Referentiehandleiding voor de implementatie van ios-apparaten
KKApple Inc. 2014 Apple Inc. Alle rechten voorbehouden. Apple, het Apple logo, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, ibooks, imessage, ipad, iphone, ipod, ipod touch, itunes, Keychain, Mac, MacBook Air, OS X, Passbook, Safari, Siri, Spotlight en Xcode zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. AirPrint, ipad Air, ipad mini en Touch ID zijn handelsmerken van Apple Inc. AppleCare, icloud, itunes Store en itunes U zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. App Store en ibooks Store zijn dienstmerken van Apple Inc. Het Apple logo is een handelsmerk van Apple Inc., dat is gedeponeerd in de Verenigde Staten en andere landen. Zonder voorafgaande schriftelijke toestemming van Apple is het niet toegestaan om het via het toetsenbord op te roepen Apple logo (Option + Shift + K) te gebruiken voor commerciële doeleinden. Het woordmerk Bluetooth en de Bluetooth-logo's zijn gedeponeerde handelsmerken die eigendom zijn van Bluetooth SIG, Inc.; deze merken worden door Apple Inc. in licentie gebruikt. IOS is een handelsmerk of gedeponeerd handelsmerk van Cisco in de Verenigde Staten en andere landen dat in licentie wordt gebruikt. Andere in deze handleiding genoemde bedrijfs- of productnamen kunnen handelsmerken van de desbetreffende bedrijven zijn. Vermelding van producten van andere fabrikanten is uitsluitend ter informatie en betekent niet dat deze producten door Apple worden aanbevolen of zijn goedgekeurd. Apple aanvaardt geen enkele aansprakelijkheid met betrekking tot de betrouwbaarheid van deze producten. Alle eventuele afspraken, overeenkomsten en garanties komen rechtstreeks tussen de leverancier en de gebruiker tot stand. Dit document is met de uiterste zorg samengesteld. Apple aanvaardt geen aansprakelijkheid voor druk- of typefouten. N019-00095/1-12-2014
Inhoudsopgave 5 Hoofdstuk 1: Referentiehandleiding voor de implementatie van iosapparaten 5 Inleiding 7 Hoofdstuk 2: Implementatiemodellen 7 Overzicht 7 Implementatiemodellen voor het onderwijs 14 Implementatiemodellen voor bedrijven 22 Hoofdstuk 3: Infrastructuur en integratie 22 Overzicht 22 Wi-Fi 23 Bonjour 24 AirPlay 26 Digitale certificaten 27 Eenmalige aanmelding (SSO) 28 Op standaarden gebaseerde voorzieningen 29 Microsoft Exchange 31 Virtual Private Networks (VPN) 35 App-gebonden VPN 35 VPN op aanvraag 38 Altijd actieve VPN 43 Hoofdstuk 4: Internetvoorzieningen 43 Overzicht 43 Apple ID 44 Zoek mijn iphone en Activeringsslot 45 icloud 45 icloud-reservekopie 45 icloud-sleutelhanger 46 imessage 46 FaceTime 47 Siri 47 Apple ID for Students 48 Hoofdstuk 5: Beveiliging 48 Overzicht 48 Beveiliging van apparaten en gegevens 52 Netwerkbeveiliging 53 Beveiliging van apps 3
55 Hoofdstuk 6: Configuratie en beheer 55 Overzicht 55 Configuratie-assistent en activering 56 Configuratieprofielen 56 MDM (Mobile Device Management) 62 Apparaten onder supervisie stellen 62 Device Enrollment Program 64 Apple Configurator 65 Hoofdstuk 7: Distributie van apps en boeken 65 Overzicht 65 Volume Purchase Program (VPP) 68 Maatwerk-B2B-apps 68 Interne apps 70 Interne boeken 70 Apps en boeken implementeren 71 Caching Server 73 Hoofdstuk 8: Ondersteuningsplanning 73 Overzicht 73 AppleCare Help Desk Support 73 AppleCare OS Support 73 AppleCare voor gebruikers van ios-apparaten 74 ios Direct Service Program 75 Hoofdstuk 9: Bijlagen 75 ios-beperkingen 79 Wi-Fi-infrastructuur 82 Draadloos interne apps installeren Inhoudsopgave 4
Referentiehandleiding voor de implementatie van ios-apparaten 1 Inleiding Deze referentiehandleiding is bedoeld voor IT-beheerders die ios-apparaten in hun netwerk willen ondersteunen. De handleiding bevat informatie over de implementatie en ondersteuning van ipads, iphones en ipods touch in grote organisaties, zoals bedrijven en onderwijsinstellingen. Er wordt uitgelegd hoe ios-apparaten uitgebreide beveiliging bieden, met uw bestaande infrastructuur kunnen worden geïntegreerd en krachtige hulpmiddelen voor beheer vormen. Ook wordt er aandacht besteed aan methoden voor het distribueren van apps en boeken aan uw medewerkers en studenten. Deze handleiding is onderverdeeld in de volgende gedeelten: Implementatiemodellen Er zijn verschillende manieren om ios-apparaten te implementeren in uw organisatie. Ongeacht het implementatiemodel dat u kiest, is het verstandig om de stappen door te nemen die u moet uitvoeren om de implementatie zo soepel mogelijk te laten verlopen. Hoewel in deze handleiding alle aspecten van een ios-implementatie aan bod komen, kunnen bedrijven en onderwijsinstellingen de feitelijke implementatie op hun eigen manier uitvoeren. Infrastructuur en integratie ios-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid aan netwerkinfrastructuren. In dit gedeelte leert u meer over de door ios ondersteunde technologieën en beproefde methoden voor de integratie met Microsoft Exchange, Wi-Fi, VPN en andere standaardvoorzieningen. Internetvoorzieningen Apple heeft een aantal voorzieningen ontwikkeld die gebruikers helpen om het maximale uit hun apparaten te halen. Het betreft imessage, FaceTime, Siri, icloud, icloud-reservekopie en icloud-sleutelhanger. In dit gedeelte vindt u ook informatie over het configureren en beheren van Apple ID's die nodig zijn om toegang te krijgen tot deze voorzieningen. Beveiliging ios is ontworpen voor het bieden van veilige toegang tot zakelijke voorzieningen en het beschermen van belangrijke gegevens. ios ondersteunt krachtige codering van gegevens tijdens de overdracht, bewezen identiteitscontroles voor toegang tot zakelijke voorzieningen en hardwarematige codering van alle gegevens die worden bewaard op ios-apparaten. In dit gedeelte vindt u een overzicht van de beveiligingsvoorzieningen van ios. 5
