iOSimplementatiehandleiding
KKApple Inc. © 2015 Apple Inc. Alle rechten voorbehouden. Apple, het Apple logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, FileVault, iBooks, iLife, iMessage, iPad, iPad Air, iPhone, iPod, iPod touch, iTunes, iWork, Keychain, Keynote, Mac, MacBook Air, MacBook Pro, Numbers, OS X, Pages, Passbook, Safari, Siri, Spotlight en Xcode zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen.
Inhoudsopgave 6 6 Hoofdstuk 1: iOS-implementatiehandleiding 8 8 8 8 9 12 14 16 16 17 19 21 Hoofdstuk 2: Implementatiemodellen 24 24 24 25 25 27 27 29 Hoofdstuk 3: Wi-Fi 31 31 31 33 34 36 37 38 39 39 40 40 41 44 44 44 45 Hoofdstuk 4: Infrastructuur en integratie Inleiding Overzicht Implementatiemodellen voor het onderwijs Overzicht Een-op-een-implementatiemodel met de instelling als eigenaar Implementatiemodel met de student als eigenaar Implementatiemodel voor gedeeld gebruik Implementatiemode
5 46 47 47 47 49 49 Regels en acties Achterwaartse compatibiliteit Altijd actieve VPN Overzicht Implementatiescenario's Configuratieprofiel voor Altijd actieve VPN Payload voor Altijd actieve VPN 52 52 52 53 54 55 55 56 56 57 57 57 57 Hoofdstuk 5: Internetvoorzieningen 59 59 59 59 59 60 60 61 61 61 62 62 63 63 63 64 Hoofdstuk 6: Beveiliging 66 66 66 67 68 68 69 69 70 70 71 71 Hoofdstuk 7: Configuratie en beheer Overzicht Apple ID Zoek mijn iPhone en Activeringsslot Continuïteit iCloud iCloud Dri
73 73 74 74 75 76 Beheerde boeken Beheerde domeinen Profielbeheer Apparaten onder supervisie stellen Device Enrollment Program Apple Configurator 77 77 77 77 78 78 78 79 79 81 81 81 81 82 82 Hoofdstuk 8: Distributie van apps en boeken 84 84 84 84 85 85 85 85 Hoofdstuk 9: Ondersteuningsbehoeften 86 86 86 86 87 89 90 92 93 93 94 Hoofdstuk 10: Bijlagen Overzicht Volume Purchase Program (VPP) Overzicht Inschrijven voor het Volume Purchase Program Grote aantallen apps en boeken kopen Beheerde distribu
iOS-implementatiehandleiding 1 Inleiding Deze implementatiehandleiding is bedoeld voor IT-beheerders die iOS-apparaten in hun netwerk willen ondersteunen. De handleiding bevat informatie over de implementatie en ondersteuning van iPads, iPhones en iPods touch in grote bedrijven en bij onderwijsinstellingen.
Internetvoorzieningen Apple heeft een aantal voorzieningen ontwikkeld die gebruikers helpen om het maximale uit hun Apple apparaten te halen. Dit zijn onder meer iMessage, FaceTime, Continuïteit, iCloud en iCloud-sleutelhanger. Om deze voorzieningen te gebruiken, moet een Apple ID worden geconfigureerd en beheerd. Veiligheidsoverwegingen iOS is ontworpen voor het bieden van veilige toegang tot zakelijke voorzieningen en het beschermen van belangrijke gegevens.
Implementatiemodellen 2 Overzicht Er zijn verschillende manieren om iOS-apparaten te distribueren en te configureren, variërend van configuratie vooraf tot configuratie door medewerkers of studenten zelf. Neem de opties door voordat u aan de slag gaat. De hulpmiddelen en de procedure die u voor de implementatie gebruikt, zijn ook afhankelijk van het specifieke implementatiemodel.
Hieronder ziet u enkele voorbeelden van hoe deze modellen in een onderwijsinstelling worden toegepast: •• Een school voor voortgezet onderwijs kan kiezen voor en-op-een-implementatie met de instelling als eigenaar en dit model implementeren voor alle klassen. •• Een grote scholengemeenschap kan eerst op één school een proef doen met een een-op-eenimplementatie met de instelling als eigenaar en vervolgens hetzelfde model uitrollen op alle scholen die deel uitmaken van de gemeenschap.
Nadat de iOS-apparaten zijn gedistribueerd, doorlopen gebruikers een gedeeltelijk geautomatiseerde, gestroomlijnde configuratieprocedure, worden ze automatisch ingeschreven bij de MDM-oplossing en kunnen ze hun iOS-apparaat verder aanpassen of hun eigen materiaal downloaden. Gebruikers kunnen ook een uitnodiging krijgen om specifiek onderwijsmateriaal te downloaden, zoals apps en boeken die zijn gekocht via het Volume Purchase Program (VPP), of cursussen van iTunes U.
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker in een een-op-een-implementatie met apparaten die eigendom zijn van de instelling: Voorbereiden Beheerder: •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij DEP, het VPP en het programma Apple ID for Students. •• Uitpakken en (optioneel) het iOS-apparaat van een tag voorzien. •• Apple ID's aanmaken voor leerlingen jonger dan 13 (indien van toepassing).
Aanvullende informatiebronnen •• VPP - Overzicht •• MDM - Overzicht •• Device Enrollment Program •• Apple ID for Students •• Apple ID •• Caching Server •• AirPlay •• Apple Configurator Implementatiemodel met de student als eigenaar In het voortgezet en universitair onderwijs nemen studenten meestal hun eigen iOS-apparaat mee. Ook op sommige basisscholen nemen leerlingen hun eigen iOS-apparaat mee naar school.
