Transcript iOS-utrulling Teknisk veiledning

!
iOS-utrulling
Teknisk
veiledning
!
iOS
! 7.1
!!
Mai 2014
!
iOS-utrulling – teknisk veiledning
!!
!!
!!
!
Innhold
Side 3
Innledning
Side 4
Kapittel 1: Integrering
Side 4
Microsoft Exchange
Side 6
Standardbaserte tjenester
Side 6
Wi-Fi
Side 7
Virtuelle private nettverk
Side 13
Per App VPN
Side 13
Single Sign On
Side 14
Digitale sertifikater
Side 15
Bonjour
Side 16
Kapittel 2: Sikkerhet
Side 16
Sikkerhet på enheten
Side 18
Kryptering og databeskyttelse
Side 20
Nettverkssikkerhet
Side 20
Appsikkerhet
Side 21
Internettjenester
Side 23
Kapittel 3: Konfigurering og administrering
Side 23
Klargjøring og aktivering av enhet
Side 24
Konfigurasjonsprofiler
Side 24
Administrering av mobile enheter (MDM)
Side 27
Enhetsovervåking
Side 29
!
Kapittel 4: Appdistribuering
Side 31
Interne apper
Side 33
Rulle ut apper
Side 34
Caching Server
Side 35
Tillegg A: Wi-Fi-infrastruktur
Side 38
Tillegg B: Restriksjoner
Side 40
Tillegg C: Installere interne apper trådløst
2
iOS-utrulling – teknisk veiledning
Innledning
!
Dette er en veiledning for IT-administratorer som skal implementere støtte for iOS-enheter på nettverkene sine. Veiledningen beskriver hvordan man ruller ut og
driver support for iPhone, iPad og iPod touch i en større organisasjon, for eksempel
i en bedrift eller en utdanningsinstitusjon. Videre forklarer den hvordan iOS-enheter
gir en høy grad av sikkerhet, hvordan enheter integreres med eksisterende
infrastruktur og hvordan de kraftige utrullingsverktøyene fungerer.
En forståelse av hvordan nøkkelteknologiene i iOS fungerer gjør det enklere å implementere en utrullingsstrategi som gir brukerne dine den beste opplevelsen.
De neste kapitlene inneholder teknisk veiledning du vil ha nytte av når
organisasjonen skal rulle ut iOS-enheter:
Integrering. iOS-enheter har innebygd støtte for en rekke nettverksinfrastrukturer.
Her kan du lese om teknologier som støttes av iOS og gode rutiner for integrering
med Microsoft Exchange, Wi-Fi, VPN og andre standardtjenester.
Sikkerhet. iOS er utformet for sikker tilgang til bedriftstjenester og beskyttelse av
viktig informasjon. iOS bruker sterk kryptering ved dataoverføring, velprøvde
autentiseringsmetoder for tilgang til bedriftens tjenester og maskinvarekryptering
for alle arkiverte data. Her kan du lese mer om sikkerhetsfunksjonene i iOS.
Konfigurering og administrering. iOS støtter avanserte verktøy og teknologier som gjør det enkelt å klargjøre iOS-enheter, konfigurere dem slik man har behov
for, og administrere dem i stor skala. Dette kapittelet beskriver de ulike verktøyene
for utrulling av iOS-enheter, deriblant MDM (Mobile Device Management).
Appdistribuering. Det finnes flere måter å rulle ut apper og innhold i bedriften på.
iOS-utviklerprogrammet for bedrifter (iOS Developer Enterprise Program) gjør det
mulig for organisasjonen å rulle ut apper for interne brukere. Kapittelet gir deg en
inngående forståelse av disse programmene og hvordan du ruller ut apper som er
utviklet for intern bruk.
Følgende tillegg inneholder ytterligere tekniske detaljer og krav:
Wi-Fi-infrastruktur. Informasjon om Wi-Fi-standarder som iOS støtter, og hva du
bør tenke på når du planlegger et stort Wi-Fi-nettverk.
Restriksjoner. Informasjon om restriksjonene du kan bruke for å konfigurere iOS-enheter i samsvar med bedriftens krav til blant annet sikkerhet og kode.
Installere interne apper trådløst. Informasjon om og krav til distribuering av interne apper via bedriftens egen nettbaserte portal.
Andre ressurser
Du finner relevant og nyttig informasjon på følgende nettsteder:
www.apple.com/ipad/business/it
www.apple.com/iphone/business/it
www.apple.com/education/it
3
iOS-utrulling – teknisk veiledning
Kapittel 1: Integrering
iOS-enheter har innebygd støtte for en rekke nettverksinfrastrukturer. De støtter følgende:
• Populære tredjepartssystemer som Microsoft Exchange
• Integrering med standardbasert e-poster, kataloger, kalendere og andre systemer
• Standard Wi-Fi-protokoller for dataoverføring og kryptering
• Virtuelle private nettverk (VPN), inkludert Per App VPN
• Single Sign On for enkel autentisering til apper og tjenester i et nettverk
• Digitale sertifikater for å autentisere brukere og sikre kommunikasjon
Ettersom denne støtten er innebygd i iOS, trenger IT-avdelingen kun å konfigurere
noen få innstillinger for å integrere iOS-enheter i den eksisterende infrastrukturen. Les videre for å lære mer om teknologi som iOS støtter, og gode rutiner for
integrering.
Microsoft Exchange
iOS kan kommunisere direkte med Microsoft Exchange Server via Microsoft
Exchange ActiveSync (EAS), slik at pushfunksjonen for e-post, kalendere, kontakter,
notater og oppgaver aktiveres. Exchange ActiveSync gir også brukerne tilgang til
den globale adresselisten (GAL) og gir administratorer mulighet til å håndheve
koderegler og fjernslette innholdet på enheter. iOS støtter både grunnleggende og sertifikatbasert autentisering for Exchange ActiveSync.
Hvis bedriften har aktivert Exchange ActiveSync, har du allerede de nødvendige
tjenestene for å støtte iOS – det er ikke behov for ytterligere konfigurering.
Krav
Enheter med iOS 7 eller nyere støtter følgende versjoner av Microsoft Exchange:
• Exchange Server 2003 SP 2 (EAS 2.5)
• Exchange Server 2007 (med EAS 2.5)
• Exchange Server 2007 SP 1 (EAS 12.1)
• Exchange Server 2007 SP 2 (EAS 12.1)
• Exchange Server 2007 SP 3 (EAS 12.1)
• Exchange Server 2010 (EAS 14.0)
• Exchange Server 2010 SP 1 (EAS 14.1)
• Exchange Server 2010 SP 2 (med EAS 14.1)
• Exchange Server 2013 (med EAS 14.1)
• Office 365 (med EAS 14.1)
Microsoft Direct Push
Exchange Server leverer automatisk e-post, oppgaver, kontakter og kalenderhendelser til iOS-enheter når en mobil- eller Wi-Fi dataforbindelse er tilgjengelig.
iPod touch og enkelte iPad-modeller har ikke mobildataforbindelse og mottar kun pushvarsler når de er tilkoblet et Wi-Fi-nettverk.
!
4
iOS-utrulling – teknisk veiledning
Automatisk gjenkjenning med Microsoft Exchange
iOS støtter Autodiscover-tjenesten til Microsoft Exchange Server 2007 og Microsoft
Exchange Server 2010. Når du konfigurerer en enhet manuelt, bruker Autodiscover
e-postadressen din og passordet ditt til å finne riktig Exchange Server-informasjon.
Du finner mer informasjon om å aktivere Autodiscover-tjenesten på nettsiden for
Autodiscover-tjenesten.
Microsoft Exchanges globale adresseliste (GAL)
iOS-enheter henter kontaktinformasjon fra bedriftens Exchange Server-bedrifts-
katalog. Du får tilgang til katalogen når du søker i Kontakter, og den brukes
automatisk til å fullføre e-postadresser mens du skriver dem inn. iOS 6 eller nyere
støtter GAL-bilder (krever Exchange Server 2010 SP 1 eller nyere).
Exchange ActiveSync-funksjoner som ikke støttes
Følgende funksjoner i Exchange støttes ikke:
• Åpne e-postkoblinger til dokumenter som er arkivert på SharePoint-tjenere
• Sende automatiske fraværsmeldinger
Identifisere iOS-versjoner via Exchange
Når en iOS-enhet kobler til en Exchange Server, gir den informasjon om iOSversjonen. Versjonsnummeret sendes i User Agent-feltet i forespørselsdelen og har formen Apple-iPhone2C1/705.018. Tallet etter skilletegnet (/) er iOSbyggnummeret, som er unikt for hver iOS-utgave.
Hvis du vil se versjonsnummeret på en enhet, går du til Innstillinger > Generelt > Om.
Versjonen og versjonsnummeret ser omtrent slik ut: 4.1 (8B117A). Nummeret i
parentes er versjonsnummeret som angir hvilken utgave av versjonen enheten kjører.
Når versjonsnummeret sendes til Exchange Server, konverteres det fra formatet
NANNNA (der N er et numerisk og A er et alfabetisk tegn) til Exchange-formatet
NNN.NNN. Numeriske verdier beholdes, mens bokstaver konverteres til den
plasseringen de har i alfabetet. «F» konverteres for eksempel til «06» fordi det er
den sjette bokstaven i alfabetet. Tallene fylles om nødvendig ut med null for å
passe inn i Exchange-formatet.
I dette eksempelet konverteres versjonsnummeret 7E18 til 705.018.
Det første tallet, 7, forblir «7». Bokstaven E er den femte bokstaven i alfabetet og
konverteres til «05». Det settes inn et punktum (.) i den konverterte versjonen, slik formatet krever. Det neste tallet, 18, tilføyes en null og konverteres til «018».
Hvis versjonsnummeret slutter på en bokstav, som 5H11A, konverteres tallet som
beskrevet ovenfor, og den numeriske verdien til det siste tegnet legges til atskilt av tre nuller. 5H11A blir altså 508.01100001.
Fjernsletting
Du kan fjernslette innhold på en iOS-enhet med funksjoner i Exchange. Sletting
fjerner alle data og all konfigurasjonsinformasjon fra enheten på en sikker måte, og fabrikkinnstillingene gjenopprettes. Sletting fjerner krypteringsnøkkelen til
dataene (kryptert med 256-bits AES-kryptering), og det blir straks umulig å
gjenopprette dataene.
Med Microsoft Exchange Server 2007 eller nyere kan du utføre en fjernsletting med Exchange Management Console, Outlook Web Access eller Exchange
ActiveSync Mobile Administration Web-verktøyet. Med Microsoft Exchange Server 2003 kan du utføre en fjernsletting med Exchange ActiveSync Mobile
Administration Web-verktøyet.
5
iOS-utrulling – teknisk veiledning
Alternativt kan brukere slette sin egen enhet ved å gå til Innstillinger > Generelt >
Nullstill og velge «Slett alt innhold og alle innstillinger». Enheter kan også konfigureres
slik at de slettes automatisk hvis feil kode oppgis et bestemt antall ganger.
Standardbaserte tjenester
iOS støtter IMAP-e-postprotokollen, LDAP-katalogtjenester, CalDAV-kalender-
funksjoner og CardDAV-kontaktprotokoller og kan integreres med de aller fleste
standardbaserte miljøer. Hvis nettverksmiljøet er konfigurert med krav om bruker-
autentisering og SSL, har iOS en sikker løsning for tilgang til standardbaserte e-poster, kalendere, oppgaver og kontakter i bedriften. Med SSL støtter iOS 128-bits
kryptering og X.509 rotsertifikater utstedt av de fleste store sertifiseringsmyndigheter.
I et typisk utrullingsscenario oppretter iOS-enheter direkte tilgang til IMAP- og
SMTP-tjenere for e-post for å sende og motta e-post trådløst, og de kan også
synkronisere notater trådløst via IMAP-baserte tjenere. iOS-enheter kan koble til bedriftens LDAPv3-bedriftskataloger, slik at brukerne får tilgang til bedriftens
kontakter i Mail-, Kontakter- og Meldinger-appene. Synkronisering med CalDAVtjeneren gjør at brukerne trådløst kan lage og godta kalenderinvitasjoner, motta
kalenderoppdateringer og synkronisere oppgaver med Påminnelser-appen. Med CardDAV-støtte kan dessuten brukerne synkronisere kontakter med CardDAVtjeneren i vCard-format. Alle nettverkstjenere kan plasseres i et DMZ-nettverk, bak en bedriftsbrannmur, eller begge deler.
Wi-Fi
Det er sikkert å koble iOS-enheter til Wi-Fi-nettverk – bedrifts- eller gjestenettverk.
Brukerne har rask og enkel tilgang til tilgjengelige trådløse nettverk både på
kontoret og når de er ute på farten.
Koble til Wi-Fi
Brukerne kan angi at iOS-enheter skal koble til tilgjengelige Wi-Fi-nettverk
automatisk. Wi-Fi-nettverk som krever påloggingsinformasjon eller lignende, kan kobles til uten å åpne en egen nettleserøkt, enten fra Wi-Fi-innstillingene eller fra apper som Mail. Med energieffektiv, kontinuerlig Wi-Fi-tilkobling kan
dessuten apper bruke Wi-Fi-nettverk til pushvarsling.
WPA2 Enterprise
iOS støtter standard trådløse nettverksprotokoller, deriblant WPA2 Enterprise, slik at trådløse bedriftsnettverk kan benyttes sikkert av iOS-enheter. WPA2 Enterprise
benytter 128-bits AES-kryptering, en anerkjent blokkbasert krypteringsmetode som
gir brukeren den høyeste sikkerhetsgraden med tanke på datasikkerhet.
Med støtte for 802.1X, kan iOS integreres i en rekke RADIUS-autentiseringsmiljøer.
802.1X-teknologi for trådløs autentisering som støttes av iOS, er EAP-TLS, EAP-TTLS,
EAP-FAST, PEAPv0, PEAPv1 og LEAP.
!
6
iOS-utrulling – teknisk veiledning
Roaming
iOS støtter 802.11k og 802.11r for roaming i store Wi-Fi-bedriftsnettverk. 802.11k
hjelper iOS-enheter med overgangen mellom Wi-Fi-tilgangspunkter ved å bruke rapportene fra tilgangspunktene, mens 802.11r strømlinjeformer 802.1Xautentiseringen når en enhet går fra ett tilgangspunkt til et annet.
For rask klargjøring og utrulling kan trådløse nettverk, sikkerhet, proxy og
autentisering konfigureres med konfigurasjonsprofiler eller MDM.
