Implementare iPhone e iPad Gestione dei dispositivi mobili
Transcript
Implementare iPhone e iPad Gestione dei dispositivi mobili
Implementare iPhone e iPad Gestione dei dispositivi mobili (MDM) iOS supporta la gestione MDM (Mobile Device Management) consentendo alle aziende di gestire implementazioni su larga scala di iPhone e iPad all’interno della propria organizzazione. Le funzioni MDM si basano sulle tecnologie della piattaforma iOS, come i profili di configurazione e la registrazione over-the-air, inoltre è possibile integrare il servizio di notifiche push Apple in soluzioni server in-house o di terze parti. Ciò consente ai reparti IT di introdurre gli iPhone e iPad negli ambienti aziendali in totale sicurezza, di configurare e aggiornare le impostazioni dei dispositivi, di monitorare il rispetto dei criteri aziendali e di cancellare o bloccare i dispositivi gestiti, il tutto in wireless. Gestire iPhone e iPad La gestione dei dispositivi iOS avviene tramite la connessione a un server MDM che può essere realizzato internamente dal reparto IT dell’azienda o acquistato da un fornitore di terze parti. Il dispositivo si collega al server per verificare se ci sono operazioni in sospeso e reagisce mettendo in atto le azioni più opportune. Le operazioni possono riguardare l’aggiornamento dei criteri, la risposta a una richiesta di informazioni sul dispositivo o su una rete oppure l’eliminazione di impostazioni o dati. La maggior parte delle funzioni di gestione viene completata dietro le quinte e non richiede alcun intervento da parte dell’utente. Per esempio, se un reparto IT aggiorna la propria infrastruttura VPN, il server MDM può configurare gli iPhone e iPad con le nuove informazioni degli account over the air. Al prossimo utilizzo della VPN, il nuovo setup sarà già attivo e il dipendente non avrà bisogno di chiamare l’assistenza o di modificare le impostazioni manualmente. Firewall Servizio di notifica push Apple Server MDM di terze parti 2 MDM e il servizio notifiche push di Apple Quando un server MDM vuole comunicare con un iPhone o iPad, una notifica silenziosa con la richiesta di mettersi in contatto con il server viene inviata al dispositivo tramite il servizio notifiche push Apple. Il processo di notifica non implica né l’invio né la ricezione di alcun tipo di informazione proprietaria. La notifica push si limita esclusivamente a riattivare il dispositivo in modo che possa mettersi in contatto con il server MDM. Tutte le informazioni di configurazione, le impostazioni e le interrogazioni vengono inviate direttamente dal server al dispositivo iOS su una connessione SSL/TLS criptata. iOS gestisce tutte le richieste e le azioni MDM in background così da limitare l’impatto su aspetti come la durata della batteria, le prestazioni e l’affidabilità. iOS e SCEP iOS supporta Simple Certificate Enrollment Protocol (SCEP). SCEP è una bozza internet in IETF ed è progettato per semplificare la distribuzione di certificati su larga scala. Ciò consente la registrazione over-the-air su iPhone e iPad di certificati d’identità che possono essere usati per autenticare l’accesso ai servizi aziendali. Perché il server notifiche push riconosca i comandi del server MDM occorre prima installare un certificato, che può essere richiesto e scaricato da Apple Push Certificates Portal. Dopo che il certificato delle notifiche push Apple sarà stato caricato nel server MDM, sarà possibile iniziare a registrare i dispositivi. Per maggiori informazioni sulla richiesta del certificato per il server MDM, vai su www.apple.com/business/mdm. Impostazione della rete per il servizio notifiche push Apple Quando i server MDM e i dispositivi iOS sono dietro un firewall, può essere necessario configurare la rete in modo da consentire il corretto funzionamento del servizio MDM. Per inviare notifiche da un server MDM a un servizio notifiche push Apple, la porta TCP 2195 deve essere aperta. Inoltre occorre aprire anche la porta TCP 2196 per consentire di raggiungere il servizio di feedback. Per i dispositivi che si collegano al servizio push via Wi-Fi, è necessario aprire la porta TCP 5223. L’intervallo IP per il servizio push può variare, ma si