Gerätemanagementsicherheit – Übersicht
Betriebssysteme von Apple unterstützen Gerätemanagement, das Organisationen ermöglicht, skalierte Implementierungen von Apple-Geräten sicher zu konfigurieren und zu verwalten.
Sichere Arbeitsweise von Gerätemanagements
Gerätemanagementfunktionen basieren auf vorhandenen Technologien des Betriebssystems (z. B. Konfigurationsprofile, drahtlose Registrierung und APNs (Apple Push Notification Service, dem Apple-Dienst für Push-Benachrichtigungen oder Push-Mitteilungen). APNs wird beispielsweise verwendet, um den Ruhezustand eines Geräts zu beenden, damit es über eine sichere Verbindung direkt mit dem zugehörigen Gerätemanagementdienst kommunizieren kann. Über APNs werden keine vertraulichen oder organisationseigenen Informationen übertragen.
Ein Gerätemanagementdienst eröffnet IT-Abteilungen die Möglichkeit, Apple-Geräte sicher in einer Unternehmensumgebung zu registrieren, drahtlos Einstellungen zu konfigurieren und zu aktualisieren, die Einhaltung von Unternehmensrichtlinien zu überwachen, Richtlinien für Softwareaktualisierungen zu verwalten und verwaltete Geräte per Fernbefehl zu löschen oder zu sperren.
Für Geräte mit iOS 13, iPadOS 13.1, macOS 10.15 oder visionOS 1.1 (oder neueren Versionen) hat Apple eine weitere Registrierungsoption hinzugefügt, die gezielt für BYOD-Szenarien („Bring Your Own Device”) konzipiert ist. Die Benutzerregistrierung bietet Benutzer:innen und ihren Geräten mehr Autonomie und erhöht gleichzeitig die Sicherheit von Unternehmensdaten durch die kryptografisch basierte Trennung verwalteter Daten. Dies ermöglicht ein besseres Gleichgewicht zwischen Sicherheit, Datenschutz und Benutzererlebnis für BYOD-Szenarien. Ein ähnlicher Mechanismus für die Datentrennung wurde für accountgesteuerte Geräteregistrierungen in iOS 17, iPadOS 17, macOS 14 und visionOS 1.1 (und neueren Versionen) hinzugefügt.
Registrierungstypen
Benutzerregistrierung: Die Benutzerregistrierung ist für benutzereigene Geräte konzipiert und mit verwalteten Apple Accounts integriert, um eine Benutzeridentität auf dem Gerät zu etablieren. Die verwalteten Apple Accounts sind für die Registrierung erforderlich. Darüber hinaus müssen sich Benutzer:innen erfolgreich authentifizieren, damit die Registrierung zu Ende geführt wird. Verwaltete Apple Accounts können parallel zu privaten/persönlichen Apple Accounts verwendet werden, mit dem sich Benutzer:innen bereits angemeldet haben. Verwaltete Apps und Accounts verwenden einen verwalteten Apple Account, wohingegen persönliche Apps und Accounts einen persönlichen Apple Account verwenden.
Geräteregistrierung: Die Geräteregistrierung ermöglicht es Organisationen, die Geräte manuell durch die Benutzer:innen registrieren zu lassen und danach verschiedene Aspekte der Gerätenutzung zu verwalten – auch die Möglichkeit, das Gerät zu löschen. Bei der Geräteregistrierung wird auch eine größere Anzahl an Payloads und Einschränkungen unterstützt, die auf das jeweilige Gerät angewendet werden können. Wenn Benutzer:innen ein Registrierungsprofil entfernen, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden. Ähnlich wie die Benutzerregistrierung kann die Geräteregistrierung auch mit einem verwalteten Apple Account integriert werden. Darüber hinaus bietet diese accountgesteuerte Geräteregistrierung die Möglichkeit, einen verwalteten Apple Account zusätzlich zu einem persönlichen Apple Account zu verwenden und Unternehmensdaten auf kryptografischer Basis zu trennen.
Automatische Geräteregistrierung: Die automatische Geräteregistrierung bietet Organisationen die Möglichkeit, Geräte ab dem Moment, in dem sie aus ihrer Verpackung genommen werden, zu konfigurieren und zu verwalten. Diese Geräte werden als betreute Geräte bezeichnet. In diesem Fall kann verhindert werden, dass das Gerätemanagementdienstprofil von Benutzer:innen entfernt werden kann. Die automatische Geräteregistrierung ist für Geräte konzipiert, die Eigentum der jeweiligen Organisation sind.
Geräteeinschränkungen
Einschränkungen können von Admins hinzugefügt – oder in einigen Fällen entfernt – werden, um zu verhindern, dass Benutzer:innen auf eine bestimmte App, einen bestimmten Dienst oder eine bestimmte Funktion auf einem Apple-Gerät zugreifen können, das bei einem Gerätemanagementdienst registriert ist. Die Einschränkungen werden in einer spezifischen Payload, die Bestandteil eines Konfigurationsprofils ist, an die Geräte gesendet. Bestimmte Einschränkungen auf einem iPhone können auf eine gekoppelte Apple Watch gespiegelt werden.
Code- und Passworteinstellungen verwalten
Der Code von Benutzer:innen ist in iOS, iPadOS, visionOS und watchOS standardmäßig eine numerische PIN. Auf iPad-, iPhone- und Apple Vision Pro-Geräten mit biometrischer Authentifizierung hat der Gerätecode standardmäßig eine Länge von sechs Ziffern und muss mindestens vier Ziffern umfassen. Es wird empfohlen, längere und komplexere Codes zu verwenden, da sie schwerer zu erraten oder anzugreifen sind.
Admins können komplexe Codeanforderungen und andere Richtlinien über einen Gerätemanagementdienst in iOS, iPadOS und visionOS oder über Microsoft Exchange durchsetzen. Zum Installieren der Payload mit der Richtlinie für den macOS-Code ist ein Administratorpasswort erforderlich. Für Codes relevante Richtlinien geben möglicherweise vor, dass Codes eine bestimmte Mindestlänge, bestimmte Zeichenkombinationen oder bestimmte Attribute aufweisen müssen.
Für die Apple Watch werden standardmäßig numerische Codes verwendet. Gibt eine auf ein Apple Watch-Gerät angewendete Coderichtlinie vor, dass nicht-numerische Zeichen verwendet werden müssen, muss das jeweils gekoppelte iPhone zum Entsperren des Geräts verwendet werden.