Teknisk håndbog om iOS-anvendelse

Transcription

!
Teknisk håndbog
om
iOS-anvendelse
!
iOS
! 7.1.
!!
maj 2014
!
!!
!!
!!
!
Indhold
Side 3
Introduktion
Side 4
Kapitel 1: Integration
Side 4
Microsoft Exchange
Side 6
Standardbaserede tjenester
Side 6
Wi-Fi
Side 7
Virtuelle private netværk (VPN)
Side 13
VPN for hver app
Side 13
Samlet log ind
Side 14
Digitale certifikater
Side 15
Bonjour
Side 16
Kapitel 2: Sikkerhed
Side 16
Enhedssikkerhed
Side 18
Kryptering og databeskyttelse
Side 20
Netværkssikkerhed
Side 20
Appsikkerhed
Side 21
Internettjenester
Side 23
Kapitel 3: Konfiguration og administration
Side 23
Indstilling og aktivering af enheder
Side 24
Konfigurationsbeskrivelser
Side 24
MDM (Administration af mobile enheder)
Side 27
Overvågede enheder
Side 28
Kapitel 4: Appdistribution
Side 28
Interne apps
Side 30
Anvendelse af apps
Side 31
Caching Server
Side 32
Bilag A: Wi-Fi-infrastruktur
Side 35
Bilag B: Begrænsninger
Side 37
Bilag C: Trådløs installation af interne apps
2
Introduktion
!
Denne håndbog er for IT-administratorer, som ønsker at understøtte iOS-enheder
på deres netværk. Den giver oplysninger om anvendelse og understøttelse af
iPhone, iPad og iPod touch i store organisationer, som f.eks. en virksomhed eller
uddannelsesinstitution. Den forklarer, hvordan iOS-enheder giver omfattende
sikkerhed, integration med din eksisterende infrastruktur og kraftfulde værktøjer til anvendelse.
Ved at forstå de vigtigste teknologier, som understøttes af iOS kan du bedre
implementere en anvendelsesstrategi, som giver en optimal oplevelse for dine
brugere. De følgende kapitler er tænkt som en teknisk håndbog, du kan bruge, når du anvender iOS-enheder i din organisation:
Integration. iOS-enheder har indbygget understøttelse for et bredt udvalg af
netværksinfrastrukturer. I dette afsnit kan du læse om iOS-understøttede
teknologier og de bedste metoder til integration med Microsoft Exchange, Wi-Fi,
VPN og andre standardtjenester.
Sikkerhed. iOS er designet til sikker adgang til virksomhedstjenester og beskytter
vigtige data. iOS sikrer effektiv kryptering af dataoverførsel, gennemprøvede
godkendelsesmetoder ved adgang til virksomhedens tjenester og hardware- kryptering af alle data, der er i hvile. Læs dette kapitel for at lære mere om
sikkerhedsrelaterede funktioner i iOS.
Konfiguration og administration. iOS understøtter avancerede værktøjer og
teknologier for at sikre, at iOS-enheder nemt kan indstilles, konfigureres til at
opfylde dine krav og bruges i store organisationsmiljøer. Dette kapitel beskriver de forskellige værktøjer, som er tilgængelige for anvendelse, herunder en oversigt
over MDM (administration af mobile enheder).
Programdistribution. Der er mange måder at anvende apps og indhold på i din
virksomhed. iOS Developer Enterprise Program gør det muligt for din organisation
at anvende apps til dine interne brugere. Brug dette kapitel til at få en dybere
forståelse af disse programmer, og hvordan du anvender apps, som er udviklet til
intern brug.
De følgende bilag giver yderligere tekniske oplysninger og krav:
Wi-Fi infrastruktur. Oplysninger om Wi-Fi-standarder, som iOS understøtter, og overvejelser for planlægning af større Wi-Fi-netværk.
Begrænsninger. Oplysninger om begrænsninger, som du kan bruge til at
konfigurere iOS-enheder, så de overholder dine krav til sikkerhed, adgangskode og andre krav.
Trådløs installation af interne apps. Oplysninger og krav til distribution af dine
interne apps ved hjælp af din egen webbaserede portal.
Yderligere ressourcer
Du kan finde flere relaterede oplysninger på følgende websites:
www.apple.com/ipad/business/it
www.apple.com/iphone/business/it
www.apple.com/education/it 3
Kapitel 1: Integration
iOS-enheder har indbygget understøttelse for et bredt udvalg af netværks- infrastrukturer. De indeholder understøttelse af følgende:
• Populære tredjepartssystemer, som f.eks. Microsoft Exchange
• Integration med standardbaserede systemer af mail, adresser, kalender og andre systemer
• Standard Wi-Fi-protokoller for dataoverførsel, kryptering
• Virtuelle private netværk (VPN), herunder VPN for hver app
• Samlet log ind for at strømline godkendelse til netværksbaserede apps og tjenester
• Digitale certifikater til at godkende brugere og til sikker kommunikation
Da dette er indbygget i iOS, skal din IT-afdeling kun konfigurere nogle få
indstillinger for at integrere iOS-enhederne i din eksisterende infrastruktur. Læs
mere om iOS-understøttede teknologier og de bedste metoder for integration.
Microsoft Exchange
iOS kan kommunikere direkte med Microsoft Exchange Server via Microsoft
Exchange ActiveSync (EAS), så det er muligt at bruge mail, kalender, kontakter,
noter og andre opgaver. Exchange ActiveSync giver også brugere adgang til
globale adresselister (GAL) og forsyner administratorer med funktioner til at
gennemtvinge kodestrategier og ekstern sletning. iOS understøtter både
grundlæggende og certifikat-baseret godkendelse til Exchange ActiveSync.
Hvis din virksomhed allerede bruger Exchange ActiveSync, har du de fornødne
tjenester til understøttelse af iOS – der kræves ingen ekstra konfiguration.
Systemkrav
Enheder med iOS 7 eller senere understøtter følgende versioner af Microsoft
Exchange:
• Exchange Server 2003 SP 2 (EAS 2.5)
• Exchange Server 2007 (med EAS 2.5)
• Exchange Server 2010 (EAS 14.0)
• Exchange Server 2010 SP 2 (med EAS 14.1)
• Exchange Server 2013 (med EAS 14.1)
• Office 365 (med EAS 14.1)
Microsoft Direct Push
Exchange Server leverer automatisk mail, opgaver, kontakter og kalender- begivenheder til iOS-enheder, hvis der er et mobilnetværk eller Wi-Fi tilgængeligt. 4
iPod touch og nogle iPad-modeller kan ikke forbinde til et mobilnetværk, så de modtager push-beskeder, når de er forbundet til et Wi-Fi-netværk.
Microsoft Exchange Autodiscover
iOS understøtter tjenesten Autodiscover i Microsoft Exchange Server 2007 og Microsoft Exchange Server 2010. Når du manuelt konfigurerer en enhed, bruger Autodiscover din mailadresse og adgangskode til at bestemme de rigtige
Exchange-serveroplysninger.
For yderligere oplysninger om at aktivere tjenesten Autodiscover henvises der til Autodiscover Service.
Global adresseliste fra Microsoft Exchange
iOS-enheder henter kontaktoplysninger fra din virksomheds Exchange Serverkartotek. Du kan få adgang til kartoteket, når du søger i Kontakter, og det bruges
automatisk til at udfylde mailadresser, når du indtaster dem. iOS 6 eller senere
understøtter GAL-billeder (kræver Exchange Server 2010 SP 1 eller senere).
Exchange ActiveSync-funktioner, som ikke understøttes
Følgende funktioner i Exchange er ikke understøttet:
• Åbning af links i mail til dokumenter, som er gemt på SharePoint-servere
• Indstilling af autosvar ved fravær
Identifikation af iOS-versioner via Exchange
Når en iOS-enhed forbinder til en Exchange-server, rapporterer enheden dens iOS-version. Versionsnummeret sendes i feltet Brugeragent i overskriften af
anmodningen og ligner Apple-iPhone2C1/705.018. Nummeret efter skråstregen (/)
er iOS-buildnummeret, som er unikt for hver udgave af iOS.
Buildnummeret på en enhed kan ses under Indstillinger > Generelt > Om. Du kan se versionsnummer og buildnummer, som f.eks. 4.1 (8B117A). Nummeret i parentesen er buildnummeret, som identificerer, hvilken udgave der er på
enheden.
Når buildnummeret sendes til Exchange-serveren, konverteres det fra formatet
NANNNA (hvor N er numerisk, og A er et alfabetisk tegn) til Exchange-formatet
NNN.NNN. De numeriske værdier bibeholdes, men bogstaverne konverteres til
deres positionelle værdi i alfabetet. F.eks. konverteres “F” til “06”, fordi det er det
sjette bogstav i alfabetet. Numrene udfyldes med nul, hvis det er nødvendigt for at tilpasse tallet til Exchange-formatet.
I dette eksempel konverteres nummeret 7E18 til 705.018.
Det første tal, 7, forbliver som “7.” Bogstavet E er det femte bogstav i alfabetet, så det
konverteres til “05.” Der indsættes et punktum (.) i den konverterede version, som
kræves af formatet. Det næste tal, 18, udfyldes med nul og konverteres til “018.”
Hvis buildnummeret ender med et bogstav, som f.eks. 5H11A, konverteres
nummeret som beskrevet ovenfor, og den numeriske værdi af det sidste tegn
tilføjes til strengen adskilt med 3 nuller. Så 5H11A konverteres til 508.01100001.
Ekstern sletning
Du kan slette indhold på en iOS-enhed eksternt ved hjælp af funktioner, som er indeholdt i Exchange. Ekstern sletning fjerner alle data og konfigurations- oplysninger fra enheden, og enheden slettes sikkert og gendannes til dens
oprindelige fabriksindstillinger. Ekstern sletning fjerner krypteringsnøglen til
dataene (som er krypteret med 256-bit AES kryptering), hvilket øjeblikkeligt gør alle data umulige at genskabe.
Med Microsoft Exchange Server 2007 eller senere kan du udføre en ekstern sletning med Exchange Management Console, Outlook Web Access eller Exchange
5
ActiveSync Mobile Administration Web Tool. Med Microsoft Exchange Server 2003
kan du initiere en ekstern sletning med Exchange ActiveSync Mobile
Administration Web Tool.
Alternativt kan brugerne slette indholdet på deres egen enhed ved at gå til
Indstillinger > Generelt > Nulstil og vælge “Slet alt indhold og indstillinger.”
Enhederne kan også konfigureres til automatisk at slette alle data efter et bestemt
antal forsøg med en forkert adgangskode.
Standardbaserede tjenester
Med understøttelse af IMAP-mailprotokollen, LDAP-bibliotekstjenester, CalDAVkalenderfunktioner og CardDAV-kontaktprotokoller kan iOS integreres i stort set
alle standardbaserede miljøer. Og hvis dit netværksmiljø er konfigureret til at kræve
brugergodkendelse og SSL, giver iOS en sikker tilgang til standardbaserede mail,
kalender, opgaver og kontakter for virksomheden. Med SSL understøtter iOS 128-bit
kryptering og X.509-rodcertifikater, som er udstedt af de vigtigste
certificeringsmyndigheder.
Ved typisk anvendelse opretter iOS-enhederne direkte adgang til IMAP- og SMTPmailservere for at sende og modtage mail trådløst, og kan også trådløst
synkronisere noter med IMAP-baserede servere. iOS-enhederne kan forbindes til
din virksomheds LDAPv3-kartotek, så brugerne kan få adgang til virksomhedens
kontakter i appsene Mail, Kontakter og Beskeder. Synkronisering med din CalDAVserver gør det muligt for brugerne trådløst at skabe og acceptere kalenderinvitationer, modtage kalenderopdateringer og synkronisere opgaver med appen
Påmindelser. Og med understøttelse af CardDAV kan brugerne opdatere deres
kontakter, som synkroniseres med din CardDAV-server ved hjælp af vCard-formatet.
Alle netværksservere kan placeres inden for et DMZ-undernetværk, bag ved
virksomhedens firewall eller begge dele.
Wi-Fi
Direkte fra æsken kan iOS-enheder oprette sikre forbindelser til virksomhedens
netværk eller bruge Wi-Fi-gæstenetværk, så det er hurtigt og nemt for brugerne at oprette forbindelse til trådløse netværk, uanset om de er på lokaliteten eller på farten.
Oprette forbindelse til et Wi-Fi-netværk
Brugerne kan indstille iOS-enheder til automatisk at oprette forbindelse til
tilgængelige Wi-Fi-netværk. Der kan hurtigt oprettes forbindelse til Wi-Fi-netværk,
som kræver loginoplysninger eller andre oplysninger, uden at åbne en separat
browsersession, fra Wi-Fi-indstillingerne eller i apps som f.eks. Mail. Og med
strømbesparende konstant forbindelse til Wi-Fi-netværket kan appsene bruge WiFi-netværk til at levere push-meddelelser.
WPA2 Enterprise
iOS understøtter industristandardprotokoller for trådløse netværk, inklusive WPA2
Enterprise, som sikrer, at iOS-enhederne sikkert kan få adgang til virksomhedens
trådløse netværk. WPA2 Enterprise bruger 128 bit AES-kryptering, som er en
gennemprøvet blokbaseret krypteringsmetode, der giver brugerne størst mulig
sikkerhed for, at deres data er beskyttet.
Med understøttelse af 802.1X kan iOS også integreres i et bredt udsnit af RADIUSgodkendelsesmiljøer. Trådløse 802.1X-godkendelsesmetoder understøttet af iOS
omfatter EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 og LEAP.
!
6
Roaming
For roaming på store virksomheders Wi-Fi-netværk understøtter iOS 802.11k og
802.11r. 802.11k hjælper iOS-enheder med at skifte imellem Wi-Fi-adgangspunkter
ved hjælp af rapporter fra adgangspunkterne, mens 802.11r strømliner 802.1Xgodkendelse, når en enhed flytter fra et adgangspunkt til et andet.
For hurtig indstilling og anvendelse kan netværks-, sikkerheds-, proxy- og
godkendelsesindstillinger konfigureres ved hjælp af konfigurationsbeskrivelser eller MDM.
Virtuelle private netværk (VPN)
Sikker adgang til private firmanetværk er muligt med iOS ved hjælp af etablerede
standardprotokoller til virtuelle private netværk (VPN). iOS-enheder understøtter
Cisco IPSec, L2TP over IPSec og PPTP direkte fra æsken. Hvis din organisation
understøtter én af disse protokoller, kræves der ingen yderligere netværks- konfiguration eller apps fra tredjeparter til at forbinde iOS-enheder til din VPN.
Desuden understøtter iOS SSL VPN fra populære VPN-udbydere. Brugerne skal bare
hente et VPN-klientprogram, som er udviklet af en af disse udbydere, fra App Store
for at komme i gang. Ligesom andre VPN-protokoller, som iOS understøtter, kan SSL
VPN konfigureres manuelt på enheden eller ved hjælp af konfigurationsbeskrivelser
eller MDM.
