El iPad en la empresa Ejemplos de implantación Marzo de 2011 Descubre cómo el iPad se integra a la perfección en los entornos empresariales con estos ejemplos de implantación. • Exchange ActiveSync de Microsoft • Servicios basados en estándares • Redes privados virtuales • Wi-Fi • Certificados digitales • Seguridad • Mobile Device Management • Implantación de iTunes 2 El iPad en la empresa Exchange ActiveSync El iPad se comunica directamente con tu instalación de Exchange Server de Microsoft a través de Exchange ActiveSync (EAS) de Microsoft, para ofrecer al usuario correo electrónico, contactos y calendarios de actualización automática push. Exchange ActiveSync también permite al usuario acceder a la lista global de direcciones (GAL) y ofrece al administrador funciones de borrado remoto y de imposición de políticas de contraseña. El iPad es compatible con la autenticación básica y por certificado de Exchange ActiveSync. Si la empresa utiliza Exchange ActiveSync, ya dispone de los servicios necesarios para integrar el iPad. No hace falta ninguna configuración adicional. Si dispones de Exchange Server 2003, 2007 o 2010, pero no tienes experiencia con Exchange ActiveSync, consulta los siguientes pasos. Políticas de seguridad de Exchange ActiveSync compatibles • Borrado remoto • Imposición de contraseña en terminal • Longitud mínima de contraseña • Máximo de errores en contraseña (antes del borrado local) • Exigencia de números y letras • Tiempo de inactividad en minutos (de 1 a 60 minutos) Políticas adicionales de Exchange ActiveSync (solo para Exchange 2007 y 2010) • Autorización o prohibición de contraseñas simples • Caducidad de contraseñas • Historial de contraseñas • Intervalos de renovación de políticas • Número mínimo de caracteres complejos en contraseñas • Exigencia de sincronización manual en itinerancia • Autorización del uso de cámara • Autorización de navegación web Configuración de Exchange ActiveSync Descripción de la configuración de red • Comprueba que el puerto 443 esté abierto en el cortafuegos. Si tu empresa admite Outlook Web Access, es muy probable que ya lo esté. • En el servidor externo (front-end), verifica que se haya instalado un certificado de servidor y que se haya activado la seguridad SSL para el directorio virtual de Exchange ActiveSync en IIS. • Si usas un servidor Internet Security and Acceleration (ISA) de Microsoft, comprueba que se haya instalado un certificado de servidor y actualiza el DNS público para resolver correctamente las conexiones entrantes. • Comprueba que el DNS de tu red devuelva una única dirección direccionable externamente al servidor de Exchange ActiveSync, tanto para clientes de la intranet como de Internet. Esto es necesario a fin de que el dispositivo pueda usar la misma dirección IP para comunicarse con el servidor cuando ambos tipos de conexión estén activos. • Si usas un servidor ISA de Microsoft, crea un agente de escucha y una regla de publicación de acceso de cliente de Exchange Web. En la documentación de Microsoft encontrarás más información. • Para todos los cortafuegos y dispositivos de red, ajusta el tiempo de desconexión por inactividad a 30 minutos. Si deseas más información sobre los intervalos de latido e inactividad, consulta la documentación de Exchange de Microsoft, que se encuentra en http://technet.microsoft.com/en-us/library/cc182270.aspx (en inglés). • Configura las prestaciones móviles, las políticas y los ajustes de seguridad de dispositivos mediante Exchange System Manager. Para Exchange Server 2007 y 2010, esto se hace en la consola Exchange Management Console. 3 • Descarga e instala la herramienta Mobile Administration Web Tool de Exchange ActiveSync de Microsoft, necesaria para iniciar un borrado remoto. En Exchange Server 2007, el borrado remoto se puede iniciar desde Outlook Web Access o con la consola Exchange Management Console. Autenticación básica (usuario y contraseña) • Activa Exchange ActiveSync para usuarios y grupos específicos mediante el servicio Active Directory. Se activan por defecto para todos los dispositivos móviles de la organización en Exchange Server 2003, 2007 y 2010. Para Exchange Server 2007 y 2010, consulta Recipient Configuration en la consola Exchange Management Console. • Por defecto, Exchange ActiveSync está configurado para la autenticación básica de usuarios. Se recomienda activar la seguridad SSL para la autenticación básica con el fin de garantizar que las credenciales se cifren durante la autenticación. Autenticación basada en certificados • Instala los servicios de certificados empresariales en un servidor de la red o en un controlador de dominio en tu dominio (será el servidor de la autoridad emisora de certificados). Otros servicios de Exchange ActiveSync • Consulta de la lista global de direcciones • Aceptación y creación de invitaciones de calendario • Sincronización de las etiquetas Reply y Forward con Exchange Server 2010 • Búsqueda en correos con Exchange Server 2007 y 2010 • Compatibilidad con múltiples cuentas de Exchange ActiveSync • Autenticación basada en certificados • Actualización push de correos electrónicos en carpetas seleccionadas • Autodescubrimiento • Configura IIS en el servidor externo (front-end) de Exchange o en Client Access Server para que acepte la autenticación basada en certificados para el directorio virtual de Exchange ActiveSync. • Si quieres autorizar o exigir certificados para todos los usuarios, desmarca «Basic authentication» y selecciona «Accept client certificates» o «Require client certificates». • Genera certificados de cliente mediante el servidor de la autoridad emisora de certificados. Exporta la clave pública y configura IIS para que la use. Exporta la clave privada y usa un Perfil de Configuración para enviarla al iPad. La autenticación basada en certificados solo se puede configurar mediante un Perfil de Configuración. Si deseas más información sobre los servicios de certificados, consulta los recursos disponibles a través de Microsoft. 4 Ejemplo de implantación de Exchange ActiveSync Este ejemplo muestra cómo se conecta el iPad a una instalación estándar de Exchange Server 2003, 2007 o 2010 de Microsoft. Clave privada (certificado) Cortafuegos Servidor de certificados Cortafuegos Perfil de configuración 443 3 1 Internet Active Directory Clave pública (certificado) 2 Servidor proxy Servidor Front-End de Exchange o Client Access 4 6 Pasarela de correo o Servidor de transporte perimetral* Cabeza de puente o Servidor de transporte de concentradores 5 Buzón de correo de Exchange o servidores internos * En función de la configuración de red, la pasarela de correo externa o el servidor de transporte perimetral pueden residir dentro de la red del perímetro (DMZ). 1 El iPad solicita acceso a los servicios de Exchange ActiveSync a través del puerto 443 (HTTPS). (Se trata del mismo puerto usado por Outlook Web Access y otros servicios web seguros, así que en muchos casos este puerto ya estará abierto y configurado para permitir el tráfico de HTTPS cifrado por SSL). 2 ISA facilita el acceso al servidor externo (front-end) de Exchange o al de Client Access. ISA está configurado como proxy, o en muchos casos como proxy inverso, para dirigir el tráfico al servidor de Exchange. 3 El servidor de Exchange autentica al usuario entrante mediante el servicio Active Directory y el servidor de certificados (si se usa la autenticación basada en certificados). 4 Si el usuario aporta las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor externo establece una conexión con el buzón de correo oportuno en el servidor interno (back-end) (a través del catálogo global de Active Directory). 5 Se establece la conexión con Exchange ActiveSync. Las actualizaciones o cambios se envían al iPad, y cualquier cambio realizado en el iPad se refleja a su vez en el servidor de Exchange. 6 Los correos enviados desde el iPad también se sincronizan con el servidor de Exchange a través de Exchange ActiveSync (paso 5). Para dirigir el correo electrónico saliente a los destinatarios externos, el correo se envía por norma general a través de un servidor de cabeza de puente (o transporte de concentradores) a una pasarela de correo externa (o servidor de transporte perimetral) a través de SMTP. En función de la configuración de red, la pasarela de correo externa o el servidor de transporte perimetral pueden residir dentro de la red del perímetro o fuera del cortafuegos. