iPhone en la empresa Administración de dispositivos móviles iPhone es compatible con la administración de dispositivos móviles, brindando a las empresas la capacidad de administrar implementaciones a escala del iPhone en todas sus organizaciones. Estas capacidades están basadas en las tecnologías iOS existentes, como los perfiles de configuración, Over-the-Air Enrollment y el servicio de notificación Push de Apple, y pueden ser integradas con soluciones de servidor internas o de terceros. Con esto, los departamentos de TI pueden registrar el iPhone de forma segura en un entorno empresarial, configurar y actualizar inalámbricamente los ajustes, monitorear el cumplimiento de las políticas corporativas e, incluso, borrar o bloquear de forma remota los dispositivos iPhone administrados. Cómo administrar el iPhone La administración del iPhone se realiza a través de una conexión a un servidor de administración de dispositivos móviles. Como se señaló, este servidor puede ser creado internamente por TI o comprado a otro proveedor. Cuando un servidor de administración de dispositivos móviles quiere comunicarse con el iPhone, se envía una notificación silenciosa al dispositivo para su verificación con el servidor. El dispositivo se comunica con el servidor para ver si hay tareas pendientes y responde con las acciones apropiadas. Estas tareas pueden incluir la actualización de políticas, la provisión de la información de dispositivos o redes solicitada, o la eliminación de ajustes y datos. Las funciones de administración son realizadas detrás de escena, sin interacción del usuario. Por ejemplo, si un departamento de TI actualiza su infraestructura de VPN, el servidor de administración de dispositivos móviles puede configurar el iPhone con la nueva información de cuenta a través del aire. La próxima vez que la VPN es usada por el empleado, la configuración adecuada ya estará instalada, por lo que el empleado no necesita llamar a la mesa de ayuda o modificar manualmente los ajustes. Para ilustrar las capacidades de la administración de dispositivos móviles, este documento está organizado en cuatro categorías de implementación: registro, configuración, consulta y administración. Firewall Servicio de notificación Push de Apple Servidor MDM de terceros 2 Registro El primer paso en la administración del iPhone es registrar un dispositivo con un servidor de administración de dispositivos móviles. Esto crea una relación entre el dispositivo y el servidor, permitiendo que el dispositivo sea administrado sin intervención del usuario. Esto puede ser realizado de forma inalámbrica o conectando el iPhone a una computadora a través de USB. Como una forma escalable para registrar dispositivos de forma segura en un entorno empresarial, el iPhone es compatible con un proceso llamado Over-the-Air Enrollment. A través de Over-the-Air Enrollment, tu empresa puede proporcionar un portal web seguro mediante el cual los usuarios pueden registrar sus dispositivos para administración. El servidor puede configurar los dispositivos administrados con las restricciones y accesos a cuentas adecuados. Descripción del proceso El proceso de Over-the-Air Enrollment involucra tres fases que, combinadas en un flujo de trabajo automatizado, brindan una manera segura para aprovisionar dispositivos dentro de la empresa. Estas fases son: 1. Autenticación de usuarios La autenticación de usuario asegura que las solicitudes de inscripción entrantes sean de usuarios autorizados y que la información del dispositivo del usuario sea capturada antes de proceder al registro del certificado. Los administradores pueden solicitar al usuario que inicie el proceso de registro, proporcionando una URL por correo electrónico o notificación SMS. iPhone y SCEP El iPhone es compatible con SCEP (Simple Certificate Enrollment Protocol). El SCEP es un anteproyecto de Internet en el IETF, diseñado para proporcionar una forma simplificada de manejar la distribución de certificados para implementaciones a gran escala. Esto permite el registro a través del aire de los certificados de identidad para el iPhone, que pueden ser utilizados para la autenticación de los servicios corporativos. 2. Registro de certificados Una vez autenticado el usuario, el iPhone genera una solicitud de registro del certificado usando el SCEP (Simple Certificate Enrollment Protocol). Esta solicitud de registro se comunica directamente con la Autoridad de Certificación de la empresa, y habilita al iPhone para recibir el certificado de identidad de CA en respuesta. 3. Configuración de dispositivos Una vez que se instala un certificado de identidad, el iPhone puede recibir información de configuración encriptada a través del aire. Esta información sólo puede ser instalada en el dispositivo y contiene los ajustes para que el iPhone se conecte al servidor de administración de dispositivos móviles. Al final del proceso de registro, el usuario verá una pantalla de instalación que describe los derechos de acceso al servidor de administración de dispositivos móviles contenidos en el dispositivo. Al aceptar la instalación del perfil, el dispositivo del usuario es registrado automáticamente, sin necesidad de interacción. 