Aramızda kaç kişi iTools‘u hatırlıyor? Apple, ismi şimdi iCloud olan bulut tabanlı servislerin temelini 2000 senesinde atmıştı. O zamanki ismi iTools‘tu. Kapsamında @mac.com uzantılı email, iDisk bulut depolama alanı, Homepage web sitesi oluşturma ve yayınlama platformu gibi bazı servisler bulunuyordu.
iTools ile başlayan, MobileMe ile devam eden ve iCloud haline dönüşen bulut servislerinin altında temel olarak Apple Account’lar (eski ismi ile Apple ID) yatıyor. Sahip olduğunuz bir Apple hesabı ile mevcut cihazlarınıza giriş yapabilir ve çeşitli Apple servislerinden yararlanabilirsiniz. Örneğin:
• App Store satın almaları için kullanabilirsiniz
• Apple Store randevularını alabilirsiniz
• iCloud.com uzantılı bir email hesabı kullanabilirsiniz
• iCloud Drive bulut depolama alanını kullanabilirsiniz
• Cihaz yedeklerinizi iCloud alanına alabilirsiniz
• Cihazlarınızda tuttuğunuz parolaları iCloud Keychain ile bulutta saklayabilirsiniz
vs… vs…
Liste daha çook uzayıp gider. Bir Apple Account ile iCloud veya iCloud+ servislerinden neler kullanabileceğinizi buradan öğrenebilrsiniz.
Eğer birden fazla sayıda Apple cihazınız varsa ve hepsinde aynı Apple hesabı ile giriş yapılmış ise, standart iCloud bulut tabanlı servislerden daha fazlasını elde edersiniz. Örneğin, bir iPad’i Mac’inizin 2. monitörü olarak kullanabilirsiniz. Veya iPhone’dan kopyaladığınız bir metni Mac’inize yapıştırabilirsiniz. Veya iPhone’da yazmaya başladığınız bir e-mail’i Mac’te devam ettirebilirsiniz.
Kurumsal ortamlarda durum nedir?
Kullanıcı cihazlarını merkezi olarak yöneten şirketler kabaca ikiye ayrılıyorlar.
- Kullanıcıların kişisel iCloud hesaplarını kullanmaya izin veren şirketler.
- Herhangi bir bulut servisine öcü gibi bakan şirketler.
Ülkemizde çalışanlara kullanımı için verilen cihazlar sadece iletişim ve iş amaçlı kullanılması için değil, bir tür sosyal yan hak gibi görülüyor. Bu nedenle de bazı şirketler çalışanlarına iletişim kurabilecekleri birer uygun fiyatlı telefon vermek yerine iPhone vermeyi tercih edebiliyor. Bir iPhone verdikten sonra da çalışanının o telefonun nimetlerinden de yararlanabilmesini isteyebiliyor. (Evet, bütün bunlar Türkiye’de oluyor)
Senaryo 1 – Kullanıcıyı Özgür Bırakalım
Bir firma cihazlarını DEP kayıtlı bayilerden birinden alıyor olsun. Cihazlar DEP kayıtlı olarak MDM’e otomatik olarak kaydedilebiliyor olsun. Ve firma, çalışanlarına verdiği tüm cihazları MDM üzerinden etkin bir şekilde yönetiyor olsun.
Bu senaryoda firma Apple’ın MDM Protokolünde bulunan allowAccountModification isimli kısıtlamayı açık konumda tutacak olursa kullanıcılar, cihazlarına kişisel hesaplarını ekleyebilirler. Buna Apple Account ve Gmail gibi tüm kişisel hesaplar dahil olabilir.
Bu durumda kullanıcı kişisel Apple Account’unu cihaza ekleyebilir. Ve eğer IT yönetimi MDM üzerinden allowCloudAddressBook, allowCloudCalendar, allowCloudKeychainSync, allowCloudPhotoLibrary gibi iCloud servislerini ayrıca sınırlandırmadıysa cihazında tüm iCloud servislerini kullanabilir. iCloud Photos üzerinden tüm fotoğraf arşivini buluta senkronize edebilir, cihaz içinde tutulan tüm parolaları (şirket içi bir dosya sunucusuna erişim parolası da dahil olacak şekilde) iCloud Keychain ile senkronize edebilir, şirket satış raporlarını tamamen kişisel erişimi bulunan iCloud Drive’a veya mesela Google Drive‘a aktarabilir.
Kurumsal verilerin güvenliği açısından kulağa felaket senaryosu gibi geliyor değil mi? Bir DLP (Data Loss Prevention) çözümü kadar olmasa da MDM protokolü içinde bulunan allowOpenFromManagedToUnmanaged veya allowManagedToWriteUnmanagedContacts gibi kısıtlamalar MDM ile yönetilen yazılımlardan kişisel olarak yüklenen yazılımları veri çıkışını bir nebze engelleyebilir.
