Sicherheit bei der Mobilgeräteverwaltung – Übersicht
Betriebssysteme von Apple unterstützen die Mobilgeräteverwaltung (Mobile Device Management, MDM), die es Organisationen ermöglicht, skalierte Implementierungen von Apple-Geräten sicher zu konfigurieren und zu verwalten.
Sichere Funktionsweise von MDM
MDM-Funktionen basieren auf vorhandenen Technologien des Betriebssystems (z. B. Konfigurationsprofile, drahtlose Registrierung und APNS (Apple Push Notification Service, dem Apple-Dienst für Push-Benachrichtigungen oder Push-Mitteilungen). APNS wird beispielsweise verwendet, um den Ruhezustand eines Geräts zu beenden, damit es über eine sichere Verbindung direkt mit der zugehörigen MDM-Lösung kommunizieren kann. Über APNS werden keine vertraulichen oder organisationseigenen Informationen übertragen.
MDM eröffnet IT-Abteilungen die Möglichkeit, Apple-Geräte sicher in einer Unternehmensumgebung zu registrieren, drahtlos Einstellungen zu konfigurieren und zu aktualisieren, die Einhaltung von Unternehmensrichtlinien zu überwachen, Richtlinien für Softwareaktualisierungen zu verwalten und verwaltete Geräte per Fernbefehl zu löschen oder zu sperren.
Zusätzlich dazu unterstützen Apple-Geräte mit iOS 13, iPadOS 13.1, macOS 10.15 oder visionOS 1.1 (oder neueren Versionen) einen neuen Registrierungstyp, der gezielt für BYOD-Szenarien („Bring Your Own Device”) konzipiert ist. Die Benutzerregistrierung bietet Benutzern und ihren Geräten mehr Autonomie und erhöht gleichzeitig die Sicherheit von Unternehmensdaten durch die kryptografisch basierte Trennung verwalteter Daten. Dies ermöglicht ein besseres Gleichgewicht zwischen Sicherheit, Datenschutz und Benutzererlebnis für BYOD-Szenarien. Ein ähnlicher Mechanismus für die Datentrennung wurde für accountgesteuerte Geräteregistrierungen in iOS 17, iPadOS 17, macOS 14 und visionOS 1.1 (und neueren Versionen) hinzugefügt.
Registrierungstypen
Benutzerregistrierung: Die Benutzerregistrierung ist für benutzereigene Geräte konzipiert und mit verwalteten Apple Accounts integriert, um eine Benutzeridentität auf dem Gerät zu etablieren. Die verwalteten Apple Accounts sind für die Registrierung erforderlich. Darüber hinaus müssen sich Benutzer:innen erfolgreich authentifizieren, damit die Registrierung zu Ende geführt wird. Verwaltete Apple Accounts können parallel zu privaten/persönlichen Apple Accounts verwendet werden, mit dem sich Benutzer:innen bereits angemeldet haben. Verwaltete Apps und Accounts verwenden einen verwalteten Apple Account, wohingegen persönliche Apps und Accounts einen persönlichen Apple Account verwenden.
Geräteregistrierung: Die Geräteregistrierung ermöglicht es Organisationen, die Geräte manuell durch die Benutzer:innen registrieren zu lassen und danach verschiedene Aspekte der Gerätenutzung zu verwalten – auch die Möglichkeit, das Gerät zu löschen. Bei der Geräteregistrierung wird auch eine größere Anzahl an Payloads und Einschränkungen unterstützt, die auf das jeweilige Gerät angewendet werden können. Wenn Benutzer:innen ein Registrierungsprofil entfernen, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden. Ähnlich wie die Benutzerregistrierung kann die Geräteregistrierung auch mit einem verwalteten Apple Account integriert werden. Darüber hinaus bietet diese accountgesteuerte Geräteregistrierung die Möglichkeit, einen verwalteten Apple Account zusätzlich zu einem persönlichen Apple Account zu verwenden und Unternehmensdaten auf kryptografischer Basis zu trennen.
Automatische Geräteregistrierung: Die automatische Geräteregistrierung bietet Organisationen die Möglichkeit, Geräte ab dem Moment, in dem sie aus ihrer Verpackung genommen werden, zu konfigurieren und zu verwalten. Diese Geräte werden als betreute Geräte bezeichnet. In diesem Fall kann verhindert werden, dass das MDM-Profil von Benutzer:innen entfernt werden können. Die automatische Geräteregistrierung ist für Geräte konzipiert, die Eigentum der jeweiligen Organisation sind.
Geräteeinschränkungen
Einschränkungen können von Admins aktiviert – oder in einigen Fällen deaktiviert – werden, um zu verhindern, dass Benutzer:innen auf eine bestimmte App, einen bestimmten Dienst oder eine bestimmte Funktion auf einem Apple-Gerät zugreifen können, das in einer MDM-Lösung registriert ist. Die Einschränkungen werden in einer spezifischen Payload, die Bestandteil eines Konfigurationsprofils ist, an die Geräte gesendet. Bestimmte Einschränkungen auf einem iPhone können auf eine gekoppelte Apple Watch gespiegelt werden.
Code- und Passworteinstellungen verwalten
Der Code von Benutzer:innen ist in iOS, iPadOS, watchOS und visionOS standardmäßig eine numerische PIN. Auf iPhone-, iPad- und Apple Vision Pro-Geräten mit biometrischer Authentifizierung hat der Gerätecode standardmäßig eine Länge von sechs Ziffern und muss mindestens vier Ziffern umfassen. Es wird empfohlen, längere und komplexere Codes zu verwenden, da sie schwerer zu erraten oder anzugreifen sind.
Admins können komplexe Codeanforderungen und andere Richtlinien per MDM-Lösung oder in iOS, iPadOS, visionOS oder per Microsoft Exchange durchsetzen. Zum Installieren der Payload mit der Richtlinie für den macOS-Code ist ein Administratorpasswort erforderlich. Für Codes relevante Richtlinien geben möglicherweise vor, dass Codes eine bestimmte Mindestlänge, bestimmte Zeichenkombinationen oder bestimmte Attribute aufweisen müssen.
Für die Apple Watch werden standardmäßig numerische Codes verwendet. Gibt eine auf ein Apple Watch-Gerät angewendete Coderichtlinie vor, dass nicht-numerische Zeichen verwendet werden müssen, muss das jeweils gekoppelte iPhone zum Entsperren des Geräts verwendet werden.