Implementare iPhone e iPad Gestione dei dispositivi mobili
Transcript
Implementare iPhone e iPad Gestione dei dispositivi mobili
Implementare iPhone e iPad Gestione dei dispositivi mobili (MDM) iOS supporta la gestione MDM (Mobile Device Management) consentendo alle aziende di gestire implementazioni su larga scala di iPhone e iPad all’interno della propria organizzazione. Le funzioni MDM si basano sulle tecnologie della piattaforma iOS, come i profili di configurazione e la registrazione over-the-air, inoltre è possibile integrare il servizio di notifiche push Apple in soluzioni server in-house o di terze parti. Ciò consente ai reparti IT di introdurre gli iPhone e iPad negli ambienti aziendali in totale sicurezza, di configurare e aggiornare le impostazioni dei dispositivi, di monitorare il rispetto dei criteri aziendali e di cancellare o bloccare i dispositivi gestiti, il tutto in wireless. Gestione di iPhone e iPad La gestione dei dispositivi iOS avviene tramite la connessione a un server MDM che può essere realizzato internamente dal reparto IT dell’azienda o acquistato da un fornitore di terze parti. Il dispositivo si collega al server per verificare se ci sono operazioni in sospeso e reagisce mettendo in atto le azioni più opportune. Le operazioni possono riguardare l’aggiornamento dei criteri, la risposta a una richiesta di informazioni sul dispositivo o su una rete oppure l’eliminazione di impostazioni o dati. La maggior parte delle funzioni di gestione viene eseguita in background senza che sia richiesto alcun intervento da parte dell’utente. Per esempio, se un reparto IT aggiorna la propria infrastruttura VPN, il server MDM può configurare gli iPhone e iPad over-theair con le nuove informazioni degli account. Al prossimo utilizzo della VPN, il nuovo setup sarà già attivo e il dipendente non avrà bisogno di chiamare l’assistenza o di modificare le impostazioni manualmente. Firewall Servizio di notifica push Apple Server MDM di terze parti 2 MDM e il servizio notifiche push di Apple Quando un server MDM vuole comunicare con un iPhone o iPad, una notifica silenziosa con la richiesta di mettersi in contatto con il server viene inviata al dispositivo tramite il servizio notifiche push Apple. Il processo di notifica al dispositivo non invia informazioni proprietarie al o dal servizio di notifiche push di Apple. La notifica push si limita esclusivamente a riattivare il dispositivo in modo che possa mettersi in contatto con il server MDM. Tutte le informazioni di configurazione, le impostazioni e le interrogazioni vengono inviate direttamente dal server al dispositivo iOS su una connessione SSL/TLS criptata. iOS gestisce tutte le richieste e le azioni MDM in background così da limitare l’impatto su aspetti come la durata della batteria, le prestazioni e l’affidabilità. iOS e SCEP iOS supporta Simple Certificate Enrollment Protocol (SCEP). SCEP è una bozza internet in IETF ed è progettato per semplificare la distribuzione di certificati su larga scala. Ciò consente la registrazione over-the-air su iPhone e iPad di certificati d’identità che possono essere usati per autenticare l’accesso ai servizi aziendali. Perché il server notifiche push riconosca i comandi del server MDM occorre prima installare un certificato, Il certificato deve essere richiesto e scaricato dall’Apple Push Certificates Portal. Dopo che il certificato delle notifiche push Apple sarò stato caricato nel server MDM, sarà possibile iniziare a registrare i dispositivi. Per maggiori informazioni sulla richiesta del certificato per il server MDM, vai su www.apple.com/ business/mdm. Impostazione della rete per il servizio notifiche push Apple Quando i server MDM e i dispositivi iOS sono dietro un firewall, può essere necessario configurare la rete in modo da consentire il corretto funzionamento del servizio MDM. Per inviare notifiche da un server MDM al servizio notifiche push Apple, la porta TCP 2195 deve essere aperta. Inoltre occorre aprire anche la porta TCP 2196 per consentire di raggiungere il servizio di feedback. Per i dispositivi che si collegano al servizio push via Wi-Fi, è necessario aprire la porta TCP 5223. L’intervallo IP per il servizio push può variare, ma si suppone che il server MDM si colleghi