iOS Deployment Tech Ref Guide DK-NO-SE-FI-NL-RU-TR
Transcription
iOS Deployment Tech Ref Guide DK-NO-SE-FI-NL-RU-TR
! iOS:n käyttöönoton tekninen opas ! iOS ! 7.1 !! Toukokuu 2014 ! iOS:n käyttöönoton tekninen opas !! !! !! ! Sisältö Sivu 3 Johdanto Sivu 4 Luku 1: Integraatio Sivu 4 Microsoft Exchange Sivu 6 Standardipohjaiset palvelut Sivu 6 Wi-Fi Sivu 7 VPN Sivu 13 Ohjelmakohtainen VPN Sivu 13 Kertakirjautuminen Sivu 14 Digitaaliset varmenteet Sivu 15 Bonjour Sivu 16 Luku 2: Turvallisuus Sivu 16 Laitteen turvallisuus Sivu 18 Salaus ja tietosuoja Sivu 20 Verkkoturvallisuus Sivu 20 Ohjelmien suojaus Sivu 21 Internet-palvelut Sivu 23 Luku 3: Määrittely ja hallinta Sivu 23 Laitteen asetukset ja aktivointi Sivu 24 Määrittelyprofiilit Sivu 24 Mobiililaitteen hallinta (Mobile Device Management, MDM) Sivu 27 Laitteiden valvonta Sivu 29 ! Luku 4: Ohjelmien jakelu Sivu 31 Yrityksen sisäiset ohjelmat Sivu 33 Ohjelmien käyttöönotto Sivu 34 Caching Server Sivu 35 Liite A: Wi-Fi-infrastruktuuri Sivu 38 Liite B: Rajoitukset Sivu 40 Liite C: Sisäisten ohjelmien asentaminen langattomasti 2 iOS:n käyttöönoton tekninen opas Johdanto ! Tämä opas on tarkoitettu IT-ylläpitäjille, jotka haluavat tukea iOS-laitteita omissa verkoissaan. Se tarjoaa tietoa iPhonen, iPadin ja iPod touchin käyttöönotosta ja tuesta suuressa organisaatiossa, kuten suuryrityksessä tai oppilaitoksessa. Siinä kerrotaan, kuinka iOS-laitteet tarjoavat kattavan suojauksen, integraation nykyiseen infrastruktuuriin ja tehokkaat käyttöönottotyökalut. iOS:n tukemien keskeisten teknologioiden ymmärtäminen auttaa sinua soveltamaan käyttöönottostrategiaa, joka tarjoaa optimaalisen kokemuksen käyttäjille. Seuraavat luvut toimivat teknisenä materiaalina, jota voidaan käyttää otettaessa iOS-laitteita käyttöön koko organisaatiossa: Integrointi. iOS-laitteissa on sisäänrakennettu tuki monenlaisia verkkoinfrastruktuureja varten. Tässä osiossa saat tietää iOS-tuetuista teknologioista ja Microsoft Exchangen, Wi-Fin, VPN:n ja muiden standardien palveluiden kanssa integroimisen parhaista käytännöistä. Turvallisuus. iOS on suunniteltu yrityksen palveluiden turvallista käyttöä ja tärkeiden tietojen suojaamista ajatellen. iOS tarjoaa vahvan salauksen tiedonsiirtoon, koetellut todentamismenetelmät yrityksen palveluiden käyttöön ja laitteistosalauksen kaikelle levossa olevalle datalle. Tästä luvusta lukemalla saat tietää lisää iOS:n turvallisuuteen liittyvistä ominaisuuksista. Määrittely ja hallinta. iOS tukee edistyksellisiä työkaluja ja teknologioita varmistaen, että iOS-laitteiden käyttöönotto sujuu helposti, ne määritellään omien vaatimustesi mukaan ja että niiden hallinta sujuu helposti laajan mittakaavan ympäristöissä. Tässä luvussa kuvataan erilaisia käyttöönottoa varten saatavilla olevia työkaluja. Mukana on yleiskuva mobiililaitteiden hallinnasta (MDM). Ohjelmien jakelu. Ohjelmien ja sisällön käyttöönottoon koko organisaatiossa on olemassa lukuisia tapoja. iOS Developer Enterprise Program -ohjelman ansiosta ohjelmia voidaan ottaa käyttöön organisaation sisäisiä käyttäjiä varten. Tämän luvun avulla saat perusteellisen näkemyksen näistä ohjelmista sekä yrityksen sisäiseen käyttöön tehdyistä ohjelmista. Seuraavissa liitteissä kerrotaan lisää teknisiä tietoja ja vaatimuksia: Wi-Fi-infrastruktuuri. Tietoja Wi-Fi-standardeista, joita iOS tukee sekä näkökohtia laajamittaisen Wi-Fi-verkon suunnitteluun. Rajoitukset. Tietoja rajoituksista, joiden avulla iOS-laitteet voidaan määritellä vastaamaan tietoturva-, pääsykoodi- ja muita vaatimuksia. Sisäisten ohjelmien asentaminen langattomasti. Tietoja ja vaatimuksia yrityksen sisäisten ohjelmien jakeluun liittyen omaa verkkopohjaista portaalia käytettäessä. Lisäresurssit Aiheeseen liittyvää hyödyllistä tietoa saat katsomalla seuraavilta verkkosivustoilta: www.apple.com/ipad/business/it www.apple.com/iphone/business/it www.apple.com/education/it 3 iOS:n käyttöönoton tekninen opas Luku 1: Integraatio iOS-laitteissa on sisäänrakennettu tuki monenlaisia verkkoinfrastruktuureja varten. Niihin sisältyy seuraavien asioiden tuki: • Suositut muiden valmistajien järjestelmät kuten Microsoft Exchange • Integraatio standardipohjaisen sähköpostin, hakemiston, kalenterin ja muiden järjestelmien kanssa • Standardit Wi-Fi-protokollat tiedonsiirtoon ja salaukseen • VPN-verkot (Virtual private networks) mukaanlukien ohjelmakohtainen VPN • Kertakirjautuminen sujuvaan todentamiseen verkossa oleviin ohjelmiin ja palveluihin • Digitaaliset varmenteet käyttäjien todentamiseen ja viestinnän suojaamiseen Koska tämä tuki on vakiona iOS:ssä, IT-osaston tarvitsee vain määritellä muutamia asetuksia voidakseen integroida iOS-laitteet olemassa olevaan infrastruktuuriin. Lukemalla saat lisätietoja iOS-tuetuista teknologioista ja integroinnin parhaista käytännöistä. Microsoft Exchange iOS voi kommunikoida suoraan Microsoft Exchange Serverin kanssa Microsoft Exchange ActiveSyncin (EAS) kautta. Tämä mahdollistaa push-sähköpostin, -kalenterin, -yhteystietojen, -muistiinpanojen ja tehtävien käytön. Exchange ActiveSync tarjoaa käyttäjille myös pääsyn Global Address List -luetteloon (GAL) ja ylläpitäjille keinot pääsykoodisääntöjen pakottamiseen ja etätyhjennykseen. iOS tukee sekä tavanomaista että varmenteisiin perustuvaa todentautumista Exchange ActiveSyncille. Jos yrityksessäsi on käytössä Exchange ActiveSync, sinulla on valmiina tarvittavat palvelut iOS:n tueksi. Lisämäärittelyitä ei tarvita. Vaatimukset Laitteet, joissa on iOS 7 tai uudempi, tukevat Microsoft Exchangen seuraavia versioita: • Exchange Server 2003 SP 2 (EAS 2.5) • Exchange Server 2007 (käyttäen EAS 2.5:ttä) • Exchange Server 2007 SP 1 (EAS 12.1) • Exchange Server 2007 SP 2 (EAS 12.1) • Exchange Server 2007 SP 3 (EAS 12.1) • Exchange Server 2010 (EAS 14.0) • Exchange Server 2010 SP 1 (EAS 14.1) • Exchange Server 2010 SP 2 (käyttäen EAS 14.1:tä) • Exchange Server 2013 (käyttäen EAS 14.1:tä) • Office 365 (käyttäen EAS 14.1:tä) ! 4 iOS:n käyttöönoton tekninen opas Microsoft Direct Push Exchange Server siirtää sähköpostin, tehtävät, yhteystiedot ja kalenteritapahtumat iOS-laitteisiin, jos mobiili- tai Wi-Fi-datayhteys on käytettävissä. iPod touchissa ja joissakin iPad-malleissa ei ole mobiiliyhteyttä, joten ne vastaanottavat pushilmoituksia vain ollessaan yhteydessä Wi-Fi-verkkoon. Microsoft Exchange Autodiscovery iOS tukee Microsoft Exchange Server 2007:n ja Microsoft Exchange Server 2010:n Autodiscover-palvelua. Kun määrittelet laitteen käsin, Autodiscover käyttää sähköpostiosoitettasi ja salasanaasi määritelläkseen oikeat Exchange Server -tiedot. Lisätietoja Autodiscover-palvelun käyttöönotosta saat tutustumalla Autodiscoverpalveluun. Microsoft Exchange Global Address List -luettelo iOS-laitteet hakevat yhteystiedot yrityksesi Exchange Server -yrityshakemistosta. Voit käyttää hakemistoa tehdessäsi hakuja Yhteystiedoissa. Sitä käytetään automaattisesti sähköpostiosoitteiden täydentämiseen, kun kirjoitat niitä. iOS 6 tai uudempi tukee GAL-kuvia (edellyttää Exchange Server 2010 SP 1:tä tai uudempaa). Ei-tuetut Exchange ActiveSync -ominaisuudet Seuraavia Exchangen ominaisuuksia ei tueta: • Sähköpostiviesteissä olevien, SharePoint-palvelimille tallennettuihin dokumentteihin vievien linkkien avaaminen • Automaattisen poissaoloviestin asettaminen iOS-versioiden tunnistaminen Exchangen kautta Kun iOS-laite muodostaa yhteyden Exchange Serveriin, laite raportoi oman iOSversionsa. Version numero lähetetään pyynnön otsikon Asiakasohjelma-kentässä ja se näyttää samanlaiselta kuin Apple-iPhone2C1/705.018. Erottimen (/) jäljessä oleva numero on iOS build -numero, joka on yksilöllinen jokaisessa iOS-päivityksessä. Voit katsoa version numeron laitteella siirtymällä kohtaan Asetukset > Yleiset > Tietoja. Näet version numeron ja build-numeron, kuten esimerkiksi 4.1 (8B117A). Suluissa oleva numero on build-numero, joka kertoo, mitä päivitystä laitteessa käytetään. Kun build-numero lähetetään Exchange Serveriin, se muunnetaan muodosta NANNNA (jossa N on numero- ja A aakkosmerkki ) Exchange-muotoon NNN.NNN. Numeroarvot pidetään, mutta kirjaimet muunnetaan omaa paikkaansa aakkosissa vastaavaan arvoon. Esimerkiksi ”F” muunnetaan muotoon ”06”, koska se on aakkosten kuudes kirjain. Numeroita täydennetään tarvittaessa nollilla, jotta ne sopivat Exchange-muotoon. Tässä esimerkissä build-numero 7E18 muunnetaan muotoon 705.018. Ensimmäinen numero, 7, jää muotoon ”7”. Merkki E on aakkosten viides kirjain, joten se muunnetaan muotoon ”05”. Piste (.) sijoitetaan muunnettuun versioon muodon edellyttämällä tavalla. Seuraavaan numeroon,18, lisätään nolla ja se muunnetaan muotoon ”018”. Jos build-numero päättyy kirjaimeen (kuten esimerkiksi 5H11A), numero muunnetaan yllä kuvatun mukaisesti ja viimeisen merkin numeerinen arvo lisätään merkkijonoon 3 nollan erottamana. 5H11A muuntuu siis muotoon 508.01100001. Etätyhjennys Voit tyhjentää iOS-laitteen sisällön etänä käyttämällä Exchangen tarjoamia ominaisuuksia. Tyhjentäminen poistaa laitteelta kaiken datan ja määrittelytiedot. Laite tyhjenee turvallisesti ja palautetaan alkuperäisiin tehdasasetuksiinsa. 5 iOS:n käyttöönoton tekninen opas Tyhjennys poistaa datan salausavaimen (salattu käyttäen 256-bittistä AES-salausta), joka tekee kaikesta datasta välittömästi ei-palautettavaa. Microsoft Exchange Server 2007:n tai uudemman avulla voit suorittaa etätyhjennyksen Exchange Management Consolen, Outlook Web Accessin tai Exchange ActiveSync Mobile Administration Web Tool -työkalun avulla. Microsoft Exchange Server 2003:n avulla voit käynnistää etätyhjennyksen käyttäen Exchange ActiveSync Mobile Administration Web Tool -työkalua. Vaihtoehtoisesti käyttäjät voivat tyhjentää oman laitteensa siirtymällä kohtaan Asetukset > Yleiset > Nollaa ja valitsemalla ”Poista kaikki sisältö ja asetukset”. Laitteet voidaan myös määrittää niin, että ne tyhjennetään automaattisesti, kun virheellisen pääsykoodin syöttöyrityksiä on ollut tietty määrä. Standardipohjaiset palvelut iOS-laitteissa on valmiina tuki IMAP-sähköpostiprotokollalle, LDAP-hakemistopalveluille, CalDAV-kalenteritiedoille ja CardDAV-yhteystietoprotokollille, joten ne voidaan integroida lähes mihin tahansa standardipohjaiseen ympäristöön. Ja jos verkkoympäristösi on määritelty vaatimaan käyttäjän todentamista ja SSL:ää, iOS tarjoaa turvallisen lähestymistavan standardeihin perustuvien yrityksen sähköpostin, kalenterin, tehtävien ja yhteystietojen käyttöön. iOS tukee SSL:n avulla 128-bittistä salausta ja X.509-juurivarmenteita, joita merkittävät varmentajat myöntävät. Tyypillisessä käyttöönotossa iOS-laitteet muodostavat suoran pääsyn IMAP- ja SMTP-sähköpostipalvelimille sähköpostin langatonta lähettämistä ja vastaanottamista varten ja voivat myös synkronoida langattomasti muistiinpanoja IMAP-pohjaisten palvelimien kanssa. iOS-laitteet voivat muodostaa yhteyden yrityksesi LDAPv3-yrityshakemistoihin tarjoten käyttäjille pääsyn yrityksen yhteystietoihin Mail-, Yhteystiedot- ja Viestit-ohjelmissa. CalDAV-palvelimen synkronoinnin ansiosta käyttäjät voivat luoda ja hyväksyä langattomasti kalenterikutsuja, vastaanottaa kalenteripäivityksiä ja synkronoida tehtäviä Muistutukset-ohjelman avulla. Lisäksi käyttäjät voivat CardDAV-tuen ansiosta ylläpitää yhteystietojoukkoa, joka on synkronoitu CardDAV-palvelimen kanssa käyttäen vCard-muotoa. Kaikki verkkopalvelimet voidaan sijoittaa DMZ-aliverkkoon, yrityksen palomuurin tai näiden molempien taakse. Wi-Fi iOS-laitteilla voidaan muodostaa suoraan pakkauksesta otettuna suojattu yhteys langattomiin yritys- tai vierasverkkoihin, joten liittyminen käytettävissä oleviin langattomiin verkkoihin on nopeaa ja helppoa riippumatta siitä, ollaanko yrityksen alueella vai matkoilla. Wi-Fi-verkkoon liittyminen Käyttäjät voivat asettaa iOS-laitteet liittymään saatavilla oleviin Wi-Fi-verkkoihin automaattisesti. Wi-Fi-verkkoihin, jotka edellyttävät kirjautumistietoja tai muita tietoja, voidaan päästä nopeasti Wi-Fi-asetuksista tai Mailin kaltaisista ohjelmista avaamatta erillistä selainistuntoa. Lisäksi vähävirtainen ja jatkuva Wi-Fi-yhteys mahdollistaa ohjelmille Wi-Fi-verkkojen käytön push-ilmoitusten lähettämisen. WPA2 Enterprise iOS tukee standardeja langattomia verkkoprotokollia (mukaan lukien WPA2 Enterprise) varmistaen, että yritysten langattomiin verkkoihin voidaan päästä turvallisesti iOS-laitteilta. WPA2 Enterprise käyttää 128-bittistä AES-salausta. 6 iOS:n käyttöönoton tekninen opas Se on koeteltu, lohkoperustainen salausmenetelmä, joka tarjoaa käyttäjille suurimman mahdollisen varmuuden siitä, että heidän tietonsa säilyvät turvassa. 802.1X-tuen ansiosta iOS voidaan integroida moniin eri RADIUS-todentamisympäristöihin. iOS:n tukemiin langattomiin 802.1X-todentamismenetelmiin sisältyvät EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 ja LEAP. Verkkovierailu Suurten yritysten Wi-Fi-verkkojen verkkovierailutilaa varten iOS tukee 802.11k- ja 802.11r-standardeja. 802.11k:n avulla iOS-laitteet voivat siirtyä tukiasemien välillä saumattomammin hyödyntämällä yhteyspisteiden raportteja. 