ภาพรวมความปลอดภัยของการจัดการอุปกรณ์เคลื่อนที่
ระบบปฏิบัติการของ Apple รองรับการจัดการอุปกรณ์เคลื่อนที่ (MDM) ซึ่งทำให้องค์กรสามารถกำหนดค่าและจัดการนำอุปกรณ์ Apple ไปใช้ได้อย่างปลอดภัย
MDM ทำงานอย่างปลอดภัยได้อย่างไร
ความสามารถของ MDM สร้างขึ้นบนเทคโนโลยีระบบปฏิบัติการ เช่น การกำหนดค่า การลงทะเบียนผ่านทางอากาศ และบริการการแจ้งเตือนแบบผลักข้อมูลของ Apple (APNs) ตัวอย่างเช่น จะใช้ APNs เพื่อปลุกและสั่งทำงานอุปกรณ์เพื่อสื่อสารกับโซลูชั่น MDM โดยตรงผ่านการเชื่อมต่อที่ปลอดภัย ข้อมูลลับหรือข้อมูลความเป็นเจ้าของจะไม่ส่งผ่าน APNs
เมื่อใช้ MDM แผนก IT จะสามารถลงทะเบียนอุปกรณ์ Apple ในสภาพแวดล้อมองค์กรหรือสถาบันการศึกษา กำหนดค่าและอัปเดตการตั้งค่าแบบไร้สาย ตรวจสอบการปฏิบัติตามกฎเกณฑ์ จัดการรายการอัปเดตซอฟต์แวร์ แม้กระทั่งล้างข้อมูลหรือล็อคอุปกรณ์ที่มีการจัดการจากระยะไกลได้
ใน iOS 13, iPadOS 13.1 และ macOS 10.15 ขึ้นไป อุปกรณ์ Apple จะรองรับตัวเลือกการลงทะเบียนผู้ใช้แบบใหม่ที่ออกแบบมาเพื่อโปรแกรม “นำอุปกรณ์ของคุณมาเอง” BYOD โดยเฉพาะ การลงทะเบียนผู้ใช้มอบอิสระให้กับผู้ใช้เกี่ยวกับอุปกรณ์ของตนเองมากขึ้น ขณะเดียวกันก็เพิ่มเติมความปลอดภัยของข้อมูลขององค์กรโดยการแยกข้อมูลที่มีการจัดการแบบเข้ารหัส ซึ่งมอบความสมดุลด้านความปลอดภัย ความเป็นส่วนตัว และประสบการณ์ผู้ใช้สำหรับโปรแกรม BYOD ให้ดียิ่งขึ้น กลไกการแยกข้อมูลที่คล้ายกันได้ถูกเพิ่มไว้สำหรับการลงทะเบียนอุปกรณ์ที่ขับเคลื่อนด้วยบัญชีใน iOS 17, iPadOS 17 และ macOS 14 ขึ้นไป
ประเภทการลงทะเบียน
การลงทะเบียนผู้ใช้: การลงทะเบียนผู้ใช้ได้รับการออกแบบสำหรับอุปกรณ์ที่ผู้ใช้เป็นเจ้าของและจะผสานรวมกับ Apple ID ที่มีการจัดการเพื่อสร้างข้อมูลประจำตัวของผู้ใช้บนอุปกรณ์ ต้องใช้ Apple ID ที่มีการจัดการเพื่อเริ่มการลงทะเบียน และผู้ใช้ต้องตรวจสอบสิทธิ์ให้เสร็จเรียบร้อยเพื่อให้การลงทะเบียนสำเร็จ Apple ID ที่มีการจัดการสามารถใช้พร้อมกับ Apple ID ส่วนบุคคลที่ผู้ใช้ได้ลงชื่อเข้าไว้อยู่แล้ว แอปและบัญชีที่มีการจัดการใช้ Apple ID ที่มีการจัดการ ส่วนแอปและบัญชีส่วนบุคคลใช้ Apple ID ส่วนบุคคล
