!
Guida tecnica di
riferimento per la
distribuzione
di iOS
!
iOS
! 7.1
!!
Maggio 2014
!
Guida tecnica di riferimento per la distribuzione di iOS
!!
!!
!!
Contenuti
Pagina 3 Introduzione
Pagina 4 Capitolo 1: Integrazione
Pagina 4 Microsoft Exchange
Pagina 6 Servizi basati su standard
Pagina 6 Wi-Fi
Pagina 7 Virtual Private Network
Pagina 13 Per App VPN
Pagina 13 Single Sign-On
Pagina 14 Certificati digitali
Pagina 15 Bonjour
Pagina 16 Capitolo 2: Sicurezza
Pagina 16 Sicurezza del dispositivo
Pagina 18 Crittografia e protezione dei dati
Pagina 20 Sicurezza della rete
Pagina 20 Sicurezza delle app
Pagina 21 Servizi internet
Pagina 23 Capitolo 3: Configurazione e gestione
Pagina 23 Setup e attivazione del dispositivo
Pagina 24 Profili di configurazione
Pagina 24 Mobile Device Management (MDM)
Pagina 27 Supervisione dei dispositivi
Pagina 28 Capitolo 4: Distribuzione di app
Pagina 28 Volume Purchase Program
Pagina 30 App B2B personalizzate
Pagina 30 App in-house
Pagina 31 Distribuire le app
Pagina 33 Caching Server
Pagina 34 Appendice A: Infrastruttura Wi-Fi
Pagina 37 Appendice B: Restrizioni
!
Pagina 39 Appendice C: Installare app in-house in wireless
2
Guida tecnica di riferimento per la distribuzione di iOS
Introduzione
!
Questa guida si rivolge agli amministratori IT che vogliono gestire i dispositivi iOS
sulle proprie reti. Contiene informazioni sulla distribuzione e la gestione di iPhone,
iPad e iPod touch in un’organizzazione di grandi dimensioni, come un’azienda o
una scuola. Spiega come i dispositivi iOS forniscano sicurezza totale, integrazione
con le infrastrutture esistenti e potenti strumenti per la distribuzione.
Comprendere le tecnologie chiave supportate da iOS ti aiuterà a adottare una
strategia di distribuzione in grado di offrire ai tuoi utenti un’esperienza ottimale.
Puoi utilizzare i seguenti capitoli come riferimento tecnico durante la distribuzione
dei dispositivi iOS nella tua organizzazione.
!
Integrazione. I dispositivi iOS supportano da subito un’ampia gamma di
infrastrutture di rete. Questa sezione spiega quali sono le tecnologie usate da iOS e
alcune best practice per l’integrazione con Microsoft Exchange, Wi-Fi, VPN e altri
servizi standard.
Sicurezza. iOS è progettato per accedere in modo sicuro ai servizi aziendali e
proteggere i dati importanti. iOS fornisce una solida crittografia per i dati in
trasmissione, metodi di autenticazione collaudati per accedere ai servizi aziendali e
crittografia hardware per tutti i dati archiviati. Leggi questo capitolo per saperne di
più sulle funzioni di sicurezza di iOS.
Configurazione e gestione. iOS supporta tecnologie e strumenti evoluti che ti
permettono di impostare facilmente i dispositivi, di configurarli secondo le tue
esigenze e di gestirli agevolmente in un’ambiente di grandi dimensioni. Questo
capitolo descrive gli strumenti disponibili per la distribuzione, inclusa una
panoramica sulla gestione dei dispositivi mobili (MDM).
Distribuzione di app. Esistono vari modi per distribuire app e contenuti nella tua
azienda. I programmi ideati da Apple, come il Volume Purchase Program e l’iOS
Developer Enterprise Program, consentono alla tua organizzazione di acquistare,
sviluppare e distribuire app per i tuoi utenti. Leggi questo capitolo per scoprire i
dettagli di questi programmi e come distribuire le app acquistate o sviluppate per
l’uso in azienda.
Le appendici contengono ulteriori dettagli tecnici e requisiti:
Infrastruttura Wi-Fi. Dettagli sugli standard Wi-Fi supportati da iOS e sugli aspetti
da considerare quando si progetta una rete Wi-Fi di grandi dimensioni.
Restrizioni. Dettagli sulle restrizioni che puoi utilizzare per configurare i dispositivi
iOS in base alle tue esigenze in materia di sicurezza, codici di accesso e altro.
Installare app in-house in wireless. Dettagli e requisiti per distribuire app in-house
usando il tuo portale web.
Risorse aggiuntive
Per trovare altre informazioni utili, consulta i seguenti siti web:
www.apple.com/ipad/business/it
www.apple.com/iphone/business/it
www.apple.com/education/it
3
Guida tecnica di riferimento per la distribuzione di iOS
Capitolo 1: Integrazione
I dispositivi iOS funzionano da subito con un’ampia gamma di infrastrutture di rete. Per esempio, supportano:
• i principali sistemi di altri produttori, come Microsoft Exchange;
• l’integrazione con email, directory, calendari e altri sistemi basati su standard;
• i protocolli Wi-Fi standard per la trasmissione e la crittografia dei dati;
• le reti VPN, inclusa la funzione Per app VPN;
• il Single Sign-On per semplificare l’autenticazione alle app e ai servizi di rete;
• i certificati digitali per autenticare l’accesso degli utenti e proteggere le
comunicazioni.
Poiché il supporto è integrato in iOS, il reparto IT dovrà soltanto configurare alcune
impostazioni per integrare i dispositivi nell’infrastruttura esistente. Continua a
leggere per conoscere le tecnologie usate da iOS e alcune best practice per
l’integrazione.
Microsoft Exchange
iOS comunica direttamente con il tuo server Microsoft Exchange tramite Microsoft
Exchange ActiveSync (EAS), per avere email, calendari, contatti e task con
tecnologia push. Inoltre Exchange ActiveSync permette agli utenti di accedere alla Global Address List (GAL), e agli amministratori di controllare i criteri di accesso e le azioni di cancellazione a distanza. iOS supporta sia l’autenticazione di base sia quella via certificato per Exchange ActiveSync.
Se nella tua azienda è attivo Exchange ActiveSync, disponi già dei servizi necessari
per supportare iOS e non occorre un’ulteriore configurazione.
Requisiti
I dispositivi con iOS 7 o successivo supportano le seguenti versioni di Microsoft
Exchange:
• Exchange Server 2003 SP 2 (EAS 2.5)
• Exchange Server 2007 (con utilizzo di EAS 2.5)
• Exchange Server 2007 SP 1 (EAS 12.1)
• Exchange Server 2007 SP 2 (EAS 12.1)
• Exchange Server 2007 SP 3 (EAS 12.1)
• Exchange Server 2010 (EAS 14.0)
• Exchange Server 2010 SP 1 (EAS 14.1)
• Exchange Server 2010 SP 2 (con utilizzo di EAS 14.1)
• Exchange Server 2013 (con utilizzo di EAS 14.1)
• Office 365 (con utilizzo di EAS 14.1)
Microsoft Direct Push
Quando è disponibile una connessione dati Wi-Fi o cellulare, Exchange Server invia
automaticamente email, task, contatti ed eventi di calendario ai dispositivi iOS. iPod
touch e alcuni modelli di iPad non possono collegarsi alla rete cellulare, quindi
ricevono le notifiche push solo quando accedono al Wi-Fi.
4
Guida tecnica di riferimento per la distribuzione di iOS
Individuazione automatica di Microsoft Exchange
iOS supporta il servizio di individuazione automatica di Microsoft Exchange Server
2007 e Microsoft Exchange Server 2010. Durante la configurazione manuale del
dispositivo, il servizio usa il tuo indirizzo email e la tua password per determinare le corrette informazioni sul server Exchange.
Per maggiori informazioni su come attivare il servizio di individuazione automatica,
vai alla pagina Servizio di individuazione automatica.
Global Access List di Microsoft Exchange
I dispositivi iOS recuperano i contatti dalla directory aziendale del server Exchange.
Quando fai ricerche in Contatti puoi accedere alla directory, che viene anche
consultata automaticamente per completare gli indirizzi email mentre li scrivi. iOS 6 e successivi supportano le foto della GAL (richiede Exchange Server 2010 SP 1
o successivo).
Funzioni di Exchange ActiveSync non supportate
Le funzioni di Exchange elencate di seguito non sono supportate.
• Apertura di link nelle email verso documenti archiviati su server SharePoint
• Impostazione di una risposta automatica con messaggio di assenza
Identificazione delle versioni di iOS tramite Exchange
Quando si connette a un server Exchange, il dispositivo segnala la propria versione
iOS. Il numero di versione viene inviato nel campo User-agent dell’intestazione
della richiesta ed è simile a Apple-iPhone2C1/705.018. Il numero dopo il
delimitatore (/) è il numero di build univoco per ciascuna versione di iOS.
Per visualizzare il numero di build su un dispositivo, apri Impostazioni > Generali >
Info. Vedrai il numero di versione e il numero di build, per esempio 4.1 (8B117A). Il numero tra parentesi è il numero di build e identifica la release installata sul dispositivo.
Quando il numero di build viene inviato al server Exchange, viene convertito dal
formato NANNNA (dove N è un numero e A è una lettera) al formato Exchange
NNN.NNN. I valori numerici vengono mantenuti, mentre le lettere convertite nel
valore corrispondente alla posizione occupata nell’alfabeto. Per esempio, “F”
diventerà “06” perché è la sesta lettera dell’alfabeto. Se necessario, tra i numeri
vengono inseriti degli zeri per adattarli al formato di Exchange.
In questo esempio, il numero di build 7E18 è stato convertito in 705.018.
Il primo numero, 7, rimane “7”. Il carattere E è la quinta lettera dell’alfabeto, per cui
diventa “05”. Nella versione convertita viene inserito un punto (.) come richiesto dal
formato. Al numero successivo, 18, viene anteposto uno zero per convertirlo in “018”.
Se il numero di build termina con una lettera, per esempio 5H11A, il numero viene
convertito come descritto sopra e il valore numerico dell’ultimo carattere viene
aggiunto in fondo alla stringa separato da 3 zeri: 5H11A diventa quindi
508.01100001.
Cancellazione a distanza
Exchange offre funzioni che ti consentono di cancellare a distanza i contenuti di un dispositivo iOS. La cancellazione rimuove tutti i dati e le informazioni di
configurazione presenti sul dispositivo, che viene inizializzato e riportato alle
impostazioni di fabbrica originali. La cancellazione rimuove la chiave di crittografia
dei dati (crittografati con AES a 256 bit); questo processo è immediato e rende tutti
i dati irrecuperabili. Con Microsoft Exchange Server 2007 o successivo, puoi avviare
una cancellazione a distanza da Exchange Management Console, Outlook Web
Access o Exchange ActiveSync Mobile Administration Web Tool. Con Microsoft
Exchange Server 2003, puoi farlo usando usando Microsoft Exchange ActiveSync
Mobile Administration Web Tool.
!
5
Guida tecnica di riferimento per la distribuzione di iOS
In alternativa, gli utenti possono inizializzare il proprio dispositivo andando in Impostazioni > Generali > Ripristina e scegliendo “Cancella contenuto e impostazioni”. Inoltre puoi configurare i dispositivi perché vengano
automaticamente inizializzati dopo un determinato numero di tentativi falliti di inserimento del codice.
Servizi basati su standard
Poiché supporta il protocollo di posta IMAP, i servizi di directory LDAP, i calendari
CalDAV e i contatti CardDAV, iOS può integrarsi con praticamente qualsiasi
ambiente basato su standard. Se il tuo ambiente di rete è configurato per
richiedere l’autenticazione dell’utente e SSL, iOS fornisce un approccio molto sicuro
per accedere a email, calendari, task e contatti dell’azienda. Con SSL, iOS supporta
la crittografia a 128 bit e i certificati root X.509 generati dalle principali autorità di
certificazione.
In una distribuzione tipica, i dispositivi iOS stabiliscono un accesso diretto ai server
di posta IMAP e SMTP per ricevere e inviare email over-the-air, e possono
sincronizzare le note in wireless con i server IMAP. I dispositivi iOS possono inoltre
connettersi alle directory LDAPv3 della tua impresa, permettendo agli utenti di
accedere ai contatti aziendali nelle app Mail, Contatti e Messaggi. La
sincronizzazione con il tuo server CalDAV consente agli utenti di creare e accettare
inviti, di ricevere gli aggiornamenti del calendario e di sincronizzare i task con l’app
Promemoria, tutto in wireless. Inoltre grazie al supporto CardDAV è possibile
mantenere un gruppo di contatti sincronizzato con il tuo server CardDAV usando il formato vCard. Tutti i server di rete possono trovarsi all’interno di una sottorete
demilitarizzata (DMZ), dietro un firewall aziendale o in entrambe le posizioni.
Wi-Fi
I dispositivi iOS possono collegarsi fin da subito in modo sicuro alle reti Wi-Fi
aziendali o guest, permettendo agli utenti di accedere velocemente alle reti
wireless quando sono in sede o in viaggio.
Connettersi a una rete Wi-Fi
Gli utenti possono impostare i dispositivi iOS affinché si colleghino
automaticamente alle reti Wi-Fi disponibili. Nel caso siano richieste credenziali di
accesso o altre informazioni, è possibile collegarsi direttamente dalle impostazioni
Wi-Fi o da app come Mail, senza aprire una sessione separata del browser. Inoltre la connettività Wi-Fi persistente e a bassa potenza consente alle app di utilizzare le reti wireless per inviare notifiche push.
WPA2 Enterprise
iOS supporta i protocolli di rete wireless standard di settore, tra cui WPA2
Enterprise, grazie ai quali è possibile accedere in modo sicuro alle reti Wi-Fi
aziendali dal dispositivo. WPA2 Enterprise utilizza lo standard AES a 128 bit, un
collaudato metodo di crittografia a blocchi che fornisce il massimo livello di
protezione dei dati.
Grazie al supporto di 802.1X, iOS si può integrare in un’ampia gamma di ambienti di
autenticazione RADIUS. I metodi di autenticazione wireless 802.1X supportati da iOS
comprendono: EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 e LEAP.
!
6
Guida tecnica di riferimento per la distribuzione di iOS
Roaming
Per consentire il roaming all’interno delle reti Wi-Fi aziendali di grandi dimensioni,
iOS è compatibile con i protocolli 802.11k e 802.11r. Lo standard 802.11k agevola la transizione dei dispositivi iOS da un punto di accesso Wi-Fi all’altro utilizzando i report dei punti di accesso stessi, mentre lo standard 802.11r semplifica
l’autenticazione 802.1X quando un dispositivo passa da un punto all’altro. Per un
setup e una distribuzione veloci, puoi configurare le impostazioni per rete wireless,
sicurezza, proxy e autenticazione tramite i profili di configurazione o via MDM.
Virtual Private Network
I protocolli VPN standard di settore consentono l’accesso sicuro alle reti aziendali da iOS. iOS supporta fin da subito Cisco IPSec, L2TP su IPSec e PPTP. Se la tua
organizzazione supporta uno di questi protocolli, per collegare i dispositivi iOS alla
VPN non servono altre configurazioni di rete o app aggiuntive di altri sviluppatori.
Inoltre iOS supporta le VPN SSL dei principali provider VPN. Gli utenti devono solo
scaricare dall’App Store un’applicazione client VPN sviluppata da una di questi
produttori. Come altri protocolli VPN supportati da iOS, anche VPN SSL può essere
configurato sul dispositivo manualmente, tramite un profilo di configurazione o via MDM.
iOS supporta le tecnologie standard di settore come IPv6, i server proxy e lo split tunneling, assicurando la disponibilità di tutte le funzioni VPN durante il
collegamento alle reti aziendali. Inoltre iOS è compatibile con un’ampia gamma di
metodi di autenticazione, tra cui password, token a due fattori e certificati digitali.
