แยกข้อมูลงานและข้อมูลส่วนตัวในอุปกรณ์ iOS

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus; Business Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Enterprise Essentials และ Enterprise Essentials Plus; G Suite Basic และ G Suite Business; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถจัดการข้อมูลทั้งหมดในอุปกรณ์ iOS ส่วนตัวของผู้ใช้หรือเฉพาะข้อมูลงานได้ การลงทะเบียนผู้ใช้ Apple จะแยกข้อมูลงานและข้อมูลส่วนตัวในอุปกรณ์ iOS เพื่อให้คุณควบคุมข้อมูลงานในอุปกรณ์ได้อย่างเต็มที่ในขณะที่ผู้ใช้ยังคงรักษาความเป็นส่วนตัวในเรื่องข้อมูลส่วนตัวของตนเองได้

เปรียบเทียบตัวเลือกการลงทะเบียนอุปกรณ์ iOS

โดยเลือกระหว่างการลงทะเบียนอุปกรณ์และการลงทะเบียนผู้ใช้สำหรับอุปกรณ์ iOS แบบ BYOD (นำอุปกรณ์มาใช้เอง) การลงทะเบียนแต่ละประเภทจะมีชุดฟีเจอร์ให้ใช้แตกต่างกัน

• ใช้การลงทะเบียนผู้ใช้หากต้องการรักษาความปลอดภัยให้กับข้อมูลงานในอุปกรณ์และปกป้องความเป็นส่วนตัวของผู้ใช้ในเรื่องข้อมูลส่วนตัว
• ใช้การลงทะเบียนอุปกรณ์เพื่อให้ควบคุมอุปกรณ์ได้มากขึ้น รวมถึงความสามารถในการล้างข้อมูลอุปกรณ์

ฟีเจอร์การจัดการอุปกรณ์เคลื่อนที่	การลงทะเบียนอุปกรณ์	การลงทะเบียนผู้ใช้
กำหนดค่าบัญชีเพื่อเข้าถึงข้อมูลงานในแอป iOS ในตัว	✔	✔
ติดตั้งและกำหนดค่าแอป	✔	✔
ต้องกำหนดรหัสผ่านสำหรับอุปกรณ์	✔	✔
ดูคลังของแอปงาน	✔	✔
นำข้อมูลงานออกเท่านั้น	✔	✔
กำหนดให้ใช้รหัสผ่านที่รัดกุม	✔
เข้าถึงคลังแอปส่วนตัว	✔
ล้างข้อมูลทั้งหมดในอุปกรณ์จากระยะไกล (รวมถึงข้อมูลส่วนตัว)	✔

ก่อนเริ่มต้น

• การลงทะเบียนผู้ใช้ได้รับการรองรับในอุปกรณ์ส่วนตัวที่ใช้ iOS 15.5 ขึ้นไป โดยจะใช้กับอุปกรณ์ที่เป็นของบริษัทไม่ได้

หมายเหตุ: อุปกรณ์ที่ใช้ iOS 18 ขึ้นไปจะไม่รองรับวิธีการลงทะเบียนผู้ใช้แบบอิงโปรไฟล์เดิม (รองรับใน iOS 15.5 ขึ้นไป) อีกต่อไป

• เตรียมรายละเอียดการลงชื่อเข้าใช้ทั้งคอนโซลผู้ดูแลระบบของ Google และ Apple Business Manager หรือ Apple School Manager ขององค์กร
• เปิดการจัดการอุปกรณ์เคลื่อนที่ขั้นสูงสำหรับหน่วยขององค์กรที่จะใช้อุปกรณ์
• ตั้งค่า Apple Volume Purchase Program (VPP) เพื่อกระจายแอปงานไปยังผู้ใช้

