Transcript iOS Deployment Tech Ref Guide DK-NO-SE-FI-NL-RU-TR


!
iOS-driftsättning
Teknisk
referens
!
iOS
! 7.1
!
!
!
Maj 2014
Teknisk referensguide för driftsättning av iOS
Innehållsförteckning
!
!
!
!
!!
Sidan 3
Introduktion
Sidan 4
Kapitel1: Integrering
Sidan 4
Microsoft Exchange
Sidan 6
Standardbaserade tjänster
Sidan 6
Wi-Fi
Sidan 7
VPN-nätverk
Sidan 13 VPN per app
Sidan 13 Enkel inloggning
Sidan 14 Digitala certifikat
Sidan 15 Bonjour
Sidan 16 Kapitel 2: Säkerhet
Sidan 16 Enhetssäkerhet
Sidan 18 Kryptering och dataskydd
Sidan 20 Nätverkssäkerhet
Sidan 20 Appsäkerhet
Sidan 21 Internettjänster
Sidan 23 Kapitel 3: Konfigurering och hantering
Sidan 23 Enhetsinställning och aktivering
Sidan 24 Konfigurationsprofiler
Sidan 24 MDM (Mobile Device Management)
Sidan 27 Enhetsövervakning
Sidan 28 Kapitel 4: Appdistribution
Sidan 28 Interna appar
Sidan 30 Driftsätta appar
Sidan 31 Caching Server
Sidan 32 Bilaga A: Wi-Fi-infrastruktur
Sidan 35 Bilaga B: Begränsningar
Sidan 37 Bilaga C: Installera interna appar trådlöst
!
2
Teknisk referensguide för driftsättning av iOS
Introduktion
!
Den här guiden är framtagen för IT-administratörer som vill stödja iOS-enheter i
sina nätverk. Den innehåller information om driftsättning och support av iPhone,
iPad och iPod touch i stora organisationer som företag eller utbildningsinstitutioner. Den förklarar på vilket sätt iOS-enheter förser organisationen med
omfattande säkerhetsfunktioner, integrering med befintlig infrastruktur och
kraftfulla verktyg för driftsättning.
Genom att förstå den centrala tekniken i iOS kan du implementera en driftsättningsstrategi som ger bästa möjliga användarupplevelse. Följande kapitel
fungerar som tekniskt referensmaterial när du driftsätter iOS-enheter i
organisationen.
Integrering. iOS-enheter har inbyggt stöd för en mängd olika nätverksinfrastrukturer. I det här avsnittet får du lära dig om vilka tekniker som stöds av iOS och
hur du bäst integrerar dem med Microsoft Exchange, Wi-Fi, VPN och andra
standardtjänster.
Säkerhet. iOS skyddar viktiga data och möjliggör säkra anslutningar till företagstjänster. iOS har kraftfull kryptering för dataöverföring, beprövade autentiseringsmetoder för anslutning till företagstjänster och hårdvarubaserad kryptering för alla
data på enheten. I det här kapitlet hittar du mer information om säkerhetsrelaterade funktioner i iOS.
Konfiguration och hantering. iOS stöder avancerade verktyg och tekniker som gör
att enheterna är enkla att installera, konfigurera enligt organisationens behov och
hantera i storskaliga miljöer. Det här kapitlet beskriver olika verktyg för driftsättning
och innehåller även en översikt av MDM (Mobile Device Management).
Distribution av appar. Det finns en rad olika sätt att distribuera appar och innehåll
inom organisationen. Med iOS Developer Enterprise Program kan din organisation
driftsätta appar för interna användare. I det här kapitlet får du en djupgående
förståelse för dessa program och hur du driftsätter internt utvecklade appar.
Följande bilagor innehåller ytterligare teknisk information och krav:
Wi-Fi-infrastruktur. Information om vilka Wi-Fi-standarder som stöds av iOS och
vad som bör beaktas vid planering av storskaliga Wi-Fi-nätverk.
Begränsningar.
Information om vilka begränsningar som kan användas för att konfigurera iOS-enheter enligt organisationens krav på säkerhet, lösenkoder och annat.
Installera interna appar trådlöst.
Information om vad som krävs för att distribuera interna appar via en webbaserad
portal.
Ytterligare resurser
Följande webbplatser innehåller relaterad information:
www.apple.com/ipad/business/it
www.apple.com/iphone/business/it
www.apple.com/education/it
3
Teknisk referensguide för driftsättning av iOS
Kapitel 1: Integrering
iOS-enheter har inbyggt stöd för en mängd olika nätverksinfrastrukturer. De stöder följande:
• Vanliga tredjepartssystem som Microsoft Exchange
• Integrering med standardbaserade system för e-post, kataloger, kalendrar och
liknande
• Standardbaserade Wi-Fi-protokoll för dataöverföring och kryptering
• VPN (Virtual Private Network) och VPN per app
• Enkel inloggning, vilket förenklar autentisering av nätverksanslutna appar och
tjänster
• Digitala certifikat för autentisering av användare och säker kommunikation
Eftersom stödet är inbyggt i iOS krävs det bara att IT-avdelningen gör några få
inställningar för att integrera iOS-enheterna i den befintliga infrastrukturen. Läs
vidare för mer information om iOS-tekniker och hur du bäst integrerar dem.
Microsoft Exchange
iOS kan kommunicera direkt med Microsoft Exchange Server via Microsoft
Exchange ActiveSync (EAS), vilket gör det möjligt att använda push-teknik för
överföring av e-post, kalendrar, kontakter, anteckningar och aktiviteter. Exchange
ActiveSync ger även användarna åtkomst till GAL (Global Address List) och hjälper
administratörer att upprätthålla lösenkodspolicyer samt ger dem möjlighet till
fjärradering. iOS stöder både grundläggande och certifikatbaserad autentisering för Exchange ActiveSync.
Om ditt företag redan använder Exchange ActiveSync har du allt som behövs för stöd av iOS – ingen ytterligare konfigurering krävs.
Krav
Enheter med iOS 7 eller senare stöder följande versioner av Microsoft Exchange:
• Exchange Server 2003 SP 2 (EAS 2.5)
• Exchange Server 2007 (via EAS 2.5)
• Exchange Server 2007 SP 1 (EAS 12.1)
• Exchange Server 2007 SP 2 (EAS 12.1)
• Exchange Server 2007 SP 3 (EAS 12.1)
• Exchange Server 2010 (EAS 14.0)
• Exchange Server 2010 SP 1 (EAS 14.1)
• Exchange Server 2010 SP 2 (via EAS 14.1)
• Exchange Server 2013 (via EAS 14.1)
• Office 365 (via EAS 14.1)
Microsoft Direct Push
Exchange Server skickar automatiskt e-post, uppgifter, kontakter och kalenderaktiviteter till iOS-enheter om de är anslutna via mobilnät eller Wi-Fi. iPod touch
och vissa iPad-modeller saknar mobilnätsanslutning och kan bara ta emot pushnotiser när de anslutna till ett Wi-Fi-nätverk.
4
Teknisk referensguide för driftsättning av iOS
Microsoft Exchange Autodiscovery
iOS stöder Autodiscover-tjänsten i Microsoft Exchange Server 2007 och Microsoft
Exchange Server 2010. När du konfigurerar en enhet manuellt använder
Autodiscover din e-postadress och lösenord för att ta reda på rätt Exchange Server-information.
Mer information om hur du aktiverar Autodiscover-tjänsten finns på webbplatsen
om Autodiscover-tjänsten.
Microsoft Exchange Global Address List
iOS-enheter kan ta emot kontaktinformation från Exchange Server-baserade
företagskataloger. Du kommer åt katalogen när du söker i Kontakter och den
används automatiskt till att komplettera e-postadresser medan du skriver dem. iOS 6 eller senare stöder GAL-bilder (kräver Exchange Server 2010 SP 1 eller senare).
Exchange ActiveSync-funktioner som inte stöds
Följande Exchange-funktioner saknar stöd:
• Öppning av länkar i mejl som går till dokument lagrade på SharePoint-servrar
• Inställning av autosvar vid frånvaro
Identifiera iOS-versioner via Exchange
När en iOS-enhet ansluter till en Exchange Server meddelar den sin iOS-version.
Versionsnumret skickas i User Agent-fältet i serverbegäran och har följande format:
Apple-iPhone2C1/705.018. Numret efter avgränsaren (/) är iOS-byggnumret som är
unikt för varje iOS-version. Du hittar enhetens byggnummer under Inställningar >
Allmänt > Om. Versionsnumret och byggnumret visas som exempelvis 4.1 (8B117A).
Numret inom parenteser är byggnumret som visar vilken version enheten använder.
När byggnumret skickas till Exchange Server konverteras det från formatet
NANNNA (där N är siffror och A är alfabetiska tecken) till Exchange-formatet
NNN.NNN. Numeriska värden behålls medan bokstäver konverteras till ett värde
enligt deras position i alfabetet. ”F” konverteras exempelvis till ”06” eftersom det är
den sjätte bokstaven i alfabetet. En nolla används vid behov som utfyllnadstecken
för att numren ska passa Exchange-formatet.
I det här exemplet konverteras byggnumret 7E18 till 705.018.
Den första siffran, 7, förblir ”7”. Bokstaven E är den femte bokstaven i alfabetet och
konverteras därför till ”05”. En punkt (.) läggs till i den konverterade versionen enligt
formatkraven. Nästa nummer, 18, får en nolla som utfyllnadstecken och konverteras
till ”018”. Om byggnumret slutar med en bokstav, som 5H11A, konverteras numret
enligt ovan och det sista tecknets numeriska värde läggs till i strängen efter tre
nollor. 5H11A blir 508.01100001.
Fjärradering
Du kan fjärradera innehållet på en iOS-enhet med hjälp av funktioner i Exchange.
Raderingen tar bort alla data och konfigurationsinställningar på enheten. Enheten
raderas på ett säkert sätt och återställs till fabriksinställningarna. Raderingen tar
bort krypteringsnyckeln till enhetens data (som är krypterade med 256-bitars AES-kryptering), vilket omedelbart förstör alla data permanent.
Med Microsoft Exchange Server 2007 eller senare kan du sköta fjärradering med
Exchange Management Console, Outlook Web Access eller med webbverktyget
Exchange ActiveSync Mobile Administration. Med Microsoft Exchange Server 2003
kan du starta en fjärradering med webbverktyget Exchange ActiveSync Mobile Administration.
Användare kan även radera sina egna enheter genom att gå till Inställningar >
Allmänt > Nollställ och välja ”Radera allt innehåll och inst.”. Enheter kan också
konfigureras för att automatiskt sätta igång en radering efter ett visst antal
misslyckade lösenkodsförsök.
5
Teknisk referensguide för driftsättning av iOS
Standardbaserade tjänster
iOS stöder IMAP-protokollet för e-post, LDAP-katalogtjänster samt protokoll för
CalDAV-kalendrar och CardDAV-kontakter. Detta betyder att iOS kan integreras med i princip alla standardbaserade miljöer. Om nätverksmiljön kräver
användarautentisering och SSL erbjuder iOS en säker metod för åtkomst till
standardbaserade företagstjänster för e-post, kalendrar, uppgifter och kontakter.
Tack vare SSL stöder iOS 128-bitars kryptering och X.509-rotcertifikat från erkända
certifikatutfärdare.
I en vanlig driftsättningsmodell ansluter iOS-enheter direkt till IMAP- och SMTP-baserade e-postservrar för att sända och ta emot e-post trådlöst. De kan även
synkronisera anteckningar trådlöst med IMAP-baserade servrar. iOS-enheter kan
ansluta till företagets LDAPv3-baserade företagskataloger, vilket ger användarna
tillgång till företagskontakter i apparna Mail, Kontakter och Meddelanden.
Synkronisering med en CalDAV-server gör det möjligt för användare att trådlöst
skapa och acceptera kalenderinbjudningar, ta emot kalenderuppdateringar och
synkronisera uppgifter med appen Påminnelser. Stödet för CardDAV gör det möjligt
för användare att synkronisera kontakter med en CardDAV-server med hjälp av
vCard-formatet. Alla nätverksservrar kan placeras i ett DMZ-delnätverk, bakom en företagsbrandvägg, eller både och.
Wi-Fi
iOS kan redan från början ansluta säkert till Wi-Fi-baserade företags- och
gästnätverk, vilket möjliggör snabb och enkel anslutning till trådlösa nätverk både på campus och i farten.
Ansluta till Wi-Fi-nätverk
Användare kan ställa in sina iOS-enheter att automatiskt ansluta till tillgängliga Wi-Fi-nätverk. Det går snabbt att ansluta till WiFi-nätverk som kräver inloggningsuppgifter eller annan information utan att öppna ett skilt webbläsarfönster.
Anslutningen kan istället göras från Wi-Fi-inställningarna eller i appar som Mail.
Tack vare strömsnål och avbrottsfri Wi-Fi-anslutning kan appar ta emot pushnotiser via Wi-Fi-nätverk.
WPA2 Enterprise
iOS stöder trådlösa nätverksprotokoll enligt branschstandard, exempelvis WPA2
Enterprise, vilket ger säker åtkomst till trådlösa företagsnätverk från iOS-enheter.
WPA2 Enterprise använder 128-bitars AES-kryptering, en beprövad blockbaserad
krypteringsmetod som ger användaren bästa tänkbara dataskydd.
Tack vare stödet för 802.1X kan iOS integreras i en mängd olika miljöer med
RADIUS-autentisering. iOS stöder följande trådlösa autentiseringsmetoder för
802.1X: EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 och LEAP.
Roaming
iOS stöder 802.11k och 802.11r vid roaming i storskaliga Wi-Fi-nätverk. 802.11k
hjälper iOS-enheter att växla mellan Wi-Fi-anslutningspunkter med hjälp av
rapporter från anslutningspunkterna medan 802.11r underlättar 802.1Xautentisering då en enhet förflyttar sig mellan olika anslutningspunkter.
Konfigurationsprofiler och MDM kan ange inställningarna för trådlösa nätverk, säkerhet, proxy och autentisering, vilket snabbar upp både installation och driftsättning.
