iphone e ipad nos negócios Cenários de implantação

(1)

iPhone e iPad nos negócios

Cenários de implantação

Outubro de 2011

Saiba como o iPhone e o iPad se integram tranquilamente ao ambiente corporativo com esses cenários de implantação.

• Microsoft Exchange ActiveSync • Serviços baseados em padrões • Redes virtuais privativas • Wi-Fi

• Certificados digitais

• Visão geral sobre a segurança • Gerenciamento de dispositivos móveis

(2)

Como implantar o iPhone e o iPad

Exchange ActiveSync

O iPhone e o iPad se comunicam diretamente com o seu Microsoft Exchange Server via Microsoft Exchange ActiveSync (EAS), possibilitando o “push” de e-mails, calendário, contatos e tarefas. O Exchange ActiveSync também oferece aos usuários acesso à GAL (Global Address List) e oferece aos administradores recursos para ativação de política de senha e apagamento remoto. O iOS suporta autenticação básica e por certificado para o Exchange ActiveSync. Caso a sua empresa tenha ativado o Exchange ActiveSync, você já conta com os serviços necessários para suporte ao iPhone e ao iPad, sem necessidade de qualquer configuração adicional. Se você tiver o Exchange Server 2003, 2007 ou 2010, mas a sua empresa for novata no uso do Exchange ActiveSync, observe as etapas a seguir.

Configuração do Exchange ActiveSync

Visão geral da configuração da rede

• Confira se a porta 443 está aberta no firewall. Caso a sua empresa permita o Outlook Web Access, é bem provável que ela já esteja aberta.

• No servidor front-end, verifique se o certificado do servidor está instalado e se permite SSL no diretório virtual do Exchange ActiveSync no IIS.

• Se estiver usando um Microsoft Internet Security and Acceleration (ISA) Server, verifique se o certificado do servidor está instalado e atualize o DNS público para resolver as conexões de entrada.

Verifique se o DNS da sua rede retorna um endereço exclusivo de encaminhamento externo para o servidor Exchange ActiveSync dos clientes intranet e Internet. Isso é necessário para que o dispositivo possa usar o mesmo endereço IP para comunicação com o servidor quando ambos os tipos de conexões estiverem ativas.

• Se você estiver usando um Microsoft ISA Server, crie um web listener e uma regra de publicação de acesso de Exchange web client. Consulte a documentação da Microsoft para obter mais detalhes.

• Para todos os firewalls e dispositivos de rede, configure Idle Session Timeout para 30 minutos.

Para obter informações sobre os intervalos de heartbeat e timeout, consulte a documentação do Microsoft Exchange em http://technet.microsoft.com/en-us/library/ cc182270.aspx.

• Configure os recursos e políticas de mobilidade e os ajustes para a segurança de dispositivos móveis usando o Exchange System Manager. No caso do Exchange Server 2007 e 2010, isso é feito via Exchange Management Console.

• Baixe e instale a Microsoft Exchange ActiveSync Mobile Administration Web

Tool, necessária para iniciar o apagamento remoto. No caso do Exchange Server 2007 e 2010, o apagamento remoto também pode ser iniciado via Outlook Web Access ou Exchange Management Console.

Políticas de segurança do Exchange ActiveSync suportadas

• Apagamento remoto

• Ativação de senha no dispositivo • Tamanho mínimo da senha

• Número máximo de tentativas frustradas (antes do apagamento local)

• Necessidade de números e letras • Tempo de inatividade em minutos (de 1 a

60 minutos)

Outras políticas do Exchange ActiveSync (apenas para Exchange 2007 e 2010)

• Permitir ou não senha simples • Validade da senha

• Histórico de senha

• Intervalo de atualização de políticas • Número mínimo de caracteres complexos na senha

• Necessidade de sincronismo manual em roaming

• Permitir câmera

(3)

3

Autenticação básica (nome e senha do usuário)

• Ative o Exchange ActiveSync para determinados usuários ou grupos usando o serviço Active Directory. Eles serão ativados por padrão para todos os dispositivos móveis corporativos no Exchange Server 2003, 2007 e 2010. Para o caso do Exchange Server 2007 e 2010, consulte Recipient Configuration no Exchange Management Console. • Por padrão, o Exchange ActiveSync está configurado para autenticação básica de

usuário. É aconselhável ativar SSL para autenticação básica para garantir que as credenciais sejam criptografadas durante a autenticação.

Autenticação por certificado

• Instale serviços de certificado corporativo em um servidor membro ou controlador de domínio do seu domínio (ele será o seu servidor de autoridade de certificação). • Configure o IIS no servidor front-end Exchange ou servidor de acesso de cliente para

aceitar autenticação por certificado para o diretório virtual do Exchange ActiveSync. • Para permitir ou exigir certificados de todos os usuários, desative “Basic authentication”

e selecione “Accept client certificates” ou “Require client certificates”.

• Gere os certificados do cliente usando o servidor de autoridade do certificado. Exporte a chave pública e configure o IIS para usá-la. Exporte a chave privativa e use um Perfil de Configuração para oferecer essa chave no iPhone e no iPad. A autenticação por certificado só pode ser configurada usando um Perfil de Configuração.

Para obter mais informações sobre os serviços de certificado, consulte os recursos disponíveis na Microsoft.

Outros serviços do Exchange ActiveSync

• Pesquisa na GAL (Global Address List) • Aceita e cria convites do calendário • Sincroniza tarefas

• Marca mensagens de e-mail • Sincroniza indicadores de Resposta e

Encaminhamento com o Exchange Server 2010

• Busca de mensagens no Exchange Server 2007 e 2010

• Suporte a várias contas do Exchange ActiveSync

• Autenticação por certificado

• Push de e-mail para determinadas pastas • Detecção automática

(4)

O iPhone e o iPad solicitam acesso aos serviços do Exchange ActiveSync na porta 443 (HTTPS). (A mesma porta usada para o Outlook Web Access e outros serviços web seguros, por isso em várias implantações essa porta já está aberta e configurada para permitir tráfego HTTPS criptografado por SSL.)

O ISA oferece acesso ao Exchange Front-End ou Client Access Server. O ISA é configurado como um proxy ou, em muitos casos, como proxy reverso para encaminhar o tráfego para o Exchange Server.

O Exchange Server autentica o usuário de entrada via serviço Active Directory e o servidor de certificado (se estiver usando autenticação por certificado).

Caso o usuário ofereça as credenciais devidas e tenha acesso a serviços do Exchange ActiveSync, o servidor front-end estabelecerá uma conexão com a caixa de correio apropriada no Servidor back-end (via Active Directory Global Catalog). É estabelecida a conexão com o Exchange ActiveSync. É feito “push” das atualizações e alterações remotamente, e quaisquer alterações feitas no iPhone e no iPad refletem-se no Exchange Server.

Os e-mails enviados também são sincronizados com o Exchange Server via Exchange ActiveSync (etapa 5). Para encaminhar e-mails de saída para destinatários externos, a mensagem normalmente é enviada via Bridgehead (ou Hub Transport) Server para um Gateway de correio (ou Edge Transport Server) externo via SMTP. Dependendo da configuração da sua rede, o Gateway de correio ou Edge Transport Server externo pode residir na rede de perímetro ou fora do firewall.

© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. Os demais nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Este material é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419822B

Cenário de implantação do Exchange ActiveSync

Este exemplo mostra como o iPhone e o iPad se conectam com uma implantação comum do Microsoft Exchange Server 2003, 2007 ou 2010.

4

Firewall Firewall

Servidor proxy

Internet Exchange Front-End ouClient Access Server

Servidor de certificado Active Directory Chave privativa (certificado) Chave pública (Certificado)

*Dependendo da configuração da sua rede, o Gateway de correio ou Edge Transport Server pode residir na rede de perímetro (DMZ).

Caixa de correio do Exchange ou Servidor(es) back-end Gateway de correio ou

Edge Transport Server* Perfil de Configuração Bridgehead ou Hub Transport Server 443 1 4 5 6 2 3 4 5 6 1 3 2

(5)

Como implantar o iPhone e o iPad

Serviços baseados em padrões

Com suporte ao protocolo de correio IMAP, serviços de diretório LDAP, calendários CalDAV e protocolos de contato CardDAV, o iOS se integra com praticamente todos os ambientes de correio, calendário e contatos baseados em padrão. Se o seu ambiente de rede for configurado para solicitar autenticação do usuário e SSL, o iPhone e o iPad adotam uma abordagem segura para acesso a ambientes corporativos de e-mail, calendário, tarefas e contatos baseados em padrões.

