ios-driftsättning Teknisk referens

Transkript

1 ios-driftsättning Teknisk referens ios 7.1 Maj 2014

2 Innehållsförteckning Sidan 3 Sidan 4 Sidan 4 Sidan 6 Sidan 6 Sidan 7 Introduktion Kapitel1: Integrering Microsoft Exchange Standardbaserade tjänster Wi-Fi VPN-nätverk Sidan 13 VPN per app Sidan 13 Enkel inloggning Sidan 14 Digitala certifikat Sidan 15 Bonjour Sidan 16 Kapitel 2: Säkerhet Sidan 16 Enhetssäkerhet Sidan 18 Kryptering och dataskydd Sidan 20 Nätverkssäkerhet Sidan 20 Appsäkerhet Sidan 21 Internettjänster Sidan 23 Kapitel 3: Konfigurering och hantering Sidan 23 Enhetsinställning och aktivering Sidan 24 Konfigurationsprofiler Sidan 24 MDM (Mobile Device Management) Sidan 27 Enhetsövervakning Sidan 28 Kapitel 4: Appdistribution Sidan 28 Interna appar Sidan 30 Driftsätta appar Sidan 31 Caching Server Sidan 32 Bilaga A: Wi-Fi-infrastruktur Sidan 35 Bilaga B: Begränsningar Sidan 37 Bilaga C: Installera interna appar trådlöst 2

3 Introduktion Den här guiden är framtagen för IT-administratörer som vill stödja ios-enheter i sina nätverk. Den innehåller information om driftsättning och support av iphone, ipad och ipod touch i stora organisationer som företag eller utbildningsinstitutioner. Den förklarar på vilket sätt ios-enheter förser organisationen med omfattande säkerhetsfunktioner, integrering med befintlig infrastruktur och kraftfulla verktyg för driftsättning. Genom att förstå den centrala tekniken i ios kan du implementera en driftsättningsstrategi som ger bästa möjliga användarupplevelse. Följande kapitel fungerar som tekniskt referensmaterial när du driftsätter ios-enheter i organisationen. Integrering. ios-enheter har inbyggt stöd för en mängd olika nätverksinfrastrukturer. I det här avsnittet får du lära dig om vilka tekniker som stöds av ios och hur du bäst integrerar dem med Microsoft Exchange, Wi-Fi, VPN och andra standardtjänster. Säkerhet. ios skyddar viktiga data och möjliggör säkra anslutningar till företagstjänster. ios har kraftfull kryptering för dataöverföring, beprövade autentiseringsmetoder för anslutning till företagstjänster och hårdvarubaserad kryptering för alla data på enheten. I det här kapitlet hittar du mer information om säkerhetsrelaterade funktioner i ios. Konfiguration och hantering. ios stöder avancerade verktyg och tekniker som gör att enheterna är enkla att installera, konfigurera enligt organisationens behov och hantera i storskaliga miljöer. Det här kapitlet beskriver olika verktyg för driftsättning och innehåller även en översikt av MDM (Mobile Device Management). Distribution av appar. Det finns en rad olika sätt att distribuera appar och innehåll inom organisationen. Med ios Developer Enterprise Program kan din organisation driftsätta appar för interna användare. I det här kapitlet får du en djupgående förståelse för dessa program och hur du driftsätter internt utvecklade appar. Följande bilagor innehåller ytterligare teknisk information och krav: Wi-Fi-infrastruktur. Information om vilka Wi-Fi-standarder som stöds av ios och vad som bör beaktas vid planering av storskaliga Wi-Fi-nätverk. Begränsningar. Information om vilka begränsningar som kan användas för att konfigurera ios-enheter enligt organisationens krav på säkerhet, lösenkoder och annat. Installera interna appar trådlöst. Information om vad som krävs för att distribuera interna appar via en webbaserad portal. Ytterligare resurser Följande webbplatser innehåller relaterad information:

