Referentiehandleiding voor de implementatie van iOS-apparaten
KKApple Inc.
© 2014 Apple Inc. Alle rechten voorbehouden.
Apple, het Apple logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage, iPad, iPhone, iPod, iPod touch, iTunes, Keychain, Mac, MacBook Air, OS X, Passbook, Safari, Siri, Spotlight en Xcode zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. AirPrint, iPad Air, iPad mini en Touch ID zijn handelsmerken van Apple Inc. AppleCare, iCloud, iTunes Store en iTunes U zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. App Store en iBooks Store zijn dienstmerken van Apple Inc. Het Apple logo is een handelsmerk van Apple Inc., dat is gedeponeerd in de Verenigde Staten en andere landen. Zonder voorafgaande schriftelijke toestemming van Apple is het niet toegestaan om het via het toetsenbord op te roepen Apple logo (Option + Shift + K) te gebruiken voor commerciële doeleinden.
Het woordmerk Bluetooth® en de Bluetooth-logo's zijn gedeponeerde handelsmerken die eigendom zijn van Bluetooth SIG, Inc.; deze merken worden door Apple Inc. in licentie gebruikt. IOS is een handelsmerk of gedeponeerd handelsmerk van Cisco in de Verenigde Staten en andere landen dat in licentie wordt gebruikt. Andere in deze handleiding genoemde bedrijfs- of productnamen kunnen handelsmerken van de desbetreffende bedrijven zijn. Vermelding van producten van andere fabrikanten is uitsluitend ter informatie en betekent niet dat deze producten door Apple worden aanbevolen of zijn goedgekeurd. Apple aanvaardt geen enkele aansprakelijkheid met betrekking tot de betrouwbaarheid van deze producten. Alle eventuele afspraken, overeenkomsten en garanties komen rechtstreeks tussen de leverancier en de gebruiker tot stand. Dit document is met de uiterste zorg samengesteld. Apple aanvaardt geen aansprakelijkheid voor druk- of typefouten. N019-00095/1-12-2014
Inhoudsopgave
5 5
Hoofdstuk 1: Referentiehandleiding voor de implementatie van iOSapparaten Inleiding
7 7 7 14
Hoofdstuk 2: Implementatiemodellen
22 22 22 23 24 26 27 28 29 31 35 35 38
Hoofdstuk 3: Infrastructuur en integratie
43 43 43 44 45 45 45 46 46 47 47
Hoofdstuk 4: Internetvoorzieningen
48 48 48 52 53
Hoofdstuk 5: Beveiliging
Overzicht Implementatiemodellen voor het onderwijs Implementatiemodellen voor bedrijven Overzicht Wi-Fi Bonjour AirPlay Digitale certificaten Eenmalige aanmelding (SSO) Op standaarden gebaseerde voorzieningen Microsoft Exchange Virtual Private Networks (VPN) App-gebonden VPN VPN op aanvraag Altijd actieve VPN Overzicht Apple ID Zoek mijn iPhone en Activeringsslot iCloud iCloud-reservekopie iCloud-sleutelhanger iMessage FaceTime Siri Apple ID for Students
Overzicht Beveiliging van apparaten en gegevens Netwerkbeveiliging Beveiliging van apps
3
55 55 55 56 56 62 62 64
Hoofdstuk 6: Configuratie en beheer
65 65 65 68 68 70 70 71
Hoofdstuk 7: Distributie van apps en boeken
73 73 73 73 73 74
Hoofdstuk 8: Ondersteuningsplanning
75 75 79 82
Hoofdstuk 9: Bijlagen
Overzicht Configuratie-assistent en activering Configuratieprofielen MDM (Mobile Device Management) Apparaten onder supervisie stellen Device Enrollment Program Apple Configurator Overzicht Volume Purchase Program (VPP) Maatwerk-B2B-apps Interne apps Interne boeken Apps en boeken implementeren Caching Server
Overzicht AppleCare Help Desk Support AppleCare OS Support AppleCare voor gebruikers van iOS-apparaten iOS Direct Service Program iOS-beperkingen Wi-Fi-infrastructuur Draadloos interne apps installeren
Inhoudsopgave 4
Referentiehandleiding voor de implementatie van iOS-apparaten
1
Inleiding
Deze referentiehandleiding is bedoeld voor IT-beheerders die iOS-apparaten in hun netwerk willen ondersteunen. De handleiding bevat informatie over de implementatie en ondersteuning van iPads, iPhones en iPods touch in grote organisaties, zoals bedrijven en onderwijsinstellingen. Er wordt uitgelegd hoe iOS-apparaten uitgebreide beveiliging bieden, met uw bestaande infrastructuur kunnen worden geïntegreerd en krachtige hulpmiddelen voor beheer vormen. Ook wordt er aandacht besteed aan methoden voor het distribueren van apps en boeken aan uw medewerkers en studenten. Deze handleiding is onderverdeeld in de volgende gedeelten: Implementatiemodellen Er zijn verschillende manieren om iOS-apparaten te implementeren in uw organisatie. Ongeacht het implementatiemodel dat u kiest, is het verstandig om de stappen door te nemen die u moet uitvoeren om de implementatie zo soepel mogelijk te laten verlopen. Hoewel in deze handleiding alle aspecten van een iOS-implementatie aan bod komen, kunnen bedrijven en onderwijsinstellingen de feitelijke implementatie op hun eigen manier uitvoeren. Infrastructuur en integratie iOS-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid aan netwerkinfrastructuren. In dit gedeelte leert u meer over de door iOS ondersteunde technologieën en beproefde methoden voor de integratie met Microsoft Exchange, Wi-Fi, VPN en andere standaardvoorzieningen. Internetvoorzieningen Apple heeft een aantal voorzieningen ontwikkeld die gebruikers helpen om het maximale uit hun apparaten te halen. Het betreft iMessage, FaceTime, Siri, iCloud, iCloud-reservekopie en iCloud-sleutelhanger. In dit gedeelte vindt u ook informatie over het configureren en beheren van Apple ID's die nodig zijn om toegang te krijgen tot deze voorzieningen. Beveiliging iOS is ontworpen voor het bieden van veilige toegang tot zakelijke voorzieningen en het beschermen van belangrijke gegevens. iOS ondersteunt krachtige codering van gegevens tijdens de overdracht, bewezen identiteitscontroles voor toegang tot zakelijke voorzieningen en hardwarematige codering van alle gegevens die worden bewaard op iOS-apparaten. In dit gedeelte vindt u een overzicht van de beveiligingsvoorzieningen van iOS.
5
Configuratie en beheer iOS biedt ondersteuning voor geavanceerde tools en technologieën die ervoor zorgen dat iOS-apparaten eenvoudig zijn in te stellen, kunnen worden geconfigureerd volgens uw eisen en moeiteloos in een grootschalige omgeving kunnen worden beheerd. In dit gedeelte vindt u een beschrijving van de verschillende implementatietools, inclusief een overzicht van mobiel-apparaatbeheer (MDM, Mobile Device Management) en het Device Enrollment Program. Distributie van apps en boeken Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie kunt implementeren. Met de programma's van Apple, zoals het Volume Purchase Program en het iOS Developer Enterprise Program, kan uw organisatie apps en boeken voor interne gebruikers kopen, ontwikkelen en implementeren. In dit gedeelte vindt u gedetailleerde informatie over deze programma's en de manier waarop apps en boeken voor intern gebruik kunnen worden gekocht of gebouwd. Ondersteuningsplanning Apple levert verschillende programma's en ondersteuningsopties voor gebruikers van iOS. Het is daarom een goed idee om eerst te kijken wat er allemaal beschikbaar is voor uw organisatie en om rekening te houden met de ondersteuning die u nodig gaat hebben. De volgende bijlagen bevatten technische gegevens en vereisten: iOS-beperkingen Een beschrijving van de beperkingen die u voor iOS-apparaten kunt opgeven, zodat deze voldoen aan uw vereisten op het gebied van beveiliging, toegangscodes en andere punten. Wi-Fi-infrastructuur Een beschrijving van de Wi-Fi-standaarden die iOS ondersteunt en aandachtspunten bij de planning van een grootschalig Wi-Fi-netwerk. Draadloos interne apps installeren Een beschrijving van de manier waarop u interne apps kunt distribueren via uw eigen webportal. Aanvullende informatiebronnen •• www.apple.com/education/it
••
www.apple.com/ipad/business/it
••
www.apple.com/iphone/business/it
Hoofdstuk 1 Referentiehandleiding voor de implementatie van iOS-apparaten
6
Implementatiemodellen
2
Overzicht
Denk eerst na over de manier waarop u apparaten wilt gaan distribueren en configureren. Er zijn verschillende mogelijkheden, uiteenlopend van configuratie vooraf tot configuratie door medewerkers of studenten zelf. Neem de opties door voordat u aan de slag gaat. De hulpmiddelen en de procedure die u voor de implementatie gebruikt, zijn ook afhankelijk van het specifieke implementatiemodel. ••
Voor het onderwijs zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten: Een-op-een-implementatiemodel met de instelling als eigenaar, implementatiemodel met de student als eigenaar en implementatiemodel voor gedeeld gebruik. Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw instelling meerdere modellen aantreft.
••
In bedrijfsomgevingen kunt u kiezen uit verschillende opties om iOS-apparaten te implementeren in uw organisatie. Ongeacht of u apparaten van het bedrijf gaat implementeren, apparaten gaat delen tussen medewerkers of een BYOD-beleid (Bring Your Own Device) gaat instellen, is het verstandig om de stappen door te nemen die noodzakelijk zijn om de implementatie zo goed mogelijk te laten verlopen.
Als de implementatiemodellen zijn vastgesteld, kan uw team de implementatie- en beheervoorzieningen van Apple in detail gaan bestuderen. Deze hulpmiddelen en programma's worden uitvoerig besproken in dit onderwerp en het is raadzaam deze informatie te bespreken met de belangrijkste belanghebbenden binnen uw organisatie.
Implementatiemodellen voor het onderwijs Overzicht
Met de iPad komen heel veel handige tools beschikbaar in het klaslokaal. Het kiezen van de juiste strategieën en tools kan een totaal andere onderwijservaring opleveren voor zowel docenten, studenten als andere gebruikers. Er zijn heel veel mogelijkheden om apparaten en materiaal op een eenvoudige manier te implementeren en te beheren. Het maakt hierbij niet uit of de instelling iOS-apparaten voor één klas of voor alle klassen implementeert. Implementatiemodellen Voor onderwijsinstellingen zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten: ••
Een-op-een-implementatiemodel met de instelling als eigenaar
••
Implementatiemodel met de student als eigenaar
••
Implementatiemodel voor gedeeld gebruik
Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw instelling meerdere modellen aantreft.
7
Hieronder ziet u enkele voorbeelden van hoe deze modellen in een onderwijsinstelling worden toegepast: ••
Een school voor voortgezet onderwijs kan kiezen voor en-op-een-implementatie met de instelling als eigenaar en dit model implementeren voor alle klassen.
••
Een grote scholengemeenschap kan eerst op één school een proef doen met een-op-eenimplementatie met de instelling als eigenaar en vervolgens hetzelfde model uitrollen op alle scholen die deel uitmaken van de gemeenschap.
••
Een basisschool kan kiezen voor een combinatie van een een-op-een-implementatiemodel met de instelling als eigenaar voor de bovenbouw en een implementatiemodel voor gedeeld gebruik voor de onderbouw.
••
Op hogescholen en universiteiten wordt meestal het implementatiemodel met de student als eigenaar gebruikt op het niveau van een of meer campussen.
Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor uw omgeving het geschiktste is.
Een-op-een-implementatiemodel met de instelling als eigenaar
Een een-op-een-implementatiemodel met de instelling als eigenaar biedt de beste mogelijkheden om door middel van iOS-apparaten het leerproces te verbeteren. Bij een en-op-een-implementatie met de instelling als eigenaar koopt de instelling doorgaans de apparaten voor alle daarvoor in aanmerking komende leerlingen en docenten. Hierbij kan het gaan om een bepaalde groep of klas, maar ook om een afdeling, een hele scholengemeenschap, een bepaalde faculteit of een complete universiteit. In dit model krijgt iedere gebruiker een apparaat toegewezen dat door de instelling wordt geconfigureerd en beheerd. Dit proces kan worden vereenvoudigd en geautomatiseerd via een MDM-oplossing (Mobile Device Management). Dit is een oplossing die speciaal is bedoeld voor het beheren van mobiele apparaten. Als de apparaten rechtstreeks bij Apple worden gekocht, kan uw instelling de inschrijving bij de MDM-oplossing laten automatiseren via het Device Enrollment Program (DEP). De apparaten kunnen in dat geval direct aan de gebruikers worden overhandigd. Als leerlingen jonger zijn dan 13 jaar, kan uw instelling namens hen een Apple ID aanmaken via het programma Apple ID for Students. Nadat de apparaten zijn gedistribueerd, doorlopen gebruikers een gedeeltelijk geautomatiseerde, gestroomlijnde configuratieprocedure, worden ze automatisch ingeschreven bij de MDM-oplossing en kunnen ze hun apparaat verder aanpassen of hun eigen materiaal downloaden. Gebruikers kunnen ook een uitnodiging krijgen om specifiek onderwijsmateriaal te downloaden, zoals apps en boeken die zijn gekocht via het Volume Purchase Program (VPP), of cursussen van iTunes U. Uw instelling kan deze informatiebronnen op elk moment gedurende het schooljaar draadloos aanbieden of bijwerken. Met behulp van Caching Server kan het merendeel van deze downloads afkomstig zijn van het lokale netwerk van de instelling. Als apparaten onder supervisie staan, worden er automatisch apps geïnstalleerd.
Hoofdstuk 2 Implementatiemodellen
8
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een en-op-een-implementatie met de instelling als eigenaar: Voorbereiden
Beheerder: Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. •• Inschrijven bij DEP, VPP en het programma Apple ID for Students. •• Uitpakken en (optioneel) het apparaat van een tag voorzien. •• Apple ID's aanmaken voor leerlingen jonger dan 13 (indien van toepassing).
Gebruikers: •• Apple ID's en accounts voor de iTunes Store en iCloud aanmaken.
••
Instellen en configureren
Beheerder: •• Apparaten toewijzen in DEP ten behoeve van supervisie en gestroomlijnde aanmelding bij de MDM-oplossing. •• Het apparaat configureren en beheren met Apple Configurator (alternatief voor hierboven). •• Accounts, instellingen en beperkingen draadloos configureren en installeren met de MDM-oplossing.
Gebruikers: •• Aan de gebruiker wordt een apparaat uitgereikt. •• Referenties van de instelling in de configuratieassistent invoeren voor DEP (optioneel). •• Het apparaat personaliseren met de configuratieassistent en een persoonlijke Apple ID invoeren. •• De instellingen en configuraties van apparaten worden automatisch ontvangen van de MDM-oplossing.
Apps en boeken distribueren
Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. •• Uitnodiging voor het VPP versturen naar gebruikers. •• Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen.
Gebruikers: •• Uitnodiging voor het VPP accepteren. •• Apps en boeken downloaden en installeren die door de instelling worden toegewezen. •• Als het apparaat onder supervisie staat, kunnen apps op de achtergrond naar het apparaat van de gebruiker worden gepusht.
Doorlopend beheer
Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. •• Apple TV implementeren voor ondersteuning van AirPlay.
Gebruikers: •• Een reservekopie van het apparaat maken in iTunes of iCloud, om documenten en ander persoonlijk materiaal te bewaren. •• Als het apparaat kwijt of gestolen is, kan de gebruiker het apparaat met Zoek mijn iPhone terugvinden.
••
••
Hoofdstuk 2 Implementatiemodellen
9
Aanvullende informatiebronnen Volume Purchase Program Overzicht
•• ••
Mobielapparaatbeheer Overzicht
••
Device Enrollment Program
••
Apple ID for Students
••
Apple ID
••
Apple Configurator
••
Caching Server
••
AirPlay
Implementatiemodel met de student als eigenaar
In het voortgezet en universitair onderwijs nemen studenten meestal hun eigen iOS-apparaat mee. In dit model worden apparaten dan ook ingesteld en geconfigureerd door de student of een ouder. Om voorzieningen van de instelling te kunnen gebruiken, zoals Wi-Fi, e-mail en agenda's, of om het apparaat te configureren voor specifieke doeleinden, worden de eigen apparaten van de studenten meestal aangemeld bij een MDM-oplossing van de instelling. Op basisscholen kan een MDM-oplossing worden ingezet om de eigen apparaten van de leerlingen te beheren. Toegang tot de voorzieningen van een instelling is voor gebruikers een stimulans om hun apparaten aan te melden bij de MDM-server van de organisatie. Hierdoor wordt ervoor gezorgd dat alle configuratie-instellingen, beleidsregels, beperkingen, apps en boeken en al het overige materiaal automatisch en op de achtergrond worden geïmplementeerd, terwijl de instelling daar wel de controle over houdt. Aanmelding bij een MDM-oplossing is niet verplicht. Dit betekent dat studenten materiaal of voorzieningen kunnen verwijderen nadat ze een cursus hebben afgerond, zijn afgestudeerd of de instelling hebben verlaten.
Hoofdstuk 2 Implementatiemodellen
10
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een scenario van het type implementatie met de student als eigenaar: Voorbereiden
Beheerder: Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. •• Inschrijven bij het VPP.
Gebruikers: •• Het apparaat uitpakken en activeren. •• Een Apple ID en accounts voor de iTunes Store en iCloud aanmaken, indien van toepassing.
••
Instellen en configureren
Beheerder: •• Apparaten via de self-servicevoorziening inschrijven en accounts, instellingen en beperkingen draadloos configureren via een MDM-oplossing, op basis van het gebruikers-/groepsbeleid dat door de instelling is gedefinieerd.
Gebruikers: •• Het apparaat personaliseren met de configuratieassistent en (eventueel) een persoonlijke Apple ID invoeren. •• Aanmelden bij de MDM-oplossing.
Apps en boeken distribueren
Beheerder: •• Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. •• Uitnodiging voor het VPP versturen naar gebruikers. •• Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen.
Gebruikers: •• Uitnodiging voor het VPP accepteren. •• Apps en boeken downloaden en installeren die door de instelling worden toegewezen. •• iOS en apps op hun apparaat bijwerken.
Doorlopend beheer
Beheerder: •• Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen.
Gebruikers: •• Een reservekopie van het apparaat maken in iTunes of iCloud, om documenten en ander persoonlijk materiaal te bewaren. •• Als het apparaat kwijt of gestolen is, kan de gebruiker het apparaat met Zoek mijn iPhone terugvinden. •• Wanneer de koppeling met de MDM-oplossing wordt verwijderd, worden ook beheerde accounts en gegevens verwijderd. De persoonlijke apps, boeken, gegevens en inhoud van de gebruiker blijven echter bewaard.
Aanvullende informatiebronnen •• Volume Purchase Program Overzicht
••
Mobielapparaatbeheer Overzicht
••
Apple ID
••
Caching Server
Hoofdstuk 2 Implementatiemodellen
11
Implementatiemodel voor gedeeld gebruik
In het implementatiemodel voor gedeeld gebruik worden iOS-apparaten gekocht voor gebruik in een klaslokaal of practicumlokaal en kunnen de apparaten gedurende de schooldag door verschillende leerlingen worden gebruikt. Deze apparaten worden in beperkte mate aangepast, waardoor het niet mogelijk is om voor iedere leerling een gepersonaliseerde leeromgeving aan te bieden. Deze aanpak is niet alleen geschikt voor een model voor gedeeld gebruik door leerlingen, maar ook voor een een-op-een-implementatie in een sterk gecontroleerde omgeving, zoals in de onderbouw van een basisschool. In dit geval is de personalisering van de apparaten minimaal. Implementaties van het type voor gedeeld gebruik worden strenger beheerd dan gepersonaliseerde implementaties, aangezien de configuratie en het beheer worden uitgevoerd door het personeel van de instelling. In een implementatie voor gedeeld gebruik is de instelling verantwoordelijk voor het installeren van apps, boeken en ander materiaal dat nodig is voor de leerervaring.
Hoofdstuk 2 Implementatiemodellen
12
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een implementatiemodel voor gedeeld gebruik: Voorbereiden
••
Beheerder: Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. •• Inschrijven bij het VPP. •• Uitpakken en (optioneel) het apparaat van een tag voorzien. •• Een of meer Apple ID's voor de instelling aanmaken voor elk exemplaar van Apple Configurator.
Gebruikers: •• Geen actie nodig in deze fase.
Instellen en configureren
••
Beheerder: Apple Configurator gebruiken voor de configuratie en supervisie van apparaten. •• Apple Configurator gebruiken om apparaten in te schrijven bij de MDM-oplossing (optioneel). •• Apple Configurator of de MDM-oplossing gebruiken om accounts, instellingen en beperkingen te installeren.
Gebruikers: •• Geen actie nodig in deze fase.
Apps distribueren
Beheerder: Apps kopen via het VPP en vervolgens implementeren met behulp van inwisselcodes voor installatie en beheer met Apple Configurator.
Gebruikers: •• Geen actie nodig in deze fase.
••
Hoofdstuk 2 Implementatiemodellen
13
Doorlopend beheer
Beheerder: iOS op het apparaat bijwerken met Apple Configurator. •• Accounts, instellingen en beperkingen draadloos bijwerken, configureren en installeren met de MDM-oplossing of Apple Configurator. •• Periodiek de standaardconfiguratie van apparaten herstellen met Apple Configurator. •• Apps op het apparaat installeren en bijwerken met Apple Configurator. •• Met behulp van een MDM-oplossing kunt u gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. •• Het is essentieel om regelmatig een reservekopie te maken van de Mac waarop Apple Configurator wordt uitgevoerd, aangezien de aankopen via het VPP lokaal worden beheerd.
Gebruikers: •• Geen actie nodig in deze fase.
••
Aanvullende informatiebronnen Volume Purchase Program Overzicht
•• ••
Mobielapparaatbeheer Overzicht
••
Apple ID
••
Apple Configurator
Implementatiemodellen voor bedrijven Overzicht
iOS-apparaten zoals een iPad en iPhone kunnen een radicale hervorming in uw bedrijf teweegbrengen. De productiviteit kan aanzienlijk toenemen, terwijl uw medewerkers de vrijheid en flexibiliteit krijgen om zowel op kantoor als onderweg anders te gaan werken. Als u voor deze nieuwe manier van werken kiest, levert dat voor de gehele organisatie voordelen op. Zo hebben gebruikers een betere toegang tot informatie, waardoor ze met een goede onderbouwing tot creatieve oplossingen van problemen kunnen komen. Ondersteuning van iOS door de IT-afdelingen betekent dat ze vorm geven aan de bedrijfsstrategie en echte problemen oplossen, in plaats van technologieproblemen op te lossen en kosten te besparen. Uiteindelijk zijn de voordelen overal zichtbaar: medewerkers die zeer productief zijn en overal nieuwe zakelijke kansen. Ongeacht of het om een grote of kleine organisatie gaat, zijn er verschillende eenvoudige manieren om iOS-apparaten en materiaal eenvoudig te implementeren en te beheren.
Hoofdstuk 2 Implementatiemodellen
14
Het is belangrijk dat u eerst vaststelt welk implementatiemodel het beste bij uw organisatie past. Afhankelijk van het model dat u kiest, kan Apple verschillende implementatie- en beheertools aanbieden. Implementatiemodellen Voor het bedrijfsleven zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten: ••
Gepersonaliseerd apparaat (BYOD)
••
Gepersonaliseerd apparaat (eigendom van bedrijf )
••
Niet-gepersonaliseerd (gedeeld) apparaat
Hoewel de meeste organisaties de voorkeur geven aan een bepaald model, bestaat de kans dat u meerdere modellen aantreft binnen uw organisatie. Zo kan een detailhandelsorganisatie kiezen voor de strategie Gepersonaliseerd apparaat (BYOD) door medewerkers toe te staan hun eigen iPad te configureren, terwijl gegevens en programma's van het bedrijf gescheiden blijven van de persoonlijke gegevens en apps van de gebruiker. In de winkels van de onderneming kan echter ook de strategie Niet-gepersonaliseerd (gedeeld) apparaat worden toegepast, zodat iPods touch worden gedeeld door verschillende medewerkers om transacties voor klanten te verwerken. Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor uw omgeving het geschiktste is.
Gepersonaliseerd apparaat (BYOD)
Als u kiest voor een implementatie van het type Gepersonaliseerd apparaat (BYOD), configureren gebruikers hun eigen apparaten met hun eigen Apple ID. Gebruikers kunnen op verschillende manieren toegang krijgen tot de informatiebronnen van het bedrijf. Zo kunnen ze instellingen handmatig configureren, een configuratieprofiel installeren of het apparaat aanmelden bij de MDM-oplossing van de organisatie. Deze laatste variant wordt het meest toegepast. Een voordeel van het aanmelden van persoonlijke apparaten bij een MDM-oplossing is dat de informatie van het bedrijf gescheiden blijft van de persoonlijke gegevens en apps van de gebruiker. U kunt instellingen afdwingen, controleren of het beleid van het bedrijf wordt nageleefd en zakelijke gegevens en apps verwijderen, en tegelijkertijd persoonlijke gegevens en apps op het apparaat laten staan.
Hoofdstuk 2 Implementatiemodellen
15
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een scenario van het type Gepersonaliseerd apparaat (BYOD): Voorbereiden
Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. •• Inschrijven bij het VPP.
Gebruikers: •• Het apparaat uitpakken en activeren. •• Een Apple ID en accounts voor de iTunes Store en iCloud aanmaken, indien van toepassing.
Instellen en configureren
Beheerder: Apparaten aanmelden en accounts, instellingen en beperkingen draadloos configureren via een MDM-oplossing, op basis van het gebruikers-/ groepsbeleid dat door de organisatie is gedefinieerd. •• Organisaties kunnen er ook voor kiezen om aan gebruikers instellingen voor individuele accounts te verstrekken en om beleidsregels via Exchange te versturen of met een configuratieprofiel te installeren.
Gebruikers: •• Aanmelden bij de MDM-oplossing. •• De instellingen en configuraties van apparaten worden automatisch ontvangen van de MDM-oplossing. •• Een alternatief is dat gebruikers handmatig configuratieprofielen installeren of de door u opgegeven instellingen configureren.
Apps en boeken distribueren
Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. •• Uitnodiging voor het VPP versturen naar gebruikers. Als u inwisselcodes gebruikt, kunt u deze per e-mail of via een interne website beschikbaar stellen. •• Interne apps uit het iOS Developer Enterprise Program (iDEP) en interne boeken kunt u distribueren door ze op een webserver te hosten of via de MDM-oplossing aan te leveren. •• Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen.
Gebruikers: •• Uitnodiging voor het VPP accepteren. •• Apps en boeken downloaden en installeren die door de organisatie worden toegewezen.
Doorlopend beheer
Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen.
Gebruikers: •• Een reservekopie van het apparaat maken in iTunes of iCloud, om documenten en ander persoonlijk materiaal te bewaren. •• Als het apparaat kwijt of gestolen is, kan de gebruiker het apparaat met Zoek mijn iPhone terugvinden. •• Wanneer de koppeling met de MDM-oplossing wordt verwijderd, worden ook beheerde accounts en gegevens verwijderd. De persoonlijke apps, boeken, gegevens en inhoud van de gebruiker blijven echter bewaard.
••
••
••
••
Hoofdstuk 2 Implementatiemodellen
16
Aanvullende informatiebronnen Volume Purchase Program Overzicht
•• ••
Mobielapparaatbeheer Overzicht
••
Apple ID
••
Caching Server
Gepersonaliseerd apparaat (eigendom van bedrijf)
Kies het model Gepersonaliseerd apparaat (eigendom van bedrijf ) als u iOS-apparaten wilt implementeren die het eigendom zijn van uw organisatie. U kunt de apparaten desgewenst configureren met basisinstellingen voordat u ze aan de gebruikers geeft. Een andere mogelijkheid is om (net als bij de variant met BYOD) instructies of configuratieprofielen te verstrekken, zodat gebruikers de configuratie zelf kunnen uitvoeren. Een derde mogelijkheid is dat de gebruikers hun apparaten inschrijven bij een MDM-oplossing, waarna instellingen en apps draadloos naar het apparaat worden overgebracht. Gebruikers kunnen hun apparaat vervolgens aanpassen met hun eigen apps en gegevens, die gescheiden worden opgeslagen van de beheerde apps en gegevens van uw organisatie.
Hoofdstuk 2 Implementatiemodellen
17
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een scenario van het type Gepersonaliseerd apparaat (eigendom van bedrijf ): Voorbereiden
••
Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. •• Inschrijven bij het Device Enrollment Program (DEP) en het Volume Purchase Program (VPP).
Gebruikers: •• Een Apple ID en accounts voor de iTunes Store en iCloud aanmaken, indien van toepassing.
Instellen en configureren
Beheerder: Via de website van het Device Enrollment Program uw virtuele servers koppelen aan de MDM-oplossing. •• De inschrijving via het Device Enrollment Program stroomlijnen door apparaten op ordernummer of serienummer toe te wijzen aan virtuele MDM-servers. •• Apparaten toewijzen in DEP ten behoeve van supervisie en gestroomlijnde aanmelding bij de MDM-oplossing. •• Het apparaat configureren en beheren met Apple Configurator (alternatief voor hierboven). •• Accounts, instellingen en beperkingen draadloos configureren met de MDM-oplossing of via een USB-verbinding en Apple Configurator.
