iphone e ipad en la empresa Escenarios de implementación

Transcripción

1 iphone e ipad en la empresa Escenarios de implementación Marzo de 2012 Conoce cómo el iphone y el ipad se integran perfectamente en los entornos empresariales con estos escenarios de implementación. Microsoft Exchange ActiveSync Servicios basados en estándares Redes privadas virtuales Wi-Fi Certificados digitales Descripción de seguridad Administración de dispositivos móviles Apple Configurator (en inglés)

2 Implementando iphone e ipad Exchange ActiveSync iphone e ipad se comunican directamente con tu Microsoft Exchange Server a través de Microsoft Exchange ActiveSync (EAS), lo que cual permite actualizar correos, calendarios, contactos y tareas. Con Exchange ActiveSync, los usuarios también pueden acceder a la lista global de direcciones (GAL), y los administradores, a las capacidades de borrado remoto y ejecución de políticas con contraseñas. ios es compatible con la autenticación básica y basada en certificados para Exchange ActiveSync. Si tu empresa es compatible con Exchange ActiveSync, tienes los servicios necesarios para implementar el iphone y el ipad, sin necesidad de configuración adicional. Si tienes Exchange Server 2003, 2007 ó 2010, pero tu compañía es nueva en Exchange ActiveSync, consulta los pasos siguientes. Políticas de seguridad compatibles con Exchange ActiveSync Borrado remoto Dispositivos con contraseña Tamaño mínimo de contraseña Intentos máximos fallidos de ingreso de contraseña (antes de Borrado local) Solicitud de números y letras Tiempo de inactividad en minutos (1 a 60 minutos) Políticas adicionales de Exchange ActiveSync (sólo para Exchange 2007 y 2010) Permitir o prohibir contraseñas simples Expiración de contraseñas Historial de contraseñas Intervalo de renovación de políticas Número mínimo de caracteres complejos en la contraseña Activación de la sincronización manual durante la itinerancia Activación de la cámara Activación de la navegación web Configuración de Exchange ActiveSync Descripción de la configuración de red Verifica que el puerto 443 esté abierto en el firewall. Si tu compañía permite el acceso web a Outlook, posiblemente el puerto 443 ya esté abierto. En el servidor de front-end, verifica que el certificado del servidor esté instalado y habilita SSL para el directorio virtual de Exchange ActiveSync en IIS. Si estás usando un servidor ISA (Internet Security and Acceleration) de Microsoft, verifica que haya instalado un certificado de servidor y actualiza el DNS público para resolver las conexiones entrantes. Asegúrate que el DNS de tu red devuelve una única dirección con ruta externa para el servidor Exchange ActiveSync en clientes de intranet e Internet. Esto es necesario para que el dispositivo pueda usar la misma dirección IP para comunicarse con el servidor cuando ambos tipos de conexiones están activas. Si estás usando un servidor ISA de Microsoft, crea un web listener, así como una regla de publicación de acceso al cliente web de Exchange. Consulta la documentación de Microsoft para ver más detalles. Para todos los firewalls y dispositivos de red, define el tiempo de espera de sesión inactiva en 30 minutos. Para obtener información sobre los intervalos de latidos y espera, consulta la documentación de Microsoft Exchange en com/es-mx/library/cc182270(en-us).aspx. Configura las funciones móviles, las políticas y la configuración del dispositivo de seguridad con el administrador del sistema de Exchange. Para Exchange Server 2007 y 2010 puedes hacer esto en la consola de administración de Exchange. Descarga e instala la herramienta web de administración móvil de Microsoft Exchange ActiveSync, necesaria para iniciar un borrado remoto. Para Exchange Server 2007 y 2010, el borrado remoto también puede ser iniciado mediante Outlook Web Access o la consola de administración de Exchange.

3 3 Autenticación básica (nombre de usuario y contraseña) Habilita Exchange ActiveSync para los usuarios o grupos específicos que usan el servicio Active Directory. Esto está habilitado de forma predeterminada en todos los dispositivos móviles a nivel de la organización en Exchange Server 2003, 2007 y Para Exchange Server 2007 y 2010, consulta la configuración del destinatario en la consola de administración de Exchange. Exchange ActiveSync está configurado de forma predeterminada para la autenticación básica del usuario. Se recomienda que habilites SSL para la autenticación básica, lo cual garantiza la encriptación de las credenciales durante la autenticación. Autenticación basada en certificados Instala los servicios de certificados corporativos en un servidor miembro o controlador de dominio en tu dominio (este será tu servidor de autoridad de certificación). Configura IIS en tu servidor de front-end o servidor de acceso cliente de Exchange para aceptar la autenticación basada en certificados en el directorio virtual de Exchange ActiveSync. Otros servicios de Exchange ActiveSync Búsqueda en la lista global de direcciones Acepta y crea invitaciones del calendario Sincroniza tareas Marca mensajes de correo electrónico con banderas Sincroniza las banderas de Respuesta y Envío con Exchange Server 2010 Búsqueda de Mail en Exchange Server 2007 y 2010 Soporte para varias cuentas de Exchange ActiveSync Autenticación basada en certificados Actualización de correos en carpetas seleccionadas Identificación automática Para permitir o requerir certificados para todos los usuarios, deshabilita la Autenticación básica y selecciona Aceptar certificados cliente o Requerir certificados cliente. Genera certificados cliente usando tu servidor de autoridad de certificación. Exporta la clave pública y configura IIS para usar esta clave. Exporta la clave privada y usa un perfil de configuración para generar esta clave en el iphone y el ipad. La autenticación basada en certificados sólo puede ser configurada usando un perfil de configuración. Para más información sobre servicios de certificados, consulta los recursos disponibles en Microsoft.

4 4 Escenario de implementación de Exchange ActiveSync Este ejemplo muestra cómo el iphone y el ipad se conectan a una implementación normal de Microsoft Exchange Server 2003, 2007 ó Clave privada (certificado) Firewall Firewall Servidor de certificados Perfil de configuración Directorio Activo Clave pública (certificado) 1 2 Internet Servidor proxy Servidor de front-end o de acceso cliente de Exchange Mail Gateway o Edge Transport Server* Bridgehead o Hub Transport Server Exchange Mailbox o Back-End Server(s) *Dependiendo de la configuración de tu red, el Mail Gateway o Edge Transport Server puede residir en la red del perímetro (DMZ) El iphone y el ipad solicitan acceso a los servicios de Exchange ActiveSync en el puerto 443 (HTTPS) (este es el mismo puerto usado por Outlook Web Access y otros servicios web seguros, por lo que, en muchas implementaciones, este puerto ya está abierto y configurado para el tráfico HTTPS encriptado en SSL). ISA brinda acceso al servidor de front-end o de acceso cliente de Exchange. ISA está configurado como un proxy o, en muchos casos, como un proxy inverso, para dirigir el tráfico a Exchange Server. Exchange Server autentica al usuario entrante a través del servicio Active Directory y el servidor de certificados (si emplea autenticación basada en certificados). Si el usuario brinda las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor de front-end establece una conexión a la casilla de correo apropiada en el servidor de back-end (a través del catálogo global de Active Directory). Se establece la conexión a Exchange ActiveSync. Las actualizaciones/cambios son empujados de forma inalámbrica, y cualquier cambio en el iphone y el iphone se ve reflejado en Exchange Server. El envío de elementos de correo en iphone también está sincronizado con Exchange Server vía Exchange ActiveSync (paso 5). Para dirigir el correo saliente a destinatarios externos, el correo suele ser enviado a través de un Bridgehead (o Hub Transport) Server hacia un Mail Gateway (o Edge Transport Server) externo vía SMTP. Dependiendo de la configuración de tu red, el Mail Gateway o Edge Transport Server externo puede residir dentro de la red del perímetro o fuera del firewall Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iphone, ipad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título informativo; Apple no asume responsabilidad relacionada con su uso. Marzo de 2012

