使用 Apple 裝置的內置網絡保安功能
Apple 裝置具備內置網絡保安技術,可進行用户授權並在傳輸期間協助保護其資料。 Apple 裝置網絡保安支援下列項目:
內置 IPsec、IKEv2、L2TP
透過 App Store App 自訂 VPN(iOS、iPadOS、visionOS)
透過第三方 VPN 用户端的自訂 VPN(macOS)
傳輸層保安(TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3)和 DTLS
使用 X.509 證書的 SSL/TLS
使用 802.1X 認證的 WPA/WPA2/WPA3 企業級
證書型驗證
共享密鑰和 Kerberos 認證
RSA SecurID、CRYPTOCard(macOS)
iOS、iPadOS、macOS 和 tvOS 中的網絡轉送
內置在使用 iOS 17、iPadOS 17、macOS 14、tvOS 17 或較新版本裝置的轉送功能,可用於保護使用加密的 HTTP/3 或 HTTP/2 通訊的流量,用作 VPN 的替代。 網絡轉送是已為效能進行最佳化的特別代理種類,並會使用最新的傳輸和保安通訊協定。 其可以用來保護特定 App、整部裝置的 TCP 和 UDP 流量,並在取用內部資源時進行保護。 可以並行使用多個網絡轉送(包括「iCloud 私密轉送」),無需使用 App。 如需更多資料,請參閲:使用網絡轉送。
VPN 和 IPsec
許多企業環境都具備了某種形式的虛擬私人網絡(VPN)。 這些 VPN 服務通常只需要基本的安裝與配置就可以配搭 Apple 裝置一起運作,並整合了許多常用的 VPN 技術。
iOS、iPadOS、macOS、tvOS、watchOS 和 visionOS 支援 IPsec 通訊協定和認證方式。 如需更多資料,請參閲:VPN 概覽。
TLS
SSL 3 加密通訊協定和 RC4 對稱加密套件已不適用於 iOS 10 和 macOS 10.12。 依照預設,以 Secure Transport API 建置的 TLS 用户端或伺服器並不會啟用 RC4 加密套件。 因此,當 RC4 是唯一可用的加密套件時,其會無法連接。 為加強保安,需要使用 RC4 的服務或 App 應該升級以啟用加密套件。
其他保安提升包括:
要求簽署 SMB 連線(macOS)
在使用 macOS 10.12 或較新版本的 Mac 中,將 AES 用作 Kerberized NFS 的加密方式的支援(macOS)
傳輸層保安(TLS 1.2、TLS 1.3)
TLS 1.2 支援 AES 128 和 SHA-2。
SSL 3(iOS、iPadOS、visionOS)
DTLS(macOS)
Safari、「日曆」、「郵件」與其他互聯網 App 會使用這些機制,以在 iOS、iPadOS、macOS 和 visionOS 與企業服務間啟用加密的通訊頻道。
你也可以為 EAP-TLS、EAP-TTLS、PEAP 和 EAP-FAST 的 802.1X 網絡承載資料設定最低與最高的 TLS 版本。 例如,你可以設定下列項目:
將兩者設定為相同的特定 TLS 版本
TLS 最低版本設為較低的值,而 TLS 最高版本設為較高的值,其之後會與 RADIUS 伺服器進行交涉
將值設為無,這樣可允許 802.1X 要求者與 RADIUS 伺服器協調 TLS 版本
iOS、iPadOS、macOS 和 visionOS 會要求伺服器的分葉證書使用簽名演算法的 SHA-2 系列進行簽署,並使用至少 2048 位元的 RSA 密鑰或至少 256 位元的 ECC 密鑰。
使用 iOS 11、iPadOS 13.1、macOS 10.13、visionOS 1.1 或較新版本的裝置在 802.1X 認證中新增對 TLS 1.2 的支援。 支援 TLS 1.2 的認證伺服器可能需要以下更新才具備相容性:
Cisco: ISE 2.3.0
FreeRADIUS: 更新至版本 2.2.10 和 3.0.16。
Aruba ClearPass: 更新至版本 6.6.x。
ArubaOS: 更新至版本 6.5.3.4。
Microsoft: Windows Server 2012 - Network Policy Server。
Microsoft: Windows Server 2016 - Network Policy Server。
如需更多 802.1X 的資料,請參閲:將 Apple 裝置連接到 802.1X 網絡。
WPA2/WPA3
所有 Apple 平台支援符合業界標準的 Wi-Fi 認證和加密協定,以在連接以下安全無線網絡時提供認證的存取權限和機密性:
WPA2 個人級
WPA2 企業級
WPA2/WPA3 過渡模式
WPA3 個人級
WPA3 企業級
WPA3 企業級 192-bit 保安
如要檢視 802.1X 無線認證通訊協定的列表,請參閲:Mac 適用的 802.1X 配置。
隱藏和鎖定 App
在使用 iOS 18 和 iPadOS 18 或較新版本的裝置中,用户可以要求使用 Face ID、Touch ID 或密碼來開啟 App,以及將 App 從主畫面上隱藏。 MDM 可以透過以下方式管理這些選項的適用範圍:
控制用户針對個別 App 隱藏和鎖定「受管理的 App」的能力
停止隱藏和鎖定受監管裝置上的所有 App
對於透過「用户註冊」註冊的裝置,只有在隱藏的 App 是受管理 App 時才會向 MDM 報告。 至於透過「裝置註冊」註冊的裝置,隱藏的 App 會作為所有已安裝 App 的一部份報告給 MDM。
macOS 的區域網絡連線
在使用 macOS 15 或較新版本的 Mac 中,想在用户的區域網絡上與裝置進行互動的第三方 App 或啟動代理必須在首次嘗試瀏覽區域網絡時要求權限。
與使用 iOS 和 iPadOS 相似,用户可以前往「系統設定」>「私隱」>「區域網路」來允許或拒絕此取用權限。
FaceTime 和 iMessage 加密
iOS、iPadOS、macOS 和 visionOS 會為每位 FaceTime 和 iMessage 用户建立各自不同的 ID,以協助確保溝通都經適當加密、排定及連接。