iOS 是驱动 iPhone 和 iPod Touch 的操作系统。iPadOS 是一个非常相似的平台，安全考虑与 iOS 相同，因此本指南将这两个平台都称为“iOS”。虽然本指南不适用于任何特定版本的 iOS，但它最后一次在 iOS 13.1 上测试是在 2019 年 10 月。

---

一般建议

• 决定您的组织将使用哪些 iOS 设备。iOS 设备通常会在首次发布后大约 5 年内收到软件更新。一旦设备过时或过时，它就不再接收更新。此时，您应该购买较新的设备。

• 设备应由您的组织监督，以确保您对在您的设备上执行的策略拥有最大的控制权。

• 如果可能，请使用Apple 商务管理 (ABM)来监督、注册和配置使用零接触注册的设备。这可以防止用户在部署后取消注册设备。或者，在配置之前使用Apple Configurator手动监督设备以启用更多控制。

• 一旦受到监督，iOS 设备应使用移动设备管理服务进行管理，以实施技术控制。

• 还要配置MDM的日志记录和监控功能。

• 使用我们推荐的一种网络架构来实现对企业服务的远程访问。

• 如果需要虚拟专用网络 (VPN)，请使用内置的 IKEv2 VPN，因为它提供高性能、永远在线的模式和强大的加密。

• 用于工作的第三方应用程序（“托管应用程序”）应集中批准到企业应用程序目录中并通过 MDM 交付，以将数据与非工作应用程序分开。

• 考虑您在用户设备上启用 iCloud 帐户的方法，使用设备上的策略来管理特定的 iCloud 功能。

• iOS 上通常不需要防病毒软件和其他安全软件

---

工作申请

大多数组织都希望为其用户提供一系列生产力和业务应用程序，以便他们可以远程使用、创建和协作。我们建议尽可能使用内置应用程序（例如邮件和日历），因为这样可以最大程度地灵活地在任何托管的第三方应用程序中打开工作附件，并优化可用性和性能。它还使帐户能够由 MDM 管理，从而最大限度地减少管理开销。

如果将第三方应用程序用于工作，建议使用已批准应用程序的企业应用程序目录，用户可以随意选择安装这些应用程序，并通过 MDM 交付。以这种方式部署的应用程序将是“托管”应用程序，并且可以访问工作数据。通过 App Store 安装的应用程序将是“不受管理的”，并且无法访问相同的数据。有关此方法的更多信息，请参阅我们的第三方应用程序指南。

我们建议小心使用高权限应用程序，例如第三方键盘应用程序和网络扩展。这些类型的应用程序可能能够访问大量工作数据，因此会给组织带来更高的风险。

---

设备配置

一旦您选择了 MDM 服务、架构和应用程序方法，就应该开发一个设备配置，可以应用它来实施技术控制。

特别是，应该包括管理以下各项的策略：

• 外部接口，包括有线和无线外围设备（例如，在设备锁定时禁用 USB 附件）

• 采用生物识别技术，以及通关密码和认证策略

• 要允许的iCloud（和其他云）服务

• 设备操作系统和应用程序更新，包括自动更新

---

也可以看看

• 在 iOS 上管理设备和公司数据，Apple (PDF)

• iOS 安全, 苹果 (PDF)

•  MDM 供应商提供的指导

原文始发于微信公众号（河南等级保护测评）：设备安全指南：平台指南-iOS 和 iPadOS