Wi-Fi热点2.0
iOS与OS X现在都支持Wi-Fi热点2.0标 准(即Passpoint),其基于IEEE 802.11u标准、 从本质上说相当于允许用户自动接入那些已经订 购了服务的无线热点。新型苹果API允许我们对 该功能进行配置与管理。
OS X中的加密管理
自4.2版本以来,iOS一直能够在设备层面对内 容进行加密,而且用户无法通过控制机制关闭这 一加密设定。
另外,MDM服务器现在可以对任何设备进行查询,验证 其移动热点功能是否启用(使目标设备成为可供其它设 备接入的Wi-Fi访问点,从而实现蜂窝连接共享),防打 扰模式是否激活、“查找我的iPhone”是否启用以及是 否已经登录iTunes账户等。其它新型控制功能还包括自 定义锁定屏幕、将设备设定为丢失模式(这样其锁定屏 幕上就会显示‘如果您找到我’信息)以及禁用热点功 能等。
对于任何一台iOS 设备来说,新型 API限制政策包含 广告追踪控制、 iCloud钥匙串同 步、PKI无线更新 以及在锁定屏幕中 是否显示Wi-Fi与 飞行模式按钮。
相比之下,设备加密(即File Vault)在OS X 系统中只作为备选方案存在。OS X美洲狮首次将 加密机制作为管理政策的组成部分,而OS X Mavericks则对控制功能加以进一步扩展。现在 IT部门可以防止用户在政策中关闭加密功能,还 可以直接管理加密恢复密钥。这些密钥现在能够 通过企业服务器上的密钥履约保证实现管理,而 不必再经由苹果自己的密钥服务器。另外,恢复 密钥现在可以通过MDM工具与IT部门所使用的 计划方案相结合。
其它iOS政策
在任何运行于监管模式下的设备上——所谓监管 模式是指由企业进行预配置的模式,类似于黑莓 提供的方案——iOS都提供作用于政策的API, 旨在确定用户是否能够变更账户信息、是否可以 修改“查找我的朋友”应用内容(例如只追踪工 作组内的特定同事,避免处于位置追 踪状态下的用户进入隐身模式)、应 用是否能够使用蜂窝数据、设备能否 与其它Mac设备相匹配以及为选定的 文本定义许可服务(例如复制或者粘 贴)。
现在设备的监管模式设置不再需要将 其与运行苹果配置工具的PC或者Mac 进行物理连接;监管机制现在可以通 过无线方式进行实施与管理。
对于任何一台iOS设备来说,新型API限制政策 包含广告追踪控制、iCloud钥匙串同步、PKI无 线更新以及在锁定屏幕中是否显示Wi-Fi与飞行 模式按钮。
无需接触即实现设备登记
除了前面提到的这些API之外,苹果还为受监管设备的 登记工作创建了一套新型协议,这样企业就能够根据管 理政策对iPhone、iPad、Mac甚至Apple TV进行预配置 ——且无需打开这些设备或者与其直接接触。从本质上 讲,IT部门只需在登记工具内输入采购订单上提供的设 备ID,而后为其指定需要应用的政策即可(例如密码、 可用网络、VPN设置、应用程序黑名单以及iCloud与 iTunes访问等)。需要注意的是,新设备登记服务只针 对企业所拥有(监管)的设备,并不支持由用户持有的 BYOD类设备。
当用户开启设备并进行操作时,该设备会与苹果服务器 进行验证。若属于受管设备,后者会将其转接至企业的 管理服务器。该用户则需要通过由企业方面提供的业务 凭证或者独立证书进行登录,从而由企业服务器或者 MDM工具将XML政策内容上传至该设备当中,旨在对设 备进行配置并安装任何与该用户相关联的应用程序。
如果有用户清除了设备内的所有数据而只 保留政策负载,则该设备只能正常运行企 业设置——除非IT部门将该设备中的政策 消除(例如打算将该设备出售给即将离职的 员工)或者应用一组新政策(例如将该设备 移交给其他用户)。当政策更新之后,设备 也会随之更新——整个过程将以自动化形式 在后台完成。
这种新型设备登记机制还帮助用户摆脱了对苹 果ID的强烈依赖,当然企业方面也可以要求用 户继续利用保存在iOS设备或者Mac(而非企业 服务器)上的苹果ID来访问个人应用或者其它 服务。因此,用户的苹果ID不再需要与企业共 享(即由企业方面保存其散列信息,这样苹果 服务器即可以匿名方式将企业用户与用户设备 进行关联)。这意味着个人与企业信息、应用甚 至是验证凭证都能在同一台设备上彼此隔离。
