iOS-implementatie Technische referentiehandleiding iOS 7 Februari 2014
Technische referentiehandleiding voor iOS-implementatie
Inhoud Pagina 3
Inleiding
Pagina 4
Hoofdstuk 1: Integratie
Pagina 4
Microsoft Exchange
Pagina 6
Op standaarden gebaseerde voorzieningen
Pagina 6
Wi-Fi
Pagina 7
Virtual Private Networks
Pagina 13
App-gebonden VPN
Pagina 13
Eenmalige aanmelding
Pagina 14
Digitale certificaten
Pagina 15
Bonjour
Pagina 16
Hoofdstuk 2: Beveiliging
Pagina 16
Apparaatbeveiliging
Pagina 18
Versleuteling en beveiliging van gegevens
Pagina 20
Netwerkbeveiliging
Pagina 20
Beveiliging van apps
Pagina 21
Internetservices
Pagina 24 Hoofdstuk 3: Configuratie en beheer Pagina 24
Configuratie en activering van apparaten
Pagina 25
Configuratieprofielen
Pagina 25
Mobiel-apparaatbeheer (MDM)
Pagina 28
Aanmelding en supervisie van apparaten
Pagina 30 Hoofdstuk 4: Distributie van apps Pagina 30
Volume Purchase Program
Pagina 32
B2B-apps op maat
Pagina 32
Interne apps
Pagina 34
Apps implementeren
Pagina 35
Caching Server
Pagina 37 Bijlage A: Wi-Fi-infrastructuur Pagina 40 Bijlage B: Beperkingen Pagina 42 Bijlage C: Draadloos interne apps installeren
2
Technische referentiehandleiding voor iOS-implementatie
Inleiding Deze handleiding is bedoeld voor IT-beheerders die iOS-apparaten op hun netwerk willen ondersteunen. De handleiding biedt informatie over de implementatie en ondersteuning van iPhone, iPad en iPod touch in grote organisaties zoals ondernemingen of onderwijsinstellingen. Er wordt uitgelegd hoe iOS-apparaten uitgebreide beveiliging bieden, met uw bestaande infrastructuur geïntegreerd kunnen worden en krachtige hulpmiddelen voor implementatie vormen. Een goed begrip van de belangrijkste technologieën die door iOS ondersteund worden, dragen bij aan de uitvoering van een implementatiestrategie die uw gebruikers een optimale ervaring biedt. De volgende hoofdstukken dienen als een technische referentiehandleiding voor de implementatie van iOS-apparaten binnen uw organisatie: Integratie. iOS-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid aan netwerkinfrastructuren. In dit gedeelte leert u meer over de door iOS ondersteunde technologieën en beproefde methoden voor de integratie met Microsoft Exchange, Wi-Fi, VPN en andere standaardvoorzieningen. Beveiliging. iOS is ontworpen met het oog op veilige toegang tot bedrijfsservices en de beveiliging van belangrijke gegevens. iOS biedt krachtige codering voor gegevensoverdracht, beproefde methoden voor identiteitscontrole voor toegang tot bedrijfsvoorzieningen en hardwarecodering voor alle opgeslagen gegevens. In dit hoofdstuk leest u meer over de beveiligingsvoorzieningen van iOS. Configuratie en beheer. iOS biedt ondersteuning voor geavanceerde tools en technologieën waarmee iOS-apparaten eenvoudig in te stellen zijn, naar uw eisen geconfigureerd kunnen worden, en moeiteloos in een grootschalige omgeving beheerd kunnen worden. In dit hoofdstuk vindt u een beschrijving van de verschillende beschikbare tools voor implementatie en een overzicht van mobiel-apparaatbeheer (MDM, Mobile Device Management) en het Device Enrollment Program. Distributie van apps. Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie kunt implementeren. Met programma's van Apple zoals het Volume Purchase Program en het iOS Developer Enterprise Program kan uw organisatie apps voor de interne gebruikers kopen, ontwikkelen en implementeren. In dit hoofdstuk vindt u gedetailleerde informatie over deze programma's en de manier waarop apps voor intern gebruik kunnen worden gekocht of gebouwd. De volgende bijlagen bevatten aanvullende technische gegevens en vereisten: Wi-Fi-infrastructuur. Informatie over de Wi-Fi-standaarden die iOS ondersteunt en aandachtspunten bij de planning van een grootschalig Wi-Fi-netwerk. Beperkingen. Gedetailleerde informatie over de beperkingen die u kunt gebruiken om iOS-apparaten te configureren volgens uw vereisten op het gebied van beveiliging, toegangscodes en ander beleid. Draadloos interne apps installeren. Details en vereisten voor de distributie van interne apps via uw eigen webportal.
Aanvullende bronnen Meer nuttige informatie is te vinden op de volgende websites: www.apple.com/nl/ipad/business/ www.apple.com/iphone/business/it www.apple.com/education/it 3
Technische referentiehandleiding voor iOS-implementatie
Hoofdstuk 1: Integratie iOS-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid aan netwerkinfrastructuren. Ze ondersteunen: • Veelgebruikte systemen van andere fabrikanten, zoals Microsoft Exchange • Integratie met op standaarden gebaseerde voorzieningen voor e-mail, adreslijsten, agenda's en andere systemen • Standaard-Wi-Fi-protocollen voor gegevensoverdracht, versleuteling • VPN (Virtual Private Network) waaronder app-gebonden VPN • Eenmalige aanmelding voor gestroomlijnde identiteitscontrole bij apps en diensten op het netwerk • Digitale certificaten voor gebruikersverificatie en beveiligde communicatie Aangezien deze ondersteuning in iOS is ingebouwd, hoeft uw IT-afdeling slechts een paar instellingen te configureren om iOS-apparaten in uw bestaande infrastructuur te integreren. Als u verder leest, vindt u meer informatie over door iOS ondersteunde technologieën en beproefde methoden voor integratie.
Microsoft Exchange iOS communiceert rechtstreeks met Microsoft Exchange Server via Microsoft Exchange ActiveSync (EAS), zodat u gebruik kunt maken van de pushtechnologie voor e-mail, agenda's, contactgegevens en taken. Daarnaast geeft EAS gebruikers toegang tot algemene adreslijsten en biedt EAS beheerders de mogelijkheid om een wachtwoordbeleid toe te passen en apparaten op afstand te wissen. iOS is compatibel met zowel de algemene als de op certificaten gebaseerde vorm van identiteitscontrole voor Exchange ActiveSync. Als uw bedrijf al met Exchange ActiveSync werkt, beschikt u over alle benodigde voorzieningen om iOS te ondersteunen. Daarvoor is verder geen extra configuratie nodig.
Vereisten Apparaten met iOS 7 of hoger ondersteunen de volgende versies van Microsoft Exchange: • Exchange Server 2003 SP 2 (EAS 2.5) • Exchange Server 2007 (met gebruikmaking van EAS 2.5) • Exchange Server 2007 SP 1 (EAS 12.1) • Exchange Server 2007 SP 2 (EAS 12.1) • Exchange Server 2007 SP 3 (EAS 12.1) • Exchange Server 2010 (EAS 14.0) • Exchange Server 2010 SP 1 (EAS 14.1) • Exchange Server 2010 SP 2 (met gebruikmaking van EAS 14.1) • Exchange Server 2013 (met gebruikmaking van EAS 14.1) • Office 365 (met gebruikmaking van EAS 14.1)
4
Technische referentiehandleiding voor iOS-implementatie
Microsoft Direct Push Exchange Server stuurt automatisch e-mails, taken, contactgegevens en agendaactiviteiten naar iOS-apparaten als er een mobiele dataverbinding of Wi-Fi-verbinding beschikbaar is. iPod touch-apparaten en sommige iPad-modellen die geen verbinding via een mobiel telecomnetwerk kunnen maken, moeten verbonden zijn met een Wi-Fi-netwerk om pushberichten te kunnen ontvangen.
Microsoft Exchange Autodiscovery iOS ondersteunt de Autodiscover-voorziening van Microsoft Exchange Server 2007 en Microsoft Exchange Server 2010. Wanneer u een apparaat handmatig configureert, bepaalt de Autodiscover-voorziening op basis van uw e-mailadres en wachtwoord wat de juiste gegevens voor de Exchange-server zijn. Zie Autodiscover Service voor meer informatie over de Autodiscover-voorzieningen.
Microsoft Exchange Global Address List iOS-apparaten halen gegevens van contactpersonen op uit de algemene adreslijst op de Exchange-server van het bedrijf. U kunt de adreslijst raadplegen wanneer u in Contacten naar contactpersonen zoekt. Ook worden deze adreslijsten automatisch gebruikt voor het aanvullen van e-mailadressen tijdens het typen. iOS 6 of hoger ondersteunt adreslijstfoto's (hiervoor is Exchange Server 2010 SP 1 of hoger vereist).
Niet-ondersteunde functies van Exchange ActiveSync De volgende Exchange-functies worden niet ondersteund: • Documenten openen op Sharepoint-servers via een koppeling in een e-mail • Een bericht instellen voor een automatisch antwoord bij afwezigheid
iOS-versies identificeren via Exchange Wanneer een iOS-apparaat verbinding maakt met een Exchange Server, wordt de iOS-versie van het apparaat bekendgemaakt. Het versienummer wordt verstuurd in het veld 'User Agent' in de titel van de aanvraag en heeft de volgende opbouw: Apple-iPhone2C1/705.018. Het cijfer achter het scheidingsteken (/) is het nummer van de iOS-build, uniek voor elke iOS-release. Om het buildnummer van een apparaat te bekijken, gaat u naar 'Instellingen' > 'Algemeen' > 'Info'. U ziet het versienummer en het buildnummer, bijvoorbeeld 4.1 (8B117A). Het nummer tussen haakjes is het buildnummer. Dit nummer geeft de release aan die op het apparaat wordt gebruikt. Wanneer het buildnummer naar de Exchange Server wordt verstuurd, wordt de structuur geconverteerd van NANNNA (waar N een numerieke waarde is en A een letter) naar de Exchange-structuur NNN.NNN. Hierbij blijven de numerieke waarden behouden, maar worden de letters geconverteerd naar hun positionele waarde in het alfabet. Zo wordt 'F' geconverteerd naar '06', omdat 'F' de zesde letter van het alfabet is. Cijfers worden indien nodig voorafgegaan door nullen om de reeks geschikt te maken voor de Exchange-structuur. Het buildnummer 7E18 wordt bijvoorbeeld geconverteerd naar 705.018. Het eerste cijfer, 7, blijft '7'. De letter E is de vijfde letter van het alfabet en wordt dus geconverteerd naar '05'. In de geconverteerde versie wordt een punt (.) toegevoegd zoals vereist bij deze structuur. Het volgende cijfer, 18, wordt voorafgegaan door een nul en wordt '018'. Als het buildnummer eindigt met een letter, bijvoorbeeld 5H11A, wordt het nummer geconverteerd zoals hierboven beschreven, maar worden vóór de numerieke waarde van de laatste letter drie nullen toegevoegd. 5H11A wordt dus 508.01100001.
5
Technische referentiehandleiding voor iOS-implementatie
Wissen op afstand U kunt de inhoud van een iOS-apparaat op afstand wissen met behulp van voorzieningen die door Exchange geboden worden. Hierbij worden alle configuratiegegevens en andere gegevens van het apparaat verwijderd. Het apparaat wordt op een veilige manier gewist en de fabrieksinstellingen worden hersteld. Bij het wissen wordt de coderingssleutel voor de gegevens (gecodeerd met 256-bitsAES-codering) verwijderd, waardoor de gegevens onmiddellijk niet meer kunnen worden hersteld. Met Microsoft Exchange Server 2007 of hoger kunt u een Remote Wipe uitvoeren via de Exchange Management Console, Outlook Web Access of Exchange ActiveSync Mobile Administration Web Tool. Met Microsoft Exchange Server 2003 kunt u een Remote Wipe uitvoeren via Exchange ActiveSync Mobile Administration Web Tool. Gebruikers kunnen hun apparaat ook zelf wissen door 'Instellingen' > 'Algemeen' > 'Stel opnieuw in' > 'Wis alle inhoud en instellingen' te kiezen. Het is ook mogelijk een apparaat zo te configureren dat het automatisch wordt gewist nadat er een bepaald aantal keren een onjuiste toegangscode is ingevoerd.
Op standaarden gebaseerde voorzieningen Dankzij ondersteuning voor het IMAP-mailprotocol, LDAP-adreslijstvoorzieningen, het CalDAV-agendaprotocol en het CardDAV-contactprotocol is iOS compatibel met vrijwel elke op standaarden gebaseerde omgeving. Als voor toegang tot het netwerk identiteitscontrole en SSL zijn ingesteld, kan via iOS op een veilige manier toegang worden verkregen tot op standaarden gebaseerde zakelijke e-mail, agenda's, taken en contactgegevens. iOS biedt ondersteuning voor SSL met 128-bits-codering en X. 509-certificaten afkomstig van de belangrijkste certificaatautoriteiten. In de meeste gevallen zal iOS e-mail draadloos versturen en ontvangen via een rechtstreekse verbinding met de IMAP- en SMTP-mailservers. Bovendien kunnen notities draadloos worden gesynchroniseerd met IMAP-servers. iOS-apparaten kunnen verbinding maken met de LDAPv3-adreslijsten van uw bedrijf, zodat gebruikers toegang hebben tot bedrijfsinformatie in de Mail-, Contacten- en Berichten-apps. Via synchronisatie met uw CalDAV-server kunnen gebruikers draadloos agendauitnodigingen aanmaken en accepteren, agenda-updates ontvangen en taken synchroniseren met de Herinneringen-app. En dankzij CardDAV-ondersteuning kunnen gebruikers de gegevens van contactpersonen in de vCard-structuur synchroon houden met uw CardDAV-server. Alle netwerkservers kunnen zich in een DMZsubnetwerk of achter een bedrijfsfirewall bevinden, of beide.
Wi-Fi iOS-apparaten kunnen standaard op een veilige manier verbinding maken met Wi-Fi-bedrijfsnetwerken of -gastnetwerken, zodat gebruikers snel en eenvoudig overal toegang kunnen hebben tot draadloze netwerken.
Aanmelden bij een Wi-Fi-netwerk Gebruikers kunnen instellen dat iOS-apparaten automatisch verbinding maken met beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit apps als Mail snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere gegevens vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te openen. En doordat de Wi-Fi-verbinding niet wordt verbroken en weinig batterijstroom vergt, kunnen apps via het Wi-Fi-netwerk pushberichten versturen.
6
Technische referentiehandleiding voor iOS-implementatie
WPA2-Enterprise iOS ondersteunt standaardprotocollen voor draadloze netwerken, waaronder WPA2-Enterprise, zodat draadloze bedrijfsnetwerken veilig kunnen worden benaderd vanaf iOS-apparaten. WPA2-Enterprise maakt gebruik van 128-bits AESversleuteling, een beproefde versleutelingsmethode op basis van blokken die een hoge mate van veiligheid biedt. Dankzij ondersteuning voor 802.1x-identiteitscontrole kan iOS in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd. iOS ondersteunt meerdere methoden voor draadloze 802.1x-identiteitscontrole, zoals EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 en LEAP.
Roaming Voor roaming op grote Wi-Fi-bedrijfsnetwerken biedt iOS ondersteuning voor 802.11k en 802.11r. Dankzij 802.11k, dat gebruikmaakt van de rapportages van de toegangspunten, kunnen iOS-apparaten gemakkelijker overgaan naar een ander Wi-Fi-toegangspunt. 802.11r stroomlijnt identiteitscontrole met 802.1x wanneer een apparaat van het ene naar het volgende toegangspunt gaat. De instellingen voor draadloze netwerken, beveiliging, proxy's en identiteitscontrole kunnen met behulp van configuratieprofielen of MDM worden ingesteld, zodat gebruikers snel aan de slag kunnen.
Virtual Private Networks Via de gebruikelijke VPN-protocollen kunt u afgeschermde bedrijfsnetwerken veilig benaderen vanaf een iOS-apparaat. iOS biedt standaard ondersteuning voor Cisco IPSec, L2TP over IPSec en PPTP. Als uw organisatie gebruikmaakt van een van deze protocollen, hoeft u uw netwerk verder niet te configureren en hebt u geen apps van andere fabrikanten nodig om op een iOS-apparaat verbinding te maken met uw VPN. Daarnaast biedt iOS ondersteuning voor SSL VPN van bekende VPN-aanbieders. De gebruiker hoeft alleen een VPN-clientapp van een van deze bedrijven uit de App Store te downloaden, en kan daarna meteen aan de slag. Net als bij de andere VPN-protocollen die door iOS worden ondersteund, kan SSL VPN handmatig op het apparaat geconfigureerd worden of via configuratieprofielen of MDM. iOS ondersteunt standaardtechnologieën als IPv6, proxyservers en split-tunneling, zodat gebruikers probleemloos gebruik kunnen maken van VPN om verbinding met het bedrijfsnetwerk te maken. Bovendien werkt iOS met verschillende methoden voor identiteitscontrole, waaronder wachtwoorden, twee-factorentokens en digitale certificaten. iOS ondersteunt VPN on Demand om de verbinding te bespoedigen in omgevingen waarin gebruik wordt gemaakt van identiteitscontrole op basis van certificaten. In iOS 7 kunnen individuele apps geconfigureerd worden om een VPN-verbinding te gebruiken – onafhankelijk van andere apps op het apparaat. Hierdoor gaan bedrijfsgegevens altijd via een VPN-verbinding terwijl andere gegevens, zoals van de persoonlijke apps uit de App Store van de gebruiker, buiten het VPN om gaan. Zie "App-gebonden VPN" verderop in dit hoofdstuk voor meer informatie.
