Distribuire iPhone e iPad Gestione dei dispositivi mobili (MDM)

Distribuire iPhone e iPad
Gestione dei dispositivi mobili
(MDM)
iOS supporta la gestione MDM (Mobile Device Management) dei dispositivi mobili, che
consente alle aziende di gestire distribuzioni di iPhone e iPad su larga scala all’interno
della propria organizzazione. Le funzioni MDM si basano sulle tecnologie già presenti
nella piattaforma iOS, come i profili di configurazione, la registrazione over-the-air e
il servizio di notifiche push di Apple. Inoltre si possono integrare in soluzioni server
in-house o di terze parti. Questo consente ai reparti IT di introdurre gli iPhone e iPad
negli ambienti aziendali in totale sicurezza, di configurare e aggiornare le impostazioni
dei dispositivi, di monitorare il rispetto dei criteri aziendali e di cancellare o bloccare i
dispositivi gestiti, il tutto in wireless.
Gestione di iPhone e iPad
La gestione dei dispositivi iOS avviene tramite la connessione a un server MDM
che può essere realizzato internamente dal reparto IT dell’azienda o acquistato
da un fornitore di terze parti. Il dispositivo si collega al server per verificare se ci
sono operazioni in sospeso e reagisce mettendo in atto le azioni più opportune. Le
operazioni possono riguardare l’aggiornamento dei criteri, la risposta a una richiesta di
informazioni sul dispositivo o su una rete oppure l’eliminazione di impostazioni o dati.
La maggior parte delle funzioni di gestione viene eseguita in background senza che sia
richiesto alcun intervento da parte dell’utente. Per esempio, se un reparto IT aggiorna
la propria infrastruttura VPN, il server MDM può configurare gli iPhone e iPad overthe-air con le nuove informazioni degli account. Al prossimo utilizzo della VPN sarà
già attiva la configurazione adeguata e il dipendente non avrà bisogno di chiamare
l’assistenza o di modificare le impostazioni manualmente.
Firewall
Servizio di notifiche
push di Apple
Server MDM di terze parti
2
MDM e il servizio notifiche push di Apple
Quando un server MDM vuole comunicare con un iPhone o iPad, tramite il servizio
di notifiche push di Apple viene inviata al dispositivo una notifica silenziosa con la
richiesta di mettersi in contatto con il server. Durante l’invio della notifica al dispositivo
non avviene alcuno scambio informazioni proprietarie con il servizio di notifiche push
di Apple. La notifica push si limita esclusivamente a riattivare il dispositivo in modo che
possa mettersi in contatto con il server MDM. Tutte le informazioni di configurazione, le
impostazioni e le interrogazioni vengono inviate direttamente dal server al dispositivo
iOS su una connessione SSL/TLS criptata. iOS gestisce tutte le richieste e le azioni MDM
in background così da limitare l’impatto su aspetti come la durata della batteria, le
prestazioni e l’affidabilità.
iOS e SCEP
iOS supporta il Simple Certificate Enrollment
Protocol (SCEP). SCEP è una bozza di standard
per internet della IETF ed è progettato per
semplificare la distribuzione di certificati su
larga scala. Questo consente la registrazione
over-the-air su iPhone e iPad di certificati
d’identità che possono essere usati per
autenticare l’accesso ai servizi aziendali.
Perché il server notifiche push riconosca i comandi del server MDM occorre prima
installare un certificato, che va richiesto e scaricato dall’Apple Push Certificates Portal.
Una volta caricato nel server MDM il certificato delle notifiche push Apple, si può
iniziare a registrare i dispositivi. Per maggiori informazioni su come richiedere un
certificato per le notifiche push di Apple per un server MDM, visita il sito
www.apple.com/business/mdm.
Impostazione della rete per il servizio notifiche push di Apple
Quando i server MDM e i dispositivi iOS sono protetti da un firewall, può essere
necessario configurare la rete in modo da consentire il corretto funzionamento del
servizio MDM. Per inviare notifiche da un server MDM al servizio notifiche push Apple,
la porta TCP 2195 deve essere aperta. Inoltre occorre aprire anche la porta TCP 2196 per
consentire di raggiungere il servizio di feedback. Per i dispositivi che si collegano
al servizio push via Wi-Fi, è necessario aprire la porta TCP 5223.
L’intervallo IP per il servizio push può variare, ma si suppone che il server MDM
si colleghi utilizzando il nome host anziché l’indirizzo IP. Il servizio push usa uno
schema di bilanciamento del carico che produce un diverso indirizzo IP per lo stesso
nome host. Il nome host è gateway.push.apple.com (e gateway.sandbox.push.apple.
com per l’ambiente di sviluppo notifiche push). In più, l’intero blocco di indirizzi
17.0.0.0/8 è assegnato a Apple, perciò si possono creare regole del firewall in modo
da specificare tale intervallo.
