iOS_8_3_Security_WP_RS

Чтобы восстановить связку ключей, пользователь должен пройти аутентификацию с использованием своей учетной записи и пароля iCloud, а также ответить

на сообщение SMS, которое будет отправлено на зарегистрированный номер телефона. Затем пользователь должен ввести свой код безопасности iCloud. Чтобы убедиться, что пользователь знает свой код безопасности iCloud, кластер HSM использует протокол Secure Remote Password; сам код не пересылается

в компанию Apple. Каждый член кластера независимо от других убеждается, что пользователь не превысил максимальное количество попыток извлечения своей записи (см. ниже). Если большинство членов кластера соглашаются с этим, кластер снимает защиту с записи ответственного хранения и отправляет ее на устройство пользователя.

Затем устройство с помощью кода безопасности iCloud дешифрует случайный ключ, который был использован для шифрования связки ключей пользователя. С помощью этого ключа выполняется дешифрование и восстановление на устройстве связки ключей, извлеченной из хранилища значений ключей

iCloud. Допускается только 10 попыток аутентификации и извлечения записи ответственного хранения. После нескольких неудавшихся попыток запись блокируется, и, чтобы получить право на дополнительные попытки, пользователь должен позвонить в службу поддержки Apple. После десятой неудавшейся попытки кластер HSM уничтожает запись ответственного хранения, и восстановить связку ключей невозможно. Такой подход защищает от попыток извлечь запись методом перебора, но жертвует связкой ключей.

Эти политики закодированы в прошивке HSM. Карты административного доступа, разрешающие вносить изменения в прошивку, уничтожены. Любая попытка изменения прошивки или доступа к личному ключу приводит к тому, что кластер HSM удаляет личный ключ. Если это происходит, все владельцы связок ключей, защищенных этим кластером, получают сообщение о том, что их записи ответственного хранения были утеряны. При желании пользователи могут зарегистрироваться повторно.

Siri

Используя естественную речь, пользователи могут поручить Siri отправлять сообщения, планировать встречи, звонить по телефону и многое другое. Для ответа на самые разные запросы Siri использует технологии распознавания речи, преобразования текста в речь и модель клиент-сервер. Набор поддерживаемых Siri задач продуман таким образом, чтобы использовать минимально возможное количество личной информации и гарантировать ее полую защиту.

При включении Siri устройство создает случайные идентификаторы, предназначенные для использования с функцией распознавания речи и серверами Siri. Эти идентификаторы используются только в службе Siri и направлены

на повышение качества обслуживания. Если в дальнейшем функция Siri будет отключена, устройство сгенерирует новый случайный идентификатор, который будет использован после включения Siri.

Чтобы оптимизировать работу Siri, на сервер передается определенная пользовательская информация с устройства. Сюда входит информация о медиатеке (названия песен, исполнителей и плейлистов), имена списков напоминаний, а также имена и связи, заданные в программе «Контакты». Весь обмен информацией

с сервером осуществляется по HTTPS.

При запуске сеанса Siri на сервер передаются имя и фамилия пользователя

(из программы «Контакты»), а также примерное местонахождение пользователя. Благодаря этому Siri может обратиться к пользователю по имени или ответить на вопросы, требующие знания только примерного местонахождения, например, вопросы о погоде.

Если требуется знать более точные координаты пользователя, например, для поиска кинотеатров поблизости, сервер запрашивает у устройства более точную информацию. Это один из примеров того, что информация передается на сервер только в том случае, если без нее невозможно обработать запрос пользователя. В любом случае информация сеанса удаляется после 10 минут бездействия.

При обращении к Siri с устройства Apple Watch оно создает собственный случайный идентификатор, как описано выше. Однако, вместо повторной пересылки информации о пользователе, вместе с запросом передается ссылка на эту информацию — идентификатор Siri, который назначен связанному iPhone.

Запись голосового запроса пользователя передается на сервер распознавания речи Apple. Если задача ограничивается диктовкой, распознанный текст передается обратно на устройство. В противном случае Siri анализирует текст и при необходимости объединяет его с информацией из профиля устройства.

Например, если запрос звучит как «отправить сообщение маме», для его обработки используются связи и имена, загруженные из программы «Контакты». Команда для выполнения распознанного действия отправляется обратно на устройство.