4 Kapitel 1: Integrering ios-enheter har inbyggt stöd för en mängd olika nätverksinfrastrukturer. De stöder följande: Vanliga tredjepartssystem som Microsoft Exchange Integrering med standardbaserade system för e-post, kataloger, kalendrar och liknande Standardbaserade Wi-Fi-protokoll för dataöverföring och kryptering VPN (Virtual Private Network) och VPN per app Enkel inloggning, vilket förenklar autentisering av nätverksanslutna appar och tjänster Digitala certifikat för autentisering av användare och säker kommunikation Eftersom stödet är inbyggt i ios krävs det bara att IT-avdelningen gör några få inställningar för att integrera ios-enheterna i den befintliga infrastrukturen. Läs vidare för mer information om ios-tekniker och hur du bäst integrerar dem. Microsoft Exchange ios kan kommunicera direkt med Microsoft Exchange Server via Microsoft Exchange ActiveSync (EAS), vilket gör det möjligt att använda push-teknik för överföring av e-post, kalendrar, kontakter, anteckningar och aktiviteter. Exchange ActiveSync ger även användarna åtkomst till GAL (Global Address List) och hjälper administratörer att upprätthålla lösenkodspolicyer samt ger dem möjlighet till fjärradering. ios stöder både grundläggande och certifikatbaserad autentisering för Exchange ActiveSync. Om ditt företag redan använder Exchange ActiveSync har du allt som behövs för stöd av ios ingen ytterligare konfigurering krävs. Krav Enheter med ios 7 eller senare stöder följande versioner av Microsoft Exchange: Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (via EAS 2.5) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (via EAS 14.1) Exchange Server 2013 (via EAS 14.1) Office 365 (via EAS 14.1) Microsoft Direct Push Exchange Server skickar automatiskt e-post, uppgifter, kontakter och kalenderaktiviteter till ios-enheter om de är anslutna via mobilnät eller Wi-Fi. ipod touch och vissa ipad-modeller saknar mobilnätsanslutning och kan bara ta emot pushnotiser när de anslutna till ett Wi-Fi-nätverk. 4

5 Microsoft Exchange Autodiscovery ios stöder Autodiscover-tjänsten i Microsoft Exchange Server 2007 och Microsoft Exchange Server När du konfigurerar en enhet manuellt använder Autodiscover din e-postadress och lösenord för att ta reda på rätt Exchange Server-information. Mer information om hur du aktiverar Autodiscover-tjänsten finns på webbplatsen om Autodiscover-tjänsten. Microsoft Exchange Global Address List ios-enheter kan ta emot kontaktinformation från Exchange Server-baserade företagskataloger. Du kommer åt katalogen när du söker i Kontakter och den används automatiskt till att komplettera e-postadresser medan du skriver dem. ios 6 eller senare stöder GAL-bilder (kräver Exchange Server 2010 SP 1 eller senare). Exchange ActiveSync-funktioner som inte stöds Följande Exchange-funktioner saknar stöd: Öppning av länkar i mejl som går till dokument lagrade på SharePoint-servrar Inställning av autosvar vid frånvaro Identifiera ios-versioner via Exchange När en ios-enhet ansluter till en Exchange Server meddelar den sin ios-version. Versionsnumret skickas i User Agent-fältet i serverbegäran och har följande format: Apple-iPhone2C1/ Numret efter avgränsaren (/) är ios-byggnumret som är unikt för varje ios-version. Du hittar enhetens byggnummer under Inställningar > Allmänt > Om. Versionsnumret och byggnumret visas som exempelvis 4.1 (8B117A). Numret inom parenteser är byggnumret som visar vilken version enheten använder. När byggnumret skickas till Exchange Server konverteras det från formatet NANNNA (där N är siffror och A är alfabetiska tecken) till Exchange-formatet NNN.NNN. Numeriska värden behålls medan bokstäver konverteras till ett värde enligt deras position i alfabetet. F konverteras exempelvis till 06 eftersom det är den sjätte bokstaven i alfabetet. En nolla används vid behov som utfyllnadstecken för att numren ska passa Exchange-formatet. I det här exemplet konverteras byggnumret 7E18 till Den första siffran, 7, förblir 7. Bokstaven E är den femte bokstaven i alfabetet och konverteras därför till 05. En punkt (.) läggs till i den konverterade versionen enligt formatkraven. Nästa nummer, 18, får en nolla som utfyllnadstecken och konverteras till 018. Om byggnumret slutar med en bokstav, som 5H11A, konverteras numret enligt ovan och det sista tecknets numeriska värde läggs till i strängen efter tre nollor. 5H11A blir Fjärradering Du kan fjärradera innehållet på en ios-enhet med hjälp av funktioner i Exchange. Raderingen tar bort alla data och konfigurationsinställningar på enheten. Enheten raderas på ett säkert sätt och återställs till fabriksinställningarna. Raderingen tar bort krypteringsnyckeln till enhetens data (som är krypterade med 256-bitars AES-kryptering), vilket omedelbart förstör alla data permanent. Med Microsoft Exchange Server 2007 eller senare kan du sköta fjärradering med Exchange Management Console, Outlook Web Access eller med webbverktyget Exchange ActiveSync Mobile Administration. Med Microsoft Exchange Server 2003 kan du starta en fjärradering med webbverktyget Exchange ActiveSync Mobile Administration. Användare kan även radera sina egna enheter genom att gå till Inställningar > Allmänt > Nollställ och välja Radera allt innehåll och inst.. Enheter kan också konfigureras för att automatiskt sätta igång en radering efter ett visst antal misslyckade lösenkodsförsök. 5

