iosimplementatiehandleiding

iOSimplementatiehandleiding

KKApple Inc.

© 2015 Apple Inc. Alle rechten voorbehouden.

Apple, het Apple logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, FileVault, iBooks, iLife, iMessage, iPad, iPad Air, iPhone, iPod, iPod touch, iTunes, iWork, Keychain, Keynote, Mac, MacBook Air, MacBook Pro, Numbers, OS X, Pages, Passbook, Safari, Siri, Spotlight en Xcode zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. AirPrint, Apple Pay, Apple Watch, Handoff, iPad mini, iTunes U en Touch ID zijn handelsmerken van Apple Inc. AppleCare, App Store, iCloud, iCloud Keychain en iTunes Store zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. iBooks Store is een dienstmerk van Apple Inc. Het Apple logo is een handelsmerk van Apple Inc., dat is gedeponeerd in de Verenigde Staten en andere landen. Zonder voorafgaande schriftelijke toestemming van Apple is het niet toegestaan om het via het toetsenbord op te roepen Apple logo (Option + Shift + K) te gebruiken voor commerciële doeleinden.

Het woordmerk Bluetooth® en de Bluetooth-logo's zijn gedeponeerde handelsmerken die eigendom zijn van Bluetooth SIG, Inc.; deze merken worden door Apple Inc. in licentie gebruikt. IOS is een handelsmerk of gedeponeerd handelsmerk van Cisco in de Verenigde Staten en andere landen dat in licentie wordt gebruikt. Andere in deze handleiding genoemde bedrijfs- of productnamen kunnen handelsmerken van de desbetreffende bedrijven zijn. Vermelding van producten van andere fabrikanten is uitsluitend ter informatie en betekent niet dat deze producten door Apple worden aanbevolen of zijn goedgekeurd. Apple aanvaardt geen enkele aansprakelijkheid met betrekking tot de betrouwbaarheid van deze producten. Alle eventuele afspraken, overeenkomsten en garanties komen rechtstreeks tussen de leverancier en de gebruiker tot stand. Dit document is met de uiterste zorg samengesteld. Apple aanvaardt geen aansprakelijkheid voor druk- of typefouten. N019-00124/2015-04

Inhoudsopgave

6 6

Hoofdstuk 1:  iOS-implementatiehandleiding

8 8 8 8 9 12 14 16 16 17 19 21

Hoofdstuk 2:  Implementatiemodellen

24 24 24 25 25 27 27 29

Hoofdstuk 3:  Wi-Fi

31 31 31 33 34 36 37 38 39 39 40 40 41 44 44 44 45

Hoofdstuk 4:  Infrastructuur en integratie

Inleiding

Overzicht Implementatiemodellen voor het onderwijs Overzicht Een-op-een-implementatiemodel met de instelling als eigenaar Implementatiemodel met de student als eigenaar Implementatiemodel voor gedeeld gebruik Implementatiemodellen voor bedrijven Overzicht Gepersonaliseerd apparaat (BYOD) Gepersonaliseerd apparaat (eigendom van bedrijf ) Niet-gepersonaliseerd (gedeeld) apparaat Overzicht Wi-Fi-doorvoersnelheid Aanmelden bij een Wi-Fi-netwerk Roaming Rekening houden met bereik en capaciteit Aandachtspunten voor het ontwerp Wi-Fi-standaarden op iOS-apparaten Overzicht Microsoft Exchange Bonjour AirPlay Op standaarden gebaseerde voorzieningen Digitale certificaten Eenmalige aanmelding (SSO) Virtual Private Networks (VPN) Overzicht Ondersteunde protocollen en methoden voor identiteitscontrole SSL-VPN-clients Richtlijnen voor VPN-configuratie App-gebonden VPN VPN op aanvraag Overzicht Fasen

3

45 46 47 47 47 49 49

Regels en acties Achterwaartse compatibiliteit Altijd actieve VPN Overzicht Implementatiescenario's Configuratieprofiel voor Altijd actieve VPN Payload voor Altijd actieve VPN

52 52 52 53 54 55 55 56 56 57 57 57 57

Hoofdstuk 5:  Internetvoorzieningen

59 59 59 59 59 60 60 61 61 61 62 62 63 63 63 64

Hoofdstuk 6:  Beveiliging

66 66 66 67 68 68 69 69 70 70 71 71

Hoofdstuk 7:  Configuratie en beheer

Overzicht Apple ID Zoek mijn iPhone en Activeringsslot Continuïteit iCloud iCloud Drive iCloud-sleutelhanger iMessage FaceTime Siri Apple ID for Students Apple Push Notification Service (APNs)

Overzicht Beveiliging van apparaten en gegevens Overzicht Beleidsregels voor toegangscodes Afdwingen van beleid Beveiligde apparaatconfiguratie Gegevensbeveiliging Codering S/MIME per bericht Externe e-mailadressen Touch ID Wissen op afstand Lokaal wissen Netwerkbeveiliging Beveiliging van apps Overzicht Configuratie-assistent en activering Configuratieprofielen MDM (Mobile Device Management) Overzicht Inschrijving Configuratie Accounts Informatieverzoeken Beheertaken Beheerde apps

Inhoudsopgave 4

73 73 74 74 75 76

Beheerde boeken Beheerde domeinen Profielbeheer Apparaten onder supervisie stellen Device Enrollment Program Apple Configurator

77 77 77 77 78 78 78 79 79 81 81 81 81 82 82

Hoofdstuk 8:  Distributie van apps en boeken

84 84 84 84 85 85 85 85

Hoofdstuk 9:  Ondersteuningsbehoeften

86 86 86 86 87 89 90 92 93 93 94

Hoofdstuk 10:  Bijlagen

Overzicht Volume Purchase Program (VPP) Overzicht Inschrijven voor het Volume Purchase Program Grote aantallen apps en boeken kopen Beheerde distributie Maatwerk-B2B-apps Interne apps Interne boeken Apps en boeken implementeren Overzicht Apps en boeken installeren via de MDM-oplossing Apps installeren met Apple Configurator Caching Server

Overzicht AppleCare Help Desk Support AppleCare OS Support AppleCare voor bedrijven AppleCare voor gebruikers van iOS-apparaten iOS Direct Service Program AppleCare Protection Plan voor Mac of Apple beeldscherm Beperkingen Overzicht Instellingen voor het Device Enrollment Program Apparaatfunctionaliteit Instellingen onder supervisie Beveiligings- en privacy-instellingen Gebruik van apps iCloud-instellingen Beperkingen voor gebruikers en gebruikersgroepen in Profielbeheer Draadloos interne apps installeren

Inhoudsopgave 5

iOS-implementatiehandleiding

1

Inleiding

Deze implementatiehandleiding is bedoeld voor IT-beheerders die iOS-apparaten in hun netwerk willen ondersteunen. De handleiding bevat informatie over de implementatie en ondersteuning van iPads, iPhones en iPods touch in grote bedrijven en bij onderwijsinstellingen. De volgende onderwerpen komen aan bod: ••

Integratie met bestaande infrastructuur

••

Uitgebreide beveiliging

••

Implementatiehulpmiddelen

••

Methoden voor de distributie van apps en boeken onder medewerkers, studenten of leerlingen

Opmerking: Hoewel deze handleiding voornamelijk is gericht op de implementatie van iOS-apparaten, zijn sommige gedeelten ook van toepassing op Mac-desktops en draagbare Mac-computers. In die gevallen wordt de term Apple apparaten gebruikt, die niet alleen verwijst naar de iPhone, iPad en iPod touch, maar ook naar Mac-desktops en draagbare Mac-computers. De implementatie van Apple TV komt aan bod in het gedeelte AirPlay van deze handleiding. Deze handleiding is onderverdeeld in de volgende gedeelten: Implementatiemodellen Er zijn verschillende manieren om iOS-apparaten te implementeren in uw organisatie. Ongeacht het implementatiemodel dat u kiest, is het verstandig om de stappen door te nemen die u moet uitvoeren om de implementatie zo soepel mogelijk te laten verlopen. Hoewel in deze handleiding alle aspecten van een implementatie van iOS-apparaten aan bod komen, kunnen bedrijven en onderwijsinstellingen de feitelijke implementatie op hun eigen manier uitvoeren. Wi-Fi configureren Apple apparaten kunnen zonder aanpassingen op een veilige manier verbinding maken met Wi-Fi-netwerken van het bedrijf of van andere organisaties die hun netwerk hebben opengesteld. Hierdoor hebben gebruikers snel en eenvoudig toegang tot beschikbare draadloze netwerken, ook als ze onderweg zijn. In dit hoofdstuk komen standaard-Wi-Fi-protocollen voor gegevensoverdracht en codering aan bod. Infrastructuur en integratie iOS-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid aan netwerkinfrastructuren. In dit gedeelte leest u meer over de door iOS ondersteunde technologieën en beproefde methoden voor de integratie met Microsoft Exchange, VPN en andere standaardvoorzieningen.

6

Internetvoorzieningen Apple heeft een aantal voorzieningen ontwikkeld die gebruikers helpen om het maximale uit hun Apple apparaten te halen. Dit zijn onder meer iMessage, FaceTime, Continuïteit, iCloud en iCloud-sleutelhanger. Om deze voorzieningen te gebruiken, moet een Apple ID worden geconfigureerd en beheerd. Veiligheidsoverwegingen iOS is ontworpen voor het bieden van veilige toegang tot zakelijke voorzieningen en het beschermen van belangrijke gegevens. iOS ondersteunt krachtige codering van gegevens tijdens de overdracht, bewezen identiteitscontroles voor toegang tot zakelijke voorzieningen en hardwarematige codering van alle gegevens die worden bewaard op iOS-apparaten. In dit gedeelte vindt u een overzicht van de beveiligingsvoorzieningen van iOS. Configuratie en beheer Apple apparaten bieden ondersteuning voor geavanceerde tools en technologieën die ervoor zorgen dat apparaten eenvoudig zijn in te stellen, kunnen worden geconfigureerd volgens uw eisen en moeiteloos in een grootschalige omgeving kunnen worden beheerd. In dit gedeelte vindt u een beschrijving van de verschillende implementatietools, inclusief een overzicht van mobiel-apparaatbeheer (MDM, Mobile Device Management) en het Device Enrollment Program. Distributie van apps en boeken Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie kunt implementeren. Met de programma's van Apple, zoals het Volume Purchase Program en het iOS Developer Enterprise Program, kan uw organisatie apps en boeken voor gebruikers kopen, ontwikkelen en implementeren. In dit gedeelte vindt u gedetailleerde informatie over deze programma's en de manier waarop apps en boeken voor intern gebruik kunnen worden gekocht of gebouwd. Ondersteuningsbehoeften Apple levert diverse programma's en ondersteuningsopties voor gebruikers van Apple apparaten. Het is daarom een goed idee om eerst te kijken wat er allemaal beschikbaar is voor uw organisatie en om te bedenken welke ondersteuning u nodig zult hebben. De volgende bijlagen bevatten technische gegevens en vereisten: MDM-beperkingen Een beschrijving van de beperkingen die u voor iOS-apparaten kunt opgeven, zodat deze voldoen aan uw vereisten op het gebied van beveiliging, toegangscodes en andere punten. Draadloos interne apps installeren Een beschrijving van de manier waarop u interne apps kunt distribueren via uw eigen webportaal. Aanvullende informatiebronnen •• www.apple.com/nl/education/it ••

www.apple.com/ipad/business/it

••

www.apple.com/iphone/business/it

Opmerking: Voor een webversie van deze handleiding gaat u naar https://help.apple.com/deployment/ios. Opmerking: Als de iBooks Store niet beschikbaar is in uw land of regio, kunt u deze bronnen in de ePub-structuur downloaden. Zoek op iOS-implementatiehandleiding.

Hoofdstuk 1    iOS-implementatiehandleiding

7

Implementatiemodellen

2

Overzicht

Er zijn verschillende manieren om iOS-apparaten te distribueren en te configureren, variërend van configuratie vooraf tot configuratie door medewerkers of studenten zelf. Neem de opties door voordat u aan de slag gaat. De hulpmiddelen en de procedure die u voor de implementatie gebruikt, zijn ook afhankelijk van het specifieke implementatiemodel. ••

Voor het onderwijs zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten: een een-op-een-implementatiemodel met de instelling als eigenaar, een implementatiemodel met de student als eigenaar en een implementatiemodel voor gedeeld gebruik. Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw instelling meerdere modellen aantreft.

••

In bedrijfsomgevingen kunt u kiezen uit verschillende opties om iOS-apparaten te implementeren in uw organisatie. Ongeacht of u iOS-apparaten van het bedrijf gaat implementeren, iOS-apparaten door medewerkers laat delen of een BYOD-beleid (Bring Your Own Device) gaat instellen, is het verstandig om de stappen in kaart te brengen die u moet nemen om de implementatie zo goed mogelijk te laten verlopen.

Als de implementatiemodellen zijn vastgesteld, kan uw team de implementatie- en beheervoorzieningen van Apple in detail gaan bestuderen. Deze hulpmiddelen en programma's worden uitvoerig besproken in dit onderwerp en het is raadzaam deze informatie te bespreken met de belangrijkste belanghebbenden binnen uw organisatie.

Implementatiemodellen voor het onderwijs Overzicht

Met de iPad komen heel veel handige tools beschikbaar in het klaslokaal. Het kiezen van de juiste strategieën en tools kan docenten, studenten en andere gebruikers een totaal andere onderwijservaring geven. Er zijn heel veel mogelijkheden om iOS-apparaten en materiaal op een eenvoudige manier te implementeren en te beheren. Het maakt hierbij niet uit of de instelling iOS-apparaten voor één klas of voor alle klassen implementeert. Implementatiemodellen Voor onderwijsinstellingen zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten: ••

Een-op-een-implementatiemodel met de instelling als eigenaar

••

Implementatiemodel met de student als eigenaar

••

Implementatiemodel voor gedeeld gebruik

Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw instelling meerdere modellen aantreft.

8

Hieronder ziet u enkele voorbeelden van hoe deze modellen in een onderwijsinstelling worden toegepast: ••

Een school voor voortgezet onderwijs kan kiezen voor en-op-een-implementatie met de instelling als eigenaar en dit model implementeren voor alle klassen.

••

Een grote scholengemeenschap kan eerst op één school een proef doen met een een-op-eenimplementatie met de instelling als eigenaar en vervolgens hetzelfde model uitrollen op alle scholen die deel uitmaken van de gemeenschap.

••

Een basisschool kan kiezen voor een combinatie van een een-op-een-implementatiemodel met de instelling als eigenaar voor de bovenbouw en een implementatiemodel voor gedeeld gebruik voor de onderbouw.

••

Op hogescholen en universiteiten wordt meestal het implementatiemodel met de student als eigenaar gebruikt op het niveau van een of meer campussen.

Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor uw omgeving het geschiktste is.

Een-op-een-implementatiemodel met de instelling als eigenaar

Een een-op-een-implementatiemodel met de instelling als eigenaar biedt de beste mogelijkheden om door middel van iOS-apparaten het leerproces te verbeteren. Bij een een-op-een-implementatie met de instelling als eigenaar koopt de instelling doorgaans de iOS-apparaten voor alle daarvoor in aanmerking komende leerlingen en docenten. Hierbij kan het gaan om een bepaalde groep of klas, maar ook om een afdeling, een hele scholengemeenschap, een bepaalde faculteit of een complete universiteit. In dit model wordt aan iedere gebruiker een iOS-apparaat toegewezen dat door de instelling wordt geconfigureerd en beheerd. Dit proces kan worden vereenvoudigd en geautomatiseerd via een MDM-oplossing (Mobile Device Management). Dit is een oplossing die speciaal is bedoeld voor het beheren van mobiele apparaten. Als de iOS-apparaten rechtstreeks bij Apple of een deelnemende erkende Apple reseller of aanbieder worden gekocht, kan uw instelling de inschrijving bij de MDM-oplossing laten automatiseren via het Device Enrollment Program (DEP). De iOS-apparaten kunnen in dat geval direct aan de gebruikers worden overhandigd.

Hoofdstuk 2    Implementatiemodellen

9

Nadat de iOS-apparaten zijn gedistribueerd, doorlopen gebruikers een gedeeltelijk geautomatiseerde, gestroomlijnde configuratieprocedure, worden ze automatisch ingeschreven bij de MDM-oplossing en kunnen ze hun iOS-apparaat verder aanpassen of hun eigen materiaal downloaden. Gebruikers kunnen ook een uitnodiging krijgen om specifiek onderwijsmateriaal te downloaden, zoals apps en boeken die zijn gekocht via het Volume Purchase Program (VPP), of cursussen van iTunes U. Als leerlingen jonger zijn dan 13 jaar, kan uw instelling een Apple ID voor hen aanmaken via het programma Apple ID for Students, zodat ze apps en boeken kunnen ontvangen. Uw instelling kan deze informatiebronnen op elk moment gedurende het schooljaar draadloos aanbieden of bijwerken. Met behulp van Caching Server kan het merendeel van deze downloads afkomstig zijn van het lokale netwerk van de instelling. Als iOS-apparaten onder supervisie staan, worden apps automatisch geïnstalleerd.


10

In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker in een een-op-een-implementatie met apparaten die eigendom zijn van de instelling:

Voorbereiden

Beheerder: •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij DEP, het VPP en het programma Apple ID for Students. •• Uitpakken en (optioneel) het iOS-apparaat van een tag voorzien. •• Apple ID's aanmaken voor leerlingen jonger dan 13 (indien van toepassing).

Gebruikers: •• Apple ID's en accounts voor de iTunes Store en iCloud aanmaken.

Instellen en configureren

Beheerder: •• iOS-apparaten toewijzen in DEP met het oog op supervisie en een gestroomlijnde inschrijving bij de MDM-oplossing. •• Apple Configurator in plaats van DEP en MDM gebruiken voor de configuratie en supervisie van de iOS-apparaten. •• Accounts, instellingen en beperkingen draadloos configureren en installeren met de MDM-oplossing.

Gebruikers: •• Aan de gebruiker wordt een iOS-apparaat uitgereikt. •• Referenties van de instelling in de configuratieassistent invoeren voor DEP (optioneel). •• Het iOS-apparaat personaliseren met de configuratie-assistent en een persoonlijke Apple ID invoeren. •• De instellingen en configuraties van de iOS-apparaten worden automatisch ontvangen van de MDM-oplossing.

Apparaten en materiaal distribueren

Beheerder: •• Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. •• Uitnodiging voor het VPP versturen naar gebruikers. •• Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen.

Gebruikers: •• Uitnodiging voor het VPP accepteren. •• Apps en boeken downloaden en installeren die door de instelling worden toegewezen. •• Als het iOS-apparaat onder supervisie staat, kunnen apps op de achtergrond naar het apparaat van de gebruiker worden gepusht.

Doorlopend beheer

Beheerder: •• Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde iOS-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om iOS-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een iOS-apparaat volledig te wissen. •• Apple TV implementeren voor ondersteuning van AirPlay.

Gebruikers: •• Een reservekopie van het iOS-apparaat maken in iTunes of iCloud, om documenten en ander persoonlijk materiaal te bewaren. •• Bij verlies of diefstal van het iOS-apparaat kan de gebruiker het apparaat met Zoek mijn iPhone terugvinden.


11

Aanvullende informatiebronnen •• VPP - Overzicht ••

MDM - Overzicht

••

Device Enrollment Program

••

Apple ID for Students

••

Apple ID

••

Caching Server

••

AirPlay

••

Apple Configurator

Implementatiemodel met de student als eigenaar

In het voortgezet en universitair onderwijs nemen studenten meestal hun eigen iOS-apparaat mee. Ook op sommige basisscholen nemen leerlingen hun eigen iOS-apparaat mee naar school. In dit model worden iOS-apparaten ingesteld en geconfigureerd door de student of een ouder. Om voorzieningen van de instelling te kunnen gebruiken, zoals Wi-Fi, e-mail en agenda's, of om het iOS-apparaat te configureren voor specifieke doeleinden, worden de eigen apparaten van de studenten meestal ingeschreven bij een MDM-oplossing van de instelling. In onderwijsomgevingen kan een MDM-oplossing worden ingezet om de eigen iOS-apparaten van de leerlingen of studenten te beheren. Toegang tot de voorzieningen van een instelling is voor gebruikers een stimulans om hun iOS-apparaten in te schrijven bij de MDM-oplossing van de organisatie. Hierdoor wordt ervoor gezorgd dat alle configuratie-instellingen, beleidsregels, beperkingen, apps en boeken en al het overige materiaal automatisch en op de achtergrond worden geïmplementeerd, terwijl de instelling daar wel de controle over houdt. Inschrijving bij een MDM-oplossing is niet verplicht. Dit betekent dat studenten de beheerfunctie kunnen uitschakelen nadat ze een cursus hebben afgerond, zijn afgestudeerd of de instelling hebben verlaten. Als ze de beheerfunctie uitschakelen, worden ook alle materialen en voorzieningen van de instelling verwijderd.


12

In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker in een implementatie met apparaten die eigendom zijn van de studenten: Voorbereiden

Beheerder: •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het VPP.

Gebruikers: •• Het iOS-apparaat uitpakken en activeren. •• Een Apple ID en accounts voor de iTunes Store en iCloud aanmaken, indien van toepassing.


Beheerder: •• Geen actie nodig in deze fase.

Gebruikers: •• iOS-apparaten via de selfservicevoorziening inschrijven en accounts, instellingen en beperkingen draadloos configureren via een MDM-oplossing, op basis van het gebruikers-/ groepsbeleid dat door de instelling is gedefinieerd. •• De iOS-apparaten personaliseren met de configuratie-assistent en (eventueel) een persoonlijke Apple ID invoeren. •• Inschrijven bij de MDM-oplossing.

Apps en boeken distribueren

Beheerder: •• Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. •• Uitnodiging voor het VPP versturen naar gebruikers. •• Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen.

Gebruikers: •• Uitnodiging voor het VPP accepteren. •• Apps en boeken downloaden en installeren die door de instelling worden toegewezen. •• iOS en apps op hun iOS-apparaat bijwerken.

Doorlopend beheer

Beheerder: •• Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde iOS-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om iOS-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een iOS-apparaat volledig te wissen.

Gebruikers: •• Een reservekopie van het apparaat maken in iTunes of iCloud, om documenten en ander persoonlijk materiaal te bewaren. •• Bij verlies of diefstal van het iOS-apparaat kan de gebruiker het apparaat met Zoek mijn iPhone terugvinden. •• Wanneer de koppeling met de MDM-oplossing wordt verwijderd, worden ook beheerde accounts en gegevens verwijderd. De persoonlijke apps, boeken, gegevens en inhoud van de gebruiker blijven echter bewaard. Opmerking: VPP-boeken worden permanent toegewezen. Ze kunnen niet worden ingetrokken.

Aanvullende informatiebronnen •• VPP - Overzicht

••

MDM - Overzicht

••

Apple ID

••

Caching Server


13

Implementatiemodel voor gedeeld gebruik

In het implementatiemodel voor gedeeld gebruik worden iOS-apparaten gekocht voor gebruik in een klaslokaal of practicumlokaal en kunnen de apparaten gedurende de schooldag door verschillende leerlingen worden gebruikt. Deze apparaten worden in beperkte mate aangepast, waardoor het niet mogelijk is om voor iedere leerling een gepersonaliseerde leeromgeving aan te bieden. Deze aanpak is niet alleen geschikt voor een model voor gedeeld gebruik door leerlingen, maar ook voor een een-op-een-implementatie in een sterk gecontroleerde omgeving, zoals in de onderbouw van een basisschool. In dit geval is de personalisering van de apparaten minimaal. Implementaties voor gedeeld gebruik worden strenger beheerd dan gepersonaliseerde implementaties, aangezien de configuratie en het beheer worden uitgevoerd door het personeel van de instelling. Bij een implementatie voor gedeeld gebruik is de instelling verantwoordelijk voor het installeren van apps, boeken en ander materiaal dat nodig is voor de leerervaring.


14

In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie voor gedeeld gebruik:

Voorbereiden

Beheerder: •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het VPP. •• Uitpakken en (optioneel) het iOS-apparaat van een tag voorzien. •• Een of meer Apple ID's voor de instelling aanmaken voor elk exemplaar van Apple Configurator.

Gebruikers: •• Geen actie nodig in deze fase.


Beheerder: •• Apple Configurator gebruiken voor de configuratie en supervisie van apparaten. •• Apple Configurator gebruiken om apparaten in te schrijven bij de MDM-oplossing (optioneel). •• Apple Configurator of de MDM-oplossing gebruiken om accounts, instellingen en beperkingen te installeren.


Apps distribueren

Beheerder: •• Apps kopen via het VPP en vervolgens implementeren met behulp van inwisselcodes voor installatie en beheer met Apple Configurator.


Doorlopend beheer

Beheerder: •• iOS op het apparaat bijwerken met Apple Configurator. •• Accounts, instellingen en beperkingen draadloos bijwerken, configureren en installeren met Apple Configurator of via de MDM-oplossing. •• Periodiek de standaardconfiguratie van apparaten herstellen met Apple Configurator. •• Apps op het iOS-apparaat installeren en bijwerken met Apple Configurator. •• Met behulp van een MDM-oplossing kunt u gegevens van beheerde iOS-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om iOS-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een iOS-apparaat volledig te wissen. •• Het is essentieel om regelmatig een reservekopie te maken van de Mac waarop Apple Configurator wordt uitgevoerd, aangezien de aankopen via het VPP lokaal worden beheerd.



15


MDM - Overzicht

••

Apple ID

••

Apple Configurator

Implementatiemodellen voor bedrijven Overzicht

iOS-apparaten kunnen een radicale hervorming in uw bedrijf teweegbrengen. De productiviteit kan aanzienlijk toenemen, terwijl uw medewerkers de vrijheid en flexibiliteit krijgen om zowel op kantoor als onderweg anders te gaan werken. Als u voor deze nieuwe manier van werken kiest, levert dat voor de gehele organisatie voordelen op. Zo hebben gebruikers een betere toegang tot informatie, waardoor ze met een goede onderbouwing tot creatieve oplossingen van problemen kunnen komen. Ondersteuning van iOS door de IT-afdelingen betekent dat ze vorm geven aan de bedrijfsstrategie en echte problemen oplossen, in plaats van technologieproblemen op te lossen en kosten te besparen. Uiteindelijk zijn de voordelen overal zichtbaar: medewerkers die zeer productief zijn en overal nieuwe zakelijke kansen. Ongeacht of het om een grote of kleine organisatie gaat, zijn er verschillende eenvoudige manieren om iOS-apparaten en materiaal eenvoudig te implementeren en te beheren. Het is belangrijk dat u eerst vaststelt welk implementatiemodel het beste bij uw organisatie past. Afhankelijk van het model dat u kiest, kan Apple verschillende implementatie- en beheertools aanbieden. Implementatiemodellen Voor het bedrijfsleven zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten: ••

Gepersonaliseerd apparaat (BYOD)

••

Gepersonaliseerd apparaat (eigendom van bedrijf )

••

Niet-gepersonaliseerd (gedeeld) apparaat

Hoewel de meeste organisaties de voorkeur geven aan een bepaald model, bestaat de kans dat u meerdere modellen aantreft binnen uw organisatie. Zo kan een detailhandelsorganisatie kiezen voor de strategie Gepersonaliseerd apparaat (BYOD) door medewerkers toe te staan hun eigen iPad te configureren, terwijl gegevens en programma's van het bedrijf gescheiden blijven van de persoonlijke gegevens en apps van de gebruiker. In de winkels van de onderneming kan echter ook de strategie Niet-gepersonaliseerd (gedeeld) apparaat worden toegepast, zodat iPods touch worden gedeeld door verschillende medewerkers om transacties voor klanten te verwerken. Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor uw omgeving het geschiktste is.


16

Gepersonaliseerd apparaat (BYOD)

Bij een BYOD-implementatie (Bring Your Own Device) configureren gebruikers hun eigen iOS-apparaten met hun eigen Apple ID. Gebruikers kunnen op verschillende manieren toegang krijgen tot de informatiebronnen van het bedrijf. Zo kunnen ze instellingen handmatig configureren, een configuratieprofiel installeren of het iOS-apparaat inschrijven bij de MDM-oplossing van de organisatie. Deze laatste variant wordt het meest toegepast. Een voordeel van het inschrijven van persoonlijke iOS-apparaten bij een MDM-oplossing is dat de informatie van het bedrijf gescheiden blijft van de persoonlijke gegevens en apps van de gebruiker. U kunt instellingen afdwingen, controleren of het beleid van het bedrijf wordt nageleefd en zakelijke gegevens en apps verwijderen, en tegelijkertijd persoonlijke gegevens en apps op het iOS-apparaat laten staan.


17

In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met gepersonaliseerde (eigen) apparaten:

Voorbereiden

Beheerder: •• De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het VPP.

Gebruikers: •• Het iOS-apparaat uitpakken en activeren. •• Een Apple ID en accounts voor de iTunes Store en iCloud aanmaken, indien van toepassing.


Beheerder: •• Organisaties kunnen ervoor kiezen om aan gebruikers instellingen voor persoonlijke accounts te verstrekken en om beleidsregels via Exchange te versturen of met een configuratieprofiel te installeren.

Gebruikers: •• iOS-apparaten via de selfservicevoorziening inschrijven en accounts, instellingen en beperkingen draadloos configureren via een MDM-oplossing, op basis van het gebruikers-/ groepsbeleid dat door de organisatie is gedefinieerd. •• De instellingen en configuraties van de iOS-apparaten worden automatisch ontvangen van de MDM-oplossing. •• Een alternatief is dat gebruikers handmatig configuratieprofielen installeren of de door u opgegeven instellingen configureren.


Beheerder: •• Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. •• Uitnodiging voor het VPP versturen naar gebruikers. •• Interne apps uit het iOS Developer Enterprise Program (iDEP) en interne boeken kunt u distribueren door ze op een webserver te hosten of via de MDM-oplossing aan te leveren. •• Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen.

Gebruikers: •• Uitnodiging voor het VPP accepteren. •• Apps en boeken downloaden en installeren die door de organisatie worden toegewezen.

Doorlopend beheer

Beheerder: •• Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Met behulp van een MDM-oplossing kunt u gegevens van beheerde iOS-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om iOS-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een iOS-apparaat volledig te wissen.

Gebruikers: •• Een reservekopie van het iOS-apparaat maken in iTunes of iCloud, om documenten en ander persoonlijk materiaal te bewaren. •• Bij verlies of diefstal van het apparaat kan de gebruiker het apparaat met Zoek mijn iPhone terugvinden. •• Wanneer de koppeling met de MDM-oplossing wordt verwijderd, worden ook beheerde accounts en gegevens verwijderd. De persoonlijke apps, boeken, gegevens en inhoud van de gebruiker blijven echter bewaard.


18


MDM - Overzicht

••

Apple ID

••

Caching Server

Gepersonaliseerd apparaat (eigendom van bedrijf)

Kies het model Gepersonaliseerd apparaat (eigendom van bedrijf ) als u iOS-apparaten wilt implementeren die het eigendom zijn van uw organisatie. U kunt de iOS-apparaten desgewenst configureren met basisinstellingen voordat u ze aan de gebruikers geeft. Een andere mogelijkheid is om (net als bij de variant met eigen apparaten) instructies of configuratieprofielen te verstrekken, zodat gebruikers de configuratie zelf kunnen uitvoeren. Een derde mogelijkheid is dat de gebruikers hun iOS-apparaten inschrijven bij een MDMoplossing, waarna instellingen en apps draadloos naar het apparaat worden overgebracht. Gebruikers kunnen hun iOS-apparaat vervolgens personaliseren met hun eigen apps en gegevens, die gescheiden worden opgeslagen van de beheerde apps en gegevens van uw organisatie. Als de iOS-apparaten rechtstreeks bij Apple of een deelnemende erkende Apple reseller of aanbieder worden gekocht, kan uw organisatie de inschrijving bij de MDM-oplossing laten automatiseren via het Device Enrollment Program (DEP). De iOS-apparaten kunnen in dat geval direct aan de gebruikers worden overhandigd of naar het woonadres van de gebruikers worden verstuurd. Vervolgens kunnen ze op afstand worden geactiveerd.


19

In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met gepersonaliseerde apparaten die het eigendom zijn van het bedrijf:

Voorbereiden

Beheerder: •• De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het Device Enrollment Program (DEP) en het Volume Purchase Program (VPP).

Gebruikers: •• Een Apple ID en accounts voor de iTunes Store en iCloud aanmaken, indien van toepassing.


Beheerder: •• Via de website van het Device Enrollment Program uw virtuele servers koppelen aan de MDM-oplossing. •• De inschrijving via het Device Enrollment Program stroomlijnen door iOS-apparaten op ordernummer of serienummer toe te wijzen aan virtuele MDM-servers. •• iOS-apparaten toewijzen in DEP met het oog op supervisie en een gestroomlijnde inschrijving bij de MDM-oplossing. •• Het iOS-apparaat configureren en beheren met Apple Configurator (alternatief voor hierboven). •• Accounts, instellingen en beperkingen draadloos configureren met de MDM-oplossing of via een USB-verbinding en Apple Configurator.

Gebruikers: •• De gebruiker krijgt een iOS-apparaat ter beschikking. Als het apparaat is geconfigureerd met Apple Configurator, hoeft de gebruiker geen instellingen meer op te geven. •• Organisatiereferenties invoeren in de configuratieassistent voor DEP (optioneel). •• Het iOS-apparaat personaliseren met de configuratie-assistent en een persoonlijke Apple ID invoeren. •• Inschrijven bij de MDM-oplossing. •• De instellingen en configuraties van de iOS-apparaten worden automatisch ontvangen van de MDM-oplossing.