Gebruikers: •• De gebruiker krijgt een iOS-apparaat ter beschikking. Als het apparaat is geconfigureerd met Apple Configurator, hoeft de gebruiker geen instellingen meer op te geven. •• Referenties van de instelling in de configuratieassistent invoeren voor DEP (optioneel). •• Het apparaat personaliseren met de configuratieassistent en een persoonlijke Apple ID invoeren. •• Aanmelden bij de MDM-oplossing. •• De instellingen en configuraties van apparaten worden automatisch ontvangen van de MDM-oplossing.
Apps en boeken distribueren
Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. •• Uw token downloaden uit de VPP Store en koppelen aan de MDM-oplossing. •• Uitnodiging voor het VPP versturen naar gebruikers. Als u inwisselcodes gebruikt, kunt u deze per e-mail of via een interne website beschikbaar stellen. •• Interne apps uit het iOS Developer Enterprise Program (iDEP) en interne boeken kunt u distribueren door ze op een webserver te hosten of via de MDM-oplossing aan te leveren. •• Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen.
Gebruikers: •• Uitnodiging voor het VPP accepteren. •• Apps en boeken downloaden en installeren die door de organisatie worden toegewezen. •• Als het apparaat onder supervisie staat, kunnen apps op de achtergrond naar het apparaat van de gebruiker worden gepusht.
••
••
Hoofdstuk 2 Implementatiemodellen
18
Doorlopend beheer
Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen.
Gebruikers: •• Een reservekopie van het apparaat maken in iTunes of iCloud, om documenten en ander persoonlijk materiaal te bewaren. •• Als het apparaat kwijt of gestolen is, kan de gebruiker het apparaat met Zoek mijn iPhone terugvinden.
••
Aanvullende informatiebronnen Volume Purchase Program Overzicht
•• ••
Mobielapparaatbeheer Overzicht
••
Device Enrollment Program
••
Apple ID
••
Apple Configurator
••
Caching Server
Niet-gepersonaliseerd (gedeeld) apparaat
Als apparaten door verschillende mensen worden gedeeld of voor één specifiek doel worden gebruikt (zoals in een restaurant of hotel), worden deze apparaten meestal door u geconfigureerd en beheerd en niet door een individuele gebruiker. Bij een implementatie met niet-gepersonaliseerde, gedeelde apparaten bewaren gebruikers meestal geen persoonlijke gegevens en kunnen ze geen apps installeren. Niet-gepersonaliseerde apparaten worden meestal beheerd met Apple Configurator en worden ingeschreven bij een MDM-oplossing. Op deze manier kan het materiaal op het apparaat worden vernieuwd of hersteld als een gebruiker wijzigingen heeft aangebracht.
Hoofdstuk 2 Implementatiemodellen
19
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een scenario van het type Niet-gepersonaliseerd (gedeeld) apparaat: Voorbereiden
••
Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. •• Inschrijven bij het Volume Purchase Program (VPP).
Gebruikers: •• Geen actie nodig in deze fase.
Instellen en configureren
••
Beheerder: Uitpakken en (optioneel) het apparaat van een tag voorzien. •• Apple Configurator gebruiken voor de configuratie en supervisie van apparaten. •• Apple Configurator gebruiken om apparaten in te schrijven bij de MDM-oplossing (optioneel). •• Apple Configurator of de MDM-oplossing gebruiken om accounts, instellingen en beperkingen te installeren.
Gebruikers: •• Geen actie nodig in deze fase.
Apps distribueren
Beheerder: Apps kopen via het VPP en vervolgens implementeren met behulp van inwisselcodes voor installatie en beheer met Apple Configurator. •• Interne apps met Apple Configurator distribueren vanuit het iOS Developer Enterprise Program (iDEP). •• Interne boeken distribueren door deze te hosten op een webserver of via de MDM-oplossing.
Gebruikers: •• Geen actie nodig in deze fase.
••
Hoofdstuk 2 Implementatiemodellen
20
Doorlopend beheer
Beheerder: iOS op het apparaat bijwerken met Apple Configurator. •• Accounts, instellingen en beperkingen draadloos bijwerken, configureren en installeren met de MDM-oplossing of Apple Configurator. •• Periodiek de standaardconfiguratie van apparaten herstellen met Apple Configurator. •• Apps op het apparaat installeren en bijwerken met Apple Configurator. •• Met behulp van een MDM-oplossing kunt u gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. •• Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. •• Het is essentieel om regelmatig een reservekopie te maken van de Mac waarop Apple Configurator wordt uitgevoerd, aangezien de aankopen via het VPP lokaal worden beheerd.
Gebruikers: •• Geen actie nodig in deze fase.
••
Aanvullende informatiebronnen Volume Purchase Program Overzicht
••
••
Mobielapparaatbeheer Overzicht
••
Apple ID
••
Apple Configurator
Hoofdstuk 2 Implementatiemodellen
21
Infrastructuur en integratie
3
Overzicht
iOS-apparaten ondersteunen allerlei netwerkinfrastructuren, waaronder de volgende: ••
Standaard-Wi-Fi-protocollen voor gegevensoverdracht en codering
••
Lokale netwerken die Bonjour gebruiken
••
Kabelvrije verbindingen naar Apple TV via AirPlay
••
Digitale certificaten voor identiteitscontrole en veilige communicatie
••
Eenmalige aanmelding voor gestroomlijnde identiteitscontrole bij apps en voorzieningen in het netwerk
••
Op standaarden gebaseerde voorzieningen voor e-mail, adreslijsten, agenda's en andere systemen
••
Microsoft Exchange en andere systemen van andere leveranciers
••
VPN's (Virtual Private Network), waaronder app-gebonden VPN's en altijd actieve VPN's
Deze ondersteuning is ingebouwd in iOS, wat als voordeel heeft dat uw IT-afdeling maar een paar instellingen hoeft te configureren om iOS-apparaten te integreren in uw bestaande infrastructuur. Lees verder voor meer informatie over door iOS ondersteunde technologieën en richtlijnen voor het bedrijfsleven en het onderwijs.
Wi-Fi
iOS-apparaten kunnen zonder aanpassingen op een veilige manier verbinding maken met Wi-Finetwerken van het bedrijf of van andere organisaties die hun netwerk hebben opengesteld. Hierdoor hebben gebruikers snel en eenvoudig toegang tot beschikbare draadloze netwerken, ook als ze onderweg zijn. Opmerking: De gebruikers en hun iOS-apparaten moeten toegang hebben tot uw draadloze netwerk en internetvoorzieningen om het apparaat te configureren. Het kan nodig zijn om uw webproxy of firewallpoorten te configureren, als blijkt dat apparaten geen toegang kunnen krijgen tot de activeringsservers van Apple, iCloud of de iTunes Store. Zie het Apple Support-artikel Bekende TCP- en UDP-poorten die worden gebruikt door Apple-software voor een lijst met poorten die door Apple apparaten worden gebruikt. Wi-Fi-doorvoersnelheid Als u van plan bent om iOS-apparaten te gaan implementeren in uw organisatie, is het belangrijk dat uw Wi-Fi-netwerk en ondersteunende infrastructuur stabiel en bijgewerkt zijn. Een consistente en betrouwbare toegang tot een krachtig netwerk is essentieel voor het instellen en configureren van iOS-apparaten. Daarnaast wordt het succes van de implementatie voor een groot deel bepaald door de mogelijkheid om meerdere apparaten te ondersteunen met gelijktijdige verbindingen van al uw medewerkers, studenten of docenten.
22
Aanmelden bij een Wi-Fi-netwerk Gebruikers kunnen instellen dat iOS-apparaten automatisch verbinding maken met beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit apps als Mail snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere gegevens vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te openen. Doordat de Wi-Fi-verbinding niet wordt verbroken en weinig batterijstroom vraagt, kunnen apps bovendien via het Wi-Fi-netwerk pushberichten versturen. U kunt instellingen configureren voor het draadloze netwerk, de beveiliging, een proxyserver en identiteitscontrole. Hiervoor gebruikt u configuratieprofielen of een MDM-oplossing (een oplossing voor het beheer van mobiele apparaten). WPA2-Enterprise iOS ondersteunt standaardprotocollen voor draadloze netwerken, waaronder WPA2-Enterprise, zodat draadloze bedrijfsnetwerken veilig kunnen worden benaderd vanaf iOS-apparaten. WPA2 Enterprise maakt gebruik van 128-bits AES-codering, wat inhoudt dat de gegevens van gebruikers veilig blijven. Dankzij ondersteuning voor 802.1x-identiteitscontrole kan iOS in uiteenlopende RADIUSserveromgevingen worden geïntegreerd. iOS ondersteunt meerdere protocollen voor draadloze 802.1x-identiteitscontrole, zoals EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, IKEv2, PEAPv0, PEAPv1 en LEAP.ara Roaming Voor roaming op grote Wi-Fi-bedrijfsnetwerken biedt iOS ondersteuning voor 802.11k en 802.11r. Dankzij 802.11k, dat gebruikmaakt van de rapportages van de toegangspunten, kunnen iOS-apparaten gemakkelijker overgaan naar een ander Wi-Fi-toegangspunt. 802.11r stroomlijnt identiteitscontrole met 802.1x wanneer een apparaat van het ene naar het volgende toegangspunt gaat.
Bonjour
Bonjour is het op standaarden gebaseerde netwerkprotocol van Apple waarbij configuratie overbodig is en waarmee apparaten automatisch voorzieningen in een netwerk kunnen opsporen. iOS-apparaten gebruiken Bonjour om te zien of er AirPrint-printers en AirPlayapparaten zoals Apple TV beschikbaar zijn. Sommige apps gebruiken Bonjour ook voor peer-topeer samenwerking en delen. Bonjour maakt gebruik van multicastverkeer om de beschikbaarheid van voorzieningen bekend te maken. Multicastverkeer wordt meestal niet gerouteerd. Zorg er daarom voor dat Apple TV's of AirPrint-printers zich in hetzelfde IP-subnet bevinden als de iOS-apparaten die er gebruik van willen maken. Als uw netwerk groter is en uit veel IP-subnetten bestaat, kan het een goed idee zijn om een Bonjour-gateway te gebruiken. Dergelijke apparaten worden aangeboden door verschillende fabrikanten van Wi-Fi-infrastructuren. Meer informatie over Bonjour kunt u lezen op de webpagina Bonjour van Apple.
Hoofdstuk 3 Infrastructuur en integratie
23
AirPlay
iOS 8 ondersteunt de mogelijkheid om materiaal van een iOS-apparaat te streamen naar een Apple TV, zelfs als de apparaten deel uitmaken van verschillende netwerken of als er geen netwerk beschikbaar is. Het iOS-apparaat gebruikt BTLE (Bluetooth Low Energy) om het detectieproces van beschikbare Apple TV's te starten en maakt vervolgens via Wi-Fi rechtstreeks verbinding met de Apple TV. In iOS 8 kan een gebruiker via peer-to-peer AirPlay rechtstreeks vanaf een ondersteund iOSapparaat of een Mac streamen naar een Apple TV zonder dat eerst verbinding hoeft te worden gemaakt met het infrastructuurnetwerk. Bij peer-to-peer AirPlay is het niet nodig om verbinding te maken met het juiste netwerk of om Wi-Fi-wachtwoorden vrij te geven. Op deze manier worden problemen met de bereikbaarheid in complexe netwerkomgevingen voorkomen. Er wordt een rechtstreeks pad opgezet tussen de AirPlay-zender en de AirPlay-ontvanger, waardoor de prestaties optimaal zijn. Peer-to-peer AirPlay is standaard ingeschakeld in iOS 8 en Mac OS X Yosemite versie 10.10, en de gebruiker hoeft niets te configureren. Voor Peer-to-peer AirPlay is het volgende nodig: ••
Apple TV (derde generatie revisie A, model A1469 of hoger) met Apple TV-software versie 7.0
••
iOS-apparaten (2012 of hoger) met iOS 8
••
Mac-computers (2012 of hoger) met OS X Yosemite versie 10.10
Zie het Apple Support-artikel Identifying Apple TV models als u wilt weten hoe u het modelnummer van een Apple TV kunt vinden. Dit artikel is vooralsnog alleen in het Engels beschikbaar. Peer-to-peer detectie wordt gestart door BTLE wanneer een gebruiker AirPlay selecteert op een apparaat met iOS 8 of OS X Yosemite versie 10.10. Hierdoor gaan het apparaat en de Apple TV naar Wi-Fi-kanaal 149 in de 5-GHz band en Wi-Fi-kanaal 6 in de 2,4-GHz band, waar het detectieproces wordt voortgezet. Nadat de gebruiker een Apple TV heeft geselecteerd en AirPlay is gestart, verdelen de Wi-Fi-radio's de tijd over kanaal 149 en het infrastructuurkanaal dat door de andere apparaten wordt gebruikt. Indien mogelijk roamt de AirPlay-zender naar het infrastructuurkanaal dat door de Apple TV wordt gebruikt. Als geen van de apparaten een infrastructuurnetwerk gebruikt, gebruiken de apparaten Wi-Fi-kanaal 149 alleen voor AirPlay. Synchrone AirPlay-weergave voldoet aan de 802.11-standaarden voor het delen van Wi-Fibandbreedte met andere Wi-Fi-apparaten. Als u Apple TV's gaat implementeren in een groot Wi-Fi-bedrijfsnetwerk, zijn de volgende richtlijnen van belang: ••
Verbind de Apple TV's via Ethernet wanneer dat mogelijk is
••
Gebruik Wi-Fi-kanaal 149 of 153 niet voor uw infrastructuurnetwerk
••
Plaats of monteer de Apple TV's niet achter objecten die de BLE- en Wi-Fi-signalen kunnen verstoren
Opmerking: BLE-detectie is een afzonderlijke subset van peer-to-peer AirPlay. AirPlay-detectie iOS-apparaten en Mac-computers blijven de momenteel beschikbare detectiemethoden gebruiken om AirPlay-ontvangers te vinden. AirPlay-ontvangers kunnen zichzelf bekendmaken via Bonjour of Bluetooth. Voor detectie via Bluetooth is iOS 7.1 of hoger vereist op de volgende apparaten: ••
iPad Air
Hoofdstuk 3 Infrastructuur en integratie
24
••
Apple TV (derde generatie of nieuwer) met software versie 6.1 of hoger
••
iPhone 4s of nieuwer
••
iPad derde generatie of nieuwer
••
iPad mini eerste generatie of nieuwer
••
iPod touch vijfde generatie of nieuwer
Zie het Apple Support-artikel Identifying Apple TV models als u wilt weten hoe u het modelnummer van een Apple TV kunt vinden. Dit artikel is vooralsnog alleen in het Engels beschikbaar. Gedetecteerde AirPlay-ontvangers worden weergegeven in het AirPlay-menu. Connectiviteit 'Infrastructuur' en 'Peer-to-peer' zijn de twee modi die worden ondersteund bij AirPlayconnectiviteit. Als zowel de AirPlay-zender als de AirPlay-ontvanger peer-to-peer AirPlay ondersteunen, is dat het aanbevolen gegevenstraject, ongeacht de beschikbaarheid van een infrastructuurnetwerk. Peer-to-peer AirPlay kan samen worden gebruikt met infrastructuurverbindingen. Dit betekent dat de AirPlay-client of AirPlay-zender tegelijkertijd een internetverbinding en een peer-to-peer verbinding kan hebben. De 5-GHz band is beter voor verbindingen via peer-to-peer AirPlay, omdat deze band een snelle, rechtstreekse verbinding biedt tussen de AirPlay-zender en de AirPlay-ontvanger. Opmerking: Als peer-to-peer AirPlay niet wordt ondersteund door de AirPlay-zender of AirPlayontvanger, wordt automatisch de infrastructuurverbinding gebruikt. Beveiliging AirPlay maakt gebruik van AES-codering om ervoor te zorgen dat materiaal ook beveiligd is wanneer dit vanaf een iOS- of Mac-apparaat synchroon of via een stream wordt weergegeven op een Apple TV. De toegang van AirPlay tot een Apple TV kan worden beperkt met een schermcode of wachtwoord. Alleen gebruikers die op hun iOS- of Mac-apparaat de schermcode invoeren (telkens wanneer ze AirPlay gaan gebruiken) of hun wachtwoord invoeren, kunnen AirPlaymateriaal versturen naar een Apple TV. Als 'Vraag om apparaatcontrole' is ingeschakeld, moet er een identiteitscontrole voor het iOS- of Mac-apparaat worden uitgevoerd bij de eerste AirPlay-verbinding. (Voor deze optie is een iOSapparaat met iOS 7.1 of hoger of een Mac met OS X Mavericks versie 10.9.2 of hoger vereist.) De optie 'Vraag om apparaatcontrole' is handig wanneer een Apple TV is geïmplementeerd in een open Wi-Fi-netwerk. Om er zeker van te zijn dat iOS- en Mac-apparaten veilig worden gekoppeld, moet de gebruiker één keer een schermcode invoeren. Voor daaropvolgende verbindingen is dit niet nodig, tenzij er instellingen voor de schermcode zijn ingeschakeld. Peer-to-peer AirPlay wordt altijd beveiligd met 'Vraag om apparaatcontrole'. Deze instelling kan niet worden geconfigureerd door de gebruiker en voorkomt dat onbevoegde gebruikers in de buurt toegang tot de Apple TV hebben. Opmerking: Voor apparaten die geen deel uitmaken van een infrastructuurnetwerk zorgt Bluetooth ervoor dat ondersteunde Apple TV's (A1469 of hoger) via Bonjour bekend worden gemaakt.
Hoofdstuk 3 Infrastructuur en integratie
25
Digitale certificaten
iOS biedt ondersteuning voor digitale certificaten, zodat uw organisatie op een veilige en gestroomlijnde manier toegang heeft tot de bedrijfsvoorzieningen. Een digitaal certificaat is een vorm van identificatie die een snelle identiteitscontrole, gegevensintegriteit en codering waarborgt. Een digitaal certificaat bestaat uit een publieke sleutel plus gegevens over de gebruiker en de certificaatautoriteit die het certificaat heeft verstrekt. Certificaten kunnen op verschillende manieren worden gebruikt. Het ondertekenen van gegevens met een digitaal certificaat voorkomt dat de gegevens kunnen worden gewijzigd. Certificaten kunnen worden gebruikt om de identiteit van de auteur of "ondertekenaar" te garanderen. Bovendien kunt u met behulp van digitale certificaten configuratieprofielen en de netwerkcommunicatie coderen, zodat vertrouwelijke informatie ook echt vertrouwelijk blijft. Safari kan bijvoorbeeld de geldigheid van een digitaal X.509-certificaat controleren en via AEScodering (tot 256 bits) een veilige sessie starten. Er wordt gecontroleerd of de identiteit van de website geldig is en of de communicatie met de website wordt gecodeerd, zodat persoonlijke of vertrouwelijke gegevens niet door derden kunnen worden onderschept. Certificaten gebruiken in iOS iOS biedt standaard een aantal vooraf geïnstalleerde rootcertificaten. Lees het Apple Supportartikel Lijst met beschikbare, vertrouwde rootcertificaten voor meer informatie. iOS kan certificaten draadloos bijwerken als de veiligheid van een van de vooraf geïnstalleerde rootcertificaten in het geding is. Deze voorziening kan eventueel worden uitgeschakeld met een beperking die het draadloos bijwerken van certificaten voorkomt. Dit is een lijst met ondersteunde certificaat- en identiteitsstructuren: ••
X.509-certificaten met RSA-sleutels
••
De bestandsextensies .cer, .crt, .der, .p12 en .pfx
Als u een rootcertificaat gebruikt dat nog niet is geïnstalleerd, zoals een zelfondertekend rootcertificaat dat door uw organisatie is aangemaakt, kunt u dit distribueren op een van de manieren die hieronder worden genoemd. Certificaten distribueren en installeren Het distribueren van certificaten naar iOS-apparaten is heel simpel. Zodra een gebruiker het certificaat heeft ontvangen, hoeft hij er alleen maar op te tikken om de inhoud te bekijken en om het certificaat aan zijn apparaat toe te voegen. Wanneer een identiteitscertificaat wordt geïnstalleerd, moet de gebruiker de wachtwoordzin opgeven waarmee dit certificaat wordt beveiligd. Als de echtheid van een certificaat niet kan worden gecontroleerd, wordt het als niet-vertrouwd aangemerkt en kan de gebruiker zelf beslissen of hij of zij het toch aan het apparaat wil toevoegen. Certificaten installeren via configuratieprofielen Wanneer er configuratieprofielen worden gebruikt om instellingen voor bedrijfsvoorzieningen als Exchange, VPN of Wi-Fi te distribueren, kunnen met het oog op een gestroomlijnde implementatie certificaten aan het profiel worden toegevoegd. Hierbij is het ook mogelijk om certificaten via een MDM-oplossing te distribueren. Certificaten installeren via Mail of Safari Als een certificaat per e-mail wordt verstuurd, wordt het certificaat als bijlage aan het bericht toegevoegd. Certificaten kunnen ook van een webpagina worden gedownload met Safari. U kunt een certificaat op een beveiligde website hosten en de gebruikers de URL geven, zodat ze het certificaat op hun apparaat kunnen downloaden.
Hoofdstuk 3 Infrastructuur en integratie
26
Certificaten verwijderen en intrekken Als u een geïnstalleerd certificaat handmatig wilt verwijderen, kiest u 'Instellingen' > 'Algemeen' > 'Apparaatbeheer', selecteert u een profiel, kiest u 'Meer details' en kiest u het certificaat dat u wilt verwijderen. Als een gebruiker een certificaat verwijdert dat nodig is om toegang tot een account of netwerk te krijgen, kan het apparaat geen verbinding meer maken met deze voorzieningen. Een MDM-server kan alle certificaten op een apparaat afgaan en door de server geïnstalleerde certificaten verwijderen. Ook de protocollen OCSP (Online Certificate Status Protocol) en CRL (Certificate Revocation List) worden ondersteund voor het controleren van de status van certificaten. Als een certificaat wordt gebruikt dat geschikt is voor OCSP of CRL, wordt in iOS regelmatig gecontroleerd of dit certificaat niet is ingetrokken.
Eenmalige aanmelding (SSO)
In iOS 7 of hoger kunnen apps via Kerberos gebruikmaken van een bestaande infrastructuur voor eenmalige aanmelding. Eenmalige aanmelding kan voor gebruikers prettig zijn, omdat zij maar één keer hun wachtwoord hoeven in te voeren. Ook wordt de beveiliging van het dagelijkse appgebruik verhoogd, doordat ervoor wordt gezorgd dat wachtwoorden nooit draadloos worden verstuurd. Het Kerberos-systeem voor identiteitscontrole dat door iOS 7 of hoger wordt gebruikt, is wereldwijd de meestgebruikte technologie voor eenmalige aanmelding. Als u werkt met Active Directory, eDirectory of Open Directory, is er waarschijnlijk al een Kerberos-systeem beschikbaar dat door iOS 7 of hoger kan worden gebruikt. iOS-apparaten moeten via een netwerkverbinding contact kunnen maken met de Kerberos-voorziening om de identiteit van gebruikers te controleren. In iOS 8 kunnen certificaten worden gebruikt om een Kerberos-ticket op de achtergrond te vernieuwen, zodat gebruikers verbindingen kunnen opzetten met bepaalde voorzieningen die voor identiteitscontrole vertrouwen op Kerberos. Ondersteunde apps iOS biedt een flexibele ondersteuning voor eenmalige aanmelding via Kerberos voor elke app die de klasse "NSURLConnection" of "NSURLSession" gebruikt voor het beheer van netwerkverbindingen en identiteitscontrole. Apple voorziet alle ontwikkelaars van deze hoogwaardige frameworks om ervoor te zorgen dat netwerkverbindingen naadloos in hun apps worden geïntegreerd. Apple levert ook Safari, als voorbeeld van een programma met native gebruik van websites die eenmalige aanmelding ondersteunen. Eenmalige aanmelding configureren U configureert eenmalige aanmelding met behulp van configuratieprofielen, die handmatig kunnen worden geïnstalleerd of met een MDM-oplossing kunnen worden beheerd. De payload voor eenmalige aanmelding maakt een flexibele configuratie mogelijk. Eenmalige aanmelding kan worden toegestaan voor alle apps, maar kan ook worden beperkt op basis van de app-ID, de service-URL of beide.
Hoofdstuk 3 Infrastructuur en integratie
27
Er wordt een eenvoudige patroonvergelijking gebruikt voor URL's die moeten beginnen met "http://" of "https://". Aangezien de volledige URL's worden vergeleken, moet u ervoor zorgen dat ze exact hetzelfde zijn. De waarde "https://www.example.com/" voor URLPrefixMatches komt bijvoorbeeld niet overeen met "https://www.example.com:443/". U kunt "http://" of "https://" opgeven om het gebruik van eenmalige aanmelding te beperken tot reguliere dan wel beveiligde HTTP-diensten. Als u bijvoorbeeld de waarde "https://" gebruikt voor URLPrefixMatches, kan de account voor eenmalige aanmelding alleen worden gebruikt met beveiligde HTTPS-voorzieningen. Als een URL-vergelijkingspatroon niet wordt afgesloten met een schuine streep (/), wordt er een schuine streep (/) toegevoegd. De AppIdentifierMatches-matrix moet tekenreeksen bevatten die overeenkomen met appbundel-ID's. Deze tekenreeksen moeten volledig overeenkomen (bijvoorbeeld "com.mijnbedrijf. mijnapp") of een voorvoegsel voor de bundel-ID bevatten in de vorm van het jokerteken (*). Het jokerteken moet na een punt (.) komen en mag uitsluitend aan het eind van een tekenreeks worden gebruikt (bijvoorbeeld "com.mijnbedrijf.*"). Als er een jokerteken wordt gebruikt, krijgt elke app waarvan de bundel-ID met het voorvoegsel begint, toegang tot de gegevens van de ingelogde gebruiker.
Op standaarden gebaseerde voorzieningen
Dankzij ondersteuning voor het IMAP-mailprotocol, LDAP-adreslijstvoorzieningen, het CalDAV-agendaprotocol en het CardDAV-contactprotocol, is iOS compatibel met vrijwel elke op standaarden gebaseerde omgeving. Als voor toegang tot het netwerk identiteitscontrole en SSL zijn ingesteld, kan via iOS op een veilige manier toegang worden verkregen tot op standaarden gebaseerde zakelijke e-mail, agenda's, taken en contactgegevens. iOS biedt ondersteuning voor SSL met 128-bits-codering en X.509-certificaten afkomstig van de belangrijkste certificaatautoriteiten. In de meeste gevallen maken iOS-apparaten rechtstreeks verbinding met IMAP- en SMTPmailservers om e-mail draadloos te versturen en te ontvangen, om de VIP-status in te stellen in berichtenreeksen en om notities draadloos te synchroniseren met IMAP-servers. iOS-apparaten kunnen verbinding maken met de LDAPv3-adreslijsten van uw organisatie, zodat de gebruikers toegang hebben tot zakelijke contactpersonen in de apps Mail, Contacten en Berichten. Dankzij de ondersteuning voor CardDAV kunnen gebruikers de gegevens van contactpersonen in de vCard-structuur synchroon houden met uw CardDAV-server. Synchronisatie met uw CalDAVserver biedt gebruikers de volgende mogelijkheden: ••
Draadloos agenda-uitnodigingen aanmaken en accepteren
••
De gegevens voor vrij/bezet van een persoon bekijken in de agenda
••
Persoonlijke agenda-activiteiten aanmaken
••
Aangepaste terugkerende activiteiten configureren
••
Weeknummers weergeven in Agenda
••
Agenda-updates ontvangen
••
Taken synchroniseren met de Herinneringen-app
Alle netwerkvoorzieningen en -servers kunnen zich in een DMZ-subnetwerk bevinden, achter een bedrijfsfirewall of beide.