iOS understøtter industristandardteknologier som f.eks. IPv6, proxyservere og “splittunneling”, som giver en rig VPN-oplevelse, når der forbindes til virksomhedens
netværk. Og iOS fungerer med forskellige metoder til godkendelse, herunder brug
af adgangskode, token-enheder med to faktorer og digitale certifikater. For at
strømline forbindelsen i omgivelser, hvor der bruges certifikatbaseret godkendelse,
indeholder iOS funktionen VPN On Demand, som starter en VPN-session, når det er
nødvendigt for at forbinde til bestemte domæner.
Med iOS 7 kan de enkelte apps konfigureres til at bruge en VPN-forbindelse
uafhængigt af andre apps på enheden. Dette sikrer, at virksomhedens data altid
overføres via en VPN-forbindelse, og andre data, som f.eks. en ansats personlige
apps fra App Store, ikke gør det. For yderligere oplysninger henvises der til “VPN for
hver app” senere i dette kapitel.
Understøttede protokoller og godkendelsesmetoder
SSL VPN. Understøtter brugergodkendelse med adgangskode, token-enheder med to faktorer og certifikater.
Cisco IPSec. Understøtter brugergodkendelse med adgangskode, token-enheder
med to faktorer og maskingodkendelse via nøgle (shared secret) samt certifikater.
L2TP over IPSec. Understøtter brugergodkendelse med MS-CHAP v2-adgangskode,
token-enheder med to faktorer og maskingodkendelse via nøgle (shared secret).
PPTP. Understøtter brugergodkendelse med MS-CHAP v2-adgangskode og tokenenheder med to faktorer.
SSL VPN-klienter
Flere SSL VPN-udbydere har lavet apps, som hjælper med at konfigurere iOSenheder til anvendelse med deres løsninger. For at konfigurere en enhed til en
specifik løsning skal du installere den medfølgende app og eventuelt bruge en
konfigurationsbeskrivelse med de nødvendige indstillinger. SSL VPN-løsningerne
omfatter: 7
• Juniper Junos Pulse SSL VPN. iOS understøtter Juniper Networks SA Series SSL
VPN Gateway med version 6.4 eller senere med Juniper Networks IVE pakke 7.0
eller senere. For konfiguration skal du installere appen Junos Pulse, som er
tilgængelig fra App Store.
For yderligere oplysninger henvises der til programnoterne fra Juniper Networks.
• F5 SSL VPN. iOS understøtter løsningerne F5 BIG-IP Edge Gateway, Access Policy
Manager og FirePass SSL VPN. For konfiguration skal du installere appen F5 BIG-IP
Edge Client, som er tilgængelig fra App Store.
For yderligere oplysninger henvises der til det tekniske datablad fra F5 Secure
iPhone Access to Corporate Web Applications.
• Aruba Networks SSL VPN. iOS understøtter Aruba Networks Mobility Controller.
For konfiguration skal du installere appen Aruba Networks VIA, som er tilgængelig
fra App Store.
For kontaktoplysninger henvises der til Aruba Networks website.
• SonicWALL SSL VPN. iOS understøtter SonicWALL Aventall E-Class Secure Remote
Access-apparater med 10.5.4 eller senere, SonicWALL SRA-apparater med 5.5 eller
senere og SonicWALL Next-Generation Firewall-apparater, herunder TZ, NSA, EClass NSA med SonicOS 5.8.1.0 eller højere. For konfiguration skal du installere
appen SonicWALL Mobile Connect, som er tilgængelig fra App Store.
For kontaktoplysninger henvises der til SonicWALLs website.
• Check Point Mobile SSL VPN. iOS understøtter Check Point Security Gateway
med en fuld Layer-3 VPN-tunnel. For konfiguration skal du installere appen Check
Point Mobile, som er tilgængelig fra App Store.
• OpenVPN SSL VPN. iOS understøtter OpenVPN Access Server, Private Tunnel og
OpenVPN Community. For konfiguration skal du installere appen OpenVPN
Connect, som er tilgængelig fra App Store.
• Palo Alto Networks GlobalProtect SSL VPN. iOS understøtter GlobalProtect
gateway fra Palo Alto Networks. For konfiguration skal du installere appen
GlobalProtect for iOS, som er tilgængelig fra App Store.
• Cisco AnyConnect SSL VPN. iOS understøtter Cisco Adaptive Security Appliance
(ASA) med softwarebillede 8.0(3).1 eller senere. For konfiguration skal du installere
appen Cisco AnyConnect, som er tilgængelig fra App Store.
Retningslinjer for konfigurering af VPN
Retningslinjer for konfigurering af Cisco IPSec
Brug disse retningslinjer til at konfigurere din Cisco VPN-server til anvendelse med
iOS-enheder. iOS understøtter Cisco ASA 5500 Security Appliances og PIX Firewalls,
som er konfigureret med 7.2.x software eller senere. Det anbefales at anvende den
seneste softwareudgave (8.0.x eller senere). iOS understøtter også Cisco IOS VPNroutere med IOS-version 12.4(15)T eller senere. VPN 3000 Series Concentrators
understøtter ikke IOS VPN-funktioner.
Indstilling af proxy
For alle konfigurationer kan du også angive en VPN-proxy. For at konfigurere en
enkelt proxy til alle forbindelser skal du bruge manuel indstilling og indtaste
adresse, port og godkendelse, hvis det er nødvendigt. For at tilføje en auto-proxy
konfigurationsfil til enheden ved hjælp af PAC eller WPAD skal du bruge automatisk
indstilling. For PACS skal du specificere URL-adressen for PACS-filen. For WPAD
anmoder iOS DHCP og DNS om de passende indstillinger.
!
8
Godkendelsesmetoder
iOS understøtter følgende godkendelsesmetoder:
• IPSec godkendelse med fælles nøgle og brugergodkendelse via xauth.
• Klient- og servercertifikater for IPSec godkendelse med valgfri brugergodkendelse
via xauth.
• Hybrid godkendelse, hvor serveren udsteder et certifikat, og klienten giver en
fælles nøgle for IPSec godkendelse. Der kræves brugergodkendelse via xauth.
• Brugergodkendelse foretages via xauth og omfatter følgende
godkendelsesmetoder:
– Brugernavn med adgangskode
– RSA SecurID
– CRYPTOCard
Godkendelsesgrupper
Cisco Unity-protokollen bruger godkendelsesgrupper til at gruppere brugere
baseret på et almindeligt sæt af godkendelsesparametre og andre parametre. Det
er en god ide at oprette en godkendelsesgruppe for iOS-brugere. For godkendelse
med en fælles nøgle og hybrid godkendelse skal gruppenavnet konfigureres på
enheden med gruppens delte nøgle (shared secret) som gruppens adgangskode.
Når der bruges godkendelse med certifikat, bruges der ingen delt nøgle. En
brugergruppe fastsættes baseret på felterne i certifikatet. Indstillingerne for Ciscoserveren kan bruges til at tildele felterne i et certifikat til brugergrupper.
RSA-Sig bør have højeste prioritet på ISAKMP-prioritetslisten.
Certifikater
Når du indstiller og installerer certifikater, skal du sørge for, at følgende overholdes:
Certifikatet for serveridentitet skal indeholde serverens DNS-navn og/eller IPadresse i feltet for alternativt navn for emnet (SubjectAltName). Enheden bruger
denne oplysning til at verificere, at certifikatet hører til serveren. For at opnå
yderligere fleksibilitet kan du specificere SubjectAltName ved hjælp af jokertegn for
resultater pr. segment, som f.eks. vpn.*.mycompany.com. Du kan indtaste DNSnavnet i det almindelige navnefelt, hvis der ikke er specificeret SubjectAltName.
Certifikatet fra den CA, som underskrev serverens certifikat, skal være installeret på
enheden. Hvis det ikke er et rodcertifikat, skal du installere resten af
sikkerhedskæden, så certifikatet godkendes. Hvis du bruger klientcertifikater, skal
du sørge for, at det godkendte CA-certifikat, som underskrev klientens certifikat, er
installeret på VPN-serveren. Når du bruger certifikatbaseret godkendelse, skal du
sørge for, at serveren er konfigureret til at identificere brugergruppen baseret på
felter i klientcertifikatet.
Certifikaterne og certifikatmyndighederne skal være gyldige (f.eks. ikke udløbet).
Udsendelse af certifikatkæden af serveren er ikke understøttet, og du bør
deaktivere funktionen.
!
9
IPSec-indstillinger
Brug følgende IPSec-indstillinger:
• Funktion. Tunnel-tilstand
• IKE Exchange-tilstande. Aggressiv tilstand for godkendelse med fælles nøgle og hybrid godkendelse eller primær tilstand for certifikatgodkendelse.
• Krypteringsalgoritmer. 3DES, AES-128, AES-256.
• Godkendelsesalgoritmer. HMAC-MD5, HMAC-SHA1.
• Diffie-Hellman-grupper. Der kræves Gruppe 2 for godkendelse med fælles nøgle
og hybrid godkendelse. For certifikatgodkendelse skal du bruge Gruppe 2 med
3DES og AES-128. Brug Gruppe 2 eller 5 med AES-256.
• PFS (Perfect Forward Secrecy). For IKE fase 2, hvis der bruges PFS, skal DiffieHellman-gruppen være den samme som for IKE fase 1.
• Konfiguration af tilstand. Skal være aktiveret.
• Dead Peer Detection. Anbefales.
• Standard NAT Transversal. Understøttes og kan aktiveres (IPSec via TCP er ikke
understøttet).
• Afbalancering af belastning. Understøttes og kan aktiveres.
• Gendannelse af nøgle til fase 1. Ikke understøttet i øjeblikket. Det anbefales at
indstille tiden for gendannelse af nøgle til én time.
• ASA-adressemaske. Sørg for, at alle adressegruppemasker for enheden enten ikke
er indstillet, eller at de er indstillet til 255.255.255.255. For eksempel: asa(configwebvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.
Hvis du bruger den anbefalede adressemaske, ignoreres der muligvis nogle ruter,
som antages af VPN-konfigurationen. For at undgå dette skal du sørge for, at din
routingtabel indeholder alle nødvendige ruter og bekræfte, at undernetadresserne
er tilgængelige inden anvendelse.
Andre understøttede funktioner
• Appversion. Klientens softwareversion sendes til serveren, hvorved serveren kan acceptere eller afvise forbindelser, baseret på enhedens softwareversion.
• Banner. Banneret (hvis det er konfigureret på serveren) vises på enheden, og brugeren skal acceptere det eller afbryde forbindelsen.
• Split Tunnel. Split tunneling er understøttet.
• Split DNS. Split DNS er understøttet.
• Standarddomæne.Standarddomæne er understøttet.
VPN On Demand
VPN On Demand gør det muligt for iOS automatisk at oprette en sikker forbindelse,
uden at brugeren skal gøre noget. VPN-forbindelsen startes efter behov, baseret på
regler som er defineret i en konfigurationsbeskrivelse.
I iOS 7 konfigureres VPN On Demand ved hjælp af nøglen OnDemandRules i VPNdataene i en konfigurationsbeskrivelse. Reglerne anvendes i to trin:
• Ved registrering af netværk. Definerer VPN-krav som anvendes, når enhedens
primære netværksforbindelse ændres.
• Ved evaluering af forbindelsen. Definerer VPN-krav for anmodninger om
forbindelse til domænenavne efter behov.
!
10
For eksempel kan reglerne bruges til:
• At genkende, når en iOS-enhed forbindes til et internt netværk, og VPN ikke er
nødvendigt.
• At genkende, når der bruges et ukendt Wi-Fi-netværk, og der kræves VPN for alle
netværksaktiviteter.
• At kræve VPN, når en DNS-anmodning for et specificeret domænenavn mislykkes.
Ved registrering af netværk
Reglerne for VPN On Demand evalueres, når enhedens primære netværksgrænseflade
ændres, som f.eks. når en iOS-enhed skifter til et andet Wi-Fi-netværk eller skifter fra
Wi-Fi til mobilnetværk. Hvis den primære grænseflade er en virtuel grænseflade, som
f.eks. en VPN-grænseflade, ignoreres reglerne for VPN On Demand.
Reglerne i hvert sæt (ordbog) skal alle opfyldes, for at deres associerede handling
udføres. Hvis én af reglerne ikke opfyldes, går evalueringen videre til den næste
ordbog i rækken, indtil rækken af OnDemandRules er opbrugt.
Den sidste ordbog bør definere en “standardkonfiguration”, dvs. den bør ikke
indeholde regler, men kun en handling. Dette opfanger alle forbindelser, som ikke
opfyldte de forudgående regler.
Ved evaluering af forbindelsen
VPN kan udløses efter behov, baseret på anmodninger om forbindelse til bestemte
domæner i stedet for ensidigt at afbryde eller forbinde VPN baseret på
netværksgrænsefladen.
Opfyldelsesregler for On Demand
Angiv én eller flere af disse opfyldelsesregler:
• InterfaceTypeMatch (opfyldelse af grænseflade). Valgfri. En strengværdi for Wi-Fi
eller mobilnetværk. Hvis det er specificeret, anvendes denne regel, når hardwaren
for den primære grænseflade er lig med den angivne type.
• SSIDMatch (opfyldelse af SSID). Valgfri. En række af SSID'er til at sammenligne
med det aktuelle netværk. Hvis netværket ikke er et Wi-Fi-netværk, eller hvis dens
SSID ikke vises i listen, mislykkes sammenligningen. Udelad denne nøgle og dens
række for at ignorere SSID.
• DNSDomainMatch (opfyldelse af DNS-domæne). Valgfri. En række af
søgedomæner som strenge. Hvis det konfigurerede DNS-søgedomæne for det
aktuelle primære netværk er indeholdt i rækken, opfyldes denne egenskab. Brug
af jokertegn (*) er understøttet; f.eks. vil *.eksempel.com passe med
hvadsomhelst.eksempel.com.
• DNSServerAddressMatch (opfyldelse af DNS-serveradresse). Valgfri. En række af DNS-serveradresser som strenge. Hvis alle de konfigurerede DNS-serveradresser
for den primære grænseflade er indeholdt i rækken, opfyldes denne egenskab.
Jokertegn (*) er understøttet; f.eks. ville 1.2.3.* passe med alle DNS-servere med
præfikset 1.2.3..
• URLStringProbe (URL-test).Valgfri. En server til test af muligheden for oprettelse
af forbindelse. Omdirigering er ikke understøttet. URL-adressen bør være til en
godkendt HTTPS-server. Enheden sender en GET-anmodning for at bekræfte, at der kan oprettes forbindelse til serveren.
!
11
Action (Handling)
Denne nøgle definerer VPN-handlingen, når alle de angivne regler evalueres som
sande. Denne nøgle er påkrævet. Værdierne for Action-nøglen er:
• Connect (Tilslut). Initierer VPN-forbindelsen uden betingelser ved næste forsøg
på oprettelse af netværksforbindelse.
• Disconnect (Afbryd). Afbryd VPN-forbindelsen, og opret ingen nye forbindelser
