Tách biệt dữ liệu công việc và dữ liệu cá nhân trên thiết bị iOS

Các phiên bản được hỗ trợ tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Standard, Education Plus và Endpoint Education Upgrade; Enterprise Essentials và Enterprise Essentials Plus; G Suite Basic và G Suite Business; Cloud Identity Premium. So sánh phiên bản của bạn

Là quản trị viên, bạn có thể quản lý tất cả dữ liệu trên thiết bị iOS cá nhân của người dùng hoặc chỉ quản lý dữ liệu công việc. Tính năng Đăng ký người dùng của Apple tách riêng dữ liệu công việc và dữ liệu cá nhân trên thiết bị iOS để giúp bạn có toàn quyền kiểm soát dữ liệu công việc trên thiết bị, trong khi người dùng vẫn đảm bảo được quyền riêng tư đối với dữ liệu cá nhân của họ.

So sánh các lựa chọn đăng ký thiết bị iOS

Bạn có thể chọn giữa chế độ đăng ký thiết bị và chế độ đăng ký người dùng cho thiết bị iOS BYOD (mang theo thiết bị của bạn). Mỗi loại đăng ký sẽ cung cấp cho bạn một bộ tính năng riêng.

Sử dụng tính năng đăng ký người dùng nếu bạn muốn bảo mật dữ liệu công việc trên thiết bị và đảm bảo quyền riêng tư của người dùng đối với dữ liệu cá nhân của họ.
Sử dụng tính năng đăng ký thiết bị để kiểm soát thiết bị chặt chẽ hơn, bao gồm cả khả năng xoá dữ liệu trên thiết bị.

Tính năng quản lý thiết bị di động	Đăng ký thiết bị	Đăng ký người dùng
Định cấu hình tài khoản để truy cập vào dữ liệu công việc trong các ứng dụng iOS tích hợp	✔	✔
Cài đặt và định cấu hình ứng dụng	✔	✔
Yêu cầu mật khẩu cho thiết bị	✔	✔
Xem danh sách các ứng dụng công việc	✔	✔
Chỉ xoá dữ liệu công việc	✔	✔
Yêu cầu mật khẩu mạnh	✔
Truy cập vào khoảng không quảng cáo của các ứng dụng cá nhân	✔
Xoá sạch toàn bộ thiết bị từ xa (bao gồm cả dữ liệu cá nhân)	✔

Trước khi bắt đầu

Quy trình đăng ký người dùng được hỗ trợ trên các thiết bị cá nhân chạy iOS 15.5 trở lên. Tính năng này không dùng được trên các thiết bị thuộc sở hữu của công ty.

Lưu ý: Phương thức Đăng ký người dùng dựa trên hồ sơ ban đầu (được hỗ trợ trên iOS 15.5 trở lên) không còn được hỗ trợ cho các thiết bị chạy iOS 18 trở lên.

Chuẩn bị thông tin đăng nhập cho cả Bảng điều khiển dành cho quản trị viên của Google và Apple Business Manager hoặc Apple School Manager của tổ chức bạn.
Bật tính năng quản lý thiết bị di động nâng cao cho đơn vị tổ chức sẽ sử dụng các thiết bị này.
Thiết lập Chương trình mua hàng số lượng lớn (VPP) của Apple để phân phối ứng dụng công việc cho người dùng.

Bước 1: Liên kết Apple Business Manager với Google Workspace

Bạn liên kết Apple Business Manager hoặc Apple School Manager với Google Workspace để người dùng có thể sử dụng tên người dùng Google Workspace làm Apple ID được quản lý. Trẻ có thể dùng thông tin đó để đăng nhập vào thiết bị iOS. Bạn cần có giấy phép cho ứng dụng Google Device Policy và mọi ứng dụng khác mà bạn muốn phân phối cho các thiết bị do người dùng đăng ký. Cách liên kết Apple Business Manager với Google Workspace:

Mở Apple Business Manager (Trình quản lý doanh nghiệp của Apple) hoặc Apple School Manager (Trình quản lý trường học của Apple) rồi đăng nhập bằng tài khoản Apple ID của doanh nghiệp bạn.
Ở dưới cùng bên trái, hãy chọn tên của bạn Lựa chọn ưu tiên Tài khoản Apple được quản lý.
Bên cạnh Xác thực liên kết, hãy nhấp vào Chỉnh sửa.
Chọn Google Workspace Kết nối rồi đăng nhập bằng tài khoản quản trị viên Google Workspace của bạn.
Đánh dấu vào hộp bên cạnh từng quyền được yêu cầu, rồi nhấp vào Tiếp tục Xong.
Bên cạnh Miền, hãy nhấp vào Chỉnh sửa.
Bên cạnh miền đã xác minh, hãy nhấp vào Liên kết.
Ở bên trái, hãy nhấp vào Directory Sync (Đồng bộ hoá thư mục) rồi bật Google Workspace Sync (Đồng bộ hoá Google Workspace).