utilizzando il nome host anziché l’indirizzo IP. Il servizio push usa uno schema di bilanciamento del carico che produce un diverso indirizzo IP per lo stesso nome host. Il nome host è gateway.push.apple.com (e gateway.sandbox.push.apple.com per l’ambiente di sviluppo notifiche push). In più, l’intero blocco di indirizzi 17.0.0.0/8 è assegnato a Apple, perciò è possibile impostare regole del firewall per specificare tale intervallo. Per saperne di più consulta il tuo fornitore MDM o leggi il documento Developer Technical Note TN2265 (in inglese) nella iOS Developer Library su http://developer. apple.com/library/ios/#technotes/tn2265/_index.html. Registrazione Una volta configurati il server MDM e la rete, il primo passo verso la gestione di un iPhone o iPad consiste nel registrarlo con un server MDM. Creando una relazione tra il dispositivo e il server è possibile gestire il dispositivo su richiesta, senza interagire con l’utente. Questo passaggio può avvenire collegando l’iPhone o iPad a un computer via USB, ma la maggior parte delle soluzioni distribuisce il profilo di registrazione in wireless. Alcuni fornitori MDM utilizzano un’app per lanciare il processo, altri chiedono agli utenti di accedere a un portale web. Ciascun metodo ha i suoi vantaggi, ed entrambi sono usati per avviare la registrazione over-the-air tramite Safari. 3 Enrollment process overview The process of Over-the-Air Enrollment involves phases that are combined in an automated workflow to provide the most scalable way to securely enroll devices in an enterprise environment. These phases include: Panoramica sul processo di registrazione Il processo di registrazione over-the-air è costituito da tre fasi riunite in un flusso automatizzato che rappresenta la soluzione più versatile per registrare i dispositivi in modo sicuro in un ambiente aziendale. Le fasi sono: 1. Autenticazione dell’utente L’autenticazione dell’utente garantisce che le richieste di registrazione in entrata provengano da utenti autorizzati e che le informazioni del dispositivo siano acquisite prima della registrazione del certificato. L’amministratore può richiedere all’utente di iniziare il processo di registrazione tramite portale web, e-mail, messaggio SMS o perfino un’app. 2. Registrazione con certificato Dopo che l’utente è stato autenticato, iOS genera una richiesta di registrazione del certificato tramite il protocollo SCEP (Simple Certificate Enrollment Protocol). Questa richiesta di registrazione comunica direttamente con l’autorità di certificazione (CA, Certificate Authority) dell’azienda e consente all’iPhone o iPad di ricevere in risposta il certificato d’identità dalla CA. 3. Configurazione del dispositivo Dopo aver installato un certificato d’identità, il dispositivo sarà in grado di ricevere over-the-air un profilo di configurazione criptato. Questo profilo può essere installato solo sul dispositivo al quale è destinato e contiene le impostazioni necessarie per la connessione al server MDM. Al termine del processo di registrazione, l’utente visualizza la schermata di installazione che riporta i diritti di accesso del server MDM per quel dispositivo. Accettando l’installazione del profilo, il dispositivo dell’utente viene automaticamente registrato, senza bisogno di fare altro. Una volta registrato come dispositivo gestito, l’iPhone o iPad potrà essere configurato dinamicamente, interrogato o cancellato in remoto dal server MDM. Configurazione Per configurare account, criteri e restrizioni, il server MDM invierà al dispositivo i necessari profili di configurazione, che verranno installati automaticamente. I profili di configurazione sono file XML contenenti dati di configurazione e impostazioni che consentono al dispositivo di interagire con i sistemi aziendali, per esempio informazioni sull’account, criteri dei codici di accesso, restrizioni e altri parametri. Abbinata alla procedura di registrazione descritta in precedenza, la configurazione dei dispositivi fornisce al reparto IT la garanzia che solo utenti fidati possano accedere ai servizi aziendali e che i loro dispositivi siano correttamente configurati secondo criteri stabiliti. Poiché i profili di configurazione possono essere criptati e bloccati, le impostazioni non possono essere eliminate, modificate o condivise con altri. 