598868

Apple iOS Implementierung Handleiding

3
Verklein
Vergroot
Pagina terug
1/100
Pagina verder
iOS-
implementatiehandleiding
K Apple Inc.
© 2015 Apple Inc. Alle rechten voorbehouden.
Apple, het Apple logo, AirDrop, AirPlay, Apple TV, Bonjour,
FaceTime, FileVault, iBooks, iLife, iMessage, iPad, iPad Air,
iPhone, iPod, iPod touch, iTunes, iWork, Keychain, Keynote,
Mac, MacBook Air, MacBook Pro, Numbers, OS X, Pages,
Passbook, Safari, Siri, Spotlight en Xcode zijn handelsmerken
van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en
andere landen.
AirPrint, Apple Pay, Apple Watch, Hando, iPad mini, iTunes U
en Touch ID zijn handelsmerken van Apple Inc.
AppleCare, App Store, iCloud, iCloud Keychain en iTunes Store
zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de
Verenigde Staten en andere landen.
iBooks Store is een dienstmerk van Apple Inc.
Het Apple logo is een handelsmerk van Apple Inc., dat is
gedeponeerd in de Verenigde Staten en andere landen.
Zonder voorafgaande schriftelijke toestemming van Apple is
het niet toegestaan om het via het toetsenbord op te roepen
Apple logo (Option + Shift + K) te gebruiken voor commerciële
doeleinden.
Het woordmerk Bluetooth® en de Bluetooth-logo's zijn
gedeponeerde handelsmerken die eigendom zijn van
Bluetooth SIG, Inc.; deze merken worden door Apple Inc.
in licentie gebruikt.
IOS is een handelsmerk of gedeponeerd handelsmerk van
Cisco in de Verenigde Staten en andere landen dat in licentie
wordt gebruikt.
Andere in deze handleiding genoemde bedrijfs- of productnamen
kunnen handelsmerken van de desbetreende bedrijven zijn.
Vermelding van producten van andere fabrikanten is uitsluitend
ter informatie en betekent niet dat deze producten door Apple
worden aanbevolen of zijn goedgekeurd. Apple aanvaardt geen
enkele aansprakelijkheid met betrekking tot de betrouwbaarheid
van deze producten. Alle eventuele afspraken, overeenkomsten
en garanties komen rechtstreeks tussen de leverancier en de
gebruiker tot stand.
Dit document is met de uiterste zorg samengesteld. Apple
aanvaardt geen aansprakelijkheid voor druk- of typefouten.
N019-00124/2015-04
Inhoudsopgave
3
6 Hoofdstuk 1: iOS-implementatiehandleiding
6 Inleiding
8 Hoofdstuk 2: Implementatiemodellen
8 Overzicht
8 Implementatiemodellen voor het onderwijs
8 Overzicht
9 Een-op-een-implementatiemodel met de instelling als eigenaar
12 Implementatiemodel met de student als eigenaar
14 Implementatiemodel voor gedeeld gebruik
16 Implementatiemodellen voor bedrijven
16 Overzicht
17 Gepersonaliseerd apparaat (BYOD)
19 Gepersonaliseerd apparaat (eigendom van bedrijf)
21 Niet-gepersonaliseerd (gedeeld) apparaat
24 Hoofdstuk 3: Wi-Fi
24 Overzicht
24 Wi-Fi-doorvoersnelheid
25 Aanmelden bij een Wi-Fi-netwerk
25 Roaming
27 Rekening houden met bereik en capaciteit
27 Aandachtspunten voor het ontwerp
29 Wi-Fi-standaarden op iOS-apparaten
31 Hoofdstuk 4: Infrastructuur en integratie
31 Overzicht
31 Microsoft Exchange
33 Bonjour
34 AirPlay
36 Op standaarden gebaseerde voorzieningen
37 Digitale certicaten
38 Eenmalige aanmelding (SSO)
39 Virtual Private Networks (VPN)
39 Overzicht
40 Ondersteunde protocollen en methoden voor identiteitscontrole
40 SSL-VPN-clients
41 Richtlijnen voor VPN-conguratie
44 App-gebonden VPN
44 VPN op aanvraag
44 Overzicht
45 Fasen
Inhoudsopgave 4
45 Regels en acties
46 Achterwaartse compatibiliteit
47 Altijd actieve VPN
47 Overzicht
47 Implementatiescenario's
49 Conguratieproel voor Altijd actieve VPN
49 Payload voor Altijd actieve VPN
52 Hoofdstuk 5: Internetvoorzieningen
52 Overzicht
52 Apple ID
53 Zoek mijn iPhone en Activeringsslot
54 Continuïteit
55 iCloud
55 iCloud Drive
56 iCloud-sleutelhanger
56 iMessage
57 FaceTime
57 Siri
57 Apple ID for Students
57 Apple Push Notication Service (APNs)
59 Hoofdstuk 6: Beveiliging
59 Overzicht
59 Beveiliging van apparaten en gegevens
59 Overzicht
59 Beleidsregels voor toegangscodes
60 Afdwingen van beleid
60 Beveiligde apparaatconguratie
61 Gegevensbeveiliging
61 Codering
61 S/MIME per bericht
62 Externe e-mailadressen
62 Touch ID
63 Wissen op afstand
63 Lokaal wissen
63 Netwerkbeveiliging
64 Beveiliging van apps
66 Hoofdstuk 7: Conguratie en beheer
66 Overzicht
66 Conguratie-assistent en activering
67 Conguratieproelen
68 MDM (Mobile Device Management)
68 Overzicht
69 Inschrijving
69 Conguratie
70 Accounts
70 Informatieverzoeken
71 Beheertaken
71 Beheerde apps
Inhoudsopgave 5
73 Beheerde boeken
73 Beheerde domeinen
74 Proelbeheer
74 Apparaten onder supervisie stellen
75 Device Enrollment Program
76 Apple Congurator
77 Hoofdstuk 8: Distributie van apps en boeken
77 Overzicht
77 Volume Purchase Program (VPP)
77 Overzicht
78 Inschrijven voor het Volume Purchase Program
78 Grote aantallen apps en boeken kopen
78 Beheerde distributie
79 Maatwerk-B2B-apps
79 Interne apps
81 Interne boeken
81 Apps en boeken implementeren
81 Overzicht
81 Apps en boeken installeren via de MDM-oplossing
82 Apps installeren met Apple Congurator
82 Caching Server
84 Hoofdstuk 9: Ondersteuningsbehoeften
84 Overzicht
84 AppleCare Help Desk Support
84 AppleCare OS Support
85 AppleCare voor bedrijven
85 AppleCare voor gebruikers van iOS-apparaten
85 iOS Direct Service Program
85 AppleCare Protection Plan voor Mac of Apple beeldscherm
86 Hoofdstuk 10: Bijlagen
86 Beperkingen
86 Overzicht
86 Instellingen voor het Device Enrollment Program
87 Apparaatfunctionaliteit
89 Instellingen onder supervisie
90 Beveiligings- en privacy-instellingen
92 Gebruik van apps
93 iCloud-instellingen
93 Beperkingen voor gebruikers en gebruikersgroepen in Proelbeheer
94 Draadloos interne apps installeren
1
6
Inleiding
Deze implementatiehandleiding is bedoeld voor IT-beheerders die iOS-apparaten in hun netwerk
willen ondersteunen. De handleiding bevat informatie over de implementatie en ondersteuning
van iPads, iPhones en iPods touch in grote bedrijven en bij onderwijsinstellingen. De volgende
onderwerpen komen aan bod:
Integratie met bestaande infrastructuur
Uitgebreide beveiliging
Implementatiehulpmiddelen
Methoden voor de distributie van apps en boeken onder medewerkers, studenten of
leerlingen
Opmerking:Hoewel deze handleiding voornamelijk is gericht op de implementatie van
iOS-apparaten, zijn sommige gedeelten ook van toepassing op Mac-desktops en draagbare
Mac-computers. In die gevallen wordt de term Apple apparaten gebruikt, die niet alleen verwijst
naar de iPhone, iPad en iPod touch, maar ook naar Mac-desktops en draagbare Mac-computers.
De implementatie van Apple TV komt aan bod in het gedeelte AirPlay van deze handleiding.
Deze handleiding is onderverdeeld in de volgende gedeelten:
Implementatiemodellen
Er zijn verschillende manieren om iOS-apparaten te implementeren in uw organisatie. Ongeacht
het implementatiemodel dat u kiest, is het verstandig om de stappen door te nemen die u
moet uitvoeren om de implementatie zo soepel mogelijk te laten verlopen. Hoewel in deze
handleiding alle aspecten van een implementatie van iOS-apparaten aan bod komen, kunnen
bedrijven en onderwijsinstellingen de feitelijke implementatie op hun eigen manier uitvoeren.
Wi-Fi congureren
Apple apparaten kunnen zonder aanpassingen op een veilige manier verbinding maken
met Wi-Fi-netwerken van het bedrijf of van andere organisaties die hun netwerk hebben
opengesteld. Hierdoor hebben gebruikers snel en eenvoudig toegang tot beschikbare draadloze
netwerken, ook als ze onderweg zijn. In dit hoofdstuk komen standaard-Wi-Fi-protocollen voor
gegevensoverdracht en codering aan bod.
Infrastructuur en integratie
iOS-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid
aan netwerkinfrastructuren. In dit gedeelte leest u meer over de door iOS ondersteunde
technologieën en beproefde methoden voor de integratie met Microsoft Exchange, VPN en
andere standaardvoorzieningen.
iOS-implementatiehandleiding
Hoofdstuk 1 iOS-implementatiehandleiding 7
Internetvoorzieningen
Apple heeft een aantal voorzieningen ontwikkeld die gebruikers helpen om het maximale uit
hun Apple apparaten te halen. Dit zijn onder meer iMessage, FaceTime, Continuïteit, iCloud
en iCloud-sleutelhanger. Om deze voorzieningen te gebruiken, moet een Apple ID worden
gecongureerd en beheerd.
Veiligheidsoverwegingen
iOS is ontworpen voor het bieden van veilige toegang tot zakelijke voorzieningen en het
beschermen van belangrijke gegevens. iOS ondersteunt krachtige codering van gegevens
tijdens de overdracht, bewezen identiteitscontroles voor toegang tot zakelijke voorzieningen
en hardwarematige codering van alle gegevens die worden bewaard op iOS-apparaten. In dit
gedeelte vindt u een overzicht van de beveiligingsvoorzieningen van iOS.
Conguratie en beheer
Apple apparaten bieden ondersteuning voor geavanceerde tools en technologieën die ervoor
zorgen dat apparaten eenvoudig zijn in te stellen, kunnen worden gecongureerd volgens uw
eisen en moeiteloos in een grootschalige omgeving kunnen worden beheerd. In dit gedeelte
vindt u een beschrijving van de verschillende implementatietools, inclusief een overzicht van
mobiel-apparaatbeheer (MDM, Mobile Device Management) en het Device Enrollment Program.
Distributie van apps en boeken
Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie kunt
implementeren. Met de programma's van Apple, zoals het Volume Purchase Program en het
iOS Developer Enterprise Program, kan uw organisatie apps en boeken voor gebruikers kopen,
ontwikkelen en implementeren. In dit gedeelte vindt u gedetailleerde informatie over deze
programma's en de manier waarop apps en boeken voor intern gebruik kunnen worden gekocht
of gebouwd.
Ondersteuningsbehoeften
Apple levert diverse programma's en ondersteuningsopties voor gebruikers van Apple apparaten.
Het is daarom een goed idee om eerst te kijken wat er allemaal beschikbaar is voor uw organisatie
en om te bedenken welke ondersteuning u nodig zult hebben.
De volgende bijlagen bevatten technische gegevens en vereisten:
MDM-beperkingen
Een beschrijving van de beperkingen die u voor iOS-apparaten kunt opgeven, zodat deze
voldoen aan uw vereisten op het gebied van beveiliging, toegangscodes en andere punten.
Draadloos interne apps installeren
Een beschrijving van de manier waarop u interne apps kunt distribueren via uw eigen webportaal.
Aanvullende informatiebronnen
www.apple.com/nl/education/it
www.apple.com/ipad/business/it
www.apple.com/iphone/business/it
Opmerking:Voor een webversie van deze handleiding gaat u naar
https://help.apple.com/deployment/ios.
Opmerking:Als de iBooks Store niet beschikbaar is in uw land of regio, kunt u deze bronnen in
de ePub-structuur downloaden. Zoek op iOS-implementatiehandleiding.
2
8
Overzicht
Er zijn verschillende manieren om iOS-apparaten te distribueren en te congureren, variërend
van conguratie vooraf tot conguratie door medewerkers of studenten zelf. Neem de opties
door voordat u aan de slag gaat. De hulpmiddelen en de procedure die u voor de implementatie
gebruikt, zijn ook afhankelijk van het specieke implementatiemodel.
Voor het onderwijs zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten: een
een-op-een-implementatiemodel met de instelling als eigenaar, een implementatiemodel met
de student als eigenaar en een implementatiemodel voor gedeeld gebruik. Hoewel de meeste
instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw
instelling meerdere modellen aantreft.
In bedrijfsomgevingen kunt u kiezen uit verschillende opties om iOS-apparaten te
implementeren in uw organisatie. Ongeacht of u iOS-apparaten van het bedrijf gaat
implementeren, iOS-apparaten door medewerkers laat delen of een BYOD-beleid (Bring Your
Own Device) gaat instellen, is het verstandig om de stappen in kaart te brengen die u moet
nemen om de implementatie zo goed mogelijk te laten verlopen.
Als de implementatiemodellen zijn vastgesteld, kan uw team de implementatie- en
beheervoorzieningen van Apple in detail gaan bestuderen. Deze hulpmiddelen en programma's
worden uitvoerig besproken in dit onderwerp en het is raadzaam deze informatie te bespreken
met de belangrijkste belanghebbenden binnen uw organisatie.
Implementatiemodellen voor het onderwijs
Overzicht
Met de iPad komen heel veel handige tools beschikbaar in het klaslokaal. Het kiezen van de
juiste strategieën en tools kan docenten, studenten en andere gebruikers een totaal andere
onderwijservaring geven.
Er zijn heel veel mogelijkheden om iOS-apparaten en materiaal op een eenvoudige manier te
implementeren en te beheren. Het maakt hierbij niet uit of de instelling iOS-apparaten voor één
klas of voor alle klassen implementeert.
Implementatiemodellen
Voor onderwijsinstellingen zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten:
Een-op-een-implementatiemodel met de instelling als eigenaar
Implementatiemodel met de student als eigenaar
Implementatiemodel voor gedeeld gebruik
Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u
binnen uw instelling meerdere modellen aantreft.
Implementatiemodellen
Hoofdstuk 2 Implementatiemodellen 9
Hieronder ziet u enkele voorbeelden van hoe deze modellen in een onderwijsinstelling worden
toegepast:
Een school voor voortgezet onderwijs kan kiezen voor en-op-een-implementatie met de
instelling als eigenaar en dit model implementeren voor alle klassen.
Een grote scholengemeenschap kan eerst op één school een proef doen met een een-op-een-
implementatie met de instelling als eigenaar en vervolgens hetzelfde model uitrollen op alle
scholen die deel uitmaken van de gemeenschap.
Een basisschool kan kiezen voor een combinatie van een een-op-een-implementatiemodel
met de instelling als eigenaar voor de bovenbouw en een implementatiemodel voor gedeeld
gebruik voor de onderbouw.
Op hogescholen en universiteiten wordt meestal het implementatiemodel met de student als
eigenaar gebruikt op het niveau van een of meer campussen.
Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor
uw omgeving het geschiktste is.
Een-op-een-implementatiemodel met de instelling als eigenaar
Een een-op-een-implementatiemodel met de instelling als eigenaar biedt de beste mogelijkheden
om door middel van iOS-apparaten het leerproces te verbeteren.
Bij een een-op-een-implementatie met de instelling als eigenaar koopt de instelling doorgaans
de iOS-apparaten voor alle daarvoor in aanmerking komende leerlingen en docenten.
Hierbij kan het gaan om een bepaalde groep of klas, maar ook om een afdeling, een hele
scholengemeenschap, een bepaalde faculteit of een complete universiteit.
In dit model wordt aan iedere gebruiker een iOS-apparaat toegewezen dat door de instelling
wordt gecongureerd en beheerd. Dit proces kan worden vereenvoudigd en geautomatiseerd
via een MDM-oplossing (Mobile Device Management). Dit is een oplossing die speciaal is
bedoeld voor het beheren van mobiele apparaten. Als de iOS-apparaten rechtstreeks bij Apple
of een deelnemende erkende Apple reseller of aanbieder worden gekocht, kan uw instelling de
inschrijving bij de MDM-oplossing laten automatiseren via het Device Enrollment Program (DEP).
De iOS-apparaten kunnen in dat geval direct aan de gebruikers worden overhandigd.
Hoofdstuk 2 Implementatiemodellen 10
Nadat de iOS-apparaten zijn gedistribueerd, doorlopen gebruikers een gedeeltelijk
geautomatiseerde, gestroomlijnde conguratieprocedure, worden ze automatisch ingeschreven
bij de MDM-oplossing en kunnen ze hun iOS-apparaat verder aanpassen of hun eigen materiaal
downloaden. Gebruikers kunnen ook een uitnodiging krijgen om speciek onderwijsmateriaal
te downloaden, zoals apps en boeken die zijn gekocht via het Volume Purchase Program (VPP),
of cursussen van iTunes U. Als leerlingen jonger zijn dan 13 jaar, kan uw instelling een Apple ID
voor hen aanmaken via het programma Apple ID for Students, zodat ze apps en boeken kunnen
ontvangen. Uw instelling kan deze informatiebronnen op elk moment gedurende het schooljaar
draadloos aanbieden of bijwerken. Met behulp van Caching Server kan het merendeel van deze
downloads afkomstig zijn van het lokale netwerk van de instelling. Als iOS-apparaten onder
supervisie staan, worden apps automatisch geïnstalleerd.
Hoofdstuk 2 Implementatiemodellen 11
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker in een
een-op-een-implementatie met apparaten die eigendom zijn van de instelling:
Voorbereiden
Beheerder:
Een MDM-oplossing zoeken, kopen
en implementeren.
Inschrijven bij DEP, het VPP en het programma
Apple ID for Students.
Uitpakken en (optioneel) het iOS-apparaat van een
tag voorzien.
Apple ID's aanmaken voor leerlingen jonger dan 13
(indien van toepassing).
Gebruikers:
Apple ID's en accounts voor de iTunes Store en
iCloud aanmaken.
Instellen en congureren
Beheerder:
iOS-apparaten toewijzen in DEP met het oog op
supervisie en een gestroomlijnde inschrijving bij de
MDM-oplossing.
Apple Congurator in plaats van DEP en MDM
gebruiken voor de conguratie en supervisie van
de iOS-apparaten.
Accounts, instellingen en beperkingen draadloos
congureren en installeren met de MDM-oplossing.
Gebruikers:
Aan de gebruiker wordt een
iOS-apparaat uitgereikt.
Referenties van de instelling in de conguratie-
assistent invoeren voor DEP (optioneel).
Het iOS-apparaat personaliseren met de
conguratie-assistent en een persoonlijke
Apple ID invoeren.
De instellingen en conguraties van de iOS-apparaten
worden automatisch ontvangen van de
MDM-oplossing.
Apparaten en materiaal distribueren
Beheerder:
Apps en boeken kopen via het VPP en toewijzen
aan gebruikers via de MDM-oplossing.
Uitnodiging voor het VPP versturen naar gebruikers.
Caching Server installeren om het aanbieden van
materiaal via het lokale netwerk te versnellen.
Gebruikers:
Uitnodiging voor het VPP accepteren.
Apps en boeken downloaden en installeren die
door de instelling worden toegewezen.
Als het iOS-apparaat onder supervisie staat, kunnen
apps op de achtergrond naar het apparaat van de
gebruiker worden gepusht.
Doorlopend beheer
Beheerder:
Met de MDM-oplossing apps intrekken en
toewijzen aan andere gebruikers (indien nodig).
Een beheerder kan met behulp van een MDM-
oplossing gegevens van beheerde iOS-apparaten
opvragen om te controleren of de ingestelde
beleidsregels worden nageleefd, of een
waarschuwing laten versturen als gebruikers
niet-goedgekeurde apps of inhoud toevoegen.
Daarnaast kan een MDM-oplossing worden
gebruikt om iOS-apparaten te vergrendelen,
beheerde accounts of gegevens op afstand te
verwijderen of een iOS-apparaat volledig te wissen.
Apple TV implementeren voor ondersteuning
van AirPlay.
Gebruikers:
Een reservekopie van het iOS-apparaat maken
in iTunes of iCloud, om documenten en ander
persoonlijk materiaal te bewaren.
Bij verlies of diefstal van het iOS-apparaat
kan de gebruiker het apparaat met Zoek mijn
iPhone terugvinden.
Hoofdstuk 2 Implementatiemodellen 12
Aanvullende informatiebronnen
VPP - Overzicht
MDM - Overzicht
Device Enrollment Program
Apple ID for Students
Apple ID
Caching Server
AirPlay
Apple Congurator
Implementatiemodel met de student als eigenaar
In het voortgezet en universitair onderwijs nemen studenten meestal hun eigen iOS-apparaat
mee. Ook op sommige basisscholen nemen leerlingen hun eigen iOS-apparaat mee naar school.
In dit model worden iOS-apparaten ingesteld en gecongureerd door de student of een ouder.
Om voorzieningen van de instelling te kunnen gebruiken, zoals Wi-Fi, e-mail en agenda's, of om
het iOS-apparaat te congureren voor specieke doeleinden, worden de eigen apparaten van de
studenten meestal ingeschreven bij een MDM-oplossing van de instelling. In onderwijsomgevingen
kan een MDM-oplossing worden ingezet om de eigen iOS-apparaten van de leerlingen of
studenten te beheren. Toegang tot de voorzieningen van een instelling is voor gebruikers een
stimulans om hun iOS-apparaten in te schrijven bij de MDM-oplossing van de organisatie.
Hierdoor wordt ervoor gezorgd dat alle conguratie-instellingen, beleidsregels, beperkingen,
apps en boeken en al het overige materiaal automatisch en op de achtergrond worden
geïmplementeerd, terwijl de instelling daar wel de controle over houdt. Inschrijving bij
een MDM-oplossing is niet verplicht. Dit betekent dat studenten de beheerfunctie kunnen
uitschakelen nadat ze een cursus hebben afgerond, zijn afgestudeerd of de instelling hebben
verlaten. Als ze de beheerfunctie uitschakelen, worden ook alle materialen en voorzieningen van
de instelling verwijderd.
Hoofdstuk 2 Implementatiemodellen 13
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker in een
implementatie met apparaten die eigendom zijn van de studenten:
Voorbereiden
Beheerder:
Een MDM-oplossing zoeken, kopen en
implementeren.
Inschrijven bij het VPP.
Gebruikers:
Het iOS-apparaat uitpakken en activeren.
Een Apple ID en accounts voor de iTunes Store en
iCloud aanmaken, indien van toepassing.
Instellen en congureren
Beheerder:
Geen actie nodig in deze fase.
Gebruikers:
iOS-apparaten via de selfservicevoorziening
inschrijven en accounts, instellingen en
beperkingen draadloos congureren via een
MDM-oplossing, op basis van het gebruikers-/
groepsbeleid dat door de instelling is gedenieerd.
De iOS-apparaten personaliseren met de
conguratie-assistent en (eventueel) een
persoonlijke Apple ID invoeren.
Inschrijven bij de MDM-oplossing.
Apps en boeken distribueren
Beheerder:
Apps en boeken kopen via het VPP en toewijzen
aan gebruikers via de MDM-oplossing.
Uitnodiging voor het VPP versturen naar gebruikers.
Caching Server installeren om het aanbieden van
materiaal via het lokale netwerk te versnellen.
Gebruikers:
Uitnodiging voor het VPP accepteren.
Apps en boeken downloaden en installeren die
door de instelling worden toegewezen.
iOS en apps op hun iOS-apparaat bijwerken.
Doorlopend beheer
Beheerder:
Met de MDM-oplossing apps intrekken en
toewijzen aan andere gebruikers (indien nodig).
Een beheerder kan met behulp van een MDM-
oplossing gegevens van beheerde iOS-apparaten
opvragen om te controleren of de ingestelde
beleidsregels worden nageleefd, of een
waarschuwing laten versturen als gebruikers
niet-goedgekeurde apps of inhoud toevoegen.
Daarnaast kan een MDM-oplossing worden
gebruikt om iOS-apparaten te vergrendelen,
beheerde accounts of gegevens op afstand te
verwijderen of een iOS-apparaat volledig te wissen.
Gebruikers:
Een reservekopie van het apparaat maken in iTunes
of iCloud, om documenten en ander persoonlijk
materiaal te bewaren.
Bij verlies of diefstal van het iOS-apparaat
kan de gebruiker het apparaat met Zoek mijn
iPhone terugvinden.
Wanneer de koppeling met de MDM-oplossing
wordt verwijderd, worden ook beheerde accounts
en gegevens verwijderd. De persoonlijke apps,
boeken, gegevens en inhoud van de gebruiker
blijven echter bewaard.
Opmerking:VPP-boeken worden permanent
toegewezen. Ze kunnen niet worden ingetrokken.
Aanvullende informatiebronnen
VPP - Overzicht
MDM - Overzicht
Apple ID
Caching Server
Hoofdstuk 2 Implementatiemodellen 14
Implementatiemodel voor gedeeld gebruik
In het implementatiemodel voor gedeeld gebruik worden iOS-apparaten gekocht voor gebruik
in een klaslokaal of practicumlokaal en kunnen de apparaten gedurende de schooldag door
verschillende leerlingen worden gebruikt. Deze apparaten worden in beperkte mate aangepast,
waardoor het niet mogelijk is om voor iedere leerling een gepersonaliseerde leeromgeving
aan te bieden. Deze aanpak is niet alleen geschikt voor een model voor gedeeld gebruik
door leerlingen, maar ook voor een een-op-een-implementatie in een sterk gecontroleerde
omgeving, zoals in de onderbouw van een basisschool. In dit geval is de personalisering van de
apparaten minimaal.
Implementaties voor gedeeld gebruik worden strenger beheerd dan gepersonaliseerde
implementaties, aangezien de conguratie en het beheer worden uitgevoerd door het personeel
van de instelling. Bij een implementatie voor gedeeld gebruik is de instelling verantwoordelijk
voor het installeren van apps, boeken en ander materiaal dat nodig is voor de leerervaring.
Hoofdstuk 2 Implementatiemodellen 15
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een
implementatie voor gedeeld gebruik:
Voorbereiden
Beheerder:
Een MDM-oplossing zoeken, kopen
en implementeren.
Inschrijven bij het VPP.
Uitpakken en (optioneel) het iOS-apparaat van een
tag voorzien.
Een of meer Apple ID's voor de instelling aanmaken
voor elk exemplaar van Apple Congurator.
Gebruikers:
Geen actie nodig in deze fase.
Instellen en congureren
Beheerder:
Apple Congurator gebruiken voor de conguratie
en supervisie van apparaten.
Apple Congurator gebruiken om apparaten in te
schrijven bij de MDM-oplossing (optioneel).
Apple Congurator of de MDM-oplossing
gebruiken om accounts, instellingen en
beperkingen te installeren.
Gebruikers:
Geen actie nodig in deze fase.
Apps distribueren
Beheerder:
Apps kopen via het VPP en vervolgens
implementeren met behulp van inwisselcodes voor
installatie en beheer met Apple Congurator.
Gebruikers:
Geen actie nodig in deze fase.
Doorlopend beheer
Beheerder:
iOS op het apparaat bijwerken met Apple Congurator.
Accounts, instellingen en beperkingen draadloos
bijwerken, congureren en installeren met
Apple Congurator of via de MDM-oplossing.
Periodiek de standaardconguratie van apparaten
herstellen met Apple Congurator.
Apps op het iOS-apparaat installeren en bijwerken
met Apple Congurator.
Met behulp van een MDM-oplossing kunt u
gegevens van beheerde iOS-apparaten opvragen
om te controleren of de ingestelde beleidsregels
worden nageleefd, of een waarschuwing laten
versturen als gebruikers niet-goedgekeurde apps of
inhoud toevoegen.
Daarnaast kan een MDM-oplossing worden
gebruikt om iOS-apparaten te vergrendelen,
beheerde accounts of gegevens op afstand te
verwijderen of een iOS-apparaat volledig te wissen.
Het is essentieel om regelmatig een reservekopie
te maken van de Mac waarop Apple Congurator
wordt uitgevoerd, aangezien de aankopen via het
VPP lokaal worden beheerd.
Gebruikers:
Geen actie nodig in deze fase.
Hoofdstuk 2 Implementatiemodellen 16
Aanvullende informatiebronnen
VPP - Overzicht
MDM - Overzicht
Apple ID
Apple Congurator
Implementatiemodellen voor bedrijven
Overzicht
iOS-apparaten kunnen een radicale hervorming in uw bedrijf teweegbrengen. De productiviteit
kan aanzienlijk toenemen, terwijl uw medewerkers de vrijheid en exibiliteit krijgen om zowel op
kantoor als onderweg anders te gaan werken.
Als u voor deze nieuwe manier van werken kiest, levert dat voor de gehele organisatie voordelen
op. Zo hebben gebruikers een betere toegang tot informatie, waardoor ze met een goede
onderbouwing tot creatieve oplossingen van problemen kunnen komen. Ondersteuning van iOS
door de IT-afdelingen betekent dat ze vorm geven aan de bedrijfsstrategie en echte problemen
oplossen, in plaats van technologieproblemen op te lossen en kosten te besparen. Uiteindelijk
zijn de voordelen overal zichtbaar: medewerkers die zeer productief zijn en overal nieuwe
zakelijke kansen.
Ongeacht of het om een grote of kleine organisatie gaat, zijn er verschillende eenvoudige
manieren om iOS-apparaten en materiaal eenvoudig te implementeren en te beheren.
Het is belangrijk dat u eerst vaststelt welk implementatiemodel het beste bij uw organisatie
past. Afhankelijk van het model dat u kiest, kan Apple verschillende implementatie- en
beheertools aanbieden.
Implementatiemodellen
Voor het bedrijfsleven zijn er drie veelgebruikte implementatiemodellen voor iOS-apparaten:
Gepersonaliseerd apparaat (BYOD)
Gepersonaliseerd apparaat (eigendom van bedrijf)
Niet-gepersonaliseerd (gedeeld) apparaat
Hoewel de meeste organisaties de voorkeur geven aan een bepaald model, bestaat de kans dat
u meerdere modellen aantreft binnen uw organisatie.
Zo kan een detailhandelsorganisatie kiezen voor de strategie Gepersonaliseerd apparaat
(BYOD) door medewerkers toe te staan hun eigen iPad te congureren, terwijl gegevens en
programma's van het bedrijf gescheiden blijven van de persoonlijke gegevens en apps van de
gebruiker. In de winkels van de onderneming kan echter ook de strategie Niet-gepersonaliseerd
(gedeeld) apparaat worden toegepast, zodat iPods touch worden gedeeld door verschillende
medewerkers om transacties voor klanten te verwerken.
Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor
uw omgeving het geschiktste is.
Hoofdstuk 2 Implementatiemodellen 17
Gepersonaliseerd apparaat (BYOD)
Bij een BYOD-implementatie (Bring Your Own Device) congureren gebruikers hun eigen
iOS-apparaten met hun eigen Apple ID. Gebruikers kunnen op verschillende manieren toegang
krijgen tot de informatiebronnen van het bedrijf. Zo kunnen ze instellingen handmatig
congureren, een conguratieproel installeren of het iOS-apparaat inschrijven bij de
MDM-oplossing van de organisatie. Deze laatste variant wordt het meest toegepast.
Een voordeel van het inschrijven van persoonlijke iOS-apparaten bij een MDM-oplossing is
dat de informatie van het bedrijf gescheiden blijft van de persoonlijke gegevens en apps van
de gebruiker. U kunt instellingen afdwingen, controleren of het beleid van het bedrijf wordt
nageleefd en zakelijke gegevens en apps verwijderen, en tegelijkertijd persoonlijke gegevens
en apps op het iOS-apparaat laten staan.
Hoofdstuk 2 Implementatiemodellen 18
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een
implementatie met gepersonaliseerde (eigen) apparaten:
Voorbereiden
Beheerder:
De bestaande infrastructuur evalueren, inclusief
Wi-Fi, VPN en servers voor e-mail en agenda's.
Een MDM-oplossing zoeken, kopen
en implementeren.
Inschrijven bij het VPP.
Gebruikers:
Het iOS-apparaat uitpakken en activeren.
Een Apple ID en accounts voor de iTunes Store en
iCloud aanmaken, indien van toepassing.
Instellen en congureren
Beheerder:
Organisaties kunnen ervoor kiezen om aan
gebruikers instellingen voor persoonlijke accounts
te verstrekken en om beleidsregels via Exchange
te versturen of met een conguratieproel
te installeren.
Gebruikers:
iOS-apparaten via de selfservicevoorziening
inschrijven en accounts, instellingen en
beperkingen draadloos congureren via een
MDM-oplossing, op basis van het gebruikers-/
groepsbeleid dat door de organisatie
is gedenieerd.
De instellingen en conguraties van de iOS-apparaten
worden automatisch ontvangen van de
MDM-oplossing.
Een alternatief is dat gebruikers handmatig
conguratieproelen installeren of de door u
opgegeven instellingen congureren.
Apps en boeken distribueren
Beheerder:
Apps en boeken kopen via het VPP en toewijzen
aan gebruikers via de MDM-oplossing.
Uitnodiging voor het VPP versturen naar gebruikers.
Interne apps uit het iOS Developer Enterprise
Program (iDEP) en interne boeken kunt u
distribueren door ze op een webserver te hosten of
via de MDM-oplossing aan te leveren.
Caching Server installeren om het aanbieden van
materiaal via het lokale netwerk te versnellen.
Gebruikers:
Uitnodiging voor het VPP accepteren.
Apps en boeken downloaden en installeren die
door de organisatie worden toegewezen.
Doorlopend beheer
Beheerder:
Met de MDM-oplossing apps intrekken en
toewijzen aan andere gebruikers (indien nodig).
Met behulp van een MDM-oplossing kunt u
gegevens van beheerde iOS-apparaten opvragen
om te controleren of de ingestelde beleidsregels
worden nageleefd, of een waarschuwing laten
versturen als gebruikers niet-goedgekeurde apps of
inhoud toevoegen.
Daarnaast kan een MDM-oplossing worden
gebruikt om iOS-apparaten te vergrendelen,
beheerde accounts of gegevens op afstand te
verwijderen of een iOS-apparaat volledig te wissen.
Gebruikers:
Een reservekopie van het iOS-apparaat maken
in iTunes of iCloud, om documenten en ander
persoonlijk materiaal te bewaren.
Bij verlies of diefstal van het apparaat kan
de gebruiker het apparaat met Zoek mijn
iPhone terugvinden.
Wanneer de koppeling met de MDM-oplossing
wordt verwijderd, worden ook beheerde accounts
en gegevens verwijderd. De persoonlijke apps,
boeken, gegevens en inhoud van de gebruiker
blijven echter bewaard.
Hoofdstuk 2 Implementatiemodellen 19
Aanvullende informatiebronnen
VPP - Overzicht
MDM - Overzicht
Apple ID
Caching Server
Gepersonaliseerd apparaat (eigendom van bedrijf)
Kies het model Gepersonaliseerd apparaat (eigendom van bedrijf) als u iOS-apparaten
wilt implementeren die het eigendom zijn van uw organisatie. U kunt de iOS-apparaten
desgewenst congureren met basisinstellingen voordat u ze aan de gebruikers geeft.
Een andere mogelijkheid is om (net als bij de variant met eigen apparaten) instructies of
conguratieproelen te verstrekken, zodat gebruikers de conguratie zelf kunnen uitvoeren.
Een derde mogelijkheid is dat de gebruikers hun iOS-apparaten inschrijven bij een MDM-
oplossing, waarna instellingen en apps draadloos naar het apparaat worden overgebracht.
Gebruikers kunnen hun iOS-apparaat vervolgens personaliseren met hun eigen apps en
gegevens, die gescheiden worden opgeslagen van de beheerde apps en gegevens van uw
organisatie. Als de iOS-apparaten rechtstreeks bij Apple of een deelnemende erkende Apple
reseller of aanbieder worden gekocht, kan uw organisatie de inschrijving bij de MDM-oplossing
laten automatiseren via het Device Enrollment Program (DEP). De iOS-apparaten kunnen in dat
geval direct aan de gebruikers worden overhandigd of naar het woonadres van de gebruikers
worden verstuurd. Vervolgens kunnen ze op afstand worden geactiveerd.
Hoofdstuk 2 Implementatiemodellen 20
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een
implementatie met gepersonaliseerde apparaten die het eigendom zijn van het bedrijf:
Voorbereiden
Beheerder:
De bestaande infrastructuur evalueren, inclusief
Wi-Fi, VPN en servers voor e-mail en agenda's.
Een MDM-oplossing zoeken, kopen
en implementeren.
Inschrijven bij het Device Enrollment Program (DEP)
en het Volume Purchase Program (VPP).
Gebruikers:
Een Apple ID en accounts voor de iTunes Store en
iCloud aanmaken, indien van toepassing.
Instellen en congureren
Beheerder:
Via de website van het Device Enrollment
Program uw virtuele servers koppelen aan de
MDM-oplossing.
De inschrijving via het Device Enrollment Program
stroomlijnen door iOS-apparaten op ordernummer
of serienummer toe te wijzen aan virtuele
MDM-servers.
iOS-apparaten toewijzen in DEP met het oog op
supervisie en een gestroomlijnde inschrijving bij de
MDM-oplossing.
Het iOS-apparaat congureren en beheren met
Apple Congurator (alternatief voor hierboven).
Accounts, instellingen en beperkingen draadloos
congureren met de MDM-oplossing of via een
USB-verbinding en Apple Congurator.
Gebruikers:
De gebruiker krijgt een iOS-apparaat ter
beschikking. Als het apparaat is gecongureerd
met Apple Congurator, hoeft de gebruiker geen
instellingen meer op te geven.
Organisatiereferenties invoeren in de conguratie-
assistent voor DEP (optioneel).
Het iOS-apparaat personaliseren met de
conguratie-assistent en een persoonlijke
Apple ID invoeren.
Inschrijven bij de MDM-oplossing.
De instellingen en conguraties van de iOS-apparaten
worden automatisch ontvangen van de
MDM-oplossing.
Apps en boeken distribueren
Beheerder:
Uw token downloaden uit de VPP Store en
koppelen aan de MDM-oplossing.
Apps en boeken kopen via het VPP en toewijzen
aan gebruikers via de MDM-oplossing.
Uitnodiging voor het VPP versturen naar gebruikers.
Interne apps uit het iOS Developer Enterprise
Program (iDEP) en interne boeken kunt u
distribueren door ze op een webserver te hosten of
via de MDM-oplossing aan te leveren.
Caching Server installeren om het aanbieden van
materiaal via het lokale netwerk te versnellen.
Gebruikers:
Uitnodiging voor het VPP accepteren.
Apps en boeken downloaden en installeren die
door de organisatie worden toegewezen.
Als het iOS-apparaat onder supervisie staat, kunnen
apps op de achtergrond naar het apparaat van de
gebruiker worden gepusht.
Hoofdstuk 2 Implementatiemodellen 21
Doorlopend beheer
Beheerder:
Met de MDM-oplossing apps intrekken en
toewijzen aan andere gebruikers (indien nodig).
Met behulp van een MDM-oplossing kunt u
gegevens van beheerde iOS-apparaten opvragen
om te controleren of de ingestelde beleidsregels
worden nageleefd, of een waarschuwing laten
versturen als gebruikers niet-goedgekeurde apps of