5 Implementando iphone e ipad Servicios basados en estándares Con soporte para protocolo de correo IMAP, servicios de directorio LDAP, y protocolos de calendarios CalDAV y contactos CardDAV, el ios puede ser integrado con casi todos los entornos de correo, calendarios y contactos basados en estándares. Si tu entorno de red está configurado para requerir autenticación de usuario y SSL, el iphone y el ipad ofrecen un método seguro para acceder al correo, los calendarios y los contactos corporativos basados en estándares. Puertos comunes IMAP/SSL: 993 SMTP/SSL: 587 LDAP/SSL: 636 CalDAV/SSL: 8443, 443 CardDAV/SSL: 8843, 443 Soluciones de correo IMAP o POP ios es compatible con los servidores de correo IMAP4 y POP3 habituales en la industria para una amplia gama de plataformas de servidores, como Windows, UNIX, Linux y Mac OS X. Estándares CalDAV y CardDAV ios es compatible con los protocolos de calendarios CalDAV y contactos CardDAV. Ambos protocolos han sido estandarizados por el IETF. Encuentra más información a través del consorcio CalConnect en y carddav.calconnect.org/. En una implementación típica, el iphone y el ipad establecen el acceso directo a servidores de correo IMAP y SMTP para recibir y enviar correos a través del aire, y también puede sincronizar notas inalámbricamente con servidores IMAP. Los dispositivos ios se conectan a los directorios LDAP v3 de tu compañía, para que los usuarios accedan a los contactos corporativos en las aplicaciones Mail, Contactos y Mensajes. Con la sincronización con el servidor CalDAV, los usuarios pueden crear y aceptar invitaciones de calendario, recibir actualizaciones del calendario y sincronizar tareas con la app Recordatorios. Con el soporte para CardDAV, los usuarios pueden mantener una serie de contactos sincronizados con tu servidor CardDAV usando el formato vcard. Todos los servidores de red pueden estar situados dentro de una subred DMZ, detrás de un firewall corporativo, o en ambos. Con SSL, ios es compatible con la encriptación de 128 bits y los certificados raíz X.509 emitidos por las principales autoridades de certificación. Configuración de red Su administrador de TI o de red debe completar estos pasos clave para habilitar el acceso desde el iphone y el ipad a los servicios IMAP, LDAP, CalDAV y CardDAV: Abrir los puertos adecuados en el firewall. Los puertos más comunes son el 993 para el correo IMAP, el 587 para el correo SMTP, el 636 para servicios de directorio LDAP, el 8443 para calendarios CalDAV y el 8843 para contactos CardDAV. También, se recomienda que la comunicación entre tu servidor proxy y tus servidores IMAP, LDAP, CalDAV y CardDAV de back-end sea configurada para utilizar SSL y que los certificados digitales en tus servidores de red sean firmados por una autoridad certificadora de confianza, como VeriSign. Este importante paso asegura que el iphone y el ipad reconozcan el servidor proxy como una entidad de confianza dentro de tu infraestructura corporativa. Para correo SMTP saliente debe abrirse el puerto 587, 465 ó 25 para permitir el envío de correos electrónicos. El iphone verifica automáticamente el puerto 587, luego el 465 y, luego, el 25. El puerto 587 es el más confiable y seguro, ya que requiere autenticación de usuario. El puerto 25 no requiere autenticación y algunos proveedores de servicios de Internet bloquean este puerto de forma predeterminada para evitar el spam.

6 6 Escenario de implementación Este ejemplo muestra cómo el iphone y el ipad se conectan a una implementación típica de IMAP, LDAP, CalDAV y CardDAV. Firewall Firewall 636 (LDAP) 3 Servidor de directorio LDAP 8443 (CalDAV) 4 Servidor de CalDAV 1 2 Internet 8843 (CardDAV) Servidor reverse proxy 5 Servidor de CardDAV 993 (IMAP) 587 (SMTP) 6 Servidor de Mail El iphone y el ipad solicitan acceso a los servicios de red sobre los puertos designados. Dependiendo del servicio, los usuarios deben autenticar ya sea con el reverse proxy o directamente con el servidor para obtener acceso a los datos corporativos. En todos los casos, las conexiones son transmitidas por el reverse proxy, que funciona como un gateway seguro, por lo general detrás del firewall de Internet de la compañía. Una vez autenticado, el usuario puede acceder a sus datos corporativos en los servidores de back-end. El iphone y el ipad ofrecen servicios de búsqueda en directorios LDAP, para que los usuarios puedan buscar contactos y otra información de la libreta de direcciones en el servidor LDAP. Para calendarios CalDAV, los usuarios pueden acceder y actualizar calendarios. Los contactos de CardDAV son almacenados en el servidor y se puede acceder a ellos localmente desde el iphone y el ipad. Los cambios en los campos de contactos de CardDAV vuelven a ser sincronizados con el servidor de CardDAV. Para los servicios de correo IMAP, los mensajes nuevos y actuales pueden ser leídos en el iphone y el ipad a través de la conexión proxy con el servidor de correo. El correo saliente en el iphone es enviado al servidor SMTP, con copias en la carpeta Enviados del usuario Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iphone, ipad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título informativo; Apple no asume responsabilidad relacionada con su uso. Marzo de 2012

7 Implementando iphone e ipad Redes privadas virtuales El acceso seguro a redes privadas corporativas está disponible en el iphone y el ipad mediante los protocolos VPN establecidos, habituales en la industria. Los usuarios pueden conectarse fácilmente a los sistemas empresariales a través del cliente VPN integrado en ios o mediante aplicaciones de Juniper, Cisco y F5 Networks. Apenas lo sacas de la caja, ios es compatible con Cisco IPSec, L2TP over IPSec y PPTP. Si tu organización emplea alguno de estos protocolos, no necesitas otra configuración de red o aplicaciones de terceros para conectar el iphone y el ipad a tu VPN. Además, ios es compatible con VPN SSL, que permite el acceso a los servidores de VPN SSL de Juniper SA Series, Cisco ASA y F5 BIG-IP Edge Gateway. Para empezar, los usuarios sólo tienen que descargar una aplicación de cliente VPN desarrollada por Juniper, Cisco o F5 desde el App Store. Al igual que otros protocolos VPN compatibles con ios, SSL VPN puede ser configurado manualmente en el dispositivo o por medio de un perfil de configuración. ios es compatible con las tecnologías estándar en la industria, tales como IPv6, servidores proxy y split-tunneling, proporcionando una rica experiencia de VPN para conectarse a redes corporativas. Además, ios funciona con varios métodos de autenticación, incluyendo contraseñas, tokens de dos factores y certificados digitales. Para mejorar la conexión en entornos que utilizan la autenticación basada en certificados, ios incluye VPN On Demand, que inicia dinámicamente una sesión de VPN para conectarse a dominios específicos. Protocolos y métodos de autenticación compatibles SSL VPN Es compatible con la autenticación de usuarios mediante contraseñas, tokens de dos factores y certificados. Cisco IPSec Es compatible con la autenticación de usuarios mediante contraseñas, tokens de dos factores y autenticación de máquinas por certificados y secreto compartido. L2TP over IPSec Es compatible con la autenticación de usuarios mediante contraseña MS-CHAP v2, tokens de dos factores y autenticación de máquinas por secreto compartido. PPTP Es compatible con la autenticación de usuarios mediante contraseña MS-CHAP v2 y tokens de dos factores.

