A partire dalla versione 17.4 di iOS, Apple ha dovuto applicare cambiamenti sostanziali al proprio sistema operativo per gli utenti dell’Unione Europea; queste modifiche riguardano ad esempio la possibilità di scaricare app da marketplace alternativi, impostare browser di terze parti come predefiniti e sfruttare l’NFC per pagamenti contactless diversi da Apple Pay.
Questo cambio di rotta rispetto al passato è dovuto alla necessità di Apple di adeguarsi a normative europee pensate per garantire una concorrenza leale sulle piattaforme digitali; questa serie di norme prendono il nome di Digital Markets Act (DMA).
Sebbene questo cambiamento offra nuove possibilità agli utenti in ambito consumer, al tempo stesso, vengono a generarsi notevoli criticità all’interno delle organizzazioni che gestiscono dispositivi iOS.
In questo articolo andremo a vedere come inibire l’utilizzo di marketplace alternativi attraverso Microsoft Intune.
Panoramica
Come riportato dall’Unione Europea, “il regolamento sui mercati digitali mira a garantire la competitività e l’equità del settore digitale nell’ottica di promuovere l’innovazione, prodotti e servizi digitali di elevata qualità e prezzi equi per i consumatori.”; l’introduzione di tali norme è finalizzata a contrastare contrastare le cosiddette “gatekeeper”: le gatekeeper sono piattaforme digitali con oltre 45 milioni di utenti finali attivi al mese e con un fatturato di almeno 7,5 miliardi di euro negli ultimi tre esercizi finanziari.
Inevitabilmente, le opzioni introdotte dalla nuova versione del sistema operativo creano notevoli rischi per gli utenti Apple; a tal proposito, l’azienda di Cupertino ha iniziato ad adottare misure per ridurre al minimo tali rischi introducendo ulteriori funzionalità come ad esempio:
- Notarization for iOS apps: processo di controllo che, attraverso una combinazione di controlli automatizzati e revisione umana, garantisce che le app siano prive di malware, virus o altre minacce conosciute.
- App installation sheets: fornisce descrizioni delle app e delle loro funzionalità prima del download; vengono inoltre riportate informazioni sullo sviluppatore, eventuali screenshot e altre informazioni essenziali.
- Authorization for marketplace developers: garantisce che gli sviluppatori del marketplace si impegnino a rispettare i requisiti necessari per proteggere utenti e sviluppatori.
- Additional malware protections: impedisce l’avvio delle app iOS se vengono identificati malware dopo essere state installate sul device.
Nonostante le azioni messe in atto da parte di Apple per mitigare i rischi generati dalle nuove funzionalità, le aziende che devono gestire questi device potrebbero aver la necessità di inibire l’installazione da marketplace che non sia quello ufficiale Apple.
Creazione profilo di configurazione
Il primo passo per poter bloccare l’accesso a marketplace alternativi è la creazione di un profilo di configurazione custom (mobileconfig); una volta completata tale procedura, sarà possibile distribuire tale profilo sui propri device aziendali attraverso Microsoft Intune.
E’ possibile utilizzare il file XML sotto riportato e salvare il contenuto in formato .mobileconfig:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>allowMarketplaceAppInstallation</key>
<false />
<key>PayloadDisplayName</key>
<string>Restrictions</string>
<key>PayloadIdentifier</key>
<string>com.apple.applicationaccess.70fb5c05-6238-4a50-a413-07e2f4d42267</string>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>PayloadUUID</key>
<string>ee419f81-0cdf-4b9c-9e38-34fab9754085</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>MarketplaceRestriction</string>
<key>PayloadIdentifier</key>
<string>com.lab.MarketplaceRestriction</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>b4166f49-fde8-41f5-81f2-cfa0ef41f95e</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Procediamo ora con la predisposizione del profilo di configurazione sulla piattaforma Microsoft Intune:
- Accedere alla console Microsoft Intune admin center con credenziali amministrative
- Selezionare Devices – iOS/iPadOS
- Selezionare l’opzione Configuration profiles
- Premere sul pulsante Create e selezionare l’opzione New Policy
- Dal menu a tendina Profile type, selezionare la voce Templates e, successivamente, premere su Custom
- Procedere con il wizard attraverso il pulsante Create
- Assegnare un nome ed un’eventuale descrizione al profilo di configurazione
- Inserire il nome che si vuole assegnare al profilo
- Attraverso l’apposito pulsante di browse, caricare il file mobileconfig creato in precedenza
- Una volta caricato il file, premere sul pulsante Next
- Assegnare il profilo a tutti i device oppure ad un subset di dispositivi attraverso un apposito gruppo Entra ID
- Premere nuovamente sul pulsante Next
- Completare il processo di creazione attraverso il pulsante Create
Riferimenti
Si riportano alcuni utili riferimenti alle documentazioni ufficiali:
- Infographic – Digital Markets Act
- Apple announces changes to iOS, Safari, and the App Store in the European Union
- Use custom settings for iOS and iPadOS devices in Microsoft Intune
Conclusioni
L’introduzione dei cambiamenti nell’ecosistema iOS a partire dalla versione 17.4, in risposta alle normative europee del Digital Markets Act (DMA), rappresenta un passo significativo verso una maggiore concorrenza e trasparenza nei mercati digitali. Sebbene tali modifiche offrano agli utenti finali nuove possibilità, come la scelta di marketplace alternativi e browser di terze parti, generano al contempo sfide significative per le organizzazioni che gestiscono dispositivi iOS.
Attraverso una soluzione MDM come Microsoft Intune, le aziende sono in grado di mitigare eventuali rischi generati da applicazioni non sicure.