ภาพรวมความปลอดภัยของการจัดการอุปกรณ์เคลื่อนที่
ระบบปฏิบัติการของ Apple รองรับการจัดการอุปกรณ์เคลื่อนที่ (MDM) ซึ่งทำให้องค์กรสามารถกำหนดค่าและจัดการนำอุปกรณ์ Apple ไปใช้ได้อย่างปลอดภัย
MDM ทำงานอย่างปลอดภัยได้อย่างไร
ความสามารถของ MDM สร้างขึ้นบนเทคโนโลยีระบบปฏิบัติการที่มีอยู่แล้ว เช่น โปรไฟล์การกำหนดค่า การลงทะเบียนผ่านทางอากาศ และบริการการแจ้งผลักข้อมูลของ Apple (APNs) ตัวอย่างเช่น จะใช้ APNs เพื่อปลุกอุปกรณ์เพื่อให้สามารถสื่อสารกับโซลูชั่น MDM ได้โดยตรงผ่านการเชื่อมต่อที่ปลอดภัย ด้วย APNs ข้อมูลลับหรือข้อมูลความเป็นเจ้าของจะไม่ส่งผ่าน
เมื่อใช้ MDM แผนก IT จะสามารถลงทะเบียนอุปกรณ์ Apple ในสภาพแวดล้อมองค์กร กำหนดค่าและอัปเดตการตั้งค่าแบบไร้สาย ตรวจสอบการปฏิบัติตามนโยบายองค์กร จัดการนโยบายรายการอัปเดตซอฟต์แวร์ แม้กระทั่งลบข้อมูลหรือล็อคอุปกรณ์ที่จัดการอยู่จากระยะไกลได้
นอกจากการลงทะเบียนอุปกรณ์แบบดั้งเดิมที่รองรับโดย iOS, iPadOS, macOS และ tvOS แล้ว ยังได้เพิ่มประเภทการลงทะเบียนลงใน iOS 13 ขึ้นไป, iPadOS 13.1 ขึ้นไป และ macOS 10.15 ขึ้นไปด้วย ซึ่งเรียกว่าการลงทะเบียนผู้ใช้ การลงทะเบียนผู้ใช้คือการลงทะเบียน MDM ที่มีเป้าหมายสำหรับการใช้โปรแกรม “การนำอุปกรณ์ของคุณมาเอง” (BYOD) โดยเฉพาะ ซึ่งอุปกรณ์นั้นเป็นอุปกรณ์ส่วนตัวของผู้ใช้แต่ใช้ในสภาพแวดล้อมที่ได้รับการจัดการ การลงทะเบียนผู้ใช้อนุญาตโซลูชั่น MDM ถึงสิทธิ์ที่จำกัดกว่าการลงทะเบียนอุปกรณ์ที่ไม่ได้รับการกำกับดูแล และให้การแยกการเข้ารหัสของข้อมูลผู้ใช้และองค์กร
ประเภทการลงทะเบียน
การลงทะเบียนอุปกรณ์แบบอัตโนมัติ: การลงทะเบียนอุปกรณ์แบบอัตโนมัติช่วยให้องค์กรกำหนดค่าและจัดการอุปกรณ์ได้ทันทีที่อุปกรณ์ถูกแกะออกจากกล่อง (เรียกว่าการปรับใช้แบบไม่ต้องสัมผัส) อุปกรณ์เหล่านี้เรียกว่าอุปกรณ์ที่ได้รับการกำกับดูแล และผู้ใช้มีตัวเลือกในการป้องกันไม่ให้ผู้ใช้เอาโปรไฟล์ MDM ออก การลงทะเบียนอุปกรณ์แบบอัตโนมัติได้รับการออกแบบสำหรับอุปกรณ์ที่องค์กรเป็นเจ้าของ
