Teknisk håndbog om ios-anvendelse

Teknisk håndbog om ios-anvendelse ios 7.1. maj 2014

Indhold Side 3 Side 4 Side 4 Side 6 Side 6 Side 7 Side 13 Side 13 Side 14 Side 15 Side 16 Side 16 Side 18 Side 20 Side 20 Side 21 Side 23 Side 23 Side 24 Side 24 Side 27 Side 28 Side 28 Side 30 Side 31 Side 32 Side 35 Side 37 Introduktion Kapitel 1: Integration Microsoft Exchange Standardbaserede tjenester Wi-Fi Virtuelle private netværk (VPN) VPN for hver app Samlet log ind Digitale certifikater Bonjour Kapitel 2: Sikkerhed Enhedssikkerhed Kryptering og databeskyttelse Netværkssikkerhed Appsikkerhed Internettjenester Kapitel 3: Konfiguration og administration Indstilling og aktivering af enheder Konfigurationsbeskrivelser MDM (Administration af mobile enheder) Overvågede enheder Kapitel 4: Appdistribution Interne apps Anvendelse af apps Caching Server Bilag A: Wi-Fi-infrastruktur Bilag B: Begrænsninger Bilag C: Trådløs installation af interne apps 2

Introduktion Denne håndbog er for IT-administratorer, som ønsker at understøtte ios-enheder på deres netværk. Den giver oplysninger om anvendelse og understøttelse af iphone, ipad og ipod touch i store organisationer, som f.eks. en virksomhed eller uddannelsesinstitution. Den forklarer, hvordan ios-enheder giver omfattende sikkerhed, integration med din eksisterende infrastruktur og kraftfulde værktøjer til anvendelse. Ved at forstå de vigtigste teknologier, som understøttes af ios kan du bedre implementere en anvendelsesstrategi, som giver en optimal oplevelse for dine brugere. De følgende kapitler er tænkt som en teknisk håndbog, du kan bruge, når du anvender ios-enheder i din organisation: Integration. ios-enheder har indbygget understøttelse for et bredt udvalg af netværksinfrastrukturer. I dette afsnit kan du læse om ios-understøttede teknologier og de bedste metoder til integration med Microsoft Exchange, Wi-Fi, VPN og andre standardtjenester. Sikkerhed. ios er designet til sikker adgang til virksomhedstjenester og beskytter vigtige data. ios sikrer effektiv kryptering af dataoverførsel, gennemprøvede godkendelsesmetoder ved adgang til virksomhedens tjenester og hardware- kryptering af alle data, der er i hvile. Læs dette kapitel for at lære mere om sikkerhedsrelaterede funktioner i ios. Konfiguration og administration. ios understøtter avancerede værktøjer og teknologier for at sikre, at ios-enheder nemt kan indstilles, konfigureres til at opfylde dine krav og bruges i store organisationsmiljøer. Dette kapitel beskriver de forskellige værktøjer, som er tilgængelige for anvendelse, herunder en oversigt over MDM (administration af mobile enheder). Programdistribution. Der er mange måder at anvende apps og indhold på i din virksomhed. ios Developer Enterprise Program gør det muligt for din organisation at anvende apps til dine interne brugere. Brug dette kapitel til at få en dybere forståelse af disse programmer, og hvordan du anvender apps, som er udviklet til intern brug. De følgende bilag giver yderligere tekniske oplysninger og krav: Wi-Fi infrastruktur. Oplysninger om Wi-Fi-standarder, som ios understøtter, og overvejelser for planlægning af større Wi-Fi-netværk. Begrænsninger. Oplysninger om begrænsninger, som du kan bruge til at konfigurere ios-enheder, så de overholder dine krav til sikkerhed, adgangskode og andre krav. Trådløs installation af interne apps. Oplysninger og krav til distribution af dine interne apps ved hjælp af din egen webbaserede portal. Yderligere ressourcer Du kan finde flere relaterede oplysninger på følgende websites: www.apple.com/ipad/business/it www.apple.com/iphone/business/it www.apple.com/education/it 3

Kapitel 1: Integration ios-enheder har indbygget understøttelse for et bredt udvalg af netværks- infrastrukturer. De indeholder understøttelse af følgende: Populære tredjepartssystemer, som f.eks. Microsoft Exchange Integration med standardbaserede systemer af mail, adresser, kalender og andre systemer Standard Wi-Fi-protokoller for dataoverførsel, kryptering Virtuelle private netværk (VPN), herunder VPN for hver app Samlet log ind for at strømline godkendelse til netværksbaserede apps og tjenester Digitale certifikater til at godkende brugere og til sikker kommunikation Da dette er indbygget i ios, skal din IT-afdeling kun konfigurere nogle få indstillinger for at integrere ios-enhederne i din eksisterende infrastruktur. Læs mere om ios-understøttede teknologier og de bedste metoder for integration. Microsoft Exchange ios kan kommunikere direkte med Microsoft Exchange Server via Microsoft Exchange ActiveSync (EAS), så det er muligt at bruge mail, kalender, kontakter, noter og andre opgaver. Exchange ActiveSync giver også brugere adgang til globale adresselister (GAL) og forsyner administratorer med funktioner til at gennemtvinge kodestrategier og ekstern sletning. ios understøtter både grundlæggende og certifikat-baseret godkendelse til Exchange ActiveSync. Hvis din virksomhed allerede bruger Exchange ActiveSync, har du de fornødne tjenester til understøttelse af ios der kræves ingen ekstra konfiguration. Systemkrav Enheder med ios 7 eller senere understøtter følgende versioner af Microsoft Exchange: Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (med EAS 2.5) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (med EAS 14.1) Exchange Server 2013 (med EAS 14.1) Office 365 (med EAS 14.1) Microsoft Direct Push Exchange Server leverer automatisk mail, opgaver, kontakter og kalender- begivenheder til ios-enheder, hvis der er et mobilnetværk eller Wi-Fi tilgængeligt. 4