6 Standardbaserade tjänster ios stöder IMAP-protokollet för e-post, LDAP-katalogtjänster samt protokoll för CalDAV-kalendrar och CardDAV-kontakter. Detta betyder att ios kan integreras med i princip alla standardbaserade miljöer. Om nätverksmiljön kräver användarautentisering och SSL erbjuder ios en säker metod för åtkomst till standardbaserade företagstjänster för e-post, kalendrar, uppgifter och kontakter. Tack vare SSL stöder ios 128-bitars kryptering och X.509-rotcertifikat från erkända certifikatutfärdare. I en vanlig driftsättningsmodell ansluter ios-enheter direkt till IMAP- och SMTP-baserade e-postservrar för att sända och ta emot e-post trådlöst. De kan även synkronisera anteckningar trådlöst med IMAP-baserade servrar. ios-enheter kan ansluta till företagets LDAPv3-baserade företagskataloger, vilket ger användarna tillgång till företagskontakter i apparna Mail, Kontakter och Meddelanden. Synkronisering med en CalDAV-server gör det möjligt för användare att trådlöst skapa och acceptera kalenderinbjudningar, ta emot kalenderuppdateringar och synkronisera uppgifter med appen Påminnelser. Stödet för CardDAV gör det möjligt för användare att synkronisera kontakter med en CardDAV-server med hjälp av vcard-formatet. Alla nätverksservrar kan placeras i ett DMZ-delnätverk, bakom en företagsbrandvägg, eller både och. Wi-Fi ios kan redan från början ansluta säkert till Wi-Fi-baserade företags- och gästnätverk, vilket möjliggör snabb och enkel anslutning till trådlösa nätverk både på campus och i farten. Ansluta till Wi-Fi-nätverk Användare kan ställa in sina ios-enheter att automatiskt ansluta till tillgängliga Wi-Fi-nätverk. Det går snabbt att ansluta till WiFi-nätverk som kräver inloggningsuppgifter eller annan information utan att öppna ett skilt webbläsarfönster. Anslutningen kan istället göras från Wi-Fi-inställningarna eller i appar som Mail. Tack vare strömsnål och avbrottsfri Wi-Fi-anslutning kan appar ta emot pushnotiser via Wi-Fi-nätverk. WPA2 Enterprise ios stöder trådlösa nätverksprotokoll enligt branschstandard, exempelvis WPA2 Enterprise, vilket ger säker åtkomst till trådlösa företagsnätverk från ios-enheter. WPA2 Enterprise använder 128-bitars AES-kryptering, en beprövad blockbaserad krypteringsmetod som ger användaren bästa tänkbara dataskydd. Tack vare stödet för 802.1X kan ios integreras i en mängd olika miljöer med RADIUS-autentisering. ios stöder följande trådlösa autentiseringsmetoder för 802.1X: EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 och LEAP. Roaming ios stöder k och r vid roaming i storskaliga Wi-Fi-nätverk k hjälper ios-enheter att växla mellan Wi-Fi-anslutningspunkter med hjälp av rapporter från anslutningspunkterna medan r underlättar 802.1Xautentisering då en enhet förflyttar sig mellan olika anslutningspunkter. Konfigurationsprofiler och MDM kan ange inställningarna för trådlösa nätverk, säkerhet, proxy och autentisering, vilket snabbar upp både installation och driftsättning. 6

