Διαχείριση της πρόσβασης αξεσουάρ σε συσκευές Apple
Διαχείριση υπολογιστών Mac
Η ασφάλεια αξεσουάρ (γνωστή ως Περιορισμένη λειτουργία) για το macOS έχει σχεδιαστεί για να προστατεύει τους πελάτες από επιθέσεις κοντινής πρόσβασης με ενσύρματα αξεσουάρ. Για φορητούς υπολογιστές Mac με Apple Silicon που διαθέτουν το macOS 13 ή μεταγενέστερη έκδοση, η προεπιλεγμένη ρύθμιση παραμέτρων είναι να ερωτάται ο χρήστης αν θέλει να επιτρέπονται νέα αξεσουάρ. Ο χρήστης έχει τέσσερις επιλογές στις Ρυθμίσεις συστήματος για να επιτρέπει τη σύνδεση αξεσουάρ:
Ερώτηση κάθε φορά
Ερώτηση για νέα αξεσουάρ
Αυτόματα όταν είναι ξεκλείδωτο
Πάντα
Αν ένας χρήστης συνδέσει ένα άγνωστο αξεσουάρ (Thunderbolt, USB ή, με macOS 13.3 ή μεταγενέστερη έκδοση, κάρτες SDXC – SD εκτεταμένης χωρητικότητας) σε ένα κλειδωμένο Mac, θα του ζητηθεί να ξεκλειδώσει το Mac. Τα εγκεκριμένα αξεσουάρ μπορούν να συνδεθούν σε ένα κλειδωμένο Mac για έως και 3 ημέρες από την τελευταία φορά που κλειδώθηκε το Mac. Αν συνδεθεί οποιοδήποτε αξεσουάρ μετά από 3 ημέρες, θα ζητηθεί από τον χρήστη «Ξεκλείδωμα για χρήση αξεσουάρ».
Ίσως να απαιτείται παράκαμψη της εξουσιοδότησης χρήστη για ορισμένα περιβάλλοντα. Οι λύσεις MDM μπορούν να ελέγχουν αυτήν τη συμπεριφορά χρησιμοποιώντας τον υπάρχοντα περιορισμό allowUSBRestrictedMode
για να επιτρέπονται πάντα τα αξεσουάρ.
Σημείωση: Αυτές οι συνδέσεις δεν ισχύουν για τροφοδοτικά, οθόνες μη Thunderbolt, εγκεκριμένους κόμβους, ζευγοποιημένες έξυπνες κάρτες, ή για Mac που βρίσκεται στον Βοηθό διαμόρφωσης ή που έχει εκκινηθεί από το recoveryOS.
Διαχείριση συσκευών iPhone και iPad
Η διαχείριση των υπολογιστών υπηρεσίας με τους οποίους μπορούν να ζευγοποιούνται ένα iPhone και iPad είναι σημαντική για λόγους ασφάλειας και διευκόλυνσης του χρήστη. Για παράδειγμα, η δυνατότητα ασφαλούς σύνδεσης σε σταθμούς αυτοεξυπηρέτησης για την ενημέρωση λογισμικού ή την κοινή χρήση της σύνδεσης Διαδικτύου ενός υπολογιστή Mac απαιτεί μια σχέση εμπιστοσύνης ανάμεσα στο iPhone ή το iPad και τον υπολογιστή υπηρεσίας.
Η ζευγοποίηση συσκευών συνήθως πραγματοποιείται από τον χρήστη όταν συνδέσει τη συσκευή του σε υπολογιστή υπηρεσίας με καλώδιο USB (ή, αν υποστηρίζεται από ένα μοντέλο iPad, με καλώδιο Thunderbolt). Στη συσκευή του χρήστη θα εμφανιστεί ένα μήνυμα που τον ρωτάει αν θέλει να δημιουργήσει μια σχέση εμπιστοσύνης με τον υπολογιστή.
Στη συνέχεια ζητείται από τον χρήστη να εισαγάγει τον κωδικό του για να επιβεβαιώσει την επιλογή του. Στο εξής, οποιεσδήποτε άλλες συνδέσεις με τον ίδιο υπολογιστή υπηρεσίας θα θεωρούνται αυτόματα αξιόπιστες. Οι χρήστες μπορούν να εκκαθαρίσουν τις σχέσεις αξιοπιστίας ζευγοποίησης, μεταβαίνοντας στις «Ρυθμίσεις» > «Γενικά» > «Επαναφορά» > «Επαναφορά τοποθεσίας και απορρήτου» ή σβήνοντας τη συσκευή τους. Επιπλέον, αυτές οι εγγραφές αξιοπιστίας αφαιρούνται μετά από 30 ημέρες μη χρήσης.
