iOS-implementatie
Technische referentiehandleiding
iOS 7
Februari 2014
Technische referentiehandleiding voor iOS-implementatie
Inhoud
Pagina 3
Inleiding
Pagina 4
Hoofdstuk 1: Integratie
Pagina 4
Microsoft Exchange
Pagina 6
Op standaarden gebaseerde voorzieningen
Pagina 6
Wi-Fi
Pagina 7
Virtual Private Networks
Pagina 13
App-gebonden VPN
Pagina 13
Eenmalige aanmelding
Pagina 14
Digitale certificaten
Pagina 15
Bonjour
Pagina 16
Hoofdstuk 2: Beveiliging
Pagina 16
Apparaatbeveiliging
Pagina 18
Versleuteling en beveiliging van gegevens
Pagina 20
Netwerkbeveiliging
Pagina 20
Beveiliging van apps
Pagina 21
Internetservices
Pagina 24 Hoofdstuk 3: Configuratie en beheer
Pagina 24
Configuratie en activering van apparaten
Pagina 25
Configuratieprofielen
Pagina 25
Mobiel-apparaatbeheer (MDM)
Pagina 28
Aanmelding en supervisie van apparaten
Pagina 30 Hoofdstuk 4: Distributie van apps
Pagina 30
Volume Purchase Program
Pagina 32
B2B-apps op maat
Pagina 32
Interne apps
Pagina 34
Apps implementeren
Pagina 35
Caching Server
Pagina 37 Bijlage A: Wi-Fi-infrastructuur
Pagina 40 Bijlage B: Beperkingen
Pagina 42 Bijlage C: Draadloos interne apps installeren
2
Technische referentiehandleiding voor iOS-implementatie
Inleiding
Deze handleiding is bedoeld voor IT-beheerders die iOS-apparaten op hun netwerk
willen ondersteunen. De handleiding biedt informatie over de implementatie en
ondersteuning van iPhone, iPad en iPod touch in grote organisaties zoals ondernemingen of onderwijsinstellingen. Er wordt uitgelegd hoe iOS-apparaten uitgebreide
beveiliging bieden, met uw bestaande infrastructuur geïntegreerd kunnen worden
en krachtige hulpmiddelen voor implementatie vormen.
Een goed begrip van de belangrijkste technologieën die door iOS ondersteund
worden, dragen bij aan de uitvoering van een implementatiestrategie die uw
gebruikers een optimale ervaring biedt. De volgende hoofdstukken dienen als
een technische referentiehandleiding voor de implementatie van iOS-apparaten
binnen uw organisatie:
Integratie. iOS-apparaten beschikken over ingebouwde ondersteuning voor een
brede verscheidenheid aan netwerkinfrastructuren. In dit gedeelte leert u meer
over de door iOS ondersteunde technologieën en beproefde methoden voor de
integratie met Microsoft Exchange, Wi-Fi, VPN en andere standaardvoorzieningen.
Beveiliging. iOS is ontworpen met het oog op veilige toegang tot bedrijfsservices
en de beveiliging van belangrijke gegevens. iOS biedt krachtige codering voor
gegevensoverdracht, beproefde methoden voor identiteitscontrole voor toegang
tot bedrijfsvoorzieningen en hardwarecodering voor alle opgeslagen gegevens.
In dit hoofdstuk leest u meer over de beveiligingsvoorzieningen van iOS.
Configuratie en beheer. iOS biedt ondersteuning voor geavanceerde tools en
technologieën waarmee iOS-apparaten eenvoudig in te stellen zijn, naar uw eisen
geconfigureerd kunnen worden, en moeiteloos in een grootschalige omgeving
beheerd kunnen worden. In dit hoofdstuk vindt u een beschrijving van de verschillende
beschikbare tools voor implementatie en een overzicht van mobiel-apparaatbeheer
(MDM, Mobile Device Management) en het Device Enrollment Program.
Distributie van apps. Er zijn verschillende manieren waarop u apps en materialen
binnen uw organisatie kunt implementeren. Met programma's van Apple zoals het
Volume Purchase Program en het iOS Developer Enterprise Program kan uw organisatie
apps voor de interne gebruikers kopen, ontwikkelen en implementeren. In dit hoofdstuk vindt u gedetailleerde informatie over deze programma's en de manier waarop
apps voor intern gebruik kunnen worden gekocht of gebouwd.
De volgende bijlagen bevatten aanvullende technische gegevens en vereisten:
Wi-Fi-infrastructuur. Informatie over de Wi-Fi-standaarden die iOS ondersteunt en
aandachtspunten bij de planning van een grootschalig Wi-Fi-netwerk.
Beperkingen. Gedetailleerde informatie over de beperkingen die u kunt gebruiken
om iOS-apparaten te configureren volgens uw vereisten op het gebied van beveiliging,
toegangscodes en ander beleid.
Draadloos interne apps installeren. Details en vereisten voor de distributie van
interne apps via uw eigen webportal.
Aanvullende bronnen
Meer nuttige informatie is te vinden op de volgende websites:
www.apple.com/nl/ipad/business/
www.apple.com/iphone/business/it
www.apple.com/education/it
3
Technische referentiehandleiding voor iOS-implementatie
Hoofdstuk 1:
Integratie
iOS-apparaten beschikken over ingebouwde ondersteuning voor een brede
verscheidenheid aan netwerkinfrastructuren. Ze ondersteunen:
• Veelgebruikte systemen van andere fabrikanten, zoals Microsoft Exchange
• Integratie met op standaarden gebaseerde voorzieningen voor e-mail,
adreslijsten, agenda's en andere systemen
• Standaard-Wi-Fi-protocollen voor gegevensoverdracht, versleuteling
• VPN (Virtual Private Network) waaronder app-gebonden VPN
• Eenmalige aanmelding voor gestroomlijnde identiteitscontrole bij apps en
diensten op het netwerk
• Digitale certificaten voor gebruikersverificatie en beveiligde communicatie
Aangezien deze ondersteuning in iOS is ingebouwd, hoeft uw IT-afdeling slechts
een paar instellingen te configureren om iOS-apparaten in uw bestaande infrastructuur
te integreren. Als u verder leest, vindt u meer informatie over door iOS ondersteunde
technologieën en beproefde methoden voor integratie.
Microsoft Exchange
iOS communiceert rechtstreeks met Microsoft Exchange Server via Microsoft
Exchange ActiveSync (EAS), zodat u gebruik kunt maken van de pushtechnologie
voor e-mail, agenda's, contactgegevens en taken. Daarnaast geeft EAS gebruikers
toegang tot algemene adreslijsten en biedt EAS beheerders de mogelijkheid om
een wachtwoordbeleid toe te passen en apparaten op afstand te wissen. iOS is
compatibel met zowel de algemene als de op certificaten gebaseerde vorm van
identiteitscontrole voor Exchange ActiveSync.
Als uw bedrijf al met Exchange ActiveSync werkt, beschikt u over alle benodigde
voorzieningen om iOS te ondersteunen. Daarvoor is verder geen extra configuratie
nodig.
Vereisten
Apparaten met iOS 7 of hoger ondersteunen de volgende versies van Microsoft
Exchange:
• Exchange Server 2003 SP 2 (EAS 2.5)
• Exchange Server 2007 (met gebruikmaking van EAS 2.5)
• Exchange Server 2007 SP 1 (EAS 12.1)
• Exchange Server 2007 SP 2 (EAS 12.1)
• Exchange Server 2007 SP 3 (EAS 12.1)
• Exchange Server 2010 (EAS 14.0)
• Exchange Server 2010 SP 1 (EAS 14.1)
• Exchange Server 2010 SP 2 (met gebruikmaking van EAS 14.1)
• Exchange Server 2013 (met gebruikmaking van EAS 14.1)
• Office 365 (met gebruikmaking van EAS 14.1)
4
Technische referentiehandleiding voor iOS-implementatie
Microsoft Direct Push
Exchange Server stuurt automatisch e-mails, taken, contactgegevens en agendaactiviteiten naar iOS-apparaten als er een mobiele dataverbinding of Wi-Fi-verbinding
beschikbaar is. iPod touch-apparaten en sommige iPad-modellen die geen verbinding
via een mobiel telecomnetwerk kunnen maken, moeten verbonden zijn met een
Wi-Fi-netwerk om pushberichten te kunnen ontvangen.
Microsoft Exchange Autodiscovery
iOS ondersteunt de Autodiscover-voorziening van Microsoft Exchange Server 2007
en Microsoft Exchange Server 2010. Wanneer u een apparaat handmatig configureert,
bepaalt de Autodiscover-voorziening op basis van uw e-mailadres en wachtwoord
wat de juiste gegevens voor de Exchange-server zijn.
Zie Autodiscover Service voor meer informatie over de Autodiscover-voorzieningen.
Microsoft Exchange Global Address List
iOS-apparaten halen gegevens van contactpersonen op uit de algemene adreslijst
op de Exchange-server van het bedrijf. U kunt de adreslijst raadplegen wanneer u
in Contacten naar contactpersonen zoekt. Ook worden deze adreslijsten automatisch
gebruikt voor het aanvullen van e-mailadressen tijdens het typen. iOS 6 of hoger
ondersteunt adreslijstfoto's (hiervoor is Exchange Server 2010 SP 1 of hoger vereist).
Niet-ondersteunde functies van Exchange ActiveSync
De volgende Exchange-functies worden niet ondersteund:
• Documenten openen op Sharepoint-servers via een koppeling in een e-mail
• Een bericht instellen voor een automatisch antwoord bij afwezigheid
iOS-versies identificeren via Exchange
Wanneer een iOS-apparaat verbinding maakt met een Exchange Server, wordt de
iOS-versie van het apparaat bekendgemaakt. Het versienummer wordt verstuurd
in het veld 'User Agent' in de titel van de aanvraag en heeft de volgende opbouw:
Apple-iPhone2C1/705.018. Het cijfer achter het scheidingsteken (/) is het nummer
van de iOS-build, uniek voor elke iOS-release.
Om het buildnummer van een apparaat te bekijken, gaat u naar 'Instellingen' >
'Algemeen' > 'Info'. U ziet het versienummer en het buildnummer, bijvoorbeeld
4.1 (8B117A). Het nummer tussen haakjes is het buildnummer. Dit nummer geeft
de release aan die op het apparaat wordt gebruikt.
Wanneer het buildnummer naar de Exchange Server wordt verstuurd, wordt de
structuur geconverteerd van NANNNA (waar N een numerieke waarde is en A een
letter) naar de Exchange-structuur NNN.NNN. Hierbij blijven de numerieke waarden
behouden, maar worden de letters geconverteerd naar hun positionele waarde in
het alfabet. Zo wordt 'F' geconverteerd naar '06', omdat 'F' de zesde letter van het
alfabet is. Cijfers worden indien nodig voorafgegaan door nullen om de reeks
geschikt te maken voor de Exchange-structuur.
Het buildnummer 7E18 wordt bijvoorbeeld geconverteerd naar 705.018.
Het eerste cijfer, 7, blijft '7'. De letter E is de vijfde letter van het alfabet en wordt dus
geconverteerd naar '05'. In de geconverteerde versie wordt een punt (.) toegevoegd
zoals vereist bij deze structuur. Het volgende cijfer, 18, wordt voorafgegaan door
een nul en wordt '018'.
Als het buildnummer eindigt met een letter, bijvoorbeeld 5H11A, wordt het nummer
geconverteerd zoals hierboven beschreven, maar worden vóór de numerieke waarde
van de laatste letter drie nullen toegevoegd. 5H11A wordt dus 508.01100001.
5
Technische referentiehandleiding voor iOS-implementatie
Wissen op afstand
U kunt de inhoud van een iOS-apparaat op afstand wissen met behulp van voorzieningen die door Exchange geboden worden. Hierbij worden alle configuratiegegevens en andere gegevens van het apparaat verwijderd. Het apparaat wordt
op een veilige manier gewist en de fabrieksinstellingen worden hersteld. Bij het
wissen wordt de coderingssleutel voor de gegevens (gecodeerd met 256-bitsAES-codering) verwijderd, waardoor de gegevens onmiddellijk niet meer kunnen
worden hersteld.
Met Microsoft Exchange Server 2007 of hoger kunt u een Remote Wipe uitvoeren
via de Exchange Management Console, Outlook Web Access of Exchange ActiveSync
Mobile Administration Web Tool. Met Microsoft Exchange Server 2003 kunt u een
Remote Wipe uitvoeren via Exchange ActiveSync Mobile Administration Web Tool.
Gebruikers kunnen hun apparaat ook zelf wissen door 'Instellingen' > 'Algemeen' >
'Stel opnieuw in' > 'Wis alle inhoud en instellingen' te kiezen. Het is ook mogelijk
een apparaat zo te configureren dat het automatisch wordt gewist nadat er een
bepaald aantal keren een onjuiste toegangscode is ingevoerd.
Op standaarden gebaseerde voorzieningen
Dankzij ondersteuning voor het IMAP-mailprotocol, LDAP-adreslijstvoorzieningen,
het CalDAV-agendaprotocol en het CardDAV-contactprotocol is iOS compatibel met
vrijwel elke op standaarden gebaseerde omgeving. Als voor toegang tot het netwerk
identiteitscontrole en SSL zijn ingesteld, kan via iOS op een veilige manier toegang
worden verkregen tot op standaarden gebaseerde zakelijke e-mail, agenda's, taken
en contactgegevens. iOS biedt ondersteuning voor SSL met 128-bits-codering en X.
509-certificaten afkomstig van de belangrijkste certificaatautoriteiten.
In de meeste gevallen zal iOS e-mail draadloos versturen en ontvangen via een
rechtstreekse verbinding met de IMAP- en SMTP-mailservers. Bovendien kunnen
notities draadloos worden gesynchroniseerd met IMAP-servers. iOS-apparaten
kunnen verbinding maken met de LDAPv3-adreslijsten van uw bedrijf, zodat gebruikers
toegang hebben tot bedrijfsinformatie in de Mail-, Contacten- en Berichten-apps.
Via synchronisatie met uw CalDAV-server kunnen gebruikers draadloos agendauitnodigingen aanmaken en accepteren, agenda-updates ontvangen en taken
synchroniseren met de Herinneringen-app. En dankzij CardDAV-ondersteuning kunnen
gebruikers de gegevens van contactpersonen in de vCard-structuur synchroon
houden met uw CardDAV-server. Alle netwerkservers kunnen zich in een DMZsubnetwerk of achter een bedrijfsfirewall bevinden, of beide.
Wi-Fi
iOS-apparaten kunnen standaard op een veilige manier verbinding maken met
Wi-Fi-bedrijfsnetwerken of -gastnetwerken, zodat gebruikers snel en eenvoudig
overal toegang kunnen hebben tot draadloze netwerken.
Aanmelden bij een Wi-Fi-netwerk
Gebruikers kunnen instellen dat iOS-apparaten automatisch verbinding maken met
beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit
apps als Mail snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere
gegevens vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te
openen. En doordat de Wi-Fi-verbinding niet wordt verbroken en weinig batterijstroom
vergt, kunnen apps via het Wi-Fi-netwerk pushberichten versturen.
6
Technische referentiehandleiding voor iOS-implementatie
WPA2-Enterprise
iOS ondersteunt standaardprotocollen voor draadloze netwerken, waaronder
WPA2-Enterprise, zodat draadloze bedrijfsnetwerken veilig kunnen worden
benaderd vanaf iOS-apparaten. WPA2-Enterprise maakt gebruik van 128-bits AESversleuteling, een beproefde versleutelingsmethode op basis van blokken die een
hoge mate van veiligheid biedt.
Dankzij ondersteuning voor 802.1x-identiteitscontrole kan iOS in uiteenlopende
RADIUS-serveromgevingen worden geïntegreerd. iOS ondersteunt meerdere
methoden voor draadloze 802.1x-identiteitscontrole, zoals EAP-TLS, EAP-TTLS,
EAP-FAST, PEAPv0, PEAPv1 en LEAP.
Roaming
Voor roaming op grote Wi-Fi-bedrijfsnetwerken biedt iOS ondersteuning voor
802.11k en 802.11r. Dankzij 802.11k, dat gebruikmaakt van de rapportages van de
toegangspunten, kunnen iOS-apparaten gemakkelijker overgaan naar een ander
Wi-Fi-toegangspunt. 802.11r stroomlijnt identiteitscontrole met 802.1x wanneer
een apparaat van het ene naar het volgende toegangspunt gaat.
De instellingen voor draadloze netwerken, beveiliging, proxy's en identiteitscontrole
kunnen met behulp van configuratieprofielen of MDM worden ingesteld, zodat
gebruikers snel aan de slag kunnen.
Virtual Private Networks
Via de gebruikelijke VPN-protocollen kunt u afgeschermde bedrijfsnetwerken veilig
benaderen vanaf een iOS-apparaat. iOS biedt standaard ondersteuning voor Cisco
IPSec, L2TP over IPSec en PPTP. Als uw organisatie gebruikmaakt van een van deze
protocollen, hoeft u uw netwerk verder niet te configureren en hebt u geen apps
van andere fabrikanten nodig om op een iOS-apparaat verbinding te maken met
uw VPN.
Daarnaast biedt iOS ondersteuning voor SSL VPN van bekende VPN-aanbieders.
De gebruiker hoeft alleen een VPN-clientapp van een van deze bedrijven uit de App
Store te downloaden, en kan daarna meteen aan de slag. Net als bij de andere
VPN-protocollen die door iOS worden ondersteund, kan SSL VPN handmatig op
het apparaat geconfigureerd worden of via configuratieprofielen of MDM.
iOS ondersteunt standaardtechnologieën als IPv6, proxyservers en split-tunneling,
zodat gebruikers probleemloos gebruik kunnen maken van VPN om verbinding met
het bedrijfsnetwerk te maken. Bovendien werkt iOS met verschillende methoden voor
identiteitscontrole, waaronder wachtwoorden, twee-factorentokens en digitale
certificaten. iOS ondersteunt VPN on Demand om de verbinding te bespoedigen in
omgevingen waarin gebruik wordt gemaakt van identiteitscontrole op basis van
certificaten.
In iOS 7 kunnen individuele apps geconfigureerd worden om een VPN-verbinding
te gebruiken – onafhankelijk van andere apps op het apparaat. Hierdoor gaan
bedrijfsgegevens altijd via een VPN-verbinding terwijl andere gegevens, zoals
van de persoonlijke apps uit de App Store van de gebruiker, buiten het VPN om
gaan. Zie "App-gebonden VPN" verderop in dit hoofdstuk voor meer informatie.
Ondersteunde protocollen en methoden voor identiteitscontrole
SSL VPN. Ondersteunt identiteitscontrole van gebruikers via een wachtwoord,
twee-factorentoken of certificaten.