Beheerder: •• Uw token downloaden uit de VPP Store en koppelen aan de MDM-oplossing. •• Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. •• Uitnodiging voor het VPP versturen naar gebruikers. •• Interne apps uit het iOS Developer Enterprise Program (iDEP) en interne boeken kunt u distribueren door ze op een webserver te hosten of via de MDM-oplossing aan te leveren. •• Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen.

Gebruikers: •• Uitnodiging voor het VPP accepteren. •• Apps en boeken downloaden en installeren die door de organisatie worden toegewezen. •• Als het iOS-apparaat onder supervisie staat, kunnen apps op de achtergrond naar het apparaat van de gebruiker worden gepusht.


20

Doorlopend beheer

Beheerder: •• Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Met behulp van een MDM-oplossing kunt u gegevens van beheerde iOS-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om iOS-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een iOS-apparaat volledig te wissen.

Gebruikers: •• Een reservekopie van het iOS-apparaat maken in iTunes of iCloud, om documenten en ander persoonlijk materiaal te bewaren. •• Bij verlies of diefstal van het apparaat kan de gebruiker het apparaat met Zoek mijn iPhone terugvinden.


MDM - Overzicht

••


••

Apple ID

••

Caching Server

••

Apple Configurator

Niet-gepersonaliseerd (gedeeld) apparaat

Als iOS-apparaten door verschillende mensen worden gedeeld of voor één specifiek doel worden gebruikt (zoals in een restaurant of hotel), worden deze apparaten meestal door u geconfigureerd en beheerd en niet door een individuele gebruiker. Bij een implementatie met niet-gepersonaliseerde, gedeelde apparaten bewaren gebruikers meestal geen persoonlijke gegevens en kunnen ze geen apps installeren. Niet-gepersonaliseerde apparaten worden meestal beheerd met Apple Configurator en worden ingeschreven bij een MDM-oplossing. Op deze manier kan het materiaal op het apparaat worden vernieuwd of hersteld als een gebruiker wijzigingen heeft aangebracht.


21

In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met niet-gepersonaliseerde (gedeelde) apparaten:

Voorbereiden

Beheerder: •• De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het Volume Purchase Program (VPP).



Beheerder: •• Uitpakken en (optioneel) het iOS-apparaat van een tag voorzien. •• Apple Configurator gebruiken voor de configuratie en supervisie van apparaten. •• Apple Configurator gebruiken om apparaten in te schrijven bij de MDM-oplossing (optioneel). •• Apple Configurator of de MDM-oplossing gebruiken om accounts, instellingen en beperkingen te installeren.


Apps distribueren

Beheerder: •• Apps kopen via het VPP en de apps implementeren met Apple Configurator. •• Interne apps met Apple Configurator distribueren vanuit het iOS Developer Enterprise Program (iDEP). •• Interne boeken distribueren door deze te hosten op een webserver of via de MDM-oplossing.


Doorlopend beheer

Beheerder: •• iOS op het apparaat bijwerken met Apple Configurator. •• Accounts, instellingen en beperkingen draadloos bijwerken, configureren en installeren met Apple Configurator of via de MDM-oplossing. •• Periodiek de standaardconfiguratie van apparaten herstellen met Apple Configurator. •• Apps op het apparaat installeren en bijwerken met Apple Configurator. •• Met behulp van een MDM-oplossing kunt u gegevens van beheerde iOS-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om iOS-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een iOS-apparaat volledig te wissen.



22

Aanvullende informatiebronnen •• VPP - Overzicht

••

MDM - Overzicht

••

Apple ID

••

Apple Configurator


23

Wi-Fi

3

Overzicht

Bij het voorbereiden van de Wi-Fi-infrastructuur voor een implementatie van Apple apparaten moet u rekening houden met verschillende factoren: ••

Wi-Fi-doorvoersnelheid

••

Wi-Fi-triggerdrempel

••

Benodigd bereik

••

Aantal en dichtheid van apparaten die het Wi-Fi-netwerk gebruiken

••

Typen Apple apparaten en de Wi-Fi-mogelijkheden ervan

••

Typen en hoeveelheid gegevens die worden verzonden

••

Beveiligingsvereisten voor toegang tot het draadloze netwerk

••

Vereisten voor versleuteling

Hoewel deze lijst niet volledig is, zijn dit enkele van de meest relevante factoren waarmee u bij het ontwerpen van een Wi-Fi-netwerk rekening moet houden. Opmerking: In dit gedeelte wordt het ontwerp van een Wi-Fi-netwerk voor Noord-Amerika besproken. In andere landen kan een ander ontwerp nodig zijn.

Wi-Fi-doorvoersnelheid

Als u iOS-apparaten wilt implementeren in uw organisatie, is het belangrijk dat uw Wi-Fi-netwerk en ondersteunende infrastructuur stabiel zijn en met de laatste software zijn bijgewerkt. Een consistente en betrouwbare toegang tot een krachtig netwerk is essentieel voor het instellen en configureren van iOS-apparaten. Daarnaast wordt het succes van de implementatie voor een groot deel bepaald door de mogelijkheid om meerdere iOS-apparaten te ondersteunen met gelijktijdige verbindingen van al uw medewerkers, studenten, leerlingen of docenten. Belangrijk: De gebruikers en hun iOS-apparaten moeten toegang hebben tot uw draadloze netwerk en internetvoorzieningen om het apparaat te configureren. Als blijkt dat apparaten geen toegang kunnen krijgen tot de activeringsservers van Apple, iCloud of de iTunes Store, moet u mogelijk uw webproxy of firewallpoorten zodanig configureren dat al het netwerkverkeer dat van Apple apparaten afkomstig is, toegang heeft tot het netwerk van Apple (17.0.0.0/8). Zie het Apple Support-artikel TCP and UDP ports used by Apple software products (Engelstalig) voor een lijst met poorten die door Apple apparaten worden gebruikt.

24

Aanmelden bij een Wi-Fi-netwerk

Gebruikers kunnen instellen dat Apple apparaten automatisch verbinding maken met beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit apps (zoals Mail) snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere gegevens vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te openen. Doordat de Wi-Fi-verbinding niet wordt verbroken en weinig batterijstroom vraagt, kunnen apps bovendien via het Wi-Fi-netwerk pushberichten versturen. U kunt instellingen configureren voor het draadloze netwerk, de beveiliging, een proxyserver en identiteitscontrole. Hiervoor gebruikt u configuratieprofielen of een MDM-oplossing (een oplossing voor het beheer van mobiele apparaten). Zie het Apple Support-artikel Hoe iOS het draadloze netwerk kiest waarmee automatisch verbinding wordt gemaakt voor informatie over de manier waarop iOS bepaalt met welk draadloos netwerk automatisch verbinding moet worden gemaakt. WPA2-Enterprise Apple apparaten ondersteunen standaardprotocollen voor draadloze netwerken, waaronder WPA2-Enterprise, zodat draadloze bedrijfsnetwerken veilig kunnen worden benaderd. WPA2 Enterprise maakt gebruik van 128-bits-AES-codering, wat inhoudt dat de gegevens van gebruikers veilig blijven. Dankzij de ondersteuning voor 802.1x-identiteitscontrole kunnen iOS-apparaten in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd. iOS ondersteunt meerdere protocollen voor draadloze 802.1x-identiteitscontrole, zoals EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, IKEv2, PEAPv0, PEAPv1 en LEAP.ara.

Roaming

Voor roaming op grote Wi-Fi-bedrijfsnetwerken biedt iOS ondersteuning voor 802.11k en 802.11r. De triggerdrempel is het minimale signaalniveau dat een client nodig heeft om de huidige verbinding in stand te houden. iOS-apparaten bewaken en handhaven de verbinding met de huidige BSSID totdat de RSSI de drempel van -70 dBm overschrijdt. Zodra deze drempel wordt overschreden, wordt een scan gestart om kandidaat-BSSID's voor de huidige ESSID te vinden. Het is belangrijk om hier rekening mee te houden bij het ontwerpen van draadloze cellen en de verwachte signaaloverlap hiertussen. Als 5-GHz cellen bijvoorbeeld zijn ontworpen met een overlap van -67 dBm, ••

gebruikt iOS -70 dBm als trigger en blijft de verbinding met de huidige BSSID langer in stand dan u zou verwachten.

••

Kijk hoe de celoverlap is gemeten. De antennes op een draagbare computer zijn veel groter en krachtiger dan die op een smartphone of tablet, zodat iOS-apparaten andere celgrenzen zien dan u misschien zou verwachten. U kunt altijd het best een meting doen met behulp van het te gebruiken apparaat.

Met 802.11k kan uw iOS-apparaat snel detecteren of er in de buurt toegangspunten beschikbaar zijn voor roaming. Als de signaalsterkte van het huidige toegangspunt zwakker wordt en het apparaat moet roamen naar een ander toegangspunt, is al duidelijk met welk ander toegangspunt het best verbinding kan worden gemaakt.

Hoofdstuk 3    Wi-Fi

25

802.11r stroomlijnt de identiteitscontrole met de functie 'Fast Basic Service Set Transition' (FT) wanneer uw iOS-apparaat van het ene toegangspunt naar het andere toegangspunt binnen hetzelfde netwerk roamt. Met FT kunnen iOS-apparaten sneller worden gekoppeld aan toegangspunten. Afhankelijk van de leverancier van de Wi-Fi-hardware, kan FT zowel met een vooraf gedeelde sleutel (PSK) als met een 802.1X-identiteitscontrole werken. Opmerking: Niet iedere hardwareleverancier voor Wi-Fi-netwerken ondersteunt 802.11k en 802.11r. Raadpleeg de fabrikant van de Wi-Fi-hardware (controllers en toegangspunten) om na te gaan of deze methoden worden ondersteund. Als beide standaarden worden ondersteund, moet u 802.11k en FT inschakelen. Aangezien de configuratiemethoden verschillen, kunt u het best de documentatie bij uw Wi-Fi-hardware raadplegen. In de onderstaande tabel ziet u welke iOS-apparaten ondersteuning bieden voor 802.11k en 802.11r met iOS. Zelfs als een iOS-apparaat geen ondersteuning biedt voor 802.11r, biedt iOS 5.1 ondersteuning voor PKMID-caching (Pairwise Master Key Identifier Caching). PKMID-caching kan worden gebruikt in combinatie met bepaalde apparatuur van Cisco om de roaming tussen toegangspunten te verbeteren. Mogelijk zijn er extra SSID's nodig om ondersteuning te bieden voor zowel iOS-apparaten met FT-functionaliteit als iOS-apparaten met PMKID-caching. iOS-apparaat

Ondersteuning 802.11k/r

Ondersteunde methoden vanaf iOS 6

Ondersteunde methoden vóór iOS 6

iPad Air 2, iPad mini 3, iPhone 6, iPhone 6 Plus, iPhone 5s. iPhone 5c, iPad Air, iPad mini met Retina-display, iPad (4e generatie), iPad mini, iPhone 5, iPod touch (5e generatie)

Ja

FT, PMKID-caching

Niet van toepassing

iPad (3e generatie), iPhone 4s

Ja

FT, PMKID-caching

PMKID-caching

iPad (2e generatie en eerder), iPhone 4 en eerdere modellen, iPod touch (4e generatie en eerder)

Nee

PMKID-caching

PMKID-caching

••

••

Vóór de release van iOS 5.1 was optimale roaming tussen toegangspunten niet mogelijk in iOS. SKC (Sticky Key Caching) is een vorm van PMKIDcaching. SKC is niet hetzelfde als en ook niet compatibel met OKC (Opportunistic Key Caching).

Zie het Apple Support-artikel iOS 8: Wireless roaming reference for enterprise customers (Engelstalig) voor naslaginformatie over draadloze roaming. Zie het Apple Support-artikel iOS: Wi-Fi-netwerkroaming met 802.11k en 802.11r voor meer informatie over roaming met 802.11k en 802.11r.


26

Rekening houden met bereik en capaciteit

Hoewel het belangrijk is dat alle Apple apparaten binnen een bepaald gebied Wi-Fi-bereik hebben, is het ook essentieel om rekening te houden met de dichtheid van de apparaten in een bepaald gebied, zodat de benodigde capaciteit kan worden gewaarborgd. De meeste moderne toegangspunten kunnen overweg met wel 50 Wi-Fi-clients of zelfs meer. Als één 802.11n-toegangspunt ook daadwerkelijk door zoveel apparaten tegelijk wordt gebruikt, is de kans groot echter dat het kwaliteitsniveau teleurstellend is. Het kwaliteitsniveau voor de gebruiker is niet alleen afhankelijk van de beschikbare bandbreedte op het kanaal dat door het apparaat wordt gebruikt, maar ook van het aantal apparaten dat van die bandbreedte gebruikmaakt. Naarmate er meer apparaten hetzelfde kanaal gebruiken, neemt de relatieve netwerksnelheid voor die apparaten af. Bij het ontwerp van het Wi-Fi-netwerk moet u daarom rekening houden met het verwachte gebruikspatroon van de Apple apparaten. Belangrijk: Maak als het kan geen gebruik van verborgen SSID's (Service Set Identifiers), aangezien Wi-Fi-apparaten actief moeten zoeken naar verborgen SSID's. Dit leidt tot vertragingen wanneer de SSID opnieuw wordt verbonden met het netwerk, wat gevolgen kan hebben voor de gegevensstroom en de communicatie. Het verbergen van de SSID heeft ook geen voordelen voor de beveiliging van het netwerk. Gebruikers hebben de neiging om regelmatig van locatie te veranderen en nemen hun Apple apparaten dan mee. Verborgen SSID's veroorzaken daarom vaak vertraging bij de netwerkkoppeling en zorgen voor slechtere prestaties tijdens roaming. Deze manier van werken kost bovendien meer voeding dan een broadcast-SSID, wat gevolgen kan hebben voor de batterijduur van apparaten. 2,4 GHz versus 5 GHz De Wi-Fi-netwerken op de 2,4-GHz band bieden elf kanalen in Noord-Amerika. Vanwege mogelijke storing op kanalen wordt aangeraden om in het netwerkontwerp alleen de kanalen 1, 6 en 11 te gebruiken. 5-GHz signalen gaan minder goed door muren en andere obstakels heen dan 2,4-GHz signalen, waardoor het dekkingsgebied kleiner is. Gebruik daarom 5-GHz netwerken als uw ontwerp geschikt moet zijn voor een hoge dichtheid van apparaten in een afgesloten ruimte, zoals een klaslokaal of een grote vergaderruimte. Het aantal kanalen dat op de 5-GHz band beschikbaar is, verschilt per leverancier en per land, maar er zijn altijd minimaal acht kanalen beschikbaar. 5-GHz kanalen overlappen elkaar niet, wat een grote verbetering is ten opzichte van de drie elkaar overlappende kanalen die beschikbaar zijn in de 2,4-GHz band. Als u een Wi-Fi-netwerk ontwerpt voor een hoge dichtheid aan Apple apparaten, zijn de extra kanalen die 5 GHz biedt zeker het overwegen waard. Belangrijk: Het is essentieel dat het draadloze bereik binnen de werkomgeving overal ruim voldoende is. Als er oudere apparaten worden gebruikt, moet in het ontwerp rekening worden gehouden met beide Wi-Fi-banden, te weten 802.11b/g/n 2,4 GHz en 802.11a/n/ac 5 GHz.

Aandachtspunten voor het ontwerp

Er zijn drie punten waarmee u bij het ontwerpen van uw Wi-Fi-netwerken rekening moet houden.


27

Uw ontwerp afstemmen op het bereik De indeling van het gebouw kan van invloed zijn op het ontwerp van uw Wi-Fi-netwerk. In een kleine organisatie kunnen gebruikers bijvoorbeeld met andere medewerkers bijeenkomen in vergaderruimten of in kantoren. Het gevolg is dat gebruikers zich in de loop van de dag door het gebouw verplaatsen. In dit scenario wordt er voornamelijk netwerktoegang gezocht voor activiteiten die weinig bandbreedte verbruiken, zoals e-mailen, internetten en het bekijken van agenda's. Het Wi-Fi-bereik heeft hier de hoogste prioriteit. Een Wi-Fi-netwerk kan bestaan uit een klein aantal toegangspunten op elke verdieping om bereik te garanderen in de kantoren. Als er ruimten zijn waar zich soms veel medewerkers bevinden, zoals een grote vergaderzaal, kunnen daar extra toegangspunten worden aangebracht. Uw ontwerp afstemmen op de capaciteit Vergelijk het scenario hierboven eens met een school met 1000 leerlingen en 30 docenten in een gebouw met twee verdiepingen. Iedere leerling krijgt een iPad in bruikleen en iedere docent krijgt een MacBook Air en een iPad. Elke klas bestaat uit ongeveer 35 leerlingen en de klaslokalen liggen naast elkaar. Tijdens een normale schooldag gaan de leerlingen het internet op om dingen op te zoeken, bekijken ze instructievideo's, en kopiëren ze bestanden van en naar een bestandsserver in het lokale netwerk (LAN). Door de hogere dichtheid van mobiele apparaten is het ontwerp van het Wi-Fi-netwerk veel complexer. Vanwege het grote aantal apparaten in elk klaslokaal is er misschien wel één toegangspunt per klaslokaal nodig. Voor de gemeenschappelijke ruimten zullen waarschijnlijk meer toegangspunten nodig zijn, zodat er voor iedereen voldoende dekking en capaciteit is. Het aantal toegangspunten voor de gemeenschappelijke ruimten kan variëren, afhankelijk van de dichtheid van de Wi-Fi-apparaten in die ruimten.

Kanaal 36

Kanaal 157

Kanaal 40

Kanaal 161

Kanaal 36

Kanaal 64

Kanaal 44

Kanaal 52

Kanaal 48

Kanaal 64

Belangrijk: Voer vóór de installatie altijd een onderzoek uit om na te gaan hoeveel aantal toegangspunten nodig zijn en waar deze moeten worden geplaatst. Tijdens dit onderzoek moeten ook de juiste vermogensinstellingen voor elke radio worden vastgesteld. Als de installatie van het Wi-Fi-netwerk is voltooid, moet een onderzoek worden uitgevoerd om de werking van het netwerk te controleren. Als u bijvoorbeeld een netwerk ontwerpt waarvan een groot aantal mensen in een gebouw gebruik gaat maken, kunt u het ontwerp het beste testen als deze mensen zich in het gebouw bevinden. (Of als de deuren van de klaslokalen tijdens gebruik van het netwerk gesloten zijn, moet dit bij het testen van het ontwerp eveneens het geval zijn.)


28

Soms is het wenselijk om voor verschillende doeleinden verschillende SSID's aan te maken. Zo kan het handig zijn om een gastnetwerk in te richten. Zorg er in elk geval voor dat er niet te veel SSID's worden aangemaakt, aangezien alle aanvullende SSID's extra bandbreedte gebruiken. Uw ontwerp afstemmen op toepassingen Apple producten gebruiken multicastnetwerken voor voorzieningen zoals AirPlay en AirPrint. Dit betekent dat ondersteuning voor dergelijke netwerken deel moet uitmaken van het ontwerpplan. Zie Bonjour voor informatie over het voorbereiden van het netwerk voor Bonjour.

Wi-Fi-standaarden op iOS-apparaten

Bekijk de onderstaande lijst voor de Wi-Fi-specificaties voor Apple iOS-apparaten:

••

Compatibiliteit met 802.11: 802.11ac, 802.11n, 802.11a, 802.11b/g

••

Frequentiebereik: 2,4 GHz of 5 GHz

••

Maximale verzendsnelheid: Dit is de hoogste snelheid waarmee een client gegevens kan verzenden via Wi-Fi.

••

Ruimtelijke streams: Elke radio kan tegelijkertijd onafhankelijke gegevensstreams versturen, die elk verschillende gegevens bevatten. Hierdoor kan de doorvoer als geheel worden verbeterd. Het aantal van deze onafhankelijke gegevensstreams is het aantal ruimtelijke streams.

••

MCS-index: De MCS-index (Modulation and Coding Scheme) definieert de maximale transmissiesnelheid waarmee 802.11ac/n-apparaten kunnen communiceren. 802.11ac maakt gebruik van Very High Throughput (VHT) en 802.11n maakt gebruik van High Throughput (HT).

••

Kanaalbreedte: Hierbij gaat het om de maximale kanaalbreedte. Vanaf 802.11n kunnen kanalen worden gecombineerd om een breder kanaal te creëren, zodat meer gegevens tegelijk kunnen worden verzonden. Bij 802.11n kunnen twee 20-MHz kanalen worden gecombineerd, zodat een 40-MHz kanaal ontstaat. Bij 802.11n kunnen vier 20-MHz kanalen worden gecombineerd, zodat een 80-MHz kanaal ontstaat.

••

Guard-interval (GI): Het guard-interval is de ruimte (tijd) tussen het versturen van symbolen van het ene apparaat naar het andere. Met de 802.11n-standaard wordt een kort guard-interval van 400 ns gedefinieerd waarmee een snellere algehele doorvoer mogelijk is, hoewel apparaten mogelijk een langer guard-interval van 800 ns gebruiken.


29

Model

Compatibiliteit met 802.11 en frequentiebereik

Maximale verzendsnelheid

Ruimtelijke streams

MCSindex

Kanaalbreedte

Guardinterval

iPad Air 2

802.11ac/n/a op 5 GHz

866 Mbps

2

9 (VHT)

80 MHz

400 ns

15 (VHT)

802.11 n/g/b op 2,4 GHz iPad mini 3

802.11n op 2,4 GHz en 5 GHz

300 Mbps

2

15 (VHT)

40 MHz

400 ns

433 Mbps

1

9 (VHT)

80 MHz

400 ns

802.11a/b/g iPhone 6 Plus iPhone 6

iPhone 5s iPhone 5c

802.11n op 2,4 GHz en 5 GHz 802.11a/b/g

iPhone 4s

802.11n op 2,4 GHz

iPad Air iPad mini with Retina-display

7 (VHT)

802.11 n/g/b op 2,4 GHz

iPhone 5 iPhone 4

802.11ac/n/a op 5 GHz

150 Mbps

1

7 (VHT)

40 MHz

400 ns

65 Mbps

1

7 (VHT)

20 MHz

800 ns

300 Mbps

2

15 (VHT)

40 MHz

400 ns

150 Mbps

1

7 (VHT)

40 MHz

400 ns

65 Mbps

1

7 (VHT)

20 MHz

800 ns

150 Mbps

1

7 (VHT)

40 MHz

400 ns

65 Mbps

1

7 (VHT)

20 MHz

800 ns

802.11b/g 802.11n op 2,4GHz en 5 GHz 802.11a/b/g

iPad (vierde generatie)

802.11n op 2,4GHz en 5 GHz

iPad mini

802.11a/b/g

iPad (eerste, tweede en derde generatie)


iPod touch (vijfde generatie)


iPod touch (vierde generatie)

802.11n op 2,4 GHz

802.11a/b/g

802.11a/b/g

802.11b/g


30

Infrastructuur en integratie

4

Overzicht

iOS ondersteunt allerlei netwerkinfrastructuren, waaronder de volgende: ••

Lokale netwerken die Bonjour gebruiken

••

Kabelvrije verbindingen naar Apple TV via AirPlay

••

Digitale certificaten voor identiteitscontrole en veilige communicatie

••

Eenmalige aanmelding voor gestroomlijnde identiteitscontrole bij apps en voorzieningen in het netwerk

••

Op standaarden gebaseerde voorzieningen voor e-mail, adreslijsten, agenda's en andere systemen

••

Veelgebruikte systemen van andere leveranciers, zoals Microsoft Exchange

••

VPN's (Virtual Private Network), waaronder App-gebonden VPN en Altijd actieve VPN

Deze ondersteuning is ingebouwd in iOS, wat als voordeel heeft dat uw IT-afdeling maar een paar instellingen hoeft te configureren om iOS-apparaten te integreren in uw bestaande infrastructuur. Lees verder voor meer informatie over door iOS ondersteunde technologieën en richtlijnen voor het bedrijfsleven en het onderwijs.

Microsoft Exchange

iOS kan rechtstreeks met uw Microsoft Exchange-server communiceren met behulp van Microsoft Exchange ActiveSync (EAS), zodat u gebruik kunt maken van pushtechnologie voor e-mail, afwezigheidsberichten, agenda's, contactgegevens, notities en taken. Daarnaast geeft EAS gebruikers toegang tot algemene adreslijsten en biedt EAS beheerders de mogelijkheid om een wachtwoordbeleid toe te passen en apparaten op afstand te wissen. iOS is compatibel met zowel de algemene als de op certificaten gebaseerde vorm van identiteitscontrole voor Exchange ActiveSync. Als uw organisatie al met Exchange ActiveSync werkt, beschikt u over alle benodigde voorzieningen om iOS te ondersteunen. Er is geen verdere configuratie nodig. Vereisten iOS 8 of hoger ondersteunt de volgende versies van Microsoft Exchange: ••

Office 365 (EAS 14.1)

••

Exchange Server 2013 (EAS 14.1)

••

Exchange Server 2010 SP 2 (EAS 14.1)

••


••


••


••


31

••


••


Microsoft Exchange Autodiscover iOS en OS X ondersteunen de Autodiscover-voorziening van Microsoft Exchange Server 2007 of hoger. Wanneer u een Apple apparaat handmatig configureert, bepaalt de Autodiscovervoorziening op basis van uw e-mailadres en wachtwoord wat de juiste gegevens voor de Exchange-server zijn. Zie het TechNet-artikel Autodiscover Service (Engelstalig) op de website van Microsoft voor meer informatie. Microsoft Direct Push Exchange Server stuurt automatisch e-mails, taken, contactgegevens en agenda-activiteiten naar iOS-apparaten als er een mobiele dataverbinding of Wi-Fi-verbinding beschikbaar is. Microsoft Exchange Global Address List (GAL) Apple apparaten halen gegevens van contactpersonen op uit de algemene adreslijst van uw organisatie op de Exchange-server van het bedrijf. U kunt de adreslijst raadplegen wanneer u in Contacten naar contactpersonen zoekt. Ook wordt deze adreslijst automatisch gebruikt voor het aanvullen van e-mailadressen die u invoert. Opmerking: iOS 6 of hoger ondersteunt GAL-foto's (Exchange Server 2010 SP 1 of hoger vereist). Afwezigheidsbericht instellen iOS 8 ondersteunt het automatisch beantwoorden van berichten wanneer de gebruiker niet beschikbaar is. De gebruiker kan ook een einddatum instellen voor de antwoorden. Agenda iOS 8 of hoger en OS X Mavericks of hoger ondersteunen de volgende voorzieningen van Microsoft Exchange: ••

Draadloos agenda-uitnodigingen aanmaken en accepteren

••

De gegevens voor vrij/bezet van een persoon bekijken in de agenda

••

Persoonlijke agenda-activiteiten aanmaken

••

Aangepaste terugkerende activiteiten configureren

••

Weeknummers weergeven in Agenda

••

Agenda-updates ontvangen

••

Taken synchroniseren met de Herinneringen-app

De Exchange-aanduiding weergeven In iOS 8 kan de gebruiker de unieke apparaataanduiding zien die door de Exchange-server wordt gebruikt. Deze aanduiding wordt de 'Exchange-apparaat-id' genoemd. Dit is handig wanneer de Exchange-server waarmee de gebruiker verbinding maakt, alleen toegang geeft als apparaten op de witte lijst staan. Deze aanduiding kunt u al vooraf opvragen. De Exchange-apparaat-id verandert alleen als de fabrieksinstellingen van het apparaat worden hersteld. De aanduiding verandert niet bij een upgrade van iOS 7 naar iOS 8. Om de Exchange-apparaat-id op een iOSapparaat te zien, tikt u op 'Instellingen' > 'Mail, contacten, agenda's' > 'Nieuwe account' en tikt u vervolgens op 'Exchange'.

Hoofdstuk 4    Infrastructuur en integratie

32

iOS-versies identificeren met Exchange Wanneer een iOS-apparaat verbinding maakt met een Exchange-server, wordt de iOS-versie van het apparaat bekendgemaakt. Het versienummer staat in het veld 'User Agent' van de header van de aanvraag en ziet er uit als: Apple-iPhone2C1/705.018. Het nummer achter het scheidingsteken (/) is het nummer van de iOS-build. Dit nummer is uniek voor elke iOS-versie. Om het buildnummer van een apparaat te bekijken, gaat u naar 'Instellingen' > 'Algemeen' > 'Info'. U ziet het versienummer en het buildnummer, bijvoorbeeld 4.1 (8B117A). Het nummer tussen haakjes is het buildnummer. Dit nummer geeft de release aan die op het apparaat wordt gebruikt. Wanneer het buildnummer wordt verstuurd naar de Exchange-server, wordt de structuur van het nummer gewijzigd van NANNNA (waarbij N een numeriek teken is en A een alfabetisch teken) in de Exchange-structuur NNN.NNN. Hierbij blijven de numerieke waarden behouden, maar worden de letters geconverteerd naar hun positionele waarde in het alfabet. Zo wordt 'F' geconverteerd naar '06', omdat 'F' de zesde letter van het alfabet is. Cijfers worden indien nodig voorafgegaan door nullen om de reeks geschikt te maken voor de Exchange-structuur. Het buildnummer 7E18 wordt bijvoorbeeld geconverteerd naar '705.018'. Het eerste cijfer, 7, blijft '7'. De letter E is de vijfde letter van het alfabet en wordt dus geconverteerd naar '05'. In de geconverteerde versie wordt een punt (.) toegevoegd zoals vereist bij deze structuur. Het volgende cijfer, 18, wordt voorafgegaan door een nul en wordt '018'. Als het buildnummer eindigt met een letter, bijvoorbeeld 5H11A, wordt het nummer geconverteerd zoals hierboven is beschreven, maar worden vóór de numerieke waarde van het laatste teken drie nullen toegevoegd. 5H11A wordt dus '508.01100001'. Wissen op afstand U kunt de inhoud van een iOS-apparaat op afstand wissen met behulp van voorzieningen die door Exchange geboden worden. Hierbij worden alle configuratiegegevens en andere gegevens van het apparaat verwijderd. Het apparaat wordt op een veilige manier gewist en de fabrieksinstellingen worden hersteld. Bij het wissen wordt de coderingssleutel voor de gegevens (gecodeerd met 256-bits-AES-codering) verwijderd, waardoor de gegevens onmiddellijk niet meer kunnen worden hersteld. Met Microsoft Exchange Server 2007 of hoger kunt u een Remote Wipe uitvoeren via de Exchange Management Console, Outlook Web Access of Exchange ActiveSync Mobile Administration Web Tool. Met Microsoft Exchange Server 2003 kunt u een Remote Wipe uitvoeren via Exchange ActiveSync Mobile Administration Web Tool. Gebruikers kunnen hun apparaat ook zelf wissen door 'Instellingen' > 'Algemeen' > 'Stel opnieuw in' > 'Wis alle inhoud en instellingen' te kiezen. Het is ook mogelijk een apparaat zo te configureren dat het automatisch wordt gewist nadat er een bepaald aantal keren een onjuiste toegangscode is ingevoerd.

Bonjour

Bonjour is het op standaarden gebaseerde netwerkprotocol van Apple waarbij configuratie overbodig is en waarmee apparaten automatisch voorzieningen in een netwerk kunnen opsporen. iOS-apparaten gebruiken Bonjour om te zien of er AirPrint-printers beschikbaar zijn; zowel iOS-apparaten als Mac-computers gebruiken Bonjour om te zien of er AirPlay-apparaten zoals Apple TV beschikbaar zijn. Sommige apps gebruiken Bonjour ook voor peer-to-peersamenwerking en -deling.


33

Bonjour maakt gebruik van multicastverkeer om de beschikbaarheid van voorzieningen bekend te maken. Multicastverkeer wordt meestal niet gerouteerd. Zorg er daarom voor dat Apple TV's of AirPrint-printers zich in hetzelfde IP-subnet bevinden als de iOS-apparaten die er gebruik van willen maken. Als uw netwerk groter is en uit veel IP-subnetten bestaat, kan het een goed idee zijn om een Bonjour-gateway te gebruiken. Dergelijke apparaten worden aangeboden door verschillende fabrikanten van Wi-Fi-infrastructuren. Meer informatie over Bonjour kunt u lezen op de webpagina Bonjour van Apple en in de documentatie voor ontwikkelaars (Engelstalig) op Bonjour.

