Mobil aygıt yönetimi güvenliğine genel bakış
Apple işletim sistemleri, kuruluşların ölçekli Apple aygıtı dağıtımlarını güvenli bir şekilde ayarlamalarını ve yönetmelerini sağlayan mobil aygıt yönetimini (MDM) destekler.
MDM nasıl güvenli çalışır?
MDM özellikleri; konfigürasyon, kablosuz kayıt ve Apple Anında İletme Bildirim servisi (APNs) gibi işletim sistemi teknolojilerine dayandırılır. Örneğin aygıtı uyandırmak ve aygıtın MDM çözümüyle güvenli bir bağlantı üzerinden doğrudan iletişimde bulunmasını başlatmak için APNs kullanılır. APNs üzerinden hiçbir gizli veya özel bilgi iletilmez.
BT bölümleri MDM kullanarak Apple aygıtlarını kurumsal ortama kaydedebilir, ayarları kablosuz olarak yapabilir ve güncelleyebilir, uyumluluğu izleyebilir, yazılım güncellemelerini yönetebilir ve hatta yönetilen aygıtları uzaktan silebilir veya kilitleyebilir.
iOS 13, iPadOS 13.1, macOS 10.15 veya daha yenisinde Apple aygıtları, özellikle “kendi aygıtını getir” BYOD programları için tasarlanmış yeni bir kayıt seçeneğini destekler. Kullanıcı Kaydı, yönetilen verileri şifreli bir şekilde ayırıp kurumsal verilerin güvenliğini artırırken kendi aygıtlarını kullanan kullanıcılar için daha fazla özerklik sağlar. Bu, BYOD programları için daha iyi bir güvenlik, gizlilik ve kullanıcı deneyimi dengesi sağlar. iOS 17, iPadOS 17, macOS 14 veya daha yenisinde hesap temelli aygıt kayıtları için benzer bir veri ayırma mekanizması eklenmiştir.
Kayıt türleri
Kullanıcı Kaydı: Kullanıcı Kaydı, kullanıcıya ait aygıtlar için tasarlanmıştır ve aygıtta bir kullanıcı kimliği oluşturmak için Yönetilen Apple Kimliği ile birleştirilmiştir. Kaydı başlatmak için Yönetilen Apple Kimlikleri gerekir ve kaydın başarılı olması için kullanıcının başarılı bir şekilde kimliğini doğrulaması gerekir. Yönetilen Apple Kimlikleri, kullanıcının daha önce giriş yaparken kullandığı kişisel bir Apple Kimliğiyle birlikte kullanılabilir. Yönetilen uygulamalar ve hesaplar Yönetilen Apple Kimliği, kişisel uygulamalar ve hesaplar ise kişisel Apple Kimliği kullanır.
Aygıt Kaydı: Aygıt Kaydı, kuruluşların kullanıcılara aygıtları elle kaydettirip daha sonra aygıtı silme de dahil olmak üzere aygıt kullanımıyla ilgili birçok farklı özelliği yönetme olanağı tanımasını sağlar. Aygıt Kaydı, aygıta uygulanabilecek daha geniş bir konfigürasyon ve sınırlama grubuna da sahiptir. Kullanıcı bir kayıt profilini sildiğinde, kayıt profilini taban alan tüm konfigürasyonlar, ayarlar ve yönetilen uygulamalar da silinir. Tıpkı Kullanıcı Kaydı gibi Aygıt Kaydı da bir Yönetilen Apple Kimliği ile birleştirilebilir. Bu hesap temelli Aygıt Kaydı, kişisel bir Apple Kimliği ile birlikte Yönetilen Apple Kimliği kullanabilme olanağı da sunar ve kurumsal verileri şifreli bir şekilde ayırır.
Otomatik Aygıt Kaydı: Otomatik Aygıt Kaydı, kuruluşların aygıtları kutudan çıkar çıkmaz ayarlayıp yönetmelerini sağlar. Bu aygıtlar denetlenip yönetilen aygıtlar olarak bilinir ve kullanıcıların MDM profilinin kullanıcı tarafından silinmesini engelleme seçeneği vardır. Otomatik Aygıt Kaydı, kuruluşa ait aygıtlar için tasarlanmıştır.
Aygıt sınırlamaları
Sınırlamalar, kullanıcıların belirli bir uygulamaya, servise veya bir MDM çözümüne kayıtlı bir iPhone, iPad, Mac, Apple TV veya Apple Watch işlevine erişmesini engellemeye yardımcı olmak için yöneticiler tarafından etkinleştirilebilir (ya da bazı durumlarda etkisizleştirilebilir). Sınırlamalar, bir konfigürasyonun parçası olan bir sınırlama verisiyle aygıtlara gönderilir. iPhone’daki belirli sınırlamalar, eşlenen bir Apple Watch’a yansıtılabilir.
Parola ayarları yönetimi
Saptanmış olarak, kullanıcı parolası iOS, iPadOS ve watchOS üzerinde sayısal bir PIN olarak tanımlanabilir. Face ID’li veya Touch ID’li iPhone ve iPad aygıtlarında saptanmış parola uzunluğu altı basamak, minimum parola uzunluğu ise dört basamaktır. Daha uzun ve karmaşık parolaların tahmin edilmesi veya saldırıya uğraması daha zor olduğu için böyle parolalar önerilir.
Yöneticiler, MDM veya iOS ve iPadOS üzerinde Microsoft Exchange kullanarak karmaşık parola gereksinimlerini ve diğer politikaları zorunlu kılabilir. macOS parola politikası verisi elle yüklendiğinde yönetici parolası gerekir. Parola politikaları belirli bir parola uzunluğu, bileşim veya başka özellikler gerektirebilir.
Apple Watch saptanmış olarak sayısal parolalar kullanır. Yönetilen bir Apple Watch’a uygulanan parola politikası sayısal olmayan karakterlerin kullanılmasını gerektiriyorsa aygıtın kilidini açmak için eşlenmiş iPhone’un kullanılması gerekir.