Oddzielanie danych służbowych od prywatnych na urządzeniach z iOS

Ta funkcja jest dostępna w tych wersjach: Frontline Starter, Frontline Standard i Frontline Plus; Business Plus; Enterprise Standard i Enterprise Plus; Education Standard, Education Plus i Endpoint Education Upgrade; Enterprise Essentials i Enterprise Essentials Plus; G Suite Basic i G Suite Business; Cloud Identity Premium. Porównanie wersji

Jako administrator możesz zarządzać wszystkimi danymi na należącym do użytkownika osobistym urządzeniu z iOS lub tylko danymi służbowymi. Funkcja Apple User Enrollment oddziela dane służbowe od osobistych na urządzeniach z iOS, dzięki czemu masz pełną kontrolę nad danymi służbowymi zapisanymi na urządzeniu, a użytkownicy zachowują prywatność swoich danych niezwiązanych z pracą.

Porównanie opcji rejestracji urządzenia z iOS

Możesz wybrać, czy chcesz zarejestrować urządzenie PWU z iOS w ramach rejestrowania urządzenia czy rejestracji użytkowników. Każdy typ rejestracji zapewnia dostęp do innego zestawu funkcji.

• Jeśli chcesz zabezpieczyć dane służbowe na urządzeniu i pozwolić użytkownikowi zachować prywatność jego danych, które nie dotyczą pracy, wybierz rejestrację użytkowników.
• Aby mieć większą kontrolę nad urządzeniem, w tym możliwość jego wyczyszczenia, skorzystaj z procesu rejestrowania urządzenia.

Funkcja zarządzania urządzeniami mobilnymi	Rejestrowanie urządzenia	Rejestracja użytkowników
Konfigurowanie kont na potrzeby dostępu do danych służbowych we wbudowanych aplikacjach na iOS	✔	✔
Instalowanie i konfigurowanie aplikacji	✔	✔
Wymaganie haseł na urządzeniach	✔	✔
Wyświetlanie listy aplikacji służbowych	✔	✔
Usuwanie tylko danych służbowych	✔	✔
Wymaganie stosowania silnego hasła	✔
Dostęp do listy aplikacji osobistych	✔
Zdalne czyszczenie całego urządzenia (w tym danych prywatnych)	✔

Zanim zaczniesz

• Rejestracja użytkowników jest obsługiwana na urządzeniach osobistych z systemem iOS 15.5 lub nowszym. Nie jest dostępna w przypadku urządzeń należących do firmy.

Uwaga: pierwotna metoda rejestracji użytkowników oparta na profilach (obsługiwana w systemie iOS 15.5 lub nowszym) nie jest już obsługiwana na urządzeniach z systemem iOS 18 lub nowszym.

• Przygotuj dane logowania w konsoli administracyjnej Google oraz w usłudze Apple Business Manager lub Apple School Manager w Twojej organizacji.
• Włącz zaawansowane funkcje zarządzania urządzeniami mobilnymi w jednostce organizacyjnej, która będzie korzystać z urządzeń.
• Skonfiguruj program zakupów grupowych Apple (VPP), aby udostępnić aplikacje służbowe użytkownikom.

Krok 1. Połącz usługę Apple Business Manager z Google Workspace

Połącz usługę Apple Business Manager lub Apple School Manager z Google Workspace, aby użytkownicy mogli używać swoich nazw użytkowników w Google Workspace jako zarządzanych identyfikatorów Apple. Za pomocą tych danych będą mogli logować się na swoich urządzeniach z iOS. Musisz mieć licencje na aplikację Google Device Policy i inne aplikacje, które chcesz udostępnić na urządzeniach zarejestrowanych przez użytkowników. Aby połączyć usługę Apple Business Manager z Google Workspace:

1. Otwórz usługę Apple Business Manager lub Apple School Manager i zaloguj się przy użyciu identyfikatora Apple ID swojej firmy.
2. W lewym dolnym rogu wybierz swoją nazwę Ustawienia Zarządzane konta Apple.
3. Obok Federated Authentication (Uwierzytelnianie federacyjne) kliknij Edit (Edytuj).
4. Wybierz Google Workspace Connect (Połącz) i zaloguj się na konto administratora Google Workspace.
5. Zaznacz pole obok każdego z wymaganych uprawnień i kliknij Dalej.Gotowe
6. Obok Domains (Domeny) kliknij Edit (Edytuj).
7. Obok zweryfikowanej domeny kliknij Federate (Przeprowadź federację).
8. Po lewej stronie kliknij Directory Sync i włącz opcję Synchronizacja Google Workspace.

