iOS Implementierung – Referenz
KKApple Inc. © 2015 Apple Inc. Alle Rechte vorbehalten. Apple, das Apple-Logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, FileVault, iBooks, iLife, iMessage, iPad, iPad Air, iPhone, iPod, iPod touch, iTunes, iWork, Keychain, Keynote, Mac, MacBook Air, MacBook Pro, Numbers, OS X, Pages, Passbook, Safari, Siri, Spotlight und Xcode sind Marken der Apple Inc., die in den USA und weiteren Ländern eingetragen sind.
Inhalt 6 6 Kapitel 1: iOS Implementierung – Referenz 8 8 8 8 9 12 14 16 16 17 19 21 Kapitel 2: Implementierungsmodelle 24 24 24 25 25 27 28 29 Kapitel 3: WLAN 31 31 31 33 34 36 37 38 39 39 40 40 41 44 44 44 45 Kapitel 4: Infrastruktur und Integration Einführung Überblick Implementierungsmodelle für den Bildungsbereich Überblick Eigentum der Einrichtung (Eins-zu-Eins) Eigentum der lernenden Person Gemeinsame Nutzung Implementierungsmodelle für Unternehmen Überblick Angepasstes Gerät (BYOD) Angep
5 46 47 47 47 49 49 Regeln und Aktionen Abwärtskompatibilität Permanentes VPN Überblick Implementierungsszenarien Konfigurationsprofil für permanentes VPN Payload für permanentes VPN 51 51 51 52 53 54 54 55 55 56 56 56 57 Kapitel 5: Internetdienste 58 58 58 58 58 59 59 60 60 60 61 61 62 62 62 63 Kapitel 6: Sicherheit 65 65 65 66 67 67 68 68 69 69 70 70 Kapitel 7: Konfiguration und Verwaltung Überblick Apple-ID „Mein iPhone suchen“ und Aktivierungssperre Continuity iCloud iCloud Drive iCloud-Schl
72 72 72 73 74 75 Verwaltete Bücher Verwaltete Domains Profilmanager Betreute Geräte Programm zur Geräteregistrierung Apple Configurator 76 76 76 76 77 77 77 78 79 80 80 80 80 81 81 Kapitel 8: Verteilung von Apps und Büchern 83 83 83 83 84 84 84 84 Kapitel 9: Planung für Support 85 85 85 85 86 88 90 91 92 93 93 Kapitel 10: Anhänge Überblick Programm für Volumenlizenzen (VPP) Überblick Registrieren für das Programm für Volumenlizenzen (VPP) Erwerben von Apps und Büchern in großer Stückzahl Verwalt
iOS Implementierung – Referenz 1 Einführung Dieses Referenzhandbuch richtet sich an alle IT-Administratoren, die iOS-Geräte in ihren Netzwerken unterstützen möchten. Es enthält Informationen zur Bereitstellung und Unterstützung von iPad, iPhone und iPod touch in großen Unternehmen oder Bildungseinrichtungen.
Sicherheitsbedenken iOS wurde gezielt unter dem Gesichtspunkt des sicheren Zugriffs auf Unternehmensdienste und des Schutzes wichtiger Daten entwickelt. iOS bietet die starke Verschlüsselung für die Daten während der Übertragung, bewährte Authentifizierungsmethoden für den Zugriff auf Unternehmensdienste sowie die Hardwareverschlüsselung für alle auf iOS-Geräten gespeicherten Daten. Dieser Abschnitt enthält eine Übersicht über die sicherheitsrelevanten Funktionen von iOS.
Implementierungsmodelle 2 Überblick Es gibt mehrere Möglichkeiten, iOS-Geräte zu verteilen und einzurichten – von der vorgefertigten Konfiguration bis hin zur Self-Service-Konfiguration durch Mitarbeiter oder Schüler/Studenten. Schauen Sie sich zunächst die verschiedenen Möglichkeiten an. Die Werkzeuge und Vorgehensweise für die Implementierung hängen auch vom jeweiligen Implementierungsmodell ab.
Es folgen Beispiele dafür, wie diese Modelle in einer typischen Bildungseinrichtung angewendet werden: •• Eine Grundschule kann ein Eins-zu-Eins-Modell (Eigentum der Einrichtung) für alle Klassenstufen planen und implementieren. •• Ein Schulbezirk kann zunächst ein Eins-zu-Eins-Modell (Eigentum der Einrichtung) an nur einer weiterführenden Schule und in einem zweiten Schritt identische Modelle für den gesamten Bezirk implementieren.
Nachdem die iOS-Geräte verteilt wurden, durchlaufen die Benutzer einen optimierten und assistierten Konfigurationsprozess, in dessen Verlauf sie automatisch bei MDM registriert werden; danach können sie ihre iOS-Geräte weiter anpassen oder eigene Inhalte laden. Benutzer können auch eine Einladung empfangen, bestimmte Bildungsinhalte zu laden, z. B. iTunes U-Kurse oder Apps und Bücher, die über das Programm für Volumenlizenzen (VPP) erworben wurden.
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers bei einer Eins-zu-Eins-Implementierung (Eigentum der Einrichtung): Vorbereiten Administrator: •• Prüfen, beschaffen und implementieren Sie eine MDM-Lösung. •• Registrieren Sie sich bei DEP, VPP und dem Programm „Apple-ID für Schüler“ (Apple ID for Students). •• Packen Sie das iOS-Gerät aus und versehen Sie es (optional) mit einem Geräteetikett.
Weitere Ressourcen •• VPP Überblick •• MDM Überblick •• Programm zur Geräteregistrierung •• Apple-ID für Schüler •• Apple-ID •• Caching-Server •• AirPlay •• Apple Configurator Eigentum der lernenden Person An weiter führenden Schulen haben Schüler oft bereits ein eigenes iOS-Gerät. Vereinzelt gibt es auch Grundschulen, an denen die Schüler ihre eigenen iOS-Geräte mit in die Schule bringen.