Cisco IPSec. Ondersteunt identiteitscontrole via een wachtwoord en tweefactorentoken, en identiteitscontrole van apparaten via een gedeeld geheim
en certificaten.
7
Technische referentiehandleiding voor iOS-implementatie
L2TP over IPSec. Ondersteunt identiteitscontrole via een MS-CHAP v2-wachtwoord
en twee-factorentoken, en identiteitscontrole van apparaten via een gedeeld geheim.
PPTP. Ondersteunt identiteitscontrole via een MS-CHAP v2-wachtwoord en tweefactorentoken.
SSL VPN-clients
Verschillende SSL VPN-aanbieders hebben apps ontwikkeld waarmee het configureren
van iOS-apparaten voor gebruik met hun oplossingen soepeler verloopt. Als u een
apparaat voor gebruik met een specifieke oplossing wilt configureren, installeert u
de bijbehorende app en zorgt u (optioneel) voor een configuratieprofiel met de
benodigde instellingen. SSL VPN-oplossingen omvatten:
• Juniper Junos Pulse SSL VPN. iOS biedt ondersteuning voor Juniper Networks
SA Series SSL VPN Gateway met versie 6.4 of hoger met Juniper Networks IVE
package 7.0 of hoger. Voor de configuratie installeert u de Junos Pulse-app,
verkrijgbaar in de App Store.
Ga voor meer informatie naar de site van Juniper Networks.
•
F5 SSL VPN. iOS ondersteunt F5 BIG-IP Edge Gateway-, Access Policy Manageren FirePass SSL VPN-toepassingen. Voor de configuratie installeert u de F5 BIG-IP
Edge Client-app, verkrijgbaar in de App Store.
Raadpleeg voor meer informatie het witboek van F5: Secure iPhone Access to
Corporate Web Applications.
• Aruba Networks SSL VPN. iOS ondersteunt Aruba Networks Mobility Controller.
Voor de configuratie installeert u de Aruba Networks VIA-app, verkrijgbaar in de
App Store.
Contactgegevens zijn te vinden op de site van Aruba Networks.
• SonicWALL SSL VPN. iOS ondersteunt SonicWALL Aventall E-Class Secure Remote
Access-appliances met versie 10.5.4 of hoger, SonicWALL SRA-appliances met versie
5.5 of hoger en SonicWALL Next-Generation Firewall-appliances waaronder de TZ,
NSA, E-Class NSA met SonicOS 5.8.1.0 of hoger. Voor de configuratie installeert u
de SonicWALL Mobile Connect-app, verkrijgbaar in de App Store.
Contactgegevens zijn te vinden op de site van SonicWALL.
• Check Point Mobile SSL VPN. iOS ondersteunt de Check Point Security Gateway
met een volledige Layer-3-VPN-tunnel. Voor de configuratie installeert u de Check
Point Mobile-app, verkrijgbaar in de App Store.
• OpenVPN SSL VPN. iOS biedt ondersteuning voor OpenVPN Access Server, Private
Tunnel en OpenVPN Community. Voor de configuratie installeert u de OpenVPN
Connect-app, verkrijgbaar in de App Store.
• Palo Alto Networks GlobalProtect SSL VPN. iOS ondersteunt de GlobalProtectgateway van Palo Alto Networks. Voor de configuratie installeert u de GlobalProtect
voor iOS-app, verkrijgbaar in de App Store.
• Cisco AnyConnect SSL VPN. iOS biedt ondersteuning voor Cisco Adaptive Security
Appliance (ASA) met software-versie 8.0(3).1 of hoger. Voor de configuratie installeert
u de Cisco AnyConnect-app, verkrijgbaar in de App Store.
Richtlijnen voor VPN-configuratie
Configuratierichtlijnen Cisco IPSec
Aan de hand van deze richtlijnen kunt u de Cisco VPN-server configureren voor
gebruik met iOS-apparaten. iOS biedt ondersteuning voor Cisco ASA 5500 Security
Appliances en PIX Firewalls die zijn geconfigureerd met softwareversie 7.2.x of
hoger. De meest recente softwarerelease (8.0x of hoger) wordt aanbevolen.
Daarnaast biedt iOS ondersteuning voor Cisco IOS VPN-routers met IOS-versie
8
Technische referentiehandleiding voor iOS-implementatie
12.4(15)T of hoger. De VPN 3000 Series Concentrators bieden geen ondersteuning
voor de VPN-voorzieningen van iOS.
Proxyconfiguratie
U kunt ook één VPN-proxy opgeven voor alle configuraties. Om voor alle verbindingen
één proxy te configureren, tikt u op 'Handmatig' en geeft u het adres, de poort en
indien nodig de identiteitscontrole op. Als u voor het apparaat een bestand voor
automatische proxyconfiguraties op basis van PAC of WPAD wilt opgeven, tikt u op
'Autom.'. Voor automatische configuratie op basis van PAC geeft u de url van het
PAC-bestand op. Voor automatische configuratie op basis van WPAD wordt op iOS
gezocht naar de juiste instellingen.
Methoden voor identiteitscontrole
Voor iOS kunnen de volgende methoden voor identiteitscontrole worden gebruikt:
• IPsec-identiteitscontrole op basis van een vooraf gedeelde sleutel met gebruikerscontrole via xauth.
• Client- en servercertificaten voor IPsec-identiteitscontrole met optionele gebruikerscontrole via xauth.
• Hybride identiteitscontrole waarbij de server een certificaat verstrekt en de client
een vooraf gedeelde sleutel verstrekt voor IPsec-identiteitscontrole. Gebruikerscontrole via xauth is vereist.
• Voor gebruikerscontrole wordt xauth gebruikt op basis van een van de volgende
methoden:
– Gebruikersnaam met wachtwoord
– RSA SecurID
– CRYPTOCard
Identiteitscontrolegroepen
Het Cisco Unity-protocol gebruikt identiteitscontrolegroepen om gebruikers
te groeperen op basis van gemeenschappelijke parameters voor onder andere
identiteitscontrole. U moet een identiteitscontrolegroep aanmaken voor gebruikers
van iOS-apparaten. Voor hybride identiteitscontrole en controle op basis van een
vooraf gedeelde sleutel moet bij het configureren van de groepsnaam op het
apparaat het gedeelde geheim van de groep (de vooraf gedeelde sleutel) als
groepswachtwoord worden ingesteld.
Voor identiteitscontrole op basis van certificaten wordt geen gedeeld geheim
gebruikt. De identiteit van een gebruikersgroep wordt vastgesteld op basis van
velden in het certificaat. U kunt de Cisco-serverinstellingen gebruiken om velden
in een certificaat aan gebruikersgroepen te koppelen.
RSA-Sig moet de hoogste prioriteit hebben in de ISAKMP-prioriteitenlijst.
Certificaten
Bij het configureren en installeren van certificaten is het volgende van belang:
In het identiteitscertificaat van de server moet in het SubjectAltName-veld de DNSnaam en/of het IP-adres van de server zijn ingevuld. Op basis van deze informatie
controleert het apparaat of het certificaat bij de server hoort. Voor meer flexibiliteit
kunt u de SubjectAltName opgeven m.b.v. jokertekens, zoals 'vpn.*.mijnbedrijf.com',
zodat de naam op meerdere servers van toepassing is. Als er geen SubjectAltName
wordt opgegeven, kunt u de DNS-naam in het gewone naamveld invullen.
Op het apparaat moet het certificaat zijn geïnstalleerd van de certificaatautoriteit
die het servercertificaat heeft ondertekend. Als dit geen rootcertificaat is, moet u
de rest van de vertrouwensketen installeren om ervoor te zorgen dat dit certificaat
wordt vertrouwd. Als u gebruikmaakt van clientcertificaten, moet u ervoor zorgen
dat op de VPN-server het certificaat is geïnstalleerd van de vertrouwde certificaat9
Technische referentiehandleiding voor iOS-implementatie
autoriteit die het clientcertificaat heeft ondertekend. Bij gebruik van identiteitscontrole
op basis van certificaten moet de server zo zijn ingesteld dat deze de identiteit van
de gebruikersgroep kan vaststellen op basis van velden in het clientcertificaat.
De certificaten en certificaatautoriteiten moeten geldig zijn (ze mogen bijvoorbeeld
niet verlopen zijn). Het versturen van een certificaatketen via de server wordt niet
ondersteund. U moet deze optie dan ook uitschakelen.
IPSec-instellingen
Gebruik de volgende IPSec-instellingen:
• Mode. 'Tunnel Mode'
• IKE Exchange Modes. 'Aggressive Mode' voor hybride identiteitscontrole en controle
op basis van een vooraf gedeelde sleutel of 'Main Mode' voor identiteitscontrole op
basis van certificaten.
• Coderingsalgoritmes. 3DES, AES-128, AES-256.
• Algoritmes voor identiteitscontrole. HMAC-MD5, HMAC-SHA1.
• Diffie-Hellman Groups. 'Group 2' is vereist voor hybride identiteitscontrole en
controle op basis van een vooraf gedeelde sleutel. Voor identiteitscontrole op
basis van certificaten gebruikt u 'Group 2' met 3DES en AES-128. Gebruik 'Group 2'
of 'Group 5' met AES-256.
• PFS (Perfect Forward Secrecy). Voor IKE fase 2 moet bij gebruik van PFS dezelfde
Diffie-Hellman-groep worden gebruikt als voor IKE fase 1.
• Mode Configuration. Moet zijn ingeschakeld.
• Dead Peer Detection. Aanbevolen.
• Standard NAT Traversal. Wordt ondersteund en kan worden ingeschakeld (IPSec
via TCP wordt niet ondersteund).
• Load-balancing. Wordt ondersteund en kan worden ingeschakeld.
• Re-keying of Phase 1. Wordt momenteel niet ondersteund. Het wordt aanbevolen
om het interval voor re-keying op de server in te stellen op één uur.
• ASA Address Mask. Zorg dat alle adrespoolmaskers van apparaten niet zijn ingesteld,
of zijn ingesteld op 255.255.255.255. Bijvoorbeeld: asa(config-webvpn)# ip local
pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255.
Wanneer u dit aanbevolen adresmasker gebruikt, worden sommige routes die door
de VPN-configuratie worden verondersteld, mogelijk genegeerd. Om dit te voorkomen
zorgt u ervoor dat uw routeringstabel alle benodigde routes bevat en controleert
u of de subnetadressen toegankelijk zijn voordat u een en ander implementeert.
Overige ondersteunde functies
• Versie van de app. Informatie over de softwareversie op de client wordt naar de
server gestuurd, zodat de server verbindingen kan toestaan of weigeren op basis
van de softwareversie op het apparaat.
• Banner. Als de banner op de server is geconfigureerd, wordt deze op het apparaat
weergegeven. De gebruiker kan de banner vervolgens accepteren of de verbinding
verbreken.
• Split Tunnel. De functie 'Split Tunnel' wordt ondersteund.
• Split DNS. De functie 'Split DNS' wordt ondersteund.
• Default Domain. De functie 'Default Domain' wordt ondersteund.
10
Technische referentiehandleiding voor iOS-implementatie
VPN on Demand
Met VPN on Demand kan iOS automatisch een beveiligde verbinding tot stand
brengen zonder tussenkomst van de gebruiker. De VPN-verbinding wordt opgezet
wanneer dat nodig is, op basis van regels die in een configuratieprofiel zijn vastgelegd.
In iOS 7 wordt VPN on Demand geconfigureerd met gebruikmaking van de
OnDemandRules-sleutel in een VPN-payload van een configuratieprofiel. De regels
worden in twee fasen toegepast:
• Netwerkdetectie. Hier worden de VPN-vereisten opgesteld die worden toegepast
wanneer de primaire netwerkverbinding van het apparaat verandert.
• Verbindingsevaluatie. Hier worden de VPN-vereisten opgesteld voor verbindingsaanvragen bij domeinnamen wanneer dat nodig is.
Regels kunnen bijvoorbeeld worden gebruikt om:
• Te herkennen wanneer een iOS-apparaat verbonden is met een intern netwerk
en er geen VPN-verbinding nodig is.
• Te herkennen wanneer er een onbekend Wi-Fi-netwerk wordt gebruikt en er
een VPN-verbinding vereist is voor alle netwerkactiviteit.
• Een VPN-verbinding vereist te stellen wanneer een DNS-aanvraag voor een
opgegeven domein mislukt.
Netwerkdetectie
De regels voor VPN on Demand worden geëvalueerd wanneer de primaire netwerkinterface van het apparaat verandert, bijvoorbeeld wanneer een iOS-apparaat overgaat
naar een ander Wi-FI-netwerk of wanneer het apparaat overschakelt van een mobiel
datanetwerk naar een Wi-Fi-netwerk. Als de primaire interface een virtuele interface
(zoals een VPN-interface) is, worden de regels voor VPN on Demand genegeerd.
De vergelijkingsregels in elke set (elke woordenlijst) moeten stuk voor stuk
overeenkomen om de eraan gekoppelde actie te laten plaatsvinden; als een van
de regels niet overeenkomt, gaat de evaluatie automatisch over naar de volgende
woordenlijst in de matrix, tot de OnDemandRules-matrix volledig doorlopen is.
In de laatste woordenlijst moet een "standaardconfiguratie" worden opgesteld –
oftewel: er moeten hier geen vergelijkingsregels te vinden zijn, maar alleen een
actie. Zo worden alle verbindingen afgevangen waarvoor in de vorige regels geen
overeenkomsten gevonden zijn.
Verbindingsevaluatie
De VPN-voorziening kan worden getriggerd op basis van verbindingsvereisten
bij bepaalde domeinen, in plaats van het eenzijdig maken en verbreken van
VPN-verbindingen op basis van de netwerkinterface.
Vergelijkingsregels VPN on Demand
Er moeten een of meerdere van de volgende vergelijkingsregels worden opgegeven:
• InterfaceTypeMatch. Optie. Een tekenreekswaarde voor Wi-Fi of mobiel datanetwerk.
Als deze waarde wordt ingesteld, is deze regel waar wanneer de primaire interfacehardware van het opgegeven type is.
• SSIDMatch. Optie. Een matrix van SSID's die met het huidige netwerk vergeleken
worden. Als het netwerk geen Wi-Fi-netwerk is of als de SSID ervan niet in de lijst
is opgenomen, is de regel onwaar. Om SSID te negeren kunnen deze sleutel en de
bijbehorende matrix worden weggelaten.
• DNSDomainMatch. Optie. Een matrix van zoekdomeinen in tekenreeksen. Als het
geconfigureerde DNS-zoekdomein van het huidige primaire netwerk in de matrix
is opgenomen, is deze regel waar. Er wordt ondersteuning geboden voor jokertekens
(*) als voorvoegsel; de reeks "*.voorbeeld.com" levert bijvoorbeeld de treffer
"alles.voorbeeld.com" op.
11
Technische referentiehandleiding voor iOS-implementatie
• DNSServerAddressMatch. Optie. Een matrix van DNS-serveradressen in tekenreeksen.
Deze regel is waar als alle DNS-serveradressen die op dat moment voor de primaire
interface geconfigureerd zijn, zich in de matrix bevinden. Jokertekens worden
ondersteund: "1.2.3.*" komt bijvoorbeeld overeen met alle DNS-servers met het
voorvoegsel "1.2.3.".
• URLStringProbe. Optie. Een server die wordt benaderd om de bereikbaarheid
na te gaan. Omleiding wordt niet ondersteund. De url moet naar een vertrouwde
HTTPS-server verwijzen. Het apparaat verstuurt een GET-aanvraag om te controleren
of de server bereikbaar is.
Action
Deze sleutel bepaalt het VPN-gedrag wanneer alle opgegeven vergelijkingsregels
waar zijn. De sleutel is vereist. Waarden voor de Action-sleutel zijn:
• Connect. Hiermee wordt de VPN-verbinding bij de volgende verbindingspoging
onvoorwaardelijk geïnitieerd.
• Disconnect. De VPN-verbinding wordt verbroken en er worden geen nieuwe
verbindingen op aanvraag getriggerd.
• Ignore. Een eventuele VPN-verbinding blijft behouden maar er worden geen
nieuwe verbindingen op aanvraag getriggerd.
• Allow. Voor iOS-apparaten met iOS 6 of lager. Zie "Opmerkingen over compatibiliteit
met oudere apparatuur" verderop in dit gedeelte.
• EvaluateConnection. De ActionParameters voor elke verbindingspoging worden
beoordeeld. Als deze waarde wordt gebruikt, is de sleutel "ActionParameters" (zie
hieronder) vereist om de beoordelingsregels op te geven.
ActionParameters
Een matrix met woordenlijsten met de hieronder beschreven sleutels, beoordeeld
in de volgorde waarin ze zijn opgenomen. Vereist als de Action "EvaluateConnection" is.
• Domains. Verplicht. Een matrix met tekenreeksen die de domeinen beschrijven
waarvoor deze beoordeling van toepassing is. Jokertekens worden als voorvoegsel
ondersteund, bijvoorbeeld "*.voorbeeld.com".
• DomainAction. Verplicht. Bepaalt het VPN-gedrag voor de domeinen. Waarden
voor de DomainAction-sleutel zijn:
– ConnectIfNeeded. Hiermee wordt VPN gebruikt als de DNS-omzetting voor
de domeinen mislukt – bijvoorbeeld wanneer de DNS-server aangeeft dat
de domeinnaam niet kan worden omgezet, wanneer de DNS-reactie wordt
omgeleid, of als de verbinding mislukt of er een een time-out optreedt.
– NeverConnect. VPN wordt niet getriggerd voor de domeinen.
Als de waarde "ConnectIfNeeded" is opgegeven voor "DomainAction", kunt u
ook de volgende sleutels opgeven in de woordenlijst voor de beoordeling van
de verbinding:
• RequiredDNSServers. Optie. Een matrix met IP-adressen van DNS-servers voor het
omzetten van de domeinen. Deze servers hoeven geen deel uit te maken van de
huidige netwerkconfiguratie van het apparaat. Als deze DNS-servers niet bereikbaar
zijn, wordt de VPN-voorziening getriggerd. Er wordt een interne DNS-server of een
vertrouwde externe DNS-server geconfigureerd.
• RequiredURLStringProbe. Optie. Een HTTP- of (bij voorkeur) HTTPS-url die met een
GET-aanvraag wordt benaderd. Als de DNS-omzetting voor deze server lukt, moet
het benaderen ook lukken. Als het benaderen niet lukt, wordt de VPN-voorziening
geactiveerd.
12
Technische referentiehandleiding voor iOS-implementatie
Opmerkingen over compatibiliteit met oudere apparatuur
Vóór iOS werden regels voor het activeren van domeinen geconfigureerd via
domeinmatrices met de namen "OnDemandMatchDomainAlways", "OnDemandMatchDomainOnRetry" en "OnDemandMatchDomainNever". "OnRetry" en "Never"
worden nog steeds ondersteund in iOS 7, maar zijn in feite afgeschaft ten gunste
van de actie "EvaluateConnection".