Ondersteunde protocollen en methoden voor identiteitscontrole SSL VPN. Ondersteunt identiteitscontrole van gebruikers via een wachtwoord, twee-factorentoken of certificaten. Cisco IPSec. Ondersteunt identiteitscontrole via een wachtwoord en tweefactorentoken, en identiteitscontrole van apparaten via een gedeeld geheim en certificaten. 7
Technische referentiehandleiding voor iOS-implementatie
L2TP over IPSec. Ondersteunt identiteitscontrole via een MS-CHAP v2-wachtwoord en twee-factorentoken, en identiteitscontrole van apparaten via een gedeeld geheim. PPTP. Ondersteunt identiteitscontrole via een MS-CHAP v2-wachtwoord en tweefactorentoken.
SSL VPN-clients Verschillende SSL VPN-aanbieders hebben apps ontwikkeld waarmee het configureren van iOS-apparaten voor gebruik met hun oplossingen soepeler verloopt. Als u een apparaat voor gebruik met een specifieke oplossing wilt configureren, installeert u de bijbehorende app en zorgt u (optioneel) voor een configuratieprofiel met de benodigde instellingen. SSL VPN-oplossingen omvatten: • Juniper Junos Pulse SSL VPN. iOS biedt ondersteuning voor Juniper Networks SA Series SSL VPN Gateway met versie 6.4 of hoger met Juniper Networks IVE package 7.0 of hoger. Voor de configuratie installeert u de Junos Pulse-app, verkrijgbaar in de App Store. Ga voor meer informatie naar de site van Juniper Networks. • F5 SSL VPN. iOS ondersteunt F5 BIG-IP Edge Gateway-, Access Policy Manageren FirePass SSL VPN-toepassingen. Voor de configuratie installeert u de F5 BIG-IP Edge Client-app, verkrijgbaar in de App Store. Raadpleeg voor meer informatie het witboek van F5: Secure iPhone Access to Corporate Web Applications. • Aruba Networks SSL VPN. iOS ondersteunt Aruba Networks Mobility Controller. Voor de configuratie installeert u de Aruba Networks VIA-app, verkrijgbaar in de App Store. Contactgegevens zijn te vinden op de site van Aruba Networks. • SonicWALL SSL VPN. iOS ondersteunt SonicWALL Aventall E-Class Secure Remote Access-appliances met versie 10.5.4 of hoger, SonicWALL SRA-appliances met versie 5.5 of hoger en SonicWALL Next-Generation Firewall-appliances waaronder de TZ, NSA, E-Class NSA met SonicOS 5.8.1.0 of hoger. Voor de configuratie installeert u de SonicWALL Mobile Connect-app, verkrijgbaar in de App Store. Contactgegevens zijn te vinden op de site van SonicWALL. • Check Point Mobile SSL VPN. iOS ondersteunt de Check Point Security Gateway met een volledige Layer-3-VPN-tunnel. Voor de configuratie installeert u de Check Point Mobile-app, verkrijgbaar in de App Store. • OpenVPN SSL VPN. iOS biedt ondersteuning voor OpenVPN Access Server, Private Tunnel en OpenVPN Community. Voor de configuratie installeert u de OpenVPN Connect-app, verkrijgbaar in de App Store. • Palo Alto Networks GlobalProtect SSL VPN. iOS ondersteunt de GlobalProtectgateway van Palo Alto Networks. Voor de configuratie installeert u de GlobalProtect voor iOS-app, verkrijgbaar in de App Store. • Cisco AnyConnect SSL VPN. iOS biedt ondersteuning voor Cisco Adaptive Security Appliance (ASA) met software-versie 8.0(3).1 of hoger. Voor de configuratie installeert u de Cisco AnyConnect-app, verkrijgbaar in de App Store.
Richtlijnen voor VPN-configuratie Configuratierichtlijnen Cisco IPSec Aan de hand van deze richtlijnen kunt u de Cisco VPN-server configureren voor gebruik met iOS-apparaten. iOS biedt ondersteuning voor Cisco ASA 5500 Security Appliances en PIX Firewalls die zijn geconfigureerd met softwareversie 7.2.x of hoger. De meest recente softwarerelease (8.0x of hoger) wordt aanbevolen. Daarnaast biedt iOS ondersteuning voor Cisco IOS VPN-routers met IOS-versie 8
Technische referentiehandleiding voor iOS-implementatie
12.4(15)T of hoger. De VPN 3000 Series Concentrators bieden geen ondersteuning voor de VPN-voorzieningen van iOS. Proxyconfiguratie U kunt ook één VPN-proxy opgeven voor alle configuraties. Om voor alle verbindingen één proxy te configureren, tikt u op 'Handmatig' en geeft u het adres, de poort en indien nodig de identiteitscontrole op. Als u voor het apparaat een bestand voor automatische proxyconfiguraties op basis van PAC of WPAD wilt opgeven, tikt u op 'Autom.'. Voor automatische configuratie op basis van PAC geeft u de url van het PAC-bestand op. Voor automatische configuratie op basis van WPAD wordt op iOS gezocht naar de juiste instellingen. Methoden voor identiteitscontrole Voor iOS kunnen de volgende methoden voor identiteitscontrole worden gebruikt: • IPsec-identiteitscontrole op basis van een vooraf gedeelde sleutel met gebruikerscontrole via xauth. • Client- en servercertificaten voor IPsec-identiteitscontrole met optionele gebruikerscontrole via xauth. • Hybride identiteitscontrole waarbij de server een certificaat verstrekt en de client een vooraf gedeelde sleutel verstrekt voor IPsec-identiteitscontrole. Gebruikerscontrole via xauth is vereist. • Voor gebruikerscontrole wordt xauth gebruikt op basis van een van de volgende methoden: – Gebruikersnaam met wachtwoord – RSA SecurID – CRYPTOCard Identiteitscontrolegroepen Het Cisco Unity-protocol gebruikt identiteitscontrolegroepen om gebruikers te groeperen op basis van gemeenschappelijke parameters voor onder andere identiteitscontrole. U moet een identiteitscontrolegroep aanmaken voor gebruikers van iOS-apparaten. Voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel moet bij het configureren van de groepsnaam op het apparaat het gedeelde geheim van de groep (de vooraf gedeelde sleutel) als groepswachtwoord worden ingesteld. Voor identiteitscontrole op basis van certificaten wordt geen gedeeld geheim gebruikt. De identiteit van een gebruikersgroep wordt vastgesteld op basis van velden in het certificaat. U kunt de Cisco-serverinstellingen gebruiken om velden in een certificaat aan gebruikersgroepen te koppelen. RSA-Sig moet de hoogste prioriteit hebben in de ISAKMP-prioriteitenlijst. Certificaten Bij het configureren en installeren van certificaten is het volgende van belang: In het identiteitscertificaat van de server moet in het SubjectAltName-veld de DNSnaam en/of het IP-adres van de server zijn ingevuld. Op basis van deze informatie controleert het apparaat of het certificaat bij de server hoort. Voor meer flexibiliteit kunt u de SubjectAltName opgeven m.b.v. jokertekens, zoals 'vpn.*.mijnbedrijf.com', zodat de naam op meerdere servers van toepassing is. Als er geen SubjectAltName wordt opgegeven, kunt u de DNS-naam in het gewone naamveld invullen. Op het apparaat moet het certificaat zijn geïnstalleerd van de certificaatautoriteit die het servercertificaat heeft ondertekend. Als dit geen rootcertificaat is, moet u de rest van de vertrouwensketen installeren om ervoor te zorgen dat dit certificaat wordt vertrouwd. Als u gebruikmaakt van clientcertificaten, moet u ervoor zorgen dat op de VPN-server het certificaat is geïnstalleerd van de vertrouwde certificaat9
Technische referentiehandleiding voor iOS-implementatie
autoriteit die het clientcertificaat heeft ondertekend. Bij gebruik van identiteitscontrole op basis van certificaten moet de server zo zijn ingesteld dat deze de identiteit van de gebruikersgroep kan vaststellen op basis van velden in het clientcertificaat. De certificaten en certificaatautoriteiten moeten geldig zijn (ze mogen bijvoorbeeld niet verlopen zijn). Het versturen van een certificaatketen via de server wordt niet ondersteund. U moet deze optie dan ook uitschakelen. IPSec-instellingen Gebruik de volgende IPSec-instellingen: • Mode. 'Tunnel Mode' • IKE Exchange Modes. 'Aggressive Mode' voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel of 'Main Mode' voor identiteitscontrole op basis van certificaten. • Coderingsalgoritmes. 3DES, AES-128, AES-256. • Algoritmes voor identiteitscontrole. HMAC-MD5, HMAC-SHA1. • Diffie-Hellman Groups. 'Group 2' is vereist voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel. Voor identiteitscontrole op basis van certificaten gebruikt u 'Group 2' met 3DES en AES-128. Gebruik 'Group 2' of 'Group 5' met AES-256. • PFS (Perfect Forward Secrecy). Voor IKE fase 2 moet bij gebruik van PFS dezelfde Diffie-Hellman-groep worden gebruikt als voor IKE fase 1. • Mode Configuration. Moet zijn ingeschakeld. • Dead Peer Detection. Aanbevolen. • Standard NAT Traversal. Wordt ondersteund en kan worden ingeschakeld (IPSec via TCP wordt niet ondersteund). • Load-balancing. Wordt ondersteund en kan worden ingeschakeld. • Re-keying of Phase 1. Wordt momenteel niet ondersteund. Het wordt aanbevolen om het interval voor re-keying op de server in te stellen op één uur. • ASA Address Mask. Zorg dat alle adrespoolmaskers van apparaten niet zijn ingesteld, of zijn ingesteld op 255.255.255.255. Bijvoorbeeld: asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255. Wanneer u dit aanbevolen adresmasker gebruikt, worden sommige routes die door de VPN-configuratie worden verondersteld, mogelijk genegeerd. Om dit te voorkomen zorgt u ervoor dat uw routeringstabel alle benodigde routes bevat en controleert u of de subnetadressen toegankelijk zijn voordat u een en ander implementeert.
Overige ondersteunde functies • Versie van de app. Informatie over de softwareversie op de client wordt naar de server gestuurd, zodat de server verbindingen kan toestaan of weigeren op basis van de softwareversie op het apparaat. • Banner. Als de banner op de server is geconfigureerd, wordt deze op het apparaat weergegeven. De gebruiker kan de banner vervolgens accepteren of de verbinding verbreken. • Split Tunnel. De functie 'Split Tunnel' wordt ondersteund. • Split DNS. De functie 'Split DNS' wordt ondersteund. • Default Domain. De functie 'Default Domain' wordt ondersteund.
10
Technische referentiehandleiding voor iOS-implementatie
VPN on Demand Met VPN on Demand kan iOS automatisch een beveiligde verbinding tot stand brengen zonder tussenkomst van de gebruiker. De VPN-verbinding wordt opgezet wanneer dat nodig is, op basis van regels die in een configuratieprofiel zijn vastgelegd. In iOS 7 wordt VPN on Demand geconfigureerd met gebruikmaking van de OnDemandRules-sleutel in een VPN-payload van een configuratieprofiel. De regels worden in twee fasen toegepast: • Netwerkdetectie. Hier worden de VPN-vereisten opgesteld die worden toegepast wanneer de primaire netwerkverbinding van het apparaat verandert. • Verbindingsevaluatie. Hier worden de VPN-vereisten opgesteld voor verbindingsaanvragen bij domeinnamen wanneer dat nodig is. Regels kunnen bijvoorbeeld worden gebruikt om: • Te herkennen wanneer een iOS-apparaat verbonden is met een intern netwerk en er geen VPN-verbinding nodig is. • Te herkennen wanneer er een onbekend Wi-Fi-netwerk wordt gebruikt en er een VPN-verbinding vereist is voor alle netwerkactiviteit. • Een VPN-verbinding vereist te stellen wanneer een DNS-aanvraag voor een opgegeven domein mislukt. Netwerkdetectie De regels voor VPN on Demand worden geëvalueerd wanneer de primaire netwerkinterface van het apparaat verandert, bijvoorbeeld wanneer een iOS-apparaat overgaat naar een ander Wi-FI-netwerk of wanneer het apparaat overschakelt van een mobiel datanetwerk naar een Wi-Fi-netwerk. Als de primaire interface een virtuele interface (zoals een VPN-interface) is, worden de regels voor VPN on Demand genegeerd. De vergelijkingsregels in elke set (elke woordenlijst) moeten stuk voor stuk overeenkomen om de eraan gekoppelde actie te laten plaatsvinden; als een van de regels niet overeenkomt, gaat de evaluatie automatisch over naar de volgende woordenlijst in de matrix, tot de OnDemandRules-matrix volledig doorlopen is. In de laatste woordenlijst moet een "standaardconfiguratie" worden opgesteld – oftewel: er moeten hier geen vergelijkingsregels te vinden zijn, maar alleen een actie. Zo worden alle verbindingen afgevangen waarvoor in de vorige regels geen overeenkomsten gevonden zijn. Verbindingsevaluatie De VPN-voorziening kan worden getriggerd op basis van verbindingsvereisten bij bepaalde domeinen, in plaats van het eenzijdig maken en verbreken van VPN-verbindingen op basis van de netwerkinterface. Vergelijkingsregels VPN on Demand Er moeten een of meerdere van de volgende vergelijkingsregels worden opgegeven: • InterfaceTypeMatch. Optie. Een tekenreekswaarde voor Wi-Fi of mobiel datanetwerk. Als deze waarde wordt ingesteld, is deze regel waar wanneer de primaire interfacehardware van het opgegeven type is. • SSIDMatch. Optie. Een matrix van SSID's die met het huidige netwerk vergeleken worden. Als het netwerk geen Wi-Fi-netwerk is of als de SSID ervan niet in de lijst is opgenomen, is de regel onwaar. Om SSID te negeren kunnen deze sleutel en de bijbehorende matrix worden weggelaten. • DNSDomainMatch. Optie. Een matrix van zoekdomeinen in tekenreeksen. Als het geconfigureerde DNS-zoekdomein van het huidige primaire netwerk in de matrix is opgenomen, is deze regel waar. Er wordt ondersteuning geboden voor jokertekens (*) als voorvoegsel; de reeks "*.voorbeeld.com" levert bijvoorbeeld de treffer "alles.voorbeeld.com" op. 11
Technische referentiehandleiding voor iOS-implementatie
• DNSServerAddressMatch. Optie. Een matrix van DNS-serveradressen in tekenreeksen. Deze regel is waar als alle DNS-serveradressen die op dat moment voor de primaire interface geconfigureerd zijn, zich in de matrix bevinden. Jokertekens worden ondersteund: "1.2.3.*" komt bijvoorbeeld overeen met alle DNS-servers met het voorvoegsel "1.2.3.". • URLStringProbe. Optie. Een server die wordt benaderd om de bereikbaarheid na te gaan. Omleiding wordt niet ondersteund. De url moet naar een vertrouwde HTTPS-server verwijzen. Het apparaat verstuurt een GET-aanvraag om te controleren of de server bereikbaar is. Action Deze sleutel bepaalt het VPN-gedrag wanneer alle opgegeven vergelijkingsregels waar zijn. De sleutel is vereist. Waarden voor de Action-sleutel zijn: • Connect. Hiermee wordt de VPN-verbinding bij de volgende verbindingspoging onvoorwaardelijk geïnitieerd. • Disconnect. De VPN-verbinding wordt verbroken en er worden geen nieuwe verbindingen op aanvraag getriggerd. • Ignore. Een eventuele VPN-verbinding blijft behouden maar er worden geen nieuwe verbindingen op aanvraag getriggerd. • Allow. Voor iOS-apparaten met iOS 6 of lager. Zie "Opmerkingen over compatibiliteit met oudere apparatuur" verderop in dit gedeelte. • EvaluateConnection. De ActionParameters voor elke verbindingspoging worden beoordeeld. Als deze waarde wordt gebruikt, is de sleutel "ActionParameters" (zie hieronder) vereist om de beoordelingsregels op te geven. ActionParameters Een matrix met woordenlijsten met de hieronder beschreven sleutels, beoordeeld in de volgorde waarin ze zijn opgenomen. Vereist als de Action "EvaluateConnection" is. • Domains. Verplicht. Een matrix met tekenreeksen die de domeinen beschrijven waarvoor deze beoordeling van toepassing is. Jokertekens worden als voorvoegsel ondersteund, bijvoorbeeld "*.voorbeeld.com". • DomainAction. Verplicht. Bepaalt het VPN-gedrag voor de domeinen. Waarden voor de DomainAction-sleutel zijn: – ConnectIfNeeded. Hiermee wordt VPN gebruikt als de DNS-omzetting voor de domeinen mislukt – bijvoorbeeld wanneer de DNS-server aangeeft dat de domeinnaam niet kan worden omgezet, wanneer de DNS-reactie wordt omgeleid, of als de verbinding mislukt of er een een time-out optreedt. – NeverConnect. VPN wordt niet getriggerd voor de domeinen. Als de waarde "ConnectIfNeeded" is opgegeven voor "DomainAction", kunt u ook de volgende sleutels opgeven in de woordenlijst voor de beoordeling van de verbinding: • RequiredDNSServers. Optie. Een matrix met IP-adressen van DNS-servers voor het omzetten van de domeinen. Deze servers hoeven geen deel uit te maken van de huidige netwerkconfiguratie van het apparaat. Als deze DNS-servers niet bereikbaar zijn, wordt de VPN-voorziening getriggerd. Er wordt een interne DNS-server of een vertrouwde externe DNS-server geconfigureerd. • RequiredURLStringProbe. Optie. Een HTTP- of (bij voorkeur) HTTPS-url die met een GET-aanvraag wordt benaderd. Als de DNS-omzetting voor deze server lukt, moet het benaderen ook lukken. Als het benaderen niet lukt, wordt de VPN-voorziening geactiveerd.
