iosimplementatiehandleiding
KKApple Inc. 2015 Apple Inc. Alle rechten voorbehouden. Apple, het Apple logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, FileVault, ibooks, ilife, imessage, ipad, ipad Air, iphone, ipod, ipod touch, itunes, iwork, Keychain, Keynote, Mac, MacBook Air, MacBook Pro, Numbers, OS X, Pages, Passbook, Safari, Siri, Spotlight en Xcode zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. AirPrint, Apple Pay, Apple Watch, Handoff, ipad mini, itunes U en Touch ID zijn handelsmerken van Apple Inc. AppleCare, App Store, icloud, icloud Keychain en itunes Store zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. ibooks Store is een dienstmerk van Apple Inc. Het Apple logo is een handelsmerk van Apple Inc., dat is gedeponeerd in de Verenigde Staten en andere landen. Zonder voorafgaande schriftelijke toestemming van Apple is het niet toegestaan om het via het toetsenbord op te roepen Apple logo (Option + Shift + K) te gebruiken voor commerciële doeleinden. Het woordmerk Bluetooth en de Bluetooth-logo's zijn gedeponeerde handelsmerken die eigendom zijn van Bluetooth SIG, Inc.; deze merken worden door Apple Inc. in licentie gebruikt. IOS is een handelsmerk of gedeponeerd handelsmerk van Cisco in de Verenigde Staten en andere landen dat in licentie wordt gebruikt. Andere in deze handleiding genoemde bedrijfs- of productnamen kunnen handelsmerken van de desbetreffende bedrijven zijn. Vermelding van producten van andere fabrikanten is uitsluitend ter informatie en betekent niet dat deze producten door Apple worden aanbevolen of zijn goedgekeurd. Apple aanvaardt geen enkele aansprakelijkheid met betrekking tot de betrouwbaarheid van deze producten. Alle eventuele afspraken, overeenkomsten en garanties komen rechtstreeks tussen de leverancier en de gebruiker tot stand. Dit document is met de uiterste zorg samengesteld. Apple aanvaardt geen aansprakelijkheid voor druk- of typefouten. N019-00124/2015-04
Inhoudsopgave 6 Hoofdstuk 1: ios-implementatiehandleiding 6 Inleiding 8 Hoofdstuk 2: Implementatiemodellen 8 Overzicht 8 Implementatiemodellen voor het onderwijs 8 Overzicht 9 Een-op-een-implementatiemodel met de instelling als eigenaar 12 Implementatiemodel met de student als eigenaar 14 Implementatiemodel voor gedeeld gebruik 16 Implementatiemodellen voor bedrijven 16 Overzicht 17 Gepersonaliseerd apparaat (BYOD) 19 Gepersonaliseerd apparaat (eigendom van bedrijf) 21 Niet-gepersonaliseerd (gedeeld) apparaat 24 Hoofdstuk 3: Wi-Fi 24 Overzicht 24 Wi-Fi-doorvoersnelheid 25 Aanmelden bij een Wi-Fi-netwerk 25 Roaming 27 Rekening houden met bereik en capaciteit 27 Aandachtspunten voor het ontwerp 29 Wi-Fi-standaarden op ios-apparaten 31 Hoofdstuk 4: Infrastructuur en integratie 31 Overzicht 31 Microsoft Exchange 33 Bonjour 34 AirPlay 36 Op standaarden gebaseerde voorzieningen 37 Digitale certificaten 38 Eenmalige aanmelding (SSO) 39 Virtual Private Networks (VPN) 39 Overzicht 40 Ondersteunde protocollen en methoden voor identiteitscontrole 40 SSL-VPN-clients 41 Richtlijnen voor VPN-configuratie 44 App-gebonden VPN 44 VPN op aanvraag 44 Overzicht 45 Fasen 3
45 Regels en acties 46 Achterwaartse compatibiliteit 47 Altijd actieve VPN 47 Overzicht 47 Implementatiescenario's 49 Configuratieprofiel voor Altijd actieve VPN 49 Payload voor Altijd actieve VPN 52 Hoofdstuk 5: Internetvoorzieningen 52 Overzicht 52 Apple ID 53 Zoek mijn iphone en Activeringsslot 54 Continuïteit 55 icloud 55 icloud Drive 56 icloud-sleutelhanger 56 imessage 57 FaceTime 57 Siri 57 Apple ID for Students 57 Apple Push Notification Service (APNs) 59 Hoofdstuk 6: Beveiliging 59 Overzicht 59 Beveiliging van apparaten en gegevens 59 Overzicht 59 Beleidsregels voor toegangscodes 60 Afdwingen van beleid 60 Beveiligde apparaatconfiguratie 61 Gegevensbeveiliging 61 Codering 61 S/MIME per bericht 62 Externe e-mailadressen 62 Touch ID 63 Wissen op afstand 63 Lokaal wissen 63 Netwerkbeveiliging 64 Beveiliging van apps 66 Hoofdstuk 7: Configuratie en beheer 66 Overzicht 66 Configuratie-assistent en activering 67 Configuratieprofielen 68 MDM (Mobile Device Management) 68 Overzicht 69 Inschrijving 69 Configuratie 70 Accounts 70 Informatieverzoeken 71 Beheertaken 71 Beheerde apps Inhoudsopgave 4
73 Beheerde boeken 73 Beheerde domeinen 74 Profielbeheer 74 Apparaten onder supervisie stellen 75 Device Enrollment Program 76 Apple Configurator 77 Hoofdstuk 8: Distributie van apps en boeken 77 Overzicht 77 Volume Purchase Program (VPP) 77 Overzicht 78 Inschrijven voor het Volume Purchase Program 78 Grote aantallen apps en boeken kopen 78 Beheerde distributie 79 Maatwerk-B2B-apps 79 Interne apps 81 Interne boeken 81 Apps en boeken implementeren 81 Overzicht 81 Apps en boeken installeren via de MDM-oplossing 82 Apps installeren met Apple Configurator 82 Caching Server 84 Hoofdstuk 9: Ondersteuningsbehoeften 84 Overzicht 84 AppleCare Help Desk Support 84 AppleCare OS Support 85 AppleCare voor bedrijven 85 AppleCare voor gebruikers van ios-apparaten 85 ios Direct Service Program 85 AppleCare Protection Plan voor Mac of Apple beeldscherm 86 Hoofdstuk 10: Bijlagen 86 Beperkingen 86 Overzicht 86 Instellingen voor het Device Enrollment Program 87 Apparaatfunctionaliteit 89 Instellingen onder supervisie 90 Beveiligings- en privacy-instellingen 92 Gebruik van apps 93 icloud-instellingen 93 Beperkingen voor gebruikers en gebruikersgroepen in Profielbeheer 94 Draadloos interne apps installeren Inhoudsopgave 5