inhoud toevoegen.
Daarnaast kan een MDM-oplossing worden
gebruikt om iOS-apparaten te vergrendelen,
beheerde accounts of gegevens op afstand te
verwijderen of een iOS-apparaat volledig te wissen.
Gebruikers:
Een reservekopie van het iOS-apparaat maken
in iTunes of iCloud, om documenten en ander
persoonlijk materiaal te bewaren.
Bij verlies of diefstal van het apparaat kan
de gebruiker het apparaat met Zoek mijn
iPhone terugvinden.
Aanvullende informatiebronnen
VPP - Overzicht
MDM - Overzicht
Device Enrollment Program
Apple ID
Caching Server
Apple Congurator
Niet-gepersonaliseerd (gedeeld) apparaat
Als iOS-apparaten door verschillende mensen worden gedeeld of voor één speciek doel
worden gebruikt (zoals in een restaurant of hotel), worden deze apparaten meestal door u
gecongureerd en beheerd en niet door een individuele gebruiker. Bij een implementatie met
niet-gepersonaliseerde, gedeelde apparaten bewaren gebruikers meestal geen persoonlijke
gegevens en kunnen ze geen apps installeren.
Niet-gepersonaliseerde apparaten worden meestal beheerd met Apple Congurator en worden
ingeschreven bij een MDM-oplossing. Op deze manier kan het materiaal op het apparaat worden
vernieuwd of hersteld als een gebruiker wijzigingen heeft aangebracht.
Hoofdstuk 2 Implementatiemodellen 22
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een
implementatie met niet-gepersonaliseerde (gedeelde) apparaten:
Voorbereiden
Beheerder:
De bestaande infrastructuur evalueren, inclusief
Wi-Fi, VPN en servers voor e-mail en agenda's.
Een MDM-oplossing zoeken, kopen
en implementeren.
Inschrijven bij het Volume Purchase Program (VPP).
Gebruikers:
Geen actie nodig in deze fase.
Instellen en congureren
Beheerder:
Uitpakken en (optioneel) het iOS-apparaat van een
tag voorzien.
Apple Congurator gebruiken voor de conguratie
en supervisie van apparaten.
Apple Congurator gebruiken om apparaten in te
schrijven bij de MDM-oplossing (optioneel).
Apple Congurator of de MDM-oplossing
gebruiken om accounts, instellingen en
beperkingen te installeren.
Gebruikers:
Geen actie nodig in deze fase.
Apps distribueren
Beheerder:
Apps kopen via het VPP en de apps implementeren
met Apple Congurator.
Interne apps met Apple Congurator distribueren
vanuit het iOS Developer Enterprise Program (iDEP).
Interne boeken distribueren door deze te hosten
op een webserver of via de MDM-oplossing.
Gebruikers:
Geen actie nodig in deze fase.
Doorlopend beheer
Beheerder:
iOS op het apparaat bijwerken met Apple Congurator.
Accounts, instellingen en beperkingen draadloos
bijwerken, congureren en installeren met
Apple Congurator of via de MDM-oplossing.
Periodiek de standaardconguratie van apparaten
herstellen met Apple Congurator.
Apps op het apparaat installeren en bijwerken met
Apple Congurator.
Met behulp van een MDM-oplossing kunt u
gegevens van beheerde iOS-apparaten opvragen
om te controleren of de ingestelde beleidsregels
worden nageleefd, of een waarschuwing laten
versturen als gebruikers niet-goedgekeurde apps of
inhoud toevoegen.
Daarnaast kan een MDM-oplossing worden
gebruikt om iOS-apparaten te vergrendelen,
beheerde accounts of gegevens op afstand te
verwijderen of een iOS-apparaat volledig te wissen.
Gebruikers:
Geen actie nodig in deze fase.
Hoofdstuk 2 Implementatiemodellen 23
Aanvullende informatiebronnen
VPP - Overzicht
MDM - Overzicht
Apple ID
Apple Congurator
3
24
Overzicht
Bij het voorbereiden van de Wi-Fi-infrastructuur voor een implementatie van Apple apparaten
moet u rekening houden met verschillende factoren:
Wi-Fi-doorvoersnelheid
Wi-Fi-triggerdrempel
Benodigd bereik
Aantal en dichtheid van apparaten die het Wi-Fi-netwerk gebruiken
Typen Apple apparaten en de Wi-Fi-mogelijkheden ervan
Typen en hoeveelheid gegevens die worden verzonden
Beveiligingsvereisten voor toegang tot het draadloze netwerk
Vereisten voor versleuteling
Hoewel deze lijst niet volledig is, zijn dit enkele van de meest relevante factoren waarmee u bij
het ontwerpen van een Wi-Fi-netwerk rekening moet houden.
Opmerking:In dit gedeelte wordt het ontwerp van een Wi-Fi-netwerk voor Noord-Amerika
besproken. In andere landen kan een ander ontwerp nodig zijn.
Wi-Fi-doorvoersnelheid
Als u iOS-apparaten wilt implementeren in uw organisatie, is het belangrijk dat uw Wi-Fi-netwerk
en ondersteunende infrastructuur stabiel zijn en met de laatste software zijn bijgewerkt.
Een consistente en betrouwbare toegang tot een krachtig netwerk is essentieel voor het
instellen en congureren van iOS-apparaten. Daarnaast wordt het succes van de implementatie
voor een groot deel bepaald door de mogelijkheid om meerdere iOS-apparaten te ondersteunen
met gelijktijdige verbindingen van al uw medewerkers, studenten, leerlingen of docenten.
Belangrijk:De gebruikers en hun iOS-apparaten moeten toegang hebben tot uw draadloze
netwerk en internetvoorzieningen om het apparaat te congureren. Als blijkt dat apparaten geen
toegang kunnen krijgen tot de activeringsservers van Apple, iCloud of de iTunes Store, moet u
mogelijk uw webproxy of rewallpoorten zodanig congureren dat al het netwerkverkeer dat
van Apple apparaten afkomstig is, toegang heeft tot het netwerk van Apple (17.0.0.0/8). Zie het
Apple Support-artikel TCP and UDP ports used by Apple software products (Engelstalig) voor een
lijst met poorten die door Apple apparaten worden gebruikt.
Wi-Fi
Hoofdstuk 3 Wi-Fi 25
Aanmelden bij een Wi-Fi-netwerk
Gebruikers kunnen instellen dat Apple apparaten automatisch verbinding maken met
beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit apps
(zoals Mail) snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere gegevens
vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te openen. Doordat de
Wi-Fi-verbinding niet wordt verbroken en weinig batterijstroom vraagt, kunnen apps bovendien
via het Wi-Fi-netwerk pushberichten versturen. U kunt instellingen congureren voor het
draadloze netwerk, de beveiliging, een proxyserver en identiteitscontrole. Hiervoor gebruikt
u conguratieproelen of een MDM-oplossing (een oplossing voor het beheer van mobiele
apparaten).
Zie het Apple Support-artikel Hoe iOS het draadloze netwerk kiest waarmee automatisch
verbinding wordt gemaakt voor informatie over de manier waarop iOS bepaalt met welk
draadloos netwerk automatisch verbinding moet worden gemaakt.
WPA2-Enterprise
Apple apparaten ondersteunen standaardprotocollen voor draadloze netwerken, waaronder
WPA2-Enterprise, zodat draadloze bedrijfsnetwerken veilig kunnen worden benaderd. WPA2
Enterprise maakt gebruik van 128-bits-AES-codering, wat inhoudt dat de gegevens van
gebruikers veilig blijven.
Dankzij de ondersteuning voor 802.1x-identiteitscontrole kunnen iOS-apparaten in uiteenlopende
RADIUS-serveromgevingen worden geïntegreerd. iOS ondersteunt meerdere protocollen voor
draadloze 802.1x-identiteitscontrole, zoals EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, IKEv2, PEAPv0,
PEAPv1 en LEAP.ara.
Roaming
Voor roaming op grote Wi-Fi-bedrijfsnetwerken biedt iOS ondersteuning voor 802.11k en 802.11r.
De triggerdrempel is het minimale signaalniveau dat een client nodig heeft om de huidige
verbinding in stand te houden.
iOS-apparaten bewaken en handhaven de verbinding met de huidige BSSID totdat de RSSI de
drempel van -70 dBm overschrijdt. Zodra deze drempel wordt overschreden, wordt een scan
gestart om kandidaat-BSSID's voor de huidige ESSID te vinden.
Het is belangrijk om hier rekening mee te houden bij het ontwerpen van draadloze cellen en
de verwachte signaaloverlap hiertussen. Als 5-GHz cellen bijvoorbeeld zijn ontworpen met een
overlap van -67 dBm,
gebruikt iOS -70 dBm als trigger en blijft de verbinding met de huidige BSSID langer in stand
dan u zou verwachten.
Kijk hoe de celoverlap is gemeten. De antennes op een draagbare computer zijn veel groter en
krachtiger dan die op een smartphone of tablet, zodat iOS-apparaten andere celgrenzen zien
dan u misschien zou verwachten. U kunt altijd het best een meting doen met behulp van het
te gebruiken apparaat.
Met 802.11k kan uw iOS-apparaat snel detecteren of er in de buurt toegangspunten beschikbaar
zijn voor roaming. Als de signaalsterkte van het huidige toegangspunt zwakker wordt en
het apparaat moet roamen naar een ander toegangspunt, is al duidelijk met welk ander
toegangspunt het best verbinding kan worden gemaakt.
Hoofdstuk 3 Wi-Fi 26
802.11r stroomlijnt de identiteitscontrole met de functie 'Fast Basic Service Set Transition'
(FT) wanneer uw iOS-apparaat van het ene toegangspunt naar het andere toegangspunt
binnen hetzelfde netwerk roamt. Met FT kunnen iOS-apparaten sneller worden gekoppeld aan
toegangspunten. Afhankelijk van de leverancier van de Wi-Fi-hardware, kan FT zowel met een
vooraf gedeelde sleutel (PSK) als met een 802.1X-identiteitscontrole werken.
Opmerking:Niet iedere hardwareleverancier voor Wi-Fi-netwerken ondersteunt 802.11k en
802.11r. Raadpleeg de fabrikant van de Wi-Fi-hardware (controllers en toegangspunten) om na te
gaan of deze methoden worden ondersteund. Als beide standaarden worden ondersteund, moet
u 802.11k en FT inschakelen. Aangezien de conguratiemethoden verschillen, kunt u het best de
documentatie bij uw Wi-Fi-hardware raadplegen.
In de onderstaande tabel ziet u welke iOS-apparaten ondersteuning bieden voor 802.11k en
802.11r met iOS. Zelfs als een iOS-apparaat geen ondersteuning biedt voor 802.11r, biedt iOS 5.1
ondersteuning voor PKMID-caching (Pairwise Master Key Identier Caching). PKMID-caching
kan worden gebruikt in combinatie met bepaalde apparatuur van Cisco om de roaming tussen
toegangspunten te verbeteren. Mogelijk zijn er extra SSID's nodig om ondersteuning te bieden
voor zowel iOS-apparaten met FT-functionaliteit als iOS-apparaten met PMKID-caching.
iOS-apparaat Ondersteuning
802.11k/r
Ondersteunde
methoden vanaf iOS6
Ondersteunde
methoden vóór iOS6
iPad Air 2, iPad mini 3,
iPhone 6, iPhone 6 Plus,
iPhone 5s. iPhone 5c,
iPad Air, iPad mini met
Retina-display, iPad
(4e generatie), iPad mini,
iPhone 5, iPod touch
(5e generatie)
Ja FT, PMKID-caching Niet van toepassing
iPad (3e generatie),
iPhone 4s
Ja FT, PMKID-caching PMKID-caching
iPad (2e generatie en
eerder), iPhone 4 en
eerdere modellen,
iPod touch (4e generatie
en eerder)
Nee PMKID-caching PMKID-caching
Vóór de release van
iOS 5.1 was optimale
roaming tussen
toegangspunten niet
mogelijk in iOS.
SKC (Sticky Key Caching)
is een vorm van PMKID-
caching. SKC is niet
hetzelfde als en ook
niet compatibel met
OKC (Opportunistic Key
Caching).
Zie het Apple Support-artikel iOS 8: Wireless roaming reference for enterprise customers
(Engelstalig) voor naslaginformatie over draadloze roaming. Zie het Apple Support-artikel
iOS: Wi-Fi-netwerkroaming met 802.11k en 802.11r voor meer informatie over roaming met 802.11k
en 802.11r.
Hoofdstuk 3 Wi-Fi 27
Rekening houden met bereik en capaciteit
Hoewel het belangrijk is dat alle Apple apparaten binnen een bepaald gebied Wi-Fi-bereik
hebben, is het ook essentieel om rekening te houden met de dichtheid van de apparaten in een
bepaald gebied, zodat de benodigde capaciteit kan worden gewaarborgd.
De meeste moderne toegangspunten kunnen overweg met wel 50 Wi-Fi-clients of zelfs meer.
Als één 802.11n-toegangspunt ook daadwerkelijk door zoveel apparaten tegelijk wordt gebruikt,
is de kans groot echter dat het kwaliteitsniveau teleurstellend is. Het kwaliteitsniveau voor de
gebruiker is niet alleen afhankelijk van de beschikbare bandbreedte op het kanaal dat door
het apparaat wordt gebruikt, maar ook van het aantal apparaten dat van die bandbreedte
gebruikmaakt. Naarmate er meer apparaten hetzelfde kanaal gebruiken, neemt de relatieve
netwerksnelheid voor die apparaten af. Bij het ontwerp van het Wi-Fi-netwerk moet u daarom
rekening houden met het verwachte gebruikspatroon van de Apple apparaten.
Belangrijk:Maak als het kan geen gebruik van verborgen SSID's (Service Set Identiers),
aangezien Wi-Fi-apparaten actief moeten zoeken naar verborgen SSID's. Dit leidt tot
vertragingen wanneer de SSID opnieuw wordt verbonden met het netwerk, wat gevolgen
kan hebben voor de gegevensstroom en de communicatie. Het verbergen van de SSID heeft
ook geen voordelen voor de beveiliging van het netwerk. Gebruikers hebben de neiging om
regelmatig van locatie te veranderen en nemen hun Apple apparaten dan mee. Verborgen
SSID's veroorzaken daarom vaak vertraging bij de netwerkkoppeling en zorgen voor slechtere
prestaties tijdens roaming. Deze manier van werken kost bovendien meer voeding dan een
broadcast-SSID, wat gevolgen kan hebben voor de batterijduur van apparaten.
2,4 GHz versus 5 GHz
De Wi-Fi-netwerken op de 2,4-GHz band bieden elf kanalen in Noord-Amerika. Vanwege
mogelijke storing op kanalen wordt aangeraden om in het netwerkontwerp alleen de kanalen 1,
6 en 11 te gebruiken.
5-GHz signalen gaan minder goed door muren en andere obstakels heen dan 2,4-GHz signalen,
waardoor het dekkingsgebied kleiner is. Gebruik daarom 5-GHz netwerken als uw ontwerp
geschikt moet zijn voor een hoge dichtheid van apparaten in een afgesloten ruimte, zoals een
klaslokaal of een grote vergaderruimte. Het aantal kanalen dat op de 5-GHz band beschikbaar is,
verschilt per leverancier en per land, maar er zijn altijd minimaal acht kanalen beschikbaar.
5-GHz kanalen overlappen elkaar niet, wat een grote verbetering is ten opzichte van de drie
elkaar overlappende kanalen die beschikbaar zijn in de 2,4-GHz band. Als u een Wi-Fi-netwerk
ontwerpt voor een hoge dichtheid aan Apple apparaten, zijn de extra kanalen die 5 GHz biedt
zeker het overwegen waard.
Belangrijk:Het is essentieel dat het draadloze bereik binnen de werkomgeving overal ruim
voldoende is. Als er oudere apparaten worden gebruikt, moet in het ontwerp rekening worden
gehouden met beide Wi-Fi-banden, te weten 802.11b/g/n 2,4 GHz en 802.11a/n/ac 5 GHz.
Aandachtspunten voor het ontwerp
Er zijn drie punten waarmee u bij het ontwerpen van uw Wi-Fi-netwerken rekening moet houden.
Hoofdstuk 3 Wi-Fi 28
Uw ontwerp afstemmen op het bereik
De indeling van het gebouw kan van invloed zijn op het ontwerp van uw Wi-Fi-netwerk. In een
kleine organisatie kunnen gebruikers bijvoorbeeld met andere medewerkers bijeenkomen in
vergaderruimten of in kantoren. Het gevolg is dat gebruikers zich in de loop van de dag door
het gebouw verplaatsen. In dit scenario wordt er voornamelijk netwerktoegang gezocht voor
activiteiten die weinig bandbreedte verbruiken, zoals e-mailen, internetten en het bekijken van
agenda's. Het Wi-Fi-bereik heeft hier de hoogste prioriteit. Een Wi-Fi-netwerk kan bestaan uit een
klein aantal toegangspunten op elke verdieping om bereik te garanderen in de kantoren. Als er
ruimten zijn waar zich soms veel medewerkers bevinden, zoals een grote vergaderzaal, kunnen
daar extra toegangspunten worden aangebracht.
Uw ontwerp afstemmen op de capaciteit
Vergelijk het scenario hierboven eens met een school met 1000 leerlingen en 30 docenten in een
gebouw met twee verdiepingen. Iedere leerling krijgt een iPad in bruikleen en iedere docent
krijgt een MacBook Air en een iPad. Elke klas bestaat uit ongeveer 35 leerlingen en de klaslokalen
liggen naast elkaar. Tijdens een normale schooldag gaan de leerlingen het internet op om
dingen op te zoeken, bekijken ze instructievideo's, en kopiëren ze bestanden van en naar een
bestandsserver in het lokale netwerk (LAN).
Door de hogere dichtheid van mobiele apparaten is het ontwerp van het Wi-Fi-netwerk veel
complexer. Vanwege het grote aantal apparaten in elk klaslokaal is er misschien wel één
toegangspunt per klaslokaal nodig. Voor de gemeenschappelijke ruimten zullen waarschijnlijk
meer toegangspunten nodig zijn, zodat er voor iedereen voldoende dekking en capaciteit is. Het
aantal toegangspunten voor de gemeenschappelijke ruimten kan variëren, afhankelijk van de
dichtheid van de Wi-Fi-apparaten in die ruimten.
Kanaal
64
Kanaal
44
Kanaal
52
Kanaal
48
Kanaal
64
Kanaal
36
Kanaal
157
Kanaal
161
Kanaal
36
Kanaal
40
Belangrijk:Voer vóór de installatie altijd een onderzoek uit om na te gaan hoeveel aantal
toegangspunten nodig zijn en waar deze moeten worden geplaatst. Tijdens dit onderzoek
moeten ook de juiste vermogensinstellingen voor elke radio worden vastgesteld. Als de
installatie van het Wi-Fi-netwerk is voltooid, moet een onderzoek worden uitgevoerd om de
werking van het netwerk te controleren. Als u bijvoorbeeld een netwerk ontwerpt waarvan een
groot aantal mensen in een gebouw gebruik gaat maken, kunt u het ontwerp het beste testen
als deze mensen zich in het gebouw bevinden. (Of als de deuren van de klaslokalen tijdens
gebruik van het netwerk gesloten zijn, moet dit bij het testen van het ontwerp eveneens het
geval zijn.)
Hoofdstuk 3 Wi-Fi 29
Soms is het wenselijk om voor verschillende doeleinden verschillende SSID's aan te maken.
Zo kan het handig zijn om een gastnetwerk in te richten. Zorg er in elk geval voor dat er niet te
veel SSID's worden aangemaakt, aangezien alle aanvullende SSID's extra bandbreedte gebruiken.
Uw ontwerp afstemmen op toepassingen
Apple producten gebruiken multicastnetwerken voor voorzieningen zoals AirPlay en AirPrint.
Dit betekent dat ondersteuning voor dergelijke netwerken deel moet uitmaken van het
ontwerpplan. Zie Bonjour voor informatie over het voorbereiden van het netwerk voor Bonjour.
Wi-Fi-standaarden op iOS-apparaten
Bekijk de onderstaande lijst voor de Wi-Fi-specicaties voor Apple iOS-apparaten:
Compatibiliteit met 802.11: 802.11ac, 802.11n, 802.11a, 802.11b/g
Frequentiebereik: 2,4 GHz of 5 GHz
Maximale verzendsnelheid: Dit is de hoogste snelheid waarmee een client gegevens kan
verzenden via Wi-Fi.
Ruimtelijke streams: Elke radio kan tegelijkertijd onafhankelijke gegevensstreams versturen, die
elk verschillende gegevens bevatten. Hierdoor kan de doorvoer als geheel worden verbeterd.
Het aantal van deze onafhankelijke gegevensstreams is het aantal ruimtelijke streams.
MCS-index: De MCS-index (Modulation and Coding Scheme) denieert de maximale
transmissiesnelheid waarmee 802.11ac/n-apparaten kunnen communiceren. 802.11ac maakt
gebruik van Very High Throughput (VHT) en 802.11n maakt gebruik van High Throughput (HT).
Kanaalbreedte: Hierbij gaat het om de maximale kanaalbreedte. Vanaf 802.11n kunnen kanalen
worden gecombineerd om een breder kanaal te creëren, zodat meer gegevens tegelijk
kunnen worden verzonden. Bij 802.11n kunnen twee 20-MHz kanalen worden gecombineerd,
zodat een 40-MHz kanaal ontstaat. Bij 802.11n kunnen vier 20-MHz kanalen worden
gecombineerd, zodat een 80-MHz kanaal ontstaat.
Guard-interval (GI): Het guard-interval is de ruimte (tijd) tussen het versturen van symbolen
van het ene apparaat naar het andere. Met de 802.11n-standaard wordt een kort guard-interval
van 400 ns gedenieerd waarmee een snellere algehele doorvoer mogelijk is, hoewel apparaten
mogelijk een langer guard-interval van 800 ns gebruiken.
Hoofdstuk 3 Wi-Fi 30
Model Compatibiliteit
met 802.11 en
frequentiebereik
Maximale
verzendsnelheid
Ruimtelijke
streams
MCS-
index
Kanaal-
breedte
Guard-
interval
iPad Air 2 802.11ac/n/a op
5 GHz
802.11 n/g/b op
2,4 GHz
866 Mbps 2 9 (VHT)
15 (VHT)
80 MHz 400 ns
iPad mini 3 802.11n op
2,4 GHz en 5 GHz
802.11a/b/g
300 Mbps 2 15 (VHT) 40 MHz 400 ns
iPhone 6 Plus
iPhone 6
802.11ac/n/a op
5 GHz
802.11 n/g/b op
2,4 GHz
433 Mbps 1 9 (VHT)
7 (VHT)
80 MHz 400 ns
iPhone 5s
iPhone 5c
iPhone 5
802.11n op
2,4 GHz en 5 GHz
802.11a/b/g
150 Mbps 1 7 (VHT) 40 MHz 400 ns
iPhone 4s
iPhone 4
802.11n op
2,4 GHz
802.11b/g
65 Mbps 1 7 (VHT) 20 MHz 800 ns
iPad Air
iPad mini with
Retina-display
802.11n op
2,4GHz en 5 GHz
802.11a/b/g
300 Mbps 2 15 (VHT) 40 MHz 400 ns
iPad (vierde
generatie)
iPad mini
802.11n op
2,4GHz en 5 GHz
802.11a/b/g
150 Mbps 1 7 (VHT) 40 MHz 400 ns
iPad (eerste,
tweede
en derde
generatie)
802.11n op
2,4GHz en 5 GHz
802.11a/b/g
65 Mbps 1 7 (VHT) 20 MHz 800 ns
iPod touch
(vijfde
generatie)
802.11n op
2,4GHz en 5 GHz
802.11a/b/g
150 Mbps 1 7 (VHT) 40 MHz 400 ns
iPod touch
(vierde
generatie)
802.11n op
2,4 GHz
802.11b/g
65 Mbps 1 7 (VHT) 20 MHz 800 ns
4
31
Overzicht
iOS ondersteunt allerlei netwerkinfrastructuren, waaronder de volgende:
Lokale netwerken die Bonjour gebruiken
Kabelvrije verbindingen naar Apple TV via AirPlay
Digitale certicaten voor identiteitscontrole en veilige communicatie
Eenmalige aanmelding voor gestroomlijnde identiteitscontrole bij apps en voorzieningen in
het netwerk
Op standaarden gebaseerde voorzieningen voor e-mail, adreslijsten, agenda's en andere
systemen
Veelgebruikte systemen van andere leveranciers, zoals Microsoft Exchange
VPN's (Virtual Private Network), waaronder App-gebonden VPN en Altijd actieve VPN
Deze ondersteuning is ingebouwd in iOS, wat als voordeel heeft dat uw IT-afdeling maar
een paar instellingen hoeft te congureren om iOS-apparaten te integreren in uw bestaande
infrastructuur. Lees verder voor meer informatie over door iOS ondersteunde technologieën en
richtlijnen voor het bedrijfsleven en het onderwijs.
Microsoft Exchange
iOS kan rechtstreeks met uw Microsoft Exchange-server communiceren met behulp van
Microsoft Exchange ActiveSync (EAS), zodat u gebruik kunt maken van pushtechnologie voor
e-mail, afwezigheidsberichten, agenda's, contactgegevens, notities en taken. Daarnaast geeft
EAS gebruikers toegang tot algemene adreslijsten en biedt EAS beheerders de mogelijkheid
om een wachtwoordbeleid toe te passen en apparaten op afstand te wissen. iOS is compatibel
met zowel de algemene als de op certicaten gebaseerde vorm van identiteitscontrole voor
Exchange ActiveSync.
Als uw organisatie al met Exchange ActiveSync werkt, beschikt u over alle benodigde voorzieningen
om iOS te ondersteunen. Er is geen verdere conguratie nodig.
Vereisten
iOS 8 of hoger ondersteunt de volgende versies van Microsoft Exchange:
Oce 365 (EAS 14.1)
Exchange Server 2013 (EAS 14.1)
Exchange Server 2010 SP 2 (EAS 14.1)
Exchange Server 2010 SP 1 (EAS 14.1)
Exchange Server 2010 (EAS 14.0)
Exchange Server 2007 SP 3 (EAS 12.1)
Exchange Server 2007 SP 2 (EAS 12.1)
Infrastructuur en integratie
Hoofdstuk 4 Infrastructuur en integratie 32
Exchange Server 2007 SP 1 (EAS 12.1)
Exchange Server 2007 (EAS 2.5)
Microsoft Exchange Autodiscover
iOS en OS X ondersteunen de Autodiscover-voorziening van Microsoft Exchange Server 2007
of hoger. Wanneer u een Apple apparaat handmatig congureert, bepaalt de Autodiscover-
voorziening op basis van uw e-mailadres en wachtwoord wat de juiste gegevens voor de
Exchange-server zijn.
Zie het TechNet-artikel Autodiscover Service (Engelstalig) op de website van Microsoft voor
meer informatie.
Microsoft Direct Push
Exchange Server stuurt automatisch e-mails, taken, contactgegevens en agenda-activiteiten naar
iOS-apparaten als er een mobiele dataverbinding of Wi-Fi-verbinding beschikbaar is.
Microsoft Exchange Global Address List (GAL)
Apple apparaten halen gegevens van contactpersonen op uit de algemene adreslijst van uw
organisatie op de Exchange-server van het bedrijf. U kunt de adreslijst raadplegen wanneer u in
Contacten naar contactpersonen zoekt. Ook wordt deze adreslijst automatisch gebruikt voor het
aanvullen van e-mailadressen die u invoert.
Opmerking:iOS 6 of hoger ondersteunt GAL-foto's (Exchange Server 2010 SP 1 of hoger vereist).
Afwezigheidsbericht instellen
iOS 8 ondersteunt het automatisch beantwoorden van berichten wanneer de gebruiker niet
beschikbaar is. De gebruiker kan ook een einddatum instellen voor de antwoorden.
Agenda
iOS 8 of hoger en OS X Mavericks of hoger ondersteunen de volgende voorzieningen van
Microsoft Exchange:
Draadloos agenda-uitnodigingen aanmaken en accepteren
De gegevens voor vrij/bezet van een persoon bekijken in de agenda
Persoonlijke agenda-activiteiten aanmaken
Aangepaste terugkerende activiteiten congureren
Weeknummers weergeven in Agenda
Agenda-updates ontvangen
Taken synchroniseren met de Herinneringen-app
De Exchange-aanduiding weergeven
In iOS 8 kan de gebruiker de unieke apparaataanduiding zien die door de Exchange-server wordt
gebruikt. Deze aanduiding wordt de 'Exchange-apparaat-id' genoemd. Dit is handig wanneer de
Exchange-server waarmee de gebruiker verbinding maakt, alleen toegang geeft als apparaten
op de witte lijst staan. Deze aanduiding kunt u al vooraf opvragen. De Exchange-apparaat-id
verandert alleen als de fabrieksinstellingen van het apparaat worden hersteld. De aanduiding
verandert niet bij een upgrade van iOS 7 naar iOS 8. Om de Exchange-apparaat-id op een iOS-
apparaat te zien, tikt u op 'Instellingen' > 'Mail, contacten, agenda's' > 'Nieuwe account' en tikt u
vervolgens op 'Exchange'.
Hoofdstuk 4 Infrastructuur en integratie 33
iOS-versies identiceren met Exchange
Wanneer een iOS-apparaat verbinding maakt met een Exchange-server, wordt de iOS-versie
van het apparaat bekendgemaakt. Het versienummer staat in het veld 'User Agent' van de
header van de aanvraag en ziet er uit als: Apple-iPhone2C1/705.018. Het nummer achter het
scheidingsteken (/) is het nummer van de iOS-build. Dit nummer is uniek voor elke iOS-versie.
Om het buildnummer van een apparaat te bekijken, gaat u naar 'Instellingen' > 'Algemeen' >
'Info'. U ziet het versienummer en het buildnummer, bijvoorbeeld 4.1 (8B117A). Het nummer
tussen haakjes is het buildnummer. Dit nummer geeft de release aan die op het apparaat
wordt gebruikt.
Wanneer het buildnummer wordt verstuurd naar de Exchange-server, wordt de structuur van het
nummer gewijzigd van NANNNA (waarbij N een numeriek teken is en A een alfabetisch teken) in
de Exchange-structuur NNN.NNN. Hierbij blijven de numerieke waarden behouden, maar worden
de letters geconverteerd naar hun positionele waarde in het alfabet. Zo wordt 'F' geconverteerd
naar '06', omdat 'F' de zesde letter van het alfabet is. Cijfers worden indien nodig voorafgegaan
door nullen om de reeks geschikt te maken voor de Exchange-structuur. Het buildnummer 7E18
wordt bijvoorbeeld geconverteerd naar '705.018'.
Het eerste cijfer, 7, blijft '7'. De letter E is de vijfde letter van het alfabet en wordt dus geconverteerd
naar '05'. In de geconverteerde versie wordt een punt (.) toegevoegd zoals vereist bij deze
structuur. Het volgende cijfer, 18, wordt voorafgegaan door een nul en wordt '018'.
Als het buildnummer eindigt met een letter, bijvoorbeeld 5H11A, wordt het nummer geconverteerd
zoals hierboven is beschreven, maar worden vóór de numerieke waarde van het laatste teken
drie nullen toegevoegd. 5H11A wordt dus '508.01100001'.
Wissen op afstand
U kunt de inhoud van een iOS-apparaat op afstand wissen met behulp van voorzieningen
die door Exchange geboden worden. Hierbij worden alle conguratiegegevens en andere
gegevens van het apparaat verwijderd. Het apparaat wordt op een veilige manier gewist en de
fabrieksinstellingen worden hersteld. Bij het wissen wordt de coderingssleutel voor de gegevens
(gecodeerd met 256-bits-AES-codering) verwijderd, waardoor de gegevens onmiddellijk niet
meer kunnen worden hersteld.
Met Microsoft Exchange Server 2007 of hoger kunt u een Remote Wipe uitvoeren via de
Exchange Management Console, Outlook Web Access of Exchange ActiveSync Mobile
Administration Web Tool. Met Microsoft Exchange Server 2003 kunt u een Remote Wipe
uitvoeren via Exchange ActiveSync Mobile Administration Web Tool.
Gebruikers kunnen hun apparaat ook zelf wissen door 'Instellingen' > 'Algemeen' > 'Stel
opnieuw in' > 'Wis alle inhoud en instellingen' te kiezen. Het is ook mogelijk een apparaat zo te
congureren dat het automatisch wordt gewist nadat er een bepaald aantal keren een onjuiste
toegangscode is ingevoerd.
Bonjour
Bonjour is het op standaarden gebaseerde netwerkprotocol van Apple waarbij conguratie
overbodig is en waarmee apparaten automatisch voorzieningen in een netwerk kunnen
opsporen. iOS-apparaten gebruiken Bonjour om te zien of er AirPrint-printers beschikbaar zijn;
zowel iOS-apparaten als Mac-computers gebruiken Bonjour om te zien of er AirPlay-apparaten
zoals Apple TV beschikbaar zijn. Sommige apps gebruiken Bonjour ook voor peer-to-peer-
samenwerking en -deling.
Hoofdstuk 4 Infrastructuur en integratie 34
Bonjour maakt gebruik van multicastverkeer om de beschikbaarheid van voorzieningen bekend
te maken. Multicastverkeer wordt meestal niet gerouteerd. Zorg er daarom voor dat Apple TV's
of AirPrint-printers zich in hetzelfde IP-subnet bevinden als de iOS-apparaten die er gebruik van
willen maken. Als uw netwerk groter is en uit veel IP-subnetten bestaat, kan het een goed idee
zijn om een Bonjour-gateway te gebruiken. Dergelijke apparaten worden aangeboden door
verschillende fabrikanten van Wi-Fi-infrastructuren.
Meer informatie over Bonjour kunt u lezen op de webpagina Bonjour van Apple en in de
documentatie voor ontwikkelaars (Engelstalig) op Bonjour.
AirPlay
iOS 8 en OS X Yosemite ondersteunen de mogelijkheid om materiaal van een Apple apparaat te
streamen naar een Apple TV, zelfs als de apparaten deel uitmaken van verschillende netwerken
of als er geen netwerk beschikbaar is. Het Apple apparaat gebruikt BTLE (Bluetooth® Low
Energy) om het detectieproces van beschikbare Apple TV's te starten en maakt vervolgens via
Wi-Fi rechtstreeks verbinding met de Apple TV. BTLE-detectie is een afzonderlijke subset van
peer-to-peer-AirPlay.
In iOS 8 en OS X Yosemite kan een gebruiker via peer-to-peer-AirPlay rechtstreeks vanaf een
ondersteund iOS-apparaat of een Mac materiaal streamen naar een Apple TV zonder dat
eerst verbinding hoeft te worden gemaakt met het netwerk van een organisatie. Bij peer-to-
peer-AirPlay is het niet nodig om verbinding te maken met het juiste netwerk of om Wi-Fi-
wachtwoorden vrij te geven. Op deze manier worden problemen met de bereikbaarheid in
complexe netwerkomgevingen voorkomen. Er wordt een rechtstreeks pad opgezet tussen
de AirPlay-zender en de AirPlay-ontvanger, waardoor de prestaties optimaal zijn. Peer-to-
peer-AirPlay is standaard ingeschakeld in iOS 8 en OS X Yosemite; de gebruiker hoeft niets
te congureren.
Voor peer-to-peer-AirPlay is het volgende nodig:
Apple TV (derde generatie revisie A, model A1469 of hoger) met Apple TV-software versie 7.0
of hoger
iOS-apparaten (eind 2012 of hoger) met iOS 8 of hoger
Mac-computers (2012 of hoger) met OS X Yosemite of hoger
Zie het Apple Support-artikel Bepalen welk Apple TV-model u hebt als u wilt weten hoe u het
modelnummer van een Apple TV kunt vinden.
Peer-to-peer-detectie wordt door BTLE (Bluetooth Low Energy) gestart wanneer een gebruiker
AirPlay selecteert op een iOS-apparaat met iOS 8 of op een Mac met OS X Yosemite. Hierdoor
gaan het apparaat en de Apple TV naar Wi-Fi-kanaal 149,1 in de 5-GHz band en Wi-Fi-kanaal 6 in
de 2,4-GHz band, waar het detectieproces wordt voortgezet. Nadat de gebruiker een Apple TV
heeft geselecteerd en AirPlay is gestart, verdelen de Wi-Fi-radio's de tijd over kanaal 149,1 en
het infrastructuurkanaal dat door de andere apparaten wordt gebruikt. Indien mogelijk roamt
de AirPlay-zender naar het infrastructuurkanaal dat door de Apple TV wordt gebruikt. Als geen
van de apparaten een infrastructuurnetwerk gebruikt, gebruiken de apparaten Wi-Fi-kanaal 149
alleen voor AirPlay. Peer-to-peer-AirPlay voldoet aan de 802.11-standaarden voor het delen van
Wi-Fi-bandbreedte met andere Wi-Fi-apparaten.
Als u Apple TV's gaat implementeren in een groot Wi-Fi-bedrijfsnetwerk, zijn de volgende
richtlijnen van belang:
Verbind de Apple TV via Ethernet wanneer dat mogelijk is.
Hoofdstuk 4 Infrastructuur en integratie 35
Gebruik Wi-Fi-kanaal 149 of 153 indien mogelijk niet voor uw infrastructuurnetwerk.
Plaats of monteer de Apple TV's niet achter objecten die de BTLE- en Wi-Fi-signalen
kunnen verstoren.
Als u de Apple TV aan een wand of een ander oppervlak monteert, moet u ervoor zorgen dat
de onderzijde naar de wand of dat andere oppervlak wijst.
Als peer-to-peer-AirPlay niet wordt ondersteund door de AirPlay-zender of AirPlay-ontvanger,
wordt automatisch de infrastructuurverbinding gebruikt.
AirPlay-detectie
iOS-apparaten blijven de momenteel beschikbare detectiemethoden gebruiken om AirPlay-
ontvangers te detecteren. AirPlay-ontvangers kunnen zichzelf bekendmaken via Bonjour of
Bluetooth. Voor detectie via Bluetooth is iOS 7.1 of hoger vereist op de volgende apparaten:
iPad Air
Apple TV (derde generatie of nieuwer) met software versie 6.1 of hoger
iPhone 4s of nieuwer
iPad derde generatie of nieuwer
iPad mini eerste generatie of nieuwer
iPod touch vijfde generatie of nieuwer
Gedetecteerde AirPlay-ontvangers worden weergegeven in het AirPlay-menu.
Bonjour-voorzieningen _airplay._tcp en _raop._tcp moeten bekend worden gemaakt op
Bonjour-gatewayproducten. Neem contact op met uw gatewayaanbieder om na te gaan of deze
voorzieningen bekend worden gemaakt.
Connectiviteit
'Infrastructuur' en 'Peer-to-peer' zijn de twee modi die worden ondersteund bij AirPlay-connectiviteit.
Als zowel de AirPlay-zender als de AirPlay-ontvanger peer-to-peer-AirPlay ondersteunen, is dat
het aanbevolen gegevenstraject, ongeacht de beschikbaarheid van een infrastructuurnetwerk.
Peer-to-peer-AirPlay kan samen worden gebruikt met infrastructuurverbindingen. Dit betekent
dat de AirPlay-client of AirPlay-zender tegelijkertijd een internetverbinding en een peer-to-peer-
verbinding kan hebben. De 5-GHz band is beter voor verbindingen via peer-to-peer-AirPlay,
omdat deze band een snelle, rechtstreekse verbinding biedt tussen de AirPlay-zender en de
AirPlay-ontvanger.
Beveiliging
AirPlay maakt gebruik van AES-codering om ervoor te zorgen dat materiaal ook beveiligd is
wanneer dit vanaf een iOS-apparaat of Mac synchroon of via een stream wordt weergegeven op
een Apple TV.
De toegang van AirPlay tot een Apple TV kan worden beperkt met een schermcode of
wachtwoord. Alleen gebruikers die op hun iOS-apparaat of Mac de schermcode invoeren (telkens
wanneer ze AirPlay gaan gebruiken) of hun wachtwoord invoeren, kunnen AirPlay-materiaal
versturen naar een Apple TV.
Hoofdstuk 4 Infrastructuur en integratie 36
Als 'Vraag om apparaatcontrole' is ingeschakeld, moet bij de eerste AirPlay-verbinding een
identiteitscontrole voor het iOS-apparaat of de Mac worden uitgevoerd. (Voor deze optie is een
iOS-apparaat met iOS 7.1 of hoger of een Mac met OS X Mavericks versie 10.9.2 of hoger vereist.)
De optie 'Vraag om apparaatcontrole' is handig wanneer een Apple TV is geïmplementeerd in
een open Wi-Fi-netwerk. Om er zeker van te zijn dat iOS-apparaten en Mac-computers veilig
worden gekoppeld, moet de gebruiker één keer een schermcode invoeren. Voor daaropvolgende
verbindingen is dit niet nodig, tenzij er instellingen voor de schermcode zijn ingeschakeld. Als de
fabrieksinstellingen van een Apple TV of een eerder gekoppelde client worden hersteld, wordt
de oorspronkelijke verbindingsstatus hersteld.
Peer-to-peer-AirPlay wordt altijd beveiligd met 'Vraag om apparaatcontrole'. Deze instelling kan
niet worden gecongureerd door de gebruiker en voorkomt dat onbevoegde gebruikers in de
buurt toegang tot de Apple TV hebben.
Opmerking:Voor apparaten die geen deel uitmaken van een infrastructuurnetwerk zorgt
Bluetooth ervoor dat ondersteunde Apple TV's (A1469 of hoger) via Bonjour bekend
worden gemaakt.
Op standaarden gebaseerde voorzieningen
Dankzij de ondersteuning voor het IMAP-mailprotocol, LDAP-adreslijstvoorzieningen,
het CalDAV-agendaprotocol en het CardDAV-contactprotocol, zijn iOS en OS X compatibel
met vrijwel elke op standaarden gebaseerde omgeving. Als voor toegang tot het netwerk
identiteitscontrole en SSL zijn ingesteld, kan via iOS en OS X op een veilige manier toegang
worden verkregen tot op standaarden gebaseerde zakelijke e-mail, agenda's, taken en
contactgegevens. iOS en OS X bieden met SSL ondersteuning voor 128-bits-codering en
X.509-rootcerticaten van de belangrijkste certicaatautoriteiten.
In de meeste gevallen maken Apple apparaten rechtstreeks verbinding met IMAP- en SMTP-
mailservers om draadloos (in geval van een Mac draadloos of via Ethernet) e-mail te versturen
en te ontvangen, stellen ze de VIP-status in hun berichtenreeksen in en kunnen ze ook draadloos
