Implementatie van iPhone en iPad Mobielapparaatbeheer (MDM)
iOS biedt ondersteuning voor het centrale beheer van mobiele apparatuur (Mobile Device Management, MDM), zodat bedrijven de gefaseerde implementatie van iPhones en iPads in hun organisatie kunnen regelen. Deze MDM-voorzieningen zijn gebaseerd op bestaande iOS-technologieën, zoals configuratieprofielen, draadloze aanmelding en de pushmeldingvoorziening van Apple, en kunnen worden geïntegreerd in serveroplossingen van andere leveranciers. Hierdoor kan de IT-afdeling iPhones en iPads op een veilige manier opnemen in de bedrijfsomgeving, de instellingen draadloos configureren en bijwerken, controleren of aan het bedrijfsbeleid wordt voldaan en zelfs op afstand de gegevens van beheerde apparaten wissen of de toegang ertoe met een code beveiligen.
iPhone en iPod beheren iOS-apparaten worden beheerd via een verbinding met een MDM-server. Deze server kan een door de IT-afdeling in-house gebouwde server zijn, of een server van een externe leverancier. Het apparaat meldt zich, controleert of er niet-uitgevoerde taken zijn en reageert met de juiste handelingen. Voorbeelden van handelingen zijn het bijwerken van het beleid, het doorgeven van de gevraagde apparaat- of netwerkinformatie en het verwijderen van instellingen en gegevens. De meeste beheerfuncties worden achter de schermen uitgevoerd, zodat de gebruiker er verder niet aan te pas komt. Als de IT-afdeling bijvoorbeeld de VPN-infrastructuur aanpast, kan de MDM-server iPhone en iPad via de ether voorzien van nieuwe accountgegevens. De eerstvolgende keer dat de werknemer gebruikmaakt van VPN, is de juiste configuratie al ingesteld. Hij hoeft dus niet te bellen met een helpdesk of de instellingen zelf aan te passen. Firewall
Pushmeldingvoorziening van Apple
MDM-server van andere leverancier
2
MDM en de pushmeldingvoorziening van Apple Als een MDM-server wilt communiceren met een iPhone of iPad, stuurt deze via de pushmeldingvoorziening van Apple een stil verzoek naar het apparaat om zich aan te melden bij de server. Hierbij worden geen vertrouwelijke gegevens van of naar de pushmeldingvoorziening verstuurd. De pushmelding schakelt alleen de sluimerstand op het apparaat uit, zodat het zich aanmeldt bij de MDM-server. Alle configuratiegegevens, instellingen en verzoeken worden direct vanaf de server naar het iOS-apparaat gestuurd via een versleutelde SSL/TLS-verbinding tussen het apparaat en de MDM-server. Aangezien iOS alle verzoeken en handelingen voor mobielapparaatbeheer op de achtergrond uitvoert, merkt de gebruiker hier nagenoeg niets van; de levensduur van de batterij, de prestaties en de betrouwbaarheid blijven onveranderd.
iOS en SCEP iOS is compatibel met SCEP (Simple Certificate Enrollment Protocol). SCEP is een internetconcept binnen de IETF, en is bedoeld om de distributie van certificaten naar grote groepen gebruikers te vereenvoudigen. Hiermee worden identiteitscertificaten draadloos op iPhone en iPad aangemeld, waarna deze kunnen worden gebruikt voor de identiteitscontrole die toegang geeft tot bedrijfsvoorzieningen.
De server voor pushmeldingen kan alleen opdrachten van de MDM-server herkennen als op de server een certificaat is geïnstalleerd. Dit certificaat moet via de Apple Push Certificates-portal zijn aangevraagd en gedownload. Zodra het certificaat naar de MDM-server is geüpload, kunnen de apparaten worden aangemeld. Ga naar www.apple.com/business/mdm voor meer informatie over het aanvragen van een Apple Push Notification-certificaat voor MDM. Netwerkconfiguratie voor pushmeldingvoorziening van Apple Als de MDM-servers en iOS-apparaten achter een firewall zitten, moeten mogelijk enige netwerkconfiguratiestappen worden uitgevoerd om ervoor te zorgen dat de MDM-voorziening goed werkt. Om meldingen vanaf een MDM-server naar de pushmeldingvoorziening van Apple te kunnen sturen, moet TCP-poort 2195 open staan. Om de feedbackservice te kunnen bereiken, moet ook TCP-poort 2196 open staan. TCP-poort 5223 moet open staan voor apparaten die via Wi-Fi verbinding maken met de pushvoorziening. De reeks IP-adressen voor de pushvoorziening kan worden gewijzigd; een MDMserver zal waarschijnlijk met de hostnaam verbinding maken en niet met het IP-adres. De pushvoorziening maakt gebruik van een load-balancingschema, waardoor een hostnaam niet altijd hetzelfde IP-adres heeft. Deze hostnaam is gateway.push.apple. com (en gateway.sandbox.push.apple.com voor de ontwikkelomgeving van de pushmeldingvoorziening). Bovendien is het gehele adresblok 17.0.0.0/8 toegewezen aan Apple, zodat firewallregels op dit specifieke bereik kunnen worden ingesteld. Neem voor meer informatie contact op met uw MDM-leverancier of raadpleeg Technical Note TN2265 in de iOS Developer Library op http://developer.apple.com/ library/ios/#technotes/tn2265/_index.html.
