Som administratör kan du hantera all data på en användares personliga iOS-enhet, eller bara arbetsdata. Apple User Enrollment separerar arbetsdata och personlig data på iOS-enheter för att ge dig fullständig kontroll över arbetsdata på enheten samtidigt som användarna behåller integriteten över sina personliga data.
Jämför registreringsalternativ för iOS-enheter
Du kan välja mellan enhetsregistrering och användarregistrering för BYOD (ta med din egen enhet) iOS-enheter. Varje registreringstyp ger dig en annan uppsättning funktioner.
- Använd användarregistrering om du vill säkra arbetsdata på enheten och ge användaren sekretess över sina personuppgifter.
- Använd enhetsregistrering för mer kontroll över enheten, inklusive möjligheten att rensa enheten.
| Mobilhanteringsfunktion | Enhetsregistrering | Användarregistrering |
|---|---|---|
| Konfigurera konton för att få åtkomst till arbetsdata i inbyggda iOS-appar | ✔ | ✔ |
| Installera och konfigurera appar | ✔ | ✔ |
| Kräv lösenord för enheter | ✔ | ✔ |
| Se inventering av jobbappar | ✔ | ✔ |
| Ta endast bort arbetsdata | ✔ | ✔ |
| Kräv ett starkt lösenord | ✔ | |
| Få åtkomst till inventarieförteckningen över personliga appar | ✔ | |
| Fjärrradera hela enheten (inklusive personuppgifter) | ✔ |
Innan du börjar
- Användarregistrering stöds på personliga enheter som kör iOS 15.5 och senare. Det är inte tillgängligt för företagsägda enheter.
Obs! Den ursprungliga profilbaserade användarregistreringsmetoden (stöds på iOS 15.5 och senare) stöds inte längre för enheter som kör iOS 18 och senare.
- Förbered inloggningsuppgifterna för både Googles administratörskonsol och din organisations Apple Business Manager eller Apple School Manager.
- Aktivera avancerad mobilhantering för den organisationsenhet som ska använda enheterna.
- Konfigurera Apple Volume Purchase Program (VPP) för att distribuera arbetsappar till användare.
Steg 1: Länka Apple Business Manager till Google Workspace
Du länkar Apple Business Manager eller Apple School Manager till Google Workspace så att användarna kan använda sina Google Workspace-användarnamn som hanterade Apple-ID:n. De kan använda dessa uppgifter för att logga in på sina iOS-enheter. Du behöver licenser för Google Device Policy-appen och alla andra appar som du vill distribuera till användarregistrerade enheter. Så här länkar du Apple Business Manager till Google Workspace:
- Öppna Apple Business Manager eller Apple School Manager och logga in med ditt företags-Apple-ID.
- Längst ner till vänster, välj ditt namn
Inställningar Hanterade Apple-konton . - Klicka på Redigera bredvid Federerad autentisering .
- Välj Google Workspace Anslut och logga in med ditt Google Workspace-administratörskonto.
- Markera rutan bredvid var och en av de begärda behörigheterna och klicka på Fortsätt Klart .
- Klicka på Redigera bredvid Domäner .
- Klicka på Federera bredvid din verifierade domän.
- Till vänster klickar du på Katalogsynkronisering och aktiverar Google Workspace Sync .
Steg 2: Skaffa applicenser för Google Device Policy
Du behöver licenser för Device Policy-appen och alla andra appar som du vill distribuera till användarregistrerade enheter. Mer information finns i Distribuera iOS-appar med Apple VPP .
Steg 3: Välj registreringstyp
Innan du börjar: Om du har enheter med olika registreringskrav, konfigurera en organisationsenhet för varje registreringstyp. Till exempel är företagsägda enheter enhetsregistrerade, så se till att de finns i en organisationsenhet med Enhetsregistrering eller Användarens val markerade. För mer information, gå till Lägg till en organisationsenhet .
I Googles administratörskonsol, gå till Meny
Enheter Mobil och slutpunkter Inställningar iOS .Kräver administratörsbehörighet för tjänster och enheter .
- Klicka på Registrering .
- (Valfritt) För att tillämpa inställningen på en avdelning eller ett team, välj en organisationsenhet till sidan.
- Välj ett alternativ (ett per organisationsenhet):
- (Standard) För att hantera arbets- och personliga data på personliga iOS-enheter väljer du Enhetsregistrering .
- Om du endast vill hantera arbetsdata på personliga enheter väljer du Användarregistrering .
Om du bara vill tillämpa inställningen på nya enheter markerar du rutan Tillåt enhetsregistrering för befintliga användare . - För att låta användaren bestämma registreringstypen, välj Användarens val .
- Om användaren väljer Enhetsregistrering måste de installera Google Device Policy-appen och konfigurationsprofilen. Mer information finns i Installera Google Device Policy-appen .
- Om de väljer Användarregistrering, gå till steg 5 (senare på den här sidan) för steg för att registrera enheten.
- Klicka på Spara. Eller så kan du klicka på Åsidosätt för en organisationsenhet.
För att senare återställa det ärvda värdet klickar du på Ärv .