Hoofdstuk 3 Infrastructuur en integratie
28
Microsoft Exchange
iOS kan rechtstreeks met uw Microsoft Exchange-server communiceren via Microsoft Exchange ActiveSync (EAS), zodat u gebruik kunt maken van pushtechnologie voor e-mail, afwezigheidsberichten, agenda's, contactgegevens, notities en taken. Daarnaast geeft EAS gebruikers toegang tot algemene adreslijsten en biedt EAS beheerders de mogelijkheid om een wachtwoordbeleid toe te passen en apparaten op afstand te wissen. iOS is compatibel met zowel de algemene als de op certificaten gebaseerde vorm van identiteitscontrole voor Exchange ActiveSync. Als uw organisatie al met Exchange ActiveSync werkt, beschikt u over alle benodigde voorzieningen om iOS te ondersteunen. Er is geen verdere configuratie nodig. Vereisten iOS 8 of hoger ondersteunt de volgende versies van Microsoft Exchange: ••
Office 365 (EAS 14.1)
••
Exchange Server 2013 (EAS 14.1)
••
Exchange Server 2010 SP 2 (EAS 14.1)
••
Exchange Server 2010 SP 1 (EAS 14.1)
••
Exchange Server 2010 (EAS 14.0)
••
Exchange Server 2007 SP 3 (EAS 12.1)
••
Exchange Server 2007 SP 2 (EAS 12.1)
••
Exchange Server 2007 SP 1 (EAS 12.1)
••
Exchange Server 2007 (EAS 2.5)
Microsoft Exchange Autodiscover iOS ondersteunt de Autodiscover-voorziening van Microsoft Exchange Server 2007, 2010, 2013 en Office 365. Wanneer u een apparaat handmatig configureert, bepaalt de Autodiscovervoorziening op basis van uw e-mailadres en wachtwoord wat de juiste gegevens voor de Exchange-server zijn. Zie het TechNet-artikel Autodiscover Service (Engelstalig) op de website van Microsoft voor meer informatie. Microsoft Direct Push Exchange Server stuurt automatisch e-mails, taken, contactgegevens en agenda-activiteiten naar iOS-apparaten als er een mobiele dataverbinding of Wi-Fi-verbinding beschikbaar is. Microsoft Exchange Global Address List iOS-apparaten halen gegevens van contactpersonen op uit de algemene adreslijst van uw organisatie op de Exchange-server van het bedrijf. U kunt de adreslijst raadplegen wanneer u in Contacten naar contactpersonen zoekt. Ook wordt deze adreslijst automatisch gebruikt voor het aanvullen van e-mailadressen tijdens het typen. iOS 6 of hoger ondersteunt GAL-foto's (Exchange Server 2010 SP 1 of hoger vereist). Afwezigheidsbericht instellen iOS 8 ondersteunt het automatisch beantwoorden van berichten wanneer de gebruiker niet beschikbaar is. De gebruiker kan ook een einddatum instellen voor de antwoorden. Agenda iOS 8 ondersteunt de volgende functies van Microsoft Exchange: ••
Draadloos agenda-uitnodigingen aanmaken en accepteren
Hoofdstuk 3 Infrastructuur en integratie
29
••
De gegevens voor vrij/bezet van een persoon bekijken in de agenda
••
Persoonlijke agenda-activiteiten aanmaken
••
Aangepaste terugkerende activiteiten configureren
••
Weeknummers weergeven in Agenda
••
Agenda-updates ontvangen
••
Taken synchroniseren met de Herinneringen-app
De Exchange-aanduiding weergeven In iOS 8 kan de gebruiker de unieke aanduiding zien die door de Exchange Server wordt gebruikt. Dit is handig wanneer de Exchange Server waarmee de gebruiker verbinding maakt, alleen toegang geeft als apparaten op de witte lijst staan. Deze aanduiding kunt u al vooraf opvragen. De Exchange-aanduiding verandert alleen als de fabrieksinstellingen van het apparaat worden hersteld. De aanduiding verandert niet bij een upgrade van iOS 7 naar iOS 8. iOS-versies identificeren via Exchange Wanneer een iOS-apparaat verbinding maakt met een Exchange Server, wordt de iOS-versie van het apparaat bekendgemaakt. Het versienummer staat in het veld 'User Agent' van de header van de aanvraag en ziet er uit als: Apple-iPhone2C1/705.018. Het nummer achter het scheidingsteken (/) is het nummer van de iOS-build. Dit nummer is uniek voor elke iOS-versie. Om het buildnummer van een apparaat te bekijken, gaat u naar 'Instellingen' > 'Algemeen' > 'Info'. U ziet het versienummer en het buildnummer, bijvoorbeeld 4.1 (8B117A). Het nummer tussen haakjes is het buildnummer. Dit nummer geeft de release aan die op het apparaat wordt gebruikt. Wanneer het buildnummer wordt verstuurd naar de Exchange Server, wordt de structuur van het nummer gewijzigd van NANNNA (waarbij N een numeriek teken is en A een alfabetisch teken) in de Exchange-structuur NNN.NNN. Hierbij blijven de numerieke waarden behouden, maar worden de letters geconverteerd naar hun positionele waarde in het alfabet. Zo wordt 'F' geconverteerd naar '06', omdat 'F' de zesde letter van het alfabet is. Cijfers worden indien nodig voorafgegaan door nullen om de reeks geschikt te maken voor de Exchange-structuur. Het buildnummer 7E18 wordt bijvoorbeeld geconverteerd naar 705.018. Het eerste cijfer, 7, blijft '7'. De letter E is de vijfde letter van het alfabet en wordt dus geconverteerd naar '05'. In de geconverteerde versie wordt een punt (.) toegevoegd zoals vereist bij deze structuur. Het volgende cijfer, 18, wordt voorafgegaan door een nul en wordt '018'. Als het buildnummer eindigt met een letter, bijvoorbeeld 5H11A, wordt het nummer geconverteerd zoals hierboven is beschreven, maar worden vóór de numerieke waarde van het laatste teken drie nullen toegevoegd. 5H11A wordt dus 508.01100001. Wissen op afstand U kunt de inhoud van een iOS-apparaat op afstand wissen met behulp van voorzieningen die door Exchange geboden worden. Hierbij worden alle configuratiegegevens en andere gegevens van het apparaat verwijderd. Het apparaat wordt op een veilige manier gewist en de fabrieksinstellingen worden hersteld. Bij het wissen wordt de coderingssleutel voor de gegevens (gecodeerd met 256-bits-AES-codering) verwijderd, waardoor de gegevens onmiddellijk niet meer kunnen worden hersteld. Met Microsoft Exchange Server 2007 of hoger kunt u een Remote Wipe uitvoeren via de Exchange Management Console, Outlook Web Access of Exchange ActiveSync Mobile Administration Web Tool. Met Microsoft Exchange Server 2003 kunt u een Remote Wipe uitvoeren via Exchange ActiveSync Mobile Administration Web Tool.
Hoofdstuk 3 Infrastructuur en integratie
30
Gebruikers kunnen hun apparaat ook zelf wissen door 'Instellingen' > 'Algemeen' > 'Stel opnieuw in' > 'Wis alle inhoud en instellingen' te kiezen. Het is ook mogelijk een apparaat zo te configureren dat het automatisch wordt gewist nadat er een bepaald aantal keren een onjuiste toegangscode is ingevoerd.
Virtual Private Networks (VPN) Overzicht
Via de gebruikelijke VPN-protocollen kunt u afgeschermde bedrijfsnetwerken veilig benaderen vanaf een iOS-apparaat. iOS biedt standaard ondersteuning voor Cisco IPSec, L2TP over IPSec, IKEv2 en PPTP. Als uw organisatie een van deze protocollen ondersteunt, hoeft u uw netwerk verder niet te configureren en hebt u geen apps van andere leveranciers nodig om uw iOSapparaten te verbinden met uw VPN. iOS biedt ondersteuning voor SSL VPN van bekende VPN-aanbieders. Gebruikers hoeven alleen maar een VPN-client van een van deze bedrijven uit de App Store te downloaden om aan de slag te gaan. Net als andere VPN-protocollen die door iOS worden ondersteund, kan SSL VPN handmatig, via configuratieprofielen of door middel van een MDM-oplossing op het apparaat worden geconfigureerd. iOS ondersteunt ook standaardtechnologieën als IPv6, proxyservers en split-tunneling, zodat gebruikers probleemloos via VPN verbinding met het bedrijfsnetwerk kunnen maken. Bovendien werkt iOS met verschillende methoden voor identiteitscontrole, waaronder wachtwoorden, twee-factorentokens en digitale certificaten. iOS ondersteunt VPN op aanvraag om verbindingen te stroomlijnen in omgevingen waarin identiteitscontrole plaatsvindt aan de hand van certificaten. Er wordt dan indien nodig een VPN-sessie opgezet om verbinding te maken met opgegeven domeinen. App-gebonden VPN wordt gebruikt als bepaalde apps gegevens moeten uitwisselen via een VPN-verbinding. 'Altijd actieve VPN' wordt geselecteerd als een apparaat verbinding moet maken met een bekend, goedgekeurd VPN voordat verbinding met een andere netwerkvoorziening wordt toegestaan. Bij iOS 7 en hoger kunnen afzonderlijke apps worden geconfigureerd voor het gebruik van een VPN-verbinding, onafhankelijk van andere apps op het apparaat. Hierdoor gaan bedrijfsgegevens altijd via een VPN-verbinding terwijl andere gegevens, zoals van de persoonlijke apps uit de App Store van de gebruiker, buiten het VPN om gaan. Zie App-gebonden VPN voor meer informatie. Bij Altijd actieve VPN moet een apparaat verbinding maken met een bekend, goedgekeurd VPN voordat verbinding met een andere netwerkvoorziening wordt toegestaan. U kunt Altijd actieve VPN configureren voor zowel mobiele configuraties als Wi-Fi-configuraties. Bij Altijd actieve VPN moet een apparaat verbinding maken met een bekend, goedgekeurd VPN voordat verbinding met een andere netwerkvoorziening wordt toegestaan. Hierbij valt te denken aan toegang tot e-mail, het web of berichten. Deze functie kan alleen worden gebruikt als deze configuratie wordt ondersteund door uw VPN-aanbieder. Bovendien is de functie alleen beschikbaar voor apparaten die onder supervisie staan. Zie Overzicht voor informatie over Altijd actieve VPN.
Ondersteunde protocollen en methoden voor identiteitscontrole
iOS-apparaten ondersteunen de volgende protocollen en methoden voor identiteitscontrole: ••
L2TP over IPSec: Identiteitscontrole van gebruikers aan de hand van een MS-CHAP v2-wachtwoord en een twee-factorentoken, en identiteitscontrole van apparaten aan de hand van een gedeeld geheim.
Hoofdstuk 3 Infrastructuur en integratie
31
••
Cisco IPSec: Identiteitscontrole van gebruikers aan de hand van een wachtwoord en een tweefactorentoken, en identiteitscontrole van apparaten aan de hand van een gedeeld geheim en certificaten.
••
IKEv2: Certificaten (alleen RSA), EAP-TLS, EAP-MSCHAPv2.
••
PPTP: Identiteitscontrole van gebruikers aan de hand van een MS-CHAP v2-wachtwoord en een twee-factorentoken.
••
SSL VPN: Identiteitscontrole van gebruikers aan de hand van een wachtwoord, een tweefactorentoken en certificaten.
SSL VPN-clients
Verschillende SSL VPN-aanbieders hebben apps ontwikkeld om iOS-apparaten te configureren voor gebruik met hun oplossingen. Als u een apparaat wilt configureren voor gebruik met een specifieke oplossing, installeert u de bijbehorende app en zorgt u (eventueel) voor een configuratieprofiel met de benodigde instellingen. Voorbeelden van SSL VPN-oplossingen zijn: ••
AirWatch SSL VPN: Ga naar de website van AirWatch voor informatie.
••
Aruba Networks SSL VPN: iOS ondersteunt Aruba Networks Mobility Controller. Voor de configuratie installeert u de Aruba Networks VIA-app (verkrijgbaar in de App Store). Ga naar de website van Aruba Networks voor contactgegevens.
••
Check Point Mobile SSL VPN: iOS ondersteunt de Check Point Security Gateway met een volledige Layer-3-VPN-tunnel. Installeer de Check Point Mobile-app (verkrijgbaar in de App Store).
••
Cisco AnyConnect SSL VPN: iOS biedt ondersteuning voor Cisco Adaptive Security Appliance (ASA) met bij voorkeur softwareversie 8.2.5 of hoger. Installeer de Cisco AnyConnect-app (verkrijgbaar in de App Store).
••
F5 SSL VPN: iOS ondersteunt F5 BIG-IP Edge Gateway-, Access Policy Manager- en FirePass SSL VPN-oplossingen. Installeer de F5 BIG-IP Edge Client-app (verkrijgbaar in de App Store). Raadpleeg voor meer informatie het witboek van F5: Secure iPhone Access to Corporate Web Applications.
••
Juniper Junos Pulse SSL VPN: iOS biedt ondersteuning voor Juniper Networks SA Series SSL VPN Gateway met versie 6.4 of hoger met Juniper Networks IVE package 7.0 of hoger. Installeer de Junos Pulse-app (verkrijgbaar in de App Store). Zie Junos Pulse op de website van Juniper Networks voor meer informatie.
••
Mobile Iron SSL VPN: Ga naar de website van Mobile Iron voor informatie.
••
NetMotion SSL VPN: Ga naar de website van NetMotion voor informatie.
••
OpenVPN SSL VPN: iOS biedt ondersteuning voor OpenVPN Access Server, Private Tunnel en OpenVPN Community. Voor de configuratie installeert u de OpenVPN Connect-app (verkrijgbaar in de App Store).
••
Palo Alto Networks GlobalProtect SSL VPN: iOS ondersteunt de GlobalProtect-gateway van Palo Alto Networks. Installeer de GlobalProtect voor iOS-app (verkrijgbaar in de App Store).
••
SonicWALL SSL VPN: iOS ondersteunt SonicWALL Aventall E-Class Secure Remote Accessapparaten met versie 10.5.4 of hoger, SonicWALL SRA-apparaten met versie 5.5 of hoger en SonicWALL Next-Generation Firewall-apparaten, waaronder de TZ, NSA, E-Class NSA met SonicOS versie 5.8.1.0 of hoger. Installeer de SonicWALL Mobile Connect-app (verkrijgbaar in de App Store). Ga naar de website van SonicWALL voor meer informatie.
Hoofdstuk 3 Infrastructuur en integratie
32
Richtlijnen voor VPN-configuratie
Configuratierichtlijnen Cisco IPSec Aan de hand van deze richtlijnen kunt u de Cisco VPN-server configureren voor gebruik met iOSapparaten. iOS biedt ondersteuning voor Cisco ASA 5500 Security Appliances en PIX Firewalls die zijn geconfigureerd met softwareversie 7.2.x of hoger. De meest recente softwarerelease (8.0x of hoger) wordt aanbevolen. Daarnaast biedt iOS ondersteuning voor Cisco IOS VPN-routers met IOS-versie 12.4(15)T of hoger. De VPN 3000 Series Concentrators bieden geen ondersteuning voor de VPN-voorzieningen van iOS. Proxyconfiguratie U kunt voor alle configuraties een VPN-proxy opgeven: ••
Om voor alle verbindingen één proxy te configureren, kiest u 'Handmatig' en geeft u het adres, de poort en indien nodig de identiteitscontrole op.
••
Gebruik de instelling 'Automatisch' om het apparaat via PAC of WPAD te voorzien van een configuratiebestand voor een automatische proxy. Voor PAC geeft u de URL van het PAC- of JavaScript-bestand op. In het geval van WPAD worden de juiste instellingen opgevraagd bij DHCP en DNS.
De VPN-proxyconfiguratie wordt gebruikt wanneer het VPN het volgende aanbiedt: ••
De standaard-resolver en de standaardroute: De VPN-proxy wordt gebruikt voor alle webverzoeken in het systeem.
••
Een 'split tunnel': De VPN-proxy wordt alleen gebruikt door verbindingen naar hosts die overeenkomen met de DNS-zoekdomeinen van het VPN.
Methoden voor identiteitscontrole Voor iOS kunnen de volgende methoden voor identiteitscontrole worden gebruikt: ••
IPsec-identiteitscontrole op basis van een vooraf gedeelde sleutel met gebruikerscontrole via xauth.
••
Client- en servercertificaten voor IPsec-identiteitscontrole met optionele gebruikerscontrole via xauth.
••
Hybride identiteitscontrole waarbij de server een certificaat verstrekt en de client een vooraf gedeelde sleutel verstrekt voor IPsec-identiteitscontrole. Gebruikerscontrole via xauth is vereist.
••
Voor gebruikerscontrole wordt xauth gebruikt op basis van een van de volgende methoden: ••
Gebruikersnaam met wachtwoord
••
RSA SecurID
••
CRYPTOCard
Identiteitscontrolegroepen Het Cisco Unity-protocol gebruikt identiteitscontrolegroepen om gebruikers te groeperen op basis van een gemeenschappelijke set parameters. U moet een identiteitscontrolegroep aanmaken voor gebruikers van iOS-apparaten. Voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel moet bij het configureren van de groepsnaam op het apparaat het gedeelde geheim van de groep (de vooraf gedeelde sleutel) als groepswachtwoord worden ingesteld. Er is geen gedeeld geheim voor identiteitscontrole op basis van certificaten. De groep van een gebruiker wordt vastgesteld op basis van velden in het certificaat. U kunt de Ciscoserverinstellingen gebruiken om velden in een certificaat aan gebruikersgroepen te koppelen.
Hoofdstuk 3 Infrastructuur en integratie
33
RSA-Sig moet de hoogste prioriteit hebben in de ISAKMP-prioriteitenlijst. Certificaten Aandachtspunten bij het installeren en configureren van certificaten: ••
In het identiteitscertificaat van de server moet in het SubjectAltName-veld de DNS-naam of het IP-adres van de server zijn ingevuld. Op basis van deze informatie controleert het apparaat of het certificaat bij de server hoort. Voor meer flexibiliteit kunt u de SubjectAltName opgeven met behulp van jokertekens, zoals 'vpn.*.mijnbedrijf.com', zodat de naam op meerdere servers van toepassing is. Als er geen SubjectAltName is opgegeven, kunt u het algemene naamveld gebruiken voor de DNS-naam.
••
Op het apparaat moet het certificaat zijn geïnstalleerd van de certificaatautoriteit die het servercertificaat heeft ondertekend. Als dit geen rootcertificaat is, moet u de rest van de vertrouwensketen installeren om ervoor te zorgen dat dit certificaat wordt vertrouwd. Als u gebruikmaakt van clientcertificaten, moet u ervoor zorgen dat op de VPN-server het certificaat is geïnstalleerd van de vertrouwde certificaatautoriteit die het clientcertificaat heeft ondertekend. Bij gebruik van identiteitscontrole op basis van certificaten moet de server zo zijn geconfigureerd dat deze de identiteit van de gebruikersgroep kan vaststellen op basis van velden in het clientcertificaat. Belangrijk: De certificaten en certificaatautoriteiten moeten geldig zijn (ze mogen bijvoorbeeld niet verlopen zijn). Het versturen van een certificaatketen door de server wordt niet ondersteund.
Instellingen en beschrijvingen van IPSec IPSec heeft verschillende instellingen die u kunt gebruiken om de implementatie van de identiteitscontrole te bepalen:
••
Mode: 'Tunnel Mode'.
••
IKE Exchange Modes: 'Aggressive Mode' voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel, of 'Main Mode' voor identiteitscontrole op basis van certificaten.
••
Encryption Algorithms: 3DES, AES-128 of AES256.
••
Authentication Algorithms: HMAC-MD5 of HMAC-SHA1.
••
Diffie-Hellman Groups: 'Group 2' is vereist voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel. 'Group 2' met 3DES en AES-128 voor identiteitscontrole met certificaten. 'Group 2' of 'Group 5' met AES-256.
••
PFS (Perfect Forward Secrecy): Voor IKE fase 2 moet bij gebruik van PFS dezelfde Diffie-Hellmangroep worden gebruikt als voor IKE fase 1.
••
Mode Configuration: Moet zijn ingeschakeld.
••
Dead Peer Detection: Aanbevolen.
••
Standard NAT Traversal: Wordt ondersteund en kan worden ingeschakeld (IPSec via TCP wordt niet ondersteund).
••
Load Balancing: Wordt ondersteund en kan worden ingeschakeld.
••
Rekeying of Phase 1: Wordt momenteel niet ondersteund. U wordt aangeraden om het interval voor re-keying op de server in te stellen op één uur.
••
ASA Address Mask: Zorg ervoor dat alle adrespoolmaskers van apparaten hetzij niet zijn ingesteld, hetzij zijn ingesteld op 255.255.255.255. Bijvoorbeeld: asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.
Hoofdstuk 3 Infrastructuur en integratie
34
Opmerking: Wanneer u dit aanbevolen adresmasker gebruikt, worden sommige routes die door de VPN-configuratie worden verondersteld, mogelijk genegeerd. Om dit te voorkomen, zorgt u ervoor dat uw routeringstabel alle benodigde routes bevat en controleert u of de subnetadressen toegankelijk zijn voordat u een en ander implementeert. ••
Application Version: Informatie over de softwareversie op de client wordt naar de server gestuurd, zodat de server verbindingen kan toestaan of weigeren op basis van de softwareversie op het apparaat.
••
Banner: Als de banner op de server is geconfigureerd, wordt deze op het apparaat weergegeven. De gebruiker kan de banner vervolgens accepteren of de verbinding verbreken.
••
Split Tunnel: Ondersteund.
••
Split DNS: Ondersteund.
••
Default Domain: Ondersteund.
App-gebonden VPN
Met iOS 7 of hoger is het mogelijk om per app VPN-verbindingen op te zetten. Hierdoor kan meer specifiek worden bepaald welke gegevens er via het VPN lopen. Met VPN op apparaatniveau gaan alle gegevens via het privénetwerk, ongeacht de oorsprong ervan. Door deze mogelijkheid om het verkeer op appniveau te scheiden, kunnen persoonlijke gegevens en gegevens van de organisatie effectief van elkaar afgeschermd blijven. Nu er binnen organisaties steeds meer privéapparaten door medewerkers worden gebruikt, biedt app-gebonden VPN veilige netwerkmogelijkheden voor apps die voor intern gebruik bestemd zijn, terwijl de privacy van persoonlijke activiteiten op het apparaat beschermd blijft. Met app-gebonden VPN kan elke app die via een MDM-oplossing wordt beheerd via een beveiligde tunnel communiceren met het privénetwerk, terwijl andere (onbeheerde) apps geen toegang hebben tot het netwerk. Beheerde apps kunnen met verschillende VPN-verbindingen worden geconfigureerd om de gegevens verder te beveiligen. Zo zou een app voor het maken van offertes gebruik kunnen maken van een ander datacenter dan een crediteurenapp, terwijl het persoonlijke internetverkeer van de gebruiker gebruikmaakt van het openbare internet. Om app-gebonden VPN te kunnen gebruiken, moet een app worden beheerd via een MDMoplossing en gebruikmaken van de standaardnetwerk-API's in iOS. App-gebonden VPN wordt geconfigureerd met een MDM-configuratie die aangeeft welke apps en Safari-domeinen gebruik mogen maken van de instellingen. Zie Overzicht voor een overzicht van de configuratie en het beheer. Als u meer wilt weten over de ondersteuning voor app-gebonden VPN, neemt u contact op met een externe leverancier van SSL of VPN.
VPN op aanvraag Overzicht
Met VPN op aanvraag kunnen iOS-apparaten zonder tussenkomst van de gebruiker een beveiligde verbinding tot stand brengen. De VPN-verbinding wordt opgezet wanneer dat nodig is, op basis van regels die in een configuratieprofiel zijn vastgelegd. Voor VPN op aanvraag is identiteitscontrole aan de hand van certificaten vereist.
Hoofdstuk 3 Infrastructuur en integratie
35
VPN op aanvraag wordt geconfigureerd met behulp van de sleutel OnDemandRules in de VPNpayload van een configuratieprofiel. De regels worden in twee fasen toegepast: ••
Netwerkdetectie: In deze fase worden de VPN-vereisten bepaald die worden toegepast wanneer de primaire netwerkverbinding van het apparaat verandert.
••
Verbindingsevaluatie: In deze fase worden de VPN-vereisten bepaald voor verbindingsaanvragen bij domeinnamen wanneer dat nodig is.
Regels kunnen bijvoorbeeld worden gebruikt om: ••
Vast te stellen wanneer een iOS-apparaat verbonden is met een intern netwerk en er geen VPN-verbinding nodig is
••
Vast te stellen wanneer er een onbekend Wi-Fi-netwerk wordt gebruikt en voor alle netwerkactiviteit een VPN-verbinding vereist is
••
Een VPN-verbinding verplicht te stellen wanneer een DNS-aanvraag voor een opgegeven domein mislukt
Fasen
Als via de methode VPN op aanvraag verbinding wordt gemaakt met uw netwerk, kan er onderscheid worden gemaakt tussen twee fasen. Netwerkdetectie De regels voor VPN op aanvraag worden geëvalueerd wanneer de primaire netwerkinterface van het apparaat verandert, bijvoorbeeld wanneer een iOS-apparaat overschakelt op een ander Wi-Fi-netwerk of wanneer het apparaat overschakelt van een mobiel-datanetwerk naar een Wi-Fi-netwerk. Als de primaire interface een virtuele interface is (zoals een VPN-interface), worden de regels voor VPN op aanvraag genegeerd. De vergelijkingsregels in elke set (elk woordenboek) moeten allemaal overeenkomen om de eraan gekoppelde actie te laten plaatsvinden. Als een van de regels niet overeenkomt, gaat de evaluatie automatisch door naar het volgende woordenboek in de matrix, tot de OnDemandRules-matrix volledig is doorlopen. In het laatste woordenboek moet een standaardconfiguratie zijn beschreven; dit woordenboek bevat geen vergelijkingsregels, maar alleen een actie. Zo worden alle verbindingen afgevangen waarvoor in de vorige regels geen overeenkomsten zijn gevonden. Verbindingsevaluatie VPN kan worden geactiveerd op het moment dat dit nodig is (op basis van verbindingsvereisten voor bepaalde domeinen), in plaats van dat VPN-verbindingen eenzijdig worden gemaakt en verbroken op basis van de netwerkinterface.
Regels en acties
Regels zijn nodig om de typen netwerken te definiëren die zijn gekoppeld aan VPN op aanvraag. Acties geven aan wat er moet gebeuren als aan vergelijkingsregels wordt voldaan. Vergelijkingsregels VPN op aanvraag Geef een of meer van de volgende vergelijkingsregels op voor clients met Cisco IPSec: ••
InterfaceTypeMatch: Optioneel. De tekenreekswaarde 'Cellular' of 'Wi-Fi'. Als deze regel wordt opgegeven, is deze regel waar wanneer de hardware van de primaire interface van het opgegeven type is.
Hoofdstuk 3 Infrastructuur en integratie
36
••
SSIDMatch: Optioneel. Een matrix van SSID's die met het huidige netwerk worden vergeleken. Als het netwerk geen Wi-Fi-netwerk is of als de SSID ervan niet in de lijst is opgenomen, is de regel onwaar. Om SSID te negeren, kunnen deze sleutel en de bijbehorende matrix worden weggelaten.
••
DNSDomainMatch: Optioneel. Een matrix van zoekdomeinen in tekenreeksen. Als het geconfigureerde DNS-zoekdomein van het huidige primaire netwerk is opgenomen in de matrix, is deze regel waar. Jokertekens (*) als voorvoegsel zijn toegestaan. Zo komt bijvoorbeeld "*.example.com" overeen met "anything.example.com".
••
DNSServerAddressMatch: Optioneel. Een matrix van DNS-serveradressen in tekenreeksen. Deze regel is waar als alle DNS-serveradressen die op dat moment voor de primaire interface zijn geconfigureerd, zich in de matrix bevinden. U kunt jokertekens (*) gebruiken. Zo komt "1.2.3.*" bijvoorbeeld overeen met elke DNS-server die het voorvoegsel "1.2.3" heeft.
••
URLStringProbe: Optioneel. Een server die wordt benaderd om de bereikbaarheid na te gaan. Omleiding wordt niet ondersteund. De URL moet naar een vertrouwde HTTPSserver verwijzen. Het apparaat verstuurt een GET-aanvraag om te controleren of de server bereikbaar is.
Action Deze sleutel bepaalt het VPN-gedrag wanneer alle opgegeven vergelijkingsregels waar zijn. De sleutel is vereist. Waarden voor de Action-sleutel zijn: ••
Connect: Hiermee wordt de VPN-verbinding bij de volgende verbindingspoging onvoorwaardelijk geïnitieerd.
••
Disconnect: De VPN-verbinding wordt verbroken en er worden geen nieuwe verbindingen op aanvraag geactiveerd.
••
Ignore: Een eventuele bestaande VPN-verbinding blijft behouden, maar er worden geen nieuwe verbindingen op aanvraag geactiveerd.
••
Allow: Zie Achterwaartse compatibiliteit voor iOS-apparaten met iOS 6 of lager.
••
EvaluateConnection: De ActionParameters voor elke verbindingspoging worden geëvalueerd. Als deze waarde wordt gebruikt, is de sleutel "ActionParameters" (zie hieronder) vereist om de evaluatieregels op te geven.
ActionParameters Dit is een matrix met woordenboeken met de hieronder beschreven sleutels, die worden geëvalueerd in de volgorde waarin ze zijn opgenomen. Vereist als de Action "EvaluateConnection" is. ••
Domains: Verplicht. Een matrix met tekenreeksen die de domeinen beschrijven waarvoor deze beoordeling van toepassing is. Jokertekens worden als voorvoegsel ondersteund, bijvoorbeeld "*.example.com".
••
DomainAction: Verplicht. Bepaalt het VPN-gedrag voor de domeinen. Waarden voor de DomainAction-sleutel zijn: ••
ConnectIfNeeded: Hiermee wordt VPN gebruikt als de DNS-omzetting voor de domeinen mislukt, bijvoorbeeld wanneer de DNS-server aangeeft dat de domeinnaam niet kan worden omgezet, wanneer de DNS-reactie wordt omgeleid, of wanneer de verbinding mislukt of er een time-out optreedt.
••
NeverConnect: VPN wordt niet geactiveerd voor de domeinen.
Als de waarde "ConnectIfNeeded" is opgegeven voor "DomainAction", kunt u ook de volgende sleutels opgeven in het woordenboek voor de verbindingsevaluatie:
Hoofdstuk 3 Infrastructuur en integratie
37
••
RequiredDNSServers: Optioneel. Een matrix met IP-adressen van DNS-servers die worden gebruikt voor het omzetten van de domeinen. Deze servers hoeven geen deel uit te maken van de huidige netwerkconfiguratie van het apparaat. Als deze DNS-servers niet bereikbaar zijn, wordt de VPN-voorziening geactiveerd. Om consistente verbindingen te waarborgen, configureert u een interne DNS-server of een vertrouwde externe DNS-server.