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422495B-ES 5 El iPad en la empresa Servicios basados en estándares Como el iPad es compatible con el protocolo de correo IMAP, los servicios de directorios LDAP y los protocolos de calendarios CalDAV y de contactos CardDAV, se integra en casi cualquier entorno estándar de correo, calendarios y contactos. Si el entorno de red está configurado para exigir la autenticación de usuario y emplear la seguridad SSL, el iPad ofrece un método seguro para acceder al correo, los calendarios y los contactos de la empresa basados en estándares. En una instalación típica, el iPad establece acceso directo a los servidores de correo IMAP y SMTP para recibir y enviar correo inalámbricamente, y también puede sincronizar notas con servidores IMAP de forma inalámbrica. El iPad se puede conectar con los directorios corporativos LDAPv3 de la empresa, otorgando acceso a los usuarios a los contactos corporativos en las aplicaciones Mail, Contactos y SMS. Gracias a la sincronización con el servidor CalDAV, los usuarios del iPad pueden crear y aceptar invitaciones a calendarios y recibir actualizaciones de estos de forma inalámbrica. Además, gracias a la compatibilidad con CardDAV, los usuarios pueden mantener un grupo de contactos sincronizado con el servidor CardDAV mediante el formato vCard. Todos los servidores de red se pueden ubicar en una subred DMZ, detrás de un cortafuegos corporativo o en ambos. Si se usa SSL, el iPad admite el cifrado de 128 bits y los certificados raíz X.509 de las principales entidades emisoras de certificados. Puertos habituales • IMAP/SSL: 993 • SMTP/SSL: 587 • LDAP/SSL: 636 • CalDAV/SSL: 8443, 443 • CardDAV/SSL: 8843, 443 Soluciones de correo con protocolos IMAP y POP El iPad admite las soluciones de correo basadas en los protocolos IMAP4 y POP3 para una amplia gama de plataformas de servidor, como Windows, UNIX, Linux y Mac OS X. Estándares CalDAV y CardDAV El iPad admite los protocolos de calendarios CalDAV y de contactos CardDAV. El IETF ha estandarizado ambos protocolos. El consorcio CalConnect ofrece más información en http:// caldav.calconnect.org/ y http://carddav. calconnect.org/. Configuración de la red El administrador de redes o TI deberá llevar a cabo estos pasos para activar el acceso del iPad a los servicios IMAP, LDAP, CalDAV y CardDAV: • Abrir los puertos correspondientes en el cortafuegos. Los puertos habituales son el 993 para el correo IMAP, el 587 para el correo SMTP, el 636 para los servicios de directorio LDAP, el 8443 para los calendarios CalDAV y el 8843 para los contactos CardDAV. Además, se recomienda que la comunicación entre el servidor proxy y los servidores internos IMAP, LDAP, CalDAV y CardDAV se configuren con la seguridad SSL activada, y que los certificados digitales de los servidores de la red estén firmados por una entidad emisora de confianza, como VeriSign. Esto garantiza que el iPad reconozca al servidor proxy como una entidad de confianza en la infraestructura de la empresa. • Para el correo SMTP saliente, se debe abrir el puerto 587, 465 o 25 para permitir el envío de correo electrónico desde el iPad, que comprueba automáticamente el estado de esos puertos por ese orden. El puerto 587 es el más fiable y seguro, ya que exige la autenticación del usuario. El puerto 25 no requiere autenticación, y algunos proveedores de servicios de Internet lo bloquean por defecto para evitar el correo no deseado. 6 Ejemplo de implantación Este ejemplo muestra cómo se conecta el iPad a una instalación estándar de IMAP, LDAP, CalDAV y CardDAV. Cortafuegos Cortafuegos 3 636 (LDAP) Servidor de directorios LDAP 8443 (CalDAV) 4 Servidor CalDAV 1 2 Servidor proxy inverso Internet 8843 (CardDAV) 993 (IMAP) 587 (SMTP) 5 Servidor CalDAV 6 Servidor de Mail 1 El iPad solicita acceso a los servicios de red a través de los puertos designados. 2 En función del servicio, los usuarios del iPad deben autenticarse con el proxy inverso o bien directamente con el servidor para obtener acceso a los datos corporativos. En ambos casos, las conexiones son remitidas por el proxy inverso, que hace las veces de pasarela segura, normalmente detrás del cortafuegos. Una vez autenticados, los usuarios pueden acceder a sus datos corporativos en los servidores internos. 3 El iPad ofrece servicios de consulta de directorios LDAP, lo que permite al usuario buscar contactos y otra información de la agenda en el servidor LDAP. 4 En el caso de los calendarios CalDAV, los usuarios pueden acceder a los calendarios desde el iPad y actualizarlos. 5 Los contactos CardDAV se almacenan en el servidor y se puede acceder a ellos de forma local desde el iPad. Los cambios efectuados en los campos de los contactos CardDAV se sincronizan con el servidor CardDAV. 6 En el caso de los servicios de correo IMAP, los mensajes existentes y nuevos se pueden leer desde el iPad mediante una conexión proxy con el servidor de correo. El correo saliente del iPad se envía al servidor SMTP, y se guardan copias en la carpeta Enviados del usuario. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. UNIX es una marca comercial registrada de The Open Group. El resto de nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivos titulares. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422496B-ES 7 El iPad en la empresa Redes privadas virtuales (VPN) El iPad ofrece acceso seguro a redes corporativas privadas mediante protocolos VPN estándar reconocidos por el sector. Los usuarios se pueden conectar fácilmente a los sistemas empresariales mediante el cliente de VPN integrado o a través de aplicaciones de terceros (Juniper, Cisco y F5 Networks). El iPad es compatible de serie con IPSec de Cisco, L2TP sobre IPSec y PPTP. Si tu organización admite uno de estos protocolos, no necesitas ningún otro tipo de configuración ni aplicaciones de terceros para conectar el iPad a tu VPN. Además, el iPad admite VPN con SSL, lo que le permite acceder a los servidores de VPN con SSL de la serie SA de Juniper, ASA de Cisco y FirePass de F5 Networks. Para ello, basta con descargar en el App Store una aplicación cliente de VPN desarrollada por Juniper o Cisco. Al igual que el resto de protocolos de VPN del iPad, el acceso a redes VPN con SSL se puede configurar manualmente en el dispositivo o mediante un Perfil de Configuración. El iPad admite tecnologías estándar como IPv6, servidores proxy y túneles divididos, por lo que ofrece una excelente experiencia de VPN al conectarse a redes empresariales. Además, es compatible con diversos métodos de autenticación, como el uso de contraseñas, tokens de doble factor y certificados digitales. Con el fin de optimizar la conexión en entornos en los que se usa la autenticación basada en certificados, el iPad incluye VPN por petición, que inicia dinámicamente una sesión de VPN al conectarse a determinados dominios. Protocolos y métodos de autenticación admitidos VPN con SSL Es compatible con la autenticación de usuario por contraseña, token de doble factor y certificados. IPSec de Cisco Es compatible con la autenticación de usuario por contraseña, token de doble factor, autenticación por máquina mediante secreto compartido y certificados. L2TP sobre IPSec Admite la autenticación del usuario mediante MS-CHAP v2 Password, token de doble factor y autenticación por máquina mediante secreto compartido. PPTP Admite la autenticación del usuario mediante MS-CHAP v2 Password y token de doble factor. 8 VPN por petición Para las configuraciones que empleen la autenticación basada en certificados, el iPad ofrece VPN por petición. VPN por petición puede establecer una conexión automáticamente cuando se acceda a dominios predeterminados, lo que ofrece a los usuarios del iPad una experiencia de conexión a redes VPN impecable. Esta prestación de iOS no requiere ninguna configuración adicional del servidor. La configuración de VPN por petición se realiza mediante un Perfil de Configuración o manualmente en el dispositivo. Las opciones de VPN por petición son: Siempre Inicia una conexión VPN para cualquier dirección que coincida con el dominio especificado. Nunca No inicia una conexión VPN para las direcciones que coinciden con el dominio especificado, pero si la VPN ya está activa, se puede usar. Establecer si es necesario Inicia una conexión VPN para las direcciones que coinciden con el dominio especificado, pero solo cuando una consulta de DNS haya fallado. Configuración de VPN • El iPad se integra en muchas de las redes VPN actuales con una mínima configuración. La mejor forma de preparar esta instalación consiste en comprobar la compatibilidad del iPad con los protocolos de VPN y los métodos de autenticación presentes en la empresa. • Se recomienda revisar la ruta de autenticación al servidor de autenticación para garantizar que los estándares admitidos por el iPad estén activados en la instalación en cuestión. • Si tienes la intención de usar un sistema de autenticación basado en certificados, comprueba que tu infraestructura de claves públicas esté configurada para admitir certificados de usuario y de dispositivo con los correspondientes procesos de distribución de claves. • Si quieres configurar ajustes de proxy específicos para una URL, coloca un archivo PAC en un servidor web accesible con los ajustes de VPN básicos y asegúrate de que esté alojado con el tipo de MIME application/x-ns-proxy-autoconfig. Configuración del proxy Puedes especificar un proxy de VPN para todas las configuraciones. Para configurar un único proxy para todas las conexiones, usa el ajuste Manual e introduce la dirección, el puerto y la autenticación, si es preciso. Para proporcionar al dispositivo un archivo de configuración auto-proxy con PAC o WPAD, usa el ajuste Automático. Para PACS, especifica la URL del archivo PACS. Para WPAD, el iPad solicitará a DHCP y DNS los ajustes oportunos. 