7 VPN-nätverk ios kan användas för säkra anslutningar till privata företagsnätverk med hjälp av etablerade VPN-protokoll av branschstandard. ios har stöd för Cisco IPSec, L2TP över IPSec och PPTP som standard. Om din organisation stöder något av dessa protokoll krävs ingen ytterligare nätverkskonfiguration eller några tredjepartsappar för att ansluta ios-enheter till VPN-nätverket. ios stöder dessutom SSL-VPN från vanliga VPN-leverantörer. Användaren kommer snabbt igång genom att ladda ner en VPN-klientapp från App Store som har utvecklats av något av dessa företag. Precis som andra VPN-protokoll som stöds av ios kan SSL-VPN konfigureras manuellt på enheten eller via konfigurationsprofiler eller MDM. ios stöder standardtekniker som IPv6, proxyservrar och delade tunnlar (splittunneling), vilket gör det enkelt att använda VPN för att ansluta till företags-nätverk. ios fungerar dessutom med en rad olika autentiseringsmetoder som lösenord, tvåfaktorsautentisering och digitala certifikat. ios stöder tekniken VPN On Demand som vid behov upprättar en VPN-session för anslutning till specifika domäner. Det gör det lättare att ansluta i miljöer där certifikatbaserad autentisering används. Med ios 7 kan enskilda appar konfigureras att använda en VPN-anslutning fristående från andra appar på enheten. Det garanterar att företagsdata alltid överförs via en VPN-anslutning, medan andra data som medarbetarens personliga appar från App Store inte gör det. Mer information finns under VPN per app senare i kapitlet. Protokoll och autentiseringsmetoder som stöds SSL-VPN. Stöder användarautentisering med lösenord, tvåfaktorsautentisering och certifikat. Cisco IPSec. Stöder användarautentisering med lösenord, tvåfaktorsautentisering och maskinautentisering via delade hemligheter och certifikat. L2TP over IPSec. Stöder användarautentisering med MS-CHAP v2-lösenord, tvåfaktorsautentisering och maskinautentisering via delade hemligheter. PPTP. Stöder användarautentisering med MS-CHAP v2-lösenord och tvåfaktorsautentisering. SSL-VPN-klienter Flera SSL-VPN-leverantörer har skapat appar som underlättar konfigurationen av deras tjänster på ios-enheter. Enheterna kan konfigureras för en specifik lösning med hjälp av den tillhörande appen och eventuellt genom att använda en konfigurationsprofil med de nödvändiga inställningarna. Stödet för SSL-VPNlösningar omfattar: Juniper Junos Pulse SSL VPN. ios stöder Juniper Networks SA Series SSL VPN Gateway som kör version 6.4 eller senare med Juniper Networks IVE-paket 7.0 eller senare. Konfigurationen sköts med appen Junos Pulse från App Store. Mer information finns på webbsidan med appinformation från Juniper Networks. 7

8 F5 SSL VPN. ios stöder F5 BIG-IP Edge Gateway, Access Policy Manager och FirePass SSL VPN-lösningar. Konfigurationen sköts med appen F5 BIG-IP Edge Client från App Store. Mer information finns i F5:s tekniska dokument Secure iphone Access to Corporate Web Applications. Aruba Networks SSL VPN. ios stöder Aruba Networks Mobility Controller. Konfigurationen sköts med appen Aruba Networks VIA från App Store. Kontaktuppgifter finns på Aruba Networks webbplats. SonicWALL SSL VPN. ios stöder SonicWALL Aventall E-Class Secure Remote Access-tillämpningar som kör eller senare, SonicWALL SRA-tillämpningar som kör 5.5 eller senare och SonicWALL Next-Generation Firewall-tillämpningar, inklusive TZ, NSA, E-Class NSA som kör SonicOS eller senare. Konfigurationen sköts med appen SonicWALL Mobile Connect från App Store. Kontaktuppgifter finns på SonicWALL:s webbplats. Check Point Mobile SSL VPN. ios stöder Check Point Security Gateway med en fullständig Layer-3-VPN-tunnel. Konfigurationen sköts med appen Check Point Mobile från App Store. OpenVPN SSL VPN. ios stöder OpenVPN Access Server, Private Tunnel och OpenVPN Community. Konfigurationen sköts med appen OpenVPN Connect från App Store. Palo Alto Networks GlobalProtect SSL VPN. ios stöder GlobalProtect-gateway från Palo Alto Networks. Konfigurationen sköts med appen GlobalProtect for ios från App Store. Cisco AnyConnect SSL VPN. ios stöder Cisco Adaptive Security Appliance (ASA) som kör mjukvaran 8.0(3).1 eller senare. Konfigurationen sköts med appen Cisco AnyConnect från App Store. Anvisningar för VPN-installation Installationsanvisningar för Cisco IPSec Använd dessa anvisningar för att konfigurera en Cisco VPN-server för användning med ios-enheter. ios stöder Cisco ASA 5500 Security Appliances och PIX Firewalls konfigurerade med mjukvara av version 7.2.x eller senare. Den senaste mjukvaruversionen (8.0.x eller senare) rekommenderas. ios stöder också Cisco IOS VPNroutrar med IOS version 12.4(15)T eller senare. VPN 3000 Series Concentrators saknar stöd för ios VPN-funktioner. Proxyinställningar Du kan ange en VPN-proxy i alla konfigurationer. Med den manuella inställningen kan du konfigurera en enskild proxy som används för alla anslutningar. Ange adress, port och autentisering vid behov. Med den automatiska inställningen kan du förse enheten med en konfigurationsfil från en automatiserad proxy som använder PAC eller WPAD. Ange URL:en till PAC-filen om du använder PAC. När WPAD används skickar ios en förfrågan via DHCP och DNS efter de rätta inställningarna. 8