Configuratie en beheer ios biedt ondersteuning voor geavanceerde tools en technologieën die ervoor zorgen dat ios-apparaten eenvoudig zijn in te stellen, kunnen worden geconfigureerd volgens uw eisen en moeiteloos in een grootschalige omgeving kunnen worden beheerd. In dit gedeelte vindt u een beschrijving van de verschillende implementatietools, inclusief een overzicht van mobiel-apparaatbeheer (MDM, Mobile Device Management) en het Device Enrollment Program. Distributie van apps en boeken Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie kunt implementeren. Met de programma's van Apple, zoals het Volume Purchase Program en het ios Developer Enterprise Program, kan uw organisatie apps en boeken voor interne gebruikers kopen, ontwikkelen en implementeren. In dit gedeelte vindt u gedetailleerde informatie over deze programma's en de manier waarop apps en boeken voor intern gebruik kunnen worden gekocht of gebouwd. Ondersteuningsplanning Apple levert verschillende programma's en ondersteuningsopties voor gebruikers van ios. Het is daarom een goed idee om eerst te kijken wat er allemaal beschikbaar is voor uw organisatie en om rekening te houden met de ondersteuning die u nodig gaat hebben. De volgende bijlagen bevatten technische gegevens en vereisten: ios-beperkingen Een beschrijving van de beperkingen die u voor ios-apparaten kunt opgeven, zodat deze voldoen aan uw vereisten op het gebied van beveiliging, toegangscodes en andere punten. Wi-Fi-infrastructuur Een beschrijving van de Wi-Fi-standaarden die ios ondersteunt en aandachtspunten bij de planning van een grootschalig Wi-Fi-netwerk. Draadloos interne apps installeren Een beschrijving van de manier waarop u interne apps kunt distribueren via uw eigen webportal. Aanvullende informatiebronnen www.apple.com/education/it www.apple.com/ipad/business/it www.apple.com/iphone/business/it Hoofdstuk 1 Referentiehandleiding voor de implementatie van ios-apparaten 6
Implementatiemodellen 2 Overzicht Denk eerst na over de manier waarop u apparaten wilt gaan distribueren en configureren. Er zijn verschillende mogelijkheden, uiteenlopend van configuratie vooraf tot configuratie door medewerkers of studenten zelf. Neem de opties door voordat u aan de slag gaat. De hulpmiddelen en de procedure die u voor de implementatie gebruikt, zijn ook afhankelijk van het specifieke implementatiemodel. Voor het onderwijs zijn er drie veelgebruikte implementatiemodellen voor ios-apparaten: Een-op-een-implementatiemodel met de instelling als eigenaar, implementatiemodel met de student als eigenaar en implementatiemodel voor gedeeld gebruik. Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw instelling meerdere modellen aantreft. In bedrijfsomgevingen kunt u kiezen uit verschillende opties om ios-apparaten te implementeren in uw organisatie. Ongeacht of u apparaten van het bedrijf gaat implementeren, apparaten gaat delen tussen medewerkers of een BYOD-beleid (Bring Your Own Device) gaat instellen, is het verstandig om de stappen door te nemen die noodzakelijk zijn om de implementatie zo goed mogelijk te laten verlopen. Als de implementatiemodellen zijn vastgesteld, kan uw team de implementatie- en beheervoorzieningen van Apple in detail gaan bestuderen. Deze hulpmiddelen en programma's worden uitvoerig besproken in dit onderwerp en het is raadzaam deze informatie te bespreken met de belangrijkste belanghebbenden binnen uw organisatie. Implementatiemodellen voor het onderwijs Overzicht Met de ipad komen heel veel handige tools beschikbaar in het klaslokaal. Het kiezen van de juiste strategieën en tools kan een totaal andere onderwijservaring opleveren voor zowel docenten, studenten als andere gebruikers. Er zijn heel veel mogelijkheden om apparaten en materiaal op een eenvoudige manier te implementeren en te beheren. Het maakt hierbij niet uit of de instelling ios-apparaten voor één klas of voor alle klassen implementeert. Implementatiemodellen Voor onderwijsinstellingen zijn er drie veelgebruikte implementatiemodellen voor ios-apparaten: Een-op-een-implementatiemodel met de instelling als eigenaar Implementatiemodel met de student als eigenaar Implementatiemodel voor gedeeld gebruik Hoewel de meeste instellingen de voorkeur geven aan een bepaald model, bestaat de kans dat u binnen uw instelling meerdere modellen aantreft. 7
Hieronder ziet u enkele voorbeelden van hoe deze modellen in een onderwijsinstelling worden toegepast: Een school voor voortgezet onderwijs kan kiezen voor en-op-een-implementatie met de instelling als eigenaar en dit model implementeren voor alle klassen. Een grote scholengemeenschap kan eerst op één school een proef doen met een-op-eenimplementatie met de instelling als eigenaar en vervolgens hetzelfde model uitrollen op alle scholen die deel uitmaken van de gemeenschap. Een basisschool kan kiezen voor een combinatie van een een-op-een-implementatiemodel met de instelling als eigenaar voor de bovenbouw en een implementatiemodel voor gedeeld gebruik voor de onderbouw. Op hogescholen en universiteiten wordt meestal het implementatiemodel met de student als eigenaar gebruikt op het niveau van een of meer campussen. Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor uw omgeving het geschiktste is. Een-op-een-implementatiemodel met de instelling als eigenaar Een een-op-een-implementatiemodel met de instelling als eigenaar biedt de beste mogelijkheden om door middel van ios-apparaten het leerproces te verbeteren. Bij een en-op-een-implementatie met de instelling als eigenaar koopt de instelling doorgaans de apparaten voor alle daarvoor in aanmerking komende leerlingen en docenten. Hierbij kan het gaan om een bepaalde groep of klas, maar ook om een afdeling, een hele scholengemeenschap, een bepaalde faculteit of een complete universiteit. In dit model krijgt iedere gebruiker een apparaat toegewezen dat door de instelling wordt geconfigureerd en beheerd. Dit proces kan worden vereenvoudigd en geautomatiseerd via een MDM-oplossing (Mobile Device Management). Dit is een oplossing die speciaal is bedoeld voor het beheren van mobiele apparaten. Als de apparaten rechtstreeks bij Apple worden gekocht, kan uw instelling de inschrijving bij de MDM-oplossing laten automatiseren via het Device Enrollment Program (DEP). De apparaten kunnen in dat geval direct aan de gebruikers