9 Ejemplo de implantación Este ejemplo ilustra una implantación típica con un servidor/concentrador de VPN, además de un servidor de autenticación para el control del acceso a los servicios de red de la empresa. Firewall Firewall 3a 3b Autenticación Certificado o token Servidor de autenticación de VPN Generación de token o distribución de certificados Servicio de directorio 2 1 4 Concentrador/servidor de VPN Red privada Certificado, token o contraseña 5 Internet público Servidor proxy 1 El iPad solicita acceso a los servicios de red. 2 El servidor/concentrador de VPN recibe la solicitud y la pasa al servidor de autenticación. 3 En un entorno de token de doble factor, el servidor de autenticación administra la generación de una clave de token sincronizada temporalmente con el servidor de claves. Si se ha implantado un método de autenticación con certificado, antes de la autenticación debe enviarse al iPad un certificado de identidad. Si se ha implantado un método de contraseña, el proceso de autenticación efectúa la validación del usuario. 4 Una vez autenticado el usuario, el servidor de autenticación valida las políticas de usuarios y grupos. Una vez validadas las políticas de usuarios y grupos, el servidor de VPN ofrece acceso cifrado y por túnel a los servicios de red. 5 Si se usa un servidor proxy, el iPad se conecta a través del servidor proxy para acceder a información ubicada fuera del cortafuegos. Si deseas más información sobre VPN en el iPad, visita www.apple.com/es/ipad/business/integration. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de servicio de Apple Inc. Los demás nombres de productos y empresas mencionados aquí son marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422497B-ES 10 El iPad en la empresa Wi-Fi De serie, el iPad se conecta de forma segura a redes Wi-Fi corporativas o de invitados, lo que permite acceder a redes inalámbricas disponibles de forma rápida y sencilla, ya se esté en las instalaciones de la empresa o de viaje. El iPad admite protocolos estándar de redes inalámbricas, incluido WPA2 Enterprise, lo que permite configurar redes inalámbricas corporativas rápidamente y acceder a ellas de forma segura. WPA2 Enterprise emplea cifrado AES de 128 bits, un método basado en bloques ampliamente acreditado que brinda el máximo nivel de seguridad para los datos del usuario. El iPad, compatible con 802.1X, puede integrarse en un amplio abanico de entornos de autenticación RADIUS. Entre los métodos de autenticación inalámbrica 802.1X que admite el iPad se encuentran EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 y LEAP. Protocolos inalámbricos de seguridad • WEP • WPA Personal • WPA Enterprise • WPA2 Personal • WPA2 Enterprise Métodos de autenticación 802.1X • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAPv0 (EAP-MS-CHAP v2) • PEAPv1 (EAP-GTC) • LEAP Los usuarios pueden configurar el iPad para que acceda automáticamente a las redes Wi-Fi disponibles. Se puede acceder rápidamente a las redes Wi-Fi que requieran credenciales de inicio de sesión u otra información sin necesidad de abrir una sesión de navegador aparte, desde los ajustes Wi-Fi o con aplicaciones como Mail. Además, la conectividad Wi-Fi persistente de bajo consumo permite a las aplicaciones del iPad usar las redes Wi-Fi para enviar notificaciones push. Para acelerar la configuración y la implantación, los ajustes de redes inalámbricas, seguridad y autenticación se pueden establecer mediante perfiles de configuración. Configuración de WPA2 Enterprise • Comprueba la compatibilidad de los dispositivos de red y selecciona un tipo de autenticación (tipo de EAP) admitido por el iPad. • Comprueba que el protocolo 802.1X esté activado en el servidor de autenticación y, si es preciso, instala un certificado de servidor y asigna los permisos de acceso a la red de usuarios y grupos. • Configura puntos de acceso inalámbrico para la autenticación 802.1X e introduce la información del correspondiente servidor RADIUS. • Si tienes la intención de usar un sistema de autenticación basado en certificados, comprueba que la infraestructura de claves públicas esté configurada para admitir certificados de usuario y de dispositivo con los correspondientes procesos de distribución de claves. • Comprueba la compatibilidad del formato del certificado y del servidor de autenticación. El iPad admite PKCS1 (.cer, .crt y .der) y PKCS12. • Si deseas documentación adicional sobre estándares de red inalámbrica y Acceso Protegido a Wi-Fi (WPA), visita www.wi-fi.org. 11 WPA2 Enterprise/802.1X Ejemplo de implantación Este ejemplo ilustra una implantación inalámbrica segura estándar que aprovecha la autenticación RADIUS. Servidor de autenticación Compatible con 802.1X (RADIUS) Firewall Servicio de directorio 3 2 4 1 Certificado o contraseña basados en tipo de EAP Punto de acceso inalámbrico compatible con 802.1X Servicios de red 1 El iPad solicita acceso a la red. El iPad inicia la conexión cuando un usuario selecciona una red inalámbrica disponible, o lo hace automáticamente al detectar una red ya configurada. 2 Después de llegar al punto de acceso, la solicitud es remitida al servidor RADIUS para su autenticación. 3 El servidor RADIUS valida la cuenta del usuario empleando el servicio de directorio. 4 Cuando el usuario está autenticado, el punto de acceso ofrece acceso a la red aplicando las políticas y los permisos indicados por el servidor RADIUS. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422498B-ES 12 El iPad en la empresa Certificados digitales El iPad admite certificados digitales, lo que permite a los usuarios de empresa acceder de forma segura y optimizada a servicios corporativos. Los certificados digitales se componen de una clave pública, y de información sobre el usuario y la entidad emisora del certificado. Los certificados digitales son una forma de identificarse que optimiza la autenticación, la integridad de los datos y el cifrado. En el iPad, los certificados se pueden usar de varias maneras. La firma de datos con un certificado digital ayuda a garantizar que la información no pueda modificarse. Los certificados también sirven para garantizar la identidad del autor o «firmante». Además, se pueden usar para cifrar Perfiles de Configuración y comunicaciones de red, con el fin de aumentar la protección de información confidencial o privada. Uso de certificados en el iPad Certificados digitales Los certificados digitales sirven para autenticar de forma segura a usuarios de servicios corporativos sin necesidad de emplear nombres de usuario, contraseñas ni tokens por software. En el iPad, la autenticación basada en certificados se usa para acceder a servidores de Exchange ActiveSync de Microsoft, así como a redes VPN y Wi-Fi. Formatos de identidad y certificado admitidos: • El iPad admite los certificados X.509 con claves RSA. • Reconoce las extensiones de archivo .cer, .crt, .der, .p12 y .pfx. Certificados raíz El iPad incluye de serie diversos certificados raíz preinstalados. Si deseas consultar una lista de estos certificados, lee el artículo de Soporte de Apple que encontrarás en http://support.apple.com/kb/HT3580. Si usas un certificado raíz que no está preinstalado, como un certificado raíz autofirmado creado por tu empresa, puedes distribuirlo al iPad mediante uno de los métodos enumerados en el apartado «Distribución e instalación de certificados» de este documento. Entidad