notities synchroniseren met IMAP-servers. Apple apparaten kunnen verbinding maken met
de LDAPv3-adreslijsten van uw organisatie, zodat de gebruikers toegang hebben tot zakelijke
contactpersonen in de apps Mail, Contacten en Berichten. Dankzij de ondersteuning voor
CardDAV kunnen gebruikers de gegevens van contactpersonen in de vCard-structuur synchroon
houden met uw CardDAV-server. Synchronisatie met uw CalDAV-server biedt gebruikers de
volgende mogelijkheden:
Agenda-uitnodigingen aanmaken en accepteren
De gegevens voor vrij/bezet van een persoon bekijken in de agenda
Persoonlijke agenda-activiteiten aanmaken
Aangepaste terugkerende activiteiten congureren
Weeknummers weergeven in Agenda
Agenda-updates ontvangen
Taken synchroniseren met de Herinneringen-app
Alle netwerkvoorzieningen en -servers kunnen zich in een DMZ-subnetwerk bevinden, achter
een bedrijfsrewall of beide.
Hoofdstuk 4 Infrastructuur en integratie 37
Digitale certicaten
Apple apparaten bieden ondersteuning voor digitale certicaten en identiteiten, zodat uw
organisatie op een gestroomlijnde manier toegang heeft tot de bedrijfsvoorzieningen. Deze
certicaten kunnen op verschillende manieren worden gebruikt. Safari kan bijvoorbeeld de
geldigheid van een digitaal X.509-certicaat controleren en via AES-codering (tot 256 bits) een
veilige sessie starten. Er wordt gecontroleerd of de identiteit van de website geldig is en of de
communicatie met de website wordt gecodeerd, zodat persoonlijke of vertrouwelijke gegevens
niet door derden kunnen worden onderschept. Certicaten kunnen worden gebruikt om de
identiteit van de auteur of 'ondertekenaar' te garanderen. Bovendien kunt u met behulp van
digitale certicaten e-mail, conguratieproelen en de netwerkcommunicatie coderen, zodat
vertrouwelijke informatie ook echt vertrouwelijk blijft.
Certicaten gebruiken met Apple apparaten
Apple apparaten bieden standaard een aantal vooraf geïnstalleerde rootcerticaten van
verschillende certicaatautoriteiten. iOS gaat na of deze rootcerticaten worden vertrouwd.
Als de vertrouwensketen van de ondertekenende certicaatautoriteit niet kan worden
gevalideerd, doet zich een fout voor. Een zelfondertekend certicaat kan bijvoorbeeld standaard
niet worden geverieerd in iOS. Zie voor een actuele lijst van vertrouwde rootcerticaten in iOS
het Apple Support-artikel iOS 8: List of available trusted root certicates (Engelstalig).
iOS-apparaten kunnen certicaten draadloos bijwerken als de veiligheid van een van de vooraf
geïnstalleerde rootcerticaten in het geding is. Deze voorziening kan eventueel worden
uitgeschakeld met een MDM-beperking die voorkomt dat certicaten draadloos worden
bijgewerkt.
Deze digitale certicaten kunnen worden gebruikt om een client of server te identiceren en
om de communicatie hiertussen te coderen met behulp van de publieke en private sleutel.
Een certicaat bevat een publieke sleutel en informatie over de client (of server), en wordt
ondertekend (geverieerd) door een certicaatautoriteit.
Een certicaat en de bijbehorende private sleutel vormen samen een identiteit. Certicaten
kunnen vrijelijk worden verspreid, maar identiteiten moeten veilig worden bewaard. Het vrijelijk
verspreide certicaat, en dan met name de publieke sleutel daarvan, wordt gebruikt voor
codering die alleen kan worden gedecodeerd met behulp van de bijbehorende private sleutel.
Om de private sleutel van een identiteit te beveiligen, wordt de sleutel in een PKCS12-bestand
bewaard, dat wordt gecodeerd met een andere sleutel die is beveiligd met een wachtzin.
Een identiteit kan worden gebruikt voor identiteitscontrole (zoals 802.1x EAP-TLS), ondertekening
of codering (zoals S/MIME).
Dit is een lijst met ondersteunde certicaat- en identiteitsstructuren op Apple apparaten:
X.509-certicaten met RSA-sleutels
Certicaat: .cer, .crt, .der
Identiteit: .pfx, .p12
Implementeer certicaten om een vertrouwensketen tot stand te brengen voor certicaatautoriteiten
die niet standaard worden vertrouwd (zoals een organisatie die certicaten uitgeeft).
Hoofdstuk 4 Infrastructuur en integratie 38
Certicaten distribueren en installeren
Het handmatig distribueren van certicaten naar iOS-apparaten is heel eenvoudig. Zodra een
gebruiker het certicaat heeft ontvangen, hoeft hij er alleen maar op te tikken om de inhoud te
bekijken en om het certicaat aan zijn apparaat toe te voegen. Wanneer een identiteitscerticaat
wordt geïnstalleerd, moet de gebruiker de wachtwoordzin opgeven waarmee dit certicaat
wordt beveiligd. Als de echtheid van een certicaat niet kan worden gecontroleerd, wordt het
als niet-vertrouwd aangemerkt en kan de gebruiker zelf beslissen of hij of zij het toch aan het
apparaat wil toevoegen.
Certicaten installeren met behulp van conguratieproelen
Wanneer er conguratieproelen worden gebruikt om instellingen voor bedrijfsvoorzieningen
(zoals S/MIME, VPN of Wi-Fi) te distribueren, kunnen er met het oog op een gestroomlijnde
implementatie certicaten aan het proel worden toegevoegd. Hierbij is het ook mogelijk om
certicaten via een MDM-oplossing te distribueren.
Certicaten installeren via Mail of Safari
Als een certicaat per e-mail wordt verstuurd, wordt het certicaat als bijlage aan het bericht
toegevoegd. Certicaten kunnen ook met Safari van een webpagina worden gedownload. U
kunt een certicaat op een beveiligde website hosten en de gebruikers de URL geven, zodat ze
het certicaat op hun Apple apparaat kunnen downloaden.
Certicaten verwijderen en intrekken
Als u een geïnstalleerd certicaat handmatig wilt verwijderen, kiest u 'Instellingen' >
'Algemeen' > 'Apparaatbeheer', selecteert u een proel, kiest u 'Meer details' en kiest u het
certicaat dat u wilt verwijderen. Als een gebruiker een certicaat verwijdert dat nodig is om
toegang tot een account of netwerk te krijgen, kan het iOS-apparaat geen verbinding meer
maken met deze voorzieningen.
Een MDM-server kan alle certicaten op een apparaat bekijken en certicaten verwijderen die
door de MDM-server zelf zijn geïnstalleerd.
Ook de protocollen OCSP (Online Certicate Status Protocol) en CRL (Certicate Revocation
List) worden ondersteund voor het controleren van de status van certicaten. Als een certicaat
wordt gebruikt dat geschikt is voor OCSP of CRL, wordt in iOS en OS X regelmatig gecontroleerd
of dit certicaat niet is ingetrokken.
Eenmalige aanmelding (SSO)
Eenmalige aanmelding is een proces waarbij een gebruiker eenmalig gegevens opgeeft voor
identiteitscontrole, een ticket ontvangt en daarmee toegang tot bronnen krijgt zolang het ticket
geldig is. Zo kan de toegang tot bronnen worden beveiligd zonder dat de gebruiker voor elke
toegangsaanvraag zijn of haar gebruikersgegevens moet opgeven. Ook wordt de beveiliging van
het dagelijkse appgebruik verhoogd, doordat ervoor wordt gezorgd dat wachtwoorden nooit via
het netwerk worden verstuurd.
Hoofdstuk 4 Infrastructuur en integratie 39
In iOS 7 of hoger kunnen apps via Kerberos gebruikmaken van een bestaande infrastructuur voor
eenmalige aanmelding. Het Kerberos-systeem voor identiteitscontrole dat voor iOS 7 en hoger
wordt gebruikt, is wereldwijd de meest gebruikte technologie voor eenmalige aanmelding.
Als u werkt met Active Directory, eDirectory of Open Directory, is er waarschijnlijk al een
Kerberos-systeem beschikbaar dat door iOS 7 of hoger kan worden gebruikt. iOS-apparaten
moeten via een netwerkverbinding contact kunnen maken met de Kerberos-voorziening om
de identiteit van gebruikers te controleren. In iOS 8 kunnen certicaten worden gebruikt om
een Kerberos-ticket op de achtergrond te vernieuwen, zodat gebruikers verbindingen kunnen
opzetten met bepaalde voorzieningen die voor identiteitscontrole vertrouwen op Kerberos.
Ondersteunde apps
iOS biedt een exibele ondersteuning voor eenmalige aanmelding via Kerberos voor elke
app die de klasse 'NSURLConnection' of 'NSURLSession' gebruikt voor het beheer van
netwerkverbindingen en identiteitscontrole. Apple voorziet alle ontwikkelaars van deze
hoogwaardige frameworks om ervoor te zorgen dat netwerkverbindingen naadloos in hun apps
worden geïntegreerd. Apple levert ook Safari, als voorbeeld van een programma met native
gebruik van websites die eenmalige aanmelding ondersteunen.
Eenmalige aanmelding congureren
U congureert eenmalige aanmelding met behulp van conguratieproelen, die handmatig
kunnen worden geïnstalleerd of met een MDM-oplossing kunnen worden beheerd. De payload
voor eenmalige aanmelding maakt een exibele conguratie mogelijk. Eenmalige aanmelding
kan worden toegestaan voor alle apps, maar kan ook worden beperkt op basis van de app-ID,
de service-URL of beide.
Er wordt een eenvoudige patroonvergelijking gebruikt voor URL's die moeten beginnen met
"http://" of "https://". Aangezien de volledige URL's worden vergeleken, moet u ervoor zorgen
dat ze exact hetzelfde zijn. De waarde "https://www.example.com/" voor URLPrexMatches komt
bijvoorbeeld niet overeen met "https://www.example.com:443/". U kunt "http://" of "https://"
opgeven om het gebruik van eenmalige aanmelding te beperken tot reguliere of beveiligde
HTTP-diensten. Als u bijvoorbeeld de waarde "https://" gebruikt voor URLPrexMatches, kan de
account voor eenmalige aanmelding alleen worden gebruikt met beveiligde HTTPS-voorzieningen.
Als een URL-vergelijkingspatroon niet wordt afgesloten met een schuine streep (/), wordt er een
schuine streep (/) toegevoegd.
De AppIdentierMatches-matrix moet tekenreeksen bevatten die overeenkomen met app-
bundel-ID's. Deze tekenreeksen moeten volledig overeenkomen (bijvoorbeeld "com.mijnbedrijf.
mijnapp") of een voorvoegsel voor de bundel-ID bevatten in de vorm van het jokerteken (*).
Het jokerteken moet na een punt (.) komen en mag uitsluitend aan het eind van een tekenreeks
worden gebruikt (bijvoorbeeld "com.mijnbedrijf.*"). Als er een jokerteken wordt gebruikt, krijgt
elke app waarvan de bundel-ID met het voorvoegsel begint, toegang tot de gegevens van de
ingelogde gebruiker.
Virtual Private Networks (VPN)
Overzicht
Vanaf apparaten met iOS en OS X kunnen afgeschermde bedrijfsnetwerken via de gebruikelijke
VPN-protocollen veilig worden benaderd. Standaard bieden iOS en OS X ondersteuning voor
Cisco IPSec, L2TP over IPSec en PPTP. iOS ondersteunt bovendien IKEv2. Als uw organisatie een
van deze protocollen ondersteunt, hoeft u uw netwerk verder niet te congureren en hebt u
geen apps van andere leveranciers nodig om uw Apple apparaten te verbinden met uw VPN.
Hoofdstuk 4 Infrastructuur en integratie 40
iOS en OS X ondersteunen SSL-VPN van populaire VPN-aanbieders. Net als andere VPN-protocollen
die door iOS en OS X worden ondersteund, kan SSL-VPN handmatig, via conguratieproelen of
door middel van een MDM-oplossing op het Apple apparaat worden gecongureerd.
iOS en OS X ondersteunen ook standaardtechnologieën als IPv6, proxyservers en split-tunneling,
zodat gebruikers probleemloos via VPN verbinding met het bedrijfsnetwerk kunnen maken.
Bovendien werken iOS en OS X met diverse methoden voor identiteitscontrole, waaronder
wachtwoorden, twee-factorentokens en digitale certicaten. OS X werkt ook met Kerberos.
iOS en OS X ondersteunen VPN op aanvraag om verbindingen te stroomlijnen in omgevingen
waarin identiteitscontrole plaatsvindt aan de hand van certicaten. Hierbij wordt indien nodig
een VPN-sessie opgezet om verbinding te maken met opgegeven domeinen.
Bij iOS 7 of hoger en OS X Yosemite of hoger kunnen specieke apps worden gecongureerd
voor afzonderlijk gebruik van een VPN-verbinding. Hierdoor lopen bedrijfsgegevens altijd via
een VPN-verbinding, terwijl andere gegevens, zoals persoonlijke apps van de gebruiker uit de
App Store, buiten het VPN om lopen. Zie App-gebonden VPN voor meer informatie.
Bij de iOS-voorziening Altijd actieve VPN moet een iOS-apparaat verbinding maken met een
bekend, goedgekeurd VPN voordat er verbinding met andere netwerkvoorzieningen wordt
gemaakt. U kunt Altijd actieve VPN congureren voor zowel mobiele conguraties als Wi-Fi-
conguraties. Bij Altijd actieve VPN moet een iOS-apparaat verbinding maken met een bekend,
goedgekeurd VPN voordat er verbinding met andere netwerkvoorzieningen wordt gemaakt.
Hierbij kan het gaan om voorzieningen voor e-mail, het web of berichten. Deze functie kan
alleen worden gebruikt als deze conguratie wordt ondersteund door uw VPN-aanbieder.
Bovendien is de functie alleen beschikbaar voor apparaten die onder supervisie staan.
Zie Overzicht voor informatie over Altijd actieve VPN.
Ondersteunde protocollen en methoden voor identiteitscontrole
iOS en OS X ondersteunen de volgende protocollen en methoden voor identiteitscontrole:
L2TP over IPSec: Identiteitscontrole van gebruikers aan de hand van een MS-CHAP v2-wachtwoord,
een twee-factorentoken en een certicaat; machinale identiteitscontrole op basis van een
gedeeld geheim of certicaat.
SSL-VPN: Identiteitscontrole van gebruikers aan de hand van een wachtwoord,
een twee-factorentoken en certicaten van VPN-clients van andere leveranciers.
Cisco IPSec: Identiteitscontrole van gebruikers aan de hand van een wachtwoord en een
twee-factorentoken; machinale identiteitscontrole aan de hand van een gedeeld geheim
en certicaten.
IKEv2: Certicaten (alleen RSA), EAP-TLS, EAP-MSCHAPv2 (alleen iOS).
PPTP: Identiteitscontrole van gebruikers aan de hand van een MS-CHAP v2-wachtwoord,
een certicaat en een twee-factorentoken.
OS X kan ook gebruikmaken van machinale identiteitscontrole volgens Kerberos op basis van
een gedeeld geheim of certicaat met L2TP over IPSec en met PPTP.
SSL-VPN-clients
Verschillende SSL-VPN-aanbieders hebben apps ontwikkeld om iOS-apparaten te congureren
voor gebruik met hun oplossingen. Als u een apparaat wilt congureren voor gebruik met een
specieke oplossing, installeert u de bijbehorende app uit de App Store en zorgt u (eventueel)
voor een conguratieproel met de benodigde instellingen.
Hoofdstuk 4 Infrastructuur en integratie 41
Voorbeelden van SSL-VPN-oplossingen zijn:
SSL-VPN AirWatch: Ga naar de website van AirWatch voor informatie.
SSL-VPN Aruba Networks: iOS ondersteunt Aruba Networks Mobility Controller. Voor de
conguratie installeert u de Aruba Networks VIA-app (verkrijgbaar in de App Store).
Ga naar de website van Aruba Networks voor contactgegevens.
SSL-VPN Check Point Mobile: iOS ondersteunt de Check Point Security Gateway met een
volledige Layer-3-VPN-tunnel. Installeer de Check Point Mobile-app (verkrijgbaar in de
App Store).
SSL-VPN Cisco AnyConnect: iOS biedt ondersteuning voor Cisco Adaptive Security Appliance
(ASA) met bij voorkeur softwareversie 8.2.5 of hoger. Installeer de Cisco AnyConnect-app
(verkrijgbaar in de App Store).
SSL-VPN F5: iOS ondersteunt de F5-SSL-VPN-oplossingen BIG-IP Edge Gateway, Access Policy
Manager en FirePass. Installeer de F5 BIG-IP Edge Client-app (verkrijgbaar in de App Store).
Raadpleeg voor meer informatie het witboek van F5
Secure iPhone Access to Corporate Web Applications.
SSL-VPN Juniper Junos Pulse: iOS biedt ondersteuning voor Juniper Networks SA Series SSL VPN
Gateway met versie 6.4 of hoger met Juniper Networks IVE package 7.0 of hoger. Installeer de
Junos Pulse-app (verkrijgbaar in de App Store).
Zie Junos Pulse op de website van Juniper Networks voor meer informatie.
SSL-VPN Mobile Iron: Ga naar de website van Mobile Iron voor informatie.
SSL-VPN NetMotion: Ga naar de website van NetMotion voor informatie.
SSL-VPN OpenVPN: iOS biedt ondersteuning voor OpenVPN Access Server, Private Tunnel
en OpenVPN Community. Voor de conguratie installeert u de OpenVPN Connect-app
(verkrijgbaar in de App Store).
SSL-VPN Palo Alto Networks GlobalProtect: iOS ondersteunt de GlobalProtect-gateway van Palo
Alto Networks. Installeer de GlobalProtect voor iOS-app (verkrijgbaar in de App Store).
SSL-VPN SonicWALL: iOS ondersteunt SonicWALL Aventall E-Class Secure Remote Access-
apparaten met versie 10.5.4 of hoger, SonicWALL SRA-apparaten met versie 5.5 of hoger en
SonicWALL Next-Generation Firewall-apparaten, waaronder de TZ, NSA, E-Class NSA met
SonicOS versie 5.8.1.0 of hoger. Installeer de SonicWALL Mobile Connect-app (verkrijgbaar in
de App Store).
Ga naar de website van SonicWALL voor meer informatie.
Richtlijnen voor VPN-conguratie
Conguratierichtlijnen Cisco IPSec
Aan de hand van deze richtlijnen kunt u de Cisco VPN-server congureren voor gebruik met
iOS-apparaten. iOS biedt ondersteuning voor Cisco ASA 5500 Security Appliances en PIX Firewalls
die zijn gecongureerd met softwareversie 7.2.x of hoger. De meest recente softwarerelease
(8.0x of hoger) wordt aanbevolen. Daarnaast biedt iOS ondersteuning voor Cisco IOS VPN-routers
met IOS-versie 12.4(15)T of hoger. De VPN 3000 Series Concentrators bieden geen ondersteuning
voor de VPN-voorzieningen van iOS.
Proxyconguratie
U kunt voor alle conguraties een VPN-proxy opgeven:
Om voor alle verbindingen één proxy te congureren, kiest u 'Handmatig' en geeft u het adres,
de poort en indien nodig de identiteitscontrole op.
Hoofdstuk 4 Infrastructuur en integratie 42
Gebruik de instelling 'Automatisch' om het apparaat via PAC of WPAD te voorzien van een
conguratiebestand voor een automatische proxy. Voor PAC geeft u de URL van het PAC- of
JavaScript-bestand op. In het geval van WPAD worden de juiste instellingen opgevraagd bij
DHCP en DNS.
De VPN-proxyconguratie wordt gebruikt wanneer het VPN het volgende aanbiedt:
De standaard-resolver en de standaardroute: De VPN-proxy wordt gebruikt voor alle
webverzoeken in het systeem.
Een 'split tunnel': De VPN-proxy wordt alleen gebruikt door verbindingen naar hosts die
overeenkomen met de DNS-zoekdomeinen van het VPN.
Methoden voor identiteitscontrole
Voor iOS kunnen de volgende methoden voor identiteitscontrole worden gebruikt:
IPsec-identiteitscontrole op basis van een vooraf gedeelde sleutel met gebruikerscontrole
via xauth.
Client- en servercerticaten voor IPsec-identiteitscontrole met optionele gebruikerscontrole
via xauth.
Hybride identiteitscontrole waarbij de server een certicaat verstrekt en de client een vooraf
gedeelde sleutel verstrekt voor IPsec-identiteitscontrole. Gebruikerscontrole via xauth
is vereist.
Voor gebruikerscontrole wordt xauth gebruikt op basis van een van de volgende methoden:
Gebruikersnaam met wachtwoord
RSA SecurID
CRYPTOCard
Identiteitscontrolegroepen
Het Cisco Unity-protocol gebruikt identiteitscontrolegroepen om gebruikers te groeperen op basis
van een gemeenschappelijke set parameters. U moet een identiteitscontrolegroep aanmaken
voor gebruikers van iOS-apparaten. Voor hybride identiteitscontrole en controle op basis van
een vooraf gedeelde sleutel moet bij het congureren van de groepsnaam op het apparaat
het gedeelde geheim van de groep (de vooraf gedeelde sleutel) als groepswachtwoord
worden ingesteld.
Er is geen gedeeld geheim voor identiteitscontrole op basis van certicaten. De groep van een
gebruiker wordt vastgesteld op basis van velden in het certicaat. U kunt de Cisco-serverinstellingen
gebruiken om velden in een certicaat aan gebruikersgroepen te koppelen.
RSA-Sig moet de hoogste prioriteit hebben in de ISAKMP-prioriteitenlijst.
Certicaten
Aandachtspunten bij het congureren en installeren van certicaten:
In het identiteitscerticaat van de server moet in het SubjectAltName-veld de DNS-naam of
het IP-adres van de server zijn ingevuld. Op basis van deze informatie controleert het apparaat
of het certicaat bij de server hoort. Voor meer exibiliteit kunt u de SubjectAltName opgeven
met behulp van jokertekens, zoals 'vpn.*.mijnbedrijf.com', zodat de naam op meerdere servers
van toepassing is. Als er geen SubjectAltName is opgegeven, kunt u het algemene naamveld
gebruiken voor de DNS-naam.
Hoofdstuk 4 Infrastructuur en integratie 43
Op het apparaat moet het certicaat zijn geïnstalleerd van de certicaatautoriteit die het
servercerticaat heeft ondertekend. Als dit geen rootcerticaat is, moet u de rest van de
vertrouwensketen installeren om ervoor te zorgen dat dit certicaat wordt vertrouwd.
Als u gebruikmaakt van clientcerticaten, moet u ervoor zorgen dat op de VPN-server het
certicaat is geïnstalleerd van de vertrouwde certicaatautoriteit die het clientcerticaat heeft
ondertekend. Bij gebruik van identiteitscontrole op basis van certicaten moet de server zo
zijn gecongureerd dat deze de identiteit van de gebruikersgroep kan vaststellen op basis van
velden in het clientcerticaat.
Belangrijk:De certicaten en certicaatautoriteiten moeten geldig zijn (ze mogen bijvoorbeeld
niet verlopen zijn). Het versturen van een certicaatketen door de server wordt niet ondersteund.
Instellingen en beschrijvingen van IPSec
IPSec heeft verschillende instellingen waarmee u de implementatie ervan kunt bepalen:
Mode: 'Tunnel Mode'.
IKE Exchange Modes: 'Aggressive Mode' voor hybride identiteitscontrole en controle op basis van
een vooraf gedeelde sleutel, of 'Main Mode' voor identiteitscontrole op basis van certicaten.
Encryption Algorithms: 3DES, AES-128 of AES256.
Authentication Algorithms: HMAC-MD5 of HMAC-SHA1.
Die-Hellman Groups: 'Group 2' is vereist voor hybride identiteitscontrole en controle op basis
van een vooraf gedeelde sleutel. 'Group 2' met 3DES en AES-128 voor identiteitscontrole met
certicaten. 'Group 2' of 'Group 5' met AES-256.
PFS (Perfect Forward Secrecy): Voor IKE fase 2 moet bij gebruik van PFS dezelfde Die-Hellman-
groep worden gebruikt als voor IKE fase 1.
Mode Conguration: Moet zijn ingeschakeld.
Dead Peer Detection: Aanbevolen.
Standard NAT Traversal: Wordt ondersteund en kan worden ingeschakeld (IPSec via TCP wordt
niet ondersteund).
Load Balancing: Wordt ondersteund en kan worden ingeschakeld.
Rekeying of Phase 1: Wordt momenteel niet ondersteund. U wordt aangeraden om het interval
voor re-keying op de server in te stellen op één uur.
ASA Address Mask: Zorg ervoor dat alle adrespoolmaskers van apparaten hetzij niet zijn
ingesteld, hetzij zijn ingesteld op 255.255.255.255. Bijvoorbeeld:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask
255.255.255.255.
Wanneer u dit aanbevolen adresmasker gebruikt, worden sommige routes die door de VPN-
conguratie worden verondersteld, mogelijk genegeerd. Om dit te voorkomen, zorgt u ervoor
dat uw routeringstabel alle benodigde routes bevat en controleert u of de subnetadressen
toegankelijk zijn voordat u een en ander implementeert.
Application Version: Informatie over de softwareversie op de client wordt naar de server
gestuurd, zodat de server verbindingen kan toestaan of weigeren op basis van de softwareversie
op het apparaat.
Banner: Als de banner op de server is gecongureerd, wordt deze op het apparaat weergegeven.
De gebruiker kan de banner vervolgens accepteren of de verbinding verbreken.
Split Tunnel: Ondersteund.
Split DNS: Ondersteund.
Default Domain: Ondersteund.
Hoofdstuk 4 Infrastructuur en integratie 44
App-gebonden VPN
Bij iOS en OS X is het mogelijk om per app een VPN-verbinding op te zetten. Hierdoor kan meer
speciek worden bepaald welke gegevens er via het VPN lopen. Met VPN op apparaatniveau
gaan alle gegevens via het privénetwerk, ongeacht de oorsprong ervan. Door deze mogelijkheid
om het verkeer op appniveau te scheiden, kunnen persoonlijke gegevens en gegevens van
de organisatie eectief van elkaar afgeschermd blijven. Nu er binnen organisaties steeds
meer privéapparaten door medewerkers worden gebruikt, biedt App-gebonden VPN veilige
netwerkmogelijkheden voor apps die voor intern gebruik bestemd zijn, terwijl de privacy van
persoonlijke activiteiten op het apparaat beschermd blijft.
Met App-gebonden VPN kan elke app die via een MDM-oplossing wordt beheerd via een
beveiligde tunnel communiceren met het privénetwerk, terwijl andere (onbeheerde) apps
op de Apple apparaten geen toegang hebben tot het netwerk. Beheerde apps kunnen
met verschillende VPN-verbindingen worden gecongureerd om de gegevens verder te
beveiligen. Zo zou een app voor het maken van oertes gebruik kunnen maken van een ander
datacenter dan een crediteurenapp, terwijl het persoonlijke internetverkeer van de gebruiker
gebruikmaakt van het openbare internet. Door deze mogelijkheid om het verkeer op appniveau
te scheiden, kunnen persoonlijke gegevens en gegevens van de organisatie eectief van elkaar
afgeschermd blijven.
Om App-gebonden VPN te kunnen gebruiken, moet een app worden beheerd met een MDM-
oplossing en gebruikmaken van de standaardnetwerk-API's. Nadat App-gebonden VPN is
ingeschakeld voor een VPN-verbinding, moet u die verbinding koppelen aan de apps die deze
verbinding gaan gebruiken om het netwerkverkeer voor deze apps te beveiligen. Dit wordt
gedaan met een payload (in een conguratieproel) waarmee apps worden gekoppeld aan
App-gebonden VPN. App-gebonden VPN wordt gecongureerd met een MDM-conguratie die
aangeeft welke apps en Safari-domeinen gebruik mogen maken van de instellingen.
Als u meer wilt weten over de ondersteuning voor App-gebonden VPN, neemt u contact op met
een externe leverancier van SSL of VPN.
VPN op aanvraag
Overzicht
Met VPN op aanvraag kunnen Apple apparaten automatisch, zonder tussenkomst van de
gebruiker, een beveiligde verbinding tot stand brengen. De VPN-verbinding wordt opgezet
wanneer dat nodig is, op basis van regels die in een conguratieproel zijn vastgelegd. Voor VPN
op aanvraag is identiteitscontrole aan de hand van certicaten vereist.
VPN op aanvraag wordt geconfigureerd met behulp van de sleutel OnDemandRules in de
VPN-payload van een conguratieproel. De regels worden in twee fasen toegepast:
Netwerkdetectie: In deze fase worden de VPN-vereisten bepaald die worden toegepast
wanneer de primaire netwerkverbinding van het apparaat verandert.
Verbindingsevaluatie: In deze fase worden de VPN-vereisten bepaald voor
verbindingsaanvragen bij domeinnamen wanneer dat nodig is.
Regels kunnen bijvoorbeeld worden gebruikt om:
Vast te stellen wanneer een Apple apparaat verbonden is met een intern netwerk en er geen
VPN-verbinding nodig is
Vast te stellen wanneer er een onbekend Wi-Fi-netwerk wordt gebruikt en voor alle
netwerkactiviteit een VPN-verbinding vereist is
Hoofdstuk 4 Infrastructuur en integratie 45
Een VPN-verbinding verplicht te stellen wanneer een DNS-aanvraag voor een opgegeven
domein mislukt
Fasen
VPN op aanvraag maakt in twee stappen verbinding met uw netwerk.
Netwerkdetectie
De regels voor VPN op aanvraag worden geëvalueerd wanneer de primaire netwerkinterface
van het apparaat verandert, bijvoorbeeld wanneer een Apple apparaat overschakelt op een
ander Wi-Fi-netwerk of wanneer het apparaat van een Wi-Fi-netwerk overschakelt naar een
mobiel netwerk in iOS of naar Ethernet in OS X. Als de primaire interface een virtuele interface is
(zoals een VPN-interface), worden de regels voor VPN op aanvraag genegeerd.
Alle vergelijkingsregels in elke set (elk woordenboek) moeten overeenkomen om de daaraan
gekoppelde actie te laten plaatsvinden. Als een van de regels niet overeenkomt, wordt de
evaluatie automatisch voortgezet in het volgende woordenboek in de matrix, totdat de
OnDemandRules-matrix volledig is doorlopen.
In het laatste woordenboek moet een standaardconguratie zijn beschreven; dit woordenboek
bevat geen vergelijkingsregels, maar alleen een actie. Zo worden alle verbindingen afgevangen
waarvoor in de vorige regels geen overeenkomsten zijn gevonden.
Verbindingsevaluatie
VPN kan worden geactiveerd op het moment dat dit nodig is (op basis van verbindingsvereisten
voor bepaalde domeinen), in plaats van dat VPN-verbindingen eenzijdig worden gemaakt en
verbroken op basis van de netwerkinterface.
Regels en acties
Regels zijn nodig om de typen netwerken te deniëren die zijn gekoppeld aan VPN op aanvraag.
Acties geven aan wat er moet gebeuren als de vergelijkingsregels waar zijn.
Vergelijkingsregels VPN op aanvraag
Geef een of meer van de volgende vergelijkingsregels op voor clients met Cisco IPSec:
InterfaceTypeMatch: Optioneel. De tekenreekswaarde 'Cellular' (voor iOS) of 'Ethernet'
(voor OS X) of 'Wi-Fi'. Als deze regel wordt opgegeven, is deze regel waar wanneer de
hardware van de primaire interface van het opgegeven type is.
SSIDMatch: Optioneel. Een matrix van SSID's die met het huidige netwerk worden vergeleken.
Als het netwerk geen Wi-Fi-netwerk is of als de SSID ervan niet in de lijst is opgenomen,
is de regel onwaar. Om SSID te negeren, kunnen deze sleutel en de bijbehorende matrix
worden weggelaten.
DNSDomainMatch: Optioneel. Een matrix van zoekdomeinen in tekenreeksen. Als het
gecongureerde DNS-zoekdomein van het huidige primaire netwerk is opgenomen in
de matrix, is deze regel waar. Jokertekens (*) als voorvoegsel zijn toegestaan. Zo komt
bijvoorbeeld "*.example.com" overeen met "anything.example.com".
DNSServerAddressMatch: Optioneel. Een matrix van DNS-serveradressen in tekenreeksen.
Deze regel is waar als alle DNS-serveradressen die op dat moment voor de primaire interface
zijn gecongureerd, zich in de matrix bevinden. U kunt jokertekens (*) gebruiken. Zo komt
bijvoorbeeld "1.2.3.*" overeen met elke DNS-server die het voorvoegsel "1.2.3" heeft.
URLStringProbe: Optioneel. Een server die wordt benaderd om de bereikbaarheid na te gaan.
Omleiding wordt niet ondersteund. De URL moet naar een vertrouwde HTTPS-server verwijzen.
Het apparaat verstuurt een GET-aanvraag om te controleren of de server bereikbaar is.
Hoofdstuk 4 Infrastructuur en integratie 46
Action
Deze verplichte sleutel bepaalt het VPN-gedrag wanneer alle opgegeven vergelijkingsregels
waar zijn. Waarden voor de Action-sleutel zijn:
Connect: Hiermee wordt de VPN-verbinding bij de volgende verbindingspoging
onvoorwaardelijk geïnitieerd.
Disconnect: De VPN-verbinding wordt verbroken en er worden geen nieuwe verbindingen op
aanvraag geactiveerd.
Ignore: Een eventuele bestaande VPN-verbinding blijft behouden, maar er worden geen
nieuwe verbindingen op aanvraag geactiveerd.
EvaluateConnection: De ActionParameters voor elke verbindingspoging worden geëvalueerd.
Als deze waarde wordt gebruikt, is de sleutel 'ActionParameters' (zie hieronder) vereist om de
evaluatieregels op te geven.
Allow: Zie Achterwaartse compatibiliteit voor iOS-apparaten met iOS 6 of lager.
ActionParameters
Dit is een matrix met woordenboeken met de hieronder beschreven sleutels, die worden geëvalueerd
in de volgorde waarin ze zijn opgenomen. Vereist als de 'Action' 'EvaluateConnection' is.
Domains: Verplicht. Een matrix met tekenreeksen die de domeinen beschrijven waarvoor deze
beoordeling van toepassing is. Jokertekens worden als voorvoegsel ondersteund, bijvoorbeeld
"*.example.com".
DomainAction: Verplicht. Bepaalt het VPN-gedrag voor de domeinen. Waarden voor de
DomainAction-sleutel zijn:
ConnectIfNeeded: Hiermee wordt VPN gebruikt als de DNS-omzetting voor de domeinen
mislukt, bijvoorbeeld wanneer de DNS-server aangeeft dat de domeinnaam niet kan worden
omgezet, wanneer de DNS-reactie wordt omgeleid, of wanneer de verbinding mislukt of er
een time-out optreedt.
NeverConnect: VPN wordt niet geactiveerd voor de domeinen.
Als de waarde 'ConnectIfNeeded' is opgegeven voor 'DomainAction', kunt u ook de volgende
sleutels opgeven in het woordenboek voor de verbindingsevaluatie:
RequiredDNSServers: Optioneel. Een matrix met IP-adressen van DNS-servers die worden
gebruikt voor het omzetten van de domeinen. Deze servers hoeven geen deel uit te maken
van de huidige netwerkconguratie van het apparaat. Als deze DNS-servers niet bereikbaar
zijn, wordt de VPN-voorziening geactiveerd. Om consistente verbindingen te waarborgen,
congureert u een interne DNS-server of een vertrouwde externe DNS-server.
RequiredURLStringProbe: Optioneel. Een HTTP- of (bij voorkeur) HTTPS-URL die met een
GET-aanvraag wordt benaderd. Als de DNS-omzetting voor deze server lukt, moet het
benaderen ook lukken. Als het benaderen niet lukt, wordt VPN geactiveerd.
Achterwaartse compatibiliteit
In oudere versies dan iOS 7 werden regels voor domeinactivering gecongureerd vanuit matrices
van domeinen:
OnDemandMatchDomainAlways
OnDemandMatchDomainOnRetry
OnDemandMatchDomainNever
'OnRetry' en 'Never' worden nog steeds ondersteund in iOS 7 en hoger, maar zijn in feite
uitgefaseerd in verband met de introductie van de actie 'EvaluateConnection'.
Hoofdstuk 4 Infrastructuur en integratie 47
Om een proel aan te maken dat zowel bij iOS 7 als bij eerdere releases werkt, gebruikt u de
nieuwe EvaluateConnection-sleutels in aanvulling op de OnDemandMatchDomain-matrices.
Eerdere versies van iOS die 'EvaluateConnection' niet herkennen, maken gebruik van de oude
matrices, terwijl iOS 7 en hoger 'EvaluateConnection' gebruiken.
Oude conguratieproelen waarin de actie 'Allow' is opgenomen, moeten in principe wel
werken met iOS 7 of hoger, met uitzondering van OnDemandMatchDomainsAlways-domeinen.
Altijd actieve VPN
Overzicht
Met Altijd actieve VPN kan uw organisatie het gegevensverkeer van apparaten optimaal
controleren door al het IP-verkeer via een tunnel terug te leiden naar de organisatie. Met IKEv2,
het standaardprotocol voor het opzetten van tunnels, wordt de uitwisseling van gegevens
beveiligd door middel van gegevenscodering. Uw organisatie kan nu het gegevensverkeer naar
en van de apparaten bewaken, de gegevens binnen het netwerk beveiligen en de toegang tot
het internet beperken.
Activering van Altijd actieve VPN is alleen mogelijk voor apparaten die onder supervisie
staan. Nadat het proel voor Altijd actieve VPN is geïnstalleerd op een apparaat, wordt Altijd
actieve VPN automatisch, zonder tussenkomst van de gebruiker, geactiveerd. Altijd actieve
VPN blijft geactiveerd (ook na opnieuw opstarten) totdat het proel voor Altijd actieve VPN
wordt verwijderd.
Als Altijd actieve VPN is geactiveerd op het apparaat, is het opzetten en weghalen van de
VPN-tunnel gekoppeld aan de IP-status van de interface. Als de interface het IP-netwerk kan
bereiken, wordt er geprobeerd een tunnel op te zetten. Op het moment dat de IP-status van
de interface wegvalt, wordt de tunnel verwijderd. Altijd actieve VPN biedt ook ondersteuning
voor interface-specieke tunnels. In het geval van iOS-apparaten gaat het om één tunnel voor
elke actieve IP-interface (dus één tunnel voor de mobiele interface en één tunnel voor de
Wi-Fi-interface). Als er een of meer VPN-tunnels beschikbaar zijn, wordt al het IP-verkeer door
deze tunnels geleid. Het betreft gegevensverkeer dat via IP wordt gerouteerd en verkeer dat
afkomstig is van of is bestemd voor bepaalde IP-bereiken (verkeer van apps van Apple, zoals
FaceTime en Berichten). Als er geen tunnels beschikbaar zijn, wordt al het IP-verkeer verwijderd.
Alle gegevens van een apparaat die via een tunnel worden verstuurd, komen aan bij een
VPN-server. U kunt hier nog lters en/of controles toepassen voordat het verkeer wordt
doorgestuurd naar de eindbestemming binnen het netwerk van uw organisatie of op het
internet. Hetzelfde geldt voor verkeer dat voor het apparaat is bestemd. Deze gegevens komen
aan op de VPN-server van uw organisatie, waar ze eventueel nog worden gelterd en/of
gecontroleerd voordat ze worden doorgestuurd naar het apparaat.
Implementatiescenario's
iOS-apparaten worden uitgevoerd in de modus voor één gebruiker. Er wordt geen onderscheid
gemaakt tussen de identiteit van het apparaat en de identiteit van de gebruiker. Als een
iOS-apparaat een IKEv2-tunnel opzet met de IKEv2-server, ziet de server het iOS-apparaat als
één gelijkwaardige entiteit. Voorheen werd er altijd maar één tunnel opgezet tussen gekoppelde
iOS-apparaten en een VPN-server. Aangezien er met Altijd actieve VPN interface-specieke
tunnels mogelijk zijn, bestaat de kans dat er op hetzelfde moment meerdere tunnels zijn tussen
een iOS-apparaat en de IKEv2-server, afhankelijk van het implementatiemodel.
Hoofdstuk 4 Infrastructuur en integratie 48
Een conguratie met Altijd actieve VPN ondersteunt de volgende implementatiemodellen om in
verschillende behoeften te voorzien.
Apparaten met alleen een mobiele-dataverbinding
Als uw organisatie ervoor kiest om Altijd actieve VPN te implementeren op iOS-apparaten die
alleen een mobiele-dataverbinding hebben (de Wi-Fi-interface is permanent verwijderd of
