MDM(Mobile Device Management) 보안 개요
Apple 운영 체제는 조직에서 배포된 일정 규모의 Apple 기기를 안전하게 구성 및 관리할 수 있도록 해주는 MDM(Mobile Device Management)을 지원합니다.
MDM이 안전하게 작동하는 방법
MDM 기능은 구성 프로파일, 무선 등록 및 Apple 푸시 알림 서비스(APNS) 같은 기존 운영 체제 기술을 기반으로 합니다. 예를 들어, APNS는 보안 연결을 통해 직접 MDM 솔루션과 통신할 수 있도록 기기를 깨우는 데 사용됩니다. APNS는 기밀 또는 소유권 정보를 전송하지 않습니다.
MDM을 사용하여 IT 부서는 기업 환경에 Apple 기기를 등록하고, 무선으로 설정을 구성 및 업데이트하고, 기업 정책과 소프트웨어 업데이트 관리 정책 준수 여부를 감독하며, 관리형 기기를 원격으로 삭제하거나 잠글 수도 있습니다.
iOS, iPadOS, macOS 및 tvOS에서 지원하는 기존 기기 등록 외에도 iOS 13 이상, iPadOS 13.1 이상 및 macOS 10.15 이상에 사용자 등록이라는 새로운 등록 방식을 도입했습니다. 사용자 등록은 기기가 개인 소유지만 관리되는 환경에서 사용되는 경우인 BYOD(개인 기기 사용) 배포를 대상으로 하는 MDM 등록입니다. 사용자 등록은 관리되지 않는 기기 등록보다 더 제한된 권한을 MDM 솔루션에 부여하고 사용자 및 기업 데이터에 개별 암호화를 제공합니다.
등록 유형
자동 기기 등록: 자동 기기 등록을 사용하면 조직은 기기를 상자에서 꺼내는 순간부터 기기를 구성하고 관리할 수 있습니다(자동 진행 배포라고 함). 이러한 기기를 감독 중인 기기라고 하며 사용자가 MDM 프로파일을 제거하지 못하도록 하는 옵션을 선택할 수 있습니다. 자동 기기 등록은 조직 소유의 기기용으로 설계되었습니다.
기기 등록: 기기 등록을 사용하면 조직은 사용자가 수동으로 기기를 등록하도록 한 다음, 기기 지우기 등 다양한 측면에서 기기 사용을 관리할 수 있습니다. 또한 기기 등록에는 기기에 적용 가능한 더 큰 페이로드 세트 및 제한이 있습니다. 사용자가 등록 프로파일을 제거하면 해당 등록 프로파일을 기반으로 하는 모든 구성 프로파일, 설정 및 관리형 앱이 함께 제거됩니다.
사용자 등록: 사용자 등록은 사용자 소유의 기기용으로 설계되었으며 관리형 Apple ID와 통합되어 기기에 사용자 ID를 설정합니다. 관리형 Apple ID는 사용자 등록 프로파일의 일부이며 사용자가 인증에 성공해야 등록이 완료됩니다. 관리형 Apple ID는 사용자가 이미 로그인한 개인 Apple ID와 함께 사용할 수 있습니다. 관리형 앱 및 계정은 관리형 Apple ID를 사용하고 개인 앱 및 계정은 개인 Apple ID를 사용합니다.
기기 제한사항
관리자가 제한사항을 활성화하여(일부 경우에는 비활성화) 사용자가 MDM 솔루션에 등록된 iPhone, iPad, Mac 또는 Apple TV의 특정 앱, 서비스 또는 기능을 이용하지 못하도록 제한할 수 있습니다. 제한사항은 구성 프로파일의 일부인 제한사항 페이로드에 있는 기기로 전송됩니다. iPhone에서 특정 제한사항은 페어링된 Apple Watch에도 반영됩니다.
암호 설정 관리
기본적으로 사용자의 암호는 숫자 PIN으로 설정됩니다. Face ID 또는 Touch ID를 지원하는 iOS 및 iPadOS 기기의 암호 길이는 최소 4자리입니다. 길고 복잡한 암호는 추측하거나 해킹하기 어렵기 때문에 이를 사용할 것을 권장합니다.
관리자는 MDM 또는 Microsoft Exchange ActiveSync를 사용하거나 사용자에게 수동으로 구성 프로파일을 설치하도록 요청하여 복잡한 암호 요구 사항 및 기타 정책을 시행할 수 있습니다. macOS 암호 정책 페이로드 설치에 관리자 암호가 필요합니다. 일부 암호 정책의 경우 특정한 길이의 암호나 특정 조합 또는 속성에 부합하는 암호를 요구합니다.