maandag 14 april 2014 WHITEPAPER ! Zakelijk gebruik van iPhones en iPads 1 ALLES OVER HET GEBRUIK VAN EEN APPLE ID ! Een van de uitdagingen bij het inzetten van Apple apparaten in een bedrijfs- of opleidingsomgeving is de beslissing hoe om te gaan met Apple ID's die op die apparaten gebruikt worden. ! Waar het op neer komt is dat Apple in de loop der tijd het Apple ID heeft laten uitgroeien tot iets dat sterk geïntegreerd is met de persoonlijke gebruikerservaring en alles wat maar enigszins op de klant gericht is. Terwijl de meesten van ons de neiging hebben om een Apple ID af te doen als iets dat toegang geeft tot de tot de App Store of iCloud, is het geëvolueerd tot een complete identiteit voor elke gebruiker, een soort Apple burger service nummer. ! Dit artikel is een bewerking van een eerder verschenen artikel van Ryan Faas, een technologie auteur, die al meer dan 10 jaar schrijft over Apple, bedrijven, IT en de mobiele industrie: http://www.citeworld.com/article/2114869/consumerization/apple-id-icloud-ios-7-IT.html 1 © Avander 2014 askjohnappleseed.nl Pagina 1 ! van 6 ! maandag 14 april 2014 WAT IS DE BETEKENIS VAN EEN APPLE ID? ! Tot op de dag van vandaag betekent het beschikbaar stellen van Apps aan eindgebruikers, dat deze app's eigendom worden van de gebruiker omdat ze verbonden zijn aan zijn of haar Apple ID. In de praktijk betekent dit dat zij de apps meenemen bij het verlaten van de organisatie. ! Apple is bezig met de introductie van een Volume Purchase Programma dat bedoeld is hiervoor een oplossing te bieden. Voorlopig is het VPP alleen in Amerika effectief en moeten wij in Nederland nog afwachten. Maar in potentie kunnen IT beheerders hiermee de toegang tot dergelijke apps intrekken. Maar het gaat verder dan dit: in deze opzet is een organisatie in staat om apps aan te schaffen, te installeren en weer te verwijderen, zonder dat het Apple ID van de gebruiker bekend hoeft te zijn. Het lijkt erop dat dit ontworpen is met de gedachte dat gebruikers op deze manier hun Apple ID niet met IT hoeven te delen. Dit is in principe een heel slimme zet van Apple om de privacy en veiligheid rondom de persoonlijke informatie van de klant/gebruiker te waarborgen. ! Inmiddels is de lijst met services die is te associeren met een Apple ID eigenlijk verbijsterend. Het betreft iTunes, iBooks, de App Store aankopen, apparaat activeringen, Activeringsslot in iOS 7, maar ook communicatietoepassingen: iMessage, FaceTime, Zoek-mijn-vrienden, synchroniseren en backup in iCloud, toegang tot Apple’s services en fora, Apple’s winkelaankopen, eventuele deelname in developer programma’s met toegang tot pre-release content onder NDA, en dit is nog maar de helft. ! GEGEVENSBEVEILIGING ! Sommige van de genoemde zaken zijn gekoppeld aan meer vertrouwelijke informatie zoals creditcard gegevens of PayPal rekeningen. Via de iCloud Sleutelhanger waar alle gebruikersnamen, pincodes en wachtwoorden zitten opgeslagen krijg je toegang tot allerlei andere online diensten. Maar gebruikers kunnen met een Apple ID ook toegang krijgen tot hun Mac en van daaruit gebruikmaken van de netwerk resources. Het Activeringsslot in iOS 7 heeft een geldig Apple ID om een iPhone of iPad te vergrendelen of opnieuw te initialiseren ingeval van verlies of diefstal. ! Deze diepe integratie van een Apple ID in het Apple ecosysteem stelt een IT afdeling voor een aardige uitdaging als het gaat om het activeren van bedrijfsapparaten, het ondersteunen van BYOD apparaten en het managen van de soft- en hardware voorraad van ongeacht welke Apple oplossing. ! ! © Avander 2014 askjohnappleseed.nl Pagina 2 ! van 6 ! maandag 14 april 2014 WAT IS PRECIES EEN APPLE ID? ! In de basis is een Apple ID een middel tot