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers bei einer angepassten Implementierung (Eigentum der lernenden Person): Vorbereiten Administrator: •• Prüfen, beschaffen und implementieren Sie eine MDM-Lösung. •• Registrieren Sie sich beim VPP. Benutzer: •• Packen Sie das iOS-Gerät aus und aktivieren Sie es. •• Erstellen Sie Apple-IDs, iTunes Store- und iCloud-Accounts, sofern zutreffend.
Weitere Ressourcen •• VPP Überblick •• MDM Überblick •• Apple-ID •• Caching-Server Gemeinsame Nutzung Bei einer gemeinsam genutzten Implementierung werden iOS-Geräte zur Verwendung in einem Unterrichtsraum oder Computerlabor gekauft und können von den lernenden Personen tagsüber gemeinsam genutzt werden. Bei diesen Geräten ist die Anpassung beschränkt, weshalb nicht alle Vorteile einer angepassten Lernumgebung für jeden Lernenden geboten werden.
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers bei einer gemeinsam genutzten Implementierung: Vorbereiten Administrator: •• Prüfen, beschaffen und implementieren Sie eine MDM-Lösung. •• Registrieren Sie sich beim VPP. •• Packen Sie das iOS-Gerät aus und versehen Sie es (optional) mit einem Geräteetikett. •• Erstellen Sie die Apple-ID(s) der Einrichtung für jede Instanz von Apple Configurator. Benutzer: •• In dieser Phase ist keine Aktion erforderlich.
Weitere Ressourcen •• VPP Überblick •• MDM Überblick •• Apple-ID •• Apple Configurator Implementierungsmodelle für Unternehmen Überblick iOS-Geräte können Ihre Geschäftsprozesse nachhaltig zum Positiven verändern. Sie können die Produktivität signifikant erhöhen und Ihren Mitarbeitern die Möglichkeit und Flexibilität bieten, neue Arbeitsmethoden einzusetzen, sei es im Büro oder unterwegs. Diese neuen Arbeitsabläufe bieten Vorteile für die gesamte Organisation.
Angepasstes Gerät (BYOD) Bei einer BYOD-Implementierung (Bring your own device) richten die Benutzer ihre privaten iOS-Geräte unter Verwendung ihrer eigenen Apple-ID ein. Für den Zugriff auf geschäftliche Ressourcen können die Benutzer Einstellungen manuell konfigurieren, ein Konfigurationsprofil installieren oder (häufiger verwendet) das iOS-Gerät mit der MDM-Lösung Ihrer Organisation registrieren.
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers bei einer angepassten Geräteimplementierung (BYOD): Vorbereiten Administrator: •• Analysieren Sie Ihre vorhandene Infrastruktur, einschließlich WLAN und VPN sowie Mailund Kalenderserver. •• Prüfen, beschaffen und implementieren Sie eine MDM-Lösung. •• Registrieren Sie sich beim VPP. Benutzer: •• Packen Sie das iOS-Gerät aus und aktivieren Sie es.
Weitere Ressourcen •• VPP Überblick •• MDM Überblick •• Apple-ID •• Caching-Server Angepasstes Gerät (Eigentum des Unternehmens) Sie können das angepasste Gerätemodell verwenden, um im Besitz Ihres Unternehmens befindliche iOS-Geräte zu implementieren. Sie können die iOS-Geräte mit grundlegenden Einstellungen konfigurieren, bevor Sie sie an die Benutzer übergeben, oder (wie bei BYOD) Anweisungen oder Konfigurationsprofile bereitstellen, die die Benutzer selbst anwenden.
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers bei einer angepassten Geräteimplementierung (Eigentum des Unternehmens): Vorbereiten Administrator: •• Analysieren Sie Ihre vorhandene Infrastruktur, einschließlich WLAN und VPN sowie Mailund Kalenderserver. •• Prüfen, beschaffen und implementieren Sie eine MDM-Lösung. •• Registrieren Sie sich für das Programm zur Geräteregistrierung (DEP) und das Programm für Volumenlizenzen (VPP).
Laufende Verwaltung Administrator: •• Ziehen Sie Apps nach Bedarf per MDM zurück und weisen Sie sie anderen Benutzern zu. •• Mit MDM können Sie verwaltete iOS-Geräte abfragen, um die Einhaltung von Richtlinien bzw. Vorgaben zu überwachen oder Warnungen auszulösen, wenn Benutzer nicht genehmigte Apps oder Inhalte hinzufügen. •• MDM kann auch iOS-Geräte sperren, beliebige verwaltete Accounts oder Daten entfernt löschen oder iOS-Geräte vollständig löschen.
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers bei einer nicht angepassten Geräteimplementierung (gemeinsam genutzt): Vorbereiten Administrator: •• Analysieren Sie Ihre vorhandene Infrastruktur, einschließlich WLAN und VPN sowie Mailund Kalenderserver. •• Prüfen, beschaffen und implementieren Sie eine MDM-Lösung. •• Registrieren Sie sich für das Programm für Volumenlizenzen (VPP). Benutzer: •• In dieser Phase ist keine Aktion erforderlich.
Laufende Verwaltung Administrator: •• Aktualisieren Sie iOS auf dem Gerät mit Apple Configurator. •• Aktualisieren, konfigurieren und installieren Sie Accounts, Einstellungen und Einschränkungen drahtlos mit Apple Configurator oder MDM. •• Setzen Sie die Geräte regelmäßig mithilfe von Apple Configurator auf die Standardkonfiguration zurück. •• Installieren und aktualisieren Sie Apps auf dem Gerät mit Apple Configurator.
WLAN 3 Überblick Beim Vorbereiten der WLAN-Infrastruktur für die Implementierung von Apple-Geräten müssen mehrere Faktoren berücksichtigt werden: •• WLAN-Durchsatz •• WLAN-Auslöseschwelle •• Erforderlicher Abdeckungsbereich •• Anzahl und Dichte der Geräte, die das WLAN-Netzwerk nutzen •• Typen von Apple-Geräten und deren WLAN-Eigenschaften •• Arten und Umfang der übertragenen Daten •• Sicherheitsanforderungen für den Zugriff auf das drahtlose Netzwerk •• Verschlüsselungsanforderungen Dies
WLAN-Zugriff Benutzer können festlegen, dass Apple-Geräte automatisch auf verfügbare WLAN-Netzwerke zugreifen. WLAN-Netzwerke, die Anmeldedaten oder andere Informationen verlangen, sind über die WLAN-Einstellungen oder innerhalb von Apps wie Mail schnell zugänglich, ohne dass eine separate Browsersitzung gestartet werden muss. Und dank der Möglichkeit, ohne hohen Stromverbrauch Verbindungen mit WLAN-Netzwerken aufrechtzuerhalten, können Apps PushBenachrichtigungen per WLAN ausliefern.