Многие действия Siri выполняются устройством под управлением сервера. Например, если пользователь просит Siri прочитать входящее сообщение, сервер просто сообщает устройству, что ему необходимо прочитать вслух содержимое непрочитанных сообщений. Содержимое и отправитель сообщения не пересылаются на сервер.

Записи голосовых запросов пользователей хранятся на сервере в течение шести месяцев. Система распознавания речи использует эти записи, чтобы лучше понимать голос пользователя. По прошествии шести месяцев сохраняется другая копия этих записей — уже без идентификатора. Apple хранит эту копию не более двух лет и использует ее для улучшения и развития Siri. Кроме того, для целей развития Siri сохраняется ряд других записей, в которых упоминается музыка, спортивные команды, игроки, предприятия или достопримечательности.

Функцию Siri можно активировать голосом. Распознавание команды запуска выполняется непосредственно на устройстве. В этом режиме Siri активируется только в том случае, если звучание поступившего аудиозапроса достаточно близко соответствует настроенной команде запуска. При распознавании команды запуска соответствующая аудиозапись, включая последующую команду для Siri, передается на сервер распознавания речи Apple для дальнейшей обработки. Эта обработка выполняется в соответствии с теми же правилами, которые применяются для остальных записей голосовых запросов пользователей к Siri.

Непрерывность

В iOS 8 и OS X Yosemite реализована новая функция «Непрерывность», которая задействует возможности таких технологий, как iCloud, Bluetooth и Wi-Fi, чтобы пользователи могли начинать действие на одном устройстве, а завершать его на другом, совершать и принимать телефонные вызовы, отправлять и получать текстовые сообщения и совместно использовать подключение к Интернету по сотовой сети.

Handoff

Если компьютер Mac и устройство iOS пользователя находятся близко друг

к другу, то пользователь может автоматически передавать незавершенные задачи с одного устройства на другое с помощью Handoff. Handoff позволяет пользователю переключаться между устройствами и мгновенно продолжать свою работу.

Если пользователь входит в iCloud на втором устройстве с поддержкой Handoff, два устройства создают пару через отдельное соединение Bluetooth Low Energy 4.0 при помощи службы Apple Push Notification (APNs). Отдельные сообщения шифруются так же, как в iMessage. После объединения в пару каждое из устройств генерирует симметричный 256-битный ключ AES, который сохраняется в связке ключей устройства. Этот ключ используется для шифрования и аутентификации оповещений Bluetooth Low Energy, которые сообщают о текущем действии устройства другим объединенным в пару устройствам iCloud, используя AES-256

врежиме GCM с защитой от повторной передачи перехваченных сообщений. Когда устройство в первый раз получает оповещение от нового ключа, оно устанавливает соединение стандарта Bluetooth Low Energy с вызывающим устройством и обменивается с ним ключами шифрования оповещений. Для защиты этого соединения используется шифрование Bluetooth Low Energy 4.0, а также шифрование отдельных сообщений, которое похоже на шифрование сообщений iMessage. В некоторых случаях эти сообщения передаются не через Bluetooth Low Energy, а через службу Apple Push Notification. Для защиты и передачи информации о выполняемых пользователем действиях используются такие же методы, как

вiMessage.

Переключение между нативными программами и веб-сайтами с помощью Handoff

Благодаря Handoff нативные программы iOS могут возобновлять отображение веб-страниц в доменах, которые на законных основаниях контролируются разработчиком программы. Кроме того, нативные программы могут возобновлять действия пользователя в веб-браузере.

Чтобы нативные программы не могли запросить возобновление веб-сайтов, которые не контролируются разработчиком, программа должна

продемонстрировать наличие законного контроля над веб-доменами, которые она хочет возобновить. Для доказательства контроля над доменом веб-сайта используется такой же механизм, как для общего доступа к учетным данным веб-сайтов. Подробнее см. «Доступ к паролям, сохраненным в Safari» в разделе «Шифрование и защита данных». Прежде чем программе будет разрешено принять действия пользователя через Handoff, система должна подтвердить, что программа контролирует доменное имя.

Источником передачи веб-страницы может быть любой браузер с интерфейсами Handoff API. Когда пользователь просматривает веб-страницу, система передает ее доменное имя с помощью зашифрованных байтов оповещения Handoff.

Расшифровать байты оповещения могут только другие устройства пользователя (как описано в разделе выше).

Система принимающего устройства распознает, что установленная нативная программа принимает информацию Handoff от переданного доменного имени, и отображает значок этой нативной программы в меню Handoff. При запуске нативная программа получает полный URL-адрес и заголовок веб-страницы. Никакая другая информация из браузера не передается в нативную программу.

