MDM-säkerhet i översikt
Apples operativsystem har stöd för MDM (Mobile Device Management) som gör det möjligt för organisationer att säkert konfigurera och hanterade skalade driftsättningar av Apple-enheter.
Hur MDM fungerar på ett säkert sätt
MDM-funktionerna bygger på operativsystemteknik som konfigurationer, trådlös registrering och Apples tjänst för pushnotiser (APNs). Exempelvis används APNs till att väcka enheten och trigga den så att den kommunicerar direkt med MDM-lösningen via en säker anslutning. Ingen konfidentiell eller företagsägd information överförs via APNs.
Med hjälp av MDM kan IT-avdelningar registrera Apple-enheter i en företags- eller utbildningsmiljö, konfigurera och uppdatera inställningar trådlöst, övervaka att policyer efterlevs, hantera programuppdateringar och till och med fjärrlåsa eller fjärradera hanterade enheter.
I iOS 13, iPadOS 13.1 och macOS 10.15 eller senare får Apple-enheter stöd för ett nytt alternativ för användarregistrering som är specifikt utformat för BYOD (bring your own device)-program. Användarregistrering ger användarna större möjlighet att styra över sina egna enheter, samtidigt som säkerheten för företagsdata ökar genom att hanterade data separeras kryptografiskt. Detta ger en bättre balans mellan säkerhet, integritet och användarupplevelse i BYOD-program. En liknande mekanism för dataseparering har lagts till för kontodriven enhetsregistrering i iOS 17, iPadOS 17 och macOS 14 eller senare.
Registreringstyper
Användarregistrering: Användarregistreringen är utformad för enheter som ägs av användaren och är integrerad med hanterade Apple-ID:n för att skapa en användaridentitet på enheten. Hanterade Apple-ID:n krävs för att inleda registreringen och användare måste autentisera innan registreringen slutförs. Hanterade Apple-ID:n kan användas tillsammans med ett personligt Apple-ID som användaren redan har loggat in med. Hanterade appar och konton använder ett hanterat Apple‑ID och personliga appar och konton använder ett personligt Apple-ID.
Enhetsregistrering: Med enhetsregistrering kan organisationer låta användarna registrera enheter manuellt och sedan hantera många olika aspekter av enhetsanvändningen, inklusive möjligheten att radera enheten. Enhetsregistrering har också en större uppsättning konfigurationer och begränsningar som kan användas på enheten. När en användare tar bort en registreringsprofil blir även alla konfigurationer, inställningar och hanterade appar som är kopplade till den registreringsprofilen borttagna. I likhet med användarregistrering kan även enhetsregistrering integreras med ett hanterat Apple‑ID. Den kontodrivna enhetsregistreringen gör det också möjligt att använda ett hanterat Apple‑ID tillsammans med ett personligt Apple-ID och separerar företagsdata kryptografiskt.
Automatisk enhetsregistrering: Med automatisk enhetsregistrering kan organisationer konfigurera och hantera enheter från det ögonblick de plockas upp ur förpackningen. De här enheterna kallas för övervakade och organisationen kan välja att förhindra att enhetsanvändaren kan ta bort MDM-profilen. Automatisk enhetsregistrering är skapad för enheter som ägs av organisationen.
Enhetsbegränsningar
Begränsningar kan aktiveras – eller i vissa fall avaktiveras – för att förhindra att användare kommer åt en specifik app, tjänst eller funktion på en iPhone, iPad, Mac, Apple TV eller Apple Watch som har registrerats i en MDM-lösning. Begränsningar skickas till enheter i en begränsningsnyttolast som är en del av en konfiguration. En del begränsningar på en iPhone kan speglas på en parkopplad Apple Watch.
Hantering av inställningar för lösenkoder och lösenord
Den förvalda inställningen är att användaren får ange en numerisk PIN-kod som lösenkod i iOS, iPadOS och watchOS. På iPhone- och iPad-enheter med Face ID eller Touch ID är den förvalda lösenkodslängden sex siffror och den kortast möjliga är fyra siffror. Längre och mer komplexa lösenkoder är svårare att gissa eller knäcka och rekommenderas därför.
Administratörer kan genomdriva komplexa lösenkodskrav och andra policyer med MDM eller via Microsoft Exchange i iOS och iPadOS. Ett administratörslösenord krävs vid manuell installation av nyttolasten för macOS-lösenkodspolicyn. Lösenkodspolicyer kan kräva en särskild lösenkodslängd, sammansättning eller andra attribut.
Apple Watch använder numeriska lösenkoder som förval. Om en lösenkodspolicy som används för en hanterad Apple Watch kräver att icke-numeriska tecken används måste dess parkopplade iPhone användas till att låsa upp enheten.