Implementare iPhone e iPad Gestione dei dispositivi mobili

Implementare iPhone e iPad
Gestione dei dispositivi mobili
(MDM)
iOS supporta la gestione MDM (Mobile Device Management) consentendo alle aziende
di gestire implementazioni su larga scala di iPhone e iPad all’interno della propria
organizzazione. Le funzioni MDM si basano sulle tecnologie della piattaforma iOS, come
i profili di configurazione e la registrazione over-the-air, inoltre è possibile integrare
il servizio di notifiche push Apple in soluzioni server in-house o di terze parti. Ciò
consente ai reparti IT di introdurre gli iPhone e iPad negli ambienti aziendali in totale
sicurezza, di configurare e aggiornare le impostazioni dei dispositivi, di monitorare
il rispetto dei criteri aziendali e di cancellare o bloccare i dispositivi gestiti, il tutto in
wireless.
Gestione di iPhone e iPad
La gestione dei dispositivi iOS avviene tramite la connessione a un server MDM
che può essere realizzato internamente dal reparto IT dell’azienda o acquistato
da un fornitore di terze parti. Il dispositivo si collega al server per verificare se ci
sono operazioni in sospeso e reagisce mettendo in atto le azioni più opportune. Le
operazioni possono riguardare l’aggiornamento dei criteri, la risposta a una richiesta di
informazioni sul dispositivo o su una rete oppure l’eliminazione di impostazioni o dati.
La maggior parte delle funzioni di gestione viene eseguita in background senza che sia
richiesto alcun intervento da parte dell’utente. Per esempio, se un reparto IT aggiorna
la propria infrastruttura VPN, il server MDM può configurare gli iPhone e iPad over-theair con le nuove informazioni degli account. Al prossimo utilizzo della VPN, il nuovo
setup sarà già attivo e il dipendente non avrà bisogno di chiamare l’assistenza o di
modificare le impostazioni manualmente.
Firewall
Servizio di notifica
push Apple
Server MDM di terze parti
2
MDM e il servizio notifiche push di Apple
Quando un server MDM vuole comunicare con un iPhone o iPad, una notifica
silenziosa con la richiesta di mettersi in contatto con il server viene inviata al
dispositivo tramite il servizio notifiche push Apple. Il processo di notifica al dispositivo
non invia informazioni proprietarie al o dal servizio di notifiche push di Apple. La
notifica push si limita esclusivamente a riattivare il dispositivo in modo che possa
mettersi in contatto con il server MDM. Tutte le informazioni di configurazione, le
impostazioni e le interrogazioni vengono inviate direttamente dal server al dispositivo
iOS su una connessione SSL/TLS criptata. iOS gestisce tutte le richieste e le azioni MDM
in background così da limitare l’impatto su aspetti come la durata della batteria, le
prestazioni e l’affidabilità.
iOS e SCEP
iOS supporta Simple Certificate Enrollment
Protocol (SCEP). SCEP è una bozza internet
in IETF ed è progettato per semplificare la
distribuzione di certificati su larga scala.
Ciò consente la registrazione over-the-air
su iPhone e iPad di certificati d’identità che
possono essere usati per autenticare l’accesso
ai servizi aziendali.
Perché il server notifiche push riconosca i comandi del server MDM occorre prima
installare un certificato, Il certificato deve essere richiesto e scaricato dall’Apple
Push Certificates Portal. Dopo che il certificato delle notifiche push Apple sarò stato
caricato nel server MDM, sarà possibile iniziare a registrare i dispositivi. Per maggiori
informazioni sulla richiesta del certificato per il server MDM, vai su www.apple.com/
business/mdm.
Impostazione della rete per il servizio notifiche push Apple
Quando i server MDM e i dispositivi iOS sono dietro un firewall, può essere necessario
configurare la rete in modo da consentire il corretto funzionamento del servizio MDM.
Per inviare notifiche da un server MDM al servizio notifiche push Apple, la porta TCP
2195 deve essere aperta. Inoltre occorre aprire anche la porta TCP 2196 per consentire
di raggiungere il servizio di feedback. Per i dispositivi che si collegano al servizio push
via Wi-Fi, è necessario aprire la porta TCP 5223.
