1. No category

!
iOS:n käyttöönoton
tekninen
opas
!
iOS
! 7.1
!!
Toukokuu 2014
!
iOS:n käyttöönoton tekninen opas
!!
!!
!!
!
Sisältö
Sivu 3
Johdanto
Sivu 4
Luku 1: Integraatio
Sivu 4
Microsoft Exchange
Sivu 6
Standardipohjaiset palvelut
Sivu 6
Wi-Fi
Sivu 7
VPN
Sivu 13
Ohjelmakohtainen VPN
Sivu 13
Kertakirjautuminen
Sivu 14
Digitaaliset varmenteet
Sivu 15
Bonjour
Sivu 16
Luku 2: Turvallisuus
Sivu 16
Laitteen turvallisuus
Sivu 18
Salaus ja tietosuoja
Sivu 20
Verkkoturvallisuus
Sivu 20
Ohjelmien suojaus
Sivu 21
Internet-palvelut
Sivu 23
Luku 3: Määrittely ja hallinta
Sivu 23
Laitteen asetukset ja aktivointi
Sivu 24
Määrittelyprofiilit
Sivu 24
Mobiililaitteen hallinta (Mobile Device Management, MDM)
Sivu 27
Laitteiden valvonta
Sivu 29
!
Luku 4: Ohjelmien jakelu
Sivu 31
Yrityksen sisäiset ohjelmat
Sivu 33
Ohjelmien käyttöönotto
Sivu 34
Caching Server
Sivu 35
Liite A: Wi-Fi-infrastruktuuri
Sivu 38
Liite B: Rajoitukset
Sivu 40
Liite C: Sisäisten ohjelmien asentaminen langattomasti
2
iOS:n käyttöönoton tekninen opas
Johdanto
!
Tämä opas on tarkoitettu IT-ylläpitäjille, jotka haluavat tukea iOS-laitteita omissa
verkoissaan. Se tarjoaa tietoa iPhonen, iPadin ja iPod touchin käyttöönotosta ja
tuesta suuressa organisaatiossa, kuten suuryrityksessä tai oppilaitoksessa. Siinä
kerrotaan, kuinka iOS-laitteet tarjoavat kattavan suojauksen, integraation nykyiseen
infrastruktuuriin ja tehokkaat käyttöönottotyökalut.
iOS:n tukemien keskeisten teknologioiden ymmärtäminen auttaa sinua
soveltamaan käyttöönottostrategiaa, joka tarjoaa optimaalisen kokemuksen
käyttäjille. Seuraavat luvut toimivat teknisenä materiaalina, jota voidaan käyttää
otettaessa iOS-laitteita käyttöön koko organisaatiossa:
Integrointi. iOS-laitteissa on sisäänrakennettu tuki monenlaisia verkkoinfrastruktuureja varten. Tässä osiossa saat tietää iOS-tuetuista teknologioista ja
Microsoft Exchangen, Wi-Fin, VPN:n ja muiden standardien palveluiden kanssa
integroimisen parhaista käytännöistä.
Turvallisuus. iOS on suunniteltu yrityksen palveluiden turvallista käyttöä ja
tärkeiden tietojen suojaamista ajatellen. iOS tarjoaa vahvan salauksen
tiedonsiirtoon, koetellut todentamismenetelmät yrityksen palveluiden käyttöön ja laitteistosalauksen kaikelle levossa olevalle datalle. Tästä luvusta lukemalla saat
tietää lisää iOS:n turvallisuuteen liittyvistä ominaisuuksista.
Määrittely ja hallinta. iOS tukee edistyksellisiä työkaluja ja teknologioita
varmistaen, että iOS-laitteiden käyttöönotto sujuu helposti, ne määritellään omien
vaatimustesi mukaan ja että niiden hallinta sujuu helposti laajan mittakaavan
ympäristöissä. Tässä luvussa kuvataan erilaisia käyttöönottoa varten saatavilla olevia työkaluja. Mukana on yleiskuva mobiililaitteiden hallinnasta (MDM).
Ohjelmien jakelu. Ohjelmien ja sisällön käyttöönottoon koko organisaatiossa on
olemassa lukuisia tapoja. iOS Developer Enterprise Program -ohjelman ansiosta
ohjelmia voidaan ottaa käyttöön organisaation sisäisiä käyttäjiä varten. Tämän
luvun avulla saat perusteellisen näkemyksen näistä ohjelmista sekä yrityksen
sisäiseen käyttöön tehdyistä ohjelmista.
Seuraavissa liitteissä kerrotaan lisää teknisiä tietoja ja vaatimuksia:
Wi-Fi-infrastruktuuri. Tietoja Wi-Fi-standardeista, joita iOS tukee sekä näkökohtia
laajamittaisen Wi-Fi-verkon suunnitteluun.
Rajoitukset. Tietoja rajoituksista, joiden avulla iOS-laitteet voidaan määritellä vastaamaan tietoturva-, pääsykoodi- ja muita vaatimuksia.
Sisäisten ohjelmien asentaminen langattomasti. Tietoja ja vaatimuksia yrityksen sisäisten ohjelmien jakeluun liittyen omaa verkkopohjaista portaalia käytettäessä.
Lisäresurssit
Aiheeseen liittyvää hyödyllistä tietoa saat katsomalla seuraavilta verkkosivustoilta:
www.apple.com/ipad/business/it
www.apple.com/iphone/business/it
www.apple.com/education/it
3
iOS:n käyttöönoton tekninen opas
Luku 1: Integraatio
iOS-laitteissa on sisäänrakennettu tuki monenlaisia verkkoinfrastruktuureja varten. Niihin sisältyy seuraavien asioiden tuki:
• Suositut muiden valmistajien järjestelmät kuten Microsoft Exchange
• Integraatio standardipohjaisen sähköpostin, hakemiston, kalenterin ja muiden
järjestelmien kanssa
• Standardit Wi-Fi-protokollat tiedonsiirtoon ja salaukseen
• VPN-verkot (Virtual private networks) mukaanlukien ohjelmakohtainen VPN
• Kertakirjautuminen sujuvaan todentamiseen verkossa oleviin ohjelmiin ja
palveluihin
• Digitaaliset varmenteet käyttäjien todentamiseen ja viestinnän suojaamiseen
Koska tämä tuki on vakiona iOS:ssä, IT-osaston tarvitsee vain määritellä muutamia
asetuksia voidakseen integroida iOS-laitteet olemassa olevaan infrastruktuuriin.
Lukemalla saat lisätietoja iOS-tuetuista teknologioista ja integroinnin parhaista
käytännöistä.
Microsoft Exchange
iOS voi kommunikoida suoraan Microsoft Exchange Serverin kanssa Microsoft
Exchange ActiveSyncin (EAS) kautta. Tämä mahdollistaa push-sähköpostin,
-kalenterin, -yhteystietojen, -muistiinpanojen ja tehtävien käytön. Exchange
ActiveSync tarjoaa käyttäjille myös pääsyn Global Address List -luetteloon (GAL) ja
ylläpitäjille keinot pääsykoodisääntöjen pakottamiseen ja etätyhjennykseen. iOS
tukee sekä tavanomaista että varmenteisiin perustuvaa todentautumista Exchange
ActiveSyncille.
Jos yrityksessäsi on käytössä Exchange ActiveSync, sinulla on valmiina tarvittavat
palvelut iOS:n tueksi. Lisämäärittelyitä ei tarvita.
Vaatimukset
Laitteet, joissa on iOS 7 tai uudempi, tukevat Microsoft Exchangen seuraavia
versioita:
• Exchange Server 2003 SP 2 (EAS 2.5)
• Exchange Server 2007 (käyttäen EAS 2.5:ttä)
• Exchange Server 2007 SP 1 (EAS 12.1)
• Exchange Server 2007 SP 2 (EAS 12.1)
• Exchange Server 2007 SP 3 (EAS 12.1)
• Exchange Server 2010 (EAS 14.0)
• Exchange Server 2010 SP 1 (EAS 14.1)
• Exchange Server 2010 SP 2 (käyttäen EAS 14.1:tä)
• Exchange Server 2013 (käyttäen EAS 14.1:tä)
• Office 365 (käyttäen EAS 14.1:tä)
!
4
iOS:n käyttöönoton tekninen opas
Microsoft Direct Push
Exchange Server siirtää sähköpostin, tehtävät, yhteystiedot ja kalenteritapahtumat
iOS-laitteisiin, jos mobiili- tai Wi-Fi-datayhteys on käytettävissä. iPod touchissa ja
joissakin iPad-malleissa ei ole mobiiliyhteyttä, joten ne vastaanottavat pushilmoituksia vain ollessaan yhteydessä Wi-Fi-verkkoon.
Microsoft Exchange Autodiscovery
iOS tukee Microsoft Exchange Server 2007:n ja Microsoft Exchange Server 2010:n
Autodiscover-palvelua. Kun määrittelet laitteen käsin, Autodiscover käyttää
sähköpostiosoitettasi ja salasanaasi määritelläkseen oikeat Exchange Server -tiedot.
Lisätietoja Autodiscover-palvelun käyttöönotosta saat tutustumalla Autodiscoverpalveluun.
Microsoft Exchange Global Address List -luettelo
iOS-laitteet hakevat yhteystiedot yrityksesi Exchange Server -yrityshakemistosta.
Voit käyttää hakemistoa tehdessäsi hakuja Yhteystiedoissa. Sitä käytetään
automaattisesti sähköpostiosoitteiden täydentämiseen, kun kirjoitat niitä. iOS 6 tai uudempi tukee GAL-kuvia (edellyttää Exchange Server 2010 SP 1:tä tai uudempaa).
Ei-tuetut Exchange ActiveSync -ominaisuudet
Seuraavia Exchangen ominaisuuksia ei tueta:
• Sähköpostiviesteissä olevien, SharePoint-palvelimille tallennettuihin
dokumentteihin vievien linkkien avaaminen
• Automaattisen poissaoloviestin asettaminen
iOS-versioiden tunnistaminen Exchangen kautta
Kun iOS-laite muodostaa yhteyden Exchange Serveriin, laite raportoi oman iOSversionsa. Version numero lähetetään pyynnön otsikon Asiakasohjelma-kentässä ja
se näyttää samanlaiselta kuin Apple-iPhone2C1/705.018. Erottimen (/) jäljessä oleva
numero on iOS build -numero, joka on yksilöllinen jokaisessa iOS-päivityksessä.
Voit katsoa version numeron laitteella siirtymällä kohtaan Asetukset > Yleiset >
Tietoja. Näet version numeron ja build-numeron, kuten esimerkiksi 4.1 (8B117A).
Suluissa oleva numero on build-numero, joka kertoo, mitä päivitystä laitteessa
käytetään.
Kun build-numero lähetetään Exchange Serveriin, se muunnetaan muodosta
NANNNA (jossa N on numero- ja A aakkosmerkki ) Exchange-muotoon NNN.NNN.
Numeroarvot pidetään, mutta kirjaimet muunnetaan omaa paikkaansa aakkosissa
vastaavaan arvoon. Esimerkiksi ”F” muunnetaan muotoon ”06”, koska se on
aakkosten kuudes kirjain. Numeroita täydennetään tarvittaessa nollilla, jotta ne
sopivat Exchange-muotoon.
Tässä esimerkissä build-numero 7E18 muunnetaan muotoon 705.018.
Ensimmäinen numero, 7, jää muotoon ”7”. Merkki E on aakkosten viides kirjain, joten
se muunnetaan muotoon ”05”. Piste (.) sijoitetaan muunnettuun versioon muodon
edellyttämällä tavalla. Seuraavaan numeroon,18, lisätään nolla ja se muunnetaan
muotoon ”018”.
Jos build-numero päättyy kirjaimeen (kuten esimerkiksi 5H11A), numero
muunnetaan yllä kuvatun mukaisesti ja viimeisen merkin numeerinen arvo lisätään
merkkijonoon 3 nollan erottamana. 5H11A muuntuu siis muotoon 508.01100001.
Etätyhjennys
Voit tyhjentää iOS-laitteen sisällön etänä käyttämällä Exchangen tarjoamia
ominaisuuksia. Tyhjentäminen poistaa laitteelta kaiken datan ja määrittelytiedot.
Laite tyhjenee turvallisesti ja palautetaan alkuperäisiin tehdasasetuksiinsa.
5
iOS:n käyttöönoton tekninen opas
Tyhjennys poistaa datan salausavaimen (salattu käyttäen 256-bittistä AES-salausta),
joka tekee kaikesta datasta välittömästi ei-palautettavaa.
Microsoft Exchange Server 2007:n tai uudemman avulla voit suorittaa etätyhjennyksen Exchange Management Consolen, Outlook Web Accessin tai
Exchange ActiveSync Mobile Administration Web Tool -työkalun avulla. Microsoft
Exchange Server 2003:n avulla voit käynnistää etätyhjennyksen käyttäen Exchange
ActiveSync Mobile Administration Web Tool -työkalua.
Vaihtoehtoisesti käyttäjät voivat tyhjentää oman laitteensa siirtymällä kohtaan
Asetukset > Yleiset > Nollaa ja valitsemalla ”Poista kaikki sisältö ja asetukset”.
Laitteet voidaan myös määrittää niin, että ne tyhjennetään automaattisesti, kun virheellisen pääsykoodin syöttöyrityksiä on ollut tietty määrä.
Standardipohjaiset palvelut
iOS-laitteissa on valmiina tuki IMAP-sähköpostiprotokollalle, LDAP-hakemistopalveluille, CalDAV-kalenteritiedoille ja CardDAV-yhteystietoprotokollille, joten ne
voidaan integroida lähes mihin tahansa standardipohjaiseen ympäristöön. Ja jos
verkkoympäristösi on määritelty vaatimaan käyttäjän todentamista ja SSL:ää, iOS
tarjoaa turvallisen lähestymistavan standardeihin perustuvien yrityksen
sähköpostin, kalenterin, tehtävien ja yhteystietojen käyttöön. iOS tukee SSL:n avulla 128-bittistä salausta ja X.509-juurivarmenteita, joita merkittävät varmentajat
myöntävät.
Tyypillisessä käyttöönotossa iOS-laitteet muodostavat suoran pääsyn IMAP- ja
SMTP-sähköpostipalvelimille sähköpostin langatonta lähettämistä ja
vastaanottamista varten ja voivat myös synkronoida langattomasti muistiinpanoja
IMAP-pohjaisten palvelimien kanssa. iOS-laitteet voivat muodostaa yhteyden
yrityksesi LDAPv3-yrityshakemistoihin tarjoten käyttäjille pääsyn yrityksen
yhteystietoihin Mail-, Yhteystiedot- ja Viestit-ohjelmissa. CalDAV-palvelimen
synkronoinnin ansiosta käyttäjät voivat luoda ja hyväksyä langattomasti
kalenterikutsuja, vastaanottaa kalenteripäivityksiä ja synkronoida tehtäviä
Muistutukset-ohjelman avulla. Lisäksi käyttäjät voivat CardDAV-tuen ansiosta
ylläpitää yhteystietojoukkoa, joka on synkronoitu CardDAV-palvelimen kanssa
käyttäen vCard-muotoa. Kaikki verkkopalvelimet voidaan sijoittaa DMZ-aliverkkoon,
yrityksen palomuurin tai näiden molempien taakse.
Wi-Fi
iOS-laitteilla voidaan muodostaa suoraan pakkauksesta otettuna suojattu yhteys
langattomiin yritys- tai vierasverkkoihin, joten liittyminen käytettävissä oleviin
langattomiin verkkoihin on nopeaa ja helppoa riippumatta siitä, ollaanko yrityksen
alueella vai matkoilla.
Wi-Fi-verkkoon liittyminen
Käyttäjät voivat asettaa iOS-laitteet liittymään saatavilla oleviin Wi-Fi-verkkoihin
automaattisesti. Wi-Fi-verkkoihin, jotka edellyttävät kirjautumistietoja tai muita
tietoja, voidaan päästä nopeasti Wi-Fi-asetuksista tai Mailin kaltaisista ohjelmista avaamatta erillistä selainistuntoa. Lisäksi vähävirtainen ja jatkuva Wi-Fi-yhteys mahdollistaa ohjelmille Wi-Fi-verkkojen käytön push-ilmoitusten
lähettämisen.
WPA2 Enterprise
iOS tukee standardeja langattomia verkkoprotokollia (mukaan lukien WPA2
Enterprise) varmistaen, että yritysten langattomiin verkkoihin voidaan päästä
turvallisesti iOS-laitteilta. WPA2 Enterprise käyttää 128-bittistä AES-salausta. 6
iOS:n käyttöönoton tekninen opas
Se on koeteltu, lohkoperustainen salausmenetelmä, joka tarjoaa käyttäjille
suurimman mahdollisen varmuuden siitä, että heidän tietonsa säilyvät turvassa.
802.1X-tuen ansiosta iOS voidaan integroida moniin eri RADIUS-todentamisympäristöihin. iOS:n tukemiin langattomiin 802.1X-todentamismenetelmiin
sisältyvät EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 ja LEAP.
Verkkovierailu
Suurten yritysten Wi-Fi-verkkojen verkkovierailutilaa varten iOS tukee 802.11k- ja
802.11r-standardeja. 802.11k:n avulla iOS-laitteet voivat siirtyä tukiasemien välillä
saumattomammin hyödyntämällä yhteyspisteiden raportteja. 802.11r taas
yksinkertaistaa 802.1X-todentamista, kun laite siirtyy yhdestä yhteyspisteestä
toiseen.
Langattoman verkon, turvallisuuden, välipalvelimen ja todentamisen asetukset
voidaan määritellä määrittelyprofiilien tai MDM:n avulla nopeaa käyttöönottoa
varten.
VPN
iOS:llä voidaan käyttää turvallisesti yksityisiä yritysverkkoja alan standardien
mukaisten VPN-protokollien välityksellä. iOS tukee suoraan seuraavia: Cisco IPSec, L2TP over IPSec ja PPTP. Jos organisaatiosi tukee jotakin näistä
protokollista, lisämäärittelyjä tai muiden valmistajien ohjelmia ei tarvita iOSlaitteiden liittämiseen omaan VPN-verkkoosi.