!
6
Teknisk referensguide för driftsättning av iOS
VPN-nätverk
iOS kan användas för säkra anslutningar till privata företagsnätverk med hjälp av
etablerade VPN-protokoll av branschstandard. iOS har stöd för Cisco IPSec, L2TP
över IPSec och PPTP som standard. Om din organisation stöder något av dessa
protokoll krävs ingen ytterligare nätverkskonfiguration eller några tredjepartsappar
för att ansluta iOS-enheter till VPN-nätverket.
iOS stöder dessutom SSL-VPN från vanliga VPN-leverantörer. Användaren kommer
snabbt igång genom att ladda ner en VPN-klientapp från App Store som har
utvecklats av något av dessa företag. Precis som andra VPN-protokoll som stöds av
iOS kan SSL-VPN konfigureras manuellt på enheten eller via konfigurationsprofiler
eller MDM.
iOS stöder standardtekniker som IPv6, proxyservrar och delade tunnlar (splittunneling), vilket gör det enkelt att använda VPN för att ansluta till företags-nätverk.
iOS fungerar dessutom med en rad olika autentiseringsmetoder som lösenord,
tvåfaktorsautentisering och digitala certifikat. iOS stöder tekniken VPN On Demand
som vid behov upprättar en VPN-session för anslutning till specifika domäner. Det
gör det lättare att ansluta i miljöer där certifikatbaserad autentisering används.
Med iOS 7 kan enskilda appar konfigureras att använda en VPN-anslutning
fristående från andra appar på enheten. Det garanterar att företagsdata alltid
överförs via en VPN-anslutning, medan andra data som medarbetarens personliga
appar från App Store inte gör det. Mer information finns under ”VPN per app”
senare i kapitlet.
Protokoll och autentiseringsmetoder som stöds
SSL-VPN. Stöder användarautentisering med lösenord, tvåfaktorsautentisering och
certifikat.
Cisco IPSec. Stöder användarautentisering med lösenord, tvåfaktorsautentisering
och maskinautentisering via delade hemligheter och certifikat.
L2TP over IPSec. Stöder användarautentisering med MS-CHAP v2-lösenord,
tvåfaktorsautentisering och maskinautentisering via delade hemligheter.
PPTP. Stöder användarautentisering med MS-CHAP v2-lösenord och
tvåfaktorsautentisering.
SSL-VPN-klienter
Flera SSL-VPN-leverantörer har skapat appar som underlättar konfigurationen av
deras tjänster på iOS-enheter. Enheterna kan konfigureras för en specifik lösning
med hjälp av den tillhörande appen och eventuellt genom att använda en
konfigurationsprofil med de nödvändiga inställningarna. Stödet för SSL-VPNlösningar omfattar:
• Juniper Junos Pulse SSL VPN. iOS stöder Juniper Networks SA Series SSL VPN
Gateway som kör version 6.4 eller senare med Juniper Networks IVE-paket 7.0 eller
senare. Konfigurationen sköts med appen Junos Pulse från App Store.
Mer information finns på webbsidan med appinformation från Juniper Networks. 7
Teknisk referensguide för driftsättning av iOS
• F5 SSL VPN. iOS stöder F5 BIG-IP Edge Gateway, Access Policy Manager och
FirePass SSL VPN-lösningar. Konfigurationen sköts med appen F5 BIG-IP Edge
Client från App Store.
Mer information finns i F5:s tekniska dokument Secure iPhone Access to
Corporate Web Applications.
• Aruba Networks SSL VPN. iOS stöder Aruba Networks Mobility Controller.
Konfigurationen sköts med appen Aruba Networks VIA från App Store.
Kontaktuppgifter finns på Aruba Networks webbplats.
• SonicWALL SSL VPN. iOS stöder SonicWALL Aventall E-Class Secure Remote
Access-tillämpningar som kör 10.5.4 eller senare, SonicWALL SRA-tillämpningar
som kör 5.5 eller senare och SonicWALL Next-Generation Firewall-tillämpningar,
inklusive TZ, NSA, E-Class NSA som kör SonicOS 5.8.1.0 eller senare.
Konfigurationen sköts med appen SonicWALL Mobile Connect från App Store.
Kontaktuppgifter finns på SonicWALL:s webbplats.
• Check Point Mobile SSL VPN. iOS stöder Check Point Security Gateway med en
fullständig Layer-3-VPN-tunnel. Konfigurationen sköts med appen Check Point
Mobile från App Store.
• OpenVPN SSL VPN. iOS stöder OpenVPN Access Server, Private Tunnel och
OpenVPN Community. Konfigurationen sköts med appen OpenVPN Connect från App Store.
• Palo Alto Networks GlobalProtect SSL VPN. iOS stöder GlobalProtect-gateway
från Palo Alto Networks. Konfigurationen sköts med appen GlobalProtect for iOS från App Store.
• Cisco AnyConnect SSL VPN. iOS stöder Cisco Adaptive Security Appliance (ASA)
som kör mjukvaran 8.0(3).1 eller senare. Konfigurationen sköts med appen Cisco
AnyConnect från App Store.
Anvisningar för VPN-installation
Installationsanvisningar för Cisco IPSec
Använd dessa anvisningar för att konfigurera en Cisco VPN-server för användning
med iOS-enheter. iOS stöder Cisco ASA 5500 Security Appliances och PIX Firewalls
konfigurerade med mjukvara av version 7.2.x eller senare. Den senaste mjukvaruversionen (8.0.x eller senare) rekommenderas. iOS stöder också Cisco IOS VPNroutrar med IOS version 12.4(15)T eller senare. VPN 3000 Series Concentrators saknar
stöd för iOS VPN-funktioner.
Proxyinställningar
Du kan ange en VPN-proxy i alla konfigurationer. Med den manuella inställningen
kan du konfigurera en enskild proxy som används för alla anslutningar. Ange
adress, port och autentisering vid behov. Med den automatiska inställningen kan du förse enheten med en konfigurationsfil från en automatiserad proxy som använder PAC eller WPAD. Ange URL:en till PAC-filen om du använder PAC. När WPAD används skickar iOS en förfrågan via DHCP och DNS efter de rätta
inställningarna.
!
8
Teknisk referensguide för driftsättning av iOS
Autentiseringsmetoder
iOS har stöd för följande autentiseringsmetoder:
• IPSec-autentisering med fördelad nyckel (PSK) och användarautentisering via xauth.
• Klient- och servercertifikat för IPSec-autentisering, med valfri användarautentisering via xauth.
• Hybridautentisering där servern tillhandahåller ett certifikat och klienten står för
en fördelad nyckel för IPSec-autentisering. Användarautentisering krävs via xauth.
• Användarautentisering sker via xauth och följande autentiseringsmetoder stöds:
– Användarnamn med lösenord
– RSA SecurID
– CRYPTOCard
Autentiseringsgrupper
Cisco Unity-protokollet grupperar användare i autentiseringsgrupper baserat på en
gemensam uppsättning autentiseringsparametrar och andra parametrar. Du bör
skapa en autentiseringsgrupp för iOS-användare. När enheten autentiseras med
fördelade nycklar eller hybridautentisering måste gruppnamnet konfigureras med
gruppens delade hemlighet (fördelade nyckel) som grupplösenord.
Ingen delad hemlighet används vid certifikatautentisering. Användargruppen
bestäms baserat på fälten i certifikatet. Cisco-serverns inställningar kan användas
för att koppla fälten i certifikatet till användargrupper.
RSA-Sig ska ha högsta prioritet på prioritetslistan för ISAKMP.
Certifikat
Försäkra dig om följande när du ställer in och installerar certifikat:
Serverns identitetscertifikat måste innehålla serverns DNS-namn och/eller IP-adress
i fältet för alternativt ämnesnamn (SubjectAltName). Enheten använder den här
informationen för att bekräfta att certifikatet hör till servern. För större flexibilitet
kan du ange SubjectAltName med jockertecken för att matcha per segment,
exempelvis vpn.*.mycompany.com. Du kan ange DNS-namnet i det vanliga
namnfältet om inget SubjectAltName har specificerats.
Certifikatet från certifikatutfärdaren (CA) som signerade serverns certifikat måste installeras på enheten. Om det inte är ett rotcertifikat ska du installera resten av certifikatkedjan så att certifikatet är giltigt. Om du använder klientcertifikat ska du
se till att det giltiga CA-certifikatet som signerade klientens certifikat är installerat
på VPN-servern. När du använder certifikatbaserad autentisering ska du se till att
servern är konfigurerad att identifiera användargruppen baserat på fälten i klientcertifikatet.
Certifikaten och certifikatutfärdaren måste vara giltiga (de får till exempel inte ha
upphört att gälla). Servern kan inte skicka certifikatkedjan eftersom stöd saknas, så
du bör stänga av den funktionen.
!
9
Teknisk referensguide för driftsättning av iOS
IPSec-inställningar
Använd följande IPSec-inställningar:
• Mode. Tunnel Mode.
• IKE Exchange Modes. Aggressive Mode för fördelad nyckel och hybridautentisering, eller Main Mode för certifikatautentisering.
• Encryption Algorithms. 3DES, AES-128, AES-256.
• Authentication Algorithms. HMAC-MD5, HMAC-SHA1.
• Diffie-Hellman Groups. Group 2 krävs för fördelad nyckel och hybridautentisering.
Använd Group 2 med 3DES och AES-128 för certifikatautentisering. Använd Group
2 eller 5 med AES-256.
• PFS (Perfect Forward Secrecy). Om PFS används med IKE fas 2 måste DiffieHellman-gruppen överensstämma med vad som användes för IKE fas 1.
• Mode Configuration. Måste vara aktiverat.
• Dead Peer Detection. Rekommenderas.
• Standard NAT Transversal. Stöds och kan aktiveras (IPSec over TCP stöds inte).
• Load Balancing. Stöds och kan aktiveras.
• Re-keying of Phase 1. För närvarande saknas stöd. Det rekommenderas att
nyckeluppdatering på servern sker varje timme.
• ASA Address Mask. Se till att alla enheters adressmasker antingen är tomma eller
konfigurerade som 255.255.255.255. Till exempel: asa(config-webvpn)# ip local
pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.
Om du använder den rekommenderade adressmasken kan en del nätverksvägar
som används av VPN-konfigurationen ignoreras. Du kan förhindra detta genom att
före driftsättningen se till att routningstabellen innehåller alla viktiga nätverksvägar
och kontrollera att delnätsadresserna kan nås.
Andra funktioner som stöds
• Application Version. Information om klientmjukvarans version skickas till servern
så att servern kan godkänna eller neka anslutningar beroende på enhetens
mjukvaruversion.
• Banner. Välkomstmeddelandet (om det har konfigurerats på servern) visas på
enheten och användaren måste godkänna det eller avbryta anslutningen.
• Split Tunnel. Delade tunnlar stöds.
• Split DNS. Delad DNS stöds.
• Default Domain. Standarddomän stöds.
!
10
Teknisk referensguide för driftsättning av iOS
VPN On Demand
Med VPN On Demand kan iOS-enheter automatiskt upprätta en säker anslutning
utan åtgärd från användaren. VPN-anslutningen öppnas vid behov baserat på regler
som anges i en konfigurationsprofil.
I iOS 7 konfigureras VPN On Demand med nyckeln OnDemandRules i en VPNpayload i konfigurationsprofilen. Regler används i två steg:
• Nätverksidentifiering. Definierar VPN-krav som används när enhetens primära
nätverksanslutning ändras.
• Anslutningsutvärdering. Definierar VPN-krav för en anslutningsbegäran till
domännamn vid behov.
Regler kan exempelvis användas till att:
• Upptäcka när en iOS-enhet är ansluten till ett internt nätverk utan att VPN krävs.
• Upptäcka när ett okänt Wi-Fi-nätverk används och kräva VPN för all nätverksaktivitet.
• Kräva VPN när en DNS-begäran till en specifik domän misslyckas.
Nätverksidentifiering
VPN On Demand-regler utvärderas när enhetens primära nätverk ändras, till
exempel när en iOS-enhet växlar till ett annat Wi-Fi-nätverk eller byter från
mobilnät till Wi-Fi. Om det primära nätverksgränssnittet är ett virtuellt gränssnitt, exempelvis ett VPN-gränssnitt, ignoreras VPN On Demand-regler.
Alla matchande regler i varje samling (ordlista) måste stämma överens för att deras tillhörande åtgärd ska utföras. Om någon av reglerna inte matchar går
utvärderingen vidare till nästa ordlista i uppsättningen tills hela OnDemandRulesuppsättningen har kontrollerats.
Den sista ordlistan bör bestämma en standardkonfiguration som inte har några
matchande regler utan bara en åtgärd. Den kommer att gälla alla anslutningar som inte matchade tidigare regler.
Anslutningsutvärdering
VPN kan aktiveras vid behov baserat på en anslutningsbegäran till specifika
domäner istället för att endast koppla från och ansluta VPN beroende på nätverksgränssnitt.
Matchande regler för On Demand
Ange en eller flera av följande matchande regler:
• InterfaceTypeMatch. Valfritt. Ett strängvärde för Wi-Fi eller mobilnät. När den här
regeln är specificerad kommer den att utlösas när det primära nätverksgränssnittet matchar den angivna typen.
• SSIDMatch. Valfritt. En lista med SSID-namn som kontrolleras mot det aktuella
nätverket. Regeln matchas inte om nätverket inte är ett Wi-Fi-nätverk eller om
dess SSID inte finns i listan. Om du utelämnar den här nyckeln och dess lista
kommer SSID att ignoreras.
• DNSDomainMatch. Valfritt. En lista med sökdomäner lagrade som strängar. Den
här egenskapen matchar om den konfigurerade DNS-sökdomänen i det aktuella
primära nätverket finns med i listan. Jokerteckenprefixet (*) stöds, så exempelvis
*.example.com matchar anything.example.com.
!