Bước 2: Nhận giấy phép ứng dụng cho Chính sách thiết bị của Google

Bạn cần có giấy phép cho ứng dụng Device Policy và mọi ứng dụng khác mà bạn muốn phân phối cho các thiết bị đã đăng ký của người dùng. Để biết thông tin chi tiết, hãy xem bài viết Phân phối các ứng dụng iOS qua Chương trình mua hàng số lượng lớn (VPP) của Apple.

Bước 3: Chọn loại đăng ký

Trước khi bắt đầu: Nếu bạn có các thiết bị có yêu cầu đăng ký khác nhau, hãy thiết lập một đơn vị tổ chức cho từng loại đăng ký. Ví dụ: các thiết bị thuộc sở hữu của công ty được đăng ký thiết bị, vì vậy, hãy đảm bảo các thiết bị đó nằm trong một đơn vị tổ chức có lựa chọn Đăng ký thiết bị hoặc Lựa chọn của người dùng. Để biết thông tin chi tiết, hãy xem bài viết Thêm một đơn vị tổ chức.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Thiết bị Thiết bị di động và thiết bị đầu cuối Cài đặt iOS.

Chuyển đến phần iOS

Bạn phải có đặc quyền của quản trị viên đối với Dịch vụ và thiết bị.
Nhấp vào Đăng ký.
(Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức trên trình đơn bên.
Chọn một lựa chọn (mỗi đơn vị tổ chức một lựa chọn):
- (Mặc định) Để quản lý dữ liệu công việc và dữ liệu cá nhân trên thiết bị iOS cá nhân, hãy chọn Đăng ký thiết bị.
- Để chỉ quản lý dữ liệu công việc trên thiết bị cá nhân, hãy chọn Đăng ký người dùng.
  Để chỉ áp dụng chế độ cài đặt này cho thiết bị mới, hãy đánh dấu vào hộp Cho phép người dùng hiện tại đăng ký thiết bị.
- Để người dùng quyết định loại quy trình đăng ký, hãy chọn Lựa chọn của người dùng.
  - Nếu chọn Đăng ký thiết bị, người dùng cần cài đặt ứng dụng Google Device Policy và hồ sơ cấu hình. Để biết thông tin chi tiết, hãy xem bài viết Cài đặt ứng dụng Chính sách thiết bị của Google.
  - Nếu họ chọn Đăng ký người dùng, hãy chuyển đến Bước 5 (ở phần sau trên trang này) để xem các bước đăng ký thiết bị.
Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.
Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa.

Bước 4: Thiết lập quy trình đăng ký người dùng dựa trên tài khoản

Bắt buộc đối với các thiết bị chạy iOS 18 trở lên. Không bắt buộc đối với các thiết bị chạy iOS 17 trở xuống.

Thiết lập quy trình đăng ký do tài khoản điều khiển để người dùng có thể đăng ký thiết bị cá nhân của họ trong ứng dụng cài đặt iOS. Để thiết lập quy trình đăng ký do tài khoản điều khiển, bạn cần định cấu hình tính năng khám phá dịch vụ bằng cách lưu trữ thông tin đăng ký trên máy chủ web của mình. Nhờ đó, Apple có thể truy xuất thông tin từ giải pháp quản lý thiết bị đầu cuối của Google.

Định cấu hình tính năng khám phá dịch vụ

Xác định tài liệu JSON khám phá dịch vụ:

{
   "Servers": [
    {
       "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
       "Version":"mdm-byod"
    }
   ]
}

Định cấu hình dịch vụ lưu trữ web để phân phát tài liệu JSON từ vị trí sau:

https://yourdomain.com/.well-known/com.apple.remotemanagement

Quan trọng:
- Đảm bảo rằng tiêu đề Content-Type trong phản hồi HTTP được đặt thành application/json.
- Chứng chỉ SSL cho máy chủ web phải do một tổ chức phát hành chứng chỉ đáng tin cậy cấp và có cùng tên miền đủ điều kiện (FQDN) với miền đã xác minh được thiết lập ở bước 1 (trước đó trên trang này).
- Cấu hình khám phá dịch vụ phải được lưu trữ trên một máy chủ hỗ trợ các yêu cầu HTTPS GET.
Xác minh cấu hình khám phá dịch vụ bằng cách thực thi lệnh:

curl -I https://your_domain/.well-known/com.apple.remotemanagement

Đảm bảo máy chủ web phân phát tệp JSON có thể xử lý các tham số URL bổ sung. Một số phiên bản iOS có thể đính kèm các tham số sau vào yêu cầu HTTP GET:
- user-identifier – giá trị nhận dạng tài khoản người dùng (ví dụ: email@miencuaban.com)
- model-family – dòng sản phẩm của thiết bị (ví dụ: iPhone hoặc iPad)
Lệnh này sẽ in ra một phản hồi tương tự như:
```
HTTP/2 200  content-type: application/json
last-modified: Wed, 30 Oct 2024 19:14:12 GMT
accept-ranges: bytes
date: Fri, 27 Dec 2024 18:40:36 GMT
content-length: 138
```