การลงทะเบียนอุปกรณ์: การลงทะเบียนอุปกรณ์ทำให้องค์กรสามารถให้ผู้ใช้ลงทะเบียนอุปกรณ์ แล้วจัดการการใช้งานอุปกรณ์ในลักษณะต่างๆ มากมายได้ด้วยตัวเอง รวมถึงความสามารถในการลบอุปกรณ์ การลงทะเบียนอุปกรณ์ยังมีชุดเพย์โหลดขนาดใหญ่ขึ้นและการจำกัดที่สามารถปรับใช้กับอุปกรณ์ได้อีกด้วย เมื่อผู้ใช้เอาโปรไฟล์การลงทะเบียนออก โปรไฟล์การกำหนดค่าทั้งหมด การตั้งค่า และแอปที่ได้รับการจัดการที่อิงตามโปรไฟล์การลงทะเบียนนั้นจะถูกเอาออกไปด้วยเช่นกัน
การลงทะเบียนผู้ใช้: การลงทะเบียนผู้ใช้ได้รับการออกแบบสำหรับอุปกรณ์ที่ผู้ใช้เป็นเจ้าของและจะผสานรวมกับ Apple ID ที่ได้รับการจัดการเพื่อสร้างข้อมูลประจำตัวของผู้ใช้บนอุปกรณ์ Apple ID ที่ได้รับการจัดการเป็นส่วนหนึ่งของโปรไฟล์การลงทะเบียนผู้ใช้ และผู้ใช้ต้องตรวจสอบสิทธิ์ให้เสร็จเรียบร้อยเพื่อลงทะเบียนให้เสร็จสมบูรณ์ Apple ID ที่ได้รับการจัดการสามารถใช้พร้อมกับ Apple ID ส่วนบุคคลที่ผู้ใช้ได้ลงชื่อเข้าไว้อยู่แล้ว แอปและบัญชีที่ได้รับการจัดการใช้ Apple ID ที่ได้รับการจัดการ ส่วนแอปและบัญชีส่วนบุคคลใช้ Apple ID ส่วนบุคคล
การจำกัดอุปกรณ์
การจำกัดสามารถเปิดใช้งานได้ หรือในบางกรณีปิดใช้งานได้โดยผู้ดูแลระบบเพื่อช่วยป้องกันไม่ให้ผู้ใช้เข้าถึงแอป บริการ หรือฟังก์ชั่นของ iPhone, iPad, Mac หรือ Apple TV ที่ลงเบียนในโซลูชั่น MDM การจำกัดจะถูกส่งไปที่อุปกรณ์ในเพย์โหลดการจำกัดซึ่งเป็นส่วนหนึ่งของโปรไฟล์การกำหนดค่า การจำกัดบางอย่างบน iPhone ที่ได้รับการจัดการอาจจะสะท้อนหน้าจอบน Apple Watch ที่จับคู่อยู่
การจัดการการตั้งค่ารหัสและรหัสผ่าน
ตามค่าเริ่มต้นแล้ว จะสามารถกำหนดรหัสของผู้ใช้เป็น PIN ตัวเลขได้ ความยาวขั้นต่ำของรหัสสำหรับอุปกรณ์ iOS และ iPadOS ที่มี Face ID หรือ Touch ID คือสี่หลัก ขอแนะนำให้ใช้รหัสที่ยาวขึ้นและซับซ้อนขึ้นเนื่องจากจะทำให้เดาหรือโจมตีได้ยากขึ้น
ผู้ดูแลระบบสามารถบังคับให้ต้องใช้รหัสแบบซับซ้อนและนโยบายอื่นๆ ได้โดยใช้ MDM หรือ Microsoft Exchange ActiveSync หรือโดยการบังคับให้ผู้ใช้ต้องติดตั้งโปรไฟล์การกำหนดค่าด้วยตัวเอง จำเป็นต้องใช้รหัสผ่านผู้ดูแลระบบสำหรับการติดตั้งเพย์โหลดนโยบายเกี่ยวกับรหัส macOS นโยบายรหัสบางนโยบายสามารถกำหนดความยาว องค์ประกอบ หรือคุณลักษณะอื่นของรหัสได้