suppone che il server MDM si colleghi utilizzando il nome host anziché l’indirizzo IP. Il servizio push usa uno schema di bilanciamento del carico che produce un diverso indirizzo IP per lo stesso nome host. Il nome host è gateway.push.apple.com (e gateway.sandbox.push.apple.com per l’ambiente di sviluppo notifiche push). In più l’intero blocco 17.0.0.0/8 è assegnato a Apple, perciò è possibile impostare regole del firewall per specificare tale intervallo. Per saperne di più consulta il tuo fornitore MDM o leggi il documento Developer Technical Note TN2265 (in inglese) nella iOS Developer Library su http://developer. apple.com/library/ios/#technotes/tn2265/_index.html. Registrazione Una volta configurati il server MDM e la rete, il primo passo verso la gestione di un iPhone o iPad consiste nel registrarlo con un server MDM. Creando una relazione tra il dispositivo e il server è possibile gestire il dispositivo su richiesta, senza interagire con l’utente. Questo passaggio può avvenire collegando l’iPhone o iPad a un computer via USB, ma la maggior parte delle soluzioni distribuiscono il profilo di registrazione in wireless. Alcuni fornitori MDM utilizzano un’app per lanciare il processo, altri chiedono agli utenti di accedere a un portale web. Ciascun metodo ha i suoi vantaggi, ed entrambi sono usati per avviare la registrazione over-the-air tramite Safari. 3 Panoramica sul processo di registrazione Il processo di registrazione over-the-air è costituito da tre fasi riunite in un flusso automatizzato che rappresenta la soluzione più versatile per registrare i dispositivi in modo sicuro in un ambiente aziendale. Le fasi sono le seguenti. 1. Autenticazione dell’utente L’autenticazione dell’utente garantisce che le richieste di registrazione in entrata provengano da utenti autorizzati e che le informazioni del dispositivo siano acquisite prima della registrazione del certificato. Gli amministratori possono chiedere all’utente di iniziare il processo di registrazione attraverso un portale web, un’e-mail, un SMS e perfino un’app. 2. Registrazione con certificato Dopo che l’utente è stato autenticato, iOS genera una richiesta di registrazione del certificato tramite il protocollo SCEP (Simple Certificate Enrollment Protocol). Questa richiesta di registrazione comunica direttamente con l’autorità di certificazione (CA, Certificate Authority) dell’azienda e consente all’iPhone o iPad di ricevere in risposta il certificato d’identità dalla CA. 3. Configurazione del dispositivo Dopo aver installato un certificato d’identità, il dispositivo sarà in grado di ricevere over-the-air un profilo di configurazione criptato. Questo profilo può essere installato solo sul dispositivo a cui è destinato e contiene impostazioni per la connessione al server MDM. Al termine del processo di registrazione, l’utente visualizza la schermata di installazione che riporta i diritti di accesso del server MDM per quel dispositivo. Accettando l’installazione del profilo, il dispositivo dell’utente viene automaticamente registrato, senza bisogno di fare altro. Una volta registrato come dispositivo gestito, l’iPhone o iPad potrà essere configurato dinamicamente, interrogato o cancellato in remoto dal server MDM. Configurazione Per configurare account, criteri e restrizioni, il server MDM invierà al dispositivo i necessari profili di configurazione, che verranno installati automaticamente. I profili di configurazione sono file XML contenenti dati di configurazione e impostazioni che consentono al dispositivo di interagire con i sistemi aziendali, per esempio informazioni sull’account, criteri dei codici di accesso, restrizioni e altri parametri. Abbinata alla procedura di registrazione descritta in precedenza, la configurazione dei dispositivi fornisce al reparto IT la garanzia che solo utenti fidati possano accedere ai servizi aziendali e che i loro dispositivi siano correttamente configurati secondo criteri stabiliti. Poiché i profili di configurazione possono essere criptati e bloccati, le impostazioni non possono essere eliminate, modificate o condivise con altri. 