行動裝置管理安全性概覽
Apple 作業系統支援行動裝置管理(MDM),此解決方案讓組織可安全地設定及管理有規模的 Apple 裝置部署。
MDM 如何安全運作
設定、無線註冊和「Apple 推播通知服務」(APNs)等作業系統技術均內建 MDM 功能。例如,APNs 可用來喚醒裝置,並觸發裝置透過安全連線與 MDM 解決方案直接進行通訊。任何機密或私密資訊皆不會透過 APNs 傳輸。
使用 MDM,IT 部門便可以為企業或教育環境中的 Apple 裝置註冊、以無線方式設定配置和更新設定、監控遵守狀況、管理軟體更新,甚至可以遠端清除或鎖定受管理的裝置。
在 iOS 13、iPadOS 13.1 和 macOS 10.15 或以上版本中,Apple 裝置支援專為「員工自攜裝置」BYOD 計畫設計的新註冊選項。「使用者註冊」讓使用者在其擁有的裝置上擁有更多自主權,同時以加密編譯方式將受管理的資料隔離,增強了企業資料的安全性。這讓 BYOD 計畫在安全性、隱私和使用者體驗之間達到更平衡的狀態。在 iOS 17、iPadOS 17 和 macOS 14 或以上版本中,為基於帳號的「裝置註冊」加入了類似的資料隔離機制。
註冊類型
使用者註冊:「使用者註冊」專為使用者擁有的裝置所設計,且與管理式 Apple ID 整合以在裝置上建立使用者識別身分。起始註冊需要管理式 Apple ID,使用者必須成功認證才能順利註冊。管理式 Apple ID 可搭配使用者已登入的個人 Apple ID 使用。受管理的 App 和帳號使用管理式 Apple ID,而個人 App 和帳號則使用個人 Apple ID。
裝置註冊:「裝置註冊」允許組織讓使用者手動註冊裝置,然後管理許多裝置使用層面,包含清除裝置的功能在內。「裝置註冊」也有較大範圍的設定和取用限制可套用至裝置。當使用者移除註冊描述檔,所有配置、設定,以基於該註冊描述檔的受管理 App 都會移除。與「使用者註冊」類似,「裝置註冊」也可以與管理式 Apple ID 整合。這種基於帳號的「裝置註冊」還提供了使用「管理式 Apple ID」與個人 Apple ID 並行的能力,並以加密編譯方式將企業資料隔離。
自動裝置註冊:「自動裝置註冊」讓組織在裝置開箱的當下即可進行設定及管理。這些裝置稱為受監管,且使用者可選擇讓使用者無法移除 MDM 描述檔。「自動裝置註冊」是為了由組織擁有的裝置所設計。
裝置取用限制
取用限制可由管理者啟用,或在部分情況下停用,以協助防止使用者取用特定 App、服務,或在 MDM 解決方案中註冊的 iPhone、iPad、Mac、Apple TV 或 Apple Watch 的功能。取用限制會傳送至取用限制承載資料中的裝置,其為設定的一部分。iPhone 上的某些取用限制可能會反映在配對的 Apple Watch 上。
密碼與密碼設定管理
依照預設,在 iOS、iPadOS 和 watchOS 上,使用者的密碼可定義為數值的 PIN。在配備 Face ID 或 Touch ID 的 iPhone 和 iPad 裝置上,預設密碼長度是六位數,最少四位數。由於較長且複雜的密碼比較難以猜測或攻擊,因此建議使用此類密碼。
管理者可以使用 MDM 或在 iOS 和 iPadOS 上使用 Microsoft Exchange,強制實施複雜的密碼要求和其他規則。若 macOS 密碼規則承載資料是以手動方式安裝,則需使用管理者密碼。密碼規則可能需要特定的密碼長度、組成內容或其他屬性。
Apple Watch 預設使用數字密碼。如果套用至受管理 Apple Watch 的密碼規則要求使用非數字字元,則需要使用配對的 iPhone 來解鎖裝置。