8 8 VPN On Demand Para las configuraciones con autenticación basada en certificados, ios es compatible con VPN On Demand, que establecerá una conexión automáticamente cuando se acceda a los dominios predefinidos, ofreciendo una excelente experiencia de conectividad VPN para los usuarios. Esta es una funcionalidad de ios que no requiere otra configuración del servidor. La configuración de VPN On Demand se lleva a cabo a través de un perfil de configuración o puede ser configurada manualmente en el dispositivo. Las opciones de VPN On Demand son: Siempre Inicia una conexión de VPN para cualquier dirección que coincide con el dominio especificado. Nunca No inicia una conexión de VPN para direcciones que coinciden con el dominio especificado, pero si la VPN ya está activa, puede ser usada. Establecer si es necesario Inicia una conexión de VPN para direcciones que coinciden con el dominio especificado sólo luego de que ha fallado una búsqueda DNS. Configuración de VPN ios se integra con varias de las actuales redes VPN con una configuración mínima necesaria. La mejor manera de preparar la implementación es comprobar si ios es compatible con los protocolos VPN y los métodos de autenticación de tu compañía. Se recomienda que revises la ruta de autenticación en tu servidor de autenticación para garantizar que los estándares compatibles con ios estén habilitados en tu implementación. Si piensas utilizar la autenticación basada en certificados, asegúrate de tener la infraestructura de clave pública configurada para ser compatible con certificados basados en dispositivos y usuarios, con el correspondiente proceso de distribución de claves. Si deseas configurar los ajustes de proxy específicos para la URL, coloca un archivo PAC en un servidor web que sea accesible con la configuración básica de VPN y asegúrate que se encuentra alojado con el tipo application/x-ns-proxy-autoconfig MIME. Configuración de proxy Para todas las configuraciones también puedes especificar un proxy VPN. Para configurar un proxy único para todas las conexiones, usa la configuración manual e ingresa la dirección, el puerto y la autenticación, si es necesario. Para configurar el dispositivo con un archivo de configuración de proxy automático que utiliza PAC o WPAD, emplea el ajuste automático. Para PACS, especifica la URL del archivo PACS. Para WPAD, el iphone y el ipad consultarán DHCP y DNS para la configuración adecuada.

9 9 Escenario de implementación El ejemplo muestra una implementación habitual con un servidor/concentrador de VPN y con un servidor de autenticación que controla el acceso a los servicios de red empresariales. Firewall Firewall 3a 3b Certificado o token de autenticación Servidor de autenticación de VPN Generación de token o autenticación de certificado Servicio de directorio Servidor/concentrador de VPN Red privada Internet pública Servidor proxy El iphone y el ipad solicitan acceso a los servicios de red. El servidor/concentrador de VPN recibe la solicitud y la transfiere al servidor de autenticación. En un entorno de token de dos factores, el servidor de autenticación administrará la generación de claves de token sincronizada con el servidor de claves. Si se implementa un método de autenticación de certificados es necesario distribuir un certificado de identidad al iphone antes de la autenticación. Si se implementa un método de contraseñas el proceso de autenticación continúa con la validación del usuario. Una vez que el usuario es autenticado, el servidor de autenticación valida las políticas del usuario y el grupo. Luego de validar las políticas del usuario y del grupo, el servidor de VPN brinda acceso encapsulado y encriptado a los servicios de red. Si se usa un servidor de proxy, el iphone y el ipad se conectan a través del servidor de proxy para acceder a la información fuera del firewall Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iphone, ipad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título informativo; Apple no asume responsabilidad relacionada con su uso. Marzo de 2012

10 Implementando iphone e ipad Wi-Fi Apenas los sacas de la caja, el iphone y el ipad se pueden conectar de forma segura a redes Wi-Fi corporativas o invitadas, por lo que unirse a redes inalámbricas disponibles es muy rápido y simple, tanto si estás en el campus o de viaje. ios es compatible con los protocolos habituales de redes inalámbricas, como WPA2 Enterprise, asegurando que las redes inalámbricas corporativas puedan ser configuradas rápidamente y sean de acceso seguro. WPA2 Enterprise emplea encriptación AES de 128 bits, un método comprobado y basado en bloques que proporciona a los usuarios el mayor nivel de seguridad para sus datos. Con soporte para 802.1X, ios puede ser integrado a una amplia gama de entornos de autenticación RADIUS. Los métodos de autenticación inalámbrica 802.1X compatibles con el iphone y el ipad son EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 y LEAP. Protocolos de seguridad inalámbrica WEP WPA Personal WPA Enterprise WPA2 Personal WPA2 Enterprise Métodos de autenticación 802.1X EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAPv0 (EAP-MS-CHAP v2) PEAPv1 (EAP-GTC) LEAP Es posible acceder rápidamente a las redes Wi-Fi que requieren credenciales de acceso u otra información, sin necesidad de abrir una sesión del navegador, desde la configuración de Wi-Fi o en aplicaciones tales como Mail. Además, con la conectividad Wi-Fi persistente y de bajo consumo de energía, las aplicaciones pueden emplear redes Wi-Fi para distribuir notificaciones push. Para una rápida instalación e implementación, los ajustes de red inalámbrica, seguridad, proxy y autenticación pueden ser configurados a través de Perfiles de Configuración. Configuración de WPA2 Enterprise Verifica la compatibilidad de los dispositivos de red y selecciona un tipo de autenticación (tipo EAP) compatible con ios. Verifica que 802.1X esté habilitado en el servidor de autenticación y, si es necesario, instala un certificado de servidor y asigna permisos de acceso a la red para usuarios y grupos. Configura puntos de acceso inalámbrico para la autenticación de 802.1X e ingresa la información correspondiente del servidor RADIUS. Si planeas usar la autenticación basada en certificados, configura tu infraestructura de claves públicas para emplear certificados basados en dispositivos y usuarios con el correspondiente proceso de distribución de claves. Verifica el formato de los certificados y la compatibilidad del servidor de autenticación. ios es compatible con PKCS#1 (.cer,.crt,.der) y PKCS#12. Para ver más documentación sobre los estándares de redes inalámbricas y el Acceso Protegido Wi-Fi (WPA), visita

11 11 Escenario de implementación de WPA2 Enterprise/802.1X Este ejemplo muestra una implementación habitual de red inalámbrica segura con autenticación basada en RADIUS. Servidor de autenticación con soporte para 802.1x (RADIUS) Firewall 3 Servicios de directorio Certificado o contraseña basado en Tipo EAP Punto de acceso inalámbrico con soporte para 802.1x Servicios de red El iphone y el ipad solicitan acceso a la red. El iphone inicia la conexión en respuesta a un usuario que selecciona una red inalámbrica disponible, o inicia automáticamente una conexión luego de detectar una red configurada previamente. Una vez que el punto de acceso recibe la solicitud, la misma es enviada al servidor RADIUS para su autenticación. El servidor RADIUS valida la cuenta del usuario mediante el servicio de directorio. Una vez que el usuario es autenticado, el punto de acceso brinda acceso a red con las políticas y permisos establecidos por el servidor RADIUS Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iphone, ipad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título informativo; Apple no asume responsabilidad relacionada con su uso. Marzo de 2012

12 Implementando iphone e ipad Certificados digitales ios es compatible con los certificados digitales, para que los usuarios tengan acceso seguro y ágil a los servicios corporativos. Un certificado digital se compone de una clave pública, la información sobre el usuario y la autoridad de certificación que emitió el certificado. Los certificados digitales son una forma de identificación que permite la autenticación ágil, la integridad de datos y la encriptación. En el iphone y el ipad, los certificados pueden ser usados de diversas maneras. La firma de datos con un certificado digital ayuda a garantizar que la información no pueda ser alterada. Los certificados también pueden ser usados para garantizar la identidad del autor o firmante. Además, se utilizan para encriptar los perfiles de configuración y las comunicaciones de red, protegiendo aún más la información confidencial o privada. Formato de certificados e identidades compatibles: ios es compatible con certificados X.509 con claves RSA. Se reconocen las extensiones de archivos.cer,.crt,.der,.p12 y.pfx Certificados raíz Apenas lo sacas de la caja, ios incluye una serie de certificados raíz preinstalados. Para ver una lista de las raíces de sistema preinstaladas, consulta el artículo de Soporte de Apple en apple.com/kb/ht4415. Si estás usando un certificado raíz que no está preinstalado, tal como un certificado raíz autofirmado creado por tu empresa, puedes distribuirlo usando uno de los métodos enumerados en la sección Distribución e instalación de certificados, de este documento. Uso de certificados en ios Certificados digitales Los certificados digitales pueden ser usados para autenticar usuarios de forma segura en los servicios corporativos sin necesidad de nombres de usuario, contraseñas o tokens. En ios, la autenticación basada en certificados es compatible con el acceso a Microsoft Exchange ActiveSync, VPN y redes Wi-Fi. Autoridad de certificación Solicitud de autenticación Servicios corporativos Intranet, , VPN, Wi-F Servicio de directorio Certificados de servidores Los certificados digitales también pueden ser usados para validar y encriptar las comunicaciones de red. Esto permite una comunicación segura con los sitios web internos y externos. El navegador Safari puede comprobar la validez de un certificado digital X.509 y establecer una sesión segura con encriptación AES de 256 bits. Esto verifica que la identidad del sitio es legítima y que la comunicación con el sitio web está protegida para evitar la interceptación de datos personales o confidenciales. Solicitud HTTPS Servicios de red Autoridad de certificación