Om een profiel aan te maken dat werkt bij zowel iOS 7 als eerdere releases, gebruikt
u de nieuwe EvaluateConnection-sleutels in aanvulling op de OnDemandMatchDomainmatrices. Eerdere versies van iOS die "EvaluateConnection" niet herkennen maken
gebruik van de oude matrices, terwijl iOS 7 en hoger "EvaluateConnection" zullen
gebruiken.
Oude configuratieprofielen waarin de actie "Allow" is opgenomen, zullen werken
op iOS 7, met uitzondering van OnDemandMatchDomainsAlways-domeinen.
App-gebonden VPN
iOS 7 biedt de extra mogelijkheid om VPN-verbindingen per app te leggen. Door
deze benadering ontstaat een fijnmaziger controle over welke gegevens via een
VPN gaan en welke niet. Met VPN op apparaatniveau gaan alle gegevens via het
privénetwerk, ongeacht de oorsprong ervan. Nu er binnen organisaties door personeel
steeds meer privéapparaten worden gebruikt, biedt app-gebonden VPN veilige
netwerkmogelijkheden voor apps voor intern gebruik – terwijl de privacy van
persoonlijke activiteiten op het apparaat behouden blijft.
Met app-gebonden VPN kan elke app die via MDM wordt beheerd via een beveiligde
tunnel communiceren met het privénetwerk, terwijl andere (onbeheerde) apps
van het netwerk worden buitengesloten. Bovendien kunnen beheerde apps met
verschillende VPN-verbindingen geconfigureerd worden om de gegevens verder
te beveiligen. Zo zou een app voor het maken van offertes gebruik kunnen maken
van een ander datacenter dan een crediteurenapp, terwijl het persoonlijke internetverkeer van de gebruiker gebruikmaakt van het openbare internet. Door deze
mogelijkheid om het verkeer op appniveau te scheiden kunnen persoonlijke
gegevens en gegevens van de organisatie effectief van elkaar afgeschermd blijven.
Om app-gebonden VPN te kunnen gebruiken moet een app beheerd worden via
MDM en gebruikmaken van de standaard-API's voor netwerken in iOS. App-gebonden
VPN wordt geconfigureerd met een MDM-configuratie waarin wordt aangegeven
welke apps en Safari-domeinen gebruik mogen maken van de instellingen. Meer
informatie over MDM is te vinden in hoofdstuk 3: Configuratie en beheer.
Eenmalige aanmelding
In iOS 7 kunnen apps profiteren van uw bestaande interne aanmeldingsstructuur
met een enkel wachtwoord via Kerberos. Eenmalige aanmelding verbetert de
gebruiksvriendelijkheid: gebruikers hoeven niet telkens hun wachtwoord op te
geven. Ook wordt het beveiligingsniveau van het dagelijkse appgebruik op een
hoger niveau getild omdat voorkomen wordt dat er draadloos wachtwoorden
worden verstuurd.
Het Kerberos-systeem voor identiteitscontrole dat door iOS 7 wordt gebruikt is een
bekend standaardprotocol – en wereldwijd de meest gebruikte technologie voor
eenmalige aanmelding. Als u Active Directory, eDirectory of OpenDirectory gebruikt,
is de kans groot dat u al een Kerberos-systeem hebt waar iOS 7 gebruik van kan
maken. iOS-apparaten moeten via een netwerkverbinding contact met de Kerberosservice kunnen maken om gebruikers te kunnen verifiëren.
13
Technische referentiehandleiding voor iOS-implementatie
Ondersteunde apps
iOS biedt een flexibele ondersteuning voor eenmalige aanmelding via Kerberos
voor elke app die de klasse "NSURLConnection" of "NSURLSession" gebruikt voor
het beheer van netwerkverbindingen en identiteitscontrole. Apple voorziet alle
ontwikkelaars van deze hoogwaardige frameworks om ervoor te zorgen dat netwerkverbindingen naadloos in hun apps geïntegreerd worden. Apple levert ook Safari
als voorbeeld om u op gang te helpen door native gebruik van websites die eenmalige
aanmelding ondersteunen.
Eenmalige aanmelding configureren
Configuratie van eenmalige aanmelding wordt gedaan met behulp van configuratieprofielen, die handmatig geïnstalleerd kunnen worden of via MDM beheerd
kunnen worden. De accountinformatie voor eenmalige aanmelding maakt een
flexibele configuratie mogelijk. Eenmalige aanmelding kan openstaan voor alle
apps, maar ook worden beperkt aan de hand van de appidentificatie, service-url,
of beide.
Bij het vergelijken van url's wordt een eenvoudige patroonvergelijking gebruikt, en
de url's moeten beginnen met "http://" of "https://". De vergelijking wordt gemaakt
met de volledige url, om er zeker van te zijn dat ze volledig identiek zijn. Zo zou een
URLPrefixMatches-waardehttps://www.voorbeeld.com/ niet overeenkomen met
https://www.voorbeeld.com:443/. U kunt "http://" of "https://" opgeven om het
gebruik van eenmalige aanmelding te beperken tot reguliere dan wel beveiligde
HTTP-diensten. Bij een URLPrefixMatches-waarde "https://" worden de gegevens
van de ingelogde gebruiker alleen gebruikt met (beveiligde) HTTPS-diensten. Als
een url-vergelijkingspatroon niet wordt afgesloten met een schuine streep (/), wordt
er een schuine streep (/) toegevoegd.
De AppIdentifierMatches-matrix moet tekenreeksen bevatten die overeenkomen
met app-bundel-ID's. Deze tekenreeksen moeten volledig overeenkomen (bijvoorbeeld
"com.mijnbedrijf.mijnapp") of een voorvoegsel voor de bundel-ID bevatten in de
vorm van het jokerteken (*). Het jokerteken moet na een punt (.) komen en mag
uitsluitend aan het eind van een tekenreeks worden gebruikt (bijvoorbeeld
"com.mijnbedrijf.*"). Als er een jokerteken wordt gebruikt, krijgt elke app waarvan de
bundel-ID met het voorvoegsel begint, toegang tot de gegevens van de ingelogde
gebruiker.
Digitale certificaten
Een digitaal certificaat is een vorm van identificatie die zorgt voor een vlotte identiteitscontrole, gegevensintegriteit en versleuteling. Een digitaal certificaat bestaat uit
een publieke sleutel plus gegevens over de gebruiker en de certificaatautoriteit die
het certificaat heeft verstrekt. iOS biedt ondersteuning voor digitale certificaten,
zodat organisaties op een veilige en gestroomlijnde manier toegang hebben tot
bedrijfsvoorzieningen.
Certificaten kunnen op verschillende manieren worden gebruikt. Door gegevens
met een digitaal certificaat te ondertekenen zorgt u ervoor dat de gegevens niet
kunnen worden gewijzigd. Daarnaast staan digitale certificaten garant voor de
identiteit van de auteur (de ondertekenaar). En tot slot kunt u met behulp van
digitale certificaten configuratieprofielen en de netwerkcommunicatie versleutelen,
zodat vertrouwelijke informatie ook echt vertrouwelijk blijft.
Safari kan bijvoorbeeld de geldigheid van een digitaal X.509-certificaat controleren
en via AES-versleuteling (tot 256 bits) een veilige sessie starten. Er wordt gecontroleerd
of de identiteit van de website geldig is en of de communicatie met de website
wordt versleuteld, zodat persoonlijke of vertrouwelijke gegevens niet door derden
kunnen worden onderschept.
14
Technische referentiehandleiding voor iOS-implementatie
Ondersteunde certificaat- en
identiteitsstructuren:
• iOS ondersteunt X.509-certificaten met
RSA-sleutels.
• Herkende
bestandsextensies: .cer, .crt, .der, .p12
en .pfx.
Certificaten gebruiken in iOS
Rootcertificaten
iOS bevat standaard een aantal vooraf geïnstalleerde rootcertificaten. Raadpleeg
voor meer informatie het overzicht in dit Apple Support-artikel.
iOS kan certificaten draadloos bijwerken als de veiligheid van een van de vooraf
geïnstalleerde rootcertificaten in het geding is. Deze voorziening kan eventueel
worden uitgeschakeld met een beperking die het draadloos bijwerken van
certificaten voorkomt.
Als u een rootcertificaat gebruikt dat nog niet is geïnstalleerd, zoals een eigen
rootcertificaat van uw organisatie, kunt u dit distribueren op een van de manieren
die hieronder worden genoemd.
Certificaten distribueren en installeren
Het distribueren van certificaten naar iOS-apparaten is heel simpel. Zodra een gebruiker
het certificaat heeft ontvangen, hoeft hij er alleen maar op te tikken om de inhoud
te bekijken en om het certificaat aan zijn apparaat toe te voegen. Wanneer een
identiteitscertificaat wordt geïnstalleerd, moet de gebruiker de wachtwoordzin
opgeven waarmee dit certificaat wordt beveiligd. Als de authenticiteit van een
certificaat niet gecontroleerd kan worden, wordt het als niet-vertrouwd aangemerkt
en kan de gebruiker zelf beslissen of hij of zij het toch aan het apparaat wil toevoegen.
Certificaten installeren via configuratieprofielen
Wanneer er configuratieprofielen worden gebruikt om instellingen voor bedrijfsvoorzieningen als Exchange, VPN of Wi-Fi te distribueren, kunnen met het oog op
een gestroomlijnde implementatie certificaten aan het profiel worden toegevoegd.
Dit omvat de mogelijkheid om certificaten via MDM te distribueren.
Certificaten installeren via Mail of Safari
Wanneer een certificaat via e-mail wordt verstuurd, wordt dit als een bijlage aan
het bericht toegevoegd. Certificaten kunnen ook van een webpagina worden
gedownload met Safari. U kunt een certificaat op een beveiligde website hosten
en de gebruikers de url geven zodat ze het certificaat op hun apparaat kunnen
downloaden.
Certificaten verwijderen en intrekken
Als u een geïnstalleerd certificaat handmatig wilt verwijderen gaat u naar Instellingen,
kiest u 'Algemeen' > 'Profielen' en kiest u het certificaat dat u wilt verwijderen. Als
u een certificaat verwijdert dat vereist is voor toegang tot een account of netwerk,
kunt u met het apparaat geen verbinding meer maken met deze voorzieningen.
Een MDM-server kan alle certificaten op een apparaat afgaan en door de server
geïnstalleerde certificaten verwijderen.
Ook de protocollen OCSP (Online Certificate Status Protocol) en CRL (Certificate
Revocation List) worden ondersteund voor het controleren van de status van
certificaten. Als er een voor OCSP of CRL geschikt certificaat wordt gebruikt,
valideert iOS het op gezette tijden om ervoor te zorgen dat het niet is ingetrokken.
Bonjour
Bonjour is het op standaarden gebaseerde netwerkprotocol van Apple waarbij
configuratie onnodig is en waarmee apparaten automatisch voorzieningen op
een netwerk kunnen opsporen. iOS-apparaten gebruiken Bonjour om te zien of
er AirPrint-printers en AirPlay-apparaten zoals Apple TV beschikbaar zijn. Ook
voor sommige peer-to-peer-apps is Bonjour vereist. U moet er zeker van zijn dat
uw netwerkinfrastructuur en Bonjour correct geconfigureerd zijn om te kunnen
samenwerken.
15
Technische referentiehandleiding voor iOS-implementatie
Meer informatie over Bonjour is te vinden op deze Apple webpagina.
Hoofdstuk 2:
Beveiliging
Het ontwerp van iOS bestaat uit beveiligingslagen. Hierdoor krijgen iOS-apparaten
veilig toegang tot netwerkvoorzieningen en worden belangrijke gegevens beschermd.
iOS biedt krachtige codering voor gegevensoverdracht, beproefde methoden voor
identiteitscontrole voor toegang tot bedrijfsvoorzieningen en hardwarecodering voor
alle opgeslagen gegevens. Bescherming is ook verzekerd door het gebruik van beleidsregels voor toegangscodes die draadloos kunnen worden geleverd en ingesteld. En
mocht het apparaat in verkeerde handen vallen, dan kunnen gebruikers en IT-beheerders
alle gegevens op het apparaat op afstand wissen.
De beveiliging van iOS voor zakelijk gebruik valt in de volgende componenten uiteen:
• Apparaatbeheer. Methoden om het apparaat te beveiligen tegen ongeoorloofd
gebruik
• Versleuteling en beveiliging van gegevens. Beveiliging van de gegevens, ook
wanneer het apparaat kwijt is of gestolen wordt
• Netwerkbeveiliging. Netwerkprotocollen en versleuteling voor gegevensoverdracht
• Beveiliging van apps. Apps kunnen veilig worden gebruikt zonder de integriteit
van het platform in gevaar te brengen
• Internetservices. De netwerkinfrastructuur van Apple voor het verzenden en
ontvangen van berichten, synchronisatie en reservekopieën
Deze componenten zijn met elkaar verweven en bieden zo een veilig mobiel
computerplatform.
De volgende toegangscodebeleidsinstellingen worden ondersteund:
• Toegangscode op apparaat vereist
• Alfanumerieke waarde vereist
• Minimumlengte toegangscode
• Minimumaantal complexe tekens
• Maximumgebruiksduur toegangscode
• Automatisch slot
• Geschiedenis van toegangscodes
• Geldigheid van toegangscodes bij
vergrendeling
• Maximumaantal mislukte pogingen
Apparaatbeveiliging
Een streng toegangsbeleid voor iOS-apparaten is essentieel voor het beveiligen van
bedrijfsgegevens. Een apparaattoegangscode is de eerste stap in het voorkomen
van toegang door onbevoegden. Deze toegangscodes kunnen draadloos worden
geconfigureerd en ingesteld. Verder genereren iOS-apparaten op basis van de door
de gebruiker ingestelde toegangscode een krachtige coderingssleutel om e-mails
en gevoelige appgegevens op het apparaat nog beter te beveiligen. Daarnaast biedt
iOS veilige methoden om het apparaat in een IT-omgeving te configureren, waarbij
bepaalde instellingen, beleidsinstellingen en beperkingen moeten worden
opgegeven. Deze methoden bieden flexibele opties om een
standaardbeveiligingsniveau in te stellen voor bevoegde gebruikers.
Toegangscodebeleid
Een apparaattoegangscode voorkomt dat onbevoegde gebruikers toegang hebben
tot (de gegevens op) een apparaat. iOS biedt een uitgebreide reeks beleidsregels
voor toegangscodes om aan het gewenste beveiligingsniveau te voldoen. Denk
aan time-outperiodes, toegangscodesterkte en aan de frequentie waarmee een
toegangscode moet worden gewijzigd.
Afdwingen van beleid
Beleid kan worden gedistribueerd als onderdeel van een configuratieprofiel dat
gebruikers zelf moeten installeren. Een profiel kan zo worden gedefinieerd dat het
16
Technische referentiehandleiding voor iOS-implementatie
alleen met een beheerderswachtwoord kan worden verwijderd of dat het aan het
apparaat is vergrendeld en alleen kan worden verwijderd door het apparaat in zijn
geheel te wissen. Daarnaast kunnen toegangscode-instellingen via MDM (Mobile
Device Management, mobiel-apparaatbeheer) op afstand worden geconfigureerd
zodat de beleidsinstellingen direct naar het apparaat kunnen worden gepusht.
Op deze manier kunnen beleidsinstellingen zonder tussenkomst van de gebruiker
worden afgedwongen en bijgewerkt.
Als het apparaat is geconfigureerd voor gebruik van een Microsoft Exchangeaccount, worden de Exchange ActiveSync-beleidsinstellingen draadloos naar het
apparaat verstuurd. Welke beleidsinstellingen beschikbaar zijn, is afhankelijk van
de versie van Exchange ActiveSync en Exchange Server waarmee wordt gewerkt.
Als er sprake is van zowel Exchange- als MDM-beleidsinstellingen, wordt de strengste
instelling gebruikt.
Beveiligde apparaatconfiguratie
Configuratieprofielen zijn XML-bestanden met beveiligings- en beperkingsinstellingen
voor het apparaat, VPN-configuratiegegevens, Wi-Fi-instellingen, e-mail- en agendaaccounts en legitimaties voor identiteitscontroles waarmee wordt toegestaan dat
iOS-apparaten binnen uw IT-systemen kunnen worden gebruikt. Door instellingen
voor toegangscodes en apparaatinstellingen in een configuratieprofiel vast te leggen
zorgt u ervoor dat apparaten binnen uw organisatie correct zijn geconfigureerd en
voldoen aan de beveiligingsstandaarden van uw IT-afdeling. En aangezien configuratieprofielen zowel gecodeerd als vergrendeld kunnen zijn, kunnen de instellingen niet
worden verwijderd, gewijzigd of met andere personen worden gedeeld.
Configuratieprofielen kunnen zowel worden ondertekend als versleuteld. Met
ondertekening van een configuratieprofiel wordt gegarandeerd dat de instellingen
ervan op geen enkele manier gewijzigd kunnen worden. Met versleuteling van een
configuratieprofiel wordt de inhoud van het profiel beschermd en kan het profiel
alleen worden geïnstalleerd op het apparaat waarvoor het is aangemaakt. Configuratieprofielen worden versleuteld via CMS (Cryptographic Message Syntax, RFC 3852) en
ondersteunen 3DES en AES 128.
Als u voor de eerste keer een versleuteld configuratieprofiel distribueert, kunt u het
via USB installeren met behulp van Apple Configurator, of draadloos via het "OverThe-Air Enrollment and Configuration"-protocol of MDM. Daarna kunt u versleutelde
configuratieprofielen distribueren als e-mailbijlage, op een website plaatsen waartoe
gebruikers toegang hebben of via MDM naar het apparaat pushen.
Ga naar Over-the-Air Profile Delivery and Configuration protocol op de iOS
Developer Library-site voor meer informatie.
Apparaatbeperkingen
Met apparaatbeperkingen bepaalt u tot welke apparaatvoorzieningen gebruikers
toegang hebben. Meestal gaat het hierbij om apps waarvoor een internetverbinding
nodig is, zoals Safari, YouTube of de iTunes Store. Daarnaast kunt u via beperkingen
de functionaliteit bepalen, zoals het installeren van apps of het gebruik van de camera.
