Teknologiatorstai Q&A: Apple-laitteet yrityksille: tehokkuutta, tietoturvaa ja vastuullisuutta

Riippumatta siitä onko iCloud sallittu vai ei, on hyvä haastaa säännöllisin väliajoin aiemmat määritykset ja vaatimukset: Ovatko ne vielä relevantteja meille, mikä on hyödyn, haitan, tuottavuuden, riskin ja impaktin suhde. ICloud on monessa yrityksessä blokattu (MDM:ssä mahdollista rajoittaa), jotta yrityksen tietoja ei saa tallennettua valvomattomiin henkilökohtaisiin lokaatioihin. Onko näissä tapauksissa ja tässä tarpeessa blokattu kaikki mahdolliset pilvitallennusratkaisut ja clientit sekä miten rajoitetaan Web-clientit? Käyttäjä yleensä ja monesti pystyy ohittamaan tavalla tai toisella yrityksen asettamat tuottavuutta rajoittavat ominaisuudet. Jos iCloud sallitaan, on tärkeää kouluttaa ja kertoa, mitä dataa ja millä edellytyksin esim. iCloud Drivea voi käyttää.

Tässä on hyvä artikkeli siitä, miten Apple on toteuttanut yrityksen ja henkilökohtaisen datan erottelun.

Asiakkaan ja toimittajan yhteinen resurssi ja mahdollisuudet ovat Suomen edu-markkinassa haastavat. iPad on toki tavattoman suosittu kouluissa ja työtä niiden kanssa tehdään koko ajan ja jatkuvasti.

Meillä Telialla Service Deskin Apple-osaamisen kehittämiseen panostetaan koko ajan. Kannattaa muistaa myös Applen oma tuki ja jos oman yrityksen SD:ssä ei ole riittävää Apple-osaamista, voi heille hankkia hyvinkin kustannustehokkaan takanojan Apple tukeen.

https://www.telia.fi/yrityksille/palvelut/asiantuntijapalvelut/service-desk

https://www.apple.com/support/professional/help-desks/

Asia liittyy yleensä tietoturvaan ja tietoturvan nimissä rajoittamiseen, jonka taustalla on usein ymmärryksen ja osaamisen puutetta. Tärkeää onkin tietoisuuden kasvattaminen: Näiden ominaisuuksien (Continuity, AirDrop, universal control) hyödyntämisen etuja tuottavuuden kasvattamisessa ja asioiden helpottamisessa tulisi tuoda enemmän esille yrityksissä.

ASM:ssä pitää ensin purkaa aktivointilukitus, ennenkuin sen voi poistaa ASM:stä. 
Tässä hyvä Applen artikkeli siitä, miten aktivointilukitus poistetaan Apple School Managerissa. 

Macin pystyy ottamaan käyttöön ja rekisteröimään EntraID-tunnuksilla. Macille tulee kuitenkin luoda paikallinen tunnus. Tämä onkin monesti suositus, että laitteella on oma tunnus ja palveluihin, esim. M365-palveluihin on oma tunnus ja access.

Mahdollista on myös käyttää pelkkää verkkokirjautumista, mutta tätä emme suosittele missään nimessä, koska jos verkko ei toimi, ei Macciin pääse kirjautumaan. Ohjelmistoihin, jotka tukevat passkey:tä/salasanatonta kirjautumista, voidaan kirjautua ilman salasanaa. 

 Kyllä on. Tässä puhutaan “App Sandbox”-toiminteesta, joka luo “rahat” apin, käyttäjädatan, verkkoaccessin ja muiden systeemiprosessien välille ja näin minimoi haitat ja ongelmat, jotka ongelmallinen koodi voisi mahdollisesti luoda.

Tässä on hyvä Applen artikkeli ohjelmien turvallisesta suorittamisesta Macilla.

Hyvä käytäntö on, että edellinen käyttäjä kirjautuu ulos iCloud-palveluista ennen kuin laite annetaan eteenpäin toiselle käyttäjälle. Muuten resetoinnin jälkeen laite kysyy edellisen käyttäjän/omistajan Apple ID:tä = aktivointilukitus. Jos kuitenkin käy niin, että edellinen käyttäjä ei ole kirjautunut iCloudista ulos, aktivointilukituksen voi purkaa AxM:ssä, MDM:ssä tai Applen tuen avulla, mutta laitteen omistajuus pitää todistaa.