11
Teknisk referensguide för driftsättning av iOS
• DNSServerAddressMatch. Valfritt. En lista med DNS-serveradresser lagrade som
strängar. Den här egenskapen matchar om alla konfigurerade DNS-serveradresser
för det primära gränssnittet finns med i listan. Jockertecken (*) stöds, så
exempelvis 1.2.3.* matchar alla DNS-servrar med prefixet 1.2.3.
• URLStringProbe. Valfritt. En server vars tillgänglighet ska kontrolleras.
Omdirigering stöds inte. Webbadressen ska vara en giltig HTTPS-server. Enheten
skickar en GET-begäran som kontrollerar om servern är tillgänglig.
Åtgärd
Den här nyckeln bestämmer hur VPN ska fungera när alla matchande regler
stämmer. Nyckeln är obligatorisk. Åtgärdnyckelns värden är:
• Connect. Öppna en VPN-anslutning utan förbehåll vid nästa försök till
nätverksanslutning.
• Disconnect. Koppla ner VPN-anslutningen och öppna inte några nya anslutningar
vid förfrågningar.
• Ignore. Lämna aktuella VPN-anslutningar öppna, men öppna inte några nya
anslutningar vid förfrågningar.
• Allow. För iOS-enheter med iOS 6 eller tidigare. Se ”Information om bakåtkompatibilitet” senare i avsnittet.
• EvaluateConnection. Utvärdera ActionParameters vid varje anslutningsförsök. När denna åtgärd används kommer nyckeln ActionParameters (som beskrivs
nedan) att krävas för specificering av utvärderingsregler.
ActionParameters
En samling ordlistor med nycklarna som beskrivs nedan. De utvärderas i den
ordning som de förekommer. Krävs när åtgärden är EvaluateConnection.
• Domains. Obligatorisk. En lista med strängar som definierar de domäner som
utvärderingen gäller. Jockerteckenprefix stöds, exempelvis *.example.com.
• DomainAction. Obligatorisk. Definiera VPN-beteendet för domänerna i Domains.
DomainAction-nyckelns värden är:
– ConnectIfNeeded. Anslut VPN om DNS-matchning för domäner i Domains
misslyckas, till exempel om DNS-servern meddelar att den inte kan hitta
domännamnet, DNS-svaret omdirigeras eller om anslutningen misslyckas eller
tar för lång tid.
– NeverConnect. Aktivera inte VPN för domäner i Domains.
När DomainAction är ConnectIfNeeded kan du också specificera följande nycklar i ordlistan för anslutningsutvärdering:
• RequiredDNSServers. Valfritt. En lista med IP-adresser till DNS-servrar som
används för att söka upp domänerna i Domains. Dessa servrar behöver inte vara
en del av enhetens aktuella nätverkskonfiguration. Om dessa DNS-servrar inte kan
nås kommer VPN att aktiveras. Konfigurera en intern DNS-server eller en giltig
extern DNS-server.
• RequiredURLStringProbe. Valfritt. En HTTP- eller HTTPS-webbadress (HTTPS
rekommenderas) som ska kontrolleras med en GET-begäran. Om DNSmatchningen för servern lyckas måste även kontrollen lyckas. Om kontrollen
misslyckas kommer VPN att aktiveras.
!
12
Teknisk referensguide för driftsättning av iOS
Information om bakåtkompatibilitet
Före iOS 7 konfigurerades regler för domänaktivering med hjälp av domänlistor som kallades OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry
och OnDemandMatchDomainNever. iOS 7 stöder fortfarande OnRetry och Never,
även om de är föråldrade och EvaluateConnection istället rekommenderas.
Du kan skapa en profil som fungerar med både iOS 7 och tidigare versioner med
hjälp av de nya EvaluateConnection-nycklarna utöver OnDemandMatchDomainlistorna. Tidigare versioner av iOS som inte känner igen EvaluateConnection
kommer att använda de gamla listorna, men iOS 7 och senare versioner kan
använda EvaluateConnection.
Gamla konfigurationsprofiler som specificerar Allow-åtgärden fungerar med iOS 7,
med undantag för OnDemandMatchDomainsAlways-domäner.
VPN per app
iOS 7 gör det möjligt att upprätta VPN-anslutningar i enskilda appar. Det ger större
kontroll över vilka data som skickas via VPN. När hela enheten använder VPN
överförs alla data via det privata nätverket oavsett källa. Fler och fler personliga
enheter används inom organisationer. VPN per app möjliggör säkra nätverksanslutningar för interna appar, samtidigt som den personliga integriteten
respekteras när det gäller annan, personlig aktivitet på enheten.
VPN per app gör att appar som hanteras med MDM (Mobile Device Management)
kan kommunicera med det privata nätverket via säkra tunnlar, medan ohanterade
appar på enheten hindras från att använda det privata nätverket. Hanterade appar
kan dessutom konfigureras med olika VPN-anslutningar för att skydda data
ytterligare. En app för offerter kan till exempel använda ett helt annat datacenter än
en app för leverantörsskulder, medan användarens personliga webbsurfning går via
det publika internet. Möjligheten att skilja på trafik på appnivå hjälper till att
separera på personliga data och data som tillhör organisationen.
För att använda VPN per app måste appen hanteras via MDM och använda standardAPI:er för nätverk i iOS. VPN per app konfigureras med en MDM-konfiguration som
bestämmer vilka appar och Safari-domäner som får använda dessa inställningar. Mer information om MDM finns i Kapitel 3: Konfigurering och hantering.
Enkel inloggning (SSO)
Med iOS 7 kan appar dra nytta av befintlig intern infrastruktur för enkel inloggning
via Kerberos. Enkel inloggning kan förbättra användarupplevelsen eftersom
användaren bara behöver ange sitt lösenord en enda gång. Det ökar även
säkerheten vid daglig appanvändning eftersom lösenord aldrig skickas trådlöst.
Systemet för Kerberos-autentisering som används i iOS 7 är en branschstandard
och världens mest använda teknik för enkel inloggning. Om du använder Active
Directory, eDirectory eller OpenDirectory är det sannolikt att det redan finns ett
Kerberos-system som iOS 7 kan använda. iOS-enheter måste kunna kontakta
Kerberos-tjänsten över en nätverksanslutning för att autentisera användare.
!
13
Teknisk referensguide för driftsättning av iOS
Appar som stöds
iOS erbjuder ett flexibelt stöd för enkel inloggning (SSO) med Kerberos till alla
appar som använder klasserna NSURLConnection eller NSURLSession för att
hantera nätverksanslutningar och autentisering. Apple förser alla utvecklare med
dessa högnivåramverk så att de enkelt kan integrera nätverksanslutningar i sina
appar. Apple tillhandahåller även ett exempel med Safari som hjälper dig att
komma igång med SSO-aktiverade webbplatser.
Konfigurera enkel inloggning (SSO)
Konfigurering av enkel inloggning sköts med konfigurationsprofiler som antingen
kan installeras manuellt eller hanteras med MDM. SSO-kontots payload gör
konfigurationen flexibel. SSO kan göras tillgängligt för alla appar eller begränsas
efter appidentifierare, webbadress till tjänsten eller både och.
Webbadresser kan kontrolleras med mönstermatchning och de måste börja med antingen http:// eller https://. Matchningen görs på hela webbadressen så se till att de överensstämmer exakt. Om ett URLPrefixMatches-värde exempelvis är
https://www.example.com/ kommer det inte att matcha https://www.example.com:
443/. Du kan specificera http:// eller https:// för att begränsa användningen av SSO
till antingen säkra eller vanliga HTTP-tjänster. Om URLPrefixMatches-värdet är
https:// kommer SSO-kontot bara att kunna användas med säkra HTTPS-tjänster.
Om ett URL-matchningsmönster inte slutar med ett snedstreck (/) kommer det att
läggas till automatiskt.
AppIdentifierMatches-listan måste innehålla strängar som matchar appens paketID:n. Dessa strängar kan matcha varandra exakt (t.ex. com.mycompany.myapp) eller
specificera en prefixmatchning av ett paket-ID med hjälp av ett jokertecken (*).
Jokertecknet måste placeras efter en punkt (.) och i slutet av strängen (till exempel
com.mycompany.*). När ett jokertecken används får varje app med ett paket-ID
som börjar med prefixet tillgång till kontot.
Digitala certifikat
Digitala certifikat är en typ av identifiering som möjliggör smidig autentisering,
dataintegritet och kryptering. Ett digitalt certifikat består av en offentlig nyckel
samt information om användaren och den certifikatutfärdare som utfärdade
certifikatet. iOS har stöd för digitala certifikat, vilket ger organisationer tillgång till företagstjänster på ett säkert och smidigt sätt.
Certifikat kan används på flera olika sätt. Om data signeras med ett digitalt certifikat
säkerställer det att informationen inte kan ändras. Certifikat kan även användas till att
kontrollera identiteten hos avsändaren eller den som har signerat. Dessutom kan de
användas till att kryptera konfigurationsprofiler och nätverkskommunikation för att
ytterligare skydda konfidentiell eller privat information.
Webbläsaren Safari kan exempelvis kontrollera giltigheten hos ett digitalt X.509certifikat och upprätta en säker session med upp till 256-bitars AES-kryptering. Det säkerställer att webbplatsens identitet stämmer och att kommunikationen med
webbplatsen skyddas, vilket förhindrar avlyssning av privata eller konfidentiella data.
!
14
Teknisk referensguide för driftsättning av iOS
Certifikat- och ID-format som stöds:
• iOS har stöd för X.509-certifikat med RSA-nycklar.
• Filnamnstilläggen .cer, .crt, .der, .p12 och .pfx kan användas.
Använda certifikat i iOS
Rotcertifikat
iOS levereras med flera förinstallerade rotcertifikat. Mer information finns i den här
Apple Support-artikeln.
iOS kan uppdatera certifikat trådlöst om säkerheten hos något av de förinstallerade
rotcertifikaten har äventyrats. Det går att stänga av denna funktion genom att
begränsa möjligheten att uppdatera certifikat trådlöst.
Om du använder ett rotcertifikat som inte är förinstallerat, exempelvis ett självsignerat rotcertifikat från den egna organisationen, kan du distribuera det med
någon av metoderna nedan.
Distribuera och installera certifikat
Det är enkelt att distribuera certifikat till iOS. När ett certifikat tas emot behöver
användaren bara trycka på det för att visa innehållet och sedan trycka igen för att
lägga till det på enheten. När ett ID-certifikat installeras måste användaren ange
lösenordet som skyddar det. Om certifikatets giltighet inte kan fastställas visas det
som ogiltigt och användaren kan välja om det ändå ska sparas på enheten.
Installera certifikat via konfigurationsprofiler
Om konfigurationsprofiler används till att distribuera inställningar för företagstjänster som Exchange, VPN eller Wi-Fi kan driftsättningen förenklas genom att
lägga till certifikaten i profilen. På så vis kan certifikat distribueras via MDM.
Installera certifikat via Mail eller Safari
Om ett certifikat skickas med e-post visas det som en bilaga. Certifikat kan också laddas ner från en webbplats med Safari. Du kan tillhandahålla ett certifikat på en säker webbplats och ge användarna webbadressen till webbsidan där de kan ladda ner certifikatet till sina enheter.
Radera och återkalla certifikat
Du kan radera ett installerat certifikat manuellt genom att gå till Inställningar >
Allmänt > Profiler och välja det certifikat du vill radera. Om en användare raderar
ett certifikat som krävs för åtkomst till ett konto eller nätverk kan enheten inte
längre ansluta till dessa tjänster.
En MDM-server kan visa alla certifikat på en enhet och radera installerade certifikat.
Protokollen OCSP (Online Certificate Status Protocol) och CRL (Certificate
Revocation List) kan också användas för att kontrollera certifikatens status. När ett
OCSP- eller CRL-aktiverat certifikat används kontrollerar iOS regelbundet om de har
återkallats.
Bonjour
Bonjour är Apples standardbaserade, konfigurationsfria nätverksprotokoll som gör så att enheter kan hitta tjänster i ett nätverk. iOS-enheter använder Bonjour för att upptäcka AirPrint-kompatibla skrivare och AirPlay-kompatibla enheter som exempelvis en Apple TV. Vissa P2P-appar använder också Bonjour. Se till att
nätverksinfrastrukturen och Bonjour är konfigurerade och fungerar tillsammans.
Enheter med iOS 7.1 kan också upptäcka AirPlay-källor via Bluetooth. När en
kompatibel Apple TV upptäcks skickas AirPlay-data över Wi-Fi-nätverket. Apple TV
6.1 eller senare krävs för att upptäcka enheter via Bluetooth. iOS-enheten och Apple TV måste vara anslutna till samma subnätverk för uppspelning och spegling
av innehåll.
Mer information om Bonjour finns på Apples webbplats. !
15
Teknisk referensguide för driftsättning av iOS
Kapitel 2: Säkerhet
!
iOS har utformats med flera lager av säkerhet. Det betyder att viktiga data är
skyddade på iOS-enheter och att anslutningar till nätverkstjänster sker på ett säkert
sätt. iOS har kraftfull kryptering för dataöverföring, beprövade autentiseringsmetoder för anslutning till företagstjänster och hårdvarubaserad kryptering för alla
data på enheten. iOS skyddas dessutom genom användning av lösenkodspolicyer
som kan levereras och genomdrivas trådlöst. Om enheten skulle hamna i fel händer
kan användare och IT-administratörer utföra en fjärradering som raderar privat
information.
När det gäller säkerheten hos iOS vid företagsanvändning kan det vara till hjälp att
ha följande i åtanke:
• Enhetskontroll. Metoder som förhindrar obehörig användning av enheten.
• Kryptering och dataskydd. Skydd av lagrade data, även om enheten förloras eller
blir stulen.
• Nätverkssäkerhet. Nätverksprotokoll och kryptering av data under överföring.
• Appsäkerhet. Säker körning av appar utan att plattformsintegriteten äventyras.
• Internettjänster. Apples nätverksbaserade infrastruktur för meddelanden,
synkronisering och säkerhetskopiering.
Dessa funktioner samverkar för att skapa en säker mobil dataplattform.
