Kiegészítők Apple-eszközökhöz történő hozzáférésének kezelése
Mac számítógépek kezelése
A macOS kiegészítőbiztonság (Korlátozott mód) kialakításából adódóan védelmet nyújt az ügyfelek számára a vezetékes kiegészítőkkel végzett, közvetlen hozzáférésű támadások ellen. macOS 13 vagy újabb rendszert futtató, Apple-chippel rendelkező hordozható Macek esetében az alapértelmezett konfiguráció szerint a rendszer felkéri a felhasználót az új kiegészítők engedélyezésére. A felhasználónak négy lehetősége van a Rendszerbeállításokban a kiegészítők csatlakozásának engedélyezéséhez:
Rákérdezés mindig
Rákérdezés új kiegészítők esetén
Automatikusan, ha a zárolás fel van oldva
Mindig
H egy felhasználó ismeretlen kiegészítőt (Thunderbolt, USB vagy – macOS 13.3 vagy újabb rendszer esetén – SDXC- (SD Extended Capacity) kártyát) csatlakoztat egy zárolt Machez, akkor egy üzenet felszólítja a Mac feloldására. A jóváhagyott kiegészítők csatlakoztathatók egy zárolt Machez annak zárolásától számítva 3 napig. A csatlakoztatott kiegészítők 3 nap után felszólítják a felhasználót, hogy „Oldja fel a kiegészítők használatát”.
Előfordulhat, hogy néhány környezethez meg kell kerülni a felhasználó hitelesítését. Az MDM-megoldások képesek vezérelni ezt a viselkedést a meglévő allowUSBRestrictedMode korlátozással, amivel mindig engedélyezhetők a kiegészítők.
Megjegyzés: Ez a csatlakozások nem vonatkoznak a tápegységekre, a nem Thunderbolt-kijelzőkre, jóváhagyott központokra, párosított intelligens kártyákra, olyan Macre, amelyen a Beállítási asszisztens fut, vagy a visszaállítási operációs rendszerből indult el.
iPhone- és iPad-eszközök kezelése
Felügyelheti, hogy mely hosztszámítógépekhez lehetnek az iPhone-ok és iPadek párosítva, ami a biztonság és a felhasználók kényelme szempontjából fontos. Ahhoz például, hogy biztonságosan csatlakozhasson önkiszolgáló állomásokhoz a szoftverfrissítés vagy a Mac internetkapcsolatának megosztása érdekében, megbízható kapcsolat kell az iPhone vagy iPad és a hosztszámítógép között.
Az eszközpárosítást jellemzően a felhasználó végzi el, amikor USB-kábellel (vagy ha egy iPad-modell támogatja, Thunderbolt-kábellel) csatlakoztatja az eszközt a hosztszámítógéphez. Üzenet jelenik meg a felhasználó eszközén, amely megkérdezi, hogy szeretne-e megbízható kapcsolatot kialakítani a számítógéppel.
A felhasználónak meg kell adnia a jelkódját a döntés megerősítéséhez. Az azonos hosztszámítógéppel való további kapcsolatok automatikusan megbízhatók lesznek a jövőben. A felhasználó törölheti a megbízható kapcsolatokat a Beállítások > Általános > Visszaállítás > Helyz.- és adatvédelmi adatok alaphelyzetbe állítása menüpontban, illetve az eszköz törlésével. Ezenkívül ezek a bizalmi feljegyzések törlésre kerülnek, ha 30 napig nem használják őket.
A hosztpárosítás MDM-felügyelete
Az adminisztrátor a Párosítás engedélyezése nem Apple Configurator hosts korlátozással kezelheti, hogy a felügyelt Apple-eszközök képesek-e manuálisan megbízni hosztszámítógépekben. A hosztpárosítási képesség letiltásával (és a helyes felügyeleti identitások eszközökre való elosztásával) az adminisztrátor gondoskodhat arról, hogy csak azok a megbízható számítógépek érhessék el az iPhone vagy iPad eszközöket USB-n (illetve, ha az iPad modellje támogatja azt, Thunderbolton) keresztül, amelyek érvényes felügyeleti hoszttanúsítvánnyal rendelkeznek. Ha a hosztszámítógépen nincs felügyeleti hoszttanúsítvány konfigurálva, akkor minden párosítás le van tiltva.
Megjegyzés: Az Apple allow_pairing eszközfelíratási beállítása elavulttá vált az iOS 13 és az iPadOS 13.1 verziókkal. Az adminisztrátoroknak a jövőben a fenti útmutatást kell használniuk, mivel ez a megbízott hosztokkal történő párosítás lehetővé tételének megtartásával nagyobb rugalmasságot biztosít. Továbbá engedélyezi a hosztpárosítási beállítások módosítását anélkül, hogy törölni kellene az iPhone-t vagy iPadet.
Nem párosított visszaállítási munkafolyamatok biztonságossá tétele
Az iOS 14.5 és az iPadOS 14.5 vagy újabb verziótól kezdve a nem párosított hosztszámítógép nem indíthatja újra az eszközt visszaállítási operációs rendszerben (azaz Helyreállítási módban) és nem állíthatja azt helyre helyi, fizikai interakció nélkül. Ezen módosítás előtt egy jogosulatlan felhasználó törölhette és alaphelyzetbe állíthatta egy másik felhasználó eszközét, anélkül hogy közvetlenül interakcióba lépett volna az iPhone-nal vagy iPaddel. Ehhez mindössze egy (például töltéshez használható) USB-kapcsolatra (vagy egy kompatibilis iPad-modell esetében Thunderboltra) volt szükség a céleszköz és a számítógép között.
Külső rendszerindítás korlátozása iPhone vagy iPad visszaállítása céljából
Alapértelmezés szerint az iOS 14.5 és az iPadOS 14.5 mostantól korlátozza a helyreállító képességet olyan hosztszámítógépekre, amelyek korábban megbízhatónak lettek kiválasztva. Azok az adminisztrátorok, akik szeretnék kikapcsolni ezt a biztonságosabb viselkedést, bekapcsolhatják Az iOS- vagy iPadOS-eszköz Helyreállító módba helyezésének engedélyezése nem párosított hosztról korlátozást.
Ethernet-adapterek használata iPhone-nal és iPaddel
A kompatibilis Ethernet-adapterrel rendelkező iPhone vagy iPad aktív kapcsolatot tart fent a csatlakoztatott hálózattal, még ha az eszköz eredetileg fel is volt oldva, feltéve, hogy az eszköz esetében a korlátozás ki van kapcsolva. Ez a megközelítés olyankor hasznos, ha az eszköznek MDM-parancsot kell kapnia, amikor nem érhető el Wi-Fi- és mobilhálózat, és az eszköz még nem lett feloldva a leállítása vagy újraindítása óta (pl. ha a felhasználó elfelejtette a jelkódját, és az MDM megpróbálja törölni azt).
Az iPhone és iPad korlátozott mód beállításait a következők kezelhetik:
Az MDM-adminisztrátor az USB korlátozott mód korlátozással. A beállítás csak adminisztrált eszközön végezhető el.
A felhasználó a Beállítások > Touch/Face ID és jelkód > Kiegészítők menüpontban.