Bruk innebygde funksjoner for nettverkssikkerhet for Apple-enheter
Apple-enheter har innebygd nettverkssikkerhetsteknologi som godkjenner brukere og beskytter dataene deres under overføring. Apple-enheter støtter følgende nettverkssikkerhetsteknologi:
innebygd IPsec, IKEv2, L2TP
Tilpasset VPN via App Store-apper (iOS, iPadOS, visionOS)
egendefinert VPN via VPN-klienter fra tredjeparter (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2 og TLS 1.3) og DTLS
SSL/TLS med X.509-sertifikater
WPA/WPA2/WPA3 Enterprise med 802.1X
sertifikatbasert autentisering
delt hemmelighet og Kerberos-autentisering
RSA SecurID, CRYPTOCard (macOS)
Nettverks-relayer i iOS, iPadOS, macOS og tvOS
Et innebygd relay i iOS 17, iPadOS 17, macOS 14, tvOS 17 og nyere kan brukes til å sikre trafikk ved hjelp av en kryptert HTTP/3- eller HTTP/2-tilkobling som en alternativ VPN. Et nettverks-relay er en spesiell type proxy som er optimalisert for ytelse og bruker de nyeste transport- og sikkerhetsprotokollene. Det kan brukes til å sikre TCP- og UDP-trafikk for en bestemt app, hele enheten og når brukeren får tilgang til interne ressurser. Flere enn ett nettverks-relay kan brukes samtidig, inkludert Privat trafikk med iCloud, uten at det kreves noen app. Hvis du vil ha mer informasjon, kan du se Bruk nettverks-relayer.
VPN og IPsec
Mange bedriftsmiljøer har en form for virtuelle private nettverk (VPN). Disse VPN-tjenestene krever vanligvis minimal klargjøring og konfigurering for å fungere med Apple-enheter, som støtter mange vanlige VPN-teknologier.
iOS, iPadOS, macOS, tvOS, watchOS og visionOS støtter IPsec-protokoller og -autentiseringsmetoder. Du finner mer informasjon under VPN-oversikt.
TLS
Krypteringsprotokollen SSL 3 og chiffersamlingen RC4 er utgått i iOS 10 og macOS 10.12. TLS-klienter eller -tjenere som er implementert med Secure Transport API-er, har som standard ikke aktivert chiffersamlingen RC4. De vil derfor ikke kunne koble til når RC4 er den eneste chiffersamlingen som er tilgjengelig. For å øke sikkerheten bør tjenester eller apper som krever RC4, oppgraderes til å aktivere chiffersamlinger.
Ytterlige sikkerhetsforbedringer inkluderer:
påkrevd signering av SMB-forbindelser (macOS)
støtte for AES som krypteringsmetode for kerberisert NFS (macOS) i macOS 10.12 eller nyere
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 støtter både AES 128 og SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalender, Mail og andre internettapper bruker disse for å aktivere en kryptert kommunikasjonskanal mellom iOS, iPadOS, macOS og visionOS og bedriftstjenestene.
Du kan også angi minimum og maksimum TLS-versjon for 802.1X-nettverksnyttelasten med EAP-TLS, EAP-TTLS, PEAP og EAP-FAST. Du kan for eksempel stille:
begge til samme, spesifikke TLS-versjon
TLS-minimumsversjonen til en lavere verdi, og TLS-maksimumsversjonen til en høyere verdi, som deretter er gjenstand for forhandlinger med RADIUS-tjeneren
en verdi på ingen, som vil tillate at 802.1X-supplikanten forhandler om TLS-versjonen med RADIUS-tjeneren
iOS, iPadOS, macOS og visionOS krever at tjenerens leaf-sertifikat signeres med SHA-2-familien med signaturalgoritmer og bruker enten en RSA-nøkkel på minst 2048 bit, eller en ECC-nøkkel på minst 256 bit.
iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 og nyere inneholder støtte for TLS 1.2 i 802.1X-autentisering. Autentiseringstjenere som støtter TLS 1.2 kan kreve følgende oppdateringer for å være kompatible:
Cisco: ISE 2.3.0
FreeRADIUS: Oppdater til versjon 2.2.10 og 3.0.16.
Aruba ClearPass: Oppdater til versjon 6.6.x.
ArubaOS: Oppdater til versjon 6.5.3.4.
Microsoft: Windows Server 2012 – Network Policy Server.
Microsoft: Windows Server 2016 – Network Policy Server.
Du finner mer informasjon om 802.1X under Koble Apple-enheter til 802.1X-nettverk.
WPA2/WPA3
Alle Apple-plattformer støtter bransjestandard Wi-Fi-protokoller for autentisering og kryptering for å gi autorisert tilgang og konfidensialitet når du kobler til de følgende sikrede, trådløse nettverkene:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise 192-bit-sikkerhet
Se 802.1X-konfigurasjoner for Mac for en liste over trådløse 802.1X-autentiseringsprotokoller.
Skjule og låse apper
I iOS 18 og iPadOS 18 eller nyere, kan brukere kreve Face ID, Touch ID eller en kode for å åpne en app og for å skjule apper på Hjem-skjermen. MDM kan administrere tilgjengeligheten av disse valgene ved å:
kontrollere brukerens mulighet til å skjule og låse administrerte apper for hver enkelt app
deaktivere muligheten til å skjule og låse alle apper på enheter under tilsyn
For enheter som er registrert med Brukerregistrering, vil skjulte apper bare rapporteres til MDM hvis de er administrerte. For enheter som er registrert med Enhetsregistrering, vil skjulte apper rapporteres til MDM som en del av alle installerte apper.
Tilgang til lokalt nettverk for macOS
I macOS 15 eller nyere må en tredjepartsapp eller startagent som vil samhandle med enheter på en brukers lokale nettverk, be om tillatelse den første gangen den forsøker å navigere på det lokale nettverket.
Akkurat som på iOS og iPadOS kan brukere gå til Systeminnstillinger > Personvern > Lokalt nettverk for å tillate eller blokkere denne tilgangen.
FaceTime- og iMessage-kryptering
iOS, iPadOS, macOS og visionOS oppretter en unik ID for hver FaceTime- og iMessage-bruker. ID-en sikrer at kommunikasjon krypteres, rutes og tilkobles på riktig måte.