Em uma implantação típica, o iPhone e o iPad estabelecem acesso direto com servidores de correio IMAP e SMTP para recebimento e envio remoto de mensagens, podendo também sincronizar notas com servidores IMAP. Os dispositivos com iOS se conectam aos diretórios corporativos LDAPv3 da sua empresa para que os usuários tenham acesso a contatos dos aplicativos Mail, Contatos e Mensagens. A sincronização com o servidor CalDAV permite que os usuários criem e aceitem convites de calendário, recebam atualizações de calendário e sincronizem tarefas remotamente com o app Lembretes. O suporte a CardDAV também permite que os usuários mantenham um grupo de contatos sincronizados com o seu servidor CardDAV usando o formato vCard. Todos os servidores de rede podem ser colocados em uma sub-rede DMZ, por trás do firewall corporativo ou ambos. Com relação a SSL, o iOS suporta criptografia de 128 bits e certificados raiz X.509 emitidos pelas principais autoridades de certificação.

Configuração da rede

Seu administrador de TI ou de rede terá que seguir estas etapas-chave para viabilizar o acesso do iPhone e do iPad aos serviços IMAP, LDAP, CalDAV e CardDAV:

• Abra as portas apropriadas do firewall. Entre as portas mais comuns estão a 993 para correio IMAP, a 587 para correio SMTP, a 636 para serviços de diretório LDAP, a 8443 para calendário CalDAV e a 8843 para contatos CardDAV. Também é aconselhável que a comunicação entre o seu servidor proxy e os servidores back-end IMAP, LDAP, CalDAV e CardDAV seja configurada para usar SSL e que os certificados digitais dos seus servidores de rede sejam assinados por uma autoridade de certificação (CA) confiável, como a VeriSign. Esta etapa importante garante que o iPhone e o iPad reconheçam o seu servidor proxy como entidade confiável dentro da infraestrutura corporativa. • Para e-mail SMTP de saída, será necessário abrir a porta 587, 465 ou 25 para permitir o

envio de e-mails.

O iOS verifica automaticamente a porta 587, em seguida a 465 e depois a 25. A porta 587 é a mais confiável e segura porque solicita autenticação do usuário. A porta 25 não solicita autenticação, e alguns provedores de Internet a bloqueiam para impedir os spams. Portas comuns • IMAP/SSL: 993 • SMTP/SSL: 587 • LDAP/SSL: 636 • CalDAV/SSL: 8443, 443 • CardDAV/SSL: 8843, 443

Soluções de correio IMAP ou POP

O iOS suporta servidores de correio IMAP4 e POP3 padrão em várias plataformas de servidor, entre elas Windows, UNIX, Linux e Mac OS X

Padrões CalDAV e CardDAV

O iOS suporta os protocolos de calendário CalDAV e de contatos CardDAV.

Ambos os protocolos foram padronizados pelo IETF. Para obter mais informações, entre em contato com o consórcio CalConnect em http://caldav.calconnect. org/ e http://carddav.calconnect.org/.

(6)

Cenário de implantação

Este exemplo mostra como o iPhone e o iPad se conectam a uma implantação típica de IMAP, LDAP, CalDAV e CardDAV.

© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. UNIX é marca registrada do The Open Group. Os demais nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Este material é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419827B

O iPhone e o iPad solicitam acesso aos serviços da rede através das portas designadas.

Dependendo do serviço, os usuários devem ser autenticados usando o proxy reverso ou diretamente no servidor para obter acesso aos dados corporativos. Em todos os casos, as conexões são liberadas pelo proxy reverso, que funciona como gateway seguro, localizado normalmente atrás do firewall de Internet. Uma vez autenticados, os usuários podem acessar os dados corporativos nos servidores back-end.

O iPhone e o iPad oferecem serviços de pesquisa em diretórios LDAP, dando aos usuários a capacidade de procurar contatos e outras informações da agenda no servidor LDAP.

No caso dos calendários CalDAV, os usuários acessam e atualizam os calendários.

Os contatos CardDAV são armazenados no servidor e pode ser acessados localmente no iPhone e no iPad. As mudanças nos campos de contatos CardDAV são sincronizadas no servidor CardDAV.

No caso dos serviços de correio IMAP, as mensagens existentes e as novas podem ser lidas no iPhone e no iPad via conexão proxy com o servidor de correio. As mensagens de saída são enviadas ao servidor SMTP, com cópias colocadas na pasta de mensagens enviadas do usuário.

1 2 3 4 5 6 Firewall Firewall

Servidor proxy reverso Internet Servidor de correio Servidor de diretório LDAP 3 6 Servidor CalDAV Servidor de CardDAV 2 4 5 1 636 (LDAP) 8843 (CardDAV) 993 (IMAP) 587 (SMTP) 8443 (CalDAV) 6

(7)

Como implantar o iPhone e o iPad

Redes virtuais privativas

O acesso seguro às redes virtuais privativas está disponível no iPhone e no iPad através de protocolos VPN padrão do setor já estabelecidos. Os usuários podem se conectar facilmente aos sistemas corporativos via cliente VPN integrado no iOS ou aplicativos de terceiros da Juniper, Cisco e F5 Networks.

O iOS é compatível com Cisco IPSec, L2TP sobre IPSec e PPTP. Caso a sua empresa trabalhe com um desses protocolos, não será necessário fazer nenhuma configuração de rede adicional nem usar um aplicativo de terceiro para conectar o iPhone e o iPad à sua VPN. Além disso, o iOS é compatível com VPN SSL, para acesso aos servidores Juniper SA Series, Cisco ASA e F5 BIG-IP Edge Gateway. Para começar, basta que os usuários baixem um aplicativo cliente de VPN desenvolvido pela Juniper, Cisco ou F5 na App Store. Assim como os outros protocolos VPN suportados no iOS, a VPN SSL pode ser configurada manualmente no dispositivo ou via Perfil de Configuração.

O iOS suporta tecnologias padrão do setor como IPv6, servidores proxy e encapsulamento dividido, para uma experiência VPN de alta qualidade na conexão com as redes

corporativas.

E o iOS funciona com vários métodos de autenticação, como senha, token duplo e certificados digitais. Para agilizar a conexão nos ambientes onde é usada autenticação por certificado, o iOS vem com o VPN On Demand, que inicia dinamicamente uma sessão VPN na conexão com determinados domínios.

Protocolos e métodos de autenticação suportados

VPN SSL

Suporta autenticação de usuário por senha, token duplo e certificados. Cisco IPSec

Suporta autenticação de usuário por senha, token duplo e autenticação da máquina via certificados e segredo compartilhado.

L2TP sobre IPSec

Suporta autenticação de usuário por senha MS-CHAP v2, token duplo e autenticação da máquina via segredo compartilhado.

PPTP

(8)

8

VPN On Demand

No caso das configurações que usam autenticação por certificado, o iOS suporta VPN On Demand. VPN On Demand estabelecerá uma conexão automaticamente no acesso a determinados domínios, para conectividade VPN tranquila e de alta qualidade dos usuários.

Esse é um recurso do iOS que não exige nenhuma configuração extra do servidor. A configuração do VPN On Demand é feita via Perfil de Configuração ou manualmente no dispositivo.

Opções do VPN On Demand:

Inicia uma conexão VPN com qualquer endereço que corresponda ao domínio especificado.

Nunca:

Não inicia uma conexão VPN com nenhum endereço que corresponda ao domínio especificado, mas, se a VPN estiver ativa, ela poderá ser usada.

Estabelecer, se necessário

Inicia uma conexão VPN com endereços que correspondam ao domínio especificado, somente depois de erro em uma pesquisa de DNS.

Configuração da VPN

• O iOS se integra a várias redes VPN existentes, exigindo o mínimo de

configuração. A melhor forma de se preparar para a implantação é verificar se o iOS suporta os protocolos VPN e métodos de autenticação usados na sua empresa. • Recomenda-se verificar o caminho de autenticação ao servidor de autenticação para garantir que os padrões suportados pelo iOS estão ativados na sua

implementação.