på anmodning.
• Ignore (Ignorer). Bibehold eksisterende VPN-forbindelser, men opret ingen nye
forbindelser på anmodning.
• Allow (Tillad). For iOS-enheder med iOS 6 eller tidligere. Se “Bemærkninger
vedrørende bagudkompatibilitet” senere i dette afsnit.
• EvaluateConnection (Evaluer forbindelse). Evaluer ActionParameters for hvert
forsøg på at oprette forbindelse. Når dette bruges, kræves de vigtigste
ActionParameters, som beskrevet nedenfor, til at specificere evalueringsreglerne.
ActionParameters
En række af ordbøger med de nøgler, der er beskrevet nedenfor, evalueret i den
rækkefølge, de opstår i. Krævet, når Action er sat til EvaluateConnection.
• Domains (Domæner). Kræves. En række strenge, der definerer domænerne, som denne evaluering gælder for. Præfikser med jokertegn er understøttet, f.eks.
*.eksempel.com.
• DomainAction (Domænehandling). Kræves. Definerer VPN-handling for
domænerne. Værdier for DomainAction-nøglen er:
– ConnectIfNeeded (Forbind hvis krævet). Henter VPN, hvis DNS-løsningen for
de angivne domæner mislykkes, som f.eks. når DNS-serveren indikerer, at den
ikke kan løse domænenavnet, hvis DNS-svaret omdirigeres, eller hvis
forbindelsen mislykkes eller udløber.
– NeverConnect (Forbind aldrig). Udløs ikke VPN for de angivne domæner.
Når DomainAction er ConnectIfNeeded, kan du også specificere følgende nøgler i ordbogen for evaluering af forbindelse:
• RequiredDNSServers (Krævede DNS-servere). Valgfri. En række IP-adresser for
DNS-servere, som bruges til at løse de angivne domæner. Disse servere behøver
ikke at være indeholdt i enhedens aktuelle netværkskonfiguration. Hvis der ikke
kan oprettes forbindelse til disse DNS-servere, udløses VPN. Konfigurer en intern
DNS-server eller en godkendt ekstern DNS-server.
• RequiredURLStringProbe (Krævet test af URL-streng). Valgfri. En HTTP- eller
HTTPS-URL (foretrukket) til test, som bruger en GET-anmodning. Hvis DNSløsningen for denne server lykkes, skal testen også lykkes. Hvis testen mislykkes,
udløses VPN.
Bemærkninger vedrørende bagudkompatibilitet
Før iOS 7 blev reglerne for udløsning af domæner konfigureret via rækker af
domæner kaldet OnDemandMatchDomainAlways,
OnDemandMatchDomainOnRetry og OnDemandMatchDomainNever. Tilfældene
OnRetry og Never er stadig understøttet i iOS 7, men bruges ikke mere. I stedet
bruges handlingen EvaluateConnection.
For at oprette en profil, som er gyldig både i iOS 7 og tidligere versioner, skal du bruge de nye EvaluateConnection-nøgler udover OnDemandMatchDomainrækkerne. Tidligere versioner af iOS, som ikke genkender EvaluateConnection, vil bruge de gamle rækker, hvorimod iOS 7 og senere versioner vil bruge
EvaluateConnection.
!
12
Ældre konfigurationsbeskrivelser, som specificerer handlingen Allow, vil fungere i iOS 7 med undtagelse af OnDemandMatchDomainsAlways-domæner.
VPN for hver app
iOS 7 indeholder muligheden for at oprette VPN-forbindelser på basis af de enkelte
apps. Denne tilgang muliggør fuld kontrol over, hvilke data der går igennem VPN,
og hvilke der ikke gør. Med VPN for hele enheden går alle data igennem det private
netværk uanset deres oprindelse. Da der mere og mere bruges personlige enheder
inden for organisationerne, giver VPN for hver app sikker netværksforbindelse for
interne apps, samtidig med at de personlige aktiviteter på enheden forbliver
fortrolige.
VPN for hver app gør det muligt for hver app, som administreres med MDM
(administration af mobile enheder) at kommunikere med det private netværk via
en sikker tunnel, som forhindrer, at andre ikke-administrerede apps på enheden
bruger det private netværk. Desuden kan de administrerede apps konfigureres med
forskellige VPN-forbindelser for yderligere beskyttelse af dataene. For eksempel kan
en salgskvote-app bruge et helt andet datacenter end en kreditor-app, mens
brugerens personlige webtrafik bruger det offentlige internet. Denne mulighed for
at adskille trafikken på baggrund af de apps, der bruges, giver grundlaget for
adskillelse af private oplysninger og data, som tilhører organisationen.
For at kunne bruge VPN for hver app skal appen være administreret via MDM og
bruge standard-API'er til iOS-netværk. VPN for hver app konfigureres med en MDMkonfiguration, som specificerer hvilke apps og Safari-domæner kan bruge
indstillingerne. For yderligere oplysninger om MDM henvises der til Kapitel 3:
Konfiguration og administration.
Samlet log ind
Med iOS 7 kan appsene udnytte din eksisterende interne infrastruktur til samlet log
ind via Kerberos. Samlet log ind kan forbedre brugeroplevelsen ved kun at bede
brugeren om at indtaste sin adgangskode én gang. Funktionen øger også
sikkerheden ved daglig brug ved at sikre, at adgangskoderne aldrig overføres trådløst.
Kerberos-godkendelsessystemet, som bruges i iOS 7, er en industristandard og den
mest anvendte teknologi til samlet log ind i verden. Hvis du har Active Directory,
eDirectory eller OpenDirectory, har det sikkert allerede et Kerberos-system, som iOS
7 kan anvende. iOS-enhederne skal kunne kontakte Kerberos-tjenesten via en
netværksforbindelse for at godkende brugerne.
Understøttede apps
iOS giver fleksibel understøttelse af samlet log ind med Kerberos til enhver app,
som bruger klassen NSURLConnection eller NSURLSession til at administrere
netværksforbindelser og godkendelse. Apple forsyner alle udviklere med disse
avancerede frameworks for at integrere netværksforbindelserne problemfrit med
deres apps. Apple leverer også Safari som et eksempel til at hjælpe dig med at
komme i gang ved direkte at bruge websites med samlet log ind.
Konfiguration af samlet log ind
Konfiguration af samlet log ind udføres ved hjælp af konfigurationsbeskrivelser,
som enten kan installeres manuelt eller administreres med MDM. Kontodataene til
samlet log ind muliggør fleksibel konfiguration. Samlet log ind kan være åbent for
alle apps eller begrænset af enten en appidentifikator, tjeneste-URL eller begge.
Ved sammenligning af URL-adresser bruges der en enkel sammenligning af
mønsteret, og URL-adresser skal begynde med enten http:// eller https://.
Sammenligningen gælder hele URL-adressen, så sørg for, at de er helt ens. 13
For eksempel vil en URLPrefixMatches-værdi påhttps://www.example.com/ ikke
svare til https://www.example.com:443/. Du kan specificere http:// eller https:// for at begrænse brugen af samlet log ind til enten sikre eller almindelige HTTPtjenester. Hvis du f.eks. bruger en URLPrefixMatches-værdi på https://, kan kontoen
til samlet log ind kun bruges med sikre HTTPS-tjenester. Hvis et sammenligningsmønster for URL-adresser ikke ender med en skråstreg (/), tilføjes der en skråstreg
(/) til det.
Rækken AppIdentifierMatches skal indeholde strenge, som svarer til appsenes
pakke-id. Disse strenge kan være eksakte matches (f.eks. com.mycompany.myapp)
eller de kan specificere et præfiks-match for pakke-id'et ved at bruge jokertegnet
(*). Jokertegnet skal være efter et punktum (.) og kan kun stå til sidst i strengen
(f.eks. com.mycompany.*). Når der indtastes et jokertegn, kan alle apps, hvor pakkeid'et begynder med præfikset, få adgang til kontoen.
Digitale certifikater
Digitale certifikater er en form for identifikation, som sikrer effektiv godkendelse,
dataintegritet og kryptering. Et digitalt certifikat består af en offentlig nøgle,
oplysninger om brugeren og den certifikatmyndighed, der udstedte certifikatet. iOS understøtter digitale certifikater, så organisationer får sikker og strømlinet
adgang til virksomhedstjenester.
Certifikater kan bruges på flere måder. Signering af data med et digitalt certifikat er med til at sikre, at oplysningerne ikke kan ændres. Certifikater kan også bruge til at garantere identiteten på forfatteren eller “signaturen”. Desuden kan de bruges
til at kryptere konfigurationsbeskrivelser og netværkskommunikation, så fortrolige
og private oplysninger beskyttes endnu mere.
For eksempel kan Safari kontrollere gyldigheden af et X.509 digitalt certifikat og
konfigurere en sikker session med op til 256-bit AES-kryptering. Dette verificerer, at sidens identitet er legitim, og at kommunikationen med websitet er beskyttet for at hjælpe med at forhindre, at personlige eller fortrolige data opsnappes.
Understøttede certifikat- og identitetsformater:
• iOS understøtter X.509-certifikater med RSA-nøgler.
• Filendelserne .cer, .crt, .der, .p12 og .pfx genkendes.
Brug af certifikater i iOS
Rodcertifikater
iOS indeholder et antal forudinstallerede rodcertifikater direkte fra æsken. For
yderligere oplysninger henvises der til listen i denne supportartikel fra Apple.
iOS kan opdatere certifikater trådløst, hvis nogle af de forudinstallerede
rodcertifikater bliver kompromitteret. For at deaktivere dette findes der en
begrænsning, som forhindrer trådløs opdatering af certifikater.
Hvis du bruger et rodcertifikat, som ikke er forudinstalleret, som f.eks. et
selvunderskrevet rodcertifikat, der er oprettet af din organisation, kan du
distribuere det med en af nedenstående metoder.
Distribution og installation af certifikater
Det er let at distribuere certifikater til iOS-enheder. Når brugerne modtager et
certifikat, skal de bare trykke for at se dets indhold og derefter trykke for at føje
certifikatet til deres enhed. Når et identitetscertifikat installeres, bliver brugere bedt
om at skrive den adgangskode, der beskytter det. Hvis et certifikats autenticitet ikke
kan verificeres, vises det som ikke-godkendt, og brugerne kan bestemme, om det
stadig skal tilføjes til deres enhed.
Installering af certifikater via en konfigurationsbeskrivelse
Hvis konfigurationsbeskrivelserne bruges til at distribuere indstillinger for
virksomhedstjenester, som f.eks. Exchange, VPN eller Wi-Fi, kan der tilføjes
14
certifikater til beskrivelsen for at gøre installationen nemmere. Dette omfatter også
muligheden for at distribuere certifikater via MDM.
Installering af certifikater via Mail eller Safari
Hvis et certifikat sendes i en mail, vises den som bilag. Du kan også bruge Safari til at hente certifikater fra et website. Du kan hoste et certifikat på et sikret website
og give URL-adressen til brugerne, så de kan hente certifikatet til deres enheder.
Fjernelse og tilbagekaldelse af et certifikat
For manuelt at fjerne et certifikat, som er installeret, skal du vælge Indstillinger >
Generelt > Profiler og vælge det certifikat, som skal fjernes. Hvis en bruger fjerner
et certifikat, som kræves for at få adgang til en konto eller et netværk, kan enheden
ikke længere forbinde til disse tjenester.
En MDM-server kan vise alle certifikater på en enhed og fjerne alle certifikater, som
den har installeret.
Desuden er protokollerne OCSP (Online Certificate Status Protocol) og CRL
(Certificate Revocation List) understøttet for at kontrollere status for certifikater. Når der bruges et OCSP- eller CRL-aktiveret certifikat, validerer iOS certifikatet med
jævne mellemrum for at sikre, at det ikke er blevet tilbagekaldt.
Bonjour
Bonjour er Apples standardbaserede netværksprotokol uden behov for konfiguration,
som gør det muligt for enhederne at finde tjenester på et netværk. iOS-enheder
bruger Bonjour til at finde AirPrint-kompatible printere og AirPlay-kompatible
enheder, som f.eks. Apple TV. Nogle peer-to-peer apps kræver også Bonjour. Du skal
sørge for, at din netværksinfrastruktur og Bonjour er korrekt konfigureret til at fungere
med hinanden.
iOS 7.1-enheder kan også søge efter AirPlay-kilder via Bluetooth. Når der er fundet
et kompatibelt Apple TV, overføres AirPlay-dataene over Wi-Fi-netværket. Der
kræves Apple TV 6.1 eller nyere for at aktivere søgning via Bluetooth, og iOSenheden og Apple TV skal være forbundet til det samme undernet for at afspille
eller vise indhold.
For yderligere oplysninger om Bonjour henvises der til denne Apple-webside. 15
Kapitel 2: Sikkerhed
!
iOS er opbygget med sikkerhedsfunktioner med mange lag. Dette gør det muligt
for iOS-enheder at få sikker adgang til virksomhedstjenester og beskytter vigtige
data. iOS sørger for en effektiv kryptering ved dataoverførsel, gennemprøvede
godkendelsesmetoder ved adgang til virksomhedens tjenester og hardware- kryptering af alle data på enheden. iOS beskytter også data ved hjælp af regler for adgangskoder, som kan leveres og håndhæves trådløst. Og hvis enheden skulle
falde i de forkerte hænder, kan brugere og IT-administratorer iværksætte en ekstern
sletning for at fjerne alle private oplysninger.
Når du overvejer sikkerheden af iOS til virksomhedsbrug, kan det være en hjælp at forstå følgende:
• Kontrol af enheder. Metoder, der forhindrer uautoriseret brug af enheden
• Kryptering og databeskyttelse. Beskyttelse af alle data, selv hvis enheden bliver
væk eller stjålet
• Netværkssikkerhed. Netværksprotokoller og kryptering af data under overførsel
• Appsikkerhed. Gøre det muligt for apps at køre sikkert og uden at kompromittere
platformsintegriteten
• Internettjenester. Apples netværksbaserede infrastruktur til meddelelser,
synkronisering og sikkerhedskopiering
Disse muligheder giver tilsammen en sikker mobilplatform.
Følgende politikker for adgangskoder understøttes:
• Kræver adgangskode på enheden
• Kræver alfanumerisk værdi
• Minimumslængde på
adgangskode
• Minimumskrav for antal af
komplekse tegn
