移动设备管理安全性概览
Apple 操作系统支持移动设备管理 (MDM),可让组织安全地配置和管理规模化的 Apple 设备部署。
MDM 如何安全工作
MDM 功能以操作系统技术为基础,如配置、无线注册和 Apple 推送通知服务 (APNs)。例如,APNs 用于唤醒设备,令它通过安全的连接与其 MDM 解决方案直接通信。任何机密或专有信息都不会通过 APNs 进行传输。
通过 MDM,IT 部门可在企业或教育环境中注册 Apple 设备、无线配置和更新设置、监控合规性、管理软件更新,甚至可以远程擦除或锁定管理式设备。
在 iOS 13、iPadOS 13.1 和 macOS 10.15 或更高版本中,Apple 设备新增专为“自带设备办公” (BYOD) 计划而设计的注册选项。用户注册为用户在其个人设备上提供了更多自主控制权,同时以加密方式分离出受管理的数据来增强企业数据的安全性。这使得 BYOD 计划在安全性、隐私和用户体验之间取得了更好的平衡。在 iOS 17、iPadOS 17 和 macOS 14 或更高版本中,为账户驱动型设备注册增加了类似的数据分离机制。
注册类型
用户注册:用户注册专为用户所有的设备而设计且与“管理式 Apple ID”集成,用于在设备上建立用户身份。“管理式 Apple ID”需要发起注册,用户必须成功认证才能顺利注册。“管理式 Apple ID”可与用户已登录的个人 Apple ID 共同使用。受管理的 App 和管理式账户使用“管理式 Apple ID”,而个人 App 和账户使用个人 Apple ID。
设备注册:设备注册允许组织让用户手动注册设备并管理设备使用的各个不同方面,包括抹掉设备的功能。设备注册还具有大量可应用到设备的配置和访问限制。用户移除注册描述文件后,基于该注册描述文件的所有配置、设置和受管理的 App 也都会移除。与用户注册相似,设备注册也可与“管理式 Apple ID”集成。此类账户驱动型设备注册还可实现同时使用“管理式 Apple ID”和个人 Apple ID,并以加密方式分离出企业数据。
自动设备注册:自动设备注册允许组织从设备开箱时起就可配置和管理设备。这些设备称为被监督的设备,用户可以选择阻止 MDM 描述文件被用户移除。自动设备注册针对组织所有的设备而设计。
设备访问限制
访问限制可由管理员启用,在部分情况下也可停用。它的作用是帮助阻止用户访问 MDM 解决方案中已注册 iPhone、iPad、Mac、Apple TV 或 Apple Watch 的特定 App、服务或功能。作为配置的一部分,访问限制有效负载中的访问限制会被发送到设备。iPhone 上的某些访问限制可以镜像到配对的 Apple Watch 上。
密码设置管理
默认情况下,iOS、iPadOS 和 watchOS 上的用户密码可以设定为一个数字 PIN 码。在配备面容 ID 或触控 ID 的 iPhone 和 iPad 设备中,密码长度默认为 6 位数,最短为 4 位数。建议使用较长、较复杂的密码,因为这样的密码很难被猜中或遭到攻击。
管理员可以使用 MDM 或 Microsoft Exchange(在 iOS 和 iPadOS 上)强制实施复杂密码的要求及其他策略。手动安装 macOS 密码策略有效负载时,需要管理员密码。密码策略可要求特定的密码长度、密码组合或其他属性。
Apple Watch 默认使用数字密码。如果应用到受管理 Apple Watch 的密码策略要求使用非数字字符,则需要通过配对的 iPhone 解锁设备。