Teknisk håndbog om iOS-anvendelse
Transcription
Teknisk håndbog om iOS-anvendelse
! Teknisk håndbog om iOS-anvendelse ! iOS ! 7.1. !! maj 2014 ! Teknisk håndbog om iOS-anvendelse !! !! !! ! Indhold Side 3 Introduktion Side 4 Kapitel 1: Integration Side 4 Microsoft Exchange Side 6 Standardbaserede tjenester Side 6 Wi-Fi Side 7 Virtuelle private netværk (VPN) Side 13 VPN for hver app Side 13 Samlet log ind Side 14 Digitale certifikater Side 15 Bonjour Side 16 Kapitel 2: Sikkerhed Side 16 Enhedssikkerhed Side 18 Kryptering og databeskyttelse Side 20 Netværkssikkerhed Side 20 Appsikkerhed Side 21 Internettjenester Side 23 Kapitel 3: Konfiguration og administration Side 23 Indstilling og aktivering af enheder Side 24 Konfigurationsbeskrivelser Side 24 MDM (Administration af mobile enheder) Side 27 Overvågede enheder Side 28 Kapitel 4: Appdistribution Side 28 Interne apps Side 30 Anvendelse af apps Side 31 Caching Server Side 32 Bilag A: Wi-Fi-infrastruktur Side 35 Bilag B: Begrænsninger Side 37 Bilag C: Trådløs installation af interne apps 2 Teknisk håndbog om iOS-anvendelse Introduktion ! Denne håndbog er for IT-administratorer, som ønsker at understøtte iOS-enheder på deres netværk. Den giver oplysninger om anvendelse og understøttelse af iPhone, iPad og iPod touch i store organisationer, som f.eks. en virksomhed eller uddannelsesinstitution. Den forklarer, hvordan iOS-enheder giver omfattende sikkerhed, integration med din eksisterende infrastruktur og kraftfulde værktøjer til anvendelse. Ved at forstå de vigtigste teknologier, som understøttes af iOS kan du bedre implementere en anvendelsesstrategi, som giver en optimal oplevelse for dine brugere. De følgende kapitler er tænkt som en teknisk håndbog, du kan bruge, når du anvender iOS-enheder i din organisation: Integration. iOS-enheder har indbygget understøttelse for et bredt udvalg af netværksinfrastrukturer. I dette afsnit kan du læse om iOS-understøttede teknologier og de bedste metoder til integration med Microsoft Exchange, Wi-Fi, VPN og andre standardtjenester. Sikkerhed. iOS er designet til sikker adgang til virksomhedstjenester og beskytter vigtige data. iOS sikrer effektiv kryptering af dataoverførsel, gennemprøvede godkendelsesmetoder ved adgang til virksomhedens tjenester og hardware- kryptering af alle data, der er i hvile. Læs dette kapitel for at lære mere om sikkerhedsrelaterede funktioner i iOS. Konfiguration og administration. iOS understøtter avancerede værktøjer og teknologier for at sikre, at iOS-enheder nemt kan indstilles, konfigureres til at opfylde dine krav og bruges i store organisationsmiljøer. Dette kapitel beskriver de forskellige værktøjer, som er tilgængelige for anvendelse, herunder en oversigt over MDM (administration af mobile enheder). Programdistribution. Der er mange måder at anvende apps og indhold på i din virksomhed. iOS Developer Enterprise Program gør det muligt for din organisation at anvende apps til dine interne brugere. Brug dette kapitel til at få en dybere forståelse af disse programmer, og hvordan du anvender apps, som er udviklet til intern brug. De følgende bilag giver yderligere tekniske oplysninger og krav: Wi-Fi infrastruktur. Oplysninger om Wi-Fi-standarder, som iOS understøtter, og overvejelser for planlægning af større Wi-Fi-netværk. Begrænsninger. Oplysninger om begrænsninger, som du kan bruge til at konfigurere iOS-enheder, så de overholder dine krav til sikkerhed, adgangskode og andre krav. Trådløs installation af interne apps. Oplysninger og krav til distribution af dine interne apps ved hjælp af din egen webbaserede portal. Yderligere ressourcer Du kan finde flere relaterede oplysninger på følgende websites: www.apple.com/ipad/business/it www.apple.com/iphone/business/it www.apple.com/education/it 3 Teknisk håndbog om iOS-anvendelse Kapitel 1: Integration iOS-enheder har indbygget understøttelse for et bredt udvalg af netværks- infrastrukturer. De indeholder understøttelse af følgende: • Populære tredjepartssystemer, som f.eks. Microsoft Exchange • Integration med standardbaserede systemer af mail, adresser, kalender og andre systemer • Standard Wi-Fi-protokoller for dataoverførsel, kryptering • Virtuelle private netværk (VPN), herunder VPN for hver app • Samlet log ind for at strømline godkendelse til netværksbaserede apps og tjenester • Digitale certifikater til at godkende brugere og til sikker kommunikation Da dette er indbygget i iOS, skal din IT-afdeling kun konfigurere nogle få indstillinger for at integrere iOS-enhederne i din eksisterende infrastruktur. Læs mere om iOS-understøttede teknologier og de bedste metoder for integration. Microsoft Exchange iOS kan kommunikere direkte med Microsoft Exchange Server via Microsoft Exchange ActiveSync (EAS), så det er muligt at bruge mail, kalender, kontakter, noter og andre opgaver. Exchange ActiveSync giver også brugere adgang til globale adresselister (GAL) og forsyner administratorer med funktioner til at gennemtvinge kodestrategier og ekstern sletning. iOS understøtter både grundlæggende og certifikat-baseret godkendelse til Exchange ActiveSync. Hvis din virksomhed allerede bruger Exchange ActiveSync, har du de fornødne tjenester til understøttelse af iOS – der kræves ingen ekstra konfiguration. Systemkrav Enheder med iOS 7 eller senere understøtter følgende versioner af Microsoft Exchange: • Exchange Server 2003 SP 2 (EAS 2.5) • Exchange Server 2007 (med EAS 2.5) • Exchange Server 2007 SP 1 (EAS 12.1) • Exchange Server 2007 SP 2 (EAS 12.1) • Exchange Server 2007 SP 3 (EAS 12.1) • Exchange Server 2010 (EAS 14.0) • Exchange Server 2010 SP 1 (EAS 14.1) • Exchange Server 2010 SP 2 (med EAS 14.1) • Exchange Server 2013 (med EAS 14.1) • Office 365 (med EAS 14.1) Microsoft Direct Push Exchange Server leverer automatisk mail, opgaver, kontakter og kalender- begivenheder til iOS-enheder, hvis der er et mobilnetværk eller Wi-Fi tilgængeligt. 4 Teknisk håndbog om iOS-anvendelse iPod touch og nogle iPad-modeller kan ikke forbinde til et mobilnetværk, så de modtager push-beskeder, når de er forbundet til et Wi-Fi-netværk. Microsoft Exchange Autodiscover iOS understøtter tjenesten Autodiscover i Microsoft Exchange Server 2007 og Microsoft Exchange Server 2010. Når du manuelt konfigurerer en enhed, bruger Autodiscover din mailadresse og adgangskode til at bestemme de rigtige Exchange-serveroplysninger. For yderligere oplysninger om at aktivere tjenesten Autodiscover henvises der til Autodiscover Service. Global adresseliste fra Microsoft Exchange iOS-enheder henter kontaktoplysninger fra din virksomheds Exchange Serverkartotek. Du kan få adgang til kartoteket, når du søger i Kontakter, og det bruges automatisk til at udfylde mailadresser, når du indtaster dem. iOS 6 eller senere understøtter GAL-billeder (kræver Exchange Server 2010 SP 1 eller senere). Exchange ActiveSync-funktioner, som ikke understøttes Følgende funktioner i Exchange er ikke understøttet: • Åbning af links i mail til dokumenter, som er gemt på SharePoint-servere • Indstilling af autosvar ved fravær Identifikation af iOS-versioner via Exchange Når en iOS-enhed forbinder til en Exchange-server, rapporterer enheden dens iOS-version. Versionsnummeret sendes i feltet Brugeragent i overskriften af anmodningen og ligner Apple-iPhone2C1/705.018. Nummeret efter skråstregen (/) er iOS-buildnummeret, som er unikt for hver udgave af iOS. Buildnummeret på en enhed kan ses under Indstillinger > Generelt > Om. Du kan se versionsnummer og buildnummer, som f.eks. 4.1 (8B117A). Nummeret i parentesen er buildnummeret, som identificerer, hvilken udgave der er på enheden. Når buildnummeret sendes til Exchange-serveren, konverteres det fra formatet NANNNA (hvor N er numerisk, og A er et alfabetisk tegn) til Exchange-formatet NNN.NNN. De numeriske værdier bibeholdes, men bogstaverne konverteres til deres positionelle værdi i alfabetet. F.eks. konverteres “F” til “06”, fordi det er det sjette bogstav i alfabetet. Numrene udfyldes med nul, hvis det er nødvendigt for at tilpasse tallet til Exchange-formatet. I dette eksempel konverteres nummeret 7E18 til 705.018. Det første tal, 7, forbliver som “7.” Bogstavet E er det femte bogstav i alfabetet, så det konverteres til “05.” Der indsættes et punktum (.) i den konverterede version, som kræves af formatet. Det næste tal, 18, udfyldes med nul og konverteres til “018.” Hvis buildnummeret ender med et bogstav, som f.eks. 5H11A, konverteres nummeret som beskrevet ovenfor, og den numeriske værdi af det sidste tegn tilføjes til strengen adskilt med 3 nuller. Så 5H11A konverteres til 508.01100001. Ekstern sletning Du kan slette indhold på en iOS-enhed eksternt ved hjælp af funktioner, som er indeholdt i Exchange. Ekstern sletning fjerner alle data og konfigurations- oplysninger fra enheden, og enheden slettes sikkert og gendannes til dens oprindelige fabriksindstillinger. Ekstern sletning fjerner krypteringsnøglen til dataene (som er krypteret med 256-bit AES kryptering), hvilket øjeblikkeligt gør alle data umulige at genskabe. Med Microsoft Exchange Server 2007 eller senere kan du udføre en ekstern sletning med Exchange Management Console, Outlook Web Access eller Exchange 5 Teknisk håndbog om iOS-anvendelse ActiveSync Mobile Administration Web Tool. Med Microsoft Exchange Server 2003 kan du initiere en ekstern sletning med Exchange ActiveSync Mobile Administration Web Tool. Alternativt kan brugerne slette indholdet på deres egen enhed ved at gå til Indstillinger > Generelt > Nulstil og vælge “Slet alt indhold og indstillinger.” Enhederne kan også konfigureres til automatisk at slette alle data efter et bestemt antal forsøg med en forkert adgangskode. Standardbaserede tjenester Med understøttelse af IMAP-mailprotokollen, LDAP-bibliotekstjenester, CalDAVkalenderfunktioner og CardDAV-kontaktprotokoller kan iOS integreres i stort set alle standardbaserede miljøer. Og hvis dit netværksmiljø er konfigureret til at kræve brugergodkendelse og SSL, giver iOS en sikker tilgang til standardbaserede mail, kalender, opgaver og kontakter for virksomheden. Med SSL understøtter iOS 128-bit kryptering og X.509-rodcertifikater, som er udstedt af de vigtigste certificeringsmyndigheder. Ved typisk anvendelse opretter iOS-enhederne direkte adgang til IMAP- og SMTPmailservere for at sende og modtage mail trådløst, og kan også trådløst synkronisere noter med IMAP-baserede servere. iOS-enhederne kan forbindes til din virksomheds LDAPv3-kartotek, så brugerne kan få adgang til virksomhedens kontakter i appsene Mail, Kontakter og Beskeder. Synkronisering med din CalDAVserver gør det muligt for brugerne trådløst at skabe og acceptere kalenderinvitationer, modtage kalenderopdateringer og synkronisere opgaver med appen Påmindelser. Og med understøttelse af CardDAV kan brugerne opdatere deres kontakter, som synkroniseres med din CardDAV-server ved hjælp af vCard-formatet. Alle netværksservere kan placeres inden for et DMZ-undernetværk, bag ved virksomhedens firewall eller begge dele. Wi-Fi Direkte fra æsken kan iOS-enheder oprette sikre forbindelser til virksomhedens netværk eller bruge Wi-Fi-gæstenetværk, så det er hurtigt og nemt for brugerne at oprette forbindelse til trådløse netværk, uanset om de er på lokaliteten eller på farten. Oprette forbindelse til et Wi-Fi-netværk Brugerne kan indstille iOS-enheder til automatisk at oprette forbindelse til tilgængelige Wi-Fi-netværk. Der kan hurtigt oprettes forbindelse til Wi-Fi-netværk, som kræver loginoplysninger eller andre oplysninger, uden at åbne en separat browsersession, fra Wi-Fi-indstillingerne eller i apps som f.eks. Mail. Og med strømbesparende konstant forbindelse til Wi-Fi-netværket kan appsene bruge WiFi-netværk til at levere push-meddelelser. WPA2 Enterprise iOS understøtter industristandardprotokoller for trådløse netværk, inklusive WPA2 Enterprise, som sikrer, at iOS-enhederne sikkert kan få adgang til virksomhedens trådløse netværk. WPA2 Enterprise bruger 128 bit AES-kryptering, som er en gennemprøvet blokbaseret krypteringsmetode, der giver brugerne størst mulig sikkerhed for, at deres data er beskyttet. Med understøttelse af 802.1X kan iOS også integreres i et bredt udsnit af RADIUSgodkendelsesmiljøer. Trådløse 802.1X-godkendelsesmetoder understøttet af iOS omfatter EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 og LEAP. ! 