管理員可以控管使用者個人 iOS 裝置上的所有資料,也可以只管理工作資料。Apple 使用者註冊功能可在 iOS 裝置上區分工作資料和個人資料,方便您完全控管裝置上的工作資料,同時讓使用者保有個人資料隱私。
比較 iOS 裝置註冊選項
您可以為 iOS 自攜裝置 (攜帶自己的裝置) 選擇裝置註冊或使用者註冊功能。每種註冊類型分別提供不同的功能。
- 如果您想確保裝置上的工作資料安全無虞,並且保護使用者的個人資料隱私,請使用使用者註冊功能。
- 使用裝置註冊功能可進一步控管裝置,包括抹除裝置資料。
| 行動管理服務功能 | 裝置註冊 | 使用者註冊 |
|---|---|---|
| 設定帳戶,以便存取 iOS 內建應用程式中的工作資料 | ✔ | ✔ |
| 安裝及設定應用程式 | ✔ | ✔ |
| 要求設定裝置密碼 | ✔ | ✔ |
| 查看工作應用程式清單 | ✔ | ✔ |
| 只移除工作資料 | ✔ | ✔ |
| 要求使用高強度密碼 | ✔ | |
| 存取個人應用程式清單 | ✔ | |
| 從遠端抹除整部裝置 (包括個人資料) | ✔ |
事前準備
- 只有搭載 iOS 15.5 以上版本的個人裝置支援使用者註冊功能,不適用於公司擁有的裝置。
注意:搭載 iOS 18 以上版本的裝置,不再支援原始的設定檔式使用者註冊方法 (支援 iOS 15.5 以上版本)。
- 備妥 Google 管理控制台和貴機構 Apple Business Manager 或 Apple School Manager 的登入詳細資料。
- 為要使用裝置的機構單位啟用進階行動管理服務。
- 設定 Apple 大量採購計畫 (VPP),將工作應用程式發布給使用者。
步驟 1:將 Apple Business Manager 連結至 Google Workspace
將 Apple Business Manager 或 Apple School Manager 連結至 Google Workspace 後,使用者就能將自己的 Google Workspace 使用者名稱做為受管理的 Apple ID,可使用這些詳細資料登入 iOS 裝置。您必須具備 Google Device Policy 應用程式授權,以及其他要發布給使用者註冊裝置的應用程式授權。如要將 Apple Business Manager 連結至 Google Workspace:
- 開啟 Apple Business Manager 或 Apple School Manager,並使用您的企業 Apple ID 登入。
- 在左下方,依序選取你的名稱
「偏好設定」
「受管理 Apple 帳號」。 - 按一下「Federated Authentication」旁邊的「Edit」。
- 依序選取「Google Workspace」
「Connect」,然後使用 Google Workspace 管理員帳戶登入。
- 勾選每項要求權限旁邊的方塊,然後依序點選「繼續」
「完成」。
- 按一下「網域」旁邊的「編輯」。
- 按一下已驗證網域旁邊的「Federate」。
- 按一下左側的「Directory Sync」,然後啟用「Google Workspace Sync」。
步驟 2:取得 Google Device Policy 應用程式授權
您必須具備 Device Policy 應用程式授權,以及其他要發布給使用者註冊裝置的應用程式授權。詳情請參閱「透過 Apple VPP 發布 iOS 應用程式」。
步驟 3:選取註冊類型
事前準備:如果您有多部裝置,且註冊需求各不相同,請分別設定各註冊類型的組織單位。舉例來說,公司擁有的裝置會透過裝置註冊,因此請確認這些裝置所屬組織單位的註冊類型為「裝置註冊」或「由使用者選擇」。詳情請參閱「新增機構單位」。
-
在 Google 管理控制台中,依序點選「選單」圖示
「裝置」
「行動裝置和端點」「設定」「iOS」。必須具備服務和裝置管理員權限。
- 按一下「註冊」。
- (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」。
- 為每個機構單位選擇一個選項:
- (預設) 如要管理個人 iOS 裝置上的工作資料和個人資料,請選取「裝置註冊」。
- 如要只管理個人裝置上的工作資料,請選取「使用者註冊」。
如要只對新裝置套用設定,請勾選「允許現有使用者執行『裝置註冊』程序」方塊。 - 如要讓使用者決定註冊類型,請選取「由使用者選擇」。
- 如果使用者選擇「裝置註冊」,則必須安裝 Google Device Policy 應用程式和組態設定檔。詳情請參閱「安裝 Google Device Policy 應用程式」。
- 如果他們選擇「使用者註冊」,請參閱本頁下方步驟 5 的裝置註冊說明。
-
按一下「儲存」。如果是機構單位,您也可以按一下「覆寫」。
如要日後還原沿用的值,請按一下「沿用」。
步驟 4:設定帳戶導向的使用者註冊功能
搭載 iOS 18 以上版本的裝置必須完成這個步驟。如果搭載 iOS 17 以下版本,則為選用步驟。