worden overhandigd. Als leerlingen jonger zijn dan 13 jaar, kan uw instelling namens hen een Apple ID aanmaken via het programma Apple ID for Students. Nadat de apparaten zijn gedistribueerd, doorlopen gebruikers een gedeeltelijk geautomatiseerde, gestroomlijnde configuratieprocedure, worden ze automatisch ingeschreven bij de MDM-oplossing en kunnen ze hun apparaat verder aanpassen of hun eigen materiaal downloaden. Gebruikers kunnen ook een uitnodiging krijgen om specifiek onderwijsmateriaal te downloaden, zoals apps en boeken die zijn gekocht via het Volume Purchase Program (VPP), of cursussen van itunes U. Uw instelling kan deze informatiebronnen op elk moment gedurende het schooljaar draadloos aanbieden of bijwerken. Met behulp van Caching Server kan het merendeel van deze downloads afkomstig zijn van het lokale netwerk van de instelling. Als apparaten onder supervisie staan, worden er automatisch apps geïnstalleerd. Hoofdstuk 2 Implementatiemodellen 8
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een en-op-een-implementatie met de instelling als eigenaar: Voorbereiden Beheerder: Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. Inschrijven bij DEP, VPP en het programma Apple ID for Students. Uitpakken en (optioneel) het apparaat van een tag voorzien. Apple ID's aanmaken voor leerlingen jonger dan 13 (indien van toepassing). Gebruikers: Apple ID's en accounts voor de itunes Store en icloud aanmaken. Instellen en configureren Beheerder: Apparaten toewijzen in DEP ten behoeve van supervisie en gestroomlijnde aanmelding bij de MDM-oplossing. Het apparaat configureren en beheren met Apple Configurator (alternatief voor hierboven). Accounts, instellingen en beperkingen draadloos configureren en installeren met de MDM-oplossing. Gebruikers: Aan de gebruiker wordt een apparaat uitgereikt. Referenties van de instelling in de configuratieassistent invoeren voor DEP (optioneel). Het apparaat personaliseren met de configuratieassistent en een persoonlijke Apple ID invoeren. De instellingen en configuraties van apparaten worden automatisch ontvangen van de MDM-oplossing. Apps en boeken distribueren Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. Uitnodiging voor het VPP versturen naar gebruikers. Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen. Gebruikers: Uitnodiging voor het VPP accepteren. Apps en boeken downloaden en installeren die door de instelling worden toegewezen. Als het apparaat onder supervisie staat, kunnen apps op de achtergrond naar het apparaat van de gebruiker worden gepusht. Doorlopend beheer Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. Apple TV implementeren voor ondersteuning van AirPlay. Gebruikers: Een reservekopie van het apparaat maken in itunes of icloud, om documenten en ander persoonlijk materiaal te bewaren. Als het apparaat kwijt of gestolen is, kan de gebruiker het apparaat met Zoek mijn iphone terugvinden. Hoofdstuk 2 Implementatiemodellen 9
Aanvullende informatiebronnen Volume Purchase Program Overzicht Mobielapparaatbeheer Overzicht Device Enrollment Program Apple ID for Students Apple ID Apple Configurator Caching Server AirPlay Implementatiemodel met de student als eigenaar In het voortgezet en universitair onderwijs nemen studenten meestal hun eigen ios-apparaat mee. In dit model worden apparaten dan ook ingesteld en geconfigureerd door de student of een ouder. Om voorzieningen van de instelling te kunnen gebruiken, zoals Wi-Fi, e-mail en agenda's, of om het apparaat te configureren voor specifieke doeleinden, worden de eigen apparaten van de studenten meestal aangemeld bij een MDM-oplossing van de instelling. Op basisscholen kan een MDM-oplossing worden ingezet om de eigen apparaten van de leerlingen te beheren. Toegang tot de voorzieningen van een instelling is voor gebruikers een stimulans om hun apparaten aan te melden bij de MDM-server van de organisatie. Hierdoor wordt ervoor gezorgd dat alle configuratie-instellingen, beleidsregels, beperkingen, apps en boeken en al het overige materiaal automatisch en op de achtergrond worden geïmplementeerd, terwijl de instelling daar wel de controle over houdt. Aanmelding bij een MDM-oplossing is niet verplicht. Dit betekent dat studenten materiaal of voorzieningen kunnen verwijderen nadat ze een cursus hebben afgerond, zijn afgestudeerd of de instelling hebben verlaten. Hoofdstuk 2 Implementatiemodellen 10
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een scenario van het type implementatie met de student als eigenaar: Voorbereiden Beheerder: Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. Inschrijven bij het VPP. Gebruikers: Het apparaat uitpakken en activeren. Een Apple ID en accounts voor de itunes Store en icloud aanmaken, indien van toepassing. Instellen en configureren Beheerder: Apparaten via de self-servicevoorziening inschrijven en accounts, instellingen en beperkingen draadloos configureren via een MDM-oplossing, op basis van het gebruikers-/groepsbeleid dat door de instelling is gedefinieerd. Gebruikers: Het apparaat personaliseren met de configuratieassistent en (eventueel) een persoonlijke Apple ID invoeren. Aanmelden bij de MDM-oplossing. Apps en boeken distribueren Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. Uitnodiging voor het VPP versturen naar gebruikers. Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen. Gebruikers: Uitnodiging voor het VPP accepteren. Apps en boeken downloaden en installeren die door de instelling worden toegewezen. ios en apps op hun apparaat bijwerken. Doorlopend beheer Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. Gebruikers: Een reservekopie van het apparaat maken in itunes of icloud, om documenten en ander persoonlijk materiaal te bewaren. Als het apparaat kwijt of gestolen is, kan de gebruiker het apparaat met Zoek mijn iphone terugvinden. Wanneer de koppeling met de MDM-oplossing wordt verwijderd, worden ook beheerde accounts en gegevens verwijderd. De persoonlijke apps, boeken, gegevens en inhoud van de gebruiker blijven echter bewaard. Aanvullende informatiebronnen Volume Purchase Program Overzicht Mobielapparaatbeheer Overzicht Apple ID Caching Server Hoofdstuk 2 Implementatiemodellen 11