Enhetssäkerhet
Följande lösenkodsregler
stöds:
• Kräv lösenkod på enhet
• Kräv alfanumeriskt värde
• Minsta lösenkodslängd
• Minsta antal komplexa tecken
• Högsta lösenkodsålder
• Tid före autolåsning
• Lösenkodshistorik
• Tidsfrist för enhetslås
• Högsta antal misslyckade försök
Till skydd för företagets information behövs det starka policyer för åtkomst till iOSenheter. Lösenkoder på enheter är grundskyddet som förhindrar obehörig
användning. De kan konfigureras och användas trådlöst. iOS-enheter använder den
unika lösenkoden som användaren har angett till att skapa en stark krypteringsnyckel som utökar skyddet av e-post och känsliga appdata på enheten. iOS erbjuder
dessutom säkra metoder för konfiguration av enheterna i IT-miljöer där specifika
inställningar, policyer och begränsningar krävs. Dessa metoder är flexibla alternativ
för att upprätta ett standardskydd för behöriga användare.
Lösenkodspolicyer
En lösenkod för enheten förhindrar obehöriga användare att komma åt data eller få åtkomst till enheten på annat sätt. iOS erbjuder många olika lösenkodspolicyer
för att tillgodose olika säkerhetsbehov, till exempel maxtidsgränser, lösenkodens
komplexitet och inställningar för hur ofta lösenkoden måste bytas.
!
16
Teknisk referensguide för driftsättning av iOS
Policyefterlevnad
Policyer kan distribueras som en del av en konfigurationsprofil som användarna kan installera. Du kan definiera en profil så att den bara kan raderas med ett
administratörslösenord. Du kan även bestämma att profilen ska vara låst till
enheten och samtidigt göra det omöjligt att radera den utan att radera allt innehåll
på enheten. Lösenkodsinställningar kan dessutom fjärrkonfigureras med MDMlösningar som skickar policyerna direkt till enheten. Det gör det möjligt att
genomdriva och uppdatera policyer utan att det krävs några åtgärder från
användarna.
Om enheten är konfigurerad att komma åt ett Microsoft Exchange-konto skickas
inställningarna från Exchange ActiveSync trådlöst till enheten. Antalet tillgängliga
policyer varierar beroende på vilken version av Exchange ActiveSync och Exchange
Server som används. Om det förekommer både Exchange- och MDM-policyer
används den som är striktast.
Säker enhetskonfigurering
Konfigurationsprofiler är XML-filer som innehåller säkerhetsregler och begränsningar för enheten, information om VPN-konfigurationer, Wi-Fi-inställningar, e-postoch kalenderkonton samt autentiseringsuppgifter som tillåter iOS-enheten att
användas i ditt IT-system. Möjligheten att bestämma lösenkodspolicyer och
enhetsinställningar i en konfigurationsprofil ser till att enheterna i organisationen är korrekt konfigurerade enligt IT-avdelningens säkerhetsregler. Eftersom
konfigurationsprofiler kan krypteras och låsas kan inställningarna inte raderas,
ändras eller delas med andra.
Konfigurationsprofiler kan både signeras och krypteras. Signering av en konfigurationsprofil säkerställer att profilens inställningar inte kan ändras på något sätt.
Kryptering av en konfigurationsprofil skyddar profilens innehåll och tillåter endast
installation på den enhet som profilen skapades för. Konfigurationsprofiler
krypteras med CMS (Cryptographic Message Syntax, RFC 3852) och stöder 3DES
och AES 128.
Första gången du distribuerar en krypterad konfigurationsprofil kan den installeras
via USB med Apple Configurator, med trådlösa protokoll för profildistribution och
konfiguration eller via MDM. Påföljande krypterade konfigurationsprofiler kan
distribueras som e-postbilagor, via webbplatser eller överföras till enheten via MDMlösningar.
Mer information om trådlösa protokoll för profildistribution och konfiguration
finns på webbplatsen iOS Developer Library.
Enhetsbegränsningar
Enhetsbegränsningar bestämmer vilka funktioner som användarna har åtkomst till på enheten. Dessa omfattar vanligtvis nätverksaktiverade appar som Safari,
YouTube och iTunes Store, men begränsningar kan även reglera enhetsfunktioner
som installering av appar och kameraanvändning. Med begränsningar kan du
konfigurera enheten så att den uppfyller fastställda krav samtidigt som användarna
kan använda enheten på ett effektivt sätt i verksamheten. Begränsningar kan
konfigureras manuellt på varje enhet och upprätthållas med en konfigurationsprofil, eller skötas trådlöst med en MDM-lösning. Begränsningar för kameraanvändning och webbsurfning kan upprättas trådlöst på samma sätt som lösenkodspolicyer via Microsoft Exchange Server 2007 och 2010. Begränsningar kan
också användas till att förhindra att mejl flyttas mellan konton eller att mottagna
meddelanden skickas vidare från ett konto till ett annat.
Se Bilaga B för information om vilka begränsningar som stöds.
!
17
Teknisk referensguide för driftsättning av iOS
Kryptering och dataskydd
I miljöer där känslig information hanteras är det viktigt att skydda alla data lagrade
på iOS-enheter. iOS krypterar dataöverföring och har även hårdvarubaserad
kryptering för alla data som lagras på enheten och ytterligare kryptering av e-post
och appdata som ger bättre dataskydd.
Kryptering
iOS-enheter använder hårdvarubaserad kryptering. Hårdvarukryptering använder
256-bitars AES-kryptering för att skydda alla data på enheten. Krypteringen är alltid aktiverad och kan inte avaktiveras. Data som har säkerhetskopierats till en
användares dator via iTunes kan också krypteras. Funktionen kan aktiveras av
användaren eller upprätthållas med hjälp av inställningar för enhetsbegränsning i konfigurationsprofiler. iOS har även stöd för S/MIME i Mail så att användare kan
visa och skicka krypterad e-post.
Krypteringsmodulerna i iOS 7 och iOS 6 uppfyller den i USA fastställda FIPSstandarden (Federal Information Processing Standard) 140-2 nivå 1. Detta säkerställer integriteten hos krypteringsprocesser i Apple-appar och tredjepartsappar
som använder krypteringstjänsterna i iOS på ett korrekt sätt.
Mer information finns i supportartiklarna iOS-produktsäkerhet: Valideringar och
instruktioner och iOS 7: Apple FIPS iOS Cryptographic Modules v4.0.
Dataskydd
Skyddet för mejl och bilagor som finns lagrade på enheten kan utökas med hjälp
av dataskyddsfunktionerna i iOS. Dataskyddet kombinerar användarens unika
lösenkod med den hårdvarubaserade krypteringen i iOS-enheten för att skapa en
stark krypteringsnyckel. Det förhindrar åtkomst till data när enheten är låst och
garanterar att kritisk information skyddas även om enheten hamnar i orätta händer.
Funktionen för dataskydd aktiveras när enheten skyddas med en lösenkod. För att dataskyddet ska vara effektivt krävs en stark lösenkod. Därför är det viktigt att
införa och genomdriva en lösenkodspolicy som kräver att lösenkoden är längre än
fyra siffror. Användarna kan kontrollera att dataskyddet är aktiverat i inställningarna
för lösenkod. Den här informationen kan även kontrolleras på enheterna via MDMlösningar.
API:er för dataskydd är tillgängliga för utvecklare och kan användas till att skydda
data i appar som säljs i App Store eller i internt utvecklade företagsappar. Från och med iOS 7 klassificeras lagrade appdata som säkerhetsklassen ”skyddade tills
första användarautentisering”, vilket liknar fullständig kryptering av hela hårddisken
på stationära datorer och skyddar data från attacker som involverar en omstart.
Obs! Om en enhet har uppgraderats från iOS 6 konverteras inte befintliga datalager
till den nya klassen. Appen får den nya säkerhetsklassen när du raderar och
installerar den på nytt.
Touch ID
Touch ID är ett system för fingeravtrycksavkänning på iPhone 5s som gör säker
åtkomst till enheten snabbare och enklare. Denna framsynta teknik läser fingeravtryck ur valfri vinkel och lär sig mer om en användarens fingeravtryck över tid.
Avläsaren kartlägger kontinuerligt fingeravtrycket i och med att den upptäcker nya,
överlappande noder vid varje användning.
Touch ID gör det enklare att använda en längre och komplexare lösenkod eftersom användaren inte behöver ange koden lika ofta. Touch ID kompenserar
också för det lite besvärliga lösenkodsbaserade låset – inte genom att ersätta det,
utan snarare genom att ge säker åtkomst till enheten via genomtänkta barriärer
och tidsbegränsningar.
!
18
Teknisk referensguide för driftsättning av iOS
När Touch ID är aktiverat låses iPhone 5s direkt när vilo-/väckningsknappen trycks
ned. När enheten bara skyddas med en lösenkod ställer många användare in en
tidsfrist för att inte behöva mata in lösenkoden varje gång de använder enheten.
Med Touch ID låses iPhone 5s varje gång den går ner i viloläge och kräver ett fingeravtryck eller en lösenkod varje gång den vaknar.
Touch ID samverkar med Secure Enclave som är en coprocessor i Apples A7-chip.
Secure Enclave har ett eget skyddat och krypterat minne och kommunicerar med
Touch ID-sensorn på ett säkert sätt. När iPhone 5s låses skyddas nycklarna för Data
Protection-klassen Complete av en nyckel som lagras i det krypterade minnet i
Secure Enclave. Nyckeln lagras som längst i 48 timmar och raderas om iPhone 5s
startas om eller om ett okänt fingeravtryck används fem gånger. Om ett fingeravtryck känns igen tillhandahåller Secure Enclave nyckeln som krävs för att låsa upp
Data Protection-nycklarna och enheten låses upp.
Fjärradering
iOS har stöd för fjärradering. Om en enhet tappas bort eller blir stulen kan
administratören eller ägaren av enheten utföra en fjärradering som tar bort alla
data och avaktiverar enheten. Om enheten är konfigurerad med ett Exchangekonto kan administratören starta en fjärradering genom att använda Exchange
Management Console (Exchange Server 2007) eller webbverktyget Exchange
ActiveSync Mobile Administration (Exchange Server 2003 eller 2007). Exchange
Server 2007-användare kan även starta en fjärradering direkt via Outlook Web
Access. Fjärraderingskommandon kan också startas via MDM-lösningar eller med
Hitta min iPhone-funktionen på iCloud, även om företagstjänsterna i Exchange inte
används.
Lokal radering
Enheter kan även konfigureras att automatiskt utföra en lokal radering efter flera
misslyckade lösenkodsförsök. Det skyddar mot automatiserade försök att få
åtkomst till enheten. När en lösenkod används kan användarna aktivera lokal
radering direkt i inställningarna. Standardförfarandet är att iOS automatiskt raderar
enheten efter 10 misslyckade lösenkodsförsök. Som med andra lösenkodspolicyer
kan det maximala antalet misslyckade försök bestämmas med en konfigurationsprofil via en MDM-server eller trådlöst via Microsoft Exchange ActiveSync-policyer.
Hitta min iPhone och aktiveringslåset
Om enheten försvinner eller blir stulen är det viktigt att avaktivera och radera
enheten. När Hitta min iPhone är aktiverat i iOS 7 kan inte enheten återaktiveras
utan att ange ägarens inloggningsuppgifter för Apple-ID. Det är en bra idé att
antingen övervaka enheter som ägs av organisationen eller införa en policy som får användarna att avaktivera funktionen, så att Hitta min iPhone inte förhindrar
organisationen från att överlåta enheten till en annan person.
I iOS 7.1 eller senare kan du använda en kompatibel MDM-lösning om du vill
använda aktiveringslåset när en användare slår på Hitta min iPhone. MDMlösningen kan lagra en lösenkod som kan kringgå aktiveringslåset när det är aktivt.
Koden används sedan för att rensa aktiveringslåset automatiskt om du behöver
radera enheten och distribuera den till en annan användare. Mer information finns i
dokumentationen till MDM-lösningen.
Mer information om Hitta min iPhone och aktiveringslåset finns i iCloud-supporten
och i supportartikeln Mobile Device Management och aktiveringslåset i Hitta min
iPhone.
!
19
Teknisk referensguide för driftsättning av iOS
Nätverkssäkerhet
• Inbyggd Cisco IPSec, L2TP, PPTP VPN
• SSL-VPN via App Store-appar
• SSL/TLS med X.509-certifikat
• WPA/WPA2 Enterprise med 802.1X
• Certifikatbaserad autentisering
• RSA SecurID, CRYPTOCard
VPN-protokoll
• Cisco IPSec
• L2TP/IPSec
• PPTP
• SSL-VPN
Autentiseringsmetoder
• Lösenord (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• X.509 för digitala certifikat
• Delad hemlighet
802.1X-autentiseringsprotokoll
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Certifikatformat som stöds
iOS har stöd för X.509-certifikat med RSA-nycklar. Filnamnstilläggen .cer, .crt och .der kan användas.
Nätverkssäkerhet
Mobila användare måste kunna komma åt företagets nätverk i hela världen, men
det är samtidigt viktigt att se till att användarna har behörighet och att deras data
skyddas under överföringen. För att utföra dessa uppgifter på ett säkert sätt
använder sig iOS av beprövad teknik för både Wi-Fi och mobila datanätverk.
Förutom den infrastruktur som redan finns krypteras alla FaceTime- och iMessagekonversationer. iOS skapar ett unikt ID för varje användare och garanterar på så sätt
att all kommunikation krypteras, skickas och ansluts ordentligt.
VPN
Inom många företagsmiljöer används någon form av VPN-nätverk. Den här sortens
säkra nätverkstjänster finns redan tillgängliga och kräver i regel minimal inställning
och konfiguration för att fungera med iOS. iOS kan direkt integreras med en rad
vanligt förekommande VPN-tekniker. Se ”VPN-nätverk” i kapitel 1 för mer information.
SSL/TLS
iOS stöder SSL v3 samt Transport Layer Security (TLS v1.0, 1.1 och 1.2).
