Apple aygıtlarına aksesuar erişimini yönetme
Mac bilgisayarları yönetme
macOS için aksesuar güvenliği (diğer adıyla Sınırlı Mod), müşterileri kablolu aksesuarlarla yakın erişim saldırılarından korumak için tasarlanmıştır. macOS 13 veya daha yenisine sahip Apple Silicon çipli Mac dizüstü bilgisayarlar için saptanmış konfigürasyon, kullanıcıdan yeni aksesuarlara izin vermesini istemektir. Kullanıcının aksesuarların bağlanmasına izin vermek için Sistem Ayarları’nda dört seçeneği vardır:
Her zaman sor
Yeni aksesuarlarda sor
Kilitli değilken otomatik olarak
Her zaman
Bir kullanıcı bilinmeyen bir aksesuarı (Thunderbolt, USB ya da macOS 13.3 veya daha yenisine sahip, SD Yükseltilmiş Kapasite “SDXC” kartları) kilitli bir Mac’e bağlarsa Mac’in kilidini açması istenir. Onaylanan aksesuarlar kilitli Mac’e, Mac’in son kilitlenme zamanından sonraki 3 güne kadar bağlanabilir. 3 günden sonra bağlanan aksesuarlar kullanıcıdan “Aksesuarları kullanmak için kilidi açmasını” ister.
Bazı ortamlarda kullanıcı kimlik doğrulamasını atlamak gerekebilir. MDM çözümleri bu davranışı, aksesuarlara her zaman izin vermek için var olan allowUSBRestrictedMode
sınırlamasını kullanarak denetleyebilir.
Not: Bu bağlantılar; güç adaptörleri, Thunderbolt olmayan ekranlar, onaylı hub’lar, eşlenmiş akıllı kartlar ya da Ayarlama Yardımcısı’nda olan veya recoveryOS’ten başlatılmış bir Mac için geçerli değildir.
iPhone ve iPad aygıtlarını yönetme
Bir iPhone’un ve iPad’in hangi ana bilgisayarlarla eşlenebileceğini yönetmek, güvenlik ve kullanım kolaylığı açısından önemlidir. Örneğin yazılım güncellemek veya bir Mac bilgisayarının internet bağlantısını paylaşmak amacıyla self servis istasyonlara güvenle bağlanabilme özelliği, iPhone veya iPad ile ana bilgisayar arasında bir güven ilişkisi gerektirir.
Aygıt eşleme genellikle kullanıcı tarafından, aygıtını USB (veya bir iPad modeli bunu destekliyorsa Thunderbolt) kablosu ile ana bilgisayara bağladığında gerçekleştirilir. Kullanıcının aygıtında, bilgisayarla güven ilişkisi kurmak isteyip istemediğini soran bir bilgi istemi görünür.
Daha sonra kullanıcıdan bu kararı onaylamak üzere parolasını girmesi istenir. Aynı ana bilgisayarla kurulacak diğer bağlantılara bundan sonra otomatik olarak güvenilir. Kullanıcılar, Ayarlar > Genel > Sıfırla > Konum ve Gizliliği Sıfırla’ya giderek ya da aygıtlarını silerek güven ilişkilerini eşlemeyi silebilirler. Ayrıca, bu güven kayıtları 30 gün boyunca kullanılmazsa silinir.
Sunucu eşleme MDM yönetimi
Bir yönetici, denetlenip yönetilen Apple aygıtlarının Apple Configurator olmayan sunucularla eşlemeye izin ver sınırlamasına sahip ana bilgisayarlara elle güvenme özelliğini yönetebilir. Yönetici, sunucu eşleme özelliğini etkisizleştirerek (ve doğru denetleyip yönetme kimliklerini aygıtlarına dağıtarak) yalnızca geçerli bir denetleyip yönetme sunucu sertifikası bulunan güvenilir bilgisayarların USB (ya da iPad modeli destekliyorsa Thunderbolt) üzerinden sözü geçen iPhone ve iPad aygıtlarına erişmesine izin verilmesini sağlar. Ana bilgisayarda hiçbir denetleyip yönetme sunucu sertifikası ayarlanmamışsa tüm eşleme etkisizleştirilir.
Not: Apple aygıt kaydı ayarı allow_pairingiOS 13 ve iPadOS 13.1 ile artık kullanılmamaktadır. Yöneticiler bunun yerine güvenilir sunuculara eşlemeye izin verirken daha fazla esneklik sağlayan yukarıdaki rehberi kullanmalıdır. Ayrıca, sunucu eşleme ayarlarının iPhone’u veya iPad’i silmek zorunda kalmadan değiştirilmesini sağlar.
Eşlenmeyen geri yükleme iş akışlarını koruma
iOS 14.5 ve iPadOS 14.5 veya daha yenisinde, eşlenmeyen ana bilgisayar bir aygıtı recoveryOS’te (diğer adıyla Kurtarma Modu) başlatamaz ve yerel fiziksel etkileşim olmadan geri yükleyemez. Bu değişiklikten önce, yetkilendirilmemiş bir kullanıcı doğrudan iPhone veya iPad ile etkileşim kurmadan bir kullanıcının aygıtını silebilir ve geri yükleyebilirdi. Tek ihtiyacı olan hedef aygıt ve bir bilgisayar arasındaki (örneğin, bir şarj hizmeti olarak sunulan) USB (ya da iPad modeli destekliyorsa Thunderbolt) bağlantısıydı.
Bir iPhone’u veya iPad’i kurtarmak için harici başlatmayı sınırlama
Saptanmış olarak iOS 14.5 ve iPadOS 14.5 veya daha yenisi, bu kurtarma özelliğini daha önce güvenilen ana bilgisayarlarla sınırlar. Bu daha güvenli davranıştan vazgeçmek isteyen yöneticiler iOS veya iPadOS aygıtını eşlenmemiş bir sunucudan Kurtarma Modu’na geçirmeye izin ver sınırlamasını etkinleştirebilir.
iPhone veya iPad ile Ethernet adaptörlerini kullanma
Uyumlu bir Ethernet adaptörü olan bir iPhone veya iPad, aygıtta sınırlama kapatılmışsa aygıtın en başta kilidi açılmadan önce bile bağlı bir ağa etkin bağlantıyı korur. Bu yaklaşım, Wi-Fi’nin ve hücresel ağların kullanılamadığı durumda aygıtın bir MDM komutu alması gerektiğinde ve bir kapatma durumundan başlatıldığı veya yeniden başlatıldığı için aygıtın kilidi açılmadığında (örneğin kullanıcı parolasını unuttuğunda ve MDM parolayı silmeye çalıştığında) yararlıdır.
iPhone’da veya iPad’de Sınırlı Mod ayarı şu şekilde yönetilebilir:
USB Sınırlı Mod sınırlaması ile MDM yöneticisi. Bu, aygıtın denetlenip yönetilmesini gerektirir.
Ayarlar > Touch/Face ID ve Parola > Aksesuarlar’da kullanıcı.