AirPlay

iOS 8 en OS X Yosemite ondersteunen de mogelijkheid om materiaal van een Apple apparaat te streamen naar een Apple TV, zelfs als de apparaten deel uitmaken van verschillende netwerken of als er geen netwerk beschikbaar is. Het Apple apparaat gebruikt BTLE (Bluetooth® Low Energy) om het detectieproces van beschikbare Apple TV's te starten en maakt vervolgens via Wi-Fi rechtstreeks verbinding met de Apple TV. BTLE-detectie is een afzonderlijke subset van peer-to-peer-AirPlay. In iOS 8 en OS X Yosemite kan een gebruiker via peer-to-peer-AirPlay rechtstreeks vanaf een ondersteund iOS-apparaat of een Mac materiaal streamen naar een Apple TV zonder dat eerst verbinding hoeft te worden gemaakt met het netwerk van een organisatie. Bij peer-topeer-AirPlay is het niet nodig om verbinding te maken met het juiste netwerk of om Wi-Fiwachtwoorden vrij te geven. Op deze manier worden problemen met de bereikbaarheid in complexe netwerkomgevingen voorkomen. Er wordt een rechtstreeks pad opgezet tussen de AirPlay-zender en de AirPlay-ontvanger, waardoor de prestaties optimaal zijn. Peer-topeer-AirPlay is standaard ingeschakeld in iOS 8 en OS X Yosemite; de gebruiker hoeft niets te configureren. Voor peer-to-peer-AirPlay is het volgende nodig: ••

Apple TV (derde generatie revisie A, model A1469 of hoger) met Apple TV-software versie 7.0 of hoger

••

iOS-apparaten (eind 2012 of hoger) met iOS 8 of hoger

••

Mac-computers (2012 of hoger) met OS X Yosemite of hoger

Zie het Apple Support-artikel Bepalen welk Apple TV-model u hebt als u wilt weten hoe u het modelnummer van een Apple TV kunt vinden. Peer-to-peer-detectie wordt door BTLE (Bluetooth Low Energy) gestart wanneer een gebruiker AirPlay selecteert op een iOS-apparaat met iOS 8 of op een Mac met OS X Yosemite. Hierdoor gaan het apparaat en de Apple TV naar Wi-Fi-kanaal 149,1 in de 5-GHz band en Wi-Fi-kanaal 6 in de 2,4-GHz band, waar het detectieproces wordt voortgezet. Nadat de gebruiker een Apple TV heeft geselecteerd en AirPlay is gestart, verdelen de Wi-Fi-radio's de tijd over kanaal 149,1 en het infrastructuurkanaal dat door de andere apparaten wordt gebruikt. Indien mogelijk roamt de AirPlay-zender naar het infrastructuurkanaal dat door de Apple TV wordt gebruikt. Als geen van de apparaten een infrastructuurnetwerk gebruikt, gebruiken de apparaten Wi-Fi-kanaal 149 alleen voor AirPlay. Peer-to-peer-AirPlay voldoet aan de 802.11-standaarden voor het delen van Wi-Fi-bandbreedte met andere Wi-Fi-apparaten. Als u Apple TV's gaat implementeren in een groot Wi-Fi-bedrijfsnetwerk, zijn de volgende richtlijnen van belang: ••

Verbind de Apple TV via Ethernet wanneer dat mogelijk is.


34

••

Gebruik Wi-Fi-kanaal 149 of 153 indien mogelijk niet voor uw infrastructuurnetwerk.

••

Plaats of monteer de Apple TV's niet achter objecten die de BTLE- en Wi-Fi-signalen kunnen verstoren.

••

Als u de Apple TV aan een wand of een ander oppervlak monteert, moet u ervoor zorgen dat de onderzijde naar de wand of dat andere oppervlak wijst.

••

Als peer-to-peer-AirPlay niet wordt ondersteund door de AirPlay-zender of AirPlay-ontvanger, wordt automatisch de infrastructuurverbinding gebruikt.

AirPlay-detectie iOS-apparaten blijven de momenteel beschikbare detectiemethoden gebruiken om AirPlayontvangers te detecteren. AirPlay-ontvangers kunnen zichzelf bekendmaken via Bonjour of Bluetooth. Voor detectie via Bluetooth is iOS 7.1 of hoger vereist op de volgende apparaten: ••

iPad Air

••

Apple TV (derde generatie of nieuwer) met software versie 6.1 of hoger

••

iPhone 4s of nieuwer

••

iPad derde generatie of nieuwer

••

iPad mini eerste generatie of nieuwer

••

iPod touch vijfde generatie of nieuwer

Gedetecteerde AirPlay-ontvangers worden weergegeven in het AirPlay-menu. Bonjour-voorzieningen _airplay._tcp en _raop._tcp moeten bekend worden gemaakt op Bonjour-gatewayproducten. Neem contact op met uw gatewayaanbieder om na te gaan of deze voorzieningen bekend worden gemaakt. Connectiviteit 'Infrastructuur' en 'Peer-to-peer' zijn de twee modi die worden ondersteund bij AirPlay-connectiviteit. Als zowel de AirPlay-zender als de AirPlay-ontvanger peer-to-peer-AirPlay ondersteunen, is dat het aanbevolen gegevenstraject, ongeacht de beschikbaarheid van een infrastructuurnetwerk. Peer-to-peer-AirPlay kan samen worden gebruikt met infrastructuurverbindingen. Dit betekent dat de AirPlay-client of AirPlay-zender tegelijkertijd een internetverbinding en een peer-to-peerverbinding kan hebben. De 5-GHz band is beter voor verbindingen via peer-to-peer-AirPlay, omdat deze band een snelle, rechtstreekse verbinding biedt tussen de AirPlay-zender en de AirPlay-ontvanger. Beveiliging AirPlay maakt gebruik van AES-codering om ervoor te zorgen dat materiaal ook beveiligd is wanneer dit vanaf een iOS-apparaat of Mac synchroon of via een stream wordt weergegeven op een Apple TV. De toegang van AirPlay tot een Apple TV kan worden beperkt met een schermcode of wachtwoord. Alleen gebruikers die op hun iOS-apparaat of Mac de schermcode invoeren (telkens wanneer ze AirPlay gaan gebruiken) of hun wachtwoord invoeren, kunnen AirPlay-materiaal versturen naar een Apple TV.


35

Als 'Vraag om apparaatcontrole' is ingeschakeld, moet bij de eerste AirPlay-verbinding een identiteitscontrole voor het iOS-apparaat of de Mac worden uitgevoerd. (Voor deze optie is een iOS-apparaat met iOS 7.1 of hoger of een Mac met OS X Mavericks versie 10.9.2 of hoger vereist.) De optie 'Vraag om apparaatcontrole' is handig wanneer een Apple TV is geïmplementeerd in een open Wi-Fi-netwerk. Om er zeker van te zijn dat iOS-apparaten en Mac-computers veilig worden gekoppeld, moet de gebruiker één keer een schermcode invoeren. Voor daaropvolgende verbindingen is dit niet nodig, tenzij er instellingen voor de schermcode zijn ingeschakeld. Als de fabrieksinstellingen van een Apple TV of een eerder gekoppelde client worden hersteld, wordt de oorspronkelijke verbindingsstatus hersteld. Peer-to-peer-AirPlay wordt altijd beveiligd met 'Vraag om apparaatcontrole'. Deze instelling kan niet worden geconfigureerd door de gebruiker en voorkomt dat onbevoegde gebruikers in de buurt toegang tot de Apple TV hebben. Opmerking: Voor apparaten die geen deel uitmaken van een infrastructuurnetwerk zorgt Bluetooth ervoor dat ondersteunde Apple TV's (A1469 of hoger) via Bonjour bekend worden gemaakt.

Op standaarden gebaseerde voorzieningen

Dankzij de ondersteuning voor het IMAP-mailprotocol, LDAP-adreslijstvoorzieningen, het CalDAV-agendaprotocol en het CardDAV-contactprotocol, zijn iOS en OS X compatibel met vrijwel elke op standaarden gebaseerde omgeving. Als voor toegang tot het netwerk identiteitscontrole en SSL zijn ingesteld, kan via iOS en OS X op een veilige manier toegang worden verkregen tot op standaarden gebaseerde zakelijke e-mail, agenda's, taken en contactgegevens. iOS en OS X bieden met SSL ondersteuning voor 128-bits-codering en X.509-rootcertificaten van de belangrijkste certificaatautoriteiten. In de meeste gevallen maken Apple apparaten rechtstreeks verbinding met IMAP- en SMTPmailservers om draadloos (in geval van een Mac draadloos of via Ethernet) e-mail te versturen en te ontvangen, stellen ze de VIP-status in hun berichtenreeksen in en kunnen ze ook draadloos notities synchroniseren met IMAP-servers. Apple apparaten kunnen verbinding maken met de LDAPv3-adreslijsten van uw organisatie, zodat de gebruikers toegang hebben tot zakelijke contactpersonen in de apps Mail, Contacten en Berichten. Dankzij de ondersteuning voor CardDAV kunnen gebruikers de gegevens van contactpersonen in de vCard-structuur synchroon houden met uw CardDAV-server. Synchronisatie met uw CalDAV-server biedt gebruikers de volgende mogelijkheden: ••

Agenda-uitnodigingen aanmaken en accepteren

••

De gegevens voor vrij/bezet van een persoon bekijken in de agenda

••

Persoonlijke agenda-activiteiten aanmaken

••

Aangepaste terugkerende activiteiten configureren

••

Weeknummers weergeven in Agenda

••

Agenda-updates ontvangen

••

Taken synchroniseren met de Herinneringen-app

Alle netwerkvoorzieningen en -servers kunnen zich in een DMZ-subnetwerk bevinden, achter een bedrijfsfirewall of beide.


36

Digitale certificaten

Apple apparaten bieden ondersteuning voor digitale certificaten en identiteiten, zodat uw organisatie op een gestroomlijnde manier toegang heeft tot de bedrijfsvoorzieningen. Deze certificaten kunnen op verschillende manieren worden gebruikt. Safari kan bijvoorbeeld de geldigheid van een digitaal X.509-certificaat controleren en via AES-codering (tot 256 bits) een veilige sessie starten. Er wordt gecontroleerd of de identiteit van de website geldig is en of de communicatie met de website wordt gecodeerd, zodat persoonlijke of vertrouwelijke gegevens niet door derden kunnen worden onderschept. Certificaten kunnen worden gebruikt om de identiteit van de auteur of 'ondertekenaar' te garanderen. Bovendien kunt u met behulp van digitale certificaten e-mail, configuratieprofielen en de netwerkcommunicatie coderen, zodat vertrouwelijke informatie ook echt vertrouwelijk blijft. Certificaten gebruiken met Apple apparaten Apple apparaten bieden standaard een aantal vooraf geïnstalleerde rootcertificaten van verschillende certificaatautoriteiten. iOS gaat na of deze rootcertificaten worden vertrouwd. Als de vertrouwensketen van de ondertekenende certificaatautoriteit niet kan worden gevalideerd, doet zich een fout voor. Een zelfondertekend certificaat kan bijvoorbeeld standaard niet worden geverifieerd in iOS. Zie voor een actuele lijst van vertrouwde rootcertificaten in iOS het Apple Support-artikel iOS 8: List of available trusted root certificates (Engelstalig). iOS-apparaten kunnen certificaten draadloos bijwerken als de veiligheid van een van de vooraf geïnstalleerde rootcertificaten in het geding is. Deze voorziening kan eventueel worden uitgeschakeld met een MDM-beperking die voorkomt dat certificaten draadloos worden bijgewerkt. Deze digitale certificaten kunnen worden gebruikt om een client of server te identificeren en om de communicatie hiertussen te coderen met behulp van de publieke en private sleutel. Een certificaat bevat een publieke sleutel en informatie over de client (of server), en wordt ondertekend (geverifieerd) door een certificaatautoriteit. Een certificaat en de bijbehorende private sleutel vormen samen een identiteit. Certificaten kunnen vrijelijk worden verspreid, maar identiteiten moeten veilig worden bewaard. Het vrijelijk verspreide certificaat, en dan met name de publieke sleutel daarvan, wordt gebruikt voor codering die alleen kan worden gedecodeerd met behulp van de bijbehorende private sleutel. Om de private sleutel van een identiteit te beveiligen, wordt de sleutel in een PKCS12-bestand bewaard, dat wordt gecodeerd met een andere sleutel die is beveiligd met een wachtzin. Een identiteit kan worden gebruikt voor identiteitscontrole (zoals 802.1x EAP-TLS), ondertekening of codering (zoals S/MIME). Dit is een lijst met ondersteunde certificaat- en identiteitsstructuren op Apple apparaten: ••

X.509-certificaten met RSA-sleutels

••

Certificaat: .cer, .crt, .der

••

Identiteit: .pfx, .p12

Implementeer certificaten om een vertrouwensketen tot stand te brengen voor certificaatautoriteiten die niet standaard worden vertrouwd (zoals een organisatie die certificaten uitgeeft).


37

Certificaten distribueren en installeren Het handmatig distribueren van certificaten naar iOS-apparaten is heel eenvoudig. Zodra een gebruiker het certificaat heeft ontvangen, hoeft hij er alleen maar op te tikken om de inhoud te bekijken en om het certificaat aan zijn apparaat toe te voegen. Wanneer een identiteitscertificaat wordt geïnstalleerd, moet de gebruiker de wachtwoordzin opgeven waarmee dit certificaat wordt beveiligd. Als de echtheid van een certificaat niet kan worden gecontroleerd, wordt het als niet-vertrouwd aangemerkt en kan de gebruiker zelf beslissen of hij of zij het toch aan het apparaat wil toevoegen. Certificaten installeren met behulp van configuratieprofielen Wanneer er configuratieprofielen worden gebruikt om instellingen voor bedrijfsvoorzieningen (zoals S/MIME, VPN of Wi-Fi) te distribueren, kunnen er met het oog op een gestroomlijnde implementatie certificaten aan het profiel worden toegevoegd. Hierbij is het ook mogelijk om certificaten via een MDM-oplossing te distribueren. Certificaten installeren via Mail of Safari Als een certificaat per e-mail wordt verstuurd, wordt het certificaat als bijlage aan het bericht toegevoegd. Certificaten kunnen ook met Safari van een webpagina worden gedownload. U kunt een certificaat op een beveiligde website hosten en de gebruikers de URL geven, zodat ze het certificaat op hun Apple apparaat kunnen downloaden. Certificaten verwijderen en intrekken Als u een geïnstalleerd certificaat handmatig wilt verwijderen, kiest u 'Instellingen' > 'Algemeen' > 'Apparaatbeheer', selecteert u een profiel, kiest u 'Meer details' en kiest u het certificaat dat u wilt verwijderen. Als een gebruiker een certificaat verwijdert dat nodig is om toegang tot een account of netwerk te krijgen, kan het iOS-apparaat geen verbinding meer maken met deze voorzieningen. Een MDM-server kan alle certificaten op een apparaat bekijken en certificaten verwijderen die door de MDM-server zelf zijn geïnstalleerd. Ook de protocollen OCSP (Online Certificate Status Protocol) en CRL (Certificate Revocation List) worden ondersteund voor het controleren van de status van certificaten. Als een certificaat wordt gebruikt dat geschikt is voor OCSP of CRL, wordt in iOS en OS X regelmatig gecontroleerd of dit certificaat niet is ingetrokken.

Eenmalige aanmelding (SSO)

Eenmalige aanmelding is een proces waarbij een gebruiker eenmalig gegevens opgeeft voor identiteitscontrole, een ticket ontvangt en daarmee toegang tot bronnen krijgt zolang het ticket geldig is. Zo kan de toegang tot bronnen worden beveiligd zonder dat de gebruiker voor elke toegangsaanvraag zijn of haar gebruikersgegevens moet opgeven. Ook wordt de beveiliging van het dagelijkse appgebruik verhoogd, doordat ervoor wordt gezorgd dat wachtwoorden nooit via het netwerk worden verstuurd.


38

In iOS 7 of hoger kunnen apps via Kerberos gebruikmaken van een bestaande infrastructuur voor eenmalige aanmelding. Het Kerberos-systeem voor identiteitscontrole dat voor iOS 7 en hoger wordt gebruikt, is wereldwijd de meest gebruikte technologie voor eenmalige aanmelding. Als u werkt met Active Directory, eDirectory of Open Directory, is er waarschijnlijk al een Kerberos-systeem beschikbaar dat door iOS 7 of hoger kan worden gebruikt. iOS-apparaten moeten via een netwerkverbinding contact kunnen maken met de Kerberos-voorziening om de identiteit van gebruikers te controleren. In iOS 8 kunnen certificaten worden gebruikt om een Kerberos-ticket op de achtergrond te vernieuwen, zodat gebruikers verbindingen kunnen opzetten met bepaalde voorzieningen die voor identiteitscontrole vertrouwen op Kerberos. Ondersteunde apps iOS biedt een flexibele ondersteuning voor eenmalige aanmelding via Kerberos voor elke app die de klasse 'NSURLConnection' of 'NSURLSession' gebruikt voor het beheer van netwerkverbindingen en identiteitscontrole. Apple voorziet alle ontwikkelaars van deze hoogwaardige frameworks om ervoor te zorgen dat netwerkverbindingen naadloos in hun apps worden geïntegreerd. Apple levert ook Safari, als voorbeeld van een programma met native gebruik van websites die eenmalige aanmelding ondersteunen. Eenmalige aanmelding configureren U configureert eenmalige aanmelding met behulp van configuratieprofielen, die handmatig kunnen worden geïnstalleerd of met een MDM-oplossing kunnen worden beheerd. De payload voor eenmalige aanmelding maakt een flexibele configuratie mogelijk. Eenmalige aanmelding kan worden toegestaan voor alle apps, maar kan ook worden beperkt op basis van de app-ID, de service-URL of beide. Er wordt een eenvoudige patroonvergelijking gebruikt voor URL's die moeten beginnen met "http://" of "https://". Aangezien de volledige URL's worden vergeleken, moet u ervoor zorgen dat ze exact hetzelfde zijn. De waarde "https://www.example.com/" voor URLPrefixMatches komt bijvoorbeeld niet overeen met "https://www.example.com:443/". U kunt "http://" of "https://" opgeven om het gebruik van eenmalige aanmelding te beperken tot reguliere of beveiligde HTTP-diensten. Als u bijvoorbeeld de waarde "https://" gebruikt voor URLPrefixMatches, kan de account voor eenmalige aanmelding alleen worden gebruikt met beveiligde HTTPS-voorzieningen. Als een URL-vergelijkingspatroon niet wordt afgesloten met een schuine streep (/), wordt er een schuine streep (/) toegevoegd. De AppIdentifierMatches-matrix moet tekenreeksen bevatten die overeenkomen met appbundel-ID's. Deze tekenreeksen moeten volledig overeenkomen (bijvoorbeeld "com.mijnbedrijf. mijnapp") of een voorvoegsel voor de bundel-ID bevatten in de vorm van het jokerteken (*). Het jokerteken moet na een punt (.) komen en mag uitsluitend aan het eind van een tekenreeks worden gebruikt (bijvoorbeeld "com.mijnbedrijf.*"). Als er een jokerteken wordt gebruikt, krijgt elke app waarvan de bundel-ID met het voorvoegsel begint, toegang tot de gegevens van de ingelogde gebruiker.

Virtual Private Networks (VPN) Overzicht

Vanaf apparaten met iOS en OS X kunnen afgeschermde bedrijfsnetwerken via de gebruikelijke VPN-protocollen veilig worden benaderd. Standaard bieden iOS en OS X ondersteuning voor Cisco IPSec, L2TP over IPSec en PPTP. iOS ondersteunt bovendien IKEv2. Als uw organisatie een van deze protocollen ondersteunt, hoeft u uw netwerk verder niet te configureren en hebt u geen apps van andere leveranciers nodig om uw Apple apparaten te verbinden met uw VPN.


39

iOS en OS X ondersteunen SSL-VPN van populaire VPN-aanbieders. Net als andere VPN-protocollen die door iOS en OS X worden ondersteund, kan SSL-VPN handmatig, via configuratieprofielen of door middel van een MDM-oplossing op het Apple apparaat worden geconfigureerd. iOS en OS X ondersteunen ook standaardtechnologieën als IPv6, proxyservers en split-tunneling, zodat gebruikers probleemloos via VPN verbinding met het bedrijfsnetwerk kunnen maken. Bovendien werken iOS en OS X met diverse methoden voor identiteitscontrole, waaronder wachtwoorden, twee-factorentokens en digitale certificaten. OS X werkt ook met Kerberos. iOS en OS X ondersteunen VPN op aanvraag om verbindingen te stroomlijnen in omgevingen waarin identiteitscontrole plaatsvindt aan de hand van certificaten. Hierbij wordt indien nodig een VPN-sessie opgezet om verbinding te maken met opgegeven domeinen. Bij iOS 7 of hoger en OS X Yosemite of hoger kunnen specifieke apps worden geconfigureerd voor afzonderlijk gebruik van een VPN-verbinding. Hierdoor lopen bedrijfsgegevens altijd via een VPN-verbinding, terwijl andere gegevens, zoals persoonlijke apps van de gebruiker uit de App Store, buiten het VPN om lopen. Zie App-gebonden VPN voor meer informatie. Bij de iOS-voorziening Altijd actieve VPN moet een iOS-apparaat verbinding maken met een bekend, goedgekeurd VPN voordat er verbinding met andere netwerkvoorzieningen wordt gemaakt. U kunt Altijd actieve VPN configureren voor zowel mobiele configuraties als Wi-Ficonfiguraties. Bij Altijd actieve VPN moet een iOS-apparaat verbinding maken met een bekend, goedgekeurd VPN voordat er verbinding met andere netwerkvoorzieningen wordt gemaakt. Hierbij kan het gaan om voorzieningen voor e-mail, het web of berichten. Deze functie kan alleen worden gebruikt als deze configuratie wordt ondersteund door uw VPN-aanbieder. Bovendien is de functie alleen beschikbaar voor apparaten die onder supervisie staan. Zie Overzicht voor informatie over Altijd actieve VPN.

Ondersteunde protocollen en methoden voor identiteitscontrole

iOS en OS X ondersteunen de volgende protocollen en methoden voor identiteitscontrole: ••

L2TP over IPSec: Identiteitscontrole van gebruikers aan de hand van een MS-CHAP v2-wachtwoord, een twee-factorentoken en een certificaat; machinale identiteitscontrole op basis van een gedeeld geheim of certificaat.

••

SSL-VPN: Identiteitscontrole van gebruikers aan de hand van een wachtwoord, een twee-factorentoken en certificaten van VPN-clients van andere leveranciers.

••

Cisco IPSec: Identiteitscontrole van gebruikers aan de hand van een wachtwoord en een twee-factorentoken; machinale identiteitscontrole aan de hand van een gedeeld geheim en certificaten.

••

IKEv2: Certificaten (alleen RSA), EAP-TLS, EAP-MSCHAPv2 (alleen iOS).

••

PPTP: Identiteitscontrole van gebruikers aan de hand van een MS-CHAP v2-wachtwoord, een certificaat en een twee-factorentoken.

OS X kan ook gebruikmaken van machinale identiteitscontrole volgens Kerberos op basis van een gedeeld geheim of certificaat met L2TP over IPSec en met PPTP.

SSL-VPN-clients

Verschillende SSL-VPN-aanbieders hebben apps ontwikkeld om iOS-apparaten te configureren voor gebruik met hun oplossingen. Als u een apparaat wilt configureren voor gebruik met een specifieke oplossing, installeert u de bijbehorende app uit de App Store en zorgt u (eventueel) voor een configuratieprofiel met de benodigde instellingen.


40

Voorbeelden van SSL-VPN-oplossingen zijn: ••

SSL-VPN AirWatch: Ga naar de website van AirWatch voor informatie.

••

SSL-VPN Aruba Networks: iOS ondersteunt Aruba Networks Mobility Controller. Voor de configuratie installeert u de Aruba Networks VIA-app (verkrijgbaar in de App Store). Ga naar de website van Aruba Networks voor contactgegevens.

••

SSL-VPN Check Point Mobile: iOS ondersteunt de Check Point Security Gateway met een volledige Layer-3-VPN-tunnel. Installeer de Check Point Mobile-app (verkrijgbaar in de App Store).

••

SSL-VPN Cisco AnyConnect: iOS biedt ondersteuning voor Cisco Adaptive Security Appliance (ASA) met bij voorkeur softwareversie 8.2.5 of hoger. Installeer de Cisco AnyConnect-app (verkrijgbaar in de App Store).

••

SSL-VPN F5: iOS ondersteunt de F5-SSL-VPN-oplossingen BIG-IP Edge Gateway, Access Policy Manager en FirePass. Installeer de F5 BIG-IP Edge Client-app (verkrijgbaar in de App Store). Raadpleeg voor meer informatie het witboek van F5 Secure iPhone Access to Corporate Web Applications.

••

SSL-VPN Juniper Junos Pulse: iOS biedt ondersteuning voor Juniper Networks SA Series SSL VPN Gateway met versie 6.4 of hoger met Juniper Networks IVE package 7.0 of hoger. Installeer de Junos Pulse-app (verkrijgbaar in de App Store). Zie Junos Pulse op de website van Juniper Networks voor meer informatie.

••

SSL-VPN Mobile Iron: Ga naar de website van Mobile Iron voor informatie.

••

SSL-VPN NetMotion: Ga naar de website van NetMotion voor informatie.

••

SSL-VPN OpenVPN: iOS biedt ondersteuning voor OpenVPN Access Server, Private Tunnel en OpenVPN Community. Voor de configuratie installeert u de OpenVPN Connect-app (verkrijgbaar in de App Store).

••

SSL-VPN Palo Alto Networks GlobalProtect: iOS ondersteunt de GlobalProtect-gateway van Palo Alto Networks. Installeer de GlobalProtect voor iOS-app (verkrijgbaar in de App Store).

••

SSL-VPN SonicWALL: iOS ondersteunt SonicWALL Aventall E-Class Secure Remote Accessapparaten met versie 10.5.4 of hoger, SonicWALL SRA-apparaten met versie 5.5 of hoger en SonicWALL Next-Generation Firewall-apparaten, waaronder de TZ, NSA, E-Class NSA met SonicOS versie 5.8.1.0 of hoger. Installeer de SonicWALL Mobile Connect-app (verkrijgbaar in de App Store). Ga naar de website van SonicWALL voor meer informatie.

Richtlijnen voor VPN-configuratie

Configuratierichtlijnen Cisco IPSec Aan de hand van deze richtlijnen kunt u de Cisco VPN-server configureren voor gebruik met iOS-apparaten. iOS biedt ondersteuning voor Cisco ASA 5500 Security Appliances en PIX Firewalls die zijn geconfigureerd met softwareversie 7.2.x of hoger. De meest recente softwarerelease (8.0x of hoger) wordt aanbevolen. Daarnaast biedt iOS ondersteuning voor Cisco IOS VPN-routers met IOS-versie 12.4(15)T of hoger. De VPN 3000 Series Concentrators bieden geen ondersteuning voor de VPN-voorzieningen van iOS. Proxyconfiguratie U kunt voor alle configuraties een VPN-proxy opgeven: ••

Om voor alle verbindingen één proxy te configureren, kiest u 'Handmatig' en geeft u het adres, de poort en indien nodig de identiteitscontrole op.


41

••

Gebruik de instelling 'Automatisch' om het apparaat via PAC of WPAD te voorzien van een configuratiebestand voor een automatische proxy. Voor PAC geeft u de URL van het PAC- of JavaScript-bestand op. In het geval van WPAD worden de juiste instellingen opgevraagd bij DHCP en DNS.

De VPN-proxyconfiguratie wordt gebruikt wanneer het VPN het volgende aanbiedt: ••

De standaard-resolver en de standaardroute: De VPN-proxy wordt gebruikt voor alle webverzoeken in het systeem.

••

Een 'split tunnel': De VPN-proxy wordt alleen gebruikt door verbindingen naar hosts die overeenkomen met de DNS-zoekdomeinen van het VPN.

Methoden voor identiteitscontrole Voor iOS kunnen de volgende methoden voor identiteitscontrole worden gebruikt: ••

IPsec-identiteitscontrole op basis van een vooraf gedeelde sleutel met gebruikerscontrole via xauth.

••

Client- en servercertificaten voor IPsec-identiteitscontrole met optionele gebruikerscontrole via xauth.

••

Hybride identiteitscontrole waarbij de server een certificaat verstrekt en de client een vooraf gedeelde sleutel verstrekt voor IPsec-identiteitscontrole. Gebruikerscontrole via xauth is vereist.

••

Voor gebruikerscontrole wordt xauth gebruikt op basis van een van de volgende methoden: ••

Gebruikersnaam met wachtwoord

••

RSA SecurID

••

CRYPTOCard

Identiteitscontrolegroepen Het Cisco Unity-protocol gebruikt identiteitscontrolegroepen om gebruikers te groeperen op basis van een gemeenschappelijke set parameters. U moet een identiteitscontrolegroep aanmaken voor gebruikers van iOS-apparaten. Voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel moet bij het configureren van de groepsnaam op het apparaat het gedeelde geheim van de groep (de vooraf gedeelde sleutel) als groepswachtwoord worden ingesteld. Er is geen gedeeld geheim voor identiteitscontrole op basis van certificaten. De groep van een gebruiker wordt vastgesteld op basis van velden in het certificaat. U kunt de Cisco-serverinstellingen gebruiken om velden in een certificaat aan gebruikersgroepen te koppelen. RSA-Sig moet de hoogste prioriteit hebben in de ISAKMP-prioriteitenlijst. Certificaten Aandachtspunten bij het configureren en installeren van certificaten: ••

In het identiteitscertificaat van de server moet in het SubjectAltName-veld de DNS-naam of het IP-adres van de server zijn ingevuld. Op basis van deze informatie controleert het apparaat of het certificaat bij de server hoort. Voor meer flexibiliteit kunt u de SubjectAltName opgeven met behulp van jokertekens, zoals 'vpn.*.mijnbedrijf.com', zodat de naam op meerdere servers van toepassing is. Als er geen SubjectAltName is opgegeven, kunt u het algemene naamveld gebruiken voor de DNS-naam.


42

••

Op het apparaat moet het certificaat zijn geïnstalleerd van de certificaatautoriteit die het servercertificaat heeft ondertekend. Als dit geen rootcertificaat is, moet u de rest van de vertrouwensketen installeren om ervoor te zorgen dat dit certificaat wordt vertrouwd. Als u gebruikmaakt van clientcertificaten, moet u ervoor zorgen dat op de VPN-server het certificaat is geïnstalleerd van de vertrouwde certificaatautoriteit die het clientcertificaat heeft ondertekend. Bij gebruik van identiteitscontrole op basis van certificaten moet de server zo zijn geconfigureerd dat deze de identiteit van de gebruikersgroep kan vaststellen op basis van velden in het clientcertificaat. Belangrijk: De certificaten en certificaatautoriteiten moeten geldig zijn (ze mogen bijvoorbeeld niet verlopen zijn). Het versturen van een certificaatketen door de server wordt niet ondersteund.

Instellingen en beschrijvingen van IPSec IPSec heeft verschillende instellingen waarmee u de implementatie ervan kunt bepalen: ••

Mode: 'Tunnel Mode'.

••

IKE Exchange Modes: 'Aggressive Mode' voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel, of 'Main Mode' voor identiteitscontrole op basis van certificaten.

••

Encryption Algorithms: 3DES, AES-128 of AES256.

••

Authentication Algorithms: HMAC-MD5 of HMAC-SHA1.

••

Diffie-Hellman Groups: 'Group 2' is vereist voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel. 'Group 2' met 3DES en AES-128 voor identiteitscontrole met certificaten. 'Group 2' of 'Group 5' met AES-256.

••

PFS (Perfect Forward Secrecy): Voor IKE fase 2 moet bij gebruik van PFS dezelfde Diffie-Hellmangroep worden gebruikt als voor IKE fase 1.

••

Mode Configuration: Moet zijn ingeschakeld.

••

Dead Peer Detection: Aanbevolen.

••

Standard NAT Traversal: Wordt ondersteund en kan worden ingeschakeld (IPSec via TCP wordt niet ondersteund).

••

Load Balancing: Wordt ondersteund en kan worden ingeschakeld.

••

Rekeying of Phase 1: Wordt momenteel niet ondersteund. U wordt aangeraden om het interval voor re-keying op de server in te stellen op één uur.

••

ASA Address Mask: Zorg ervoor dat alle adrespoolmaskers van apparaten hetzij niet zijn ingesteld, hetzij zijn ingesteld op 255.255.255.255. Bijvoorbeeld: asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.

Wanneer u dit aanbevolen adresmasker gebruikt, worden sommige routes die door de VPNconfiguratie worden verondersteld, mogelijk genegeerd. Om dit te voorkomen, zorgt u ervoor dat uw routeringstabel alle benodigde routes bevat en controleert u of de subnetadressen toegankelijk zijn voordat u een en ander implementeert.

••

Application Version: Informatie over de softwareversie op de client wordt naar de server gestuurd, zodat de server verbindingen kan toestaan of weigeren op basis van de softwareversie op het apparaat.

••

Banner: Als de banner op de server is geconfigureerd, wordt deze op het apparaat weergegeven. De gebruiker kan de banner vervolgens accepteren of de verbinding verbreken.

••

Split Tunnel: Ondersteund.

••

Split DNS: Ondersteund.

••

Default Domain: Ondersteund.