Safari, Kalender, Mail och andra internetappar startar automatiskt dessa
mekanismer för att skapa en krypterad kommunikationskanal mellan iOS och
företagstjänster.
WPA/WPA2
iOS stöder WPA2 Enterprise för autentiserad åtkomst till trådlösa företagsnätverk.
WPA2 Enterprise använder 128-bitars AES-kryptering så att användarna kan känna
sig trygga i vetskapen att deras data förblir skyddade när de skickar och tar emot
kommunikationer via en Wi-Fi-anslutning. Tack vare stödet för 802.1X kan iPhone
och iPad integreras i en mängd olika miljöer med RADIUS-autentisering.
Appsäkerhet
iOS har utformats med fokus på säkerhet. Appar skyddas under körning av en så kallad sandlåda och appsignering säkerställer att apparna inte kan ändras av någon obehörig. iOS har också ett ramverk som underlättar säker lagring av inloggningsuppgifter för appar och nätverkstjänster i ett krypterat lagringsutrymme – en så kallad nyckelring. Utvecklare kan dra nytta av Common Cryptoarkitekturen till att kryptera datalager för appar.
Säkerhet vid användning
Apparna på enheten körs i en så kallad sandlåda som begränsar åtkomsten till data lagrade av andra appar. Dessutom skyddas systemfiler, resurser och
operativsystemets kärna från användarens apputrymme. Om en app behöver
komma åt en annan apps data måste den använda sig av godkända API:er och
tjänster i iOS. Även kodgenerering förhindras.
Obligatorisk kodsignering
Alla iOS-appar måste signeras. Enhetens inbyggda appar har signerats av Apple.
Appar från andra tillverkare signeras av utvecklaren med ett Apple-utfärdat
certifikat. Detta garanterar att apparna inte har manipulerats eller ändrats.
Kontroller under körning utförs också för att garantera att appen inte har blivit
otillförlitlig sedan den användes senast.
!
20
Teknisk referensguide för driftsättning av iOS
Användningen av internutvecklade företagsappar kan styras med en tillhandahållandeprofil. Tillhandahållandeprofilen måste vara installerad på användarnas
enheter för att de ska kunna öppna appen. Tillhandahållandeprofiler kan installeras
trådlöst med hjälp av MDM-lösningar. Administratörer kan även begränsa
användningen av en app till specifika enheter.
Säkert autentiseringsramverk
iOS har en säker, krypterad nyckelring som lagrar digitala identiteter, användarnamn och lösenord. Eftersom data i nyckelringen delas upp kan inloggningsuppgifter som lagras av tredjepartsappar inte nås av andra appar. Det gör det
möjligt att skydda autentiseringsuppgifter på iOS-enheter i olika appar och tjänster
inom organisationen.
Common Crypto-arkitektur
Apputvecklare har tillgång till krypterings-API:er som de kan använda till att skydda appens data ytterligare. Data kan krypteras symmetriskt med beprövade metoder
som AES, RC4 eller 3DES. iOS-enheter är även försedda med hårdvaruacceleration
av AES-kryptering och SHA1-hashfunktioner, vilket maximerar apparnas prestanda.
Dataskydd för appar
Appar kan också dra tnytta av den inbyggda hårdvarukrypteringen i iOS för att ytterligare skydda känsliga appdata. Utvecklare kan skydda specifika filer genom att be systemet att göra filens innehåll kryptografiskt oåtkomligt för både appen
och eventuella inkräktare när enheten är låst.
Apprättigheter
Från början har en iOS-app väldigt begränsade rättigheter. Utvecklare måste
uttryckligen lägga till rättigheter för att få tillgång till funktioner som iCloud,
bakgrundsbearbetning eller delade nyckelringar. Det garanterar att appar inte kan ge sig själva åtkomst till andra data. iOS-appar måste dessutom be användaren
om lov innan de kan komma åt iOS-funktioner som GPS-positionering, kontakter,
kameran eller sparade bilder.
Internettjänster
Apple har tagit fram en heltäckande samling tjänster som gör att användarna kan få ut mer av sina enheter, exempelvis iMessage, FaceTime, Siri, iCloud, iCloudsäkerhetskopiering och iCloud-nyckelring.
Dessa internettjänster är utvecklade med samma säkerhetsmål som iOS strävar efter inom hela plattformen. Dessa mål omfattar säker hantering av både lagrade
data och dataöverföring i trådlösa nätverk, skydd av användarnas personliga
information och skydd mot skadlig eller obehörig åtkomst till information och
tjänster. Varje tjänst har en egen kraftfull säkerhetsarkitektur utan att göra iOS
mindre användarvänligt.
iMessage
iMessage1 är en meddelandetjänst för iOS-enheter och Mac-datorer. iMessage
stöder text och bilagor som bilder, kontakter och platsinformation. Meddelanden
visas på alla enheter som användaren har registrerat så att konversationen kan
fortsätta från vilken enhet som helst. iMessage använder Apples tjänst för pushmeddelanden (APNs) och E2E-kryptering med nycklar som bara de sändande och
mottagande enheterna känner till. Apple kan inte avkryptera meddelanden och de
lagras inte.
!
21
Teknisk referensguide för driftsättning av iOS
FaceTime
FaceTime2 är Apples tjänst för video- och ljudsamtal. FaceTime använder Apples
tjänst för pushmeddelanden till att upprätta den första anslutningen och går sedan
över till ICE (Internet Connectivity Establishment) och SIP (Session Initiation
Protocol) för att skapa en krypterad dataström.
Siri
Genom att använda sin röst kan användaren be Siri3 att skicka meddelanden, boka
möten, ringa telefonsamtal och mycket mer. Siri kan svara på en mängd olika frågor
med hjälp av röstigenkänning, talsyntes och en klient/server-modell. Funktionerna
som Siri stöder har utformats på sätt som använder minimalt med personlig
information och allt är skyddat. Frågor som har ställts till Siri och röstinspelningar
kan inte användas för att identifiera enskilda personer och Siri-funktionerna utförs
så ofta som möjligt på enheten istället för på servern.
iCloud
På iCloud4 lagras musik, bilder, appar, kalendrar, dokument och mycket mer och
sedan överförs innehållet automatiskt till alla användarens enheter. I iCloud
säkerhetskopieras även information i form av enhetsinställningar, appdata, SMS och
MMS dagligen via Wi-Fi. iCloud säkrar ditt innehåll genom att kryptera det när det skickas
via internet, lagra det i krypterat format och genom att använda säkerhetstokens
för autentisering. iCloud-funktioner som Bildström, Dokument och data och säkerhetskopiering kan avaktiveras med hjälp av en konfigurationsprofil.
Mer information om säkerhet och personlig integritet i iCloud finns i
supportartikeln iCloud: Översikt över säkerhet och integritet på iCloud.
iCloud-säkerhetskopiering
I iCloud säkerhetskopieras även information i form av enhetsinställningar, appdata,
SMS och MMS dagligen via Wi-Fi. iCloud skyddar innehållet genom att kryptera det
när det skickas via internet, lagra det i krypterat format och genom att använda
säkerhetstokens för autentisering. Säkerhetskopiering till iCloud sker bara när
enheten är låst, ansluten till en strömkälla och har Wi-Fi-åtkomst till internet. Tack
vare krypteringen som används i iOS kan systemet hålla data skyddade och
samtidigt utföra automatisk och inkrementell säkerhetskopiering och återställning.
iCloud-nyckelring
Med iCloud-nyckelring kan användarna synkronisera lösenord mellan iOS-enheter
och Mac-datorer på ett säkert sätt utan att Apple får tillgång till informationen.
Utöver kraftfulla integritets- och säkerhetsfunktioner har möjligheten att återställa
nyckelringen på ett enkelt sätt varit ett centralt inslag i utvecklandet av iCloudnyckelring. iCloud-nyckelring består av två tjänster: synkronisering och återställning
av nyckelringen. Användarna måste godkänna synkronisering av nyckelringen på
sina enheter och varje nyckelringspost som synkroniseras överförs med enhetsspecifik kryptering via iCloud. Posterna lagras inte utan raderas från iCloud när de
har synkroniserats. Återställning av nyckelringen gör det möjligt för användarna att
lagra nyckelringen hos Apple utan att Apple får åtkomst till lösenord eller andra
data. Även om användaren bara har en enhet skyddar återställning av nyckelringen
mot dataförlust. Det är särskilt viktigt när Safari används till att skapa slumpmässiga
och starka lösenord för webbkonton, eftersom dessa lösenord endast lagras i
nyckelringen. Sekundär autentisering och en säker lagringstjänst som Apple har
utvecklat särskilt för funktionen är centrala delar i tjänsten för återställning av
nyckelring. Användarens nyckelring krypteras med en stark lösenkod och lagringstjänsten kräver att en strikt uppsättning villkor uppfylls för att en kopia av nyckelringen ska göras tillgänglig.
Mer information om säkerhet finns i iOS Security Guide.
22
Teknisk referensguide för driftsättning av iOS
Kapitel 3: Konfigurering och hantering
iOS-driftsättningen kan effektiviseras med hjälp av olika hanteringstekniker som förenklar kontoinställning, konfigurering av organisationens policyer,
appdistribution och upprättandet av enhetsbegränsningar. Användarna kan
konfigurera det mesta själva med inställningsassistenten som är inbyggd i iOS. När iOS-enheter är konfigurerade och registrerade med en MDM-lösning kan de
hanteras trådlöst av IT-personalen.
Det här kapitlet beskriver hur konfigurationsprofiler och MDM är till hjälp i iOS-driftsättningen.
Enhetsinställning och aktivering
iOS-användare kan aktivera sina enheter, konfigurera grundläggande inställningar
och börja arbeta direkt med hjälp av inställningsassistenten i iOS. Förutom de
grundläggande inställningarna kan användarna också anpassa personliga
inställningar som språk, plats, Siri, iCloud och Hitta min iPhone. Inställningsassistenten kan även hjälpa användarna att skapa ett personligt Apple-ID om de
inte redan har ett.
Apple-ID
Ett Apple-ID är en identifikation som används vid inloggning till olika Appletjänster som FaceTime, iMessage, iTunes, App Store, iCloud och iBooks Store. Med
ett Apple-ID kan varje användare installera appar, böcker och annat innehåll från iTunes Store, App Store och iBooks Store. Ett Apple-ID gör det också möjligt för
användare att registrera ett iCloud-konto som de kan använda till att komma åt och
dela innehåll på flera enheter.
För att få ut mesta möjliga av dessa tjänster bör användarna använda sina egna
Apple-ID:n. Om de inte har ett Apple-ID kan de skapa ett redan innan de får sin
enhet. På så vis går konfigurationen så snabbt som möjligt.
Läs mer om hur du skaffar ett Apple-ID på Mitt Apple-ID.
Förebereda enheter med Apple Configurator
När enheter inte hanteras centralt av IT-avdelningen eller konfigureras av enskilda
användare kan Apple Configurator användas för att snabbt aktivera enheterna,
definiera och använda konfigurationer, övervaka enheter, installera appar och
uppdatera enheter till den senaste iOS-versionen. Apple Configurator är en
kostnadsfri app för OS X som kan laddas ner från Mac App Store. Enheterna måste
anslutas till en Mac via USB när du utför dessa uppgifter. Du kan också återskapa en
säkerhetskopia till enheterna, vilket återställer enhetsinställningar, hemskärmen och
installerar appdata.
!
23
Teknisk referensguide för driftsättning av iOS
Konfigurationsprofiler
Konfigurationsprofiler är XML-filer som innehåller säkerhetsregler och begränsningar för enheten, information om VPN-konfigurationer, Wi-Fi-inställningar, e-postoch kalenderkonton samt autentiseringsuppgifter som tillåter iOS-enheten att
användas i ditt IT-system. Konfigurationsprofiler installerar snabbt inställningar och
autentiseringsinformation på enheter. Vissa VPN- och Wi-Fi-inställningar kan bara
konfigureras med en konfigurationsprofil och om du inte använder Microsoft
Exchange måste du använda en konfigurationsprofil för att ställa in enhetens
lösenkodspolicyer.
Konfigurationsprofiler kan distribueras trådlöst med Over-the-Air Profile Delivery
eller via MDM. Du kan också installera konfigurationsprofiler på enheter anslutna till en dator via USB med hjälp av Apple Configurator eller distribuera konfigurationsprofiler via e-post eller en webbsida. När användaren öppnar e-postbilagan
eller laddar ner profilen till sin enhet med Safari uppmanas de att starta
installationen. Om du använder en MDM-server kan du distribuera den första
profilen med endast information om serverkonfiguration och sedan skicka resten
av profilerna till enheten trådlöst.
Konfigurationsprofiler kan krypteras och signeras, vilket gör det möjligt att
begränsa deras användning till specifika enheter och förhindrar att någon ändrar
inställningarna som följer med profilen. Du kan också låsa en profil till enheten så
att den bara kan raderas genom att radera alla data från enheten eller genom att
ange en lösenkod.
Förutom lösenord kan användarna inte ändra några inställningar som bestäms av en konfigurationsprofil. Konton som konfigureras av en profil, som Exchangekonton, kan bara tas bort genom att radera profilen.
Mer information finns i dokumentet Configuration Profile Key Reference på
webbplatsen iOS Developer Library.
MDM (Mobile Device Management)
iOS har ett inbyggt MDM-ramverk som gör att MDM-lösningar från tredje part kan
interagera trådlöst med iOS-enheter. Detta effektiva ramverk har utvecklats från grunden för iOS-enheter och är tillräckligt kraftfullt och skalbart för att kunna
konfigurera och hantera alla iOS-enheter inom en organisation.
Med hjälp av en MDM-lösning kan IT-administratörer på ett säkert sätt registrera
enheter i en företagsmiljö, konfigurera och uppdatera inställningar samt fjärradera
eller fjärrlåsa hanterade enheter. MDM i iOS gör det enkelt för IT-personalen att ge
användare tillgång till nätverkstjänster och samtidigt se till att enheterna är korrekt
konfigurerade oavsett vem som äger dem.
