Hantera åtkomst till Apple-enheter för tillbehör
Hantera Mac-datorer
Tillbehörssäkerhet (kallas begränsat läge) för macOS är utformad för att skydda kunder från fysiska angrepp via kabelbundna tillbehör. För bärbara Mac-datorer med Apple Silicon och macOS 13 eller senare är den förvalda konfigurationen att fråga om användaren vill tillåta nya tillbehör. Användaren har fyra alternativ i Systeminställningar för att tillåta tillbehör att ansluta:
Fråga varje gång
Fråga för nya tillbehör
Automatiskt i upplåst läge
Alltid
Om en användare ansluter okända tillbehör (Thunderbolt- eller USB-tillbehör eller – i macOS 13.3 eller senare – SDXC (SD Extended Capacity)-kort) till en låst dator blir den uppmanad att låsa upp datorn. Godkända tillbehör kan anslutas till en låst dator upp till tre dagar efter att datorn senast var låst. Eventuella tillbehör som ansluts efter tre dagar leder till att användaren blir uppmanad att låsa upp för att använda tillbehör.
I vissa miljöer kan det vara nödvändigt att förbigå användarauktorisering. MDM-lösningar kan styra det här beteendet genom att använda den befintliga begränsningen allowUSBRestrictedMode till att alltid tillåta tillbehör.
Obs! De här anslutningarna gäller inte för strömadaptrar, bildskärmar utan Thunderbolt, godkända hubbar, parkopplade smarta kort eller en Mac där inställningsassistenten körs eller som har startats från recoveryOS.
Hantera iPhone- och iPad-enheter
Att styra vilka värddatorer som en iPhone och iPad kan parkoppla med är viktigt av säkerhetsskäl och för användares bekvämlighet. Exempelvis krävs en betrodd relation mellan iPhone eller iPad och värddatorn om användaren ska kunna ansluta säkert till självbetjäningsstationer för att uppdatera programvara eller dela en Mac-dators internetanslutning.
Enhetsparkoppling utförs vanligtvis av användaren när den ansluter sin enhet till en värddator med en USB-kabel (eller en Thunderbolt-kabel om det stöds av en iPad-modell). På användarens enhet visas en dialogruta som frågar ifall datorn ska betraktas som betrodd.
Användaren blir sedan uppmanad att ange sin lösenkod för att bekräfta sitt beslut. I fortsättningen är alla anslutningar till samma värddator automatiskt betrodda. Användaren kan rensa parkopplingen, så att förhållandet till datorn inte längre är betrott, genom att välja Inställningar > Allmänt > Nollställ > Nollställ plats och integritet eller genom att radera sin enhet. Dessutom blir dessa poster för betroddhet borttagna ifall de inte används under 30 dagar.
MDM-hantering av värdparkoppling
En administratör kan hantera Apple-enheters möjlighet att manuellt lita på värddatorer med begränsningen Allow pairing with non-Apple Configurator hosts. Genom att avaktivera möjligheten till värdparkoppling (och distribuera korrekta övervakningsidentiteter till deras enheter) säkerställer administratören att endast betrodda datorer som har ett giltigt värdcertifikat för övervakning kan komma åt iPhone- och iPad-enheter i fråga via USB (eller via Thunderbolt om en iPad-modell har stöd för det). Om inget värdcertifikat för övervakning har konfigurerats på värddatorn avaktiveras all parkoppling.
Obs! Registreringsinställningen allow_pairing för Apple-enheter fasades ut i iOS 13 och iPadOS 13.1. Administratörer bör i istället använda ovanstående vägledning i fortsättningen eftersom den är flexiblare genom att fortfarande tillåta parkoppling till betrodda värdar. Den gör det också möjligt att ändra inställningar för värdparkoppling utan att radera iPhone eller iPad.
Skydd mot återskapning utan parkoppling
I iOS 14.5 och iPadOS 14.5 eller senare kan en värddator som saknar parkoppling inte starta om en enhet i recoveryOS (kallas även Återställningsläge) och återskapa den utan lokal fysisk interaktion. Innan den här ändringen infördes kunde en oauktoriserad användare radera och återskapa en användares enhet utan att interagera direkt med iPhone eller iPad. Allt som behövdes var en anslutning via USB (eller Thunderbolt om en iPad-modell har stöd för det), exempelvis i form av ett laddningstillbehör till målenheten och en dator.
Begränsning av extern start för att återställa en iPhone eller iPad
I iOS 14.5 och iPadOS 14.5 eller senare begränsas den här återställningsfunktionen som förval till värddatorer som tidigare har varit betrodda. Administratörer som inte vill använda det här säkrare beteendet kan aktivera begränsningen Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host.
Använda Ethernetadaptrar med iPhone eller iPad
En iPhone eller iPadOS med en kompatibel Ethernetadapter bevarar en aktiv anslutning till ett anslutet nätverk även innan enheten först blir upplåst, förutsatt att enhetens begränsning är off. Det här tillvägagångssättet är praktiskt när enheten måste få ett MDM-kommando när Wi-Fi- och mobilnätverk inte är tillgängliga, och enheten inte har låsts upp efter att den startades från ett avstängt läge eller startades om, till exempel när en användare har glömt sin lösenkod och MDM försöker rensa det.
Inställningen för begränsat läge på iPhone eller iPad kan hanteras av:
MDM-administratören med begränsningen USB Restricted Mode. Det här kräver att enheten är övervakad.
Användaren i Inställningar > Touch/Face ID och lösenkod > Tillbehör.