ipod touch og nogle ipad-modeller kan ikke forbinde til et mobilnetværk, så de modtager push-beskeder, når de er forbundet til et Wi-Fi-netværk. Microsoft Exchange Autodiscover ios understøtter tjenesten Autodiscover i Microsoft Exchange Server 2007 og Microsoft Exchange Server 2010. Når du manuelt konfigurerer en enhed, bruger Autodiscover din mailadresse og adgangskode til at bestemme de rigtige Exchange-serveroplysninger. For yderligere oplysninger om at aktivere tjenesten Autodiscover henvises der til Autodiscover Service. Global adresseliste fra Microsoft Exchange ios-enheder henter kontaktoplysninger fra din virksomheds Exchange Serverkartotek. Du kan få adgang til kartoteket, når du søger i Kontakter, og det bruges automatisk til at udfylde mailadresser, når du indtaster dem. ios 6 eller senere understøtter GAL-billeder (kræver Exchange Server 2010 SP 1 eller senere). Exchange ActiveSync-funktioner, som ikke understøttes Følgende funktioner i Exchange er ikke understøttet: Åbning af links i mail til dokumenter, som er gemt på SharePoint-servere Indstilling af autosvar ved fravær Identifikation af ios-versioner via Exchange Når en ios-enhed forbinder til en Exchange-server, rapporterer enheden dens ios-version. Versionsnummeret sendes i feltet Brugeragent i overskriften af anmodningen og ligner Apple-iPhone2C1/705.018. Nummeret efter skråstregen (/) er ios-buildnummeret, som er unikt for hver udgave af ios. Buildnummeret på en enhed kan ses under Indstillinger > Generelt > Om. Du kan se versionsnummer og buildnummer, som f.eks. 4.1 (8B117A). Nummeret i parentesen er buildnummeret, som identificerer, hvilken udgave der er på enheden. Når buildnummeret sendes til Exchange-serveren, konverteres det fra formatet NANNNA (hvor N er numerisk, og A er et alfabetisk tegn) til Exchange-formatet NNN.NNN. De numeriske værdier bibeholdes, men bogstaverne konverteres til deres positionelle værdi i alfabetet. F.eks. konverteres F til 06, fordi det er det sjette bogstav i alfabetet. Numrene udfyldes med nul, hvis det er nødvendigt for at tilpasse tallet til Exchange-formatet. I dette eksempel konverteres nummeret 7E18 til 705.018. Det første tal, 7, forbliver som 7. Bogstavet E er det femte bogstav i alfabetet, så det konverteres til 05. Der indsættes et punktum (.) i den konverterede version, som kræves af formatet. Det næste tal, 18, udfyldes med nul og konverteres til 018. Hvis buildnummeret ender med et bogstav, som f.eks. 5H11A, konverteres nummeret som beskrevet ovenfor, og den numeriske værdi af det sidste tegn tilføjes til strengen adskilt med 3 nuller. Så 5H11A konverteres til 508.01100001. Ekstern sletning Du kan slette indhold på en ios-enhed eksternt ved hjælp af funktioner, som er indeholdt i Exchange. Ekstern sletning fjerner alle data og konfigurations- oplysninger fra enheden, og enheden slettes sikkert og gendannes til dens oprindelige fabriksindstillinger. Ekstern sletning fjerner krypteringsnøglen til dataene (som er krypteret med 256-bit AES kryptering), hvilket øjeblikkeligt gør alle data umulige at genskabe. Med Microsoft Exchange Server 2007 eller senere kan du udføre en ekstern sletning med Exchange Management Console, Outlook Web Access eller Exchange 5

ActiveSync Mobile Administration Web Tool. Med Microsoft Exchange Server 2003 kan du initiere en ekstern sletning med Exchange ActiveSync Mobile Administration Web Tool. Alternativt kan brugerne slette indholdet på deres egen enhed ved at gå til Indstillinger > Generelt > Nulstil og vælge Slet alt indhold og indstillinger. Enhederne kan også konfigureres til automatisk at slette alle data efter et bestemt antal forsøg med en forkert adgangskode. Standardbaserede tjenester Med understøttelse af IMAP-mailprotokollen, LDAP-bibliotekstjenester, CalDAVkalenderfunktioner og CardDAV-kontaktprotokoller kan ios integreres i stort set alle standardbaserede miljøer. Og hvis dit netværksmiljø er konfigureret til at kræve brugergodkendelse og SSL, giver ios en sikker tilgang til standardbaserede mail, kalender, opgaver og kontakter for virksomheden. Med SSL understøtter ios 128-bit kryptering og X.509-rodcertifikater, som er udstedt af de vigtigste certificeringsmyndigheder. Ved typisk anvendelse opretter ios-enhederne direkte adgang til IMAP- og SMTPmailservere for at sende og modtage mail trådløst, og kan også trådløst synkronisere noter med IMAP-baserede servere. ios-enhederne kan forbindes til din virksomheds LDAPv3-kartotek, så brugerne kan få adgang til virksomhedens kontakter i appsene Mail, Kontakter og Beskeder. Synkronisering med din CalDAVserver gør det muligt for brugerne trådløst at skabe og acceptere kalenderinvitationer, modtage kalenderopdateringer og synkronisere opgaver med appen Påmindelser. Og med understøttelse af CardDAV kan brugerne opdatere deres kontakter, som synkroniseres med din CardDAV-server ved hjælp af vcard-formatet. Alle netværksservere kan placeres inden for et DMZ-undernetværk, bag ved virksomhedens firewall eller begge dele. Wi-Fi Direkte fra æsken kan ios-enheder oprette sikre forbindelser til virksomhedens netværk eller bruge Wi-Fi-gæstenetværk, så det er hurtigt og nemt for brugerne at oprette forbindelse til trådløse netværk, uanset om de er på lokaliteten eller på farten. Oprette forbindelse til et Wi-Fi-netværk Brugerne kan indstille ios-enheder til automatisk at oprette forbindelse til tilgængelige Wi-Fi-netværk. Der kan hurtigt oprettes forbindelse til Wi-Fi-netværk, som kræver loginoplysninger eller andre oplysninger, uden at åbne en separat browsersession, fra Wi-Fi-indstillingerne eller i apps som f.eks. Mail. Og med strømbesparende konstant forbindelse til Wi-Fi-netværket kan appsene bruge Wi- Fi-netværk til at levere push-meddelelser. WPA2 Enterprise ios understøtter industristandardprotokoller for trådløse netværk, inklusive WPA2 Enterprise, som sikrer, at ios-enhederne sikkert kan få adgang til virksomhedens trådløse netværk. WPA2 Enterprise bruger 128 bit AES-kryptering, som er en gennemprøvet blokbaseret krypteringsmetode, der giver brugerne størst mulig sikkerhed for, at deres data er beskyttet. Med understøttelse af 802.1X kan ios også integreres i et bredt udsnit af RADIUSgodkendelsesmiljøer. Trådløse 802.1X-godkendelsesmetoder understøttet af ios omfatter EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 og LEAP. 6

Roaming For roaming på store virksomheders Wi-Fi-netværk understøtter ios 802.11k og 802.11r. 802.11k hjælper ios-enheder med at skifte imellem Wi-Fi-adgangspunkter ved hjælp af rapporter fra adgangspunkterne, mens 802.11r strømliner 802.1Xgodkendelse, når en enhed flytter fra et adgangspunkt til et andet. For hurtig indstilling og anvendelse kan netværks-, sikkerheds-, proxy- og godkendelsesindstillinger konfigureres ved hjælp af konfigurationsbeskrivelser eller MDM. Virtuelle private netværk (VPN) Sikker adgang til private firmanetværk er muligt med ios ved hjælp af etablerede standardprotokoller til virtuelle private netværk (VPN). ios-enheder understøtter Cisco IPSec, L2TP over IPSec og PPTP direkte fra æsken. Hvis din organisation understøtter én af disse protokoller, kræves der ingen yderligere netværks- konfiguration eller apps fra tredjeparter til at forbinde ios-enheder til din VPN. Desuden understøtter ios SSL VPN fra populære VPN-udbydere. Brugerne skal bare hente et VPN-klientprogram, som er udviklet af en af disse udbydere, fra App Store for at komme i gang. Ligesom andre VPN-protokoller, som ios understøtter, kan SSL VPN konfigureres manuelt på enheden eller ved hjælp af konfigurationsbeskrivelser eller MDM. ios understøtter industristandardteknologier som f.eks. IPv6, proxyservere og splittunneling, som giver en rig VPN-oplevelse, når der forbindes til virksomhedens netværk. Og ios fungerer med forskellige metoder til godkendelse, herunder brug af adgangskode, token-enheder med to faktorer og digitale certifikater. For at strømline forbindelsen i omgivelser, hvor der bruges certifikatbaseret godkendelse, indeholder ios funktionen VPN On Demand, som starter en VPN-session, når det er nødvendigt for at forbinde til bestemte domæner. Med ios 7 kan de enkelte apps konfigureres til at bruge en VPN-forbindelse uafhængigt af andre apps på enheden. Dette sikrer, at virksomhedens data altid overføres via en VPN-forbindelse, og andre data, som f.eks. en ansats personlige apps fra App Store, ikke gør det. For yderligere oplysninger henvises der til VPN for hver app senere i dette kapitel. Understøttede protokoller og godkendelsesmetoder SSL VPN. Understøtter brugergodkendelse med adgangskode, token-enheder med to faktorer og certifikater. Cisco IPSec. Understøtter brugergodkendelse med adgangskode, token-enheder med to faktorer og maskingodkendelse via nøgle (shared secret) samt certifikater. L2TP over IPSec. Understøtter brugergodkendelse med MS-CHAP v2-adgangskode, token-enheder med to faktorer og maskingodkendelse via nøgle (shared secret). PPTP. Understøtter brugergodkendelse med MS-CHAP v2-adgangskode og tokenenheder med to faktorer. SSL VPN-klienter Flere SSL VPN-udbydere har lavet apps, som hjælper med at konfigurere iosenheder til anvendelse med deres løsninger. For at konfigurere en enhed til en specifik løsning skal du installere den medfølgende app og eventuelt bruge en konfigurationsbeskrivelse med de nødvendige indstillinger. SSL VPN-løsningerne omfatter: 7