Virtuelle private nettverk
Sikker tilgang til private bedriftsnettverk er tilgjengelig iOS ved hjelp av etablerte,
standard VPN-protokoller (Virtual Private Network). iOS leveres med støtte for Cisco IPSec, L2TP over IPSec og PPTP. Hvis bedriften støtter en av disse protokollene,
kreves det ingen ytterligere nettverkskonfigurering eller tredjepartsapper for å koble iOS-enheter til bedriftens VPN.
iOS støtter også SSL VPN fra populære VPN-leverandører. Du går bare til App Store
og laster ned en VPN-klientapp som er utviklet av et av selskapene, og så er du i gang. Som andre VPN-protokoller som støttes i iOS, kan SSL VPN konfigureres
manuelt på enheten eller via konfigurasjonsprofiler eller MDM.
iOS støtter standardteknologi som IPv6, proxytjenere og split-tunneling for en rik VPN-opplevelse ved tilkobling til bedriftsnettverk. Dessuten fungerer iOS med
en rekke autentiseringsmetoder, som passord, tofaktorskjennetegn og digitale
sertifikater. iOS har VPN etter behov for strømlinjeformet tilkobling i miljøer med sertifikatbasert autentisering. Det startes en VPN-økt når det er nødvendig for å koble til bestemte domener.
Med iOS 7 kan enkeltapper konfigureres til å bruke en VPN-tilkobling som er
uavhengig av andre apper på enheten. Slik overføres bedriftsdata alltid over en VPN-tilkobling, mens andre data, som ansattes personlige apper fra App Store,
ikke gjør det. Du finner mer informasjon under «Per App VPN» senere i dette
kapittelet.
Protokoller og autentiseringsmetoder som støttes
SSL VPN. Støtter brukerautentisering med passord, tofaktorskjennetegn og
sertifikater.
Cisco IPSec. Støtter brukerautentisering med passord, tofaktorskjennetegn og maskinautentisering med delt hemmelighet og sertifikater.
L2TP over IPSec. Støtter brukerautentisering med MS-CHAP v2-passord,
tofaktorskjennetegn og maskinautentisering med delt hemmelighet.
PPTP. Støtter brukerautentisering med MS-CHAP v2-passord og
tofaktorskjennetegn.
SSL VPN-klienter
Flere SSL VPN-leverandører har utviklet apper for konfigurering av iOS-enheter ved
bruk av deres løsninger. Når du skal konfigurere en enhet for en bestemt løsning,
installerer du den aktuelle appen og lager eventuelt en konfigurasjonsprofil med
nødvendige innstillinger. SSL VPN-løsninger:
• Juniper Junos Pulse SSL VPN. iOS støtter Juniper Networks SA Series SSL VPN
Gateway med versjon 6.4 eller nyere med Juniper Networks IVE versjon 7.0 eller
nyere. Installer Junos Pulse-appen fra App Store for konfigurering.
Du finner mer informasjon i Juniper Networks-programdokumentet. 7
iOS-utrulling – teknisk veiledning
• F5 SSL VPN. iOS støtter F5 BIG-IP Edge Gateway, Access Policy Manager og
FirePass SSL VPN-løsninger. Installer F5 BIG-IP Edge Client-appen fra App Store for konfigurering.
Du finner flere opplysninger i den tekniske informasjonen om F5: Secure iPhone
Access to Corporate Web Applications.
• Aruba Networks SSL VPN. iOS støtter Aruba Networks Mobility Controller.
Installer Aruba Networks VIA-appen fra App Store for konfigurering.
Du finner kontaktinformasjon på nettsiden til Aruba Networks.
• SonicWALL SSL VPN. iOS støtter SonicWALL Aventail E-Class Secure Remote
Access-enheter som kjører 10.5.4 eller nyere, SonicWALL SRA-enheter som kjører
5.5 eller nyere, og SonicWALL Next-Generation Firewall-enheter inkludert TZ, NSA,
E-Class NSA som kjører SonicOS 5.8.1.0 eller nyere. Installer SonicWALL Mobile
Connect-appen fra App Store for konfigurering.
Du finner kontaktinformasjon på nettsiden til SonicWALL.
• Check Point Mobile SSL VPN. iOS støtter Check Point Security Gateway med en
fullstendig lag 3 VPN-tunnel. Installer Check Point Mobile-appen fra App Store for konfigurering.
• OpenVPN SSL VPN. iOS støtter OpenVPN Access Server, Private Tunnel og OpenVPN
Community. Installer OpenVPN Connect-appen fra App Store for konfigurering.
• Palo Alto Networks GlobalProtect SSL VPN. iOS støtter GlobalProtect-portalen fra Palo Alto Networks. Installer GlobalProtect for iOS-appen fra App Store for
konfigurering.
• Cisco AnyConnect SSL VPN. iOS støtter Cisco Adaptive Security Appliance (ASA)
som kjører versjon 8.0(3).1 eller nyere. Installer Cisco AnyConnect-appen fra App
Store for konfigurering.
Retningslinjer for klargjøring av VPN
Retningslinjer for klargjøring av Cisco IPSec
Følg disse retningslinjene når du skal konfigurere Cisco VPN-tjeneren for bruk med
iOS-enheter. iOS støtter Cisco ASA 5500 Security Appliances og PIX Firewalls
konfigurert med 7.2.x-programvare eller nyere. Den nyeste programvareversjonen
(8.0.x eller nyere) anbefales. iOS støtter også Cisco IOS VPN-rutere med IOS-versjon
12.4(15)T eller nyere. VPN 3000 Series Concentrators støtter ikke iOS VPN-funksjoner.
Klargjøring av proxy
Du kan også angi en VPN-proxy for all konfigurering. Vil du konfigurere én enkelt
proxy for alle tilkoblinger, bruker du manuelle innstillinger og oppgir adresse, port
og eventuelt autentisering. Vil du bruke en fil for automatisk proxykonfigurering
med PAC eller WPAD, bruker du automatiske innstillinger. For PACS oppgir du URLen til PACS-filen. For WPAD sender iOS spørringer til DHCP og DNS for å få riktige
innstillinger.
!
8
iOS-utrulling – teknisk veiledning
Autentiseringsmetoder
iOS støtter følgende autentiseringsmetoder:
• IPSec-autentisering med forhåndsdelt nøkkel og brukerautentisering via xauth.
• Klient- og tjenersertifikater for IPSec-autentisering, med valgfri
brukerautentisering via xauth.
• Hybridautentisering, der tjeneren har et sertifikat og klienten en forhåndsdelt
nøkkel for IPSec-autentisering. Det kreves brukerautentisering via xauth.
• Brukerautentisering skjer via xauth og omfatter følgende autentiseringsmetoder:
– Brukernavn og passord
– RSA SecurID
– CryptoCard
Autentiseringsgrupper
Cisco Unity-protokollen bruker autentiseringsgrupper til å gruppere brukere basert på et felles sett med autentiseringsparametere og andre parametere. Du bør opprette en autentiseringsgruppe for iOS-brukere. Ved forhåndsdelt nøkkel og hybridautentisering må gruppenavnet konfigureres på enheten med gruppens delte hemmelighet (forhåndsdelt nøkkel) som gruppepassord.
Delt hemmelighet brukes ikke ved sertifikatautentisering. Gruppen til en bruker
avgjøres basert på feltene i sertifikatet. Cisco-tjenerinnstillingene kan brukes til å kartlegge felt i et sertifikat for brukergrupper.
RSA-Sig bør ha høyeste prioritet på ISAKMP-prioritetslisten.
Sertifikater
Husk følgende når du klargjør og installerer sertifikater:
Tjenersertifikatet må inneholde tjenerens DNS-navn og/eller IP-adresse i SubjectAltName-feltet Enheten bruker denne informasjonen til å kontrollere at sertifikatet tilhører tjeneren. Vil du ha mer fleksibilitet, kan du skrive inn
SubjectAltName med jokertegn for samsvar per segment, som vpn.*.mycompany.com.
Hvis det ikke er angitt noe SubjectAltName, kan du skrive inn DNS-navnet i det
felles navnefeltet.
CA-sertifikatet som signerte tjenerens sertifikat, må installeres på enheten. Hvis det ikke er et rotsertifikat, installerer du resten av sertifikatkjeden, slik at
sertifikatet blir godkjent. Hvis du bruker klientsertifikater, sørger du for at det
godkjente CA-sertifikatet som signerte klientens sertifikat, installeres på VPNtjeneren. Når du bruker sertifikatbasert autentisering, må du sørge for at tjeneren kan identifisere brukerens gruppe basert på feltene i klientsertifikatet.
Sertifikater og sertifikatmyndigheter må være gyldige (for eksempel ikke utløpt).
Sertifikatkjeden kan ikke sendes av tjeneren, og du bør deaktivere den.
!
9
iOS-utrulling – teknisk veiledning
IPSec-innstillinger
Bruk følgende IPSec-innstillinger:
• Modus. Tunnelmodus
• IKE Exchange-moduser. Aggressive-modus for forhåndsdelt nøkkel og
hybridautentisering eller Main-modus for sertifikatautentisering.
• Krypteringsalgoritmer. 3DES, AES-128, AES-256.
• Autentiseringsalgoritmer. HMAC-MD5, HMAC-SHA1.
• Diffie-Hellman-grupper. Gruppe 2 er påkrevd for forhåndsdelt nøkkel og
hybridautentisering. Bruk gruppe 2 med 3DES og AES-128 for sertifikat-
autentisering. Bruk gruppe 2 eller 5 med AES-256.
• PFS (Perfect Forward Secrecy). Hvis PFS brukes, må Diffie-Hellman-gruppen være den samme for IKE fase 2-gruppen som for IKE fase 1.
• Moduskonfigurering. Må aktiveres.
• Dead Peer Detection. Anbefales.
• Standard NAT Traversal. Støttes og kan aktiveres (IPSec over TCP støttes ikke).
• Lastbalansering. Støttes og kan aktiveres.
• Nøkkelveksling for fase 1. Støttes ikke per i dag. Det anbefales at tiden for
nøkkelveksling på tjeneren settes til én time.
• ASA-adressemaske. Sørg for at alle adressemasker til enheter enten ikke er angitt
eller er satt til 255.255.255.255. For eksempel: asa(config-webvpn)# ip local pool
vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.
Hvis du bruker den anbefalte adressemasken, kan enkelte av rutingene i VPNkonfigureringen bli ignorert. For å unngå det må du sørge for at rutingtabellen
inneholder alle nødvendige rutinger og kontrollere at subnettadressene er
tilgjengelige før utrulling.
Andre funksjoner som støttes
• Programversjon. Versjonen til klientprogramvaren sendes til tjeneren, slik at tjeneren kan godta eller avvise tilkoblinger basert på enhetens
programvareversjon.
• Banner. Banneret (hvis det er konfigurert på tjeneren) vises på enheten, og brukeren må godta det eller koble fra.
• Delt tunnel. Delt tunnel støttes.
• Delt DNS. Delt DNS støttes.
• Standard domene. Standard domene støttes.
!
10
iOS-utrulling – teknisk veiledning
VPN On Demand
Med VPN On Demand kan iOS automatisk etablere en sikker tilkobling uten
brukertilgang. VPN-tilkoblingen opprettes etter behov på grunnlag av regler som er definert i en konfigurasjonsprofil.
I iOS 7 konfigureres VPN On Demand med OnDemandRules-nøkkelen i en VPN-konfigurasjon i en konfigurasjonsprofil. Regler brukes i to faser:
• Fasen for nettverksgjenkjenning. Angir VPN-krav som brukes når enhetens
primære nettverkstilkobling endres.
• Fasen for vurdering av tilkoblingen. Definerer VPN-kravene til forespørsler om tilkobling til domenenavn etter behov.
Regler kan for eksempler brukes til å:
• registrere når en iOS-enhet er tilkoblet et internt nettverk og VPN ikke er
nødvendig
• registrere når det brukes et ukjent Wi-Fi-nettverk og VPN kreves for all
nettverksaktivitet
• kreve VPN når en DNS-forespørsel etter et bestemt domenenavn mislykkes
Fasen for nettverksgjenkjenning
Regler for VPN On Demand vurderes når grensesnittet til enhetens primære
nettverk endres, som for eksempel når en iOS-enhet bytter til et annet Wi-Finettverk eller fra et Wi-Fi-nettverk til et mobilnettverk. Hvis det primære
grensesnittet er et virtuelt grensesnitt, for eksempel et VPN-grensesnitt, ignoreres VPN On Demand-regler.
Alle regler i hvert sett (ordliste) må oppfylles for at handlingen skal utføres. Hvis noen av reglene ikke oppfylles, vurderes neste ordliste helt til hele
OnDemandRules-rekken er gjennomgått.
Den siste ordlisten bør definere en standardkonfigurasjon uten noen regler, men kun en handling. Det fanger opp alle tilkoblinger som ikke har oppfylt de foregående reglene.
Fasen for vurdering av tilkoblingen
VPN kan aktiveres etter behov ved forespørsler om tilkobling til bestemte domener, i stedet for kun tilkobling eller frakobling til VPN basert på nettverksgrensesnittet.
Regler etter behov
Angi én eller flere av følgende regler:
• InterfaceTypeMatch. Valgfri. En strengverdi for Wi-Fi- eller mobilnettverk. Regelen oppfylles når maskinvaren til det primære grensesnittet er av angitt type.
• SSIDMatch. Valgfri. En rekke med SSID-er som skal kontrolleres mot gjeldende
nettverk. Hvis nettverket ikke er et Wi-Fi-nettverk, eller hvis SSID-en ikke vises i listen, oppfylles ikke regelen. Utelat nøkkelen og rekken for å ignorere SSID.
• DNSDomainMatch. Valgfri. En rekke med søkedomener som strenger. Egenskapen oppfylles hvis det konfigurerte DNS-søkedomenet i gjeldende
primærnettverk er inkludert i listen. Jokertegnprefiks (*) støttes, slik at
*.example.com svarer til anything.example.com.
!
11
iOS-utrulling – teknisk veiledning
• DNSServerAddressMatch. Valgfri. En rekke med DNS-tjeneradresser som strenger.
Egenskapen oppfylles hvis alle DNS-tjeneradressene som er konfigurert for det
primære grensesnittet, finnes i rekken. Jokertegn (*) støttes, slik at 1.2.3.* svarer til
alle DNS-tjenere med 1.2.3.-prefiks.
