Gerenciar o acesso de acessórios a dispositivos Apple
Gerencie computadores Mac
A segurança de acessórios (conhecida como Modo Restrito) para macOS é projetada para proteger clientes contra ataques de acesso próximo realizados com acessórios com fio. Em laptops Mac com Apple Silicon e macOS 13 ou posterior, a configuração padrão pede ao usuário para que permita novos acessórios. O usuário tem quatro opções nos Ajustes do Sistema para permitir a conexão de acessórios:
Perguntar sempre
Perguntar para novos acessórios
Automaticamente quando desbloqueado
Sempre
Se um usuário anexar um acessório desconhecido (Thunderbolt, USB ou — no macOS 13.3 ou posterior — cartões SDXC (SD Extended Capacity)) a um Mac bloqueado, ele é solicitado a desbloquear o Mac. Os acessórios aprovados podem ser conectados a um Mac bloqueado por até 3 dias após o Mac ter sido bloqueado pela última vez. Ao conectar qualquer acessório depois de 3 dias, o usuário vê a mensagem “Desbloqueie para Usar Acessórios”.
Alguns ambientes podem exigir que a autorização do usuário seja contornada. As soluções MDM podem controlar esse comportamento. Para isso, usam a restrição allowUSBRestrictedMode existente para sempre permitir acessórios.
Nota: essas conexões não se aplicam a adaptadores de energia, monitores que não são Thunderbolt, hubs aprovados, smart cards emparelhados ou um Mac que esteja no Assistente de Configuração ou que tenha iniciado a partir do recoveryOS.
Gerencie dispositivos iPhone e iPad
O gerenciamento de quais computadores host podem ser emparelhados com um iPhone e iPad é importante por motivos de segurança e conveniência do usuário. Por exemplo, a capacidade de se conectar com segurança a estações de autoatendimento para atualizar o software ou compartilhar a conexão à internet de um computador Mac exige um relacionamento de confiança entre o iPhone ou iPad e o computador host.
Geralmente, o emparelhamento de dispositivos é realizado pelo usuário ao conectar o dispositivo a um computador host com um cabo USB (ou se um modelo de iPad for compatível, com um cabo Thunderbolt). Uma mensagem é mostrada no dispositivo do usuário perguntando se ele deseja estabelecer um relacionamento de confiança com o computador.
Em seguida, o usuário é solicitado a digitar seu código para confirmar essa decisão. A partir de então, todas as conexões subsequentes com o mesmo computador host são automaticamente consideradas confiáveis. Para limpar os relacionamentos confiança de emparelhamento, os usuários podem acessar Ajustes > Geral > Redefinir > Redefinir Localização e Privacidade ou apagar o dispositivo. Além disso, esses registros de confiança são removidos se não forem usados por 30 dias.
Gerenciamento MDM do emparelhamento de hosts
Um administrador pode gerenciar a capacidade de dispositivos Apple supervisionados de confiar manualmente em computadores host com a restrição Allow pairing with non-Apple Configurator hosts. Ao desativar a capacidade de emparelhamento com hosts (e distribuir as identidades de supervisão certas aos dispositivos), o administrador assegura que somente computadores confiáveis que tenham um certificado válido de supervisão de host tenham permissão para acessar os dispositivos iPhone e iPad em questão via USB (ou Thunderbolt, se o modelo de iPad for compatível). Se nenhum certificado de host de supervisão for configurado no computador host, todo emparelhamento é desativado.
Nota: o ajuste de registro de dispositivos Apple allow_pairing não é mais usado no iOS 13 e iPadOS 13.1. Em vez disso, os administradores devem usar a orientação acima, pois ela fornece mais flexibilidade ao continuar permitindo o emparelhamento com hosts confiáveis. Ele também permite que os ajustes de emparelhamento de host sejam alterados sem que seja necessário apagar o iPhone ou iPad.
Proteção contra fluxos de trabalho de restauração não emparelhados
No iOS 14.5 e no iPadOS 14.5 ou posterior, um computador host não emparelhado não pode reiniciar um dispositivo em recoveryOS (também conhecido como Modo de Recuperação) e restaurá-lo sem interação física. Antes dessa alteração, um usuário não autorizado podia apagar e restaurar o dispositivo de um usuário sem interagir diretamente com o iPhone ou iPad. Tudo o que era necessário era uma conexão (oferecida como uma estação de carregamento, por exemplo) USB (ou Thunderbolt, se o modelo de iPad for compatível) com o dispositivo de destino e um computador.
Restrição de inicialização externa para recuperar um iPhone ou iPad
Por padrão, o iOS 14.5 e iPadOS 14.5 ou posteriores restringem esta capacidade de recuperação a computadores host já classificados como confiáveis anteriormente. Os administradores que não queiram adotar este comportamento mais seguro podem ativar a restrição Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host.
Uso de adaptadores Ethernet com iPhone ou iPad
Um iPhone ou iPad com um adaptador Ethernet compatível mantém uma conexão ativa com uma rede conectada mesmo antes de o dispositivo ser inicialmente desbloqueado — se o dispositivo tiver a restrição desativada. Essa abordagem é útil quando o dispositivo precisa receber um comando do MDM, as redes Wi-Fi e celular estão indisponíveis e o dispositivo não foi desbloqueado desde que foi ligado ou reiniciado — por exemplo, quando um usuário esquece a senha e o MDM está tentando apagá-la.
O ajuste do Modo Restrito no iPhone ou iPad pode ser gerenciado:
Pelo administrador do MDM com a restrição “USB Restricted Mode”. Para isso o dispositivo deve ser supervisionado.
Pelo usuário em Ajustes > Touch/Face ID e Código > Acessórios USB.