43

App-gebonden VPN

Bij iOS en OS X is het mogelijk om per app een VPN-verbinding op te zetten. Hierdoor kan meer specifiek worden bepaald welke gegevens er via het VPN lopen. Met VPN op apparaatniveau gaan alle gegevens via het privénetwerk, ongeacht de oorsprong ervan. Door deze mogelijkheid om het verkeer op appniveau te scheiden, kunnen persoonlijke gegevens en gegevens van de organisatie effectief van elkaar afgeschermd blijven. Nu er binnen organisaties steeds meer privéapparaten door medewerkers worden gebruikt, biedt App-gebonden VPN veilige netwerkmogelijkheden voor apps die voor intern gebruik bestemd zijn, terwijl de privacy van persoonlijke activiteiten op het apparaat beschermd blijft. Met App-gebonden VPN kan elke app die via een MDM-oplossing wordt beheerd via een beveiligde tunnel communiceren met het privénetwerk, terwijl andere (onbeheerde) apps op de Apple apparaten geen toegang hebben tot het netwerk. Beheerde apps kunnen met verschillende VPN-verbindingen worden geconfigureerd om de gegevens verder te beveiligen. Zo zou een app voor het maken van offertes gebruik kunnen maken van een ander datacenter dan een crediteurenapp, terwijl het persoonlijke internetverkeer van de gebruiker gebruikmaakt van het openbare internet. Door deze mogelijkheid om het verkeer op appniveau te scheiden, kunnen persoonlijke gegevens en gegevens van de organisatie effectief van elkaar afgeschermd blijven. Om App-gebonden VPN te kunnen gebruiken, moet een app worden beheerd met een MDMoplossing en gebruikmaken van de standaardnetwerk-API's. Nadat App-gebonden VPN is ingeschakeld voor een VPN-verbinding, moet u die verbinding koppelen aan de apps die deze verbinding gaan gebruiken om het netwerkverkeer voor deze apps te beveiligen. Dit wordt gedaan met een payload (in een configuratieprofiel) waarmee apps worden gekoppeld aan App-gebonden VPN. App-gebonden VPN wordt geconfigureerd met een MDM-configuratie die aangeeft welke apps en Safari-domeinen gebruik mogen maken van de instellingen. Als u meer wilt weten over de ondersteuning voor App-gebonden VPN, neemt u contact op met een externe leverancier van SSL of VPN.

VPN op aanvraag Overzicht

Met VPN op aanvraag kunnen Apple apparaten automatisch, zonder tussenkomst van de gebruiker, een beveiligde verbinding tot stand brengen. De VPN-verbinding wordt opgezet wanneer dat nodig is, op basis van regels die in een configuratieprofiel zijn vastgelegd. Voor VPN op aanvraag is identiteitscontrole aan de hand van certificaten vereist. VPN op aanvraag wordt geconfigureerd met behulp van de sleutel OnDemandRules in de VPN-payload van een configuratieprofiel. De regels worden in twee fasen toegepast: ••

Netwerkdetectie: In deze fase worden de VPN-vereisten bepaald die worden toegepast wanneer de primaire netwerkverbinding van het apparaat verandert.

••

Verbindingsevaluatie: In deze fase worden de VPN-vereisten bepaald voor verbindingsaanvragen bij domeinnamen wanneer dat nodig is.

Regels kunnen bijvoorbeeld worden gebruikt om:

••

Vast te stellen wanneer een Apple apparaat verbonden is met een intern netwerk en er geen VPN-verbinding nodig is

••

Vast te stellen wanneer er een onbekend Wi-Fi-netwerk wordt gebruikt en voor alle netwerkactiviteit een VPN-verbinding vereist is


44

••

Een VPN-verbinding verplicht te stellen wanneer een DNS-aanvraag voor een opgegeven domein mislukt

Fasen

VPN op aanvraag maakt in twee stappen verbinding met uw netwerk. Netwerkdetectie De regels voor VPN op aanvraag worden geëvalueerd wanneer de primaire netwerkinterface van het apparaat verandert, bijvoorbeeld wanneer een Apple apparaat overschakelt op een ander Wi-Fi-netwerk of wanneer het apparaat van een Wi-Fi-netwerk overschakelt naar een mobiel netwerk in iOS of naar Ethernet in OS X. Als de primaire interface een virtuele interface is (zoals een VPN-interface), worden de regels voor VPN op aanvraag genegeerd. Alle vergelijkingsregels in elke set (elk woordenboek) moeten overeenkomen om de daaraan gekoppelde actie te laten plaatsvinden. Als een van de regels niet overeenkomt, wordt de evaluatie automatisch voortgezet in het volgende woordenboek in de matrix, totdat de OnDemandRules-matrix volledig is doorlopen. In het laatste woordenboek moet een standaardconfiguratie zijn beschreven; dit woordenboek bevat geen vergelijkingsregels, maar alleen een actie. Zo worden alle verbindingen afgevangen waarvoor in de vorige regels geen overeenkomsten zijn gevonden. Verbindingsevaluatie VPN kan worden geactiveerd op het moment dat dit nodig is (op basis van verbindingsvereisten voor bepaalde domeinen), in plaats van dat VPN-verbindingen eenzijdig worden gemaakt en verbroken op basis van de netwerkinterface.

Regels en acties

Regels zijn nodig om de typen netwerken te definiëren die zijn gekoppeld aan VPN op aanvraag. Acties geven aan wat er moet gebeuren als de vergelijkingsregels waar zijn. Vergelijkingsregels VPN op aanvraag Geef een of meer van de volgende vergelijkingsregels op voor clients met Cisco IPSec:

••

InterfaceTypeMatch: Optioneel. De tekenreekswaarde 'Cellular' (voor iOS) of 'Ethernet' (voor OS X) of 'Wi-Fi'. Als deze regel wordt opgegeven, is deze regel waar wanneer de hardware van de primaire interface van het opgegeven type is.

••

SSIDMatch: Optioneel. Een matrix van SSID's die met het huidige netwerk worden vergeleken. Als het netwerk geen Wi-Fi-netwerk is of als de SSID ervan niet in de lijst is opgenomen, is de regel onwaar. Om SSID te negeren, kunnen deze sleutel en de bijbehorende matrix worden weggelaten.

••

DNSDomainMatch: Optioneel. Een matrix van zoekdomeinen in tekenreeksen. Als het geconfigureerde DNS-zoekdomein van het huidige primaire netwerk is opgenomen in de matrix, is deze regel waar. Jokertekens (*) als voorvoegsel zijn toegestaan. Zo komt bijvoorbeeld "*.example.com" overeen met "anything.example.com".

••

DNSServerAddressMatch: Optioneel. Een matrix van DNS-serveradressen in tekenreeksen. Deze regel is waar als alle DNS-serveradressen die op dat moment voor de primaire interface zijn geconfigureerd, zich in de matrix bevinden. U kunt jokertekens (*) gebruiken. Zo komt bijvoorbeeld "1.2.3.*" overeen met elke DNS-server die het voorvoegsel "1.2.3" heeft.

••

URLStringProbe: Optioneel. Een server die wordt benaderd om de bereikbaarheid na te gaan. Omleiding wordt niet ondersteund. De URL moet naar een vertrouwde HTTPS-server verwijzen. Het apparaat verstuurt een GET-aanvraag om te controleren of de server bereikbaar is.


45

Action Deze verplichte sleutel bepaalt het VPN-gedrag wanneer alle opgegeven vergelijkingsregels waar zijn. Waarden voor de Action-sleutel zijn: ••

Connect: Hiermee wordt de VPN-verbinding bij de volgende verbindingspoging onvoorwaardelijk geïnitieerd.

••

Disconnect: De VPN-verbinding wordt verbroken en er worden geen nieuwe verbindingen op aanvraag geactiveerd.

••

Ignore: Een eventuele bestaande VPN-verbinding blijft behouden, maar er worden geen nieuwe verbindingen op aanvraag geactiveerd.

••

EvaluateConnection: De ActionParameters voor elke verbindingspoging worden geëvalueerd. Als deze waarde wordt gebruikt, is de sleutel 'ActionParameters' (zie hieronder) vereist om de evaluatieregels op te geven.

••

Allow: Zie Achterwaartse compatibiliteit voor iOS-apparaten met iOS 6 of lager.

ActionParameters Dit is een matrix met woordenboeken met de hieronder beschreven sleutels, die worden geëvalueerd in de volgorde waarin ze zijn opgenomen. Vereist als de 'Action' 'EvaluateConnection' is. ••

Domains: Verplicht. Een matrix met tekenreeksen die de domeinen beschrijven waarvoor deze beoordeling van toepassing is. Jokertekens worden als voorvoegsel ondersteund, bijvoorbeeld "*.example.com".

••

DomainAction: Verplicht. Bepaalt het VPN-gedrag voor de domeinen. Waarden voor de DomainAction-sleutel zijn: ••

ConnectIfNeeded: Hiermee wordt VPN gebruikt als de DNS-omzetting voor de domeinen mislukt, bijvoorbeeld wanneer de DNS-server aangeeft dat de domeinnaam niet kan worden omgezet, wanneer de DNS-reactie wordt omgeleid, of wanneer de verbinding mislukt of er een time-out optreedt.

••

NeverConnect: VPN wordt niet geactiveerd voor de domeinen.

Als de waarde 'ConnectIfNeeded' is opgegeven voor 'DomainAction', kunt u ook de volgende sleutels opgeven in het woordenboek voor de verbindingsevaluatie: ••

RequiredDNSServers: Optioneel. Een matrix met IP-adressen van DNS-servers die worden gebruikt voor het omzetten van de domeinen. Deze servers hoeven geen deel uit te maken van de huidige netwerkconfiguratie van het apparaat. Als deze DNS-servers niet bereikbaar zijn, wordt de VPN-voorziening geactiveerd. Om consistente verbindingen te waarborgen, configureert u een interne DNS-server of een vertrouwde externe DNS-server.

••

RequiredURLStringProbe: Optioneel. Een HTTP- of (bij voorkeur) HTTPS-URL die met een GET-aanvraag wordt benaderd. Als de DNS-omzetting voor deze server lukt, moet het benaderen ook lukken. Als het benaderen niet lukt, wordt VPN geactiveerd.

Achterwaartse compatibiliteit

In oudere versies dan iOS 7 werden regels voor domeinactivering geconfigureerd vanuit matrices van domeinen: ••

OnDemandMatchDomainAlways

••

OnDemandMatchDomainOnRetry

••

OnDemandMatchDomainNever

'OnRetry' en 'Never' worden nog steeds ondersteund in iOS 7 en hoger, maar zijn in feite uitgefaseerd in verband met de introductie van de actie 'EvaluateConnection'.


46

Om een profiel aan te maken dat zowel bij iOS 7 als bij eerdere releases werkt, gebruikt u de nieuwe EvaluateConnection-sleutels in aanvulling op de OnDemandMatchDomain-matrices. Eerdere versies van iOS die 'EvaluateConnection' niet herkennen, maken gebruik van de oude matrices, terwijl iOS 7 en hoger 'EvaluateConnection' gebruiken. Oude configuratieprofielen waarin de actie 'Allow' is opgenomen, moeten in principe wel werken met iOS 7 of hoger, met uitzondering van OnDemandMatchDomainsAlways-domeinen.

Altijd actieve VPN Overzicht

Met Altijd actieve VPN kan uw organisatie het gegevensverkeer van apparaten optimaal controleren door al het IP-verkeer via een tunnel terug te leiden naar de organisatie. Met IKEv2, het standaardprotocol voor het opzetten van tunnels, wordt de uitwisseling van gegevens beveiligd door middel van gegevenscodering. Uw organisatie kan nu het gegevensverkeer naar en van de apparaten bewaken, de gegevens binnen het netwerk beveiligen en de toegang tot het internet beperken. Activering van Altijd actieve VPN is alleen mogelijk voor apparaten die onder supervisie staan. Nadat het profiel voor Altijd actieve VPN is geïnstalleerd op een apparaat, wordt Altijd actieve VPN automatisch, zonder tussenkomst van de gebruiker, geactiveerd. Altijd actieve VPN blijft geactiveerd (ook na opnieuw opstarten) totdat het profiel voor Altijd actieve VPN wordt verwijderd. Als Altijd actieve VPN is geactiveerd op het apparaat, is het opzetten en weghalen van de VPN-tunnel gekoppeld aan de IP-status van de interface. Als de interface het IP-netwerk kan bereiken, wordt er geprobeerd een tunnel op te zetten. Op het moment dat de IP-status van de interface wegvalt, wordt de tunnel verwijderd. Altijd actieve VPN biedt ook ondersteuning voor interface-specifieke tunnels. In het geval van iOS-apparaten gaat het om één tunnel voor elke actieve IP-interface (dus één tunnel voor de mobiele interface en één tunnel voor de Wi-Fi-interface). Als er een of meer VPN-tunnels beschikbaar zijn, wordt al het IP-verkeer door deze tunnels geleid. Het betreft gegevensverkeer dat via IP wordt gerouteerd en verkeer dat afkomstig is van of is bestemd voor bepaalde IP-bereiken (verkeer van apps van Apple, zoals FaceTime en Berichten). Als er geen tunnels beschikbaar zijn, wordt al het IP-verkeer verwijderd. Alle gegevens van een apparaat die via een tunnel worden verstuurd, komen aan bij een VPN-server. U kunt hier nog filters en/of controles toepassen voordat het verkeer wordt doorgestuurd naar de eindbestemming binnen het netwerk van uw organisatie of op het internet. Hetzelfde geldt voor verkeer dat voor het apparaat is bestemd. Deze gegevens komen aan op de VPN-server van uw organisatie, waar ze eventueel nog worden gefilterd en/of gecontroleerd voordat ze worden doorgestuurd naar het apparaat.

Implementatiescenario's

iOS-apparaten worden uitgevoerd in de modus voor één gebruiker. Er wordt geen onderscheid gemaakt tussen de identiteit van het apparaat en de identiteit van de gebruiker. Als een iOS-apparaat een IKEv2-tunnel opzet met de IKEv2-server, ziet de server het iOS-apparaat als één gelijkwaardige entiteit. Voorheen werd er altijd maar één tunnel opgezet tussen gekoppelde iOS-apparaten en een VPN-server. Aangezien er met Altijd actieve VPN interface-specifieke tunnels mogelijk zijn, bestaat de kans dat er op hetzelfde moment meerdere tunnels zijn tussen een iOS-apparaat en de IKEv2-server, afhankelijk van het implementatiemodel.


47

Een configuratie met Altijd actieve VPN ondersteunt de volgende implementatiemodellen om in verschillende behoeften te voorzien. Apparaten met alleen een mobiele-dataverbinding Als uw organisatie ervoor kiest om Altijd actieve VPN te implementeren op iOS-apparaten die alleen een mobiele-dataverbinding hebben (de Wi-Fi-interface is permanent verwijderd of gedeactiveerd), wordt er tussen elk apparaat en de IKEv2-server één IKEv2-tunnel opgezet via de IP-interface voor het mobiele-datanetwerk. Dit komt overeen met het traditionele VPN-model. Het iOS-apparaat fungeert als één IKEv2-client, met één identiteit (dus één clientcertificaat of één gebruikersnaam en wachtwoord), waarbij één IKEv2-tunnel met de IKEv2-server wordt opgezet. Apparaten met een mobiele-dataverbinding en Wi-Fi Als uw organisatie ervoor heeft gekozen om Altijd actieve VPN te implementeren voor iOS-apparaten die zowel een mobiele-dataverbinding als Wi-Fi hebben, worden er vanaf het apparaat twee gelijktijdige IKEv2-tunnels opgezet. Er zijn twee scenario's waarin apparaten met zowel een mobiele-dataverbinding als Wi-Fi worden gebruikt: ••

Een mobiele-datatunnel en een Wi-Fi-tunnel die uitkomen op afzonderlijke IKEv2-servers Uw organisatie kan speciale sleutels gebruiken voor de configuratie van Altijd actieve VPN met interface-specifieke tunnels om apparaten te configureren die een mobiele-datatunnel opzetten met de ene IKEv2-server en een Wi-Fi-tunnel met een tweede IKEv2-server. Een voordeel van dit model is dat een apparaat voor beide tunnels dezelfde clientidentiteit (clientcertificaat of gebruikersnaam/wachtwoord) kan gebruiken, aangezien de tunnels op verschillende servers uitkomen. Een ander voordeel van het werken met verschillende servers is dat uw organisatie flexibeler kan zijn met de scheiding en controle van het interface-specifieke gegevensverkeer (mobiele data versus Wi-Fi). Het nadeel is dat uw organisatie twee afzonderlijke IKEv2-servers moet onderhouden met voor alle clients een identieke identiteitscontrole.

••

Een mobiele-datatunnel en een Wi-Fi-tunnel die uitkomen op dezelfde IKEv2-server Bij de configuratie van Altijd actieve VPN met interface-specifieke tunnels kan uw organisatie ook instellen dat de mobiele-datatunnel en de Wi-Fi-tunnel van een apparaat op dezelfde IKEv2-server uitkomen. Gebruik van clientidentiteiten:

••

Eén clientidentiteit per apparaat: Uw organisatie kan dezelfde clientidentiteit (dus één clientcertificaat of één gebruikersnaam-wachtwoordcombinatie) configureren voor zowel een mobiele-datatunnel als een Wi-Fi-tunnel indien de IKEv2-server meerdere tunnels per client ondersteunt. Het voordeel is dat er geen extra clientidentiteit nodig is per apparaat en dat hierdoor geen extra configuratie/bronnen nodig zijn op de server. Het nadeel is dat er nieuwe tunnels worden opgezet en dat bestaande tunnels overbodig worden wanneer een apparaat van netwerk verandert. Afhankelijk van de implementatie van de server, bestaat de kans dat overbodige tunnels niet efficiënt en zorgvuldig kunnen worden verwijderd. Er moet dan binnen de organisatie een strategie worden bedacht om verouderde tunnels op de server op te schonen.

••

Twee clientidentiteiten per apparaat: De organisatie kan twee clientidentiteiten configureren (dus twee clientcertificaten of twee combinaties van gebruikersnaam/wachtwoord): één voor een mobiele-datatunnel en één voor een Wi-Fi-tunnel. De IKEv2-server ziet twee verschillende clients die hun eigen tunnel opzetten. Het voordeel van dit model is dat het werkt met de meeste serverimplementaties, aangezien veel servers op basis van de clientidentiteit onderscheid tussen tunnels maken en slechts één tunnel per client toestaan. Het nadeel van dit model is dat er dubbele identiteiten en dubbele configuraties/bronnen op de server moeten worden beheerd.


48

Configuratieprofiel voor Altijd actieve VPN

Een configuratieprofiel voor Altijd actieve VPN kan handmatig worden samengesteld met een Apple editor voor configuratieprofielen (zoals Profielbeheer), met Apple Configurator, of via een MDM-oplossing van een andere leverancier. Zie Profielbeheer Help of Apple Configurator Help voor meer informatie. Sleutels voor gebruikersinteractie Om te voorkomen dat gebruikers de functie Altijd actieve VPN uitschakelen, moet u instellen dat het profiel voor Altijd actieve VPN niet kan worden verwijderd door de sleutel 'PayloadRemovalDisallowed' op 'true' te zetten. Deze sleutel vindt u op het hoogste niveau in het profiel. Om te voorkomen dat gebruikers de werking van Altijd actieve VPN wijzigen door andere configuratieprofielen te installeren, moet u de installatie van UI-profielen onmogelijk maken door de sleutel 'allowUIConfigurationProfileInstallation' op 'false' te zetten onder de payload 'com.apple.applicationaccess'. Uw organisatie kan aanvullende beperkingen implementeren door onder dezelfde payload andere ondersteunde sleutels te gebruiken. Certificaatpayloads •• CA-certificaat van server: Als de identiteitscontrole voor de IKEv2-tunnel plaatsvindt aan de hand van certificaten, verstuurt de IKEv2-server het eigen servercertificaat naar het iOSapparaat, dat vervolgens de identiteit van de server controleert. Het iOS-apparaat heeft hier wel een zogeheten CA-certificaat voor nodig. Dit is een certificaat met informatie over de certificaatautoriteit (de instantie die het servercertificaat heeft uitgegeven). Het CA-certificaat van de server is mogelijk al eerder op het apparaat geïnstalleerd. Als dat niet zo is, kan uw organisatie het CA-certificaat beschikbaar stellen door een certificaatpayload aan te maken voor het CA-certificaat van de server. ••

CA-certificaten van clients: Als de identiteitscontrole voor de IKEv2-tunnel plaatsvindt op basis van certificaten of EAP-TLS, verstuurt het iOS-apparaat het eigen clientcertificaat naar de IKEv2-server, die vervolgens de identiteit van de client controleert. De client kan één of twee clientcertificaten hebben, afhankelijk van het geselecteerde implementatiemodel. Uw organisatie moet het certificaat of de certificaten beschikbaar stellen door een of meer payloads aan te maken. Tegelijkertijd is het zo dat de IKEv2-server de clientidentiteit alleen kan controleren als het CA-certificaat van de client is geïnstalleerd. Dit is een certificaat met informatie over de certificaatautoriteit (de instantie die het clientcertificaat heeft uitgegeven).

••

Certificaten die door IKEv2 worden ondersteund voor Altijd actieve VPN: Op dit moment worden door IKEv2 alleen RSA-certificaten ondersteund voor Altijd actieve VPN.

Payload voor Altijd actieve VPN

Het volgende geldt voor de payload voor Altijd actieve VPN.

••

De payload voor Altijd actieve VPN kan alleen worden geïnstalleerd op iOS-apparaten die onder supervisie staan

••

Een configuratieprofiel kan maar één payload voor Altijd actieve VPN bevatten

••

Er kan maar één configuratieprofiel voor Altijd actieve VPN tegelijk zijn geïnstalleerd op een iOS-apparaat


49

Automatisch verbinding maken in iOS De methode Altijd actieve VPN ondersteunt een optionele sleutel 'UIToggleEnabled', waarmee uw organisatie de schakelaar 'Connect Automatically' kan weergeven in het venster 'VPN Settings'. Als deze sleutel niet is opgegeven in het profiel of is ingesteld op '0', wordt bij Altijd actieve VPN geprobeerd een of twee VPN-tunnels op te zetten. Als deze sleutel is ingesteld op '1', wordt de schakelaar weergegeven in het deelvenster 'VPN Settings' en kan de gebruiker VPN-tunnels in- of uitschakelen. Als de gebruiker ervoor kiest VPN-tunnels uit te schakelen, wordt er geen tunnel opgezet en wordt al het IP-verkeer op het apparaat gewist. Dit is handig wanneer het IP-netwerk niet bereikbaar is en de gebruiker toch telefoongesprekken wil voeren. De gebruiker kan in dat geval VPN-tunnels uitschakelen om te voorkomen dat er toch wordt geprobeerd een VPN-tunnel tot stand te brengen. Matrix voor interface-specifieke tunnelconfiguraties De matrix 'TunnelConfigurations' moet minimaal één tunnelconfiguratie bevatten (dat wil zeggen, één tunnelconfiguratie die wordt toegepast op de interface voor mobiele data voor apparaten met alleen een mobiele-dataverbinding, of op zowel de interface voor mobiele data als de interface voor Wi-Fi). Maximaal kunnen er twee tunnelconfiguraties worden gebruikt (één voor mobiele-dataverbindingen en één voor Wi-Fi-verbindingen). Uitzonderingen voor afvangverkeer Altijd actieve VPN ondersteunt alleen 'Captive AutoLogon' (automatisch inloggen bij ondersteunde afvangnetwerken met vooraf toegewezen identiteitsgegevens, zoals identiteitsgegevens afgeleid van SIM). Altijd actieve VPN biedt ook controle over de afhandeling van afvanglogins dankzij de ondersteuning van:

••

AllowCaptiveWebSheet: Een sleutel om verkeer van de ingebouwde Captive WebSheet-app buiten de tunnel om te laten versturen. De WebSheet-app is een browser die afvanglogins afhandelt als er geen externe afvangapp aanwezig is. Uw organisatie moet wel rekening houden met het veiligheidsrisico dat deze sleutel met zich meebrengt, aangezien WebSheet een functionele browser is die alle inhoud kan weergeven van de afvangserver die reageert. Het toestaan van verkeer voor WebSheet maakt het apparaat kwetsbaar voor onjuist werkende of kwaadwillende afvangservers.

••

AllowAllCaptiveNetworkPlugins: Een sleutel om verkeer van alle bevoegde, externe afvangapps buiten de tunnel om te laten versturen. Deze sleutel heeft voorrang op het woordenboek 'AllowedCaptiveNetworkPlugins'.

••

AllowedCaptiveNetworkPlugins: Een lijst met bundel-ID's van bevoegde externe afvangapps. Verkeer uit deze lijst met externe afvangapps mag buiten de tunnel om worden verstuurd. Als de sleutel 'AllowAllCaptiveNetworkPlugins' ook is geconfigureerd, wordt deze lijst niet gebruikt.


50

Uitzonderingen voor voorzieningen Met Altijd actieve VPN wordt standaard al het IP-verkeer via een tunnel geleid. Dit geldt voor al het lokale verkeer en voor het verkeer dat wordt verstuurd via voorzieningen voor mobiele data. Met de standaardinstelling van Altijd actieve VPN is het dus niet mogelijk om lokale IP-voorzieningen of voorzieningen van IP-aanbieders te gebruiken. Altijd actieve VPN ondersteunt echter uitzonderingen voor voorzieningen, zodat uw organisatie de standaardwerking kan aanpassen door het verkeer van voorzieningen buiten de tunnel om te leiden of te wissen. De voorzieningen die op dit moment worden ondersteund, zijn VoiceMail en AirPrint. De toegestane actie is 'Allow' (verkeer buiten de tunnel) of 'Drop' (verkeer wissen ongeacht de aanwezigheid van een tunnel). Zie Configuration Profile Key Reference in de iOS Developer Library voor meer informatie over sleutels en kenmerken van het IKEv2-protocol van Altijd actieve VPN.


51

Internetvoorzieningen

5

Overzicht

De internetvoorzieningen van Apple zijn ontwikkeld op dezelfde beveiligingspijlers als waarop het gehele iOS-platform is gebouwd: beveiliging van gegevens (tijdens opslag op het iOS-apparaat of tijdens overdracht via draadloze netwerken), bescherming van de persoonlijke gegevens van gebruikers, en bescherming tegen kwaadwillende of onbevoegde toegang tot informatie en voorzieningen. Elke voorziening maakt gebruik van een eigen, krachtige beveiligingsarchitectuur zonder dat dit ten koste gaat van de gebruiksvriendelijkheid van iOS. Met deze voorzieningen kunnen gebruikers beter communiceren en hun persoonlijke gegevens aanmaken en daarvan een reservekopie maken zonder dat daarbij de gegevens van uw organisatie in gevaar komen. Hiertoe behoren: ••

Apple ID

••

Zoek mijn iPhone en Activeringsslot

••

Continuïteit

••

iCloud

••

iCloud-sleutelhanger

••

iMessage

••

FaceTime

••

Siri

••


U kunt via een MDM-oplossing en iOS-beperkingen restricties afdwingen voor bepaalde voorzieningen. Zie Overzicht voor informatie over MDM-beperkingen. Beveiliging en privacy liggen ten grondslag aan alle hardware, software en voorzieningen van Apple. Daarom respecteren we de privacy van onze klanten en gebruiken we sterke codering, aangevuld met een strikt beleid voor hoe met gegevens wordt omgegaan. Zie http://www.apple.com/nl/privacy voor meer informatie.

Apple ID

Een Apple ID is nodig om toegang te krijgen tot voorzieningen van Apple. U moet weten hoe een Apple ID werkt, zodat u gebruikers kunt uitleggen hoe ze zelf een Apple ID kunnen aanmaken. Een Apple ID is een identiteit die wordt gebruikt om in te loggen bij verschillende Apple voorzieningen, zoals FaceTime, iMessage, de iTunes Store, de App Store, de iBooks Store en iCloud. Deze voorzieningen geven gebruikers toegang tot een gevarieerd aanbod van materiaal waarmee ze bedrijfstaken kunnen stroomlijnen, productiever kunnen worden en beter kunnen samenwerken.

52

Om deze voorzieningen optimaal te kunnen benutten, moeten gebruikers een eigen Apple ID hebben. Als ze geen Apple ID hebben, kunnen ze er zelf één aanmaken. Dit kunnen ze al doen voordat ze een Apple apparaat hebben ontvangen of ze kunnen het naderhand met behulp van de configuratie-assistent doen. De configuratie-assistent biedt een eenvoudige en gestroomlijnde manier om rechtstreeks vanaf een Apple apparaat een Apple ID aan te maken. Apple ID's kunnen worden aangemaakt zonder dat hiervoor een creditcard nodig is. Bij een-op-een-implementaties en in scenario's waarbij apparaten het eigendom zijn van studenten of leerlingen (BYOD-implementaties), moeten alle gebruikers een eigen Apple ID hebben. In een implementatie voor gedeeld gebruik kan een Apple ID van de instelling worden gebruikt om materiaal via Apple Configurator op verschillende Apple apparaten te implementeren. Met een Apple ID kan iedere leerling, student of medewerker apps, boeken en ander materiaal van de onderwijsinstelling installeren, in iBooks notities maken die toegankelijk zijn op iOSapparaten en Mac-computers, en zich inschrijven voor iTunes U-cursussen, allemaal zonder dat IT-beheerders toegang nodig hebben tot de Apple ID op het Apple apparaat van de gebruiker. Ga naar de website Mijn Apple ID voor meer informatie over Apple ID's.

Zoek mijn iPhone en Activeringsslot

Bij verlies of diefstal van een iOS-apparaat is het raadzaam het apparaat te deactiveren en te wissen. Met Zoek mijn iPhone, dat deel uitmaakt van iCloud, kunnen gebruikers de laatst bekende locatie van hun iPad, iPhone of iPod touch opvragen. Dit kan zowel via het onderdeel 'Zoek mijn iPhone' op iCloud.com als via de Zoek mijn iPhone-app op een iOS-apparaat. Zodra bekend is waar het iOS-apparaat zich bevindt, kan de gebruiker een geluid laten afspelen op het apparaat, het apparaat in de verliesmodus zetten of het volledig wissen als er verbinding is met het internet. In de verliesmodus (iOS 6 of hoger) wordt het iOS-apparaat vergrendeld met een toegangscode, wordt op het scherm een instelbaar bericht weergegeven en wordt de locatie van het apparaat gevolgd. Voor iOS-apparaten met iOS 5 wordt met deze functie het apparaat alleen vergrendeld. Als Zoek mijn iPhone in iOS 7 of hoger is ingeschakeld, kan het iOS-apparaat alleen opnieuw worden geactiveerd als de Apple ID van de eigenaar wordt ingevoerd. Het is verstandig om apparaten van de organisatie onder supervisie te plaatsen en om beleidsinstellingen voor de voorziening Zoek mijn iPhone te gebruiken, zodat uw organisatie vrij is om het apparaat aan anderen toe te wijzen. Bij iOS 7.1 of hoger kunt u een compatibele MDM-oplossing gebruiken om op apparaten die onder supervisie staan Activeringsslot in te schakelen wanneer een gebruiker Zoek mijn iPhone inschakelt. MDM-beheerders kunnen de voorziening Activeringsslot van Zoek mijn iPhone beheren door apparaten onder supervisie te plaatsen met Apple Configurator of het Device Enrollment Program. In de MDM-oplossing kan dan een speciale ontgrendelingscode worden opgeslagen wanneer Activeringsslot wordt ingeschakeld. Met deze code kan het slot later automatisch worden uitgeschakeld wanneer u het apparaat moet wissen om het aan een andere gebruiker te geven. Raadpleeg voor meer informatie de documentatie bij de MDM-oplossing.

Hoofdstuk 5    Internetvoorzieningen

53

Belangrijk: Activeringsslot is standaard niet ingeschakeld op apparaten die onder supervisie staan, zelfs niet als de gebruiker Zoek mijn iPhone inschakelt. Een MDM-server kan echter een ontgrendelingscode opvragen en Activeringsslot toestaan op het apparaat. Als Zoek mijn iPhone is ingeschakeld op het moment dat de MDM-server het activeringsslot inschakelt, wordt het slot direct ingeschakeld. Als Zoek mijn iPhone is uitgeschakeld op het moment dat de MDM-server het activeringsslot inschakelt, wordt het slot ingeschakeld wanneer de gebruiker Zoek mijn iPhone activeert. Zie de Apple Support-artikelen iCloud Support, iCloud: Gebruik Verloren-modus en Mobile Device Management en Activeringsslot van Zoek mijn iPhone gebruiken voor meer informatie over Zoek mijn iPhone, de verliesmodus en het activeringsslot. Zie ook Instellingen voor activeringsslot in Profielbeheer Help.

Continuïteit

Continuïteit is een pakket voorzieningen waarmee een Mac en een iPhone of iPad probleemloos met elkaar kunnen communiceren. Voor Continuïteit is iOS 8 of hoger en OS X Yosemite of hoger nodig. Mogelijk moeten de apparaten ook met dezelfde Apple ID zijn geregistreerd. Opmerking: Sommige voorzieningen zijn mogelijk niet in alle landen, regio's of talen beschikbaar. Telefoongesprekken Een iPhone en een Mac werken probleemloos samen bij telefoongesprekken. Als gebruikers op de Mac aan het werk zijn en hun iPhone bij zich hebben, kunnen ze een gesprek starten of beantwoorden op de Mac en het gesprek desgewenst op de iPhone voortzetten. Sms Gebruikers kunnen sms-berichten uitwisselen vanaf hun iOS-apparaat met iOS 8.1 of hoger en vanaf OS X Yosemite of hoger. Sms-berichten worden op alle apparaten van de gebruiker weergegeven en kunnen ook op elk van deze apparaten worden beantwoord. Handoff Een gebruiker kan beginnen aan een e-mailbericht of een Pages-document op de Mac en dit vervolgens heel eenvoudig verder bewerken op een iOS-apparaat in de buurt waarop iOS 8 of hoger is geïnstalleerd. In de hoek van het scherm van het iOS-apparaat of in het Dock op de Mac ziet de gebruiker een klein symbool. De gebruiker kan het document weergeven door te vegen (op een iOS-apparaat) of door te klikken (op de Mac). Handoff werkt met Agenda, Contacten, Mail, Kaarten, Berichten, Pages, Numbers, Keynote, Reminders en Safari. App-ontwikkelaars kunnen Handoff ook in hun apps integreren. Instant Hotspot Met Instant Hotspot kan een Mac een iPhone of iPad (met mobiele dataverbinding) met iOS 8.1 of hoger gebruiken als internetverbinding als er geen Wi-Fi beschikbaar is. De signaalsterkte en batterijduur van uw iOS-apparaat worden weergegeven in de menubalk van de Mac. Zodra de gebruiker het iOS-apparaat loskoppelt, wordt de hotspot gedeactiveerd om de batterij van het apparaat te sparen. Opmerking: Vraag uw mobiele aanbieder naar de beschikbaarheid van hotspots. AirDrop Via AirDrop kunnen draadloos bestanden worden uitgewisseld tussen een Mac met OS X Mavericks of hoger en een iOS-apparaat in de buurt waarop iOS 8 of hoger is geïnstalleerd, zonder dat er een draadloos netwerk beschikbaar is. AirDrop werkt vanuit elk deelmenu en in de navigatiekolom van de Finder op een Mac.