• Se você pretende usar autenticação por certificado, não se esqueça de configurar a infraestrutura de chave pública para suportar certificados de dispositivo e usuário com

o devido processo de distribuição de chaves.

• Se você deseja configurar ajustes de proxy específicos de uma URL, coloque um arquivo PAC no servidor web acessível via ajustes básicos de VPN e garanta que ele seja hospedado com o aplicativo/tipo MIME x-ns-proxy-autoconfig.

Configuração do proxy

Para todas as configurações, você também pode especificar um proxy VPN. Para configurar um único proxy para todas as conexões, use o ajuste Manual e informe o endereço, a porta e a auten-ticação, se necessário. Para associar um arquivo de configuração de auto-proxy ao dispositivo usando PAC ou WPAD, use o ajuste Auto. No caso de PACS, especifique a URL do arquivo PACS. No caso de WPAD, o iPhone e o iPad irão pesquisar no DHCP e no DNS os ajustes apropriados.

(9)

9 1 2 3 4 5 6 Firewall Firewall Concentrador/Servidor VPN Internet pública Rede privativa Certificado de autenticação ou token Servidor proxy

Servidor de autenticação VPN Geração do token ou autenticação do certificado 1 4 3a 3b 2 5 Servicio de directorio

© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. App Store é marca de serviço da Apple Inc. . Os demais nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Este material é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419828B

Cenário de implantação

O exemplo ilustra uma implantação típica com um concentrador/servidor VPN e um servidor de autenticação que controla o acesso aos serviços da rede corporativa.

O iPhone e o iPad solicitam acesso aos serviços da rede.

O concentrador/servidor VPN recebe a solicitação e a encaminha para o servidor de autenticação.

Em um ambiente de token duplo, o servidor de autenticação gerenciaria a criação de um token sincronizado por tempo com o servidorde chaves. Caso seja utilizado o método de autenticação por certificado, é necessário que um certificado de identidade seja distribuído antes da autenticação. Caso seja utilizado o método de senha, o processo de autenticação ocorre na validação do usuário.

Assim que o usuário é autenticado, o servidor de autenticação valida as políticas de usuário e grupo.

Após a validação dessas políticas, o servidor VPN viabiliza o acesso criptografado e encapsulado aos serviços da rede.

(10)

Como implantar o iPhone e o iPad

Wi-Fi

Protocolos de segurança para ambiente sem fio • WEP • WPA Personal • WPA Enterprise • WPA2 Personal • WPA2 Enterprise Métodos de autenticação 802.1X • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAPv0 (EAP-MS-CHAP v2) • PEAPv1 (EAP-GTC) • LEAP

O iPhone e o iPad se conectam com segurança a redes Wi-Fi corporativas ou

convidadas, o que simplifica e agiliza a conexão com redes sem fio, independentemente de você estar no escritório ou em trânsito. O iOS suporta protocolos de rede sem fio padrão do setor, como o WPA2 Enterprise, garantindo configuração rápida e acesso seguro de redes sem fio corporativas. O WPA2 Enterprise usa criptografia AES de 128 bits, um método de criptografia comprovado e em bloco, garantindo aos usuários a máxima proteção dos dados.

Com suporte a 802.1X, o iOS pode ser integrado a uma ampla gama de ambientes de autenticação RADIUS. Entre os métodos de autenticação sem fio 802.1X suportados pelo iPhone e o iPad estão EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 e LEAP. Os usuários podem configurar o iPhone e o iPad para se conectar a redes Wi-Fi disponíveis automaticamente. As redes Wi-Fi que precisarem de login ou de outras informações também podem ser acessadas a partir das configurações de Wi-Fi ou de aplicativos como o Mail, sem necessidade de abrir uma sessão no navegador. E o baixo consumo de energia e a facilidade de conexão Wi-Fi permitem que os aplicativos usem redes Wi-Fi para enviar notificações de push.

Use os Perfis de Configuração para instalação e implantação rápidas e para os ajustes de rede sem fio, de segurança e de autenticação.

Configuração do WPA2 Enterprise

• Confira a compatibilidade dos dispositivos de rede e selecione um tipo de autenticação (tipo EAP) suportado pelo iOS.

• Verifique se 802.1X está habilitado no servidor de autenticação e, se necessário, instale um certificado de servidor e atribua permissões de acesso à rede para usuários e grupos. • Configure pontos de acesso sem fio para autenticação 802.1X e insira as informações do servidor RADIUS.

• Se você pretende usar autenticação por certificado, configure a infraestrutura

de chave pública para suportar certificados para dispositivos e usuários com o respectivo processo de distribuição de chaves.

• Verifique a compatibilidade do servidor de autenticação e o formato do certificado. O iOS suporta PKCS#1 (.cer, .crt, .der) e PKCS#12.

• Para obter outras documentações sobre padrões de rede sem fio e WPA (Wi-Fi Protected Access), acesse www.wi-fi.org.

(11)

Cenário de implantação de WPA2 Enterprise/802.1X

Este exemplo ilustra uma implantação típica para segurança de ambiente sem fio, que aproveita os benefícios da autenticação RADIUS.

O iPhone e o iPad solicitam acesso à rede. A conexão é iniciada em resposta a um usuário que está selecionando uma rede sem fio disponível ou automaticamente depois que é detectada uma rede já configurada.

Depois que o ponto de acesso recebe a solicitação, ela é enviada ao servidor RADIUS para autenticação. O servidor RADIUS valida a conta do usuário via serviço de diretório.

Assim que o usuário é autenticado, o ponto de acesso oferece acesso à rede, de acordo com as políticas e permissões, conforme instruções do servidor RADIUS.

© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. Os demais nomes de produtos e de empresas aqui mencionados podem ser marcas comerciais das respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Este material é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419830B

11

1

2 3 4

Ponto de acesso sem fio com suporte a 802.1X

Serviços de diretório

Serviços de rede Servidor de autenticação com

suporte a 802.1X (RADIUS) Certificado ou senha tipo EAP 1 2 3 4 Firewall

(12)

O iOS suporta certificados digitais para que os usuários corporativos tenham acesso ágil e seguro aos serviços corporativos. Um certificado digital é composto por uma chave pública, informações sobre o usuário e a autoridade de certificação que emitiu o certificado. Os certificados digitais são uma forma de identificação que agiliza a autenticação, a integridade e a criptografia dos dados.

No iPhone e no iPad, os certificados podem ser usados de várias formas. Assinar dados com um certificado digital ajuda a garantir que as informações não serão alteradas. Os certificados também podem ser usados para garantir a identidade do autor ou “signatário”. Além disso, eles podem ser usados para criptografar Perfis de Configuração e comunicações via rede, reforçando a proteção de informações confidenciais ou privativas.

Como usar certificados no iOS

Certificados digitais

Os certificados digitais podem ser usados para autenticar, com segurança, os usuários nos serviços corporativos, dispensando assim os nomes de usuários, senhas ou tokens. No iOS, a autenticação por certificado é suportada para acesso ao Microsoft Exchange ActiveSync, VPN e redes Wi-Fi.

Serviços corporativos Intranet, e-mail, VPN, Autoridade

certificadora Solicitação de autenticação Serviço de diretórioo

Certificados de servidor

Os certificados digitais também podem ser usados para validar e criptografar as comunicações via rede, para comunicação segura com sites internos e externos. O navegador Safari confere a validade de um certificado digital X.509 e configura uma sessão segura com criptografia AES de 256 bits, que verifica a legitimidade da identidade do site e se a comunicação com o site está protegida, evitando assim a intercepção de dados pessoais ou confidenciais.

Serviços de rede

Solicitação HTTPS Autoridade certificadora

Como implantar o iPhone e o iPad

Certificados digitais

Formatos de identidade e certificados suportados:

• O iOS suporta certificados X.509 com chaves RSA.

• Reconhece as extensões de arquivo .cer, .crt, .der, .p12 e .pfx.

