نظرة عامة على أمن إدارة الأجهزة
تدعم أنظمة تشغيل Apple إدارة الأجهزة التي تتيح للمؤسسات تكوين وإدارة عمليات نشر أجهزة Apple محددة الحجم بشكل آمن.
كيف تعمل إدارة الأجهزة بشكل آمن
وتعتمد إمكانات إدارة الأجهزة على تقنيات نظام التشغيل، مثل التكوينات، والتسجيل عبر الأثير وخدمة الإشعارات اللحظية من Apple (APNs). على سبيل المثال، تُستخدم خدمة الإشعارات اللحظية من Apple (APNs) لتنشيط الجهاز وتشغيله حتى يتمكن من التواصل مباشرة مع خدمة إدارة الجهاز عبر اتصال آمن. ولا يتم نقل أي معلومات سرية أو ذات ملكية خاصة عبر خدمة الإشعارات اللحظية من Apple (APNs).
باستخدام خدمة إدارة الجهاز، يمكن لأقسام تقنية المعلومات تسجيل أجهزة Apple في بيئة مؤسسية أو تعليمية وتكوين الإعدادات وتحديثها لاسلكيًا ومراقبة الامتثال وإدارة تحديث البرامج وحتى مسح الأجهزة المُدارة أو قفلها عن بُعد.
في الأجهزة المثبت عليها iOS 13 و iPadOS 13.1 و macOS 10.15 وvisionOS 1.1 أو أحدث، أضافت Apple دعمًا لخيار تسجيل إضافي مصممًا خصوصًا لبرامج BYOD "أحضر جهازك الخاص". يوفر تسجيل المستخدم مزيدًا من الاستقلالية للمستخدمين على أجهزتهم الخاصة، بينما تزيد من أمن بيانات المؤسسة عن طريق فصل البيانات المُدارة في بيئة محمية بالتشفير. ويوفر ذلك توازنًا أفضل بين الأمن والخصوصية وتجربة المستخدم لبرامج BYOD. أُضيفَت آلية فصل بيانات مماثلة لتسجيلات الأجهزة المستندة إلى الحساب في iOS 17 و iPadOS 17 و macOS 14 و visionOS 1.1 أو أحدث.
أنواع التسجيل
تسجيل المستخدم: تم تصميم تسجيل المستخدم للأجهزة التي يملكها المستخدم ويتم دمجها مع حسابات Apple المُدارة لتأسيس هوية للمستخدم على الجهاز. يلزم توفير حسابات Apple مُدارة لبدء التسجيل، ويحتاج المستخدم إلى إكمال المصادقة بنجاح حتى ينجح التسجيل. يمكن استخدام حسابات Apple المُدارة إلى جانب حساب Apple الشخصي الذي سجَّل المستخدم الدخول به بالفعل. تستخدم التطبيقات والحسابات المُدارة حسابات Apple المُدارة، وتستخدم التطبيقات والحسابات الشخصية حساب Apple شخصيًا.
تسجيل الجهاز: يتيح تسجيل الجهاز للمؤسسات السماح للمستخدمين بتسجيل الأجهزة يدويًا، ثم إدارة العديد من جوانب استخدام الجهاز المختلفة، بما في ذلك إمكانية مسح الجهاز. يتضمن تسجيل الجهاز أيضًا مجموعة أكبر من التكوينات والقيود التي يمكن تطبيقها على الجهاز. عندما يُزيل المستخدم ملف تعريف التسجيل، تتم إزالة كل التكوينات والإعدادات والتطبيقات المُدارة المستندة إلى ملف تعريف التسجيل هذا. على غرار تسجيل المستخدم، يمكن أيضًا دمج تسجيل الجهاز مع حساب Apple مُدار. يتيح تسجيل الجهاز المستند إلى الحساب أيضًا إمكانية استخدام حساب Apple مُدار مع حساب Apple شخصي ويفصل بيانات الشركة في بيئة محمية بالتشفير.
تسجيل الجهاز المؤتمت: يسمح تسجيل الجهاز التلقائي للمؤسسات بتكوين الأجهزة وإدارتها من اللحظة التي يتم فيها إخراج الأجهزة. وتكون هذه الأجهزة معروفة على أنها خاضعة للإشراف، ويتوفر للمستخدمين خيار منع إزالة ملف تعريف خدمة إدارة الجهاز من قِبل المستخدم. تم تصميم تسجيل الجهاز المؤتمت للأجهزة التي تملكها المؤسسة.
قيود الجهاز
يمكن للمسؤولين إضافة القيود، أو إزالتها في بعض الحالات، للمساعدة على منع المستخدمين من الوصول إلى تطبيق معين أو خدمة أو وظيفة معينة على جهاز Apple المسجَّل في خدمة إدارة الجهاز. تُرسَل القيود إلى الأجهزة في حمولة قيود تعد جزءًا من التكوين. قد يتم عكس بعض القيود المفروضة على iPhone على Apple Watch مقترنة.
إدارة إعدادات رمز الدخول وكلمة السر
بشكل افتراضي، يمكن تحديد رمز دخول المستخدم على أنه رمز PIN رقمي على iOS و iPadOS و visionOS و watchOS. على iPad و iPhone و Apple Vision Pro التي تحتوي على المصادقة ببيانات بيومترية، يبلغ الطول الافتراضي لرمز الدخول ستة أرقام بينما يبلغ الحد الأدنى أربعة أرقام. نظرًا لأن رموز الدخول الأطول والأكثر تعقيدًا يصعب تخمينها أو مهاجمتها، فإنه من المستحسن استخدامها.
يمكن أن يفرض المسؤولون متطلبات معقدة وسياسات أخرى لرمز الدخول باستخدام خدمة إدارة الجهاز أو على iOS و iPadOS و visionOS أو Microsoft Exchange. ويلزم توفير كلمة سر مسؤول عند تثبيت حمولة سياسة رمز دخول macOS يدويًا. قد تتطلب سياسات رموز الدخول طولًا أو تكوينًا معينًا أو سمات أخرى لرمز الدخول.
تستخدم Apple Watch رموز الدخول الرقمية بشكل افتراضي. إذا تتطلبت سياسة رمز الدخول المطبقة على Apple Watch مُدارة استخدام أحرف غير رقمية، يجب استخدام iPhone المقترن لفتح قفل الجهاز.