使用 Apple 裝置的內建網路安全性功能
Apple 裝置具備內建網路安全性技術,可進行使用者授權並協助在傳輸期間保護其資料。Apple 裝置網路安全性支援包含:
內建 IPsec、IKEv2、L2TP
透過 App Store App 的自訂 VPN(iOS、iPadOS、visionOS)
透過第三方 VPN 用戶端的自訂 VPN(macOS)
傳輸層安全性(TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3)和 DTLS
使用 X.509 憑證的 SSL/TLS
使用 802.1X 認證的 WPA/WPA2/WPA3 企業級
憑證型驗證
共享密鑰和 Kerberos 認證
RSA SecurID、CRYPTOCard(macOS)
iOS、iPadOS、macOS 和 tvOS 中的網路轉送
iOS 17、iPadOS 17、macOS 14、tvOS 17 或以上版本中的內建轉送可將加密的 HTTP/3 或 HTTP/2 連線用作 VPN 替代方案來確保流量安全。網路轉送是特殊的代理伺服器類型,針對效能最佳化並使用透明安全的最新通訊協定。網路轉送可用來確保特定 App、整部裝置和取用內部資源時的 TCP 和 UDP 流量安全。包含「iCloud 私密轉送」的多個網路轉送可以同時使用,不需要 App。如需更多資訊,請參閱:使用網路轉送。
VPN 和 IPsec
許多企業環境都具備了某種形式的虛擬私人網路(VPN)。這些 VPN 服務通常只需要基本的安裝與設定就可以搭配 Apple 裝置一起運作,並整合了許多常用的 VPN 技術。
iOS、iPadOS、macOS、tvOS、watchOS 和 visionOS 支援 IPsec 通訊協定和認證方式。如需更多資訊,請參閱:VPN 概覽。
TLS
SSL 3 加密通訊協定和 RC4 對稱加密套件已在 iOS 10 和 macOS 10.12 中被取代。依照預設,以「安全傳輸 API」建置的 TLS 用戶端或伺服器並不會啟用 RC4 加密套件。基於此原因,在 RC4 是唯一可用的加密套件時便無法連接 TLS 用戶端或伺服器。為加強安全,需使用 RC4 的服務或 App 應升級以啟用加密套件。
其他安全性提昇包含:
要求 SMB 連線的簽署(macOS)
在 macOS 10.12 或以上版本中,支援將 AES 用作 Kerberized NFS的加密方式(macOS)
傳輸層安全性(TLS 1.2、TLS 1.3)
TLS 1.2 支援 AES 128 和 SHA-2。
SSL 3(iOS、iPadOS、visionOS)
DTLS(macOS)
Safari、「行事曆」、「郵件」與其他網際網路 App 會使用這些機制,以在 iOS、iPadOS、macOS 和 visionOS 與企業服務間啟用加密的通訊頻道。
你也可以為 EAP-TLS、EAP-TTLS、PEAP 和 EAP-FAST 的 802.1X 網路承載資料設定最低與最高的 TLS 版本。例如,你可以設定下列項目:
將兩者設定為相同的特定 TLS 版本
TLS 最小版本設為較低的值,而 TLS 最大版本設為較高的值,其之後會與 RADIUS 伺服器進行交涉
將值設為無,這樣可允許 802.1X 要求者與 RADIUS 伺服器交涉 TLS 版本
iOS、iPadOS、macOS 和 visionOS 會要求伺服器的分葉憑證使用簽名演算法的 SHA-2 系列進行簽署,並使用至少 2048 位元的 RSA 密鑰或至少 256 位元的 ECC 密鑰。
iOS 11、iPadOS 13.1、macOS 10.13、visionOS 1.1 或以上版本在 802.1X 認證中新增對 TLS v1.2 的支援。支援 TLS 1.2 的認證伺服器可能需要下列更新項目才具備相容性:
Cisco:ISE 2.3.0
FreeRADIUS:更新至版本 2.2.10 和 3.0.16。
Aruba ClearPass:更新至版本 6.6.x。
ArubaOS:更新至版本 6.5.3.4。
Microsoft:Windows Server 2012 - Network Policy Server。
Microsoft:Windows Server 2016 - Network Policy Server。
如需更多 802.1X 的資訊,請參閱:將 Apple 裝置連接到 802.1X 網路。
WPA/WPA2
所有 Apple 平台均支援業界標準 Wi-Fi 認證與加密通訊協定,以便在連接下列安全無線網路時提供經認證的存取權與保密性:
WPA2 個人級
WPA2 企業級
WPA2/WPA3 Transitional
WPA3 個人級
WPA3 企業級
WPA3 企業級 192 位元安全性
若要檢視 802.1X 無線認證協定的列表,請參閱:Mac 的 802.1X 設定。
隱藏和鎖定 App
在 iOS 18 和 iPadOS 18 或以上版本中,使用者可以要求 Face ID、Touch ID 或密碼才能打開 App,以及將其從主畫面隱藏。MDM 可以管理透過下列操作來管理這些選項的適用範圍:
控制使用者根據個別 App 隱藏和鎖定管理式 App 的能力
停用隱藏和鎖定受監管裝置上的所有 App
針對透過「使用者註冊」的裝置,已隱藏的 App 在接受管理時才會回報給 MDM。針對透過「裝置註冊」的裝置,已隱藏的 App 會回報給 MDM 作為所有已安裝之 App 的部分。
macOS 的區域網路連線
在 macOS 15 或以上版本中,想在使用者的區域網路上與裝置互動的第三方 App 或啟動代理程式必須在初次嘗試瀏覽區域網路時要求權限。
與 iOS 和 iPadOS 相似,使用者可以前往「系統設定」>「隱私權」>「區域網路」來允許或拒絕此權限。
FaceTime 和 iMessage 加密
iOS、iPadOS、macOS 和 visionOS 會替每位 FaceTime 和 iMessage 使用者建立獨有的識別碼,以協助確保通訊都經妥善加密、傳送及連接。