Certificados raiz

O iOS já vem com vários certificados raiz pré-instalados. Para ver uma lista deles, consulte o artigo no suporte da Apple em http://support.apple.com/kb/HT4415. Se estiver usando um certificado raiz que não esteja pré-instalado, como um certificado raiz auto-assinado criado pela sua empresa, você poderá distribuí-lo usando um dos métodos mencionados na seção “Como distribuir e instalar certificados” deste documento.

(13)

© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos EUA e em outros países. Os demais nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Este material é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419821B

Como distribuir e instalar certificados

É muito simples distribuir certificados no iPhone e no iPad. Assim que o certificado é recebido, basta que o usuário confira o seu conteúdo e dê um toque para adicioná-lo ao dispositivo. Durante a instalação do certificado, o usuário é solicitado a informar a senha que o protege. Se a autenticidade do certificado não puder ser conferida, o usuário receberá um aviso antes que o certificado seja adicionado ao dispositivo.

Como instalar certificados via Perfis de Configuração

Caso você esteja utilizando Perfis de Configuração para distribuir as configurações dos serviços corporativos, como Exchange, VPN ou Wi-Fi, inclua os certificados no perfil para agilizar a implantação.

Como instalar certificados via Mail ou Safari

Caso o certificado seja enviado por e-mail, ele aparecerá como um anexo. O Safari pode ser usado para baixar certificados de uma página da web. Você pode hospedar o certificado em um site seguro e enviar a URL para os usuários para que eles possam baixá-lo nos dispositivos.

Como instalar via SCEP (Simple Certificate Enrollment Protocol)

O SCEP foi criado para simplificar o gerenciamento da distribuição de certificados em implantações de larga escala. Ele possibilita a inscrição remota de certificados digitais no iPhone e no iPad, e os certificados podem então ser usados tanto para autenticação nos serviços corporativos quanto para inscrição em um servidor de gerenciamento de dispositivos móveis.

Para obter mais informações sobre o SCEP e inscrição remota, acesse www.apple.com/ iphone/business/resources

Remoção e revogação de certificados

Para remover manualmente um certificado já instalado, escolha Ajustes > Geral > Perfis. Se você remover um certificado necessário para acessar uma conta ou rede, o dispositivo não poderá mais se conectar a esses serviços.

Para remover certificados remotamente, pode ser utilizado um servidor de

gerenciamento de dispositivos móveis. Esse servidor pode visualizar todos os certificados de um dispositivo e remover os desejados.

Além disso, há suporte para OCSP (Online Certificate Status Protocol) para verificar o status dos certificados. Quando você usa um certificado OCSP, o iOS o valida para se certificar de que ele não foi revogado antes da conclusão da tarefa solicitada.

(14)

Como implantar o iPhone e o iPad

Visão geral sobre a segurança

O iOS, o sistema operacional na essência do iPhone e do iPad, foi criado com camadas de segurança. Por isso, o iPhone e o iPad conseguem acessar serviços corporativos com segurança e proteger dados importantes. O iOS oferece criptografia rígida dos dados na transmissão, métodos de autenticação comprovados para acesso a serviços corporativos e criptografia de hardware para todos os dados em repouso.

O iOS também oferece proteção e segurança através do uso de políticas de senha que podem ser disponibilizadas e ativadas remotamente. E, se o dispositivo cair nas mãos erradas, os usuários e administradores de TI podem iniciar o comando de apagamento remoto para excluir informações confidenciais.

Ao considerar a segurança do iOS para uso corporativo, é importante entender o seguinte:

• Segurança do dispositivo: Métodos que impedem o uso não autorizado do dispositivo

• Segurança dos dados: Proteção dos dados em repouso, mesmo quando o dispositivo foi perdido ou roubado

• Segurança da rede: Protocolos de rede e criptografia de dados na transmissão • Segurança dos aplicativos: A base segura que é a plataforma do iOS

Esses recursos funcionam juntos para oferecer uma plataforma de computação móvel segura.

Segurança dos dispositivos

Estabelecer políticas rígidas de acesso para o iPhone e o iPad é fundamental para proteger informações corporativas. As senhas dos dispositivos são a primeira linha de defesa contra o acesso não autorizado e podem ser configuradas e ativadas remotamente. Os dispositivos com iOS usam uma senha exclusiva definida pelo usuário para gerar uma chave de criptografia forte para maior proteção de mensagens e dados confidenciais dos aplicativos armazenados no dispositivo. Além disso, o iOS oferece métodos seguros para

configuração do dispositivo em um ambiente corporativo, onde são necessários ajustes, políticas e restrições específicas. Esses métodos oferecem opções flexíveis para que se estabeleça um nível de proteção padrão para os usuários autorizados.

Políticas de senha

A senha de um dispositivo impede que usuários não autorizados acessem os dados

armazenados ou tenham acesso a ele. O iOS permite escolher entre várias opções de requisitos de senha conforme as suas necessidades de segurança; entre essas opções estão períodos de inatividade, intensidade da senha e frequência com que a senha deve ser trocada.

Há suporte para as seguintes políticas de senha: • Obrigatoriedade de senha no dispositivo • Permissão de valor simples

• Obrigatoriedade de valor alfanumérico • Tamanho mínimo da senha

• Número mínimo de caracteres complexos • Validade da senha

• Tempo antes de bloqueio automático • Histórico de senha

• Período de carência para bloqueio do dispositivo • Número máximo de tentativas falhas

Segurança do dispositivo

• Senhas rígidas • Validade da senha

• Histórico para reutilização de senhas • Número máximo de tentativas falhas • Ativação remota da senha

(15)

Ativação de política

As política descritas acima podem ser definidas no iPhone e no iPad de várias formas. Elas podem ser distribuídas como parte de um Perfil de Configuração para que sejam instaladas pelo usuário. É possível definir um perfil que só possa ser excluído com uma senha administrativa ou que fique oculto no dispositivo e só possa ser removido se for apagado todo o conteúdo do dispositivo. Além disso, é possível configurar remotamente os ajustes de senha usando soluções de Gerenciamento de Dispositivos Móveis (MDM) que fazem “push” dessas políticas diretamente para o dispositivo. Isso permite ativar e atualizar as políticas sem qualquer ação por parte do usuário. Se o dispositivo for configurado para acessar uma conta do Microsoft Exchange, será feito “push” das políticas do Exchange ActiveSync remotamente. Lembre-se de que o conjunto de políticas disponíveis irá variar dependendo da versão do Exchange (2003, 2007 ou 2010). Consulte Exchange ActiveSync e dispositivos com iOS para saber quais políticas são suportadas para a sua configuração específica.

Configuração segura dos dispositivos

Perfis de Configuração são arquivos XML contendo restrições e políticas de segurança do dispositivo, informações sobre configurações de VPN, configurações de Wi-Fi, contas de e-mail e calendário e credenciais de autenticação que permitem que o iPhone e o iPad funcionem com os seus sistemas corporativos. A capacidade de estabelecer políticas de senha junto com as configurações do dispositivo em um Perfil de Configuração garante que os dispositivos da sua empresa sejam configurados corretamente e de acordo com os padrões de segurança definidos por ela. E, como os Perfis de Configuração podem ser criptografados e bloqueados, os ajustes não podem ser removidos, alterados nem compartilhados com outras pessoas.

Os Perfis de Configuração podem ser assinados e criptografados. A assinatura de um Perfil de Configuração garante que os ajustes ativados por ele não sejam alterados de forma alguma. Criptografar um Perfil de Configuração protege o conteúdo do perfil e possibilita a instalação apenas no dispositivo para o qual ele foi criado. Os Perfis de Configuração são criptografados por CMS (Cryptographic Message Syntax, RFC 3852), com suporte a 3DES e AES 128.

Na primeira vez que você distribui um Perfil de Configuração criptografado, pode instalá-lo via USB usando o Utilitário de Configuração ou remotamente, via Inscrição Remota. Além desses métodos, a distribuição dos Perfis de Configuração criptografados subsequentes pode ser feita via anexo de e-mail, hospedagem em um site que possa ser acessado pelos usuários ou por “push” no dispositivo via soluções de MDM.

