Sisäisten verkkosuojausominaisuuksien käyttö Apple-laitteissa
Apple-laitteissa on sisäisiä verkkosuojausteknologioita, jotka valtuuttavat käyttäjiä ja suojaavat heidän tietojaan siirron aikana. Apple-laitteiden verkkosuojauksen tuki sisältää seuraavat:
sisäänrakennettu IPsec, IKEv2, L2TP
räätälöity VPN App Store ‑appien kautta (iOS, iPadOS, visionOS)
räätälöity VPN muiden valmistajien VPN-asiakkaiden kautta (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) ja DTLS
SSL/TLS X.509-varmenteilla
WPA/WPA2/WPA3 Enterprise 802.1X:llä
varmennepohjainen todentaminen
jaettu salaisuus- ja Kerberos-todentaminen
RSA SecurID, CRYPTOCard (macOS)
Verkkovälitykset iOS:ssä, iPadOS:ssä, macOS:ssä ja tvOS:ssä
iOS 17, iPadOS 17, macOS 14, tvOS 17 tai uudemmat sisältävät välityksen, joka voi suojata liikennettä salatulla HTTP/3- tai HTTP/2-yhteydellä ja tarjoaa siten vaihtoehdon VPN:lle. Verkkovälitys on erityinen välipalvelin, jolla on optimoitu suorituskyky ja joka käyttää uusimpia siirto- ja suojausprotokollia. Sitä voidaan käyttää suojaamaan TCP- ja UDP-liikenne tietylle apille, koko laitteelle ja sisäisiä resursseja käytettäessä. Verkkovälityksiä voidaan käyttää useita rinnakkain, ja yhtenä niistä voi olla suojattu iCloud-lähetys, eikä niille tarvita erityistä appia. Jos haluat lisätietoja, katso Verkkovälitysten käyttäminen.
VPN ja IPsec
Monissa yritysympäristöissä on jonkinlainen VPN-verkko. Nämä VPN-palvelut vaativat yleensä hyvin vähän käyttöönottoa ja määritystä toimiakseen Applen laitteissa, jotka tukevat monia yleisiä VPN-tekniikoita.
iOS, iPadOS, macOS, tvOS, watchOS ja visionOS tukevat IPsec-protokollia ja ‑todentamismenetelmiä. Jos haluat lisätietoja, katso VPN:n yleiskatsaus.
TLS
Kryptografinen SSL 3 -protokolla ja symmetrinen RC4-salausmenetelmä on poistettu käytöstä iOS 10:ssä ja macOS 10.12:ssa.. Oletuksena Secure Transport ‑rajapinnoilla toteutetuilla TLS-asiakkailla tai -palvelimilla ei ole käytössä RC4-salausmenetelmää. Tästä syystä ne eivät voi muodostaa yhteyttä, jos RC4 on ainoa saatavilla oleva salausmenetelmä. Suojauksen parantamiseksi RC4:ä vaativia palveluita tai appeja tulisi päivittää käyttämään salausmenetelmiä.
Suojauksen lisäparannuksia ovat seuraavat:
SMB-yhteyksille vaadittu allekirjoitus (macOS)
macOS 10.12:ssa tai uudemmassa tuki AES:lle kerberoidun NFS:n salausmenetelmänä (macOS).
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 tukee sekä AES 128:a että SHA-2:ta.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalenteri, Mail ja muut internet-apit muodostavat näitä käyttäen salatun tiedonsiirtokanavan iOS:n, iPadOS:n, macOS:n ja visionOS:n ja yrityksen palveluiden välille.
Voit myös asettaa TLS-minimi- ja maksimiversion 802.1X-verkon tietosisällölle EAP-TLS:n, EAP-TTLS:n, PEAP:n ja EAP-FAST:n yhteydessä. Voit tehdä esimerkiksi seuraavat asetukset:
Voit asettaa molemmat samaan TLS-versioon
Voit asettaa TLS:n vähimmäisversion alempaan arvoon ja TLS:n enimmäisversio korkeampaan arvoon, jotka voidaan sitten neuvotella RADIUS-palvelimen kanssa
Voit jättää molemmat arvot asettamatta, jolloin 802.1X-supplicant voi neuvotella TLS-version RADIUS-palvelimen kanssa
iOS, iPadOS, macOS ja visionOS edellyttävät, että palvelimen käyttäjävarmenne allekirjoitetaan käyttäen SHA-2-allekirjoitusalgoritmiperhettä ja että se käyttää joko vähintään 2048 bitin RSA-avainta tai vähintään 256 bitin ECC-avainta.
iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 tai uudemmat tukevat TLS 1.2:ta 802.1X-todentamisessa. TLS 1.2:ta tukevat todentamispalvelimet saattavat edellyttää seuraavia päivityksiä yhteensopivuuden varmistamiseksi:
Cisco: ISE 2.3.0
FreeRADIUS: Päivitys versioihin 2.2.10 ja 3.0.16.
Aruba ClearPass: Päivitys versioon 6.6.x.
ArubaOS: Päivitys versioon 6.5.3.4.
Microsoft: Windows Server 2012 – Network Policy Server.
Microsoft: Windows Server 2016 – Network Policy Server.
Jos haluat lisätietoja 802.1X:stä, katso Applen laitteiden yhdistäminen 802.1X-verkkoihin.
WPA2/WPA3
Kaikki Applen alustat tukevat Wi-Fi-todentamis- ja salausprotokollien alan standardeja todennetun pääsyn ja luottamuksellisuuden tarjoamiseksi liityttäessä seuraaviin suojattuihin langattomiin verkkoihin:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise 192-bittinen suojaus
Jos haluat nähdä luettelon langattomien verkkojen 802.1X-todentamisprotokollista, katso 802.1X-määritykset Macille.
Appien kätkeminen ja lukitseminen
iOS 18:ssa ja iPadOS 18:ssa tai uudemmissa käyttäjät voivat vaatia Face ID:n, Touch ID:n tai pääsykoodin apin avaamiseen ja kätkemiseen Koti-valikosta. MDM voi hallita näiden valintojen saatavuutta seuraavasti:
hallitsemalla käyttäjän mahdollisuutta kätkeä ja lukita hallittuja appeja appikohtaisesti
poistamalla kaikkien appien kätkemisen ja lukitsemisen käytöstä valvotuissa laitteissa
Käyttäjärekisteröinnillä rekisteröidyissä laitteissa kätketyt apit raportoidaan MDM:ään vain, jos ne ovat hallittuja. Laiterekisteröinnillä rekisteröidyissä laitteissa kätketyt apit raportoidaan MDM:ään kaikkien asennettujen appien tavoin.
Lähiverkkoyhteys macOS:lle
macOS 15:ssä tai uudemmassa muun valmistajan appi tai käynnistysagentti, joka haluaa käyttää laitteita käyttäjän lähiverkossa, on pyydettävä lupa, kun se yrittää selata lähiverkkoa ensimmäisen kerran.
Kuten iOS:ssä ja iPadOS:ssä käyttäjät voivat nyt itse sallia tai estää tämän käytön kohdassa Järjestelmäasetukset > Tietosuoja > Lähiverkko.
FaceTime- ja iMessage-salaus
iOS, iPadOS, macOS ja visionOS luovat yksilöllisen tunnuksen jokaiselle FaceTime- ja iMessage-käyttäjälle, mikä auttaa varmistamaan, että tiedonsiirto salataan, reititetään ja yhdistetään oikein.