54

iCloud

Met iCloud kunnen gebruikers persoonlijke inhoud opslaan, zoals contactpersonen, agenda's, documenten en foto's, en deze vervolgens up-to-date houden op verschillende iOS-apparaten en Mac-computers. Inhoud in iCloud wordt beveiligd doordat deze tijdens de verzending via het internet wordt gecodeerd. Het materiaal wordt ook gecodeerd bewaard en er worden veilige tokens gebruikt voor identiteitscontrole. iCloud maakt elke dag via Wi-Fi een reservekopie van gegevens, zoals iOS-apparaat-instellingen, appgegevens en sms- en mms-berichten. iCloud-reservekopie werkt alleen wanneer het apparaat is vergrendeld, is aangesloten op een voedingsbron en via Wi-Fi toegang tot het internet heeft. Daarnaast biedt iCloud de mogelijkheid om kwijtgeraakte of gestolen iOS-apparaten of Mac-computers terug te vinden via Zoek mijn iPhone. Via een MDM-oplossing kan ook worden ingesteld dat er geen reservekopie van beheerde apps kan worden gemaakt in iCloud. Dit heeft als voordeel dat gebruikers iCloud kunnen gebruiken voor persoonlijke gegevens, terwijl zakelijke informatie niet wordt opgeslagen in iCloud. In iCloud worden geen reservekopieën opgeslagen van gegevens van zakelijke accounts en zakelijke interne apps. Sommige voorzieningen kunnen worden uitgeschakeld via beperkingen die handmatig worden ingesteld op het apparaat of die worden afgedwongen via configuratieprofielen. Denk hierbij aan voorzieningen zoals iCloud Foto's, iCloud-sleutelhanger en iCloud Drive. Ga naar de iCloud-website voor meer informatie over iCloud. Lees het Apple Support-artikel iCloud: overzicht van iCloud-beveiliging en -privacy voor meer informatie over iCloud-beveiliging en -privacy. Lees het Apple Support-artikel Systeemvereisten voor iCloud voor meer informatie over de systeemvereisten voor iCloud. Opmerking: Voor sommige voorzieningen is een Wi-Fi-verbinding vereist. Sommige voorzieningen zijn niet in alle landen beschikbaar. De toegang tot bepaalde voorzieningen is beperkt tot 10 apparaten.

iCloud Drive

Gebruikers kunnen hun documenten veilig op iCloud Drive bewaren, waarna ze er overal en op elk gewenst moment over kunnen beschikken op hun iPhone, iPad, Mac of Windows-pc. Documentbibliotheken van iOS-apps zijn ook toegankelijk vanaf een Mac, wat inhoudt dat documenten die op een iOS-apparaat zijn aangemaakt, op een Mac verder kunnen worden bewerkt. Gebruikers kunnen hun Pages-, Numbers- en Keynote-documenten die in iCloud Drive zijn opgeslagen, ook met anderen delen. Elke iOS-app laat zien welke compatibele documenten in iCloud Drive zijn opgeslagen. Op een Mac wordt iCloud Drive weergegeven als een map in OS X. Gebruikers kunnen bestanden slepen en neerzetten, mappen en tags gebruiken en zelfs zoeken met Spotlight. iCloud houdt uw informatie up-to-date op al uw apparaten. Wijzigingen die offline in een bestand worden aangebracht, worden automatisch in alle versies doorgevoerd zodra het apparaat weer online is.


55

iCloud-sleutelhanger

iCloud-sleutelhanger houdt websitewachtwoorden uit Safari en wachtwoorden voor Wi-Fi-netwerken up-to-date op al uw iOS-apparaten en Mac-computers waarop iCloud is geconfigureerd. In de sleutelhanger kunnen wachtwoorden worden opgeslagen voor alle apps die deze voorziening ondersteunen. In iCloud-sleutelhanger worden ook creditcardgegevens opgeslagen die u in Safari bewaart, zodat Safari deze informatie kan invullen op uw iOS-apparaten en Mac. Verder worden in iCloud-sleutelhanger inlog- en configuratiegegevens voor internetaccounts bewaard. iCloud-sleutelhanger heeft twee functies: ••

Het op alle apparaten up-to-date houden van Sleutelhanger

••

Het herstellen van sleutelhangers

Het bijwerken van de sleutelhanger op iOS-apparaten en Mac-computers is uitsluitend mogelijk als de gebruiker hiervoor toestemming heeft gegeven. Elk onderdeel van de sleutelhanger dat voor bijwerken in aanmerking komt, wordt met apparaatspecifieke codering uitgewisseld via de iCloud-opslag voor sleutelwaarden. De sleutelhangeronderdelen hebben een tijdelijk karakter en verdwijnen na de synchronisatie uit iCloud. De herstelvoorziening voor sleutelhangers biedt gebruikers de mogelijkheid om hun sleutelhanger bij Apple in bewaring te geven zonder dat Apple de wachtwoorden en de andere gegevens daarin kan lezen. Ook als een gebruiker maar één iOS-apparaat of Mac heeft, kan herstel van sleutelhangers een vangnet voor gegevensverlies vormen. Dit is met name belangrijk als Safari wordt gebruikt voor het genereren van krachtige, willekeurige wachtwoorden voor internetaccounts, aangezien deze wachtwoorden uitsluitend in de sleutelhanger worden bewaard. Van de iCloud-sleutelhanger van een gebruiker wordt een reservekopie in iCloud gemaakt als de gebruiker een iCloud-beveiligingscode aanmaakt. Een secundaire identiteitscontrole en een veilige bewaarservice zijn belangrijke onderdelen van de herstelfunctie voor sleutelhangers. De sleutelhanger van de gebruiker wordt met een sterke toegangscode versleuteld, en de bewaarservice geeft uitsluitend een exemplaar van de sleutelhanger af als aan een reeks strikte voorwaarden wordt voldaan. Belangrijk: Als de gebruiker geen beveiligingscode aanmaakt voor iCloud, kan iCloud-sleutelhanger niet worden hersteld. Zie het Apple Support-artikel Frequently asked questions about iCloud Keychain (Engelstalig).

iMessage

iMessage is een berichtenvoorziening voor iOS-apparaten en Mac-computers die individuele chats en chats tussen groepen mogelijk maakt. iMessage ondersteunt tekst en bijlagen zoals foto's, contactpersonen en locaties. Berichten worden weergegeven op alle geregistreerde iOS-apparaten en Mac-computers van de gebruiker, zodat de gebruiker een gesprek op elk apparaat kan voortzetten. Voor iMessage wordt gebruikgemaakt van de Apple Push Notification Service (APNs) en van end-to-end codering met sleutels die alleen bekend zijn op de verzendende en ontvangende iOS-apparaten en Mac-computers. Apple kan berichten niet decoderen en berichten worden niet geregistreerd. Opmerking: Hiervoor gelden mogelijk de gegevenstarieven van de aanbieder. Berichten worden mogelijk als sms verstuurd wanneer iMessage niet beschikbaar is; hierop zijn de sms-tarieven van uw aanbieder van toepassing.


56

FaceTime

FaceTime is de dienst van Apple voor het voeren van video- en audiogesprekken. Voor FaceTime-gesprekken wordt via de Apple Push Notification Service een verbinding tot stand gebracht. Vervolgens wordt met behulp van ICE (Internet Connectivity Establishment) en SIP (Session Initiation Protocol) een versleutelde stream opgezet. Met FaceTime kunnen gebruikers communiceren via elk iOS- en OS X-apparaat. Opmerking: FaceTime-gesprekken zijn alleen mogelijk als zowel de beller als de gebelde persoon een apparaat met FaceTime hebben en er een Wi-Fi-verbinding is. Voor FaceTime via een mobiel netwerk is een iPhone 4s of nieuwer vereist, een iPad met Retina-display of een iPad mini of nieuwer met een voorziening voor mobiel dataverkeer. Beschikbaarheid via een mobiel netwerk is afhankelijk van het beleid van de aanbieder. Er kunnen kosten voor dataverkeer in rekening worden gebracht.

Siri

Door gewoon te praten kunnen gebruikers onder andere berichten laten versturen, vergaderingen laten plannen en telefoonnummers laten kiezen door Siri. Siri gebruikt spraakherkenning, tekst-naar-spraak en een client-servermodel om op een breed scala aan verzoeken te kunnen reageren. De taken die door Siri worden ondersteund, zijn zo ontworpen dat alleen het absolute minimum aan persoonlijke gegevens wordt gebruikt en dat deze gegevens volledig beveiligd zijn. De vragen en gesproken memo's voor Siri worden niet aan een persoon gekoppeld, en de functies van Siri worden waar mogelijk niet op de server maar op het iOS-apparaat zelf uitgevoerd. Opmerking: Siri is mogelijk niet beschikbaar in alle talen of gebieden en de functies kunnen per gebied verschillen. Internettoegang is vereist. Er kunnen kosten voor mobiel dataverkeer in rekening worden gebracht.


Het programma Apple ID for Students is voor leerlingen jonger dan 13 jaar. De school of de overkoepelende organisatie vraagt de Apple ID's aan en deze worden door Apple aangemaakt nadat door een ouder of verzorger het hiervoor bestemde formulier is ondertekend. Deze methode voldoet aan de voorwaarden van de Amerikaanse Children's Online Privacy Protection Act (COPPA). Zie de volgende website voor meer informatie over Apple ID for Students: ••


••

Apple ID for Students Help

Opmerking: Het programma Apple ID for Students is niet in alle landen of regio's beschikbaar.

Apple Push Notification Service (APNs)

Veel voorzieningen maken gebruik van de Apple Push Notification Service (APNs). Met behulp van de APNs worden updates, het MDM-beleid en inkomende berichten doorgegeven aan Apple apparaten. Apple apparaten kunnen van deze voorzieningen gebruikmaken als u netwerkverkeer toestaat tussen het apparaat en het netwerk van Apple (17.0.0.0/8) op poort 5223, eventueel met poort 443 als alternatief.


57

Dit verkeer is een beveiligd, binair protocol dat specifiek voor de APNs is bedoeld; het kan niet via een proxy worden geleid. Elke poging om inzage in het verkeer te krijgen of om het verkeer om te leiden, wordt door de client, de APNs en pushproviderservers aangemerkt als dubieus en ongeldig. Op de eindpunten en de servers van de APNs worden meerdere beveiligingslagen toegepast. Zie Local and Remote Notification Programming Guide (Engelstalig) voor technische informatie over deze beveiligingsmaatregelen.


58

Beveiliging

6

Overzicht

iOS en OS X zijn opgebouwd uit verschillende beveiligingslagen, zodat Apple apparaten op een veilige manier toegang kunnen krijgen tot netwerkvoorzieningen en belangrijke gegevens worden beschermd. Bescherming is ook verzekerd door het gebruik van toegangscodes en beleidsregels voor toegangscodes, die met MDM kunnen worden aangeleverd en ingesteld. Mocht een Apple apparaat in verkeerde handen vallen, kunnen gebruikers en IT-beheerders alle persoonlijke gegevens op het apparaat op afstand wissen. De volgende elementen spelen een rol bij de beveiliging van Apple apparaten die in bedrijfsomgevingen worden gebruikt: ••

Methoden die het apparaat beveiligen tegen ongeoorloofd gebruik

••

Beveiliging van de gegevens, ook wanneer het apparaat kwijt of gestolen is

••

Netwerkprotocollen en de codering van gegevens tijdens de overdracht

••

Apps veilig uitvoeren zonder de integriteit van het platform in gevaar te brengen

Deze elementen zijn zodanig met elkaar verweven dat ze een veilig mobiel computerplatform bieden. Zie iOS and the new IT (Engelstalig) voor meer informatie over beveiliging met iOS.

Beveiliging van apparaten en gegevens Overzicht

Een streng toegangsbeleid voor Apple apparaten is essentieel voor het beveiligen van de gegevens van uw organisatie. Een sterke toegangscode voor iOS-apparaten is de eerste stap in het voorkomen van toegang door onbevoegden. Deze toegangscodes kunnen met MDM worden geconfigureerd en ingesteld. Verder genereren iOS-apparaten op basis van de door de gebruiker ingestelde toegangscode een krachtige coderingssleutel om e-mails en gevoelige appgegevens op het apparaat nog beter te beveiligen. Daarnaast biedt iOS veilige methoden om het apparaat te configureren in een IT-omgeving waar bepaalde (beleids)instellingen en beperkingen moeten gelden. Deze methoden bieden flexibele opties om een standaardbeveiligingsniveau in te stellen voor bevoegde gebruikers.

Beleidsregels voor toegangscodes

Een toegangscode voor iOS-apparaten voorkomt dat onbevoegde gebruikers toegang hebben tot gegevens op een apparaat. iOS biedt een uitgebreide reeks beleidsregels voor toegangscodes om het gewenste beveiligingsniveau te creëren. De beleidsregels voor toegangscodes zijn onder andere: ••

Toegangscode op iOS-apparaat vereist

••

Alfanumerieke waarde vereist

59

••

Minimale lengte toegangscode

••

Minimale aantal complexe tekens

••

Maximale gebruiksduur toegangscode

••

Tijd voor automatische vergrendeling

••

Geschiedenis toegangscodes

••

Geldigheid toegangscode bij vergrendeling

••

Maximaal aantal mislukte pogingen voordat het iOS-apparaat wordt gewist

Afdwingen van beleid

U kunt beleidsinstellingen distribueren via een configuratiebestand dat gebruikers installeren. U kunt een profiel ook zo definiëren dat het alleen met een beheerderswachtwoord kan worden verwijderd of dat het permanent aan het iOS-apparaat wordt gekoppeld en alleen kan worden verwijderd door de volledige inhoud van het apparaat te wissen. Met MDM kunnen instellingen voor toegangscodes die op afstand zijn geconfigureerd, rechtstreeks naar het apparaat worden verstuurd. Op deze manier kunnen beleidsinstellingen zonder tussenkomst van de gebruiker worden afgedwongen en bijgewerkt. Als een apparaat is geconfigureerd voor gebruik van een Microsoft Exchange-account, worden de Exchange ActiveSync-beleidsinstellingen draadloos naar het apparaat verstuurd. Welke beleidsinstellingen beschikbaar zijn, is afhankelijk van de versie van Exchange ActiveSync en Exchange Server waarmee wordt gewerkt. Als er sprake is van zowel Exchange- als MDM-beleidsinstellingen, wordt de strengste instelling gebruikt.

Beveiligde apparaatconfiguratie

Een configuratieprofiel is een XML-bestand met beveiligings- en beperkingsinstellingen, VPN-configuratiegegevens, Wi-Fi-instellingen, e-mailen agenda-accounts en gegevens voor identiteitscontroles die het mogelijk maken dat iOS-apparaten samen met uw IT-systemen kunnen worden gebruikt. De mogelijkheid om in een configuratieprofiel zowel beleidsinstellingen voor toegangscodes als apparaatinstellingen vast te leggen, zorgt ervoor dat apparaten correct worden geconfigureerd en voldoen aan de beveiligingsstandaarden van uw IT-afdeling. Omdat configuratieprofielen kunnen worden gecodeerd en vergrendeld, kunnen de instellingen niet worden verwijderd, gewijzigd of met andere personen worden gedeeld. Configuratieprofielen kunnen worden ondertekend én gecodeerd. Door een configuratieprofiel te ondertekenen, wordt gewaarborgd dat de instellingen in het profiel op geen enkele manier kunnen worden gewijzigd. Door een configuratieprofiel te coderen, wordt de inhoud van het profiel beschermd en kan het profiel alleen worden geïnstalleerd op het apparaat waarvoor het is aangemaakt. Configuratieprofielen worden gecodeerd met CMS (Cryptographic Message Syntax, RFC 3852) en ondersteunen 3DES en AES 128. Als u een gecodeerd configuratieprofiel voor de eerste keer distribueert, kunt u het via een USB-verbinding installeren met behulp van Apple Configurator, draadloos installeren volgens het protocol "Over-The-Air Profile Delivery and Configuration" of via een MDM-oplossing installeren. Daarna kunt u gecodeerde configuratieprofielen distribueren als e-mailbijlage, via een website die toegankelijk is voor uw gebruikers of door ze met de MDM-oplossing naar het apparaat te pushen. Zie Over-the-Air Profile Delivery and Configuration voor meer informatie.

Hoofdstuk 6    Beveiliging

60

Gegevensbeveiliging

U kunt vertrouwelijke gegevens, zoals e-mailberichten en bijlagen die op het apparaat zijn opgeslagen, beter beveiligen door de ingebouwde functies voor gegevensbeveiliging van iOS te gebruiken. De unieke toegangscode van gebruikers plus de hardwarematige codering op iOS-apparaten vormen samen een krachtige coderingssleutel voor gegevensbeveiliging. Met deze sleutel wordt voorkomen dat de gegevens op het apparaat toegankelijk zijn wanneer het apparaat is vergrendeld. Daarnaast wordt er zo voor gezorgd dat belangrijke gegevens zelfs in onveilige situaties zijn afgeschermd. Om gegevensbeveiliging in te schakelen, moet u een toegangscode op het apparaat instellen. Hoe sterker de toegangscode, hoe beter de gegevens worden beveiligd. Daarom is het verstandig om in de instellingen voor de toegangscode op te geven dat toegangscodes uit meer dan vier cijfers moeten bestaan. Gebruikers kunnen in het scherm voor toegangscode-instellingen controleren of gegevensbescherming op hun apparaat is ingeschakeld. Deze informatie kan ook worden opgevraagd via een MDM-oplossing. Voor ontwikkelaars zijn er ook API's voor gegevensbeveiliging beschikbaar. Deze API's kunnen worden gebruikt om gegevens in apps uit de App Store of interne maatwerkapps te beveiligen. Met iOS 7 of hoger worden gegevens van apps standaard opgeslagen in de beveiligingsklasse 'Protected Until First User Authentication'. Dit is te vergelijken met volledige schijfcodering op desktopcomputers en houdt in dat gegevens worden beschermd tegen aanvallen waarvoor het apparaat opnieuw moet worden opgestart. iOS 8 biedt gegevensbeveiliging voor Agenda's, Contacten, Berichten, Notities, Herinneringen, evenals voor beheerde boeken en pdf's. Opmerking: Als een upgrade wordt uitgevoerd op een apparaat met iOS 6, worden de bestaande gegevensarchieven niet naar de nieuwe klasse geconverteerd. Als de app wordt verwijderd en vervolgens opnieuw wordt geïnstalleerd, krijgt de app wel de nieuwe beveiligingsklasse.

Codering

Op iOS-apparaten wordt gebruikgemaakt van hardwarecodering. Hierbij wordt gebruikgemaakt van 256-bits-AES-codering om alle gegevens op het apparaat te beveiligen. Codering is altijd ingeschakeld en kan niet worden uitgeschakeld. Daarnaast kunnen ook reservekopiegegevens in iTunes op de computer van de gebruiker worden gecodeerd. Deze instelling kan door de gebruiker zelf worden ingeschakeld of door een apparaatbeperking in een configuratieprofiel worden opgelegd. Validatie van de cryptografische modules in iOS 6 of hoger heeft uitgewezen dat ze voldoen aan de Amerikaanse Federal Information Processing Standard (FIPS) 140-2 Level 1. Dit garandeert de integriteit van de cryptografische bewerkingen in apps van Apple en andere leveranciers die op de juiste manier gebruikmaken van de cryptografische voorzieningen van iOS. Lees voor meer informatie de Apple Support-artikelen iOS-productbeveiliging: validaties en richtlijnen en iOS 7: cryptografische modules met FIPS-validatie v4.0 van Apple voor iOS.

S/MIME per bericht

iOS 8 en OS X Yosemite ondersteunen S/MIME per bericht, wat inhoudt dat S/MIME-gebruikers ervoor kunnen kiezen om berichten altijd te ondertekenen en te coderen, of om berichten afzonderlijk te ondertekenen en/of te coderen om zo meer controle te hebben over de beveiliging van elk e-mailbericht.


61

Certificaten voor gebruik met S/MIME kunnen op het Apple apparaat worden aangeleverd met behulp van een configuratieprofiel, MDM of SCEP. Zo kan de IT-afdeling gemakkelijker waarborgen dat gebruikers altijd de juiste certificaten hebben geïnstalleerd.

Externe e-mailadressen

In iOS 8 en OS X Yosemite kan een lijst met domeinen met een bepaald achtervoegsel worden aangemaakt. E-mailberichten die niet zijn geadresseerd aan domeinen die in de goedgekeurde lijst staan, worden rood gemarkeerd. Stel dat een gebruiker zowel example.com als group. example.com heeft opgenomen in de lijst met bekende domeinen. Als een gebruiker het adres [email protected] invoert in een Mail-bericht terwijl in de lijst met bekende domeinen alleen example.com en group.example.com staan, wordt dit adres duidelijk gemarkeerd, zodat de gebruiker ziet dat het domein acme.com niet in de lijst met goedgekeurde domeinen staat.

Touch ID

Touch ID is een sensorsysteem voor vingerafdrukken dat in bepaalde iOS-apparaten is ingebouwd en dat hoogwaardige beveiliging van het apparaat eenvoudiger, sneller en veiliger maakt. Met deze technologie kunnen vanuit elke hoek vingerafdrukken worden gelezen. De vingerafdrukkaart van een gebruiker wordt gaandeweg steeds completer, omdat bij elk gebruik aanvullende overlappende knooppunten worden herkend en aan de kaart worden toegevoegd. Met Touch ID wordt het gebruik van langere en complexere toegangscodes een stuk praktischer, aangezien de gebruiker de toegangscode minder vaak hoeft in te toetsen. Als Touch ID is ingeschakeld, wordt het apparaat direct vergrendeld zodra op de sluimerknop wordt gedrukt. Wanneer alleen een toegangscode vereist is, stellen veel gebruikers een timeout voor het automatische slot in om te voorkomen dat ze telkens als ze het apparaat willen gebruiken de toegangscode weer moeten invoeren. Met Touch ID wordt het apparaat telkens vergrendeld als het apparaat in de sluimerstand gaat en is de vingerafdruk (of optioneel de toegangscode) nodig om het apparaat uit de sluimerstand te halen. Touch ID werkt samen met de Secure Enclave, een coprocessor in de Apple A7-chip. De Secure Enclave beschikt over een eigen beveiligde en gecodeerde geheugenruimte en communiceert op een beveiligde manier met de Touch ID-sensor. Wanneer het apparaat wordt vergrendeld, worden de sleutels voor de gegevensbeveiligingsklasse 'Complete' beveiligd met een sleutel die zich in het gecodeerde geheugen van de Secure Enclave bevindt. De sleutel wordt maximaal 48 uur bewaard en wordt verwijderd als het apparaat opnieuw wordt opgestart of wanneer er vijf keer een onbekende vingerafdruk wordt gebruikt. Als een vingerafdruk wordt herkend, levert de Secure Enclave de sleutel voor het uitpakken van de gegevensbeveiligingssleutels en wordt het apparaat ontgrendeld. In iOS 8 kan nu ook via Touch ID worden ingelogd bij apps van andere ontwikkelaars. Als de ontwikkelaar deze voorziening heeft geïntegreerd in de app, hoeft de gebruiker geen wachtwoord in te voeren. Alle sleutelhangeronderdelen die door de ontwikkelaar zijn opgegeven, kunnen met Touch ID worden ontgrendeld. De vingerafdrukgegevens van een gebruiker worden beveiligd en worden nooit geraadpleegd door by iOS of apps.


62

Wissen op afstand

Apple apparaten kunnen op afstand worden gewist. Als een Apple apparaat zoekraakt of gestolen wordt, kan een beheerder of de eigenaar van het apparaat opdracht geven alle gegevens te wissen en het apparaat te deactiveren. Dit kan via een MDM-oplossing of met de iCloud-functie Zoek mijn iPhone. Als het apparaat is geconfigureerd met een Exchange-account, kan de beheerder via de Exchange Management Console (Exchange Server 2007) of de Exchange ActiveSync Mobile Administration Web-tool (Exchange Server 2003 of 2007) op afstand een wiscommando geven. Gebruikers die met Exchange Server 2007 werken, kunnen dit commando ook direct via Outlook Web Access geven.

Lokaal wissen

U kunt apparaten zo configureren dat de gegevens automatisch lokaal worden gewist nadat er een bepaald aantal keer een onjuiste toegangscode is ingevoerd. Zo wordt het buitenstaanders direct moeilijk gemaakt om toegang te krijgen. Als er een toegangscode is ingesteld, kunnen gebruikers de functie voor lokaal wissen inschakelen. Het apparaat wordt standaard na tien mislukte pogingen automatisch gewist. Het maximale aantal pogingen kan worden opgegeven in een configuratieprofiel, worden ingesteld op een MDM-server of via Exchange ActiveSyncbeleid draadloos worden afgedwongen.

Netwerkbeveiliging

Mobiele gebruikers moeten altijd en overal toegang kunnen krijgen tot hun bedrijfsnetwerk. Uiteraard is het hierbij wel van belang dat de gebruikers zijn geautoriseerd en dat hun gegevens tijdens de overdracht worden beveiligd. De ingebouwde netwerkbeveiliging van iOS ondersteunt deze beveiligingsdoelstellingen voor zowel Wi-Fi-verbindingen als mobiele verbindingen. iOS ondersteunt de volgende methoden voor netwerkbeveiliging: ••

Ingebouwd: Cisco IPSec, L2TP, IKEv2, PPTP

••

SSL-VPN via App Store-apps

••

SSL/TLS met X.509-certificaten

••

WPA/WPA2 op bedrijfsniveau met 802.1x

••

Identiteitscontrole op basis van certificaten

••

RSA SecurID, CRYPTOCard

VPN In veel bedrijfsomgevingen wordt een VPN (Virtual Private Network) gebruikt. Voor deze beveiligde netwerkvoorzieningen zijn doorgaans minimale instellingen en configuratiestappen nodig om met Apple apparaten te kunnen werken, aangezien iOS met een breed scala aan veelgebruikte VPN-technologieën kan worden geïntegreerd. Zie Overzicht voor meer informatie over Virtual Private Networks (VPN). IPSec iOS en OS X ondersteunen IPSec-protocollen en -methoden voor identiteitscontrole. Zie Ondersteunde protocollen en methoden voor identiteitscontrole voor meer informatie. SSL/TLS iOS biedt ondersteuning voor SSL versie 3 en TLS versie 1.0, 1.1 en 1.2 (Transport Layer Security). Voor Safari, Agenda, Mail en andere internetapps worden deze protocollen automatisch gebruikt om een gecodeerd communicatiekanaal op te zetten tussen iOS of OS X en bedrijfsvoorzieningen.


63

WPA/WPA2 iOS en OS X ondersteunen WPA2 op bedrijfsniveau om de identiteitscontrole voor toegang tot het draadloze bedrijfsnetwerk uit te voeren. WPA2 op bedrijfsniveau gebruikt 128-bit AES-codering, wat inhoudt dat de gegevens van gebruikers worden beveiligd tijdens communicatie via een Wi-Fi-netwerk. Dankzij de ondersteuning voor 802.1x-identiteitscontrole kunnen de Apple apparaten bovendien in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd. iOS en OS X ondersteunen de volgende 802.1x-protocollen voor identiteitscontrole: ••

EAP-TLS

••

EAP-TTLS

••

EAP-FAST

••

EAP-SIM

••

EAP-AKA

••

PEAP versie 0, versie 1

••

LEAP

Zie het Overzicht voor meer informatie over Wi-Fi. Codering voor FaceTime en iMessage Alle FaceTime-sessies en iMessage-gesprekken worden van begin tot eind gecodeerd. In iOS en OS X wordt voor iedere gebruiker een unieke ID aangemaakt, zodat de communicatie op de juiste manier wordt gecodeerd, wordt verstuurd en tot stand wordt gebracht.

Beveiliging van apps

In iOS en OS X wordt gebruikgemaakt van 'sandboxing' voor de runtimebescherming van apps. Ook worden apps ondertekend om te waarborgen dat er niet mee kan worden geknoeid. Daarnaast hebben iOS en OS X een sleutelhanger, waarin verificatiegegevens voor apps en netwerken veilig en gecodeerd worden opgeslagen. Voor iOS- en OS X-ontwikkelaars biedt iOS een Common Crypto-architectuur die kan worden gebruikt om de opslag van appgegevens te coderen. Runtimebeveiliging De apps uit de App Store worden in een sandbox geplaatst, zodat ze geen toegang hebben tot gegevens van andere apps. Bovendien worden systeembestanden, hulpbronnen en de kernel afgeschermd van de ruimte voor de app. Een app kan alleen via de API's en voorzieningen van iOS en OS X toegang krijgen tot de gegevens van een andere app. Bovendien wordt voorkomen dat code kan worden gegenereerd. Verplichte codeondertekening Alle apps uit de App Store moeten zijn ondertekend. Alle apps die bij Apple apparaten worden geleverd, zijn door Apple ondertekend. Apps van derden zijn ondertekend door de ontwikkelaar met een door Apple afgegeven certificaat. Dit garandeert dat er niet mee geknoeid is en dat de app niet is gewijzigd. Bovendien worden er runtimecontroles uitgevoerd, zodat u er zeker van kunt zijn dat u de app nog steeds kunt vertrouwen sinds u deze voor de laatste keer hebt gebruikt.


64

U kunt het gebruik van interne maatwerkapps beheren met behulp van een voorzieningenprofiel. Gebruikers kunnen de app in dat geval alleen starten als het voorzieningenprofiel is geïnstalleerd. Voorzieningenprofielen kunnen draadloos via MDM worden geïnstalleerd. U kunt het gebruik van een app ook beperken tot bepaalde apparaten. Beveiligd framework voor identiteitscontrole iOS en OS X bieden een veilige, gecodeerde sleutelhanger voor de opslag van digitale identiteitsgegevens, gebruikersnamen en wachtwoorden. De sleutelhangergegevens zijn gepartitioneerd en beveiligd met toegangscontrolelijsten, zodat de verificatiegegevens die door apps van derden zijn opgeslagen niet toegankelijk zijn voor apps met een andere identiteit, tenzij de gebruiker hiervoor expliciet toestemming geeft. Hierdoor worden de gegevens voor identiteitscontroles op Apple apparaten voor een aantal apps en voorzieningen binnen de organisatie beveiligd. Common Crypto-architectuur Ontwikkelaars van apps kunnen de gegevens van hun app beveiligen met speciale coderings-API's. Gegevens kunnen symmetrisch worden gecodeerd met behulp van beproefde methoden zoals AES, RC4 en 3DES. Bovendien bieden iOS-apparaten en de huidige Intel Mac-computers hardwareversnelling voor AES-versleuteling en SHA1-hashing, wat de prestaties van apps ten goede komt. Beveiliging van appgegevens Apps kunnen ook gebruikmaken van de ingebouwde hardwarecodering op iOS-apparaten om gevoelige appgegevens nog beter te beveiligen. Ontwikkelaars kunnen bepaalde bestanden aanwijzen voor gegevensbeveiliging, waarbij de inhoud van zo'n bestand cryptografisch ontoegankelijk wordt gemaakt voor zowel de app als potentiële indringers wanneer het apparaat is vergrendeld. Rechten van apps Een app op een iOS-apparaat heeft standaard maar weinig bevoegdheden. Ontwikkelaars moeten expliciet rechten toevoegen om gebruik te kunnen maken van de meeste voorzieningen, zoals iCloud, verwerking op de achtergrond en gedeelde sleutelhangers. Hiermee wordt voorkomen dat apps zichzelf onbevoegde toegang tot gegevens geven. Bovendien moeten iOS-apps expliciet om toestemming van de gebruiker vragen voordat gebruik kan worden gemaakt van allerlei iOS-voorzieningen, zoals gps, contacten, de camera of bewaarde foto's. Eenmalige aanmelding en Touch ID Ontwikkelaars kunnen Eenmalige aanmelding en Touch ID gebruiken om een veilige, naadloos geïntegreerde identiteitscontrole mogelijk te maken tussen verschillende apps en om identiteitscontrole via Touch ID toe te staan. Zie Eenmalige aanmelding configureren en Touch ID voor meer informatie.