gedeactiveerd), wordt er tussen elk apparaat en de IKEv2-server één IKEv2-tunnel opgezet via de
IP-interface voor het mobiele-datanetwerk. Dit komt overeen met het traditionele VPN-model.
Het iOS-apparaat fungeert als één IKEv2-client, met één identiteit (dus één clientcerticaat of één
gebruikersnaam en wachtwoord), waarbij één IKEv2-tunnel met de IKEv2-server wordt opgezet.
Apparaten met een mobiele-dataverbinding en Wi-Fi
Als uw organisatie ervoor heeft gekozen om Altijd actieve VPN te implementeren voor iOS-apparaten
die zowel een mobiele-dataverbinding als Wi-Fi hebben, worden er vanaf het apparaat twee
gelijktijdige IKEv2-tunnels opgezet. Er zijn twee scenario's waarin apparaten met zowel een
mobiele-dataverbinding als Wi-Fi worden gebruikt:
Een mobiele-datatunnel en een Wi-Fi-tunnel die uitkomen op afzonderlijke IKEv2-servers
Uw organisatie kan speciale sleutels gebruiken voor de conguratie van Altijd actieve VPN
met interface-specieke tunnels om apparaten te congureren die een mobiele-datatunnel
opzetten met de ene IKEv2-server en een Wi-Fi-tunnel met een tweede IKEv2-server.
Een voordeel van dit model is dat een apparaat voor beide tunnels dezelfde clientidentiteit
(clientcerticaat of gebruikersnaam/wachtwoord) kan gebruiken, aangezien de tunnels
op verschillende servers uitkomen. Een ander voordeel van het werken met verschillende
servers is dat uw organisatie exibeler kan zijn met de scheiding en controle van het
interface-specieke gegevensverkeer (mobiele data versus Wi-Fi). Het nadeel is dat uw
organisatie twee afzonderlijke IKEv2-servers moet onderhouden met voor alle clients een
identieke identiteitscontrole.
Een mobiele-datatunnel en een Wi-Fi-tunnel die uitkomen op dezelfde IKEv2-server
Bij de conguratie van Altijd actieve VPN met interface-specieke tunnels kan uw organisatie
ook instellen dat de mobiele-datatunnel en de Wi-Fi-tunnel van een apparaat op dezelfde
IKEv2-server uitkomen.
Gebruik van clientidentiteiten:
Eén clientidentiteit per apparaat: Uw organisatie kan dezelfde clientidentiteit (dus één
clientcerticaat of één gebruikersnaam-wachtwoordcombinatie) congureren voor zowel
een mobiele-datatunnel als een Wi-Fi-tunnel indien de IKEv2-server meerdere tunnels per
client ondersteunt. Het voordeel is dat er geen extra clientidentiteit nodig is per apparaat en
dat hierdoor geen extra conguratie/bronnen nodig zijn op de server. Het nadeel is dat er
nieuwe tunnels worden opgezet en dat bestaande tunnels overbodig worden wanneer een
apparaat van netwerk verandert. Afhankelijk van de implementatie van de server, bestaat
de kans dat overbodige tunnels niet eciënt en zorgvuldig kunnen worden verwijderd.
Er moet dan binnen de organisatie een strategie worden bedacht om verouderde tunnels
op de server op te schonen.
Twee clientidentiteiten per apparaat: De organisatie kan twee clientidentiteiten congureren
(dus twee clientcerticaten of twee combinaties van gebruikersnaam/wachtwoord): één
voor een mobiele-datatunnel en één voor een Wi-Fi-tunnel. De IKEv2-server ziet twee
verschillende clients die hun eigen tunnel opzetten. Het voordeel van dit model is dat
het werkt met de meeste serverimplementaties, aangezien veel servers op basis van de
clientidentiteit onderscheid tussen tunnels maken en slechts één tunnel per client toestaan.
Het nadeel van dit model is dat er dubbele identiteiten en dubbele conguraties/bronnen
op de server moeten worden beheerd.
Hoofdstuk 4 Infrastructuur en integratie 49
Conguratieproel voor Altijd actieve VPN
Een conguratieproel voor Altijd actieve VPN kan handmatig worden samengesteld met een
Apple editor voor conguratieproelen (zoals Proelbeheer), met Apple Congurator, of via een
MDM-oplossing van een andere leverancier. Zie Proelbeheer Help of Apple Congurator Help
voor meer informatie.
Sleutels voor gebruikersinteractie
Om te voorkomen dat gebruikers de functie Altijd actieve VPN uitschakelen, moet u instellen
dat het profiel voor Altijd actieve VPN niet kan worden verwijderd door de sleutel
'PayloadRemovalDisallowed' op 'true' te zetten. Deze sleutel vindt u op het hoogste niveau in
het proel.
Om te voorkomen dat gebruikers de werking van Altijd actieve VPN wijzigen door andere
conguratieproelen te installeren, moet u de installatie van UI-proelen onmogelijk maken
door de sleutel 'allowUICongurationProleInstallation' op 'false' te zetten onder de payload
'com.apple.applicationaccess'. Uw organisatie kan aanvullende beperkingen implementeren door
onder dezelfde payload andere ondersteunde sleutels te gebruiken.
Certicaatpayloads
CA-certicaat van server: Als de identiteitscontrole voor de IKEv2-tunnel plaatsvindt aan de
hand van certicaten, verstuurt de IKEv2-server het eigen servercerticaat naar het iOS-
apparaat, dat vervolgens de identiteit van de server controleert. Het iOS-apparaat heeft hier
wel een zogeheten CA-certicaat voor nodig. Dit is een certicaat met informatie over de
certicaatautoriteit (de instantie die het servercerticaat heeft uitgegeven). Het CA-certicaat
van de server is mogelijk al eerder op het apparaat geïnstalleerd. Als dat niet zo is, kan uw
organisatie het CA-certicaat beschikbaar stellen door een certicaatpayload aan te maken
voor het CA-certicaat van de server.
CA-certicaten van clients: Als de identiteitscontrole voor de IKEv2-tunnel plaatsvindt op
basis van certicaten of EAP-TLS, verstuurt het iOS-apparaat het eigen clientcerticaat naar
de IKEv2-server, die vervolgens de identiteit van de client controleert. De client kan één
of twee clientcerticaten hebben, afhankelijk van het geselecteerde implementatiemodel.
Uw organisatie moet het certicaat of de certicaten beschikbaar stellen door een of meer
payloads aan te maken. Tegelijkertijd is het zo dat de IKEv2-server de clientidentiteit alleen
kan controleren als het CA-certicaat van de client is geïnstalleerd. Dit is een certicaat met
informatie over de certicaatautoriteit (de instantie die het clientcerticaat heeft uitgegeven).
Certicaten die door IKEv2 worden ondersteund voor Altijd actieve VPN: Op dit moment worden
door IKEv2 alleen RSA-certicaten ondersteund voor Altijd actieve VPN.
Payload voor Altijd actieve VPN
Het volgende geldt voor de payload voor Altijd actieve VPN.
De payload voor Altijd actieve VPN kan alleen worden geïnstalleerd op iOS-apparaten die
onder supervisie staan
Een conguratieproel kan maar één payload voor Altijd actieve VPN bevatten
Er kan maar één conguratieproel voor Altijd actieve VPN tegelijk zijn geïnstalleerd op een
iOS-apparaat
Hoofdstuk 4 Infrastructuur en integratie 50
Automatisch verbinding maken in iOS
De methode Altijd actieve VPN ondersteunt een optionele sleutel 'UIToggleEnabled', waarmee
uw organisatie de schakelaar 'Connect Automatically' kan weergeven in het venster 'VPN
Settings'. Als deze sleutel niet is opgegeven in het proel of is ingesteld op '0', wordt bij Altijd
actieve VPN geprobeerd een of twee VPN-tunnels op te zetten. Als deze sleutel is ingesteld op '1',
wordt de schakelaar weergegeven in het deelvenster 'VPN Settings' en kan de gebruiker
VPN-tunnels in- of uitschakelen. Als de gebruiker ervoor kiest VPN-tunnels uit te schakelen,
wordt er geen tunnel opgezet en wordt al het IP-verkeer op het apparaat gewist. Dit is handig
wanneer het IP-netwerk niet bereikbaar is en de gebruiker toch telefoongesprekken wil voeren.
De gebruiker kan in dat geval VPN-tunnels uitschakelen om te voorkomen dat er toch wordt
geprobeerd een VPN-tunnel tot stand te brengen.
Matrix voor interface-specieke tunnelconguraties
De matrix 'TunnelCongurations' moet minimaal één tunnelconguratie bevatten (dat wil
zeggen, één tunnelconguratie die wordt toegepast op de interface voor mobiele data voor
apparaten met alleen een mobiele-dataverbinding, of op zowel de interface voor mobiele data
als de interface voor Wi-Fi). Maximaal kunnen er twee tunnelconguraties worden gebruikt
(één voor mobiele-dataverbindingen en één voor Wi-Fi-verbindingen).
Uitzonderingen voor afvangverkeer
Altijd actieve VPN ondersteunt alleen 'Captive AutoLogon' (automatisch inloggen bij ondersteunde
afvangnetwerken met vooraf toegewezen identiteitsgegevens, zoals identiteitsgegevens afgeleid
van SIM).
Altijd actieve VPN biedt ook controle over de afhandeling van afvanglogins dankzij de
ondersteuning van:
AllowCaptiveWebSheet: Een sleutel om verkeer van de ingebouwde Captive WebSheet-app
buiten de tunnel om te laten versturen. De WebSheet-app is een browser die afvanglogins
afhandelt als er geen externe afvangapp aanwezig is. Uw organisatie moet wel rekening
houden met het veiligheidsrisico dat deze sleutel met zich meebrengt, aangezien WebSheet
een functionele browser is die alle inhoud kan weergeven van de afvangserver die reageert.
Het toestaan van verkeer voor WebSheet maakt het apparaat kwetsbaar voor onjuist
werkende of kwaadwillende afvangservers.
AllowAllCaptiveNetworkPlugins: Een sleutel om verkeer van alle bevoegde, externe afvangapps
buiten de tunnel om te laten versturen. Deze sleutel heeft voorrang op het woordenboek
'AllowedCaptiveNetworkPlugins'.
AllowedCaptiveNetworkPlugins: Een lijst met bundel-ID's van bevoegde externe afvangapps.
Verkeer uit deze lijst met externe afvangapps mag buiten de tunnel om worden verstuurd.
Als de sleutel 'AllowAllCaptiveNetworkPlugins' ook is gecongureerd, wordt deze lijst
niet gebruikt.
Hoofdstuk 4 Infrastructuur en integratie 51
Uitzonderingen voor voorzieningen
Met Altijd actieve VPN wordt standaard al het IP-verkeer via een tunnel geleid. Dit geldt
voor al het lokale verkeer en voor het verkeer dat wordt verstuurd via voorzieningen voor
mobiele data. Met de standaardinstelling van Altijd actieve VPN is het dus niet mogelijk
om lokale IP-voorzieningen of voorzieningen van IP-aanbieders te gebruiken. Altijd actieve
VPN ondersteunt echter uitzonderingen voor voorzieningen, zodat uw organisatie de
standaardwerking kan aanpassen door het verkeer van voorzieningen buiten de tunnel om te
leiden of te wissen. De voorzieningen die op dit moment worden ondersteund, zijn VoiceMail
en AirPrint. De toegestane actie is 'Allow' (verkeer buiten de tunnel) of 'Drop' (verkeer wissen
ongeacht de aanwezigheid van een tunnel).
Zie Conguration Prole Key Reference in de iOS Developer Library voor meer informatie over
sleutels en kenmerken van het IKEv2-protocol van Altijd actieve VPN.
5
52
Overzicht
De internetvoorzieningen van Apple zijn ontwikkeld op dezelfde beveiligingspijlers als
waarop het gehele iOS-platform is gebouwd: beveiliging van gegevens (tijdens opslag op het
iOS-apparaat of tijdens overdracht via draadloze netwerken), bescherming van de persoonlijke
gegevens van gebruikers, en bescherming tegen kwaadwillende of onbevoegde toegang
tot informatie en voorzieningen. Elke voorziening maakt gebruik van een eigen, krachtige
beveiligingsarchitectuur zonder dat dit ten koste gaat van de gebruiksvriendelijkheid van iOS.
Met deze voorzieningen kunnen gebruikers beter communiceren en hun persoonlijke gegevens
aanmaken en daarvan een reservekopie maken zonder dat daarbij de gegevens van uw
organisatie in gevaar komen.
Hiertoe behoren:
Apple ID
Zoek mijn iPhone en Activeringsslot
Continuïteit
iCloud
iCloud-sleutelhanger
iMessage
FaceTime
Siri
Apple ID for Students
U kunt via een MDM-oplossing en iOS-beperkingen restricties afdwingen voor bepaalde
voorzieningen. Zie Overzicht voor informatie over MDM-beperkingen.
Beveiliging en privacy liggen ten grondslag aan alle hardware, software en voorzieningen
van Apple. Daarom respecteren we de privacy van onze klanten en gebruiken we sterke
codering, aangevuld met een strikt beleid voor hoe met gegevens wordt omgegaan. Zie
http://www.apple.com/nl/privacy voor meer informatie.
AppleID
Een Apple ID is nodig om toegang te krijgen tot voorzieningen van Apple. U moet weten hoe een
Apple ID werkt, zodat u gebruikers kunt uitleggen hoe ze zelf een Apple ID kunnen aanmaken.
Een Apple ID is een identiteit die wordt gebruikt om in te loggen bij verschillende Apple
voorzieningen, zoals FaceTime, iMessage, de iTunes Store, de App Store, de iBooks Store en
iCloud. Deze voorzieningen geven gebruikers toegang tot een gevarieerd aanbod van materiaal
waarmee ze bedrijfstaken kunnen stroomlijnen, productiever kunnen worden en beter
kunnen samenwerken.
Internetvoorzieningen
Hoofdstuk 5 Internetvoorzieningen 53
Om deze voorzieningen optimaal te kunnen benutten, moeten gebruikers een eigen Apple ID
hebben. Als ze geen Apple ID hebben, kunnen ze er zelf één aanmaken. Dit kunnen ze al
doen voordat ze een Apple apparaat hebben ontvangen of ze kunnen het naderhand met
behulp van de conguratie-assistent doen. De conguratie-assistent biedt een eenvoudige en
gestroomlijnde manier om rechtstreeks vanaf een Apple apparaat een Apple ID aan te maken.
Apple ID's kunnen worden aangemaakt zonder dat hiervoor een creditcard nodig is.
Bij een-op-een-implementaties en in scenario's waarbij apparaten het eigendom zijn van
studenten of leerlingen (BYOD-implementaties), moeten alle gebruikers een eigen Apple ID
hebben. In een implementatie voor gedeeld gebruik kan een Apple ID van de instelling
worden gebruikt om materiaal via Apple Congurator op verschillende Apple apparaten
te implementeren.
Met een Apple ID kan iedere leerling, student of medewerker apps, boeken en ander materiaal
van de onderwijsinstelling installeren, in iBooks notities maken die toegankelijk zijn op iOS-
apparaten en Mac-computers, en zich inschrijven voor iTunes U-cursussen, allemaal zonder dat
IT-beheerders toegang nodig hebben tot de Apple ID op het Apple apparaat van de gebruiker.
Ga naar de website Mijn Apple ID voor meer informatie over Apple ID's.
Zoek mijn iPhone en Activeringsslot
Bij verlies of diefstal van een iOS-apparaat is het raadzaam het apparaat te deactiveren en
te wissen. Met Zoek mijn iPhone, dat deel uitmaakt van iCloud, kunnen gebruikers de laatst
bekende locatie van hun iPad, iPhone of iPod touch opvragen. Dit kan zowel via het onderdeel
'Zoek mijn iPhone' op iCloud.com als via de Zoek mijn iPhone-app op een iOS-apparaat. Zodra
bekend is waar het iOS-apparaat zich bevindt, kan de gebruiker een geluid laten afspelen op het
apparaat, het apparaat in de verliesmodus zetten of het volledig wissen als er verbinding is met
het internet.
In de verliesmodus (iOS 6 of hoger) wordt het iOS-apparaat vergrendeld met een toegangscode,
wordt op het scherm een instelbaar bericht weergegeven en wordt de locatie van het apparaat
gevolgd. Voor iOS-apparaten met iOS 5 wordt met deze functie het apparaat alleen vergrendeld.
Als Zoek mijn iPhone in iOS 7 of hoger is ingeschakeld, kan het iOS-apparaat alleen opnieuw
worden geactiveerd als de Apple ID van de eigenaar wordt ingevoerd. Het is verstandig om
apparaten van de organisatie onder supervisie te plaatsen en om beleidsinstellingen voor de
voorziening Zoek mijn iPhone te gebruiken, zodat uw organisatie vrij is om het apparaat aan
anderen toe te wijzen.
Bij iOS 7.1 of hoger kunt u een compatibele MDM-oplossing gebruiken om op apparaten die
onder supervisie staan Activeringsslot in te schakelen wanneer een gebruiker Zoek mijn iPhone
inschakelt. MDM-beheerders kunnen de voorziening Activeringsslot van Zoek mijn iPhone
beheren door apparaten onder supervisie te plaatsen met Apple Congurator of het Device
Enrollment Program. In de MDM-oplossing kan dan een speciale ontgrendelingscode worden
opgeslagen wanneer Activeringsslot wordt ingeschakeld. Met deze code kan het slot later
automatisch worden uitgeschakeld wanneer u het apparaat moet wissen om het aan een andere
gebruiker te geven. Raadpleeg voor meer informatie de documentatie bij de MDM-oplossing.
Hoofdstuk 5 Internetvoorzieningen 54
Belangrijk:Activeringsslot is standaard niet ingeschakeld op apparaten die onder supervisie
staan, zelfs niet als de gebruiker Zoek mijn iPhone inschakelt. Een MDM-server kan echter een
ontgrendelingscode opvragen en Activeringsslot toestaan op het apparaat. Als Zoek mijn iPhone
is ingeschakeld op het moment dat de MDM-server het activeringsslot inschakelt, wordt het slot
direct ingeschakeld. Als Zoek mijn iPhone is uitgeschakeld op het moment dat de MDM-server
het activeringsslot inschakelt, wordt het slot ingeschakeld wanneer de gebruiker Zoek mijn
iPhone activeert.
Zie de Apple Support-artikelen iCloud Support, iCloud: Gebruik Verloren-modus en
Mobile Device Management en Activeringsslot van Zoek mijn iPhone gebruiken voor
meer informatie over Zoek mijn iPhone, de verliesmodus en het activeringsslot. Zie ook
Instellingen voor activeringsslot in Proelbeheer Help.
Continuïteit
Continuïteit is een pakket voorzieningen waarmee een Mac en een iPhone of iPad probleemloos
met elkaar kunnen communiceren. Voor Continuïteit is iOS 8 of hoger en OS X Yosemite of hoger
nodig. Mogelijk moeten de apparaten ook met dezelfde Apple ID zijn geregistreerd.
Opmerking:Sommige voorzieningen zijn mogelijk niet in alle landen, regio's of talen beschikbaar.
Telefoongesprekken
Een iPhone en een Mac werken probleemloos samen bij telefoongesprekken. Als gebruikers
op de Mac aan het werk zijn en hun iPhone bij zich hebben, kunnen ze een gesprek starten of
beantwoorden op de Mac en het gesprek desgewenst op de iPhone voortzetten.
Sms
Gebruikers kunnen sms-berichten uitwisselen vanaf hun iOS-apparaat met iOS 8.1 of hoger
en vanaf OS X Yosemite of hoger. Sms-berichten worden op alle apparaten van de gebruiker
weergegeven en kunnen ook op elk van deze apparaten worden beantwoord.
Hando
Een gebruiker kan beginnen aan een e-mailbericht of een Pages-document op de Mac en dit
vervolgens heel eenvoudig verder bewerken op een iOS-apparaat in de buurt waarop iOS 8 of
hoger is geïnstalleerd. In de hoek van het scherm van het iOS-apparaat of in het Dock op de Mac
ziet de gebruiker een klein symbool. De gebruiker kan het document weergeven door te vegen
(op een iOS-apparaat) of door te klikken (op de Mac). Hando werkt met Agenda, Contacten,
Mail, Kaarten, Berichten, Pages, Numbers, Keynote, Reminders en Safari. App-ontwikkelaars
kunnen Hando ook in hun apps integreren.
Instant Hotspot
Met Instant Hotspot kan een Mac een iPhone of iPad (met mobiele dataverbinding) met iOS 8.1
of hoger gebruiken als internetverbinding als er geen Wi-Fi beschikbaar is. De signaalsterkte en
batterijduur van uw iOS-apparaat worden weergegeven in de menubalk van de Mac. Zodra de
gebruiker het iOS-apparaat loskoppelt, wordt de hotspot gedeactiveerd om de batterij van het
apparaat te sparen.
Opmerking:Vraag uw mobiele aanbieder naar de beschikbaarheid van hotspots.
AirDrop
Via AirDrop kunnen draadloos bestanden worden uitgewisseld tussen een Mac met OS X Mavericks
of hoger en een iOS-apparaat in de buurt waarop iOS 8 of hoger is geïnstalleerd, zonder dat er een
draadloos netwerk beschikbaar is. AirDrop werkt vanuit elk deelmenu en in de navigatiekolom
van de Finder op een Mac.
Hoofdstuk 5 Internetvoorzieningen 55
iCloud
Met iCloud kunnen gebruikers persoonlijke inhoud opslaan, zoals contactpersonen, agenda's,
documenten en foto's, en deze vervolgens up-to-date houden op verschillende iOS-apparaten
en Mac-computers. Inhoud in iCloud wordt beveiligd doordat deze tijdens de verzending via het
internet wordt gecodeerd. Het materiaal wordt ook gecodeerd bewaard en er worden veilige
tokens gebruikt voor identiteitscontrole. iCloud maakt elke dag via Wi-Fi een reservekopie
van gegevens, zoals iOS-apparaat-instellingen, appgegevens en sms- en mms-berichten.
iCloud-reservekopie werkt alleen wanneer het apparaat is vergrendeld, is aangesloten op
een voedingsbron en via Wi-Fi toegang tot het internet heeft. Daarnaast biedt iCloud de
mogelijkheid om kwijtgeraakte of gestolen iOS-apparaten of Mac-computers terug te vinden via
Zoek mijn iPhone.
Via een MDM-oplossing kan ook worden ingesteld dat er geen reservekopie van beheerde
apps kan worden gemaakt in iCloud. Dit heeft als voordeel dat gebruikers iCloud kunnen
gebruiken voor persoonlijke gegevens, terwijl zakelijke informatie niet wordt opgeslagen
in iCloud. In iCloud worden geen reservekopieën opgeslagen van gegevens van zakelijke
accounts en zakelijke interne apps. Sommige voorzieningen kunnen worden uitgeschakeld via
beperkingen die handmatig worden ingesteld op het apparaat of die worden afgedwongen via
conguratieproelen. Denk hierbij aan voorzieningen zoals iCloud Foto's, iCloud-sleutelhanger
en iCloud Drive.
Ga naar de iCloud-website voor meer informatie over iCloud. Lees het Apple Support-artikel
iCloud: overzicht van iCloud-beveiliging en -privacy voor meer informatie over iCloud-beveiliging
en -privacy. Lees het Apple Support-artikel Systeemvereisten voor iCloud voor meer informatie
over de systeemvereisten voor iCloud.
Opmerking:Voor sommige voorzieningen is een Wi-Fi-verbinding vereist. Sommige voorzieningen
zijn niet in alle landen beschikbaar. De toegang tot bepaalde voorzieningen is beperkt tot
10 apparaten.
iCloud Drive
Gebruikers kunnen hun documenten veilig op iCloud Drive bewaren, waarna ze er overal en
op elk gewenst moment over kunnen beschikken op hun iPhone, iPad, Mac of Windows-pc.
Documentbibliotheken van iOS-apps zijn ook toegankelijk vanaf een Mac, wat inhoudt
dat documenten die op een iOS-apparaat zijn aangemaakt, op een Mac verder kunnen
worden bewerkt.
Gebruikers kunnen hun Pages-, Numbers- en Keynote-documenten die in iCloud Drive zijn
opgeslagen, ook met anderen delen. Elke iOS-app laat zien welke compatibele documenten in
iCloud Drive zijn opgeslagen. Op een Mac wordt iCloud Drive weergegeven als een map in OS X.
Gebruikers kunnen bestanden slepen en neerzetten, mappen en tags gebruiken en zelfs zoeken
met Spotlight.
iCloud houdt uw informatie up-to-date op al uw apparaten. Wijzigingen die oine in een
bestand worden aangebracht, worden automatisch in alle versies doorgevoerd zodra het
apparaat weer online is.
Hoofdstuk 5 Internetvoorzieningen 56
iCloud-sleutelhanger
iCloud-sleutelhanger houdt websitewachtwoorden uit Safari en wachtwoorden voor Wi-Fi-netwerken
up-to-date op al uw iOS-apparaten en Mac-computers waarop iCloud is gecongureerd. In de
sleutelhanger kunnen wachtwoorden worden opgeslagen voor alle apps die deze voorziening
ondersteunen. In iCloud-sleutelhanger worden ook creditcardgegevens opgeslagen die u in
Safari bewaart, zodat Safari deze informatie kan invullen op uw iOS-apparaten en Mac. Verder
worden in iCloud-sleutelhanger inlog- en conguratiegegevens voor internetaccounts bewaard.
iCloud-sleutelhanger heeft twee functies:
Het op alle apparaten up-to-date houden van Sleutelhanger
Het herstellen van sleutelhangers
Het bijwerken van de sleutelhanger op iOS-apparaten en Mac-computers is uitsluitend mogelijk
als de gebruiker hiervoor toestemming heeft gegeven. Elk onderdeel van de sleutelhanger dat
voor bijwerken in aanmerking komt, wordt met apparaatspecieke codering uitgewisseld via de
iCloud-opslag voor sleutelwaarden. De sleutelhangeronderdelen hebben een tijdelijk karakter en
verdwijnen na de synchronisatie uit iCloud.
De herstelvoorziening voor sleutelhangers biedt gebruikers de mogelijkheid om hun sleutelhanger
bij Apple in bewaring te geven zonder dat Apple de wachtwoorden en de andere gegevens
daarin kan lezen. Ook als een gebruiker maar één iOS-apparaat of Mac heeft, kan herstel van
sleutelhangers een vangnet voor gegevensverlies vormen. Dit is met name belangrijk als Safari
wordt gebruikt voor het genereren van krachtige, willekeurige wachtwoorden voor internetaccounts,
aangezien deze wachtwoorden uitsluitend in de sleutelhanger worden bewaard.
Van de iCloud-sleutelhanger van een gebruiker wordt een reservekopie in iCloud gemaakt als
de gebruiker een iCloud-beveiligingscode aanmaakt. Een secundaire identiteitscontrole en een
veilige bewaarservice zijn belangrijke onderdelen van de herstelfunctie voor sleutelhangers.
De sleutelhanger van de gebruiker wordt met een sterke toegangscode versleuteld, en de
bewaarservice geeft uitsluitend een exemplaar van de sleutelhanger af als aan een reeks strikte
voorwaarden wordt voldaan.
Belangrijk:Als de gebruiker geen beveiligingscode aanmaakt voor iCloud, kan iCloud-sleutelhanger
niet worden hersteld. Zie het Apple Support-artikel Frequently asked questions about iCloud Keychain
(Engelstalig).
iMessage
iMessage is een berichtenvoorziening voor iOS-apparaten en Mac-computers die individuele
chats en chats tussen groepen mogelijk maakt. iMessage ondersteunt tekst en bijlagen zoals
foto's, contactpersonen en locaties. Berichten worden weergegeven op alle geregistreerde
iOS-apparaten en Mac-computers van de gebruiker, zodat de gebruiker een gesprek op
elk apparaat kan voortzetten. Voor iMessage wordt gebruikgemaakt van de Apple Push
Notication Service (APNs) en van end-to-end codering met sleutels die alleen bekend zijn op
de verzendende en ontvangende iOS-apparaten en Mac-computers. Apple kan berichten niet
decoderen en berichten worden niet geregistreerd.
Opmerking:Hiervoor gelden mogelijk de gegevenstarieven van de aanbieder. Berichten worden
mogelijk als sms verstuurd wanneer iMessage niet beschikbaar is; hierop zijn de sms-tarieven van
uw aanbieder van toepassing.
Hoofdstuk 5 Internetvoorzieningen 57
FaceTime
FaceTime is de dienst van Apple voor het voeren van video- en audiogesprekken. Voor
FaceTime-gesprekken wordt via de Apple Push Notication Service een verbinding tot stand
gebracht. Vervolgens wordt met behulp van ICE (Internet Connectivity Establishment) en SIP
(Session Initiation Protocol) een versleutelde stream opgezet. Met FaceTime kunnen gebruikers
communiceren via elk iOS- en OS X-apparaat.
Opmerking:FaceTime-gesprekken zijn alleen mogelijk als zowel de beller als de gebelde persoon
een apparaat met FaceTime hebben en er een Wi-Fi-verbinding is. Voor FaceTime via een mobiel
netwerk is een iPhone 4s of nieuwer vereist, een iPad met Retina-display of een iPad mini of
nieuwer met een voorziening voor mobiel dataverkeer. Beschikbaarheid via een mobiel netwerk
is afhankelijk van het beleid van de aanbieder. Er kunnen kosten voor dataverkeer in rekening
worden gebracht.
Siri
Door gewoon te praten kunnen gebruikers onder andere berichten laten versturen,
vergaderingen laten plannen en telefoonnummers laten kiezen door Siri. Siri gebruikt
spraakherkenning, tekst-naar-spraak en een client-servermodel om op een breed scala aan
verzoeken te kunnen reageren. De taken die door Siri worden ondersteund, zijn zo ontworpen
dat alleen het absolute minimum aan persoonlijke gegevens wordt gebruikt en dat deze
gegevens volledig beveiligd zijn. De vragen en gesproken memo's voor Siri worden niet aan een
persoon gekoppeld, en de functies van Siri worden waar mogelijk niet op de server maar op het
iOS-apparaat zelf uitgevoerd.
Opmerking:Siri is mogelijk niet beschikbaar in alle talen of gebieden en de functies kunnen
per gebied verschillen. Internettoegang is vereist. Er kunnen kosten voor mobiel dataverkeer in
rekening worden gebracht.
AppleID for Students
Het programma Apple ID for Students is voor leerlingen jonger dan 13 jaar. De school of de
overkoepelende organisatie vraagt de Apple ID's aan en deze worden door Apple aangemaakt
nadat door een ouder of verzorger het hiervoor bestemde formulier is ondertekend. Deze
methode voldoet aan de voorwaarden van de Amerikaanse Children's Online Privacy Protection
Act (COPPA).
Zie de volgende website voor meer informatie over Apple ID for Students:
Apple ID for Students
Apple ID for Students Help
Opmerking:Het programma Apple ID for Students is niet in alle landen of regio's beschikbaar.
Apple Push Notication Service (APNs)
Veel voorzieningen maken gebruik van de Apple Push Notication Service (APNs). Met behulp
van de APNs worden updates, het MDM-beleid en inkomende berichten doorgegeven aan Apple
apparaten. Apple apparaten kunnen van deze voorzieningen gebruikmaken als u netwerkverkeer
toestaat tussen het apparaat en het netwerk van Apple (17.0.0.0/8) op poort 5223, eventueel met
poort 443 als alternatief.
Hoofdstuk 5 Internetvoorzieningen 58
Dit verkeer is een beveiligd, binair protocol dat speciek voor de APNs is bedoeld; het kan niet
via een proxy worden geleid. Elke poging om inzage in het verkeer te krijgen of om het verkeer
om te leiden, wordt door de client, de APNs en pushproviderservers aangemerkt als dubieus
en ongeldig.
Op de eindpunten en de servers van de APNs worden meerdere beveiligingslagen toegepast.
Zie Local and Remote Notication Programming Guide (Engelstalig) voor technische informatie
over deze beveiligingsmaatregelen.
6
59
Overzicht
iOS en OS X zijn opgebouwd uit verschillende beveiligingslagen, zodat Apple apparaten op
een veilige manier toegang kunnen krijgen tot netwerkvoorzieningen en belangrijke gegevens
worden beschermd. Bescherming is ook verzekerd door het gebruik van toegangscodes en
beleidsregels voor toegangscodes, die met MDM kunnen worden aangeleverd en ingesteld.
Mocht een Apple apparaat in verkeerde handen vallen, kunnen gebruikers en IT-beheerders alle
persoonlijke gegevens op het apparaat op afstand wissen.
De volgende elementen spelen een rol bij de beveiliging van Apple apparaten die in
bedrijfsomgevingen worden gebruikt:
Methoden die het apparaat beveiligen tegen ongeoorloofd gebruik
Beveiliging van de gegevens, ook wanneer het apparaat kwijt of gestolen is
Netwerkprotocollen en de codering van gegevens tijdens de overdracht
Apps veilig uitvoeren zonder de integriteit van het platform in gevaar te brengen
Deze elementen zijn zodanig met elkaar verweven dat ze een veilig mobiel computerplatform
bieden. Zie iOS and the new IT (Engelstalig) voor meer informatie over beveiliging met iOS.
Beveiliging van apparaten en gegevens
Overzicht
Een streng toegangsbeleid voor Apple apparaten is essentieel voor het beveiligen van de
gegevens van uw organisatie. Een sterke toegangscode voor iOS-apparaten is de eerste stap
in het voorkomen van toegang door onbevoegden. Deze toegangscodes kunnen met MDM
worden gecongureerd en ingesteld.
Verder genereren iOS-apparaten op basis van de door de gebruiker ingestelde toegangscode
een krachtige coderingssleutel om e-mails en gevoelige appgegevens op het apparaat nog
beter te beveiligen. Daarnaast biedt iOS veilige methoden om het apparaat te congureren in
een IT-omgeving waar bepaalde (beleids)instellingen en beperkingen moeten gelden.
Deze methoden bieden exibele opties om een standaardbeveiligingsniveau in te stellen voor
bevoegde gebruikers.
Beleidsregels voor toegangscodes
Een toegangscode voor iOS-apparaten voorkomt dat onbevoegde gebruikers toegang hebben
tot gegevens op een apparaat. iOS biedt een uitgebreide reeks beleidsregels voor toegangscodes
om het gewenste beveiligingsniveau te creëren.
De beleidsregels voor toegangscodes zijn onder andere:
Toegangscode op iOS-apparaat vereist
Alfanumerieke waarde vereist
Beveiliging
Hoofdstuk 6 Beveiliging 60
Minimale lengte toegangscode
Minimale aantal complexe tekens
Maximale gebruiksduur toegangscode
Tijd voor automatische vergrendeling
Geschiedenis toegangscodes
Geldigheid toegangscode bij vergrendeling
Maximaal aantal mislukte pogingen voordat het iOS-apparaat wordt gewist
Afdwingen van beleid
U kunt beleidsinstellingen distribueren via een conguratiebestand dat gebruikers installeren.
U kunt een proel ook zo deniëren dat het alleen met een beheerderswachtwoord kan worden
verwijderd of dat het permanent aan het iOS-apparaat wordt gekoppeld en alleen kan worden
verwijderd door de volledige inhoud van het apparaat te wissen. Met MDM kunnen instellingen
voor toegangscodes die op afstand zijn gecongureerd, rechtstreeks naar het apparaat worden
verstuurd. Op deze manier kunnen beleidsinstellingen zonder tussenkomst van de gebruiker
worden afgedwongen en bijgewerkt.
Als een apparaat is geconfigureerd voor gebruik van een Microsoft Exchange-account,
worden de Exchange ActiveSync-beleidsinstellingen draadloos naar het apparaat verstuurd.
Welke beleidsinstellingen beschikbaar zijn, is afhankelijk van de versie van Exchange ActiveSync
en Exchange Server waarmee wordt gewerkt. Als er sprake is van zowel Exchange- als
MDM-beleidsinstellingen, wordt de strengste instelling gebruikt.
Beveiligde apparaatconguratie
Een conguratieproel is een XML-bestand met beveiligings- en beperkingsinstellingen,
VPN-conguratiegegevens, Wi-Fi-instellingen, e-mail- en agenda-accounts en gegevens
voor identiteitscontroles die het mogelijk maken dat iOS-apparaten samen met uw
IT-systemen kunnen worden gebruikt. De mogelijkheid om in een conguratieproel zowel
beleidsinstellingen voor toegangscodes als apparaatinstellingen vast te leggen, zorgt ervoor dat
apparaten correct worden gecongureerd en voldoen aan de beveiligingsstandaarden van uw
IT-afdeling. Omdat conguratieproelen kunnen worden gecodeerd en vergrendeld, kunnen de
instellingen niet worden verwijderd, gewijzigd of met andere personen worden gedeeld.
Conguratieproelen kunnen worden ondertekend én gecodeerd. Door een conguratieproel
te ondertekenen, wordt gewaarborgd dat de instellingen in het proel op geen enkele manier
kunnen worden gewijzigd. Door een conguratieproel te coderen, wordt de inhoud van het
proel beschermd en kan het proel alleen worden geïnstalleerd op het apparaat waarvoor
het is aangemaakt. Conguratieproelen worden gecodeerd met CMS (Cryptographic Message
Syntax, RFC 3852) en ondersteunen 3DES en AES 128.
Als u een gecodeerd conguratieproel voor de eerste keer distribueert, kunt u het via een
USB-verbinding installeren met behulp van Apple Congurator, draadloos installeren volgens het
protocol "Over-The-Air Prole Delivery and Conguration" of via een MDM-oplossing installeren.
Daarna kunt u gecodeerde conguratieproelen distribueren als e-mailbijlage, via een website
die toegankelijk is voor uw gebruikers of door ze met de MDM-oplossing naar het apparaat
te pushen.
Zie Over-the-Air Prole Delivery and Conguration voor meer informatie.
Hoofdstuk 6 Beveiliging 61
Gegevensbeveiliging
U kunt vertrouwelijke gegevens, zoals e-mailberichten en bijlagen die op het apparaat zijn
opgeslagen, beter beveiligen door de ingebouwde functies voor gegevensbeveiliging van iOS
te gebruiken. De unieke toegangscode van gebruikers plus de hardwarematige codering op
iOS-apparaten vormen samen een krachtige coderingssleutel voor gegevensbeveiliging. Met
deze sleutel wordt voorkomen dat de gegevens op het apparaat toegankelijk zijn wanneer het
apparaat is vergrendeld. Daarnaast wordt er zo voor gezorgd dat belangrijke gegevens zelfs in
onveilige situaties zijn afgeschermd.
Om gegevensbeveiliging in te schakelen, moet u een toegangscode op het apparaat instellen.
Hoe sterker de toegangscode, hoe beter de gegevens worden beveiligd. Daarom is het
verstandig om in de instellingen voor de toegangscode op te geven dat toegangscodes uit meer
dan vier cijfers moeten bestaan.
Gebruikers kunnen in het scherm voor toegangscode-instellingen controleren of
gegevensbescherming op hun apparaat is ingeschakeld. Deze informatie kan ook worden
opgevraagd via een MDM-oplossing.
Voor ontwikkelaars zijn er ook API's voor gegevensbeveiliging beschikbaar. Deze API's kunnen
worden gebruikt om gegevens in apps uit de App Store of interne maatwerkapps te beveiligen.
Met iOS 7 of hoger worden gegevens van apps standaard opgeslagen in de beveiligingsklasse
'Protected Until First User Authentication'. Dit is te vergelijken met volledige schijfcodering op
desktopcomputers en houdt in dat gegevens worden beschermd tegen aanvallen waarvoor het
apparaat opnieuw moet worden opgestart.
iOS 8 biedt gegevensbeveiliging voor Agenda's, Contacten, Berichten, Notities, Herinneringen,
evenals voor beheerde boeken en pdf's.
Opmerking:Als een upgrade wordt uitgevoerd op een apparaat met iOS 6, worden de bestaande
gegevensarchieven niet naar de nieuwe klasse geconverteerd. Als de app wordt verwijderd en
vervolgens opnieuw wordt geïnstalleerd, krijgt de app wel de nieuwe beveiligingsklasse.
Codering
Op iOS-apparaten wordt gebruikgemaakt van hardwarecodering. Hierbij wordt gebruikgemaakt