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker in een implementatie met apparaten die eigendom zijn van de studenten: Voorbereiden Beheerder: •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het VPP. Gebruikers: •• Het iOS-apparaat uitpakken en activeren. •• Een Apple ID en accounts voor de iTunes Store en iCloud aanmaken, indien van toepassing. Instellen en configureren Beheerder: •• Geen actie nodig in deze fase.
Implementatiemodel voor gedeeld gebruik In het implementatiemodel voor gedeeld gebruik worden iOS-apparaten gekocht voor gebruik in een klaslokaal of practicumlokaal en kunnen de apparaten gedurende de schooldag door verschillende leerlingen worden gebruikt. Deze apparaten worden in beperkte mate aangepast, waardoor het niet mogelijk is om voor iedere leerling een gepersonaliseerde leeromgeving aan te bieden.
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie voor gedeeld gebruik: Voorbereiden Beheerder: •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het VPP. •• Uitpakken en (optioneel) het iOS-apparaat van een tag voorzien. •• Een of meer Apple ID's voor de instelling aanmaken voor elk exemplaar van Apple Configurator. Gebruikers: •• Geen actie nodig in deze fase.
Aanvullende informatiebronnen •• VPP - Overzicht •• MDM - Overzicht •• Apple ID •• Apple Configurator Implementatiemodellen voor bedrijven Overzicht iOS-apparaten kunnen een radicale hervorming in uw bedrijf teweegbrengen. De productiviteit kan aanzienlijk toenemen, terwijl uw medewerkers de vrijheid en flexibiliteit krijgen om zowel op kantoor als onderweg anders te gaan werken. Als u voor deze nieuwe manier van werken kiest, levert dat voor de gehele organisatie voordelen op.
Gepersonaliseerd apparaat (BYOD) Bij een BYOD-implementatie (Bring Your Own Device) configureren gebruikers hun eigen iOS-apparaten met hun eigen Apple ID. Gebruikers kunnen op verschillende manieren toegang krijgen tot de informatiebronnen van het bedrijf. Zo kunnen ze instellingen handmatig configureren, een configuratieprofiel installeren of het iOS-apparaat inschrijven bij de MDM-oplossing van de organisatie. Deze laatste variant wordt het meest toegepast.
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met gepersonaliseerde (eigen) apparaten: Voorbereiden Beheerder: •• De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het VPP. Gebruikers: •• Het iOS-apparaat uitpakken en activeren. •• Een Apple ID en accounts voor de iTunes Store en iCloud aanmaken, indien van toepassing.
Aanvullende informatiebronnen •• VPP - Overzicht •• MDM - Overzicht •• Apple ID •• Caching Server Gepersonaliseerd apparaat (eigendom van bedrijf) Kies het model Gepersonaliseerd apparaat (eigendom van bedrijf ) als u iOS-apparaten wilt implementeren die het eigendom zijn van uw organisatie. U kunt de iOS-apparaten desgewenst configureren met basisinstellingen voordat u ze aan de gebruikers geeft.
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met gepersonaliseerde apparaten die het eigendom zijn van het bedrijf: Voorbereiden Beheerder: •• De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het Device Enrollment Program (DEP) en het Volume Purchase Program (VPP).
Doorlopend beheer Beheerder: •• Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). •• Met behulp van een MDM-oplossing kunt u gegevens van beheerde iOS-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen.
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met niet-gepersonaliseerde (gedeelde) apparaten: Voorbereiden Beheerder: •• De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. •• Een MDM-oplossing zoeken, kopen en implementeren. •• Inschrijven bij het Volume Purchase Program (VPP). Gebruikers: •• Geen actie nodig in deze fase.
Aanvullende informatiebronnen •• VPP - Overzicht •• MDM - Overzicht •• Apple ID •• Apple Configurator Hoofdstuk 2 Implementatiemodellen 23
Wi-Fi 3 Overzicht Bij het voorbereiden van de Wi-Fi-infrastructuur voor een implementatie van Apple apparaten moet u rekening houden met verschillende factoren: •• Wi-Fi-doorvoersnelheid •• Wi-Fi-triggerdrempel •• Benodigd bereik •• Aantal en dichtheid van apparaten die het Wi-Fi-netwerk gebruiken •• Typen Apple apparaten en de Wi-Fi-mogelijkheden ervan •• Typen en hoeveelheid gegevens die worden verzonden •• Beveiligingsvereisten voor toegang tot het draadloze netwerk •• Vereisten voor ve
Aanmelden bij een Wi-Fi-netwerk Gebruikers kunnen instellen dat Apple apparaten automatisch verbinding maken met beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit apps (zoals Mail) snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere gegevens vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te openen.
802.11r stroomlijnt de identiteitscontrole met de functie 'Fast Basic Service Set Transition' (FT) wanneer uw iOS-apparaat van het ene toegangspunt naar het andere toegangspunt binnen hetzelfde netwerk roamt. Met FT kunnen iOS-apparaten sneller worden gekoppeld aan toegangspunten. Afhankelijk van de leverancier van de Wi-Fi-hardware, kan FT zowel met een vooraf gedeelde sleutel (PSK) als met een 802.1X-identiteitscontrole werken.
Rekening houden met bereik en capaciteit Hoewel het belangrijk is dat alle Apple apparaten binnen een bepaald gebied Wi-Fi-bereik hebben, is het ook essentieel om rekening te houden met de dichtheid van de apparaten in een bepaald gebied, zodat de benodigde capaciteit kan worden gewaarborgd. De meeste moderne toegangspunten kunnen overweg met wel 50 Wi-Fi-clients of zelfs meer. Als één 802.
