Apple School Manager della tua organizzazione.
• Attiva la Gestione dispositivi mobili avanzata per l'unità organizzativa che utilizzerà i dispositivi.
• Configura il programma Apple Volume Purchase Program (VPP) per distribuire le app di lavoro agli utenti.

Passaggio 1: collega Apple Business Manager a Google Workspace

Puoi collegare Apple Business Manager o Apple School Manager a Google Workspace in modo che gli utenti possano utilizzare i propri nomi utente Google Workspace come ID Apple gestiti. Possono usare questi dati per accedere al proprio dispositivo iOS. Devi disporre delle licenze per l'app Google Device Policy e per eventuali altre app che vuoi distribuire ai dispositivi registrati dagli utenti. Per collegare Apple Business Manager a Google Workspace:

1. Apri Apple Business Manager o Apple School Manager e accedi con il tuo ID Apple aziendale.
2. In basso a sinistra, seleziona il tuo nome Preferenze Account Apple gestiti.
3. Accanto a Federated Authentication (Autenticazione federata), fai clic su Modifica.
4. Seleziona Google Workspace Connetti e accedi con il tuo account amministratore di Google Workspace.
5. Seleziona la casella accanto a ciascuna delle autorizzazioni richieste e fai clic su Continua Fine.
6. Accanto a Domini, fai clic su Modifica.
7. Accanto al dominio verificato, fai clic su Federate (Federato).
8. A sinistra, fai clic su Directory Sync e attiva Google Workspace Sync.

Passaggio 2: richiedi le licenze delle app per Google Device Policy

Devi disporre delle licenze per l'app Device Policy e per eventuali altre app che vuoi distribuire ai dispositivi registrati dagli utenti. Per maggiori dettagli, vedi Distribuire app per iOS con Apple VPP.

Passaggio 3: seleziona il tipo di registrazione

Prima di iniziare:se hai dispositivi con requisiti di registrazione diversi, configura un'unità organizzativa per ogni tipo di registrazione. Ad esempio, i dispositivi di proprietà dell'azienda sono registrati, quindi assicurati che si trovino in un'unità organizzativa con Registrazione dei dispositivi o Scelta dell'utente selezionata. Per informazioni dettagliate, vedi Aggiungere un'unità organizzativa.

1. Nella Console di amministrazione Google, vai a Menu Dispositivi Dispositivi mobili ed endpoint Impostazioni iOS. 

   Vai a iOS

   È necessario disporre del privilegio di amministratore Servizi e dispositivi.

2. Fai clic su Registrazione.
3. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
4. Scegli un'opzione (una per unità organizzativa):
   • (Impostazione predefinita) Per gestire i dati di lavoro e personali sui dispositivi iOS personali, seleziona Registrazione di dispositivi.
   • Per gestire solo i dati di lavoro sui dispositivi personali, seleziona Registrazione degli utenti.
     Per applicare l'impostazione solo ai nuovi dispositivi, seleziona la casella Consenti la registrazione dei dispositivi per gli utenti esistenti.
   • Per consentire all'utente di decidere il tipo di registrazione, seleziona User's choice (Scelta dell'utente).
     • Se l'utente sceglie la registrazione di dispositivi, deve installare l'app Google Device Policy e il profilo di configurazione. Per maggiori dettagli, vedi Installare l'app Google Device Policy.
     • Se scelgono la registrazione utente, vai al passaggio 5 (più avanti in questa pagina) per i passaggi per registrare il dispositivo.
5. Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.

   Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita.

Passaggio 4: configura la registrazione degli utenti basata sull'account

Obbligatorio per i dispositivi con iOS 18 e versioni successive. Facoltativo per i dispositivi con iOS 17 e versioni precedenti.

Configura la registrazione degli utenti basata sull'account in modo che gli utenti possano registrare i propri dispositivi personali nell'app Impostazioni di iOS. Per configurare la registrazione basata sull'account, devi configurare Service Discovery ospitando le informazioni di registrazione sul tuo web server. In questo modo Apple può recuperare le informazioni dalla gestione degli endpoint Google.