802.11r taas yksinkertaistaa 802.1X-todentamista, kun laite siirtyy yhdestä yhteyspisteestä toiseen. Langattoman verkon, turvallisuuden, välipalvelimen ja todentamisen asetukset voidaan määritellä määrittelyprofiilien tai MDM:n avulla nopeaa käyttöönottoa varten. VPN iOS:llä voidaan käyttää turvallisesti yksityisiä yritysverkkoja alan standardien mukaisten VPN-protokollien välityksellä. iOS tukee suoraan seuraavia: Cisco IPSec, L2TP over IPSec ja PPTP. Jos organisaatiosi tukee jotakin näistä protokollista, lisämäärittelyjä tai muiden valmistajien ohjelmia ei tarvita iOSlaitteiden liittämiseen omaan VPN-verkkoosi. Lisäksi iOS tukee suosittujen VPN-tarjoajien SSL VPN:ää. Päästäkseen alkuun käyttäjien tarvitsee vain ladata jokin näiden yritysten kehittämistä VPNasiakasohjelmista App Storesta. SSL VPN voidaan määritellä käsin laitteesta tai määrittelyprofiilin tai MDM:n avulla, kuten muutkin iOS:n tukemat VPN-protokollat. iOS tukee standardeja tekniikoita, kuten IPv6- ja välipalvelintekniikoita sekä osittaista tunnelointia tarjoten monipuolisen VPN-kokemuksen yritysverkkoihin liityttäessä. Lisäksi iOS toimii monenlaisten todentautumismenetelmien kanssa, esimerkkeinä salasana, kaksiosainen avain ja digitaaliset varmenteet. iOS sisältää VPN On Demandin, joka käynnistää VPN-istunnon, kun on muodostettava yhteys määriteltyihin domaineihin. Näin se nopeuttaa yhteyttä ympäristöissä, joissa käytetään varmennepohjaista todentamista. iOS 7:n avulla yksittäiset ohjelmat voidaan määrittää hyödyntämään VPN-yhteyttä, joka on riippumaton laitteen muista ohjelmista. Näin varmistetaan, että yritystiedot kulkevat aina VPN-yhteyden kautta, ja että muut tiedot (kuten työntekijän henkilökohtaiset ohjelmat App Storesta) eivät tee näin. Lisätietoja saat katsomalla tämän luvun myöhemmästä kohdasta ”Ohjelmakohtainen VPN”. Tuetut protokollat ja todentamismenetelmät SSL VPN. Tukee käyttäjän todentamista salasanalla, kaksiosaisella avaimella ja digitaalisilla varmenteilla. Cisco IPSec. Tukee käyttäjän todentamista salasanalla, kaksiosaisella avaimella ja koneellisella todentamisella jaetun salaisuuden ja varmenteiden avulla. L2TP IPSec. Tukee käyttäjän todentamista MS-CHAP v2 -salasanalla, kaksiosaisella avaimella ja koneellisella tunnistamisella jaetun salaisuuden avulla. PPTP. Tukee käyttäjän todentamista MS-CHAP v2 -salasanalla ja kaksiosaisella avaimella. SSL VPN -asiakasohjelmat Useat SSL VPN -tarjoajat ovat luoneet ohjelmia avuksi iOS-laitteiden määrittelyyn heidän omia ratkaisujaan käytettäessä. Kun haluat määritellä laitteen tiettyä 7 iOS:n käyttöönoton tekninen opas ratkaisua varten, asenna oheisohjelma. Vaihtoehtoisesti voit tarjota määrittelyprofiilin tarvittavilla asetuksilla. SSL VPN -ratkaisuihin sisältyvät: • Juniper Junos Pulsen SSL VPN. iOS tukee Juniper Networks SA Series SSL VPN Gatewayta, jossa käytetään versiota 6.4 tai uudempaa Juniper Networks IVE package 7.0:llä tai uudemmalla. Asenna määrittelyä varten App Storesta saatava Junos Pulse -ohjelma. Lisätietoja saat tutustumalla Juniper Networks -ohjelman tietoihin. • F5:n SSL VPN. iOS tukee seuraavia ratkaisuja: F5 BIG-IP Edge Gateway, Access Policy Manager ja FirePass SSL VPN. Asenna määrittelyä varten App Storesta saatava F5 BIG-IP Edge Client -ohjelma. Lisätietoja saat tutustumalla F5:n tekniseen esittelyyn: Secure iPhone Access to Corporate Web Applications. • Aruba Networksin SSL VPN. iOS tukee Aruba Networksin Mobility Controlleria. Asenna määrittelyä varten App Storesta saatava Aruba Networks VIA -ohjelma. Yhteystietoja saat katsomalla Aruba Networksin verkkosivustolta. • SonicWALLin SSL VPN. iOS tukee SonicWALLin Aventall E-Class Secure Remote Access -sovelluksia, joissa on versio 10.5.4 tai uudempi, SonicWALL SRA -sovelluksia, joissa on versio 5.5 tai uudempi ja SonicWALLin Next-Generation Firewall -sovelluksia mukaan lukien TZ, NSA, E-Class NSA, jossa on käytössä SonicOS 5.8.1.0 -versio tai uudempi. Asenna määrittelyä varten App Storesta saatava SonicWALL Mobile Connect -ohjelma. Yhteystietoja saat katsomalla SonicWALLin verkkosivustolta. • Check Point Mobilen SSL VPN. iOS tukee Check Point Security Gatewayta, jossa on täysi Layer-3 VPN -tunneli. Asenna määrittelyä varten App Storesta saatava Check Point Mobile -ohjelma. • OpenVPN:n SSL VPN. iOS tukee seuraavia: OpenVPN Access Server, Private Tunnel ja OpenVPN Community. Asenna määrittelyä varten App Storesta saatava OpenVPN Connect -ohjelma. • Palo Alto Networksin GlobalProtect SSL VPN. iOS tukee Palo Alto Networksin GlobalProtect Gatewayta. Asenna määrittelyä varten App Storesta saatava GlobalProtect for iOS -ohjelma. • Ciscon AnyConnect SSL VPN. iOS tukee Ciscon Adaptive Security Appliancea (ASA), jossa on käytössä ohjelmistoversio 8.0(3).1 tai uudempi. Asenna määrittelyä varten App Storesta saatava Cisco AnyConnect -ohjelma. VPN:n käyttöönotto-ohjeet Cisco IPSecin käyttöönotto-ohjeet Näiden ohjeiden avulla voit määritellä Ciscon VPN-palvelimesi iOS-laitteiden käyttöä varten. iOS tukee Cisco ASA 5500 Security Appliance -sovelluksia ja PIXpalomuureja, joihin on määritelty 7.2.x-ohjelmisto tai uudempi. Uusinta ohjelmistopäivitystä (8.0.x tai uudempi) suositellaan. iOS tukee myös Cisco IOS VPN -reitittimiä, joissa on IOS-versio 12.4(15)T tai uudempi. VPN 3000 -sarjan keskittimet eivät tue iOS:n VPN-ominaisuuksia. Välipalvelimen käyttöönotto Voit määritellä myös VPN-välipalvelimen kaikkia määrittelyitä varten. Kun haluat määritellä yhden välipalvelimen kaikkia yhteyksiä varten, käytä manuaalista asetusta ja tarjoa osoite, portti ja todentaminen tarvittaessa. Käytä automaattista asetusta tarjotaksesi laitteelle automaattisen välipalvelimen määritystiedoston käyttäen PAC:ta tai WPAD:tä. Määrittele PACS-tiedoston verkko-osoite PACSia varten. WPAD:tä varten iOS kysyy DHCP:ltä ja DNS:ltä sopivat asetukset. 8 iOS:n käyttöönoton tekninen opas Todentamismenetelmät iOS tukee seuraavia todentamismenetelmiä: • Esijaetun avaimen IPSec-todentaminen käyttäjän todentamisen avulla xauthin kautta. • Asiakasohjelma- ja palvelinvarmenteet IPSec-todentamista varten valinnaisella käyttäjän todentamisella xauthin kautta. • Hybriditodentaminen, jossa palvelin tarjoaa varmenteen ja asiakasohjelma tarjoaa esijaetun avaimen IPSec-todentamista varten. Käyttäjän todentaminen vaaditaan xauthin kautta. • Käyttäjän todentaminen tarjotaan xauthin kautta ja se sisältää seuraavat todentamismenetelmät: – Käyttäjätunnus salasanalla – RSA SecurID – CRYPTOCard Todentamisryhmät Cisco Unity -protokolla käyttää ryhmäkäyttäjille todentamisryhmiä, jotka perustuvat yleiseen sarjaan todentamisparametrejä ja muita parametrejä. Sinun tulisi luoda todentamisryhmä iOS-käyttäjille. Esijaettua avainta ja hybriditodentamista varten ryhmän nimen on oltava määritelty laitteeseen ryhmän jaetun salaisuuden (esijaettu avain) ollessa ryhmän salasana. Varmennepohjaista todentamista käytettäessä ei käytetä jaettua salaisuutta. Käyttäjän ryhmä määritellään varmenteen kenttien perusteella. Ciscon palvelimen asetuksia voidaan käyttää varmenteen kenttien asettamiseen käyttäjäryhmille. RSA-Sigin tulisi olla korkein prioriteetti ISAKMP-prioriteettiluettelossa. Varmenteet Varmista seuraavat asiat varmenteita käyttöön otettaessa ja asennettaessa: Palvelimen varmenteen tulee sisältää palvelimen DNS-nimi ja/tai IP-osoite aiheen vaihtoehtoisen nimen (SubjectAltName) kentässä. Laite käyttää tätä tietoa varmentamaan, että varmenne kuuluu palvelimeen. Joustavuutta voidaan lisätä määrittelemällä SubjectAltName käyttäen jokerimerkkejä segmenttikohtaiseen vastaavuuteen, kuten esimerkiksi vpn.*.mycompany.com. DNS-nimi voidaan laittaa yleiseen nimikenttään, jos SubjectAltName on määritelty. Palvelimen varmenteen allekirjoittaneen varmentajan (CA) varmenteen on oltava asennettu laitteelle. Jos se ei ole juurivarmenne, asenna loput luottamusketjusta siten, että varmenne on luotettu. Jos käytät asiakasvarmenteita, varmista, että asiakkaan varmenteen allekirjoittanut luotettu varmentajan (CA) varmenne on asennettu VPN-palvelimelle. Varmennepohjaista todentamista käytettäessä varmista, että palvelin on asetettu tunnistamaan käyttäjän ryhmä asiakasvarmenteen kenttien perusteella. Varmenteiden ja varmentajien on oltava kelvollisia (ei esimerkiksi vanhentuneita). Varmenneketjun lähettämistä palvelimella ei tueta ja se tulisi kytkeä pois päältä. ! 9 iOS:n käyttöönoton tekninen opas IPSec-asetukset Käytä seuraavia IPSec-asetuksia: • Tila. Tunneli-tila • IKE Exchange -tilat. Aggressiivinen tila esijaettu avain- ja hybriditodentamiselle tai päätila varmennepohjaiselle todentamiselle. • Salausalgoritmit. 3DES, AES-128, AES-256. • Todennusalgoritmit. HMAC-MD5, HMAC-SHA1. • Diffie-Hellman-ryhmät. Ryhmä 2 vaaditaan esijaettua avainta ja hybriditodentamista varten. Käytä varmennepohjaista todentamista varten ryhmää 2 3DES:llä ja AES-128:lla. Käytä ryhmä 2:ta tai 5:ttä AES-256:lla. • PFS (Perfect Forward Secrecy). Jos PFS:ää käytetään IKEn vaiheeseen 2, Diffie-Hellman-ryhmän on oltava sama kuin mitä käytettiin IKEn vaiheelle 1. • Tilanmääritys. On oltava käytössä. • DPD (Dead Peer Detection). Suositellaan. • Standardi NAT Traversal. On tuettu ja voidaan ottaa käyttöön (IPSec over TCP ei ole tuettu). • Kuormituksen tasapainotus. Tuettu ja voidaan ottaa käyttöön. • Vaiheen 1 avaimen uudelleenluonti. Ei tueta tällä hetkellä. Suositus on, että avaimen uudelleenluontiajoiksi palvelimella asetetaan yksi tunti. • ASA-osoitteen maski. Varmista, että kaikkien laitteiden osoitevarannon maskit ovat joko asettamatta tai ne on asetettu arvoon 255.255.255.255. Esimerkiksi: asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255. Jos käytät suositeltua osoitemaskia, jotkin VPN-määrittelyn olettamat reitit voivat jäädä huomioimatta. Tämän välttämiseksi varmista, että reititystaulukkosi sisältävät kaikki tarpeelliset reitit ja varmista ennen käyttöönottoa, että aliverkon osoitteet ovat käytettävissä. Muita tuettuja ominaisuuksia • Ohjelmaversio. Asiakasohjelman versio lähetetään palvelimelle, minkä ansiosta palvelin voi hyväksyä tai hylätä yhteydet laitteen ohjelmistoversion perusteella. • Banneri. Banneri (jos määritelty palvelimelle) näytetään laitteella ja käyttäjän täytyy hyväksyä se tai katkaista yhteys. • Jaettu tunneli. Jaettu tunnelointi on tuettu. • Jaettu DNS. Jaettu DNS on tuettu. • Oletusdomain. Oletusdomain on tuettu. ! 10 iOS:n käyttöönoton tekninen opas VPN On Demand VPN On Demandin ansiosta iOS voi muodostaa automaattisesti turvallisen yhteyden ilman käyttäjän toimenpiteitä. VPN-yhteys käynnistetään tarpeen mukaan määrittelyprofiilissa määriteltyjen sääntöjen pohjalta. iOS 7:ssä VPN On Demand määritellään käyttäen OnDemandRules-avainta määrittelyprofiilin VPN-datassa. Sääntöjä sovelletaan kahdessa vaiheessa: • Verkon tunnistusvaihe. Määrittelee VPN-vaatimukset, joita käytetään laitteen ensisijaisen verkkoyhteyden vaihtuessa. • Yhteyden arviointivaihe. Määrittelee VPN-vaatimukset yhteyspyynnöille domainnimiin tarpeen mukaan. Sääntöjä voidaan käyttää esimerkiksi seuraaviin tilanteisiin: • Tunnistamaan, kun iOS-laite liitetään sisäiseen verkkoon ja VPN ei ole välttämätön. • Tunnistamaan, kun käytetään tuntematonta Wi-Fi-verkkoa ja vaatimaan VPN:ää kaikkiin verkkoyhteyksiin. • Vaatimaan VPN:ää, kun määritellyn domain-nimen DNS-pyyntö epäonnistuu. Verkon tunnistusvaihe VPN On Demand -sääntöjä arvioidaan laitteen ensisijaisen verkon käyttöliittymän muuttuessa, esimerkiksi iOS-laitteen siirtyessä toiseen Wi-Fi-verkkoon tai vaihtaessa Wi-Fi-verkosta mobiiliverkkoon. Jos ensisijainen käyttöliittymä on virtuaalikäyttöliittymä (kuten VPN-käyttöliittymä), VPN On Demand -sääntöjä ei huomioida. Jokaisen sarjan (sanakirjan) kaikkien vastaavuussääntöjen tulee täyttyä, jotta niihin liittyvät toiminnot voidaan suorittaa. Jos jokin säännöistä ei täyty, arviointi siirtyy pakan seuraavaan sanakirjaan, kunnes OnDemandRules-pakka on käytetty loppuun. Viimeisen sanakirjan tulisi määritellä ”oletusarvoinen” määrittely eli siinä ei tulisi olla vastaavuussääntöjä, vaan pelkkä toiminto. Se nappaa kaikki yhteydet, jotka eivät ole vastanneet edeltäneitä sääntöjä. Yhteyden arviointivaihe VPN voidaan käynnistää tarpeen mukaan yhteyspyynnöistä tiettyihin domaineihin, sen sijaan että VPN-yhteys katkaistaisiin tai kytkettäisiin yksipuolisesti verkon käyttöliittymän pohjalta. Vastaavuussäännöt tarpeen mukaan Määrittele yksi tai useampi seuraavista vastaavuussäännöistä: • InterfaceTypeMatch. Valinnainen. Wi-Fi- tai mobiiliverkon merkkijonoarvo. Mikäli määritelty, tämä sääntö täytetään, kun ensisijaisen käyttöliittymän ohjelmisto on määriteltyä tyyppiä. • SSIDMatch. Valinnainen. SSID:iden pakka, jonka on vastattava nykyistä verkkoa. Jos verkko ei ole Wi-Fi-verkko tai jos sen SSID ei näy luettelossa, vastaavuus ei toteudu. Jätä tämä avain ja sen pakka pois SSID:n huomiotta jättämiseksi. • DNSDomainMatch. Valinnainen. Hakudomainien pakka merkkijonoina. Jos nykyisen ensisijaisen verkon määritelty DNS-hakudomain sisältyy pakkaan, tämä ominaisuus täyttyy. Jokerimerkki-etuliite (*) on tuettu; esim. *.example.com vastaisi esimerkkiä anything.example.com. ! 11 iOS:n käyttöönoton tekninen opas • DNSServerAddressMatch. Valinnainen. DNS-palvelinosoitteiden pakka merkkijonoina. Jos kaikki tällä hetkellä ensisijaiselle käyttöliittymälle määritellyt DNS-palvelinosoitteet ovat pakassa, tämä ominaisuus täyttyy. Jokerimerkki (*) on tuettu; esim. 1.2.3.* vastaisi mitä tahansa DNS-palvelinta 1.2.3.