Lisäksi iOS tukee suosittujen VPN-tarjoajien SSL VPN:ää. Päästäkseen alkuun
käyttäjien tarvitsee vain ladata jokin näiden yritysten kehittämistä VPNasiakasohjelmista App Storesta. SSL VPN voidaan määritellä käsin laitteesta tai
määrittelyprofiilin tai MDM:n avulla, kuten muutkin iOS:n tukemat VPN-protokollat.
iOS tukee standardeja tekniikoita, kuten IPv6- ja välipalvelintekniikoita sekä osittaista tunnelointia tarjoten monipuolisen VPN-kokemuksen yritysverkkoihin
liityttäessä. Lisäksi iOS toimii monenlaisten todentautumismenetelmien kanssa,
esimerkkeinä salasana, kaksiosainen avain ja digitaaliset varmenteet. iOS sisältää VPN On Demandin, joka käynnistää VPN-istunnon, kun on muodostettava yhteys
määriteltyihin domaineihin. Näin se nopeuttaa yhteyttä ympäristöissä, joissa
käytetään varmennepohjaista todentamista.
iOS 7:n avulla yksittäiset ohjelmat voidaan määrittää hyödyntämään VPN-yhteyttä,
joka on riippumaton laitteen muista ohjelmista. Näin varmistetaan, että yritystiedot
kulkevat aina VPN-yhteyden kautta, ja että muut tiedot (kuten työntekijän
henkilökohtaiset ohjelmat App Storesta) eivät tee näin. Lisätietoja saat katsomalla
tämän luvun myöhemmästä kohdasta ”Ohjelmakohtainen VPN”.
Tuetut protokollat ja todentamismenetelmät
SSL VPN. Tukee käyttäjän todentamista salasanalla, kaksiosaisella avaimella ja
digitaalisilla varmenteilla.
Cisco IPSec. Tukee käyttäjän todentamista salasanalla, kaksiosaisella avaimella ja
koneellisella todentamisella jaetun salaisuuden ja varmenteiden avulla.
L2TP IPSec. Tukee käyttäjän todentamista MS-CHAP v2 -salasanalla, kaksiosaisella
avaimella ja koneellisella tunnistamisella jaetun salaisuuden avulla.
PPTP. Tukee käyttäjän todentamista MS-CHAP v2 -salasanalla ja kaksiosaisella
avaimella.
SSL VPN -asiakasohjelmat
Useat SSL VPN -tarjoajat ovat luoneet ohjelmia avuksi iOS-laitteiden määrittelyyn
heidän omia ratkaisujaan käytettäessä. Kun haluat määritellä laitteen tiettyä
7
iOS:n käyttöönoton tekninen opas
ratkaisua varten, asenna oheisohjelma. Vaihtoehtoisesti voit tarjota
määrittelyprofiilin tarvittavilla asetuksilla. SSL VPN -ratkaisuihin sisältyvät:
• Juniper Junos Pulsen SSL VPN. iOS tukee Juniper Networks SA Series SSL VPN
Gatewayta, jossa käytetään versiota 6.4 tai uudempaa Juniper Networks IVE
package 7.0:llä tai uudemmalla. Asenna määrittelyä varten App Storesta saatava
Junos Pulse -ohjelma.
Lisätietoja saat tutustumalla Juniper Networks -ohjelman tietoihin.
• F5:n SSL VPN. iOS tukee seuraavia ratkaisuja: F5 BIG-IP Edge Gateway, Access
Policy Manager ja FirePass SSL VPN. Asenna määrittelyä varten App Storesta
saatava F5 BIG-IP Edge Client -ohjelma.
Lisätietoja saat tutustumalla F5:n tekniseen esittelyyn: Secure iPhone Access to
Corporate Web Applications.
• Aruba Networksin SSL VPN. iOS tukee Aruba Networksin Mobility Controlleria.
Asenna määrittelyä varten App Storesta saatava Aruba Networks VIA -ohjelma.
Yhteystietoja saat katsomalla Aruba Networksin verkkosivustolta.
• SonicWALLin SSL VPN. iOS tukee SonicWALLin Aventall E-Class Secure Remote
Access -sovelluksia, joissa on versio 10.5.4 tai uudempi, SonicWALL SRA
-sovelluksia, joissa on versio 5.5 tai uudempi ja SonicWALLin Next-Generation
Firewall -sovelluksia mukaan lukien TZ, NSA, E-Class NSA, jossa on käytössä
SonicOS 5.8.1.0 -versio tai uudempi. Asenna määrittelyä varten App Storesta
saatava SonicWALL Mobile Connect -ohjelma.
Yhteystietoja saat katsomalla SonicWALLin verkkosivustolta.
• Check Point Mobilen SSL VPN. iOS tukee Check Point Security Gatewayta, jossa
on täysi Layer-3 VPN -tunneli. Asenna määrittelyä varten App Storesta saatava
Check Point Mobile -ohjelma.
• OpenVPN:n SSL VPN. iOS tukee seuraavia: OpenVPN Access Server, Private Tunnel
ja OpenVPN Community. Asenna määrittelyä varten App Storesta saatava
OpenVPN Connect -ohjelma.
• Palo Alto Networksin GlobalProtect SSL VPN. iOS tukee Palo Alto Networksin
GlobalProtect Gatewayta. Asenna määrittelyä varten App Storesta saatava
GlobalProtect for iOS -ohjelma.
• Ciscon AnyConnect SSL VPN. iOS tukee Ciscon Adaptive Security Appliancea
(ASA), jossa on käytössä ohjelmistoversio 8.0(3).1 tai uudempi. Asenna määrittelyä
varten App Storesta saatava Cisco AnyConnect -ohjelma.
VPN:n käyttöönotto-ohjeet
Cisco IPSecin käyttöönotto-ohjeet
Näiden ohjeiden avulla voit määritellä Ciscon VPN-palvelimesi iOS-laitteiden
käyttöä varten. iOS tukee Cisco ASA 5500 Security Appliance -sovelluksia ja PIXpalomuureja, joihin on määritelty 7.2.x-ohjelmisto tai uudempi. Uusinta
ohjelmistopäivitystä (8.0.x tai uudempi) suositellaan. iOS tukee myös Cisco IOS VPN
-reitittimiä, joissa on IOS-versio 12.4(15)T tai uudempi. VPN 3000 -sarjan keskittimet
eivät tue iOS:n VPN-ominaisuuksia.
Välipalvelimen käyttöönotto
Voit määritellä myös VPN-välipalvelimen kaikkia määrittelyitä varten. Kun haluat
määritellä yhden välipalvelimen kaikkia yhteyksiä varten, käytä manuaalista
asetusta ja tarjoa osoite, portti ja todentaminen tarvittaessa. Käytä automaattista
asetusta tarjotaksesi laitteelle automaattisen välipalvelimen määritystiedoston
käyttäen PAC:ta tai WPAD:tä. Määrittele PACS-tiedoston verkko-osoite PACSia varten.
WPAD:tä varten iOS kysyy DHCP:ltä ja DNS:ltä sopivat asetukset.
8
iOS:n käyttöönoton tekninen opas
Todentamismenetelmät
iOS tukee seuraavia todentamismenetelmiä:
• Esijaetun avaimen IPSec-todentaminen käyttäjän todentamisen avulla xauthin
kautta.
• Asiakasohjelma- ja palvelinvarmenteet IPSec-todentamista varten valinnaisella
käyttäjän todentamisella xauthin kautta.
• Hybriditodentaminen, jossa palvelin tarjoaa varmenteen ja asiakasohjelma tarjoaa
esijaetun avaimen IPSec-todentamista varten. Käyttäjän todentaminen vaaditaan
xauthin kautta.
• Käyttäjän todentaminen tarjotaan xauthin kautta ja se sisältää seuraavat
todentamismenetelmät:
– Käyttäjätunnus salasanalla
– RSA SecurID
– CRYPTOCard
Todentamisryhmät
Cisco Unity -protokolla käyttää ryhmäkäyttäjille todentamisryhmiä, jotka perustuvat
yleiseen sarjaan todentamisparametrejä ja muita parametrejä. Sinun tulisi luoda
todentamisryhmä iOS-käyttäjille. Esijaettua avainta ja hybriditodentamista varten
ryhmän nimen on oltava määritelty laitteeseen ryhmän jaetun salaisuuden
(esijaettu avain) ollessa ryhmän salasana.
Varmennepohjaista todentamista käytettäessä ei käytetä jaettua salaisuutta.
Käyttäjän ryhmä määritellään varmenteen kenttien perusteella. Ciscon palvelimen
asetuksia voidaan käyttää varmenteen kenttien asettamiseen käyttäjäryhmille.
RSA-Sigin tulisi olla korkein prioriteetti ISAKMP-prioriteettiluettelossa.
Varmenteet
Varmista seuraavat asiat varmenteita käyttöön otettaessa ja asennettaessa:
Palvelimen varmenteen tulee sisältää palvelimen DNS-nimi ja/tai IP-osoite aiheen
vaihtoehtoisen nimen (SubjectAltName) kentässä. Laite käyttää tätä tietoa
varmentamaan, että varmenne kuuluu palvelimeen. Joustavuutta voidaan lisätä
määrittelemällä SubjectAltName käyttäen jokerimerkkejä segmenttikohtaiseen
vastaavuuteen, kuten esimerkiksi vpn.*.mycompany.com. DNS-nimi voidaan laittaa
yleiseen nimikenttään, jos SubjectAltName on määritelty.
Palvelimen varmenteen allekirjoittaneen varmentajan (CA) varmenteen on oltava
asennettu laitteelle. Jos se ei ole juurivarmenne, asenna loput luottamusketjusta
siten, että varmenne on luotettu. Jos käytät asiakasvarmenteita, varmista, että
asiakkaan varmenteen allekirjoittanut luotettu varmentajan (CA) varmenne on
asennettu VPN-palvelimelle. Varmennepohjaista todentamista käytettäessä varmista,
että palvelin on asetettu tunnistamaan käyttäjän ryhmä asiakasvarmenteen kenttien
perusteella.
Varmenteiden ja varmentajien on oltava kelvollisia (ei esimerkiksi vanhentuneita).
Varmenneketjun lähettämistä palvelimella ei tueta ja se tulisi kytkeä pois päältä.
!
9
iOS:n käyttöönoton tekninen opas
IPSec-asetukset
Käytä seuraavia IPSec-asetuksia:
• Tila. Tunneli-tila
• IKE Exchange -tilat. Aggressiivinen tila esijaettu avain- ja hybriditodentamiselle tai
päätila varmennepohjaiselle todentamiselle.
• Salausalgoritmit. 3DES, AES-128, AES-256.
• Todennusalgoritmit. HMAC-MD5, HMAC-SHA1.
• Diffie-Hellman-ryhmät. Ryhmä 2 vaaditaan esijaettua avainta ja
hybriditodentamista varten. Käytä varmennepohjaista todentamista varten
ryhmää 2 3DES:llä ja AES-128:lla. Käytä ryhmä 2:ta tai 5:ttä AES-256:lla.
• PFS (Perfect Forward Secrecy). Jos PFS:ää käytetään IKEn vaiheeseen 2, Diffie-Hellman-ryhmän on oltava sama kuin mitä käytettiin IKEn vaiheelle 1.
• Tilanmääritys. On oltava käytössä.
• DPD (Dead Peer Detection). Suositellaan.
• Standardi NAT Traversal. On tuettu ja voidaan ottaa käyttöön (IPSec over TCP ei ole tuettu).
• Kuormituksen tasapainotus. Tuettu ja voidaan ottaa käyttöön.
• Vaiheen 1 avaimen uudelleenluonti. Ei tueta tällä hetkellä. Suositus on, että
avaimen uudelleenluontiajoiksi palvelimella asetetaan yksi tunti.
• ASA-osoitteen maski. Varmista, että kaikkien laitteiden osoitevarannon maskit
ovat joko asettamatta tai ne on asetettu arvoon 255.255.255.255. Esimerkiksi:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask
255.255.255.255.
Jos käytät suositeltua osoitemaskia, jotkin VPN-määrittelyn olettamat reitit voivat
jäädä huomioimatta. Tämän välttämiseksi varmista, että reititystaulukkosi sisältävät
kaikki tarpeelliset reitit ja varmista ennen käyttöönottoa, että aliverkon osoitteet
ovat käytettävissä.
Muita tuettuja ominaisuuksia
• Ohjelmaversio. Asiakasohjelman versio lähetetään palvelimelle, minkä ansiosta
palvelin voi hyväksyä tai hylätä yhteydet laitteen ohjelmistoversion perusteella.
• Banneri. Banneri (jos määritelty palvelimelle) näytetään laitteella ja käyttäjän
täytyy hyväksyä se tai katkaista yhteys.
• Jaettu tunneli. Jaettu tunnelointi on tuettu.
• Jaettu DNS. Jaettu DNS on tuettu.
• Oletusdomain. Oletusdomain on tuettu.
!
10
iOS:n käyttöönoton tekninen opas
VPN On Demand
VPN On Demandin ansiosta iOS voi muodostaa automaattisesti turvallisen
yhteyden ilman käyttäjän toimenpiteitä. VPN-yhteys käynnistetään tarpeen mukaan
määrittelyprofiilissa määriteltyjen sääntöjen pohjalta.
iOS 7:ssä VPN On Demand määritellään käyttäen OnDemandRules-avainta
määrittelyprofiilin VPN-datassa. Sääntöjä sovelletaan kahdessa vaiheessa:
• Verkon tunnistusvaihe. Määrittelee VPN-vaatimukset, joita käytetään laitteen
ensisijaisen verkkoyhteyden vaihtuessa.
• Yhteyden arviointivaihe. Määrittelee VPN-vaatimukset yhteyspyynnöille domainnimiin tarpeen mukaan.
Sääntöjä voidaan käyttää esimerkiksi seuraaviin tilanteisiin:
• Tunnistamaan, kun iOS-laite liitetään sisäiseen verkkoon ja VPN ei ole välttämätön.
• Tunnistamaan, kun käytetään tuntematonta Wi-Fi-verkkoa ja vaatimaan VPN:ää
kaikkiin verkkoyhteyksiin.
• Vaatimaan VPN:ää, kun määritellyn domain-nimen DNS-pyyntö epäonnistuu.
Verkon tunnistusvaihe
VPN On Demand -sääntöjä arvioidaan laitteen ensisijaisen verkon käyttöliittymän
muuttuessa, esimerkiksi iOS-laitteen siirtyessä toiseen Wi-Fi-verkkoon tai vaihtaessa
Wi-Fi-verkosta mobiiliverkkoon. Jos ensisijainen käyttöliittymä on virtuaalikäyttöliittymä (kuten VPN-käyttöliittymä), VPN On Demand -sääntöjä ei huomioida.
Jokaisen sarjan (sanakirjan) kaikkien vastaavuussääntöjen tulee täyttyä, jotta niihin
liittyvät toiminnot voidaan suorittaa. Jos jokin säännöistä ei täyty, arviointi siirtyy
pakan seuraavaan sanakirjaan, kunnes OnDemandRules-pakka on käytetty loppuun.
Viimeisen sanakirjan tulisi määritellä ”oletusarvoinen” määrittely eli siinä ei tulisi olla
vastaavuussääntöjä, vaan pelkkä toiminto. Se nappaa kaikki yhteydet, jotka eivät ole
vastanneet edeltäneitä sääntöjä.
Yhteyden arviointivaihe
VPN voidaan käynnistää tarpeen mukaan yhteyspyynnöistä tiettyihin domaineihin,
sen sijaan että VPN-yhteys katkaistaisiin tai kytkettäisiin yksipuolisesti verkon
käyttöliittymän pohjalta.
Vastaavuussäännöt tarpeen mukaan
Määrittele yksi tai useampi seuraavista vastaavuussäännöistä:
• InterfaceTypeMatch. Valinnainen. Wi-Fi- tai mobiiliverkon merkkijonoarvo. Mikäli
määritelty, tämä sääntö täytetään, kun ensisijaisen käyttöliittymän ohjelmisto on
määriteltyä tyyppiä.
• SSIDMatch. Valinnainen. SSID:iden pakka, jonka on vastattava nykyistä verkkoa. Jos verkko ei ole Wi-Fi-verkko tai jos sen SSID ei näy luettelossa, vastaavuus ei
toteudu. Jätä tämä avain ja sen pakka pois SSID:n huomiotta jättämiseksi.
• DNSDomainMatch. Valinnainen. Hakudomainien pakka merkkijonoina. Jos
nykyisen ensisijaisen verkon määritelty DNS-hakudomain sisältyy pakkaan, tämä ominaisuus täyttyy. Jokerimerkki-etuliite (*) on tuettu; esim. *.example.com
vastaisi esimerkkiä anything.example.com.
!
11
iOS:n käyttöönoton tekninen opas
• DNSServerAddressMatch. Valinnainen. DNS-palvelinosoitteiden pakka
merkkijonoina. Jos kaikki tällä hetkellä ensisijaiselle käyttöliittymälle määritellyt
DNS-palvelinosoitteet ovat pakassa, tämä ominaisuus täyttyy. Jokerimerkki (*) on tuettu; esim. 1.2.3.* vastaisi mitä tahansa DNS-palvelinta 1.2.3.-etuliitteellä.
• URLStringProbe. Valinnainen. Saavutettavuutta tiedusteleva palvelin.
Uudelleenohjaus ei ole tuettu. Verkko-osoitteen tulisi viedä luotetulle HTTPSpalvelimelle. Laite lähettää GET-pyynnön varmentaakseen, että palvelin on
saavutettavissa.
Action
Tämä avain määrittelee VPN:n toiminnan silloin, kun kaikki määritellyistä
vastaavuussäännöistä arvioidaan tosiksi. Tämä avain vaaditaan. Action-avaimen
arvot ovat:
• Connect. Käynnistää VPN-yhteyden rajoituksetta seuraavasta verkkoyhteyden
muodostusyrityksestä.
• Disconnect. Purkaa VPN-yhteyden eikä käynnistä uusia verkkoyhteyksiä
tarvittaessa.