Uw ontwerp afstemmen op het bereik De indeling van het gebouw kan van invloed zijn op het ontwerp van uw Wi-Fi-netwerk. In een kleine organisatie kunnen gebruikers bijvoorbeeld met andere medewerkers bijeenkomen in vergaderruimten of in kantoren. Het gevolg is dat gebruikers zich in de loop van de dag door het gebouw verplaatsen. In dit scenario wordt er voornamelijk netwerktoegang gezocht voor activiteiten die weinig bandbreedte verbruiken, zoals e-mailen, internetten en het bekijken van agenda's.
Soms is het wenselijk om voor verschillende doeleinden verschillende SSID's aan te maken. Zo kan het handig zijn om een gastnetwerk in te richten. Zorg er in elk geval voor dat er niet te veel SSID's worden aangemaakt, aangezien alle aanvullende SSID's extra bandbreedte gebruiken. Uw ontwerp afstemmen op toepassingen Apple producten gebruiken multicastnetwerken voor voorzieningen zoals AirPlay en AirPrint. Dit betekent dat ondersteuning voor dergelijke netwerken deel moet uitmaken van het ontwerpplan.
Model Compatibiliteit met 802.11 en frequentiebereik Maximale verzendsnelheid Ruimtelijke streams MCSindex Kanaalbreedte Guardinterval iPad Air 2 802.11ac/n/a op 5 GHz 866 Mbps 2 9 (VHT) 80 MHz 400 ns 15 (VHT) 802.11 n/g/b op 2,4 GHz iPad mini 3 802.11n op 2,4 GHz en 5 GHz 300 Mbps 2 15 (VHT) 40 MHz 400 ns 433 Mbps 1 9 (VHT) 80 MHz 400 ns 802.11a/b/g iPhone 6 Plus iPhone 6 iPhone 5s iPhone 5c 802.11ac/n/a op 5 GHz 802.11n op 2,4 GHz en 5 GHz iPhone 5 802.
Infrastructuur en integratie 4 Overzicht iOS ondersteunt allerlei netwerkinfrastructuren, waaronder de volgende: •• Lokale netwerken die Bonjour gebruiken •• Kabelvrije verbindingen naar Apple TV via AirPlay •• Digitale certificaten voor identiteitscontrole en veilige communicatie •• Eenmalige aanmelding voor gestroomlijnde identiteitscontrole bij apps en voorzieningen in het netwerk •• Op standaarden gebaseerde voorzieningen voor e-mail, adreslijsten, agenda's en andere systemen •• Veelgebrui
•• Exchange Server 2007 SP 1 (EAS 12.1) •• Exchange Server 2007 (EAS 2.5) Microsoft Exchange Autodiscover iOS en OS X ondersteunen de Autodiscover-voorziening van Microsoft Exchange Server 2007 of hoger. Wanneer u een Apple apparaat handmatig configureert, bepaalt de Autodiscovervoorziening op basis van uw e-mailadres en wachtwoord wat de juiste gegevens voor de Exchange-server zijn. Zie het TechNet-artikel Autodiscover Service (Engelstalig) op de website van Microsoft voor meer informatie.
iOS-versies identificeren met Exchange Wanneer een iOS-apparaat verbinding maakt met een Exchange-server, wordt de iOS-versie van het apparaat bekendgemaakt. Het versienummer staat in het veld 'User Agent' van de header van de aanvraag en ziet er uit als: Apple-iPhone2C1/705.018. Het nummer achter het scheidingsteken (/) is het nummer van de iOS-build. Dit nummer is uniek voor elke iOS-versie. Om het buildnummer van een apparaat te bekijken, gaat u naar 'Instellingen' > 'Algemeen' > 'Info'.
Bonjour maakt gebruik van multicastverkeer om de beschikbaarheid van voorzieningen bekend te maken. Multicastverkeer wordt meestal niet gerouteerd. Zorg er daarom voor dat Apple TV's of AirPrint-printers zich in hetzelfde IP-subnet bevinden als de iOS-apparaten die er gebruik van willen maken. Als uw netwerk groter is en uit veel IP-subnetten bestaat, kan het een goed idee zijn om een Bonjour-gateway te gebruiken.
•• Gebruik Wi-Fi-kanaal 149 of 153 indien mogelijk niet voor uw infrastructuurnetwerk. •• Plaats of monteer de Apple TV's niet achter objecten die de BTLE- en Wi-Fi-signalen kunnen verstoren. •• Als u de Apple TV aan een wand of een ander oppervlak monteert, moet u ervoor zorgen dat de onderzijde naar de wand of dat andere oppervlak wijst. •• Als peer-to-peer-AirPlay niet wordt ondersteund door de AirPlay-zender of AirPlay-ontvanger, wordt automatisch de infrastructuurverbinding gebruikt.
Als 'Vraag om apparaatcontrole' is ingeschakeld, moet bij de eerste AirPlay-verbinding een identiteitscontrole voor het iOS-apparaat of de Mac worden uitgevoerd. (Voor deze optie is een iOS-apparaat met iOS 7.1 of hoger of een Mac met OS X Mavericks versie 10.9.2 of hoger vereist.) De optie 'Vraag om apparaatcontrole' is handig wanneer een Apple TV is geïmplementeerd in een open Wi-Fi-netwerk.
Digitale certificaten Apple apparaten bieden ondersteuning voor digitale certificaten en identiteiten, zodat uw organisatie op een gestroomlijnde manier toegang heeft tot de bedrijfsvoorzieningen. Deze certificaten kunnen op verschillende manieren worden gebruikt. Safari kan bijvoorbeeld de geldigheid van een digitaal X.509-certificaat controleren en via AES-codering (tot 256 bits) een veilige sessie starten.