• URLStringProbe. Valgfri. En tjener som kontrollerer tilgjengelighet. Omdirigering
støttes ikke. URL-en bør gå til en godkjent HTTPS-tjener. Enheten sender en GET-forespørsel for å kontrollere om tjeneren er tilgjengelig.
Handling
Nøkkelen definerer VPN-atferd for når alle angitte regler oppfylles. Nøkkelen er
påkrevd. Verdier for handlingsnøkkelen er:
• Koble til. Åpner VPN-tilkoblingen ubetinget ved neste forsøk på tilkobling.
• Koble fra. Avbryter VPN-tilkoblingen og aktiverer ingen nye tilkoblinger etter behov.
• Ignorer. Lar eksisterende VPN-tilkoblinger være åpne, men aktiverer ingen nye
tilkoblinger etter behov.
• Tillat. For iOS-enheter med iOS 6 eller eldre. Se «Informasjon om bakover-
kompatibilitet» senere i dette kapittelet.
• EvaluateConnection. Vurderer ActionParameters for hvert forsøk på å koble til.
Når regelen brukes, er ActionParameters, som er beskrevet nedenfor, påkrevd for å angi vurderingsreglene.
ActionParameters
En rekke med ordlister med nøklene beskrevet nedenfor, som vurderes i den
rekkefølgen de er angitt. Påkrevd når handlingen er EvaluateConnection.
• Domains. Påkrevd. En rekke med strenger som definerer domenene som
vurderingen gjelder for. Jokertegnprefikser støttes, som *.example.com.
• DomainAction. Påkrevd. Definerer VPN-atferd for domenene angitt under
Domains. Verdier for DomainAction-nøkkelen er:
– ConnectIfNeeded. Viser VPN hvis DNS-løsningen for domenene mislykkes, som når DNS-tjeneren angir at den ikke kan løse domenenavnet, eller hvis DNS-svaret omdirigeres, eller hvis tilkoblingen mislykkes eller tar for lang tid.
– NeverConnect. Aktiverer ikke VPN for domenene.
Når DomainAction er ConnectIfNeeded, kan du også angi følgende nøkler i ordlisten for vurdering av tilkobling:
• RequiredDNSServers. Valgfri. En rekke av IP-adresser til DNS-tjenere som skal
brukes for å løse domenene. Disse tjenerne trenger ikke å inngå i enhetens
gjeldende nettverkskonfigurasjon. Hvis DNS-tjenerne ikke er tilgjengelige,
aktiveres VPN. Konfigurer en intern DNS-tjener eller en godkjent ekstern DNStjener.
• RequiredURLStringProbe. Valgfri. En HTTP- eller HTTPS-URL (sistnevnte foretrukket)
URL for kontroll, ved hjelp av en GET-forespørsel. Hvis DNS-løsningen for tjeneren
lykkes, må også kontrollen lykkes. Hvis kontrollen mislykkes, aktiveres VPN.
!
12
iOS-utrulling – teknisk veiledning
Informasjon om bakoverkompatibilitet
Før iOS 7 ble regler som aktiverte domener, konfigurert via domenerekker kalt OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry og
OnDemandMatchDomainNever. OnRetry og Never støttes fortsatt i iOS 7, selv om handlingen EvaluateConnection prioriteres.
Hvis du vil lage en profil som fungerer i både iOS 7 og eldre versjoner, bruker du de nye EvaluateConnection-nøklene i tillegg til OnDemandMatchDomain-rekkene. Eldre iOS-versjoner som ikke gjenkjenner EvaluateConnection, vil bruke de gamle
rekkene, mens iOS 7 og nyere versjoner vil bruke EvaluateConnection.
Eldre konfigurasjonsprofiler som angir Tillat-handlingen, fungerer i iOS 7, med unntak av OnDemandMatchDomainsAlways-domener.
Per App VPN
I iOS 7 kan VPN-tilkoblinger opprettes per app. Det gir mer detaljert kontroll over
hvilke data som overføres over VPN, og hvilke som ikke gjør det. Med VPN per
enhet overføres alle data over det private nettverket uavhengig av opprinnelse. Når stadig flere personlige enheter brukes i bedriften, gir Per App VPN sikker
nettverkstilkobling for interne apper samtidig som personvernet ivaretas med
hensyn til aktiviteten på den personlige enheten.
Med Per App VPN kan hver app som administreres av MDM kommunisere med det private nettverket via en sikker tunnel, mens andre, ikke-administrerte apper på enheten ikke kan bruke det private nettverket. I tillegg kan administrerte apper
konfigureres med ulike VPN-tilkoblinger for å sikre data ytterligere. En app med
salgstilbud kan for eksempel bruke et helt annet datasenter enn en app med
utestående fordringer, mens brukerens personlige nettrafikk skjer over det
offentlige nettet. Muligheten til å skille mellom trafikk på appnivå gjør det mulig å holde personlige data atskilt fra bedriftens data.
Per App VPN krever at appen administreres via MDM og bruker standard nettverksAPI-er for iOS. Per App VPN konfigureres med en MDM-konfigurasjon som angir
hvilke apper og Safari-domener som kan bruke innstillingene. Du finner mer
informasjon om MDM i kapittel 3: Konfigurering og administrering.
Single Sign On (SSO)
I iOS 7 kan apper bruke bedriftens eksisterende infrastruktur for Single Sign On via
Kerberos. Single Sign On kan forbedre brukeropplevelsen ettersom brukeren kun
trenger å oppgi passordet én gang. Det øker også sikkerheten ved den daglige
bruken av apper ettersom passordene aldri overføres trådløst.
Kerberos-autentiseringssystemet som brukes i iOS 7 er en bransjestandard og den
mest brukte teknologien for Single Sign On i verden. Hvis du har Active Directory,
eDirectory eller OpenDirectory, har du sannsynligvis allerede et Kerberos-system
som iOS 7 kan anvende. iOS-enheter må kunne koble til Kerberos-tjenesten via en
nettverksforbindelse for å autentisere brukere.
!
13
iOS-utrulling – teknisk veiledning
Apper som støttes
iOS har fleksibel støtte for Kerberos-enkeltpålogging (SSO) for alle apper som
bruker NSURLConnection- eller NSURLSession-klassen til å administrere
nettverkstilkoblinger og autentisering. Apple gir alle utviklere rammeverk på dette høye nivået, slik at nettverkstilkoblingene integreres sømløst med appene.
Apple tilbyr også Safari som eksempel, slik at du kommer i gang med å bruke SSO-aktiverte nettsider som støttes.
Konfigurere SSO
Single Sign On konfigureres med konfigurasjonsprofiler, som enten kan installeres
manuelt eller administreres med MDM. SSO-kontoen kan konfigureres fleksibelt.
SSO kan være åpen for alle apper eller begrenses av enten app-ID, tjeneste-URL
eller begge.
Det brukes et enkelt mønster for å se om URL-ene stemmer, og URL-er må begynne på enten http:// eller https://. Hele URL-en kontrolleres, så de må stemme helt
nøyaktig. For eksempel, en URLPrefixMatches-verdi på https://www.example.com/
vil ikke stemme overens med https://www.example.com:443/. Du kan angi http:// eller https:// for å begrense bruken av SSO til enten sikre eller regulære
HTTP-tjenester. URLPrefixMatches-verdien https:// vil for eksempel gjøre at SSO-kontoen utelukkende brukes til sikre HTTPS-tjenester. Hvis et URL-mønster ikke slutter på skråstrek (/), legges det til en skråstrek (/).
AppIdentifierMatches-rekken må inneholde strenger som svarer til appens pakkeID-er. Strengene kan være helt presise (for eksempel com.mycompany.myapp) eller de kan angi et prefiks i pakke-ID-en ved at det brukes et jokertegn (*). Jokertegnet
må stå etter et punktum (.) og kun på slutten av strengen (for eksempel
com.mycompany.*). Når det brukes et jokertegn, er alle apper med en pakke-ID
som begynner med prefikset, garantert tilgang til kontoen.
Digitale sertifikater
Digitale sertifikater er en identifiseringstype som gjør det mulig å strømlinjeforme
autentisering, dataintegritet og kryptering. Et digitalt sertifikat består av en fellesnøkkel, informasjon om brukeren og sertifiseringsmyndigheten som utstedte sertifikatet. iOS støtter digitale sertifikater, noe som gir bedrifter sikker,
strømlinjeformet tilgang til bedriftstjenester.
Sertifikater kan brukes på en rekke måter. Data som signeres med et digitalt
sertifikat, kan ikke endres. Sertifikater kan brukes til å garantere identiteten til
forfatteren eller personen som har signert. De kan også brukes til å kryptere
konfigurasjonsprofiler og nettverkskommunikasjon for å beskytte konfidensiell eller privat informasjon enda bedre.
Safari-nettleseren kan kontrollere om et digitalt X.509-sertifikat er gyldig og
opprette en sikker økt med opptil 256-bits AES-kryptering. Det sørger for at
nettstedets identitet er godkjent og at kommunikasjonen med nettstedet er
beskyttet, slik at personlig eller konfidensiell informasjon ikke kan fanges opp.
!
14
iOS-utrulling – teknisk veiledning
Sertifikater og identitetsformater som
støttes:
• iOS har støtte for X.509-sertifikater med RSA-nøkler.
• Filtypene .cer, .crt, .der, .p12 og .pfx gjenkjennes.
Bruke sertifikater i iOS
Rotsertifikater
iOS leveres med flere forhåndsinstallerte rotsertifikater. Du finner mer informasjon i listen i denne artikkelen på Apples supportnettsted.
iOS kan oppdatere sertifikater trådløst dersom forhåndsinnstilte rotsertifikater blir
skadet. Funksjonen kan deaktiveres med en restriksjon som forhindrer trådløse
oppdateringer.
Hvis du bruker et rotsertifikat som ikke er forhåndsinstallert, som et selvsignert
rotsertifikat bedriften har laget, kan du distribuere det på en av måtene som er
angitt nedenfor.
Distribuere og installere sertifikater
Det er enkelt å distribuere sertifikater til iOS-enheter. Når et sertifikat mottas, kan
brukerne ganske enkelt trykke for å gå gjennom innholdet, og deretter trykke for å
legge til sertifikatet på enheten. Når et identitetssertifikat er installert, blir brukerne
bedt om å oppgi et langt passord som beskytter det. Hvis autentisiteten til et
sertifikat ikke kan bekreftes, blir det vist som ikke-godkjent, og brukeren kan velge
om hun eller han vil legge det til allikevel.
Installere sertifikater via konfigurasjonsprofiler
Hvis konfigurasjonsprofiler brukes til å distribuere innstillinger for bedriftstjenester
som Exchange, VPN eller Wi-Fi, kan sertifikater legges til i profilen for mer strøm-
linjeformet utrulling. Det innbefatter muligheten til å distribuere sertifikater via MDM.
Installere sertifikater via Mail eller Safari
Hvis et sertifikat sendes i en e-post, vil det vises som et vedlegg. Safari kan også brukes til å laste ned sertifikater fra en nettside. Du kan ha et sertifikat på et sikkert nettsted og gi brukerne URL-en der de kan laste ned sertifikatet til enhetene.
Fjerne og kalle tilbake sertifikater
Hvis du vil fjerne et installert sertifikat manuelt, velger du Innstillinger > Generelt >
Profiler, og deretter velger du sertifikatet du vil fjerne. Hvis en bruker fjerner et
sertifikat som er påkrevd for å få tilgang til en konto eller et nettverk, vil ikke
enheten lenger kunne koble til de aktuelle tjenestene.
En MDM-tjener kan vise alle sertifikater på en enhet og fjerne alle sertifikater den
har installert.
I tillegg støttes protokollene OCSP (Online Certificate Status Protocol) og CRL
(Certificate Revocation List) for kontroll av sertifikatstatus. Når et OCSP- eller CRLaktivert sertifikat brukes, kontrollerer iOS jevnlig at det ikke er tilbakekalt.
Bonjour
Bonjour er Apples standardbaserte nettverksprotokoll uten konfigurering. Den gjør at enheter finner tjenester på et nettverk. iOS-enheter bruker Bonjour til å oppdage
AirPrint-kompatible skrivere og AirPlay-kompatible enheter, for eksempel Apple TV.
Enkelte «peer-to-peer»-apper krever også Bonjour. Nettverksinfrastrukturen og
Bonjour må være riktig konfigurert for å fungere sammen.
iOS 7.1-enheter vil også se etter AirPlay-kilder via Bluetooth. Når en kompatibel
Apple TV oppdages, vil AirPlay-data overføres via Wi-Fi-nettverket. Apple TV 6.1 eller
nyere kreves for å aktivere Bluetooth-oppdagelse, og iOS-enheten og Apple TVenheten må være koblet til samme subnett for å spille av eller speile innhold.
Du finner mer informasjon om Bonjour på denne Apple-nettsiden. !
15
iOS-utrulling – teknisk veiledning
Kapittel 2: Sikkerhet
!
iOS er utviklet med flere sikkerhetslag. Det er derfor trygt å bruke iOS-enheter til å få tilgang til nettverkstjenester og beskytte viktige data. iOS har sterk kryptering
for data som overføres, velprøvde autentiseringsmetoder for tilgang til bedriftens
tjenester og maskinvarekryptering for alle arkiverte data. iOS har også sikker
beskyttelse gjennom bruken av passordregler som kan leveres og håndheves
trådløst. Dersom enheten skulle havne i gale hender, kan brukere og IT-admini-
stratorer utføre en fjernsletting for å fjerne privat informasjon.
Med tanke på iOS' sikkerhet til bedriftsbruk, er det praktisk å sette seg inn i følgende:
• Enhetskontroller. Metoder som forhindrer uautorisert bruk av enheten.
• Kryptering og databeskyttelse. Beskyttelse av arkiverte data, selv hvis en enhet
blir borte eller stjålet.
• Nettverkssikkerhet. Nettverksprotokoller og kryptering av data som overføres.
• Appsikkerhet.Apper kan kjøre sikkert uten at det går på bekostning av
plattformintegriteten.
• Internettjenester. Apples nettverkbaserte infrastruktur for meldinger,
synkronisering og sikkerhetskopier.
Disse funksjonene fungerer sammen og gir en sikker mobilplattform.