Per saperne di più consulta il tuo fornitore MDM o leggi il documento Developer
Technical Note TN2265 (in inglese) nella iOS Developer Library su http://developer.
apple.com/library/ios/#technotes/tn2265/_index.html.
Registrazione
Una volta configurati il server MDM e la rete, il primo passo per gestire un iPhone
o iPad consiste nel registrarlo con un server MDM. In questo modo si crea una
relazione tra il dispositivo e il server, così è possibile gestirlo su richiesta senza
interagire con l’utente.
Questo passaggio può avvenire collegando l’iPhone o iPad a un computer via USB,
ma nella maggior parte delle soluzioni il profilo di registrazione viene distribuito in
wireless. Alcuni fornitori MDM utilizzano un’app per avviare il processo, altri chiedono
agli utenti di accedere a un portale web. Ciascun metodo ha i suoi vantaggi,
ed entrambi vengono usati per avviare la registrazione over-the-air tramite Safari.
3
Panoramica sul processo di registrazione
Il processo di registrazione over-the-air è costituito da tre fasi riunite in un flusso
automatizzato che rappresenta la soluzione più versatile per registrare i dispositivi
in modo sicuro in un ambiente aziendale. Le fasi sono le seguenti.
1. Autenticazione dell’utente
Garantisce che le richieste di registrazione in entrata provengano da utenti
autorizzati e che le informazioni del dispositivo dell’utente siano acquisite prima
di procedere con la registrazione del certificato. L’amministratore può richiedere
all’utente di iniziare il processo di registrazione tramite portale web, e-mail, SMS
o perfino un’app.
2. Registrazione con certificato
Dopo che l’utente è stato autenticato, iOS genera una richiesta di registrazione del
certificato tramite il protocollo SCEP (Simple Certificate Enrollment Protocol). Questa
richiesta di registrazione comunica direttamente con l’autorità di certificazione (CA,
Certificate Authority) dell’azienda e consente all’iPhone e all’iPad di ricevere
in risposta il certificato d’identità dalla CA.
3. Configurazione del dispositivo
Dopo aver installato un certificato d’identità, il dispositivo sarà in grado di ricevere
over-the-air un profilo di configurazione criptato. Questo profilo può essere installato
solo sul dispositivo al quale è destinato e contiene le impostazioni necessarie per la
connessione al server MDM.
Al termine del processo di registrazione, l’utente visualizza la schermata
di installazione che riporta i diritti di accesso del server MDM per quel
dispositivo. Accettando l’installazione del profilo, il dispositivo dell’utente viene
automaticamente registrato, senza bisogno di fare altro.
Una volta registrato come dispositivo gestito, l’iPhone o iPad potrà essere
configurato dinamicamente, interrogato o cancellato in remoto dal server MDM.
Gestione
La Gestione dei dispositivi mobili (MDM) offre numerose funzioni che un server
MDM è in grado di eseguire sui dispositivi iOS. Tra queste attività vi sono
l’installazione e la rimozione dei profili di configurazione e di fornitura, la gestione
delle app, la conclusione della relazione MDM e la cancellazione a distanza di un
dispositivo.
Configurazioni gestite
Durante il processo iniziale di configurazione di un dispositivo, un server MDM
invia all’iPhone e all’iPad i profili che vengono installati in background. Col tempo
potrebbe rendersi necessario aggiornare o cambiare le impostazioni e i criteri
applicati in fase di registrazione. Per apportare queste modifiche, il server MDM
può installare nuovi profili di configurazione e modificare o rimuovere in qualsiasi
momento i profili esistenti. Inoltre può essere necessario installare sui dispositivi iOS
configurazioni specifiche per un contesto, a seconda dell’ubicazione di un utente
o del suo ruolo nell’azienda. Se per esempio l’utente si trova all’estero, il server
MDM può richiedere che la sincronizzazione delle e-mail avvenga manualmente
invece che in automatico e può perfino disattivare in remoto i servizi voce o dati
per impedire all’utente di incorrere nei costi di roaming applicati da un operatore
wireless.
4
App gestite
Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni
in-house dell’azienda. Può rimuovere su richiesta le app gestite e i relativi dati, o
specificare se le app devono essere eliminate contestualmente alla rimozione del
profilo MDM. Inoltre il server MDM può impedire che i dati dell’app gestita vengano
inclusi nei backup di iTunes e iCloud.