••
RequiredURLStringProbe: Optioneel. Een HTTP- of (bij voorkeur) HTTPS-URL die met een GETaanvraag wordt benaderd. Als de DNS-omzetting voor deze server lukt, moet het benaderen ook lukken. Als het benaderen niet lukt, wordt VPN geactiveerd.
Achterwaartse compatibiliteit
In oudere versies dan iOS 7 werden regels voor domeinactivering geconfigureerd via matrices van domeinen: ••
OnDemandMatchDomainAlways
••
OnDemandMatchDomainOnRetry
••
OnDemandMatchDomainNever
"OnRetry" en "Never" worden nog steeds ondersteund in iOS 7 en hoger, maar zijn in feite uitgefaseerd in verband met de actie "EvaluateConnection". Om een profiel aan te maken dat werkt bij zowel iOS 7 als eerdere releases, gebruikt u de nieuwe EvaluateConnection-sleutels in aanvulling op de OnDemandMatchDomain-matrices. Eerdere versies van iOS die "EvaluateConnection" niet herkennen, maken gebruik van de oude matrices, terwijl iOS 7 en hoger "EvaluateConnection" gebruiken. Oude configuratieprofielen waarin de actie "Allow" is opgenomen, moeten in principe wel werken met iOS 7 of hoger, met uitzondering van OnDemandMatchDomainsAlways-domeinen.
Altijd actieve VPN Overzicht
Met Altijd actieve VPN kan uw organisatie het gegevensverkeer van apparaten optimaal controleren door al het IP-verkeer via een tunnel terug te leiden naar de organisatie. Met IKEv2, het standaardprotocol voor het opzetten van tunnels, wordt de uitwisseling van gegevens beveiligd door middel van gegevenscodering. Uw organisatie kan nu het gegevensverkeer naar en van de apparaten bewaken, de gegevens binnen het netwerk beveiligen en de toegang tot het internet beperken. Activering van Altijd actieve VPN is alleen mogelijk voor apparaten die onder supervisie staan. Nadat het profiel voor Altijd actieve VPN is geïnstalleerd op een apparaat, wordt Altijd actieve VPN automatisch, zonder tussenkomst van de gebruiker, geactiveerd. Altijd actieve VPN blijft geactiveerd (ook na opnieuw opstarten) totdat het profiel voor Altijd actieve VPN wordt verwijderd.
Hoofdstuk 3 Infrastructuur en integratie
38
Als Altijd actieve VPN is geactiveerd op het apparaat, is het opzetten en weghalen van de VPN-tunnel gekoppeld aan de IP-status van de interface. Als de interface het IP-netwerk kan bereiken, wordt er geprobeerd een tunnel op te zetten. Op het moment dat de IP-status van de interface wegvalt, wordt de tunnel verwijderd. Altijd actieve VPN biedt ook ondersteuning voor interface-specifieke tunnels. In het geval van iOS-apparaten gaat het om één tunnel per actieve IP-interface (dus één tunnel voor de mobiele interface en één tunnel voor de Wi-Fi-interface). Als er een of meer VPN-tunnels beschikbaar zijn, wordt al het IP-verkeer door deze tunnels geleid. Het betreft gegevensverkeer dat wordt gerouteerd via IP en verkeer afkomstig van of bestemd voor bepaalde IP-bereiken (verkeer van apps van Apple, zoals FaceTime en Berichten). Als er geen tunnels beschikbaar zijn, wordt al het IP-verkeer verwijderd. Alle gegevens van een apparaat die via een tunnel worden verstuurd, komen aan bij een VPNserver. U kunt hier nog filters en/of controles toepassen voordat het verkeer wordt doorgestuurd naar de eindbestemming binnen het netwerk van uw organisatie of op het internet. Hetzelfde geldt voor verkeer dat voor het apparaat is bestemd. Deze gegevens komen aan op de VPNserver van uw organisatie, waar ze eventueel nog worden gefilterd en/of gecontroleerd voordat ze worden doorgestuurd naar het apparaat.
Implementatiemodellen
iOS-apparaten worden uitgevoerd in de modus voor één gebruiker. Er wordt geen onderscheid gemaakt tussen de identiteit van het apparaat en de identiteit van de gebruiker. Als een iOSapparaat een IKEv2-tunnel opzet met de IKEv2-server, ziet de server het iOS-apparaat als één gelijkwaardige entiteit. Voorheen werd er altijd maar één tunnel opgezet tussen gekoppelde iOSapparaten en een VPN-server. Aangezien er met Altijd actieve VPN interface-specifieke tunnels mogelijk zijn, bestaat de kans dat er op hetzelfde moment meerdere tunnels zijn tussen een iOSapparaat en de IKEv2-server, afhankelijk van het implementatiemodel. Een configuratie met Altijd actieve VPN ondersteunt de volgende implementatiemodellen voor het inspelen op verschillende behoeften. Apparaten met alleen een mobiele-dataverbinding Als uw organisatie ervoor kiest om Altijd actieve VPN te implementeren op iOS-apparaten die alleen een mobiele-dataverbinding hebben (de Wi-Fi-interface is permanent verwijderd of gedeactiveerd), wordt er tussen elk apparaat en de IKEv2-server één IKEv2-tunnel opgezet via de IP-interface voor het mobiele-datanetwerk. Dit komt overeen met het traditionele VPN-model. Het iOS-apparaat fungeert als één IKEv2-client, met één identiteit (dus één clientcertificaat of één gebruikersnaam en wachtwoord), waarbij één IKEv2-tunnel met de IKEv2-server wordt opgezet. Apparaten met een mobiele-dataverbinding en Wi-Fi Als uw organisatie ervoor heeft gekozen om Altijd actieve VPN te implementeren op iOSapparaten die zowel een mobiele-dataverbinding als Wi-Fi hebben, worden er vanaf het apparaat twee gelijktijdige IKEv2-tunnels opgezet. Er zijn twee scenario's waarin apparaten met zowel een mobiele-dataverbinding als Wi-Fi worden gebruikt: ••
Een mobiele-datatunnel en een Wi-Fi-tunnel die uitkomen op afzonderlijke IKEv2-servers
Hoofdstuk 3 Infrastructuur en integratie
39
Uw organisatie kan speciale sleutels gebruiken voor de configuratie van Altijd actieve VPN met interface-specifieke tunnels om apparaten te configureren die een mobiele-datatunnel opzetten met de ene IKEv2-server en een Wi-Fi-tunnel met een tweede IKEv2-server. Een voordeel van dit model is dat een apparaat voor beide tunnels dezelfde clientidentiteit (clientcertificaat of gebruikersnaam/wachtwoord) kan gebruiken, aangezien de tunnels op verschillende servers uitkomen. Een ander voordeel van het werken met verschillende servers is dat uw organisatie flexibeler kan zijn met de scheiding en controle van het interface-specifieke gegevensverkeer (mobiele data versus Wi-Fi). Het nadeel is dat uw organisatie twee afzonderlijke IKEv2-servers moet onderhouden met voor alle clients een identieke identiteitscontrole. ••
Een mobiele-datatunnel en een Wi-Fi-tunnel die uitkomen op dezelfde IKEv2-server Bij de configuratie van Altijd actieve VPN met interface-specifieke tunnels kan uw organisatie ook instellen dat de mobiele-datatunnel en de Wi-Fi-tunnel van een apparaat op dezelfde IKEv2-server uitkomen. Gebruik van clientidentiteiten: ••
Eén clientidentiteit per apparaat: Uw organisatie kan dezelfde clientidentiteit (dus één clientcertificaat of één gebruikersnaam/wachtwoord) configureren voor zowel een mobiele-datatunnel als een Wi-Fi-tunnel indien de IKEv2-server meerdere tunnels per client ondersteunt. Het voordeel is dat er geen extra clientidentiteit nodig is per apparaat en dat hierdoor geen extra configuratie/bronnen nodig zijn op de server. Het nadeel is dat er nieuwe tunnels worden opgezet en dat bestaande tunnels overbodig worden wanneer een apparaat van netwerk verandert. Afhankelijk van de implementatie van de server, bestaat de kans dat overbodige tunnels niet efficiënt en zorgvuldig kunnen worden verwijderd door de server. Er moet dan binnen de organisatie een strategie worden bedacht om verouderde tunnels op de server op te schonen.
••
Twee clientidentiteiten per apparaat: De organisatie kan twee clientidentiteiten configureren (dus twee clientcertificaten of twee combinaties van gebruikersnaam/wachtwoord): één voor een mobiele-datatunnel en één voor een Wi-Fi-tunnel. De IKEv2-server ziet twee verschillende clients die hun eigen tunnel opzetten. Het voordeel van dit model is dat het werkt met de meeste serverimplementaties, aangezien veel servers aan de hand van de clientidentiteit onderscheid tussen tunnels maken en slechts één tunnel per client toestaan. Het nadeel van dit model is dat er dubbele identiteiten en dubbele configuraties/bronnen op de server moeten worden beheerd.
Configuratieprofiel voor Altijd actieve VPN
Een configuratieprofiel voor Altijd actieve VPN kan handmatig worden samengesteld, via een speciale editor van Apple voor configuratieprofielen zoals Profielbeheer of Apple Configurator, of via een MDM-oplossing van een andere leverancier worden samengesteld. Zie Profielbeheer Help of Apple Configurator Help voor meer informatie. Sleutels voor gebruikersinteractie Om te voorkomen dat gebruikers de functie Altijd actieve VPN uitschakelen, moet u instellen dat het profiel voor Altijd actieve VPN niet kan worden verwijderd door de sleutel "PayloadRemovalDisallowed" op "true" te zetten. Deze sleutel vindt u op het hoogste niveau in het profiel.
Hoofdstuk 3 Infrastructuur en integratie
40
Om te voorkomen dat gebruikers de werking van Altijd actieve VPN wijzigen door andere configuratieprofielen te installeren, moet u de installatie van UI-profielen onmogelijk maken door de sleutel "allowUIConfigurationProfileInstallation" op "false" te zetten onder de payload "com.apple.applicationaccess". Uw organisatie kan desgewenst aanvullende beperkingen implementeren door onder dezelfde payload andere ondersteunde sleutels te gebruiken. Certificaatpayloads CA-certificaat van server
••
Als de identiteitscontrole voor de IKEv2-tunnel plaatsvindt aan de hand van certificaten, verstuurt de IKEv2-server het eigen servercertificaat naar het iOS-apparaat, dat vervolgens de identiteit van de server controleert. Het iOS-apparaat heeft hier wel een zogeheten CA-certificaat voor nodig. Dit is een certificaat met informatie over de certificaatautoriteit (de instantie die het servercertificaat heeft uitgegeven). Het CA-certificaat van de server is mogelijk al eerder op het apparaat geïnstalleerd. Als dat niet zo is, kan uw organisatie het CA-certificaat beschikbaar stellen door een certificaatpayload aan te maken voor het CA-certificaat van de server. ••
CA-certificaten van clients Als de identiteitscontrole voor de IKEv2-tunnel plaatsvindt op basis van certificaten of EAPTLS, verstuurt het iOS-apparaat het eigen clientcertificaat naar de IKEv2-server, die vervolgens de identiteit van de client controleert. De client kan één of twee clientcertificaten hebben, afhankelijk van het geselecteerde implementatiemodel. Uw organisatie moet het certificaat of de certificaten beschikbaar stellen door een of meer payloads aan te maken. Tegelijkertijd is het zo dat de IKEv2-server de clientidentiteit alleen kan controleren als het CA-certificaat van de client is geïnstalleerd. Dit is een certificaat met informatie over de certificaatautoriteit (de instantie die het clientcertificaat heeft uitgegeven).
••
Certificaten die door IKEv2 worden ondersteund voor Altijd actieve VPN Op dit moment worden door IKEv2 alleen RSA-certificaten ondersteund voor Altijd actieve VPN.
Payload voor Altijd actieve VPN
Het volgende geldt voor de payload voor Altijd actieve VPN. ••
De payload voor Altijd actieve VPN kan alleen worden geïnstalleerd op iOS-apparaten die onder supervisie staan
••
Een configuratieprofiel kan maar één payload voor Altijd actieve VPN bevatten
••
Er kan maar één configuratieprofiel voor Altijd actieve VPN tegelijk zijn geïnstalleerd op een iOS-apparaat
Automatisch verbinding maken in iOS De methode Altijd actieve VPN ondersteunt een optionele sleutel "UIToggleEnabled", waarmee uw organisatie de schakelaar 'Connect Automatically' kan weergeven in het venster 'VPN Settings'. Als deze sleutel niet is opgegeven in het profiel of is ingesteld op '0', wordt bij Altijd actieve VPN geprobeerd een of twee VPN-tunnels op te zetten. Als deze sleutel is ingesteld op '1', wordt de schakelaar weergegeven in het deelvenster 'VPN Settings' en kan de gebruiker VPN-tunnels in- of uitschakelen. Als de gebruiker ervoor kiest VPN-tunnels uit te schakelen, wordt er geen tunnel opgezet en wordt al het IP-verkeer op het apparaat gewist. Dit is handig wanneer het IP-netwerk niet bereikbaar is en de gebruiker toch telefoongesprekken wil voeren. De gebruiker kan in dat geval VPN-tunnels uitschakelen om te voorkomen dat er toch wordt geprobeerd een VPN-tunnel tot stand te brengen.
Hoofdstuk 3 Infrastructuur en integratie
41
Matrix voor interface-specifieke tunnelconfiguraties De matrix 'TunnelConfigurations' moet minimaal één tunnelconfiguratie bevatten (dat wil zeggen, één tunnelconfiguratie die wordt toegepast op de interface voor mobiele data voor apparaten met alleen een mobiele-dataverbinding, of op zowel de interface voor mobiele data als de interface voor Wi-Fi). Maximaal kunnen er twee tunnelconfiguraties worden gebruikt (één voor mobiele-dataverbindingen en één voor Wi-Fi-verbindingen). Uitzonderingen voor afvangverkeer Altijd actieve VPN ondersteunt alleen 'Captive AutoLogon' (automatisch inloggen bij ondersteunde afvangnetwerken met vooraf toegewezen identiteitsgegevens, zoals identiteitsgegevens afgeleid van SIM). Altijd actieve VPN biedt ook controle over de afhandeling van afvanglogins dankzij de ondersteuning van: ••
AllowCaptiveWebSheet: Een sleutel om verkeer van de ingebouwde Captive WebSheet-app buiten de tunnel om te laten versturen. De WebSheet-app is een browser die afvanglogins afhandelt als er geen externe afvangapp aanwezig is. Uw organisatie moet wel rekening houden met het veiligheidsrisico dat deze sleutel met zich meebrengt, aangezien WebSheet een functionele browser is die alle inhoud kan weergeven van de afvangserver die reageert. Het toestaan van verkeer voor WebSheet maakt het apparaat kwetsbaar voor onjuist werkende of kwaadwillende afvangservers.
••
AllowAllCaptiveNetworkPlugins: Een sleutel om verkeer van alle bevoegde, externe afvangapps buiten de tunnel om te laten versturen. Deze sleutel heeft voorrang op het woordenboek "AllowedCaptiveNetworkPlugins".
••
AllowedCaptiveNetworkPlugins: Een lijst met bundel-ID's van bevoegde externe afvangapps. Verkeer uit deze lijst met externe afvangapps mag buiten de tunnel om worden verstuurd. Als de sleutel "AllowAllCaptiveNetworkPlugins" ook is geconfigureerd, wordt deze lijst niet gebruikt.
Uitzonderingen voor voorzieningen De standaardinstelling is dat met Altijd actieve VPN al het IP-verkeer via een tunnel wordt geleid. Dit geldt voor al het lokale verkeer en voor het verkeer dat wordt verstuurd via voorzieningen voor mobiele data. Met de standaardinstelling van Altijd actieve VPN is het dus niet mogelijk om lokale IP-voorzieningen of voorzieningen van IP-aanbieders te gebruiken. Altijd actieve VPN ondersteunt echter uitzonderingen voor voorzieningen, zodat uw organisatie de standaardwerking kan aanpassen door het verkeer van voorzieningen buiten de tunnel om te leiden of te wissen. Op dit moment zijn VoiceMail en AirPrint de ondersteunde voorzieningen. De toegestane actie is 'Allow' (verkeer buiten de tunnel) of 'Drop' (verkeer wissen ongeacht de aanwezigheid van een tunnel). Zie Configuration Profile Key Reference in de iOS Developer Library voor meer informatie over sleutels en kenmerken van het IKEv2-protocol van Altijd actieve VPN.
Hoofdstuk 3 Infrastructuur en integratie
42
Internetvoorzieningen
4
Overzicht De internetvoorzieningen van Apple zijn ontwikkeld op dezelfde beveiligingspijlers als waarop het gehele iOS-platform is gebouwd: beveiliging van gegevens (tijdens opslag op het apparaat of tijdens overdracht via draadloze netwerken), bescherming van de persoonlijke gegevens van gebruikers, en bescherming tegen kwaadwillende of onbevoegde toegang tot informatie en voorzieningen. Elke voorziening maakt gebruik van een eigen, krachtige beveiligingsarchitectuur zonder dat dit ten koste gaat van de gebruiksvriendelijkheid van iOS. Met deze voorzieningen kunnen gebruikers beter communiceren en hun persoonlijke gegevens aanmaken en daarvan een reservekopie maken zonder dat daarbij de gegevens van uw organisatie in gevaar komen. Hiertoe behoren: ••
Apple ID
••
Zoek mijn iPhone en Activeringsslot
••
iCloud
••
iCloud-reservekopie
••
iCloud-sleutelhanger
••
iMessage
••
FaceTime
••
Siri
••
Apple ID for Students
U kunt via een MDM-oplossing en iOS-beperkingen restricties afdwingen voor bepaalde voorzieningen. Zie iOS-beperkingen voor informatie.
Apple ID
Een Apple ID is nodig om toegang te krijgen tot voorzieningen van Apple. U moet weten hoe een Apple ID werkt, zodat u gebruikers kunt uitleggen hoe ze zelf een Apple ID kunnen aanmaken. Een Apple ID is een identiteit die wordt gebruikt om in te loggen bij verschillende Apple voorzieningen, zoals FaceTime, iMessage, de iTunes Store, de App Store, de iBooks Store en iCloud. Deze voorzieningen geven gebruikers toegang tot een gevarieerd aanbod van materiaal waarmee ze bedrijfstaken kunnen stroomlijnen, productiever kunnen worden en beter kunnen samenwerken.
43
Om deze voorzieningen optimaal te kunnen benutten, moeten gebruikers een eigen Apple ID hebben. Als ze geen Apple ID hebben, kunnen ze er zelf één aanmaken nog voordat ze een apparaat hebben ontvangen en anders door de configuratie-assistent in iOS te gebruiken. De configuratie-assistent biedt een eenvoudige en gestroomlijnde manier om rechtstreeks vanaf een iOS-apparaat een Apple ID aan te maken. Apple ID's kunnen worden aangemaakt zonder dat hiervoor een creditcard nodig is. Bij een-op-een-implementaties en in scenario's waarbij apparaten het eigendom zijn van studenten, moeten alle gebruikers een eigen Apple ID hebben. In een implementatie voor gedeeld gebruik kan een Apple ID van de instelling worden gebruikt om materiaal via Apple Configurator op verschillende apparaten te implementeren. Met een Apple ID kan iedere student apps, boeken en studieboeken van de instelling installeren, notities maken in iBooks die toegankelijk zijn op verschillende iOS-apparaten en zich inschrijven voor cursussen van iTunes U. Ga naar de website over Apple ID's voor meer informatie over Apple ID's.
Zoek mijn iPhone en Activeringsslot
Als een apparaat wordt gestolen of kwijt is, is het raadzaam het apparaat te deactiveren en te wissen. Als in iOS 7 of hoger de functie Zoek mijn iPhone is ingeschakeld, kan het apparaat alleen opnieuw worden geactiveerd als de Apple ID van de eigenaar wordt ingevoerd. Het is verstandig om apparaten van de organisatie onder supervisie te plaatsen of om beleidsinstellingen voor de voorziening Zoek mijn iPhone te gebruiken, zodat uw organisatie vrij is om het apparaat aan anderen toe te wijzen. Bij iOS 7.1 of hoger kunt u een compatibele MDM-oplossing gebruiken om op apparaten die onder supervisie staan Activeringsslot in te schakelen wanneer een gebruiker Zoek mijn iPhone inschakelt. MDM-beheerders kunnen de voorziening Activeringsslot van Zoek mijn iPhone beheren door apparaten onder supervisie te plaatsen met Apple Configurator of het Device Enrollment Program. In de MDM-oplossing kan dan een speciale ontgrendelingscode worden opgeslagen wanneer Activeringsslot wordt ingeschakeld. Met deze code kan het slot later automatisch worden uitgeschakeld wanneer u het apparaat moet wissen om het aan een andere gebruiker te geven. Raadpleeg voor meer informatie de documentatie bij de MDM-oplossing. Belangrijk: De standaardinstelling is dat Activeringsslot nooit is ingeschakeld op apparaten die onder supervisie staan, zelfs niet als de gebruiker Zoek mijn iPhone inschakelt. Een MDM-server kan echter een ontgrendelingscode opvragen en Activeringsslot toestaan op het apparaat. Als Zoek mijn iPhone is ingeschakeld op het moment dat de MDM-server het activeringsslot inschakelt, wordt het slot direct ingeschakeld. Als Zoek mijn iPhone is uitgeschakeld op het moment dat de MDM-server het activeringsslot inschakelt, wordt het slot ingeschakeld wanneer de gebruiker Zoek mijn iPhone activeert. Informatie over de voorzieningen Zoek mijn iPhone en Activeringsslot kunt u lezen in de Apple Support-artikelen iCloud: Activeringsslot van Zoek mijn iPhone in iOS 7 en Mobile Device Management en Activeringsslot van Zoek mijn iPhone. Zie ook Instellingen voor activeringsslot in de Profielbeheer Help.
Hoofdstuk 4 Internetvoorzieningen
44
iCloud
Met iCloud kunnen gebruikers persoonlijke inhoud opslaan, zoals contactpersonen, agenda's, documenten en foto's, en deze vervolgens up-to-date houden op verschillende apparaten. Inhoud in iCloud wordt beveiligd doordat deze tijdens de verzending via het internet wordt gecodeerd. Het materiaal wordt ook gecodeerd bewaard en er worden veilige tokens gebruikt voor identiteitscontrole. Gebruikers kunnen ook overal en altijd documenten en projecten delen met andere iCloud-gebruikers. Op iOS-apparaten worden via iCloud automatisch reservekopieën gemaakt van appgegevens, foto's en instellingen. Daarnaast biedt iCloud de mogelijkheid om kwijtgeraakte of gestolen apparaten terug te vinden via Zoek mijn iPhone. Sommige voorzieningen kunnen worden uitgeschakeld via beperkingen die handmatig worden ingesteld op het apparaat of die worden afgedwongen via configuratieprofielen. Denk hierbij aan voorzieningen zoals Fotostream, iCloud-sleutelhanger, Documenten in de cloud en iCloud-reservekopie. Ga naar de iCloud-website voor meer informatie over iCloud. Lees het Apple Support-artikel iCloud: overzicht van iCloud-beveiliging en -privacy voor meer informatie over iCloud-beveiliging en -privacy. Opmerking: Voor sommige voorzieningen is een Wi-Fi-verbinding vereist. Sommige voorzieningen zijn niet in alle landen beschikbaar. De toegang tot bepaalde voorzieningen is beperkt tot 10 apparaten.
iCloud-reservekopie
iCloud maakt elke dag via Wi-Fi een reservekopie van gegevens, zoals apparaatinstellingen, appgegevens en sms- en mms-berichten. Inhoud in iCloud wordt door middel van codering beveiligd tijdens verzending via het internet. Het materiaal wordt ook gecodeerd bewaard en er worden veilige tokens gebruikt voor identiteitscontrole. iCloud-reservekopie werkt alleen wanneer het apparaat is vergrendeld, is aangesloten op een voedingsbron en via Wi-Fi toegang heeft tot het internet. Encryptie zorgt ervoor dat de gegevens veilig zijn, terwijl er zonder tussenkomst van de gebruiker incrementele reservekopieën kunnen worden gemaakt en teruggezet. Via een MDM-oplossing kan ook worden ingesteld dat er geen reservekopie van beheerde apps kan worden gemaakt in iCloud. Dit heeft als voordeel dat gebruikers iCloud kunnen gebruiken voor persoonlijke gegevens, terwijl zakelijke informatie niet wordt opgeslagen in de cloud. In iCloud worden geen reservekopieën opgeslagen van gegevens van zakelijke accounts en zakelijke interne apps.
iCloud-sleutelhanger
Met iCloud-sleutelhanger kunnen gebruikers hun wachtwoorden veilig synchroniseren tussen iOS-apparaten en Macs, zonder die informatie met Apple te delen. iCloud-sleutelhanger omvat twee functies:
••
Synchronisatie van sleutelhangers
••
Herstel van sleutelhangers
Hoofdstuk 4 Internetvoorzieningen
45
Apparaten kunnen uitsluitend deelnemen aan de synchronisatie van sleutelhangers als de gebruiker hiervoor toestemming heeft gegeven. Elk onderdeel van de sleutelhanger dat voor synchronisatie in aanmerking komt, wordt met apparaatspecifieke versleuteling uitgewisseld via de iCloud-opslag voor sleutelwaarden. Deze onderdelen hebben een tijdelijk karakter en verdwijnen na de synchronisatie uit iCloud. De herstelvoorziening voor sleutelhangers biedt gebruikers de mogelijkheid om hun sleutelhanger bij Apple in bewaring te geven zonder dat Apple de wachtwoorden en de andere gegevens daarin kan lezen. Ook als een gebruiker maar één apparaat heeft, kan herstel van sleutelhangers een vangnet voor gegevensverlies vormen. Dit is met name belangrijk als Safari wordt gebruikt voor het genereren van krachtige, willekeurige wachtwoorden voor internetaccounts, aangezien deze wachtwoorden uitsluitend in de sleutelhanger worden bewaard. Een secundaire identiteitscontrole en een veilige bewaarservice zijn belangrijke onderdelen van de herstelfunctie voor sleutelhangers. De sleutelhanger van de gebruiker wordt met een sterke toegangscode versleuteld, en de bewaarservice geeft uitsluitend een exemplaar van de sleutelhanger af als aan een reeks strikte voorwaarden wordt voldaan.
iMessage
iMessage is een berichtenvoorziening voor iOS-apparaten en Mac-computers. iMessage ondersteunt tekst en bijlagen zoals foto's, contactpersonen en locaties. Berichten worden weergegeven op alle geregistreerde apparaten van een gebruiker, zodat ze een gesprek op elk apparaat kunnen voortzetten. Voor iMessage wordt gebruikgemaakt van de Apple Push Notification Service (APNs) en van end-to-end codering met sleutels die alleen bekend zijn op de verzendende en ontvangende apparaten. Apple kan berichten niet decoderen en berichten worden niet geregistreerd. Opmerking: Hiervoor gelden mogelijk de gegevenstarieven van de aanbieder. Berichten worden mogelijk als sms verstuurd wanneer iMessage niet beschikbaar is; hierop zijn de sms-tarieven van uw aanbieder van toepassing.
FaceTime
FaceTime is de dienst van Apple voor het voeren van video- en audiogesprekken. Voor FaceTimegesprekken wordt via de Apple Push Notification Service een verbinding tot stand gebracht. Vervolgens wordt met behulp van ICE (Internet Connectivity Establishment) en SIP (Session Initiation Protocol) een versleutelde stream opgezet. Opmerking: FaceTime-gesprekken zijn alleen mogelijk als zowel de beller als de gebelde persoon een apparaat met FaceTime hebben en er een Wi-Fi-verbinding is. Voor FaceTime via een mobiel netwerk is een iPhone 4s of nieuwer vereist, een iPad met Retina-display of een iPad mini of nieuwer met een voorziening voor mobiel dataverkeer. Beschikbaarheid via een mobiel netwerk is afhankelijk van het beleid van de aanbieder. Er kunnen kosten voor dataverkeer in rekening worden gebracht.
Hoofdstuk 4 Internetvoorzieningen
46
Siri
Door gewoon te praten kunnen gebruikers onder andere berichten laten versturen, vergaderingen laten plannen en telefoonnummers laten kiezen door Siri. Siri gebruikt spraakherkenning, tekst-naar-spraak en een client-servermodel om op een breed scala aan verzoeken te kunnen reageren. De taken die door Siri worden ondersteund, zijn zo ontworpen dat alleen het absolute minimum aan persoonlijke gegevens wordt gebruikt en dat deze gegevens volledig beveiligd zijn. De vragen en gesproken memo's voor Siri worden niet aan een persoon gekoppeld, en de functies van Siri worden waar mogelijk niet op de server maar op het apparaat zelf uitgevoerd. Opmerking: Siri is mogelijk niet beschikbaar in alle talen of gebieden en de functies kunnen per gebied verschillen. Internettoegang is vereist. Er kunnen kosten voor mobiel dataverkeer in rekening worden gebracht.