MDM-lösningar använder APNs (Apple Push Notification service) för att kommunicera med enheterna via både offentliga och privata nätverk. För att MDM ska
fungera krävs ett flertal certifikat, bland annat ett APNs-certifikat för kommunikation med klienter och ett SSL-certifikat för säker kommunikation. MDM-lösningar
kan också signera profiler med ett certifikat.
De flesta certifikat, exempelvis APNs-certifikat, måste förnyas årligen. När ett
certifikat går ut kan MDM-servern inte kommunicera med klienter förrän
certifikatet har uppdaterats. Var därför förberedd på att uppdatera alla MDMcertifikat innan de går ut.
Mer information om MDM-certifikat finns på webbplatsen Apple Push Certificates
Portal.
!
24
Teknisk referensguide för driftsättning av iOS
Registrering
Genom att registrera enheterna blir det möjligt att katalogisera och inventera dem.
Registreringsprocessen kan dra nytta av SCEP (Simple Certificate Enrollment
Protocol), vilket gör det möjligt för iOS-enheterna att skapa och registrera unika
identitetscertifikat för autentisering till organisationens tjänster.
I de flesta fall väljer användarna om de vill registrera sin enhet med MDM eller inte,
och de kan när som helst avregistrera enheten från MDM. Institutionerna bör på
olika sätt uppmuntra användarna att välja den hanterade lösningen. Kräv exempelvis MDM-registrering för åtkomst till Wi-Fi-nätverket genom att låta MDM-lösningen
automatiskt tillhandahålla inloggningsuppgifterna till nätverket. Om en användare
avregistrerar sig från MDM försöker enheten meddela MDM-servern.
!
Konfiguration
När en enhet registrerats kan den konfigureras dynamiskt med inställningar och
policyer via MDM-servern. Servern skickar konfigurationsprofiler till enheten som
automatiskt installeras utan att användaren märker något eller behöver göra något.
Konfigurationsprofiler kan signeras, krypteras och låsas, vilket förhindrar att
inställningarna ändras eller delas. Det betyder att bara behöriga användare och
enheter som är konfigurerade enligt organisationens specifikationer får åtkomst till
nätverket och dess tjänster. Om en användare avregistrerar sin enhet från MDM
kommer inställningar som installerades via MDM att tas bort.
Konton
MDM kan automatiskt konfigurera e-post och andra konton så att organisationens
användare snabbt kommer igång. Beroende på MDM-produkt och integrering med interna system kan kontons payload förkonfigureras med användarens namn,
e-postadress och eventuella certifikatidentiteter för autentisering och signering.
MDM kan konfigurera följande typer av konton:
• E-post
• Kalender
• Kalenderprenumerationer
• Kontakter
• Exchange ActiveSync
• LDAP
Hanterade e-post- och kalenderkonton tar hänsyn till de nya begränsningarna hos
funktionen Administrerad öppning i iOS 7.
Anrop
En MDM-server kan anropa enheter och begära in olika typer av information. Detta
omfattar hårdvaruinformation som serienummer, enhetens UDID eller Wi-Fi-MACadress, samt mjukvaruinformation som iOS-version och en detaljerad lista över alla installerade appar. Denna information kan användas för att kontrollera att
användarna har de appar de ska ha på sina enheter.
Apple TV-mjukvaran 5.4 och senare gör det möjligt för MDM-servrar att anropa
registrerade Apple TV-enheter och begära information som språk, plats och
organisation.
!
25
Teknisk referensguide för driftsättning av iOS
Kommandon
Vid hantering av en enhet kan den administreras via MDM-servern med hjälp av en uppsättning särskilda åtgärder. Administrationsuppgifter omfattar:
• Ändring av konfigurationsinställningar. Ett kommando kan skickas för att
installera en ny eller uppdaterad konfigurationsprofil på enheten. Konfigurationen
ändras utan att användaren behöver göra något.
• Låsning av en enhet. Om en enhet behöver låsas omedelbart kan ett kommando
skickas till enheten så att den låses med en befintlig lösenkod.
• Fjärradering av en enhet. Om en enhet försvinner eller blir stulen kan ett
kommando skickas för att radera alla data på enheten. När ett fjärraderingskommando har mottagits kan det inte ångras.
• Radering av ett lösenkodslås. När en lösenkod raderas kräver enheten att
användaren omedelbart ställer in en ny lösenkod. Detta är användbart när en
användare har glömt sin lösenkod och vill att IT-personalen ska återställa den.
• Begäran om AirPlay-skärmdubblering och avbruten AirPlay-skärmdubblering.
iOS 7 inför ett kommando som kan används till att be en övervakad iOS-enhet att starta AirPlay-skärmdubblering till en specifik bildskärm eller avbryta en
pågående AirPlay-session.
Hanterade appar
Organisationer behöver ofta distribuera mjukvara till sina användare så att de kan
vara produktiva i arbetet eller i klassrummet. Samtidigt måste organisationen styra
hur mjukvaran ansluter till interna resurser och hur datasäkerheten hanteras när en användare lämnar organisationen, utan att blanda samman användarens
personliga appar och data. Med hanterade appar i iOS 7 kan en organisation
distribuera företagsappar trådlöst via MDM, med rätt balans mellan organisationens
säkerhetskrav och användaranpassning.
MDM-servrar kan driftsätta kostnadsfria App Store-appar och internutvecklade
företagsappar trådlöst.
Hanterade appar kan fjärraderas av MDM-servern eller när användaren avregistrerar
sin enhet från MDM. När en app raderas försvinner även appens data.
MDM inför flera nya begränsningar och möjligheter för hanterade appar i iOS 7
som förhöjer både säkerheten och användarupplevelsen:
• Administrerad öppning. Tillhandahåller två användbara funktioner för skydd av
organisationens appdata:
!
– Tillåt att dokument skapade i ohanterade appar öppnas i hanterade appar.
Denna begränsning förhindrar att dokument från hanterade appar öppnas i en användares personliga appar och konton. Till exempel kan begränsningen
förhindra att en presentation i PDF-format som hör till organisationens PDF-visningsapp öppnas i en användares Keynote-app. Begränsningen kan
även förhindra att en redigerbar textbilaga i organisationens Pages-app öppnas
från en användares personliga iCloud-konto.
– Tillåt att dokument skapade i hanterade appar öppnas i ohanterade appar.
Denna begränsning förhindrar att organisationens hanterade appar och konton
öppnar dokument från en användares personliga appar. Begränsningen kan
förhindra att en konfidentiell e-postbilaga i organisationens hanterade epostkonto öppnas i någon av användarens personliga appar. 26
Teknisk referensguide för driftsättning av iOS
• Appkonfiguration. Apputvecklare kan identifiera appinställningar som kan väljas
när appen installeras som en hanterad app. Dessa konfigurationsinställningar kan
installeras före eller efter att den hanterade appen installerats.
• Appåterkoppling. Apputvecklare kan identifiera appinställningar som kan läsas
från en hanterad app med hjälp av MDM. Till exempel kan en utvecklare
specificera en ”DidFinishSetup”-variabel för appåterkoppling som en MDM-server
kan anropa för att avgöra om appen har installerats och aktiverats.
• Förhindra säkerhetskopiering. Den här begränsningen förhindrar att hanterade
appar säkerhetskopierar data till iCloud eller iTunes. Genom att förhindra säkerhetskopiering kan inte data från en hanterad app återskapas om appen raderas
via MDM och sedan installeras på nytt av användaren.
Enhetsövervakning
Övervakning erbjuder en högre grad av enhetshantering för organisationsägda
enheter, vilket gör det möjligt att införa ytterligare begränsningar som avaktivering
av iMessage och Game Center. Det ger också tillgång till andra enhetskonfigurationer och funktioner som filtrering av webbinnehåll och möjligheten att installera
appar utan användarens medverkan.
Se Bilaga B för specifika begränsningar som kan aktiveras på övervakade enheter.
!
27
Teknisk referensguide för driftsättning av iOS
Kapitel 4: Appdistribution
iOS levereras med en samling appar som medarbetarna i din organisation kan använda till alla sina vardagssysslor, som att läsa e-post, hantera kalendrar, hålla koll
på kontakter och surfa på webben. Många funktioner som användarna behöver i
arbetet kommer från de hundratusentals iOS-appar från andra tillverkare som finns
på App Store, eller från internutvecklade företagsappar.
Du kan också skapa och driftsätta egna interna appar om du deltar i iOS Developer
Enterprise Program.
!
Interna appar
Om du utvecklar interna appar i organisationen kan du driftsätta dem med hjälp av iOS Developer Enterprise Program. Så här driftsätter du interna appar:
• Gå med i iOS Developer Enterprise Program.
• Förbered din app för distribution.
• Skapa en tillhandahållandeprofil för företagsdistribution som auktoriserar enheter
att använda dina signerade appar.
• Bygg appen med tillhandahållandeprofilen.
• Driftsätt appen till dina användare.
!
!
28
Teknisk referensguide för driftsättning av iOS
Registrera dig för apputveckling
Om du vill utveckla och driftsätta interna iOS-appar ska du först registrera dig i iOS Developer Enterprise Program.
När du har registrerat dig kan du be om ett utvecklarcertifikat och en
tillhandahållandeprofil för utvecklare. Du använder dessa under utvecklingen för att bygga och testa din app. Tillhandahållandeprofilen för utvecklare gör det
möjligt att signera appar med ditt utvecklarcertifikat så att de kan köras på
registrerade enheter. Du kan skapa tillhandahållandeprofilen på iOS Provisioning
Portal. Ad hoc-profilen upphör att gälla efter tre månader och specificerar vilka
enheter (efter enhets-ID) som kan köra utvecklingsversioner av appen. Du kan
distribuera din signerade utvecklingsversion och tillhandahållandeprofilen till ditt appteam och dina testare.
Förbereda appar för distribution
När utvecklings- och testfasen är avklarad och du är redo att driftsätta appen ska du signera den med ditt distributionscertifikat och paketera den med en
tillhandahållandeprofil. Den ansvariga teamrepresentanten eller administratören för ditt programmedlemskap skapar certifikatet och profilen på webbplatsen iOS
Provisioning Portal.
Distributionscertifikatet skapas genom att använda Certifikatassistent (som är en
del av appen Nyckelhanterare på ditt OS X-utvecklingssystem) till att generera en
begäran om certifkatssignering (CSR). När du överför CSR till iOS Provisioning Portal
får du tillbaka ett distributionscertifikat. När du installerar certifikatet i Nyckelhanterare kan Xcode använda det till att signera din app.
Tillhandahålla interna appar
Tillhandahållandeprofilen för företagsdistribution gör att din app kan installeras på ett obegränsat antal iOS-enheter. Du kan skapa en tillhandahållandeprofil för
företagsdistribution till en specifik app eller flera appar.
När både distributionscertifikatet och tillhandahållandeprofilen är installerade på
din Mac kan du använda Xcode till att signera och bygga en färdig version/
produktionsversion av appen. Ditt certifikat för företagsdistribution är giltigt i tre år. Efter tre år måste du signera och bygga din app med ett nytt certifikat.
Tillhandahållandeprofilen för appen är giltig i ett år, så du behöver skapa nya
profiler varje år. Se ”Tillhandahålla uppdaterade appar” i Bilaga C för mer
information.
Det är viktigt att du begränsar tillgången till ditt distributionscertifikat och dess
privata nyckel. Använd Nyckelhanteraren i OS X till att exportera och säkerhetskopiera dessa objekt i p12-format. Om du förlorar den privata nyckeln kan den inte
återskapas eller hämtas på nytt. Utöver att hålla certifikatet och den privata nyckeln
i säkert förvar bör du begränsa tillgången till de personer som är ansvariga för det
slutgiltiga godkännandet av appen. När du signerar appen med distributionscertifikatet godkänner företaget appens innehåll och funktioner, och garanterar att
den uppfyller licensavtalet för Enterprise Developer.
!
29
Teknisk referensguide för driftsättning av iOS
Driftsätta appar
Det finns fyra sätt att driftsätta en app:
• Distribuera appen till användarna som installerar den med iTunes.
• Be en IT-administratör installera appen på enheter med Apple Configurator.
• Publicera appen på en säker webbserver där användarna kan komma åt och
utföra installationen trådlöst. Se ”Bilaga C: Installera interna appar trådlöst”.
• MDM-servern kan uppmana hanterade enheter att installera interna appar eller
kostnadsfria appar från App Store, om servern stöder funktionen.
Installera appar med iTunes
Om användarna installerar appar på sina enheter med iTunes ska du distribuera
apparna på ett säkert sätt och be dem att göra följande:
1. Öppna iTunes och välj Arkiv > Lägg till i bibliotek och välja filen (.app, .ipa eller .mobileprovision). Användaren kan också dra filen till iTunes-ikonen.
2. Anslut enheten till datorn och välj den i listan Enheter i iTunes.
3. Klicka på fliken Appar och välj appen i listan.
4. Klicka på Utför.
Om användarnas datorer hanteras kan du, istället för att be dem lägga till filen i
iTunes, driftsätta filerna till deras datorer och be dem att synkronisera sina enheter.
iTunes installerar automatiskt filerna som finns i mapparna iTunes Mobile
Applications och Provisioning Profiles.
Installera appar med Apple Configurator
Apple Configurator är en kostnadsfri app för OS X som kan hämtas från Mac App
Store. IT-administratörer kan använda den till att installera interna appar eller appar
från App Store.
Kostnadsfria appar från App Store eller interna företagsappar kan importeras direkt
till Apple Configurator och installeras på ett obegränsat antal enheter.
!
Installera appar med MDM
MDM-servrar kan hantera både kostnadsfria appar från App Store och företagsinterna appar. Appar som installeras med MDM kallas ”hanterade appar”. MDMservern kan specificera om hanterade appar och deras data ska lämnas kvar när
användaren avregistrerar sig från MDM. Servern kan dessutom förhindra att data i
hanterade appar säkerhetskopieras till iTunes eller iCloud. På det här sättet kan ITpersonalen hantera appar som innehåller känslig företagsinformation med större
kontroll än appar som användaren har hämtat.