Implementatiemodel voor gedeeld gebruik In het implementatiemodel voor gedeeld gebruik worden ios-apparaten gekocht voor gebruik in een klaslokaal of practicumlokaal en kunnen de apparaten gedurende de schooldag door verschillende leerlingen worden gebruikt. Deze apparaten worden in beperkte mate aangepast, waardoor het niet mogelijk is om voor iedere leerling een gepersonaliseerde leeromgeving aan te bieden. Deze aanpak is niet alleen geschikt voor een model voor gedeeld gebruik door leerlingen, maar ook voor een een-op-een-implementatie in een sterk gecontroleerde omgeving, zoals in de onderbouw van een basisschool. In dit geval is de personalisering van de apparaten minimaal. Implementaties van het type voor gedeeld gebruik worden strenger beheerd dan gepersonaliseerde implementaties, aangezien de configuratie en het beheer worden uitgevoerd door het personeel van de instelling. In een implementatie voor gedeeld gebruik is de instelling verantwoordelijk voor het installeren van apps, boeken en ander materiaal dat nodig is voor de leerervaring. Hoofdstuk 2 Implementatiemodellen 12
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een implementatiemodel voor gedeeld gebruik: Voorbereiden Beheerder: Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. Inschrijven bij het VPP. Uitpakken en (optioneel) het apparaat van een tag voorzien. Een of meer Apple ID's voor de instelling aanmaken voor elk exemplaar van Apple Configurator. Gebruikers: Geen actie nodig in deze fase. Instellen en configureren Beheerder: Apple Configurator gebruiken voor de configuratie en supervisie van apparaten. Apple Configurator gebruiken om apparaten in te schrijven bij de MDM-oplossing (optioneel). Apple Configurator of de MDM-oplossing gebruiken om accounts, instellingen en beperkingen te installeren. Gebruikers: Geen actie nodig in deze fase. Apps distribueren Beheerder: Apps kopen via het VPP en vervolgens implementeren met behulp van inwisselcodes voor installatie en beheer met Apple Configurator. Gebruikers: Geen actie nodig in deze fase. Hoofdstuk 2 Implementatiemodellen 13
Doorlopend beheer Beheerder: ios op het apparaat bijwerken met Apple Configurator. Accounts, instellingen en beperkingen draadloos bijwerken, configureren en installeren met de MDM-oplossing of Apple Configurator. Periodiek de standaardconfiguratie van apparaten herstellen met Apple Configurator. Apps op het apparaat installeren en bijwerken met Apple Configurator. Met behulp van een MDM-oplossing kunt u gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. Het is essentieel om regelmatig een reservekopie te maken van de Mac waarop Apple Configurator wordt uitgevoerd, aangezien de aankopen via het VPP lokaal worden beheerd. Gebruikers: Geen actie nodig in deze fase. Aanvullende informatiebronnen Volume Purchase Program Overzicht Mobielapparaatbeheer Overzicht Apple ID Apple Configurator Implementatiemodellen voor bedrijven Overzicht ios-apparaten zoals een ipad en iphone kunnen een radicale hervorming in uw bedrijf teweegbrengen. De productiviteit kan aanzienlijk toenemen, terwijl uw medewerkers de vrijheid en flexibiliteit krijgen om zowel op kantoor als onderweg anders te gaan werken. Als u voor deze nieuwe manier van werken kiest, levert dat voor de gehele organisatie voordelen op. Zo hebben gebruikers een betere toegang tot informatie, waardoor ze met een goede onderbouwing tot creatieve oplossingen van problemen kunnen komen. Ondersteuning van ios door de IT-afdelingen betekent dat ze vorm geven aan de bedrijfsstrategie en echte problemen oplossen, in plaats van technologieproblemen op te lossen en kosten te besparen. Uiteindelijk zijn de voordelen overal zichtbaar: medewerkers die zeer productief zijn en overal nieuwe zakelijke kansen. Ongeacht of het om een grote of kleine organisatie gaat, zijn er verschillende eenvoudige manieren om ios-apparaten en materiaal eenvoudig te implementeren en te beheren. Hoofdstuk 2 Implementatiemodellen 14
Het is belangrijk dat u eerst vaststelt welk implementatiemodel het beste bij uw organisatie past. Afhankelijk van het model dat u kiest, kan Apple verschillende implementatie- en beheertools aanbieden. Implementatiemodellen Voor het bedrijfsleven zijn er drie veelgebruikte implementatiemodellen voor ios-apparaten: Gepersonaliseerd apparaat (BYOD) Gepersonaliseerd apparaat (eigendom van bedrijf) Niet-gepersonaliseerd (gedeeld) apparaat Hoewel de meeste organisaties de voorkeur geven aan een bepaald model, bestaat de kans dat u meerdere modellen aantreft binnen uw organisatie. Zo kan een detailhandelsorganisatie kiezen voor de strategie Gepersonaliseerd apparaat (BYOD) door medewerkers toe te staan hun eigen ipad te configureren, terwijl gegevens en programma's van het bedrijf gescheiden blijven van de persoonlijke gegevens en apps van de gebruiker. In de winkels van de onderneming kan echter ook de strategie Niet-gepersonaliseerd (gedeeld) apparaat worden toegepast, zodat ipods touch worden gedeeld door verschillende medewerkers om transacties voor klanten te verwerken. Bestudeer de verschillende modellen uitvoerig om vast te stellen welk implementatiemodel voor uw omgeving het geschiktste is. Gepersonaliseerd apparaat (BYOD) Als u kiest voor een implementatie van het type Gepersonaliseerd apparaat (BYOD), configureren gebruikers hun eigen apparaten met hun eigen Apple ID. Gebruikers kunnen op verschillende manieren toegang krijgen tot de informatiebronnen van het bedrijf. Zo kunnen ze instellingen handmatig configureren, een configuratieprofiel installeren of het apparaat aanmelden bij de MDM-oplossing van de organisatie. Deze laatste variant wordt het meest toegepast. Een voordeel van het aanmelden van persoonlijke apparaten bij een MDM-oplossing is dat de informatie van het bedrijf gescheiden blijft van de persoonlijke gegevens en apps van de gebruiker. U kunt instellingen afdwingen, controleren of het beleid van het bedrijf wordt nageleefd en zakelijke gegevens en apps verwijderen, en tegelijkertijd persoonlijke gegevens en apps op het apparaat laten staan. Hoofdstuk 2 Implementatiemodellen 15