Certificaten distribueren en installeren Het handmatig distribueren van certificaten naar iOS-apparaten is heel eenvoudig. Zodra een gebruiker het certificaat heeft ontvangen, hoeft hij er alleen maar op te tikken om de inhoud te bekijken en om het certificaat aan zijn apparaat toe te voegen. Wanneer een identiteitscertificaat wordt geïnstalleerd, moet de gebruiker de wachtwoordzin opgeven waarmee dit certificaat wordt beveiligd.
In iOS 7 of hoger kunnen apps via Kerberos gebruikmaken van een bestaande infrastructuur voor eenmalige aanmelding. Het Kerberos-systeem voor identiteitscontrole dat voor iOS 7 en hoger wordt gebruikt, is wereldwijd de meest gebruikte technologie voor eenmalige aanmelding. Als u werkt met Active Directory, eDirectory of Open Directory, is er waarschijnlijk al een Kerberos-systeem beschikbaar dat door iOS 7 of hoger kan worden gebruikt.
iOS en OS X ondersteunen SSL-VPN van populaire VPN-aanbieders. Net als andere VPN-protocollen die door iOS en OS X worden ondersteund, kan SSL-VPN handmatig, via configuratieprofielen of door middel van een MDM-oplossing op het Apple apparaat worden geconfigureerd. iOS en OS X ondersteunen ook standaardtechnologieën als IPv6, proxyservers en split-tunneling, zodat gebruikers probleemloos via VPN verbinding met het bedrijfsnetwerk kunnen maken.
Voorbeelden van SSL-VPN-oplossingen zijn: •• SSL-VPN AirWatch: Ga naar de website van AirWatch voor informatie. •• SSL-VPN Aruba Networks: iOS ondersteunt Aruba Networks Mobility Controller. Voor de configuratie installeert u de Aruba Networks VIA-app (verkrijgbaar in de App Store). Ga naar de website van Aruba Networks voor contactgegevens. •• SSL-VPN Check Point Mobile: iOS ondersteunt de Check Point Security Gateway met een volledige Layer-3-VPN-tunnel.
•• Gebruik de instelling 'Automatisch' om het apparaat via PAC of WPAD te voorzien van een configuratiebestand voor een automatische proxy. Voor PAC geeft u de URL van het PAC- of JavaScript-bestand op. In het geval van WPAD worden de juiste instellingen opgevraagd bij DHCP en DNS. De VPN-proxyconfiguratie wordt gebruikt wanneer het VPN het volgende aanbiedt: •• De standaard-resolver en de standaardroute: De VPN-proxy wordt gebruikt voor alle webverzoeken in het systeem.
•• Op het apparaat moet het certificaat zijn geïnstalleerd van de certificaatautoriteit die het servercertificaat heeft ondertekend. Als dit geen rootcertificaat is, moet u de rest van de vertrouwensketen installeren om ervoor te zorgen dat dit certificaat wordt vertrouwd. Als u gebruikmaakt van clientcertificaten, moet u ervoor zorgen dat op de VPN-server het certificaat is geïnstalleerd van de vertrouwde certificaatautoriteit die het clientcertificaat heeft ondertekend.
App-gebonden VPN Bij iOS en OS X is het mogelijk om per app een VPN-verbinding op te zetten. Hierdoor kan meer specifiek worden bepaald welke gegevens er via het VPN lopen. Met VPN op apparaatniveau gaan alle gegevens via het privénetwerk, ongeacht de oorsprong ervan. Door deze mogelijkheid om het verkeer op appniveau te scheiden, kunnen persoonlijke gegevens en gegevens van de organisatie effectief van elkaar afgeschermd blijven.
•• Een VPN-verbinding verplicht te stellen wanneer een DNS-aanvraag voor een opgegeven domein mislukt Fasen VPN op aanvraag maakt in twee stappen verbinding met uw netwerk. Netwerkdetectie De regels voor VPN op aanvraag worden geëvalueerd wanneer de primaire netwerkinterface van het apparaat verandert, bijvoorbeeld wanneer een Apple apparaat overschakelt op een ander Wi-Fi-netwerk of wanneer het apparaat van een Wi-Fi-netwerk overschakelt naar een mobiel netwerk in iOS of naar Ethernet in OS X.
Action Deze verplichte sleutel bepaalt het VPN-gedrag wanneer alle opgegeven vergelijkingsregels waar zijn. Waarden voor de Action-sleutel zijn: •• Connect: Hiermee wordt de VPN-verbinding bij de volgende verbindingspoging onvoorwaardelijk geïnitieerd. •• Disconnect: De VPN-verbinding wordt verbroken en er worden geen nieuwe verbindingen op aanvraag geactiveerd. •• Ignore: Een eventuele bestaande VPN-verbinding blijft behouden, maar er worden geen nieuwe verbindingen op aanvraag geactiveerd.
Om een profiel aan te maken dat zowel bij iOS 7 als bij eerdere releases werkt, gebruikt u de nieuwe EvaluateConnection-sleutels in aanvulling op de OnDemandMatchDomain-matrices. Eerdere versies van iOS die 'EvaluateConnection' niet herkennen, maken gebruik van de oude matrices, terwijl iOS 7 en hoger 'EvaluateConnection' gebruiken. Oude configuratieprofielen waarin de actie 'Allow' is opgenomen, moeten in principe wel werken met iOS 7 of hoger, met uitzondering van OnDemandMatchDomainsAlways-domeinen.
Een configuratie met Altijd actieve VPN ondersteunt de volgende implementatiemodellen om in verschillende behoeften te voorzien. Apparaten met alleen een mobiele-dataverbinding Als uw organisatie ervoor kiest om Altijd actieve VPN te implementeren op iOS-apparaten die alleen een mobiele-dataverbinding hebben (de Wi-Fi-interface is permanent verwijderd of gedeactiveerd), wordt er tussen elk apparaat en de IKEv2-server één IKEv2-tunnel opgezet via de IP-interface voor het mobiele-datanetwerk.
