ภาพรวมความปลอดภัยของการจัดการอุปกรณ์เคลื่อนที่
ระบบปฏิบัติการของ Apple รองรับการจัดการอุปกรณ์เคลื่อนที่ (MDM) ซึ่งทำให้องค์กรสามารถกำหนดค่าและจัดการนำอุปกรณ์ Apple ไปใช้ได้อย่างปลอดภัย
MDM ทำงานอย่างปลอดภัยได้อย่างไร
ความสามารถของ MDM สร้างขึ้นบนเทคโนโลยีระบบปฏิบัติการ เช่น การกำหนดค่า การลงทะเบียนผ่านทางอากาศ และบริการการแจ้งเตือนแบบผลักข้อมูลของ Apple (APNs) ตัวอย่างเช่น จะใช้ APNs เพื่อปลุกและสั่งทำงานอุปกรณ์เพื่อสื่อสารกับโซลูชั่น MDM โดยตรงผ่านการเชื่อมต่อที่ปลอดภัย ข้อมูลลับหรือข้อมูลความเป็นเจ้าของจะไม่ส่งผ่าน APNs
เมื่อใช้ MDM แผนก IT จะสามารถลงทะเบียนอุปกรณ์ Apple ในสภาพแวดล้อมองค์กรหรือสถาบันการศึกษา กำหนดค่าและอัปเดตการตั้งค่าแบบไร้สาย ตรวจสอบการปฏิบัติตามกฎเกณฑ์ จัดการรายการอัปเดตซอฟต์แวร์ แม้กระทั่งล้างข้อมูลหรือล็อคอุปกรณ์ที่มีการจัดการจากระยะไกลได้
ใน iOS 13, iPadOS 13.1, macOS 10.15, visionOS 1.1 ขึ้นไป อุปกรณ์ Apple จะรองรับตัวเลือกการลงทะเบียนผู้ใช้แบบใหม่ที่ออกแบบมาสำหรับโปรแกรม “นำอุปกรณ์ของคุณมาเอง” BYOD โดยเฉพาะ การลงทะเบียนผู้ใช้ช่วยให้ผู้ใช้มีอิสระในการใช้อุปกรณ์ของตนเองมากขึ้น ขณะเดียวกันก็เพิ่มความปลอดภัยให้กับข้อมูลองค์กรโดยการแยกข้อมูลที่มีการจัดการแบบเข้ารหัส ซึ่งมอบความสมดุลด้านความปลอดภัย ความเป็นส่วนตัว และประสบการณ์ผู้ใช้สำหรับโปรแกรม BYOD ให้ดียิ่งขึ้น กลไกการแยกข้อมูลที่คล้ายกันได้ถูกเพิ่มไว้สำหรับการลงทะเบียนอุปกรณ์ที่ขับเคลื่อนด้วยบัญชีใน iOS 17, iPadOS 17, macOS 14, visionOS 1.1 ขึ้นไป
ประเภทการลงทะเบียน
การลงทะเบียนผู้ใช้: การลงทะเบียนผู้ใช้ได้รับการออกแบบสำหรับอุปกรณ์ที่ผู้ใช้เป็นเจ้าของและจะผสานรวมกับบัญชี Apple ที่มีการจัดการเพื่อสร้างข้อมูลประจำตัวของผู้ใช้บนอุปกรณ์ ต้องใช้บัญชี Apple ที่มีการจัดการเพื่อเริ่มการลงทะเบียน และผู้ใช้ต้องตรวจสอบสิทธิ์ให้เสร็จเรียบร้อยเพื่อให้การลงทะเบียนสำเร็จ บัญชี Apple ที่มีการจัดการสามารถใช้ได้พร้อมกับบัญชี Apple ส่วนบุคคลที่ผู้ใช้ลงชื่อเข้าไว้อยู่แล้ว แอปและบัญชีที่มีการจัดการจะใช้บัญชี Apple ที่มีการจัดการ และแอปและบัญชีส่วนบุคคลจะใช้บัญชี Apple ส่วนบุคคล