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een scenario van het type Gepersonaliseerd apparaat (BYOD): Voorbereiden Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. Inschrijven bij het VPP. Gebruikers: Het apparaat uitpakken en activeren. Een Apple ID en accounts voor de itunes Store en icloud aanmaken, indien van toepassing. Instellen en configureren Beheerder: Apparaten aanmelden en accounts, instellingen en beperkingen draadloos configureren via een MDM-oplossing, op basis van het gebruikers-/ groepsbeleid dat door de organisatie is gedefinieerd. Organisaties kunnen er ook voor kiezen om aan gebruikers instellingen voor individuele accounts te verstrekken en om beleidsregels via Exchange te versturen of met een configuratieprofiel te installeren. Gebruikers: Aanmelden bij de MDM-oplossing. De instellingen en configuraties van apparaten worden automatisch ontvangen van de MDM-oplossing. Een alternatief is dat gebruikers handmatig configuratieprofielen installeren of de door u opgegeven instellingen configureren. Apps en boeken distribueren Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. Uitnodiging voor het VPP versturen naar gebruikers. Als u inwisselcodes gebruikt, kunt u deze per e-mail of via een interne website beschikbaar stellen. Interne apps uit het ios Developer Enterprise Program (idep) en interne boeken kunt u distribueren door ze op een webserver te hosten of via de MDM-oplossing aan te leveren. Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen. Gebruikers: Uitnodiging voor het VPP accepteren. Apps en boeken downloaden en installeren die door de organisatie worden toegewezen. Doorlopend beheer Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. Gebruikers: Een reservekopie van het apparaat maken in itunes of icloud, om documenten en ander persoonlijk materiaal te bewaren. Als het apparaat kwijt of gestolen is, kan de gebruiker het apparaat met Zoek mijn iphone terugvinden. Wanneer de koppeling met de MDM-oplossing wordt verwijderd, worden ook beheerde accounts en gegevens verwijderd. De persoonlijke apps, boeken, gegevens en inhoud van de gebruiker blijven echter bewaard. Hoofdstuk 2 Implementatiemodellen 16
Aanvullende informatiebronnen Volume Purchase Program Overzicht Mobielapparaatbeheer Overzicht Apple ID Caching Server Gepersonaliseerd apparaat (eigendom van bedrijf) Kies het model Gepersonaliseerd apparaat (eigendom van bedrijf) als u ios-apparaten wilt implementeren die het eigendom zijn van uw organisatie. U kunt de apparaten desgewenst configureren met basisinstellingen voordat u ze aan de gebruikers geeft. Een andere mogelijkheid is om (net als bij de variant met BYOD) instructies of configuratieprofielen te verstrekken, zodat gebruikers de configuratie zelf kunnen uitvoeren. Een derde mogelijkheid is dat de gebruikers hun apparaten inschrijven bij een MDM-oplossing, waarna instellingen en apps draadloos naar het apparaat worden overgebracht. Gebruikers kunnen hun apparaat vervolgens aanpassen met hun eigen apps en gegevens, die gescheiden worden opgeslagen van de beheerde apps en gegevens van uw organisatie. Hoofdstuk 2 Implementatiemodellen 17
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een scenario van het type Gepersonaliseerd apparaat (eigendom van bedrijf): Voorbereiden Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. Inschrijven bij het Device Enrollment Program (DEP) en het Volume Purchase Program (VPP). Gebruikers: Een Apple ID en accounts voor de itunes Store en icloud aanmaken, indien van toepassing. Instellen en configureren Beheerder: Via de website van het Device Enrollment Program uw virtuele servers koppelen aan de MDM-oplossing. De inschrijving via het Device Enrollment Program stroomlijnen door apparaten op ordernummer of serienummer toe te wijzen aan virtuele MDM-servers. Apparaten toewijzen in DEP ten behoeve van supervisie en gestroomlijnde aanmelding bij de MDM-oplossing. Het apparaat configureren en beheren met Apple Configurator (alternatief voor hierboven). Accounts, instellingen en beperkingen draadloos configureren met de MDM-oplossing of via een USB-verbinding en Apple Configurator. Gebruikers: De gebruiker krijgt een ios-apparaat ter beschikking. Als het apparaat is geconfigureerd met Apple Configurator, hoeft de gebruiker geen instellingen meer op te geven. Referenties van de instelling in de configuratieassistent invoeren voor DEP (optioneel). Het apparaat personaliseren met de configuratieassistent en een persoonlijke Apple ID invoeren. Aanmelden bij de MDM-oplossing. De instellingen en configuraties van apparaten worden automatisch ontvangen van de MDM-oplossing. Apps en boeken distribueren Beheerder: Apps en boeken kopen via het VPP en toewijzen aan gebruikers via de MDM-oplossing. Uw token downloaden uit de VPP Store en koppelen aan de MDM-oplossing. Uitnodiging voor het VPP versturen naar gebruikers. Als u inwisselcodes gebruikt, kunt u deze per e-mail of via een interne website beschikbaar stellen. Interne apps uit het ios Developer Enterprise Program (idep) en interne boeken kunt u distribueren door ze op een webserver te hosten of via de MDM-oplossing aan te leveren. Caching Server installeren om het aanbieden van materiaal via het lokale netwerk te versnellen. Gebruikers: Uitnodiging voor het VPP accepteren. Apps en boeken downloaden en installeren die door de organisatie worden toegewezen. Als het apparaat onder supervisie staat, kunnen apps op de achtergrond naar het apparaat van de gebruiker worden gepusht. Hoofdstuk 2 Implementatiemodellen 18
