إدارة وصول الملحقات إلى أجهزة Apple
إدارة أجهزة كمبيوتر Mac
صمم أمن الملحق (المعروف باسم النمط المقيد) لـ macOS لحماية العملاء من هجمات الوصول عن قرب باستخدام الملحقات السلكية. بالنسبة إلى أجهزة كمبيوتر Mac المحمولة المزودة برقاقات Apple ومثبت عليها macOS 13 أو أحدث، يتمثل التكوين الافتراضي في مطالبة المستخدم بالسماح بالملحقات الجديدة. لدى المستخدم أربعة خيارات في إعدادات النظام للسماح بتوصيل الملحقات:
السؤال في كل مرة
السؤال عن ملحقات جديدة
تلقائيًا في حالة فتح القفل
دائمًا
إذا أرفق مستخدم ملحقًا غير معروف (ثندربولت أو USB أو - في macOS 13.3 أو أحدث - بطاقات السعة الموسعة الرقمية الآمنة "SDXC") بجهاز Mac مقفل، فسيُطلب منه فتح قفل Mac. يمكن توصيل الملحقات المعتمدة بجهاز Mac مقفل لمدة تصل إلى 3 أيام من آخر مرة تم فيها قفل Mac. أي ملحق يتم إرفاقه بعد 3 أيام يطالب المستخدم "بفتح القفل لاستخدام الملحقات".
قد يكون تجاوز ترخيص المستخدم مطلوبًا لبعض البيئات. يمكن لحلول MDM التحكم في هذا السلوك باستخدام تقييد allowUSBRestrictedMode الحالي للسماح بالملحقات دائمًا.
ملاحظة: لا تنطبق هذه الاتصالات على محولات الطاقة، أو الشاشات التي لا تدعم ثندربولت، أو لوحات التوصيل المعتمدة، أو البطاقات الذكية المقترنة، أو على جهاز Mac موجود في مساعد الإعداد أو بدأ من RecoveryOS.
إدارة أجهزة iPhone و iPad
تعد إدارة أجهزة الكمبيوتر المضيفة التي يمكن لـ iPhone و iPad الاقتران بها أمرًا مهمًا لأسباب تتعلق بالأمن وراحة المستخدم. على سبيل المثال، تتطلب إمكانية التوصيل الآمن بمحطات الخدمة الذاتية لتحديث البرامج أو مشاركة اتصال الإنترنت بكمبيوتر Mac وجود علاقة ثقة بين iPhone أو iPad والكمبيوتر المضيف.
عادةً ما يتم إجراء إقران الجهاز بواسطة المستخدم عندما يقوم بتوصيل جهازه بكمبيوتر مضيف باستخدام كبل USB (أو إذا كان طراز iPad يدعمه، ثندربولت). تظهر مطالبة على جهاز المستخدم تسأله عما إذا كان يريد إنشاء علاقة ثقة مع الكمبيوتر أم لا.
ثم يُطلب من المستخدم إدخال رمز الدخول لتأكيد هذا القرار. يتم الوثوق تلقائيًا بأي اتصالات أخرى مع الكمبيوتر المضيف ذاته من الآن فصاعدًا. يمكن للمستخدمين مسح علاقات الثقة المرتبطة بالاقتران بالانتقال إلى الإعدادات > عام > إعادة تعيين > إعادة تعيين الموقع والخصوصية أو عن طريق مسح أجهزتهم. بالإضافة إلى ذلك، تتم إزالة سجلات الثقة هذه في حالة عدم استخدامها لمدة 30 يومًا.
إدارة MDM لاقتران المضيف
يمكن للمسؤول إدارة قدرة أجهزة Apple الخاضعة للإشراف على الوثوق يدويًا بأجهزة الكمبيوتر المضيفة باستخدام القيد Allow pairing with non-Apple Configurator hosts. من خلال تعطيل إمكانية اقتران المضيف (وتوزيع هويات الإشراف الصحيحة على أجهزتهم)، يضمن المسؤول عدم السماح بالوصول إلى أجهزة iPhone و iPad المعنية عبر USB (أو ثندربولت، إذا كان طراز iPad يدعمها) إلا لأجهزة الكمبيوتر الموثوق بها الحاملة لشهادة مضيف إشراف صالحة. إذا لم يتم تكوين شهادة مضيف الإشراف على الكمبيوتر المضيف، يتم تعطيل كل عمليات الاقتران.
ملاحظة: لم يعد إعداد تسجيل جهاز Apple allow_pairing مدعومًا في iOS 13 و iPadOS 13.1. يجب على المسؤولين استخدام التوجيه الوارد أعلاه كبديل للمضي قدمًا لأنه يوفر مزيدًا من المرونة من خلال السماح بالإقران بالمضيفين الموثوق بهم. يُمكِّن كذلك تغيير إعدادات إقران المضيف من دون الحاجة إلى مسح الـ iPhone أو الـ iPad.
تأمين عمليات سير عمل الاستعادة غير المقترنة
في iOS 14.5 و iPadOS 14.5 أو أحدث، لا يمكن لأي كمبيوتر مضيف غير مقترن إعادة تشغيل الجهاز في recoveryOS (المعروف كذلك باسم نمط الاسترداد) واستعادته من دون تفاعل فعلي محلي. قبل هذا التغيير، كان بإمكان أي مستخدم غير مصرح له مسح جهاز المستخدم واستعادته دون التفاعل المباشر مع iPhone أو iPad. فكل ما كان يحتاج إليه هو اتصال USB (أو ثندربولت، إذا كان طراز iPad يدعمها) (على سبيل المثال، يتم تقديمه كأداة شحن) بالجهاز المستهدف وكمبيوتر.
تقييد التمهيد الخارجي لاسترداد iPhone أو iPad
بشكل افتراضي، يعمل iOS 14.5 و iPadOS 14.5 أو أحدث، على تقييد إمكانية الاسترداد هذه لأجهزة الكمبيوتر المضيفة التي تم الوثوق بها سابقًا. يمكن للمسؤولين الذين يرغبون في إلغاء الاشتراك في هذا السلوك الأكثر أمانًا تمكين التقييد Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host.
استخدام محولات إيثرنت مع iPhone أو iPad
يحافظ جهاز iPhone أو iPad المزود بمحول إيثرنت متوافق على اتصال نشط بشبكة متصلة حتى قبل إلغاء قفل الجهاز في البداية - إذا تم إيقاف القيد. يكون هذا النهج مفيدًا في الحالات التي يجب أن يتلقى فيها الجهاز أمر MDM عندما لا تتوفر شبكة Wi-Fi أو شبكة خلوية، مع عدم فتح قفل الجهاز منذ بدء تشغيله من حالة إيقاف التشغيل أو إعادة التشغيل—على سبيل المثال، عندما ينسى المستخدم رمز الدخول ويحاول MDM مسحه.
يمكن إدارة إعداد "وضع تقييد المحتوى" على iPhone أو iPad بواسطة:
مسؤول MDM لديه تقييد نمط USB المقيد. ويتطلب هذا أن يكون الجهاز خاضعًا للإشراف.
المستخدم في الإعدادات > بصمة الإصبع/بصمة الوجه ورمز الدخول > الملحقات.