Kişisel iCloud kullanımına izin verme senaryosunda düşünülmesi gereken bir diğer konu da Activation Lock olacaktır. Bir kullanıcı, kurumun kendisine sağladığı cihazına kişisel iCloud hesabı ile giriş yapabilir ve Find My iPhone uygulaması ile Activation Lock‘u aktif hale getirebilir. Bu aktivasyon sonrası cihazın seri numarası kullanıcının Apple Account‘una eklenir ve Bu durumda kullanıcı şirketten ayrılırken kendisine zimmetli olan cihazları teslim ederken iCloud hesabından çıkış yapmamış ise, teslim ettiği cihaz yeniden aktivasyon sırasında eski kullanıcının iCloud hesabının şifresini isteyecektir.
Cihazı teslim alan IT ekibinin bu durumda ilerleyebileceği üç seçenek vardır:
• Kullanıcıya ulaşarak cihazı Apple Account‘unda tanımlı olan cihazlar arasından çıkarmasını istemek
• Apple Destek’e ulaşarak cihazın ilgili Apple hesabından düşürülmesini talep etmek (Bunun için ürünün seri numarası veya PO numarasının üzerinde yazdığı satın alma faturası gerekecektir).
• MDM üzerinden o cihazın kaydına girerek Activation Lock Bypass Code alarak cihaz aktivasyonu sırasında bu kodu kullanmak.
Eğer bu üç seçenek de ulaşılabilir değilse o iPhone‘u bir daha bir telefon olarak kullanamazsınız.
Senaryo 2 – Kullanıcıyı Kısıtlayalım
Eğer kurum olarak dağıttığınız cihazların daha kısıtlı ve güvenli bir modda kullanılmasını istiyorsanız, alabileceğiniz birçok önlem bulunuyor. Bunlardan birkaçı:
• App Store‘dan uygulama yüklemeyi engelleme
• Kullanıcıların kişisel hesaplarını cihaza ekleme seçeneğini kısıtlama
• iCloud servislerini kısıtlama
• Dağıtılan cihaz bir Mac ise Gatekeeper ayarlarını düzenleyerek güvensiz uygulamaların yüklenmesini engelleme
• Cihazı tek bir uygulama ile çalışmaya zorlama
…ve çok daha fazlası
Senaryo 3 – İkisinin ortası: Managed Apple Account
Kişisel Apple hesaplarının problemi kişiye ait olmalarıdır. Kuruma ait cihazlarda kişinin denetiminde olan Apple hesaplarının kullanılması, beraberinde kurumsal verilerin güvenliği ile ilgili bazı sorunlar getirebilir. Bu nedenle kurumsal şirketlerde her kullanıcı için birer Managed Apple Account oluşturulması, Apple hesabının sahipliğini ve yönetimini şirketin IT ekibinin ellerine verir. IT ekibi gerektiğinde o Apple kimliğinin şifresini sıfırlayabilir, gerektiğinde 2FA için kullanılan telefon numarasını değiştirebilir.
Managed Apple Account‘lar Apple Business Manager üzerinden oluşturulabilir. Her yeni hesap tek tek manuel olarak da oluşturulabileceği gibi kullanıcı hesabı yönetimini Microsoft Entra ID veya Google Workspace ile yapan şirketler için otomatik olarak da oluşturulabilir.
Managed Apple Account‘ları şirketin IT yönetimi ekibi oluşturur. Hesap yönetimi ABM üzerinden yine IT ekibinin ellerindedir. Kullanıcılar şirketin kendilerine sağladığı Apple cihazlarında Apple Account‘un avantajlarından faydalanmak istiyorlarsa kurumsal olarak kendilerine verilen Managed Apple Account hesabını kullanırlar. Böylece kullanıcılar hem Apple servislerine erişmiş olurlar, hem de bunu kişisel hesapları ile yapmadıkları için kurumsal verilerin Apple Account yoluyla dışarı çıkmasının önüne geçilmiş olur.
Personal ve Managed Apple Account arasında fark var mı?
Evet. Birçok kullanım farkı bulunur. Managed Apple Account‘lar kurumsal ortamlarda kullanılabilmek için tasarlanmış oldukları için kişisel kullanımı gerektiren bazı Apple servislerine erişim imkanı vermezler. Bir Managed Apple Account‘un hangi servislere erişebileceğini ve hangilerinin kısıtlı olduğunu Apple’ın bu makalesinden detaylı bir şekilde öğrenebilirsiniz. Ama kısaca önemli birkaç farklılığı sıralayacak olursak;
• App Store‘a erişemezler. Kurumsal cihazlara uygulama yükleme işlemi MDM üzerinden yönetilir.
• Find My özelliğini aktive edemezler.
• iTunes Store ve Apple Books gibi mağazalara erişemezler
• Apple Music aboneliğine giriş için kullanılamazlar
• AppleTV‘ye giriş için kullanılamazlar
• iCloud.com uzantılı bir email hesabına sahip olamazlar
Neler yapamayacağına değil, neler yapabileceğine bakacak olursak aşağıdaki gibi bazı maddeleri yazabiliriz;
• iCloud servislerinin birçoğunu kullanabilirler. Buna iCloud Drive, iCloud Backup, iCloud Keychain vb dahildir.
