iOS部署
技!
术参考 i!
!
!
OS7.1 2014年5月 !
!
目录 !
!
!
!
!
!
第3页简介 第4页第4页第6页第6页第7页第13页第13页第14页第15页 第1章:集成MicrosoftExchange基于标准的服务WLAN虚拟专用网络为App单独设置VPN单点登录数字证书Bonjour 第16页第16页第18页第20页第20页第21页 第2章:安全设备安全加密和数据保护网络安全App安全互联网服务 第23页第23页第24页第24页第27页 第3章:配置和管理设备设置和激活配置描述文件移动设备管理(MDM)设备监管 第28页第28页第29页第30页 第4章:App分发企业内部App部署App高速缓存服务器 第32页附录A:WLAN基础架构 第35页附录B:限制 !
第37页附录C:以无线方式安装企业内部App iOS部署技术参考指南 国际版本
2 iOS部署技术参考指南 简介 !
本指南面向希望为网络中的iOS设备提供支持的IT管理员。
其中提供了有关在大型组织(大企业或教育机构)中部署和支持iPhone、iPad和iPodtouch的信息。
本指南说明了iOS设备如何提供全面的安全防护、如何与现有基础架构集成,以及如何凭借强大的工具进行部署。
通过了解iOS中支持的关键技术,有助于实施适当的部署策略,为用户提供最佳体验。
当你在组织中部署iOS设备时,可使用以下几章内容作为技术参考:集成。
iOS设备本身支持多种网络基础架构。
在本节中,你将了解iOS支持的与MicrosoftExchange、WLAN、VPN和其他标准服务相集成的技术和最佳做法。
安全。
iOS可安全地访问企业服务并保护重要数据。
iOS对传输中的数据进行强加密,采用切实有效的鉴定方法访问企业服务,并对所有静态数据进行硬件加密。
请阅读本章,详细了解iOS在安全方面提供的功能。
配置和管理。
iOS支持多种高级工具和技术,可确保iOS设备易于设置,能够根据需要进行配置,并可在大型环境中轻松进行管理。
本章概述了移动设备管理(MDM)。
App分发。
有多种方法可用于在组织中部署app和内容。
利用iOS开发者企业计划,你的组织可以为内部用户构建和部署app。
通过本章可深入了解如何部署为内部使用而构建的app。
以下附录提供了其他技术细节和要求:WLAN基础架构。
详细介绍iOS支持的WLAN标准以及规划大型WLAN网络时的注意事项。
限制。
详细介绍可用于配置iOS设备以满足安全、密码和其他要求的限制。
以无线方式安装企业内部App。
详细介绍如何使用自有的基于Web的门户分发企业内部app及相关要求。
其他资源要获取相关的帮助信息,请访问以下网站:/ipad/business/it/iphone/business/it/education/it 国际版本
3 第1章: 集成 iOS部署技术参考指南 iOS设备本身支持多种网络基础架构。
其中包括: •常见的第三方系统,例如MicrosoftExchange•与基于标准的邮件、目录、日历和其他系统集成•用于数据传输和加密的标准WLAN协议•虚拟专用网络(VPN),包括为app单独设置VPN•用于简化联网app和服务鉴定的单点登录•用于鉴定用户和保护通信安全的数字证书 由于iOS中已内置这种支持,IT部门只需配置为数不多的几项设置,即可将iOS设备集成到现有基础架构中。
请继续阅读,详细了解iOS支持的技术和最佳做法。
MicrosoftExchange iOS可通过MicrosoftExchangeActiveSync(EAS)直接与MicrosoftExchangeServer通信,因而可以推送电子邮件、日历、通讯录、备忘录和任务。
ExchangeActiveSync还向用户提供访问全局地址列表(GAL)的功能,并向管理员提供密码策略实施和远程擦除功能。
iOS同时支持ExchangeActiveSync基本鉴定和基于证书的鉴定。
如果你所在的公司当前启用了ExchangeActiveSync,则已具备支持iOS所需的服务,不必再进行其他配置。
要求安装了iOS7或更高版本的设备支持以下版本的MicrosoftExchange:•ExchangeServer2003SP2(EAS2.5)•ExchangeServer2007(使用EAS2.5)•ExchangeServer2007SP1(EAS12.1)•ExchangeServer2007SP2(EAS12.1)•ExchangeServer2007SP3(EAS12.1)•ExchangeServer2010(EAS14.0)•ExchangeServer2010SP1(EAS14.1)•ExchangeServer2010SP2(使用EAS14.1)•ExchangeServer2013(使用EAS14.1)•Office365(使用EAS14.1) MicrosoftDirectPush如果存在蜂窝或WLAN数据连接,ExchangeServer可自动将电子邮件、任务、通讯录和日历事件发送至iOS设备。
iPodtouch和某些iPad机型没有蜂窝连接,因此只有当它们连接到WLAN网络时才会接收推送通知。
!
国际版本
4 iOS部署技术参考指南 MicrosoftExchange“自动发现”iOS支持MicrosoftExchangeServer2007和MicrosoftExchangeServer2010的“自动发现”服务。
手动配置设备时,“自动发现”会使用你的电子邮件地址和密码来确定正确的ExchangeServer信息。
有关启用“自动发现”服务的更多信息,请参阅“自动发现”服务。
MicrosoftExchange全局地址列表iOS设备会从你所在公司的ExchangeServer企业目录取回联络信息。
你可以在搜索“通讯录”的同时访问此目录,当你输入电子邮件地址时,可自动访问此目录来补全电子邮件地址。
iOS6或更高版本支持GAL照片(需要ExchangeServer2010SP1或更高版本)。
不支持的ExchangeActiveSync功能不支持下列Exchange功能:•打开电子邮件中指向Sharepoint服务器上储存的文稿的链接•设定“不在办公室”自动回复信息 通过Exchange确定iOS版本当iOS设备连接到ExchangeServer时,该设备会报告其iOS版本。
版本号是通过请求标头的“用户代理”栏来发送的,看起来类似于Apple-iPhone2C1/705.018。
分隔符(/)后面的数字是iOS版号,每个iOS版本的版号都是唯一的。
若要在设备上查看版号,请前往“设置”>“通用”>“关于”。
你将看到版本号和版号,例如4.1(8B117A)。
圆括号中的数字是版号,用来标识设备所运行的版本。
版号在发送到ExchangeServer后,会从格式NANNNA(其中N是数字,而A是字母字符)转换成Exchange格式NNN.NNN。
数值会予以保留,而字母会转换成其在字母表中的位置值。
例如,“F”会转换成“06”,因为它是字母表中的第六个字母。
如果需要,数字会使用零进行补白,以适合Exchange格式。
在本示例中,版号7E18会转换成705.018。
第一个数字
7,仍然是“7”。
字符E是字母表中的第五个字母,因此会转换成“05”。
系统将根据格式需要,在转换后的结果中插入句点(.)。
后一个数字18会使用零进行补白,转换成“018”。
如果版号以字母结尾(如5H11A),则数字会根据如上所述进行转换,结束字符的数值会被追加到字符串(字符串和该数值使用3个零进行分隔)。
因此5H11A会变成508.01100001。
远程擦除你可以使用Exchange提供的功能远程擦除iOS设备上的内容。
执行擦除操作会移除设备中的所有数据和配置信息,然后设备会被安全抹掉,并还原为原始的出厂设置。
执行擦除操作会移除数据(已使用256位AES加密方法进行加密)的加密密钥,这会即刻导致所有数据不可恢复。
对于MicrosoftExchangeServer2007或更高版本,你可以使用ExchangeManagementConsole、OutlookWebess或ExchangeActiveSyncMobileAdministrationWebTool执行远程擦除。
对于MicrosoftExchangeServer2003,你可以使用ExchangeActiveSyncMobileAdministrationWebTool发起远程擦除。
此外,用户可以擦除自己的设备,方法是前往“设置”>“通用”>“还原”,然后选取“抹掉所有内容和设置”。
设备还可以配置为在密码输入失败一定次数之后自动执行擦除。
国际版本
5 iOS部署技术参考指南 基于标准的服务 由于iOS支持IMAP邮件协议、LDAP目录服务、CalDAV日历和CardDAV通讯录协议, 因此几乎可以与任何基于标准的环境相集成。
如果你的网络环境配置为需要用户鉴定和SSL,iOS可提供安全的方法来访问基于标准的公司电子邮件、日历、任务和通讯录。
对于SSL,iOS支持128位加密和主要证书颁发机构颁发的X.509根证书。
在典型的部署中,iOS设备可直接访问IMAP和SMTP邮件服务器,以无线方式收发电子邮件,并可与基于IMAP的服务器无线同步备忘录。
iOS设备可连接至公司的LDAPv3企业目录,用户因此能够在“邮件”、“通讯录”和“信息”应用程序中访问公司通讯录。
通过与CalDAV服务器同步,用户可以无线方式创建和接受日历邀请、接收日历更新,并与“提醒事项”app同步任务。
凭借对CardDAV的支持,用户可使用vCard格式让一组联系人与CardDAV服务器保持同步。
所有网络服务器可位于DMZ子网之内和/或公司防火墙之后。
WLAN iOS设备开箱即可安全连接到企业或来宾WLAN网络,这使用户可以快速、轻松地加入可用的无线网络,而无论他们是处于园区内还是路途之中。
加入WLAN用户可以将iOS设备设置成自动加入可用的WLAN网络。
对于需要提供登录凭证或其他信息的WLAN网络,无需从WLAN设置或“邮件”等app中打开单独的浏览器会话,即可快速进行访问。
凭借低能耗的持久WLAN连接,各种app可使用WLAN网络推送通知。
WPA2企业级iOS支持符合行业标准的无线网络协议,包括WPA2企业级协议,确保能够从iOS设备安全地访问企业无线网络。
WPA2企业级使用128位AES加密,这是一种可靠的、基于块的加密方法,可为用户提供最高级别的数据保护。
由于iOS支持802.1X,因此可以集成到广泛的RADIUS鉴定环境中。
iOS支持的802.1X无线鉴定方法包括EAP-TLS、EAP-TTLS、EAP-FAST、PEAPv0、PEAPv1和LEAP。
!