802.11r optimiert den Authentifizierungsprozess mit der Funktion Fast Basic Service Set Transition (FT), bei der sich Ihr iOS-Gerät per Roaming mit einem anderen Zugangspunkt im selben Netzwerk verbindet. FT ermöglicht es iOS-Geräten, sich schneller mit Zugangspunkten zu verbinden. Abhängig vom Hersteller der WLAN-Hardware, können Preshared Key (PSK) und 802.1X als Authentifizierungsmethoden verwendet werden. Hinweis: Nicht alle Hersteller von WLAN-Hardware unterstützen 802.11k und 802.11r.
Planen der Abdeckung und der Kapazität Die WLAN-Abdeckung am Nutzungsort von Apple-Geräten ist natürlich wichtig. Aber auch die Gerätedichte in einem bestimmten Areal muss geplant werden, um die korrekte Kapazität sicherzustellen. Die meisten modernen Zugangspunkte, wie sie in Unternehmen eingesetzt werden, können bis zu 50 WLAN-Clients (oder sogar mehr Clients) unterstützen. Allerdings wäre das Benutzererlebnis sicherlich enttäuschend, wenn tatsächlich so viele Geräte einen einzelnen 802.
Mögliche Designs Es gibt im Wesentlichen drei Möglichkeiten, für die Auslegung Ihrer WLAN-Netzwerke. Design für die optimale Abdeckung Die Raumaufteilung in einem Gebäude kann sich auf das WLAN-Netzwerkdesign auswirken. Beispiel: In kleinen Unternehmensumgebungen können sich Benutzer in Konferenzräumen oder Büros treffen. Infolgedessen bewegen sich die Benutzer den ganzen Tag im Gebäude.
In bestimmten Fällen ist es von Vorteil, mehrere SSIDs zu unterschiedlichen Zwecken zu erstellen. Beispielsweise könnte ein Gastnetzwerk erforderlich sein. Es sollte aber darauf geachtet werden, dass nicht zu viele SSIDs erstellt werden, da die zusätzlichen SSIDs zusätzliche Bandbreite erfordern. Design für Programme Apple-Produkte verwenden die Multicast-Netzwerkfunktionalität für Dienste wie AirPlay und AirPrint. Deshalb sollte die Multicast-Unterstützung Teil der konzeptionellen Planung sein.
Modell 802.11-Kompatibilität und Frequenzband Maximale Übertragungsrate Räumliche Ströme MCSIndex Kanalbreite Schutzintervall iPad Air 2 802.11ac/n/a bei 5 GHz 866 Mbps 2 9 (VHT) 80 MHz 400 ns 802.11 n/g/b bei 2,4 GHz iPad mini 3 802.11n bei 2,4 GHz und 5 GHz 15 (VHT) 300 Mbps 2 15 (VHT) 40 MHz 400 ns 433 Mbps 1 9 (VHT) 80 MHz 400 ns 802.11a/b/g iPhone 6 Plus 802.11ac/n/a bei 5 GHz iPhone 6 802.11 n/g/b bei 2,4 GHz iPhone 5s iPhone 5c 802.
Infrastruktur und Integration 4 Überblick iOS unterstützt eine ganze Reihe von Netzwerkinfrastrukturen, u. a.
•• Exchange Server 2007 SP 1 (EAS 12.1) •• Exchange Server 2007 (via EAS 2.5) Microsoft Exchange Funktion für die automatische Ermittlung (Autodiscovery) iOS und OS X unterstützen den Dienst von Microsoft Exchange Server 2007 oder neuer für die automatische Ermittlung (Autodiscovery). Wenn ein Apple-Gerät manuell konfiguriert wird, verwendet dieser Dienst die angegebene E-Mail-Adresse und das angegebene Passwort, um die richtigen Exchange Server-Informationen zu ermitteln.
Ermittlung von iOS Versionen mit Exchange Wenn ein iOS-Gerät eine Verbindung zu einem Exchange Server herstellt, übermittelt das Gerät seine iOS-Version. Die Versionsnummer wird im Feld „User-Agent“ im Kopfteil der Anfrage gesendet und hat das folgende Format:„Apple-iPhone2C1/705.018“. Die Zahl nach dem Trennzeichen (/) ist die iOS-Build-Nummer, die jedes iOS-Release eindeutig identifiziert. Wählen Sie zum Anzeigen der Build-Nummer auf einem Gerät „Einstellungen“ > „Allgemein“ > „Über“.
Bonjour verwendet Multicast-Datenverkehr, um die Verfügbarkeit von Diensten zu publizieren. Multicast-Datenverkehr wird gewöhnlich nicht weitergeleitet. Stellen Sie daher sicher, dass sich Apple TV-Geräte oder AirPrint-Drucker im gleichen IP-Teilnetz befinden wie die iOS-Geräte, die darauf zugreifen. Wenn Ihr Netzwerk größer ist und viele IP-Teilnetze nutzt, sollten Sie die Verwendung eines Bonjour-Gateways in Erwägung ziehen.
•• Stellen Sie Apple TV-Geräte nicht hinter Objekte bzw. montieren Sie sie nicht hinter Objekten, durch die die BTLE- und WLAN-Signale gestört werden können. •• Wenn ein Apple TV-Gerät an der Wand oder einer anderen Oberfläche befestigt wird, muss es mit dem Standfuß zur Oberfläche montiert werden. •• Wenn Peer-to-Peer-AirPlay vom AirPlay-Sender oder vom AirPlay-Empfänger nicht unterstützt wird, wird automatisch die Infrastrukturverbindung verwendet.