65

Configuratie en beheer

7

Overzicht

U kunt implementaties van Apple apparaten stroomlijnen met behulp van verschillende beheertechnieken waarmee het configureren van accounts en beleidsinstellingen, het distribueren van apps en het toepassen van beperkingen een stuk eenvoudiger wordt. U kunt voorkeursinstellingen en accounts voor iOS-apparaten en OS X-computers handmatig of via een MDM-oplossing configureren. De gebruikers kunnen daarna de eerste configuratie zelf uitvoeren met de ingebouwde configuratie-assistent van de Apple apparaten. Nadat de apparaten zijn geconfigureerd en zijn ingeschreven bij een MDM-oplossing, kunnen ze draadloos door de IT-afdeling worden beheerd. Een MDM-oplossing geeft uw organisatie de mogelijkheid om Apple apparaten op een veilige manier te introduceren in uw bedrijfs- of onderwijsomgeving, om instellingen draadloos te configureren en bij te werken, om te controleren of de ingestelde beleidsregels worden nageleefd, om apps te implementeren, en om beheerde apparaten op afstand te wissen of te vergrendelen. Er zijn verschillende MDM-oplossingen beschikbaar voor verschillende serverplatforms. De beheerconsole, de functies en de prijs varieert per oplossing. Het is verstandig om pas een MDM-oplossing te kiezen nadat u de volgende informatie hebt doorgenomen, zodat u weet welke functies het belangrijkst zijn voor uw organisatie. Afhankelijk van de eigenaar van de Apple apparaten en de implementatiemethode, zijn er verschillende werkstromen en technieken voor de configuratie mogelijk. Zie de implementatiemodellen in het gedeelte Overzicht voor meer informatie. In dit gedeelte worden alle tools, programma's en voorzieningen beschreven die beschikbaar zijn ter ondersteuning van de implementatie van uw Apple apparaten.

Configuratie-assistent en activering

Met de ingebouwde configuratie-assistent van iOS en OS X kunt u nieuwe of gewiste apparaten activeren, basisinstellingen configureren en diverse voorkeuren opgeven, zoals voor de taal, locatievoorzieningen, Siri, iCloud en Zoek mijn iPhone. Gebruikers kunnen deze voorzieningen gebruiken op een nieuw Apple apparaat, zodat ze snel aan de slag kunnen. Een andere mogelijkheid is dat de organisatie deze basisconfiguratie uitvoert. Gebruikers kunnen met de configuratie-assistent ook een eigen Apple ID aanmaken als ze die nog niet hebben. De volgende schermen van de configuratie-assistent kunnen worden overgeslagen voor Apple apparaten die bij het Device Enrollment Program zijn ingeschreven en via een MDM-oplossing worden beheerd: ••

Zet terug vanaf reservekopie: Terugzetten vanaf een reservekopie is niet mogelijk

••

Apple ID: Inloggen met een Apple ID is niet nodig

••

Voorwaarden: De voorwaarden worden overgeslagen

••

Verstuur diagnose: Diagnostische gegevens worden niet automatisch verstuurd

66

••

Locatie (alleen iOS): Locatievoorzieningen worden niet ingeschakeld

••

Touch ID (alleen iOS): Touch ID wordt niet ingeschakeld

••

Toegangscode (alleen iOS): Het instellen van een toegangscode wordt overgeslagen

••

Apple Pay (alleen iOS): Apple Pay wordt niet ingeschakeld

••

Siri (alleen iOS): Siri wordt niet ingeschakeld

••

Weergavezoom (alleen iOS): Weergavezoom wordt niet ingeschakeld

••

Registratie (alleen OS X): Registratie is niet mogelijk

••

FileVault (alleen OS X): FileVault wordt niet ingeschakeld

Gebruikers kunnen deze onderdelen instellen nadat het Apple apparaat is geconfigureerd, tenzij er via de MDM-oplossing permanente beperkingen voor de onderdelen zijn ingesteld. Ga naar de volgende website voor meer informatie over het Device Enrollment Program: ••


••


••

Apple Deployment Programs Help

Configuratieprofielen

Een configuratieprofiel is een XML-bestand dat u gebruikt om configuratiegegevens te distribueren naar Apple apparaten. Met behulp van configuratieprofielen kunt u de configuratie van instellingen, accounts, beperkingen en identiteitsgegevens automatiseren. De profielen kunnen worden geïnstalleerd via een bijlage bij een e-mail, worden gedownload van een webpagina of via Apple Configurator worden geïnstalleerd op iOS-apparaten. Als u een groot aantal iOS-apparaten moet configureren, of liever een draadloos implementatiemodel gebruikt, kunt u configuratieprofielen aanbieden via een MDM-oplossing. Configuratieprofielen die certificaat- en Wi-Fi-payloads bevatten, kunnen ook op een Apple TV worden geïnstalleerd. Zie het Apple Support-artikel Een configuratieprofiel installeren op een Apple TV voor meer informatie. Configuratieprofielen kunnen worden gecodeerd en ondertekend, zodat u het gebruik ervan kunt beperken tot een bepaald Apple apparaat en kunt voorkomen dat iemand de instellingen van een profiel wijzigt. Bovendien kan een MDM-beheerder een profiel permanent aan het apparaat koppelen, zodat het profiel na de installatie alleen kan worden verwijderd door alle gegevens van het apparaat te verwijderen of door een wachtwoord in te voeren. Afgezien van toegangscodes kunnen gebruikers de instellingen in een configuratieprofiel niet wijzigen. Accounts die met een profiel zijn geconfigureerd, zoals Exchange-accounts, kunnen alleen worden verwijderd door het profiel te verwijderen. Zie Configuration Profile Key Reference voor meer informatie.

Hoofdstuk 7    Configuratie en beheer

67

MDM (Mobile Device Management) Overzicht

Dankzij de MDM-ondersteuning in iOS en OS X kunnen IT-medewerkers op een veilige manier geschaalde implementaties van Apple apparaten in hun organisaties configureren en beheren. iOS en OS X hebben een ingebouwd MDM-framework waarmee MDM-oplossingen van andere ontwikkelaars draadloos met Apple apparaten kunnen communiceren. Dit eenvoudige framework is specifiek ontworpen voor Apple apparaten en is voldoende krachtig en schaalbaar om alle iOS-, OS X- en Apple TV-apparaten binnen een organisatie te configureren en te beheren. Als u over een MDM-oplossing beschikt, kunt u Apple apparaten veilig inschrijven bij een organisatie, instellingen configureren en bijwerken, controleren of de beleidsinstellingen worden nageleefd, en beheerde apparaten op afstand wissen of vergrendelen. Met een MDM-oplossing voor iOS en OS X kunt u op een eenvoudige manier de toegang van gebruikers tot netwerkvoorzieningen regelen en ervoor zorgen dat de Apple apparaten goed zijn geconfigureerd. Het maakt hierbij niet uit wie de eigenaar van de apparaten is.

APNs Push

Poll MDM-server

Inschrijven

Voor MDM-oplossingen wordt gebruikgemaakt van de Apple Push Notification-service (APNs) om permanente communicatie met Apple apparaten te waarborgen in zowel openbare als privénetwerken. Voor een MDM-oplossing zijn meerdere certificaten vereist, waaronder een APNs-certificaat voor de communicatie met clients en een SSL-certificaat voor de beveiliging van de communicatie. In een MDM-oplossing kunnen profielen ook met een certificaat worden ondertekend. De MDM-functies zijn gebaseerd op bestaande iOS- en OS X-technologieën zoals configuratieprofielen, draadloze inschrijving en APNs. APNs wordt bijvoorbeeld gebruikt om de sluimerstand van het apparaat uit te schakelen, zodat het apparaat via een beveiligde verbinding rechtstreeks met de MDM-server kan communiceren. Belangrijk: Via APNs worden geen gegevens verstuurd die van vertrouwelijke aard zijn of die aan eigendomsrechten zijn onderworpen.


68

Met een MDM-oplossing kan uw IT-afdeling op een veilige manier Apple apparaten inschrijven die het persoonlijke eigendom van de medewerkers zijn en/of die eigendom van de organisatie zijn. Als u over een MDM-oplossing beschikt, kunt u instellingen configureren en bijwerken, controleren of de beleidsinstellingen worden nageleefd, en beheerde Apple apparaten op afstand wissen of vergrendelen. Daarnaast is een MDM-oplossing geschikt voor de distributie, het beheer en de configuratie van apps en boeken die zijn gekocht via het Volume Purchase Program of die intern zijn ontwikkeld. Zie voor meer informatie over MDM-oplossingen: ••

Apparaten beheren in een onderwijsomgeving

••

iOS en de nieuwe IT voor het bedrijfsleven (Engelstalig)

De meeste certificaten, waaronder APNs-certificaten, moeten jaarlijks worden vernieuwd. Als een certificaat verloopt, moet het certificaat worden bijgewerkt voordat de MDM-server weer met Apple apparaten kan communiceren. Werk alle MDM-certificaten altijd bij voordat deze verlopen. Neem contact op met uw certificaatautoriteit (CA) voor informatie over het verlengen van uw certificaten. Ga naar het portaal Apple Push Certificates voor meer informatie over APNs. Om beheer mogelijk te maken, worden Apple apparaten via een inschrijvingsconfiguratieprofiel geregistreerd bij een MDM-server. Dit kan rechtstreeks door de gebruiker zelf worden gedaan. Als het gaat om apparaten die eigendom van het bedrijf zijn, kan MDM-inschrijving worden geautomatiseerd via het Device Enrollment Program (zoals in dit hoofdstuk wordt beschreven). Als een beheerder via een MDM-oplossing een beleid, optie of commando activeert, krijgen gebruikers via de Apple Push Notification-service (APNs) een melding van deze actie op hun Apple apparaten. Als er een netwerkverbinding actief is, kunnen apparaten overal ter wereld APNs-meldingen ontvangen.

Inschrijving

Door Apple apparaten in te schrijven, kan er een appcatalogus worden aangemaakt en kunnen apparaten worden beheerd. Bij inschrijving wordt standaard het SCEP-protocol (Simple Certificate Enrollment Protocol) gebruikt, waarmee op een apparaat unieke identiteitscertificaten voor de voorzieningen van een organisatie kunnen worden aangemaakt en ingeschreven. In de meeste gevallen beslissen de gebruikers of hun Apple apparaat bij de MDM-oplossing wordt ingeschreven. Ze kunnen de koppeling met de MDM-oplossing ook op elk moment verbreken. Het is voor organisaties raadzaam om gebruikers ertoe te bewegen het MDM-beheer niet uit te schakelen. U kunt bijvoorbeeld MDM-inschrijving verplicht stellen voor toegang tot het Wi-Fi-netwerk door de inloggegevens daarvoor automatisch via de MDM-oplossing te verstrekken. Als een gebruiker zich uitschrijft bij de MDM-oplossing, probeert zijn of haar apparaat dit aan de MDM-server door te geven. Het Device Enrollment Program kan ook worden gebruikt om Apple apparaten van de organisatie tijdens de eerste configuratie voor de MDM-oplossing in te schrijven. U kunt de iOS-apparaten ook onder supervisie stellen, zodat de gebruikers van deze apparaten de MDM-oplossing niet kunnen omzeilen en hun apparaten niet kunnen uitschrijven. Zie Device Enrollment Program voor meer informatie.

Configuratie

Zodra een Apple apparaat is ingeschreven, kan het dynamisch door de MDM-server worden geconfigureerd met instellingen en beleidsregels. De MDM-server verstuurt configuratieprofielen naar het apparaat die automatisch (en op de achtergrond) door iOS of OS X worden geïnstalleerd.


69

Configuratieprofielen kunnen worden ondertekend, gecodeerd en vergrendeld. Hiermee wordt voorkomen dat de instellingen worden veranderd of gedeeld en wordt ervoor gezorgd dat uitsluitend vertrouwde gebruikers en Apple apparaten die volgens uw specificaties zijn geconfigureerd toegang hebben tot uw netwerk en diensten. Als een gebruiker zijn of haar apparaat uitschrijft bij de MDM-oplossing, worden alle instellingen verwijderd die via de MDM-oplossing zijn doorgevoerd. In de nieuwe gebruikersinterface voor profielen in iOS 8 kunnen gebruikers zien welke voorzieningen via de MDM-oplossing zijn geconfigureerd of worden beperkt. Accounts, apps, boeken en beperkingen kunnen nu overzichtelijk worden weergegeven. Voorzieningenprofielen zijn niet meer zichtbaar voor de gebruiker in iOS 8 en verlopen profielen worden automatisch verwijderd.

Accounts

Met een MDM-oplossing kunnen uw gebruikers snel aan de slag, omdat hun e-mail en andere accounts automatisch worden geconfigureerd. Afhankelijk van de MDM-oplossing die u gebruikt en de integratie daarvan met uw interne systemen, kunnen de accountpayloads ook vooraf worden gevuld met gebruikersnamen, mailadressen en eventueel certificaatidentiteiten voor identiteitscontrole en ondertekening. Met een MDM-oplossing kunnen de volgende typen accounts worden geconfigureerd: ••

Agenda

••

Contacten

••

Exchange ActiveSync

••

Identity

••

Jabber

••

LDAP

••

Mail

••

Agenda's met abonnement

••

VPN

••

802.1X

In beheerde mailen agenda-accounts wordt rekening gehouden met de beperkingen van de functie 'Open in' in iOS 7 en hoger.

Informatieverzoeken

Een MDM-server kan bij Apple apparaten allerlei gegevens opvragen. Het kan daarbij gaan om hardwaregegevens, zoals het serienummer, de UDID van het apparaat, het MAC-adres voor Wi-Fi of de FileVault-coderingsstatus (voor OS X). Het kan ook gaan om softwaregegevens, zoals de apparaatversie, beperkingen en een lijst met alle apps die op het apparaat zijn geïnstalleerd. Aan de hand van deze gegevens kan worden gecontroleerd of gebruikers de juiste apps onderhouden. Zo kan de MDM-server in iOS en OS X opvragen wanneer er voor het laatst een reservekopie van een apparaat is gemaakt in iCloud en wat de account-hash van de ingelogde gebruiker voor de apptoewijzing is. Met Apple TV met softwareversie 5.4 of hoger kan de MDM-oplossing ook bij ingeschreven Apple TV-apparaten gegevens opvragen over bijvoorbeeld de taal, de subtaal en de organisatie.


70

Beheertaken

Als een iOS-apparaat wordt beheerd, is het mogelijk om via de MDM-server een aantal specifieke taken uit te voeren. Voorbeelden van beheertaken zijn: ••

Configuratie-instellingen wijzigen: Er kan een commando worden verstuurd om een nieuw of bijgewerkt configuratieprofiel op een Apple apparaat te installeren. Wijzigingen in de configuratie vinden op de achtergrond, zonder tussenkomst van de gebruiker, plaats.

••

Een iOS-apparaat vergrendelen: Als een iOS-apparaat meteen moet worden vergrendeld, kan er een commando worden verstuurd om het apparaat met behulp van de huidige toegangscode te vergrendelen.

••

Een iOS-apparaat op afstand wissen: Bij verlies of diefstal van een iOS-apparaat kan er een commando worden verstuurd om alle gegevens op het apparaat te verwijderen. Zodra een dergelijk commando is ontvangen, kan de bewerking niet meer ongedaan worden gemaakt.

••

Een codeslot wissen: Als een codeslot wordt gewist, moet de gebruiker meteen een nieuwe toegangscode opgeven voor het iOS-apparaat. Deze functie wordt gebruikt als een gebruiker de toegangscode is vergeten en de IT-afdeling vraagt de code opnieuw in te stellen.

••

Beperkingencode wissen: Ondersteuning voor het wissen van de beperkingen en de beperkingencode die op het iOS-apparaat zijn ingesteld door de gebruiker. Deze functie is alleen beschikbaar voor apparaten die onder supervisie staan.

••

Verzoek om synchrone AirPlay-weergave: Hiermee wordt een commando toegevoegd waarmee een iOS-apparaat onder supervisie wordt gevraagd te starten met synchrone AirPlay-weergave naar een specifieke bestemming.

••

Stop synchrone AirPlay-weergave: Hiermee wordt een commando toegevoegd waarmee een iOS-apparaat onder supervisie wordt gevraagd te stoppen met synchrone AirPlay-weergave naar een specifieke bestemming.

Bepaalde taken kunnen in iOS 8 of hoger en in OS X Mavericks of hoger in de wachtrij worden geplaatst wanneer het apparaat wordt ingesteld met de configuratie-assistent. Het betreft deze taken: ••

Uitnodiging voor deelname aan het Volume Purchase Program (VPP)

••

Apps installeren

••

Media installeren

••

Een apparaat vergrendelen

••

Verzoek om AirPlay-weergave (alleen iOS)

Beheerde apps

U kunt apps distribueren onder uw gebruikers om hen te helpen beter te presteren tijdens hun werk of studie. Afhankelijk van de vereisten van uw organisatie kan het echter belangrijk zijn dat u de controle houdt over de manier waarop die apps verbinding maken met interne voorzieningen en de manier waarop er wordt omgegaan met gegevensbeveiliging wanneer een gebruiker de organisatie verlaat. Bovendien moet u er rekening mee houden dat deze apps samen met de persoonlijke apps en gegevens van de gebruiker op één apparaat staan. Met beheerde apps in iOS 7 of hoger en OS X Yosemite of hoger kan uw organisatie gratis apps, betaalde apps en interne apps draadloos distribueren via een MDM-oplossing en daarbij de juiste balans vinden tussen beveiliging en privacy.


71

Via MDM-servers kunnen apps uit de App Store en apps die intern zijn ontwikkeld draadloos worden geïmplementeerd op Apple apparaten. Betaalde en gratis apps uit de App Store kunnen door een MDM-server worden beheerd door distributie via het VPP. Zie het Overzicht van het Volume Purchase Program voor meer informatie over beheerde distributie met een MDM-oplossing. VPP-apps kunnen op de volgende manieren worden geïnstalleerd: ••

Gebruikers met een eigen Apple apparaat worden door de MDM-oplossing gevraagd de app vanuit de App Store te installeren. Hiervoor moeten ze hun Apple ID opgeven.

••

Op iOS-apparaten die eigendom zijn van de organisatie en die bij een MDM-oplossing zijn ingeschreven, worden apps op de achtergrond geïnstalleerd.

Beheerde apps kunnen op afstand worden verwijderd door de MDM-server of wanneer de gebruiker zijn of haar Apple apparaat uitschrijft bij de MDM-oplossing. Als de app wordt verwijderd, worden ook alle bijbehorende gegevens verwijderd. Als de VPP-app nog steeds aan de gebruiker is toegewezen of als de gebruiker via zijn of haar eigen Apple ID een app-code heeft ingewisseld, kan de app opnieuw uit de App Store worden gedownload. In dat geval wordt de app echter niet meer beheerd. Een ingetrokken app kan nog gedurende een beperkte periode worden gebruikt. Na deze periode wordt de app uitgeschakeld en wordt de gebruiker geïnformeerd dat hij of zij zelf een exemplaar moet kopen als hij of zij de app wil kunnen blijven gebruiken. Met iOS 7 zijn verschillende beperkingen en mogelijkheden toegevoegd voor beheerde apps waarmee de veiligheid en gebruiksvriendelijkheid nog verder toenemen: ••

Managed Open In: Dit onderdeel biedt twee handige functies voor het beschermen van de appgegevens van uw organisatie: ••

Sta documenten uit onbeheerde bronnen toe op beheerde locaties. Met deze beperking wordt voorkomen dat met persoonlijke bronnen en accounts van de gebruiker documenten worden geopend op bestemmingen die door de organisatie worden beheerd. Met deze beperking wordt bijvoorbeeld voorkomen dat de Keynote-app van de gebruiker een pdfpresentatie opent in de pdf-lezer van de organisatie. Met deze beperking kan ook worden voorkomen dat er met de persoonlijke iCloud-account van een gebruiker een bijlage wordt geopend in de Pages-app van de organisatie.

••

Sta documenten uit beheerde bronnen toe op onbeheerde locaties. Met deze beperking wordt voorkomen dat met beheerde bronnen en accounts van een organisatie documenten worden geopend op persoonlijke bestemmingen van een gebruiker. Met deze beperking wordt bijvoorbeeld voorkomen dat een vertrouwelijke e-mailbijlage in de beheerde mailaccount van de organisatie wordt geopend in een van de persoonlijke apps van de gebruiker.

••

App Configuration: App-ontwikkelaars kunnen aangeven welke app-instellingen kunnen worden opgegeven als de app als beheerde app wordt geïnstalleerd. Deze configuratieinstellingen kunnen voor of na de installatie van de beheerde app worden opgegeven.

••

App Feedback: App-ontwikkelaars kunnen aangeven welke app-instellingen met behulp van een MDM-oplossing uit een beheerde app kunnen worden opgehaald. Een ontwikkelaar kan bijvoorbeeld een 'DidFinishSetup'-sleutel opgeven waarmee een MDM-server feedback van een app kan opvragen om na te gaan of de app is geactiveerd en geconfigureerd.


72

••

Prevent Backup: Met deze beperking wordt voorkomen dat met beheerde apps een reservekopie van gegevens wordt bewaard in iCloud of iTunes. Wanneer het maken van reservekopieën niet is toegestaan, is het niet mogelijk om gegevens van beheerde apps terug te zetten als de app via de MDM-oplossing wordt verwijderd en later door de gebruiker opnieuw wordt geïnstalleerd.

In iOS 8 zijn de volgende extra beheertaken toegevoegd: ••

Safari downloads from managed domains: Bestanden die via Safari worden gedownload, worden als beheerde documenten beschouwd als ze afkomstig zijn van een beheerd domein. Als een gebruiker bijvoorbeeld via Safari een pdf opent uit een beheerd domein, voldoet die pdf aan alle instellingen voor beheerde documenten.

••

iCloud document management: Met deze beperking wordt voorkomen dat met beheerde apps gegevens worden bewaard in iCloud. Zo kunnen gegevens die met een beheerde app zijn aangemaakt of door een beheerde app worden gebruikt, niet worden opgeslagen in iCloud. Gegevens die in onbeheerde apps door gebruikers zijn aangemaakt, kunnen echter wel worden opgeslagen in iCloud.

Beperkingen instellen voor toetsenborden van andere fabrikanten iOS 8 ondersteunt regels van de functie 'Open in' die van toepassing zijn op toetsenborduitbreidingen van andere fabrikanten. Op deze manier kan worden voorkomen dat onbeheerde toetsenborden worden weergegeven in beheerde apps.

Beheerde boeken

Met iOS 8 en OS X Mavericks of hoger kunt u boeken, ePubs en pdf's die u hebt aangemaakt of aangeschaft, distribueren en beheren via een MDM-oplossing. Zo kunt u het beheer van trainingsmateriaal en andere bedrijfsdocumenten stroomlijnen. Boeken, ePubs en pdf's die via de MDM-oplossing worden gedistribueerd, hebben dezelfde kenmerken als andere beheerde documenten. Dit betekent dat ze alleen kunnen worden gedeeld met andere beheerde apps en alleen kunnen worden gemaild via beheerde accounts. Boeken die via het Volume Purchase Program zijn gekocht, kunnen worden gedistribueerd als beheerde boeken. Het is niet mogelijk om de toewijzing van een boek ongedaan te maken en het boek aan een andere account toe te wijzen. Een boek dat al in het bezit is van de gebruiker kan niet worden beheerd, tenzij het boek via het Volume Purchase Program expliciet wordt toegewezen aan een gebruiker.

Beheerde domeinen

In iOS 8 kunt u specifieke URL's en subdomeinen beheren. Alle documenten die uit deze domeinen afkomstig zijn, worden als beheerde documenten beschouwd en volgen de bestaande beperkingen die zijn opgelegd via de functie 'Open in'. Paden die het domein volgen, worden standaard beheerd. Dit geldt niet voor alternatieve subdomeinen, tenzij er een jokerteken wordt toegepast. Domeinen die in Safari worden ingevoerd met "www" (bijvoorbeeld www.example.com) worden behandeld als ".example.com". Weergegeven in Instellingen

Beheerde domeinen

Onbeheerde domeinen

example.com

example.com/*

*.example.com

www.example.com/*

hr.example.com

example.com/docs/*

example.com

www.example.com/docs/*

www.example.com

example.com/docs

hr.example.com/docs


73

Weergegeven in Instellingen

Beheerde domeinen

Onbeheerde domeinen

www.example.com

www.example.com/*

example.com

www.example.com/docs

hr.example.com

*.example.com

*.example.com/*

example.com

*.example.com/docs

*.example.com/docs/*

example.com www.example.com

Profielbeheer

Naast MDM-oplossingen van andere leveranciers kunt u ook kiezen voor Profielbeheer. Dit is een MDM-oplossing van Apple die als voorziening van OS X Server wordt aangeboden. Met Profielbeheer is het eenvoudig om Apple apparaten zo te configureren dat ze voldoen aan de specificaties van uw organisatie. Profielbeheer bestaat uit drie componenten: ••

Voorziening voor draadloze configuratie van Apple apparaten: Hiermee kunt u de configuratie stroomlijnen van Apple apparaten die eigendom zijn van de organisatie. U kunt apparaten tijdens de activering inschrijven bij de MDM-oplossing en de basisconfiguratie overslaan, zodat gebruikers snel aan de slag kunnen.

••

Voorziening voor mobielapparaatbeheer: Profielbeheer biedt een MDM-voorziening waarmee u ingeschreven Apple apparaten op afstand kunt beheren. Nadat een apparaat is ingeschreven, kunt u zonder tussenkomst van de gebruiker de configuratie van het apparaat via het netwerk bijwerken. Daarnaast kunt u nog andere taken op afstand uitvoeren.

••

Voorziening voor distributie van apps en boeken: Met Profielbeheer kunt u apps en boeken distribueren die zijn gekocht via het Volume Purchase Program (VPP). Het toewijzen van apps en boeken wordt ondersteund op iOS-apparaten met iOS 7 of hoger en op Mac-computers met OS X Mavericks of hoger.

Zie Apparaten beheren voor meer informatie. Zie ook Profielbeheer Help.

Apparaten onder supervisie stellen

Om aanvullende configuratie-opties en beperkingen te kunnen opgeven, is het raadzaam de iOS-apparaten van uw organisatie onder supervisie te stellen. U kunt dan bijvoorbeeld aangeven dat accountinstellingen niet mogen worden gewijzigd of u kunt webverbindingen via Global Proxy filteren om er zeker van te zijn dat het webverkeer van gebruikers binnen het netwerk van uw organisatie blijft. Standaard staat geen enkel iOS-apparaat onder supervisie. U kunt supervisie en beheer op afstand combineren met een MDM-oplossing om aanvullende instellingen en beperkingen te beheren. Om de apparaten van uw organisatie onder supervisie te kunnen stellen, gebruikt u het Device Enrollment Program van Apple of Apple Configurator. Supervisie biedt een hogere mate van beheer voor apparaten die het eigendom zijn van de organisatie. Zo kunt u bijvoorbeeld iMessage of Game Center uitschakelen. Daarnaast zijn er bij supervisie aanvullende apparaatconfiguraties en voorzieningen beschikbaar, zoals het filteren van websitemateriaal of het op de achtergrond installeren van apps. Met het Device Enrollment Program kan supervisie draadloos op het apparaat worden ingeschakeld als onderdeel van het installatieproces, of handmatig worden ingeschakeld met behulp van Apple Configurator. Zie Instellingen onder supervisie voor meer informatie.


74


Het Device Enrollment Program (DEP) biedt een snelle en gestroomlijnde implementatiemethode voor Apple apparaten die uw organisatie rechtstreeks bij Apple of een deelnemende erkende Apple reseller of aanbieder heeft gekocht. U kunt de Apple apparaten automatisch inschrijven bij de MDM-oplossing zonder ze fysiek in handen te hoeven hebben, of de apparaten voorbereiden voordat u ze aan de gebruikers overhandigt. Bovendien kunt u de configuratieprocedure voor de gebruikers verder vereenvoudigen door specifieke stappen uit de configuratie-assistent te verwijderen, zodat de gebruikers snel aan de slag kunnen. U kunt ook aangeven of de gebruikers het MDM-profiel van het apparaat kunnen verwijderen. U kunt de Apple apparaten bijvoorbeeld bestellen bij Apple of een deelnemende erkende Apple reseller of aanbieder, ze laten configureren met alle beheerinstellingen en ze vervolgens laten versturen naar het woonadres van de gebruiker. Nadat het apparaat is uitgepakt en geactiveerd, wordt het ingeschreven bij uw MDM-oplossing en zijn alle beheerinstellingen, apps en boeken meteen beschikbaar voor de gebruiker. Het proces is eenvoudig: Wanneer de inschrijving bij het programma is voltooid, loggen beheerders in op de DEP-website, koppelen ze het programma aan hun MDM-server(s) en 'claimen' ze de Apple apparaten die bij Apple of een deelnemende erkende Apple reseller of aanbieder zijn gekocht. De apparaten kunnen vervolgens aan een MDM-server worden toegewezen. Nadat het apparaat is ingeschreven, worden via MDM opgegeven configuraties, beperkingen of controles automatisch geïnstalleerd. Klantacco unt Gekocht bij reseller

DEP

Gekocht bij Apple

MDM-server

Apple apparaten moeten voldoen aan de volgende criteria om in aanmerking te komen voor toewijzing via het Device Enrollment Program: ••

De apparaten moeten op of na 1 maart 2011 zijn besteld en moeten rechtstreeks bij Apple zijn gekocht via de ingeschreven en gecontroleerde Apple klantnummers.

••

De apparaten moeten rechtstreeks bij een deelnemende erkende Apple reseller of aanbieder zijn gekocht en gekoppeld zijn aan de reseller-ID voor DEP van die reseller. De exacte datum is afhankelijk van wat er in de verkoopgegevens van de deelnemende erkende Apple reseller of aanbieder vermeld staat, maar de datum mag in ieder geval niet vóór 1 maart 2011 liggen.

Opmerking: Het Device Enrollment Program is niet in alle landen of regio's beschikbaar.


75

Apple apparaten die in aanmerking komen, kunnen op ordernummer via de website Apple Deployment Programs aan uw MDM-servers worden toegewezen. U kunt binnen die bestellingen ook apparaten zoeken op type en serienummer. Nadat nieuwe bestellingen zijn verstuurd, kunt u de bestellingen opzoeken op de DEP-website en ze automatisch toewijzen aan een bepaalde MDM-server. Als u bijvoorbeeld 5000 iPads bestelt, kunt u het ordernummer gebruiken om alle iPads of een specifiek aantal daarvan aan een bestaande geautoriseerde MDM-server toe te wijzen. U kunt ook apparaten op serienummer aan een specifieke MDMserver toewijzen. Deze methode is handig in situaties waarin de apparaten die u moet toewijzen fysiek in uw bezit zijn. Toekomstige bestellingen kunnen automatisch worden toegewezen aan een geautoriseerde MDM-server, zodat u de toewijzing van Apple apparaten niet meer handmatig hoeft te beheren. Nadat een apparaat is toegewezen aan een MDM-server in het programma, kunnen profielen en aanvullende voorzieningen worden toegepast via de MDM-server van uw organisatie. Tot deze voorzieningen behoren onder andere: ••

Supervisie inschakelen

••

Verplichte configuratie

••

Verplichte identiteitscontrole voor uw adreslijstsysteem om de configuratie te voltooien

••

Vergrendelbaar MDM-inschrijvingsprofiel

••

Stappen uit de configuratie-assistent overslaan

Ga voor meer informatie naar: ••

Apple Deployment Programs

••

Device Enrollment Programs Help

••

Het Device Enrollment Program voor het onderwijs

Apple Configurator

Voor iOS-apparaten die door u worden beheerd en die niet door afzonderlijke gebruikers worden geconfigureerd, kunt u gebruikmaken van Apple Configurator, een gratis Mac-app die beschikbaar is in de App Store. Hiermee kunt u via een USB-aansluiting verschillende apparaten tegelijk instellen en configureren voordat u ze aan uw gebruikers geeft. Met Apple Configurator kan uw organisatie meerdere apparaten snel configureren en bijwerken naar de nieuwste versie van iOS. Daarnaast kunt u het programma gebruiken voor het configureren van apparaatinstellingen en -beperkingen en voor het installeren van apps en materiaal. U kunt ook een reservekopie terugzetten, waardoor de apparaatinstellingen en de indeling van het beginscherm worden hersteld en appgegevens worden geïnstalleerd. Apple Configurator is ideaal in scenario's waarin gebruikers iOS-apparaten delen die snel moeten worden vernieuwd en up-to-date moeten worden gehouden met de juiste instellingen, beleidsregels, apps en gegevens. U kunt Apple Configurator ook gebruiken om apparaten onder supervisie te stellen voordat u een MDM-oplossing gaat inzetten voor het beheer van instellingen, beleidsregels en apps. Zie Apple Configurator Help voor meer informatie.


