MDM-säkerhet i översikt
Apples operativsystem har stöd för MDM (Mobile Device Management) som gör det möjligt för organisationer att säkert konfigurera och hanterade skalade driftsättningar av Apple-enheter.
Hur MDM fungerar på ett säkert sätt
MDM-funktionerna bygger på befintlig operativsystemteknik som konfigurationsprofiler, trådlös registrering och Apples tjänst för pushnotiser (APNs). Exempelvis används APNs till att väcka enheten så att den kan kommunicera direkt med MDM-lösningen via en säker anslutning. Med APNs överförs ingen konfidentiell eller företagsägd information.
Med hjälp av MDM kan IT-avdelningar registrera Apple-enheter i en företagsmiljö, konfigurera och uppdatera inställningar trådlöst, övervaka att företagspolicyer efterlevs, hantera programuppdateringspolicyer och till och med fjärrlåsa eller fjärradera hanterade enheter.
Utöver traditionella enhetsregistreringar som stöds av iOS, iPadOS, macOS och tvOS tillkommer en registreringstyp i iOS 13 eller senare, iPadOS 13.1 eller senare och macOS 10.15 eller senare – användarregistrering. Användarregistrering är MDM-registrering riktad specifikt mot BYOD-driftsättningar där användaren själv äger enheten men använder den i en hanterad miljö. Användarregistrering ger MDM-lösningen mer begränsade behörigheter än registrering av oövervakade enheter ger, och tillhandahåller kryptografisk separering av användardata och företagsdata.
Registreringstyper
Automatiserad enhetsregistrering: Med automatiskt enhetsregistrering kan organisationer konfigurera och hantera enheter från det ögonblick då enheten packas upp ur förpackningen (driftsättning med automatisk frammatning). De här enheterna kallas för övervakade och organisationen kan välja att förhindra att enhetsanvändaren kan ta bort MDM-profilen. Automatiserad enhetsregistrering är skapat för enheter som ägs av organisationen.
Enhetsregistrering: Med enhetsregistrering kan organisationer låta användarna registrera enheter manuellt och sedan hantera många olika aspekter av enhetsanvändningen, inklusive möjligheten att radera enheten. Enhetsregistrering har också en större uppsättning nyttolaster och begränsningar som kan användas på enheten. När en användare tar bort en registreringsprofil tas samtidigt även alla konfigurationsprofiler, deras inställningar och alla hanterade appar som är kopplade till den registreringsprofilen bort.
Användarregistrering: Användarregistreringen är utformad för enheter som ägs av användaren och är integrerad med hanterade Apple-ID:n för att skapa en användaridentitet på enheten. Hanterade Apple-ID:n ingår i användarregistreringsprofilen och användaren måste autentisera sig korrekt för att registreringen ska slutföras. Hanterade Apple-ID:n kan användas tillsammans med ett personligt Apple-ID som användaren redan har loggat in med. Hanterade appar och konton använder ett hanterat Apple‑ID och personliga appar och konton använder ett personligt Apple-ID.
Enhetsbegränsningar
Begränsningar kan aktiveras – eller i vissa fall avaktiveras – för att förhindra att användare kommer åt en specifik app, tjänst eller funktion på en iPhone, iPad, Mac eller Apple TV som har registrerats i en MDM-lösning. Begränsningar skickas till enheter i en begränsningsnyttolast som är en del av en konfigurationsprofil. En del begränsningar på en iPhone kan speglas på en parkopplad Apple Watch.
Hantering av inställningar för lösenkoder och lösenord
Den förvalda inställningen är att användaren får ange en numerisk PIN-kod som lösenkod. På iOS- och iPadOS-enheter med Face ID eller Touch ID är den kortaste lösenkodslängden fyra siffror. Längre och mer komplexa lösenkoder är svårare att gissa eller knäcka och rekommenderas därför.
Administratörer kan se till att alla på företaget använder komplexa lösenkoder och andra policyer via MDM eller Microsoft Exchange ActiveSync, eller genom att kräva att användarna installerar konfigurationsprofiler manuellt. Ett administratörslösenord krävs för installationen av nyttolasten för macOS-lösenkodspolicyn. Vissa lösenkodspolicyer kan kräva en särskild lösenkodslängd, sammansättning eller andra attribut.