van 256-bits-AES-codering om alle gegevens op het apparaat te beveiligen. Codering is altijd
ingeschakeld en kan niet worden uitgeschakeld. Daarnaast kunnen ook reservekopiegegevens
in iTunes op de computer van de gebruiker worden gecodeerd. Deze instelling kan door de
gebruiker zelf worden ingeschakeld of door een apparaatbeperking in een conguratieproel
worden opgelegd.
Validatie van de cryptograsche modules in iOS 6 of hoger heeft uitgewezen dat ze voldoen aan
de Amerikaanse Federal Information Processing Standard (FIPS) 140-2 Level 1. Dit garandeert de
integriteit van de cryptograsche bewerkingen in apps van Apple en andere leveranciers die op
de juiste manier gebruikmaken van de cryptograsche voorzieningen van iOS.
Lees voor meer informatie de Apple Support-artikelen iOS-productbeveiliging: validaties en richtlijnen
en iOS 7: cryptograsche modules met FIPS-validatie v4.0 van Apple voor iOS.
S/MIME per bericht
iOS 8 en OS X Yosemite ondersteunen S/MIME per bericht, wat inhoudt dat S/MIME-gebruikers
ervoor kunnen kiezen om berichten altijd te ondertekenen en te coderen, of om berichten
afzonderlijk te ondertekenen en/of te coderen om zo meer controle te hebben over de
beveiliging van elk e-mailbericht.
Hoofdstuk 6 Beveiliging 62
Certicaten voor gebruik met S/MIME kunnen op het Apple apparaat worden aangeleverd
met behulp van een conguratieproel, MDM of SCEP. Zo kan de IT-afdeling gemakkelijker
waarborgen dat gebruikers altijd de juiste certicaten hebben geïnstalleerd.
Externe e-mailadressen
In iOS 8 en OS X Yosemite kan een lijst met domeinen met een bepaald achtervoegsel worden
aangemaakt. E-mailberichten die niet zijn geadresseerd aan domeinen die in de goedgekeurde
lijst staan, worden rood gemarkeerd. Stel dat een gebruiker zowel example.com als group.
example.com heeft opgenomen in de lijst met bekende domeinen. Als een gebruiker het adres
iemand@acme.com invoert in een Mail-bericht terwijl in de lijst met bekende domeinen alleen
example.com en group.example.com staan, wordt dit adres duidelijk gemarkeerd, zodat de
gebruiker ziet dat het domein acme.com niet in de lijst met goedgekeurde domeinen staat.
Touch ID
Touch ID is een sensorsysteem voor vingerafdrukken dat in bepaalde iOS-apparaten is
ingebouwd en dat hoogwaardige beveiliging van het apparaat eenvoudiger, sneller en veiliger
maakt. Met deze technologie kunnen vanuit elke hoek vingerafdrukken worden gelezen. De
vingerafdrukkaart van een gebruiker wordt gaandeweg steeds completer, omdat bij elk gebruik
aanvullende overlappende knooppunten worden herkend en aan de kaart worden toegevoegd.
Met Touch ID wordt het gebruik van langere en complexere toegangscodes een stuk praktischer,
aangezien de gebruiker de toegangscode minder vaak hoeft in te toetsen.
Als Touch ID is ingeschakeld, wordt het apparaat direct vergrendeld zodra op de sluimerknop
wordt gedrukt. Wanneer alleen een toegangscode vereist is, stellen veel gebruikers een time-
out voor het automatische slot in om te voorkomen dat ze telkens als ze het apparaat willen
gebruiken de toegangscode weer moeten invoeren. Met Touch ID wordt het apparaat telkens
vergrendeld als het apparaat in de sluimerstand gaat en is de vingerafdruk (of optioneel de
toegangscode) nodig om het apparaat uit de sluimerstand te halen.
Touch ID werkt samen met de Secure Enclave, een coprocessor in de Apple A7-chip. De Secure
Enclave beschikt over een eigen beveiligde en gecodeerde geheugenruimte en communiceert
op een beveiligde manier met de Touch ID-sensor. Wanneer het apparaat wordt vergrendeld,
worden de sleutels voor de gegevensbeveiligingsklasse 'Complete' beveiligd met een sleutel die
zich in het gecodeerde geheugen van de Secure Enclave bevindt. De sleutel wordt maximaal
48 uur bewaard en wordt verwijderd als het apparaat opnieuw wordt opgestart of wanneer er
vijf keer een onbekende vingerafdruk wordt gebruikt. Als een vingerafdruk wordt herkend,
levert de Secure Enclave de sleutel voor het uitpakken van de gegevensbeveiligingssleutels en
wordt het apparaat ontgrendeld.
In iOS 8 kan nu ook via Touch ID worden ingelogd bij apps van andere ontwikkelaars. Als de
ontwikkelaar deze voorziening heeft geïntegreerd in de app, hoeft de gebruiker geen wachtwoord
in te voeren. Alle sleutelhangeronderdelen die door de ontwikkelaar zijn opgegeven, kunnen met
Touch ID worden ontgrendeld. De vingerafdrukgegevens van een gebruiker worden beveiligd en
worden nooit geraadpleegd door by iOS of apps.
Hoofdstuk 6 Beveiliging 63
Wissen op afstand
Apple apparaten kunnen op afstand worden gewist. Als een Apple apparaat zoekraakt of
gestolen wordt, kan een beheerder of de eigenaar van het apparaat opdracht geven alle
gegevens te wissen en het apparaat te deactiveren. Dit kan via een MDM-oplossing of met de
iCloud-functie Zoek mijn iPhone. Als het apparaat is gecongureerd met een Exchange-account,
kan de beheerder via de Exchange Management Console (Exchange Server 2007) of de Exchange
ActiveSync Mobile Administration Web-tool (Exchange Server 2003 of 2007) op afstand een
wiscommando geven. Gebruikers die met Exchange Server 2007 werken, kunnen dit commando
ook direct via Outlook Web Access geven.
Lokaal wissen
U kunt apparaten zo congureren dat de gegevens automatisch lokaal worden gewist nadat er
een bepaald aantal keer een onjuiste toegangscode is ingevoerd. Zo wordt het buitenstaanders
direct moeilijk gemaakt om toegang te krijgen. Als er een toegangscode is ingesteld, kunnen
gebruikers de functie voor lokaal wissen inschakelen. Het apparaat wordt standaard na tien
mislukte pogingen automatisch gewist. Het maximale aantal pogingen kan worden opgegeven
in een conguratieproel, worden ingesteld op een MDM-server of via Exchange ActiveSync-
beleid draadloos worden afgedwongen.
Netwerkbeveiliging
Mobiele gebruikers moeten altijd en overal toegang kunnen krijgen tot hun bedrijfsnetwerk.
Uiteraard is het hierbij wel van belang dat de gebruikers zijn geautoriseerd en dat hun
gegevens tijdens de overdracht worden beveiligd. De ingebouwde netwerkbeveiliging
van iOS ondersteunt deze beveiligingsdoelstellingen voor zowel Wi-Fi-verbindingen als
mobiele verbindingen.
iOS ondersteunt de volgende methoden voor netwerkbeveiliging:
Ingebouwd: Cisco IPSec, L2TP, IKEv2, PPTP
SSL-VPN via App Store-apps
SSL/TLS met X.509-certicaten
WPA/WPA2 op bedrijfsniveau met 802.1x
Identiteitscontrole op basis van certicaten
RSA SecurID, CRYPTOCard
VPN
In veel bedrijfsomgevingen wordt een VPN (Virtual Private Network) gebruikt. Voor deze
beveiligde netwerkvoorzieningen zijn doorgaans minimale instellingen en conguratiestappen
nodig om met Apple apparaten te kunnen werken, aangezien iOS met een breed scala aan
veelgebruikte VPN-technologieën kan worden geïntegreerd.
Zie Overzicht voor meer informatie over Virtual Private Networks (VPN).
IPSec
iOS en OS X ondersteunen IPSec-protocollen en -methoden voor identiteitscontrole. Zie
Ondersteunde protocollen en methoden voor identiteitscontrole voor meer informatie.
SSL/TLS
iOS biedt ondersteuning voor SSL versie 3 en TLS versie 1.0, 1.1 en 1.2 (Transport Layer Security).
Voor Safari, Agenda, Mail en andere internetapps worden deze protocollen automatisch gebruikt
om een gecodeerd communicatiekanaal op te zetten tussen iOS of OS X en bedrijfsvoorzieningen.
Hoofdstuk 6 Beveiliging 64
WPA/WPA2
iOS en OS X ondersteunen WPA2 op bedrijfsniveau om de identiteitscontrole voor toegang
tot het draadloze bedrijfsnetwerk uit te voeren. WPA2 op bedrijfsniveau gebruikt 128-bit
AES-codering, wat inhoudt dat de gegevens van gebruikers worden beveiligd tijdens
communicatie via een Wi-Fi-netwerk. Dankzij de ondersteuning voor 802.1x-identiteitscontrole
kunnen de Apple apparaten bovendien in uiteenlopende RADIUS-serveromgevingen
worden geïntegreerd.
iOS en OS X ondersteunen de volgende 802.1x-protocollen voor identiteitscontrole:
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
EAP-AKA
PEAP versie 0, versie 1
LEAP
Zie het Overzicht voor meer informatie over Wi-Fi.
Codering voor FaceTime en iMessage
Alle FaceTime-sessies en iMessage-gesprekken worden van begin tot eind gecodeerd. In iOS en
OS X wordt voor iedere gebruiker een unieke ID aangemaakt, zodat de communicatie op de
juiste manier wordt gecodeerd, wordt verstuurd en tot stand wordt gebracht.
Beveiliging van apps
In iOS en OS X wordt gebruikgemaakt van 'sandboxing' voor de runtimebescherming van
apps. Ook worden apps ondertekend om te waarborgen dat er niet mee kan worden geknoeid.
Daarnaast hebben iOS en OS X een sleutelhanger, waarin vericatiegegevens voor apps en
netwerken veilig en gecodeerd worden opgeslagen. Voor iOS- en OS X-ontwikkelaars biedt iOS
een Common Crypto-architectuur die kan worden gebruikt om de opslag van appgegevens
te coderen.
Runtimebeveiliging
De apps uit de App Store worden in een sandbox geplaatst, zodat ze geen toegang hebben tot
gegevens van andere apps. Bovendien worden systeembestanden, hulpbronnen en de kernel
afgeschermd van de ruimte voor de app. Een app kan alleen via de API's en voorzieningen van
iOS en OS X toegang krijgen tot de gegevens van een andere app. Bovendien wordt voorkomen
dat code kan worden gegenereerd.
Verplichte codeondertekening
Alle apps uit de App Store moeten zijn ondertekend. Alle apps die bij Apple apparaten worden
geleverd, zijn door Apple ondertekend. Apps van derden zijn ondertekend door de ontwikkelaar
met een door Apple afgegeven certicaat. Dit garandeert dat er niet mee geknoeid is en dat
de app niet is gewijzigd. Bovendien worden er runtimecontroles uitgevoerd, zodat u er zeker
van kunt zijn dat u de app nog steeds kunt vertrouwen sinds u deze voor de laatste keer
hebt gebruikt.
Hoofdstuk 6 Beveiliging 65
U kunt het gebruik van interne maatwerkapps beheren met behulp van een voorzieningenproel.
Gebruikers kunnen de app in dat geval alleen starten als het voorzieningenproel is geïnstalleerd.
Voorzieningenproelen kunnen draadloos via MDM worden geïnstalleerd. U kunt het gebruik
van een app ook beperken tot bepaalde apparaten.
Beveiligd framework voor identiteitscontrole
iOS en OS X bieden een veilige, gecodeerde sleutelhanger voor de opslag van digitale
identiteitsgegevens, gebruikersnamen en wachtwoorden. De sleutelhangergegevens zijn
gepartitioneerd en beveiligd met toegangscontrolelijsten, zodat de vericatiegegevens die door
apps van derden zijn opgeslagen niet toegankelijk zijn voor apps met een andere identiteit,
tenzij de gebruiker hiervoor expliciet toestemming geeft. Hierdoor worden de gegevens voor
identiteitscontroles op Apple apparaten voor een aantal apps en voorzieningen binnen de
organisatie beveiligd.
Common Crypto-architectuur
Ontwikkelaars van apps kunnen de gegevens van hun app beveiligen met speciale coderings-API's.
Gegevens kunnen symmetrisch worden gecodeerd met behulp van beproefde methoden
zoals AES, RC4 en 3DES. Bovendien bieden iOS-apparaten en de huidige Intel Mac-computers
hardwareversnelling voor AES-versleuteling en SHA1-hashing, wat de prestaties van apps ten
goede komt.
Beveiliging van appgegevens
Apps kunnen ook gebruikmaken van de ingebouwde hardwarecodering op iOS-apparaten om
gevoelige appgegevens nog beter te beveiligen. Ontwikkelaars kunnen bepaalde bestanden
aanwijzen voor gegevensbeveiliging, waarbij de inhoud van zo'n bestand cryptograsch
ontoegankelijk wordt gemaakt voor zowel de app als potentiële indringers wanneer het
apparaat is vergrendeld.
Rechten van apps
Een app op een iOS-apparaat heeft standaard maar weinig bevoegdheden. Ontwikkelaars moeten
expliciet rechten toevoegen om gebruik te kunnen maken van de meeste voorzieningen,
zoals iCloud, verwerking op de achtergrond en gedeelde sleutelhangers. Hiermee wordt
voorkomen dat apps zichzelf onbevoegde toegang tot gegevens geven. Bovendien moeten
iOS-apps expliciet om toestemming van de gebruiker vragen voordat gebruik kan worden
gemaakt van allerlei iOS-voorzieningen, zoals gps, contacten, de camera of bewaarde foto's.
Eenmalige aanmelding en TouchID
Ontwikkelaars kunnen Eenmalige aanmelding en Touch ID gebruiken om een veilige,
naadloos geïntegreerde identiteitscontrole mogelijk te maken tussen verschillende apps en
om identiteitscontrole via Touch ID toe te staan.
Zie Eenmalige aanmelding congureren en Touch ID voor meer informatie.
7
66
Overzicht
U kunt implementaties van Apple apparaten stroomlijnen met behulp van verschillende
beheertechnieken waarmee het congureren van accounts en beleidsinstellingen, het
distribueren van apps en het toepassen van beperkingen een stuk eenvoudiger wordt. U kunt
voorkeursinstellingen en accounts voor iOS-apparaten en OS X-computers handmatig of via een
MDM-oplossing congureren. De gebruikers kunnen daarna de eerste conguratie zelf uitvoeren
met de ingebouwde conguratie-assistent van de Apple apparaten. Nadat de apparaten zijn
gecongureerd en zijn ingeschreven bij een MDM-oplossing, kunnen ze draadloos door de
IT-afdeling worden beheerd.
Een MDM-oplossing geeft uw organisatie de mogelijkheid om Apple apparaten op een veilige
manier te introduceren in uw bedrijfs- of onderwijsomgeving, om instellingen draadloos
te congureren en bij te werken, om te controleren of de ingestelde beleidsregels worden
nageleefd, om apps te implementeren, en om beheerde apparaten op afstand te wissen
of te vergrendelen. Er zijn verschillende MDM-oplossingen beschikbaar voor verschillende
serverplatforms. De beheerconsole, de functies en de prijs varieert per oplossing. Het is
verstandig om pas een MDM-oplossing te kiezen nadat u de volgende informatie hebt
doorgenomen, zodat u weet welke functies het belangrijkst zijn voor uw organisatie.
Afhankelijk van de eigenaar van de Apple apparaten en de implementatiemethode,
zijn er verschillende werkstromen en technieken voor de conguratie mogelijk. Zie de
implementatiemodellen in het gedeelte Overzicht voor meer informatie.
In dit gedeelte worden alle tools, programma's en voorzieningen beschreven die beschikbaar
zijn ter ondersteuning van de implementatie van uw Apple apparaten.
Conguratie-assistent en activering
Met de ingebouwde conguratie-assistent van iOS en OS X kunt u nieuwe of gewiste apparaten
activeren, basisinstellingen congureren en diverse voorkeuren opgeven, zoals voor de taal,
locatievoorzieningen, Siri, iCloud en Zoek mijn iPhone. Gebruikers kunnen deze voorzieningen
gebruiken op een nieuw Apple apparaat, zodat ze snel aan de slag kunnen. Een andere
mogelijkheid is dat de organisatie deze basisconguratie uitvoert. Gebruikers kunnen met de
conguratie-assistent ook een eigen Apple ID aanmaken als ze die nog niet hebben.
De volgende schermen van de conguratie-assistent kunnen worden overgeslagen voor Apple
apparaten die bij het Device Enrollment Program zijn ingeschreven en via een MDM-oplossing
worden beheerd:
Zet terug vanaf reservekopie: Terugzetten vanaf een reservekopie is niet mogelijk
AppleID: Inloggen met een Apple ID is niet nodig
Voorwaarden: De voorwaarden worden overgeslagen
Verstuur diagnose: Diagnostische gegevens worden niet automatisch verstuurd
Conguratie en beheer
Hoofdstuk 7 Conguratie en beheer 67
Locatie (alleen iOS): Locatievoorzieningen worden niet ingeschakeld
TouchID (alleen iOS): Touch ID wordt niet ingeschakeld
Toegangscode (alleen iOS): Het instellen van een toegangscode wordt overgeslagen
ApplePay (alleen iOS): Apple Pay wordt niet ingeschakeld
Siri (alleen iOS): Siri wordt niet ingeschakeld
Weergavezoom (alleen iOS): Weergavezoom wordt niet ingeschakeld
Registratie (alleen OSX): Registratie is niet mogelijk
FileVault (alleen OSX): FileVault wordt niet ingeschakeld
Gebruikers kunnen deze onderdelen instellen nadat het Apple apparaat is gecongureerd,
tenzij er via de MDM-oplossing permanente beperkingen voor de onderdelen zijn ingesteld.
Ga naar de volgende website voor meer informatie over het Device Enrollment Program:
Device Enrollment Program
Device Enrollment Program
Apple Deployment Programs Help
Conguratieproelen
Een conguratieproel is een XML-bestand dat u gebruikt om conguratiegegevens te
distribueren naar Apple apparaten. Met behulp van conguratieproelen kunt u de conguratie
van instellingen, accounts, beperkingen en identiteitsgegevens automatiseren. De proelen
kunnen worden geïnstalleerd via een bijlage bij een e-mail, worden gedownload van een
webpagina of via Apple Congurator worden geïnstalleerd op iOS-apparaten. Als u een groot
aantal iOS-apparaten moet congureren, of liever een draadloos implementatiemodel gebruikt,
kunt u conguratieproelen aanbieden via een MDM-oplossing.
Conguratieproelen die certicaat- en Wi-Fi-payloads bevatten, kunnen
ook op een Apple TV worden geïnstalleerd. Zie het Apple Support-artikel
Een conguratieproel installeren op een Apple TV voor meer informatie.
Conguratieproelen kunnen worden gecodeerd en ondertekend, zodat u het gebruik ervan
kunt beperken tot een bepaald Apple apparaat en kunt voorkomen dat iemand de instellingen
van een proel wijzigt. Bovendien kan een MDM-beheerder een proel permanent aan het
apparaat koppelen, zodat het proel na de installatie alleen kan worden verwijderd door alle
gegevens van het apparaat te verwijderen of door een wachtwoord in te voeren.
Afgezien van toegangscodes kunnen gebruikers de instellingen in een conguratieproel niet
wijzigen. Accounts die met een profiel zijn geconfigureerd, zoals Exchange-accounts,
kunnen alleen worden verwijderd door het proel te verwijderen.
Zie Conguration Prole Key Reference voor meer informatie.
Hoofdstuk 7 Conguratie en beheer 68
MDM (Mobile Device Management)
Overzicht
Dankzij de MDM-ondersteuning in iOS en OS X kunnen IT-medewerkers op een veilige manier
geschaalde implementaties van Apple apparaten in hun organisaties congureren en beheren.
iOS en OS X hebben een ingebouwd MDM-framework waarmee MDM-oplossingen van
andere ontwikkelaars draadloos met Apple apparaten kunnen communiceren. Dit eenvoudige
framework is speciek ontworpen voor Apple apparaten en is voldoende krachtig en schaalbaar
om alle iOS-, OS X- en Apple TV-apparaten binnen een organisatie te congureren en te beheren.
Als u over een MDM-oplossing beschikt, kunt u Apple apparaten veilig inschrijven bij een
organisatie, instellingen congureren en bijwerken, controleren of de beleidsinstellingen
worden nageleefd, en beheerde apparaten op afstand wissen of vergrendelen. Met een
MDM-oplossing voor iOS en OS X kunt u op een eenvoudige manier de toegang van gebruikers
tot netwerkvoorzieningen regelen en ervoor zorgen dat de Apple apparaten goed zijn
gecongureerd. Het maakt hierbij niet uit wie de eigenaar van de apparaten is.
Poll
Push
Inschrijven
APNs
MDM-server
Voor MDM-oplossingen wordt gebruikgemaakt van de Apple Push Notication-service (APNs)
om permanente communicatie met Apple apparaten te waarborgen in zowel openbare als
privénetwerken. Voor een MDM-oplossing zijn meerdere certicaten vereist, waaronder een
APNs-certicaat voor de communicatie met clients en een SSL-certicaat voor de beveiliging
van de communicatie. In een MDM-oplossing kunnen proelen ook met een certicaat worden
ondertekend. De MDM-functies zijn gebaseerd op bestaande iOS- en OS X-technologieën zoals
conguratieproelen, draadloze inschrijving en APNs. APNs wordt bijvoorbeeld gebruikt om de
sluimerstand van het apparaat uit te schakelen, zodat het apparaat via een beveiligde verbinding
rechtstreeks met de MDM-server kan communiceren.
Belangrijk:Via APNs worden geen gegevens verstuurd die van vertrouwelijke aard zijn of die
aan eigendomsrechten zijn onderworpen.
Hoofdstuk 7 Conguratie en beheer 69
Met een MDM-oplossing kan uw IT-afdeling op een veilige manier Apple apparaten inschrijven
die het persoonlijke eigendom van de medewerkers zijn en/of die eigendom van de organisatie
zijn. Als u over een MDM-oplossing beschikt, kunt u instellingen congureren en bijwerken,
controleren of de beleidsinstellingen worden nageleefd, en beheerde Apple apparaten op
afstand wissen of vergrendelen. Daarnaast is een MDM-oplossing geschikt voor de distributie,
het beheer en de conguratie van apps en boeken die zijn gekocht via het Volume Purchase
Program of die intern zijn ontwikkeld.
Zie voor meer informatie over MDM-oplossingen:
Apparaten beheren in een onderwijsomgeving
iOS en de nieuwe IT voor het bedrijfsleven (Engelstalig)
De meeste certicaten, waaronder APNs-certicaten, moeten jaarlijks worden vernieuwd. Als een
certicaat verloopt, moet het certicaat worden bijgewerkt voordat de MDM-server weer met
Apple apparaten kan communiceren. Werk alle MDM-certicaten altijd bij voordat deze verlopen.
Neem contact op met uw certicaatautoriteit (CA) voor informatie over het verlengen van uw
certicaten. Ga naar het portaal Apple Push Certicates voor meer informatie over APNs.
Om beheer mogelijk te maken, worden Apple apparaten via een inschrijvingsconguratieproel
geregistreerd bij een MDM-server. Dit kan rechtstreeks door de gebruiker zelf worden gedaan.
Als het gaat om apparaten die eigendom van het bedrijf zijn, kan MDM-inschrijving worden
geautomatiseerd via het Device Enrollment Program (zoals in dit hoofdstuk wordt beschreven).
Als een beheerder via een MDM-oplossing een beleid, optie of commando activeert, krijgen
gebruikers via de Apple Push Notication-service (APNs) een melding van deze actie op hun
Apple apparaten. Als er een netwerkverbinding actief is, kunnen apparaten overal ter wereld
APNs-meldingen ontvangen.
Inschrijving
Door Apple apparaten in te schrijven, kan er een appcatalogus worden aangemaakt en kunnen
apparaten worden beheerd. Bij inschrijving wordt standaard het SCEP-protocol (Simple
Certicate Enrollment Protocol) gebruikt, waarmee op een apparaat unieke identiteitscerticaten
voor de voorzieningen van een organisatie kunnen worden aangemaakt en ingeschreven.
In de meeste gevallen beslissen de gebruikers of hun Apple apparaat bij de MDM-oplossing
wordt ingeschreven. Ze kunnen de koppeling met de MDM-oplossing ook op elk moment
verbreken. Het is voor organisaties raadzaam om gebruikers ertoe te bewegen het MDM-beheer
niet uit te schakelen. U kunt bijvoorbeeld MDM-inschrijving verplicht stellen voor toegang
tot het Wi-Fi-netwerk door de inloggegevens daarvoor automatisch via de MDM-oplossing
te verstrekken. Als een gebruiker zich uitschrijft bij de MDM-oplossing, probeert zijn of haar
apparaat dit aan de MDM-server door te geven.
Het Device Enrollment Program kan ook worden gebruikt om Apple apparaten van de
organisatie tijdens de eerste conguratie voor de MDM-oplossing in te schrijven. U kunt de
iOS-apparaten ook onder supervisie stellen, zodat de gebruikers van deze apparaten de
MDM-oplossing niet kunnen omzeilen en hun apparaten niet kunnen uitschrijven.
Zie Device Enrollment Program voor meer informatie.
Conguratie
Zodra een Apple apparaat is ingeschreven, kan het dynamisch door de MDM-server worden
gecongureerd met instellingen en beleidsregels. De MDM-server verstuurt conguratieproelen
naar het apparaat die automatisch (en op de achtergrond) door iOS of OS X worden geïnstalleerd.
Hoofdstuk 7 Conguratie en beheer 70
Conguratieproelen kunnen worden ondertekend, gecodeerd en vergrendeld. Hiermee
wordt voorkomen dat de instellingen worden veranderd of gedeeld en wordt ervoor gezorgd
dat uitsluitend vertrouwde gebruikers en Apple apparaten die volgens uw specicaties zijn
gecongureerd toegang hebben tot uw netwerk en diensten. Als een gebruiker zijn of haar
apparaat uitschrijft bij de MDM-oplossing, worden alle instellingen verwijderd die via de
MDM-oplossing zijn doorgevoerd.
In de nieuwe gebruikersinterface voor proelen in iOS 8 kunnen gebruikers zien welke
voorzieningen via de MDM-oplossing zijn gecongureerd of worden beperkt. Accounts, apps,
boeken en beperkingen kunnen nu overzichtelijk worden weergegeven. Voorzieningenproelen
zijn niet meer zichtbaar voor de gebruiker in iOS 8 en verlopen proelen worden
automatisch verwijderd.
Accounts
Met een MDM-oplossing kunnen uw gebruikers snel aan de slag, omdat hun e-mail en andere
accounts automatisch worden gecongureerd. Afhankelijk van de MDM-oplossing die u gebruikt
en de integratie daarvan met uw interne systemen, kunnen de accountpayloads ook vooraf
worden gevuld met gebruikersnamen, mailadressen en eventueel certicaatidentiteiten voor
identiteitscontrole en ondertekening.
Met een MDM-oplossing kunnen de volgende typen accounts worden gecongureerd:
Agenda
Contacten
Exchange ActiveSync
Identity
Jabber
LDAP
Mail
Agenda's met abonnement
VPN
802.1X
In beheerde mail- en agenda-accounts wordt rekening gehouden met de beperkingen van de
functie 'Open in' in iOS 7 en hoger.
Informatieverzoeken
Een MDM-server kan bij Apple apparaten allerlei gegevens opvragen. Het kan daarbij gaan om
hardwaregegevens, zoals het serienummer, de UDID van het apparaat, het MAC-adres voor Wi-Fi
of de FileVault-coderingsstatus (voor OS X). Het kan ook gaan om softwaregegevens, zoals de
apparaatversie, beperkingen en een lijst met alle apps die op het apparaat zijn geïnstalleerd.
Aan de hand van deze gegevens kan worden gecontroleerd of gebruikers de juiste apps
onderhouden. Zo kan de MDM-server in iOS en OS X opvragen wanneer er voor het laatst een
reservekopie van een apparaat is gemaakt in iCloud en wat de account-hash van de ingelogde
gebruiker voor de apptoewijzing is.
Met Apple TV met softwareversie 5.4 of hoger kan de MDM-oplossing ook bij ingeschreven
Apple TV-apparaten gegevens opvragen over bijvoorbeeld de taal, de subtaal en de organisatie.
Hoofdstuk 7 Conguratie en beheer 71
Beheertaken
Als een iOS-apparaat wordt beheerd, is het mogelijk om via de MDM-server een aantal specieke
taken uit te voeren. Voorbeelden van beheertaken zijn:
Conguratie-instellingen wijzigen: Er kan een commando worden verstuurd om een nieuw
of bijgewerkt conguratieproel op een Apple apparaat te installeren. Wijzigingen in de
conguratie vinden op de achtergrond, zonder tussenkomst van de gebruiker, plaats.
Een iOS-apparaat vergrendelen: Als een iOS-apparaat meteen moet worden vergrendeld,
kan er een commando worden verstuurd om het apparaat met behulp van de huidige
toegangscode te vergrendelen.
Een iOS-apparaat op afstand wissen: Bij verlies of diefstal van een iOS-apparaat kan er een
commando worden verstuurd om alle gegevens op het apparaat te verwijderen. Zodra een
dergelijk commando is ontvangen, kan de bewerking niet meer ongedaan worden gemaakt.
Een codeslot wissen: Als een codeslot wordt gewist, moet de gebruiker meteen een nieuwe
toegangscode opgeven voor het iOS-apparaat. Deze functie wordt gebruikt als een gebruiker
de toegangscode is vergeten en de IT-afdeling vraagt de code opnieuw in te stellen.
Beperkingencode wissen: Ondersteuning voor het wissen van de beperkingen en de
beperkingencode die op het iOS-apparaat zijn ingesteld door de gebruiker. Deze functie is
alleen beschikbaar voor apparaten die onder supervisie staan.
Verzoek om synchrone AirPlay-weergave: Hiermee wordt een commando toegevoegd waarmee
een iOS-apparaat onder supervisie wordt gevraagd te starten met synchrone AirPlay-weergave
naar een specieke bestemming.
Stop synchrone AirPlay-weergave: Hiermee wordt een commando toegevoegd waarmee een
iOS-apparaat onder supervisie wordt gevraagd te stoppen met synchrone AirPlay-weergave
naar een specieke bestemming.
Bepaalde taken kunnen in iOS 8 of hoger en in OS X Mavericks of hoger in de wachtrij worden
geplaatst wanneer het apparaat wordt ingesteld met de conguratie-assistent. Het betreft
deze taken:
Uitnodiging voor deelname aan het Volume Purchase Program (VPP)
Apps installeren
Media installeren
Een apparaat vergrendelen
Verzoek om AirPlay-weergave (alleen iOS)
Beheerde apps
U kunt apps distribueren onder uw gebruikers om hen te helpen beter te presteren tijdens
hun werk of studie. Afhankelijk van de vereisten van uw organisatie kan het echter belangrijk
zijn dat u de controle houdt over de manier waarop die apps verbinding maken met interne
voorzieningen en de manier waarop er wordt omgegaan met gegevensbeveiliging wanneer
een gebruiker de organisatie verlaat. Bovendien moet u er rekening mee houden dat deze apps
samen met de persoonlijke apps en gegevens van de gebruiker op één apparaat staan. Met
beheerde apps in iOS 7 of hoger en OS X Yosemite of hoger kan uw organisatie gratis apps,
betaalde apps en interne apps draadloos distribueren via een MDM-oplossing en daarbij de
juiste balans vinden tussen beveiliging en privacy.
Hoofdstuk 7 Conguratie en beheer 72
Via MDM-servers kunnen apps uit de App Store en apps die intern zijn ontwikkeld draadloos
worden geïmplementeerd op Apple apparaten. Betaalde en gratis apps uit de App Store
kunnen door een MDM-server worden beheerd door distributie via het VPP. Zie het Overzicht
van het Volume Purchase Program voor meer informatie over beheerde distributie met een
MDM-oplossing.
VPP-apps kunnen op de volgende manieren worden geïnstalleerd:
Gebruikers met een eigen Apple apparaat worden door de MDM-oplossing gevraagd de app
vanuit de App Store te installeren. Hiervoor moeten ze hun Apple ID opgeven.
Op iOS-apparaten die eigendom zijn van de organisatie en die bij een MDM-oplossing zijn
ingeschreven, worden apps op de achtergrond geïnstalleerd.
Beheerde apps kunnen op afstand worden verwijderd door de MDM-server of wanneer de
gebruiker zijn of haar Apple apparaat uitschrijft bij de MDM-oplossing. Als de app wordt
verwijderd, worden ook alle bijbehorende gegevens verwijderd. Als de VPP-app nog steeds aan
de gebruiker is toegewezen of als de gebruiker via zijn of haar eigen Apple ID een app-code
heeft ingewisseld, kan de app opnieuw uit de App Store worden gedownload. In dat geval
wordt de app echter niet meer beheerd. Een ingetrokken app kan nog gedurende een beperkte
periode worden gebruikt. Na deze periode wordt de app uitgeschakeld en wordt de gebruiker
geïnformeerd dat hij of zij zelf een exemplaar moet kopen als hij of zij de app wil kunnen
blijven gebruiken.
Met iOS 7 zijn verschillende beperkingen en mogelijkheden toegevoegd voor beheerde apps
waarmee de veiligheid en gebruiksvriendelijkheid nog verder toenemen:
Managed Open In: Dit onderdeel biedt twee handige functies voor het beschermen van de
appgegevens van uw organisatie:
Sta documenten uit onbeheerde bronnen toe op beheerde locaties. Met deze beperking wordt
voorkomen dat met persoonlijke bronnen en accounts van de gebruiker documenten
worden geopend op bestemmingen die door de organisatie worden beheerd. Met deze
beperking wordt bijvoorbeeld voorkomen dat de Keynote-app van de gebruiker een pdf-
presentatie opent in de pdf-lezer van de organisatie. Met deze beperking kan ook worden
voorkomen dat er met de persoonlijke iCloud-account van een gebruiker een bijlage wordt
geopend in de Pages-app van de organisatie.
Sta documenten uit beheerde bronnen toe op onbeheerde locaties. Met deze beperking wordt
voorkomen dat met beheerde bronnen en accounts van een organisatie documenten
worden geopend op persoonlijke bestemmingen van een gebruiker. Met deze beperking
wordt bijvoorbeeld voorkomen dat een vertrouwelijke e-mailbijlage in de beheerde
mailaccount van de organisatie wordt geopend in een van de persoonlijke apps van
de gebruiker.
App Conguration: App-ontwikkelaars kunnen aangeven welke app-instellingen kunnen
worden opgegeven als de app als beheerde app wordt geïnstalleerd. Deze conguratie-
instellingen kunnen voor of na de installatie van de beheerde app worden opgegeven.
App Feedback: App-ontwikkelaars kunnen aangeven welke app-instellingen met behulp van
een MDM-oplossing uit een beheerde app kunnen worden opgehaald. Een ontwikkelaar kan
bijvoorbeeld een 'DidFinishSetup'-sleutel opgeven waarmee een MDM-server feedback van
een app kan opvragen om na te gaan of de app is geactiveerd en gecongureerd.
Hoofdstuk 7 Conguratie en beheer 73
Prevent Backup: Met deze beperking wordt voorkomen dat met beheerde apps een
reservekopie van gegevens wordt bewaard in iCloud of iTunes. Wanneer het maken van
reservekopieën niet is toegestaan, is het niet mogelijk om gegevens van beheerde apps
terug te zetten als de app via de MDM-oplossing wordt verwijderd en later door de gebruiker
opnieuw wordt geïnstalleerd.
In iOS 8 zijn de volgende extra beheertaken toegevoegd:
Safari downloads from managed domains: Bestanden die via Safari worden gedownload,
worden als beheerde documenten beschouwd als ze afkomstig zijn van een beheerd domein.
Als een gebruiker bijvoorbeeld via Safari een pdf opent uit een beheerd domein, voldoet die
pdf aan alle instellingen voor beheerde documenten.
iCloud document management: Met deze beperking wordt voorkomen dat met beheerde apps
gegevens worden bewaard in iCloud. Zo kunnen gegevens die met een beheerde app zijn
aangemaakt of door een beheerde app worden gebruikt, niet worden opgeslagen in iCloud.
Gegevens die in onbeheerde apps door gebruikers zijn aangemaakt, kunnen echter wel
worden opgeslagen in iCloud.
Beperkingen instellen voor toetsenborden van andere fabrikanten
iOS 8 ondersteunt regels van de functie 'Open in' die van toepassing zijn op
toetsenborduitbreidingen van andere fabrikanten. Op deze manier kan worden voorkomen dat
onbeheerde toetsenborden worden weergegeven in beheerde apps.
Beheerde boeken
Met iOS 8 en OS X Mavericks of hoger kunt u boeken, ePubs en pdf's die u hebt aangemaakt
of aangeschaft, distribueren en beheren via een MDM-oplossing. Zo kunt u het beheer van
trainingsmateriaal en andere bedrijfsdocumenten stroomlijnen.
Boeken, ePubs en pdf's die via de MDM-oplossing worden gedistribueerd, hebben dezelfde
kenmerken als andere beheerde documenten. Dit betekent dat ze alleen kunnen worden
gedeeld met andere beheerde apps en alleen kunnen worden gemaild via beheerde accounts.
Boeken die via het Volume Purchase Program zijn gekocht, kunnen worden gedistribueerd als
beheerde boeken. Het is niet mogelijk om de toewijzing van een boek ongedaan te maken en
het boek aan een andere account toe te wijzen. Een boek dat al in het bezit is van de gebruiker
kan niet worden beheerd, tenzij het boek via het Volume Purchase Program expliciet wordt
toegewezen aan een gebruiker.
Beheerde domeinen
In iOS 8 kunt u specieke URL's en subdomeinen beheren. Alle documenten die uit deze
domeinen afkomstig zijn, worden als beheerde documenten beschouwd en volgen de
bestaande beperkingen die zijn opgelegd via de functie 'Open in'. Paden die het domein
volgen, worden standaard beheerd. Dit geldt niet voor alternatieve subdomeinen, tenzij er een
jokerteken wordt toegepast. Domeinen die in Safari worden ingevoerd met "www" (bijvoorbeeld
www.example.com) worden behandeld als ".example.com".
Weergegeven in Instellingen Beheerde domeinen Onbeheerde domeinen
example.com example.com/*
www.example.com/*
*.example.com
hr.example.com
example.com/docs example.com/docs/*
www.example.com/docs/*
example.com
www.example.com
hr.example.com/docs
Hoofdstuk 7 Conguratie en beheer 74
Weergegeven in Instellingen Beheerde domeinen Onbeheerde domeinen
www.example.com www.example.com/*
www.example.com/docs
example.com
hr.example.com
*.example.com *.example.com/* example.com
*.example.com/docs *.example.com/docs/* example.com
www.example.com
Proelbeheer
Naast MDM-oplossingen van andere leveranciers kunt u ook kiezen voor Profielbeheer.
Dit is een MDM-oplossing van Apple die als voorziening van OS X Server wordt aangeboden.
Met Proelbeheer is het eenvoudig om Apple apparaten zo te congureren dat ze voldoen aan
de specicaties van uw organisatie.
Proelbeheer bestaat uit drie componenten:
Voorziening voor draadloze conguratie van Apple apparaten: Hiermee kunt u de conguratie
stroomlijnen van Apple apparaten die eigendom zijn van de organisatie. U kunt apparaten
tijdens de activering inschrijven bij de MDM-oplossing en de basisconguratie overslaan,
zodat gebruikers snel aan de slag kunnen.
Voorziening voor mobielapparaatbeheer: Proelbeheer biedt een MDM-voorziening waarmee u
ingeschreven Apple apparaten op afstand kunt beheren. Nadat een apparaat is ingeschreven,
kunt u zonder tussenkomst van de gebruiker de conguratie van het apparaat via het netwerk