-etuliitteellä. • URLStringProbe. Valinnainen. Saavutettavuutta tiedusteleva palvelin. Uudelleenohjaus ei ole tuettu. Verkko-osoitteen tulisi viedä luotetulle HTTPSpalvelimelle. Laite lähettää GET-pyynnön varmentaakseen, että palvelin on saavutettavissa. Action Tämä avain määrittelee VPN:n toiminnan silloin, kun kaikki määritellyistä vastaavuussäännöistä arvioidaan tosiksi. Tämä avain vaaditaan. Action-avaimen arvot ovat: • Connect. Käynnistää VPN-yhteyden rajoituksetta seuraavasta verkkoyhteyden muodostusyrityksestä. • Disconnect. Purkaa VPN-yhteyden eikä käynnistä uusia verkkoyhteyksiä tarvittaessa. • Ignore. Jättää kaikki olemassa olevat VPN-yhteydet päälle, mutta ei käynnistä uusia verkkoyhteyksiä tarvittaessa. • Allow. iOS-laitteille, joissa on iOS 6 tai vanhempi. Katso tämän osion myöhempi kohta ”Huomioita taaksepäin yhteensopivuudesta”. • EvaluateConnection. Arvioi ActionParameters-avaimen jokaisella yhteysyrityksellä. Kun tätä käytetään, alla kuvattu ActionParameters-avain vaaditaan määrittelemään arviointisäännöt. ActionParameters Pakka sanakirjoja alla kuvatuilla avaimilla, arvioidaan niiden esiintymisjärjestyksessä. Vaaditaan, kun Action on EvaluateConnection. • Domains. Vaaditaan. Sarja merkkijonoja, jotka määrittelevät domainit, joita tämä arviointi koskee. Jokerimerkki-etuliitteet ovat tuettuja, kuten *.example.com. • DomainAction. Vaaditaan. Määrittelee VPN:n toiminnan Domains-avaimelle. DomainAction-avaimen arvot ovat: – ConnectIfNeeded. Tuo esiin VPN:n, jos Domains-avaimen nimipalvelinkysely epäonnistuu esimerkiksi DNS-palvelimen ilmoittaessa, että se ei kykene kyselemään domain-nimeä tai jos DNS-vastaus ohjataan uudelleen tai yhteydenmuodostus epäonnistuu tai yhteys aikakatkaistaan. – NeverConnect. Ei käynnistä VPN:ää Domains-avaimelle. Kun DomainAction on ConnectIfNeeded, voit määritellä myös seuraavat avaimet yhteyden arviointisanakirjassa: • RequiredDNSServers. Valinnainen. DNS-palvelimien IP-osoitteiden pakka, jota käytetään Domains-avaimen ratkaisemiseen. Näiden palvelimien ei tarvitse olla osa laitteen nykyistä verkkomäärittelyä. Jos nämä DNS-palvelimet eivät ole saavutettavissa, VPN käynnistetään. Määrittele sisäinen DNS-palvelin tai luotettu ulkoinen DNS-palvelin. • RequiredURLStringProbe. Valinnainen. HTTP tai HTTPS (suositeltava) URL tiedusteluun, GET-pyyntöä käyttäen. Jos nimipalvelinkysely tälle palvelimelle onnistuu, myös tiedustelun on onnistuttava. Jos tiedustelu epäonnistuu, VPN käynnistetään. ! 12 iOS:n käyttöönoton tekninen opas Huomioita taaksepäin yhteensopivuudesta Ennen iOS 7:ää domainin käynnistyssäännöt määriteltiin domain-sarjoilla nimeltään OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry ja OnDemandMatchDomainNever. OnRetry- ja Never-tapauksia tuetaan yhä iOS 7:ssä, mutta EvaluateConnection-toimintoa pidetään ensisijaisena niihin nähden. Kun haluat luoda sekä iOS 7:ssä että aikaisemmissa versioissa toimivan profiilin, käytä uusia EvaluateConnection-avaimia OnDemandMatchDomain-sarjojen lisäksi. iOS:n vanhemmat versiot, jotka eivät tunnista EvaluateConnectionia, käyttävät vanhoja sarjoja, kun taas iOS 7 ja uudemmat versiot käyttävät EvaluateConnectionia. Allow-toiminnon määrittelevät vanhat määrittelyprofiilit toimivat iOS 7:ssä, OnDemandMatchDomainsAlways-domainit tosin poikkeuksena tästä. Ohjelmakohtainen VPN iOS 7 tuo mukanaan mahdollisuuden muodostaa VPN-yhteyksiä ohjelmakohtaisesti. Tämä lähestymistapa mahdollistaa entistä tarkemman hallinnan sen suhteen, mikä data kulkee VPN:n kautta ja mikä ei. Laitekohtaisen VPN:n kohdalla kaikki data kulkee alkuperästään riippumatta yksityisen verkon kautta. Koska organisaatioissa käytetään yhä enemmän työntekijöiden omia laitteita, ohjelmakohtainen VPN tarjoaa turvalliset verkkoyhteydet organisaation sisäisille ohjelmille, mutta säilyttää samalla työntekijän omalla laitteella suoritettujen toimintojen yksityisyyden. Ohjelmakohtainen VPN sallii jokaisen mobiililaitteiden hallinnalla (MDM) hallitun ohjelman kommunikoida yksityisen verkon kanssa turvallisen tunnelin kautta. Samalla se estää muita laitteella olevia, ei-hallittuja ohjelmia käyttämästä yksityistä verkkoa. Lisäksi hallittuihin ohjelmiin voidaan määritellä erilaiset VPN-yhteydet datan lisäsuojaksi. Esimerkiksi myyntitarjousohjelma voisi käyttää aivan eri datakeskusta kuin ostoreskontraohjelma samalla kun käyttäjän henkilökohtaiseen verkkoselaukseen käytetään julkista internetiä. Mahdollisuus erottaa liikenne ohjelmatasolla sallii henkilökohtaisten tietojen ja organisaatiolle kuuluvien tietojen erottamisen. Ohjelmakohtaisen VPN:n käyttö edellyttää, että ohjelmaa on hallittava MDM:n kautta ja sen on käytettävä standardeja iOS-verkkoyhteysrajapintoja. Ohjelmakohtainen VPN on määritelty MDM-määrittelyllä, joka määrittää, minkä ohjelmien ja Safari-domainien sallitaan käyttää asetuksia. Lisätietoja MDM:stä saat katsomalla luvusta 3: Määrittely ja hallinta. Kertakirjautuminen (SSO) iOS 7:n avulla ohjelmat voivat hyödyntää olemassa olevaa yrityksen sisäistä kertakirjautumisinfrastruktuuria Kerberoksen kautta. Kertakirjautuminen voi parantaa käyttäjäkokemusta, kun käyttäjää pyydetään syöttämään salasanansa vain kerran. Se parantaa myös päivittäisen ohjelmankäytön turvallisuutta varmistamalla, että salasanoja ei lähetetä koskaan langattomasti. iOS 7 käyttämä Kerberos-todentamisjärjestelmä on standardi ja maailman yleisimmin käytetty kertakirjautumisjärjestelmä. Jos sinulla on Active Directory, eDirectory tai OpenDirectory, todennäköisesti käytössä on jo Kerberos-järjestelmä, jota iOS 7 voi hyödyntää. iOS-laitteilla tulee olla mahdollisuus muodostaa yhteys Kerberos-palveluun verkkoyhteyden kautta käyttäjien todentamiseksi. ! 13 iOS:n käyttöönoton tekninen opas Tuetut ohjelmat iOS tarjoaa joustavan tuen Kerberos-kertakirjautumiselle mihin tahansa (SSO) ohjelmaan, joka käyttää NSURLConnection- tai NSURLSession-luokkaa verkkoyhteyksien ja todentamisen hallintaan. Apple tarjoaa kaikille kehittäjille huippuluokkaiset sovelluskehykset tehdäkseen verkkoyhteyksistä saumattomasti ohjelmiensa kanssa integroituja. Apple tarjoaa myös Safarin esimerkkinä ohjelmasta, joka auttaa sinua pääsemään alkuun SSO-yhteensopivien verkkosivustojen kanssa natiivisti. SSO:n määrittely Kertakirjautumisen määrittely suoritetaan määrittelyprofiileilla, jotka voivat olla joko käsin asennettuja tai MDM:llä hallittuja. SSO-tilin data mahdollistaa joustavan määrityksen. SSO voi olla avoin kaikille ohjelmille tai ohjelman tunnisteen, palvelun verkko-osoitteen tai molempien rajoittama. Verkko-osoitteiden vastaavuutta haettaessa käytetään yksinkertaista vastaamismallia ja verkko-osoitteiden alussa tulee olla joko http:// tai https://. Vastaavuus koskee koko verkko-osoitetta, joten varmista, että ne ovat tarkalleen samat. Esimerkiksi URLPrefixMatches-arvo https://www.example.com/ ei ole sama kuin https://www.example.com:443/. Voit määritellä siten, että http:// tai https:// rajoittaa SSO:n käytön joko turvallisiin tai säännöllisiin HTTP-palveluihin. Esimerkiksi kohteen https:// URLPrefixMatches-arvon käyttö sallii SSO-tilin käytön vain turvallisten HTTPS-palveluiden kanssa. Jos verkko-osoitteen vastaavuusmalli ei pääty kauttaviivaan (/), kauttaviiva (/) lisätään siihen. AppIdentifierMatches-sarjan tulee sisältää merkkijonoja, jotka vastaavat ohjelmapaketin ID:itä. Näiden merkkijonojen tulee olla täysin vastaavia (esimerkiksi com.mycompany.myapp) tai ne voivat määritellä etuliitteen vastaavuuden paketin ID:ssä jokerimerkkiä (*) käyttämällä. Jokerimerkin tulee esiintyä pisteen (.) jälkeen ja vain merkkijonon lopussa (esimerkiksi com.mycompany.*). Kun jokerimerkki annetaan, pääsy tilille myönnetään mille tahansa ohjelmalle, jonka paketin ID alkaa etuliitteellä. Digitaaliset varmenteet Digitaalisten varmenteiden käyttö on tunnistamismenetelmä, joka takaa sujuvan todentamisen sekä tietojen eheyden ja salauksen. Digitaalinen varmenne koostuu julkisesta avaimesta, käyttäjän tiedoista ja varmenteen myöntäneestä varmentajasta. iOS tukee digitaalisia varmenteita tarjoten organisaatioille turvallisen ja kätevän pääsyn yrityksen palveluihin. Varmenteita voidaan käyttää eri tavoin. Tietojen allekirjoittaminen digitaalisella varmenteella auttaa varmistamaan, että tietoja ei voi muuttaa. Varmenteilla voidaan myös taata tekijän tai ”allekirjoittajan” identiteetti. Niillä voidaan myös salata määritysprofiileja ja verkkoviestintää luottamuksellisten tai henkilökohtaisten tietojen salauksen parantamiseksi. Esimerkiksi Safari-selain voi tarkistaa X.509-digitaalivarmenteen kelvollisuuden ja ottaa käyttöön suojatun istunnon 256-bittisellä AES-salauksella. Tällä varmennetaan, että sivuston identiteetti on hyväksytty ja että kommunikaatio verkkosivuston kanssa on suojattua. Näin autetaan estämään henkilökohtaisten tai luottamuksellisten tietojen sieppaaminen. ! 14 iOS:n käyttöönoton tekninen opas Tuetut varmenne- ja identiteettimuodot: • iOS tukee X.509-varmenteita RSA-avaimilla. • Tiedostopäätteet .cer, .crt, .der, .p12 ja .pfx tunnistetaan. Varmenteiden käyttäminen iOS:ssä Juurivarmenteet iOS sisältää valmiiksi joukon esiasennettuja juurivarmenteita. Lisätietoja saat katsomalla tässä Applen tukiartikkelissa olevaa luetteloa. iOS voi päivittää varmenteet langattomasti, mikäli jokin esiasennetuista juurivarmenteista vaarantuisi. Tämä voidaan poistaa käytöstä rajoituksella, joka estää langattomat varmennepäivitykset. Jos käytät juurivarmennetta, jota ei ole esiasennettu (kuten oman organisaatiosi luoma itse allekirjoitettu juurivarmenne) voit jakaa sen käyttäen jotakin alla luetelluista menetelmistä. Varmenteiden jakaminen ja asentaminen Varmenteiden jakaminen iOS-laitteisiin on yksinkertaista. Kun varmenne vastaanotetaan, käyttäjä voi tarkistaa sen tiedot napauttamalla ja lisätä sitten varmenteen laitteeseen napauttamalla. Kun henkilövarmenne asennetaan, käyttäjiltä pyydetään sitä suojaava salasana. Jos varmenteen autenttisuutta ei voida varmistaa, se näkyy ei-luotettuna ja käyttäjä voi päättää, haluaako edelleenkin lisätä sen laitteeseensa. Varmenteiden asentaminen määrittelyprofiilien kautta Jos määrittelyprofiileja käytetään asetusten jakamiseen yrityspalveluille (kuten Exchange, VPN tai Wi-Fi), varmenteet voidaan lisätä profiiliin käyttöönoton helpottamiseksi. Tähän sisältyy mahdollisuus jakaa varmenteita MDM:n kautta. Varmenteiden jakaminen Mailin tai Safarin kautta Jos varmenne lähetetään sähköpostissa, se näkyy liitteenä. Safaria voidaan myös käyttää varmenteiden lataamiseen verkkosivulta. Voit ylläpitää varmennetta suojatulla verkkosivustolla ja tarjota käyttäjille verkko-osoitteen, josta he voivat ladata varmenteen laitteilleen. Varmenteen poistaminen ja peruminen Kun haluat poistaa asennetun varmenteen manuaalisesti, valitse Asetukset > Yleiset > Profiilit ja valitse poistettava varmenne. Jos käyttäjä poistaa varmenteen, jota tarvitaan tilin tai verkon käyttöön, laite ei enää kykene muodostamaan yhteyttä kyseisiin palveluihin. Mobiililaitteiden hallintapalvelin voi tarkistaa kaikki laitteella olevat varmenteet ja poistaa kaikki varmenteet, jotka se on asentanut. Lisäksi OCSP- (Online Certificate Status Protocol) ja CRL-protokollat (Certificate Revocation List) ovat tuettuja varmenteiden tilan tarkistamista varten. Kun OCSP- tai CRL-yhteensopivaa varmennetta käytetään, iOS arvioi sen ajoittain varmistaakseen, että sitä ei ole peruttu. Bonjour Bonjour on Applen standardipohjainen ja helposti asennettava verkkoprotokolla, jolla laitteet löytävät palvelut verkosta. iOS-laitteet käyttävät Bonjouria löytääkseen AirPrint-yhteensopivia tulostimia ja AirPlay-yhteensopivia laitteita, kuten Apple TV:n. Myös jotkin vertaisohjelmat edellyttävät Bonjouria. Sinun on oltava varma, että verkkoinfrastruktuuri ja Bonjour on määritelty toimimaan oikein yhdessä. iOS 7.1 -laitteet etsivät AirPlay-lähteitä myös Bluetoothin välityksellä. Kun yhteensopiva Apple TV on löytynyt, AirPlay-data välitetään Wi-Fi-verkon yli. Apple TV 6.1 tai uudempi vaaditaan Bluetoothin käyttöön, ja iOS-laitteen ja Apple TV:n on oltava samassa aliverkossa, jotta sisältöä voidaan toistaa tai peilata. Lisätietoja Bonjourista saat tutustumalla tähän Applen verkkosivuun. ! 15 iOS:n käyttöönoton tekninen opas Luku 2: Turvallisuus ! iOS:ssä on monitasoinen suojaus. Sen ansiosta iOS-laitteilla voidaan käyttää turvallisesti verkkopalveluita ja suojata tärkeitä tietoja. iOS tarjoaa vahvan salauksen tiedonsiirtoon, koetellut todentamismenetelmät yrityksen palveluiden käyttöön ja laitteistosalauksen kaikelle levossa olevalle datalle. iOS tarjoaa myös turvallisen suojauksen pääsykoodikäytännöillä, jotka voidaan toimittaa ja panna täytäntöön langattomasti. Jos laite päätyy vääriin käsiin, käyttäjät ja IT-ylläpitäjät voivat käynnistää etätyhjennyskomennon yksityisten tietojen poistamista varten. Kun pohditaan iOS:n suojausta yrityskäytössä, on hyödyllistä ymmärtää seuraavat asiat: • Laiterajoitukset. Tavat estää laitteen luvaton käyttö • Salaus ja tietosuoja. Levossa olevan datan suojaus myös silloin, kun laite katoaa tai varastetaan • Verkon suojaus. Verkkoprotokollat ja datan salaus lähetysvaiheessa • Ohjelmien suojaus. Ohjelmien turvallisen toiminnan mahdollistaminen alustan luotettavuutta vaarantamatta • Internet-palvelut. Applen verkkopohjainen infrastruktuuri viestintään, synkronointiin ja varmuuskopiointiin Nämä ominaisuudet toimivat yhteistyössä tarjoten suojatun mobiilialustan. Seuraavia pääsykoodikäytäntöjä tuetaan: • Vaadi pääsykoodi laitteella • Vaadi alfanumeerinen arvo • Pääsykoodin vähimmäispituus • Erikoismerkkien vähimmäismäärä • Pääsykoodin enimmäisikä • Aika ennen automaattilukitusta • Pääsykoodihistoria • Lisäaika ennen laitteen lukitusta • Virheellisten yritysten enimmäismäärä Laitteen turvallisuus Vahvojen pääsykäytäntöjen laatiminen iOS-laitteille on avainasemassa yritystietojen suojaamisessa. Laitteiden pääsykoodit ovat etulinjassa suojauduttaessa luvattomalta käytöltä ja ne voidaan määritellä ja panna täytäntöön langattomasti. iOS-laitteissa käytetään kunkin käyttäjän luomaa yksilöllistä pääsykoodia vahvan salausavaimen luomiseen. Näin voidaan parantaa laitteella olevien arkaluontoisten ohjelmatietojen suojausta. Lisäksi iOS tarjoaa turvalliset menetelmät laitteen määrittelyyn IT-ympäristössä, joissa erityisten asetusten, käytäntöjen ja rajoitusten on oltava kohdallaan. Nämä menetelmät tarjoavat joustavat vaihtoehdot suojauksen vakiotason luomiseen valtuutetuille käyttäjille. Pääsykoodikäytännöt Laitteen pääsykoodi estää valtuuttamattomia käyttäjiä käyttämästä dataa tai muulla tavoin saamasta pääsyä laitteelle. iOS:n avulla voit valita laajasta pääsykoodikäytäntöjen joukosta omia suojaustarpeitasi vastaavat, mukaan lukien umpeutumisajat, pääsykoodin vahvuus ja se, miten usein pääsykoodi on vaihdettava. ! 