Det er støtte for følgende sikkerhetskoderegler:
• Krev kode på enheten
• Krev alfanumerisk verdi
• Minimum kodelengde
• Minimum antall komplekse tegn
• Maksimum varighet for kode
• Tid før automatisk låsing
• Kodehistorikk
• Utvidet tid før enheten låses
• Maksimum antall mislykkede forsøk
Sikkerhet på enheten
Det må etableres strenge regler for tilgang til iOS-enheter for å beskytte bedrifts-
informasjon. Første ledd i forsvaret mot uautorisert tilgang er å beskytte enhetene
med sikkerhetskoder. Kodene kan konfigureres og aktiveres trådløst. iOS-enheter
bruker den unike koden hver bruker har angitt, for å generere en sterk krypterings-
nøkkel som gir ekstra beskyttelse til e-post og sensitiv appdata på enheten. I tillegg
bruker iOS sikre metoder til å konfigurere enheten i et IT-miljø, der bestemte
innstillinger, regler og restriksjoner må være på plass. Metodene gir fleksible
alternativer for å etablere et standardnivå av beskyttelse for autoriserte brukere.
Sikkerhetskoderegler
Koden til en enhet hindrer uautoriserte brukere i å få tilgang til enheten og
dataene. iOS har en rekke koderegler for ulike sikkerhetsbehov, blant annet
tidsavbrudd, passordstyrke og hvor ofte passordet må endres.
!
16
iOS-utrulling – teknisk veiledning
Håndheving av regler
Regler kan distribueres som en del av en konfigurasjonsprofil som brukere
installerer. En profil kan defineres slik at den kun kan slettes med et administratorpassord, eller du kan definere profilen slik at den låses til enheten og ikke kan
fjernes uten at alt innholdet på enheten slettes. Dessuten kan kodeinnstillinger
konfigureres eksternt med MDM-løsninger som kan overføre regler direkte til
enheten via pushteknologi. Slik kan regler implementeres og oppdateres uten at brukeren må gjøre noe.
Hvis enheten er konfigurert for tilgang til en Microsoft Exchange-konto, sendes
Exchange ActiveSync-reglene til enheten trådløst. Hvilke regler som er tilgjengelige,
vil variere avhengig av hvilken versjon av Exchange ActiveSync og Exchange Server
som brukes. Hvis det både er angitt Exchange- og MDM-regler, vil den strengeste
regelen gjelde.
Sikker enhetskonfigurering
Konfigurasjonsprofiler er XML-filer som inneholder sikkerhetsregler og -restriksjoner,
informasjon om VPN-konfigurasjon, Wi-Fi-innstillinger, e-post- og kalenderkontoer
samt autentiserings- og påloggingsinformasjon som gir iOS-enheter tilgang til
bedriftens IT-system. Muligheten til å etablere koderegler i tillegg til innstillingene i en konfigurasjonsprofil gjør at enheter i bedriften konfigureres korrekt og i
samsvar med de sikkerhetsstandardene som IT-avdelingen har fastsatt. Ettersom
konfigurasjonsprofilene kan krypteres og låses, kan ikke innstillingene fjernes,
endres eller deles med andre.
Konfigurasjonsprofiler kan både signeres og krypteres. Når en konfigurasjonsprofil
signeres, trer innstillingene i kraft og kan ikke endres. Kryptering av en konfigurasjons-
profil beskytter profilens innhold og tillater installering kun på enheten den ble
opprettet for. Konfigurasjonsprofiler krypteres med CMS (Cryptographic Message
Syntax, RFC 3852) og støtter 3DES og AES 128.
Første gang du distribuerer en kryptert konfigurasjonsprofil, kan du enten installere
den via USB med Apple Configurator, trådløst med Over-the-Air Profile Delivery og
konfigurasjonsprotokollen eller med MDM. Konfigurasjonsprofiler som krypteres
senere, kan overføres via e-postvedlegg, legges på en nettside som brukerne har
tilgang til, eller overføres til enhetene med MDM-løsninger.
Du finner mer informasjon på nettsiden Over-the-Air Profile Delivery and
Configuration protocol i iOS-utviklerbiblioteket.
Enhetsrestriksjoner
Enhetsrestriksjoner avgjør hvilke funksjoner brukerne har tilgang til på enheten.
Dette er gjerne nettverksaktiverte apper som Safari, YouTube eller iTunes Store,
men restriksjoner kan også kontrollere funksjonalitet på enheten, som installering
av apper eller bruk av kameraet. Du bruker restriksjoner til å konfigurere enheten
slik at den oppfyller bedriftens krav og brukes i samsvar med bedriftens regler.
Restriksjoner kan konfigureres manuelt på hver enhet, implementeres via en
konfigurasjonsprofil eller overføres eksternt med en MDM-løsning. Akkurat som
koderegler kan restriksjoner for kameraet eller nettbruken implementeres trådløst
via Microsoft Exchange Server 2007 og 2010. Restriksjoner kan også brukes til å
hindre at e-postmeldinger flyttes mellom kontoer, eller at meldinger som mottas til én konto videresendes til en annen.
I Tillegg B finner du informasjon om hvilke restriksjoner som støttes.
!
17
iOS-utrulling – teknisk veiledning
Kryptering og databeskyttelse
I alle miljøer med sensitiv informasjon er det viktig å beskytte data som er lagret på
iOS-enhetene. I tillegg til å kryptere data som overføres, har iOS maskinvarekryptering
for alle dataene som er lagret på enheten, og kryptering av e-post- og appdata med
forbedret databeskyttelse.
Kryptering
iOS-enheter bruker maskinvarebasert kryptering. Maskinvarekryptering bruker 256-bits AES til å beskytte alle data på enheten. Kryptering er alltid aktivert og kan ikke deaktiveres. All data som sikkerhetskopieres til iTunes på brukerens
datamaskin, kan krypteres. Funksjonen kan aktiveres av brukeren, eller håndheves
ved hjelp av innstillinger for enhetsrestriksjoner i konfigurasjonsprofiler. iOS støtter
også S/MIME i e-post, slik at brukerne kan vise og sende krypterte e-postmeldinger.
Krypteringsmodulene i iOS 7 og iOS 6 samsvarer med amerikanske FIPS 140-2 nivå 1
(Federal Information Processing Standard). Det sikrer integriteten til krypteringen i
Apple-apper og tredjepartsapper som har rett til å bruke krypteringstjenestene i iOS.
Du finner mer informasjon på nettsiden iOS-produktsikkerhet: Valideringer og
veiledning og iOS 7: Apple FIPS iOS Cryptographic Modules v4.0.
Databeskyttelse
E-postmeldinger og -vedlegg på enheten kan sikres ytterligere med databeskyttelsesfunksjonene som er innebygd i iOS. Databeskyttelse benytter hver
brukers unike enhetspassord kombinert med maskinvarekrypteringen på iOSenheter for å generere en sterk krypteringsnøkkel. Det hindrer tilgang til dataene
når enheten er låst. Kritisk informasjon er sikker selv om enheten skulle bli stjålet.
Du aktiverer databeskyttelsen ved å angi en kode på enheten. Hvor effektiv data-
beskyttelsen er, avhenger av hvor sterk koden er. Når du lager kodereglene, er det
viktig å kreve og håndheve bruk av koder som består av mer enn fire tegn. Brukerne
kan bekrefte at databeskyttelse er aktivert på enheten ved å se på skjermen for
kodeinnstillinger. MDM-løsninger kan også spørre enheter om slik informasjon.
API-er med databeskyttelse er også tilgjengelig for utviklere og kan brukes til å
sikre data i App Store-apper eller tilpassede bedriftsapper som er utviklet internt.
Fra og med iOS 7 blir data som arkiveres på apper, som standard plassert i
sikkerhetsklassen «Beskyttet til første brukerautentisering». Det tilsvarer fullstendig
diskkryptering på stasjonære datamaskiner og beskytter data mot angrep som
involverer en omstart.
Merk: Hvis en enhet er oppgradert fra iOS 6, blir eksisterende datalagre ikke
konvertert til den nye klassen. Appen må fjernes og installeres på nytt for å dekkes
av den nye beskyttelsesklassen.
Touch ID
Touch ID er fingeravtrykksystemet som er innebygd i iPhone 5s. Det gir svært sikker
tilgang til enheten på en raskere og enklere måte. Den framtidsrettede teknologien
kan lese av fingeravtrykk fra alle vinkler, og den lærer stadig mer om brukerens
fingeravtrykk over tid. Sensoren fortsetter å utvide kartet over fingeravtrykk
ettersom overlappende noder registreres for hver bruk.
Touch ID gjør det enklere å bruke lange, komplekse koder, for brukeren trenger ikke
å angi dem like ofte. Touch ID løser også den upraktiske siden ved bruk av kodelås.
Funksjonen erstatter ikke kodelåsen, men gir sikker tilgang til enheten på en rask
og god måte.
!
18
iOS-utrulling – teknisk veiledning
Når Touch ID er aktivert, låses iPhone 5s umiddelbart når det trykkes på Dvale/
vekke-knappen. Brukere som kun bruker kode, angir ofte utvidet tid før enheten
låses, slik at de slipper å angi koden hver gang de bruker enheten. Med Touch ID
låses iPhone 5s hver gang den går i dvale, og enheten krever et fingeravtrykk – eller en kode – for å vekkes.
Touch ID fungerer sammen med Secure Enclave, en koprosessor som er bygd inn i Apple A7-brikken. Secure Enclave har et eget beskyttet og kryptert minne og
kommuniserer sikkert med Touch ID-sensoren. Når iPhone 5s låses, beskyttes
nøklene til databeskyttelsesklassen Komplett av en nøkkel i det krypterte minnet i Secure Enclave. Nøkkelen oppbevares i maksimum 48 timer, og den slettes hvis
iPhone 5s startes på nytt eller et ukjent fingeravtrykk brukes fem ganger. Hvis et
fingeravtrykk gjenkjennes, utleverer Secure Enclave nøkkelen for å pakke opp
databeskyttelsesnøklene, og enheten låses opp.
Fjernsletting
iOS støtter fjernsletting. Hvis en enhet mistes eller blir stjålet, kan administratoren
eller eieren av enheten sende en fjernsletting-kommando som fjerner alle data og
deaktiverer enheten. Hvis enheten er konfigurert med en Exchange-konto, kan
administratoren utføre fjernsletting ved hjelp av Exchange Management Console
(Exchange Server 2007) eller Exchange ActiveSync Mobile Administration Webverktøyet (Exchange Server 2003 eller 2007). Brukere av Exchange Server 2007 kan
også utføre fjernsletting direkte via Outlook Web Access. Videre kan fjernsletting
utføres med MDM-løsninger eller via Finn iPhone-funksjonen i iCloud, selv om
Exchange-bedriftstjenester ikke benyttes.
Lokal sletting
Enheter kan også konfigureres til å utføre en lokal sletting etter at feil kode er
oppgitt flere ganger. Det beskytter mot «brute-force»-angrep for å få tilgang til
enheten. Når en kode er opprettet, kan brukerne aktivere lokal sletting direkte i innstillingene. Som standard vil iOS slette innholdet på enheten automatisk etter ti mislykkede forsøk på å tippe koden. Som med andre koderegler kan grensen for antall mislykkede forsøk angis i en konfigurasjonsprofil, via en MDM-tjener eller trådløst via Microsoft Exchange ActiveSync-retningslinjer.
Finn iPhone og aktiveringslås.
Hvis en enhet mistes eller blir stjålet, er det viktig å slette innholdet og deaktivere
enheten. Når Finn iPhone er aktivert i iOS 7, kan ikke enheten aktiveres på nytt uten
eierens Apple-ID-påloggingsinformasjon. Bedriftseide enheter bør enten overvåkes,
eller bedriften bør pålegge brukerne å deaktivere Finn iPhone, slik at funksjonen
ikke forhindrer bedriften i å tildele enheten til andre ansatte.
I iOS 7.1 og nyere kan du bruke en kompatibel MDM-løsning til å aktivere
aktiveringslås når en bruker slår på Finn iPhone. MDM-løsningen din kan oppbevare
en overstyringskode når Aktiveringslås aktiveres, og senere bruke denne koden til å
fjerne Aktiveringslås automatisk når du må slette enheten og rulle den ut til en ny
bruker. Se dokumentasjonen for MDM-løsningen din for mer detaljert informasjon.
Du finner mer informasjon om Finn iPhone og aktiveringslås her: iCloud-support og
Mobile Device Management og aktiveringslås for Finn iPhone.
!
19
iOS-utrulling – teknisk veiledning
Nettverkssikkerhet
• Innebygd Cisco IPSec, L2TP, PPTP VPN
• SSL VPN via App Store-apper
• SSL/TLS med X.509-sertifikater
• WPA/WPA2 Enterprise med 802.1X
• Sertifikatbasert autentisering
• RSA SecurID, CRYPTOCard
VPN-protokoller
• Cisco IPSec
• L2TP/IPSec
• PPTP
• SSL VPN
Autentiseringsmetoder
• Passord (MSCHAPv2)
• RSA SecurID
• CryptoCard
• X.509 digitale sertifikater
• Delt hemmelighet
Nettverkssikkerhet
Mobilbrukere må ha tilgang til bedriftsinformasjon fra hele verden, men det er
samtidig viktig å sikre at brukerne er godkjent, og at dataene er beskyttet under
overføringen. iOS benytter velprøvd teknologi for å oppfylle disse sikkerhets-
kravene for både Wi-Fi- og mobildatanettverksforbindelser.
I tillegg til den eksisterende infrastrukturen er hver eneste FaceTime-økt og
iMessage-samtale kryptert fra ende til annen. iOS oppretter en unik ID for hver
bruker, slik at kommunikasjonen krypteres, rutes og kobles riktig.
VPN
Mange bedriftsmiljøer har en form for virtuelle private nettverk (VPN). Disse sikre
nettverkstjenestene er allerede tatt i bruk og krever vanligvis minimal konfigurering
for å fungere med iOS. iOS er klart til å integreres med en rekke vanlige VPNteknologier. Du finner mer informasjon under «Virtuelle private nettverk» i kapittel 1.
SSL/TLS
iOS støtter SSL v3 og Transport Layer Security (TLS v1.0, 1.1 og 1.2). Safari, Kalender,
Mail og andre internettapper starter disse mekanismene automatisk for å opprette
en kryptert kommunikasjonskanal mellom iOS og bedriftstjenestene.