12
Technische referentiehandleiding voor iOS-implementatie
Opmerkingen over compatibiliteit met oudere apparatuur Vóór iOS werden regels voor het activeren van domeinen geconfigureerd via domeinmatrices met de namen "OnDemandMatchDomainAlways", "OnDemandMatchDomainOnRetry" en "OnDemandMatchDomainNever". "OnRetry" en "Never" worden nog steeds ondersteund in iOS 7, maar zijn in feite afgeschaft ten gunste van de actie "EvaluateConnection". Om een profiel aan te maken dat werkt bij zowel iOS 7 als eerdere releases, gebruikt u de nieuwe EvaluateConnection-sleutels in aanvulling op de OnDemandMatchDomainmatrices. Eerdere versies van iOS die "EvaluateConnection" niet herkennen maken gebruik van de oude matrices, terwijl iOS 7 en hoger "EvaluateConnection" zullen gebruiken. Oude configuratieprofielen waarin de actie "Allow" is opgenomen, zullen werken op iOS 7, met uitzondering van OnDemandMatchDomainsAlways-domeinen.
App-gebonden VPN iOS 7 biedt de extra mogelijkheid om VPN-verbindingen per app te leggen. Door deze benadering ontstaat een fijnmaziger controle over welke gegevens via een VPN gaan en welke niet. Met VPN op apparaatniveau gaan alle gegevens via het privénetwerk, ongeacht de oorsprong ervan. Nu er binnen organisaties door personeel steeds meer privéapparaten worden gebruikt, biedt app-gebonden VPN veilige netwerkmogelijkheden voor apps voor intern gebruik – terwijl de privacy van persoonlijke activiteiten op het apparaat behouden blijft. Met app-gebonden VPN kan elke app die via MDM wordt beheerd via een beveiligde tunnel communiceren met het privénetwerk, terwijl andere (onbeheerde) apps van het netwerk worden buitengesloten. Bovendien kunnen beheerde apps met verschillende VPN-verbindingen geconfigureerd worden om de gegevens verder te beveiligen. Zo zou een app voor het maken van offertes gebruik kunnen maken van een ander datacenter dan een crediteurenapp, terwijl het persoonlijke internetverkeer van de gebruiker gebruikmaakt van het openbare internet. Door deze mogelijkheid om het verkeer op appniveau te scheiden kunnen persoonlijke gegevens en gegevens van de organisatie effectief van elkaar afgeschermd blijven. Om app-gebonden VPN te kunnen gebruiken moet een app beheerd worden via MDM en gebruikmaken van de standaard-API's voor netwerken in iOS. App-gebonden VPN wordt geconfigureerd met een MDM-configuratie waarin wordt aangegeven welke apps en Safari-domeinen gebruik mogen maken van de instellingen. Meer informatie over MDM is te vinden in hoofdstuk 3: Configuratie en beheer.
Eenmalige aanmelding In iOS 7 kunnen apps profiteren van uw bestaande interne aanmeldingsstructuur met een enkel wachtwoord via Kerberos. Eenmalige aanmelding verbetert de gebruiksvriendelijkheid: gebruikers hoeven niet telkens hun wachtwoord op te geven. Ook wordt het beveiligingsniveau van het dagelijkse appgebruik op een hoger niveau getild omdat voorkomen wordt dat er draadloos wachtwoorden worden verstuurd. Het Kerberos-systeem voor identiteitscontrole dat door iOS 7 wordt gebruikt is een bekend standaardprotocol – en wereldwijd de meest gebruikte technologie voor eenmalige aanmelding. Als u Active Directory, eDirectory of OpenDirectory gebruikt, is de kans groot dat u al een Kerberos-systeem hebt waar iOS 7 gebruik van kan maken. iOS-apparaten moeten via een netwerkverbinding contact met de Kerberosservice kunnen maken om gebruikers te kunnen verifiëren.
13
Technische referentiehandleiding voor iOS-implementatie
Ondersteunde apps iOS biedt een flexibele ondersteuning voor eenmalige aanmelding via Kerberos voor elke app die de klasse "NSURLConnection" of "NSURLSession" gebruikt voor het beheer van netwerkverbindingen en identiteitscontrole. Apple voorziet alle ontwikkelaars van deze hoogwaardige frameworks om ervoor te zorgen dat netwerkverbindingen naadloos in hun apps geïntegreerd worden. Apple levert ook Safari als voorbeeld om u op gang te helpen door native gebruik van websites die eenmalige aanmelding ondersteunen.
Eenmalige aanmelding configureren Configuratie van eenmalige aanmelding wordt gedaan met behulp van configuratieprofielen, die handmatig geïnstalleerd kunnen worden of via MDM beheerd kunnen worden. De accountinformatie voor eenmalige aanmelding maakt een flexibele configuratie mogelijk. Eenmalige aanmelding kan openstaan voor alle apps, maar ook worden beperkt aan de hand van de appidentificatie, service-url, of beide. Bij het vergelijken van url's wordt een eenvoudige patroonvergelijking gebruikt, en de url's moeten beginnen met "http://" of "https://". De vergelijking wordt gemaakt met de volledige url, om er zeker van te zijn dat ze volledig identiek zijn. Zo zou een URLPrefixMatches-waardehttps://www.voorbeeld.com/ niet overeenkomen met https://www.voorbeeld.com:443/. U kunt "http://" of "https://" opgeven om het gebruik van eenmalige aanmelding te beperken tot reguliere dan wel beveiligde HTTP-diensten. Bij een URLPrefixMatches-waarde "https://" worden de gegevens van de ingelogde gebruiker alleen gebruikt met (beveiligde) HTTPS-diensten. Als een url-vergelijkingspatroon niet wordt afgesloten met een schuine streep (/), wordt er een schuine streep (/) toegevoegd. De AppIdentifierMatches-matrix moet tekenreeksen bevatten die overeenkomen met app-bundel-ID's. Deze tekenreeksen moeten volledig overeenkomen (bijvoorbeeld "com.mijnbedrijf.mijnapp") of een voorvoegsel voor de bundel-ID bevatten in de vorm van het jokerteken (*). Het jokerteken moet na een punt (.) komen en mag uitsluitend aan het eind van een tekenreeks worden gebruikt (bijvoorbeeld "com.mijnbedrijf.*"). Als er een jokerteken wordt gebruikt, krijgt elke app waarvan de bundel-ID met het voorvoegsel begint, toegang tot de gegevens van de ingelogde gebruiker.
Digitale certificaten Een digitaal certificaat is een vorm van identificatie die zorgt voor een vlotte identiteitscontrole, gegevensintegriteit en versleuteling. Een digitaal certificaat bestaat uit een publieke sleutel plus gegevens over de gebruiker en de certificaatautoriteit die het certificaat heeft verstrekt. iOS biedt ondersteuning voor digitale certificaten, zodat organisaties op een veilige en gestroomlijnde manier toegang hebben tot bedrijfsvoorzieningen. Certificaten kunnen op verschillende manieren worden gebruikt. Door gegevens met een digitaal certificaat te ondertekenen zorgt u ervoor dat de gegevens niet kunnen worden gewijzigd. Daarnaast staan digitale certificaten garant voor de identiteit van de auteur (de ondertekenaar). En tot slot kunt u met behulp van digitale certificaten configuratieprofielen en de netwerkcommunicatie versleutelen, zodat vertrouwelijke informatie ook echt vertrouwelijk blijft. Safari kan bijvoorbeeld de geldigheid van een digitaal X.509-certificaat controleren en via AES-versleuteling (tot 256 bits) een veilige sessie starten. Er wordt gecontroleerd of de identiteit van de website geldig is en of de communicatie met de website wordt versleuteld, zodat persoonlijke of vertrouwelijke gegevens niet door derden kunnen worden onderschept. 14
Technische referentiehandleiding voor iOS-implementatie
Ondersteunde certificaat- en identiteitsstructuren: • iOS ondersteunt X.509-certificaten met RSA-sleutels. • Herkende bestandsextensies: .cer, .crt, .der, .p12 en .pfx.
Certificaten gebruiken in iOS Rootcertificaten iOS bevat standaard een aantal vooraf geïnstalleerde rootcertificaten. Raadpleeg voor meer informatie het overzicht in dit Apple Support-artikel. iOS kan certificaten draadloos bijwerken als de veiligheid van een van de vooraf geïnstalleerde rootcertificaten in het geding is. Deze voorziening kan eventueel worden uitgeschakeld met een beperking die het draadloos bijwerken van certificaten voorkomt. Als u een rootcertificaat gebruikt dat nog niet is geïnstalleerd, zoals een eigen rootcertificaat van uw organisatie, kunt u dit distribueren op een van de manieren die hieronder worden genoemd.
Certificaten distribueren en installeren Het distribueren van certificaten naar iOS-apparaten is heel simpel. Zodra een gebruiker het certificaat heeft ontvangen, hoeft hij er alleen maar op te tikken om de inhoud te bekijken en om het certificaat aan zijn apparaat toe te voegen. Wanneer een identiteitscertificaat wordt geïnstalleerd, moet de gebruiker de wachtwoordzin opgeven waarmee dit certificaat wordt beveiligd. Als de authenticiteit van een certificaat niet gecontroleerd kan worden, wordt het als niet-vertrouwd aangemerkt en kan de gebruiker zelf beslissen of hij of zij het toch aan het apparaat wil toevoegen.
Certificaten installeren via configuratieprofielen Wanneer er configuratieprofielen worden gebruikt om instellingen voor bedrijfsvoorzieningen als Exchange, VPN of Wi-Fi te distribueren, kunnen met het oog op een gestroomlijnde implementatie certificaten aan het profiel worden toegevoegd. Dit omvat de mogelijkheid om certificaten via MDM te distribueren.
Certificaten installeren via Mail of Safari Wanneer een certificaat via e-mail wordt verstuurd, wordt dit als een bijlage aan het bericht toegevoegd. Certificaten kunnen ook van een webpagina worden gedownload met Safari. U kunt een certificaat op een beveiligde website hosten en de gebruikers de url geven zodat ze het certificaat op hun apparaat kunnen downloaden.
Certificaten verwijderen en intrekken Als u een geïnstalleerd certificaat handmatig wilt verwijderen gaat u naar Instellingen, kiest u 'Algemeen' > 'Profielen' en kiest u het certificaat dat u wilt verwijderen. Als u een certificaat verwijdert dat vereist is voor toegang tot een account of netwerk, kunt u met het apparaat geen verbinding meer maken met deze voorzieningen. Een MDM-server kan alle certificaten op een apparaat afgaan en door de server geïnstalleerde certificaten verwijderen. Ook de protocollen OCSP (Online Certificate Status Protocol) en CRL (Certificate Revocation List) worden ondersteund voor het controleren van de status van certificaten. Als er een voor OCSP of CRL geschikt certificaat wordt gebruikt, valideert iOS het op gezette tijden om ervoor te zorgen dat het niet is ingetrokken.
Bonjour Bonjour is het op standaarden gebaseerde netwerkprotocol van Apple waarbij configuratie onnodig is en waarmee apparaten automatisch voorzieningen op een netwerk kunnen opsporen. iOS-apparaten gebruiken Bonjour om te zien of er AirPrint-printers en AirPlay-apparaten zoals Apple TV beschikbaar zijn. Ook voor sommige peer-to-peer-apps is Bonjour vereist. U moet er zeker van zijn dat uw netwerkinfrastructuur en Bonjour correct geconfigureerd zijn om te kunnen samenwerken. 15
Technische referentiehandleiding voor iOS-implementatie
Meer informatie over Bonjour is te vinden op deze Apple webpagina.
Hoofdstuk 2: Beveiliging Het ontwerp van iOS bestaat uit beveiligingslagen. Hierdoor krijgen iOS-apparaten veilig toegang tot netwerkvoorzieningen en worden belangrijke gegevens beschermd. iOS biedt krachtige codering voor gegevensoverdracht, beproefde methoden voor identiteitscontrole voor toegang tot bedrijfsvoorzieningen en hardwarecodering voor alle opgeslagen gegevens. Bescherming is ook verzekerd door het gebruik van beleidsregels voor toegangscodes die draadloos kunnen worden geleverd en ingesteld. En mocht het apparaat in verkeerde handen vallen, dan kunnen gebruikers en IT-beheerders alle gegevens op het apparaat op afstand wissen. De beveiliging van iOS voor zakelijk gebruik valt in de volgende componenten uiteen: • Apparaatbeheer. Methoden om het apparaat te beveiligen tegen ongeoorloofd gebruik • Versleuteling en beveiliging van gegevens. Beveiliging van de gegevens, ook wanneer het apparaat kwijt is of gestolen wordt • Netwerkbeveiliging. Netwerkprotocollen en versleuteling voor gegevensoverdracht • Beveiliging van apps. Apps kunnen veilig worden gebruikt zonder de integriteit van het platform in gevaar te brengen • Internetservices. De netwerkinfrastructuur van Apple voor het verzenden en ontvangen van berichten, synchronisatie en reservekopieën Deze componenten zijn met elkaar verweven en bieden zo een veilig mobiel computerplatform. De volgende toegangscodebeleidsinstellingen worden ondersteund: • Toegangscode op apparaat vereist • Alfanumerieke waarde vereist • Minimumlengte toegangscode • Minimumaantal complexe tekens • Maximumgebruiksduur toegangscode • Automatisch slot • Geschiedenis van toegangscodes • Geldigheid van toegangscodes bij vergrendeling • Maximumaantal mislukte pogingen
Apparaatbeveiliging Een streng toegangsbeleid voor iOS-apparaten is essentieel voor het beveiligen van bedrijfsgegevens. Een apparaattoegangscode is de eerste stap in het voorkomen van toegang door onbevoegden. Deze toegangscodes kunnen draadloos worden geconfigureerd en ingesteld. Verder genereren iOS-apparaten op basis van de door de gebruiker ingestelde toegangscode een krachtige coderingssleutel om e-mails en gevoelige appgegevens op het apparaat nog beter te beveiligen. Daarnaast biedt iOS veilige methoden om het apparaat in een IT-omgeving te configureren, waarbij bepaalde instellingen, beleidsinstellingen en beperkingen moeten worden opgegeven. Deze methoden bieden flexibele opties om een standaardbeveiligingsniveau in te stellen voor bevoegde gebruikers.
Toegangscodebeleid Een apparaattoegangscode voorkomt dat onbevoegde gebruikers toegang hebben tot (de gegevens op) een apparaat. iOS biedt een uitgebreide reeks beleidsregels voor toegangscodes om aan het gewenste beveiligingsniveau te voldoen. Denk aan time-outperiodes, toegangscodesterkte en aan de frequentie waarmee een toegangscode moet worden gewijzigd.
Afdwingen van beleid Beleid kan worden gedistribueerd als onderdeel van een configuratieprofiel dat gebruikers zelf moeten installeren. Een profiel kan zo worden gedefinieerd dat het 16
Technische referentiehandleiding voor iOS-implementatie
alleen met een beheerderswachtwoord kan worden verwijderd of dat het aan het apparaat is vergrendeld en alleen kan worden verwijderd door het apparaat in zijn geheel te wissen. Daarnaast kunnen toegangscode-instellingen via MDM (Mobile Device Management, mobiel-apparaatbeheer) op afstand worden geconfigureerd zodat de beleidsinstellingen direct naar het apparaat kunnen worden gepusht. Op deze manier kunnen beleidsinstellingen zonder tussenkomst van de gebruiker worden afgedwongen en bijgewerkt. Als het apparaat is geconfigureerd voor gebruik van een Microsoft Exchangeaccount, worden de Exchange ActiveSync-beleidsinstellingen draadloos naar het apparaat verstuurd. Welke beleidsinstellingen beschikbaar zijn, is afhankelijk van de versie van Exchange ActiveSync en Exchange Server waarmee wordt gewerkt. Als er sprake is van zowel Exchange- als MDM-beleidsinstellingen, wordt de strengste instelling gebruikt.
Beveiligde apparaatconfiguratie Configuratieprofielen zijn XML-bestanden met beveiligings- en beperkingsinstellingen voor het apparaat, VPN-configuratiegegevens, Wi-Fi-instellingen, e-mail- en agendaaccounts en legitimaties voor identiteitscontroles waarmee wordt toegestaan dat iOS-apparaten binnen uw IT-systemen kunnen worden gebruikt. Door instellingen voor toegangscodes en apparaatinstellingen in een configuratieprofiel vast te leggen zorgt u ervoor dat apparaten binnen uw organisatie correct zijn geconfigureerd en voldoen aan de beveiligingsstandaarden van uw IT-afdeling. En aangezien configuratieprofielen zowel gecodeerd als vergrendeld kunnen zijn, kunnen de instellingen niet worden verwijderd, gewijzigd of met andere personen worden gedeeld. Configuratieprofielen kunnen zowel worden ondertekend als versleuteld. Met ondertekening van een configuratieprofiel wordt gegarandeerd dat de instellingen ervan op geen enkele manier gewijzigd kunnen worden. Met versleuteling van een configuratieprofiel wordt de inhoud van het profiel beschermd en kan het profiel alleen worden geïnstalleerd op het apparaat waarvoor het is aangemaakt. Configuratieprofielen worden versleuteld via CMS (Cryptographic Message Syntax, RFC 3852) en ondersteunen 3DES en AES 128. Als u voor de eerste keer een versleuteld configuratieprofiel distribueert, kunt u het via USB installeren met behulp van Apple Configurator, of draadloos via het "OverThe-Air Enrollment and Configuration"-protocol of MDM. Daarna kunt u versleutelde configuratieprofielen distribueren als e-mailbijlage, op een website plaatsen waartoe gebruikers toegang hebben of via MDM naar het apparaat pushen. Ga naar Over-the-Air Profile Delivery and Configuration protocol op de iOS Developer Library-site voor meer informatie.
