Обзор безопасности управления мобильными устройствами
Операционные системы Apple поддерживают работу с системами управления мобильными устройствами (MDM), благодаря чему организации могут выполнять безопасную настройку и управлять масштабным развертыванием устройств Apple.
Безопасность работы системы MDM
Работа функций MDM основана на существующих технологиях операционной системы, таких как профили конфигурации, регистрация по беспроводной сети и служба Apple Push Notification (APNs). Например, APNs используется для вывода устройства из режима сна, чтобы оно могло напрямую связаться с системой MDM через безопасное соединение. Конфиденциальная или корпоративная информация через APNs не передается.
Используя MDM, отделы ИТ могут безопасно внедрять устройства Apple в корпоративную среду, устанавливать и обновлять настройки по беспроводной сети, следить за соответствием корпоративным политикам, управлять политиками обновления программного обеспечения и даже удаленно стирать данные или блокировать управляемые устройства.
Помимо стандартных способов регистрации устройств, поддерживаемых в iOS, iPadOS, macOS и tvOS, в операционных системах iOS 13 или новее, iPadOS 13.1 или новее и macOS 10.15 или новее был добавлен новый тип регистрации — регистрация пользователя. Регистрация пользователя — это регистрация в MDM, которая разработана для программы использования сотрудниками личных устройств на работе (BYOD), когда устройство принадлежит пользователю, но используется в управляемой среде. Регистрация пользователя предоставляет системе MDM меньше полномочий, чем регистрация неконтролируемых устройств, и обеспечивает криптографическое разделение пользовательских и корпоративных данных.
Типы регистрации
Автоматическая регистрация устройства. Этот тип регистрации позволяет организациям настраивать устройства и управлять ими с момента извлечения из коробки (этот тип регистрации также называется полностью автоматическим развертыванием). Такие устройства также называются контролируемыми. На контролируемых устройствах можно запретить удаление профиля MDM пользователем. Автоматическая регистрация возможна только для устройств, принадлежащих организации.
Регистрация устройства. Этот тип регистрации позволяет пользователям организаций вручную регистрировать устройства и управлять различными аспектами использования устройств, в том числе возможностью стирания данных на устройстве. Администратору доступен большой набор полезных нагрузок и ограничений, которые можно применять к устройству. Когда пользователь удаляет профиль регистрации, также удаляются все профили конфигурации, включая связанные с ними настройки и управляемые приложения, использующие этот профиль регистрации.
Регистрация пользователя. Этот тип регистрации, предназначенный для личных устройств, используется совместно с управляемыми Apple ID для идентификации пользователя на устройстве. Управляемые Apple ID являются частью профиля регистрации пользователя, и для завершения процесса регистрации пользователь должен успешно пройти аутентификацию. Управляемые Apple ID можно использовать одновременно с личным Apple ID, с которым пользователь уже выполнил вход в систему ранее. Управляемые приложения и учетные записи используют управляемые Apple ID, а личные приложения и учетные записи — личные Apple ID.
Ограничения устройств
Администраторы могут накладывать (и иногда снимать) ограничения, чтобы запретить пользователям доступ к определенным приложениям, службам или функциям устройства iPhone, iPad, Mac или Apple TV, которые зарегистрированы в системе MDM. Ограничения отправляются на устройства в составе полезной нагрузки ограничений, которая входит в профиль конфигурации. Некоторые ограничения на iPhone можно накладывать на часы Apple Watch, с которыми создана пара.
Управление настройками код-паролей и паролей
По умолчанию код-пароль пользователя является цифровым. На устройствах iOS и iPadOS с Face ID или Touch ID минимальная длина код-пароля составляет четыре цифры. Рекомендуется использовать более длинные и сложные код-пароли, поскольку их труднее подобрать или взломать.
Для принудительного применения сложных код-паролей и других политик администраторы могут воспользоваться системой MDM или Microsoft Exchange ActiveSync, а также обязать пользователей вручную установить профили конфигурации. Для установки полезной нагрузки политики код-паролей macOS требуется пароль администратора. Некоторые политики код-паролей могут требовать задания код-паролей определенной длины, а также использования в них определенных символов и других атрибутов.