emisora de certificados Solicitud de autenticación Servicios empresariales Intranet, correo electrónico, VPN y Wi-Fi Servicio de directorio Certificados de servidor Los certificados digitales también se pueden usar para validar y cifrar comunicaciones de redes. Esto ofrece una comunicación segura con sitios web tanto internos como externos. El navegador Safari puede comprobar la validez de un certificado digital X.509 y configurar una sesión segura con cifrado AES de hasta 256 bits. Así se verifica la legitimidad de la identidad del sitio y se garantiza la protección de la comunicación con el sitio web para evitar la interceptación de datos personales o confidenciales. Solicitud HTTPS Servicios de red Entidad emisora de certificados 13 Distribución e instalación de certificados Distribuir certificados al iPad es fácil. Cuando recibe un certificado, el usuario solo tiene que tocarlo para ver su contenido, y dar otro toque para añadir el certificado al dispositivo. Al instalar un certificado de identidad, se solicita al usuario que introduzca la frase clave que lo protege. Si no se puede verificar la autenticidad de un certificado, el usuario recibe una alerta antes de añadirlo al dispositivo. Instalación de certificados mediante Perfiles de Configuración Si se usan perfiles de configuración para distribuir los ajustes de los servicios corporativos, como Exchange, VPN o Wi-Fi, los certificados se pueden añadir al perfil con el fin de optimizar la implantación. Instalación de certificados mediante Mail o Safari Si se envía un certificado en un correo electrónico, se mostrará como un adjunto. También se puede usar Safari para descargar certificados desde una página web. Puedes alojar un certificado en un sitio web seguro y facilitar a los usuarios la URL desde la que pueden descargar el certificado en sus dispositivos. Instalación mediante el protocolo SCEP (Simple Certificate Enrollment Protocol) SCEP está diseñado para ofrecer un acceso simplificado a fin de administrar la distribución de certificados en implantaciones a gran escala. Esto permite la inscripción inalámbrica en el iPad de certificados digitales, que se pueden utilizar para la autenticación del acceso a servicios corporativos, y para la inscripción en un servidor de Mobile Device Management. Si deseas más información sobre el protocolo SCEP y la inscripción inalámbrica, visita www.apple.com/ipad/business/resources. Revocación y eliminación de certificados Para eliminar manualmente un certificado ya instalado, selecciona Ajustes > General > Perfiles. Si eliminas un certificado necesario para acceder a una cuenta o red, el dispositivo no podrá volver a conectarse a esos servicios. Para eliminar certificados inalámbricamente se puede usar un servidor de Mobile Device Management. Este servidor puede ver todos los certificados de un dispositivo y eliminar los que tenga instalados. Además, el iPad admite el protocolo OCSP (Online Certificate Status Protocol), que sirve para comprobar el estado de los certificados. Cuando se usa un certificado que emplea OCSP, el iPad lo valida para comprobar que no haya sido revocado antes de llevar a cabo la tarea solicitada. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad y Safari son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422499B-ES 14 El iPad en la empresa Seguridad Protección de dispositivos • Contraseñas seguras • Caducidad de códigos • Historial de reutilización de contraseñas • Número máximo de intentos fallidos • Imposición inalámbrica del uso de contraseñas • Desactivación progresiva por contraseña errónea Seguridad de datos • Cifrado por hardware • Protección de datos • Borrado remoto • Borrado local • Perfiles de Configuración cifrados • Copias de seguridad de iTunes cifradas Seguridad de red • Integración de VPN IPSec de Cisco, L2TP y PPTP • VPN con SSL mediante apps del App Store • SSL/TLS con certificados X.509 • WPA/WPA2 Enterprise con 802.1X • Autenticación basada en certificados • RSA SecureID y CRYPTOCard Seguridad de la plataforma • Protección de ejecución • Firma de código obligatoria • Servicios de llavero • Interfaces API Crypto comunes • Protección de datos de aplicaciones El iPad accede a los servicios de la empresa de forma segura y protege los datos que contiene. El iPad ofrece cifrado seguro en la transmisión de datos y métodos de autenticación acreditados para acceder a los servicios de la empresa. Además, todos los datos almacenados en el dispositivo se cifran por hardware. El iPad también ofrece protección segura mediante el uso de políticas de contraseña que se pueden diseñar e imponer de forma inalámbrica. Además, si el dispositivo cayese en malas manos, los usuarios y los administradores de TI pueden enviar una orden de borrado remoto para garantizar que la información privada se borra. Cuando nos planteamos la seguridad del iPad para su uso en empresas, es útil conocer lo siguiente: • Seguridad del dispositivo: métodos que impiden el uso no autorizado del dispositivo. • Seguridad de datos: máxima protección de los datos, incluso si el dispositivo se pierde o lo roban. • Seguridad de red: protocolos de red y cifrado de los datos transmitidos. • Seguridad de aplicaciones: fundamentos de la plataforma segura de iOS. Estas funciones se conjugan para ofrecer una plataforma segura de informática móvil. Seguridad del dispositivo. Es importante establecer estrictas políticas de acceso al iPad para proteger la información de la empresa. La contraseña de dispositivo es la primera línea de defensa contra usos no autorizados y se puede configurar e imponer de forma inalámbrica. El iPad emplea la contraseña exclusiva determinada por cada usuario para generar una clave de cifrado segura con la que proteger en mayor medida el correo y los datos confidenciales de las aplicaciones del dispositivo. Además, el iPad proporciona métodos seguros de configurar el terminal en entornos empresariales, donde se deben aplicar ciertos ajustes, políticas y limitaciones. Estos métodos proporcionan opciones flexibles para establecer un nivel de protección estándar para los usuarios autorizados. Políticas de contraseña Una contraseña de dispositivo impide que los usuarios sin autorización accedan a los datos guardados en el iPad o incluso al dispositivo. iOS 4 permite elegir entre un amplio conjunto de requisitos para contraseñas con los que satisfacer las necesidades de seguridad, como periodos de inactividad, solidez de las contraseñas y frecuencia de modificación de la contraseña. Se ofrecen las siguientes políticas de contraseña: • Exigencia de contraseña en el dispositivo • Autorización de valores simples • Exigencia de contraseñas alfanuméricas • Longitud mínima de contraseña • Número mínimo de caracteres complejos • Vigencia máxima de contraseñas • Bloqueo automático • Historial de contraseñas •Periodo de gracia para bloqueo del dispositivo •Número máximo de intentos fallidos 15 Imposición de políticas Las políticas descritas arriba se pueden configurar en el iPad de diversas maneras. Las políticas también pueden distribuirse como parte de un Perfil de Configuración para que lo instalen los usuarios. El perfil se puede definir de modo que solo se pueda borrar con una contraseña de administrador, o para que esté ligado al terminal y solo se pueda borrar si se borra todo el contenido del equipo. Además, los ajustes de contraseñas se pueden configurar remotamente mediante soluciones de Mobile Device Management, capaces de transmitir las políticas directamente al dispositivo. Esto permite imponer y actualizar las políticas sin que el usuario deba hacer nada. Opcionalmente, si el dispositivo está configurado para acceder a una cuenta de Exchange de Microsoft, las políticas de Exchange ActiveSync son remitidas de forma inalámbrica al dispositivo. Recuerda que el conjunto disponible de políticas depende de la versión de Exchange (2003, 2007 o 2010). En la Guía de integración en empresas encontrarás un desglose de las políticas admitidas para tu configuración específica. Restricciones disponibles • Acceso al iTunes Store • Acceso a medios explícitos y valoraciones de contenido en el iTunes Store • Uso de Safari y preferencias de seguridad • Uso de YouTube • Uso del App Store y compra desde apps • Instalación de apps • Posibilidad de capturar pantallas • Sincronización automática en itinerancia • Uso de marcación por voz • Imposición de copias de seguridad de iTunes cifradas • Uso de la cámara Configuración del dispositivo segura Los Perfiles de Configuración son archivos XML que contienen las