Gerir o acesso de acessórios a dispositivos Apples
Gerir computadores Mac
A segurança de acessórios (conhecida como modo limitado) para macOS está concebida para proteger os clientes de ataques de acesso na proximidade com acessórios com fios. Para computadores Mac portáteis com Apple Silicon com o macOS 13 ou posterior, a configuração predefinida é solicitar ao utilizador que permita novos acessórios. O utilizador tem quatro opções nas Definições do Sistema para permitir que os acessórios estabeleçam ligação:
Perguntar sempre.
Perguntar no caso de acessórios novos.
Automaticamente quando o ecrã está desbloqueado.
Sempre.
Se um utilizador ligar um acessório desconhecido (Thunderbolt, USB ou (com o macOS 13.3 ou posterior) cartões SDXC de capacidade estendida SD) a um Mac bloqueado, ser‑lhe‑á pedido que desbloqueie o Mac. Os acessórios aprovados podem ser ligados a um Mac bloqueado até 3 dias desde que o Mac foi bloqueado pela última vez. Qualquer acessório ligado após 3 dias solicita ao utilizador que “Desbloqueie para usar os acessórios.”
Pode ser necessário ignorar a autorização do utilizador para alguns ambientes. As soluções MDM podem controlar este comportamento com a restrição allowUSBRestrictedMode
existente para permitir sempre acessórios.
Nota: estas ligações não se aplicam a adaptadores de corrente, monitores não Thunderbolt, hubs aprovados, smart cards emparelhados ou a um Mac que esteja no Assistente de Configuração ou que tenha sido iniciado do recoveryOS.
Gerir dispositivos iPhone e iPad
Gerir com que computadores host um iPhone e iPad podem ser emparelhados é importante para a segurança e para conveniência do utilizador. Por exemplo, a capacidade de se ligar em segurança a estações com assistência própria para atualizar o software ou de partilhar a ligação à internet do computador Mac requer uma relação de confiança entre o iPhone ou iPad e o computador host.
O emparelhamento de dispositivos é normalmente efetuado pelo utilizador quando liga o dispositivo a um computador host com um cabo USB (ou, se um modelo de iPad for compatível com ele, um cabo Thunderbolt). Aparece um aviso no dispositivo do utilizador a perguntar-lhe se pretende estabelecer uma relação de confiança com o computador.
É depois solicitado ao utilizador que introduza o código para confirmar essa decisão. Quaisquer ligações futuras com o mesmo computador host são confiadas automaticamente. Os utilizadores podem limpar as relações de confiança de emparelhamento em Definições > Geral > Repor > Repor localização e privacidade ou apagando o dispositivo. Além disso, estes registos fidedignos são removidos se estiverem 30 dias sem serem utilizados.
Gestão de MDM de emparelhamento do host
Um administrador pode gerir a capacidade dos dispositivos Apple com supervisão para confiarem manualmente em computadores host com a restrição Permitir emparelhamento com hosts não Apple Configurator.. Ao desativar a capacidade de emparelhamento do host (e distribuir as identidades de supervisão corretas para os dispositivos), o administrador garante que apenas é permitido aos computadores fidedignos que detêm um certificado host de supervisão o acesso aos dispositivos iPhone e iPad em questão através de USB (ou Thunderbolt, se o modelo de iPad for compatível). Se nenhum certificado host de supervisão tiver sido configurado no computador host, todo o emparelhamento é desativado.
Nota: a definição de registo do dispositivo Apple allow_pairing ficou obsoleta com o iOS 13 e iPadOS 13.1. Em vez disso, os administradores devem usar futuramente a ajuda acima, pois fornece maior flexibilidade, continuando a permitir ainda o emparelhamento com hosts fidedignos. Também ativa as definições do emparelhamento do host para que sejam alteradas sem necessidade de apagar o iPhone ou iPad.
Proteger fluxos de trabalho de restauro desemparelhados
No iOS 14.5 e iPadOS 14.5 ou posterior, um computador host desemparelhado não pode reiniciar um dispositivo no recoveryOS (também conhecido como modo de recuperação) e restaurá-lo sem interação física local. Antes dessa alteração, um utilizador não autorizado pode apagar e restaurar um dispositivo do utilizador sem interagir diretamente com o iPhone ou iPad. Tudo o que necessitam é de uma ligação USB (ou Thunderbolt, se o modelo de iPad for compatível) (por exemplo, oferecida como uma unidade de carregamento) ao dispositivo de destino e a um computador.
Limitar o arranque externo para recuperar um iPhone ou iPad
Por predefinição, o iOS 14.5 e o iPadOS 14.5 ou posterior, agora restringem essa capacidade de recuperação a computadores host que eram confiados anteriormente. Os administradores que pretendam recusar este comportamento mais seguro podem ativar a restrição Permitir colocar um dispositivo iOS ou iPadOS em modo de recuperação a partir de um host desemparelhado.
Usar adaptadores Ethernet com o iPhone ou iPad
Um iPhone ou iPad com um adaptador Ethernet compatível mantém uma ligação ativa a uma rede ligada mesmo antes de o dispositivo ser bloqueado inicialmente — se o dispositivo tiver a restrição desativada. Esta abordagem é útil quando o dispositivo tem de receber um comando de MDM quando as redes Wi-Fi e de dados móveis estão indisponíveis e o dispositivo não tenha sido desbloqueado desde que foi iniciado depois de ter sido encerrado ou reiniciado, por exemplo, quando um utilizador se tiver esquecido do código e a MDM estiver a tentar limpá-lo.
A definição do modo de limitação no iPhone ou iPad pode ser gerida pelo:
administrador MDM com a restrição de modo de limitação USB. É necessário que o dispositivo seja supervisionado;
utilizador em Definições > ouch/Face ID e código > Acessórios.