Doorlopend beheer Beheerder: Met de MDM-oplossing apps intrekken en toewijzen aan andere gebruikers (indien nodig). Een beheerder kan met behulp van een MDMoplossing gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. Gebruikers: Een reservekopie van het apparaat maken in itunes of icloud, om documenten en ander persoonlijk materiaal te bewaren. Als het apparaat kwijt of gestolen is, kan de gebruiker het apparaat met Zoek mijn iphone terugvinden. Aanvullende informatiebronnen Volume Purchase Program Overzicht Mobielapparaatbeheer Overzicht Device Enrollment Program Apple ID Apple Configurator Caching Server Niet-gepersonaliseerd (gedeeld) apparaat Als apparaten door verschillende mensen worden gedeeld of voor één specifiek doel worden gebruikt (zoals in een restaurant of hotel), worden deze apparaten meestal door u geconfigureerd en beheerd en niet door een individuele gebruiker. Bij een implementatie met niet-gepersonaliseerde, gedeelde apparaten bewaren gebruikers meestal geen persoonlijke gegevens en kunnen ze geen apps installeren. Niet-gepersonaliseerde apparaten worden meestal beheerd met Apple Configurator en worden ingeschreven bij een MDM-oplossing. Op deze manier kan het materiaal op het apparaat worden vernieuwd of hersteld als een gebruiker wijzigingen heeft aangebracht. Hoofdstuk 2 Implementatiemodellen 19
In de volgende tabel ziet u de verantwoordelijkheden van zowel de beheerder als de gebruiker in een scenario van het type Niet-gepersonaliseerd (gedeeld) apparaat: Voorbereiden Beheerder: De bestaande infrastructuur evalueren, inclusief Wi-Fi, VPN en servers voor e-mail en agenda's. Onderzoeken, kopen en implementeren van een MDM-oplossing, zoals Profielbeheer. Inschrijven bij het Volume Purchase Program (VPP). Gebruikers: Geen actie nodig in deze fase. Instellen en configureren Beheerder: Uitpakken en (optioneel) het apparaat van een tag voorzien. Apple Configurator gebruiken voor de configuratie en supervisie van apparaten. Apple Configurator gebruiken om apparaten in te schrijven bij de MDM-oplossing (optioneel). Apple Configurator of de MDM-oplossing gebruiken om accounts, instellingen en beperkingen te installeren. Gebruikers: Geen actie nodig in deze fase. Apps distribueren Beheerder: Apps kopen via het VPP en vervolgens implementeren met behulp van inwisselcodes voor installatie en beheer met Apple Configurator. Interne apps met Apple Configurator distribueren vanuit het ios Developer Enterprise Program (idep). Interne boeken distribueren door deze te hosten op een webserver of via de MDM-oplossing. Gebruikers: Geen actie nodig in deze fase. Hoofdstuk 2 Implementatiemodellen 20
Doorlopend beheer Beheerder: ios op het apparaat bijwerken met Apple Configurator. Accounts, instellingen en beperkingen draadloos bijwerken, configureren en installeren met de MDM-oplossing of Apple Configurator. Periodiek de standaardconfiguratie van apparaten herstellen met Apple Configurator. Apps op het apparaat installeren en bijwerken met Apple Configurator. Met behulp van een MDM-oplossing kunt u gegevens van beheerde apparaten opvragen om te controleren of de ingestelde beleidsregels worden nageleefd of een waarschuwing laten versturen als gebruikers niet-goedgekeurde apps of inhoud toevoegen. Daarnaast kan een MDM-oplossing worden gebruikt om apparaten te vergrendelen of om wachtwoorden opnieuw in te stellen. Ook is het mogelijk om op afstand beheerde accounts of gegevens te verwijderen of een apparaat volledig te wissen. Het is essentieel om regelmatig een reservekopie te maken van de Mac waarop Apple Configurator wordt uitgevoerd, aangezien de aankopen via het VPP lokaal worden beheerd. Gebruikers: Geen actie nodig in deze fase. Aanvullende informatiebronnen Volume Purchase Program Overzicht Mobielapparaatbeheer Overzicht Apple ID Apple Configurator Hoofdstuk 2 Implementatiemodellen 21
Infrastructuur en integratie 3 Overzicht ios-apparaten ondersteunen allerlei netwerkinfrastructuren, waaronder de volgende: Standaard-Wi-Fi-protocollen voor gegevensoverdracht en codering Lokale netwerken die Bonjour gebruiken Kabelvrije verbindingen naar Apple TV via AirPlay Digitale certificaten voor identiteitscontrole en veilige communicatie Eenmalige aanmelding voor gestroomlijnde identiteitscontrole bij apps en voorzieningen in het netwerk Op standaarden gebaseerde voorzieningen voor e-mail, adreslijsten, agenda's en andere systemen Microsoft Exchange en andere systemen van andere leveranciers VPN's (Virtual Private Network), waaronder app-gebonden VPN's en altijd actieve VPN's Deze ondersteuning is ingebouwd in ios, wat als voordeel heeft dat uw IT-afdeling maar een paar instellingen hoeft te configureren om ios-apparaten te integreren in uw bestaande infrastructuur. Lees verder voor meer informatie over door ios ondersteunde technologieën en richtlijnen voor het bedrijfsleven en het onderwijs. Wi-Fi ios-apparaten kunnen zonder aanpassingen op een veilige manier verbinding maken met Wi-Finetwerken van het bedrijf of van andere organisaties die hun netwerk hebben opengesteld. Hierdoor hebben gebruikers snel en eenvoudig toegang tot beschikbare draadloze netwerken, ook als ze onderweg zijn. Opmerking: De gebruikers en hun ios-apparaten moeten toegang hebben tot uw draadloze netwerk en internetvoorzieningen om het apparaat te configureren. Het kan nodig zijn om uw webproxy of firewallpoorten te configureren, als blijkt dat apparaten geen toegang kunnen krijgen tot de activeringsservers van Apple, icloud of de itunes Store. Zie het Apple Support-artikel Bekende TCP- en UDP-poorten die worden gebruikt door Apple-software voor een lijst met poorten die door Apple apparaten worden gebruikt. Wi-Fi-doorvoersnelheid Als u van plan bent om ios-apparaten te gaan implementeren in uw organisatie, is het belangrijk dat uw Wi-Fi-netwerk en ondersteunende infrastructuur stabiel en bijgewerkt zijn. Een consistente en betrouwbare toegang tot een krachtig netwerk is essentieel voor het instellen en configureren van ios-apparaten. Daarnaast wordt het succes van de implementatie voor een groot deel bepaald door de mogelijkheid om meerdere apparaten te ondersteunen met gelijktijdige verbindingen van al uw medewerkers, studenten of docenten. 22