bijwerken. Daarnaast kunt u nog andere taken op afstand uitvoeren.
Voorziening voor distributie van apps en boeken: Met Proelbeheer kunt u apps en boeken
distribueren die zijn gekocht via het Volume Purchase Program (VPP). Het toewijzen van apps
en boeken wordt ondersteund op iOS-apparaten met iOS 7 of hoger en op Mac-computers
met OS X Mavericks of hoger.
Zie Apparaten beheren voor meer informatie. Zie ook Proelbeheer Help.
Apparaten onder supervisie stellen
Om aanvullende conguratie-opties en beperkingen te kunnen opgeven, is het raadzaam de
iOS-apparaten van uw organisatie onder supervisie te stellen. U kunt dan bijvoorbeeld aangeven
dat accountinstellingen niet mogen worden gewijzigd of u kunt webverbindingen via Global
Proxy lteren om er zeker van te zijn dat het webverkeer van gebruikers binnen het netwerk van
uw organisatie blijft.
Standaard staat geen enkel iOS-apparaat onder supervisie. U kunt supervisie en beheer op
afstand combineren met een MDM-oplossing om aanvullende instellingen en beperkingen te
beheren. Om de apparaten van uw organisatie onder supervisie te kunnen stellen, gebruikt u het
Device Enrollment Program van Apple of Apple Congurator.
Supervisie biedt een hogere mate van beheer voor apparaten die het eigendom zijn van de
organisatie. Zo kunt u bijvoorbeeld iMessage of Game Center uitschakelen. Daarnaast zijn er bij
supervisie aanvullende apparaatconguraties en voorzieningen beschikbaar, zoals het lteren
van websitemateriaal of het op de achtergrond installeren van apps. Met het Device Enrollment
Program kan supervisie draadloos op het apparaat worden ingeschakeld als onderdeel van het
installatieproces, of handmatig worden ingeschakeld met behulp van Apple Congurator.
Zie Instellingen onder supervisie voor meer informatie.
Hoofdstuk 7 Conguratie en beheer 75
Device Enrollment Program
Het Device Enrollment Program (DEP) biedt een snelle en gestroomlijnde implementatiemethode
voor Apple apparaten die uw organisatie rechtstreeks bij Apple of een deelnemende erkende
Apple reseller of aanbieder heeft gekocht. U kunt de Apple apparaten automatisch inschrijven bij
de MDM-oplossing zonder ze fysiek in handen te hoeven hebben, of de apparaten voorbereiden
voordat u ze aan de gebruikers overhandigt. Bovendien kunt u de conguratieprocedure voor
de gebruikers verder vereenvoudigen door specieke stappen uit de conguratie-assistent te
verwijderen, zodat de gebruikers snel aan de slag kunnen. U kunt ook aangeven of de gebruikers
het MDM-proel van het apparaat kunnen verwijderen. U kunt de Apple apparaten bijvoorbeeld
bestellen bij Apple of een deelnemende erkende Apple reseller of aanbieder, ze laten
congureren met alle beheerinstellingen en ze vervolgens laten versturen naar het woonadres
van de gebruiker. Nadat het apparaat is uitgepakt en geactiveerd, wordt het ingeschreven bij
uw MDM-oplossing en zijn alle beheerinstellingen, apps en boeken meteen beschikbaar voor
de gebruiker.
Het proces is eenvoudig: Wanneer de inschrijving bij het programma is voltooid, loggen beheerders
in op de DEP-website, koppelen ze het programma aan hun MDM-server(s) en 'claimen' ze de
Apple apparaten die bij Apple of een deelnemende erkende Apple reseller of aanbieder zijn
gekocht. De apparaten kunnen vervolgens aan een MDM-server worden toegewezen. Nadat het
apparaat is ingeschreven, worden via MDM opgegeven conguraties, beperkingen of controles
automatisch geïnstalleerd.
Gekocht bij
reseller
Klantacco
unt
DEP
MDM-server
Gekocht bij
Apple
Apple apparaten moeten voldoen aan de volgende criteria om in aanmerking te komen voor
toewijzing via het Device Enrollment Program:
De apparaten moeten op of na 1 maart 2011 zijn besteld en moeten rechtstreeks bij Apple zijn
gekocht via de ingeschreven en gecontroleerde Apple klantnummers.
De apparaten moeten rechtstreeks bij een deelnemende erkende Apple reseller of aanbieder
zijn gekocht en gekoppeld zijn aan de reseller-ID voor DEP van die reseller. De exacte datum is
afhankelijk van wat er in de verkoopgegevens van de deelnemende erkende Apple reseller of
aanbieder vermeld staat, maar de datum mag in ieder geval niet vóór 1 maart 2011 liggen.
Opmerking:Het Device Enrollment Program is niet in alle landen of regio's beschikbaar.
Hoofdstuk 7 Conguratie en beheer 76
Apple apparaten die in aanmerking komen, kunnen op ordernummer via de website
Apple Deployment Programs aan uw MDM-servers worden toegewezen. U kunt binnen die
bestellingen ook apparaten zoeken op type en serienummer. Nadat nieuwe bestellingen zijn
verstuurd, kunt u de bestellingen opzoeken op de DEP-website en ze automatisch toewijzen
aan een bepaalde MDM-server. Als u bijvoorbeeld 5000 iPads bestelt, kunt u het ordernummer
gebruiken om alle iPads of een speciek aantal daarvan aan een bestaande geautoriseerde
MDM-server toe te wijzen. U kunt ook apparaten op serienummer aan een specieke MDM-
server toewijzen. Deze methode is handig in situaties waarin de apparaten die u moet toewijzen
fysiek in uw bezit zijn.
Toekomstige bestellingen kunnen automatisch worden toegewezen aan een geautoriseerde
MDM-server, zodat u de toewijzing van Apple apparaten niet meer handmatig hoeft te beheren.
Nadat een apparaat is toegewezen aan een MDM-server in het programma, kunnen proelen en
aanvullende voorzieningen worden toegepast via de MDM-server van uw organisatie. Tot deze
voorzieningen behoren onder andere:
Supervisie inschakelen
Verplichte conguratie
Verplichte identiteitscontrole voor uw adreslijstsysteem om de conguratie te voltooien
Vergrendelbaar MDM-inschrijvingsproel
Stappen uit de conguratie-assistent overslaan
Ga voor meer informatie naar:
Apple Deployment Programs
Device Enrollment Programs Help
Het Device Enrollment Program voor het onderwijs
Apple Congurator
Voor iOS-apparaten die door u worden beheerd en die niet door afzonderlijke gebruikers worden
gecongureerd, kunt u gebruikmaken van Apple Congurator, een gratis Mac-app die beschikbaar
is in de App Store. Hiermee kunt u via een USB-aansluiting verschillende apparaten tegelijk
instellen en congureren voordat u ze aan uw gebruikers geeft. Met Apple Congurator kan uw
organisatie meerdere apparaten snel congureren en bijwerken naar de nieuwste versie van
iOS. Daarnaast kunt u het programma gebruiken voor het congureren van apparaatinstellingen
en -beperkingen en voor het installeren van apps en materiaal. U kunt ook een reservekopie
terugzetten, waardoor de apparaatinstellingen en de indeling van het beginscherm worden
hersteld en appgegevens worden geïnstalleerd.
Apple Congurator is ideaal in scenario's waarin gebruikers iOS-apparaten delen die snel
moeten worden vernieuwd en up-to-date moeten worden gehouden met de juiste instellingen,
beleidsregels, apps en gegevens. U kunt Apple Congurator ook gebruiken om apparaten
onder supervisie te stellen voordat u een MDM-oplossing gaat inzetten voor het beheer van
instellingen, beleidsregels en apps.
Zie Apple Congurator Help voor meer informatie.
8
77
Overzicht
iOS heeft een aantal krachtige, ingebouwde apps waarmee de mensen in uw organisatie
eenvoudig hun dagelijkse taken kunnen uitvoeren, zoals e-mailen, agenda's en contactgegevens
bijhouden en materiaal op het internet raadplegen. De aanvullende functionaliteit die gebruikers
nodig hebben om productief te werken, is te vinden in de honderdduizenden apps van andere
ontwikkelaars die in de App Store verkrijgbaar zijn, of in op maat gemaakte bedrijfsapps die
intern of door andere ontwikkelaars zijn gebouwd. In het onderwijs kunt u gebruikers productief
en creatief houden door relevante iOS-apps en geschikt materiaal aan te bieden.
Er zijn verschillende manieren om apps en boeken te implementeren op Apple apparaten
binnen de organisatie. De methode die de meeste schaalmogelijkheden biedt, is de methode
waarbij u apps (inclusief B2B-apps) en boeken via het Volume Purchase Program koopt en de
apps en boeken vervolgens via de MDM-oplossing toewijst aan gebruikers. Uw organisatie kan
ook intern eigen apps bouwen en implementeren door deel te nemen aan het iOS Developer
Enterprise Program. Als u hebt gekozen voor een model met gedeelde apparaten, kunt u apps en
materiaal lokaal installeren met Apple Congurator.
Denk aan de volgende zaken als u apps en boeken gaat implementeren:
Volume Purchase Program (VPP)
Maatwerk-B2B-apps
Apps en boeken die intern zijn ontwikkeld
Implementatie van apps en boeken
Caching Server
Volume Purchase Program (VPP)
Overzicht
De App Store en de iBooks Store bevatten duizenden mooie apps en boeken die gebruikers
kunnen kopen, downloaden en installeren. Het Volume Purchase Program (VPP) biedt
organisaties een handige manier om grote aantallen apps en boeken te kopen en deze
vervolgens te distribueren onder medewerkers, onderaannemers, docenten, leerlingen of
studenten. Alle betaalde en gratis apps en boeken in de App Store en iBooks Store kunnen via
het programma worden gekocht. Het Volume Purchase Program heeft twee websites: één voor
bedrijven en één voor het onderwijs.
Met het VPP voor bedrijven kunt u aangepaste B2B-apps krijgen die speciaal voor u door externe
ontwikkelaars zijn gebouwd en die u afgeschermd kunt downloaden uit de VPP Store.
Met het VPP voor het onderwijs kunnen softwareontwikkelaars hun apps bij afname van
minimaal 20 exemplaren tegen speciale prijzen aanbieden aan onderwijsinstellingen die voor
het programma in aanmerking komen. Er gelden geen speciale prijzen voor boeken.
Distributie van apps en boeken
Hoofdstuk 8 Distributie van apps en boeken 78
Het is mogelijk om een MDM-oplossing te integreren met het VPP, zodat uw organisatie
grote aantallen apps en boeken kan kopen en deze vervolgens kan toewijzen aan specieke
gebruikers of groepen. Als een gebruiker een app niet meer nodig heeft, kunt u de app via
de MDM-oplossing intrekken en aan iemand anders toewijzen. Bovendien zijn alle gekochte
apps en boeken automatisch beschikbaar om te worden gedownload naar de Apple apparaten
van gebruikers. Als boeken eenmaal zijn gedistribueerd naar een apparaat, blijven ze het
eigendom van de ontvanger en kunnen ze niet meer worden ingetrokken of aan iemand anders
worden toegewezen.
Ga voor meer informatie naar:
Volume Purchase Program voor bedrijven
Volume Purchase Program voor het onderwijs
Apple Deployment Programs Help
Opmerking:Het Volume Purchase Program is niet in alle landen of regio's beschikbaar.
Inschrijven voor het Volume Purchase Program
Als u apps in grote hoeveelheden wilt kopen, moet u zich eerst inschrijven en een account
aanmaken bij Apple. U moet daarbij bepaalde gegevens over uw organisatie verstrekken,
zoals een Dun & Bradstreet D-U-N-S-nummer (als u een bedrijf bent) en contactgegevens.
Daarnaast moet u een Apple ID aanmaken die speciek voor het beheer van dit programma
wordt gebruikt.
Grote aantallen apps en boeken kopen
Via de website Volume Purchase Program koopt u apps en boeken voor uw bedrijf
of onderwijsinstelling.
Gebruik de Apple ID van uw VPP-account om in te loggen bij de website. Zoek de apps of
boeken die u wilt kopen en geef vervolgens het gewenste aantal exemplaren aan. Betalen
kan met de creditcardgegevens van het bedrijf of VPP-krediet dat u via een inkooporder hebt
verkregen. Het aantal exemplaren dat u van een app of boek kunt kopen, is onbeperkt. De apps
en boeken kunnen vervolgens worden toegewezen via uw MDM-oplossing, mits deze is gekoppeld
aan uw VPP-account en een geldig token heeft.
Beheerde distributie
Wanneer u grote aantallen apps en boeken koopt, kunt u deze via een MDM-oplossing beheerd
distribueren onder gebruikers van iOS 7 of hoger of OS X Mavericks of hoger. Als zij de app
niet meer nodig hebben of de organisatie verlaten, kunt u de code aan een andere gebruiker
toewijzen. Boeken kunnen niet worden ingetrokken nadat ze zijn toegewezen.
Voordat u een MDM-oplossing gebruikt om apps aan gebruikers toe te wijzen, moet u
uw MDM-server via een veilig token aan uw VPP-account koppelen. U kunt dit veilige
token naar uw MDM-server downloaden vanuit uw accountoverzicht in de VPP-store. Zie
Apple Deployment Programs Help voor meer informatie.
Om gebruikers aan een beheerde distributie via het VPP te kunnen laten deelnemen, moeten
ze eerst worden uitgenodigd. Als een gebruiker een uitnodiging voor beheerde distributie
aanvaardt, wordt hun persoonlijke Apple ID aan uw organisatie gekoppeld. De gebruiker
hoeft u niet te vertellen wat de Apple ID is en u hoeft zelf geen Apple ID's voor de gebruikers
aan te maken of aan te leveren. In een onderwijsomgeving moet u zelf Apple ID's aanmaken
voor leerlingen die jonger zijn dan 13 jaar. Ga naar de website Apple ID for Students voor
meer informatie.
Hoofdstuk 8 Distributie van apps en boeken 79
Het is belangrijk dat u de apps en boeken registreert en aan VPP-gebruikers toewijst voordat
u een uitnodiging naar de gebruikers stuurt. Hierdoor is er meer tijd om de toewijzing in de
aankoopgeschiedenis van de gebruiker door te voeren wanneer de VPP-uitnodiging wordt
geaccepteerd. U kunt op elk moment gebruikers registreren en apps en boeken toewijzen,
zelfs voordat de Apple apparaten bij de MDM-oplossing zijn ingeschreven.
Zodra een app via de MDM-oplossing aan een gebruiker is toegewezen, verschijnt de app in de
aankoopgeschiedenis van die gebruiker in de App Store. De gebruiker kan worden gevraagd of
hij of zij akkoord gaat met de installatie van de app. Op een iOS-apparaat dat onder supervisie
staat, kan de app ook op de achtergrond worden geïnstalleerd.
Als apps die nog niet op een apparaat zijn geïnstalleerd, worden gepusht met de taak 'Push
VPP-apps', worden ze automatisch verwijderd wanneer een gebruiker zich uitschrijft bij de
MDM-oplossing.
Apps en boeken die zijn gedistribueerd via beheerde distributie, worden niet met familieleden
gedeeld wanneer Delen met gezin wordt gebruikt.
Maatwerk-B2B-apps
Ook aangepaste apps die een ontwikkelaar voor uw bedrijf maakt of aanpast (B2B-apps),
kunnen via het Volume Purchase Program worden gekocht.
Ontwikkelaars die zich hebben aangemeld voor het iOS Developer Program kunnen apps voor
B2B-distributie indienen via iTunes Connect. De procedure hiervoor komt overeen met de
procedure die wordt gebruikt om andere apps in te dienen bij de App Store. De ontwikkelaar
stelt de prijs per exemplaar vast en voegt uw Apple ID voor het Volume Purchase Program toe
aan zijn lijst met geautoriseerde B2B-kopers. Alleen geautoriseerde kopers kunnen de app zien
of kopen.
B2B-apps worden niet beveiligd door Apple. De beveiliging van de gegevens in een app valt
onder de verantwoordelijkheid van de ontwikkelaar. Ontwikkelaars wordt aangeraden de
optimale iOS-werkwijzen te hanteren voor de identiteitscontrole en codering in apps.
Nadat Apple de app heeft beoordeeld, gaat u naar de website van het Volume Purchase Program
om exemplaren te kopen, zoals beschreven in Grote aantallen apps en boeken kopen. Maatwerk-
B2B-apps worden niet in de App Store vermeld. Deze apps kunnen alleen worden gekocht via de
website van het Volume Purchase Program.
Interne apps
U kunt via het iOS Developer Enterprise Program iOS-apps ontwikkelen voor gebruik door
de medewerkers van uw organisatie. Dit programma biedt een compleet en geïntegreerd
proces voor het ontwikkelen en testen van uw iOS-apps en voor de distributie daarvan aan de
medewerkers binnen uw organisatie. Interne apps kunt u distribueren door ze te hosten op
een eenvoudige, beveiligde webserver die u zelf opzet of door ze aan te leveren via een
MDM-oplossing of appbeheeroplossing van een andere leverancier.
Het beheren van apps met een MDM-oplossing biedt diverse voordelen. Zo kunt u met een
MDM-oplossing onder andere apps op afstand congureren, versies beheren, eenmalige
aanmelding congureren, beleidsregels instellen voor netwerktoegang en aangeven met welke
apps documenten kunnen worden geëxporteerd. Uw specieke vereisten, uw infrastructuur en
het gewenste beheerniveau voor apps bepalen welke oplossing het meest geschikt voor u is.
Hoofdstuk 8 Distributie van apps en boeken 80
Interne apps voor iOS ontwikkelen en implementeren
1 Meld u aan voor het iOS Developer Enterprise Program.
2 Maak uw app klaar voor distributie.
3 Maak een voorzieningenproel voor bedrijfsdistributie aan om gebruik van de ondertekende
apps op de apparaten mogelijk te maken.
4 Bouw de app met het voorzieningenproel.
5 Implementeer de app bij uw gebruikers.
Aanmelden voor het ontwikkelen van apps
Zodra u zich hebt aangemeld voor het iOS Developer Enterprise Program, kunt u een certicaat
en een voorzieningenproel voor ontwikkelaars aanvragen. Deze gebruikt u tijdens de
ontwikkeling om uw app te bouwen en te testen. Het voorzieningenproel voor ontwikkelaars
is nodig om apps die met uw ontwikkelaarscerticaat zijn ondertekend, op geregistreerde
iOS-apparaten te kunnen gebruiken. Het ad-hocproel, dat drie maanden geldig is, bevat de
apparaat-ID van de apparaten waarop ontwikkelversies van uw app kunnen worden gebruikt.
De versie die met uw ontwikkelaarscerticaat is ondertekend, verstrekt u samen met het
voorzieningenproel voor ontwikkelaars aan uw ontwikkelteam en apptesters.
Ga naar de website iOS Developer Enterprise Program voor meer informatie.
Apps voorbereiden voor distributie
Nadat de ontwikkel- en testfase van de app is afgerond en de app klaar is voor distributie,
ondertekent u uw app met uw distributiecerticaat en verpakt u de app met een
voorzieningenproel. De Team Agent of de Admin van het programma die aan u is toegewezen,
maakt het certicaat en het proel aan via de website iOS Dev Center.
In iOS 8 kunnen gebruikers voorzieningenproelen niet meer weergeven op hun iOS-apparaat.
Interne apps distribueren
Via het voorzieningenproel voor bedrijfsdistributie kan uw app op een onbeperkt aantal
iOS-apparaten worden geïnstalleerd. U kunt een voorzieningenproel voor bedrijfsdistributie
aanmaken voor een specieke app of voor meerdere apps.
Als zowel het distributiecerticaat als het voorzieningenproel voor bedrijven op uw Mac is
geïnstalleerd, kunt u uw app ondertekenen en er een productieversie van maken met behulp
van Xcode. Het certicaat voor bedrijfsdistributie is drie jaar geldig en u kunt maximaal twee
geldige certicaten tegelijk hebben. Als een certicaat bijna is verlopen, moet u de app met een
vernieuwd certicaat opnieuw bouwen en ondertekenen. Aangezien het voorzieningenproel
voor de app één jaar geldig is, moet u elk jaar nieuwe voorzieningenproelen uitbrengen.
Zie Bijgewerkte apps distribueren voor meer informatie.
Het is belangrijk dat u de toegang tot uw distributiecerticaat en de bijbehorende persoonlijke
sleutel beperkt houdt. Met Sleutelhangertoegang in OS X kunt u deze onderdelen exporteren en
een reservekopie van deze onderdelen maken in de p12-structuur. Als u de persoonlijke sleutel
kwijtraakt, kan deze niet worden hersteld of opnieuw worden gedownload. Beperk de toegang
ook tot medewerkers die verantwoordelijk zijn voor de uiteindelijke acceptatie van de app.
Door de app te ondertekenen met het distributiecerticaat, verleent uw organisatie goedkeuring
aan de inhoud en werking van de app en erkent uw organisatie dat de app voldoet aan de
licentievoorwaarden van de Enterprise Developer Agreement.
Raadpleeg de App Distribution Guide van Apple voor meer informatie over het implementeren
van eigen apps.
Hoofdstuk 8 Distributie van apps en boeken 81
Interne boeken
iOS 8 en OS X Yosemite zijn sterk verbeterd door de introductie van beheerde distributie
voor boeken. Deze voorziening maakt het mogelijk om via de MDM-oplossing boeken toe te
wijzen aan gebruikers, zodat uw organisatie de controle over de boeken blijft houden. Pdf's en
ePubs die binnen uw organisatie worden aangemaakt, kunnen net als interne apps worden
toegewezen aan gebruikers. Ook kunt u de toewijzing weer ongedaan maken en het boek
vervolgens aan iemand anders toewijzen.
Apps en boeken implementeren
Overzicht
U kunt apps en boeken op verschillende manieren implementeren. U kunt:
Een intern ontwikkelde app of een app uit de App Store via uw MDM-server op een beheerd
Apple apparaat installeren (als uw MDM-server deze functie ondersteunt).
De app op een beveiligde webserver plaatsen, zodat gebruikers de installatie draadloos
kunnen uitvoeren. Zie Draadloos interne apps installeren voor informatie.
De app lokaal op iOS-apparaten installeren via Apple Congurator.
Apps en boeken installeren via de MDM-oplossing
Een MDM-server kan niet alleen apps van andere ontwikkelaars uit de App Store beheren,
maar ook interne apps. Apps die met behulp van een MDM-oplossing zijn geïnstalleerd,
worden beheerde apps genoemd. Op de MDM-server kan worden ingesteld of beheerde
apps en de bijbehorende gegevens beschikbaar blijven als de gebruiker zich uitschrijft bij
de MDM-oplossing. Bovendien kan worden ingesteld dat er geen reservekopie van beheerde
appgegevens in iTunes of iCloud wordt gemaakt. Op deze manier kunt u apps die mogelijk
gevoelige bedrijfsgegevens bevatten beter beheren dan apps die rechtstreeks door de gebruiker
worden gedownload.
Om een beheerde app te installeren, verstuurt de MDM-server een installatiecommando naar
het Apple apparaat. Als het om een app uit de App Store gaat, wordt de app gedownload en
geïnstalleerd via Apple. Als het om een eigen app gaat, wordt de app geïnstalleerd via uw
MDM-oplossing. Op onbeheerde apparaten moet de gebruiker eerst toestemming geven
voordat beheerde apps worden geïnstalleerd.
In iOS 7 of hoger en in OS X Mavericks of hoger kunnen VPN-verbindingen op appniveau
worden opgegeven, wat inhoudt dat alleen het netwerkverkeer voor die app zich in de
beveiligde VPN-tunnel bevindt. Op deze manier blijven privégegevens privé en worden ze niet
samen met openbare gegevens verstuurd.
De functie 'Open in' wordt vanaf iOS 7 ondersteund door beheerde apps. Dit betekent dat de
gegevensoverdracht van beheerde apps naar of van de persoonlijke apps van de gebruiker kan
worden beperkt, zodat de gevoelige gegevens van de organisatie gegarandeerd veilig zijn.
U kunt een MDM-server gebruiken om boeken uit de iBooks Store te installeren die u via het
VPP hebt toegewezen aan de gebruiker. Daarnaast kunt u beheerde pdf's, ePubs en iBooks
Author-boeken vanaf uw eigen servers installeren, en ze bijwerken met nieuwere versies als
dat nodig is. Op de server kan zijn ingesteld dat het niet is toegestaan om een reservekopie
te maken van beheerde boeken. Beheerde boeken worden verwijderd op het moment dat de
gebruiker zich uitschrijft bij de MDM-oplossing.
Hoofdstuk 8 Distributie van apps en boeken 82
Apps installeren met Apple Congurator
Gebruik Apple Congurator om algemene conguratietaken op een eenvoudige manier uit te
voeren. U kunt het programma ook gebruiken om apps en ander materiaal te installeren op
iOS-apparaten. Apple Congurator is vooral erg handig voor de supervisie van apparaten die
niet door de gebruiker worden gepersonaliseerd, zoals gedeelde iPads in een klaslokaal.
Daarnaast kunt u Apple Congurator gebruiken om documenten te installeren, zodat deze
beschikbaar zijn wanneer uw gebruikers hun apparaten in gebruik nemen. Documenten zijn
beschikbaar voor apps die bestandsdeling via iTunes ondersteunen. U kunt ook documenten
op iOS-apparaten lezen of ophalen door het apparaat te verbinden met een Mac waarop
Apple Congurator wordt uitgevoerd.
Caching Server
Dankzij iOS en OS X hebben gebruikers eenvoudig toegang tot digitaal materiaal. Sommige
gebruikers zullen hun apps, boeken en software via het netwerk van de organisatie bijwerken,
waarbij het om grote hoeveelheden gigabytes kan gaan. De vraag naar deze assets vertoont
pieken. De eerste piek doet zich voor bij de implementatie van het Apple apparaat. Daarna zijn
incidenteel pieken te zien wanneer gebruikers nieuw materiaal ontdekken of wanneer materiaal
wordt bijgewerkt. Het downloaden van materiaal kan plotselinge stijgingen van de vraag naar
internetbandbreedte tot gevolg hebben.
Caching Server is een voorziening van OS X Server waarmee eerder opgevraagd materiaal
wordt bewaard in het lokale netwerk van uw organisatie. Hierdoor is er minder bandbreedte
nodig voor het downloaden van materiaal. Dit wordt bereikt door de internetbandbreedte voor
uitgaand verkeer op privénetwerken te verminderen (RFC 1918) en door in de cache opgeslagen
kopieën van aangevraagd materiaal te bewaren in het lokale netwerk.
Caching Server van OS X Server Yosemite kan de volgende typen materiaal in de cache opslaan
voor iOS 7 of hoger en OS X Mountain Lion versie 10.8.2 of hoger:
iOS-software-updates (iOS 8.1 of hoger)
OS X-software-updates
Internet Recovery-schijfkopie (OS X Mavericks of hoger)
Updates voor Java en printerbesturingsbestanden
Apps uit de App Store
App Store-updates
Boeken uit de iBooks Store
iTunes U-cursussen en -materiaal
Downloadbaar materiaal voor GarageBand
Stemmen van hoge kwaliteit en taalwoordenlijsten
Zie het Apple Support-artikel OS X Server: door de cachevoorziening ondersteunde inhoudstypen
voor meer informatie over materiaal dat met de cachevoorziening in de cache wordt bewaard.
iTunes ondersteunt ook Caching Server. De volgende typen materiaal worden ondersteund door
iTunes 11.0.4 of hoger (op zowel Mac- als Windows-computers):
Apps uit de App Store
App Store-updates
Boeken uit de iBooks Store
Hoofdstuk 8 Distributie van apps en boeken 83
Bij grote netwerken kan het verstandig zijn meerdere Caching Servers te installeren. Voor veel
implementatiemodellen is het congureren van Caching Server een kwestie van het inschakelen
van de voorziening. Met Caching Server van OS X Server Yosemite hoeft u geen NAT-omgeving
meer in te richten voor de server en de apparaten die daarvan gebruikmaken. Caching Server
kan nu worden gebruikt in netwerken met vrij routeerbare IP-adressen. Apple apparaten met
iOS 7 of hoger en OS X Mountain Lion versie 10.8.2 of hoger kunnen zonder aanvullende
conguratie automatisch contact maken met een Caching Server in de buurt.
Zie Cachevoorziening in OS X Server Help voor meer informatie.
Hier volgt een uitleg van de werkstroom van Caching Server:
1 Als een Apple apparaat in een netwerk met een of meer Caching Servers materiaal opvraagt
uit de iTunes Store of van de software-updateserver, wordt het apparaat doorgeleid naar een
Caching Server.
2 De Caching Server controleert eerst of het gevraagde materiaal zich al in de lokale cache bevindt.
Als dat zo is, wordt het materiaal direct beschikbaar gesteld aan het apparaat.
Als het gevraagde materiaal niet aanwezig is op de Caching Server, wordt geprobeerd het
materiaal vanaf een andere bron te downloaden. Caching Server 2 of hoger beschikt over
een peer-to-peer-replicatiefunctie die het mogelijk maakt om andere Caching Servers in het
netwerk te gebruiken als die het gevraagde materiaal al hebben gedownload.
3 Terwijl de Caching Server downloadgegevens ontvangt, worden deze direct doorgegeven aan
de apparaten die de gegevens hebben opgevraagd en wordt een kopie in de cache geplaatst op
het opgegeven opslagapparaat.
9
84
Overzicht
Bij een implementatie van Apple apparaten moet de ondersteuning natuurlijk niet worden
vergeten. AppleCare heeft ondersteuningsplannen voor organisaties van elke omvang, die
ondersteuning voor software-implementatie en dekking van hardwarereparatiekosten bieden:
Mac-computers met OS X, iOS-apparaten met iOS
AppleCare Help Desk Support
AppleCare OS Support
AppleCare voor bedrijven
Alleen iOS-apparaten
AppleCare voor gebruikers van iOS-apparaten
iOS Direct Service Program
Alleen Mac-computers
AppleCare Protection Plan voor Mac of Apple beeldscherm
U kunt de programma's kiezen die aansluiten bij de behoeften van uw organisatie. Ga naar de
website AppleCare Professional Support voor meer informatie.
AppleCare Help Desk Support
Als u dit plan kiest, kunt u direct telefonisch contact opnemen met de ervaren
ondersteuningsmedewerkers van Apple. Het plan omvat daarnaast een aantal tools voor het
opsporen en oplossen van problemen met Apple hardware, waardoor organisaties hun resources
eciënter kunnen beheren, de responstijd kunnen verkorten en minder geld kwijt zijn aan
trainingen. Met het AppleCare Help Desk Support-plan kunt u een onbeperkt aantal aanvragen
indienen voor het opsporen en verhelpen van hardware- en softwareproblemen en het isoleren
van problemen met iOS- en OS X-producten. Ga naar de website AppleCare Help Desk Support
voor meer informatie.
AppleCare OS Support
AppleCare OS Support omvat AppleCare Help Desk Support, plus ondersteuning voor
specieke incidenten. AppleCare OS Support omvat ondersteuning voor systeemonderdelen,
netwerkconguratie en -beheer, integratie in gemengde omgevingen, professionele
programma's, webapplicaties en -voorzieningen en technische problemen waarvoor
commandoregeltools moeten worden gebruikt. Ga naar de website AppleCare OS Support voor
meer informatie.
Ondersteuningsbehoeften
Hoofdstuk 9 Ondersteuningsbehoeften 85
AppleCare voor bedrijven
AppleCare voor bedrijven biedt uitgebreide hardware- en softwareondersteuning voor
uw bedrijf of onderwijsinstelling. Uw AppleCare-accountmanager brengt samen met u
uw IT-infrastructuur in kaart, houdt eventuele problemen bij en verstrekt maandelijkse
activiteitenrapporten over ondersteuningsaanvragen en reparaties. Dit plan biedt IT-afdelingen
via telefoon of e-mail ondersteuning voor alle Apple hardware en software. We bieden
ondersteuning voor complexe implementatie- en integratiescenario's, waaronder MDM en Active
Directory. En als u hulp nodig hebt met IBM MobileFirst voor iOS-apps, onderzoeken we samen
met u wat de oorzaak van het probleem is en zorgen we samen met IBM dat het probleem
wordt opgelost. AppleCare voor bedrijven biedt uw medewerkers 24 uur per dag en 7 dagen
per week telefonische technische ondersteuning, zodat de druk op uw interne helpdesk wordt
verlicht. Apple biedt technische ondersteuning voor Apple hardware en besturingssystemen,
voor Apple apps zoals Keynote, Pages en Numbers, en voor persoonlijke accounts en instellingen.
Ga naar de website AppleCare voor bedrijven voor meer informatie.
AppleCare voor gebruikers van iOS-apparaten
Voor elk iOS-apparaat geldt een beperkte garantie van één jaar en wordt gedurende
90 dagen vanaf de aankoopdatum telefonische technische ondersteuning geboden. Deze
dekking kan worden uitgebreid naar twee jaar vanaf de oorspronkelijke aankoopdatum met
AppleCare+ voor iPhone, AppleCare+ voor iPad of AppleCare+ voor iPod touch. Gebruikers
kunnen zo vaak als ze willen bellen met de deskundige ondersteuningsmedewerkers van Apple
voor algemene ondersteuning. Apple biedt daarnaast handige serviceopties als een apparaat
moet worden gerepareerd. Met alle drie de programma's bent u gedekt voor maximaal twee
schadegevallen als gevolg van een ongeval; per geval kunnen wel servicekosten in rekening
worden gebracht.
iOS Direct Service Program
Het iOS Direct Service Program maakt deel uit van AppleCare+ en het AppleCare Protection Plan.
Op grond van dit programma kunnen uw helpdeskmedewerkers apparaten controleren op
problemen zonder dat ze AppleCare hoeven te bellen of een Apple Store hoeven te bezoeken.
Uw organisatie kan indien nodig rechtstreeks een vervangende iPhone, iPad of iPod touch
of standaardaccessoires bestellen. Ga naar de website iOS Direct Service-programma voor
meer informatie.
AppleCare Protection Plan voor Mac of Apple beeldscherm
Voor elke Mac geldt een beperkte garantie van één jaar en wordt gedurende 90 dagen
vanaf de aankoopdatum telefonische technische ondersteuning geboden. Deze dekking
kan worden uitgebreid naar maximaal drie jaar vanaf de oorspronkelijke aankoopdatum
en kan reparaties op locatie voor desktopcomputers omvatten. Draagbare computers en
Apple beeldschermen kunnen ter reparatie worden opgestuurd en Mac-computers en Apple
beeldschermen kunnen ter reparatie worden aangeboden bij een Apple Retail Store of een
andere door Apple erkende serviceaanbieder. U kunt zo vaak als u wilt bellen met de deskundige
ondersteuningsmedewerkers van Apple met vragen over Apple hardware, OS X en Apple apps,
zoals de apps in de pakketten iLife en iWork.
10
86
Beperkingen
Overzicht
Apple apparaten ondersteunen de hierna aangegeven beleidsinstellingen en beperkingen.
Deze kunnen zo worden gecongureerd dat ze aansluiten op de behoeften van uw organisatie.
Afhankelijk van uw MDM-oplossing, kunnen de aanduidingen van deze beperkingen
enigszins afwijken.
Opmerking:Niet alle beperkingen zijn voor alle Apple apparaten beschikbaar.
Instellingen voor het Device Enrollment Program
De volgende beperkingen gelden voor Apple apparaten die zijn toegewezen aan MDM-servers
via het Device Enrollment Program.
Inschrijvingsopties
Vraag gebruiker om apparaat in te schrijven: Als deze optie is ingeschakeld, wordt de gebruiker
gevraagd het apparaat in te schrijven bij de MDM-oplossing. Deze optie is standaard uitgeschakeld.
De volgende instellingen zijn subsets van de bovenstaande instelling.
Sta gebruiker niet toe om inschrijvingsstap over te slaan: Als deze optie is ingeschakeld, moet
de gebruiker het apparaat inschrijven bij de MDM-oplossing voordat hij of zij het apparaat
kan congureren. Deze optie is standaard uitgeschakeld.
Inloggegevens vereist voor inschrijving: Als deze optie is uitgeschakeld, hoeven gebruikers
hun identiteit niet te laten controleren voor een adreslijstvoorziening voordat zij het
apparaat bij de MDM-oplossing inschrijven. Deze optie is standaard ingeschakeld.
Beheer apparaat (alleen iOS): Als deze optie is ingeschakeld, staat het apparaat onder
supervisie zolang het is ingeschreven en kan het niet worden uitgeschreven door de
gebruiker. Deze optie is standaard uitgeschakeld.
De volgende instelling is een subset van de bovenstaande instelling.
Sta koppelen toe (alleen iOS): Als deze optie is uitgeschakeld, kunnen gebruikers hun
apparaat niet met een computer koppelen. Deze optie is standaard ingeschakeld.
Sta uitschrijving niet toe: Als deze optie is ingeschakeld, kan een iOS-apparaat dat onder
supervisie staat, niet worden uitgeschreven door de gebruiker. Mac-computers kunnen
worden uitgeschreven als de gebruiker de gebruikersnaam en het wachtwoord van de
beheerder weet. Deze optie is standaard uitgeschakeld.
Opties voor de conguratie-assistent
De volgende schermen van de conguratie-assistent kunnen worden overgeslagen voor Apple
apparaten die bij het Device Enrollment Program zijn ingeschreven en via een MDM-oplossing
worden beheerd (alle opties zijn standaard ingeschakeld).
Gebruikers kunnen deze onderdelen instellen nadat het Apple apparaat is gecongureerd,
tenzij er via de MDM-oplossing permanente beperkingen voor de onderdelen zijn ingesteld.
Bijlagen
Hoofdstuk 10 Bijlagen 87
Set up as a new device or restore from backup: Als deze optie is uitgeschakeld, heeft de
gebruiker niet de mogelijkheid om tussen deze twee opties te kiezen.
Allow user to enter their AppleID: Als deze optie is uitgeschakeld, kan de gebruiker niet zijn of
haar Apple ID invoeren.
Allow user to view the Terms and Conditions: Als deze optie is uitgeschakeld, kan de gebruiker
niet de voorwaarden van Apple bekijken.
Allow user to select whether diagnostic data is sent to Apple and developers: Als deze optie is
uitgeschakeld, kan de gebruiker niet aangeven of diagnostische gegevens naar Apple en
appgegevens naar ontwikkelaars mogen worden verstuurd.
Allow user to enable Location Services: Als deze optie is uitgeschakeld, kan de gebruiker
Locatievoorzieningen niet inschakelen.
Allow the user to enable TouchID (iOS-only): Als deze optie is uitgeschakeld, kan de gebruiker
Touch ID niet inschakelen om het apparaat te ontgrendelen of om in te loggen bij apps die
Touch ID gebruiken voor de identiteitscontrole.
Allow user to alter the Passcode Lock settings (iOS-only): Als deze optie is uitgeschakeld, kan de
gebruiker de toegangscode van de beheerde instelling niet wijzigen.
Allow user to enable Apple Pay (iOS-only): Als deze optie is uitgeschakeld, kan de gebruiker
Apple Pay niet inschakelen.
Allow user to enable Siri (iOS-only): Als deze optie is uitgeschakeld, kan de gebruiker Siri
