Panoramica sulla sicurezza della gestione dei dispositivi mobili
I sistemi operativi Apple supportano la gestione dei dispositivi mobili (MDM), che consente alle organizzazioni di configurare e gestire in modo sicuro i dispositivi Apple distribuiti.
Funzionamento sicuro della gestione dei dispositivi mobili
Le funzionalità MDM sono integrate nelle tecnologie esistenti nel sistema operativo, come i profili di configurazione, la registrazione in modalità wireless e il servizio di notifiche push di Apple (APN). Ad esempio, il servizio APN è utilizzato per attivare il dispositivo e consentire così la comunicazione diretta con la soluzione MDM tramite una connessione protetta. Tramite APN non vengono trasmesse informazioni confidenziali o proprietarie.
Utilizzando MDM, i reparti IT possono registrare i dispositivi Apple in un ambiente aziendale, configurare e aggiornare le impostazioni in modalità wireless, monitorare la conformità con le politiche aziendali, gestire le politiche di aggiornamento del software e perfino cancellare o bloccare a distanza i dispositivi gestiti.
Oltre alle tradizionali registrazioni dei dispositivi supportate da iOS, iPadOS, macOS e tvOS, in iOS 13 o versioni successive, iPadOS 13.1 o versioni successive e macOS 10.15 o versioni successive è stata aggiunta la registrazione utente. Le registrazioni utente sono delle registrazioni MDM destinate in modo specifico ai deployment BYOD, in cui il dispositivo è di proprietà dell'utente ma utilizzato in un ambiente gestito. Le registrazioni utente assicurano alla soluzione MDM privilegi più limitati rispetto alle registrazioni di dispositivi non supervisionati e forniscono la separazione crittografica dei dati dell'utente da quelli aziendali.
Tipi di registrazione
Registrazione automatizzata dispositivo: consente alle organizzazioni di configurare e gestire i dispositivi dal momento in cui vengono utilizzati per la prima volta, senza intervento dell'utente (in una procedura conosciuta come distribuzione con avanzamento automatico). Tali dispositivi vengono detti supervisionati ed è possibile impedire la rimozione da parte dell'utente del profilo MDM. La registrazione automatizzata dei dispositivi è pensata per i dispositivi di proprietà delle organizzazioni.
Registrazione dispositivo: consente alle organizzazioni di far registrare manualmente i dispositivi agli utenti e quindi di gestire molti diversi aspetti legati all'uso degli stessi, tra cui la possibilità di inizializzarli. La registrazione dei dispositivi ha inoltre un più ampio insieme di payload e restrizioni applicabili ai dispositivi. Quando un utente rimuove un profilo di registrazione, vengono rimossi anche tutti i profili di configurazione, le relative impostazioni e le app gestite basate su di esso.
Registrazione utente: è progettata per i dispositivi di proprietà dell'utente, è integrata negli ID Apple gestiti e serve a stabilire l'identità di un utente sul dispositivo. Gli ID Apple gestiti fanno parte del profilo di registrazione utente e l'utente deve eseguire l'autenticazione correttamente per potere completare la registrazione. Gli ID Apple gestiti possono essere utilizzati insieme a un ID Apple personale con cui l'utente ha già effettuato l'accesso. Le app e gli account gestiti utilizzano un ID Apple gestito, mentre le app e gli account personali utilizzano un ID Apple personale.
Restrizioni dei dispositivi
Le restrizioni possono essere abilitate, e in alcuni casi disabilitate, dagli amministratori per aiutare a impedire che gli utenti accedano ad app, servizi o funzionalità specifiche su dispositivi iPhone, iPad, Mac o Apple TV registrati in una soluzione MDM. Le restrizioni vengono inviate ai dispositivi in un apposito payload, incluso in un profilo di configurazione. Alcune restrizioni applicate a un iPhone potrebbero essere applicate anche sull'Apple Watch abbinato.
Gestione delle impostazioni di password e codici
Di default, il codice si può definire come un PIN numerico. Sui dispositivi iOS e iPadOS con Face ID o Touch ID, la lunghezza minima del codice è di quattro cifre. I codici più lunghi e complessi sono più difficili da indovinare o da attaccare, quindi sono consigliati.
Gli amministratori possono imporre l'uso di codici complessi e altre politiche utilizzando soluzioni MDM o Microsoft Exchange ActiveSync, oppure chiedendo agli utenti di installare manualmente dei profili di configurazione. Per l'installazione del payload sulle politiche dei codici di macOS è necessaria una password da amministratore. Alcune politiche dei codici possono richiedere che il codice abbia una certa lunghezza, una certa composizione o altri attributi.