Per installare un’app gestita, il server MDM invia un comando di installazione al
dispositivo. Le app gestite richiedono l’accettazione da parte dell’utente prima di
essere installate. Quando il server MDM richiede l’installazione di un’app gestita
dall’App Store, l’app sarà ottenuta con l’account iTunes utilizzato al momento della
sua installazione. Nel caso di app a pagamento il server MDM deve inviare un codice
di riscatto del Volume Purchase Program (VPP). Per maggiori informazioni su VPP, visita
il sito www.apple.com/it/business/vpp. Le app dell’App Store non possono essere
installate sul dispositivo se l’App Store è stato disattivato.
Gestione dei dispositivi supervisionati con MDM
I dispositivi attivati con Apple Configurator possono essere “supervisionati” in modo
da potervi installare impostazioni e restrizioni aggiuntive. Quando un dispositivo è
supervisionato con Apple Configurator, è possibile installare over-the-air tramite MDM
anche tutte le impostazioni e restrizioni disponibili. Per maggiori informazioni sulla
configurazione e la gestione dei dispositivi con Apple Configurator e MDM, consulta la
sezione Distribuire iPhone e iPad: Apple Configurator.
Rimozione o cancellazione dei dispositivi
Se un dispositivo non risulta conforme, viene perso o smarrito, o se un dipendente
lascia l’organizzazione, il server MDM può agire in vari modi per proteggere
le informazioni aziendali.
Un amministratore IT può terminare la relazione MDM con un dispositivo rimuovendo
il profilo di configurazione che contiene le informazioni sul server MDM. Questo
comporta la cancellazione di tutti gli account, delle impostazioni e delle app installate
dal server. In alternativa è possibile conservare il profilo di configurazione MDM
e utilizzare il server MDM solo per rimuovere i profili di configurazione, i profili di
provisioning e le app gestite che si vogliono cancellare. Con questo approccio il
dispositivo resta gestito dal server MDM e in seguito non dovrà essere registrato
nuovamente.
Entrambi i metodi offrono al reparto IT la possibilità di assicurarsi che le informazioni
siano accessibili solo agli utenti e ai dispositivi conformi, e garantisce che i dati
aziendali vengano rimossi senza intaccare i dati personali dell’utente, come musica,
foto e app.
Per eliminare tutti i contenuti e i dati in modo permanente e riportare il dispositivo
alle impostazioni di fabbrica, il server MDM può avviare la cancellazione a distanza
dell’iPhone o iPad. Se l’utente sta ancora cercando il dispositivo smarrito, il reparto IT
può anche inviare un comando per bloccare lo schermo: per sbloccarlo sarà necessario
immettere il codice di accesso.
Se l’utente ha solo dimenticato il proprio codice di accesso, il server MDM può
rimuoverlo dal dispositivo e richiedere all’utente di crearne uno nuovo entro 60 minuti.
5
Comandi di gestione supportati
Configurazioni gestite
• Installa profilo di configurazione
• Rimuovi profilo di configurazione
• Roaming dati
• Roaming voce (disponibile solo con alcuni operatori)
App gestite
• Installa applicazioni gestite
• Rimuovi applicazioni gestite
• Elenca applicazioni gestite
• Installa profilo di fornitura
• Rimuovi profilo di fornitura
Comandi di sicurezza
• Cancellazione dati in remoto
• Blocco in remoto
• Cancellazione del codice
Configurazione
Per configurare account, criteri e restrizioni, il server MDM invierà al dispositivo i
necessari profili di configurazione, che verranno installati automaticamente. I profili
di configurazione sono file XML contenenti dati di configurazione e impostazioni che
consentono al dispositivo di interagire con i sistemi aziendali, per esempio informazioni
sull’account, criteri dei codici di accesso, restrizioni e altri parametri. Abbinata alla
procedura di registrazione descritta in precedenza, la configurazione dei dispositivi
fornisce al reparto IT la garanzia che solo utenti fidati possano accedere ai servizi
aziendali e che i loro dispositivi siano correttamente configurati secondo criteri stabiliti.
Poiché i profili di configurazione possono essere criptati e bloccati, le impostazioni non
possono essere eliminate, modificate o condivise con altri.
