Tinjauan keamanan manajemen perangkat bergerak
Sistem operasi Apple mendukung manajemen perangkat bergerak (MDM), yang memungkinkan organisasi untuk mengonfigurasi dan mengelola penyebaran perangkat Apple terskala dengan aman.
Cara MDM bekerja dengan aman
Kemampuan MDM dibangun berdasarkan teknologi sistem operasi, seperti konfigurasi, pendaftaran nirkabel, dan layanan Pemberitahuan Push Apple (APN). Misalnya, APN digunakan untuk membangunkan perangkat dan memicunya untuk berkomunikasi langsung dengan solusi MDM melalui koneksi aman. Tidak ada informasi rahasia atau khusus yang dikirimkan melalui APN.
Dengan MDM, departemen TI dapat mendaftarkan perangkat Apple di lingkungan perusahaan atau pendidikan, mengonfigurasi dan memperbarui pengaturan secara nirkabel, mengawasi kepatuhan, mengelola pembaruan perangkat lunak, dan bahkan menghapus atau mengunci perangkat yang dikelola dari jauh.
Di iOS 13, iPadOS 13.1, macOS 10.15, visionOS 1.1, atau lebih baru, perangkat Apple mendukung pilihan pendaftaran baru yang secara khusus didesain untuk program BYOD (bawa perangkat Anda sendiri). Pendaftaran Pengguna menyediakan otonomi yang lebih besar untuk pengguna di perangkat mereka sendiri, sekaligus meningkatkan keamanan data perusahaan dengan memisahkan data yang dikelola secara kriptografis. Ini menyediakan keseimbangan yang lebih baik antara keamanan, privasi, dan pengalaman pengguna untuk program BYOD. Mekanisme pemisahan data serupa telah ditambahkan untuk Pendaftaran Perangkat menggunakan akun di iOS 17, iPadOS 17, macOS 14, visionOS 1.1, atau lebih baru.
Jenis pendaftaran
Pendaftaran Pengguna: Pendaftaran Pengguna dirancang untuk perangkat yang dimiliki oleh pengguna dan terintegrasi dengan Akun Apple Terkelola untuk membuat identitas pengguna di perangkat. Akun Apple Terkelola diperlukan untuk memulai pendaftaran, dan pengguna harus berhasil mengesahkan agar pendaftaran berhasil. Akun Apple Terkelola dapat digunakan bersama Akun Apple pribadi yang telah digunakan pengguna untuk masuk. App serta akun terkelola menggunakan Akun Apple Terkelola, dan app serta akun pribadi menggunakan Akun Apple.
Pendaftaran Perangkat: Pendaftaran Perangkat memungkinkan organisasi untuk memungkinkan pengguna secara manual mendaftarkan perangkat, lalu mengelola berbagai aspek penggunaan perangkat, termasuk kemampuan untuk menghapus perangkat. Pendaftaran Perangkat juga memiliki kumpulan konfigurasi dan pembatasan yang lebih besar yang dapat diterapkan ke perangkat. Saat pengguna menghapus profil pendaftaran, semua konfigurasi, pengaturan, dan app terkelola berdasarkan profil pendaftaran tersebut akan dihapus. Serupa dengan Pendaftaran Pengguna, Pendaftaran Perangkat juga dapat diintegrasikan dengan Akun Apple Terkelola. Pendaftaran Perangkat menggunakan akun juga menyediakan kemampuan untuk menggunakan Akun Apple Terkelola bersamaan dengan Akun Apple pribadi dan memisahkan data perusahaan secara kriptografis.
Pendaftaran Perangkat Otomatis: Pendaftaran Perangkat Otomatis memungkinkan organisasi untuk mengonfigurasi dan mengelola perangkat sejak perangkat digunakan. Perangkat ini dikenal sebagai yang diawasi, dan pengguna memiliki pilihan untuk mencegah profil MDM agar tidak dihapus oleh pengguna. Pendaftaran Perangkat Otomatis dirancang untuk perangkat yang dimiliki oleh organisasi.
Pembatasan perangkat
Pembatasan dapat diaktifkan—atau dalam beberapa kasus dinonaktifkan—oleh administrator untuk membantu mencegah pengguna mengakses app, layanan, atau fungsi perangkat Apple yang terdaftar di solusi MDM. Pembatasan dikirimkan ke perangkat dalam muatan pembatasan, yang merupakan bagian dari konfigurasi. Pembatasan tertentu di iPhone dapat dicerminkan di Apple Watch yang dipasangkan.
Manajemen pengaturan kode sandi dan kata sandi
Secara default, kode sandi pengguna dapat didefinisikan sebagai PIN numerik di iOS, iPadOS, watchOS, dan visionOS. Di perangkat iPhone, iPad, dan Apple Vision Pro dengan pengesahan biometrik, panjang kode sandi default adalah enam digit, dengan minimum empat digit. Apple menyarankan kode sandi yang lebih panjang dan rumit karena lebih sulit ditebak atau diserang.
Administrator dapat memberlakukan persyaratan kode sandi kompleks dan kebijakan lainnya menggunakan MDM atau di iOS, iPadOS, visionOS, atau Microsoft Exchange. Kata sandi administrator diperlukan saat muatan kebijakan kode sandi macOS diinstal secara manual. Kebijakan kode sandi dapat memerlukan panjang kode sandi tertentu, komposisi, atau atribut lainnya.
Apple Watch menggunakan kode sandi numerik secara default. Jika kebijakan kode sandi yang diterapkan ke Apple Watch terkelola mengharuskan penggunaan karakter nonnumerik, iPhone yang dipasangkan harus digunakan untuk membuka perangkat.