76

Distributie van apps en boeken

8

Overzicht

iOS heeft een aantal krachtige, ingebouwde apps waarmee de mensen in uw organisatie eenvoudig hun dagelijkse taken kunnen uitvoeren, zoals e-mailen, agenda's en contactgegevens bijhouden en materiaal op het internet raadplegen. De aanvullende functionaliteit die gebruikers nodig hebben om productief te werken, is te vinden in de honderdduizenden apps van andere ontwikkelaars die in de App Store verkrijgbaar zijn, of in op maat gemaakte bedrijfsapps die intern of door andere ontwikkelaars zijn gebouwd. In het onderwijs kunt u gebruikers productief en creatief houden door relevante iOS-apps en geschikt materiaal aan te bieden. Er zijn verschillende manieren om apps en boeken te implementeren op Apple apparaten binnen de organisatie. De methode die de meeste schaalmogelijkheden biedt, is de methode waarbij u apps (inclusief B2B-apps) en boeken via het Volume Purchase Program koopt en de apps en boeken vervolgens via de MDM-oplossing toewijst aan gebruikers. Uw organisatie kan ook intern eigen apps bouwen en implementeren door deel te nemen aan het iOS Developer Enterprise Program. Als u hebt gekozen voor een model met gedeelde apparaten, kunt u apps en materiaal lokaal installeren met Apple Configurator. Denk aan de volgende zaken als u apps en boeken gaat implementeren: ••

Volume Purchase Program (VPP)

••

Maatwerk-B2B-apps

••

Apps en boeken die intern zijn ontwikkeld

••

Implementatie van apps en boeken

••

Caching Server

Volume Purchase Program (VPP) Overzicht

De App Store en de iBooks Store bevatten duizenden mooie apps en boeken die gebruikers kunnen kopen, downloaden en installeren. Het Volume Purchase Program (VPP) biedt organisaties een handige manier om grote aantallen apps en boeken te kopen en deze vervolgens te distribueren onder medewerkers, onderaannemers, docenten, leerlingen of studenten. Alle betaalde en gratis apps en boeken in de App Store en iBooks Store kunnen via het programma worden gekocht. Het Volume Purchase Program heeft twee websites: één voor bedrijven en één voor het onderwijs. Met het VPP voor bedrijven kunt u aangepaste B2B-apps krijgen die speciaal voor u door externe ontwikkelaars zijn gebouwd en die u afgeschermd kunt downloaden uit de VPP Store. Met het VPP voor het onderwijs kunnen softwareontwikkelaars hun apps bij afname van minimaal 20 exemplaren tegen speciale prijzen aanbieden aan onderwijsinstellingen die voor het programma in aanmerking komen. Er gelden geen speciale prijzen voor boeken.

77

Het is mogelijk om een MDM-oplossing te integreren met het VPP, zodat uw organisatie grote aantallen apps en boeken kan kopen en deze vervolgens kan toewijzen aan specifieke gebruikers of groepen. Als een gebruiker een app niet meer nodig heeft, kunt u de app via de MDM-oplossing intrekken en aan iemand anders toewijzen. Bovendien zijn alle gekochte apps en boeken automatisch beschikbaar om te worden gedownload naar de Apple apparaten van gebruikers. Als boeken eenmaal zijn gedistribueerd naar een apparaat, blijven ze het eigendom van de ontvanger en kunnen ze niet meer worden ingetrokken of aan iemand anders worden toegewezen. Ga voor meer informatie naar: ••

Volume Purchase Program voor bedrijven

••

Volume Purchase Program voor het onderwijs

••

Apple Deployment Programs Help

Opmerking: Het Volume Purchase Program is niet in alle landen of regio's beschikbaar.

Inschrijven voor het Volume Purchase Program

Als u apps in grote hoeveelheden wilt kopen, moet u zich eerst inschrijven en een account aanmaken bij Apple. U moet daarbij bepaalde gegevens over uw organisatie verstrekken, zoals een Dun & Bradstreet D-U-N-S-nummer (als u een bedrijf bent) en contactgegevens. Daarnaast moet u een Apple ID aanmaken die specifiek voor het beheer van dit programma wordt gebruikt.

Grote aantallen apps en boeken kopen

Via de website Volume Purchase Program koopt u apps en boeken voor uw bedrijf of onderwijsinstelling. Gebruik de Apple ID van uw VPP-account om in te loggen bij de website. Zoek de apps of boeken die u wilt kopen en geef vervolgens het gewenste aantal exemplaren aan. Betalen kan met de creditcardgegevens van het bedrijf of VPP-krediet dat u via een inkooporder hebt verkregen. Het aantal exemplaren dat u van een app of boek kunt kopen, is onbeperkt. De apps en boeken kunnen vervolgens worden toegewezen via uw MDM-oplossing, mits deze is gekoppeld aan uw VPP-account en een geldig token heeft.

Beheerde distributie

Wanneer u grote aantallen apps en boeken koopt, kunt u deze via een MDM-oplossing beheerd distribueren onder gebruikers van iOS 7 of hoger of OS X Mavericks of hoger. Als zij de app niet meer nodig hebben of de organisatie verlaten, kunt u de code aan een andere gebruiker toewijzen. Boeken kunnen niet worden ingetrokken nadat ze zijn toegewezen. Voordat u een MDM-oplossing gebruikt om apps aan gebruikers toe te wijzen, moet u uw MDM-server via een veilig token aan uw VPP-account koppelen. U kunt dit veilige token naar uw MDM-server downloaden vanuit uw accountoverzicht in de VPP-store. Zie Apple Deployment Programs Help voor meer informatie. Om gebruikers aan een beheerde distributie via het VPP te kunnen laten deelnemen, moeten ze eerst worden uitgenodigd. Als een gebruiker een uitnodiging voor beheerde distributie aanvaardt, wordt hun persoonlijke Apple ID aan uw organisatie gekoppeld. De gebruiker hoeft u niet te vertellen wat de Apple ID is en u hoeft zelf geen Apple ID's voor de gebruikers aan te maken of aan te leveren. In een onderwijsomgeving moet u zelf Apple ID's aanmaken voor leerlingen die jonger zijn dan 13 jaar. Ga naar de website Apple ID for Students voor meer informatie.

Hoofdstuk 8    Distributie van apps en boeken

78

Het is belangrijk dat u de apps en boeken registreert en aan VPP-gebruikers toewijst voordat u een uitnodiging naar de gebruikers stuurt. Hierdoor is er meer tijd om de toewijzing in de aankoopgeschiedenis van de gebruiker door te voeren wanneer de VPP-uitnodiging wordt geaccepteerd. U kunt op elk moment gebruikers registreren en apps en boeken toewijzen, zelfs voordat de Apple apparaten bij de MDM-oplossing zijn ingeschreven. Zodra een app via de MDM-oplossing aan een gebruiker is toegewezen, verschijnt de app in de aankoopgeschiedenis van die gebruiker in de App Store. De gebruiker kan worden gevraagd of hij of zij akkoord gaat met de installatie van de app. Op een iOS-apparaat dat onder supervisie staat, kan de app ook op de achtergrond worden geïnstalleerd. Als apps die nog niet op een apparaat zijn geïnstalleerd, worden gepusht met de taak 'Push VPP-apps', worden ze automatisch verwijderd wanneer een gebruiker zich uitschrijft bij de MDM-oplossing. Apps en boeken die zijn gedistribueerd via beheerde distributie, worden niet met familieleden gedeeld wanneer Delen met gezin wordt gebruikt.

Maatwerk-B2B-apps

Ook aangepaste apps die een ontwikkelaar voor uw bedrijf maakt of aanpast (B2B-apps), kunnen via het Volume Purchase Program worden gekocht. Ontwikkelaars die zich hebben aangemeld voor het iOS Developer Program kunnen apps voor B2B-distributie indienen via iTunes Connect. De procedure hiervoor komt overeen met de procedure die wordt gebruikt om andere apps in te dienen bij de App Store. De ontwikkelaar stelt de prijs per exemplaar vast en voegt uw Apple ID voor het Volume Purchase Program toe aan zijn lijst met geautoriseerde B2B-kopers. Alleen geautoriseerde kopers kunnen de app zien of kopen. B2B-apps worden niet beveiligd door Apple. De beveiliging van de gegevens in een app valt onder de verantwoordelijkheid van de ontwikkelaar. Ontwikkelaars wordt aangeraden de optimale iOS-werkwijzen te hanteren voor de identiteitscontrole en codering in apps. Nadat Apple de app heeft beoordeeld, gaat u naar de website van het Volume Purchase Program om exemplaren te kopen, zoals beschreven in Grote aantallen apps en boeken kopen. MaatwerkB2B-apps worden niet in de App Store vermeld. Deze apps kunnen alleen worden gekocht via de website van het Volume Purchase Program.

Interne apps

U kunt via het iOS Developer Enterprise Program iOS-apps ontwikkelen voor gebruik door de medewerkers van uw organisatie. Dit programma biedt een compleet en geïntegreerd proces voor het ontwikkelen en testen van uw iOS-apps en voor de distributie daarvan aan de medewerkers binnen uw organisatie. Interne apps kunt u distribueren door ze te hosten op een eenvoudige, beveiligde webserver die u zelf opzet of door ze aan te leveren via een MDM-oplossing of appbeheeroplossing van een andere leverancier. Het beheren van apps met een MDM-oplossing biedt diverse voordelen. Zo kunt u met een MDM-oplossing onder andere apps op afstand configureren, versies beheren, eenmalige aanmelding configureren, beleidsregels instellen voor netwerktoegang en aangeven met welke apps documenten kunnen worden geëxporteerd. Uw specifieke vereisten, uw infrastructuur en het gewenste beheerniveau voor apps bepalen welke oplossing het meest geschikt voor u is.


79

Interne apps voor iOS ontwikkelen en implementeren 1 Meld u aan voor het iOS Developer Enterprise Program. 2 Maak uw app klaar voor distributie. 3 Maak een voorzieningenprofiel voor bedrijfsdistributie aan om gebruik van de ondertekende apps op de apparaten mogelijk te maken. 4 Bouw de app met het voorzieningenprofiel. 5 Implementeer de app bij uw gebruikers. Aanmelden voor het ontwikkelen van apps Zodra u zich hebt aangemeld voor het iOS Developer Enterprise Program, kunt u een certificaat en een voorzieningenprofiel voor ontwikkelaars aanvragen. Deze gebruikt u tijdens de ontwikkeling om uw app te bouwen en te testen. Het voorzieningenprofiel voor ontwikkelaars is nodig om apps die met uw ontwikkelaarscertificaat zijn ondertekend, op geregistreerde iOS-apparaten te kunnen gebruiken. Het ad-hocprofiel, dat drie maanden geldig is, bevat de apparaat-ID van de apparaten waarop ontwikkelversies van uw app kunnen worden gebruikt. De versie die met uw ontwikkelaarscertificaat is ondertekend, verstrekt u samen met het voorzieningenprofiel voor ontwikkelaars aan uw ontwikkelteam en apptesters. Ga naar de website iOS Developer Enterprise Program voor meer informatie. Apps voorbereiden voor distributie Nadat de ontwikkelen testfase van de app is afgerond en de app klaar is voor distributie, ondertekent u uw app met uw distributiecertificaat en verpakt u de app met een voorzieningenprofiel. De Team Agent of de Admin van het programma die aan u is toegewezen, maakt het certificaat en het profiel aan via de website iOS Dev Center. In iOS 8 kunnen gebruikers voorzieningenprofielen niet meer weergeven op hun iOS-apparaat. Interne apps distribueren Via het voorzieningenprofiel voor bedrijfsdistributie kan uw app op een onbeperkt aantal iOS-apparaten worden geïnstalleerd. U kunt een voorzieningenprofiel voor bedrijfsdistributie aanmaken voor een specifieke app of voor meerdere apps. Als zowel het distributiecertificaat als het voorzieningenprofiel voor bedrijven op uw Mac is geïnstalleerd, kunt u uw app ondertekenen en er een productieversie van maken met behulp van Xcode. Het certificaat voor bedrijfsdistributie is drie jaar geldig en u kunt maximaal twee geldige certificaten tegelijk hebben. Als een certificaat bijna is verlopen, moet u de app met een vernieuwd certificaat opnieuw bouwen en ondertekenen. Aangezien het voorzieningenprofiel voor de app één jaar geldig is, moet u elk jaar nieuwe voorzieningenprofielen uitbrengen. Zie Bijgewerkte apps distribueren voor meer informatie. Het is belangrijk dat u de toegang tot uw distributiecertificaat en de bijbehorende persoonlijke sleutel beperkt houdt. Met Sleutelhangertoegang in OS X kunt u deze onderdelen exporteren en een reservekopie van deze onderdelen maken in de p12-structuur. Als u de persoonlijke sleutel kwijtraakt, kan deze niet worden hersteld of opnieuw worden gedownload. Beperk de toegang ook tot medewerkers die verantwoordelijk zijn voor de uiteindelijke acceptatie van de app. Door de app te ondertekenen met het distributiecertificaat, verleent uw organisatie goedkeuring aan de inhoud en werking van de app en erkent uw organisatie dat de app voldoet aan de licentievoorwaarden van de Enterprise Developer Agreement. Raadpleeg de App Distribution Guide van Apple voor meer informatie over het implementeren van eigen apps.


80

Interne boeken

iOS 8 en OS X Yosemite zijn sterk verbeterd door de introductie van beheerde distributie voor boeken. Deze voorziening maakt het mogelijk om via de MDM-oplossing boeken toe te wijzen aan gebruikers, zodat uw organisatie de controle over de boeken blijft houden. Pdf's en ePubs die binnen uw organisatie worden aangemaakt, kunnen net als interne apps worden toegewezen aan gebruikers. Ook kunt u de toewijzing weer ongedaan maken en het boek vervolgens aan iemand anders toewijzen.

Apps en boeken implementeren Overzicht

U kunt apps en boeken op verschillende manieren implementeren. U kunt: ••

Een intern ontwikkelde app of een app uit de App Store via uw MDM-server op een beheerd Apple apparaat installeren (als uw MDM-server deze functie ondersteunt).

••

De app op een beveiligde webserver plaatsen, zodat gebruikers de installatie draadloos kunnen uitvoeren. Zie Draadloos interne apps installeren voor informatie.

••

De app lokaal op iOS-apparaten installeren via Apple Configurator.

Apps en boeken installeren via de MDM-oplossing

Een MDM-server kan niet alleen apps van andere ontwikkelaars uit de App Store beheren, maar ook interne apps. Apps die met behulp van een MDM-oplossing zijn geïnstalleerd, worden beheerde apps genoemd. Op de MDM-server kan worden ingesteld of beheerde apps en de bijbehorende gegevens beschikbaar blijven als de gebruiker zich uitschrijft bij de MDM-oplossing. Bovendien kan worden ingesteld dat er geen reservekopie van beheerde appgegevens in iTunes of iCloud wordt gemaakt. Op deze manier kunt u apps die mogelijk gevoelige bedrijfsgegevens bevatten beter beheren dan apps die rechtstreeks door de gebruiker worden gedownload. Om een beheerde app te installeren, verstuurt de MDM-server een installatiecommando naar het Apple apparaat. Als het om een app uit de App Store gaat, wordt de app gedownload en geïnstalleerd via Apple. Als het om een eigen app gaat, wordt de app geïnstalleerd via uw MDM-oplossing. Op onbeheerde apparaten moet de gebruiker eerst toestemming geven voordat beheerde apps worden geïnstalleerd. In iOS 7 of hoger en in OS X Mavericks of hoger kunnen VPN-verbindingen op appniveau worden opgegeven, wat inhoudt dat alleen het netwerkverkeer voor die app zich in de beveiligde VPN-tunnel bevindt. Op deze manier blijven privégegevens privé en worden ze niet samen met openbare gegevens verstuurd. De functie 'Open in' wordt vanaf iOS 7 ondersteund door beheerde apps. Dit betekent dat de gegevensoverdracht van beheerde apps naar of van de persoonlijke apps van de gebruiker kan worden beperkt, zodat de gevoelige gegevens van de organisatie gegarandeerd veilig zijn. U kunt een MDM-server gebruiken om boeken uit de iBooks Store te installeren die u via het VPP hebt toegewezen aan de gebruiker. Daarnaast kunt u beheerde pdf's, ePubs en iBooks Author-boeken vanaf uw eigen servers installeren, en ze bijwerken met nieuwere versies als dat nodig is. Op de server kan zijn ingesteld dat het niet is toegestaan om een reservekopie te maken van beheerde boeken. Beheerde boeken worden verwijderd op het moment dat de gebruiker zich uitschrijft bij de MDM-oplossing.


81

Apps installeren met Apple Configurator

Gebruik Apple Configurator om algemene configuratietaken op een eenvoudige manier uit te voeren. U kunt het programma ook gebruiken om apps en ander materiaal te installeren op iOS-apparaten. Apple Configurator is vooral erg handig voor de supervisie van apparaten die niet door de gebruiker worden gepersonaliseerd, zoals gedeelde iPads in een klaslokaal. Daarnaast kunt u Apple Configurator gebruiken om documenten te installeren, zodat deze beschikbaar zijn wanneer uw gebruikers hun apparaten in gebruik nemen. Documenten zijn beschikbaar voor apps die bestandsdeling via iTunes ondersteunen. U kunt ook documenten op iOS-apparaten lezen of ophalen door het apparaat te verbinden met een Mac waarop Apple Configurator wordt uitgevoerd.

Caching Server

Dankzij iOS en OS X hebben gebruikers eenvoudig toegang tot digitaal materiaal. Sommige gebruikers zullen hun apps, boeken en software via het netwerk van de organisatie bijwerken, waarbij het om grote hoeveelheden gigabytes kan gaan. De vraag naar deze assets vertoont pieken. De eerste piek doet zich voor bij de implementatie van het Apple apparaat. Daarna zijn incidenteel pieken te zien wanneer gebruikers nieuw materiaal ontdekken of wanneer materiaal wordt bijgewerkt. Het downloaden van materiaal kan plotselinge stijgingen van de vraag naar internetbandbreedte tot gevolg hebben. Caching Server is een voorziening van OS X Server waarmee eerder opgevraagd materiaal wordt bewaard in het lokale netwerk van uw organisatie. Hierdoor is er minder bandbreedte nodig voor het downloaden van materiaal. Dit wordt bereikt door de internetbandbreedte voor uitgaand verkeer op privénetwerken te verminderen (RFC 1918) en door in de cache opgeslagen kopieën van aangevraagd materiaal te bewaren in het lokale netwerk. Caching Server van OS X Server Yosemite kan de volgende typen materiaal in de cache opslaan voor iOS 7 of hoger en OS X Mountain Lion versie 10.8.2 of hoger: ••

iOS-software-updates (iOS 8.1 of hoger)

••

OS X-software-updates

••

Internet Recovery-schijfkopie (OS X Mavericks of hoger)

••

Updates voor Java en printerbesturingsbestanden

••

Apps uit de App Store

••

App Store-updates

••

Boeken uit de iBooks Store

••

iTunes U-cursussen en -materiaal

••

Downloadbaar materiaal voor GarageBand

••

Stemmen van hoge kwaliteit en taalwoordenlijsten

Zie het Apple Support-artikel OS X Server: door de cachevoorziening ondersteunde inhoudstypen voor meer informatie over materiaal dat met de cachevoorziening in de cache wordt bewaard. iTunes ondersteunt ook Caching Server. De volgende typen materiaal worden ondersteund door iTunes 11.0.4 of hoger (op zowel Mac- als Windows-computers):

••

Apps uit de App Store

••

App Store-updates

••

Boeken uit de iBooks Store


82

Bij grote netwerken kan het verstandig zijn meerdere Caching Servers te installeren. Voor veel implementatiemodellen is het configureren van Caching Server een kwestie van het inschakelen van de voorziening. Met Caching Server van OS X Server Yosemite hoeft u geen NAT-omgeving meer in te richten voor de server en de apparaten die daarvan gebruikmaken. Caching Server kan nu worden gebruikt in netwerken met vrij routeerbare IP-adressen. Apple apparaten met iOS 7 of hoger en OS X Mountain Lion versie 10.8.2 of hoger kunnen zonder aanvullende configuratie automatisch contact maken met een Caching Server in de buurt. Zie Cachevoorziening in OS X Server Help voor meer informatie. Hier volgt een uitleg van de werkstroom van Caching Server: 1 Als een Apple apparaat in een netwerk met een of meer Caching Servers materiaal opvraagt uit de iTunes Store of van de software-updateserver, wordt het apparaat doorgeleid naar een Caching Server. 2 De Caching Server controleert eerst of het gevraagde materiaal zich al in de lokale cache bevindt. ••

Als dat zo is, wordt het materiaal direct beschikbaar gesteld aan het apparaat.

••

Als het gevraagde materiaal niet aanwezig is op de Caching Server, wordt geprobeerd het materiaal vanaf een andere bron te downloaden. Caching Server 2 of hoger beschikt over een peer-to-peer-replicatiefunctie die het mogelijk maakt om andere Caching Servers in het netwerk te gebruiken als die het gevraagde materiaal al hebben gedownload.

3 Terwijl de Caching Server downloadgegevens ontvangt, worden deze direct doorgegeven aan de apparaten die de gegevens hebben opgevraagd en wordt een kopie in de cache geplaatst op het opgegeven opslagapparaat.


83

Ondersteuningsbehoeften

9

Overzicht

Bij een implementatie van Apple apparaten moet de ondersteuning natuurlijk niet worden vergeten. AppleCare heeft ondersteuningsplannen voor organisaties van elke omvang, die ondersteuning voor software-implementatie en dekking van hardwarereparatiekosten bieden: ••

••

••

Mac-computers met OS X, iOS-apparaten met iOS ••

AppleCare Help Desk Support

••

AppleCare OS Support

••

AppleCare voor bedrijven

Alleen iOS-apparaten ••

AppleCare voor gebruikers van iOS-apparaten

••

iOS Direct Service Program

Alleen Mac-computers ••

AppleCare Protection Plan voor Mac of Apple beeldscherm

U kunt de programma's kiezen die aansluiten bij de behoeften van uw organisatie. Ga naar de website AppleCare Professional Support voor meer informatie.

AppleCare Help Desk Support

Als u dit plan kiest, kunt u direct telefonisch contact opnemen met de ervaren ondersteuningsmedewerkers van Apple. Het plan omvat daarnaast een aantal tools voor het opsporen en oplossen van problemen met Apple hardware, waardoor organisaties hun resources efficiënter kunnen beheren, de responstijd kunnen verkorten en minder geld kwijt zijn aan trainingen. Met het AppleCare Help Desk Support-plan kunt u een onbeperkt aantal aanvragen indienen voor het opsporen en verhelpen van hardware- en softwareproblemen en het isoleren van problemen met iOS- en OS X-producten. Ga naar de website AppleCare Help Desk Support voor meer informatie.

AppleCare OS Support

AppleCare OS Support omvat AppleCare Help Desk Support, plus ondersteuning voor specifieke incidenten. AppleCare OS Support omvat ondersteuning voor systeemonderdelen, netwerkconfiguratie en -beheer, integratie in gemengde omgevingen, professionele programma's, webapplicaties en -voorzieningen en technische problemen waarvoor commandoregeltools moeten worden gebruikt. Ga naar de website AppleCare OS Support voor meer informatie.

84

AppleCare voor bedrijven

AppleCare voor bedrijven biedt uitgebreide hardware- en softwareondersteuning voor uw bedrijf of onderwijsinstelling. Uw AppleCare-accountmanager brengt samen met u uw IT-infrastructuur in kaart, houdt eventuele problemen bij en verstrekt maandelijkse activiteitenrapporten over ondersteuningsaanvragen en reparaties. Dit plan biedt IT-afdelingen via telefoon of e-mail ondersteuning voor alle Apple hardware en software. We bieden ondersteuning voor complexe implementatie- en integratiescenario's, waaronder MDM en Active Directory. En als u hulp nodig hebt met IBM MobileFirst voor iOS-apps, onderzoeken we samen met u wat de oorzaak van het probleem is en zorgen we samen met IBM dat het probleem wordt opgelost. AppleCare voor bedrijven biedt uw medewerkers 24 uur per dag en 7 dagen per week telefonische technische ondersteuning, zodat de druk op uw interne helpdesk wordt verlicht. Apple biedt technische ondersteuning voor Apple hardware en besturingssystemen, voor Apple apps zoals Keynote, Pages en Numbers, en voor persoonlijke accounts en instellingen. Ga naar de website AppleCare voor bedrijven voor meer informatie.

AppleCare voor gebruikers van iOS-apparaten

Voor elk iOS-apparaat geldt een beperkte garantie van één jaar en wordt gedurende 90 dagen vanaf de aankoopdatum telefonische technische ondersteuning geboden. Deze dekking kan worden uitgebreid naar twee jaar vanaf de oorspronkelijke aankoopdatum met AppleCare+ voor iPhone, AppleCare+ voor iPad of AppleCare+ voor iPod touch. Gebruikers kunnen zo vaak als ze willen bellen met de deskundige ondersteuningsmedewerkers van Apple voor algemene ondersteuning. Apple biedt daarnaast handige serviceopties als een apparaat moet worden gerepareerd. Met alle drie de programma's bent u gedekt voor maximaal twee schadegevallen als gevolg van een ongeval; per geval kunnen wel servicekosten in rekening worden gebracht.

iOS Direct Service Program

Het iOS Direct Service Program maakt deel uit van AppleCare+ en het AppleCare Protection Plan. Op grond van dit programma kunnen uw helpdeskmedewerkers apparaten controleren op problemen zonder dat ze AppleCare hoeven te bellen of een Apple Store hoeven te bezoeken. Uw organisatie kan indien nodig rechtstreeks een vervangende iPhone, iPad of iPod touch of standaardaccessoires bestellen. Ga naar de website iOS Direct Service-programma voor meer informatie.

AppleCare Protection Plan voor Mac of Apple beeldscherm

Voor elke Mac geldt een beperkte garantie van één jaar en wordt gedurende 90 dagen vanaf de aankoopdatum telefonische technische ondersteuning geboden. Deze dekking kan worden uitgebreid naar maximaal drie jaar vanaf de oorspronkelijke aankoopdatum en kan reparaties op locatie voor desktopcomputers omvatten. Draagbare computers en Apple beeldschermen kunnen ter reparatie worden opgestuurd en Mac-computers en Apple beeldschermen kunnen ter reparatie worden aangeboden bij een Apple Retail Store of een andere door Apple erkende serviceaanbieder. U kunt zo vaak als u wilt bellen met de deskundige ondersteuningsmedewerkers van Apple met vragen over Apple hardware, OS X en Apple apps, zoals de apps in de pakketten iLife en iWork.

Hoofdstuk 9    Ondersteuningsbehoeften

85

Bijlagen

10

Beperkingen Overzicht

Apple apparaten ondersteunen de hierna aangegeven beleidsinstellingen en beperkingen. Deze kunnen zo worden geconfigureerd dat ze aansluiten op de behoeften van uw organisatie. Afhankelijk van uw MDM-oplossing, kunnen de aanduidingen van deze beperkingen enigszins afwijken. Opmerking: Niet alle beperkingen zijn voor alle Apple apparaten beschikbaar.

Instellingen voor het Device Enrollment Program

De volgende beperkingen gelden voor Apple apparaten die zijn toegewezen aan MDM-servers via het Device Enrollment Program. Inschrijvingsopties •• Vraag gebruiker om apparaat in te schrijven: Als deze optie is ingeschakeld, wordt de gebruiker gevraagd het apparaat in te schrijven bij de MDM-oplossing. Deze optie is standaard uitgeschakeld. De volgende instellingen zijn subsets van de bovenstaande instelling. ••

Sta gebruiker niet toe om inschrijvingsstap over te slaan: Als deze optie is ingeschakeld, moet de gebruiker het apparaat inschrijven bij de MDM-oplossing voordat hij of zij het apparaat kan configureren. Deze optie is standaard uitgeschakeld.

••

Inloggegevens vereist voor inschrijving: Als deze optie is uitgeschakeld, hoeven gebruikers hun identiteit niet te laten controleren voor een adreslijstvoorziening voordat zij het apparaat bij de MDM-oplossing inschrijven. Deze optie is standaard ingeschakeld.

••

Beheer apparaat (alleen iOS): Als deze optie is ingeschakeld, staat het apparaat onder supervisie zolang het is ingeschreven en kan het niet worden uitgeschreven door de gebruiker. Deze optie is standaard uitgeschakeld.

De volgende instelling is een subset van de bovenstaande instelling. ••

Sta koppelen toe (alleen iOS): Als deze optie is uitgeschakeld, kunnen gebruikers hun apparaat niet met een computer koppelen. Deze optie is standaard ingeschakeld.

••

Sta uitschrijving niet toe: Als deze optie is ingeschakeld, kan een iOS-apparaat dat onder supervisie staat, niet worden uitgeschreven door de gebruiker. Mac-computers kunnen worden uitgeschreven als de gebruiker de gebruikersnaam en het wachtwoord van de beheerder weet. Deze optie is standaard uitgeschakeld.

Opties voor de configuratie-assistent De volgende schermen van de configuratie-assistent kunnen worden overgeslagen voor Apple apparaten die bij het Device Enrollment Program zijn ingeschreven en via een MDM-oplossing worden beheerd (alle opties zijn standaard ingeschakeld). Gebruikers kunnen deze onderdelen instellen nadat het Apple apparaat is geconfigureerd, tenzij er via de MDM-oplossing permanente beperkingen voor de onderdelen zijn ingesteld.

86

••

Set up as a new device or restore from backup: Als deze optie is uitgeschakeld, heeft de gebruiker niet de mogelijkheid om tussen deze twee opties te kiezen.

••

Allow user to enter their Apple ID: Als deze optie is uitgeschakeld, kan de gebruiker niet zijn of haar Apple ID invoeren.

••

Allow user to view the Terms and Conditions: Als deze optie is uitgeschakeld, kan de gebruiker niet de voorwaarden van Apple bekijken.

••

Allow user to select whether diagnostic data is sent to Apple and developers: Als deze optie is uitgeschakeld, kan de gebruiker niet aangeven of diagnostische gegevens naar Apple en appgegevens naar ontwikkelaars mogen worden verstuurd.

••

Allow user to enable Location Services: Als deze optie is uitgeschakeld, kan de gebruiker Locatievoorzieningen niet inschakelen.

••

Allow the user to enable Touch ID (iOS-only): Als deze optie is uitgeschakeld, kan de gebruiker Touch ID niet inschakelen om het apparaat te ontgrendelen of om in te loggen bij apps die Touch ID gebruiken voor de identiteitscontrole.

••

Allow user to alter the Passcode Lock settings (iOS-only): Als deze optie is uitgeschakeld, kan de gebruiker de toegangscode van de beheerde instelling niet wijzigen.

••

Allow user to enable Apple Pay (iOS-only): Als deze optie is uitgeschakeld, kan de gebruiker Apple Pay niet inschakelen.

••

Allow user to enable Siri (iOS-only): Als deze optie is uitgeschakeld, kan de gebruiker Siri niet inschakelen.

••

Allow user to change the Display Zoom (iOS-only): Als deze optie is uitgeschakeld, heeft de gebruiker niet de mogelijkheid om te kiezen tussen de weergavezoominstellingen 'Standaard' en 'Zoomen'.

••

Allow the user to register the Mac with Apple (OS X-only): Als deze optie is uitgeschakeld, kan de gebruiker het registratieformulier niet invullen en naar Apple versturen.

••

Allow the user to enable FileVault (OS X-only): Als deze optie is uitgeschakeld, kan de gebruiker FileVault niet inschakelen.

Apparaatfunctionaliteit

Functionaliteit van iOS-apparaten De volgende beperkingen gelden voor de functionaliteit van iOS-apparaten:

••

Sta installatie van programma's toe: Als deze optie is uitgeschakeld, is de App Store niet toegankelijk en wordt het bijbehorende symbool niet weergegeven in het beginscherm. Gebruikers kunnen geen apps van de App Store installeren of bijwerken via de App Store, via iTunes of via MDM. Eigen apps kunnen nog steeds worden geïnstalleerd en bijgewerkt.

••

Sta Siri toe: Als deze optie is uitgeschakeld, kan Siri niet worden gebruikt.

••

Sta Siri toe als apparaat is vergrendeld: Als deze optie is uitgeschakeld, reageert Siri alleen wanneer het apparaat is ontgrendeld.

••

Apple Pay: Als deze optie is uitgeschakeld, kan Apple Pay niet worden gebruikt.

••

Sta Handoff toe: Als deze optie is uitgeschakeld, kunnen gebruikers Handoff niet gebruiken met hun Apple apparaten.

••

Sta gebruik van camera toe: Als deze optie is uitgeschakeld, worden de camera's uitgeschakeld en wordt het camerasymbool uit het beginscherm verwijderd. Gebruikers kunnen geen foto's of video's maken en evenmin gebruikmaken van FaceTime.

••

Sta FaceTime toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen audioof -videogesprekken via FaceTime starten of ontvangen.

Hoofdstuk 10    Bijlagen

87

••

Sta schermafbeeldingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen schermafbeelding bewaren.

••

Sta automatische synchronisatie tijdens roaming toe: Als deze optie is uitgeschakeld, worden roamende apparaten alleen gesynchroniseerd wanneer de gebruiker inlogt op een account.

••

Sta voicedialing toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen gesproken commando's gebruiken om een nummer te bellen.

••

Sta kopen vanuit app toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen aankopen doen vanuit apps.

••

Sta ontgrendelen van apparaat via Touch ID toe: Als deze optie is uitgeschakeld, moeten gebruikers een toegangscode invoeren om het apparaat te ontgrendelen.

••

Forceer Apple Watch-draagdetectie: Als deze optie is ingeschakeld, wordt Apple Watch automatisch vergrendeld wanneer het horloge van de pols van de gebruiker wordt gehaald. Het kan worden ontgrendeld met de toegangscode of de gekoppelde iPhone. Deze optie is standaard uitgeschakeld.

••

Allow Control Center access from Lock Screen: Als deze optie is uitgeschakeld, kunnen gebruikers het bedieningspaneel niet weergeven door omhoog te vegen.

••

Allow Notification Center access from Lock Screen: Als deze optie is uitgeschakeld, kunnen gebruikers Berichtencentrum niet weergeven door omlaag te vegen op het toegangsscherm.

••

Toon dagweergave op toegangsscherm: Als deze optie is uitgeschakeld, kunnen gebruikers de dagweergave niet op het toegangsscherm weergeven door omlaag te vegen.