9 Autentiseringsmetoder ios har stöd för följande autentiseringsmetoder: IPSec-autentisering med fördelad nyckel (PSK) och användarautentisering via xauth. Klient- och servercertifikat för IPSec-autentisering, med valfri användarautentisering via xauth. Hybridautentisering där servern tillhandahåller ett certifikat och klienten står för en fördelad nyckel för IPSec-autentisering. Användarautentisering krävs via xauth. Användarautentisering sker via xauth och följande autentiseringsmetoder stöds: Användarnamn med lösenord RSA SecurID CRYPTOCard Autentiseringsgrupper Cisco Unity-protokollet grupperar användare i autentiseringsgrupper baserat på en gemensam uppsättning autentiseringsparametrar och andra parametrar. Du bör skapa en autentiseringsgrupp för ios-användare. När enheten autentiseras med fördelade nycklar eller hybridautentisering måste gruppnamnet konfigureras med gruppens delade hemlighet (fördelade nyckel) som grupplösenord. Ingen delad hemlighet används vid certifikatautentisering. Användargruppen bestäms baserat på fälten i certifikatet. Cisco-serverns inställningar kan användas för att koppla fälten i certifikatet till användargrupper. RSA-Sig ska ha högsta prioritet på prioritetslistan för ISAKMP. Certifikat Försäkra dig om följande när du ställer in och installerar certifikat: Serverns identitetscertifikat måste innehålla serverns DNS-namn och/eller IP-adress i fältet för alternativt ämnesnamn (SubjectAltName). Enheten använder den här informationen för att bekräfta att certifikatet hör till servern. För större flexibilitet kan du ange SubjectAltName med jockertecken för att matcha per segment, exempelvis vpn.*.mycompany.com. Du kan ange DNS-namnet i det vanliga namnfältet om inget SubjectAltName har specificerats. Certifikatet från certifikatutfärdaren (CA) som signerade serverns certifikat måste installeras på enheten. Om det inte är ett rotcertifikat ska du installera resten av certifikatkedjan så att certifikatet är giltigt. Om du använder klientcertifikat ska du se till att det giltiga CA-certifikatet som signerade klientens certifikat är installerat på VPN-servern. När du använder certifikatbaserad autentisering ska du se till att servern är konfigurerad att identifiera användargruppen baserat på fälten i klientcertifikatet. Certifikaten och certifikatutfärdaren måste vara giltiga (de får till exempel inte ha upphört att gälla). Servern kan inte skicka certifikatkedjan eftersom stöd saknas, så du bör stänga av den funktionen. 9

