Sicherheit bei der Mobilgeräteverwaltung – Übersicht
Betriebssysteme von Apple unterstützen die Mobilgeräteverwaltung (Mobile Device Management, MDM), die es Organisationen ermöglicht, skalierte Implementierungen von Apple-Geräten sicher zu konfigurieren und zu verwalten.
Sichere Funktionsweise von MDM
MDM-Funktionen basieren auf vorhandenen Technologien des Betriebssystems (z. B. Konfigurationsprofile, drahtlose Registrierung und APNS (Apple Push Notification Service, dem Apple-Dienst für Push-Benachrichtigungen oder Push-Mitteilungen). APNS wird beispielsweise verwendet, um den Ruhezustand eines Geräts zu beenden, damit es über eine sichere Verbindung direkt mit der zugehörigen MDM-Lösung kommunizieren kann. Über APNS werden keine vertraulichen oder organisationseigenen Informationen übertragen.
MDM eröffnet IT-Abteilungen die Möglichkeit, Apple-Geräte sicher in einer Unternehmensumgebung zu registrieren, drahtlos Einstellungen zu konfigurieren und zu aktualisieren, die Einhaltung von Unternehmensrichtlinien zu überwachen, Richtlinien für Softwareaktualisierungen zu verwalten und verwaltete Geräte per Fernbefehl zu löschen oder zu sperren.
Zusätzlich dazu unterstützen Apple-Geräte mit iOS 13, iPadOS 13.1 und macOS 10.15 (oder neueren Versionen) einen neuen Registrierungstyp, der gezielt für BYOD-Szenarien („Bring Your Own Device”) konzipiert ist. Die Benutzerregistrierung bietet Benutzern und ihren Geräten mehr Autonomie und erhöht gleichzeitig die Sicherheit von Unternehmensdaten durch die kryptografisch basierte Trennung verwalteter Daten. Dies ermöglicht ein besseres Gleichgewicht zwischen Sicherheit, Datenschutz und Benutzererlebnis für BYOD-Szenarien. Ein ähnlicher Mechanismus für die Datentrennung wurde für accountgesteuerte Geräteregistrierungen in iOS 17, iPadOS 17 und macOS 14 (und neueren Versionen) hinzugefügt.
Registrierungstypen
Benutzerregistrierung: Die Benutzerregistrierung ist für benutzereigene Geräte konzipiert und mit verwalteten Apple-IDs integriert, um eine Benutzeridentität auf dem Gerät zu etablieren. Die verwalteten Apple-IDs sind Bestandteil des Profils für die Benutzerregistrierung. Der Benutzer muss sich erfolgreich authentifizieren, damit die Registrierung zu Ende geführt wird. Verwaltete Apple-IDs können parallel zur privaten/persönlichen Apple-ID verwendet werden, mit der sich der Benutzer bereits angemeldet hat. Verwaltete Apps und Accounts verwenden eine verwaltete Apple-ID, wohingegen persönliche Apps und Accounts eine persönliche Apple-ID verwenden.
Geräteregistrierung: Die Geräteregistrierung ermöglicht es Organisationen, die Geräte manuell durch die Benutzer registrieren zu lassen und danach verschiedene Aspekte der Gerätenutzung zu verwalten – auch die Möglichkeit, das Gerät zu löschen. Bei der Geräteregistrierung wird auch eine größere Anzahl an Payloads und Einschränkungen unterstützt, die auf das jeweilige Gerät angewendet werden können. Wenn ein Benutzer ein Registrierungsprofil entfernt, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden. Ähnlich wie die Benutzerregistrierung kann die Geräteregistrierung auch mit einer verwalteten Apple-ID integriert werden. Darüber hinaus bietet diese accountgesteuerte Geräteregistrierung die Möglichkeit, eine verwaltete Apple-ID zusätzlich zu einer persönlichen Apple-ID zu verwenden und Unternehmensdaten auf kryptografischer Basis zu trennen.
Automatische Geräteregistrierung: Die automatische Geräteregistrierung bietet Organisationen die Möglichkeit, Geräte ab dem Moment, in dem sie aus ihrer Verpackung genommen werden, zu konfigurieren und zu verwalten. Diese Geräte werden als betreute Geräte bezeichnet. In diesem Fall kann verhindert werden, dass das MDM-Profil vom Benutzer entfernt werden kann. Die automatische Geräteregistrierung ist für Geräte konzipiert, die Eigentum der jeweiligen Organisation sind.
Geräteeinschränkungen
Einschränkungen können aktiviert – oder in einigen Fällen deaktiviert – werden, um zu verhindern, dass ein Benutzer auf einem iPhone-, iPad-, Mac-, Apple TV oder Apple Watch-Gerät, das in einer Lösung für die Mobilgeräteverwaltung (MDM) registriert ist, auf eine bestimmte App, einen bestimmten Dienst oder eine bestimmte Funktion zugreift. Die Einschränkungen werden in einer spezifischen Payload, die Bestandteil eines Konfigurationsprofils ist, an die Geräte gesendet. Bestimmte Einschränkungen auf einem iPhone können auf eine gekoppelte Apple Watch gespiegelt werden.
Verwalten der Code- und Passworteinstellungen
Der Gerätecode des Benutzers auf iOS-, iPadOS- und watchOS-Geräten ist standardmäßig eine numerische PIN. Auf iPhone- und iPad-Geräten mit Face ID oder Touch ID hat der Gerätecode standardmäßig eine Länge von sechs Ziffern und muss mindestens vier Ziffern umfassen. Es wird empfohlen, längere und komplexere Codes zu verwenden, da sie schwerer zu erraten oder anzugreifen sind.
Administratoren können komplexe Codeanforderungen und andere Richtlinien per MDM oder in iOS und iPadOS per Microsoft Exchange durchsetzen. Zum Installieren der Payload mit der Richtlinie für den macOS-Code ist ein Administratorpasswort erforderlich. Für Codes relevante Richtlinien geben möglicherweise vor, dass Codes eine bestimmte Mindestlänge, bestimmte Zeichenkombinationen oder bestimmte Attribute aufweisen müssen.
Für die Apple Watch werden standardmäßig numerische Codes verwendet. Gibt eine auf ein Apple Watch-Gerät angewendete Coderichtlinie vor, dass nicht-numerische Zeichen verwendet werden müssen, muss das jeweils gekoppelte iPhone zum Entsperren des Geräts verwendet werden.