Visão geral de MDM para implementações de dispositivos Apple
Está disponível o acesso seguro a redes empresariais privadas no iOS, iPadOS, macOS, tvOS, watchOS e visionOS, através de protocolos de redes privadas virtuais (VPN) com normas estabelecidas no setor.
Protocolos suportados
O iOS, iPadOS, macOS, tvOS, watchOS e visionOS suportam os seguintes protocolos e métodos de autenticação:
IKEv2: suporte para ambos IPv4 e IPv6 e os seguintes:
Authentication methods (Métodos de autenticação): segredo partilhado, certificados, EAP–TLS e EAP–MSCHAPv2.
Suite B cryptography (Criptografia suite B): certificados ECDSA, cifragem ESP com GCM e grupos ECP para o grupo Diffie–Hellman.
Additional features (Funcionalidades adicionais): MOBIKE, fragmentação IKE, redirecionamento do servidor, túnel dividido.
O iOS, iPadOS, macOS e visionOS também suportam os seguintes protocolos e métodos de autenticação:
L2TP over IPsec (L2TP via IPsec): autenticação do utilizador por palavra-passe MS–CHAP v2, token de dois fatores, certificado, autenticação de máquina por segredo partilhado ou certificado.
O macOS pode usar também a autenticação de máquina Kerberos por segredo partilhado ou certificado com L2TP em IPsec.
IPsec: autenticação do utilizador por palavra-passe, token de dois fatores e autenticação de máquina por segredo partilhado e certificados.
Se a organização suportar esses protocolos, não é necessária nenhuma configuração de rede adicional nem aplicações de terceiros para ligar os dispositivos Apple a uma rede privada virtual.
O suporte inclui tecnologias como IPv6, servidores proxy e túneis divididos. O túnel dividido fornece uma experiência de VPN flexível ao estabelecer ligação às redes de uma organização.
Além disso, a framework de extensão de rede permite que os programadores de terceiros criem uma solução de VPN personalizada para iOS, iPadOS, macOS, tvOS e visionOS. Vários fornecedores de VPN criaram aplicações para ajudar a configurar os dispositivos Apple para utilização com as aplicações deles. Para configurar um dispositivo para uma solução específica, instale a aplicação do fornecedor correspondente e, opcionalmente, forneça um perfil de configuração com as definições necessárias.
VPN a pedido
No iOS, iPadOS, macOS e tvOS, a VPN a pedido permite que os dispositivos Apple estabeleçam uma ligação automaticamente consoante esta seja necessária. Requer um método de autenticação que não envolve interação do utilizador, por exemplo, autenticação com base em certificados. A VPN por pedido é configurada através da chave OnDemandRules numa carga útil de VPN de um perfil de configuração. As regras aplicam-se em duas fases:
Network detection stage (Fase de deteção da rede): define os requisitos de VPN a aplicar quando a ligação da rede principal do dispositivo se altera.
Connection evaluation stage (Fase de avaliação da ligação): define os requisitos da VPN para pedidos de ligação a nomes de domínio conforme a necessidade.
As regras podem servir para efetuar ações como:
reconhecer quando um dispositivo Apple está ligado a uma rede interna e a VPN não é necessária;
reconhecer quando uma rede Wi-Fi desconhecida está a ser usada e necessita de uma VPN;
solicitar uma VPN quando falha um pedido de DNS para um nome de domínio especificado.
VPN por aplicação
Com o iOS, iPadOS, macOS, watchOS e visionOS 1.1, as ligações da VPN podem ser estabelecidas por aplicação, o que oferece um controlo granular maior sobre quais os dados transmitidos através de VPN. Esta capacidade para segregar tráfego ao nível da aplicação permite a separação de dados pessoais dos dados da empresa ou organização, resultando numa rede segura para aplicações de uso interno enquanto preserva a privacidade da atividade de dispositivos pessoais.
