流動裝置管理保安概覽
Apple 作業系統支援流動裝置管理(MDM),此解決方案讓機構可安全地設定及管理有規模的 Apple 裝置部署。
MDM 如何安全運作
MDM 功能建基於設定描述檔、無線註冊和「Apple 推送通知服務」(APNs)等現有的作業系統技術。例如,APNs 可用來喚醒裝置,以便其可透過安全連線與 MDM 解決方案直接進行通訊。使用 APN 不會傳輸機密或專有資料。
使用 MDM,IT 部門便可以為企業環境中的 Apple 裝置註冊、以無線方式設定配置和更新設定、監控公司政策的遵守狀況、管理軟件更新政策,甚至可以遙距清除或鎖定受管理的裝置。
除 iOS、iPad OS、macOS 和 tvOS 支援的傳統裝置註冊外,新的註冊類型(用户註冊)亦已加至 iOS 13 或較新版本、iPadOS 13.1 或較新版本,以及 macOS 10.15或較新版本。用户註冊是專為「員工自攜裝置」(BYOD)部署而設的 MDM 註冊方式,意思是裝置由個人擁有,但在受管理環境下使用。用户註冊授予 MDM 解決方案的權限比不受監管裝置註冊的權限較為有限,且會使用加密方式將用户和公司資料分隔。
註冊類型
自動裝置註冊:「自動裝置註冊」讓機構在裝置開箱的當下即可進行設定及管理(以稱為「自動進行部署」的程序)。這些裝置稱為受監管,且用户可選擇讓用户無法移除 MDM 描述檔。「自動裝置註冊」是專為機構擁有的裝置而設計。
裝置註冊:「裝置註冊」允許機構讓用户手動註冊裝置,然後管理許多裝置使用層面,包含清除裝置的功能在內。「裝置註冊」也有較大範圍的承載資料和取用限制可套用至裝置。當用户移除註冊描述檔,所有設定描述檔及其設定,以及該註冊描述檔之受管理的 App 都會一併移除。
用户註冊:「用户註冊」專為用户持有的裝置而設,並會與「管理式 Apple ID」結合,以在裝置上建立用户身份。「管理式 Apple ID」是「用户註冊」描述檔的一部份,用户必須認證成功以完成註冊。管理式 Apple ID 可配搭用户已登入的個人 Apple ID 使用。受管理的 App 和帳户使用管理式 Apple ID,而個人 App 和帳户則使用個人 Apple ID。
裝置功能限制
取用限制可由管理員啟用,或在部份情況下停用,以協助防止用户在 MDM 解決方案中註冊的 iPhone、iPad、Mac 或 Apple TV 上取用特定的 App、服務或功能。取用限制會以取用限制承載資料的形式傳送至裝置,其為設定描述檔的一部份。iPhone 上的某些取用限制可能會複製到配對的 Apple Watch 上。
密碼設定管理
依照預設,用户的密碼可定義為數值的 PIN。在配備 Face ID 或 Touch ID 的 iOS 和 iPadOS 裝置上,密碼長度至少需有四位數。因較長且複雜的密碼比較難以猜測或攻擊,建議使用此類密碼。
管理員可以使用 MDM 或 Microsoft Exchange ActiveSync,或是要求用户手動安裝設定描述檔,來強制實施複雜密碼要求和其他規則。安裝 macOS 密碼規則承載資料需使用管理員密碼。有些密碼規則可能需要特定的密碼長度、組成內容或其他屬性。