Wenn Sie die Option „Geräteüberprüfung erforderlich“ aktivieren (erfordert ein iOS-Gerät mit iOS 7.1 oder neuer oder einen Mac-Computer mit OS X Mavericks Version 10.9.2 oder neuer), muss sich das iOS-Gerät oder der Mac bei der anfänglichen AirPlay-Verbindung authentifizieren. Diese Option ist nützlich, wenn Apple TV in einem offenen WLAN-Netzwerk implementiert wird. Damit iOS-Geräte und Mac-Computer sicher gekoppelt werden, wird der Benutzer aufgefordert, einen angezeigten Einmalcode einzugeben.
Digitale Zertifikate Apple-Geräte unterstützen digitale Zertifikate und Identitäten und ermöglichen Ihrer Organisation so einen effizienten Zugang zu Unternehmensdiensten. Diese Zertifikate lassen sich auf unterschiedliche Weise verwenden. Beispiel: Der Safari Browser kann die Gültigkeit eines digitalen X.509 Zertifikats prüfen und eine sichere Sitzung mit bis zu 256-Bit AES-Verschlüsselung einleiten. Dabei wird u. a.
Zertifikate verteilen und installieren Die manuelle Verteilung von Zertifikaten an iOS-Geräte ist einfach. Beim Empfang eines Zertifikats können die Benutzer durch einfaches Tippen den Inhalt anzeigen und lesen und danach durch nochmaliges Tippen das Zertifikat zu ihrem Gerät hinzufügen. Wenn ein Identitätszertifikat installiert wird, werden die Benutzer zur Eingabe des Passworts aufgefordert, das als Schutz der Identität dient.
Bei iOS 7 oder neuer können Apps die vorhandene interne Infrastruktur für die Gesamtauthentifizierung über Kerberos nutzen. Das von iOS 7 oder neuer verwendete KerberosAuthentifizierungssystem ist ein Standardsystem und die am häufigsten implementierte Technologie für die Gesamtauthentifizierung weltweit. Wenn Active Directory, eDirectory oder Open Directory verwendet werden, ist sehr wahrscheinlich ein Kerberos-System installiert, das iOS 7 oder neuer nutzen kann.
iOS und OS X unterstützen das Protokoll SSL VPN gängiger VPN-Anbieter. Wie andere in iOS und OS X unterstützte VPN-Protokolle kann SSL VPN entweder manuell auf dem Apple-Gerät, über ein Konfigurationsprofil oder mithilfe von MDM eingerichtet werden. iOS und OS X unterstützen auch standardkonforme Technologien wie IPv6, Proxy-Server und Split-Tunneling und ermöglichen damit eine leistungsstarke VPN-Kommunikation bei der Verbindung zu Unternehmensnetzwerken.
Zu den SSL VPN-Lösungen gehören: •• AirWatch SSL VPN: Weitere Informationen finden Sie unter AirWatch-Website. •• Aruba Networks SSL VPN: iOS unterstützt den Aruba Networks Mobility Controller. Zur Konfiguration wird die im App Store verfügbare Aruba Networks VIA App eingesetzt. Kontaktinformationen sind auf der Aruba Networks-Website zu finden. •• Check Point Mobile SSL VPN: iOS unterstützt das Check Point Sicherheits-Gateway über einen vollständigen Layer-3 VPN-Tunnel.
•• Verwenden Sie die Einstellung „Auto“, um das Gerät mit einer Datei zur automatischen Proxykonfiguration mittels PAC oder WPAD zu versehen. Geben Sie für PACS die URL der PACS- oder JavaScript-Datei an. Für WPAD ruft iOS über DHCP und DNS die entsprechenden Einstellungen ab. Die VPN-Proxykonfiguration wird verwendet, wenn das VPN Folgendes bereitstellt: •• Den Standardauflöser und die Standardroute: Der VPN-Proxy wird für alle Webanforderungen auf dem System verwendet.
•• Das Zertifikat der Zertifizierungsinstanz, die das Zertifikat des Servers signiert hat, muss auf dem Gerät installiert sein. Handelt es sich dabei nicht um ein Root-Zertifikat, müssen Sie den übrigen Teil der Zertifikatkette (Chain of Trust) installieren, damit das Zertifikat als vertrauenswürdig gilt.
•• Split DNS: Unterstützt. •• Default Domain: Unterstützt. VPN auf App-Basis In iOS und OS X können VPN-Verbindungen auf App-Basis hergestellt werden. Dadurch kann gezielt gesteuert werden, welche Daten über das VPN übertragen werden. Bei einem VPN auf Gerätebasis werden alle Daten unabhängig von ihrem Ursprung über das VPN übertragen. Die Möglichkeit, den Datenverkehr auf App-Ebene zu trennen, ermöglicht die Trennung privater Daten und organisationseigener Daten.
•• Erkennen, wann ein unbekanntes WLAN verwendet wird und ein VPN für alle Netzwerkvorgänge erforderlich ist. •• Erzwingen von VPN, wenn die DNS-Anfrage nach einem bestimmten Domainnamen fehlschlägt. Etappen VPN ON Demand stellt die Verbindung zu Ihrem Netzwerk in zwei Stufen her. Netzwerkerkennung Die VPN On-Demand Regeln werden ausgewertet, wenn sich die primäre Netzwerkschnittstelle des Geräts ändert.
•• URLStringProbe: Optional. Ein Server, dessen Erreichbarkeit geprüft werden soll. Es wird keine Umleitung unterstützt. Die URL muss auf einen vertrauenswürdigen HTTPS Server verweisen. Das Gerät sendet eine GET-Anfrage, um zu prüfen, ob der Server erreichbar ist. Action Dieser erforderliche Schlüssel definiert das VPN-Verhalten für den Fall, dass alle angegebenen Abgleichregeln bei der Auswertung „Wahr“ ergeben.
„OnRetry“ und „Never“ werden unter iOS 7 (oder neuer) weiterhin unterstützt, es sollte aber bevorzugt die neuere Aktion „EvaluateConnection“ verwendet werden. Verwenden Sie zum Erstellen eines Profils, das sowohl unter iOS 7 als auch unter älteren Versionen funktionieren soll, die neuen Schlüssel „EvaluateConnection“ zusätzlich zu den OnDemandMatchDomain-Arrays.
