Tinjauan keamanan mobile device management
Sistem operasi Apple mendukung mobile device management (MDM), yang memungkinkan organisasi untuk mengonfigurasi dan mengelola penyebaran perangkat Apple terskala dengan aman.
Cara MDM bekerja dengan aman
Kemampuan MDM dibangun berdasarkan teknologi sistem operasi, seperti konfigurasi, pendaftaran nirkabel, dan layanan Pemberitahuan Push Apple (APN). Misalnya, APN digunakan untuk membangunkan perangkat dan memicunya untuk berkomunikasi langsung dengan solusi MDM melalui koneksi aman. Tidak ada informasi rahasia atau khusus yang dikirimkan melalui APN.
Dengan MDM, departemen TI dapat mendaftarkan perangkat Apple di lingkungan perusahaan atau pendidikan, mengonfigurasi dan memperbarui pengaturan secara nirkabel, mengawasi kepatuhan, mengelola pembaruan perangkat lunak, dan bahkan menghapus atau mengunci perangkat yang dikelola dari jauh.
Di iOS 13, iPadOS 13.1, dan macOS 10.15, atau lebih baru, perangkat Apple mendukung pilihan pendaftaran baru yang secara khusus didesain untuk program BYOD (bawa perangkat Anda sendiri). Pendaftaran Pengguna menyediakan otonomi yang lebih besar untuk pengguna di perangkat mereka sendiri, sekaligus meningkatkan keamanan data perusahaan dengan memisahkan data yang dikelola secara kriptografis. Ini menyediakan keseimbangan yang lebih baik antara keamanan, privasi, dan pengalaman pengguna untuk program BYOD. Mekanisme pemisahan data serupa telah ditambahkan untuk Pendaftaran Perangkat menggunakan akun di iOS 17, iPadOS 17, dan macOS 14, atau lebih baru.
Jenis pendaftaran
Pendaftaran Pengguna: Pendaftaran Pengguna dirancang untuk perangkat yang dimiliki oleh pengguna dan terintegrasi dengan ID Apple yang Dikelola untuk membuat identitas pengguna di perangkat. ID Apple yang Dikelola diperlukan untuk memulai pendaftaran, dan pengguna harus berhasil mengesahkan agar pendaftaran berhasil. ID Apple yang Dikelola dapat digunakan bersama ID Apple pribadi yang telah digunakan pengguna untuk masuk. App serta akun terkelola menggunakan ID Apple yang Dikelola, dan app serta akun pribadi menggunakan ID Apple.
Pendaftaran Perangkat: Pendaftaran Perangkat memungkinkan organisasi untuk memungkinkan pengguna secara manual mendaftarkan perangkat, lalu mengelola berbagai aspek penggunaan perangkat, termasuk kemampuan untuk menghapus perangkat. Pendaftaran Perangkat juga memiliki kumpulan konfigurasi dan pembatasan yang lebih besar yang dapat diterapkan ke perangkat. Saat pengguna menghapus profil pendaftaran, semua konfigurasi, pengaturan, dan app terkelola berdasarkan profil pendaftaran tersebut akan dihapus. Serupa dengan Pendaftaran Pengguna, Pendaftaran Perangkat juga dapat diintegrasikan dengan ID Apple yang Dikelola. Pendaftaran Perangkat menggunakan akun juga menyediakan kemampuan untuk menggunakan ID Apple yang Dikelola bersamaan dengan ID Apple pribadi dan memisahkan data perusahaan secara kriptografis.
Pendaftaran Perangkat Otomatis: Pendaftaran Perangkat Otomatis memungkinkan organisasi untuk mengonfigurasi dan mengelola perangkat sejak perangkat digunakan. Perangkat ini dikenal sebagai yang diawasi, dan pengguna memiliki pilihan untuk mencegah profil MDM agar tidak dihapus oleh pengguna. Pendaftaran Perangkat Otomatis dirancang untuk perangkat yang dimiliki oleh organisasi.
Pembatasan perangkat
Pembatasan dapat diaktifkan—atau dalam beberapa kasus dinonaktifkan—oleh administrator untuk membantu mencegah pengguna mengakses app, layanan, atau fungsi iPhone, iPad, Mac, Apple TV, atau Apple Watch yang terdaftar di solusi MDM. Pembatasan dikirimkan ke perangkat dalam muatan pembatasan, yang merupakan bagian dari konfigurasi. Pembatasan tertentu di iPhone dapat dicerminkan di Apple Watch yang dipasangkan.
Manajemen pengaturan kode sandi dan kata sandi
Secara default, kode sandi pengguna dapat didefinisikan sebagai PIN numerik di iOS, iPadOS, dan watchOS. Di perangkat iPhone dan iPad dengan Face ID atau Touch ID, panjang kode sandi default adalah enam digit, dengan minimum empat digit. Apple menyarankan kode sandi yang lebih panjang dan rumit karena lebih sulit ditebak atau diserang.
Administrator dapat memberlakukan persyaratan kode sandi kompleks dan kebijakan lainnya menggunakan MDM atau di iOS dan iPadOS, Microsoft Exchange. Kata sandi administrator diperlukan saat muatan kebijakan kode sandi macOS diinstal secara manual. Kebijakan kode sandi dapat memerlukan panjang kode sandi tertentu, komposisi, atau atribut lainnya.
Apple Watch menggunakan kode sandi numerik secara default. Jika kebijakan kode sandi yang diterapkan ke Apple Watch terkelola mengharuskan penggunaan karakter nonnumerik, iPhone yang dipasangkan perlu digunakan untuk membuka perangkat.