国际版本
6 iOS部署技术参考指南 漫游iOS支持802.11k和802.11r,可在大型企业WLAN网络上漫游。
802.11k利用接入点的报告帮助iOS设备在WLAN接入点之间切换,而802.11r则可在设备于接入点间切换时简化802.1X鉴定。
为快速完成设置和部署,支持使用配置描述文件或MDM配置无线网络、安全、代理和鉴定 设置。
虚拟专用网络 使用成熟的行业标准虚拟专用网络(VPN)协议,可在iOS中安全地访问专用公司网络。
iOS开箱即支持CiscoIPSec、L2TPoverIPSec和PPTP。
如果你所在的组织支持上述某个协议,则无需额外的网络配置或第三方app即可将iOS设备连接至VPN。
此外,iOS还支持主流VPN提供商的SSLVPN。
用户只需从AppStore下载由其中一家公司开发的VPN客户端app,即可开始使用。
SSLVPN与iOS中支持的其他VPN协议一样,既可在设备上手动配置,也可以通过配置描述文件或MDM进行配置。
iOS支持行业标准技术,例如IPv6、代理服务器和隧道分离,可在连接至公司网络时提供丰富的VPN体验。
iOS还兼容多种鉴定方法,包括密码、双因素令牌和数字证书。
对于基于证书进行鉴定的环境,iOS提供了VPNOnDemand来简化连接过程,该功能可在需要连接至指定的域时发起VPN会话。
通过iOS7,可将每个app配置为独立于设备上的其他app使用VPN连接。
这样可以确保公司数据始终通过VPN连接传输,而其他数据(例如员工从AppStore获得的个人app) 则不然。
有关详细信息,请参阅本章后文中的“为App单独设置VPN”。
支持的协议和鉴定方法SSLVPN。
支持使用密码、双因素令牌和证书进行用户鉴定。
CiscoIPSec。
支持使用密码、双因素令牌进行用户鉴定,以及使用共享密钥和证书进行机器鉴定。
L2TPoverIPSec。
支持使用MS-CHAPv2密码、双因素令牌进行用户鉴定,以及使用共享密钥进行机器鉴定。
PPTP。
支持使用MS-CHAPv2密码和双因素令牌进行用户鉴定。
SSLVPN客户端某些SSLVPN提供商创建了专门的app,用来帮助配置iOS设备,以便与他们的解决方案结合使用。
要配置设备以使用特定的解决方案,可安装配套的app,也可以提供包含必要设置的配置描述文件。
SSLVPN解决方案包括:•JuniperJunosPulseSSLVPN。
iOS支持包含JuniperNetworksIVEpackage7.0和更 高版本的JuniperNetworksSASeriesSSLVPNGateway6.4或更高版本。
要进行配置,请安装JunosPulseapp,该app可从AppStore获取。
有关更多信息,请参阅JuniperNetworks应用程序说明。
国际版本
7 iOS部署技术参考指南 •F5SSLVPN。
iOS支持F5BIG-IPEdgeGateway、essPolicyManager和FirePassSSLVPN解决方案。
要进行配置,请安装F5BIG-IPEdgeClientapp,该app可从AppStore获取。
有关更多信息,请参阅F5技术简介保护iPhone访问公司Web应用程序时的安全。
•ArubaNetworksSSLVPN。
iOS支持ArubaNetworksMobilityController。
要进行配置,请安装ArubaNetworksVIAapp,该app可从AppStore获取。
如需获取联系信息,请访问ArubaNetworks网站。
•SonicWALLSSLVPN。
iOS支持10.5.4版或更高版本的SonicWALLAventallE-ClassSecureRemoteess设备、5.5版或更高版本的SonicWALLSRA设备,以及SonicWALLNext-GenerationFirewall设备(包括运行SonicOS5.8.1.0或更高版本的TZ、NSA和E-ClassNSA)。
要进行配置,请安装SonicWALLMobileConnectapp,该app可从AppStore获取。
如需获取联系信息,请访问SonicWALL网站。
•CheckPointMobileSSLVPN。
iOS支持包含完全第3层VPN隧道的CheckPointSecurityGateway。
要进行配置,请安装CheckPointMobileapp,该app可从AppStore获取。
•OpenVPNSSLVPN。
iOS支持OpenVPNessServer、PrivateTunnel和OpenVPNCommunity。
要进行配置,请安装OpenVPNConnectapp,该app可从AppStore获取。
•PaloAltoNetworksGlobalProtectSSLVPN。
iOS支持PaloAltoNetworks的GlobalProtect网关。
要进行配置,请安装GlobalProtectforiOSapp,该app可从AppStore获取。
•CiscoAnyConnectSSLVPN。
iOS支持运行软件镜像8.0
(3).1或更高版本的CiscoAdaptiveSecurityAppliance(ASA)。
要进行配置,请安装CiscoAnyConnectapp, 该app可从AppStore获取。
VPN设置指南 CiscoIPSec设置指南参考这些指南可配置CiscoVPN服务器,以便与iOS设备结合使用。
iOS支持CiscoASA5500SecurityAppliances和CiscoPIXFirewalls(软件版本为7.2.x或更高)。
建议使用最新的8.0.x软件版本(或更高版本)。
iOS也支持IOS版本为12.4(15)T或更高的CiscoIOSVPN路由器。
VPN3000系列集中器不支持iOSVPN功能。
代理设置在进行所有这些配置时,还可以指定VPN代理。
要为所有连接配置单一代理,请使用“手动” 设置,提供地址、端口,并在必要时进行鉴定。
要使用PAC或WPAD为设备提供自动代理配置文件,请使用“自动”设置。
对于PAC,请指定PAC文件的URL。
对于WPAD,iOS将在 !
DHCP和DNS中查询适当的设置。
国际版本
8 iOS部署技术参考指南 鉴定方式iOS支持以下鉴定方式:•预共享密钥IPSec鉴定,通过xauth进行用户鉴定。
•利用客户端和服务器证书进行IPSec鉴定,可选择通过xauth进行用户鉴定。
•混合鉴定,服务器提供证书,客户端提供预共享密钥,进行IPSec鉴定。
用户鉴定必须通过 xauth进行。
•用户鉴定通过xauth提供,包括以下鉴定方式: –用户名和密码–RSASecurID–CRYPTOCard 鉴定群组CiscoUnity协议根据一组常见鉴定参数及其他参数,使用鉴定群组来分组用户。
应当为iOS用户创建一个鉴定群组。
对于预共享密钥鉴定和混合鉴定,群组名称必须在设备上配置,并且使用群组的共享密钥(预共享密钥)作为群组密码。
使用证书鉴定时,不会使用任何共享密钥。
用户的群组根据证书中的栏位来确定。
Cisco服务器设置可用于将证书中的栏位对应到用户群组。
在ISAKMP优先级列表中,RSA-Sig应该拥有最高优先级。
证书设置和安装证书时,请确定符合以下要求: 服务器身份证书的主体备用名称(SubjectAltName)栏必须包含服务器的DNS名称和/或IP地址。
设备使用此信息来验证证书是否属于服务器。
为了获得更高的灵活性,可以使用通配符来指定SubjectAltName,以达到按名称段匹配的目的,如vpn.*。
如果未指定SubjectAltName,可以将DNS名称放在通用名称栏中。
为服务器证书签名的CA证书需要安装在设备上。
如果该证书不是根证书,请安装信任链的剩余部分以便证书得到信任。
如果使用客户端证书,请确保为客户端证书签名的可信CA证书已安装在VPN服务器上。
使用基于证书的鉴定时,请确保服务器已设置为根据客户端证书中的栏位来识别用户的群组。
证书和证书颁发机构必须有效(例如,未过期)。
不支持通过服务器发送证书链,应该关闭此功能。
!
国际版本
9 iOS部署技术参考指南 IPSec设置使用以下IPSec设置:•模式。
隧道模式•IKE交换模式。
“积极模式”(适用于预共享密钥鉴定和混合鉴定)或“主模式”(适用于 证书鉴定)。
•加密算法。
3DES、AES-128、AES-256。
•鉴定算法。
HMAC-MD5、HMAC-SHA1。
•Diffie-Hellman群组。
预共享密钥鉴定和混合鉴定需要群组
2。
对于证书鉴定,请配合 3DES和AES-128使用群组
2。
配合AES-256使用群组2或群组
5。
•PFS(完全正向保密)。
对于IKE阶段
2,如果使用PFS,则Diffie-Hellman群组必须与用 于IKE阶段1的群组相同。
•模式配置。
必须启用。
•失效同层检测。
推荐。
•标准NAT遍历。
受支持并且可以启用(不支持IPSecoverTCP)。
•负载均衡。
受支持且可以启用。
•阶段1的密钥更新。
当前不受支持。
建议将服务器上的密钥更新时间设定为一小时。
•ASA地址掩码。
确保所有设备地址池掩码都未设定或都设定为255.255.255.255。
例如:asa(config-webvpn)#iplocalpoolvpn_users10.0.0.1-10.0.0.254mask255.255.255.255。
如果使用建议的地址掩码,则可能会忽略VPN配置所采用的某些路由。
若要避免发生这种情况,请确保路由表包含所有必要的路由,并且验证子网地址可以访问,然后再进行部署。
支持的其他功能•应用程序版本。
客户端软件版本会被发送到服务器,使服务器能够根据设备的软件版本接受 或拒绝连接。
•横幅。
横幅(如果是在服务器上配置的)会显示在设备上,用户必须接受它,否则会断开 连接。
•分离隧道。
支持分离隧道。
•分离DNS。
支持分离DNS。
•默认域。
支持默认域。
!
国际版本 10 iOS部署技术参考指南 VPNOnDemandVPNOnDemand可使iOS自动建立安全连接,无需用户干预。
系统会按照配置描述文件中定义的规则,在需要时启动VPN连接。
在iOS7中,VPNOnDemand通过配置描述文件的VPN有效负载中的OnDemandRules键配置。
系统分两个阶段应用规则:•网络检测阶段。
定义当设备的主要网络连接发生更改时适用的VPN要求。
•连接计算阶段。
定义根据需要向域名发起连接请求时的VPN要求。
例如,规则可用于:•识别因iOS设备连接至内部网络而不需要VPN的情况。
•识别因使用未知WLAN网络而需要对所有网络活动采取VPN的情况。
•在针对指定域名的DNS请求失败后要求使用VPN。
网络检测阶段当设备的主要网络接口发生变化时,例如当iOS设备切换至不同的WLAN网络或者从WLAN切换至蜂窝网络时,将对VPNOnDemand规则进行计算。
如果主要接口为虚拟接口,例如VPN接口,将忽略VPNOnDemand规则。
只有当每个组(字典)中的匹配规则全部匹配时,才会执行关联的操作;如果有任何一项规则不匹配,将对列表中的下一个字典进行计算,直至抵达OnDemandRules列表末尾。
最后一个字典应定义“默认”配置,即没有对应的规则,只有操作。
这将找出没有与之前的规则匹配的所有连接。
连接计算阶段VPN可基于对某些域的连接请求按需触发,而不是基于网络接口单方面断开或连接VPN。
按需匹配规则指定以下一个或多个匹配规则:•InterfaceTypeMatch。
可选。
WLAN或蜂窝的字符串值。
如果指定此规则,则当主要接口 硬件为指定的类型时,即与此规则匹配。
•SSIDMatch。
可选。
要基于当前网络匹配的SSID列表。
如果网络不是WLAN网络,或者 其SSID未显示在列表中,则匹配失败。
如果省略此键及其列表,将忽略SSID。
•DNSDomainMatch。
可选。
搜索域字符串列表。
如果为当前主要网络配置的DNS搜索域 包括在此列表中,将与此属性匹配。
支持通配符前缀(*);例如*将与 !
匹配。
国际版本 11 iOS部署技术参考指南 •DNSServerAddressMatch。
可选。
DNS服务器地址字符串列表。
如果当前为主要接口配置的所有DNS服务器地址都位于列表中,则将与此属性匹配。
支持通配符(*);例如1.2.3.*将与带有1.2.3.前缀的任何DNS服务器匹配。
•URLStringProbe。
可选。
要探查其可访问性的服务器。
不支持重定向。
URL应当为可信的HTTPS服务器。
设备会发送GET请求来验证是否可以访问该服务器。
Action此键定义当指定的所有匹配规则都计算为真时的VPN行为。
此为必选键。
Action键的值 包括:•Connect。
在下一次尝试建立网络连接时无条件启动VPN连接。
•Disconnect。
断开VPN连接,不按需触发任何新的连接。
•Ignore。
保留任何现有的VPN连接,但不按需触发任何新的连接。
•Allow。
对于配备iOS6或更低版本的iOS设备。
请参阅本节后文中的“向后兼容性说明”。
•EvaluateConnection。
对每次连接尝试计算ActionParameters。
使用此值时,需要通过 键ActionParameters(见下文)指定计算规则。
ActionParameters具有如下所述的键的字典列表,按键的显示顺序计算。
当Action为EvaluateConnection时,此为必选键。
•Domains。
必选。
定义此计算规则适用的域的字符串列表。
支持通配符前缀,例如*。
•DomainAction。
必选。
定义Domains的VPN行为。
DomainAction键的值包括:–ConnectIfNeeded。
如果对Domains的DNS解析失败,例如DNS服务器指示其不能解析域名、DNS响应遭到重定向或者连接失败或超时,将触发VPN。
–NeverConnect。
不对Domains触发VPN。
当DomainAction为ConnectIfNeeded时,还可以在连接计算字典中指定以下键:•RequiredDNSServers。
可选。
要用于解析Domains的DNS服务器的IP地址列表。
这些服务器不必是设备当前网络配置的一部分。
如果无法访问这些DNS服务器,将触发VPN。
请配置内部DNS服务器或可信的外部DNS服务器。
•RequiredURLStringProbe。
可选。
要使用GET请求探查的HTTP或HTTPS(首选)URL。
!