Restrições do dispositivo

As restrições do dispositivo determinam quais recursos os usuários podem acessar nele. Normalmente as restrições envolvem aplicativos em rede, como Safari, YouTube ou iTunes Store, mas elas também podem controlar a funcionalidade dos dispositivos, como instalação de aplicativos ou uso da câmera. As restrições permitem configurar o dispositivo para atender aos seus requisitos, permitindo também que os usuários o utilizem de forma consistente com as práticas corporativas. As restrições podem ser configuradas manualmente em cada dispositivo, ativadas usando um Perfil de Configuração ou estabelecidas remotamente com soluções de MDM. Além disso, assim como as políticas de senha, é possível ativar restrições de uso de câmera ou de navegação na Web remotamente via Microsoft Exchange Server 2007 e 2010.

Além de configurar restrições e políticas no dispositivo, o aplicativo do iTunes pode ser configurado e controlado pela área de TI. Isso inclui desativar o acesso a determinado conteúdo, definir quais serviços de rede os usuários podem acessar no iTunes e verificar se há novas atualizações de software disponíveis para os usuários instalarem. Para obter mais informações, consulte Como implantar o iTunes para dispositivos com iOS.

Políticas e restrições configuráveis suportadas:

Funcionalidade do dispositivo

• Permitir instalação de aplicativos • Permitir uso de câmera • Permitir o FaceTime • Permitir capturas de tela

• Permitir sincronização automática em roaming • Permitir discagem por voz

• Permitir compra de aplicativos

• Exigir senha de loja em todas as compras • Permitir jogos com vários participantes • Permitir adicionar amigos do Game Center

Aplicativos

• Permitir uso do YouTube • Permitir uso da iTunes Store • Permitir uso do Safari

• Definir preferências de segurança do Safari

iCloud

• Permitir backup

• Permitir sincronização de documentos e de valores de chaves

• Permitir Streaming de Fotos

Segurança e privacidade

• Permitir envio de dados de diagnóstico à Apple • Permitir que o usuário aceite certificados não

confiáveis

• Impor backups criptografados

Comentários sobre o conteúdo

• Permitir determinadas músicas e podcasts • Definir região de comentários

• Definir comentários de conteúdo permitido

(16)

Segurança dos dados

A proteção dos dados armazenados no iPhone e no iPad é importante para qualquer ambiente com informações confidenciais da empresa ou de clientes. Além de criptografar os dados na transmissão, o iPhone e o iPad oferecem criptografia de hardware para todos os dados armazenados no dispositivo e criptografia de e-mails e dados de aplicativos, com avançada proteção desses dados.

No caso de perda ou roubo do dispositivo, é importante desativar e excluir todos os dados contidos nele. É aconselhável também contar com uma política que remova tudo do dispositivo após um determinado número de tentativas de informar a senha, uma ótima solução caso alguém esteja tentando acessar o dispositivo sem autorização. Criptografia

O iPhone e o iPad oferecem criptografia de hardware. A criptografia de hardware usa codificação AES de 256 bits para proteger todos os dados armazenados no dispositivo. A criptografia está sempre ativada e não pode ser desativada pelos usuários.

Além disso, é possível criptografar o backup dos dados do computador de um usuário no iTunes. Isso pode ser feito pelo próprio usuário ou como parte dos ajustes de restrição do dispositivo nos Perfis de Configuração.

O iOS suporta S/MIME em mensagens, permitindo que o iPhone e o iPad vejam e enviem mensagens de e-mail criptografadas. Também é possível usar restrições para impedir que mensagens de e-mail sejam transferidas entre contas ou que mensagens recebidas em uma conta sejam encaminhadas de outra.

Proteção dos dados

Com a ajuda dos recursos de criptografia de hardware do iPhone e do iPad, é possível reforçar a proteção de mensagens e anexos de e-mail armazenados no dispositivo com os recursos de proteção de dados do iOS. A proteção dos dados alia a senha exclusiva definida pelo usuário do dispositivo com a criptografia de hardware disponível no iPhone e no iPad, gerando uma chave de criptografia forte. Essa chave impede o acesso aos dados quando o dispositivo está bloqueado, garantindo a proteção das informações críticas, mesmo no caso de comprometimento do dispositivo.

Para ativar o recurso de proteção dos dados, basta definir uma senha no dispositivo. A eficácia da proteção dos dados depende de uma senha forte, daí a importância de exigir e aplicar uma senha mais forte do que apenas quatro dígitos quando definir as políticas corporativas de senha. Para saber se a proteção dos dados está ativada, os usuários só precisam acessar a tela de configurações de senha. As soluções de Gerenciamento de Dispositivos Móveis também conseguem consultar essa informação no dispositivo.

Essas APIs de proteção de dados também estão disponíveis para os desenvolvedores e podem ser utilizadas para proteger os dados dos aplicativos desenvolvidos internamente na empresa ou disponíveis comercialmente.

Apagamento remoto

O iOS suporta apagamento remoto. No caso de perda ou roubo do dispositivo, seu administrador ou proprietário pode acionar um comando de apagamento remoto que exclui todos os dados e desativa o dispositivo. Caso o dispositivo esteja configurado com uma conta do Exchange, o administrador poderá iniciar um comando de apagamento remoto via Exchange Management Console (Exchange Server 2007) ou Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 ou 2007). Os usuários do Exchange Server 2007 também podem iniciar comandos de apagamento remoto diretamente via Outlook Web Access e pelas soluções de MDM, mesmo que os serviços corporativos do Exchange não estejam sendo usados.

Timeout progressivo da senha

O iPhone e o iPad podem ser configurados para iniciar um apagamento automaticamente após várias tentativas mal-sucedidas de infor-mar a senha. Se o usuário digitar a senha errada repetidas vezes, o iOS será desativado por intervalos cada vez maiores. Após muitas tentativas mal-sucedidas, todos os dados e ajustes no dispositivo serão apagados.

Segurança dos dados

• Criptografia de hardware • Proteção dos dados • Apagamento remoto • Apagamento local

• Perfis de Configuração criptografados • Backups criptografados via iTunes

(17)

Protocolos VPN • Cisco IPSec • L2TP/IPSec • PPTP • VPN SSL Métodos de autenticação • Senha (MSCHAPv2) • RSA SecurID • CRYPTOCard • Certificados digitais X.509 • Segredo compartilhado Protocolos de autenticação 802.1X • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP

Formatos de certificados suportados

O iOS suporta certificados X.509 com chaves RSA. Reconhece as extensões de arquivo .cer,. crt e .der.

Apagamento local

Os dispositivos também podem ser configurados para iniciar o apagamento local

automaticamente após várias tentativas mal-sucedidas de informar a senha. Isso impede as tentativas de acesso não autorizado às informações armazenadas no dispositivo. Com uma senha, o usuário pode acionar o apagamento local diretamente através das configurações. Por padrão, o iOS irá apagar automaticamente todo o conteúdo do

dispositivo após 10 tentativas de digitação da senha. Assim como ocorre com outras políticas de senha, o número máximo de tentativas mal-sucedidas pode ser definido via Perfil de Configuração, em um servidor MDM ou ativado remotamente através de políticas do Microsoft Exchange ActiveSync.

iCloud

O iCloud armazena músicas, fotos, aplicativos, calendários, documentos e muito mais e faz “push” deles automaticamente em todos os dispositivos do usuário. O iCloud faz backup de informações, entre elas configurações do dispositivo, dados de aplicativos e mensagens de texto e MMS, diariamente via Wi-Fi. Ele também protege o conteúdo com criptografia ao enviá-lo pela Internet, armazenando-o em um formato criptografado e usando tokens seguros para autenticação. Além disso, recursos do iCloud, como Streaming de Fotos, Document Sync e Backup, podem ser desativados via Perfil de Configuração. Para obter mais informações sobre segurança e privacidade no iCloud, acesse http://support.apple. com/kb/HT4865.

Segurança da rede

Os usuários móveis podem acessar informações armazenadas na rede corporativa onde estiverem, mas é importante garantir que esses usuários têm autorização para fazê-lo e que os dados sejam protegidos durante a transmissão. O iOS conta com tecnologias comprovadas para atender aos objetivos de segurança das conexões de rede Wi-Fi e celulares.