Configuratieprofiel voor Altijd actieve VPN Een configuratieprofiel voor Altijd actieve VPN kan handmatig worden samengesteld met een Apple editor voor configuratieprofielen (zoals Profielbeheer), met Apple Configurator, of via een MDM-oplossing van een andere leverancier. Zie Profielbeheer Help of Apple Configurator Help voor meer informatie.
Automatisch verbinding maken in iOS De methode Altijd actieve VPN ondersteunt een optionele sleutel 'UIToggleEnabled', waarmee uw organisatie de schakelaar 'Connect Automatically' kan weergeven in het venster 'VPN Settings'. Als deze sleutel niet is opgegeven in het profiel of is ingesteld op '0', wordt bij Altijd actieve VPN geprobeerd een of twee VPN-tunnels op te zetten.
Uitzonderingen voor voorzieningen Met Altijd actieve VPN wordt standaard al het IP-verkeer via een tunnel geleid. Dit geldt voor al het lokale verkeer en voor het verkeer dat wordt verstuurd via voorzieningen voor mobiele data. Met de standaardinstelling van Altijd actieve VPN is het dus niet mogelijk om lokale IP-voorzieningen of voorzieningen van IP-aanbieders te gebruiken.
Internetvoorzieningen 5 Overzicht De internetvoorzieningen van Apple zijn ontwikkeld op dezelfde beveiligingspijlers als waarop het gehele iOS-platform is gebouwd: beveiliging van gegevens (tijdens opslag op het iOS-apparaat of tijdens overdracht via draadloze netwerken), bescherming van de persoonlijke gegevens van gebruikers, en bescherming tegen kwaadwillende of onbevoegde toegang tot informatie en voorzieningen.
Om deze voorzieningen optimaal te kunnen benutten, moeten gebruikers een eigen Apple ID hebben. Als ze geen Apple ID hebben, kunnen ze er zelf één aanmaken. Dit kunnen ze al doen voordat ze een Apple apparaat hebben ontvangen of ze kunnen het naderhand met behulp van de configuratie-assistent doen. De configuratie-assistent biedt een eenvoudige en gestroomlijnde manier om rechtstreeks vanaf een Apple apparaat een Apple ID aan te maken.
Belangrijk: Activeringsslot is standaard niet ingeschakeld op apparaten die onder supervisie staan, zelfs niet als de gebruiker Zoek mijn iPhone inschakelt. Een MDM-server kan echter een ontgrendelingscode opvragen en Activeringsslot toestaan op het apparaat. Als Zoek mijn iPhone is ingeschakeld op het moment dat de MDM-server het activeringsslot inschakelt, wordt het slot direct ingeschakeld.
iCloud Met iCloud kunnen gebruikers persoonlijke inhoud opslaan, zoals contactpersonen, agenda's, documenten en foto's, en deze vervolgens up-to-date houden op verschillende iOS-apparaten en Mac-computers. Inhoud in iCloud wordt beveiligd doordat deze tijdens de verzending via het internet wordt gecodeerd. Het materiaal wordt ook gecodeerd bewaard en er worden veilige tokens gebruikt voor identiteitscontrole.
iCloud-sleutelhanger iCloud-sleutelhanger houdt websitewachtwoorden uit Safari en wachtwoorden voor Wi-Fi-netwerken up-to-date op al uw iOS-apparaten en Mac-computers waarop iCloud is geconfigureerd. In de sleutelhanger kunnen wachtwoorden worden opgeslagen voor alle apps die deze voorziening ondersteunen. In iCloud-sleutelhanger worden ook creditcardgegevens opgeslagen die u in Safari bewaart, zodat Safari deze informatie kan invullen op uw iOS-apparaten en Mac.
FaceTime FaceTime is de dienst van Apple voor het voeren van video- en audiogesprekken. Voor FaceTime-gesprekken wordt via de Apple Push Notification Service een verbinding tot stand gebracht. Vervolgens wordt met behulp van ICE (Internet Connectivity Establishment) en SIP (Session Initiation Protocol) een versleutelde stream opgezet. Met FaceTime kunnen gebruikers communiceren via elk iOS- en OS X-apparaat.
Dit verkeer is een beveiligd, binair protocol dat specifiek voor de APNs is bedoeld; het kan niet via een proxy worden geleid. Elke poging om inzage in het verkeer te krijgen of om het verkeer om te leiden, wordt door de client, de APNs en pushproviderservers aangemerkt als dubieus en ongeldig. Op de eindpunten en de servers van de APNs worden meerdere beveiligingslagen toegepast. Zie Local and Remote Notification Programming Guide (Engelstalig) voor technische informatie over deze beveiligingsmaatregelen.
Beveiliging 6 Overzicht iOS en OS X zijn opgebouwd uit verschillende beveiligingslagen, zodat Apple apparaten op een veilige manier toegang kunnen krijgen tot netwerkvoorzieningen en belangrijke gegevens worden beschermd. Bescherming is ook verzekerd door het gebruik van toegangscodes en beleidsregels voor toegangscodes, die met MDM kunnen worden aangeleverd en ingesteld.
•• Minimale lengte toegangscode •• Minimale aantal complexe tekens •• Maximale gebruiksduur toegangscode •• Tijd voor automatische vergrendeling •• Geschiedenis toegangscodes •• Geldigheid toegangscode bij vergrendeling •• Maximaal aantal mislukte pogingen voordat het iOS-apparaat wordt gewist Afdwingen van beleid U kunt beleidsinstellingen distribueren via een configuratiebestand dat gebruikers installeren.