Met behulp van beperkingen kunt u het apparaat naar wens configureren, terwijl
gebruikers het apparaat kunnen gebruiken op manieren die overeenstemmen met
het beleid van de organisatie. Beperkingen kunnen handmatig op elk apparaat
worden geconfigureerd, via een configuratieprofiel worden afgedwongen of op
afstand via MDM worden opgelegd. Verder kunnen er (net als toegangscodebeleid)
draadloos beperkingen voor het gebruik van de camera en surfen op het web
worden ingesteld via Microsoft Exchange Server 2007 en 2010. Bovendien kan een
beperking worden ingesteld die ervoor zorgt dat e-mails niet van de ene naar de
andere account kunnen worden verplaatst en dat berichten die via de ene account
zijn ontvangen, niet kunnen worden doorgestuurd naar een andere account.
Zie Bijlage B voor meer informatie over ondersteunde beperkingen.
17
Technische referentiehandleiding voor iOS-implementatie
Versleuteling en beveiliging van gegevens
Het beveiligen van gegevens op iOS-apparaten is met name belangrijk in een
omgeving met gevoelige informatie. Naast versleuteling van gegevens tijdens
de verzending bieden iOS-apparaten hardwareversleuteling voor alle gegevens
op het apparaat en extra versleuteling van e-mails en appgegevens voor betere
gegevensbescherming.
Als een apparaat wordt gestolen of kwijt is, is het raadzaam dit te deactiveren en te
wissen. Als op iOS 7 de functie Zoek mijn iPhone is ingeschakeld, kan het apparaat
niet opnieuw geactiveerd worden zonder de iCloud-aanmeldgegevens van de eigenaar
in te voeren. Het is verstandig apparaten die eigendom van de organisatie zijn onder
supervisie te plaatsen, of beleidsinstellingen te gebruiken waarmee gebruikers deze
voorziening kunnen uitschakelen zodat de toewijzing van het apparaat aan een
ander niet wordt tegengehouden.]
Meer informatie over Zoek mijn iPhone is te vinden via iCloud Support en iCloud:
Uw apparaat verwijderen van 'Zoek mijn iPhone'.
Versleuteling
iOS-apparaten bieden hardwarematige codering. Hierbij wordt gebruikgemaakt
van 256-bits AES-versleuteling om alle gegevens op het apparaat te beveiligen.
Versleuteling is altijd ingeschakeld en kan niet worden uitgeschakeld. Daarnaast
kunnen ook reservekopiegegevens in iTunes op de computer van de gebruiker
worden versleuteld. Deze instelling kan door de gebruiker zelf worden ingeschakeld
of door een apparaatbeperking in een configuratieprofiel worden opgelegd. iOS
ondersteunt S/MIME in e-mails, waardoor versleutelde e-mails kunnen worden
gelezen en verstuurd.
De cryptografische modules in iOS 7 en iOS 6 zijn gevalideerd en voldoen aan
de Amerikaanse Federal Information Processing Standard (FIPS) 140-2 Level 1. Dit
garandeert de integriteit van de cryptografische bewerkingen in apps van Apple
en andere fabrikanten die op de juiste manier gebruikmaken van de cryptografische
voorzieningen van iOS.
Ga voor meer informatie naar iOS-productbeveiliging: validaties en richtlijnen en
iOS 6: cryptografische modules met FIPS-validatie versie 3.0 van Apple voor iOS.
Gegevensbeveiliging
E-mails en bijlagen die op het apparaat worden bewaard, kunnen verder worden
beveiligd door middel van de gegevensbeveiligingsvoorzieningen in iOS. De unieke
toegangscode van de gebruiker plus de hardwareversleuteling op iOS-apparaten
vormen samen een krachtige coderingssleutel ten behoeve van de gegevensbeveiliging. Met deze sleutel wordt voorkomen dat de gegevens op het apparaat
toegankelijk zijn wanneer het apparaat is vergrendeld, zodat gevoelige gegevens
zelfs in onveilige situaties afgeschermd zijn.
Om gegevensbeveiliging in te schakelen, moet u een toegangscode op het apparaat
instellen. Hoe sterker de toegangscode, hoe beter de gegevens worden beveiligd.
Daarom is het verstandig in de instellingen voor de toegangscode op te geven dat
toegangscodes uit meer dan vier cijfers moeten bestaan. Gebruikers kunnen in het
scherm voor toegangscode-instellingen controleren of gegevensbescherming op
hun apparaat is ingeschakeld. Dit kan ook via MDM.
De API's voor gegevensbeveiliging zijn ook beschikbaar voor ontwikkelaars en
kunnen worden gebruikt om gegevens in apps uit de App Store of interne apps
op maat van het bedrijf te beveiligen. Vanaf iOS 7 hebben de gegevens die door
apps worden bewaard standaard de gegevensbeveiligingsklasse "Beveiligd tot
eerste identiteitscontrole", wat vergelijkbaar is met versleuteling van de volledige
harde schijf op desktopcomputers. Hiermee worden gegevens beschermd tegen
aanvallen waarbij een herstart nodig is.
18
Technische referentiehandleiding voor iOS-implementatie
Opmerking: Als een apparaat is bijgewerkt vanaf IOS 6, wordt bestaande gegevensopslag niet naar de nieuwe klasse geconverteerd. Als de app wordt verwijderd en
vervolgens opnieuw wordt geïnstalleerd, wordt de nieuwe beveiligingsklasse wel
toegewezen.
Touch ID
Touch ID is de identiteitssensor voor vingerafdrukken op iPhone 5s, waarmee
hoogwaardige beveiliging sneller en gemakkelijker in zijn werk gaat. Deze toekomstgerichte technologie kan vingerafdrukken lezen vanuit elke hoek en leert gaandeweg
meer over de vingerafdruk van de gebruiker naarmate de sensor de vingerafdrukkaart
uitbreidt met extra overlappende knooppunten die met elk gebruik worden herkend.
Met Touch ID wordt het gebruik van langere en meer complexe toegangscodes een
stuk praktischer, aangezien de gebruikers de toegangscode minder vaak hoeven in
te toetsen. Touch ID neemt ook het ongemak van vergrendeling op basis van een
toegangscode weg. Niet door deze te vervangen maar door beveiligde toegang
binnen aanvaardbare grenzen en een aanvaardbaar tijdsbestek te houden.
Als Touch ID is ingeschakeld, wordt de iPhone 5s direct vergrendeld wanneer de
sluimerknop wordt ingedrukt. Bij het gebruik van alleen een toegangscode stellen
veel gebruikers een time-out voor het automatisch slot in om te voorkomen dat ze
telkens als ze het apparaat willen gebruiken de toegangscode weer moeten invoeren.
Met Touch ID wordt de iPhone 5s vergrendeld telkens als het apparaat in de sluimerstand gaat en is altijd de vingerafdruk (en optioneel de toegangscode) nodig om
het apparaat uit de sluimerstand te halen.
Touch ID werkt samen met de Secure Enclave – een coprocessor die in de Apple
A7-chip is verwerkt. De Secure Enclave beschikt over een eigen beveiligde en
gecodeerde geheugenruimte en communiceert op een beveiligde manier met
de Touch ID-sensor. Wanneer de iPhone 5s wordt vergrendeld, worden de sleutels
voor de gegevensbeveiligingsklasse "Complete" beveiligd met een sleutel die zich
in het versleutelde geheugen van de Secure Enclave bevindt. De sleutel wordt
maximaal 48 uur bewaard en wordt genegeerd als de iPhone 5s opnieuw wordt
opgestart of wanneer er vijf keer een onbekende vingerafdruk wordt gebruikt.
Als een vingerafdruk wordt herkend, levert de Secure Enclave de sleutel voor het
uitpakken van de gegevensbeveiligingssleutels en wordt het apparaat ontgrendeld.
Wissen op afstand
iOS biedt de mogelijkheid om gegevens op afstand te wissen. Als een apparaat
wordt gestolen of kwijt is, kan de beheerder of eigenaar van het apparaat alle
gegevens op afstand wissen en het apparaat deactiveren. Als het apparaat is
geconfigureerd met een Exchange-account, kan de beheerder via de Exchange
Management Console (Exchange Server 2007) of de Exchange ActiveSync Mobile
Administration Web-tool (Exchange Server 2003 of 2007) op afstand een wiscommando
geven. Gebruikers die met Exchange Server 2007 werken, kunnen dit commando
ook direct via Outlook Web Access geven. Opdrachten voor wissen op afstand kunnen
ook via MDM worden gegeven, zelfs wanneer Exchange-bedrijfsvoorzieningen niet
worden gebruikt.
Lokaal wissen
Het is ook mogelijk om tijdens de configuratie van apparaten op te geven dat de
gegevens automatisch lokaal moeten worden gewist nadat er een bepaald aantal
keer een onjuiste toegangscode is ingevoerd. Zo wordt het buitenstaanders direct
moeilijk gemaakt om toegang te krijgen. Wanneer een toegangscode is ingesteld,
kunnen gebruikers direct vanuit de instellingen op het apparaat gegevens lokaal
wissen. Standaard worden gegevens lokaal gewist nadat tien keer een onjuiste
toegangscode is ingevoerd. Net als bij de andere instellingen voor toegangscodebeleid
kan het maximumaantal pogingen worden opgegeven via een configuratieprofiel
of een MDM-server, of via Exchange ActiveSync-beleid draadloos worden afgedwongen.
19
Technische referentiehandleiding voor iOS-implementatie
Netwerkbeveiliging
• Ondersteuning voor Cisco IPSec,
L2TP, PPTP VPN
• SSL VPN via App Store-apps
• SSL/TLS met X.509-certificaten
• WPA/WPA2 op bedrijfsniveau
met 802.1x
• Identiteitscontrole via certificaten
• RSA SecurID, CryptoCard
VPN-protocollen
• Cisco IPSec
• L2TP/IPSec
• PPTP
• SSL VPN
Methoden voor identiteitscontrole
• Wachtwoord (MSCHAPv2)
• RSA SecurID
• CryptoCard
• Digitale X.509-certificaten
• Gedeelde geheime
802.1x-identiteitsprotocollen
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP versie 0, versie 1
• LEAP
Ondersteunde certificaatstructuren
iOS ondersteunt X.509-certificaten
met RSA-sleutels. Herkende bestandsextensies: .cer, .crt en .der.
Netwerkbeveiliging
Gebruikers die veel onderweg zijn, moeten overal ter wereld toegang hebben
tot het gegevensnetwerk van hun bedrijf. Hierbij is het belangrijk dat ze de juiste
toegangsrechten hebben en dat hun gegevens tijdens de overdracht worden
beveiligd. iOS biedt beproefde technologieën om deze beveiligingstaken uit te
voeren voor verbindingen via zowel Wi-Fi- als mobieletelefoonnetwerken.
Net als de bestaande infrastructuur worden alle FaceTime-sessies en iMessageconversaties van begin tot eind versleuteld. iOS maakt voor elke gebruiker een
unieke ID aan en zorgt ervoor dat de communicatie op de juiste manier wordt
versleuteld, verstuurd en tot stand gebracht.
VPN
In veel bedrijfsomgevingen wordt een vorm van VPN (Virtual Private Network)
gebruikt. Deze beveiligde netwerkvoorzieningen zijn al geïmplementeerd en vragen
doorgaans om minimale instellingen en configuratie om met iOS te kunnen werken.
iOS kan direct worden geïntegreerd met een breed scala aan veelgebruikte VPNtechnologieën. Zie "Virtual Private Networks" in hoofdstuk 1 voor meer informatie.
SSL/TLS
iOS biedt ondersteuning voor SSL versie 3 en TLS versie 1.0, 1.1 en 1.2 (Transport
Layer Security).Deze beveiligingsmechanismen worden automatisch door Safari,
Agenda, Mail en andere internetapps gestart waardoor een versleuteld
communicatiekanaal ontstaat tussen iOS en bedrijfsvoorzieningen.
WPA/WPA2
iOS ondersteunt WPA2 op bedrijfsniveau om de identiteitscontrole voor toegang
tot het draadloze bedrijfsnetwerk uit te voeren. WPA2 op bedrijfsniveau maakt gebruik
van 128-bits AES-versleuteling en biedt gebruikers de absolute zekerheid dat hun
gegevens beschermd blijven tijdens het gebruik van de Wi-Fi-netwerkverbinding.
En dankzij ondersteuning voor 802.1x-identiteitscontrole kunnen iPhone en iPad in
uiteenlopende RADIUS-serveromgevingen worden geïntegreerd.
Beveiliging van apps
In iOS staat veiligheid centraal. iOS bevat sandboxing voor runtimebescherming van
apps. Bovendien moeten apps worden ondertekend om te waarborgen dat er niet
mee kan worden geknoeid. Daarnaast heeft iOS een veilig framework om verificatiegegevens voor apps en netwerken op te slaan in een versleutelde opslaglocatie: de
sleutelhanger. Voor ontwikkelaars biedt iOS een Common Crypto-architectuur die
gebruikt kan worden om de opslag van appgegevens te versleutelen.
Runtimebeveiliging
De apps op het apparaat worden in een sandbox geplaatst, zodat ze geen toegang
hebben tot gegevens van andere apps. Bovendien worden systeembestanden, hulpbronnen en de kernel afgeschermd van de ruimte voor apps. Een app kan alleen
toegang krijgen tot de gegevens van een andere app via de API's en voorzieningen
van iOS. Ten slotte is het genereren van code ook beveiligd.
Verplichte codeondertekening
Alle iOS-apps moeten ondertekend zijn. Alle apps die bij het apparaat worden
geleverd, zijn door Apple ondertekend. Apps van andere fabrikanten zijn ondertekend
door de ontwikkelaar met een door Apple afgegeven certificaat. Dit garandeert dat
er niet mee geknoeid is en dat de app niet is gewijzigd. Bovendien worden er runtimecontroles uitgevoerd zodat u er zeker van kunt zijn dat een app nog steeds vertrouwd
is sinds u deze voor de laatste keer hebt gebruikt.
20
Technische referentiehandleiding voor iOS-implementatie
Het gebruik van eigen interne apps kan worden beheerd met behulp van een
voorzieningenprofiel. Hierbij moet het voorzieningenprofiel geïnstalleerd zijn voordat
de app kan worden uitgevoerd. Voorzieningenprofielen kunnen draadloos via MDM
worden geïnstalleerd. Ook kunnen beheerders het gebruik van een app op specifieke
apparaten beperken.
Beveiligd framework voor identiteitscontrole
iOS biedt een veilige, gecodeerde sleutelhanger voor de opslag van digitale
identiteitsgegevens, gebruikersnamen en wachtwoorden. De sleutelhangergegevens
zijn gepartitioneerd zodat de verificatiegegevens die door apps van derden zijn
opgeslagen niet toegankelijk zijn voor apps met een andere identiteit. Hierdoor
worden de legitimaties voor identiteitscontroles op iOS-apparaten voor een aantal
apps en voorzieningen binnen het bedrijf beveiligd.
Common Crypto-architectuur
Ontwikkelaars van apps hebben toegang tot versleutelde API's die zij kunnen
gebruiken om hun appgegevens nog beter te beveiligen. Gegevens kunnen
symmetrisch worden versleuteld met behulp van beproefde methoden als AES,
RC4 en 3DES. Bovendien bieden iOS-apparaten hardwareversnelling voor AESversleuteling en SHA1-hashing, wat de prestaties van apps ten goede komt.
Beveiliging van appgegevens
Apps kunnen gebruikmaken van de ingebouwde hardwareversleuteling op iOSapparaten om gevoelige appgegevens nog beter te beveiligen. Ontwikkelaars
kunnen bepaalde bestanden aanwijzen voor gegevensbeveiliging, waarbij de
inhoud van zo'n bestand cryptografisch ontoegankelijk wordt gemaakt voor
zowel de app als potentiële indringers wanneer het apparaat is vergrendeld.
Rechten van apps
Een iOS-app heeft standaard maar weinig bevoegdheden. Ontwikkelaars moeten
expliciet rechten toevoegen om gebruik te kunnen maken van de meeste voorzieningen, zoals iCloud, verwerking op de achtergrond of gedeelde sleutelhangers.
Hiermee wordt voorkomen dat apps zichzelf onbevoegde toegang tot gegevens
toekennen. Bovendien moeten iOS-apps expliciet om toestemming van de gebruiker
vragen voordat gebruik kan worden gemaakt van veel iOS-voorzieningen zoals
gps-gegevens, contacten, de camera of bewaarde foto's.
Internetservices
Apple heeft een robuuste set services ontwikkeld om gebruikers te helpen nog
meer functionaliteit en productiviteit uit hun apparaten te halen – waaronder
iMessage, FaceTime, Siri, iCloud, iCloud-reservekopie en iCloud-sleutelhanger.
Deze internetservices zijn ontwikkeld vanuit dezelfde beveiligingsdoelstellingen
die overal in iOS zijn gerealiseerd. Deze doelstellingen zijn onder meer beveiligde
verwerking van gegevens (opgeslagen op het apparaat of tijdens overdracht via
draadloze netwerken), bescherming van de persoonlijke gegevens van gebruikers,
en bescherming tegen de dreiging van kwaadwillende of onbevoegde toegang
tot informatie en voorzieningen. Elke voorziening gebruikt zijn eigen krachtige
beveiligingsarchitectuur zonder daarbij de gebruiksvriendelijkheid van iOS nadelig
te beïnvloeden.
iMessage
iMessage1 is een berichtensysteem voor iOS-apparaten en Macs. iMessage ondersteunt
tekst en bijlagen als foto's, contacten en locaties. De berichten worden weergegeven
op alle geregistreerde apparaten van een gebruiker zodat een gesprek op elk van
die apparaten kan worden voortgezet. iMessage maakt uitgebreid gebruik van de
Apple Push Notification-service (APNs). iMessage maakt gebruik van versleuteling
21
Technische referentiehandleiding voor iOS-implementatie
over het gehele traject, met sleutels die alleen bekend zijn bij de versturende en
ontvangende apparaten. Apple kan de berichten niet ontsleutelen en de berichten
worden niet geregistreerd.
FaceTime
FaceTime2 is de dienst van Apple voor het voeren van video- en audiogesprekken.
Tijdens FaceTime-gesprekken wordt gebruikgemaakt van de Apple Push Notificationservice om een verbinding tot stand te brengen, en vervolgens van ICE (Internet
Connectivity Establishment) en SIP (Session Initiation Protocol) om een versleutelde
stream op te zetten.