identificatie waarop Apple een aantal diensten heeft gebouwd. Apple definieert het als volgt: ! ! ! "Een Apple ID is een gebruikersnaam dat je gebruikt voor alles wat je doet met Apple: voor aankopen in de iTunes of App Store heb je een Apple ID nodig." De basisvereisten voor een Apple ID zijn een verifieerbaar emailadres plus wachtwoord, samen met wat basis gebruikersinformatie zoals een voor- en achternaam. Het kan worden uitgebreid met een tweede emailadres als backup, antwoorden op beveiligingsvragen, een mobiel nummer voor tweeweg authenticatie opties, betaalgegevens en de associatie met specifieke Mac’s, PC’s, en iOS apparaten. Dit rondt een Apple ID af. Er geldt een leeftijdsgrens van 13 jaar. ! Een Apple ID is niet statisch. Een gebruikers is vrij om op elk gewenst moment bijvoorbeeld het primaire emailadres aan te passen evenals andere items. Apple moedigt gebruikers ook aan om het emailadres te wijzigen op het moment dat zij een bedrijf, organisatie of opleidingsinstituut verlaten of van provider wisselen. ! EEN APPLE ID IS ONTWORPEN VOOR INDIVIDUEN ! Een gebruiker mag meerdere Apple ID’s gebruiken, maar Apple stimuleert gebruikers om er slechts één te gebruiken voor alle activiteit rondom producten. Desondanks laten de meeste (niet alle) diensten, apparaten en apps het toe om verschillende Apple ID’s te gebruiken. ! Apple staat het niet toe dat Apple ID’s worden samengevoegd of gesplitst. Apple heeft het Apple ID bedacht voor individuen en niet voor een compleet gezin, klaslokaal of bedrijf. Vanuit de consument geredeneerd kan dit soms wat verwarrend of zelfs restrictief overkomen, personen in hetzelfde huishouden bouwen zo een eigen iTunes bibliotheek op en geen gemeenschappelijke. ! EEN IPHONE VAN DE ZAAK ! Het zakelijk verstrekken van een iApparaat vormt een uitdaging in relatie tot een Apple ID. Het verbinden van een zakelijk toestel aan een privé Apple ID komt feitelijk neer op het overdragen van het eigenaarschap omdat het gebruikers in staat stelt om eigen apps en andere inhoud op het © Avander 2014 askjohnappleseed.nl Pagina 3 ! van 6 ! maandag 14 april 2014 apparaat te plaatsen. Ook apps die een potentiële bedreiging voor de integriteit van het apparaat kunnen vormen. Deze inbreuk op de integriteit kan in potentie ook worden overgedragen op de integriteit van het bedrijfsnetwerk als geheel. ! iOS 7 maakt onderscheid tussen apps die centraal beheerd en verspreid worden via Mobile Device Management tools, en apps die van de gebruiker zijn. Verschillende Enterprise Device Management oplossingen stellen in staat om apart apps te installeren buiten de gebruiker om. ! Via verschillende policies is een mate van bescherming mogelijk. IT afdelingen kunnen wachtwoord regels instellen, vertrouwde certificaten installeren, wel of geen clouddiensten toestaan etc. ! Bij verlies of diefstal van het apparaat is fraude als gevolg van het blootstellen van het Apple ID en de daaraan gekoppelde gegevens niet ondenkbaar. Dan ontstaat ook de vraag van verantwoordelijkheid. Is het bedrijf aansprakelijk te houden omdat het gevoerde beveiligingsbeleid (policies) onvoldoende is gebleken om het apparaat of de inhoud ervan te beveiligen, of is het de gebruiker zelf, die onvoldoende maatregelen heeft genomen om het hem of haar toevertrouwde apparaat te beschermen? ! Met iOS 7 en „Zoek-mijn-iPhone” is er nog een aspect aan toegevoegd. Bij het activeren van „Zoekmijn-iPhone” wordt het Activeringsslot ingeschakeld. Dit is een effectief anti-diefstalslot gebleken omdat, wanneer het slot eenmaal geactiveerd is, het apparaat niet meer opnieuw geactiveerd kan worden zonder de invoer van het oorspronkelijk gebruikt Apple ID en het bijbehorend wachtwoord. Direct bij het uitkomen