Aanmelding Zodra de MDM-server en het netwerk zijn geconfigureerd, moet een iPhone of iPad eerst bij de MDM-server worden aangemeld. Hierdoor ontstaat een link tussen het apparaat en de server, waardoor het op elk gewenst moment kan worden beheerd zonder tussenkomst van de gebruiker. De aanmelding kan worden gedaan door iPhone of iPad via USB op een computer aan te sluiten, maar doorgaans wordt de aanmelding draadloos uitgevoerd. Sommige MDM-leveranciers gebruiken een app om dit proces te starten; andere sturen gebruikers door naar een webportal. Beide methoden hebben zo hun voordelen en beide worden gebruikt om de aanmelding via de ether met Safari uit te voeren.
3
De verschillende fasen van de aanmeldingsprocedure Het proces voor draadloze aanmelding kent verschillende fasen, die tot een geautomatiseerde workflow zijn gecombineerd die een schaalbare manier biedt om apparaten veilig in een bedrijfsomgeving aan te melden. Dit zijn de fasen: 1. Controle van de identiteit van de gebruiker De identiteitscontrole garandeert dat binnenkomende aanmeldingsverzoeken afkomstig zijn van geautoriseerde gebruikers en dat de gegevens van het apparaat van de gebruiker eerst worden vastgelegd voordat wordt overgegaan tot de volgende fase, de certificaataanmelding. De beheerder kan gebruikers een e-mail, sms en zelfs een app sturen met het verzoek de aanmeldingsprocedure te starten. Ook kan hij de gebruiker vragen de procedure te starten via een webportal. 2. Certificaataanmelding Zodra de identiteit van de gebruiker is gecontroleerd, genereert iOS een verzoek voor certificaataanmelding via het Simple Certificate Enrollment Protocol (SCEP). Dit aanmeldingsverzoek wordt rechtstreeks naar de certificaatautoriteit (CA) van het bedrijf gestuurd, en stelt iPhone en iPad in staat om het identiteitscertificaat van de CA te ontvangen. 3. Configuratie van het apparaat Zodra het identiteitscertificaat is geïnstalleerd, kan het apparaat de versleutelde configuratiegegevens draadloos ontvangen. Deze gegevens kunnen alleen worden geïnstalleerd op het apparaat waarvoor ze geldig zijn, en bestaan onder andere uit de instellingen om verbinding met de MDM-server te maken. Aan het einde van de aanmeldingsprocedure ziet de gebruiker een installatiescherm met daarin een omschrijving van de toegangsrechten van de MDM-server op het apparaat. Als de gebruiker akkoord gaat met de installatie van het profiel, wordt het apparaat zonder verdere interventie van de gebruiker automatisch aangemeld. Zodra iPhone en iPad zijn aangemeld als beheerde apparaten, kunnen ze dynamisch worden geconfigureerd met instellingen, informatieverzoeken ontvangen en zelfs op afstand door de MDM-server worden gewist.
Configuratie Om een apparaat met accounts, beleidsinstellingen en beperkingen te configureren, stuurt de MDM-server bestanden in de vorm van configuratieprofielen naar het apparaat. Deze profielen worden automatisch geïnstalleerd. Configuratieprofielen zijn XML-bestanden die instellingen bevatten waarmee het apparaat verbinding kan maken met de bedrijfssystemen, zoals accountgegevens, het wachtwoordbeleid, beperkingen en andere apparaatinstellingen. Wanneer een configuratieprofiel in combinatie met de bovengenoemde aanmeldingsprocedure wordt gebruikt, weet de systeembeheerder zeker dat alleen geautoriseerde gebruikers toegang hebben tot de bedrijfsvoorzieningen, en dat hun apparatuur is geconfigureerd met de juiste beleidsinstellingen. En omdat een configuratieprofiel kan worden ondertekend en versleuteld, kunnen de instellingen niet worden gewijzigd en ook niet worden gedeeld met anderen.