políticas de seguridad y restricciones del dispositivo, la información de la configuración de la red VPN, los ajustes Wi-Fi y las cuentas de correo electrónico y calendarios, así como las credenciales de autenticación que permiten que el iPad funcione con los sistemas de la empresa. La posibilidad de establecer políticas de contraseña y ajustes de dispositivo con un Perfil de Configuración garantiza que los dispositivos de la empresa estén correctamente configurados y respeten los estándares de seguridad establecidos por la organización. Como los Perfiles de Configuración se pueden cifrar y bloquear, los ajustes no se pueden eliminar, modificar ni compartir con otros usuarios. Los Perfiles de Configuración se pueden firmar y cifrar. La firma de un Perfil de Configuración garantiza que no se puedan modificar los ajustes que establece. El cifrado de un Perfil de Configuración protege su contenido y solo permite su instalación en el dispositivo para el que fue creado. Los Perfiles de Configuración se cifran con CMS (Cryptographic Message Syntax, RFC 3852). Se admiten los algoritmos 3DES y AES 128. La primera vez que se distribuye un Perfil de Configuración cifrado, se instala mediante sincronización USB empleando la utilidad de configuración, o bien mediante inscripción inalámbrica. Además de estos métodos, la distribución posterior de Perfiles de Configuración cifrados se puede realizar mediante un adjunto de correo electrónico, alojado en un sitio web accesible para los usuarios, o bien se envía al dispositivo mediante soluciones de Mobile Device Management. Restricciones del dispositivo Las restricciones de dispositivo determinan qué prestaciones del iPad están disponibles para los usuarios. Normalmente se aplican a programas con conexión a Internet, como Safari, YouTube o el iTunes Store, pero las restricciones también pueden controlar aspectos como la instalación de aplicaciones o el uso de la cámara. Las restricciones de dispositivo permiten configurar el dispositivo en función de los requisitos de cada empresa, de modo que los usuarios lo empleen de acuerdo con las prácticas de la organización. Las restricciones pueden configurarse a mano en cada dispositivo, imponerse con un Perfil de Configuración o establecerse a distancia con soluciones de Mobile Device Management. Además, las restricciones de navegación web o del uso de la cámara se pueden aplicar de forma inalámbrica con Exchange Server 2007 y 2010 de Microsoft. Aparte de las restricciones de ajustes y políticas del dispositivo, la aplicación iTunes se puede configurar y controlar desde el departamento de TI. Esto incluye el bloqueo del acceso a contenido explícito. Para ello se definen los servicios de red disponibles desde iTunes y se determina si se pueden instalar actualizaciones de programas. 16 Seguridad de los datos La protección de los datos almacenados en el iPad es importante para cualquier entorno en el que haya información confidencial de la empresa o los clientes. Además de cifrar los datos transmitidos, el iPad ofrece cifrado por hardware para los datos almacenados en el dispositivo, y cifrado adicional de correos electrónicos y datos de aplicaciones con un nivel superior de protección de datos. Si un dispositivo se extravía o es objeto de hurto, es importante desactivarlo y borrar su contenido. También es buena idea instaurar una política que borre el dispositivo tras un número determinado de intentos fallidos de introducción de la contraseña, lo cual es una excelente medida disuasoria para evitar el intento de acceso no autorizado al dispositivo. Cifrado El cifrado por hardware del iPad emplea la codificación AES de 256 bits para proteger los datos del dispositivo. El cifrado está siempre activado y el usuario no lo puede desconectar. Desactivación progresiva por contraseña errónea El iPad se puede configurar para iniciar automáticamente un borrado tras varios intentos fallidos de introducción de la contraseña. Si un usuario introduce repetidamente la contraseña incorrecta, el iPad se bloqueará durante periodos cada vez más prolongados. Tras un número determinado de intentos fallidos, se borrarán todos los datos y ajustes del dispositivo. Además, los datos guardados con la copia de seguridad de iTunes en el ordenador del usuario se pueden cifrar. Esto puede ser activado por el usuario o impuesto mediante los ajustes de restricción del dispositivo de los perfiles de configuración. Protección de datos De forma complementaria a las funciones de cifrado por hardware del iPad, los mensajes de correo electrónico y los adjuntos almacenados en el dispositivo se pueden salvaguardar en mayor medida mediante las prestaciones de protección de datos integradas en iOS 4. La protección de datos emplea la contraseña exclusiva del dispositivo del usuario en combinación con el cifrado por hardware del iPad para generar una clave de cifrado segura. Esta clave evita el acceso a los datos cuando el dispositivo está bloqueado, lo que garantiza que la información crucial esté segura incluso si el dispositivo no lo está. La activación de la protección de datos requiere que los dispositivos existentes sean completamente restaurados desde una copia de seguridad al cambiar a la versión iOS 4. Los nuevos dispositivos entregados con iOS 4 ya presentan esta característica. Para activar la prestación de protección de datos solo es necesario establecer una contraseña en el dispositivo. La eficacia de la protección de datos depende de una contraseña segura, por lo que es importante exigir e imponer una contraseña más fuerte que las de cuatro dígitos al establecer las políticas de contraseña de la empresa. Los usuarios pueden comprobar si la protección de datos está activada en su dispositivo consultando la pantalla de ajustes de contraseña. Las soluciones de Mobile Device Management también permiten solicitar esta información al dispositivo. Estas API de protección de datos también están a disposición de los desarrolladores, y se pueden usar para salvaguardar los datos de aplicaciones comerciales o internas. Borrado remoto El iPad admite la opción de borrado remoto. Si el terminal se pierde o lo roban, el administrador o propietario puede emitir una orden de borrado remoto que elimina todos sus datos y lo desactiva. Si el dispositivo está configurado con una cuenta de Exchange, el administrador puede iniciar una orden de borrado remoto desde 17 la consola Exchange Management Console (Exchange Server 2007) o Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 o 2007). Los usuarios de Exchange Server 2007 también pueden dar la orden de borrado remoto directamente con Outlook Web Access. Las órdenes de borrado remoto también se pueden iniciar desde soluciones de Mobile Device Management, incluso si no se usan servicios corporativos de Exchange. Borrado local Los terminales también pueden configurarse para iniciar un borrado local automáticamente tras varios intentos fallidos de introducción de la contraseña. Esto protege contra los intentos de forzar el acceso al dispositivo. Cuando se establece una contraseña, los usuarios tienen la posibilidad de activar directamente el borrado local desde los ajustes del iPad. De serie, el iPad borra el dispositivo automáticamente después de 10 intentos fallidos de introducción de la contraseña. Como con otras políticas de contraseña, el número máximo de intentos fallidos se puede establecer mediante un Perfil de Configuración, con un servidor de Mobile Device Management o de forma inalámbrica con políticas de Exchange ActiveSync de Microsoft. Protocolos de VPN • IPSec de Cisco • L2TP/IPSec • PPTP • VPN con SSL Métodos de autenticación • Contraseña (MSCHAPv2) • RSA SecurID • CRYPTOCard • Certificados digitales X.509 • Secreto compartido Protocolos de autenticación 802.1X • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP Formatos de certificado admitidos El iPad admite los certificados X.509 con claves RSA. Reconoce las extensiones de archivo .cer, .crt y .der. Seguridad de red Los usuarios móviles deben ser capaces de acceder a las redes de información corporativas desde cualquier lugar del mundo, pero también es importante asegurarse de que los usuarios estén autorizados y de que los datos estén protegidos durante la transmisión. El iPad ofrece tecnologías acreditadas para cumplir estos objetivos de seguridad, para conexiones tanto Wi-Fi como de redes de telefonía móvil. VPN Muchos entornos empresariales tienen algún tipo de red privada virtual. Estos servicios seguros de red ya están implantados y suelen requerir una configuración