การลงทะเบียนอุปกรณ์: การลงทะเบียนอุปกรณ์ทำให้องค์กรสามารถให้ผู้ใช้ลงทะเบียนอุปกรณ์ แล้วจัดการการใช้งานอุปกรณ์ในลักษณะต่างๆ มากมายได้ด้วยตัวเอง รวมถึงความสามารถในการลบอุปกรณ์ การลงทะเบียนอุปกรณ์ยังมีชุดการกำหนดค่าและการจำกัดขนาดใหญ่ขึ้นที่สามารถปรับใช้กับอุปกรณ์ได้อีกด้วย เมื่อผู้ใช้เอาโปรไฟล์การลงทะเบียนออก การกำหนดค่า การตั้งค่า และแอปที่มีการจัดการทั้งหมดที่อิงตามโปรไฟล์การลงทะเบียนนั้นจะถูกเอาออกไปด้วยเช่นกัน ในทำนองเดียวกับการลงทะเบียนผู้ใช้ การลงทะเบียนอุปกรณ์ยังสามารถผสานรวมกับบัญชี Apple ที่มีการจัดการได้อีกด้วย การลงทะเบียนอุปกรณ์ที่ขับเคลื่อนด้วยบัญชีนี้ยังให้ความสามารถในการใช้บัญชี Apple ที่มีการจัดการควบคู่กับบัญชี Apple ส่วนบุคคลและแยกข้อมูลองค์กรแบบเข้ารหัสอีกด้วย
การลงทะเบียนอุปกรณ์แบบอัตโนมัติ: การลงทะเบียนอุปกรณ์แบบอัตโนมัติช่วยให้องค์กรกำหนดค่าและจัดการอุปกรณ์ได้ทันทีที่อุปกรณ์ถูกแกะออกจากกล่อง อุปกรณ์เหล่านี้เรียกว่าอุปกรณ์ที่ได้รับการกำกับดูแล และผู้ใช้มีตัวเลือกในการป้องกันไม่ให้ผู้ใช้เอาโปรไฟล์ MDM ออก การลงทะเบียนอุปกรณ์แบบอัตโนมัติได้รับการออกแบบสำหรับอุปกรณ์ที่องค์กรเป็นเจ้าของ
การจำกัดอุปกรณ์
การจำกัดสามารถเปิดใช้งานได้ หรือในบางกรณีปิดใช้งานได้โดยผู้ดูแลระบบเพื่อช่วยป้องกันไม่ให้ผู้ใช้เข้าถึงแอป บริการ หรือฟังก์ชั่นของอุปกรณ์ Apple ที่ลงทะเบียนในโซลูชั่น MDM การจำกัดจะถูกส่งไปที่อุปกรณ์ในเพย์โหลดการจำกัดซึ่งเป็นส่วนหนึ่งของการกำหนดค่า การจำกัดบางอย่างบน iPhone ที่ได้รับการจัดการอาจจะสะท้อนหน้าจอบน Apple Watch ที่จับคู่อยู่
การจัดการการตั้งค่ารหัสและรหัสผ่าน
ตามค่าเริ่มต้นแล้ว จะสามารถกำหนดรหัสของผู้ใช้เป็นรหัส PIN ตัวเลขบน iOS, iPadOS, watchOS และ visionOS ได้ บนอุปกรณ์ iPhone, iPad และ Apple Vision Pro ที่มีการตรวจสอบสิทธิ์ด้วยมิติทางกายภาพ ความยาวเริ่มต้นของรหัสคือหกหลัก โดยความยาวขั้นต่ำคือสี่หลัก ขอแนะนำให้ใช้รหัสที่ยาวขึ้นและซับซ้อนขึ้นเนื่องจากจะทำให้เดาหรือโจมตีได้ยากขึ้น
ผู้ดูแลระบบสามารถบังคับใช้ข้อกำหนดการตั้งรหัสที่ซับซ้อนและนโยบายอื่นๆ โดยใช้ MDM หรือบน iOS, iPadOS, visionOS หรือ Microsoft Exchange ได้ จำเป็นต้องใช้รหัสผ่านผู้ดูแลระบบเมื่อติดตั้งเพย์โหลดนโยบายรหัส macOS ด้วยตัวเอง นโยบายรหัสสามารถกำหนดความยาว องค์ประกอบ หรือคุณลักษณะอื่นของรหัสได้
Apple Watch ใช้รหัสตัวเลขตามค่าเริ่มต้น ถ้านโยบายรหัสที่ปรับใช้กับ Apple Watch ที่มีการจัดการกำหนดให้ใช้อักขระที่ไม่ใช่ตัวเลข ต้องใช้ iPhone ที่จับคู่อยู่เพื่อปลดล็อคอุปกรณ์