Siri
Gebruikers kunnen Siri3 met hun stem aansturen om berichten te versturen,
vergaderingen te plannen en telefoongesprekken te starten. Siri gebruikt spraakherkenning, tekst-naar-spraak en een client-servermodel om op een breed scala
aan verzoeken te kunnen reageren. De taken die door Siri worden ondersteund
zijn zo ontworpen dat alleen het absolute minimum aan persoonlijke gegevens
wordt gebruikt en dat deze gegevens volledig beveiligd zijn. De vragen en spraakopnamen voor Siri worden niet aan een persoon gekoppeld, en de functies van Siri
worden waar mogelijk niet op de server maar op het apparaat zelf uitgevoerd.
iCloud
iCloud4 zorgt voor de opslag van muziek, foto's, apps, agenda's, documenten en nog
veel meer, en pusht alles automatisch naar het apparaat van een gebruiker. iCloud
maakt ook dagelijks via Wi-Fi een reservekopie van onder andere apparaatinstellingen,
appgegevens en tekst- en mms-berichten. iCloud beveiligt uw inhoud door deze te
coderen bij verzending via het internet, deze te bewaren in een gecodeerde structuur
en veilige tokens te gebruiken voor identiteitscontrole. Bovendien kunnen iCloudfuncties als Fotostream, Documenten en gegevens en het maken van reservekopieën
met behulp van een configuratieprofiel worden uitgeschakeld.
Meer informatie over beveiliging en privacy in iCloud is te vinden op de pagina
iCloud: overzicht van iCloud-beveiliging en -privacy.
iCloud-reservekopie
iCloud maakt ook dagelijks via Wi-Fi een reservekopie van onder andere apparaatinstellingen, appgegevens en tekst- en mms-berichten. iCloud beveiligt de gegevens
door deze te coderen voordat ze via het internet worden verzonden, door ze
gecodeerd te bewaren en door veilige tokens te gebruiken voor identiteitscontrole.
Er wordt alleen een iCloud-reservekopie gemaakt als het apparaat is vergrendeld,
is aangesloten op een voedingsbron en een Wi-Fi-verbinding met het internet
heeft. Door de gebruikte encryptie in iOS is het systeem geoptimaliseerd voor de
beveiligde opslag van gegevens terwijl er zonder tussenkomst van de gebruiker
incrementele reservekopieën kunnen worden gemaakt en teruggezet.
iCloud-sleutelhanger
Met iCloud-sleutelhanger kunnen gebruikers hun wachtwoorden veilig synchroniseren
tussen iOS-apparaten en Macs, zonder dat die informatie met Apple te delen.
Andere doelen – naast privacy en krachtige beveiliging – die een sterke rol hebben
gespeeld bij het ontwerp en de architectuur van iCloud-sleutelhanger waren
gebruiksvriendelijkheid en de mogelijkheid een sleutelhanger te herstellen.
iCloud-sleutelhanger bestaat uit twee services: synchronisatie van sleutelhangers
en herstel van sleutelhangers. Apparaten kunnen uitsluitend deelnemen aan de
synchronisatie van sleutelhangers nadat de gebruiker dit heeft goedgekeurd, en elk
onderdeel van de sleutelhanger dat voor synchronisatie in aanmerking komt, wordt
uitgewisseld met behulp van apparaatspecifieke versleuteling via de iCloud-opslag
voor sleutel-waarden. Deze onderdelen hebben een tijdelijk karakter en verdwijnen
na de synchronisatie uit iCloud. Met herstel van de iCloud-sleutelhanger beschikken
gebruikers over een manier om hun sleutelhanger bij Apple in bewaring te geven
22
Technische referentiehandleiding voor iOS-implementatie
zonder dat Apple wachtwoorden of andere opgenomen gegevens kan lezen. Ook
als een gebruiker maar een enkel apparaat heeft, kan sleutelhangerherstel een vangnet
tegen gegevensverlies vormen. Dit is met name belangrijk als Safari wordt gebruikt
voor het genereren van krachtige willekeurige wachtwoorden voor internetaccounts,
aangezien deze wachtwoorden dan uitsluitend in de sleutelhanger worden bewaard.
Een hoeksteen van sleutelhangerherstel is secundaire identiteitscontrole en een
beveiligde service voor het bewaren van sleutelhangers, specifiek door Apple
ontwikkeld ter ondersteuning van deze voorziening. De sleutelhanger van de
gebruiker wordt met een sterke toegangscode versleuteld, en de bewaarservice
geeft uitsluitend een exemplaar van de sleutelhanger af als aan een reeks strikte
voorwaarden wordt voldaan.
Meer informatie over beveiliging is te vinden in de iOS Security Guide.
23
Technische referentiehandleiding voor iOS-implementatie
Hoofdstuk 3:
Configuratie en beheer
iOS-implementaties kunnen worden gestroomlijnd met verschillende beheerstechnieken waarmee het instellen van accounts, configureren van beleidsinstellingen,
distribueren van apps en toepassen van apparaatbeperkingen een stuk eenvoudiger
wordt. De gebruikers kunnen het meeste configuratiewerk zelf doen met de
configuratie-assistent in iOS. En nadat iOS-apparaten zijn geconfigureerd en
aangemeld bij MDM (mobiel-apparaatbeheer), kunnen ze draadloos door de
IT-afdeling worden beheerd.
In dit hoofdstuk wordt beschreven hoe configuratieprofielen en MDM kunnen
worden gebruikt om uw iOS-implementatie te ondersteunen.
Configuratie en activering van apparaten
iOS-gebruikers kunnen dankzij de configuratie-assistent in iOS hun apparaat direct
activeren, de basisinstellingen configureren en aan het werk. Na het configureren
van de basisinstellingen kunnen de gebruikers hun eigen voorkeuren opgeven,
zoals de taal, locatie, Siri, iCloud en Zoek mijn iPhone. En met de configuratieassistent kan de gebruiker bovendien een persoonlijke Apple ID aanmaken.
Apple ID
Een Apple ID bestaat uit identiteitsgegevens die worden gebruikt voor aanmelding
bij verschillende Apple diensten zoals FaceTime, iMessage, iTunes, de App Store,
iCloud en de iBooks Store. Met een Apple ID kunnen gebruikers apps, boeken en
materiaal uit de iTunes Store, de App Store en de iBooks Store installeren. Gebruikers
kunnen met een Apple ID bovendien een iCloud-account aanvragen, die ze kunnen
gebruiken om materiaal op meerdere apparaten te gebruiken en delen.
Om deze voorzieningen optimaal te kunnen benutten is het verstandig als de
gebruikers hun eigen Apple ID gebruiken. Als ze nog geen Apple ID hebben,
kunnen ze zelfs al een ID aanmaken voordat ze een apparaat krijgen, zodat de
configuratie zo snel mogelijk kan verlopen.
Meer informatie over het aanvragen van een Apple ID is te vinden op de pagina
Mijn Apple ID.
Apparaten voorbereiden met Apple Configurator
Voor apparaten die centraal door een IT-afdeling worden beheerd en die niet door
de gebruikers zelf worden ingesteld, kan Apple Configurator worden gebruikt om
apparaten snel te activeren, configuraties aan te maken en toe te wijzen, apparaten
onder supervisie te houden en de nieuwste versie van iOS op de apparaten te
installeren. Apple Configurator is een gratis programma voor OS X dat verkrijgbaar
is in de Mac App Store. Om deze taken te kunnen uitvoeren moeten de apparaten
via USB op een Mac worden aangesloten. U kunt ook een reservekopie terugzetten,
waardoor de apparaatinstellingen en de indeling van het beginscherm worden
gekopieerd en appgegevens worden geïnstalleerd.
24
Technische referentiehandleiding voor iOS-implementatie
Configuratieprofielen
Configuratieprofielen zijn XML-bestanden met beveiligings- en beperkingsinstellingen
voor het apparaat, VPN-configuratiegegevens, Wi-Fi-instellingen, e-mail- en agendaaccounts en legitimaties voor identiteitscontroles waarmee wordt toegestaan dat
iOS-apparaten binnen uw IT-systemen kunnen worden gebruikt. Met configuratieprofielen kopieert u snel instellingen en toegangscontrolegegevens naar een apparaat.
Sommige VPN- en Wi-Fi-instellingen kunnen alleen via een configuratieprofiel worden
ingesteld. U moet dan een configuratieprofiel gebruiken om beleidsinstellingen voor
toegangscodes in te stellen als u geen Microsoft Exchange gebruikt.
Configuratieprofielen kunnen worden gedistribueerd via Over-the-Air Profile Delivery
of MDM. Met Apple Configurator kunt u configuratieprofielen installeren op apparaten
die via USB op een computer zijn aangesloten, of u kunt configuratieprofielen
distribueren via e-mail of een webpagina. Zodra gebruikers de e-mailbijlage openen
of het profiel via Safari downloaden op hun apparaat, wordt gevraagd of zij het
installatieproces willen starten. Als u gebruikmaakt van een MDM-server, kunt u een
eerste profiel distribueren dat alleen de configuratiegegevens van de server bevat.
Vervolgens kunt u het apparaat alle andere profielen draadloos laten ophalen.
Configuratieprofielen kunnen worden gecodeerd en ondertekend, zodat u het gebruik
ervan kunt beperken tot een bepaald apparaat en kunt voorkomen dat gebruikers
de instellingen van een profiel kunnen wijzigen. Daarnaast kunt u instellen dat een
profiel aan het apparaat is vergrendeld. Op deze manier kan het profiel alleen worden
verwijderd door alle gegevens van het apparaat te verwijderen of door een toegangscode in te voeren.
Gebruikers kunnen de instellingen die afkomstig zijn van een configuratieprofiel
niet wijzigen, met uitzondering van het wachtwoord. Accounts die via een profiel
zijn geconfigureerd, zoals Exchange-accounts, kunnen bovendien alleen worden
verwijderd door het profiel te wissen.
Ga naar Configuration Profile Key Reference op de iOS Developer Library-site voor
meer informatie.
Mobile Device Management (MDM)
iOS beschikt over een ingebouwd MDM-framework waarmee MDM-oplossingen
van andere fabrikanten draadloos met iOS-apparaten kunnen communiceren.
Dit ongecompliceerde framework is specifiek voor iOS-apparaten ontworpen en
is krachtig en schaalbaar genoeg om alle iOS-apparaten binnen een organisatie
volledig te configureren en beheren.
Met het gebruik van een MDM-oplossing kunnen IT-beheerders apparaten binnen
een bedrijfsomgeving op een beveiligde manier aanmelden, instellingen configureren
en bijwerken, naleving van de beleidsinstellingen controleren en beheerde apparaten
op afstand vergrendelen of wissen. In iOS kan de IT-afdeling met behulp van MDMoplossingen probleemloos de toegang van gebruikers tot netwerkvoorzieningen
en een correcte configuratie van de apparaten regelen – ongeacht de vraag wie
eigenaar van de apparaten is.
De MDM-oplossingen maken gebruik van de Apple Push Notification-service
(APNs) zodat er voortdurend communicatie is met de apparaten in zowel openbare
als privénetwerken. Voor MDM zijn meerdere certificaten vereist, waaronder een
APNs-certificaat voor het communiceren met clients en een SSL-certificaat om de
communicatie te beveiligen. In een MDM-oplossing kunnen profielen ook met een
certificaat worden ondertekend.
De meeste certificaten, waaronder APNs-certificaten, moeten jaarlijks worden
vernieuwd. Als een certificaat verlopen is, kan de MDM-server niet met clients
25
Technische referentiehandleiding voor iOS-implementatie
communiceren zolang het certificaat niet is bijgewerkt. Werk alle MDM-certificaten
altijd bij voordat deze verlopen.
Ga voor meer informatie over MDM-certificaten naar de Apple Push Certificates Portal.
Aanmelden
Door aanmelding van apparaten kan er een appcatalogus worden gemaakt en
kunnen apparaten worden beheerd. Bij aanmelding kan het SCEP-protocol (Simple
Certificate Enrollment Protocol) worden gebruikt, waarmee iOS-apparaten unieke
identiteitscertificaten voor de identiteitscontrole voor bedrijfsvoorzieningen
kunnen aanmaken en aanmelden.
In de meeste gevallen beslissen de gebruikers of hun apparaat al dan niet bij
MDM wordt aangemeld, en ze kunnen de koppeling met MDM op elk moment
verbreken. Het wordt aangeraden om gebruikers ertoe te bewegen het MDMbeheer niet uit te schakelen. U kunt bijvoorbeeld MDM-aanmelding voor toegang
tot het Wi-Fi-netwerk vereisen door de inloggegevens daarvoor automatisch via
MDM te verstrekken. Als een gebruiker zich bij MDM afmeldt, probeert het apparaat
dit aan de MDM-server door te geven.
Het Device Enrollment Program kan ook worden gebruikt om apparaten die eigendom
zijn van de instelling tijdens de eerste configuratie onder supervisie te plaatsen en
bij MDM aan te melden. De gebruikers van deze apparaten kunnen MDM dan niet
omzeilen of hun apparaten afmelden.
Zie "Aanmelding en supervisie van apparaten" verderop in dit hoofdstuk voor meer
informatie en de beschikbaarheid van het Device Enrollment Program.
Configuratie
Zodra een apparaat is aangemeld kan het dynamisch worden geconfigureerd met
instellingen en beleidsregels door de MDM-server. Deze verstuurt configuratieprofielen
naar het apparaat die automatisch (en op de achtergrond) door het apparaat
worden geïnstalleerd.
Configuratieprofielen kunnen worden ondertekend, versleuteld en vergrendeld.
Hiermee wordt voorkomen dat de instellingen worden veranderd of gedeeld en
wordt ervoor gezorgd dat uitsluitend vertrouwde gebruikers en apparaten die
volgens uw specificaties zijn geconfigureerd toegang hebben tot uw netwerk en
diensten. Als een gebruiker een apparaat afmeldt bij MDM, worden alle via MDM
geïnstalleerde instellingen verwijderd.
Accounts
Met MDM kunnen de gebruikers binnen uw organisatie snel aan de slag bij het
automatisch instellen van e-mail en andere accounts. Afhankelijk van de MDMoplossing en de integratie met uw interne systemen, kunnen de accountgegevens
vooraf worden aangevuld met gebruikersnamen, mailadressen en eventueel certificaatidentiteiten voor identiteitscontrole en ondertekening. Met MDM kunnen de volgende
soorten accounts worden geconfigureerd:
• Mail
• Agenda
• Agenda's met abonnement
• Contacten
• Exchange ActiveSync
• LDAP
In beheerde mail- en agenda-accounts wordt rekening gehouden met de
beperkingen van de nieuwe Open in-functie in iOS 7.
26
Technische referentiehandleiding voor iOS-implementatie
Informatieverzoeken
Een MDM-server kan apparaten benaderen om allerlei informatie op te vragen.
Het gaat daarbij om hardwaregegevens, zoals het serienummer, de UDID van het
apparaat of het MAC-adres voor Wi-Fi, en softwaregegevens, zoals de iOS-versie en
een lijst met alle apps die op het apparaat geïnstalleerd zijn. Met deze informatie
kan worden gecontroleerd of gebruikers de juiste set apps gebruiken.
Met Apple TV met softwareversie 5.4 of hoger kan MDM ook aangemelde Apple
TV-apparaten benaderen met vragen over bijvoorbeeld taal, subtaal en organisatie.
Commando's
Een toestel kan worden beheerd door een speciale beheerserver via een aantal
specifieke taken. Beheerstaken omvatten:
• Wijzigen van configuratie-instellingen. Er kan een commando worden gegeven
om een nieuw of bijgewerkt configuratieprofiel op een apparaat te installeren.
Wijzigingen in de configuratie vinden op de achtergrond plaats zonder tussenkomst
van de gebruiker.
• Vergrendeling van een apparaat. Als een apparaat direct vergrendeld moet worden,
kan er een commando worden gegeven waarmee het apparaat met gebruikmaking
van de op dat moment ingestelde toegangscode wordt vergrendeld.
• Op afstand wissen van een apparaat. Bij verlies of diefstal van een apparaat kan
er een commando worden gegeven waarmee alle gegevens van een apparaat
worden verwijderd. Een ontvangen commando tot wissen op afstand kan niet
ongedaan gemaakt worden.
• Verwijderen van een codeslot. Als een codeslot wordt verwijderd moet de gebruiker
direct een nieuwe toegangscode opgeven. Deze functie wordt gebruikt als een
gebruiker de toegangscode is vergeten en de IT-afdeling vraagt de code opnieuw
in te stellen.
• Aanvragen en stoppen van synchrone AirPlay-weergave. iOS 7 bevat een
commando waarmee een iOS-apparaat onder supervisie wordt gevraagd met
synchrone AirPlay-weergave naar een specifieke bestemming te beginnen of
een lopende AirPlay-sessie te beëindigen.
Beheerde apps
Organisaties willen vaak software onder de gebruikers distribueren zodat deze
productief kunnen werken of studeren. Maar tegelijkertijd moeten organisaties
de controle houden over de manier waarop die software verbinding maakt met
interne voorzieningen of waarop wordt omgegaan met gegevensbeveiliging
wanneer een gebruiker de organisatie verlaat. Daarnaast is er sprake van bedrijfssoftware en persoonlijke apps en gegevens op één apparaat. Met beheerde apps
in iOS 7 kan een organisatie gratis apps, betaalde apps en bedrijfsapps draadloos
distribueren via MDM en daarbij de juiste balans vinden tussen beveiliging en privacy.
Via een MDM-server kunnen zowel App Store-apps als interne apps draadloos
worden geïmplementeerd. Betaalde en gratis apps uit de App Store kunnen door
een MDM-server worden beheerd door distributie via het VPP. Zie "Volume Purchase
Program" in hoofdstuk 4 voor meer informatie over beheerde distributie met MDM.
VPP-apps kunnen op drie manieren geïnstalleerd worden. Gebruikers met een eigen
apparaat worden door MDM gevraagd de app te installeren vanuit de App Store.
Hiervoor moeten ze hun Apple ID opgeven. Bij een apparaat onder supervisie van
de organisatie dat is aangemeld bij MDM, vindt de installatie van de app op de
achtergrond plaats. Als een apparaat niet bij MDM is aangemeld, worden VPP-apps
door de gebruiker geïnstalleerd met het inwisselen van een aankoopcode. De app
wordt dan aan de persoonlijke Apple ID gekoppeld.
27
Technische referentiehandleiding voor iOS-implementatie
Beheerde apps kunnen op afstand worden verwijderd door de MDM-server of
wanneer de gebruiker zijn of haar apparaat afmeldt bij MDM. Als de app wordt
verwijderd, worden ook alle bijbehorende gegevens verwijderd. Als de VPP-app
nog steeds aan de gebruiker is toegewezen of als de gebruiker een app-code heeft
ingewisseld met gebruikmaking van de eigen Apple ID, kan de app opnieuw uit de
App Store worden gedownload, maar in dat geval is de app niet langer beheerd.