mínima para funcionar con el iPad. De serie, el iPad se integra con una amplia gama de tecnologías VPN muy extendidas, ya que es compatible con IPSec de Cisco, L2TP y PPTP. Además, el iPad admite VPN con SSL mediante aplicaciones de Juniper, Cisco y F5 Networks. La compatibilidad con estos protocolos garantiza el máximo nivel de cifrado por IP para la transmisión de información confidencial. Además de permitir el acceso seguro a entornos VPN existentes, el iPad ofrece métodos acreditados para la autenticación de usuarios. La autenticación mediante certificados digitales X.509 estándar ofrece al usuario un acceso optimizado a los recursos de la empresa y constituye una alternativa viable a los tokens por hardware. Además, la autenticación con certificado permite al iPad aprovechar las ventajas de VPN por petición, con lo que el proceso de autenticación VPN es transparente sin dejar de ofrecer un acceso identificado sólido a los servicios de red. Para entornos empresariales en los que se exige un token de doble factor, el iPad se integra con RSA SecurID y CRYPTOCard. El iPad admite la configuración de proxy de red, así como túnel IP dividido, de modo que el tráfico a dominios de red públicos o privados es remitido en función de las políticas de la empresa. SSL/TLS El iPad admite SSL v3 y también Transport Layer Security (TLS v1.0), el estándar de seguridad de última generación para Internet. Safari, Calendario, Mail y otras aplicaciones de Internet inician automáticamente estos mecanismos para establecer un canal de comunicación cifrada entre el iPad y los servicios corporativos. WPA/WPA2 18 El iPad utiliza WPA2 Enterprise para ofrecer acceso autenticado a la red inalámbrica de la empresa. WPA2 Enterprise emplea cifrado AES de 128 bits, que ofrece a los usuarios las máximas garantías de que sus datos estarán protegidos al enviar y recibir comunicaciones a través de la conexión a una red Wi-Fi. Además, como el iPad es compatible con 802.1X, puede integrarse en un amplio abanico de entornos de autenticación RADIUS. Seguridad de aplicaciones iOS está íntegramente desarrollado para ofrecer la máxima seguridad. Incluye un sistema de «jaulas» para la protección de aplicaciones en tiempo de ejecución y exige la firma digital para que no se puedan manipular las aplicaciones. iOS también cuenta con un entorno protegido que permite guardar con seguridad las credenciales de servicios de aplicaciones y redes en un llavero cifrado. Para los desarrolladores, ofrece una arquitectura de cifrado común que puede usarse para cifrar almacenes de datos de aplicaciones. Protección de ejecución Las aplicaciones del dispositivo están «enjauladas», de modo que no pueden acceder a datos almacenados por otras aplicaciones. Además, los archivos, los recursos y el kernel del sistema están aislados del espacio para aplicaciones del usuario. Si una aplicación necesita acceder a datos de otra aplicación, solo puede hacerlo usando las API y los servicios ofrecidos por iOS. También se impide la generación de código. Firma de código obligatoria Todos los programas para el iPad deben ir firmados. Las aplicaciones que el terminal incluye de serie vienen firmadas por Apple. Las de terceros son firmadas por el desarrollador usando un certificado emitido por Apple. Así se garantiza que las aplicaciones no hayan sido manipuladas ni modificadas. Además, se realizan comprobaciones en tiempo de ejecución para garantizar que una aplicación no haya dejado de ser de confianza desde su última utilización. El uso de aplicaciones personalizadas o internas se puede controlar con un perfil de datos. Los usuarios deben tener este perfil instalado para poder ejecutar la aplicación en cuestión. Los perfiles de datos se pueden instalar o revocar inalámbricamente mediante soluciones de Mobile Device Management. Los administradores también pueden limitar el uso de una aplicación en determinados terminales. Entorno de autenticación seguro El iPad proporciona un llavero cifrado seguro donde guardar identidades digitales, nombres de usuario y contraseñas. Los datos del llavero se compartimentan para que las credenciales guardadas por aplicaciones de terceros no puedan ser utilizadas por aplicaciones con una identidad diferente. Esto constituye el mecanismo para proteger las credenciales de autenticación del iPad en una amplia gama de aplicaciones y servicios de la empresa. Arquitectura Crypto común Los desarrolladores de aplicaciones tienen acceso a API de cifrado que pueden usar para elevar la protección de los datos de sus aplicaciones. Los datos se pueden cifrar simétricamente mediante métodos acreditados, como AES, RC4 o 3DES. Además, el iPad ofrece aceleración por hardware para el cifrado AES y el hash SHA1, lo que optimiza el rendimiento de las aplicaciones. Protección de datos de aplicaciones Las aplicaciones también pueden utilizar el cifrado por hardware integrado en el iPad para proteger en mayor medida sus datos confidenciales. Los desarrolladores pueden designar qué archivos concretos deben protegerse, indicando al sistema que el contenido de esos archivos debe ser inaccesible criptográficamente para la aplicación y cualquier intruso potencial cuando el dispositivo está bloqueado. 19 Dispositivo revolucionario y seguro por los cuatro costados El iPad ofrece protección cifrada de datos en tránsito, en reposo y en las copias de seguridad de iTunes. Cuando un usuario accede al correo electrónico corporativo, visita un sitio web privado o se autentica en la red empresarial, el iPad garantiza que solo los usuarios autorizados puedan acceder a la información confidencial de la empresa. Además, gracias a su compatibilidad con las redes empresariales y a sus completos métodos de prevención de pérdida de datos, el iPad se puede implantar con la tranquilidad que supone emplear un sistema de seguridad de dispositivos móviles y protección de datos plenamente acreditado. Si deseas obtener más información y recursos de implantación para el iPad, visita www.apple.com/es/ipad/business/integration/. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad, iTunes y Safari son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de servicio de Apple Inc. iTunes Store es una marca de servicio de Apple Inc., registrada en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422500B-ES 20 El iPad en la empresa Mobile Device Management El iPad admite el sistema Mobile Device Management (administración de dispositivos móviles), lo que permite a las empresas administrar implantaciones ampliables del iPad en sus organizaciones. Estas funciones de Mobile Device Management se basan en tecnologías ya existentes en iOS, como los Perfiles de Configuración, la inscripción inalámbrica y el servicio de notificación push de Apple, y se pueden integrar con soluciones de servidor propias o de terceros. Esto permite a los departamentos de TI inscribir de forma segura el iPad en un entorno empresarial, configurar y actualizar ajustes inalámbricamente, supervisar el cumplimiento de las políticas corporativas e incluso bloquear y borrar de forma remota los iPad que estén bajo su administración. Administración del iPad La administración del iPad se realiza mediante una conexión con un servidor de Mobile Device Management. Como ya se ha señalado, este servidor se puede adquirir en un proveedor externo. Cuando un servidor de Mobile Device Management quiere comunicarse con un iPad, se envía una notificación muda al dispositivo para indicarle que se registre en el servidor. El dispositivo se comunica con el servidor para ver si hay tareas pendientes y responde con las acciones oportunas. Estas tareas pueden consistir en actualizar políticas, ofrecer la información de dispositivo o de red solicitada, o eliminar ajustes y datos. Las funciones de administración se realizan en segundo plano, sin intervención del usuario. Por ejemplo, si un departamento de TI actualiza la infraestructura de su red VPN, el servidor de Mobile Device Management puede configurar el iPad con nuevos datos de cuenta de forma inalámbrica. La próxima vez que el empleado use la red VPN, la configuración correcta ya estará implantada, por lo que el usuario no necesitará llamar al servicio de asistencia técnica ni modificar manualmente ningún ajuste. Para ilustrar las funciones de Mobile Device Management, este documento está organizado en cuatro categorías de implantación: inscripción, configuración, consultas y administración. Cortafuegos Servicio de notificaciones push de Apple Servidor de MDM de terceros 21 Inscripción El primer paso para la