Oversigt over sikkerhed i administration af mobile enheder
Apples operativsystemer understøtter administration af mobile enheder (MDM), som sætter organisationer i stand til at konfigurere og administrere skalerede udrulninger af Apple-enheder på en sikker måde.
Sådan fungerer MDM sikkert
MDM-funktionerne bygger på operativsystemteknologier som konfigurationer, trådløs tilmelding og tjenesten Apple Push Notification (APNs). APNs bruges f.eks. til at afbryde vågeblus på en enhed og igangsætte, at den kommunikerer direkte med sin MDM-løsning via en sikker forbindelse. Der overføres ingen fortrolige oplysninger eller oplysninger tilhørende virksomheden via APNs.
Med MDM kan it-afdelinger tilmelde Apple-enheder i et virksomheds- eller uddannelsesmiljø, konfigurere og opdatere indstillinger trådløst, overvåge overholdelse af regler, administrere softwareopdateringer og endda slette eller låse administrerede enheder eksternt.
Apple-enheder med iOS 13, iPadOS 13.1 og macOS 10.15 eller nyere versioner understøtter en ny mulighed for tilmelding, der er udviklet specielt til BYOD-programmer (“bring your own device”). Brugertilmelding giver brugerne større råderet på deres egne enheder og øger samtidig sikkerheden for virksomhedens data gennem kryptografisk adskillelse af administrerede data. Det giver en bedre balance mellem sikkerhed, anonymitet og brugeroplevelse i BYOD-programmer. Der er tilføjet en lignende funktionalitet til dataadskillelse til kontobaseret tilmelding af enheder i iOS 17, iPadOS 17 og macOS 14 og nyere versioner.
Tilmeldingstyper
Brugertilmelding: Brugertilmelding er designet til enheder, der ejes af brugeren, og er integreret med Administrerede Apple-id’er for at etablere en brugeridentitet på enheden. Der kræves administrerede Apple-id’er for at starte tilmeldingen, og brugeren skal godkendes, før tilmeldingen kan lykkes. Administrerede Apple-id’er kan bruges sideløbende med et personligt Apple-id, som brugeren allerede er logget ind med. Administrerede apps og konti bruger det administrerede Apple-id, og personlige apps og konti bruger det personlige Apple-id.
Tilmelding af enhed: Med tilmelding af enheder kan organisationer vælge, at de vil lade brugerne tilmelde enheder manuelt, og derefter stadig administrere mange forskellige aspekter af enhedsbrug, herunder muligheden for at slette enheden. Tilmelding af enhed omfatter også et større udvalg af konfigurationer og begrænsninger, der kan anvendes på enheden. Når en bruger fjerner en tilmeldingsprofil, bliver alle konfigurationer, indstillinger og administrerede apps, som er baseret på denne tilmeldingsprofil, også fjernet. På samme måde som Brugertilmelding kan tilmelding af enheder også integreres med et administreret Apple-id. Denne kontobaserede tilmelding af enheder giver også mulighed for at bruge et administreret Apple-id sammen med et personligt Apple-id, og den adskiller virksomhedens data kryptografisk.
Automatisk tilmelding af enhed: Automatisk tilmelding af enheder giver organisationer mulighed for at konfigurere og administrere enheder fra det øjeblik, enhederne tages ud af æsken. Disse enheder betegnes som under tilsyn, og it-afdelingen kan vælge at forhindre, at brugeren kan fjerne MDM-profilen. Automatisk tilmelding af enhed er beregnet til enheder ejet af en organisation.
Begrænsninger for enheder
Administratorer kan slå begrænsninger til og i nogle tilfælde slå dem fra for at bidrage til at forhindre brugerne i at få adgang til bestemte apps, tjenester eller funktioner på en iPhone, iPad, Mac, Apple TV-enhed eller et Apple Watch, der er tilmeldt en MDM-løsning. Begrænsninger sendes til enheder i begrænsningsdata, som indgår i en konfiguration. Visse begrænsninger på en iPhone kan blive dubleret på et parret Apple Watch.
Administration af indstillinger til koder og adgangskoder
Brugerens kode kan som standard defineres som en numerisk PIN-kode i iOS, iPadOS og watchOS. På iPhone- og iPad-enheder med Face ID eller Touch ID har koden som standard seks cifre, og den skal have mindst fire cifre. Det anbefales at bruge længere og mere komplekse koder, fordi de er sværere at gætte eller angribe.
Administratorer kan gennemtvinge krav om komplekse koder og andre politikker via MDM, og i iOS og iPadOS kan de også gøre dette via Microsoft Exchange. Der skal bruges en administratoradgangskode, når data til kodepolitik i macOS installeres manuelt. Kodepolitikker kan fastlægge, at koder skal have en bestemt længde eller sammensætning eller andre egenskaber.
Apple Watch bruger som standard numeriske koder. Hvis en kodepolitik, der anvendes for et administreret Apple Watch, kræver brug af ikke-numeriske tegn, kan enheden kun låses op via den parrede iPhone.