如果对此服务器的DNS解析成功,则探查也一定会成功。
如果探查失败,将触发VPN。
国际版本 12 iOS部署技术参考指南 向后兼容性说明在iOS7之前,域触发规则通过名为OnDemandMatchDomainAlways、OnDemandMatchDomainOnRetry和OnDemandMatchDomainNever的域的列表 配置。
iOS7仍然支持OnRetry和Never情形,尽管它们已被EvaluateConnection操 作取代。
要创建同时适用于iOS7和更早版本的描述文件,除了使用OnDemandMatchDomain列表外,还要使用新的EvaluateConnection键。
iOS的先前版本无法识别EvaluateConnection并将使用旧的列表,iOS7和更高版本将使用EvaluateConnection。
指定Allow操作的旧配置描述文件仍适用于iOS7,但OnDemandMatchDomainsAlways域除外。
为App单独设置VPN iOS7新增了基于app建立VPN连接的功能。
通过这种方式,可以更精确地控制哪些数据可以通过VPN,哪些则不能如此。
采用设备级VPN时,所有数据都通过专用网络传输,而不论其来自何处。
随着组织中使用的个人自有设备越来越多,为App单独设置VPN可为供内部使用的app提供安全的网络连接,同时保护个人设备活动的隐私。
通过为App设置单独的VPN,可使每个处于移动设备管理(MDM)范围内的app通过安全隧道与专用网络通信,同时禁止设备上未处于管理范围内的其他app使用专用网络。
此外,对于处于管理范围内的每个app,可以配置不同的VPN连接以进一步保护数据安全。
例如,销售报价app可使用完全不同于应付帐款app的数据中心,而用户的个人Web浏览通信则使用公共互联网。
这种在app层分离通信的功能为分离个人数据和组织数据创造了条件。
要为App设置单独的VPN,app必须由MDM管理并使用标准iOS网络API。
为App设置单独的VPN时,需要通过MDM配置来指定哪些app和Safari域可以使用此设置。
有关MDM的更多信息,请参阅“第3章:配置和管理”。
单点登录(SSO) 在iOS7中,app可通过Kerberos利用现有的企业内部单点登录基础架构。
通过单点登录,用户只需输入一次密码,因而有助于改善用户体验。
它还可以确保从不无线传送密码,从而提高日常使用app的安全性。
iOS7使用的Kerberos鉴定系统属于行业标准,是世界上部署最广泛的单点登录技术。
如果你配置了ActiveDirectory、eDirectory或OpenDirectory,则可能已有Kerberos系统可供iOS7使用。
为了进行用户鉴定,iOS设备需要能够通过网络连接联系Kerberos服务。
!
国际版本 13 iOS部署技术参考指南 支持的app对于使用NSURLConnection或NSURLSession类来管理网络连接和鉴定的app,iOS提供灵活的Kerberos单点登录(SSO)支持。
Apple向所有开发人员提供这些高级框架,以便他们将网络连接无缝集成到自己的app中。
为帮助你入门,Apple还以Safari为例说明如何在本机使用支持SSO的网站。
配置SSO单点登录通过配置描述文件进行配置,这些描述文件可以手动安装,也可以通过MDM管理。
SSO帐户有效负载允许进行灵活的配置。
SSO可向所有app开放,也可以按app标识符和/或服务URL进行限制。
在URL匹配方面,采用简单模式匹配,URL必须以http://或https://开头。
系统会基于整个URL进行匹配,因此请确保它们完全相同。
例如,值为/的URLPrefixMatches将不会与:443/匹配。
你可以指定http://或https://来仅对安全或常规HTTP服务使用SSO。
例如,使用值为https://的URLPrefixMatches将只能对安全的HTTPS服务使用SSO。
如果URL匹配模式不是以斜杠(/)结尾,则在其末尾追加斜杠(/)。
AppIdentifierMatches列表必须包含与app捆绑包ID匹配的字符串。
这些字符串可以是完全匹配项(例如pany.myapp),也可以通过使用通配符(*)指定与捆绑包ID匹配的前缀。
通配符必须位于句点字符(.)之后,并且只能位于字符串末尾(例如pany.*)。
在使用通配符的情况下,捆绑包ID以此前缀开头的任何app都将可以访问帐户。
数字证书 数字证书是一种身份识别形式,支持简化的鉴定、数据完整性和加密。
数字证书由公钥、有关用户的信息和颁发证书的证书颁发机构组成。
iOS支持数字证书,从而使组织可以安全、简便地访问企业服务。
证书有多种用途。
使用数字证书为数据签名有助于确保信息无法改动。
证书还可用于确保作者或“签名者”身份的真实性。
此外,可以使用证书对配置描述文件和网络通信进行加密,从而进一步保护机密或隐私信息。
例如,Safari浏览器可以检查X.509数字证书的有效性,并使用最多256位的AES加密建立安全会话。
这可以确保网站的身份合法,且与网站的通信受到保护,从而避免个人或机密数据遭到拦截。
!
国际版本 14 支持的证书和身份格式: •iOS支持带有RSA密钥的X.509证书。
•可以识别的文件扩展名包括.cer、.crt、.der、 .p12和.pfx。
iOS部署技术参考指南 在iOS中使用证书 根证书iOS开箱即提供一系列预安装的根证书。
有关更多信息,请参阅此Apple支持文章中的列表。
一旦任何预安装的根证书遭到破坏,iOS可无线更新证书。
要停用此功能,可限制无线更新证书的操作。
如果你使用的根证书并非预安装的证书,例如由你所在的组织创建的自签名根证书,则可以使用下列方式之一进行分发。
分发和安装证书将证书分发至iOS设备的操作非常简单。
收到证书后,用户只需轻按即可查看内容,然后再次轻按即可将此证书添加到他们的设备。
安装身份证书时,系统将提示用户输入可对此证书进行保护的密码。
如果无法验证证书的真实性,则将其显示为不可信证书,用户可决定是否仍要将其添加到自己的设备中。
通过配置描述文件安装证书如果使用配置描述文件分发企业服务(例如Exchange、VPN或WLAN)的设置,则可将证书添加到描述文件中来简化部署。
这包括通过MDM分发证书的功能。
通过“邮件”或Safari安装证书如果证书是通过电子邮件发送的,它将显示为附件。
还可以使用Safari从网页中下载证书。
你可以将证书托管在安全的网站上,并向用户提供URL,以便他们将证书下载到自己的设备上。
删除和撤销证书要手动删除已经安装的证书,请选择“设置”>“通用”>“描述文件”,然后选择要删除的相应证书。
如果用户删除的证书是访问帐户或网络所必需的,设备将无法再连接到这些服务。
通过移动设备管理服务器可以查看设备上的所有证书,以及删除其中已安装的任何证书。
此外,支持通过在线证书状态协议(OCSP)和CRL(证书撤销清单)协议来检查证书的状态。
使用支持OCSP或CRL的证书时,iOS会定期对证书进行验证,确保它没有被撤销。
Bonjour Bonjour是Apple基于标准的零配置网络协议,可帮助设备找到网络上的服务。
iOS设备使用Bonjour发现兼容AirPrint的打印机和兼容AirPlay的设备。
某些对等app也需要使用Bonjour。
你需要确保网络基础架构和Bonjour都得到正确配置,才能使二者配合工作。
iOS7.1设备还将通过蓝牙查找AirPlay来源。
!
有关Bonjour的更多信息,请参阅此Apple网页。
国际版本 15 支持下列密码策略:•要求设备密码•要求字母数字值•最短的密码长度•必须包含的复杂字符的最少数目•密码的最长有效期•自动锁定前的时间•密码历史记录•设备锁定宽限期•最多可允许的尝试失败次数 第2章: 安全 iOS部署技术参考指南 !
iOS设有多个安全层。
这种设计使iOS设备能够安全地访问网络服务和保护重要数据。
iOS对传输中的数据进行强加密,采用切实有效的鉴定方法访问企业服务,并对所有静态数据进行硬件加密。
iOS还使用可无线传递和强制实施的密码策略来提供安全保护。
如果设备落入不法之徒手中,用户和IT管理员可以启动远程擦除命令擦除私人信息。
当考虑在企业中使用iOS的安全防护功能时,了解以下概念会很有帮助:•设备控制。
防止未经授权使用设备的方法•加密和数据保护。
保护静态数据的安全,即使设备丢失或被盗时也不例外•网络安全。
传输中数据的网络协议和加密•App安全。
支持app安全运行而不损害平台的完整性•互联网服务。
Apple基于网络的通信、同步和备份基础架构这些功能协同工作,提供安全的移动计算平台。
设备安全 制定强有力的iOS访问策略对于保护企业信息至关重要。
设备密码是防止未授权访问的第一道防线,可进行无线配置和强制执行。
iOS设备使用每位用户设立的唯一密码生成强大的加密密钥,进一步保护设备上的邮件和敏感的应用程序数据。
此外,iOS提供了一系列安全的方法用于在IT环境中配置设备,该环境必须已配置特定的设置、策略和限制。
通过选择这些方法,可以灵活地为授权用户设立标准保护级别。
密码策略设备密码可防止未经授权的用户访问数据或以其他方式使用设备。
iOS允许你根据自己的安全 !
!
需求从大量的密码策略中进行选择,这些策略包括超时时间、密码强度和必须更换密码的频率。
国际版本 16 iOS部署技术参考指南 策略强制执行策略可纳入配置描述文件并分发给用户安装。
描述文件可采取特殊的定义方式,以便只有在提供管理密码的情况下才能将其删除,或者将描述文件绑定到设备,不完全擦除设备内容就无法将其删除。
此外,密码设置可使用能够直接向设备推送策略的移动设备管理(MDM)解决方案进行配置。
这样,用户无需执行任何操作,即可强制执行和更新策略。
如果设备配置为访问MicrosoftExchange帐户,则向设备无线推送ExchangeActiveSync策略。
可用的策略集因ExchangeActiveSync和ExchangeServer的版本而异。
如果同时存在Exchange策略和MDM策略,将应用较为严格的那一种策略。
安全的设备配置配置描述文件是XML文件,其中包含下列内容:设备安全策略和限制、VPN配置信息、WLAN设置、电子邮件和日历帐户,以及可使iOS设备与IT系统结合使用的鉴定凭证。
这种在配置描述文件中设立密码策略和设备设置的功能,可确保按照IT部门制定的安全标准正确配置组织中的设备。
此外,由于配置描述文件可以加密和锁定,因此这些设置无法被删除、篡改或与他人共享。
配置描述文件可以同时进行签名和加密。
通过对配置描述文件签名,可确保不能以任何方式篡改它所强制执行的设置。
通过加密配置描述文件,可保护描述文件的内容,并只允许将其安装在既定的目标设备上。
配置描述文件采用支持3DES和AES-128的CMS(加密消息语法RFC3852)进行加密。
首次分发经过加密的配置描述文件时,可使用AppleConfigurator通过USB安装,或者使用无线描述文件传送和配置协议或MDM无线安装。
后续加密的配置描述文件可通过电子邮件附件传送、托管在可供用户访问的网站上,或者推送至使用MDM解决方案的设备上。
有关更多信息,请参阅iOS开发人员资料库网站上的无线描述文件传送和配置协议。
设备限制设备限制可决定用户能够在设备上访问哪些功能。
通常,这些功能涉及支持网络的应用程序,例如Safari、YouTube或iTunesStore,但限制还可以控制诸如app安装或摄像头使用之类的设备功能。
通过限制可按照自身要求配置设备,同时允许用户按照组织的策略使用设备。
你可以在每台设备上手动配置限制、使用配置描述文件强制执行限制,或者通过MDM解决方案远程设立限制。
此外,与密码策略一样,可通过MicrosoftExchangeServer2007和2010强制执行摄像头或Web浏览限制。
限制还可用于防止邮件在不同的帐户之间迁移,或者在一个帐户中收到的邮件被转发给另一个帐户。
有关支持的限制的信息,请参阅附录
B。
!