Per semplificare il collegamento negli ambienti dove si usa l’autenticazione basata
su certificati, iOS include la funzione“VPN su richiesta”, che avvia una sessione VPN
quando ci si deve collegare a domini specificati.
iOS 7 consente di configurare singole app affinché utilizzino una connessione VPN
diversa da quella delle altre app sul dispositivo. In questo modo si è certi che i dati
aziendali viaggino sempre sulla connessione VPN, e che questa non venga utilizzata
per altri dati, come le app personali che il dipendente ha scaricato dall’App Store.
Per maggiori dettagli, vai al paragrafo “Per app VPN” di questo capitolo.
Protocolli e metodi di autenticazione supportati
VPN SSL. Supporta l’autenticazione utente tramite password, token a due fattori e certificati.
Cisco IPSec. Supporta l’autenticazione utente tramite password, token a due fattori
e l’autenticazione automatica mediante segreto condiviso e certificati.
L2TP su IPSec. Supporta l’autenticazione utente tramite password MS-CHAP v2,
token a due fattori e l’autenticazione automatica mediante segreto condiviso.
PPTP. Supporta l’autenticazione utente mediante password MS-CHAP v2 e token a due fattori.
Client VPN SSL
Diversi fornitori VPN SSL hanno creato app che aiutano a configurare i dispositivi
iOS per utilizzarli con le rispettive soluzioni. Per configurare un dispositivo per una soluzione specifica, scarica l’app abbinata e, se lo desideri, fornisci un profilo di configurazione con le impostazioni necessarie. Le soluzioni VPN SSL includono:
• VPN SSL Juniper Junos Pulse. iOS supporta i gateway VPN SSL Juniper Networks SA
Series versione 6.4 e successive con pacchetto IVE Juniper Networks versione 7.0 e
successive. Per configurare, installa l’app Junos Pulse, disponibile sull’App Store.
Per maggiori informazioni, consulta la nota di Juniper Networks. 7
Guida tecnica di riferimento per la distribuzione di iOS
• VPN SSL F5. iOS supporta le soluzioni VPN SSL F5 BIG-IP Edge Gateway, Access
Policy Manager e FirePass. Per configurare, installa l’app F5 BIG-IP Edge Client,
disponibile sull’App Store.
Per maggiori informazioni, consulta la panoramica tecnica di F5, Accesso sicuro
alle applicazioni web aziendali tramite iPhone.
• VPN SSL Aruba Networks. iOS supporta Aruba Networks Mobility Controller. Per configurare, installa l’app Aruba Networks VIA, disponibile sull’App Store.
Per i contatti, visita il sito web di Aruba Networks.
• VPN SSL SonicWALL. iOS supporta le apparecchiature SonicWALL Aventall E-Class
Secure Remote Access (SRA) con software 10.5.4 o successivo, SonicWALL SRA con
software 5.5 o successivo, e SonicWALL Next-Generation Firewall, tra cui i
dispositivi TZ, NSA e E-Class NSA con SonicOS 5.8.1.0 o successivo. Per configurare,
installa l’app SonicWALL Mobile Connect, disponibile sull’App Store.
Per i contatti, visita il sito web di SonicWALL.
• VPN SSL Check Point Mobile. iOS supporta Check Point Security Gateway con un tunnel VPN full Layer-3. Per configurare, installa l’app Check Point Mobile,
disponibile sull’App Store.
• VPN SSL OpenVPN. iOS supporta OpenVPN Access Server, Private Tunnel e OpenVPN Community. Per configurare, installa l’app OpenVPN Connect,
disponibile sull’App Store.
• VPN SSL Palo Alto Networks GlobalProtect. iOS supporta il gateway
GlobalProtect di Palo Alto Networks. Per configurare, installa l’app GlobalProtect
for iOS, disponibile sull’App Store
• VPN SSL Cisco AnyConnect. iOS supporta Cisco Adaptive Security Appliance
(ASA) immagine software 8.0(3).1 o successiva. Per configurare, installa l’app Junos
Cisco AnyConnect, disponibile sull’App Store.
Linee guida per la configurazione di una VPN
Linee guida per la configurazione di Cisco IPSec
Utilizza queste linee guida per configurare il server Cisco VPN per l’utilizzo con
dispositivi iOS. iOS supporta i prodotti Cisco ASA 5500 Security Appliances e PIX
Firewall configurati con il software 7.2.x o successivo. È consigliabile usare l’ultima
release del software (8.0.x o successiva). iOS supporta anche i router Cisco IOS VPN
con IOS versione 12.4(15)T o successiva. I concentratori serie VPN 3000 non
supportano le funzioni VPN di iOS.
Configurazione proxy
Per tutte le configurazioni è anche possibile specificare un proxy VPN. Per configurare
un solo proxy per tutte le connessioni, utilizza l’impostazione manuale e, se
necessario, fornisci i dati relativi a indirizzo, porta e autenticazione. Per fornire al
dispositivo un file di configurazione proxy automatico mediante PAC e WPAD, puoi
utilizzare l’impostazione automatica. Per PAC, indica l’URL del file corrispondente. Per WPAD, iOS ottiene le necessarie impostazioni dai server DHCP e DNS.
!
8
Guida tecnica di riferimento per la distribuzione di iOS
Metodi di autenticazione
iOS supporta i seguenti metodi di autenticazione:
• Autenticazione IPSec con chiave pre-condivisa con autenticazione utente via xauth.
• Certificati client e server per autenticazione IPSec con autenticazione utente
facoltativa via xauth.
• Autenticazione ibrida in cui il server fornisce un certificato e il client fornisce una
chiave pre-condivisa per l’autenticazione IPSec. L’autenticazione utente è richiesta
via xauth.
• L’autenticazione utente è effettuata via xauth e comprende i seguenti metodi di autenticazione:
– Nome utente con password
– RSA SecurID
– CRYPTOCard
Gruppi di autenticazione
Il protocollo Cisco Unity usa gruppi di autenticazione per riunire gli utenti in base a un set comune di parametri di autenticazione e altri criteri. Dovresti creare un
gruppo di autenticazione per gli utenti iOS. Per l’autenticazione mediante chiave pre-condivisa e ibrida, sul dispositivo occorre configurare il nome del gruppo con la relativa chiave pre-condivisa definita come password di gruppo.
L’autenticazione con certificato non richiede una chiave condivisa. Il gruppo
dell’utente viene stabilito in base ai campi presenti nel certificato. Puoi usare l
e impostazioni del server Cisco per mappare i campi di un certificato con i gruppi
di utenti.
RSA-Sig dovrebbe essere la massima priorità nell’elenco priorità ISAKMP.
Certificati
Durante la configurazione e l’installazione dei certificati, verifica quanto segue.
Il certificato di identità del server deve contenere il nome DNS e/o l’indirizzo IP nel campo del nome alternativo del soggetto (SubjectAltName). Il dispositivo usa
queste informazioni per verificare che il certificato appartenga al server. Per una
maggiore flessibilità, puoi specificare il valore SubjectAltName utilizzando i caratteri
jolly per la corrispondenza dei vari segmenti, per esempio vpn.*.miasocieta.com. Se non viene specificato il valore SubjectAltName, puoi inserire il nome DNS nel
campo del nome comune.
Sul dispositivo deve essere installato il certificato della CA che ha firmato il certificato del server. Se non si tratta di un certificato root, installa la parte
rimanente della catena di trust in modo da garantire l’attendibilità del certificato. Se usi certificati client, verifica che sul server VPN sia installato il certificato della CA attendibile che ha firmato il certificato del client. Quando usi l’autenticazione
con certificato, assicurati che il server sia configurato in modo da identificare il gruppo dell’utente in base ai campi presenti nel certificato del client.
I certificati e le autorità di certificazione devono essere validi (per esempio, non
scaduti). L’invio della catena di certificazione da parte del server non è supportato e andrebbe disattivato.
!
9
Guida tecnica di riferimento per la distribuzione di iOS
Impostazioni IPSec
Utilizza le seguenti impostazioni IPSec:
• Modalità. Modalità Tunnel.
• Modalità scambio IKE. Modalità Aggressive per l’autenticazione con chiave pre-condivisa e ibrida o modalità Main per l’autenticazione con certificato.
• Algoritmi di codifica. 3DES, AES-128, AES-256.
• Algoritmi di autenticazione. HMAC-MD5, HMAC-SHA1.
• Gruppi Diffie-Hellman. L’autenticazione con chiave pre-condivisa e ibrida richiede
il gruppo 2. Per l’autenticazione con certificato, usa il gruppo 2 con 3DES e
AES-128. Usa il gruppo 2 o 5 con AES-256.
• PFS (Perfect Forward Secrecy). Per IKE fase 2, se usi il PFS il gruppo Diffie-Hellman
deve essere lo stesso usato per IKE fase 1.
• Configurazione modalità. Attivata.
• Rilevamento dead peer. Consigliato.
• Attraversamento NAT standard. Supportato e attivabile, se necessario (IPSec su
TCP non supportato).
• Bilanciamento del carico. Supportato e attivabile.
• Re-key della fase 1. Attualmente non supportato. Consigliamo di impostare tempi
di re-key sul server a un’ora.
• Maschera indirizzo ASA. Verifica che tutte le maschere del pool di indirizzi non
siano impostate o siano impostate su 255.255.255.255. Per esempio: asa(configwebvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 maschera 255.255.255.255.
Se utilizzi la maschera indirizzo consigliata, alcuni percorsi adottati dalla
configurazione VPN potrebbero venire ignorati. Per evitarlo, assicurati che la tabella
di instradamento contenga tutti i percorsi necessari e verifica che gli indirizzi di
sottorete siano accessibili prima procedere alla distribuzione.
Altre funzioni supportate
• Versione app. La versione del software client viene inviata al server, per
consentire di accettare o respingere le connessioni in base alla versione software
del dispositivo.
• Banner. Se impostato sul server, il banner viene visualizzato sul dispositivo e l’utente deve accettarlo o disconnettersi.
• Split tunneling. Supportato.
• Split DNS. Supportato.
• Dominio predefinito. Supportato.
!
10
Guida tecnica di riferimento per la distribuzione di iOS
VPN su richiesta
“VPN su richiesta” consente ad iOS di stabilire automaticamente una connessione
sicura senza che l’utente faccia nulla. La connessione VPN viene avviata quando
necessario, in base alle regole definite da un profilo di configurazione.
In iOS 7, “VPN su richiesta” si configura usando la chiave OnDemandRules in un
payload VPN di un profilo di configurazione. Le regole vengono applicate in due
fasi.
• Fase di rilevamento della rete. Definisce i requisiti VPN applicati quando cambia
la connessione di rete primaria del dispositivo.
• Fase di valutazione della connessione. Definisce i requisiti VPN per le richieste di connessione a nomi dominio, quando necessarie.
Per esempio, le regole si possono usare per:
• riconoscere se un dispositivo iOS è connesso a una rete interna e non serve una VPN;
• riconoscere se si utilizza una rete Wi-Fi sconosciuta e serve una VPN per tutte le attività di rete;
• richiedere una VPN quando una richiesta DNS per un nome dominio specifico
non va a buon fine.
Fase di rilevamento della rete
Le regole per la VPN su richiesta vengono valutate quando cambia l’interfaccia di
rete primaria del dispositivo, come quando un dispositivo iOS si connette a una rete
Wi-Fi diversa, o passa dal Wi-Fi alla rete cellulare. Se l’interfaccia primaria è virtuale, come un’interfaccia VPN, le regole per la VPN su richiesta vengono ignorate.
Le regole di matching di ogni set (dizionario) devono tutte corrispondere affinché
l’azione a esse associata venga intrapresa; se una qualsiasi di queste regole non
corrisponde, la valutazione passa al dizionario successivo, e così via, finché l’array
OnDemandRules è esaurito.
L’ultimo dizionario dovrebbe definire una configurazione “di default”, cioè non
dovrebbe avere alcuna regola di matching, ma solo un’azione che catturerà tutte le connessioni che non corrispondevano alle regole precedenti.
Fase di valutazione della connessione
La VPN può essere attivata quando serve in base alle richieste di connessione ad alcuni domini, invece di collegarsi e scollegarsi alla VPN in base all’interfaccia di rete.
Regole di matching su richiesta
Specifica una o più delle seguenti regole di matching:
• InterfaceTypeMatch. Facoltativo. Un valore della stringa che rappresenta Wi-Fi o
cellulare. Se specificata, c’è il match quando l’interfaccia hardware primaria è del
tipo specificato.
• SSIDMatch. Facoltativo. Un array di SSID da confrontare con la rete attuale. Se la rete non è WI-Fi o se il suo SSID non appare nell’elenco, non ci sarà alcun
match. Per ignorare il SSID, ometti questa chiave e il suo array.
• DNSDomainMatch. Facoltativo. Un array di domini di ricerca sotto forma di
stringhe. Se il dominio di ricerca DNS configurato per la rete primaria attuale è incluso nell’array, ci sarà un match. È supportato il prefisso jolly (*), come in
*.esempio.com che corrisponde a qualsiasi.esempio.com.
!
11
Guida tecnica di riferimento per la distribuzione di iOS
• DNSServerAddressMatch. Facoltativo. Un array di indirizzi di server DNS sotto
forma di stringhe. Se l’array contiene tutti gli indirizzi di server DNS configurati al momento per l’interfaccia primaria, ci sarà un match. È supportato il carattere
jolly (*), per esempio 1.2.3.* corrisponde a qualsiasi server DNS con prefisso 1.2.3.
• URLStringProbe. Facoltativo. Un server per sondare la raggiungibilità. Il
reindirizzamento non è supportato. L’URL dovrebbe puntare a un server HTTPS
affidabile. Il dispositivo invia una richiesta GET per verificare che il server sia
raggiungibile.
Action
Questa chiave definisce il comportamento della VPN qualora tutte le regole di
matching specificate vengano valutate come vere. È una chiave obbligatoria, e i suoi valori sono:
• Connect. Avvia la connessione VPN in maniera incondizionata al tentativo
successivo di connettersi a una rete.
• Disconnect. Interrompe la connessione alla VPN e non avvia alcuna nuova
connessione su richiesta.
• Ignore. Mantiene le connessioni alla VPN esistenti, ma non avvia nuove
connessioni su richiesta.
• Allow. Per i dispositivi con iOS 6 o precedente. Vedi il paragrafo “Note sulla
compatibilità retroattiva”, più avanti in questa sezione.
• EvaluateConnection. Valuta gli ActionParameters per ogni tentativo di
connessione. Quando si utilizza, per specificare le regole di valutazione è richiesta
la chiave ActionParameters descritta di seguito.
ActionParameters
Un array di dizionari contenenti le chiavi descritte di seguito, valutati nell’ordine in cui si presentano. Obbligatoria quando il valore Action è EvaluateConnection.
• Domains. Obbligatorio. Un array di stringhe che definiscono i domini cui si
applica questa valutazione. Sono supportati i prefissi jolly, come in *.esempio.com.
• DomainAction. Obbligatorio. Definisce il comportamento della VPN per i domini.
Il valori per la chiave DomainAction sono:
– ConnectIfNeeded. Attiva la VPN se la risoluzione DNS per il dominio non va a
buon fine, per esempio quando il server DNS dice che non riesce a risolvere il
nome dominio, se la risposta DNS viene reindirizzata o se la connessione non
riesce o scade.
– NeverConnect. Non attiva alcuna VPN per i domini.
Quando DomainAction è ConnectIfNeeded, puoi anche specificare le seguenti
chiavi nel dizionario di valutazione della connessione.
• RequiredDNSServers. Facoltativo. Un array di indirizzi IP di server DNS da usare per risolvere i domini. Non è necessario che questi server facciano parte
della configurazione di rete attuale del dispositivo. Se non sono raggiungibili, la VPN non viene attivata. Configura un server DNS interno o un server DNS
esterno affidabile.