van iOS 7 riep de New Yorkse politie mensen op om te upgraden naar iOS 7 teneinde de diefstal van iApparaten een halt toe te roepen. ! Zoek-mijn-iPhone, evenals verschillende MDM systemen, maken het weliswaar mogelijk om een apparaat te blokkeren of te wissen, maar kunnen niet verhinderen dat het apparaat opnieuw geactiveerd kan worden. Het Activeringsslot doet precies dat: voorkomen dat een apparaat opnieuw geactiveerd wordt. ! Een werknemer die het bedrijf verlaat, moet zijn wachtwoord achterlaten zodat het apparaat opnieuw geactiveerd kan worden voor een volgende gebruiker. Maar daarmee geef je ook toegang tot je Apple ID en de daaraan gekoppelde gegevens. Is het wachtwoord om welke reden dan ook niet meer te achterhalen, dan is het apparaat alleen nog geschikt voor de prullenbak. Ook Apple kan het apparaat dan niet meer herstellen. ! In de gebruiksvoorwaarden van iCloud geeft Apple helder aan dat het gebruik van „Zoek-mijniPhone” („Zoek-mijn-Mac” en „Zoek-mijn-iPad”) uitsluitend voor persoonlijk gebruik is bedoeld. Bij apparaten die zijn geconfigureerd met Apple’s Configurator is de functie niet te activeren. Hetgeen Apple’s bedoelingen op dit vlak nog eens onderstreept. © Avander 2014 askjohnappleseed.nl Pagina 4 ! van 6 ! maandag 14 april 2014 ! Deze en andere aspecten maken een protocol met een set van spelregels omtrent het bezit van en de omgang met een iApparaat noodzakelijk. ! EEN ZAKELIJK APPLE ID ! Er zijn situaties denkbaar waarin een persoonlijk Apple ID niet voldoet of gewenst is. Dat geldt voor omgevingen waar iApparaten gedeeld worden, bijvoorbeeld op scholen waar apparaten per klas verstrekt worden, of in horeca gelegenheden waar apparaten gebruikt worden voor bestellingen en om af te rekenen of voor ziekenhuizen waar apparaten gedeeld worden door het dienstdoende personeel. ! In deze omgevingen zijn de apparaten niet bedoeld om privé apps of inhoud te bevatten. Deze apparaten worden gebruikt in een gecontroleerde omgeving waar IT verantwoordelijk is voor de uitrol en bepaalt wat er mee mag worden gedaan. ! COMBINATIES ! Bij het ontwikkelen van het Apple ID is rekening gehouden met verschillende scenario’s. Zo is het mogelijk om een combinatie te maken van 2 verschillende Apple ID’s. Een iPhone (of iPad) gebruikt een Apple ID op verschillende manieren: voor activatie, voor iCloud en voor de App store. Met 2 verschillende Apple ID’s kun je variëren: een zakelijk ID voor de activatie en een privé ID voor iCloud en de App Store. ! BELEID ! Uiteindelijk komt het er op neer dat er verschillende scenario’s denkbaar zijn en dat er altijd wel een oplossing gevonden kan worden. Maar er zijn andere afspraken nodig tussen werkgever en werknemer. Tenslotte kun je technisch veel oplossen, maar een aantal aspecten zul je van te voren moeten vastleggen in een gebruikersovereenkomst. Vaste onderdelen daarin kunnen zijn: ! • • aansprakelijkheid bij verlies of diefstal ten aanzien van gegevens, creditcard gegevens en content; privacy waarborgen verbonden aan het gebruik van een persoonlijk Apple ID; © Avander 2014 askjohnappleseed.nl Pagina 5 ! van 6 ! maandag 14 april 2014 • • • ! verantwoordelijkheden gebruikers in de omgang met gegevens en wachtwoorden als er geen beperkingen worden opgelegd; hoe ga je om met het Activeringsslot als gebruikers een privé Apple ID gebruiken, waarmee een apparaat op slot gezet kan worden en daarmee effectief onbruikbaar gemaakt; hoe om te gaan met iApparaten die niet meer ontsloten kunnen worden. Kortom: meer een kwestie van onderling regelen dan van techniek en daarom meer een zaak van andere stakeholders zoals HR, legal en senior management. ! ! © Avander 2014 askjohnappleseed.nl Pagina 6 ! van 6 !
© Copyright 2024 ExpyDoc