6 Teknisk håndbog om iOS-anvendelse Roaming For roaming på store virksomheders Wi-Fi-netværk understøtter iOS 802.11k og 802.11r. 802.11k hjælper iOS-enheder med at skifte imellem Wi-Fi-adgangspunkter ved hjælp af rapporter fra adgangspunkterne, mens 802.11r strømliner 802.1Xgodkendelse, når en enhed flytter fra et adgangspunkt til et andet. For hurtig indstilling og anvendelse kan netværks-, sikkerheds-, proxy- og godkendelsesindstillinger konfigureres ved hjælp af konfigurationsbeskrivelser eller MDM. Virtuelle private netværk (VPN) Sikker adgang til private firmanetværk er muligt med iOS ved hjælp af etablerede standardprotokoller til virtuelle private netværk (VPN). iOS-enheder understøtter Cisco IPSec, L2TP over IPSec og PPTP direkte fra æsken. Hvis din organisation understøtter én af disse protokoller, kræves der ingen yderligere netværks- konfiguration eller apps fra tredjeparter til at forbinde iOS-enheder til din VPN. Desuden understøtter iOS SSL VPN fra populære VPN-udbydere. Brugerne skal bare hente et VPN-klientprogram, som er udviklet af en af disse udbydere, fra App Store for at komme i gang. Ligesom andre VPN-protokoller, som iOS understøtter, kan SSL VPN konfigureres manuelt på enheden eller ved hjælp af konfigurationsbeskrivelser eller MDM. iOS understøtter industristandardteknologier som f.eks. IPv6, proxyservere og “splittunneling”, som giver en rig VPN-oplevelse, når der forbindes til virksomhedens netværk. Og iOS fungerer med forskellige metoder til godkendelse, herunder brug af adgangskode, token-enheder med to faktorer og digitale certifikater. For at strømline forbindelsen i omgivelser, hvor der bruges certifikatbaseret godkendelse, indeholder iOS funktionen VPN On Demand, som starter en VPN-session, når det er nødvendigt for at forbinde til bestemte domæner. Med iOS 7 kan de enkelte apps konfigureres til at bruge en VPN-forbindelse uafhængigt af andre apps på enheden. Dette sikrer, at virksomhedens data altid overføres via en VPN-forbindelse, og andre data, som f.eks. en ansats personlige apps fra App Store, ikke gør det. For yderligere oplysninger henvises der til “VPN for hver app” senere i dette kapitel. Understøttede protokoller og godkendelsesmetoder SSL VPN. Understøtter brugergodkendelse med adgangskode, token-enheder med to faktorer og certifikater. Cisco IPSec. Understøtter brugergodkendelse med adgangskode, token-enheder med to faktorer og maskingodkendelse via nøgle (shared secret) samt certifikater. L2TP over IPSec. Understøtter brugergodkendelse med MS-CHAP v2-adgangskode, token-enheder med to faktorer og maskingodkendelse via nøgle (shared secret). PPTP. Understøtter brugergodkendelse med MS-CHAP v2-adgangskode og tokenenheder med to faktorer. SSL VPN-klienter Flere SSL VPN-udbydere har lavet apps, som hjælper med at konfigurere iOSenheder til anvendelse med deres løsninger. For at konfigurere en enhed til en specifik løsning skal du installere den medfølgende app og eventuelt bruge en konfigurationsbeskrivelse med de nødvendige indstillinger. SSL VPN-løsningerne omfatter: 7 Teknisk håndbog om iOS-anvendelse • Juniper Junos Pulse SSL VPN. iOS understøtter Juniper Networks SA Series SSL VPN Gateway med version 6.4 eller senere med Juniper Networks IVE pakke 7.0 eller senere. For konfiguration skal du installere appen Junos Pulse, som er tilgængelig fra App Store. For yderligere oplysninger henvises der til programnoterne fra Juniper Networks. • F5 SSL VPN. iOS understøtter løsningerne F5 BIG-IP Edge Gateway, Access Policy Manager og FirePass SSL VPN. For konfiguration skal du installere appen F5 BIG-IP Edge Client, som er tilgængelig fra App Store. For yderligere oplysninger henvises der til det tekniske datablad fra F5 Secure iPhone Access to Corporate Web Applications. • Aruba Networks SSL VPN. iOS understøtter Aruba Networks Mobility Controller. For konfiguration skal du installere appen Aruba Networks VIA, som er tilgængelig fra App Store. For kontaktoplysninger henvises der til Aruba Networks website. • SonicWALL SSL VPN. iOS understøtter SonicWALL Aventall E-Class Secure Remote Access-apparater med 10.5.4 eller senere, SonicWALL SRA-apparater med 5.5 eller senere og SonicWALL Next-Generation Firewall-apparater, herunder TZ, NSA, EClass NSA med SonicOS 5.8.1.0 eller højere. For konfiguration skal du installere appen SonicWALL Mobile Connect, som er tilgængelig fra App Store. For kontaktoplysninger henvises der til SonicWALLs website. • Check Point Mobile SSL VPN. iOS understøtter Check Point Security Gateway med en fuld Layer-3 VPN-tunnel. For konfiguration skal du installere appen Check Point Mobile, som er tilgængelig fra App Store. • OpenVPN SSL VPN. iOS understøtter OpenVPN Access Server, Private Tunnel og OpenVPN Community. For konfiguration skal du installere appen OpenVPN Connect, som er tilgængelig fra App Store. • Palo Alto Networks GlobalProtect SSL VPN. iOS understøtter GlobalProtect gateway fra Palo Alto Networks. For konfiguration skal du installere appen GlobalProtect for iOS, som er tilgængelig fra App Store. • Cisco AnyConnect SSL VPN. iOS understøtter Cisco Adaptive Security Appliance (ASA) med softwarebillede 8.0(3).1 eller senere. For konfiguration skal du installere appen Cisco AnyConnect, som er tilgængelig fra App Store. Retningslinjer for konfigurering af VPN Retningslinjer for konfigurering af Cisco IPSec Brug disse retningslinjer til at konfigurere din Cisco VPN-server til anvendelse med iOS-enheder. iOS understøtter Cisco ASA 5500 Security Appliances og PIX Firewalls, som er konfigureret med 7.2.x software eller senere. Det anbefales at anvende den seneste softwareudgave (8.0.x eller senere). iOS understøtter også Cisco IOS VPNroutere med IOS-version 12.4(15)T eller senere. VPN 3000 Series Concentrators understøtter ikke IOS VPN-funktioner. Indstilling af proxy For alle konfigurationer kan du også angive en VPN-proxy. For at konfigurere en enkelt proxy til alle forbindelser skal du bruge manuel indstilling og indtaste adresse, port og godkendelse, hvis det er nødvendigt. For at tilføje en auto-proxy konfigurationsfil til enheden ved hjælp af PAC eller WPAD skal du bruge automatisk indstilling. For PACS skal du specificere URL-adressen for PACS-filen. For WPAD anmoder iOS DHCP og DNS om de passende indstillinger. ! 8 Teknisk håndbog om iOS-anvendelse Godkendelsesmetoder iOS understøtter følgende godkendelsesmetoder: • IPSec godkendelse med fælles nøgle og brugergodkendelse via xauth. • Klient- og servercertifikater for IPSec godkendelse med valgfri brugergodkendelse via xauth. • Hybrid godkendelse, hvor serveren udsteder et certifikat, og klienten giver en fælles nøgle for IPSec godkendelse. Der kræves brugergodkendelse via xauth. • Brugergodkendelse foretages via xauth og omfatter følgende godkendelsesmetoder: – Brugernavn med adgangskode – RSA SecurID – CRYPTOCard Godkendelsesgrupper Cisco Unity-protokollen bruger godkendelsesgrupper til at gruppere brugere baseret på et almindeligt sæt af godkendelsesparametre og andre parametre. Det er en god ide at oprette en godkendelsesgruppe for iOS-brugere. For godkendelse med en fælles nøgle og hybrid godkendelse skal gruppenavnet konfigureres på enheden med gruppens delte nøgle (shared secret) som gruppens adgangskode. Når der bruges godkendelse med certifikat, bruges der ingen delt nøgle. En brugergruppe fastsættes baseret på felterne i certifikatet. Indstillingerne for Ciscoserveren kan bruges til at tildele felterne i et certifikat til brugergrupper. RSA-Sig bør have højeste prioritet på ISAKMP-prioritetslisten. Certifikater Når du indstiller og installerer certifikater, skal du sørge for, at følgende overholdes: Certifikatet for serveridentitet skal indeholde serverens DNS-navn og/eller IPadresse i feltet for alternativt navn for emnet (SubjectAltName). Enheden bruger denne oplysning til at verificere, at certifikatet hører til serveren. For at opnå yderligere fleksibilitet kan du specificere SubjectAltName ved hjælp af jokertegn for resultater pr. segment, som f.eks. vpn.*.mycompany.com. Du kan indtaste DNSnavnet i det almindelige navnefelt, hvis der ikke er specificeret SubjectAltName. Certifikatet fra den CA, som underskrev serverens certifikat, skal være installeret på enheden. Hvis det ikke er et rodcertifikat, skal du installere resten af sikkerhedskæden, så certifikatet godkendes. Hvis du bruger klientcertifikater, skal du sørge for, at det godkendte CA-certifikat, som underskrev klientens certifikat, er installeret på VPN-serveren. Når du bruger certifikatbaseret godkendelse, skal du sørge for, at serveren er konfigureret til at identificere brugergruppen baseret på felter i klientcertifikatet. Certifikaterne og certifikatmyndighederne skal være gyldige (f.eks. ikke udløbet). Udsendelse af certifikatkæden af serveren er ikke understøttet, og du bør deaktivere funktionen. ! 9 Teknisk håndbog om iOS-anvendelse IPSec-indstillinger Brug følgende IPSec-indstillinger: • Funktion. Tunnel-tilstand • IKE Exchange-tilstande. Aggressiv tilstand for godkendelse med fælles nøgle og hybrid godkendelse eller primær tilstand for certifikatgodkendelse. • Krypteringsalgoritmer. 3DES, AES-128, AES-256. • Godkendelsesalgoritmer. HMAC-MD5, HMAC-SHA1. • Diffie-Hellman-grupper. Der kræves Gruppe 2 for godkendelse med fælles nøgle og hybrid godkendelse. For certifikatgodkendelse skal du bruge Gruppe 2 med 3DES og AES-128. Brug Gruppe 2 eller 5 med AES-256. • PFS (Perfect Forward Secrecy). For IKE fase 2, hvis der bruges PFS, skal DiffieHellman-gruppen være den samme som for IKE fase 1. • Konfiguration af tilstand. Skal være aktiveret. • Dead Peer Detection. Anbefales. • Standard NAT Transversal. Understøttes og kan aktiveres (IPSec via TCP er ikke understøttet). • Afbalancering af belastning. Understøttes og kan aktiveres. • Gendannelse af nøgle til fase 1. Ikke understøttet i øjeblikket. Det anbefales at indstille tiden for gendannelse af nøgle til én time. • ASA-adressemaske. Sørg for, at alle adressegruppemasker for enheden enten ikke er indstillet, eller at de er indstillet til 255.255.255.255. For eksempel: asa(configwebvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255. Hvis du bruger den anbefalede adressemaske, ignoreres der muligvis nogle ruter, som antages af VPN-konfigurationen. For at undgå dette skal du sørge for, at din routingtabel indeholder alle nødvendige ruter og bekræfte, at undernetadresserne er tilgængelige inden anvendelse. Andre understøttede funktioner • Appversion. Klientens softwareversion sendes til serveren, hvorved serveren kan acceptere eller afvise forbindelser, baseret på enhedens softwareversion. • Banner. Banneret (hvis det er konfigureret på serveren) vises på enheden, og brugeren skal acceptere det eller afbryde forbindelsen. • Split Tunnel. Split tunneling er understøttet. • Split DNS. Split DNS er understøttet. • Standarddomæne.Standarddomæne er understøttet. VPN On Demand VPN On Demand gør det muligt for iOS automatisk at oprette en sikker forbindelse, uden at brugeren skal gøre noget. VPN-forbindelsen startes efter behov, baseret på regler som er defineret i en konfigurationsbeskrivelse. I iOS 7 konfigureres VPN On Demand ved hjælp af nøglen OnDemandRules i VPNdataene i en konfigurationsbeskrivelse. Reglerne anvendes i to trin: • Ved registrering af netværk. Definerer VPN-krav som anvendes, når enhedens primære netværksforbindelse ændres. • Ved evaluering af forbindelsen. Definerer VPN-krav for anmodninger om forbindelse til domænenavne efter behov. ! 10 Teknisk håndbog om iOS-anvendelse For eksempel kan reglerne bruges til: • At genkende, når en iOS-enhed forbindes til et internt netværk, og VPN ikke er nødvendigt. • At genkende, når der bruges et ukendt Wi-Fi-netværk, og der kræves VPN for alle netværksaktiviteter. • At kræve VPN, når en DNS-anmodning for et specificeret domænenavn mislykkes. Ved registrering af netværk Reglerne for VPN On Demand evalueres, når enhedens primære netværksgrænseflade ændres, som f.eks. når en iOS-enhed skifter til et andet Wi-Fi-netværk eller skifter fra Wi-Fi til mobilnetværk. Hvis den primære grænseflade er en virtuel grænseflade, som f.eks. en VPN-grænseflade, ignoreres reglerne for VPN On Demand. Reglerne i hvert sæt (ordbog) skal alle opfyldes, for at deres associerede handling udføres. Hvis én af reglerne ikke opfyldes, går evalueringen videre til den næste ordbog i rækken, indtil rækken af OnDemandRules er opbrugt. Den sidste ordbog bør definere en “standardkonfiguration”, dvs. den bør ikke indeholde regler, men kun en handling. Dette opfanger alle forbindelser, som ikke opfyldte de forudgående regler. Ved evaluering af forbindelsen VPN kan udløses efter behov, baseret på anmodninger om forbindelse til bestemte domæner i stedet for ensidigt at afbryde eller forbinde VPN baseret på netværksgrænsefladen. Opfyldelsesregler for On Demand Angiv én eller flere af disse opfyldelsesregler: • InterfaceTypeMatch (opfyldelse af grænseflade). Valgfri. En strengværdi for Wi-Fi eller mobilnetværk. Hvis det er specificeret, anvendes denne regel, når hardwaren for den primære grænseflade er lig med den angivne type. • SSIDMatch (opfyldelse af SSID). Valgfri. En række af SSID'er til at sammenligne med det aktuelle netværk. Hvis netværket ikke er et Wi-Fi-netværk, eller hvis dens SSID ikke vises i listen, mislykkes sammenligningen. Udelad denne nøgle og dens række for at ignorere SSID. • DNSDomainMatch (opfyldelse af DNS-domæne). Valgfri. En række af søgedomæner som strenge. Hvis det konfigurerede DNS-søgedomæne for det aktuelle primære netværk er indeholdt i rækken, opfyldes denne egenskab. Brug af jokertegn (*) er understøttet; f.eks. vil *.eksempel.com passe med hvadsomhelst.eksempel.com. • DNSServerAddressMatch (opfyldelse af DNS-serveradresse). Valgfri. En række af DNS-serveradresser som strenge. Hvis alle de konfigurerede DNS-serveradresser for den primære grænseflade er indeholdt i rækken, opfyldes denne egenskab. Jokertegn (*) er understøttet; f.eks. ville 1.2.3.* passe med alle DNS-servere med præfikset 1.2.3.. • URLStringProbe (URL-test).Valgfri. En server til test af muligheden for oprettelse af forbindelse. Omdirigering er ikke understøttet. URL-adressen bør være til en godkendt HTTPS-server. Enheden sender en GET-anmodning for at bekræfte, at der kan oprettes forbindelse til serveren. ! 