• Ignore. Jättää kaikki olemassa olevat VPN-yhteydet päälle, mutta ei käynnistä
uusia verkkoyhteyksiä tarvittaessa.
• Allow. iOS-laitteille, joissa on iOS 6 tai vanhempi. Katso tämän osion myöhempi
kohta ”Huomioita taaksepäin yhteensopivuudesta”.
• EvaluateConnection. Arvioi ActionParameters-avaimen jokaisella yhteysyrityksellä.
Kun tätä käytetään, alla kuvattu ActionParameters-avain vaaditaan
määrittelemään arviointisäännöt.
ActionParameters
Pakka sanakirjoja alla kuvatuilla avaimilla, arvioidaan niiden esiintymisjärjestyksessä.
Vaaditaan, kun Action on EvaluateConnection.
• Domains. Vaaditaan. Sarja merkkijonoja, jotka määrittelevät domainit, joita tämä
arviointi koskee. Jokerimerkki-etuliitteet ovat tuettuja, kuten *.example.com.
• DomainAction. Vaaditaan. Määrittelee VPN:n toiminnan Domains-avaimelle.
DomainAction-avaimen arvot ovat:
– ConnectIfNeeded. Tuo esiin VPN:n, jos Domains-avaimen nimipalvelinkysely
epäonnistuu esimerkiksi DNS-palvelimen ilmoittaessa, että se ei kykene
kyselemään domain-nimeä tai jos DNS-vastaus ohjataan uudelleen tai
yhteydenmuodostus epäonnistuu tai yhteys aikakatkaistaan.
– NeverConnect. Ei käynnistä VPN:ää Domains-avaimelle.
Kun DomainAction on ConnectIfNeeded, voit määritellä myös seuraavat avaimet yhteyden arviointisanakirjassa:
• RequiredDNSServers. Valinnainen. DNS-palvelimien IP-osoitteiden pakka, jota
käytetään Domains-avaimen ratkaisemiseen. Näiden palvelimien ei tarvitse olla
osa laitteen nykyistä verkkomäärittelyä. Jos nämä DNS-palvelimet eivät ole
saavutettavissa, VPN käynnistetään. Määrittele sisäinen DNS-palvelin tai luotettu
ulkoinen DNS-palvelin.
• RequiredURLStringProbe. Valinnainen. HTTP tai HTTPS (suositeltava) URL
tiedusteluun, GET-pyyntöä käyttäen. Jos nimipalvelinkysely tälle palvelimelle
onnistuu, myös tiedustelun on onnistuttava. Jos tiedustelu epäonnistuu, VPN
käynnistetään.
!
12
iOS:n käyttöönoton tekninen opas
Huomioita taaksepäin yhteensopivuudesta
Ennen iOS 7:ää domainin käynnistyssäännöt määriteltiin domain-sarjoilla nimeltään OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry ja OnDemandMatchDomainNever. OnRetry- ja Never-tapauksia tuetaan yhä iOS 7:ssä, mutta EvaluateConnection-toimintoa pidetään ensisijaisena niihin nähden.
Kun haluat luoda sekä iOS 7:ssä että aikaisemmissa versioissa toimivan profiilin,
käytä uusia EvaluateConnection-avaimia OnDemandMatchDomain-sarjojen lisäksi. iOS:n vanhemmat versiot, jotka eivät tunnista EvaluateConnectionia,
käyttävät vanhoja sarjoja, kun taas iOS 7 ja uudemmat versiot käyttävät
EvaluateConnectionia.
Allow-toiminnon määrittelevät vanhat määrittelyprofiilit toimivat iOS 7:ssä,
OnDemandMatchDomainsAlways-domainit tosin poikkeuksena tästä.
Ohjelmakohtainen VPN
iOS 7 tuo mukanaan mahdollisuuden muodostaa VPN-yhteyksiä ohjelmakohtaisesti.
Tämä lähestymistapa mahdollistaa entistä tarkemman hallinnan sen suhteen, mikä
data kulkee VPN:n kautta ja mikä ei. Laitekohtaisen VPN:n kohdalla kaikki data
kulkee alkuperästään riippumatta yksityisen verkon kautta. Koska organisaatioissa
käytetään yhä enemmän työntekijöiden omia laitteita, ohjelmakohtainen VPN
tarjoaa turvalliset verkkoyhteydet organisaation sisäisille ohjelmille, mutta säilyttää
samalla työntekijän omalla laitteella suoritettujen toimintojen yksityisyyden.
Ohjelmakohtainen VPN sallii jokaisen mobiililaitteiden hallinnalla (MDM) hallitun
ohjelman kommunikoida yksityisen verkon kanssa turvallisen tunnelin kautta.
Samalla se estää muita laitteella olevia, ei-hallittuja ohjelmia käyttämästä yksityistä
verkkoa. Lisäksi hallittuihin ohjelmiin voidaan määritellä erilaiset VPN-yhteydet datan lisäsuojaksi. Esimerkiksi myyntitarjousohjelma voisi käyttää aivan eri
datakeskusta kuin ostoreskontraohjelma samalla kun käyttäjän henkilökohtaiseen verkkoselaukseen käytetään julkista internetiä. Mahdollisuus erottaa liikenne ohjelmatasolla sallii henkilökohtaisten tietojen ja organisaatiolle kuuluvien tietojen erottamisen.
Ohjelmakohtaisen VPN:n käyttö edellyttää, että ohjelmaa on hallittava MDM:n
kautta ja sen on käytettävä standardeja iOS-verkkoyhteysrajapintoja. Ohjelmakohtainen VPN on määritelty MDM-määrittelyllä, joka määrittää, minkä ohjelmien ja Safari-domainien sallitaan käyttää asetuksia. Lisätietoja MDM:stä saat katsomalla
luvusta 3: Määrittely ja hallinta.
Kertakirjautuminen (SSO)
iOS 7:n avulla ohjelmat voivat hyödyntää olemassa olevaa yrityksen sisäistä
kertakirjautumisinfrastruktuuria Kerberoksen kautta. Kertakirjautuminen voi
parantaa käyttäjäkokemusta, kun käyttäjää pyydetään syöttämään salasanansa vain
kerran. Se parantaa myös päivittäisen ohjelmankäytön turvallisuutta varmistamalla,
että salasanoja ei lähetetä koskaan langattomasti.
iOS 7 käyttämä Kerberos-todentamisjärjestelmä on standardi ja maailman
yleisimmin käytetty kertakirjautumisjärjestelmä. Jos sinulla on Active Directory,
eDirectory tai OpenDirectory, todennäköisesti käytössä on jo Kerberos-järjestelmä,
jota iOS 7 voi hyödyntää. iOS-laitteilla tulee olla mahdollisuus muodostaa yhteys
Kerberos-palveluun verkkoyhteyden kautta käyttäjien todentamiseksi.
!
13
iOS:n käyttöönoton tekninen opas
Tuetut ohjelmat
iOS tarjoaa joustavan tuen Kerberos-kertakirjautumiselle mihin tahansa (SSO)
ohjelmaan, joka käyttää NSURLConnection- tai NSURLSession-luokkaa
verkkoyhteyksien ja todentamisen hallintaan. Apple tarjoaa kaikille kehittäjille
huippuluokkaiset sovelluskehykset tehdäkseen verkkoyhteyksistä saumattomasti
ohjelmiensa kanssa integroituja. Apple tarjoaa myös Safarin esimerkkinä
ohjelmasta, joka auttaa sinua pääsemään alkuun SSO-yhteensopivien
verkkosivustojen kanssa natiivisti.
SSO:n määrittely
Kertakirjautumisen määrittely suoritetaan määrittelyprofiileilla, jotka voivat olla joko käsin asennettuja tai MDM:llä hallittuja. SSO-tilin data mahdollistaa joustavan
määrityksen. SSO voi olla avoin kaikille ohjelmille tai ohjelman tunnisteen, palvelun
verkko-osoitteen tai molempien rajoittama.
Verkko-osoitteiden vastaavuutta haettaessa käytetään yksinkertaista vastaamismallia ja verkko-osoitteiden alussa tulee olla joko http:// tai https://. Vastaavuus
koskee koko verkko-osoitetta, joten varmista, että ne ovat tarkalleen samat.
Esimerkiksi URLPrefixMatches-arvo https://www.example.com/ ei ole sama kuin
https://www.example.com:443/. Voit määritellä siten, että http:// tai https://
rajoittaa SSO:n käytön joko turvallisiin tai säännöllisiin HTTP-palveluihin. Esimerkiksi kohteen https:// URLPrefixMatches-arvon käyttö sallii SSO-tilin käytön
vain turvallisten HTTPS-palveluiden kanssa. Jos verkko-osoitteen vastaavuusmalli
ei pääty kauttaviivaan (/), kauttaviiva (/) lisätään siihen.
AppIdentifierMatches-sarjan tulee sisältää merkkijonoja, jotka vastaavat
ohjelmapaketin ID:itä. Näiden merkkijonojen tulee olla täysin vastaavia (esimerkiksi
com.mycompany.myapp) tai ne voivat määritellä etuliitteen vastaavuuden paketin
ID:ssä jokerimerkkiä (*) käyttämällä. Jokerimerkin tulee esiintyä pisteen (.) jälkeen ja vain merkkijonon lopussa (esimerkiksi com.mycompany.*). Kun jokerimerkki
annetaan, pääsy tilille myönnetään mille tahansa ohjelmalle, jonka paketin ID alkaa etuliitteellä.
Digitaaliset varmenteet
Digitaalisten varmenteiden käyttö on tunnistamismenetelmä, joka takaa sujuvan
todentamisen sekä tietojen eheyden ja salauksen. Digitaalinen varmenne koostuu julkisesta avaimesta, käyttäjän tiedoista ja varmenteen myöntäneestä
varmentajasta. iOS tukee digitaalisia varmenteita tarjoten organisaatioille turvallisen ja kätevän pääsyn yrityksen palveluihin.
Varmenteita voidaan käyttää eri tavoin. Tietojen allekirjoittaminen digitaalisella
varmenteella auttaa varmistamaan, että tietoja ei voi muuttaa. Varmenteilla voidaan
myös taata tekijän tai ”allekirjoittajan” identiteetti. Niillä voidaan myös salata
määritysprofiileja ja verkkoviestintää luottamuksellisten tai henkilökohtaisten
tietojen salauksen parantamiseksi.
Esimerkiksi Safari-selain voi tarkistaa X.509-digitaalivarmenteen kelvollisuuden ja
ottaa käyttöön suojatun istunnon 256-bittisellä AES-salauksella. Tällä varmennetaan,
että sivuston identiteetti on hyväksytty ja että kommunikaatio verkkosivuston
kanssa on suojattua. Näin autetaan estämään henkilökohtaisten tai
luottamuksellisten tietojen sieppaaminen.
!
14
iOS:n käyttöönoton tekninen opas
Tuetut varmenne- ja identiteettimuodot:
• iOS tukee X.509-varmenteita RSA-avaimilla.
• Tiedostopäätteet .cer, .crt, .der, .p12 ja .pfx tunnistetaan.
Varmenteiden käyttäminen iOS:ssä
Juurivarmenteet
iOS sisältää valmiiksi joukon esiasennettuja juurivarmenteita. Lisätietoja saat
katsomalla tässä Applen tukiartikkelissa olevaa luetteloa.
iOS voi päivittää varmenteet langattomasti, mikäli jokin esiasennetuista
juurivarmenteista vaarantuisi. Tämä voidaan poistaa käytöstä rajoituksella, joka estää langattomat varmennepäivitykset.
Jos käytät juurivarmennetta, jota ei ole esiasennettu (kuten oman organisaatiosi
luoma itse allekirjoitettu juurivarmenne) voit jakaa sen käyttäen jotakin alla
luetelluista menetelmistä.
Varmenteiden jakaminen ja asentaminen
Varmenteiden jakaminen iOS-laitteisiin on yksinkertaista. Kun varmenne vastaanotetaan, käyttäjä voi tarkistaa sen tiedot napauttamalla ja lisätä sitten varmenteen
laitteeseen napauttamalla. Kun henkilövarmenne asennetaan, käyttäjiltä pyydetään
sitä suojaava salasana. Jos varmenteen autenttisuutta ei voida varmistaa, se näkyy
ei-luotettuna ja käyttäjä voi päättää, haluaako edelleenkin lisätä sen laitteeseensa.
Varmenteiden asentaminen määrittelyprofiilien kautta
Jos määrittelyprofiileja käytetään asetusten jakamiseen yrityspalveluille (kuten
Exchange, VPN tai Wi-Fi), varmenteet voidaan lisätä profiiliin käyttöönoton
helpottamiseksi. Tähän sisältyy mahdollisuus jakaa varmenteita MDM:n kautta.
Varmenteiden jakaminen Mailin tai Safarin kautta
Jos varmenne lähetetään sähköpostissa, se näkyy liitteenä. Safaria voidaan myös käyttää varmenteiden lataamiseen verkkosivulta. Voit ylläpitää varmennetta suojatulla verkkosivustolla ja tarjota käyttäjille verkko-osoitteen, josta he voivat
ladata varmenteen laitteilleen.
Varmenteen poistaminen ja peruminen
Kun haluat poistaa asennetun varmenteen manuaalisesti, valitse Asetukset > Yleiset > Profiilit ja valitse poistettava varmenne. Jos käyttäjä poistaa varmenteen,
jota tarvitaan tilin tai verkon käyttöön, laite ei enää kykene muodostamaan yhteyttä
kyseisiin palveluihin.
Mobiililaitteiden hallintapalvelin voi tarkistaa kaikki laitteella olevat varmenteet ja
poistaa kaikki varmenteet, jotka se on asentanut.
Lisäksi OCSP- (Online Certificate Status Protocol) ja CRL-protokollat (Certificate
Revocation List) ovat tuettuja varmenteiden tilan tarkistamista varten. Kun OCSP- tai CRL-yhteensopivaa varmennetta käytetään, iOS arvioi sen ajoittain
varmistaakseen, että sitä ei ole peruttu.
Bonjour
Bonjour on Applen standardipohjainen ja helposti asennettava verkkoprotokolla,
jolla laitteet löytävät palvelut verkosta. iOS-laitteet käyttävät Bonjouria löytääkseen
AirPrint-yhteensopivia tulostimia ja AirPlay-yhteensopivia laitteita, kuten Apple TV:n.
Myös jotkin vertaisohjelmat edellyttävät Bonjouria. Sinun on oltava varma, että
verkkoinfrastruktuuri ja Bonjour on määritelty toimimaan oikein yhdessä.
iOS 7.1 -laitteet etsivät AirPlay-lähteitä myös Bluetoothin välityksellä. Kun yhteensopiva Apple TV on löytynyt, AirPlay-data välitetään Wi-Fi-verkon yli. Apple TV 6.1 tai
uudempi vaaditaan Bluetoothin käyttöön, ja iOS-laitteen ja Apple TV:n on oltava
samassa aliverkossa, jotta sisältöä voidaan toistaa tai peilata. Lisätietoja Bonjourista
saat tutustumalla tähän Applen verkkosivuun. !
15
iOS:n käyttöönoton tekninen opas
Luku 2: Turvallisuus
!
iOS:ssä on monitasoinen suojaus. Sen ansiosta iOS-laitteilla voidaan käyttää
turvallisesti verkkopalveluita ja suojata tärkeitä tietoja. iOS tarjoaa vahvan salauksen
tiedonsiirtoon, koetellut todentamismenetelmät yrityksen palveluiden käyttöön ja
laitteistosalauksen kaikelle levossa olevalle datalle. iOS tarjoaa myös turvallisen
suojauksen pääsykoodikäytännöillä, jotka voidaan toimittaa ja panna täytäntöön
langattomasti. Jos laite päätyy vääriin käsiin, käyttäjät ja IT-ylläpitäjät voivat
käynnistää etätyhjennyskomennon yksityisten tietojen poistamista varten.
Kun pohditaan iOS:n suojausta yrityskäytössä, on hyödyllistä ymmärtää seuraavat asiat:
• Laiterajoitukset. Tavat estää laitteen luvaton käyttö
• Salaus ja tietosuoja. Levossa olevan datan suojaus myös silloin, kun laite katoaa
tai varastetaan
• Verkon suojaus. Verkkoprotokollat ja datan salaus lähetysvaiheessa
• Ohjelmien suojaus. Ohjelmien turvallisen toiminnan mahdollistaminen alustan
luotettavuutta vaarantamatta
• Internet-palvelut. Applen verkkopohjainen infrastruktuuri viestintään,
synkronointiin ja varmuuskopiointiin
Nämä ominaisuudet toimivat yhteistyössä tarjoten suojatun mobiilialustan.
Seuraavia pääsykoodikäytäntöjä
tuetaan:
• Vaadi pääsykoodi laitteella
• Vaadi alfanumeerinen arvo
• Pääsykoodin vähimmäispituus
• Erikoismerkkien vähimmäismäärä
• Pääsykoodin enimmäisikä
• Aika ennen automaattilukitusta
• Pääsykoodihistoria
• Lisäaika ennen laitteen lukitusta
• Virheellisten yritysten
enimmäismäärä
Laitteen turvallisuus
Vahvojen pääsykäytäntöjen laatiminen iOS-laitteille on avainasemassa yritystietojen suojaamisessa. Laitteiden pääsykoodit ovat etulinjassa suojauduttaessa
luvattomalta käytöltä ja ne voidaan määritellä ja panna täytäntöön langattomasti.
iOS-laitteissa käytetään kunkin käyttäjän luomaa yksilöllistä pääsykoodia vahvan
salausavaimen luomiseen. Näin voidaan parantaa laitteella olevien arkaluontoisten
ohjelmatietojen suojausta. Lisäksi iOS tarjoaa turvalliset menetelmät laitteen
määrittelyyn IT-ympäristössä, joissa erityisten asetusten, käytäntöjen ja rajoitusten
on oltava kohdallaan. Nämä menetelmät tarjoavat joustavat vaihtoehdot
suojauksen vakiotason luomiseen valtuutetuille käyttäjille.