Apple ID for Students
Het programma Apple ID for Students is voor leerlingen jonger dan 13 jaar. De school of de overkoepelende organisatie vraagt de Apple ID's aan en deze worden door Apple aangemaakt nadat door een ouder of verzorger het hiervoor bestemde formulier is ondertekend. Deze methode voldoet aan de voorwaarden van de Amerikaanse Children's Online Privacy Protection Act (COPPA). Zie de volgende website voor meer informatie over Apple ID for Students: ••
Apple ID for Students
••
Apple ID for Students Help
Opmerking: Het programma Apple ID for Students is niet in alle landen of regio's beschikbaar.
Hoofdstuk 4 Internetvoorzieningen
47
Beveiliging
5
Overzicht
iOS is opgebouwd uit verschillende beveiligingslagen, zodat iOS-apparaten op een veilige manier toegang kunnen krijgen tot netwerkvoorzieningen en belangrijke gegevens worden beschermd. Bescherming is ook verzekerd door het gebruik van beleidsregels voor toegangscodes, die draadloos kunnen worden geleverd en ingesteld. Mocht het apparaat in verkeerde handen vallen, kunnen gebruikers en IT-beheerders alle persoonlijke gegevens op het apparaat op afstand wissen. De volgende elementen spelen een rol bij het garanderen van de veiligheid van iOS-apparaten voor gebruik in bedrijfsomgevingen: ••
Methoden die het apparaat beveiligen tegen ongeoorloofd gebruik
••
Beveiliging van de gegevens, ook wanneer het apparaat kwijt of gestolen is
••
Netwerkprotocollen en de codering van gegevens tijdens de overdracht
••
Apps veilig uitvoeren zonder de integriteit van het platform in gevaar te brengen
Deze elementen zijn zodanig met elkaar verweven dat ze een veilig mobiel computerplatform bieden. Zie, over beveiliging voor meer informatie over beveiliging met iOS, iPhone in het bedrijfsleven: de beveiligingspagina The New IT.
Beveiliging van apparaten en gegevens
Een streng toegangsbeleid voor iOS-apparaten is essentieel voor het beveiligen van de gegevens van uw organisatie. Een apparaattoegangscode is de eerste stap in het voorkomen van toegang door onbevoegden. Deze toegangscodes kunnen draadloos worden geconfigureerd en ingesteld. Verder genereren iOS-apparaten op basis van de door de gebruiker ingestelde toegangscode een krachtige coderingssleutel om e-mails en gevoelige appgegevens op het apparaat nog beter te beveiligen. Daarnaast biedt iOS veilige methoden om het apparaat te configureren in een IT-omgeving waar bepaalde (beleids)instellingen en beperkingen moeten gelden. Deze methoden bieden flexibele opties om een standaardbeveiligingsniveau in te stellen voor bevoegde gebruikers. Beleidsregels voor toegangscodes Een apparaattoegangscode voorkomt dat onbevoegde gebruikers toegang hebben tot gegevens op een apparaat. iOS biedt een uitgebreide reeks beleidsregels voor toegangscodes om aan het gewenste beveiligingsniveau te voldoen. De beleidsregels voor toegangscodes zijn onder andere: ••
Toegangscode op apparaat vereist
••
Alfanumerieke waarde vereist
••
Minimale lengte toegangscode
••
Minimumaantal complexe tekens
48
••
Maximale gebruiksduur toegangscode
••
Tijd voor automatische vergrendeling
••
Geschiedenis toegangscodes
••
Geldigheid toegangscode bij vergrendeling
••
Maximumaantal mislukte pogingen
Afdwingen van beleid U kunt beleidsinstellingen distribueren via een configuratiebestand dat gebruikers installeren. U kunt een profiel zo definiëren dat het alleen met een beheerderswachtwoord kan worden verwijderd of dat het permanent aan het apparaat wordt gekoppeld en alleen kan worden verwijderd door de volledige inhoud van het apparaat te wissen. Instellingen voor toegangscodes kunnen via een MDM-oplossing (Mobile Device Management, beheer van mobiele apparaten) op afstand worden geconfigureerd, zodat beleidsinstellingen rechtstreeks naar het apparaat kunnen worden verstuurd. Op deze manier kunnen beleidsinstellingen zonder tussenkomst van de gebruiker worden afgedwongen en bijgewerkt. Als een apparaat is geconfigureerd voor gebruik van een Microsoft Exchange-account, worden de Exchange ActiveSync-beleidsinstellingen draadloos naar het apparaat verstuurd. Welke beleidsinstellingen beschikbaar zijn, is afhankelijk van de versie van Exchange ActiveSync en Exchange Server waarmee wordt gewerkt. Als er sprake is van zowel Exchange- als MDMbeleidsinstellingen, wordt de strengste instelling gebruikt. Beveiligde apparaatconfiguratie Een configuratieprofiel is een XML-bestand met beveiligings- en beperkingsinstellingen, VPN-configuratiegegevens, Wi-Fi-instellingen, e-mail- en agenda-accounts en gegevens voor identiteitscontroles die het mogelijk maken dat iOS-apparaten samen met uw IT-systemen kunnen worden gebruikt. De mogelijkheid om in een configuratieprofiel zowel beleidsinstellingen voor toegangscodes als apparaatinstellingen vast te leggen, zorgt ervoor dat apparaten correct worden geconfigureerd en voldoen aan de beveiligingsstandaarden van uw IT-afdeling. Omdat configuratieprofielen kunnen worden gecodeerd en vergrendeld, kunnen de instellingen niet worden verwijderd, gewijzigd of met andere personen worden gedeeld. Configuratieprofielen kunnen worden ondertekend én gecodeerd. Door een configuratieprofiel te ondertekenen, wordt gewaarborgd dat de instellingen in het profiel op geen enkele manier kunnen worden gewijzigd. Door een configuratieprofiel te coderen, wordt de inhoud van het profiel beschermd en kan het profiel alleen worden geïnstalleerd op het apparaat waarvoor het is aangemaakt. Configuratieprofielen worden gecodeerd met CMS (Cryptographic Message Syntax, RFC 3852) en ondersteunen 3DES en AES 128. Als u een gecodeerd configuratieprofiel voor de eerste keer distribueert, kunt u het via een USB-verbinding installeren met behulp van Apple Configurator, draadloos installeren via het protocol "Over-The-Air Profile Delivery and Configuration" of via een MDM-oplossing installeren. Daarna kunt u gecodeerde configuratieprofielen distribueren als e-mailbijlage, via een website die toegankelijk is voor uw gebruikers of door ze via de MDM-oplossing naar het apparaat te pushen. Zie Over-the-Air Profile Delivery and Configuration in de iOS Developer Library voor meer informatie.
Hoofdstuk 5 Beveiliging
49
Gegevensbeveiliging U kunt vertrouwelijke gegevens, zoals e-mailberichten en bijlagen die op het apparaat zijn opgeslagen, beter beveiligen door de ingebouwde functies voor gegevensbeveiliging van iOS te gebruiken. De unieke toegangscode van gebruikers plus de hardwarematige codering op iOS-apparaten vormen samen een krachtige coderingssleutel voor gegevensbeveiliging. Met deze sleutel wordt voorkomen dat de gegevens op het apparaat toegankelijk zijn wanneer het apparaat is vergrendeld. Daarnaast wordt er zo voor gezorgd dat belangrijke gegevens zelfs in onveilige situaties zijn afgeschermd. Om gegevensbeveiliging in te schakelen, moet u een toegangscode op het apparaat instellen. Hoe sterker de toegangscode, hoe beter de gegevens worden beveiligd. Daarom is het verstandig om in de instellingen voor de toegangscode op te geven dat toegangscodes uit meer dan vier cijfers moeten bestaan. Gebruikers kunnen in het scherm voor toegangscode-instellingen controleren of gegevensbescherming op hun apparaat is ingeschakeld. Deze informatie kan ook worden opgevraagd via een MDM-oplossing. Voor ontwikkelaars zijn er ook API's voor gegevensbeveiliging beschikbaar. Deze API's kunnen worden gebruikt om gegevens in apps uit de App Store of interne maatwerkapps te beveiligen. Met iOS 7 of hoger worden gegevens van apps standaard opgeslagen in de beveiligingsklasse "Protected Until First User Authentication". Dit is te vergelijken met volledige schijfcodering op desktopcomputers en houdt in dat gegevens worden beschermd tegen aanvallen waarvoor het apparaat opnieuw moet worden opgestart. iOS 8 biedt gegevensbeveiliging voor Agenda's, Contacten, Berichten, Notities, Herinneringen, evenals voor beheerde boeken en pdf's. Opmerking: Als een upgrade wordt uitgevoerd op een apparaat met iOS 6, worden de bestaande gegevensarchieven niet naar de nieuwe klasse geconverteerd. Als de app wordt verwijderd en vervolgens opnieuw wordt geïnstalleerd, wordt de nieuwe beveiligingsklasse wel toegewezen. Codering iOS-apparaten bieden hardwarematige codering. Hierbij wordt gebruikgemaakt van 256-bits AES-codering om alle gegevens op het apparaat te beveiligen. Codering is altijd ingeschakeld en kan niet worden uitgeschakeld. Daarnaast kunnen ook reservekopiegegevens in iTunes op de computer van de gebruiker worden gecodeerd. Deze instelling kan door de gebruiker zelf worden ingeschakeld of door een apparaatbeperking in een configuratieprofiel worden opgelegd. Validatie van de cryptografische modules in iOS 6 of hoger heeft uitgewezen dat ze voldoen aan de Amerikaanse Federal Information Processing Standard (FIPS) 140-2 Level 1. Dit garandeert de integriteit van de cryptografische bewerkingen in apps van Apple en andere fabrikanten die op de juiste manier gebruikmaken van de cryptografische voorzieningen van iOS. Lees voor meer informatie de Apple Support-artikelen iOS-productbeveiliging: validaties en richtlijnen en iOS 7: cryptografische modules met FIPS-validatie v4.0 van Apple voor iOS.
Hoofdstuk 5 Beveiliging
50
S/MIME per bericht In iOS 8 is S/MIME per bericht geïntroduceerd, wat inhoudt dat S/MIME-gebruikers ervoor kunnen kiezen om berichten altijd te ondertekenen en te coderen, of om berichten afzonderlijk te ondertekenen en/of te coderen om zo meer controle te hebben over de beveiliging van elk e-mailbericht. Markering van externe e-mailadressen In iOS 8 kan een lijst met domeinen met een bepaald achtervoegsel worden aangemaakt. E-mailberichten die niet zijn geadresseerd aan domeinen in de goedgekeurde lijst, worden gemarkeerd. Stel dat een gebruiker zowel example.com als group.example.com heeft opgenomen in de lijst met bekende domeinen. Als de gebruiker vervolgens
[email protected] invoert, wordt dat adres gemarkeerd, zodat de gebruiker meteen kan zien dat dit domein niet in de lijst staat. Touch ID Touch ID is de identiteitssensor voor vingerafdrukken die in bepaalde iOS-apparaten is ingebouwd en die hoogwaardige beveiliging van het apparaat sneller en gemakkelijker maakt. Met deze technologie kunnen vanuit elke hoek vingerafdrukken worden gelezen. Er wordt gaandeweg meer geleerd over de vingerafdruk van de gebruiker naarmate de sensor de vingerafdrukkaart uitbreidt met extra overlappende knooppunten die met elk gebruik worden herkend. Met Touch ID wordt het gebruik van langere en meer complexe toegangscodes een stuk praktischer, aangezien de gebruiker de toegangscode minder vaak hoeft in te toetsen. Als Touch ID is ingeschakeld, wordt het apparaat direct vergrendeld zodra op de sluimerknop wordt gedrukt. Wanneer alleen een toegangscode vereist is, stellen veel gebruikers een timeout voor het automatische slot in om te voorkomen dat ze telkens als ze het apparaat willen gebruiken de toegangscode weer moeten invoeren. Met Touch ID wordt het apparaat telkens vergrendeld als het apparaat in de sluimerstand gaat en is de vingerafdruk (of optioneel de toegangscode) nodig om het apparaat uit de sluimerstand te halen. Touch ID werkt samen met de Secure Enclave, een coprocessor in de Apple A7-chip. De Secure Enclave beschikt over een eigen beveiligde en gecodeerde geheugenruimte en communiceert op een beveiligde manier met de Touch ID-sensor. Wanneer het apparaat wordt vergrendeld, worden de sleutels voor de gegevensbeveiligingsklasse "Complete" beveiligd met een sleutel die zich in het gecodeerde geheugen van de Secure Enclave bevindt. De sleutel wordt maximaal 48 uur bewaard en wordt verwijderd als het apparaat opnieuw wordt opgestart of wanneer er vijf keer een onbekende vingerafdruk wordt gebruikt. Als een vingerafdruk wordt herkend, levert de Secure Enclave de sleutel voor het uitpakken van de gegevensbeveiligingssleutels en wordt het apparaat ontgrendeld. In iOS 8 kan nu ook via Touch ID worden ingelogd bij apps van andere ontwikkelaars. Als de ontwikkelaar deze voorziening heeft geïntegreerd in de app, hoeft de gebruiker geen wachtwoord in te voeren. Alle sleutelhangeronderdelen die door de ontwikkelaar zijn opgegeven, kunnen met Touch ID worden ontgrendeld. De vingerafdrukgegevens van een gebruiker worden beveiligd en worden nooit geraadpleegd door by iOS of apps.
Hoofdstuk 5 Beveiliging
51
Wissen op afstand iOS ondersteunt wissen op afstand. Als een apparaat gestolen of kwijt is, kan een beheerder of de eigenaar van het apparaat alle gegevens op afstand wissen en het apparaat deactiveren. Als het apparaat is geconfigureerd met een Exchange-account, kan de beheerder via de Exchange Management Console (Exchange Server 2007) of de Exchange ActiveSync Mobile Administration Web-tool (Exchange Server 2003 of 2007) op afstand een wiscommando geven. Gebruikers die met Exchange Server 2007 werken, kunnen dit commando ook direct via Outlook Web Access geven. Het commando voor wissen op afstand kan ook via een MDM-oplossing of via de functie Zoek mijn iPhone van iCloud worden gegeven, zelfs als er geen Exchange-bedrijfsvoorzieningen worden gebruikt. Lokaal wissen U kunt apparaten zo configureren dat de gegevens automatisch lokaal worden gewist nadat er een bepaald aantal keer een onjuiste toegangscode is ingevoerd. Zo wordt het buitenstaanders direct moeilijk gemaakt om toegang te krijgen. Als er een toegangscode is ingesteld, kunnen gebruikers de functie voor lokaal wissen inschakelen. De standaardinstelling is dat het apparaat na 10 mislukte pogingen automatisch wordt gewist. Het maximale aantal pogingen kan worden opgegeven in een configuratieprofiel, worden ingesteld op een MDM-server of via Exchange ActiveSync-beleid draadloos worden afgedwongen.
Netwerkbeveiliging
Mobiele gebruikers moeten altijd en overal toegang kunnen krijgen tot hun bedrijfsnetwerk. Uiteraard is het hierbij wel van belang dat de gebruikers zijn geautoriseerd en dat hun gegevens tijdens de overdracht worden beveiligd. iOS ondersteunt deze beveiligingsdoelstellingen voor zowel Wi-Fi-verbindingen als verbindingen met een mobiel-datanetwerk. iOS ondersteunt de volgende methoden voor netwerkbeveiliging: ••
Ingebouwd: Cisco IPSec, L2TP, PPTP, IKEv2
••
SSL VPN via App Store-apps
••
SSL/TLS met X.509-certificaten
••
WPA/WPA2 op bedrijfsniveau met 802.1x
••
Identiteitscontrole op basis van certificaten
••
RSA SecurID, CRYPTOCard
VPN In veel bedrijfsomgevingen wordt een vorm van VPN (Virtual Private Network) gebruikt. Deze beveiligde netwerkvoorzieningen vragen meestal om minimale instellingen en configuratie om met iOS te kunnen werken, aangezien iOS met een breed scala aan veelgebruikte VPNtechnologieën kan worden geïntegreerd. Zie Overzicht voor meer informatie over Virtual Private Networks (VPN). IPSec IOS ondersteunt protocollen en methoden voor identiteitscontrole op basis van IPSec. Zie Ondersteunde protocollen en methoden voor identiteitscontrole voor meer informatie. SSL/TLS iOS biedt ondersteuning voor SSL versie 3 en TLS versie 1.0, 1.1 en 1.2 (Transport Layer Security). Voor Safari, Agenda, Mail en andere internetapps worden deze protocollen automatisch gebruikt om een gecodeerd communicatiekanaal op te zetten tussen iOS en bedrijfsvoorzieningen.
Hoofdstuk 5 Beveiliging
52
WPA/WPA2 iOS ondersteunt WPA2 op bedrijfsniveau om de identiteitscontrole voor toegang tot het draadloze bedrijfsnetwerk uit te voeren. WPA2 op bedrijfsniveau gebruikt 128-bit AES-codering, wat inhoudt dat de gegevens van gebruikers worden beveiligd tijdens communicatie via een Wi-Fi-netwerk. Dankzij de ondersteuning voor 802.1x-identiteitscontrole kunnen iPhones en iPads bovendien in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd. iOS ondersteunt de volgende 802.1x-protocollen voor identiteitscontrole: ••
EAP-TLS
••
EAP-TTLS
••
EAP-FAST
••
EAP-SIM
••
EAP-AKA
••
PEAP versie 0, versie 1
••
LEAP
Zie Wi-Fi-infrastructuur voor meer informatie. Codering voor FaceTime en iMessage Alle FaceTime-sessies en iMessage-gesprekken worden van begin tot eind gecodeerd. In iOS wordt voor iedere gebruiker een unieke ID aangemaakt, zodat de communicatie op de juiste manier wordt gecodeerd, wordt verstuurd en tot stand wordt gebracht.
Beveiliging van apps
In iOS wordt gebruikgemaakt van 'sandboxing' voor de runtimebescherming van apps. Ook worden apps ondertekend om te waarborgen dat er niet mee kan worden geknoeid. Daarnaast heeft iOS een sleutelhanger, waarin verificatiegegevens voor apps en netwerken veilig en gecodeerd worden opgeslagen. Voor ontwikkelaars biedt iOS een Common Crypto-architectuur die kan worden gebruikt om de opslag van appgegevens te coderen. Runtimebeveiliging De apps in iOS worden in een sandbox geplaatst, zodat ze geen toegang hebben tot gegevens van andere apps. Bovendien worden systeembestanden, hulpbronnen en de kernel afgeschermd van de ruimte voor de app. Een app kan alleen toegang krijgen tot de gegevens van een andere app via de API's en voorzieningen van iOS. Ten slotte is het genereren van code ook beveiligd. Verplichte codeondertekening Alle iOS-apps moeten ondertekend zijn. Alle apps die bij het apparaat worden geleverd, zijn door Apple ondertekend. Apps van derden zijn ondertekend door de ontwikkelaar met een door Apple afgegeven certificaat. Dit garandeert dat er niet mee geknoeid is en dat de app niet is gewijzigd. Bovendien worden er runtimecontroles uitgevoerd, zodat u er zeker van kunt zijn dat u de app nog steeds kunt vertrouwen sinds u deze voor de laatste keer hebt gebruikt. U kunt het gebruik van interne maatwerkapps beheren met behulp van een voorzieningenprofiel. Gebruikers kunnen de app in dat geval alleen starten als het voorzieningenprofiel is geïnstalleerd. Voorzieningenprofielen kunnen draadloos via een MDM-oplossing worden geïnstalleerd. U kunt het gebruik van een app ook beperken tot bepaalde apparaten.
Hoofdstuk 5 Beveiliging
53
Beveiligd framework voor identiteitscontrole iOS biedt een veilige, gecodeerde sleutelhanger voor de opslag van digitale identiteitsgegevens, gebruikersnamen en wachtwoorden. De sleutelhangergegevens zijn gepartitioneerd, zodat de verificatiegegevens die door apps van derden zijn opgeslagen niet toegankelijk zijn voor apps met een andere identiteit. Hierdoor worden de gegevens voor identiteitscontroles op iOSapparaten voor een aantal apps en voorzieningen binnen de organisatie beveiligd. Common Crypto-architectuur Ontwikkelaars van apps kunnen de gegevens van hun app beveiligen met speciale coderingsAPI's. Gegevens kunnen symmetrisch worden gecodeerd met behulp van beproefde methoden zoals AES, RC4 en 3DES. Bovendien bieden iOS-apparaten hardwareversnelling voor AESversleuteling en SHA1-hashing, wat de prestaties van apps ten goede komt. Beveiliging van appgegevens Apps kunnen ook gebruikmaken van de ingebouwde hardwarecodering op iOS-apparaten om gevoelige appgegevens nog beter te beveiligen. Ontwikkelaars kunnen bepaalde bestanden aanwijzen voor gegevensbeveiliging, waarbij de inhoud van zo'n bestand cryptografisch ontoegankelijk wordt gemaakt voor zowel de app als potentiële indringers wanneer het apparaat is vergrendeld. Rechten van apps Een iOS-app heeft standaard maar weinig bevoegdheden. Ontwikkelaars moeten expliciet rechten toevoegen om gebruik te kunnen maken van de meeste voorzieningen, zoals iCloud, verwerking op de achtergrond en gedeelde sleutelhangers. Hiermee wordt voorkomen dat apps zichzelf onbevoegde toegang tot gegevens geven. Bovendien moeten iOS-apps expliciet om toestemming van de gebruiker vragen voordat gebruik kan worden gemaakt van allerlei iOSvoorzieningen, zoals gps, contacten, de camera of bewaarde foto's. Eenmalige aanmelding en Touch ID Ontwikkelaars kunnen Eenmalige aanmelding en Touch ID gebruiken om een veilige, naadloos geïntegreerde identiteitscontrole mogelijk te maken tussen verschillende apps en om identiteitscontrole via Touch ID toe te staan. Zie Eenmalige aanmelding configureren en Touch ID voor meer informatie.
Hoofdstuk 5 Beveiliging
54
Configuratie en beheer
6
Overzicht
U kunt iOS-implementaties stroomlijnen met behulp van verschillende beheertechnieken waarmee het configureren van accounts en beleidsinstellingen, het distribueren van apps en het toepassen van apparaatbeperkingen een stuk eenvoudiger wordt. U kunt instellingen en accounts van iOS-apparaten handmatig of draadloos via een MDM-oplossing (Mobile Device Management) configureren. De gebruikers kunnen daarna de eerste configuratie zelf uitvoeren met de ingebouwde configuratie-assistent van iOS. Nadat iOS-apparaten zijn geconfigureerd en aangemeld bij een MDM-oplossing, kunnen ze draadloos door de IT-afdeling worden beheerd. Een MDM-oplossing geeft uw organisatie de mogelijkheid om apparaten op een veilige manier te introduceren in de bedrijfsomgeving, om instellingen draadloos te configureren en bij te werken, om te controleren of de ingestelde beleidsregels worden nageleefd, om apps te implementeren, en om beheerde apparaten op afstand te wissen of te vergrendelen. Er zijn verschillende MDM-oplossingen beschikbaar voor verschillende serverplatforms. De beheerconsole, de functies en de prijs varieert per oplossing. Het is verstandig om pas een oplossing te kiezen nadat u de volgende informatie hebt doorgenomen, zodat u weet welke MDM-functies het belangrijkst zijn voor uw organisatie. Afhankelijk van de eigenaar van de apparaten en de implementatiemethode, zijn er verschillende werkstromen en technieken voor de configuratie mogelijk. Zie de implementatiemodellen in het gedeelte Overzicht voor meer informatie. In dit gedeelte wordt alle tools, programma's en voorzieningen beschreven die beschikbaar zijn ter ondersteuning van uw iOS-implementatie.
Configuratie-assistent en activering
Met de ingebouwde configuratie-assistent van iOS kunt u nieuwe of gewiste apparaten activeren, basisinstellingen configureren en voorkeuren opgeven, zoals taal, locatievoorzieningen, Siri, iCloud en Zoek mijn iPhone. Gebruikers kunnen deze voorzieningen direct gebruiken op een nieuw iOS-apparaat om snel aan de slag te gaan. Een andere mogelijkheid is dat de organisatie deze basisconfiguratie uitvoert voor de gebruikers. Gebruikers kunnen met de configuratieassistent ook een eigen Apple ID aanmaken als ze die nog niet hebben. De volgende schermen van de configuratie-assistent van iOS kunnen worden overgeslagen voor iOS-apparaten die bij het Device Enrollment Program zijn aangemeld en via een MDM-oplossing worden beheerd: ••
Zet terug vanaf reservekopie: Terugzetten vanaf een reservekopie is niet mogelijk
••
Apple ID: Aanmelding met een Apple ID is niet nodig
••
Servicevoorwaarden: De servicevoorwaarden worden overgeslagen
••
Verstuur diagnose: Diagnostische gegevens worden niet automatisch verstuurd
••
Locatie: Locatievoorzieningen worden niet ingeschakeld
55
••
Toegangscode: Het instellen van een toegangscode wordt overgeslagen
••
Siri: Siri wordt niet ingeschakeld
Ga naar de volgende website voor meer informatie over het Device Enrollment Program: ••
Device Enrollment Program
••
Deployment Programs.
••
Apple Deployment Programs Help
Configuratieprofielen
Een configuratieprofiel is een XML-bestand dat u gebruikt om configuratiegegevens te distribueren naar iOS-apparaten. Met behulp van configuratieprofielen kunt u de configuratie van instellingen, accounts, beperkingen en identiteitsgegevens automatiseren. De profielen kunnen worden geïnstalleerd via een bijlage bij een e-mail, worden gedownload van een webpagina of via Apple Configurator worden geïnstalleerd op apparaten. Als u een groot aantal apparaten moet configureren, of liever een draadloos implementatiemodel gebruikt, kunt u configuratieprofielen aanbieden via een MDM-oplossing. Configuratieprofielen kunnen worden gecodeerd en ondertekend, zodat u het gebruik ervan kunt beperken tot een bepaald apparaat en kunt voorkomen dat iemand de instellingen van een profiel wijzigt. Bovendien kunt u een profiel permanent aan het apparaat koppelen, zodat het profiel na de installatie alleen kan worden verwijderd door alle gegevens van het apparaat te verwijderen of door een toegangscode in te voeren. Afgezien van wachtwoorden, kunnen gebruikers de instellingen in een configuratieprofiel niet wijzigen. Accounts die met een profiel zijn geconfigureerd, zoals Exchange-accounts, kunnen alleen worden verwijderd door het profiel te verwijderen. Zie Configuration Profile Key Reference in de iOS Developer Library voor meer informatie.
MDM (Mobile Device Management) Overzicht
iOS beschikt over een ingebouwd MDM-framework waarmee MDM-oplossingen van andere ontwikkelaars draadloos met iOS-apparaten kunnen communiceren. Dit eenvoudige framework is specifiek ontworpen voor iOS-apparaten en is voldoende krachtig en schaalbaar om alle iOSapparaten binnen een organisatie te configureren en te beheren. Een MDM-oplossing geeft u de mogelijkheid om apparaten op een veilige manier te introduceren in een organisatie, om instellingen te configureren en bij te werken, om te controleren of de ingestelde beleidsregels worden nageleefd, en om beheerde apparaten op afstand te wissen of te vergrendelen. In iOS kunt u met behulp van een MDM-oplossing op een eenvoudige manier de toegang van gebruikers tot netwerkvoorzieningen regelen en ervoor zorgen dat de apparaten goed zijn geconfigureerd. Het maakt hierbij niet uit wie eigenaar van de apparaten is.
Hoofdstuk 6 Configuratie en beheer
56
Voor MDM-oplossingen wordt gebruikgemaakt van de Apple Push Notification-service (APNs) om permanente communicatie met de apparaten te waarborgen in zowel openbare als privénetwerken. Voor een MDM-oplossing zijn meerdere certificaten vereist, waaronder een APNs-certificaat voor de communicatie met clients en een SSL-certificaat voor de beveiliging van de communicatie. In een MDM-oplossing kunnen profielen ook met een certificaat worden ondertekend. De meeste certificaten, waaronder APNs-certificaten, moeten jaarlijks worden vernieuwd. Als een certificaat verlopen is, kan de MDM-server niet met clients communiceren zolang het certificaat niet is bijgewerkt. Werk alle MDM-certificaten altijd bij voordat deze verlopen. Ga naar de portal Apple Push Certificates voor meer informatie over MDM-certificaten. Met een MDM-oplossing kan een organisatie op een veilige manier apparaten registreren die het persoonlijke eigendom zijn van medewerkers en/of van de organisatie. Als u over een MDM-oplossing beschikt, kunt u instellingen configureren en bijwerken, controleren of de beleidsinstellingen worden nageleefd, en beheerde apparaten op afstand wissen of vergrendelen. Daarnaast is een MDM-oplossing geschikt voor de distributie, het beheer en de configuratie van apps en boeken die zijn gekocht via het Volume Purchase Program of die intern zijn ontwikkeld. Om beheer mogelijk te maken, worden apparaten via een configuratieprofiel voor inschrijving geregistreerd op een MDM-server. Dit kan rechtstreeks door de gebruiker zelf worden gedaan. Als het gaat om apparaten die eigendom van het bedrijf zijn, kan MDM-inschrijving worden geautomatiseerd via het Device Enrollment Program (zie hierna). Als een beheerder via een MDM-oplossing een beleid, optie of commando activeert, krijgt de gebruiker via de Apple Push Notification-service (APNs) een melding van deze actie op zijn of haar iOS-apparaat. Als er een netwerkverbinding actief is, kunnen apparaten overal ter wereld APNs-meldingen ontvangen.