11 Teknisk håndbog om iOS-anvendelse Action (Handling) Denne nøgle definerer VPN-handlingen, når alle de angivne regler evalueres som sande. Denne nøgle er påkrævet. Værdierne for Action-nøglen er: • Connect (Tilslut). Initierer VPN-forbindelsen uden betingelser ved næste forsøg på oprettelse af netværksforbindelse. • Disconnect (Afbryd). Afbryd VPN-forbindelsen, og opret ingen nye forbindelser på anmodning. • Ignore (Ignorer). Bibehold eksisterende VPN-forbindelser, men opret ingen nye forbindelser på anmodning. • Allow (Tillad). For iOS-enheder med iOS 6 eller tidligere. Se “Bemærkninger vedrørende bagudkompatibilitet” senere i dette afsnit. • EvaluateConnection (Evaluer forbindelse). Evaluer ActionParameters for hvert forsøg på at oprette forbindelse. Når dette bruges, kræves de vigtigste ActionParameters, som beskrevet nedenfor, til at specificere evalueringsreglerne. ActionParameters En række af ordbøger med de nøgler, der er beskrevet nedenfor, evalueret i den rækkefølge, de opstår i. Krævet, når Action er sat til EvaluateConnection. • Domains (Domæner). Kræves. En række strenge, der definerer domænerne, som denne evaluering gælder for. Præfikser med jokertegn er understøttet, f.eks. *.eksempel.com. • DomainAction (Domænehandling). Kræves. Definerer VPN-handling for domænerne. Værdier for DomainAction-nøglen er: – ConnectIfNeeded (Forbind hvis krævet). Henter VPN, hvis DNS-løsningen for de angivne domæner mislykkes, som f.eks. når DNS-serveren indikerer, at den ikke kan løse domænenavnet, hvis DNS-svaret omdirigeres, eller hvis forbindelsen mislykkes eller udløber. – NeverConnect (Forbind aldrig). Udløs ikke VPN for de angivne domæner. Når DomainAction er ConnectIfNeeded, kan du også specificere følgende nøgler i ordbogen for evaluering af forbindelse: • RequiredDNSServers (Krævede DNS-servere). Valgfri. En række IP-adresser for DNS-servere, som bruges til at løse de angivne domæner. Disse servere behøver ikke at være indeholdt i enhedens aktuelle netværkskonfiguration. Hvis der ikke kan oprettes forbindelse til disse DNS-servere, udløses VPN. Konfigurer en intern DNS-server eller en godkendt ekstern DNS-server. • RequiredURLStringProbe (Krævet test af URL-streng). Valgfri. En HTTP- eller HTTPS-URL (foretrukket) til test, som bruger en GET-anmodning. Hvis DNSløsningen for denne server lykkes, skal testen også lykkes. Hvis testen mislykkes, udløses VPN. Bemærkninger vedrørende bagudkompatibilitet Før iOS 7 blev reglerne for udløsning af domæner konfigureret via rækker af domæner kaldet OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry og OnDemandMatchDomainNever. Tilfældene OnRetry og Never er stadig understøttet i iOS 7, men bruges ikke mere. I stedet bruges handlingen EvaluateConnection. For at oprette en profil, som er gyldig både i iOS 7 og tidligere versioner, skal du bruge de nye EvaluateConnection-nøgler udover OnDemandMatchDomainrækkerne. Tidligere versioner af iOS, som ikke genkender EvaluateConnection, vil bruge de gamle rækker, hvorimod iOS 7 og senere versioner vil bruge EvaluateConnection. ! 12 Teknisk håndbog om iOS-anvendelse Ældre konfigurationsbeskrivelser, som specificerer handlingen Allow, vil fungere i iOS 7 med undtagelse af OnDemandMatchDomainsAlways-domæner. VPN for hver app iOS 7 indeholder muligheden for at oprette VPN-forbindelser på basis af de enkelte apps. Denne tilgang muliggør fuld kontrol over, hvilke data der går igennem VPN, og hvilke der ikke gør. Med VPN for hele enheden går alle data igennem det private netværk uanset deres oprindelse. Da der mere og mere bruges personlige enheder inden for organisationerne, giver VPN for hver app sikker netværksforbindelse for interne apps, samtidig med at de personlige aktiviteter på enheden forbliver fortrolige. VPN for hver app gør det muligt for hver app, som administreres med MDM (administration af mobile enheder) at kommunikere med det private netværk via en sikker tunnel, som forhindrer, at andre ikke-administrerede apps på enheden bruger det private netværk. Desuden kan de administrerede apps konfigureres med forskellige VPN-forbindelser for yderligere beskyttelse af dataene. For eksempel kan en salgskvote-app bruge et helt andet datacenter end en kreditor-app, mens brugerens personlige webtrafik bruger det offentlige internet. Denne mulighed for at adskille trafikken på baggrund af de apps, der bruges, giver grundlaget for adskillelse af private oplysninger og data, som tilhører organisationen. For at kunne bruge VPN for hver app skal appen være administreret via MDM og bruge standard-API'er til iOS-netværk. VPN for hver app konfigureres med en MDMkonfiguration, som specificerer hvilke apps og Safari-domæner kan bruge indstillingerne. For yderligere oplysninger om MDM henvises der til Kapitel 3: Konfiguration og administration. Samlet log ind Med iOS 7 kan appsene udnytte din eksisterende interne infrastruktur til samlet log ind via Kerberos. Samlet log ind kan forbedre brugeroplevelsen ved kun at bede brugeren om at indtaste sin adgangskode én gang. Funktionen øger også sikkerheden ved daglig brug ved at sikre, at adgangskoderne aldrig overføres trådløst. Kerberos-godkendelsessystemet, som bruges i iOS 7, er en industristandard og den mest anvendte teknologi til samlet log ind i verden. Hvis du har Active Directory, eDirectory eller OpenDirectory, har det sikkert allerede et Kerberos-system, som iOS 7 kan anvende. iOS-enhederne skal kunne kontakte Kerberos-tjenesten via en netværksforbindelse for at godkende brugerne. Understøttede apps iOS giver fleksibel understøttelse af samlet log ind med Kerberos til enhver app, som bruger klassen NSURLConnection eller NSURLSession til at administrere netværksforbindelser og godkendelse. Apple forsyner alle udviklere med disse avancerede frameworks for at integrere netværksforbindelserne problemfrit med deres apps. Apple leverer også Safari som et eksempel til at hjælpe dig med at komme i gang ved direkte at bruge websites med samlet log ind. Konfiguration af samlet log ind Konfiguration af samlet log ind udføres ved hjælp af konfigurationsbeskrivelser, som enten kan installeres manuelt eller administreres med MDM. Kontodataene til samlet log ind muliggør fleksibel konfiguration. Samlet log ind kan være åbent for alle apps eller begrænset af enten en appidentifikator, tjeneste-URL eller begge. Ved sammenligning af URL-adresser bruges der en enkel sammenligning af mønsteret, og URL-adresser skal begynde med enten http:// eller https://. Sammenligningen gælder hele URL-adressen, så sørg for, at de er helt ens. 13 Teknisk håndbog om iOS-anvendelse For eksempel vil en URLPrefixMatches-værdi påhttps://www.example.com/ ikke svare til https://www.example.com:443/. Du kan specificere http:// eller https:// for at begrænse brugen af samlet log ind til enten sikre eller almindelige HTTPtjenester. Hvis du f.eks. bruger en URLPrefixMatches-værdi på https://, kan kontoen til samlet log ind kun bruges med sikre HTTPS-tjenester. Hvis et sammenligningsmønster for URL-adresser ikke ender med en skråstreg (/), tilføjes der en skråstreg (/) til det. Rækken AppIdentifierMatches skal indeholde strenge, som svarer til appsenes pakke-id. Disse strenge kan være eksakte matches (f.eks. com.mycompany.myapp) eller de kan specificere et præfiks-match for pakke-id'et ved at bruge jokertegnet (*). Jokertegnet skal være efter et punktum (.) og kan kun stå til sidst i strengen (f.eks. com.mycompany.*). Når der indtastes et jokertegn, kan alle apps, hvor pakkeid'et begynder med præfikset, få adgang til kontoen. Digitale certifikater Digitale certifikater er en form for identifikation, som sikrer effektiv godkendelse, dataintegritet og kryptering. Et digitalt certifikat består af en offentlig nøgle, oplysninger om brugeren og den certifikatmyndighed, der udstedte certifikatet. iOS understøtter digitale certifikater, så organisationer får sikker og strømlinet adgang til virksomhedstjenester. Certifikater kan bruges på flere måder. Signering af data med et digitalt certifikat er med til at sikre, at oplysningerne ikke kan ændres. Certifikater kan også bruge til at garantere identiteten på forfatteren eller “signaturen”. Desuden kan de bruges til at kryptere konfigurationsbeskrivelser og netværkskommunikation, så fortrolige og private oplysninger beskyttes endnu mere. For eksempel kan Safari kontrollere gyldigheden af et X.509 digitalt certifikat og konfigurere en sikker session med op til 256-bit AES-kryptering. Dette verificerer, at sidens identitet er legitim, og at kommunikationen med websitet er beskyttet for at hjælpe med at forhindre, at personlige eller fortrolige data opsnappes. Understøttede certifikat- og identitetsformater: • iOS understøtter X.509-certifikater med RSA-nøgler. • Filendelserne .cer, .crt, .der, .p12 og .pfx genkendes. Brug af certifikater i iOS Rodcertifikater iOS indeholder et antal forudinstallerede rodcertifikater direkte fra æsken. For yderligere oplysninger henvises der til listen i denne supportartikel fra Apple. iOS kan opdatere certifikater trådløst, hvis nogle af de forudinstallerede rodcertifikater bliver kompromitteret. For at deaktivere dette findes der en begrænsning, som forhindrer trådløs opdatering af certifikater. Hvis du bruger et rodcertifikat, som ikke er forudinstalleret, som f.eks. et selvunderskrevet rodcertifikat, der er oprettet af din organisation, kan du distribuere det med en af nedenstående metoder. Distribution og installation af certifikater Det er let at distribuere certifikater til iOS-enheder. Når brugerne modtager et certifikat, skal de bare trykke for at se dets indhold og derefter trykke for at føje certifikatet til deres enhed. Når et identitetscertifikat installeres, bliver brugere bedt om at skrive den adgangskode, der beskytter det. Hvis et certifikats autenticitet ikke kan verificeres, vises det som ikke-godkendt, og brugerne kan bestemme, om det stadig skal tilføjes til deres enhed. Installering af certifikater via en konfigurationsbeskrivelse Hvis konfigurationsbeskrivelserne bruges til at distribuere indstillinger for virksomhedstjenester, som f.eks. Exchange, VPN eller Wi-Fi, kan der tilføjes 14 Teknisk håndbog om iOS-anvendelse certifikater til beskrivelsen for at gøre installationen nemmere. Dette omfatter også muligheden for at distribuere certifikater via MDM. Installering af certifikater via Mail eller Safari Hvis et certifikat sendes i en mail, vises den som bilag. Du kan også bruge Safari til at hente certifikater fra et website. Du kan hoste et certifikat på et sikret website og give URL-adressen til brugerne, så de kan hente certifikatet til deres enheder. Fjernelse og tilbagekaldelse af et certifikat For manuelt at fjerne et certifikat, som er installeret, skal du vælge Indstillinger > Generelt > Profiler og vælge det certifikat, som skal fjernes. Hvis en bruger fjerner et certifikat, som kræves for at få adgang til en konto eller et netværk, kan enheden ikke længere forbinde til disse tjenester. En MDM-server kan vise alle certifikater på en enhed og fjerne alle certifikater, som den har installeret. Desuden er protokollerne OCSP (Online Certificate Status Protocol) og CRL (Certificate Revocation List) understøttet for at kontrollere status for certifikater. Når der bruges et OCSP- eller CRL-aktiveret certifikat, validerer iOS certifikatet med jævne mellemrum for at sikre, at det ikke er blevet tilbagekaldt. Bonjour Bonjour er Apples standardbaserede netværksprotokol uden behov for konfiguration, som gør det muligt for enhederne at finde tjenester på et netværk. iOS-enheder bruger Bonjour til at finde AirPrint-kompatible printere og AirPlay-kompatible enheder, som f.eks. Apple TV. Nogle peer-to-peer apps kræver også Bonjour. Du skal sørge for, at din netværksinfrastruktur og Bonjour er korrekt konfigureret til at fungere med hinanden. iOS 7.1-enheder kan også søge efter AirPlay-kilder via Bluetooth. Når der er fundet et kompatibelt Apple TV, overføres AirPlay-dataene over Wi-Fi-netværket. Der kræves Apple TV 6.1 eller nyere for at aktivere søgning via Bluetooth, og iOSenheden og Apple TV skal være forbundet til det samme undernet for at afspille eller vise indhold. For yderligere oplysninger om Bonjour henvises der til denne Apple-webside. 15 Teknisk håndbog om iOS-anvendelse Kapitel 2: Sikkerhed ! iOS er opbygget med sikkerhedsfunktioner med mange lag. Dette gør det muligt for iOS-enheder at få sikker adgang til virksomhedstjenester og beskytter vigtige data. iOS sørger for en effektiv kryptering ved dataoverførsel, gennemprøvede godkendelsesmetoder ved adgang til virksomhedens tjenester og hardware- kryptering af alle data på enheden. iOS beskytter også data ved hjælp af regler for adgangskoder, som kan leveres og håndhæves trådløst. Og hvis enheden skulle falde i de forkerte hænder, kan brugere og IT-administratorer iværksætte en ekstern sletning for at fjerne alle private oplysninger. Når du overvejer sikkerheden af iOS til virksomhedsbrug, kan det være en hjælp at forstå følgende: • Kontrol af enheder. Metoder, der forhindrer uautoriseret brug af enheden • Kryptering og databeskyttelse. Beskyttelse af alle data, selv hvis enheden bliver væk eller stjålet • Netværkssikkerhed. Netværksprotokoller og kryptering af data under overførsel • Appsikkerhed. Gøre det muligt for apps at køre sikkert og uden at kompromittere platformsintegriteten • Internettjenester. Apples netværksbaserede infrastruktur til meddelelser, synkronisering og sikkerhedskopiering Disse muligheder giver tilsammen en sikker mobilplatform. Følgende politikker for adgangskoder understøttes: • Kræver adgangskode på enheden • Kræver alfanumerisk værdi • Minimumslængde på adgangskode • Minimumskrav for antal af komplekse tegn • Maksimumsalder på adgangskode • Tid før automatisk låsning • Adgangskodehistorie • Ekstra frist efter låsning af enhed • Maksimalt antal forsøg med forkert adgangskode Enhedssikkerhed Etablering af stærke strategier til adgang til iOS-enheder er yderst vigtigt til beskyttelse af virksomhedsoplysninger. Adgangskoder til enhederne er frontlinjen i forsvaret imod uautoriseret adgang og kan konfigureres og aktiveres trådløst. iOS-enheder bruger den unikke adgangskode, som oprettes af hver bruger for at generere en stærk krypteringsnøgle til yderligere at beskytte mail og fortrolige appdata på enheden. Desuden giver iOS sikre metoder til konfiguration af enheden i IT-omgivelser, hvor der kræves specifikke indstillinger, politikker og begrænsninger. Disse metoder giver fleksible muligheder for etablering af beskyttelse på et standardniveau for autoriserede brugere. Politikker for adgangskoder En adgangskode for enheden forhindrer, at uautoriserede brugere får adgang til data eller på anden måde får adgang til enheden. iOS lader dig vælge imellem et bredt udvalg af politikker for adgangskoder, der opfylder alle dine sikkerhedsbehov, herunder timeout-perioder, måling af adgangskoders styrke og regler for, hvor tit adgangskoden skal ændres. ! 