移动设备管理安全性概览
Apple 操作系统支持移动设备管理 (MDM),可让组织安全地配置和管理规模化的 Apple 设备部署。
MDM 如何安全工作
MDM 功能以现有的操作系统技术为基础,如配置描述文件、无线注册和 Apple 推送通知服务 (APNs)。例如,APNs 用于唤醒设备,使设备可以通过安全的连接与其 MDM 解决方案直接通信。使用 APNs,不会传输任何机密或专有信息。
通过 MDM,IT 部门可在企业环境中注册 Apple 设备、无线配置和更新设置、监控公司政策的遵循情况、管理软件更新策略,甚至可以远程擦除或锁定被管理的设备。
除了 iOS、iPadOS、macOS 和 Apple tvOS 支持的传统设备注册之外,iOS 13 或更高版本、iPadOS 13.1 或更高版本和 macOS 10.15 或更高版本还增加了一个注册类型:用户注册。用户注册是特别针对“自带设备办公” (BYOD) 部署的 MDM 注册,此类设备归个人所有,但在受管理的环境中使用。与未受监督的设备注册相比,用户注册授予 MDM 解决方案更多有限的权限并提供用户和企业数据的独立加密。
注册类型
自动设备注册:自动设备注册允许组织从设备开箱时起就可配置和管理设备(该过程称为自动前进部署)。这些设备称为被监督的设备,用户可以选择阻止 MDM 描述文件被用户移除。自动设备注册针对组织所有的设备而设计。
设备注册:设备注册允许组织让用户手动注册设备并管理设备使用的各个不同方面,包括抹掉设备的功能。设备注册还具有大量有效负载和访问限制,可应用到设备。用户移除注册描述文件后,基于该注册描述文件的所有配置描述文件、用户设置和被管理的 App 都将随之移除。
用户注册:用户注册专为用户所有的设备而设计且与“管理式 Apple ID”集成,用于在设备上建立用户身份。“管理式 Apple ID”是用户注册描述文件中的一部分,用户必须成功认证才能完成注册。“管理式 Apple ID”可与用户已登录的个人 Apple ID 共同使用。受管理的 App 和帐户使用“管理式 Apple ID”,而个人 App 和帐户使用个人 Apple ID。
设备访问限制
访问限制可由管理员启用,在部分情况下也可停用。它的作用是帮助阻止用户访问 MDM 解决方案中已注册 iPhone、iPad、Mac 或 Apple TV 的特定 App、服务或功能。作为配置描述文件的一部分,访问限制有效负载中的访问限制会被发送到设备。iPhone 上的某些访问限制可以镜像到配对的 Apple Watch 上。
密码设置管理
默认情况下,用户的密码可以设置为一个数字 PIN 码。在配备面容 ID 或触控 ID 的 iOS 和 iPadOS 设备中,密码长度最短为 4 位数。建议使用较长、较复杂的密码,因为这样的密码很难被猜中或遭到攻击。
管理员可以使用 MDM 或 Microsoft Exchange ActiveSync,或者要求用户手动安装配置描述文件,以强制实施复杂密码的要求及其他策略。安装 macOS 密码策略有效负载需要管理员密码。部分密码策略可以要求特定的密码长度、密码组合或其他属性。