国际版本 17 iOS部署技术参考指南 加密和数据保护 对于包含敏感信息的任何环境而言,保护iOS设备上存储的数据都至关重要。
除了对传输中的数据进行加密外,iOS设备还对设备上存储的所有数据提供硬件加密,并对电子邮件和应用程序数据提供额外加密,以增强数据保护。
加密iOS设备采用基于硬件的加密。
硬件加密使用256位AES来保护设备上的所有数据。
加密始终处于启用状态,无法停用。
此外,还可以加密iTunes中备份到用户电脑中的数据。
该功能可由用户启用或通过配置描述文件中的设备限制设置强制执行。
iOS还在邮件中支持S/MIME,让用户可以查看和发送加密的电子邮件。
经验证,iOS7和iOS6中的加密模块符合美国联邦信息处理标准(FIPS)140-2级别
1。
这证明,在使用iOS加密服务的Appleapp和第三方app中,加密操作具有完整性。
有关更多信息,请参阅iOS产品安全性:验证和指导和iOS7:AppleFIPSiOS加密模块v4.0。
数据保护存储在设备上的电子邮件和附件可通过使用iOS内置的数据保护功能获得进一步的保护。
数据保护利用每个用户唯一的设备密码和iOS设备上的硬件加密生成强大的加密密钥。
此密钥可在设备被锁定时禁止访问数据,即使在设备被盗的情况下也能确保重要信息的安全。
要打开数据保护功能,只需在设备上设置一个密码即可。
数据保护的有效性取决于密码强度, 因此在建立密码策略时,必须要求并强制使用超过四位数的密码,这一点至关重要。
用户可以通过查看密码设置屏幕来验证是否已在设备上启用了数据保护。
移动设备管理解决方案也能从设备上查询此信息。
数据保护API还向开发人员开放,并可用于保护AppStoreapp或定制开发的企业内部app中的数据安全。
从iOS7开始,应用程序存储的数据在默认情况下属于“在首次用户鉴定之前提供保护”安全级别,这与台式机上的完整磁盘加密类似,可保护数据免遭涉及重新启动的攻击。
注:如果设备自iOS6升级而来,原来存储的数据不会转换为这一新级别。
通过删除并重新安装app,可使app获得新的安全级别。
TouchIDTouchID是iPhone5s中内置的指纹感应系统,有助于更快、更轻松地对设备进行高度安全的访问。
此前瞻性技术可从任意角度读取指纹,感应器会在每次使用时识别更多重叠的节点,从而不断扩展指纹图,逐步加深对用户指纹的认识。
TouchID让使用更长、更复杂的密码变得更加实际,因为用户无需经常输入密码。
TouchID还克服了基于密码进行锁定的不便,它并不取代密码锁定机制,而是允许在精心设计的边界和 !
限制内安全地访问设备。
国际版本 18 iOS部署技术参考指南 启用TouchID后,iPhone5s会在按下“睡眠/唤醒”按钮时立即锁定。
在仅使用密码的安全机制下,许多用户设置解锁宽限期,以免每次使用设备时都输入密码。
借助TouchID,iPhone5s每次进入睡眠模式时都会锁定,而每次唤醒时都需要提供指纹,也可以选择提供 密码。
TouchID可与SecureEnclave配合使用,后者是AppleA7芯片中的协处理器。
SecureEnclave拥有自己的内存空间(已加密和保护),并能够与TouchID感应器安全通信。
当iPhone5s锁定时,将使用SecureEnclave加密内存中的密钥保护数据保护级别为“完全”的密钥。
该密钥最长存放48小时,如果重新启动iPhone5s或者使用五次无法识别的指纹,将丢弃该密钥。
如果可以识别指纹,SecureEnclave将提供用于释放数据保护密钥的密钥,从而使设备得到解锁。
远程擦除iOS支持远程擦除。
如果设备丢失或被盗,管理员或设备所有者可发出远程擦除命令,该命令将删除所有数据并禁用该设备。
如果设备使用Exchange帐户进行配置,则管理员可使用ExchangeManagementConsole(ExchangeServer2007)或ExchangeActiveSyncMobileAdministrationWebTool(ExchangeServer2003或2007)启动远程擦除命令。
ExchangeServer2007用户还可以使用OutlookWebess直接启动远程擦除命令。
远程擦除命令还可以通过MDM解决方案或使用iCloud的“查找我的iPhone”功能发起,即使没有使用Exchange企业服务,也不例外。
本地擦除设备还可配置为在若干次密码输入尝试失败后,自动启动本地擦除。
这可以防止强力侵入设备的尝试。
设立密码后,用户可以在设置中直接启用本地擦除。
默认情况下,iOS会在10次输入密码失败后自动擦除设备。
与其他密码策略一样,最大失败尝试次数可通过配置描述文件或MDM设定,或者通过MicrosoftExchangeActiveSync策略以无线方式强制执行。
“查找我的iPhone”和激活锁如果设备丢失或被盗,则停用设备和抹掉设备上的数据非常重要。
在iOS7中,如果启用了“查找我的iPhone”,则必须输入所有者的AppleID凭证,才能重新激活设备。
对于机构拥有的设备,最好实施监督,或者设立策略供用户停用此功能,以免“查找我的iPhone”妨碍组织将设备分配给其他人使用。
在iOS7.1或更高版本中,某个用户开启“查找我的iPhone”时,你可以使用兼容的MDM解决方案来启用激活锁。
在激活锁启用后,你的MDM解决方案会存储一个绕过码,之后如需抹掉设备上的数据并将其部署给新用户时,可使用该代码自动清除激活锁。
请参阅MDM解决方案文档以了解详细信息。
有关“查找我的iPhone”和激活锁的更多信息,请参阅iCloud支持和移动设备管理和“查找我的iPhone”激活锁。
国际版本 19 网络安全•内置CiscoIPSec、L2TP、PPTPVPN•通过AppStoreapp的SSLVPN•采用X.509证书的SSL/TLS•采用802.1X的WPA/WPA2企业级协议•基于证书的鉴定•RSASecurID、CRYPTOCard VPN协议•CiscoIPSec•L2TP/IPSec•PPTP•SSLVPN 鉴定方式•密码(MSCHAPv2)•RSASecurID•CRYPTOCard•X.509数字证书•共享密钥 802.1X鉴定协议•EAP-TLS•EAP-TTLS•EAP-FAST•EAP-SIM•PEAPv0、v1•LEAP 支持的证书格式iOS支持带有RSA密钥的X.509证书。
可以识别的文件扩展名包括.cer、 .crt和.der。
iOS部署技术参考指南 网络安全 移动用户必须可以在世界的任何地方都能访问公司的网络信息,但是确保用户已获得授权并且数据在传输过程中受到保护也是非常重要的。
iOS提供久经验证的技术,可在WLAN和蜂窝数据网络连接中实现这些安全目标。
除了现有的基础架构,每一次FaceTime会话和iMessage对话也都进行了端到端加密。
iOS为每位用户创建一个唯一的ID,确保通信已正确地加密、路由和连接。
VPN许多企业环境都设有某种形式的虚拟专用网络(VPN)。
这些安全网络服务已经过部署,通常只需要很少的设置和配置就能与iOS配合使用。
iOS开箱即可与多种常用的VPN技术相集成。
有关详细信息,请参阅第1章中的“虚拟专用网络”。
SSL/TLSiOS支持SSLv3和传输层安全(TLSv1.0、1.1和1.2)。
Safari、“日历”、“邮件”和其他互联网应用程序会自动启动这些机制,在iOS和企业服务之间形成加密的通信渠道。
WPA/WPA2iOS支持WPA2企业级网络,以便通过鉴定方式访问你的企业无线网络。
WPA2企业级采用128位AES加密,为用户提供最高级别的保障,在用户通过WLAN网络连接发送和接收通信时,使其数据始终处于保护之下。
由于支持802.1X,iPhone和iPad可以集成到广泛的RADIUS鉴定环境中。
App安全 iOS以确保安全为核心设计宗旨。
它以沙箱方式进行应用程序运行时保护和应用程序签名,可确保app不会遭到篡改。
iOS还提供了一个框架,有助于将应用程序和网络服务凭证安全存放在一个加密的存储位置(称为钥匙串)。
对于开发人员,它提供了通用加密架构,可用于 加密应用程序数据存储。
运行时保护设备上的app都在沙箱模式下运行,可限制其访问由其他app存储的数据。
此外,系统文件、资源和内核会与用户的应用程序空间保持屏蔽。
如果某个app需要访问来自其他app的数据,它只能使用iOS提供的API和服务来完成此操作。
这还可以防止生成代码。
强制代码签名所有iOSapp都必须经过签名。
设备附带的app由Apple签名。
第三方app由开发者使用Apple颁发的证书进行签名。
这可确保app未被篡改或更改。
此外,还会执行运行时检查, !
确保app自上次使用后仍然可信。
国际版本 20 iOS部署技术参考指南 对于自定开发的企业内部app,可使用预置描述文件来控制其使用。
用户必须安装预置描述文件才能执行应用程序。
预置描述文件可通过MDM解决方案以无线方式安装。
管理员还可以只允许特定的设备使用应用程序。
安全的鉴定框架iOS提供安全、加密的钥匙串来存储数字身份、用户名和密码。
钥匙串数据是分区的,以使第三方app存储的凭证不会被使用其他身份的app访问。
这为企业内iOS设备上的一系列应用程序和服务的鉴定凭证提供了保护机制。
通用加密架构应用程序开发人员可访问加密API,用来进一步保护其数据。
它可使用AES、RC4或3DES等经过验证的方法进行对称加密。
此外,iOS设备对AES加密和SHA1哈希提供硬件加速,可最大限度地提高应用程序的性能。
应用程序数据保护App也可利用iOS设备内置的硬件加密以进一步保护敏感的应用程序数据。
开发者可以指定 要进行数据保护的具体文件,要求系统在设备锁定时将该文件的内容加密,app和任何潜在入侵者都不得访问。
App授权默认情况下,iOSapp仅具有非常有限的权限。
开发人员必须明确添加授权才能使用iCloud、后台处理或共享钥匙串等大部分功能。
这可以确保app无法为自己授予本来不具备的数据访问权限。
此外,iOSapp在使用许多iOS功能(例如GPS定位、用户通讯录、摄像头或存储的照片)之前,必须得到用户的明确准许。
互联网服务 Apple构建了一系列强大的服务来帮助用户更充分地使用设备并提高工作效率,其中包括iMessage、FaceTime、Siri、iCloud、iCloud云备份和iCloud钥匙串。
这些互联网服务在设计上继承了iOS在整个平台中推行的安全目标。
这些目标包括:安全处理数据,无论数据存储在设备上还是在通过无线网络进行传输;保护用户的个人信息;防范威胁,阻止对信息和服务进行恶意或未经授权的访问。
每一种服务都采用自己强大的安全架构,丝毫不会影响iOS的整体易用性。
iMessageiMessage1是一种适用于iOS设备和Mac电脑的通信服务。
iMessage支持文本和附件, 例如照片、通讯录和位置。
信息显示在用户注册的所有设备上,用户可使用任一设备继续之前的谈话。
iMessage大量使用Apple推送通知服务(APN)。
iMessage采用端到端加密方式,只有发送和接收设备知道密钥。
Apple无法对信息解密,也不会记录这些信息。
!