設定帳戶導向的使用者註冊功能,讓使用者透過 iOS 設定應用程式註冊個人裝置。如要設定這項功能,您必須在網路伺服器上代管註冊資訊,藉此設定服務探索程序。如此一來,Apple 就能從 Google 端點管理服務擷取資訊。
設定服務探索程序
定義服務探索 JSON 文件:
{ "Servers": [ { "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll", "Version":"mdm-byod" } ] }設定網站代管服務,從下列位置提供 JSON 文件:
https://yourdomain.com/.well-known/com.apple.remotemanagement重要事項:
- 確認 HTTP 回應中的 Content-Type 標頭已設為 application/json。
- 網路伺服器的 SSL 憑證必須由信任的憑證授權單位核發,且完整網域名稱 (FQDN) 必須與本頁上方步驟 1 中驗證的網域設定相同。
- 服務探索設定必須代管在支援 HTTPS GET 要求的伺服器上。
執行以下指令,驗證服務探索設定:
curl -I https://your_domain/.well-known/com.apple.remotemanagement請確認提供 JSON 檔案的網路伺服器能處理額外的網址參數。特定 iOS 版本可能會在 HTTP GET 要求中附加下列參數:
- user-identifier:使用者帳戶 ID (例如 email@yourdomain.com)
- model-family:裝置的型號系列 (例如 iPhone 或 iPad)
這個指令應該會輸出如下的回應:
HTTP/2 200 content-type: application/json last-modified: Wed, 30 Oct 2024 19:14:12 GMT accept-ranges: bytes date: Fri, 27 Dec 2024 18:40:36 GMT content-length: 138
這項設定可讓 iOS 裝置在帳戶導向的註冊程序中,找到 Google MDM 註冊伺服器。使用者輸入受管理 Apple 帳戶的電子郵件地址後,系統會執行下列操作:
- 裝置會從受管理 Apple 帳戶擷取網域名稱。
- 裝置會向代管註冊資訊的網路伺服器傳送 HTTP 要求。
範例
如果使用者 Andy Jones 用於登入裝置的受管理 Apple ID 為 andy.jones@yourdomain.com:
- 裝置會擷取「yourdomain.com」,並使用服務探索程序發出 HTTPS 要求,藉此取得代管在以下位置的註冊資訊:https://your_domain/.well-known/com.apple.remotemanagement。
- 裝置會根據服務探索設定識別 Google MDM,並啟動註冊程序。
如要進一步瞭解服務探索程序,請參閱 Apple 開發人員網站的「Discover Authentication Servers」(探索驗證伺服器) 說明文件。
步驟 5:請使用者註冊裝置
如要為 iOS 裝置註冊管理服務,請引導使用者執行下列操作:
- 如果使用者的裝置已註冊管理服務,請要求他們透過 Device Policy 應用程式取消註冊自己的 Google Workspace 帳戶,然後解除安裝應用程式。詳情請參閱「管理 Device Policy 應用程式」。
- 選擇下列其中一種做法:
- 如果您設定了帳戶導向的使用者註冊功能 (參閱上文說明),請引導使用者依序輕觸「設定」
「一般」
「VPN 與裝置管理」
「登入公司或學校帳戶」,並使用自己的 Workspace 帳戶登入。
- 或者,請使用者在從 Apple App Store 安裝的 Gmail 應用程式中,登入工作帳戶。
- 如果您設定了帳戶導向的使用者註冊功能 (參閱上文說明),請引導使用者依序輕觸「設定」
- 按照提示安裝組態設定檔。使用者可能需要在 iOS 設定應用程式中安裝下載的設定檔。Google Device Policy 應用程式會自動安裝。
- 使用者下載 Device Policy 後,必須登入該應用程式。詳情請參閱「設定個人裝置」。
- 透過 Device Policy 應用程式安裝受管理的應用程式。如果應用程式在 Device Policy 應用程式中標示為「必要」,使用者必須先解除安裝該應用程式,再透過 Device Policy 應用程式重新安裝。詳情請參閱「在 iOS 裝置上取得核准的工作應用程式」。
注意:基於隱私權考量,Google 端點管理服務無法讀取使用者註冊裝置上的已安裝應用程式清單。如果使用者尚未透過 Device Policy 應用程式安裝受管理的應用程式,我們就無法判斷應用程式是否已從 App Store 採非受管的形式安裝。如果裝置上已有應用程式,使用者必須先解除安裝,才能利用 Device Policy 應用程式安裝。如要進一步瞭解如何保護使用者隱私,請參閱 Apple 說明文件。