4 Impostazioni configurabili supportate Account • Exchange ActiveSync • E-mail IMAP/POP • Wi-Fi • VPN • LDAP • CardDAV • CalDAV • Calendari sottoscritti Criteri relativi ai codici di accesso • Richiedi l’utilizzo di un codice di accesso • Consenti un valore semplice • Richiedi un valore alfanumerico • Lunghezza minima codice • Numero minimo di caratteri complessi • Tempo massimo di validità del codice • Tempo prima del blocco automatico • Cronologia codice • Intervallo per il blocco del dispositivo • Numero massimo di tentativi falliti Sicurezza e privacy • Consenti l’invio dei dati di diagnosi a Apple • Consenti all’utente di accettare certificati non attendibili • Imponi backup criptati Altre impostazioni • Credenziali • Web clip • Impostazioni SCEP • Impostazioni APN Funzionalità del dispositivo • Consenti installazione di applicazioni • Consenti Siri • Consenti Siri con dispositivo bloccato • Consenti l’uso della fotocamera • Consenti l’uso di FaceTime • Consenti l’acquisizione di schermate • Consenti sincronizzazione automatica in roaming • Consenti composizione vocale • Consenti acquisti In-App • Richiedi password dello Store per tutti gli acquisti • Consenti gioco multiplayer • Consenti aggiunta amici Game Center Applicazioni • Consenti l’uso di YouTube • Consenti l’uso di iTunes Store • Consenti l’uso di Safari • Imposta le preferenze di sicurezza di Safari iCloud • Consenti backup • Consenti sincronizzazione documenti e key-value • Consenti Streaming foto Classificazione dei contenuti • Consenti musica e podcast espliciti • Imposta regione classificazione • Imposta classificazioni consentite 5 Interrogazione dei dispositivi Oltre a configurare i dispositivi, un server MDM è in grado di richiedere loro una serie di informazioni che possono essere usate per assicurarsi che i dispositivi rispettino sempre i criteri richiesti. Richieste ammesse Informazioni sul dispositivo • Identificatore univoco del dispositivo (UDID) • Nome del dispositivo • Versione iOS e build • Nome e numero modello • Numero di serie • Capacità e spazio disponibile • IMEI • Firmware modem • Livello batteria Informazioni di rete • ICCID • Indirizzi MAC Bluetooth® e Wi-Fi • Rete operatore corrente • Rete operatore abbonato • Versione impostazioni operatore • Numero di telefono • Roaming dati (attivo/disattivo) Informazioni sulla conformità e la sicurezza • Profili di configurazione installati • Certificati installati con date di scadenza • Elenco delle restrizioni imposte • Capacità di crittografia hardware • Presenza codice d’accesso Applicazioni • Applicazioni installate (ID, nome, versione, dimensioni dell’applicazione e dei dati) • Profili di fornitura installati con data di scadenza Gestione La Gestione dei dispositivi mobili (MDM) offre numerose funzioni che un server MDM è in grado di eseguire sui dispositivi iOS. Tra queste attività vi sono l’installazione e la rimozione dei profili di configurazione e di fornitura, la gestione delle app, la conclusione della relazione MDM e la cancellazione a distanza di un dispositivo. Impostazioni gestite Durante il processo iniziale di configurazione di un dispositivo, un server MDM invia dei profili di configurazione all’iPhone e all’iPad che vengono installati in background. Col tempo potrebbe rendersi necessario aggiornare o cambiare le impostazioni e i criteri applicati in fase di registrazione. Per fare queste modifiche, il server MDM può installare nuovi profili di configurazione e modificare o rimuovere in qualsiasi momento i profili esistenti. Inoltre può essere necessario installare sui dispositivi iOS configurazioni specifiche per un contesto, a seconda dell’ubicazione di un utente o del suo ruolo nell’azienda. Se per esempio l’utente si trova all’estero, il server MDM può richiedere che la sincronizzazione delle e-mail avvenga manualmente invece che in automatico e può perfino disattivare in remoto i servizi voce o dati per impedire all’utente di incorrere nei costi di roaming applicati da un operatore wireless. App gestite Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni in-house dell’azienda. Il server può rimuovere su richiesta le app gestite e i relativi dati, o specificare se le app devono essere eliminate contestualmente alla rimozione del profilo MDM. Inoltre il server MDM può impedire che i dati dell’app gestita vengano inclusi nei backup di iTunes e iCloud. 