Обзор безопасности управления мобильными устройствами
Операционные системы Apple поддерживают работу с системами управления мобильными устройствами (MDM), благодаря чему организации могут выполнять безопасную настройку и управлять масштабным развертыванием устройств Apple.
Безопасность работы системы MDM
Работа функций MDM основана на технологиях операционной системы, таких как конфигурации, регистрация по беспроводной сети и служба Apple Push Notification (APNs). Например, APNs выводит устройство из режима сна и запускает подключение напрямую к системе MDM через безопасное соединение. Через APNs не передается конфиденциальная или корпоративная информация.
Используя MDM, отделы ИТ могут безопасно внедрять устройства Apple в корпоративную или учебную среду, устанавливать и обновлять настройки по беспроводной сети, следить за соблюдением политик, управлять обновлением ПО и даже удаленно стирать данные или блокировать управляемые устройства.
В iOS 13 и новее, iPadOS 13.1 и новее, а также macOS 10.15 и новее поддерживается новый способ регистрации устройств Apple, созданный специально для программ использования личных устройств (BYOD). Механизм регистрации предоставляет пользователям дополнительную свободу действий на их собственных устройствах, одновременно повышая безопасность корпоративных данных благодаря криптографическому разделению управляемых данных. Это обеспечивает оптимальный баланс безопасности, конфиденциальности и удобства для пользователей при использовании программ BYOD. Аналогичный механизм разделения данных добавлен в процессы регистрации устройств на основе учетных записей в iOS 17, iPadOS 17 и macOS 14, а также в более новых версиях.
Типы регистрации
Регистрация пользователя. Этот тип регистрации, предназначенный для личных устройств, используется совместно с управляемыми Apple ID для идентификации пользователя на устройстве. Для начала регистрации требуются управляемые Apple ID, а для ее успешного завершения пользователь должен выполнить аутентификацию. Управляемые Apple ID можно использовать одновременно с личным Apple ID, с которым пользователь уже выполнил вход в систему ранее. Управляемые приложения и учетные записи используют управляемые Apple ID, а личные приложения и учетные записи — личные Apple ID.
Регистрация устройства. Этот тип регистрации позволяет пользователям организаций вручную регистрировать устройства и управлять различными аспектами использования устройств, в том числе возможностью стирания данных на устройстве. Администратору доступен большой набор конфигураций и ограничений, которые можно применять к устройству. Когда пользователь удаляет профиль регистрации, также удаляются все основанные на нем конфигурации, настройки и управляемые приложения. Как и регистрацию пользователей, регистрацию устройств можно интегрировать с управляемыми Apple ID. Такая регистрация устройств на основе учетных записей также дает возможность использовать управляемый Apple ID наряду с личным Apple ID и криптографически разделяет корпоративные данные.
Автоматическая регистрация устройства. Автоматическая регистрация устройств позволяет организациям настраивать устройства и управлять ими с момента извлечения из коробки. Такие устройства также называются контролируемыми. На контролируемых устройствах можно запретить удаление профиля MDM пользователем. Автоматическая регистрация возможна только для устройств, принадлежащих организации.
Ограничения устройств
Администраторы могут накладывать (и иногда снимать) ограничения, чтобы запрещать пользователям доступ к определенным приложениям, сервисам или функциям iPhone, iPad, Mac, Apple TV или Apple Watch, зарегистрированных в системе MDM. Ограничения отправляются на устройства в составе полезной нагрузки ограничений, которая входит в конфигурацию. Некоторые ограничения на iPhone можно накладывать на часы Apple Watch, с которыми создана пара.
Управление настройками код-паролей и паролей
По умолчанию код‑пароль пользователя в iOS, iPadOS и watchOS является цифровым PIN‑кодом. На iPhone и iPad с Face ID или Touch ID код‑пароль по умолчанию состоит из 6 цифр, а его минимальная длина составляет 4 цифры. Рекомендуется использовать более длинные и сложные код-пароли, поскольку их труднее подобрать или взломать.
Администраторы могут принудительно применять более сложные код‑пароли и другие политики с помощью MDM, а в iOS и iPadOS — с помощью Microsoft Exchange. Для установки полезной нагрузки политики код-паролей macOS вручную требуется пароль администратора. Политики код‑паролей могут включать требование код‑паролей определенной длины, а также обязательность определенных символов и других атрибутов код‑паролей.
На Apple Watch по умолчанию используются цифровые код‑пароли. Если политика код‑паролей, действующая для управляемых устройств Apple Watch, требует использование других символов помимо цифр, то для разблокировки устройства необходимо использовать объединенный с ним в пару iPhone.