4
Ondersteunde configuratieinstellingen Accounts • Exchange ActiveSync • IMAP- of POP-e-mail • Wi-Fi • VPN • LDAP • CardDAV • CalDAV • Agenda-abonnementen Toegangscodebeleid • Toegangscode op apparaat vereist • Eenvoudige waarde toestaan • Alfanumerieke waarde vereist • Minimumlengte toegangscode • Minimum aantal complexe tekens • Maximumgebruiksduur toegangscode • Automatisch slot • Geschiedenis van toegangscodes • Geldigheid van toegangscodes bij vergrendeling • Maximum aantal mislukte pogingen Beveiliging en privacy • Toestaan dat diagnostische gegevens naar Apple worden verstuurd • Toestaan dat gebruikers niet-vertrouwde certificaten accepteren • Versleutelde reservekopieën afdwingen Overige instellingen • Verificatiegegevens • Webknipsels • SCEP-instellingen • APN-instellingen
Functionaliteit van apparaat • Apps installeren toestaan • Gebruik van Siri toestaan • Gebruik van camera toestaan • Gebruik van FaceTime toestaan • Schermafbeeldingen maken toestaan • Automatisch synchroniseren tijdens roaming toestaan • Voicedialing toestaan • Aankopen vanuit apps toestaan • Store-wachtwoord verplicht voor alle aankopen • Multiplayergames toestaan • Vrienden toevoegen in Game Center toestaan Apps • Gebruik van YouTube toestaan • Gebruik van iTunes Store toestaan • Gebruik van Safari toestaan • Beveiligingsvoorkeuren in Safari instellen iCloud • Het maken van reservekopieën toestaan • Synchronisatie van documenten en sleutelwaarden toestaan • Fotostream toestaan Beoordelingen • Expliciete muziek en podcasts toestaan • Regio voor classificaties instellen • Toegestane classificaties instellen
5
Gegevens opvragen van apparaten Een MDM-server kan apparaten niet alleen configureren, maar ze ook benaderen om een verscheidenheid aan informatie op te vragen. Deze informatie kan worden gebruikt om ervoor te zorgen dat de apparaten aan het vereiste beleid blijven voldoen.
Ondersteunde opvraagopties Informatie over het apparaat • Unique Device Identifier (UDID) • Naam van het apparaat • iOS- en buildversie • Modelnaam en -nummer • Serienummer • Capaciteit en vrije ruimte • IMEI • Modemfirmware • Batterijniveau Netwerkgegevens • ICCID • MAC-adressen voor Bluetooth® en Wi-Fi • Huidig providernetwerk • Providernetwerk van abonnees • Versie van de providerinstellingen • Telefoonnummer • Instelling voor dataroaming (aan/uit)
Compliance- en beveiligingsgegevens • Geïnstalleerde configuratieprofielen • Geïnstalleerde certificaten met een vervaldatum • Lijst met alle ingestelde beperkingen • Hardwareversleutelingsopties • Toegangscode aanwezig Apps • Geïnstalleerde apps (app-ID, naam, versie, grootte en grootte van de appgegevens) • Geïnstalleerde voorzieningenprofielen met een vervaldatum
Beheer Dankzij mobielapparaatbeheer kan een MDM-server een aantal functies uitvoeren op iOS-apparaten, zoals configuratie- en voorzieningenprofielen installeren en verwijderen, apps beheren, de MDM-relatie beëindigen en een apparaat op afstand wissen. Beheerde instellingen Tijdens de eerste configuratiestappen van een apparaat pusht de MDM-server configuratieprofielen naar iPhone en iPad. Deze worden op de achtergrond geïnstalleerd. In de loop der tijd zal het nodig zijn om deze eerste (beleids)instellingen bij te werken of anderszins te wijzigen. Dat kan een MDM-server op elk gewenst moment doen door nieuwe configuratieprofielen te installeren of bestaande profielen te verwijderen. Bovendien kan het voorkomen dat er contextspecifieke configuraties op iOS-apparaten moeten worden geïnstalleerd, afhankelijk van de locatie of functie van de gebruiker binnen het bedrijf. Stel dat een gebruiker naar het buitenland reist. Dan kan de MDM-server afdwingen dat e-mailaccounts handmatig in plaats van automatisch worden gesynchroniseerd. Een MDM-server kan zelfs op afstand voiceof gegevensabonnementen uitschakelen om te voorkomen dat een gebruiker wordt opgezadeld met roamingkosten van een aanbieder van draadloze diensten. Beheerde apps Een MDM-server kan apps van andere fabrikanten uit de App Store en interne apps van bedrijven beheren. De server kan on demand beheerde apps en de bijbehorende gegevens verwijderen. Ook kan worden ingesteld of de apps moeten worden verwijderd als het MDM-profiel wordt verwijderd. Bovendien kan de MDM-server ervoor zorgen dat er van de gegevens van beheerde apps geen reservekopie in iTunes of iCloud wordt gemaakt.
