Homepage
Insight08.02.2021

Modalità di sorveglianza de Apple

Come far supervisionare i dispositivi iOS?

Questo articolo offre una rapida panoramica della modalità supervisionata di Apple per la gestione dei dispositivi mobili (MDM) di iOS, dei suoi vantaggi e di come implementarla.

Apple sta spostando sempre più funzioni MDM in iOS verso la modalità "solo supervisionata", il che significa che i dispositivi iOS non supervisionati diventeranno meno gestibili. Per tutte le aziende e le organizzazioni che utilizzano il Programma di iscrizione dei dispositivi (DEP), Apple raccomanda addirittura di supervisionare tutti i dispositivi per impostazione predefinita.

Supervisione e Device Enrollment Program (DEP)

Per impostazione predefinita, tutti i dispositivi iOS funzionano in modalità non supervisionata. Esistono solo due metodi per rendere un dispositivo supervisionato:

  1. Utilizzando un Mac con lo strumento Apple Configurator 2, collegando il dispositivo iOS via USB e riprovisionando (cancellando) il dispositivo. Ovviamente, questa non è una soluzione praticabile per un gran numero di dispositivi: non è scalabile e richiede inoltre che ogni dispositivo passi attraverso il reparto IT prima di poter essere consegnato all'utente finale.

  2. Iscrivendo un dispositivo con DEP.

Questo rende il DEP in un contesto aziendale l'unico modo possibile per rendere i dispositivi sorvegliati. Inoltre, il DEP è l'unico modo per rendere obbligatoria e non eliminabile l'iscrizione a un MDM, che è un requisito per molti casi d'uso.

Il programma DEP di Apple è un'ottima tecnologia che semplifica notevolmente la vita dell'amministratore. È possibile registrarsi al programma DEP accedendo al Portale Apple DEP - durante la procedura verrà creato un nuovo ID Apple. Questo ID Apple deve avere l'autenticazione a due fattori abilitata e può essere utilizzato anche per aderire al Volume Purchase Program (VPP). Una volta effettuato l'accesso al portale DEP, è possibile specificare e collegare il proprio server MDM e il proprio ID cliente DEP.

Da quel momento in poi, i dispositivi acquistati nell'ambito del programma DEP appariranno automaticamente nella vostra soluzione MDM senza più richiedere un processo di iscrizione manuale. Potete distribuire i dispositivi ordinati ai vostri utenti senza che il personale IT li tocchi prima (i dispositivi!). Non appena l'utente accende per la prima volta il suo nuovo dispositivo, questo viene registrato nella vostra soluzione MDM.

insight-apple_supervised_mode-01-en.png

Un reset di fabbrica di un dispositivo iOS con iscrizione DEP - L'iscrizione MDM è stata configurata come obbligatoria, quindi l'utente non ha scelta.

Supervisione e MDM

Apple sta rendendo deprecate sempre più restrizioni MDM e altre configurazioni utili negli scenari aziendali sui dispositivi non supervisionati. Ecco alcuni esempi di restrizioni che funzioneranno solo per i dispositivi supervisionati nella prossima versione di iOS:

  • Blocco dell'installazione di app dall'App Store
  • Blocco della rimozione delle app
  • Blocco delle connessioni a Game Center e dei giochi multiplayer
  • Blocco della sincronizzazione iCloud dei documenti
  • Blocco di contenuti iTunes espliciti e/o dell'intero iTunes Store
  • Blocco di Safari
  • Blocco delle videoconferenze

Si prevede che questo elenco crescerà con ogni nuova release di iOS. Quindi è sicuramente una buona idea iniziare a usare la modalità supervisionata il prima possibile.

insight-apple_supervised_mode-02-en.png

Impostazioni di un dispositivo iOS supervisionato iscritto a un MDM. L'utente non ha la possibilità di rimuovere il profilo MDM.

Quindi, cosa devo fare?

Se i dispositivi iOS sono registrati in DEP, è possibile specificare la supervisione nel profilo DEP della soluzione MDM. In caso contrario, è possibile renderli supervisionati con Apple Configurator 2. A partire da iOS11, Apple consente anche di inserire un dispositivo non DEP nel DEP utilizzando lo stesso Apple Configurator (versione 2.5 e successive). La procedura è praticamente la stessa, c'è solo una casella in più da spuntare e c'è un periodo di tolleranza di 30 giorni durante il quale l'utente può rimuovere l'assegnazione DEP dal suo dispositivo. Questa è una misura di sicurezza per evitare che i dispositivi possano essere "dirottati" da persone non autorizzate.