Administrer tilbehørs adgang til Apple-enheder
Administrer Mac-computere
Sikkerhed til tilbehør (kendt som Begrænset funktion) til macOS er designet til at beskytte kunder mod angreb via kabelforbundet tilbehør. Til bærbare Mac-computeren med Apple Silicon og macOS 13 eller en nyere version er standardkonfigurationen at bede brugeren om at tillade nyt tilbehør. Brugeren har fire muligheder i Systemindstillinger for tilslutning af tilbehør:
Spørg hver gang
Spørg ved nyt tilbehør
Automatisk, når låst op
Altid
Hvis en bruger slutter ukendt tilbehør (Thunderbolt, USB eller – i macOS 13.3 eller en nyere version – SD Extended Capacity-kort, dvs. SDXC-kort) til en låst Mac, bliver brugeren bedt om at låse sin Mac op. Godkendt tilbehør kan sluttes til en låst Mac i op til 3 dage fra det tidspunkt, hvor Mac-computeren sidst blev låst. Ved alt tilbehør, der tilsluttes efter 3 dage, får brugeren denne besked: “Lås op for at bruge tilbehør.”
Omgåelse af brugergodkendelse kan være påkrævet i nogle miljøer. MDM-løsninger kan styre denne virkemåde ved at bruge den eksisterende allowUSBRestrictedMode-begrænsning til altid at tillade tilbehør.
Bemærk: Disse tilslutninger gælder ikke for strømforsyninger, ikke-Thunderbolt-skærme, godkendte hubs, parrede Smart Cards eller en Mac, der er i indstillingsassistent eller startet fra gendannelsesfunktionen.
Administrer iPhone- og iPad-enheder
Af sikkerhedshensyn og af praktiske hensyn for brugerne er det vigtigt at administrere, hvilke værtscomputere en iPhone- og iPad kan etablere par med. Muligheden for tilslutning til selvbetjeningsstationer med henblik på opdatering af software eller deling af en Mac-computers internetforbindelse kræver f.eks. et tillidsforhold mellem iPhone- eller iPad-enheden og værtscomputeren.
Pardannelse mellem enheder udføres typisk af brugerne, når de slutter deres enhed til en værtscomputer med et USB-kabel (eller et Thunderbolt-kabel, hvis en iPad-model understøtter det). Der vises en meddelelse på brugerens enhed, og brugeren bliver spurgt, om der skal etableres et tillidsforhold med computeren.
Derefter bliver brugeren bedt om at indtaste sin kode for at bekræfte beslutningen. Fremover godkendes forbindelser med den samme værtscomputer automatisk. Brugerne kan annullere tillidsforhold ved pardannelse ved at gå til Indstillinger > Generelt > Nulstil > Nulstil lokalitet & anonymitet eller ved at slette indholdet på deres enheder. Desuden fjernes disse godkendelsesposter, hvis de ikke bruges i 30 dage.
MDM-administration af pardannelse med vært
En administrator kan administrere Apple-enheders mulighed (hvis de er under tilsyn) for manuel godkendelse af værtscomputere med begrænsningen Allow pairing with non-Apple Configurator hosts. Ved at slå muligheden for pardannelse med vært fra (og distribuere de rigtige tilsyns-id’er til enhederne) sikrer administratoren, at kun godkendte computere med et gyldigt certifikat fra en tilsynsvært har adgang til de pågældende iPhone- og iPad-enheder via USB (eller Thunderbolt, hvis en iPad-model understøtter det). Hvis der ikke er konfigureret et certifikat fra en tilsynsvært på værtscomputeren, er al pardannelse slået fra.
Bemærk: Tilmeldingsindstillingen allow_pairing for Apple-enheder blev udfaset med iOS 13 og iPadOS 13.1. Administratorer skal i stedet bruge ovenstående vejledning fremadrettet, da den giver mere fleksibilitet, fordi den stadig tillader pardannelse med værter, der er under tilsyn. Den gør det også muligt at ændre indstillinger for pardannelse med vært, uden at det er nødvendigt at slette iPhone eller iPad.
Sikring af arbejdsgange til gendannelse uden pardannelse
I iOS 14.5 og iPadOS 14.5 og nyere versioner kan en uparret værtscomputer ikke genstarte en enhed i gendannelsesfunktion og gendanne den uden lokal fysisk indgriben. Før denne ændring trådte i kraft, kunne en bruger uden godkendelse slette og gendanne en enhed uden direkte interaktion med iPhone- eller iPad-enheden. Det eneste, der krævedes, var en USB-forbindelse – eller Thunderbolt, hvis en iPad-model understøttede det – (f.eks. ved opladning) til modtagerenheden og en computer.
Begrænsning af Ekstern start til gendannelse af en iPhone eller iPad
Som standard begrænser iOS 14.5 og iPadOS 14.5 og nyere versioner nu denne mulighed for gendannelse til værtscomputere, som tidligere er godkendt. Administratorer, der vil fravælge denne mere sikre virkemåde, kan slå begrænsningen Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host til.
Brug af Ethernet-mellemstik med iPhone eller iPad
En iPhone eller iPad med et kompatibelt Ethernet-mellemstik opretholder en aktiv forbindelse til et tilsluttet netværk, selv før enheden låses op første gang – hvis enheden har begrænsningen slået fra. Denne fremgangsmåde er praktisk, når enheden skal modtage en MDM-kommando, når der ikke er et tilgængeligt Wi-Fi- eller mobilnetværk, og enheden ikke er blevet låst op, siden den blev startet efter handlingen Luk ned eller Start igen, f.eks. når en bruger har glemt sin kode, og MDM forsøger at slette den.
Indstillingen Begrænset funktion på iPhone eller iPad kan administreres af:
MDM-administratoren med begrænsningen USB Restricted Mode. Det kræver, at enheden er under tilsyn.
Brugeren i Indstillinger > Touch/Face ID & kode > Tilbehør.