ขั้นตอนที่ 1: ลิงก์ Apple Business Manager กับ Google Workspace

การลิงก์ Apple Business Manager หรือ Apple School Manager กับ Google Workspace จะช่วยให้ผู้ใช้ใช้ชื่อผู้ใช้ Google Workspace เป็น Apple ID ที่มีการจัดการได้ โดยสามารถใช้รายละเอียดดังกล่าวเพื่อลงชื่อเข้าใช้อุปกรณ์ iOS คุณต้องมีใบอนุญาตสำหรับแอป Google Device Policy และแอปอื่นๆ ที่ต้องการเผยแพร่ไปยังอุปกรณ์ของผู้ใช้ที่ลงทะเบียนไว้ วิธีลิงก์ Apple Business Manager กับ Google Workspace มีดังนี้

1. เปิด Apple Business Manager หรือ Apple School Manager แล้วลงชื่อเข้าใช้ด้วย Apple ID สำหรับธุรกิจ
2. ที่ด้านซ้ายล่าง ให้เลือกชื่อ Preferences Managed Apple Accounts
3. คลิก Edit ข้าง Federated Authentication
4. เลือก Google Workspace เชื่อมต่อ แล้วลงชื่อเข้าใช้ด้วยบัญชีผู้ดูแลระบบ Google Workspace
5. เลือกช่องข้างสิทธิ์ที่ขอแต่ละรายการ แล้วคลิกต่อไป เสร็จสิ้น
6. คลิกแก้ไขข้าง Domains
7. ข้างโดเมนที่ยืนยันแล้ว ให้คลิก Federate
8. คลิก Directory Sync ทางด้านซ้าย แล้วเปิดใช้ Google Workspace Sync

ขั้นตอนที่ 2: รับใบอนุญาตแอปสำหรับ Google Device Policy

คุณต้องมีใบอนุญาตสำหรับแอป Device Policy และแอปอื่นๆ ที่ต้องการเผยแพร่ไปยังอุปกรณ์ของผู้ใช้ที่ลงทะเบียนไว้ โปรดดูรายละเอียดที่หัวข้อเผยแพร่แอป iOS ด้วย Apple VPP

ขั้นตอนที่ 3: เลือกประเภทการลงทะเบียน

ก่อนเริ่มต้น: หากมีอุปกรณ์ที่มีข้อกำหนดในการลงทะเบียนต่างกัน ให้ตั้งค่าหน่วยขององค์กรสำหรับประเภทการลงทะเบียนแต่ละประเภท ตัวอย่างเช่น อุปกรณ์ของบริษัทจะมีการลงทะเบียนอุปกรณ์ ดังนั้นโปรดตรวจสอบว่าอุปกรณ์อยู่ในหน่วยขององค์กรที่มีการเลือกการลงทะเบียนอุปกรณ์หรือตัวเลือกของผู้ใช้ โปรดดูรายละเอียดที่หัวข้อเพิ่มหน่วยขององค์กร

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ อุปกรณ์เคลื่อนที่และปลายทาง การตั้งค่า iOS 

   ไปที่ iOS

   คุณต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

2. คลิก Enrollment
3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
4. เลือกตัวเลือก (1 ตัวเลือกต่อหน่วยขององค์กร)
   • (ค่าเริ่มต้น) หากต้องการจัดการข้อมูลงานและข้อมูลส่วนตัวในอุปกรณ์ iOS ส่วนตัว ให้เลือก Device Enrollment
   • หากต้องการจัดการเฉพาะข้อมูลงานในอุปกรณ์ส่วนตัว ให้เลือก User Enrollment
     หากต้องการใช้การตั้งค่าเฉพาะกับอุปกรณ์ใหม่เท่านั้น ให้เลือกช่อง Allow Device Enrollment for existing users
   • หากต้องการให้ผู้ใช้เลือกประเภทการลงทะเบียน ให้เลือก User's choice
     • หากผู้ใช้เลือกการลงทะเบียนอุปกรณ์ ผู้ใช้จะต้องติดตั้งแอป Google Device Policy และโปรไฟล์การกำหนดค่า โปรดดูรายละเอียดที่หัวข้อติดตั้งแอป Google Device Policy
     • หากเลือกการลงทะเบียนผู้ใช้ ให้ไปที่ขั้นตอนที่ 5 (ต่อไปในหน้านี้) เพื่อดูขั้นตอนการลงทะเบียนอุปกรณ์
5. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

