Mobiililaitteiden hallinnan suojauksen yleiskatsaus
Applen käyttöjärjestelmät tukevat mobiililaitteiden hallintaa (MDM), minkä ansiosta organisaatiot voivat turvallisesti määrittää ja hallita skaalattuja Apple-laitteiden käyttöönottoja.
Miten MDM toimii suojatusti
MDM-ominaisuudet rakentuvat olemassa oleville käyttöjärjestelmäteknologioille, joita ovat esimerkiksi asetusprofiilit, langaton rekisteröinti ja Applen push-ilmoituspalvelu (APNs). Esimerkiksi APNs:ää käytetään laitteen herättämiseksi, jotta se voi viestiä suoraan MDM-ratkaisun kanssa suojatulla yhteydellä. APNs:llä ei lähetetä luottamuksellisia tai omisteisia tietoja.
MDM:n avulla IT-osastot voivat rekisteröidä Applen laitteita yritysympäristössä, määrittää ja päivittää asetuksia langattomasti, valvoa yrityksen käytäntöjen noudattamista, hallita ohjelmistopäivityskäytäntöjä ja jopa tyhjentää tai lukita hallittuja laitteita etänä.
iOS:n, iPadOS:n, macOS:n ja tvOS:n tukemien perinteisten laiterekisteröintien lisäksi iOS 13:ssa ja uudemmissa, iPadOS 13.1:ssä ja uudemmissa ja macOS 10.15:ssä ja uudemmissa on uusi rekisteröintityyppi – käyttäjärekisteröinti. Käyttäjärekisteröinnit ovat erityisesti BYOD-käyttöönotoissa hyödynnettäviä MDM-rekisteröintejä, joissa laite on henkilökohtaisessa omistuksessa, mutta sitä käytetään hallitussa ympäristössä. Käyttäjärekisteröinnit sallivat MDM-ratkaisulle rajoitetummat oikeudet kuin valvomattomien laitteiden rekisteröinnit ja erottavat käyttäjän ja yrityksen tiedot kryptografisesti.
Rekisteröintityypit
Automatisoitu laiterekisteröinti: Automatisoidun laiterekisteröinnin avulla organisaatiot voivat määrittää ja hallita laitteita siitä hetkestä lähtien, kun ne otetaan pakkauksista (prosessissa jota kutsutaan käyttöönotoksi automaattisilla ennakkomäärityksillä). Näitä laitteita kutsutaan valvotuiksi, ja käyttäjää voidaan estää poistamasta MDM-profiilia niistä. Automatisoitu laiterekisteröinti on suunniteltu käyttäjän organisaation omistamia laitteita varten.
Laiterekisteröinti: Laiterekisteröintiä käytettäessä organisaatiot voivat antaa käyttäjien rekisteröidä laitteita käsin, ja sitten organisaatiot voivat hallita niiden käyttöä monella tapaa, mukaan lukien laitteen tyhjentäminen. Laiterekisteröinti myös tarjoaa käyttöön enemmän tietosisältöjä ja rajoituksia laitteelle. Kun käyttäjä poistaa rekisteröintiprofiilin, kaikki rekisteröintiprofiiliin perustuvat asetusprofiilit, niiden asetukset ja hallitut apit poistetaan sen mukana.
Käyttäjärekisteröinti: Käyttäjärekisteröinti on suunniteltu käyttäjän omistamia laitteita varten ja integroitu hallittujen Apple ID:n kanssa käyttäjän henkilöllisyyden määrittämiseksi. Hallitut Apple ID:t ovat osa käyttäjärekisteröintiprofiilia, ja rekisteröinti edellyttää käyttäjän todennusta. Hallittuja Apple ID:itä voidaan käyttää käyttäjän henkilökohtaisen, sisäänkirjautumiseen käyttämän Apple ID:n rinnalla. Hallitut apit ja tilit käyttävät hallittua Apple ID:tä, ja henkilökohtaiset apit ja tilit käyttävät henkilökohtaista Apple ID:tä.
Laiterajoitukset
Ylläpitäjät voivat ottaa käyttöön – ja joissakin tapauksissa poistaa käytöstä – rajoituksia, jotka auttavat estämään käyttäjiä käyttämästä tiettyä appia, palvelua tai toimintoa iPhonessa, iPadissa, Macissa tai Apple TV:ssä, joka on rekisteröity MDM-ratkaisuun. Rajoitukset lähetetään laitteeseen rajoitustietosisällössä, joka osa asetusprofiilia. Joitakin iPhonen rajoituksia voidaan peilata pariksi asetetussa Apple Watchissa.
Pääsykoodi- ja salasana-asetusten hallinta
Oletuksena käyttäjän pääsykoodi määritetään numeerisena PIN-koodina. iOS- ja iPadOS-laitteissa, joissa on Face ID tai Touch ID, pääsykoodin minimipituus on neljä numeroa. Pidempiä ja monimutkaisempia pääsykoodeja on vaikeampi arvata ja niihin on vaikeampi kohdistaa hyökkäys, ja siksi niitä suositellaankin.
Ylläpitäjät voivat pakottaa monimutkaisempien pääsykoodien vaatimuksia ja muita käytäntöjä MDM:n tai Microsoft Exchange ActiveSyncin avulla tai edellyttämällä, että käyttäjät asentavat asetusprofiileja käsin. Ylläpitäjän salasana vaaditaan, jotta macOS-pääsykoodikäytäntöjen tietosisältö voidaan asentaa. Jotkin pääsykoodikäytännöt voivat vaatia pääsykoodilta tiettyä pituutta, rakennetta tai muita ominaisuuksia.