Visão geral da segurança do gerenciamento de dispositivos móveis
Os sistemas operacionais da Apple oferecem suporte ao gerenciamento de dispositivos móveis (MDM), o qual permite a organizações configurar e gerenciar de forma segura implantações de dispositivos Apple em larga escala.
Como o MDM funciona em segurança
Os recursos de MDM têm como base tecnologias existentes dos sistemas operacionais, como perfis de configuração, registro via conexão sem fio e o serviço de Notificações Push da Apple (APNs). Por exemplo, o APNs é usado para despertar o dispositivo para que ele se comunique diretamente com sua solução MDM através de uma conexão segura. Com os APNs, nenhuma informação confidencial ou proprietária é transmitida.
Por meio do uso do MDM, os departamentos podem registrar dispositivos Apple em ambientes empresariais, configurar e atualizar ajustes via conexão sem fio, monitorar a conformidade com as políticas corporativas, gerenciar as políticas de atualização de software e até mesmo apagar ou bloquear remotamente dispositivos gerenciados.
Além dos registros tradicionais de dispositivos aos quais o iOS, iPadOS, macOS e tvOS oferecem suporte, um tipo de registro foi adicionado ao iOS 13 ou posterior, iPadOS 13.1 ou posterior e macOS 10.15 ou posterior — o Registro do Usuário. Os registros de usuários são registros de MDM que visam especificamente implantações do tipo “traga o seu próprio dispositivo” (BYOD), nas quais o dispositivo é de propriedade pessoal, embora seja usado em um ambiente gerenciado. Os registros de usuários concedem à solução MDM privilégios mais limitados do que aqueles de registros de dispositivos não supervisionados, além de proporcionarem a separação criptográfica entre os dados do usuário e os da empresa.
Tipos de registro
Registro Automático do Dispositivo: o Registro Automático do Dispositivo permite que organizações configurem e gerenciem dispositivos a partir do momento que os dispositivos são tirados da caixa (em um processo conhecido como implantação Avançada Automática). Esses dispositivos são conhecidos como supervisionados e os usuários têm a opção de impedir que o perfil do MDM seja removido pelo usuário. O Registro Automático do Dispositivo foi projetado para dispositivos de propriedade da organização.
Registro do Dispositivo: o Registro do Dispositivo permite que organizações façam com que usuários registrem dispositivos manualmente e gerenciem vários aspectos do uso do dispositivo, incluindo a capacidade de apagá-los. O Registro do Dispositivo também possui um conjunto maior de payloads e restrições que podem ser aplicados ao dispositivo. Quando um usuário remove um perfil de registro, todos os perfis de configuração, seus respectivos ajustes e apps gerenciados baseados nesse perfil de registro são removidos juntos com ele.
Registro do Usuário: o Registro do Usuário é projetado para dispositivos de propriedade do usuário e é integrado a IDs Apple Gerenciados para estabelecer a identidade do usuário no dispositivo. IDs Apple Gerenciados fazem parte do perfil de Registro do Usuário, e o usuário deve autenticar com sucesso para que o registro seja concluído. IDs Apple Gerenciados podem ser usados ao mesmo tempo que o ID Apple pessoal com o qual o usuário já iniciou a sessão. Apps e contas gerenciados usam um ID Apple Gerenciado, enquanto apps e contas pessoais usam um ID Apple pessoal.
Restrições de dispositivos
As restrições podem ser ativadas — ou em alguns casos, desativadas — por administradores para ajudar a impedir que usuários acessem um certo app, serviço ou função de um iPhone, iPad, Mac ou Apple TV que esteja inscrito em uma solução MDM. As restrições são enviadas para os dispositivos em um payload de restrições, o qual faz parte de um perfil de configuração. Certas restrições em um iPhone podem ser espelhadas em um Apple Watch emparelhado.
Gerenciamento de ajustes de código e senha
Por padrão, o código do usuário pode ser definido por um PIN numérico. Nos dispositivos iOS e iPadOS com Face ID ou Touch ID, o tamanho mínimo do código é de quatro dígitos. Códigos maiores e mais complexos são recomendados, já que são mais difíceis de adivinhar ou atacar.
Administradores podem exigir códigos complexos e outras políticas através do MDM, Microsoft Exchange ActiveSync ou ao requisitar que usuários instalem perfis de configuração manualmente. Uma senha de administrador é necessária para a instalação do payload da política de código no macOS. Algumas políticas de código podem exigir certos tamanhos, composição ou outros atributos de código.