Apa itu Apple User Enrollment?
Apple User Enrollment (UE) adalah salah satu bentuk mobile device management (MDM) untuk produk Apple yang mendukung versi terbaru dari iOS dan macOS.
UE dirancang khusus untuk organisasi dan institusi pendidikan yang menerapkan strategi Bring Your Own Device (BYOD). Teknik MDM ini diumumkan dalam acara Worldwide Developers Conference (WWDC) Apple pada tahun 2019 dengan fokus utama pada perlindungan data pribadi pengguna sambil tetap mengamankan data perusahaan.
BYOD mengacu pada penggunaan perangkat dan aplikasi pribadi dalam lingkungan kerja. Perangkat ini biasanya dikelola oleh administrator yang memastikan semua pengguna memiliki alat yang diperlukan dan keamanan perangkat tetap terjaga. Namun, dalam banyak kasus, administrator tidak ingin mengelola seluruh perangkat karyawan atau siswa. Oleh karena itu, Apple menciptakan UE untuk menemukan keseimbangan antara melindungi privasi data pribadi pengguna dan mengamankan data perusahaan.
Sebelumnya, Apple telah menghadirkan dua alat terpisah untuk membantu administrator dalam mengelola perangkat dalam lingkungan BYOD: Apple Device Enrollment Program (DEP) dan Automated Device Enrollment. DEP memungkinkan pengelolaan perangkat secara menyeluruh, sedangkan Automated DEP menambahkan fitur otomatisasi dalam pengaturan perangkat untuk organisasi dan sekolah.
Namun, kedua alat ini tidak cukup memperhatikan privasi pengguna dan organisasi. Oleh karena itu, UE dirancang ulang sebagai solusi BYOD yang lebih aman. Dalam DEP dan Automated DEP, administrator memiliki wewenang penuh untuk membatasi pengguna, menghapus data, atau mengunci perangkat mereka. Sebaliknya, UE membatasi kendali server MDM atas perangkat.
Fitur User Enrollment
Administrator dengan UE dapat mengelola aplikasi atau data yang diperlukan pengguna untuk keperluan bisnis. Kemampuan mereka mencakup:
- Menginstal dan mengonfigurasi aplikasi serta akun;
- Menerapkan kode sandi enam digit;
- Menerapkan pembatasan pengguna tertentu;
- Menginstal dan mengonfigurasi VPN untuk email, kalender, dan aplikasi lainnya;
- Mengakses data yang berkaitan dengan aplikasi dan profil yang dikelola perusahaan;
- Menghubungkan perangkat dengan ID pendaftarannya yang sesuai.
Keuntungan User Enrollment
Keuntungan utama dari User Enrollment adalah peningkatan privasi melalui pemisahan data pribadi dan data perusahaan. Keuntungan lainnya meliputi:
- Server MDM tidak dapat menghapus semua data di perangkat.
- Data pribadi pada perangkat tidak dapat diakses oleh server MDM.
- Server MDM tidak dapat mengautentikasi perangkat menggunakan perintah token buka kunci (token).
- ID pendaftaran digunakan sebagai pengganti nomor seri atau pengenal perangkat unik (UDID) untuk autentikasi perangkat.
Cara Kerja User Enrollment
User Enrollment bekerja dengan tiga alat utama: Managed Apple ID, pemisahan data, dan kapabilitas pengelolaan.
Administrator membuat Managed Apple ID dalam Apple School Manager atau Apple Business Manager (ABM). Dengan Managed Apple ID, administrator dapat mengelola, menambahkan, dan menghapus ID pengguna. Aplikasi dan akun yang dikelola akan menggunakan Managed Apple ID, sementara aplikasi dan akun pribadi tetap menggunakan Personal Apple ID.
Selanjutnya, pemisahan data memisahkan data pribadi dan data yang dikelola. Saat pendaftaran perangkat dimulai, iOS membuat volume Apple File System (APFS) yang mengelola aplikasi dan data aplikasi, iCloud, data unduhan, data Apple Notes, dan keychain—yang menyimpan item yang diamankan seperti kata sandi yang disimpan oleh aplikasi pihak ketiga.
Kapabilitas manajemen UE kemudian mengontrol data yang telah dipisahkan pada langkah sebelumnya. UE menggunakan protokol MDM yang telah dimodifikasi. Beberapa perbedaan utama dalam protokol ini meliputi tidak adanya hak akses yang luas, profil layanan tidak dapat ditautkan, token buka kunci tidak disediakan—sehingga server MDM tidak dapat mengakses kode sandi perangkat—dan, tidak seperti Device Enrollment, UE tidak menggunakan UDID atau pengenal perangkat persisten lainnya, melainkan ID pendaftaran.
UE tidak mendukung perintah remote wipe. Sebagai gantinya, tersedia opsi untuk menghapus hanya data yang dikelola.