Sisäisten verkkosuojausominaisuuksien käyttö Apple-laitteissa
Apple-laitteissa on sisäisiä verkkosuojausteknologioita, jotka valtuuttavat käyttäjiä ja suojaavat heidän tietojaan siirron aikana. Apple-laitteiden verkkosuojauksen tuki sisältää seuraavat:
sisäänrakennettu IPsec, IKEv2, L2TP
räätälöity VPN App Store ‑appien kautta (iOS, iPadOS, visionOS)
räätälöity VPN muiden valmistajien VPN-asiakkaiden kautta (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) ja DTLS
SSL/TLS X.509-varmenteilla
WPA/WPA2/WPA3 Enterprise 802.1X:llä
varmennepohjainen todentaminen
jaettu salaisuus- ja Kerberos-todentaminen
RSA SecurID, CRYPTOCard (macOS)
Verkkovälitykset iOS:ssä, iPadOS:ssä, macOS:ssä ja tvOS:ssä
Laitteet, joissa on iOS 17, iPadOS 17, macOS 14, tvOS 17 tai uudempi, sisältävät välityksen, joka voi suojata liikennettä salatulla HTTP/3- tai HTTP/2-yhteydellä ja tarjoaa siten vaihtoehdon VPN:lle. Verkkovälitys on erityinen välipalvelin, jolla on optimoitu suorituskyky ja joka käyttää uusimpia siirto- ja suojausprotokollia. Sitä voidaan käyttää suojaamaan TCP- ja UDP-liikenne tietylle apille, koko laitteelle ja sisäisiä resursseja käytettäessä. Verkkovälityksiä voidaan käyttää useita rinnakkain, ja yhtenä niistä voi olla suojattu iCloud-lähetys, eikä niille tarvita erityistä appia. Jos haluat lisätietoja, katso Verkkovälitysten käyttäminen.
VPN ja IPsec
Monissa yritysympäristöissä on jonkinlainen VPN-verkko. Nämä VPN-palvelut vaativat yleensä hyvin vähän käyttöönottoa ja määritystä toimiakseen Applen laitteissa, jotka tukevat monia yleisiä VPN-tekniikoita.
iOS, iPadOS, macOS, tvOS, watchOS ja visionOS tukevat IPsec-protokollia ja ‑todentamismenetelmiä. Jos haluat lisätietoja, katso VPN:n yleiskatsaus.
TLS
Kryptografinen SSL 3 -protokolla ja symmetrinen RC4-salausmenetelmä on poistettu käytöstä iOS 10:ssä ja macOS 10.12:ssa.. Oletuksena Secure Transport ‑rajapinnoilla toteutetuilla TLS-asiakkailla tai -palvelimilla ei ole käytössä RC4-salausmenetelmää. Tästä syystä ne eivät voi muodostaa yhteyttä, jos RC4 on ainoa saatavilla oleva salausmenetelmä. Suojauksen parantamiseksi RC4:ä vaativia palveluita tai appeja tulisi päivittää käyttämään salausmenetelmiä.
Suojauksen lisäparannuksia ovat seuraavat:
SMB-yhteyksille vaadittu allekirjoitus (macOS)
Macissa, jossa on macOS 10.12 tai uudempi, tuki AES:lle kerberoidun NFS:n salausmenetelmänä (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 tukee sekä AES 128:a että SHA-2:ta.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalenteri, Mail ja muut internet-apit muodostavat näitä käyttäen salatun tiedonsiirtokanavan iOS:n, iPadOS:n, macOS:n ja visionOS:n ja yrityksen palveluiden välille.
Voit myös asettaa TLS-minimi- ja maksimiversion 802.1X-verkon tietosisällölle EAP-TLS:n, EAP-TTLS:n, PEAP:n ja EAP-FAST:n yhteydessä. Voit tehdä esimerkiksi seuraavat asetukset:
Voit asettaa molemmat samaan TLS-versioon
Voit asettaa TLS:n vähimmäisversion alempaan arvoon ja TLS:n enimmäisversio korkeampaan arvoon, jotka voidaan sitten neuvotella RADIUS-palvelimen kanssa
Voit jättää molemmat arvot asettamatta, jolloin 802.1X-supplicant voi neuvotella TLS-version RADIUS-palvelimen kanssa
iOS, iPadOS, macOS ja visionOS edellyttävät, että palvelimen käyttäjävarmenne allekirjoitetaan käyttäen SHA-2-allekirjoitusalgoritmiperhettä ja että se käyttää joko vähintään 2048 bitin RSA-avainta tai vähintään 256 bitin ECC-avainta.
Laitteet, joissa on iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 tai uudempi, tukevat TLS 1.2:ta 802.1X-todentamisessa. TLS 1.2:ta tukevat todentamispalvelimet saattavat edellyttää seuraavia päivityksiä yhteensopivuuden varmistamiseksi:
Cisco: ISE 2.3.0
FreeRADIUS: Päivitys versioihin 2.2.10 ja 3.0.16.
Aruba ClearPass: Päivitys versioon 6.6.x.
ArubaOS: Päivitys versioon 6.5.3.4.
Microsoft: Windows Server 2012 – Network Policy Server.
Microsoft: Windows Server 2016 – Network Policy Server.
Jos haluat lisätietoja 802.1X:stä, katso Applen laitteiden yhdistäminen 802.1X-verkkoihin.
WPA2/WPA3
Kaikki Applen alustat tukevat Wi-Fi-todentamis- ja salausprotokollien alan standardeja todennetun pääsyn ja luottamuksellisuuden tarjoamiseksi liityttäessä seuraaviin suojattuihin langattomiin verkkoihin:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise 192-bittinen suojaus
Jos haluat nähdä luettelon langattomien verkkojen 802.1X-todentamisprotokollista, katso 802.1X-määritykset Macille.
Appien kätkeminen ja lukitseminen
Laitteissa, joissa on iOS 18 tai iPadOS 18 tai uudempi, käyttäjät voivat vaatia Face ID:n, Touch ID:n tai pääsykoodin apin avaamiseen ja kätkemiseen Koti-valikosta. MDM voi hallita näiden valintojen saatavuutta seuraavasti:
hallitsemalla käyttäjän mahdollisuutta kätkeä ja lukita hallittuja appeja appikohtaisesti
poistamalla kaikkien appien kätkemisen ja lukitsemisen käytöstä valvotuissa laitteissa
Käyttäjärekisteröinnillä rekisteröidyissä laitteissa kätketyt apit raportoidaan MDM:ään vain, jos ne ovat hallittuja. Laiterekisteröinnillä rekisteröidyissä laitteissa kätketyt apit raportoidaan MDM:ään kaikkien asennettujen appien tavoin.
Lähiverkkoyhteys macOS:lle
Macissa, jossa on macOS 15 tai uudempi, muun valmistajan appi tai käynnistysagentti, joka haluaa käyttää laitteita käyttäjän lähiverkossa, on pyydettävä lupa, kun se yrittää selata lähiverkkoa ensimmäisen kerran.
Kuten iOS:ssä ja iPadOS:ssä käyttäjät voivat itse sallia tai estää tämän käytön kohdassa Järjestelmäasetukset > Tietosuoja > Lähiverkko.
FaceTime- ja iMessage-salaus
iOS, iPadOS, macOS ja visionOS luovat yksilöllisen tunnuksen jokaiselle FaceTime- ja iMessage-käyttäjälle, mikä auttaa varmistamaan, että tiedonsiirto salataan, reititetään ja yhdistetään oikein.