这类受管应用的许可可以被撤销,撤销之后应用程序将 不再自动由用户拥有。(不过内容授权——例如电子书 ——仍将与用户匹配且无法被撤销。)被撤销的iOS应 用将可以继续工作三十天(属于优惠使用期),且可以 立即为其购买非企业副本。(大家需要分别对信息访问 进行管理,例如禁用VPN或者利用针对性政策控制邮件 访问。)被撤销的OS X应用则会立即停止工作,正在运 行中的应用也将马上退出。受管应用会检查自身授权状 态以确保这一机制切实生效。
新型应用管理 协议还允许IT 部门直接购买 并发布应用程 序许可(而不 必再单独为每 位用户提供授 权),从而以自 动化方式在 iOS设备及Mac 上安装特定应 用程序。
管理应用配置、状态、安装 与移除
名为“应用配置与反馈”的新型MDM 管理功能允许IT部门通过配置文件 (在iOS中被称为‘词典’)对受管 应用的设置进行管理,并支持在每 次应用启动或者解锁时检查其配置 状态、收集错误信息及使用统计以 进行故障排查。
这项功能可以帮助企业配置下的应 用在安装完成后始终遵循IT部门的 指引,同时帮助IT部门在故障出现时快速掌控用 户应用的具体设置方式。
新的单一应用模式允许特定应用接管整台设备, 即不再允许其运行其它应用。这种模式的适用范 围非常广泛,例如实体店中的公共设备以及其它 一些需要将iOS设备用作单一目的的环境——包 括投票工具或者病患登记等。这种模式的启用与 禁用可由MDM服务器控制,这样应用程序就可以 在特定阶段进入单一应用模式——例如学校中的 考试或者授课应用。
新型应用管理协议还允许IT部门直接购买并发布 应用程序许可(而不必再单独为每位用户提供授 权),从而以自动化方式在iOS设备及Mac上安装 特定应用程序。MDM服务器能够管理用户有权使用 哪些应用、哪些应用可以自动安装(其它应用显示 在用户设备的App Store已购买面板之下,从而在 必要时供用户下载)。
这些授权与安装管理机制可用于苹果企业应用程序商店 中的所有应用,也就是“App Store批量购买方案”,而 且不会影响到公共App Store中的应用 ——苹果认为这些属于员工的个人应用, 企业无权对其对其进行管理。这种划分 机制非常明确:虽然处于同一套用户界面 之下,iOS与OS X仍然会对来自企业应用 商店、Exchange或者其它服务器的应用 程序及内容进行追踪,而后为IT部门提 供进行控制所必要的一切辅助手段。无论 是用户个人从公共App Store中购买的应 用还是从其邮件及其它账户中获取的内 容,都将由用户本人所有——包括苹果 ID。
这一原则自4.2版本开始就已经在iOS当 中生效,不过新的API与协议对其进行了 深度扩展、从而保证其对应用程序及内容 全面起效。这样一来,大部分企业数据保护及应用隔离 需求都能够得到支持,而且无需依赖于特定供应商的管 理工具及API。IT部门可以使用更为广泛的企业应用类 型,同时又不必担心因此被锁定在特定管理供应商身上 ——最终结果是,IT部门能够对更多应用程序进行严格 管理。如此一来,我们再也不必在不同个人机制之下来 回切换,其实际效果优于BlackBerry 10的Balance功 能、三星的Knox协议、General Dynamics的Android版 本以及Enterproid已经推出了两年的Divide等Android 工具。这些方案与iOS 7相比都显得相当笨拙——而笨 拙永远不会成为优势,对吧?
不要再纠结于生物 识别以及这项安全 技术当中的优势与 弊端了。就目前来 看,TouchID轻松 缩短了用户输入密 码以解锁设备或者 登录iTunes Store 账户的时间。
哦,也别忘了TouchID
最后,新的iPhone 5S在Home键上提供指纹识 别器,这能大大降低用户在输入解锁密码或者 iTunes Store密码时浪费的时间。这项TouchID 功能属于密码输入的替代性方案——用户仍然需 要设定传统密码,指纹识别器的作用只是在识别 出正确的用户指纹后提交该密码内容。TouchID 功能在其它应用当中无法生效,其作用范围仅限 于解锁屏幕与登录iTunes Store。另外,其指纹 信息散列也只能保存在当前设备上,因此用户无 法将其发送到苹果或者其它设备当中。
不要再纠结于生物识别以及这项安全技术当中的优势 与弊端了。就目前来看,TouchID轻松缩短了用户输 入密码以解锁设备或者登录iTunes Store账户的时 间。它对于用户来说效果拔群,但对应用程序或者IT 部门来说则毫无意义。