16 iOS:n käyttöönoton tekninen opas Käytäntöjen valvonta Käytännöt voidaan jakaa osana määrittelyprofiilia käyttäjien asennettaviksi. Profiili voidaan myös määritellä siten, että profiilin poistaminen on mahdollista vain järjestelmänvalvojan salasanalla. Tai sitten profiili voidaan määritellä siten, että se on lukittu laitteeseen eikä sitä voida poistaa ilman, että poistetaan samalla laitteen koko sisältö. Lisäksi pääsykoodiasetukset voidaan määritellä etänä käyttäen mobiililaitteen hallinnan (MDM) ratkaisuja, jotka voivat siirtää käytännöt suoraan laitteeseen. Näin käytännöt voidaan panna täytäntöön ja päivittää ilman käyttäjän toimenpiteitä. Jos laite on määritelty käyttämään Microsoft Exchange -tiliä, Exchange ActiveSync -käytännöt siirretään laitteeseen langattomasti. Käytäntöjen saatavuus vaihtelee riippuen Exchange ActiveSyncin ja Exchange Serverin versiosta. Jos sekä Exchangeettä MDM-käytännöt ovat olemassa, käytetään tiukempaa käytäntöä. Turvallinen laitemäärittely Määrittelyprofiilit ovat XML-tiedostoja, jotka sisältävät suojauskäytäntöjä ja rajoituksia, VPN-määrittelytietoja, Wi-Fi-asetuksia, sähköposti- ja kalenteritilejä sekä todentamistietoja, jotka sallivat iOS-laitteiden toimimisen yhdessä IT-järjestelmiesi kanssa. Mahdollisuus luoda pääsykoodikäytännöt yhdessä laiteasetusten kanssa määrittelyprofiilissa varmistaa, että organisaatiosi laitteet määritellään oikein ja IT-osaston asettamien suojausstandardien mukaisesti. Ja koska määrittelyprofiileja ei voida salata ja lukita, asetuksia ei voida poistaa, muuttaa tai jakaa muiden kanssa. Määrittelyprofiilit voidaan sekä allekirjoittaa että salata. Määrittelyprofiilin allekirjoittaminen varmistaa, että profiilin täytäntöön panemia asetuksia ei voida muuttaa millään tavalla. Määrittelyprofiilin salaaminen suojaa profiilin sisällön ja sallii asennuksen vain laitteella, jota varten se luotiin. Määrittelyprofiilit salataan käyttäen CMS.ää (Cryptographic Message Syntax, RFC 3852), joka tukee 3DES:ää ja AES 128:aa. Kun jaat salattua määrittelyprofiilia ensimmäisen kerran, voit asentaa sen USB:n kautta Apple Configuratorin avulla tai langattomasti käyttäen Over-the-Air Profile Delivery and Configuration -protokollaa tai MDM:ää. Peräkkäiset salatut määrittelyprofiilit voidaan toimittaa sähköpostin liitteenä, ylläpidettyinä verkkosivustolla, jolta ne ovat käyttäjien saatavilla tai siirtämällä laitteeseen MDM-ratkaisuja käyttäen. Lisätietoja saat tutustumalla iOS Developer Library -sivustolla olevaan Over-the-Air Profile Delivery and Configuration -protokollaan. Laiterajoitukset Laiterajoitukset määrittävät, mitä ominaisuuksia käyttäjät voivat käyttää laitteella. Tyypillisesti näihin sisältyvät verkossa toimivat ohjelmat, kuten Safari, YouTube tai iTunes Store, mutta rajoitteilla voidaan hallita myös laitteen toiminnallisuutta, kuten ohjelman asentamista tai kameran käyttöä. Rajoitusten avulla voit määrittää laitteen omien vaatimustesi mukaan ja samalla voit sallia käyttäjille laitteen hyödyntämisen tavoilla, jotka ovat yhteneväisiä organisaatiosi käytäntöjen kanssa. Rajoitukset voidaan määritellä manuaalisesti kullakin laitteella, panna täytäntöön määrittelyprofiilia käyttämällä tai luoda etänä MDM-ratkaisun avulla. Lisäksi kameran tai verkkoselailun rajoitukset voidaan pääsykoodikäytäntöjen tavoin panna langattomasti täytäntöön Microsoft Exchange Server 2007:n ja 2010:n kautta. Rajoituksia voidaan käyttää myös estämään sähköpostiviestien siirtelyä eri tilien välillä tai siihen, että tietyltä tililtä vastaanotettuja viestejä välitettäisiin eteenpäin. Liitteessä B on tietoja tuetuista rajoituksista. ! 17 iOS:n käyttöönoton tekninen opas Salaus ja tietosuoja iOS-laitteisiin tallennettujen tietojen suojaaminen on tärkeää missä tahansa ympäristössä, jossa käsitellään luottamuksellisia tietoja. Lähetysvaiheessa tapahtuvan datan salauksen lisäksi iOS-laitteissa on myös laitteistosalaus kaikelle siihen tallennetulle datalle sekä sähköpostin ja ohjelmien tietojen parannettu salaus. Salaus iOS-laitteissa käytetään laitteistopohjaista salausta. Laitteistosalauksena käytetään 256-bittistä AES:ää kaikkien laitteen tietojen salaamiseen. Salaus on aina päällä eikä sitä voida poistaa käytöstä. Lisäksi iTunesissa käyttäjän tietokoneelle varmuuskopioidut tiedot voidaan myös salata. Käyttäjä voi ottaa ominaisuuden käyttöön itse tai se voidaan laittaa hänelle käyttöön määrittelyprofiilien laiterajoitusasetuksissa. iOS tukee S/MIMEä sähköpostissa, joten käyttäjät voivat katsella ja lähettää salattuja sähköpostiviestejä. iOS 7:n ja iOS 6:n kryptografiset moduulit on tarkistettu U.S. Federal Information Processing Standardin (FIPS) 140-2 tason 1 vastaavuuden osalta. Sillä tarkistetaan kryptografisten toimintojen luotettavuus Apple-ohjelmissa ja muiden valmistajien iOS:n kryptografisia palveluita kunnolla hyödyntävissä ohjelmissa. Lisätietoja saat tutustumalla artikkeliin iOS-tuotteiden tietoturva: Validoinnit ja ohjeita ja iOS 7: Apple FIPS iOS Cryptographic Modules v4.0. Tietojen suojaus Laitteelle tallennettujen sähköpostiviestien ja liitetiedostojen suojausta voidaan parantaa iOS:n sisäisten tietojensuojausominaisuuksien ansiosta. Tietojen suojaus hyödyntää jokaisen käyttäjän yksilöllistä laitepääsykoodia iOS-laitteiden laitteistosalauksen kanssa luodakseen vahvan salausavaimen. Tämä estää pääsyn dataan laitteen ollessa lukittuna. Näin varmistetaan, että tärkeät tiedot on suojattu myös laitteen vaarannuttua. Tietojen suojausominaisuus voidaan laittaa päälle luomalla vain laitteelle pääsykoodi. Tietojen suojauksen tehokkuus riippuu vahvasta pääsykoodista, joten on tärkeää vaatia käyttämään neljää lukua vahvempaa pääsykoodia pääsykoodikäytäntöjä laadittaessa. Käyttäjät voivat varmistaa, että tietojen suojaus on otettu käyttöön heidän laitteillaan katsomalla pääsykoodiasetusten näyttöä. Mobiililaitteiden hallintaratkaisut kykenevät myös kyselemään laitteelta tätä tietoa. Tietojensuojausrajapinnat ovat myös kehittäjien käytettävissä ja niitä voidaan käyttää datan suojaamiseen App Storen ohjelmissa tai räätälöidyissä yrityksen sisäisissä ohjelmissa. iOS 7:stä lähtien ohjelmien tallentama data on oletusarvoisesti suojausluokkaa ”Suojattu ensimmäiseen todennukseen”, joka on vastaava kuin koko levyn salaus pöytäkoneilla ja suojaa tietoja hyökkäyksiltä, joihin liittyy uudelleenkäynnistys. Huomaa: Jos laite on päivitetty iOS 6:sta, olemassa olevaa dataa ei tallenneta uuteen luokkaan. Ohjelman poistamisen ja uudelleenasentamisen seurauksena ohjelma saa uuden suojausluokan. Touch ID Touch ID on iPhone 5s:n sisäinen sormenjäljen tunnistusjärjestelmä, joka tekee erittäin turvallisen pääsyn laitteeseen nopeammaksi ja helpommaksi. Tämä edistyksellinen teknologia lukee sormenjälkiä mistä tahansa kulmasta ja oppii ajan myötä lisää käyttäjän sormenjäljestä. Tunnistimen avulla se laajentaa sormenjälkikarttaa, kun jokaisella käyttökerralla tunnistetaan lisää päällekkäisiä solmuja. 18 iOS:n käyttöönoton tekninen opas Touch ID tekee pidemmän ja monimutkaisemman pääsykoodin käytöstä entistä käytännöllisempää, koska käyttäjien ei tarvitse syöttää sitä niin usein. Touch ID ratkaisee myös pääsykoodipohjaisen lukituksen vaatiman vaivannäön, ei korvaamalla sitä, mutta ennemminkin tarjoamalla turvallisen pääsyn laitteeseen mielekkäillä aika- ja muilla rajoituksilla. Kun Touch ID on otettu käyttöön, iPhone 5s lukittuu välittömästi, kun käynnistys/ nukkumispainiketta on painettu. Käytettäessä pelkkää pääsykoodiin perustuvaa suojausta monet käyttäjät asettavat lukituksen avaamisen lisäajan välttyäkseen pääsykoodin syöttämiseltä aina laitetta käyttäessään. Touch ID:n ansiosta iPhone 5s lukittuu aina nukkumaan mennessään ja vaatii sormenjäljen (tai vaihtoehtoisesti pääsykoodin) aina herätettäessä. Touch ID toimii yhdessä turvallisen alueen kanssa – se on Applen A7-siruun tehty apuprosessori. Turvallisessa alueessa on oma suojattu ja salattu muistitilansa ja se kommunikoi suojatusti Touch ID -tunnistimen kanssa. Kun iPhone 5s lukittuu, Complete-tietojensuojausluokan avaimet suojataan avaimella, jota pidetään turvallisen alueen salatussa muistissa. Avainta säilytetään enintään 48 tuntia ja se hylätään, mikäli iPhone 5s käynnistetään uudelleen tai tunnistamatonta sormenjälkeä käytetään viisi kertaa. Jos sormenjälki tunnistetaan, turvallinen alue tarjoaa avaimen tietojen suojausavaimen paketoinnin poistoa varten ja laitteen lukitus avataan. Etätyhjennys iOS tukee etätyhjennystä. Jos laite katoaa tai varastetaan, ylläpitäjä tai laitteen omistaja voi antaa etätyhjennykselle komennon tyhjentää laitteesta kaikki tiedot ja poistaa sen käytöstä. Jos laitteeseen on määritetty Exchange-tili, ylläpitäjä voi antaa etätyhjennyskomennon käyttäen Exchange Management Consolea (Exchange Server 2007) tai Exchange ActiveSync Mobile Administration Web Tool -työkalua (Exchange Server 2003 tai 2007). Myös Exchange Server 2007:n käyttäjät voivat käynnistää etätyhjennyskomentoja suoraan käyttäen Outlook Web Accessia. Etätyhjennyskomennot voidaan myös käynnistää MDM-ratkaisuilla tai käyttäen iCloudin Etsi iPhoneni -ominaisuutta vaikka Exchange-yrityspalvelut eivät olisi käytössäkään. Paikallinen tyhjennys Laitteet voidaan myös määrittää käynnistämään paikallinen tyhjennys automaattisesti muutaman epäonnistuneen pääsykoodin syöttöyrityksen jälkeen. Tämä suojaa brute-force-hyökkäyksillä tehtäviä käyttöyrityksiä vastaan. Kun pääsykoodi on luotu, käyttäjillä on mahdollisuus ottaa paikallinen tyhjennys käyttöön suoraan asetuksissa. Oletusarvoisesti iOS tyhjentää laitteen automaattisesti 10 epäonnistuneen pääsykoodin syöttöyrityksen jälkeen. Pääsykoodikäytäntöjen tavoin virheellisten yritysten enimmäismäärä voidaan määritellä määrittelyprofiililla, asettaa MDM-palvelimen avulla tai täytäntöön- panna langattomasti Microsoft Exchange ActiveSync -käytännöillä. Etsi iPhoneni ja Aktivointilukitus Jos laite katoaa tai varastetaan, on tärkeää tyhjentää se ja poistaa se käytöstä. Laitetta ei voida aktivoida uudelleen syöttämättä omistajan Apple ID -tunnistetietoja Etsi iPhoneni -ominaisuuden ollessa päällä iOS 7:ssä. Organisaation omistamia laitteita kannattaa joko valvoa tai ylläpitää käyttäjiä varten käytäntöä, jossa Etsi iPhoneni -ominaisuus poistetaan käytöstä, jotta se ei estä organisaatiota määrittämästä laitetta toisen henkilön käyttöön. iOS 7.1:ssä tai uudemmassa aktivointilukituksen voi ottaa käyttöön yhteensopivalla mobiililaitteen hallintaratkaisulla, kun käyttäjä laittaa Etsi iPhoneni -ominaisuuden päälle. Mobiililaitteen hallintaratkaisu voi tallentaa ohituskoodin, kun aktivointilukitus otetaan käyttöön. Koodia voi myöhemmin käyttää aktivointilukituksen 19 iOS:n käyttöönoton tekninen opas Verkon suojaus • Sisäänrakennettu Cisco IPSec, L2TP, PPTP VPN • SSL VPN App Store -ohjelmien kautta • SSL/TLS X.509-varmenteilla • WPA/WPA2 Enterprise 802.1X:llä • Varmennepohjainen todentaminen • RSA SecurID, CRYPTOCard poistamiseen automaattisesti, kun laite tyhjennetään ja annetaan uudelle käyttäjälle. Lue lisätietoja mobiililaitteen hallintaratkaisusi dokumentaatiosta. Kun haluat lisätietoa Etsi iPhoneni -ominaisuudesta ja Aktivointilukituksesta, katso iCloud: Etsi iPhoneni -ominaisuuden aktivointilukitus iOS 7:ssä ja iOS 7: Mobiililaitteen hallinta ja Etsi iPhoneni -aktivointilukitus. Verkkoturvallisuus Mobiilikäyttäjien on voitava käyttää yrityksen verkkoja kaikkialta maailmasta. Samalla on tärkeä varmistaa, että käyttäjät ovat luvallisia ja että heidän tietonsa suojataan siirron aikana. iOS tarjoaa koetellut teknologiat näiden turvallisuustavoitteiden saavuttamiseen sekä Wi-Fi- että mobiiliverkkoyhteyksiä varten. VPN-protokollat • Cisco IPSec • L2TP/IPSec • PPTP • SSL VPN Todentamismenetelmät • Salasana (MSCHAPv2) • RSA SecurID • CRYPTOCard • X.509-digitaalivarmenteet • Jaettu salaisuus Lisäksi olemassa oleva infrastruktuuri, jokainen FaceTime-istunto ja iMessagekeskustelu salataan päästä päähän. iOS luo yksilöivän tunnuksen jokaiselle käyttäjälle. Tällä varmistetaan, että yhteydet salataan, reititetään ja yhdistetään oikein. VPN 802.1X-todennusprotokollat • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP Monissa yritysympäristöissä on jonkinlainen VPN-verkko. Nämä suojatut verkkopalvelut ovat jo käyttöönotettuja ja vaativat tyypillisesti vähimmäiskäyttöönoton ja -määrittelyn toimiakseen iOS:n kanssa. iOS on integroitavissa suoraan pakkauksesta monenlaisiin yleisesti käytettyihin VPN-teknologioihin. Katso yksityiskohtia luvusta 1 ”VPN-verkot”. SSL/TLS iOS tukee SSL-versiota 3 sekä TLS-versiota (Transport Layer Security) 1.0, 1.1 ja 1.2. Safari, Kalenteri, Mail ja muut internet-ohjelmat käynnistävät nämä mekanismit automaattisesti muodostaen salatun viestintäkanavan iOS:n ja yrityspalveluiden välille. WPA/WPA2 Tuetut varmennemuodot iOS tukee X.509-varmenteita RSA-avaimilla. Tiedostopäätteet .cer, .crt, ja .der tunnistetaan. iOS tukee WPA2 Enterpriseä taatakseen todennetun yhteyden yrityksen langattomiin verkkoihin. WPA2 Enterprise käyttää 128-bittistä AES-salausta, joten käyttäjä voi olla varma, että tietojen lähettäminen ja vastaanottaminen Wi-Fi-verkkoyhteyden välityksellä on turvallista. 