Administrar el acceso de los accesorios a los dispositivos Apple
Administrar las computadoras Mac
La seguridad de los accesorios (conocida como Modo restringido) de macOS está diseñada para proteger a los clientes de ataques de acceso cercano con accesorios alámbricos. Para laptops Mac con Apple Chip y macOS 13 o una versión posterior, de forma predeterminada se solicita al usuario que permita los accesorios nuevos. En Configuración del Sistema, el usuario tiene cuatro opciones para permitir que los accesorios se conecten:
Preguntar cada vez
Preguntar por los nuevos accesorios
Automáticamente al estar desbloqueada
Siempre
Si un usuario conecta un accesorio desconocido (Thunderbolt, USB, o —en macOS 13.3 o posterior— una tarjeta SD de capacidad ampliada “SDXC”) a una Mac que está bloqueada, se le pide que desbloquee la Mac. Los accesorios aprobados pueden conectarse a una Mac bloqueada hasta 3 días después de la última vez que se bloqueó la Mac. Al conectar cualquier accesorio después de 3 días, se le pide al usuario que desbloquee la Mac para usar el accesorio.
En algunos entornos puede ser necesario anular la autorización del usuario. Las soluciones de MDM pueden controlar este comportamiento con la restricción allowUSBRestrictedMode para permitir siempre los accesorios.
Nota: estas conexiones no se aplican a adaptadores de corriente, pantallas que no sean Thunderbolt, hubs aprobados, tarjetas inteligentes enlazadas, ni a una Mac que tenga abierto Asistente de Configuración o que se haya iniciado desde recoveryOS.
Administrar los dispositivos iPhone y iPad
Administrar las computadoras host con las que se puede enlazar un dispositivo iPhone o iPad es importante por motivos de seguridad y de conveniencia para el usuario. Por ejemplo, la capacidad de conectar estaciones de autoservicio de manera segura para actualizar el software o compartir la conexión a Internet de una Mac requiere una relación de confianza entre el iPhone o iPad y la computadora servidor.
Para enlazar dispositivos, normalmente el usuario conecta su dispositivo a una computadora host mediante un cable USB (o Thunderbolt, si el modelo de iPad es compatible). Aparece un mensaje en el dispositivo del usuario en el que se le pregunta si quiere establecer una relación de confianza con la computadora.
Después, se le pide al usuario ingresar su código para confirmar esta decisión. A partir de ese momento, todas las conexiones que se realicen con la misma computadora servidor se tomarán como de confianza automáticamente. Los usuarios pueden borrar las relaciones de enlaces de confianza en Configuración > General > Restablecer > Restablecer Localización y privacidad o borrando su dispositivo. Además, estos registros de confianza se eliminan si pasan 30 días sin que se utilicen.
Administración mediante MDM del enlace de hosts
Un administrador puede usar la restricción Permitir enlazar con servidores que no sean hosts Apple Configurator para administrar la capacidad de los dispositivos Apple supervisados para confiar manualmente en las computadoras host que son de confianza. Al desactivar la capacidad de enlace del host (y distribuir las identidades de supervisión correctas a sus dispositivos), el administrador garantiza que sólo las computadoras de confianza con un certificado de host de supervisión válido puedan acceder a los dispositivos iPhone y iPad en cuestión mediante USB (o Thunderbolt si el modelo de iPad es compatible). Si no se ha configurado ningún certificado de servidor en la computadora servidor, se desactiva el enlace.
Nota: la configuración de inscripción de dispositivos Apple allow_pairing dejó de estar disponible con iOS 13 y iPadOS 13.1. En adelante, los administradores deberían usar en su lugar la guía anterior, ya que proporciona más flexibilidad al seguir permitiendo el emparejamiento con hosts de confianza. También permite cambiar la configuración de enlace de hosts sin tener que borrar el iPhone o iPad.
Protección de los flujos de trabajo de restauración sin enlazar
En iOS 14.5 y iPadOS 14.5 o posterior, una computadora host sin enlazar no puede reiniciar un dispositivo en recoveryOS (también conocido como modo de recuperación) y restaurarlo sin interacción física local. Antes de este cambio, un usuario autorizado podía borrar y restaurar el dispositivo de un usuario sin interactuar directamente con el iPhone o iPad. Sólo necesitaban conectar el dispositivo deseado con una computadora mediante un cable USB, o Thunderbolt si el iPad es compatible (por ejemplo, el que se usa para cargar la batería).
Restringir el arranque externo para recuperar un iPhone o iPad
Ahora, con iOS 14.5 y iPadOS 14.5 o posterior, se restringe de forma predeterminada esta capacidad de recuperación de las computadoras host que se había indicado antes que eran de confianza. Si los administradores no quieren elegir este comportamiento más seguro, pueden activar la restricción Permitir que un dispositivo iOS o iPadOS entre en modo de recuperación desde un servidor no enlazado.
Usar adaptadores Ethernet con iPhone o iPad
Un dispositivo iPhone o iPad con un adaptador Ethernet mantiene una conexión activa a una red conectada incluso antes de desbloquear el dispositivo por primera vez, si el dispositivo tiene la restricción desactivada. Este enfoque es útil cuando el dispositivo debe recibir un comando de MDM cuando no hay redes Wi-Fi ni celulares disponibles, y no se ha desbloqueado el dispositivo desde que se reinició o se encendió tras un estado de apagado; por ejemplo, cuando un usuario olvidó su código y la solución MDM intenta borrarlo.
La configuración del modo restringido en un iPhone o iPad puede ser administrada por:
El administrador de MDM con la restricción del modo USB restringido. Esta configuración requiere que el dispositivo sea supervisado.
El usuario en Configuración > Touch ID/Face ID y código > Accesorios.