10 IPSec-inställningar Använd följande IPSec-inställningar: Mode. Tunnel Mode. IKE Exchange Modes. Aggressive Mode för fördelad nyckel och hybridautentisering, eller Main Mode för certifikatautentisering. Encryption Algorithms. 3DES, AES-128, AES-256. Authentication Algorithms. HMAC-MD5, HMAC-SHA1. Diffie-Hellman Groups. Group 2 krävs för fördelad nyckel och hybridautentisering. Använd Group 2 med 3DES och AES-128 för certifikatautentisering. Använd Group 2 eller 5 med AES-256. PFS (Perfect Forward Secrecy). Om PFS används med IKE fas 2 måste Diffie- Hellman-gruppen överensstämma med vad som användes för IKE fas 1. Mode Configuration. Måste vara aktiverat. Dead Peer Detection. Rekommenderas. Standard NAT Transversal. Stöds och kan aktiveras (IPSec over TCP stöds inte). Load Balancing. Stöds och kan aktiveras. Re-keying of Phase 1. För närvarande saknas stöd. Det rekommenderas att nyckeluppdatering på servern sker varje timme. ASA Address Mask. Se till att alla enheters adressmasker antingen är tomma eller konfigurerade som Till exempel: asa(config-webvpn)# ip local pool vpn_users mask Om du använder den rekommenderade adressmasken kan en del nätverksvägar som används av VPN-konfigurationen ignoreras. Du kan förhindra detta genom att före driftsättningen se till att routningstabellen innehåller alla viktiga nätverksvägar och kontrollera att delnätsadresserna kan nås. Andra funktioner som stöds Application Version. Information om klientmjukvarans version skickas till servern så att servern kan godkänna eller neka anslutningar beroende på enhetens mjukvaruversion. Banner. Välkomstmeddelandet (om det har konfigurerats på servern) visas på enheten och användaren måste godkänna det eller avbryta anslutningen. Split Tunnel. Delade tunnlar stöds. Split DNS. Delad DNS stöds. Default Domain. Standarddomän stöds. 10

11 VPN On Demand Med VPN On Demand kan ios-enheter automatiskt upprätta en säker anslutning utan åtgärd från användaren. VPN-anslutningen öppnas vid behov baserat på regler som anges i en konfigurationsprofil. I ios 7 konfigureras VPN On Demand med nyckeln OnDemandRules i en VPNpayload i konfigurationsprofilen. Regler används i två steg: Nätverksidentifiering. Definierar VPN-krav som används när enhetens primära nätverksanslutning ändras. Anslutningsutvärdering. Definierar VPN-krav för en anslutningsbegäran till domännamn vid behov. Regler kan exempelvis användas till att: Upptäcka när en ios-enhet är ansluten till ett internt nätverk utan att VPN krävs. Upptäcka när ett okänt Wi-Fi-nätverk används och kräva VPN för all nätverksaktivitet. Kräva VPN när en DNS-begäran till en specifik domän misslyckas. Nätverksidentifiering VPN On Demand-regler utvärderas när enhetens primära nätverk ändras, till exempel när en ios-enhet växlar till ett annat Wi-Fi-nätverk eller byter från mobilnät till Wi-Fi. Om det primära nätverksgränssnittet är ett virtuellt gränssnitt, exempelvis ett VPN-gränssnitt, ignoreras VPN On Demand-regler. Alla matchande regler i varje samling (ordlista) måste stämma överens för att deras tillhörande åtgärd ska utföras. Om någon av reglerna inte matchar går utvärderingen vidare till nästa ordlista i uppsättningen tills hela OnDemandRulesuppsättningen har kontrollerats. Den sista ordlistan bör bestämma en standardkonfiguration som inte har några matchande regler utan bara en åtgärd. Den kommer att gälla alla anslutningar som inte matchade tidigare regler. Anslutningsutvärdering VPN kan aktiveras vid behov baserat på en anslutningsbegäran till specifika domäner istället för att endast koppla från och ansluta VPN beroende på nätverksgränssnitt. Matchande regler för On Demand Ange en eller flera av följande matchande regler: InterfaceTypeMatch. Valfritt. Ett strängvärde för Wi-Fi eller mobilnät. När den här regeln är specificerad kommer den att utlösas när det primära nätverksgränssnittet matchar den angivna typen. SSIDMatch. Valfritt. En lista med SSID-namn som kontrolleras mot det aktuella nätverket. Regeln matchas inte om nätverket inte är ett Wi-Fi-nätverk eller om dess SSID inte finns i listan. Om du utelämnar den här nyckeln och dess lista kommer SSID att ignoreras. DNSDomainMatch. Valfritt. En lista med sökdomäner lagrade som strängar. Den här egenskapen matchar om den konfigurerade DNS-sökdomänen i det aktuella primära nätverket finns med i listan. Jokerteckenprefixet (*) stöds, så exempelvis *.example.com matchar anything.example.com. 11