MDM-servern skickar ett installationskommando till enheten när en hanterad app
ska installeras. På oövervakade enheter kräver hanterade appar att användaren
godkänner dem innan de installeras.
Hanterade appar kan dra nytta av ytterligare funktioner i iOS 7. VPN-anslutningar
kan nu specificeras på appnivå, vilket innebär att bara vissa appars nätverkstrafik
skyddas av VPN-tunneln. Det säkerställer att privata data förblir privata och inte
blandas ihop med offentliga data.
Hanterade appar stöder också Administrerad öppning i iOS 7. Det möjliggör
begränsningar som förhindrar att hanterade appar överför data till eller från
användarnas personliga appar, vilket betyder att företaget kan säkerställa säkerheten
för känsliga data.
!
30
Teknisk referensguide för driftsättning av iOS
Caching Server
iOS gör det enkelt för användare att komma åt och använda digitalt innehåll. Vissa användare kanske hämtar flera gigabyte med appar, böcker och mjukvaruuppdateringar när de är ansluta till organisationens trådlösa nätverk. Efterfrågan på
dessa resurser orsakar belastningstoppar i nätverket, först vid den inledande
driftsättningen av enheter och sedan mer oregelbundet när användarna upptäcker
nytt innehåll eller när innehåll uppdateras. Nerladdning av innehåll kan tillfälligt
öka kraven på internetbandbredd.
Caching Server-funktionen i OS X Server minskar kravet på utgående internetbandbredd i privata nätverk (RFC1918) genom att cachelagra kopior av efterfrågat
innehåll i det lokala nätverket. Större nätverk kan gynnas av att driftsätta flera
cacheservrar. I många driftsättningar krävs det ingen konfigurering av Caching
Server – det är bara att aktivera tjänsten. En NAT-miljö krävs för servern och alla
enheter som använder den.
Mer information finns i supportartikeln OS X Server: Advanced Administration.
iOS-enheter med iOS 7 ansluter automatiskt till en cacheserver i närheten utan att
enheten behöver konfigureras ytterligare. Så här fungerar Caching Server automatiskt och omärkbart på iOS-enheten:
1. En iOS-enhet som är ansluten till ett nätverk med en eller flera cacheservrar
kommer att hänvisas till Caching Server när den efterfrågar innehåll från iTunes
Store eller servern för mjukvaruuppdateringar.
2. Caching Server kontrollerar först om det efterfrågade innehållet redan finns
lagrat i den lokala cachen. Om det finns lagrat skickas innehållet direkt till iOSenheten.
3. Om Caching Server inte innehåller det efterfrågade innehållet försöker servern
hämta det från en annan källa. Caching Server 2 för OS X Mavericks har en
funktion för peer-replikering som kan använda andra cacheservrar i nätverket
om dessa servrar redan har hämtat det efterfrågade innehållet.
4. När Caching Server tar emot hämtade data skickas de direkt till de klienter som
har efterfrågat den och en kopia cachelagras på hårddisken.
Följande typer av cachelagrat innehåll stöds i iOS 7:
• iOS-mjukvaruuppdateringar
• Appar från App Store
• App Store-uppdateringar
• Böcker från iBooks Store
iTunes stöder också Caching Server 2. Följande typer av innehåll stöds av iTunes
11.0.4 eller senare (både på Mac och Windows):
• Appar från App Store
• App Store-uppdateringar
• Böcker från iBooks Store
!
31
Teknisk referensguide för driftsättning av iOS
Bilaga A:
Wi-Fi-infrastruktur
Vid förberedelse av Wi-Fi-infrastrukturen inför en iOS-driftsättning finns det flera
faktorer att ta hänsyn till:
• Hur stort täckningsområde som krävs
• Antal enheter och densitet (enheter per yta) i Wi-Fi-nätverket
• Typer av enheter och deras Wi-Fi-egenskaper
• Typer och mängder av data som ska överföras
• Säkerhetskrav för åtkomst till det trådlösa nätverket
• Krypteringskrav
Den här listan är inte fullständig men omfattar några av de viktigaste faktorerna för
utformning av ett Wi-Fi-nätverk.
Kom ihåg: Detta kapitel handlar i första hand om Wi-Fi-nätverksdesign i USA. Designen kan se annorlunda ut i andra länder.
Planera för täckning och densitet
Samtidigt som det måste finnas Wi-Fi-täckning där iOS-enheter ska användas måste
det även planeras för enhetsdensiteten i ett visst område.
Även om de flesta av dagens företagsklassade anslutningspunkter kan hantera upp
till 50 Wi-Fi-klienter, blir användarupplevelsen troligen en besvikelse om en
anslutningspunkt faktiskt betjänar så många enheter. Upplevelsen på en enhet är
beroende av den tillgängliga trådlösa bandbredden hos den aktuella kanalen samt
antalet enheter som delar på den totala bandbredden. Ju fler enheter som
använder samma anslutningspunkt, desto lägre blir den relativa nätverkshastigheten för varje enhet. iOS-enheternas förväntade användningsmönster är något
som bör tas i beaktning vid utformningen av Wi-Fi-nätverket.
2,4 GHz kontra 5 GHz
Wi-Fi-nätverk som sänder vid 2,4 GHz har plats för 11 kanaler i USA. På grund av risken för störningar mellan kanalerna bör endast kanal 1, 6 och 11 användas i en nätverksdesign.
5 GHz-radiovågor tränger inte igenom väggar och andra hinder lika lätt som 2,4
GHz-vågor, så därför får de ett mindre täckningsområde. 5 GHz-nätverk kan vara att
föredra när en hög enhetsdensitet förväntas i ett begränsat utrymme, exempelvis
ett klassrum. Antalet tillgängliga kanaler i 5 GHz-bandet är olika för olika
leverantörer av anslutningspunkter och för olika länder, men det finns alltid minst
åtta kanaler.
Inga av kanalerna i 5 GHz-bandet överlappar varandra, vilket är en avsevärd
förbättring jämfört med endast tre icke-överlappande kanaler i 2,4 GHz-bandet. Vid
utformning av ett Wi-Fi-nätverk för en hög iOS-enhetsdensitet är det större antalet
kanaler vid 5 GHz en viktig faktor att ta med i beräkningarna.
!
32
Teknisk referensguide för driftsättning av iOS
Planera för täckning
Den fysiska utformningen av byggnaden kan påverka utformningen av Wi-Finätverket. I exempelvis en företagsmiljö kan användare ha möten med andra
medarbetare i konferensrum och kontor. Det innebär att användarna rör sig runt i byggnaden under dagen. I dessa situationer består en stor del av
nätverksanvändningen av e-post, kalendrar och webbsurfning, vilket gör Wi-Fi-täckningen till en prioritet. Planeringen bör innehålla två till tre Wi-Fianslutningspunkter per våning för att tillgodose kontorens täckningsbehov och en anslutningspunkt i varje konferensrum.
Planera för densitet
Jämför nu exemplet ovan med en gymnasieskola: 1 000 elever och 30 lärare i en
tvåvåningsbyggnad. Alla elever har tillgång till en íPad och alla lärare har både en
MacBook Air och en iPad. Ett klassrum rymmer ungefär 35 elever och klassrummen
ligger vägg i vägg med varandra. Under dagens lopp letar eleverna information på
internet, tittar på undervisningsvideor och kopierar filer till och från en filserver i skolans lokala nätverk.
Den Wi-Fi-nätverksdesign som krävs för den här situationen är mer komplex, på
grund av den högre densiteten av mobila enheter. Eftersom det befinner sig cirka 35
elever i varje klassrum kan man tänka sig att ha en anslutningspunkt per klassrum. I gemensamma utrymmen kan det behövas flera anslutningspunkter för att
täckningen ska bli bra. Antalet anslutningspunkter i de gemensamma utrymmena
kan variera beroende på densiteten av Wi-Fi-enheter som ska användas där.
Om enheter som endast stöder 802.11b eller 802.11g måste kunna användas i
nätverket kan stöd för 802.11b/g aktiveras om anslutningspunkter med dubbla
frekvens används i nätverket. Ett annat alternativ är att använda ett SSID med
802.11n vid 5 GHz för nyare enheter, samt ett annat SSID vid 2,4 GHz som stöder
802.11b- och 802.11g-kompatibla enheter. Det finns emellertid nackdelar med att ha
alltför många SSID:n.
Gömda SSID:n bör inte förekomma i något av designexemplen. Det är svårare för en
Wi-Fi-enhet att återansluta till ett gömt SSID än till ett öppet SSID och säkerhetsvinsten med ett gömt SSID är väldigt liten. Användare och iOS-enheter brukar ofta
röra på sig och gömda SSID:n kan då försämra kontakten med nätverket.
Wi-Fi-standarder och Apple-produkter
Följande lista innehåller information om vilka Wi-Fi-specifikationer som stöds av Apples produkter:
• Kompatibilitet med 802.11. 802.11b/g, 802.11a, 802.11n.
• Frekvensband. 2,4 GHz eller 5 GHz.
• MCS-index. Modulerings- och kodningsschemaindex (MCS) bestämmer den
maximala överföringshastighet med vilken 802.11n-enheter kan kommunicera.
• Channel bonding. HD20 eller HD40.
!
33
Teknisk referensguide för driftsättning av iOS
• Guard interval (GI). Guard interval är mellanrummet (tiden) mellan symbolerna
som överförs från en enhet till en annan. 802.11n-standarden förespråkar ”guard
interval”-värdet 400 ns för snabbare total genomströmning, men det högre värdet
800 ns kan också användas.
iPhone 5s
802.11n vid 2,4 GHz och 5 GHz
802.11a/b/g
MCS-index 7/HT40/400ns GI
iPhone 5c
802.11n vid 2,4 GHz och 5 GHz
802.11a/b/g
MCS-index 7/HT40/400ns GI
iPhone 5
802.11n vid 2,4 GHz och 5 GHz
802.11a/b/g
MCS-index 7/HD40/400ns GI
iPhone 4s
802.11n vid 2,4 GHz
802.11b/g
MCS-index 7/HD20/800ns GI
iPhone 4
802.11n vid 2,4 GHz
802.11b/g
MCS-index 7/HD20/800ns GI
iPad Air och iPad mini med Retina-skärm
802.11n vid 2,4 GHz och 5 GHz
802.11 a/b/g
MCS-index 15/HT40/400ns GI
iPad (4:e generationen) och iPad Mini
802.11n vid 2,4 GHz och 5 GHz
802.11a/b/g
MCS-index 7/HD40/400ns GI
iPad (1:a, 2:a och 3:e generationen)
802.11n vid 2,4 GHz och 5 GHz
802.11a/b/g
MCS-index 7/HD20/800ns GI
iPod touch (5:e generationen)
802.11n vid 2,4 GHz och 5 GHz
802.11a/b/g
MCS-index 7/HD40/400ns GI
iPod touch (4:e generationen)
802.11n vid 2,4 GHz
802.11b/g
MCS-index 7/HD20/800ns GI
!
34
Teknisk referensguide för driftsättning av iOS
Bilaga B:
Begränsningar
iOS stöder följande policyer och begränsningar. Alla kan konfigureras så att de
uppfyller organisationens behov.
Enhetsfunktionalitet
• Tillåt installation av appar
• Tillåt Siri
• Tillåt Siri i låst läge
• Tillåt kameraanvändning
• Tillåt FaceTime
• Tillåt skärmavbildning
• Tillåt automatisk synkronisering vid roaming
• Tillåt synkronisering av nyligen mottagna mejl
• Tillåt röstuppringning
• Tillåt inköp via app
• Kräv affärslösenord för alla köp
• Tillåt spel med flera deltagare
• Tillåt tillägg av vänner i Game Center
• Ange tillåtna åldersgränser för innehåll
• Tillåt Touch ID
• Tillåt åtkomst till Kontrollcenter från den låsta skärmen
• Tillåt åtkomst till Notiscenter från den låsta skärmen
• Tillåt åtkomst till vyn Idag från den låsta skärmen
• Tillåt Passbook-notiser från den låsta skärmen
Appar
• Tillåt användning av iTunes Store
• Tillåt användning av Safari
• Ställ in säkerhetsparametrar för Safari
iCloud
• Tillåt säkerhetskopiering
• Tillåt synkronisering av dokument och nyckelring
• Tillåt Min bildström
• Tillåt iCloud-bilddelning
!
35
Teknisk referensguide för driftsättning av iOS
Säkerhet och integritet
• Tillåt att diagnostiska data skickas till Apple
• Tillåt användaren att godkänna otillförlitliga certifikat
• Kräv krypterad säkerhetskopiering
• Tillåt öppning från ohanterade appar i hanterade appar
• Tillåt öppning från hanterade appar i ohanterade appar
• Kräv lösenkod vid första AirPlay-parkoppling
• Tillåt trådlösa PKI-uppdateringar
• Kräv begränsad reklamspårning
Endast övervakade begränsningar
• Endast enappsläge
• Hjälpmedelsinställningar
• Tillåt iMessage
• Tillåt Game Center
• Tillåt borttagning av appar
• Tillåt iBooks Store
• Tillåt böcker med erotiskt innehåll från iBooks Store
• Aktivera filtrering av olämpligt språk i Siri
• Tillåt manuell installation av konfigurationsprofiler
• Global nätverksproxy för HTTP
• Tillåt parkoppling med datorer för synkronisering av innehåll
• Begränsa AirPlay-anslutningar med en lista över godkända anslutningar och valfria lösenkoder
• Tillåt AirDrop
• Tillåt kontoändringar
• Tillåt ändringar av mobildatainställningar
• Tillåt Hitta mina vänner
• Tillåt värdparkoppling (iTunes)
• Tillåt aktiveringslås
!
!
36
Teknisk referensguide för driftsättning av iOS
Bilaga C:
Installera interna appar
trådlöst
iOS stöder trådlös installation av internutvecklade appar utan användning av iTunes
eller App Store.