Die Konfiguration permanenter VPNs unterstützt die folgenden Implementierungsmodelle, die unterschiedliche Lösungsanforderungen erfüllen. Geräte nur mit Mobilfunk Wenn Ihre Organisation ein permanentes VPN auf iOS-Geräten nur mit Mobilfunk implementieren möchte (WLAN-Schnittstelle entfernt oder deaktiviert), wird über die IP-Schnittstelle für den Mobilfunk ein IKEv2-Tunnel zwischen jedem Gerät und dem IKEv2-Server aktiviert. Dies entspricht dem herkömmlichen VPN-Modell.
Konfigurationsprofil für permanentes VPN Ein Konfigurationsprofil für ein permanentes VPN kann entweder manuell mit einem der Editoren für Apple-Konfigurationsprofile (z. B. Profilmanager, Apple Configurator) oder mit einem Editor eines anderen MDM-Anbieters erstellt werden. Weitere Informationen finden Sie unter Profilmanager-Hilfe oder Apple Configurator-Hilfe.
Array für die Tunnelkonfiguration auf Schnittstellenbasis Es ist mindestens eine Tunnelkonfiguration im Array „TunnelConfigurations“ erforderlich (die für reine Mobilfunkgeräte auf die Mobilfunkschnittstelle und für Mobilfunkgeräte mit WLAN auf die Mobilfunk- und WLAN-Schnittstelle angewendet wird). Es können maximal zwei Tunnelkonfigurationen (eine für Mobilfunkschnittstellen und eine für WLAN-Schnittstellen) einbezogen werden.
Internetdienste 5 Überblick Die Internetdienste von Apple sind mit denselben Sicherheitszielsetzungen entwickelt worden, die für die iOS-Plattform insgesamt gelten. Dazu zählen die sichere Verarbeitung von Daten (unabhängig davon, ob sie auf dem iOS-Gerät gespeichert sind oder über Funknetzwerke übertragen werden), der Schutz der privaten Daten des Benutzers sowie der Schutz vor unbefugten Zugriffen auf Daten und Dienste.
Zur optimalen Nutzung dieser Dienste sollten die Benutzer eigene Apple-IDs haben. Benutzer, die noch keine Apple-ID haben, können eine Apple-ID erstellen, noch bevor sie ein Apple-Gerät erhalten. Alternativ können sie nach Erhalt des Geräts den Systemassistenten verwenden, um ohne großen Aufwand eine Apple-ID direkt auf ihren iOS-Geräten zu erstellen. Apple-IDs können auch ohne Kreditkarte erstellt werden.
Wichtig: Standardmäßig wird bei betreuten Geräten die Aktivierungssperre nie aktiviert, auch wenn der Benutzer „Mein iPhone suchen“ aktiviert. Allerdings kann ein MDM-Server einen Umgehungscode abrufen und die Aktivierungssperre auf dem Gerät erlauben. Wenn „Mein iPhone suchen“ zu dem Zeitpunkt aktiviert ist, an dem der MDM-Server die Aktivierungssperre aktiviert, wird die Aktivierungssperre an diesem Punkt aktiviert.
AirDrop Mit AirDrop können Sie zwischen Macs mit OS X Mavericks oder neuer und iOS-Geräten mit iOS 8 oder neuer drahtlos Dateien austauschen, ohne dass ein WLAN-Netzwerk benötigt wird. AirDrop kann in jedem Freigabemenü und in der Finder-Seitenleiste auf dem Mac verwendet werden. iCloud Mit iCloud können Benutzer persönliche Inhalte wie Kontakte, Kalender, Dokumente und Fotos speichern und auf mehreren iOS-Geräten und/oder Mac-Computern auf dem neuesten Stand halten.
iCloud-Schlüsselbund Der iCloud-Schlüsselbund aktualisiert Passwörter für Websites in Safari und für WLAN-Netzwerke auf allen iOS-Geräten und Mac-Computern, auf denen iCloud eingerichtet wurde. Er kann Passwörter für andere unterstützte Apps speichern. Der iCloud-Schlüsselbund speichert auch Kreditkarteninformationen, die Sie in Safari speichern, damit Safari sie auf Ihren iOS-Geräten und dem Mac automatisch einsetzen kann.
FaceTime FaceTime ist der Dienst von Apple für Video- und Audioanrufe. Für FaceTime-Anrufe wird der Apple-Dienst für Push-Benachrichtigungen zum Herstellen der Verbindung verwendet. Anschließend wird der verschlüsselte Stream mithilfe von Internet Connectivity Establishment (ICE) und Session Initiation Protocol (SIP) erstellt. Benutzer können mit FaceTime zwischen Geräten kommunizieren, die iOS oder OS X verwenden.
Apple-Dienst für Push-Benachrichtigungen (APNs) Viele Dienste verwenden den Apple-Dienst für Push-Benachrichtigungen (APNs). Der APNs hat wesentlichen Anteil daran, wie Apple-Geräte Aktualisierungen, MDM-Richtlinien und eingehende Nachrichten erhalten. Damit Ihre Apple-Geräte diese Dienste verwenden können, müssen Sie Netzwerkverkehr von diesen Geräten an das Apple-Netzwerk (17.0.0.8) an Port 5223 mit Port 443 als Ausweichoption erlauben.
Sicherheit 6 Überblick iOS und OS X umfassen mehrere Sicherheitsebenen. Dadurch können Apple-Geräte sicher auf Netzwerkdienste zugreifen und wichtige Daten schützen. iOS und OS X bieten sicheren Schutz außerdem auch durch die Verwendung von Richtlinien für Codes und Passwörter, die mit MDM übermittelt und durchgesetzt werden können.
•• Mindestanzahl von komplexen Zeichen •• Maximale Gültigkeitsdauer für Codes •• Zeit bis zur automatischen Sperre •• Codeverlauf •• Nachfrist für Gerätesperre •• Maximale Anzahl fehlgeschlagener Versuche, bevor das iOS-Gerät gelöscht wird Umsetzung von Richtlinien Sie können Richtlinien in einem Konfigurationsprofil verteilen, das die Benutzer installieren.