При передаче информации в обратном направлении нативная программа может указать резервный URL-адрес на тот случай, если на принимающем устройстве не установлена та же нативная программа. В этом случае вместо программы

в меню Handoff отображается браузер по умолчанию (если этот браузер поддерживает интерфейсы Handoff API). При вызове Handoff отображается этот браузер и в него передается резервный URL-адрес, предоставленный исходной программой. Резервный URL-адрес не обязательно должен принадлежать доменным именам, которые контролируются разработчиком нативной программы.

Передача больших объемов данных с помощью Handoff

Помимо основной функции Handoff, некоторые программы могут использовать API, которые поддерживают отправку больших объемов данных через технологию прямого соединения Wi-Fi, разработанную компанией Apple (во многом похожую на AirDrop). Например, программа Mail использует эти интерфейсы API для передачи черновиков писем, которые могут включать большие вложения.

Когда программа задействует эту функцию, между двумя устройствами начинается обмен данными, как при использовании Handoff (см. предыдущие разделы). Однако после получения первоначальной информации по Bluetooth Low Energy принимающее устройство устанавливает новое подключение через Wi-Fi.

Это подключение шифруется (с помощью TLS), для чего устройства обмениваются сертификатами удостоверения iCloud. Удостоверение в сертификатах сверяется с удостоверением пользователя. Вся дальнейшая информация пересылается по этому зашифрованному подключению, пока передача не будет завершена.

Ретрансляция сотовых вызовов через iPhone

Если Mac, iPad или iPod подключены к той же сети Wi-Fi, что и iPhone, они могут совершать и принимать телефонные вызовы через сотовое подключение iPhone. Для этого необходимо, чтобы на устройствах был выполнен вход в iCloud

и FaceTime с одним и тем же Apple ID.

При поступлении входящего вызова все настроенные устройства получают уведомление через службу Apple Push Notification (APNs), при этом для каждого уведомления используется такое же сквозное шифрование, как в iMessage.

На экранах устройств, подключенных к одной сети, появляется уведомление о входящем вызове. Когда пользователь отвечает на вызов, аудиопоток начинает транслироваться с iPhone через безопасное прямое соединение между двумя устройствами.

Исходящие вызовы также ретранслируются на iPhone через службу Apple Push Notification, а аудиопоток аналогичным образом передается через безопасное прямое соединение между устройствами.

Для отключения ретрансляции телефонных вызовов пользователям необходимо отключить «Сотовые вызовы iPhone» в настройках FaceTime.

Переадресация сообщений через iPhone

Функция переадресации сообщений выполняет автоматическую пересылку SMS, полученных на iPhone, на зарегистрированные устройства iPad, iPod touch или Mac. На всех устройствах необходимо выполнить вход в iMessage с одним

и тем же Apple ID. При включении переадресации SMS необходимо подтвердить регистрацию каждого устройства, введя случайный шестизначный цифровой код, сгенерированный iPhone.

После завершения привязки устройств iPhone начинает шифровать

и переадресовать входящие SMS на каждое из устройств, используя методы, описанные в разделе «iMessage» данного документа. Ответы пересылаются обратно на iPhone аналогичным способом, после чего iPhone отправляет ответ в виде SMS, используя механизм передачи SMS оператора. Включить и выключить переадресацию сообщений можно в настройках программы «Сообщения».

Instant Hotspot

Устройства iOS, поддерживающие Instant Hotspot, находят другие устройства, которые вошли в ту же учетную запись iCloud, и устанавливают с ними соединение, используя Bluetooth Low Energy. Совместимые компьютеры Mac с операционной системой OS X Yosemite используют эту же технологию для обнаружения устройств iOS с поддержкой Instant Hotspot и установления соединения с этими устройствами.

После того как пользователь вводит настройки Wi-Fi на устройстве iOS, устройство начинает испускать сигнал Bluetooth Low Energy, содержащий идентификатор, который был согласован всеми устройствами, использующими одну и ту же учетную запись iCloud. Идентификатор генерируется

из идентификатора связи с адресатом (DSID), который привязан к учетной записи iCloud и периодически меняется. Если в непосредственной близости от устройства оказываются другие устройства, использующие эту же учетную запись iCloud

и поддерживающие режим модема, они распознают сигнал и отвечают на него, сигнализируя о своей доступности.