Além da infraestrutura existente, cada sessão do FaceTime e conversa no iMessage é totalmente criptografada. O iOS cria um ID exclusivo para cada usuário, assegurando que as comunicações sejam criptografadas, roteadas e devidamente conectadas. VPN

Vários ambientes corporativos possuem alguma forma de rede virtual privativa (VPN) estabelecida. Esses serviços de rede segura já estão implantados e normalmente exigem o mínimo de configuração para funcionar com o iPhone e o iPad. O iOS integra-se a uma ampla variedade de tecnologias VPN bastante utilizadas graças ao suporte para Cisco IPSec, L2TP e PPTP. Ele também suporta VPN SSL através de aplicativos da Juniper, Cisco e F5 Networks. O suporte a esses protocolos garante criptografia IP do mais alto nível para a transmissão de informações confidenciais. Além de viabilizar acesso seguro aos ambientes VPN existentes, o iOS oferece métodos comprovados de autenticação de usuário. A autenticação via certificados digitais X.509 padrão agiliza o acesso dos usuários aos recursos corporativos e é uma alternativa viável aos tokens de hardware. Além disso, a autenticação por certificado permite que o iOS aproveite as vantagens do VPN On Demand, tornando o processo de autenticação transparente, mas viabilizando acesso credenciado e confiável aos serviços da rede. No caso de ambientes corporativos com necessidade de token duplo, o iOS se integra a RSA SecurID e CRYPTOCard.

O iOS suporta configuração de proxy da rede, assim como divisão de encapsulamento IP, para que o tráfego aos domínios de redes públicos ou privativos ocorra sempre de acordo com as políticas específicas da sua empresa.

Segurança da rede

• Cisco IPSec, L2TP, PPTP VPN integrados • VPN SSL via apps da App Store • SSL/TLS com certificados X.509 • WPA/WPA2 Enterprise com 802.1X • Autenticação por certificado • RSA SecurID, CRYPTOCard

(18)

SSL/TLS

O iOS suporta SSL v3, bem como Transport Layer Security (TLS v1.0, 1.1 e 1.2), o padrão de segurança de última geração para a Internet. O Safari, Calendário, Mail e outros aplicativos para Internet iniciam esses mecanismos automaticamente para viabilizar um canal de comunicação criptografada entre o iOS e os serviços corporativos.

WPA/WPA2

O iOS suporta WPA2 Enterprise para acesso autenticado à rede sem fio corporativa. O WPA2 Enterprise usa criptografia AES de 128 bits, dando aos usuários o mais alto nível de garantia de que os dados serão protegidos no envio e no recebimento de

comunicações por uma conexão de rede Wi-Fi. O suporte a 802.1X permite que o iPhone e o iPad se integrem a uma ampla gama de ambientes de autenticação RADIUS.

Segurança dos aplicativos

O iOS foi desenvolvido pensando na segurança. Adota uma abordagem de “área restrita” para proteção dos aplicativos durante a execução e exige assinatura do aplicativo para garantir que os aplicativos não sejam invadidos. O iOS conta também com uma estrutura segura que facilita e protege o armazenamento de credenciais dos serviços de rede e dos aplicativos em uma cadeia de chaves criptografadas. Para os desenvolvedores, oferece uma arquitetura de criptografia comum que pode ser usada para criptografar os data stores de aplicativos.

Proteção na execução

Os aplicativos armazenados no dispositivo são “vedados” para que não possam acessar os dados armazenados por outros aplicativos. Além disso, os arquivos, recursos e o kernel do sistema ficam protegidos do espaço de aplicativos do usuário. Caso um aplicativo precise acessar dados de outro aplicativo, só poderá fazê-lo usando as APIs e os serviços fornecidos pelo iOS. A geração de código também é impedida.

Assinatura obrigatória de código

Todos os aplicativos para iOS devem ser assinados. Os aplicativos fornecidos com o dispositivo são assinados pela Apple. Os aplicativos de terceiros são assinados pelo desenvolvedor, que para isso usa um certificado emitido pela Apple. Isso garante que os aplicativos não foram invadidos nem alterados. Além disso, são feitas verificações durante a execução para garantir que um aplicativo não tenha se tornado não confiável desde a última utilização.

O uso de aplicativos personalizados ou desenvolvidos internamente pode ser controlado com a ajuda de um perfil de aprovisionamento. O usuário deve ter um perfil de

aprovisionamento instalado para poder executar o aplicativo. Esses perfis podem ser instalados ou revogados remotamente com soluções de MDM. Os administradores também podem restringir o uso de um aplicativo a determinados dispositivos. Estrutura segura de autenticação

O iOS oferece uma cadeia de chaves seguras e criptografadas para o armazenamento de identidades digitais, nomes de usuário e senhas. Os dados da cadeia de chaves são particionados de forma que as credenciais armazenadas por aplicativos de terceiros não sejam acessados por aplicativos com outra identidade. Isso fornece o mecanismo para a proteção das credenciais de autenticação no iPhone e no iPad para diversos aplicativos e serviços dentro da empresa.

Arquitetura de criptografia comum

Os desenvolvedores de aplicativos têm acesso a APIs de criptografia que podem ser usadas para reforçar a proteção dos dados de aplicativos. Os dados podem ser criptografados simetricamente usando métodos comprovados, como AES, RC4 ou 3DES. Além disso, o iPhone e o iPad oferecem aceleração de hardware para criptografia AES e hashing SHA1, maximizando o desempenho dos aplicativos.

Segurança dos aplicativos

• Proteção na execução

• Assinatura obrigatória de código • Serviços de cadeia de chaves • APIs de criptografia comum • Proteção de dados de aplicativos

(19)

© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, FaceTime, iPad, iPhone, iTunes e Safari são marcas com-erciais da Apple Inc., registradas nos Estados Unidos e em outros países. iCloud e iTunes Store são marcas de serviço da Apple Inc., registradas nos Estados Unidos e em outros países. App Store é marca de serviço da Apple, Inc. Os demais nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujei-tas a mudanças sem aviso prévio. Outubro de 2011 L422500B

Proteção de dados de aplicativos

Os aplicativos também podem aproveitar a criptografia de hardware no iPhone e no iPad para reforçar a proteção de dados confidenciais de aplicativos. Os desenvolvedores podem designar que apenas determinados arquivos sejam protegidos, instruindo o sistema a deixar o conteúdo do arquivo criptograficamente inacessível, tanto para o aplicativo quanto para qualquer possível invasor quando o dispositivo estiver bloqueado.

Aplicativos gerenciados

Um servidor MDM pode gerenciar aplicativos de terceiros na App Store, bem como aplicativos corporativos desenvolvidos internamente. Designar um aplicativo como sendo gerenciado permite que o servidor especifique se aplicativo e seus dados podem ser removidos do dispositivo pelo servidor MDM.

Além disso, o servidor pode impedir que dados de aplicativos gerenciados sejam submetidos a backup no iTunes e no iCloud. Com isso, a área de TI pode gerenciar aplicativos que podem conter informações corporativas confidenciais com mais controle do que os aplicativos baixados diretamente pelo usuário.

Para instalar um aplicativo gerenciado, o servidor MDM envia um comando de instalação ao dispositivo. Os aplicativos gerenciados exigem aceitação do usuário para que possam ser instalados. Para obter mais informações sobre aplicativos gerenciados, consulte a Visão geral sobre Gerenciamento de Dispositivos Móveis em www.apple. com/business/mdm.

Dispositivos revolucionários e transmissão segura

O iPhone e o iPad oferecem proteção criptografada dos dados em trânsito, em repouso e no backup para o iCloud ou iTunes. Independentemente de o usuário estar acessando e-mail corporativo, um site privativo ou se autenticando na rede da empresa, o iOS oferece a garantia de que apenas usuários autorizados poderão acessar informações corporativas confidenciais. E, com o suporte a rede corporativa e métodos abrangentes para evitar perda de dados, você pode implantar dispositivos com o iOS com a certeza de que está implementando um dispositivo móvel seguro e com proteção de dados.

(20)

Como implantar o iPhone e o iPad

Gerenciamento de Dispositivos

Móveis

O iOS suporta Gerenciamento de Dispositivos Móveis (MDM), o que ajuda as empresas a administrar implantações em escala do iPhone e do iPad nas organizações. Esses recursos de MDM estão presentes nas tecnologias já existentes do iOS, como os Perfis de Configuração, a Inscrição Remota e o serviço de notificação de push da Apple, e podem ser integrados a soluções de servidor internas ou de terceiros. Isso permite que os departamentos de TI implantem com segurança o iPhone e o iPad no ambiente corporativo, configurem e atualizem ajustes remotamente, monitorem a conformidade com políticas corporativas e até apaguem ou bloqueiem remotamente dispositivos gerenciados.