Apparaatbeperkingen Met apparaatbeperkingen bepaalt u tot welke apparaatvoorzieningen gebruikers toegang hebben. Meestal gaat het hierbij om apps waarvoor een internetverbinding nodig is, zoals Safari, YouTube of de iTunes Store. Daarnaast kunt u via beperkingen de functionaliteit bepalen, zoals het installeren van apps of het gebruik van de camera. Met behulp van beperkingen kunt u het apparaat naar wens configureren, terwijl gebruikers het apparaat kunnen gebruiken op manieren die overeenstemmen met het beleid van de organisatie. Beperkingen kunnen handmatig op elk apparaat worden geconfigureerd, via een configuratieprofiel worden afgedwongen of op afstand via MDM worden opgelegd. Verder kunnen er (net als toegangscodebeleid) draadloos beperkingen voor het gebruik van de camera en surfen op het web worden ingesteld via Microsoft Exchange Server 2007 en 2010. Bovendien kan een beperking worden ingesteld die ervoor zorgt dat e-mails niet van de ene naar de andere account kunnen worden verplaatst en dat berichten die via de ene account zijn ontvangen, niet kunnen worden doorgestuurd naar een andere account. Zie Bijlage B voor meer informatie over ondersteunde beperkingen. 17
Technische referentiehandleiding voor iOS-implementatie
Versleuteling en beveiliging van gegevens Het beveiligen van gegevens op iOS-apparaten is met name belangrijk in een omgeving met gevoelige informatie. Naast versleuteling van gegevens tijdens de verzending bieden iOS-apparaten hardwareversleuteling voor alle gegevens op het apparaat en extra versleuteling van e-mails en appgegevens voor betere gegevensbescherming. Als een apparaat wordt gestolen of kwijt is, is het raadzaam dit te deactiveren en te wissen. Als op iOS 7 de functie Zoek mijn iPhone is ingeschakeld, kan het apparaat niet opnieuw geactiveerd worden zonder de iCloud-aanmeldgegevens van de eigenaar in te voeren. Het is verstandig apparaten die eigendom van de organisatie zijn onder supervisie te plaatsen, of beleidsinstellingen te gebruiken waarmee gebruikers deze voorziening kunnen uitschakelen zodat de toewijzing van het apparaat aan een ander niet wordt tegengehouden.] Meer informatie over Zoek mijn iPhone is te vinden via iCloud Support en iCloud: Uw apparaat verwijderen van 'Zoek mijn iPhone'.
Versleuteling iOS-apparaten bieden hardwarematige codering. Hierbij wordt gebruikgemaakt van 256-bits AES-versleuteling om alle gegevens op het apparaat te beveiligen. Versleuteling is altijd ingeschakeld en kan niet worden uitgeschakeld. Daarnaast kunnen ook reservekopiegegevens in iTunes op de computer van de gebruiker worden versleuteld. Deze instelling kan door de gebruiker zelf worden ingeschakeld of door een apparaatbeperking in een configuratieprofiel worden opgelegd. iOS ondersteunt S/MIME in e-mails, waardoor versleutelde e-mails kunnen worden gelezen en verstuurd. De cryptografische modules in iOS 7 en iOS 6 zijn gevalideerd en voldoen aan de Amerikaanse Federal Information Processing Standard (FIPS) 140-2 Level 1. Dit garandeert de integriteit van de cryptografische bewerkingen in apps van Apple en andere fabrikanten die op de juiste manier gebruikmaken van de cryptografische voorzieningen van iOS. Ga voor meer informatie naar iOS-productbeveiliging: validaties en richtlijnen en iOS 6: cryptografische modules met FIPS-validatie versie 3.0 van Apple voor iOS.
Gegevensbeveiliging E-mails en bijlagen die op het apparaat worden bewaard, kunnen verder worden beveiligd door middel van de gegevensbeveiligingsvoorzieningen in iOS. De unieke toegangscode van de gebruiker plus de hardwareversleuteling op iOS-apparaten vormen samen een krachtige coderingssleutel ten behoeve van de gegevensbeveiliging. Met deze sleutel wordt voorkomen dat de gegevens op het apparaat toegankelijk zijn wanneer het apparaat is vergrendeld, zodat gevoelige gegevens zelfs in onveilige situaties afgeschermd zijn. Om gegevensbeveiliging in te schakelen, moet u een toegangscode op het apparaat instellen. Hoe sterker de toegangscode, hoe beter de gegevens worden beveiligd. Daarom is het verstandig in de instellingen voor de toegangscode op te geven dat toegangscodes uit meer dan vier cijfers moeten bestaan. Gebruikers kunnen in het scherm voor toegangscode-instellingen controleren of gegevensbescherming op hun apparaat is ingeschakeld. Dit kan ook via MDM. De API's voor gegevensbeveiliging zijn ook beschikbaar voor ontwikkelaars en kunnen worden gebruikt om gegevens in apps uit de App Store of interne apps op maat van het bedrijf te beveiligen. Vanaf iOS 7 hebben de gegevens die door apps worden bewaard standaard de gegevensbeveiligingsklasse "Beveiligd tot eerste identiteitscontrole", wat vergelijkbaar is met versleuteling van de volledige harde schijf op desktopcomputers. Hiermee worden gegevens beschermd tegen aanvallen waarbij een herstart nodig is. 18
Technische referentiehandleiding voor iOS-implementatie
Opmerking: Als een apparaat is bijgewerkt vanaf IOS 6, wordt bestaande gegevensopslag niet naar de nieuwe klasse geconverteerd. Als de app wordt verwijderd en vervolgens opnieuw wordt geïnstalleerd, wordt de nieuwe beveiligingsklasse wel toegewezen.
Touch ID Touch ID is de identiteitssensor voor vingerafdrukken op iPhone 5s, waarmee hoogwaardige beveiliging sneller en gemakkelijker in zijn werk gaat. Deze toekomstgerichte technologie kan vingerafdrukken lezen vanuit elke hoek en leert gaandeweg meer over de vingerafdruk van de gebruiker naarmate de sensor de vingerafdrukkaart uitbreidt met extra overlappende knooppunten die met elk gebruik worden herkend. Met Touch ID wordt het gebruik van langere en meer complexe toegangscodes een stuk praktischer, aangezien de gebruikers de toegangscode minder vaak hoeven in te toetsen. Touch ID neemt ook het ongemak van vergrendeling op basis van een toegangscode weg. Niet door deze te vervangen maar door beveiligde toegang binnen aanvaardbare grenzen en een aanvaardbaar tijdsbestek te houden. Als Touch ID is ingeschakeld, wordt de iPhone 5s direct vergrendeld wanneer de sluimerknop wordt ingedrukt. Bij het gebruik van alleen een toegangscode stellen veel gebruikers een time-out voor het automatisch slot in om te voorkomen dat ze telkens als ze het apparaat willen gebruiken de toegangscode weer moeten invoeren. Met Touch ID wordt de iPhone 5s vergrendeld telkens als het apparaat in de sluimerstand gaat en is altijd de vingerafdruk (en optioneel de toegangscode) nodig om het apparaat uit de sluimerstand te halen. Touch ID werkt samen met de Secure Enclave – een coprocessor die in de Apple A7-chip is verwerkt. De Secure Enclave beschikt over een eigen beveiligde en gecodeerde geheugenruimte en communiceert op een beveiligde manier met de Touch ID-sensor. Wanneer de iPhone 5s wordt vergrendeld, worden de sleutels voor de gegevensbeveiligingsklasse "Complete" beveiligd met een sleutel die zich in het versleutelde geheugen van de Secure Enclave bevindt. De sleutel wordt maximaal 48 uur bewaard en wordt genegeerd als de iPhone 5s opnieuw wordt opgestart of wanneer er vijf keer een onbekende vingerafdruk wordt gebruikt. Als een vingerafdruk wordt herkend, levert de Secure Enclave de sleutel voor het uitpakken van de gegevensbeveiligingssleutels en wordt het apparaat ontgrendeld.
Wissen op afstand iOS biedt de mogelijkheid om gegevens op afstand te wissen. Als een apparaat wordt gestolen of kwijt is, kan de beheerder of eigenaar van het apparaat alle gegevens op afstand wissen en het apparaat deactiveren. Als het apparaat is geconfigureerd met een Exchange-account, kan de beheerder via de Exchange Management Console (Exchange Server 2007) of de Exchange ActiveSync Mobile Administration Web-tool (Exchange Server 2003 of 2007) op afstand een wiscommando geven. Gebruikers die met Exchange Server 2007 werken, kunnen dit commando ook direct via Outlook Web Access geven. Opdrachten voor wissen op afstand kunnen ook via MDM worden gegeven, zelfs wanneer Exchange-bedrijfsvoorzieningen niet worden gebruikt.
Lokaal wissen Het is ook mogelijk om tijdens de configuratie van apparaten op te geven dat de gegevens automatisch lokaal moeten worden gewist nadat er een bepaald aantal keer een onjuiste toegangscode is ingevoerd. Zo wordt het buitenstaanders direct moeilijk gemaakt om toegang te krijgen. Wanneer een toegangscode is ingesteld, kunnen gebruikers direct vanuit de instellingen op het apparaat gegevens lokaal wissen. Standaard worden gegevens lokaal gewist nadat tien keer een onjuiste toegangscode is ingevoerd. Net als bij de andere instellingen voor toegangscodebeleid kan het maximumaantal pogingen worden opgegeven via een configuratieprofiel of een MDM-server, of via Exchange ActiveSync-beleid draadloos worden afgedwongen. 19
Technische referentiehandleiding voor iOS-implementatie
Netwerkbeveiliging • Ondersteuning voor Cisco IPSec, L2TP, PPTP VPN • SSL VPN via App Store-apps • SSL/TLS met X.509-certificaten • WPA/WPA2 op bedrijfsniveau met 802.1x • Identiteitscontrole via certificaten • RSA SecurID, CryptoCard VPN-protocollen • Cisco IPSec • L2TP/IPSec • PPTP • SSL VPN Methoden voor identiteitscontrole • Wachtwoord (MSCHAPv2) • RSA SecurID • CryptoCard • Digitale X.509-certificaten • Gedeelde geheime 802.1x-identiteitsprotocollen • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP versie 0, versie 1 • LEAP Ondersteunde certificaatstructuren iOS ondersteunt X.509-certificaten met RSA-sleutels. Herkende bestandsextensies: .cer, .crt en .der.
Netwerkbeveiliging Gebruikers die veel onderweg zijn, moeten overal ter wereld toegang hebben tot het gegevensnetwerk van hun bedrijf. Hierbij is het belangrijk dat ze de juiste toegangsrechten hebben en dat hun gegevens tijdens de overdracht worden beveiligd. iOS biedt beproefde technologieën om deze beveiligingstaken uit te voeren voor verbindingen via zowel Wi-Fi- als mobieletelefoonnetwerken. Net als de bestaande infrastructuur worden alle FaceTime-sessies en iMessageconversaties van begin tot eind versleuteld. iOS maakt voor elke gebruiker een unieke ID aan en zorgt ervoor dat de communicatie op de juiste manier wordt versleuteld, verstuurd en tot stand gebracht.
VPN In veel bedrijfsomgevingen wordt een vorm van VPN (Virtual Private Network) gebruikt. Deze beveiligde netwerkvoorzieningen zijn al geïmplementeerd en vragen doorgaans om minimale instellingen en configuratie om met iOS te kunnen werken. iOS kan direct worden geïntegreerd met een breed scala aan veelgebruikte VPNtechnologieën. Zie "Virtual Private Networks" in hoofdstuk 1 voor meer informatie.
SSL/TLS iOS biedt ondersteuning voor SSL versie 3 en TLS versie 1.0, 1.1 en 1.2 (Transport Layer Security).Deze beveiligingsmechanismen worden automatisch door Safari, Agenda, Mail en andere internetapps gestart waardoor een versleuteld communicatiekanaal ontstaat tussen iOS en bedrijfsvoorzieningen.
WPA/WPA2 iOS ondersteunt WPA2 op bedrijfsniveau om de identiteitscontrole voor toegang tot het draadloze bedrijfsnetwerk uit te voeren. WPA2 op bedrijfsniveau maakt gebruik van 128-bits AES-versleuteling en biedt gebruikers de absolute zekerheid dat hun gegevens beschermd blijven tijdens het gebruik van de Wi-Fi-netwerkverbinding. En dankzij ondersteuning voor 802.1x-identiteitscontrole kunnen iPhone en iPad in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd.
Beveiliging van apps In iOS staat veiligheid centraal. iOS bevat sandboxing voor runtimebescherming van apps. Bovendien moeten apps worden ondertekend om te waarborgen dat er niet mee kan worden geknoeid. Daarnaast heeft iOS een veilig framework om verificatiegegevens voor apps en netwerken op te slaan in een versleutelde opslaglocatie: de sleutelhanger. Voor ontwikkelaars biedt iOS een Common Crypto-architectuur die gebruikt kan worden om de opslag van appgegevens te versleutelen.
Runtimebeveiliging De apps op het apparaat worden in een sandbox geplaatst, zodat ze geen toegang hebben tot gegevens van andere apps. Bovendien worden systeembestanden, hulpbronnen en de kernel afgeschermd van de ruimte voor apps. Een app kan alleen toegang krijgen tot de gegevens van een andere app via de API's en voorzieningen van iOS. Ten slotte is het genereren van code ook beveiligd.
Verplichte codeondertekening Alle iOS-apps moeten ondertekend zijn. Alle apps die bij het apparaat worden geleverd, zijn door Apple ondertekend. Apps van andere fabrikanten zijn ondertekend door de ontwikkelaar met een door Apple afgegeven certificaat. Dit garandeert dat er niet mee geknoeid is en dat de app niet is gewijzigd. Bovendien worden er runtimecontroles uitgevoerd zodat u er zeker van kunt zijn dat een app nog steeds vertrouwd is sinds u deze voor de laatste keer hebt gebruikt. 20
Technische referentiehandleiding voor iOS-implementatie
Het gebruik van eigen interne apps kan worden beheerd met behulp van een voorzieningenprofiel. Hierbij moet het voorzieningenprofiel geïnstalleerd zijn voordat de app kan worden uitgevoerd. Voorzieningenprofielen kunnen draadloos via MDM worden geïnstalleerd. Ook kunnen beheerders het gebruik van een app op specifieke apparaten beperken.
Beveiligd framework voor identiteitscontrole iOS biedt een veilige, gecodeerde sleutelhanger voor de opslag van digitale identiteitsgegevens, gebruikersnamen en wachtwoorden. De sleutelhangergegevens zijn gepartitioneerd zodat de verificatiegegevens die door apps van derden zijn opgeslagen niet toegankelijk zijn voor apps met een andere identiteit. Hierdoor worden de legitimaties voor identiteitscontroles op iOS-apparaten voor een aantal apps en voorzieningen binnen het bedrijf beveiligd.
Common Crypto-architectuur Ontwikkelaars van apps hebben toegang tot versleutelde API's die zij kunnen gebruiken om hun appgegevens nog beter te beveiligen. Gegevens kunnen symmetrisch worden versleuteld met behulp van beproefde methoden als AES, RC4 en 3DES. Bovendien bieden iOS-apparaten hardwareversnelling voor AESversleuteling en SHA1-hashing, wat de prestaties van apps ten goede komt.
Beveiliging van appgegevens Apps kunnen gebruikmaken van de ingebouwde hardwareversleuteling op iOSapparaten om gevoelige appgegevens nog beter te beveiligen. Ontwikkelaars kunnen bepaalde bestanden aanwijzen voor gegevensbeveiliging, waarbij de inhoud van zo'n bestand cryptografisch ontoegankelijk wordt gemaakt voor zowel de app als potentiële indringers wanneer het apparaat is vergrendeld.
Rechten van apps Een iOS-app heeft standaard maar weinig bevoegdheden. Ontwikkelaars moeten expliciet rechten toevoegen om gebruik te kunnen maken van de meeste voorzieningen, zoals iCloud, verwerking op de achtergrond of gedeelde sleutelhangers. Hiermee wordt voorkomen dat apps zichzelf onbevoegde toegang tot gegevens toekennen. Bovendien moeten iOS-apps expliciet om toestemming van de gebruiker vragen voordat gebruik kan worden gemaakt van veel iOS-voorzieningen zoals gps-gegevens, contacten, de camera of bewaarde foto's.
Internetservices Apple heeft een robuuste set services ontwikkeld om gebruikers te helpen nog meer functionaliteit en productiviteit uit hun apparaten te halen – waaronder iMessage, FaceTime, Siri, iCloud, iCloud-reservekopie en iCloud-sleutelhanger. Deze internetservices zijn ontwikkeld vanuit dezelfde beveiligingsdoelstellingen die overal in iOS zijn gerealiseerd. Deze doelstellingen zijn onder meer beveiligde verwerking van gegevens (opgeslagen op het apparaat of tijdens overdracht via draadloze netwerken), bescherming van de persoonlijke gegevens van gebruikers, en bescherming tegen de dreiging van kwaadwillende of onbevoegde toegang tot informatie en voorzieningen. Elke voorziening gebruikt zijn eigen krachtige beveiligingsarchitectuur zonder daarbij de gebruiksvriendelijkheid van iOS nadelig te beïnvloeden.
iMessage iMessage1 is een berichtensysteem voor iOS-apparaten en Macs. iMessage ondersteunt tekst en bijlagen als foto's, contacten en locaties. De berichten worden weergegeven op alle geregistreerde apparaten van een gebruiker zodat een gesprek op elk van die apparaten kan worden voortgezet. iMessage maakt uitgebreid gebruik van de Apple Push Notification-service (APNs). iMessage maakt gebruik van versleuteling 21
Technische referentiehandleiding voor iOS-implementatie
over het gehele traject, met sleutels die alleen bekend zijn bij de versturende en ontvangende apparaten. Apple kan de berichten niet ontsleutelen en de berichten worden niet geregistreerd.