13 13 Distribución e instalación de certificados Distribuir certificados para iphone e ipad es muy simple. Cuando se recibe un certificado, los usuarios sólo deben tocar para revisar el contenido y volver a tocar para añadir el certificado a su dispositivo. Cuando se instala un certificado de identidad, los usuarios deben ingresar la contraseña que lo protege. Si la autenticidad de un certificado no puede ser verificada, los usuarios verán una advertencia antes de añadirlo a su dispositivo. Instalación de certificados mediante perfiles de configuración Si se usan perfiles de configuración para distribuir configuraciones de servicios corporativos, tales como Exchange, VPN o Wi-Fi, se pueden añadir certificados al perfil para simplificar la implementación. Instalación de certificados mediante Mail o Safari Si se envía un certificado por correo electrónico, aparecerá como un archivo adjunto. Es posible usar Safari para descargar certificados desde una página web. Puedes alojar un certificado en un sitio web seguro y brindar a los usuarios una URL donde descargar el certificado en sus dispositivos. Instalación mediante SCEP (Simple Certificate Enrollment Protocol) SCEP está diseñado para brindar un proceso simplificado que permita manejar la distribución de certificados para implementaciones a gran escala. Esto permite el registro a través del aire de certificados digitales en el iphone y el ipad, que pueden ser usados para la autenticación de servicios corporativos, así como para el registro con un servidor de administración de dispositivos móviles. Para más información sobre SCEP y Over-the-Air Enrollment, visita iphone/business/resources (México) o (resto de América Latina). Eliminación y revocación de certificados Para eliminar manualmente un certificado que ha sido instalado, selecciona Ajustes > General > Perfiles. Si eliminas un certificado requerido para el acceso a una cuenta o red, el dispositivo ya no podrá conectarse a esos servicios. Para eliminar certificados a través del aire, se puede usar un servidor de administración de dispositivos móviles. Este servidor puede ver todos los certificados en un dispositivo y eliminar los instalados. Además, el protocolo OCSP (Online Certificate Status Protocol) permite comprobar el estado de los certificados. Cuando se utiliza un certificado compatible con OCSP, ios lo valida para garantizar que no ha sido revocado antes de completar la tarea solicitada Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iphone, ipad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título informativo; Apple no asume responsabilidad relacionada con su uso. Marzo de 2012

14 Implementando iphone e ipad Descripción de seguridad ios, el sistema operativo del iphone y el ipad, está basado en capas de seguridad. A través de él, el iphone y el ipad pueden acceder de forma segura a los servicios corporativos y proteger datos importantes. ios ofrece encriptación sólida para los datos en transmisión, métodos comprobados de autenticación para acceso a los servicios corporativos, y encriptación de hardware para todos los datos en reposo. ios también brinda protección segura a través del uso de políticas de contraseña que pueden ser distribuidas y ejecutadas a través del aire. Además, si el dispositivo cae en las manos equivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado remoto para eliminar la información privada. Al considerar la seguridad de ios para uso empresarial, es útil conocer lo siguiente: Seguridad del dispositivo: métodos que previenen el uso no autorizado del dispositivo Seguridad de datos: protección de los datos en reposo, incluso si el dispositivo está roto o perdido Seguridad de la red: protocolos de red y encriptación de datos en transmisión Seguridad de apps: base segura para plataformas en ios Estas capacidades trabajan en conjunto para brindar una plataforma segura de informática móvil. Seguridad del dispositivo Contraseñas fuertes Expiración de la contraseña Historial de reutilización de la contraseña Máximo de intentos fallidos Ejecución inalámbrica de contraseñas Interrupción progresiva de la contraseña Seguridad del dispositivo El establecimiento de políticas sólidas para acceder al iphone y al ipad es fundamental para proteger la información corporativa. Las contraseñas de dispositivos son la primera línea de defensa contra el acceso no autorizado, y pueden ser configuradas y aplicadas de forma inalámbrica. Los dispositivos ios usan la contraseña establecida por cada usuario para generar una clave de encriptación fuerte que protege aún más el correo y los datos sensibles de las aplicaciones en el dispositivo. Además, ios brinda métodos seguros para configurar el dispositivo en un entorno empresarial con ajustes, políticas y restricciones específicas. Estos métodos ofrecen opciones flexibles para el establecimiento de un nivel estándar de protección para usuarios autorizados. Políticas de contraseñas Una contraseña en el dispositivo evita que los usuarios no autorizados accedan a los datos u obtengan acceso a ese dispositivo. ios te permite seleccionar entre un amplio conjunto de requisitos de contraseñas para atender tus necesidades de seguridad, como períodos de tiempo de espera, fuerza de la contraseña y frecuencia de modificación de la contraseña. Son compatibles las siguientes políticas de contraseñas: Solicitud de contraseña Permiso de valor simple Solicitud de valor alfanumérico Extensión mínima de contraseña Número mínimo de caracteres complejos Período máximo de contraseña Bloqueo automático Historial de contraseñas Período de gracia para bloqueo del dispositivo Número máximo de intentos fallidos

15 15 Ejecución de políticas Las políticas descritas pueden aplicarse al iphone y al ipad de diversas maneras. Las políticas pueden ser distribuidas como parte de un perfil de configuración a instalar. Un perfil puede ser definido para que sólo sea posible borrarlo con una contraseña de administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por completo todos los contenidos del dispositivo. Además, los ajustes de contraseñas pueden ser configurados de forma remota usando soluciones de administración de dispositivos móviles que pueden aplicar las políticas directamente al dispositivo. Esto permite que las políticas sean aplicadas y actualizadas sin interacción por parte del usuario. Alternativamente, si el dispositivo está configurado para acceder a una cuenta de Microsoft Exchange, las políticas de Exchange ActiveSync son aplicadas de forma inalámbrica en el dispositivo. Ten en cuenta que el conjunto disponible de políticas puede variar dependiendo de la versión de Exchange (2003, 2007 ó 2010). Consulta la guía de Exchange ActiveSync y dispositivos ios para ver un detalle de las políticas para tu configuración específica. Políticas y restricciones configurables compatibles: Funcionalidad de dispositivos Instalación de apps Uso de la cámara Uso de FaceTime Captura de pantalla Sincronización automática durante la itinerancia Uso del marcado por voz Compras dentro de apps Solicitud de la contraseña de la tienda para todas las compras Juegos multijugadores Agregado de amigos a Game Center Aplicaciones Uso de YouTube Uso de itunes Store Uso de Safari Configuración de las preferencias de seguridad de Safari icloud Copias de seguridad Sincronización de documentos y sincronización de valores clave Uso de Fotos en streaming Seguridad y privacidad Envío de datos de diagnóstico a Apple Aceptación de certificados no confiables por parte del usuario Ejecución de copias de seguridad encriptadas Calificaciones de contenido Habilitación de música y podcasts explícitos Definición de regiones de calificaciones Definición de calificaciones de contenidos permitidos Configuración segura de dispositivos Los perfiles de configuración son archivos XML que contienen políticas de seguridad y restricciones, información de configuración de la VPN, ajustes de Wi-Fi, cuentas de correo y calendario, y credenciales de autenticación para que el iphone y el ipad funcionen con los sistemas de tu empresa. La capacidad de establecer políticas de contraseñas, junto con los ajustes del dispositivo en un perfil de configuración, asegura que los dispositivos dentro de tu empresa estén configurados correctamente y de acuerdo con las normas de seguridad establecidas por tu organización. Además, ya que los perfiles de configuración pueden ser encriptados y bloqueados, los ajustes no pueden ser removidos, alterados o compartidos con otros. Los perfiles de configuración pueden ser firmados y encriptados. La firma de un perfil de configuración asegura que los ajustes no pueden ser alterados. La encriptación de un perfil de configuración protege los contenidos del perfil y sólo lo instala en el dispositivo para el cual fue creado. Los perfiles de configuración son encriptados usando CMS (Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128. La primera vez que distribuyes un perfil de configuración encriptado, lo instalas a través de sincronización por USB usando la herramienta de utilidad de configuración o de forma inalámbrica a través de Over-the-Air Enrollment. Además de estos métodos, la distribución posterior de perfiles de configuración encriptados puede ser realizada como adjuntos de correo electrónico, alojados en un sitio web accesible para los usuarios, o empujados al dispositivo a través de soluciones de administración de dispositivos móviles. Restricciones para dispositivos Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la red, como Safari, YouTube o el itunes Store, pero las restricciones también pueden controlar funcionalidades como la instalación de aplicaciones o el uso de la cámara. Las restricciones para dispositivos te permiten configurar el dispositivo según tus necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente con las prácticas de tu negocio. Las restricciones pueden ser configuradas manualmente en cada dispositivo, aplicadas con un perfil de configuración o establecidas de forma remota con soluciones de administración de dispositivos móviles. Además, las restricciones para la cámara y la navegación web pueden aplicarse de forma inalámbrica a través de Microsoft Exchange Server 2007 y Además de establecer restricciones y políticas en el dispositivo, la aplicación itunes puede ser configurada y controlada por el área de TI. Esto incluye deshabilitar el acceso al contenido explícito, definir qué usuarios de servicios de red pueden acceder dentro de itunes, y si hay nuevas actualizaciones de software para instalar. Para más información, consulta Implementar itunes en dispositivos ios.