Aanmelden
Door apparaten aan te melden, kan er een appcatalogus worden aangemaakt en kunnen apparaten worden beheerd. Bij aanmelding kan het SCEP-protocol (Simple Certificate Enrollment Protocol) worden gebruikt, waarmee op iOS-apparaten unieke identiteitscertificaten voor de identiteitscontrole voor bedrijfsvoorzieningen kunnen worden aangemaakt en aangemeld. In de meeste gevallen beslissen de gebruikers of hun apparaat al dan niet bij de MDMoplossing wordt aangemeld, en ze kunnen de koppeling met de MDM-oplossing op elk moment verbreken. Het wordt aangeraden om gebruikers ertoe te bewegen het MDM-beheer niet uit te schakelen. U kunt bijvoorbeeld MDM-aanmelding voor toegang tot het Wi-Fi-netwerk verplicht stellen door de inloggegevens daarvoor automatisch via de MDM-oplossing te verstrekken. Als een gebruiker zich afmeldt bij de MDM-oplossing, probeert het apparaat dit aan de MDM-server door te geven. Het Device Enrollment Program kan ook worden gebruikt om apparaten van de organisatie tijdens de eerste configuratie onder supervisie te stellen en bij de MDM-oplossing aan te melden. De gebruikers van deze apparaten kunnen de MDM-oplossing dan niet omzeilen en hun apparaten ook niet afmelden. Zie Device Enrollment Program voor meer informatie.
Configuratie
Zodra een apparaat is aangemeld kan het dynamisch worden geconfigureerd met instellingen en beleidsregels door de MDM-server. Deze verstuurt configuratieprofielen naar het apparaat die automatisch (en op de achtergrond) door het apparaat worden geïnstalleerd.
Hoofdstuk 6 Configuratie en beheer
57
Configuratieprofielen kunnen worden ondertekend, versleuteld en vergrendeld. Hiermee wordt voorkomen dat de instellingen worden veranderd of gedeeld en wordt ervoor gezorgd dat uitsluitend vertrouwde gebruikers en apparaten die volgens uw specificaties zijn geconfigureerd toegang hebben tot uw netwerk en diensten. Als een gebruiker een apparaat afmeldt bij de MDM-oplossing, worden alle instellingen verwijderd die via de MDM-oplossing zijn doorgevoerd. In de nieuwe gebruikersinterface voor profielen in iOS 8 kunnen gebruikers zien welke voorzieningen via de MDM-oplossing zijn geconfigureerd of worden beperkt. Accounts, apps, boeken en beperkingen kunnen nu overzichtelijk worden weergegeven. Voorzieningenprofielen zijn niet meer zichtbaar voor de gebruiker in iOS 8 en verlopen profielen worden automatisch verwijderd.
Accounts
Met een MDM-oplossing kunnen de gebruikers binnen uw organisatie snel aan de slag, omdat hun e-mail en andere accounts automatisch worden geconfigureerd. Afhankelijk van de MDMoplossing en de integratie met uw interne systemen, kunnen de accountpayloads ook vooraf worden gevuld met gebruikersnamen, mailadressen en eventueel certificaatidentiteiten voor identiteitscontrole en ondertekening. Met een MDM-oplossing kunnen de volgende typen accounts worden geconfigureerd: ••
Mail
••
Agenda
••
Agenda's met abonnement
••
Contacten
••
Exchange ActiveSync
••
LDAP
In beheerde mail- en agenda-accounts wordt rekening gehouden met de beperkingen van de functie 'Open in' in iOS 7 en hoger.
Informatieverzoeken
Een MDM-server kan bij apparaten allerlei gegevens opvragen. Het gaat daarbij om hardwaregegevens, zoals het serienummer, de UDID van het apparaat of het MAC-adres voor Wi-Fi, en softwaregegevens, zoals de iOS-versie, beperkingen en een lijst met alle apps die op het apparaat zijn geïnstalleerd. Aan de hand van deze gegevens kan worden gecontroleerd of gebruikers de juiste apps onderhouden. Zo kan de MDM-server in iOS 8 opvragen wanneer er voor het laatst een reservekopie van een apparaat is gemaakt in iCloud en wat de account-hash van de ingelogde gebruiker voor de apptoewijzing is. Met Apple TV met softwareversie 5.4 of hoger kan de MDM-oplossing ook bij aangemelde Apple TV-apparaten gegevens opvragen over bijvoorbeeld de taal, de subtaal en de organisatie.
Beheertaken
Als een apparaat wordt beheerd, is het mogelijk om via de MDM-server een aantal specifieke taken uit te voeren. Voorbeelden van beheertaken zijn:
••
Configuratie-instellingen wijzigen: Er kan een commando worden verstuurd om een nieuw of bijgewerkt configuratieprofiel op een apparaat te installeren. Wijzigingen in de configuratie vinden op de achtergrond, zonder tussenkomst van de gebruiker, plaats.
••
Een apparaat vergrendelen: Als een apparaat direct moet worden vergrendeld, kan er een commando worden verstuurd om het apparaat met behulp van de huidige toegangscode te vergrendelen.
Hoofdstuk 6 Configuratie en beheer
58
••
Een apparaat op afstand wissen: Bij verlies of diefstal van een apparaat kan er een commando worden verstuurd om alle gegevens op het apparaat te verwijderen. Zodra een dergelijk commando is ontvangen, kan de bewerking niet meer ongedaan worden gemaakt.
••
Een codeslot wissen: Als een codeslot wordt gewist, moet de gebruiker direct een nieuwe toegangscode opgeven. Deze functie wordt gebruikt als een gebruiker de toegangscode is vergeten en de IT-afdeling vraagt de code opnieuw in te stellen.
••
Beperkingencode wissen: Ondersteuning voor het wissen van de beperkingen en de beperkingencode die op het apparaat zijn ingesteld door de gebruiker. Deze functie is alleen beschikbaar voor apparaten die onder supervisie staan.
••
Verzoek om synchrone AirPlay-weergave: Hiermee wordt een commando toegevoegd waarmee een iOS-apparaat onder supervisie wordt gevraagd te starten met synchrone AirPlay-weergave naar een specifieke bestemming.
••
Stop synchrone AirPlay-weergave: Hiermee wordt een commando toegevoegd waarmee een iOS-apparaat onder supervisie wordt gevraagd te stoppen met synchrone AirPlay-weergave naar een specifieke bestemming.
Bepaalde taken kunnen in de wachtrij van iOS 8 worden geplaatst wanneer het apparaat wordt ingesteld met de configuratie-assistent. Het betreft deze taken: ••
Uitnodiging voor deelname aan het Volume Purchase Program (VPP)
••
Apps installeren
••
Media installeren
••
Een inwisselcode toepassen
••
Een apparaat vergrendelen
••
Synchrone AirPlay-weergave aanvragen
Beheerde apps
Het kan binnen de organisatie nodig zijn om apps te distribueren onder gebruikers, zodat zij goed kunnen presteren in hun werk of studie. Tegelijkertijd is het belangrijk dat u de controle houdt over de manier waarop die apps verbinding maken met interne voorzieningen en de manier waarop er wordt omgegaan met gegevensbeveiliging wanneer een gebruiker de organisatie verlaat. Bovendien is het zo dat deze apps samen met persoonlijke apps en gegevens van de gebruiker op één apparaat staan. Met beheerde apps in iOS 7 of hoger kan uw organisatie gratis apps, betaalde apps en interne apps draadloos distribueren via een MDMoplossing en daarbij de juiste balans vinden tussen beveiliging en privacy. Via een MDM-server kunnen zowel App Store-apps als interne apps draadloos worden geïmplementeerd. Betaalde en gratis apps uit de App Store kunnen door een MDM-server worden beheerd door distributie via het VPP. Zie het Overzicht van het Volume Purchase Program voor meer informatie over beheerde distributie met een MDM-oplossing. VPP-apps kunnen op drie manieren worden geïnstalleerd:
••
Gebruikers met een eigen apparaat worden door de MDM-oplossing gevraagd de app vanuit de App Store te installeren. Hiervoor moeten ze hun Apple ID opgeven.
••
Bij apparaten die eigendom zijn van de organisatie en die worden beheerd met een MDMoplossing, worden apps op de achtergrond geïnstalleerd.
••
Gebruikers met apparaten die niet aan een MDM-oplossing zijn gekoppeld, kunnen VPP-apps installeren door via hun Apple ID een aankoopcode in te wisselen.
Hoofdstuk 6 Configuratie en beheer
59
Beheerde apps kunnen op afstand worden verwijderd door de MDM-server of wanneer de gebruiker zijn of haar apparaat afmeldt bij de MDM-oplossing. Als de app wordt verwijderd, worden ook alle bijbehorende gegevens verwijderd. Als de VPP-app nog steeds aan de gebruiker is toegewezen of als de gebruiker via zijn of haar eigen Apple ID een app-code heeft ingewisseld, kan de app opnieuw uit de App Store worden gedownload. In dat geval wordt de app echter niet meer beheerd. Met iOS 7 zijn verschillende beperkingen en mogelijkheden toegevoegd voor beheerde apps waarmee de veiligheid en gebruiksvriendelijkheid nog verder toenemen: ••
Managed Open In: Dit onderdeel biedt twee handige functies voor het beschermen van de appgegevens van uw organisatie: ••
Sta documenten uit onbeheerde bronnen toe op beheerde locaties. Met deze beperking wordt voorkomen dat met persoonlijke bronnen en accounts van de gebruiker documenten worden geopend op bestemmingen die door de organisatie worden beheerd. Met deze beperking wordt bijvoorbeeld voorkomen dat de Keynote-app van de gebruiker een pdfpresentatie opent in de pdf-lezer van de organisatie. Met deze beperking kan ook worden voorkomen dat er met de persoonlijke iCloud-account van een gebruiker een bijlage wordt geopend in de Pages-app van de organisatie.
••
Sta documenten uit beheerde bronnen toe op onbeheerde locaties. Met deze beperking wordt voorkomen dat met beheerde bronnen en accounts van een organisatie documenten worden geopend op persoonlijke bestemmingen van een gebruiker. Met deze beperking wordt bijvoorbeeld voorkomen dat een vertrouwelijke e-mailbijlage in de beheerde mailaccount van de organisatie wordt geopend in een van de persoonlijke apps van de gebruiker.
••
App Configuration: App-ontwikkelaars kunnen aangeven welke app-instellingen kunnen worden opgegeven als de app als beheerde app wordt geïnstalleerd. Deze configuratieinstellingen kunnen voor of na de installatie van de beheerde app worden opgegeven.
••
App Feedback: App-ontwikkelaars kunnen aangeven welke app-instellingen met behulp van een MDM-oplossing uit een beheerde app kunnen worden opgehaald. Een ontwikkelaar kan bijvoorbeeld een "DidFinishSetup"-sleutel opgeven waarmee een MDM-server feedback van een app kan opvragen om na te gaan of de app is geactiveerd en geconfigureerd.
••
Prevent Backup: Met deze beperking wordt voorkomen dat met beheerde apps een reservekopie van gegevens wordt bewaard in iCloud of iTunes. Wanneer het maken van reservekopieën niet is toegestaan, is het niet mogelijk om gegevens van beheerde apps terug te zetten als de app via de MDM-oplossing wordt verwijderd en later door de gebruiker opnieuw wordt geïnstalleerd.
In iOS 8 zijn de volgende extra beheertaken toegevoegd:
••
Safari downloads from managed domains: Bestanden die via Safari worden gedownload, worden als beheerde documenten beschouwd als ze afkomstig zijn van een beheerd domein. Als een gebruiker bijvoorbeeld via Safari een pdf opent uit een beheerd domein, voldoet die pdf aan alle instellingen voor beheerde documenten.
••
iCloud document management: Met deze beperking wordt voorkomen dat met beheerde apps gegevens worden bewaard in iCloud. Zo kunnen gegevens die met een beheerde app zijn aangemaakt of door een beheerde app worden gebruikt, niet worden opgeslagen in iCloud. Gegevens die in onbeheerde apps door gebruikers zijn aangemaakt, kunnen echter wel worden opgeslagen in iCloud.
Hoofdstuk 6 Configuratie en beheer
60
Beperkingen instellen voor toetsenborden van andere fabrikanten iOS 8 ondersteunt regels van de functie 'Open in' die van toepassing zijn op toetsenborduitbreidingen van andere fabrikanten. Op deze manier kan worden voorkomen dat onbeheerde toetsenborden worden weergegeven in beheerde apps.
Beheerde boeken
Met iOS 8 en een MDM-oplossing kunt u boeken distribueren en beheren die binnen de organisatie worden samengesteld. Boeken, ePubs en pdf's die via de MDM-oplossing worden gedistribueerd, hebben dezelfde kenmerken als andere beheerde documenten. Dit betekent dat ze alleen kunnen worden gedeeld met andere beheerde apps en alleen kunnen worden gemaild via beheerde accounts. Boeken die via het Volume Purchase Program zijn gekocht, kunnen worden gedistribueerd als beheerde boeken. Het is niet mogelijk om de toewijzing van een boek ongedaan te maken en het boek aan een andere account toe te wijzen. Een boek dat al in het bezit is van de gebruiker kan niet worden beheerd, tenzij het boek via het Volume Purchase Program expliciet wordt toegewezen aan een gebruiker.
Beheerde domeinen
In iOS 8 kunt u specifieke URL's en subdomeinen beheren. Alle documenten die uit deze domeinen afkomstig zijn, worden als beheerde documenten beschouwd en volgen de bestaande beperkingen die zijn opgelegd via de functie 'Open in'. Paden die het domein volgen, worden standaard beheerd. Dit geldt niet voor alternatieve subdomeinen, tenzij er een jokerteken wordt toegepast. Domeinen die in Safari worden ingevoerd met "www" (bijvoorbeeld www.example.com) worden behandeld als ".example.com". Weergegeven in Instellingen
Beheerde domeinen
Onbeheerde domeinen
example.com
example.com/*
*.example.com
www.example.com/*
hr.example.com
example.com/docs/*
example.com
www.example.com/docs/*
www.example.com
example.com/docs
hr.example.com/docs www.example.com
www.example.com/*
example.com
www.example.com/docs
hr.example.com
*.example.com
*.example.com/*
example.com
*.example.com/docs
*.example.com/docs/*
example.com www.example.com
Profielbeheer
Naast MDM-oplossingen van andere leveranciers kunt u ook kiezen voor Profielbeheer. Dit is een MDM-oplossing van Apple die wordt aangeboden als een voorziening van OS X Server. Met Profielbeheer is het eenvoudig om iOS-apparaten zo te configureren dat ze voldoen aan de specificaties van uw organisatie. Profielbeheer bestaat uit drie componenten: ••
Voorziening voor draadloze configuratie van apparaten Hiermee kunt u de configuratie stroomlijnen van apparaten die eigendom zijn van de organisatie. U kunt apparaten tijdens de activering inschrijven bij de MDM-oplossing en de basisconfiguratie overslaan, zodat gebruikers snel aan de slag kunnen.
••
Voorziening voor mobielapparaatbeheer
Hoofdstuk 6 Configuratie en beheer
61
Profielbeheer biedt een voorziening voor mobielapparaatbeheer waarmee u ingeschreven apparaten op afstand kunt beheren. Nadat een apparaat is ingeschreven, kunt u zonder tussenkomst van de gebruiker de configuratie van het apparaat via het netwerk bijwerken. Daarnaast kunt u nog andere taken op afstand uitvoeren. MDM wordt ondersteund op iOSapparaten met iOS 6 of hoger. ••
Distributie van apps en boeken Met Profielbeheer kunt u apps en boeken distribueren die zijn gekocht via het Volume Purchase Program (VPP). Het toewijzen van apps en boeken wordt ondersteund op iOSapparaten met iOS 7.0 of hoger.
Zie de website Apparaten beheren van Apple voor meer informatie. Zie ook Profielbeheer Help.
Apparaten onder supervisie stellen
Om aanvullende configuratie-opties en beperkingen te kunnen opgeven, kunt u ervoor kiezen om de iOS-apparaten van uw organisatie onder supervisie te stellen. U kunt dan bijvoorbeeld aangeven dat accountinstellingen niet mogen worden gewijzigd of u kunt webverbindingen via Global Proxy filteren om er zeker van te zijn dat het webverkeer van gebruikers binnen het bedrijfsnetwerk blijft. Standaard staat geen enkel iOS-apparaat onder supervisie. U kunt supervisie en beheer op afstand combineren met een MDM-oplossing om aanvullende instellingen en beperkingen te beheren. Om de apparaten van uw organisatie onder supervisie te kunnen stellen, gebruikt u het Device Enrollment Program van Apple of Apple Configurator. Supervisie biedt een hogere mate van beheer voor apparaten die het eigendom zijn van de organisatie. Zo kunt u bijvoorbeeld iMessage of Game Center uitschakelen. Daarnaast zijn er bij supervisie aanvullende apparaatconfiguraties en voorzieningen beschikbaar, zoals het filteren van websitemateriaal of het op de achtergrond installeren van apps. Met het Device Enrollment Program kan supervisie draadloos op het apparaat worden ingeschakeld als onderdeel van het installatieproces, of handmatig worden ingeschakeld met behulp van Apple Configurator. Zie Restricties uitsluitend bij supervisie voor meer informatie.
Device Enrollment Program
Het Device Enrollment Program (DEP) biedt een snelle en gestroomlijnde manier om iOSapparaten te implementeren die eigendom zijn van de organisatie. U kunt apparaten automatisch aanmelden bij de MDM-oplossing zonder ze fysiek in handen te hoeven hebben, of de apparaten voorbereiden voordat u ze aan de gebruikers overhandigt. Bovendien kunt u de configuratieprocedure voor de gebruikers verder vereenvoudigen door specifieke stappen uit de configuratie-assistent te verwijderen, zodat de gebruikers snel aan de slag kunnen. U kunt ook aangeven of de gebruikers het MDM-profiel van het apparaat kunnen verwijderen. U kunt de apparaten bijvoorbeeld bestellen bij Apple, ze laten configureren met alle beheerinstellingen en ze vervolgens laten versturen naar het woonadres van de gebruikers. Nadat het apparaat is uitgepakt en geactiveerd, wordt het apparaat aangemeld bij uw MDM-oplossing en zijn alle beheerinstellingen, apps en boeken direct beschikbaar voor de gebruiker.
Hoofdstuk 6 Configuratie en beheer
62
Het proces is eenvoudig: Als de inschrijving bij het programma is voltooid, loggen beheerders in op de website van het programma, koppelen ze het programma aan hun MDM-server en "claimen" ze de iOS-apparaten die via Apple zijn gekocht. De apparaten kunnen vervolgens via de MDM-oplossing aan gebruikers worden toegewezen. Nadat een gebruiker is toegewezen, worden via MDM opgegeven configuraties, beperkingen of controles automatisch geïnstalleerd. Apparaten moeten voldoen aan een van de volgende criteria om in aanmerking te komen voor toewijzing via het Device Enrollment Program: ••
De apparaten moeten op of na 1 maart 2011 zijn besteld en moeten rechtstreeks bij Apple zijn gekocht via de aangemelde en gecontroleerde Apple klantnummers.
••
De apparaten moeten rechtstreeks bij een deelnemende erkende Apple reseller of aanbieder zijn gekocht en gekoppeld zijn aan de reseller-ID voor DEP van die reseller. De exacte datum is afhankelijk van wat er in de verkoopgegevens van de deelnemende erkende Apple reseller of aanbieder vermeld staat, maar de datum mag in ieder geval niet vóór 1 maart 2011 liggen.
Opmerking: Het Device Enrollment Program is niet in alle landen of regio's beschikbaar. Apparaten die in aanmerking komen, kunnen via de website Apple Deployment Programs aan uw MDM-server worden toegewezen. U kunt binnen die bestellingen ook apparaten zoeken op type en serienummer. Nadat nieuwe bestellingen zijn verstuurd, kunt u de bestellingen opzoeken op de programmawebsite en ze automatisch toewijzen aan een bepaalde MDM-server. Als u bijvoorbeeld 5000 iPads bestelt, kunt u het ordernummer gebruiken om alle apparaten of een specifiek deel daarvan aan een bestaande geautoriseerde MDM-server toe te wijzen. U kunt ook apparaten op serienummer aan een specifieke MDM-server toewijzen. Deze methode is handig in situaties waarin de apparaten die u moet toewijzen fysiek in uw bezit zijn. Nadat apparaten zijn toegewezen aan een MDM-server in het programma, kunnen profielen en aanvullende voorzieningen worden toegepast met behulp van de MDM-server van uw organisatie. Tot deze voorzieningen behoren onder andere: ••
Supervisie inschakelen
••
Verplichte configuratie
••
Vergrendelbaar MDM-inschrijvingsprofiel
••
Stappen uit de configuratie-assistent overslaan
Ga voor meer informatie naar:
••
Apple Deployment Programs
••
Device Enrollment Programs Help
••
Het Device Enrollment Program voor het onderwijs
Hoofdstuk 6 Configuratie en beheer
63
Apple Configurator
Voor apparaten die centraal door u worden beheerd en die niet door afzonderlijke gebruikers worden geconfigureerd, kunt u gebruikmaken van Apple Configurator, een gratis OS X-programma dat beschikbaar is in de Mac App Store. Hiermee kunt u via een USBaansluiting verschillende iOS-apparaten tegelijk instellen en configureren voordat u ze aan uw gebruikers geeft. Met Apple Configurator kan uw organisatie meerdere apparaten snel configureren en bijwerken naar de nieuwste versie van iOS. Daarnaast kunt u het programma gebruiken voor het configureren van apparaatinstellingen en -beperkingen en voor het installeren van apps en materiaal. U kunt ook een reservekopie terugzetten, waardoor de apparaatinstellingen en de indeling van het beginscherm worden hersteld en appgegevens worden geïnstalleerd. Apple Configurator is ideaal in scenario's waarin gebruikers iOS-apparaten delen die snel moeten worden vernieuwd en up-to-date moeten worden gehouden met de juiste instellingen, beleidsregels, apps en gegevens. U kunt Apple Configurator ook gebruiken om apparaten onder supervisie te stellen voordat u een MDM-oplossing gaat inzetten voor het beheer van instellingen, beleidsregels en apps. Zie Apple Configurator Help voor meer informatie.
Hoofdstuk 6 Configuratie en beheer
64
Distributie van apps en boeken
7
Overzicht
iOS is uitgerust met een verzameling apps waarmee de mensen in uw organisatie al hun dagelijkse taken kunnen uitvoeren, zoals e-mailen, agenda's en contactgegevens bijhouden en materiaal op het internet raadplegen. Veel van de functionaliteit die gebruikers nodig hebben om productief aan de slag te kunnen, is te vinden in de honderdduizenden iOS-apps van andere ontwikkelaars, die in de App Store verkrijgbaar zijn of in op maat gemaakte eigen bedrijfsapps. In het onderwijs kunt u gebruikers productief en creatief houden door relevante iOS-apps en geschikt materiaal aan te bieden. Er zijn verschillende manieren om apps te implementeren op iOS-apparaten binnen de organisatie. De methode die de meeste schaalmogelijkheden biedt, is de methode waarbij u apps (inclusief B2B-apps) en boeken via het Volume Purchase Program koopt en toewijst en de apps vervolgens via de MDM-oplossing toewijst aan gebruikers. Voor bedrijfstoepassingen kunt u ook intern uw eigen apps bouwen en implementeren door deel te nemen aan het iOS Developer Enterprise Program. Als u hebt gekozen voor een model met gedeelde apparaten, kunt u apps en materiaal lokaal installeren met Apple Configurator. Houd rekening met de volgende punten als u apps en boeken gaat implementeren: ••
Volume Purchase Program
••
Maatwerk-B2B-apps
••
Interne apps en interne boeken
••
Apps en boeken implementeren
••
Caching Server
Volume Purchase Program (VPP) Overzicht
De App Store en de iBooks Store bevatten duizenden mooie apps en boeken die gebruikers kunnen kopen, downloaden en installeren. Het Volume Purchase Program (VPP) is een handige manier voor organisaties om grote aantallen apps en boeken voor iOS-apparaten te kopen en deze te distribueren onder medewerkers, onderaannemers, docenten, leerlingen of studenten. Alle betaalde en gratis apps en boeken in de App Store en iBooks Store kunnen via het programma worden gekocht. Het Volume Purchase Program heeft twee websites: één voor bedrijven en één voor het onderwijs. Met het VPP voor bedrijven kunt u aangepaste B2B-apps voor iOS krijgen die speciaal voor u door externe ontwikkelaars zijn gebouwd en die u afgeschermd kunt downloaden uit de VPP Store.
65
Met het VPP voor het onderwijs kunnen softwareontwikkelaars hun apps bij afname van minimaal 20 exemplaren tegen speciale prijzen aanbieden aan onderwijsinstellingen die voor het programma in aanmerking komen. Er gelden geen speciale prijzen voor boeken. Het is mogelijk om een MDM-oplossing te integreren met het VPP, zodat uw organisatie grote aantallen apps en boeken kan kopen en deze vervolgens kan toewijzen aan specifieke gebruikers of groepen. Als een gebruiker een app niet meer nodig heeft, kunt u de app via de MDM-oplossing intrekken en aan iemand anders toewijzen. Bovendien zijn alle gekochte apps en boeken automatisch beschikbaar om te worden gedownload naar de apparaten van gebruikers. Als boeken eenmaal zijn gedistribueerd naar een apparaat, blijven ze het eigendom van de ontvanger en kunnen ze niet meer worden ingetrokken of aan iemand anders worden toegewezen. Opmerking: Het is ook mogelijk om via het VPP inwisselcodes te kopen voor gebruik met Apple Configurator of voor gebruik in situaties waarin geen MDM-oplossing beschikbaar is. Ga voor meer informatie naar: ••
Volume Purchase Program voor bedrijven
••
Volume Purchase Program voor het onderwijs
••
Apple Deployment Programs Help
Opmerking: Het Volume Purchase Program is niet in alle landen of regio's beschikbaar.
Inschrijven voor het Volume Purchase Program
Als u apps in grote hoeveelheden wilt kopen, moet u zich eerst inschrijven en een account aanmaken bij Apple. U moet daarbij bepaalde gegevens over uw organisatie verstrekken, zoals een Dun & Bradstreet D-U-N-S-nummer (als u een bedrijf bent) en contactgegevens. Daarnaast moet u een Apple ID aanmaken die specifiek voor het beheer van dit programma wordt gebruikt.
Grote aantallen apps en boeken kopen
Via de website Volume Purchase Program koopt u apps en boeken voor uw bedrijf of onderwijsinstelling. Gebruik de Apple ID van uw VPP-account om in te loggen bij de website. Zoek de apps die u wilt kopen en geef vervolgens het gewenste aantal exemplaren aan. Betalen kan met de creditcardgegevens van het bedrijf of VPP-krediet dat u via een inkooporder hebt verkregen. Het aantal exemplaren dat u van een app kunt kopen, is onbeperkt. Per gekocht exemplaar kunt u kiezen voor inwisselcodes of beheerde distributie. Als u hebt gekozen voor beheerde distributie, kunnen de apps worden toegewezen via uw MDM-oplossing, mits deze is gekoppeld aan uw VPP-account en een geldig token heeft. Als u inwisselcodes aankoopt, krijgt u per e-mail bericht zodra uw codes klaar zijn. In het accountgedeelte van de VPP-website vindt u een spreadsheet met de inwisselcodes. Op de website staat een overzicht van al uw aankopen, met vermelding van het ordernummer, de naam van de app of het boek, de totale kosten en het aantal licenties. Download de bijbehorende spreadsheet om de inwisselcodes voor de apps en boeken te zien. Als u bijvoorbeeld zeven exemplaren van de app FileMaker Go koopt, ontvangt u zeven inwisselcodes voor FileMaker Go. In de spreadsheet staat ook een specifieke url voor elke inwisselcode. Via deze url's kunnen gebruikers de apps op hun apparaten downloaden en installeren zonder de inwisselcode te hoeven invoeren.
Hoofdstuk 7 Distributie van apps en boeken
66
U kunt alleen inwisselcodes kopen voor betaalde apps en boeken. Zowel gratis als betaalde apps en boeken kunnen beheerd worden gedistribueerd.