Juniper Junos Pulse SSL VPN. ios understøtter Juniper Networks SA Series SSL VPN Gateway med version 6.4 eller senere med Juniper Networks IVE pakke 7.0 eller senere. For konfiguration skal du installere appen Junos Pulse, som er tilgængelig fra App Store. For yderligere oplysninger henvises der til programnoterne fra Juniper Networks. F5 SSL VPN. ios understøtter løsningerne F5 BIG-IP Edge Gateway, Access Policy Manager og FirePass SSL VPN. For konfiguration skal du installere appen F5 BIG-IP Edge Client, som er tilgængelig fra App Store. For yderligere oplysninger henvises der til det tekniske datablad fra F5 Secure iphone Access to Corporate Web Applications. Aruba Networks SSL VPN. ios understøtter Aruba Networks Mobility Controller. For konfiguration skal du installere appen Aruba Networks VIA, som er tilgængelig fra App Store. For kontaktoplysninger henvises der til Aruba Networks website. SonicWALL SSL VPN. ios understøtter SonicWALL Aventall E-Class Secure Remote Access-apparater med 10.5.4 eller senere, SonicWALL SRA-apparater med 5.5 eller senere og SonicWALL Next-Generation Firewall-apparater, herunder TZ, NSA, E- Class NSA med SonicOS 5.8.1.0 eller højere. For konfiguration skal du installere appen SonicWALL Mobile Connect, som er tilgængelig fra App Store. For kontaktoplysninger henvises der til SonicWALLs website. Check Point Mobile SSL VPN. ios understøtter Check Point Security Gateway med en fuld Layer-3 VPN-tunnel. For konfiguration skal du installere appen Check Point Mobile, som er tilgængelig fra App Store. OpenVPN SSL VPN. ios understøtter OpenVPN Access Server, Private Tunnel og OpenVPN Community. For konfiguration skal du installere appen OpenVPN Connect, som er tilgængelig fra App Store. Palo Alto Networks GlobalProtect SSL VPN. ios understøtter GlobalProtect gateway fra Palo Alto Networks. For konfiguration skal du installere appen GlobalProtect for ios, som er tilgængelig fra App Store. Cisco AnyConnect SSL VPN. ios understøtter Cisco Adaptive Security Appliance (ASA) med softwarebillede 8.0(3).1 eller senere. For konfiguration skal du installere appen Cisco AnyConnect, som er tilgængelig fra App Store. Retningslinjer for konfigurering af VPN Retningslinjer for konfigurering af Cisco IPSec Brug disse retningslinjer til at konfigurere din Cisco VPN-server til anvendelse med ios-enheder. ios understøtter Cisco ASA 5500 Security Appliances og PIX Firewalls, som er konfigureret med 7.2.x software eller senere. Det anbefales at anvende den seneste softwareudgave (8.0.x eller senere). ios understøtter også Cisco IOS VPNroutere med IOS-version 12.4(15)T eller senere. VPN 3000 Series Concentrators understøtter ikke IOS VPN-funktioner. Indstilling af proxy For alle konfigurationer kan du også angive en VPN-proxy. For at konfigurere en enkelt proxy til alle forbindelser skal du bruge manuel indstilling og indtaste adresse, port og godkendelse, hvis det er nødvendigt. For at tilføje en auto-proxy konfigurationsfil til enheden ved hjælp af PAC eller WPAD skal du bruge automatisk indstilling. For PACS skal du specificere URL-adressen for PACS-filen. For WPAD anmoder ios DHCP og DNS om de passende indstillinger. 8

Godkendelsesmetoder ios understøtter følgende godkendelsesmetoder: IPSec godkendelse med fælles nøgle og brugergodkendelse via xauth. Klient- og servercertifikater for IPSec godkendelse med valgfri brugergodkendelse via xauth. Hybrid godkendelse, hvor serveren udsteder et certifikat, og klienten giver en fælles nøgle for IPSec godkendelse. Der kræves brugergodkendelse via xauth. Brugergodkendelse foretages via xauth og omfatter følgende godkendelsesmetoder: Brugernavn med adgangskode RSA SecurID CRYPTOCard Godkendelsesgrupper Cisco Unity-protokollen bruger godkendelsesgrupper til at gruppere brugere baseret på et almindeligt sæt af godkendelsesparametre og andre parametre. Det er en god ide at oprette en godkendelsesgruppe for ios-brugere. For godkendelse med en fælles nøgle og hybrid godkendelse skal gruppenavnet konfigureres på enheden med gruppens delte nøgle (shared secret) som gruppens adgangskode. Når der bruges godkendelse med certifikat, bruges der ingen delt nøgle. En brugergruppe fastsættes baseret på felterne i certifikatet. Indstillingerne for Ciscoserveren kan bruges til at tildele felterne i et certifikat til brugergrupper. RSA-Sig bør have højeste prioritet på ISAKMP-prioritetslisten. Certifikater Når du indstiller og installerer certifikater, skal du sørge for, at følgende overholdes: Certifikatet for serveridentitet skal indeholde serverens DNS-navn og/eller IPadresse i feltet for alternativt navn for emnet (SubjectAltName). Enheden bruger denne oplysning til at verificere, at certifikatet hører til serveren. For at opnå yderligere fleksibilitet kan du specificere SubjectAltName ved hjælp af jokertegn for resultater pr. segment, som f.eks. vpn.*.mycompany.com. Du kan indtaste DNSnavnet i det almindelige navnefelt, hvis der ikke er specificeret SubjectAltName. Certifikatet fra den CA, som underskrev serverens certifikat, skal være installeret på enheden. Hvis det ikke er et rodcertifikat, skal du installere resten af sikkerhedskæden, så certifikatet godkendes. Hvis du bruger klientcertifikater, skal du sørge for, at det godkendte CA-certifikat, som underskrev klientens certifikat, er installeret på VPN-serveren. Når du bruger certifikatbaseret godkendelse, skal du sørge for, at serveren er konfigureret til at identificere brugergruppen baseret på felter i klientcertifikatet. Certifikaterne og certifikatmyndighederne skal være gyldige (f.eks. ikke udløbet). Udsendelse af certifikatkæden af serveren er ikke understøttet, og du bør deaktivere funktionen. 9