Aanmelden bij een Wi-Fi-netwerk Gebruikers kunnen instellen dat ios-apparaten automatisch verbinding maken met beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit apps als Mail snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere gegevens vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te openen. Doordat de Wi-Fi-verbinding niet wordt verbroken en weinig batterijstroom vraagt, kunnen apps bovendien via het Wi-Fi-netwerk pushberichten versturen. U kunt instellingen configureren voor het draadloze netwerk, de beveiliging, een proxyserver en identiteitscontrole. Hiervoor gebruikt u configuratieprofielen of een MDM-oplossing (een oplossing voor het beheer van mobiele apparaten). WPA2-Enterprise ios ondersteunt standaardprotocollen voor draadloze netwerken, waaronder WPA2-Enterprise, zodat draadloze bedrijfsnetwerken veilig kunnen worden benaderd vanaf ios-apparaten. WPA2 Enterprise maakt gebruik van 128-bits AES-codering, wat inhoudt dat de gegevens van gebruikers veilig blijven. Dankzij ondersteuning voor 802.1x-identiteitscontrole kan ios in uiteenlopende RADIUSserveromgevingen worden geïntegreerd. ios ondersteunt meerdere protocollen voor draadloze 802.1x-identiteitscontrole, zoals EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, IKEv2, PEAPv0, PEAPv1 en LEAP.ara Roaming Voor roaming op grote Wi-Fi-bedrijfsnetwerken biedt ios ondersteuning voor 802.11k en 802.11r. Dankzij 802.11k, dat gebruikmaakt van de rapportages van de toegangspunten, kunnen ios-apparaten gemakkelijker overgaan naar een ander Wi-Fi-toegangspunt. 802.11r stroomlijnt identiteitscontrole met 802.1x wanneer een apparaat van het ene naar het volgende toegangspunt gaat. Bonjour Bonjour is het op standaarden gebaseerde netwerkprotocol van Apple waarbij configuratie overbodig is en waarmee apparaten automatisch voorzieningen in een netwerk kunnen opsporen. ios-apparaten gebruiken Bonjour om te zien of er AirPrint-printers en AirPlayapparaten zoals Apple TV beschikbaar zijn. Sommige apps gebruiken Bonjour ook voor peer-topeer samenwerking en delen. Bonjour maakt gebruik van multicastverkeer om de beschikbaarheid van voorzieningen bekend te maken. Multicastverkeer wordt meestal niet gerouteerd. Zorg er daarom voor dat Apple TV's of AirPrint-printers zich in hetzelfde IP-subnet bevinden als de ios-apparaten die er gebruik van willen maken. Als uw netwerk groter is en uit veel IP-subnetten bestaat, kan het een goed idee zijn om een Bonjour-gateway te gebruiken. Dergelijke apparaten worden aangeboden door verschillende fabrikanten van Wi-Fi-infrastructuren. Meer informatie over Bonjour kunt u lezen op de webpagina Bonjour van Apple. Hoofdstuk 3 Infrastructuur en integratie 23
AirPlay ios 8 ondersteunt de mogelijkheid om materiaal van een ios-apparaat te streamen naar een Apple TV, zelfs als de apparaten deel uitmaken van verschillende netwerken of als er geen netwerk beschikbaar is. Het ios-apparaat gebruikt BTLE (Bluetooth Low Energy) om het detectieproces van beschikbare Apple TV's te starten en maakt vervolgens via Wi-Fi rechtstreeks verbinding met de Apple TV. In ios 8 kan een gebruiker via peer-to-peer AirPlay rechtstreeks vanaf een ondersteund iosapparaat of een Mac streamen naar een Apple TV zonder dat eerst verbinding hoeft te worden gemaakt met het infrastructuurnetwerk. Bij peer-to-peer AirPlay is het niet nodig om verbinding te maken met het juiste netwerk of om Wi-Fi-wachtwoorden vrij te geven. Op deze manier worden problemen met de bereikbaarheid in complexe netwerkomgevingen voorkomen. Er wordt een rechtstreeks pad opgezet tussen de AirPlay-zender en de AirPlay-ontvanger, waardoor de prestaties optimaal zijn. Peer-to-peer AirPlay is standaard ingeschakeld in ios 8 en Mac OS X Yosemite versie 10.10, en de gebruiker hoeft niets te configureren. Voor Peer-to-peer AirPlay is het volgende nodig: Apple TV (derde generatie revisie A, model A1469 of hoger) met Apple TV-software versie 7.0 ios-apparaten (2012 of hoger) met ios 8 Mac-computers (2012 of hoger) met OS X Yosemite versie 10.10 Zie het Apple Support-artikel Identifying Apple TV models als u wilt weten hoe u het modelnummer van een Apple TV kunt vinden. Dit artikel is vooralsnog alleen in het Engels beschikbaar. Peer-to-peer detectie wordt gestart door BTLE wanneer een gebruiker AirPlay selecteert op een apparaat met ios 8 of OS X Yosemite versie 10.10. Hierdoor gaan het apparaat en de Apple TV naar Wi-Fi-kanaal 149 in de 5-GHz band en Wi-Fi-kanaal 6 in de 2,4-GHz band, waar het detectieproces wordt voortgezet. Nadat de gebruiker een Apple TV heeft geselecteerd en AirPlay is gestart, verdelen de Wi-Fi-radio's de tijd over kanaal 149 en het infrastructuurkanaal dat door de andere apparaten wordt gebruikt. Indien mogelijk roamt de AirPlay-zender naar het infrastructuurkanaal dat door de Apple TV wordt gebruikt. Als geen van de apparaten een infrastructuurnetwerk gebruikt, gebruiken de apparaten Wi-Fi-kanaal 149 alleen voor AirPlay. Synchrone AirPlay-weergave voldoet aan de 802.11-standaarden voor het delen van Wi-Fibandbreedte met andere Wi-Fi-apparaten. Als u Apple TV's gaat implementeren in een groot Wi-Fi-bedrijfsnetwerk, zijn de volgende richtlijnen van belang: Verbind de Apple TV's via Ethernet wanneer dat mogelijk is Gebruik Wi-Fi-kanaal 149 of 153 niet voor uw infrastructuurnetwerk Plaats of monteer de Apple TV's niet achter objecten die de BLE- en Wi-Fi-signalen kunnen verstoren Opmerking: BLE-detectie is een afzonderlijke subset van peer-to-peer AirPlay. AirPlay-detectie ios-apparaten en Mac-computers blijven de momenteel beschikbare detectiemethoden gebruiken om AirPlay-ontvangers te vinden. AirPlay-ontvangers kunnen zichzelf bekendmaken via Bonjour of Bluetooth. Voor detectie via Bluetooth is ios 7.1 of hoger vereist op de volgende apparaten: ipad Air Hoofdstuk 3 Infrastructuur en integratie 24
