Separar dados pessoais e de trabalho em dispositivos iOS

Edições compatíveis com este recurso: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard e Enterprise Plus; Education Standard, Education Plus e Endpoint Education Upgrade; Enterprise Essentials e Enterprise Essentials Plus; G Suite Basic e G Suite Business; Cloud Identity Premium. Comparar sua edição

Como administrador, você pode gerenciar todos os dados no dispositivo iOS pessoal de um usuário ou apenas os dados de trabalho. A inscrição de usuários da Apple separa os dados pessoais e de trabalho nos dispositivos iOS para que você tenha controle total dos dados de trabalho no dispositivo, enquanto os usuários mantêm a privacidade sobre os dados pessoais.

Comparar as opções de registro de dispositivos iOS

É possível escolher entre o registro do dispositivo e a inscrição de usuários para dispositivos iOS com BYOD (traga seu próprio dispositivo). Cada tipo de inscrição oferece um conjunto diferente de recursos.

Use a inscrição de usuários se quiser proteger os dados de trabalho no dispositivo e dar privacidade aos dados pessoais do usuário.
Use o registro do dispositivo para ter mais controle sobre ele, incluindo a possibilidade de apagar o dispositivo.

Recurso de gerenciamento de dispositivos móveis	Registro do dispositivo	Inscrição de usuários
Configurar contas para acessar dados de trabalho em apps iOS integrados	✔	✔
Instalar e configurar apps	✔	✔
Exigir senhas para dispositivos	✔	✔
Acessar o inventário de apps de trabalho	✔	✔
Remover apenas dados de trabalho	✔	✔
Exigir uma senha forte	✔
Acessar o inventário de apps pessoais	✔
Apagar remotamente todo o dispositivo (incluindo dados pessoais)	✔

Antes de começar

A inscrição de usuários é compatível com dispositivos pessoais que executam o iOS 15.5 e versões mais recentes. Ele não está disponível para dispositivos de empresas.

Observação:o método original de inscrição de usuários com base em perfis (compatível com o iOS 15.5 e versões mais recentes) não é mais compatível com dispositivos que executam o iOS 18 e versões mais recentes.

Prepare os detalhes de login do Google Admin Console e do Apple Business Manager ou do Apple School Manager da sua organização.
Ative o Gerenciamento avançado de dispositivos móveis na unidade organizacional que vai usar os dispositivos.
Configure o Programa de compra por volume (VPP) da Apple para distribuir apps de trabalho aos usuários.

Etapa 1: vincular o Apple Business Manager ao Google Workspace

Vincule o Apple Business Manager ou o Apple School Manager ao Google Workspace para que os usuários possam usar os próprios nomes de usuário do Google Workspace como IDs Apple gerenciados. Eles podem usar esses detalhes para fazer login no dispositivo iOS. É preciso ter licenças do Google Device Policy e de qualquer outro app que você queira distribuir para os dispositivos de inscrição de usuários. Para vincular o Apple Business Manager ao Google Workspace:

Abra o Apple Business Manager ou o Apple School Manager e faça login com seu ID Apple comercial.
No canto inferior esquerdo, selecione seu nome Preferências Contas gerenciadas da Apple.
Ao lado de Autenticação federada, clique em Editar.
Selecione Google Workspace Conectar e faça login com sua conta de administrador do Google Workspace.
Marque a caixa ao lado de cada permissão solicitada e clique em Continuar Concluído.
Ao lado de Domínios, clique em Editar.
Ao lado do domínio verificado, clique em Federar.
À esquerda, clique em Directory Sync e ative o Google Workspace Sync.

Etapa 2: comprar licenças de apps para o Google Device Policy

É preciso ter licenças do app Device Policy e de qualquer outro app que você queira distribuir para os dispositivos de inscrição de usuários. Confira mais detalhes em Distribuir apps iOS com o VPP da Apple.

Etapa 3: selecionar o tipo de registro

Antes de começar:se você tiver dispositivos com requisitos de registro diferentes, configure uma unidade organizacional para cada tipo de registro. Por exemplo, os dispositivos da empresa são registrados. Portanto, verifique se eles estão em uma unidade organizacional com a opção "Registro de dispositivo" ou "Escolha do usuário" selecionada. Confira as etapas em Adicionar uma unidade organizacional.

No Google Admin Console, acesse Menu Dispositivos Dispositivos móveis e endpoints Configurações iOS.

Acessar o iOS

É preciso ter o privilégio de admin Serviços e dispositivos.
Clique em Inscrição.
(Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
Escolha uma opção (uma por unidade organizacional):
- (Padrão) Para gerenciar dados pessoais e de trabalho em dispositivos iOS pessoais, selecione Registro do dispositivo.
- Para gerenciar apenas os dados de trabalho nos dispositivos pessoais, selecione Inscrição de usuários.
  Para aplicar a configuração apenas a novos dispositivos, marque a caixa Permitir o registro de dispositivos para usuários existentes.
- Para permitir que o usuário decida o tipo de registro, selecione Escolha do usuário.
  - Se o usuário escolher o registro de dispositivos, ele precisará instalar o app Google Device Policy e o perfil de configuração. Saiba mais em Instalar o app Google Device Policy.
  - Se eles escolherem o registro do usuário, siga para a Etapa 5 (mais adiante nesta página) para registrar o dispositivo.
Clique em Salvar. Ou clique em Substituir em uma unidade organizacional.
Para restaurar depois o valor herdado, clique em Herdar.

