Tinjauan keamanan mobile device management
Sistem operasi Apple mendukung mobile device management (MDM), yang memungkinkan organisasi untuk mengonfigurasi dan mengelola penyebaran perangkat Apple terskala dengan aman.
Cara MDM bekerja dengan aman
Kemampuan MDM dibangun berdasarkan teknologi sistem operasi yang ada, seperti profil konfigurasi, pendaftaran nirkabel, dan layanan Pemberitahuan Push Apple (APN). Misalnya, APN digunakan untuk membangunkan perangkat sehingga dapat berkomunikasi langsung dengan solusi MDM melalui koneksi aman. Dengan APN, tidak ada informasi rahasia atau khusus yang dikirimkan.
Dengan MDM, departemen TI dapat mendaftarkan perangkat Apple di lingkungan perusahaan, mengonfigurasi dan memperbarui pengaturan secara nirkabel, mengawasi kepatuhan terhadap kebijakan perusahaan, mengelola kebijakan pembaruan perangkat lunak, dan bahkan menghapus atau mengunci perangkat yang dikelola dari jauh.
Selain pendaftaran perangkat tradisional yang didukung oleh iOS, iPadOS, macOS, dan tvOS, jenis pendaftaran telah ditambahkan di iOS 13 atau lebih baru, iPadOS 13.1 atau lebih baru, dan macOS 10.15 atau lebih baru—Pendaftaran Pengguna. Pendaftaran pengguna adalah pendaftaran MDM yang secara khusus menargetkan penyebaran “bawa perangkat sendiri” (BYOD) tempat perangkat dimiliki secara pribadi tapi digunakan dalam lingkungan terkelola. Pendaftaran pengguna memberi solusi MDM hak yang lebih terbatas dari pendaftaran perangkat yang tidak diawasi, dan menyediakan pemisahan kriptografis antara data pengguna dan perusahaan.
Jenis pendaftaran
Pendaftaran Perangkat Otomatis: Pendaftaran Perangkat Otomatis memungkinkan organisasi untuk mengonfigurasi dan mengelola perangkat sejak perangkat digunakan (dalam proses yang dikenal sebagai penyebaran Maju Otomatis). Perangkat ini dikenal sebagai yang diawasi, dan pengguna memiliki pilihan untuk mencegah profil MDM agar tidak dihapus oleh pengguna. Pendaftaran Perangkat Otomatis dirancang untuk perangkat yang dimiliki oleh organisasi.
Pendaftaran Perangkat: Pendaftaran Perangkat memungkinkan organisasi untuk memungkinkan pengguna secara manual mendaftarkan perangkat, lalu mengelola berbagai aspek penggunaan perangkat, termasuk kemampuan untuk menghapus perangkat. Pendaftaran Perangkat juga memiliki kumpulan muatan dan pembatasan yang lebih besar yang dapat diterapkan ke perangkat. Saat pengguna menghapus profil pendaftaran, semua profil konfigurasi, pengaturannya, dan app terkelola berdasarkan profil pendaftaran tersebut juga akan dihapus.
Pendaftaran Pengguna: Pendaftaran Pengguna dirancang untuk perangkat yang dimiliki oleh pengguna dan terintegrasi dengan ID Apple yang Dikelola untuk membuat identitas pengguna di perangkat. ID Apple yang Dikelola adalah bagian dari profil Pendaftaran Pengguna, dan pengguna harus berhasil disahkan agar pendaftaran dapat diselesaikan. ID Apple yang Dikelola dapat digunakan bersama ID Apple pribadi yang telah digunakan pengguna untuk masuk. App serta akun terkelola menggunakan ID Apple yang Dikelola, dan app serta akun pribadi menggunakan ID Apple.
Pembatasan perangkat
Pembatasan dapat diaktifkan—atau dalam beberapa kasus dinonaktifkan—oleh administrator untuk membantu mencegah pengguna mengakses app, layanan, atau fungsi iPhone, iPad, Mac, atau Apple TV yang terdaftar di solusi MDM. Pembatasan dikirimkan ke perangkat dalam muatan pembatasan, yang merupakan bagian dari profil konfigurasi. Pembatasan tertentu di iPhone dapat dicerminkan di Apple Watch yang dipasangkan.
Manajemen pengaturan kode sandi dan kata sandi
Secara default, kode sandi pengguna dapat didefinisikan sebagai PIN numerik. Di perangkat iOS dan iPadOS dengan Face ID atau Touch ID, panjang kode sandi minimum adalah empat digit. Apple menyarankan kode sandi yang lebih panjang dan rumit karena lebih sulit ditebak atau diserang.
Administrator dapat menerapkan persyaratan kode sandi yang rumit dan kebijakan lain menggunakan MDM atau Microsoft Exchange ActiveSync, atau dengan mengharuskan pengguna untuk menginstal profil konfigurasi secara manual. Kata sandi administrator diperlukan untuk penginstalan muatan kebijakan kode sandi macOS. Beberapa kebijakan kode sandi dapat memerlukan panjang kode sandi tertentu, komposisi, atau atribut lainnya.