IPSec-indstillinger Brug følgende IPSec-indstillinger: Funktion. Tunnel-tilstand IKE Exchange-tilstande. Aggressiv tilstand for godkendelse med fælles nøgle og hybrid godkendelse eller primær tilstand for certifikatgodkendelse. Krypteringsalgoritmer. 3DES, AES-128, AES-256. Godkendelsesalgoritmer. HMAC-MD5, HMAC-SHA1. Diffie-Hellman-grupper. Der kræves Gruppe 2 for godkendelse med fælles nøgle og hybrid godkendelse. For certifikatgodkendelse skal du bruge Gruppe 2 med 3DES og AES-128. Brug Gruppe 2 eller 5 med AES-256. PFS (Perfect Forward Secrecy). For IKE fase 2, hvis der bruges PFS, skal Diffie- Hellman-gruppen være den samme som for IKE fase 1. Konfiguration af tilstand. Skal være aktiveret. Dead Peer Detection. Anbefales. Standard NAT Transversal. Understøttes og kan aktiveres (IPSec via TCP er ikke understøttet). Afbalancering af belastning. Understøttes og kan aktiveres. Gendannelse af nøgle til fase 1. Ikke understøttet i øjeblikket. Det anbefales at indstille tiden for gendannelse af nøgle til én time. ASA-adressemaske. Sørg for, at alle adressegruppemasker for enheden enten ikke er indstillet, eller at de er indstillet til 255.255.255.255. For eksempel: asa(configwebvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255. Hvis du bruger den anbefalede adressemaske, ignoreres der muligvis nogle ruter, som antages af VPN-konfigurationen. For at undgå dette skal du sørge for, at din routingtabel indeholder alle nødvendige ruter og bekræfte, at undernetadresserne er tilgængelige inden anvendelse. Andre understøttede funktioner Appversion. Klientens softwareversion sendes til serveren, hvorved serveren kan acceptere eller afvise forbindelser, baseret på enhedens softwareversion. Banner. Banneret (hvis det er konfigureret på serveren) vises på enheden, og brugeren skal acceptere det eller afbryde forbindelsen. Split Tunnel. Split tunneling er understøttet. Split DNS. Split DNS er understøttet. Standarddomæne.Standarddomæne er understøttet. VPN On Demand VPN On Demand gør det muligt for ios automatisk at oprette en sikker forbindelse, uden at brugeren skal gøre noget. VPN-forbindelsen startes efter behov, baseret på regler som er defineret i en konfigurationsbeskrivelse. I ios 7 konfigureres VPN On Demand ved hjælp af nøglen OnDemandRules i VPNdataene i en konfigurationsbeskrivelse. Reglerne anvendes i to trin: Ved registrering af netværk. Definerer VPN-krav som anvendes, når enhedens primære netværksforbindelse ændres. Ved evaluering af forbindelsen. Definerer VPN-krav for anmodninger om forbindelse til domænenavne efter behov. 10

For eksempel kan reglerne bruges til: At genkende, når en ios-enhed forbindes til et internt netværk, og VPN ikke er nødvendigt. At genkende, når der bruges et ukendt Wi-Fi-netværk, og der kræves VPN for alle netværksaktiviteter. At kræve VPN, når en DNS-anmodning for et specificeret domænenavn mislykkes. Ved registrering af netværk Reglerne for VPN On Demand evalueres, når enhedens primære netværksgrænseflade ændres, som f.eks. når en ios-enhed skifter til et andet Wi-Fi-netværk eller skifter fra Wi-Fi til mobilnetværk. Hvis den primære grænseflade er en virtuel grænseflade, som f.eks. en VPN-grænseflade, ignoreres reglerne for VPN On Demand. Reglerne i hvert sæt (ordbog) skal alle opfyldes, for at deres associerede handling udføres. Hvis én af reglerne ikke opfyldes, går evalueringen videre til den næste ordbog i rækken, indtil rækken af OnDemandRules er opbrugt. Den sidste ordbog bør definere en standardkonfiguration, dvs. den bør ikke indeholde regler, men kun en handling. Dette opfanger alle forbindelser, som ikke opfyldte de forudgående regler. Ved evaluering af forbindelsen VPN kan udløses efter behov, baseret på anmodninger om forbindelse til bestemte domæner i stedet for ensidigt at afbryde eller forbinde VPN baseret på netværksgrænsefladen. Opfyldelsesregler for On Demand Angiv én eller flere af disse opfyldelsesregler: InterfaceTypeMatch (opfyldelse af grænseflade). Valgfri. En strengværdi for Wi-Fi eller mobilnetværk. Hvis det er specificeret, anvendes denne regel, når hardwaren for den primære grænseflade er lig med den angivne type. SSIDMatch (opfyldelse af SSID). Valgfri. En række af SSID'er til at sammenligne med det aktuelle netværk. Hvis netværket ikke er et Wi-Fi-netværk, eller hvis dens SSID ikke vises i listen, mislykkes sammenligningen. Udelad denne nøgle og dens række for at ignorere SSID. DNSDomainMatch (opfyldelse af DNS-domæne). Valgfri. En række af søgedomæner som strenge. Hvis det konfigurerede DNS-søgedomæne for det aktuelle primære netværk er indeholdt i rækken, opfyldes denne egenskab. Brug af jokertegn (*) er understøttet; f.eks. vil *.eksempel.com passe med hvadsomhelst.eksempel.com. DNSServerAddressMatch (opfyldelse af DNS-serveradresse). Valgfri. En række af DNS-serveradresser som strenge. Hvis alle de konfigurerede DNS-serveradresser for den primære grænseflade er indeholdt i rækken, opfyldes denne egenskab. Jokertegn (*) er understøttet; f.eks. ville 1.2.3.* passe med alle DNS-servere med præfikset 1.2.3.. URLStringProbe (URL-test).Valgfri. En server til test af muligheden for oprettelse af forbindelse. Omdirigering er ikke understøttet. URL-adressen bør være til en godkendt HTTPS-server. Enheden sender en GET-anmodning for at bekræfte, at der kan oprettes forbindelse til serveren. 11