Datenschutz Auf dem Gerät gespeicherte vertrauliche Daten wie E-Mails und Anhänge können mit den in iOS integrierten Datenschutzfunktionen zusätzlich geschützt werden. Für den Schutz der Daten nutzen iOS-Geräte den eindeutigen Gerätecode zusammen mit der Hardwareverschlüsselung, um einen sicheren Schlüssel zu erstellen. Dies verhindert den Zugriff auf Daten, wenn das Gerät gesperrt ist, und sorgt dafür, dass geschäftskritische Daten selbst bei Verlust oder Diebstahl des Gerätes geschützt sind.
Zertifikate für die Verwendung mit S/MIME können mit einem Konfigurationsprofil, MDM oder SCEP an Apple-Geräte übermittelt werden. Das gibt der IT die notwendige Flexibilität, um sicherzustellen, dass Benutzer die passenden Zertifikate installiert haben. Externe E-Mail-Adressen iOS 8 und OS X Yosemite unterstützen die Erstellung einer Domainliste mit bestimmten Suffixen. E-Mails, die nicht an Domains in der genehmigten Liste adressiert sind, werden rot markiert. Zum Beispiel könnte ein Benutzer „example.
Fernlöschen Apple-Geräte unterstützen das Löschen per Fernzugriff. Geht ein Apple-Gerät verloren oder wird es gestohlen, kann der Administrator oder Eigentümer des Geräts mithilfe einer MDM-Lösung oder der iCloud-Funktion „Mein iPhone suchen“ den Befehl „Fernlöschen“ ausgeben, der alle Daten entfernt und das Gerät deaktiviert.
WPA/WPA2 iOS und OS X unterstützen WPA2 Enterprise, um den authentifizierten Zugriff auf Ihr drahtloses Unternehmensnetzwerk zu ermöglichen. WPA2 Enterprise verwendet eine AES-Verschlüsselung mit 128 Bit, sodass die Benutzerdaten bei der Übertragung über eine WLAN-Netzwerkverbindung geschützt sind. Da Apple-Geräte den Standard 802.1X unterstützen, lassen sie sich in eine Vielzahl von RADIUS-Authentifizierungsumgebungen integrieren. iOS und OS X unterstützen folgende 802.
Framework für die sichere Authentifizierung iOS und OS X bieten einen sicheren verschlüsselten Schlüsselbund für die Speicherung digitaler Identitäten, Benutzernamen und Passwörter. Schlüsselbunddaten werden partitioniert und mit Zugriffssteuerungslisten (Access Control Lists, ACLs) geschützt, sodass eine App mit einer anderen Identität nicht auf die von Apps anderer Anbieter gespeicherten Anmeldedaten zugreifen kann, sofern der Benutzer dies nicht ausdrücklich erlaubt.
Konfiguration und Verwaltung 7 Überblick Sie können die Implementierung von Apple-Geräten mit Verwaltungsmethoden beschleunigen, mit denen sich die Accountkonfiguration, die Konfiguration verbindlicher Richtlinien, die Verteilung von Apps und die Umsetzung von Einschränkungen vereinfachen lassen. Sie können die Einstellungen für iOS und OS X und -Accounts manuell oder drahtlos mit einer MDM-Lösung konfigurieren.
•• Touch ID (nur iOS): Touch ID wird nicht aktiviert. •• Code (nur iOS): Die Codekonfiguration wird übersprungen. •• Apple Pay (nur iOS): Apple Pay wird nicht aktiviert. •• Siri (nur iOS): Siri wird nicht aktiviert. •• Anzeigezoom (nur iOS): Anzeigezoom wird nicht aktiviert. •• Registrierung (nur OS X): Registrierung wird nicht zugelassen. •• FileVault (nur OS X): FileVault wird nicht aktiviert.
Mobile Device Management (MDM) Überblick Die Unterstützung für MDM in iOS und OS X ermöglicht es der IT, skalierte Implementierung von Apple-Geräten organisationsübergreifend sicher zu konfigurieren und verwalten. iOS und OS X besitzen dafür ein integriertes MDM-Framework, über das MDM-Lösungen drahtlos mit Apple-Geräten interagieren. Dieses flexible Framework wurde für Apple-Geräte konzipiert und ist äußerst leistungsfähig und skalierbar.
MDM ermöglicht Ihrer IT-Abteilung die sichere Registrierung von Geräten privater Eigentümer bzw. von Geräten, die der Organisation gehören. Mit einer MDM-Lösung können Sie Einstellungen konfigurieren und aktualisieren, die Einhaltung von Unternehmensrichtlinien überwachen und verwaltete Apple-Geräte per Fernzugriff löschen oder sperren. MDM ermöglicht auch die Verteilung, Verwaltung und Konfiguration von Apps und Büchern, die über das Programm für Volumenlizenzen gekauft oder intern entwickelt wurden.
Konfigurationsprofile können signiert, verschlüsselt und geschützt werden. Dies verhindert, dass Einstellungen verändert oder an Dritte weitergegeben werden. So können nur vertrauenswürdige Benutzer und Apple-Geräte, die den Vorgaben entsprechend konfiguriert sind, auf das Netzwerk und die Dienste einer Organisation zugreifen. Wenn ein Benutzer die Zuordnung seines Geräts zu MDM aufhebt, werden alle über MDM installierten Einstellungen gelöscht.
Verwaltungsaufgaben Verwaltete iOS-Geräte können vom MDM-Server durch eine Reihe spezifischer Aufgaben verwaltet werden. Zu den Verwaltungsaufgaben gehören: •• Ändern von Konfigurationseinstellungen: Es kann ein Befehl gesendet werden, um ein neues oder ein aktualisiertes Konfigurationsprofil auf einem Apple-Gerät zu installieren. Konfigurationsänderungen erfolgen unbeaufsichtigt ohne Benutzerinteraktion.
Die Installation von VPP-Apps kann auf die folgenden Arten erfolgen: •• Benutzer mit einem privaten Apple-Gerät werden von MDM aufgefordert, die App aus dem App Store unter Verwendung ihrer Apple-ID zu installieren. •• Bei betreuten iOS-Geräten im Eigentum der Institution, die bei MDM registriert sind, wird die App unbeaufsichtigt installiert.
