Implementando iPhone e iPad Administración de dispositivos móviles iOS es compatible con la administración de dispositivos móviles, brindando a las empresas la capacidad de administrar implementaciones a escala del iPhone y el iPad en todas sus organizaciones. Estas capacidades MDM están basadas en las tecnologías iOS existentes, como los perfiles de configuración, Over-the-Air Enrollment y el servicio de notificación push de Apple, además pueden ser integradas con soluciones de servidor internas o de terceros. Con esto, los departamentos de TI pueden registrar el iPhone y el iPad de forma segura en un entorno empresarial, configurar y actualizar de forma inalámbrica los ajustes, monitorear el cumplimiento de las políticas corporativas e, incluso, borrar o bloquear de forma remota los dispositivos administrados. Cómo administrar el iPhone y el iPad La administración de dispositivos iOS se realiza a través de una conexión a un servidor de administración de dispositivos móviles. Este servidor puede ser creado internamente por TI o comprado a otro proveedor. El dispositivo se comunica con el servidor para ver si hay tareas pendientes y responde con las acciones apropiadas. Estas tareas pueden incluir la actualización de políticas, la provisión de la información de dispositivos o redes solicitada, o la eliminación de ajustes y datos. La mayoría de las funciones de administración son realizadas detrás de escena, sin interacción del usuario. Por ejemplo, si un departamento de TI actualiza su infraestructura de VPN, el servidor MDM puede configurar el iPhone y el iPad con la nueva información de cuenta a través del aire. La próxima vez que la VPN es usada por el empleado, la configuración adecuada ya estará instalada, por lo que el empleado no necesita llamar a la mesa de ayuda o modificar manualmente los ajustes. Firewall Servicio de notificación push de Apple Servidor MDM de terceros 2 MDM y el servicio de notificación push de Apple Cuando un servidor MDM desea comunicarse con el iPhone o el iPad, se envía una notificación silenciosa al dispositivo a través del servicio de notificación push de Apple, solicitando que se conecte al servidor. El proceso de notificación del dispositivo no envía ningún tipo de información confidencial o del servicio de notificación push de Apple. La única tarea que realiza la notificación es despertar al dispositivo para que se conecte al servidor MDM. Toda la información de configuración, ajustes y consultas es enviada directamente desde el servidor al dispositivo iOS a través de una conexión SSL/TLS encriptada entre el dispositivo y el servidor MDM. iOS maneja todas las solicitudes y acciones de MDM en un segundo plano para limitar el impacto en la experiencia del usuario, incluyendo la duración de la batería, el desempeño y la confiabilidad. iOS and SCEP iOS es compatible con el protocolo SCEP (Simple Certificate Enrollment Protocol). SCEP es un borrador de Internet, el IETF, y está diseñado para proporcionar una forma simplificada de manejar la distribución de certificados para implementaciones a gran escala. Esto permite el registro inalámbrico de los certificados de identidad para iPhone e iPad, que pueden ser usados para la autenticación en los servicios corporativos. Para que el servidor de notificaciones push reconozca los comandos del servidor MDM, debe instalarse un primer certificado en el servidor. Este certificado debe ser solicitado y descargado desde el Portal de Certificados Push de Apple. Una vez que el certificado de notificación push de Apple es cargado en el servidor de MDM, los dispositivos pueden comenzar a registrarse. Configuración de la red de notificaciones push de Apple Cuando los servidores MDM y los dispositivos IOS están detrás del cortafuegos, son necesarias algunas configuraciones de red para que el servicio MDM funcione correctamente. Para enviar notificaciones desde un servidor MDM al servicio de notificaciones push de Apple, el puerto TCP 2195 debe estar abierto. Para llegar al servicio de información, el puerto TCP 2196 también debe estar abierto. Para dispositivos que se conectan al servicio push a través de Wi-Fi, el puerto TCP 5223 debe estar abierto. El rango de direcciones IP para el servicio