Action (Handling) Denne nøgle definerer VPN-handlingen, når alle de angivne regler evalueres som sande. Denne nøgle er påkrævet. Værdierne for Action-nøglen er: Connect (Tilslut). Initierer VPN-forbindelsen uden betingelser ved næste forsøg på oprettelse af netværksforbindelse. Disconnect (Afbryd). Afbryd VPN-forbindelsen, og opret ingen nye forbindelser på anmodning. Ignore (Ignorer). Bibehold eksisterende VPN-forbindelser, men opret ingen nye forbindelser på anmodning. Allow (Tillad). For ios-enheder med ios 6 eller tidligere. Se Bemærkninger vedrørende bagudkompatibilitet senere i dette afsnit. EvaluateConnection (Evaluer forbindelse). Evaluer ActionParameters for hvert forsøg på at oprette forbindelse. Når dette bruges, kræves de vigtigste ActionParameters, som beskrevet nedenfor, til at specificere evalueringsreglerne. ActionParameters En række af ordbøger med de nøgler, der er beskrevet nedenfor, evalueret i den rækkefølge, de opstår i. Krævet, når Action er sat til EvaluateConnection. Domains (Domæner). Kræves. En række strenge, der definerer domænerne, som denne evaluering gælder for. Præfikser med jokertegn er understøttet, f.eks. *.eksempel.com. DomainAction (Domænehandling). Kræves. Definerer VPN-handling for domænerne. Værdier for DomainAction-nøglen er: ConnectIfNeeded (Forbind hvis krævet). Henter VPN, hvis DNS-løsningen for de angivne domæner mislykkes, som f.eks. når DNS-serveren indikerer, at den ikke kan løse domænenavnet, hvis DNS-svaret omdirigeres, eller hvis forbindelsen mislykkes eller udløber. NeverConnect (Forbind aldrig). Udløs ikke VPN for de angivne domæner. Når DomainAction er ConnectIfNeeded, kan du også specificere følgende nøgler i ordbogen for evaluering af forbindelse: RequiredDNSServers (Krævede DNS-servere). Valgfri. En række IP-adresser for DNS-servere, som bruges til at løse de angivne domæner. Disse servere behøver ikke at være indeholdt i enhedens aktuelle netværkskonfiguration. Hvis der ikke kan oprettes forbindelse til disse DNS-servere, udløses VPN. Konfigurer en intern DNS-server eller en godkendt ekstern DNS-server. RequiredURLStringProbe (Krævet test af URL-streng). Valgfri. En HTTP- eller HTTPS-URL (foretrukket) til test, som bruger en GET-anmodning. Hvis DNSløsningen for denne server lykkes, skal testen også lykkes. Hvis testen mislykkes, udløses VPN. Bemærkninger vedrørende bagudkompatibilitet Før ios 7 blev reglerne for udløsning af domæner konfigureret via rækker af domæner kaldet OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry og OnDemandMatchDomainNever. Tilfældene OnRetry og Never er stadig understøttet i ios 7, men bruges ikke mere. I stedet bruges handlingen EvaluateConnection. For at oprette en profil, som er gyldig både i ios 7 og tidligere versioner, skal du bruge de nye EvaluateConnection-nøgler udover OnDemandMatchDomainrækkerne. Tidligere versioner af ios, som ikke genkender EvaluateConnection, vil bruge de gamle rækker, hvorimod ios 7 og senere versioner vil bruge EvaluateConnection. 12

Ældre konfigurationsbeskrivelser, som specificerer handlingen Allow, vil fungere i ios 7 med undtagelse af OnDemandMatchDomainsAlways-domæner. VPN for hver app ios 7 indeholder muligheden for at oprette VPN-forbindelser på basis af de enkelte apps. Denne tilgang muliggør fuld kontrol over, hvilke data der går igennem VPN, og hvilke der ikke gør. Med VPN for hele enheden går alle data igennem det private netværk uanset deres oprindelse. Da der mere og mere bruges personlige enheder inden for organisationerne, giver VPN for hver app sikker netværksforbindelse for interne apps, samtidig med at de personlige aktiviteter på enheden forbliver fortrolige. VPN for hver app gør det muligt for hver app, som administreres med MDM (administration af mobile enheder) at kommunikere med det private netværk via en sikker tunnel, som forhindrer, at andre ikke-administrerede apps på enheden bruger det private netværk. Desuden kan de administrerede apps konfigureres med forskellige VPN-forbindelser for yderligere beskyttelse af dataene. For eksempel kan en salgskvote-app bruge et helt andet datacenter end en kreditor-app, mens brugerens personlige webtrafik bruger det offentlige internet. Denne mulighed for at adskille trafikken på baggrund af de apps, der bruges, giver grundlaget for adskillelse af private oplysninger og data, som tilhører organisationen. For at kunne bruge VPN for hver app skal appen være administreret via MDM og bruge standard-api'er til ios-netværk. VPN for hver app konfigureres med en MDMkonfiguration, som specificerer hvilke apps og Safari-domæner kan bruge indstillingerne. For yderligere oplysninger om MDM henvises der til Kapitel 3: Konfiguration og administration. Samlet log ind Med ios 7 kan appsene udnytte din eksisterende interne infrastruktur til samlet log ind via Kerberos. Samlet log ind kan forbedre brugeroplevelsen ved kun at bede brugeren om at indtaste sin adgangskode én gang. Funktionen øger også sikkerheden ved daglig brug ved at sikre, at adgangskoderne aldrig overføres trådløst. Kerberos-godkendelsessystemet, som bruges i ios 7, er en industristandard og den mest anvendte teknologi til samlet log ind i verden. Hvis du har Active Directory, edirectory eller OpenDirectory, har det sikkert allerede et Kerberos-system, som ios 7 kan anvende. ios-enhederne skal kunne kontakte Kerberos-tjenesten via en netværksforbindelse for at godkende brugerne. Understøttede apps ios giver fleksibel understøttelse af samlet log ind med Kerberos til enhver app, som bruger klassen NSURLConnection eller NSURLSession til at administrere netværksforbindelser og godkendelse. Apple forsyner alle udviklere med disse avancerede frameworks for at integrere netværksforbindelserne problemfrit med deres apps. Apple leverer også Safari som et eksempel til at hjælpe dig med at komme i gang ved direkte at bruge websites med samlet log ind. Konfiguration af samlet log ind Konfiguration af samlet log ind udføres ved hjælp af konfigurationsbeskrivelser, som enten kan installeres manuelt eller administreres med MDM. Kontodataene til samlet log ind muliggør fleksibel konfiguration. Samlet log ind kan være åbent for alle apps eller begrænset af enten en appidentifikator, tjeneste-url eller begge. Ved sammenligning af URL-adresser bruges der en enkel sammenligning af mønsteret, og URL-adresser skal begynde med enten http:// eller https://. Sammenligningen gælder hele URL-adressen, så sørg for, at de er helt ens. 13

