Gestisci l’accesso all’account per i dispositivi Apple
Gestire i Mac
La sicurezza degli accessori, nota come Modalità con restrizioni, è progettata per proteggere i clienti da attacchi con accesso ravvicinato agli accessori cablati. Per i Mac portatili con chip Apple e macOS 13 o versione successiva, la configurazione di default prevede che all’utente venga chiesto di autorizzare i nuovi accessori. In Impostazioni di Sistema sono presenti quattro opzioni per consentire all’utente di connettere gli accessori:
Chiedi sempre
Chiedi per i nuovi accessori
Automaticamente quando sbloccato
Sempre
Se un utente collega un accessorio sconosciuto (Thunderbolt, USB, o, su macOS 13.3 o versioni successive, una scheda SDXC) a un Mac bloccato, viene chiesto di sbloccare il Mac. Gli accessori autorizzati possono restare connessi a un Mac bloccato per un massimo di 3 giorni da quando il dispositivo è stato bloccato. Se gli accessori rimangono collegati per più di 3 l’utente visualizzerà il messaggio: “Sblocca per utilizzare gli accessori”.
Per alcuni ambienti, potrebbe essere necessario eludere l’autorizzazione dell’utente. Le soluzioni MDM sono in grado di controllare questo comportamento utilizzando la restrizione esistente allowUSBRestrictedMode per consentire sempre la connessione degli accessori.
Nota: questo tipo di connessione non è prevista per gli alimentatori di corrente, gli schermi non-Thunderbolt, gli hub approvati, le smart card abbinate o i Mac in “Impostazione Assistita” o riavviati da recoveryOS.
Gestire iPhone e iPad
Gestire i computer host a cui è possibile abbinare iPhone e iPad è importante per la sicurezza e la comodità dell’utente. Ad esempio, la possibilità di collegarsi in modo sicuro a stazioni self-service per aggiornare il software o condividere la connessione a internet di un Mac richiede un rapporto di fiducia tra iPhone o iPad e il computer host.
L’abbinamento del dispositivo viene di solito eseguito dall’utente quando collega il proprio dispositivo a un computer host tramite un cavo USB. In alternativa, se il modello di iPad lo supporta a un cavo Thunderbolt. Sul dispositivo dell’utente viene visualizzata la richiesta di stabilire una relazione di fiducia con il computer.
All’utente viene poi richiesto di inserire il proprio codice per confermare la selezione. Tutte le connessioni future con lo stesso computer host verranno automaticamente ritenute affidabili. L’utente può annullare le relazioni di fiducia dell’abbinamento andando su Impostazioni > Generali > Ripristina > Ripristina posizione e privacy o inizializzando il proprio dispositivo. Inoltre, questi record di attendibilità vengono rimossi se non vengono utilizzati per 30 giorni.
Gestione MDM dell’abbinamento host
Un amministratore può gestire la capacità dei dispositivi Apple supervisionati di contrassegnare manualmente come affidabili i computer host con la restrizione Consenti abbinamento con host non di Apple Configurator. Disabilitando la capacità di abbinamento dell’host (e distribuendo le identità di supervisione corrette ai relativi dispositivi), l’amministratore si assicura che solo i computer ritenuti affidabili e con un certificato host di supervisione valido siano autorizzati ad accedere a iPhone e iPad tramite USB (oppure, sui modelli di iPad supportati, tramite Thunderbolt). Se nessun certificato host di supervisione è stato configurato sul computer host, tutti gli abbinamenti vengono disabilitati.
Nota: l’impostazione di registrazione del dispositivo Apple allow_pairing è diventata obsoleta con iOS 13 e iPadOS 13.1. D’ora in avanti, gli amministratori dovrebbero invece usare la guida di cui sopra, poiché fornisce più flessibilità consentendo comunque l’abbinamento a host affidabili. Abilita anche la modifica delle impostazioni di abbinamento host senza dover inizializzare iPhone o iPad.
Protezione dei flussi di lavoro per il ripristino dei dispositivi non abbinati
Su iOS 14.5 e iPadOS 14.5 o versioni successive, un computer host non abbinato non può riavviare un dispositivo in recoveryOS (altrimenti detto modalità di recupero) e ripristinarlo senza un’interazione fisica locale. Prima di questa modifica, un utente non autorizzato poteva inizializzare e ripristinare il dispositivo di un utente senza interagire direttamente con iPhone o iPad. Aveva solo bisogno di una connessione USB, o, se il modello di iPad la supporta, di tipo Thunderbolt, (ad esempio, offerta come opzione di ricarica) al dispositivo di destinazione e di un computer.
Limitare il riavvio esterno per il ripristino di iPhone o iPad
Di default, iOS 14.5 e iPadOS 14.5 o versioni successive consento questa funzionalità di recupero solo ai computer host precedentemente riconosciuti come affidabili. Gli amministratori che vogliono rinunciare a questo comportamento più sicuro possono abilitare la restrizione Permettere a un host non abbinato di mettere un dispositivo iOS o iPadOS in modalità di recupero.
Utilizzare adattatori Ethernet con iPhone o iPad
Se provvisti di un adattatore Ethernet compatibile, iPhone o iPad mantengono attiva la connessione alla rete collegata anche prima dello sblocco iniziale del dispositivo (quando le restrizioni sul dispositivo sono disattivate). Questo approccio è utile se il dispositivo deve ricevere un comando MDM quando le reti Wi-Fi e cellulare non sono disponibili e se il dispositivo non è stato sbloccato al momento dell’avvio o del riavvio (ad esempio, quando un utente ha dimenticato il proprio codice e MDM sta cercando di cancellarlo).
L’impostazione “Modalità con restrizioni” su iPhone o iPad può essere gestita da:
L’amministratore MDM con la Modalità con restrizioni USB. In questo caso, il dispositivo deve essere supervisionato.
L’utente in Impostazioni > Touch/Face ID e codice > Accessori.