Krav:
• En säker webbserver som autentiserade användare har åtkomst till
• En iOS-app i .ipa-format som är en färdig version eller produktionsversion och
byggd med en tillhandahållandeprofil för företag
• En XML-manifestfil enligt beskrivning i denna bilaga
• En nätverkskonfiguration som tillåter att enheterna ansluter till en iTunes-server hos Apple
Det är enkelt att installera appen. Användarna hämtar manifestfilen från din
webbplats till sina iOS-enheter. Manifestfilen uppmanar enheten att hämta och
installera apparna som beskrivs i filen.
Du kan distribuera webbadressen där manifestfilen kan hämtas via SMS eller e-post,
eller genom att bädda in den i en annan företagsapp.
Det är upp till dig att utveckla webbplatsen och göra den tillgänglig för distribution
av appar. Se till att autentisera användarna via exempelvis Basic Authentication eller
katalogbaserad autentisering. Se även till att webbplatsen kan nås via ditt intranät
eller internet. Du kan placera appen och manifestfilen i en gömd katalog eller på en
annan plats som kan nås via HTTP eller HTTPS.
Om du skapar en självbetjäningsportal kan du lägga till ett webbklipp på
användarnas hemskärmar så att de lätt hittar tillbaka till portalen för framtida
driftsättningsinformation om sådant som nya konfigurationsprofiler,
rekommenderade App Store-appar och registrering för MDM-lösningar.
Förbereda en intern app för trådlös distribution
Du kan förbereda din interna app för trådlös distribution genom att bygga en
arkivversion (en .ipa-fil) och skapa en manifestfil som gör det möjligt att distribuera
och installera appen trådlöst.
Du kan skapa apparkivet med Xcode. Signera appen med ditt distributionscertifikat
och bifoga tillhandahållandeprofilen för företag i arkivet. Mer information om hur
du bygger och arkiverar appar finns i iOS Dev Center och i användarhandboken till
Xcode som du hittar i Help-menyn i Xcode.
Om den trådlösa manifestfilen
Manifestfilen är en XML-fil i plist-format. En iOS-enhet använder filen till att hitta,
hämta och installera appar från din webbserver. Manifestfilen skapas av Xcode med hjälp av den information du anger när du delar en arkiverad app för företagsdistribution. Se föregående avsnitt för information om hur du förbereder appar för
distribution.
37
Teknisk referensguide för driftsättning av iOS
Följande fält krävs:
Objekt
Beskrivning
URL
Den fullständiga HTTPS-webbadressen till appfilen (.ipa).
display-image
En 57 x 57 pixlars PNG-bild som visas vid
nerladdning och installation. Ange
bildens fullständiga URL.
full-size-image
En 512 x 512 pixlars PNG-bild som
representerar appen i iTunes.
bundle-identifier
Appens paketidentifierare, exakt som den angivits i Xcode-projektet.
bundle-version
Appens paketversion som den angivits i Xcode-projektet.
title
Appens namn som visas vid nerladdning
och installation.
!
Följande fält krävs endast för Tidningskiosk-appar:
Objekt
Beskrivning
newsstand-image
En PNG-bild i full storlek som visas i Tidningskiosk-hyllan.
UINewsstandBindingEdge
UINewsstandBindingType
Dessa nycklar måste överensstämma med
nycklarna i Tidningskiosk-appens info.plist.
UINewsstandApp
Anger att appen är en Tidningskiosk-app.
Andra nycklar som du kan använda beskrivs i exempelversionen av manifestfilen.
Du kan till exempel använda MD5-nycklar om din appfil är stor och du vill garantera
filens integritet vid nerladdning, utöver den felkontroll som normalt görs under TCPkommunikation.
Du kan installera mer än en app med en enskild manifestfil genom att specificera
ytterligare medlemmar i objektlistan.
En exempelversion av manifestfilen finns i slutet av den här bilagan.
Utveckla din webbplats
Överför följande till ett område på webbplatsen som dina autentiserade användare kan nå:
• Appfilen (.ipa)
!
• Manifestfilen (.plist)
Webbplatsen kan bestå av en enda webbsida med en länk till manifestfilen. När
användaren trycker på webblänken hämtas manifestfilen, vilket startar nerladdningen och installationen av apparna som filen beskriver.
Exempel på en länk: <a href=”itms-services://?action=downloadmanifest&url=http://example.com/manifest.plist”>Installera appen</a>
Lägg inte till en webblänk till apparkivet (.ipa). När manifestfilen läses in startar
nerladdningen av .ipa-filen till enheten. Protokollet i webbadressen är itms-services, men det betyder inte att iTunes Store används i processen.
38
Teknisk referensguide för driftsättning av iOS
Se till att .ipa-filen kan nås via HTTPS och att webbplatsen är signerad med ett
certifikat som är betrott av iOS. Installationen kommer att misslyckas om ett
självsignerat certifikat inte har ett tillförlitligt ankare och inte kan valideras av iOS-enheten.
Ställa in serverns MIME-typer
Du kanske behöver konfigurera webbservern så att manifestfilen och appfilen
överförs som de ska.
I OS X Server ska du lägga till följande MIME-typer till webbserverns inställningar
för MIME-typer.
application/octet-stream ipa text/xml plist
Om du använder IIS ska du använda IIS Manager för att lägga till MIME-typerna på
serverns Properties-sida.
.ipa application/octet-stream .plist text/xml
Felsöka trådlös distribution av appar
Kontrollera följande om den trådlösa appinstallationen misslyckas på grund av att filen inte kan hämtas:
• Kontrollera att appen är korrekt signerad. Du kan testa detta genom att installera
den på en enhet med Apple Configurator och se om några problem uppstår.
• Se till att länken till manifestfilen stämmer och att manifestfilen kan nås av
webbanvändarna.
• Se till att URL:en till .ipa-filen (i manifestfilen) stämmer och att .ipa-filen kan nås av
webbanvändarna via HTTPS.
Krav på nätverkskonfiguration
Om enheterna är anslutna till ett stängt internt nätverk ska du ge iOS-enheterna
åtkomst till följande:
URL
Orsak
ax.init.itunes.apple.com
Enheten erhåller den aktuella storleksgränsen för filer vid nerladdning av appar via mobilnätet.
Om webbplatsen inte kan nås kanske
installationen misslyckas.
ocsp.apple.com
Enheten ansluter till den här webbplatsen för att kontrollera status för distributionscertifikatet
som signerade tillhandahållandeprofilen. Se ”Certifikatvalidering” nedan.
Tillhandahålla uppdaterade appar
Appar som du själv distribuerar uppdateras inte automatiskt. När det finns en ny
version som användarna ska installera kan du meddela dem om uppdateringen
och uppmana dem att installera appen. Överväg att låta appen söka efter uppdateringar och meddela användaren när den öppnas. Om du använder trådlös
appdistribution kan meddelandet innehålla en länk till den uppdaterade appens
manifestfil. Om du vill att användarna ska behålla appens data som lagras på
enheten ska du se till att den nya versionen använder samma paketidentifierare
som förut och uppmana användarna att inte radera den gamla versionen innan de installerar den nya. Den nya versionen ersätter den gamla och behåller data som lagras på enheten om paketidentifierarna överensstämmer.
Tillhandahållandeprofiler för distribution upphör att gälla 12 månader efter att de
har utfärdats. Efter utgångsdatumet raderas profilen och appen kan inte öppnas.
!
39
Teknisk referensguide för driftsättning av iOS
Använd iOS Development Portal för att skapa en ny profil till appen innan den
gamla tillhandahållandeprofilen går ut. Skapa ett nytt apparkiv (.ipa) med den nya
tillhandahållandeprofilen för användare som installerar appen för första gången.
Försök att distribuera nästa version av appen så att den innehåller den nya
tillhandahållandeprofilen, så att den även skickas till användare som redan har
installerat appen. Om det inte är möjligt kan du bara distribuera den nya
.mobileprovision-filen så att användarna inte behöver installera appen på nytt. Den
nya tillhandahållandeprofilen ersätter den som redan finns i apparkivet.
Tillhandahållandeprofiler kan installeras och hanteras med MDM, hämtas och
installeras av användare från en säker webbplats eller distribueras till användare i
en e-postbilaga som de kan öppna och installera.
När distributionscertifikatet går ut kan appen inte längre öppnas. Ditt distributionscertifikat är giltigt i tre år från det datum det utfärdades eller tills ditt medlemskap i
Enterprise Developer Program går ut, beroende på vilket som sker först. Se till att
förnya ditt medlemskap innan det går ut för att säkerställa att certifikatet inte blir
ogiltigt i förtid. Se ”Certifikatvalidering” nedan för mer information om hur
distributionscertifikaten kontrolleras.
Du kan ha två aktiva distributionscertifikat samtidigt eftersom de är oberoende av
varandra. Det andra certifikatet är avsett att erbjuda en överlappande period under
vilken du kan uppdatera dina appar innan det första certifikatet upphör att gälla. Se till att du inte återkallar ditt första certifikat när du begär ett andra distributionscertifikat från iOS Dev Center.
Certifikatvalidering
Första gången en användare öppnar en app valideras distributionscertifikatet
genom att kontakta Apples OCSP-server. Om certifikatet inte har återkallats kan
appen öppnas. En situation där det inte går att kontakta eller få svar från OCSPservern tolkas inte som att certifikatet har återkallats. Enheten måste kunna ansluta
till ocsp.apple.com för statuskontroll. Se ”Krav på nätverkskonfiguration” tidigare i bilagan.
OCSP-svaret cachelagras på enheten under en viss tid som specificeras av OCSPservern – för tillfället mellan tre och sju dagar. Certifikatets giltighet kontrolleras
inte igen förrän enheten har startats om och det cachelagrade svaret har upphört
att gälla.
Om ett återkallande skickas under denna tidsperiod kan appen inte öppnas.
Om ett distributionscertifikat återkallas ogiltigförklaras alla appar som har signerats
med certifikatet. Du bör endast återkalla ett certifikat som en sista åtgärd, exempelvis om du är säker på att den privata nyckeln har förlorats eller om certifikatets
säkerhet har äventyrats.
!
40
Teknisk referensguide för driftsättning av iOS
Exempel på manifestfil för en app
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/
DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0”>
<dict>
<!-- array of downloads. -->
<key>items</key>
<array>
<dict>
<!-- an array of assets to download -->
<key>assets</key>
<array>
<!-- software-package: the ipa to install. -->
<dict>
<!-- required. the asset kind. -->
<key>kind</key>
<string>software-package</string>
<!-- optional. md5 every n bytes. will restart a chunk if md5 fails. -->
<key>md5-size</key>
<integer>10485760</integer>
<!-- optional. array of md5 hashes for each “md5-size” sized chunk. -->
<key>md5s</key>
<array>
<string>41fa64bb7a7cae5a46bfb45821ac8bba</string>
<string>51fa64bb7a7cae5a46bfb45821ac8bba</string>
</array>
<!-- required. the URL of the file to download. -->
<key>url</key>
<string>http://www.example.com/apps/foo.ipa</string>
</dict>
<!-- display-image: the icon to display during download.-->
<dict>
<key>kind</key>
<string>display-image</string>
<!-- optional. indicates if icon needs shine effect applied. -->
<key>needs-shine</key>
<true/>
<key>url</key>
<string>http://www.example.com/image.57x57.png</string>
</dict>
<!-- full-size-image: the large 512x512 icon used by iTunes. -->
<dict>
<key>kind</key>
<string>full-size-image</string>
<!-- optional. one md5 hash for the entire file. -->
<key>md5</key>
<string>61fa64bb7a7cae5a46bfb45821ac8bba</string>
<key>needs-shine</key>
<true/>
<key>url</key><string>http://www.example.com/image.512x512.jpg</string>
</dict>
</array><key>metadata</key>
<dict>
<!-- required -->
<key>bundle-identifier</key>
<string>com.example.fooapp</string>
<!-- optional (software only) -->
<key>bundle-version</key>
41
Teknisk referensguide för driftsättning av iOS
!
<string>1.0</string>
<!-- required. the download kind. -->
<key>kind</key>
<string>software</string>
<!-- optional. displayed during download; typically company name -->
<key>subtitle</key>
<string>Apple</string>
<!-- required. the title to display during the download. -->
<key>title</key>
<string>Example Corporate App</string>
</dict>
</dict>
</array>
</dict>
</plist>
!
1Operatörens
standardavgifter för dataöverföring kan gälla. Meddelanden kan skickas som SMS om iMessage inte är
tillgängligt. I dessa fall tillkommer operatörens SMS-avgifter. 2För FaceTime-samtal krävs att både den som ringer och den som svarar har en FaceTime-kompatibel enhet och Wi-Fi-anslutning. För FaceTime via mobilnät krävs iPhone 4s eller
senare, iPad med Retina-skärm eller iPad mini med stöd för mobildata. Möjligheten att använda tjänsten via mobilnät
varierar med mobiloperatörens villkor. Dataavgifter kan tillkomma. 3Det är inte säkert att Siri är tillgängligt på alla språk
och i alla områden, och funktionerna kan variera mellan olika områden. Internetanslutning krävs. Mobildataavgifter kan
tillkomma. 4En del funktioner kräver Wi-Fi-anslutning. En del funktioner är inte tillgängliga i alla länder. För vissa tjänster är åtkomsten begränsad till tio enheter.
© 2014 Apple Inc. Alla rättigheter förbehålls. Apple, Apples logotyp, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks,
iMessage, iPad, iPhone, iPod touch, iTunes, Keychain, Keynote, Mac, Mac-logotypen, MacBook Air, OS X, Pages, Passbook,
Retina, Safari, Siri och Xcode är varumärken som tillhör Apple Inc. och är registrerade i USA och andra länder. AirPrint, iPad
Air och iPad mini är varumärken som tillhör Apple Inc. iCloud och iTunes Store är servicemärken som tillhör Apple Inc. och är registrerade i USA och andra länder. App Store och iBooks Store är servicemärken som tillhör Apple Inc. IOS är ett
varumärke eller registrerat varumärke som tillhör Cisco i USA och andra länder och används under licens. Namn på andra
produkter och företag som nämns kan vara varumärken som tillhör respektive företag.
42