Zarządzanie dostępem akcesoriów do urządzeń Apple
Zarządzanie komputerami Mac
Funkcja bezpieczeństwa akcesoriów w systemie macOS (czyli tryb ograniczonego dostępu) została zaprojektowana w celu ochrony klientów przed atakami z bliska za pomocą akcesoriów podłączanych fizycznie. W przypadku laptopów Mac z układem scalonym Apple i systemem macOS 13 lub nowszym domyślnie skonfigurowane jest pytanie użytkownika o zezwolenie na nowe akcesoria. Użytkownik ma cztery opcje w Ustawieniach systemowych umożliwiające podłączenie akcesoriów:
Zawsze pytaj
Pytaj o nowe akcesoria
Automatycznie po odblokowaniu
Zawsze
Jeśli użytkownik podłączy do zablokowanego Maca nieznane akcesorium (Thunderbolt lub USB, a w systemie macOS 13.3 lub nowszym także kartę SDXC), zostanie wyświetlony monit o odblokowanie Maca. Zatwierdzone akcesoria można podłączyć do zablokowanego komputera Mac przez maksymalnie 3 dni od ostatniej jego blokady. Każde akcesorium podłączone po 3 dniach powoduje wyświetlenie monitu o treści „Odblokuj, aby użyć akcesoriów”.
W niektórych środowiskach może być wymagane pominięcie autoryzacji użytkownika. Rozwiązania MDM mogą kontrolować to zachowanie, używając istniejącego ograniczenia allowUSBRestrictedMode, aby zawsze zezwalać na podłączanie akcesoriów.
Uwaga: Nie dotyczy to zasilaczy, wyświetlaczy innych niż Thunderbolt, zatwierdzonych koncentratorów, połączonych w parę kart inteligentnych ani komputerów Mac z Asystentem ustawień lub uruchomionych w trybie recoveryOS.
Zarządzanie urządzeniami iPhone i iPad
Zarządzanie tym, z którymi hostami mogą parować się iPhone’y oraz iPady, jest ważne ze względów bezpieczeństwa oraz wygody użytkownika. Na przykład, możliwość bezpiecznego podłączania urządzeń do stacji samoobsługowych w celu uaktualnienia oprogramowania lub udostępnianie połączenia internetowego z Maca wymaga relacji zaufania między iPhone'em lub iPadem a hostem.
Proces łączenia urządzeń w parę jest zwykle przeprowadzany przez użytkownika w momencie podłączenia urządzenia przy użyciu kabla USB (lub Thunderbolt, zależnie od modelu iPada) do komputera pełniącego rolę hosta. Na urządzeniu użytkownika wyświetlany jest monit z prośbą o potwierdzenie zamiaru utworzenia relacji zaufania z danym komputerem.
Następnie użytkownik proszony jest o wprowadzenie kodu, aby potwierdzić decyzję. Wszystkie kolejne połączenia z tym samym komputerem są automatycznie uznawane za zaufane. Użytkownicy mogą wymazać relacje zaufania, wybierając Ustawienia > Ogólne > Wymaż > Dane lokalizacji/prywatności lub wymazując urządzenie. Dodatkowo, te rekordy zaufania są usuwane, jeśli nie zostaną użyte przez 30 dni.
Zarządzanie łączeniem w parę z hostem przy użyciu rozwiązania MDM
Administrator może zarządzać możliwością ręcznego zaufania hostom na zarządzanych urządzeniach Apple, używając ograniczenia Allow pairing with non-Apple Configurator hosts (Pozwalaj na łączenie w parę z komputerami bez aplikacji Apple Configurator). Wyłączenie przez administratora możliwości łączenia w parę z hostami (oraz udostępnienie urządzeniom odpowiednich tożsamości nadzoru) powoduje, że tylko zaufane komputery z ważnym certyfikatem hosta nadzorującego mogą uzyskiwać dostęp do iPhone’ów i iPadów przez USB (lub Thunderbolt, zależnie od modelu iPada). Jeśli na komputerze pełniącym rolę hosta nie zostanie skonfigurowany żaden certyfikat hosta nadzorującego, łączenie w parę zostaje całkowicie zablokowane.
Uwaga: Ustawienie rejestracji urządzenia Apple allow_pairing wycofano w systemach iOS 13 oraz iPadOS 13.1. Administratorzy powinni zamiast tego korzystać z powyższych wskazówek, ponieważ zapewniają one większą elastyczność, nadal umożliwiając łączenie w parę z zaufanymi hostami. Umożliwiają one także zmianę ustawień łączenia w parę hosta bez konieczności wymazywania iPhone'a lub iPada.
Zabezpieczenie procedur odtwarzania urządzeń niepołączonych w parę
W systemie iOS 14.5 i iPadOS 14.5 lub nowszym niepołączony w parę komputer hosta nie może ponownie uruchomić urządzenia w trybie recoveryOS (znanym również jako tryb odzyskiwania) i przywrócić go bez lokalnej fizycznej interakcji. Przed wprowadzeniem tej zmiany nieautoryzowany użytkownik mógł wymazać i odtworzyć iPhone'a lub iPada bez bezpośredniej interakcji z danym urządzeniem. Wystarczyło do tego połączenie USB (lub Thunderbolt, zależnie od modelu iPada) między urządzeniem docelowym i komputerem, na przykład udostępnione jako ładowarka.
Ograniczenia dotyczące rozruchu zewnętrznego w celu użycia trybu odzyskiwania na iPhonie lub iPadzie
Domyślnie systemy iOS 14.5, iPadOS 14.5 i nowsze ograniczają możliwość używania trybu odzyskiwania tylko do połączeń z tymi hostami, którym wcześniej zostało przydzielone zaufanie. Administratorzy, którzy chcą zrezygnować z tego bezpieczniejszego sposobu działania, mogą włączyć ograniczenie Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host.
Używanie adapterów Ethernet na iPhonie lub iPadzie
iPhone lub iPad ze zgodnym adapterem Ethernet utrzymuje aktywne połączenie z używaną siecią nawet przed jego początkowym odblokowaniem (jeśli na urządzeniu wyłączone jest to ograniczenie). Jest to przydatne, jeśli urządzenie musi przyjąć polecenie MDM, gdy sieci Wi-Fi i komórkowe są niedostępne, a urządzenie nie zostało odblokowane od czasu uruchomienia lub ponownego uruchomienia (na przykład, gdy użytkownik zapomniał swoje hasło i rozwiązanie MDM próbuje je wymazać).
Ustawieniami trybu ograniczonego dostępu na iPhonie lub iPadzie może zarządzać:
Administrator z zastrzeżeniem trybu ograniczonego dostępu do USB. Ta opcja wymaga, aby urządzenie było urządzeniem nadzorowanym.
Użytkownik w panelu Ustawienia > Touch ID i kod/Face ID i kod > Akcesoria.