L’intervallo IP per il servizio push può variare, ma si suppone che il server MDM si
colleghi utilizzando il nome host anziché l’indirizzo IP. Il servizio push usa uno schema
di bilanciamento del carico che produce un diverso indirizzo IP per lo stesso nome
host. Il nome host è gateway.push.apple.com (e gateway.sandbox.push.apple.com per
l’ambiente di sviluppo notifiche push). In più, l’intero blocco di indirizzi 17.0.0.0/8 è
assegnato a Apple, perciò è possibile impostare regole del firewall per specificare tale
intervallo.
Per saperne di più consulta il tuo fornitore MDM o leggi il documento Developer
Technical Note TN2265 (in inglese) nella iOS Developer Library su http://developer.
apple.com/library/ios/#technotes/tn2265/_index.html.
Registrazione
Una volta configurati il server MDM e la rete, il primo passo verso la gestione di un
iPhone o iPad consiste nel registrarlo con un server MDM. Creando una relazione tra il
dispositivo e il server è possibile gestire il dispositivo su richiesta, senza interagire con
l’utente.
Questo passaggio può avvenire collegando l’iPhone o iPad a un computer via USB, ma
la maggior parte delle soluzioni distribuisce il profilo di registrazione in wireless. Alcuni
fornitori MDM utilizzano un’app per lanciare il processo, altri chiedono agli utenti di
accedere a un portale web. Ciascun metodo ha i suoi vantaggi, ed entrambi sono usati
per avviare la registrazione over-the-air tramite Safari.
3
Enrollment process overview
The process of Over-the-Air Enrollment involves phases that are combined in an
automated workflow to provide the most scalable way to securely enroll devices
in an enterprise environment. These phases include:
Panoramica sul processo di registrazione
Il processo di registrazione over-the-air è costituito da tre fasi riunite in un flusso
automatizzato che rappresenta la soluzione più versatile per registrare i dispositivi in
modo sicuro in un ambiente aziendale. Le fasi sono:
1. Autenticazione dell’utente
L’autenticazione dell’utente garantisce che le richieste di registrazione in entrata
provengano da utenti autorizzati e che le informazioni del dispositivo siano acquisite
prima della registrazione del certificato. L’amministratore può richiedere all’utente
di iniziare il processo di registrazione tramite portale web, e-mail, messaggio SMS o
perfino un’app.
2. Registrazione con certificato
Dopo che l’utente è stato autenticato, iOS genera una richiesta di registrazione del
certificato tramite il protocollo SCEP (Simple Certificate Enrollment Protocol). Questa
richiesta di registrazione comunica direttamente con l’autorità di certificazione (CA,
Certificate Authority) dell’azienda e consente all’iPhone o iPad di ricevere in risposta
il certificato d’identità dalla CA.
3. Configurazione del dispositivo
Dopo aver installato un certificato d’identità, il dispositivo sarà in grado di ricevere
over-the-air un profilo di configurazione criptato. Questo profilo può essere installato
solo sul dispositivo al quale è destinato e contiene le impostazioni necessarie per la
connessione al server MDM.
Al termine del processo di registrazione, l’utente visualizza la schermata
di installazione che riporta i diritti di accesso del server MDM per quel
dispositivo. Accettando l’installazione del profilo, il dispositivo dell’utente viene
automaticamente registrato, senza bisogno di fare altro.
Una volta registrato come dispositivo gestito, l’iPhone o iPad potrà essere configurato
dinamicamente, interrogato o cancellato in remoto dal server MDM.
Configurazione
Per configurare account, criteri e restrizioni, il server MDM invierà al dispositivo i
necessari profili di configurazione, che verranno installati automaticamente. I profili
di configurazione sono file XML contenenti dati di configurazione e impostazioni
che consentono al dispositivo di interagire con i sistemi aziendali, per esempio
informazioni sull’account, criteri dei codici di accesso, restrizioni e altri parametri.
Abbinata alla procedura di registrazione descritta in precedenza, la configurazione
dei dispositivi fornisce al reparto IT la garanzia che solo utenti fidati possano
accedere ai servizi aziendali e che i loro dispositivi siano correttamente configurati
secondo criteri stabiliti.
Poiché i profili di configurazione possono essere criptati e bloccati, le impostazioni
non possono essere eliminate, modificate o condivise con altri.
