Panoramica sulla sicurezza della gestione dei dispositivi mobili
I sistemi operativi Apple supportano la gestione dei dispositivi mobili (MDM), che consente alle organizzazioni di configurare e gestire in modo sicuro i dispositivi Apple distribuiti.
Funzionamento sicuro della gestione dei dispositivi mobili
Le funzionalità MDM sono integrate nelle tecnologie nel sistema operativo, come le configurazioni, la registrazione in modalità wireless e il servizio di notifiche push di Apple (APN). Ad esempio, il servizio APN è utilizzato per attivare il dispositivo e attivare così la comunicazione diretta con la soluzione MDM tramite una connessione protetta. Non vengono trasmesse informazioni confidenziali o proprietarie.
Utilizzando MDM, i reparti IT possono registrare i dispositivi Apple in un ambiente aziendale o educativo, configurare e aggiornare le impostazioni in modalità wireless, monitorare la conformità, gestire le politiche di aggiornamento del software e perfino cancellare o bloccare a distanza i dispositivi gestiti.
Con iOS 13, iPadOS 13.1 e macOS 10.15 o versioni successive, i dispositivi Apple supportano una nuova opzione per la registrazione progettata appositamente per i programmi BYOD. “Registrazione utente” offre maggiore autonomia agli utenti sui propri dispositivi, aumentando al tempo stesso la sicurezza dei dati aziendali mediante la separazione dei dati gestiti tramite crittografia. Questo consente di ottenere un miglior equilibrio tra sicurezza, privacy ed esperienza utente per i programmi BYOD. Un meccanismo di separazione simile è stato aggiunto per le registrazioni dei dispositivi basate su account in iOS 17, iPadOS 17 e macOS 14, o versioni successive.
Tipi di registrazione
Registrazione utente: è progettata per i dispositivi di proprietà dell’utente, è integrata negli ID Apple gestiti e serve a stabilire l’identità di un utente sul dispositivo. Per avviare la registrazione sono richiesti gli ID Apple gestiti e l’utente deve autenticarsi, affinché la registrazione vada a buon fine. Gli ID Apple gestiti possono essere utilizzati insieme a un ID Apple personale con cui l’utente ha già effettuato l’accesso. Le app e gli account gestiti utilizzano l’ID Apple gestito, mentre le app e gli account personali utilizzano l’ID Apple personale.
Registrazione dispositivo: consente alle organizzazioni di far registrare manualmente i dispositivi agli utenti e quindi di gestire molti diversi aspetti legati all’uso degli stessi, tra cui la possibilità di inizializzarli. La registrazione dei dispositivi ha inoltre un più ampio insieme di configurazioni e restrizioni applicabili ai dispositivi. Quando un utente rimuove un profilo di registrazione, vengono rimosse anche tutte le configurazioni, le relative impostazioni e le app gestite basate su di esso. Analogamente a “Registrazione utente”, anche “Registrazione dispositivo” può essere integrata con un ID Apple gestito. Questa registrazione del dispositivo basata su account offre anche la possibilità di utilizzare un ID Apple gestito insieme a un ID Apple personale, separando crittograficamente i dati aziendali.
Registrazione automatizzata dispositivo: consente alle organizzazioni di configurare e gestire i dispositivi dal momento in cui vengono utilizzati per la prima volta. Tali dispositivi vengono detti supervisionati ed è possibile impedire la rimozione da parte dell’utente del profilo MDM. La registrazione automatizzata dei dispositivi è pensata per i dispositivi di proprietà delle organizzazioni.
Restrizioni dei dispositivi
Le restrizioni possono essere abilitate, e in alcuni casi disabilitate, dagli amministratori per impedire che gli utenti accedano ad app, servizi o funzionalità specifiche su iPhone, iPad, Mac o Apple TV o Apple Watch registrati in una soluzione MDM. Le restrizioni vengono inviate ai dispositivi in un apposito payload, incluso in una configurazione. Alcune restrizioni applicate a un iPhone potrebbero essere applicate anche sull’Apple Watch abbinato.
Gestione delle impostazioni di password e codici
Di default, il codice si può definire come un PIN numerico su iOS, iPadOS e watchOS. Sugli iPhone e iPad con Face ID o Touch ID, la lunghezza predefinita del codice è di sei cifre, con una lunghezza minima di quattro cifre. I codici più lunghi e complessi sono più difficili da indovinare o da attaccare, quindi sono consigliati.
Gli amministratori possono implementare requisiti complessi per i codici e altre politiche utilizzando MDM oppure, su iOS e iPadOS, Microsoft Exchange. Per l’installazione manuale del payload sulle politiche dei codici di macOS è necessaria una password da amministratore. Le politiche dei codici possono richiedere che il codice abbia una certa lunghezza, una certa composizione o altri attributi.
Su Apple Watch i codici sono numerici di default. Se una politica per il codice applicata a un Apple Watch gestito richiede l’utilizzo di caratteri non numerici, sarà necessario sbloccare il dispositivo tramite l’iPhone abbinato.