Implementare iPhone e iPad Gestione dei dispositivi mobili

Implementare iPhone e iPad
Gestione dei dispositivi mobili
(MDM)
iOS supporta la gestione MDM (Mobile Device Management) consentendo alle
aziende di gestire implementazioni su larga scala di iPhone e iPad all’interno della
propria organizzazione. Le funzioni MDM si basano sulle tecnologie della piattaforma
iOS, come i profili di configurazione e la registrazione over-the-air, inoltre è possibile
integrare il servizio di notifiche push Apple in soluzioni server in-house o di terze
parti. Ciò consente ai reparti IT di introdurre gli iPhone e iPad negli ambienti aziendali
in totale sicurezza, di configurare e aggiornare le impostazioni dei dispositivi, di
monitorare il rispetto dei criteri aziendali e di cancellare o bloccare i dispositivi gestiti,
il tutto in wireless.
Gestire iPhone e iPad
La gestione dei dispositivi iOS avviene tramite la connessione a un server MDM
che può essere realizzato internamente dal reparto IT dell’azienda o acquistato
da un fornitore di terze parti. Il dispositivo si collega al server per verificare se ci
sono operazioni in sospeso e reagisce mettendo in atto le azioni più opportune. Le
operazioni possono riguardare l’aggiornamento dei criteri, la risposta a una richiesta di
informazioni sul dispositivo o su una rete oppure l’eliminazione di impostazioni o dati.
La maggior parte delle funzioni di gestione viene completata dietro le quinte e non
richiede alcun intervento da parte dell’utente. Per esempio, se un reparto IT aggiorna
la propria infrastruttura VPN, il server MDM può configurare gli iPhone e iPad con le
nuove informazioni degli account over the air. Al prossimo utilizzo della VPN, il nuovo
setup sarà già attivo e il dipendente non avrà bisogno di chiamare l’assistenza o di
modificare le impostazioni manualmente.
Firewall
Servizio di notifica
push Apple
Server MDM di terze parti
2
MDM e il servizio notifiche push di Apple
Quando un server MDM vuole comunicare con un iPhone o iPad, una notifica
silenziosa con la richiesta di mettersi in contatto con il server viene inviata al
dispositivo tramite il servizio notifiche push Apple. Il processo di notifica non implica
né l’invio né la ricezione di alcun tipo di informazione proprietaria. La notifica push
si limita esclusivamente a riattivare il dispositivo in modo che possa mettersi in
contatto con il server MDM. Tutte le informazioni di configurazione, le impostazioni
e le interrogazioni vengono inviate direttamente dal server al dispositivo iOS su
una connessione SSL/TLS criptata. iOS gestisce tutte le richieste e le azioni MDM
in background così da limitare l’impatto su aspetti come la durata della batteria, le
prestazioni e l’affidabilità.
iOS e SCEP
iOS supporta Simple Certificate Enrollment
Protocol (SCEP). SCEP è una bozza internet
in IETF ed è progettato per semplificare la
distribuzione di certificati su larga scala.
Ciò consente la registrazione over-the-air
su iPhone e iPad di certificati d’identità che
possono essere usati per autenticare l’accesso
ai servizi aziendali.
Perché il server notifiche push riconosca i comandi del server MDM occorre prima
installare un certificato, che può essere richiesto e scaricato da Apple Push Certificates
Portal. Dopo che il certificato delle notifiche push Apple sarà stato caricato nel server
MDM, sarà possibile iniziare a registrare i dispositivi. Per maggiori informazioni sulla
richiesta del certificato per il server MDM, vai su www.apple.com/business/mdm.
Impostazione della rete per il servizio notifiche push Apple
Quando i server MDM e i dispositivi iOS sono dietro un firewall, può essere necessario
configurare la rete in modo da consentire il corretto funzionamento del servizio MDM.
Per inviare notifiche da un server MDM a un servizio notifiche push Apple, la porta TCP
2195 deve essere aperta. Inoltre occorre aprire anche la porta TCP 2196 per consentire
di raggiungere il servizio di feedback. Per i dispositivi che si collegano al servizio push
via Wi-Fi, è necessario aprire la porta TCP 5223.
