Toegang tot accessoires op Apple apparaten beheren
Mac-computers beheren
Accessoirebeveiliging (de zogenaamde beperkte modus) voor macOS is bedoeld om klanten te beschermen tegen fysieke cyberaanvallen met bedrade accessoires. Bij Mac-laptops met Apple silicon en macOS 13 of nieuwer is de standaardconfiguratie dat de gebruiker toestemming moet geven voor nieuwe accessoires. De gebruiker kan in Systeeminstellingen kiezen uit vier opties om accessoires toestemming te geven:
Vraag elke keer
Vraag voor nieuwe accessoires
Automatisch indien ontgrendeld
Altijd
Als gebruikers een onbekend accessoire (een Thunderbolt- of USB-accessoire of een SDXC-kaart in macOS 13.3 of nieuwer) aan een vergrendelde Mac koppelen, krijgen ze de vraag om de Mac te ontgrendelen. Goedgekeurde accessoires kunnen worden aangesloten op een vergrendelde Mac tot drie dagen nadat de Mac voor het laatst was vergrendeld. Voor een accessoire dat na drie dagen wordt aangesloten, moet de gebruiker toestemming geven.
In bepaalde omgevingen kan het nodig zijn om gebruikersautorisatie te negeren. MDM-oplossingen kunnen dit gedrag beheren via de bestaande beperking allowUSBRestrictedMode om accessoires altijd toe te staan.
Opmerking: Dit geldt niet voor lichtnetadapters, niet-Thunderbolt-schermen, goedgekeurde hubs, gekoppelde smartcards of Macs waarop de configuratie-assistent actief is of die zijn opgestart vanuit recoveryOS.
iPhones en iPads beheren
Vanuit het oogpunt van beveiliging en gebruiksgemak is het belangrijk om te beheren met welke hostcomputers iPhones en iPads een koppeling kunnen maken. Om bijvoorbeeld veilig verbinding te maken met selfservicestations voor het bijwerken van software of het delen van de internetverbinding van een Mac-computer, is een vertrouwensrelatie tussen de iPhone of iPad en de hostcomputer nodig.
Het koppelen van apparaten wordt meestal uitgevoerd door gebruikers wanneer ze hun apparaat via een USB-kabel (of een Thunderbolt-kabel als het iPad-model dit ondersteunt) met een hostcomputer verbinden. Er verschijnt een melding op het apparaat van de gebruiker waarin wordt gevraagd of deze een vertrouwensrelatie met de computer tot stand wil brengen.
De gebruiker wordt vervolgens gevraagd om de beslissing te bevestigen door de toegangscode in te voeren. Vanaf dat moment wordt deze hostcomputer automatisch vertrouwd als er opnieuw verbinding mee wordt gemaakt. Gebruikers kunnen vertrouwensrelaties voor koppelingen wissen door in Instellingen naar 'Algemeen' > 'Stel opnieuw in' > 'Herstel locatie en privacy' te gaan of door het apparaat te wissen. Deze vertrouwensrecords worden bovendien verwijderd als ze 30 dagen niet zijn gebruikt.
MDM-beheer van koppelingen met hosts
Een beheerder kan handmatige vertrouwensrelaties tussen hostcomputers en Apple apparaten onder toezicht beheren met de beperking Sta koppeling met andere hosts dan Apple Configurator toe. Door de mogelijkheid om met hosts te koppelen uit te schakelen (en de juiste identiteiten voor toezicht naar de apparaten te distribueren), zorgt de beheerder ervoor dat alleen vertrouwde computers met een geldig hostcertificaat voor toezicht toegang kunnen krijgen tot de betreffende iPhones en iPads via USB (of via Thunderbolt als het iPad-model dit ondersteunt). Als er geen hostcertificaat voor toezicht op de hostcomputer is geconfigureerd, kunnen er geen koppelingen tot stand worden gebracht.
Opmerking: De instelling allow_pairing voor apparaatinschrijving van Apple wordt vanaf iOS 13 en iPadOS 13.1 niet meer gebruikt. Beheerders moeten in plaats daarvan de bovenstaande richtlijn gebruiken, aangezien deze meer flexibiliteit biedt door koppeling met vertrouwde hosts toe te staan. Een ander voordeel is dat instellingen voor hostkoppeling kunnen worden gewijzigd zonder dat de iPhone of iPad hoeft te worden gewist.
Workflows voor ongekoppeld herstel beveiligen
In iOS 14.5 en iPadOS 14.5 of nieuwer kan een ongekoppelde hostcomputer geen apparaten opstarten in recoveryOS (ook wel de herstelmodus genoemd) en herstellen zonder lokale fysieke interactie. Voorheen kon een onbevoegde gebruiker het apparaat van een gebruiker wissen en herstellen zonder directe interactie met de iPhone of iPad. Hiervoor was alleen een USB-verbinding (bijvoorbeeld vermomd als oplaadstation) tussen het doelapparaat en een computer nodig (of een Thunderbolt-verbinding als het iPad-model dit ondersteunt).
Extern opstarten in de herstelmodus beperken op een iPhone of iPad
In iOS 14.5 en iPadOS 14.5 of nieuwer wordt deze herstelmogelijkheid standaard beperkt tot hostcomputers waarmee al een vertrouwensrelatie tot stand is gebracht. Beheerders die deze veiligere instelling niet willen gebruiken, kunnen de beperking Sta toe dat een iOS- of iPadOS-apparaat in de herstelmodus wordt gezet door een ongekoppelde host inschakelen.
Ethernetadapters gebruiken met een iPhone of iPad
Als de beperking is uitgeschakeld op een iPhone of iPad met een compatibele ethernetadapter, heeft deze iPhone of iPad al een actieve verbinding met het netwerk voordat het apparaat de eerste keer wordt ontgrendeld. Dit is handig wanneer het apparaat een MDM-commando moet ontvangen terwijl er geen wifi- en mobiele netwerken beschikbaar zijn en het apparaat niet ontgrendeld is sinds het is opgestart of opnieuw is opgestart, bijvoorbeeld wanneer een gebruiker de toegangscode is vergeten en MDM probeert het apparaat te wissen.
De instelling voor de beperkte modus op een iPhone of iPad kan worden beheerd door:
De MDM-beheerder met de beperking 'Sta beperkte USB-modus toe'. Hiervoor moet het apparaat onder toezicht staan.
De gebruiker door in Instellingen naar 'Touch/Face ID en toegangscode' > 'Accessoires' te gaan.