Gegevensbeveiliging U kunt vertrouwelijke gegevens, zoals e-mailberichten en bijlagen die op het apparaat zijn opgeslagen, beter beveiligen door de ingebouwde functies voor gegevensbeveiliging van iOS te gebruiken. De unieke toegangscode van gebruikers plus de hardwarematige codering op iOS-apparaten vormen samen een krachtige coderingssleutel voor gegevensbeveiliging. Met deze sleutel wordt voorkomen dat de gegevens op het apparaat toegankelijk zijn wanneer het apparaat is vergrendeld.
Certificaten voor gebruik met S/MIME kunnen op het Apple apparaat worden aangeleverd met behulp van een configuratieprofiel, MDM of SCEP. Zo kan de IT-afdeling gemakkelijker waarborgen dat gebruikers altijd de juiste certificaten hebben geïnstalleerd. Externe e-mailadressen In iOS 8 en OS X Yosemite kan een lijst met domeinen met een bepaald achtervoegsel worden aangemaakt. E-mailberichten die niet zijn geadresseerd aan domeinen die in de goedgekeurde lijst staan, worden rood gemarkeerd.
Wissen op afstand Apple apparaten kunnen op afstand worden gewist. Als een Apple apparaat zoekraakt of gestolen wordt, kan een beheerder of de eigenaar van het apparaat opdracht geven alle gegevens te wissen en het apparaat te deactiveren. Dit kan via een MDM-oplossing of met de iCloud-functie Zoek mijn iPhone.
WPA/WPA2 iOS en OS X ondersteunen WPA2 op bedrijfsniveau om de identiteitscontrole voor toegang tot het draadloze bedrijfsnetwerk uit te voeren. WPA2 op bedrijfsniveau gebruikt 128-bit AES-codering, wat inhoudt dat de gegevens van gebruikers worden beveiligd tijdens communicatie via een Wi-Fi-netwerk. Dankzij de ondersteuning voor 802.1x-identiteitscontrole kunnen de Apple apparaten bovendien in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd. iOS en OS X ondersteunen de volgende 802.
U kunt het gebruik van interne maatwerkapps beheren met behulp van een voorzieningenprofiel. Gebruikers kunnen de app in dat geval alleen starten als het voorzieningenprofiel is geïnstalleerd. Voorzieningenprofielen kunnen draadloos via MDM worden geïnstalleerd. U kunt het gebruik van een app ook beperken tot bepaalde apparaten.
Configuratie en beheer 7 Overzicht U kunt implementaties van Apple apparaten stroomlijnen met behulp van verschillende beheertechnieken waarmee het configureren van accounts en beleidsinstellingen, het distribueren van apps en het toepassen van beperkingen een stuk eenvoudiger wordt. U kunt voorkeursinstellingen en accounts voor iOS-apparaten en OS X-computers handmatig of via een MDM-oplossing configureren.
•• Locatie (alleen iOS): Locatievoorzieningen worden niet ingeschakeld •• Touch ID (alleen iOS): Touch ID wordt niet ingeschakeld •• Toegangscode (alleen iOS): Het instellen van een toegangscode wordt overgeslagen •• Apple Pay (alleen iOS): Apple Pay wordt niet ingeschakeld •• Siri (alleen iOS): Siri wordt niet ingeschakeld •• Weergavezoom (alleen iOS): Weergavezoom wordt niet ingeschakeld •• Registratie (alleen OS X): Registratie is niet mogelijk •• FileVault (alleen OS X): FileVault wordt n
MDM (Mobile Device Management) Overzicht Dankzij de MDM-ondersteuning in iOS en OS X kunnen IT-medewerkers op een veilige manier geschaalde implementaties van Apple apparaten in hun organisaties configureren en beheren. iOS en OS X hebben een ingebouwd MDM-framework waarmee MDM-oplossingen van andere ontwikkelaars draadloos met Apple apparaten kunnen communiceren.
Met een MDM-oplossing kan uw IT-afdeling op een veilige manier Apple apparaten inschrijven die het persoonlijke eigendom van de medewerkers zijn en/of die eigendom van de organisatie zijn. Als u over een MDM-oplossing beschikt, kunt u instellingen configureren en bijwerken, controleren of de beleidsinstellingen worden nageleefd, en beheerde Apple apparaten op afstand wissen of vergrendelen.
Configuratieprofielen kunnen worden ondertekend, gecodeerd en vergrendeld. Hiermee wordt voorkomen dat de instellingen worden veranderd of gedeeld en wordt ervoor gezorgd dat uitsluitend vertrouwde gebruikers en Apple apparaten die volgens uw specificaties zijn geconfigureerd toegang hebben tot uw netwerk en diensten. Als een gebruiker zijn of haar apparaat uitschrijft bij de MDM-oplossing, worden alle instellingen verwijderd die via de MDM-oplossing zijn doorgevoerd.
Beheertaken Als een iOS-apparaat wordt beheerd, is het mogelijk om via de MDM-server een aantal specifieke taken uit te voeren. Voorbeelden van beheertaken zijn: •• Configuratie-instellingen wijzigen: Er kan een commando worden verstuurd om een nieuw of bijgewerkt configuratieprofiel op een Apple apparaat te installeren. Wijzigingen in de configuratie vinden op de achtergrond, zonder tussenkomst van de gebruiker, plaats.
Via MDM-servers kunnen apps uit de App Store en apps die intern zijn ontwikkeld draadloos worden geïmplementeerd op Apple apparaten. Betaalde en gratis apps uit de App Store kunnen door een MDM-server worden beheerd door distributie via het VPP. Zie het Overzicht van het Volume Purchase Program voor meer informatie over beheerde distributie met een MDM-oplossing.