• RequiredURLStringProbe. Facoltativo. Un URL HTTP o HTTPS (preferibile) per il
probing tramite richiesta GET. Se la risoluzione DNS per questo server va a buon
fine, deve riuscire anche il probing. Se fallisce, viene attivata la VPN.
!
12
Guida tecnica di riferimento per la distribuzione di iOS
Note sulla compatibilità retroattiva
Prima di iOS 7, le regole che attivavano i domini venivano configurate tramite array
di domini chiamati OnDemandMatchDomainAlways, OnDemand
MatchDomainOnRetry e OnDemandMatchDomainNever. iOS 7 supporta ancora i casi OnRetry e Never, benché siano stati abbandonati a favore dell’azione
EvaluateConnection.
Per creare un profilo che funzioni sia con iOS 7 sia con le versioni precedenti, usa le
nuove chiavi EvaluateConnection in aggiunta agli array OnDemandMatchDomain. Le versioni precedenti di iOS che non riconoscono EvaluateConnection
utilizzeranno i vecchi array, mentre iOS 7 e le versioni successive useranno
EvaluateConnection.
I vecchi profili di configurazione che specificano l’azione Allow funzioneranno su
iOS 7, ad eccezione dei domini OnDemandMathcDomainsAlways.
Per App VPN
iOS 7 aggiunge la possibilità di stabilire connessioni VPN per le singole app. Questo
approccio consente di controllare accuratamente quali dati viaggiano sulla VPN e quali no. Con una connessione VPN per l’intero dispositivo, tutti i dati viaggiano
sulla rete privata indipendentemente dalla loro origine. Nelle aziende si usano
sempre più spesso i dispositivi personali, e “Per app VPN” offre una connessione in
rete protetta per le app interne, salvaguardando la privacy delle attività personali.
La funzione “Per app VPN” consente a ogni app gestita via MDM di comunicare con
la rete privata attraverso un tunnel sicuro, escludendo tutte le altre app non gestite
presenti sul dispositivo. Inoltre le app gestite possono essere configurate con
connessioni VPN diverse per un’ulteriore protezione dei dati. Per esempio, un’app
per i preventivi può utilizzare un centro dati completamente diverso da quello di
un’app per gli acquisti, mentre il traffico web dell’utente viaggia su una
connessione internet pubblica. La possibilità di separare il traffico a livello di app
permette di tenere divisi i dati personali da quelli di proprietà dell’azienda.
Per usare la funzione “Per app VPN”, l’app deve essere gestita via MDM e utilizzare le API di rete standard di iOS. La funzione si imposta con una configurazione MDM
che specifica le app e i domini di Safari cui è consentito l’utilizzo dei parametri. Per maggiori informazioni sulla MDM, vai al Capitolo 3: Configurazione e gestione.
Single Sign-On (SSO)
Con iOS 7, le app possono sfruttare l’infrastruttura Single Sign-On in-house già
esistente tramite Kerberos. Il Single Sign-On può migliorare l’esperienza utente
richiedendo di inserire la password soltanto una volta. Migliora anche la sicurezza
dell’utilizzo quotidiano delle app impedendo che le password vengano trasmesse over-the-air.
Il sistema di autenticazione Kerberos usato da iOS è una tecnologia Single Sign-On
standard di settore, la più diffusa nel mondo. Se hai Active Directory, eDirectory o
OpenDirectory, probabilmente hai già un sistema Kerberos che iOS può utilizzare.
Per autenticare gli utenti, i dispositivi iOS devono poter contattare il servizio
Kerberos attraverso una connessione di rete.
!
13
Guida tecnica di riferimento per la distribuzione di iOS
App supportate
iOS offre un supporto flessibile per il Single Sign-On (SSO) con Kerberos per tutte le app che utilizzano la classe NSURLConnection o NSURLSession per gestire le
connessioni di rete e l’autenticazione. Apple mette a disposizione di tutti gli
sviluppatori queste strutture di alto livello per consentire loro di integrare
perfettamente le connessioni di rete nelle loro app. Inoltre, Safari è un ottimo
esempio di utilizzo nativo dei siti web abilitati per il Single Sign-On.
Configurare il Single Sign-On
Il Single Sign-On si configura attraverso profili di configurazione installati
manualmente o gestiti via MDM. Il payload account SSO permette una
configurazione flessibile. SSO può essere aperto a tutte le app o limitato
dall’identificatore dell’app, l’URL del servizio o entrambi.
Per il matching degli URL viene utilizzato un pattern di corrispondenza semplice e gli URL devono cominciare con http:// o https://. L’intero URL deve corrispondere,
quindi assicurati che siano perfettamente uguali. Per esemoio, un valore
URLPrefixMatches di https://www.esempio.com/ non corrisponderà a https://
www.esempio.com:443/. Puoi specificare http:// o https:// per limitare l’uso del SSO
ai servizi HTTP protetti o normali. Per esempio, utilizzando un valore
URLPrefixMatches https:// si consente l’uso dell’account SSO solo con servizi HTTPS
protetti. Se il pattern di corrispondenza di un URL non finisce con uno slash (/), ne
viene aggiunto uno.
L’array AppIdentifierMatches deve contenere stringhe che corrispondano agli ID bundle dell’app. Queste stringhe devono essere match perfetti
(com.miaazienda.miaapp, per esempio) oppure possono specificare un match del
prefisso sull’ID bundle utilizzando il carattere jolly (*). Il carattere jolly deve essere
preceduto da un punto (.) e comparire alla fine della stringa (per esempio,
com.miaazienda.*). Quando c’è un carattere jolly, tutte le app il cui l’ID bundle inizia con il prefisso possono accedere all’account.
Certificati digitali
Sono una forma di identificazione che semplifica l’autenticazione e garantisce l’integrità e la sicurezza dei dati. Un certificato digitale è costituito da una chiave pubblica e da altre informazioni sull’utente e sull’autorità che ha emesso il certificato stesso. iOS supporta i certificati digitali e offre così alle
imprese un accesso semplice e sicuro ai servizi aziendali.
I certificati si possono usare in vari modi. Firmare i dati con un certificato digitale
assicura che le informazioni non vengano alterate. I certificati si possono usare
anche per garantire l’identità dell’autore o del “firmatario”, oppure per criptare i profili di configurazione e le comunicazioni di rete, consentendo un’ulteriore
protezione delle informazioni riservate o private.
Per esempio, il browser Safari è in grado di verificare la validità del certificato
digitale X.509 e di impostare una sessione sicura con codifica AES fino a 256 bit. Ciò verifica che l’identità del sito sia legittima e che la comunicazione sia protetta
per impedire l’intercettazione di dati riservati o personali.
!
14
Guida tecnica di riferimento per la distribuzione di iOS
Formati di certificati e identità supportati
• iOS supporta i certificati X.509 con chiavi RSA.
• Sono riconosciute le estensioni .cer, .crt, .der, .p12 e .pfx.
Utilizzo dei certificati in iOS
Certificati root
iOS comprende già una serie di certificati root preinstallati. Per maggiori
informazioni, consulta l’elenco in questo articolo del supporto Apple.
Se un certificato root preinstallato viene compromesso, iOS può aggiornarlo in
wireless. Per disattivare questa funzione, esiste una restrizione che impedisce gli
aggiornamenti over-the-air dei certificati. Se utilizzi un certificato root non
preinstallato, come un certificato root autofirmato creato dalla tua azienda, puoi
distribuirlo utilizzando uno dei metodi elencati di seguito.
Distribuzione e installazione dei certificati
Distribuire certificati ai dispositivi iOS è semplice. Ogni volta che si riceve un
certificato, basta un tap per esaminarne i contenuti e un altro per aggiungerlo al dispositivo. Quando si installa un certificato di identità, all’utente viene chiesto di inserire la password che lo protegge. Se è impossibile verificare l’autenticità di un certificato, verrà indicato come non attendibile e l’utente potrà decidere se aggiungerlo o meno al dispositivo.
Installazione dei certificati con un profilo di configurazione
Se usi profili di configurazione per distribuire le impostazioni di servizi aziendali come Exchange, VPN o Wi-Fi, puoi aggiungere i certificati al profilo per
ottimizzarne la distribuzione. I certificati si possono distribuire anche via MDM.
Installazione dei certificati via Mail o Safari
Se un certificato viene inviato in un’email, verrà visualizzato come allegato. È anche
possibile usare Safari per scaricare i certificati da una pagina web. Puoi ospitare il
certificato su un sito web protetto e fornire agli utenti l’URL da cui scaricarlo sui
loro dispositivi.
Rimozione e revoca dei certificati
Per rimuovere manualmente un certificato installato, scegli Impostazioni > Generali
> Profili e scegli il certificato da rimuovere. Se un utente rimuove un certificato che
è necessario per accedere a un account o a una rete, il dispositivo non potrà
collegarsi a questi servizi.
Un server MDM è in grado di visualizzare tutti i certificati presenti sul dispositivo e di rimuovere quelli che ha installato.
Inoltre sono supportati i protocolli OCSP (Online Certificate Status Protocol) e CRL
(Certificate Revocation List) per controllare lo stato dei certificati. Quando si utilizza
un certificato abilitato per OCSP o CRL, iOS lo convalida periodicamente per
verificare che non sia stato revocato.
Bonjour
Bonjour è il protocollo di rete Apple basato su standard che consente ai dispositivi
di rilevare i servizi di rete senza bisogno di configurazioni. I dispositivi iOS usano
Bonjour per trovare le stampanti compatibili con AirPrint e i dispositivi compatibili
con AirPlay, per esempio una Apple TV. Anche alcune app peer-to-peer richiedono
Bonjour. Devi accertarti che la tua infrastruttura di rete e Bonjour siano configurati
correttamente per funzionare insieme.
I dispositivi con iOS 7.1 useranno il Bluetooth per trovare fonti AirPlay. Una volta
trovata una Apple TV compatibile, i dati AirPlay vengono trasmessi sulla rete Wi-Fi.
Per consentire il rilevamento tramite Bluetooth è richiesta una Apple TV 6.1 (o
successive); il dispositivo iOS e la Apple TV devono essere collegate alla stessa
sottorete per riprodurre o effettuare il mirroring dei contenuti.
Per maggiori informazioni su Bonjour, consulta questa pagina del sito Apple. !
15
Guida tecnica di riferimento per la distribuzione di iOS
Capitolo 2: Sicurezza
!
iOS è progettato per offrire vari livelli di sicurezza. I dispositivi iOS possono quindi accedere in modo sicuro ai servizi di rete e proteggere i dati importanti. iOS fornisce una crittografia forte per i dati in trasmissione, metodi di autenticazione
collaudati per accedere ai servizi aziendali e crittografia hardware per tutti i dati
archiviati. Le funzioni di sicurezza di iOS prevedono anche l’uso di criteri relativi ai codici d’accesso che si possono distribuire e imporre in wireless. Inoltre, se il dispositivo finisce nelle mani sbagliate, gli utenti e gli amministratori IT possono avviare operazioni di cancellazione a distanza per eliminare tutte le informazioni private.
Quando si prende in considerazione la sicurezza di iOS per uso aziendale, è utile
comprendere i seguenti argomenti.
• Controlli del dispositivo: metodi che impediscono l’utilizzo non autorizzato del dispositivo.
• Crittografia e protezione dei dati: protezione dei dati a riposo, anche quando un dispositivo viene perso o rubato.
• Sicurezza della rete: protocolli di rete e crittografia dei dati che vengono
trasmessi.
• Sicurezza delle app: le app vengono eseguite in sicurezza e senza
compromettere l’integrità della piattaforma.
• Servizi internet: infrastruttura Apple basata sulla rete per messaggi,
sincronizzazione e backup.
Sono supportati i seguenti criteri relativi al codice di accesso
• Richiedi l’utilizzo di un codice di accesso
• Richiedi un valore alfanumerico
• Lunghezza minima del codice
• Numero minimo di caratteri
complessi
• Tempo massimo di validità del codice
• Intervallo di tempo prima del blocco automatico
• Cronologia dei codici
• Intervallo per il blocco del dispositivo
• Numero massimo di tentativi falliti
Queste funzioni operano in sinergia per creare una piattaforma mobile
estremamente sicura.
Sicurezza del dispositivo
Stabilire criteri sicuri per accedere ai dispositivi iOS è fondamentale per la
protezione delle informazioni aziendali. L’imposizione di un codice d’accesso è la prima difesa contro gli accessi non autorizzati e può essere configurata e
imposta over-the-air. I dispositivi iOS utilizzano un codice di accesso univoco
stabilito da ogni utente per generare una chiave di codifica sofisticata che aumenta
la protezione della posta e dei dati delle applicazioni sul dispositivo. Inoltre iOS offre metodi sicuri per configurare il dispositivo in un ambiente IT che richiede
impostazioni, criteri e restrizioni specifici. Questi metodi offrono opzioni flessibili
per stabilire un livello di protezione standard per gli utenti autorizzati.
Criteri per codici di accesso
Il codice di accesso impedisce agli utenti non autorizzati di utilizzare il dispositivo o di accedere ai dati archiviati al suo interno. iOS ti consente di scegliere fra
un’ampia gamma di requisiti per il codice d’accesso in base alle tue esigenze di
sicurezza, tra cui periodo di timeout, sicurezza del codice e frequenza con cui è necessario modificarlo.
!
16
Guida tecnica di riferimento per la distribuzione di iOS
Imposizione dei criteri
I criteri si possono distribuire come parte di un profilo di configurazione che
l’utente deve installare. È possibile impostare il profilo in modo che possa essere
cancellato esclusivamente fornendo una password amministrativa, oppure
bloccarlo e impedirne la rimozione senza la parallela cancellazione di tutti i
contenuti del dispositivo. Inoltre i criteri si possono configurare in remoto
utilizzando soluzioni MDM in grado di trasmetterli direttamente al dispositivo.
Questo consente di imporre e aggiornare i criteri senza alcuna operazione da parte
dell’utente.
Se il dispositivo è configurato in modo da accedere a un account Microsoft
Exchange, i criteri di Exchange ActiveSync vengono inviati over-the-air. I criteri
disponibili variano in base alla versione di Exchange ActiveSync e Exchange Server.
Qualora esista sia un criterio Exchange sia un criterio MDM, verrà applicato quello
più rigido.
Configurazione sicura del dispositivo
I profili di configurazione sono file XML che contengono criteri di sicurezza e
restrizioni, informazioni sulla configurazione VPN, impostazioni Wi-Fi, account email e calendari, e credenziali di autenticazione che consentono ai dispositivi iOS di funzionare con i tuoi sistemi IT. La possibilità di fissare in un profilo di
configurazione sia i criteri del codice d’accesso sia le impostazioni del dispositivo
garantisce che i dispositivi dell’azienda siano configurati correttamente e secondo
gli standard di sicurezza stabiliti dal tuo reparto IT. Poiché i profili di configurazione
possono essere criptati e bloccati, le impostazioni non possono essere eliminate,
modificate o condivise con altri.
I profili di configurazione possono essere sia firmati sia criptati. Con la firma si
garantisce che i parametri imposti dal profilo di configurazione non possano essere
modificati in alcun modo. La crittografia, invece, protegge i contenuti del profilo e
consente l’installazione solo sul dispositivo per il quale è stato creato. I profili di
configurazione vengono criptati con CMS (Cryptographic Message Syntax, RFC
3852), che supporta 3DES e AES 128.
Per distribuire per la prima volta i profili di configurazione criptati, puoi installarli via USB con Apple Configurator, in wireless tramite il protocollo di distribuzione e
configurazione dei profili over-the-air, oppure via MDM. Successivamente i profili di
configurazione criptati possono essere distribuiti allegandoli a un’email, ospitandoli
su un sito web accessibile agli utenti o trasferendoli sui dispositivi attraverso
soluzioni MDM.
Per maggiori informazioni, leggi il documento Protocollo per la distribuzione e la
configurazione dei profili over-the-air sul sito della iOS Developer Library.