ios-implementatiehandleiding 1 Inleiding Deze implementatiehandleiding is bedoeld voor IT-beheerders die ios-apparaten in hun netwerk willen ondersteunen. De handleiding bevat informatie over de implementatie en ondersteuning van ipads, iphones en ipods touch in grote bedrijven en bij onderwijsinstellingen. De volgende onderwerpen komen aan bod: Integratie met bestaande infrastructuur Uitgebreide beveiliging Implementatiehulpmiddelen Methoden voor de distributie van apps en boeken onder medewerkers, studenten of leerlingen Opmerking: Hoewel deze handleiding voornamelijk is gericht op de implementatie van ios-apparaten, zijn sommige gedeelten ook van toepassing op Mac-desktops en draagbare Mac-computers. In die gevallen wordt de term Apple apparaten gebruikt, die niet alleen verwijst naar de iphone, ipad en ipod touch, maar ook naar Mac-desktops en draagbare Mac-computers. De implementatie van Apple TV komt aan bod in het gedeelte AirPlay van deze handleiding. Deze handleiding is onderverdeeld in de volgende gedeelten: Implementatiemodellen Er zijn verschillende manieren om ios-apparaten te implementeren in uw organisatie. Ongeacht het implementatiemodel dat u kiest, is het verstandig om de stappen door te nemen die u moet uitvoeren om de implementatie zo soepel mogelijk te laten verlopen. Hoewel in deze handleiding alle aspecten van een implementatie van ios-apparaten aan bod komen, kunnen bedrijven en onderwijsinstellingen de feitelijke implementatie op hun eigen manier uitvoeren. Wi-Fi configureren Apple apparaten kunnen zonder aanpassingen op een veilige manier verbinding maken met Wi-Fi-netwerken van het bedrijf of van andere organisaties die hun netwerk hebben opengesteld. Hierdoor hebben gebruikers snel en eenvoudig toegang tot beschikbare draadloze netwerken, ook als ze onderweg zijn. In dit hoofdstuk komen standaard-wi-fi-protocollen voor gegevensoverdracht en codering aan bod. Infrastructuur en integratie ios-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid aan netwerkinfrastructuren. In dit gedeelte leest u meer over de door ios ondersteunde technologieën en beproefde methoden voor de integratie met Microsoft Exchange, VPN en andere standaardvoorzieningen. 6
Internetvoorzieningen Apple heeft een aantal voorzieningen ontwikkeld die gebruikers helpen om het maximale uit hun Apple apparaten te halen. Dit zijn onder meer imessage, FaceTime, Continuïteit, icloud en icloud-sleutelhanger. Om deze voorzieningen te gebruiken, moet een Apple ID worden geconfigureerd en beheerd. Veiligheidsoverwegingen ios is ontworpen voor het bieden van veilige toegang tot zakelijke voorzieningen en het beschermen van belangrijke gegevens. ios ondersteunt krachtige codering van gegevens tijdens de overdracht, bewezen identiteitscontroles voor toegang tot zakelijke voorzieningen en hardwarematige codering van alle gegevens die worden bewaard op ios-apparaten. In dit gedeelte vindt u een overzicht van de beveiligingsvoorzieningen van ios. Configuratie en beheer Apple apparaten bieden ondersteuning voor geavanceerde tools en technologieën die ervoor zorgen dat apparaten eenvoudig zijn in te stellen, kunnen worden geconfigureerd volgens uw eisen en moeiteloos in een grootschalige omgeving kunnen worden beheerd. In dit gedeelte vindt u een beschrijving van de verschillende implementatietools, inclusief een overzicht van mobiel-apparaatbeheer (MDM, Mobile Device Management) en het Device Enrollment Program. Distributie van apps en boeken Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie kunt implementeren. Met de programma's van Apple, zoals het Volume Purchase Program en het ios Developer Enterprise Program, kan uw organisatie apps en boeken voor gebruikers kopen, ontwikkelen en implementeren. In dit gedeelte vindt u gedetailleerde informatie over deze programma's en de manier waarop apps en boeken voor intern gebruik kunnen worden gekocht of gebouwd. Ondersteuningsbehoeften Apple levert diverse programma's en ondersteuningsopties voor gebruikers van Apple apparaten. Het is daarom een goed idee om eerst te kijken wat er allemaal beschikbaar is voor uw organisatie en om te bedenken welke ondersteuning u nodig zult hebben. De volgende bijlagen bevatten technische gegevens en vereisten: MDM-beperkingen Een beschrijving van de beperkingen die u voor ios-apparaten kunt opgeven, zodat deze voldoen aan uw vereisten op het gebied van beveiliging, toegangscodes en andere punten. Draadloos interne apps installeren Een beschrijving van de manier waarop u interne apps kunt distribueren via uw eigen webportaal. Aanvullende informatiebronnen www.apple.com/nl/education/it www.apple.com/ipad/business/it www.apple.com/iphone/business/it Opmerking: Voor een webversie van deze handleiding gaat u naar https://help.apple.com/deployment/ios. Opmerking: Als de ibooks Store niet beschikbaar is in uw land of regio, kunt u deze bronnen in de epub-structuur downloaden. Zoek op ios-implementatiehandleiding. Hoofdstuk 1 ios-implementatiehandleiding 7
Implementatiemodellen 2 Overzicht Er zijn verschillende manieren om ios-apparaten te distribueren en te configureren, variërend van configuratie vooraf tot configuratie door medewerkers of studenten zelf. Neem de opties door voordat u aan de slag gaat. De hulpmiddelen en de procedure die u voor de implementatie gebruikt, zijn ook afhankelijk van het specifieke implementatiemodel. Voor het onderwijs zijn er drie veelgebruikte implementatiemodellen voor ios-apparaten: een een-op-een-implementatiemodel met de instelling als eigenaar, een implementatiemodel met de student als eigenaar en een implementatiemodel voor gedeeld gebruik. Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw instelling meerdere modellen aantreft. In bedrijfsomgevingen kunt u kiezen uit verschillende opties om ios-apparaten te implementeren in uw organisatie. Ongeacht of u ios-apparaten van het bedrijf gaat implementeren, ios-apparaten door medewerkers laat delen of een BYOD-beleid (Bring Your Own Device) gaat instellen, is het verstandig om de stappen in kaart te brengen die u moet nemen om de implementatie zo goed mogelijk te laten verlopen. Als de implementatiemodellen zijn vastgesteld, kan uw team de implementatie- en beheervoorzieningen van Apple in detail gaan bestuderen. Deze hulpmiddelen en programma's worden uitvoerig besproken in dit onderwerp en het is raadzaam deze informatie te bespreken met de belangrijkste belanghebbenden binnen uw organisatie. Implementatiemodellen voor het onderwijs Overzicht Met de ipad komen heel veel handige tools beschikbaar in het klaslokaal. Het kiezen van de juiste strategieën en tools kan docenten, studenten en andere gebruikers een totaal andere onderwijservaring geven. Er zijn heel veel mogelijkheden om ios-apparaten en materiaal op een eenvoudige manier te implementeren en te beheren. Het maakt hierbij niet uit of de instelling ios-apparaten voor één klas of voor alle klassen implementeert. Implementatiemodellen Voor onderwijsinstellingen zijn er drie veelgebruikte implementatiemodellen voor ios-apparaten: Een-op-een-implementatiemodel met de instelling als eigenaar Implementatiemodel met de student als eigenaar Implementatiemodel voor gedeeld gebruik Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw instelling meerdere modellen aantreft. 8