Beheerde distributie
Wanneer u grote aantallen apps en boeken koopt, kunt u deze via een MDM-oplossing beheerd distribueren onder gebruikers met iOS 7 of hoger of OS X Mavericks versie 10.9 of hoger. U kunt ook inwisselcodes gebruiken die rechtstreeks naar de gebruikers worden gestuurd. Als zij de app niet meer nodig hebben of de organisatie verlaten, kunt u de code aan een andere gebruiker toewijzen. Boeken kunnen niet worden ingetrokken nadat ze zijn toegewezen. Voordat u een MDM-oplossing gebruikt om apps aan gebruikers toe te wijzen, moet u uw MDM-server via een veilig token aan uw VPP-account koppelen. U kunt dit veilige token naar uw MDM-server downloaden vanuit uw accountoverzicht in de VPP-store. Zie Apple Deployment Programs Help voor meer informatie. Om gebruikers aan een beheerde distributie via het VPP te kunnen laten deelnemen, moeten ze eerst worden uitgenodigd. Als een gebruiker een uitnodiging voor beheerde distributie aanvaardt, wordt hun persoonlijke Apple ID aan uw organisatie gekoppeld. De gebruiker hoeft u niet te vertellen wat de Apple ID is en u hoeft zelf geen Apple ID's voor de gebruikers aan te maken of aan te leveren. In een onderwijsomgeving moet u zelf Apple ID's aanmaken voor leerlingen die jonger zijn dan 13 jaar. Ga naar de website Apple ID for Students voor meer informatie. Opmerking: Het is belangrijk dat u de apps en boeken registreert en aan VPP-gebruikers toewijst voordat u een uitnodiging naar de gebruikers stuurt. Hierdoor is er meer tijd om de toewijzing in de aankoopgeschiedenis van de gebruiker door te voeren wanneer de VPP-uitnodiging wordt geaccepteerd. U kunt op elk moment gebruikers registreren en apps en boeken toewijzen, zelfs voordat apparaten zijn ingeschreven bij de MDM-oplossing. Zodra een app via de MDM-oplossing aan een gebruiker is toegewezen, verschijnt de app in de aankoopgeschiedenis van die gebruiker in de App Store. De gebruiker kan worden gevraagd akkoord te gaan met de installatie van de app. Op apparaten die onder supervisie staan, kan de app ook op de achtergrond worden geïnstalleerd.
Inwisselcodes distribueren
U kunt de URL's voor de inwisselcodes per e-mail versturen of op een website plaatsen die u voor de beoogde groepen en gebruikers toegankelijk maakt. U zou bijvoorbeeld een website kunnen aanmaken waarop een catalogus wordt weergegeven van de apps die u hebt gekocht en waarop geautoriseerde gebruikers inwisselcodes daarvoor kunnen krijgen. Veel MDMoplossingen van andere leveranciers bieden de mogelijkheid om codes centraal te beheren en te distribueren. De gebruikers installeren de apps en boeken die u voor hen hebt gekocht door op hun iOSapparaat naar de URL voor de inwisselcodes te gaan. Daarmee worden ze rechtstreeks naar de App Store geleid, waar de inwisselcode al is ingevoerd, zodat zij alleen nog maar met hun Apple ID een identiteitscontrole hoeven te laten uitvoeren. De procedure is dezelfde als voor elke andere app in de App Store, maar dankzij de vooruitbetaalde inwisselcode die u aan de gebruikers hebt verstrekt, hoeven zij er niet voor te betalen. Opmerking: Elke inwisselcode kan slechts één keer worden gebruikt. Elke keer dat er een inwisselcode wordt gebruikt, wordt de spreadsheet met aankopen op de website van het Volume Purchase Program bijgewerkt. U kunt de spreadsheet downloaden om na te gaan hoeveel codes er zijn gebruikt en de resterende inwisselcodes te zien.
Hoofdstuk 7 Distributie van apps en boeken
67
Zodra een gebruiker de app heeft geïnstalleerd, wordt er een reservekopie van de app gemaakt en wordt de app bijgewerkt, net zoals bij elke andere app uit de App Store het geval is.
Maatwerk-B2B-apps
Ook aangepaste apps die een ontwikkelaar voor uw bedrijf maakt of aanpast (B2B-apps), kunnen via het Volume Purchase Program worden gekocht. Ontwikkelaars die zich hebben aangemeld voor het iOS Developer Program kunnen apps voor B2B-distributie indienen via iTunes Connect. De procedure hiervoor komt overeen met de procedure die wordt gebruikt om andere apps in te dienen bij de App Store. De ontwikkelaar stelt de prijs per exemplaar vast en voegt uw Apple ID voor het Volume Purchase Program toe aan zijn lijst met geautoriseerde B2B-kopers. Alleen geautoriseerde kopers kunnen de app zien of kopen. B2B-apps worden niet beveiligd door Apple. De beveiliging van de gegevens in een app valt onder de verantwoordelijkheid van de ontwikkelaar. Ontwikkelaars wordt aangeraden de optimale iOS-werkwijzen te hanteren voor de identiteitscontrole en codering in apps. Nadat Apple de app heeft beoordeeld, gaat u naar de website van het Volume Purchase Program om exemplaren te kopen, zoals beschreven in Grote aantallen apps en boeken kopen. MaatwerkB2B-apps worden niet vermeld in de App Store. Deze apps kunnen alleen worden gekocht via de website van het Volume Purchase Program.
Interne apps
U kunt via het iOS Developer Enterprise Program iOS-apps ontwikkelen voor gebruik door de medewerkers van uw organisatie. Dit programma biedt een compleet en geïntegreerd proces voor het ontwikkelen en testen van uw iOS-apps en voor de distributie daarvan aan de medewerkers binnen uw organisatie. Interne apps kunt u distribueren door ze te hosten op een eenvoudige webserver die u zelf opzet of door ze aan te leveren via een MDM-oplossing of appbeheeroplossing van een andere leverancier. De voordelen van het beheren van apps met een MDM-oplossing zijn de mogelijkheid om apps op afstand te configureren, versies te beheren, eenmalige aanmelding te configureren, beleidsregels in te stellen voor netwerktoegang en aan te geven met welke apps documenten kunnen worden geëxporteerd. Uw specifieke vereisten, uw infrastructuur en het gewenste beheerniveau voor apps bepalen welke oplossing het meest geschikt voor u is. Interne apps implementeren De procedure voor het implementeren van uw eigen app is als volgt: 1 Meld u aan voor het iOS Developer Enterprise Program. 2 Maak uw app klaar voor distributie. 3 Maak een voorzieningenprofiel voor bedrijfsdistributie aan om gebruik van de ondertekende apps op de apparaten mogelijk te maken. 4 Bouw de app met het voorzieningenprofiel. 5 Implementeer de app bij uw gebruikers.
Hoofdstuk 7 Distributie van apps en boeken
68
Aanmelden voor het ontwikkelen van apps Om interne apps voor iOS te kunnen ontwikkelen en implementeren, moet u zich eerst aanmelden voor het iOS Developer Enterprise Program. Zodra u zich hebt aangemeld, kunt u een certificaat en een voorzieningenprofiel voor ontwikkelaars aanvragen. Deze gebruikt u tijdens de ontwikkeling om uw app te kunnen bouwen en testen. Het voorzieningenprofiel voor ontwikkelaars is nodig om apps die met uw ontwikkelaarscertificaat zijn ondertekend, op geregistreerde apparaten te kunnen gebruiken. U kunt het voorzieningenprofiel voor ontwikkelaars aanmaken in de iOS Provisioning Portal. Het ad-hocprofiel, dat drie maanden geldig is, bevat de apparaat-ID van de apparaten waarop ontwikkelversies van uw app kunnen worden gebruikt. De versie die met uw ontwikkelaarscertificaat is ondertekend, verstrekt u samen met het voorzieningenprofiel voor ontwikkelaars aan uw appteam en uw testers. Apps voorbereiden voor distributie Als de ontwikkel- en testfase van de app is afgerond en de app klaar is voor distributie, ondertekent u uw app met uw distributiecertificaat en verpakt u de app met een voorzieningenprofiel. De Team Agent of de Admin van het programma die aan u is toegewezen, maakt het certificaat en het profiel aan via de website iOS Dev Center. Het distributiecertificaat wordt gegenereerd met behulp van de certificaatassistent (onderdeel van het programma Sleutelhangertoegang op uw OS X-ontwikkelingssysteem), waarmee een certificaatondertekeningsaanvraag (CSR) wordt gegenereerd. Als u deze CSR uploadt naar de iOS Provisioning Portal, ontvangt u een distributiecertificaat. Als u dit certificaat vervolgens in Sleutelhanger installeert, kunt u instellen dat Xcode het certificaat gebruikt om uw app te ondertekenen. In iOS 8 kunnen gebruikers voorzieningenprofielen niet meer weergeven op hun iOS-apparaat. Interne apps distribueren Via het voorzieningenprofiel voor bedrijfsdistributie kan uw app op een onbeperkt aantal iOS-apparaten worden geïnstalleerd. U kunt een voorzieningenprofiel voor bedrijfsdistributie aanmaken voor een specifieke app of voor meerdere apps. Als zowel het distributiecertificaat als het voorzieningenprofiel voor bedrijven op uw Mac is geïnstalleerd, kunt u uw app ondertekenen en er een productieversie van maken met behulp van Xcode. Het certificaat voor bedrijfsdistributie is drie jaar geldig en u kunt maximaal twee geldige certificaten tegelijk hebben. Als een certificaat bijna is verlopen, moet u de app met een vernieuwd certificaat opnieuw bouwen en ondertekenen. Aangezien het voorzieningenprofiel voor de app één jaar geldig is, moet u elk jaar nieuwe voorzieningenprofielen uitbrengen. Zie Bijgewerkte apps distribueren voor meer informatie. Het is belangrijk dat u de toegang tot uw distributiecertificaat en de bijbehorende persoonlijke sleutel beperkt houdt. Met Sleutelhangertoegang in OS X kunt u deze onderdelen exporteren en er een reservekopie van maken in de p12-structuur. Als u de persoonlijke sleutel kwijtraakt, kan deze niet worden hersteld of opnieuw worden gedownload. Beperk de toegang ook tot medewerkers die verantwoordelijk zijn voor de uiteindelijke acceptatie van de app. Door de app te ondertekenen met het distributiecertificaat verleent uw organisatie goedkeuring aan de inhoud en het functioneren van de app en erkent de organisatie dat de app voldoet aan de licentievoorwaarden van de Enterprise Developer Agreement. Raadpleeg de App Distribution Guide van Apple voor meer informatie over het implementeren van eigen apps.
Hoofdstuk 7 Distributie van apps en boeken
69
Interne boeken
iOS 8 is sterk verbeterd door de introductie van beheerde distributie voor boeken. Deze voorziening maakt het mogelijk om via de MDM-oplossing boeken toe te wijzen aan gebruikers, zodat uw organisatie de controle over de boeken blijft houden. Pdf's en ePubs die binnen uw organisatie worden aangemaakt, kunnen net als interne apps worden toegewezen aan gebruikers. Ook kunt u de toewijzing weer ongedaan maken en het boek vervolgens aan iemand anders toewijzen.
Apps en boeken implementeren Overzicht
Er zijn drie manieren om apps en boeken te implementeren: ••
Een intern ontwikkelde app of een app uit de App Store via uw MDM-server op een beheerd apparaat installeren, als uw MDM-server deze functie ondersteunt.
••
De app lokaal op apparaten installeren via Apple Configurator.
••
De app op een beveiligde webserver plaatsen, zodat gebruikers de installatie draadloos kunnen uitvoeren. Zie Draadloos interne apps installeren voor informatie.
Apps en boeken installeren via de MDM-oplossing
Een MDM-server kan apps van andere ontwikkelaars uit de App Store beheren, evenals interne apps. Apps die zijn geïnstalleerd met behulp van een MDM-oplossing worden "beheerde apps" genoemd. Op de MDM-server kan worden ingesteld of beheerde apps en de bijbehorende gegevens beschikbaar blijven als de gebruiker zich afmeldt bij de MDM-oplossing. Bovendien kan worden ingesteld dat er geen reservekopie van beheerde appgegevens in iTunes of iCloud wordt gemaakt. Op deze manier kunt u apps die mogelijk gevoelige bedrijfsgegevens bevatten beter beheren dan apps die rechtstreeks door de gebruiker worden gedownload. Om een beheerde app te installeren, verstuurt de MDM-server een installatiecommando naar het apparaat. Op onbeheerde apparaten moet de gebruiker eerst toestemming geven voordat beheerde apps worden geïnstalleerd. Speciale functies voor beheerde apps zijn beschikbaar vanaf iOS 7. VPN-verbindingen kunnen nu op appniveau worden opgegeven, wat inhoudt dat alleen het netwerkverkeer voor die app zich in de beveiligde VPN-tunnel bevindt. Op deze manier blijven privégegevens privé en worden ze niet samen met openbare gegevens verstuurd. De functie 'Open in' wordt vanaf iOS 7 ondersteund door beheerde apps. Dit betekent dat de gegevensoverdracht van beheerde apps naar of van de persoonlijke apps van de gebruiker kan worden beperkt, zodat de gevoelige gegevens van de organisatie gegarandeerd veilig zijn. U kunt een MDM-server gebruiken om boeken uit de iBooks Store te installeren die u via het VPP hebt toegewezen aan de gebruiker. Daarnaast kunt u beheerde pdf's, ePubs en iBooks Authorboeken vanaf uw eigen servers installeren, en ze bijwerken met nieuwere versies als dat nodig is. Op de server kan zijn ingesteld dat het niet is toegestaan om een reservekopie te maken van beheerde boeken. Beheerde boeken worden verwijderd op het moment dat de gebruiker zich afmeldt bij de MDM-oplossing.
Hoofdstuk 7 Distributie van apps en boeken
70
Apps installeren met Apple Configurator
Gebruik Apple Configurator om algemene configuratietaken op een eenvoudige manier uit te voeren. U kunt het programma ook gebruiken om apps en ander materiaal te installeren op iOSapparaten. Apple Configurator is vooral erg handig voor de supervisie van apparaten die niet door de gebruiker worden gepersonaliseerd, zoals gedeelde iPads in een klaslokaal. Daarnaast kunt u Apple Configurator gebruiken om documenten te installeren, zodat deze beschikbaar zijn wanneer uw gebruikers hun apparaten in gebruik nemen. Documenten zijn beschikbaar voor apps die bestandsdeling via iTunes ondersteunen. U kunt ook documenten op iOS-apparaten lezen of ophalen door het apparaat te verbinden met een Mac waarop Apple Configurator wordt uitgevoerd. Voor betaalde apps uit de App Store moet u eerst een spreadsheet met inwisselcodes van het Volume Purchase Program importeren naar Apple Configurator. Vervolgens kunt u een gekochte app installeren op zoveel apparaten als het aantal inwisselcodes dat u hebt. Telkens als u een app op een apparaat installeert, wordt één code als ingewisseld aangemerkt, zodat deze code niet opnieuw kan worden gebruikt. Gratis apps uit de App Store of intern ontwikkelde apps kunnen rechtstreeks worden geïmporteerd in Apple Configurator en op een onbeperkt aantal apparaten worden geïnstalleerd. Zie voor meer informatie het Apple Support-artikel inwisselcodes van het volume-aankoopprogramma (VPP of Volume Purchase Program) gebruiken.
Caching Server
Dankzij iOS hebben gebruikers eenvoudig toegang tot digitaal materiaal. Sommige gebruikers zullen hun apps, boeken en software bijwerken via het draadloze netwerk van de organisatie. Het kan hierbij gaan om grote hoeveelheden gigabytes. De vraag naar deze assets vertoont pieken. De eerste piek doet zich voor bij de implementatie van het apparaat. Daarna zijn incidenteel pieken te zien wanneer gebruikers nieuw materiaal ontdekken of wanneer materiaal wordt bijgewerkt. Het downloaden van materiaal kan plotselinge stijgingen van de vraag naar internetbandbreedte tot gevolg hebben. Caching Server is een voorziening van OS X Server waarmee eerder opgevraagd materiaal wordt bewaard in het lokale netwerk van uw organisatie. Hierdoor is er minder bandbreedte nodig voor het downloaden van materiaal. Dit wordt bereikt door de internetbandbreedte voor uitgaand verkeer op privénetwerken te verminderen (RFC 1918) en door in de cache opgeslagen kopieën van aangevraagd materiaal te bewaren in het lokale netwerk. Caching Server van OS X Server Yosemite kan de volgende typen materiaal in de cache opslaan voor apparaten met iOS 7 of hoger: ••
iOS-software-updates
••
Apps uit de App Store
••
App Store-updates
••
Boeken uit de iBooks Store
••
iTunes U
••
Siri-stemmen van hoge kwaliteit en taalwoordenlijsten
iTunes ondersteunt ook Caching Server. De volgende typen inhoud worden ondersteund door iTunes 11.0.4 of hoger (zowel Mac als Windows): ••
Apps uit de App Store
Hoofdstuk 7 Distributie van apps en boeken
71
••
App Store-updates
••
Boeken uit de iBooks Store
Bij grotere netwerken kan het verstandig zijn meerdere Caching Servers te installeren. Voor veel implementatiemodellen is het configureren van Caching Server een kwestie van het inschakelen van de voorziening. Met Caching Server van OS X Server Yosemite hoeft u geen NAT-omgeving meer in te richten voor de server en alle apparaten die van de server gebruikmaken. Caching Server kan nu worden gebruikt in netwerken die bestaan uit vrij routeerbare IP-adressen. iOSapparaten met iOS 7 of hoger kunnen zonder aanvullende apparaatconfiguratie automatisch contact maken met een Caching Server in de buurt. Zoek Een cacheserver opzetten in OS X Server Help voor meer informatie. Hier volgt een uitleg van de werkstroom van Caching Server: 1 Als een iOS-apparaat in een netwerk met een of meer Caching Servers materiaal opvraagt van de iTunes Store of de software-updateserver, wordt het iOS-apparaat doorgeleid naar een Caching Server. 2 De Caching Server controleert eerst of het gevraagde materiaal zich al in de lokale cache bevindt. ••
Als dat zo is, wordt het materiaal direct beschikbaar gesteld aan het iOS-apparaat.
••
Als het gevraagde materiaal niet aanwezig is op de Caching Server, wordt geprobeerd het materiaal vanaf een andere bron te downloaden. Caching Server 2 of hoger beschikt over een peer-to-peer-replicatiefunctie die het mogelijk maakt om andere Caching Servers in het netwerk te gebruiken als die het gevraagde materiaal al hebben gedownload.
3 Terwijl de Caching Server downloadgegevens ontvangt, worden deze direct doorgegeven aan de clients die de gegevens hebben opgevraagd en wordt er een kopie in de cache geplaatst.
Hoofdstuk 7 Distributie van apps en boeken
72
Ondersteuningsplanning
8
Overzicht
Bij een implementatie van iOS-apparaten moet de ondersteuning natuurlijk niet worden vergeten. AppleCare biedt verschillende ondersteuningsplannen voor uw organisatie, uw gebruikers en de apparaten: ••
AppleCare Help Desk Support
••
AppleCare OS Support
••
AppleCare voor gebruikers van iOS-apparaten
••
iOS Direct Service Program
U kunt de programma's kiezen die aansluiten bij de behoeften van uw organisatie. Ga naar de website AppleCare Professional Support voor meer informatie.
AppleCare Help Desk Support
Als u dit plan kiest, kunt u direct telefonisch contact opnemen met de ervaren ondersteuningsmedewerkers van Apple. Het plan omvat daarnaast een aantal tools voor het opsporen en oplossen van problemen met Apple hardware, waardoor organisaties hun resources efficiënter kunnen beheren, de responstijd kunnen verkorten en minder geld kwijt zijn aan trainingen. Met het AppleCare Help Desk Support-plan kunt u een onbeperkt aantal aanvragen indienen voor het opsporen en verhelpen van problemen met hardware en software en het isoleren van problemen met iOS-producten.
AppleCare OS Support
AppleCare OS Support omvat AppleCare Help Desk Support, plus ondersteuning voor specifieke incidenten. AppleCare OS Support omvat ondersteuning voor systeemonderdelen, netwerkconfiguratie en -beheer, integratie in gemengde omgevingen, professionele programma's, webapplicaties en -voorzieningen en technische problemen waarvoor commandoregeltools moeten worden gebruikt.
AppleCare voor gebruikers van iOS-apparaten
Voor elk iOS-apparaat geldt een beperkte garantie van één jaar en wordt gedurende 90 dagen vanaf de aankoopdatum telefonische technische ondersteuning geboden. Deze dekking kan worden uitgebreid naar twee jaar vanaf de oorspronkelijke aankoopdatum met AppleCare+ voor iPhone, AppleCare+ voor iPad of het AppleCare Protection Plan (APP) voor iPod touch. U kunt zo vaak als u wilt bellen met de deskundige ondersteuningsmedewerkers van Apple. Apple biedt daarnaast handige serviceopties als een apparaat moet worden gerepareerd. Met AppleCare+ voor iPhone en AppleCare+ voor iPad bent u gedekt tegen maximaal twee schadegevallen als gevolg van een ongeval; voor elk geval kunnen wel servicekosten in rekening worden gebracht.
73
iOS Direct Service Program
Het iOS Direct Service Program maakt deel uit van AppleCare+ en het AppleCare Protection Plan. Op grond van dit programma kunnen uw helpdeskmedewerkers apparaten controleren op problemen zonder dat ze AppleCare hoeven te bellen of een Apple Store hoeven te bezoeken. Uw organisatie kan indien nodig rechtstreeks een vervangende iPhone, iPad of iPod touch of standaardaccessoires bestellen.
Hoofdstuk 8 Ondersteuningsplanning
74
Bijlagen
9
iOS-beperkingen
iOS ondersteunt de volgende beleidsinstellingen en beperkingen. Deze kunnen zo worden geconfigureerd dat ze aansluiten op de behoeften van uw organisatie. Afhankelijk van uw MDMoplossing, kunnen de aanduidingen van deze beperkingen enigszins afwijken. Apparaatfunctionaliteit •• Sta installatie van programma's toe: Als deze optie is uitgeschakeld, is de App Store niet toegankelijk en wordt het bijbehorende symbool niet weergegeven in het beginscherm. Gebruikers kunnen geen apps van de App Store installeren of bijwerken via de App Store, via iTunes of via MDM. Eigen apps kunnen nog steeds worden geïnstalleerd en bijgewerkt. ••
Sta Siri toe: Als deze optie is uitgeschakeld, kan Siri niet worden gebruikt.
••
Sta Siri toe als apparaat is vergrendeld: Als deze optie is uitgeschakeld, reageert Siri alleen wanneer het apparaat is ontgrendeld.
••
Sta gebruik van camera toe: Als deze optie is uitgeschakeld, worden de camera's uitgeschakeld en wordt het camerasymbool uit het beginscherm verwijderd. Gebruikers kunnen geen foto's of video's maken en evenmin gebruikmaken van FaceTime.
••
Sta FaceTime toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen audio- of -videogesprekken via FaceTime starten of ontvangen.
••
Sta schermafbeeldingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen schermafbeelding bewaren.
••
Sta automatische synchronisatie tijdens roaming toe: Als deze optie is uitgeschakeld, worden roamende apparaten alleen gesynchroniseerd wanneer de gebruiker inlogt op een account.
••
Sta voicedialing toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen gesproken commando's gebruiken om een nummer te bellen.
••
Sta kopen vanuit app toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen aankopen doen vanuit apps.
••
Sta ontgrendelen van apparaat via Touch ID toe: Als deze optie is uitgeschakeld, moeten gebruikers een toegangscode invoeren om het apparaat te ontgrendelen.
••
Allow Control Center access from Lock Screen: Als deze optie is uitgeschakeld, kunnen gebruikers het bedieningspaneel niet weergeven door omhoog te vegen.
••
Allow Notification Center access from Lock Screen: Als deze optie is uitgeschakeld, kunnen gebruikers Berichtencentrum niet weergeven door omlaag te vegen op het toegangsscherm.
••
Toon dagweergave op toegangsscherm: Als deze optie is uitgeschakeld, kunnen gebruikers de dagweergave niet op het toegangsscherm weergeven door omlaag te vegen.
••
Sta Passbook-meldingen toe op toegangsscherm: Als deze optie is uitgeschakeld, moeten gebruikers het apparaat ontgrendelen om Passbook te kunnen gebruiken.
••
iTunes-wachtwoord vereist voor alle aankopen: Als deze optie is uitgeschakeld, hoeft de gebruiker geen accountwachtwoord op te geven wanneer hij of zij vanuit een app of rechtstreeks aankopen in iTunes doet.
75
••
Stel toegestane beoordelingen in: Hiermee stelt u de regio en beoordelingen voor films, tv-programma's en apps in.
••
Sta Handoff toe: Als deze optie is uitgeschakeld, kunnen gebruikers Handoff niet gebruiken met hun Apple apparaten.
Programma's Sta gebruik van iTunes Store toe: Als deze optie is uitgeschakeld, is de iTunes Store uitgeschakeld en wordt het appsymbool uit het beginscherm verwijderd. Gebruikers kunnen materiaal niet vooraf bekijken of beluisteren en geen materiaal aanschaffen of downloaden.
••
••
••
••
••
Sta gebruik van Safari toe: Als deze optie is uitgeschakeld, wordt de Safari-app uitgeschakeld en wordt het appsymbool uit het beginscherm verwijderd. Met deze optie kunt u ook voorkomen dat gebruikers webfragmenten kunnen openen. Set Safari security preferences: ••
Activeer automatisch vullen: Als deze optie is uitgeschakeld, worden de gegevens die gebruikers in webformulieren invullen niet in Safari bewaard.
••
Receive forced fraud warnings: Als deze optie is uitgeschakeld, verschijnt er in Safari geen waarschuwing wanneer een gebruiker mogelijk frauduleuze of verdachte websites bezoekt.
••
Schakel JavaScript in: Als deze optie is uitgeschakeld, worden in Safari alle JavaScripts op websites genegeerd.
••
Blokkeer pop-ups: Als deze optie is uitgeschakeld, worden in Safari geen pop-ups geblokkeerd.
••
Edit cookie preferences: Hiermee stelt u het cookiebeleid voor Safari in. U kunt instellen dat alle of geen cookies worden geaccepteerd, of dat alleen cookies van direct bezochte websites worden geaccepteerd.
Beperkingen voor de payload van e-mail: ••
Allow Mail messages to be moved from one account to another: Als deze optie is uitgeschakeld, kunnen gebruikers geen e-mailberichten verplaatsen tussen accounts.
••
Gebruik alleen in Mail: Als deze optie is uitgeschakeld, kunnen andere apps worden gebruikt om vanuit de app e-mail te versturen met de opgegeven account.
••
Sta synchronisatie van recente Mailadressen toe: Als deze optie is uitgeschakeld, worden onlangs gebruikte adressen niet gesynchroniseerd met andere apparaten.
Game Center-beperkingen: ••
Sta games met meerdere spelers toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen multiplayergames in Game Center spelen.
••
Sta toevoeging van Game Center-vrienden toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen vrienden vinden of toevoegen in Game Center.
iCloud •• Sta maken van reservekopie toe: Als deze optie is uitgeschakeld, wordt alleen in iTunes een reservekopie gemaakt van het apparaat.
••
Allow document and data sync: Als deze optie is uitgeschakeld, worden er geen documenten en gegevens toegevoegd aan iCloud.
••
Allow keychain sync: Als deze optie is uitgeschakeld, wordt iCloud-sleutelhanger niet gebruikt.
Hoofdstuk 9 Bijlagen
76
••
Sta 'Mijn fotostream' toe: Als deze optie is uitgeschakeld, worden foto's in Mijn fotostream gewist van het apparaat, worden er geen foto's van de Filmrol naar Mijn fotostream verstuurd, en kunnen foto's en video's in gedeelde streams niet meer worden weergegeven op het apparaat. Als er geen andere kopieën van deze foto's en video's bestaan, kunnen deze foto's en video's verloren gaan.
••
Sta 'iCloud-fotodelen' toe: Als deze optie is uitgeschakeld, kunnen gebruikers zich niet abonneren op gedeelde fotostreams of gedeelde fotostreams publiceren.
••
Sta beheerde apps toe gegevens te bewaren in iCloud: Als deze optie is uitgeschakeld, kunnen gebruikers geen gegevens van beheerde apps bewaren in iCloud.
••
Sta synchronisatie van notities en markeringen toe voor bedrijfsboeken: Als deze optie is uitgeschakeld, kunnen gebruikers met iCloud geen notities of markeringen synchroniseren naar andere apparaten.
Beveiliging en privacy Sta zoekresultaten van het internet toe in Spotlight: Als deze optie is uitgeschakeld, worden in Spotlight geen resultaten weergegeven van een zoekactie op het internet.
••
••
Sta naar Apple versturen van info over werking toe: Als deze optie is uitgeschakeld, worden er geen diagnostische gegevens van een apparaat naar Apple gestuurd.
••
Domeinen (e-mail): E-mailberichten die niet aan domeinen in de goedgekeurde lijst zijn geadresseerd, worden gemarkeerd. Stel dat een gebruiker zowel example.com als groep. example.com heeft opgenomen in de lijst met bekende domeinen. Als de gebruiker vervolgens
[email protected] invoert, wordt dat adres gemarkeerd, zodat de gebruiker meteen kan zien dat dit domein niet in de lijst staat.
••
Domeinen (Safari): Bestanden die via Safari worden gedownload, worden als beheerde documenten beschouwd als ze afkomstig zijn van een beheerd domein. Als een gebruiker bijvoorbeeld via Safari een pdf-bestand downloadt van een beheerd domein, voldoet het pdfbestand aan alle instellingen voor beheerde documenten.
••
Sta documenten uit onbeheerde bronnen toe op beheerde locaties: Als deze optie is uitgeschakeld, kunnen documenten die met onbeheerde bronnen zijn aangemaakt of van onbeheerde bronnen zijn gedownload, niet worden geopend op beheerde locaties.
••
Sta documenten uit beheerde bronnen toe op onbeheerde locaties: Als deze optie is uitgeschakeld, kunnen documenten die met beheerde bronnen zijn aangemaakt of van beheerde bronnen zijn gedownload, niet worden geopend op onbeheerde locaties.