Restrizioni del dispositivo
Le restrizioni del dispositivo determinano quali sue funzioni possono essere
utilizzate dagli utenti. Riguardano in particolare applicazioni che prevedono
l’accesso alla rete, come Safari, YouTube o iTunes Store, ma possono anche
controllare operazioni come l’installazione di app o l’uso della videocamera. Le restrizioni ti permettono di configurare il dispositivo in base alle tue esigenze e di consentire agli utenti di utilizzarlo in modo coerente con le policy della tua
organizzazione. Puoi impostarle manualmente su ciascun dispositivo, imporle con
un profilo di configurazione o definirle in remoto con una soluzione MDM. Inoltre,
come per i criteri dei codici di accesso, le restrizioni relative alla videocamera e alla
navigazione web possono essere imposte over-the-air tramite Microsoft Exchange
Server 2007 e 2010. Le restrizioni consentono anche di impedire lo spostamento
delle email da un account all’altro, o l’inoltro di un messaggio da un account
diverso da quello di ricezione.
Vai all’Appendice B per saperne di più sulle restrizioni supportate.
17
Guida tecnica di riferimento per la distribuzione di iOS
Crittografia e protezione dei dati
La protezione dei dati archiviati sui dispositivi iOS è importante per qualsiasi
ambiente che disponga di informazioni riservate. Oltre a criptare i dati in
trasmissione, i dispositivi iOS forniscono la crittografia hardware per i dati archiviati nel dispositivo, inoltre salvaguardano email e dati delle applicazioni con un ulteriore livello di protezione.
Crittografia
I dispositivi iOS usano una crittografia basata su hardware che adotta lo standard
AES a 256 bit per proteggere tutti i dati sul dispositivo. La crittografia è sempre
attiva e non può essere disabilitata. È inoltre possibile criptare i dati contenuti nei
backup di iTunes sul computer dell’utente. Questa funzione può essere attivata
dall’utente oppure applicata tramite le impostazioni di restrizione dei profili di
configurazione. iOS supporta lo standard S/MIME nelle email, consentendo agli
utenti di visualizzare e inviare messaggi di posta criptati.
I moduli crittografici di iOS 7 e iOS 6 sono convalidati per la compatibilità con gli
standard statunitensi FIPS (Federal Information Processing Standard) 140-2 Livello 1.
In questo modo, viene convalidata l’integrità delle operazioni di crittografia nelle
app di Apple e nelle app di altri sviluppatori che utilizzano correttamente i servizi
crittografici di iOS.
Per maggiori informazioni, leggi gli articoli Sicurezza dei prodotti iOS: convalide e
linee guida e iOS 7: moduli crittografici Apple 4.0 convalidati FIPS.
Protezione dei dati
I messaggi email e gli allegati archiviati sul dispositivo possono essere
ulteriormente protetti grazie alle funzioni di protezione dei dati integrate in iOS. La
protezione dei dati sfrutta il codice di accesso univoco dell’utente unitamente alla
crittografia hardware dei dispositivi iOS per generare una chiave di codifica forte,
che impedisce l’accesso ai dati quando il dispositivo è bloccato. In questo modo le
informazioni più importanti sono al sicuro anche se il dispositivo viene
compromesso.
Per attivare la protezione dei dati è sufficiente definire un codice d’accesso. Poiché l’efficacia di questa funzione dipende dall’efficacia del codice di accesso, è importante che i criteri richiedano e impongano l’utilizzo di codici formati da più
di quattro caratteri. Gli utenti possono verificare se la protezione dei dati è attiva
osservando la schermata delle impostazioni del codice d’accesso, mentre le
soluzioni MDM possono ottenere questa informazione interrogando l dispositivo.
Le API di protezione dei dati sono a disposizione degli sviluppatori, che possono
usarle per tutelare i dati delle app dell’App Store o di quelle in-house create
dall’azienda. Con iOS 7, i dati archiviati dalle applicazioni si trovano di default nella
classe “Protetto fino a prima autenticazione”, che è simile alla crittografia dell’intero
disco sui computer desktop e protegge i dati da attacchi che prevedono un riavvio.
N.B. Se un dispositivo è stato aggiornato da iOS 6, gli archivi di dati esistenti non
vengono convertiti alla nuova classe. Per far sì che l’app riceva la nuova classe di
protezione, occorre rimuoverla e installarla di nuovo.
Touch ID
Touch ID è il sistema di rilevamento di impronte digitali integrato in iPhone 5s che
permette di accedere al dispositivo in tutta sicurezza e in modo semplice e veloce.
Questa tecnologia all’avanguardia legge le impronte digitali da qualsiasi
angolazione, e nel tempo impara a conoscerle sempre meglio: il sensore continua
ad ampliare la mappa dell’impronta perché a ogni utilizzo vengono individuati
nuovi nodi corrispondenti.
!
18
Guida tecnica di riferimento per la distribuzione di iOS
Con Touch ID, usare un codice di accesso più lungo e complesso diventa più semplice
perché non dovrai inserirlo spesso. Touch ID elimina anche la scomodità del blocco
con codice, non sostituendolo ma piuttosto permettendo di accedere in sicurezza al
dispositivo anche quando occorre farlo in fretta e senza dover riflettere troppo.
Quando Touch ID è attivo, l’iPhone 5s si blocca non appena si preme il tasto Standby/
Riattiva. Quando utilizzano il solo codice di accesso, molti utenti impostano un tempo
di sblocco durante il quale potranno usare il dispositivo senza dover inserire ogni
volta il codice. Con Touch ID l’iPhone 5s si blocca ogni volta che va in standby, e per
riattivarlo serve un’impronta digitale o un codice di accesso, se impostato.
Touch ID funziona insieme a Secure Enclave, un coprocessore inserito nel chip A7 di Apple. Secure Enclave ha una sua memoria protetta e crittografata e comunica in modo sicuro con il sensore Touch ID. Quando l’iPhone 5s si blocca, le chiavi
Complete per la classe Data Protection sono protette da una chiave conservata
nella memoria crittografata del Secure Enclave. La chiave viene conservata per un
massimo di 48 ore ed eliminata se si riavvia l’iPhone 5s o se si utilizza un’impronta
digitale sconosciuta per cinque volte. Se l’impronta viene riconosciuta, il Secure
Enclave fornisce la chiave per aprire le chiavi Data Protection e il dispositivo viene sbloccato.
Cancellazione a distanza
iOS supporta la cancellazione a distanza. In caso di smarrimento o furto,
l’amministratore o il proprietario del dispositivo può usare un comando che
cancella tutti i dati al suo interno e lo disattiva. Se il dispositivo è configurato con un account Exchange, si può avviare la cancellazione a distanza da Exchange
Management Console (Exchange Server 2007) o Exchange ActiveSync Mobile
Administration Web Tool (Exchange Server 2003 o 2007). Gli utenti di Exchange
Server 2007 possono inviare il comando di cancellazione a distanza usando
Outlook Web Access. In più, le soluzioni MDM e la funzione Trova il mio iPhone di
iCloud possono avviare la cancellazione remota anche nel caso in cui non vengano
utilizzati i servizi aziendali Exchange.
Cancellazione locale
I dispositivi possono anche essere configurati in modo da avviare automaticamente
una cancellazione in locale dopo un certo numero di tentativi falliti di inserimento
del codice di accesso. È un deterrente fondamentale contro i tentativi di accedere al dispositivo con la forza. Una volta stabilito il codice di accesso, gli utenti possono
attivare la cancellazione locale direttamente dalle impostazioni. Per impostazione
predefinita, iOS cancella automaticamente i dati dopo 10 tentativi di inserimento
falliti. Come per gli altri criteri relativi al codice di accesso, il numero massimo di
tentativi falliti può essere imposto con un profilo di configurazione, tramite un
server MDM oppure over-the-air tramite i criteri di Microsoft Exchange ActiveSync.
Trova il mio iPhone e Blocco attivazione
Se un dispositivo viene perso o rubato, è importante disattivarlo e cancellare tutti i
suoi dati. Con iOS 7, quando Trova il mio iPhone è attivo, il dispositivo può essere
riattivato solo inserendo le credenziali dell’Apple ID del proprietario. È buona
norma supervisionare i dispositivi di proprietà dell’azienda o implementare criteri
che consentano agli utenti di disattivare la funzione in modo che Trova il mio
iPhone non impedisca all’azienda di assegnare il dispositivo a un’altra persona.
In iOS 7.1 o versioni più recenti è possibile usare una soluzione per la gestione dei
dispositivi mobili compatibile per abilitare Blocco attivazione quando un utente
attiva Trova il mio iPhone. La soluzione per la gestione dei dispositivi mobili può
archiviare un codice bypass quando Blocco attivazione è abilitato e in seguito usare
questo codice per cancellare automaticamente Blocco attivazione quando devi
inizializzare il dispositivo e distribuirlo a un nuovo utente. Per i dettagli fai
riferimento alla documentazione relativa alla soluzione per la gestione dei
dispositivi mobili.
19
Guida tecnica di riferimento per la distribuzione di iOS
Sicurezza della rete
• Protocolli Cisco IPSec, L2TP, VPN PPTP integrati
• VPN SSL con applicazioni dall’App Store
• SSL/TLS con certificati X.509
• WPA/WPA2 Enterprise con 802.1X
• Autenticazione basata su certificati
• RSA SecurID, CRYPTOCard
Protocolli VPN
• Cisco IPSec
• L2TP/IPSec
• PPTP
• VPN SSL
Metodi di autenticazione
• Password (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• Certificati digitali X.509
• Segreto condiviso
Protocolli di autenticazione 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Formati dei certificati supportati
iOS supporta i certificati X.509 con chiavi RSA. Sono riconosciute le
estensioni .cer, .crt e .der.
Per ulteriori informazioni su Trova il mio iPhone e Blocco attivazione, consulta le
pagine iCloud: Blocco attivazione di Trova il mio iPhone in iOS 7e iOS 7: Gestione
dei dispositivi mobili e Blocco attivazione di Trova il mio iPhone.
Sicurezza della rete
Gli utenti di dispositivi mobili devono poter accedere a reti di informazioni
aziendali da qualsiasi parte del mondo, tuttavia è importante anche assicurarsi che gli utenti siano autorizzati e che i loro dati siano protetti nel corso della
trasmissione. iOS fornisce tecnologie collaudate per raggiungere questi obiettivi di sicurezza sia per le connessioni a reti Wi-Fi sia per le connessioni a reti cellulari.
Oltre alla tua infrastruttura esistente, ogni sessione FaceTime e conversazione
iMessage viene criptata dall’inizio alla fine. iOS crea un ID univoco per ciascun
utente, garantendo che le comunicazioni siano criptate, instradate e connesse
adeguatamente.
VPN
Molti ambienti aziendali dispongono di alcune forme di Network privati virtuali
(VPN, Virtual Private Network). Questi servizi di rete sicuri sono già in uso e di solito
richiedono impostazioni e configurazioni minime per funzionare con iOS. iOS si
integra fin da subito con un’ampia gamma di tecnologie VPN. Per maggiori dettagli,
vai al paragrafo “Virtual Private Network” del Capitolo 1.
SSL/TLS
iOS supporta SSL v3 e Transport Layer Security (TLS v1.0, 1.1 e 1.2). Safari, Calendario,
Mail e altre applicazioni internet avviano automaticamente questi meccanismi per
instaurare un canale di comunicazione criptato tra iOS e i servizi aziendali.
WPA/WPA2
iOS supporta WPA2 Enterprise per fornire un accesso autenticato alla rete wireless
della tua azienda. WPA2 Enterprise utilizza la crittografia AES a 128 bit, dando agli
utenti la massima sicurezza che i loro dati rimarranno protetti quando inviano e
ricevono comunicazioni su una rete Wi-Fi. Grazie al supporto di 802.1X, iPhone e
iPad possono essere integrati in un’ampia gamma di ambienti di autenticazione
RADIUS.
Sicurezza delle app
iOS è una piattaforma fondata sulla sicurezza. La protezione runtime delle
applicazioni segue l’approccio “Sandbox” e richiede la firma delle app per garantire che non vengano alterate. iOS è anche dotato di un framework sicuro per
memorizzare le credenziali di accesso alle applicazioni e alla rete in una posizione
di archiviazione criptata chiamata portachiavi. Inoltre iOS offre agli sviluppatori
un’architettura Common Crypto per criptare i dati archiviati dalle app.
Protezione runtime
Le app sul dispositivo sono “sandboxed” per limitare l’accesso ai dati archiviati da
altre applicazioni. Inoltre i file, le risorse e il kernel del sistema sono protetti dallo
spazio in cui sono attive le applicazioni dell’utente. Se un’app richiede l’accesso ai
dati di un’altra app, può farlo solo tramite le API e i servizi forniti da iOS. Viene
impedita anche la generazione di codice.
Firma obbligatoria del codice
Tutte le app iOS devono essere firmate. Le app fornite con il dispositivo sono
firmate da Apple, quelle di altri produttori sono firmate dallo sviluppatore tramite
un certificato emesso da Apple. Questo garantisce che le app non siano state
manomesse o alterate. In più vengono effettuati controlli runtime per garantire che
un’applicazione non sia divenuta inattendibile dall’ultima volta in cui è stata usata.
20
Guida tecnica di riferimento per la distribuzione di iOS
L’uso di app aziendali in-house personalizzate può essere regolato con un profilo di fornitura: per eseguire l’applicazione, gli utenti devono avere installato tale profilo. I profili si possono installare o revocare over-the-air per mezzo di soluzioni MDM.
Gli amministratori possono anche limitare l’uso di un’applicazione a specifici
dispositivi.
Framework di autenticazione sicuro
iOS fornisce un portachiavi sicuro e criptato per l’archiviazione di identità digitali,
nomi utenti e password. I dati del portachiavi si trovano in una partizione separata
in modo che le credenziali memorizzate dalle app di altri produttori non siano
accessibili da app con un’identità diversa. Con questo meccanismo si proteggono le credenziali di autenticazione memorizzate sui dispositivi iOS per una gamma di applicazioni e servizi all’interno di un’organizzazione.
Architettura Common Crypto
Gli sviluppatori hanno accesso ad API di crittografia per proteggere ulteriormente i dati delle loro applicazioni. I dati possono essere criptati simmetricamente tramite
metodi collaudati come AES, RC4 o 3DES. Inoltre i dispositivi iOS forniscono
l’accelerazione hardware per la crittografia AES e l’hashing SHA1, che massimizza le prestazioni dell’applicazione.
Protezione dei dati delle applicazioni
Le app possono sfruttare anche la crittografia hardware integrata dei dispositivi iOS per proteggere ancora di più i dati sensibili. Gli sviluppatori possono definire file specifici da proteggere: quando il dispositivo è bloccato, il sistema cripta i contenuti dei file rendendoli inaccessibili sia all’app sia a potenziali intrusi.
Autorizzazioni delle app
Di default, le app iOS hanno privilegi molto limitati. Gli sviluppatori devono
aggiungere esplicitamente le autorizzazioni per utilizzare la maggior parte delle
funzioni, come iCloud, elaborazione in background e portachiavi condivisi. In questo
modo le app non possono accedere a dati che non le riguardano. Inoltre, le app iOS
devono ottenere il permesso esplicito dell’utente anche per usare molte delle
funzioni di iOS, come localizzazione GPS, contatti, fotocamera e foto archiviate.
Servizi internet
iMessage, FaceTime, Siri, iCloud, Backup di iCloud e Portachiavi iCloud sono alcuni
dei servizi affidabili creati da Apple per aiutare gli utenti a ottenere il massimo dai
propri dispositivi.