• Maksimumsalder på
adgangskode
• Tid før automatisk låsning
• Adgangskodehistorie
• Ekstra frist efter låsning af enhed
• Maksimalt antal forsøg med
forkert adgangskode
Enhedssikkerhed
Etablering af stærke strategier til adgang til iOS-enheder er yderst vigtigt til
beskyttelse af virksomhedsoplysninger. Adgangskoder til enhederne er frontlinjen i forsvaret imod uautoriseret adgang og kan konfigureres og aktiveres trådløst. iOS-enheder bruger den unikke adgangskode, som oprettes af hver bruger for at
generere en stærk krypteringsnøgle til yderligere at beskytte mail og fortrolige
appdata på enheden. Desuden giver iOS sikre metoder til konfiguration af enheden i IT-omgivelser, hvor der kræves specifikke indstillinger, politikker og begrænsninger.
Disse metoder giver fleksible muligheder for etablering af beskyttelse på et
standardniveau for autoriserede brugere.
Politikker for adgangskoder
En adgangskode for enheden forhindrer, at uautoriserede brugere får adgang til
data eller på anden måde får adgang til enheden. iOS lader dig vælge imellem et
bredt udvalg af politikker for adgangskoder, der opfylder alle dine sikkerhedsbehov,
herunder timeout-perioder, måling af adgangskoders styrke og regler for, hvor tit
adgangskoden skal ændres.
!
16
Håndhævelse af politikker
Politikkerne kan distribueres som en del af en konfigurationsbeskrivelse, som
brugerne skal installere. Der kan defineres en beskrivelse, så den kun kan slettes
med en administrativ adgangskode, eller du kan definere beskrivelsen, så den er låst på enheden og ikke kan fjernes uden at slette alt indhold på enheden.
Desuden kan adgangskodeindstillingerne konfigureres eksternt med MDMløsninger, som kan skubbe politikker direkte til enheden. Dette gør det muligt at anvende og opdatere politikker, uden at brugeren skal gøre noget.
Hvis enheden er konfigureret til at bruge en Microsoft Exchange-konto, overføres
Exchange ActiveSync-politikkerne trådløst til enheden. Det tilgængelige sæt af
politikker varierer afhængigt af versionen af Exchange ActiveSync og Exchange
Server. Hvis der både findes Exchange- og MDM-politikker, anvendes den
strengeste politik.
Sikker konfiguration af enheden
Konfigurationsbeskrivelser er XML-filer, der indeholder sikkerhedspolitikker og
begrænsninger for enheden, oplysninger om VPN-konfiguration, Wi-Fi-indstillinger,
mail- og kalenderkonti samt godkendelsessystemer, der gør det muligt for iOSenhederne at fungere i dine IT-systemer. Muligheden for at etablere adgangskode- politikker sammen med enhedsindstillinger i en konfigurationsbeskrivelse sikrer, at enhederne inden for din organisation konfigureres korrekt og i henhold til
sikkerhedsstandarderne, som angives af din IT-afdeling. Og da konfigurations- beskrivelserne kan krypteres og låses, kan indstillingerne ikke fjernes, ændres eller deles med andre.
Konfigurationsbeskrivelserne kan både signeres og krypteres. Signering af en
konfigurationsbeskrivelse sikrer, at dens indstillinger ikke kan ændres på nogen
måde. Kryptering af en konfigurationsbeskrivelse beskytter beskrivelsens indhold
og tillader kun, at den installeres på den enhed, den er oprettet til. Konfigurations- beskrivelserne krypteres ved hjælp af CMS (Cryptographic Message Syntax, RFC
3852), som understøtter 3DES og AES 128.
Den første gang, du distribuerer en krypteret konfigurationsbeskrivelse, kan du installere den via USB med Apple Configurator eller trådløst ved at bruge
protokollen til trådløs profillevering og konfiguration eller MDM. Konfigurations- beskrivelser, der krypteres efterfølgende, kan leveres som bilag i mail, hostes på et
website, som er tilgængeligt for dine brugere, eller skubbes til enheden ved hjælp
af MDM-løsninger.
For yderligere oplysninger henvises der til Over-the-Air Profile Delivery and
Configuration protocol på websitet iOS Developer Library.
Enhedsbegrænsninger
Enhedsbegrænsninger afgør, hvilke funktioner brugerne har adgang til på enheden.
Dette drejer sig typisk om netværksbaserede apps, som f.eks. Safari, YouTube eller
iTunes Store, men begrænsningerne kan også kontrollere enhedens funktioner, som
f.eks. installation af en app eller brugen af kameraet. Med begrænsninger kan du
konfigurere enheden til at opfylde dine krav, mens brugerne kan bruge enheden i overensstemmelse med din organisations politikker. Begrænsningerne kan
konfigureres manuelt på hver enhed, aktiveres ved hjælp af en konfigurations- beskrivelse eller etableres eksternt med en MDM-løsning. Desuden kan
begrænsninger for kameraet eller for tilgang til internettet aktiveres trådløst via Microsoft Exchange Server 2007 og 2010 på samme måde som med adgangs- kodepolitikker. Begrænsninger kan også bruges til at forhindre, at mails flyttes til
andre konti, eller at meddelelser, som modtages på én konto, videresendes til en
anden konto.
Se Bilag B for yderligere oplysninger om understøttede begrænsninger.
17
Kryptering og databeskyttelse
Det er vigtigt for enhver virksomhed med fortrolige oplysninger at beskytte data,
der er lagret på iOS-enhederne. Udover at kryptere data under overførslen leverer
iOS også hardwarekryptering til alle data, der er lagret på enheden, samt yderligere
kryptering af mails og appdata med forbedret databeskyttelse.
Kryptering
iOS-enheder bruger hardwarebaseret kryptering. Hardwarekryptering bruger 256bit AES til at beskytte alle data på enheden. Kryptering er altid slået til og kan ikke
slås fra. Desuden kan data, der er sikkerhedskopieret i iTunes på en brugers
computer, også krypteres. Funktionen kan slås til af brugeren eller påtvinges vha.
indstillinger til enhedsbegrænsning i konfigurationsbeskrivelser. iOS understøtter
også S/MIME i mails, så brugerne kan læse og sende krypterede mails.
De kryptografiske moduler i iOS 7 og iOS 6 er valideret til at overholde den
amerikanske standard U.S. Federal Information Processing Standard (FIPS) 140-2
Level 1. Dette validerer integriteten af kryptografiske handlinger i apps fra Apple og
tredjeparter, som bruger de kryptografiske tjenester i iOS korrekt.
For yderligere oplysninger henvises der til iOS-produktsikkerhed: Godkendelser og
retningslinjer og iOS 7: Apple FIPS iOS Cryptographic Modules v4.0.
Databeskyttelse
Mail og bilag, som er lagret på enheden, kan sikres yderligere ved hjælp af data- beskyttelsesfunktioner, som er indbygget i iOS. Databeskyttelse udnytter hver
enkelt brugers unikke adgangskode til enheden sammen med hardware- krypteringen på iOS-enheder til at generere en effektiv krypteringsnøgle. Dette
forhindrer adgang til data, når enheden er låst, så dataene er sikre, selvom enheden
bliver kompromitteret.
For at aktivere databeskyttelsesfunktionen skal du blot indstille en adgangskode på enheden. Effektiviteten af databeskyttelsen afhænger af en stærk adgangskode,
så det er vigtigt at kræve og gennemtvinge en adgangskode med flere end fire
cifre, når du fastsætter dine adgangskodepolitikker. Brugerne kan verificere, at
databeskyttelse er aktiveret på deres enhed ved at se på skærmen for indstilling af adgangskode. MDM-løsninger kan også anmode enheden om disse oplysninger.
Der er også databeskyttelses-API'er tilgængelige for udviklere, som kan bruges til at sikre data i apps fra App Store eller interne virksomhedsapps. Fra og med iOS 7
er data, som gemmes af apps, som standard i sikkerhedsklassen “Beskyttet indtil
første brugergodkendelse”, hvilket svarer til fuld diskkryptering på skrivebords- computere og beskytter data mod angreb, som involverer en genstart.
Bemærk: Hvis en enhed er opgraderet fra iOS 6, konverteres de eksisterende data
ikke til den nye klasse. Ved at fjerne og derefter geninstallere appen opnås den nye
beskyttelsesklasse.
Touch ID
Touch ID er sensorsystemet med fingeraftryk, som er indbygget i iPhone 5s,
hvormed der hurtigt og nemt fås sikker adgang til enheden. Denne fremsynede
teknologi aflæser fingeraftryk fra enhver vinkel og lærer mere om en brugers
fingeraftryk med tiden, da sensoren fortsætter med at kortlægge fingeraftrykket, i takt med at der identificeres overlappende noder for hvert brugstilfælde.
Touch ID gør det mere praktisk at bruge en længere og mere kompleks adgangs- kode, fordi brugeren ikke skal indtaste den så tit. Med Touch ID slipper du også for besværet med en adgangskodebaseret lås, ikke ved at erstatte den med noget
andet, men snarere ved at give sikker adgang til enheden inden for gennemtænkte
grænser og tidsbegrænsninger.
!
18
Når Touch ID er aktiveret, låses iPhone 5s øjeblikkeligt, når der trykkes på knappen
Vågeblus til/fra. Med en adgangskode som eneste sikkerhedsfunktion indstiller
mange brugere en vis periode, inden enheden låses for at undgå at skulle indtaste
en adgangskode, hver gang de bruger enheden. Med Touch ID låses iPhone 5s, hver
gang den går i dvale, og kræver et fingeraftryk – eller en adgangskode – ved hver
aktivering.
Touch ID arbejder sammen med den sikre enklave – en hjælpeprocessor i Apple
A7-processoren. Den sikre enklave har sin egen beskyttede, krypterede
hukommelse og kommunikerer sikkert med Touch ID-sensoren. Når iPhone 5s låses,
er nøglerne til databeskyttelsen i klassen Komplet beskyttet med en nøgle, som
opbevares i den krypterede hukommelse for den sikre enklave. Nøglen opbevares i
maksimalt 48 timer og afvises, hvis iPhone 5s genstartes, eller der bruges et ukendt
fingeraftryk mere end fem gange. Hvis et fingeraftryk genkendes, afgiver den sikre
enklave nøglen til at frigive databeskyttelsesnøglerne, hvorefter enheden låses op.
Ekstern sletning
iOS understøtter ekstern sletning. Hvis en enhed er blevet væk eller er blevet stjålet,
kan administratoren eller enhedens ejer sende en kommando om ekstern sletning,
som fjerner alle data og gør enheden passiv. Hvis enheden er konfigureret med en
Exchange-konto, kan administratoren sende en kommando om ekstern sletning
vha. Exchange Management Console (Exchange Server 2007) eller Exchange
ActiveSync Mobile Administration Web Tool (Exchange Server 2003 eller 2007).
Brugere af Exchange Server 2007 kan også iværksætte kommandoer til ekstern
sletning direkte med Outlook Web Access. Kommandoer til ekstern sletning kan
også iværksættes med MDM-løsninger eller med funktionen Find min iPhone i
iCloud, også hvis Exchange-tjenesterne for virksomheden ikke er i brug.
Lokal sletning
Enhederne kan også konfigureres til automatisk at iværksætte en lokal sletning efter
flere mislykkedes forsøg med en forkert adgangskode. Dette beskytter imod
uvedkommendes forsøg på at få adgang til enheden. Når der indstilles en
adgangskode, har brugerne mulighed for at aktivere lokal sletning direkte fra
indstillingerne. Som standard sletter iOS automatisk enheden efter 10 mislykkede
forsøg på at indtaste adgangskoden. Som med andre adgangskodepolitikker kan det
maksimale antal af mislykkede forsøg indstilles via en konfigurationsbeskrivelse, som
indstilles med en MDM-server, eller trådløst via Microsoft Exchange ActiveSyncpolitikker.
Aktiveringslås og Find min iPhone
Hvis en enhed mistes eller bliver stjålet, er det vigtigt at gøre enheden passiv og
slette indholdet på den. Når Find min iPhone er aktiveret, kan enheden med iOS 7
ikke aktiveres igen, før ejerens iCloud-oplysninger indtastes. Det er en god idé
enten at overvåge virksomhedens enheder eller have en politik, der giver brugerne
mulighed for at deaktivere funktionen, så Find min iPhone ikke forhindrer
virksomheden i at tildele enheden til en anden bruger.
I iOS 7.1 og nyere versioner kan du bruge en kompatibel MDM-løsning til at slå
aktiveringslåsen til, når en bruger slår Find min iPhone til. Med MDM-løsningen kan
der opbevares en tilsidesættelseskode, når aktiveringslåsen er slået til, og denne
kode kan bruges til at rydde aktiveringslåsen automatisk, hvis der opstår behov for
at slette dataene for at give enheden videre til en ny bruger. Se dokumentationen
til MDM-løsningen for at få flere oplysninger.
For yderligere oplysninger om Find min iPhone og Aktiveringslås henvises der til iCloud-support og Mobile Device Management og aktiveringslås til Find min
iPhone.
19
Netværkssikkerhed
• Indbygget Cisco IPSec, L2TP, PPTP
VPN
• SSL VPN via App Store apps
• SSL/TLS med X.509-certifikater
• WPA/WPA2 Enterprise med 802.1X
• Certifikatbaseret godkendelse
• RSA SecurID og CRYPTOCard
VPN-protokoller
• Cisco IPSec
• L2TP/IPSec
• PPTP
• SSL VPN
Godkendelsesmetoder
• Adgangskode (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• X.509 digitale certifikater
• Nøgle (shared secret)
802.1X godkendelsesprotokoller
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Understøttede certifikatformater
iOS understøtter X.509-certifikater med RSA-nøgler. Filendelserne .cer, .crt og .der genkendes.
Netværkssikkerhed
Mobiltelefonbrugere skal være i stand til at få adgang til virksomhedens netværk
overalt i verden, men det er også vigtigt at sikre, at brugerne er autoriserede, og at deres data er beskyttet under overførslen. iOS indeholder gennemprøvede
teknologier, der udfører disse sikkerhedsopgaver på både Wi-Fi- og mobildata- netværk.
Udover din eksisterende infrastruktur er hver FaceTime-session og iMessagesamtale krypteret fra start til slut. iOS opretter et entydigt ID til hver bruger og sikrer, at kommunikationen krypteres, sendes og forbindes korrekt.
VPN