FaceTime FaceTime2 is de dienst van Apple voor het voeren van video- en audiogesprekken. Tijdens FaceTime-gesprekken wordt gebruikgemaakt van de Apple Push Notificationservice om een verbinding tot stand te brengen, en vervolgens van ICE (Internet Connectivity Establishment) en SIP (Session Initiation Protocol) om een versleutelde stream op te zetten.
Siri Gebruikers kunnen Siri3 met hun stem aansturen om berichten te versturen, vergaderingen te plannen en telefoongesprekken te starten. Siri gebruikt spraakherkenning, tekst-naar-spraak en een client-servermodel om op een breed scala aan verzoeken te kunnen reageren. De taken die door Siri worden ondersteund zijn zo ontworpen dat alleen het absolute minimum aan persoonlijke gegevens wordt gebruikt en dat deze gegevens volledig beveiligd zijn. De vragen en spraakopnamen voor Siri worden niet aan een persoon gekoppeld, en de functies van Siri worden waar mogelijk niet op de server maar op het apparaat zelf uitgevoerd.
iCloud iCloud4 zorgt voor de opslag van muziek, foto's, apps, agenda's, documenten en nog veel meer, en pusht alles automatisch naar het apparaat van een gebruiker. iCloud maakt ook dagelijks via Wi-Fi een reservekopie van onder andere apparaatinstellingen, appgegevens en tekst- en mms-berichten. iCloud beveiligt uw inhoud door deze te coderen bij verzending via het internet, deze te bewaren in een gecodeerde structuur en veilige tokens te gebruiken voor identiteitscontrole. Bovendien kunnen iCloudfuncties als Fotostream, Documenten en gegevens en het maken van reservekopieën met behulp van een configuratieprofiel worden uitgeschakeld. Meer informatie over beveiliging en privacy in iCloud is te vinden op de pagina iCloud: overzicht van iCloud-beveiliging en -privacy.
iCloud-reservekopie iCloud maakt ook dagelijks via Wi-Fi een reservekopie van onder andere apparaatinstellingen, appgegevens en tekst- en mms-berichten. iCloud beveiligt de gegevens door deze te coderen voordat ze via het internet worden verzonden, door ze gecodeerd te bewaren en door veilige tokens te gebruiken voor identiteitscontrole. Er wordt alleen een iCloud-reservekopie gemaakt als het apparaat is vergrendeld, is aangesloten op een voedingsbron en een Wi-Fi-verbinding met het internet heeft. Door de gebruikte encryptie in iOS is het systeem geoptimaliseerd voor de beveiligde opslag van gegevens terwijl er zonder tussenkomst van de gebruiker incrementele reservekopieën kunnen worden gemaakt en teruggezet.
iCloud-sleutelhanger Met iCloud-sleutelhanger kunnen gebruikers hun wachtwoorden veilig synchroniseren tussen iOS-apparaten en Macs, zonder dat die informatie met Apple te delen. Andere doelen – naast privacy en krachtige beveiliging – die een sterke rol hebben gespeeld bij het ontwerp en de architectuur van iCloud-sleutelhanger waren gebruiksvriendelijkheid en de mogelijkheid een sleutelhanger te herstellen. iCloud-sleutelhanger bestaat uit twee services: synchronisatie van sleutelhangers en herstel van sleutelhangers. Apparaten kunnen uitsluitend deelnemen aan de synchronisatie van sleutelhangers nadat de gebruiker dit heeft goedgekeurd, en elk onderdeel van de sleutelhanger dat voor synchronisatie in aanmerking komt, wordt uitgewisseld met behulp van apparaatspecifieke versleuteling via de iCloud-opslag voor sleutel-waarden. Deze onderdelen hebben een tijdelijk karakter en verdwijnen na de synchronisatie uit iCloud. Met herstel van de iCloud-sleutelhanger beschikken gebruikers over een manier om hun sleutelhanger bij Apple in bewaring te geven 22
Technische referentiehandleiding voor iOS-implementatie
zonder dat Apple wachtwoorden of andere opgenomen gegevens kan lezen. Ook als een gebruiker maar een enkel apparaat heeft, kan sleutelhangerherstel een vangnet tegen gegevensverlies vormen. Dit is met name belangrijk als Safari wordt gebruikt voor het genereren van krachtige willekeurige wachtwoorden voor internetaccounts, aangezien deze wachtwoorden dan uitsluitend in de sleutelhanger worden bewaard. Een hoeksteen van sleutelhangerherstel is secundaire identiteitscontrole en een beveiligde service voor het bewaren van sleutelhangers, specifiek door Apple ontwikkeld ter ondersteuning van deze voorziening. De sleutelhanger van de gebruiker wordt met een sterke toegangscode versleuteld, en de bewaarservice geeft uitsluitend een exemplaar van de sleutelhanger af als aan een reeks strikte voorwaarden wordt voldaan. Meer informatie over beveiliging is te vinden in de iOS Security Guide.
23
Technische referentiehandleiding voor iOS-implementatie
Hoofdstuk 3: Configuratie en beheer iOS-implementaties kunnen worden gestroomlijnd met verschillende beheerstechnieken waarmee het instellen van accounts, configureren van beleidsinstellingen, distribueren van apps en toepassen van apparaatbeperkingen een stuk eenvoudiger wordt. De gebruikers kunnen het meeste configuratiewerk zelf doen met de configuratie-assistent in iOS. En nadat iOS-apparaten zijn geconfigureerd en aangemeld bij MDM (mobiel-apparaatbeheer), kunnen ze draadloos door de IT-afdeling worden beheerd. In dit hoofdstuk wordt beschreven hoe configuratieprofielen en MDM kunnen worden gebruikt om uw iOS-implementatie te ondersteunen.
Configuratie en activering van apparaten iOS-gebruikers kunnen dankzij de configuratie-assistent in iOS hun apparaat direct activeren, de basisinstellingen configureren en aan het werk. Na het configureren van de basisinstellingen kunnen de gebruikers hun eigen voorkeuren opgeven, zoals de taal, locatie, Siri, iCloud en Zoek mijn iPhone. En met de configuratieassistent kan de gebruiker bovendien een persoonlijke Apple ID aanmaken.
Apple ID Een Apple ID bestaat uit identiteitsgegevens die worden gebruikt voor aanmelding bij verschillende Apple diensten zoals FaceTime, iMessage, iTunes, de App Store, iCloud en de iBooks Store. Met een Apple ID kunnen gebruikers apps, boeken en materiaal uit de iTunes Store, de App Store en de iBooks Store installeren. Gebruikers kunnen met een Apple ID bovendien een iCloud-account aanvragen, die ze kunnen gebruiken om materiaal op meerdere apparaten te gebruiken en delen. Om deze voorzieningen optimaal te kunnen benutten is het verstandig als de gebruikers hun eigen Apple ID gebruiken. Als ze nog geen Apple ID hebben, kunnen ze zelfs al een ID aanmaken voordat ze een apparaat krijgen, zodat de configuratie zo snel mogelijk kan verlopen. Meer informatie over het aanvragen van een Apple ID is te vinden op de pagina Mijn Apple ID.
Apparaten voorbereiden met Apple Configurator Voor apparaten die centraal door een IT-afdeling worden beheerd en die niet door de gebruikers zelf worden ingesteld, kan Apple Configurator worden gebruikt om apparaten snel te activeren, configuraties aan te maken en toe te wijzen, apparaten onder supervisie te houden en de nieuwste versie van iOS op de apparaten te installeren. Apple Configurator is een gratis programma voor OS X dat verkrijgbaar is in de Mac App Store. Om deze taken te kunnen uitvoeren moeten de apparaten via USB op een Mac worden aangesloten. U kunt ook een reservekopie terugzetten, waardoor de apparaatinstellingen en de indeling van het beginscherm worden gekopieerd en appgegevens worden geïnstalleerd.
24
Technische referentiehandleiding voor iOS-implementatie
Configuratieprofielen Configuratieprofielen zijn XML-bestanden met beveiligings- en beperkingsinstellingen voor het apparaat, VPN-configuratiegegevens, Wi-Fi-instellingen, e-mail- en agendaaccounts en legitimaties voor identiteitscontroles waarmee wordt toegestaan dat iOS-apparaten binnen uw IT-systemen kunnen worden gebruikt. Met configuratieprofielen kopieert u snel instellingen en toegangscontrolegegevens naar een apparaat. Sommige VPN- en Wi-Fi-instellingen kunnen alleen via een configuratieprofiel worden ingesteld. U moet dan een configuratieprofiel gebruiken om beleidsinstellingen voor toegangscodes in te stellen als u geen Microsoft Exchange gebruikt. Configuratieprofielen kunnen worden gedistribueerd via Over-the-Air Profile Delivery of MDM. Met Apple Configurator kunt u configuratieprofielen installeren op apparaten die via USB op een computer zijn aangesloten, of u kunt configuratieprofielen distribueren via e-mail of een webpagina. Zodra gebruikers de e-mailbijlage openen of het profiel via Safari downloaden op hun apparaat, wordt gevraagd of zij het installatieproces willen starten. Als u gebruikmaakt van een MDM-server, kunt u een eerste profiel distribueren dat alleen de configuratiegegevens van de server bevat. Vervolgens kunt u het apparaat alle andere profielen draadloos laten ophalen. Configuratieprofielen kunnen worden gecodeerd en ondertekend, zodat u het gebruik ervan kunt beperken tot een bepaald apparaat en kunt voorkomen dat gebruikers de instellingen van een profiel kunnen wijzigen. Daarnaast kunt u instellen dat een profiel aan het apparaat is vergrendeld. Op deze manier kan het profiel alleen worden verwijderd door alle gegevens van het apparaat te verwijderen of door een toegangscode in te voeren. Gebruikers kunnen de instellingen die afkomstig zijn van een configuratieprofiel niet wijzigen, met uitzondering van het wachtwoord. Accounts die via een profiel zijn geconfigureerd, zoals Exchange-accounts, kunnen bovendien alleen worden verwijderd door het profiel te wissen. Ga naar Configuration Profile Key Reference op de iOS Developer Library-site voor meer informatie.
Mobile Device Management (MDM) iOS beschikt over een ingebouwd MDM-framework waarmee MDM-oplossingen van andere fabrikanten draadloos met iOS-apparaten kunnen communiceren. Dit ongecompliceerde framework is specifiek voor iOS-apparaten ontworpen en is krachtig en schaalbaar genoeg om alle iOS-apparaten binnen een organisatie volledig te configureren en beheren. Met het gebruik van een MDM-oplossing kunnen IT-beheerders apparaten binnen een bedrijfsomgeving op een beveiligde manier aanmelden, instellingen configureren en bijwerken, naleving van de beleidsinstellingen controleren en beheerde apparaten op afstand vergrendelen of wissen. In iOS kan de IT-afdeling met behulp van MDMoplossingen probleemloos de toegang van gebruikers tot netwerkvoorzieningen en een correcte configuratie van de apparaten regelen – ongeacht de vraag wie eigenaar van de apparaten is. De MDM-oplossingen maken gebruik van de Apple Push Notification-service (APNs) zodat er voortdurend communicatie is met de apparaten in zowel openbare als privénetwerken. Voor MDM zijn meerdere certificaten vereist, waaronder een APNs-certificaat voor het communiceren met clients en een SSL-certificaat om de communicatie te beveiligen. In een MDM-oplossing kunnen profielen ook met een certificaat worden ondertekend. De meeste certificaten, waaronder APNs-certificaten, moeten jaarlijks worden vernieuwd. Als een certificaat verlopen is, kan de MDM-server niet met clients 25
Technische referentiehandleiding voor iOS-implementatie
communiceren zolang het certificaat niet is bijgewerkt. Werk alle MDM-certificaten altijd bij voordat deze verlopen. Ga voor meer informatie over MDM-certificaten naar de Apple Push Certificates Portal.
Aanmelden Door aanmelding van apparaten kan er een appcatalogus worden gemaakt en kunnen apparaten worden beheerd. Bij aanmelding kan het SCEP-protocol (Simple Certificate Enrollment Protocol) worden gebruikt, waarmee iOS-apparaten unieke identiteitscertificaten voor de identiteitscontrole voor bedrijfsvoorzieningen kunnen aanmaken en aanmelden. In de meeste gevallen beslissen de gebruikers of hun apparaat al dan niet bij MDM wordt aangemeld, en ze kunnen de koppeling met MDM op elk moment verbreken. Het wordt aangeraden om gebruikers ertoe te bewegen het MDMbeheer niet uit te schakelen. U kunt bijvoorbeeld MDM-aanmelding voor toegang tot het Wi-Fi-netwerk vereisen door de inloggegevens daarvoor automatisch via MDM te verstrekken. Als een gebruiker zich bij MDM afmeldt, probeert het apparaat dit aan de MDM-server door te geven. Het Device Enrollment Program kan ook worden gebruikt om apparaten die eigendom zijn van de instelling tijdens de eerste configuratie onder supervisie te plaatsen en bij MDM aan te melden. De gebruikers van deze apparaten kunnen MDM dan niet omzeilen of hun apparaten afmelden. Zie "Aanmelding en supervisie van apparaten" verderop in dit hoofdstuk voor meer informatie en de beschikbaarheid van het Device Enrollment Program.
Configuratie Zodra een apparaat is aangemeld kan het dynamisch worden geconfigureerd met instellingen en beleidsregels door de MDM-server. Deze verstuurt configuratieprofielen naar het apparaat die automatisch (en op de achtergrond) door het apparaat worden geïnstalleerd. Configuratieprofielen kunnen worden ondertekend, versleuteld en vergrendeld. Hiermee wordt voorkomen dat de instellingen worden veranderd of gedeeld en wordt ervoor gezorgd dat uitsluitend vertrouwde gebruikers en apparaten die volgens uw specificaties zijn geconfigureerd toegang hebben tot uw netwerk en diensten. Als een gebruiker een apparaat afmeldt bij MDM, worden alle via MDM geïnstalleerde instellingen verwijderd.
Accounts Met MDM kunnen de gebruikers binnen uw organisatie snel aan de slag bij het automatisch instellen van e-mail en andere accounts. Afhankelijk van de MDMoplossing en de integratie met uw interne systemen, kunnen de accountgegevens vooraf worden aangevuld met gebruikersnamen, mailadressen en eventueel certificaatidentiteiten voor identiteitscontrole en ondertekening. Met MDM kunnen de volgende soorten accounts worden geconfigureerd: • Mail • Agenda • Agenda's met abonnement • Contacten • Exchange ActiveSync • LDAP In beheerde mail- en agenda-accounts wordt rekening gehouden met de beperkingen van de nieuwe Open in-functie in iOS 7.
26
Technische referentiehandleiding voor iOS-implementatie
Informatieverzoeken Een MDM-server kan apparaten benaderen om allerlei informatie op te vragen. Het gaat daarbij om hardwaregegevens, zoals het serienummer, de UDID van het apparaat of het MAC-adres voor Wi-Fi, en softwaregegevens, zoals de iOS-versie en een lijst met alle apps die op het apparaat geïnstalleerd zijn. Met deze informatie kan worden gecontroleerd of gebruikers de juiste set apps gebruiken. Met Apple TV met softwareversie 5.4 of hoger kan MDM ook aangemelde Apple TV-apparaten benaderen met vragen over bijvoorbeeld taal, subtaal en organisatie.
Commando's Een toestel kan worden beheerd door een speciale beheerserver via een aantal specifieke taken. Beheerstaken omvatten: • Wijzigen van configuratie-instellingen. Er kan een commando worden gegeven om een nieuw of bijgewerkt configuratieprofiel op een apparaat te installeren. Wijzigingen in de configuratie vinden op de achtergrond plaats zonder tussenkomst van de gebruiker. • Vergrendeling van een apparaat. Als een apparaat direct vergrendeld moet worden, kan er een commando worden gegeven waarmee het apparaat met gebruikmaking van de op dat moment ingestelde toegangscode wordt vergrendeld. • Op afstand wissen van een apparaat. Bij verlies of diefstal van een apparaat kan er een commando worden gegeven waarmee alle gegevens van een apparaat worden verwijderd. Een ontvangen commando tot wissen op afstand kan niet ongedaan gemaakt worden. • Verwijderen van een codeslot. Als een codeslot wordt verwijderd moet de gebruiker direct een nieuwe toegangscode opgeven. Deze functie wordt gebruikt als een gebruiker de toegangscode is vergeten en de IT-afdeling vraagt de code opnieuw in te stellen. • Aanvragen en stoppen van synchrone AirPlay-weergave. iOS 7 bevat een commando waarmee een iOS-apparaat onder supervisie wordt gevraagd met synchrone AirPlay-weergave naar een specifieke bestemming te beginnen of een lopende AirPlay-sessie te beëindigen.