Questi servizi internet sono stati sviluppati con gli stessi obiettivi di sicurezza che
caratterizzano l’intera piattaforma iOS: gestione sicura dei dati archiviati sul
dispositivo o in transito su reti wireless, protezione delle informazioni personali dell’utente e protezione contro l’accesso doloso o non autorizzato a informazioni e
servizi. Ogni servizio utilizza una propria, potente architettura di sicurezza senza
compromettere la facilità d’uso complessiva di iOS.
iMessage
iMessage1 è un servizio di messaggistica per i dispositivi iOS e i computer Mac che
supporta testo e allegati come foto, contatti e posizioni. I messaggi appaiono su
tutti i dispositivi registrati dell’utente, così la conversazione può proseguire su
ognuno di essi. iMessage fa un uso massiccio del servizio di notifiche push di Apple
(APNs), e sfrutta la crittografia end-to-end che utilizza chiavi conosciute solo dal
dispositivo mittente e dal ricevente. Apple non può decriptare i messaggi, che non
vengono registrati.
!
21
Guida tecnica di riferimento per la distribuzione di iOS
FaceTime
FaceTime2 è il servizio Apple per le chiamate audio e video. Le chiamate FaceTime si servono del servizio di notifiche push di Apple per stabilire una connessione
iniziale, dopodiché utilizzano i protocolli ICE (Internet Connectivity Establishment) e SIP (Session Initiation Protocol) per creare uno stream criptato.
Siri
Basta parlare normalmente per chiedere a Siri3 di inviare messaggi, organizzare
riunioni, telefonare e molto altro. Siri usa il riconoscimento vocale, la sintesi vocale e un modello client-server per rispondere alle richieste più disparate. Le attività
supportate da Siri sono progettate per far sì che le informazioni personali vengano
utilizzate in misura minima e siano totalmente protette. Le richieste a Siri e le
registrazioni vocali non sono identificate in modo personale e, quando possibile, le funzioni di Siri sono eseguite sul dispositivo invece che sul server.
iCloud
iCloud4 archivia musica, foto, app, calendari, documenti e molto altro, e grazie alla
tecnologia push li invia in automatico a tutti i dispositivi dell’utente. Può anche fare
backup quotidiani in Wi-Fi di varie informazioni, tra cui impostazioni del dispositivo,
dati delle app, messaggi di testo e MMS. iCloud protegge i contenuti criptandoli
durante la trasmissione via internet, archiviandoli in formato criptato, e utilizzando
token sicuri per l’autenticazione. Inoltre le funzioni di iCloud, come Streaming foto, Documenti e dati e Backup, possono essere disattivate tramite un profilo di
configurazione. Per maggiori informazioni sulla sicurezza e la privacy in iCloud,
leggi l’articolo Panoramica sulla sicurezza e sulla privacy in iCloud.
Backup di iCloud
iCloud effettua quotidianamente il backup via Wi-Fi di varie informazioni, fra cui impostazioni del dispositivo, dati delle app, messaggi di testo e MMS. iCloud
protegge i contenuti mediante crittografia quando vengono inviati tramite internet, li memorizza in un formato crittografato e utilizza token protetti per l’autenticazione.
Backup di iCloud funziona solo quando il dispositivo è bloccato, collegato a una fonte
di alimentazione e connesso a internet in Wi-Fi. Vista la crittografia utilizzata in iOS, il
sistema è pensato per tenere i dati al sicuro e, nel contempo, permettere di eseguire
backup e ripristino incrementali e non sorvegliati.
Portachiavi iCloud
Portachiavi iCloud consente agli utenti di sincronizzare in sicurezza le proprie
password su dispositivi iOS e computer Mac, senza che Apple abbia accesso a queste
informazioni. Oltre alla volontà di garantire la sicurezza e tutelare al massimo la
privacy, nel progettare questa funzione si è voluto puntare sulla facilità d’uso e sulla
possibilità di ripristinare un portachiavi. Portachiavi iCloud include due servizi:
sincronizzazione e ripristino del portachiavi. I dispositivi possono partecipare alla
sincronizzazione solo con il consenso dell’utente, e ogni elemento del portachiavi che
può essere sincronizzato viene scambiato con la crittografia per singolo dispositivo
attraverso l’archivio key-value di iCloud. Si tratta di elementi effimeri che una volta
sincronizzati scompaiono da iCloud. Con il ripristino del portachiavi gli utenti possono
affidare il proprio portachiavi a Apple, che non avrà modo di leggere le password e gli
altri dati al suo interno. Anche se l’utente ha un solo dispositivo, il ripristino del
portachiavi funge da rete di sicurezza contro la perdita dei dati. Ciò è particolarmente
importante quando Safari viene utilizzato per generare password complesse casuali
per gli account web, perché l’unica traccia di quelle password è nel portachiavi. Fra gli
aspetti fondamentali del ripristino del portachiavi ci sono l’autenticazione secondaria
e un servizio di escrow sicuro creato appositamente da Apple per supportare questa
funzione. Il portachiavi dell’utente viene crittografato usando un codice complesso e
il servizio di escrow fornirà una copia del portachiavi solo se vengono rispettate una
serie di condizioni molto rigide.
Puoi trovare maggiori dettagli sulla sicurezza nella iOS Security Guide.
22
Guida tecnica di riferimento per la distribuzione di iOS
Capitolo 3: Configurazione e gestione
Le distribuzioni di iOS possono essere snellite adottando alcune tecniche di
gestione che semplificano l’impostazione di account, la configurazione di criteri
istituzionali, la distribuzione di app e l’applicazione di restrizioni. La funzione
Impostazione assistita, integrata in iOS, permette agli utenti di occuparsi del grosso della configurazione. E una volta configurati e registrati i dispositivi iOS per la gestione MDM, il reparto IT potrà gestirli in wireless.
Questo capitolo descrive come usare i profili di configurazione e la gestione MDM
per agevolare la tua distribuzione di iOS.
Setup e attivazione del dispositivo
Con Impostazione assistita, di serie in iOS, gli utenti possono attivare il dispositivo,
configurare le impostazioni di base e mettersi subito al lavoro. Oltre alle
impostazioni di base, gli utenti possono personalizzare alcune preferenze come
lingua, posizione, Siri, iCloud e Trova il mio iPhone. Inoltre, se l’utente non ha un
Apple ID, Impostazione assistita gli consente di crearne uno.
Apple ID
Un Apple ID è un’identità utilizzata per accedere a vari servizi Apple, come
FaceTime, iMessage, iTunes, App Store, iCloud e iBooks Store. Con un Apple ID gli
utenti possono installare app, libri e contenuti da iTunes Store, App Store e iBooks
Store. Inoltre, l’Apple ID consente di creare un account iCloud da utilizzare per
accedere ai contenuti archiviati su più dispositivi e per condividerli.
Per usare al meglio questi servizi, gli utenti dovrebbero utilizzare il proprio Apple ID
personale. Se non ne hanno uno, possono crearlo ancora prima di avere il
dispositivo, così la configurazione sarà velocissima.
Scopri come ottenere un Apple ID su Il mio Apple ID.
Preparare i dispositivi con Apple Configurator
Per i dispositivi gestiti centralmente dal reparto IT e non configurati da singoli
utenti, Apple Configurator può essere utilizzato per attivarli rapidamente, definire e applicare configurazioni, supervisionarli, installare app e aggiornare i dispositivi
all’ultima versione di iOS. Apple Configurator è un’applicazione per OS X,
disponibile per il download gratuito sul Mac App Store. Per eseguire queste attività
i dispositivi devono essere collegati a un Mac via USB. Puoi anche ripristinare i
dispositivi da backup, in modo da recuperare impostazioni, layout della schermata
Home, e installare dati delle app.
!
23
Guida tecnica di riferimento per la distribuzione di iOS
Profili di configurazione
I profili di configurazione sono file XML che contengono criteri di sicurezza e
restrizioni, informazioni sulla configurazione VPN, impostazioni Wi-Fi, account email
e calendari, e credenziali di autenticazione che consentono ai dispositivi iOS di
funzionare con i tuoi sistemi IT. I profili di configurazione consentono di caricare
rapidamente sul dispositivo le informazioni relative a impostazioni e autorizzazioni.
Alcuni parametri VPN e Wi-Fi si possono impostare solo usando un profilo di
configurazione e, se non usi Microsoft Exchange, dovrai ricorrere a un profilo anche
per definire i criteri per i codici di accesso.
I profili di configurazione si possono distribuire over-the-air o via MDM. Puoi anche
installarli sui dispositivi collegati a un computer via USB usando Apple Configurator,
oppure distribuirli via email o tramite una pagina web. Quando gli utenti aprono
l’allegato di un messaggio email o scaricano il profilo sul proprio dispositivo
utilizzando Safari, il sistema chiede loro di avviare il processo di installazione. Se
utilizzi un server MDM, puoi distribuire un primo profilo contenente le informazioni
per la configurazione del server, e rendere disponibili in wireless tutti gli altri.
I profili di configurazione possono essere codificati e firmati; questo ti consente di restringerne l’uso a un dispositivo specifico e impedisce che le impostazioni in
essi contenute vengano modificate. Puoi anche contrassegnare un profilo come
bloccato, così una volta installato potrà essere rimosso solo cancellando tutti i dati
sul dispositivo oppure inserendo un codice di accesso.
Ad eccezione delle password, gli utenti non potranno modificare le impostazioni
fornite in un profilo di configurazione. Inoltre, gli account configurati tramite un
profilo, come quelli di Exchange, possono essere rimossi unicamente cancellando il profilo stesso.
Per maggiori informazioni, leggi il documento Riferimenti per le chiavi dei profili di
configurazione sul sito della iOS Developer Library.
Mobile Device Management (MDM)
iOS integra un framework MDM che permette alle soluzioni MDM di altri fornitori di interagire in wireless con i dispositivi iOS. È una struttura leggera e modulare,
progettata appositamente per i dispositivi iOS, ma abbastanza potente da poter
configurare e gestire nel modo più completo tutti i dispositivi di un’azienda.
Con una soluzione MDM, gli amministratori IT possono registrare in modo sicuro i dispositivi in ambienti aziendali, configurarli e aggiornare le impostazioni,
monitorarne la conformità con i criteri aziendali e inizializzare o bloccare a distanza
i dispositivi gestiti. L’MDM per iOS offre un modo semplice per consentire agli
utenti di accedere ai servizi di rete, assicurandosi nel contempo che i dispositivi
siano configurati correttamente, indipendentemente da chi ne sia il proprietario.
Le soluzioni MDM usano il servizio notifiche push di Apple (APNs) per mantenere
una comunicazione persistente con i dispositivi sulle reti sia pubbliche sia private.
MDM richiede vari certificati, tra cui un certificato APNs per comunicare con i client
e un certificato SSL per comunicare in modo sicuro. Le soluzioni MDM possono
anche firmare i profili con un certificato.
Nella maggior parte dei casi i certificati, inclusi quelli APNs, devono essere rinnovati
annualmente. Se il certificato è scaduto, il server MDM non può più comunicare con il client finché il certificato non viene aggiornato, quindi dovrai ricordarti di procedere
all’aggiornamento prima della scadenza.
!
Per maggiori informazioni sui certificati MDM, vai su Apple Push Certificates Portal.
24
Guida tecnica di riferimento per la distribuzione di iOS
Registrazione
La registrazione dei dispositivi permette di catalogarli e gestirli. Il processo di
registrazione può sfruttare il protocollo SCEP (Simple Certificate Enrollment
Protocol), che consente ai dispositivi iOS di creare e registrare certificati d’identità
univoci per autenticare l’accesso ai servizi aziendali.
Nella maggior parte dei casi, gli utenti decidono se registrare o meno il proprio
dispositivo per la gestione MDM e possono dissociarlo in qualsiasi momento, ma è buona norma incentivare il mantenimento della gestione. Per esempio, dovresti
richiedere la registrazione per l’accesso alla rete Wi-Fi utilizzando la soluzione MDM
per fornire automaticamente le credenziali wireless. Quando un utente lascia la
gestione MDM, il dispositivo tenta di inviare una notifica al server MDM.
!
Configurazione
Una volta registrato, un dispositivo può essere configurato dinamicamente con
impostazioni e criteri tramite il server MDM, che invierà profili di configurazione che verranno installati automaticamente e senza notifiche.
I profili di configurazione possono essere firmati, crittografati e bloccati per
impedire che le impostazioni vengano modificate o condivise, in modo che solo gli utenti e i dispositivi affidabili, configurati secondo le tue specifiche, abbiano
accesso alla rete e ai servizi dell’azienda. Se un utente dissocia il dispositivo dalla
MDM, tutte le impostazioni installate via MDM saranno rimosse.
Account
La gestione dei dispositivi mobili può aiutare gli utenti della tua organizzazione a impostare rapidamente e in automatico account di posta e altro. A seconda del
prodotto MDM e dell’integrazione con i tuoi sistemi interni, i payload degli account
possono essere precompilati con un nome utente, un indirizzo email e, se
necessario, identità di certificati per l’autenticazione e la firma. È possibile
configurare via MDM i seguenti tipi di account.
• Posta
• Calendario
• Calendari sottoscritti
• Contatti
• Exchange ActiveSync
• LDAP
Gli account di posta e calendario gestiti rispettano le nuove restrizioni “Managed
open in” di iOS 7.
Query
Il server MDM può interrogare i dispositivi per ottenere una serie di informazioni sia
relative all’hardware, come numero di serie, UDID del dispositivo o indirizzo MAC
Wi-Fi, sia relative al software, come la versione iOS e un elenco dettagliato di tutte
le app installate sul dispositivo. Queste informazioni possono servire a controllare
che gli utenti mantengano il set di app appropriato.
Con il software per Apple TV 5.4 o successivo, il sistema MDM può anche
interrogare i dispositivi per raccogliere informazioni come lingua, luogo e
organizzazione.
!
25
Guida tecnica di riferimento per la distribuzione di iOS
Comandi
Quando un dispositivo è gestito, può essere amministrato dal server MDM tramite
un insieme di azioni specifiche. Di seguito trovi alcune delle attività che si possono
gestire.
• Modificare le impostazioni di configurazione. È possibile inviare un comando per installare un profilo di configurazione nuovo o aggiornato. La configurazione
viene modificata senza notifiche e senza alcun intervento da parte dell’utente.
• Bloccare un dispositivo. Se si deve bloccare un dispositivo all’istante, è possibile
inviare un comando di blocco con l’attuale codice di accesso.
• Inizializzare a distanza un dispositivo. Se un dispositivo viene smarrito o rubato,
è possibile inviare un comando per cancellare tutti i dati al suo interno. Una volta
ricevuto, il comando di cancellazione a distanza non può essere annullato.
• Cancellare un codice di blocco. Se si cancella un codice di blocco, il dispositivo
richiede immediatamente all’utente di inserire un nuovo codice. Si utilizza quando
l’utente dimentica il codice di accesso e vuole che il reparto IT lo ripristini.
• Richiesta AirPlay Mirroring e Interruzione AirPlay Mirroring. iOS 7 aggiunge un
comando per chiedere a un dispositivo iOS supervisionato di avviare la
riproduzione AirPlay Mirroring verso una specifica destinazione o di terminare la
sessione AirPlay in corso.
App gestite
Spesso le organizzazioni devono distribuire software per consentire ai propri utenti
di lavorare al meglio. Allo stesso tempo, devono poter controllare in che modo il
software si collega alle risorse interne o gestire la sicurezza dei dati quando un
utente lascia l’organizzazione, il tutto senza intaccare i dati e le app personali
dell’utente. Le app gestite in iOS 7 permettono alle organizzazioni di distribuire
over-the-air app gratuite, a pagamento e aziendali con un server MDM, offrendo nel contempo il giusto equilibrio tra sicurezza istituzionale e personalizzazione
dell’utente.
I server MDM possono distribuire over-the-air sia le app dell’App Store sia le app
aziendali in-house. Inoltre, possono gestire le app gratuite e a pagamento dell’App
Store usando la distribuzione gestita del VPP (Volume Purchase Program). Per
saperne di più sulla distribuzione gestita via MDM, vai al paragrafo “Volume
Purchase Program” del Capitolo 4.
