Раздельное хранение рабочих и личных данных на устройствах iOS.

Поддерживаемые версии для этой функции: Frontline Starter, Frontline Standard и Frontline Plus; Business Plus; Enterprise Standard и Enterprise Plus; Education Standard, Education Plus и Endpoint Education Upgrade; Enterprise Essentials и Enterprise Essentials Plus; G Suite Basic и G Suite Business; Cloud Identity Premium. Сравните ваше издание

Как администратор, вы можете управлять всеми данными на личном устройстве iOS пользователя или только рабочими данными. Функция регистрации пользователей Apple разделяет рабочие и личные данные на устройствах iOS, предоставляя вам полный контроль над рабочими данными на устройстве, в то время как пользователи сохраняют конфиденциальность своих личных данных.

Сравните варианты регистрации устройств iOS.

Для устройств iOS, используемых по принципу BYOD (используйте собственное устройство), вы можете выбрать между регистрацией устройства и регистрацией пользователя. Каждый тип регистрации предоставляет вам разный набор функций.

• Используйте регистрацию пользователей, если хотите защитить рабочие данные на устройстве и обеспечить конфиденциальность личных данных пользователя.
• Используйте регистрацию устройства для более полного контроля над ним, включая возможность стирания данных с устройства.

Функция управления мобильными устройствами	Регистрация устройства	Регистрация пользователей
Настройте учетные записи для доступа к рабочим данным во встроенных приложениях iOS.	✔	✔
Установка и настройка приложений	✔	✔
Требовать пароли для устройств	✔	✔
См. перечень рабочих приложений	✔	✔
Удалите только рабочие данные.	✔	✔
Требуется надежный пароль	✔
Получите доступ к списку личных приложений.	✔
Удаленное удаление всех данных с устройства (включая персональные данные).	✔

Прежде чем начать

• Регистрация пользователей поддерживается на личных устройствах под управлением iOS 15.5 и более поздних версий. Она недоступна для устройств, принадлежащих компании.

Примечание: Оригинальный метод регистрации пользователей на основе профилей (поддерживаемый в iOS 15.5 и более поздних версиях) больше не поддерживается на устройствах под управлением iOS 18 и более поздних версий.

• Подготовьте данные для входа как в консоль администратора Google, так и в Apple Business Manager или Apple School Manager вашей организации.
• Включите расширенное управление мобильными устройствами для подразделения организации, которое будет использовать эти устройства.
• Настройте программу корпоративных закупок Apple (VPP) для распространения рабочих приложений среди пользователей.

Шаг 1: Свяжите Apple Business Manager с Google Workspace.

Вы можете связать Apple Business Manager или Apple School Manager с Google Workspace, чтобы пользователи могли использовать свои имена пользователей Google Workspace в качестве управляемых Apple ID. Они смогут использовать эти данные для входа в свои устройства iOS. Вам потребуются лицензии для приложения Google Device Policy и любых других приложений, которые вы хотите распространить на зарегистрированные устройства пользователей. Чтобы связать Apple Business Manager с Google Workspace:

1. Откройте Apple Business Manager или Apple School Manager и войдите в систему, используя свой корпоративный Apple ID.
2. В левом нижнем углу выберите своё имя. Настройки Управление учетными записями Apple .
3. Рядом с пунктом «Федеративная аутентификация» нажмите «Редактировать» .
4. Выберите рабочее пространство Google Подключитесь и войдите в систему, используя свою учетную запись администратора Google Workspace.
5. Установите флажок рядом с каждым из запрашиваемых разрешений и нажмите «Продолжить». Сделанный .
6. Рядом с пунктом «Домены» нажмите «Редактировать» .
7. Рядом с подтвержденным доменом нажмите «Федерация» .
8. В левой части экрана нажмите «Синхронизация каталогов» и включите синхронизацию рабочих пространств Google .

Шаг 2: Получите лицензии на приложение для Google Device Policy.

Для приложения «Политика устройств» и любых других приложений, которые вы хотите распространять на зарегистрированные устройства пользователей, вам потребуются лицензии. Подробности см. в разделе «Распространение приложений iOS с помощью Apple VPP» .

Шаг 3: Выберите тип регистрации

Перед началом работы: Если у вас есть устройства с различными требованиями к регистрации, создайте организационное подразделение для каждого типа регистрации. Например, устройства, принадлежащие компании, регистрируются автоматически, поэтому убедитесь, что они находятся в организационном подразделении, в котором выбраны параметры «Регистрация устройства» или «Выбор пользователя». Подробности см. в разделе «Добавление организационного подразделения» .

1. В консоли администратора Google перейдите в меню. Устройства Мобильные устройства и конечные точки Настройки iOS .

   Перейти к iOS

   Для этого требуются права администратора служб и устройств .

2. Нажмите «Запись на обучение» .
3. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
4. Выберите один вариант (по одному на каждое организационное подразделение):
   • (По умолчанию) Для управления рабочими и личными данными на личных устройствах iOS выберите «Регистрация устройства» .
   • Чтобы управлять только рабочими данными на личных устройствах, выберите «Регистрация пользователя» .
     Чтобы применить настройку только к новым устройствам, установите флажок «Разрешить регистрацию устройств для существующих пользователей» .
   • Чтобы пользователь мог выбрать тип регистрации, выберите «Выбор пользователя» .
     • Если пользователь выбирает регистрацию устройства, ему необходимо установить приложение Google Device Policy и профиль конфигурации. Подробности см. в разделе «Установка приложения Google Device Policy» .
     • Если они выберут «Регистрация пользователя», перейдите к шагу 5 (далее на этой странице), чтобы узнать, как зарегистрировать устройство.
5. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

   Чтобы впоследствии восстановить унаследованное значение, нажмите кнопку «Наследовать» .