Beheerde apps Organisaties willen vaak software onder de gebruikers distribueren zodat deze productief kunnen werken of studeren. Maar tegelijkertijd moeten organisaties de controle houden over de manier waarop die software verbinding maakt met interne voorzieningen of waarop wordt omgegaan met gegevensbeveiliging wanneer een gebruiker de organisatie verlaat. Daarnaast is er sprake van bedrijfssoftware en persoonlijke apps en gegevens op één apparaat. Met beheerde apps in iOS 7 kan een organisatie gratis apps, betaalde apps en bedrijfsapps draadloos distribueren via MDM en daarbij de juiste balans vinden tussen beveiliging en privacy. Via een MDM-server kunnen zowel App Store-apps als interne apps draadloos worden geïmplementeerd. Betaalde en gratis apps uit de App Store kunnen door een MDM-server worden beheerd door distributie via het VPP. Zie "Volume Purchase Program" in hoofdstuk 4 voor meer informatie over beheerde distributie met MDM. VPP-apps kunnen op drie manieren geïnstalleerd worden. Gebruikers met een eigen apparaat worden door MDM gevraagd de app te installeren vanuit de App Store. Hiervoor moeten ze hun Apple ID opgeven. Bij een apparaat onder supervisie van de organisatie dat is aangemeld bij MDM, vindt de installatie van de app op de achtergrond plaats. Als een apparaat niet bij MDM is aangemeld, worden VPP-apps door de gebruiker geïnstalleerd met het inwisselen van een aankoopcode. De app wordt dan aan de persoonlijke Apple ID gekoppeld. 27
Technische referentiehandleiding voor iOS-implementatie
Beheerde apps kunnen op afstand worden verwijderd door de MDM-server of wanneer de gebruiker zijn of haar apparaat afmeldt bij MDM. Als de app wordt verwijderd, worden ook alle bijbehorende gegevens verwijderd. Als de VPP-app nog steeds aan de gebruiker is toegewezen of als de gebruiker een app-code heeft ingewisseld met gebruikmaking van de eigen Apple ID, kan de app opnieuw uit de App Store worden gedownload, maar in dat geval is de app niet langer beheerd. Met de combinatie van iOS 7 en MDM beschikt u over een reeks aanvullende beperkingen en mogelijkheden voor beheerde apps waarmee de veiligheid en gebruiksvriendelijkheid nog verder verbeterd kunnen worden: • Open in-functie. Deze functie biedt twee krachtige functies voor de bescherming van de appgegevens van organisaties: – Documenten gemaakt in onbeheerde apps mogen in beheerde apps worden geopend. Als deze beperking wordt afgedwongen, wordt voorkomen dat persoonlijke apps en accounts van de gebruiker documenten openen in apps die door de organisatie worden beheerd. Met deze beperking wordt bijvoorbeeld voorkomen dat de Keynote-app van de gebruiker een pdf-presentatie opent in de pdf-lezer van de organisatie. Met deze beperking wordt ook voorkomen dat de persoonlijke iCloud-account van een gebruiker een tekstdocument opent in de Pages-app van de organisatie. – Documenten gemaakt in beheerde apps mogen in onbeheerde apps worden geopend. Als deze beperking wordt afgedwongen, wordt voorkomen dat beheerde apps apps en accounts van de organisatie documenten openen in persoonlijke apps van de gebruiker. Met deze beperking wordt bijvoorbeeld voorkomen dat een vertrouwelijke e-mailbijlage in de beheerde mailaccount van de organisatie wordt geopend in een van de persoonlijke apps van de gebruiker. • Configuratie van apps. App-ontwikkelaars kunnen aangeven welke app-instellingen kunnen worden opgegeven als de app als beheerde app wordt geïnstalleerd. Deze configuratie-instellingen kunnen voor of na de installatie van de beheerde app worden opgegeven. • Feedback van apps. App-ontwikkelaars kunnen de app zó maken dat bepaalde instellingen met behulp van MDM uit een beheerde app kunnen worden uitgelezen. Een ontwikkelaar kan bijvoorbeeld een "DidFinishSetup"-sleutel opgeven waarmee een MDM-server feedback van een app kan opvragen om na te gaan of de app is geactiveerd en geconfigureerd. • Reservekopie voorkomen. Met deze beperking wordt voorkomen dat er een reservekopie van beheerde apps wordt bewaard in iCloud of iTunes. Door het maken van reservekopieën te verbieden is het niet mogelijk gegevens uit beheerde apps terug te zetten als de app via MDM wordt verwijderd en later door de gebruiker opnieuw geïnstalleerd wordt.
Aanmelding en supervisie van apparaten Het Device Enrollment Program biedt een snelle en gestroomlijnde manier om iOSapparaten te implementeren die in bezit van de organisatie zijn en die rechtstreeks bij Apple zijn gekocht. U kunt apparaten automatisch aanmelden bij MDM zonder ze fysiek in handen te hoeven hebben, of de apparaten voorbereiden voordat ze in handen van de gebruikers komen. En u kunt het configuratieproces voor de gebruikers verder vereenvoudigen door specifieke stappen uit de configuratie-assistent te verwijderen – zodat de gebruikers snel aan de slag kunnen. U kunt ook aangeven of de gebruikers het MDM-profiel van het apparaat kunnen verwijderen. Alleen apparaten die rechtstreeks bij Apple in de VS zijn gekocht via uw Apple klantnummer komen in aanmerking voor gebruik in het Device Enrollment Program. Apparaten die in aanmerking komen, kunnen via de website van het 28
Technische referentiehandleiding voor iOS-implementatie
programma aan uw MDM-server worden toegewezen. Bestellingen bij Apple tot de laatste drie jaar vanaf de datum van inschrijving bij het programma kunnen worden opgezocht. U kunt binnen die bestellingen ook apparaten zoeken op type en serienummer. Vanaf het moment dat nieuwe bestellingen worden verzonden, zijn ze te vinden op de programmawebsite. Als u bijvoorbeeld 4000 iPads bestelt, kunt u het ordernummer gebruiken om alle apparaten of een specifiek deel daarvan aan een bestaande geautoriseerde MDM-server toe te wijzen. U kunt ook apparaten op serienummer aan een specifieke MDM-server toewijzen. Deze methode is handig in situaties waarin de apparaten die u moet toewijzen fysiek in uw bezit zijn. Nadat apparaten zijn toegewezen aan een MDM-server in het programma, kunnen profielen en aanvullende voorzieningen worden toegepast met behulp van de MDM-server van uw organisatie. Tot deze voorzieningen behoren onder andere: • Supervisie over een apparaat • Verplichte configuratie • Vergrendelbare MDM-instellingen • Stappen uit de configuratie-assistent overslaan Schermen uit de configuratie-assistent die kunnen worden overgeslagen: • Toegangscode. Het instellen van een toegangscode wordt overgeslagen • Locatie. Locatievoorzieningen worden niet ingeschakeld • Terugzetten vanaf reservekopie. Terugzetten vanaf reservekopie is niet mogelijk • Apple ID. Aanmelding met een Apple ID wordt overgeslagen • Servicevoorwaarden. De servicevoorwaarden worden overgeslagen • Siri. Siri wordt niet ingeschakeld • Diagnostische gegevens versturen. Diagnostische informatie wordt niet automatisch verstuurd
Apparaten onder supervisie Supervisie biedt een hogere mate van beheer voor apparaten die in het bezit zijn van de organisatie. Er kunnen aanvullende beperkingen worden ingesteld zoals het uitschakelen van iMessage of GameCenter. Ook zijn er aanvullende configuraties en voorzieningen mogelijk, zoals het filteren van websites of de mogelijkheid apps op de achtergrond te installeren. Binnen het Device Enrollment Program kan supervisie draadloos op het apparaat worden ingeschakeld als onderdeel van het installatieproces, of worden ingeschakeld met behulp van Apple Configurator. In Bijlage B vindt u de specifieke beperkingen die op apparaten onder supervisie kunnen worden ingeschakeld.
29
Technische referentiehandleiding voor iOS-implementatie
Hoofdstuk 4: Distributie van apps iOS is uitgerust met een verzameling apps waarmee de mensen in uw organisatie al hun dagelijkse taken kunnen uitvoeren, zoals e-mailen, agenda's en contactgegevens bijhouden en materiaal op het internet raadplegen. Veel van de functionaliteit die gebruikers nodig hebben om productief aan de slag te kunnen, is te vinden in de honderdduizenden apps die verkrijgbaar zijn in de App Store of via op maat gemaakte interne bedrijfsapps. Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie kunt implementeren. Met het Volume Purchase Program (VPP) kunt u apps en boeken kopen en toewijzen via MDM, ook apps uit de App Store, aangepaste B2B-apps en boeken uit de iBooks Store. Als u zich aanmeldt bij het iOS Developer Enterprise Program kunt u bovendien uw eigen interne apps ontwikkelen en implementeren. In dit hoofdstuk worden de verschillende manieren beschreven die u kunt gebruiken om apps onder de gebruikers te distribueren.
Volume Purchase Program De App Store en de iBooks Store bevatten duizenden indrukwekkende apps en boeken die de gebruikers kunnen kopen, downloaden en installeren. Met het Volume Purchase Program (VPP) kan uw organisatie apps en boeken in bulk kopen om te distribueren onder werknemers, opdrachtnemers of studenten. Alle betaalde en gratis apps en boeken in de App Store en iBooks Store komen in aanmerking voor aanschaf via het programma. Bovendien kunt u via het Volume Purchase Program for Business ook aangepaste B2B-apps voor iOS aanschaffen die voor u zijn ontwikkeld door andere ontwikkelaars en bedrijfspartners dan Apple. Met de introductie van beheerde distributie zorgt iOS 7 voor belangrijke verbeteringen in het Volume Purchase Program (VPP). Met deze mogelijkheid kunnen apps voor gebruikers worden gekocht en toegewezen via MDM maar blijven ze onder controle van de organisatie. Het resultaat is dat apps aan gebruikers kunnen worden toegewezen, weer kunnen worden ingetrokken, en vervolgens aan andere gebruikers worden toegewezen als de situatie daarom vraagt.
Beheerde distributie Wanneer u op grote schaal apps en boeken koopt, kunt u materiaal direct onder de gebruikers distribueren via zogenaamde inwisselcodes, of kunt u (in iOS 7 of OS X Mavericks versie 10.9 of hoger) gebruikmaken van beheerde distributie om apps en boeken aan gebruikers toe te wijzen via MDM. Toegewezen apps of boeken kunnen door de gebruikers op al hun apparaten worden gebruikt. Als ze de app niet langer nodig hebben of de organisatie verlaten, kunt u deze aan een andere gebruiker toewijzen. Boeken kunnen niet worden ingetrokken nadat ze zijn toegewezen. Als u namens uw gebruikers apps hebt gekocht, kunt u beheerde distributie kiezen als implementatiemethode. Voordat u MDM gebruikt om apps aan gebruikers toe te wijzen, moet u uw MDM-server met een veilige token aan uw VPP-account koppelen. Deze veilige token kan naar uw MDM-server gedownload worden via uw accountoverzicht in de VPP-store. 30
Technische referentiehandleiding voor iOS-implementatie
Om gebruikers aan een beheerde distributie via het VPP te kunnen laten deelnemen, moeten ze eerst worden uitgenodigd. Als een gebruiker een uitnodiging voor beheerde distributie aanvaardt, wordt hun persoonlijke Apple ID aan uw organisatie gekoppeld. De gebruiker hoeft u niet te vertellen wat de Apple ID is en u hoeft zelf geen Apple ID's voor de gebruikers aan te maken of te leveren. Zodra een app via MDM aan een gebruiker is toegewezen, verschijnt deze in de aankoopgeschiedenis van die gebruiker in de App Store. De gebruiker kan worden gevraagd akkoord te gaan met de installatie van de app. In het geval van apparaten onder supervisie kan de app ook op de achtergrond geïnstalleerd worden. Als een app weer wordt ingetrokken, kan de app nog gedurende 30 dagen worden geopend. Tijdens deze respijtperiode krijgen gebruikers de melding dat de app niet langer aan ze is toegewezen. Ze kunnen er dan voor kiezen de app zelf te kopen in de App Store (en dat moeten ze ook doen als ze eventuele gegevens in de app willen behouden).
Inschrijven voor het Volume Purchase Program Als u apps in grote hoeveelheden wilt aanschaffen, moet u zich bij het programma inschrijven en een account aanmaken bij Apple. U moet daarbij bepaalde gegevens over uw organisatie verstrekken, zoals een D&B D-U-N-S-nummer (als u een bedrijf bent) en contactgegevens. Daarnaast moet u een Apple ID aanmaken die specifiek voor beheer van het programma wordt gebruikt. Meer informatie over inschrijving en de landen of regio's waar het Volume Purchase Program beschikbaar is, kunt u vinden op: Volume Purchase Program for Business Volume Purchase Program for Education
Apps in grote aantallen aanschaffen U gebruikt de website van het Volume Purchase Program om apps voor uw bedrijf of onderwijsinstelling te kopen. Gebruik de Apple ID van uw VPP-account om in te loggen bij de website. Zoek de apps die u wilt aanschaffen en geef vervolgens het gewenste aantal exemplaren aan. Betalen kan met de creditcardgegevens van het bedrijf of VPP-krediet dat u via een inkooporder hebt verkregen. Het aantal exemplaren dat u van een app kunt aanschaffen, is onbeperkt. Per aangekocht exemplaar kan worden gekozen voor inwisselcodes of beheerde distributie. U kunt uitsluitend inwisselcodes aanschaffen voor betaalde apps en boeken. Zowel gratis als betaalde apps en boeken kunnen beheerd worden gedistribueerd. Als u inwisselcodes aankoopt, krijgt u per e-mail bericht zodra uw codes klaar zijn. In het accountgedeelte van de VPP-website vindt u vervolgens een XLS-werkblad met de inwisselcodes. Op de website staat een overzicht van al uw aankopen, met vermelding van ordernummer, appnaam, totale kosten en aantal licenties. Download het bijbehorende werkblad om voor elke app en de aangeschafte aantallen de inwisselcodes te zien. Als u bijvoorbeeld zeven exemplaren van de app Pages koopt, ontvangt u zeven inwisselcodes voor Pages. In het werkblad staat ook een specifieke url voor elke inwisselcode. Via deze url's kunnen gebruikers de apps op hun apparaten downloaden en installeren zonder de inwisselcode te hoeven invoeren. Als u hebt gekozen voor beheerde distributie als distributietype, zijn de apps beschikbaar voor toewijzing via uw MDM-oplossing, mits deze gekoppeld is aan uw VPP-account en een geldig token heeft.
31
Technische referentiehandleiding voor iOS-implementatie
Inwisselcodes distribueren U kunt de url's via e-mail of per sms distribueren, of op een website plaatsen die u voor de beoogde groepen en gebruikers toegankelijk maakt. U zou bijvoorbeeld een website kunnen aanmaken waarop een catalogus wordt weergegeven van de apps die u hebt aangeschaft, en waarop geautoriseerde gebruikers inwisselcodes daarvoor kunnen krijgen. Veel MDM-oplossingen (Mobile Device Management, mobiel-apparaatbeheer) van andere fabrikanten dan Apple bieden ook de mogelijkheid om codes centraal te beheren en te distribueren. De gebruikers installeren de apps die u voor hen hebt aangeschaft door op hun iOS-apparaat de inwisselings-url te volgen. Daarmee worden ze rechtstreeks naar de App Store geleid, waar de inwisselcode al is ingevoerd, zodat zij alleen nog maar met hun Apple ID een identiteitscontrole hoeven te laten uitvoeren. De procedure is dezelfde als voor elke andere app in de App Store, maar dankzij de vooruitbetaalde inwisselcode die u aan de gebruikers hebt verstrekt, hoeven zij er niet voor te betalen. Elke inwisselcode kan slechts één keer worden gebruikt. Elke keer dat er een inwisselcode wordt gebruikt, wordt het aankoopwerkblad op de website van het Volume Purchase Program bijgewerkt. U kunt het werkblad downloaden om na te gaan hoeveel codes er zijn gebruikt en de resterende inwisselcodes te zien. Zodra een gebruiker de app heeft geïnstalleerd, wordt er een reservekopie van de app gemaakt en wordt de app bijgewerkt, net zoals bij elke andere app uit de App Store het geval is.
B2B-apps op maat Ook aangepaste apps die een ontwikkelaar voor uw bedrijf maakt of aanpast (B2Bapps), kunnen via het Volume Purchase Program worden aangeschaft. Ontwikkelaars die zich hebben aangemeld voor het iOS Developer Program kunnen apps voor B2B-distributie indienen via iTunes Connect. De procedure is dus gelijk aan de procedure die wordt gebruikt om andere apps in te dienen bij de App Store. De ontwikkelaar stelt de prijs per exemplaar vast en voegt uw Apple ID voor het Volume Purchase Program toe aan zijn lijst met geautoriseerde B2B-kopers. Alleen geautoriseerde kopers kunnen de app zien of aanschaffen. B2B-apps worden niet beveiligd door Apple: de beveiliging van de gegevens in een app valt onder de verantwoordelijkheid van de ontwikkelaar. Ontwikkelaars wordt aangeraden de optimale iOS-werkwijzen te hanteren voor de identiteitscontrole en codering in apps. Nadat Apple de app heeft beoordeeld, gebruikt u de website van het Volume Purchase Program om exemplaren aan te schaffen, zoals hierboven beschreven onder "Apps in grote aantallen aanschaffen". B2B-apps op maat zijn niet zichtbaar in de App Store. Ze kunnen alleen worden aangeschaft via de website van het Volume Purchase Program.
Interne apps Als u zelf iOS-apps ontwikkelt voor gebruik in uw eigen organisatie, kunt u deze apps via het iOS Developer Enterprise Program implementeren. De procedure voor het implementeren van uw eigen app is als volgt: • Meld u aan voor het iOS Developer Enterprise Program. • Maak uw app klaar voor distributie. • Maak een voorzieningenprofiel voor bedrijfsdistributie aan om gebruik van de ondertekende apps op de apparaten mogelijk te maken. • Bouw de app met het voorzieningenprofiel. • Implementeer de app bij uw gebruikers. 32
Technische referentiehandleiding voor iOS-implementatie
Aanmelden voor het ontwikkelen van apps Om interne apps voor iOS te kunnen ontwikkelen en implementeren, moet u zich eerst aanmelden voor het iOS Developer Enterprise Program. Zodra u zich hebt aangemeld, kunt u een certificaat en een voorzieningenprofiel voor ontwikkelaars aanvragen. Deze gebruikt u tijdens de ontwikkeling om uw app te kunnen bouwen en testen. Het voorzieningenprofiel voor ontwikkelaars is nodig om apps die met uw ontwikkelaarscertificaat zijn ondertekend op geregistreerde apparaten te kunnen gebruiken. U kunt het voorzieningenprofiel voor ontwikkelaars aanmaken op de iOS Provisioning Portal. Het ad-hocprofiel, dat drie maanden geldig is, bevat de apparaat-ID van de apparaten waarop ontwikkelversies van uw app kunnen worden gebruikt. De versie die is ondertekend met uw ontwikkelaarscertificaat verstrekt u samen met het voorzieningenprofiel voor ontwikkelaars aan uw appteam en uw testers.