12 DNSServerAddressMatch. Valfritt. En lista med DNS-serveradresser lagrade som strängar. Den här egenskapen matchar om alla konfigurerade DNS-serveradresser för det primära gränssnittet finns med i listan. Jockertecken (*) stöds, så exempelvis * matchar alla DNS-servrar med prefixet URLStringProbe. Valfritt. En server vars tillgänglighet ska kontrolleras. Omdirigering stöds inte. Webbadressen ska vara en giltig HTTPS-server. Enheten skickar en GET-begäran som kontrollerar om servern är tillgänglig. Åtgärd Den här nyckeln bestämmer hur VPN ska fungera när alla matchande regler stämmer. Nyckeln är obligatorisk. Åtgärdnyckelns värden är: Connect. Öppna en VPN-anslutning utan förbehåll vid nästa försök till nätverksanslutning. Disconnect. Koppla ner VPN-anslutningen och öppna inte några nya anslutningar vid förfrågningar. Ignore. Lämna aktuella VPN-anslutningar öppna, men öppna inte några nya anslutningar vid förfrågningar. Allow. För ios-enheter med ios 6 eller tidigare. Se Information om bakåtkompatibilitet senare i avsnittet. EvaluateConnection. Utvärdera ActionParameters vid varje anslutningsförsök. När denna åtgärd används kommer nyckeln ActionParameters (som beskrivs nedan) att krävas för specificering av utvärderingsregler. ActionParameters En samling ordlistor med nycklarna som beskrivs nedan. De utvärderas i den ordning som de förekommer. Krävs när åtgärden är EvaluateConnection. Domains. Obligatorisk. En lista med strängar som definierar de domäner som utvärderingen gäller. Jockerteckenprefix stöds, exempelvis *.example.com. DomainAction. Obligatorisk. Definiera VPN-beteendet för domänerna i Domains. DomainAction-nyckelns värden är: ConnectIfNeeded. Anslut VPN om DNS-matchning för domäner i Domains misslyckas, till exempel om DNS-servern meddelar att den inte kan hitta domännamnet, DNS-svaret omdirigeras eller om anslutningen misslyckas eller tar för lång tid. NeverConnect. Aktivera inte VPN för domäner i Domains. När DomainAction är ConnectIfNeeded kan du också specificera följande nycklar i ordlistan för anslutningsutvärdering: RequiredDNSServers. Valfritt. En lista med IP-adresser till DNS-servrar som används för att söka upp domänerna i Domains. Dessa servrar behöver inte vara en del av enhetens aktuella nätverkskonfiguration. Om dessa DNS-servrar inte kan nås kommer VPN att aktiveras. Konfigurera en intern DNS-server eller en giltig extern DNS-server. RequiredURLStringProbe. Valfritt. En HTTP- eller HTTPS-webbadress (HTTPS rekommenderas) som ska kontrolleras med en GET-begäran. Om DNSmatchningen för servern lyckas måste även kontrollen lyckas. Om kontrollen misslyckas kommer VPN att aktiveras. 12

13 Information om bakåtkompatibilitet Före ios 7 konfigurerades regler för domänaktivering med hjälp av domänlistor som kallades OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry och OnDemandMatchDomainNever. ios 7 stöder fortfarande OnRetry och Never, även om de är föråldrade och EvaluateConnection istället rekommenderas. Du kan skapa en profil som fungerar med både ios 7 och tidigare versioner med hjälp av de nya EvaluateConnection-nycklarna utöver OnDemandMatchDomainlistorna. Tidigare versioner av ios som inte känner igen EvaluateConnection kommer att använda de gamla listorna, men ios 7 och senare versioner kan använda EvaluateConnection. Gamla konfigurationsprofiler som specificerar Allow-åtgärden fungerar med ios 7, med undantag för OnDemandMatchDomainsAlways-domäner. VPN per app ios 7 gör det möjligt att upprätta VPN-anslutningar i enskilda appar. Det ger större kontroll över vilka data som skickas via VPN. När hela enheten använder VPN överförs alla data via det privata nätverket oavsett källa. Fler och fler personliga enheter används inom organisationer. VPN per app möjliggör säkra nätverksanslutningar för interna appar, samtidigt som den personliga integriteten respekteras när det gäller annan, personlig aktivitet på enheten. VPN per app gör att appar som hanteras med MDM (Mobile Device Management) kan kommunicera med det privata nätverket via säkra tunnlar, medan ohanterade appar på enheten hindras från att använda det privata nätverket. Hanterade appar kan dessutom konfigureras med olika VPN-anslutningar för att skydda data ytterligare. En app för offerter kan till exempel använda ett helt annat datacenter än en app för leverantörsskulder, medan användarens personliga webbsurfning går via det publika internet. Möjligheten att skilja på trafik på appnivå hjälper till att separera på personliga data och data som tillhör organisationen. För att använda VPN per app måste appen hanteras via MDM och använda standard- API:er för nätverk i ios. VPN per app konfigureras med en MDM-konfiguration som bestämmer vilka appar och Safari-domäner som får använda dessa inställningar. Mer information om MDM finns i Kapitel 3: Konfigurering och hantering. Enkel inloggning (SSO) Med ios 7 kan appar dra nytta av befintlig intern infrastruktur för enkel inloggning via Kerberos. Enkel inloggning kan förbättra användarupplevelsen eftersom användaren bara behöver ange sitt lösenord en enda gång. Det ökar även säkerheten vid daglig appanvändning eftersom lösenord aldrig skickas trådlöst. Systemet för Kerberos-autentisering som används i ios 7 är en branschstandard och världens mest använda teknik för enkel inloggning. Om du använder Active Directory, edirectory eller OpenDirectory är det sannolikt att det redan finns ett Kerberos-system som ios 7 kan använda. ios-enheter måste kunna kontakta Kerberos-tjänsten över en nätverksanslutning för att autentisera användare. 13

