Usar recursos de segurança de rede integrados para dispositivos Apple
Os dispositivos Apple têm tecnologias de segurança de rede integradas que autorizam os usuários e ajudam a proteger seus dados durante transmissões. A segurança de rede de dispositivos Apple oferece suporte a:
IPsec, IKEv2, L2TP integrados
VPN Personalizada através de apps da App Store (iOS, iPadOS e visionOS)
VPN Personalizada através de clientes VPN de terceiros (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) e DTLS
SSL/TLS com certificados X.509
WPA/WPA2/WPA3 Empresarial com 802.1X
Autenticação por certificado
Segredo compartilhado e autenticação Kerberos
RSA SecurID, CRYPTOCard (macOS)
Retransmissões de rede no iOS, iPadOS, macOS e tvOS
Uma retransmissão integrada no iOS 17, iPadOS 17, macOS 14, tvOS 17 ou posteriores pode ser usada para dar segurança ao tráfego com uma conexão HTTP/3 ou HTTP/2 criptografada, como alternativa à VPN. Uma retransmissão de rede é um tipo especial de proxy otimizado para desempenho que usa os protocolos mais recentes de transporte e segurança. Ela pode ser usada para dar segurança ao tráfego TCP e UDP de um app específico, do dispositivo inteiro e ao acessar recursos internos. Várias retransmissões podem ser usadas em paralelo, incluindo a Retransmissão Privada do iCloud, sem exigir nenhum app. Para obter mais informações, consulte Use retransmissões de rede.
VPN e IPsec
Muitos ambientes empresariais possuem alguma forma de rede virtual privada (VPN). Esses serviços VPN normalmente requerem configuração mínima para o funcionamento com dispositivos da Apple, os quais possuem integração com diversas tecnologias VPN usadas comumente.
O iOS, iPadOS, macOS, tvOS, watchOS e visionOS são compatíveis com protocolos IPsec e métodos de autenticação. Para obter mais informações, consulte Visão geral da VPN.
TLS
O protocolo criptográfico SSL 3 e o conjunto de cifras simétricas RC4 não são mais usados no iOS 10 e no macOS 10.12. Por padrão, clientes ou servidores TLS implementados com APIs de Transporte Seguro não têm os conjuntos de cifras RC4 ativados. Por esse motivo, não podem se conectar quando RC4 for o único conjunto de cifras simétricas disponível. Para ter mais segurança, serviços ou apps que requeiram RC4 devem ser atualizados para ativar os conjuntos de cifras simétricas.
Aprimoramentos adicionais de segurança incluem:
Requer assinatura de conexões SMB (macOS)
No macOS 10.12 ou posterior, suporte a AES como método de criptografia para KFS Kerberizado (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
Suporte TLS 1.2 para AES 128 e SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
O Safari, Calendário, Mail e outros apps de internet usam esses mecanismos para ativar um canal de comunicação criptografado entre iOS, iPadOS, macOS e visionOS, e serviços empresariais.
Você também pode definir a versão mínima e máxima de TLS do payload de rede 802.1X com EAP-TLS, EAP-TTLS, PEAP e EAP-FAST. Por exemplo, você pode ajustar:
Os dois para a mesma versão TLS específica
A versão mínima de TLS para um valor mais baixo e a versão máxima de TLS para um valor mais alto, o que seria então negociado com o servidor RADIUS
Um valor nulo, que permitiria ao requerente 802.1X negociar a versão TLS com o servidor RADIUS
O iOS, iPadOS, macOS e visionOS requerem que o certificado de folha do servidor seja assinado com a família de algoritmos de assinatura SHA-2 e use uma chave RSA de, no mínimo, 2048 bits, ou uma chave ECC de, no mínimo, 256 bits.
O iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 ou posteriores adicionam suporte a TLS 1.2 na autenticação 802.1X. Servidores de autenticação que oferecem suporte a TLS 1.2 podem exigir as seguintes atualizações de compatibilidade:
Cisco: ISE 2.3.0
FreeRADIUS: atualize para a versão 2.2.10 e 3.0.16.
Aruba ClearPass: atualize para a versão 6.6.x.
ArubaOS: atualize para a versão 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Para obter mais informações sobre 802.1X, consulte Conectar dispositivos Apple a redes 802.1X.
WPA2/WPA3
Todas as plataformas Apple são compatíveis com autenticação Wi-Fi de padrão industrial e protocolos de criptografia, a fim de fornecer acesso autenticado e sigilo ao conectar-se com as seguintes redes seguras sem fio:
WPA2 Pessoal
WPA2 Empresarial
WPA2/WPA3 Transicional
WPA3 Pessoal
WPA3 Empresarial
WPA3 Empresarial ou com segurança de 192 bits
Para visualizar uma lista de protocolos de autenticação de conexão sem fio 802.1X, consulte Configurações 802.1X para Mac.
Ocultação e bloqueio de apps
No iOS 18 e iPadOS 18 ou posteriores, os usuários podem exigir o Face ID, o Touch ID ou um código para abrir um app ou ocultá-lo na Tela de Início. O MDM pode gerenciar a disponibilidade dessas opções das seguintes maneiras:
Controlando a capacidade de um usuário ocultar e bloquear Apps Gerenciados individualmente
Desativando a ocultação e o bloqueio de todos os apps em dispositivos supervisionados
No caso de dispositivos registrados com o Registro de Usuário, os apps ocultos são reportados ao MDM somente se forem gerenciados. No caso de dispositivos registrados com o Registro de Dispositivo, os apps ocultos são reportados ao MDM como parte de todos os apps instalados.
Acesso de rede local para o macOS
No macOS 15 ou posterior, apps de terceiros ou agentes iniciais que desejarem interagir com dispositivos na rede local de um usuário devem pedir permissão na primeira vez que tentarem navegar na rede local.
De maneira semelhante ao iOS e iPadOS, os usuários podem acessar Ajustes do Sistema > Privacidade > Rede Local para permitir ou negar esse acesso.
Criptografia do FaceTime e iMessage
O iOS, o iPadOS, o macOS e o visionOS criam um ID único para cada usuário do FaceTime e iMessage, ajudando a garantir a criptografia, o roteamento e a conexão adequados das comunicações.