•• Prevent Backup: Met deze beperking wordt voorkomen dat met beheerde apps een reservekopie van gegevens wordt bewaard in iCloud of iTunes. Wanneer het maken van reservekopieën niet is toegestaan, is het niet mogelijk om gegevens van beheerde apps terug te zetten als de app via de MDM-oplossing wordt verwijderd en later door de gebruiker opnieuw wordt geïnstalleerd.
Weergegeven in Instellingen Beheerde domeinen Onbeheerde domeinen www.example.com www.example.com/* example.com www.example.com/docs hr.example.com *.example.com *.example.com/* example.com *.example.com/docs *.example.com/docs/* example.com www.example.com Profielbeheer Naast MDM-oplossingen van andere leveranciers kunt u ook kiezen voor Profielbeheer. Dit is een MDM-oplossing van Apple die als voorziening van OS X Server wordt aangeboden.
Device Enrollment Program Het Device Enrollment Program (DEP) biedt een snelle en gestroomlijnde implementatiemethode voor Apple apparaten die uw organisatie rechtstreeks bij Apple of een deelnemende erkende Apple reseller of aanbieder heeft gekocht. U kunt de Apple apparaten automatisch inschrijven bij de MDM-oplossing zonder ze fysiek in handen te hoeven hebben, of de apparaten voorbereiden voordat u ze aan de gebruikers overhandigt.
Apple apparaten die in aanmerking komen, kunnen op ordernummer via de website Apple Deployment Programs aan uw MDM-servers worden toegewezen. U kunt binnen die bestellingen ook apparaten zoeken op type en serienummer. Nadat nieuwe bestellingen zijn verstuurd, kunt u de bestellingen opzoeken op de DEP-website en ze automatisch toewijzen aan een bepaalde MDM-server.
Distributie van apps en boeken 8 Overzicht iOS heeft een aantal krachtige, ingebouwde apps waarmee de mensen in uw organisatie eenvoudig hun dagelijkse taken kunnen uitvoeren, zoals e-mailen, agenda's en contactgegevens bijhouden en materiaal op het internet raadplegen.
Het is mogelijk om een MDM-oplossing te integreren met het VPP, zodat uw organisatie grote aantallen apps en boeken kan kopen en deze vervolgens kan toewijzen aan specifieke gebruikers of groepen. Als een gebruiker een app niet meer nodig heeft, kunt u de app via de MDM-oplossing intrekken en aan iemand anders toewijzen. Bovendien zijn alle gekochte apps en boeken automatisch beschikbaar om te worden gedownload naar de Apple apparaten van gebruikers.
Het is belangrijk dat u de apps en boeken registreert en aan VPP-gebruikers toewijst voordat u een uitnodiging naar de gebruikers stuurt. Hierdoor is er meer tijd om de toewijzing in de aankoopgeschiedenis van de gebruiker door te voeren wanneer de VPP-uitnodiging wordt geaccepteerd. U kunt op elk moment gebruikers registreren en apps en boeken toewijzen, zelfs voordat de Apple apparaten bij de MDM-oplossing zijn ingeschreven.
Interne apps voor iOS ontwikkelen en implementeren 1 Meld u aan voor het iOS Developer Enterprise Program. 2 Maak uw app klaar voor distributie. 3 Maak een voorzieningenprofiel voor bedrijfsdistributie aan om gebruik van de ondertekende apps op de apparaten mogelijk te maken. 4 Bouw de app met het voorzieningenprofiel. 5 Implementeer de app bij uw gebruikers.
Interne boeken iOS 8 en OS X Yosemite zijn sterk verbeterd door de introductie van beheerde distributie voor boeken. Deze voorziening maakt het mogelijk om via de MDM-oplossing boeken toe te wijzen aan gebruikers, zodat uw organisatie de controle over de boeken blijft houden. Pdf's en ePubs die binnen uw organisatie worden aangemaakt, kunnen net als interne apps worden toegewezen aan gebruikers. Ook kunt u de toewijzing weer ongedaan maken en het boek vervolgens aan iemand anders toewijzen.
Apps installeren met Apple Configurator Gebruik Apple Configurator om algemene configuratietaken op een eenvoudige manier uit te voeren. U kunt het programma ook gebruiken om apps en ander materiaal te installeren op iOS-apparaten. Apple Configurator is vooral erg handig voor de supervisie van apparaten die niet door de gebruiker worden gepersonaliseerd, zoals gedeelde iPads in een klaslokaal.
Bij grote netwerken kan het verstandig zijn meerdere Caching Servers te installeren. Voor veel implementatiemodellen is het configureren van Caching Server een kwestie van het inschakelen van de voorziening. Met Caching Server van OS X Server Yosemite hoeft u geen NAT-omgeving meer in te richten voor de server en de apparaten die daarvan gebruikmaken. Caching Server kan nu worden gebruikt in netwerken met vrij routeerbare IP-adressen. Apple apparaten met iOS 7 of hoger en OS X Mountain Lion versie 10.8.
Ondersteuningsbehoeften 9 Overzicht Bij een implementatie van Apple apparaten moet de ondersteuning natuurlijk niet worden vergeten.
AppleCare voor bedrijven AppleCare voor bedrijven biedt uitgebreide hardware- en softwareondersteuning voor uw bedrijf of onderwijsinstelling. Uw AppleCare-accountmanager brengt samen met u uw IT-infrastructuur in kaart, houdt eventuele problemen bij en verstrekt maandelijkse activiteitenrapporten over ondersteuningsaanvragen en reparaties. Dit plan biedt IT-afdelingen via telefoon of e-mail ondersteuning voor alle Apple hardware en software.
Bijlagen 10 Beperkingen Overzicht Apple apparaten ondersteunen de hierna aangegeven beleidsinstellingen en beperkingen. Deze kunnen zo worden geconfigureerd dat ze aansluiten op de behoeften van uw organisatie. Afhankelijk van uw MDM-oplossing, kunnen de aanduidingen van deze beperkingen enigszins afwijken. Opmerking: Niet alle beperkingen zijn voor alle Apple apparaten beschikbaar.
