Cloud Identity 专业版提供此功能。版本对比
作为管理员,您可以管理用户个人 iOS 设备上的所有数据,也可以仅管理工作数据。Apple 用户注册会将 iOS 设备上的工作数据和个人数据分开,这样您就可以完全控制设备上的工作数据,而用户则可以保持其个人数据的私密性。
比较 iOS 设备注册选项
您可以选择使用设备注册和用户注册自带 iOS 设备。每种注册类型都会提供不同功能。
- 如果您希望保护设备上的工作数据,并保障用户的个人数据隐私,请使用用户注册。
- 使用设备注册可以更好地掌控设备,包括擦除设备。
移动设备管理功能 | 设备注册 | 用户注册 |
---|---|---|
在内置 iOS 应用中访问工作数据 | ✔ | ✔ |
安装和配置应用 | ✔ | ✔ |
要求为设备输入密码 | ✔ | ✔ |
要求使用高安全系数密码 | ✔ | |
查看工作应用清单 | ✔ | ✔ |
访问个人应用清单 | ✔ | |
仅移除工作数据 | ✔ | |
远程清除整个设备(包括个人数据) | ✔ |
准备工作
- 请注意,运行 iOS 15.5 及更高版本的设备上支持用户注册。
- 为 Google 管理控制台和贵组织的 Apple Business Manager 或 Apple School Manager 准备好登录详细信息。
- 为将要使用这些设备的单位部门启用高级移动设备管理服务。
- 设置 Apple 批量购买计划 (VPP) 以向用户分发工作应用。
第 1 步:将 Apple Business Manager 与 Google Workspace 相关联
您将 Apple Business Manager 或 Apple School Manager 与 Google Workspace 相关联后,用户便可以将其 Google Workspace 用户名用作受管理的 Apple ID。他们可以使用这些详细信息登录其 iOS 设备。您需要获得 Google Device Policy 应用的许可,以及您要向用户注册的设备分发的任何其他应用的许可。要将 Apple Business Manager 与 Google Workspace 相关联,请执行以下操作:
- 打开 Apple 商务管理或 Apple 校园教务管理,然后使用您的企业 Apple ID 登录。
- 在左下角,选择您的姓名偏好设置账号。
- 点击联合身份验证旁边的修改。
- 依次选择 Google Workspace关联,然后使用您的 Google Workspace 管理员账号登录。
- 勾选每个请求的权限旁边的复选框,然后点击继续完成。
- 点击网域旁边的修改。
- 在您经过验证的网域旁边,点击联合。
- 点击左侧的 Directory Sync,然后启用 Google Workspace Sync。
第 2 步:获取 Google Device Policy 的应用许可
您需要获得 Google Device Policy 应用的许可,以及您要向用户注册的设备分发的任何其他应用的许可。 如需了解详情,请参阅使用 Apple VPP(Beta 版)分发 iOS 应用。
第 3 步:开启用户注册
-
-
在管理控制台中,依次点击“菜单”图标 设备移动设备和端点设置iOS。
- 点击注册。
- 如要将设置应用于所有人,请将顶级组织部门保持为已选中状态。否则,请选择某个下级单位部门。
- 根据需要执行相应操作:
- (默认)如需管理个人 iOS 设备上的工作数据和个人数据,请选择设备注册。
- 如需仅管理设备上的工作数据,请选择用户注册。
- 如需将设置仅应用于新设备,请勾选允许现有用户注册设备复选框。
- 如需让用户决定注册类型,请选择用户自行选择。
- 点击保存。
第 4 步:(可选)设置账号驱动型用户注册
您可以设置账号驱动型用户注册,以便用户可以通过 iOS 设置应用注册其设备。用户可以通过此方式更轻松地注册个人设备。如需执行此操作,您需要设置服务发现,以便 Apple 可以从 Google 端点管理中检索注册信息。
- 创建一个包含以下内容的 JSON 文件:
{
"Servers": [
{
"BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
"Version":"mdm-byod"
}
]
} - 将文件保存到您的网域的以下位置:
https://yourdomain.com/.well-known/com.apple.remotemanagement
响应应包含以下标头:
名称:Content-Type
值:application/json
第 5 步:让用户注册其设备
如需注册 iOS 设备以便进行管理,请让用户执行以下操作:
- 如果用户的设备已注册进行管理,请让用户在 Device Policy 应用中取消注册其 Google Workspace 账号,然后卸载该应用。如需了解详情,请参阅管理 Device Policy 应用。
- 选择一个选项:
- 如果您设置了账号驱动型用户注册(参阅第 4 步),请让用户依次点按设置常规VPN 与设备管理登录工作或学校账号,然后使用其 Google Workspace 账号登录。
- 如需在工作中使用 Google 应用(例如 Gmail),请让用户安装 Google Device Policy 应用,然后使用其 Google Workspace 账号登录。
- 如果您允许用户将电子邮件、日历和联系人与其设备上的内置 iOS 应用同步,则用户可以将这些 iOS 应用(例如 iOS 版“邮件”)用于工作。让用户点按设置邮件账号添加账号Google,然后使用其 Google Workspace 账号登录。如需了解详情,请参阅账号配置。
- 按照提示在其设备上安装 Google Device Policy 应用和配置文件。如需了解详细说明,请参阅设置个人设备。
相关主题