Oversikt over MDM-sikkerhet
Apple-operativsystemer støtter MDM som lar organisasjoner konfigurere og administrere skalert utrulling av Apple-enheter på en sikker måte.
Slik fungerer MDM på en sikker måte
MDM-funksjonene er bygd på operativsystemteknologi som for eksempel konfigurasjonsprofiler, trådløs registrering og Apple Push Notification service (APNs). APNs brukes for eksempel til å vekke enheten, slik at den kan kommunisere direkte med MDM-løsningen over en sikker tilkobling. Med APNs overføres det ingen konfidensiell eller beskyttet informasjon.
Ved hjelp av MDM kan IT-avdelingen registrere Apple-enheter i et bedriftsmiljø på en trygg måte, konfigurere og oppdatere innstillinger trådløst, følge med på om bedriftens regler overholdes, administrere programvareoppdateringsregler og til og med fjernslette eller fjernlåse administrerte enheter.
I tillegg til de tradisjonelle enhetsregistreringene som støttes av iOS, iPadOS, macOS og tvOS, har en registreringstype blitt lagt til i iOS 13 eller nyere, iPadOS 13.1 eller nyere og macOS 10.15 eller nyere – brukerregistrering. Brukerregistreringer er MDM-registreringer som er tilpasset BYOD-utrulling (Bring Your Own Device) der brukeren selv eier enheten, men bruker den i et administrert miljø. Brukerregistrering gir MDM-løsningen med mer begrensede rettigheter enn ved enhetsregistrering uten tilsyn, og sørger for kryptografisk skille mellom brukerens og bedriftens data.
Registreringstyper
Automatisert enhetsregistrering: Automatisert enhetsregistrering gjør det mulig for organisasjoner å konfigurere og administrere enheter fra det øyeblikket enhetene tas ut av esken (i en prosess som kalles Auto Advance-utrulling). Disse enhetene kalles enheter under tilsyn, og brukerne har muligheten til å hindre at MDM-profilen fjernes av brukeren. Automatisert enhetsregistrering er laget for enheter som eies av organisasjonen.
Enhetsregistrering: Med Enhetsregistrering kan organisasjoner be brukere om å registrere enheter manuelt og deretter administrere mange forskjellige sider ved enhetsbruk, inkludert muligheten til å slette enheten. Enhetsregistrering har også er større sett med nyttelaster og restriksjoner som kan anvendes på enheten. Når en bruker fjerner en registreringsprofil, fjernes også alle konfigurasjonsprofiler, tilhørende innstillinger og administrerte apper basert på registreringsprofilen.
Brukerregistrering: Brukerregistrering er designet for enheter som eies av brukeren, og er integrert med administrerte Apple-ID-er for å etablere en brukeridentitet på enheten. Administrerte Apple-ID-er er en del av Brukerregistrering-profilen, og brukeren må lykkes med autentisering for å fullføre registreringen. Administrerte Apple-ID-er kan brukes sammen med en personlig Apple-ID som brukeren allerede har logget på med. Administrerte apper og kontoer bruker en administrert Apple-ID, og personlige apper og kontoer bruker en personlig Apple-ID.
Enhetsrestriksjoner
Restriksjoner kan aktiveres, og i noen tilfeller deaktiveres, av administratorer for å bidra til å hindre brukere i å få tilgang til en bestemt app, tjeneste eller funksjon på en iPhone, iPad, Mac eller Apple TV som er registrert i en MDM-løsning. Restriksjoner sendes til enheter i en restriksjonsnyttelast, som er en del av en konfigurasjonsprofil. Enkelte restriksjoner på en administrert iPhone kan speiles på en sammenkoblet Apple Watch.
Administrering av koder og passordinnstillinger
Det er satt som standard at brukerens kode kan defineres som en numerisk PIN-kode. På iOS- og iPadOS-enheter med Face ID eller Touch ID kreves minimum en firesifret kode. Lengre og mer kompliserte koder anbefales. De er vanskeligere å gjette og angripe.
Administratorer kan håndheve krav til komplekse koder og andre regler ved hjelp av MDM eller Microsoft Exchange ActiveSync, eller ved å kreve at brukerne installerer konfigurasjonsprofiler manuelt. Det kreves et administratorpassord for installering av koderegelnyttelasten i macOS. Noen koderegler kan kreve en bestemt kodelengde, sammensetning eller andre attributter.