Cấu hình này cho phép thiết bị iOS tìm thấy các máy chủ đăng ký MDM của Google trong quá trình đăng ký dựa trên tài khoản. Sau khi người dùng nhập địa chỉ email của Tài khoản Apple được quản lý, hệ thống sẽ thực hiện những việc sau:

Thiết bị trích xuất tên miền từ tài khoản Apple được quản lý.
Thiết bị gửi một yêu cầu HTTP đến máy chủ web lưu trữ thông tin đăng ký.

Ví dụ
Nếu người dùng Andy Jones đăng nhập vào một thiết bị bằng Managed Apple ID andy.jones@yourdomain.com:

Thiết bị sẽ trích xuất yourdomain.com và sử dụng quy trình khám phá dịch vụ để đưa ra yêu cầu HTTPS cho thông tin đăng ký được lưu trữ tại https://your_domain/.well-known/com.apple.remotemanagement.
Thiết bị xác định Google MDM từ cấu hình khám phá dịch vụ và bắt đầu quá trình đăng ký.

Để biết thêm thông tin về quy trình khám phá dịch vụ, hãy xem tài liệu Khám phá máy chủ xác thực trên trang web của Apple Developer.

Bước 5: Yêu cầu người dùng đăng ký thiết bị

Để đăng ký thiết bị iOS cho mục đích quản lý, hãy yêu cầu người dùng làm như sau:

Nếu thiết bị của người dùng đã được đăng ký để quản lý, hãy yêu cầu họ huỷ đăng ký tài khoản Google Workspace khỏi ứng dụng Device Policy rồi gỡ cài đặt ứng dụng này. Để biết thông tin chi tiết, hãy xem bài viết Quản lý ứng dụng Device Policy.
Chọn một mục:
- Nếu bạn thiết lập chế độ đăng ký người dùng dựa trên tài khoản (ở phần trước của bài viết này), hãy yêu cầu người dùng nhấn vào Cài đặt Chung VPN và quản lý thiết bị Đăng nhập vào tài khoản do nơi làm việc hoặc trường học cấp rồi đăng nhập bằng tài khoản Workspace của họ.
- Nếu không, hãy yêu cầu người dùng đăng nhập bằng tài khoản công việc của họ trong ứng dụng Gmail được cài đặt từ Apple App Store.
Làm theo lời nhắc để cài đặt cấu hình. Người dùng có thể cần chuyển đến ứng dụng cài đặt iOS để cài đặt hồ sơ đã tải xuống. Ứng dụng Google Device Policy sẽ tự động cài đặt.
Người dùng phải đăng nhập bằng ứng dụng Chính sách thiết bị sau khi tải ứng dụng này xuống. Để biết thông tin chi tiết, hãy xem bài viết Thiết lập thiết bị cá nhân.
Cài đặt các ứng dụng được quản lý từ ứng dụng Device Policy. Nếu một ứng dụng được đánh dấu là Bắt buộc trong ứng dụng Device Policy, thì người dùng phải gỡ cài đặt ứng dụng đó rồi cài đặt lại từ ứng dụng Device Policy. Để biết thông tin chi tiết, hãy xem bài viết Tải các ứng dụng công việc đã được phê duyệt trên thiết bị iOS.

Lưu ý: Vì lý do bảo mật, phần mềm Quản lý thiết bị đầu cuối của Google không thể đọc danh sách các ứng dụng đã cài đặt trên thiết bị mà người dùng đã đăng ký. Nếu người dùng chưa cài đặt một ứng dụng được quản lý từ ứng dụng Chính sách thiết bị, thì chúng tôi không thể biết liệu ứng dụng đó đã được cài đặt dưới dạng ứng dụng không được quản lý từ App Store hay chưa. Nếu ứng dụng đã có trên thiết bị, người dùng cần gỡ cài đặt ứng dụng đó trước khi cài đặt qua ứng dụng Device Policy. Để biết thêm thông tin về cách bảo vệ quyền riêng tư của người dùng, hãy tham khảo tài liệu của Apple.

Chủ đề có liên quan

Quản lý ứng dụng di động cho tổ chức của bạn

Tách biệt dữ liệu công việc và dữ liệu cá nhân trên thiết bị iOS Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.