Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
使用 Apple 设备内建的网络安全性功能
Apple 设备内建的网络安全性技术可向用户授权并在传输过程中帮助保护其数据。Apple 设备网络安全性支持包括:
内建 IPsec、IKEv2、L2TP
通过 App Store App 自定义 VPN(iOS、iPadOS、visionOS)
通过第三方 VPN 客户端自定义 VPN (macOS)
传输层安全协议(TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3)和 DTLS
采用 X.509 证书的 SSL/TLS
采用 802.1X 的 WPA/WPA2/WPA3 企业级协议
基于证书的认证
共享密钥和 Kerberos 认证
RSA SecurID、CRYPTOCard (macOS)
iOS、iPadOS、macOS 和 Apple tvOS 中的网络中继
iOS 17、iPadOS 17、macOS 14 和 Apple tvOS 17 或更高版本中的内建中继可作为替代 VPN 用于保护使用加密 HTTP/3 或 HTTP/2 连接的流量。网络中继是一种特殊类型的代理,已针对性能进行优化且使用最新的传输和安全性协议。它可用于保护特定 App、整台设备以及访问内部资源时 TCP 和 UDP 流量的安全。多个网络中继(包括 iCloud 专用代理)可同时使用,无需 App。有关更多信息,请参阅使用网络中继。
VPN 和 IPsec
许多企业环境都有某种形式的虚拟专用网络 (VPN)。这些 VPN 服务整合了多种广泛使用的 VPN 技术,通常只需要简单的设置和配置,便可与 Apple 设备配合使用。
iOS、iPadOS、macOS、Apple tvOS、watchOS 和 visionOS 支持 IPsec 协议和认证方式。有关更多信息,请参阅 VPN 概览。
TLS
SSL 3 加密协议和 RC4 对称密码组在 iOS 10 和 macOS 10.12 未予使用。默认情况下,与 Secure Transport API 一起实行的 TLS 客户端或服务器未启用 RC4 密码组。因此,当 RC4 是唯一可用的密码组时它们无法连接。为了更加安全,需要 RC4 的服务或 App 应该升级以启用密码组。
其他安全性提升包括:
需要签名 SMB 连接 (macOS)
macOS 10.12 或更高版本支持将 AES 作为 Kerberos 化的 NFS 的加密方式 (macOS)
传输层安全协议(TLS 1.2、TLS 1.3)
TLS 1.2 支持 AES 128 和 SHA-2。
SSL 3(iOS、iPadOS、visionOS)
DTLS (macOS)
Safari 浏览器、“日历”、“邮件”和其他互联网 App 会使用这些机制,在 iOS、iPadOS、macOS 和 visionOS 与企业服务之间启用加密的通信渠道。
你还可以通过 EAP-TLS、EAP-TTLS、PEAP 和 EAP-FAST 给 802.1X 网络有效负载设定最低和最高 TLS 版本。例如,你可以设定:
最低和最高均为相同的特定 TLS 版本
较低的 TLS 最低版本值和较高的 TLS 最高版本值,设定的值之后会与 RADIUS 服务器协商
无值,这可让 802.1X 请求端与 RADIUS 服务器协商 TLS 版本
iOS、iPadOS、macOS 和 visionOS 要求使用 SHA-2 家族的签名算法给服务器的叶证书签名,并使用至少 2048 位的 RSA 密钥或至少 256 位的 ECC 密钥。
iOS 11、iPadOS 13.1、macOS 10.13 和 visionOS 1.1 或更高版本在 802.1X 认证中增加了 TLS 1.2 支持。支持 TLS 1.2 的认证服务器可能需要以下更新以提高兼容性:
Cisco:ISE 2.3.0
FreeRADIUS:更新至版本 2.2.10 和 3.0.16。
Aruba ClearPass:更新至版本 6.6.x。
ArubaOS:更新至版本 6.5.3.4。
Microsoft:Windows Server 2012 - 网络策略服务器。
Microsoft:Windows Server 2016 - 网络策略服务器。
有关 802.1X 的更多信息,请参阅将 Apple 设备接入 802.1X 网络。
WPA2/WPA3
所有 Apple 平台均支持行业标准的无线局域网认证和加密协议,以在接入以下安全无线网络时提供经认证的访问和保密性:
WPA2 个人级
WPA2 企业级
WPA2/WPA3 过渡模式
WPA3 个人级
WPA3 企业级
WPA3 企业级 192 位安全性
若要查看 802.1X 无线认证协议列表,请参阅Mac 的 802.1X 配置。
FaceTime 通话和 iMessage 信息加密
iOS、iPadOS、macOS 和 visionOS 会为每位 FaceTime 通话和 iMessage 信息用户创建唯一的 ID,以帮助确保通信能够正确地加密、发送和连接。