作为管理员,您可以管理用户个人 iOS 设备上的所有数据,也可以仅管理工作数据。Apple 用户注册会将 iOS 设备上的工作数据和个人数据分开,这样您就可以完全控制设备上的工作数据,而用户则可以保持其个人数据的私密性。
比较 iOS 设备注册选项
您可以选择使用设备注册和用户注册自带 iOS 设备。每种注册类型都会提供不同功能。
- 如果您希望保护设备上的工作数据,并保障用户的个人数据隐私,请使用用户注册。
- 使用设备注册可以更好地掌控设备,包括擦除设备。
| 移动设备管理功能 | 设备注册 | 用户注册 |
|---|---|---|
| 配置账号以在内置 iOS 应用中访问工作数据 | ✔ | ✔ |
| 安装和配置应用 | ✔ | ✔ |
| 要求为设备输入密码 | ✔ | ✔ |
| 查看工作应用清单 | ✔ | ✔ |
| 仅移除工作数据 | ✔ | ✔ |
| 要求使用安全系数高的密码 | ✔ | |
| 访问个人应用清单 | ✔ | |
| 远程清除整个设备(包括个人数据) | ✔ |
准备工作
- 运行 iOS 15.5 及更高版本的个人设备支持用户注册。此选项不适用于公司自有设备。
注意:对于搭载 iOS 18 及更高版本的设备,不再支持基于配置文件的原始用户注册方法(在 iOS 15.5 及更高版本中受支持)。
- 为 Google 管理控制台和贵组织的 Apple Business Manager 或 Apple School Manager 准备好登录详细信息。
- 为将要使用这些设备的组织部门启用高级移动设备管理服务。
- 设置 Apple 批量购买计划 (VPP) 以向用户分发工作应用。
第 1 步:将 Apple Business Manager 与 Google Workspace 相关联
您将 Apple Business Manager 或 Apple School Manager 与 Google Workspace 相关联后,用户便可以将其 Google Workspace 用户名用作受管理的 Apple ID。他们可以使用这些详细信息登录其 iOS 设备。您需要获得 Google Device Policy 应用的许可,以及您要向用户注册的设备分发的任何其他应用的许可。如需将 Apple Business Manager 与 Google Workspace 相关联,请执行以下操作:
- 打开 Apple 商务管理或 Apple 校园教务管理,然后使用您的企业 Apple ID 登录。
- 在左下角,依次选择您的姓名
偏好设置
受管理的 Apple 账号。 - 点击联合身份验证旁边的修改。
- 依次选择 Google Workspace
关联,然后使用您的 Google Workspace 管理员账号登录。
- 勾选每个请求的权限旁边的复选框,然后点击继续
完成。
- 点击网域旁边的修改。
- 在您经过验证的网域旁边,点击联合。
- 点击左侧的 Directory Sync,然后启用 Google Workspace Sync。
第 2 步:获取 Google Device Policy 的应用许可
您需要为 Device Policy 应用及您打算分发到用户已登记设备上的其他应用获取相应许可。如需了解详情,请参阅使用 Apple VPP 分发 iOS 应用。
第 3 步:选择注册类型
准备工作:如果您的设备有不同的注册要求,请为每种注册类型设置一个组织部门。例如,公司自有设备是通过设备进行注册的,因此请确保这些设备在启用了“设备注册”或“用户自行选择”选项的组织部门中。如需了解详情,请参阅添加组织部门。
-
在 Google 管理控制台中,依次点击“菜单”图标
设备
移动设备和端点
设置
iOS。需要拥有服务和设备管理员权限。
- 点击注册。
- (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门。
- 选择一个选项(每个组织部门选择一个选项):
- (默认)如需管理个人 iOS 设备上的工作数据和个人数据,请选择设备注册。
- 如要仅管理个人设备上的工作数据,请选择用户注册。
如要将设置仅应用于新设备,请勾选允许现有用户注册设备复选框。 - 如需让用户决定注册类型,请选择用户自行选择。
- 如果用户选择“设备注册”,则需要安装 Google Device Policy 应用及配置文件。如需了解详情,请参阅安装 Google Device Policy 应用。
- 如果用户选择“用户注册”,请前往第 5 步(本页面后面部分),完成注册设备的步骤。
-
点击保存。或者,您也可以针对组织部门点击覆盖。
如果之后要恢复继承的值,请点击继承。
第 4 步:设置账号驱动型用户注册
对于 iOS 18 及更高版本的设备是必需的。对于 iOS 17 及更低版本的设备是可选的步骤。
