نظرة عامة على أمن إدارة جهاز الجوال
تدعم أنظمة تشغيل Apple إدارة جهاز الجوال (MDM) التي تتيح للمؤسسات تكوين وإدارة عمليات نشر أجهزة Apple محددة الحجم بشكل آمن.
كيفية عمل MDM بأمان
وتعتمد إمكانات MDM على تقنيات نظام التشغيل، مثل التكوينات، والتسجيل عبر الأثير وخدمة الإشعارات اللحظية من Apple (APNs). على سبيل المثال، تُستخدم خدمة الإشعارات اللحظية من Apple (APNs) لتنشيط الجهاز وتشغيله حتى يتمكن من التواصل مباشرة مع حل MDM عبر اتصال آمن. ولا يتم نقل أي معلومات سرية أو ذات ملكية خاصة عبر خدمة الإشعارات اللحظية من Apple (APNs).
باستخدام MDM، يمكن لأقسام تقنية المعلومات تسجيل أجهزة Apple في بيئة مؤسسية أو تعليمية وتكوين الإعدادات وتحديثها لاسلكيًا ومراقبة الامتثال وإدارة تحديث البرامج وحتى مسح الأجهزة المُدارة أو قفلها عن بُعد.
في iOS 13 و iPadOS 13.1 و macOS 10.15 أو أحدث، تدعم أجهزة Apple خيار تسجيل جديدًا مصممًا خصيصًا لبرامج BYOD "أحضر جهازك الخاص". يوفر تسجيل المستخدم مزيدًا من الاستقلالية للمستخدمين على أجهزتهم الخاصة، بينما تزيد من أمن بيانات المؤسسة عن طريق فصل البيانات المُدارة في بيئة محمية بالتشفير. ويوفر ذلك توازنًا أفضل بين الأمن والخصوصية وتجربة المستخدم لبرامج BYOD. أُضيفَت آلية فصل بيانات مماثلة لتسجيلات الأجهزة المستندة إلى الحساب في iOS 17 و iPadOS 17 و macOS 14 أو أحدث.
أنواع التسجيل
تسجيل المستخدم: تم تصميم تسجيل المستخدم للأجهزة التي يملكها المستخدم ويتم دمجها مع حسابات Apple ID المُدارة لتأسيس هوية للمستخدم على الجهاز. يلزم توفير حسابات Apple ID مُدارة لبدء التسجيل، ويجب على المستخدم إكمال المصادقة بنجاح حتى ينجح التسجيل. يمكن استخدام Apple ID المُدار إلى جانب Apple ID الشخصي الذي سجَّل المستخدم الدخول به بالفعل. تستخدم التطبيقات والحسابات المُدارة حسابات Apple ID المُدار، وتستخدم التطبيقات والحسابات الشخصية Apple ID شخصيًا.
تسجيل الجهاز: يتيح تسجيل الجهاز للمؤسسات السماح للمستخدمين بتسجيل الأجهزة يدويًا، ثم إدارة العديد من جوانب استخدام الجهاز المختلفة، بما في ذلك إمكانية مسح الجهاز. يتضمن تسجيل الجهاز أيضًا مجموعة أكبر من التكوينات والقيود التي يمكن تطبيقها على الجهاز. عندما يُزيل المستخدم ملف تعريف التسجيل، تتم إزالة كل التكوينات والإعدادات والتطبيقات المُدارة المستندة إلى ملف تعريف التسجيل هذا. على غرار تسجيل المستخدم، يمكن أيضًا دمج تسجيل الجهاز مع حساب Apple ID مُدار. يتيح تسجيل الجهاز المستند إلى الحساب أيضًا إمكانية استخدام حساب Apple ID مُدار مع Apple ID شخصي ويفصل بيانات الشركة في بيئة محمية بالتشفير.
تسجيل الجهاز المؤتمت: يسمح تسجيل الجهاز التلقائي للمؤسسات بتكوين الأجهزة وإدارتها من اللحظة التي يتم فيها إخراج الأجهزة. وتكون هذه الأجهزة معروفة على أنها خاضعة للإشراف، ويتوفر للمستخدمين خيار منع إزالة ملف تعريف MDM من قِبل المستخدم. تم تصميم تسجيل الجهاز المؤتمت للأجهزة التي تملكها المؤسسة.
قيود الجهاز
يمكن للمسؤولين تمكين القيود، أو تعطيلها في بعض الحالات، للمساعدة على منع المستخدمين من الوصول إلى تطبيق معين أو خدمة أو وظيفة معينة على iPhone أو iPad أو Mac أو Apple TV أو Apple Watch المسجَّل في حل MDM. تُرسَل القيود إلى الأجهزة في حمولة قيود تعد جزءًا من التكوين. قد يتم عكس بعض القيود المفروضة على iPhone على Apple Watch مقترنة.
إدارة إعدادات رمز الدخول وكلمة السر
بشكل افتراضي، يمكن تحديد رمز دخول المستخدم على أنه رمز PIN رقمي على iOS و iPadOS و watchOS. في أجهزة iPhone و iPad التي تحتوي على بصمة الوجه أو بصمة الإصبع، يبلغ الطول الافتراضي لرمز الدخول ستة أرقام بينما يبلغ الحد الأدنى أربعة أرقام. نظرًا لأن رموز الدخول الأطول والأكثر تعقيدًا يصعب تخمينها أو مهاجمتها، فإنه من المستحسن استخدامها.
يمكن أن يفرض المسؤولون متطلبات معقدة وسياسات أخرى لرمز الدخول باستخدام MDM أو على iOS و iPadOS و Microsoft Exchange. ويلزم توفير كلمة سر مسؤول عند تثبيت حمولة سياسة رمز دخول macOS يدويًا. قد تتطلب سياسات رموز الدخول طولًا أو تكوينًا معينًا أو سمات أخرى لرمز الدخول.
تستخدم Apple Watch رموز الدخول الرقمية بشكل افتراضي. إذا تتطلبت سياسة رمز الدخول المطبقة على Apple Watch مُدارة استخدام أحرف غير رقمية، يجب استخدام iPhone المقترن لفتح قفل الجهاز.