Quando le persone portano i propri dispositivi al lavoro o a scuola, non vogliono certo che gli amministratori IT gestiscano l’intero dispositivo. Ma fino ad ora, Apple ha offerto solo due modi per gli IT di gestire i dispositivi iOS scolastici o aziendali: le registrazioni dei dispositivi, con funzionalità di gestione dei dispositivi agli amministratori, o l’installazione automatica di un profilo per offrire le stesse funzionalità di gestione. Durante la Worldwide Developer Conference, Apple ha annunciato l’introduzione di un terzo metodo: le iscrizioni degli utenti.
Questa nuova opzione di registrazione MDM (mobile device management) è pensata per bilanciare meglio le esigenze degli IT e proteggere i dati aziendali sensibili, con possibilità di gestire il software e le impostazioni disponibili per gli utenti e, allo stesso tempo, di tenere separati i dati privati dalla supervisione degli IT.
Secondo Apple, quando le esigenze degli utenti e degli IT si equilibrano, gli utenti sono più propensi ad accettare un programma aziendale del tipo “porta il tuo dispositivo” (BYOD), grazie al quale le aziende possono risparmiare quel denaro che doveva essere investito nell’acquisto di smartphone o tablet.
L’opzione per le nuove iscrizioni utente in MDM ha tre componenti: un ID Apple gestito alternativo all’ID personale; separazione crittografica di dati personali e di lavoro; un set limitato di funzionalità di gestione a livello di dispositivo per l’IT.
L’ID Apple Gestito sarà l’identità di lavoro dell’utente sul dispositivo e verrà creato dall’amministratore in Apple School Manager o Apple Business Manager, a seconda che si tratti di una scuola o un’azienda. L’utente può accedere a questo ID Apple durante la procedura di registrazione. Da quel momento in avanti e fino alla fine dell’iscrizione, le app e gli account gestiti della società utilizzeranno l’account iCloud del nuovo ID Apple Gestito. Nello stesso tempo, le app e gli account personali dell’utente useranno l’account iCloud personale se è stato eseguito l’accesso.
Ciò significa che gli utenti non saranno in grado di cambiare modalità o di eseguire le app in entrambe le modalità contemporaneamente. Tuttavia, alcune delle app integrate come Note sono basate sugli account, il che significa che l’app utilizzerà l’ID Apple appropriato, gestito o personale, a seconda dell’account su cui staoperando al momento.
Per separare i dati di lavoro da quelli personali, iOS creerà un volume APFS Gestito al momento dell’iscrizione. Il volume utilizza chiavi crittografiche separate che vengono distrutte insieme al volume stesso al termine del periodo di registrazione. Il volume gestito ospiterà i dati locali memorizzati da qualsiasi app di terze parti gestite. Lo stesso volume ospiterà anche un portachiavi gestito che memorizza oggetti sicuri come password e certificati, le credenziali di autenticazione per gli account gestiti e gli allegati di posta. Il volume di sistema ospita un database centrale per la posta, inclusi alcuni metadati e cinque anteprime delle righe, ma tutto questo viene rimosso anche al termine della registrazione.
Le app personali degli utenti e i loro dati non possono essere gestiti dall’amministratore IT, quindi i relativi dati non sono mai a rischio di lettura o cancellazione. Tra l’altro, a differenza delle iscrizioni sul dispositivo, le registrazioni degli utenti non necessitano di condividere UDID o altri identificatori unici con l’IT. Con questo sistema viene infatti creato un nuovo identificativo chiamato “ID di iscrizione”. Questo identificatore viene utilizzato con il server MDM per tutte le comunicazioni e viene distrutto al termine della registrazione.
Inoltre, l’amministratore non può nemmeno scoprire quali app personali sono installate sul dispositivo, proprio per proteggere al massimo la privacy, e non sarà più possibile cancellare da remoto i dati e le app dell’utente, visto che l’operazione di delete riguarderà nel caso solo i dati “gestiti” dell’azienda o della scuola.
Un’altra nuova funzionalità delle iscrizioni utente è il modo in cui il traffico per gli account gestiti viene guidato attraverso la VPN aziendale. Utilizzando la funzionalità VPN, il traffico proveniente dalle app integrate Mail, Contatti e Calendari passerà attraverso la VPN solo se i domini corrispondono a quelli dell’azienda. Ad esempio, mail.acme.com può passare attraverso la VPN, ma non mail.aol.com. In altre parole, la posta personale dell’utente rimane privata.
Queste modifiche dovrebbero quindi invogliare i dipendenti ad accettare le politiche BYOD (utilizzo dei dispositivi personali come “aziendali), fino ad oggi quasi sempre rifiutate proprio per l’impatto sulla privacy e i dati personali .