Met de combinatie van iOS 7 en MDM beschikt u over een reeks aanvullende
beperkingen en mogelijkheden voor beheerde apps waarmee de veiligheid en
gebruiksvriendelijkheid nog verder verbeterd kunnen worden:
• Open in-functie. Deze functie biedt twee krachtige functies voor de bescherming
van de appgegevens van organisaties:
– Documenten gemaakt in onbeheerde apps mogen in beheerde apps worden
geopend. Als deze beperking wordt afgedwongen, wordt voorkomen dat
persoonlijke apps en accounts van de gebruiker documenten openen in apps
die door de organisatie worden beheerd. Met deze beperking wordt bijvoorbeeld
voorkomen dat de Keynote-app van de gebruiker een pdf-presentatie opent in
de pdf-lezer van de organisatie. Met deze beperking wordt ook voorkomen dat
de persoonlijke iCloud-account van een gebruiker een tekstdocument opent in
de Pages-app van de organisatie.
– Documenten gemaakt in beheerde apps mogen in onbeheerde apps worden
geopend. Als deze beperking wordt afgedwongen, wordt voorkomen dat
beheerde apps apps en accounts van de organisatie documenten openen in
persoonlijke apps van de gebruiker. Met deze beperking wordt bijvoorbeeld
voorkomen dat een vertrouwelijke e-mailbijlage in de beheerde mailaccount
van de organisatie wordt geopend in een van de persoonlijke apps van de
gebruiker.
• Configuratie van apps. App-ontwikkelaars kunnen aangeven welke app-instellingen
kunnen worden opgegeven als de app als beheerde app wordt geïnstalleerd.
Deze configuratie-instellingen kunnen voor of na de installatie van de beheerde
app worden opgegeven.
• Feedback van apps. App-ontwikkelaars kunnen de app zó maken dat bepaalde
instellingen met behulp van MDM uit een beheerde app kunnen worden uitgelezen.
Een ontwikkelaar kan bijvoorbeeld een "DidFinishSetup"-sleutel opgeven waarmee
een MDM-server feedback van een app kan opvragen om na te gaan of de app is
geactiveerd en geconfigureerd.
• Reservekopie voorkomen. Met deze beperking wordt voorkomen dat er een reservekopie van beheerde apps wordt bewaard in iCloud of iTunes. Door het maken van
reservekopieën te verbieden is het niet mogelijk gegevens uit beheerde apps terug
te zetten als de app via MDM wordt verwijderd en later door de gebruiker opnieuw
geïnstalleerd wordt.
Aanmelding en supervisie van apparaten
Het Device Enrollment Program biedt een snelle en gestroomlijnde manier om iOSapparaten te implementeren die in bezit van de organisatie zijn en die rechtstreeks
bij Apple zijn gekocht. U kunt apparaten automatisch aanmelden bij MDM zonder
ze fysiek in handen te hoeven hebben, of de apparaten voorbereiden voordat ze in
handen van de gebruikers komen. En u kunt het configuratieproces voor de gebruikers
verder vereenvoudigen door specifieke stappen uit de configuratie-assistent te
verwijderen – zodat de gebruikers snel aan de slag kunnen. U kunt ook aangeven
of de gebruikers het MDM-profiel van het apparaat kunnen verwijderen.
Alleen apparaten die rechtstreeks bij Apple in de VS zijn gekocht via uw Apple
klantnummer komen in aanmerking voor gebruik in het Device Enrollment
Program. Apparaten die in aanmerking komen, kunnen via de website van het
28
Technische referentiehandleiding voor iOS-implementatie
programma aan uw MDM-server worden toegewezen. Bestellingen bij Apple tot de
laatste drie jaar vanaf de datum van inschrijving bij het programma kunnen worden
opgezocht. U kunt binnen die bestellingen ook apparaten zoeken op type en serienummer. Vanaf het moment dat nieuwe bestellingen worden verzonden, zijn ze te
vinden op de programmawebsite. Als u bijvoorbeeld 4000 iPads bestelt, kunt u het
ordernummer gebruiken om alle apparaten of een specifiek deel daarvan aan een
bestaande geautoriseerde MDM-server toe te wijzen. U kunt ook apparaten op serienummer aan een specifieke MDM-server toewijzen. Deze methode is handig in
situaties waarin de apparaten die u moet toewijzen fysiek in uw bezit zijn.
Nadat apparaten zijn toegewezen aan een MDM-server in het programma, kunnen
profielen en aanvullende voorzieningen worden toegepast met behulp van de
MDM-server van uw organisatie.
Tot deze voorzieningen behoren onder andere:
• Supervisie over een apparaat
• Verplichte configuratie
• Vergrendelbare MDM-instellingen
• Stappen uit de configuratie-assistent overslaan
Schermen uit de configuratie-assistent die kunnen worden overgeslagen:
• Toegangscode. Het instellen van een toegangscode wordt overgeslagen
• Locatie. Locatievoorzieningen worden niet ingeschakeld
• Terugzetten vanaf reservekopie. Terugzetten vanaf reservekopie is niet mogelijk
• Apple ID. Aanmelding met een Apple ID wordt overgeslagen
• Servicevoorwaarden. De servicevoorwaarden worden overgeslagen
• Siri. Siri wordt niet ingeschakeld
• Diagnostische gegevens versturen. Diagnostische informatie wordt niet
automatisch verstuurd
Apparaten onder supervisie
Supervisie biedt een hogere mate van beheer voor apparaten die in het bezit zijn
van de organisatie. Er kunnen aanvullende beperkingen worden ingesteld zoals het
uitschakelen van iMessage of GameCenter. Ook zijn er aanvullende configuraties en
voorzieningen mogelijk, zoals het filteren van websites of de mogelijkheid apps op
de achtergrond te installeren. Binnen het Device Enrollment Program kan supervisie
draadloos op het apparaat worden ingeschakeld als onderdeel van het installatieproces,
of worden ingeschakeld met behulp van Apple Configurator.
In Bijlage B vindt u de specifieke beperkingen die op apparaten onder supervisie
kunnen worden ingeschakeld.
29
Technische referentiehandleiding voor iOS-implementatie
Hoofdstuk 4:
Distributie van apps
iOS is uitgerust met een verzameling apps waarmee de mensen in uw organisatie
al hun dagelijkse taken kunnen uitvoeren, zoals e-mailen, agenda's en contactgegevens
bijhouden en materiaal op het internet raadplegen. Veel van de functionaliteit die
gebruikers nodig hebben om productief aan de slag te kunnen, is te vinden in de
honderdduizenden apps die verkrijgbaar zijn in de App Store of via op maat gemaakte
interne bedrijfsapps.
Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie
kunt implementeren. Met het Volume Purchase Program (VPP) kunt u apps en boeken
kopen en toewijzen via MDM, ook apps uit de App Store, aangepaste B2B-apps en
boeken uit de iBooks Store. Als u zich aanmeldt bij het iOS Developer Enterprise
Program kunt u bovendien uw eigen interne apps ontwikkelen en implementeren.
In dit hoofdstuk worden de verschillende manieren beschreven die u kunt gebruiken
om apps onder de gebruikers te distribueren.
Volume Purchase Program
De App Store en de iBooks Store bevatten duizenden indrukwekkende apps en
boeken die de gebruikers kunnen kopen, downloaden en installeren. Met het Volume
Purchase Program (VPP) kan uw organisatie apps en boeken in bulk kopen om te
distribueren onder werknemers, opdrachtnemers of studenten. Alle betaalde en
gratis apps en boeken in de App Store en iBooks Store komen in aanmerking voor
aanschaf via het programma.
Bovendien kunt u via het Volume Purchase Program for Business ook aangepaste
B2B-apps voor iOS aanschaffen die voor u zijn ontwikkeld door andere ontwikkelaars
en bedrijfspartners dan Apple.
Met de introductie van beheerde distributie zorgt iOS 7 voor belangrijke verbeteringen
in het Volume Purchase Program (VPP). Met deze mogelijkheid kunnen apps voor
gebruikers worden gekocht en toegewezen via MDM maar blijven ze onder controle
van de organisatie. Het resultaat is dat apps aan gebruikers kunnen worden toegewezen,
weer kunnen worden ingetrokken, en vervolgens aan andere gebruikers worden
toegewezen als de situatie daarom vraagt.
Beheerde distributie
Wanneer u op grote schaal apps en boeken koopt, kunt u materiaal direct onder de
gebruikers distribueren via zogenaamde inwisselcodes, of kunt u (in iOS 7 of OS X
Mavericks versie 10.9 of hoger) gebruikmaken van beheerde distributie om apps en
boeken aan gebruikers toe te wijzen via MDM. Toegewezen apps of boeken kunnen
door de gebruikers op al hun apparaten worden gebruikt. Als ze de app niet langer
nodig hebben of de organisatie verlaten, kunt u deze aan een andere gebruiker
toewijzen. Boeken kunnen niet worden ingetrokken nadat ze zijn toegewezen.
Als u namens uw gebruikers apps hebt gekocht, kunt u beheerde distributie kiezen
als implementatiemethode. Voordat u MDM gebruikt om apps aan gebruikers toe
te wijzen, moet u uw MDM-server met een veilige token aan uw VPP-account
koppelen. Deze veilige token kan naar uw MDM-server gedownload worden via
uw accountoverzicht in de VPP-store.
30
Technische referentiehandleiding voor iOS-implementatie
Om gebruikers aan een beheerde distributie via het VPP te kunnen laten deelnemen,
moeten ze eerst worden uitgenodigd. Als een gebruiker een uitnodiging voor
beheerde distributie aanvaardt, wordt hun persoonlijke Apple ID aan uw organisatie
gekoppeld. De gebruiker hoeft u niet te vertellen wat de Apple ID is en u hoeft zelf
geen Apple ID's voor de gebruikers aan te maken of te leveren.
Zodra een app via MDM aan een gebruiker is toegewezen, verschijnt deze in de
aankoopgeschiedenis van die gebruiker in de App Store. De gebruiker kan worden
gevraagd akkoord te gaan met de installatie van de app. In het geval van apparaten
onder supervisie kan de app ook op de achtergrond geïnstalleerd worden. Als een
app weer wordt ingetrokken, kan de app nog gedurende 30 dagen worden geopend.
Tijdens deze respijtperiode krijgen gebruikers de melding dat de app niet langer aan
ze is toegewezen. Ze kunnen er dan voor kiezen de app zelf te kopen in de App Store
(en dat moeten ze ook doen als ze eventuele gegevens in de app willen behouden).
Inschrijven voor het Volume Purchase Program
Als u apps in grote hoeveelheden wilt aanschaffen, moet u zich bij het programma
inschrijven en een account aanmaken bij Apple. U moet daarbij bepaalde gegevens
over uw organisatie verstrekken, zoals een D&B D-U-N-S-nummer (als u een bedrijf
bent) en contactgegevens. Daarnaast moet u een Apple ID aanmaken die specifiek
voor beheer van het programma wordt gebruikt.
Meer informatie over inschrijving en de landen of regio's waar het Volume Purchase
Program beschikbaar is, kunt u vinden op:
Volume Purchase Program for Business
Volume Purchase Program for Education
Apps in grote aantallen aanschaffen
U gebruikt de website van het Volume Purchase Program om apps voor uw bedrijf
of onderwijsinstelling te kopen.
Gebruik de Apple ID van uw VPP-account om in te loggen bij de website. Zoek de
apps die u wilt aanschaffen en geef vervolgens het gewenste aantal exemplaren
aan. Betalen kan met de creditcardgegevens van het bedrijf of VPP-krediet dat u
via een inkooporder hebt verkregen. Het aantal exemplaren dat u van een app
kunt aanschaffen, is onbeperkt. Per aangekocht exemplaar kan worden gekozen
voor inwisselcodes of beheerde distributie.
U kunt uitsluitend inwisselcodes aanschaffen voor betaalde apps en boeken. Zowel
gratis als betaalde apps en boeken kunnen beheerd worden gedistribueerd.
Als u inwisselcodes aankoopt, krijgt u per e-mail bericht zodra uw codes klaar zijn.
In het accountgedeelte van de VPP-website vindt u vervolgens een XLS-werkblad
met de inwisselcodes. Op de website staat een overzicht van al uw aankopen, met
vermelding van ordernummer, appnaam, totale kosten en aantal licenties. Download
het bijbehorende werkblad om voor elke app en de aangeschafte aantallen de
inwisselcodes te zien. Als u bijvoorbeeld zeven exemplaren van de app Pages koopt,
ontvangt u zeven inwisselcodes voor Pages. In het werkblad staat ook een specifieke
url voor elke inwisselcode. Via deze url's kunnen gebruikers de apps op hun apparaten
downloaden en installeren zonder de inwisselcode te hoeven invoeren.
Als u hebt gekozen voor beheerde distributie als distributietype, zijn de apps
beschikbaar voor toewijzing via uw MDM-oplossing, mits deze gekoppeld is aan
uw VPP-account en een geldig token heeft.
31
Technische referentiehandleiding voor iOS-implementatie
Inwisselcodes distribueren
U kunt de url's via e-mail of per sms distribueren, of op een website plaatsen die
u voor de beoogde groepen en gebruikers toegankelijk maakt. U zou bijvoorbeeld
een website kunnen aanmaken waarop een catalogus wordt weergegeven van de
apps die u hebt aangeschaft, en waarop geautoriseerde gebruikers inwisselcodes
daarvoor kunnen krijgen. Veel MDM-oplossingen (Mobile Device Management,
mobiel-apparaatbeheer) van andere fabrikanten dan Apple bieden ook de
mogelijkheid om codes centraal te beheren en te distribueren.
De gebruikers installeren de apps die u voor hen hebt aangeschaft door op hun
iOS-apparaat de inwisselings-url te volgen. Daarmee worden ze rechtstreeks naar
de App Store geleid, waar de inwisselcode al is ingevoerd, zodat zij alleen nog maar
met hun Apple ID een identiteitscontrole hoeven te laten uitvoeren. De procedure
is dezelfde als voor elke andere app in de App Store, maar dankzij de vooruitbetaalde
inwisselcode die u aan de gebruikers hebt verstrekt, hoeven zij er niet voor te betalen.
Elke inwisselcode kan slechts één keer worden gebruikt. Elke keer dat er een inwisselcode wordt gebruikt, wordt het aankoopwerkblad op de website van het Volume
Purchase Program bijgewerkt. U kunt het werkblad downloaden om na te gaan
hoeveel codes er zijn gebruikt en de resterende inwisselcodes te zien.
Zodra een gebruiker de app heeft geïnstalleerd, wordt er een reservekopie van de
app gemaakt en wordt de app bijgewerkt, net zoals bij elke andere app uit de App
Store het geval is.
B2B-apps op maat
Ook aangepaste apps die een ontwikkelaar voor uw bedrijf maakt of aanpast (B2Bapps), kunnen via het Volume Purchase Program worden aangeschaft.
Ontwikkelaars die zich hebben aangemeld voor het iOS Developer Program kunnen
apps voor B2B-distributie indienen via iTunes Connect. De procedure is dus gelijk
aan de procedure die wordt gebruikt om andere apps in te dienen bij de App Store.
De ontwikkelaar stelt de prijs per exemplaar vast en voegt uw Apple ID voor het
Volume Purchase Program toe aan zijn lijst met geautoriseerde B2B-kopers. Alleen
geautoriseerde kopers kunnen de app zien of aanschaffen.
B2B-apps worden niet beveiligd door Apple: de beveiliging van de gegevens in een
app valt onder de verantwoordelijkheid van de ontwikkelaar. Ontwikkelaars wordt
aangeraden de optimale iOS-werkwijzen te hanteren voor de identiteitscontrole en
codering in apps.
Nadat Apple de app heeft beoordeeld, gebruikt u de website van het Volume Purchase
Program om exemplaren aan te schaffen, zoals hierboven beschreven onder "Apps
in grote aantallen aanschaffen". B2B-apps op maat zijn niet zichtbaar in de App Store.
Ze kunnen alleen worden aangeschaft via de website van het Volume Purchase Program.
Interne apps
Als u zelf iOS-apps ontwikkelt voor gebruik in uw eigen organisatie, kunt u deze
apps via het iOS Developer Enterprise Program implementeren. De procedure voor
het implementeren van uw eigen app is als volgt:
• Meld u aan voor het iOS Developer Enterprise Program.
• Maak uw app klaar voor distributie.
• Maak een voorzieningenprofiel voor bedrijfsdistributie aan om gebruik van de
ondertekende apps op de apparaten mogelijk te maken.
• Bouw de app met het voorzieningenprofiel.
• Implementeer de app bij uw gebruikers.
32
Technische referentiehandleiding voor iOS-implementatie
Aanmelden voor het ontwikkelen van apps
Om interne apps voor iOS te kunnen ontwikkelen en implementeren, moet u zich
eerst aanmelden voor het iOS Developer Enterprise Program.
Zodra u zich hebt aangemeld, kunt u een certificaat en een voorzieningenprofiel
voor ontwikkelaars aanvragen. Deze gebruikt u tijdens de ontwikkeling om uw app
te kunnen bouwen en testen. Het voorzieningenprofiel voor ontwikkelaars is nodig
om apps die met uw ontwikkelaarscertificaat zijn ondertekend op geregistreerde
apparaten te kunnen gebruiken. U kunt het voorzieningenprofiel voor ontwikkelaars
aanmaken op de iOS Provisioning Portal. Het ad-hocprofiel, dat drie maanden geldig
is, bevat de apparaat-ID van de apparaten waarop ontwikkelversies van uw app
kunnen worden gebruikt. De versie die is ondertekend met uw ontwikkelaarscertificaat
verstrekt u samen met het voorzieningenprofiel voor ontwikkelaars aan uw appteam
en uw testers.
Apps klaarmaken voor distributie
Als de ontwikkel- en testfase van de app is afgerond en de app klaar is voor distributie,
ondertekent u uw app met uw distributiecertificaat en verpakt u deze met een
voorzieningenprofiel. De Team Agent of de Admin die aan u is toegewezen maakt
het certificaat en het profiel aan via de iOS Provisioning Portal.
Het distributiecertificaat wordt gegenereerd met behulp van de certificaatassistent
(onderdeel van het programma Sleutelhangertoegang op uw OS X-ontwikkelingssysteem), waarmee een certificaatondertekeningsaanvraag (CSR) wordt aangemaakt.
Als u deze CSR uploadt naar de iOS Provisioning Portal, ontvangt u een distributiecertificaat. Als u dit certificaat vervolgens in Sleutelhanger installeert, kunt u instellen
dat Xcode het certificaat gebruikt om uw app te ondertekenen.
Voorzieningen voor interne bedrijfsapps
Dankzij het voorzieningenprofiel voor bedrijfsdistributie kan uw app op een onbeperkt
aantal iOS-apparaten worden geïnstalleerd. U kunt een voorzieningenprofiel voor
bedrijfsdistributie aanmaken voor een specifieke app of voor meerdere apps.