802.1X:n tuen ansiosta iPhone ja iPad voidaan integroida moniin eri RADIUS-todentamisympäristöihin. Ohjelmien suojaus Turvallisuus on ollut keskeisessä osassa iOS:n suunnittelussa. Se sisältää sandboxing-menetelmällä suojatun lähestymistavan ohjelman ajonaikaiseen suojaukseen ja ohjelman allekirjoittamiseen sen varmistamiseksi, että ohjelmiin ei voida koskea. iOS:ssä on myös sovelluskehys, joka helpottaa ohjelman ja verkkopalvelun tunnistetietojen turvallista tallentamista salatussa tallennuspaikassa, jota kutsutaan avainnipuksi. Kehittäjille se tarjoaa yleisen Cryptoarkkitehtuurin, jota voidaan käyttää ohjelman tietojen tallennuksen salaamiseen. Ajonaikainen suojaus Laitteessa olevat ohjelmat on suojattu sandboxing-menetelmällä. Näin rajoitetaan pääsyä muiden ohjelmien tallentamiin tietoihin. Lisäksi järjestelmätiedostot, resurssit ja ydin on erotettu käyttäjän ohjelmatilasta. Jos ohjelman tarvitsee käyttää toisen ohjelman tietoja, se voi tehdä niin vain käyttämällä iOS:n tarjoamia rajapintoja ja palveluita. Myös koodin luominen on estetty. ! 20 iOS:n käyttöönoton tekninen opas Pakollinen koodin allekirjoitus Kaikki iOS-ohjelmat on allekirjoitettava. Laitteen mukana tulevat ohjelmat ovat Applen allekirjoittamia. Muiden valmistajien ohjelmat kehittäjä allekirjoittaa itse Applen varmenteella. Näin varmistetaan, että ohjelmaan ei ole koskettu tai tehty muutoksia. Lisäksi tehdään ajonaikaisia tarkistuksia, joilla varmistetaan, että ohjelma ei ole muuttunut ei-luotetuksi edellisen käyttökerran jälkeen. Räätälöityjen sisäisten yritysohjelmien käyttöä voidaan valvoa provisiointi profiililla. Käyttäjillä on oltava provisiontiprofiili asennettuna ohjelman suorittamista varten. Provisiontiprofiilit voidaan asentaa langattomasti MDM-ratkaisuja käyttämällä. Ylläpitäjät voivat myös rajoittaa ohjelman käyttöä tiettyihin laitteisiin. Turvallinen todentamismalli iOS tarjoaa turvallisen, salatun avainnipun digitaalisten henkilöllisyyksien, käyttäjänimien ja salasanojen tallentamiseen. Avainnipun tiedot lokeroidaan, jotta eri henkilöllisyystiedoin varustetut ohjelmat eivät pääse käsiksi muiden valmistajien ohjelmien tallentamiin valtuutustietoihin. Tämä tarjoaa mekanismin todentamistietojen suojaamiseen iOS-laitteilla yrityksen erilaisissa ohjelmissa ja palveluissa. Yleinen Crypto-arkkitehtuuri Ohjelmien kehittäjät voivat käyttää salausrajapintoja ohjelmiensa datan parempaan suojaamiseen. Tiedot voidaan salata symmetrisesti käyttäen koeteltuja metodeja, kuten AES, RC4 tai 3DES. Lisäksi iOS-laitteet tarjoavat laitteistokiihdytyksen AES-salaukselle ja SHA1-tarkistussummalle maksimoiden ohjelman suorituskyvyn. Ohjelmien tietojen suojaus Ohjelmat voivat hyödyntää myös iOS-laitteiden sisäistä laitteistosalausta suojatakseen luottamuksellisia ohjelmatietoja entistä paremmin. Kehittäjät voivat suojata tietoja erityisillä tiedostoilla siten, että järjestelmää käsketään tekemään tiedoston sisällöstä kryptografisesti sellaista, että ohjelma ja mahdolliset verkkohyökkääjät eivät pääse siihen käsiksi laitteen ollessa lukittuna. Ohjelmien oikeudet Oletusarvoisesti iOS-ohjelmassa on erittäin rajoitetut oikeudet. Kehittäjien on suoraan lisättävä oikeudet useimpien ominaisuuksien (kuten iCloudin, taustaprosessoinnin tai jaettujen avainnippujen) käyttöön. Tällä varmistetaan, että ohjelmat eivät voi myöntää itselleen pääsyä tietoihin, joita niillä ei ollut käyttöönotettaessa. Lisäksi iOS-ohjelmien on kysyttävä käyttäjän lupaa ennen monien iOS-ominaisuuksien (kuten GPS-sijainnin, käyttäjien yhteystietojen, kameran tai tallennettujen kuvien) käyttöä. Internet-palvelut Apple on rakentanut vahvan palveluvalikoiman auttaakseen käyttäjiä saamaan laitteistaan irti entistäkin enemmän hyötyä ja tuottavuutta. Näitä palveluita ovat esimerkiksi iMessage, FaceTime, Siri, iCloud, iCloud-varmuuskopiointi ja iCloudin avainnippu. Nämä internet-palvelut on rakennettu samoilla turvallisuustavoitteilla, joita iOS käyttää koko alustassa. Nämä tavoitteet sisältävät tietojen turvallisen käsittelyn, olivatpa tiedot sitten levossa laitteella tai siirrettävinä langattomien verkkojen kautta; käyttäjien henkilökohtaisten tietojen suojauksen sekä uhilta suojautumisen haitallista tai valtuuttamatonta tietojen tai palveluiden käyttöä vastaan. Jokainen palvelu käyttää omaa tehokasta suojausarkkitehtuuriaan tinkimättä kuitenkaan iOS:n yleisestä helppokäyttöisyydestä. 21 iOS:n käyttöönoton tekninen opas iMessage iMessage1 on viestintäpalvelu iOS-laitteille ja Mac-tietokoneille. iMessage tukee tekstiä ja liitteitä, kuten kuvia, yhteystietoja ja sijainteja. Viestit näkyvät kaikissa käyttäjien rekisteröidyissä laitteissa, joten keskustelua voidaan jatkaa millä tahansa käyttäjän laitteista. iMessage hyödyntää Applen push-ilmoituspalvelua (APNS). iMessage käyttää kattavaa salausta, joka hyödyntää vain lähettävien ja vastaanottavien laitteiden tiedossa olevia avaimia. Apple ei voi purkaa viestien salausta eikä viestejä kirjata. FaceTime FaceTime2 on Applen video- ja äänipalvelu. FaceTime-puhelut käyttävät Applen push-ilmoituspalvelua (APNS) muodostaakseen välittömän yhteyden, ja sen jälkeen ne luovat salatun virran ICE:n (Internet Connectivity Establishment) ja SIP:n (Session Initiation Protocol) avulla. Siri Käyttäjät voivat hyödyntää Siriä normaalisti puhumalla3 esimerkiksi viestien lähettämiseen, kokousten järjestämiseen ja puheluiden soittamiseen. Siri käyttää puheentunnistusta, teksti puheeksi -ominaisuutta ja asiakasohjelma-palvelin-mallia vastatakseen monenlaisiin pyyntöihin. Sirin tukemat tehtävät on suunniteltu varmistamaan, että ainoastaan ehdoton vähimmäismäärä henkilökohtaisia tietoja hyödynnetään ja että se suojataan täysin. Siri-pyyntöjä ja äänitettyä puhetta ei tunnisteta henkilökohtaisesti ja aina kuin mahdollista, Siri-toiminnot suoritetaan laitteella, ei palvelimella. iCloud iCloud4 tallentaa esimerkiksi musiikin, kuvat, ohjelmat, kalenterit ja dokumentit sekä lähettää ne automaattisesti kaikkiin käyttäjän laitteisiin. iCloud myös varmuuskopioi tiedot (mukaan lukien laiteasetukset, ohjelmien tiedot sekä teksti- ja multimediaviestit) päivittäin Wi-Fi-yhteyden kautta. Tietosi suojataan iCloudissa salaamalla ne, kun niitä siirretään Internetissä, tallentamalla ne salattuun muotoon sekä käyttämällä suojaustunnuksia todentamiseen. Lisäksi iCloudin ominaisuudet, muun muassa Kuvavirta, Dokumentit ja data sekä Varmuuskopiointi voidaan poistaa käytöstä määritysprofiilin avulla. Lisätietoja iCloudin suojauksesta ja yksityisyydestä saat katsomalla artikkelista iCloudin suojaus ja tietosuoja. iCloud-varmuuskopiointi iCloud myös varmuuskopioi tiedot (mukaan lukien laiteasetukset, ohjelmien tiedot sekä teksti- ja multimediaviestit) päivittäin Wi-Fi-yhteyden kautta. Tiedot suojataan iCloudissa salaamalla ne, kun niitä siirretään Internetissä, tallentamalla ne salattuun muotoon sekä käyttämällä suojaustunnuksia todentamiseen. iCloudvarmuuskopiointi tapahtuu vain silloin, kun laite on lukittu, liitetty virtalähteeseen ja siinä on Wi-Fi-yhteys internetiin. iOS:ssä käytetyn salauksen vuoksi järjestelmä on suunniteltu pitämään tiedot suojattuina. Samalla se sallii osittaisen ja itsenäisen varmuuskopioinnin ja palautuksen. iCloudin avainnippu iCloudin avainnipun ansiosta käyttäjät voivat synkronoida salasanansa turvallisesti iOS-laitteiden ja Mac-tietokoneiden välillä paljastamatta kyseisiä tietoja Applelle. Vahvan yksityisyyden ja tietoturvan muita iCloudin avainnipun suunnitteluun ja arkkitehtuuriin vahvasti vaikuttaneita tavoitteita olivat helppokäyttöisyys ja mahdollisuus palauttaa avainnippu. iCloudin avainnippu muodostuu kahdesta palvelusta: avainnipun synkronoinnista ja avainnipun palauttamisesta. Avainnipun synkronoinnissa laitteet voivat osallistua siihen vasta käyttäjän hyväksynnän jälkeen, ja jokainen synkronointiin oikeutettu avainnipun kohde vaihdetaan laitekohtaisella salauksella iCloudin avainten arvojen tallennustilan kautta. Kohteet ovat lyhytkestoisia eivätkä säily iCloudissa synkronoinnin jälkeen. Avainnipun 22 iOS:n käyttöönoton tekninen opas palautus antaa käyttäjille mahdollisuuden tallentaa Applea varten vara-avaimen ilman, että Applelle annettaisiin mahdollisuudetta lukea salasanoja ja muita sen sisältämiä tietoja. Vaikka käyttäjällä olisi vain yksi laite, avainnipun palautus tarjoaa turvaverkon tiedon menettämistä vastaan. Tämä on erityisen tärkeää käytettäessä Safaria satunnaisten, vahvojen salasanojen luomiseen verkkotunnuksia varten, koska kyseisten salasanojen ainoa rekisteri on avainnipussa. Avainnipun palautuksen kulmakivi on toissijainen todentaminen ja turvallinen varaavainpalvelu, jonka Apple on luonut erityisesti tämän ominaisuuden tukemiseen. Käyttäjän avainnippu on salattu käyttäen vahvaa pääsykoodia ja vara-avainpalvelu tarjoaa kopion avainnipusta vain, jos tiukat ehdot täytetään. Tietoja suojauksesta on saatavilla iOS:n turvallisuusoppaassa. ! Luku 3: Määrittely ja hallinta iOS:n käyttöönottoja voidaan helpottaa erilaisilla hallintatekniikoilla, jotka yksinkertaistavat tilin käyttöönottoa, organisaation käytäntöjen määrittelemistä, ohjelmien jakamista ja laiterajoitusten soveltamista. Tämän jälkeen käyttäjät voivat tehdä suurimman osan määrittelytyöstä itse iOS:n sisäisen käyttöönottoapurin avulla. Kun iOS-laitteet on määritelty ja rekisteröity MDM:ään, IT-osasto voi hallita niitä langattomasti. Tässä luvussa kuvataan määritysprofiilien käyttö ja mobiililaitteiden hallinta iOS:n käyttöönoton tueksi. Laitteen asetukset ja aktivointi iOS:n avulla käyttäjät voivat heti kättelyssä aktivoida laitteensa, määrittää perusasetukset ja aloittaa työskentelyn välittömästi iOS:n Käyttöönottoapurin avulla. Perusasetusten lisäksi käyttäjät voivat muokata henkilökohtaisia asetuksia, kuten kieltä ja sijaintia sekä Sirin, iCloudin ja Etsi iPhoneni -ominaisuuden asetuksia. Käyttöönottoapurilla käyttäjä voi myös luoda yksilöllisen Apple ID:n, jos hänellä ei sellaista vielä ole. Apple ID Apple ID on tunnus, jolla voidaan kirjautua erilaisiin Applen palveluihin, joita ovat esimerkiksi FaceTime, iMessage, iTunes, App Store, iCloud ja iBooks Store. Apple ID:n avulla kukin käyttäjä voi asentaa ohjelmia, kirjoja ja sisältöä iTunes Storesta, App Storesta tai iBooks Storesta. Apple ID:n avulla käyttäjät voivat kirjautua iCloud-tilille, jonka avulla he voivat käyttää ja jakaa sisältöä useilla laitteilla. Jotta näistä palveluista saadaan eniten hyötyä, käyttäjien tulisi käyttää omia henkilökohtaisia Apple ID -tunnuksiaan. Jos heillä ei ole tunnusta, he voivat luoda sellaisen ennen kuin heille annetaan laitteet. Näin määrittely sujuu mahdollisimman nopeasti. Lisätietoa Apple ID -tunnuksen hankkimisesta: Minun Apple ID:ni. 23 iOS:n käyttöönoton tekninen opas Laitteiden valmisteleminen Apple Configuratorin avulla Kun on kyse IT-osaston keskitetysti hallinnoimista laitteista, joita yksittäiset käyttäjät eivät ota käyttöön, voidaan käyttää Apple Configuratoria laitteiden nopeaan aktivointiin, määrittelyiden tekemiseen ja käyttämiseen, laitteiden valvontaan, ohjelmien asentamiseen ja laitteiden päivittämiseen uusimpaan iOS-versioon. Apple Configurator on OS X:lle tarkoitettu, Mac App Storesta ladattava ilmainen ohjelma. Laitteiden on oltava liitettyinä Maciin USB:n kautta näiden tehtävien suorittamista varten. Voit myös palauttaa laitteille varmuuskopion, joka käyttää laiteasetuksia ja Koti-valikon asettelua sekä asentaa ohjelmien tiedot. Määrittelyprofiilit Määrittelyprofiilit ovat XML-tiedostoja, jotka sisältävät suojauskäytäntöjä ja rajoituksia, VPN-määrittelytietoja, Wi-Fi-asetuksia, sähköposti- ja kalenteritilejä sekä todentamistietoja, jotka sallivat iOS-laitteiden toiminnan yhdessä IT-järjestelmiesi kanssa. Määrittelyprofiilit lataavat asetus- ja valtuutustiedot nopeasti laitteelle. Jotkin VPN- ja Wi-Fi-asetukset voidaan ottaa käyttöön vain määrittelyprofiilia käyttäen, ja mikäli et käytä Microsoft Exchangea, sinun on käytettävä määrittelyprofiilia pääsykoodikäytäntöjen asettamiseen. Määrittelyprofiilit voidaan jakaa käyttäen Over-the-Air Profile Deliveryn avulla tai mobiililaitteiden hallinnan (MDM) kautta. Voit myös asentaa määrittelyprofiilit tietokoneeseen kytketyille laitteille USB:n kautta käyttäen Apple Configuratoria tai voit jakaa määrittelyprofiilit sähköpostitse tai verkkosivulla. Kun käyttäjät sähköpostiliitteen tai lataavat profiilin käyttäen Safaria laitteillaan, heitä kehotetaan aloittamaan asennusprosessi. Jos käytössäsi on MDM-palvelin, voit jakaa alkuprofiilin, joka sisältää pelkät palvelimen määrittelytiedot ja sitten asettaa laitteen vastaanottamaan kaikki muut profiilit langattomasti. Määrittelyprofiilit voidaan salata ja allekirjoittaa, minkä ansiosta niiden käyttö voidaan rajata tiettyyn laitteeseen ja estää se, että kuka tahansa voisi muuttaa profiilin sisältämiä asetuksia. Voit myös merkitä profiilin lukituksi laitteeseen. Tässä tapauksessa se voidaan kerran asennettuna poistaa vain tyhjentämällä laite kaikista tiedoista tai vaihtoehtoisesti syöttämällä pääsykoodi. Salasanoja lukuunottamatta käyttäjät eivät voi muuttaa määrittelyprofiilissa tarjottuja asetuksia. Lisäksi profiilin määrittelemät tilit (kuten Exchange-tilit) voidaan poistaa vain poistamalla profiili. Lisätietoja saat tutustumalla iOS Developer Library -sivustolla olevaan Configuration Profile Key Reference -materiaaliin. Mobiililaitteen hallinta (Mobile Device Management, MDM) iOS:ssä on MDM-sovelluskehys, jolla muiden valmistajien MDM-ratkaisut voivat hallita iOS-laitteita langattomasti. Tämä kevyt sovelluskehys on suunniteltu alusta alkaen iOS-laitteille. Se on riittävän tehokas ja skaalautuva, jotta sillä voidaan määrittää ja hallita kaikkia organisaation iOS-laitteita. Kun käytössä on mobiililaitteiden hallintaratkaisu, IT-ylläpitäjät voivat rekisteröidä laitteita turvallisesti yritysympäristössä, tehdä ja päivittää asetuksia, valvoa yrityksen käytäntöjen noudattamista sekä tyhjentää tai lukita hallittuja laitteita etänä. iOS MDM tarjoaa IT-osastolle helpon tavan sallia käyttäjille verkkopalveluiden käyttö ja varmistaa samalla, että laitteet on määritelty kunnolla – riippumatta siitä, kuka ne omistaa. Mobiililaitteiden hallintaratkaisut käyttävät Applen push-ilmoituspalvelua (APNS) jatkuvaan