L’intervallo IP per il servizio push può variare, ma si suppone che il server MDM si
colleghi utilizzando il nome host anziché l’indirizzo IP. Il servizio push usa uno schema
di bilanciamento del carico che produce un diverso indirizzo IP per lo stesso nome
host. Il nome host è gateway.push.apple.com (e gateway.sandbox.push.apple.com per
l’ambiente di sviluppo notifiche push). In più l’intero blocco 17.0.0.0/8 è assegnato a
Apple, perciò è possibile impostare regole del firewall per specificare tale intervallo.
Per saperne di più consulta il tuo fornitore MDM o leggi il documento Developer
Technical Note TN2265 (in inglese) nella iOS Developer Library su http://developer.
apple.com/library/ios/#technotes/tn2265/_index.html.
Registrazione
Una volta configurati il server MDM e la rete, il primo passo verso la gestione di un
iPhone o iPad consiste nel registrarlo con un server MDM. Creando una relazione tra il
dispositivo e il server è possibile gestire il dispositivo su richiesta, senza interagire con
l’utente.
Questo passaggio può avvenire collegando l’iPhone o iPad a un computer via USB, ma
la maggior parte delle soluzioni distribuiscono il profilo di registrazione in wireless.
Alcuni fornitori MDM utilizzano un’app per lanciare il processo, altri chiedono agli
utenti di accedere a un portale web. Ciascun metodo ha i suoi vantaggi, ed entrambi
sono usati per avviare la registrazione over-the-air tramite Safari.
3
Panoramica sul processo di registrazione
Il processo di registrazione over-the-air è costituito da tre fasi riunite in un flusso
automatizzato che rappresenta la soluzione più versatile per registrare i dispositivi in
modo sicuro in un ambiente aziendale. Le fasi sono le seguenti.
1. Autenticazione dell’utente
L’autenticazione dell’utente garantisce che le richieste di registrazione in entrata
provengano da utenti autorizzati e che le informazioni del dispositivo siano acquisite
prima della registrazione del certificato. Gli amministratori possono chiedere
all’utente di iniziare il processo di registrazione attraverso un portale web, un’e-mail,
un SMS e perfino un’app.
2. Registrazione con certificato
Dopo che l’utente è stato autenticato, iOS genera una richiesta di registrazione del
certificato tramite il protocollo SCEP (Simple Certificate Enrollment Protocol). Questa
richiesta di registrazione comunica direttamente con l’autorità di certificazione (CA,
Certificate Authority) dell’azienda e consente all’iPhone o iPad di ricevere in risposta
il certificato d’identità dalla CA.
3. Configurazione del dispositivo
Dopo aver installato un certificato d’identità, il dispositivo sarà in grado di ricevere
over-the-air un profilo di configurazione criptato. Questo profilo può essere installato
solo sul dispositivo a cui è destinato e contiene impostazioni per la connessione al
server MDM.
Al termine del processo di registrazione, l’utente visualizza la schermata
di installazione che riporta i diritti di accesso del server MDM per quel
dispositivo. Accettando l’installazione del profilo, il dispositivo dell’utente viene
automaticamente registrato, senza bisogno di fare altro.
Una volta registrato come dispositivo gestito, l’iPhone o iPad potrà essere
configurato dinamicamente, interrogato o cancellato in remoto dal server MDM.
Configurazione
Per configurare account, criteri e restrizioni, il server MDM invierà al dispositivo i
necessari profili di configurazione, che verranno installati automaticamente. I profili
di configurazione sono file XML contenenti dati di configurazione e impostazioni
che consentono al dispositivo di interagire con i sistemi aziendali, per esempio
informazioni sull’account, criteri dei codici di accesso, restrizioni e altri parametri.
Abbinata alla procedura di registrazione descritta in precedenza, la configurazione
dei dispositivi fornisce al reparto IT la garanzia che solo utenti fidati possano
accedere ai servizi aziendali e che i loro dispositivi siano correttamente configurati
secondo criteri stabiliti.
Poiché i profili di configurazione possono essere criptati e bloccati, le impostazioni
non possono essere eliminate, modificate o condivise con altri.