16 16 Seguridad de los datos Seguridad de los datos Encriptación de hardware Protección de datos Borrado remoto Borrado local Perfiles de configuración encriptados Copias de seguridad de itunes encriptadas Proteger los datos almacenados en el iphone y el ipad es importante para cualquier entorno con un alto nivel de información confidencial corporativa o del cliente. Además de encriptar datos en la transmisión, el iphone y el ipad permiten la encriptación de hardware para los datos almacenados en el dispositivo, y la encriptación adicional de datos de correos y aplicaciones con una mejor protección de datos. Si un dispositivo se pierde o es robado es importante desactivar y borrar el dispositivo. También, es una buena idea tener una política que borre el dispositivo después de un número definido de intentos fallidos de ingreso de la contraseña, un impedimento clave contra los intentos de obtener acceso no autorizado al dispositivo. Encriptación El iphone y el ipad ofrecen encriptación basada en el hardware. La encriptación de hardware usa codificación AES de 256 bits para proteger todos los datos en el dispositivo. La encriptación está siempre activa y no puede ser deshabilitada por los usuarios. Además, es posible encriptar los datos de las copias de seguridad de itunes en la computadora de un usuario. Esto puede ser activado por el usuario o ejecutado mediante los ajustes de las restricciones del dispositivo en los perfiles de configuración. ios es compatible con S/MIME en el correo, lo que permite al iphone y al ipad ver y enviar mensajes de correo electrónico encriptados. Las restricciones también pueden ser usadas para evitar que los mensajes de correo sean movidos entre cuentas o los mensajes recibidos en una cuenta sean reenviados desde otra. Protección de datos Intervalo progresivo de contraseña El iphone y el ipad pueden ser configurados para iniciar automáticamente un borrado después de varios intentos fallidos de ingreso de la contraseña. Si un usuario ingresa varias veces la contraseña incorrecta, ios se inhabilitará por intervalos cada vez más largos. Luego de muchos intentos fallidos, se borrarán todos los datos y ajustes del dispositivo. Gracias a las capacidades de encriptación de hardware del iphone y el ipad, los mensajes y adjuntos de correo electrónico almacenados en el dispositivo pueden ser protegidos con las funcionalidades de protección de datos de ios. La protección de datos usa la contraseña de dispositivo de cada usuario, junto con la encriptación de hardware en el iphone y el ipad, para generar una sólida clave de encriptación. Esta clave evita el acceso a los datos cuando el dispositivo está bloqueado, garantizando que la información crítica esté protegida incluso si el dispositivo se ve comprometido. Para activar la funcionalidad de protección de datos, sólo tienes que establecer una contraseña en el dispositivo. La efectividad de la protección de datos depende de una contraseña fuerte, por lo que es importante exigir e implementar una contraseña mayor a cuatro dígitos a la hora de establecer sus políticas de contraseña corporativas. Los usuarios pueden verificar que la protección de datos esté habilitada en tu dispositivo mirando la pantalla de ajustes de la contraseña. Las soluciones de administración de dispositivos móviles también pueden consultar el dispositivo para obtener esta información. Estas API de protección de datos también están disponibles para desarrolladores, y pueden ser usadas para proteger los datos de aplicaciones internas o comerciales en la empresa. Borrado remoto ios permite el borrado remoto. Si un dispositivo se pierde o es robado, el administrador o dueño del dispositivo puede iniciar un comando de borrado remoto que elimina todos los datos y desactiva el dispositivo. Si el dispositivo está configurado con una cuenta de Exchange, el administrador puede iniciar un comando de borrado remoto con la consola de administración de Exchange (Exchange Server 2007) o la herramienta web de administración móvil de Exchange ActiveSync (Exchange Server 2003 ó 2007). Los usuarios de Exchange Server 2007 también pueden iniciar comandos de borrado remoto directamente a través de Outlook Web Access. Los comandos de borrado remoto también pueden ser iniciados por las soluciones de administración de dispositivos móviles, incluso si los servicios corporativos de Exchange no están en uso.

17 17 Borrado local Los dispositivos también pueden ser configurados para iniciar automáticamente un borrado local después de varios intentos fallidos de ingreso de la contraseña. Esto protege contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una contraseña, los usuarios pueden habilitar el borrado local directamente desde los ajustes. Por defecto, ios borrará automáticamente el dispositivo luego de 10 intentos fallidos. Al igual que con otras políticas de contraseña, el número máximo de intentos fallidos es establecido a través de un perfil de configuración, un servidor de administración de dispositivos móviles o, de forma inalámbrica, con políticas de Microsoft Exchange ActiveSync. Seguridad de red Cisco IPSec, L2TP, PPTP VPN integrados VPN SSL vía apps del App Store SSL/TLS con certificados X.509 WPA/WPA2 Enterprise con autenticación 802.1x basada en certificados RSA SecurID, CRYPTOCard Protocolos de VPN Cisco IPSec L2TP/IPSec PPTP VPN SSL Métodos de autenticación Contraseña (MSCHAPv2) RSA SecurID CRYPTOCard Certificados digitales x.509 Secreto compartido Protocolos de autenticación 802.1x EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Formatos de certificados compatibles ios es compatible con los certificados X.509 con claves RSA. Se reconocen las extensiones de archivos.cer,.crt y.der. icloud icloud almacena música, fotos, apps, calendarios, documentos y mucho más, y los actualiza automáticamente en todos los dispositivos del usuario. icloud también hace copias de seguridad de la información, como ajustes del dispositivo, datos de apps, y mensajes de texto y MMS, todos los días a través de Wi-Fi. icloud protege tu contenido, ya que lo encripta cuando se envía por Internet, lo almacena en un formato cifrado y usa tokens de seguridad para la autenticación. Además, las funcionalidades de icloud, como Fotos en streaming, sincronización de documentos y copias de seguridad, pueden ser deshabilitadas mediante un perfil de configuración. Para más información sobre la seguridad y privacidad de icloud, visita Seguridad de red Los usuarios móviles deben poder acceder a las redes de información corporativa desde cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios estén autorizados y que sus datos estén protegidos durante la transmisión. ios ofrece tecnologías comprobadas para lograr estos objetivos de seguridad, tanto para conexiones Wi-Fi como de redes celulares. Además de la infraestructura existente, cada sesión de FaceTime y la conversación de imessage es encriptada de punta a punta. ios crea un ID único para cada usuario, asegurando que las comunicaciones estén encriptadas, dirigidas y conectadas correctamente. VPN Muchos entornos empresariales tienen algún tipo de red privada virtual (VPN) establecida. Estos servicios de redes seguras ya están implementados y, por lo general, requieren una configuración mínima para funcionar con el iphone y el ipad. Apenas lo sacas de la caja, ios se integra con una amplia gama de tecnologías VPN usadas habitualmente a través del soporte de Cisco IPSec, L2TP y PPTP. ios es compatible con SSL VPN a través de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos protocolos garantiza el más alto nivel de encriptación basada en IP para la transmisión de información sensible. Además de permitir el acceso seguro a los entornos de VPN, ios ofrece métodos comprobados para la autenticación del usuario. Con la autenticación a través de certificados digitales x.509 estándar, los usuarios pueden acceder mejor a los recursos de la compañía y es una alternativa viable al uso de tokens basados en el hardware. Además, con la autenticación de certificados, ios puede usar VPN On Demand, para que el proceso de autenticación de VPN sea transparente, mientras brinda fuertes credenciales de acceso a los servicios de red. Para entornos empresariales que requieren un token de dos factores, ios se integra con RSA SecurID y CRYPTOCard. ios es compatible con la configuración proxy de red, así como con la división de tunneling IP, para que el tráfico a los dominios de redes públicas o privadas sea transmitido de acuerdo con las políticas específicas de tu compañía.