Gerenciando o iPhone e o iPad

O gerenciamento de dispositivos com iOS ocorre via conexão com um servidor de Gerenciamento de Dispositivos Móveis. Esse servidor pode ser montado internamente ou adquirido com um provedor de soluções de terceiros. O dispositivo se comunica com o servidor para saber se há tarefas pendentes e responde com as ações apropriadas. Essas tarefas podem incluir atualizar políticas, fornecer informações necessárias sobre o dispositivo ou a rede ou remover ajustes e dados.

A maior parte das funções de gerenciamento são executadas em segundo plano, sem necessidade de interação por parte do usuário. Por exemplo, caso o departamento de TI atualize a infraestrutura de VPN, o servidor MDM poderá configurar o iPhone e o iPad com novas informações de conta remotamente. Na próxima vez que um funcionário usar a VPN, a configuração apropriada já estará pronta, o que significa que o funcionário não precisará ligar para o suporte nem modificar as ajustes manualmente.

Firewall

Servidor MDM de terceiros Serviço de notificação de push

(21)

MDM e o serviço de notificação de push da Apple

Quando um servidor MDM quer se comunicar com o iPhone ou o iPad, o serviço de notificação de push da Apple envia uma notificação silenciosa ao dispositivo, que deve fazer check-in no servidor. O processo de notificar o dispositivo não envia nenhuma informação de acesso restrito para o/do serviço de notificação de push da Apple. A única tarefa realizada pelo serviço é despertar o dispositivo para que ele faça check-in no servidor MDM.

Todas as informações de configuração, ajustes e consultas são enviados diretamente do servidor ao dispositivo com iOS via conexão SSL/TLS criptografada entre o

dispositivo e o servidor MDM. O iOS lida com todas as solicitações e ações de MDM em segundo plano para limitar o impacto na experiência do usuário, incluindo duração da bateria, desempenho e confiabilidade.

Para que o servidor de notificação de push reconheça comandos do servidor MDM, primeiro é necessário instalar um certificado no servidor. Esse certificado deve ser solicitado e baixado do portal de certificados de push da Apple. Depois que o certificado de notificação de push da Apple for carregado no servidor MDM, os dispositivos poderão começar a ser cadastrados. Para obter mais informações sobre como solicitar um certificado de notificação de push da Apple para MDM, acesse www. apple.com/mdm.

Configuração de rede das notificações de push da Apple.

Quando servidores MDM e dispositivos iOS estão protegidos por um firewall, algumas configurações de rede podem ser necessárias para que o serviço MDM funcione corretamente. Para enviar notificações de um servidor MDM para o serviço de notificação de push da Apple, a porta TCP 2195 deve estar aberta. Para chegar ao serviço de feedback, a porta TCP 2196 também deverá estar aberta. No caso de dispositivos que se conectam ao serviço de push por Wi-Fi, a porta TCP 5223 deve estar aberta.

O intervalo de endereços IP do serviço de push está sujeito a modificações; a

expectativa é que um servidor MDM se conecte por nome de host e não por endereço IP. O serviço de push usa um esquema de balanceamento de carga que gera um endereço IP diferente para o mesmo nome de host. Esse nome de host é gateway. push.apple.com (e gateway.sandbox.push.apple.com para o ambiente de notificação de push de desenvolvimento). Além disso, todo o bloco de endereço 17.0.0.0/8 é designado à Apple para que seja possível estabelecer regras de firewall a fim de especificar esse intervalo.

Para obter mais informações, consulte o seu fornecedor de MDM ou veja a nota técnica para desenvolvedores TN2265 na biblioteca para desenvolvedores em iOS, em http://developer.apple.com/library/ios/#technotes/tn2265/_index.html.

Cadastro

Uma vez configurados o servidor de Gerenciamento de Dispositivos Móveis e a rede, a primeira etapa para gerenciar um iPhone ou iPad é cadastrá-lo em um servidor MDM. Isso cria um relacionamento entre o dispositivo e o servidor, permitindo que ele seja gerenciado quando necessário, sem interação do usuário.

Isso pode ser feito conectando o iPhone ou o iPad a um computador via USB, mas a maioria das soluções disponibilizam o perfil de cadastro remotamente. Alguns fornecedores de MDM usam um aplicativo para alavancar esse processo, e outros iniciam o cadastro direcionando os usuários para um portal na Web. Cada método tem suas vantagens, e ambos são usados para disparar o processo de Inscrição Remota via Safari.

iOS e SCEP

O iOS suporta SCEP (Simple Certificate Enrollment Protocol), uma especificação preliminar da IETF destinada a facilitar a distribuição de certificados para implantações em larga escala. Esse protocolo viabiliza o cadastro remoto de certificados de identidade no iPhone e no iPad que podem ser usados para autenticação em serviços corporativos.

(22)

22

Visão geral do processo de cadastro

O processo de Inscrição Remota compreende fases que são combinadas em um fluxo de trabalho automatizado para permitir o cadastro seguro de dispositivos em um ambiente corporativo, da forma mais escalonável possível. Entre essas fases estão as seguintes:

1. Autenticação do usuário

A autenticação do usuário garante que sejam recebidas solicitações de cadastro de usuários autorizados e que informações do dispositivo do usuário sejam capturadas para proceder ao cadastro do certificado. Os administradores podem solicitar que o usuário inicie o processo de cadastro em um portal da Web, por e-mail, mensagem SMS ou até mesmo por um aplicativo.

2. Cadastro do certificado

Depois da autenticação do usuário, o iOS gera uma solicitação de cadastro de certificado usando para isso o SCEP (Simple Certificate Enrollment Protocol). Essa solicitação de inscrição se comunica diretamente com a Autoridade Certificadora (AC) e permite que o iPhone e o iPad recebam o certificado de identidade da AC em resposta.

3. Configuração do dispositivo

Uma vez instalado o certificado de identidade, o dispositivo pode começar a receber informações de configuração criptografadas remotamente. Essas informações só podem ser instaladas no dispositivo para o qual se destinam e contêm os ajustes necessários para a conexão com o servidor MDM.

No final do processo de cadastro, o usuário verá uma tela de instalação que descreve os direitos de acesso que o servidor MDM terá sobre o dispositivo. Depois que o usuário concordar com a instalação do perfil, o dispositivo será cadastrado automaticamente, sem necessidade de interação por parte do usuário.

Uma vez que o iPhone e o iPad estiverem cadastrados como dispositivos gerenciados, poderão ser configurados dinamicamente com ajustes, receber consultas de informações ou ser apagados remotamente pelo servidor MDM.

Configuração

Para configurar um dispositivo com contas, políticas e restrições, o servidor MDM envia para o dispositivo arquivos conhecidos como Perfis de Configuração que são instalados automaticamente.

Os Perfis de Configuração são arquivos XML que contêm configurações que permitem ao dispositivo funcionar com os sistemas da sua empresa. Estão inclusas informações sobre contas, políticas de senha, restrições e outras configurações do dispositivo. Quando combinada ao processo de cadastro apresentado anteriormente, a configuração do dispositivo dá para a TI a segurança de que apenas usuários confiáveis terão acesso aos serviços corporativos e que os dispositivos serão devidamente configurados com as políticas estabelecidas.

Como os Perfis de Configuração podem ser assinados e criptografados, não é possível alterar nem compartilhar os ajustes.