Hieronder ziet u enkele voorbeelden van hoe deze modellen in een onderwijsinstelling worden toegepast: Een school voor voortgezet onderwijs kan kiezen voor en-op-een-implementatie met de instelling als eigenaar en dit model implementeren voor alle klassen. Een grote scholengemeenschap kan eerst op één school een proef doen met een een-op-eenimplementatie met de instelling als eigenaar en vervolgens hetzelfde model uitrollen op alle scholen die deel uitmaken van de gemeenschap. Een basisschool kan kiezen voor een combinatie van een een-op-een-implementatiemodel met de instelling als eigenaar voor de bovenbouw en een implementatiemodel voor gedeeld gebruik voor de onderbouw. Op hogescholen en universiteiten wordt meestal het implementatiemodel met de student als eigenaar gebruikt op het niveau van een of meer campussen. Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor uw omgeving het geschiktste is. Een-op-een-implementatiemodel met de instelling als eigenaar Een een-op-een-implementatiemodel met de instelling als eigenaar biedt de beste mogelijkheden om door middel van ios-apparaten het leerproces te verbeteren. Bij een een-op-een-implementatie met de instelling als eigenaar koopt de instelling doorgaans de ios-apparaten voor alle daarvoor in aanmerking komende leerlingen en docenten. Hierbij kan het gaan om een bepaalde groep of klas, maar ook om een afdeling, een hele scholengemeenschap, een bepaalde faculteit of een complete universiteit. In dit model wordt aan iedere gebruiker een ios-apparaat toegewezen dat door de instelling wordt geconfigureerd en beheerd. Dit proces kan worden vereenvoudigd en geautomatiseerd via een MDM-oplossing (Mobile Device Management). Dit is een oplossing die speciaal is bedoeld voor het beheren van mobiele apparaten. Als de ios-apparaten rechtstreeks bij Apple of een deelnemende erkende Apple reseller of aanbieder worden gekocht, kan uw instelling de inschrijving bij de MDM-oplossing laten automatiseren via het Device Enrollment Program (DEP). De ios-apparaten kunnen in dat geval direct aan de gebruikers worden overhandigd. Hoofdstuk 2 Implementatiemodellen 9
Nadat de ios-apparaten zijn gedistribueerd, doorlopen gebruikers een gedeeltelijk geautomatiseerde, gestroomlijnde configuratieprocedure, worden ze automatisch ingeschreven bij de MDM-oplossing en kunnen ze hun ios-apparaat verder aanpassen of hun eigen materiaal downloaden. Gebruikers kunnen ook een uitnodiging krijgen om specifiek onderwijsmateriaal te downloaden, zoals apps en boeken die zijn gekocht via het Volume Purchase Program (VPP), of cursussen van itunes U. Als leerlingen jonger zijn dan 13 jaar, kan uw instelling een Apple ID voor hen aanmaken via het programma Apple ID for Students, zodat ze apps en boeken kunnen ontvangen. Uw instelling kan deze informatiebronnen op elk moment gedurende het schooljaar draadloos aanbieden of bijwerken. Met behulp van Caching Server kan het merendeel van deze downloads afkomstig zijn van het lokale netwerk van de instelling. Als ios-apparaten onder supervisie staan, worden apps automatisch geïnstalleerd. Hoofdstuk 2 Implementatiemodellen 10
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker in een een-op-een-implementatie met apparaten die eigendom zijn van de instelling: Voorbereiden Beheerder: Een MDM-oplossing zoeken, kopen en implementeren. Inschrijven bij DEP, het VPP en het programma Apple ID for Students. Uitpakken en (optioneel) het ios-apparaat van een tag voorzien. Apple ID's aanmaken voor leerlingen jonger dan 13 (indien van toepassing). Gebruikers: Apple ID's en accounts voor de itunes Store en icloud aanmaken. Instellen en configureren Beheerder: ios-apparaten toewijzen in DEP met het oog op supervisie en een gestroomlijnde inschrijving bij de MDM-oplossing. Apple Configurator in plaats van DEP en MDM gebruiken voor de configuratie en supervisie van de ios-apparaten. Accounts, instellingen en beperkingen draadloos configureren en installeren met de MDM-oplossing. Gebruikers: Aan de gebruiker wordt een ios-apparaat uitgereikt. Referenties van de instelling in de configuratieassistent invoeren voor DEP (optioneel). Het ios-apparaat personaliseren met de configuratie-assistent en een persoonlijke Apple ID invoeren. De instellingen en configuraties van de ios-apparaten worden automatisch ontvangen van de MDM-oplossing. Apparaten en materiaal distribueren Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. Uitnodiging voor het VPP versturen naar gebruikers. Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen. Gebruikers: Uitnodiging voor het VPP accepteren. Apps en boeken downloaden en installeren die door de instelling worden toegewezen. Als het ios-apparaat onder supervisie staat, kunnen apps op de achtergrond naar het apparaat van de gebruiker worden gepusht. Doorlopend beheer Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde ios-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om ios-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een ios-apparaat volledig te wissen. Apple TV implementeren voor ondersteuning van AirPlay. Gebruikers: Een reservekopie van het ios-apparaat maken in itunes of icloud, om documenten en ander persoonlijk materiaal te bewaren. Bij verlies of diefstal van het ios-apparaat kan de gebruiker het apparaat met Zoek mijn iphone terugvinden. Hoofdstuk 2 Implementatiemodellen 11