Если пользователь выбирает одно из доступных устройств для режима модема, на это устройство отправляется запрос о включении функции «Режим модема». Запрос передается по зашифрованному каналу Bluetooth Low Energy, а сами запросы шифруются так же, как в iMessage. Устройство отвечает на запрос по тому же каналу Bluetooth Low Energy, используя тот же способ шифрования отдельных сообщений, и передает информацию о подключении к модему.

Предложения Spotlight

Поиск в Safari и поиск Spotlight теперь включают в себя функцию «Предложения Spotlight», которая выдает предложения из Интернета, iTunes Store, App Store, расписаний киносеансов, находящихся рядом мест и других источников.

Чтобы предложения были более актуальными для конкретного пользователя, в поисковые запросы включается контекст и обратная информация поиска.

Вместе с поисковыми запросами компания Apple получает следующую информацию о контексте: i) примерное местонахождение устройства;

ii) тип устройства (например, Mac, iPhone, iPad или iPod); iii) клиентская программа (Spotlight или Safari); iv) язык по умолчанию и региональные настройки устройства; v) три последние программы, запущенные на устройстве; vi) анонимный идентификатор сеанса. Весь обмен информацией с сервером шифруется

с помощью HTTPS.

Чтобы защитить конфиденциальность пользователя, функция «Предложения Spotlight» никогда не отправляет точное местонахождение пользователя — информация предварительно искажается в клиенте. Уровень искажения зависит от расчетной плотности населения по месту нахождения устройства; например,

всельской местности используется более сильное искажение, чем в центре города, где пользователи обычно находятся ближе друг к другу. Кроме того, пользователи могут отключить отправку любой информации о местонахождении в компанию Apple, выключив службы геолокации для предположений Spotlight

вНастройках. При отключении служб геолокации компания Apple может определять приблизительное местонахождение пользователя по IP-адресу клиента.

Благодаря анонимным идентификаторам сеансов, Apple может анализировать зависимости между сериями запросов, отправленных в течение 15-минутного периода. Например, если часто бывает так, что пользователь сначала ищет «кафе», а вскоре после этого — «номер телефона кафе», служба поиска Apple может научиться сразу выдавать номера телефонов. В отличие от большинства поисковых машин, служба поиска Apple не использует постоянный личный идентификатор для привязки запросов к пользователю или устройству на протяжении всей истории поиска; вместо этого устройства Apple используют временные анонимные идентификаторы сеансов, которые существуют не более 15 минут, а затем уничтожаются.

Вкачестве дополнительного контекста в запрос включается информация о трех программах, которые были последними запущены на устройстве. Для защиты конфиденциальности пользователя в этот список включаются только те программы, которые находятся в белом списке популярных программ Apple и открывались

не позднее трех часов назад.

Вкомпанию Apple также передается обратная информация поиска, включая следующую информацию: i) время между действиями пользователя, такими как нажатие клавиш и выбор результатов; ii) выбранный результат функции «Предложения Spotlight», если он был выбран; iii) тип выбранного локального

результата (например, «закладка» или «контакт»). Как и в случае контекста поиска, обратная информация не привязывается к конкретному лицу или устройству.

Журналы функции «Предложения Spotlight» с запросами, контекстом и обратной информацией хранятся в компании Apple не более 18 месяцев. Сокращенные версии журналов, которые включают только запрос, страну, язык, время с точностью до часа и тип устройства, хранятся до двух лет. Журналы запросов не содержат IP-адресов.

В некоторых случаях функция «Предложения Spotlight» может перенаправлять запросы общих слов и фраз уполномоченному партнеру, а затем отображать полученные от него результаты поиска. Уполномоченный партнер не хранит эти запросы и не получает данные об обратной информации поиска. Партнеры также не получают IP-адресов. Обмен информацией с партнером шифруется

с помощью HTTPS. В качестве контекста поиска компания Apple сообщает партнеру местонахождение устройства с точностью до города, тип устройства и язык клиента, которые чаще других встречаются в запросах пользователей.

Функцию «Предложения Spotlight» для Spotlight и Safari можно выключить

в Настройках. Если выключить эту функцию для Spotlight, программа Spotlight превращается в локальный клиент для поиска данных только на устройстве, который не передает информацию в Apple. Если выключить эту функцию для Safari, поисковые запросы пользователя, контекст поиска и обратная информация поиска не передаются в Apple.