国际版本 21 iOS部署技术参考指南 FaceTimeFaceTime2是Apple的视频和音频呼叫服务。
FaceTime通话使用Apple推送通知服务建立初始连接,然后使用互联网连接设立(ICE)和会话启动协议(SIP)创建加密的数据流。
Siri用户只需自然发声即可通过Siri3发送信息、安排会议、拨打电话及执行其他操作。
Siri采用语音识别、文本语音转换以及“客户端-服务器”模式,可响应多种请求。
Siri支持的任务经过专门设计,可确保只使用尽可能少的个人信息,并对这些信息提供全面保护。
Siri的请求和录音都没有可用于识别个人身份的因素,而且Siri功能都尽可能在设备而非服务器上执行。
iCloudiCloud4可以存储音乐、照片、app、日历、文稿等内容,并自动将它们推送至用户的所有设备。
iCloud也可以每天通过WLAN备份信息,包括设备设置、app数据以及短信和彩信。
iCloud通过以下方式来确保内容的安全:通过互联网发送内容时对内容进行加密、以加密方式储存内容以及使用安全令牌进行鉴定。
另外,可以通过配置描述文件停用iCloud功能, 包括照片流、文稿同步和备份。
有关iCloud安全性和隐私政策的更多信息,请参阅iCloud安全性与隐私政策概览。
iCloud云备份iCloud也可以每天通过WLAN备份信息,包括设备设置、app数据以及短信和彩信。
iCloud通过以下方式来确保内容的安全:通过互联网发送内容时对内容进行加密、以加密方式储存内容以及使用安全令牌进行鉴定。
只有当设备已经锁定、连接到电源并且能够通过WLAN访问互联网时,才会发生iCloud云备份。
由于iOS采用独特的加密技术,因此系统经过专门设计,既可保护数据安全,又能进行无人值守式增量备份和还原。
iCloud钥匙串iCloud钥匙串可帮助用户在iOS设备和Mac电脑之间安全地同步密码,而不会将此信息泄露给Apple。
除了强大的隐私和安全性能外,对iCloud钥匙串的设计和架构起到重大影响的其他目标还有易用性,以及恢复钥匙串的能力。
iCloud钥匙串由两项服务构成:钥匙串同步和钥匙串恢复。
在钥匙串同步中,设备只有经过用户批准才能加入同步过程,符合同步条件的每个钥匙串项通过iCloud密钥值存储与每个设备的加密密钥进行交换。
这些项均为临时项,同步完毕后不会留在iCloud中。
钥匙串恢复提供了一条途径,可使用户将其钥匙串交由Apple管理,而不让Apple读取其中包含的密码和其他数据。
即使用户只有一部设备,钥匙串恢复也可以提供安全的网络来防止数据丢失。
当使用Safari为Web帐户生成随机的强大密码时,这一点就特别重要,因为这些密码的唯一记录就存储在钥匙串中。
钥匙串恢复包含两大基本要素:二次鉴定和安全托管服务,后者是Apple专为支持此功能而创建的服务。
用户的钥匙串通过强大的密码加密,只有在满足一组严格的条件时,托管服务才会提供钥匙串的拷贝。
有关安全性的详细信息,请参阅iOS安全指南。
国际版本 22 第3章: 配置和管理 iOS部署技术参考指南 iOS部署可通过一系列管理技术进行简化,这包括简化帐户设置、配置机构策略、分发app和应用设备限制。
用户随后可使用iOS中内置的设置助理自行完成大部分配置工作。
在MDM中配置并注册iOS设备后,即可由IT进行无线管理。
本章介绍如何使用配置描述文件和移动设备管理来支持iOS部署。
设备设置和激活 iOS开箱即允许用户通过iOS中的设置助理来激活设备、配置基本设置并立即开展工作。
除基本设置外,用户还可以自定他们的个人偏好设置,例如语言、位置、Siri、iCloud和“查找我的iPhone”。
通过设置助理,用户还可以创建个人AppleID(如果还没有此ID)。
AppleIDAppleID是一种身份,用于登录各种Apple设备,例如FaceTime、iMessage、iTunes、AppStore、iCloud和iBooksStore。
凭借AppleID,每个用户都可以从iTunesStore、AppStore或iBooksStore安装app、图书和内容。
用户还可以使用AppleID注册iCloud帐户,以便在多部设备上访问和共享内容。
为充分利用这些服务,用户应使用自己的个人AppleID。
如果用户还没有AppleID,可在获得设备之前就创建一个,这样可以尽快地完成配置。
要了解如何注册AppleID,请参阅我的AppleID。
使用AppleConfigurator准备设备对于由IT集中管理而非由各个用户分别设置的设备,AppleConfigurator可用于快速激活设备、定义和应用配置、监管设备、安装app以及将设备更新至最新的iOS版本。
AppleConfigurator是一款适用于OSX的免费应用程序,可从MacAppStore下载。
设备需要通过USB连接至Mac才能执行这些任务。
你还可以将备份还原到设备,这会应用设备设置和主屏幕布局,并安装app数据。
!
国际版本 23 iOS部署技术参考指南 配置描述文件 配置描述文件是XML文件,其中包含下列内容:设备安全策略和限制、VPN配置信息、WLAN设置、电子邮件和日历帐户,以及可使iOS设备与IT系统结合使用的鉴定凭证。
配置描述文件能快速地将设置和授权信息载入到设备上。
有些VPN和WLAN设置只能使用配置描述文件来设定,而且如果你使用的不是MicrosoftExchange,则将需要使用配置描述文件来设定设备密码策略。
配置描述文件可使用无线描述文件传送或通过移动设备管理(MDM)进行分发。
你还可以使用AppleConfigurator将配置描述文件安装在通过USB连接到电脑的设备上,或者通过电子邮件或网页来分发配置描述文件。
当用户在他们的设备上打开电子邮件附件或使用Safari下载描述文件时,会提示他们开始安装过程。
如果你使用的是MDM服务器,则可以分发仅包含服务器配置信息的初始描述文件,然后让设备以无线方式获取所有其他描述文件。
配置描述文件可被加密和签名,这会允许你将它们限制用于特定设备并阻止任何人更改描述文件所含有的设置。
你还可以将描述文件标记为锁定到设备,这样描述文件在安装后就不能移除,除非擦除设备上的所有数据,或者输入密码(可选)。
用户不能更改配置描述文件中提供的设置,除非使用密码。
此外,由描述文件配置的帐户 (如Exchange帐户)只能通过删除相应的描述文件来删除。
有关更多信息,请参阅iOS开发人员资料库网站上的配置描述文件重要参考。
移动设备管理(MDM) iOS具有内置MDM框架,允许第三方MDM解决方案与iOS设备无线交互。
这款轻便框架完全针对iOS设备而设计,功能强大且可以扩展,足以配置和管理一所组织内的所有iOS设备。
有了MDM解决方案,IT管理员可将设备安全融入企业环境中。
不仅能配置和更新设置,监督企业策略的贯彻情况,还可远程擦除或锁定被管理的设备。
iOSMDM为IT提供了一种简便的方式来支持用户对网络服务的访问,同时确保设备得到适当配置,而不论它们归谁所有。
MDM解决方案使用Apple推送通知服务(APN),以通过公共和专用网络与设备持续通信。
MDM需要多个证书才能运行,包括与客户端通信的APN证书和用于安全通信的SSL证书。
MDM解决方案还可以通过证书签署描述文件。
大多数证书(包括APNS证书)必须手动续订。
证书过期后,MDM服务器将无法与客户端通信,直到证书得到更新。
在证书过期之前,请做好更新所有MDM证书的准备。
有关MDM证书的更多信息,请参阅Apple推送证书门户。
国际版本 24 iOS部署技术参考指南 注册注册设备后,将启用编录和资产管理。
注册过程可利用简单证书注册协议(SCEP),它允许iOS设备创建并注册唯一的身份证书,供机构服务进行使用鉴定。
在大多数情况下,用户可决定是否在MDM中注册其设备,并可以随时取消与MDM的关联。
各机构应考虑采取一些激励措施,鼓励用户保持托管状态。
例如,通过使用MDM解决方案自动提供无线凭证,要求完成MDM注册才能访问WLAN网络。
当用户离开MDM时,设备会尝试通知MDM服务器。
配置设备一旦注册,移动设备管理服务器就可以动态配置其设置和策略,此服务器会向设备发送配置描述文件,而设备会以自动和静默的方式安装这些描述文件。
配置描述文件可进行签名、加密和锁定(防止更改或共享设置),从而确保仅允许按照你的具体要求而配置的可信用户和设备访问你的网络和服务。
如果用户将设备与MDM解除关联,则通过MDM安装的所有设置都会被删除。
帐户移动设备管理可自动设置组织用户的邮件和其他帐户,帮助他们更快上手。
根据MDM产品以及与内部系统的集成情况,帐户有效负载还可以预先填充用户的名称、邮件地址以及用于鉴定和签名的证书标识(如果适用)。
MDM可配置以下类型的帐户: •邮件•日历•已订阅的日历•通讯录•ExchangeActiveSync•LDAP托管邮件和日历帐户遵守iOS7中的“托管打开方式”限制。
查询移动设备管理服务器能够查询设备的各种信息。
这包括诸如序列号、设备UDID或WLANMAC地址等硬件信息,以及iOS版本和设备上安装的所有app的详细列表等软件信息。
这些信息可用来帮助确保用户维护一组适当的app。
国际版本 25 iOS部署技术参考指南 命令当设备处于托管状态时,移动设备管理服务器可通过一组特定的操作对其进行管理。
管理任务包括: •更改配置设置。
可发送一个命令,以便在设备上安装新的或更新后的配置描述文件。
配置更改可静默进行,无需与用户进行交互。
•锁定设备。
如果需要立即锁定设备,则可发送一个命令,以便使用当前设定的密码将其锁定。
•远程擦除设备。
如果设备丢失或被窃,则可发送一个命令,以便抹掉设备上的所有数据。
一旦收到远程擦除命令,此操作便无法还原。
•清除密码锁定。
清除设备的密码后,设备会立即要求用户输入新密码。
当用户忘记密码并希望IT为其重设密码时,可使用此命令。
•请求AirPlay镜像和停止AirPlay镜像。
iOS7添加了一个命令,用来提示受监管的iOS设备开始向特定位置进行AirPlay镜像或终止当前的AirPlay会话。
托管app组织经常需要分发软件来帮助他们的用户提高工作效率或课堂效率。
与此同时,组织需要控制该软件如何连接内部资源或在用户离开组织后如何处理数据安全问题,这一切都要与用户的个人app和数据共存。
借助iOS7中的托管app,组织可以使用MDM无线分发企业app,同时在机构安全与用户个性化之间取得适当平衡。
MDM服务器可以将AppStoreapp和企业内部app以无线方式部署到设备。
托管app可由MDM服务器远程删除,或在用户从MDM删除其自有设备时删除。
删除app时将同时删除与之关联的数据。
iOS7和移动设备管理为iOS7中的托管app添加了一套附加限制和功能,以便提供更高的安全性和更好的用户体验:•托管打开方式。
提供两种有用的功能,用来保护组织的app数据: –允许在托管app中打开使用非托管app创建的文稿。
实施这一限制可防止用户的个人app和帐户打开组织的托管app中的文稿。
例如,这样的限制可以防止用户使用Keynote打开保护机构内部的PDF阅读器中的PDF文稿。
此限制还可防止用户的个人iCloud帐户在组织的Pages副本中打开文字处理文稿附件。
–允许在非托管app中打开使用托管app创建的文稿。
实施这一限制可防止组织的托管app和帐户在用户的个人app中打开文稿。
此限制可防止在用户的任何个人app中打开组织托管电子邮件帐户中的机密电子邮件附件。
•App配置。
App开发者可以标识出那些在作为托管app安装时可配置的app设置。
这些配置设置可以在安装托管app之前或之后安装。
•App反馈。
构建app的开发者可以标识出可使用MDM从托管app中读取的app设置。
例如,开发者可以指定一个“DidFinishSetup”键用于app反馈,MDM服务器可以查询此键以确定app是否已启动和设置。
•防止备份。
此限制可防止托管app将数据备份到iCloud或iTunes。
如果禁止备份,则在通过MDM删除托管app,然后用户又重新安装该app后,可防止恢复app数据。
国际版本 26 iOS部署技术参考指南 设备监管 默认情况下,所有iOS设备都不受监管。
要启用附加配置选项和限制,你可以选择使用AppleConfigurator监管归组织所有的iOS设备。
当在计划中将设备分配给MDM服务器后,可使用组织的MDM服务器应用描述文件和附加功能。
这些功能包括:•设备监管•强制配置•可锁定MDM设置•跳过设置助理中的步骤 可跳过的设置助理屏幕包括:•密码。
跳过密码设置•位置。
不启用定位服务•从备份恢复。
不从备份恢复•AppleID。
不提示你使用AppleID登录•服务条款。
跳过服务条款•Siri。
不启用Siri•发送诊断。
不自动发送诊断信息 受监管的设备监管功能为归组织所有的设备提供了更高的设备管理水平,可以实现诸如关闭iMessage或GameCenter等附加限制。
它还提供了诸如Web内容过滤等附加设备配置和功能,还可以实现静默安装app。
可以在设备上使用AppleConfigurator以无线方式启用监管。
请参见附录
B,了解可在受监管设备上启用的具体限制。
!
