Apple 플랫폼 배포
- 환영합니다
- Apple 플랫폼 배포 개요
- 새로운 기능
-
-
- 손쉬운 사용 페이로드 설정
- Active Directory 인증서 페이로드 설정
- AirPlay 페이로드 설정
- AirPlay 보안 페이로드 설정
- AirPrint 페이로드 설정
- 앱 잠금 페이로드 설정
- 연결된 도메인 페이로드 설정
- 자동 인증서 관리 환경(ACME) 페이로드 설정
- 자율적인 단일 앱 모드 페이로드 설정
- 캘린더 페이로드 설정
- 셀룰러 페이로드 설정
- 셀룰러 개인 네트워크 페이로드 설정
- 인증서 환경설정 페이로드 설정
- 인증서 해지 페이로드 설정
- 인증서 투명성 페이로드 설정
- 인증서 페이로드 설정
- 회의실 디스플레이 페이로드 설정
- 연락처 페이로드 설정
- 콘텐츠 캐싱 페이로드 설정
- 디렉토리 서비스 페이로드 설정
- DNS 프록시 페이로드 설정
- DNS 설정 페이로드 설정
- Dock 페이로드 설정
- 도메인 페이로드 설정
- 에너지 절약 페이로드 설정
- Exchange ActiveSync(EAS) 페이로드 설정
- Exchange Web Services(EWS) 페이로드 설정
- 확장 가능한 단일 로그인 페이로드 설정
- 확장 가능한 단일 로그인 Kerberos 페이로드 설정
- 확장 프로그램 페이로드 설정
- FileVault 페이로드 설정
- Finder 페이로드 설정
- 방화벽 페이로드 설정
- 서체 페이로드 설정
- 전역 HTTP 프록시 페이로드 설정
- Google 계정 페이로드 설정
- 홈 화면 레이아웃 페이로드 설정
- ID 페이로드 설정
- 신원 환경설정 페이로드 설정
- 커널 확장 파일 정책 페이로드 설정
- LDAP 페이로드 설정
- 대역 외 연결 관리(LOM) 페이로드 설정
- 잠금 화면 메시지 페이로드 설정
- 로그인 윈도우 페이로드 설정
- 관리형 로그인 항목 페이로드 설정
- Mail 페이로드 설정
- 네트워크 사용 규칙 페이로드 설정
- 알림 페이로드 설정
- 유해 콘텐츠 차단 페이로드 설정
- 암호 페이로드 설정
- 프린트 페이로드 설정
- 개인정보 보호 환경설정 정책 제어 페이로드 설정
- 릴레이 페이로드 설정
- SCEP 페이로드 설정
- 보안 페이로드 설정
- 설정 지원 페이로드 설정
- 단일 로그인 페이로드 설정
- 스마트 카드 페이로드 설정
- 구독 캘린더 페이로드 설정
- 시스템 확장 프로그램 페이로드 설정
- 시스템 마이그레이션 페이로드 설정
- Time Machine 페이로드 설정
- TV 리모컨 페이로드 설정
- Web Clip 페이로드 설정
- 웹 콘텐츠 필터 페이로드 설정
- Xsan 페이로드 설정
- 용어집
- 문서 수정 내역
- 저작권
Apple 기기용 관리형 기기 증명
관리형 기기 증명은 iOS 16, iPadOS 16.1, macOS 14 및 tvOS 16 이상의 기능으로 신뢰 평가에서 사용할 수 있는 기기의 속성에 대해 강력한 증빙 자료를 제공합니다. 이 기기 속성의 암호화된 선언은 Secure Enclave 및 Apple 증명 서버의 보안에 기반합니다.
관리형 기기 증명은 다음 위협으로부터 보호합니다.
속성을 속이는 보안이 침해된 기기
최신이 아닌 증명을 제공하는 보안이 침해된 기기
다른 기기의 식별자를 전송하는 보안이 침해된 기기
비인가 기기에서 사용하기 위한 개인 키 추출
CA를 속여서 인증서를 발급하려고 인증 요청을 가로채는 해커
자세한 정보는 WWDC23 비디오 Apple 기기 관리에 대한 새로운 기능(영문)을 참조하십시오.
