行動裝置管理安全性概覽
Apple 作業系統支援行動裝置管理(MDM),此解決方案讓組織可安全地設定及管理有規模的 Apple 裝置部署。
MDM 如何安全運作
設定描述檔、無線註冊和「Apple 推播通知服務」(APNs)等現有的作業系統技術均內建 MDM 功能。例如,APNs 可用來喚醒裝置,以便其可透過安全連線與 MDM 解決方案直接進行通訊。透過 APNs,便無法傳輸機密或專有資訊。
使用 MDM,IT 部門便可以為企業環境中的 Apple 裝置註冊、以無線方式設定配置和更新設定、監控公司政策的遵守狀況、管理軟體更新政策,甚至可以遠端清除或鎖定受管理的裝置。
除了 iOS、iPadOS、macOS 和 tvOS 支援的傳統裝置註冊外,iOS 13 或以上版本、iPadOS 13.1 或以上版本和 macOS 10.15 或以上版本還加入了一個註冊類型:使用者註冊。「使用者註冊」是專門針對「員工自攜裝置」(BYOD)部署設計的 MDM 註冊方式,此情況下裝置屬於員工個人所有,但用於受管理的環境中。相較於非受監管的裝置註冊,「使用者註冊」會授予 MDM 解決方案更受限的權限,然後提供使用者與公司資料的加密編譯分隔功能。
註冊類型
自動裝置註冊:「自動裝置註冊」讓組織在裝置開箱的當下即可進行設定及管理(以稱為「自動進行部署」的程序)。這些裝置稱為受監管,且使用者可選擇讓使用者無法移除 MDM 描述檔。「自動裝置註冊」是為了由組織擁有的裝置所設計。
裝置註冊:「裝置註冊」允許組織讓使用者手動註冊裝置,然後管理許多裝置使用層面,包含清除裝置的功能在內。「裝置註冊」也有較大範圍的承載資料和取用限制可套用至裝置。當使用者移除註冊描述檔,所有設定描述檔、描述檔設定,以及該註冊描述檔之受管理的 App 都會一併移除。
使用者註冊:「使用者註冊」專為使用者擁有的裝置所設計,且與管理式 Apple ID 整合以在裝置上建立使用者識別身分。管理式 Apple ID 是「使用者註冊」描述檔的一部分,使用者必須成功認證才能完成註冊。管理式 Apple ID 可搭配使用者已登入的個人 Apple ID 使用。受管理的 App 和帳號使用管理式 Apple ID,而個人 App 和帳號則使用個人 Apple ID。
裝置取用限制
取用限制可由管理者啟用,或在部分情況下停用,以協助防止使用者取用特定 App、服務,或在 MDM 解決方案中註冊的 iPhone、iPad、Mac 或 Apple TV 的功能。取用限制會傳送至取用限制承載資料中的裝置,其為設定描述檔的一部分。iPhone 上的某些取用限制可能會反映在配對的 Apple Watch 上。
密碼與密碼設定管理
依照預設,使用者的密碼可定義為數值的 PIN。在配備 Face ID 或 Touch ID 的 iOS 和 iPadOS 裝置上,密碼長度至少需有四位數。由於較長且複雜的密碼比較難以猜測或攻擊,因此建議使用此類密碼。
管理者可以使用 MDM 或 Microsoft Exchange ActiveSync,或是要求使用者手動安裝設定描述檔,來強制實施複雜密碼要求和其他規則。macOS 密碼規則承載資料安裝需使用管理者密碼。有些密碼規則可能需要特定的密碼長度、組成內容或其他屬性。