6
Elementi configurabili supportati
Account
• Exchange ActiveSync
• E-mail IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendari sottoscritti
Criteri per codici di accesso
• Richiedi l’utilizzo di un codice di accesso
• Consenti un valore semplice
• Richiedi un valore alfanumerico
• Lunghezza minima del codice
• Numero minimo di caratteri complessi
• Tempo massimo di validità del codice
• Intervallo di tempo prima del blocco
automatico
• Cronologia dei codici
• Intervallo per il blocco del dispositivo
• Numero massimo di tentativi falliti
Sicurezza e privacy
• Consenti l’invio dei dati di diagnosi a Apple
• Consenti all’utente di accettare certificati
non attendibili
• Imponi i backup criptati
Restrizioni solo per dispositivi
supervisionati
• Consenti iMessage
• Consenti Game Center
• Consenti la rimozione di app
• Consenti iBookstore
• Consenti contenuti a sfondo erotico
da iBookstore
• Abilita filtro di Siri per le espressioni volgari
• Consenti l’installazione manuale dei profili
di configurazione
Altre impostazioni
• Credenziali
• Web clip
• Impostazioni SCEP
• Impostazioni APN
• Proxy globale per HTTP
(solo per dispositivi supervisionati)
• Modalità app singola
(solo per dispositivi supervisionati)
Funzionamento del dispositivo
• Consenti l’installazione di app
• Consenti Siri
• Consenti Siri con dispositivo bloccato
• Consenti notifiche Passbook
con dispositivo bloccato
• Consenti l’uso della fotocamera
• Consenti l’uso di FaceTime
• Consenti istantanea schermo
• Consenti sincronizzazione automatica
in roaming
• Consenti sincronizzazione messaggi
recenti in Mail
• Consenti composizione vocale
• Consenti acquisti In-App
• Richiedi password dello Store per ogni
acquisto
• Consenti gioco multiplayer
• Consenti aggiunta di amici
in Game Center
App
• Consenti l’uso di YouTube
• Consenti l’uso di iTunes Store
• Consenti l’uso di Safari
• Imposta le preferenze di sicurezza
di Safari
iCloud
• Consenti backup
• Consenti la sincronizzazione di documenti
e valori chiave
• Consenti Streaming foto
• Consenti Streaming foto condiviso
Classificazione dei contenuti
• Consenti musica e podcast espliciti
• Imposta regione per classificazione
• Imposta classificazioni consentite
7
Interrogazione dei dispositivi
Oltre a configurare i dispositivi, un server MDM è in grado di richiedere loro una serie
di informazioni utili per assicurarsi che i criteri richiesti siano sempre rispettati.
Richieste ammesse
Informazioni dispositivo
• Identificatore univoco del dispositivo (UDID)
• Nome del dispositivo
• Versione iOS e build
• Nome e numero modello
• Numero di serie
• Capacità e spazio disponibile
• IMEI
• Firmware del modem
• Livello della batteria
• Stato della supervisione
Informazioni di rete
• ICCID
• Indirizzi MAC Bluetooth® e Wi-Fi
• Rete dell’operatore attuale
• Rete dell’operatore abbonato
• Versione impostazioni dell’operatore
• Numero di telefono
• Roaming dati (attivo/disattivo)
Informazioni sulla conformità
e la sicurezza
• Profili di configurazione installati
• Certificati installati con date di scadenza
• Elenco delle restrizioni imposte
• Capacità di codifica hardware
• Presenza codice d’accesso
App
• App installate (ID, nome, versione,
dimensioni dell’app e dei dati)
• Profili di fornitura installati con data
di scadenza
8
Panoramica delle varie fasi
Il seguente esempio mostra l’implementazione di base di un server MDM.
1
Firewall
3
2
4
Servizio di notifiche
push di Apple
Server MDM di terze parti
5
1
Un profilo di configurazione contenente le informazioni del server MDM viene inviato al dispositivo. L’utente riceve le
informazioni relative a cosa verrà gestito e/o interrogato dal server.
2
L’utente installa il profilo per consentire la gestione del dispositivo.
3
La registrazione del dispositivo avviene mentre il profilo viene installato. Il server autentica il dispositivo e autorizza l’accesso.
4
Il server invia una notifica push chiedendo al dispositivo di verificare operazioni e interrogazioni.
5
Il dispositivo si collega direttamente al server su HTTPS. Il server invia comandi o richiede informazioni.
Per maggiori informazioni sul Mobile Device Management, visita www.apple.com/business/mdm.
© 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes, Passbook, Safari e Siri sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iMessage è un marchio di
Apple Inc. iCloud e iTunes Store sono marchi di servizio di Apple Inc., registrati negli USA e in altri Paesi. App Store e iBookstore sono marchi di servizio di Apple Inc. Il marchio e il logo Bluetooth sono
marchi registrati di Bluetooth SIG, Inc. e qualsiasi utilizzo da parte di Apple è concesso in licenza. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti
possono subire modifiche senza preavviso. Settembre 2012