WPA/WPA2
802.1X-autentiseringsprotokoller
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
iOS støtter WPA2 Enterprise for å gi autentisert tilgang til bedrifters trådløse
nettverk. WPA2 Enterprise bruker 128-bit AES-kryptering, som gir brukerne den beste mulige forsikringen om at dataene deres fortsatt er beskyttet når de kommuniserer over et Wi-Fi-nettverk. Og med støtte for 802.1X kan iPhone og iPad integreres i en rekke RADIUS-godkjenningsmiljøer.
Sertifikatformater som støttes
iOS har støtte for X.509-sertifikater med RSA-nøkler. Filtypene .cer, .crt og .der gjenkjennes.
iOS er utviklet med en sikkerhetsorientert kjerne. Det har en «sandbox»-løsning for appbeskyttelse ved kjøring og appsignering for å sikre at apper ikke kan tukles med. iOS har også et rammeverk der påloggingsinformasjon til apper og
nettverkstjenester plasseres på et kryptert lagringssted kalt nøkkelring. Utviklere
kan benytte seg av en Common Crypto-arkitektur til å kryptere appdata.
Appsikkerhet
Beskyttelse ved kjøring
Apper på enheten blir «sandboxed» for å begrense tilgangen til data i andre apper.
I tillegg er systemfiler, ressurser og kernelen beskyttet fra brukerens appområde.
Hvis en app trenger tilgang til data fra en annen app, må den gå via API-ene og
tjenestene i iOS. Kodegenerering er heller ikke mulig.
Obligatorisk kodesignering
Alle iOS-apper må signeres. Appene som leveres med enheten, er signert av Apple.
Tredjepartsapper er signert av utvikleren med et sertifikat utstedt av Apple. Derfor
kan ikke apper tukles med eller endres. I tillegg tas det sanntidskontroller for å sikre
at en app ikke har mistet godkjenningen siden sist den ble brukt.
!
20
iOS-utrulling – teknisk veiledning
Bruken av spesialutviklede, interne bedriftsapper kan kontrolleres med en
klargjøringsprofil. Brukere må installere klargjøringsprofilen for å bruke appen.
Klargjøringsprofiler kan installeres trådløst med MDM-løsninger. Administratorer
kan også begrense bruken av en app til bestemte enheter.
Rammeverk for sikker autentisering
iOS har en sikker, kryptert nøkkelring for lagring av digitale identiteter, brukernavn
og passord. Nøkkelringdata partisjoneres slik at påloggingsinformasjon som er
lagret av tredjepartsapper, ikke kan nås av en app med en annen identitet. Det danner mekanismen for å sikre autentiserings- og påloggingsinformasjonen på iOS-enheter på tvers av flere apper og tjenester i bedriften.
Common Crypto-arkitektur
Apputviklere har tilgang til krypterings-API-er som de kan bruke til å beskytte
appdataene ytterligere. Data kan krypteres systematisk med utprøvde metoder
som AES, RC4 eller 3DES. I tillegg har iOS-enheter maskinvareakselerasjon for AES-kryptering og SHA1-hashing, noe som gir maksimal appytelse.
Beskyttelse av appdata
Apper kan også benytte den innebygde maskinvarekrypteringen i iOS-enheter til å beskytte sensitiv appdata ytterligere. Utviklere kan angi spesifikke filer for
databeskyttelse ved å gi systemet beskjed om å gjøre filenes innhold kryptografisk
utilgjengelig for både appen og potensielle inntrengere når enheten er låst.
Apprettigheter
En iOS-app har som standard svært begrensede rettigheter. Utviklere må uttrykkelig
legge til rettigheter for å bruke de fleste funksjoner, som iCloud, bakgrunnsbehandling
eller delte nøkkelringer. Følgelig kan ikke apper gi seg selv datatilgang de ikke
hadde ved utrullingen. Dessuten må iOS-apper uttrykkelig be om tillatelse før de kan bruke mange iOS-funksjoner, som GPS-posisjon, kontakter, kamera eller
arkiverte bilder.
Internettjenester
Apple har utviklet kraftige tjenester som skal gi brukerne større utbytte av enhetene i form av nytte og produktivitet. Noen av disse tjenestene er iMessage, FaceTime, Siri,
iCloud, iCloud-sikkerhetskopiering og iCloud-nøkkelring.
Disse internettjenestene er utviklet med samme sikkerhetsmål som ligger til grunn
for hele iOS-plattformen. Målene inkluderer sikker håndtering av data – både på
enheten og ved overføring via trådløste nettverk, beskyttelse av brukernes
personlige informasjon og beskyttelse mot trusler fra skadelig eller uautorisert
tilgang til informasjon og tjenester. Alle tjenester har sin egen kraftige sikkerhetsarkitektur, uten at det går ut over den generelle brukervennligheten til iOS.
iMessage
iMessage1 er en meldingstjeneste for iOS-enheter og Mac-maskiner. iMessage
støtter tekst og vedlegg som bilder, kontakter og stedsinformasjon. Meldinger vises
på alle de registrerte enhetene til brukeren. Vedkommende kan fortsette samtaler
fra en hvilken som helst av enhetene sine. iMessage gjør omfattende bruk av
Apples pushvarslingstjeneste (APNs). iMessage bruker gjennomgående kryptering
med nøkler som kun er kjent for avsender- og mottakerenheten. Apple kan ikke
dekryptere meldinger, og meldinger loggføres ikke.
!
21
iOS-utrulling – teknisk veiledning
FaceTime
FaceTime2 er Apples tjeneste for video- og lydsamtaler. FaceTime-samtaler bruker APNs til å opprette forbindelsen og deretter ICE (Internet Connectivity
Establishment) og SIP (Session Initiation Protocol) til å lage en kryptert strøm.
Siri
Brukeren trenger bare å snakke helt vanlig for å be Siri3 sende meldinger, avtale
møter, ringe og mer til. Siri bruker talegjenkjenning, tekst-til-tale og en klienttjener-modell til å svare på en rekke forespørsler. Oppgavene som Siri støtter, er utviklet med tanke på at minst mulig personlig informasjon skal brukes, og at
informasjonen er fullstendig beskyttet. Siri-forespørsler og taleopptak identifiseres
ikke personlig, og så framt det er mulig, utføres Siri-funksjonene på enheten og ikke på tjeneren.
iCloud
iCloud4 oppbevarer musikk, bilder, apper, kalendere, dokumenter og mer og sprer det automatisk til alle enhetene brukeren har. Dessuten sikkerhetskopierer iCloud
informasjon, inkludert innstillinger, appdata, tekstmeldinger og MMS-meldinger, daglig over Wi-Fi. iCloud sikrer innholdet ved å kryptere det når det sendes over
Internett, lagre det i kryptert format og bruke sikkerhetsbrikker for autentisering. I tillegg kan iCloud-funksjoner, som bildestrøm, dokumenter og data og sikkerhets-
kopiering deaktiveres via en konfigurasjonsprofil.
Du finner mer informasjon om sikkerhet og personvern for iCloud på nettsiden
iCloud: Oversikt over sikkerhet og personvern for iCloud.
iCloud-sikkerhetskopiering
Dessuten sikkerhetskopierer iCloud informasjon – inkludert innstillinger, appdata,
tekstmeldinger og MMS-meldinger – daglig over Wi-Fi. iCloud sikrer innholdet ved
å kryptere det når det sendes over Internett, lagre det i kryptert format og bruke
sikkerhetsbrikker for autentisering. Det tas kun iCloud-sikkerhetskopi når enheten
er låst, tilkoblet en strømkilde og har Wi-Fi-tilgang til nettet. På grunn av
krypteringen i iOS er systemet utviklet slik at data beskyttes mens sikkerhets-
kopiering og gjenoppretting utføres trinnvis i bakgrunnen.
iCloud-nøkkelring
Med iCloud-nøkkelringen kan brukerne synkronisere passordene mellom iOSenheter og Mac-maskiner uten å avdekke informasjonen for Apple. I tillegg til
personvern og sikkerhet på høyt nivå var brukervennlighet og muligheten til å gjenopprette en nøkkelring viktige faktorer i utviklingen og arkitekturen til iCloud-nøkkelringen. iCloud-nøkkelringen består av to tjenester: synkronisering og gjenoppretting av nøkkelringen. Det er kun enheter som brukeren har godkjent,
som kan inngå ved synkronisering av nøkkelringen, og hvert nøkkelringobjekt som
kan synkroniseres, utveksles med kryptering per enhet via iCloud-lagringsplassen
for nøkkelverdier. Objektene blir ikke oppbevart i iCloud etter synkroniseringen.
Gjenoppretting av nøkkelringen gir brukeren en mulighet til å deponere nøkkel-
ringen hos Apple uten at Apple kan lese passordene eller andre data den
inneholder. Selv om brukeren bare har én enhet, gir gjenoppretting av nøkkel-
ringen en sikkerhet mot datatap. Dette er særskilt viktig når Safari brukes til å generere tilfeldige, sterke passord for nettkontoer, ettersom disse passordene kun registreres i nøkkelringen. En hjørnestein ved gjenoppretting av nøkkelringen
er sekundær autentisering og en sikker deponeringstjeneste, som Apple har
spesialutviklet for denne funksjonen. Nøkkelringen krypteres med en sterk kode, og deponeringstjenesten stiller strenge betingelser for å utlevere en kopi av nøkkelringen.
Du finner mer informasjon om sikkerhet i håndboken om iOS-sikkerhet.
22
iOS-utrulling – teknisk veiledning
Kapittel 3: Konfigurering og
administrering
iOS-utrullinger kan strømlinjeformes ved hjelp av flere administreringsteknikker
som gjør det enklere å opprette kontoer, konfigurere interne regler, distribuere
apper og bruke enhetsrestriksjoner. Deretter kan hver bruker utføre det meste av konfigureringen selv via den innebygde oppsettassistenten i iOS. Etter at iOS-enhetene er konfigurert og registrert i MDM, kan de administreres trådløst av IT-administratoren.
Dette kapittelet beskriver hvordan du bruker konfigurasjonsprofiler og MDM i forbindelse med en iOS-utrulling.
Klargjøring og aktivering av enhet
Med Oppsettassistent kan brukeren aktivere enheten, konfigurere grunnleggende
innstillinger og begynne å jobbe straks iOS-enheten er ute av esken. Ut over de
grunnleggende innstillingene kan brukeren for eksempel angi personlige
innstillinger for språk, plassering, Siri, iCloud og Finn iPhone. Hvis brukeren ikke
allerede har en Apple-ID, kan Oppsettassistent brukes til å opprette en.
Apple-ID
En Apple-ID er en identitet som brukes til å logge på Apple-tjenester som FaceTime,
iMessage, iTunes, App Store, iCloud og iBooks Store. Med en Apple-ID kan brukeren
installere apper, bøker og innhold fra iTunes Store, App Store eller iBooks Store. En Apple-ID kan også brukes til å opprette en iCloud-konto, slik at brukeren får
tilgang til og kan dele innhold på flere enheter.
Brukeren bør ha sin egen Apple-ID for å få størst utbytte av disse tjenestene.
Brukere som ikke har en Apple-ID, kan opprette en før de får enheten, slik at
konfigureringen går så raskt som mulig.
Du kan lese om hvordan du oppretter en Apple-ID, på Min Apple-ID.
Forberede enheter med Apple Configurator
Når enheter skal administreres sentralt av IT-administratoren og ikke klargjøres av
brukeren selv, kan Apple Configurator brukes til å aktivere enheter raskt, definere
og bruke konfigurasjoner, overvåke enheter, installere apper og oppdatere enheter
til den nyeste iOS-versjonen. Apple Configurator er en gratisapp for OS X og kan
lastes ned fra Mac App Store. Enheter må være tilkoblet en Mac via USB for at disse
oppgavene skal kunne utføres. Du kan også gjenopprette en sikkerhetskopi til
enheter, med innstillinger, Hjem-skjermen og appdata.
!
23
iOS-utrulling – teknisk veiledning
Konfigurasjonsprofiler
Konfigurasjonsprofiler er XML-filer som inneholder sikkerhetsregler og -restriksjoner,
informasjon om VPN-konfigurasjon, Wi-Fi-innstillinger, e-post- og kalenderkontoer
samt autentiserings- og påloggingsinformasjon som gir iOS-enheter tilgang til
bedriftens IT-system. Konfigurasjonsprofiler er en løsning for rask overføring av
innstillinger og autoriseringsinformasjon til enheter. Enkelte VPN- og Wi-Fiinnstillinger kan kun angis med en konfigurasjonsprofil, og hvis du ikke bruker
Microsoft Exchange, må du bruke en konfigurasjonsprofil for å angi koderegler.
Konfigurasjonsprofiler kan distribueres via Over-the-Air Profile Delivery eller MDM. Du kan også installere konfigurasjonsprofiler på enheter som er koblet til en
datamaskin via USB med Apple Configurator, eller du kan distribuere konfigurasjons-
profilene via e-post eller en nettside. Når brukeren åpner e-postvedlegget eller laster
ned profilen på enheten via Safari, blir brukeren bedt om å starte installeringen. Hvis
du bruker en MDM-tjener, kan du først distribuere en profil som bare inneholder
informasjon om tjenerkonfigurasjonen, og deretter kan alle andre profiler overføres
trådløst til enheten.
Konfigurasjonsprofiler kan krypteres og signeres. Det gjør at bruken kan begrenses
til en bestemt enhet, og at ingen andre kan endre innstillingene i en profil. Videre
kan du låse en profil til en enhet, slik at når den er installert, kan den kun fjernes
ved å slette alle data på enheten, eller eventuelt ved å oppgi en kode.
Med unntak av passordet kan ikke brukeren endre innstillingene i en konfigurasjons-
profil. Kontoer som er konfigurert med en profil, som Exchange-kontoer, kan kun
fjernes ved å slette profilen.
Du finner mer informasjon på nettstedet Configuration Profile Key Reference i iOS-utviklerbiblioteket.
Administrering av mobile enheter (MDM)
iOS har et integrert MDM-rammeverk som gjør at MDM-løsninger fra tredjeparter
fungerer trådløst med iOS-enheter. Dette enkle rammeverket er utviklet fra bunnen av for iOS-enheter. Det er kraftig og skalerbart nok til at du kan
konfigurere og administrere alle iOS-enhetene i en bedrift.
Når MDM-løsningen er på plass, kan IT-administratorer trygt registrere enheter i bedriftsmiljøet, konfigurere og oppdatere innstillinger, kontrollere at bedriftens
retningslinjer følges og fjernslette eller fjernlåse administrerte enheter. iOS MDM gir IT-administratorer en enkel måte å gi brukerne tilgang til nettverkstjenester på.