6 Per installare un’app gestita, il server MDM invia un comando di installazione al dispositivo. Le app gestite richiedono l’accettazione dell’utente prima di essere installate. Quando il server MDM richiede l’installazione di un’app gestita dall’App Store, l’app sarà ottenuta con l’account iTunes utilizzato al momento della sua installazione. Nel caso di app a pagamento il server MDM deve inviare un codice di riscatto del Volume Purchase Program (VPP). Per maggiori informazioni sul programma VPP vai su www.apple.com/business/vpp/. Le app dell’App Store non possono essere installate sul dispositivo se l’App Store è stato disattivato. Rimozione o cancellazione dei dispositivi Se un dispositivo non risulta conforme, viene perso o smarrito, o se un dipendente lascia l’organizzazione, il server MDM può agire in vari modi per proteggere le informazioni aziendali. Un amministratore IT può terminare la relazione MDM con un dispositivo rimuovendo il profilo di configurazione che contiene le informazioni sul server MDM. Questo comporta la cancellazione di tutti gli account, delle impostazioni e delle app installate dal server. In alternativa è possibile conservare il profilo di configurazione MDM e utilizzare il server MDM solo per eliminare i profili di configurazione, i profili di fornitura e le app gestite che si vogliono cancellare. Con questo approccio, il dispositivo resta gestito dal server MDM e in seguito non dovrà essere registrato nuovamente. Entrambi i metodi offrono al reparto IT la possibilità di assicurarsi che le informazioni siano accessibili solo agli utenti e ai dispositivi conformi, e garantisce che i dati aziendali vengano rimossi senza intaccare i dati personali dell’utente, come musica, foto e app. Per eliminare tutti i contenuti e i dati in modo permanente e riportare il dispositivo alle impostazioni di fabbrica, il server MDM può avviare la cancellazione a distanza dell’iPhone o iPad. Se l’utente sta ancora cercando il dispositivo smarrito, il reparto IT può anche inviare un comando per bloccare lo schermo: per sbloccarlo sarà necessario immettere il codice di accesso. Se l’utente ha solo dimenticato il proprio codice di accesso, il server MDM può rimuoverlo dal dispositivo e richiedere all’utente di crearne uno nuovo entro 60 minuti. Comandi di gestione supportati Impostazioni gestite • Installa profilo di configurazione • Rimuovi profilo di configurazione • Roaming dati • Roaming voce (disponibile solo con alcuni operatori) App gestite • Installa applicazioni gestite • Rimuovi applicazioni gestite • Elenca applicazioni gestite • Installa profilo di fornitura • Rimuovi profilo di fornitura Comandi di sicurezza • Cancellazione a distanza • Blocco a distanza • Cancellazione del codice 7 Panoramica del processo Il seguente esempio mostra l’implementazione di base di un server MDM. 1 Firewall 3 2 4 Servizio di notifica push Apple Server MDM di terze parti 5 1 2 3 4 5 Un profilo di configurazione contenente le informazioni del server MDM viene inviato al dispositivo. L’utente riceve le informazioni relative a cosa verrà gestito e/o richiesto dal server. L’utente installa il profilo per consentire la gestione del dispositivo. La registrazione del dispositivo avviene mentre il profilo viene installato. Il server autentica il dispositivo e autorizza l’accesso. Il server invia notifiche push chiedendo al dispositivo di verificare operazioni e richieste. Il dispositivo si collega direttamente al server su HTTPS. Il server invia i comandi o le richieste di informazioni. Per maggiori informazioni sulle funzioni MDM, vai su www.apple.com/business/mdm. © 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes, Safari e Siri sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iCloud e iTunes Store sono marchi di servizio di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Il marchio e il logo Bluetooth sono di marchi registrati di Bluetooth SIG, Inc. e qualsiasi utilizzo da parte di Apple è concesso in licenza. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Marzo 2012