Krok 2. Uzyskaj licencje na aplikację Google Device Policy

Musisz mieć licencje na aplikację Device Policy i inne aplikacje, które chcesz udostępnić na urządzeniach zarejestrowanych przez użytkowników. Więcej informacji znajdziesz w artykule Udostępnianie aplikacji na iOS za pomocą programu Apple VPP.

Krok 3. Wybierz typ rejestracji

Zanim zaczniesz: jeśli masz urządzenia o różnych wymaganiach dotyczących rejestracji, skonfiguruj jednostkę organizacyjną dla każdego typu rejestracji. Urządzenia należące na przykład do firmy są rejestrowane w ramach rejestracji urządzeń, więc sprawdź, czy znajdują się w jednostce organizacyjnej, w której wybrano opcję Rejestracja urządzeń lub Wybór użytkownika. Szczegóły znajdziesz w artykule Dodawanie jednostki organizacyjnej.

1. W konsoli administracyjnej Google otwórz Menu  Urządzenia Urządzenia mobilne i punkty końcowe Ustawienia iOS. 

   Otwórz sekcję iOS

   Wymaga uprawnień administratora Usługi i urządzenia.

2. Kliknij Rejestracja.
3. (Opcjonalnie) Aby zastosować ustawienie na potrzeby działu lub zespołu, z boku wybierz jednostkę organizacyjną.
4. Wybierz opcję (po jednej na jednostkę organizacyjną):
   • (Domyślnie) Aby zarządzać danymi służbowymi i prywatnymi na osobistych urządzeniach z iOS, wybierz opcję Rejestracja urządzeń.
   • Aby zarządzać tylko danymi służbowymi na urządzeniach, wybierz opcję Rejestracja użytkowników.
     Aby zastosować to ustawienie tylko do nowych urządzeń, zaznacz pole Obecnym użytkownikom zezwalaj na opcję Rejestrowanie urządzenia.
   • Aby użytkownik mógł wybrać typ rejestracji, wybierz opcję Wybór użytkownika.
     • Jeśli użytkownik wybierze rejestrację urządzeń, musi zainstalować aplikację Google Device Policy i profil konfiguracji. Szczegółowe informacje znajdziesz w sekcji Instalowanie aplikacji Google Device Policy.
     • Jeśli wybierze rejestrację użytkowników, przejdź do kroku 5 (poniżej), aby zarejestrować urządzenie.
5. Kliknij Zapisz. Możesz też kliknąć Zastąp w przypadku jednostki organizacyjnej.

   Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz.

Krok 4. Skonfiguruj rejestrację użytkowników opartą na kontach

Wymagane na urządzeniach z systemem iOS 18 lub nowszym. Opcjonalne na urządzeniach z systemem iOS 17 lub starszym.

Skonfiguruj rejestrację użytkowników opartą na kontach, aby umożliwić im rejestrowanie urządzeń osobistych w aplikacji ustawień iOS. Aby skonfigurować rejestrację opartą na kontach, musisz skonfigurować wykrywanie usług, hostując informacje o rejestracji na serwerze internetowym. Dzięki temu firma Apple może pobierać informacje z funkcji zarządzania punktami końcowymi Google.

Konfigurowanie wykrywania usług

1. Zdefiniuj dokument JSON wykrywania usługi:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Skonfiguruj hosting WWW, aby udostępniał dokument JSON z tej lokalizacji:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Ważne:

   • Sprawdź, czy nagłówek Content-Type w odpowiedzi HTTP jest ustawiony na application/json.
   • Certyfikat SSL serwera WWW musi zostać wydany przez zaufany urząd certyfikacji i mieć taką samą pełną i jednoznaczną nazwę domeny (FQDN) jak zweryfikowana domena skonfigurowana w kroku 1 (powyżej).
   • Konfiguracja wykrywania usług musi być hostowana na serwerze, który obsługuje żądania HTTPS GET.