Etapa 4: configurar a inscrição de usuários com base em contas

Obrigatório para dispositivos com o iOS 18 e versões mais recentes. Opcional para dispositivos com iOS 17 e versões anteriores.

Configure a inscrição de usuários com base em contas para que os usuários registrem os dispositivos pessoais no app de configurações do iOS. Para configurar a inscrição com base em contas, é necessário configurar a descoberta de serviços hospedando informações de inscrição no servidor da Web. Isso permite que a Apple recupere as informações do gerenciamento de endpoints do Google.

Configurar a descoberta de serviços

Defina o documento JSON de descoberta de serviço:

{
   "Servers": [
    {
       "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
       "Version":"mdm-byod"
    }
   ]
}

Configure sua hospedagem na Web para veicular o documento JSON no seguinte local:

https://yourdomain.com/.well-known/com.apple.remotemanagement

Importante:
- Verifique se o cabeçalho Content-Type na resposta HTTP está definido como application/json.
- O certificado SSL do servidor da Web precisa ser emitido por uma autoridade certificadora confiável e ter o mesmo nome de domínio totalmente qualificado (FQDN) do domínio verificado configurado na etapa 1 (nesta página).
- A configuração de descoberta de serviço precisa ser hospedada em um servidor que ofereça suporte a solicitações HTTPS GET.
Verifique a configuração de descoberta de serviço executando o comando:

curl -I https://your_domain/.well-known/com.apple.remotemanagement

Verifique se o servidor da Web que veicula o arquivo JSON pode processar outros parâmetros de URL. Algumas versões do iOS podem anexar os seguintes parâmetros à solicitação HTTP GET:
- user-identifier: o identificador da conta de usuário (por exemplo, email@seudominio.com)
- model-family: a família do modelo do dispositivo (por exemplo, iPhone ou iPad)
O comando vai imprimir uma resposta semelhante a esta:
```
HTTP/2 200  content-type: application/json
last-modified: Wed, 30 Oct 2024 19:14:12 GMT
accept-ranges: bytes
date: Fri, 27 Dec 2024 18:40:36 GMT
content-length: 138
```

Essa configuração permite que o dispositivo iOS encontre os servidores de inscrição do MDM do Google durante o processo de inscrição orientado por conta. Depois que um usuário insere o endereço de e-mail da conta gerenciada da Apple, acontece o seguinte:

O dispositivo extrai o nome de domínio da conta gerenciada da Apple.
O dispositivo envia uma solicitação HTTP ao servidor da Web que hospeda as informações de inscrição.

Exemplo
Se o usuário Andy Jones fizer login em um dispositivo com um ID Apple gerenciado andy.jones@seudominio.com:

O dispositivo extrai yourdomain.com e usa o processo de descoberta de serviços para fazer uma solicitação HTTPS das informações de inscrição hospedadas em https://your_domain/.well-known/com.apple.remotemanagement.
O dispositivo identifica o Google MDM na configuração de descoberta de serviços e inicia a inscrição.

Para mais informações sobre o processo de descoberta de serviços, consulte a documentação sobre como descobrir servidores de autenticação no site para desenvolvedores da Apple.

Etapa 5: pedir para os usuários registrarem os dispositivos

Para registrar dispositivos iOS no gerenciamento, peça para os usuários fazerem o seguinte:

Se o dispositivo do usuário já estiver inscrito no gerenciamento, peça para ele cancelar a inscrição da conta do Google Workspace no app Device Policy e desinstalar o app. Confira mais detalhes em Gerenciar o app Device Policy.
Escolha uma opção:
- Se você configurar a inscrição de usuários por conta (neste artigo), peça para os usuários tocarem em Configurações Geral VPN e gerenciamento de dispositivos Fazer login na conta escolar ou de trabalho e faça login com a conta do Workspace.
- Caso contrário, peça para os usuários fazerem login com a conta de trabalho no app Gmail instalado na App Store da Apple.
Siga as instruções para instalar o perfil de configuração. Talvez o usuário precise acessar o app Configurações do iOS para instalar o perfil baixado. O app Google Device Policy é instalado automaticamente.
O usuário precisa fazer login com o app Device Policy depois que ele for baixado. Saiba mais em Configurar um dispositivo pessoal.
Instale apps gerenciados pelo app Device Policy. Se um app estiver marcado como Obrigatório no app Device Policy, o usuário precisará desinstalar e reinstalar o app pelo app Device Policy. Para mais detalhes, acesse Acessar apps de trabalho aprovados em dispositivos iOS.

Observação:por motivos de privacidade, o gerenciamento de endpoints do Google não pode ler a lista de apps instalados em dispositivos registrados pelo usuário. Se um usuário ainda não tiver instalado um app gerenciado pelo app Device Policy, não será possível saber se o app já está instalado como não gerenciado pela App Store. Se o app já estiver no dispositivo, o usuário precisará desinstalá-lo antes de instalar pelo app Device Policy. Para mais detalhes sobre como proteger a privacidade do usuário, consulte a documentação da Apple.

Tema relacionado

Gerenciar apps para dispositivos móveis na sua organização

Separar dados pessoais e de trabalho em dispositivos iOS Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.