Samtidig kan de være sikre på at enhetene er riktig konfigurert – uansett hvem
som eier dem.
MDM-løsninger bruker Apples push-varslingstjeneste (APNs) for å opprettholde
vedvarende kommunikasjon med enheter over både åpne og private nettverk.
MDM krever flere sertifikater for å fungere, inkludert et APNs-sertifikat for å
kommunisere med klienter og et SSL-sertifikat for sikker kommunikasjon. MDMløsninger kan også signere profiler med et sertifikat.
De fleste sertifikater, inkludert APNs-sertifikater, må fornyes årlig. Når et sertifikat
utløper, kan ikke en MDM-tjener kommunisere med klienter før sertifikatet
oppdateres. Forbered deg på å oppdatere alle MDM-sertifikater før de utløper.
!
Se Portal for Apple-pushsertifikater for mer informasjon om MDM-sertifikater.
24
iOS-utrulling – teknisk veiledning
Registrer
Registrering av enheter aktiverer katalogisering og ressurshåndtering. Registrer-
ingsprosessen støtter SCEP (Simple Certificate Enrollment Protocol), som gjør at
iOS-enheter kan opprette og registrere unike identitetssertifikater for autentisering
mot bedriftstjenester.
Som oftest kan en bruker velge å registrere enheten i MDM eller ikke og når som
helst melde den ut av MDM. Institusjoner bør vurdere incentiver som gjør at brukere
forblir administrert. For eksempel kan man kreve MDM-registrering for tilgang til Wi-Fi-nettverk ved å bruke MDM-løsningen til automatisk levering av trådløs
påloggingsinformasjon. Når en bruker forlater MDM, forsøker enheten å varsle MDM-tjeneren.
!
Konfigurer
Når en enhet er registrert, kan den konfigureres dynamisk med innstillinger og
regler av MDM-tjeneren, som sender enheten konfigurasjonsprofiler som installeres
automatisk i bakgrunnen.
Konfigurasjonsprofiler kan signeres, krypteres og låses, slik at innstillingene ikke kan
endres eller deles, og kun godkjente brukere og enheter med riktig konfigurasjon
får tilgang til nettverket og tjenestene. Hvis en bruker melder enheten ut av MDM,
fjernes alle innstillingene som er installert via MDM.
Kontoer
MDM hjelper brukerne med å komme raskt i gang ved at e-post og andre kontoer
klargjøres automatisk. Avhengig av MDM-produktet og integreringen med de
interne systemene kan konfigurasjoner også forhåndsutfylles med brukernavn, e-postadresse og eventuelt sertifikatidentiteter for autentisering og signering. MDM kan konfigurere følgende kontotyper:
• Mail
• Kalender
• Kalenderabonnementer
• Kontakter
• Exchange ActiveSync
• LDAP
Administrerte e-post- og kalenderkontoer samsvarer med de nye Managed Open
In-restriksjonene i iOS 7.
Forespørsler
En MDM-tjener har muligheten til å innhente informasjon fra enheter. Dette inkluderer
maskinvareinformasjon som serienummer, enhet-UDID eller Wi-Fi MAC-adresse,
samt programvareinformasjon, for eksempel iOS-versjon og en detaljert liste over
alle apper som er installert på enheten. Denne informasjonen kan brukes til å sikre
at brukerne har de nødvendige appene.
Med Apple TV-programvare 5.4 eller nyere kan MDM også be enheter om
informasjon som språk, sted og organisasjon.
!
25
iOS-utrulling – teknisk veiledning
Kommandoer
Når enheten er administrert, kan den styres fra styringstjeneren for mobile enheter
gjennom et sett bestemte handlinger. Administreringsoppgaver:
• Endre konfigurasjonsinnstillinger. Det kan sendes en kommando om å installere
en ny eller oppdatert konfigurasjonsprofil på en enhet. Konfigurasjoner endres
skjult, uten at brukeren trenger å gjøre noe.
• Låse en enhet. Hvis en enhet må låses umiddelbart, kan det sendes en
kommando om å låse enheten med gjeldende kode.
• Fjernslette en enhet. Dersom en enhet mistes eller blir stjålet, kan det sendes en
kommando om å slette alle data på enheten. En kommando om fjernsletting kan
ikke angres.
• Fjerne en kodelås. Når en kode fjernes, må brukeren straks angi en ny kode.
Funksjonen brukes når en bruker har glemt koden og vil at IT-administratoren
skal tilbakestille den.
• Starte eller stoppe like skjermer via AirPlay. iOS 7 sender en kommando som ber en overvåket iOS-enhet om å opprette en like skjermer via AirPlay-økt med en bestemt destinasjon, eller om å avslutte en pågående AirPlay-økt.
Administrerte apper
Organisasjoner må ofte distribuere programvare som gjør brukerne produktive på
jobben eller i klasserommet. Samtidig må organisasjonene kontrollere hvordan
programvare kobles til interne ressurser, eller hvordan datasikkerhet håndteres når
en bruker forlater organisasjonen, og alt skal fungere side om side med brukerens
personlige apper og data. En organisasjon kan bruke administrerte apper i iOS 7 til
å rulle ut bedriftsapper trådløst via MDM, med riktig balanse mellom institusjonell
sikkerhet og brukertilpassing.
MDM-tjenere kan rulle ut App Store-apper og interne bedriftsapper til enheter
trådløst.
Administrerte apper kan fjernes eksternt av MDM-tjeneren eller når brukeren melder enheten ut av MDM. Når en app blir fjernet, fjernes også data som er
tilknyttet appen.
!
26
iOS-utrulling – teknisk veiledning
Mobile Device Management har ekstra restriksjoner og funksjoner for administrerte
apper i iOS 7 for økt sikkerhet og en bedre brukeropplevelse:
• Managed Open In. To praktiske funksjoner for å beskytte appdataene til en
organisasjon:
– Tillat at dokumenter som er opprettet i uadministrerte apper, åpnes i
administrerte apper. Hvis restriksjonen håndheves, kan ikke en brukers
personlige apper og kontoer åpne dokumenter i organisasjonens administrerte
apper. Restriksjonen kan for eksempel hindre at en brukers eksemplar av
Keynote åpner en PDF-presentasjon i organisasjonens app for å vise PDF-filer.
Restriksjonen kan også hindre en brukers personlige iCloud-konto fra å åpne et Word-vedlegg i organisasjonens eksemplar av Pages.
– Tillat at dokumenter som er opprettet i administrerte apper, åpnes i
uadministrerte apper. Hvis restriksjonen håndheves, kan ikke organisasjonens
administrerte apper og kontoer åpne dokumenter i brukerens personlige apper.
Restriksjonen kan hindre at et konfidensielt e-postvedlegg i organisasjonens
administrerte e-postkonto åpnes i en av brukerens personlige apper.
• Appkonfigurasjon. Apputviklere kan identifisere appinnstillinger som kan angis
når de installeres som en administrert app. Konfigurasjonsinnstillingene kan
installeres før eller etter den administrerte appen.
• Apptilbakemeldinger. Apputviklere kan definere appinnstillinger som kan leses fra en administrert app med MDM. En utvikler kan for eksempel angi en
«DidFinishSetup»-nøkkel for apptilbakemeldinger som en MDM-tjener kan be om for å avgjøre om appen er startet og konfigurert.
• Forhindre sikkerhetskopiering. Restriksjonen forhindrer sikkerhetskopiering av
administrerte apper til iCloud eller iTunes. Når sikkerhetskopiering ikke tillates, kan heller ikke dataene i en administrert app gjenopprettes hvis appen fjernes via MDM, men brukeren installerer den på nytt.
!
!
27
iOS-utrulling – teknisk veiledning
!
Overvåkede enheter
Overvåking gir et høyere administreringsnivå for enheter som bedriften ikke eier,
og muliggjør ytterligere restriksjoner, som deaktivering av iMessage eller Game
Center. Det gir også ekstra konfigureringsmuligheter og funksjoner som filtrering av nettinnhold eller muligheten til å installere apper skjult.
Se Tillegg B for spesifikke restriksjoner som kan aktiveres på overvåkede enheter.
!
28
iOS-utrulling – teknisk veiledning
Kapittel 4: Appdistribuering
iOS leveres med en rekke apper som de ansatte i organisasjonen kan bruke til å
utføre vanlige oppgaver med – som å sende og motta e-post, administrere kalendere,
holde orden på kontakter og bruke innhold på nettet. Mange av funksjonene brukere
trenger for å være produktive, finnes i hundretusenvis av iOS-apper fra tredjeparter
på App Store, eller i spesialutviklede interne bedriftsapper.
Du kan også opprette og rulle ut egne interne apper hvis du er med i iOSutviklerprogrammet for bedrifter.
!
Interne apper
Hvis du utvikler egne iOS-apper for intern bruk, gjør iOS-utviklerprogrammet det
mulig å rulle ut appene internt i bedriften. Prosessen for å rulle ut interne apper:
• Registrer deg i iOS-utviklerprogrammet for bedrifter.
• Forbered appen for distribusjon.
• Opprett en klargjøringsprofil for bedriftsdistribusjon der du autoriserer enheter til å bruke appene du har signert.
• Bygg appen med klargjøringsprofilen.
• Rull ut appen til brukerne dine.
!
!
29
iOS-utrulling – teknisk veiledning
Registrering for apputvikling
Hvis du vil utvikle og rulle ut interne apper for iOS, må du først registrere deg i iOS-utviklerprogrammet for bedrifter.
Når du er registrert, kan du be om et utviklersertifikat og klargjøringsprofilen for
utviklere. Disse bruker du under utviklingen til å bygge og teste appen. Klargjørings-
profilen gir apper som er signert med ditt utviklersertifikat, tillatelse til å kjøre på
registrerte enheter. Du oppretter klargjøringsprofilen i installeringsportalen for iOS.
Ad hoc-profilen utløper etter tre måneder og angir hvilke enheter (etter enhets-ID)
som kan kjøre versjoner av din app. Du distribuerer din utviklersignerte versjon og
klargjøringsprofilen til appteamet og -testerne dine.
Forberede apper for distribusjon
Når appen er ferdig utviklet og testet og klar til å rulles ut, signerer du appen med distribusjonssertifikatet og pakker den sammen med en klargjøringsprofil.
Teamagenten eller administratoren for ditt medlemskap oppretter sertifikatet og profilen på iOS-installeringsportalen.
Når distribusjonssertifikatet genereres, brukes Sertifikatassistent (som er en del av nøkkelringtilgangen i OS X-utviklingssystemet) til å lage en forespørsel om
sertifikatsignering (Certificate Signing Request – CSR). Når du laster opp CSR-en til iOS-installeringsportalen, vil du motta et distribusjonssertifikat. Når du installerer
dette sertifikatet i nøkkelringen, kan du bruke Xcode til å signere appen.
Bruke klargjøringsprofiler med interne apper
Med klargjøringsprofilen for bedriftsdistribusjon kan appen installeres på et
ubegrenset antall iOS-enheter. Du kan opprette en klargjøringsprofil for
bedriftsdistribusjon av én bestemt app, eller for flere apper.
Når både distribusjonssertifikatet og klargjøringsprofilen er installert på Macen,
bruker du Xcode til å signere og bygge en produksjonsversjon av appen.
Distribusjonssertifikatet er gyldig i tre år. Etter tre år må du på nytt signere appen
og lage en versjon med et fornyet sertifikat. Klargjøringsprofilen for appen er gyldig
i ett år, så du må gi ut nye klargjøringsprofiler hvert år. Du finner mer informasjon
under «Gjøre tilgjengelig oppdaterte apper» i Tillegg C.
Det er svært viktig at du begrenser tilgangen til distribusjonssertifikatet og den
private nøkkelen. Bruk nøkkelringtilgangen i OS X til å eksportere og sikkerhets-
kopiere objektene i p12-format. Den private nøkkelen kan den ikke gjenopprettes
eller lastes ned på nytt dersom du mister den. I tillegg til å ta godt vare på
sertifikatet og den private nøkkelen bør du kun gi tilgang til personer med endelig
godkjenningsansvar for appen. Når en app signeres med distribusjonssertifikatet,
bruker bedriften sitt kvalitetsmerke til å gå god for appens innhold, funksjon og
samsvar med lisensvilkårene i bedriftsutvikleravtalen.
!
30
iOS-utrulling – teknisk veiledning
Rulle ut apper
Det er fire måter å rulle ut en app på:
• Distribuer appen slik at brukerne kan installere den med iTunes.
• La en IT-administrator installere appen på enhetene med Apple Configurator.
• Legg appen på en sikker nettjener hvor brukerne kan installere den trådløst. Se «Tillegg C: Installere interne apper trådløst.»
• Bruk MDM-tjeneren til å instruere administrerte enheter om å installere interne
apper eller gratis App Store-apper, hvis MDM-tjeneren støtter det.
Installere apper med iTunes
Hvis brukerne installerer apper på enhetene med iTunes, distribuerer du appen til
brukerne på en sikker måte og ber dem gjøre følgende:
1. Gå til iTunes, velg Fil > Legg til fil i biblioteket, og velg filen (.app, .ipa, eller .mobileprovision). Brukeren kan også flytte filen til symbolet for iTunes-appen.
2. Koble en enhet til datamaskinen, og velg den i Enheter-listen i iTunes.
3. Klikk på Programmer-fanen, og velg appen fra listen.
4. Klikk på Bruk.
Hvis datamaskinene til brukerne er under administrering, kan du i stedet for å be
dem legge til filene i iTunes, rulle ut filene til datamaskinene deres og be dem
synkronisere enheten. iTunes installerer automatisk filene i mappene for iTunesmobilapper og klargjøringsprofiler.
Installere apper med Apple Configurator
Apple Configurator, er en gratisapp for OS X og kan lastes ned fra Mac App Store.
Den kan brukes av IT-administratorer til å installere interne apper – eller apper fra
App Store.
Gratisapper fra App Store eller interne bedriftsapper kan importeres direkte til
Apple Configurator og installeres på så mange enheter du vil.
!
Installere apper med MDM
En MDM-tjener kan administrere både gratisapper fra App Store og interne apper.
Apper som er installert med MDM, kalles «administrerte apper». MDM-tjeneren kan angi hvorvidt administrerte apper og appdataene skal beholdes hvis brukeren
melder seg ut av MDM. MDM-tjeneren kan også hindre at administrerte apper sikkerhetskopieres til iTunes og iCloud. Slik kan IT-administratoren administrere
apper som inneholder konfidensiell bedriftsinformasjon, med bedre kontroll enn
apper som brukeren laster ned direkte.