4
Impostazioni configurabili
Account
• Exchange ActiveSync
• E-mail IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendari sottoscritti
Criteri relativi al codice di accesso
• Richiedere l’utilizzo di un codice di accesso
• Accettare codici semplici
• Richiedere numeri e lettere
• Lunghezza minima codice
• Numero minimo di caratteri complessi
• Tempo massimo di validità del codice
• Intervallo prima del blocco automatico
• Cronologia codice
• Tempo previsto prima del blocco del
dispositivo
• Numero massimo di tentativi falliti
Funzioni del dispositivo
• Consentire l’installazione di app
• Consentire Siri
• Consentire l’uso della fotocamera
• Consentire l’uso di FaceTime
• Consentire l’acquisizione di schermate
• Consentire la sincronizzazione automatica
durante il roaming
• Consentire la composizione vocale
• Consentire gli acquisti In-App
• Richiedere la password dello store per
tutti gli acquisti
• Consentire giochi multiplayer
• Consentire l’aggiunta di amici in Game
Center
Applicazioni
• Consentire l’uso di YouTube
• Consentire l’uso di iTunes Store
• Consentire l’uso di Safari
• Impostare le preferenze di sicurezza di
Safari
Sicurezza e privacy
iCloud
• Consentire l’invio di dati diagnostici a Apple • Consentire i backup
• Consentire all’utente di accettare certificati • Consentire la sincronizzazione di
non verificati
documenti e key-value
• Imporre i backup criptati
• Consentire Streaming foto
Altre impostazioni
• Credenziali
• Web clip
• Impostazioni SCEP
• Impostazioni APN
Classificazione dei contenuti
• Consentire musica e podcast espliciti
• Impostare la regione della classificazione
• Impostare le classificazioni consentite
5
Interrogazione dei dispositivi
Oltre a configurare i dispositivi, un server MDM è in grado di richiedere loro una serie
di informazioni che possono essere usate per assicurarsi che i dispositivi rispettino
sempre i criteri richiesti.
Richieste ammesse
Informazioni sul dispositivo
• Identificatore univoco del dispositivo (UDID)
• Nome del dispositivo
• Versione iOS e build
• Nome e numero modello
• Numero di serie
• Capacità e spazio disponibile
• IMEI
• Firmware modem
• Livello batteria
Informazioni di rete
• ICCID
• Indirizzi MAC Bluetooth® e Wi-Fi
• Rete operatore corrente
• Rete operatore abbonato
• Versione impostazioni operatore
• Numero di telefono
• Roaming dati (attivo/disattivo)
Informazioni su conformità e sicurezza
• Profili di configurazione installati
• Certificati installati con date di scadenza
• Elenco delle restrizioni imposte
• Capacità di crittografia hardware
• Presenza codice d’accesso
Applicazioni
• Applicazioni installate (ID, nome, versione,
dimensioni dell’applicazione e dei dati)
• Profili di fornitura installati con data di
scadenza
Gestione
I server MDM possono compiere una varietà di operazioni sui dispositivi iOS. Per
esempio possono installare e rimuovere i profili di configurazione e di fornitura, gestire
le app, terminare la relazione MDM e cancellare in remoto un dispositivo.
Impostazioni gestite
Durante il processo iniziale di impostazione del dispositivo, il server MDM invia
all’iPhone o iPad dei profili di configurazione che vengono installati dietro le quinte.
Col tempo potrebbe rendersi necessario aggiornare o cambiare le impostazioni e i
criteri applicati in fase di registrazione. Per fare queste modifiche, il server MDM può
installare un nuovo profilo di configurazione e modificare o rimuovere in qualsiasi
momento i profili esistenti. Inoltre può essere necessario installare sui dispositivi iOS
configurazioni specifiche per un contesto, a seconda dell’ubicazione di un utente o del
suo ruolo nell’azienda. Se per esempio un utente finale si trova all’estero, il server MDM
può richiedere che la sincronizzazione delle e-mail avvenga manualmente invece che
in automatico, e può perfino disattivare in remoto i servizi voce o dati per impedire
all’utente di incorrere nei costi di roaming applicati da un operatore wireless.
App gestite
Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni
in-house dell’azienda. Il server può rimuovere su richiesta le app gestite e i relativi dati,
o specificare se le app devono essere eliminate contestualmente alla rimozione del
profilo MDM. Inoltre, il server MDM può impedire che i dati dell’app gestita vengano
inclusi nei backup di iTunes e iCloud.