16 Teknisk håndbog om iOS-anvendelse Håndhævelse af politikker Politikkerne kan distribueres som en del af en konfigurationsbeskrivelse, som brugerne skal installere. Der kan defineres en beskrivelse, så den kun kan slettes med en administrativ adgangskode, eller du kan definere beskrivelsen, så den er låst på enheden og ikke kan fjernes uden at slette alt indhold på enheden. Desuden kan adgangskodeindstillingerne konfigureres eksternt med MDMløsninger, som kan skubbe politikker direkte til enheden. Dette gør det muligt at anvende og opdatere politikker, uden at brugeren skal gøre noget. Hvis enheden er konfigureret til at bruge en Microsoft Exchange-konto, overføres Exchange ActiveSync-politikkerne trådløst til enheden. Det tilgængelige sæt af politikker varierer afhængigt af versionen af Exchange ActiveSync og Exchange Server. Hvis der både findes Exchange- og MDM-politikker, anvendes den strengeste politik. Sikker konfiguration af enheden Konfigurationsbeskrivelser er XML-filer, der indeholder sikkerhedspolitikker og begrænsninger for enheden, oplysninger om VPN-konfiguration, Wi-Fi-indstillinger, mail- og kalenderkonti samt godkendelsessystemer, der gør det muligt for iOSenhederne at fungere i dine IT-systemer. Muligheden for at etablere adgangskode- politikker sammen med enhedsindstillinger i en konfigurationsbeskrivelse sikrer, at enhederne inden for din organisation konfigureres korrekt og i henhold til sikkerhedsstandarderne, som angives af din IT-afdeling. Og da konfigurations- beskrivelserne kan krypteres og låses, kan indstillingerne ikke fjernes, ændres eller deles med andre. Konfigurationsbeskrivelserne kan både signeres og krypteres. Signering af en konfigurationsbeskrivelse sikrer, at dens indstillinger ikke kan ændres på nogen måde. Kryptering af en konfigurationsbeskrivelse beskytter beskrivelsens indhold og tillader kun, at den installeres på den enhed, den er oprettet til. Konfigurations- beskrivelserne krypteres ved hjælp af CMS (Cryptographic Message Syntax, RFC 3852), som understøtter 3DES og AES 128. Den første gang, du distribuerer en krypteret konfigurationsbeskrivelse, kan du installere den via USB med Apple Configurator eller trådløst ved at bruge protokollen til trådløs profillevering og konfiguration eller MDM. Konfigurations- beskrivelser, der krypteres efterfølgende, kan leveres som bilag i mail, hostes på et website, som er tilgængeligt for dine brugere, eller skubbes til enheden ved hjælp af MDM-løsninger. For yderligere oplysninger henvises der til Over-the-Air Profile Delivery and Configuration protocol på websitet iOS Developer Library. Enhedsbegrænsninger Enhedsbegrænsninger afgør, hvilke funktioner brugerne har adgang til på enheden. Dette drejer sig typisk om netværksbaserede apps, som f.eks. Safari, YouTube eller iTunes Store, men begrænsningerne kan også kontrollere enhedens funktioner, som f.eks. installation af en app eller brugen af kameraet. Med begrænsninger kan du konfigurere enheden til at opfylde dine krav, mens brugerne kan bruge enheden i overensstemmelse med din organisations politikker. Begrænsningerne kan konfigureres manuelt på hver enhed, aktiveres ved hjælp af en konfigurations- beskrivelse eller etableres eksternt med en MDM-løsning. Desuden kan begrænsninger for kameraet eller for tilgang til internettet aktiveres trådløst via Microsoft Exchange Server 2007 og 2010 på samme måde som med adgangs- kodepolitikker. Begrænsninger kan også bruges til at forhindre, at mails flyttes til andre konti, eller at meddelelser, som modtages på én konto, videresendes til en anden konto. Se Bilag B for yderligere oplysninger om understøttede begrænsninger. 17 Teknisk håndbog om iOS-anvendelse Kryptering og databeskyttelse Det er vigtigt for enhver virksomhed med fortrolige oplysninger at beskytte data, der er lagret på iOS-enhederne. Udover at kryptere data under overførslen leverer iOS også hardwarekryptering til alle data, der er lagret på enheden, samt yderligere kryptering af mails og appdata med forbedret databeskyttelse. Kryptering iOS-enheder bruger hardwarebaseret kryptering. Hardwarekryptering bruger 256bit AES til at beskytte alle data på enheden. Kryptering er altid slået til og kan ikke slås fra. Desuden kan data, der er sikkerhedskopieret i iTunes på en brugers computer, også krypteres. Funktionen kan slås til af brugeren eller påtvinges vha. indstillinger til enhedsbegrænsning i konfigurationsbeskrivelser. iOS understøtter også S/MIME i mails, så brugerne kan læse og sende krypterede mails. De kryptografiske moduler i iOS 7 og iOS 6 er valideret til at overholde den amerikanske standard U.S. Federal Information Processing Standard (FIPS) 140-2 Level 1. Dette validerer integriteten af kryptografiske handlinger i apps fra Apple og tredjeparter, som bruger de kryptografiske tjenester i iOS korrekt. For yderligere oplysninger henvises der til iOS-produktsikkerhed: Godkendelser og retningslinjer og iOS 7: Apple FIPS iOS Cryptographic Modules v4.0. Databeskyttelse Mail og bilag, som er lagret på enheden, kan sikres yderligere ved hjælp af data- beskyttelsesfunktioner, som er indbygget i iOS. Databeskyttelse udnytter hver enkelt brugers unikke adgangskode til enheden sammen med hardware- krypteringen på iOS-enheder til at generere en effektiv krypteringsnøgle. Dette forhindrer adgang til data, når enheden er låst, så dataene er sikre, selvom enheden bliver kompromitteret. For at aktivere databeskyttelsesfunktionen skal du blot indstille en adgangskode på enheden. Effektiviteten af databeskyttelsen afhænger af en stærk adgangskode, så det er vigtigt at kræve og gennemtvinge en adgangskode med flere end fire cifre, når du fastsætter dine adgangskodepolitikker. Brugerne kan verificere, at databeskyttelse er aktiveret på deres enhed ved at se på skærmen for indstilling af adgangskode. MDM-løsninger kan også anmode enheden om disse oplysninger. Der er også databeskyttelses-API'er tilgængelige for udviklere, som kan bruges til at sikre data i apps fra App Store eller interne virksomhedsapps. Fra og med iOS 7 er data, som gemmes af apps, som standard i sikkerhedsklassen “Beskyttet indtil første brugergodkendelse”, hvilket svarer til fuld diskkryptering på skrivebords- computere og beskytter data mod angreb, som involverer en genstart. Bemærk: Hvis en enhed er opgraderet fra iOS 6, konverteres de eksisterende data ikke til den nye klasse. Ved at fjerne og derefter geninstallere appen opnås den nye beskyttelsesklasse. Touch ID Touch ID er sensorsystemet med fingeraftryk, som er indbygget i iPhone 5s, hvormed der hurtigt og nemt fås sikker adgang til enheden. Denne fremsynede teknologi aflæser fingeraftryk fra enhver vinkel og lærer mere om en brugers fingeraftryk med tiden, da sensoren fortsætter med at kortlægge fingeraftrykket, i takt med at der identificeres overlappende noder for hvert brugstilfælde. Touch ID gør det mere praktisk at bruge en længere og mere kompleks adgangs- kode, fordi brugeren ikke skal indtaste den så tit. Med Touch ID slipper du også for besværet med en adgangskodebaseret lås, ikke ved at erstatte den med noget andet, men snarere ved at give sikker adgang til enheden inden for gennemtænkte grænser og tidsbegrænsninger. ! 18 Teknisk håndbog om iOS-anvendelse Når Touch ID er aktiveret, låses iPhone 5s øjeblikkeligt, når der trykkes på knappen Vågeblus til/fra. Med en adgangskode som eneste sikkerhedsfunktion indstiller mange brugere en vis periode, inden enheden låses for at undgå at skulle indtaste en adgangskode, hver gang de bruger enheden. Med Touch ID låses iPhone 5s, hver gang den går i dvale, og kræver et fingeraftryk – eller en adgangskode – ved hver aktivering. Touch ID arbejder sammen med den sikre enklave – en hjælpeprocessor i Apple A7-processoren. Den sikre enklave har sin egen beskyttede, krypterede hukommelse og kommunikerer sikkert med Touch ID-sensoren. Når iPhone 5s låses, er nøglerne til databeskyttelsen i klassen Komplet beskyttet med en nøgle, som opbevares i den krypterede hukommelse for den sikre enklave. Nøglen opbevares i maksimalt 48 timer og afvises, hvis iPhone 5s genstartes, eller der bruges et ukendt fingeraftryk mere end fem gange. Hvis et fingeraftryk genkendes, afgiver den sikre enklave nøglen til at frigive databeskyttelsesnøglerne, hvorefter enheden låses op. Ekstern sletning iOS understøtter ekstern sletning. Hvis en enhed er blevet væk eller er blevet stjålet, kan administratoren eller enhedens ejer sende en kommando om ekstern sletning, som fjerner alle data og gør enheden passiv. Hvis enheden er konfigureret med en Exchange-konto, kan administratoren sende en kommando om ekstern sletning vha. Exchange Management Console (Exchange Server 2007) eller Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 eller 2007). Brugere af Exchange Server 2007 kan også iværksætte kommandoer til ekstern sletning direkte med Outlook Web Access. Kommandoer til ekstern sletning kan også iværksættes med MDM-løsninger eller med funktionen Find min iPhone i iCloud, også hvis Exchange-tjenesterne for virksomheden ikke er i brug. Lokal sletning Enhederne kan også konfigureres til automatisk at iværksætte en lokal sletning efter flere mislykkedes forsøg med en forkert adgangskode. Dette beskytter imod uvedkommendes forsøg på at få adgang til enheden. Når der indstilles en adgangskode, har brugerne mulighed for at aktivere lokal sletning direkte fra indstillingerne. Som standard sletter iOS automatisk enheden efter 10 mislykkede forsøg på at indtaste adgangskoden. Som med andre adgangskodepolitikker kan det maksimale antal af mislykkede forsøg indstilles via en konfigurationsbeskrivelse, som indstilles med en MDM-server, eller trådløst via Microsoft Exchange ActiveSyncpolitikker. Aktiveringslås og Find min iPhone Hvis en enhed mistes eller bliver stjålet, er det vigtigt at gøre enheden passiv og slette indholdet på den. Når Find min iPhone er aktiveret, kan enheden med iOS 7 ikke aktiveres igen, før ejerens iCloud-oplysninger indtastes. Det er en god idé enten at overvåge virksomhedens enheder eller have en politik, der giver brugerne mulighed for at deaktivere funktionen, så Find min iPhone ikke forhindrer virksomheden i at tildele enheden til en anden bruger. I iOS 7.1 og nyere versioner kan du bruge en kompatibel MDM-løsning til at slå aktiveringslåsen til, når en bruger slår Find min iPhone til. Med MDM-løsningen kan der opbevares en tilsidesættelseskode, når aktiveringslåsen er slået til, og denne kode kan bruges til at rydde aktiveringslåsen automatisk, hvis der opstår behov for at slette dataene for at give enheden videre til en ny bruger. Se dokumentationen til MDM-løsningen for at få flere oplysninger. For yderligere oplysninger om Find min iPhone og Aktiveringslås henvises der til iCloud-support og Mobile Device Management og aktiveringslås til Find min iPhone. 