在我的公司,我们刚刚将 IT 和 MDM 外包出去,不得不重新考虑是否允许在 Macbook 上使用个人 Apple 帐户。我们的开发人员(全部使用 Mac)的本地管理员权限已被撤销,MSP 现在拥有所有机器的管理员访问权限。
目前尚不清楚单独的本地管理员帐户(可能可以访问 root)是否可以访问用户的 Apple ID 帐户、钥匙串或本地同步的 iCloud 目录。常识告诉我们可以,因为 root 就是 root;但我知道 macOS 上 root 之上还有其他级别的访问控制,有人能给出明确的答案吗?
(我不想讨论在公司机器上使用个人/公司 AppleID 的优点,或者开发人员是否应该有本地管理员,这些话题已经被讨论过了。)
简短回答:MSP 管理员至少可以访问所有用户的文件(包括存储在 iCloud 中的文件),但不能访问用户的钥匙串。
长答案:macOS 的最新版本增加了一些非常强大的隐私保护层,但它们的重点是保护用户免受他们安装的软件的侵害。如果某个应用想要访问您帐户中受隐私保护的数据(例如联系人、照片、主目录许多部分的文件等),它必须请求用户授予其权限。请参阅“macOS Mojave 实施了哪些措施以及如何限制应用访问个人数据?”(但请注意,自 Mojave 以来,保护措施已经得到扩展)。
但这些措施都是为了保护用户免受其应用程序(以及应用程序开发人员)的侵害,而不是保护用户免受同一系统上其他用户的侵害。保护用户免受其他用户的侵害完全基于常规文件权限,root 可以像往常一样绕过这些权限。管理员可能需要在隐私控制中授予他们正在使用的应用程序“完全磁盘访问”之类的权限,但作为管理员,他们可以这样做。他们可能还无法获取尚未同步到本地磁盘的 iCloud 文件,但我不会指望这能提供任何真正的保护。
注意:root 并不是万能的,因为还有另一个保护层,即系统完整性保护(“SIP”),但它(顾名思义)保护的是操作系统,而不是用户数据。
钥匙串则不同,因为它们是加密存储的(基于用户的登录密码,因此当用户登录时可以自动解锁)。即使解锁,对钥匙串的访问也受到严格控制(并且控件受 SIP 保护)。我不会说管理员不可能访问其他用户的钥匙串,但我认为需要非常极端的方法,例如安装键盘记录器来捕获用户的密码或间谍软件内核扩展(尽管 Apple 也限制了这些)。
顺便说一句,我想到了一种折中方法:如果他们愿意,您的开发人员可以创建额外的 iCloud 帐户用于工作,让他们成为他们个人帐户“家庭”的成员,并使用家庭共享来允许部分访问他们自己的 iCloud 数据(和购买的应用程序)。我很确定苹果不赞成这种方法,但我认为它不会造成任何真正的伤害。
BTW2,您还应该知道,Apple 支持两种不同级别的 MDM 注册,即受监督和无监督注册。监督本质上是针对公司拥有的设备,并授予 MDM 系统对客户端设备的更多控制和访问权限,而这在 BYOD 场景中并不适用。请参阅“关于 Apple 设备监督”和“受监督 Apple 设备的 MDM 限制”。明智选择。