Als zowel het distributiecertificaat als het voorzieningenprofiel voor bedrijven op
uw Mac zijn geïnstalleerd, kunt u uw app ondertekenen en er een release-/productieversie van maken met behulp van Xcode. Uw distributiecertificaat voor bedrijven is
drie jaar geldig. Daarna moet u uw app opnieuw bouwen en ondertekenen met
een vernieuwd certificaat. Het voorzieningenprofiel voor de app is één jaar geldig,
dus u moet ieder jaar nieuwe voorzieningenprofielen uitbrengen. Zie "Bijgewerkte
apps distribueren" in Bijlage C voor meer informatie.
Het is van groot belang dat u de toegang tot uw distributiecertificaat en de
bijbehorende persoonlijke sleutel zeer beperkt houdt. Met Sleutelhangertoegang
in OS X kunt u deze onderdelen exporteren en er een reservekopie van maken in
de p12-structuur. Als u de persoonlijke sleutel kwijtraakt, kan deze niet worden
hersteld of opnieuw worden gedownload. Niet alleen het certificaat en de persoonlijke
sleutel vragen echter om geheimhouding. U moet er ook voor zorgen dat zo weinig
mogelijk medewerkers contact kunnen hebben met degenen die verantwoordelijk
zijn voor de uiteindelijke acceptatie van de app. Door de app te ondertekenen met
het distributiecertificaat verleent uw bedrijf goedkeuring aan de inhoud en het
functioneren van de app en erkent het bedrijf dat de app voldoet aan de licentievoorwaarden van de Enterprise Developer Agreement.
33
Technische referentiehandleiding voor iOS-implementatie
Apps implementeren
U kunt een app op vier manieren implementeren:
• De app distribueren zodat de gebruikers de app via iTunes kunnen installeren.
• De app door een IT-beheerder op apparaten laten installeren met behulp van
Apple Configurator.
• De app op een beveiligde webserver plaatsen zodat gebruikers de installatie
draadloos kunnen uitvoeren. Zie "Bijlage C: Draadloos interne apps installeren".
• Uw eigen app of een app uit de App Store via uw MDM-server op een beheerd
apparaat installeren, indien uw MDM-server deze functie ondersteunt.
Apps installeren via iTunes
Als uw gebruikers apps op hun apparaat installeren via iTunes, distribueert u de
app op een beveiligde manier onder de gebruikers en laat u hen de hier aangegeven
stappen volgen:
1. Open iTunes, kies 'Archief' > 'Voeg toe aan bibliotheek' (Mac) of 'Bestand' >
'Aan bibliotheek toevoegen' (Windows) en selecteer vervolgens het bestand
(.app, .ipa of .mobileprovision). De gebruiker kan het bestand ook naar het
programmasymbool van iTunes slepen.
2. Sluit een apparaat op de computer aan en selecteer het vervolgens in de lijst
'Apparaten' in iTunes.
3. Klik op de tab 'Apps' en selecteer de app in de lijst.
4. Klik op 'Pas toe' (Mac) of 'Toepassen' (Windows).
Als de computers van de gebruikers worden beheerd, hoeft u de gebruikers niet te
vragen de bestanden aan iTunes toe te voegen. U kunt de bestanden op de computers
van de gebruikers implementeren en de gebruikers vervolgens vragen hun apparaat
te synchroniseren. iTunes installeert automatisch de bestanden die in de mappen
'Mobile Applications' en 'Provisioning Profiles' van het programma staan.
Apps installeren met Apple Configurator
Apple Configurator is een gratis programma voor OS X dat verkrijgbaar is in de Mac
App Store. Het kan door IT-beheerders worden gebruikt om interne apps of apps
uit de App Store te installeren.
Voor betaalde apps uit de App Store moet u eerst een spreadsheet met inwisselcodes
van het Volume Purchase Program importeren naar Apple Configurator. U kunt daarna
een aangeschafte app installeren op zoveel apparaten als het aantal inwisselcodes
dat u hebt. Telkens als u een app op een apparaat installeert, markeert Apple
Configurator één code als ingewisseld, zodat deze niet opnieuw kan worden gebruikt.
Gratis apps uit de App Store of interne bedrijfsapps kunnen rechtstreeks worden
geïmporteerd in Apple Configurator, en op een onbeperkt aantal apparaten worden
geïnstalleerd.
Ga voor meer informatie naar Apple Configurator: inwisselcodes van het volumeaankoopprogramma (VPP of Volume Purchase Program) gebruiken.
Apps installeren met MDM
Een MDM-server kan apps van andere fabrikanten uit de App Store en interne apps
beheren. Apps die zijn geïnstalleerd met behulp van het MDM worden "beheerde
apps" genoemd. De MDM-server kan aangeven of beheerde apps en de bijbehorende
gegevens achterblijven als de gebruiker zich afmeldt bij MDM. Bovendien kan de
server ervoor zorgen dat er geen reservekopie van beheerde appgegevens in iTunes
of iCloud wordt gemaakt. Op deze manier kan de IT-beheerder apps die mogelijk
gevoelige bedrijfsgegevens bevatten beter beheren dan apps die direct door de
gebruiker worden gedownload.
34
Technische referentiehandleiding voor iOS-implementatie
Om een beheerde app te installeren, stuurt de MDM-server een installatieverzoek
naar het apparaat. Op apparaten die niet onder supervisie staan, moet de gebruiker
eerst toestemming geven voordat beheerde apps worden geïnstalleerd.
Voor beheerde apps bestaan er aanvullende beheersmogelijkheden in iOS 7.
VPN-verbindingen kunnen nu op appniveau worden opgegeven; dat betekent
dat alleen het netwerkverkeer voor die specifieke app via de beveiligde VPNtunnel wordt verstuurd. Zo blijven privégegevens privé, en kunnen ze niet worden
verstoord door andere gegevens.
Beheerde apps bieden ook ondersteuning voor de Open in-functie in iOS 7. Dit
betekent dat gegevensoverdracht van beheerde apps naar of van de persoonlijke
apps van de gebruiker kan worden beperkt, zodat de gevoelige gegevens van de
onderneming gegarandeerd veilig zijn.
Caching Server
Dankzij iOS hebben gebruikers gemakkelijk toegang tot digitaal materiaal. Sommige
gebruikers zullen hun apps, boeken en software bijwerken via het draadloze netwerk
van de organisatie. Het kan hierbij gaan om grote hoeveelheden gigabytes. De vraag
vertoont pieken: de eerste piek bij de implementatie van het apparaat, en vervolgens
sporadischer, wanneer gebruikers nieuw materiaal ontdekken of er materiaal wordt
bijgewerkt. Dit kan resulteren in plotselinge stijgingen van de vraag naar internetbandbreedte.
Het onderdeel Caching Server in OS X Server vermindert de uitgaande internetbandbreedte op persoonlijke netwerken (RFC1918) door kopieën van opgevraagd
materiaal in een cache op het lokale netwerk te plaatsen. Bij grotere netwerken kan
het verstandig zijn meerdere Caching Servers te installeren. Voor veel implementatiemodellen is het configureren van Caching Server een kwestie van het inschakelen
van de voorziening. Er is een NAT-omgeving vereist voor de server en alle apparaten
die er gebruik van maken.
Meer informatie: Geavanceerde beheergids voor OS X Server > Configure advanced
cache settings.
iOS-apparaten met iOS 7 maken automatisch contact met een Caching Server in de
buurt. Hiervoor is geen extra apparaatconfiguratie nodig. De werkwijze van de Caching
Server is transparant voor het iOS-apparaat:
1. Als een iOS-apparaat op een netwerk met een of meer Caching Servers materiaal
opvraagt van de iTunes Store of de software-updateserver, wordt het iOS-apparaat
doorgeleid naar een Caching Server.
2. De Caching Server controleert eerst of het gevraagde materiaal zich al in de lokale
cache bevindt. Is dit het geval, dan wordt het materiaal direct beschikbaar gesteld
aan het iOS-apparaat.
3. Als het gevraagde materiaal niet aanwezig is op de Caching Server, wordt geprobeerd
het materiaal vanaf een andere bron te downloaden. Caching Server 2 voor OS X
Mavericks beschikt over peer-to-peer-replicatie waarmee andere Caching Servers op
het netwerk kunnen worden gebruikt als die het gevraagde materiaal al hebben
gedownload.
4. Terwijl de Caching Server downloadgegevens ontvangt, worden deze direct doorgegeven aan de clients die ze hadden opgevraagd, en als kopie in de cache geplaatst.
De volgende typen cache-inhoud worden ondersteund door iOS 7:
• iOS-software-updates
• Apps uit de App Store
• App Store-updates
• Boeken uit de iBooks Store
35
Technische referentiehandleiding voor iOS-implementatie
iTunes ondersteunt ook Caching Server 2. De volgende typen inhoud worden
ondersteund door iTunes 11.0.4 of hoger (Mac en Windows):
• Apps uit de App Store
• App Store-updates
• Boeken uit de iBooks Store
36
Technische referentiehandleiding voor iOS-implementatie
Bijlage A:
Wi-Fi-infrastructuur
Bij het voorbereiden van de Wi-Fi-infrastructuur voor een iOS-implementatie moet
u rekening houden met verschillende aspecten:
• Benodigd bereik
• Aantal en dichtheid van apparaten die het Wi-Fi-netwerk gebruiken
• Typen apparaten en de Wi-Fi-mogelijkheden ervan
• Typen en hoeveelheid gegevens die worden verzonden
• Beveiligingsvereisten voor toegang tot het draadloze netwerk
• Vereisten voor versleuteling
Hoewel de lijst niet volledig is, zijn dit enkele van de meest relevante factoren
waarmee u bij het ontwerpen van een Wi-Fi-netwerk rekening moet houden.
Opmerking: Dit gedeelte richt zich op het ontwerpen van Wi-Fi-netwerken in
de Verenigde Staten. In andere landen kan een ander ontwerp nodig zijn.
Plannen met het oog op bereik en dichtheid
Hoewel het van essentieel belang is dat alle iOS-apparaten binnen een bepaald
gebied Wi-Fi-bereik hebben, is het ook van groot belang om te anticiperen op
de dichtheid van apparaten in een bepaald gebied.
De meeste moderne toegangspunten binnen ondernemingen kunnen overweg
met tot wel 50 Wi-Fi-clients. Bij zoveel apparaten op één toegangspunt wordt de
verbinding er echter niet beter op. Hoe snel elk apparaat is, is afhankelijk van de
beschikbare draadloze bandbreedte op het kanaal dat wordt gebruikt en het aantal
apparaten dat de algehele bandbreedte deelt. Naarmate meer apparaten gebruikmaken van hetzelfde toegangspunt, wordt de relatieve netwerksnelheid voor die
apparaten lager. Bij het ontwerpen van het Wi-Fi-netwerk moet u daarom rekening
houden met het verwachte gebruikspatroon van de iOS-apparaten.
2,4 GHz versus 5 GHz
Op Wi-Fi-netwerken die op de 2,4-GHz frequentie werken zijn dertien kanalen
mogelijk. Vanwege mogelijke storing op kanalen wordt aangeraden om alleen
kanaal 1, 6 en 11 te gebruiken in het netwerkontwerp.
5-GHz signalen gaan niet zo goed door muren en andere obstakels heen als 2,4-GHz
signalen en hebben dus een kleiner dekkingsgebied. 5-GHz netwerken verdienen
daarom mogelijk de voorkeur als er sprake is van een hoge dichtheid van apparaten
in een afgesloten ruimte, zoals een klaslokaal. Het aantal kanalen dat beschikbaar is
op de 5-GHz frequentie varieert per leverancier van toegangspunten en per land,
maar er zijn altijd minimaal acht kanalen beschikbaar.
5-GHz kanalen overlappen elkaar niet, wat een grote verbetering is ten opzichte
van de drie elkaar overlappende kanalen die beschikbaar zijn op de 2,4-GHz
frequentie. Als u een Wi-Fi-netwerk ontwerpt voor een hoge dichtheid aan iOSapparaten, zijn de extra kanalen die 5 GHz biedt zeker het overwegen waard.
37
Technische referentiehandleiding voor iOS-implementatie
Ontwerpen met het oog op bereik
De indeling van het gebouw kan van invloed zijn op de manier waarop u uw Wi-Finetwerk moet inrichten. In een zakelijke omgeving kunnen medewerkers bijvoorbeeld
afspreken met andere gebruikers in vergaderruimtes of in kantoren. Het gevolg is
dat gebruikers zich in de loop van de dag door het gebouw verplaatsen. In dat geval
wordt netwerktoegang met name gezocht voor e-mailen, internetten en bekijken
van agenda's, dus Wi-Fi-bereik heeft de hoogste prioriteit. Een Wi-Fi-ontwerp zou
kunnen bestaan uit twee of drie toegangspunten op elke verdieping zodat alle
kantoren bereik hebben, en één toegangspunt in elke vergaderruimte.
Ontwerpen met het oog op dichtheid
Vergelijk het scenario hierboven eens met een school met 1000 leerlingen en
30 docenten in een gebouw met twee verdiepingen. Elke leerling heeft een iPad
gekregen en elke docent een MacBook Air en een iPad. Elke klas bestaat uit ongeveer
35 leerlingen en de klaslokalen liggen naast elkaar. Gedurende de hele schooldag
doen leerlingen onderzoek op het internet, bekijken ze lesvideo's en kopiëren ze
bestanden van en naar een bestandsserver in het LAN.
Het ontwerp van het Wi-Fi-netwerk voor dit scenario is veel complexer vanwege
de veel hogere dichtheid van mobiele apparaten. Omdat in elke klas de hele dag
door zo'n 35 leerlingen zitten, kan bijvoorbeeld één toegangspunt per klaslokaal
worden ingezet. Voor gemeenschappelijke ruimten zullen meer toegangspunten
nodig zijn, zodat er voldoende dekking voor iedereen is. Hoeveel toegangspunten
er feitelijk nodig zijn, is afhankelijk van de dichtheid van Wi-Fi-apparaten in deze
ruimten.
Als apparaten die alleen de 802.11b- of 802.11g-standaard ondersteunen het netwerk
moeten gebruiken, is het inschakelen van 802.11b/g een van de opties als er dualband toegangspunten worden gebruikt. Een andere optie is om voor nieuwere
apparaten één SSID te gebruiken voor 802.11n op 5 GHz en een tweede SSID op
2,4 GHz ter ondersteuning van 802.11b- en 802.11g-apparaten. Maak echter nooit
te veel SSID's aan.
In beide ontwerpscenario's moet het gebruik van verborgen SSID's worden vermeden.
Een Wi-Fi-apparaat maakt veel moeilijker opnieuw verbinding met een verborgen
SSID dan met een openbare SSID, en het verbergen van de SSID biedt qua beveiliging
slechts een klein voordeel. Omdat gebruikers met hun iOS-apparaat vaak van plek
wisselen, kunnen verborgen SSID's tot vertraging leiden bij de netwerkkoppeling.
Wi-Fi-standaarden in Apple producten
Hieronder vindt u meer informatie over de compatibiliteit van Apple producten
met de diverse Wi-Fi-specificaties:
• Compatibiliteit met 802.11. 802.11b/g, 802.11a, 802.11n
• Frequentiebereik. 2,4 GHz of 5 GHz
• MCS-index. De MCS-index (Modulation and Coding Scheme) definieert de maximale
verzendsnelheid waarmee 802.11n-apparaten kunnen communiceren.
• Kanaalbundeling. HD20 of HD40
38
Technische referentiehandleiding voor iOS-implementatie
• Guard interval (GI). Het guard-interval is de ruimte (tijd) tussen het versturen van
symbolen van het ene apparaat naar het andere. Met de 802.11n-standaard wordt
een kort guard-interval van 400 ns gedefinieerd waarmee een snellere algehele
doorvoer mogelijk is, hoewel apparaten mogelijk gebruikmaken van een langer
guard-interval van 800 ns.
iPhone 5s
802.11n op 2,4 GHz en 5 GHz
802.11a/b/g
MCS Index 7/HT40/GI 400 ns
iPhone 5c
802.11n op 2,4 GHz en 5 GHz
802.11a/b/g
MCS Index 7/HT40/GI 400 ns
iPhone 5
802.11n op 2,4 GHz en 5 GHz
802.11a/b/g
MCS-index 7/HT40/GI 400 ns
iPhone 4s
802.11n op 2,4 GHz
802.11b/g
MCS-index 7/HD20/GI 800 ns
iPhone 4
802.11n op 2,4 GHz
802.11b/g
MCS-index 7/HD20/GI 800 ns
iPad Air en iPad mini met Retina-display
802.11n op 2, 4 GHz en 5 GHz
802.11 a/b/g
MCS-index 15/HT40/GI 400 ns
iPad (vierde generatie) en iPad mini
802.11n op 2,4 GHz en 5 GHz
802.11a/b/g
MCS-index 7/HT40/GI 400 ns
iPad (eerste, tweede en derde generatie)
802.11n op 2,4 GHz en 5 GHz
802.11a/b/g
MCS-index 7/HD20/GI 800 ns
iPod touch (vijfde generatie)
802.11n op 2,4 GHz en 5 GHz
802.11a/b/g
MCS-index 7/HT40/GI 400 ns
iPod touch (vierde generatie)
802.11n op 2,4 GHz
802.11b/g
MCS-index 7/HD20/GI 800 ns
39
Technische referentiehandleiding voor iOS-implementatie
Bijlage B:
Beperkingen
iOS ondersteunt de volgende beleidsinstellingen en beperkingen. Deze kunnen
allemaal zo worden geconfigureerd dat ze aansluiten op de behoeften van uw
organisatie.