Aanvullende informatiebronnen VPP - Overzicht MDM - Overzicht Device Enrollment Program Apple ID for Students Apple ID Caching Server AirPlay Apple Configurator Implementatiemodel met de student als eigenaar In het voortgezet en universitair onderwijs nemen studenten meestal hun eigen ios-apparaat mee. Ook op sommige basisscholen nemen leerlingen hun eigen ios-apparaat mee naar school. In dit model worden ios-apparaten ingesteld en geconfigureerd door de student of een ouder. Om voorzieningen van de instelling te kunnen gebruiken, zoals Wi-Fi, e-mail en agenda's, of om het ios-apparaat te configureren voor specifieke doeleinden, worden de eigen apparaten van de studenten meestal ingeschreven bij een MDM-oplossing van de instelling. In onderwijsomgevingen kan een MDM-oplossing worden ingezet om de eigen ios-apparaten van de leerlingen of studenten te beheren. Toegang tot de voorzieningen van een instelling is voor gebruikers een stimulans om hun ios-apparaten in te schrijven bij de MDM-oplossing van de organisatie. Hierdoor wordt ervoor gezorgd dat alle configuratie-instellingen, beleidsregels, beperkingen, apps en boeken en al het overige materiaal automatisch en op de achtergrond worden geïmplementeerd, terwijl de instelling daar wel de controle over houdt. Inschrijving bij een MDM-oplossing is niet verplicht. Dit betekent dat studenten de beheerfunctie kunnen uitschakelen nadat ze een cursus hebben afgerond, zijn afgestudeerd of de instelling hebben verlaten. Als ze de beheerfunctie uitschakelen, worden ook alle materialen en voorzieningen van de instelling verwijderd. Hoofdstuk 2 Implementatiemodellen 12
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker in een implementatie met apparaten die eigendom zijn van de studenten: Voorbereiden Beheerder: Een MDM-oplossing zoeken, kopen en implementeren. Inschrijven bij het VPP. Gebruikers: Het ios-apparaat uitpakken en activeren. Een Apple ID en accounts voor de itunes Store en icloud aanmaken, indien van toepassing. Instellen en configureren Beheerder: Geen actie nodig in deze fase. Gebruikers: ios-apparaten via de selfservicevoorziening inschrijven en accounts, instellingen en beperkingen draadloos configureren via een MDM-oplossing, op basis van het gebruikers-/ groepsbeleid dat door de instelling is gedefinieerd. De ios-apparaten personaliseren met de configuratie-assistent en (eventueel) een persoonlijke Apple ID invoeren. Inschrijven bij de MDM-oplossing. Apps en boeken distribueren Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. Uitnodiging voor het VPP versturen naar gebruikers. Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen. Gebruikers: Uitnodiging voor het VPP accepteren. Apps en boeken downloaden en installeren die door de instelling worden toegewezen. ios en apps op hun ios-apparaat bijwerken. Doorlopend beheer Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde ios-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om ios-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een ios-apparaat volledig te wissen. Gebruikers: Een reservekopie van het apparaat maken in itunes of icloud, om documenten en ander persoonlijk materiaal te bewaren. Bij verlies of diefstal van het ios-apparaat kan de gebruiker het apparaat met Zoek mijn iphone terugvinden. Wanneer de koppeling met de MDM-oplossing wordt verwijderd, worden ook beheerde accounts en gegevens verwijderd. De persoonlijke apps, boeken, gegevens en inhoud van de gebruiker blijven echter bewaard. Opmerking: VPP-boeken worden permanent toegewezen. Ze kunnen niet worden ingetrokken. Aanvullende informatiebronnen VPP - Overzicht MDM - Overzicht Apple ID Caching Server Hoofdstuk 2 Implementatiemodellen 13
Implementatiemodel voor gedeeld gebruik In het implementatiemodel voor gedeeld gebruik worden ios-apparaten gekocht voor gebruik in een klaslokaal of practicumlokaal en kunnen de apparaten gedurende de schooldag door verschillende leerlingen worden gebruikt. Deze apparaten worden in beperkte mate aangepast, waardoor het niet mogelijk is om voor iedere leerling een gepersonaliseerde leeromgeving aan te bieden. Deze aanpak is niet alleen geschikt voor een model voor gedeeld gebruik door leerlingen, maar ook voor een een-op-een-implementatie in een sterk gecontroleerde omgeving, zoals in de onderbouw van een basisschool. In dit geval is de personalisering van de apparaten minimaal. Implementaties voor gedeeld gebruik worden strenger beheerd dan gepersonaliseerde implementaties, aangezien de configuratie en het beheer worden uitgevoerd door het personeel van de instelling. Bij een implementatie voor gedeeld gebruik is de instelling verantwoordelijk voor het installeren van apps, boeken en ander materiaal dat nodig is voor de leerervaring. Hoofdstuk 2 Implementatiemodellen 14
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie voor gedeeld gebruik: Voorbereiden Beheerder: Een MDM-oplossing zoeken, kopen en implementeren. Inschrijven bij het VPP. Uitpakken en (optioneel) het ios-apparaat van een tag voorzien. Een of meer Apple ID's voor de instelling aanmaken voor elk exemplaar van Apple Configurator. Gebruikers: Geen actie nodig in deze fase. Instellen en configureren Beheerder: Apple Configurator gebruiken voor de configuratie en supervisie van apparaten. Apple Configurator gebruiken om apparaten in te schrijven bij de MDM-oplossing (optioneel). Apple Configurator of de MDM-oplossing gebruiken om accounts, instellingen en beperkingen te installeren. Gebruikers: Geen actie nodig in deze fase. Apps distribueren Beheerder: Apps kopen via het VPP en vervolgens implementeren met behulp van inwisselcodes voor installatie en beheer met Apple Configurator. Gebruikers: Geen actie nodig in deze fase. Doorlopend beheer Beheerder: ios op het apparaat bijwerken met Apple Configurator. Accounts, instellingen en beperkingen draadloos bijwerken, configureren en installeren met Apple Configurator of via de MDM-oplossing. Periodiek de standaardconfiguratie van apparaten herstellen met Apple Configurator. Apps op het ios-apparaat installeren en bijwerken met Apple Configurator. Met behulp van een MDM-oplossing kunt u gegevens van beheerde ios-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om ios-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een ios-apparaat volledig te wissen. Het is essentieel om regelmatig een reservekopie te maken van de Mac waarop Apple Configurator wordt uitgevoerd, aangezien de aankopen via het VPP lokaal worden beheerd. Gebruikers: Geen actie nodig in deze fase. Hoofdstuk 2 Implementatiemodellen 15