Pääsykoodikäytännöt
Laitteen pääsykoodi estää valtuuttamattomia käyttäjiä käyttämästä dataa tai muulla tavoin saamasta pääsyä laitteelle. iOS:n avulla voit valita laajasta
pääsykoodikäytäntöjen joukosta omia suojaustarpeitasi vastaavat, mukaan lukien umpeutumisajat, pääsykoodin vahvuus ja se, miten usein pääsykoodi on vaihdettava.
!
16
iOS:n käyttöönoton tekninen opas
Käytäntöjen valvonta
Käytännöt voidaan jakaa osana määrittelyprofiilia käyttäjien asennettaviksi. Profiili voidaan myös määritellä siten, että profiilin poistaminen on mahdollista vain
järjestelmänvalvojan salasanalla. Tai sitten profiili voidaan määritellä siten, että se on
lukittu laitteeseen eikä sitä voida poistaa ilman, että poistetaan samalla laitteen
koko sisältö. Lisäksi pääsykoodiasetukset voidaan määritellä etänä käyttäen
mobiililaitteen hallinnan (MDM) ratkaisuja, jotka voivat siirtää käytännöt suoraan
laitteeseen. Näin käytännöt voidaan panna täytäntöön ja päivittää ilman käyttäjän
toimenpiteitä.
Jos laite on määritelty käyttämään Microsoft Exchange -tiliä, Exchange ActiveSync
-käytännöt siirretään laitteeseen langattomasti. Käytäntöjen saatavuus vaihtelee
riippuen Exchange ActiveSyncin ja Exchange Serverin versiosta. Jos sekä Exchangeettä MDM-käytännöt ovat olemassa, käytetään tiukempaa käytäntöä.
Turvallinen laitemäärittely
Määrittelyprofiilit ovat XML-tiedostoja, jotka sisältävät suojauskäytäntöjä ja
rajoituksia, VPN-määrittelytietoja, Wi-Fi-asetuksia, sähköposti- ja kalenteritilejä sekä
todentamistietoja, jotka sallivat iOS-laitteiden toimimisen yhdessä IT-järjestelmiesi
kanssa. Mahdollisuus luoda pääsykoodikäytännöt yhdessä laiteasetusten kanssa
määrittelyprofiilissa varmistaa, että organisaatiosi laitteet määritellään oikein ja IT-osaston asettamien suojausstandardien mukaisesti. Ja koska määrittelyprofiileja
ei voida salata ja lukita, asetuksia ei voida poistaa, muuttaa tai jakaa muiden kanssa.
Määrittelyprofiilit voidaan sekä allekirjoittaa että salata. Määrittelyprofiilin
allekirjoittaminen varmistaa, että profiilin täytäntöön panemia asetuksia ei voida
muuttaa millään tavalla. Määrittelyprofiilin salaaminen suojaa profiilin sisällön ja
sallii asennuksen vain laitteella, jota varten se luotiin. Määrittelyprofiilit salataan
käyttäen CMS.ää (Cryptographic Message Syntax, RFC 3852), joka tukee 3DES:ää ja AES 128:aa.
Kun jaat salattua määrittelyprofiilia ensimmäisen kerran, voit asentaa sen USB:n
kautta Apple Configuratorin avulla tai langattomasti käyttäen Over-the-Air Profile
Delivery and Configuration -protokollaa tai MDM:ää. Peräkkäiset salatut
määrittelyprofiilit voidaan toimittaa sähköpostin liitteenä, ylläpidettyinä
verkkosivustolla, jolta ne ovat käyttäjien saatavilla tai siirtämällä laitteeseen MDM-ratkaisuja käyttäen.
Lisätietoja saat tutustumalla iOS Developer Library -sivustolla olevaan Over-the-Air
Profile Delivery and Configuration -protokollaan.
Laiterajoitukset
Laiterajoitukset määrittävät, mitä ominaisuuksia käyttäjät voivat käyttää laitteella.
Tyypillisesti näihin sisältyvät verkossa toimivat ohjelmat, kuten Safari, YouTube tai iTunes Store, mutta rajoitteilla voidaan hallita myös laitteen toiminnallisuutta, kuten ohjelman asentamista tai kameran käyttöä. Rajoitusten avulla voit määrittää
laitteen omien vaatimustesi mukaan ja samalla voit sallia käyttäjille laitteen
hyödyntämisen tavoilla, jotka ovat yhteneväisiä organisaatiosi käytäntöjen kanssa.
Rajoitukset voidaan määritellä manuaalisesti kullakin laitteella, panna täytäntöön
määrittelyprofiilia käyttämällä tai luoda etänä MDM-ratkaisun avulla. Lisäksi
kameran tai verkkoselailun rajoitukset voidaan pääsykoodikäytäntöjen tavoin
panna langattomasti täytäntöön Microsoft Exchange Server 2007:n ja 2010:n kautta.
Rajoituksia voidaan käyttää myös estämään sähköpostiviestien siirtelyä eri tilien
välillä tai siihen, että tietyltä tililtä vastaanotettuja viestejä välitettäisiin eteenpäin.
Liitteessä B on tietoja tuetuista rajoituksista.
!
17
iOS:n käyttöönoton tekninen opas
Salaus ja tietosuoja
iOS-laitteisiin tallennettujen tietojen suojaaminen on tärkeää missä tahansa
ympäristössä, jossa käsitellään luottamuksellisia tietoja. Lähetysvaiheessa
tapahtuvan datan salauksen lisäksi iOS-laitteissa on myös laitteistosalaus kaikelle
siihen tallennetulle datalle sekä sähköpostin ja ohjelmien tietojen parannettu
salaus.
Salaus
iOS-laitteissa käytetään laitteistopohjaista salausta. Laitteistosalauksena käytetään
256-bittistä AES:ää kaikkien laitteen tietojen salaamiseen. Salaus on aina päällä eikä sitä voida poistaa käytöstä. Lisäksi iTunesissa käyttäjän tietokoneelle
varmuuskopioidut tiedot voidaan myös salata. Käyttäjä voi ottaa ominaisuuden
käyttöön itse tai se voidaan laittaa hänelle käyttöön määrittelyprofiilien
laiterajoitusasetuksissa. iOS tukee S/MIMEä sähköpostissa, joten käyttäjät voivat
katsella ja lähettää salattuja sähköpostiviestejä.
iOS 7:n ja iOS 6:n kryptografiset moduulit on tarkistettu U.S. Federal Information
Processing Standardin (FIPS) 140-2 tason 1 vastaavuuden osalta. Sillä tarkistetaan
kryptografisten toimintojen luotettavuus Apple-ohjelmissa ja muiden valmistajien
iOS:n kryptografisia palveluita kunnolla hyödyntävissä ohjelmissa.
Lisätietoja saat tutustumalla artikkeliin iOS-tuotteiden tietoturva: Validoinnit ja
ohjeita ja iOS 7: Apple FIPS iOS Cryptographic Modules v4.0.
Tietojen suojaus
Laitteelle tallennettujen sähköpostiviestien ja liitetiedostojen suojausta voidaan
parantaa iOS:n sisäisten tietojensuojausominaisuuksien ansiosta. Tietojen suojaus
hyödyntää jokaisen käyttäjän yksilöllistä laitepääsykoodia iOS-laitteiden
laitteistosalauksen kanssa luodakseen vahvan salausavaimen. Tämä estää pääsyn
dataan laitteen ollessa lukittuna. Näin varmistetaan, että tärkeät tiedot on suojattu
myös laitteen vaarannuttua.
Tietojen suojausominaisuus voidaan laittaa päälle luomalla vain laitteelle
pääsykoodi. Tietojen suojauksen tehokkuus riippuu vahvasta pääsykoodista, joten on tärkeää vaatia käyttämään neljää lukua vahvempaa pääsykoodia
pääsykoodikäytäntöjä laadittaessa. Käyttäjät voivat varmistaa, että tietojen suojaus on otettu käyttöön heidän laitteillaan katsomalla pääsykoodiasetusten
näyttöä. Mobiililaitteiden hallintaratkaisut kykenevät myös kyselemään laitteelta
tätä tietoa.
Tietojensuojausrajapinnat ovat myös kehittäjien käytettävissä ja niitä voidaan
käyttää datan suojaamiseen App Storen ohjelmissa tai räätälöidyissä yrityksen
sisäisissä ohjelmissa. iOS 7:stä lähtien ohjelmien tallentama data on oletusarvoisesti
suojausluokkaa ”Suojattu ensimmäiseen todennukseen”, joka on vastaava kuin koko levyn salaus pöytäkoneilla ja suojaa tietoja hyökkäyksiltä, joihin liittyy
uudelleenkäynnistys.
Huomaa: Jos laite on päivitetty iOS 6:sta, olemassa olevaa dataa ei tallenneta
uuteen luokkaan. Ohjelman poistamisen ja uudelleenasentamisen seurauksena
ohjelma saa uuden suojausluokan.
Touch ID
Touch ID on iPhone 5s:n sisäinen sormenjäljen tunnistusjärjestelmä, joka tekee
erittäin turvallisen pääsyn laitteeseen nopeammaksi ja helpommaksi. Tämä
edistyksellinen teknologia lukee sormenjälkiä mistä tahansa kulmasta ja oppii ajan myötä lisää käyttäjän sormenjäljestä. Tunnistimen avulla se laajentaa
sormenjälkikarttaa, kun jokaisella käyttökerralla tunnistetaan lisää päällekkäisiä
solmuja.
18
iOS:n käyttöönoton tekninen opas
Touch ID tekee pidemmän ja monimutkaisemman pääsykoodin käytöstä entistä
käytännöllisempää, koska käyttäjien ei tarvitse syöttää sitä niin usein. Touch ID
ratkaisee myös pääsykoodipohjaisen lukituksen vaatiman vaivannäön, ei
korvaamalla sitä, mutta ennemminkin tarjoamalla turvallisen pääsyn laitteeseen
mielekkäillä aika- ja muilla rajoituksilla.
Kun Touch ID on otettu käyttöön, iPhone 5s lukittuu välittömästi, kun käynnistys/
nukkumispainiketta on painettu. Käytettäessä pelkkää pääsykoodiin perustuvaa
suojausta monet käyttäjät asettavat lukituksen avaamisen lisäajan välttyäkseen
pääsykoodin syöttämiseltä aina laitetta käyttäessään. Touch ID:n ansiosta iPhone 5s
lukittuu aina nukkumaan mennessään ja vaatii sormenjäljen (tai vaihtoehtoisesti
pääsykoodin) aina herätettäessä.
Touch ID toimii yhdessä turvallisen alueen kanssa – se on Applen A7-siruun tehty
apuprosessori. Turvallisessa alueessa on oma suojattu ja salattu muistitilansa ja se
kommunikoi suojatusti Touch ID -tunnistimen kanssa. Kun iPhone 5s lukittuu,
Complete-tietojensuojausluokan avaimet suojataan avaimella, jota pidetään
turvallisen alueen salatussa muistissa. Avainta säilytetään enintään 48 tuntia ja se hylätään, mikäli iPhone 5s käynnistetään uudelleen tai tunnistamatonta
sormenjälkeä käytetään viisi kertaa. Jos sormenjälki tunnistetaan, turvallinen alue
tarjoaa avaimen tietojen suojausavaimen paketoinnin poistoa varten ja laitteen
lukitus avataan.
Etätyhjennys
iOS tukee etätyhjennystä. Jos laite katoaa tai varastetaan, ylläpitäjä tai laitteen
omistaja voi antaa etätyhjennykselle komennon tyhjentää laitteesta kaikki tiedot ja poistaa sen käytöstä. Jos laitteeseen on määritetty Exchange-tili, ylläpitäjä voi
antaa etätyhjennyskomennon käyttäen Exchange Management Consolea
(Exchange Server 2007) tai Exchange ActiveSync Mobile Administration Web Tool
-työkalua (Exchange Server 2003 tai 2007). Myös Exchange Server 2007:n käyttäjät
voivat käynnistää etätyhjennyskomentoja suoraan käyttäen Outlook Web Accessia.
Etätyhjennyskomennot voidaan myös käynnistää MDM-ratkaisuilla tai käyttäen
iCloudin Etsi iPhoneni -ominaisuutta vaikka Exchange-yrityspalvelut eivät olisi
käytössäkään.
Paikallinen tyhjennys
Laitteet voidaan myös määrittää käynnistämään paikallinen tyhjennys
automaattisesti muutaman epäonnistuneen pääsykoodin syöttöyrityksen jälkeen. Tämä suojaa brute-force-hyökkäyksillä tehtäviä käyttöyrityksiä vastaan. Kun pääsykoodi on luotu, käyttäjillä on mahdollisuus ottaa paikallinen tyhjennys
käyttöön suoraan asetuksissa. Oletusarvoisesti iOS tyhjentää laitteen
automaattisesti 10 epäonnistuneen pääsykoodin syöttöyrityksen jälkeen.
Pääsykoodikäytäntöjen tavoin virheellisten yritysten enimmäismäärä voidaan
määritellä määrittelyprofiililla, asettaa MDM-palvelimen avulla tai täytäntöön-
panna langattomasti Microsoft Exchange ActiveSync -käytännöillä.
Etsi iPhoneni ja Aktivointilukitus
Jos laite katoaa tai varastetaan, on tärkeää tyhjentää se ja poistaa se käytöstä.
Laitetta ei voida aktivoida uudelleen syöttämättä omistajan Apple ID
-tunnistetietoja Etsi iPhoneni -ominaisuuden ollessa päällä iOS 7:ssä. Organisaation
omistamia laitteita kannattaa joko valvoa tai ylläpitää käyttäjiä varten käytäntöä,
jossa Etsi iPhoneni -ominaisuus poistetaan käytöstä, jotta se ei estä organisaatiota
määrittämästä laitetta toisen henkilön käyttöön.
iOS 7.1:ssä tai uudemmassa aktivointilukituksen voi ottaa käyttöön yhteensopivalla
mobiililaitteen hallintaratkaisulla, kun käyttäjä laittaa Etsi iPhoneni -ominaisuuden
päälle. Mobiililaitteen hallintaratkaisu voi tallentaa ohituskoodin, kun aktivointilukitus otetaan käyttöön. Koodia voi myöhemmin käyttää aktivointilukituksen
19
iOS:n käyttöönoton tekninen opas
Verkon suojaus
• Sisäänrakennettu Cisco IPSec, L2TP,
PPTP VPN
• SSL VPN App Store -ohjelmien kautta
• SSL/TLS X.509-varmenteilla
• WPA/WPA2 Enterprise 802.1X:llä
• Varmennepohjainen todentaminen
• RSA SecurID, CRYPTOCard
poistamiseen automaattisesti, kun laite tyhjennetään ja annetaan uudelle
käyttäjälle. Lue lisätietoja mobiililaitteen hallintaratkaisusi dokumentaatiosta.
Kun haluat lisätietoa Etsi iPhoneni -ominaisuudesta ja Aktivointilukituksesta, katso
iCloud: Etsi iPhoneni -ominaisuuden aktivointilukitus iOS 7:ssä ja iOS 7:
Mobiililaitteen hallinta ja Etsi iPhoneni -aktivointilukitus.
Verkkoturvallisuus
Mobiilikäyttäjien on voitava käyttää yrityksen verkkoja kaikkialta maailmasta.
Samalla on tärkeä varmistaa, että käyttäjät ovat luvallisia ja että heidän tietonsa
suojataan siirron aikana. iOS tarjoaa koetellut teknologiat näiden turvallisuustavoitteiden saavuttamiseen sekä Wi-Fi- että mobiiliverkkoyhteyksiä varten.
VPN-protokollat
• Cisco IPSec
• L2TP/IPSec
• PPTP
• SSL VPN
Todentamismenetelmät
• Salasana (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• X.509-digitaalivarmenteet
• Jaettu salaisuus
Lisäksi olemassa oleva infrastruktuuri, jokainen FaceTime-istunto ja iMessagekeskustelu salataan päästä päähän. iOS luo yksilöivän tunnuksen jokaiselle
käyttäjälle. Tällä varmistetaan, että yhteydet salataan, reititetään ja yhdistetään
oikein.
VPN
802.1X-todennusprotokollat
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Monissa yritysympäristöissä on jonkinlainen VPN-verkko. Nämä suojatut
verkkopalvelut ovat jo käyttöönotettuja ja vaativat tyypillisesti vähimmäiskäyttöönoton ja -määrittelyn toimiakseen iOS:n kanssa. iOS on integroitavissa
suoraan pakkauksesta monenlaisiin yleisesti käytettyihin VPN-teknologioihin. Katso yksityiskohtia luvusta 1 ”VPN-verkot”.
SSL/TLS
iOS tukee SSL-versiota 3 sekä TLS-versiota (Transport Layer Security) 1.0, 1.1 ja 1.2.
Safari, Kalenteri, Mail ja muut internet-ohjelmat käynnistävät nämä mekanismit
automaattisesti muodostaen salatun viestintäkanavan iOS:n ja yrityspalveluiden
välille.
WPA/WPA2
Tuetut varmennemuodot
iOS tukee X.509-varmenteita RSA-avaimilla. Tiedostopäätteet .cer, .crt, ja .der tunnistetaan.
iOS tukee WPA2 Enterpriseä taatakseen todennetun yhteyden yrityksen
langattomiin verkkoihin. WPA2 Enterprise käyttää 128-bittistä AES-salausta, joten käyttäjä voi olla varma, että tietojen lähettäminen ja vastaanottaminen Wi-Fi-verkkoyhteyden välityksellä on turvallista. 802.1X:n tuen ansiosta iPhone ja iPad voidaan integroida moniin eri RADIUS-todentamisympäristöihin.
Ohjelmien suojaus
Turvallisuus on ollut keskeisessä osassa iOS:n suunnittelussa. Se sisältää
sandboxing-menetelmällä suojatun lähestymistavan ohjelman ajonaikaiseen
suojaukseen ja ohjelman allekirjoittamiseen sen varmistamiseksi, että ohjelmiin ei voida koskea. iOS:ssä on myös sovelluskehys, joka helpottaa ohjelman ja
verkkopalvelun tunnistetietojen turvallista tallentamista salatussa tallennuspaikassa, jota kutsutaan avainnipuksi. Kehittäjille se tarjoaa yleisen Cryptoarkkitehtuurin, jota voidaan käyttää ohjelman tietojen tallennuksen salaamiseen.