19 Teknisk håndbog om iOS-anvendelse Netværkssikkerhed • Indbygget Cisco IPSec, L2TP, PPTP VPN • SSL VPN via App Store apps • SSL/TLS med X.509-certifikater • WPA/WPA2 Enterprise med 802.1X • Certifikatbaseret godkendelse • RSA SecurID og CRYPTOCard VPN-protokoller • Cisco IPSec • L2TP/IPSec • PPTP • SSL VPN Godkendelsesmetoder • Adgangskode (MSCHAPv2) • RSA SecurID • CRYPTOCard • X.509 digitale certifikater • Nøgle (shared secret) 802.1X godkendelsesprotokoller • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP Understøttede certifikatformater iOS understøtter X.509-certifikater med RSA-nøgler. Filendelserne .cer, .crt og .der genkendes. Netværkssikkerhed Mobiltelefonbrugere skal være i stand til at få adgang til virksomhedens netværk overalt i verden, men det er også vigtigt at sikre, at brugerne er autoriserede, og at deres data er beskyttet under overførslen. iOS indeholder gennemprøvede teknologier, der udfører disse sikkerhedsopgaver på både Wi-Fi- og mobildata- netværk. Udover din eksisterende infrastruktur er hver FaceTime-session og iMessagesamtale krypteret fra start til slut. iOS opretter et entydigt ID til hver bruger og sikrer, at kommunikationen krypteres, sendes og forbindes korrekt. VPN Mange virksomheder bruger en eller anden form for virtuelt privat netværk (VPN). Disse sikre netværkstjenester anvendes allerede og kræver som regel minimal indstilling og konfiguration, før de kan arbejde med iOS. iOS integrerer med et bredt udvalg af almindeligt brugte VPN-teknologier direkte fra æsken. Se “Virtuelle private netværk” i kapitel 1 for yderligere oplysninger. SSL/TLS iOS understøtter SSL v3 såvel som Transport Layer Security (TLS v1.0, 1.1 og 1.2). Safari, Kalender, Mail og andre internetapps starter automatisk disse mekanismer for at åbne en krypteret kommunikationskanal mellem iOS og virksomhedstjenester. WPA/WPA2 iOS understøtter WPA2 Enterprise, som giver godkendt adgang til din virksomheds trådløse netværk. WPA2 Enterprise bruger 128 bit AES-kryptering, som giver brugerne størst mulig sikkerhed for, at deres data er beskyttet, når de sender og modtager data via en Wi-Fi-forbindelse. Og med understøttelse af 802.1X kan iPhone og iPad integreres i et bredt udsnit af RADIUS-godkendelsesmiljøer. Appsikkerhed iOS er designet med sikkerhed for øje. Det indeholder en “sandboxed” tilgang til beskyttelse ved afvikling og signering af apps for at sikre, at der ikke kan foretages ændringer i appsene. iOS har også et framework, som muliggør sikker opbevaring af oplysninger om apps og netværkstjenester på et krypteret sted, som kaldes nøgleringen. For udviklere byder den på en fælles krypteringsarkitektur, som kan bruges til at kryptere appdata. Beskyttelse ved afvikling Apps på enheden er “sandboxed”, så de ikke kan få adgang til data, der er lagret af andre apps. Derudover er systemfiler, systemressourcer og kernen beskyttet mod brugerens appområde. Hvis en app har brug for adgang til data fra en anden app, kan den kun få det ved at bruge de API'er og tjenester, der stilles til rådighed af iOS. Generation af koder er heller ikke muligt. Obligatorisk kodesignering Alle apps i iOS skal signeres. Appsene, som leveres med enheden, er signeret af Apple. Tredjepartsapps er signeret af udvikleren med et certifikat udstedt af Apple. Dette sikrer, at en app ikke er blevet ændret eller fiflet med. Desuden udføres der kontrol af afviklingen for at sikre, at en app ikke har mistet godkendelsen, siden sidste gang den blev brugt. ! 20 Teknisk håndbog om iOS-anvendelse Brugen af internt udviklede virksomhedsapps kan kontrolleres med en program- beskrivelse. Brugerne skal have programbeskrivelsen installeret for at kunne bruge appen. Programbeskrivelserne kan installeres trådløst ved hjælp af MDM-løsninger. Administratorer kan også begrænse brugen af en app til specifikke enheder. Framework til sikker godkendelse iOS har en sikker, krypteret nøglering til opbevaring af digitale identiteter, brugernavne og adgangskoder. Data i nøgleringen partitioneres på en sådan måde, at der ikke er adgang til godkendelser, som opbevares af tredjepartsapps, fra apps med en anden identitet. Dette er mekanismen til at sikre godkendelsesoplysningerne på iOS-enhederne på tværs af en række apps og tjenester inden for virksomheden. Fælles krypteringsarkitektur Appudviklere har adgang til API'er til kryptering, som de kan bruge til at beskytte deres appdata yderligere. Dataene kan krypteres symmetrisk ved hjælp af afprøvede metoder, som f.eks. AES, RC4 eller 3DES. Derudover har iOS-enhederne hardwareacceleration for AES-kryptering og SHA1-hashing, der maksimerer appsenes ydeevne. Beskyttelse af appdata Appsene kan udnytte den indbyggede hardwarekryptering på iOS-enheder til yderligere beskyttelse af følsomme appdata. Udviklere kan markere specifikke filer til databeskyttelse ved at instruere systemet i at gøre indholdet af filen kryptografisk utilgængeligt for både appen og potentielle hackere, når enheden er låst. Apprettigheder Som standard har en iOS-app meget begrænsede privilegier. Udviklerne skal udtrykkeligt tilføje rettigheder til at bruge de fleste funktioner, som f.eks. iCloud, behandling i baggrunden eller delte nøgleringe. Dette sikrer, at appsene ikke kan give dem selv adgang til data efter installationen. Desuden skal iOS-apps bede om eksplicit brugertilladelse, inden de bruger mange iOS-funktioner, som f.eks. GPSlokalisering, brugerkontakter, kameraet eller gemte billeder. Internettjenester Apple har opbygget et robust sæt af tjenester til at hjælpe brugerne med få mere ud af og være mere produktive med deres enheder, herunder iMessage, FaceTime, Siri, iCloud, iCloud-sikkerhedskopiering og iCloud-nøglering. Disse internettjenester er opbygget med de samme sikkerhedsmål, som iOS anvender på tværs af hele platformen. Disse mål omfatter sikker behandling af data, hvad enten de findes på enheden eller overføres via trådløse netværk, beskyttelse af brugernes personlige oplysninger og mod ondsindet eller uautoriseret adgang til oplysninger og tjenester. Hver tjeneste bruger dens egen kraftfulde sikkerheds- arkitektur uden at gå på kompromis med den generelle brugervenlighed i iOS. iMessage iMessage1 er en beskedtjeneste til iOS-enheder og Mac-computere. iMessage understøtter tekst og bilag, som f.eks. billeder, kontakter og placeringer. Beskederne vises på alle brugerens registrerede enheder, så de kan fortsætte samtalerne på en hvilken som helst enhed. iMessage gør omfattende brug af Apples tjeneste til pushbeskeder. iMessage bruger kryptering fra start til slut, som bruger nøgler, der kun kendes af de afsendende og modtagende enheder. Apple kan ikke afkryptere beskederne, og de logføres ikke. ! 21 Teknisk håndbog om iOS-anvendelse FaceTime FaceTime2 er Apples video- og lydopkaldstjeneste. FaceTime-opkald bruger Apples tjeneste til push-beskeder til at etablere en indledende forbindelse og bruger derefter Internet Connectivity Establishment (ICE) og Session Initiation Protocol (SIP) til at skabe en krypteret stream. Siri Ved blot at tale naturligt kan brugere bede Siri3 om at sende beskeder, planlægge møder, ringe op og meget mere. Siri bruger talegenkendelse, tekst til tale, og en klientservermodel til at svare på en lang række anmodninger. Opgaverne, som Siri understøtter, er designet til at sikre, at der kun bruges en absolut minimal mængde personlige oplysninger, og at de er helt beskyttede. Siri-anmodninger og stemmeoptagelser identificeres ikke personligt, og i det omfang det er muligt, udføres Siri-funktionerne på enheden og ikke på serveren. iCloud iCloud4 opbevarer musik, billeder, apps, kalendere, dokumenter m.m. og sender automatisk oplysningerne til alle brugerens enheder. iCloud sikkerhedskopierer også oplysninger, inkl. enhedsindstillinger, app-data samt SMS'er og MMS'er dagligt via Wi-Fi. iCloud beskytter dine data ved at kryptere dem, når de sendes over internettet, lagre dem i et krypteret format og bruge sikre koder til godkendelse. Desuden kan iCloud-funktioner som fotostream, synkronisering af dokumenter og sikkerhedskopiering deaktiveres via en konfigurationsbeskrivelse. For yderligere oplysninger om sikkerhed og anonymitet i iCloud henvises der til iCloud: Sikkerhed og anonymitet i iCloud. iCloud-sikkerhedskopi iCloud sikkerhedskopierer også oplysninger, inkl. enhedsindstillinger, appdata, SMS'er og MMS'er dagligt via Wi-Fi. iCloud beskytter dine data ved at kryptere dem, når de sendes over internettet, lagre dem i et krypteret format og bruge sikre koder til godkendelse. iCloud sikkerhedskopierer kun, når enheden er låst, tilsluttet til en stikkontakt og har Wi-Fi-adgang til internettet. På grund af den kryptering, som bruges i iOS, er systemet designet til at sikre dataene samtidig med at muliggøre trinvis sikkerhedskopiering og gendannelse i baggrunden. iCloud-nøglering iCloud-nøglering gør det muligt for brugere sikkert at synkronisere deres adgangskoder imellem iOS-enheder og Mac-computere uden at vise oplysningerne til Apple. Udover stærk anonymitet og sikkerhed var brugervenligheden og muligheden for at gendanne en nøglering andre mål, som havde stærk indflydelse på designet og arkitekturen af iCloud-nøglering. iCloud-nøglering består af to tjenester: synkronisering og gendannelse af nøgleringen. Ved synkronisering af nøgleringen er det kun tilladt for enhederne at deltage efter en godkendelse af brugeren, og hvert emne i nøgleringen, som kan synkroniseres, udveksles med kryptering pr. enhed via iClouds opbevaring af nøgleværdier. Emnerne er kortvarige og opbevares ikke i iCloud, efter at de er synkroniseret. Gendannelse af nøgleringen giver brugerne mulighed for at opbevare deres nøglering hos Apple uden at give Apple mulighed for at læse adgangskoder og andre data, som den indeholder. Også i det tilfælde, at brugeren kun har én enhed, giver gendannelse af nøgleringen et sikkerhedsnet imod datatab. Dette er specielt vigtigt, når Safari bruges til at generere tilfældige, stærke adgangskoder for webkonti, da den eneste registrering af adgangskoderne findes i nøgleringen. En hjørnesten i gendannelse af nøgleringen er sekundær godkendelse og en sikker opbevaringstjeneste, der er skabt af Apple specielt til at understøtte denne funktion. Brugerens nøglering er krypteret med en stærk adgangskode, og opbevaringstjenesten afgiver kun en kopi af nøgleringen, hvis forskellige strenge betingelser imødekommes. For yderligere oplysninger om sikkerhed henvises der til Sikkerhedsvejledning til iOS. 22 Teknisk håndbog om iOS-anvendelse Kapitel 3: Konfiguration og administration Anvendelsen af iOS kan strømlines ved hjælp af flere forskellige administrations- teknikker, som forenkler konfiguration af konti, konfiguration af virksomhedspolitikker, distribution af apps og anvendelse af enhedsbegrænsninger. Brugerne kan derefter udføre det meste af konfigurationsarbejdet selv ved hjælp af den indbyggede indstillingsassistent i iOS. Og efter at iOS-enhederne er konfigureret og tilmeldt til MDM, kan de trådløst administreres af IT-afdelingen. Dette kapitel beskriver, hvordan du kan bruge konfigurationsbeskrivelser og MDM til at understøtte anvendelsen af iOS. Indstilling og aktivering af enheder iOS-brugere kan aktivere deres enhed, konfigurere grundlæggende indstillinger og begynde at arbejde med det samme med indstillingsassistenten i iOS. Udover de grundlæggende indstillinger kan brugerne indstille deres personlige præferencer, som f.eks. sprog, placering, Siri, iCloud og Find min iPhone. Indstillingsassistenten gør det også muligt for brugerne at oprette et personligt Apple-id, hvis de ikke allerede har et. Apple-id Et Apple-id er den identitet, som bruges til at logge ind på forskellige Appletjenester, f.eks. FaceTime, iMessage, iTunes, App Store, iCloud og iBooks Store. Med et Apple-id kan brugerne installere apps, bøger og indhold fra iTunes Store, App Store eller iBooks Store. Med et Apple-id kan brugerne også oprette en iCloudkonto, som de kan bruge til at få adgang til og dele indhold med flere forskellige enheder. For at få mest muligt ud af disse tjenester bør brugerne anvende deres eget Appleid. Hvis de ikke har et Apple-id, kan de oprette et, også inden de får udleveret en enhed, så konfigurationen kan foregå så hurtigt som muligt. Læs, hvordan man får et Apple-id på Mit Apple-id. Klargøring af enheder med Apple Configurator For enheder, som administreres centralt af IT-afdelingen, og som ikke er konfigureret af individuelle brugere, kan Apple Configurator bruges til hurtigt at aktivere enheder, definere og anvende konfigurationer, overvåge enheder, installere apps og opdatere enhederne til den seneste iOS-version. Apple Configurator er et gratis program til OS X, som du kan hente i Mac App Store. Enhederne skal forbindes til en Mac via USB for at udføre disse opgaver. Du kan også gendanne en sikkerhedskopi til enhederne, som anvender enhedsindstillingerne og layoutet af hjemmeskærmen, og installere appdata. ! 23 Teknisk håndbog om iOS-anvendelse Konfigurationsbeskrivelser Konfigurationsbeskrivelser er XML-filer, der indeholder sikkerhedspolitikker og begrænsninger for enheden, oplysninger om VPN-konfiguration, Wi-Fi-indstillinger, mail- og kalenderkonti samt godkendelsessystemer, der gør det muligt for iOSenhederne at fungere i dine IT-systemer. Konfigurationsbeskrivelserne indlæser hurtigt indstillinger og godkendelsesoplysninger på en enhed. Nogle VPN- og WiFi-indstillinger kan kun indstilles med en konfigurationsbeskrivelse, og hvis du ikke bruger Microsoft Exchange, skal du bruge en konfigurationsbeskrivelse til at indstille adgangskodepolitikkerne på enheden. Konfigurationsbeskrivelserne kan distribueres trådløst eller via MDM. Du kan også installere konfigurationsbeskrivelser på enheder, der er tilsluttet en computer via USB, ved hjælp af Apple Configurator, eller du kan distribuere konfigurations- beskrivelserne via mail eller en webside. Når brugerne åbner bilaget i mailen eller henter konfigurationsbeskrivelsen til deres enhed med Safari, bliver de bedt om at begynde installationsprocessen. Hvis du bruger en MDM-server, kan du distribuere en indledende beskrivelse, som kun indeholder konfigurationsoplysninger for serveren og derefter overføre alle andre beskrivelser trådløst. Konfigurationsbeskrivelserne kan krypteres og signeres, hvilket gør det muligt for dig at begrænse deres brug til en specifik enhed og forhindrer, at nogen kan ændre indstillingerne i en beskrivelse. Du kan også markere en beskrivelse som låst på enheden, så når den er installeret, kan den kun fjernes ved at slette alle data på enheden eller ved at indtaste en adgangskode. Med undtagelse af at indtaste en adgangskode kan brugere ikke ændre indstillingerne i en konfigurationsbeskrivelse. Desuden kan konti, som konfigureres med en beskrivelse, som f.eks. Exchange-konti, kun fjernes ved at slette beskrivelsen. For yderligere oplysninger henvises der til Configuration Profile Key Reference på websitet iOS Developer Library. MDM (Administration af mobile enheder) iOS har et indbygget MDM-framework, som gør, at MDM-løsninger fra tredjeparter kan interagere trådløst med iOS-enheder. Dette letvægts-framework blev designet fra bunden til iOS-enheder og er tilstrækkelig kraftfuldt og skalerbart til helt at konfigurere og administrere alle iOS-enheder inden for en organisation. Med en MDM-løsning kan IT-administratorer sikkert tilmelde enheder til et virks- omhedsmiljø, konfigurere og opdatere indstillinger, overvåge, at virksomhedens politikker overholdes, og slette eller låse administrerede enheder. MDM til iOS gør det muligt for IT-afdelingen at aktivere brugeradgang til netværkstjenester på en simpel måde samt sikre, at enhederne er konfigureret korrekt, lige meget hvem der ejer dem. MDM-løsningerne bruger Apples tjeneste til push-beskeder (APNs) til at opretholde vedvarende kommunikation med enheder på både offentlige og private netværk. MDM kræver flere certifikater for at kunne bruges, herunder et APNs-certifikat for at kunne kommunikere med klienter og et SSL-certifikat for at kunne kommunikere sikkert. MDM-løsninger kan evt. også signere beskrivelser med et certifikat. De fleste certifikater, herunder et APNs-certifikat, skal fornys en gang om året. Når et certifikat udløber, kan en MDM-server ikke kommunikere med klienterne, før certifikatet opdateres. Vær forberedt på at opdatere alle MDM-certifikater, før de udløber. ! Se Apple Push Certificates Portal for mere information om MDM-certifikater. 