Brug indbyggede funktioner til netværkssikkerhed til Apple-enheder
Apple-enheder indeholder indbyggede teknologier til netværkssikkerhed, der godkender brugere og beskytter deres data, mens dataene overføres. Understøttelse af netværkssikkerheden på Apple-enheder omfatter:
Indbygget IPsec, IKEv2, L2TP
Custom VPN via App Store-apps (iOS, iPadOS, visionOS)
Custom VPN via VPN-klienter fra tredjeparter (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) og DTLS
SSL/TLS med X.509-certifikater
WPA/WPA2/WPA3 Enterprise med 802.1X
Certifikatbaseret godkendelse
Nøgle (shared secret) og Kerberos-godkendelse
RSA SecurID, CRYPTOCard (macOS)
Netværkskanaler i iOS, iPadOS, macOS og tvOS
En indbygget kanal i iOS 17, iPadOS 17, macOS 14, tvOS 17 og nyere versioner kan bruges til at beskytte trafik vha. en krypteret HTTP/3- eller HTTP/2-forbindelse som et alternativ til en VPN. En netværkskanal er en særlig form for proxy, som er optimeret til ydelse og bruger de nyeste transport- og sikkerhedsprotokoller. Den kan bruges til at sikre TCP- og UDP-trafik for en bestemt app, en hel enhed samt ved adgang til interne ressourcer. Der kan anvendes flere netværkskanaler parallelt, bl.a. iCloud Private Relay, uden at der kræves en app. Du kan få flere oplysninger i Brug netværkskanaler.
VPN og IPsec
Mange virksomheder har en eller anden form for virtuelt privat netværk (VPN). Disse VPN-tjenester kræver som regel minimal indstilling og konfiguration, før de kan arbejde med Apple-enheder, som mange af de mest brugte VPN-teknologier kan integreres i.
iOS, iPadOS, macOS, tvOS, watchOS og visionOS understøtter IPsec-protokoller og -godkendelsesmetoder. Du kan få flere oplysninger i Oversigt over VPN.
TLS
Den kryptografiske protokol SSL 3 og den symmetriske RC4-kodepakke blev udfaset i iOS 10 og macOS 10.12. Som standard er RC4-kodepakker ikke slået til på TLS-klienter eller -servere med Secure Transport API’er. Derfor kan de ikke oprette forbindelse, når RC4 er den eneste tilgængelige kodepakke. Tjenester eller apps, som kræver RC4 , bør opgraderes til at kunne bruge kodepakker for at øge sikkerheden.
Yderligere sikkerhedsforbedringer omfatter:
Påkrævet signering af SMB-forbindelser (macOS)
Understøttelse af AES som krypteringsmetode til NFS, der bruger Kerberos (macOS) i macOS 10.12 og nyere versioner
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 understøtter både AES 128 og SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalender, Mail og andre internetapps bruger disse mekanismer til at åbne en krypteret kommunikationskanal mellem iOS, iPadOS, macOS og visionOS og virksomhedstjenester.
Du kan også indstille den laveste og højeste TLS-version til dine 802.1X-netværksdata med EAP-TLS, EAP-TTLS, PEAP og EAP-FAST. Du kan f.eks. indstille:
Begge til samme TLS-version
Laveste TLS-version til en lavere værdi og højeste TLS-version til en højere værdi, hvor værdien derefter skal forhandles med RADIUS-serveren
Ingen værdi, hvilket betyder, at 802.1X-supplikanten skal forhandle TLS-versionen med RADIUS-serveren
iOS, iPadOS, macOS og visionOS kræver, at serverens bladcertifikat er signeret med en SHA-2-signaturalgoritme og enten bruger en RSA-nøgle på mindst 2048 bit eller en ECC-nøgle på mindst 256 bit.
Understøttelse af TLS 1.2 i 802.1X-godkendelse er tilføjet i iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 og nyere versioner. Godkendelsesservere, der understøtter TLS 1.2, skal måske opdateres for at være kompatible:
Cisco: ISE 2.3.0
FreeRADIUS: Opdater til version 2.2.10 og 3.0.16.
Aruba ClearPass: Opdater til version 6.6.x.
ArubaOS: Opdater til version 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Du kan få flere oplysninger om 802.1X i Opret forbindelse fra Apple-enheder til 802.1X-netværk.
WPA2/WPA3
Alle Apple-platforme understøtter branchens standardløsninger til Wi-Fi-godkendelse og krypteringsprotokoller med henblik på at levere godkendt adgang og fortrolighed, når der oprettes forbindelse til følgende sikre trådløse netværk:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise 192-bit sikkerhed
Du kan se en liste med protokoller til trådløs 802.1X-godkendelse i 802.1X-konfigurationer til Mac.
Skjul og lås apps
I iOS 18 og iPadOS 18 og nyere versioner kan brugere kræve Face ID, Touch ID eller en adgangskode til at åbne en app samt skjule appen på hjemmeskærmen. MDM kan administrere tilgængeligheden af disse muligheder ved at:
styre brugerens mulighed for at skjule og låse administrerede apps for hver app
slå muligheden for at skjule og låse alle apps på enheder, der er under tilsyn, fra.
På enheder, der er tilmeldt med brugertilmelding, er det kun skjulte apps, som er under administration, der rapporteres til MDM. På enheder, der er tilmeldt med enhedstilmelding, rapporteres skjulte apps til MDM ligesom alle andre installerede apps.
Lokal netværksadgang til macOS
I macOS 15 eller en nyere version skal en tredjepartsapp eller lanceringsagent, der ønsker at interagere med enheder på brugerens lokale netværk, bede om tilladelse, første gang den forsøger at browse på det lokale netværk.
Ligesom i iOS og iPadOS kan brugerne gå til Systemindstillinger > Anonymitet > Lokalt netværk for at tilllade eller afvise adgang.
Kryptering i FaceTime og iMessage
iOS, iPadOS, macOS og visionOS opretter et unikt id til hver FaceTime- og iMessage-bruger som hjælp til at sikre, at kommunikationen krypteres, routes og forbindes korrekt.