Når en administrert app skal installeres, sender MDM-tjeneren en installeringskommando til enheten. På uadministrerte enheter må brukeren godkjenne
administrerte apper før de installeres.
Administrerte apper støtter ekstra kontroller i iOS 7. VPN-tilkoblinger kan nå angis
på appnivå, slik at kun nettverkstrafikken for den aktuelle appen går gjennom den
beskyttede VPN-tunnelen. Det gjør at privat informasjon forblir privat og ikke
blandes med offentlig informasjon.
Administrerte apper støtter også administrasjon av Managed Open In-funksjon-
aliteten i iOS 7. Det betyr at administrerte apper kan hindres i å overføre data til
eller fra brukerens personlige apper, og bedriften kan være trygg på at konfidensiell
informasjon forblir der den skal være.
31
iOS-utrulling – teknisk veiledning
Caching Server
Det er enkelt for brukere å finne og bruke digitalt innhold med iOS. Enkelte kan
bruke mange gigabyte med apper, bøker og programvareoppdateringer i
bedriftens trådløse nettverk. Etterspørselen etter disse ressursene kommer i topper
– først når enhetene rulles ut, og deretter sporadisk etter hvert som brukere
oppdager nytt innhold eller innhold oppdateres. Disse nedlastingene kan være en utfordring for båndbredden.
Caching Server-funksjonen i OS X Server reduserer den utgående båndbredden i private nettverk (RFC1918) ved å oppbevare bufrede kopier av innhold det søkes
etter, i det lokale nettverket. Store nettverk vil ha nytte av flere eksemplarer av
Caching Server. Konfigureringen av Caching Server er ofte like enkel som å aktivere
tjenesten. Det kreves et NAT-miljø for tjeneren og alle enheter som benytter den.
Du finner mer informasjon her: OS X Server: Advanced Administration.
iOS-enheter som kjører iOS 7, vil automatisk kontakte en Caching Server i nærheten
uten ytterligere enhetskonfigurering. Slik er arbeidsflyten til Caching Server åpen
for iOS-enheten:
1. Når en iOS-enhet på et nettverk med én eller flere eksemplarer av Caching Server
ber om innhold fra iTunes Store eller Software Update Server, henvises iOS-enheten til Caching Server.
2. Caching Server undersøker først om innholdet allerede finnes i den lokale
bufferen. Hvis det gjør det, leveres innholdet umiddelbart til iOS-enheten.
3. Hvis Caching Server ikke har innholdet, prøver den å laste det ned fra en annen
kilde. Caching Server 2 for OS X Mavericks har en replikeringsfunksjon som kan
bruke andre eksemplarer av Caching Server i nettverket dersom de tjenerne
allerede har lastet ned innholdet.
4. Når Caching Server mottar nedlastet data, sender den det umiddelbart til
klienter som har bedt om innholdet og bufrer samtidig en kopi på disken.
Følgende typer bufret innhold støttes av iOS 7:
• iOS-programvareoppdateringer
• App Store-apper
• App Store-oppdateringer
• Bøker fra iBooks Store
iTunes støtter også Caching Server 2. Følgende innhold støttes av iTunes 11.0.4 eller
nyere (både Mac og Windows):
• App Store-apper
• App Store-oppdateringer
• Bøker fra iBooks Store
!
32
iOS-utrulling – teknisk veiledning
Tillegg A:
Wi-Fi-infrastruktur
Ved forberedelse av Wi-Fi-infrastruktur for en iOS-utrulling, er det flere faktorer som må vurderes:
• Nødvendig dekningsområde
• Antall og tetthet av enheter i Wi-Fi-nettverket
• Enhetstyper og deres Wi-Fi-egenskaper
• Typer og mengder data som skal overføres
• Sikkerhetskrav for tilgang til det trådløse nettverket
• Krypteringskrav
Selv om denne listen ikke er uttømmende, representerer den noen av de mest
relevante faktorene for planlegging av Wi-Fi-nettverket.
Påminnelse: Dette kapittelet omhandler planlegging av Wi-Fi-nettverk i USA. Dette kan avvike fra andre land.
Planlegging for dekning og tetthet
Selv om det er kritisk å levere Wi-Fi-dekning der iOS-enheter brukes, er det også
viktig å planlegge for tettheten av enheter i et gitt område.
De fleste moderne tilgangspunkter beregnet på bedrifter er i stand til å håndtere
opptil 50 Wi-Fi-klienter, selv om brukeropplevelsen trolig ikke vil være optimal med så mange enheter tilkoblet. Ytelsen på den enkelte enhet avhenger av den
tilgjengelige trådløse båndbredden på kanalen som brukes og antallet enheter
som deler den samlede båndbredden. Etter hvert som flere enheter bruker samme
tilgangspunkt, reduseres den relative nettverkshastigheten for disse enhetene. Du bør vurdere det forventede bruksmønsteret for iOS-enhetene som en del av
planleggingen av Wi-Fi-nettverket.
2,4 GHz og 5 GHz
Wi-Fi-nettverk som opererer på 2,4 GHz, tillater 13 kanaler i Europa. På grunn av hensyn til kanalforstyrrelser bør imidlertid kun kanalene 1, 6 og 11 brukes i et nettverk.
5 GHz-signaler trenger ikke gjennom vegger og andre hindringer like bra som 2,4 GHz-signaler, noe som resulterer i et mindre dekningsområde. Derfor kan 5 GHz-nettverk være å foretrekke når du planlegger høy tetthet av enheter i et lukket rom, for eksempel i klasserom. Antallet kanaler som er tilgjengelige i 5 GHz-båndet, varierer mellom leverandører av tilgangspunkter og fra land til land, men minst åtte kanaler vil alltid være tilgjengelig.
5 GHz-kanaler er ikke-overlappende, til betydelig forskjell fra de tre ikke-overlappende kanalene i 2,4 GHz-båndet. Når du utformer et Wi-Fi-
nettverk med høy tetthet av iOS-enheter, bør de ekstra kanalene som tilbys på 5 GHz-båndet, tas med i den strategiske vurderingen.
!
33
iOS-utrulling – teknisk veiledning
Planlegge for dekning
Bygningens fysiske utforming kan ha betydning for utformingen av Wi-Fi-nettverket.
I et bedriftsmiljø kan for eksempel brukere samles på møterom eller ulike kontorer.
Brukerne beveger seg altså rundt i bygningen i løpet av dagen. Det meste av nett-
verkstilgangen brukes da når ansatte leser e-post, sjekker kalenderen og søker på
nettet, slik at Wi-Fi-dekning har høyeste prioritet. En Wi-Fi-utforming kunne omfatte
to eller tre tilgangspunkter i hver etasje for å gi dekning for kontorene og ett
tilgangspunkt i hvert konferanserom.
Planlegge for tetthet
Sammenlign scenarioet over med en skole som har 1 000 elever og 30 lærere i en
toetasjers bygning. Hver elev har fått utlevert en iPad, og hver lærer har fått utlevert
både en MacBook Air og en iPad. Hvert klasserom har plass til ca. 35 elever, og klasserommene ligger ved siden av hverandre. Gjennom hele dagen benytter
elevene Internett til studier, de ser undervisningsvideoer og kopierer filer til og fra en filtjener på lokalnettverket.
Her er utformingen av Wi-Fi-nettverket mer komplisert på grunn av høyere tetthet
av mobile enheter. Hvert klasserom har om lag 35 elever, og man kan ha ett
tilgangspunkt per klasserom. Flere tilgangspunkter bør vurderes for fellesarealer for å gi tilstrekkelig dekning. Det faktiske antallet tilgangspunkter for fellesarealer vil variere, avhengig av tettheten av Wi-Fi-enheter i disse områdene.
Hvis enheter som kun støtter 802.11b- eller 802.11g-standardene skal bruke nett-
verket, er ett alternativ å aktivere 802.11b/g hvis det utplasseres tilgangspunkter
med to bånd. Et annet alternativ er å klargjøre én SSID med 802.11n på 5 GHz for
nyere enheter og en annen SSID på 2,4 GHz for å støtte 802.11b- og 802.11g-enheter.
Man bør imidlertid være påpasselig med å unngå å opprette for mange SSID-er.
Bruken av skjulte SSID-er bør unngås i begge scenarioer. Det er vanskeligere for en
Wi-Fi-enhet å koble til en skjult SSID på nytt enn en SSID som kringkastes, og
sikkerhetsfordelen ved å skjule SSID-en er liten. Brukere har en tendens til å endre
plassering sammen med iOS-enheten, slik at skjulte SSID-er kan forsinke tilkobling
til nettverket.
Wi-Fi-standarder i Apple-produkter
Apple-produkters støtte for ulike Wi-Fi-spesifikasjoner framgår av listen nedenfor,
inkludert følgende informasjon:
• 802.11-kompatibilitet. 802.11b/g, 802.11a, 802.11n
• Frekvensbånd. 2,4 GHz eller 5 GHz
• MCS-indeks. Modulation and Coding Scheme-indeksen (MCS) definerer den
maksimale overføringshastigheten som 802.11n-enheter kan kommunisere med.
• Kanalbinding. HD20 eller HD40
!
34
iOS-utrulling – teknisk veiledning
• Guard interval (GI). Guard interval er avstanden (tiden) mellom symboler som
overføres fra én enhet til en annen. 802.11n-standarden definerer en kort guard
interval på 400ns som tillater raskere generell gjennomstrømming, men enheter
kan benytte en lang guard interval på 800ns.
iPhone 5s
802.11n ved 2,4 GHz og 5 GHz
802.11a/b/g
MCS-indeks 7 / HT40 / 400ns GI
iPhone 5c
802.11n ved 2,4 GHz og 5 GHz
802.11a/b/g
MCS-indeks 7 / HT40 / 400ns GI
iPhone 5
802.11n ved 2,4 GHz og 5 GHz
802.11a/b/g
MCS-indeks 7 / HD40 / 400ns GI
iPhone 4s
802.11n ved 2,4 GHz
802.11b/g
MCS-indeks 7 / HD20 / 800ns GI
iPhone 4
802.11n ved 2,4 GHz
802.11b/g
MCS-indeks 7 / HD20 / 800ns GI
iPad Air og iPad mini med Retina-skjerm
802.11n ved 2,4 GHz og 5 GHz
802.11 a/b/g
MCS-indeks 15 / HT40 / 400ns GI
iPad (fjerde generasjon) og iPad mini
802.11n ved 2,4 GHz og 5 GHz
802.11a/b/g
MCS-indeks 7 / HD40 / 400ns GI
iPad (første, andre og tredje generasjon)
802.11n ved 2,4 GHz og 5GHz
802.11a/b/g
MCS-indeks 7 / HD20 / 800ns GI
iPod touch (femte generasjon)
802.11n ved 2,4GHz og 5 GHz
802.11a/b/g
MCS-indeks 7 / HD40 / 400ns GI
iPod touch (fjerde generasjon)
802.11n ved 2,4 GHz
802.11b/g
MCS-indeks 7 / HD20 / 800ns GI
!
35
iOS-utrulling – teknisk veiledning
Tillegg B:
Restriksjoner
iOS støtter følgende regler og restriksjoner, og samtlige kan konfigureres etter
bedriftens behov.
Enhetsfunksjonalitet
• Tillat installering av apper
• Tillat Siri
• Tillat Siri når enheten er låst
• Tillat bruk av kamera
• Tillat FaceTime
• Tillat skjermbilde
• Tillat automatisk synkronisering under roaming
• Tillat synkronisering av nylige mottakere i Mail
• Tillat taleoppringing
• Tillat kjøp i apper
• Krev passord for alle kjøp
• Tillat spill med flere deltakere
• Tillat å legge til venner i Game Center
• Angi aldersgrenser for tillatt innhold
• Tillat Touch ID
• Tillat Kontrollsenter-tilgang fra Lås opp-skjermen
• Tillat Varslingssenter-tilgang fra Lås opp-skjermen
• Tillat I dag-visning fra Lås opp-skjermen
• Tillat Passbook-varsler i Lås opp-skjermen
Apper
• Tillat bruk av iTunes Store
• Tillat bruk av Safari
• Angi sikkerhetsinnstillinger for Safari
iCloud
• Tillat sikkerhetkopiering
• Tillat synkronisering av dokumenter og nøkkelring
• Tillat Min bildestrøm
• Tillat bildedeling i iCloud
!
36
iOS-utrulling – teknisk veiledning
Sikkerhet og personvern
• Tillat at diagnostiske data blir sendt til Apple
• Tillat at bruker godtar sertifikater som ikke er godkjent
• Tvungen kryptert sikkerhetskopi
• Tillat åpning fra uadministrerte til administrerte apper
• Tillat åpning fra administrerte til uadministrerte apper
• Krev kode ved første AirPlay-sammenkobling
• Tillat trådløse PKI-oppdateringer
• Krev Begrens reklamesporing
Restriksjoner for overvåkede enheter
• Kun modusen Lås enheten til én app
• Tilgjengelighetsinnstillinger
• Tillat iMessage
• Tillat Game Center.
• Tillat fjerning av apper
• Tillat iBooks Store
• Tillat erotika fra iBooks Store
• Aktiver Siri-filter mot banning
• Tillat manuell installering av konfigurasjonsprofiler
• Felles nettverksproxy for HTTP
• Tillat sammenkobling med datamaskiner for synkronisering av innhold
• Begrens AirPlay-tilkoblinger med liste over godkjente mål og valgfrie
tilkoblingskoder
• Tillat AirDrop
• Tillat endring av konto
• Tillat endring av mobildatainnstillinger
• Tillat Finn venner
• Tillat sammenkobling av verter (iTunes)
• Tillat Aktiveringslås
!
!
37
iOS-utrulling – teknisk veiledning
Tillegg C:
Installere interne apper
trådløst
iOS støtter trådløs installering av spesialutviklede interne apper uten bruk av iTunes eller App Store.
Krav:
• En sikker nettjener som autentiserte brukere har tilgang til
• En iOS-app i .ipa-format, bygd for utgivelse/produksjon med en klargjøringsprofil
for bedrifter
• En XML-manifestfil, beskrevet i dette tillegget
• En nettverkskonfigurasjon som gir enhetene tilgang til en iTunes-tjener hos Apple
Det er enkelt å installere appen. Brukeren laster ned manifestfilen fra din nettside til
sin iOS-enhet. Manifestfilen instruerer enheten om å laste ned og installere appene
som manifestfilen gjelder for.