การลงทะเบียนอุปกรณ์: การลงทะเบียนอุปกรณ์ทำให้องค์กรสามารถให้ผู้ใช้ลงทะเบียนอุปกรณ์ แล้วจัดการการใช้งานอุปกรณ์ในลักษณะต่างๆ มากมายได้ด้วยตัวเอง รวมถึงความสามารถในการลบอุปกรณ์ การลงทะเบียนอุปกรณ์ยังมีชุดการกำหนดค่าและการจำกัดขนาดใหญ่ขึ้นที่สามารถปรับใช้กับอุปกรณ์ได้อีกด้วย เมื่อผู้ใช้เอาโปรไฟล์การลงทะเบียนออก การกำหนดค่า การตั้งค่า และแอปที่มีการจัดการทั้งหมดที่อิงตามโปรไฟล์การลงทะเบียนนั้นจะถูกเอาออกไปด้วยเช่นกัน ในทำนองเดียวกับการลงทะเบียนผู้ใช้ การลงทะเบียนอุปกรณ์ยังสามารถผสานรวมกับ Apple ID ที่มีการจัดการได้อีกด้วย การลงทะเบียนอุปกรณ์ที่ขับเคลื่อนด้วยบัญชีนี้ยังให้ความสามารถในการใช้ Apple ID ที่มีการจัดการควบคู่กับ Apple ID ส่วนบุคคลและแยกข้อมูลองค์กรแบบเข้ารหัสอีกด้วย
การลงทะเบียนอุปกรณ์แบบอัตโนมัติ: การลงทะเบียนอุปกรณ์แบบอัตโนมัติช่วยให้องค์กรกำหนดค่าและจัดการอุปกรณ์ได้ทันทีที่อุปกรณ์ถูกแกะออกจากกล่อง อุปกรณ์เหล่านี้เรียกว่าอุปกรณ์ที่ได้รับการกำกับดูแล และผู้ใช้มีตัวเลือกในการป้องกันไม่ให้ผู้ใช้เอาโปรไฟล์ MDM ออก การลงทะเบียนอุปกรณ์แบบอัตโนมัติได้รับการออกแบบสำหรับอุปกรณ์ที่องค์กรเป็นเจ้าของ
การจำกัดอุปกรณ์
การจำกัดสามารถเปิดใช้งานได้ หรือในบางกรณีปิดใช้งานได้โดยผู้ดูแลระบบเพื่อช่วยป้องกันไม่ให้ผู้ใช้เข้าถึงแอป บริการ หรือฟังก์ชั่นเฉพาะของ iPhone, iPad, Mac, Apple TV หรือ Apple Watch ที่ลงเบียนในโซลูชั่น MDM การจำกัดจะถูกส่งไปที่อุปกรณ์ในเพย์โหลดการจำกัดซึ่งเป็นส่วนหนึ่งของการกำหนดค่า การจำกัดบางอย่างบน iPhone ที่ได้รับการจัดการอาจจะสะท้อนหน้าจอบน Apple Watch ที่จับคู่อยู่
การจัดการการตั้งค่ารหัสและรหัสผ่าน
ตามค่าเริ่มต้นแล้ว จะสามารถกำหนดรหัสของผู้ใช้เป็น PIN ตัวเลขบน iOS, iPadOS และ watchOS ได้ ความยาวเริ่มต้นของรหัสสำหรับอุปกรณ์ iPhone และ iPad ที่มี Face ID หรือ Touch ID คือหกหลัก โดยขั้นต่ำคือสี่หลัก ขอแนะนำให้ใช้รหัสที่ยาวขึ้นและซับซ้อนขึ้นเนื่องจากจะทำให้เดาหรือโจมตีได้ยากขึ้น
ผู้ดูแลระบบสามารถบังคับใช้ข้อกำหนดการตั้งรหัสที่ซับซ้อนและนโยบายอื่นๆ โดยใช้ MDM หรือ Microsoft Exchange บน iOS และ iPadOS ได้ จำเป็นต้องใช้รหัสผ่านผู้ดูแลระบบเมื่อติดตั้งเพย์โหลดนโยบายรหัส macOS ด้วยตัวเอง นโยบายรหัสสามารถกำหนดความยาว องค์ประกอบ หรือคุณลักษณะอื่นของรหัสได้
Apple Watch ใช้รหัสตัวเลขตามค่าเริ่มต้น ถ้านโยบายรหัสที่ปรับใช้กับ Apple Watch ที่มีการจัดการกำหนดให้ใช้อักขระที่ไม่ใช่ตัวเลข ต้องใช้ iPhone ที่จับคู่อยู่เพื่อปลดล็อคอุปกรณ์