流動裝置管理保安概覽
Apple 作業系統支援流動裝置管理(MDM),此解決方案讓機構可安全地設定及管理有規模的 Apple 裝置部署。
MDM 如何安全運作
MDM 功能建基於設定、無線註冊和「Apple 推送通知服務」(APNs)等作業系統技術。例如,APNs 可用來喚醒裝置,並觸發裝置透過安全連線與 MDM 解決方案直接進行通訊。任何機密或專有資料皆不會透過 APNs 傳輸。
使用 MDM,IT 部門便可以為企業或教育環境中的 Apple 裝置註冊、以無線方式設定配置和更新設定、監控遵守狀況、管理軟件更新,甚至可以遙距清除或鎖定受管理的裝置。
在 iOS 13、iPadOS 13.1 和 macOS 10.15 或較新版本中,Apple 裝置支援專為「員工自攜裝置」BYOD 計劃設計的新註冊選項。「用户註冊」讓用户在其擁有的裝置上擁有更多自主權,同時以加密編譯方式將受管理的資料隔離,從而提高企業資料的保安。此選項可在 BYOD 計劃的保安、私隱和用户體驗上取得更佳的平衡。在 iOS 17、iPadOS 17 和 macOS 14 或較新版本中,為基於帳户的「裝置註冊」加入了類似的資料隔離機制。
註冊類型
用户註冊:「用户註冊」專為用户持有的裝置而設,並會與「管理式 Apple ID」結合,以在裝置上建立用户身份。初始註冊需要「管理式 Apple ID」,用户必須成功認證才能順利註冊。管理式 Apple ID 可配搭用户已登入的個人 Apple ID 使用。受管理的 App 和帳户使用「管理式 Apple ID」,而個人 App 和帳户則使用個人 Apple ID。
裝置註冊:「裝置註冊」允許機構讓用户手動註冊裝置,然後管理許多裝置使用層面,包含清除裝置的功能在內。「裝置註冊」也有較大範圍的設定和取用限制可套用至裝置。當用户移除註冊描述檔,所有配置、設定,以及基於該註冊描述檔的受管理 App 都會被移除。與「用户註冊」類似,「裝置註冊」也可以與「管理式 Apple ID」整合。這種基於帳户的「裝置註冊」還提供一起使用「管理式 Apple ID」與個人 Apple ID 的功能,並會以加密編譯方式將企業資料隔離。
自動裝置註冊:「自動裝置註冊」讓機構在裝置開箱的當下即可進行設定及管理。這些裝置稱為受監管,且用户可選擇讓用户無法移除 MDM 描述檔。「自動裝置註冊」是專為機構擁有的裝置而設計。
裝置功能限制
取用限制可由管理員啟用,或在部份情況下停用,以協助防止用户在 MDM 解決方案中註冊的 iPhone、iPad、Mac、Apple TV 或 Apple Watch 上取用特定的 App、服務或功能。取用限制會以取用限制承載資料的形式傳送至裝置,其為設定的一部份。iPhone 上的某些取用限制可能會複製到配對的 Apple Watch 上。
密碼設定管理
依照預設,在 iOS、iPadOS 和 watchOS 上,用户的密碼可定義為數值的 PIN。在配備 Face ID 或 Touch ID 的 iPhone 和 iPad 裝置上,預設密碼長度為六位數,最少為四位數。因較長且複雜的密碼比較難以猜測或攻擊,建議使用此類密碼。
管理員可以使用 MDM 或在 iOS 和 iPadOS 上使用 Microsoft Exchange,強制執行複雜的密碼要求和其他規則。如 macOS 密碼規則承載資料是以手動方式安裝,就需要使用管理員密碼。密碼規則可能需要特定的密碼長度、組成內容或其他屬性。
Apple Watch 預設使用數字密碼。如果套用至受管理 Apple Watch 的密碼規則要求使用非數字字元,就需要使用已配對的 iPhone 來解鎖裝置。