niet inschakelen.
Allow user to change the Display Zoom (iOS-only): Als deze optie is uitgeschakeld, heeft de
gebruiker niet de mogelijkheid om te kiezen tussen de weergavezoominstellingen 'Standaard'
en 'Zoomen'.
Allow the user to register the Mac with Apple (OSX-only): Als deze optie is uitgeschakeld, kan de
gebruiker het registratieformulier niet invullen en naar Apple versturen.
Allow the user to enable FileVault (OSX-only): Als deze optie is uitgeschakeld, kan de gebruiker
FileVault niet inschakelen.
Apparaatfunctionaliteit
Functionaliteit van iOS-apparaten
De volgende beperkingen gelden voor de functionaliteit van iOS-apparaten:
Sta installatie van programma's toe: Als deze optie is uitgeschakeld, is de App Store niet
toegankelijk en wordt het bijbehorende symbool niet weergegeven in het beginscherm.
Gebruikers kunnen geen apps van de App Store installeren of bijwerken via de App Store,
via iTunes of via MDM. Eigen apps kunnen nog steeds worden geïnstalleerd en bijgewerkt.
Sta Siri toe: Als deze optie is uitgeschakeld, kan Siri niet worden gebruikt.
Sta Siri toe als apparaat is vergrendeld: Als deze optie is uitgeschakeld, reageert Siri alleen
wanneer het apparaat is ontgrendeld.
Apple Pay: Als deze optie is uitgeschakeld, kan Apple Pay niet worden gebruikt.
Sta Hando toe: Als deze optie is uitgeschakeld, kunnen gebruikers Hando niet gebruiken
met hun Apple apparaten.
Sta gebruik van camera toe: Als deze optie is uitgeschakeld, worden de camera's uitgeschakeld
en wordt het camerasymbool uit het beginscherm verwijderd. Gebruikers kunnen geen foto's
of video's maken en evenmin gebruikmaken van FaceTime.
Sta FaceTime toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen audio-
of -videogesprekken via FaceTime starten of ontvangen.
Hoofdstuk 10 Bijlagen 88
Sta schermafbeeldingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen
schermafbeelding bewaren.
Sta automatische synchronisatie tijdens roaming toe: Als deze optie is uitgeschakeld, worden
roamende apparaten alleen gesynchroniseerd wanneer de gebruiker inlogt op een account.
Sta voicedialing toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen gesproken
commando's gebruiken om een nummer te bellen.
Sta kopen vanuit app toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen aankopen
doen vanuit apps.
Sta ontgrendelen van apparaat via Touch ID toe: Als deze optie is uitgeschakeld, moeten
gebruikers een toegangscode invoeren om het apparaat te ontgrendelen.
Forceer Apple Watch-draagdetectie: Als deze optie is ingeschakeld, wordt Apple Watch
automatisch vergrendeld wanneer het horloge van de pols van de gebruiker wordt gehaald.
Het kan worden ontgrendeld met de toegangscode of de gekoppelde iPhone. Deze optie is
standaard uitgeschakeld.
Allow Control Center access from Lock Screen: Als deze optie is uitgeschakeld, kunnen
gebruikers het bedieningspaneel niet weergeven door omhoog te vegen.
Allow Notication Center access from Lock Screen: Als deze optie is uitgeschakeld, kunnen
gebruikers Berichtencentrum niet weergeven door omlaag te vegen op het toegangsscherm.
Toon dagweergave op toegangsscherm: Als deze optie is uitgeschakeld, kunnen gebruikers de
dagweergave niet op het toegangsscherm weergeven door omlaag te vegen.
Sta Passbook-meldingen toe op toegangsscherm: Als deze optie is uitgeschakeld, moeten
gebruikers het apparaat ontgrendelen om Passbook te kunnen gebruiken.
iTunes-wachtwoord vereist voor alle aankopen: Als deze optie is uitgeschakeld, hoeft de
gebruiker geen accountwachtwoord op te geven wanneer hij of zij vanuit een app of
rechtstreeks aankopen in iTunes doet.
Stel toegestane beoordelingen in: Hiermee stelt u de regio en beoordelingen voor lms,
tv-programma's en apps in.
Functionaliteit van Mac-computers
De volgende beperkingen gelden voor de functionaliteit van Mac-computers:
Sta AppStore-app-adoptie toe: Als deze optie is uitgeschakeld, kunnen iLife- en iWork-apps die
bij OS X zijn geleverd niet door de App Store worden geadopteerd.
Beperk gebruik van AppStore tot software-updates: Als deze optie is ingeschakeld,
kan de App Store alleen worden gebruikt om apps bij te werken. Deze optie is
standaard uitgeschakeld.
Beheerderswachtwoord vereist voor installeren of bijwerken van apps: Als deze optie is
ingeschakeld, moet een beheerderswachtwoord worden ingevoerd om apps bij te werken.
Deze optie is standaard uitgeschakeld.
Stel in welke apps mogen worden gestart: Als deze optie is ingeschakeld, kunt u instellen welke
apps kunnen worden gebruikt. Deze optie is standaard uitgeschakeld.
Beperk gebruik Systeemvoorkeuren: Als deze optie is ingeschakeld, kunt u instellen welke
onderdelen in Systeemvoorkeuren toegankelijk zijn voor gebruikers. Als een paneel niet wordt
vermeld, installeert u het paneel op de Mac waarop Proelbeheer is geïnstalleerd. Deze optie
is standaard uitgeschakeld.
Vergrendel bureaubladafbeelding: Als deze optie is ingeschakeld, kan de gebruiker geen andere
bureaubladafbeelding instellen. Deze optie is standaard uitgeschakeld.
Hoofdstuk 10 Bijlagen 89
Instellingen onder supervisie
De twee activeringsslotbeperkingen zijn standaard uitgeschakeld voor alle gebruikers
en gebruikersgroepen.
Stuur commando 'Sta activeringsslot toe' na MDM-inschrijving: Als deze optie is ingeschakeld,
kunnen gebruikers instellen dat hun iOS-apparaat niet kan worden gewist zonder de Apple ID
van de gebruiker in te voeren.
De volgende instelling is een subset van de bovenstaande instelling.
Verstuur commando alleen als bypasscode voor activeringsslot is verkregen: Als deze optie is
ingeschakeld, moet de MDM-server een bypasscode voor het activeringsslot ontvangen
voordat de gebruiker kan instellen dat zijn of haar iOS-apparaat niet kan worden gewist
zonder de Apple ID van de gebruiker in te voeren.
Globale netwerkproxy voor HTTP: Als deze payload wordt toegevoegd aan een proel, moeten
iOS-apparaten voor al het netwerkverkeer dat via HTTP loopt de proxy gebruiken die in de
payload is gedenieerd.
Sta iMessage toe: Als deze optie is uitgeschakeld voor apparaten die alleen een Wi-Fi-voorziening
hebben, wordt de Berichten-app verborgen. Als deze optie is uitgeschakeld voor een apparaat
met Wi-Fi en een mobiele-dataverbinding, is de Berichten-app nog wel beschikbaar, maar kan
alleen de voorziening voor sms-/mms-berichten worden gebruikt.
Sta Game Center toe: Als deze optie is uitgeschakeld, worden de Game Center-app en het
bijbehorende symbool niet weergegeven.
Sta verwijderen van apps toe: Als deze optie is uitgeschakeld, kunnen gebruikers geïnstalleerde
apps niet verwijderen.
Sta iBooks Store toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen boeken kopen
via de iBooks Store.
Sta podcasts toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen podcasts downloaden.
Sta suggesties bij typen toe: Als deze optie is uitgeschakeld, worden er geen suggesties
aangeboden tijdens het typen.
Sta autocorrectie toe: Als deze optie is uitgeschakeld, krijgen gebruikers geen suggesties voor
het corrigeren van woorden aangeboden.
Sta spellingcontrole toe: Als deze optie is uitgeschakeld, worden mogelijk verkeerd gespelde
woorden niet rood onderstreept.
Sta denities zoeken toe: Als deze optie is uitgeschakeld, kunnen gebruikers niet dubbel tikken
om de denitie van een woord op te zoeken.
Sta gebruikersmateriaal toe in Siri: Als deze optie is uitgeschakeld, kan Siri geen materiaal
ophalen van bronnen met door gebruikers gegenereerde inhoud, zoals Wikipedia.
Allow manual install of conguration les: Als deze optie is uitgeschakeld, kunnen gebruikers
niet handmatig conguratieproelen installeren.
Sta congureren van beperkingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen
eigen beperkingen instellen op hun apparaat.
Allow pairing to computers for content sync: Als deze optie is uitgeschakeld, kunnen gebruikers
hun iOS-apparaat alleen koppelen met de Mac waarop Apple Congurator is geïnstalleerd en
waarop het apparaat voor het eerst werd beheerd.
Sta AirDrop toe: Als deze optie is uitgeschakeld, kunnen gebruikers AirDrop niet gebruiken
met een app.
Sta wijzigen TouchID-vingerafdrukken toe: Als deze optie is uitgeschakeld, kunnen gebruikers
geen Touch ID-gegevens toevoegen of verwijderen.
Hoofdstuk 10 Bijlagen 90
Sta wijziging van account toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen nieuwe
accounts aanmaken of hun gebruikersnaam, wachtwoord of andere instellingen wijzigen die
aan hun account zijn gekoppeld.
Sta wijziging mobiele-datainstellingen toe: Als deze optie is uitgeschakeld, kunnen gebruikers
geen instellingen wijzigen met betrekking tot de apps die mobiele data mogen gebruiken.
Sta wijziging van Zoek mijn vrienden toe: Als deze optie is uitgeschakeld, kunnen gebruikers
geen instellingen wijzigen in de app Zoek mijn vrienden.
Sta wissen van alle inhoud en instellingen toe: Als deze optie is uitgeschakeld, kunnen
gebruikers hun apparaat niet wissen en kunnen ze de fabrieksinstellingen van het apparaat
niet herstellen.
Allow specic URLs (Content Filter payload): Als deze payload aan een proel wordt toegevoegd,
kunnen gebruikers niet opgeven welke websites ze op hun iOS-apparaten kunnen bekijken.
Toegestane URL's: Voeg URL's aan deze lijst toe als u gebruikers toegang wilt geven tot
bepaalde websites, zelfs wanneer deze door het automatische lter als expliciet worden
aangemerkt. Als u deze lijst leeg laat, is toegang tot alle niet-expliciete websites toegestaan,
behalve tot de websites die in 'URL's op blacklist' worden vermeld.
URL's op de zwarte lijst: Voeg URL's aan deze lijst toe om de toegang tot bepaalde websites
te weigeren. Gebruikers kunnen deze sites niet bezoeken, zelfs niet wanneer de sites door
het automatische lter als niet-expliciet worden aangemerkt.
Alleen specieke websites: De gebruiker van het apparaat heeft alleen toegang tot de
websites die u opgeeft. Typ de URL van de website in de kolom 'URL'. Typ de naam voor
de bladwijzer in de kolom 'Naam'. Om een bladwijzer in een map aan te maken, geeft u
de locatie van de map op in de kolom 'Bladwijzer'. U kunt bijvoorbeeld een bladwijzer
aanmaken in de map 'Favorieten' door /Favorieten/ in te voeren.
Restrict AirPlay connections with whitelist and optional connection passcodes: Als deze optie is
uitgeschakeld, hoeft er geen toegangscode te worden ingevoerd wanneer een apparaat voor
het eerst wordt gekoppeld voor AirPlay.
Activeer grof-taalgebruiklter Siri: Als deze optie is uitgeschakeld, wordt het grof-
taalgebruiklter in Siri niet gebruikt.
Eén-app-modus: In deze modus kan er altijd maar één app tegelijk worden gebruikt.
Toegankelijkheidsinstellingen: Hiermee kunnen bepaalde toegankelijkheidsinstellingen worden
opgegeven voor de één-app-modus.
Zie Apparaten onder supervisie stellen voor meer informatie over het beheer van iOS-apparaten.
Beveiligings- en privacy-instellingen
Beveiligings- en privacy-instellingen voor iOS en OSX
De volgende beveiligings- en privacybeperking geldt voor iOS en OS X:
Sta naar Apple versturen van info over werking toe: Als deze optie is uitgeschakeld, worden er
geen diagnostische gegevens van een apparaat naar Apple gestuurd.
Beveiligings- en privacy-instellingen voor iOS
De volgende beveiligings- en privacybeperkingen gelden alleen voor iOS:
Sta zoekresultaten van het internet toe in Spotlight: Als deze optie is uitgeschakeld, worden in
Spotlight geen resultaten weergegeven van een zoekactie op het internet.
Hoofdstuk 10 Bijlagen 91
Domeinen (e-mail): E-mailberichten die niet aan domeinen in de goedgekeurde lijst zijn
geadresseerd, worden gemarkeerd. Stel dat een gebruiker zowel example.com als group.
example.com heeft opgenomen in de lijst met bekende domeinen. Als de gebruiker
vervolgens iemand@foo.com invoert, wordt dat adres gemarkeerd, zodat de gebruiker meteen
kan zien dat dit domein niet in de lijst staat.
Domeinen (Safari): Bestanden die via Safari worden gedownload, worden als beheerde
documenten beschouwd als ze afkomstig zijn van een beheerd domein. Als een gebruiker
bijvoorbeeld via Safari een pdf-bestand downloadt van een beheerd domein, voldoet het
pdf-bestand aan alle instellingen voor beheerde documenten.
Sta documenten uit onbeheerde bronnen toe op beheerde locaties: Als deze optie is
uitgeschakeld, kunnen documenten die met onbeheerde bronnen zijn aangemaakt of van
onbeheerde bronnen zijn gedownload, niet worden geopend op beheerde locaties.
Sta documenten uit beheerde bronnen toe op onbeheerde locaties: Als deze optie is
uitgeschakeld, kunnen documenten die met beheerde bronnen zijn aangemaakt of van
beheerde bronnen zijn gedownload, niet worden geopend op onbeheerde locaties.
Sta expliciete muziek, podcasts en iTunesU toe: Als deze optie is uitgeschakeld, wordt expliciet
muziek- of videomateriaal dat in de iTunes Store is gekocht of aan iTunes U is toegevoegd,
niet weergegeven. Expliciet materiaal dat via de iTunes Store wordt verkocht of via iTunes U
wordt verspreid, wordt als zodanig aangeduid door de aanbieders van het materiaal
(zoals platenmaatschappijen).
Sta expliciet seksueel materiaal toe in iBooks Store: Als deze optie is uitgeschakeld, wordt
expliciet seksueel materiaal dat in de iBooks Store is gekocht verborgen. Expliciet materiaal
wordt als zodanig aangeduid door de aanbieders van het materiaal wanneer dit wordt
verkocht via de iBooks Store. Vereist supervisie voor iOS 6.
In de apps iTunes en iBooks in OS X kunt u instellen of expliciete muziek, podcasts,
iTunes U-materiaal, beoordelingen en erotisch materiaal in de iBooks Store wordt weergegeven.
Sta automatisch bijwerken vertrouwensinstellingen certicaten toe: Als deze optie is
uitgeschakeld, kunnen vertrouwensinstellingen voor certicaten niet automatisch
worden bijgewerkt.
Sta gebruikers toe niet-vertrouwde TLS-certicaten te accepteren: Als deze optie is uitgeschakeld,
wordt gebruikers niet gevraagd of ze certicaten willen vertrouwen die niet kunnen worden
gecontroleerd. Deze instelling geldt voor Safari, Mail, Contacten en Agenda-accounts. Als deze
optie is ingeschakeld, worden alleen certicaten met vertrouwde rootcerticaten automatisch
geaccepteerd. Zie het Apple Support-artikel Lijst met beschikbare, vertrouwde rootcerticaten
voor informatie over rootcerticaten die worden geaccepteerd door iOS.
Toegangscode vereist voor eerste AirPlay-koppeling: Als deze optie is uitgeschakeld, hoeft
er geen toegangscode te worden ingevoerd wanneer een apparaat voor het eerst wordt
gekoppeld voor AirPlay.
Forceer beperkte reclametracking: Als deze optie is uitgeschakeld, kunnen apps de reclame-ID
(een niet-permanente apparaat-ID) gebruiken voor gepersonaliseerde reclame.
Sta maken van reservekopie van bedrijfsboeken toe: Als deze optie is uitgeschakeld, kunnen
gebruikers geen reservekopie maken van boeken die door hun organisatie zijn gedistribueerd
naar iCloud of iTunes.
Forceer gecodeerde reservekopieën: Als deze optie is uitgeschakeld, kunnen gebruikers ervoor
kiezen om in iTunes gemaakte reservekopieën van apparaten al dan niet gecodeerd te
bewaren op hun Mac.
Hoofdstuk 10 Bijlagen 92
Als een proel is gecodeerd en deze optie is uitgeschakeld, is codering van reservekopieën
verplicht. Proelen die met Proelbeheer op het apparaat zijn geïnstalleerd, worden
nooit gecodeerd.
Beveiligings- en privacy-instellingen voor OSX
De volgende beveiligings- en privacybeperking geldt alleen voor OS X:
Sta AirDrop toe: Als deze optie is uitgeschakeld, kunnen gebruikers AirDrop niet gebruiken
met andere Mac-computers.
U kunt het gebruik van AirDrop voor iOS-apparaten pas beperken nadat de apparaten onder
supervisie zijn gesteld.
Gebruik van apps
Beperkingen voor iOS- en OSX-apps
De volgende beperkingen gelden voor iOS- en OS X-apps:
Beperkingen voor de Mail-app:
Allow Mail messages to be moved from one account to another: Als deze optie is uitgeschakeld,
kunnen gebruikers geen e-mailberichten verplaatsen tussen accounts.
Gebruik alleen in Mail: Als deze optie is uitgeschakeld, kunnen andere apps worden gebruikt
om vanuit de app e-mail te versturen met de opgegeven account.
Sta synchronisatie van recente Mailadressen toe: Als deze optie is uitgeschakeld, worden
onlangs gebruikte adressen niet gesynchroniseerd met andere apparaten.
Beperkingen voor de Safari-app:
Sta automatisch invullen in Safari toe: Als deze optie is uitgeschakeld, worden de gegevens
die gebruikers in webformulieren invullen niet in Safari bewaard.
Game Center-beperkingen:
Sta games met meerdere spelers toe: Als deze optie is uitgeschakeld, kunnen gebruikers geen
multiplayergames in Game Center spelen.
Sta toevoeging van Game Center-vrienden toe: Als deze optie is uitgeschakeld, kunnen
gebruikers geen vrienden vinden of toevoegen in Game Center.
Beperkingen voor iOS-apps
De volgende beperkingen gelden alleen voor iOS-apps:
Beperkingen voor de iTunes Store:
Sta gebruik van iTunesStore toe: Als deze optie is uitgeschakeld, is de iTunes Store uitgeschakeld
en wordt het appsymbool uit het beginscherm verwijderd. Gebruikers kunnen materiaal niet
vooraf bekijken of beluisteren en geen materiaal aanschaen of downloaden.
Beperkingen voor de Safari-app:
Sta gebruik van Safari toe: Als deze optie is uitgeschakeld, wordt de Safari-app uitgeschakeld
en wordt het appsymbool uit het beginscherm verwijderd. Met deze optie kunt u ook
voorkomen dat gebruikers webfragmenten kunnen openen.
Receive forced fraud warnings: Als deze optie is uitgeschakeld, verschijnt er in Safari geen
waarschuwing wanneer een gebruiker mogelijk frauduleuze of verdachte websites bezoekt.
Schakel JavaScript in: Als deze optie is uitgeschakeld, worden in Safari alle JavaScripts op
websites genegeerd.
Blokkeer pop-ups: Als deze optie is uitgeschakeld, worden in Safari geen pop-ups geblokkeerd.
Hoofdstuk 10 Bijlagen 93
Edit cookie preferences: Hiermee stelt u het cookiebeleid voor Safari in. U kunt ervoor kiezen
om altijd alle cookies te weigeren of te accepteren, alleen cookies van geopende websites
te accepteren of alleen cookies te accepteren van websites die de gebruiker bezoekt.
De standaardinstelling is 'Altijd'.
Beperkingen voor OSX-apps
De volgende beperkingen gelden alleen voor OS X-apps:
Beperkingen voor de Dashboard-app:
Alleen de volgende Dashboard-widgets mogen worden uitgevoerd: Als deze optie is
ingeschakeld, kunt u instellen welke Dashboard-widgets de gebruiker kan inschakelen.
Game Center-beperkingen:
Sta Game Center toe: Als deze optie is uitgeschakeld, worden de Game Center-app en het
bijbehorende symbool niet weergegeven.
Sta wijziging van Game Center-account toe: Als deze optie is uitgeschakeld, kunnen
gebruikers van Game Center hun gebruikersnaam of wachtwoord niet wijzigen.
iCloud-instellingen
Sta maken van reservekopie toe: Als deze optie is uitgeschakeld, wordt alleen in iTunes een
reservekopie gemaakt van het apparaat.
Allow document and data sync: Als deze optie is uitgeschakeld, worden er geen documenten
en gegevens toegevoegd aan iCloud.
Allow keychain sync: Als deze optie is uitgeschakeld, wordt iCloud-sleutelhanger niet gebruikt.
Sta Mijn fotostream toe: Als deze optie is uitgeschakeld, worden foto's in Mijn fotostream
gewist van het apparaat, worden er geen foto's van de Filmrol naar Mijn fotostream verstuurd,
en kunnen foto's en video's in gedeelde streams niet meer worden weergegeven op het
apparaat. Als er geen andere kopieën van deze foto's en video's bestaan, kunnen deze foto's
en video's verloren gaan.
Sta 'iCloud-fotodelen' toe: Als deze optie is uitgeschakeld, kunnen gebruikers zich niet
abonneren op gedeelde fotostreams of gedeelde fotostreams publiceren.
Sta beheerde apps toe gegevens te bewaren in iCloud: Als deze optie is uitgeschakeld, kunnen
gebruikers geen gegevens van beheerde apps bewaren in iCloud.
Sta synchronisatie van notities en markeringen toe voor bedrijfsboeken: Als deze optie is
uitgeschakeld, kunnen gebruikers met iCloud geen notities of markeringen synchroniseren
naar andere apparaten.
Beperkingen voor gebruikers en gebruikersgroepen in Proelbeheer
Deze instellingen zijn standaard ingeschakeld voor alle gebruikers en voor de gebruikersgroep
'Iedereen'. De instellingen zijn standaard uitgeschakeld voor de groep 'Werkgroep' en voor alle
gebruikersgroepen die door de beheerder zijn aangemaakt.
Andere MDM-oplossingen hebben mogelijk vergelijkbare instellingen, die echter andere namen
kunnen hebben.
Sta toegang tot het portaal 'Mijn apparaten' toe: Als deze optie is ingeschakeld, heeft de
gebruiker toegang tot het portaal 'Mijn apparaten' van Proelbeheer.
De volgende instellingen zijn subsets van deze instelling.
Sta downloads van conguratieproelen toe: Als deze optie is ingeschakeld, kunnen
gebruikers conguratieproelen downloaden uit het portaal 'Mijn apparaten'.
Hoofdstuk 10 Bijlagen 94
Sta in- en uitschrijving van apparaten toe: Als deze optie is ingeschakeld, kunnen gebruikers
extra apparaten inschrijven en apparaten uitschrijven.
Sta wissen van apparaat toe: Als deze optie is ingeschakeld, kunnen gebruikers hun
apparaten wissen.
Sta apparaatvergrendeling toe (alleen iOS): Als deze optie is ingeschakeld, kunnen gebruikers
hun iOS-apparaat vergrendelen.
Sta wissen van toegangscode van apparaat toe (alleen iOS): Als deze optie is ingeschakeld,
kunnen gebruikers de toegangscode van hun iOS-apparaat wissen.
Sta inschrijving in conguratie-assistent toe voor apparaten die met Device Enrollment Program
worden gecongureerd: Als deze optie is ingeschakeld, kunnen Apple apparaten die bij het
Device Enrollment Program zijn ingeschreven en die aan dit exemplaar van Proelbeheer zijn
toegewezen, worden ingeschreven bij de MDM-voorziening van Proelbeheer.
De volgende opties zijn standaard uitgeschakeld voor alle gebruikers en gebruikersgroepen.
Sta inschrijving in conguratie-assistent toe voor apparaten die met Apple Congurator worden
gecongureerd (alleen iOS): Als deze optie is ingeschakeld, kunnen iOS-apparaten die met
Apple Congurator zijn gecongureerd, worden ingeschreven bij de MDM-voorziening
van Proelbeheer.
Beperk inschrijving tot plaatsaanduidingsapparaten: Als deze optie is ingeschakeld, kunnen
alleen apparaten met een plaatsaanduiding voor een van de volgende gegevens worden
ingeschreven bij de MDM-voorziening van Proelbeheer:
Serienummer
UDID
IMEI
MEID
Bonjour-apparaat-ID (alleen Apple TV)
Opmerking:De volgende instelling is een subset van deze beperking.
Beperk inschrijving tot toegewezen apparaten: Als deze optie is ingeschakeld, kunnen
alleen apparaten die aan een gebruiker zijn toegewezen, worden ingeschreven bij de
MDM-voorziening van Proelbeheer.
Draadloos interne apps installeren
Bij iOS en OS X kunnen interne maatwerk-apps draadloos worden geïnstalleerd zonder dat
iTunes of de App Store hoeft te worden gebruikt.
Vereisten:
Een productieversie van een iOS-app in de .ipa-structuur met een voorzieningenproel voor
bedrijven
Een XML-manifest-bestand, zoals in deze bijlage wordt beschreven
Een netwerkconguratie waarbij apparaten toegang hebben tot een iTunes-server van Apple
Het gebruik van HTTPS voor iOS 7.1 of hoger
Het installeren van de app is heel eenvoudig. Gebruikers downloaden het manifest-bestand
vanaf uw website naar hun iOS-apparaat. Aan de hand van de instructies in het manifest-bestand
worden de in het manifest-bestand genoemde apps naar het apparaat gedownload en daarop
geïnstalleerd.
Hoofdstuk 10 Bijlagen 95
U kunt de URL voor het downloaden van het manifest-bestand versturen via sms of e-mail, maar
u kunt deze ook opnemen in een andere, intern ontwikkelde bedrijfsapp.
De website voor de distributie van apps bouwt en host u zelf. Zorg ervoor dat de identiteit van
de gebruikers wordt gecontroleerd, bijvoorbeeld door middel van eenvoudige basiscontrole of
een identiteitscontrole op basis van een adressenlijst. Bovendien moet de website toegankelijk
zijn via uw intranet of het internet. U kunt de app en het manifest-bestand in een verborgen
map plaatsen of op een andere locatie zetten die met HTTPS kan worden gelezen.
Als u een selfserviceportaal maakt, kunt u overwegen een webknipsel op de beginpagina van de
gebruiker te plaatsen, zodat de gebruiker snel naar nieuwe implementatie-informatie kan gaan.
Hierbij valt te denken aan nieuwe conguratieproelen, aanbevolen apps uit de App Store en
gegevens voor inschrijving bij een MDM-oplossing.
Een interne app voorbereiden voor draadloze distributie
Om een interne app voor te bereiden voor draadloze distributie, bouwt u een gearchiveerde
versie (een .ipa-bestand) en een manifest-bestand dat draadloze distributie en installatie van de
app mogelijk maakt.
U gebruikt Xcode om een app-archief aan te maken. U ondertekent de app met uw
distributiecerticaat en neemt uw voorzieningenproel voor implementatie door bedrijven op
in het archief. Als u meer wilt weten over het bouwen en archiveren van apps, gaat u naar het
iOS Dev Center of raadpleegt u de Xcode User Guide (beschikbaar via het Help-menu in Xcode).
Informatie over het manifest-bestand voor draadloze distributie
Het manifest-bestand heeft de plist-structuur (XML). Het wordt door een iOS-apparaat gebruikt
om apps op uw webserver te zoeken, downloaden en installeren. Het manifest-bestand wordt
door Xcode aangemaakt op basis van de gegevens die u opgeeft wanneer u een app-archief
voor bedrijfsdistributie deelt.
De volgende velden zijn verplicht:
URL: De volledig gekwaliceerde HTTPS-URL van het appbestand (.ipa).
display-image: Een png-afbeelding van 57 x 57 pixels die wordt weergegeven tijdens het
download- en installatieproces. Geef de volledige URL van de afbeelding op.
full-size-image: Een png-afbeelding van 512 x 512 pixels die de app in iTunes weergeeft.
bundle-identier: De bundle-aanduiding van uw app, precies zoals die in uw Xcode-project
wordt vermeld.
bundle-version: De bundle-versie van uw app zoals die in uw Xcode-project wordt vermeld.
title: De naam van de app; deze wordt weergegeven tijdens het download- en
installatieproces.
Voor Kiosk-apps zijn ook de volgende velden verplicht:
newsstand-image: Een png-afbeelding van groot formaat die in de Kiosk wordt weergegeven.
UINewsstandBindingEdge en UINewsstandBindingType: Deze sleutels moeten overeenkomen
met die in het info.plist-bestand van uw Kiosk-app.
UINewsstandApp: Geeft aan dat het een Kiosk-app betreft.
De optionele sleutels die u kunt gebruiken, worden beschreven in het voorbeeld van het
manifest-bestand. U kunt bijvoorbeeld de MD5-sleutels gebruiken als uw appbestand groot is
en u - in aanvulling op de foutcontrole die standaard voor TCP-communicatie wordt uitgevoerd -
een nadere integriteitscontrole van het downloadproces wilt uitvoeren.
Hoofdstuk 10 Bijlagen 96
U kunt meerdere apps installeren met één manifest-bestand door extra onderdelen op te geven
in de itemmatrix.
Aan het eind van deze bijlage vindt u een voorbeeld van een manifest-bestand.
Uw website opbouwen
Upload de volgende onderdelen naar een gedeelte van uw website waartoe bevoegde
gebruikers toegang hebben:
Het appbestand (.ipa)
Het manifest-bestand (.plist)
Een website met één pagina met daarop een koppeling naar het manifest-bestand is al
voldoende. Zodra een gebruiker op een webkoppeling tikt, wordt het manifest-bestand
gedownload, waarna de informatie in het bestand wordt gebruikt om de apps te downloaden en
te installeren.
Hier ziet u een voorbeeld van een koppeling:
<a href="itms-services://?action=download-manifest&url=https://
example.com/manifest.plist">App installeren</a>
Voeg geen webkoppeling toe voor het app-archief (.ipa). Het .ipa-bestand wordt naar het
apparaat gedownload op het moment dat het manifest-bestand wordt geladen. Ondanks dat het
protocolgedeelte van de URL "itms-services" is, is de iTunes Store niet betrokken bij dit proces.
Zorg er ook voor dat het .ipa-bestand via HTTPS toegankelijk is en dat uw site is ondertekend
met een certicaat dat door iOS wordt vertrouwd. De installatie mislukt als een zelfondertekend
certicaat geen vertrouwd anker heeft en niet kan worden gecontroleerd door het iOS-apparaat.
MIME-typen voor de server instellen
Mogelijk moet u uw webserver zodanig congureren dat het manifest-bestand en het
appbestand op de juiste manier worden overgebracht.
Voor OS X Server voegt u de volgende MIME-typen toe aan de MIME Types-instellingen van de
webvoorziening:
application/octet-stream ipa
te
xt/xml plist
Voor IIS voegt u via IIS Manager het MIME-type op de Properties-pagina van de server toe:
.ipa application/octet-stream
.plist te
xt/xml
Problemen met de draadloze distributie van apps oplossen
Als de distributie van een draadloze app mislukt en u de melding krijgt dat downloaden niet
mogelijk is, doet u het volgende:
Controleer of de app op de juiste manier is ondertekend. U kunt dit testen door de
app via Apple Congurator op een apparaat te installeren en te controleren of er zich
problemen voordoen.
Controleer of de koppeling naar het manifest-bestand juist is en of het manifest-bestand
toegankelijk is voor webgebruikers.
Hoofdstuk 10 Bijlagen 97
Controleer of de URL naar het .ipa-bestand (in het manifest-bestand) juist is en of het .
ipa-bestand via HTTPS toegankelijk is voor webgebruikers.
Vereisten voor netwerkconguratie
Als de apparaten zijn aangesloten op een gesloten intern netwerk, moet u iOS-apparaten
toegang verlenen tot:
ax.init.itunes.apple.com: Het apparaat verkrijgt de huidige bestandsgroottelimiet voor het
downloaden van apps via het draadloze netwerk. Als deze website niet bereikbaar is, is het
mogelijk dat de installatie mislukt.
ocsp.apple.com: Het apparaat maakt contact met deze website om de status te controleren
van het distributiecerticaat waarmee het voorzieningenproel is ondertekend.
Bijgewerkte apps distribueren
Apps die u zelf distribueert, worden niet automatisch bijgewerkt. Als u een nieuwe versie voor
uw gebruikers hebt, stelt u hen hiervan op de hoogte en geeft u instructies voor het installeren
van de app. U kunt overwegen om de app naar updates te laten zoeken en de gebruiker daarvan
op de hoogte te laten stellen bij het openen van de app. Als u gebruikmaakt van draadloze
appdistributie, kan in het bericht een koppeling worden opgenomen naar het manifest-bestand
van de bijgewerkte app.
Als u wilt dat gebruikers de appgegevens op hun apparaat bewaren, gebruikt u voor de nieuwe
versie de bundle-aanduiding (bundle-identier) die u ook voor de oude versie hebt gebruikt.
Instrueer de gebruikers dat ze de oude versie pas moeten verwijderen nadat ze de nieuwe
versie hebben geïnstalleerd. De nieuwe versie vervangt de oude versie en de op het apparaat
bewaarde gegevens blijven behouden, maar alleen als de bundle-aanduidingen hetzelfde zijn.
Distributievoorzieningenproelen verlopen 12 maanden nadat ze zijn uitgebracht. Na de
verloopdatum wordt het proel verwijderd en kan de app niet meer worden geopend.
U kunt in het iOS Dev Center een nieuw proel voor de app aanmaken voordat het
voorzieningenproel verloopt. Tegelijk met het nieuwe voorzieningenproel maakt u ook een
nieuw app-archief (.ipa) aan voor gebruikers die de app voor het eerst installeren.
Als er gebruikers zijn die de app al hebben, is het handig als u de volgende versie van uw app
pas uitbrengt wanneer deze het nieuwe voorzieningenproel bevat. Als dat niet mogelijk is,
kunt u ook alleen het nieuwe .mobileprovision-bestand distribueren, zodat gebruikers de app
niet opnieuw hoeven te installeren. Het nieuwe voorzieningenproel overschrijft de versie die al
in het archief van de app aanwezig is.
Voorzieningenproelen kunnen worden geïnstalleerd en beheerd via een MDM-oplossing en
vervolgens via een app-update of via een MDM-oplossing door gebruikers worden gedownload
en geïnstalleerd.
Als uw distributiecerticaat is verlopen, kan de app niet meer worden gestart. Uw distributiecerticaat
is drie jaar geldig vanaf de datum van uitgifte, of totdat uw Enterprise Developer Program-
lidmaatschap verloopt, als dat eerder is. Om te voorkomen dat uw certicaat verloopt, moet u
uw lidmaatschap op tijd verlengen.
U kunt twee distributiecerticaten tegelijk actief hebben; ze zijn niet van elkaar afhankelijk.
Het tweede certicaat is bedoeld om een overlappingsperiode te bieden waarin u uw apps kunt
bijwerken voordat het eerste certicaat verloopt. Let erop dat u uw eerste distributiecerticaat
niet intrekt wanneer u het tweede certicaat aanvraagt bij het iOS Dev Center.
Hoofdstuk 10 Bijlagen 98
Certicaatcontrole
De eerste keer dat een gebruiker een app opent, wordt het distributiecerticaat gecontroleerd
bij de OCSP-server van Apple. Als het certicaat is ingetrokken, kan de app niet worden gestart.
Wanneer er geen verbinding met de OCSP-server tot stand kan worden gebracht of wanneer er
geen reactie van de server wordt ontvangen, betekent dit niet dat het certicaat is ingetrokken.
Om de status te controleren, moet het apparaat in staat zijn om ocsp.apple.com te bereiken. Zie
het gedeelte "Vereisten voor netwerkconguratie".
De OCSP-reactie wordt in een cache op het apparaat bewaard gedurende een door de OCSP-server
bepaalde tijd. Momenteel ligt deze tijd tussen drie en zeven dagen. De geldigheid van het
certicaat wordt pas opnieuw gecontroleerd wanneer het apparaat opnieuw is gestart en de
reactie in de cache is verlopen. Als op dat moment blijkt dat het certicaat is ingetrokken, kan de
app niet worden gestart.
Zodra een distributiecerticaat wordt ingetrokken, zijn alle apps die u hiermee hebt ondertekend
niet meer bruikbaar. U moet een certicaat alleen intrekken als er geen andere oplossingen meer
zijn, bijvoorbeeld als u zeker weet dat u de private sleutel niet meer hebt of als u denkt dat er
met het certicaat is geknoeid.
Voorbeeld van een manifest-bestand van een app
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/
PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<!-- matrix van downloads. -->
<key>items</key>
<array>
<dict>
<!-- een matrix van te downloaden assets -->
<key>assets</key>
<array>
<!-- software-package: het te installeren ipa-bestand. -->
<dict>
<!-- vereist. het soort asset. -->
<key>kind</key>
<string>software-package</string>
<!-- optioneel. md5 elke n bytes. als md5 mislukt, wordt een chunk
opnieuw gestart. -->
<key>md5-size</key>
<integer>10485760</integer>
<!-- optioneel. matrix van md5-hashes voor elke chunk ter grootte van
"md5-size". -->
<key>md5s</key>
<array>
<string>41fa64bb7a7cae5a46bfb45821ac8bba</string>
<string>51fa64bb7a7cae5a46bfb45821ac8bba</string>
</array>
<!-- vereist. de url van het te downloaden bestand. -->
<key>url</key>
<string>https://www.example.com/apps/foo.ipa</string>
Hoofdstuk 10 Bijlagen 99
</dict>
<!-- display-image: het symbool dat tijdens het downloaden wordt
weergegeven.-->
<dict>
<key>kind</key>
<string>display-image</string>
<!-- optioneel. geeft aan of er een glanseffect moet worden toegepast op
het symbool. -->
<key>needs-shine</key>
<true/>
<key>url</key>
<string>https://www.example.com/afbeelding.57x57.png</string>
</dict>
<!-- full-size-image: het grote symbool van 512 x 512 dat door iTunes
wordt gebruikt. -->
<dict>
<key>kind</key>
<string>full-size-image</string>
<!-- optioneel. één md5-hash voor het hele bestand. -->
<key>md5</key>
<string>61fa64bb7a7cae5a46bfb45821ac8bba</string>
<key>needs-shine</key>
<true/>
<key>url</key><string>https://www.example.com/afbeelding.512x512.jpg</
string>
</dict>
</array><key>metadata</key>
<dict>
<!-- vereist -->
<key>bundle-identifier</key>
<string>com.voorbeeld.fooapp</string>
<!-- optioneel (alleen software) -->
<key>bundle-version</key>
<string>1.0</string>
<!-- vereist. het soort download. -->
<key>kind</key>
<string>software</string>
<!-- optioneel. wordt weergegeven tijdens het downloaden; meestal de
bedrijfsnaam -->
<key>subtitle</key>
<string>Apple</string>
<!-- vereist. de titel die tijdens het downloaden moet worden weergegeven.
-->
<key>title</key>
<string>Voorbeeld van bedrijfs-app</string>
</dict>
</dict>
Hoofdstuk 10 Bijlagen 100
</array>
</dict>
</plist>
Zie Conguration Prole Key Reference voor meer informatie over proelsleutels en -kenmerken.
3