push está sujeto a cambios; la expectativa es que un servidor MDM se conectará por nombre de host antes que por dirección IP. El servicio push emplea un esquema de equilibrio de carga que genera una dirección IP diferente para el mismo nombre de host. Este nombre es gateway.push.apple. com (y gateway.sandbox.push.apple.com para el entorno de notificaciones push de desarrollo). Además, todo el bloque 17.0.0.0/8 está asignado a Apple, por lo que las reglas del cortafuegos pueden ser establecidas para especificar ese rango. Para más información, consulta a tu proveedor de MDM o mira la Nota Técnica para Desarrolladores TN2265 en la Biblioteca para Desarrolladores de iOS en http://developer.apple.com/library/ ios/#technotes/tn2265/_index.html. Registro Una vez que se configuran el servidor MDM y la red, el primer paso en la administración del iPhone o el iPad es registrarlos con un servidor MSM. Esto crea una relación entre el dispositivo y el servidor, permitiendo que el dispositivo sea administrado sin intervención del usuario. Esto puede ser realizado conectando el iPhone o el iPad a una computadora a través de USB, pero la mayoría de las soluciones cuentan con un perfil de registro inalámbrico. Para comenzar este proceso, algunos proveedores de MDM usan una app, y otros inician el registro dirigiendo a los usuarios a un portal web. Cada método tiene sus ventajas, y ambos son usados para iniciar el proceso de Over-the-Air Enrollment a través de Safari. 3 Descripción del proceso de registro El proceso de Over-the-Air Enrollment involucra fases que están combinadas en un flujo de trabajo automatizado, para brindar una manera segura de registrar dispositivos dentro de la empresa. Estas fases son: 1. Autenticación de usuarios La autenticación de usuario asegura que las solicitudes de registro entrantes sean de usuarios autorizados y que la información del dispositivo del usuario sea capturada antes de proceder al registro del certificado. Los administradores pueden solicitar al usuario que inicie el proceso de registro a través de un portal web, correo electrónico, mensaje SMS o, incluso, una app. 2. Registro de certificados Una vez autenticado el usuario, iOS genera una solicitud de registro del certificado usando el SCEP (Simple Certificate Enrollment Protocol). Esta solicitud de registro se comunica directamente con la Autoridad de Certificación de la empresa, y habilita al iPhone y al iPad para recibir el certificado de identidad en respuesta. 3. Configuración de dispositivos Una vez que se instala un certificado de identidad el dispositivo puede recibir información de configuración encriptada a través del aire. Esta información sólo puede ser instalada en el dispositivo y contiene los ajustes necesarios para conectar al servidor MDM. Al final del proceso de registro, el usuario verá una pantalla de instalación que describe los derechos de acceso al servidor MDM contenidos en el dispositivo. Al aceptar la instalación del perfil el dispositivo del usuario es registrado automáticamente, sin necesidad de interacción. Una vez que el iPhone y el iPad están registrados como dispositivos administrados pueden ser configurados dinámicamente con los ajustes, consultados en busca de información o eliminados de forma remota por el servidor MDM. Configuración Para configurar un dispositivo con cuentas, políticas y restricciones, el servidor MDM envía archivos, conocidos como perfiles de configuración, al dispositivo, que son instalados automáticamente. Los perfiles de configuración son archivos XML que contienen ajustes, como información de cuenta, políticas de contraseñas, restricciones y otros ajustes del dispositivo, para que el dispositivo funcione con tus sistemas empresariales. Cuando se combina con el proceso de registro discutido previamente, la configuración de dispositivos brinda al área de TI la garantía de que solamente los usuarios de confianza tienen acceso a los servicios corporativos, y que sus dispositivos están configurados correctamente con las políticas establecidas. 