Шаг 4: Настройка регистрации пользователей на основе учетных записей.

Требуется для устройств с iOS 18 и более поздних версий. Необязательно для устройств с iOS 17 и более ранних версий.

Настройте регистрацию пользователей на основе учетных записей, чтобы пользователи могли регистрировать свои личные устройства в приложении «Настройки» iOS. Для настройки регистрации на основе учетных записей необходимо настроить обнаружение служб, разместив информацию о регистрации на вашем веб-сервере. Это позволит Apple получать информацию из системы управления конечными точками Google.

Настройка обнаружения служб

1. Определите JSON-документ для обнаружения сервисов:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Настройте свой веб-хостинг так, чтобы он обслуживал JSON-документ по следующему адресу:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Важный:

   • Убедитесь, что заголовок Content-Type в HTTP-ответе установлен на application/json.
   • SSL-сертификат для веб-сервера должен быть выдан доверенным центром сертификации и иметь то же полное доменное имя (FQDN), что и проверенный домен, настроенный на шаге 1 (ранее на этой странице).
   • Конфигурация обнаружения служб должна размещаться на сервере, поддерживающем запросы HTTPS GET.

3. Проверьте конфигурацию обнаружения служб, выполнив команду:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Убедитесь, что веб-сервер, предоставляющий JSON-файл, может обрабатывать дополнительные параметры URL. В некоторых версиях iOS к HTTP GET-запросу могут добавляться следующие параметры:

   • user-identifier — идентификатор учетной записи пользователя (например, email@yourdomain.com)
   • семейство моделей — семейство моделей устройства (например, iPhone или iPad)

   Команда должна вывести ответ, похожий на следующий:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Эта конфигурация позволяет устройству iOS находить серверы регистрации Google MDM в процессе регистрации на основе учетной записи. После того, как пользователь вводит адрес электронной почты своей управляемой учетной записи Apple , происходит следующее:

1. Устройство извлекает доменное имя из управляемой учетной записи Apple.
2. Устройство отправляет HTTP-запрос на веб-сервер, на котором размещена информация о регистрации.

Пример
Если пользователь Энди Джонс входит в систему на устройстве с помощью управляемого Apple ID andy.jones@yourdomain.com :

• Устройство извлекает yourdomain.com и использует процесс обнаружения служб для выполнения HTTPS-запроса к информации о регистрации, размещенной по адресу https: //your_domain/.well-known/com.apple.remotemanagement .
• Устройство идентифицирует Google MDM в конфигурации обнаружения служб и инициирует регистрацию.

Для получения дополнительной информации о процессе обнаружения служб см. документацию «Обнаружение серверов аутентификации» на веб-сайте Apple Developer.

Шаг 5: Предложите пользователям зарегистрировать свои устройства.

Для регистрации устройств iOS в системе управления пользователям необходимо выполнить следующие действия:

1. Если устройство пользователя уже было зарегистрировано для управления, попросите его отменить регистрацию учетной записи Google Workspace в приложении «Политика устройств», а затем удалить приложение. Подробности см. в разделе «Управление приложением «Политика устройств»» .
2. Выберите вариант:
   • Если вы настроили регистрацию пользователей на основе учетных записей (как описано ранее в этой статье), предложите пользователям нажать «Настройки». Общий VPN и управление устройствами Войдите в свою рабочую или учебную учетную запись и используйте для входа свою учетную запись Workspace.
   • В противном случае, пусть пользователи входят в систему с помощью своей рабочей учетной записи в приложении Gmail, установленном из Apple App Store.
3. Следуйте инструкциям для установки профиля конфигурации. Пользователю может потребоваться перейти в приложение «Настройки» iOS, чтобы установить загруженный профиль. Приложение «Политика устройств Google» устанавливается автоматически.
4. После загрузки приложения «Политика устройства» пользователь должен войти в систему. Подробности см. в разделе «Настройка личного устройства» .
5. Устанавливайте управляемые приложения из приложения «Политика устройств». Если приложение помечено как «Требуемое» в приложении «Политика устройств», пользователь должен удалить приложение, а затем переустановить его из приложения «Политика устройств». Для получения более подробной информации перейдите в раздел «Получение утвержденных рабочих приложений на устройствах iOS» .

Примечание: В целях обеспечения конфиденциальности система управления конечными точками Google не может считывать список установленных приложений на устройствах, зарегистрированных пользователем. Если пользователь еще не установил управляемое приложение из приложения «Политика устройств», мы не можем определить, установлено ли это приложение уже как неуправляемое из App Store. Если приложение уже установлено на устройстве, пользователю необходимо удалить его перед установкой из приложения «Политика устройств». Для получения более подробной информации о защите конфиденциальности пользователя обратитесь к документации Apple .

Связанная тема

Управляйте мобильными приложениями для вашей организации.