Mange virksomheder bruger en eller anden form for virtuelt privat netværk (VPN).
Disse sikre netværkstjenester anvendes allerede og kræver som regel minimal
indstilling og konfiguration, før de kan arbejde med iOS. iOS integrerer med et
bredt udvalg af almindeligt brugte VPN-teknologier direkte fra æsken. Se “Virtuelle
private netværk” i kapitel 1 for yderligere oplysninger.
SSL/TLS
iOS understøtter SSL v3 såvel som Transport Layer Security (TLS v1.0, 1.1 og 1.2).
Safari, Kalender, Mail og andre internetapps starter automatisk disse mekanismer for at åbne en krypteret kommunikationskanal mellem iOS og virksomhedstjenester.
WPA/WPA2
iOS understøtter WPA2 Enterprise, som giver godkendt adgang til din virksomheds
trådløse netværk. WPA2 Enterprise bruger 128 bit AES-kryptering, som giver
brugerne størst mulig sikkerhed for, at deres data er beskyttet, når de sender og
modtager data via en Wi-Fi-forbindelse. Og med understøttelse af 802.1X kan
iPhone og iPad integreres i et bredt udsnit af RADIUS-godkendelsesmiljøer.
Appsikkerhed
iOS er designet med sikkerhed for øje. Det indeholder en “sandboxed” tilgang til
beskyttelse ved afvikling og signering af apps for at sikre, at der ikke kan foretages
ændringer i appsene. iOS har også et framework, som muliggør sikker opbevaring
af oplysninger om apps og netværkstjenester på et krypteret sted, som kaldes
nøgleringen. For udviklere byder den på en fælles krypteringsarkitektur, som kan
bruges til at kryptere appdata.
Beskyttelse ved afvikling
Apps på enheden er “sandboxed”, så de ikke kan få adgang til data, der er lagret af
andre apps. Derudover er systemfiler, systemressourcer og kernen beskyttet mod
brugerens appområde. Hvis en app har brug for adgang til data fra en anden app,
kan den kun få det ved at bruge de API'er og tjenester, der stilles til rådighed af iOS.
Generation af koder er heller ikke muligt.
Obligatorisk kodesignering
Alle apps i iOS skal signeres. Appsene, som leveres med enheden, er signeret af
Apple. Tredjepartsapps er signeret af udvikleren med et certifikat udstedt af Apple.
Dette sikrer, at en app ikke er blevet ændret eller fiflet med. Desuden udføres der
kontrol af afviklingen for at sikre, at en app ikke har mistet godkendelsen, siden
sidste gang den blev brugt.
!
20
Brugen af internt udviklede virksomhedsapps kan kontrolleres med en program- beskrivelse. Brugerne skal have programbeskrivelsen installeret for at kunne bruge
appen. Programbeskrivelserne kan installeres trådløst ved hjælp af MDM-løsninger.
Administratorer kan også begrænse brugen af en app til specifikke enheder.
Framework til sikker godkendelse
iOS har en sikker, krypteret nøglering til opbevaring af digitale identiteter,
brugernavne og adgangskoder. Data i nøgleringen partitioneres på en sådan måde,
at der ikke er adgang til godkendelser, som opbevares af tredjepartsapps, fra apps
med en anden identitet. Dette er mekanismen til at sikre godkendelsesoplysningerne
på iOS-enhederne på tværs af en række apps og tjenester inden for virksomheden.
Fælles krypteringsarkitektur
Appudviklere har adgang til API'er til kryptering, som de kan bruge til at beskytte
deres appdata yderligere. Dataene kan krypteres symmetrisk ved hjælp af
afprøvede metoder, som f.eks. AES, RC4 eller 3DES. Derudover har iOS-enhederne
hardwareacceleration for AES-kryptering og SHA1-hashing, der maksimerer
appsenes ydeevne.
Beskyttelse af appdata
Appsene kan udnytte den indbyggede hardwarekryptering på iOS-enheder til
yderligere beskyttelse af følsomme appdata. Udviklere kan markere specifikke filer til databeskyttelse ved at instruere systemet i at gøre indholdet af filen kryptografisk
utilgængeligt for både appen og potentielle hackere, når enheden er låst.
Apprettigheder
Som standard har en iOS-app meget begrænsede privilegier. Udviklerne skal
udtrykkeligt tilføje rettigheder til at bruge de fleste funktioner, som f.eks. iCloud,
behandling i baggrunden eller delte nøgleringe. Dette sikrer, at appsene ikke kan
give dem selv adgang til data efter installationen. Desuden skal iOS-apps bede om
eksplicit brugertilladelse, inden de bruger mange iOS-funktioner, som f.eks. GPSlokalisering, brugerkontakter, kameraet eller gemte billeder.
Internettjenester
Apple har opbygget et robust sæt af tjenester til at hjælpe brugerne med få mere
ud af og være mere produktive med deres enheder, herunder iMessage, FaceTime,
Siri, iCloud, iCloud-sikkerhedskopiering og iCloud-nøglering.
Disse internettjenester er opbygget med de samme sikkerhedsmål, som iOS
anvender på tværs af hele platformen. Disse mål omfatter sikker behandling af data,
hvad enten de findes på enheden eller overføres via trådløse netværk, beskyttelse af
brugernes personlige oplysninger og mod ondsindet eller uautoriseret adgang til
oplysninger og tjenester. Hver tjeneste bruger dens egen kraftfulde sikkerheds- arkitektur uden at gå på kompromis med den generelle brugervenlighed i iOS.
iMessage
iMessage1 er en beskedtjeneste til iOS-enheder og Mac-computere. iMessage
understøtter tekst og bilag, som f.eks. billeder, kontakter og placeringer. Beskederne
vises på alle brugerens registrerede enheder, så de kan fortsætte samtalerne på en
hvilken som helst enhed. iMessage gør omfattende brug af Apples tjeneste til pushbeskeder. iMessage bruger kryptering fra start til slut, som bruger nøgler, der kun
kendes af de afsendende og modtagende enheder. Apple kan ikke afkryptere
beskederne, og de logføres ikke.
!
21
FaceTime
FaceTime2 er Apples video- og lydopkaldstjeneste. FaceTime-opkald bruger Apples
tjeneste til push-beskeder til at etablere en indledende forbindelse og bruger
derefter Internet Connectivity Establishment (ICE) og Session Initiation Protocol
(SIP) til at skabe en krypteret stream.
Siri
Ved blot at tale naturligt kan brugere bede Siri3 om at sende beskeder, planlægge
møder, ringe op og meget mere. Siri bruger talegenkendelse, tekst til tale, og en
klientservermodel til at svare på en lang række anmodninger. Opgaverne, som Siri
understøtter, er designet til at sikre, at der kun bruges en absolut minimal mængde
personlige oplysninger, og at de er helt beskyttede. Siri-anmodninger og
stemmeoptagelser identificeres ikke personligt, og i det omfang det er muligt,
udføres Siri-funktionerne på enheden og ikke på serveren.
iCloud
iCloud4 opbevarer musik, billeder, apps, kalendere, dokumenter m.m. og sender
automatisk oplysningerne til alle brugerens enheder. iCloud sikkerhedskopierer
også oplysninger, inkl. enhedsindstillinger, app-data samt SMS'er og MMS'er dagligt
via Wi-Fi. iCloud beskytter dine data ved at kryptere dem, når de sendes over
internettet, lagre dem i et krypteret format og bruge sikre koder til godkendelse.
Desuden kan iCloud-funktioner som fotostream, synkronisering af dokumenter og
sikkerhedskopiering deaktiveres via en konfigurationsbeskrivelse.
For yderligere oplysninger om sikkerhed og anonymitet i iCloud henvises der til
iCloud: Sikkerhed og anonymitet i iCloud.
iCloud-sikkerhedskopi
iCloud sikkerhedskopierer også oplysninger, inkl. enhedsindstillinger, appdata,
SMS'er og MMS'er dagligt via Wi-Fi. iCloud beskytter dine data ved at kryptere dem,
når de sendes over internettet, lagre dem i et krypteret format og bruge sikre koder
til godkendelse. iCloud sikkerhedskopierer kun, når enheden er låst, tilsluttet til en
stikkontakt og har Wi-Fi-adgang til internettet. På grund af den kryptering, som
bruges i iOS, er systemet designet til at sikre dataene samtidig med at muliggøre
trinvis sikkerhedskopiering og gendannelse i baggrunden.
iCloud-nøglering
iCloud-nøglering gør det muligt for brugere sikkert at synkronisere deres
adgangskoder imellem iOS-enheder og Mac-computere uden at vise oplysningerne
til Apple. Udover stærk anonymitet og sikkerhed var brugervenligheden og
muligheden for at gendanne en nøglering andre mål, som havde stærk indflydelse
på designet og arkitekturen af iCloud-nøglering. iCloud-nøglering består af to
tjenester: synkronisering og gendannelse af nøgleringen. Ved synkronisering af
nøgleringen er det kun tilladt for enhederne at deltage efter en godkendelse af
brugeren, og hvert emne i nøgleringen, som kan synkroniseres, udveksles med
kryptering pr. enhed via iClouds opbevaring af nøgleværdier. Emnerne er kortvarige
og opbevares ikke i iCloud, efter at de er synkroniseret. Gendannelse af nøgleringen
giver brugerne mulighed for at opbevare deres nøglering hos Apple uden at give
Apple mulighed for at læse adgangskoder og andre data, som den indeholder.
Også i det tilfælde, at brugeren kun har én enhed, giver gendannelse af
nøgleringen et sikkerhedsnet imod datatab. Dette er specielt vigtigt, når Safari
bruges til at generere tilfældige, stærke adgangskoder for webkonti, da den eneste
registrering af adgangskoderne findes i nøgleringen. En hjørnesten i gendannelse
af nøgleringen er sekundær godkendelse og en sikker opbevaringstjeneste, der er
skabt af Apple specielt til at understøtte denne funktion. Brugerens nøglering er
krypteret med en stærk adgangskode, og opbevaringstjenesten afgiver kun en kopi
af nøgleringen, hvis forskellige strenge betingelser imødekommes.
For yderligere oplysninger om sikkerhed henvises der til Sikkerhedsvejledning til iOS. 22
Kapitel 3: Konfiguration og
administration
Anvendelsen af iOS kan strømlines ved hjælp af flere forskellige administrations- teknikker, som forenkler konfiguration af konti, konfiguration af virksomhedspolitikker,
distribution af apps og anvendelse af enhedsbegrænsninger. Brugerne kan derefter
udføre det meste af konfigurationsarbejdet selv ved hjælp af den indbyggede
indstillingsassistent i iOS. Og efter at iOS-enhederne er konfigureret og tilmeldt til
MDM, kan de trådløst administreres af IT-afdelingen.
Dette kapitel beskriver, hvordan du kan bruge konfigurationsbeskrivelser og MDM til at understøtte anvendelsen af iOS.
Indstilling og aktivering af enheder
iOS-brugere kan aktivere deres enhed, konfigurere grundlæggende indstillinger og
begynde at arbejde med det samme med indstillingsassistenten i iOS. Udover de
grundlæggende indstillinger kan brugerne indstille deres personlige præferencer,
som f.eks. sprog, placering, Siri, iCloud og Find min iPhone. Indstillingsassistenten
gør det også muligt for brugerne at oprette et personligt Apple-id, hvis de ikke
allerede har et.
Apple-id
Et Apple-id er den identitet, som bruges til at logge ind på forskellige Appletjenester, f.eks. FaceTime, iMessage, iTunes, App Store, iCloud og iBooks Store. Med
et Apple-id kan brugerne installere apps, bøger og indhold fra iTunes Store, App
Store eller iBooks Store. Med et Apple-id kan brugerne også oprette en iCloudkonto, som de kan bruge til at få adgang til og dele indhold med flere forskellige
enheder.
For at få mest muligt ud af disse tjenester bør brugerne anvende deres eget Appleid. Hvis de ikke har et Apple-id, kan de oprette et, også inden de får udleveret en
enhed, så konfigurationen kan foregå så hurtigt som muligt.
Læs, hvordan man får et Apple-id på Mit Apple-id.
Klargøring af enheder med Apple Configurator
For enheder, som administreres centralt af IT-afdelingen, og som ikke er konfigureret
af individuelle brugere, kan Apple Configurator bruges til hurtigt at aktivere enheder,
definere og anvende konfigurationer, overvåge enheder, installere apps og opdatere
enhederne til den seneste iOS-version. Apple Configurator er et gratis program til OS
X, som du kan hente i Mac App Store. Enhederne skal forbindes til en Mac via USB for
at udføre disse opgaver. Du kan også gendanne en sikkerhedskopi til enhederne, som anvender enhedsindstillingerne og layoutet af hjemmeskærmen, og installere
appdata.
!
23
Konfigurationsbeskrivelser
Konfigurationsbeskrivelser er XML-filer, der indeholder sikkerhedspolitikker og
begrænsninger for enheden, oplysninger om VPN-konfiguration, Wi-Fi-indstillinger,
mail- og kalenderkonti samt godkendelsessystemer, der gør det muligt for iOSenhederne at fungere i dine IT-systemer. Konfigurationsbeskrivelserne indlæser
hurtigt indstillinger og godkendelsesoplysninger på en enhed. Nogle VPN- og WiFi-indstillinger kan kun indstilles med en konfigurationsbeskrivelse, og hvis du ikke
bruger Microsoft Exchange, skal du bruge en konfigurationsbeskrivelse til at
indstille adgangskodepolitikkerne på enheden.
Konfigurationsbeskrivelserne kan distribueres trådløst eller via MDM. Du kan også
installere konfigurationsbeskrivelser på enheder, der er tilsluttet en computer via
USB, ved hjælp af Apple Configurator, eller du kan distribuere konfigurations- beskrivelserne via mail eller en webside. Når brugerne åbner bilaget i mailen eller
henter konfigurationsbeskrivelsen til deres enhed med Safari, bliver de bedt om at
begynde installationsprocessen. Hvis du bruger en MDM-server, kan du distribuere
en indledende beskrivelse, som kun indeholder konfigurationsoplysninger for
serveren og derefter overføre alle andre beskrivelser trådløst.
Konfigurationsbeskrivelserne kan krypteres og signeres, hvilket gør det muligt for
dig at begrænse deres brug til en specifik enhed og forhindrer, at nogen kan ændre
indstillingerne i en beskrivelse. Du kan også markere en beskrivelse som låst på
enheden, så når den er installeret, kan den kun fjernes ved at slette alle data på
