Sicherheit bei der Mobilgeräteverwaltung – Übersicht
Betriebssysteme von Apple unterstützen die Mobilgeräteverwaltung (Mobile Device Management, MDM), die es Organisationen ermöglicht, skalierte Implementierungen von Apple-Geräten sicher zu konfigurieren und zu verwalten.
Sichere Funktionsweise von MDM
MDM-Funktionen basieren auf vorhandenen Technologien des Betriebssystems (z. B. Konfigurationsprofile, drahtlose Registrierung und APNS (Apple Push Notification Service), dem Apple-Dienst für Push-Benachrichtigungen oder Push-Mitteilungen). APNS wird beispielsweise verwendet, um den Ruhezustand eines Geräts zu beenden, damit es über eine sichere Verbindung direkt mit der zugehörigen MDM-Lösung kommunizieren kann. Über APNS werden keine vertraulichen oder organisationseigenen Informationen übertragen.
MDM eröffnet IT-Abteilungen die Möglichkeit, Apple-Geräte sicher in einer Unternehmensumgebung zu registrieren, drahtlos Einstellungen zu konfigurieren und zu aktualisieren, die Einhaltung von Unternehmensrichtlinien zu überwachen, Richtlinien für Softwareaktualisierungen zu verwalten und verwaltete Geräte per Fernzugriff zu löschen oder zu sperren.
Zusätzlich zu den von iOS, iPadOS, macOS und tvOS bisher schon unterstützten Geräteregistrierungen wurde in iOS 13, iPadOS 13.1 und macOS 10.15 ein Registrierungstyp hinzugefügt: die Benutzerregistrierung. Benutzerregistrierungen sind Registrierungen bei einer MDM-Lösung, die gezielt für BYOD-Szenarien („Bring Your Own Device”) konzipiert sind, d. h. für Szenarien, in denen Benutzer in ihrem Besitz befindliche Geräte in einer betreuten Umgebung verwenden. Im Vergleich zu Registrierungen betreuter Geräte gewähren Benutzerregistrierungen der MDM-Lösung weniger Berechtigungen. Sie sorgen aber für die kryptografisch basierte Trennung von privaten Daten des Benutzers und Firmendaten.
Registrierungstypen
Automatische Geräteregistrierung: Die automatische Geräteregistrierung bietet Organisationen die Möglichkeit, Geräte ab dem Moment, in dem sie aus ihrer Verpackung genommen werden, zu konfigurieren und zu verwalten; (dieser Prozess wird als Auto Advance-Implementierung bezeichnet). Diese Geräte werden als betreute Geräte bezeichnet. In diesem Fall kann verhindert werden, dass das MDM-Profil vom Benutzer entfernt werden kann. Die automatische Geräteregistrierung ist für Geräte konzipiert, die Eigentum der jeweiligen Organisation sind.
Geräteregistrierung: Die Geräteregistrierung ermöglicht es Organisationen, die Geräte manuell durch die Benutzer registrieren zu lassen und danach verschiedene Aspekte der Gerätenutzung zu verwalten – auch die Möglichkeit, das Gerät zu löschen. Bei der Geräteregistrierung wird auch eine größere Anzahl an Payloads und Einschränkungen unterstützt, die auf das jeweilige Gerät angewendet werden können. Wenn ein Benutzer ein Registrierungsprofil entfernt, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden.
Benutzerregistrierung: Die Benutzerregistrierung ist für benutzereigene Geräte konzipiert und mit verwalteten Apple-IDs integriert, um eine Benutzeridentität auf dem Gerät zu etablieren. Die verwalteten Apple-IDs sind Bestandteil des Profils für die Benutzerregistrierung. Der Benutzer muss sich erfolgreich authentifizieren, damit die Registrierung zu Ende geführt wird. Verwaltete Apple-IDs können parallel zur privaten/persönlichen Apple-ID verwendet werden, mit der sich der Benutzer bereits angemeldet hat. Verwaltete Apps und Accounts verwenden eine verwaltete Apple-ID, wohingegen persönliche Apps und Accounts eine persönliche Apple-ID verwenden.
Geräteeinschränkungen
Einschränkungen können aktiviert – oder in einigen Fällen deaktiviert – werden, um zu verhindern, dass ein Benutzer auf einem iPhone-, iPad-, Mac- oder Apple TV-Gerät, das in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert ist, auf eine bestimmte App, einen bestimmten Dienst oder eine bestimmte Funktion zugreift. Die Einschränkungen werden in einer spezifischen Payload, die Bestandteil eines Konfigurationsprofils ist, an die Geräte gesendet. Bestimmte Einschränkungen auf einem iPhone können auf eine gekoppelte Apple Watch gespiegelt werden.
Verwalten der Code- und Passworteinstellungen
Der Gerätecode des Benutzers ist standardmäßig eine aus vier Ziffern bestehende PIN. Auf iOS- und iPadOS-Geräten mit Face ID oder Touch ID muss der Gerätecode mindestens sechs Ziffern umfassen. Es wird empfohlen, längere und komplexere Codes zu verwenden, da sie schwerer zu erraten oder anzugreifen sind.
Administratoren können komplexe Codes und andere Richtlinien mit Lösungen für die Mobilgeräteverwaltung oder per Exchange ActiveSync durchsetzen oder alternativ die Benutzer auffordern, dass sie die Konfigurationsprofile manuell installieren. Zum Installieren der Payload mit der Richtlinie für den macOS-Code ist ein Administratorpasswort erforderlich. Für Codes relevante Richtlinien geben möglicherweise vor, dass Codes eine bestimmte Mindestlänge, bestimmte Zeichenkombinationen oder bestimmte Attribute aufweisen müssen.