kommunikointiin laitteiden kanssa julkisissa ja yksityisissä verkoissa. Mobiililaitteiden hallinta vaatii toimintaansa useita varmenteita, kuten Applen push-ilmoituspalvelun varmenteen asiakkaille kommunikointiin ja SSL-varmenteen 24 iOS:n käyttöönoton tekninen opas suojattuun viestintään. Mobiililaitteiden hallintaratkaisut voivat myös allekirjoittaa profiileja varmenteella. Useimmat varmenteet, myös Applen push-ilmoituspalvelun varmenne, on uudistettava vuosittain. Kun varmenne vanhenee, mobiililaitteiden hallintapalvelin ei voi kommunikoida asiakkaiden kanssa, ennen kuin varmenne päivitetään. Valmistaudu kaikkien mobiililaitteiden hallinnan varmenteiden päivittämiseen ennen niiden vanhenemista. Katso Apple Push Certificates Portal -sivuilta lisätietoja MDM-sertifikaateista. Rekisteröinti Laitteiden rekisteröiminen mahdollistaa luetteloinnin ja omaisuuden hallinnan. Rekisteröintiprosessissa voidaan hyödyntää SCEP-protokollaa (Simple Certificate Enrollment Protocol), jonka ansiosta iOS-laitteet voivat luoda ja rekisteröidä yksilölliset henkilövarmenteet organisaation palveluihin todentamista varten. Useimmissa tapauksissa käyttäjät voivat päättää, rekisteröivätkö laitteensa mobiililaitteiden hallintaan vai ei. He voivat myös sanoutua irti siitä milloin tahansa. Organisaatioiden kannattaa pohtia, miten houkutella käyttäjät pysymään hallinnan piirissä. Esimerkiksi käyttämällä mobiililaitteiden hallintaratkaisua, joka antaa automaattisesti langattoman yhteyden tunnistetiedot, voidaan edellyttää mobiililaitteiden hallintaan rekisteröimistä Wi-Fi-verkkoon pääsemiseksi. Kun käyttäjä poistuu mobiililaitteiden hallinnasta, laite yrittää ilmoittaa asiasta mobiililaitteiden hallintapalvelimelle. Määrittely Kun laite on rekisteröity, siihen voidaan määritellä dynaamisesti mobiililaitteiden hallintapalvelimella asetukset ja käytännöt. Ne lähettävät laitteeseen määrittelyprofiilit, jotka laite asentaa automaattisesti ja hiljaisesti. Määrittelyprofiilit voidaan allekirjoittaa, salata ja lukita, mikä estää asetusten muuttamisen tai jakamisen. Näin varmistetaan, että verkkoasi ja palveluitasi voivat käyttää vain luotetut käyttäjät ja laitteet, jotka on määritelty omien tietojesi mukaan. Jos käyttäjä irrottaa laitteen mobiililaitteiden hallinnasta, kaikki mobiililaitteiden hallinnan kautta tehdyt asetukset poistetaan. Tilit Mobiililaitteen hallinta voi auttaa organisaation käyttäjiä pääsemään nopeasti alkuun heidän sähköpostiensa ja muiden tilien automaattisella käyttöönotolla. Riippuen mobiililaitteen hallintatuotteesta ja integraatiosta omiin sisäisiin järjestelmiisi tilien dataan voidaan myös sijoittaa ennakkoon käyttäjän nimi, sähköpostiosoite ja, jos mahdollista, varmenteiden identiteetit varmentamista ja allekirjoittamista varten. Mobiililaitteen hallinnalla voidaan määritellä seuraavia tilityyppejä: • Mail • Kalenteri • Tilatut kalenterit • Yhteystiedot • Exchange ActiveSync • LDAP Hallitut sähköposti- ja kalenteritilit huomioivat Hallitun Avaa ohjelmassa -toiminnon rajoitukset iOS 7:ssä. Kyselyt Mobiililaitteiden hallintapalvelin voi kysellä laitteilta erilaisia tietoja. Näitä ovat esimerkiksi laitteiston tiedot, kuten sarjanumero, laitteen UDID tai Wi-Fi-verkon MAC-osoite sekä ohjelmistotiedot, kuten iOS-versio ja yksityiskohtainen luettelo 25 iOS:n käyttöönoton tekninen opas laitteeseen asennetuista ohjelmista. Näitä tietoja voidaan käyttää apuna varmistettaessa, että käyttäjät pitävät laitteissaan oikeat ohjelmat. Apple TV -ohjelmiston 5.4 tai uudemman avulla mobiililaitteiden hallinta voi myös kysellä rekisteröidyiltä Apple TV -laitteilta seuraavia tietoja: kieli, sijainti ja organisaatio. Komennot Mobile Device Management -laitehallinta mahdollistaa laitteiden ylläpidon mobiililaitteiden hallintapalvelimen kautta tietyillä toiminnoilla. Hallintatehtäviin sisältyvät: • Määrittelyasetusten muuttaminen. Komento voidaan lähettää uuden tai päivitetyn määrittelyprofiilin asentamiseksi laitteelle. Määrittely tapahtuu hiljaisesti ilman käyttäjän toimenpiteitä. • Laitteen lukitseminen. Jos laite on lukittava välittömästi, voidaan lähettää komento, jolla lukitaan laite käytössä olevalla pääsykoodilla. • Laitteen tyhjentäminen etänä. Jos laite katoaa tai varastetaan, voidaan lähettää komento kaikkien tietojen poistamiseksi laitteelta. Kun etätyhjennyskomento on vastaanotettu, sitä ei voida perua. • Pääsykoodilukituksen poistaminen. Pääsykoodin poistaminen asettaa laitteen niin, että se pyytää välittömästi käyttäjää syöttämään uuden pääsykoodin. Tätä käytetään, kun käyttäjä on unohtanut pääsykoodinsa ja haluaa IT-osaston nollaavan sen. • AirPlay-peilauksen pyytäminen ja AirPlay-peilauksen lopettaminen. iOS 7:ssä on mukana komento, jolla voidaan kehottaa valvottua iOS-laitetta aloittamaan AirPlay-peilaus tiettyyn kohteeseen tai lopettamaan nykyinen AirPlay-istunto. Hallitut ohjelmat Organisaatioiden on jaettava usein ohjelmistoja, jotta käyttäjät voivat toimia tuottavasti työpaikalla tai oppilaitoksessa. Samanaikaisesti organisaatioiden on valvottava, miten kyseiset ohjelmistot muodostavat yhteyden sisäisiin resursseihin tai miten tietojen suojauksesta huolehditaan, kun käyttäjä lähtee organisaatiosta. Tämä kaikki on tehtävä käyttäjän henkilökohtaisten ohjelmien ja tietojen ollessa niin ikään laitteella. iOS 7:n hallittujen ohjelmien ansiosta organisaatio voi jakaa yrityksen ohjelmia langattomasti mobiililaitteiden hallintaa käyttäen. Samalla saadaan aikaan oikea tasapaino organisaation suojauksen ja käyttäjän personoinnin välillä. Mobiililaitteiden hallintapalvelimet voivat ottaa laitteille käyttöön langattomasti ilmaisia App Storen ohjelmia sekä yrityksen sisäisiä ohjelmia. Mobiililaitteiden hallintapalvelin voi poistaa hallitut ohjelmat etänä tai kun käyttäjä poistaa laitteensa mobiililaitteiden hallinnasta. Ohjelman poistaminen poistaa myös poistettuun ohjelmaan liittyvät tiedot. ! 26 iOS:n käyttöönoton tekninen opas Mobiililaitteiden hallinta tarjoaa myös kokoelman lisärajoituksia ja -ominaisuuksia iOS 7:ssä hallituille ohjelmille parannetun suojauksen ja entistä paremman käyttäjäkokemuksen tarjoamiseksi: • Hallittu avaaminen. Tarjoaa kaksi hyödyllistä toimintoa organisaation ohjelmien tietojen suojaamiseen: – Ei-hallituilla ohjelmilla luotujen dokumenttien sallitaan avautua hallituissa ohjelmissa. Tämän rajoituksen täytäntöön paneminen estää käyttäjän henkilökohtaisia ohjelmia ja tilejä avaamasta dokumentteja organisaation hallituissa ohjelmissa. Tämä rajoitus voisi esimerkiksi estää käyttäjän Keynoteohjelman avaamasta esityksen PDF:ää organisaation PDF-katseluohjelmassa. Tämä rajoitus voisi estää myös käyttäjän henkilökohtaista iCloud-tiliä avaamasta tekstinkäsittelydokumenttiliitettä organisaation Pages-ohjelmassa. – Hallituilla ohjelmilla luotujen dokumenttien sallitaan avautua ei-hallituissa ohjelmissa. Tämän rajoituksen täytäntöön paneminen estää organisaation hallittuja ohjelmia ja tilejä avaamasta dokumentteja käyttäjän henkilökohtaisissa ohjelmissa. Tämä rajoitus voisi estää sen, että organisaation hallitulla sähköpostitilillä oleva luottamuksellinen sähköpostiliite avattaisiin missään käyttäjän henkilökohtaisista ohjelmista. • Ohjelmien määrittely. Ohjelmien kehittäjät voivat määritellä ohjelmien asetukset, jotka voidaan asettaa, kun ohjelma asennetaan hallittuna. Nämä määrittelyasetukset voidaan asentaa ennen hallitun ohjelman asentamista tai sen jälkeen. • Ohjelmien palaute. Ohjelmia luovat ohjelmistokehittäjät voivat määritellä ohjelmien asetukset, jotka voidaan lukea hallitusta ohjelmasta MDM:n avulla. Kehittäjä voi esimerkiksi määrittää ohjelman palautteelle ”DidFinishSetup”avaimen, jota MDM-palvelin voi kysellä selvittääkseen, onko ohjelma käynnistetty ja määritetty. • Varmuuskopioinnin estäminen. Tämä rajoitus estää hallittuja ohjelmia varmuuskopioimasta dataa iCloudiin tai iTunesiin. Varmuuskopioinnin estäminen estää hallitun ohjelman tietojen palauttamisen, jos ohjelma poistetaan MDM:stä, mutta käyttäjä asentaa sen myöhemmin. ! ! 27 iOS:n käyttöönoton tekninen opas ! Valvotut laitteet Valvonta tarjoaa mahdollisuuden korkeamman tason laitehallintaan organisaation omistamilla laitteilla. Se mahdollistaa myös lisärajoitukset, kuten iMessagen tai Game Centerin kytkemisen pois päältä. Se tarjoaa myös lisää laitemäärittelyitä ja ominaisuuksia, kuten verkkosisällön suodattamisen tai mahdollisuuden asentaa ohjelmia hiljaisesti. Katso liitteestä B erityisiä rajoituksia, jotka voidaan ottaa käyttöön valvotuilla laitteilla. ! 28 iOS:n käyttöönoton tekninen opas Luku 4: Ohjelmien jakelu iOS:n mukana tulee kokoelma ohjelmia, joiden avulla organisaation työntekijät voivat hoitaa kaikki päivittäiset tehtävänsä. Niitä ovat esimerkiksi sähköposti, kalentereiden hallinta, yhteystietojen kirjaaminen ja verkkosisällön käyttäminen. Suuri osa toiminnallisuudesta, jota käyttäjät tarvitsevat tuottavaan työskentelyyn, tulee sadoista tuhansista App Storesta saatavilla olevista muiden valmistajien iOS-ohjelmista tai yrityksen omista räätälöidyistä ohjelmista. Voit myös luoda ja ottaa käyttöön yrityksen sisäisiä ohjelmia, mikäli olet iOS Developer Enterprise Program -ohjelman jäsen. ! Yrityksen sisäiset ohjelmat Jos kehität sisäisiä iOS-ohjelmia organisaatiosi käyttöön, voit ottaa käyttöön yrityksen sisäisiä ohjelmia iOS Developer Enterprise Program -ohjelman avulla. Yrityksen sisäisen ohjelman käyttöönottoprosessi on seuraava: • Rekisteröidy iOS Developer Enterprise Program -ohjelmaan. • Valmistele ohjelmasi jakelua varten. • Luo yritysjakelun provisiointiprofiili, joka valtuuttaa laitteet käyttämään allekirjoittamiasi ohjelmia. • Laadi ohjelma provisiointiprofiilia käyttäen. • Ota ohjelma käyttöön käyttäjiäsi varten. ! ! 29 iOS:n käyttöönoton tekninen opas Ohjelmien kehittämiseen rekisteröityminen Kun haluat kehittää ja ottaa käyttöön yrityksen sisäisiä ohjelmia iOS:lle, rekisteröidy ensin iOS Developer Enterprise Program -ohjelmaan. Kun rekisteröidyt, voit pyytää kehittäjän varmennetta ja kehittäjän provisiointiprofiilia. Niitä käytetään kehittämisen aikana ohjelman rakentamiseen ja testaamiseen. Kehittäjän provisiointiprofiili mahdollistaa kehittäjän varmenteellasi allekirjoitettujen ohjelmien käytön rekisteröidyillä laitteilla. Kehittäjän provisiointiprofiili luodaan iOS:n provisiointiportaalissa. Ad hoc -profiili vanhenee kolmen kuukauden kuluttua ja siinä määritellään, millä laitteilla (laitteen ID:n mukaan) voidaan luoda ohjelman kehitysversioita. Jaat oman kehittäjänä allekirjoitetun version ja kehittämisen provisiointiprofiilin ohjelmatiimillesi ja testaajille. Ohjelmien valmisteleminen jakeluun Kun olet lopettanut kehittämisen ja testaamisen ja olet valmis ottamaan ohjelman käyttöön, allekirjoitat ohjelmasi käyttäen jakeluvarmennettasi ja paketoit siihen mukaan provisiointiprofiilin. Ohjelmajäsenyyttä edustava tiimipäällikkö tai ylläpitäjä luo varmenteen ja profiilin iOS:n provisiointiportaalissa. Jakeluvarmenteen luomiseen liittyy (osa OS X -kehitysjärjestelmäsi Avainnipun käyttö -ohjelmaa olevan) varmenneapurin käyttö. Sen avulla luodaan varmenteen allekirjoituspyyntö (CSR). Siirrät CSR:n iOS:n provisiointiportaaliin ja saat vastauksena jakeluvarmenteen. Kun asennat tämän varmenteen avainnippuun, voit asettaa Xcoden käyttämään sitä oman ohjelmasi allekirjoittamiseen. Sisäisten ohjelmien provisioiminen Yritysjakelun provisiointiprofiili mahdollistaa ohjelman asentamisen rajoittamattomalle määrälle iOS-laitteita. Voit luoda yritysjakelun provisiointiprofiilin tietylle ohjelmalle tai useille ohjelmille. Kun sinulla on sekä yrityksen jakeluvarmenne että provisiointiprofiili asennettuna Macillesi, voit Xcodea käyttämällä allekirjoittaa ja rakentaa julkaisu-/tuotantoversion ohjelmastasi. Yritysjakeluvarmenteesi on voimassa kolmen vuoden ajan, jonka jälkeen sinun on allekirjoitettava ja rakennettava ohjelmasi uudelleen käyttäen uudistettua varmennetta. Ohjelman provisiointiprofiili on voimassa vuoden ajan, joten kannattaa julkaista uudet provisiointiprofiilit vuosittain. Katso tarkempia ohjeita liitteen C kohdasta ”Päivitettyjen ohjelmien tarjoaminen”. On erittäin tärkeää, että rajoitat pääsyä jakeluvarmenteeseen ja sen yksityiseen avaimeen. OS X:n Avainnipun käytön avulla voit viedä ja varmuuskopioida nämä kohteet p12-muodossa. Jos yksityinen avain katoaa, sitä ei voida palauttaa eikä ladata toista kertaa. Varmenteen ja yksityisen avaimen suojattuina pitämisen lisäksi sinun tulisi rajoittaa pääsy sellaisiin henkilöihin, jotka vastaavat ohjelman lopullisesta hyväksymisestä. Ohjelman allekirjoittaminen jakeluvarmenteella antaa yrityksesi merkin hyväksynnästä ohjelman sisällön, toimivuuden ja Enterprise Developer Agreement -lisensointiehtojen noudattamisen suhteen. ! 30 iOS:n käyttöönoton tekninen opas Ohjelmien käyttöönotto Ohjelman käyttöönottoon on olemassa neljä tapaa: • Ohjelma jaetaan käyttäjien asennettavaksi iTunesia käyttäen. • IT-ylläpitäjä asentaa ohjelman laitteille käyttäen Apple Configuratoria. • Ohjelma lähetetään turvalliselle verkkopalvelimelle; käyttäjät pääsevät siihen käsiksi ja suorittavat asennuksen langattomasti. Katso ”Liite C: Sisäisten ohjelmien asentaminen langattomasti”. • Hallitut laitteet ohjeistetaan MDM-palvelinta käyttäen asentamaan sisäinen tai ilmainen App Storen ohjelma, mikäli MDM-palvelin tukee sitä. Ohjelmien asentaminen iTunesia käyttäen Jos käyttäjät asentavat ohjelmat laitteilleen iTunesin avulla, jaa ohjelma turvallisesti käyttäjille ja pyydä heitä seuraamaan näitä vaiheita: 1. Valitse iTunesissa Arkisto > Lisää kirjastoon ja valitse sitten tiedosto (.app, .ipa tai .mobileprovision). Käyttäjä voi myös vetää tiedoston iTunes-ohjelman kuvakkeeseen. 2. Liitä laite tietokoneeseen ja valitse se sitten iTunesin Laitteet-luettelosta. 