•• iCloud-Dokumentverwaltung: Diese Einschränkung hindert verwaltete Apps daran, Daten in iCloud zu speichern. Daten, die von einer verwalteten App erstellt oder verwendet werden, können nicht in iCloud gespeichert werden. Daten, die vom jeweiligen Benutzer in nicht verwalteten Apps erstellt werden, können hingegen in iCloud gespeichert werden.
Profilmanager umfasst drei Komponenten: •• Drahtlose Konfiguration von Apple-Geräten Sie können die Konfiguration von Apple-Geräten optimieren, die sich im Eigentum Ihrer Bildungseinrichtung oder Organisation befinden. Sie können Geräte während der Aktivierung bei MDM registrieren und grundlegende Konfigurationsschritte überspringen, damit Benutzer die Geräte schnell in Betrieb nehmen und nutzen können.
Programm zur Geräteregistrierung Das Programm zur Geräteregistrierung (Device Entrollment Program, DEP) unterstützt eine schnelle optimierte Methode für die Bereitstellung von Apple-Geräten, die Ihre Organisation direkt bei Apple oder bei teilnehmenden autorisierten Apple-Händlern erworben hat. Apple-Geräte können (bevor die Benutzer sie erhalten) automatisch in MDM registriert werden, ohne sie physisch berühren oder vorbereiten zu müssen.
Apple-Implementierungsprogramme nach der Bestellnummer zugewiesen werden. Geräte können innerhalb dieser Bestellungen auch nach Typ und Seriennummer gesucht werden. Nach dem Versand neu bestellter Geräte können Sie diese auf der DEP-Website suchen und sie automatisch einem bestimmten MDM-Server zuweisen. Wenn beispielsweise eine iPad-Bestellung über 5000 Stück aufgegeben wird, können Sie anhand der Bestellnummer alle oder nur bestimmte iPad-Geräte einem vorhandenen autorisierten MDM-Server zuweisen.
Verteilung von Apps und Büchern 8 Überblick iOS beinhaltet eine Reihe von leistungsstarken integrierten Apps, mit denen die Benutzer in einer Organisation alltägliche Aufgaben einfach erledigen können. Dazu zählen Verwaltung von E-Mails, Kalendern und Kontakten sowie das Surfen im Web.
Das VPP für den Bildungsbereich ermöglicht App-Entwicklern, berechtigten Bildungseinrichtungen beim Kauf von mindestens 20 Apps Sonderkonditionen einzuräumen. Für Bücher sind keine Sonderkonditionen verfügbar. MDM-Lösungen können in das VPP integriert werden. Dies ermöglicht es Ihrer Organisation, Apps und Bücher in großer Stückzahl zu erwerben und sie bestimmten Benutzern oder Gruppen zuzuweisen.
Damit Benutzer an der verwalteten Verteilung über VPP teilnehmen können, müssen sie explizit eingeladen werden. Wenn ein Benutzer die Einladung akzeptiert, an der verwalteten Verteilung teilzunehmen, wird seine persönliche Apple-ID mit der Organisation verknüpft. Der Benutzer braucht seine Apple-ID nicht zu kommunizieren, und es muss auch keine spezielle Apple-ID für Benutzer erstellt und bereitgestellt werden. Für Accounts im Bildungsbereich können Sie Apple-IDs für Schüler unter 13 Jahren erstellen.
Interne Apps Sie können iOS-Apps für die Mitarbeiter Ihrer Organisation im Rahmen des iOS Developer Enterprise Program entwickeln. Dieses Programm bietet einen vollständigen und integrierten Prozess für das Entwickeln, Testen und Verteilen Ihrer iOS-Apps an Mitarbeiter innerhalb Ihrer Organisation.
Nachdem das Zertifikat und das Bereitstellungsprofil für die Verteilung im Unternehmen auf Ihrem Mac installiert sind, können Sie mithilfe von Xcode eine Version Ihrer App für die Produktion signieren. Ihr Zertifikat für die Verteilung im Unternehmen ist drei Jahre gültig. Sie können jeweils bis zu zwei gültige Zertifikate gleichzeitig haben. Wenn ein Zertifikat in Kürze abläuft, müssen Sie Ihre App mit einem verlängerten Zertifikat neu signieren und erstellen.
Für die Installation einer verwalteten App sendet der MDM-Server einen Installationsbefehl an das Apple-Gerät. Wenn die App aus dem App Store stammt, wird sie von Apple geladen und installiert. Handelt es sich um eine interne App, wird sie mithilfe Ihrer MDM-Lösung installiert. Auf nicht betreuten Geräten erfordern verwaltete Apps eine Bestätigung durch den Benutzer, bevor sie installiert werden.
Caching-Server unter OS X Server Yosemite hält für OS 7 oder neuer und OS X Mountain Lion 10.8.2 oder neuer die folgenden Arten von Inhalten im Cache vor: •• iOS-Softwareaktualisierung (iOS 8.
Planung für Support 9 Überblick Eine Implementierung von Apple-Geräten sollte Support beinhalten.
AppleCare für Unternehmen AppleCare für Unternehmen beinhaltet umfassenden Support für Hard- und Software für Ihr Unternehmen bzw. Ihre Bildungseinrichtung. Ihr AppleCare Accountmanager hilft Ihnen bei der Überprüfung Ihrer IT-Infrastruktur, kümmert sich um mögliche Probleme und liefert monatliche Aktivitätsberichte für Supportanrufe und Reparaturen. Sie erhalten für alle Hard- und Software von Apple Support für IT-Abteilungen per Telefon oder E-Mail.
Anhänge 10 Einschränkungen Überblick Apple-Geräte unterstützen die folgenden Richtlinien und Einschränkungen, die Sie konfigurieren können, um die Anforderungen der jeweiligen Organisation zu erfüllen. Abhängig von Ihrer MDM-Lösung können die Namen dieser Einschränkungen und Optionen geringfügig variieren. Hinweis: Nicht alle Einschränkungen sind für alle Apple-Geräte verfügbar.