Apple TV (derde generatie of nieuwer) met software versie 6.1 of hoger iphone 4s of nieuwer ipad derde generatie of nieuwer ipad mini eerste generatie of nieuwer ipod touch vijfde generatie of nieuwer Zie het Apple Support-artikel Identifying Apple TV models als u wilt weten hoe u het modelnummer van een Apple TV kunt vinden. Dit artikel is vooralsnog alleen in het Engels beschikbaar. Gedetecteerde AirPlay-ontvangers worden weergegeven in het AirPlay-menu. Connectiviteit 'Infrastructuur' en 'Peer-to-peer' zijn de twee modi die worden ondersteund bij AirPlayconnectiviteit. Als zowel de AirPlay-zender als de AirPlay-ontvanger peer-to-peer AirPlay ondersteunen, is dat het aanbevolen gegevenstraject, ongeacht de beschikbaarheid van een infrastructuurnetwerk. Peer-to-peer AirPlay kan samen worden gebruikt met infrastructuurverbindingen. Dit betekent dat de AirPlay-client of AirPlay-zender tegelijkertijd een internetverbinding en een peer-to-peer verbinding kan hebben. De 5-GHz band is beter voor verbindingen via peer-to-peer AirPlay, omdat deze band een snelle, rechtstreekse verbinding biedt tussen de AirPlay-zender en de AirPlay-ontvanger. Opmerking: Als peer-to-peer AirPlay niet wordt ondersteund door de AirPlay-zender of AirPlayontvanger, wordt automatisch de infrastructuurverbinding gebruikt. Beveiliging AirPlay maakt gebruik van AES-codering om ervoor te zorgen dat materiaal ook beveiligd is wanneer dit vanaf een ios- of Mac-apparaat synchroon of via een stream wordt weergegeven op een Apple TV. De toegang van AirPlay tot een Apple TV kan worden beperkt met een schermcode of wachtwoord. Alleen gebruikers die op hun ios- of Mac-apparaat de schermcode invoeren (telkens wanneer ze AirPlay gaan gebruiken) of hun wachtwoord invoeren, kunnen AirPlaymateriaal versturen naar een Apple TV. Als 'Vraag om apparaatcontrole' is ingeschakeld, moet er een identiteitscontrole voor het ios- of Mac-apparaat worden uitgevoerd bij de eerste AirPlay-verbinding. (Voor deze optie is een iosapparaat met ios 7.1 of hoger of een Mac met OS X Mavericks versie 10.9.2 of hoger vereist.) De optie 'Vraag om apparaatcontrole' is handig wanneer een Apple TV is geïmplementeerd in een open Wi-Fi-netwerk. Om er zeker van te zijn dat ios- en Mac-apparaten veilig worden gekoppeld, moet de gebruiker één keer een schermcode invoeren. Voor daaropvolgende verbindingen is dit niet nodig, tenzij er instellingen voor de schermcode zijn ingeschakeld. Peer-to-peer AirPlay wordt altijd beveiligd met 'Vraag om apparaatcontrole'. Deze instelling kan niet worden geconfigureerd door de gebruiker en voorkomt dat onbevoegde gebruikers in de buurt toegang tot de Apple TV hebben. Opmerking: Voor apparaten die geen deel uitmaken van een infrastructuurnetwerk zorgt Bluetooth ervoor dat ondersteunde Apple TV's (A1469 of hoger) via Bonjour bekend worden gemaakt. Hoofdstuk 3 Infrastructuur en integratie 25
Digitale certificaten ios biedt ondersteuning voor digitale certificaten, zodat uw organisatie op een veilige en gestroomlijnde manier toegang heeft tot de bedrijfsvoorzieningen. Een digitaal certificaat is een vorm van identificatie die een snelle identiteitscontrole, gegevensintegriteit en codering waarborgt. Een digitaal certificaat bestaat uit een publieke sleutel plus gegevens over de gebruiker en de certificaatautoriteit die het certificaat heeft verstrekt. Certificaten kunnen op verschillende manieren worden gebruikt. Het ondertekenen van gegevens met een digitaal certificaat voorkomt dat de gegevens kunnen worden gewijzigd. Certificaten kunnen worden gebruikt om de identiteit van de auteur of "ondertekenaar" te garanderen. Bovendien kunt u met behulp van digitale certificaten configuratieprofielen en de netwerkcommunicatie coderen, zodat vertrouwelijke informatie ook echt vertrouwelijk blijft. Safari kan bijvoorbeeld de geldigheid van een digitaal X.509-certificaat controleren en via AEScodering (tot 256 bits) een veilige sessie starten. Er wordt gecontroleerd of de identiteit van de website geldig is en of de communicatie met de website wordt gecodeerd, zodat persoonlijke of vertrouwelijke gegevens niet door derden kunnen worden onderschept. Certificaten gebruiken in ios ios biedt standaard een aantal vooraf geïnstalleerde rootcertificaten. Lees het Apple Supportartikel Lijst met beschikbare, vertrouwde rootcertificaten voor meer informatie. ios kan certificaten draadloos bijwerken als de veiligheid van een van de vooraf geïnstalleerde rootcertificaten in het geding is. Deze voorziening kan eventueel worden uitgeschakeld met een beperking die het draadloos bijwerken van certificaten voorkomt. Dit is een lijst met ondersteunde certificaat- en identiteitsstructuren: X.509-certificaten met RSA-sleutels De bestandsextensies.cer,.crt,.der,.p12 en.pfx Als u een rootcertificaat gebruikt dat nog niet is geïnstalleerd, zoals een zelfondertekend rootcertificaat dat door uw organisatie is aangemaakt, kunt u dit distribueren op een van de manieren die hieronder worden genoemd. Certificaten distribueren en installeren Het distribueren van certificaten naar ios-apparaten is heel simpel. Zodra een gebruiker het certificaat heeft ontvangen, hoeft hij er alleen maar op te tikken om de inhoud te bekijken en om het certificaat aan zijn apparaat toe te voegen. Wanneer een identiteitscertificaat wordt geïnstalleerd, moet de gebruiker de wachtwoordzin opgeven waarmee dit certificaat wordt beveiligd. Als de echtheid van een certificaat niet kan worden gecontroleerd, wordt het als niet-vertrouwd aangemerkt en kan de gebruiker zelf beslissen of hij of zij het toch aan het apparaat wil toevoegen. Certificaten installeren via configuratieprofielen Wanneer er configuratieprofielen worden gebruikt om instellingen voor bedrijfsvoorzieningen als Exchange, VPN of Wi-Fi te distribueren, kunnen met het oog op een gestroomlijnde implementatie certificaten aan het profiel worden toegevoegd. Hierbij is het ook mogelijk om certificaten via een MDM-oplossing te distribueren. Certificaten installeren via Mail of Safari Als een certificaat per e-mail wordt verstuurd, wordt het certificaat als bijlage aan het bericht toegevoegd. Certificaten kunnen ook van een webpagina worden gedownload met Safari. U kunt een certificaat op een beveiligde website hosten en de gebruikers de URL geven, zodat ze het certificaat op hun apparaat kunnen downloaden. Hoofdstuk 3 Infrastructuur en integratie 26