administración del iPad es inscribir el dispositivo en un servidor de Mobile Device Management. Esto crea una relación entre el dispositivo y el servidor, y permite que el dispositivo sea administrado bajo petición sin la posterior intervención del usuario. Se puede realizar de forma inalámbrica o conectando el iPad a un ordenador por USB. Como método para inscribir dispositivos en un entorno empresarial de forma segura y ampliable, el iPad admite un proceso llamado «inscripción inalámbrica» (Over-the-Air Enrollment). Con este método, la empresa ofrece un portal web seguro en el que los usuarios pueden inscribir sus dispositivos para que sean administrados. De este modo, el servidor puede configurar los dispositivos administrados con las restricciones y los accesos a cuentas correspondientes. El iPad y el protocolo SCEP El iPad admite el protocolo SCEP (Simple Certificate Enrollment Protocol). El SCEP es un borrador de Internet del IETF. Está diseñado para simplificar la distribución de certificados en implantaciones a gran escala. Permite la inscripción inalámbrica de certificados de identidad en el iPad, que se pueden usar para la autenticación en el acceso a servicios corporativos. Descripción del proceso El proceso de inscripción inalámbrica comprende tres fases que, combinadas en un flujo de trabajo automatizado, ofrecen una forma segura de implantar los dispositivos en la empresa. Estas fases son: 1. Autenticación del usuario La autenticación del usuario garantiza que las peticiones de inscripción entrantes provengan de usuarios autorizados, y que la información del dispositivo del usuario sea recopilada antes de proceder con la inscripción del certificado. Los administradores pueden solicitar al usuario que inicie el proceso de inscripción proporcionándoles una URL por correo electrónico o SMS. 2. Inscripción de certificado Una vez autenticado el usuario, el iPad genera una petición de inscripción de certificado mediante el protocolo SCEP (Simple Certificate Enrollment Protocol). Esta petición de inscripción se comunica directamente con la autoridad de certificados (CA) de la empresa y permite que el iPad reciba el certificado de identidad remitido por la CA. 3. Configuración de dispositivos Una vez instalado un certificado de identidad, el iPad puede recibir información de configuración cifrada de forma inalámbrica. Esta información solo se puede instalar en el dispositivo para el que se generó y contiene ajustes que permiten al iPad conectarse al servidor de Mobile Device Management. Al final del proceso de inscripción, se presentará al usuario una pantalla de instalación que describe los derechos de acceso del servidor de Mobile Device Management con respecto al dispositivo. Cuando el usuario acepte la instalación del perfil, el dispositivo quedará automáticamente inscrito, sin necesidad de que el usuario vuelva a intervenir. 22 Configuración Una vez inscrito como dispositivo administrado, se puede usar el servidor de Mobile Device Management para configurarlo dinámicamente con ajustes y políticas. El servidor envía al dispositivo configuraciones, llamadas Perfiles de Configuración, y se instalan automáticamente. Los Perfiles de Configuración son archivos XML que contienen información y ajustes de configuración que permiten que el iPad use los sistemas de la empresa. Estos datos incluyen información de cuentas, políticas de contraseña, restricciones y otros ajustes del dispositivo. Cuando se combina con el proceso ya descrito de inscripción, la configuración del dispositivo garantiza al departamento de TI que solo los usuarios de confianza podrán acceder a los servicios corporativos, y que los dispositivos cumplirán las políticas establecidas. Como los perfiles de configuración se pueden firmar, cifrar y bloquear, los ajustes no se pueden eliminar, modificar ni compartir con otros usuarios. Ajustes configurables admitidos Cuentas • Exchange ActiveSync • Correo electrónico IMAP/POP • VPN • Wi-Fi • LDAP • CalDAV • CardDAV • Calendarios suscritos Restricciones • Instalación de apps • Cámara • Captura de pantallas • Sincronización automática de cuentas de correo en itinerancia • Marcación por voz con dispositivo bloqueado • Compras desde aplicaciones • Exigencia de copias de seguridad cifradas en iTunes • Música y podcasts explícitos en iTunes • Autorización de valoraciones de contenido de películas, programas de TV y apps • YouTube • iTunes Store • App Store • Safari • Preferencias de seguridad de Safari Políticas • Exigencia de contraseña • Autorización de valores simples • Exigencia de contraseñas alfanuméricas • Longitud de contraseña • Número de caracteres complejos • Vigencia máxima de contraseñas • Intervalo previo a bloqueo automático • Número de contraseñas distintas antes de reutilización Otros ajustes • Periodo de gracia para bloqueo del • Certificados e identidades dispositivo • Clips web • Número de intentos fallidos antes del • Ajustes APN borrado • Control de la eliminación del perfil de configuración por parte del usuario 23 Consulta Además de configurar dispositivos, un servidor de Mobile Device Management puede consultar a los dispositivos diversa información. Esta información se puede emplear para comprobar que los dispositivos sigan cumpliendo las políticas exigidas. El servidor de Mobile Device Management determina la frecuencia con que recopila esta información. Consultas admitidas Información del dispositivo • Identificador exclusivo del dispositivo (UDID) • Nombre del dispositivo • Versión de iOS y build • Nombre y número de modelo • Número de serie • Capacidad y espacio disponible • IMEI • Firmware del módem Información de red • ICCID • Direcciones MAC de Bluetooth® y Wi-Fi • Red del operador actual • Red del operador SIM • Versión de ajustes del operador • Número de teléfono • Ajuste de itinerancia de datos (activado/ desactivado) Datos de seguridad y cumplimiento • Perfiles de Configuración instalados • Certificados instalados con fecha de caducidad • Lista de todas las restricciones impuestas • Función de cifrado por hardware • Contraseña presente Aplicaciones • Aplicaciones instaladas (identificador de la app, nombre, versión, tamaño y volumen de datos de la app) • Perfiles de datos instalados con fecha de caducidad Gestión Cuando un dispositivo está administrado, el servidor de Mobile Device Management puede llevar a cabo esta tarea mediante un conjunto de acciones específicas. Acciones admitidas Borrado remoto Un servidor de Mobile Device Management puede borrar el contenido de un iPad de forma remota. Esta acción eliminará permanentemente la información y archivos digitales del iPad, y restaurará su configuración de fábrica. Bloqueo remoto El servidor bloquea el iPad y exige la contraseña del dispositivo para desbloquearlo. Borrar contraseña Esta acción elimina temporalmente la contraseña del dispositivo para los usuarios que la han olvidado. Si el dispositivo tiene una política de exigencia de contraseña, se indicará al usuario que debe crear una nueva. Perfiles de Configuración y de Datos Para configurar dispositivos y distribuir aplicaciones de desarrollo interno, los servidores de Mobile Device Management pueden añadir y eliminar Perfiles de Configuración y de Datos de forma remota. 24 Descripción del proceso Este ejemplo ilustra una implantación básica de un servidor de Mobile Device Management. 1 Cortafuegos 3 2 4 Servicio de notificaciones push de Apple Servidor de MDM de terceros 5 1 Se envía al dispositivo un Perfil de Configuración que contiene los datos del servidor de Mobile Device Management. El usuario recibe información sobre qué será administrado u objeto de consulta por parte del servidor. 2 El usuario instala el perfil para aceptar que el dispositivo sea administrado. 3 La inscripción del dispositivo se realiza al instalar el perfil. El servidor valida el dispositivo y permite el acceso. 4 El servidor envía una notificación push que indica al dispositivo que se registre para llevar a cabo tareas o consultas. 5 El dispositivo se conecta directamente al servidor mediante HTTPS. El servidor envía comandos o solicita información. Si deseas más información sobre Mobile Device Management, visita www.apple.com/es/ipad/business/integration. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad, iTunes y Safari son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de servicio de Apple Inc. iTunes Store es una marca de servicio de Apple Inc., registrada en EE. UU. y en otros países. La marca Bluetooth es una marca comercial registrada de Bluetooth SIG Inc., y Apple dispone de licencia para usar dicha marca. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422501B-ES 25 El iPad en la empresa Implantación de iTunes Introducción Al implantar el iPad en la empresa, es importante valorar el papel desempeñado por iTunes. Algunas funciones clave requieren iTunes, empezando por la activación del dispositivo. Una vez activado, iTunes no es necesario para configurar ni usar el iPad con los sistemas empresariales. No obstante, sí es necesario para instalar actualizaciones de programas y crear copias de seguridad, que se utilizan para restaurar la información del usuario o transferirla a otro dispositivo. iTunes también sirve para sincronizar música, vídeos, aplicaciones y otros contenidos. Estas funciones de sincronización no son necesarias para el uso profesional habitual. Controles y restricciones de iTunes Al implantar iTunes en la red corporativa, puedes restringir las siguientes funciones de iTunes mediante el registro de Windows o Preferencias del Sistema en Mac OS X: • Acceso al iTunes Store • Bibliotecas compartidas con ordenadores de la red local que también tengan iTunes • Reproducción de contenido explícito de iTunes • Reproducción de películas • Reproducción de programas de televisión • Reproducción de radio por Internet • Introducción de una URL de emisión de medios en streaming • Suscripción a podcasts • Visualización de sugerencias Genius al navegar o reproducir medios • Descarga de portadas de álbumes • Uso de complementos de Visualizer • Detección automática de sistemas Apple TV • Comprobación de nuevas versiones de iTunes • Comprobación de actualizaciones de software del dispositivo • Sincronización automática al conectar dispositivos • Registro en Apple de nuevos dispositivos • Acceso a iTunes (iTunes U) Se puede elegir entre instalar iTunes en los ordenadores de la empresa o pedir a los empleados que realicen estas funciones desde su ordenador particular. En ambos casos, los datos corporativos están cifrados y protegidos durante todo el proceso. Si se decide usar iTunes internamente, se puede personalizar la aplicación para cumplir las necesidades del entorno y las políticas de uso de la empresa. Por ejemplo, se puede adaptar iTunes restringiendo o desactivando servicios de red como el iTunes Store y las bibliotecas compartidas de medios, o bien controlando el acceso a actualizaciones de programas. También se puede implantar iTunes mediante herramientas de implantación de software de sobremesa administradas de forma centralizada. Para el usuario final, iTunes es fácil de usar. Los usuarios que ya conocen la interfaz de iTunes para administrar contenido y medios fuera del trabajo no tendrán ningún problema para administrar su contenido corporativo desde el iPad. Uso de iTunes Activación Para activar el iPad y poder empezar a usarlo, debe estar conectado a iTunes mediante USB. Como iTunes es necesario para llevar a cabo el proceso de activación del iPad, hay que decidir si se desea instalar iTunes en el Mac o PC de cada usuario, o si se prefiere completar la activación de los dispositivos con una instalación centralizada de iTunes. En ambos casos, el proceso de activación es rápido y sencillo. El usuario solo tiene que conectar el iPad a un Mac o PC con iTunes y, en cuestión de segundos, el iPad estará activado y listo para su uso. Una vez activado el dispositivo, iTunes ofrece sincronizarlo con el ordenador. Para evitar este paso al activar los dispositivos de los usuarios, puedes usar iTunes en modo de solo activación. Así se desactiva la sincronización y las copias de seguridad automáticas, y la aplicación te invita a desconectar el dispositivo en cuanto concluye la activación. Si deseas instrucciones sobre cómo habilitar el modo de solo activación, consulta la Guía de integración en empresas. 26 Sincronización de medios Puedes usar iTunes para sincronizar música, vídeos, fotos y apps, entre otras cosas. Con iTunes es fácil controlar exactamente qué se quiere sincronizar. También indica claramente cuánto espacio queda. El iPad solo puede sincronizar cada tipo de datos con un único ordenador. Por ejemplo, puedes sincronizar la música con tu ordenador personal y los contactos con el ordenador del trabajo. Para ello basta con configurar iTunes para que realice las sincronizaciones oportunas en cada ordenador. Actualizaciones de software iTunes se usa para actualizar o reinstalar el software del iPad y para restaurar los ajustes por omisión o una copia de seguridad. Las actualizaciones no afectan a las aplicaciones descargadas, a los ajustes ni a los datos. Para actualizar, el usuario simplemente conecta el iPad al ordenador y hace clic en «Buscar Actualización». iTunes informa al usuario si hay una versión nueva disponible del software del iPad. Si desactivas la comprobación de actualizaciones automática e iniciada por el usuario, deberás distribuir las actualizaciones para su instalación manual. Para ello, distribuye el archivo .ipsw asociado a cada versión del software y da instrucciones al usuario para instalar la actualización manualmente. Podcasts de iTunes iTunes permite suscribirse a podcasts de audio y vídeo, y también descargarlos. Los podcasts son muy útiles para distribuir muchos contenidos, como materiales de formación y enseñanza, comunicaciones corporativas e información de productos. Además, los podcasts se pueden transferir fácilmente al iPad, de modo que los empleados podrán escucharlos y verlos cuando y donde quieran. El iTunes Store también incluye miles de podcasts gratuitos de temas de negocios creados por diversas instituciones, como Harvard Business Review, Wharton y Bloomberg, entre otras. Copia de seguridad Aunque la sincronización de datos para usuarios de empresa normalmente se realiza inalámbricamente mediante servicios corporativos como Exchange ActiveSync, el uso de iTunes para hacer copias de seguridad de los ajustes del iPad es importante si los usuarios necesitan restaurar su dispositivo. Cuando el iPad se sincroniza con iTunes, los ajustes del dispositivo se guardan automáticamente en el ordenador. Las aplicaciones adquiridas en el App Store se copian en la biblioteca de iTunes. Las aplicaciones desarrolladas internamente y distribuidas a los usuarios con perfiles de datos de la empresa no forman parte de las copias de seguridad ni se transfieren al ordenador del usuario. No obstante, la copia de seguridad del dispositivo incluirá los archivos de datos creados por las aplicaciones de la empresa. Cuando un iPad está configurado para sincronizarse con un ordenador concreto, iTunes hace automáticamente una copia de seguridad del iPad cuando se sincroniza con dicho ordenador. iTunes no realizará esta operación automáticamente con un iPad que no esté configurado para sincronizarse con ese ordenador. Las copias de seguridad que iTunes hace en el equipo anfitrión se pueden cifrar para impedir pérdidas de datos no deseadas en el ordenador anfitrión. Los archivos de copia de seguridad se cifran con AES 128 y una clave de 256 bits. La clave se almacena de forma segura en el llavero del iPad. Al realizar la primera copia de seguridad del iPad, se solicita al usuario que cree una contraseña segura. Implantación de iTunes Instalación iTunes emplea instaladores estándar de Mac OS y Windows, y se puede implantar mediante muchas de las aplicaciones de administración de sobremesa habitualmente empleadas por los profesionales de TI. Una vez que se han modificado los ajustes y políticas en el instalador de iTunes, la aplicación puede implantarse del mismo modo que el resto de las aplicaciones de la empresa. 27 Al instalar iTunes en ordenadores con Windows, por omisión también se instala la última versión de QuickTime, Bonjour y Actualización de Software de Apple. Se pueden omitir los componentes Bonjour y Actualización de Software definiendo los parámetros en el instalador de iTunes, o bien enviando a los ordenadores de los usuarios únicamente los componentes oportunos. No obstante, el componente QuickTime es necesario, y iTunes no funcionará sin él. Los ordenadores Mac incluyen iTunes de serie. Para enviar iTunes a los clientes Mac, puedes usar Workgroup Manager, una herramienta administrativa incluida en Mac OS X Server. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, Apple TV, Bonjour, iPad, iTunes, iTunes U, Mac, Mac OS y QuickTime son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de servicio de Apple Inc. iTunes Store es una marca de servicio de Apple Inc., registrada en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422502B-ES