4 Impostazioni configurabili Account • Exchange ActiveSync • E-mail IMAP/POP • Wi-Fi • VPN • LDAP • CardDAV • CalDAV • Calendari sottoscritti Criteri relativi al codice di accesso • Richiedere l’utilizzo di un codice di accesso • Accettare codici semplici • Richiedere numeri e lettere • Lunghezza minima codice • Numero minimo di caratteri complessi • Tempo massimo di validità del codice • Intervallo prima del blocco automatico • Cronologia codice • Tempo previsto prima del blocco del dispositivo • Numero massimo di tentativi falliti Funzioni del dispositivo • Consentire l’installazione di app • Consentire Siri • Consentire l’uso della fotocamera • Consentire l’uso di FaceTime • Consentire l’acquisizione di schermate • Consentire la sincronizzazione automatica durante il roaming • Consentire la composizione vocale • Consentire gli acquisti In-App • Richiedere la password dello store per tutti gli acquisti • Consentire giochi multiplayer • Consentire l’aggiunta di amici in Game Center Applicazioni • Consentire l’uso di YouTube • Consentire l’uso di iTunes Store • Consentire l’uso di Safari • Impostare le preferenze di sicurezza di Safari Sicurezza e privacy iCloud • Consentire l’invio di dati diagnostici a Apple • Consentire i backup • Consentire all’utente di accettare certificati • Consentire la sincronizzazione di non verificati documenti e key-value • Imporre i backup criptati • Consentire Streaming foto Altre impostazioni • Credenziali • Web clip • Impostazioni SCEP • Impostazioni APN Classificazione dei contenuti • Consentire musica e podcast espliciti • Impostare la regione della classificazione • Impostare le classificazioni consentite 5 Interrogazione dei dispositivi Oltre a configurare i dispositivi, un server MDM è in grado di richiedere loro una serie di informazioni che possono essere usate per assicurarsi che i dispositivi rispettino sempre i criteri richiesti. Richieste ammesse Informazioni sul dispositivo • Identificatore univoco del dispositivo (UDID) • Nome del dispositivo • Versione iOS e build • Nome e numero modello • Numero di serie • Capacità e spazio disponibile • IMEI • Firmware modem • Livello batteria Informazioni di rete • ICCID • Indirizzi MAC Bluetooth® e Wi-Fi • Rete operatore corrente • Rete operatore abbonato • Versione impostazioni operatore • Numero di telefono • Roaming dati (attivo/disattivo) Informazioni su conformità e sicurezza • Profili di configurazione installati • Certificati installati con date di scadenza • Elenco delle restrizioni imposte • Capacità di crittografia hardware • Presenza codice d’accesso Applicazioni • Applicazioni installate (ID, nome, versione, dimensioni dell’applicazione e dei dati) • Profili di fornitura installati con data di scadenza Gestione I server MDM possono compiere una varietà di operazioni sui dispositivi iOS. Per esempio possono installare e rimuovere i profili di configurazione e di fornitura, gestire le app, terminare la relazione MDM e cancellare in remoto un dispositivo. Impostazioni gestite Durante il processo iniziale di impostazione del dispositivo, il server MDM invia all’iPhone o iPad dei profili di configurazione che vengono installati dietro le quinte. Col tempo potrebbe rendersi necessario aggiornare o cambiare le impostazioni e i criteri applicati in fase di registrazione. Per fare queste modifiche, il server MDM può installare un nuovo profilo di configurazione e modificare o rimuovere in qualsiasi momento i profili esistenti. Inoltre può essere necessario installare sui dispositivi iOS configurazioni specifiche per un contesto, a seconda dell’ubicazione di un utente o del suo ruolo nell’azienda. Se per esempio un utente finale si trova all’estero, il server MDM può richiedere che la sincronizzazione delle e-mail avvenga manualmente invece che in automatico, e può perfino disattivare in remoto i servizi voce o dati per impedire all’utente di incorrere nei costi di roaming applicati da un operatore wireless. App gestite Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni in-house dell’azienda. Il server può rimuovere su richiesta le app gestite e i relativi dati, o specificare se le app devono essere eliminate contestualmente alla rimozione del profilo MDM. Inoltre, il server MDM può impedire che i dati dell’app gestita vengano inclusi nei backup di iTunes e iCloud. 