国际版本 27 第4章: App分发 iOS部署技术参考指南 iOS附带一套app,可供组织内的用户执行日常所需的全部任务,例如,电子邮件、管理日历、跟踪记录联系人,以及通过Web消费内容。
很多能够帮助用户提高效率的功能均来自AppStore中提供的成千上万的第三方iOSapp,或定制开发的企业内部app。
iOS开发者企业计划的成员可以创建和部署自己的企业内部app。
本章介绍可用于向用户部署app的方法。
企业内部App 如果你自行开发iOSapp来供你的组织使用,则可通过iOS开发者企业计划部署企业内部app。
部署企业内部app的过程如下:•注册iOS开发者企业计划。
•准备好要进行分发的app。
•创建企业分发预置描述文件,用于授权设备使用你已签名的app。
•使用预置描述文件构建app。
•为用户部署app。
注册以进行app开发要开发和部署iOS企业内部app,首先需要注册iOS开发者企业计划。
一旦注册,你便可以请求开发者证书和开发者预置描述文件。
你在开发过程中使用这些文件来构建和测试你的app。
开发预置描述文件允许那些使用你的开发者证书进行签名的app在注册设备上运行。
你可以在iOSProvisioningPortal上创建开发者预置描述文件。
该临时描述文件在3个月后过期,并会按设备ID指定哪些设备可以运行app的开发版本。
你可以将开发者签名的版本和开发预置描述文件分发给你的app团队和测试人员。
准备好要进行分发的app在完成开发和测试并准备好部署你的app后,你可以使用分发证书给app签名,并将其与预置描述文件一起打包。
为你的计划成员资格指定的团队代理或管理员会在iOSProvisioningPortal上创建该证书和描述文件。
在生成分发证书的过程中,会使用“证书助理”(OSX开发系统上“钥匙串访问”app的一部分)来生成证书签名请求(CSR)。
你应将CSR上传到iOSProvisioningPortal,然后会收到分发证书作为回复。
当你在“钥匙串”中安装此证书时,可以设定Xcode使用此证书为你的app签名。
!
国际版本 28 iOS部署技术参考指南 预置企业内部app利用企业分发预置描述文件,可以将你的app安装到任意数量的iOS设备上。
你可以为特定app或多个app创建企业分发预置描述文件。
当你在Mac上同时安装企业分发证书和预置描述文件后,便可以使用Xcode来签署和构建app的发行/生产版本。
企业分发证书的有效期是3年,有效期过后,你必须使用续订的证书再次签署和构建你的app。
App预置描述文件的有效期是一年,所以你需要每年发布一次新预置描述文件。
请参见附录C中的“提供更新后的app”以了解更多详情。
你应限制对你的分发证书及其专用密钥的访问,这非常重要。
使用OSX上的“钥匙串访问”可利用p12格式导出和备份这些项目。
如果专用密钥丢失,则无法再次恢复或下载。
除了确保证书和专用密钥的安全外,你还应该限制对负责最终接受app的人员的接触。
使用分发证书给应用程序签名相当于批准app的内容和功能,表明遵循企业开发者协议的许可条款。
部署App 你可以通过四种方式来部署app:•分发app以便用户使用iTunes进行安装。
•让IT管理员使用AppleConfigurator将app安装到设备上。
•将app发布到安全的Web服务器;用户以无线方式访问和执行安装。
请参阅“附录C: 以无线方式安装企业内部App”。
•使用你的MDM服务器来指示托管设备安装企业内部app或AppStoreapp(如果你的 MDM服务器支持该功能)。
使用iTunes安装app如果你的用户使用iTunes在他们的设备上安装app,请将app安全地分发给用户,并让他们遵循下列步骤:
1.在iTunes中,选取“文件”>“添加到资料库”,然后选择文件(.app、.ipa或 .mobileprovision)。
用户也可以将文件拖到iTunesapp图标上。
2.将设备连接到电脑,然后在iTunes的“设备”列表中将其选中。
3.点按“应用程序”标签,然后在列表中选择app。
4.点按“应用”。
如果用户的电脑处于托管状态,则无需要求他们将文件添加到iTunes,只需将文件部署到他们的电脑并要求他们对其设备进行同步。
iTunes会自动安装位于iTunes的“MobileApplications”和“ProvisioningProfiles”文件夹中的文件。
使用AppleConfigurator安装appAppleConfigurator是一种可在MacAppStore中下载的免费OSX应用程序,IT管理员可用它来安装企业内部app或来自AppStore的app。
AppStore中的app或企业内部app可直接导入AppleConfigurator,并安装到任意数量的设备上。
!
国际版本 29 iOS部署技术参考指南 使用MDM安装appMDM服务器可以管理来自AppStore的第三方app,也可以管理企业内部app。
使用MDM安装的app称为“托管app”。
MDM服务器可以指定当用户从MDM取消注册后是否保留托管app及其数据。
此外,服务器还可以防止托管app数据备份到iTunes和iCloud。
这可以使IT在管理可能包含敏感业务信息的app时,拥有比用户直接下载的app更多的控制权。
为了安装托管app,MDM服务器会向设备发送安装命令。
在受监管的设备上,托管app需要获得用户的同意才能安装。
托管app可以从iOS7的附加控制措施中受益。
VPN连接现在可在app层指定,这意味着仅该app的网络通信才会在受保护的VPN通道中。
这可以确保专用数据保持隐私性,而不会与共有数据相混合。
托管app还支持iOS7中的“托管打开方式”功能。
这意味着可限制托管app与用户的个人app之间相互传输数据,从而使企业可以确保敏感数据留在应有的位置。
高速缓存服务器 iOS便于用户轻松访问和消费数字内容,一些用户可能会在连接到组织的无线网络时请求数千兆字节的app、图书和软件更新。
对这些资源的需求会以高峰形式出现,首先会随初始设备部署而发生一波高峰,之后,随着用户发现新的内容或内容随时间而更新,也会零星出现需求高峰。
由于这些内容下载,可能会导致对互联网带宽的需求激增。
OSXServer中的高速缓存服务器功能可以将所请求内容的缓存副本存储在局域网内,从而减少专用网络上的出站互联网带宽(RFC1918)。
通过设置多台高速缓存服务器,规模较大的网络将会从中受益。
对于很多部署来说,配置高速缓存服务器就像开启服务一样简单。
服务器及所有利用此服务器的设备需要一种NAT环境。
有关更多信息,请参阅OSXServer:高级管理。
运行iOS7的iOS设备将自动联系附近的高速缓存服务器,无需任何附加设备配置。
以下说明了高速缓存服务器工作流程如何对iOS设备以透明方式运行:
1.在具有一个或多个高速缓存服务器的网络上,当一部iOS设备向iTunesStore或软件更新 服务器请求内容时,此iOS设备将被引荐给一个高速缓存服务器。
2.此高速缓存服务器首先将查看其本地缓存中是否已经具有所请求的内容。
如果有,它将立即开始向iOS设备供应内容。
3.如果此高速缓存服务器没有所请求的资源,则将尝试从其他来源下载内容。
OSXMavericks的高速缓存服务器2具备一种对等复制功能,可以使用网络上的其他高速缓存服务器(如果这些服务器已经下载所请求的内容)。
4.当高速缓存服务器收到下载数据后,它将立即转发给请求数据的任何客户端,同时将副本缓 !
存到磁盘。
国际版本 30 iOS部署技术参考指南 iOS7支持以下类型的缓存内容:•iOS软件更新•AppStoreapp•AppStore更新•iBooksStore中的图书iTunes还支持高速缓存服务器
2。
iTunes11.0.4或更高版本(包括Mac和Windows)支持以下类型的内容:•AppStoreapp•AppStore更新•iBooksStore中的图书 国家/地区限制由于许可分发和税法方面的原因,某些内容可能无法在某些国家/地区缓存。
自2013年12月起,iTunes下载项目无法在巴西、墨西哥、中国和葡萄牙缓存,且iBooks下载项目无法在加拿大缓存。
如果根据客户端的IP地址,其所在国家/地区与使用iTunesStore的国家/地区不同,则iTunes下载项目将无法缓存。
例如,旧金山的iPad用户可以从德国的iTunesStore下载app,但是 !
无法使用缓存服务。
!
国际版本 31 附录A: WLAN基础架构 iOS部署技术参考指南 在为iOS部署准备WLAN基础架构时,需要考虑以下几个因素:•所需的覆盖区域•使用WLAN网络的设备数量和密度•设备类型及其WLAN功能•要传输的数据类型及数量•无线网络访问方面的安全要求•加密要求 尽管此列表并不详尽,但它代表了一些最相关的WLAN网络设计因素。
提醒:本章重点介绍美国的WLAN网络设计。
此设计在其他国家/地区可能有所不同。
规划覆盖范围和密度尽管在要使用iOS设备的地点提供WLAN覆盖至关重要,但针对给定区域内的设备密度进行规划也必不可少。
大多数现代、企业级接入点最多能够处理50个WLAN客户端,但如果将如此之多的设备与单个接入点相关联,用户体验可能会令人失望。
每台设备上的体验取决于在用通道上的可用无线带宽以及共享总带宽的设备数量。
随着使用同一接入点的设备越来越多,这些设备的相对网络速度将会降低。
在进行WLAN网络设计时,你应该考虑iOS设备的预期使用模式。
2.4GHz和5GHz在美国,在2.4GHz下运行的WLAN网络允许建立11个频道。
但是,考虑到频道干扰问题,在网络设计中只应使用频道1、6和11。
5GHz信号与2.4GHz信号一样无法穿透墙壁和其他障碍物,导致覆盖区域较小。
因此,在为封闭空间(例如教室)内的高密度设备设计网络时,可能会首选5GHz网络。
5GHz频段内的可用频道数量因接入点供应商和国家/地区而异,但是至少有8个频道始终可用。
5GHz频道都是不重叠的,这明显不同于2.4GHz频段内的三个不重叠频道。
在为高密度iOS设备设计WLAN网络时,5GHz下提供的附加频道将成为一个战略性的规划考虑因素。
!
国际版本 32 iOS部署技术参考指南 设计覆盖范围建筑物的物理布局可能会对你的WLAN网络设计产生影响。
例如,在企业环境内,用户可能会在会议室或办公室与其他员工会面。
因此,用户一天里会在建筑物内不断移动。
这种情况下,大多数网络访问来自于检查电子邮件、日历和上网浏览,因此WLAN覆盖范围的优先级最高。
设计WLAN时可以在每层楼包含两个或三个接入点,用以为办公室提供网络覆盖,同时在每间会议室各包含一个接入点。
设计密度与上面的场景相对,假设一间学校有1000名学生和30名教师,全部位于一幢两层建筑中。
学校为每名学生配备了一台iPad,并为每位教师配备了一台MacBookAir和一台iPad。
每间教室大约可容纳35名学生,并且教室彼此相邻。
学生一整天都在互联网上进行研究、观看课程视频,并不断从LAN上的文件服务器上复制文件或将文件复制到服务器。
这种情况下,由于移动设备的密度更高,因此WLAN网络设计更为复杂。
鉴于每间教室大约有35名学生,所以每间教室可以部署一个接入点。
应该考虑在公共区域部署多个接入点,以便提供足够的网络覆盖。
各公共区域的实际接入点数量将有所不同,具体取决于这些区域中WLAN设备的密度。
如果需要将仅支持802.11b或802.11g标准的设备加入到网络,可选方案之一是直接启用802.11b/g(如果已部署双频接入点)。
另一种方案是:针对较新的设备预置一个使用5GHz802.11n的SSID,然后再预置一个2.4GHz的SSID以支持802.11b和802.11g设备。
但是,请注意不要创建过多的SSID。
两种设计方案都应避免使用隐藏SSID。
与广播SSID相比,WLAN设备重新连接隐藏SSID会比较困难,并且隐藏SSID几乎没有安全优势。
用户倾向于经常携带他们的iOS设备改变位置,因此隐藏SSID可能会延长网络关联时间。
Apple产品中的WLAN标准随后的列表中详细介绍了Apple产品对各种WLAN规格的支持情况,其中包括以下信息: •802.11.兼容性。
802.11b/g、802.11a、802.11n •频段。
2.4GHz或5GHz •MCS指数。
调制和编码方案(MCS)指数用于定义802.11n设备通信时可达到的最大传输 速率。
!
•通道绑定。
HD20或HD40 国际版本 33 iOS部署技术参考指南 •保护间隔(GI)。
保护间隔是从一台设备传输到另一台设备的符号之间的时间间隔。
802.11n标准定义了较短的400ns保护间隔以实现更高的整体吞吐量,但是设备可以使用较长的800ns保护间隔。
iPhone5s802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HT40/400nsGI iPhone5c802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HT40/400nsGI iPhone5802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HD40/400nsGI iPhone4s802.11n@2.4GHz 802.11b/g MCS指数7/HD20/800nsGI iPhone4802.11n@2.4GHz 802.11b/g MCS指数7/HD20/800nsGI iPadAir和配备Retina显示屏的iPadmini802.11n@2.4GHz和5GHz802.11a/b/gMCS指数15/HT40/400nsGI iPad(第4代)与iPadmini802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HD40/400nsGI iPad(第1代、第2代和第3代)802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HD20/800nsGI iPodtouch(第5代)802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HD40/400nsGI iPodtouch(第4代)802.11n@2.4GHz 802.11b/g MCS指数7/HD20/800nsGI !