For eksempel vil en URLPrefixMatches-værdi påhttps://www.example.com/ ikke svare til https://www.example.com:443/. Du kan specificere http:// eller https:// for at begrænse brugen af samlet log ind til enten sikre eller almindelige HTTPtjenester. Hvis du f.eks. bruger en URLPrefixMatches-værdi på https://, kan kontoen til samlet log ind kun bruges med sikre HTTPS-tjenester. Hvis et sammenligningsmønster for URL-adresser ikke ender med en skråstreg (/), tilføjes der en skråstreg (/) til det. Rækken AppIdentifierMatches skal indeholde strenge, som svarer til appsenes pakke-id. Disse strenge kan være eksakte matches (f.eks. com.mycompany.myapp) eller de kan specificere et præfiks-match for pakke-id'et ved at bruge jokertegnet (*). Jokertegnet skal være efter et punktum (.) og kan kun stå til sidst i strengen (f.eks. com.mycompany.*). Når der indtastes et jokertegn, kan alle apps, hvor pakkeid'et begynder med præfikset, få adgang til kontoen. Digitale certifikater Digitale certifikater er en form for identifikation, som sikrer effektiv godkendelse, dataintegritet og kryptering. Et digitalt certifikat består af en offentlig nøgle, oplysninger om brugeren og den certifikatmyndighed, der udstedte certifikatet. ios understøtter digitale certifikater, så organisationer får sikker og strømlinet adgang til virksomhedstjenester. Certifikater kan bruges på flere måder. Signering af data med et digitalt certifikat er med til at sikre, at oplysningerne ikke kan ændres. Certifikater kan også bruge til at garantere identiteten på forfatteren eller signaturen. Desuden kan de bruges til at kryptere konfigurationsbeskrivelser og netværkskommunikation, så fortrolige og private oplysninger beskyttes endnu mere. For eksempel kan Safari kontrollere gyldigheden af et X.509 digitalt certifikat og konfigurere en sikker session med op til 256-bit AES-kryptering. Dette verificerer, at sidens identitet er legitim, og at kommunikationen med websitet er beskyttet for at hjælpe med at forhindre, at personlige eller fortrolige data opsnappes. Understøttede certifikat- og identitetsformater: ios understøtter X.509-certifikater med RSA-nøgler. Filendelserne.cer,.crt,.der,.p12 og.pfx genkendes. Brug af certifikater i ios Rodcertifikater ios indeholder et antal forudinstallerede rodcertifikater direkte fra æsken. For yderligere oplysninger henvises der til listen i denne supportartikel fra Apple. ios kan opdatere certifikater trådløst, hvis nogle af de forudinstallerede rodcertifikater bliver kompromitteret. For at deaktivere dette findes der en begrænsning, som forhindrer trådløs opdatering af certifikater. Hvis du bruger et rodcertifikat, som ikke er forudinstalleret, som f.eks. et selvunderskrevet rodcertifikat, der er oprettet af din organisation, kan du distribuere det med en af nedenstående metoder. Distribution og installation af certifikater Det er let at distribuere certifikater til ios-enheder. Når brugerne modtager et certifikat, skal de bare trykke for at se dets indhold og derefter trykke for at føje certifikatet til deres enhed. Når et identitetscertifikat installeres, bliver brugere bedt om at skrive den adgangskode, der beskytter det. Hvis et certifikats autenticitet ikke kan verificeres, vises det som ikke-godkendt, og brugerne kan bestemme, om det stadig skal tilføjes til deres enhed. Installering af certifikater via en konfigurationsbeskrivelse Hvis konfigurationsbeskrivelserne bruges til at distribuere indstillinger for virksomhedstjenester, som f.eks. Exchange, VPN eller Wi-Fi, kan der tilføjes 14

certifikater til beskrivelsen for at gøre installationen nemmere. Dette omfatter også muligheden for at distribuere certifikater via MDM. Installering af certifikater via Mail eller Safari Hvis et certifikat sendes i en mail, vises den som bilag. Du kan også bruge Safari til at hente certifikater fra et website. Du kan hoste et certifikat på et sikret website og give URL-adressen til brugerne, så de kan hente certifikatet til deres enheder. Fjernelse og tilbagekaldelse af et certifikat For manuelt at fjerne et certifikat, som er installeret, skal du vælge Indstillinger > Generelt > Profiler og vælge det certifikat, som skal fjernes. Hvis en bruger fjerner et certifikat, som kræves for at få adgang til en konto eller et netværk, kan enheden ikke længere forbinde til disse tjenester. En MDM-server kan vise alle certifikater på en enhed og fjerne alle certifikater, som den har installeret. Desuden er protokollerne OCSP (Online Certificate Status Protocol) og CRL (Certificate Revocation List) understøttet for at kontrollere status for certifikater. Når der bruges et OCSP- eller CRL-aktiveret certifikat, validerer ios certifikatet med jævne mellemrum for at sikre, at det ikke er blevet tilbagekaldt. Bonjour Bonjour er Apples standardbaserede netværksprotokol uden behov for konfiguration, som gør det muligt for enhederne at finde tjenester på et netværk. ios-enheder bruger Bonjour til at finde AirPrint-kompatible printere og AirPlay-kompatible enheder, som f.eks. Apple TV. Nogle peer-to-peer apps kræver også Bonjour. Du skal sørge for, at din netværksinfrastruktur og Bonjour er korrekt konfigureret til at fungere med hinanden. ios 7.1-enheder kan også søge efter AirPlay-kilder via Bluetooth. Når der er fundet et kompatibelt Apple TV, overføres AirPlay-dataene over Wi-Fi-netværket. Der kræves Apple TV 6.1 eller nyere for at aktivere søgning via Bluetooth, og iosenheden og Apple TV skal være forbundet til det samme undernet for at afspille eller vise indhold. For yderligere oplysninger om Bonjour henvises der til denne Apple-webside. 15

Kapitel 2: Sikkerhed ios er opbygget med sikkerhedsfunktioner med mange lag. Dette gør det muligt for ios-enheder at få sikker adgang til virksomhedstjenester og beskytter vigtige data. ios sørger for en effektiv kryptering ved dataoverførsel, gennemprøvede godkendelsesmetoder ved adgang til virksomhedens tjenester og hardware- kryptering af alle data på enheden. ios beskytter også data ved hjælp af regler for adgangskoder, som kan leveres og håndhæves trådløst. Og hvis enheden skulle falde i de forkerte hænder, kan brugere og IT-administratorer iværksætte en ekstern sletning for at fjerne alle private oplysninger. Når du overvejer sikkerheden af ios til virksomhedsbrug, kan det være en hjælp at forstå følgende: Kontrol af enheder. Metoder, der forhindrer uautoriseret brug af enheden Kryptering og databeskyttelse. Beskyttelse af alle data, selv hvis enheden bliver væk eller stjålet Netværkssikkerhed. Netværksprotokoller og kryptering af data under overførsel Appsikkerhed. Gøre det muligt for apps at køre sikkert og uden at kompromittere platformsintegriteten Internettjenester. Apples netværksbaserede infrastruktur til meddelelser, synkronisering og sikkerhedskopiering Disse muligheder giver tilsammen en sikker mobilplatform. Følgende politikker for adgangskoder understøttes: Kræver adgangskode på enheden Kræver alfanumerisk værdi Minimumslængde på adgangskode Minimumskrav for antal af komplekse tegn Maksimumsalder på adgangskode Tid før automatisk låsning Adgangskodehistorie Ekstra frist efter låsning af enhed Maksimalt antal forsøg med forkert adgangskode Enhedssikkerhed Etablering af stærke strategier til adgang til ios-enheder er yderst vigtigt til beskyttelse af virksomhedsoplysninger. Adgangskoder til enhederne er frontlinjen i forsvaret imod uautoriseret adgang og kan konfigureres og aktiveres trådløst. ios-enheder bruger den unikke adgangskode, som oprettes af hver bruger for at generere en stærk krypteringsnøgle til yderligere at beskytte mail og fortrolige appdata på enheden. Desuden giver ios sikre metoder til konfiguration af enheden i IT-omgivelser, hvor der kræves specifikke indstillinger, politikker og begrænsninger. Disse metoder giver fleksible muligheder for etablering af beskyttelse på et standardniveau for autoriserede brugere. Politikker for adgangskoder En adgangskode for enheden forhindrer, at uautoriserede brugere får adgang til data eller på anden måde får adgang til enheden. ios lader dig vælge imellem et bredt udvalg af politikker for adgangskoder, der opfylder alle dine sikkerhedsbehov, herunder timeout-perioder, måling af adgangskoders styrke og regler for, hvor tit adgangskoden skal ændres. 16