••

Sta Passbook-meldingen toe op toegangsscherm: Als deze optie is uitgeschakeld, moeten gebruikers het apparaat ontgrendelen om Passbook te kunnen gebruiken.

••

iTunes-wachtwoord vereist voor alle aankopen: Als deze optie is uitgeschakeld, hoeft de gebruiker geen accountwachtwoord op te geven wanneer hij of zij vanuit een app of rechtstreeks aankopen in iTunes doet.

••

Stel toegestane beoordelingen in: Hiermee stelt u de regio en beoordelingen voor films, tv-programma's en apps in.

Functionaliteit van Mac-computers De volgende beperkingen gelden voor de functionaliteit van Mac-computers:

••

Sta App Store-app-adoptie toe: Als deze optie is uitgeschakeld, kunnen iLife- en iWork-apps die bij OS X zijn geleverd niet door de App Store worden geadopteerd.

••

Beperk gebruik van App Store tot software-updates: Als deze optie is ingeschakeld, kan de App Store alleen worden gebruikt om apps bij te werken. Deze optie is standaard uitgeschakeld.

••

Beheerderswachtwoord vereist voor installeren of bijwerken van apps: Als deze optie is ingeschakeld, moet een beheerderswachtwoord worden ingevoerd om apps bij te werken. Deze optie is standaard uitgeschakeld.

••

Stel in welke apps mogen worden gestart: Als deze optie is ingeschakeld, kunt u instellen welke apps kunnen worden gebruikt. Deze optie is standaard uitgeschakeld.

••

Beperk gebruik Systeemvoorkeuren: Als deze optie is ingeschakeld, kunt u instellen welke onderdelen in Systeemvoorkeuren toegankelijk zijn voor gebruikers. Als een paneel niet wordt vermeld, installeert u het paneel op de Mac waarop Profielbeheer is geïnstalleerd. Deze optie is standaard uitgeschakeld.

••

Vergrendel bureaubladafbeelding: Als deze optie is ingeschakeld, kan de gebruiker geen andere bureaubladafbeelding instellen. Deze optie is standaard uitgeschakeld.


88

Instellingen onder supervisie

De twee activeringsslotbeperkingen zijn standaard uitgeschakeld voor alle gebruikers en gebruikersgroepen. ••

Stuur commando 'Sta activeringsslot toe' na MDM-inschrijving: Als deze optie is ingeschakeld, kunnen gebruikers instellen dat hun iOS-apparaat niet kan worden gewist zonder de Apple ID van de gebruiker in te voeren. De volgende instelling is een subset van de bovenstaande instelling. ••

Verstuur commando alleen als bypasscode voor activeringsslot is verkregen: Als deze optie is ingeschakeld, moet de MDM-server een bypasscode voor het activeringsslot ontvangen voordat de gebruiker kan instellen dat zijn of haar iOS-apparaat niet kan worden gewist zonder de Apple ID van de gebruiker in te voeren.

••

Globale netwerkproxy voor HTTP: Als deze payload wordt toegevoegd aan een profiel, moeten iOS-apparaten voor al het netwerkverkeer dat via HTTP loopt de proxy gebruiken die in de payload is gedefinieerd.

••

Sta iMessage toe: Als deze optie is uitgeschakeld voor apparaten die alleen een Wi-Fi-voorziening hebben, wordt de Berichten-app verborgen. Als deze optie is uitgeschakeld voor een apparaat met Wi-Fi en een mobiele-dataverbinding, is de Berichten-app nog wel beschikbaar, maar kan alleen de voorziening voor sms-/mms-berichten worden gebruikt.

••

Sta Game Center toe: Als deze optie is uitgeschakeld, worden de Game Center-app en het bijbehorende symbool niet weergegeven.

••

Sta verwijderen van apps toe: Als deze optie is uitgeschakeld, kunnen gebruikers geïnstalleerde apps niet verwijderen.

••

Sta iBooks Store toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen boeken kopen via de iBooks Store.

••

Sta podcasts toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen podcasts downloaden.

••

Sta suggesties bij typen toe: Als deze optie is uitgeschakeld, worden er geen suggesties aangeboden tijdens het typen.

••

Sta autocorrectie toe: Als deze optie is uitgeschakeld, krijgen gebruikers geen suggesties voor het corrigeren van woorden aangeboden.

••

Sta spellingcontrole toe: Als deze optie is uitgeschakeld, worden mogelijk verkeerd gespelde woorden niet rood onderstreept.

••

Sta definities zoeken toe: Als deze optie is uitgeschakeld, kunnen gebruikers niet dubbel tikken om de definitie van een woord op te zoeken.

••

Sta gebruikersmateriaal toe in Siri: Als deze optie is uitgeschakeld, kan Siri geen materiaal ophalen van bronnen met door gebruikers gegenereerde inhoud, zoals Wikipedia.

••

Allow manual install of configuration files: Als deze optie is uitgeschakeld, kunnen gebruikers niet handmatig configuratieprofielen installeren.

••

Sta configureren van beperkingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen eigen beperkingen instellen op hun apparaat.

••

Allow pairing to computers for content sync: Als deze optie is uitgeschakeld, kunnen gebruikers hun iOS-apparaat alleen koppelen met de Mac waarop Apple Configurator is geïnstalleerd en waarop het apparaat voor het eerst werd beheerd.

••

Sta AirDrop toe: Als deze optie is uitgeschakeld, kunnen gebruikers AirDrop niet gebruiken met een app.

••

Sta wijzigen Touch ID-vingerafdrukken toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen Touch ID-gegevens toevoegen of verwijderen.


89

••

Sta wijziging van account toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen nieuwe accounts aanmaken of hun gebruikersnaam, wachtwoord of andere instellingen wijzigen die aan hun account zijn gekoppeld.

••

Sta wijziging mobiele-datainstellingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen instellingen wijzigen met betrekking tot de apps die mobiele data mogen gebruiken.

••

Sta wijziging van Zoek mijn vrienden toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen instellingen wijzigen in de app Zoek mijn vrienden.

••

Sta wissen van alle inhoud en instellingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers hun apparaat niet wissen en kunnen ze de fabrieksinstellingen van het apparaat niet herstellen.

••

Allow specific URLs (Content Filter payload): Als deze payload aan een profiel wordt toegevoegd, kunnen gebruikers niet opgeven welke websites ze op hun iOS-apparaten kunnen bekijken. ••

Toegestane URL's: Voeg URL's aan deze lijst toe als u gebruikers toegang wilt geven tot bepaalde websites, zelfs wanneer deze door het automatische filter als expliciet worden aangemerkt. Als u deze lijst leeg laat, is toegang tot alle niet-expliciete websites toegestaan, behalve tot de websites die in 'URL's op blacklist' worden vermeld.

••

URL's op de zwarte lijst: Voeg URL's aan deze lijst toe om de toegang tot bepaalde websites te weigeren. Gebruikers kunnen deze sites niet bezoeken, zelfs niet wanneer de sites door het automatische filter als niet-expliciet worden aangemerkt.

••

Alleen specifieke websites: De gebruiker van het apparaat heeft alleen toegang tot de websites die u opgeeft. Typ de URL van de website in de kolom 'URL'. Typ de naam voor de bladwijzer in de kolom 'Naam'. Om een bladwijzer in een map aan te maken, geeft u de locatie van de map op in de kolom 'Bladwijzer'. U kunt bijvoorbeeld een bladwijzer aanmaken in de map 'Favorieten' door /Favorieten/ in te voeren.

••

Restrict AirPlay connections with whitelist and optional connection passcodes: Als deze optie is uitgeschakeld, hoeft er geen toegangscode te worden ingevoerd wanneer een apparaat voor het eerst wordt gekoppeld voor AirPlay.

••

Activeer grof-taalgebruikfilter Siri: Als deze optie is uitgeschakeld, wordt het groftaalgebruikfilter in Siri niet gebruikt.

••

Eén-app-modus: In deze modus kan er altijd maar één app tegelijk worden gebruikt.

••

Toegankelijkheidsinstellingen: Hiermee kunnen bepaalde toegankelijkheidsinstellingen worden opgegeven voor de één-app-modus.

Zie Apparaten onder supervisie stellen voor meer informatie over het beheer van iOS-apparaten.

Beveiligings- en privacy-instellingen

Beveiligings- en privacy-instellingen voor iOS en OS X De volgende beveiligings- en privacybeperking geldt voor iOS en OS X: ••

Sta naar Apple versturen van info over werking toe: Als deze optie is uitgeschakeld, worden er geen diagnostische gegevens van een apparaat naar Apple gestuurd.

Beveiligings- en privacy-instellingen voor iOS De volgende beveiligings- en privacybeperkingen gelden alleen voor iOS: ••

Sta zoekresultaten van het internet toe in Spotlight: Als deze optie is uitgeschakeld, worden in Spotlight geen resultaten weergegeven van een zoekactie op het internet.


90

••

Domeinen (e-mail): E-mailberichten die niet aan domeinen in de goedgekeurde lijst zijn geadresseerd, worden gemarkeerd. Stel dat een gebruiker zowel example.com als group. example.com heeft opgenomen in de lijst met bekende domeinen. Als de gebruiker vervolgens [email protected] invoert, wordt dat adres gemarkeerd, zodat de gebruiker meteen kan zien dat dit domein niet in de lijst staat.

••

Domeinen (Safari): Bestanden die via Safari worden gedownload, worden als beheerde documenten beschouwd als ze afkomstig zijn van een beheerd domein. Als een gebruiker bijvoorbeeld via Safari een pdf-bestand downloadt van een beheerd domein, voldoet het pdf-bestand aan alle instellingen voor beheerde documenten.

••

Sta documenten uit onbeheerde bronnen toe op beheerde locaties: Als deze optie is uitgeschakeld, kunnen documenten die met onbeheerde bronnen zijn aangemaakt of van onbeheerde bronnen zijn gedownload, niet worden geopend op beheerde locaties.

••

Sta documenten uit beheerde bronnen toe op onbeheerde locaties: Als deze optie is uitgeschakeld, kunnen documenten die met beheerde bronnen zijn aangemaakt of van beheerde bronnen zijn gedownload, niet worden geopend op onbeheerde locaties.

••

Sta expliciete muziek, podcasts en iTunes U toe: Als deze optie is uitgeschakeld, wordt expliciet muziek- of videomateriaal dat in de iTunes Store is gekocht of aan iTunes U is toegevoegd, niet weergegeven. Expliciet materiaal dat via de iTunes Store wordt verkocht of via iTunes U wordt verspreid, wordt als zodanig aangeduid door de aanbieders van het materiaal (zoals platenmaatschappijen).

••

Sta expliciet seksueel materiaal toe in iBooks Store: Als deze optie is uitgeschakeld, wordt expliciet seksueel materiaal dat in de iBooks Store is gekocht verborgen. Expliciet materiaal wordt als zodanig aangeduid door de aanbieders van het materiaal wanneer dit wordt verkocht via de iBooks Store. Vereist supervisie voor iOS 6. In de apps iTunes en iBooks in OS X kunt u instellen of expliciete muziek, podcasts, iTunes U-materiaal, beoordelingen en erotisch materiaal in de iBooks Store wordt weergegeven.

••

Sta automatisch bijwerken vertrouwensinstellingen certificaten toe: Als deze optie is uitgeschakeld, kunnen vertrouwensinstellingen voor certificaten niet automatisch worden bijgewerkt.

••

Sta gebruikers toe niet-vertrouwde TLS-certificaten te accepteren: Als deze optie is uitgeschakeld, wordt gebruikers niet gevraagd of ze certificaten willen vertrouwen die niet kunnen worden gecontroleerd. Deze instelling geldt voor Safari, Mail, Contacten en Agenda-accounts. Als deze optie is ingeschakeld, worden alleen certificaten met vertrouwde rootcertificaten automatisch geaccepteerd. Zie het Apple Support-artikel Lijst met beschikbare, vertrouwde rootcertificaten voor informatie over rootcertificaten die worden geaccepteerd door iOS.

••

Toegangscode vereist voor eerste AirPlay-koppeling: Als deze optie is uitgeschakeld, hoeft er geen toegangscode te worden ingevoerd wanneer een apparaat voor het eerst wordt gekoppeld voor AirPlay.

••

Forceer beperkte reclametracking: Als deze optie is uitgeschakeld, kunnen apps de reclame-ID (een niet-permanente apparaat-ID) gebruiken voor gepersonaliseerde reclame.

••

Sta maken van reservekopie van bedrijfsboeken toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen reservekopie maken van boeken die door hun organisatie zijn gedistribueerd naar iCloud of iTunes.

••

Forceer gecodeerde reservekopieën: Als deze optie is uitgeschakeld, kunnen gebruikers ervoor kiezen om in iTunes gemaakte reservekopieën van apparaten al dan niet gecodeerd te bewaren op hun Mac.


91

Als een profiel is gecodeerd en deze optie is uitgeschakeld, is codering van reservekopieën verplicht. Profielen die met Profielbeheer op het apparaat zijn geïnstalleerd, worden nooit gecodeerd. Beveiligings- en privacy-instellingen voor OS X De volgende beveiligings- en privacybeperking geldt alleen voor OS X: ••

Sta AirDrop toe: Als deze optie is uitgeschakeld, kunnen gebruikers AirDrop niet gebruiken met andere Mac-computers. U kunt het gebruik van AirDrop voor iOS-apparaten pas beperken nadat de apparaten onder supervisie zijn gesteld.

Gebruik van apps

Beperkingen voor iOS- en OS X-apps De volgende beperkingen gelden voor iOS- en OS X-apps: ••

••

Beperkingen voor de Mail-app: ••

Allow Mail messages to be moved from one account to another: Als deze optie is uitgeschakeld, kunnen gebruikers geen e-mailberichten verplaatsen tussen accounts.

••

Gebruik alleen in Mail: Als deze optie is uitgeschakeld, kunnen andere apps worden gebruikt om vanuit de app e-mail te versturen met de opgegeven account.

••

Sta synchronisatie van recente Mailadressen toe: Als deze optie is uitgeschakeld, worden onlangs gebruikte adressen niet gesynchroniseerd met andere apparaten.

Beperkingen voor de Safari-app: ••

••

Sta automatisch invullen in Safari toe: Als deze optie is uitgeschakeld, worden de gegevens die gebruikers in webformulieren invullen niet in Safari bewaard.

Game Center-beperkingen: ••

Sta games met meerdere spelers toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen multiplayergames in Game Center spelen.

••

Sta toevoeging van Game Center-vrienden toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen vrienden vinden of toevoegen in Game Center.

Beperkingen voor iOS-apps De volgende beperkingen gelden alleen voor iOS-apps: ••

Beperkingen voor de iTunes Store: ••

••

Sta gebruik van iTunes Store toe: Als deze optie is uitgeschakeld, is de iTunes Store uitgeschakeld en wordt het appsymbool uit het beginscherm verwijderd. Gebruikers kunnen materiaal niet vooraf bekijken of beluisteren en geen materiaal aanschaffen of downloaden.

Beperkingen voor de Safari-app: ••

Sta gebruik van Safari toe: Als deze optie is uitgeschakeld, wordt de Safari-app uitgeschakeld en wordt het appsymbool uit het beginscherm verwijderd. Met deze optie kunt u ook voorkomen dat gebruikers webfragmenten kunnen openen.

••

Receive forced fraud warnings: Als deze optie is uitgeschakeld, verschijnt er in Safari geen waarschuwing wanneer een gebruiker mogelijk frauduleuze of verdachte websites bezoekt.

••

Schakel JavaScript in: Als deze optie is uitgeschakeld, worden in Safari alle JavaScripts op websites genegeerd.

••

Blokkeer pop-ups: Als deze optie is uitgeschakeld, worden in Safari geen pop-ups geblokkeerd.


92

••

Edit cookie preferences: Hiermee stelt u het cookiebeleid voor Safari in. U kunt ervoor kiezen om altijd alle cookies te weigeren of te accepteren, alleen cookies van geopende websites te accepteren of alleen cookies te accepteren van websites die de gebruiker bezoekt. De standaardinstelling is 'Altijd'.

Beperkingen voor OS X-apps De volgende beperkingen gelden alleen voor OS X-apps: ••

Beperkingen voor de Dashboard-app: ••

••

Alleen de volgende Dashboard-widgets mogen worden uitgevoerd: Als deze optie is ingeschakeld, kunt u instellen welke Dashboard-widgets de gebruiker kan inschakelen.

Game Center-beperkingen: ••

Sta Game Center toe: Als deze optie is uitgeschakeld, worden de Game Center-app en het bijbehorende symbool niet weergegeven.

••

Sta wijziging van Game Center-account toe: Als deze optie is uitgeschakeld, kunnen gebruikers van Game Center hun gebruikersnaam of wachtwoord niet wijzigen.

iCloud-instellingen ••

Sta maken van reservekopie toe: Als deze optie is uitgeschakeld, wordt alleen in iTunes een reservekopie gemaakt van het apparaat.

••

Allow document and data sync: Als deze optie is uitgeschakeld, worden er geen documenten en gegevens toegevoegd aan iCloud.

••

Allow keychain sync: Als deze optie is uitgeschakeld, wordt iCloud-sleutelhanger niet gebruikt.

••

Sta Mijn fotostream toe: Als deze optie is uitgeschakeld, worden foto's in Mijn fotostream gewist van het apparaat, worden er geen foto's van de Filmrol naar Mijn fotostream verstuurd, en kunnen foto's en video's in gedeelde streams niet meer worden weergegeven op het apparaat. Als er geen andere kopieën van deze foto's en video's bestaan, kunnen deze foto's en video's verloren gaan.

••

Sta 'iCloud-fotodelen' toe: Als deze optie is uitgeschakeld, kunnen gebruikers zich niet abonneren op gedeelde fotostreams of gedeelde fotostreams publiceren.

••

Sta beheerde apps toe gegevens te bewaren in iCloud: Als deze optie is uitgeschakeld, kunnen gebruikers geen gegevens van beheerde apps bewaren in iCloud.

••

Sta synchronisatie van notities en markeringen toe voor bedrijfsboeken: Als deze optie is uitgeschakeld, kunnen gebruikers met iCloud geen notities of markeringen synchroniseren naar andere apparaten.

Beperkingen voor gebruikers en gebruikersgroepen in Profielbeheer

Deze instellingen zijn standaard ingeschakeld voor alle gebruikers en voor de gebruikersgroep 'Iedereen'. De instellingen zijn standaard uitgeschakeld voor de groep 'Werkgroep' en voor alle gebruikersgroepen die door de beheerder zijn aangemaakt. Andere MDM-oplossingen hebben mogelijk vergelijkbare instellingen, die echter andere namen kunnen hebben. ••

Sta toegang tot het portaal 'Mijn apparaten' toe: Als deze optie is ingeschakeld, heeft de gebruiker toegang tot het portaal 'Mijn apparaten' van Profielbeheer. De volgende instellingen zijn subsets van deze instelling. ••

Sta downloads van configuratieprofielen toe: Als deze optie is ingeschakeld, kunnen gebruikers configuratieprofielen downloaden uit het portaal 'Mijn apparaten'.


93

••

••

Sta in- en uitschrijving van apparaten toe: Als deze optie is ingeschakeld, kunnen gebruikers extra apparaten inschrijven en apparaten uitschrijven.

••

Sta wissen van apparaat toe: Als deze optie is ingeschakeld, kunnen gebruikers hun apparaten wissen.

••

Sta apparaatvergrendeling toe (alleen iOS): Als deze optie is ingeschakeld, kunnen gebruikers hun iOS-apparaat vergrendelen.

••

Sta wissen van toegangscode van apparaat toe (alleen iOS): Als deze optie is ingeschakeld, kunnen gebruikers de toegangscode van hun iOS-apparaat wissen.

Sta inschrijving in configuratie-assistent toe voor apparaten die met Device Enrollment Program worden geconfigureerd: Als deze optie is ingeschakeld, kunnen Apple apparaten die bij het Device Enrollment Program zijn ingeschreven en die aan dit exemplaar van Profielbeheer zijn toegewezen, worden ingeschreven bij de MDM-voorziening van Profielbeheer. De volgende opties zijn standaard uitgeschakeld voor alle gebruikers en gebruikersgroepen.

••

Sta inschrijving in configuratie-assistent toe voor apparaten die met Apple Configurator worden geconfigureerd (alleen iOS): Als deze optie is ingeschakeld, kunnen iOS-apparaten die met Apple Configurator zijn geconfigureerd, worden ingeschreven bij de MDM-voorziening van Profielbeheer.

••

Beperk inschrijving tot plaatsaanduidingsapparaten: Als deze optie is ingeschakeld, kunnen alleen apparaten met een plaatsaanduiding voor een van de volgende gegevens worden ingeschreven bij de MDM-voorziening van Profielbeheer: ••

Serienummer

••

UDID

••

IMEI

••

MEID

••

Bonjour-apparaat-ID (alleen Apple TV)

Opmerking: De volgende instelling is een subset van deze beperking. ••

Beperk inschrijving tot toegewezen apparaten: Als deze optie is ingeschakeld, kunnen alleen apparaten die aan een gebruiker zijn toegewezen, worden ingeschreven bij de MDM-voorziening van Profielbeheer.

Draadloos interne apps installeren

Bij iOS en OS X kunnen interne maatwerk-apps draadloos worden geïnstalleerd zonder dat iTunes of de App Store hoeft te worden gebruikt. Vereisten: ••

Een productieversie van een iOS-app in de .ipa-structuur met een voorzieningenprofiel voor bedrijven

••

Een XML-manifest-bestand, zoals in deze bijlage wordt beschreven

••

Een netwerkconfiguratie waarbij apparaten toegang hebben tot een iTunes-server van Apple

••

Het gebruik van HTTPS voor iOS 7.1 of hoger

Het installeren van de app is heel eenvoudig. Gebruikers downloaden het manifest-bestand vanaf uw website naar hun iOS-apparaat. Aan de hand van de instructies in het manifest-bestand worden de in het manifest-bestand genoemde apps naar het apparaat gedownload en daarop geïnstalleerd.


94

U kunt de URL voor het downloaden van het manifest-bestand versturen via sms of e-mail, maar u kunt deze ook opnemen in een andere, intern ontwikkelde bedrijfsapp. De website voor de distributie van apps bouwt en host u zelf. Zorg ervoor dat de identiteit van de gebruikers wordt gecontroleerd, bijvoorbeeld door middel van eenvoudige basiscontrole of een identiteitscontrole op basis van een adressenlijst. Bovendien moet de website toegankelijk zijn via uw intranet of het internet. U kunt de app en het manifest-bestand in een verborgen map plaatsen of op een andere locatie zetten die met HTTPS kan worden gelezen. Als u een selfserviceportaal maakt, kunt u overwegen een webknipsel op de beginpagina van de gebruiker te plaatsen, zodat de gebruiker snel naar nieuwe implementatie-informatie kan gaan. Hierbij valt te denken aan nieuwe configuratieprofielen, aanbevolen apps uit de App Store en gegevens voor inschrijving bij een MDM-oplossing. Een interne app voorbereiden voor draadloze distributie Om een interne app voor te bereiden voor draadloze distributie, bouwt u een gearchiveerde versie (een .ipa-bestand) en een manifest-bestand dat draadloze distributie en installatie van de app mogelijk maakt. U gebruikt Xcode om een app-archief aan te maken. U ondertekent de app met uw distributiecertificaat en neemt uw voorzieningenprofiel voor implementatie door bedrijven op in het archief. Als u meer wilt weten over het bouwen en archiveren van apps, gaat u naar het iOS Dev Center of raadpleegt u de Xcode User Guide (beschikbaar via het Help-menu in Xcode). Informatie over het manifest-bestand voor draadloze distributie Het manifest-bestand heeft de plist-structuur (XML). Het wordt door een iOS-apparaat gebruikt om apps op uw webserver te zoeken, downloaden en installeren. Het manifest-bestand wordt door Xcode aangemaakt op basis van de gegevens die u opgeeft wanneer u een app-archief voor bedrijfsdistributie deelt. De volgende velden zijn verplicht: ••

URL: De volledig gekwalificeerde HTTPS-URL van het appbestand (.ipa).

••

display-image: Een png-afbeelding van 57 x 57 pixels die wordt weergegeven tijdens het downloaden installatieproces. Geef de volledige URL van de afbeelding op.

••

full-size-image: Een png-afbeelding van 512 x 512 pixels die de app in iTunes weergeeft.

••

bundle-identifier: De bundle-aanduiding van uw app, precies zoals die in uw Xcode-project wordt vermeld.

••

bundle-version: De bundle-versie van uw app zoals die in uw Xcode-project wordt vermeld.

••

title: De naam van de app; deze wordt weergegeven tijdens het downloaden installatieproces.

Voor Kiosk-apps zijn ook de volgende velden verplicht: ••

newsstand-image: Een png-afbeelding van groot formaat die in de Kiosk wordt weergegeven.

••

UINewsstandBindingEdge en UINewsstandBindingType: Deze sleutels moeten overeenkomen met die in het info.plist-bestand van uw Kiosk-app.

••

UINewsstandApp: Geeft aan dat het een Kiosk-app betreft.

De optionele sleutels die u kunt gebruiken, worden beschreven in het voorbeeld van het manifest-bestand. U kunt bijvoorbeeld de MD5-sleutels gebruiken als uw appbestand groot is en u - in aanvulling op de foutcontrole die standaard voor TCP-communicatie wordt uitgevoerd een nadere integriteitscontrole van het downloadproces wilt uitvoeren.


95

U kunt meerdere apps installeren met één manifest-bestand door extra onderdelen op te geven in de itemmatrix. Aan het eind van deze bijlage vindt u een voorbeeld van een manifest-bestand. Uw website opbouwen Upload de volgende onderdelen naar een gedeelte van uw website waartoe bevoegde gebruikers toegang hebben: ••

Het appbestand (.ipa)

••

Het manifest-bestand (.plist)

Een website met één pagina met daarop een koppeling naar het manifest-bestand is al voldoende. Zodra een gebruiker op een webkoppeling tikt, wordt het manifest-bestand gedownload, waarna de informatie in het bestand wordt gebruikt om de apps te downloaden en te installeren. Hier ziet u een voorbeeld van een koppeling: App installeren

Voeg geen webkoppeling toe voor het app-archief (.ipa). Het .ipa-bestand wordt naar het apparaat gedownload op het moment dat het manifest-bestand wordt geladen. Ondanks dat het protocolgedeelte van de URL "itms-services" is, is de iTunes Store niet betrokken bij dit proces. Zorg er ook voor dat het .ipa-bestand via HTTPS toegankelijk is en dat uw site is ondertekend met een certificaat dat door iOS wordt vertrouwd. De installatie mislukt als een zelfondertekend certificaat geen vertrouwd anker heeft en niet kan worden gecontroleerd door het iOS-apparaat. MIME-typen voor de server instellen Mogelijk moet u uw webserver zodanig configureren dat het manifest-bestand en het appbestand op de juiste manier worden overgebracht. Voor OS X Server voegt u de volgende MIME-typen toe aan de MIME Types-instellingen van de webvoorziening: application/octet-stream ipa text/xml plist Voor IIS voegt u via IIS Manager het MIME-type op de Properties-pagina van de server toe: .ipa application/octet-stream .plist text/xml Problemen met de draadloze distributie van apps oplossen Als de distributie van een draadloze app mislukt en u de melding krijgt dat downloaden niet mogelijk is, doet u het volgende:

••

Controleer of de app op de juiste manier is ondertekend. U kunt dit testen door de app via Apple Configurator op een apparaat te installeren en te controleren of er zich problemen voordoen.

••

Controleer of de koppeling naar het manifest-bestand juist is en of het manifest-bestand toegankelijk is voor webgebruikers.


96

••

Controleer of de URL naar het .ipa-bestand (in het manifest-bestand) juist is en of het . ipa-bestand via HTTPS toegankelijk is voor webgebruikers.

Vereisten voor netwerkconfiguratie Als de apparaten zijn aangesloten op een gesloten intern netwerk, moet u iOS-apparaten toegang verlenen tot: ••

ax.init.itunes.apple.com: Het apparaat verkrijgt de huidige bestandsgroottelimiet voor het downloaden van apps via het draadloze netwerk. Als deze website niet bereikbaar is, is het mogelijk dat de installatie mislukt.

••

ocsp.apple.com: Het apparaat maakt contact met deze website om de status te controleren van het distributiecertificaat waarmee het voorzieningenprofiel is ondertekend.

Bijgewerkte apps distribueren Apps die u zelf distribueert, worden niet automatisch bijgewerkt. Als u een nieuwe versie voor uw gebruikers hebt, stelt u hen hiervan op de hoogte en geeft u instructies voor het installeren van de app. U kunt overwegen om de app naar updates te laten zoeken en de gebruiker daarvan op de hoogte te laten stellen bij het openen van de app. Als u gebruikmaakt van draadloze appdistributie, kan in het bericht een koppeling worden opgenomen naar het manifest-bestand van de bijgewerkte app. Als u wilt dat gebruikers de appgegevens op hun apparaat bewaren, gebruikt u voor de nieuwe versie de bundle-aanduiding (bundle-identifier) die u ook voor de oude versie hebt gebruikt. Instrueer de gebruikers dat ze de oude versie pas moeten verwijderen nadat ze de nieuwe versie hebben geïnstalleerd. De nieuwe versie vervangt de oude versie en de op het apparaat bewaarde gegevens blijven behouden, maar alleen als de bundle-aanduidingen hetzelfde zijn. Distributievoorzieningenprofielen verlopen 12 maanden nadat ze zijn uitgebracht. Na de verloopdatum wordt het profiel verwijderd en kan de app niet meer worden geopend. U kunt in het iOS Dev Center een nieuw profiel voor de app aanmaken voordat het voorzieningenprofiel verloopt. Tegelijk met het nieuwe voorzieningenprofiel maakt u ook een nieuw app-archief (.ipa) aan voor gebruikers die de app voor het eerst installeren. Als er gebruikers zijn die de app al hebben, is het handig als u de volgende versie van uw app pas uitbrengt wanneer deze het nieuwe voorzieningenprofiel bevat. Als dat niet mogelijk is, kunt u ook alleen het nieuwe .mobileprovision-bestand distribueren, zodat gebruikers de app niet opnieuw hoeven te installeren. Het nieuwe voorzieningenprofiel overschrijft de versie die al in het archief van de app aanwezig is. Voorzieningenprofielen kunnen worden geïnstalleerd en beheerd via een MDM-oplossing en vervolgens via een app-update of via een MDM-oplossing door gebruikers worden gedownload en geïnstalleerd. Als uw distributiecertificaat is verlopen, kan de app niet meer worden gestart. Uw distributiecertificaat is drie jaar geldig vanaf de datum van uitgifte, of totdat uw Enterprise Developer Programlidmaatschap verloopt, als dat eerder is. Om te voorkomen dat uw certificaat verloopt, moet u uw lidmaatschap op tijd verlengen. U kunt twee distributiecertificaten tegelijk actief hebben; ze zijn niet van elkaar afhankelijk. Het tweede certificaat is bedoeld om een overlappingsperiode te bieden waarin u uw apps kunt bijwerken voordat het eerste certificaat verloopt. Let erop dat u uw eerste distributiecertificaat niet intrekt wanneer u het tweede certificaat aanvraagt bij het iOS Dev Center.


97

Certificaatcontrole De eerste keer dat een gebruiker een app opent, wordt het distributiecertificaat gecontroleerd bij de OCSP-server van Apple. Als het certificaat is ingetrokken, kan de app niet worden gestart. Wanneer er geen verbinding met de OCSP-server tot stand kan worden gebracht of wanneer er geen reactie van de server wordt ontvangen, betekent dit niet dat het certificaat is ingetrokken. Om de status te controleren, moet het apparaat in staat zijn om ocsp.apple.com te bereiken. Zie het gedeelte "Vereisten voor netwerkconfiguratie". De OCSP-reactie wordt in een cache op het apparaat bewaard gedurende een door de OCSP-server bepaalde tijd. Momenteel ligt deze tijd tussen drie en zeven dagen. De geldigheid van het certificaat wordt pas opnieuw gecontroleerd wanneer het apparaat opnieuw is gestart en de reactie in de cache is verlopen. Als op dat moment blijkt dat het certificaat is ingetrokken, kan de app niet worden gestart. Zodra een distributiecertificaat wordt ingetrokken, zijn alle apps die u hiermee hebt ondertekend niet meer bruikbaar. U moet een certificaat alleen intrekken als er geen andere oplossingen meer zijn, bijvoorbeeld als u zeker weet dat u de private sleutel niet meer hebt of als u denkt dat er met het certificaat is geknoeid. Voorbeeld van een manifest-bestand van een app items <array> assets <array> kind <string>software-package md5-size 10485760 md5s <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba <string>51fa64bb7a7cae5a46bfb45821ac8bba url <string>https://www.example.com/apps/foo.ipa


98

kind <string>display-image needs-shine <true/> url <string>https://www.example.com/afbeelding.57x57.png kind <string>full-size-image md5 <string>61fa64bb7a7cae5a46bfb45821ac8bba needs-shine <true/> url<string>https://www.example.com/afbeelding.512x512.jpg metadata bundle-identifier <string>com.voorbeeld.fooapp bundle-version <string>1.0 kind <string>software subtitle <string>Apple title <string>Voorbeeld van bedrijfs-app


99

Zie Configuration Profile Key Reference voor meer informatie over profielsleutels en -kenmerken.


100

iosimplementatiehandleiding

Recommend Documents