Functionaliteit van apparaat
• Apps installeren toestaan
• Gebruik van Siri toestaan
• Gebruik van Siri toestaan terwijl apparaat is vergrendeld
• Gebruik van camera toestaan
• Gebruik van FaceTime toestaan
• Schermafbeeldingen maken toestaan
• Automatisch synchroniseren tijdens roaming toestaan
• Synchronisatie van recente e-mails toestaan
• Voicedialing toestaan
• Aankopen vanuit apps toestaan
• Store-wachtwoord verplicht voor alle aankopen
• Multiplayergames toestaan
• Vrienden toevoegen in Game Center toestaan
• Toegestane classificaties instellen
• Touch ID toestaan
• Toegang tot bedieningspaneel vanaf vergrendeld scherm toestaan
• Toegang tot berichtencentrum vanaf vergrendeld scherm toestaan
• Toegang tot dagweergave vanaf vergrendeld scherm toestaan
• Passbook-meldingen toestaan terwijl apparaat is vergrendeld
Apps
• Gebruik van iTunes Store toestaan
• Gebruik van Safari toestaan
• Beveiligingsvoorkeuren in Safari instellen
iCloud
• Het maken van reservekopieën toestaan
• Synchronisatie van documenten en sleutelhanger toestaan
• Gebruik van Mijn fotostream toestaan
• iCloud-fotodelen toestaan
40
Technische referentiehandleiding voor iOS-implementatie
Beveiliging en privacy
• Toestaan dat diagnostische gegevens naar Apple worden verstuurd
• Toestaan dat gebruikers niet-vertrouwde certificaten accepteren
• Versleutelde reservekopieën afdwingen
• Documenten openen van onbeheerde naar beheerde apps toestaan
• Documenten openen van beheerde naar onbeheerde apps toestaan
• Wachtwoord vereist bij eerste koppeling met AirPlay
• Draadloze PKI-updates toestaan
• Reclametracking beperken vereist
Restricties uitsluitend bij supervisie
• Uitsluitend één-app-modus
• Toegankelijkheidsinstellingen
• iMessage toestaan
• Game Center toestaan
• Verwijderen van apps toestaan
• iBooks Store toestaan
• Erotisch materiaal uit iBooks Store toestaan
• Siri-filter grof taalgebruik inschakelen
• Handmatige installatie van configuratieprofielen toestaan
• Globale netwerkproxy voor HTTP
• Koppelen met computers voor materiaalsynchronisatie toestaan
• AirPlay-verbindingen beperken met goedgekeurde lijst en optionele
toegangscodes
• AirDrop toestaan
• Wijzigen van accounts toestaan
• Wijzigen mobiele data-instellingen toestaan
• Zoek mijn vrienden toestaan
• Koppelen met host toestaan (iTunes)
• Activeringsslot toestaan
41
Technische referentiehandleiding voor iOS-implementatie
Bijlage C:
Interne apps draadloos
installeren
iOS ondersteunt draadloze installatie van interne apps op maat zonder het gebruik
van iTunes of de App Store.
Vereisten:
• Een beveiligde webserver die toegankelijk is voor bevoegde gebruikers
• Een release-/productieversie van een iOS-app in de .ipa-structuur met een
voorzieningenprofiel voor bedrijven
• Een XML-manifest-bestand, zoals in deze bijlage wordt beschreven
• Een netwerkconfiguratie die de apparaten in staat stelt toegang te krijgen tot een
iTunes-server van Apple
Het installeren van de app is heel eenvoudig. Gebruikers downloaden het manifestbestand vanaf uw website naar hun iOS-apparaat. Aan de hand van de instructies
in het manifest-bestand worden de in het manifest-bestand genoemde apps naar
het apparaat gedownload en daarop geïnstalleerd.
U kunt de url voor het downloaden van het manifest-bestand versturen via sms of
e-mail, maar u kunt deze ook opnemen in een ander, intern ontwikkelde bedrijfsapp.
De website voor de distributie van apps bouwt en host u zelf. Zorg ervoor dat de
identiteit van de gebruikers wordt gecontroleerd, bijvoorbeeld door middel van
eenvoudige basiscontrole of een identiteitscontrole op basis van een adressenlijst.
Bovendien moet de website toegankelijk zijn via uw intranet of het internet. U kunt
de app en het manifest-bestand in een verborgen map plaatsen of op een andere
locatie die HTTP of HTTPS kan lezen.
Als u een selfservice-portal maakt, is het verstandig een webknipsel op de beginpagina van de gebruiker te plaatsen. Op deze manier kan de gebruiker voortaan
snel naar implementatiegegevens zoals nieuwe configuratieprofielen, aanbevolen
apps uit de App Store en gegevens voor aanmelding bij een MDM-oplossing.
Een interne app klaarmaken voor draadloze distributie
Om uw interne app klaar te maken voor draadloze distributie kunt u een gearchiveerde
versie (een .ipa-bestand) en een manifest-bestand maken om draadloze distributie
en installatie van de app mogelijk te maken.
U gebruikt Xcode om een app-archief aan te maken. U ondertekent de app met uw
distributiecertificaat en neemt uw voorzieningenprofiel voor implementatie door
bedrijven op in het archief. Meer informatie over het bouwen en archiveren van apps
vindt u in het iOS Dev Center of in de Xcode Overview in het Help-menu in Xcode.
Informatie over het manifest-bestand voor draadloze distributie
Het manifest-bestand heeft de plist-structuur (XML). Het wordt door een iOSapparaat gebruikt om apps op uw webserver te zoeken, downloaden en installeren.
Het manifest-bestand wordt door Xcode aangemaakt op basis van de gegevens die
u opgeeft wanneer u een app-archief voor bedrijfsdistributie deelt. In het voorgaande
gedeelte leest u meer over het voorbereiden van apps voor distributie.
42
Technische referentiehandleiding voor iOS-implementatie
De volgende velden zijn verplicht:
Onderdeel
Beschrijving
Url
De volledig gekwalificeerde HTTPS-url van
het appbestand (.ipa).
display-image
Een png-afbeelding van 57 x 57 pixels die
wordt weergegeven tijdens het downloaden installatieproces. Geef de volledige url
van de afbeelding op.
full-size-image
Een png-afbeelding van 512 x 512 pixels die
de app in iTunes weergeeft.
bundle-identifier
De bundle-aanduiding van uw app, precies
zoals die in uw Xcode-project wordt vermeld.
bundle-version
De bundle-versie van uw app zoals die in uw
Xcode-project wordt vermeld.
title
De naam van de app; deze wordt weergegeven
tijdens het download- en installatieproces.
Voor Kiosk-apps zijn ook de volgende velden verplicht:
Onderdeel
Beschrijving
newsstand-image
Een png-afbeelding van groot formaat die in
de Kiosk wordt weergegeven.
UINewsstandBindingEdge
UINewsstandBindingType
Deze sleutels moeten overeenkomen met die
in het info.plist-bestand van uw Kiosk-app.
UINewsstandApp
Geeft aan dat het een Kiosk-app betreft.
De optionele sleutels die u kunt gebruiken, worden beschreven in het voorbeeld
van het manifest-bestand. U kunt bijvoorbeeld de MD5-sleutels gebruiken als uw
appbestand groot is en als u, naast de foutcontrole die standaard voor TCP-communicatie
wordt uitgevoerd, een nadere integriteitscontrole van het downloadproces wilt
uitvoeren.
U kunt meerdere apps installeren met één manifest-bestand door extra onderdelen
op te geven in de itemsmatrix.
Aan het eind van deze bijlage vindt u een voorbeeld van een manifest-bestand.
De opbouw van uw website
Upload de volgende onderdelen naar een gedeelte van uw website waartoe bevoegde
gebruikers toegang hebben:
• Het appbestand (.ipa)
• Het manifest-bestand (.plist)
Een website bestaande uit één pagina met een koppeling naar het manifest-bestand
is al voldoende. Zodra een gebruiker op een webkoppeling tikt, wordt het manifestbestand gedownload, waarna de informatie in het bestand wordt gebruikt om de
apps te downloaden en te installeren.
Een voorbeeld van een koppeling: <a href="itms-services://?action=downloadmanifest&url=http://voorbeeld.com/manifest.plist">Installeer app</a>
Voeg geen webkoppeling toe voor het app-archief (.ipa). De .ipa wordt automatisch
door het apparaat gedownload bij het laden van het manifest-bestand. Ondanks
43
Technische referentiehandleiding voor iOS-implementatie
dat het protocolgedeelte van de url een itms-dienst is, is de iTunes Store niet
betrokken bij dit proces.
MIME-typen voor de server instellen
Mogelijk moet u uw webserver zodanig configureren dat het manifest-bestand en
het appbestand op de juiste manier worden overgebracht.
Voor OS X Server voegt u de volgende MIME-typen toe aan de MIME Types-instellingen
van de webvoorziening:
application/octet-stream ipa
text/xml plist
Voor IIS voegt u via IIS Manager het MIME-type op de Properties-pagina van de
server toe:
.ipa application/octet-stream
.plist text/xml
Problemen oplossen bij de draadloze distributie van apps
Als draadloze appdistributie niet lukt en u de melding krijgt dat downloaden niet
mogelijk is, doet u het volgende:
• Controleer of de app op de juiste manier is ondertekend. U kunt dit testen door
de app via Apple Configurator op een apparaat te installeren en te controleren
of er zich problemen voordoen.
• Controleer of de koppeling naar het manifest-bestand juist is en of het manifestbestand toegankelijk is voor webgebruikers.
• Controleer of de url naar het .ipa-bestand (in het manifest-bestand) juist is en of
het .ipa-bestand toegankelijk is voor webgebruikers.
Netwerkconfiguratievereisten
Als de apparaten zijn aangesloten op een gesloten intern netwerk, moet u iOSapparaten toegang verlenen tot:
Url
Reden
ax.init.itunes.apple.com
Het apparaat verkrijgt de huidige bestandsgroottelimiet voor het downloaden van apps via het
draadloze netwerk. Als deze site niet bereikbaar is,
is het mogelijk dat de installatie mislukt.
ocsp.apple.com
Het apparaat maakt contact met deze site om de
status te controleren van het distributiecertificaat
dat is gebruikt om het voorzieningenprofiel te
ondertekenen. Zie "Certificaatcontrole" hieronder.
Bijgewerkte apps distribueren
Apps die u zelf distribueert, worden niet automatisch bijgewerkt. Als u een nieuwe
versie voor uw gebruikers hebt, stelt u hen hiervan op de hoogte en geeft u instructies
voor het installeren van de app. U kunt overwegen om de app naar updates te laten
zoeken en de gebruiker daarvan op de hoogte te laten stellen bij het openen van
de app. Als u gebruikmaakt van draadloze appdistributie, kan in het bericht een
koppeling worden opgenomen naar het manifest-bestand van de bijgewerkte app.
Als u wilt dat gebruikers de appgegevens op hun apparaat behouden, gebruikt u
voor de nieuwe versie dezelfde bundle-aanduiding die u voor de oude versie hebt
gebruikt. Instrueer de gebruikers dat ze de oude versie pas moeten verwijderen
nadat ze de nieuwe versie hebben geïnstalleerd. De nieuwe versie vervangt de
oude versie en de op het apparaat bewaarde gegevens blijven behouden, mits
de bundle-aanduidingen hetzelfde zijn.
44
Technische referentiehandleiding voor iOS-implementatie
Distributievoorzieningenprofielen verlopen 12 maanden nadat ze zijn uitgebracht.
Na de verloopdatum wordt het profiel verwijderd en kan de app niet meer worden
geopend.
U kunt op de iOS Development Portal een nieuw profiel voor de app aanmaken
voordat het voorzieningenprofiel is verlopen. Tegelijk met het nieuwe voorzieningenprofiel maakt u ook een nieuw app-archief (.ipa) aan, voor gebruikers die de app
voor het eerst installeren.
Voor bestaande gebruikers van de app is het handig als u de volgende versie van
uw app pas uitbrengt wanneer deze het nieuwe voorzieningenprofiel bevat. Als
dat niet kan, kunt u ook alleen het nieuwe .mobileprovision-bestand distribueren,
zodat gebruikers de app niet opnieuw hoeven te installeren. Het nieuwe voorzieningenprofiel overschrijft de versie die al in het archief van de app aanwezig is.
Voorzieningenprofielen kunnen worden geïnstalleerd en beheerd via MDM, door
gebruikers worden gedownload en geïnstalleerd vanaf een beveiligde website die
u aanbiedt, of onder gebruikers worden gedistribueerd als e-mailbijlage die kan
worden geopend en geïnstalleerd.
Als uw distributiecertificaat is verlopen, kan de app niet meer worden geopend.
Uw distributiecertificaat is drie jaar geldig vanaf de datum van uitgifte, of totdat
uw Enterprise Developer Program-lidmaatschap verloopt, als dat moment eerder
plaatsvindt. Om te voorkomen dat uw certificaat voortijdig verloopt, moet u uw
lidmaatschap op tijd verlengen. Zie "Certificaatcontrole" hieronder voor meer
informatie over de manier waarop het distributiecertificaat wordt gecontroleerd.
Het is mogelijk dat er twee van uw distributiecertificaten tegelijk actief zijn. Deze
zijn niet van elkaar afhankelijk. Het tweede certificaat is bedoeld om een overlappingsperiode te bieden gedurende welke u uw apps kunt bijwerken voordat het eerste
certificaat verloopt. Let erop dat u uw eerste distributiecertificaat niet intrekt wanneer
u het tweede certificaat aanvraagt bij het iOS Dev Center.
Certificaatcontrole
De eerste keer dat een gebruiker een app opent, wordt het distributiecertificaat
gecontroleerd bij de OCSP-server van Apple. De app mag worden gebruikt, tenzij
het certificaat is ingetrokken. Wanneer er geen verbinding met de OCSP-server
tot stand kan worden gebracht of wanneer er geen reactie van de server wordt
ontvangen, betekent dit niet dat het certificaat is ingetrokken. Om de status te
controleren, moet het apparaat in staat zijn om ocsp.apple.com te bereiken. Zie
"Netwerkconfiguratievereisten" elders in deze appendix.
De OCSP-reactie wordt in een cache op het apparaat bewaard gedurende een door
de OCSP-server bepaalde tijd. Momenteel ligt deze tijd tussen drie en zeven dagen.
De geldigheid van het certificaat wordt pas opnieuw gecontroleerd wanneer het
apparaat opnieuw is gestart en de reactie in de cache is verlopen.
Als op dat moment blijkt dat het certificaat is ingetrokken, kan de app niet meer
worden gebruikt.
Zodra een distributiecertificaat wordt ingetrokken, zijn alle apps die u hiermee hebt
ondertekend niet meer bruikbaar. Gebruik het intrekken van een certificaat uitsluitend
als laatste redmiddel; wanneer u zeker weet dat de persoonlijke sleutel kwijt is of
wanneer de veiligheid van het certificaat waarschijnlijk in het geding is.
45
Technische referentiehandleiding voor iOS-implementatie
Voorbeeld van een manifest-bestand van een app
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/
DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<!-- reeks van downloads. -->
<key>items</key>
<array>
<dict>
<!-- een reeks te downloaden onderdelen -->
<key>assets</key>
<array>
<!-- software-package: het te installeren ipa-bestand. -->
<dict>
<!-- verplicht. het type artikel. -->
<key>kind</key>
<string>software-package</string>
<!-- optioneel. elke n bytes md5. als md5 mislukt, wordt een fragment opnieuw
gestart. -->
<key>md5-size</key>
<integer>10485760</integer>
<!-- optioneel. reeks md5-hashes voor elke chunk ter grootte van "md5-size". -->
<key>md5s</key>
<array>
<string>41fa64bb7a7cae5a46bfb45821ac8bba</string>
<string>51fa64bb7a7cae5a46bfb45821ac8bba</string>
</array>
<!-- verplicht. de url van het te downloaden bestand. -->
<key>url</key>
<string>http://www.voorbeeld.com/apps/foo.ipa</string>
</dict>
<!-- display-image: het symbool dat tijdens het downloaden wordt getoond.-->
<dict>
<key>kind</key>
<string>display-image</string>
<!-- optioneel. geeft aan of het glanseffect op het symbool moet worden
toegepast. -->
<key>needs-shine</key>
<true/>
<key>url</key>
<string>http://www.voorbeeld.com/image.57x57.png</string>
</dict>
<!-- full-size-image: het grote symbool van 512 x 512 pixels dat door iTunes wordt
gebruikt. -->
<dict>
<key>kind</key>
<string>full-size-image</string>
<!-- optioneel. één md5-hash voor het gehele bestand. -->
<key>md5</key>
<string>61fa64bb7a7cae5a46bfb45821ac8bba</string>
<key>needs-shine</key>
<true/>
<key>url</key><string>http://www.voorbeeld.com/afbeelding.512x512.jpg</
string>
</dict>
</array><key>metadata</key>
<dict>
<!-- vereist -->
46
Technische referentiehandleiding voor iOS-implementatie
<key>bundle-identifier</key>
<string>com.voorbeeld.fooapp</string>
<!-- optioneel (alleen software) -->
<key>bundle-version</key>
<string>1.0</string>
<!-- verplicht. het type download. -->
<key>kind</key>
<string>software</string>
<!-- optioneel. getoond tijdens downloaden; meestal de bedrijfsnaam -->
<key>subtitle</key>
<string>Apple</string>
<!-- verplicht. de titel die tijdens het downloaden moet worden weergegeven. -->
<key>title</key>
<string>Voorbeeld van bedrijfsapp</string>
</dict>
</dict>
</array>
</dict>
</plist>}-}
1
Hiervoor gelden mogelijk de gegevenstarieven van de aanbieder. Berichten worden mogelijk als sms verstuurd wanneer
iMessage niet beschikbaar is; hierop zijn de sms-tarieven van uw aanbieder van toepassing. 2 Voor FaceTime-gesprekken
zijn een apparaat met FaceTime voor zowel degene die belt als voor degene die gebeld wordt en een Wi-Fi-verbinding
vereist. Voor FaceTime via een mobiel netwerk is een iPhone 4s of nieuwer, iPad met Retina-display of iPad mini met een
voorziening voor mobiel dataverkeer vereist. Beschikbaarheid via een mobiel netwerk is afhankelijk van het beleid van de
aanbieder; hiervoor kunnen kosten in rekening worden gebracht. 3 Siri is mogelijk niet beschikbaar in alle talen of gebieden;
functies kunnen per gebied verschillen. Internettoegang is vereist. Voor mobiel dataverkeer kunnen kosten in rekening
worden gebracht. 4 Voor sommige functies en voorzieningen is een Wi-Fi-verbinding vereist. Sommige functies en/of
voorzieningen zijn niet overal beschikbaar. De toegang tot sommige voorzieningen is beperkt tot tien apparaten.
© 2014 Apple Inc. Alle rechten voorbehouden. Apple, het Apple logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks,
iMessage, iPad, iPhone, iPod touch, iTunes, Sleutelhanger, Keynote, Mac, het Mac logo, MacBook Air, OS X, Pages, Passbook,
Retina, Safari, Siri en Xcode zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere
landen. AirPrint, iPad Air en iPad mini zijn handelsmerken van Apple Inc. iCloud en iTunes Store zijn dienstmerken van
Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. App Store en iBooks Store zijn dienstmerken
van Apple Inc. IOS is een handelsmerk of gedeponeerd handelsmerk van Cisco in de Verenigde Staten en andere landen
dat in licentie wordt gebruikt. Andere product- en bedrijfsnamen die worden genoemd, kunnen handelsmerken zijn van
hun respectieve eigenaars.
47

SAL app-flyer DEF WEB

Xelion iOS app snelstart gids

YouVersion - Bijbel in je broekzak VOORBEELD APPS OVER

Download - GroovTube

Download - Ondernemen op de Nieuwe Binnenweg

gezond trakteren

Download PDF - OmgevingsAlert

App-lijst 2014-2015

Flyer MijnGemeente app

BLIJF OP DE HOOGTE MET DE NIEUWE APP