24 Teknisk håndbog om iOS-anvendelse Tilmeld Når enheder tilmeldes, slås katalogisering og administration af aktiver til. Tilmeldingsprocessen kan anvende en Simple Certificate Enrollment Protocol (SCEP), der gør det muligt for iOS-enheder at oprette og tilmelde unikke identitetscertifikater for godkendelse til virksomhedstjenester. I de fleste tilfælde kan brugerne bestemme, om de vil tilmelde deres enhed til MDM eller ej, og de kan framelde enheden fra MDM til enhver tid. Institutioner bør overveje tiltag, så brugernes enheder forbliver administrerede. De kan f.eks. kræve MDM-deltagelse til Wi-Fi-adgang ved at bruge MDM-løsningen til levering af trådløse godkendelser. Når en bruger ophører med at bruge MDM, forsøger enheden at underrette MDM-serveren. Konfiguration Når en enhed er tilmeldt, kan den konfigureres dynamisk med indstillinger og politikker af MDM-serveren, som sender konfigurationsbeskrivelser til enheden, der automatisk installeres af enheden i baggrunden. Konfigurationsbeskrivelserne kan signeres, krypteres og låses, hvilket forhindrer indstillingerne fra at blive ændret eller delt, hvorved det sikres, at kun godkendte brugere og enheder, som er konfigureret til dine specifikationer, kan få adgang til dit netværk og tjenester. Hvis en bruger framelder sin enhed fra MDM, fjernes alle indstillinger, som er installeret via MDM. Konti MDM kan hjælpe din organisations brugere til hurtigt at komme i gang ved automatisk at indstille deres mail og andre konti. Afhængigt af MDM-produktet og integrationen med dine interne systemer kan kontodata også forudindstilles med brugerens navn, mailadresse og eventuelt certifikatidentiteter til godkendelse og signering. MDM kan konfigurere følgende typer af konti: • Mail • Kalender • Kalendere i abonnement • Kontakter • Exchange ActiveSync • LDAP Administrerede mail- og kalenderkonti respekterer de nye begrænsninger for administreret åbning i iOS 7. Forespørgsler En MDM-server kan bede enheder om forskellige oplysninger. Dette omfatter hardwareoplysninger, som f.eks. serienummer, enheds-UDID eller Wi-Fi-MACadresse og softwareoplysninger, som f.eks. iOS-version og en detaljeret liste over alle apps, som er installeret på enheden. Disse oplysninger kan bruges til at sikre, at brugere har et passende sæt apps. Med Apple TV-software 5.4 eller senere kan MDM også bede tilmeldte Apple TVenheder om oplysninger som f.eks. sprog, landestandard og organisation. Kommandoer Når en enhed administreres, kan det ske via en server til administration af mobile enheder eller ved hjælp af et sæt bestemte handlinger. Administrationsopgaver omfatter: • Ændring af konfigurationsindstillinger. Der kan sendes en kommando til at installere en ny eller opdateret konfigurationsbeskrivelse på en enhed. Ændringer i konfigurationen foregår i baggrunden, uden at brugeren skal gøre noget. 25 Teknisk håndbog om iOS-anvendelse • Låsning af en enhed. Hvis en enhed skal låses med det samme, kan der sendes en kommando til at låse enheden med den aktuelle adgangskode. • Ekstern sletning af en enhed. Hvis en enhed mistes eller bliver stjålet, kan der sendes en kommando til at slette alle data på enheden. Når der modtages en kommando om ekstern sletning, kan dette ikke fortrydes. • Nulstilling af adgangskode. Ved at nulstille en adgangskode indstilles enheden til øjeblikkeligt at bede brugeren om at indtaste en ny adgangskode. Dette bruges, når en bruger har glemt sin adgangskode og gerne vil have, at ITafdelingen nulstiller den for dem. • Anmodning om AirPlay-skærmdublering og Stop AirPlay-skærmdublering. iOS 7 indeholder en kommando til at få en overvåget iOS-enhed til at begynde AirPlay-skærmdublering til en specifik destination eller stoppe en aktuel AirPlaysession. Administrerede apps Organisationerne har ofte brug for at distribuere software, så deres brugere kan være produktive på arbejdet eller i klasseværelset. Samtidigt skal organisationerne kunne kontrollere, hvordan denne software forbinder til interne ressourcer, eller hvordan datasikkerheden håndteres, når en bruger forlader organisationen, alt sammen side om side med brugerens personlige apps og data. Administrerede apps i iOS 7 gør det muligt for en organisation trådløst at distribuere virksomheds- apps med MDM samtidig med at opretholde den rette balance imellem institutionel sikkerhed og personalisering. MDM-servere kan gratis og trådløst installere apps fra App Store og interne virksomhedsapps til enhederne. Administrerede apps kan fjernes eksternt af MDM-serveren, eller når brugeren framelder deres egen enhed fra MDM. Fjernelse af en app fjerner også dataene, som er associeret med den fjernede app. MDM indeholder en række yderligere begrænsninger og muligheder for administrerede apps i iOS 7 for at give forbedret sikkerhed og en bedre brugeroplevelse. • Administreret åbning. Giver to nyttige funktioner til at beskytte en organisations appdata: – Gør det muligt at åbne dokumenter, som er oprettet med ikke-administrerede apps, i administrerede apps. Ved at påtvinge denne begrænsning forhindres det, at en brugers personlige apps og konti kan åbne dokumenter i organisationens administrerede apps. For eksempel kan denne begrænsning forhindre, at brugerens kopi af Keynote kan åbne en PDF-præsentation i en organisations app til visning af en PDF. Denne begrænsning kan også forhindre, at en brugers personlige iCloud-konto kan åbne et bilag i en organisations kopi af Pages. – Gør det muligt at åbne dokumenter, som er oprettet med administrerede apps, i ikke-administrerede apps. Ved at påtvinge denne begrænsning forhindres det, at organisationens administrerede apps og konti kan åbne dokumenter i en brugers personlige apps. Denne begrænsning kan forhindre, at et fortroligt bilag i en mail i organisationens administrerede mailkonto kan åbnes i en af brugerens personlige apps. • Konfiguration af apps. Appudviklere kan identificere appindstillinger, som kan indstilles, når appen installeres som en administreret app. Disse konfigurations- indstillinger kan installeres før eller efter, at den administrerede app installeres. • Appfeedback. Appudviklere, der bygger apps, kan identificere appindstillinger, der kan læses fra en administreret app ved hjælp af MDM. En udvikler kan f.eks. anføre en nøgle som “DidFinishSetup” til appfeedback, som en MDM-server kan bruge for at afgøre, om appen er blevet startet og indstillet. 26 Teknisk håndbog om iOS-anvendelse • Forhindre sikkerhedskopiering. Denne begrænsning kan også forhindre sikkerhedskopiering til iCloud eller iTunes af administrerede apps. Ved at deaktivere sikkerhedskopiering forhindres data fra administrerede apps i at blive gendannet, hvis appen fjernes via MDM, men senere bliver geninstalleret af brugeren. Overvågede enheder Overvågning giver et højere niveau af enhedsadministration for enheder, som ejes af din organisation og muliggør yderligere begrænsninger, som f.eks. at deaktivere iMessage eller Game Center. Det byder også på yderligere enhedskonfigurationer og funktioner, som f.eks. filtrering af webindhold eller muligheden for at installere apps i baggrunden. Se Bilag B for specifikke begrænsninger, som kan aktiveres på overvågede enheder. ! 27 Teknisk håndbog om iOS-anvendelse Kapitel 4: Appdistribution iOS indeholder en række apps, som de ansatte i din organisation kan bruge til alle deres daglige opgaver – f.eks. tjekke mail, administrere deres kalendere, holde styr på kontakter og bruge internettet. De fleste funktioner, som brugerne behøver for at være produktive, kommer fra hundredtusindvis af iOS-apps fra tredjeparter, som er tilgængelige fra App Store, eller fra specialudviklede interne virksomhedsapps. Du kan også skabe og anvende dine egne interne apps, hvis du er medlem af iOS Developer Enterprise Program. ! Interne apps Hvis du udvikler dine egne iOS-apps til brug i din organisation, lader iOS Developer Enterprise Program dig installere de interne apps. Processen for anvendelse af en intern app er: • Tilmeld dig til iOS Developer Enterprise Program. • Forbered din app til distribution. • Opret en programbeskrivelse for virksomhedsdistribution, som godkender enhederne til at bruge apps, som du har signeret. • Byg appen med programbeskrivelsen. • Udsend appen til dine brugere. ! ! 28 Teknisk håndbog om iOS-anvendelse Tilmelding til appudvikling For at udvikle og installere interne apps til iOS skal du først tilmelde dig til iOS Developer Enterprise Program. Når du har tilmeldt dig, kan du anmode om et udviklercertifikat og en udvikler- programbeskrivelse. Du kan bruge disse under udviklingen til at bygge og teste din app. Udviklerprogrambeskrivelsen gør det muligt at anvende apps, som er signeret med dit udviklercertifikat, på registrerede enheder. Du kan oprette udvikler- programbeskrivelsen på iOS Provisioning Portal. Ad hoc-beskrivelsen udløber efter tre måneder og specificerer, hvilke enheder (efter enheds-id), som kan anvende udviklingsbuilds af din app. Du distribuerer dit udviklersignerede build og programbeskrivelsen til udvikling til dit appteam og testere. Forbered apps til distribution Når du har afsluttet udviklingen og testen og er klar til at anvende din app, skal du signere appen med dit distributionscertifikat og pakke den med en programbeskrivelse. Den designerede teamleder eller administrator for dit programmedlemskab opretter certifikatet og programbeskrivelsen på iOS Provisioning Portal. Du kan bruge Certifikatassistent (som er en del af programmet Hovednøglering i dit OS X-system) til at generere en anmodning om certifikatsignering (CSR). Du skal derefter overføre CSR'en til iOS Provisioning Portal og modtager et distributionscertifikat som svar. Når du installerer dette certifikat i Nøglering, kan du indstille Xcode til at bruge det til at signere din app. Anvendelse af interne apps Programbeskrivelsen gør det muligt at installere apps på et ubegrænset antal iOSenheder. Du kan oprette en programbeskrivelse for virksomhedsdistribution for en specifik app eller for flere apps. Når du har installeret både virksomhedsdistributionscertifikatet og programbeskrivelsen på din Mac, kan du bruge Xcode til at signere og bygge en lancerings-/ produktionsversion af din app. Dit virksomhedsdistributionscertifikat er gyldigt i tre år, hvorefter du skal signere og bygge din app igen med et fornyet certifikat. Programbeskrivelsen for appen er gyldig i et år, så du kan udsende nye program- beskrivelser årligt. Se “Udsende opdaterede apps” i Bilag C for yderligere oplysninger. Det er meget vigtigt, at du begrænser adgangen til dit distributionscertifikat og den private nøgle. Brug Hovednøglering i OS X til at eksportere og sikkerhedskopiere disse emner i p12-format. Hvis den private nøgle mistes, kan den ikke gendannes eller hentes igen. Udover at opbevare certifikatet og den private nøgle et sikkert sted, bør du begrænse adgangen til de medarbejdere, som er ansvarlige for den endelige godkendelse af appen. Ved at signere en app med distributionscertifikatet godkendes appens indhold, funktion og overholdelsen af licens- betingelserne i aftalen for virksomhedsudviklere. ! 29 Teknisk håndbog om iOS-anvendelse Anvendelse af apps Du kan anvende en app på fire forskellige måder: • Distribuere appen til installation af dine brugere ved hjælp af iTunes. • Få en IT-administrator til at installere appen på enheder ved hjælp af Apple Configurator. • Publicere appen på en sikker webserver, hvorefter brugerne kan få adgang til og udføre installationen trådløst. Se “Bilag C: Trådløs installation af interne apps”. • Brug din MDM-server til at instruere administrerede enheder til at installere en intern app eller en app fra App Store, hvis din MDM-server understøtter dette. Installering af apps ved hjælp af iTunes Hvis brugerne installerer apps på deres enheder med iTunes, skal du distribuere appen sikkert til brugerne, som skal følge disse trin: 1. I iTunes skal du vælge Arkiv > Tilføj til bibliotek og derefter vælge filen (.app, .ipa eller .mobileprovision). Brugerne kan også trække filen til symbolet for iTunes. 2. Forbind en enhed til computeren, og vælg den derefter i listen over enheder i iTunes. 