enheden eller ved at indtaste en adgangskode.
Med undtagelse af at indtaste en adgangskode kan brugere ikke ændre
indstillingerne i en konfigurationsbeskrivelse. Desuden kan konti, som konfigureres
med en beskrivelse, som f.eks. Exchange-konti, kun fjernes ved at slette
beskrivelsen.
For yderligere oplysninger henvises der til Configuration Profile Key Reference på
websitet iOS Developer Library.
MDM (Administration af mobile enheder)
iOS har et indbygget MDM-framework, som gør, at MDM-løsninger fra tredjeparter
kan interagere trådløst med iOS-enheder. Dette letvægts-framework blev designet
fra bunden til iOS-enheder og er tilstrækkelig kraftfuldt og skalerbart til helt at
konfigurere og administrere alle iOS-enheder inden for en organisation.
Med en MDM-løsning kan IT-administratorer sikkert tilmelde enheder til et virks- omhedsmiljø, konfigurere og opdatere indstillinger, overvåge, at virksomhedens
politikker overholdes, og slette eller låse administrerede enheder. MDM til iOS gør det
muligt for IT-afdelingen at aktivere brugeradgang til netværkstjenester på en simpel
måde samt sikre, at enhederne er konfigureret korrekt, lige meget hvem der ejer dem.
MDM-løsningerne bruger Apples tjeneste til push-beskeder (APNs) til at opretholde
vedvarende kommunikation med enheder på både offentlige og private netværk.
MDM kræver flere certifikater for at kunne bruges, herunder et APNs-certifikat for at
kunne kommunikere med klienter og et SSL-certifikat for at kunne kommunikere
sikkert. MDM-løsninger kan evt. også signere beskrivelser med et certifikat.
De fleste certifikater, herunder et APNs-certifikat, skal fornys en gang om året. Når et
certifikat udløber, kan en MDM-server ikke kommunikere med klienterne, før
certifikatet opdateres. Vær forberedt på at opdatere alle MDM-certifikater, før de
udløber.
!
Se Apple Push Certificates Portal for mere information om MDM-certifikater.
24
Tilmeld
Når enheder tilmeldes, slås katalogisering og administration af aktiver til.
Tilmeldingsprocessen kan anvende en Simple Certificate Enrollment Protocol
(SCEP), der gør det muligt for iOS-enheder at oprette og tilmelde unikke
identitetscertifikater for godkendelse til virksomhedstjenester.
I de fleste tilfælde kan brugerne bestemme, om de vil tilmelde deres enhed til MDM
eller ej, og de kan framelde enheden fra MDM til enhver tid. Institutioner bør
overveje tiltag, så brugernes enheder forbliver administrerede. De kan f.eks. kræve
MDM-deltagelse til Wi-Fi-adgang ved at bruge MDM-løsningen til levering af
trådløse godkendelser. Når en bruger ophører med at bruge MDM, forsøger
enheden at underrette MDM-serveren.
Konfiguration
Når en enhed er tilmeldt, kan den konfigureres dynamisk med indstillinger og
politikker af MDM-serveren, som sender konfigurationsbeskrivelser til enheden, der automatisk installeres af enheden i baggrunden.
Konfigurationsbeskrivelserne kan signeres, krypteres og låses, hvilket forhindrer
indstillingerne fra at blive ændret eller delt, hvorved det sikres, at kun godkendte
brugere og enheder, som er konfigureret til dine specifikationer, kan få adgang til
dit netværk og tjenester. Hvis en bruger framelder sin enhed fra MDM, fjernes alle
indstillinger, som er installeret via MDM.
Konti
MDM kan hjælpe din organisations brugere til hurtigt at komme i gang ved
automatisk at indstille deres mail og andre konti. Afhængigt af MDM-produktet og
integrationen med dine interne systemer kan kontodata også forudindstilles med
brugerens navn, mailadresse og eventuelt certifikatidentiteter til godkendelse og
signering. MDM kan konfigurere følgende typer af konti:
• Mail
• Kalender
• Kalendere i abonnement
• Kontakter
• Exchange ActiveSync
• LDAP
Administrerede mail- og kalenderkonti respekterer de nye begrænsninger for
administreret åbning i iOS 7.
Forespørgsler
En MDM-server kan bede enheder om forskellige oplysninger. Dette omfatter
hardwareoplysninger, som f.eks. serienummer, enheds-UDID eller Wi-Fi-MACadresse og softwareoplysninger, som f.eks. iOS-version og en detaljeret liste over
alle apps, som er installeret på enheden. Disse oplysninger kan bruges til at sikre, at brugere har et passende sæt apps.
Med Apple TV-software 5.4 eller senere kan MDM også bede tilmeldte Apple TVenheder om oplysninger som f.eks. sprog, landestandard og organisation.
Kommandoer
Når en enhed administreres, kan det ske via en server til administration af mobile
enheder eller ved hjælp af et sæt bestemte handlinger. Administrationsopgaver
omfatter:
• Ændring af konfigurationsindstillinger. Der kan sendes en kommando til at
installere en ny eller opdateret konfigurationsbeskrivelse på en enhed. Ændringer
i konfigurationen foregår i baggrunden, uden at brugeren skal gøre noget.
25
• Låsning af en enhed. Hvis en enhed skal låses med det samme, kan der sendes
en kommando til at låse enheden med den aktuelle adgangskode.
• Ekstern sletning af en enhed. Hvis en enhed mistes eller bliver stjålet, kan der
sendes en kommando til at slette alle data på enheden. Når der modtages en
kommando om ekstern sletning, kan dette ikke fortrydes.
• Nulstilling af adgangskode. Ved at nulstille en adgangskode indstilles enheden til øjeblikkeligt at bede brugeren om at indtaste en ny adgangskode. Dette
bruges, når en bruger har glemt sin adgangskode og gerne vil have, at ITafdelingen nulstiller den for dem.
• Anmodning om AirPlay-skærmdublering og Stop AirPlay-skærmdublering. iOS 7 indeholder en kommando til at få en overvåget iOS-enhed til at begynde
AirPlay-skærmdublering til en specifik destination eller stoppe en aktuel AirPlaysession.
Administrerede apps
Organisationerne har ofte brug for at distribuere software, så deres brugere kan
være produktive på arbejdet eller i klasseværelset. Samtidigt skal organisationerne
kunne kontrollere, hvordan denne software forbinder til interne ressourcer, eller
hvordan datasikkerheden håndteres, når en bruger forlader organisationen, alt
sammen side om side med brugerens personlige apps og data. Administrerede
apps i iOS 7 gør det muligt for en organisation trådløst at distribuere virksomheds- apps med MDM samtidig med at opretholde den rette balance imellem
institutionel sikkerhed og personalisering.
MDM-servere kan gratis og trådløst installere apps fra App Store og interne
virksomhedsapps til enhederne.
Administrerede apps kan fjernes eksternt af MDM-serveren, eller når brugeren
framelder deres egen enhed fra MDM. Fjernelse af en app fjerner også dataene,
som er associeret med den fjernede app.
MDM indeholder en række yderligere begrænsninger og muligheder for
administrerede apps i iOS 7 for at give forbedret sikkerhed og en bedre
brugeroplevelse.
• Administreret åbning. Giver to nyttige funktioner til at beskytte en organisations
appdata:
– Gør det muligt at åbne dokumenter, som er oprettet med ikke-administrerede
apps, i administrerede apps. Ved at påtvinge denne begrænsning forhindres det,
at en brugers personlige apps og konti kan åbne dokumenter i organisationens
administrerede apps. For eksempel kan denne begrænsning forhindre, at
brugerens kopi af Keynote kan åbne en PDF-præsentation i en organisations app
til visning af en PDF. Denne begrænsning kan også forhindre, at en brugers
personlige iCloud-konto kan åbne et bilag i en organisations kopi af Pages.
– Gør det muligt at åbne dokumenter, som er oprettet med administrerede
apps, i ikke-administrerede apps. Ved at påtvinge denne begrænsning
forhindres det, at organisationens administrerede apps og konti kan åbne
dokumenter i en brugers personlige apps. Denne begrænsning kan forhindre,
at et fortroligt bilag i en mail i organisationens administrerede mailkonto kan
åbnes i en af brugerens personlige apps.
• Konfiguration af apps. Appudviklere kan identificere appindstillinger, som kan
indstilles, når appen installeres som en administreret app. Disse konfigurations- indstillinger kan installeres før eller efter, at den administrerede app installeres.
• Appfeedback. Appudviklere, der bygger apps, kan identificere appindstillinger,
der kan læses fra en administreret app ved hjælp af MDM. En udvikler kan f.eks.
anføre en nøgle som “DidFinishSetup” til appfeedback, som en MDM-server kan
bruge for at afgøre, om appen er blevet startet og indstillet.
26
• Forhindre sikkerhedskopiering. Denne begrænsning kan også forhindre
sikkerhedskopiering til iCloud eller iTunes af administrerede apps. Ved at
deaktivere sikkerhedskopiering forhindres data fra administrerede apps i at blive
gendannet, hvis appen fjernes via MDM, men senere bliver geninstalleret af
brugeren.
Overvågede enheder
Overvågning giver et højere niveau af enhedsadministration for enheder, som ejes
af din organisation og muliggør yderligere begrænsninger, som f.eks. at deaktivere
iMessage eller Game Center. Det byder også på yderligere enhedskonfigurationer
og funktioner, som f.eks. filtrering af webindhold eller muligheden for at installere
apps i baggrunden.
Se Bilag B for specifikke begrænsninger, som kan aktiveres på overvågede enheder.
!
27
Kapitel 4: Appdistribution
iOS indeholder en række apps, som de ansatte i din organisation kan bruge til alle
deres daglige opgaver – f.eks. tjekke mail, administrere deres kalendere, holde styr
på kontakter og bruge internettet. De fleste funktioner, som brugerne behøver for
at være produktive, kommer fra hundredtusindvis af iOS-apps fra tredjeparter, som
er tilgængelige fra App Store, eller fra specialudviklede interne virksomhedsapps.
Du kan også skabe og anvende dine egne interne apps, hvis du er medlem af iOS
Developer Enterprise Program.
!
Interne apps
Hvis du udvikler dine egne iOS-apps til brug i din organisation, lader iOS Developer
Enterprise Program dig installere de interne apps. Processen for anvendelse af en
intern app er:
• Tilmeld dig til iOS Developer Enterprise Program.
• Forbered din app til distribution.
• Opret en programbeskrivelse for virksomhedsdistribution, som godkender
enhederne til at bruge apps, som du har signeret.
• Byg appen med programbeskrivelsen.
• Udsend appen til dine brugere.
!
!
28
Tilmelding til appudvikling
For at udvikle og installere interne apps til iOS skal du først tilmelde dig til iOS
Developer Enterprise Program.
Når du har tilmeldt dig, kan du anmode om et udviklercertifikat og en udvikler- programbeskrivelse. Du kan bruge disse under udviklingen til at bygge og teste din
app. Udviklerprogrambeskrivelsen gør det muligt at anvende apps, som er signeret
med dit udviklercertifikat, på registrerede enheder. Du kan oprette udvikler- programbeskrivelsen på iOS Provisioning Portal. Ad hoc-beskrivelsen udløber efter
tre måneder og specificerer, hvilke enheder (efter enheds-id), som kan anvende
udviklingsbuilds af din app. Du distribuerer dit udviklersignerede build og
programbeskrivelsen til udvikling til dit appteam og testere.
Forbered apps til distribution
Når du har afsluttet udviklingen og testen og er klar til at anvende din app, skal du signere appen med dit distributionscertifikat og pakke den med en programbeskrivelse. Den designerede teamleder eller administrator for dit programmedlemskab opretter certifikatet og programbeskrivelsen på iOS Provisioning
Portal.
Du kan bruge Certifikatassistent (som er en del af programmet Hovednøglering i dit OS X-system) til at generere en anmodning om certifikatsignering (CSR). Du skal derefter overføre CSR'en til iOS Provisioning Portal og modtager et
distributionscertifikat som svar. Når du installerer dette certifikat i Nøglering, kan du indstille Xcode til at bruge det til at signere din app.
Anvendelse af interne apps
Programbeskrivelsen gør det muligt at installere apps på et ubegrænset antal iOSenheder. Du kan oprette en programbeskrivelse for virksomhedsdistribution for en
specifik app eller for flere apps.
Når du har installeret både virksomhedsdistributionscertifikatet og programbeskrivelsen på din Mac, kan du bruge Xcode til at signere og bygge en lancerings-/ produktionsversion af din app. Dit virksomhedsdistributionscertifikat er gyldigt i tre
år, hvorefter du skal signere og bygge din app igen med et fornyet certifikat.
Programbeskrivelsen for appen er gyldig i et år, så du kan udsende nye program- beskrivelser årligt. Se “Udsende opdaterede apps” i Bilag C for yderligere oplysninger.
Det er meget vigtigt, at du begrænser adgangen til dit distributionscertifikat og
den private nøgle. Brug Hovednøglering i OS X til at eksportere og sikkerhedskopiere disse emner i p12-format. Hvis den private nøgle mistes, kan den ikke
gendannes eller hentes igen. Udover at opbevare certifikatet og den private nøgle
et sikkert sted, bør du begrænse adgangen til de medarbejdere, som er ansvarlige
for den endelige godkendelse af appen. Ved at signere en app med distributionscertifikatet godkendes appens indhold, funktion og overholdelsen af licens- betingelserne i aftalen for virksomhedsudviklere.
!
29
Anvendelse af apps
Du kan anvende en app på fire forskellige måder:
• Distribuere appen til installation af dine brugere ved hjælp af iTunes.
• Få en IT-administrator til at installere appen på enheder ved hjælp af Apple
Configurator.
• Publicere appen på en sikker webserver, hvorefter brugerne kan få adgang til og udføre installationen trådløst. Se “Bilag C: Trådløs installation af interne apps”.