3. Osoita Ohjelmat-välilehteä ja valitse ohjelma luettelosta. 4. Osoita Käytä. Jos käyttäjien tietokoneet ovat hallittuja, voit ottaa tiedostot käyttöön heidän tietokoneillaan ja pyytää heitä synkronoimaan laitteensa sen sijaan, että pyytäisit heitä lisäämään tiedostot iTunesiin. iTunes asentaa automaattisesti iTunesin Mobile Applications- ja Provisioning Profiles -kansioista löytyneet tiedostot. Ohjelmien asentaminen Apple Configuratorilla Apple Configurator on Mac App Storesta ladattava, ilmainen OS X:lle tarkoitettu ohjelma, jota IT-ylläpitäjät voivat käyttää yrityksen sisäisten tai App Storen ohjelmien asentamiseen. App Storen ilmaiset ohjelmat tai yrityksen sisäiset ohjelmat voidaan tuoda suoraan Apple Configuratoriin ja asentaa haluamallesi määrälle laitteita. ! Ohjelmien jakaminen MDM:ää käyttäen MDM-palvelimella voidaan hallita App Storesta hankittuja ilmaisia ohjelmia ja yritysten sisäisiä ohjelmia. MDM:n avulla asennettuja ohjelmia kutsutaan ”hallituiksi ohjelmiksi”. MDM-palvelimella voidaan määritellä, jäävätkö hallitut ohjelmat ja niiden tiedot paikoilleen, kun käyttäjä peruu rekisteröintinsä MDM:ään. Lisäksi palvelin voi estää hallittujen ohjelmien tietojen varmuuskopioinnin iTunesiin ja iCloudiin. Tämän ansiosta IT-osasto voi valvoa tarkemmin mahdollisesti luottamuksellisia liiketoimintatietoja sisältäviä ohjelmia kuin suoraan käyttäjän lataamia ohjelmia. MDM-palvelin asentaa hallitun ohjelman lähettämällä asennuskomennon laitteeseen. Valvomattomilla laitteilla hallitut ohjelmat vaativat käyttäjän hyväksynnän ennen asentamista. Hallituille ohjelmille on hyötyä iOS 7:n lisärajoituksista. VPN-yhteydet voidaan nyt määritellä ohjelmatasolla. Tämä tarkoittaa, että pelkästään kyseisen ohjelman verkkoliikenne on suojatussa VPN-tunnelissa. Tällä varmistetaan, että yksityiset tiedot pysyvät yksityisinä eivätkä julkiset tiedot sekoitu niihin. Hallitut ohjelmat tukevat myös Hallittua avaamista iOS 7:ssä. Tämä tarkoittaa, että hallittuja ohjelmia voidaan rajoittaa lähettämästä tietoa käyttäjän henkilökohtaisiin 31 iOS:n käyttöönoton tekninen opas ohjelmiin tai ohjelmista. Tämän ansiosta yritys voi varmistaa, että luottamukselliset tiedot pysyvät siellä, missä niiden kuuluukin. Caching Server iOS tekee digitaalisen sisällön käytön ja kuluttamisen helpoksi käyttäjille, ja jotkut käyttäjät voivat haluta useampien gigatavujen edestä ohjelmia, kirjoja ja ohjelmistopäivityksiä ollessaan yhteydessä organisaation langattomaan verkkoon. Näiden materiaalien kysynnässä esiintyy piikkejä, aluksi laitteen ensimmäisen käyttöönoton yhteydessä ja sen jälkeen hajanaisesti, kun käyttäjät löytävät uutta sisältöä tai kun sisältöä päivitetään ajan kuluessa. Näiden sisältölatausten tuloksena internet-kaistanleveyden tarve voi kasvaa äkillisesti. OS X Serveriin sisältyvä Caching Server -ominaisuus vähentää ulospäin suuntautuvaa internet-kaistanleveyttä yksityisissä verkoissa (RFC1918) tallentamalla pyydetyn sisällön kopioita välimuistiin paikallisverkossa. Suuremmille verkoille on hyötyä useampien Caching Server -palvelimien olemassaolosta. Useissa käyttöönotoissa Caching Serverin määrittäminen on yhtä helppoa kuin palvelun kytkeminen päälle. Palvelimelle ja kaikille sitä hyödyntäville laitteille tarvitaan NAT-ympäristö. Lisätietoja saat tutustumalla artikkeliin OS X Server: Advanced Administration. iOS 7:ää käyttävät laitteet ottavat automaattisesti yhteyden lähimpään Caching Serveriin ilman ylimääräisiä laitemäärittelyitä. Tässä kuvataan, miten Caching Server -työnkulku toimii iOS-laitteelle läpinäkyvästi: 1. Kun yhden tai useampia Caching Server -palvelimia sisältävässä verkossa oleva iOS-laite kysyy sisältöä iTunes Storesta tai Software Update serveriltä, iOS-laite osoittaa yhteen Caching Serveriin. 2. Caching Server tarkistaa ensin, onko sillä pyydettyä sisältöä paikallisessa välimuistissaan. Jos sillä on, se aloittaa välittömästi sisällön toimittamisen iOS-laitteelle. 3. Jos Caching Serverillä ei ole pyydettyä materiaalia, se yrittää ladata sisällön toisesta lähteestä. OS X Mavericksin Caching Server 2 sisältää vertaisreplikointiominaisuuden, joka voi käyttää muita verkon Caching Server -palvelimia, mikäli kyseiset palvelimet ovat jo ladanneet pyydetyn sisällön. 4. Kun Caching Server vastaanottaa lataustiedot, se välittää ne välittömästi eteenpäin kaikille asiakkaille, jotka ovat pyytäneet tietoja ja samanaikaisesti tallentaa levylle kopion. iOS 7 tukee seuraavia välimuistiin tallennetun sisällön tyyppejä: • iOS -ohjelmistopäivitykset • App Store -ohjelmat • App Store -päivitykset • Kirjat iBooks Storesta iTunes tukee myös Caching Server 2:ta. iTunes 11.0.4 tai uudempi (sekä Mac että Windows) tukee seuraavia sisältötyyppejä: • App Store -ohjelmat • App Store -päivitykset • Kirjat iBooks Storesta ! 32 iOS:n käyttöönoton tekninen opas Liite A: Wi-Fi-infrastruktuuri Valmisteltaessa Wi-Fi-infrastruktuuria iOS-laitteille tulee ottaa huomioon useita tekijöitä: • Tarvittava kantama • Wi-Fi-verkkoa käyttävien laitteiden määrä ja tiheys • Laitetyypit ja niiden Wi-Fi-tekniikat • Siirrettävän tiedon tyypit ja määrät • Langattoman verkon käytön suojausvaatimukset • Salausvaatimukset Vaikka tämä luettelo ei ole kaikenkattava, siinä on joitakin keskeisimpiä Wi-Fiverkon suunnittelun näkökohtia. Muistutus: Tässä luvussa keskitytään Wi-Fi-verkkoihin Yhdysvalloissa. Muissa maissa ratkaisut voivat olla erilaisia. Laajuuden ja tiheyden suunnittelu On tarpeellista varmistaa, että Wi-Fi-verkko kattaa alueet, joilla iOS-laitteita käytetään. On kuitenkin myös oleellista huomioida suunnittelussa laitteiden tiheys tietyllä alueella. Useimmat uudet, yrityskäyttöön suunnitellut yhteyspisteet pystyvät käsittelemään jopa 50 Wi-Fi-asiakasta, joskin käyttökokemus on todennäköisesti epätyydyttävä, jos niin monta laitetta on yhteydessä yhteen pisteeseen. Kokemus kullakin laitteella riippuu käytettävän kanavan tarjoamasta kaistanleveydestä ja kokonaiskaistanleveyden jakavien laitteiden määrästä. Kun samaa yhteyspistettä käyttää yhä useampi laite, laitteiden suhteellinen verkkoyhteysnopeus laskee. iOS-laitteiden odotettavissa oleva käyttötapa tulisi ottaa huomioon Wi-Fi-verkon suunnittelussa. 2,4 GHz vai 5 GHz 2,4 GHz taajuudella toimivissa Wi-Fi-verkoissa voi olla Euroopassa 13 kanavaa. Kanavien välisten häiriöiden vuoksi verkon suunnittelussa tulisi kuitenkin käyttää vain kanavia 1, 6 ja 11. 5 GHz signaalit eivät läpäise seiniä ja muita esteitä yhtä hyvin kuin 2,4 GHz signaalit, joten kantama jää pienemmäksi. Sen vuoksi 5 GHz verkot voivat olla parempi valinta silloin, kun verkkoa suunnitellaan suurelle laitetiheydelle suljetussa tilassa kuten luokkahuoneessa. 5 GHz taajuudella käytettävissä oleva kanavamäärä vaihtelee eri valmistajien yhteyspisteissä ja eri maissa, mutta käytettävissä on aina vähintään kahdeksan kanavaa. 5 GHz kanavat eivät mene päällekkäin, mikä on huomattava ero verrattuna 2,4 GHz taajuuteen, jossa voidaan käyttää vain kolmea kanavaa ilman päällekkäisyyksiä. Kun suunnitellaan Wi-Fi-verkkoja suurelle iOS-laitetiheydelle, 5 GHz taajuuden tarjoamat lisäkanavat ovat strateginen näkökohta. ! 33 iOS:n käyttöönoton tekninen opas Laajuuden suunnittelu Rakennuksen pohjaratkaisulla voi olla vaikutusta Wi-Fi-verkon suunnitteluun. Esimerkiksi yritysympäristössä käyttäjät voivat kohdata muita työntekijöitä neuvotteluhuoneissa tai toimistoissa. Tämän vuoksi käyttäjät liikkuvat päivän aikana kaikkialla rakennuksessa. Tässä skenaariossa suurin osa verkon käytöstä muodostuu sähköpostien ja kalentereiden tarkistamisesta sekä internet-selailusta, joten Wi-Fiverkon laajuus on ensisijainen. Wi-Fi-ratkaisuun voisi sisältyä kaksi tai kolme yhteyspistettä kummassakin kerroksessa toimistoja varten sekä yksi yhteyspiste kummassakin neuvotteluhuoneessa. Tiheyden suunnittelu Yllä olevan skenaarion vastakohtana on lukio, jossa on 1000 oppilasta ja 30 opettajaa kaksikerroksisessa rakennuksessa. Jokaisella oppilaalla on iPad, ja jokaisella opettajalla on MacBook Air ja iPad. Jokaiseen luokkahuoneeseen mahtuu noin 35 oppilasta, ja luokkahuoneet ovat vierekkäin. Päivän mittaan oppilaat hakevat tietoa internetistä, katsovat opetussuunnitelmaan kuuluvia videoita ja kopioivat tiedostoja lähiverkossa olevalle palvelimelle. Tässä skenaariossa Wi-Fi-verkon suunnittelu on monimutkaisempaa suuremman laitetiheyden vuoksi. Koska jokaisessa luokkahuoneessa on noin 35 oppilasta, voitaisiin ottaa käyttöön yksi yhteyspiste luokkaa kohden. Yhteisille alueille kannattaa harkita useita yhteyspisteitä riittävän laajuuden takaamiseksi. Yhteisten alueiden yhteyspisteiden todellinen määrä vaihtelee riippuen alueen Wi-Filaitetiheydestä. Jos verkkoon on tarpeellista yhdistää laitteita, jotka tukevat vain 802.11b- tai 802.11g-standardia, yksi vaihtoehto on yksinkertaisesti ottaa käyttöön 802.11b/gtekniikka, jos käytetään kaksitaajuuksisia yhteyspisteitä. Toinen vaihtoehto on tarjota uudemmille laitteille SSID, joka käyttää 802.11n-tekniikkaa 5 GHz taajuudella, ja toinen SSID, joka käyttää 2,4 GHz taajuutta ja tukee 802.11b- ja 802.11g-laitteita. Kannattaa kuitenkin varoa luomasta tarpeettoman monia SSID:itä. Kummassakaan tapauksessa ei kannata käyttää piilotettua SSID:tä. Wi-Fi-laitteen on hankalampi liittyä uudelleen verkkoon piilotettua SSID:tä käytettäessä kuin SSID:n lähetystä käytettäessä, eikä SSID:n piilottaminen juurikaan paranna tietoturvaa. Käyttäjät vaihtavat usein paikkaa iOS-laitteineen, joten piilotettu SSID voi hidastaa yhdistämistä verkkoon. Wi-Fi-standardit Apple-tuotteissa Alla on lueteltu Apple-tuotteiden tuki eri Wi-Fi-standardeille. Mukana ovat seuraavat tiedot: • 802.11-yhteensopivuus. 802.11b/g, 802.11a, 802.11n • Taajuusalue. 2,4 tai 5 GHz • MCS-indeksi. Modulaatio- ja koodausluokka (MCS-indeksi) määrittelee enimmäisnopeuden 802.11n-laitteiden tiedonsiirtoon. • Kanavien niputus. 20 Mhz tai 40 Mhz ! 34 iOS:n käyttöönoton tekninen opas • Varoaika (Guard Interval, GI). Varoaika on laitteesta toiseen lähetettävien symbolien välinen aika. 802.11n-standardissa on määritelty lyhyt 400 ns varoaika, joka mahdollistaa nopeamman kokonaistiedonsiirron, mutta laitteet saattavat käyttää pidempää 800 ns varoaikaa. iPhone 5s 802.11n 2,4 GHz ja 5 GHz taajuudella 802.11a/b/g MCS-indeksi 7 / HT40 / GI 400 ns iPhone 5c 802.11n 2,4 GHz ja 5 GHz taajuudella 802.11a/b/g MCS-indeksi 7 / HT40 / GI 400 ns iPhone 5 802.11n 2,4 GHz ja 5 GHz taajuudella 802.11a/b/g MCS-indeksi 7 / HD40 / GI 400 ns iPhone 4s 802.11n 2,4 GHz taajuudella 802.11b/g MCS-indeksi 7 / HD20 / GI 800 ns iPhone 4 802.11n 2,4GHz taajuudella 802.11b/g MCS-indeksi 7 / HD20 / GI 800 ns iPad Air ja iPad mini Retina-näytöllä 802.11n 2,4 ja 5 GHz taajuudella 802.11 a/b/g MCS-indeksi 15 / HT40 / GI 400 ns iPad (4. sukupolvi) ja iPad mini 802.11n 2,4 GHz ja 5 GHz taajuudella 802.11a/b/g MCS-indeksi 7 / HD40 / GI 400 ns iPad (1., 2. ja 3. sukupolvi) 802.11n 2,4 GHz ja 5 GHz taajuudella 802.11a/b/g MCS-indeksi 7 / HD20 / GI 800 ns iPod touch (5. sukupolvi) 802.11n 2,4 GHz ja 5 GHz taajuudella 802.11a/b/g MCS-indeksi 7 / HD40 / GI 400 ns iPod touch (4. sukupolvi) 802.11n 2,4 GHz taajuudella 802.11b/g MCS-indeksi 7 / HD20 / GI 800 ns ! 35 iOS:n käyttöönoton tekninen opas Liite B: Rajoitukset iOS tukee seuraavia käytäntöjä ja rajoituksia, joista kaikki voidaan määritellä oman organisaatiosi tarpeita vastaaviksi. Laitteen toiminnot • Salli ohjelmien asentaminen • Salli Siri • Salli Siri lukittuna • Salli kameran käyttö • Salli FaceTime • Salli kuvankaappaus • Salli automaattinen synkronointi verkkovierailutilassa • Salli Mailin uusimpien viestien synkronointi • Salli äänivalinta • Salli ohjelmien sisäiset ostokset • Vaadi liikkeen salasana kaikkiin ostoksiin • Salli moninpelit • Salli Game Center -kaverien lisäys • Määritä sallitut sisällön arvioinnit • Salli Touch ID • Salli pääsy Ohjauskeskukseen lukitulta näytöltä • Salli pääsy Ilmoituskeskukseen lukitulta näytöltä • Salli Tänään-näkymä lukitulta näytöltä • Salli Passbook-ilmoitukset lukitulla näytöllä Ohjelmat • Salli iTunes Storen käyttö • Salli Safarin käyttö • Määritä Safarin suojausasetukset iCloud • Salli varmuuskopiointi • Salli dokumenttien synkronointi ja avainnipun synkronointi • Salli Oma kuvavirta • Salli iCloud-kuvajako ! 36 iOS:n käyttöönoton tekninen opas Suojaus ja yksityisyys • Salli vianmääritystietojen lähetys Applelle • Salli käyttäjien hyväksyä ei-luotetut varmenteet • Pakota salatut varmuuskopiot • Salli hallituille ohjelmille avaaminen ei-hallituista ohjelmista • Salli ei-hallituille ohjelmille avaaminen hallituista ohjelmista • Vaadi pääsykoodi ensimmäisellä AirPlay-parinmuodostuksella • Salli PKI-päivitykset langattomasti • Vaadi rajoitettua mainosseurantaa Vain valvontaa koskevat rajoitukset • Vain yhden ohjelman tila • Käyttöapuasetukset • Salli iMessage • Salli Game Center • Salli ohjelmien poisto • Salli iBooks Store • Salli eroottinen aineisto iBooks Storesta • Ota käyttöön Siri-kirosanasuodatin • Salli määrittelyprofiilien manuaalinen asennus • Globaali HTTP-välipalvelin • Salli parinmuodostus tietokoneille sisällön synkronointia varten • Rajoita AirPlay-yhteyksiä valkoisella listalla ja valinnaisilla yhteyspääsykoodeilla • Salli AirDrop • Salli tilin muokkaaminen • Salli mobiilidatan asetusten muokkaaminen • Salli Etsi ystäväni • Salli parinmuodostus koneille (iTunes) • Salli aktivointilukitus ! ! 