Le app del VPP si possono installare in tre modi. La MDM chiede agli utenti di
dispositivi personali di installare l’app dell’App Store inserendo i proprio Apple ID.
Se il dispositivo supervisionato è di proprietà dell’azienda ed è registrato via MDM,
l’installazione delle app avviene senza notifiche. Se il dispositivo non è associato al
server MDM, l’utente installa le app del VPP riscattando un codice di acquisto, così
l’app viene associata al suo Apple ID personale.
Le app gestite possono essere rimosse in remoto dal server MDM o quando l’utente scollega il proprio dispositivo dal sistema MDM. Se si rimuove un’app, vengono
rimossi anche i dati ad essa associati. Se l’app del VPP è ancora assegnata all’utente
o se l’utente ha usato un codice di riscatto con il proprio Apple ID, l’app potrà
essere nuovamente scaricata dall’App Store ma non sarà gestita.
!
26
Guida tecnica di riferimento per la distribuzione di iOS
La gestione dei dispositivi mobili aggiunge alle app gestite una serie di restrizioni e funzionalità che aumentano la sicurezza e migliorano l’esperienza utente.
• Managed open in. Offre due utili opzioni per proteggere i dati delle app delle organizzazioni:
– Consenti l’apertura di documenti creati con app non gestite in app gestite.
Applicando questa restrizione, si impedisce che le app e gli account personali
dell’utente aprano documenti nelle app gestite dell’organizzazione. Per
esempio, questa restrizione può impedire che una copia di Keynote di proprietà
dell’utente apra una presentazione in formato PDF in un’app aziendale per la
visualizzazione dei PDF. Può anche impedire all’account iCloud dell’utente di
aprire un documento di elaborazione testi allegato a un’email in una copia di
Pages di proprietà dell’organizzazione.
– Consenti l’apertura di documenti creati con app gestite in app non gestite.
Applicando questa restrizione, si impedisce che le app e gli account gestiti
dall’organizzazione aprano i documenti nelle app personali dell’utente. Questa
restrizione può impedire che gli allegati email riservati negli account di posta
gestiti dall’azienda vengano aperti nelle app personali dell’utente.
• Configurazione delle app. Permette agli sviluppatori di identificare i parametri
che si possono impostare quando l’app viene installata come gestita. I parametri
di configurazione possono essere installati prima o dopo l’installazione dell’app
gestita.
• Feedback dalle app. Gli sviluppatori hanno la possibilità di identificare le
impostazioni delle app che possono essere lette da un’app gestita tramite MDM.
Per esempio, è possibile specificare una chiave “DidFinishSetup” per il feedback
che il server MDM può richiedere per determinare se l’app è stata avviata e
configurata.
• Impedisci il backup. Questa restrizione impedisce alle app gestite di includere i propri dati nei backup di iCloud o iTunes. Impedendo il backup si impedisce il
ripristino dei dati dell’app gestita quando viene rimossa via MDM e reinstallata
dall’utente.
Supervisione dei dispositivi
La supervisione fornisce un controllo ancora maggiore sui dispositivi di proprietà
dell’organizzazione consentendo di applicare ulteriori restrizioni, come la
disattivazione di iMessage e Game Center. Offre anche configurazioni e funzioni
aggiuntive, come i filtri per i contenuti web o la possibilità di installare app senza
notifiche.
Vai all’Appendice B per un elenco delle restrizioni specifiche che si possono attivare
sui dispositivi supervisionati.
!
27
Guida tecnica di riferimento per la distribuzione di iOS
Capitolo 4: Distribuzione di app
iOS include già ottime app per svolgere tutta una serie di attività quotidiane:
controllare le email, gestire i calendari, organizzare i contatti, navigare il web e tanto altro. Molte delle funzioni di cui i dipendenti hanno bisogno per lavorare
vengono fornite dalle centinaia di migliaia di app per iOS di altri sviluppatori
disponibili sull’App Store, oppure da app in-house sviluppate ad hoc dall’azienda.
Esistono vari modi per distribuire app e contenuti nella tua azienda. Il Volume
Purchase Program ti permette di acquistare e assegnare via MDM le app dell’App
Store, le app B2B personalizzate e i libri dell’iBooks Store. Se sei iscritto all’iOS
Developer Enterprise Program puoi anche creare e distribuire le tue app in-house.
Questo capitolo descrive i vari metodi che puoi utilizzare per distribuire le app ai
tuoi utenti.
Volume Purchase Program
Sull’App Store e sull’iBooks Store ci sono migliaia di app e libri che gli utenti
possono acquistare, scaricare e installare. Con il Volume Purchase Program (VPP), la tua organizzazione può acquistare contenuti a volume e distribuirli a dipendenti,
collaboratori o studenti: puoi scegliere nell’intero catalogo di app e libri disponibili
sull’App Store e sull’iBooks Store, sia gratis sia a pagamento.
Il programma VPP per le imprese ti consente anche di comprare app iOS B2B
personalizzate, create per la tua azienda da sviluppatori esterni e partner commerciali.
Con l’introduzione della distribuzione gestita, iOS 7 ha migliorato notevolmente il Volume Purchase Program (VPP). Questa funzione permette di acquistare le app e di assegnarle agli utenti via MDM, mantenendole sotto il controllo dell’azienda. In questo modo, quando un utente non ha più bisogno delle app assegnate, puoi
revocarle e riassegnarle a qualcun altro.
Distribuzione gestita
Quando acquisti app e libri a volume, puoi distribuire i contenuti direttamente ai tuoi utenti tramite codici di riscatto, oppure usare la distribuzione gestita per
assegnare app e libri a chi usa iOS 7 o OS X Mavericks v10.9 o successiva tramite
una soluzione MDM. Quando assegni app o libri, gli utenti potranno usarli su tutti i loro dispositivi. E quando una persona non ha più bisogno dell’app o lascia
l’azienda, puoi riassegnare l’app a un altro utente. I libri assegnati, invece, non
possono essere revocati.
Dopo aver acquistato le app per conto dei tuoi utenti, puoi optare per la
distribuzione gestita. Prima di utilizzare la tua soluzione MDM per assegnare le app
agli utenti, devi collegare il server MDM al tuo account VPP usando un token sicuro
che puoi scaricare sul server accedendo al riepilogo del tuo account sullo Store VPP.
!
28
Guida tecnica di riferimento per la distribuzione di iOS
Per consentire agli utenti di partecipare alla distribuzione gestita via VPP, devi prima
invitarli. Quando l’utente accetta l’invito, il suo Apple ID personale viene collegato
alla tua organizzazione. Così facendo, l’utente non dovrà comunicarti il suo Apple
ID e tu non dovrai crearne uno per suo conto.
Le app assegnate via MDM appariranno nella cronologia degli acquisti dell’utente
sull’App Store. È quindi possibile invitare l’utente ad accettare l’installazione dell’app
oppure, nel caso dei dispositivi gestiti, installarla senza notifiche. Quando un’app
viene revocata, continua a funzionare ancora per 30 giorni. Durante questo periodo,
all’utente verrà ricordato che l’app è stata revocata e che può scegliere di acquistarla
sull’App Store per non perdere tutti i dati associati presenti sul dispositivo.
Iscriversi al Volume Purchase Program
Per acquistare app a volume, devi registrarti e creare un account con Apple. Dovrai
fornire alcune informazioni sulla tua organizzazione, come il numero D-U-N-S di
D&B (se sei un’impresa) e i dati di contatto. Inoltre, devi creare un Apple ID che
verrà utilizzato solo per amministrare il programma.
Per maggiori informazioni sulla registrazione e i Paesi in cui è disponibile il Volume
Purchase Program, consulta le pagine web:
Volume Purchase Program per il settore Business
Volume Purchase Program per il settore Education
Acquistare app a volume
Usa il sito web del Volume Purchase Program per acquistare app per la tua azienda
o il tuo istituto didattico.
Utilizza l’Apple ID associato al tuo account Volume Purchase Program per accedere
al sito. Cerca le app che vuoi acquistare, quindi indica il numero di copie che
desideri. Puoi pagare con una carta di credito aziendale o con il credito VPP
acquisito tramite un ordine di acquisto (PO). Non c’è limite al numero di copie che
puoi acquistare, e per ogni copia puoi scegliere se utilizzare i codici di riscatto o la
distribuzione gestita.
Puoi acquistare codici di riscatto solo per le app e i libri a pagamento, mentre la distribuzione gestita si può utilizzare anche per i titoli gratuiti.
Se acquisti codici di riscatto, quando sono pronti riceverai una notifica via email: li troverai in un foglio di calcolo XLS nella sezione dedicata al tuo account sul sito
del Volume Purchase Program. Il sito elenca ogni acquisto per numero d’ordine,
nome app, costo totale e numero di licenze. Scarica il foglio di calcolo associato per
visualizzare i codici di riscatto per ogni app, nella quantità acquistata. Per esempio,
se acquisti sette copie dell’app Pages riceverai sette codici di riscatto per Pages. Il foglio di calcolo contiene anche un URL per ogni codice: è l’indirizzo da cui gli
utenti possono scaricare e installare le app sui loro dispositivi senza inserire il
codice di riscatto.
Se hai optato per la distribuzione gestita, le app potranno essere assegnate tramite la
tua soluzione MDM, purché sia collegata al tuo account VPP e abbia un token valido.
!
29
Guida tecnica di riferimento per la distribuzione di iOS
Distribuire i codici di riscatto
Puoi distribuire gli URL via email o SMS, o pubblicarli su un sito web che renderai
accessibile a gruppi e utenti. Se lo desideri, puoi creare un sito web con un catalogo
delle app acquistate che fornisca i codici di riscatto agli utenti autorizzati. Molte
soluzioni MDM di altri fornitori permettono anche di gestire e distribuire i codici in modo centralizzato.
Gli utenti installano le app acquistate collegandosi dai loro dispositivi all’URL di
riscatto: in questo modo passeranno direttamente all’App Store con il codice già
inserito, e non dovranno fare atro che autenticarsi con il proprio Apple ID. È la
stessa procedura usata per qualsiasi altra app dell’App Store, ma dato che hai
fornito un codice prepagato, all’utente non verrà addebitato l’acquisto.
Ogni codice di riscatto può essere utilizzato una sola volta. Tutte le volte che si usa un codice, il foglio di calcolo sul sito web del Volume Purchase Program viene
aggiornato: scaricandolo potrai vedere quanti codici sono stati usati e quanti ne restano.
Dopo che l’utente ha installato l’app, questa verrà inclusa nei backup e aggiornata
come qualsiasi altra app dell’App Store.
App B2B personalizzate
Attraverso il Volume Purchase Program è anche possibile acquistare app create o personalizzate da uno sviluppatore esterno per la tua azienda (app B2B).
Gli sviluppatori iscritti all’iOS Developer Program possono inviare app per la distribuzione B2B tramite iTunes Connect, lo stesso processo utilizzato per
pubblicare altre app sull’App Store. Lo sviluppatore fissa il prezzo per copia e aggiunge l’Apple ID che usi per il Volume Purchase Program al proprio elenco di acquirenti B2B autorizzati. Solo gli acquirenti autorizzati possono vedere o
acquistare l’app.
Le app B2B non sono garantite da Apple: lo sviluppatore è responsabile per la
sicurezza dei dati nell’app. Apple raccomanda di utilizzare le best practice iOS per la crittografia e l’autenticazione in-app.
Dopo che Apple ha valutato l’app, puoi utilizzare il sito del Volume Purchase
Program per acquistarne delle copie, come descritto nel paragrafo “Acquistare app
a volume” nella sezione precedente. Le app B2B personalizzate non vengono
elencate sull’App Store, ma vanno acquistate tramite il sito web del Volume
Purchase Program.
App in-house
Se sviluppi app per iOS da utilizzare nella tua azienda, l’iOS Developer Enterprise
Program ti consente di distribuire app in-house. Per distribuire un’app in-house,
procedi come segue.
• Iscriviti all’iOS Developer Enterprise Program.
• Prepara l’app per la distribuzione.
• Crea un profilo di fornitura per la distribuzione aziendale che autorizzi i dispositivi
a utilizzare le app che hai firmato.
• Integra il profilo di fornitura nell’app.
• Distribuisci l’app agli utenti.
!
!
30
Guida tecnica di riferimento per la distribuzione di iOS
Registrazione per lo sviluppo di app
Per sviluppare e distribuire app in-house per iOS, per prima cosa iscriviti all’iOS
Developer Enterprise Program.
Una volta iscritto, puoi richiedere un certificato e un profilo di fornitura sviluppatore
che userai per il build e il testing dell’app. Il profilo di fornitura sviluppatore
consente di eseguire le app firmate con il tuo certificato sui dispositivi registrati.
Puoi creare il profilo di fornitura sviluppatore sull’iOS Provisioning Portal. Il profilo
ad hoc scade dopo tre mesi e specifica quali dispositivi (in base al loro ID) possono
eseguire i build di sviluppo dell’app. Il tuo build firmato e il profilo di fornitura
vanno distribuiti al team di sviluppatori e ai tester.
Preparare le app per la distribuzione
Al termine delle fasi di sviluppo e testing, quando sei pronto a distribuire l’app, firmala utilizzando il tuo certificato di distribuzione e prepara il bundle con un
profilo di fornitura. Il Team Agent o l’amministratore designato per il programma
crea il certificato e il profilo sull’iOS Provisioning Portal.
La creazione del certificato di distribuzione implica l’uso di Assistente Certificato,
nell’app Accesso Portachiavi sul tuo sistema di sviluppo OS X, per generare una
richiesta firma certificato (CSR). Caricando la richiesta CSR sull’iOS Provisioning Portal,
riceverai in risposta un certificato di distribuzione. Quando installi il certificato in
Portachiavi, puoi impostare Xcode in modo che lo utilizzi per firmare l’app.
Fornire app in-house
Il profilo di fornitura per la distribuzione aziendale consente di installare l’app su un numero illimitato di dispositivi iOS. Puoi creare un profilo per un’app specifica
o per più app.
Dopo aver installato sul tuo Mac sia il certificato di distribuzione aziendale sia il profilo di fornitura, userai Xcode per firmare e creare il build di una versione
release/production dell’app. Il certificato di distribuzione aziendale è valido per tre anni; dopo questo termine dovrai firmare e costruire nuovamente la tua app
utilizzando un certificato rinnovato. Il profilo di fornitura è valido per un anno,
quindi dovrai emettere nuovi profili a cadenza annuale. Vai al paragrafo “Fornire
app aggiornate” nell’Appendice C per maggiori dettagli.
È importante limitare l’accesso al tuo certificato di distribuzione e alla chiave
privata. Utilizza Accesso Portachiavi su OS X per esportarli ed eseguirne il backup in
formato p12. Se la chiave privata viene persa non è possibile ripristinarla o scaricarla
una seconda volta. Oltre a conservare il certificato e la chiave privata in un luogo
sicuro, dovresti restringere l’accesso alle persone responsabili dell’accettazione
finale dell’app. Firmando un’app con il certificato di distribuzione, la tua azienda ne
approva il contenuto e il funzionamento, e conferma il rispetto dei termini di
licenza dell’Enterprise Developer Agreement.
Distribuire le app
Le app si possono distribuire in quattro modi.
• Distribuisci l’app agli utenti perché la installino con iTunes.
• Chiedi a un amministratore IT di installare l’app sui dispositivi usando Apple
Configurator.
• Pubblica l’app su un server web sicuro; gli utenti potranno accedervi e installare
l’app in wireless. Vedi “Appendice C: Installare app in-house in wireless”.
• Utilizza un server MDM per dire ai dispositivi gestiti di installare un’app in-house o
dell’App Store, se il server MDM lo supporta.
!
31
Guida tecnica di riferimento per la distribuzione di iOS
Installare le app con iTunes
Se gli utenti utilizzano iTunes per installare le app sui propri dispositivi, distribuisci
l’app in modo sicuro e chiedi di procedere come illustrato di seguito.