Средства управления устройствами

iOS предлагает гибкие политики и конфигурации безопасности, которые легко применять и поддерживать. Благодаря этому организации могут защищать корпоративную информацию и следить за тем, чтобы сотрудники соблюдали корпоративные требования, даже если они используют свои собственные устройства, например, в рамках программы использования личных устройств сотрудников на работе (BYOD).

Организации могут использовать такие средства, как защита паролем, профили конфигурации, удаленное стирание и решения MDM сторонних разработчиков, для управления большой группой устройств и защиты корпоративных данных даже в том случае, если сотрудники обращаются к этим данным со своих персональных устройств iOS.

Защита паролем

Помимо обеспечения криптографической защиты, пароли предотвращают несанкционированный доступ к интерфейсу устройства. Интерфейс iOS увеличивает временные задержки после ввода неправильного пароля, значительно снижая эффективность атак методом перебора, когда экран заблокирован.

При желании пользователи могут включить автоматическое стирание данных с устройства после 10 попыток ввода неверного пароля подряд. Эта функция также доступна при настройке политики администрирования через профили конфигурации, MDM и Exchange ActiveSync. Можно также установить более низкий порог срабатывания.

По умолчанию пароль пользователя состоит из четырех цифр. Чтобы задать более длинный, буквенно-цифровой пароль, необходимо отключить параметр «Настройки» > «Основные» > «Пароль» > «Простой пароль». Более длинные и сложные пароли сложнее подобрать или взломать, поэтому их рекомендуется использовать в корпоративной среде.

Для принудительного применения сложных паролей и других политик администраторы могут воспользоваться MDM или Exchange ActiveSync,

а также проследить за тем, чтобы пользователи вручную установили профили конфигурации. Доступны следующие политики паролей:

•разрешение простых паролей;

•требование буквенно-цифровых паролей;

•минимальная длина пароля;

•минимальное количество сложных символов;

•максимальный возраст пароля;

•история паролей;

•время автоблокировки;

•отсрочка блокировки устройства;

•максимальное количество неудачных попыток;

•разрешение Touch ID.

Подробную информацию о каждой политике см. в Справочнике по ключам профиля конфигурации на странице https://developer.apple.com/library/ios/featuredarticles/iPhoneConfigurationProfileRef/.

Модель создания пары iOS

Для управления доступом к устройству с главного компьютера в iOS используется модель создания пары. Создание пары устанавливает доверительные отношения между устройством и хостом, которые выражаются обменом открытыми ключами. iOS использует этот знак доверия для разрешения дополнительных действий

с подключенным хостом, например, синхронизации данных.

Для создания пары пользователь должен разблокировать устройство и принять запрос на создание пары от хоста. После этого хост и устройство обмениваются открытыми 1024-битными ключами RSA и сохраняют их. Затем хост получает 256-битный ключ для разблокировки хранилища ключей передачи, которое расположено на устройстве (см. «Хранилища ключей передачи» в разделе «Хранилища ключей»). Ключи, которыми обменялись хост и устройство, используются для установления сеанса связи с использованием шифрования SSL. Пока такой сеанс не установлен, устройство не пересылает защищенные данные хосту и не запускает службы (синхронизация iTunes, пересылка файлов, разработка Xcode и. т. д.). Устройство требует, чтобы этот зашифрованный сеанс использовался для всех подключений хоста по Wi-Fi, поэтому сначала необходимо создать пару через USB. Создание пары также предоставляет несколько диагностических возможностей. Подробнее см. на странице https://support.apple.com/ru-ru/HT6331.

Некоторые службы в iOS 8, включая com.apple.pcapd, могут работать только через USB. Кроме того, для использования службы com.apple.file_relay в iOS 8 на устройстве должен быть установлен профиль конфигурации, подписанный

Apple.

Пользователь может очистить список доверенных узлов, выбрав «Сбросить настройки сети» или «Сбросить геонастройки». Подробнее см. на странице https://support.apple.com/ru-ru/HT5868.

Принудительное применение конфигурации

Профиль конфигурации представляет собой файл XML, позволяющий администратору передавать информацию о конфигурации на устройства iOS. Пользователь не может изменить настройки, заданные установленным профилем конфигурации. Если пользователь удаляет профиль конфигурации, все заданные этим профилем настройки также удаляются. Таким образом администраторы могут обеспечить обязательное применение настроек, привязав политики к возможности доступа. Например, профиль конфигурации, который настраивает электронную почту, может также задавать политику использования пароля устройства. Пользователи не смогут получить доступ к электронной почте, если их пароли не соответствуют требованиям администратора.