国际版本 34 附录B: 限制 iOS部署技术参考指南 iOS支持以下政策和限制,它们全部可根据组织的需要进行配置。
设备功能•允许安装app•允许Siri•在锁定时允许Siri•允许使用摄像头•允许FaceTime•允许屏幕捕捉•允许漫游时自动同步•允许同步邮件最近使用的项目•允许语音拨号•允许App内购买•所有购买均需要提供零售店密码•允许多人游戏•允许添加GameCenter好友•设置允许的内容分级•允许TouchID•允许锁屏状态下访问控制中心•允许锁屏状态下访问通知中心•允许锁屏状态下显示“今天”视图•允许锁屏状态下显示Passbook通知 应用程序•允许使用iTunesStore•允许使用Safari•设置Safari安全偏好设置 iCloud•允许备份•允许文稿同步和钥匙串同步•允许我的照片流•允许iCloud照片共享 !
国际版本 35 安全和隐私•允许将诊断数据发送给Apple•允许用户接受不受信任的证书•执行加密备份•允许从非托管app打开到托管app•允许从托管app打开到非托管app•首次AirPlay配对时需要密码•允许以无线方式进行PKI更新•需要限制广告跟踪 仅限受监管设备的限制•单一App模式•“辅助功能”设置•允许iMessage•允许GameCenter•允许删除app•允许iBooksStore•允许iBooksStore中的色情图书•启用Siri脏话过滤器•允许手动安装配置描述文件•HTTP的全球网络代理•允许配对到电脑以进行内容同步•使用白名单和可选连接密码限制AirPlay连接•允许AirDrop•允许帐户修改•允许蜂窝数据设置修改•允许“查找我的朋友”•允许主机配对(iTunes)•允许激活锁定 !
!
iOS部署技术参考指南 国际版本 36 iOS部署技术参考指南 附录C: 以无线方式安装企业内部App iOS支持以无线方式安装定制开发的企业内部app,而无需使用iTunes或AppStore。
要求:•已鉴定的用户可访问的安全Web服务器•.ipa格式的iOSapp,使用企业预置描述文件为发行/生产而构建•此附录中描述的XML清单文件•允许设备访问AppleiTunes服务器的网络配置安装app很简单。
用户可以将清单文件从你的网站下载到他们的iOS设备。
该清单文件会指示设备下载和安装文件中所引用的app。
你可以通过SMS或电子邮件分发用于下载清单文件的URL,或将其嵌入你所创建的另一企业app中。
你负责设计和托管用于分发app的网站。
确保用户已通过鉴定(可能是使用基本鉴定或基于目录的鉴定),并确定网站可通过内联网或互联网进行访问。
你可以将app和清单文件放入隐藏目录,或其他任何可使用HTTPS读取的位置。
在创建自助服务门户时,请考虑在用户主页屏幕中添加一个WebClip,以便用户轻松返回门户以获取未来部署信息,例如,新的配置描述文件、推荐的AppStoreapp,以及移动设备管理解决方案的注册信息。
准备好要以无线方式分发的企业内部app要使你的企业内部app做好无线分发的准备,你需要构建一个归档版本(.ipa文件),以及一个清单文件,此文件用于实现app的无线分发和安装。
你可以使用Xcode来创建app归档。
使用你的分发证书给app签名,并在归档中包括你的企业开发预置描述文件。
有关构建和归档app的更多信息,请访问iOSDevCenter或参阅Xcode用户指南,此指南可通过Xcode中的“帮助”菜单获得。
关于无线清单文件清单文件是XMLplist格式。
iOS设备使用它从你的Web服务器上查找、下载和安装app。
清单文件是由Xcode创建的,使用的是你在共享用于企业分发的归档app时所提供的信息。
请参见上一节,了解如何准备好要进行分发的app。
国际版本 37 iOS部署技术参考指南 以下栏是必填项: 项目 说明 URL App(.ipa)文件的完全限定HTTPSURL。
display-image 一幅57x57像素PNG图像,在下载和安装过程中显示。
指定图像的完全限定URL。
full-size-image 一幅512x512像素PNG图像,用来在iTunes中表示相应app。
bundle-identifier 你的app的包标识符,与Xcode项目中指定的完全一样。
bundle-version 你的app的包版本,在Xcode项目中指定。
!
title 下载和安装过程中显示的app的名称。
仅对于“报刊杂志”app来说,以下栏才是必填项: 项目 说明 newsstand-image UINewsstandBindingEdgeUINewsstandBindingTypeUINewsstandApp 一幅完整大小的PNG图像,用于显示在“报刊杂志”书架上。
这些键必须与“报刊杂志”app的info.plist中的键相符。
表明相应app是“报刊杂志”app。
示例清单文件中描述了你可以使用的一些可选键。
例如,如果你的app文件太大并且想要在执行错误检验(TCP通信通常会执行该检验)的基础上确保下载的完整性,则可以使用MD5键。
通过指定项目数组的附加成员,你可以使用一个清单文件安装多个app。
此附录末尾包含一个示例清单文件。
构建网站将这些项目上传到你网站上可供已鉴定的用户访问的区域:•app(.ipa)文件 •清单(.plist)文件 你的网站设计可以非常简单,就像链接到清单文件的单个页面一样。
当用户轻按Web链接时,将会下载清单文件,并触发下载和安装它所描述的app。
以下是一个示例链接:action=downloadmanifest&url=/manifest.plist”>安装App
请勿添加归档app(.ipa)的Web链接。
载入清单文件时,设备会下载该.ipa文件。
虽然URL的协议部分是itms-services,但iTunesStore并不参与此过程。
此外,请确保你的.ipa文件可通过HTTPS进行访问,并且你的站点已使用iOS信任的证书进行了签名。
如果自签名证书没有受信任的锚点并且无法由iOS设备验证,安装将失败。
国际版本 38 iOS部署技术参考指南 设定服务器MIME类型你可能需要配置你的Web服务器,以便正确地传输清单文件和app文件。
对于OSXServer,请将以下MIME类型添加到Web服务的“MIME类型”设置:application/octet-streamipa text/xmlplist 对于IIS,请使用IISManager在服务器的“属性”页面中添加MIME类型: .ipaapplication/octet-stream .plisttext/xml 无线app分发故障诊断如果无线app分发失败并显示“无法下载”信息,请进行以下检查: •确定app已正确进行签名。
测试方法是使用AppleConfigurator将其安装到设备上, 然后查看是否发生错误。
•确定清单文件的链接是正确的,且清单文件可供Web用户访问。
•确定.ipa文件(在清单文件中)的URL是正确的,并且该.ipa文件可供Web用户通过HTTPS进行访问。
网络配置要求如果设备连接到封闭式内部网络,你应该允许iOS设备访问以下站点: URL 原因 设备会获取通过蜂窝移动网络下载app的当前文件大小限制。
如果无法访问此站点,则安装可能会失败。
设备会联系此站点,以检查用来给预置描述文件签名的分发证书的状态。
请参阅下面的“证书验证”。
提供更新的app你自己分发的app不会自动更新。
当你有新版本可供用户安装时,应通知他们进行更新并指导他们安装app。
请考虑让app检查更新,并在打开app时通知用户。
如果你使用的是无线app分发,则在通知中可以提供更新版app的清单文件链接。
如果你想要用户保留他们的设备上存储的app数据,请确保新版本与它要替换的版本使用相同的捆绑标识符,并告知用户在安装新版本之前不要删除他们的旧版本。
如果捆绑标识符相匹配,新版本将会替换旧版本并保留设备上存储的数据。
分发预置描述文件自签发之日起12个月后过期。
过期后,系统将删除描述文件,而app将不 !
会启动。
国际版本 39 iOS部署技术参考指南 请在预置描述文件过期之前,使用iOSDevelopmentPortal(iOS开发门户)为app创建新描述文件。
对于首次安装app的用户,请使用新预置描述文件创建新的app归档(.ipa)。
对于已经拥有该app的用户,你可能想要设定发布下一个版本的时间,以便它包括新预置描述文件。
如果你不想这样做,则可以仅分发新的.mobileprovision文件,这样用户便不必再次安装该app。
新的预置描述文件将覆盖app归档中已有的描述文件。
预置描述文件可以使用MDM进行安装和管理,也可以由用户从你提供的安全网站上进行下载和安装,或者,作为电子邮件附件分发给用户,供用户打开和安装。
当你的分发证书过期后,app将不会启动。
分发证书自签发之日起三年内有效,或者在你的企业开发者计划成员资格过期之前一直有效,二者以先到者为准。
若要防止证书提前到期,请确保在成员资格过期之前进行续订。
有关如何检查分发证书的信息,请参见下面的“证书验证”。
你可以同时让两个证书处于活跃状态,并且彼此独立。
第二个证书是为了提供一个重叠期,让你能够在第一个证书过期前更新你的app。
从iOSDevCenter请求第二个分发证书时,请确保不要撤销第一个证书。
证书验证用户首次打开app时,系统会通过联系Apple的OCSP服务器来验证分发证书。
除非证书已被撤销,否则将允许app运行。
如不能联系OCSP服务器或不能从OCSP服务器获得响应,这种情况不会被视为撤销。
为了验证状态,设备必须能够访问。
请参见此附录前面部分的“网络配置要求”。
OCSP响应会在设备上缓存一段时间(由OCSP服务器指定),当前为介于3到7天之间。
在重新启动设备和缓存的响应过期之前,将不会再次检查证书的有效性。
如果那时收到撤销命令,则系统将阻止app运行。
如果撤销分发证书,则使用该证书签名的所有app都会失效。
你只应在万不得已时撤销证书,比如你确定专用密钥已丢失或确信证书已遭破解。
!
国际版本 40 iOS部署技术参考指南 示例app清单文件DOCTYPEplistPUBLIC“-//Apple//DTDPLIST1.0//EN”“/DTDs/PropertyList-1.0.dtd”>
--arrayofdownloads.-->
items
--anarrayofassetstodownload-->
assets
--software-package:theipatoinstall.-->
--required.theassetkind.-->
kind
software-package
--optional.md5everynbytes.willrestartachunkifmd5fails.-->
md5-size
10485760
--optional.arrayofmd5hashesforeach“md5-size”sizedchunk.-->
md5s
41fa64bb7a7cae5a46bfb45821ac8bba
51fa64bb7a7cae5a46bfb45821ac8bba
--required.theURLofthefiletodownload.-->
url
/apps/foo.ipa
--display-image:theicontodisplayduringdownload.-->
kind
display-image
--optional.indicatesificonneedsshineeffectapplied.-->
needs-shine
url
/image.57x57.png
--full-size-image:thelarge512x512iconusedbyiTunes.-->
kind
full-size-image
--optional.onemd5hashfortheentirefile.-->
md5
61fa64bb7a7cae5a46bfb45821ac8bba
needs-shine
url /image.512x512.jpg
国际版本
41
iOS部署技术参考指南
metadata
--required-->
bundle-identifier
<.example.fooapp
--optional(softwareonly)-->
bundle-version
1.0
--required.thedownloadkind.-->
kind
software
--optional.displayedduringdownload;panyname-->
subtitle
Apple
--required.thetitletodisplayduringthedownload.-->
title
ExampleCorporateApp
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
1可能需支付一般运营商数据资费。
iMessage无法使用时,文本信息可能以短信发送,需支付运营商信息资费。
2FaceTime视频通话要求通话双方使用支持FaceTime的设备和WLAN连接。
通过蜂窝网络进行FaceTime视频通话时,需要具备蜂窝网络数据功能的iPhone4s或更新机型、配备Retina显示屏的iPad或iPadmini。
能否通过蜂窝网络使用此功能取决于运营商政策;可能需要支付数据费用。
3Siri可能仅支持部分语言或地区,并且功能可能因地区而异。
需要使用互联网连接。
可能需要支付蜂窝数据费用。
4某些功能要求使用WLAN网络连接。
某些功能仅适用于部分国家或地区。
某些服务仅限10部设备进行访问。
©2014AppleInc.保留所有权利。
Apple、Apple标志、AirDrop、AirPlay、AppleTV、Bonjour、FaceTime、iBooks、iMessage、iPad、iPhone、iPodtouch、iTunes、Keychain、Keynote、Mac、Mac标志、MacBookAir、OSX、Pages、Passbook、Retina、Safari、Siri和Xcode是AppleInc.在美国和其他国家/地区的注册商标。
AirPrint、iPadAir和iPadmini是AppleInc.的商标。
iCloud和iTunesStore是AppleInc.在美国和其他国家/地区注册的服务商标。
AppStore和iBooksStore是AppleInc.的服务商标。
IOS是Cisco在美国及其他国家和地区的商标或注册商标,经许可后使用。
此处提及的其他产品和公司名称可能是其各自公司的商标。
国际版本 42
术参考 i!