1. In iTunes, scegli Archivio > Aggiungi alla libreria, quindi seleziona il file (.app, .ipa
o.mobileprovision). È anche possibile trascinare il file sull’icona dell’applicazione
iTunes.
2. Collega un dispositivo al computer, quindi selezionalo nell’elenco Dispositivi in iTunes.
3. Fai clic sul pannello App e seleziona l’app dall’elenco.
4. Fai clic su Applica.
Se i computer degli utenti sono gestiti, anziché farli aggiungere ad iTunes puoi distribuire i file a questi computer e chiedere di sincronizzare i dispositivi.
iTunes installa automaticamente i file trovati nelle cartelle Mobile Applications e Provisioning Profiles.
Installare app con Apple Configurator
Apple Configurator è un’applicazione per OS X, disponibile per il download gratuito sul Mac App Store, che gli amministratori IT possono usare per installare
app in-house o dell’App Store.
Per le app dell’App Store a pagamento, inizia importando in Apple Configurator il
foglio di calcolo con i codici di riscatto del Volume Purchase Program. Potrai quindi
installare un’app acquistata su tanti dispositivi quanti sono i codici. Ogni volta che
installi un’app su un dispositivo, Apple Configurator contrassegna ogni codice
come riscattato, in modo che non possa essere utilizzato di nuovo. Le app dell’App
Store gratuite o le app aziendali in-house si possono importare direttamente in
Apple Configurator e installare su tutti i dispositivi che vuoi.
Per saperne di più, leggi l’articolo Apple Configurator: uso dei codici di utilizzo del
Volume Purchase Program (VPP).
Installare le app via MDM
Un server MDM può gestire le app di altri sviluppatori disponibili sull’App Store, oltre
a quelle in-house. Le app installate via MDM sono dette “app gestite”. Il server MDM
può specificare se, quando l’utente disabilita la gestione MDM, le app gestite e i relativi dati devono restare dove sono. Inoltre il server può impedire che i dati
dell’app gestita vengano inclusi nei backup di iTunes e iCloud. Questo permette ai responsabili IT di gestire le app che potrebbero contenere informazioni sensibili
con un maggiore livello di controllo rispetto a quanto accade con le applicazioni
scaricate direttamente dall’utente.
Per installare un’app gestita, il server MDM invia un comando di installazione al dispositivo. Sui dispositivi non supervisionati, le app gestite richiedono
l’accettazione da parte dell’utente prima di essere installate.
iOS 7 include una serie di controlli aggiuntivi per le app gestite. Ora la connessioni
VPN possono essere specificate a livello di app, e quindi solo il traffico di rete per
quella data app viaggerà nel tunnel VPN protetto. In questo modo si è sicuri che i dati privati rimangano tali e non si mescolino con quelli pubblici.
Le app gestite supportano anche la funzione “Managed open in” di iOS 7, per cui è
possibile impedire che trasferiscano dati da o verso le app personali dell’utente; così
l’azienda ha la certezza che i dati sensibili rimangono dove devono essere.
!
32
Guida tecnica di riferimento per la distribuzione di iOS
Caching Server
Con iOS, accedere e fruire di contenuti digitali è facilissimo, e alcuni utenti
potrebbero consumare molti gigabyte di dati sotto forma di app, libri e
aggiornamenti software quando sono connessi alla rete wireless dell’azienda. Il
consumo ha dei picchi: il primo avviene in concomitanza con la distribuzione dei
dispositivi, seguito da altri occasionali quando gli utenti scoprono nuovi contenuti
o li aggiornano nel tempo. Questi download possono causare bruschi aumenti della
richiesta di ampiezza di banda per la connessione a internet.
La funzione Caching Server inclusa in OS X Server riduce l’ampiezza di banda
internet in uscita sulle reti private (RFC1918) archiviando nella cache le copie dei
contenuti richiesti sulla rete locale. Per le reti più grandi si possono utilizzare diversi
server cache. Per molte distribuzioni, configurare un server cache è molto semplice:
basta attivare il servizio. È richiesto un ambiente NAT per il server e per tutti i
dispositivi che lo utilizzano.
Per maggiori informazioni, consulta la pagina OS X Server: gestione avanzata.
I dispositivi con iOS 7 contatteranno automaticamente un server cache nelle
vicinanze senza bisogno di ulteriori configurazioni. Ecco come funziona
l’interazione fra il server cache e un dispositivo iOS.
1. Quando un dispositivo iOS collegato a una rete con più server cache richiede
contenuti dall’iTunes Store o dal server Aggiornamento Software, il dispositivo
iOS viene indirizzato a un server cache.
2. Per prima cosa, il server cache verifica se il contenuto richiesto è già presente
nella sua cache locale. Se è così, il contenuto verrà immediatamente trasferito al dispositivo iOS.
3. Se il server cache non trova i contenuti richiesti, tenta di scaricarli da un’altra
fonte. Caching Server 2 per OS X Mavericks include una funzione di replica peer in grado di utilizzare altri server cache sulla rete, se hanno già scaricato il
contenuto richiesto.
4. Non appena il server cache riceve i dati in download, li trasmette
immediatamente ai client che ne hanno fatto richiesta e ne salva una copia su disco.
Di seguito trovi un elenco dei tipi di contenuti archiviati nella cache supportati da iOS 7.
• Aggiornamenti software di iOS
• App dell’App Store
• Aggiornamenti dell’App Store
• Libri acquistati sull’iBooks Store
Anche iTunes supporta Caching Server 2. Di seguito trovi un elenco dei tipi di contenuti supportati da iTunes 11.0.4 o successivo (su Mac e Windows).
• App dell’App Store
• Aggiornamenti dell’App Store
• Libri acquistati sull’iBooks Store
!
33
Guida tecnica di riferimento per la distribuzione di iOS
Appendice A:
Infrastruttura Wi-Fi
Quando si prepara l’infrastruttura Wi-Fi per la distribuzione di iOS, occorre
considerare vari fattori:
• area da coprire;
• numero e densità dei dispositivi che si collegheranno alla rete Wi-Fi;
• tipo di dispositivi e loro specifiche Wi-Fi;
• tipo e quantità di dati da trasferire;
• esigenze relative alla sicurezza nell’accesso alla rete wireless;
• esigenze relative alla crittografia.
L’elenco non è completo, ma include alcuni dei principali fattori da considerare
nella predisposizione di una rete Wi-Fi.
Promemoria: questo capitolo illustra la progettazione di reti Wi-Fi negli Stati Uniti. Il modo di procedere potrebbe essere differente in altri Paesi.
Pianificare in base a copertura e densità
Per l’uso dei dispositivi iOS è fondamentale garantire una copertura Wi-Fi, ma è altrettanto importante progettare la rete in base alla densità di dispositivi che
verranno utilizzati in una data area.
La maggior parte degli odierni punti di accesso di classe enterprise può gestire fino
a 50 client Wi-Fi, ma l’esperienza utente non è delle migliori se un numero così alto
di dispositivi è associato a un unico punto di accesso. La velocità di navigazione sul
singolo dispositivo dipende infatti dall’ampiezza di banda wireless disponibile sul
canale in uso, e dal numero di dispositivi che stanno condividendo l’intera banda:
maggiore è il numero di dispositivi collegati a uno stesso punto di accesso, più
lenta sarà la rete. Nel predisporre la propria rete Wi-Fi, quindi, bisogna tenere conto
di quanti dispositivi iOS la useranno.
2,4GHz e 5GHz
Negli Stati Uniti, le reti Wi-Fi a 2,4GHz supportano 11 canali. Tuttavia, dovendo
considerare anche eventuali interferenze tra i canali, dovrebbero essere usati solo i canali 1, 6 e 11.
I segnali a 5GHz, come quelli a 2,4GHz, non oltrepassano i muri o altre barriere, e questo riduce la portata della rete. Pertanto, le reti a 5GHz sono preferibili se si
prevede un’alta densità di dispositivi in spazi chiusi come le aule. Il numero di
canali disponibili sulla banda a 5GHz varia in base al fornitore dei punti di accesso e al Paese, ma saranno sempre disponibili almeno otto canali.
I canali a 5GHz non si sovrappongono e offrono un significativo vantaggio rispetto ai tre canali non sovrapponibili disponibili sulla banda a 2,4GHz. Quando si progetta una rete Wi-Fi a elevata densità di dispositivi iOS, i canali aggiuntivi
offerti dalle reti a 5GHz diventano una considerazione strategica.
!
34
Guida tecnica di riferimento per la distribuzione di iOS
Prevedere la copertura
La disposizione dell’edificio può influire sulla progettazione della rete Wi-Fi. Per esempio, in un contesto lavorativo, gli utenti potrebbero incontrare i colleghi
nelle sale conferenze o nei rispettivi uffici, e quindi spostarsi all’interno dell’edificio
nell’arco della giornata. In questo scenario, la maggior parte degli accessi alla rete è
dovuto all’utilizzo di email, calendari e internet, quindi la copertura Wi-Fi è la priorità
principale. L’infrastruttura Wi-Fi dovrebbe includere due o tre punti di accesso su
ciascun piano per garantire la copertura negli uffici, e un punto di accesso in ogni
sala conferenze.
Prevedere la densità
Confronta lo scenario appena descritto con un liceo che ha 1000 studenti e 30
docenti all’interno di un edificio di due piani. A ogni studente è stato assegnato un iPad, e ogni insegnante ha ricevuto un MacBook Air e un iPad. Le aule sono una adiacente all’altra e ognuna ospita 35 studenti circa. Durante l’intera giornata
scolastica gli studenti fanno ricerche su internet, guardano video inerenti al
programma didattico e trasferiscono documenti da e verso un file server sulla LAN.
Predisporre una rete Wi-Fi in questo scenario è un’operazione più complessa per via della maggiore densità di dispositivi mobili. Dato che in ogni aula ci sono circa
35 studenti, bisognerebbe prevedere un punto di accesso per classe. Per gli spazi
comuni bisognerebbe prevedere più punti di accesso, così da garantire una
copertura adeguata. Il numero effettivo dei punti di accesso per gli spazi comuni
varierà in base alla densità dei dispositivi Wi-Fi in quelle aree.
Se dei dispositivi che supportano soltanto gli standard 802.11b o 802.11g devono
collegarsi alla rete, e vengono installati punti di accesso dual-band, una possibilità è abilitare l’802.11b/g. Un’altra possibilità è prevedere un SSID (Service Set Identifier)
che usa l’802.11n a 5GHz per i dispositivi più recenti, e un secondo SSID a 2,4GHz
per i dispositivi che supportano gli standard 802.11b e 802.11g. È comunque
importante evitare di creare troppi SSID.
In entrambi gli esempi, bisogna evitare l’uso di SSID nascosti. Per i dispositivi Wi-Fi è più difficile ricollegarsi a un SSID nascosto che non a un SSID con broadcast
abilitato; inoltre un SSID nascosto non offre grandi vantaggi in termini di sicurezza.
Poiché gli utenti si spostano di frequente con i loro dispositivi iOS, gli SSID nascosti
potrebbero allungare i tempi di associazione alla rete.
Standard Wi-Fi nei prodotti Apple
L’elenco seguente fornisce i dettagli sugli standard Wi-Fi supportati dai prodotti
Apple, e specificamente:
• Compatibilità 802.11: 802.11b/g, 802.11a, 802.11n.
• Banda di frequenza: 2,4GHz o 5GHz.
• Indice MCS: l’indice Modulation and Coding Scheme (MCS) definisce la velocità di trasmissione massima a cui i dispositivi 802.11n possono comunicare.
• Channel bonding: HD20 o HD40.
!
35
Guida tecnica di riferimento per la distribuzione di iOS
• Guard interval (GI): lo spazio (tempo) tra i simboli trasmessi da un dispositivo
all’altro. Lo standard 802.11n definisce un GI breve di 400 ns che permette di
ottenere throughput complessivi più veloci, ma i dispositivi possono usare un GI lungo di 800 ns.
iPhone 5s
802.11n a 2,4GHz e 5GHz
802.11a/b/g
Indice MCS 7 / HT40 / GI 400 ns
iPhone 5c
802.11n a 2,4GHz e 5GHz
802.11a/b/g
Indice MCS 7 / HT40 / GI 400 ns
iPhone 5
802.11n a 2,4GHz e 5GHz
802.11a/b/g
Indice MCS 7 / HD40 / GI 400 ns
iPhone 4s
802.11n a 2,4GHz
802.11b/g
Indice MCS 7 / HD20 / GI 800 ns
iPhone 4
802.11n a 2,4GHz
802.11b/g
Indice MCS 7 / HD20 / GI 800 ns
iPad Air e iPad mini con display Retina
802.11n a 2,4GHz e 5GHz
802.11 a/b/g
Indice MCS 15 / HT40 / GI 400 ns
iPad (quarta generazione) e iPad mini
802.11n a 2,4GHz e 5GHz
802.11a/b/g
Indice MCS 7 / HD40 / GI 400 ns
iPad (prima, seconda e terza generazione)
802.11n a 2,4GHz e 5GHz
802.11a/b/g
Indice MCS 7 / HD20 / GI 800 ns
iPod touch (quinta generazione)
802.11n a 2,4GHz e 5GHz
802.11a/b/g
Indice MCS 7 / HD40 / GI 400 ns
iPod touch (quarta generazione)
802.11n a 2,4GHz
802.11b/g
Indice MCS 7 / HD20 / GI 800 ns
!
36
Guida tecnica di riferimento per la distribuzione di iOS
Appendice B:
Restrizioni
iOS supporta i criteri e le restrizioni elencati di seguito, che puoi configurare in base
alle esigenze della tua azienda.
Funzionamento del dispositivo
• Consenti l’installazione di app
• Consenti Siri
• Consenti Siri con dispositivo bloccato
• Consenti l’uso della fotocamera
• Consenti l’uso di FaceTime
• Consenti istantanea schermo
• Consenti sincronizzazione automatica in roaming
• Consenti sincronizzazione recenti in Mail
• Consenti composizione vocale
• Consenti acquisti In-App
• Richiedi password iTunes Store per tutti gli acquisti
• Consenti gioco multiplayer
• Consenti aggiunta di amici in Game Center
• Imposta classificazioni consentite per i contenuti
• Consenti Touch ID
• Consenti l’accesso a Centro di controllo dalla schermata di blocco
• Consenti l’accesso a Centro notifiche dalla schermata di blocco
• Consenti la vista Oggi dalla schermata di blocco
• Consenti notifiche Passbook nella schermata di blocco
Applicazioni
• Consenti l’uso di iTunes Store
• Consenti l’uso di Safari
• Impostazione delle preferenze di sicurezza di Safari
iCloud
• Consenti backup
• Consenti la sincronizzazione di documenti e portachiavi
• Consenti Il mio streaming foto
• Consenti Condivisione foto di iCloud
!
37
Guida tecnica di riferimento per la distribuzione di iOS
Sicurezza e privacy
• Consenti l’invio dei dati di diagnosi a Apple
• Consenti all’utente di accettare certificati non attendibili
• Imponi i backup criptati
• Consenti apertura da app non gestite in app gestite
• Consenti apertura da app gestite in app non gestite
• Richiedi l’utilizzo di un codice di accesso al primo abbinamento con AirPlay
• Consenti aggiornamenti PKI over-the-air
• Richiedi Limita raccolta dati pubblicitari
Restrizioni per i soli dispositivi supervisionati
• Solo modalità app singola
• Impostazioni di accessibilità
• Consenti iMessage
• Consenti Game Center
• Consenti la rimozione di app
• Consenti iBooks Store
• Consenti contenuti erotici dall’iBooks Store
• Abilita filtro di Siri per le espressioni volgari
• Consenti installazione manuale dei profili di configurazione
• Proxy di rete globale per HTTP
• Consenti abbinamento a computer per sincronizzare i contenuti
• Limita le connessioni AirPlay con whitelist e codici di connessione opzionali
• AirDrop
• Consenti modifiche dell’account
• Consenti modifiche delle impostazioni dei dati cellulare
• Consenti Trova i miei amici
• Consenti abbinamento host (iTunes)
• Consenti Blocco attivazione
!