Aanvullende informatiebronnen VPP - Overzicht MDM - Overzicht Apple ID Apple Configurator Implementatiemodellen voor bedrijven Overzicht ios-apparaten kunnen een radicale hervorming in uw bedrijf teweegbrengen. De productiviteit kan aanzienlijk toenemen, terwijl uw medewerkers de vrijheid en flexibiliteit krijgen om zowel op kantoor als onderweg anders te gaan werken. Als u voor deze nieuwe manier van werken kiest, levert dat voor de gehele organisatie voordelen op. Zo hebben gebruikers een betere toegang tot informatie, waardoor ze met een goede onderbouwing tot creatieve oplossingen van problemen kunnen komen. Ondersteuning van ios door de IT-afdelingen betekent dat ze vorm geven aan de bedrijfsstrategie en echte problemen oplossen, in plaats van technologieproblemen op te lossen en kosten te besparen. Uiteindelijk zijn de voordelen overal zichtbaar: medewerkers die zeer productief zijn en overal nieuwe zakelijke kansen. Ongeacht of het om een grote of kleine organisatie gaat, zijn er verschillende eenvoudige manieren om ios-apparaten en materiaal eenvoudig te implementeren en te beheren. Het is belangrijk dat u eerst vaststelt welk implementatiemodel het beste bij uw organisatie past. Afhankelijk van het model dat u kiest, kan Apple verschillende implementatie- en beheertools aanbieden. Implementatiemodellen Voor het bedrijfsleven zijn er drie veelgebruikte implementatiemodellen voor ios-apparaten: Gepersonaliseerd apparaat (BYOD) Gepersonaliseerd apparaat (eigendom van bedrijf) Niet-gepersonaliseerd (gedeeld) apparaat Hoewel de meeste organisaties de voorkeur geven aan een bepaald model, bestaat de kans dat u meerdere modellen aantreft binnen uw organisatie. Zo kan een detailhandelsorganisatie kiezen voor de strategie Gepersonaliseerd apparaat (BYOD) door medewerkers toe te staan hun eigen ipad te configureren, terwijl gegevens en programma's van het bedrijf gescheiden blijven van de persoonlijke gegevens en apps van de gebruiker. In de winkels van de onderneming kan echter ook de strategie Niet-gepersonaliseerd (gedeeld) apparaat worden toegepast, zodat ipods touch worden gedeeld door verschillende medewerkers om transacties voor klanten te verwerken. Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor uw omgeving het geschiktste is. Hoofdstuk 2 Implementatiemodellen 16
Gepersonaliseerd apparaat (BYOD) Bij een BYOD-implementatie (Bring Your Own Device) configureren gebruikers hun eigen ios-apparaten met hun eigen Apple ID. Gebruikers kunnen op verschillende manieren toegang krijgen tot de informatiebronnen van het bedrijf. Zo kunnen ze instellingen handmatig configureren, een configuratieprofiel installeren of het ios-apparaat inschrijven bij de MDM-oplossing van de organisatie. Deze laatste variant wordt het meest toegepast. Een voordeel van het inschrijven van persoonlijke ios-apparaten bij een MDM-oplossing is dat de informatie van het bedrijf gescheiden blijft van de persoonlijke gegevens en apps van de gebruiker. U kunt instellingen afdwingen, controleren of het beleid van het bedrijf wordt nageleefd en zakelijke gegevens en apps verwijderen, en tegelijkertijd persoonlijke gegevens en apps op het ios-apparaat laten staan. Hoofdstuk 2 Implementatiemodellen 17
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met gepersonaliseerde (eigen) apparaten: Voorbereiden Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. Een MDM-oplossing zoeken, kopen en implementeren. Inschrijven bij het VPP. Gebruikers: Het ios-apparaat uitpakken en activeren. Een Apple ID en accounts voor de itunes Store en icloud aanmaken, indien van toepassing. Instellen en configureren Beheerder: Organisaties kunnen ervoor kiezen om aan gebruikers instellingen voor persoonlijke accounts te verstrekken en om beleidsregels via Exchange te versturen of met een configuratieprofiel te installeren. Gebruikers: ios-apparaten via de selfservicevoorziening inschrijven en accounts, instellingen en beperkingen draadloos configureren via een MDM-oplossing, op basis van het gebruikers-/ groepsbeleid dat door de organisatie is gedefinieerd. De instellingen en configuraties van de ios-apparaten worden automatisch ontvangen van de MDM-oplossing. Een alternatief is dat gebruikers handmatig configuratieprofielen installeren of de door u opgegeven instellingen configureren. Apps en boeken distribueren Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. Uitnodiging voor het VPP versturen naar gebruikers. Interne apps uit het ios Developer Enterprise Program (idep) en interne boeken kunt u distribueren door ze op een webserver te hosten of via de MDM-oplossing aan te leveren. Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen. Gebruikers: Uitnodiging voor het VPP accepteren. Apps en boeken downloaden en installeren die door de organisatie worden toegewezen. Doorlopend beheer Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). Met behulp van een MDM-oplossing kunt u gegevens van beheerde ios-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om ios-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een ios-apparaat volledig te wissen. Gebruikers: Een reservekopie van het ios-apparaat maken in itunes of icloud, om documenten en ander persoonlijk materiaal te bewaren. Bij verlies of diefstal van het apparaat kan de gebruiker het apparaat met Zoek mijn iphone terugvinden. Wanneer de koppeling met de MDM-oplossing wordt verwijderd, worden ook beheerde accounts en gegevens verwijderd. De persoonlijke apps, boeken, gegevens en inhoud van de gebruiker blijven echter bewaard. Hoofdstuk 2 Implementatiemodellen 18