6
Per installare un’app gestita, il server MDM invia un comando di installazione al
dispositivo. Prima di poter essere installate, le app gestite richiedono l’accettazione
da parte dell’utente. Quando il server MDM richiede l’installazione di un’app gestita
dall’App Store, questa sarà ottenuta con l’account iTunes utilizzato al momento della
sua installazione. Per le app a pagamento, il server MDM deve inviare un codice
di riscatto del Volume Purchasing Program (VPP). Per maggiori informazioni sul
programma VPP vai su www.apple.com/business/vpp/. Le app dell’App Store non
possono essere installate sul dispositivo se l’App Store è stato disattivato.
Rimuovere o cancellare i dispositivi
Se un dispositivo non risulta conforme, viene perso o smarrito, o se un dipendente
lascia l’azienda, il server MDM può agire in vari modi per proteggere le informazioni
aziendali.
Un amministratore IT può terminare la relazione MDM con un dispositivo
rimuovendo il profilo di configurazione che contiene le informazioni sul server.
Questo comporta la cancellazione di tutti gli account, delle impostazioni e delle app
installate dal server. In alternativa è possibile conservare il profilo di configurazione
e utilizzare il server MDM solo per eliminare i profili di configurazione, i profili
di fornitura e le app gestite che si vogliono cancellare. Con questo approccio, il
dispositivo resta gestito dal server MDM e in seguito non dovrà essere registrato
nuovamente.
Entrambi i metodi offrono al reparto IT la possibilità di assicurarsi che le informazioni
siano accessibili solo agli utenti e ai dispositivi conformi, e garantisce che i dati
aziendali vengano rimossi senza intaccare i dati personali dell’utente, come musica,
foto e app.
Per eliminare tutti i contenuti e i dati in modo permanente e riportare il dispositivo
alle impostazioni di fabbrica, il server MDM può avviare la cancellazione a distanza
dell’iPhone o iPad. Se l’utente sta ancora cercando il dispositivo smarrito, il reparto
IT può anche inviare un comando per bloccare lo schermo: per sbloccarlo sarà
necessario immettere il codice di accesso.
Se l’utente ha solo dimenticato il proprio codice di accesso, il server MDM può
rimuoverlo dal dispositivo e richiedere all’utente di crearne uno nuovo entro 60
minuti.
Comandi di gestione supportati
Impostazioni gestite
• Installare un profilo di configurazione
• Rimuovere un profilo di configurazione
• Roaming dati
• Roaming voce (disponibile solo con alcuni operatori)
App gestite
• Installare un’app gestita
• Rimuovere un’app gestita
• Elenco di tutte le app gestite
• Installare un profilo di fornitura
• Rimuovere un profilo di fornitura
Comandi di sicurezza
• Cancellazione a distanza
• Blocco a distanza
• Cancellazione del codice
7
Panoramica del processo
Il seguente esempio mostra l’implementazione di base di un server MDM.
1
Firewall
3
2
4
Servizio di notifica
push Apple
Server MDM di terze parti
5
1
Un profilo di configurazione contenente le informazioni del server MDM viene inviato al dispositivo. L’utente riceve le
informazioni relative a cosa verrà gestito e/o richiesto dal server.
2
L’utente installa il profilo per consentire la gestione del dispositivo.
3
La registrazione del dispositivo avviene quando il profilo è installato. Il server autentica il dispositivo e autorizza l’accesso.
4
Il server invia notifiche push chiedendo al dispositivo di verificare operazioni e richieste.
5
Il dispositivo si collega direttamente al server su HTTPS. Il server invia i comandi o le richieste di informazioni.
Per maggiori informazioni sulle funzioni MDM, vai su www.apple.com/business/mdm.
© 2011 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes e Safari sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iCloud e iTunes Store sono marchi di servizio
di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Il marchio e il logo Bluetooth sono di marchi registrati di Bluetooth SIG, Inc. e qualsiasi utilizzo da parte
di Apple è concesso in licenza. UNIX è marchio registrato di The Open Group. Tutti gli altri prodotti e nomi di aziende citati potrebbero essere marchi registrati dei rispettivi proprietari. Le specifiche dei
prodotti possono subire modifiche senza preavviso. Ottobre 2011 L422501B