• Notlar, Hatırlatıcılar, Safari Bookmark’ları gibi öğeler cihazlar arasında aynı Managed Apple Account ile senkronize edilebilir.
• Tüm Continuity servisleri kullanılabilir. iPhone‘unuzu bir web kamerası olarak kullanabilirsiniz, iPad‘den kopyaladığınız bir içeriği Mac‘e yapıştırabilirsiniz, iPad‘inizi Mac‘inizin 2. ekranı olarak kullanabilirsiniz, iPhone mirroring servisi ile telefonunuzu Mac‘inizin ekranından görebilir ve kontrol edebilirsiniz…
• Apple Developer programına katılabilir ve/veya mevcut bir geliştirici ekibine katılabilirsiniz.
• iMessage ve FaceTime gibi iletişim servislerini kullanabilirsiniz.
One more thing…
Managed Apple Account‘ların şirket çalışanlarına kurum tarafından yönetilen Apple hesapları kullandırmaktan öte bir fonksiyonu daha bulunur. O da bir kişisel cihazın MDM’e kaydedilmesi ile ilgilidir.
Yine bir senaryo üzerinden gidelim. Diyelim ki bir şirkette geçici görev ile 6 aylığına bir çalışma yapacaksınız. Ve bu esnada şirket size cihaz tedarik etmeyecek ve siz kendiniz beraberinizde getirdiğiniz cihazları kullanacaksınız. Bu durumda bile şirket sizin cihazlarınızın onların MDM sunucusuna kayıt olmasını isteyebilir. Örneğin bir Conditional Access (koşullu erişim) politikası belirlenmiş olabilir ve bunu alabilmesi için cihazın MDM’e kayıtlı olması gereklidir.
Apple cihazlarını bir MDM’e kaydetmek için 4 seçeneğiniz bulunur. Bu seçeneklerin isimleri kullandığınız MDM firmasına göre değişkenlik gösterebilir. Bu nedenle Apple’daki isimlendirmeyi baz alarak yazıyorum:
- Automated Device Enrollment:
Bu seçenek, cihazın Apple Business Manager’da kaydının bulunmasını gerektirir ve ABM’e kayıtlı MDM sunucusuna cihazların otomatik olarak kayıt olabilmesini sağlar. Enrollment Profile MDM sunucusundan cihaza ilk açılış sırasında otomatik olarak gönderilir. - Profile Based Device Enrollment:
Bu seçenek cihaz bir kullanıcı tarafından kullanımda ise sıfırlamadan MDM sunucuya kayıt etmek için kullanılabilecek bir yöntemdir. Tam olarak aynı olmasa da Automated Device Enrollment yöntemi ile uygulanabilen birçok kısıtlama ve politika kullanılabilir. MDM sunucuya kaydedilecek cihaza ulaştırılan bir Enrollment Profile, manuel olarak yüklenir. - Account Driven User Enrollment:
MDM sunucuya kaydedilecek olan cihaz kullanıcıya ait, açık ve kullanılıyor durumda ise bu seçenek tercih edilir. Kullanıcının kişisel verilerinin korunmasına yönelik şekilde KVKK – GDPR uyumlu olarak MDM sunucuya kaydedilebilmesi ve yönetilebilmesi mümkündür. Enrollment Profile, bir Apple hesabı üzerinden giriş yapıldıktan sonra cihaza ulaştırılır. - Account Driven Device Enrollment:
Cihaz sahipliğinin kurumda olduğu ve MDM kaydı için bir Enrollment Profile yerine bir Apple hesabının kullanılabileceği bir seçenektir. Yönetilecek cihazın Supervised (Denetimli) modda olması durumunda Profile Based Device Enrollment kadar yönetim olanağı tanır.
Konu ile ilgili Apple makalesini okumak isterseniz buradan ulaşabilirsiniz.
Bu 4 seçenekten 3 ve 4 numaralı olanların isimlerinde geçen Account Driven (yani hesap üzerinden kayıt) seçeneklerinde sözü geçen hesap, bir Managed Apple Account‘tur. Kullanıcıya ait bir Managed Apple Account, Apple Business Manager‘da oluşturulur.
3. seçenek üzerinden ilerleniyorsa cihazın Settings uygulamasında General / VPN & Device Management (iOS & iPadOS), General / Device Management (Mac) bölümünde bulunan Sign In to Work or School Account bölümüne giriş yapılarak cihaz MDM sunucuya kaydedilebilir.
4. seçenek üzerinden ilerleniyorsa cihaz ilk defa açılırken Setup Assistant ekranları arasındaki Apple Account bölümüne kurum tarafından sağlanan Managed Apple Account girilerek cihaz MDM sunucuya kaydedilebilir.
Burada her iki seçenek için de cihazın MDM sunucunun Enrollment Profile‘ını çekebileceği URL’e yönlenmesini sağlayacak bir ön hazırlık aşaması bulunur. Yani bu işlem için sadece ABM üzerinden oluşturulmuş Managed Apple Account ve çalışır durumda olan bir MDM sunucusunun bulunması yeterli olmuyor.
Yorum bırakın