4 Además, ya que los perfiles de configuración pueden ser firmados y encriptados, los ajustes no pueden ser alterados o compartidos con otros. Ajustes configurables compatibles Cuentas • Exchange ActiveSync • Correo IMAP/POP • Wi-Fi • VPN • LDAP • CardDAV • CalDAV • Calendarios aceptados Políticas de contraseña • Solicitud de contraseña en el dispositivo • Permiso de valor simple • Solicitud de valor alfanumérico • Extensión mínima de contraseña • Número mínimo de caracteres complejos • Período máximo de contraseña • Tiempo antes del bloqueo automático • Historial de contraseña • Período de gracia para bloqueo del dispositivo • Número máximo de intentos fallidos Seguridad y privacidad • Envío de datos de diagnóstico a Apple • Aceptación de certificados no confiables por parte del usuario • Ejecución de copias de seguridad encriptadas Otros ajustes • Credenciales • Clips web • Ajustes de SCEP • Ajustes de APN Funcionalidad de dispositivos • Instalación de apps • Uso de la cámara • Uso de FaceTime • Captura de pantalla • Sincronización automática durante la itinerancia • Uso del marcado por voz • Compras dentro de apps • Solicitud de la contraseña de la tienda para todas las compras • Juegos multijugadores • Agregado de amigos a Game Center Aplicaciones • Uso de YouTube • Uso de iTunes Store • Uso de Safari • Configuración de preferencias de seguridad de Safari iCloud • Copias de seguridad • Sincronización de documentos y valores claves • Uso de Fotos en streaming Calificaciones de contenido • Habilitación de música y podcasts explícitos • Definición de regiones de calificaciones • Definición de calificaciones de contenidos permitidos 5 Consulta de dispositivos Además de configurar los dispositivos, el servidor MDM tiene la capacidad de consultar diversa información en los dispositivos. Esta información puede ser usada para que los productos sigan cumpliendo con las políticas necesarias. Consultas compatibles Información del dispositivo • Unique Device Identifier (UDID) • Nombre del dispositivo • iOS y versión de iOS • Nombre y número del modelo • Número de serie • Capacidad y espacio disponible • IMEI • Firmware del módem • Nivel de la batería Información de red • ICCID • Direcciones de Bluetooth® y Wi-Fi MAC • Red del operador actual • Red del operador del abonado • Versión de los ajustes del operador • Número de teléfono • Ajuste de itinerancia de datos (on/off) Información de cumplimiento y seguridad • Perfiles de configuración instalados • Certificados instalados con fecha de expiración • Lista de todas las restricciones aplicadas • Capacidad de encriptación de hardware • Presentación de contraseña Aplicaciones • Aplicaciones instaladas (ID, nombre, versión, tamaño y tamaño de datos) • Aprovisionamiento de perfiles instalados con fechas de expiración Administración Con la Administración de Dispositivos Móviles, hay una serie de funciones de un servidor MDM que se pueden realizar en los dispositivos iOS. Estas tareas incluyen la instalación y la eliminación de los perfiles de configuración y aprovisionamiento, la administración de apps, la finalización de la relación del MDM y el borrado remoto de un dispositivo. Ajustes administrados Durante el proceso inicial de configuración de un dispositivo, el servidor MDM envía perfiles de configuración al iPhone y el iPad, que son instalados en un segundo plano. Con el tiempo, los ajustes y las políticas aplicadas en el momento del registro pueden tener que ser actualizados o cambiados. Para realizar estos cambios, un servidor MDM puede instalar nuevos perfiles de configuración, y modificar o eliminar perfiles existentes en cualquier momento. Además, es posible tener que instalar las configuraciones específicas del contexto en los dispositivos iOS, dependiendo de la ubicación de un usuario o su rol en la organización. Por ejemplo, si un usuario está viajando a otro país, el servidor MDM puede requerir que las cuentas de correo sean sincronizadas manualmente, y no automáticamente. Incluso, el servidor MDM puede deshabilitar de forma remota los servicios de voz y datos para evitar que un usuario incurra en cargos por itinerancia de un proveedor de servicios inalámbricos. Apps administradas Un servidor MDM puede administrar apps de terceros en el App Store, así como apps internas de la empresa. La designación de una app como administrada permite que el servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el servidor MDM. Además, el servidor MDM puede evitar que los datos de la app administrada sean respaldados en iTunes e iCloud. 