Ajonaikainen suojaus
Laitteessa olevat ohjelmat on suojattu sandboxing-menetelmällä. Näin rajoitetaan
pääsyä muiden ohjelmien tallentamiin tietoihin. Lisäksi järjestelmätiedostot,
resurssit ja ydin on erotettu käyttäjän ohjelmatilasta. Jos ohjelman tarvitsee käyttää toisen ohjelman tietoja, se voi tehdä niin vain käyttämällä iOS:n tarjoamia
rajapintoja ja palveluita. Myös koodin luominen on estetty.
!
20
iOS:n käyttöönoton tekninen opas
Pakollinen koodin allekirjoitus
Kaikki iOS-ohjelmat on allekirjoitettava. Laitteen mukana tulevat ohjelmat ovat Applen allekirjoittamia. Muiden valmistajien ohjelmat kehittäjä allekirjoittaa itse
Applen varmenteella. Näin varmistetaan, että ohjelmaan ei ole koskettu tai tehty
muutoksia. Lisäksi tehdään ajonaikaisia tarkistuksia, joilla varmistetaan, että ohjelma ei ole muuttunut ei-luotetuksi edellisen käyttökerran jälkeen.
Räätälöityjen sisäisten yritysohjelmien käyttöä voidaan valvoa provisiointi profiililla.
Käyttäjillä on oltava provisiontiprofiili asennettuna ohjelman suorittamista varten.
Provisiontiprofiilit voidaan asentaa langattomasti MDM-ratkaisuja käyttämällä.
Ylläpitäjät voivat myös rajoittaa ohjelman käyttöä tiettyihin laitteisiin.
Turvallinen todentamismalli
iOS tarjoaa turvallisen, salatun avainnipun digitaalisten henkilöllisyyksien,
käyttäjänimien ja salasanojen tallentamiseen. Avainnipun tiedot lokeroidaan, jotta eri henkilöllisyystiedoin varustetut ohjelmat eivät pääse käsiksi muiden
valmistajien ohjelmien tallentamiin valtuutustietoihin. Tämä tarjoaa mekanismin
todentamistietojen suojaamiseen iOS-laitteilla yrityksen erilaisissa ohjelmissa ja palveluissa.
Yleinen Crypto-arkkitehtuuri
Ohjelmien kehittäjät voivat käyttää salausrajapintoja ohjelmiensa datan parempaan suojaamiseen. Tiedot voidaan salata symmetrisesti käyttäen koeteltuja metodeja, kuten AES, RC4 tai 3DES. Lisäksi iOS-laitteet tarjoavat
laitteistokiihdytyksen AES-salaukselle ja SHA1-tarkistussummalle maksimoiden
ohjelman suorituskyvyn.
Ohjelmien tietojen suojaus
Ohjelmat voivat hyödyntää myös iOS-laitteiden sisäistä laitteistosalausta
suojatakseen luottamuksellisia ohjelmatietoja entistä paremmin. Kehittäjät voivat
suojata tietoja erityisillä tiedostoilla siten, että järjestelmää käsketään tekemään
tiedoston sisällöstä kryptografisesti sellaista, että ohjelma ja mahdolliset
verkkohyökkääjät eivät pääse siihen käsiksi laitteen ollessa lukittuna.
Ohjelmien oikeudet
Oletusarvoisesti iOS-ohjelmassa on erittäin rajoitetut oikeudet. Kehittäjien on
suoraan lisättävä oikeudet useimpien ominaisuuksien (kuten iCloudin, taustaprosessoinnin tai jaettujen avainnippujen) käyttöön. Tällä varmistetaan, että
ohjelmat eivät voi myöntää itselleen pääsyä tietoihin, joita niillä ei ollut
käyttöönotettaessa. Lisäksi iOS-ohjelmien on kysyttävä käyttäjän lupaa ennen
monien iOS-ominaisuuksien (kuten GPS-sijainnin, käyttäjien yhteystietojen, kameran tai tallennettujen kuvien) käyttöä.
Internet-palvelut
Apple on rakentanut vahvan palveluvalikoiman auttaakseen käyttäjiä saamaan
laitteistaan irti entistäkin enemmän hyötyä ja tuottavuutta. Näitä palveluita ovat
esimerkiksi iMessage, FaceTime, Siri, iCloud, iCloud-varmuuskopiointi ja iCloudin
avainnippu.
Nämä internet-palvelut on rakennettu samoilla turvallisuustavoitteilla, joita iOS
käyttää koko alustassa. Nämä tavoitteet sisältävät tietojen turvallisen käsittelyn,
olivatpa tiedot sitten levossa laitteella tai siirrettävinä langattomien verkkojen kautta; käyttäjien henkilökohtaisten tietojen suojauksen sekä uhilta suojautumisen
haitallista tai valtuuttamatonta tietojen tai palveluiden käyttöä vastaan. Jokainen
palvelu käyttää omaa tehokasta suojausarkkitehtuuriaan tinkimättä kuitenkaan iOS:n yleisestä helppokäyttöisyydestä.
21
iOS:n käyttöönoton tekninen opas
iMessage
iMessage1 on viestintäpalvelu iOS-laitteille ja Mac-tietokoneille. iMessage tukee
tekstiä ja liitteitä, kuten kuvia, yhteystietoja ja sijainteja. Viestit näkyvät kaikissa
käyttäjien rekisteröidyissä laitteissa, joten keskustelua voidaan jatkaa millä tahansa
käyttäjän laitteista. iMessage hyödyntää Applen push-ilmoituspalvelua (APNS).
iMessage käyttää kattavaa salausta, joka hyödyntää vain lähettävien ja
vastaanottavien laitteiden tiedossa olevia avaimia. Apple ei voi purkaa viestien
salausta eikä viestejä kirjata.
FaceTime
FaceTime2 on Applen video- ja äänipalvelu. FaceTime-puhelut käyttävät Applen
push-ilmoituspalvelua (APNS) muodostaakseen välittömän yhteyden, ja sen jälkeen
ne luovat salatun virran ICE:n (Internet Connectivity Establishment) ja SIP:n (Session
Initiation Protocol) avulla.
Siri
Käyttäjät voivat hyödyntää Siriä normaalisti puhumalla3 esimerkiksi viestien
lähettämiseen, kokousten järjestämiseen ja puheluiden soittamiseen. Siri käyttää
puheentunnistusta, teksti puheeksi -ominaisuutta ja asiakasohjelma-palvelin-mallia
vastatakseen monenlaisiin pyyntöihin. Sirin tukemat tehtävät on suunniteltu
varmistamaan, että ainoastaan ehdoton vähimmäismäärä henkilökohtaisia tietoja
hyödynnetään ja että se suojataan täysin. Siri-pyyntöjä ja äänitettyä puhetta ei
tunnisteta henkilökohtaisesti ja aina kuin mahdollista, Siri-toiminnot suoritetaan
laitteella, ei palvelimella.
iCloud
iCloud4 tallentaa esimerkiksi musiikin, kuvat, ohjelmat, kalenterit ja dokumentit sekä
lähettää ne automaattisesti kaikkiin käyttäjän laitteisiin. iCloud myös varmuuskopioi
tiedot (mukaan lukien laiteasetukset, ohjelmien tiedot sekä teksti- ja multimediaviestit) päivittäin Wi-Fi-yhteyden kautta. Tietosi suojataan iCloudissa salaamalla ne,
kun niitä siirretään Internetissä, tallentamalla ne salattuun muotoon sekä
käyttämällä suojaustunnuksia todentamiseen. Lisäksi iCloudin ominaisuudet, muun
muassa Kuvavirta, Dokumentit ja data sekä Varmuuskopiointi voidaan poistaa
käytöstä määritysprofiilin avulla.
Lisätietoja iCloudin suojauksesta ja yksityisyydestä saat katsomalla artikkelista
iCloudin suojaus ja tietosuoja.
iCloud-varmuuskopiointi
iCloud myös varmuuskopioi tiedot (mukaan lukien laiteasetukset, ohjelmien tiedot
sekä teksti- ja multimediaviestit) päivittäin Wi-Fi-yhteyden kautta. Tiedot suojataan
iCloudissa salaamalla ne, kun niitä siirretään Internetissä, tallentamalla ne salattuun
muotoon sekä käyttämällä suojaustunnuksia todentamiseen. iCloudvarmuuskopiointi tapahtuu vain silloin, kun laite on lukittu, liitetty virtalähteeseen
ja siinä on Wi-Fi-yhteys internetiin. iOS:ssä käytetyn salauksen vuoksi järjestelmä on
suunniteltu pitämään tiedot suojattuina. Samalla se sallii osittaisen ja itsenäisen
varmuuskopioinnin ja palautuksen.
iCloudin avainnippu
iCloudin avainnipun ansiosta käyttäjät voivat synkronoida salasanansa turvallisesti
iOS-laitteiden ja Mac-tietokoneiden välillä paljastamatta kyseisiä tietoja Applelle.
Vahvan yksityisyyden ja tietoturvan muita iCloudin avainnipun suunnitteluun ja
arkkitehtuuriin vahvasti vaikuttaneita tavoitteita olivat helppokäyttöisyys ja
mahdollisuus palauttaa avainnippu. iCloudin avainnippu muodostuu kahdesta
palvelusta: avainnipun synkronoinnista ja avainnipun palauttamisesta. Avainnipun
synkronoinnissa laitteet voivat osallistua siihen vasta käyttäjän hyväksynnän
jälkeen, ja jokainen synkronointiin oikeutettu avainnipun kohde vaihdetaan laitekohtaisella salauksella iCloudin avainten arvojen tallennustilan kautta. Kohteet
ovat lyhytkestoisia eivätkä säily iCloudissa synkronoinnin jälkeen. Avainnipun
22
iOS:n käyttöönoton tekninen opas
palautus antaa käyttäjille mahdollisuuden tallentaa Applea varten vara-avaimen
ilman, että Applelle annettaisiin mahdollisuudetta lukea salasanoja ja muita sen
sisältämiä tietoja. Vaikka käyttäjällä olisi vain yksi laite, avainnipun palautus tarjoaa
turvaverkon tiedon menettämistä vastaan. Tämä on erityisen tärkeää käytettäessä
Safaria satunnaisten, vahvojen salasanojen luomiseen verkkotunnuksia varten,
koska kyseisten salasanojen ainoa rekisteri on avainnipussa. Avainnipun
palautuksen kulmakivi on toissijainen todentaminen ja turvallinen varaavainpalvelu, jonka Apple on luonut erityisesti tämän ominaisuuden tukemiseen.
Käyttäjän avainnippu on salattu käyttäen vahvaa pääsykoodia ja vara-avainpalvelu
tarjoaa kopion avainnipusta vain, jos tiukat ehdot täytetään.
Tietoja suojauksesta on saatavilla iOS:n turvallisuusoppaassa.
!
Luku 3: Määrittely ja hallinta
iOS:n käyttöönottoja voidaan helpottaa erilaisilla hallintatekniikoilla, jotka
yksinkertaistavat tilin käyttöönottoa, organisaation käytäntöjen määrittelemistä,
ohjelmien jakamista ja laiterajoitusten soveltamista. Tämän jälkeen käyttäjät voivat
tehdä suurimman osan määrittelytyöstä itse iOS:n sisäisen käyttöönottoapurin
avulla. Kun iOS-laitteet on määritelty ja rekisteröity MDM:ään, IT-osasto voi hallita
niitä langattomasti.
Tässä luvussa kuvataan määritysprofiilien käyttö ja mobiililaitteiden hallinta iOS:n
käyttöönoton tueksi.
Laitteen asetukset ja aktivointi
iOS:n avulla käyttäjät voivat heti kättelyssä aktivoida laitteensa, määrittää
perusasetukset ja aloittaa työskentelyn välittömästi iOS:n Käyttöönottoapurin
avulla. Perusasetusten lisäksi käyttäjät voivat muokata henkilökohtaisia asetuksia,
kuten kieltä ja sijaintia sekä Sirin, iCloudin ja Etsi iPhoneni -ominaisuuden asetuksia.
Käyttöönottoapurilla käyttäjä voi myös luoda yksilöllisen Apple ID:n, jos hänellä ei
sellaista vielä ole.
Apple ID
Apple ID on tunnus, jolla voidaan kirjautua erilaisiin Applen palveluihin, joita ovat
esimerkiksi FaceTime, iMessage, iTunes, App Store, iCloud ja iBooks Store. Apple ID:n
avulla kukin käyttäjä voi asentaa ohjelmia, kirjoja ja sisältöä iTunes Storesta, App Storesta tai iBooks Storesta. Apple ID:n avulla käyttäjät voivat kirjautua iCloud-tilille, jonka avulla he voivat käyttää ja jakaa sisältöä useilla laitteilla.
Jotta näistä palveluista saadaan eniten hyötyä, käyttäjien tulisi käyttää omia
henkilökohtaisia Apple ID -tunnuksiaan. Jos heillä ei ole tunnusta, he voivat luoda
sellaisen ennen kuin heille annetaan laitteet. Näin määrittely sujuu mahdollisimman
nopeasti.
Lisätietoa Apple ID -tunnuksen hankkimisesta: Minun Apple ID:ni.
23
iOS:n käyttöönoton tekninen opas
Laitteiden valmisteleminen Apple Configuratorin avulla
Kun on kyse IT-osaston keskitetysti hallinnoimista laitteista, joita yksittäiset käyttäjät
eivät ota käyttöön, voidaan käyttää Apple Configuratoria laitteiden nopeaan
aktivointiin, määrittelyiden tekemiseen ja käyttämiseen, laitteiden valvontaan,
ohjelmien asentamiseen ja laitteiden päivittämiseen uusimpaan iOS-versioon.
Apple Configurator on OS X:lle tarkoitettu, Mac App Storesta ladattava ilmainen
ohjelma. Laitteiden on oltava liitettyinä Maciin USB:n kautta näiden tehtävien
suorittamista varten. Voit myös palauttaa laitteille varmuuskopion, joka käyttää
laiteasetuksia ja Koti-valikon asettelua sekä asentaa ohjelmien tiedot.
Määrittelyprofiilit
Määrittelyprofiilit ovat XML-tiedostoja, jotka sisältävät suojauskäytäntöjä ja
rajoituksia, VPN-määrittelytietoja, Wi-Fi-asetuksia, sähköposti- ja kalenteritilejä sekä todentamistietoja, jotka sallivat iOS-laitteiden toiminnan yhdessä IT-järjestelmiesi kanssa. Määrittelyprofiilit lataavat asetus- ja valtuutustiedot
nopeasti laitteelle. Jotkin VPN- ja Wi-Fi-asetukset voidaan ottaa käyttöön vain määrittelyprofiilia käyttäen, ja mikäli et käytä Microsoft Exchangea, sinun on käytettävä määrittelyprofiilia pääsykoodikäytäntöjen asettamiseen.
Määrittelyprofiilit voidaan jakaa käyttäen Over-the-Air Profile Deliveryn avulla tai mobiililaitteiden hallinnan (MDM) kautta. Voit myös asentaa määrittelyprofiilit
tietokoneeseen kytketyille laitteille USB:n kautta käyttäen Apple Configuratoria tai voit jakaa määrittelyprofiilit sähköpostitse tai verkkosivulla. Kun käyttäjät
sähköpostiliitteen tai lataavat profiilin käyttäen Safaria laitteillaan, heitä kehotetaan aloittamaan asennusprosessi. Jos käytössäsi on MDM-palvelin, voit jakaa alkuprofiilin, joka sisältää pelkät palvelimen määrittelytiedot ja sitten
asettaa laitteen vastaanottamaan kaikki muut profiilit langattomasti.
Määrittelyprofiilit voidaan salata ja allekirjoittaa, minkä ansiosta niiden käyttö
voidaan rajata tiettyyn laitteeseen ja estää se, että kuka tahansa voisi muuttaa
profiilin sisältämiä asetuksia. Voit myös merkitä profiilin lukituksi laitteeseen. Tässä tapauksessa se voidaan kerran asennettuna poistaa vain tyhjentämällä laite
kaikista tiedoista tai vaihtoehtoisesti syöttämällä pääsykoodi.
Salasanoja lukuunottamatta käyttäjät eivät voi muuttaa määrittelyprofiilissa
tarjottuja asetuksia. Lisäksi profiilin määrittelemät tilit (kuten Exchange-tilit) voidaan poistaa vain poistamalla profiili.
Lisätietoja saat tutustumalla iOS Developer Library -sivustolla olevaan
Configuration Profile Key Reference -materiaaliin.
Mobiililaitteen hallinta (Mobile Device Management, MDM)
iOS:ssä on MDM-sovelluskehys, jolla muiden valmistajien MDM-ratkaisut voivat
hallita iOS-laitteita langattomasti. Tämä kevyt sovelluskehys on suunniteltu alusta alkaen iOS-laitteille. Se on riittävän tehokas ja skaalautuva, jotta sillä voidaan
määrittää ja hallita kaikkia organisaation iOS-laitteita.
Kun käytössä on mobiililaitteiden hallintaratkaisu, IT-ylläpitäjät voivat rekisteröidä
laitteita turvallisesti yritysympäristössä, tehdä ja päivittää asetuksia, valvoa yrityksen
käytäntöjen noudattamista sekä tyhjentää tai lukita hallittuja laitteita etänä. iOS
MDM tarjoaa IT-osastolle helpon tavan sallia käyttäjille verkkopalveluiden käyttö ja
varmistaa samalla, että laitteet on määritelty kunnolla – riippumatta siitä, kuka ne
omistaa.
Mobiililaitteiden hallintaratkaisut käyttävät Applen push-ilmoituspalvelua (APNS)
jatkuvaan kommunikointiin laitteiden kanssa julkisissa ja yksityisissä verkoissa.