Hyvä kysymys, mihin ei ole yhtä selkeää ja yksiselitteistä vastausta. Tärkein asia on pitää laitteiden käyttöjärjestelmä ja ohjelmisto ajantasalla. Minun henkilökohtainen mielipide on että Applen mobiililaitteille, (iPhone ja iPad), virustorjunta ei ole tarpeellinen Applen hyvinkin vankan ja lujan tietoturvaimplementaation takia. Ohjelmistoja voi Applen mobiililaitteisiin asentaa vain Applen AppleStoren kautta ja ennen julkistusta ohjelma varmistetaan ja tarkastetaan Applen toimesta. Maceissakin on Applen oma virustorjuntaohjelmisto, XProtect, mutta myös monia muita tietoturvaa parantavia ominaisuuksia, kuten esim. Gatekeeper, Appien notarisaatio, jotka varmistavat myös muiden kuin AppStoresta asennettavien ohjelmien turvallisuuden. Tottakai jos asentaa netistä kaikkea mahdollista voi Maciinkin asentua jotain haitallista jonka kolmannen osapuolen virtustorjunta ehkä tunnistaa tai sitten ei. Yritysmaailmassa kannattaa keskittyä näkyvyyteen ja raportointiin, tiedetään mitä omassa konekannassa tapahtuu.

Timemachine toimii nätisti taustalla ilman, että käyttäjältä vaaditaan toimenpiteitä alkumäärityksen jälkeen. Etäyhteydet ja etähallinta: Suosittelemme Applen omaa Remote desktop –ohjelmistoa - se toimii hyvin ja luotettavasti, kunhan vain kohdekoneessa sallitaan halutut etätoimenpiteet sekä verkossa tarvittavat protokollat.

Maccien haltuunottoa ja hallintaa miettiessä ja mahdollisten ongelmien ennakko-ongelmien vähentämiseen kannattaa käyttää Applen ilmaista työkalua nimeltään Mac Evaluation Utility, joka on osa AppleSeeD for IT ilmaista työkalupakkia: https://beta.apple.com/for-it.

Telialta saa myös apuja MEU-työjalun kanssa: https://shop.inmicsnebula.fi/#!/product/624207

M365-ympäristössä Maccien integrointi on helppoa Intunen avulla. Intunella voidaan hallita helposti kaikki tärkeimmät käyttöjärjestelmä-ekosysteemit: Windows, iOS, iPadOS, Android ja MacOS. AD:hen Applen laitteita ei ole kannattanut liittää enää moneen vuoteen. Parhaat käytännöt riippuvat toki tarpeesta, mutta sekä Windows- että Mac-laitteet kannattaa ottaa käyttöön automaattisesti; Win-Autopilot, Mac-Automatic device enrollment. Harkitsisin myös salasanatonta käyttöönottoa ja käyttöä.

Ylläpitoon molemmissa käyttöjärjestelmissä kuuluu ehdottomasti OS-Beta-versioiden testaus, selkeät päivitysrutiinit (OS ja App). Tietoturvassa M365 antaa hyvän mahdollisen käyttää Microsoftin Defender for Endpoint -tuotetta, jolla saadaan hyvä yhteinen näkymä molempien ekosysteemien laitteiden tapahtumiin.

Tässä muutama linkki, joista löytyy apua:

https://support.apple.com/fi-fi/guide/certifications/apc322685bb2/web

https://github.com/usnistgov/macos_security

https://github.com/Jamf-Concepts/jamf-compliance-editor

Compliance editorilla voi luoda hyvin helposti itselleen ja yritykselleen tarvittavan ja sopivan security baselinen.

Tärkeää on huomata, että esim. CIS, NIST-vaatimuksia ja suosituksia ei missään nimessä kannata ottaa käyttöön sellaisenaan, vaan käyttää niitä ensin pohjana sen arvioimisessa, mikä on oikeasti tarpeellista omassa ympäristössä.

Nämä suositukset, ohjeet ja työkalut ovat monesti käytettävissä jo ennenkuin Apple julkaisee virallisesti uusimmat käyttöjärjestelmät.