•• Set up as a new device or restore from backup: Als deze optie is uitgeschakeld, heeft de gebruiker niet de mogelijkheid om tussen deze twee opties te kiezen. •• Allow user to enter their Apple ID: Als deze optie is uitgeschakeld, kan de gebruiker niet zijn of haar Apple ID invoeren. •• Allow user to view the Terms and Conditions: Als deze optie is uitgeschakeld, kan de gebruiker niet de voorwaarden van Apple bekijken.
•• Sta schermafbeeldingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen schermafbeelding bewaren. •• Sta automatische synchronisatie tijdens roaming toe: Als deze optie is uitgeschakeld, worden roamende apparaten alleen gesynchroniseerd wanneer de gebruiker inlogt op een account. •• Sta voicedialing toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen gesproken commando's gebruiken om een nummer te bellen.
Instellingen onder supervisie De twee activeringsslotbeperkingen zijn standaard uitgeschakeld voor alle gebruikers en gebruikersgroepen. •• Stuur commando 'Sta activeringsslot toe' na MDM-inschrijving: Als deze optie is ingeschakeld, kunnen gebruikers instellen dat hun iOS-apparaat niet kan worden gewist zonder de Apple ID van de gebruiker in te voeren. De volgende instelling is een subset van de bovenstaande instelling.
•• Sta wijziging van account toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen nieuwe accounts aanmaken of hun gebruikersnaam, wachtwoord of andere instellingen wijzigen die aan hun account zijn gekoppeld. •• Sta wijziging mobiele-datainstellingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen instellingen wijzigen met betrekking tot de apps die mobiele data mogen gebruiken.
•• Domeinen (e-mail): E-mailberichten die niet aan domeinen in de goedgekeurde lijst zijn geadresseerd, worden gemarkeerd. Stel dat een gebruiker zowel example.com als group. example.com heeft opgenomen in de lijst met bekende domeinen. Als de gebruiker vervolgens iemand@foo.com invoert, wordt dat adres gemarkeerd, zodat de gebruiker meteen kan zien dat dit domein niet in de lijst staat.
Als een profiel is gecodeerd en deze optie is uitgeschakeld, is codering van reservekopieën verplicht. Profielen die met Profielbeheer op het apparaat zijn geïnstalleerd, worden nooit gecodeerd. Beveiligings- en privacy-instellingen voor OS X De volgende beveiligings- en privacybeperking geldt alleen voor OS X: •• Sta AirDrop toe: Als deze optie is uitgeschakeld, kunnen gebruikers AirDrop niet gebruiken met andere Mac-computers.
•• Edit cookie preferences: Hiermee stelt u het cookiebeleid voor Safari in. U kunt ervoor kiezen om altijd alle cookies te weigeren of te accepteren, alleen cookies van geopende websites te accepteren of alleen cookies te accepteren van websites die de gebruiker bezoekt. De standaardinstelling is 'Altijd'.
•• •• Sta in- en uitschrijving van apparaten toe: Als deze optie is ingeschakeld, kunnen gebruikers extra apparaten inschrijven en apparaten uitschrijven. •• Sta wissen van apparaat toe: Als deze optie is ingeschakeld, kunnen gebruikers hun apparaten wissen. •• Sta apparaatvergrendeling toe (alleen iOS): Als deze optie is ingeschakeld, kunnen gebruikers hun iOS-apparaat vergrendelen.
U kunt de URL voor het downloaden van het manifest-bestand versturen via sms of e-mail, maar u kunt deze ook opnemen in een andere, intern ontwikkelde bedrijfsapp. De website voor de distributie van apps bouwt en host u zelf. Zorg ervoor dat de identiteit van de gebruikers wordt gecontroleerd, bijvoorbeeld door middel van eenvoudige basiscontrole of een identiteitscontrole op basis van een adressenlijst. Bovendien moet de website toegankelijk zijn via uw intranet of het internet.
U kunt meerdere apps installeren met één manifest-bestand door extra onderdelen op te geven in de itemmatrix. Aan het eind van deze bijlage vindt u een voorbeeld van een manifest-bestand. Uw website opbouwen Upload de volgende onderdelen naar een gedeelte van uw website waartoe bevoegde gebruikers toegang hebben: •• Het appbestand (.ipa) •• Het manifest-bestand (.plist) Een website met één pagina met daarop een koppeling naar het manifest-bestand is al voldoende.
•• Controleer of de URL naar het .ipa-bestand (in het manifest-bestand) juist is en of het . ipa-bestand via HTTPS toegankelijk is voor webgebruikers. Vereisten voor netwerkconfiguratie Als de apparaten zijn aangesloten op een gesloten intern netwerk, moet u iOS-apparaten toegang verlenen tot: •• ax.init.itunes.apple.com: Het apparaat verkrijgt de huidige bestandsgroottelimiet voor het downloaden van apps via het draadloze netwerk.
Certificaatcontrole De eerste keer dat een gebruiker een app opent, wordt het distributiecertificaat gecontroleerd bij de OCSP-server van Apple. Als het certificaat is ingetrokken, kan de app niet worden gestart. Wanneer er geen verbinding met de OCSP-server tot stand kan worden gebracht of wanneer er geen reactie van de server wordt ontvangen, betekent dit niet dat het certificaat is ingetrokken. Om de status te controleren, moet het apparaat in staat zijn om ocsp.apple.com te bereiken.
kind display-image needs-shine url https://www.example.com/afbeelding.57x57.
Zie Configuration Profile Key Reference voor meer informatie over profielsleutels en -kenmerken.