Mobiililaitteiden hallinta vaatii toimintaansa useita varmenteita, kuten Applen
push-ilmoituspalvelun varmenteen asiakkaille kommunikointiin ja SSL-varmenteen
24
iOS:n käyttöönoton tekninen opas
suojattuun viestintään. Mobiililaitteiden hallintaratkaisut voivat myös allekirjoittaa
profiileja varmenteella.
Useimmat varmenteet, myös Applen push-ilmoituspalvelun varmenne, on
uudistettava vuosittain. Kun varmenne vanhenee, mobiililaitteiden hallintapalvelin ei
voi kommunikoida asiakkaiden kanssa, ennen kuin varmenne päivitetään.
Valmistaudu kaikkien mobiililaitteiden hallinnan varmenteiden päivittämiseen ennen
niiden vanhenemista.
Katso Apple Push Certificates Portal -sivuilta lisätietoja MDM-sertifikaateista.
Rekisteröinti
Laitteiden rekisteröiminen mahdollistaa luetteloinnin ja omaisuuden hallinnan.
Rekisteröintiprosessissa voidaan hyödyntää SCEP-protokollaa (Simple Certificate
Enrollment Protocol), jonka ansiosta iOS-laitteet voivat luoda ja rekisteröidä
yksilölliset henkilövarmenteet organisaation palveluihin todentamista varten.
Useimmissa tapauksissa käyttäjät voivat päättää, rekisteröivätkö laitteensa mobiililaitteiden hallintaan vai ei. He voivat myös sanoutua irti siitä milloin tahansa.
Organisaatioiden kannattaa pohtia, miten houkutella käyttäjät pysymään hallinnan
piirissä. Esimerkiksi käyttämällä mobiililaitteiden hallintaratkaisua, joka antaa
automaattisesti langattoman yhteyden tunnistetiedot, voidaan edellyttää mobiililaitteiden hallintaan rekisteröimistä Wi-Fi-verkkoon pääsemiseksi. Kun käyttäjä
poistuu mobiililaitteiden hallinnasta, laite yrittää ilmoittaa asiasta mobiililaitteiden
hallintapalvelimelle.
Määrittely
Kun laite on rekisteröity, siihen voidaan määritellä dynaamisesti mobiililaitteiden
hallintapalvelimella asetukset ja käytännöt. Ne lähettävät laitteeseen määrittelyprofiilit, jotka laite asentaa automaattisesti ja hiljaisesti.
Määrittelyprofiilit voidaan allekirjoittaa, salata ja lukita, mikä estää asetusten
muuttamisen tai jakamisen. Näin varmistetaan, että verkkoasi ja palveluitasi voivat käyttää vain luotetut käyttäjät ja laitteet, jotka on määritelty omien tietojesi mukaan. Jos käyttäjä irrottaa laitteen mobiililaitteiden hallinnasta, kaikki mobiililaitteiden hallinnan kautta tehdyt asetukset poistetaan.
Tilit
Mobiililaitteen hallinta voi auttaa organisaation käyttäjiä pääsemään nopeasti
alkuun heidän sähköpostiensa ja muiden tilien automaattisella käyttöönotolla.
Riippuen mobiililaitteen hallintatuotteesta ja integraatiosta omiin sisäisiin
järjestelmiisi tilien dataan voidaan myös sijoittaa ennakkoon käyttäjän nimi,
sähköpostiosoite ja, jos mahdollista, varmenteiden identiteetit varmentamista ja
allekirjoittamista varten. Mobiililaitteen hallinnalla voidaan määritellä seuraavia
tilityyppejä:
• Mail
• Kalenteri
• Tilatut kalenterit
• Yhteystiedot
• Exchange ActiveSync
• LDAP
Hallitut sähköposti- ja kalenteritilit huomioivat Hallitun Avaa ohjelmassa -toiminnon
rajoitukset iOS 7:ssä.
Kyselyt
Mobiililaitteiden hallintapalvelin voi kysellä laitteilta erilaisia tietoja. Näitä ovat
esimerkiksi laitteiston tiedot, kuten sarjanumero, laitteen UDID tai Wi-Fi-verkon
MAC-osoite sekä ohjelmistotiedot, kuten iOS-versio ja yksityiskohtainen luettelo
25
iOS:n käyttöönoton tekninen opas
laitteeseen asennetuista ohjelmista. Näitä tietoja voidaan käyttää apuna
varmistettaessa, että käyttäjät pitävät laitteissaan oikeat ohjelmat.
Apple TV -ohjelmiston 5.4 tai uudemman avulla mobiililaitteiden hallinta voi myös kysellä rekisteröidyiltä Apple TV -laitteilta seuraavia tietoja: kieli, sijainti ja organisaatio.
Komennot
Mobile Device Management -laitehallinta mahdollistaa laitteiden ylläpidon
mobiililaitteiden hallintapalvelimen kautta tietyillä toiminnoilla. Hallintatehtäviin
sisältyvät:
• Määrittelyasetusten muuttaminen. Komento voidaan lähettää uuden tai
päivitetyn määrittelyprofiilin asentamiseksi laitteelle. Määrittely tapahtuu
hiljaisesti ilman käyttäjän toimenpiteitä.
• Laitteen lukitseminen. Jos laite on lukittava välittömästi, voidaan lähettää
komento, jolla lukitaan laite käytössä olevalla pääsykoodilla.
• Laitteen tyhjentäminen etänä. Jos laite katoaa tai varastetaan, voidaan lähettää
komento kaikkien tietojen poistamiseksi laitteelta. Kun etätyhjennyskomento on
vastaanotettu, sitä ei voida perua.
• Pääsykoodilukituksen poistaminen. Pääsykoodin poistaminen asettaa laitteen
niin, että se pyytää välittömästi käyttäjää syöttämään uuden pääsykoodin. Tätä
käytetään, kun käyttäjä on unohtanut pääsykoodinsa ja haluaa IT-osaston
nollaavan sen.
• AirPlay-peilauksen pyytäminen ja AirPlay-peilauksen lopettaminen. iOS 7:ssä on mukana komento, jolla voidaan kehottaa valvottua iOS-laitetta aloittamaan
AirPlay-peilaus tiettyyn kohteeseen tai lopettamaan nykyinen AirPlay-istunto.
Hallitut ohjelmat
Organisaatioiden on jaettava usein ohjelmistoja, jotta käyttäjät voivat toimia
tuottavasti työpaikalla tai oppilaitoksessa. Samanaikaisesti organisaatioiden on
valvottava, miten kyseiset ohjelmistot muodostavat yhteyden sisäisiin resursseihin
tai miten tietojen suojauksesta huolehditaan, kun käyttäjä lähtee organisaatiosta.
Tämä kaikki on tehtävä käyttäjän henkilökohtaisten ohjelmien ja tietojen ollessa
niin ikään laitteella. iOS 7:n hallittujen ohjelmien ansiosta organisaatio voi jakaa
yrityksen ohjelmia langattomasti mobiililaitteiden hallintaa käyttäen. Samalla
saadaan aikaan oikea tasapaino organisaation suojauksen ja käyttäjän personoinnin
välillä.
Mobiililaitteiden hallintapalvelimet voivat ottaa laitteille käyttöön langattomasti
ilmaisia App Storen ohjelmia sekä yrityksen sisäisiä ohjelmia.
Mobiililaitteiden hallintapalvelin voi poistaa hallitut ohjelmat etänä tai kun käyttäjä poistaa laitteensa mobiililaitteiden hallinnasta. Ohjelman poistaminen poistaa myös
poistettuun ohjelmaan liittyvät tiedot.
!
26
iOS:n käyttöönoton tekninen opas
Mobiililaitteiden hallinta tarjoaa myös kokoelman lisärajoituksia ja -ominaisuuksia
iOS 7:ssä hallituille ohjelmille parannetun suojauksen ja entistä paremman
käyttäjäkokemuksen tarjoamiseksi:
• Hallittu avaaminen. Tarjoaa kaksi hyödyllistä toimintoa organisaation ohjelmien tietojen suojaamiseen:
– Ei-hallituilla ohjelmilla luotujen dokumenttien sallitaan avautua hallituissa
ohjelmissa. Tämän rajoituksen täytäntöön paneminen estää käyttäjän
henkilökohtaisia ohjelmia ja tilejä avaamasta dokumentteja organisaation
hallituissa ohjelmissa. Tämä rajoitus voisi esimerkiksi estää käyttäjän Keynoteohjelman avaamasta esityksen PDF:ää organisaation PDF-katseluohjelmassa.
Tämä rajoitus voisi estää myös käyttäjän henkilökohtaista iCloud-tiliä avaamasta
tekstinkäsittelydokumenttiliitettä organisaation Pages-ohjelmassa.
– Hallituilla ohjelmilla luotujen dokumenttien sallitaan avautua ei-hallituissa
ohjelmissa. Tämän rajoituksen täytäntöön paneminen estää organisaation
hallittuja ohjelmia ja tilejä avaamasta dokumentteja käyttäjän henkilökohtaisissa ohjelmissa. Tämä rajoitus voisi estää sen, että organisaation hallitulla
sähköpostitilillä oleva luottamuksellinen sähköpostiliite avattaisiin missään
käyttäjän henkilökohtaisista ohjelmista.
• Ohjelmien määrittely. Ohjelmien kehittäjät voivat määritellä ohjelmien asetukset,
jotka voidaan asettaa, kun ohjelma asennetaan hallittuna. Nämä määrittelyasetukset voidaan asentaa ennen hallitun ohjelman asentamista tai sen jälkeen.
• Ohjelmien palaute. Ohjelmia luovat ohjelmistokehittäjät voivat määritellä
ohjelmien asetukset, jotka voidaan lukea hallitusta ohjelmasta MDM:n avulla.
Kehittäjä voi esimerkiksi määrittää ohjelman palautteelle ”DidFinishSetup”avaimen, jota MDM-palvelin voi kysellä selvittääkseen, onko ohjelma käynnistetty
ja määritetty.
• Varmuuskopioinnin estäminen. Tämä rajoitus estää hallittuja ohjelmia
varmuuskopioimasta dataa iCloudiin tai iTunesiin. Varmuuskopioinnin estäminen
estää hallitun ohjelman tietojen palauttamisen, jos ohjelma poistetaan MDM:stä,
mutta käyttäjä asentaa sen myöhemmin.
!
!
27
iOS:n käyttöönoton tekninen opas
!
Valvotut laitteet
Valvonta tarjoaa mahdollisuuden korkeamman tason laitehallintaan organisaation
omistamilla laitteilla. Se mahdollistaa myös lisärajoitukset, kuten iMessagen tai
Game Centerin kytkemisen pois päältä. Se tarjoaa myös lisää laitemäärittelyitä ja
ominaisuuksia, kuten verkkosisällön suodattamisen tai mahdollisuuden asentaa
ohjelmia hiljaisesti.
Katso liitteestä B erityisiä rajoituksia, jotka voidaan ottaa käyttöön valvotuilla
laitteilla.
!
28
iOS:n käyttöönoton tekninen opas
Luku 4: Ohjelmien jakelu
iOS:n mukana tulee kokoelma ohjelmia, joiden avulla organisaation työntekijät
voivat hoitaa kaikki päivittäiset tehtävänsä. Niitä ovat esimerkiksi sähköposti,
kalentereiden hallinta, yhteystietojen kirjaaminen ja verkkosisällön käyttäminen.
Suuri osa toiminnallisuudesta, jota käyttäjät tarvitsevat tuottavaan työskentelyyn,
tulee sadoista tuhansista App Storesta saatavilla olevista muiden valmistajien iOS-ohjelmista tai yrityksen omista räätälöidyistä ohjelmista.
Voit myös luoda ja ottaa käyttöön yrityksen sisäisiä ohjelmia, mikäli olet iOS Developer Enterprise Program -ohjelman jäsen.
!
Yrityksen sisäiset ohjelmat
Jos kehität sisäisiä iOS-ohjelmia organisaatiosi käyttöön, voit ottaa käyttöön yrityksen sisäisiä ohjelmia iOS Developer Enterprise Program -ohjelman avulla.
Yrityksen sisäisen ohjelman käyttöönottoprosessi on seuraava:
• Rekisteröidy iOS Developer Enterprise Program -ohjelmaan.
• Valmistele ohjelmasi jakelua varten.
• Luo yritysjakelun provisiointiprofiili, joka valtuuttaa laitteet käyttämään
allekirjoittamiasi ohjelmia.
• Laadi ohjelma provisiointiprofiilia käyttäen.
• Ota ohjelma käyttöön käyttäjiäsi varten.
!
!
29
iOS:n käyttöönoton tekninen opas
Ohjelmien kehittämiseen rekisteröityminen
Kun haluat kehittää ja ottaa käyttöön yrityksen sisäisiä ohjelmia iOS:lle, rekisteröidy
ensin iOS Developer Enterprise Program -ohjelmaan.
Kun rekisteröidyt, voit pyytää kehittäjän varmennetta ja kehittäjän provisiointiprofiilia. Niitä käytetään kehittämisen aikana ohjelman rakentamiseen ja
testaamiseen. Kehittäjän provisiointiprofiili mahdollistaa kehittäjän varmenteellasi
allekirjoitettujen ohjelmien käytön rekisteröidyillä laitteilla. Kehittäjän provisiointiprofiili luodaan iOS:n provisiointiportaalissa. Ad hoc -profiili vanhenee kolmen
kuukauden kuluttua ja siinä määritellään, millä laitteilla (laitteen ID:n mukaan)
voidaan luoda ohjelman kehitysversioita. Jaat oman kehittäjänä allekirjoitetun
version ja kehittämisen provisiointiprofiilin ohjelmatiimillesi ja testaajille.
Ohjelmien valmisteleminen jakeluun
Kun olet lopettanut kehittämisen ja testaamisen ja olet valmis ottamaan ohjelman
käyttöön, allekirjoitat ohjelmasi käyttäen jakeluvarmennettasi ja paketoit siihen
mukaan provisiointiprofiilin. Ohjelmajäsenyyttä edustava tiimipäällikkö tai ylläpitäjä
luo varmenteen ja profiilin iOS:n provisiointiportaalissa.
Jakeluvarmenteen luomiseen liittyy (osa OS X -kehitysjärjestelmäsi Avainnipun
käyttö -ohjelmaa olevan) varmenneapurin käyttö. Sen avulla luodaan varmenteen
allekirjoituspyyntö (CSR). Siirrät CSR:n iOS:n provisiointiportaaliin ja saat
vastauksena jakeluvarmenteen. Kun asennat tämän varmenteen avainnippuun, voit asettaa Xcoden käyttämään sitä oman ohjelmasi allekirjoittamiseen.
Sisäisten ohjelmien provisioiminen
Yritysjakelun provisiointiprofiili mahdollistaa ohjelman asentamisen rajoittamattomalle määrälle iOS-laitteita. Voit luoda yritysjakelun provisiointiprofiilin tietylle ohjelmalle tai useille ohjelmille.
Kun sinulla on sekä yrityksen jakeluvarmenne että provisiointiprofiili asennettuna
Macillesi, voit Xcodea käyttämällä allekirjoittaa ja rakentaa julkaisu-/tuotantoversion
ohjelmastasi. Yritysjakeluvarmenteesi on voimassa kolmen vuoden ajan, jonka
jälkeen sinun on allekirjoitettava ja rakennettava ohjelmasi uudelleen käyttäen
uudistettua varmennetta. Ohjelman provisiointiprofiili on voimassa vuoden ajan,
joten kannattaa julkaista uudet provisiointiprofiilit vuosittain. Katso tarkempia
ohjeita liitteen C kohdasta ”Päivitettyjen ohjelmien tarjoaminen”.
On erittäin tärkeää, että rajoitat pääsyä jakeluvarmenteeseen ja sen yksityiseen
avaimeen. OS X:n Avainnipun käytön avulla voit viedä ja varmuuskopioida nämä
kohteet p12-muodossa. Jos yksityinen avain katoaa, sitä ei voida palauttaa eikä
ladata toista kertaa. Varmenteen ja yksityisen avaimen suojattuina pitämisen lisäksi sinun tulisi rajoittaa pääsy sellaisiin henkilöihin, jotka vastaavat ohjelman
lopullisesta hyväksymisestä. Ohjelman allekirjoittaminen jakeluvarmenteella antaa yrityksesi merkin hyväksynnästä ohjelman sisällön, toimivuuden ja Enterprise Developer Agreement -lisensointiehtojen noudattamisen suhteen.
!
30
iOS:n käyttöönoton tekninen opas
Ohjelmien käyttöönotto
Ohjelman käyttöönottoon on olemassa neljä tapaa:
• Ohjelma jaetaan käyttäjien asennettavaksi iTunesia käyttäen.
• IT-ylläpitäjä asentaa ohjelman laitteille käyttäen Apple Configuratoria.
• Ohjelma lähetetään turvalliselle verkkopalvelimelle; käyttäjät pääsevät siihen
käsiksi ja suorittavat asennuksen langattomasti. Katso ”Liite C: Sisäisten ohjelmien
asentaminen langattomasti”.
• Hallitut laitteet ohjeistetaan MDM-palvelinta käyttäen asentamaan sisäinen tai
ilmainen App Storen ohjelma, mikäli MDM-palvelin tukee sitä.
Ohjelmien asentaminen iTunesia käyttäen
Jos käyttäjät asentavat ohjelmat laitteilleen iTunesin avulla, jaa ohjelma turvallisesti
käyttäjille ja pyydä heitä seuraamaan näitä vaiheita:
1. Valitse iTunesissa Arkisto > Lisää kirjastoon ja valitse sitten tiedosto (.app, .ipa tai .mobileprovision). Käyttäjä voi myös vetää tiedoston iTunes-ohjelman
kuvakkeeseen.
2. Liitä laite tietokoneeseen ja valitse se sitten iTunesin Laitteet-luettelosta.
3. Osoita Ohjelmat-välilehteä ja valitse ohjelma luettelosta.
4. Osoita Käytä.
Jos käyttäjien tietokoneet ovat hallittuja, voit ottaa tiedostot käyttöön heidän
tietokoneillaan ja pyytää heitä synkronoimaan laitteensa sen sijaan, että pyytäisit
heitä lisäämään tiedostot iTunesiin. iTunes asentaa automaattisesti iTunesin Mobile
Applications- ja Provisioning Profiles -kansioista löytyneet tiedostot.