Steg 4: Konfigurera kontodriven användarregistrering
Krävs för iOS 18 och senare enheter. Valfritt för iOS 17 och tidigare enheter.
Konfigurera kontodriven användarregistrering så att användarna kan registrera sina personliga enheter i iOS-inställningsappen. För att konfigurera kontodriven registrering måste du konfigurera tjänstidentifiering genom att lagra registreringsinformation på din webbserver. Detta gör att Apple kan hämta informationen från Googles slutpunktshantering.
Konfigurera tjänstidentifiering
Definiera JSON-dokumentet för tjänsteidentifiering:
{ "Servers": [ { "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll", "Version":"mdm-byod" } ] }Konfigurera ditt webbhotell för att hantera JSON-dokumentet från följande plats:
https://yourdomain.com/.well-known/com.apple.remotemanagementViktig:
- Se till att Content-Type-headern i HTTP-svaret är inställd på application/json.
- SSL-certifikatet för webbservern måste utfärdas av en betrodd certifikatutfärdare och ha samma fullständigt kvalificerade domännamn (FQDN) som den verifierade domänkonfigurationen i steg 1 (tidigare på den här sidan).
- Konfigurationen för tjänstidentifiering måste finnas på en server som stöder HTTPS GET-förfrågningar.
Verifiera konfigurationen för tjänstidentifiering genom att köra kommandot:
curl -I https://your_domain/.well-known/com.apple.remotemanagementSe till att webbservern som hanterar JSON-filen kan hantera ytterligare URL-parametrar. Vissa iOS-versioner kan bifoga följande parametrar till HTTP GET-begäran:
- användaridentifierare — användarkontoidentifieraren (till exempel e-post@dindomän.com)
- modellfamilj — enhetens modellfamilj (till exempel iPhone eller iPad)
Kommandot ska skriva ut ett svar liknande:
HTTP/2 200 content-type: application/json last-modified: Wed, 30 Oct 2024 19:14:12 GMT accept-ranges: bytes date: Fri, 27 Dec 2024 18:40:36 GMT content-length: 138
Den här konfigurationen låter iOS-enheten hitta Googles MDM-registreringsservrar under den kontostyrda registreringsprocessen. När en användare anger e-postadressen för sitt hanterade Apple-konto sker följande:
- Enheten extraherar domännamnet från det hanterade Apple-kontot.
- Enheten skickar en HTTP-begäran till webbservern som är värd för registreringsinformationen.
Exempel
Om användaren Andy Jones loggar in på en enhet med hanterat Apple-ID andy.jones@dindomän.com :
- Enheten extraherar yourdomain.com och använder tjänstidentifieringsprocessen för att göra en HTTPS-begäran om registreringsinformationen som finns på https:// your_domain /.well-known/com.apple.remotemanagement.
- Enheten identifierar Google MDM från konfigurationen för tjänstidentifiering och initierar registreringen.
Mer information om tjänstidentifieringsprocessen finns i dokumentationen för identifiering av autentiseringsservrar från Apples utvecklarwebbplats.
Steg 5: Låt användarna registrera sina enheter
För att registrera iOS-enheter för hantering, låt användarna göra följande:
- Om användarens enhet redan var registrerad för hantering, be dem att avregistrera sitt Google Workspace-konto från Device Policy-appen och sedan avinstallera appen. Mer information finns i Hantera Device Policy-appen .
- Välj ett alternativ:
- Om du konfigurerar kontodriven användarregistrering (tidigare i den här artikeln) ska du låta användarna trycka på Inställningar Allmän VPN och enhetshantering Logga in på ditt arbets- eller skolkonto och logga in med deras Workspace-konto.
- Annars kan användarna logga in med sitt arbetskonto i Gmail-appen som installerats från Apple App Store.
- Om du konfigurerar kontodriven användarregistrering (tidigare i den här artikeln) ska du låta användarna trycka på Inställningar
- Följ anvisningarna för att installera konfigurationsprofilen. Användaren kan behöva gå till iOS-inställningsappen för att installera den nedladdade profilen. Google Device Policy-appen installeras automatiskt.
- Användaren måste logga in med Device Policy-appen efter att den har laddats ner. Mer information finns i Konfigurera en personlig enhet .
- Installera hanterade appar från Device Policy-appen. Om en app är markerad som Obligatorisk i Device Policy-appen måste användaren avinstallera appen och sedan installera om den från Device Policy-appen. Mer information finns i Skaffa godkända arbetsappar på iOS-enheter .
Anteckningar:
- Av integritetsskäl kan Googles slutpunktshantering inte läsa listan över installerade appar på användarregistrerade enheter. Om en användare ännu inte har installerat en hanterad app från Device Policy-appen kan vi inte avgöra om appen redan är installerad som ohanterad från App Store. Om appen redan finns på enheten måste användaren avinstallera den innan de installerar den från Device Policy-appen. Mer information om hur du skyddar användarens integritet finns i Apple-dokumentationen .
- E-postmeddelanden om administratörsgodkännande skickas inte för Apple-användarregistrering. Du måste manuellt kontrollera och godkänna enheter med hjälp av listan över väntande enheter.