Çalıştığınız kurumda iCloud gibi bulut servislerine erişim açık mı? Birçok kurum bu tür servisleri bilgi güvenliği gerekçesi ile kullanıma kapatır. Zaten şirket güvenlik politikanızı oluştururken CIS veya NIST gibi güvenlik standartlarını takip ediyorsanız onlar da sizin bu tür servisleri kapatmanızı önerirler.
Apple cihazlarınızı yönetmek için bir MDM veya UEM çözümü kullanıyorsanız bu koşulları sağlayabilmek için hemen Restrictions (kısıtlamalar) başlığı altından iCloud servislerini kapatmış olmalısınız. Evet bu da bir seçenek. Yıllardır iCloud‘u kullanmaktan imtina eden kurumlarda bu yöntem tercih ediliyordu zaten.
Buna ek olarak yakın zamanda bir alternatifimiz daha oldu: Apple Business Manager üzerinden Access Management. Access Management bölümü üzerinden Managed Apple Account’ların ne yapıp ne yapamayacağını belirleyebilirsiniz. Okumakta olduğunuz bu yazı yoğun bir şekilde Managed Apple Account kullanımı ile ilgilidir. Eğer Managed Apple Account‘un, yani kurumsal olarak yönetilebilen Apple kimliklerinin ne olduğunu bilmiyorsanız yazının bu noktasında bu sayfayı bir kenarda tutarak Managed Apple Account nedir? başlıklı yazımı okumanızı öneriyorum.
O yazının bağlantısına tıklayamayacak kadar tembelseniz ben sizin için çok kısa bir özet geçeyim. Yıllardır kullandığımız kişisel Apple hesaplarımız, onları kullanan kişilere yani bizlere aitti. Onları çalıştığımız kurumların bize verdiği cihazlarda kullanmak, kurum açısından bir dizi güvenlik sorununa yol açıyordu. Kişisel iCloud hesabınız ile örneğin bir satış raporunu veya gizli bir belgeyi kişisel iCloud Drive alanına yükleyebilirsiniz. Ve kurumunuzun bilgi güvenliği ekibi –eğer iCloud servisleri kapatılmamışsa– bunu engellemek için herhangi bir şey yapamaz.
Ancak Apple’ın kullanıcılara sunduğu bazı servisler de cihaz kullanım deneyimini çok yukarılara taşıyor. Bu nedenle kurumlar da çalışanlarına herhangi bir uygun fiyatlı Android cihaz yerine iPhone vermeyi tercih ediyorlar. Hem çalışanlar iPhone kullansın, hem birçok Apple servisine erişimleri olsun, hem de şirket verilerinin güvenliği tehdit edilmemiş olsun diyorsanız bu üç gereksinimin kesişim kümesinde Managed Apple Account bulunuyor.
Managed Apple Account‘lar Apple Business Manager‘dan manuel olarak açılabiliyor. Veya ek olarak Federated Authentication kullanımı ile Entra ID ve Google Workspace üzerindeki tüm şirket hesapları tek seferde yönetilen Apple kimliklerine çevirilebiliyor.
Access Management
Apple Business Manager’a geçtiğimiz sene eklenen Access Management bölümü ile yönetilen Apple kimliklerinin hangi Apple servislerine erişip hangilerine erişemeyeceğini belirleyebiliyoruz. Ve bunu da kullandığınız MDM / UEM çözümünden bağımsız olarak yapıyoruz.
Access Management bölümünün 3 başlığı var. Roles, Sign in with Apple ve Apple Services. Şimdi isterseniz bunları inceleyelim.
Roles
Apple Business Manager hesabınızın doğrulamasını yaptığınızda ilk açılan hesap Administrator yetkisindedir. ABM hesabının doğrulaması için Apple sizi aradığında ikinci bir Admin hesabının daha oluşturulmasını ister. Apple Business Manager üzerinde toplam 5 adet Admin kullanıcı olabiliyor. Bununla birlikte Apple Business Manager’a erişim yetkisi bulunan tüm kullanıcıların Admin olması gerekmez. Farklı rollerde kullanıcılar oluşturabilirsiniz. Bu roller sırasıyla şunlardır:
• Administrator: Tüm yetkilere sahip Apple Business Manager kullanıcısı türüdür.
• People Manager: Apple Business Manager üzerindeki Users (kullanıcılar) bölümünü yönetebilecek bir yönetici kullanıcısıdır. People Manager yetkisindeki kullanıcılar, aynı zamanda Device Enrollment Manager ve Content Manager yetkilerini de bünyelerinde barındırabilirler.