ขั้นตอนที่ 4: ตั้งค่าการลงทะเบียนผู้ใช้ตามบัญชี

ต้องดำเนินการสำหรับอุปกรณ์ iOS 18 ขึ้นไป โดยไม่บังคับสำหรับอุปกรณ์ iOS 17 และรุ่นก่อนหน้า

ตั้งค่าการลงทะเบียนผู้ใช้ที่อิงตามบัญชีเพื่อให้ผู้ใช้ลงทะเบียนอุปกรณ์ส่วนตัวในแอปการตั้งค่า iOS ได้ หากต้องการตั้งค่าการลงทะเบียนที่อิงตามบัญชี คุณต้องกำหนดค่าการค้นหาบริการโดยโฮสต์ข้อมูลการลงทะเบียนในเว็บเซิร์ฟเวอร์ ซึ่งจะช่วยให้ Apple เรียกข้อมูลจากการจัดการอุปกรณ์ปลายทางของ Google ได้

กำหนดค่า Service Discovery

1. กำหนดเอกสาร JSON การค้นหาบริการ

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. กำหนดค่าเว็บโฮสติ้งให้แสดงเอกสาร JSON จากตำแหน่งต่อไปนี้

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   สำคัญ

   • ตรวจสอบว่ามีการตั้งค่าส่วนหัว Content-Type ในการตอบกลับ HTTP เป็น application/json
   • ผู้ออกใบรับรองที่เชื่อถือได้ต้องออกใบรับรอง SSL สำหรับเว็บเซิร์ฟเวอร์ และต้องมีชื่อโดเมนที่สมบูรณ์ในตัวเอง (FQDN) เดียวกันกับการตั้งค่าโดเมนที่ยืนยันแล้วในขั้นตอนที่ 1 (ก่อนหน้านี้ในหน้านี้)
   • การกำหนดค่าการค้นหาบริการต้องโฮสต์ในเซิร์ฟเวอร์ที่รองรับคำขอ HTTPS GET

3. ตรวจสอบการกำหนดค่าการค้นหาบริการโดยเรียกใช้คำสั่งต่อไปนี้

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   ตรวจสอบว่าเว็บเซิร์ฟเวอร์ที่แสดงไฟล์ JSON สามารถจัดการพารามิเตอร์ URL เพิ่มเติมได้ ซึ่ง iOS บางเวอร์ชันอาจแนบพารามิเตอร์ต่อไปนี้ไปกับคำขอ HTTP GET

   • user-identifier - ตัวระบุบัญชีผู้ใช้ (เช่น email@yourdomain.com)
   • model-family - ตระกูลรุ่นของอุปกรณ์ (เช่น iPhone หรือ iPad)

   คำสั่งควรแสดงการตอบกลับที่คล้ายกับข้อความต่อไปนี้

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

การกำหนดค่านี้ช่วยให้อุปกรณ์ iOS ค้นหาเซิร์ฟเวอร์การลงทะเบียน Google MDM ได้ในระหว่างกระบวนการลงทะเบียนที่อิงตามบัญชี หลังจากที่ผู้ใช้ป้อนอีเมลของบัญชี Apple ที่มีการจัดการแล้ว อุปกรณ์จะดำเนินการต่อไปนี้

1. อุปกรณ์จะดึงชื่อโดเมนจากบัญชี Apple ที่มีการจัดการ
2. อุปกรณ์จะส่งคำขอ HTTP ไปยังเว็บเซิร์ฟเวอร์ที่โฮสต์ข้อมูลการลงทะเบียน

ตัวอย่าง
หากผู้ใช้ Andy Jones ลงชื่อเข้าใช้อุปกรณ์ด้วย Apple ID ที่มีการจัดการ ซึ่งได้แก่ andy.jones@yourdomain.com