设置账号驱动型用户注册,以便用户可以在 iOS 设置应用中注册其个人设备。如要设置账号驱动型注册,您需要在 Web 服务器上托管注册信息,以配置服务发现。这样,Apple 就可以通过 Google 端点管理来检索信息。
配置服务发现
定义服务发现 JSON 文档:
{ "Servers": [ { "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll", "Version":"mdm-byod" } ] }配置您的网站托管服务,从以下位置提供 JSON 文档:
https://yourdomain.com/.well-known/com.apple.remotemanagement重要提示:
- 确保 HTTP 响应中的 Content-Type 标头设置为 application/json。
- Web 服务器的 SSL 证书必须由受信任的证书授权机构颁发,并且其完全限定域名 (FQDN) 必须与第 1 步(本页面前面部分)中设置的已验证域名完全相同。
- 服务发现配置必须托管在支持 HTTPS GET 请求的服务器上。
执行以下命令,验证服务发现配置:
curl -I https://your_domain/.well-known/com.apple.remotemanagement确保提供 JSON 文件的 Web 服务器可以处理其他网址参数。部分 iOS 版本可能会将以下参数附加到 HTTP GET 请求:
- user-identifier - 用户账号标识符(例如,email@yourdomain.com)
- model-family - 设备的型号系列(例如,iPhone 或 iPad)
该命令应输出类似以下内容的响应:
HTTP/2 200 content-type: application/json last-modified: Wed, 30 Oct 2024 19:14:12 GMT accept-ranges: bytes date: Fri, 27 Dec 2024 18:40:36 GMT content-length: 138
此配置可让 iOS 设备在账号驱动型注册过程中找到 Google MDM 注册服务器。用户输入自己受管理的 Apple 账号的电子邮件地址后,会有以下操作发生:
- 设备从受管理的 Apple 账号中提取域名。
- 设备向托管注册信息的 Web 服务器发送 HTTP 请求。
示例
如果用户 Andy Jones 使用受管理的 Apple ID andy.jones@yourdomain.com 登录设备,那么:
- 设备会提取 yourdomain.com,并使用服务发现流程发出 HTTPS 请求,以获取托管在 https://your_domain/.well-known/com.apple.remotemanagement 的注册信息。
- 设备会通过服务发现配置识别 Google MDM,并启动注册流程。
如需详细了解服务发现流程,请参阅 Apple 开发者网站上的“发现身份验证服务器”文档。
第 5 步:让用户注册其设备
如需注册 iOS 设备以便进行管理,请让用户执行以下操作:
- 如果用户的设备已注册进行管理,请让用户在 Device Policy 应用中取消注册其 Google Workspace 账号,然后卸载该应用。如需了解详情,请参阅管理 Device Policy 应用。
- 选择相应选项:
- 如果您设置了账号驱动型用户注册(本文前面部分),请让用户依次点按设置
常规
VPN 与设备管理
登录工作账号或学校账号,然后使用其 Workspace 账号登录。
- 否则,请让用户通过从 Apple App Store 安装的 Gmail 应用,使用其工作账号登录。
- 如果您设置了账号驱动型用户注册(本文前面部分),请让用户依次点按设置
- 按照提示安装配置文件。用户可能需要前往 iOS“设置”应用来安装下载的配置文件。系统会自动安装 Google Device Policy 应用。
- 用户必须在下载 Device Policy 应用后登录该应用。如需了解详情,请参阅设置个人设备。
- 通过 Device Policy 应用安装受管理的应用。如果某应用在 Device Policy 应用中标记为必需,则用户必须先卸载该应用,然后通过 Device Policy 应用重新安装该应用。如需了解详情,请参阅在 iOS 设备上安装已批准的工作应用。
注意:出于隐私保护方面的原因,Google 端点管理服务无法读取用户注册的设备上已安装应用的列表。如果用户尚未通过 Device Policy 应用安装受管理的应用,我们无法确定该应用是否已作为不受管理的应用从 App Store 安装。如果应用已在设备上,用户需要先将其卸载,然后才能通过 Device Policy 应用安装该应用。如需详细了解如何保护用户隐私,请参阅 Apple 文档。