Lisälaitteiden käyttöoikeuksien hallinta Apple-laitteille
Mac-tietokoneiden hallinta
Lisälaitteiden suojaus (tunnetaan nimellä rajoitettu tila) macOS:lle on suunniteltu suojaamaan asiakkaita fyysisesti lähietäisyydeltä tapahtuvilta hyökkäyksiltä, joissa käytetään kaapelilla liitettäviä lisälaitteita. Kannettavissa Mac-tietokoneissa, joissa on Applen siru ja macOS 13 tai uudempi, on oletuksena, että käyttäjää pyydetään sallimaan uudet lisälaitteet. Käyttäjällä on Järjestelmäasetuksissa neljä vaihtoehtoa lisälaitteiden yhdistämisen sallimiseen:
Kysy joka kerta
Kysy uusille lisälaitteille
Automaattisesti, kun ei ole lukittu
Aina
Jos käyttäjä liittää tuntemattoman lisälaitteen (Thunderbolt- tai USB-laitteen tai – macOS 13.3:ssa tai uudemmassa – SDXC-kortteja) lukittuun Maciin, häntä kehotetaan avaamaan Macin lukitus. Hyväksyttyjä lisälaitteita voidaan yhdistää lukittuun Maciin enintään 3 päivän ajan siitä, kun Macin lukitus on viimeksi avattu. 3 päivän jälkeen minkä tahansa lisälaitteen liittäminen aiheuttaa käyttäjälle näytettävän kehotuksen ”Avaa lisälaitteiden käyttöä varten”.
Joissakin ympäristöissä voi olla tarpeen ohittaa käyttäjän valtuutus. MDM-ratkaisut voivat kontrolloida tätä toimintatapaa käyttämällä olemassa olevaa allowUSBRestrictedMode-rajoitusta sallimaan aina lisälaitteet.
Huomaa: Nämä yhteydet eivät koske virtalähteitä, muita kuin Thunderbolt-näyttöjä, hyväksyttyjä keskittimiä, älykortteja, joista on muodostettu pari tai Macia, jossa on käynnissä käyttöönottoapuri tai joka käynnistettiin recoveryOS:stä.
iPhone- ja iPad-laitteiden hallinta
Turvallisuuden ja käytännöllisyyden kannalta on tärkeää hallita, minkä palvelimien kanssa iPhone ja iPad voivat muodostaa parin. Esimerkiksi mahdollisuus liittyä turvallisesti itsepalveluasemiin ohjelmiston päivitystä tai Macin internet-yhteyden jakamista varten edellyttää luottamussuhdetta iPhonen tai iPadin ja palvelimen välillä.
Yleensä käyttäjä suorittaa laitteiden parinmuodostuksen, kun hän liittää laitteensa palvelimeen USB-kaapelilla (tai Thunderbolt-kaapelilla, jos iPad-malli tukee sitä). Käyttäjän laitteessa näkyy kehote, jossa kysytään, haluaako käyttäjä muodostaa luottamussuhteen palvelimen kanssa.
Sitten käyttäjää pyydetään vahvistamaan päätöksensä syöttämällä pääsykoodin. Jatkossa palvelimeen luotetaan automaattisesti kaikissa muissa liitännöissä. Käyttäjät voivat poistaa parinmuodostuksen luottamussuhteet valitsemalla Asetukset > Yleiset > Nollaa > Nollaa sijainti ja tietosuoja tai tyhjentämällä laitteen. Lisäksi nämä luottamustiedot poistetaan, jos ne ovat käyttämättä 30 päivää.
Palvelimen pariksi liittämisen MDM-hallinta
Ylläpitäjä voi hallita valvottujen Apple-laitteiden mahdollisuutta luottaa palvelimiin manuaalisesti rajoituksella Allow pairing with non-Apple Configurator hosts. Ottamalla palvelimen pariksi liittämisen mahdollisuuden pois käytöstä (ja jakamalla oikeat valvontaidentiteetit laitteisiin) ylläpitäjä varmistaa, että vain luotetut tietokoneet, joilla on voimassa oleva valvontapalvelimen varmenne, pääsevät kyseisiin iPhone- ja iPad-laitteisiin USB:n kautta (tai Thunderboltin kautta, jos iPad-malli tukee sitä). Jos palvelimelle ei ole määritetty valvontapalvelimen varmennetta, parinmuodostus otetaan kokonaan pois käytöstä.
Huomaa: Applen laiterekisteröintiasetus allow_pairing poistui iOS 13:n ja iPadOS 13.1:n myötä. Sen sijaan ylläpitäjien tulisi jatkossa käyttää yllä olevia ohjeita, sillä tämä tapa tarjoaa enemmän joustavuutta mahdollistamalla edelleen pariksi liittämisen. Se myös tekee mahdolliseksi palvelinpariasetusten muuttamisen ilman, että iPhone tai iPad täytyy tyhjentää.
Palautustyönkulkujen suojaaminen ilman parinmuodostusta
iOS 14.5:ssä ja iPadOS 14.5:ssä tai uudemmassa muu kuin pariksi asetettu palvelin ei voi uudelleenkäynnistää laitetta recoveryOS:ään (tunnetaan myös nimellä palautustila) ja palauttaa sitä ilman paikalla tapahtuvaa fyysistä vuorovaikutusta. Ennen tätä muutosta valtuuttamaton käyttäjä pystyi tyhjentämään ja palauttamaan käyttäjän laitteen ilman suoraa vuorovaikutusta iPhonen tai iPadin kanssa. Tähän tarvittiin pelkästään USB-liitäntä (tai Thunderbolt-liitäntä, jos iPad-malli tukee sitä)(esimerkiksi latauksen yhteydessä) kohdelaitteen ja palvelimen välillä.
Ulkoisen käynnistyksen rajoittaminen iPhonen tai iPadin palauttamiseksi
Oletusarvoisesti iOS 14.5 ja iPadOS 14.5 tai uudemmat rajoittavat tämän palautusmahdollisuuden entuudestaan luotettuihin isäntätietokoneisiin. Ylläpitäjät, jotka haluavat luopua tästä turvallisemmasta toiminnasta, voivat ottaa Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host -rajoituksen käyttöön.
Ethernet-sovittimien käyttö iPhonen tai iPadin kanssa
iPhone tai iPad, jossa on yhteensopiva Ethernet-sovitin, säilyttää aktiivisen yhteyden yhdistettyyn verkkoon myös ennen kuin laitteen lukitus on alun perin avattu, jos laitteen rajoitus on laitettu pois päältä. Lähestymistapa on kätevä, kun laitteen täytyy vastaanottaa MDM-komento silloin, kun Wi-Fi- ja mobiiliverkot eivät ole saatavilla eikä laitteen lukitusta ole avattu sen jälkeen, kun se on käynnistetty sammutuksen jälkeen tai uudelleenkäynnistetty – esimerkiksi kun käyttäjä on unohtanut pääsykoodinsa ja MDM yrittää tyhjentää sen.
iPhonen tai iPadin rajoitetun tilan asetusta voivat hallita seuraavat:
MDM-ylläpitäjä USB:n rajoitetun tilan rajoituksella. Tämä edellyttää, että laite on valvottu.
Käyttäjä kohdassa Asetukset > Touch/Face ID ja pääsykoodi > Lisälaitteet.