4
Impostazioni configurabili supportate
Account
• Exchange ActiveSync
• E-mail IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendari sottoscritti
Criteri relativi ai codici di accesso
• Richiedi l’utilizzo di un codice di accesso
• Consenti un valore semplice
• Richiedi un valore alfanumerico
• Lunghezza minima codice
• Numero minimo di caratteri complessi
• Tempo massimo di validità del codice
• Tempo prima del blocco automatico
• Cronologia codice
• Intervallo per il blocco del dispositivo
• Numero massimo di tentativi falliti
Sicurezza e privacy
• Consenti l’invio dei dati di diagnosi a Apple
• Consenti all’utente di accettare certificati
non attendibili
• Imponi backup criptati
Altre impostazioni
• Credenziali
• Web clip
• Impostazioni SCEP
• Impostazioni APN
Funzionalità del dispositivo
• Consenti installazione di applicazioni
• Consenti Siri
• Consenti Siri con dispositivo bloccato
• Consenti l’uso della fotocamera
• Consenti l’uso di FaceTime
• Consenti l’acquisizione di schermate
• Consenti sincronizzazione automatica in
roaming
• Consenti composizione vocale
• Consenti acquisti In-App
• Richiedi password dello Store per tutti gli
acquisti
• Consenti gioco multiplayer
• Consenti aggiunta amici Game Center
Applicazioni
• Consenti l’uso di YouTube
• Consenti l’uso di iTunes Store
• Consenti l’uso di Safari
• Imposta le preferenze di sicurezza di
Safari
iCloud
• Consenti backup
• Consenti sincronizzazione documenti e
key-value
• Consenti Streaming foto
Classificazione dei contenuti
• Consenti musica e podcast espliciti
• Imposta regione classificazione
• Imposta classificazioni consentite
5
Interrogazione dei dispositivi
Oltre a configurare i dispositivi, un server MDM è in grado di richiedere loro una serie
di informazioni che possono essere usate per assicurarsi che i dispositivi rispettino
sempre i criteri richiesti.
Richieste ammesse
Informazioni sul dispositivo
• Identificatore univoco del dispositivo (UDID)
• Nome del dispositivo
• Versione iOS e build
• Nome e numero modello
• Numero di serie
• Capacità e spazio disponibile
• IMEI
• Firmware modem
• Livello batteria
Informazioni di rete
• ICCID
• Indirizzi MAC Bluetooth® e Wi-Fi
• Rete operatore corrente
• Rete operatore abbonato
• Versione impostazioni operatore
• Numero di telefono
• Roaming dati (attivo/disattivo)
Informazioni sulla conformità e la
sicurezza
• Profili di configurazione installati
• Certificati installati con date di scadenza
• Elenco delle restrizioni imposte
• Capacità di crittografia hardware
• Presenza codice d’accesso
Applicazioni
• Applicazioni installate (ID, nome, versione,
dimensioni dell’applicazione e dei dati)
• Profili di fornitura installati con data di
scadenza
Gestione
La Gestione dei dispositivi mobili (MDM) offre numerose funzioni che un server MDM
è in grado di eseguire sui dispositivi iOS. Tra queste attività vi sono l’installazione
e la rimozione dei profili di configurazione e di fornitura, la gestione delle app, la
conclusione della relazione MDM e la cancellazione a distanza di un dispositivo.
Impostazioni gestite
Durante il processo iniziale di configurazione di un dispositivo, un server MDM invia dei
profili di configurazione all’iPhone e all’iPad che vengono installati in background. Col
tempo potrebbe rendersi necessario aggiornare o cambiare le impostazioni e i criteri
applicati in fase di registrazione. Per fare queste modifiche, il server MDM può installare
nuovi profili di configurazione e modificare o rimuovere in qualsiasi momento i profili
esistenti. Inoltre può essere necessario installare sui dispositivi iOS configurazioni
specifiche per un contesto, a seconda dell’ubicazione di un utente o del suo ruolo
nell’azienda. Se per esempio l’utente si trova all’estero, il server MDM può richiedere
che la sincronizzazione delle e-mail avvenga manualmente invece che in automatico
e può perfino disattivare in remoto i servizi voce o dati per impedire all’utente di
incorrere nei costi di roaming applicati da un operatore wireless.
App gestite
Un server MDM può gestire le app di terze parti dell’App Store, oltre alle applicazioni
in-house dell’azienda. Il server può rimuovere su richiesta le app gestite e i relativi dati,
o specificare se le app devono essere eliminate contestualmente alla rimozione del
profilo MDM. Inoltre il server MDM può impedire che i dati dell’app gestita vengano
inclusi nei backup di iTunes e iCloud.