Configura il service discovery

1. Definisci il documento JSON di rilevamento del servizio:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Configura il tuo web hosting in modo che pubblichi il documento JSON dalla seguente posizione:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Importante:

   • Assicurati che l'intestazione Content-Type nella risposta HTTP sia impostata su application/json.
   • Il certificato SSL per il server web deve essere emesso da un'autorità di certificazione attendibile e avere lo stesso nome di dominio completo (FQDN) del dominio verificato configurato nel passaggio 1 (in precedenza in questa pagina).
   • La configurazione del servizio di rilevamento deve essere ospitata su un server che supporta le richieste HTTP GET.

3. Verifica la configurazione del Service Discovery eseguendo il comando:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Assicurati che il server web che pubblica il file JSON possa gestire parametri URL aggiuntivi. Alcune versioni di iOS potrebbero allegare i seguenti parametri alla richiesta GET HTTP:

   • user-identifier: l'identificatore dell'account utente (ad esempio email@tuodominio.com)
   • model-family: la famiglia di modelli del dispositivo (ad esempio iPhone o iPad)

   Il comando dovrebbe stampare una risposta simile alla seguente:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Questa configurazione consente al dispositivo iOS di trovare i server di registrazione MDM di Google durante il processo di registrazione basato sull'account. Dopo che un utente ha inserito l'indirizzo email del proprio Managed Apple Account, si verifica quanto segue:

1. Il dispositivo estrae il nome di dominio dall'account Apple gestito.
2. Il dispositivo invia una richiesta HTTP al server web che ospita le informazioni di registrazione.

Esempio
Se l'utente Andrea Rossi accede a un dispositivo con l'ID Apple gestito andrea.rossi@yourdomain.com:

• Il dispositivo estrae yourdomain.com e utilizza la procedura di rilevamento del servizio per effettuare una richiesta HTTPS per le informazioni di registrazione ospitate all'indirizzo https://your_domain/.well-known/com.apple.remotemanagement.
• Il dispositivo identifica Google MDM dalla configurazione del Service Discovery e avvia la registrazione.

Per ulteriori informazioni sulla procedura di rilevamento dei servizi, consulta la documentazione Discover Authentication Servers (Rileva server di autenticazione) sul sito web per sviluppatori Apple.

Passaggio 5: chiedi agli utenti di registrare il loro dispositivo

Per registrare i dispositivi iOS per la gestione, chiedi agli utenti di:

1. Se il dispositivo dell'utente era già registrato per la gestione, chiedi all'utente di annullare la registrazione del suo account Google Workspace dall'app Device Policy e, successivamente, di disinstallare l'app. Per informazioni dettagliate, vedi Gestire l'app Device Policy.
2. Scegli un'opzione:
   • Se hai configurato la registrazione degli utenti tramite account (in precedenza in questo articolo), chiedi agli utenti di toccare Impostazioni Generali VPN e gestione dispositivi Accedi all'account di lavoro o della scuola e di accedere con il proprio account Workspace.
   • In caso contrario, chiedi agli utenti di accedere con il proprio account di lavoro nell'app Gmail installata dall'Apple App Store.
3. Segui le istruzioni per installare il profilo di configurazione. L'utente potrebbe dover andare all'app Impostazioni di iOS per installare il profilo scaricato. L'app Google Device Policy viene installata automaticamente.
4. Dopo aver scaricato l'app Device Policy, l'utente deve accedere. Per maggiori dettagli, vedi Configurare un dispositivo personale.
5. Installa le app gestite dall'app Device Policy. Se un'app è contrassegnata come Obbligatoria nell'app Device Policy, l'utente deve disinstallarla e reinstallarla dall'app Device Policy. Per maggiori dettagli, vedi Scaricare le app di lavoro approvate sui dispositivi iOS.

Nota:per motivi di privacy, la gestione degli endpoint Google non può leggere l'elenco delle app installate sui dispositivi registrati dagli utenti. Se un utente non ha ancora installato un'app gestita dall'app Device Policy, non possiamo dire se l'app è già installata come non gestita dall'App Store. Se l'app è già sul dispositivo, l'utente deve disinstallarla prima di installarla dall'app Device Policy. Per ulteriori dettagli sulla protezione della privacy dell'utente, consulta la documentazione Apple.

Argomento correlato

Gestire le app mobile per l'organizzazione