• Brug din MDM-server til at instruere administrerede enheder til at installere en
intern app eller en app fra App Store, hvis din MDM-server understøtter dette.
Installering af apps ved hjælp af iTunes
Hvis brugerne installerer apps på deres enheder med iTunes, skal du distribuere
appen sikkert til brugerne, som skal følge disse trin:
1. I iTunes skal du vælge Arkiv > Tilføj til bibliotek og derefter vælge filen (.app, .ipa
eller .mobileprovision). Brugerne kan også trække filen til symbolet for iTunes.
2. Forbind en enhed til computeren, og vælg den derefter i listen over enheder i iTunes.
3. Klik på fanen Apps, og vælg derefter appen i listen.
4. Klik på Anvend.
Hvis brugernes computere er administrerede, kan du i stedet for at bede dem om
at tilføje filerne til iTunes installere filerne på deres computere og bede dem om at
synkronisere deres enhed. iTunes installerer automatisk filerne, som er i mapperne
iTunes Mobile Applications og Provisioning Profiles.
Installation af apps med Apple Configurator
Apple Configurator er et gratis program til OS X, som du kan hente i Mac App Store,
der kan bruges af IT-administratorer til at installere interne apps eller apps fra App Store.
Gratis apps fra App Store eller interne virksomhedsapps kan importeres direkte til Apple Configurator og installeres på lige så mange enheder, som du vælger.
!
Installation af apps med MDM
En MDM-server kan administrere gratis apps fra App Store samt interne apps. Apps,
som er installeret med MDM, kaldes for “administrerede apps”. MDM-serveren kan
specificere, om de administrerede apps og deres data forbliver på enheden, når
brugeren framelder sig MDM. Serveren kan også forhindre, at administrerede
appdata bliver sikkerhedskopieret til iTunes og iCloud. På denne måde kan ITafdelingen administrere apps, som kan indeholde fortrolige virksomhedsoplysninger med større kontrol, end for apps som hentes direkte af brugeren.
For at installere en administreret app sender MDM-serveren en installeringskommando til enheden. På ikke-overvågede enheder kræver de administrerede
apps accept fra brugeren, inden de installeres.
De administrerede apps udnytter de yderligere kontrolfunktioner i iOS 7. VPNforbindelser kan nu specificeres på appniveau, hvilket betyder, at kun netværkstrafik
for denne app vil være i den beskyttede VPN-tunnel. Dette sikrer, at private data
forbliver private, og at offentlige data ikke sammenblandes med disse.
!
30
Administrerede apps understøtter også administreret åbning i iOS 7. Det betyder, at administrerede apps kan begrænses fra at overføre data til eller fra brugerens
personlige apps, hvilket gør det muligt for virksomheden at sikre, at fortrolige
oplysninger forbliver, hvor de skal være.
Caching Server
iOS gør det nemt for brugerne at få adgang til og konsumere digitalt indhold, og
nogle brugere kan anmode om mange gigabytes af apps, bøger og software- opdateringer, når de er forbundet til en organisations trådløse netværk. Behovet for disse ting kommer i bølger, først med den begyndende anvendelse af enheden
og derefter sporadisk, i takt med at brugerne finder nyt indhold, eller når indholdet
opdateres med tiden. Disse overførsler af indhold kan medføre store krav til
netværkets båndbredde.
Funktionen Caching Server i OS X Server reducerer udgående netværksbåndbredde
på private netværk (RFC1918) ved at gemme cache-kopier af anmodet indhold på
det lokale netværk. For større netværk er det en fordel at have flere forskellige
Caching Servers. For mange anvendelser er det nok med blot at aktivere Caching
Server for at konfigurere tjenesten. Der kræves et NAT-miljø for serveren og alle
enheder, som bruger denne funktion.
For yderligere oplysninger henvises der til OS X Server: Advanced Administration.
iOS-enheder med iOS 7 kontakter automatisk en Caching Server i nærheden uden
yderligere konfiguration af enheden. Her kan du se, hvordan Caching Server
arbejder transparent på iOS-enheden:
1. Når en iOS-enhed på et netværk med en eller flere cachelagringsservere
anmoder om indhold fra iTunes Store eller softwareopdateringsserveren,
henvises iOS-enheden til en cachelagringsserver.
2. Cachelagringsserveren kontrollerer først, om det anmodede indhold allerede
findes i dens lokale cache. Hvis dette er tilfældet, vil den øjeblikkeligt levere
indholdet til iOS-enheden.
3. Hvis cachelagringsserveren ikke har det anmodede materiale, forsøger den at hente indholdet fra en anden kilde. Caching Server 2 for OS X Mavericks
indeholder en peer-replikeringsfunktion, som kan bruge andre cachelagringsservere på netværket, hvis disse servere allerede har hentet det anmodede
indhold.
4. Mens Caching Server modtager de overførte data, distribueres det øjeblikkeligt
til klienter, som har anmodet om det og gemmer samtidigt en kopi på disken.
Følgende typer af cachelagret indhold er understøttet i iOS 7:
• iOS-softwareopdateringer
• Apps fra App Store
• App Store-opdateringer
• Bøger fra iBooks Store
iTunes understøtter også Caching Server 2. Følgende typer af indhold er
understøttet af iTunes 11.0.4 eller senere (både Mac og Windows):
• Apps fra App Store
• App Store-opdateringer
• Bøger fra iBooks Store
!
31
Bilag A: Wi-Fi-infrastruktur
Når Wi-Fi-infrastrukturen forberedes til brug af iOS, er der flere faktorer, der bør
overvejes:
• Det nødvendige dækningsområde
• Hvor mange enheder der skal bruge Wi-Fi-netværket, og hvor tæt de er placeret
på hinanden
• Antal enheder og deres Wi-Fi-funktionalitet
• Typen og mængden af data, der skal overføres
• Sikkerhedskrav til adgang til det trådløse netværk
• Krav til kryptering
Selvom denne liste ikke er udtømmende, indeholder den nogle af de mest
relevante faktorer ved design af Wi-Fi-netværk.
Påmindelse: Dette kapitel fokuserer på Wi-Fi-netværksdesign i USA. Designet kan
være anderledes i andre lande.
Planlægning af dækning og tæthed
Selvom det er vigtigt, at der er Wi-Fi-dækning på de steder, hvor der vil blive brugt
iOS-enheder, er det også vigtigt at planlægge ud fra, hvor mange enheder der er i
et givent område.
De fleste adgangspunkter i virksomhedsklasse kan håndtere op til 50 Wi-Fi-klienter,
selvom brugeroplevelsen højst sandsynligt vil være skuffende, hvis der forbindes så mange enheder til et enkelt adgangspunkt. Oplevelsen på hver enhed afhænger
af den tilgængelige trådløse båndbredde på den benyttede kanal og antallet af
enheder, der deler den samlede båndbredde. Efterhånden som flere og flere
enheder bruger det samme adgangspunkt, nedsættes den relative netværkshastighed for disse enheder. Du bør overveje det forventede brugsmønster af iOSenhederne som en del af dit Wi-Fi-netværksdesign.
2,4 GHz vs. 5 GHz
Wi-Fi-netværk, der arbejder med 2,4 GHz, har op til 11 kanaler i USA. Men pga. risiko
for forstyrrelser på kanalerne er det kun kanal 1, 6 og 11, der bør bruges i et
netværksdesign.
5 GHz-signaler trænger ikke lige så godt gennem vægge og andre barrierer som
2,4-GHz signaler, hvilket betyder, at dækningsområdet bliver mindre. Derfor kan 5 GHz-netværk være at foretrække, når du designer netværk til et stort antal
enheder i et lukket område, f.eks. i et klasseværelse. Det tilgængelige antal kanaler i 5 GHz-båndet varierer blandt udbyderne af adgangspunkter og fra land til land,
men der vil altid være mindst otte tilgængelige kanaler.
5 GHz-kanaler overlapper ikke hinanden, hvilket er en vigtig ændring i forhold til de
tre ikke overlappende kanaler, som er tilgængelige i 2,4 GHz-båndet. Når du
designer et Wi-Fi-netværk til mange iOS-enheder, bliver de ekstra kanaler i 5 GHzbåndet en strategisk planlægningsparameter.
!
32
Planlæg dækning
Bygningens indretning kan have stor indflydelse på designet af dit Wi-Fi-netværk. I virksomheder, f.eks., kan de ansatte møde andre ansatte i mødelokaler eller
kontorer. Dette medfører, at brugerne bevæger sig rundt omkring i bygningen i
løbet af dagen. I dette scenarie bruges størstedelen af netværksadgangen til at
tjekke mail og kalendere og surfe på internettet, så Wi-Fi-dækning har første
prioritet. Et Wi-Fi-design kunne inkludere to eller tre adgangspunkter på hver etage
for at sikre dækning til kontorerne og et adgangspunkt i hvert mødelokale.
Planlægge tæthed
Sammenlign ovenstående scenarie med et gymnasium med 1000 elever og 30
lærere i en bygning på to etager. Hver elev har fået udleveret en iPad, og alle lærere
har fået både en MacBook Air og en iPad. Der kan være omkring 35 elever i hvert
klasselokale, og klasselokalerne ligger ved siden af hinanden. I løbet af dagen søger
eleverne på internettet, ser relevante videoer og kopierer filer til og fra en filserver
på LAN-netværket.
Wi-Fi-netværksdesignet til dette scenarie er mere indviklet, fordi de mobile enheder
er tættere på hinanden. Da hvert klasseværelse har ca. 35 elever, kunne der
anvendes et adgangspunkt pr. klasseværelse. Der bør overvejes flere adgangspunkter til fællesarealerne for at sikre tilstrækkelig dækning. Det faktiske antal
adgangspunkter til fællesarealer vil variere afhængigt af Wi-Fi-enhedernes tæthed i disse områder.
Hvis enheder, der kun understøtter 802.11b- eller 802.11g-standarderne, skal indgå i netværket, er en mulighed blot at aktivere 802.11b/g, hvis der anvendes dual-band
adgangspunkter. En anden mulighed er at bruge et SSID ved hjælp af 802.11n ved 5 GHz til nyere enheder og et andet SSID ved 2,4 GHz til understøttelse af 802.11bog 802.11g-enheder. Men man bør undgå at oprette for mange SSID'er.
Brugen af skjulte SSID'er bør undgås i begge designscenarier. Det er sværere for en
Wi-Fi-enhed at oprette en ny forbindelse til et skjult SSID end til et åbent SSID, og
der er meget få sikkerhedsfordele ved at skjule SSID'et. Brugere vil ofte flytte sig
sammen med deres iOS-enheder, så skjulte SSID'er kan forsinke forbindelser til
netværket.
Wi-Fi-standarder i Apples produkter
I nedenstående liste kan du se, hvilke Apple-produkter der understøtter de
forskellige Wi-Fi-specifikationer:
• 802.11-kompatibilitet. 802.11b/g, 802.11a, 802.11n
• Frekvensbånd. 2,4 GHz eller 5 GHz
• MCS-indeks. MCS-indekset (Modulation and Coding Scheme) definerer den
maksimale transmissionshastighed, som 802.11n-enheder kan kommunikere med.
• Kanalbinding. HD20 eller HD40
• Guard interval (GI). Guard interval er afstanden (tiden) mellem symboler, der
overføres fra en enhed til en anden. 802.11n-standarden definerer et kort guard
interval på 400 ns, der sikrer en hurtigere generel hastighed, men enheder kan
bruge et langt guard interval på 800 ns.
iPhone 5s
802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HT40 / 400ns GI
!
33
iPhone 5c
802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HT40 / 400ns GI
iPhone 5
802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HD40 / 400ns GI
iPhone 4s
802.11n @ 2,4 GHz 802.11b/g MCS-indeks 7 / HD20 / 800ns GI
iPhone 4
iPad Air og iPad mini med Retina-skærm
802.11n @ 2,4 GHz og 5 GHz
802.11 a/b/g
MCS-indeks 15 / HD40 / 400 ns GI
iPad (4. generation) og iPad mini
iPad (1., 2. og 3. generation)
iPod touch (5. generation)
iPod touch (4. generation)
!
34
Bilag B: Begrænsninger
iOS understøtter følgende politikker og begrænsninger, som kan konfigureres til at opfylde din organisations behov.
Enhedens funktionalitet
• Tillad installering af apps
• Tillad Siri
• Tillad Siri, når enheden er låst
• Tillad brug af kamera
• Tillad FaceTime
• Tillad skærmoptagelse
• Tillad automatisk synkronisering under roaming
• Tillad synkronisering af nyligt indkomne mails
• Tillad stemmeopkald
• Tillad køb fra app
• Kræver adgangskode til butik ved alle køb
• Tillad spil med flere deltagere
• Tillad tilføjelse af venner i Game Center
• Indstil tilladte vurderinger af indhold
• Tillad Touch-id
• Tillad adgang til Kontrolcenter fra låseskærmen
• Tillad adgang til Meddelelsescenter fra låseskærmen
• Tillad adgang til oversigten I dag fra låseskærmen
• Tillad Passbook-meddelelser fra låseskærmen
Apps
• Tillad brug af iTunes Store
• Tillad brug af Safari
• Indstil sikkerheden i Safari
iCloud
• Tillad sikkerhedskopiering
• Tillad synkronisering af dokumenter og nøglering
• Tillad Min fotostream
• Tillad iCloud-fotodeling
!
35
Sikkerhed og beskyttelse af personlige oplysninger
• Tillad, at diagnosticeringsdata bliver sendt til Apple
• Tillad, at bruger accepterer certifikater uden godkendelser
• Påtving krypterede sikkerhedskopier
• Tillad åbning fra ikke-administrerede til administrerede apps
• Tillad åbning fra administrerede til ikke-administrerede apps
• Kræv adgangskode ved første AirPlay-parring
• Tillad trådløse PKI-opdateringer
• Kræv begrænsning for reklamesporing
Begrænsninger for overvågede enheder
• Kun adgang til en enkelt app
• Indstillinger for tilgængelighed
• Tillad iMessage
• Tillad Game Center
• Tillad fjernelse af apps
• Tillad iBooks Store
• Tillad erotik fra iBooks Store
• Slå Siris filter for anstødeligt sprog til
• Tillad manuel installation af konfigurationsbeskrivelser
• Global netværksproxy til HTTP
• Tillad parring til computere for synkronisering af indhold
• Begræns AirPlay-forbindelser med hvidliste og ekstra adgangskoder til forbindelse
• Tillad AirDrop
• Tillad kontoændringer
• Tillad ændringer i indstillinger for mobildata
• Tillad “Find mine venner”
• Tillad host-parring (iTunes)
• Tillad Aktiveringslås
!
!
36
Bilag C: Trådløs installation af