Профиль конфигурации iOS содержит ряд настраиваемых параметров, включая следующие:

•политики паролей;

•ограничения возможностей устройства (например, отключение камеры);

•настройки Wi-Fi;

•настройки VPN;

•настройки почтового сервера;

•настройки Exchange;

•настройки служб каталогов LDAP;

•настройки служб календарей CalDAV;

•веб-клипы;

•учетные данные и ключи;

•расширенные настройки сотовых сетей.

Профили конфигурации можно подписать и зашифровать, чтобы подтвердить их источник, обеспечить их целостность и защитить их содержимое.

Для шифрования профилей используется синтаксис криптографического сообщения RFC 3852 с поддержкой 3DES и AES 128.

Профили конфигурации можно заблокировать, чтобы предотвратить их удаление с устройства, или же можно разрешить удаление только при условии ввода пароля. Поскольку многие корпоративные пользователи являются владельцами своих устройств iOS, они могут удалить профили конфигурации, которые привязывают устройство к серверу MDM, но при этом также будут удалены все управляемые настройки, данные и программы.

Пользователи могут устанавливать профили конфигурации напрямую

на устройства с помощью Apple Configurator. Профили также можно загружать через Safari, отправлять по электронной почте или по беспроводной сети, используя сервер MDM.

Управление мобильными устройствами (MDM)

iOS поддерживает MDM, благодаря чему компании могут выполнять безопасную настройку и широко использовать iPhone и iPad во всех своих подразделениях. Работа функций MDM основана на существующих технологиях iOS, таких как профили конфигурации, регистрация по беспроводной сети и служба Apple Push Notification (APNs). Например, APNs используется для вывода устройства из режима сна, чтобы оно могло напрямую связаться с сервером MDM через безопасное соединение. Конфиденциальная или корпоративная информация через APNs

не передается.

Используя MDM, отделы ИТ могут безопасно внедрять устройства в корпоративную среду, устанавливать и обновлять настройки по беспроводной сети, следить за соответствием корпоративным политикам и даже удаленно стирать данные или блокировать управляемые устройства. Подробнее об управлении мобильными устройствами см. на странице https://www.apple.com/iphone/business/it/management.html.

Программа регистрации устройств

Программа регистрации устройств (DEP) предоставляет быстрый и эффективный способ развертывания устройств iOS, которые организация купила непосредственно в компании Apple, у авторизованных реселлеров Apple или

у операторов. Регистрацию устройств в MDM можно выполнить автоматически — организации не нужно будет прикасаться к устройствам или готовить их перед передачей пользователям. Также можно упростить процесс настройки для пользователей, убрав из Ассистента настройки определенные шаги, чтобы помочь пользователям быстро приступить к работе. Администраторы могут указать, разрешено ли пользователям удаление профиля MDM с устройства. Например, администраторы могут заказать устройства в Apple и задать все настройки управления, после чего устройства будут доставлены пользователям на дом. После распаковки и активации устройства оно регистрируется в системе MDM организации — и все управляемые настройки, программы и книги добавляются автоматически, так что пользователь может сразу начать работу.

Процесс очень прост. После регистрации в программе администратору необходимо войти в систему веб-сайта программы, связать программу со своим сервером MDM и «заявить» устройства iOS, купленные в компании Apple.

Затем можно назначить устройства пользователям через MDM. После назначения пользователя выполняется автоматическая установка конфигурации, ограничений и параметров управления, заданных в MDM. Подробнее см. на странице https://deploy.apple.com.

Примечание. Программа регистрации устройств доступна не во всех странах и регионах.

Apple Configurator

Apple Configurator для OS X является еще одним средством (помимо MDM) для удобного развертывания устройств iOS. С помощью Apple Configurator можно быстро настроить большое количество устройств, а также установить на них нужные программы и записать нужные данные. Устройства, изначально

настроенные с помощью Apple Configurator, можно сделать «контролируемыми» для применения дополнительных ограничений и настроек. Если устройство контролируется с помощью Apple Configurator, все доступные настройки

и ограничения можно также установить по беспроводной сети через MDM.

Дополнительную информацию о настройке и управлении устройствами с помощью MDM и Apple Configurator см. в Справочном руководстве по развертыванию iOS

на странице https://help.apple.com/deployment/ios.