!
38
Guida tecnica di riferimento per la distribuzione di iOS
Appendice C:
Installare app in-house in wireless
iOS supporta l’installazione over-the-air delle app in-house personalizzate senza
utilizzare iTunes o l’App Store.
Requisiti
• Un sito web sicuro a cui possono accedere utenti autenticati
• Un’app iOS in formato .ipa, costruita in versione release/production con un profilo
di fornitura aziendale
• Un file manifest XML, descritto in questa appendice
• Una configurazione di rete che consenta ai dispositivi di accedere a un server
iTunes di Apple
Installare l’app è semplice. Dal tuo sito web, gli utenti scaricano sul proprio
dispositivo iOS il file manifest, che indica al dispositivo di scaricare e installare le app a cui il file stesso fa riferimento.
Puoi distribuire l’URL per il download del file manifest via SMS, email o
incorporandolo in un’altra app aziendale da te creata.
Dovrai anche prevedere la progettazione e l’hosting del sito web utilizzato per la distribuzione delle app. Assicurati che gli utenti vengano autenticati (mediante
autenticazione di base o con directory) e che il sito sia accessibile dalla intranet
aziendale o via internet. Puoi collocare l’app e il file manifest in una directory
nascosta o in qualsiasi altra posizione che possa essere letta via HTTP o HTTPS.
Se crei un portale self-service puoi aggiungere un web clip alla schermata Home
dell’utente, che in questo modo potrà accedervi facilmente per trovare
informazioni, per esempio nuovi profili di configurazione e app dell’App Store
consigliate, e per la registrazione con una soluzione MDM.
Preparare un’app in-house per la distribuzione in wireless
Per preparare la tua app in-house per la distribuzione in wireless, devi creare una
versione archiviata (un file .ipa) e un file manifest che consente la distribuzione e
l’installazione in wireless.
Utilizza Xcode per creare un archivio dell’app. Firma l’app usando il tuo certificato
di distribuzione e includi il profilo di fornitura per la distribuzione aziendale
nell’archivio. Per maggiori informazioni su come creare e archiviare le app, visita
l’iOS Dev Center oppure consulta il Manuale utente Xcode, disponibile dal menu
Aiuto di Xcode.
Informazioni sul file manifest wireless
Il file manifest è un file plist XML utilizzato dai dispositivi iOS per trovare, scaricare e installare app presenti sul tuo server web. Il file manifest viene creato da Xcode
utilizzando le informazioni che fornisci quando condividi un’app archiviata per la
distribuzione aziendale. Consulta la sezione precedente sulla preparazione delle
app per la distribuzione.
39
Guida tecnica di riferimento per la distribuzione di iOS
I seguenti campi sono obbligatori:
Elemento
Descrizione
URL
URL HTTPS completo del file dell’app (.ipa).
display-image
Immagine PNG di 57x57 pixel visualizzata
durante il download e l’installazione.
Specifica l’URL completo dell’immagine.
full-size-image
Immagine PNG di 512x512 pixel che
rappresenta l’app in iTunes.
bundle-identifier
Identificatore bundle dell’app, esattamente
come specificato nel progetto Xcode.
bundle-version
Versione bundle dell’app, come specificato
nel progetto Xcode.
title
Nome dell’app, visualizzato durante il download e l’installazione.
!
I seguenti campi sono obbligatori solo per le app Edicola:
Elemento
Descrizione
newsstand-image
Immagine PNG a grandezza piena da
visualizzare sullo scaffale di Edicola.
UINewsstandBindingEdge
UINewsstandBindingType
Queste chiavi devono coincidere con quelle
presenti nel file info.plist dell’app Edicola.
UINewsstandApp
Indica che l’app è un’app per Edicola.
Il file manifest d’esempio descrive le chiavi opzionali che puoi usare. Per esempio,
puoi utilizzare le chiavi MD5 se il file dell’app è di grandi dimensioni e se vuoi
garantire l’integrità del download oltre la verifica degli errori normalmente effettuata
per le comunicazioni TCP.
Puoi installare più di un’app con un singolo file manifest specificando altri membri
dell’array di elementi. Alla fine di questa appendice trovi un esempio di file manifest.
Costruire il sito web
Carica questi elementi nell’area del sito web a cui possono accedere gli utenti autenticati.
• Il file dell’app (.ipa)
• Il file manifest (.plist)
Il design del sito può essere molto semplice, anche solo una pagina web collegata
al file manifest. Quando un utente tocca il link web, il file manifest viene scaricato e questo attiva il download e l’installazione delle app che descrive.
Ecco un esempio di link: <a href=”itms-services://?action=downloadmanifest&url=http://esempio.com/manifest.plist”>Installa l’app</a>
Non aggiungere un link web all’app archiviata (.ipa). Il file .ipa viene scaricato dal
dispositivo durante il caricamento del file manifesto. Anche se la porzione
protocollo dell’URL è itms-services, iTunes Store non viene coinvolto nel processo.
Accertati inoltre che il file .ipa sia accessibile via HTTPS e che il tuo sito sia stato
firmato con un certificato considerato affidabile da iOS. Qualora un certificato
autofirmato non risulti affidabile e il dispositivo non riesca a convalidarlo,
l’installazione non andrà a buon fine.
40
Guida tecnica di riferimento per la distribuzione di iOS
Impostare i tipi MIME del server
Devi configurare il server web in modo che il file manifest e il file dell’app vengano
trasmessi correttamente.
Per OS X Server, aggiungi i seguenti tipi MIME alle impostazioni dei tipi MIME del
servizio web:
application/octet-stream ipa text/xml plist
Per IIS, utilizza IIS Manager per aggiungere il tipo MIME nella pagina delle proprietà
del server:
.ipa application/octet-stream .plist text/xml
Risoluzione dei problemi relativi alla distribuzione wireless delle app
Se la distribuzione wireless dell’app non riesce e compare un messaggio del tipo
“impossibile eseguire il download”, controlla quanto segue.
• Verifica che l’app sia firmata correttamente. Prova l’app installandola su un
dispositivo tramite Apple Configurator e controllando se si verificano errori.
• Assicurati che il link al file manifest sia corretto e che gli utenti possano accedere
al file via web.
• Assicurati che l’URL del file.ipa (nel file manifest) sia corretto e che gli utenti
possano accedere al file via web su HTTPS.
Requisiti di configurazione della rete
Se i dispositivi iOS sono connessi a una rete interna chiusa, dovresti consentire
l’accesso ai seguenti URL.
URL
Motivo
ax.init.itunes.apple.com
Il dispositivo ottiene l’attuale limite delle
dimensioni file per il download delle app su rete cellulare. Se il sito non è raggiungibile,
l’installazione potrebbe non riuscire.
ocsp.apple.com
Il dispositivo contatta questo sito per verificare lo stato del certificato di distribuzione usato per
firmare il profilo di provisioning.
Vedi il paragrafo “Convalida del certificato” più avanti.
Fornire app aggiornate
Le app distribuite direttamente dalla tua azienda non vengono aggiornate
automaticamente. Quando è disponibile una nuova versione, informa gli utenti
dell’aggiornamento e chiedi loro di installarlo. Potresti anche configurare l’app in
modo che verifichi se sono disponibili aggiornamenti e avvisi l’utente all’avvio. Se distribuisci le app in wireless, la notifica può includere il link al file manifest
dell’app aggiornata.
Se vuoi che gli utenti mantengano i dati dell’app archiviati sul loro dispositivo,
assicurati che la nuova versione utilizzi lo stesso identificatore bundle-identifier della
versione da sostituire e chiedi agli utenti di non eliminare la vecchia versione prima
di installare quella nuova. La nuova versione sostituirà quella vecchia e manterrà i dati archiviati nel dispositivo, purché l’identificatore bundle-identifiers coincida.
I profili di fornitura per la distribuzione scadono 12 mesi dopo l’emissione. Dopo la scadenza, il profilo viene rimosso e l’app non si aprirà più.
!
41
Guida tecnica di riferimento per la distribuzione di iOS
Prima che il profilo di fornitura scada, utilizza l’iOS Development Portal per creare un nuovo profilo per l’app. Crea un nuovo archivio dell’app (.ipa) con il
nuovo profilo di fornitura per gli utenti che installano l’app per la prima volta.
Per gli utenti che hanno già l’app, potresti voler programmare la versione
successiva in modo tale che includa il nuovo profilo di fornitura. Diversamente, puoi distribuire solo il nuovo file .mobileprovision affinché gli utenti non debbano
installare nuovamente l’app. Il nuovo profilo di fornitura sovrascriverà quello già
esistente nell’archivio dell’app.
I profili di fornitura possono essere installati e gestiti via MDM, scaricati e installati
dagli utenti da un sito web sicuro fornito da te, oppure distribuiti come allegati
email che gli utenti possono aprire e installare.
Dopo la scadenza del certificato di distribuzione, l’app non si aprirà più. Il certificato
di distribuzione è valido per tre anni dalla data di emissione oppure fino allo
scadere della tua iscrizione al programma Enterprise Developer Program, a seconda
dell’evento che si verifica prima. Per evitare che il certificato scada prima del
previsto, assicurati di rinnovare per tempo l’iscrizione al programma. Per
informazioni sulle verifiche effettuate sul certificato di distribuzione, consulta il paragrafo “Convalida del certificato” più avanti.
Puoi avere contemporaneamente due certificati di distribuzione attivi, l’uno
indipendente dall’altro. Il secondo certificato mira a fornire un periodo di
sovrapposizione durante il quale puoi aggiornare le app, prima della scadenza del primo certificato. Quando richiedi il secondo certificato di distribuzione dall’iOS Dev Center, assicurati di non revocare il primo certificato.
Convalida del certificato
La prima volta che un utente apre un’app, il certificato di distribuzione viene
convalidato contattando il server OCSP di Apple. A meno che il certificato non sia
stato revocato, verrà consentita l’esecuzione dell’app. L’impossibilità di contattare il server OCSP o di ricevere una risposta non viene considerata una revoca. Per verificare lo stato, il dispositivo deve poter raggiungere ocsp.apple.com.
Consulta il precedente paragrafo “Requisiti per la configurazione della rete” in
questa appendice.
La risposta OCSP viene archiviata nella cache del dispositivo per un periodo di
tempo specificato dal server OCSP; attualmente questo periodo va da tre a sette
giorni. La validità del certificato non viene controllata di nuovo fino al riavvio del
dispositivo e alla scadenza della risposta archiviata.
Se a quel punto si riceve una revoca, verrà impedita l’esecuzione dell’app.
La revoca di un certificato di distribuzione invaliderà tutte le app firmate con tale
certificato. Dovresti revocare un certificato solo in ultima istanza, per esempio se sei
sicuro di aver perso la chiave privata o se credi che il certificato sia stato danneggiato.
!
42
Guida tecnica di riferimento per la distribuzione di iOS
Esempio di file manifest dell’app
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/
DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0”>
<dict>
<!-- array di download. -->
<key>items</key>
<array>
<dict>
<!-- un array di asset da scaricare -->
<key>assets</key>
<array>
<!-- software-package: l’ipa da installare. -->
<dict>
<!-- obbligatorio. il tipo di asset. -->
<key>kind</key>
<string>software-package</string>
<!-- facoltativo. md5 ogni n byte. riavvierà un chunk se md5 fallisce. -->
<key>md5-size</key>
<integer>10485760</integer>
<!-- facoltativo. array di hash md5 per ogni chunk di dimensioni “md5-size”. -->
<key>md5s</key>
<array>
<string>41fa64bb7a7cae5a46bfb45821ac8bba</string>
<string>51fa64bb7a7cae5a46bfb45821ac8bba</string>
</array>
<!-- obbligatorio. l’URL del file da scaricare. -->
<key>url</key>
<string>http://www.esempio.com/apps/foo.ipa</string>
</dict>
<!-- display-image: l’icona da visualizzare durante il download.-->
<dict>
<key>kind</key>
<string>display-image</string>
<!-- facoltativo. indica se bisogna applicare un effetto lucido all’icona. -->
<key>needs-shine</key>
<true/>
<key>url</key>
<string>http://www.esempio.com/image.57x57.png</string>
</dict>
<!-- full-size-image: l’icona grande 512x512 usata da iTunes. -->
<dict>
<key>kind</key>
<string>full-size-image</string>
<!-- facoltativo. un hash md5 per tutto il file. -->
<key>md5</key>
<string>61fa64bb7a7cae5a46bfb45821ac8bba</string>
<key>needs-shine</key>
<true/>
<key>url</key><string>http://www.esempio.com/image.512x512.jpg</string>
</dict>
</array><key>metadata</key>
<dict>
<!-- obbligatorio -->
<key>bundle-identifier</key>
<string>com.esempio.fooapp</string>
<!-- facoltativo (solo software) -->
<key>bundle-version</key>
43
Guida tecnica di riferimento per la distribuzione di iOS
!
<string>1.0</string>
<!-- obbligatorio. il tipo di download. -->
<key>kind</key>
<string>software</string>
<!-- facoltativo. visualizzato durante il download; di solito il nome dell’azienda -->
<key>subtitle</key>
<string>Apple</string>
<!-- obbligatorio. il titolo da visualizzare durante il download. -->
<key>title</key>
<string>App aziendale d’esempio</string>
</dict>
</dict>
</array>
</dict>
</plist>
!
essere applicati i costi previsti dall’operatore per il traffico dati. Quando iMessage non è disponibile, i messaggi potrebbero essere inviati come SMS (alle tariffe previste dall’operatore). 2Per chiamare con FaceTime entrambi
gli interlocutori devono disporre di un dispositivo con FaceTime e di una connessione Wi-Fi. FaceTime su rete cellulare
richiede iPhone 4s e successivi, iPad con display Retina o iPad mini con funzione dati cellulare. Il funzionamento su rete
cellulare dipende dall’operatore; potrebbero essere applicati i costi previsti per il traffico dati. 3Siri potrebbe non essere
disponibile in tutte le lingue o in tutti i Paesi, e le sue funzioni potrebbero variare a seconda dell’area geografica. Richiede un accesso a internet. Potrebbero essere applicati i costi previsti per il traffico dati. 4Alcune funzioni richiedono
una connessione Wi-Fi. Alcune funzioni non sono disponibili in tutti i Paesi. L’accesso ad alcuni servizi è consentito a un
massimo di 10 dispositivi.
1Potrebbero
© 2014 Apple Inc. Tutti i diritti riservati. Apple, il logo Apple, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage,
iPad, iPhone, iPod touch, iTunes, Portachiavi, Keynote, Mac, il logo Mac, MacBook Air, OS X, Pages, Passbook, Retina, Safari,
Siri e Xcode sono marchi di Apple Inc., registrati negli USA e in altri Paesi. AirPrint, iPad Air e iPad mini sono marchi di
Apple Inc. iCloud e iTunes Store sono marchi di servizio di Apple Inc., registrati negli USA e in altri Paesi. Apple Store e
iBooks Store sono marchi di servizio di Apple Inc. IOS è un marchio di Cisco registrato negli USA e in altri Paesi e utilizzato
con licenza. Tutti gli altri prodotti e nomi di aziende citati sono marchi dei rispettivi proprietari.
44

Social innovation, le app della solidarietà digitale

genitori - Istituto Comprensivo Lodi V – `F. Cazzulani`

istruzioni per i lab.tecnologie

2014 Monteforte potrebbe essere il campo prova - usm

SEI IN EMERGENZA? HAI UNO SMARTPHONE?

Scarica Volantino

ORGANIZZAZIONE CONCERTO PER LE

Tecnico superiore per la progettazione e lo sviluppo di applicazioni

le app presenti alla conferenza stampa di milano

2. Scheda di adesione al concorso