• Device Enrollment Manager: Apple Business Manager’a cihaz ekleme ve cihaz çıkarma yetkisinde bulunan kullanıcı türüdür.
• Content Manager: Apple Business Manager üzerinden uygulama satın alım yetkileri bulunan kullanıcı türüdür.
• Staff: Apple Business Manager’dan tanınan yetkiler ile Apple cihazlarını kullanacak kullanıcı türüdür.
Standart olarak Apple Business Manager’daki kullanıcı türlerinin hangi yetkilere sahip olduğunu bir tablo olarak görmek isterseniz bu adresi ziyaret edebilirsiniz.
Apple Business Manager‘da Access Management / Roles bölümü üzerinden bu kullanıcı türlerinin hangi yetkileri olacağını belirleyebilirsiniz. Burada temel kullanım seçenekleri değiştirilemez. Ama örneğin Content Manager yetkisinde olan bir kullanıcının AppleSEED for IT sitesine erişimine veya iMessage / FaceTime kullanımına sınır getirebilirsiniz.
Sign in With Apple
Çeşitli web sitelerine veya uygulamalara üyelik oluşturmak yerine Google veya Microsoft hesapları ile giriş yapma seçeneği zaten uzun süredir kullanılıyordu. Apple da o trene katıldı ve artık uygulamalar veya web sitelerine giriş için Apple hesaplarımızı da kullanabiliyoruz.
Şirket çalışanlarının kurumsal Apple kimlikleri ile herhangi bir uygulamaya giriş yapmalarını tercih etmiyorsanız Sign in With Apple bölümünden buna kısıt getirebilirsiniz. İsterseniz tüm uygulamalara izin verebilirsiniz. İsterseniz de bunu sadece sizin belirlediğiniz uygulamalar ile sınırlandırabilirsiniz.
Apple Services / iCloud
Access Management bölümünün en kapsamlı kısmı hiç kuşkusuz Apple Services kısmı. Bu bölümden Managed Apple Account hesabı bulunan kullanıcıların hangi Apple servislerine erişebileceğini denetleyebilirsiniz.
Apple Services bölümüne girdiğinizde listenin en üstünde iCloud servislerine erişim seçenekleri bulunur. Kullanıcıların Managed Apple Account’ları ile hangi iCloud servisine erişebileceklerini tek tek seçebilirsiniz. Öncelikle, iCloud servislerinin hangi tür cihazlarda kullanılabileceğini seçebilirsiniz. Listenin en üstünde yer alan menüden Off seçeneğini seçerseniz iCloud servislerinin tamamını kapatmış olursunuz. Any Device da herhangi bir cihazdan seçili iCloud servislerine erişim iznini vermiş olursunuz. Eğer sadece kurumsal olarak dağıtılan cihazlardan yönetilen Apple kimliklerine erişim yapılmasını istiyorsanız Managed Devices Only veya Supervised Devices Only seçeneklerinden birini kullanabilirsiniz.
Alt kısımdaki bölümlerden kapalı olmasını istediğiniz servisleri tek tek kapatabilirsiniz. Buradan bazı başlıkları vurgulamak gerekirse:
Collaboration: Apple’ın Office paketi olan Pages, Numbers ve Keynote yazılımlarının (eski ismi iWork’tü) paylaşımlı dosya oluşturabilmesini denetleyebilirsiniz. Collaboration seçeneği içinden Off’u işaretlerseniz tamamen kapatmış olursunuz. Anyone seçeneği herhangi bir Apple Account ile dosya işbirliği yapılabilmesini sağlar. Organization Only seçeneği ise dosya işbirliklerinin sadece şirket içinde yapılabilmesini sağlar.
iCloud Drive: iCloud Drive kullanımının Manage Apple Account’lar için kullanılabilmesini denetler. iCloud depolama alanını kullanırken sadece 5GB alanınızın olduğunu ve artırılamadığını unutmayın. Desktop ve Documents klasörlerinizi senkron etmeyi düşünüyorsanız bu düşünceyi yavaşça yere bırakabilirsiniz.
Passwords and Keychain: iCloud Keychain servisi, Apple cihazlarınızda tuttuğunuz parolaların iCloud ile senkronize edilmesini sağlar. Bu yöntem ile örneğin daha önce iPad’iniz ile eriştiğiniz bir SSID’nin şifresi otomatik olarak diğer cihazlarınız ile de paylaşılır. Son kullanıcı açısından hayatı kolaylaştıran bir özellik olduğu kesin. Ama bilgi güvenliği açısından bakacak olursanız Apple’a güveniyor olmayı gerektiriyor.