Håndhævelse af politikker Politikkerne kan distribueres som en del af en konfigurationsbeskrivelse, som brugerne skal installere. Der kan defineres en beskrivelse, så den kun kan slettes med en administrativ adgangskode, eller du kan definere beskrivelsen, så den er låst på enheden og ikke kan fjernes uden at slette alt indhold på enheden. Desuden kan adgangskodeindstillingerne konfigureres eksternt med MDMløsninger, som kan skubbe politikker direkte til enheden. Dette gør det muligt at anvende og opdatere politikker, uden at brugeren skal gøre noget. Hvis enheden er konfigureret til at bruge en Microsoft Exchange-konto, overføres Exchange ActiveSync-politikkerne trådløst til enheden. Det tilgængelige sæt af politikker varierer afhængigt af versionen af Exchange ActiveSync og Exchange Server. Hvis der både findes Exchange- og MDM-politikker, anvendes den strengeste politik. Sikker konfiguration af enheden Konfigurationsbeskrivelser er XML-filer, der indeholder sikkerhedspolitikker og begrænsninger for enheden, oplysninger om VPN-konfiguration, Wi-Fi-indstillinger, mail- og kalenderkonti samt godkendelsessystemer, der gør det muligt for iosenhederne at fungere i dine IT-systemer. Muligheden for at etablere adgangskode- politikker sammen med enhedsindstillinger i en konfigurationsbeskrivelse sikrer, at enhederne inden for din organisation konfigureres korrekt og i henhold til sikkerhedsstandarderne, som angives af din IT-afdeling. Og da konfigurations- beskrivelserne kan krypteres og låses, kan indstillingerne ikke fjernes, ændres eller deles med andre. Konfigurationsbeskrivelserne kan både signeres og krypteres. Signering af en konfigurationsbeskrivelse sikrer, at dens indstillinger ikke kan ændres på nogen måde. Kryptering af en konfigurationsbeskrivelse beskytter beskrivelsens indhold og tillader kun, at den installeres på den enhed, den er oprettet til. Konfigurations- beskrivelserne krypteres ved hjælp af CMS (Cryptographic Message Syntax, RFC 3852), som understøtter 3DES og AES 128. Den første gang, du distribuerer en krypteret konfigurationsbeskrivelse, kan du installere den via USB med Apple Configurator eller trådløst ved at bruge protokollen til trådløs profillevering og konfiguration eller MDM. Konfigurations- beskrivelser, der krypteres efterfølgende, kan leveres som bilag i mail, hostes på et website, som er tilgængeligt for dine brugere, eller skubbes til enheden ved hjælp af MDM-løsninger. For yderligere oplysninger henvises der til Over-the-Air Profile Delivery and Configuration protocol på websitet ios Developer Library. Enhedsbegrænsninger Enhedsbegrænsninger afgør, hvilke funktioner brugerne har adgang til på enheden. Dette drejer sig typisk om netværksbaserede apps, som f.eks. Safari, YouTube eller itunes Store, men begrænsningerne kan også kontrollere enhedens funktioner, som f.eks. installation af en app eller brugen af kameraet. Med begrænsninger kan du konfigurere enheden til at opfylde dine krav, mens brugerne kan bruge enheden i overensstemmelse med din organisations politikker. Begrænsningerne kan konfigureres manuelt på hver enhed, aktiveres ved hjælp af en konfigurations- beskrivelse eller etableres eksternt med en MDM-løsning. Desuden kan begrænsninger for kameraet eller for tilgang til internettet aktiveres trådløst via Microsoft Exchange Server 2007 og 2010 på samme måde som med adgangs- kodepolitikker. Begrænsninger kan også bruges til at forhindre, at mails flyttes til andre konti, eller at meddelelser, som modtages på én konto, videresendes til en anden konto. Se Bilag B for yderligere oplysninger om understøttede begrænsninger. 17

Kryptering og databeskyttelse Det er vigtigt for enhver virksomhed med fortrolige oplysninger at beskytte data, der er lagret på ios-enhederne. Udover at kryptere data under overførslen leverer ios også hardwarekryptering til alle data, der er lagret på enheden, samt yderligere kryptering af mails og appdata med forbedret databeskyttelse. Kryptering ios-enheder bruger hardwarebaseret kryptering. Hardwarekryptering bruger 256- bit AES til at beskytte alle data på enheden. Kryptering er altid slået til og kan ikke slås fra. Desuden kan data, der er sikkerhedskopieret i itunes på en brugers computer, også krypteres. Funktionen kan slås til af brugeren eller påtvinges vha. indstillinger til enhedsbegrænsning i konfigurationsbeskrivelser. ios understøtter også S/MIME i mails, så brugerne kan læse og sende krypterede mails. De kryptografiske moduler i ios 7 og ios 6 er valideret til at overholde den amerikanske standard U.S. Federal Information Processing Standard (FIPS) 140-2 Level 1. Dette validerer integriteten af kryptografiske handlinger i apps fra Apple og tredjeparter, som bruger de kryptografiske tjenester i ios korrekt. For yderligere oplysninger henvises der til ios-produktsikkerhed: Godkendelser og retningslinjer og ios 7: Apple FIPS ios Cryptographic Modules v4.0. Databeskyttelse Mail og bilag, som er lagret på enheden, kan sikres yderligere ved hjælp af data- beskyttelsesfunktioner, som er indbygget i ios. Databeskyttelse udnytter hver enkelt brugers unikke adgangskode til enheden sammen med hardware- krypteringen på ios-enheder til at generere en effektiv krypteringsnøgle. Dette forhindrer adgang til data, når enheden er låst, så dataene er sikre, selvom enheden bliver kompromitteret. For at aktivere databeskyttelsesfunktionen skal du blot indstille en adgangskode på enheden. Effektiviteten af databeskyttelsen afhænger af en stærk adgangskode, så det er vigtigt at kræve og gennemtvinge en adgangskode med flere end fire cifre, når du fastsætter dine adgangskodepolitikker. Brugerne kan verificere, at databeskyttelse er aktiveret på deres enhed ved at se på skærmen for indstilling af adgangskode. MDM-løsninger kan også anmode enheden om disse oplysninger. Der er også databeskyttelses-api'er tilgængelige for udviklere, som kan bruges til at sikre data i apps fra App Store eller interne virksomhedsapps. Fra og med ios 7 er data, som gemmes af apps, som standard i sikkerhedsklassen Beskyttet indtil første brugergodkendelse, hvilket svarer til fuld diskkryptering på skrivebords- computere og beskytter data mod angreb, som involverer en genstart. Bemærk: Hvis en enhed er opgraderet fra ios 6, konverteres de eksisterende data ikke til den nye klasse. Ved at fjerne og derefter geninstallere appen opnås den nye beskyttelsesklasse. Touch ID Touch ID er sensorsystemet med fingeraftryk, som er indbygget i iphone 5s, hvormed der hurtigt og nemt fås sikker adgang til enheden. Denne fremsynede teknologi aflæser fingeraftryk fra enhver vinkel og lærer mere om en brugers fingeraftryk med tiden, da sensoren fortsætter med at kortlægge fingeraftrykket, i takt med at der identificeres overlappende noder for hvert brugstilfælde. Touch ID gør det mere praktisk at bruge en længere og mere kompleks adgangs- kode, fordi brugeren ikke skal indtaste den så tit. Med Touch ID slipper du også for besværet med en adgangskodebaseret lås, ikke ved at erstatte den med noget andet, men snarere ved at give sikker adgang til enheden inden for gennemtænkte grænser og tidsbegrænsninger. 18