Διαχείριση MDM για ζευγοποίηση με υπολογιστή υπηρεσίας
Ένας διαχειριστής μπορεί να διαχειρίζεται τη δυνατότητα των επιβλεπόμενων συσκευών Apple να θεωρούν ως αξιόπιστους υπολογιστές υπηρεσίας με τον περιορισμό Να επιτρέπεται η ζευγοποίηση με υπολογιστές υπηρεσίας μη Apple Configurator. Απενεργοποιώντας τη δυνατότητα ζευγοποίησης υπολογιστών υπηρεσίας (και διανέμοντας τις σωστές ταυτότητες επίβλεψης στις συσκευές τους), ο διαχειριστής διασφαλίζει ότι μόνο οι αξιόπιστοι υπολογιστές που διαθέτουν έγκυρο πιστοποιητικό επίβλεψης υπολογιστή υπηρεσίας επιτρέπεται να έχουν πρόσβαση στις συγκεκριμένες συσκευές iPhone και iPad μέσω USB (ή Thunderbolt, αν ένα μοντέλο iPad το υποστηρίζει). Αν δεν έχει διαμορφωθεί πιστοποιητικό επίβλεψης υπολογιστή υπηρεσίας στον υπολογιστή υπηρεσίας, απενεργοποιείται κάθε ζευγοποίηση.
Σημείωση: Η ρύθμιση εγγραφής συσκευής Apple allow_pairing ορίστηκε ως παρωχημένη στο iOS 13 και το iPadOS 13.1. Οι διαχειριστές θα πρέπει αντ' αυτού να χρησιμοποιούν τις παραπάνω οδηγίες στο μέλλον, καθώς παρέχουν μεγαλύτερη ευελιξία επιτρέποντας τη ζευγοποίηση με αξιόπιστους υπολογιστές υπηρεσίας. Επιτρέπει επίσης την αλλαγή των ρυθμίσεων ζευγοποίησης υπολογιστών υπηρεσίας χωρίς να χρειάζεται σβήσιμο του iPhone ή iPad.
Προστασία μη ζευγοποιημένων ροών εργασιών επαναφοράς
Σε iOS 14.5 και iPadOS 14.5 ή μεταγενέστερες εκδόσεις, ένας μη ζευγοποιημένος υπολογιστής υπηρεσίας δεν είναι δυνατό να επανεκκινήσει μια συσκευή στο recoveryOS (επίσης γνωστό ως Λειτουργία ανάκτησης) και να την επαναφέρει χωρίς τοπική φυσική αλληλεπίδραση. Πριν από αυτήν την αλλαγή, ένας μη εξουσιοδοτημένος χρήστης μπορούσε να σβήσει και να επαναφέρει τη συσκευή ενός χρήστη χωρίς να αλληλεπιδράσει απευθείας με το iPhone ή το iPad. Το μόνο που χρειαζόταν ήταν μια σύνδεση USB (ή Thunderbolt, αν ένα μοντέλο iPad το υποστηρίζει) (η οποία, για παράδειγμα, προσφερόταν για τη δυνατότητα φόρτισης) με τη συσκευή προορισμού και έναν υπολογιστή.
Περιορισμός εξωτερικής εκκίνησης για ανάκτηση iPhone ή iPad
Από προεπιλογή, τα iOS 14.5 και iPadOS 14.5 ή μεταγενέστερες εκδόσεις περιορίζουν αυτήν τη δυνατότητα ανάκτησης σε υπολογιστές υπηρεσίας που ορίστηκαν ως αξιόπιστοι στο παρελθόν. Οι διαχειριστές που δεν θέλουν αυτήν την πιο ασφαλή συμπεριφορά μπορούν να ενεργοποιήσουν τον περιορισμό Να επιτρέπεται η μετάβαση μιας συσκευής iOS ή iPadOS στη Λειτουργία ανάκτησης από μη ζευγοποιημένο υπολογιστή υπηρεσίας.
Χρήση προσαρμογέων Ethernet με iPhone ή iPad
Ένα iPhone ή iPad με συμβατό προσαρμογέα Ethernet διατηρεί ενεργή σύνδεση σε ένα συνδεδεμένο δίκτυο ακόμη και προτού ξεκλειδωθεί αρχικά η συσκευή, αν είναι απενεργοποιημένος ο περιορισμός στη συσκευή. Αυτή η προσέγγιση είναι χρήσιμη όταν η συσκευή πρέπει να λάβει μια εντολή MDM όταν δεν είναι διαθέσιμα το δίκτυο Wi-Fi και τα κινητά δίκτυα, και η συσκευή δεν έχει ξεκλειδωθεί από τη στιγμή που εκκινήθηκε μετά από τερματισμό λειτουργίας ή επανεκκινήθηκε, π.χ. όταν ο χρήστης έχει ξεχάσει τον κωδικό του και η λύση MDM προσπαθεί να κάνει εκκαθάριση.
Η διαχείριση της ρύθμισης «Περιορισμένη λειτουργία» σε iPhone ή iPad είναι δυνατή από:
Τον διαχειριστή MDM με τον περιορισμό «Περιορισμένη λειτουργία USB». Για αυτήν την επιλογή, η συσκευή πρέπει να είναι επιβλεπόμενη.
Τον χρήστη στις «Ρυθμίσεις» > «Touch/Face ID και κωδικός» > «Αξεσουάρ».