3. Klik på fanen Apps, og vælg derefter appen i listen. 4. Klik på Anvend. Hvis brugernes computere er administrerede, kan du i stedet for at bede dem om at tilføje filerne til iTunes installere filerne på deres computere og bede dem om at synkronisere deres enhed. iTunes installerer automatisk filerne, som er i mapperne iTunes Mobile Applications og Provisioning Profiles. Installation af apps med Apple Configurator Apple Configurator er et gratis program til OS X, som du kan hente i Mac App Store, der kan bruges af IT-administratorer til at installere interne apps eller apps fra App Store. Gratis apps fra App Store eller interne virksomhedsapps kan importeres direkte til Apple Configurator og installeres på lige så mange enheder, som du vælger. ! Installation af apps med MDM En MDM-server kan administrere gratis apps fra App Store samt interne apps. Apps, som er installeret med MDM, kaldes for “administrerede apps”. MDM-serveren kan specificere, om de administrerede apps og deres data forbliver på enheden, når brugeren framelder sig MDM. Serveren kan også forhindre, at administrerede appdata bliver sikkerhedskopieret til iTunes og iCloud. På denne måde kan ITafdelingen administrere apps, som kan indeholde fortrolige virksomhedsoplysninger med større kontrol, end for apps som hentes direkte af brugeren. For at installere en administreret app sender MDM-serveren en installeringskommando til enheden. På ikke-overvågede enheder kræver de administrerede apps accept fra brugeren, inden de installeres. De administrerede apps udnytter de yderligere kontrolfunktioner i iOS 7. VPNforbindelser kan nu specificeres på appniveau, hvilket betyder, at kun netværkstrafik for denne app vil være i den beskyttede VPN-tunnel. Dette sikrer, at private data forbliver private, og at offentlige data ikke sammenblandes med disse. ! 30 Teknisk håndbog om iOS-anvendelse Administrerede apps understøtter også administreret åbning i iOS 7. Det betyder, at administrerede apps kan begrænses fra at overføre data til eller fra brugerens personlige apps, hvilket gør det muligt for virksomheden at sikre, at fortrolige oplysninger forbliver, hvor de skal være. Caching Server iOS gør det nemt for brugerne at få adgang til og konsumere digitalt indhold, og nogle brugere kan anmode om mange gigabytes af apps, bøger og software- opdateringer, når de er forbundet til en organisations trådløse netværk. Behovet for disse ting kommer i bølger, først med den begyndende anvendelse af enheden og derefter sporadisk, i takt med at brugerne finder nyt indhold, eller når indholdet opdateres med tiden. Disse overførsler af indhold kan medføre store krav til netværkets båndbredde. Funktionen Caching Server i OS X Server reducerer udgående netværksbåndbredde på private netværk (RFC1918) ved at gemme cache-kopier af anmodet indhold på det lokale netværk. For større netværk er det en fordel at have flere forskellige Caching Servers. For mange anvendelser er det nok med blot at aktivere Caching Server for at konfigurere tjenesten. Der kræves et NAT-miljø for serveren og alle enheder, som bruger denne funktion. For yderligere oplysninger henvises der til OS X Server: Advanced Administration. iOS-enheder med iOS 7 kontakter automatisk en Caching Server i nærheden uden yderligere konfiguration af enheden. Her kan du se, hvordan Caching Server arbejder transparent på iOS-enheden: 1. Når en iOS-enhed på et netværk med en eller flere cachelagringsservere anmoder om indhold fra iTunes Store eller softwareopdateringsserveren, henvises iOS-enheden til en cachelagringsserver. 2. Cachelagringsserveren kontrollerer først, om det anmodede indhold allerede findes i dens lokale cache. Hvis dette er tilfældet, vil den øjeblikkeligt levere indholdet til iOS-enheden. 3. Hvis cachelagringsserveren ikke har det anmodede materiale, forsøger den at hente indholdet fra en anden kilde. Caching Server 2 for OS X Mavericks indeholder en peer-replikeringsfunktion, som kan bruge andre cachelagringsservere på netværket, hvis disse servere allerede har hentet det anmodede indhold. 4. Mens Caching Server modtager de overførte data, distribueres det øjeblikkeligt til klienter, som har anmodet om det og gemmer samtidigt en kopi på disken. Følgende typer af cachelagret indhold er understøttet i iOS 7: • iOS-softwareopdateringer • Apps fra App Store • App Store-opdateringer • Bøger fra iBooks Store iTunes understøtter også Caching Server 2. Følgende typer af indhold er understøttet af iTunes 11.0.4 eller senere (både Mac og Windows): • Apps fra App Store • App Store-opdateringer • Bøger fra iBooks Store ! 31 Teknisk håndbog om iOS-anvendelse Bilag A: Wi-Fi-infrastruktur Når Wi-Fi-infrastrukturen forberedes til brug af iOS, er der flere faktorer, der bør overvejes: • Det nødvendige dækningsområde • Hvor mange enheder der skal bruge Wi-Fi-netværket, og hvor tæt de er placeret på hinanden • Antal enheder og deres Wi-Fi-funktionalitet • Typen og mængden af data, der skal overføres • Sikkerhedskrav til adgang til det trådløse netværk • Krav til kryptering Selvom denne liste ikke er udtømmende, indeholder den nogle af de mest relevante faktorer ved design af Wi-Fi-netværk. Påmindelse: Dette kapitel fokuserer på Wi-Fi-netværksdesign i USA. Designet kan være anderledes i andre lande. Planlægning af dækning og tæthed Selvom det er vigtigt, at der er Wi-Fi-dækning på de steder, hvor der vil blive brugt iOS-enheder, er det også vigtigt at planlægge ud fra, hvor mange enheder der er i et givent område. De fleste adgangspunkter i virksomhedsklasse kan håndtere op til 50 Wi-Fi-klienter, selvom brugeroplevelsen højst sandsynligt vil være skuffende, hvis der forbindes så mange enheder til et enkelt adgangspunkt. Oplevelsen på hver enhed afhænger af den tilgængelige trådløse båndbredde på den benyttede kanal og antallet af enheder, der deler den samlede båndbredde. Efterhånden som flere og flere enheder bruger det samme adgangspunkt, nedsættes den relative netværkshastighed for disse enheder. Du bør overveje det forventede brugsmønster af iOSenhederne som en del af dit Wi-Fi-netværksdesign. 2,4 GHz vs. 5 GHz Wi-Fi-netværk, der arbejder med 2,4 GHz, har op til 11 kanaler i USA. Men pga. risiko for forstyrrelser på kanalerne er det kun kanal 1, 6 og 11, der bør bruges i et netværksdesign. 5 GHz-signaler trænger ikke lige så godt gennem vægge og andre barrierer som 2,4-GHz signaler, hvilket betyder, at dækningsområdet bliver mindre. Derfor kan 5 GHz-netværk være at foretrække, når du designer netværk til et stort antal enheder i et lukket område, f.eks. i et klasseværelse. Det tilgængelige antal kanaler i 5 GHz-båndet varierer blandt udbyderne af adgangspunkter og fra land til land, men der vil altid være mindst otte tilgængelige kanaler. 5 GHz-kanaler overlapper ikke hinanden, hvilket er en vigtig ændring i forhold til de tre ikke overlappende kanaler, som er tilgængelige i 2,4 GHz-båndet. Når du designer et Wi-Fi-netværk til mange iOS-enheder, bliver de ekstra kanaler i 5 GHzbåndet en strategisk planlægningsparameter. ! 32 Teknisk håndbog om iOS-anvendelse Planlæg dækning Bygningens indretning kan have stor indflydelse på designet af dit Wi-Fi-netværk. I virksomheder, f.eks., kan de ansatte møde andre ansatte i mødelokaler eller kontorer. Dette medfører, at brugerne bevæger sig rundt omkring i bygningen i løbet af dagen. I dette scenarie bruges størstedelen af netværksadgangen til at tjekke mail og kalendere og surfe på internettet, så Wi-Fi-dækning har første prioritet. Et Wi-Fi-design kunne inkludere to eller tre adgangspunkter på hver etage for at sikre dækning til kontorerne og et adgangspunkt i hvert mødelokale. Planlægge tæthed Sammenlign ovenstående scenarie med et gymnasium med 1000 elever og 30 lærere i en bygning på to etager. Hver elev har fået udleveret en iPad, og alle lærere har fået både en MacBook Air og en iPad. Der kan være omkring 35 elever i hvert klasselokale, og klasselokalerne ligger ved siden af hinanden. I løbet af dagen søger eleverne på internettet, ser relevante videoer og kopierer filer til og fra en filserver på LAN-netværket. Wi-Fi-netværksdesignet til dette scenarie er mere indviklet, fordi de mobile enheder er tættere på hinanden. Da hvert klasseværelse har ca. 35 elever, kunne der anvendes et adgangspunkt pr. klasseværelse. Der bør overvejes flere adgangspunkter til fællesarealerne for at sikre tilstrækkelig dækning. Det faktiske antal adgangspunkter til fællesarealer vil variere afhængigt af Wi-Fi-enhedernes tæthed i disse områder. Hvis enheder, der kun understøtter 802.11b- eller 802.11g-standarderne, skal indgå i netværket, er en mulighed blot at aktivere 802.11b/g, hvis der anvendes dual-band adgangspunkter. En anden mulighed er at bruge et SSID ved hjælp af 802.11n ved 5 GHz til nyere enheder og et andet SSID ved 2,4 GHz til understøttelse af 802.11bog 802.11g-enheder. Men man bør undgå at oprette for mange SSID'er. Brugen af skjulte SSID'er bør undgås i begge designscenarier. Det er sværere for en Wi-Fi-enhed at oprette en ny forbindelse til et skjult SSID end til et åbent SSID, og der er meget få sikkerhedsfordele ved at skjule SSID'et. Brugere vil ofte flytte sig sammen med deres iOS-enheder, så skjulte SSID'er kan forsinke forbindelser til netværket. Wi-Fi-standarder i Apples produkter I nedenstående liste kan du se, hvilke Apple-produkter der understøtter de forskellige Wi-Fi-specifikationer: • 802.11-kompatibilitet. 802.11b/g, 802.11a, 802.11n • Frekvensbånd. 2,4 GHz eller 5 GHz • MCS-indeks. MCS-indekset (Modulation and Coding Scheme) definerer den maksimale transmissionshastighed, som 802.11n-enheder kan kommunikere med. • Kanalbinding. HD20 eller HD40 • Guard interval (GI). Guard interval er afstanden (tiden) mellem symboler, der overføres fra en enhed til en anden. 802.11n-standarden definerer et kort guard interval på 400 ns, der sikrer en hurtigere generel hastighed, men enheder kan bruge et langt guard interval på 800 ns. iPhone 5s 802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HT40 / 400ns GI ! 33 Teknisk håndbog om iOS-anvendelse iPhone 5c 802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HT40 / 400ns GI iPhone 5 802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HD40 / 400ns GI iPhone 4s 802.11n @ 2,4 GHz 802.11b/g MCS-indeks 7 / HD20 / 800ns GI iPhone 4 802.11n @ 2,4 GHz 802.11b/g MCS-indeks 7 / HD20 / 800ns GI iPad Air og iPad mini med Retina-skærm 802.11n @ 2,4 GHz og 5 GHz 802.11 a/b/g MCS-indeks 15 / HD40 / 400 ns GI iPad (4. generation) og iPad mini 802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HD40 / 400ns GI iPad (1., 2. og 3. generation) 802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HD20 / 800ns GI iPod touch (5. generation) 802.11n @ 2,4 GHz og 5 GHz 802.11a/b/g MCS-indeks 7 / HD40 / 400ns GI iPod touch (4. generation) 802.11n @ 2,4 GHz 802.11b/g MCS-indeks 7 / HD20 / 800ns GI ! 34 Teknisk håndbog om iOS-anvendelse Bilag B: Begrænsninger iOS understøtter følgende politikker og begrænsninger, som kan konfigureres til at opfylde din organisations behov. Enhedens funktionalitet • Tillad installering af apps • Tillad Siri • Tillad Siri, når enheden er låst • Tillad brug af kamera • Tillad FaceTime • Tillad skærmoptagelse • Tillad automatisk synkronisering under roaming • Tillad synkronisering af nyligt indkomne mails • Tillad stemmeopkald • Tillad køb fra app • Kræver adgangskode til butik ved alle køb • Tillad spil med flere deltagere • Tillad tilføjelse af venner i Game Center • Indstil tilladte vurderinger af indhold • Tillad Touch-id • Tillad adgang til Kontrolcenter fra låseskærmen • Tillad adgang til Meddelelsescenter fra låseskærmen • Tillad adgang til oversigten I dag fra låseskærmen • Tillad Passbook-meddelelser fra låseskærmen Apps • Tillad brug af iTunes Store • Tillad brug af Safari • Indstil sikkerheden i Safari iCloud • Tillad sikkerhedskopiering • Tillad synkronisering af dokumenter og nøglering • Tillad Min fotostream • Tillad iCloud-fotodeling ! 35 Teknisk håndbog om iOS-anvendelse Sikkerhed og beskyttelse af personlige oplysninger • Tillad, at diagnosticeringsdata bliver sendt til Apple • Tillad, at bruger accepterer certifikater uden godkendelser • Påtving krypterede sikkerhedskopier • Tillad åbning fra ikke-administrerede til administrerede apps • Tillad åbning fra administrerede til ikke-administrerede apps • Kræv adgangskode ved første AirPlay-parring • Tillad trådløse PKI-opdateringer • Kræv begrænsning for reklamesporing Begrænsninger for overvågede enheder • Kun adgang til en enkelt app • Indstillinger for tilgængelighed • Tillad iMessage • Tillad Game Center • Tillad fjernelse af apps • Tillad iBooks Store • Tillad erotik fra iBooks Store • Slå Siris filter for anstødeligt sprog til • Tillad manuel installation af konfigurationsbeskrivelser • Global netværksproxy til HTTP • Tillad parring til computere for synkronisering af indhold • Begræns AirPlay-forbindelser med hvidliste og ekstra adgangskoder til forbindelse • Tillad AirDrop • Tillad kontoændringer • Tillad ændringer i indstillinger for mobildata • Tillad “Find mine venner” • Tillad host-parring (iTunes) • Tillad Aktiveringslås ! ! 