ACME 인증서 등록 요청을 통한 관리형 기기 증명
조직의 인증 기관(CA) ACME 서비스 발급은 등록된 기기 속성의 증명을 요청할 수 있습니다. 이 증명은 이 기기의 속성(예: 일련 번호)이 증명되어 합법적이며 도용되지 않았다는 사실에 대한 강력한 보증을 제공합니다. CA의 ACME 서비스 발급은 암호화된 방식으로 증명된 기기 속성의 무결성을 확인하고 조직의 기기 목록에 대조해 볼 수 있으며 인증된 기기는 조직의 기기임을 확인할 수 있습니다.
증명을 사용하면, 기기의 Secure Enclave 내부에서 하드웨어 바운드 개인 키가 인증서 서명 요청의 일부로 생성됩니다. 그러면 이 요청에 대해 ACME 발급 인증 기관은 클라이언트 인증서를 발급합니다. 이 키는 Secure Enclave에 종속되기 때문에 특정 기기에만 사용할 수 있습니다. iPhone, iPad, Apple TV 및 Apple Watch에서 인증서 신원의 사양을 지원하는 구성과 함께 사용할 수 있습니다. Mac에서는 하드웨어 바운드 키가 MDM, Microsoft Exchange, Kerberos, 802.1X 네트워크, 내장 VPN 클라이언트 및 내장 네트워크 릴레이 인증에 사용될 수 있습니다.
참고: 유출된 Application Processor의 경우에도 Secure Enclave는 키 추출에 대한 강력한 보안을 제공합니다.
이러한 하드웨어 바운드 키는 기기를 지우거나 복원할 때 자동으로 제거됩니다. 키가 제거되기 때문에 이러한 키에 의존하는 모든 구성 프로파일은 복원 후에 작동하지 않습니다. 키를 재생성하려면 프로파일을 다시 적용해야 합니다.
ACME 페이로드 증명을 사용하면 MDM은 다음을 암호화 방법으로 확인하는 ACME 프로토콜을 사용하여 클라이언트 인증서 신원을 등록할 수 있습니다.
정품 Apple 기기임
특정 기기임
기기가 조직의 MDM 서버에 의해 관리됨
특정 속성(예: 일련 번호)이 있음
개인 키는 기기에 하드웨어 바운드되어 있음
MDM 요청을 통한 관리형 기기 증명
ACME 인증서 등록 요청 동안 관리형 기기 증명을 사용할 뿐만 아니라 MDM 솔루션은 DevicePropertiesAttestation
속성을 요청하는 DeviceInformation
쿼리를 발급할 수 있습니다. MDM 솔루션이 새로운 증명을 보장하려면 새로운 증명을 강제하는 DeviceAttestationNonce
키를 보낼 수 있습니다. 해당 키가 생략되는 경우 기기는 캐시된 증명을 반환합니다. 그 다음 기기 증명 응답은 맞춤형 OID에 속성이 있는 리프 인증서를 반환합니다. 처음 두 개의 속성은 일련 번호와 UDID(사용자 등록 사용시 둘 다 생략됨)입니다. 남은 값은 익명의 형태이며 sepOS 버전 및 시간 재실행 방지 값(선택적)과 같은 속성을 포함합니다.
그 다음 MDM 솔루션은 인증서 체인이 예상된 Apple 인증 기관(Apple Private PKI Repository에서 이용 가능함)에 루팅되어 있는지 평가하여 응답의 유효성을 확인할 수 있습니다. 또한 요청 시, DeviceInformation
쿼리에서 제공된 재실행 방지 값의 값을 확인합니다.
재실행 방지 값을 정의하면 기기 및 Apple 서버의 리소스를 소비하는 새로운 증명이 생성되기 때문에 현재 사용량은 7일마다 기기당 한 개의 증명으로 제한됩니다. 기기의 속성이 변경되지 않는 이상(예: 운영 체제 버전의 업데이트 또는 업그레이드) 새로운 증명 요청은 필수가 아닙니다.