Керуванням доступом приладдя до пристроїв Apple
Керування комп’ютерами Mac
Функція гарантування безпеки аксесуарів (інша назва — Обмежений режим) в системі macOS призначена для захисту клієнтів від атак із намаганням отримати доступ до дротових аксесуарів на невеликій відстані. Для ноутбуків Mac з Apple Silicon під керуванням macOS 13 або новішої версії стандартна конфігурація полягає в тому, щоб питати в користувача дозвіл на використання нових аксесуарів. У «Параметрах системи» користувач може дозволити використання аксесуарів чотирма наведеними далі способами.
Ask every time (Запитувати щоразу)
Ask for new accessories (Запитувати для нових аксесуарів)
Automatically when unlocked (Автоматично при розблокуванні)
Always (Завжди)
Якщо користувач під’єднає невідоме приладдя (Thunderbolt, USB або в macOS 13.3 чи новішій SD-картку підвищеної місткості «SDXC») до замкненого Mac, він отримає запит на відмикання Mac. Затверджені аксесуари можна підключити до заблокованого комп’ютера Mac протягом 3 днів з моменту його останнього блокування. При підключенні будь-яких аксесуарів через 3 дні користувачу буде запропоновано «Розблокувати використання аксесуарів».
Для деяких середовищ може знадобитися обхід авторизації користувача. Рішення MDM можуть керувати цією поведінкою, використовуючи наявне обмеження allowUSBRestrictedMode, щоб завжди дозволяти приладдя.
Примітка. Ці під’єднання не стосуються адаптерів живлення, дисплеїв без Thunderbolt, схвалених концентраторів, спарених смарт-карток і комп’ютерів Mac, на яких запущено Асистент налаштування або які запущено з recoveryOS.
Керування пристроями iPhone та iPad
Керування процесом створення пари пристроїв iPhone та iPad із комп’ютерами є важливим компонентом безпеки й зручності користування. Наприклад, можливість безпечно під’єднуватися до станцій самообслуговування для оновлення ПЗ або спільного доступу до інтернету через Mac потребує надійного з’єднання між iPhone або iPad і хостом.
Створення пари з пристроєм зазвичай виконується користувачем під час під’єднання пристрою до хоста за допомогою кабелю USB (або Thunderbolt, якщо його підтримує модель iPad). На пристрої користувача з’являється запит на підтвердження створення надійного з’єднання з комп’ютером.
Після цього користувач має ввести код допуску, щоб підтвердити рішення. Усі подальші зв’язки з тим самим хостом автоматично вважатимуться надійними. Користувачі можуть вилучити надійні з’єднання, перейшовши в меню Параметри > Загальні > Скинути > Скинути геопозицію та приватність, або шляхом стирання пристрою. Крім того, якщо ці надійні записи не використовуються протягом 30 днів, їх буде видалено.
Керування за допомогою MDM процесом створенням пари з хостом
Адміністратор може керувати здатністю пристрою Apple під наглядом вручну визначати надійні хости за допомогою обмеження Allow pairing with non-Apple Configurator hosts Apple Configurator (Дозволяти парування з хостами без Apple Configurator). Вимкнувши можливість створення пари з хостом (і надіславши правильні посвідчення нагляду на пристрої), адміністратор забезпечує доступ через USB (або через iPad за наявності підтримки Thunderbolt) до вказаного iPhone чи iPad через USB лише з надійного хоста з дійсним сертифікатом нагляду. Якщо на комп’ютері не конфігуровано сертифікат нагляду за хостом, функцію створення пари буде вимкнено.
Примітка. Параметр реєстрації пристрою Apple allow_pairing виключено з iOS 13 і iPadOS 13.1. Натомість адміністратори повинні використовувати наведені вище вказівки, оскільки вони забезпечують більшу гнучкість, дозволяючи сполучення з надійними хостами. Це також дає змогу змінювати параметри сполучення з хостом без стирання пристрою iPhone або iPad.
Захист сценаріїв відновлення з неспареного комп’ютера
В iOS 14.5 і iPadOS 14.5 або новішій версії неспарений хост не може перезапустити пристрій у recoveryOS (також відомий як режим відновлення) й відновити його без фізичної взаємодії на локальному рівні. До внесення цієї зміни неавторизований користувач міг стерти й відновити пристрій без прямої взаємодії з iPhone або iPad. Для цього достатньо було USB-з’єднання, або якщо iPad підтримує Thunderbolt (наприклад через заряджання), між цільовим пристроєм і комп’ютером.
Обмеження зовнішнього завантаження для відновлення iPhone або iPad
Типово в iOS 14.5 і iPadOS 14.5 або новіших версіях тепер заборонено цю можливість для хостів, які раніше було визнано надійними. Для того, щоб обійти цю безпечнішу поведінку, адміністратор може ввімкнути обмеження Allow putting an iOS or iPadOS device into Recovery Mode from an unpaired host (Дозволити запуск пристрою iOS або iPadOS у режим відновлення з неспареного хоста).
Використання Ethernet-адаптерів з iPhone чи iPad
iPhone чи iPad із сумісним Ethernet-адаптером підтримує активне з’єднання з під’єднаною мережею навіть до початкового відмикання пристрою, якщо на пристрої вимкнуто обмеження. Цей підхід може стати в пригоді, коли пристрій має отримати команду MDM за недоступності стільникової мережі та Wi-Fi, і пристрій не розблоковувався з моменту запуску чи перезапуску, наприклад, якщо користувач забув свій код допуску, а рішення MDM спробувало очистити його.
Налаштуванням обмеженого режиму на iPhone чи iPad може керувати:
Адміністратор MDM з обмеженням USB Restricted Mode. Для цього пристрій має бути під наглядом.
Користувач у меню Параметри > Touch/Face ID і Код допуску > Приладдя.