3. Sprawdź konfigurację wykrywania usług, wykonując to polecenie:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Sprawdź, czy serwer WWW udostępniający plik JSON może obsługiwać dodatkowe parametry adresu URL. Niektóre wersje iOS mogą dołączać do żądania HTTP GET te parametry:

   • user-identifier – identyfikator konta użytkownika (np. email@twojadomena.com),
   • model-family – rodzina modeli urządzenia (np. iPhone lub iPad).

   Polecenie powinno wyświetlić odpowiedź podobną do tej:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Ta konfiguracja umożliwia urządzeniu z iOS odnalezienie serwerów rejestracji MDM Google podczas procesu rejestracji opartego na koncie. Gdy użytkownik wpisze adres e-mail zarządzanego konta Apple, nastąpią te działania:

1. Urządzenie wyodrębni nazwę domeny z zarządzanego konta Apple.
2. Urządzenie wyśle żądanie HTTP do serwera WWW, na którym są przechowywane informacje o rejestracji.

Przykład
Jeśli użytkownik Andrzej Kowalski zaloguje się na urządzeniu za pomocą zarządzanego identyfikatora Apple ID andrzej.kowalski@twojadomena.com:

• Urządzenie wyodrębni domenę twojadomena.com i za pomocą procesu wykrywania usług wyśle żądanie HTTPS dotyczące informacji o rejestracji, które są hostowane pod adresem https://twoja_domena/.well-known/com.apple.remotemanagement.
• Urządzenie zidentyfikuje MDM Google na podstawie konfiguracji wykrywania usług i rozpocznie rejestrację.

Więcej informacji o procesie wykrywania usług znajdziesz w dokumentacji dotyczącej wykrywania serwerów uwierzytelniania na stronie Apple Developer.

Krok 5. Poproś użytkowników o zarejestrowanie swoich urządzeń

Aby zarejestrować urządzenia z iOS na potrzeby zarządzania, poproś użytkowników o wykonanie tych czynności:

1. Jeśli urządzenie użytkownika zostało już zarejestrowane na potrzeby zarządzania, poproś go o wyrejestrowanie konta Google Workspace z aplikacji Device Policy, a następnie jej odinstalowanie. Więcej informacji znajdziesz w sekcji „Zarządzanie aplikacją Device Policy” w tym artykule.
2. Wybierz opcję:
   • Jeśli rejestracja użytkowników na podstawie konta została skonfigurowana (patrz wyżej), poproś użytkowników, żeby kliknęli Ustawienia Ogólne VPN i zarządzanie urządzeniami Zaloguj się na konto służbowe lub szkolne i zalogowali się na swoje konta Workspace.
   • W przeciwnym razie użytkownicy powinni zalogować się na swoje konta służbowe w aplikacji Gmail zainstalowanej z Apple App Store.
3. Postępuj zgodnie z instrukcjami, aby zainstalować profil konfiguracji. Użytkownik być może będzie musiał otworzyć aplikację Ustawienia na iOS, aby zainstalować pobrany profil. Aplikacja Google Device Policy zostanie zainstalowana automatycznie.
4. Po pobraniu aplikacji Device Policy użytkownik musi się w niej zalogować. Szczegółowe informacje znajdziesz w sekcji Konfigurowanie urządzenia osobistego.
5. Zainstaluj aplikacje zarządzane z aplikacji Device Policy. Jeśli aplikacja jest oznaczona jako Wymagana w aplikacji Device Policy, użytkownik musi ją odinstalować, a następnie zainstalować ponownie z aplikacji Device Policy. Szczegółowe informacje znajdziesz w artykule Pobieranie zatwierdzonych aplikacji służbowych na urządzeniach z iOS.

Uwaga: ze względu na ochronę prywatności funkcje zarządzania punktami końcowymi Google nie mogą odczytać listy aplikacji zainstalowanych na urządzeniach zarejestrowanych przez użytkowników. Jeśli użytkownik nie zainstalował jeszcze aplikacji zarządzanej z aplikacji Device Policy, nie możemy stwierdzić, czy aplikacja jest już zainstalowana jako niezarządzana z App Store. Jeśli aplikacja jest już na urządzeniu, użytkownik musi ją odinstalować, zanim zainstaluje ją z aplikacji Device Policy. Więcej informacji o ochronie prywatności użytkowników znajdziesz w dokumentacji Apple.

Temat pokrewny

Zarządzanie aplikacjami mobilnymi w organizacji