• อุปกรณ์จะแยก yourdomain.com และใช้กระบวนการค้นหาบริการเพื่อส่งคำขอ HTTPS สำหรับข้อมูลการลงทะเบียนที่โฮสต์อยู่ที่ https://your_domain/.well-known/com.apple.remotemanagement
• อุปกรณ์จะระบุ Google MDM จากการกำหนดค่าการค้นหาบริการและเริ่มการลงทะเบียน

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการค้นหาบริการได้ที่เอกสารประกอบเกี่ยวกับการค้นหาเซิร์ฟเวอร์การตรวจสอบสิทธิ์จากเว็บไซต์ Apple Developer

ขั้นตอนที่ 5: ให้ผู้ใช้ลงทะเบียนอุปกรณ์

หากต้องการลงทะเบียนอุปกรณ์ iOS สำหรับการจัดการ โปรดให้ผู้ใช้ดำเนินการต่อไปนี้

1. หากอุปกรณ์ของผู้ใช้มีการลงทะเบียนเพื่อรับการจัดการแล้ว ให้ผู้ใช้ยกเลิกการลงทะเบียนบัญชี Google Workspace จากแอป Device Policy จากนั้นถอนการติดตั้งแอป โปรดดูรายละเอียดที่หัวข้อจัดการแอป Device Policy
2. เลือกตัวเลือกต่อไปนี้
   • หากคุณตั้งค่าการลงทะเบียนผู้ใช้ตามบัญชี (ก่อนหน้านี้ในบทความนี้) ให้ผู้ใช้แตะ Settings General VPN & Device Management Sign In to Work or School Account แล้วลงชื่อเข้าใช้ด้วยบัญชี Workspace ของตนเอง
   • หรืออีกวิธีคือให้ผู้ใช้ลงชื่อเข้าใช้ด้วยบัญชีงานในแอป Gmail ที่ติดตั้งจาก Apple App Store
3. ทำตามข้อความแจ้งที่ปรากฏเพื่อติดตั้งโปรไฟล์การกำหนดค่า ผู้ใช้อาจต้องไปที่แอปการตั้งค่า iOS เพื่อติดตั้งโปรไฟล์ที่ดาวน์โหลด ระบบจะติดตั้งแอป Google Device Policy โดยอัตโนมัติ
4. ผู้ใช้ต้องลงชื่อเข้าใช้ด้วยแอป Device Policy หลังจากดาวน์โหลด โปรดดูรายละเอียดที่หัวข้อตั้งค่าอุปกรณ์ส่วนตัว
5. ติดตั้งแอปที่มีการจัดการจากแอป Device Policy หากมีการทำเครื่องหมายแอปเป็นต้องใช้ในแอป Device Policy ผู้ใช้จะต้องถอนการติดตั้งแอป แล้วติดตั้งอีกครั้งจากแอป Device Policy โปรดดูรายละเอียดที่หัวข้อดาวน์โหลดแอปงานที่ได้รับอนุมัติในอุปกรณ์ iOS

หมายเหตุ: การจัดการอุปกรณ์ปลายทางของ Google ไม่สามารถอ่านรายการแอปที่ติดตั้งในอุปกรณ์ที่ผู้ใช้ลงทะเบียนได้เนื่องด้วยเหตุผลด้านความเป็นส่วนตัว หากผู้ใช้ยังไม่ได้ติดตั้งแอปที่มีการจัดการจากแอป Device Policy เราจะไม่ทราบได้ว่ามีการติดตั้งแอปจาก App Store โดยไม่มีการจัดการไว้แล้วหรือไม่ หากแอปอยู่ในอุปกรณ์อยู่แล้ว ผู้ใช้จะต้องถอนการติดตั้งแอปก่อนจึงจะติดตั้งจากแอป Device Policy ได้ โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับการปกป้องความเป็นส่วนตัวของผู้ใช้ได้ในเอกสารประกอบของ Apple

หัวข้อที่เกี่ยวข้อง

จัดการแอปบนอุปกรณ์เคลื่อนที่สำหรับองค์กร