Verwalten des Zubehörzugriffs auf Apple-Geräten
Mac-Computer verwalten
Die Zubehörsicherheit (auch Beschränkter Modus für macOS genannt,) wurde dafür entwickelt, Kunden vor direkten Zugriffsangriffen über drahtloses Zubehör zu schützen. Für Mac-Laptops mit Apple Chips unter macOS 13 (oder neuer) wird der Benutzer standardmäßig aufgefordert, neue Zubehörgeräte zuzulassen. Der Benutzer hat in den Systemeinstellungen vier Optionen, um die Verbindung von Zubehör zu erlauben:
Jedes Mal fragen
Bei neuem Zubehör fragen
Automatisch wenn entsperrt
Immer
Wenn ein Benutzer ein unbekanntes Zubehörgerät (Thunderbolt-, USB- oder – unter macOS 13.3 oder neuer – SDXC-Karten [Extended Capacity]) mit einem gesperrten Mac verbindet, wird er aufgefordert, den Mac zu entsperren. Genehmigtes Zubehör kann mit einem gesperrten Mac verbunden werden, wenn die letzte Sperrung des Mac nicht länger als 3 Tage zurückliegt. Bei jedem Zubehör, das nach 3 Tagen verbunden wird, wird der Benutzer aufgefordert, das Gerät zu entsperren, um das Zubehör zu verwenden.
In einigen Umgebungen kann es notwendig sein, die Authentifizierung von Benutzern zu umgehen. Mit MDM-Lösungen lässt sich dieses Verhalten durch Verwenden der vorhandenen Einschränkung allowUSBRestrictedMode steuern, indem Zubehörgeräte immer erlaubt werden kann.
Hinweis: Diese Verbindungen betreffen keine Netzteile, Displays ohne Thunderbolt-Anschluss, Verbindungen zu einem genehmigten Hub oder einen Mac, der sich im Systemassistenten befindet oder mit dem recoveryOS gestartet wurde.
iPhone- und iPad-Geräte verwalten
Aus Gründen der Sicherheit und des Benutzerkomforts ist es wichtig, verwalten zu können, mit welchen Hostcomputern sich iPhone- und iPad-Geräte koppeln können. Beispielsweise erfordert die Fähigkeit, eine sichere Verbindung zu Self-Service-Stationen für die Softwareaktualisierung oder das Teilen der Internetverbindung eines Mac herzustellen, eine vertrauenswürdige Beziehung zwischen dem iPhone oder iPad und dem Host-Computer.
Üblicherweise werden Geräte vom Benutzer gekoppelt, wenn sein Gerät per USB-Kabel (oder wenn ein iPad-Modell Thunderbolt unterstützt) mit einem Host-Computer verbunden wird. Auf dem Benutzergerät erscheint die Frage, ob eine vertrauenswürdige Beziehung mit dem Computer hergestellt werden soll.
Der Benutzer wird dann aufgefordert, sein Passwort einzugeben, um diese Entscheidung zu bestätigen. Künftig wird allen weiteren Verbindungen mit demselben Host-Computer automatisch vertraut. Benutzer können die Koppelung vertrauenswürdiger Beziehungen entfernen, indem sie „Einstellungen“ > „Allgemein“ > „Zurücksetzen“ > „Standort & Datenschutz“ auswählen oder ihr Gerät löschen. Hinzu kommt, dass diese Vertrauenseinträge entfernt werden, wenn sie 30 Tage lang nicht verwendet wurden.
MDM-Verwaltung von Hostkoppelungen
Ein Administrator kann die Einschränkung Koppeln mit Hosts ohne Apple Configurator erlauben für die Verwaltung der Fähigkeit betreuter Apple-Geräte nutzen, um Hostcomputern manuell zu vertrauen. Durch Deaktivieren der Fähigkeit zum Koppeln von Hosts (und Verteilen der korrekten Betreuungsidentitäten an Geräte) stellt der Administrator sicher, dass es nur vertrauenswürdigen Computern mit einem gültigen Hostzertifikat für die Betreuung erlaubt wird, via USB (oder, wenn ein iPad-Modell dies unterstützt, Thunderbolt) auf die fraglichen iPhone- und iPad-Geräte zuzugreifen. Wenn auf dem Hostcomputer kein Hostzertifikat für die Betreuung konfiguriert wurde, ist die Kopplung vollständig deaktiviert.
Hinweis: Die Registrierungseinstellung für Apple-Geräte allow_pairing ist mit iOS 13 und iPadOS 13.1 veraltet. Administratoren sollten sich stattdessen künftig an die Anleitungen oben halten, da sie mehr Flexibilität bieten und zusätzlich das Koppeln mit vertrauenswürdigen Hosts erlauben. Darüber hinaus ist es damit möglich, die Einstellungen für das Koppeln von Hosts zu ändern, ohne dass dafür das iPhone oder das iPad gelöscht werden muss.
Schutz nicht gekoppelter Wiederherstellungsabläufe
In iOS 14.5 und iPadOS 14.5 (oder neuer) kann ein nicht-gekoppelter Hostcomputer ein Gerät nicht ohne lokale physische Interaktion im Wiederherstellungsmodus (wird auch als Recovery Mode bezeichnet) neu starten und Daten wiederherstellen. Vor dieser Änderung konnte ein nicht autorisierter Benutzer das Gerät eines Benutzers löschen und wiederherstellen, ohne direkt mit dem iPhone oder iPad zu interagieren. Dazu benötigte er lediglich eine USB- (oder wenn ein iPad-Modell dies unterstützt, eine Thunderbolt-) Verbindung (z. B. als Lademöglichkeit angeboten) zum Zielgerät und Computer.
Externes Starten einschränken, um ein iPhone oder iPad wiederherzustellen
Standardmäßig beschränken iOS 14.5 und iPadOS 14.5 (oder neuer) diese Wiederherstellungsfunktion jetzt auf Hostcomputern, denen zuvor vertraut wurde. Administratoren, die dieses sicherere Verhalten deaktivieren wollen, können die Einschränkung Versetzen eines iOS- oder iPadOS-Geräts in den Wiederherstellungsmodus durch nicht gekoppelte Geräte erlauben aktivieren.
Ethernetadapter mit iPhone oder iPad verwenden
Ein iPhone oder iPad mit einem kompatiblen Ethernetadapter hält bereits vor dem ersten Entsperren des Geräts eine aktive Verbindung zu einem verbundenen Netzwerk, sofern die Einschränkung deaktiviert wurde. Dieser Ansatz ist in Situationen nützlich, in denen das Gerät einen MDM-Befehl erhalten muss, aber kein WLAN oder Funknetzwerk verfügbar ist und das Gerät seit dem Start aus dem ausgeschalteten Zustand oder seit dem Neustart nicht entsperrt wurde. Das ist zum Beispiel der Fall, wenn ein Benutzer seinen Code vergessen hat und die MDM-Lösung versucht, ihn zu löschen.
Die Einstellung „Beschränkter Modus“ kann auf dem iPhone oder iPad von folgenden Personen verwalten:
Der MDM-Administrator mit der Einschränkung für den USB-beschränkten Modus. Dies setzt voraus, dass das Gerät betreut wird.
Der Benutzer über „Einstellungen“ > „Touch/Face ID & Code“ > „Zubehör“.