Apps klaarmaken voor distributie Als de ontwikkel- en testfase van de app is afgerond en de app klaar is voor distributie, ondertekent u uw app met uw distributiecertificaat en verpakt u deze met een voorzieningenprofiel. De Team Agent of de Admin die aan u is toegewezen maakt het certificaat en het profiel aan via de iOS Provisioning Portal. Het distributiecertificaat wordt gegenereerd met behulp van de certificaatassistent (onderdeel van het programma Sleutelhangertoegang op uw OS X-ontwikkelingssysteem), waarmee een certificaatondertekeningsaanvraag (CSR) wordt aangemaakt. Als u deze CSR uploadt naar de iOS Provisioning Portal, ontvangt u een distributiecertificaat. Als u dit certificaat vervolgens in Sleutelhanger installeert, kunt u instellen dat Xcode het certificaat gebruikt om uw app te ondertekenen.
Voorzieningen voor interne bedrijfsapps Dankzij het voorzieningenprofiel voor bedrijfsdistributie kan uw app op een onbeperkt aantal iOS-apparaten worden geïnstalleerd. U kunt een voorzieningenprofiel voor bedrijfsdistributie aanmaken voor een specifieke app of voor meerdere apps. Als zowel het distributiecertificaat als het voorzieningenprofiel voor bedrijven op uw Mac zijn geïnstalleerd, kunt u uw app ondertekenen en er een release-/productieversie van maken met behulp van Xcode. Uw distributiecertificaat voor bedrijven is drie jaar geldig. Daarna moet u uw app opnieuw bouwen en ondertekenen met een vernieuwd certificaat. Het voorzieningenprofiel voor de app is één jaar geldig, dus u moet ieder jaar nieuwe voorzieningenprofielen uitbrengen. Zie "Bijgewerkte apps distribueren" in Bijlage C voor meer informatie. Het is van groot belang dat u de toegang tot uw distributiecertificaat en de bijbehorende persoonlijke sleutel zeer beperkt houdt. Met Sleutelhangertoegang in OS X kunt u deze onderdelen exporteren en er een reservekopie van maken in de p12-structuur. Als u de persoonlijke sleutel kwijtraakt, kan deze niet worden hersteld of opnieuw worden gedownload. Niet alleen het certificaat en de persoonlijke sleutel vragen echter om geheimhouding. U moet er ook voor zorgen dat zo weinig mogelijk medewerkers contact kunnen hebben met degenen die verantwoordelijk zijn voor de uiteindelijke acceptatie van de app. Door de app te ondertekenen met het distributiecertificaat verleent uw bedrijf goedkeuring aan de inhoud en het functioneren van de app en erkent het bedrijf dat de app voldoet aan de licentievoorwaarden van de Enterprise Developer Agreement.
33
Technische referentiehandleiding voor iOS-implementatie
Apps implementeren U kunt een app op vier manieren implementeren: • De app distribueren zodat de gebruikers de app via iTunes kunnen installeren. • De app door een IT-beheerder op apparaten laten installeren met behulp van Apple Configurator. • De app op een beveiligde webserver plaatsen zodat gebruikers de installatie draadloos kunnen uitvoeren. Zie "Bijlage C: Draadloos interne apps installeren". • Uw eigen app of een app uit de App Store via uw MDM-server op een beheerd apparaat installeren, indien uw MDM-server deze functie ondersteunt.
Apps installeren via iTunes Als uw gebruikers apps op hun apparaat installeren via iTunes, distribueert u de app op een beveiligde manier onder de gebruikers en laat u hen de hier aangegeven stappen volgen: 1. Open iTunes, kies 'Archief' > 'Voeg toe aan bibliotheek' (Mac) of 'Bestand' > 'Aan bibliotheek toevoegen' (Windows) en selecteer vervolgens het bestand (.app, .ipa of .mobileprovision). De gebruiker kan het bestand ook naar het programmasymbool van iTunes slepen. 2. Sluit een apparaat op de computer aan en selecteer het vervolgens in de lijst 'Apparaten' in iTunes. 3. Klik op de tab 'Apps' en selecteer de app in de lijst. 4. Klik op 'Pas toe' (Mac) of 'Toepassen' (Windows). Als de computers van de gebruikers worden beheerd, hoeft u de gebruikers niet te vragen de bestanden aan iTunes toe te voegen. U kunt de bestanden op de computers van de gebruikers implementeren en de gebruikers vervolgens vragen hun apparaat te synchroniseren. iTunes installeert automatisch de bestanden die in de mappen 'Mobile Applications' en 'Provisioning Profiles' van het programma staan.
Apps installeren met Apple Configurator Apple Configurator is een gratis programma voor OS X dat verkrijgbaar is in de Mac App Store. Het kan door IT-beheerders worden gebruikt om interne apps of apps uit de App Store te installeren. Voor betaalde apps uit de App Store moet u eerst een spreadsheet met inwisselcodes van het Volume Purchase Program importeren naar Apple Configurator. U kunt daarna een aangeschafte app installeren op zoveel apparaten als het aantal inwisselcodes dat u hebt. Telkens als u een app op een apparaat installeert, markeert Apple Configurator één code als ingewisseld, zodat deze niet opnieuw kan worden gebruikt. Gratis apps uit de App Store of interne bedrijfsapps kunnen rechtstreeks worden geïmporteerd in Apple Configurator, en op een onbeperkt aantal apparaten worden geïnstalleerd. Ga voor meer informatie naar Apple Configurator: inwisselcodes van het volumeaankoopprogramma (VPP of Volume Purchase Program) gebruiken.
Apps installeren met MDM Een MDM-server kan apps van andere fabrikanten uit de App Store en interne apps beheren. Apps die zijn geïnstalleerd met behulp van het MDM worden "beheerde apps" genoemd. De MDM-server kan aangeven of beheerde apps en de bijbehorende gegevens achterblijven als de gebruiker zich afmeldt bij MDM. Bovendien kan de server ervoor zorgen dat er geen reservekopie van beheerde appgegevens in iTunes of iCloud wordt gemaakt. Op deze manier kan de IT-beheerder apps die mogelijk gevoelige bedrijfsgegevens bevatten beter beheren dan apps die direct door de gebruiker worden gedownload. 34
Technische referentiehandleiding voor iOS-implementatie
Om een beheerde app te installeren, stuurt de MDM-server een installatieverzoek naar het apparaat. Op apparaten die niet onder supervisie staan, moet de gebruiker eerst toestemming geven voordat beheerde apps worden geïnstalleerd. Voor beheerde apps bestaan er aanvullende beheersmogelijkheden in iOS 7. VPN-verbindingen kunnen nu op appniveau worden opgegeven; dat betekent dat alleen het netwerkverkeer voor die specifieke app via de beveiligde VPNtunnel wordt verstuurd. Zo blijven privégegevens privé, en kunnen ze niet worden verstoord door andere gegevens. Beheerde apps bieden ook ondersteuning voor de Open in-functie in iOS 7. Dit betekent dat gegevensoverdracht van beheerde apps naar of van de persoonlijke apps van de gebruiker kan worden beperkt, zodat de gevoelige gegevens van de onderneming gegarandeerd veilig zijn.
Caching Server Dankzij iOS hebben gebruikers gemakkelijk toegang tot digitaal materiaal. Sommige gebruikers zullen hun apps, boeken en software bijwerken via het draadloze netwerk van de organisatie. Het kan hierbij gaan om grote hoeveelheden gigabytes. De vraag vertoont pieken: de eerste piek bij de implementatie van het apparaat, en vervolgens sporadischer, wanneer gebruikers nieuw materiaal ontdekken of er materiaal wordt bijgewerkt. Dit kan resulteren in plotselinge stijgingen van de vraag naar internetbandbreedte. Het onderdeel Caching Server in OS X Server vermindert de uitgaande internetbandbreedte op persoonlijke netwerken (RFC1918) door kopieën van opgevraagd materiaal in een cache op het lokale netwerk te plaatsen. Bij grotere netwerken kan het verstandig zijn meerdere Caching Servers te installeren. Voor veel implementatiemodellen is het configureren van Caching Server een kwestie van het inschakelen van de voorziening. Er is een NAT-omgeving vereist voor de server en alle apparaten die er gebruik van maken. Meer informatie: Geavanceerde beheergids voor OS X Server > Configure advanced cache settings. iOS-apparaten met iOS 7 maken automatisch contact met een Caching Server in de buurt. Hiervoor is geen extra apparaatconfiguratie nodig. De werkwijze van de Caching Server is transparant voor het iOS-apparaat: 1. Als een iOS-apparaat op een netwerk met een of meer Caching Servers materiaal opvraagt van de iTunes Store of de software-updateserver, wordt het iOS-apparaat doorgeleid naar een Caching Server. 2. De Caching Server controleert eerst of het gevraagde materiaal zich al in de lokale cache bevindt. Is dit het geval, dan wordt het materiaal direct beschikbaar gesteld aan het iOS-apparaat. 3. Als het gevraagde materiaal niet aanwezig is op de Caching Server, wordt geprobeerd het materiaal vanaf een andere bron te downloaden. Caching Server 2 voor OS X Mavericks beschikt over peer-to-peer-replicatie waarmee andere Caching Servers op het netwerk kunnen worden gebruikt als die het gevraagde materiaal al hebben gedownload. 4. Terwijl de Caching Server downloadgegevens ontvangt, worden deze direct doorgegeven aan de clients die ze hadden opgevraagd, en als kopie in de cache geplaatst. De volgende typen cache-inhoud worden ondersteund door iOS 7: • iOS-software-updates • Apps uit de App Store • App Store-updates • Boeken uit de iBooks Store 35
Technische referentiehandleiding voor iOS-implementatie
iTunes ondersteunt ook Caching Server 2. De volgende typen inhoud worden ondersteund door iTunes 11.0.4 of hoger (Mac en Windows): • Apps uit de App Store • App Store-updates • Boeken uit de iBooks Store
36
Technische referentiehandleiding voor iOS-implementatie
Bijlage A: Wi-Fi-infrastructuur Bij het voorbereiden van de Wi-Fi-infrastructuur voor een iOS-implementatie moet u rekening houden met verschillende aspecten: • Benodigd bereik • Aantal en dichtheid van apparaten die het Wi-Fi-netwerk gebruiken • Typen apparaten en de Wi-Fi-mogelijkheden ervan • Typen en hoeveelheid gegevens die worden verzonden • Beveiligingsvereisten voor toegang tot het draadloze netwerk • Vereisten voor versleuteling Hoewel de lijst niet volledig is, zijn dit enkele van de meest relevante factoren waarmee u bij het ontwerpen van een Wi-Fi-netwerk rekening moet houden. Opmerking: Dit gedeelte richt zich op het ontwerpen van Wi-Fi-netwerken in de Verenigde Staten. In andere landen kan een ander ontwerp nodig zijn.
Plannen met het oog op bereik en dichtheid Hoewel het van essentieel belang is dat alle iOS-apparaten binnen een bepaald gebied Wi-Fi-bereik hebben, is het ook van groot belang om te anticiperen op de dichtheid van apparaten in een bepaald gebied. De meeste moderne toegangspunten binnen ondernemingen kunnen overweg met tot wel 50 Wi-Fi-clients. Bij zoveel apparaten op één toegangspunt wordt de verbinding er echter niet beter op. Hoe snel elk apparaat is, is afhankelijk van de beschikbare draadloze bandbreedte op het kanaal dat wordt gebruikt en het aantal apparaten dat de algehele bandbreedte deelt. Naarmate meer apparaten gebruikmaken van hetzelfde toegangspunt, wordt de relatieve netwerksnelheid voor die apparaten lager. Bij het ontwerpen van het Wi-Fi-netwerk moet u daarom rekening houden met het verwachte gebruikspatroon van de iOS-apparaten.
2,4 GHz versus 5 GHz Op Wi-Fi-netwerken die op de 2,4-GHz frequentie werken zijn dertien kanalen mogelijk. Vanwege mogelijke storing op kanalen wordt aangeraden om alleen kanaal 1, 6 en 11 te gebruiken in het netwerkontwerp. 5-GHz signalen gaan niet zo goed door muren en andere obstakels heen als 2,4-GHz signalen en hebben dus een kleiner dekkingsgebied. 5-GHz netwerken verdienen daarom mogelijk de voorkeur als er sprake is van een hoge dichtheid van apparaten in een afgesloten ruimte, zoals een klaslokaal. Het aantal kanalen dat beschikbaar is op de 5-GHz frequentie varieert per leverancier van toegangspunten en per land, maar er zijn altijd minimaal acht kanalen beschikbaar. 5-GHz kanalen overlappen elkaar niet, wat een grote verbetering is ten opzichte van de drie elkaar overlappende kanalen die beschikbaar zijn op de 2,4-GHz frequentie. Als u een Wi-Fi-netwerk ontwerpt voor een hoge dichtheid aan iOSapparaten, zijn de extra kanalen die 5 GHz biedt zeker het overwegen waard.
37
Technische referentiehandleiding voor iOS-implementatie
Ontwerpen met het oog op bereik De indeling van het gebouw kan van invloed zijn op de manier waarop u uw Wi-Finetwerk moet inrichten. In een zakelijke omgeving kunnen medewerkers bijvoorbeeld afspreken met andere gebruikers in vergaderruimtes of in kantoren. Het gevolg is dat gebruikers zich in de loop van de dag door het gebouw verplaatsen. In dat geval wordt netwerktoegang met name gezocht voor e-mailen, internetten en bekijken van agenda's, dus Wi-Fi-bereik heeft de hoogste prioriteit. Een Wi-Fi-ontwerp zou kunnen bestaan uit twee of drie toegangspunten op elke verdieping zodat alle kantoren bereik hebben, en één toegangspunt in elke vergaderruimte.
Ontwerpen met het oog op dichtheid Vergelijk het scenario hierboven eens met een school met 1000 leerlingen en 30 docenten in een gebouw met twee verdiepingen. Elke leerling heeft een iPad gekregen en elke docent een MacBook Air en een iPad. Elke klas bestaat uit ongeveer 35 leerlingen en de klaslokalen liggen naast elkaar. Gedurende de hele schooldag doen leerlingen onderzoek op het internet, bekijken ze lesvideo's en kopiëren ze bestanden van en naar een bestandsserver in het LAN. Het ontwerp van het Wi-Fi-netwerk voor dit scenario is veel complexer vanwege de veel hogere dichtheid van mobiele apparaten. Omdat in elke klas de hele dag door zo'n 35 leerlingen zitten, kan bijvoorbeeld één toegangspunt per klaslokaal worden ingezet. Voor gemeenschappelijke ruimten zullen meer toegangspunten nodig zijn, zodat er voldoende dekking voor iedereen is. Hoeveel toegangspunten er feitelijk nodig zijn, is afhankelijk van de dichtheid van Wi-Fi-apparaten in deze ruimten. Als apparaten die alleen de 802.11b- of 802.11g-standaard ondersteunen het netwerk moeten gebruiken, is het inschakelen van 802.11b/g een van de opties als er dualband toegangspunten worden gebruikt. Een andere optie is om voor nieuwere apparaten één SSID te gebruiken voor 802.11n op 5 GHz en een tweede SSID op 2,4 GHz ter ondersteuning van 802.11b- en 802.11g-apparaten. Maak echter nooit te veel SSID's aan. In beide ontwerpscenario's moet het gebruik van verborgen SSID's worden vermeden. Een Wi-Fi-apparaat maakt veel moeilijker opnieuw verbinding met een verborgen SSID dan met een openbare SSID, en het verbergen van de SSID biedt qua beveiliging slechts een klein voordeel. Omdat gebruikers met hun iOS-apparaat vaak van plek wisselen, kunnen verborgen SSID's tot vertraging leiden bij de netwerkkoppeling.
Wi-Fi-standaarden in Apple producten Hieronder vindt u meer informatie over de compatibiliteit van Apple producten met de diverse Wi-Fi-specificaties: • Compatibiliteit met 802.11. 802.11b/g, 802.11a, 802.11n • Frequentiebereik. 2,4 GHz of 5 GHz • MCS-index. De MCS-index (Modulation and Coding Scheme) definieert de maximale verzendsnelheid waarmee 802.11n-apparaten kunnen communiceren. • Kanaalbundeling. HD20 of HD40
38
Technische referentiehandleiding voor iOS-implementatie
• Guard interval (GI). Het guard-interval is de ruimte (tijd) tussen het versturen van symbolen van het ene apparaat naar het andere. Met de 802.11n-standaard wordt een kort guard-interval van 400 ns gedefinieerd waarmee een snellere algehele doorvoer mogelijk is, hoewel apparaten mogelijk gebruikmaken van een langer guard-interval van 800 ns. iPhone 5s 802.11n op 2,4 GHz en 5 GHz 802.11a/b/g MCS Index 7/HT40/GI 400 ns iPhone 5c 802.11n op 2,4 GHz en 5 GHz 802.11a/b/g MCS Index 7/HT40/GI 400 ns iPhone 5 802.11n op 2,4 GHz en 5 GHz 802.11a/b/g MCS-index 7/HT40/GI 400 ns iPhone 4s 802.11n op 2,4 GHz 802.11b/g MCS-index 7/HD20/GI 800 ns iPhone 4 802.11n op 2,4 GHz 802.11b/g MCS-index 7/HD20/GI 800 ns iPad Air en iPad mini met Retina-display 802.11n op 2, 4 GHz en 5 GHz 802.11 a/b/g MCS-index 15/HT40/GI 400 ns iPad (vierde generatie) en iPad mini 802.11n op 2,4 GHz en 5 GHz 802.11a/b/g MCS-index 7/HT40/GI 400 ns iPad (eerste, tweede en derde generatie) 802.11n op 2,4 GHz en 5 GHz 802.11a/b/g MCS-index 7/HD20/GI 800 ns iPod touch (vijfde generatie) 802.11n op 2,4 GHz en 5 GHz 802.11a/b/g MCS-index 7/HT40/GI 400 ns iPod touch (vierde generatie) 802.11n op 2,4 GHz 802.11b/g MCS-index 7/HD20/GI 800 ns
39
Technische referentiehandleiding voor iOS-implementatie
Bijlage B: Beperkingen iOS ondersteunt de volgende beleidsinstellingen en beperkingen. Deze kunnen allemaal zo worden geconfigureerd dat ze aansluiten op de behoeften van uw organisatie.
