Administrer tilbehørs tilgang til Apple-enheter
Administrer Macer
Tilbehørssikkerhet for macOS (også kalt Restricted Mode) er utviklet for å beskytte kunder mot close-access-angrep med fysisk tilkoblede tilbehørsenheter. For bærbare Macer med Apple-chip og macOS 13 eller nyere er standardkonfigurasjonen å spørre brukeren om tillatelse for nye tilbehørsenheter. Brukeren har fire valg i Systeminnstillinger for å tillate at tilbehør kobles til:
Spør hver gang
Spør for nye tilbehør
Automatisk når ulåst
Alltid
Hvis en bruker kobler et ukjent tilbehør (Thunderbolt, USB, eller – i macOS 13.3 og nyere – SDXC-kort) til en låst Mac, bes brukeren om å låse opp Macen. Godkjent tilbehør kan være koblet til en låst Mac i opptil tre dager fra Macen sist ble låst. Etter tre dager vil tilkoblet tilbehør spørre brukeren om å «Låse opp for å bruke tilbehør».
Omgåelse av brukerautorisering kan kreves for enkelte miljøer. MDM-løsninger kan kontrollere denne oppførselen ved å bruke den eksisterende allowUSBRestrictedMode-restriksjonen for å alltid tillate tilbehør.
Merk: Dette gjelder ikke strømforsyningsenheter, skjermer uten Thunderbolt, godkjente huber eller Macer som er i Oppsettassistent, eller som er startet fra recoveryOS.
Administrer iPhone- og iPad-enheter
Administrering av hvilke vertsmaskiner iPhoner og iPader kan sammenkobles med, er viktig for sikkerhet og brukervennlighet. Muligheten til for eksempel å koble til selvbetjeningsstasjoner for oppdatering av programvare eller deling av en Macs internettforbindelse krever et godkjent forhold mellom iPhone eller iPad og vertsmaskinen.
Enhetssammenkobling utføres vanligvis av brukeren når de kobler enheten sin til en vertsmaskin med en USB-kabel (eller en Thunderbolt-kabel hvis en iPad-modell støtter det). En melding vises på brukerens enhet som spør om brukeren vil opprette et tillitsforhold med datamaskinen.
Brukeren blir deretter bedt om å skrive inn koden for å bekrefte avgjørelsen. Senere tilkoblinger til samme vertsmaskin tillates automatisk. Brukere kan fjerne godkjente sammenkoblinger ved å gå til Innstillinger > Generelt > Nullstill > Nullstill Sted og personvern eller ved å slette enheten. I tillegg blir disse godkjente oppføringene fjernet hvis de ikke brukes i løpet av 30 dager.
MDM-administrering av vertssammenkobling
Ved hjelp av restriksjonen Allow pairing with non-Apple Configurator hosts kan administratorer ha kontroll over muligheten Apple-enheter under tilsyn har til å manuelt kunne godkjenne vertsmaskiner. Ved å deaktivere muligheten til vertssammenkobling (og distribuering av riktige tilsynsidentiteter til enhetene) sikrer administratoren at det kun er godkjente datamaskiner med gyldig tilsynsvertssertifikat som kan koble til iPhone- og iPad-enheter via USB (eller via Thunderbolt på iPad-modeller som støtter det). Hvis et tilsynsvertssertifikat ikke er konfigurert på vertsmaskinen, deaktiveres all sammenkobling.
Merk: Apple-enhetsregistreringsinnstillingen allow_pairing fikk status som utgått i iOS 13 og iPadOS 13.1. Administratorer bør heller bruke denne veiledningen, siden den gir bedre fleksibilitet, samtidig som man fortsatt kan tillate sammenkobling med godkjente verter. Den gjør det også mulig å endre innstillinger for vertssammenkobling uten at iPhone eller iPad må slettes.
Sikring av gjenopprettingsarbeidsflyter uten sammenkobling
I iOS 14.5 og iPadOS 14.5 og nyere vil det ikke være mulig for vertsmaskiner uten sammenkobling å starte en enhet på nytt i recoveryOS (også kalt gjenopprettingsmodus) og gjenopprette den uten fysisk medvirkning. Før denne endringen kunne en uautorisert bruker slette og gjenopprette en brukers enhet uten å være i direkte kontakt med iPhonen eller iPaden. Alt de trengte var en USB-tilkobling (eller en Thunderbolt-tilkobling på iPad-modeller som støtter det) (for eksempel på en ladestasjon) mellom enheten og en datamaskin.
Begrense ekstern oppstart for gjenoppretting av iPhone eller iPad
Som standard begrenser nå iOS 14.5 og iPadOS 14.5 eller nyere denne gjenopprettingen til vertsmaskiner som er godkjent tidligere. Administratorer som vil velge bort denne sikrere oppførselen, kan aktivere restriksjonen Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host.
Bruke Ethernet-adaptere med iPhone og iPad
iPhoner eller iPader med et kompatibelt Ethernet-adapter opprettholder en aktiv tilkobling til tilkoblede nettverk selv før enheten har blitt låst opp første gang – selv om restriksjonen er slått av på enheten. Denne fremgangsmåten kan være nyttig når enheten trenger å motta en MDM-kommando når Wi-Fi-nettverk og mobilnettverk ikke er tilgjengelige og enheten ikke har vært opplåst etter at den har blitt slått på eller startet på nytt, for eksempel når en bruker har glemt koden og MDM forsøker å slette den.
Restricted Mode-innstillingen på iPhone eller iPad kan administreres av:
MDM-administratoren med USB Restricted Mode-restriksjonen. Dette krever at enheten er under tilsyn.
Brukeren i Innstillinger > Touch ID /Face ID og kode > Tilbehør.