Når Touch ID er aktiveret, låses iphone 5s øjeblikkeligt, når der trykkes på knappen Vågeblus til/fra. Med en adgangskode som eneste sikkerhedsfunktion indstiller mange brugere en vis periode, inden enheden låses for at undgå at skulle indtaste en adgangskode, hver gang de bruger enheden. Med Touch ID låses iphone 5s, hver gang den går i dvale, og kræver et fingeraftryk eller en adgangskode ved hver aktivering. Touch ID arbejder sammen med den sikre enklave en hjælpeprocessor i Apple A7-processoren. Den sikre enklave har sin egen beskyttede, krypterede hukommelse og kommunikerer sikkert med Touch ID-sensoren. Når iphone 5s låses, er nøglerne til databeskyttelsen i klassen Komplet beskyttet med en nøgle, som opbevares i den krypterede hukommelse for den sikre enklave. Nøglen opbevares i maksimalt 48 timer og afvises, hvis iphone 5s genstartes, eller der bruges et ukendt fingeraftryk mere end fem gange. Hvis et fingeraftryk genkendes, afgiver den sikre enklave nøglen til at frigive databeskyttelsesnøglerne, hvorefter enheden låses op. Ekstern sletning ios understøtter ekstern sletning. Hvis en enhed er blevet væk eller er blevet stjålet, kan administratoren eller enhedens ejer sende en kommando om ekstern sletning, som fjerner alle data og gør enheden passiv. Hvis enheden er konfigureret med en Exchange-konto, kan administratoren sende en kommando om ekstern sletning vha. Exchange Management Console (Exchange Server 2007) eller Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 eller 2007). Brugere af Exchange Server 2007 kan også iværksætte kommandoer til ekstern sletning direkte med Outlook Web Access. Kommandoer til ekstern sletning kan også iværksættes med MDM-løsninger eller med funktionen Find min iphone i icloud, også hvis Exchange-tjenesterne for virksomheden ikke er i brug. Lokal sletning Enhederne kan også konfigureres til automatisk at iværksætte en lokal sletning efter flere mislykkedes forsøg med en forkert adgangskode. Dette beskytter imod uvedkommendes forsøg på at få adgang til enheden. Når der indstilles en adgangskode, har brugerne mulighed for at aktivere lokal sletning direkte fra indstillingerne. Som standard sletter ios automatisk enheden efter 10 mislykkede forsøg på at indtaste adgangskoden. Som med andre adgangskodepolitikker kan det maksimale antal af mislykkede forsøg indstilles via en konfigurationsbeskrivelse, som indstilles med en MDM-server, eller trådløst via Microsoft Exchange ActiveSyncpolitikker. Aktiveringslås og Find min iphone Hvis en enhed mistes eller bliver stjålet, er det vigtigt at gøre enheden passiv og slette indholdet på den. Når Find min iphone er aktiveret, kan enheden med ios 7 ikke aktiveres igen, før ejerens icloud-oplysninger indtastes. Det er en god idé enten at overvåge virksomhedens enheder eller have en politik, der giver brugerne mulighed for at deaktivere funktionen, så Find min iphone ikke forhindrer virksomheden i at tildele enheden til en anden bruger. I ios 7.1 og nyere versioner kan du bruge en kompatibel MDM-løsning til at slå aktiveringslåsen til, når en bruger slår Find min iphone til. Med MDM-løsningen kan der opbevares en tilsidesættelseskode, når aktiveringslåsen er slået til, og denne kode kan bruges til at rydde aktiveringslåsen automatisk, hvis der opstår behov for at slette dataene for at give enheden videre til en ny bruger. Se dokumentationen til MDM-løsningen for at få flere oplysninger. For yderligere oplysninger om Find min iphone og Aktiveringslås henvises der til icloud-support og Mobile Device Management og aktiveringslås til Find min iphone. 19

Netværkssikkerhed Indbygget Cisco IPSec, L2TP, PPTP VPN SSL VPN via App Store apps SSL/TLS med X.509-certifikater WPA/WPA2 Enterprise med 802.1X Certifikatbaseret godkendelse RSA SecurID og CRYPTOCard VPN-protokoller Cisco IPSec L2TP/IPSec PPTP SSL VPN Godkendelsesmetoder Adgangskode (MSCHAPv2) RSA SecurID CRYPTOCard X.509 digitale certifikater Nøgle (shared secret) 802.1X godkendelsesprotokoller EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Understøttede certifikatformater ios understøtter X.509-certifikater med RSA-nøgler. Filendelserne.cer,.crt og.der genkendes. Netværkssikkerhed Mobiltelefonbrugere skal være i stand til at få adgang til virksomhedens netværk overalt i verden, men det er også vigtigt at sikre, at brugerne er autoriserede, og at deres data er beskyttet under overførslen. ios indeholder gennemprøvede teknologier, der udfører disse sikkerhedsopgaver på både Wi-Fi- og mobildata- netværk. Udover din eksisterende infrastruktur er hver FaceTime-session og imessagesamtale krypteret fra start til slut. ios opretter et entydigt ID til hver bruger og sikrer, at kommunikationen krypteres, sendes og forbindes korrekt. VPN Mange virksomheder bruger en eller anden form for virtuelt privat netværk (VPN). Disse sikre netværkstjenester anvendes allerede og kræver som regel minimal indstilling og konfiguration, før de kan arbejde med ios. ios integrerer med et bredt udvalg af almindeligt brugte VPN-teknologier direkte fra æsken. Se Virtuelle private netværk i kapitel 1 for yderligere oplysninger. SSL/TLS ios understøtter SSL v3 såvel som Transport Layer Security (TLS v1.0, 1.1 og 1.2). Safari, Kalender, Mail og andre internetapps starter automatisk disse mekanismer for at åbne en krypteret kommunikationskanal mellem ios og virksomhedstjenester. WPA/WPA2 ios understøtter WPA2 Enterprise, som giver godkendt adgang til din virksomheds trådløse netværk. WPA2 Enterprise bruger 128 bit AES-kryptering, som giver brugerne størst mulig sikkerhed for, at deres data er beskyttet, når de sender og modtager data via en Wi-Fi-forbindelse. Og med understøttelse af 802.1X kan iphone og ipad integreres i et bredt udsnit af RADIUS-godkendelsesmiljøer. Appsikkerhed ios er designet med sikkerhed for øje. Det indeholder en sandboxed tilgang til beskyttelse ved afvikling og signering af apps for at sikre, at der ikke kan foretages ændringer i appsene. ios har også et framework, som muliggør sikker opbevaring af oplysninger om apps og netværkstjenester på et krypteret sted, som kaldes nøgleringen. For udviklere byder den på en fælles krypteringsarkitektur, som kan bruges til at kryptere appdata. Beskyttelse ved afvikling Apps på enheden er sandboxed, så de ikke kan få adgang til data, der er lagret af andre apps. Derudover er systemfiler, systemressourcer og kernen beskyttet mod brugerens appområde. Hvis en app har brug for adgang til data fra en anden app, kan den kun få det ved at bruge de API'er og tjenester, der stilles til rådighed af ios. Generation af koder er heller ikke muligt. Obligatorisk kodesignering Alle apps i ios skal signeres. Appsene, som leveres med enheden, er signeret af Apple. Tredjepartsapps er signeret af udvikleren med et certifikat udstedt af Apple. Dette sikrer, at en app ikke er blevet ændret eller fiflet med. Desuden udføres der kontrol af afviklingen for at sikre, at en app ikke har mistet godkendelsen, siden sidste gang den blev brugt. 20