36 Teknisk håndbog om iOS-anvendelse Bilag C: Trådløs installation af interne apps iOS understøtter trådløs installation af specialudviklede interne apps uden brug af iTunes eller App Store. Systemkrav: • En sikker webserver, som godkendte brugere kan få adgang til • En iOS-app i .ipa-format, der er bygget til lancering/produktion med en programbeskrivelse fra virksomheden • En XML-manifestfil som beskrevet i dette bilag • En netværkskonfiguration, som gør det muligt for enhederne at få adgang til en iTunes-server hos Apple Det er nemt at installere appen. Brugerne skal hente manifestfilen fra dit website til deres iOS-enhed. Manifestfilen giver instrukser til enheden om at hente og installere de apps, som listes i manifestfilen. Du kan distribuere URL-adressen for at hente manifestfilen pr. SMS eller mail, eller ved at indsætte den i en anden app fra virksomheden. Det er op til dig at designe og hoste websitet, som bruges til at distribuere appsene. Sørg for, at brugerne er godkendte, ved f.eks. at bruge grundlæggende eller adressebaseret godkendelse, og at websitet er tilgængeligt via dit intranet eller internettet. Du kan placere appen og manifestfilen i en skjult mappe eller på et andet sted, som kan aflæses ved hjælp af HTTP eller HTTPS. Hvis du opretter en selvbetjeningsportal, kan du overveje at tilføje webklip til brugerens hjemmeskærm, så det er nemt at lede brugere til tilbage til portalen for oplysninger om fremtidig anvendelse, f.eks. nye konfigurationsbeskrivelser, anbefalede apps i App Store og deltagelse i en MDM-løsning. Forbered en intern app til trådløs distribution For at forberede en intern app til trådløs distribution skal du bygge en arkiveret version (en .ipa-fil), og en manifestfil, som muliggør trådløs distribution og installation af appen. Du kan bruge Xcode til skabe et apparkiv. Signér appen med dit distributionscertifikat og indsæt din virksomheds programbeskrivelse i arkivet. For yderligere oplysninger om bygning og arkivering af apps, kan du besøge iOS Dev Center eller se i brugervejledningen til Xcode, som er tilgængelig fra menuen Hjælp i Xcode. Om den trådløse manifestfil Manifestfilen er en XML-plist. Den bruges af en iOS-enhed til at finde, hente og installere apps fra din webserver. Manifestfilen er oprettet af Xcode med oplysninger, som du giver, når du deler en arkiveret app til distribution inden for virksomheden. Se de forrige afsnit om at forberede apps til distribution. 37 Teknisk håndbog om iOS-anvendelse Følgende felter skal udfyldes: Element Beskrivelse URL Den helt kvalificerede HTTPS-URL for appfilen (.ipa). skærmbillede Et PNG-billede på 57 x 57 pixel, som vises ved overførsel og installation. Angiv billedets helt kvalificerede URL. billede i fuld størrelse Et PNG-billede på 512 x 512 pixel, som repræsenterer appen i iTunes. pakke-id Din apps pakke-id nøjagtig som specificeret i dit Xcode-projekt. pakkeversion Din apps pakkeversion, nøjagtig som specificeret i dit Xcode-projekt. titel Navnet på appen, som vises under overførsel og installation. ! Følgende felter skal udfyldes for apps i Bladkiosken: Element Beskrivelse billede til bladkiosk Et PNG-billede i fuld størrelse til visning i hylden i Bladkiosk. UINewsstandBindingEdge UINewsstandBindingType Disse nøgler skal svare til dem i din apps info.plist i Bladkiosk. UINewsstandApp Indikerer, at appen er en app til Bladkiosk. Ekstra nøgler, som du kan bruge, er beskrevet i eksemplet på en manifestfil. For eksempel kan du bruge MD5-nøgler, hvis din appfil er stor, og du ønsker at sikre integriteten af overførsler udover kontrol for fejl, som normalt udføres for TCPkommunikation. Du kan installere mere end én app med en enkelt manifestfil ved at specificere yderligere medlemmer i listen over emner. Du kan finde et eksempel på en manifestfil i slutningen af dette bilag. Opbyg dit website Overfør disse emner til et område på dit website, som godkendte brugere kan få adgang til: • Appfilen (.ipa) • Manifestfilen (.plist) Designet at websitet kan være så simpelt som en enkelt side, der henviser til manifestfilen. Når en bruger trykker på et link til et website, hentes manifestfilen, som udløser overførsel og installation af de beskrevne apps. Her er et link som eksempel: <a href=”itms-services://?action=downloadmanifest&url=http://eksempel.com/manifest.plist”>Installer app</a> Tilføj ikke et link til et website til den arkiverede app (.ipa). .ipa-filen hentes af enheden, når manifestfilen er indlæst. Selvom protokoldelen af URL'en er itmstjenester, er iTunes Store ikke involveret i denne proces. 38 Teknisk håndbog om iOS-anvendelse Sørg også for, at din .ipa-fil er tilgængelig over HTTPS, og at dit website er signeret med et certifikat, der er godkendt af iOS. Installationen mislykkes, hvis et selvsigneret certifikat ikke har et godkendt anker og ikke kan godkendes af iOSenheden. Indstil MIME-typer for serveren Det kan være nødvendigt at konfigurere din webserver, så manifestfilen og appfilen overføres korrekt. For OS X Server skal du tilføje følgende MIME-typer til webtjenestens indstillinger for MIME-typer: application/octet-stream ipa text/xml plist For IIS skal du bruge IIS Manager til at tilføje MIME-typen på siden med serverens egenskaber: .ipa application/octet-stream.plist text/xml Fejlfinding ved trådløs distribution af apps Hvis trådløs distribution af en app mislykkes med en meddelelse om, at appen ikke kunne hentes, skal du kontrollere følgende: • Sørg for, at appen er signeret korrekt. Kontroller dette ved at installere den på en enhed ved hjælp af Apple Configurator, og se om der opstår en fejl. • Sørg for, at linket til manifestfilen er korrekt, og at manifestfilen er tilgængelig for brugerne. • Sørg for, at URL'en til .ipa filen (i manifestfilen) er korrekt, og at .ipa filen er tilgængelig for brugerne over HTTPS. Krav til netværkskonfigurationer Hvis enhederne er forbundet til et lukket internt netværk, skal iOS-enhederne have adgang til følgende: URL Årsag ax.init.itunes.apple.com Enheden henter den aktuelle grænse for filstørrelse ved overførsel af apps via mobilnetværket. Hvis du ikke kan få adgang til dette website, kan installationen mislykkedes. ocsp.apple.com Enheden kontakter dette website for at kontrollere statussen af distributionscertifikatet, som bruges til at signere programbeskrivelsen. Se “Validering af certifikat” nedenfor. Installation af opdaterede apps Apps, som du selv distribuerer, opdateres ikke automatisk. Når du har en ny version, som brugerne kan installere, skal du give dem besked om opdateringen og bede dem om at installere appen. Du kan overveje at få appen til at tjekke for opdateringer og give brugeren besked, når der findes nye opdateringer. Hvis du bruger trådløs appdistribution, kan beskeden indeholde et link til manifestfilen for den opdaterede app. Hvis du vil have, at brugerne gemmer appens data på deres enhed, skal du sørge for, at den nye version bruger det samme pakke-id som det der erstattes, og bed brugerne om ikke at slette den gamle version, inden de installerer den nye version. Den nye version erstatter den gamle og gemmer dataene på enheden, hvis pakkeid'et er det samme. 39 Teknisk håndbog om iOS-anvendelse Programbeskrivelser til distribution udløber 12 måneder, efter at de er udstedt. Efter udløbsdatoen fjernes programbeskrivelsen, og appen kan ikke længere åbnes. Inden en programbeskrivelse udløber, skal du bruge iOS Development Portal til at oprette en ny programbeskrivelse til appen. Opret et nyt apparkiv (.ipa) med den nye programbeskrivelse til brugere, som installerer appen første gang. For brugere, som allerede har appen, kan du planlægge din næste version således, at den indeholder den nye programbeskrivelse. Hvis det ikke er muligt, kan du distribuere den nye .mobileprovision-fil, så brugerne ikke skal installere appen igen. Den nye programbeskrivelse overskriver den, som allerede findes i apparkivet. Programbeskrivelser kan installeres og administreres ved hjælp af MDM, hentes og installeres af brugerne fra et sikkert website, som du angiver, eller distribueres til brugerne som et bilag i en mail, som de kan åbne og installere. Når dit distributionscertifikat udløber, kan appen ikke længere åbnes. Dit distributionscertifikat er gyldigt i tre år fra udstedelsesdatoen, eller indtil dit medlemskab i Enterprise Developer Program udløber. For at forhindre for tidligt udløb af dit certifikat skal du sørge for at forny dit medlemskab, inden det udløber. For oplysninger om hvordan distributionscertifikatet kontrolleres, henvises der til nedenstående afsnit “Validering af certifikat”. Du kan have to distributionscertifikater aktive på samme tid, da de er uafhængige af hinanden. Formålet med det sekundære certifikat er at give en overlapningsperiode, du kan bruge til at opdatere dine apps, inden det første certifikat udløber. Når du anmoder om dit sekundære distributionscertifikat fra iOS Dev Center, skal du sikre dig, at du ikke tilbagekalder dit første certifikat. Validering af certifikat Første gang en bruger åbner en app, valideres distributionscertifikatet ved at kontakte Apples OCSP-server. Hvis certifikatet ikke er blevet tilbagekaldt, kan appen køre. Hvis det ikke er muligt at oprette forbindelse til eller få svar fra OCSP-serveren, tolkes dette ikke som en tilbagekaldelse. For at bekræfte statussen skal enheden kunne oprette forbindelse til ocsp.apple.com. Se “Krav til netværkskonfigurationer” tidligere i dette bilag. OCSP-svaret gemmes på enheden i en periode, som specificeres af OCSP-serveren, hvilket i øjeblikket er mellem tre og syv dage. Gyldigheden af certifikatet kontrolleres ikke igen, før enheden er genstartet, og det gemte svar er udløbet. Hvis der modtages en tilbagekaldelse på dette tidspunkt, kan appen ikke længere åbnes. Ved at tilbagekalde et distributionscertifikat, kan de apps, som du har signeret med det, ikke længere bruges. Du bør kun tilbagekalde et certifikat som sidste mulighed, f.eks. hvis du er sikker på, at den private nøgle er mistet, eller hvis du tror, at certifikatet er blevet kompromitteret. ! 40 Teknisk håndbog om iOS-anvendelse Eksempel på en manifestfil til en app <!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/ DTDs/PropertyList-1.0.dtd”> <plist version=”1.0”> <dict> <!-- liste over overførsler. --> <key>items</key> <array> <dict> <!-- en liste over materialer, som kan hentes --> <key>assets</key> <array> <!-- softwarepakke: ipa'en, som skal installeres. --> <dict> <!-- obligatorisk. Materialetype. --> <key>kind</key> <string>software-package</string> <!-- valgfri. md5 hver n bytes. vil genstarte en samling, hvis md5 mislykkes. --> <key>md5-size</key> <integer>10485760</integer> <!-- valgfri. liste over md5-hashes for hver samling i “md5-størrelse”. --> <key>md5s</key> <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba</string> <string>51fa64bb7a7cae5a46bfb45821ac8bba</string> </array> <!-- obligatorisk. URL for fil, som skal hentes. --> <key>url</key> <string>http://www.eksempel.com/apps/foo.ipa</string> </dict> <!-- display-billede: symbolet, som vises under overførsel.--> <dict> <key>kind</key> <string>display-image</string> <!-- valgfri. indikerer, om symbolet skal anvende stråleeffekt. --> <key>needs-shine</key> <true/> <key>url</key> <string>http://www.example.com/image.57x57.png</string> </dict> <!-- billede i fuld størrelse: de store 512 x 512-symboler, som bruges af iTunes. --> <dict> <key>kind</key> <string>full-size-image</string> <!-- valgfri. en md5-hash for hele filen. --> <key>md5</key> <string>61fa64bb7a7cae5a46bfb45821ac8bba</string> <key>needs-shine</key> <true/> <key>url</key><string>http://www.example.com/image.512x512.jpg</string> </dict> </array><key>metadata</key> <dict> <!-- obligatorisk --> <key>bundle-identifier</key> <string>com.example.fooapp</string> <!-- valgfri (kun software) --> <key>bundle-version</key> <string>1.0</string> 41 Teknisk håndbog om iOS-anvendelse ! <!-- obligatorisk. overførselstypen. --> <key>kind</key> <string>software</string> <!-- valgfri. vises under overførsel; typisk virksomhedens navn --> <key>subtitle</key> <string>Apple</string> <!-- obligatorisk. titlen, som vises under overførsel. --> <key>title</key> <string>Example Corporate App</string> </dict> </dict> </array> </dict> </plist> ! Kan være omfattet af normale operatørtakster for dataforbrug. Beskeder kan sendes som en SMS, når iMessage ikke er tilgængeligt (evt. mod betaling af operatørens beskedtakster). 2 FaceTime-opkald kræver en FaceTime-kompatibel enhed og en Wi-Fi-forbindelse hos både afsender og modtager. FaceTime via et mobilnetværk kræver iPhone 4s eller senere, iPad med Retina-skærm eller iPad mini med mobildatafunktion. Tilgængeligheden via mobilnet afhænger af operatøren. Kræver evt. betaling af mobildatatakst. 3 Siri findes ikke på alle sprog eller i alle lande og områder, og funktionerne varierer fra land til land. Kræver internetadgang. Kan være omfattet af mobildatatakst. 4 Nogle funktioner kræver en Wi-Fiforbindelse. Nogle funktioner er ikke tilgængelige i alle lande. Brug af visse tjenester er begrænset til 10 enheder. 1 © 2014 Apple Inc. Alle rettigheder forbeholdes. Apple, Apple-logoet, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage, iPad, iPhone, iPod touch, iTunes, Keychain, Keynote, Mac, Mac-logoet, MacBook Air, OS X, Pages, Passbook, Retina, Safari, Siri og Xcode er varemærker tilhørende Apple Inc. og registreret i USA og andre lande. AirPrint, iPad Air og iPad mini er varemærker tilhørende Apple Inc. iCloud og iTunes Store er servicemærker tilhørende Apple Inc. og registreret i USA og andre lande. App Store og iBooks Store er servicemærker tilhørende Apple Inc. IOS er et varemærke eller et registreret varemærke tilhørende Cisco i USA og andre lande og bruges under licens. Andre nævnte produkt- og firmanavne kan være varemærker tilhørende deres respektive ejere. 42