6
Om een beheerde app te installeren, stuurt de MDM-server een installatieverzoek naar het apparaat van de gebruiker. Voor de installatie van beheerde apps moet de gebruiker eerst toestemming geven. Wanneer een MDM-server een verzoek doet voor de installatie van een beheerde app uit de App Store, wordt de app opgehaald met de iTunes-account die tijdens de installatie van de app wordt gebruikt. Voor betaalde apps moet de MDM-server een VPP-code (Volume Purchasing Program) versturen. Raadpleeg voor meer informatie over VPP de website www.apple. com/business/vpp/. Apps uit de App Store kunnen niet op een apparaat worden geïnstalleerd als de App Store op het apparaat is uitgeschakeld.
De relatie met een apparaat beëindigen of een apparaat op afstand wissen Wanneer een apparaat niet meer voldoet aan de voorwaarden, kwijt is geraakt, is gestolen, of wanneer een werknemer het bedrijf verlaat, kan een MDM-server de bedrijfsgegevens op verschillende manieren beveiligen. Een IT-beheerder kan de MDM-relatie met een apparaat beëindigen door het configuratieprofiel met de MDM-servergegevens te verwijderen. Hierbij worden alle accounts, instellingen en apps die door tussenkomst van de MDM-server zijn geïnstalleerd, verwijderd. De IT-beheerder kan het MDM-configuratieprofiel ook behouden en MDM alleen gebruiken om specifieke configuratieprofielen, voorzieningenprofielen en beheerde apps te verwijderen. Hierbij wordt het apparaat nog altijd beheerd door MDM en hoeft de IT-beheerder het apparaat niet meer opnieuw aan te melden als het weer in gebruik wordt genomen. Bij beide methoden kan de IT-beheerder ervoor zorgen dat gegevens alleen beschikbaar zijn voor geautoriseerde gebruikers en apparaten. Bovendien kan hij ervoor zorgen dat bedrijfsgegevens van het apparaat worden verwijderd, terwijl de persoonlijke gegevens van gebruikers, zoals muziek, foto's en persoonlijke apps, erop kunnen blijven staan. Om al het mediamateriaal en gegevens op het apparaat permanent te verwijderen en de fabrieksinstellingen te herstellen, kan MDM de iPhone of iPad op afstand wissen. Als een gebruiker nog steeds op zoek is naar het apparaat, kan de ITbeheerder dit ook op afstand vergrendelen. Hierbij wordt het scherm vergrendeld en moet een toegangscode worden opgegeven om dit te ontgrendelen. Als een gebruiker de toegangscode is vergeten, kan de MDM-server deze van het apparaat verwijderen en de gebruiker vragen binnen 60 minuten een nieuwe code in te stellen.
Ondersteunde beheercommando's Beheerde instellingen • Configuratieprofiel installeren • Configuratieprofiel verwijderen • Dataroaming • Voiceroaming (niet bij alle providers beschikbaar) Beheerde apps • Beheerde apps installeren • Beheerde apps verwijderen • Lijst van alle beheerde apps • Voorzieningenprofiel installeren • Voorzieningenprofiel verwijderen Beveiligingscommando's • Wissen op afstand • Op afstand vergrendelen • Toegangscode wissen
7
Procesoverzicht In dit voorbeeld ziet u een algemene implementatie van een MDM-server. 1
Firewall
3
2 4 Pushmeldingvoorziening van Apple
MDM-server van andere leverancier
5
1
Een configuratieprofiel met MDM-servergegevens wordt naar het apparaat gestuurd. De gebruiker krijgt informatie over de componenten die centraal door de server zullen worden beheerd en/of opgevraagd.
2
De gebruiker installeert het profiel en zorgt er op die manier voor dat het apparaat kan worden beheerd.
3
De aanmelding van het apparaat gebeurt op het moment dat het profiel wordt geïnstalleerd. De server valideert het apparaat en verleent vervolgens toegang.
4
De server stuurt een pushmelding naar het apparaat om zich te melden bij de server voor niet-uitgevoerde taken of informatieverzoeken.
5
Het apparaat maakt rechtstreeks verbinding met de server via HTTPS. De server stuurt commando's of een verzoek om informatie.
Ga voor meer informatie over mobielapparaatbeheer naar www.apple.com/business/mdm.
© 2011 Apple Inc. Alle rechten voorbehouden. Apple, het Apple logo, FaceTime, iPad, iPhone, iTunes en Safari zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. iCloud en iTunes Store zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. App Store is een dienstmerk van Apple Inc. Het woordmerk Bluetooth en de Bluetooth-logo's zijn gedeponeerde handelsmerken in eigendom van Bluetooth SIG, Inc. Elk gebruik hiervan door Apple valt onder de licentiebepalingen. UNIX is een gedeponeerd handelsmerk van The Open Group. Andere product- en bedrijfsnamen die worden genoemd, kunnen handelsmerken zijn van hun respectieve eigenaars. Productspecificaties kunnen zonder voorafgaande kennisgeving worden gewijzigd. Oktober 2011 L422501B-NL