DEP 등록 중에 iPad SSL / TLS 트래픽을 검사 할 수 있습니까? 계획하고 있지만 사용중인 네트워크는 나가는

DEP 인증서 설정을 사용하여 MDM에 등록해야하는 수백 대의 iPad 장치를 계획하고 있지만 사용중인 네트워크는 나가는 트래픽의 허용 여부를 결정하기 위해 중간 기술에서 man을 사용하여 SSL / TLS 트래픽을 검사합니다.

이 검사는 등록을 방해합니까?



답변

DEP 프로그램과 iOS 보안 설계는 기본적으로 사용자 지정 CA / 인증서를 설치해야하는 네트워크를 사용하여 장치를 등록하려는 시도를 방해 할 수 있습니다.

  1. iOS는 MDM에 등록하거나 감독하지 않고 신뢰 인증서 자동 설치를 자동화하지 않습니다. MITM 서버가 Apple 소유 및 운영되는 것처럼 보이는 불법 인증서에 해당하지 않는 한이 초기 등록을 막을 수 있습니다. 나는 comodo, symantec 및 기타 업체가 Apple, Google 및 기타 OS 공급 업체의 뜨거운 물에 들어 인증서가 아닌 엔티티에 인증서를 발급한다는 점에서 불법이라고 말합니다.
  2. 장치가 MDM에 입력되면 Wi-Fi 프로파일 및 CA 인증서를 푸시 한 다음 SSL / TLS 및 iOS와 Apple 간의 기타 암호화 된 트래픽을 “검사”중인 네트워크에 가입하거나 최소한 암호 해독 / 재 시도를 시도 할 수 있습니다 트래픽을 -encrypy / 검사합니다.
  3. DEP는 사용자가 사용자 지정 인증서를 수락 할 수없는 OS 설정 지점에서 실행됩니다.이 설정은 홈 화면이 설정 스크립트 / 기본 제공 환경의 일부로 사용자에게 처음 표시되기 전에 실행됩니다.

이 내용은 https://www.apple.com/business/dep/https://ssl.apple.com/business/docs/DEP_Guide.pdf 에 나와 있으며 “판매 된 “에 도움을 요청하십시오.

나는 당신이하고있는 일로 애플을 놀라게하고 DEP를 종료 할 위험이 있습니다. 또한 다른 대기업 고객과 동일한 “검사”요구가 있고 설계를 둘러 볼 수있는 문서화되지 않은 방법이 있거나 Apple에 대한 초기 트래픽 만 지우고 장비가 일단 점검되면이를 검사 할 수있는 엔지니어가 있습니다. 등록했습니다.

DEP에 가입 할 때 Apple과 자세한 법적 계약을 맺게되므로 Apple은 조직을 철저히 조사하기 때문에 해당 내용을 자세히 읽어보고 싶을 것입니다. 후프는 처음부터 DEP에 적합합니다.