Aanvullende informatiebronnen VPP - Overzicht MDM - Overzicht Apple ID Caching Server Gepersonaliseerd apparaat (eigendom van bedrijf) Kies het model Gepersonaliseerd apparaat (eigendom van bedrijf) als u ios-apparaten wilt implementeren die het eigendom zijn van uw organisatie. U kunt de ios-apparaten desgewenst configureren met basisinstellingen voordat u ze aan de gebruikers geeft. Een andere mogelijkheid is om (net als bij de variant met eigen apparaten) instructies of configuratieprofielen te verstrekken, zodat gebruikers de configuratie zelf kunnen uitvoeren. Een derde mogelijkheid is dat de gebruikers hun ios-apparaten inschrijven bij een MDMoplossing, waarna instellingen en apps draadloos naar het apparaat worden overgebracht. Gebruikers kunnen hun ios-apparaat vervolgens personaliseren met hun eigen apps en gegevens, die gescheiden worden opgeslagen van de beheerde apps en gegevens van uw organisatie. Als de ios-apparaten rechtstreeks bij Apple of een deelnemende erkende Apple reseller of aanbieder worden gekocht, kan uw organisatie de inschrijving bij de MDM-oplossing laten automatiseren via het Device Enrollment Program (DEP). De ios-apparaten kunnen in dat geval direct aan de gebruikers worden overhandigd of naar het woonadres van de gebruikers worden verstuurd. Vervolgens kunnen ze op afstand worden geactiveerd. Hoofdstuk 2 Implementatiemodellen 19
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met gepersonaliseerde apparaten die het eigendom zijn van het bedrijf: Voorbereiden Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. Een MDM-oplossing zoeken, kopen en implementeren. Inschrijven bij het Device Enrollment Program (DEP) en het Volume Purchase Program (VPP). Gebruikers: Een Apple ID en accounts voor de itunes Store en icloud aanmaken, indien van toepassing. Instellen en configureren Beheerder: Via de website van het Device Enrollment Program uw virtuele servers koppelen aan de MDM-oplossing. De inschrijving via het Device Enrollment Program stroomlijnen door ios-apparaten op ordernummer of serienummer toe te wijzen aan virtuele MDM-servers. ios-apparaten toewijzen in DEP met het oog op supervisie en een gestroomlijnde inschrijving bij de MDM-oplossing. Het ios-apparaat configureren en beheren met Apple Configurator (alternatief voor hierboven). Accounts, instellingen en beperkingen draadloos configureren met de MDM-oplossing of via een USB-verbinding en Apple Configurator. Gebruikers: De gebruiker krijgt een ios-apparaat ter beschikking. Als het apparaat is geconfigureerd met Apple Configurator, hoeft de gebruiker geen instellingen meer op te geven. Organisatiereferenties invoeren in de configuratieassistent voor DEP (optioneel). Het ios-apparaat personaliseren met de configuratie-assistent en een persoonlijke Apple ID invoeren. Inschrijven bij de MDM-oplossing. De instellingen en configuraties van de ios-apparaten worden automatisch ontvangen van de MDM-oplossing. Apps en boeken distribueren Beheerder: Uw token downloaden uit de VPP Store en koppelen aan de MDM-oplossing. Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. Uitnodiging voor het VPP versturen naar gebruikers. Interne apps uit het ios Developer Enterprise Program (idep) en interne boeken kunt u distribueren door ze op een webserver te hosten of via de MDM-oplossing aan te leveren. Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen. Gebruikers: Uitnodiging voor het VPP accepteren. Apps en boeken downloaden en installeren die door de organisatie worden toegewezen. Als het ios-apparaat onder supervisie staat, kunnen apps op de achtergrond naar het apparaat van de gebruiker worden gepusht. Hoofdstuk 2 Implementatiemodellen 20
Doorlopend beheer Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). Met behulp van een MDM-oplossing kunt u gegevens van beheerde ios-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om ios-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een ios-apparaat volledig te wissen. Gebruikers: Een reservekopie van het ios-apparaat maken in itunes of icloud, om documenten en ander persoonlijk materiaal te bewaren. Bij verlies of diefstal van het apparaat kan de gebruiker het apparaat met Zoek mijn iphone terugvinden. Aanvullende informatiebronnen VPP - Overzicht MDM - Overzicht Device Enrollment Program Apple ID Caching Server Apple Configurator Niet-gepersonaliseerd (gedeeld) apparaat Als ios-apparaten door verschillende mensen worden gedeeld of voor één specifiek doel worden gebruikt (zoals in een restaurant of hotel), worden deze apparaten meestal door u geconfigureerd en beheerd en niet door een individuele gebruiker. Bij een implementatie met niet-gepersonaliseerde, gedeelde apparaten bewaren gebruikers meestal geen persoonlijke gegevens en kunnen ze geen apps installeren. Niet-gepersonaliseerde apparaten worden meestal beheerd met Apple Configurator en worden ingeschreven bij een MDM-oplossing. Op deze manier kan het materiaal op het apparaat worden vernieuwd of hersteld als een gebruiker wijzigingen heeft aangebracht. Hoofdstuk 2 Implementatiemodellen 21