Ohjelmien asentaminen Apple Configuratorilla
Apple Configurator on Mac App Storesta ladattava, ilmainen OS X:lle tarkoitettu
ohjelma, jota IT-ylläpitäjät voivat käyttää yrityksen sisäisten tai App Storen
ohjelmien asentamiseen.
App Storen ilmaiset ohjelmat tai yrityksen sisäiset ohjelmat voidaan tuoda suoraan
Apple Configuratoriin ja asentaa haluamallesi määrälle laitteita.
!
Ohjelmien jakaminen MDM:ää käyttäen
MDM-palvelimella voidaan hallita App Storesta hankittuja ilmaisia ohjelmia ja
yritysten sisäisiä ohjelmia. MDM:n avulla asennettuja ohjelmia kutsutaan ”hallituiksi
ohjelmiksi”. MDM-palvelimella voidaan määritellä, jäävätkö hallitut ohjelmat ja
niiden tiedot paikoilleen, kun käyttäjä peruu rekisteröintinsä MDM:ään. Lisäksi
palvelin voi estää hallittujen ohjelmien tietojen varmuuskopioinnin iTunesiin ja
iCloudiin. Tämän ansiosta IT-osasto voi valvoa tarkemmin mahdollisesti
luottamuksellisia liiketoimintatietoja sisältäviä ohjelmia kuin suoraan käyttäjän
lataamia ohjelmia.
MDM-palvelin asentaa hallitun ohjelman lähettämällä asennuskomennon
laitteeseen. Valvomattomilla laitteilla hallitut ohjelmat vaativat käyttäjän
hyväksynnän ennen asentamista.
Hallituille ohjelmille on hyötyä iOS 7:n lisärajoituksista. VPN-yhteydet voidaan nyt
määritellä ohjelmatasolla. Tämä tarkoittaa, että pelkästään kyseisen ohjelman
verkkoliikenne on suojatussa VPN-tunnelissa. Tällä varmistetaan, että yksityiset
tiedot pysyvät yksityisinä eivätkä julkiset tiedot sekoitu niihin.
Hallitut ohjelmat tukevat myös Hallittua avaamista iOS 7:ssä. Tämä tarkoittaa, että
hallittuja ohjelmia voidaan rajoittaa lähettämästä tietoa käyttäjän henkilökohtaisiin
31
iOS:n käyttöönoton tekninen opas
ohjelmiin tai ohjelmista. Tämän ansiosta yritys voi varmistaa, että luottamukselliset
tiedot pysyvät siellä, missä niiden kuuluukin.
Caching Server
iOS tekee digitaalisen sisällön käytön ja kuluttamisen helpoksi käyttäjille, ja jotkut
käyttäjät voivat haluta useampien gigatavujen edestä ohjelmia, kirjoja ja
ohjelmistopäivityksiä ollessaan yhteydessä organisaation langattomaan verkkoon.
Näiden materiaalien kysynnässä esiintyy piikkejä, aluksi laitteen ensimmäisen
käyttöönoton yhteydessä ja sen jälkeen hajanaisesti, kun käyttäjät löytävät uutta
sisältöä tai kun sisältöä päivitetään ajan kuluessa. Näiden sisältölatausten tuloksena
internet-kaistanleveyden tarve voi kasvaa äkillisesti.
OS X Serveriin sisältyvä Caching Server -ominaisuus vähentää ulospäin
suuntautuvaa internet-kaistanleveyttä yksityisissä verkoissa (RFC1918) tallentamalla
pyydetyn sisällön kopioita välimuistiin paikallisverkossa. Suuremmille verkoille on
hyötyä useampien Caching Server -palvelimien olemassaolosta. Useissa käyttöönotoissa Caching Serverin määrittäminen on yhtä helppoa kuin palvelun kytkeminen
päälle. Palvelimelle ja kaikille sitä hyödyntäville laitteille tarvitaan NAT-ympäristö.
Lisätietoja saat tutustumalla artikkeliin OS X Server: Advanced Administration.
iOS 7:ää käyttävät laitteet ottavat automaattisesti yhteyden lähimpään Caching
Serveriin ilman ylimääräisiä laitemäärittelyitä. Tässä kuvataan, miten Caching Server
-työnkulku toimii iOS-laitteelle läpinäkyvästi:
1. Kun yhden tai useampia Caching Server -palvelimia sisältävässä verkossa oleva
iOS-laite kysyy sisältöä iTunes Storesta tai Software Update serveriltä, iOS-laite
osoittaa yhteen Caching Serveriin.
2. Caching Server tarkistaa ensin, onko sillä pyydettyä sisältöä paikallisessa
välimuistissaan. Jos sillä on, se aloittaa välittömästi sisällön toimittamisen iOS-laitteelle.
3. Jos Caching Serverillä ei ole pyydettyä materiaalia, se yrittää ladata sisällön
toisesta lähteestä. OS X Mavericksin Caching Server 2 sisältää vertaisreplikointiominaisuuden, joka voi käyttää muita verkon Caching Server -palvelimia, mikäli
kyseiset palvelimet ovat jo ladanneet pyydetyn sisällön.
4. Kun Caching Server vastaanottaa lataustiedot, se välittää ne välittömästi
eteenpäin kaikille asiakkaille, jotka ovat pyytäneet tietoja ja samanaikaisesti
tallentaa levylle kopion.
iOS 7 tukee seuraavia välimuistiin tallennetun sisällön tyyppejä:
• iOS -ohjelmistopäivitykset
• App Store -ohjelmat
• App Store -päivitykset
• Kirjat iBooks Storesta
iTunes tukee myös Caching Server 2:ta. iTunes 11.0.4 tai uudempi (sekä Mac että
Windows) tukee seuraavia sisältötyyppejä:
• App Store -ohjelmat
• App Store -päivitykset
• Kirjat iBooks Storesta
!
32
iOS:n käyttöönoton tekninen opas
Liite A:
Wi-Fi-infrastruktuuri
Valmisteltaessa Wi-Fi-infrastruktuuria iOS-laitteille tulee ottaa huomioon useita
tekijöitä:
• Tarvittava kantama
• Wi-Fi-verkkoa käyttävien laitteiden määrä ja tiheys
• Laitetyypit ja niiden Wi-Fi-tekniikat
• Siirrettävän tiedon tyypit ja määrät
• Langattoman verkon käytön suojausvaatimukset
• Salausvaatimukset
Vaikka tämä luettelo ei ole kaikenkattava, siinä on joitakin keskeisimpiä Wi-Fiverkon suunnittelun näkökohtia.
Muistutus: Tässä luvussa keskitytään Wi-Fi-verkkoihin Yhdysvalloissa. Muissa maissa ratkaisut voivat olla erilaisia.
Laajuuden ja tiheyden suunnittelu
On tarpeellista varmistaa, että Wi-Fi-verkko kattaa alueet, joilla iOS-laitteita
käytetään. On kuitenkin myös oleellista huomioida suunnittelussa laitteiden tiheys
tietyllä alueella.
Useimmat uudet, yrityskäyttöön suunnitellut yhteyspisteet pystyvät käsittelemään
jopa 50 Wi-Fi-asiakasta, joskin käyttökokemus on todennäköisesti epätyydyttävä, jos niin monta laitetta on yhteydessä yhteen pisteeseen. Kokemus kullakin laitteella
riippuu käytettävän kanavan tarjoamasta kaistanleveydestä ja kokonaiskaistanleveyden jakavien laitteiden määrästä. Kun samaa yhteyspistettä käyttää yhä
useampi laite, laitteiden suhteellinen verkkoyhteysnopeus laskee. iOS-laitteiden
odotettavissa oleva käyttötapa tulisi ottaa huomioon Wi-Fi-verkon suunnittelussa.
2,4 GHz vai 5 GHz
2,4 GHz taajuudella toimivissa Wi-Fi-verkoissa voi olla Euroopassa 13 kanavaa.
Kanavien välisten häiriöiden vuoksi verkon suunnittelussa tulisi kuitenkin käyttää
vain kanavia 1, 6 ja 11.
5 GHz signaalit eivät läpäise seiniä ja muita esteitä yhtä hyvin kuin 2,4 GHz signaalit,
joten kantama jää pienemmäksi. Sen vuoksi 5 GHz verkot voivat olla parempi
valinta silloin, kun verkkoa suunnitellaan suurelle laitetiheydelle suljetussa tilassa
kuten luokkahuoneessa. 5 GHz taajuudella käytettävissä oleva kanavamäärä
vaihtelee eri valmistajien yhteyspisteissä ja eri maissa, mutta käytettävissä on aina
vähintään kahdeksan kanavaa.
5 GHz kanavat eivät mene päällekkäin, mikä on huomattava ero verrattuna 2,4 GHz
taajuuteen, jossa voidaan käyttää vain kolmea kanavaa ilman päällekkäisyyksiä. Kun
suunnitellaan Wi-Fi-verkkoja suurelle iOS-laitetiheydelle, 5 GHz taajuuden tarjoamat
lisäkanavat ovat strateginen näkökohta.
!
33
iOS:n käyttöönoton tekninen opas
Laajuuden suunnittelu
Rakennuksen pohjaratkaisulla voi olla vaikutusta Wi-Fi-verkon suunnitteluun.
Esimerkiksi yritysympäristössä käyttäjät voivat kohdata muita työntekijöitä
neuvotteluhuoneissa tai toimistoissa. Tämän vuoksi käyttäjät liikkuvat päivän aikana
kaikkialla rakennuksessa. Tässä skenaariossa suurin osa verkon käytöstä muodostuu
sähköpostien ja kalentereiden tarkistamisesta sekä internet-selailusta, joten Wi-Fiverkon laajuus on ensisijainen. Wi-Fi-ratkaisuun voisi sisältyä kaksi tai kolme
yhteyspistettä kummassakin kerroksessa toimistoja varten sekä yksi yhteyspiste
kummassakin neuvotteluhuoneessa.
Tiheyden suunnittelu
Yllä olevan skenaarion vastakohtana on lukio, jossa on 1000 oppilasta ja 30 opettajaa
kaksikerroksisessa rakennuksessa. Jokaisella oppilaalla on iPad, ja jokaisella
opettajalla on MacBook Air ja iPad. Jokaiseen luokkahuoneeseen mahtuu noin
35 oppilasta, ja luokkahuoneet ovat vierekkäin. Päivän mittaan oppilaat hakevat
tietoa internetistä, katsovat opetussuunnitelmaan kuuluvia videoita ja kopioivat
tiedostoja lähiverkossa olevalle palvelimelle.
Tässä skenaariossa Wi-Fi-verkon suunnittelu on monimutkaisempaa suuremman
laitetiheyden vuoksi. Koska jokaisessa luokkahuoneessa on noin 35 oppilasta,
voitaisiin ottaa käyttöön yksi yhteyspiste luokkaa kohden. Yhteisille alueille
kannattaa harkita useita yhteyspisteitä riittävän laajuuden takaamiseksi. Yhteisten
alueiden yhteyspisteiden todellinen määrä vaihtelee riippuen alueen Wi-Filaitetiheydestä.
Jos verkkoon on tarpeellista yhdistää laitteita, jotka tukevat vain 802.11b- tai
802.11g-standardia, yksi vaihtoehto on yksinkertaisesti ottaa käyttöön 802.11b/gtekniikka, jos käytetään kaksitaajuuksisia yhteyspisteitä. Toinen vaihtoehto on
tarjota uudemmille laitteille SSID, joka käyttää 802.11n-tekniikkaa 5 GHz taajuudella,
ja toinen SSID, joka käyttää 2,4 GHz taajuutta ja tukee 802.11b- ja 802.11g-laitteita.
Kannattaa kuitenkin varoa luomasta tarpeettoman monia SSID:itä.
Kummassakaan tapauksessa ei kannata käyttää piilotettua SSID:tä. Wi-Fi-laitteen on
hankalampi liittyä uudelleen verkkoon piilotettua SSID:tä käytettäessä kuin SSID:n
lähetystä käytettäessä, eikä SSID:n piilottaminen juurikaan paranna tietoturvaa.
Käyttäjät vaihtavat usein paikkaa iOS-laitteineen, joten piilotettu SSID voi hidastaa
yhdistämistä verkkoon.
Wi-Fi-standardit Apple-tuotteissa
Alla on lueteltu Apple-tuotteiden tuki eri Wi-Fi-standardeille. Mukana ovat
seuraavat tiedot:
• 802.11-yhteensopivuus. 802.11b/g, 802.11a, 802.11n
• Taajuusalue. 2,4 tai 5 GHz
• MCS-indeksi. Modulaatio- ja koodausluokka (MCS-indeksi) määrittelee
enimmäisnopeuden 802.11n-laitteiden tiedonsiirtoon.
• Kanavien niputus. 20 Mhz tai 40 Mhz
!
34
iOS:n käyttöönoton tekninen opas
• Varoaika (Guard Interval, GI). Varoaika on laitteesta toiseen lähetettävien
symbolien välinen aika. 802.11n-standardissa on määritelty lyhyt 400 ns varoaika,
joka mahdollistaa nopeamman kokonaistiedonsiirron, mutta laitteet saattavat
käyttää pidempää 800 ns varoaikaa.
iPhone 5s
802.11n 2,4 GHz ja 5 GHz taajuudella
802.11a/b/g
MCS-indeksi 7 / HT40 / GI 400 ns
iPhone 5c
802.11n 2,4 GHz ja 5 GHz taajuudella
802.11a/b/g
MCS-indeksi 7 / HT40 / GI 400 ns
iPhone 5
802.11n 2,4 GHz ja 5 GHz taajuudella
802.11a/b/g
MCS-indeksi 7 / HD40 / GI 400 ns
iPhone 4s
802.11n 2,4 GHz taajuudella
802.11b/g
MCS-indeksi 7 / HD20 / GI 800 ns
iPhone 4
802.11n 2,4GHz taajuudella
802.11b/g
MCS-indeksi 7 / HD20 / GI 800 ns
iPad Air ja iPad mini Retina-näytöllä
802.11n 2,4 ja 5 GHz taajuudella
802.11 a/b/g
MCS-indeksi 15 / HT40 / GI 400 ns
iPad (4. sukupolvi) ja iPad mini
802.11n 2,4 GHz ja 5 GHz taajuudella
802.11a/b/g
MCS-indeksi 7 / HD40 / GI 400 ns
iPad (1., 2. ja 3. sukupolvi)
802.11n 2,4 GHz ja 5 GHz taajuudella
802.11a/b/g
MCS-indeksi 7 / HD20 / GI 800 ns
iPod touch (5. sukupolvi)
802.11n 2,4 GHz ja 5 GHz taajuudella
802.11a/b/g
MCS-indeksi 7 / HD40 / GI 400 ns
iPod touch (4. sukupolvi)
802.11n 2,4 GHz taajuudella
802.11b/g
MCS-indeksi 7 / HD20 / GI 800 ns
!
35
iOS:n käyttöönoton tekninen opas
Liite B:
Rajoitukset
iOS tukee seuraavia käytäntöjä ja rajoituksia, joista kaikki voidaan määritellä oman
organisaatiosi tarpeita vastaaviksi.
Laitteen toiminnot
• Salli ohjelmien asentaminen
• Salli Siri
• Salli Siri lukittuna
• Salli kameran käyttö
• Salli FaceTime
• Salli kuvankaappaus
• Salli automaattinen synkronointi verkkovierailutilassa
• Salli Mailin uusimpien viestien synkronointi
• Salli äänivalinta
• Salli ohjelmien sisäiset ostokset
• Vaadi liikkeen salasana kaikkiin ostoksiin
• Salli moninpelit
• Salli Game Center -kaverien lisäys
• Määritä sallitut sisällön arvioinnit
• Salli Touch ID
• Salli pääsy Ohjauskeskukseen lukitulta näytöltä
• Salli pääsy Ilmoituskeskukseen lukitulta näytöltä
• Salli Tänään-näkymä lukitulta näytöltä
• Salli Passbook-ilmoitukset lukitulla näytöllä
Ohjelmat
• Salli iTunes Storen käyttö
• Salli Safarin käyttö
• Määritä Safarin suojausasetukset
iCloud
• Salli varmuuskopiointi
• Salli dokumenttien synkronointi ja avainnipun synkronointi
• Salli Oma kuvavirta
• Salli iCloud-kuvajako
!
36
iOS:n käyttöönoton tekninen opas
Suojaus ja yksityisyys
• Salli vianmääritystietojen lähetys Applelle
• Salli käyttäjien hyväksyä ei-luotetut varmenteet
• Pakota salatut varmuuskopiot
• Salli hallituille ohjelmille avaaminen ei-hallituista ohjelmista
• Salli ei-hallituille ohjelmille avaaminen hallituista ohjelmista
• Vaadi pääsykoodi ensimmäisellä AirPlay-parinmuodostuksella
• Salli PKI-päivitykset langattomasti
• Vaadi rajoitettua mainosseurantaa
Vain valvontaa koskevat rajoitukset
• Vain yhden ohjelman tila
• Käyttöapuasetukset
• Salli iMessage
• Salli Game Center
• Salli ohjelmien poisto
• Salli iBooks Store
• Salli eroottinen aineisto iBooks Storesta
• Ota käyttöön Siri-kirosanasuodatin
• Salli määrittelyprofiilien manuaalinen asennus
• Globaali HTTP-välipalvelin
• Salli parinmuodostus tietokoneille sisällön synkronointia varten
• Rajoita AirPlay-yhteyksiä valkoisella listalla ja valinnaisilla yhteyspääsykoodeilla
• Salli AirDrop
• Salli tilin muokkaaminen
• Salli mobiilidatan asetusten muokkaaminen
• Salli Etsi ystäväni
• Salli parinmuodostus koneille (iTunes)
• Salli aktivointilukitus
!
!
37
iOS:n käyttöönoton tekninen opas
Liite C:
Sisäisten ohjelmien
asentaminen
langattomasti
iOS tukee yritysten sisäisten, räätälöityjen ohjelmien langatonta siirtoa ilman
iTunesin tai App Storen käyttöä.