(23)

Ajustes configuráveis suportados

Contas • Exchange ActiveSync • E-mail IMAP/POP • Wi-Fi • VPN • LDAP • CardDAV • CalDAV • Calendários assinados Políticas de senha

• Solicitud de contraseña en el dispositivo • Obrigatoriedade de valor alfanumérico • Solicitud de valor alfanumérico • Tamanho mínimo da senha

• Número mínimo de caracteres complexos • Validade da senha

• Tempo antes de bloqueio automático • Histórico de senha

• Período de carência para bloqueio do dispositivo

• Número máximo de tentativas falhas Segurança e privacidade

• Permitir envio de dados de diagnóstico à Apple

• Permitir que o usuário aceite certificados não confiáveis

• Impor backups criptografados Outros ajustes • Credenciais • Clipes web • Ajustes de SCEP • Ajustes de APN Funcionalidade do dispositivo • Permitir instalação de aplicativos • Permitir uso de câmera

• Permitir o FaceTime • Permitir capturas de tela

• Permitir sincronização automática em roaming

• Permitir discagem por voz • Permitir compra de aplicativos

• Exigir senha de loja em todas as compras • Permitir jogos com vários participantes • Permitir adicionar amigos do Game

Center Aplicativos

• Permitir uso do YouTube • Permitir uso da iTunes Store • Permitir uso do Safari

• Definir preferências de segurança do Safari

iCloud • Permitir backup

• Permitir sincronização de documentos e de valores de chaves

• Permitir Streaming de Fotos Comentários sobre o conteúdo

• Permitir determinadas músicas e podcasts • Definir região de comentários

• Definir comentários de conteúdo permitido

(24)

Consulta a dispositivos

Além da configuração, um servidor MDM pode consultar uma variedade de

informações nos dispositivos. Essas informações podem ser usadas para garantir que os dispositivos continuem em conformidade com as políticas necessárias.

Consultas suportadas

Informações sobre o dispositivo

• Identificador exclusivo do dispositivo (UDID) • Nome do dispositivo

• Versão do iOS e do build • Número e nome do modelo • Número de série

• Capacidade e espaço disponível • IMEI

• Firmware do modem • Nível da bateria

Informações sobre a rede • ICCID

• Endereços MAC Bluetooth® e Wi-Fi • Rede da operadora atual

• Rede da operadora do assinante • Versão das configurações da operadora • Telefone

• Ativação/desativação do roaming de dados

Informações sobre conformidade e segurança

• Perfis de Configuração instalados • Certificados instalados e datas de

vencimento

• Lista de todas as restrições ativas • Capacidade de criptografia do hardware • Senha definida

Aplicativos

• Aplicativos instalados (ID, nome, versão, tamanho e volume de dados do

app)

• Perfis de aprovisionamento instalados com datas de vencimento

Gerenciamento

Com o Gerenciamento de Dispositivos Móveis, existem inúmeras funções que um servidor MDM pode executar em dispositivos com iOS. Entre essas tarefas estão instalar e remover Perfis de Configuração e de Aprovisionamento, gerenciar aplicativos, encerrar o relacionamento MDM e apagar um dispositivo remotamente.

Configurações gerenciadas

Durante o processo inicial de configurar um dispositivo, um servidor MDM faz push de Perfis de Configuração no iPhone e no iPad e os perfis são instalados em segundo plano. Com o tempo, as configurações e políticas em vigor no momento do cadastro precisam ser atualizadas ou alteradas. Para fazer essas alterações, um servidor MDM pode instalar novos Perfis de Configuração e modificar ou remover os perfis existentes a qualquer momento. Além disso, talvez seja preciso instalar configurações específicas de contexto nos dispositivos com iOS, dependendo da localização ou da função de um usuário na organização. Como exemplo, se um usuário está viajando ao exterior, um servidor MDM pode exigir que as contas de e-mail sejam sincronizadas manualmente e não automaticamente. Um servidor MDM pode até mesmo desativar remotamente serviços de voz ou dados para evitar que o usuário tenha de pagar taxas de roaming de um provedor wireless.

Aplicativos gerenciados

Um servidor MDM pode gerenciar aplicativos de terceiros na App Store, bem como aplicativos corporativos desenvolvidos internamente. O servidor pode remover aplicativos gerenciados e os dados associados por demanda ou especificar se os aplicativos devem ser removidos quando o perfil MDM for removido. Além disso, o servidor MDM pode impedir que dados de aplicativos gerenciados sejam submetidos a backup no iTunes e no iCloud.

(25)

25

Para instalar um aplicativo gerenciado, o servidor MDM envia um comando de instalação ao dispositivo do usuário. Os aplicativos gerenciados exigem aceitação do usuário para que possam ser instalados. Quando um servidor MDM solicitar a instalação de um aplicativo gerenciado da App Store, o aplicativo será resgatado com a conta do iTunes usada no momento da instalação do aplicativo. Aplicativos pagos exigirão que o servidor MDM envie um código de resgate do VPP (Programa de Compra por Volume). Para obter mais informações sobre o VPP, acesse www. apple.com/business/vpp/. Aplicativos da App Store não podem ser instalados no dispositivo do usuário se a App Store tiver sido desativada.

Removendo ou apagando dispositivos

Se for detectado que um dispositivo não está em conformidade com as políticas, se ele foi perdido ou roubado ou se um funcionário se desligar da empresa, um servidor MDM poderá tomar providências para proteger informações corporativas de várias formas.

Um administrador de TI pode encerrar o relacionamento MDM com um dispositivo removendo o Perfil de Configuração que contém as informações do servidor MDM. Nesse caso, todas as contas, configurações e aplicativos que ele foi responsável por instalar são removidos.

Como alternativa, a área de TI pode manter o Perfil de Configuração MDM ativo e usar o MDM apenas para remover os Perfis de Configuração, Perfis de Aprovisionamento e aplicativos gerenciados que quiser excluir. Essa abordagem mantém o dispositivo gerenciado por MDM e elimina a necessidade de

recadastramento quando ele estiver novamente em conformidade com a política. Os dois métodos conferem à TI a capacidade de garantir que as informações só estarão disponíveis para usuários e dispositivos em conformidade e que os dados corporativos sejam removidos sem interferir nos dados pessoais de um usuário, como músicas, fotos ou aplicativos pessoais.

Para excluir permanentemente todos os dados e mídias no dispositivo e restaurá-lo com os ajustes de fábrica, o MDM pode apagar o iPhone e o iPad remotamente. Se o usuário ainda estiver procurando pelo dispositivo, a área de TI também poderá optar por enviar um comando de bloqueio remoto ao dispositivo. Esse comando bloqueia a tela e exige a senha do usuário para desbloqueá-la.

Se o usuário simplesmente esqueceu a senha, um servidor MDM poderá removê-la do dispositivo e pedir para o usuário criar uma nova em até 60 minutos.

Comandos de gerenciamento suportados

Configurações gerenciadas • Instalar Perfil de Configuração • Remover Perfil de Configuração • Roaming de dados

• Roaming de voz (não disponível em todas as operadoras) Aplicativos gerenciados

• Instalar aplicativo gerenciado • Remover aplicativo gerenciado • Listar todos os aplicativos gerenciados • Instalar Perfil de Aprovisionamento • Remover Perfil de Aprovisionamento

Comandos de segurança • Apagamento remoto • Bloqueio remoto • Apagar senha

(26)

Firewall

Servidor MDM de terceiros Serviço d de push da Apple e

notificação 1 2 4 3 5

© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, FaceTime, iPad, iPhone, iTunes e Safari são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. iCloud e iTunes Store são marcas de serviço da Apple Inc., registradas nos Estados Unidos e em outros países. App Store é marca de serviço da Apple Inc. A marca e os logotipos Bluetooth são marcas regis-tradas que pertencem à Bluetooth SIG, Inc. e são utilizados pela Apple sob licença. UNIX é marca registrada do The Open Group. Os demais nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Outubro de 2011 L422501B

1

2 3 4 5

Visão geral do processo

Este exemplo ilustra uma implantação básica de um servidor de Gerenciamento de Dispositivos Móveis.

Um Perfil de Configuração contendo informações do servidor MDM é enviado ao dispositivo. O usuário recebe informações sobre o que será gerenciado e/ou consultado pelo servidor.

O usuário instala o perfil para aceitar o dispositivo que está sendo gerenciado.

O cadastro do dispositivo ocorre durante a instalação do perfil. O servidor valida o dispositivo e autoriza o acesso. O servidor envia uma notificação de push solicitando que o dispositivo verifique se há tarefas ou consultas. O dispositivo conecta-se diretamente ao servidor por HTTPS. O servidor envia comandos ou solicita informações.

Para obter mais informações sobre Gerenciamento de Dispositivos Móveis, acesse www.apple.com/business/mdm.