In de volgende tabel ziet u de verantwoordelijkheden van de beheerder en de gebruiker bij een implementatie met niet-gepersonaliseerde (gedeelde) apparaten: Voorbereiden Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. Een MDM-oplossing zoeken, kopen en implementeren. Inschrijven bij het Volume Purchase Program (VPP). Gebruikers: Geen actie nodig in deze fase. Instellen en configureren Beheerder: Uitpakken en (optioneel) het ios-apparaat van een tag voorzien. Apple Configurator gebruiken voor de configuratie en supervisie van apparaten. Apple Configurator gebruiken om apparaten in te schrijven bij de MDM-oplossing (optioneel). Apple Configurator of de MDM-oplossing gebruiken om accounts, instellingen en beperkingen te installeren. Gebruikers: Geen actie nodig in deze fase. Apps distribueren Beheerder: Apps kopen via het VPP en de apps implementeren met Apple Configurator. Interne apps met Apple Configurator distribueren vanuit het ios Developer Enterprise Program (idep). Interne boeken distribueren door deze te hosten op een webserver of via de MDM-oplossing. Gebruikers: Geen actie nodig in deze fase. Doorlopend beheer Beheerder: ios op het apparaat bijwerken met Apple Configurator. Accounts, instellingen en beperkingen draadloos bijwerken, configureren en installeren met Apple Configurator of via de MDM-oplossing. Periodiek de standaardconfiguratie van apparaten herstellen met Apple Configurator. Apps op het apparaat installeren en bijwerken met Apple Configurator. Met behulp van een MDM-oplossing kunt u gegevens van beheerde ios-apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd, of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om ios-apparaten te vergrendelen, beheerde accounts of gegevens op afstand te verwijderen of een ios-apparaat volledig te wissen. Gebruikers: Geen actie nodig in deze fase. Hoofdstuk 2 Implementatiemodellen 22
Aanvullende informatiebronnen VPP - Overzicht MDM - Overzicht Apple ID Apple Configurator Hoofdstuk 2 Implementatiemodellen 23
Wi-Fi 3 Overzicht Bij het voorbereiden van de Wi-Fi-infrastructuur voor een implementatie van Apple apparaten moet u rekening houden met verschillende factoren: Wi-Fi-doorvoersnelheid Wi-Fi-triggerdrempel Benodigd bereik Aantal en dichtheid van apparaten die het Wi-Fi-netwerk gebruiken Typen Apple apparaten en de Wi-Fi-mogelijkheden ervan Typen en hoeveelheid gegevens die worden verzonden Beveiligingsvereisten voor toegang tot het draadloze netwerk Vereisten voor versleuteling Hoewel deze lijst niet volledig is, zijn dit enkele van de meest relevante factoren waarmee u bij het ontwerpen van een Wi-Fi-netwerk rekening moet houden. Opmerking: In dit gedeelte wordt het ontwerp van een Wi-Fi-netwerk voor Noord-Amerika besproken. In andere landen kan een ander ontwerp nodig zijn. Wi-Fi-doorvoersnelheid Als u ios-apparaten wilt implementeren in uw organisatie, is het belangrijk dat uw Wi-Fi-netwerk en ondersteunende infrastructuur stabiel zijn en met de laatste software zijn bijgewerkt. Een consistente en betrouwbare toegang tot een krachtig netwerk is essentieel voor het instellen en configureren van ios-apparaten. Daarnaast wordt het succes van de implementatie voor een groot deel bepaald door de mogelijkheid om meerdere ios-apparaten te ondersteunen met gelijktijdige verbindingen van al uw medewerkers, studenten, leerlingen of docenten. Belangrijk: De gebruikers en hun ios-apparaten moeten toegang hebben tot uw draadloze netwerk en internetvoorzieningen om het apparaat te configureren. Als blijkt dat apparaten geen toegang kunnen krijgen tot de activeringsservers van Apple, icloud of de itunes Store, moet u mogelijk uw webproxy of firewallpoorten zodanig configureren dat al het netwerkverkeer dat van Apple apparaten afkomstig is, toegang heeft tot het netwerk van Apple (17.0.0.0/8). Zie het Apple Support-artikel TCP and UDP ports used by Apple software products (Engelstalig) voor een lijst met poorten die door Apple apparaten worden gebruikt. 24
Aanmelden bij een Wi-Fi-netwerk Gebruikers kunnen instellen dat Apple apparaten automatisch verbinding maken met beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit apps (zoals Mail) snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere gegevens vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te openen. Doordat de Wi-Fi-verbinding niet wordt verbroken en weinig batterijstroom vraagt, kunnen apps bovendien via het Wi-Fi-netwerk pushberichten versturen. U kunt instellingen configureren voor het draadloze netwerk, de beveiliging, een proxyserver en identiteitscontrole. Hiervoor gebruikt u configuratieprofielen of een MDM-oplossing (een oplossing voor het beheer van mobiele apparaten). Zie het Apple Support-artikel Hoe ios het draadloze netwerk kiest waarmee automatisch verbinding wordt gemaakt voor informatie over de manier waarop ios bepaalt met welk draadloos netwerk automatisch verbinding moet worden gemaakt. WPA2-Enterprise Apple apparaten ondersteunen standaardprotocollen voor draadloze netwerken, waaronder WPA2-Enterprise, zodat draadloze bedrijfsnetwerken veilig kunnen worden benaderd. WPA2 Enterprise maakt gebruik van 128-bits-AES-codering, wat inhoudt dat de gegevens van gebruikers veilig blijven. Dankzij de ondersteuning voor 802.1x-identiteitscontrole kunnen ios-apparaten in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd. ios ondersteunt meerdere protocollen voor draadloze 802.1x-identiteitscontrole, zoals EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, IKEv2, PEAPv0, PEAPv1 en LEAP.ara. Roaming Voor roaming op grote Wi-Fi-bedrijfsnetwerken biedt ios ondersteuning voor 802.11k en 802.11r. De triggerdrempel is het minimale signaalniveau dat een client nodig heeft om de huidige verbinding in stand te houden. ios-apparaten bewaken en handhaven de verbinding met de huidige BSSID totdat de RSSI de drempel van -70 dbm overschrijdt. Zodra deze drempel wordt overschreden, wordt een scan gestart om kandidaat-bssid's voor de huidige ESSID te vinden. Het is belangrijk om hier rekening mee te houden bij het ontwerpen van draadloze cellen en de verwachte signaaloverlap hiertussen. Als 5-GHz cellen bijvoorbeeld zijn ontworpen met een overlap van -67 dbm, gebruikt ios -70 dbm als trigger en blijft de verbinding met de huidige BSSID langer in stand dan u zou verwachten. Kijk hoe de celoverlap is gemeten. De antennes op een draagbare computer zijn veel groter en krachtiger dan die op een smartphone of tablet, zodat ios-apparaten andere celgrenzen zien dan u misschien zou verwachten. U kunt altijd het best een meting doen met behulp van het te gebruiken apparaat. Met 802.11k kan uw ios-apparaat snel detecteren of er in de buurt toegangspunten beschikbaar zijn voor roaming. Als de signaalsterkte van het huidige toegangspunt zwakker wordt en het apparaat moet roamen naar een ander toegangspunt, is al duidelijk met welk ander toegangspunt het best verbinding kan worden gemaakt. Hoofdstuk 3 Wi-Fi 25