Vaatimukset:
• Suojattu verkkopalvelin, johon varmennetuilla käyttäjillä on pääsy
• iOS-ohjelma .ipa-muodossa, rakennettu julkaistavaksi/tuotantoon yrityksen
provisiointiprofiililla
• XML-manifestitiedosto, joka on kuvattu tässä liitteessä
• Verkkomäärittely, joka sallii laitteiden käyttää Applen iTunes-palvelinta
Ohjelman asentaminen on helppoa. Käyttäjät lataavat manifestitiedoston
verkkosivustoltasi iOS-laitteisiinsa. Manifestitiedosto ohjaa laitteen lataamaan ja
asentamaan manifestitiedostossa mainitut ohjelmat.
Voit jakaa verkko-osoitteen manifestitiedoston lataamista varten tekstiviestillä tai
sähköpostilla tai sisällyttämällä sen toiseen luomaasi yritysohjelmaan.
Päätät itse ohjelmien jakeluun käytettävän verkkosivuston suunnittelusta ja
ylläpidosta. Varmista, että käyttäjät ovat varmennettuja (käyttäen mahdollisesti
perusvarmennusta tai hakemistopohjaista varmennusta) ja että verkkosivusto on saavutettavissa intranetin tai internetin kautta. Voit sijoittaa ohjelman ja
manifestitiedoston kätkettyyn hakemistoon tai mihin tahansa muuhun sijaintiin,
joka on luettavissa HTTP:tä tai HTTPS:ää käyttäen.
Jos luot itsepalveluportaalin, harkitse verkkoleikkeen lisäämistä Koti-valikkoon. Näin käyttäjät on helppo ohjata takaisin portaaliin katsomaan tulevia käyttöönottotietoja, kuten uusia määrittelyprofiileja, suositeltuja App Storen ohjelmia ja MDMratkaisuun rekisteröitymistä.
Yrityksen sisäisen ohjelman valmisteleminen langatonta jakelua varten
Kun haluat valmistella sisäisen ohjelman langatonta jakelua varten, rakennat
arkistoidun version (.ipa- tiedoston) ja manifestitiedoston, joka mahdollistaa
ohjelman langattoman jakelun ja asennuksen.
Xcoden avulla luodaan ohjelma-arkisto. Allekirjoita ohjelma käyttäen omaa
jakeluvarmennettasi ja sisällytä arkistoon mukaan oma yrityksen käyttöönoton
provisiointiprofiili. Lisätietoja ohjelmien laatimisesta ja arkistoinnista saat
vierailemalla iOS Dev Centerissä tai katsomalla Xcoden käyttöoppaasta, joka on
saatavilla Xcoden ohjevalikossa.
Tietoja langattomasta manifestitiedostosta
Manifestitiedostosto on XML plist. iOS-laitteet käyttävät sitä etsiäkseen, ladatakseen
ja asentaakseen ohjelmia omalta verkkopalvelimeltasi. Xcode luo manifestitiedoston käyttäen tiedostoa, jonka tarjoat jakaessasi arkistoidun ohjelman
38
iOS:n käyttöönoton tekninen opas
yritysjakelua varten. Katso edellisestä osiosta tietoja ohjelman valmistelemisesta
jakelua varten.
!
Seuraavat kentät vaaditaan:
Kohde
Kuvaus
osoite
Ohjelmatiedoston (.ipa) kelvollinen HTTPSverkko-osoite
näyttökuva
57 x 57 pikselin PNG-kuva, joka näkyy
latauksen ja asennuksen aikana. Määrittele
kuvan kelvollinen verkko-osoite.
täysikokoinen kuva
512 x 512 pikselin PNG-kuva, joka esittää
ohjelmaa iTunesissa.
paketin tunniste
Ohjelmasi paketin tunniste, tarkalleen
Xcode-projektissa määritellyn mukaisesti.
paketin versio
Ohjelmasi paketin versio, tarkalleen Xcodeprojektissa määritellyn mukaisesti.
nimike
Ohjelman nimi, joka näkyy latauksen ja
asennuksen aikana.
!
Seuraavat kentät vaaditaan vain Lehtikioski-ohjelmia varten:
Kohde
Kuvaus
lehtikioskin kuva
Täysikokoinen PNG-kuva näytettäväksi
Lehtikioskin hyllyssä.
UINewsstandBindingEdge
UINewsstandBindingType
Näiden avainten täytyy vastata Newsstandohjelman info.plist-luettelossa olevia.
UINewsstandApp
Osoittaa, että ohjelma on Lehtikioski-ohjelma.
Käytettävät valinnaiset avaimet on kuvattu näytemanifestitiedostossa. Voit
esimerkiksi käyttää MD5-avaimia, jos ohjelmatiedostosi on suuri ja haluat varmistaa
latauksen virheettömyyden laajemmin kuin virheiden tarkistuksella, joka tehdään
tavallisesti TCP-kommunikaatiota varten.
Voit asentaa yhdellä manifestitiedostolla useamman kuin yhden ohjelman
määrittelemällä kohteiden ryhmän lisäjäsenet.
Tämän liitteen lopussa on manifestitiedoston näyte.
Verkkosivuston rakentaminen
Lataa nämä kohteet verkkosivustosi alueelle, jota varmennetut käyttäjät voivat käyttää:
• Ohjelmatiedosto (.ipa)
• Manifestitiedosto (.plist)
Verkkosivustosi voi olla niinkin yksinkertainen kuin yksittäinen sivu, jolla on linkki
manifestitiedostoon. Kun käyttäjä napauttaa verkkolinkkiä, manifestitiedosto
ladataan. Tämä käynnistää sen kuvaamien ohjelmien lataamisen ja asennuksen.
Tässä on esimerkkilinkki: <a href=”itms-services://?action=downloadmanifest&url=http://example.com/manifest.plist”>Install App</a>
39
iOS:n käyttöönoton tekninen opas
Älä lisää verkkolinkkiä arkistoituun ohjelmaan (.ipa). Laite lataa .ipa-tiedoston, kun manifestitiedosto on ladattu. Vaikka verkko-osoitteen protokolla-osana on itms-palvelut, iTunes Store ei sisälly mukaan tähän prosessiin.
Varmista myös, että .ipa-tiedosto on käytettävissä HTTPS:n yli ja että sivustosi on
allekirjoitettu iOS:n luottamalla sertifikaatilla. Asennus epäonnistuu, jos itse
allekirjoitetulla sertifikaatilla ei ole luotettua ankkuria ja iOS-laite ei voi sitä tarkistaa.
Palvelimen MIME-tyyppien asettaminen
Sinun kannattaa määritellä verkko-osoite niin, että manifestitiedosto ja
ohjelmatiedosto lähetetään oikealla tavalla.
Lisää OS X Serveriä varten seuraavat MIME-tyypit verkkopalvelun MIMEtyyppiasetuksiin:
application/octet-stream ipa text/xml plist
Käytä IIS:lle IIS Manageria lisätäksesi MIME-tyypin palvelimen ominaisuussivulle:
.ipa application/octet-stream
.plist text/xml
Langattoman ohjelmajakelun vianetsintä
Jos langattomien ohjelmien jakelu epäonnistuu ja näkyy jakelun epäonnistumisesta
ilmoittava viesti, tarkista seuraavat asiat:
• Varmista, että ohjelma on allekirjoitettu oikein. Testaa se asentamalla se laitteelle
Apple Configuratoria käyttäen ja katso, esiintyykö virheitä.
• Varmista, että linkki manifestitiedostoon on oikein ja että manifestitiedosto on
verkkokäyttäjien saavutettavissa.
• Varmista, että verkko-osoite .ipa-tiedostoon on oikein ja että .ipa-tiedosto on
verkkokäyttäjien saavutettavissa HTTPS:n yli.
Verkkomäärittelyn vaatimukset
Jos laitteet on liitetty suljettuun sisäiseen verkkoon, sinun tulisi antaa iOS-laitteille
pääsy seuraaviin:
Osoite
Syy
ax.init.itunes.apple.com
Laite saa nykyisen tiedostokokorajan ohjelmien lataamiseen mobiiliverkon kautta. Jos tämä sivusto ei ole saavutettavissa, asennus voi epäonnistua.
ocsp.apple.com
Laite ottaa yhteyden tähän sivustoon
tarkistaakseen provisiointiprofiilin
allekirjoittamiseen käytettävän jakeluvarmenteen tilan. Katso ”Varmenteen
tarkistus” alla.
Päivitettyjen ohjelmien tarjoaminen
Itse jakelemiasi ohjelmia ei päivitetä automaattisesti. Kun sinulla on uusi versio
käyttäjille asennettavaksi, ilmoita heille päivityksestä ja ohjeista heitä asentamaan
ohjelma. Harkitse ohjelman asettamista tarkistamaan päivitykset ja ilmoittamaan
käyttäjille, kun päivitys on saatavilla. Jos käytät langatonta ohjelmajakelua,
ilmoituksessa voidaan tarjota linkki päivitetyn ohjelman manifestitiedostoon.
Jos haluat käyttäjien säilyttävän ohjelmien tiedot laitteillaan, varmista, että uudessa
versiossa käytetään samaa paketin tunnistetta kuin korvattavassa versiossa. Neuvo
40
iOS:n käyttöönoton tekninen opas
myös käyttäjiä poistamaan vanha versio ennen uuden asentamista. Uusi versio
korvaa vanhan ja säilyttää tiedot laitteella, jos paketin tunnisteet vastaavat toisiaan.
Jakelun provisiointiprofiilit vanhenevat 12 kuukauden kuluttua siitä, kun ne on
myönnetty. Profiili poistetaan vanhentumispäiväyksen jälkeen eikä ohjelma
käynnisty.
Luo ohjelmalle uusi profiili iOS:n kehitysportaalissa ennen kuin provisiointiprofiili
vanhenee. Luo uusi ohjelma-arkisto (.ipa) uudella provisiointiprofiililla käyttäjille,
jotka asentavat ohjelman ensimmäistä kertaa.
Niille käyttäjille, joilla ohjelma jo on, kannattaa ehkä ajoittaa seuraava julkaistu
versiosi siten, että se sisältää uuden provisiointiprofiilisi. Jos tämä ei ole mahdollista,
voit jakaa vain uuden .mobileprovision-tiedoston. Näin käyttäjien ei tarvitse asentaa
ohjelmaa uudelleen. Uusi provisiointiprofiili korvaa jo ohjelma-arkistossa olevan.
Provisiointiprofiileja voidaan asentaa ja hallita MDM:ää käyttäen. Käyttäjät voivat
ladata ja asentaa niitä tarjoamaltasi suojatulta verkkosivustolta tai ne voidaan jakaa
käyttäjille sähköpostiliitteenä, jotka he voivat avata ja asentaa.
Kun jakeluvarmenne vanhenee, ohjelma ei käynnisty. Jakeluvarmenteesi on
voimassa kolme vuotta sen myöntämisestä lähtien tai siihen saakka, kunnes
Enterprise Developer Program -ohjelman jäsenyys vanhenee – kumpi näistä sitten
tapahtuukin ensin. Muista uudistaa jäsenyytesi ennen sen vanhenemista estääksesi
varmenteesi ennenaikaisen vanhenemisen. Lisätietoja jakeluvarmenteen
tarkistamisesta saat katsomalla alla olevasta kohdasta ”Varmenteen tarkistus”.
Sinulla voi olla kaksi jakeluvarmennetta aktiivisina samaan aikaan kummankin
ollessa riippumaton toisesta. Toinen varmenne on tarkoitettu tarjoamaan
päällekkäinen jakso, jonka aikana voit päivittää ohjelmasi ennen kuin ensimmäinen
varmenne vanhenee. Varmista, ettet poista ensimmäistä varmennetta, kun pyydät
toista jakeluvarmennetta iOS Dev Centeristä.
Varmenteen tarkistus
Kun käyttäjä avaa ohjelman ensimmäisen kerran, jakeluvarmenne tarkistetaan
ottamalla yhteyttä Applen OCSP-palvelimeen. Ohjelman käynnistyminen sallitaan,
ellei varmennetta ole poistettu. Jos ohjelma ei onnistu muodostamaan yhteyttä
OCSP-palvelimeen tai vastaanottamaan siltä vastausta, tätä ei tulkita poistamiseksi.
Tilan tarkistamista varten laitteen on voitava ottaa yhteys osoitteeseen
ocsp.apple.com. Katso tämän liitteen aiempi kohta ”Verkkomäärittelyn vaatimukset”.
OCSP:n vastaus tallentuu laitteen välimuistiin OCSP-palvelimen määrittelemäksi
ajaksi, joka on tällä hetkellä kolmesta seitsemään päivää. Varmenteen voimassaoloa
ei tarkisteta uudelleen ennen kuin laite on käynnistynyt uudelleen ja välimuistiin
tallennettu vastaus on vanhentunut.
Jos pois ottaminen tapahtuu tänä aikana, ohjelman käynnistyminen estyy.
Jakeluvarmenteen pois ottaminen mitätöi kaikki ohjelmat, jotka olet allekirjoittanut
sillä. Varmenne tulisi ottaa pois vasta viimeisenä keinona, vain jos olet varma, että
yksityinen avain on kadonnut tai varmenteen uskotaan olevan vaarantunut.
!
41
iOS:n käyttöönoton tekninen opas
Näyte ohjelman manifestitiedostosta
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/
DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0”>
<dict>
<!-- sarja latauksia. -->
<key>items</key>
<array>
<dict>
<!-- sarja ladattavia materiaaleja -->
<key>assets</key>
<array>
<!-- ohjelmistopaketti: asennettava ipa. -->
<dict>
<!-- . materiaalin tyyppi. -->
<key>kind</key>
<string>software-package</string>
<!-- valinnainen. md5 jokaisessa n tavussa. käynnistää osion uudelleen, jos md5
epäonnistuu. -->
<key>md5-size</key>
<integer>10485760</integer>
<!-- valinnainen. sarja md5:ttä tarkistaa kunkin ”md5-kokoa” vastaavan osion. -->
<key>md5s</key>
<array>
<string>41fa64bb7a7cae5a46bfb45821ac8bba</string>
<string>51fa64bb7a7cae5a46bfb45821ac8bba</string>
</array>
<!-- . ladattavan tiedoston verkko-osoite. -->
<key>url</key>
<string>http://www.example.com/apps/foo.ipa</string>
</dict>
<!-- näyttökuva: latauksen aikana näytettävä kuvake.-->
<dict>
<key>kind</key>
<string>display-image</string>
<!-- valinnainen. ilmoittaa, jos kuvake tarvitsee shine-tehosteen käyttöä. -->
<key>needs-shine</key>
<true/>
<key>url</key>
<string>http://www.example.com/image.57x57.png</string>
</dict>
<!-- täysikokoinen kuva: iTunesin käyttämä 512 x 512 -kuvake. -->
<dict>
<key>kind</key>
<string>full-size-image</string>
<!-- valinnainen. yksi md5-tarkistus koko tiedostolle. -->
<key>md5</key>
<string>61fa64bb7a7cae5a46bfb45821ac8bba</string>
<key>needs-shine</key>
<true/>
<key>url</key><string>http://www.example.com/image.512x512.jpg</string>
</dict>
</array><key>metadata</key>
<dict>
<!-- required -->
<key>bundle-identifier</key>
<string>com.example.fooapp</string>
<!-- optional (software only) -->
<key>bundle-version</key>
42
iOS:n käyttöönoton tekninen opas
<string>1.0</string>
<!-- vaaditaan. lataustyyppi. -->
<key>kind</key>
<string>software</string>
<!-- valinnainen. näytetään latauksen aikana; tyypillisesti yrityksen nimi -->
<key>subtitle</key>
<string>Apple</string>
<!-- . latauksen aikana näytettävä nimike. -->
<key>title</key>
<string>Example Corporate App</string>
</dict>
</dict>
</array>
</dict>
</plist>
!
1Saattaa
sisältää normaaleja operaattoreiden datansiirtomaksuja. Viestit voidaan lähettää tekstiviesteinä, jos iMessage ei
ole käytettävissä; saattaa sisältää operaattoreiden viestimaksuja. 2FaceTime-puhelut edellyttävät soittajalta ja
vastaanottajalta FaceTimea tukevaa laitetta sekä Wi-Fi-yhteyttä. Mobiiliverkon kautta toimiakseen FaceTime edellyttää
iPhone 4s:ää tai uudempaa, iPadia Retina-näytöllä tai iPad miniä, jossa on mobiilidatamahdollisuus. Saatavuus
mobiiliverkossa riippuu operaattorista; datasiirto saattaa olla maksullista. 3Siri ei välttämättä ole saatavilla kaikilla kielillä tai kaikilla alueilla ja sen ominaisuudet voivat vaihdella alueittain. Edellyttää internet-yhteyttä. Mobiilikäyttö saattaa olla
maksullista. 4Jotkin ominaisuudet edellyttävät Wi-Fi-yhteyttä. Kaikki ominaisuudet eivät ole käytettävissä kaikissa maissa.
Joidenkin palveluiden käyttö on rajoitettu 10 laitteeseen.
© 2014 Apple Inc. Kaikki oikeudet pidätetään. Apple, Apple-logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks,
iMessage, iPad, iPhone, iPod touch, iTunes, Keychain, Keynote, Mac, Mac-logo, MacBook Air, OS X, Pages, Passbook, Retina,
Safari, Siri ja Xcode ovat Apple Inc:n Yhdysvalloissa ja muissa maissa rekisteröityjä tavaramerkkejä. AirPrint, iPad Air ja iPad
mini ovat Apple Inc:n tavaramerkkejä. iCloud ja iTunes Store ovat Apple Inc:n Yhdysvalloissa ja muissa maissa rekisteröityjä
palvelumerkkejä. App Store ja iBooks Store ovat Apple Inc:n palvelumerkkejä. IOS on Ciscon tavaramerkki tai rekisteröity
tavaramerkki Yhdysvalloissa ja muissa maissa ja sitä käytetään lisenssillä. Muut mainitut yritys- ja tuotenimet saattavat olla
omistajiensa tavaramerkkejä.
43