18 18 SSL/TLS ios es compatible con SSL v3, así como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el estándar de seguridad de última generación para Internet. Safari, Calendario, Mail y otras aplicaciones de Internet inician automáticamente estos mecanismos para habilitar un canal de comunicación encriptado entre ios y los servicios corporativos. WPA/WPA2 ios es compatible con WPA2 Enterprise para brindar acceso autenticado a la red inalámbrica de tu empresa. WPA2 Enterprise emplea encriptación AES de 128 bits, para que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos permanecerán protegidos a la hora de enviar y recibir comunicaciones a través de una conexión de red Wi-Fi. Además, con el soporte para 802.1x, el iphone y el ipad pueden ser integrados en una amplia gama de entornos de autenticación RADIUS. Seguridad de las apps Protección del tiempo de ejecución Firma obligatoria del código Servicios de llavero API de CommonCrypto Protección de datos de aplicaciones Seguridad de las apps ios es diseñado con la seguridad en su núcleo. Incluye un método aislado para la protección del tiempo de ejecución de las aplicaciones y requiere la firma de la aplicación para garantizar que las aplicaciones no pueden ser alteradas. ios también tiene una estructura segura que facilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un llavero encriptado. Para los desarrolladores, ofrece una arquitectura común de encriptación que puede ser usada para encriptar los datos de aplicaciones almacenados. Protección del tiempo de ejecución Las aplicaciones en el dispositivo están aisladas, para que no puedan acceder a datos almacenados por otras aplicaciones. Además, los archivos del sistema, los recursos y el núcleo están protegidos desde el espacio de la aplicación del usuario. Si una aplicación necesita acceder a los datos de otra aplicación, sólo puede hacerlo a través de las API y los servicios provistos por ios. También se evita la generación de código. Firma obligatoria del código Todas las aplicaciones de ios deben estar firmadas. Las aplicaciones provistas con el dispositivo están firmadas por Apple. Las aplicaciones de terceros están firmadas por el desarrollador mediante un certificado emitido por Apple. Esto garantiza que las aplicaciones no han sido manipuladas o alteradas. Además, se realizan controles del tiempo de ejecución para garantizar que una aplicación sigue siendo confiable desde la última vez que se utilizó. El uso de aplicaciones personalizadas o internas puede ser controlado con un perfil de aprovisionamiento. Los usuarios deben tener el perfil de aprovisionamiento instalado para ejecutar la aplicación. Los perfiles de aprovisionamiento pueden ser instalados o revocados de forma inalámbrica usando soluciones de administración de dispositivos móviles. Los administradores también pueden restringir el uso de una aplicación a dispositivos específicos. Esquema seguro de autenticación ios ofrece llaveros seguros y encriptados para almacenar las identidades digitales, los nombres de usuario y las contraseñas. Los datos del llavero son divididos para evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger las credenciales de autenticación en el iphone y el ipad a través de una amplia gama de aplicaciones y servicios dentro de la empresa. Arquitectura Common Crypto Los desarrolladores de aplicaciones tienen acceso a las API de encriptación, que pueden usar para proteger aún más los datos de sus aplicaciones. Los datos pueden ser encriptados métricamente empleando métodos comprobados, tales como AES, RC4 o 3DES. Además, el iphone y el ipad ofrecen aceleración de hardware para encriptación AES y hash SHA1, maximizando el desempeño de las aplicaciones.

19 19 Protección de los datos de las aplicaciones Las aplicaciones también pueden emplear la encriptación de hardware incluida en el iphone y el ipad para proteger aún más los datos sensibles de las aplicaciones. Los desarrolladores pueden designar a archivos específicos para la protección de datos, dando instrucciones al sistema para que el contenido del archivo sea criptográficamente inaccesible para la aplicación y para cualquier intruso potencial cuando se bloquea el dispositivo. Apps administradas Un servidor MDM puede administrar apps de terceros en el App Store, así como apps internas de la empresa. La designación de una app como administrada permite que el servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el servidor MDM. Además, el servidor puede evitar que los datos de la app administrada sean respaldados en itunes e icloud. Así, el área de TI puede administrar apps que pueden contener información confidencial de la empresa con más control que con las apps descargadas directamente por el usuario. Para instalar una app administrada el servidor MDM envía un comando de instalación al dispositivo. Las apps administradas requieren la aceptación del usuario antes de ser instaladas. Dispositivos revolucionarios y completamente seguros El iphone y el ipad ofrecen protección encriptada de los datos en tránsito, en reposo e incluidos en las copias de seguridad de icloud e itunes. Si un usuario está accediendo al correo electrónico corporativo, visitando un sitio web privado o autenticando su ingreso a la red corporativa, ios garantiza que únicamente los usuarios autorizados puedan acceder a la información corporativa sensible. Además, con su soporte para redes de nivel empresarial y métodos completos para prevenir la pérdida de datos, puedes implementar los dispositivos ios con la confianza de que estás implementando la mejor protección de datos y seguridad para dispositivos móviles Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, ipad, iphone, itunes y Safari son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. icloud e itunes Store son marcas de servicio de Apple Inc., registradas en los EE.UU. y en otros países. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Marzo de 2012

20 Implementando iphone e ipad Administración de dispositivos móviles ios es compatible con la administración de dispositivos móviles, brindando a las empresas la capacidad de administrar implementaciones a escala del iphone y el ipad en todas sus organizaciones. Estas capacidades MDM están basadas en las tecnologías ios existentes, como los perfiles de configuración, Over-the-Air Enrollment y el servicio de notificación push de Apple, además pueden ser integradas con soluciones de servidor internas o de terceros. Con esto, los departamentos de TI pueden registrar el iphone y el ipad de forma segura en un entorno empresarial, configurar y actualizar de forma inalámbrica los ajustes, monitorear el cumplimiento de las políticas corporativas e, incluso, borrar o bloquear de forma remota los dispositivos administrados. Cómo administrar el iphone y el ipad La administración de dispositivos ios se realiza a través de una conexión a un servidor de administración de dispositivos móviles. Este servidor puede ser creado internamente por TI o comprado a otro proveedor. El dispositivo se comunica con el servidor para ver si hay tareas pendientes y responde con las acciones apropiadas. Estas tareas pueden incluir la actualización de políticas, la provisión de la información de dispositivos o redes solicitada, o la eliminación de ajustes y datos. La mayoría de las funciones de administración son realizadas detrás de escena, sin interacción del usuario. Por ejemplo, si un departamento de TI actualiza su infraestructura de VPN, el servidor MDM puede configurar el iphone y el ipad con la nueva información de cuenta a través del aire. La próxima vez que la VPN es usada por el empleado, la configuración adecuada ya estará instalada, por lo que el empleado no necesita llamar a la mesa de ayuda o modificar manualmente los ajustes. Firewall Servicio de notificación push de Apple Servidor MDM de terceros