interne apps
iOS understøtter trådløs installation af specialudviklede interne apps uden brug af iTunes eller App Store.
Systemkrav:
• En sikker webserver, som godkendte brugere kan få adgang til
• En iOS-app i .ipa-format, der er bygget til lancering/produktion med en
programbeskrivelse fra virksomheden
• En XML-manifestfil som beskrevet i dette bilag
• En netværkskonfiguration, som gør det muligt for enhederne at få adgang til en iTunes-server hos Apple
Det er nemt at installere appen. Brugerne skal hente manifestfilen fra dit website til deres iOS-enhed. Manifestfilen giver instrukser til enheden om at hente og
installere de apps, som listes i manifestfilen.
Du kan distribuere URL-adressen for at hente manifestfilen pr. SMS eller mail, eller ved at indsætte den i en anden app fra virksomheden.
Det er op til dig at designe og hoste websitet, som bruges til at distribuere
appsene. Sørg for, at brugerne er godkendte, ved f.eks. at bruge grundlæggende
eller adressebaseret godkendelse, og at websitet er tilgængeligt via dit intranet
eller internettet. Du kan placere appen og manifestfilen i en skjult mappe eller på et andet sted, som kan aflæses ved hjælp af HTTP eller HTTPS.
Hvis du opretter en selvbetjeningsportal, kan du overveje at tilføje webklip til
brugerens hjemmeskærm, så det er nemt at lede brugere til tilbage til portalen for oplysninger om fremtidig anvendelse, f.eks. nye konfigurationsbeskrivelser,
anbefalede apps i App Store og deltagelse i en MDM-løsning.
Forbered en intern app til trådløs distribution
For at forberede en intern app til trådløs distribution skal du bygge en arkiveret
version (en .ipa-fil), og en manifestfil, som muliggør trådløs distribution og
installation af appen.
Du kan bruge Xcode til skabe et apparkiv. Signér appen med dit distributionscertifikat og indsæt din virksomheds programbeskrivelse i arkivet. For yderligere
oplysninger om bygning og arkivering af apps, kan du besøge iOS Dev Center eller
se i brugervejledningen til Xcode, som er tilgængelig fra menuen Hjælp i Xcode.
Om den trådløse manifestfil
Manifestfilen er en XML-plist. Den bruges af en iOS-enhed til at finde, hente og installere apps fra din webserver. Manifestfilen er oprettet af Xcode med
oplysninger, som du giver, når du deler en arkiveret app til distribution inden for virksomheden. Se de forrige afsnit om at forberede apps til distribution. 37
Følgende felter skal udfyldes:
Element
Beskrivelse
URL
Den helt kvalificerede HTTPS-URL for
appfilen (.ipa).
skærmbillede
Et PNG-billede på 57 x 57 pixel, som vises
ved overførsel og installation. Angiv
billedets helt kvalificerede URL.
billede i fuld størrelse
Et PNG-billede på 512 x 512 pixel, som
repræsenterer appen i iTunes.
pakke-id
Din apps pakke-id nøjagtig som specificeret
i dit Xcode-projekt.
pakkeversion
Din apps pakkeversion, nøjagtig som
specificeret i dit Xcode-projekt.
titel
Navnet på appen, som vises under
overførsel og installation.
!
Følgende felter skal udfyldes for apps i Bladkiosken:
Element
Beskrivelse
billede til bladkiosk
Et PNG-billede i fuld størrelse til visning i
hylden i Bladkiosk.
UINewsstandBindingEdge
UINewsstandBindingType
Disse nøgler skal svare til dem i din apps
info.plist i Bladkiosk.
UINewsstandApp
Indikerer, at appen er en app til Bladkiosk.
Ekstra nøgler, som du kan bruge, er beskrevet i eksemplet på en manifestfil. For
eksempel kan du bruge MD5-nøgler, hvis din appfil er stor, og du ønsker at sikre
integriteten af overførsler udover kontrol for fejl, som normalt udføres for TCPkommunikation.
Du kan installere mere end én app med en enkelt manifestfil ved at specificere
yderligere medlemmer i listen over emner.
Du kan finde et eksempel på en manifestfil i slutningen af dette bilag.
Opbyg dit website
Overfør disse emner til et område på dit website, som godkendte brugere kan få adgang til:
• Appfilen (.ipa)
• Manifestfilen (.plist)
Designet at websitet kan være så simpelt som en enkelt side, der henviser til
manifestfilen. Når en bruger trykker på et link til et website, hentes manifestfilen,
som udløser overførsel og installation af de beskrevne apps.
Her er et link som eksempel: <a href=”itms-services://?action=downloadmanifest&url=http://eksempel.com/manifest.plist”>Installer app</a>
Tilføj ikke et link til et website til den arkiverede app (.ipa). .ipa-filen hentes af
enheden, når manifestfilen er indlæst. Selvom protokoldelen af URL'en er itmstjenester, er iTunes Store ikke involveret i denne proces.
38
Sørg også for, at din .ipa-fil er tilgængelig over HTTPS, og at dit website er signeret
med et certifikat, der er godkendt af iOS. Installationen mislykkes, hvis et
selvsigneret certifikat ikke har et godkendt anker og ikke kan godkendes af iOSenheden.
Indstil MIME-typer for serveren
Det kan være nødvendigt at konfigurere din webserver, så manifestfilen og appfilen
overføres korrekt.
For OS X Server skal du tilføje følgende MIME-typer til webtjenestens indstillinger
for MIME-typer:
application/octet-stream ipa text/xml plist
For IIS skal du bruge IIS Manager til at tilføje MIME-typen på siden med serverens
egenskaber:
.ipa application/octet-stream.plist text/xml
Fejlfinding ved trådløs distribution af apps
Hvis trådløs distribution af en app mislykkes med en meddelelse om, at appen ikke
kunne hentes, skal du kontrollere følgende:
• Sørg for, at appen er signeret korrekt. Kontroller dette ved at installere den på en
enhed ved hjælp af Apple Configurator, og se om der opstår en fejl.
• Sørg for, at linket til manifestfilen er korrekt, og at manifestfilen er tilgængelig for
brugerne.
• Sørg for, at URL'en til .ipa filen (i manifestfilen) er korrekt, og at .ipa filen er
tilgængelig for brugerne over HTTPS.
Krav til netværkskonfigurationer
Hvis enhederne er forbundet til et lukket internt netværk, skal iOS-enhederne have
adgang til følgende:
URL
Årsag
ax.init.itunes.apple.com
Enheden henter den aktuelle grænse for filstørrelse
ved overførsel af apps via mobilnetværket. Hvis du ikke kan få adgang til dette website, kan
installationen mislykkedes.
ocsp.apple.com
Enheden kontakter dette website for at kontrollere
statussen af distributionscertifikatet, som bruges til at signere programbeskrivelsen. Se “Validering af certifikat” nedenfor.
Installation af opdaterede apps
Apps, som du selv distribuerer, opdateres ikke automatisk. Når du har en ny version,
som brugerne kan installere, skal du give dem besked om opdateringen og bede
dem om at installere appen. Du kan overveje at få appen til at tjekke for
opdateringer og give brugeren besked, når der findes nye opdateringer. Hvis du
bruger trådløs appdistribution, kan beskeden indeholde et link til manifestfilen for
den opdaterede app.
Hvis du vil have, at brugerne gemmer appens data på deres enhed, skal du sørge for,
at den nye version bruger det samme pakke-id som det der erstattes, og bed
brugerne om ikke at slette den gamle version, inden de installerer den nye version.
Den nye version erstatter den gamle og gemmer dataene på enheden, hvis
pakkeid'et er det samme.
39
Programbeskrivelser til distribution udløber 12 måneder, efter at de er udstedt. Efter udløbsdatoen fjernes programbeskrivelsen, og appen kan ikke længere åbnes.
Inden en programbeskrivelse udløber, skal du bruge iOS Development Portal til at
oprette en ny programbeskrivelse til appen. Opret et nyt apparkiv (.ipa) med den
nye programbeskrivelse til brugere, som installerer appen første gang.
For brugere, som allerede har appen, kan du planlægge din næste version således,
at den indeholder den nye programbeskrivelse. Hvis det ikke er muligt, kan du
distribuere den nye .mobileprovision-fil, så brugerne ikke skal installere appen igen.
Den nye programbeskrivelse overskriver den, som allerede findes i apparkivet.
Programbeskrivelser kan installeres og administreres ved hjælp af MDM, hentes og installeres af brugerne fra et sikkert website, som du angiver, eller distribueres til brugerne som et bilag i en mail, som de kan åbne og installere.
Når dit distributionscertifikat udløber, kan appen ikke længere åbnes. Dit
distributionscertifikat er gyldigt i tre år fra udstedelsesdatoen, eller indtil dit
medlemskab i Enterprise Developer Program udløber. For at forhindre for tidligt
udløb af dit certifikat skal du sørge for at forny dit medlemskab, inden det udløber.
For oplysninger om hvordan distributionscertifikatet kontrolleres, henvises der til
nedenstående afsnit “Validering af certifikat”.
Du kan have to distributionscertifikater aktive på samme tid, da de er uafhængige
af hinanden. Formålet med det sekundære certifikat er at give en overlapningsperiode, du kan bruge til at opdatere dine apps, inden det første certifikat udløber.
Når du anmoder om dit sekundære distributionscertifikat fra iOS Dev Center, skal
du sikre dig, at du ikke tilbagekalder dit første certifikat.
Validering af certifikat
Første gang en bruger åbner en app, valideres distributionscertifikatet ved at
kontakte Apples OCSP-server. Hvis certifikatet ikke er blevet tilbagekaldt, kan appen
køre. Hvis det ikke er muligt at oprette forbindelse til eller få svar fra OCSP-serveren,
tolkes dette ikke som en tilbagekaldelse. For at bekræfte statussen skal enheden
kunne oprette forbindelse til ocsp.apple.com. Se “Krav til netværkskonfigurationer”
tidligere i dette bilag.
OCSP-svaret gemmes på enheden i en periode, som specificeres af OCSP-serveren,
hvilket i øjeblikket er mellem tre og syv dage. Gyldigheden af certifikatet
kontrolleres ikke igen, før enheden er genstartet, og det gemte svar er udløbet.
Hvis der modtages en tilbagekaldelse på dette tidspunkt, kan appen ikke længere
åbnes.
Ved at tilbagekalde et distributionscertifikat, kan de apps, som du har signeret med
det, ikke længere bruges. Du bør kun tilbagekalde et certifikat som sidste mulighed,
f.eks. hvis du er sikker på, at den private nøgle er mistet, eller hvis du tror, at
certifikatet er blevet kompromitteret.
!
40
Eksempel på en manifestfil til en app
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/
DTDs/PropertyList-1.0.dtd”> <plist version=”1.0”> <dict>  <key>items</key> <array> <dict>  <key>assets</key> <array>  <dict>  <key>kind</key> <string>software-package</string>  <key>md5-size</key> <integer>10485760</integer>  <key>md5s</key> <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba</string> <string>51fa64bb7a7cae5a46bfb45821ac8bba</string> </array>  <key>url</key> <string>http://www.eksempel.com/apps/foo.ipa</string> </dict>  <dict> <key>kind</key> <string>display-image</string>  <key>needs-shine</key> <true/> <key>url</key> <string>http://www.example.com/image.57x57.png</string> </dict>  <dict> <key>kind</key> <string>full-size-image</string>  <key>md5</key> <string>61fa64bb7a7cae5a46bfb45821ac8bba</string> <key>needs-shine</key> <true/> <key>url</key><string>http://www.example.com/image.512x512.jpg</string>
</dict> </array><key>metadata</key> <dict>  <key>bundle-identifier</key> <string>com.example.fooapp</string>  <key>bundle-version</key> <string>1.0</string> 41
!
 <key>kind</key> <string>software</string>  <key>subtitle</key> <string>Apple</string>  <key>title</key> <string>Example Corporate App</string> </dict> </dict> </array> </dict> </plist>
!
Kan være omfattet af normale operatørtakster for dataforbrug. Beskeder kan sendes som en SMS, når iMessage ikke er
tilgængeligt (evt. mod betaling af operatørens beskedtakster). 2 FaceTime-opkald kræver en FaceTime-kompatibel enhed
og en Wi-Fi-forbindelse hos både afsender og modtager. FaceTime via et mobilnetværk kræver iPhone 4s eller senere, iPad
med Retina-skærm eller iPad mini med mobildatafunktion. Tilgængeligheden via mobilnet afhænger af operatøren.
Kræver evt. betaling af mobildatatakst. 3 Siri findes ikke på alle sprog eller i alle lande og områder, og funktionerne
varierer fra land til land. Kræver internetadgang. Kan være omfattet af mobildatatakst. 4 Nogle funktioner kræver en Wi-Fiforbindelse. Nogle funktioner er ikke tilgængelige i alle lande. Brug af visse tjenester er begrænset til 10 enheder.
1
© 2014 Apple Inc. Alle rettigheder forbeholdes. Apple, Apple-logoet, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks,
iMessage, iPad, iPhone, iPod touch, iTunes, Keychain, Keynote, Mac, Mac-logoet, MacBook Air, OS X, Pages, Passbook,
Retina, Safari, Siri og Xcode er varemærker tilhørende Apple Inc. og registreret i USA og andre lande. AirPrint, iPad Air og
iPad mini er varemærker tilhørende Apple Inc. iCloud og iTunes Store er servicemærker tilhørende Apple Inc. og
registreret i USA og andre lande. App Store og iBooks Store er servicemærker tilhørende Apple Inc. IOS er et varemærke
eller et registreret varemærke tilhørende Cisco i USA og andre lande og bruges under licens. Andre nævnte produkt- og
firmanavne kan være varemærker tilhørende deres respektive ejere.
42

Teknisk håndbog om iOS-anvendelse

Transcription

Similar documents

WUXUS APP NU TIL IOS

Quick guide til app-udvikling

LEGETØJSPOLITIK I BØRNEHAVEN NØRRESKOVEN

Hent Oversigt over anvendelse af iOS

iOS-sikkerhed

Læs vores hvidbog om iOS-sikkerhed

Side 1 - Københavns Kommune

- Forside

Opkald Kontakter Kontrol og tilpasning Start Startskærm

E-mail arkivering til Exchange - Front-safe

Sommer tennisskole i Hjørring