Mobil aygıt yönetimi güvenliğine genel bakış
Apple işletim sistemleri, kuruluşların ölçekli Apple aygıtı dağıtımlarını güvenli bir şekilde ayarlamalarını ve yönetmelerini sağlayan mobil aygıt yönetimini (MDM) destekler.
MDM nasıl güvenli çalışır?
MDM özellikleri; konfigürasyon profilleri, kablosuz kayıt ve Apple Anında İletme Bildirim servisi (APNs) gibi mevcut işletim sistemi teknolojilerine dayandırılır. Örneğin aygıtı uyandırmak için APNs kullanılır; böylece aygıt, MDM çözümüyle güvenli bir bağlantı üzerinden doğrudan iletişim kurabilir. APNs ile hiçbir gizli veya özel bilgi iletilmez.
BT bölümleri MDM kullanarak Apple aygıtlarını kurumsal ortama kaydedebilir, ayarları kablosuz olarak yapabilir ve güncelleyebilir, kurumsal politikalara uyumu izleyebilir, yazılım güncelleme politikalarını yönetebilir ve hatta yönetilen aygıtları uzaktan silebilir veya kilitleyebilir.
iOS, iPadOS, macOS ve tvOS tarafından desteklenen geleneksel aygıt kayıtlarına ek olarak iOS 13 veya daha yenisinde, iPadOS 13.1 veya daha yenisinde ve macOS 10.15 veya daha yenisinde bir kayıt türü daha eklenmiştir: Kullanıcı Kaydı. Kullanıcı kayıtları, özellikle aygıtların kişilere ait olup yönetilen bir ortamda kullanıldığı “kendi aygıtını getir” (BYOD) dağıtımlarını hedefleyen MDM kayıtlarıdır. Kullanıcı kayıtları, MDM çözümüne denetlenip yönetilmeyen aygıt kayıtlarına göre daha sınırlı ayrıcalıklar verir ve kullanıcı verileriyle kurumsal verilerin şifreli ayrılmasını sağlar.
Kayıt türleri
Otomatik Aygıt Kaydı: Otomatik Aygıt Kaydı, kuruluşların aygıtları kutudan çıkar çıkmaz ayarlayıp yönetmelerini sağlar (Otomatik İlerletme dağıtımı olarak bilinen bir işlemle). Bu aygıtlar denetlenip yönetilen aygıtlar olarak bilinir ve kullanıcıların MDM profilinin kullanıcı tarafından silinmesini engelleme seçeneği vardır. Otomatik Aygıt Kaydı, kuruluşa ait aygıtlar için tasarlanmıştır.
Aygıt Kaydı: Aygıt Kaydı, kuruluşların kullanıcılara aygıtları elle kaydettirip daha sonra aygıtı silme de dahil olmak üzere aygıt kullanımıyla ilgili birçok farklı özelliği yönetme olanağı tanımasını sağlar. Aygıt Kaydı, aygıta uygulanabilecek daha geniş bir veri ve sınırlama grubuna da sahiptir. Kullanıcı bir kayıt profilini sildiğinde, kayıt profilini taban alan tüm konfigürasyon profilleri, ayarları ve yönetilen uygulamalar da onunla birlikte silinir.
Kullanıcı Kaydı: Kullanıcı Kaydı, kullanıcıya ait aygıtlar için tasarlanmıştır ve aygıtta bir kullanıcı kimliği oluşturmak için Yönetilen Apple Kimliği ile birleştirilmiştir. Yönetilen Apple Kimlikleri, Kullanıcı Kaydı profilinin bir parçasıdır ve kaydın tamamlanması için kullanıcının kimliğini başarılı bir şekilde doğrulaması gerekir. Yönetilen Apple Kimlikleri, kullanıcının daha önce giriş yaparken kullandığı kişisel bir Apple kimliğiyle birlikte kullanılabilir. Yönetilen uygulamalar ve hesaplar bir Yönetilen Apple Kimliği, kişisel uygulamalar ve hesaplar ise kişisel bir Apple kimliği kullanır.
Aygıt sınırlamaları
Sınırlamalar, kullanıcıların belirli bir uygulamaya, servise veya bir MDM çözümüne kayıtlı bir iPhone, iPad, Mac veya Apple TV işlevine erişmesini engellemeye yardımcı olmak için yöneticiler tarafından etkinleştirilebilir (ya da bazı durumlarda etkisizleştirilebilir). Sınırlamalar, bir konfigürasyon profilinin parçası olan bir sınırlama verisiyle aygıtlara gönderilir. iPhone’daki belirli sınırlamalar, eşlenen bir Apple Watch’a yansıtılabilir.
Parola ayarları yönetimi
Saptanmış olarak, kullanıcı parolası sayısal bir PIN olarak tanımlanabilir. Face ID’li veya Touch ID’li iOS ve iPadOS aygıtlarında, minimum parola uzunluğu dört basamaktır. Daha uzun ve karmaşık parolaların tahmin edilmesi veya saldırıya uğraması daha zor olduğu için böyle parolalar önerilir.
Yöneticiler, MDM veya Microsoft Exchange ActiveSync kullanarak ya da kullanıcıların konfigürasyon profillerini elle yüklemesini isteyerek karmaşık parola gereksinimlerini ve diğer politikaları zorunlu kılabilir. macOS parola politikası verisi yüklemesi için yönetici parolası gerekir. Bazı parola politikaları belirli bir parola uzunluğu, bileşim veya başka özellikler gerektirebilir.