Обзор безопасности управления устройствами
Операционные системы Apple поддерживают системы управления устройствами, позволяя организациям выполнять безопасную настройку и управлять масштабным развертыванием устройств Apple.
Как обеспечивается безопасное управление устройствами
Работа функций управления устройствами основана на технологиях операционной системы, таких как конфигурации, регистрация по беспроводной сети и служба Apple Push Notification (APNs). Например, APNs выводит устройство из режима сна и запускает подключение напрямую к сервису управления устройствами по защищенному каналу связи. Через APNs не передается конфиденциальная или корпоративная информация.
Используя сервис управления устройствами, отделы ИТ могут безопасно внедрять устройства Apple в корпоративную или учебную среду, устанавливать и обновлять настройки по беспроводной сети, следить за соблюдением политик, управлять обновлением ПО и даже удаленно стирать данные или блокировать управляемые устройства.
На устройствах с iOS 13, iPadOS 13.1, macOS 10.15, visionOS 1.1 и новее поддерживается дополнительный способ регистрации устройств, предназначенный специально для программ использования личных устройств (BYOD). Механизм регистрации предоставляет пользователям дополнительную свободу действий на их собственных устройствах, одновременно повышая безопасность корпоративных данных благодаря криптографическому разделению управляемых данных. Это обеспечивает оптимальный баланс безопасности, конфиденциальности и удобства для пользователей при использовании программ BYOD. Аналогичный механизм разделения данных добавлен в процессы регистрации устройств на основе учетных записей в iOS 17, iPadOS 17 и macOS 14, visionOS 1.1, а также в более новых версиях.
Типы регистрации
Регистрация пользователя. Этот тип регистрации, предназначенный для личных устройств, используется совместно с управляемыми Аккаунтами Apple для идентификации пользователя на устройстве. Для начала регистрации требуются управляемые Аккаунты Apple, а для ее успешного завершения пользователю необходимо выполнить аутентификацию. Управляемые Аккаунты Apple можно использовать одновременно с личным Аккаунтом Apple, с которым пользователь уже выполнил вход в систему ранее. Управляемые приложения и учетные записи используют управляемые Аккаунты Apple, а личные приложения и учетные записи — личные Аккаунты Apple.
Регистрация устройства. Этот тип регистрации позволяет пользователям организаций вручную регистрировать устройства и управлять различными аспектами использования устройств, в том числе возможностью стирания данных на устройстве. Администратору доступен большой набор конфигураций и ограничений, которые можно применять к устройству. Когда пользователь удаляет профиль регистрации, также удаляются все основанные на нем конфигурации, настройки и управляемые приложения. Как и регистрацию пользователей, регистрацию устройств можно интегрировать с управляемым Аккаунтом Apple. Такая регистрация устройств на основе учетных записей также дает возможность использовать управляемый Аккаунт Apple наряду с личным Аккаунтом Apple и криптографически разделяет корпоративные данные.
Автоматическая регистрация устройства. Автоматическая регистрация устройств позволяет организациям настраивать устройства и управлять ими с момента извлечения из коробки. Такие устройства также называются контролируемыми. На контролируемых устройствах можно запретить пользователю удалять профили управления устройством. Автоматическая регистрация возможна только для устройств, принадлежащих организации.
Ограничения устройств
Администраторы могут накладывать (и иногда снимать) ограничения, запрещающие пользователям доступ к определенным приложениям, сервисам или функциям устройств Apple, зарегистрированных в сервисе управления устройствами. Ограничения отправляются на устройства в составе полезной нагрузки ограничений, которая входит в конфигурацию. Некоторые ограничения на iPhone можно накладывать на часы Apple Watch, объединенными в пару.
Управление настройками код‑паролей и паролей
По умолчанию код‑пароль пользователя в iOS, iPadOS, visionOS и watchOS является цифровым PIN‑кодом. На iPad, iPhone и Apple Vision Pro с биометрической аутентификацией код‑пароль по умолчанию состоит из 6 цифр, а его минимальная длина составляет 4 цифры. Рекомендуется использовать более длинные и сложные код‑пароли, поскольку их труднее подобрать или взломать.
Администраторы могут обязать использовать более сложные код‑пароли и применять другие политики через сервис управления устройствами, а в iOS, iPadOS и visionOS — через Microsoft Exchange. Для установки полезной нагрузки политики код-паролей macOS вручную требуется пароль администратора. Политики код‑паролей могут включать требование код‑паролей определенной длины, а также обязательность определенных символов и других атрибутов код‑паролей.
На Apple Watch по умолчанию используются цифровые код‑пароли. Если политика код‑паролей, действующая для управляемых устройств Apple Watch, требует использовать другие символы помимо цифр, то для разблокировки устройства необходимо использовать объединенный с ним в пару iPhone.