37 iOS:n käyttöönoton tekninen opas Liite C: Sisäisten ohjelmien asentaminen langattomasti iOS tukee yritysten sisäisten, räätälöityjen ohjelmien langatonta siirtoa ilman iTunesin tai App Storen käyttöä. Vaatimukset: • Suojattu verkkopalvelin, johon varmennetuilla käyttäjillä on pääsy • iOS-ohjelma .ipa-muodossa, rakennettu julkaistavaksi/tuotantoon yrityksen provisiointiprofiililla • XML-manifestitiedosto, joka on kuvattu tässä liitteessä • Verkkomäärittely, joka sallii laitteiden käyttää Applen iTunes-palvelinta Ohjelman asentaminen on helppoa. Käyttäjät lataavat manifestitiedoston verkkosivustoltasi iOS-laitteisiinsa. Manifestitiedosto ohjaa laitteen lataamaan ja asentamaan manifestitiedostossa mainitut ohjelmat. Voit jakaa verkko-osoitteen manifestitiedoston lataamista varten tekstiviestillä tai sähköpostilla tai sisällyttämällä sen toiseen luomaasi yritysohjelmaan. Päätät itse ohjelmien jakeluun käytettävän verkkosivuston suunnittelusta ja ylläpidosta. Varmista, että käyttäjät ovat varmennettuja (käyttäen mahdollisesti perusvarmennusta tai hakemistopohjaista varmennusta) ja että verkkosivusto on saavutettavissa intranetin tai internetin kautta. Voit sijoittaa ohjelman ja manifestitiedoston kätkettyyn hakemistoon tai mihin tahansa muuhun sijaintiin, joka on luettavissa HTTP:tä tai HTTPS:ää käyttäen. Jos luot itsepalveluportaalin, harkitse verkkoleikkeen lisäämistä Koti-valikkoon. Näin käyttäjät on helppo ohjata takaisin portaaliin katsomaan tulevia käyttöönottotietoja, kuten uusia määrittelyprofiileja, suositeltuja App Storen ohjelmia ja MDMratkaisuun rekisteröitymistä. Yrityksen sisäisen ohjelman valmisteleminen langatonta jakelua varten Kun haluat valmistella sisäisen ohjelman langatonta jakelua varten, rakennat arkistoidun version (.ipa- tiedoston) ja manifestitiedoston, joka mahdollistaa ohjelman langattoman jakelun ja asennuksen. Xcoden avulla luodaan ohjelma-arkisto. Allekirjoita ohjelma käyttäen omaa jakeluvarmennettasi ja sisällytä arkistoon mukaan oma yrityksen käyttöönoton provisiointiprofiili. Lisätietoja ohjelmien laatimisesta ja arkistoinnista saat vierailemalla iOS Dev Centerissä tai katsomalla Xcoden käyttöoppaasta, joka on saatavilla Xcoden ohjevalikossa. Tietoja langattomasta manifestitiedostosta Manifestitiedostosto on XML plist. iOS-laitteet käyttävät sitä etsiäkseen, ladatakseen ja asentaakseen ohjelmia omalta verkkopalvelimeltasi. Xcode luo manifestitiedoston käyttäen tiedostoa, jonka tarjoat jakaessasi arkistoidun ohjelman 38 iOS:n käyttöönoton tekninen opas yritysjakelua varten. Katso edellisestä osiosta tietoja ohjelman valmistelemisesta jakelua varten. ! Seuraavat kentät vaaditaan: Kohde Kuvaus osoite Ohjelmatiedoston (.ipa) kelvollinen HTTPSverkko-osoite näyttökuva 57 x 57 pikselin PNG-kuva, joka näkyy latauksen ja asennuksen aikana. Määrittele kuvan kelvollinen verkko-osoite. täysikokoinen kuva 512 x 512 pikselin PNG-kuva, joka esittää ohjelmaa iTunesissa. paketin tunniste Ohjelmasi paketin tunniste, tarkalleen Xcode-projektissa määritellyn mukaisesti. paketin versio Ohjelmasi paketin versio, tarkalleen Xcodeprojektissa määritellyn mukaisesti. nimike Ohjelman nimi, joka näkyy latauksen ja asennuksen aikana. ! Seuraavat kentät vaaditaan vain Lehtikioski-ohjelmia varten: Kohde Kuvaus lehtikioskin kuva Täysikokoinen PNG-kuva näytettäväksi Lehtikioskin hyllyssä. UINewsstandBindingEdge UINewsstandBindingType Näiden avainten täytyy vastata Newsstandohjelman info.plist-luettelossa olevia. UINewsstandApp Osoittaa, että ohjelma on Lehtikioski-ohjelma. Käytettävät valinnaiset avaimet on kuvattu näytemanifestitiedostossa. Voit esimerkiksi käyttää MD5-avaimia, jos ohjelmatiedostosi on suuri ja haluat varmistaa latauksen virheettömyyden laajemmin kuin virheiden tarkistuksella, joka tehdään tavallisesti TCP-kommunikaatiota varten. Voit asentaa yhdellä manifestitiedostolla useamman kuin yhden ohjelman määrittelemällä kohteiden ryhmän lisäjäsenet. Tämän liitteen lopussa on manifestitiedoston näyte. Verkkosivuston rakentaminen Lataa nämä kohteet verkkosivustosi alueelle, jota varmennetut käyttäjät voivat käyttää: • Ohjelmatiedosto (.ipa) • Manifestitiedosto (.plist) Verkkosivustosi voi olla niinkin yksinkertainen kuin yksittäinen sivu, jolla on linkki manifestitiedostoon. Kun käyttäjä napauttaa verkkolinkkiä, manifestitiedosto ladataan. Tämä käynnistää sen kuvaamien ohjelmien lataamisen ja asennuksen. Tässä on esimerkkilinkki: <a href=”itms-services://?action=downloadmanifest&url=http://example.com/manifest.plist”>Install App</a> 39 iOS:n käyttöönoton tekninen opas Älä lisää verkkolinkkiä arkistoituun ohjelmaan (.ipa). Laite lataa .ipa-tiedoston, kun manifestitiedosto on ladattu. Vaikka verkko-osoitteen protokolla-osana on itms-palvelut, iTunes Store ei sisälly mukaan tähän prosessiin. Varmista myös, että .ipa-tiedosto on käytettävissä HTTPS:n yli ja että sivustosi on allekirjoitettu iOS:n luottamalla sertifikaatilla. Asennus epäonnistuu, jos itse allekirjoitetulla sertifikaatilla ei ole luotettua ankkuria ja iOS-laite ei voi sitä tarkistaa. Palvelimen MIME-tyyppien asettaminen Sinun kannattaa määritellä verkko-osoite niin, että manifestitiedosto ja ohjelmatiedosto lähetetään oikealla tavalla. Lisää OS X Serveriä varten seuraavat MIME-tyypit verkkopalvelun MIMEtyyppiasetuksiin: application/octet-stream ipa text/xml plist Käytä IIS:lle IIS Manageria lisätäksesi MIME-tyypin palvelimen ominaisuussivulle: .ipa application/octet-stream .plist text/xml Langattoman ohjelmajakelun vianetsintä Jos langattomien ohjelmien jakelu epäonnistuu ja näkyy jakelun epäonnistumisesta ilmoittava viesti, tarkista seuraavat asiat: • Varmista, että ohjelma on allekirjoitettu oikein. Testaa se asentamalla se laitteelle Apple Configuratoria käyttäen ja katso, esiintyykö virheitä. • Varmista, että linkki manifestitiedostoon on oikein ja että manifestitiedosto on verkkokäyttäjien saavutettavissa. • Varmista, että verkko-osoite .ipa-tiedostoon on oikein ja että .ipa-tiedosto on verkkokäyttäjien saavutettavissa HTTPS:n yli. Verkkomäärittelyn vaatimukset Jos laitteet on liitetty suljettuun sisäiseen verkkoon, sinun tulisi antaa iOS-laitteille pääsy seuraaviin: Osoite Syy ax.init.itunes.apple.com Laite saa nykyisen tiedostokokorajan ohjelmien lataamiseen mobiiliverkon kautta. Jos tämä sivusto ei ole saavutettavissa, asennus voi epäonnistua. ocsp.apple.com Laite ottaa yhteyden tähän sivustoon tarkistaakseen provisiointiprofiilin allekirjoittamiseen käytettävän jakeluvarmenteen tilan. Katso ”Varmenteen tarkistus” alla. Päivitettyjen ohjelmien tarjoaminen Itse jakelemiasi ohjelmia ei päivitetä automaattisesti. Kun sinulla on uusi versio käyttäjille asennettavaksi, ilmoita heille päivityksestä ja ohjeista heitä asentamaan ohjelma. Harkitse ohjelman asettamista tarkistamaan päivitykset ja ilmoittamaan käyttäjille, kun päivitys on saatavilla. Jos käytät langatonta ohjelmajakelua, ilmoituksessa voidaan tarjota linkki päivitetyn ohjelman manifestitiedostoon. Jos haluat käyttäjien säilyttävän ohjelmien tiedot laitteillaan, varmista, että uudessa versiossa käytetään samaa paketin tunnistetta kuin korvattavassa versiossa. Neuvo 40 iOS:n käyttöönoton tekninen opas myös käyttäjiä poistamaan vanha versio ennen uuden asentamista. Uusi versio korvaa vanhan ja säilyttää tiedot laitteella, jos paketin tunnisteet vastaavat toisiaan. Jakelun provisiointiprofiilit vanhenevat 12 kuukauden kuluttua siitä, kun ne on myönnetty. Profiili poistetaan vanhentumispäiväyksen jälkeen eikä ohjelma käynnisty. Luo ohjelmalle uusi profiili iOS:n kehitysportaalissa ennen kuin provisiointiprofiili vanhenee. Luo uusi ohjelma-arkisto (.ipa) uudella provisiointiprofiililla käyttäjille, jotka asentavat ohjelman ensimmäistä kertaa. Niille käyttäjille, joilla ohjelma jo on, kannattaa ehkä ajoittaa seuraava julkaistu versiosi siten, että se sisältää uuden provisiointiprofiilisi. Jos tämä ei ole mahdollista, voit jakaa vain uuden .mobileprovision-tiedoston. Näin käyttäjien ei tarvitse asentaa ohjelmaa uudelleen. Uusi provisiointiprofiili korvaa jo ohjelma-arkistossa olevan. Provisiointiprofiileja voidaan asentaa ja hallita MDM:ää käyttäen. Käyttäjät voivat ladata ja asentaa niitä tarjoamaltasi suojatulta verkkosivustolta tai ne voidaan jakaa käyttäjille sähköpostiliitteenä, jotka he voivat avata ja asentaa. Kun jakeluvarmenne vanhenee, ohjelma ei käynnisty. Jakeluvarmenteesi on voimassa kolme vuotta sen myöntämisestä lähtien tai siihen saakka, kunnes Enterprise Developer Program -ohjelman jäsenyys vanhenee – kumpi näistä sitten tapahtuukin ensin. Muista uudistaa jäsenyytesi ennen sen vanhenemista estääksesi varmenteesi ennenaikaisen vanhenemisen. Lisätietoja jakeluvarmenteen tarkistamisesta saat katsomalla alla olevasta kohdasta ”Varmenteen tarkistus”. Sinulla voi olla kaksi jakeluvarmennetta aktiivisina samaan aikaan kummankin ollessa riippumaton toisesta. Toinen varmenne on tarkoitettu tarjoamaan päällekkäinen jakso, jonka aikana voit päivittää ohjelmasi ennen kuin ensimmäinen varmenne vanhenee. Varmista, ettet poista ensimmäistä varmennetta, kun pyydät toista jakeluvarmennetta iOS Dev Centeristä. Varmenteen tarkistus Kun käyttäjä avaa ohjelman ensimmäisen kerran, jakeluvarmenne tarkistetaan ottamalla yhteyttä Applen OCSP-palvelimeen. Ohjelman käynnistyminen sallitaan, ellei varmennetta ole poistettu. Jos ohjelma ei onnistu muodostamaan yhteyttä OCSP-palvelimeen tai vastaanottamaan siltä vastausta, tätä ei tulkita poistamiseksi. Tilan tarkistamista varten laitteen on voitava ottaa yhteys osoitteeseen ocsp.apple.com. Katso tämän liitteen aiempi kohta ”Verkkomäärittelyn vaatimukset”. OCSP:n vastaus tallentuu laitteen välimuistiin OCSP-palvelimen määrittelemäksi ajaksi, joka on tällä hetkellä kolmesta seitsemään päivää. Varmenteen voimassaoloa ei tarkisteta uudelleen ennen kuin laite on käynnistynyt uudelleen ja välimuistiin tallennettu vastaus on vanhentunut. Jos pois ottaminen tapahtuu tänä aikana, ohjelman käynnistyminen estyy. Jakeluvarmenteen pois ottaminen mitätöi kaikki ohjelmat, jotka olet allekirjoittanut sillä. Varmenne tulisi ottaa pois vasta viimeisenä keinona, vain jos olet varma, että yksityinen avain on kadonnut tai varmenteen uskotaan olevan vaarantunut. ! 41 iOS:n käyttöönoton tekninen opas Näyte ohjelman manifestitiedostosta <!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/ DTDs/PropertyList-1.0.dtd”> <plist version=”1.0”> <dict> <!-- sarja latauksia. --> <key>items</key> <array> <dict> <!-- sarja ladattavia materiaaleja --> <key>assets</key> <array> <!-- ohjelmistopaketti: asennettava ipa. --> <dict> <!-- . materiaalin tyyppi. --> <key>kind</key> <string>software-package</string> <!-- valinnainen. md5 jokaisessa n tavussa. käynnistää osion uudelleen, jos md5 epäonnistuu. --> <key>md5-size</key> <integer>10485760</integer> <!-- valinnainen. sarja md5:ttä tarkistaa kunkin ”md5-kokoa” vastaavan osion. --> <key>md5s</key> <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba</string> <string>51fa64bb7a7cae5a46bfb45821ac8bba</string> </array> <!-- . ladattavan tiedoston verkko-osoite. --> <key>url</key> <string>http://www.example.com/apps/foo.ipa</string> </dict> <!-- näyttökuva: latauksen aikana näytettävä kuvake.--> <dict> <key>kind</key> <string>display-image</string> <!-- valinnainen. ilmoittaa, jos kuvake tarvitsee shine-tehosteen käyttöä. --> <key>needs-shine</key> <true/> <key>url</key> <string>http://www.example.com/image.57x57.png</string> </dict> <!-- täysikokoinen kuva: iTunesin käyttämä 512 x 512 -kuvake. --> <dict> <key>kind</key> <string>full-size-image</string> <!-- valinnainen. yksi md5-tarkistus koko tiedostolle. --> <key>md5</key> <string>61fa64bb7a7cae5a46bfb45821ac8bba</string> <key>needs-shine</key> <true/> <key>url</key><string>http://www.example.com/image.512x512.jpg</string> </dict> </array><key>metadata</key> <dict> <!-- required --> <key>bundle-identifier</key> <string>com.example.fooapp</string> <!-- optional (software only) --> <key>bundle-version</key> 42 iOS:n käyttöönoton tekninen opas <string>1.0</string> <!-- vaaditaan. lataustyyppi. --> <key>kind</key> <string>software</string> <!-- valinnainen. näytetään latauksen aikana; tyypillisesti yrityksen nimi --> <key>subtitle</key> <string>Apple</string> <!-- . latauksen aikana näytettävä nimike. --> <key>title</key> <string>Example Corporate App</string> </dict> </dict> </array> </dict> </plist> ! 1Saattaa sisältää normaaleja operaattoreiden datansiirtomaksuja. Viestit voidaan lähettää tekstiviesteinä, jos iMessage ei ole käytettävissä; saattaa sisältää operaattoreiden viestimaksuja. 2FaceTime-puhelut edellyttävät soittajalta ja vastaanottajalta FaceTimea tukevaa laitetta sekä Wi-Fi-yhteyttä. Mobiiliverkon kautta toimiakseen FaceTime edellyttää iPhone 4s:ää tai uudempaa, iPadia Retina-näytöllä tai iPad miniä, jossa on mobiilidatamahdollisuus. Saatavuus mobiiliverkossa riippuu operaattorista; datasiirto saattaa olla maksullista. 3Siri ei välttämättä ole saatavilla kaikilla kielillä tai kaikilla alueilla ja sen ominaisuudet voivat vaihdella alueittain. Edellyttää internet-yhteyttä. Mobiilikäyttö saattaa olla maksullista. 4Jotkin ominaisuudet edellyttävät Wi-Fi-yhteyttä. Kaikki ominaisuudet eivät ole käytettävissä kaikissa maissa. Joidenkin palveluiden käyttö on rajoitettu 10 laitteeseen. © 2014 Apple Inc. Kaikki oikeudet pidätetään. Apple, Apple-logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage, iPad, iPhone, iPod touch, iTunes, Keychain, Keynote, Mac, Mac-logo, MacBook Air, OS X, Pages, Passbook, Retina, Safari, Siri ja Xcode ovat Apple Inc:n Yhdysvalloissa ja muissa maissa rekisteröityjä tavaramerkkejä. AirPrint, iPad Air ja iPad mini ovat Apple Inc:n tavaramerkkejä. iCloud ja iTunes Store ovat Apple Inc:n Yhdysvalloissa ja muissa maissa rekisteröityjä palvelumerkkejä. App Store ja iBooks Store ovat Apple Inc:n palvelumerkkejä. IOS on Ciscon tavaramerkki tai rekisteröity tavaramerkki Yhdysvalloissa ja muissa maissa ja sitä käytetään lisenssillä. Muut mainitut yritys- ja tuotenimet saattavat olla omistajiensa tavaramerkkejä. 43