802.11r stroomlijnt de identiteitscontrole met de functie 'Fast Basic Service Set Transition' (FT) wanneer uw ios-apparaat van het ene toegangspunt naar het andere toegangspunt binnen hetzelfde netwerk roamt. Met FT kunnen ios-apparaten sneller worden gekoppeld aan toegangspunten. Afhankelijk van de leverancier van de Wi-Fi-hardware, kan FT zowel met een vooraf gedeelde sleutel (PSK) als met een 802.1X-identiteitscontrole werken. Opmerking: Niet iedere hardwareleverancier voor Wi-Fi-netwerken ondersteunt 802.11k en 802.11r. Raadpleeg de fabrikant van de Wi-Fi-hardware (controllers en toegangspunten) om na te gaan of deze methoden worden ondersteund. Als beide standaarden worden ondersteund, moet u 802.11k en FT inschakelen. Aangezien de configuratiemethoden verschillen, kunt u het best de documentatie bij uw Wi-Fi-hardware raadplegen. In de onderstaande tabel ziet u welke ios-apparaten ondersteuning bieden voor 802.11k en 802.11r met ios. Zelfs als een ios-apparaat geen ondersteuning biedt voor 802.11r, biedt ios 5.1 ondersteuning voor PKMID-caching (Pairwise Master Key Identifier Caching). PKMID-caching kan worden gebruikt in combinatie met bepaalde apparatuur van Cisco om de roaming tussen toegangspunten te verbeteren. Mogelijk zijn er extra SSID's nodig om ondersteuning te bieden voor zowel ios-apparaten met FT-functionaliteit als ios-apparaten met PMKID-caching. ios-apparaat ipad Air 2, ipad mini 3, iphone 6, iphone 6 Plus, iphone 5s. iphone 5c, ipad Air, ipad mini met Retina-display, ipad (4e generatie), ipad mini, iphone 5, ipod touch (5e generatie) ipad (3e generatie), iphone 4s ipad (2e generatie en eerder), iphone 4 en eerdere modellen, ipod touch (4e generatie en eerder) Ondersteuning 802.11k/r Ondersteunde methoden vanaf ios 6 Ondersteunde methoden vóór ios 6 Ja FT, PMKID-caching Niet van toepassing Ja FT, PMKID-caching PMKID-caching Nee PMKID-caching PMKID-caching Vóór de release van ios 5.1 was optimale roaming tussen toegangspunten niet mogelijk in ios. SKC (Sticky Key Caching) is een vorm van PMKIDcaching. SKC is niet hetzelfde als en ook niet compatibel met OKC (Opportunistic Key Caching). Zie het Apple Support-artikel ios 8: Wireless roaming reference for enterprise customers (Engelstalig) voor naslaginformatie over draadloze roaming. Zie het Apple Support-artikel ios: Wi-Fi-netwerkroaming met 802.11k en 802.11r voor meer informatie over roaming met 802.11k en 802.11r. Hoofdstuk 3 Wi-Fi 26
Rekening houden met bereik en capaciteit Hoewel het belangrijk is dat alle Apple apparaten binnen een bepaald gebied Wi-Fi-bereik hebben, is het ook essentieel om rekening te houden met de dichtheid van de apparaten in een bepaald gebied, zodat de benodigde capaciteit kan worden gewaarborgd. De meeste moderne toegangspunten kunnen overweg met wel 50 Wi-Fi-clients of zelfs meer. Als één 802.11n-toegangspunt ook daadwerkelijk door zoveel apparaten tegelijk wordt gebruikt, is de kans groot echter dat het kwaliteitsniveau teleurstellend is. Het kwaliteitsniveau voor de gebruiker is niet alleen afhankelijk van de beschikbare bandbreedte op het kanaal dat door het apparaat wordt gebruikt, maar ook van het aantal apparaten dat van die bandbreedte gebruikmaakt. Naarmate er meer apparaten hetzelfde kanaal gebruiken, neemt de relatieve netwerksnelheid voor die apparaten af. Bij het ontwerp van het Wi-Fi-netwerk moet u daarom rekening houden met het verwachte gebruikspatroon van de Apple apparaten. Belangrijk: Maak als het kan geen gebruik van verborgen SSID's (Service Set Identifiers), aangezien Wi-Fi-apparaten actief moeten zoeken naar verborgen SSID's. Dit leidt tot vertragingen wanneer de SSID opnieuw wordt verbonden met het netwerk, wat gevolgen kan hebben voor de gegevensstroom en de communicatie. Het verbergen van de SSID heeft ook geen voordelen voor de beveiliging van het netwerk. Gebruikers hebben de neiging om regelmatig van locatie te veranderen en nemen hun Apple apparaten dan mee. Verborgen SSID's veroorzaken daarom vaak vertraging bij de netwerkkoppeling en zorgen voor slechtere prestaties tijdens roaming. Deze manier van werken kost bovendien meer voeding dan een broadcast-ssid, wat gevolgen kan hebben voor de batterijduur van apparaten. 2,4 GHz versus 5 GHz De Wi-Fi-netwerken op de 2,4-GHz band bieden elf kanalen in Noord-Amerika. Vanwege mogelijke storing op kanalen wordt aangeraden om in het netwerkontwerp alleen de kanalen 1, 6 en 11 te gebruiken. 5-GHz signalen gaan minder goed door muren en andere obstakels heen dan 2,4-GHz signalen, waardoor het dekkingsgebied kleiner is. Gebruik daarom 5-GHz netwerken als uw ontwerp geschikt moet zijn voor een hoge dichtheid van apparaten in een afgesloten ruimte, zoals een klaslokaal of een grote vergaderruimte. Het aantal kanalen dat op de 5-GHz band beschikbaar is, verschilt per leverancier en per land, maar er zijn altijd minimaal acht kanalen beschikbaar. 5-GHz kanalen overlappen elkaar niet, wat een grote verbetering is ten opzichte van de drie elkaar overlappende kanalen die beschikbaar zijn in de 2,4-GHz band. Als u een Wi-Fi-netwerk ontwerpt voor een hoge dichtheid aan Apple apparaten, zijn de extra kanalen die 5 GHz biedt zeker het overwegen waard. Belangrijk: Het is essentieel dat het draadloze bereik binnen de werkomgeving overal ruim voldoende is. Als er oudere apparaten worden gebruikt, moet in het ontwerp rekening worden gehouden met beide Wi-Fi-banden, te weten 802.11b/g/n 2,4 GHz en 802.11a/n/ac 5 GHz. Aandachtspunten voor het ontwerp Er zijn drie punten waarmee u bij het ontwerpen van uw Wi-Fi-netwerken rekening moet houden. Hoofdstuk 3 Wi-Fi 27