Functionaliteit van apparaat • Apps installeren toestaan • Gebruik van Siri toestaan • Gebruik van Siri toestaan terwijl apparaat is vergrendeld • Gebruik van camera toestaan • Gebruik van FaceTime toestaan • Schermafbeeldingen maken toestaan • Automatisch synchroniseren tijdens roaming toestaan • Synchronisatie van recente e-mails toestaan • Voicedialing toestaan • Aankopen vanuit apps toestaan • Store-wachtwoord verplicht voor alle aankopen • Multiplayergames toestaan • Vrienden toevoegen in Game Center toestaan • Toegestane classificaties instellen • Touch ID toestaan • Toegang tot bedieningspaneel vanaf vergrendeld scherm toestaan • Toegang tot berichtencentrum vanaf vergrendeld scherm toestaan • Toegang tot dagweergave vanaf vergrendeld scherm toestaan • Passbook-meldingen toestaan terwijl apparaat is vergrendeld
Apps • Gebruik van iTunes Store toestaan • Gebruik van Safari toestaan • Beveiligingsvoorkeuren in Safari instellen
iCloud • Het maken van reservekopieën toestaan • Synchronisatie van documenten en sleutelhanger toestaan • Gebruik van Mijn fotostream toestaan • iCloud-fotodelen toestaan
40
Technische referentiehandleiding voor iOS-implementatie
Beveiliging en privacy • Toestaan dat diagnostische gegevens naar Apple worden verstuurd • Toestaan dat gebruikers niet-vertrouwde certificaten accepteren • Versleutelde reservekopieën afdwingen • Documenten openen van onbeheerde naar beheerde apps toestaan • Documenten openen van beheerde naar onbeheerde apps toestaan • Wachtwoord vereist bij eerste koppeling met AirPlay • Draadloze PKI-updates toestaan • Reclametracking beperken vereist
Restricties uitsluitend bij supervisie • Uitsluitend één-app-modus • Toegankelijkheidsinstellingen • iMessage toestaan • Game Center toestaan • Verwijderen van apps toestaan • iBooks Store toestaan • Erotisch materiaal uit iBooks Store toestaan • Siri-filter grof taalgebruik inschakelen • Handmatige installatie van configuratieprofielen toestaan • Globale netwerkproxy voor HTTP • Koppelen met computers voor materiaalsynchronisatie toestaan • AirPlay-verbindingen beperken met goedgekeurde lijst en optionele toegangscodes • AirDrop toestaan • Wijzigen van accounts toestaan • Wijzigen mobiele data-instellingen toestaan • Zoek mijn vrienden toestaan • Koppelen met host toestaan (iTunes) • Activeringsslot toestaan
41
Technische referentiehandleiding voor iOS-implementatie
Bijlage C: Interne apps draadloos installeren iOS ondersteunt draadloze installatie van interne apps op maat zonder het gebruik van iTunes of de App Store. Vereisten: • Een beveiligde webserver die toegankelijk is voor bevoegde gebruikers • Een release-/productieversie van een iOS-app in de .ipa-structuur met een voorzieningenprofiel voor bedrijven • Een XML-manifest-bestand, zoals in deze bijlage wordt beschreven • Een netwerkconfiguratie die de apparaten in staat stelt toegang te krijgen tot een iTunes-server van Apple Het installeren van de app is heel eenvoudig. Gebruikers downloaden het manifestbestand vanaf uw website naar hun iOS-apparaat. Aan de hand van de instructies in het manifest-bestand worden de in het manifest-bestand genoemde apps naar het apparaat gedownload en daarop geïnstalleerd. U kunt de url voor het downloaden van het manifest-bestand versturen via sms of e-mail, maar u kunt deze ook opnemen in een ander, intern ontwikkelde bedrijfsapp. De website voor de distributie van apps bouwt en host u zelf. Zorg ervoor dat de identiteit van de gebruikers wordt gecontroleerd, bijvoorbeeld door middel van eenvoudige basiscontrole of een identiteitscontrole op basis van een adressenlijst. Bovendien moet de website toegankelijk zijn via uw intranet of het internet. U kunt de app en het manifest-bestand in een verborgen map plaatsen of op een andere locatie die HTTP of HTTPS kan lezen. Als u een selfservice-portal maakt, is het verstandig een webknipsel op de beginpagina van de gebruiker te plaatsen. Op deze manier kan de gebruiker voortaan snel naar implementatiegegevens zoals nieuwe configuratieprofielen, aanbevolen apps uit de App Store en gegevens voor aanmelding bij een MDM-oplossing.
Een interne app klaarmaken voor draadloze distributie Om uw interne app klaar te maken voor draadloze distributie kunt u een gearchiveerde versie (een .ipa-bestand) en een manifest-bestand maken om draadloze distributie en installatie van de app mogelijk te maken. U gebruikt Xcode om een app-archief aan te maken. U ondertekent de app met uw distributiecertificaat en neemt uw voorzieningenprofiel voor implementatie door bedrijven op in het archief. Meer informatie over het bouwen en archiveren van apps vindt u in het iOS Dev Center of in de Xcode Overview in het Help-menu in Xcode.
Informatie over het manifest-bestand voor draadloze distributie Het manifest-bestand heeft de plist-structuur (XML). Het wordt door een iOSapparaat gebruikt om apps op uw webserver te zoeken, downloaden en installeren. Het manifest-bestand wordt door Xcode aangemaakt op basis van de gegevens die u opgeeft wanneer u een app-archief voor bedrijfsdistributie deelt. In het voorgaande gedeelte leest u meer over het voorbereiden van apps voor distributie. 42
Technische referentiehandleiding voor iOS-implementatie
De volgende velden zijn verplicht: Onderdeel
Beschrijving
Url
De volledig gekwalificeerde HTTPS-url van het appbestand (.ipa).
display-image
Een png-afbeelding van 57 x 57 pixels die wordt weergegeven tijdens het downloaden installatieproces. Geef de volledige url van de afbeelding op.
full-size-image
Een png-afbeelding van 512 x 512 pixels die de app in iTunes weergeeft.
bundle-identifier
De bundle-aanduiding van uw app, precies zoals die in uw Xcode-project wordt vermeld.
bundle-version
De bundle-versie van uw app zoals die in uw Xcode-project wordt vermeld.
title
De naam van de app; deze wordt weergegeven tijdens het download- en installatieproces.
Voor Kiosk-apps zijn ook de volgende velden verplicht: Onderdeel
Beschrijving
newsstand-image
Een png-afbeelding van groot formaat die in de Kiosk wordt weergegeven.
UINewsstandBindingEdge UINewsstandBindingType
Deze sleutels moeten overeenkomen met die in het info.plist-bestand van uw Kiosk-app.
UINewsstandApp
Geeft aan dat het een Kiosk-app betreft.
De optionele sleutels die u kunt gebruiken, worden beschreven in het voorbeeld van het manifest-bestand. U kunt bijvoorbeeld de MD5-sleutels gebruiken als uw appbestand groot is en als u, naast de foutcontrole die standaard voor TCP-communicatie wordt uitgevoerd, een nadere integriteitscontrole van het downloadproces wilt uitvoeren. U kunt meerdere apps installeren met één manifest-bestand door extra onderdelen op te geven in de itemsmatrix. Aan het eind van deze bijlage vindt u een voorbeeld van een manifest-bestand.
De opbouw van uw website Upload de volgende onderdelen naar een gedeelte van uw website waartoe bevoegde gebruikers toegang hebben: • Het appbestand (.ipa) • Het manifest-bestand (.plist) Een website bestaande uit één pagina met een koppeling naar het manifest-bestand is al voldoende. Zodra een gebruiker op een webkoppeling tikt, wordt het manifestbestand gedownload, waarna de informatie in het bestand wordt gebruikt om de apps te downloaden en te installeren. Een voorbeeld van een koppeling:
Installeer app Voeg geen webkoppeling toe voor het app-archief (.ipa). De .ipa wordt automatisch door het apparaat gedownload bij het laden van het manifest-bestand. Ondanks 43
Technische referentiehandleiding voor iOS-implementatie
dat het protocolgedeelte van de url een itms-dienst is, is de iTunes Store niet betrokken bij dit proces.
MIME-typen voor de server instellen Mogelijk moet u uw webserver zodanig configureren dat het manifest-bestand en het appbestand op de juiste manier worden overgebracht. Voor OS X Server voegt u de volgende MIME-typen toe aan de MIME Types-instellingen van de webvoorziening: application/octet-stream ipa text/xml plist Voor IIS voegt u via IIS Manager het MIME-type op de Properties-pagina van de server toe: .ipa application/octet-stream .plist text/xml
Problemen oplossen bij de draadloze distributie van apps Als draadloze appdistributie niet lukt en u de melding krijgt dat downloaden niet mogelijk is, doet u het volgende: • Controleer of de app op de juiste manier is ondertekend. U kunt dit testen door de app via Apple Configurator op een apparaat te installeren en te controleren of er zich problemen voordoen. • Controleer of de koppeling naar het manifest-bestand juist is en of het manifestbestand toegankelijk is voor webgebruikers. • Controleer of de url naar het .ipa-bestand (in het manifest-bestand) juist is en of het .ipa-bestand toegankelijk is voor webgebruikers.
Netwerkconfiguratievereisten Als de apparaten zijn aangesloten op een gesloten intern netwerk, moet u iOSapparaten toegang verlenen tot: Url
Reden
ax.init.itunes.apple.com
Het apparaat verkrijgt de huidige bestandsgroottelimiet voor het downloaden van apps via het draadloze netwerk. Als deze site niet bereikbaar is, is het mogelijk dat de installatie mislukt.
ocsp.apple.com
Het apparaat maakt contact met deze site om de status te controleren van het distributiecertificaat dat is gebruikt om het voorzieningenprofiel te ondertekenen. Zie "Certificaatcontrole" hieronder.
Bijgewerkte apps distribueren Apps die u zelf distribueert, worden niet automatisch bijgewerkt. Als u een nieuwe versie voor uw gebruikers hebt, stelt u hen hiervan op de hoogte en geeft u instructies voor het installeren van de app. U kunt overwegen om de app naar updates te laten zoeken en de gebruiker daarvan op de hoogte te laten stellen bij het openen van de app. Als u gebruikmaakt van draadloze appdistributie, kan in het bericht een koppeling worden opgenomen naar het manifest-bestand van de bijgewerkte app. Als u wilt dat gebruikers de appgegevens op hun apparaat behouden, gebruikt u voor de nieuwe versie dezelfde bundle-aanduiding die u voor de oude versie hebt gebruikt. Instrueer de gebruikers dat ze de oude versie pas moeten verwijderen nadat ze de nieuwe versie hebben geïnstalleerd. De nieuwe versie vervangt de oude versie en de op het apparaat bewaarde gegevens blijven behouden, mits de bundle-aanduidingen hetzelfde zijn. 44
Technische referentiehandleiding voor iOS-implementatie
Distributievoorzieningenprofielen verlopen 12 maanden nadat ze zijn uitgebracht. Na de verloopdatum wordt het profiel verwijderd en kan de app niet meer worden geopend. U kunt op de iOS Development Portal een nieuw profiel voor de app aanmaken voordat het voorzieningenprofiel is verlopen. Tegelijk met het nieuwe voorzieningenprofiel maakt u ook een nieuw app-archief (.ipa) aan, voor gebruikers die de app voor het eerst installeren. Voor bestaande gebruikers van de app is het handig als u de volgende versie van uw app pas uitbrengt wanneer deze het nieuwe voorzieningenprofiel bevat. Als dat niet kan, kunt u ook alleen het nieuwe .mobileprovision-bestand distribueren, zodat gebruikers de app niet opnieuw hoeven te installeren. Het nieuwe voorzieningenprofiel overschrijft de versie die al in het archief van de app aanwezig is. Voorzieningenprofielen kunnen worden geïnstalleerd en beheerd via MDM, door gebruikers worden gedownload en geïnstalleerd vanaf een beveiligde website die u aanbiedt, of onder gebruikers worden gedistribueerd als e-mailbijlage die kan worden geopend en geïnstalleerd. Als uw distributiecertificaat is verlopen, kan de app niet meer worden geopend. Uw distributiecertificaat is drie jaar geldig vanaf de datum van uitgifte, of totdat uw Enterprise Developer Program-lidmaatschap verloopt, als dat moment eerder plaatsvindt. Om te voorkomen dat uw certificaat voortijdig verloopt, moet u uw lidmaatschap op tijd verlengen. Zie "Certificaatcontrole" hieronder voor meer informatie over de manier waarop het distributiecertificaat wordt gecontroleerd. Het is mogelijk dat er twee van uw distributiecertificaten tegelijk actief zijn. Deze zijn niet van elkaar afhankelijk. Het tweede certificaat is bedoeld om een overlappingsperiode te bieden gedurende welke u uw apps kunt bijwerken voordat het eerste certificaat verloopt. Let erop dat u uw eerste distributiecertificaat niet intrekt wanneer u het tweede certificaat aanvraagt bij het iOS Dev Center.
Certificaatcontrole De eerste keer dat een gebruiker een app opent, wordt het distributiecertificaat gecontroleerd bij de OCSP-server van Apple. De app mag worden gebruikt, tenzij het certificaat is ingetrokken. Wanneer er geen verbinding met de OCSP-server tot stand kan worden gebracht of wanneer er geen reactie van de server wordt ontvangen, betekent dit niet dat het certificaat is ingetrokken. Om de status te controleren, moet het apparaat in staat zijn om ocsp.apple.com te bereiken. Zie "Netwerkconfiguratievereisten" elders in deze appendix. De OCSP-reactie wordt in een cache op het apparaat bewaard gedurende een door de OCSP-server bepaalde tijd. Momenteel ligt deze tijd tussen drie en zeven dagen. De geldigheid van het certificaat wordt pas opnieuw gecontroleerd wanneer het apparaat opnieuw is gestart en de reactie in de cache is verlopen. Als op dat moment blijkt dat het certificaat is ingetrokken, kan de app niet meer worden gebruikt. Zodra een distributiecertificaat wordt ingetrokken, zijn alle apps die u hiermee hebt ondertekend niet meer bruikbaar. Gebruik het intrekken van een certificaat uitsluitend als laatste redmiddel; wanneer u zeker weet dat de persoonlijke sleutel kwijt is of wanneer de veiligheid van het certificaat waarschijnlijk in het geding is.
45
Technische referentiehandleiding voor iOS-implementatie
Voorbeeld van een manifest-bestand van een app
items <array> assets <array> kind <string>software-package md5-size 10485760 md5s <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba <string>51fa64bb7a7cae5a46bfb45821ac8bba url <string>http://www.voorbeeld.com/apps/foo.ipa kind <string>display-image needs-shine <true/> url <string>http://www.voorbeeld.com/image.57x57.png kind <string>full-size-image md5 <string>61fa64bb7a7cae5a46bfb45821ac8bba needs-shine <true/> url<string>http://www.voorbeeld.com/afbeelding.512x512.jpg string> metadata 46
Technische referentiehandleiding voor iOS-implementatie
bundle-identifier <string>com.voorbeeld.fooapp bundle-version <string>1.0 kind <string>software subtitle <string>Apple title <string>Voorbeeld van bedrijfsapp }-}
1
Hiervoor gelden mogelijk de gegevenstarieven van de aanbieder. Berichten worden mogelijk als sms verstuurd wanneer iMessage niet beschikbaar is; hierop zijn de sms-tarieven van uw aanbieder van toepassing. 2 Voor FaceTime-gesprekken zijn een apparaat met FaceTime voor zowel degene die belt als voor degene die gebeld wordt en een Wi-Fi-verbinding vereist. Voor FaceTime via een mobiel netwerk is een iPhone 4s of nieuwer, iPad met Retina-display of iPad mini met een voorziening voor mobiel dataverkeer vereist. Beschikbaarheid via een mobiel netwerk is afhankelijk van het beleid van de aanbieder; hiervoor kunnen kosten in rekening worden gebracht. 3 Siri is mogelijk niet beschikbaar in alle talen of gebieden; functies kunnen per gebied verschillen. Internettoegang is vereist. Voor mobiel dataverkeer kunnen kosten in rekening worden gebracht. 4 Voor sommige functies en voorzieningen is een Wi-Fi-verbinding vereist. Sommige functies en/of voorzieningen zijn niet overal beschikbaar. De toegang tot sommige voorzieningen is beperkt tot tien apparaten. © 2014 Apple Inc. Alle rechten voorbehouden. Apple, het Apple logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage, iPad, iPhone, iPod touch, iTunes, Sleutelhanger, Keynote, Mac, het Mac logo, MacBook Air, OS X, Pages, Passbook, Retina, Safari, Siri en Xcode zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. AirPrint, iPad Air en iPad mini zijn handelsmerken van Apple Inc. iCloud en iTunes Store zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. App Store en iBooks Store zijn dienstmerken van Apple Inc. IOS is een handelsmerk of gedeponeerd handelsmerk van Cisco in de Verenigde Staten en andere landen dat in licentie wordt gebruikt. Andere product- en bedrijfsnamen die worden genoemd, kunnen handelsmerken zijn van hun respectieve eigenaars.
47