Oversikt over MDM-sikkerhet
Apple-operativsystemer støtter MDM som lar organisasjoner konfigurere og administrere skalert utrulling av Apple-enheter på en sikker måte.
Slik fungerer MDM på en sikker måte
MDM-funksjonene er bygd på operativsystemteknologi som for eksempel konfigurasjoner, trådløs registrering og Apple Push Notification service (APNs). APNs brukes for eksempel til å vekke enheten og få den til å kommunisere direkte med MDM-løsningen over en sikker tilkobling. Det overføres ingen konfidensiell eller beskyttet informasjon med APNs.
Ved hjelp av MDM kan IT-avdelingen registrere Apple-enheter i et bedrifts- eller utdanningsmiljø, konfigurere og oppdatere innstillinger trådløst, følge med på om regler overholdes, administrere programvareoppdateringer og til og med fjernslette eller fjernlåse administrerte enheter.
I iOS 13, iPadOS 13.1 og macOS 10.15 eller nyere har Apple-enheter støtte for en ny form for registrering som er spesialutviklet for BYOD-programmer. Brukerregistrering gir brukerne flere muligheter med sine egne enheter, samtidig som det øker sikkerheten for bedriftens data ved å skille ut administrerte data på en kryptografisk måte. Det gir BYOD-programmer en bedre balanse mellom sikkerhet, personvern og brukeropplevelse. En lignende mekanisme for utskilling av data har blitt lagt til for kontodrevet enhetsregistrering i iOS 17, iPadOS 17 og macOS 14 eller nyere.
Registreringstyper
Brukerregistrering: Brukerregistrering er designet for enheter som eies av brukeren, og er integrert med administrerte Apple-ID-er for å etablere en brukeridentitet på enheten. Administrerte Apple-ID-er kreves for å starte registreringen, og brukeren må autentiseres for at registreringen skal kunne fullføres. Administrerte Apple-ID-er kan brukes sammen med en personlig Apple-ID som brukeren allerede har logget på med. Administrerte apper og kontoer bruker den administrerte Apple-ID-en, og personlige apper og kontoer bruker en personlig Apple-ID.
Enhetsregistrering: Med Enhetsregistrering kan organisasjoner be brukere om å registrere enheter manuelt og deretter administrere mange forskjellige sider ved enhetsbruk, inkludert muligheten til å slette enheten. Enhetsregistrering har også et større sett med konfigurasjoner og restriksjoner som kan brukes på enheten. Når en bruker fjerner en registreringsprofil, fjernes alle konfigurasjoner, innstillinger og administrerte apper som er basert på registreringsprofilen. I likhet med brukerregistrering kan enhetsregistrering også integreres med en administrert Apple-ID. Denne kontodrevne enhetsregistreringen gjør det også mulig å bruke en administrert Apple-ID sammen med en personlig Apple-ID, og den holder bedriftsdata kryptologisk adskilt.
Automatisert enhetsregistrering: Med automatisert enhetsregistrering kan organisasjoner konfigurere og administrere enheter fra de tas ut av esken. Disse enhetene kalles enheter under tilsyn, og brukerne har muligheten til å hindre at MDM-profilen fjernes av brukeren. Automatisert enhetsregistrering er laget for enheter som eies av organisasjonen.
Enhetsrestriksjoner
Restriksjoner kan aktiveres, og i noen tilfeller deaktiveres, av administratorer for å bidra til å hindre brukere i å få tilgang til en bestemt app, tjeneste eller funksjon på en iPhone, iPad, Mac, Apple TV eller Apple Watch som er registrert i en MDM-løsning. Restriksjoner sendes til enheter i en restriksjonsnyttelast, som er en del av en konfigurasjon. Enkelte restriksjoner på en administrert iPhone kan speiles på en sammenkoblet Apple Watch.
Administrering av koder og passordinnstillinger
Som standard kan brukerens kode defineres som en numerisk PIN-kode i iOS, iPadOS og watchOS. På iPhone- og iPad-enheter med Face ID eller Touch ID er standardlengden på koden seks tall, med minimum fire tall. Lengre og mer kompliserte koder anbefales. De er vanskeligere å gjette og angripe.
Administratorer kan håndheve krav om kompleks kode samt andre regler ved hjelp av MDM eller i iOS og iPadOS, Microsoft Exchange. Det kreves et administratorpassord når koderegelnyttelasten i macOS installeres manuelt. Koderegler kan kreve en bestemt kodelengde, sammensetning eller andre attributter.
Apple Watch bruker numeriske koder som standard. Hvis en koderegel for en administrert Apple Watch krever at det brukes ikke-numeriske tegn, må den sammenkoblede iPhonen brukes til å låse opp enheten.