نظرة عامة على أمن إدارة جهاز الجوال
تدعم أنظمة تشغيل Apple إدارة جهاز الجوال (MDM) التي تتيح للمؤسسات تكوين وإدارة عمليات نشر أجهزة Apple محددة الحجم بشكل آمن.
كيفية عمل MDM بأمان
وتعتمد إمكانات MDM على تقنيات نظام التشغيل الموجودة، مثل ملفات تعريف التكوين، والتسجيل عبر الأثير وخدمة الإشعارات اللحظية من Apple (APNs). على سبيل المثال، تُستخدم APNs لتنشيط الجهاز حتى يتمكن من التواصل مباشرة مع حل MDM الخاص به عبر اتصال آمن. ومع APNs، لا يتم نقل أي معلومات سرية أو ذات ملكية خاصة.
باستخدام MDM، يمكن لأقسام تقنية المعلومات تسجيل أجهزة Apple في بيئة مؤسسية وتكوين الإعدادات وتحديثها لاسلكيًا ومراقبة الامتثال لسياسات الشركة وإدارة سياسات تحديث البرامج وحتى مسح أو قفل الأجهزة المُدارة عن بُعد.
بالإضافة إلى تسجيلات الأجهزة التقليدية المدعومة بواسطة iOS و iPadOS و macOS و tvOS، تمت إضافة نوع تسجيل في iOS 13 أو أحدث و iPadOS 13.1 أو أحدث و macOS 10.15 أو أحدث — تسجيل المستخدم. تسجيلات المستخدمين عبارة عن تسجيلات MDM تستهدف بشكل خاص عمليات نشر "أحضر جهازك الخاص" (BYOD) حيث يكون الجهاز مملوكًا لشخص ولكن يُستخدم في بيئة مُدارة. وتمنح تسجيلات المستخدمين حل MDM المزيد من الامتيازات المحدودة مقارنةً بتسجيلات الجهاز غير الخاضعة للإشراف، وتوفّر إمكانية فصل تشفير بيانات المستخدم والشركة.
أنواع التسجيل
تسجيل الجهاز المؤتمت: يتيح تسجيل الجهاز التلقائي للمؤسسات تكوين الأجهزة وإدارتها من اللحظة التي يتم فيها إخراج الأجهزة من علبة البيع (في عملية معروفة باسم النشر بالتقدم التلقائي). وتكون هذه الأجهزة معروفة على أنها خاضعة للإشراف، ويتوفر للمستخدمين خيار منع إزالة ملف تعريف MDM من قِبل المستخدم. تم تصميم تسجيل الجهاز المؤتمت للأجهزة التي تملكها المؤسسة.
تسجيل الجهاز: يتيح تسجيل الجهاز للمؤسسات السماح للمستخدمين بتسجيل الأجهزة يدويًا، ثم إدارة العديد من جوانب استخدام الجهاز المختلفة، بما في ذلك إمكانية مسح الجهاز. يتضمن تسجيل الجهاز أيضًا مجموعة أكبر من الحمولات والقيود التي يمكن تطبيقها على الجهاز. عندما يُزيل المستخدم ملف تعريف التسجيل، تتم إزالة كل ملفات تعريف التكوين وإعداداتها والتطبيقات المُدارة المستندة إلى ملف تعريف التسجيل هذا أيضًا.
تسجيل المستخدم: تم تصميم تسجيل المستخدم للأجهزة التي يملكها المستخدم ويتم دمجها مع حسابات Apple ID المُدارة لتأسيس هوية للمستخدم على الجهاز. تعد حسابات Apple ID المُدارة جزءًا من ملف تعريف تسجيل المستخدم، ويجب على المستخدم المصادقة بنجاح من أجل إكمال التسجيل. يمكن استخدام Apple ID المُدار إلى جانب Apple ID الشخصي الذي سجَّل المستخدم الدخول به بالفعل. تستخدم التطبيقات والحسابات المُدارة Apple ID المُدار، وتستخدم التطبيقات والحسابات الشخصية Apple ID شخصي.
قيود الجهاز
يمكن للمسؤولين تمكين القيود، أو تعطيلها في بعض الحالات، للمساعدة على منع المستخدمين من الوصول إلى تطبيق معين أو خدمة أو وظيفة معينة على الـ iPhone أو الـ iPad أو الـ Mac أو Apple TV المسجَّل في حل MDM. ويتم إرسال القيود إلى الأجهزة في حمولة قيود تعد جزءًا من ملف تعريف التكوين. قد يتم عكس بعض القيود المفروضة على iPhone على Apple Watch مقترنة.
إدارة إعدادات رمز الدخول وكلمة السر
بشكل افتراضي، يمكن تحديد رمز دخول المستخدم على أنه رمز PIN رقمي. في أجهزة iOS و iPadOS التي تحتوي على بصمة الوجه أو بصمة الإصبع، يبلغ الحد الأدنى لطول رمز الدخول أربع خانات. نظرًا لأن رموز الدخول الأطول والأكثر تعقيدًا يصعب تخمينها أو مهاجمتها، فإنه من المستحسن استخدامها.
يمكن للمسؤولين فرض متطلبات وسياسات أخرى أكثر تعقيدًا لرمز الدخول باستخدام MDM أو Microsoft Exchange ActiveSync، أو عن طريق مطالبة المستخدمين بتثبيت ملفات تعريف التكوين يدويًا. ويلزم توفير كلمة سر أحد المسؤولين لتثبيت حمولة سياسة رمز دخول macOS. قد تتطلب بعض سياسات رموز الدخول طولًا معينًا لرمز الدخول أو تكوينه أو سمات أخرى.