3 Configuración Una vez que el dispositivo está registrado como un dispositivo administrado, puede ser configurado dinámicamente con ajustes y políticas por el servidor de administración de dispositivos móviles. El servidor envía configuraciones, conocidas como perfiles de configuración, al dispositivo, que son instaladas automáticamente. Los perfiles de configuración son archivos XML que contienen información y ajustes de configuración para que el iPhone funcione con tus sistemas empresariales, como información de cuenta, políticas de contraseñas, restricciones y otros ajustes del dispositivo. Cuando se combina con el proceso de registro discutido previamente, la configuración de dispositivos brinda a la TI la garantía de que sólo los usuarios de confianza tienen acceso a los servicios corporativos, y que sus dispositivos están configurados correctamente con las políticas establecidas. Además, ya que los perfiles de configuración pueden ser firmados, encriptados y bloqueados, los ajustes no pueden ser alterados o compartidos con otros. Ajustes configurables compatibles • • • • • • • • Cuentas Exchange ActiveSync Correo IMAP/ POP VPN Wi-Fi LDAP CalDAV CardDAV Calendarios aceptados Políticas • Solicitud de contraseña • Permiso de valor simple • Solicitud de contraseña • Extensión de contraseña • Número de caracteres complejos • Período máximo de contraseña • Tiempo antes del bloqueo automático • Número de contraseñas antes de la reutilización • Período de gracia para bloqueo del dispositivo • Número de intentos fallidos antes del borrado • Control de la eliminación del perfil de configuración por parte del usuario Restricciones • Instalación de apps • Cámara • Captura de pantalla • Sincronización automática de cuentas de correo durante la itinerancia • Marcado por voz durante el bloqueo • Compra dentro de aplicaciones • Solicitud de respaldos encriptados para iTunes • Música y podcasts explícitos en iTunes • Permisos para puntuaciones de contenido para, películas, programas de TV, apps • Preferencias de seguridad de Safari • YouTube • iTunes Store • App Store • Safari Otros ajustes • Certificados e identidades • Clips web • Ajustes de APN 4 Consulta Además de configurar los dispositivos, el servidor de administración de dispositivos móviles tiene la capacidad de consultar diversa información en los dispositivos. Esta información puede ser utilizada para que los productos sigan cumpliendo con las políticas necesarias. El servidor de administración de dispositivos móviles determina la frecuencia que recolecta la información. Consultas compatibles Información del dispositivo • Unique Device Identifier (UDID) • Nombre del dispositivo • Versión de iOS y creación • Nombre y número del modelo • Número de serie • Capacidad y espacio disponible • IMEI • Firmware del módem Información de red • ICCID • Direcciones de Bluetooth® y Wi-Fi MAC • Red del operador actual • Red del operador de la tarjeta SIM • Versión de los ajustes del operador • Número de teléfono • Ajuste de itinerancia de datos (on/off ) Información de cumplimiento y seguridad • Perfiles de configuración instalados • Certificados instalados con fecha de expiración • Lista de todas las restricciones aplicadas • Capacidad de encriptación de hardware • Presentación de contraseña Aplicaciones • Aplicaciones instalada (ID, nombre, versión, tamaño y tamaño de datos) • Aprovisionamiento de perfiles instalados con fechas de expiración Administración Un dispositivo puede ser administrado por el servidor de administración de dispositivos móviles a través de un conjunto de acciones específicas. Eliminación remota Un servidor de administración de dispositivos móviles puede borrar de forma remota un iPhone. Esto eliminará permanentemente todos los contenidos y datos en el iPhone, restaurando los ajustes de fábrica. Bloqueo remoto El servidor bloquea el iPhone y requiere la contraseña del dispositivo para desbloquearlo. Eliminación de contraseñas Esta acción elimina temporalmente la contraseña del dispositivo para los usuarios que la han olvidado. Si el dispositivo tiene una política que requiere una contraseña, el usuario tendrá que crear una nueva. Configuración y aprovisionamiento de perfiles Para configurar los dispositivos y aprovisionar aplicaciones internas, los servidores de administración de dispositivos móviles pueden añadir y eliminar perfiles de configuración y perfiles de aprovisionamiento de aplicaciones de forma remota. 5 Descripción del proceso Este ejemplo describe una implementación básica de un servidor de administración de dispositivos móviles. 1 Firewall 3 2 4 Servidor de notificaciones Push de Apple Servidor MDM de terceros 5 1 Un perfil de configuración contiene la información del servidor de administración de dispositivos móviles enviada al dispositivo. El usuario recibe la información sobre qué será administrado y/o consultado por el servidor. 2 El usuario instala el perfil a ser incluido en el dispositivo administrado. 3 El registro del dispositivo tiene lugar a medida que el perfil es instalado. El servidor valida el dispositivo y permite el acceso. 4 El servidor envía una notificación push que lleva al dispositivo a verificar tareas o consultas. 5 El dispositivo se conecta directamente al servidor sobre HTTPS. El servidor envía comandos o solicita información. Para más información sobre la administración de dispositivos móviles, visita www.apple.com/mx/iphone/business/integration © 2010 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, Safari e iPhone son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material es provisto sólo a título informativo; Apple no asume responsabilidad relacionada con su uso. Junio de 2010 L419825A