URL-en for å laste ned manifestfilen kan du distribuere via SMS eller e-post, eller
ved å bygge den inn i en annen bedriftsapp du lager.
Det er du selv som utformer og er vert for nettsiden du bruker til å distribuere
apper. Sørg for at brukerne må autentiseres, kanskje ved hjelp av grunnleggende
eller katalogbasert autentisering, og at nettsiden er tilgjengelig via intranettet eller
Internett. Du kan legge appen og manifestfilen i en skjult katalog eller på en annen
plassering som kan leses via HTTP eller HTTPS.
Hvis du oppretter en selvbetjent portal, kan du vurdere å legge til en Web Clipkobling på brukerens Hjem-skjerm, slik at det er enkelt å finne tilbake til portalen
senere, for eksempel i forbindelse med ny informasjon, nye konfigurasjonprofiler,
anbefalte App Store-apper og registrering i en MDM-løsning.
Forberede en intern app for trådløs distribusjon
Når du skal forberede den interne appen for trådløs distribusjon, lager du en
arkivert versjon (en .ipa-fil), og en manifestfil som støtter trådløs distribusjon og
installering av appen.
Du bruker Xcode til å opprette et apparkiv. Signer appen med distribusjons-
sertifikatet, og legg klargjøringsprofilen i arkivet. Hvis du vil ha mer informasjon om å lage og arkivere apper, kan du gå til iOS-utviklersenteret eller lese
brukerhåndboken for Xcode, som du finner i Help-menyen i Xcode.
Trådløs manifestfil
Manifestfilen er en XML-plist. Den brukes av en iOS-enhet til å finne, laste ned og installere apper fra nettjeneren. Manifestfilen opprettes av Xcode med den
informasjonen du oppgir når du deler en arkivert app for bedriftsdistribusjon. Se forrige avsnitt om å forberede apper for distribusjon.
38
iOS-utrulling – teknisk veiledning
Følgende felt er obligatoriske:
Objekt
Beskrivelse
URL
Den fullstendige HTTPS URL-en til appfilen
(.ipa).
display-image
Et 57 x 57 bildepunkters PNG-bilde som
vises under nedlasting og installering. Angi den fullstendige URL-en til bildet.
full-size-image
Et 512 x 512 bildepunkters PNG-bilde som
representerer appen i iTunes.
bundle-identifier
Appens pakke-ID, nøyaktig som angitt i Xcode-prosjektet.
bundle-version
Appens pakke-iD, nøyaktig som angitt i Xcode-prosjektet.
title
Navnet på appen, som vises under
nedlasting og installering.
!
Følgende felt er kun obligatoriske for Aviskiosk-apper:
Objekt
Beskrivelse
newsstand-image
Et PNG-bilde i full størrelse som skal vises på
hyllen i Aviskiosk.
UINewsstandBindingEdge
UINewsstandBindingType
Disse nøklene må samsvare med nøklene i
Aviskiosk-appens info.plist.
UINewsstandApp
Angir at appen er en Aviskiosk-app.
Valgfrie nøkler du kan bruke, er beskrevet i eksempelmanifestfilen. Du kan for
eksempel bruke MD5-nøklene hvis appfilen er stor og du ønsker nedlastings-
integritet ut over den vanlige feilsøkingen for TCP-kommunikasjon.
Du kan installere flere apper med én manifestfil ved å angi flere medlemmer i objektrekken.
Du finner en eksempelmanifestfil på slutten av dette tillegget.
Lage nettsiden
Last opp følgende objekter til et område autentiserte brukere har tilgang til på nettsiden din:
• App-filen (.ipa)
• Manifestfilen (.plist)
Nettsiden kan være så enkel som én enkelt side med en kobling til manifestfilen.
Når brukeren trykker på koblingen, lastes manifestfilen ned, og deretter blir den
aktuelle appen lastet ned og installert.
Her er en eksempelkobling: <a href=”itms-services://?action=downloadmanifest&url=http://example.com/manifest.plist”>Installer app</a>
Ikke legg til en kobling til den arkiverte appen (.ipa). Enheten laster ned .ipa-filen
etter at manifestfilen er lastet ned. Selv om protokolldelen av URL-en er itms-tjenester, er iTunes Store ikke involvert i denne prosessen.
39
iOS-utrulling – teknisk veiledning
Kontroller også at .ipa-filen er tilgjengelig over HTTPS og at nettstedet er signert
med et sertifikat som er godkjent av iOS. Installeringen vil ikke kunne fullføres hvis et selvsignert sertifikat ikke har et godkjent anker og ikke kan valideres av iOS-enheten.
Legge til MIME-typer for tjeneren
Det kan være at du må konfigurere nettjeneren slik at manifestfilen og appfilen
overføres riktig.
For OS X Server legger du til følgende MIME-typer i nettjenerens innstillinger for
MIME-typer:
application/octet-stream ipa text/xml plist
For IIS bruker du IIS Manager til å legge til MIME-type på siden for egenskaper:
.ipa application/octet-stream .plist text/xml
Problemløsing for trådløs appdistribusjon
Hvis trådløs appdistribusjon ikke fungerer og du får en melding om at nedlastingen
mislyktes, kan du kontrollere følgende:
• Kontroller at appen er riktig signert. Test den ved å installere den på en enhet
med Apple Configurator, og se om det oppstår feil.
• Kontroller at koblingen til manifestfilen er korrekt, og at manifestfilen er
tilgjengelig for nettbrukere.
• Kontroller at URL-en til .ipa-filen (i manifestfilen) er korrekt og at .ipa-filen er
tilgjengelig for nettbrukere via HTTPS.
Krav til nettverkskonfigurasjon
Hvis enhetene er tilkoblet et lukket internt nettverk, bør du gi iOS-enheter tilgang
til følgende:
URL
Årsak
ax.init.itunes.apple.com
Enheten henter gjeldende grense for filstørrelse for nedlasting av apper over mobilnettverket. Hvis nettstedet ikke er tilgjengelig, er det mulig at
installeringen mislykkes.
ocsp.apple.com
Enheten kontakter dette nettstedet for å
kontrollere statusen til distribusjonssertifikatet som brukes til å signere klargjøringsprofilen. Se
«Sertifikatvalidering» nedenfor.
Gjøre tilgjengelig oppdaterte apper
Apper du distribuerer selv, oppdateres ikke automatisk. Når du har en ny versjon
brukere skal installere, varsler du dem om oppdateringer og ber dem installere
appen. Du kan la appen søke etter oppdateringer og varsle brukeren når den
åpnes. Hvis du bruker trådløs appdistribusjon, kan varselet inneholde en kobling til manifestfilen til den oppdaterte appen.
Hvis du vil at appdataene skal arkiveres på brukerens enhet, må du sørge for at den nye
versjonen bruker samme pakke-ID som den som den erstatter, og du må be brukeren
om ikke å slette den gamle versjonen før den nye er installert. Hvis pakke-ID-ene
stemmer, vil den nye versjonen erstatte den gamle og arkivere data på enheten.
Klargjøringsprofiler utløper tolv måneder etter at de er utstedt. Etter utløpsdatoen
fjernes profilen, og appen kan ikke lenger åpnes.
40
iOS-utrulling – teknisk veiledning
Bruk iOS-utviklerportalen til å opprette en ny profil for appen før klargjørings-
profilen utløper. Opprett et nytt apparkiv (.ipa) med den nye klargjøringsprofilen for brukere som installerer appen for første gang.
For brukere som allerede har appen, kan du planlegge den neste versjonen slik at
den inkluderer den nye klargjøringsprofilen. Alternativt kan du distribuere bare den
nye .mobileprovision-filen, slik at brukerne ikke trenger å installere appen på nytt.
Den nye klargjøringsprofilen vil overskrive den som allerede ligger i apparkivet.
Klargjøringsprofiler kan installeres og administreres med MDM, lastes ned og
installeres av brukere fra en sikker nettside som du gjør tilgjengelig, eller
distribueres til brukere som e-postvedlegg de åpner og installerer.
Når distribusjonssertifikatet utløper, kan ikke appen åpnes lenger. Distribusjons-
sertifikatet er gyldig i tre år fra utstedelsesdatoen, eller til ditt medlemskap i
utviklerprogrammet for bedrifter utløper dersom dette skjer tidligere. Husk å fornye
medlemskapet ditt, slik at sertifikatet ikke utløper før tiden. Du finner informasjon
om hvordan distribusjonssertifikatet kontrolleres, under «Sertifikatvalidering»
nedenfor.
Du kan ha to aktive distribusjonssertifikater samtidig, der begge er uavhengige av hverandre. Hensikten med det andre sertifikatet er å gi deg en overlappings-
periode, slik at du kan oppdatere appene før det første sertifikatet utløper. Når du ber om det andre distribusjonssertifikatet fra iOS-utviklersenteret, er det viktig at du ikke tilbakekaller det første sertifikatet.
Sertifikatvalidering
Den første gangen en bruker åpner en app, kontaktes Apples OCSP-tjener, og distribusjonssertifikatet valideres. Med mindre sertifikatet er tilbakekalt, gis appen tillatelse til å kjøre. Det regnes ikke som en tilbakekalling dersom du ikke får kontakt med eller ikke svar fra OCSP-tjeneren. Enheten må kunne kontakte
ocsp.apple.com for at statusen skal bekreftes. Se «Krav til nettverkskonfigurasjon»
tidligere i tillegget.
Svaret fra OCSP bufres på enheten så lenge som det er angitt i OCSP-tjeneren – dette er nå mellom tre og sju dager. Validiteten til sertifikatet kontrolleres ikke
igjen før enheten startes på nytt og det bufrede svaret er utløpt.
Hvis det mottas en tilbakekalling i den perioden, blir appen forhindret i å kjøre.
Når et distribusjonssertifikat tilbakekalles, blir alle appene du har signert med
sertifikatet, ugyldige. Du bør kun tilbakekalle et sertifikat som siste utvei – hvis du
er sikker på at den private nøkkelen er gått tapt eller at sertifikatet er skadet.
!
41
iOS-utrulling – teknisk veiledning
Eksempel på appmanifestfil
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/
DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0”>
<dict>
<!-- rekke med nedlastinger. -->
<key>items</key>
<array>
<dict>
<!-- en rekke med ressurser for nedlasting -->
<key>assets</key>
<array>
<!-- programvarepakke: ipa-filen som skal installeres. -->
<dict>
<!-- påkrevd. ressurstype. -->
<key>kind</key>
<string>software-package</string>
<!-- valgfritt. md5 hver n'te byte. starter på nytt hvis md5 mislykkes. -->
<key>md5-size</key>
<integer>10485760</integer>
<!-- valgfritt. rekke av md5-nøkler for hver oppdeling av «md5-størrelse». -->
<key>md5s</key>
<array>
<string>41fa64bb7a7cae5a46bfb45821ac8bba</string>
<string>51fa64bb7a7cae5a46bfb45821ac8bba</string>
</array>
<!-- påkrevd. URL-en til filen som skal lastes ned. -->
<key>url</key>
<string>http://www.example.com/apps/foo.ipa</string>
</dict>
<!-- skjermbilde: symbolet som skal vises under nedlasting.-->
<dict>
<key>kind</key>
<string>display-image</string>
<!-- valgfritt. angir om symbolet skal ha glanseffekt. -->
<key>needs-shine</key>
<true/>
<key>url</key>
<string>http://www.example.com/image.57x57.png</string>
</dict>
<!-- bilde i full størrelse: det store 512 x 512-symbolet som brukes i iTunes. -->
<dict>
<key>kind</key>
<string>full-size-image</string>
<!-- valgfritt. én md5-nøkkel for hele filen. -->
<key>md5</key>
<string>61fa64bb7a7cae5a46bfb45821ac8bba</string>
<key>needs-shine</key>
<true/>
<key>url</key><string>http://www.example.com/image.512x512.jpg</string>
</dict>
</array><key>metadata</key>
<dict>
<!-- påkrevd -->
<key>bundle-identifier</key>
<string>com.example.fooapp</string>
<!-- valgfritt (kun programvare) -->
<key>bundle-version</key>
<string>1.0</string>
42
iOS-utrulling – teknisk veiledning
!
<!-- påkrevd. type nedlasting. -->
<key>kind</key>
<string>software</string>
<!-- valgfritt. vises under nedlasting, vanligvis bedriftsnavn -->
<key>subtitle</key>
<string>Apple</string>
<!-- påkrevd. tittelen som skal vises under nedlasting. -->
<key>title</key>
<string>Example Corporate App</string>
</dict>
</dict>
</array>
</dict>
</plist>
!
1Vanlige
datapriser fra operatør kan komme i tillegg. Meldinger kan sendes som SMS når iMessage ikke er tilgjengelig.
Operatørens priser på meldinger gjelder. 2FaceTime-samtaler krever Wi-Fi-tilkobling, og både den som ringer og den som mottar samtalen, må ha aktivert FaceTime på enheten. FaceTime via mobilnettverket krever iPhone 4s eller nyere,
iPad med Retina-skjerm eller iPad mini med mobildatafunksjon. Tilgjengelighet via et mobilnettverk avhenger av
operatørens retningslinjer. Datakostnader kan påløpe. 3Det er mulig at Siri ikke er tilgjengelig på alle språk eller i alle
områder, og funksjonene kan variere avhengig av land. Internettilgang kreves. Det kan påløpe mobildatakostnader.
4Enkelte funksjoner krever Wi-Fi-forbindelse. Enkelte funksjoner er ikke tilgjengelige i alle land. For noen tjenester er
tilgangen begrenset til ti enheter.
© 2014 Apple Inc. Alle rettigheter forbeholdes. Apple, Apple-logoen, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks,
iMessage, iPad, iPhone, iPod touch, iTunes, Keychain, Keynote, Mac, Mac-logoen, MacBook Air, OS X, Pages, Passbook,
Retina, Safari, Siri og Xcode er varemerker for Apple Inc., registrert i USA og andre land. AirPrint, iPad Air og iPad mini er varemerker for Apple Inc. iCloud, og iTunes Store er tjenestemerker for Apple Inc., registrert i USA og andre land. App Store og iBooks Store er tjenestemerker for Apple Inc. IOS er et varemerke eller registrert varemerke for Cisco i USA
og andre land og brukes under lisens. Andre produkt- og firmanavn som nevnes i dette dokumentet, kan være
varemerker for sine respektive firmaer.
43