6
Per installare un’app gestita, il server MDM invia un comando di installazione al
dispositivo. Le app gestite richiedono l’accettazione dell’utente prima di essere
installate. Quando il server MDM richiede l’installazione di un’app gestita dall’App
Store, l’app sarà ottenuta con l’account iTunes utilizzato al momento della sua
installazione. Nel caso di app a pagamento il server MDM deve inviare un codice
di riscatto del Volume Purchase Program (VPP). Per maggiori informazioni sul
programma VPP vai su www.apple.com/business/vpp/. Le app dell’App Store non
possono essere installate sul dispositivo se l’App Store è stato disattivato.
Rimozione o cancellazione dei dispositivi
Se un dispositivo non risulta conforme, viene perso o smarrito, o se un dipendente
lascia l’organizzazione, il server MDM può agire in vari modi per proteggere le
informazioni aziendali.
Un amministratore IT può terminare la relazione MDM con un dispositivo
rimuovendo il profilo di configurazione che contiene le informazioni sul server MDM.
Questo comporta la cancellazione di tutti gli account, delle impostazioni e delle app
installate dal server. In alternativa è possibile conservare il profilo di configurazione
MDM e utilizzare il server MDM solo per eliminare i profili di configurazione, i profili
di fornitura e le app gestite che si vogliono cancellare. Con questo approccio, il
dispositivo resta gestito dal server MDM e in seguito non dovrà essere registrato
nuovamente.
Entrambi i metodi offrono al reparto IT la possibilità di assicurarsi che le informazioni
siano accessibili solo agli utenti e ai dispositivi conformi, e garantisce che i dati
aziendali vengano rimossi senza intaccare i dati personali dell’utente, come musica,
foto e app.
Per eliminare tutti i contenuti e i dati in modo permanente e riportare il dispositivo
alle impostazioni di fabbrica, il server MDM può avviare la cancellazione a distanza
dell’iPhone o iPad. Se l’utente sta ancora cercando il dispositivo smarrito, il reparto
IT può anche inviare un comando per bloccare lo schermo: per sbloccarlo sarà
necessario immettere il codice di accesso.
Se l’utente ha solo dimenticato il proprio codice di accesso, il server MDM può
rimuoverlo dal dispositivo e richiedere all’utente di crearne uno nuovo entro 60
minuti.
Comandi di gestione supportati
Impostazioni gestite
• Installa profilo di configurazione
• Rimuovi profilo di configurazione
• Roaming dati
• Roaming voce (disponibile solo con alcuni operatori)
App gestite
• Installa applicazioni gestite
• Rimuovi applicazioni gestite
• Elenca applicazioni gestite
• Installa profilo di fornitura
• Rimuovi profilo di fornitura
Comandi di sicurezza
• Cancellazione a distanza
• Blocco a distanza
• Cancellazione del codice
7
Panoramica del processo
Il seguente esempio mostra l’implementazione di base di un server MDM.
1
Firewall
3
2
4
Servizio di notifica
push Apple
Server MDM di terze parti
5
1
2
3
4
5
Un profilo di configurazione contenente le informazioni del server MDM viene inviato al dispositivo. L’utente riceve le informazioni relative a
cosa verrà gestito e/o richiesto dal server.
L’utente installa il profilo per consentire la gestione del dispositivo.
La registrazione del dispositivo avviene mentre il profilo viene installato. Il server autentica il dispositivo e autorizza l’accesso.
Il server invia notifiche push chiedendo al dispositivo di verificare operazioni e richieste.
Il dispositivo si collega direttamente al server su HTTPS. Il server invia i comandi o le richieste di informazioni.
Per maggiori informazioni sulle funzioni MDM, vai su www.apple.com/business/mdm.
© 2012 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, FaceTime, iPad, iPhone, iTunes, Safari e Siri sono marchi di Apple Inc., registrati negli USA e in altri Paesi. iCloud e iTunes Store sono marchi di
servizio di Apple Inc., registrati negli USA e in altri Paesi. App Store è un marchio di servizio di Apple Inc. Il marchio e il logo Bluetooth sono di marchi registrati di Bluetooth SIG, Inc. e qualsiasi utilizzo da
parte di Apple è concesso in licenza. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari. Le specifiche dei prodotti possono subire modifiche senza preavviso. Marzo 2012