Passwords and Keychain seçeneği, Managed Apple Account’lar için bu özelliği kullanabilmeyi denetler.
Access iCloud Data on the Web: iCloud servislerine erişmek için hesabınızı bir Apple cihazına girmiş olmanız gerekir. Ama bunun yanısıra, Windows PC’den ya da Android tablet üzerinden de bir web tarayıcı ile icloud.com adresine girilerek iCloud’da tutulan veriye erişilebilir.
Bu erişimi Access iCloud Data on the Web seçeneğini kullanarak kapatmak mümkün.
Apps using iCloud: Kişiler, takvimler, fotoğraflar ve iCloud üzerinden senkronizasyon yapabilecek tüm uygulama ve servislerin erişimi bu bölümden açılıp kapatılabilir. Burada şu küçük bilgiyi hatırlatmak istiyorum. Kurumsal olarak kullanılan bir cihazda IdP üzerinden gelen kişiler ve takvimler bulunuyor olabilir. Şirketinizde çalışan birinin iletişim bilgilerini size sağlayan Contacts bölümü genellikle Managed Apple Account üzerinden değil, IdP üzerinden gelir. Dolayısıyla bu bölümden Contacts veya Calendars seçeneklerini kapatmanız kurumsal kontaktların cihazlara gelmesini veya gitmesini etkilemez.
Apple Services / Diğerleri
Developer: Kullanıcıların Apple Developer Program, Made For iPhone (Mfi) programı ve xCode Cloud gibi servislere erişmelerini denetlemek için Developer bölümünü kullanabilirsiniz. Kurum bünyesinde developer’lar varsa ve onların da Apple Developer sayfalarına erişmesi gerekiyorsa Apple Developer Program bölümünü açık tutmanızı önerebilirim.
AppleSEED for IT: Apple ürünlerinin beta sürümlerinin indirilebileceği, Mac Evaluation Utility gibi yararlı araçlara erişilebilecek bir sayfa olan AppleSEED for IT’nin kurumsal Apple hesapları ile erişilip erişilemeyeceğini denetleyebilirsiniz.
Allow Managed Apple Account On: Yönetilen Apple hesapları ile hangi tür cihazlara giriş yapılabileceğini bu bölümden seçebilirsiniz. Any Device seçeneği, herhangi bir kısıtlama yapmamak anlamına gelir. Managed Devices Only seçeneği, bir MDM sunucuya herhangi bir yöntem ile kayıt olmuş cihazlar ile sınırlandırmak demektir. Supervised Devices Only seçeneği ise cihazların denetimli modda olmasını şart koşar.
Apple Account on Organization Devices: Bir üstteki seçenek ile benzer bir işlevi yerine getirir. Bu seçenek, kurumsal olarak yönetilen cihazlarda ne tür Apple hesapları kullanabileceğinizi belirlemek için kullanılır. Any Apple Account seçeneği, kullanıcılarınıza kurumsal cihazlarına kişisel Apple Account’ları ile giriş yapabilme iznini verir. Eğer kişisel hesapların kullanılmasını engellemek istiyorsanız ayarı Managed Apple Accounts Only seçeneğinde tutmalısınız.
Privacy & Security: Kurumsal Apple hesapların gizliliği ve Apple tarafından tutulan verilerin işlenebilmesi ile ilgili seçeneklere bu başlık altından ulaşabilirsiniz.
Apple’ın privacy.apple.com isimli bir web sitesi bulunuyor. Bu adrese Apple hesabınız ile giriş yaptığınızda Apple tarafından tutulan verilerinizin tamamını görebilir, kendinize bir kopyasını indirebilir, gerekirse hesabınızı kapatabilirsiniz. Data & Privacy Access seçeneği, kullanıcılara bu adrese erişme hakkı verip vermemeyi düzenler.
Bu alandaki ikinci seçenek olan User Account Lookup seçeneği, kullanıcılarınıza Mail, FaceTime, Calendar gibi uygulamalar içinden kurumunuzdaki diğer kullanıcıların iletişim bilgilerine erişim izni vermeyi düzenler.
Son seçenek olan Automatic Sign-in on Apple Watch seçeneği de kullanıcılara Managed Apple Account ile giriş yapılmış bir iPhone ile bir Apple Watch’ı eşleyebilme imkanı verir.
Yorum bırakın