A VPN por aplicação permite que cada aplicação gerida por uma solução de gestão de dispositivos móveis (MDM) comunique com a rede privada através de um túnel seguro enquanto impede que aplicações não geridas utilizem a rede privada. As aplicações geridas podem ser configuradas com diferentes ligações de VPN para maior salvaguarda dos dados. Por exemplo, uma aplicação de cotação de vendas poderá usar um centro de dados completamente diferente de uma aplicação de pagamentos.
Após criar uma VPN por aplicação para qualquer configuração de VPN, será necessário associar essa ligação às aplicações que a utilizam para assegurar o tráfego de rede para essas aplicações. A associação pode ser feita com a carga útil de mapeamento da VPN por aplicação (macOS) ou especificando a configuração de VPN dentro do comando de instalação de aplicações (iOS, iPadOS, macOS, visionOS 1.1).
A VPN por aplicação pode ser configurada para funcionar com o cliente VPN IKEv2 integrado no iOS, iPadOS, watchOS e visionOS 1.1. Para obter mais informações acerca do suporte da VPN por aplicação em soluções de VPN personalizadas, contacte os fornecedores da VPN.
Nota: para usar a VPN por aplicação no iOS, iPadOS, watchOS 10 e visionOS 1.1, uma aplicação tem de ser gerida pela MDM.
VPN sempre ligada
A VPN sempre ligada disponível para IKEv2 permite que a organização tenha o controlo total do tráfego do iOS e iPadOS ao canalizar todo o tráfego IP de volta à organização. A organização pode agora monitorizar e filtrar o tráfego de e para os dispositivos, manter a segurança dos dados dentro da rede e restringir o acesso dos dispositivos à Internet.
A ativação da VPN sempre ligada exige a supervisão do dispositivo. Depois de o perfil da VPN sempre ligada estar instalado num dispositivo, a VPN sempre ligada é automaticamente ativada sem nenhuma interação do utilizador e permanece ativada (incluindo durante reinicializações) até que o perfil de VPN sempre ligada seja desinstalado.
Com a VPN sempre ligada ativada no dispositivo, o acionamento e o corte do túnel da VPN estão ligados ao estado da interface IP. Quando a interface ganha disponibilidade da rede IP, ela tenta estabelecer um túnel. Quando o estado da interface IP cai, o túnel é cortado.
A VPN sempre ligada suporta também túneis por interface. Nos dispositivos com ligações de rede móvel, existe um túnel para cada interface IP ativa (um túnel para a interface de rede móvel e um túnel para a interface Wi-Fi). Desde que os túneis da VPN estejam acionados, todo o tráfego IP é canalizado pelo túnel. O tráfego inclui todo o tráfego IP direcionado e todo o tráfego IP abrangente (tráfego de aplicações de entidades primárias, como FaceTime e Mensagens). Se os túneis não estiverem ativos, todo o tráfego IP é interrompido.
Todo o tráfego canalizado pelo túnel de um dispositivo chega a um servidor de VPN. É possível aplicar tratamentos de filtragem e monitorização antes de enviar o tráfego para o seu destino dentro da rede da organização ou para a Internet. De forma semelhante, o tráfego para o dispositivo é direcionado para ao servidor da organização, onde os processos de filtragem e monitorização podem ser aplicados antes de ser enviado para o dispositivo.
Nota: o emparelhamento do Apple Watch não é suportado com a VPN sempre ligada.
Proxy transparente
As proxies transparentes são um tipo de VPN especial no macOS e podem ser usadas de formas diferentes para monitorizar e transformar o tráfego de rede. As utilizações mais comuns são soluções de filtros de conteúdo e mediadores para acesso a serviços na nuvem. Devido à variedade de utilizações, é boa ideia definir a ordem pela qual essas proxies veem e lidam com o tráfego. Por exemplo, pretende invocar o tráfego de rede de filtragem de proxy antes de invocar um proxy que cifra o tráfego. Para isso, defina a ordem na carga útil de VPN.