21 21 MDM y el servicio de notificación push de Apple Cuando un servidor MDM desea comunicarse con el iphone o el ipad, se envía una notificación silenciosa al dispositivo a través del servicio de notificación push de Apple, solicitando que se conecte al servidor. El proceso de notificación del dispositivo no envía ningún tipo de información confidencial o del servicio de notificación push de Apple. La única tarea que realiza la notificación es despertar al dispositivo para que se conecte al servidor MDM. Toda la información de configuración, ajustes y consultas es enviada directamente desde el servidor al dispositivo ios a través de una conexión SSL/TLS encriptada entre el dispositivo y el servidor MDM. ios maneja todas las solicitudes y acciones de MDM en un segundo plano para limitar el impacto en la experiencia del usuario, incluyendo la duración de la batería, el desempeño y la confiabilidad. ios and SCEP ios es compatible con el protocolo SCEP (Simple Certificate Enrollment Protocol). SCEP es un borrador de Internet, el IETF, y está diseñado para proporcionar una forma simplificada de manejar la distribución de certificados para implementaciones a gran escala. Esto permite el registro inalámbrico de los certificados de identidad para iphone e ipad, que pueden ser usados para la autenticación en los servicios corporativos. Para que el servidor de notificaciones push reconozca los comandos del servidor MDM, debe instalarse un primer certificado en el servidor. Este certificado debe ser solicitado y descargado desde el Portal de Certificados Push de Apple. Una vez que el certificado de notificación push de Apple es cargado en el servidor de MDM, los dispositivos pueden comenzar a registrarse. Configuración de la red de notificaciones push de Apple Cuando los servidores MDM y los dispositivos IOS están detrás del cortafuegos, son necesarias algunas configuraciones de red para que el servicio MDM funcione correctamente. Para enviar notificaciones desde un servidor MDM al servicio de notificaciones push de Apple, el puerto TCP 2195 debe estar abierto. Para llegar al servicio de información, el puerto TCP 2196 también debe estar abierto. Para dispositivos que se conectan al servicio push a través de Wi-Fi, el puerto TCP 5223 debe estar abierto. El rango de direcciones IP para el servicio push está sujeto a cambios; la expectativa es que un servidor MDM se conectará por nombre de host antes que por dirección IP. El servicio push emplea un esquema de equilibrio de carga que genera una dirección IP diferente para el mismo nombre de host. Este nombre es gateway.push.apple. com (y gateway.sandbox.push.apple.com para el entorno de notificaciones push de desarrollo). Además, todo el bloque /8 está asignado a Apple, por lo que las reglas del cortafuegos pueden ser establecidas para especificar ese rango. Para más información, consulta a tu proveedor de MDM o mira la Nota Técnica para Desarrolladores TN2265 en la Biblioteca para Desarrolladores de ios en ios/#technotes/tn2265/_index.html. Registro Una vez que se configuran el servidor MDM y la red, el primer paso en la administración del iphone o el ipad es registrarlos con un servidor MSM. Esto crea una relación entre el dispositivo y el servidor, permitiendo que el dispositivo sea administrado sin intervención del usuario. Esto puede ser realizado conectando el iphone o el ipad a una computadora a través de USB, pero la mayoría de las soluciones cuentan con un perfil de registro inalámbrico. Para comenzar este proceso, algunos proveedores de MDM usan una app, y otros inician el registro dirigiendo a los usuarios a un portal web. Cada método tiene sus ventajas, y ambos son usados para iniciar el proceso de Over-the-Air Enrollment a través de Safari.

22 22 Descripción del proceso de registro El proceso de Over-the-Air Enrollment involucra fases que están combinadas en un flujo de trabajo automatizado, para brindar una manera segura de registrar dispositivos dentro de la empresa. Estas fases son: 1. Autenticación de usuarios La autenticación de usuario asegura que las solicitudes de registro entrantes sean de usuarios autorizados y que la información del dispositivo del usuario sea capturada antes de proceder al registro del certificado. Los administradores pueden solicitar al usuario que inicie el proceso de registro a través de un portal web, correo electrónico, mensaje SMS o, incluso, una app. 2. Registro de certificados Una vez autenticado el usuario, ios genera una solicitud de registro del certificado usando el SCEP (Simple Certificate Enrollment Protocol). Esta solicitud de registro se comunica directamente con la Autoridad de Certificación de la empresa, y habilita al iphone y al ipad para recibir el certificado de identidad en respuesta. 3. Configuración de dispositivos Una vez que se instala un certificado de identidad el dispositivo puede recibir información de configuración encriptada a través del aire. Esta información sólo puede ser instalada en el dispositivo y contiene los ajustes necesarios para conectar al servidor MDM. Al final del proceso de registro, el usuario verá una pantalla de instalación que describe los derechos de acceso al servidor MDM contenidos en el dispositivo. Al aceptar la instalación del perfil el dispositivo del usuario es registrado automáticamente, sin necesidad de interacción. Una vez que el iphone y el ipad están registrados como dispositivos administrados pueden ser configurados dinámicamente con los ajustes, consultados en busca de información o eliminados de forma remota por el servidor MDM. Configuración Para configurar un dispositivo con cuentas, políticas y restricciones, el servidor MDM envía archivos, conocidos como perfiles de configuración, al dispositivo, que son instalados automáticamente. Los perfiles de configuración son archivos XML que contienen ajustes, como información de cuenta, políticas de contraseñas, restricciones y otros ajustes del dispositivo, para que el dispositivo funcione con tus sistemas empresariales. Cuando se combina con el proceso de registro discutido previamente, la configuración de dispositivos brinda al área de TI la garantía de que solamente los usuarios de confianza tienen acceso a los servicios corporativos, y que sus dispositivos están configurados correctamente con las políticas establecidas.

23 23 Además, ya que los perfiles de configuración pueden ser firmados y encriptados, los ajustes no pueden ser alterados o compartidos con otros. Ajustes configurables compatibles Cuentas Exchange ActiveSync Correo IMAP/POP Wi-Fi VPN LDAP CardDAV CalDAV Calendarios aceptados Políticas de contraseña Solicitud de contraseña en el dispositivo Permiso de valor simple Solicitud de valor alfanumérico Extensión mínima de contraseña Número mínimo de caracteres complejos Período máximo de contraseña Tiempo antes del bloqueo automático Historial de contraseña Período de gracia para bloqueo del dispositivo Número máximo de intentos fallidos Seguridad y privacidad Envío de datos de diagnóstico a Apple Aceptación de certificados no confiables por parte del usuario Ejecución de copias de seguridad encriptadas Otros ajustes Credenciales Clips web Ajustes de SCEP Ajustes de APN Funcionalidad de dispositivos Instalación de apps Uso de la cámara Uso de FaceTime Captura de pantalla Sincronización automática durante la itinerancia Uso del marcado por voz Compras dentro de apps Solicitud de la contraseña de la tienda para todas las compras Juegos multijugadores Agregado de amigos a Game Center Aplicaciones Uso de YouTube Uso de itunes Store Uso de Safari Configuración de preferencias de seguridad de Safari icloud Copias de seguridad Sincronización de documentos y valores claves Uso de Fotos en streaming Calificaciones de contenido Habilitación de música y podcasts explícitos Definición de regiones de calificaciones Definición de calificaciones de contenidos permitidos

