使用 Apple 裝置的內置網絡保安功能
Apple 裝置具備內置網絡保安技術,可進行用户授權並在傳輸期間協助保護其資料。 Apple 裝置網絡保安支援下列項目:
內置 IPsec、IKEv2、L2TP
透過 App Store App 自訂 VPN(iOS、iPadOS、visionOS)
透過第三方 VPN 用户端的自訂 VPN(macOS)
傳輸層保安(TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3)和 DTLS
使用 X.509 證書的 SSL/TLS
使用 802.1X 認證的 WPA/WPA2/WPA3 企業級
證書型驗證
共享密鑰和 Kerberos 認證
RSA SecurID、CRYPTOCard(macOS)
iOS、iPadOS、macOS 和 tvOS 中的網絡轉送
內置在 iOS 17、iPadOS 17、macOS 14、tvOS 17 或較新版本的轉送功能,可用於保護使用加密的 HTTP/3 或 HTTP/2 通訊的流量,用作 VPN 的替代。 網絡轉送是已為效能進行最佳化的特別代理種類,並會使用最新的傳輸和保安通訊協定。 其可以用來保護特定 App、整部裝置的 TCP 和 UDP 流量,並在取用內部資源時進行保護。 可以並行使用多個網絡轉送(包括「iCloud 私密轉送」),無需使用 App。 如需更多資料,請參閲:使用網絡轉送。
VPN 和 IPsec
許多企業環境都具備了某種形式的虛擬私人網絡(VPN)。 這些 VPN 服務通常只需要基本的安裝與配置就可以配搭 Apple 裝置一起運作,並整合了許多常用的 VPN 技術。
iOS、iPadOS、macOS、tvOS、watchOS 和 visionOS 支援 IPsec 通訊協定和認證方式。 如需更多資料,請參閲:VPN 概覽。
TLS
SSL 3 加密通訊協定和 RC4 對稱加密套件已不適用於 iOS 10 和 macOS 10.12。 依照預設,以 Secure Transport API 建置的 TLS 用户端或伺服器並不會啟用 RC4 加密套件。 因此,當 RC4 是唯一可用的加密套件時,其會無法連接。 為加強保安,需要使用 RC4 的服務或 App 應該升級以啟用加密套件。
其他保安提升包括:
要求簽署 SMB 連線(macOS)
在 macOS 10.12 或較新版本中,將 AES 用作 Kerberized NFS 的加密方式的支援(macOS)
傳輸層保安(TLS 1.2、TLS 1.3)
TLS 1.2 支援 AES 128 和 SHA-2。
SSL 3(iOS、iPadOS、visionOS)
DTLS(macOS)
Safari、「日曆」、「郵件」與其他互聯網 App 會使用這些機制,以在 iOS、iPadOS、macOS 和 visionOS 與企業服務間啟用加密的通訊頻道。
你也可以為 EAP-TLS、EAP-TTLS、PEAP 和 EAP-FAST 的 802.1X 網絡承載資料設定最低與最高的 TLS 版本。 例如,你可以設定下列項目:
將兩者設定為相同的特定 TLS 版本
TLS 最低版本設為較低的值,而 TLS 最高版本設為較高的值,其之後會與 RADIUS 伺服器進行交涉
將值設為無,這樣可允許 802.1X 要求者與 RADIUS 伺服器協調 TLS 版本
iOS、iPadOS、macOS 和 visionOS 會要求伺服器的分葉證書使用簽名演算法的 SHA-2 系列進行簽署,並使用至少 2048 位元的 RSA 密鑰或至少 256 位元的 ECC 密鑰。
iOS 11、iPadOS 13.1、macOS 10.13、visionOS 1.1 或較新版本在 802.1X 認證中新增對 TLS 1.2 的支援。 支援 TLS 1.2 的認證伺服器可能需要以下更新才具備相容性:
Cisco: ISE 2.3.0
FreeRADIUS: 更新至版本 2.2.10 和 3.0.16。
Aruba ClearPass: 更新至版本 6.6.x。
ArubaOS: 更新至版本 6.5.3.4。
Microsoft: Windows Server 2012 - Network Policy Server。
Microsoft: Windows Server 2016 - Network Policy Server。
如需更多 802.1X 的資料,請參閲:將 Apple 裝置連接到 802.1X 網絡。
WPA2/WPA3
所有 Apple 平台支援符合業界標準的 Wi-Fi 認證和加密協定,以在連接以下安全無線網絡時提供認證的存取權限和機密性:
WPA2 個人級
WPA2 企業級
WPA2/WPA3 過渡模式
WPA3 個人級
WPA3 企業級
WPA3 企業級 192-bit 保安
如要檢視 802.1X 無線認證通訊協定的列表,請參閲:Mac 適用的 802.1X 配置。
隱藏和鎖定 App
在 iOS 18 和 iPadOS 18 或較新版本中,用户可以要求使用 Face ID、Touch ID 或密碼來開啟 App,以及將 App 從主畫面上隱藏。 MDM 可以透過以下方式管理這些選項的適用範圍:
控制用户針對個別 App 隱藏和鎖定「受管理的 App」的能力
停止隱藏和鎖定受監管裝置上的所有 App
對於透過「用户註冊」註冊的裝置,只有在隱藏的 App 是受管理 App 時才會向 MDM 報告。 至於透過「裝置註冊」註冊的裝置,隱藏的 App 會作為所有已安裝 App 的一部份報告給 MDM。
macOS 的區域網絡連線
在 macOS 15 或較新版本中,想在用户的區域網絡上與裝置進行互動的第三方 App 或啟動代理必須在首次嘗試瀏覽區域網路時要求權限。
與 iOS 和 iPadOS 相似,用户可以前往「系統設定」>「私隱」>「區域網路」來允許或拒絕此取用權限。
FaceTime 和 iMessage 加密
iOS、iPadOS、macOS 和 visionOS 會為每位 FaceTime 和 iMessage 用户建立各自不同的 ID,以協助確保溝通都經適當加密、排定及連接。