6 Per installare un’app gestita, il server MDM invia un comando di installazione al dispositivo. Prima di poter essere installate, le app gestite richiedono l’accettazione da parte dell’utente. Quando il server MDM richiede l’installazione di un’app gestita dall’App Store, questa sarà ottenuta con l’account iTunes utilizzato al momento della sua installazione. Per le app a pagamento, il server MDM deve inviare un codice di riscatto del Volume Purchasing Program (VPP). Per maggiori informazioni sul programma VPP vai su www.apple.com/business/vpp/. Le app dell’App Store non possono essere installate sul dispositivo se l’App Store è stato disattivato. Rimuovere o cancellare i dispositivi Se un dispositivo non risulta conforme, viene perso o smarrito, o se un dipendente lascia l’azienda, il server MDM può agire in vari modi per proteggere le informazioni aziendali. Un amministratore IT può terminare la relazione MDM con un dispositivo rimuovendo il profilo di configurazione che contiene le informazioni sul server. Questo comporta la cancellazione di tutti gli account, delle impostazioni e delle app installate dal server. In alternativa è possibile conservare il profilo di configurazione e utilizzare il server MDM solo per eliminare i profili di configurazione, i profili di fornitura e le app gestite che si vogliono cancellare. Con questo approccio, il dispositivo resta gestito dal server MDM e in seguito non dovrà essere registrato nuovamente. Entrambi i metodi offrono al reparto IT la possibilità di assicurarsi che le informazioni siano accessibili solo agli utenti e ai dispositivi conformi, e garantisce che i dati aziendali vengano rimossi senza intaccare i dati personali dell’utente, come musica, foto e app. Per eliminare tutti i contenuti e i dati in modo permanente e riportare il dispositivo alle impostazioni di fabbrica, il server MDM può avviare la cancellazione a distanza dell’iPhone o iPad. Se l’utente sta ancora cercando il dispositivo smarrito, il reparto IT può anche inviare un comando per bloccare lo schermo: per sbloccarlo sarà necessario immettere il codice di accesso. Se l’utente ha solo dimenticato il proprio codice di accesso, il server MDM può rimuoverlo dal dispositivo e richiedere all’utente di crearne uno nuovo entro 60 minuti. Comandi di gestione supportati Impostazioni gestite • Installare un profilo di configurazione • Rimuovere un profilo di configurazione • Roaming dati • Roaming voce (disponibile solo con alcuni operatori) App gestite • Installare un’app gestita • Rimuovere un’app gestita • Elenco di tutte le app gestite • Installare un profilo di fornitura • Rimuovere un profilo di fornitura Comandi di sicurezza • Cancellazione a distanza • Blocco a distanza • Cancellazione del codice 7 Panoramica del processo Il seguente esempio mostra l’implementazione di base di un server MDM. 1 Firewall 3 2 4 Servizio di notifica push Apple Server MDM di terze parti 5 1 Un profilo di configurazione contenente le informazioni del server MDM viene inviato al dispositivo. L’utente riceve le informazioni relative a cosa verrà gestito e/o richiesto dal server. 2 L’utente installa il profilo per consentire la gestione del dispositivo. 3 La registrazione del dispositivo avviene quando il profilo è installato. Il server autentica il dispositivo e autorizza l’accesso. 4 Il server invia notifiche push chiedendo al dispositivo di verificare operazioni e richieste. 5 Il dispositivo si collega direttamente al server su HTTPS. Il server invia i comandi o le richieste di informazioni. Per maggiori informazioni sulle funzioni MDM, vai su www.apple.com/business/mdm. © 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes e Safari sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iCloud e iTunes Store sono marchi di servizio di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Il marchio e il logo Bluetooth sono di marchi registrati di Bluetooth SIG, Inc. e qualsiasi utilizzo da parte di Apple è concesso in licenza. UNIX è marchio registrato di The Open Group. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Ottobre 2011 L422501B