24 24 Consulta de dispositivos Además de configurar los dispositivos, el servidor MDM tiene la capacidad de consultar diversa información en los dispositivos. Esta información puede ser usada para que los productos sigan cumpliendo con las políticas necesarias. Consultas compatibles Información del dispositivo Unique Device Identifier (UDID) Nombre del dispositivo ios y versión de ios Nombre y número del modelo Número de serie Capacidad y espacio disponible IMEI Firmware del módem Nivel de la batería Información de red ICCID Direcciones de Bluetooth y Wi-Fi MAC Red del operador actual Red del operador del abonado Versión de los ajustes del operador Número de teléfono Ajuste de itinerancia de datos (on/off) Información de cumplimiento y seguridad Perfiles de configuración instalados Certificados instalados con fecha de expiración Lista de todas las restricciones aplicadas Capacidad de encriptación de hardware Presentación de contraseña Aplicaciones Aplicaciones instaladas (ID, nombre, versión, tamaño y tamaño de datos) Aprovisionamiento de perfiles instalados con fechas de expiración Administración Con la Administración de Dispositivos Móviles, hay una serie de funciones de un servidor MDM que se pueden realizar en los dispositivos ios. Estas tareas incluyen la instalación y la eliminación de los perfiles de configuración y aprovisionamiento, la administración de apps, la finalización de la relación del MDM y el borrado remoto de un dispositivo. Ajustes administrados Durante el proceso inicial de configuración de un dispositivo, el servidor MDM envía perfiles de configuración al iphone y el ipad, que son instalados en un segundo plano. Con el tiempo, los ajustes y las políticas aplicadas en el momento del registro pueden tener que ser actualizados o cambiados. Para realizar estos cambios, un servidor MDM puede instalar nuevos perfiles de configuración, y modificar o eliminar perfiles existentes en cualquier momento. Además, es posible tener que instalar las configuraciones específicas del contexto en los dispositivos ios, dependiendo de la ubicación de un usuario o su rol en la organización. Por ejemplo, si un usuario está viajando a otro país, el servidor MDM puede requerir que las cuentas de correo sean sincronizadas manualmente, y no automáticamente. Incluso, el servidor MDM puede deshabilitar de forma remota los servicios de voz y datos para evitar que un usuario incurra en cargos por itinerancia de un proveedor de servicios inalámbricos. Apps administradas Un servidor MDM puede administrar apps de terceros en el App Store, así como apps internas de la empresa. La designación de una app como administrada permite que el servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el servidor MDM. Además, el servidor MDM puede evitar que los datos de la app administrada sean respaldados en itunes e icloud.

25 25 Para instalar una app administrada, el servidor MDM envia un comando de instalación al dispositivo del usuario. Las apps administradas requieren la aceptación del usuario previo a ser instaladas. Cuando un servidor MDM solicita la instalación de una app administrada desde el App Store, la app será canjeada con la cuenta de itunes utilizada en el momento de instalar la app. Eliminación o borrado de dispositivos Si un dispositivo se encuentra fuera de política, se ha perdido o fue robado, o si un empleado deja la empresa, un servidor MDM puede tomar medidas para proteger la información corporativa de varias maneras. Un administrador de TI puede terminar la relación de MDM con un dispositivo mediante la eliminación del perfil de configuración que contiene la información del servidor MDM. De ese modo, se quitan todas las cuentas, ajustes y apps que eran responsables por la instalación. Alternativamente, el área de TI puede mantener el perfil de configuración MDM en el lugar y usar MDM sólo para quitar los perfiles de configuración, perfiles de aprovisionamiento y las apps administradas específicas que desea eliminar. Este enfoque mantiene al dispositivo administrado por MDM y elimina la necesidad de volver a registrarlo una vez que esté dentro de la política. Ambos métodos brindan al área de TI la capacidad de asegurar que la información únicamente esté disponible para los usuarios y dispositivos compatibles, y garantiza que los datos corporativos sean quitados sin interferir con los datos personales del usuario, tales como música, fotos o apps personales. Para eliminar definitivamente todos los contenidos y datos en el dispositivo, y restaurar los ajustes de fábrica, MDM puede borrar el iphone y el ipad de forma remota. Si un usuario sigue buscando el dispositivo el área de TI también puede optar por enviar un comando de bloqueo remoto al dispositivo. Esto bloquea la pantalla y solicita la contraseña del usuario para desbloquearlo. Si un usuario ha olvidado la contraseña, el servidor MDM puede eliminarla desde el dispositivo y pedir al usuario que cree una nueva en un plazo de 60 minutos. Comandos de administración compatibles Ajustes administrados Instalación de perfil de configuración Eliminación de perfil de configuración Itinerancia de datos Itinerancia de voz (no está disponible en todos los operadores) Apps administradas Instalación de app administrada Eliminación de app administrada Mostrar todas las apps administradas Instalación de perfil de aprovisionamiento Eliminación de perfil de aprovisionamiento Comandos de seguridad Borrado remoto Bloqueo remoto Limpiar contraseña

26 26 Descripción del proceso Este ejemplo describe una implementación básica de un servidor de administración de dispositivos móviles. 1 Firewall Servidor de notificaciones push de Apple Servidor MDM de terceros Un perfil de configuración que contiene la información del servidor de administración de dispositivos móviles es enviado al dispositivo. El usuario recibe la información sobre qué será administrado y/o consultado por el servidor. El usuario instala el perfil a ser incluido en el dispositivo administrado. El registro del dispositivo tiene lugar a medida que el perfil es instalado. El servidor valida el dispositivo y permite el acceso. El servidor envía una notificación push que lleva al dispositivo a verificar tareas o consultas. El dispositivo se conecta directamente al servidor sobre HTTPS. El servidor envía comandos o solicita información Apple Inc. Todos los derechos reservados. Apple, el logo de Apple, FaceTime, ipad, iphone, itunes y Safari son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. icloud e itunes Store son marcas de servicio de Apple Inc., registradas en los EE.UU. y en otros países. App Store es una marca de servicio de Apple Inc. La palabra Bluetooth es una marca registrada de Bluetooth SIG, Inc., y cualquier uso de tal marca por Apple está bajo licencia. UNIX es una marca registrada de The Open Group. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Marzo de 2012

27 Deploying iphone and ipad Apple Configurator ios devices can be configured for enterprise deployment using a wide variety of tools and methods. End users can set up devices manually with a few simple instructions from IT, or device setup can be automated using Configuration Profiles or a third-party Mobile Device Management (MDM) server. System requirements Mac computer OS X Lion v itunes 10.6 Apple Configurator works with devices running ios 4.3 or later, and can supervise devices running ios 5.0 or later. In some deployments, an IT department may want to mass configure a set of devices with the same settings and apps before the devices are placed in the hands of end users. This is often the case when the same device will be used by different people throughout the day. But other deployments require that the devices be tightly managed and reset to a specific configuration on a regular basis. Apple Configurator for OS X Lion makes it easy to mass configure and deploy iphone and ipad in situations like these by enabling three simple options: Prepare devices. You can Prepare a set of new ios devices with a single central configuration, and then deploy them to users. Update devices to the latest version of ios, install Configuration Profiles and apps, enroll them with your organization s MDM server, and then hand them out. Preparing devices is a great deployment option when your organization wants to provide ios devices to employees for their day-to-day use. Supervise devices. Another option is to Supervise a set of ios devices that remain in your direct control and can be configured on an ongoing basis. Apply a configuration to each device, then reapply it automatically after each use just by reconnecting the device to Apple Configurator. Supervision is ideal for deploying devices for dedicated tasks (for example, retail, field service, medical), sharing devices among students in a classroom or a lab, or temporarily loaning ios devices to customers (for example, hotels, restaurants, hospitals). Assign devices. Lastly, you can Assign supervised devices to specific users in your organization. Check out a device to a specific user and restore that user s backup (including all of their data) to the device. When the device is checked back in, back up the user s data for later use even on a different device. This option works well when users need to work with the same data and documents over a prolonged period, regardless of which device they are given.