Oversigt over sikkerhed i administration af mobile enheder
Apples operativsystemer understøtter administration af mobile enheder (MDM), som sætter organisationer i stand til at konfigurere og administrere skalerede udrulninger af Apple-enheder på en sikker måde.
Sådan fungerer MDM sikkert
MDM-funktionerne bygger på eksisterende operativsystemteknologier som konfigurationsprofiler, trådløs tilmelding og tjenesten Apple Push Notification (APNs). APNs bruges f.eks. til at afbryde vågeblus på en enhed, så den kan kommunikere direkte med sin MDM-løsning via en sikker forbindelse. Med APNs overføres ingen fortrolige oplysninger eller oplysninger tilhørende virksomheden.
Med MDM kan it-afdelinger indrullere Apple-enheder i et virksomhedsmiljø, konfigurere og opdatere indstillinger trådløst, overvåge overholdelse af virksomhedens politikker, administrere politikker for softwareopdateringer og endda slette eller låse administrerede enheder eksternt.
Udover de traditionelle enhedstilmeldinger, der understøttes af iOS, iPadOS, macOS og tvOS, er der tilføjet en tilmeldingstype i iOS 13 og nyere versioner, iPadOS 13.1 og nyere versioner og macOS 10.15 og nyere versioner – Brugertilmelding. Brugertilmeldinger er MDM-tilmeldinger, der retter sig specifikt mod BYOD-implementeringer (Bring Your Own Device), hvor enheden er ejet personligt, men bruges i et administreret miljø. Brugertilmelding giver MDM-løsningen mere begrænsede rettigheder i forhold til tilmelding af enheder, der ikke er under tilsyn, og adskiller brugerdata og virksomhedsdata ved hjælp af kryptografi.
Tilmeldingstyper
Automatisk tilmelding af enhed: Automatisk tilmelding af enhed giver organisationer mulighed for at konfigurere og administrere enheder fra det øjeblik, enhederne tages ud af æsken (som led i en proces kaldet Auto Advance-implementering). Disse enheder betegnes som under tilsyn, og it-afdelingen kan vælge at forhindre, at brugeren kan fjerne MDM-profilen. Automatisk tilmelding af enhed er beregnet til enheder ejet af en organisation.
Tilmelding af enhed: Med tilmelding af enheder kan organisationer vælge, at de vil lade brugerne tilmelde enheder manuelt, og derefter stadig administrere mange forskellige aspekter af enhedsbrug, herunder muligheden for at slette enheden. Tilmelding af enhed omfatter også et større udvalg af data og begrænsninger, der kan anvendes på enheden. Når en bruger fjerner en tilmeldingsprofil, bliver alle konfigurationsprofiler, deres indstillinger og administrerede apps, som er baseret på denne tilmeldingsprofil, også fjernet.
Brugertilmelding: Brugertilmelding er designet til enheder, der ejes af brugeren, og er integreret med Administrerede Apple-id’er for at etablere en brugeridentitet på enheden. Administrerede Apple-id’er er en del af brugertilmeldingsprofilen og skal godkendes, før tilmeldingen kan gennemføres. Administrerede Apple-id’er kan bruges sideløbende med et personligt Apple-id, som brugeren allerede er logget ind med. Administrerede apps og konti bruger et administreret Apple-id, og personlige apps og konti bruger et personligt Apple-id.
Begrænsninger for enheder
Administratorer kan slå begrænsninger til og i nogle tilfælde slå dem fra for at bidrage til at forhindre brugerne i at få adgang til bestemte apps, tjenester eller funktioner på en iPhone, iPad, Mac eller Apple TV-enhed, der er tilmeldt en MDM-løsning. Begrænsninger sendes til enheder i begrænsningsdata, som indgår i en konfigurationsprofil. Visse begrænsninger på en iPhone kan blive dubleret på et parret Apple Watch.
Administration af indstillinger til koder og adgangskoder
Brugerens kode kan som standard defineres som en numerisk PIN-kode. På iOS- og iPadOS-enheder med Face ID eller Touch ID skal koden have mindst fire cifre. Det anbefales at bruge længere og mere komplekse koder, fordi de er sværere at gætte eller angribe.
Administratorer kan gennemtvinge krav om komplekse koder og andre politikker via MDM eller Microsoft Exchange ActiveSync eller ved at kræve, at brugerne manuelt installerer konfigurationsprofiler. Der skal bruges en administratoradgangskode til installering af data til kodepolitik i macOS. Nogle kodepolitikker kan fastlægge, at koder skal have en bestemt længde eller sammensætning eller andre egenskaber.