Удаление MDM-профиля, MDM-привязки, обход MDM на устройствах Apple

Ограниченный MDM-профиль

Операционные системы Apple поддерживают работу с системами управления мобильными устройствами (MDM),
благодаря чему организации могут выполнять безопасную настройку и управлять масштабным развертыванием устройств Apple.

Используя MDM, отделы ИТ могут безопасно внедрять устройства Apple в корпоративную среду, устанавливать и обновлять настройки по беспроводной сети, следить за соответствием корпоративным политикам, управлять политиками обновления программного обеспечения и даже удаленно стирать данные или блокировать управляемые устройства.

Администраторы могут накладывать (и иногда снимать) ограничения, чтобы запретить пользователям доступ к определенным приложениям, службам или функциям устройства iPhone, iPad, Mac или Apple TV, которые зарегистрированы в системе MDM. Ограничения отправляются на устройства в составе полезной нагрузки ограничений, которая входит в профиль конфигурации. Некоторые ограничения на iPhone можно накладывать на часы Apple Watch, с которыми создана пара.

Как узнать про MDM на устройстве: зайдите в "Настройки" - "Основные" - "VPN и управление устройством".
Если MDM-профиль присутствует, вы увидите вкладку "Управление устройством".

Обзор безопасности управления мобильными устройствами

Операционные системы Apple поддерживают работу с системами управления мобильными устройствами (MDM), благодаря чему организации могут выполнять безопасную настройку и управлять масштабным развертыванием устройств Apple.

Безопасность работы системы MDM

Работа функций MDM основана на технологиях операционной системы, таких как конфигурации, регистрация по беспроводной сети и служба Apple Push Notification (APNs). Например, APNs выводит устройство из режима сна и запускает подключение напрямую к системе MDM через безопасное соединение. Через APNs не передается конфиденциальная или корпоративная информация.

Используя MDM, отделы ИТ могут безопасно внедрять устройства Apple в корпоративную или учебную среду, устанавливать и обновлять настройки по беспроводной сети, следить за соблюдением политик, управлять обновлением ПО и даже удаленно стирать данные или блокировать управляемые устройства.

В iOS 13 и новее, iPadOS 13.1 и новее, macOS 10.15 и новее, а также visionOS 1.1 и новее поддерживается новый способ регистрации устройств Apple, созданный специально для программ использования личных устройств (BYOD). Механизм регистрации предоставляет пользователям дополнительную свободу действий на их собственных устройствах, одновременно повышая безопасность корпоративных данных благодаря криптографическому разделению управляемых данных. Это обеспечивает оптимальный баланс безопасности, конфиденциальности и удобства для пользователей при использовании программ BYOD. Аналогичный механизм разделения данных добавлен в процессы регистрации устройств на основе учетных записей в iOS 17, iPadOS 17 и macOS 14, visionOS 1.1, а также в более новых версиях.

Типы регистрации

• Регистрация пользователя. Этот тип регистрации, предназначенный для личных устройств, используется совместно с управляемыми Аккаунтами Apple для идентификации пользователя на устройстве. Для начала регистрации требуются управляемые Аккаунты Apple, а для ее успешного завершения пользователь должен выполнить аутентификацию. Управляемые Аккаунты Apple можно использовать одновременно с личным Аккаунтом Apple, с которым пользователь уже выполнил вход в систему ранее. Управляемые приложения и учетные записи используют управляемые Аккаунты Apple, а личные приложения и учетные записи — личные Аккаунты Apple.

• Регистрация устройства. Этот тип регистрации позволяет пользователям организаций вручную регистрировать устройства и управлять различными аспектами использования устройств, в том числе возможностью стирания данных на устройстве. Администратору доступен большой набор конфигураций и ограничений, которые можно применять к устройству. Когда пользователь удаляет профиль регистрации, также удаляются все основанные на нем конфигурации, настройки и управляемые приложения. Как и регистрацию пользователей, регистрацию устройств можно интегрировать с управляемым Аккаунтом Apple. Такая регистрация устройств на основе учетных записей также дает возможность использовать управляемый Аккаунт Apple наряду с личным Аккаунтом Apple и криптографически разделяет корпоративные данные.

• Автоматическая регистрация устройства. Автоматическая регистрация устройств позволяет организациям настраивать устройства и управлять ими с момента извлечения из коробки. Такие устройства также называются контролируемыми. На контролируемых устройствах можно запретить удаление профиля MDM пользователем. Автоматическая регистрация возможна только для устройств, принадлежащих организации.

Ограничения устройств

Администраторы могут накладывать (и иногда снимать) ограничения, чтобы запрещать пользователям доступ к определенным приложениям, сервисам или функциям устройств Apple, зарегистрированных в системе MDM. Ограничения отправляются на устройства в составе полезной нагрузки ограничений, которая входит в конфигурацию. Некоторые ограничения на iPhone можно накладывать на часы Apple Watch, с которыми создана пара.

Управление настройками код-паролей и паролей

По умолчанию код‑пароль пользователя в iOS, iPadOS, watchOS и visionOS является цифровым PIN‑кодом. На iPhone, iPad и Apple Vision Pro с биометрической аутентификацией код‑пароль по умолчанию состоит из 6 цифр, а его минимальная длина составляет 4 цифры. Рекомендуется использовать более длинные и сложные код-пароли, поскольку их труднее подобрать или взломать.

Администраторы могут принудительно применять более сложные код‑пароли и другие политики с помощью MDM, а в iOS, iPadOS и visionOS — с помощью Microsoft Exchange. Для установки полезной нагрузки политики код-паролей macOS вручную требуется пароль администратора. Политики код‑паролей могут включать требование код‑паролей определенной длины, а также обязательность определенных символов и других атрибутов код‑паролей.

На Apple Watch по умолчанию используются цифровые код‑пароли. Если политика код‑паролей, действующая для управляемых устройств Apple Watch, требует использование других символов помимо цифр, то для разблокировки устройства должен использоваться объединенный с ним в пару iPhone.