6 Para instalar una app administrada, el servidor MDM envia un comando de instalación al dispositivo del usuario. Las apps administradas requieren la aceptación del usuario previo a ser instaladas. Cuando un servidor MDM solicita la instalación de una app administrada desde el App Store, la app será canjeada con la cuenta de iTunes utilizada en el momento de instalar la app. Eliminación o borrado de dispositivos Si un dispositivo se encuentra fuera de política, se ha perdido o fue robado, o si un empleado deja la empresa, un servidor MDM puede tomar medidas para proteger la información corporativa de varias maneras. Un administrador de TI puede terminar la relación de MDM con un dispositivo mediante la eliminación del perfil de configuración que contiene la información del servidor MDM. De ese modo, se quitan todas las cuentas, ajustes y apps que eran responsables por la instalación. Alternativamente, el área de TI puede mantener el perfil de configuración MDM en el lugar y usar MDM sólo para quitar los perfiles de configuración, perfiles de aprovisionamiento y las apps administradas específicas que desea eliminar. Este enfoque mantiene al dispositivo administrado por MDM y elimina la necesidad de volver a registrarlo una vez que esté dentro de la política. Ambos métodos brindan al área de TI la capacidad de asegurar que la información únicamente esté disponible para los usuarios y dispositivos compatibles, y garantiza que los datos corporativos sean quitados sin interferir con los datos personales del usuario, tales como música, fotos o apps personales. Para eliminar definitivamente todos los contenidos y datos en el dispositivo, y restaurar los ajustes de fábrica, MDM puede borrar el iPhone y el iPad de forma remota. Si un usuario sigue buscando el dispositivo el área de TI también puede optar por enviar un comando de bloqueo remoto al dispositivo. Esto bloquea la pantalla y solicita la contraseña del usuario para desbloquearlo. Si un usuario ha olvidado la contraseña, el servidor MDM puede eliminarla desde el dispositivo y pedir al usuario que cree una nueva en un plazo de 60 minutos. Comandos de administración compatibles Ajustes administrados • Instalación de perfil de configuración • Eliminación de perfil de configuración • Itinerancia de datos • Itinerancia de voz (no está disponible en todos los operadores) Apps administradas • Instalación de app administrada • Eliminación de app administrada • Mostrar todas las apps administradas • Instalación de perfil de aprovisionamiento • Eliminación de perfil de aprovisionamiento Comandos de seguridad • Borrado remoto • Bloqueo remoto • Limpiar contraseña 7 Descripción del proceso Este ejemplo describe una implementación básica de un servidor de administración de dispositivos móviles. 1 Firewall 3 2 4 Servidor de notificaciones push de Apple Servidor MDM de terceros 5 1 Un perfil de configuración que contiene la información del servidor de administración de dispositivos móviles es enviado al dispositivo. El usuario recibe la información sobre qué será administrado y/o consultado por el servidor. 2 El usuario instala el perfil a ser incluido en el dispositivo administrado. 3 El registro del dispositivo tiene lugar a medida que el perfil es instalado. El servidor valida el dispositivo y permite el acceso. 4 El servidor envía una notificación push que lleva al dispositivo a verificar tareas o consultas. 5 El dispositivo se conecta directamente al servidor sobre HTTPS. El servidor envía comandos o solicita información. © 2012 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple, FaceTime, iPad, iPhone, iTunes y Safari son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. iCloud e iTunes Store son marcas de servicio de Apple Inc., registradas en los EE.UU. y en otros países. App Store es una marca de servicio de Apple Inc. La palabra Bluetooth es una marca registrada de Bluetooth SIG, Inc., y cualquier uso de tal marca por Apple está bajo licencia. UNIX es una marca registrada de The Open Group. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Marzo de 2012