Hulp nodig? Stel uw vraag in het forum

Spelregels

Misbruik melden

Gebruikershandleiding.com neemt misbruik van zijn services uitermate serieus. U kunt hieronder aangeven waarom deze vraag ongepast is. Wij controleren de vraag en zonodig wordt deze verwijderd.

Product:

Bijvoorbeeld antisemitische inhoud, racistische inhoud, of materiaal dat gewelddadige fysieke handelingen tot gevolg kan hebben.

Bijvoorbeeld een creditcardnummer, een persoonlijk identificatienummer, of een geheim adres. E-mailadressen en volledige namen worden niet als privégegevens beschouwd.

Spelregels forum

Om tot zinvolle vragen te komen hanteren wij de volgende spelregels:

Belangrijk! Als er een antwoord wordt gegeven op uw vraag, dan is het voor de gever van het antwoord nuttig om te weten als u er wel (of niet) mee geholpen bent! Wij vragen u dus ook te reageren op een antwoord.

Belangrijk! Antwoorden worden ook per e-mail naar abonnees gestuurd. Laat uw emailadres achter op deze site, zodat u op de hoogte blijft. U krijgt dan ook andere vragen en antwoorden te zien.

Abonneren

Abonneer u voor het ontvangen van emails voor uw Apple iOS Implementierung bij:


U ontvangt een email met instructies om u voor één of beide opties in te schrijven.


Ontvang uw handleiding per email

Vul uw emailadres in en ontvang de handleiding van Apple iOS Implementierung in de taal/talen: Nederlands als bijlage per email.

De handleiding is 2,8 mb groot.

 

U ontvangt de handleiding per email binnen enkele minuten. Als u geen email heeft ontvangen, dan heeft u waarschijnlijk een verkeerd emailadres ingevuld of is uw mailbox te vol. Daarnaast kan het zijn dat uw internetprovider een maximum heeft aan de grootte per email. Omdat hier een handleiding wordt meegestuurd, kan het voorkomen dat de email groter is dan toegestaan bij uw provider.

Stel vragen via chat aan uw handleiding

Stel uw vraag over deze PDF

Andere handleiding(en) van Apple iOS Implementierung

Apple iOS Implementierung Gebruiksaanwijzing - Deutsch - 99 pagina's

Apple iOS Implementierung Gebruiksaanwijzing - English - 88 pagina's


Uw handleiding is per email verstuurd. Controleer uw email

Als u niet binnen een kwartier uw email met handleiding ontvangen heeft, kan het zijn dat u een verkeerd emailadres heeft ingevuld of dat uw emailprovider een maximum grootte per email heeft ingesteld die kleiner is dan de grootte van de handleiding.

Er is een email naar u verstuurd om uw inschrijving definitief te maken.

Controleer uw email en volg de aanwijzingen op om uw inschrijving definitief te maken

U heeft geen emailadres opgegeven

Als u de handleiding per email wilt ontvangen, vul dan een geldig emailadres in.

Uw vraag is op deze pagina toegevoegd

Wilt u een email ontvangen bij een antwoord en/of nieuwe vragen? Vul dan hier uw emailadres in.



Info