•• Als neues Gerät einrichten oder von Backup wiederherstellen: Wenn diese Option ausgeschaltet ist, ist es Benutzern nicht möglich, zwischen beiden Möglichkeiten zu wählen. •• Benutzern erlauben, ihre Apple-ID einzugeben: Wenn diese Option ausgeschaltet ist, ist es Benutzern nicht möglich, ihre Apple-ID einzugeben. •• Benutzern erlauben, die Geschäftsbedingungen einzusehen: Wenn diese Option ausgeschaltet ist, ist es Benutzern nicht möglich, die Geschäftsbedingungen von Apple einzusehen.
•• FaceTime erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer keine Audio- oder -Videoanrufe mit FaceTime machen oder erhalten. •• Bildschirmfotos erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer kein Bildschirmfoto des Displays sichern. •• Automatische Synchronisierung beim Roaming erlauben: Wenn diese Option ausgeschaltet ist, werden Geräte beim Roaming nur synchronisiert, wenn vom Benutzer auf einen Account zugegriffen wird.
•• Bestimmte Bereiche der Systemeinstellungen beschränken: Wenn diese Option ausgeschaltet ist, können Sie auswählen, auf welche Objekte in den Systemeinstellungen der Benutzer zugreifen kann. Wenn ein Bereich nicht aufgeführt wird, überprüfen Sie, ob er auf dem Mac mit dem installierten Profilmanager installiert wurde. Standardmäßig ist sie ausgeschaltet. •• Bildschirmhintergrund sperren: Wenn diese Option aktiviert ist, kann der Benutzer den Bildschirmhintergrund nicht ändern.
•• Koppelung mit Computern zur Synchronisierung von Inhalten erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer ihr iOS-Gerät nur mit dem Mac mit Apple Configurator koppeln, über den das Gerät zuerst betreut wurde. •• AirDrop erlauben: Wenn diese Option ausgeschaltet ist, ist es Benutzern nicht möglich, AirDrop mit irgendwelchen Apps zu verwenden.
Einstellungen für Sicherheit und Privatsphäre Einstellungen für Sicherheit und Privatsphäre in iOS und OS X Die folgenden Einschränkungen für Sicherheit und Privatsphäre gelten sowohl für iOS als auch für OS X: •• Senden von Diagnosedaten an Apple erlauben: Wenn diese Option ausgeschaltet ist, werden keine Diagnosedaten für ein Gerät an Apple gesendet.
•• Code bei der ersten AirPlay Koppelung anfordern: Wenn diese Option ausgeschaltet ist, ist kein Code erforderlich, wenn ein Gerät erstmals für AirPlay gekoppelt wird. •• Beschränktes Ad-Tracking erzwingen: Wenn diese Option ausgeschaltet ist, können Apps die Werbekennung (eine nicht permanente Gerätekennung) verwenden, um dem Benutzer zielgerichtete Anzeigen zu präsentieren.
•• Einschränkungen für die App „Safari“: •• Verwendung von Safari erlauben: Wenn diese Option ausgeschaltet ist, wird die App des Webbrowsers Safari deaktiviert und das zugehörige Symbol aus dem Homescreen entfernt. Dies hindert Benutzer auch daran, Webclips zu öffnen. •• Bei betrügerischen Inhalten warnen: Wenn diese Option ausgeschaltet ist, versucht Safari nicht, Benutzer daran zu hindern, Websites zu besuchen, die als betrügerisch oder schadhaft eingestuft wurden.
Einschränkungen für Benutzer und Benutzergruppen im Profilmanager Diese Einstellungen sind standardmäßig für alle Benutzer und die Benutzergruppe „Jeder“ aktiviert. Sie sind standardmäßig für die Gruppe „Arbeitsgruppe“ und alle vom Administrator erstellten Benutzergruppen deaktiviert. Andere MDM-Lösungen können ähnliche Einstellungen verwenden, die Beschreibung der Einstellung kann jedoch abweichen.
Voraussetzungen: •• Eine iOS-App im .ipa-Format, die mit einem Bereitstellungsprofil des Unternehmens für die Produktion erstellt wurde. •• Eine XML Manifest-Datei, die in diesem Anhang beschrieben wird. •• Eine Netzwerkkonfiguration, die den Zugriff der Geräte auf einen iTunes-Server bei Apple ermöglicht. •• Die Verwendung von HTTPS bei iOS 7.1 oder neuer Die Installation der App ist sehr einfach. Benutzer laden die Manifest-Datei von Ihrer Website auf ihre iOS Geräte.
•• bundle-version: Die Bundle-Version der App in der in Ihrem Xcode-Projekt angegebenen Form. •• title: Der Name der App, der während des Ladevorgangs und der Installation angezeigt wird. Nur für Apps für den Zeitungskiosk – Es müssen folgende Felder ausgefüllt werden: •• newsstand-image: Ein PNG-Bild in voller Größe zur Anzeige im Regal des Zeitungskiosks. •• UINewsstandBindingEdge und UINewsstandBindingType: Schlüssel, die der info.plist Ihrer App für den Zeitungskiosk entsprechen.
Fügen Sie für IIS die MIME-Typen auf der Seite „Eigenschaften“ des Servers mithilfe des IISManagers hinzu: .ipa application/octet-stream .plist text/xml Fehlerbeseitigung für die drahtlose Verteilung von Apps Schlägt die drahtlose Verteilung von Apps mit der Meldung, dass der Ladevorgang nicht gestartet werden kann, können Sie wie folgt vorgehen: •• Vergewissern Sie sich, dass die App korrekt signiert ist.
Falls Benutzer die App bereits verwenden, empfiehlt es sich, die Aktualisierung für die nächste Version der App so einzuplanen, dass diese das neue Bereitstellungsprofil enthält. Anderenfalls können Sie nur die neue .mobileprovision-Datei verteilen, sodass Benutzer die App nicht neu installieren müssen. Das neue Bereitstellungsprofil überschreibt das im Archiv der Apps vorhandene Profil.
kind software-package md5-size 10485760 subtitle Apple title Example Corporate App Weitere Informationen zu Profilschlüsseln und Attributen finden Sie unter Configuration Profile Key Reference.