14 Appar som stöds ios erbjuder ett flexibelt stöd för enkel inloggning (SSO) med Kerberos till alla appar som använder klasserna NSURLConnection eller NSURLSession för att hantera nätverksanslutningar och autentisering. Apple förser alla utvecklare med dessa högnivåramverk så att de enkelt kan integrera nätverksanslutningar i sina appar. Apple tillhandahåller även ett exempel med Safari som hjälper dig att komma igång med SSO-aktiverade webbplatser. Konfigurera enkel inloggning (SSO) Konfigurering av enkel inloggning sköts med konfigurationsprofiler som antingen kan installeras manuellt eller hanteras med MDM. SSO-kontots payload gör konfigurationen flexibel. SSO kan göras tillgängligt för alla appar eller begränsas efter appidentifierare, webbadress till tjänsten eller både och. Webbadresser kan kontrolleras med mönstermatchning och de måste börja med antingen eller Matchningen görs på hela webbadressen så se till att de överensstämmer exakt. Om ett URLPrefixMatches-värde exempelvis är kommer det inte att matcha 443/. Du kan specificera eller för att begränsa användningen av SSO till antingen säkra eller vanliga HTTP-tjänster. Om URLPrefixMatches-värdet är kommer SSO-kontot bara att kunna användas med säkra HTTPS-tjänster. Om ett URL-matchningsmönster inte slutar med ett snedstreck (/) kommer det att läggas till automatiskt. AppIdentifierMatches-listan måste innehålla strängar som matchar appens paket- ID:n. Dessa strängar kan matcha varandra exakt (t.ex. com.mycompany.myapp) eller specificera en prefixmatchning av ett paket-id med hjälp av ett jokertecken (*). Jokertecknet måste placeras efter en punkt (.) och i slutet av strängen (till exempel com.mycompany.*). När ett jokertecken används får varje app med ett paket-id som börjar med prefixet tillgång till kontot. Digitala certifikat Digitala certifikat är en typ av identifiering som möjliggör smidig autentisering, dataintegritet och kryptering. Ett digitalt certifikat består av en offentlig nyckel samt information om användaren och den certifikatutfärdare som utfärdade certifikatet. ios har stöd för digitala certifikat, vilket ger organisationer tillgång till företagstjänster på ett säkert och smidigt sätt. Certifikat kan används på flera olika sätt. Om data signeras med ett digitalt certifikat säkerställer det att informationen inte kan ändras. Certifikat kan även användas till att kontrollera identiteten hos avsändaren eller den som har signerat. Dessutom kan de användas till att kryptera konfigurationsprofiler och nätverkskommunikation för att ytterligare skydda konfidentiell eller privat information. Webbläsaren Safari kan exempelvis kontrollera giltigheten hos ett digitalt X.509- certifikat och upprätta en säker session med upp till 256-bitars AES-kryptering. Det säkerställer att webbplatsens identitet stämmer och att kommunikationen med webbplatsen skyddas, vilket förhindrar avlyssning av privata eller konfidentiella data. 14