••
Sta expliciete muziek, podcasts en iTunes U toe: Als deze optie is uitgeschakeld, wordt expliciet muziek- of videomateriaal dat in de iTunes Store is gekocht of aan iTunes U is toegevoegd, niet weergegeven. Expliciet materiaal dat via de iTunes Store wordt verkocht of via iTunes U wordt verspreid, wordt als zodanig aangeduid door de aanbieders van het materiaal (zoals platenmaatschappijen).
••
Sta expliciet seksueel materiaal toe in iBooks Store: Als deze optie is uitgeschakeld, wordt expliciet seksueel materiaal dat in de iBooks Store is gekocht verborgen. Expliciet materiaal wordt als zodanig aangeduid door de aanbieders van het materiaal wanneer dit wordt verkocht via de iBooks Store. Vereist supervisie voor iOS 6.
••
Sta automatisch bijwerken vertrouwensinstellingen certificaten toe: Als deze optie is uitgeschakeld, kunnen vertrouwensinstellingen voor certificaten niet automatisch worden bijgewerkt.
Hoofdstuk 9 Bijlagen
77
••
Sta gebruikers toe niet-vertrouwde TLS-certificaten te accepteren: Als deze optie is uitgeschakeld, wordt gebruikers niet gevraagd of ze certificaten willen vertrouwen die niet kunnen worden gecontroleerd. Deze instelling geldt voor Safari, Mail, Contacten en Agenda-accounts. Als deze optie is ingeschakeld, worden alleen certificaten met vertrouwde rootcertificaten automatisch geaccepteerd. Zie het Apple Support-artikel Lijst met beschikbare, vertrouwde rootcertificaten voor informatie over rootcertificaten die worden geaccepteerd door iOS.
••
Allow specific URLs (Content Filter payload): ••
Toegestane URL's: Voeg URL's aan deze lijst toe als u gebruikers toegang wilt geven tot bepaalde websites, zelfs wanneer deze door het automatische filter als expliciet worden aangemerkt. Als u deze lijst leeg laat, is toegang tot alle niet-expliciete websites toegestaan, behalve tot de websites die in 'URL's op blacklist' worden vermeld.
••
URL's op de zwarte lijst: Voeg URL's aan deze lijst toe om de toegang tot bepaalde websites te weigeren. Gebruikers kunnen deze sites niet bezoeken, zelfs niet wanneer de sites door het automatische filter als niet-expliciet worden aangemerkt.
••
Alleen specifieke websites: De gebruiker van het apparaat heeft alleen toegang tot de websites die u opgeeft. Typ de URL van de website in de kolom 'URL'. Typ de naam voor de bladwijzer in de kolom 'Naam'. Om een bladwijzer in een map aan te maken, geeft u de locatie van de map op in de kolom 'Bladwijzer'. U kunt bijvoorbeeld een bladwijzer aanmaken in de map 'Favorieten' door /Favorieten/ in te voeren.
••
Toegangscode vereist voor eerste AirPlay-koppeling: Als deze optie is uitgeschakeld, hoeft er geen toegangscode te worden ingevoerd wanneer een apparaat voor het eerst wordt gekoppeld voor AirPlay.
••
Forceer beperkte reclametracking: Als deze optie is uitgeschakeld, kunnen apps de reclame-ID (een niet-permanente apparaat-ID) gebruiken voor gepersonaliseerde reclame.
••
Sta maken van reservekopie van bedrijfsboeken toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen reservekopie maken van boeken die door hun organisatie zijn gedistribueerd naar iCloud of iTunes.
••
Forceer gecodeerde reservekopieën: Als deze optie is uitgeschakeld, kunnen gebruikers ervoor kiezen om in iTunes gemaakte reservekopieën van apparaten al dan niet gecodeerd te bewaren op hun Mac. Opmerking: Als een profiel is gecodeerd en deze optie is uitgeschakeld, is codering van reservekopieën verplicht. Profielen die met Profielbeheer op het apparaat zijn geïnstalleerd, worden nooit gecodeerd.
Restricties uitsluitend bij supervisie Globale netwerkproxy voor HTTP: Als deze payload wordt toegevoegd aan een profiel, moeten iOS-apparaten voor al het netwerkverkeer dat via HTTP loopt de proxy gebruiken die in de payload is gedefinieerd.
••
••
Sta iMessage toe: Als deze optie is uitgeschakeld voor apparaten die alleen een Wi-Fivoorziening hebben, wordt de Berichten-app verborgen. Als deze optie is uitgeschakeld voor een apparaat met Wi-Fi en een mobiele-dataverbinding, is de Berichten-app nog wel beschikbaar, maar kan alleen de voorziening voor sms-/mms-berichten worden gebruikt.
••
Sta Game Center toe: Als deze optie is uitgeschakeld, worden de Game Center-app en het bijbehorende symbool niet weergegeven.
••
Sta verwijderen van apps toe: Als deze optie is uitgeschakeld, kunnen gebruikers geïnstalleerde apps niet verwijderen.
••
Sta iBooks Store toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen boeken kopen via de iBooks Store.
Hoofdstuk 9 Bijlagen
78
••
Sta podcasts toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen podcasts downloaden.
••
Sta gebruikersmateriaal toe in Siri: Als deze optie is uitgeschakeld, kan Siri geen materiaal ophalen van bronnen met door gebruikers gegenereerde inhoud, zoals Wikipedia.
••
Allow manual install of configuration files: Als deze optie is uitgeschakeld, kunnen gebruikers niet handmatig configuratieprofielen installeren.
••
Sta configureren van beperkingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen eigen beperkingen instellen op hun apparaat.
••
Allow pairing to computers for content sync: Als deze optie is uitgeschakeld, kunnen gebruikers hun iOS-apparaat alleen koppelen met de Mac waarop Apple Configurator is geïnstalleerd en waarop het apparaat voor het eerst werd beheerd.
••
Sta AirDrop toe: Als deze optie is uitgeschakeld, kunnen gebruikers AirDrop niet gebruiken met een app.
••
Sta wijziging van account toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen nieuwe accounts aanmaken of hun gebruikersnaam, wachtwoord of andere instellingen wijzigen die aan hun account zijn gekoppeld.
••
Sta wijziging mobiele-datainstellingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen instellingen wijzigen met betrekking tot de apps die mobiele data mogen gebruiken.
••
Sta aanpassen van instellingen voor Zoek mijn vrienden toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen instellingen wijzigen in de app Zoek mijn vrienden.
••
Sta wissen van alle inhoud en instellingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers hun apparaat niet wissen en kunnen ze de fabrieksinstellingen van het apparaat niet herstellen.
••
Restrict AirPlay connections with whitelist and optional connection passcodes: Als deze optie is uitgeschakeld, hoeft er geen toegangscode te worden ingevoerd wanneer een apparaat voor het eerst wordt gekoppeld voor AirPlay.
••
Activeer grof-taalgebruikfilter Siri: Als deze optie is uitgeschakeld, wordt het groftaalgebruikfilter in Siri niet gebruikt.
••
Eén-app-modus: In deze modus kan er altijd maar één app tegelijk worden gebruikt.
••
Toegankelijkheidsinstellingen: Hiermee kunnen bepaalde toegankelijkheidsinstellingen worden opgegeven voor de één-app-modus.
Wi-Fi-infrastructuur
Bij het voorbereiden van de Wi-Fi-infrastructuur voor een iOS-implementatie moet u rekening houden met verschillende factoren: ••
Benodigd bereik
••
Aantal en dichtheid van apparaten die het Wi-Fi-netwerk gebruiken
••
Typen apparaten en de Wi-Fi-mogelijkheden ervan
••
Typen en hoeveelheid gegevens die worden verzonden
••
Beveiligingsvereisten voor toegang tot het draadloze netwerk
••
Vereisten voor versleuteling
Hoewel deze lijst niet volledig is, zijn dit enkele van de meest relevante factoren waarmee u bij het ontwerpen van een Wi-Fi-netwerk rekening moet houden.
Hoofdstuk 9 Bijlagen
79
Opmerking: In dit gedeelte wordt het ontwerp van een Wi-Fi-netwerk voor Noord-Amerika besproken. In andere landen kan een ander ontwerp nodig zijn. Rekening houden met bereik en dichtheid Hoewel het belangrijk is dat alle iOS-apparaten binnen een bepaald gebied Wi-Fi-bereik hebben, is het ook essentieel om rekening te houden met de dichtheid van apparaten in een bepaald gebied. De meeste moderne toegangspunten kunnen overweg met wel 50 Wi-Fi-clients of meer. Als een toegangspunt ook daadwerkelijk door zoveel apparaten tegelijk wordt gebruikt, is de kans groot dat het kwaliteitsniveau teleurstellend is. Het kwaliteitsniveau voor de gebruiker is niet alleen afhankelijk van de beschikbare bandbreedte op het kanaal dat door het apparaat wordt gebruikt, maar ook van het aantal apparaten dat van die bandbreedte gebruikmaakt. Naarmate er meer apparaten hetzelfde toegangspunt gebruiken, neemt de relatieve netwerksnelheid voor die apparaten af. Bij het ontwerp van het Wi-Fi-netwerk moet u daarom rekening houden met het verwachte gebruikspatroon van de iOS-apparaten. LET OP: Maak als het kan geen gebruik van verborgen SSID's (Service Set Identifiers), aangezien Wi-Fi-apparaten actief moeten zoeken naar verborgen SSID's. Dit leidt tot vertragingen wanneer de SSID opnieuw wordt verbonden met het netwerk, wat gevolgen kan hebben voor de gegevensstroom en de communicatie. Het verbergen van de SSID heeft ook geen voordelen voor de beveiliging van het netwerk. Gebruikers hebben de neiging om regelmatig van locatie te veranderen en nemen hun iOS-apparaten dan mee. Verborgen SSID's veroorzaken vaak vertraging bij het opnieuw verbinden met het netwerk, wat ongunstig is voor de prestaties tijdens roaming. 2,4 GHz versus 5 GHz De Wi-Fi-netwerken op de 2,4-GHz band bieden elf kanalen in Noord-Amerika. Vanwege mogelijke storing op kanalen wordt aangeraden om in het netwerkontwerp alleen de kanalen 1, 6 en 11 te gebruiken. 5-GHz signalen gaan minder goed door muren en andere obstakels heen dan 2,4-GHz signalen, waardoor het dekkingsgebied kleiner is. Gebruik daarom 5-GHz netwerken als uw ontwerp geschikt moet zijn voor een hoge dichtheid van apparaten in een afgesloten ruimte, zoals een klaslokaal of een grote vergaderruimte. Het aantal kanalen dat op de 5-GHz band beschikbaar is, verschilt per leverancier en per land, maar er zijn altijd minimaal acht kanalen beschikbaar. 5-GHz kanalen overlappen elkaar niet, wat een grote verbetering is ten opzichte van de drie elkaar overlappende kanalen die beschikbaar zijn in de 2,4-GHz band. Als u een Wi-Fi-netwerk ontwerpt voor een hoge dichtheid aan iOS-apparaten, zijn de extra kanalen die 5 GHz biedt zeker het overwegen waard. Belangrijk: Het is essentieel dat het draadloze bereik binnen de werkomgeving overal ruim voldoende is. Als er oudere apparaten worden gebruikt, moet in het ontwerp rekening worden gehouden met beide Wi-Fi-banden, te weten 802.11b/g/n 2,4 GHz en 802.11a/n/ac 5 GHz.
Hoofdstuk 9 Bijlagen
80
Uw ontwerp afstemmen op het bereik De indeling van het gebouw kan van invloed zijn op het ontwerp van uw Wi-Fi-netwerk. In een kleine organisatie kunnen gebruikers bijvoorbeeld met andere medewerkers bijeenkomen in vergaderruimten of in kantoren. Het gevolg is dat gebruikers zich in de loop van de dag door het gebouw verplaatsen. In dit scenario wordt er voornamelijk netwerktoegang gezocht voor activiteiten die weinig bandbreedte verbruiken, zoals e-mailen, internetten en het bekijken van agenda's. Het Wi-Fi-bereik heeft hier de hoogste prioriteit. Het ontwerp van een dergelijk Wi-Fi-netwerk kan bestaan uit een klein aantal toegangspunten op elke verdieping om bereik te garanderen in de kantoren. Als er ruimten zijn waar zich soms veel medewerkers bevinden, zoals een grote vergaderzaal, kunnen daar extra toegangspunten worden aangebracht. Uw ontwerp afstemmen op dichtheid Vergelijk het scenario hierboven eens met een school met 1000 leerlingen en 30 docenten in een gebouw met twee verdiepingen. Iedere leerling krijgt een iPad in bruikleen en iedere docent krijgt een MacBook Air en een iPad. Elke klas bestaat uit ongeveer 35 leerlingen en de klaslokalen liggen naast elkaar. Tijdens een normale schooldag gaan de leerlingen het internet op om dingen op te zoeken, bekijken ze instructievideo's, en kopiëren ze bestanden van en naar een bestandsserver in het lokale netwerk (LAN). Door de hogere dichtheid van mobiele apparaten is het ontwerp van het Wi-Fi-netwerk veel complexer. Vanwege het grote aantal leerlingen in elk klaslokaal is er misschien wel één toegangspunt per klaslokaal nodig. Voor de gemeenschappelijke ruimten zullen waarschijnlijk meer toegangspunten nodig zijn, zodat er voor iedereen voldoende dekking en bandbreedte is. Het aantal toegangspunten voor de gemeenschappelijke ruimten kan variëren, afhankelijk van de dichtheid van de Wi-Fi-apparaten in die ruimten. Belangrijk: Voer vóór de installatie altijd een onderzoek uit om na te gaan hoeveel aantal toegangspunten nodig zijn en waar deze moeten worden geplaatst. Tijdens dit onderzoek moeten ook de juiste vermogensinstellingen voor elke radio worden vastgesteld. Als de installatie van het Wi-Fi-netwerk is voltooid, moet een onderzoek worden uitgevoerd om de werking van het netwerk te controleren. Soms is het wenselijk om voor verschillende doeleinden verschillende SSID's aan te maken. Zo kan het handig zijn om een gastnetwerk in te richten. Zorg er in elk geval voor dat er niet te veel SSID's worden aangemaakt, aangezien alle aanvullende SSID's extra bandbreedte gebruiken. Uw ontwerp afstemmen op toepassingen Apple producten gebruiken multicastnetwerken voor voorzieningen zoals AirPlay en AirPrint. Dit betekent dat ondersteuning voor dergelijke netwerken deel moet uitmaken van het ontwerpplan. Zie Bonjour voor informatie over het voorbereiden van het netwerk voor Bonjour. Wi-Fi-standaarden in Apple producten Bekijk de onderstaande lijst voor de Wi-Fi-specificaties voor Apple iOS-producten:
••
Compatibiliteit met 802.11: 802.11b/g, 802.11a, 802.11n
••
Frequentiebereik: 2,4 GHz of 5 GHz
••
Ruimtelijke streams: Elke radio kan tegelijkertijd onafhankelijke gegevensstreams versturen, die elk verschillende gegevens bevatten. Hierdoor kan de doorvoer als geheel worden verbeterd. Het aantal van deze onafhankelijke gegevensstreams is het aantal ruimtelijke streams.
••
MCS-index: De MCS-index (Modulation and Coding Scheme) definieert de maximale transmissiesnelheid waarmee 802.11n-apparaten kunnen communiceren.
••
Kanaalbreedte: HT20 verwijst naar één kanaal van 20 MHz, terwijl HT40 naar twee kanalen verwijst die samen als één kanaal van 40 MHz worden gebruikt.
Hoofdstuk 9 Bijlagen
81
••
Guard-interval (GI): Het guard-interval is de ruimte (tijd) tussen het versturen van symbolen van het ene apparaat naar het andere. Met de 802.11n-standaard wordt een kort guardinterval van 400 ns gedefinieerd waarmee een snellere algehele doorvoer mogelijk is, hoewel apparaten mogelijk een langer guard-interval van 800 ns gebruiken.
Model
Compatibiliteit met 802.11 en frequentiebereik
Ruimtelijke streams
MCS-index
Kanaalbreedte
Guard-interval
iPhone 5s
802.11n op 2,4 GHz en 5 GHz
1
7
HT40
400 ns
1
7
HT20
800 ns
2
15
HT40
400 ns
1
7
HT40
400 ns
1
7
HT20
800 ns
1
7
HT40
400 ns
1
7
HT20
800 ns
iPhone 5c iPhone 5
802.11a/b/g
iPhone 4s
802.11n op 2,4 GHz
iPhone 4 iPad Air iPad mini with Retina-display
802.11b/g 802.11n op 2,4GHz en 5 GHz 802.11a/b/g
iPad (vierde generatie)
802.11n op 2,4GHz en 5 GHz
iPad mini
802.11a/b/g
iPad (eerste, tweede en derde generatie)
802.11n op 2,4GHz en 5 GHz
iPod touch (vijfde generatie) iPod touch (vierde generatie)
802.11a/b/g 802.11n op 2,4GHz en 5 GHz 802.11a/b/g 802.11n op 2,4 GHz 802.11b/g
Draadloos interne apps installeren
Bij iOS kunnen interne maatwerk-apps draadloos worden geïnstalleerd zonder dat iTunes of de App Store hoeft te worden gebruikt. Vereisten: ••
Een productieversie van een iOS-app in de .ipa-structuur met een voorzieningenprofiel voor bedrijven
••
Een XML-manifest-bestand, zoals in deze bijlage wordt beschreven
••
Een netwerkconfiguratie waarbij apparaten toegang hebben tot een iTunes-server van Apple
Het installeren van de app is heel eenvoudig. Gebruikers downloaden het manifest-bestand vanaf uw website naar hun iOS-apparaat. Aan de hand van de instructies in het manifest-bestand worden de in het manifest-bestand genoemde apps naar het apparaat gedownload en daarop geïnstalleerd. U kunt de URL voor het downloaden van het manifest-bestand versturen via sms of e-mail, maar u kunt deze ook opnemen in een andere, intern ontwikkelde bedrijfsapp.
Hoofdstuk 9 Bijlagen
82
De website voor de distributie van apps bouwt en host u zelf. Zorg ervoor dat de identiteit van de gebruikers wordt gecontroleerd, bijvoorbeeld door middel van eenvoudige basiscontrole of een identiteitscontrole op basis van een adressenlijst. Bovendien moet de website toegankelijk zijn via uw intranet of het internet. U kunt de app en het manifest-bestand in een verborgen map plaatsen of op een andere locatie zetten die met HTTP of HTTPS kan worden gelezen. Als u een selfservice-portal maakt, kunt u overwegen een webknipsel op de beginpagina van de gebruiker te plaatsen, zodat de gebruiker snel naar nieuwe implementatie-informatie kan gaan. Hierbij valt te denken aan nieuwe configuratieprofielen, aanbevolen apps uit de App Store en gegevens voor aanmelding bij een MDM-oplossing. Een interne app voorbereiden voor draadloze distributie Om een interne app voor te bereiden voor draadloze distributie, bouwt u een gearchiveerde versie (een .ipa-bestand) en een manifest-bestand dat draadloze distributie en installatie van de app mogelijk maakt. U gebruikt Xcode om een app-archief aan te maken. U ondertekent de app met uw distributiecertificaat en neemt uw voorzieningenprofiel voor implementatie door bedrijven op in het archief. Als u meer wilt weten over het bouwen en archiveren van apps, gaat u naar het iOS Dev Center of raadpleegt u de Xcode User Guide (beschikbaar via het Help-menu in Xcode). Informatie over het manifest-bestand voor draadloze distributie Het manifest-bestand heeft de plist-structuur (XML). Het wordt door een iOS-apparaat gebruikt om apps op uw webserver te zoeken, downloaden en installeren. Het manifest-bestand wordt door Xcode aangemaakt op basis van de gegevens die u opgeeft wanneer u een app-archief voor bedrijfsdistributie deelt. De volgende velden zijn verplicht: ••
URL: De volledig gekwalificeerde HTTPS-URL van het appbestand (.ipa).
••
display-image: Een png-afbeelding van 57 x 57 pixels die wordt weergegeven tijdens het download- en installatieproces. Geef de volledige URL van de afbeelding op.
••
full-size-image: Een png-afbeelding van 512 x 512 pixels die de app in iTunes weergeeft.
••
bundle-identifier: De bundle-aanduiding van uw app, precies zoals die in uw Xcode-project wordt vermeld.
••
bundle-version: De bundle-versie van uw app zoals die in uw Xcode-project wordt vermeld.
••
title: De naam van de app; deze wordt weergegeven tijdens het download- en installatieproces.
Voor Kiosk-apps zijn ook de volgende velden verplicht: ••
newsstand-image: Een png-afbeelding van groot formaat die in de Kiosk wordt weergegeven.
••
UINewsstandBindingEdge en UINewsstandBindingType: Deze sleutels moeten overeenkomen met die in het info.plist-bestand van uw Kiosk-app.
••
UINewsstandApp: Geeft aan dat het een Kiosk-app betreft.
De optionele sleutels die u kunt gebruiken, worden beschreven in het voorbeeld van het manifest-bestand. U kunt bijvoorbeeld de MD5-sleutels gebruiken als uw appbestand groot is en u - in aanvulling op de foutcontrole die standaard voor TCP-communicatie wordt uitgevoerd een nadere integriteitscontrole van het downloadproces wilt uitvoeren. U kunt meerdere apps installeren met één manifest-bestand door extra onderdelen op te geven in de itemmatrix.
Hoofdstuk 9 Bijlagen
83
Aan het eind van deze bijlage vindt u een voorbeeld van een manifest-bestand. Uw website opbouwen Upload de volgende onderdelen naar een gedeelte van uw website waartoe bevoegde gebruikers toegang hebben: ••
Het appbestand (.ipa)
••
Het manifest-bestand (.plist)
Een website met één pagina met daarop een koppeling naar het manifest-bestand is al voldoende. Zodra een gebruiker op een webkoppeling tikt, wordt het manifest-bestand gedownload, waarna de informatie in het bestand wordt gebruikt om de apps te downloaden en te installeren. Hier ziet u een voorbeeld van een koppeling:
App installeren
Voeg geen webkoppeling toe voor het app-archief (.ipa). Het .ipa-bestand wordt naar het apparaat gedownload op het moment dat het manifest-bestand wordt geladen. Ondanks dat het protocolgedeelte van de URL "itms-services" is, is de iTunes Store niet betrokken bij dit proces. Zorg er ook voor dat het .ipa-bestand via HTTPS toegankelijk is en dat uw site is ondertekend met een certificaat dat door iOS wordt vertrouwd. De installatie mislukt als een zelfondertekend certificaat geen vertrouwd anker heeft en niet kan worden gecontroleerd door het iOS-apparaat. MIME-typen voor de server instellen Mogelijk moet u uw webserver zodanig configureren dat het manifest-bestand en het appbestand op de juiste manier worden overgebracht. Voor OS X Server voegt u de volgende MIME-typen toe aan de MIME Types-instellingen van de webvoorziening: application/octet-stream ipa text/xml plist Voor IIS voegt u via IIS Manager het MIME-type op de Properties-pagina van de server toe: .ipa application/octet-stream .plist text/xml Problemen met de draadloze distributie van apps oplossen Als de distributie van een draadloze app mislukt en u de melding krijgt dat downloaden niet mogelijk is, doet u het volgende:
••
Controleer of de app op de juiste manier is ondertekend. U kunt dit testen door de app via Apple Configurator op een apparaat te installeren en te controleren of er zich problemen voordoen.
••
Controleer of de koppeling naar het manifest-bestand juist is en of het manifest-bestand toegankelijk is voor webgebruikers.
••
Controleer of de URL naar het .ipa-bestand (in het manifest-bestand) juist is en of het . ipa-bestand via HTTPS toegankelijk is voor webgebruikers.
Hoofdstuk 9 Bijlagen
84
Netwerkconfiguratievereisten Als de apparaten zijn aangesloten op een gesloten intern netwerk, moet u iOS-apparaten toegang verlenen tot: ••
ax.init.itunes.apple.com: Het apparaat verkrijgt de huidige bestandsgroottelimiet voor het downloaden van apps via het draadloze netwerk. Als deze website niet bereikbaar is, is het mogelijk dat de installatie mislukt.
••
ocsp.apple.com: Het apparaat maakt contact met deze website om de status te controleren van het distributiecertificaat waarmee het voorzieningenprofiel is ondertekend.
Bijgewerkte apps distribueren Apps die u zelf distribueert, worden niet automatisch bijgewerkt. Als u een nieuwe versie voor uw gebruikers hebt, stelt u hen hiervan op de hoogte en geeft u instructies voor het installeren van de app. U kunt overwegen om de app naar updates te laten zoeken en de gebruiker daarvan op de hoogte te laten stellen bij het openen van de app. Als u gebruikmaakt van draadloze appdistributie, kan in het bericht een koppeling worden opgenomen naar het manifest-bestand van de bijgewerkte app. Als u wilt dat gebruikers de appgegevens op hun apparaat bewaren, gebruikt u voor de nieuwe versie de bundle-aanduiding (bundle-identifier) die u ook voor de oude versie hebt gebruikt. Instrueer de gebruikers dat ze de oude versie pas moeten verwijderen nadat ze de nieuwe versie hebben geïnstalleerd. De nieuwe versie vervangt de oude versie en de op het apparaat bewaarde gegevens blijven behouden, maar alleen als de bundle-aanduidingen hetzelfde zijn. Distributievoorzieningenprofielen verlopen 12 maanden nadat ze zijn uitgebracht. Na de verloopdatum wordt het profiel verwijderd en kan de app niet meer worden geopend. U kunt op de iOS Development Portal een nieuw profiel voor de app aanmaken voordat het voorzieningenprofiel verloopt. Tegelijk met het nieuwe voorzieningenprofiel maakt u ook een nieuw app-archief (.ipa) aan voor gebruikers die de app voor het eerst installeren. Als er gebruikers zijn die de app al hebben, is het handig als u de volgende versie van uw app pas uitbrengt wanneer deze het nieuwe voorzieningenprofiel bevat. Als dat niet mogelijk is, kunt u ook alleen het nieuwe .mobileprovision-bestand distribueren, zodat gebruikers de app niet opnieuw hoeven te installeren. Het nieuwe voorzieningenprofiel overschrijft de versie die al in het archief van de app aanwezig is. Voorzieningenprofielen kunnen worden geïnstalleerd en beheerd via een MDM-oplossing en vervolgens via een app-update of via een MDM-oplossing door gebruikers worden gedownload en geïnstalleerd. Als uw distributiecertificaat is verlopen, kan de app niet meer worden gestart. Uw distributiecertificaat is drie jaar geldig vanaf de datum van uitgifte, of totdat uw Enterprise Developer Program-lidmaatschap verloopt, als dat eerder is. Om te voorkomen dat uw certificaat verloopt, moet u uw lidmaatschap op tijd verlengen. U kunt twee distributiecertificaten tegelijk actief hebben; ze zijn niet van elkaar afhankelijk. Het tweede certificaat is bedoeld om een overlappingsperiode te bieden waarin u uw apps kunt bijwerken voordat het eerste certificaat verloopt. Let erop dat u uw eerste distributiecertificaat niet intrekt wanneer u het tweede certificaat aanvraagt bij het iOS Dev Center.
Hoofdstuk 9 Bijlagen
85
Certificaatcontrole De eerste keer dat een gebruiker een app opent, wordt het distributiecertificaat gecontroleerd bij de OCSP-server van Apple. Als het certificaat is ingetrokken, kan de app niet worden gestart. Wanneer er geen verbinding met de OCSP-server tot stand kan worden gebracht of wanneer er geen reactie van de server wordt ontvangen, betekent dit niet dat het certificaat is ingetrokken. Om de status te controleren, moet het apparaat in staat zijn om ocsp.apple.com te bereiken. Zie het gedeelte "Vereisten voor netwerkconfiguratie". De OCSP-reactie wordt in een cache op het apparaat bewaard gedurende een door de OCSPserver bepaalde tijd. Momenteel ligt deze tijd tussen drie en zeven dagen. De geldigheid van het certificaat wordt pas opnieuw gecontroleerd wanneer het apparaat opnieuw is gestart en de reactie in de cache is verlopen. Als op dat moment blijkt dat het certificaat is ingetrokken, kan de app niet worden gestart. Zodra een distributiecertificaat wordt ingetrokken, zijn alle apps die u hiermee hebt ondertekend niet meer bruikbaar. U moet een certificaat alleen intrekken als er geen andere oplossingen meer zijn, bijvoorbeeld als u zeker weet dat u de private sleutel niet meer hebt of als u denkt dat er met het certificaat is geknoeid. Voorbeeld van een manifest-bestand van een app
items <array> assets <array> kind <string>software-package md5-size 10485760 md5s <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba <string>51fa64bb7a7cae5a46bfb45821ac8bba url <string>https://www.example.com/apps/foo.ipa
Hoofdstuk 9 Bijlagen
86
kind <string>display-image needs-shine <true/> url <string>http://www.example.com/afbeelding.57x57.png kind <string>full-size-image md5 <string>61fa64bb7a7cae5a46bfb45821ac8bba needs-shine <true/> url<string>http://www.example.com/afbeelding.512x512.jpg metadata bundle-identifier <string>com.voorbeeld.fooapp bundle-version <string>1.0 kind <string>software subtitle <string>Apple
Hoofdstuk 9 Bijlagen
87
title <string>Voorbeeld van bedrijfs-app
Zie Configuration Profile Key Reference in de iOS Developer Library voor meer informatie over profielsleutels en -kenmerken.
Hoofdstuk 9 Bijlagen
88