!
!
OS7.1 2014年5月 !
!
目录 !
!
!
!
!
!
第3页简介 第4页第4页第6页第6页第7页第13页第13页第14页第15页 第1章:集成MicrosoftExchange基于标准的服务WLAN虚拟专用网络为App单独设置VPN单点登录数字证书Bonjour 第16页第16页第18页第20页第20页第21页 第2章:安全设备安全加密和数据保护网络安全App安全互联网服务 第23页第23页第24页第24页第27页 第3章:配置和管理设备设置和激活配置描述文件移动设备管理(MDM)设备监管 第28页第28页第29页第30页 第4章:App分发企业内部App部署App高速缓存服务器 第32页附录A:WLAN基础架构 第35页附录B:限制 !
第37页附录C:以无线方式安装企业内部App iOS部署技术参考指南 国际版本
2 iOS部署技术参考指南 简介 !
本指南面向希望为网络中的iOS设备提供支持的IT管理员。
其中提供了有关在大型组织(大企业或教育机构)中部署和支持iPhone、iPad和iPodtouch的信息。
本指南说明了iOS设备如何提供全面的安全防护、如何与现有基础架构集成,以及如何凭借强大的工具进行部署。
通过了解iOS中支持的关键技术,有助于实施适当的部署策略,为用户提供最佳体验。
当你在组织中部署iOS设备时,可使用以下几章内容作为技术参考:集成。
iOS设备本身支持多种网络基础架构。
在本节中,你将了解iOS支持的与MicrosoftExchange、WLAN、VPN和其他标准服务相集成的技术和最佳做法。
安全。
iOS可安全地访问企业服务并保护重要数据。
iOS对传输中的数据进行强加密,采用切实有效的鉴定方法访问企业服务,并对所有静态数据进行硬件加密。
请阅读本章,详细了解iOS在安全方面提供的功能。
配置和管理。
iOS支持多种高级工具和技术,可确保iOS设备易于设置,能够根据需要进行配置,并可在大型环境中轻松进行管理。
本章概述了移动设备管理(MDM)。
App分发。
有多种方法可用于在组织中部署app和内容。
利用iOS开发者企业计划,你的组织可以为内部用户构建和部署app。
通过本章可深入了解如何部署为内部使用而构建的app。
以下附录提供了其他技术细节和要求:WLAN基础架构。
详细介绍iOS支持的WLAN标准以及规划大型WLAN网络时的注意事项。
限制。
详细介绍可用于配置iOS设备以满足安全、密码和其他要求的限制。
以无线方式安装企业内部App。
详细介绍如何使用自有的基于Web的门户分发企业内部app及相关要求。
其他资源要获取相关的帮助信息,请访问以下网站:/ipad/business/it/iphone/business/it/education/it 国际版本
3 第1章: 集成 iOS部署技术参考指南 iOS设备本身支持多种网络基础架构。
其中包括: •常见的第三方系统,例如MicrosoftExchange•与基于标准的邮件、目录、日历和其他系统集成•用于数据传输和加密的标准WLAN协议•虚拟专用网络(VPN),包括为app单独设置VPN•用于简化联网app和服务鉴定的单点登录•用于鉴定用户和保护通信安全的数字证书 由于iOS中已内置这种支持,IT部门只需配置为数不多的几项设置,即可将iOS设备集成到现有基础架构中。
请继续阅读,详细了解iOS支持的技术和最佳做法。
MicrosoftExchange iOS可通过MicrosoftExchangeActiveSync(EAS)直接与MicrosoftExchangeServer通信,因而可以推送电子邮件、日历、通讯录、备忘录和任务。
ExchangeActiveSync还向用户提供访问全局地址列表(GAL)的功能,并向管理员提供密码策略实施和远程擦除功能。
iOS同时支持ExchangeActiveSync基本鉴定和基于证书的鉴定。
如果你所在的公司当前启用了ExchangeActiveSync,则已具备支持iOS所需的服务,不必再进行其他配置。
要求安装了iOS7或更高版本的设备支持以下版本的MicrosoftExchange:•ExchangeServer2003SP2(EAS2.5)•ExchangeServer2007(使用EAS2.5)•ExchangeServer2007SP1(EAS12.1)•ExchangeServer2007SP2(EAS12.1)•ExchangeServer2007SP3(EAS12.1)•ExchangeServer2010(EAS14.0)•ExchangeServer2010SP1(EAS14.1)•ExchangeServer2010SP2(使用EAS14.1)•ExchangeServer2013(使用EAS14.1)•Office365(使用EAS14.1) MicrosoftDirectPush如果存在蜂窝或WLAN数据连接,ExchangeServer可自动将电子邮件、任务、通讯录和日历事件发送至iOS设备。
iPodtouch和某些iPad机型没有蜂窝连接,因此只有当它们连接到WLAN网络时才会接收推送通知。
!
国际版本
4 iOS部署技术参考指南 MicrosoftExchange“自动发现”iOS支持MicrosoftExchangeServer2007和MicrosoftExchangeServer2010的“自动发现”服务。
手动配置设备时,“自动发现”会使用你的电子邮件地址和密码来确定正确的ExchangeServer信息。
有关启用“自动发现”服务的更多信息,请参阅“自动发现”服务。
MicrosoftExchange全局地址列表iOS设备会从你所在公司的ExchangeServer企业目录取回联络信息。
你可以在搜索“通讯录”的同时访问此目录,当你输入电子邮件地址时,可自动访问此目录来补全电子邮件地址。
iOS6或更高版本支持GAL照片(需要ExchangeServer2010SP1或更高版本)。
不支持的ExchangeActiveSync功能不支持下列Exchange功能:•打开电子邮件中指向Sharepoint服务器上储存的文稿的链接•设定“不在办公室”自动回复信息 通过Exchange确定iOS版本当iOS设备连接到ExchangeServer时,该设备会报告其iOS版本。
版本号是通过请求标头的“用户代理”栏来发送的,看起来类似于Apple-iPhone2C1/705.018。
分隔符(/)后面的数字是iOS版号,每个iOS版本的版号都是唯一的。
若要在设备上查看版号,请前往“设置”>“通用”>“关于”。
你将看到版本号和版号,例如4.1(8B117A)。
圆括号中的数字是版号,用来标识设备所运行的版本。
版号在发送到ExchangeServer后,会从格式NANNNA(其中N是数字,而A是字母字符)转换成Exchange格式NNN.NNN。
数值会予以保留,而字母会转换成其在字母表中的位置值。
例如,“F”会转换成“06”,因为它是字母表中的第六个字母。
如果需要,数字会使用零进行补白,以适合Exchange格式。
在本示例中,版号7E18会转换成705.018。
第一个数字
7,仍然是“7”。
字符E是字母表中的第五个字母,因此会转换成“05”。
系统将根据格式需要,在转换后的结果中插入句点(.)。
后一个数字18会使用零进行补白,转换成“018”。
如果版号以字母结尾(如5H11A),则数字会根据如上所述进行转换,结束字符的数值会被追加到字符串(字符串和该数值使用3个零进行分隔)。
因此5H11A会变成508.01100001。
远程擦除你可以使用Exchange提供的功能远程擦除iOS设备上的内容。
执行擦除操作会移除设备中的所有数据和配置信息,然后设备会被安全抹掉,并还原为原始的出厂设置。
执行擦除操作会移除数据(已使用256位AES加密方法进行加密)的加密密钥,这会即刻导致所有数据不可恢复。
对于MicrosoftExchangeServer2007或更高版本,你可以使用ExchangeManagementConsole、OutlookWebess或ExchangeActiveSyncMobileAdministrationWebTool执行远程擦除。
对于MicrosoftExchangeServer2003,你可以使用ExchangeActiveSyncMobileAdministrationWebTool发起远程擦除。
此外,用户可以擦除自己的设备,方法是前往“设置”>“通用”>“还原”,然后选取“抹掉所有内容和设置”。
设备还可以配置为在密码输入失败一定次数之后自动执行擦除。
国际版本
5 iOS部署技术参考指南 基于标准的服务 由于iOS支持IMAP邮件协议、LDAP目录服务、CalDAV日历和CardDAV通讯录协议, 因此几乎可以与任何基于标准的环境相集成。
如果你的网络环境配置为需要用户鉴定和SSL,iOS可提供安全的方法来访问基于标准的公司电子邮件、日历、任务和通讯录。
对于SSL,iOS支持128位加密和主要证书颁发机构颁发的X.509根证书。
在典型的部署中,iOS设备可直接访问IMAP和SMTP邮件服务器,以无线方式收发电子邮件,并可与基于IMAP的服务器无线同步备忘录。
iOS设备可连接至公司的LDAPv3企业目录,用户因此能够在“邮件”、“通讯录”和“信息”应用程序中访问公司通讯录。
通过与CalDAV服务器同步,用户可以无线方式创建和接受日历邀请、接收日历更新,并与“提醒事项”app同步任务。
凭借对CardDAV的支持,用户可使用vCard格式让一组联系人与CardDAV服务器保持同步。
所有网络服务器可位于DMZ子网之内和/或公司防火墙之后。
WLAN iOS设备开箱即可安全连接到企业或来宾WLAN网络,这使用户可以快速、轻松地加入可用的无线网络,而无论他们是处于园区内还是路途之中。
加入WLAN用户可以将iOS设备设置成自动加入可用的WLAN网络。
对于需要提供登录凭证或其他信息的WLAN网络,无需从WLAN设置或“邮件”等app中打开单独的浏览器会话,即可快速进行访问。
凭借低能耗的持久WLAN连接,各种app可使用WLAN网络推送通知。
WPA2企业级iOS支持符合行业标准的无线网络协议,包括WPA2企业级协议,确保能够从iOS设备安全地访问企业无线网络。
WPA2企业级使用128位AES加密,这是一种可靠的、基于块的加密方法,可为用户提供最高级别的数据保护。
由于iOS支持802.1X,因此可以集成到广泛的RADIUS鉴定环境中。
iOS支持的802.1X无线鉴定方法包括EAP-TLS、EAP-TTLS、EAP-FAST、PEAPv0、PEAPv1和LEAP。
!
国际版本
6 iOS部署技术参考指南 漫游iOS支持802.11k和802.11r,可在大型企业WLAN网络上漫游。
802.11k利用接入点的报告帮助iOS设备在WLAN接入点之间切换,而802.11r则可在设备于接入点间切换时简化802.1X鉴定。
为快速完成设置和部署,支持使用配置描述文件或MDM配置无线网络、安全、代理和鉴定 设置。
虚拟专用网络 使用成熟的行业标准虚拟专用网络(VPN)协议,可在iOS中安全地访问专用公司网络。
iOS开箱即支持CiscoIPSec、L2TPoverIPSec和PPTP。
如果你所在的组织支持上述某个协议,则无需额外的网络配置或第三方app即可将iOS设备连接至VPN。
此外,iOS还支持主流VPN提供商的SSLVPN。
用户只需从AppStore下载由其中一家公司开发的VPN客户端app,即可开始使用。
SSLVPN与iOS中支持的其他VPN协议一样,既可在设备上手动配置,也可以通过配置描述文件或MDM进行配置。
iOS支持行业标准技术,例如IPv6、代理服务器和隧道分离,可在连接至公司网络时提供丰富的VPN体验。
iOS还兼容多种鉴定方法,包括密码、双因素令牌和数字证书。
对于基于证书进行鉴定的环境,iOS提供了VPNOnDemand来简化连接过程,该功能可在需要连接至指定的域时发起VPN会话。
通过iOS7,可将每个app配置为独立于设备上的其他app使用VPN连接。
这样可以确保公司数据始终通过VPN连接传输,而其他数据(例如员工从AppStore获得的个人app) 则不然。
有关详细信息,请参阅本章后文中的“为App单独设置VPN”。
支持的协议和鉴定方法SSLVPN。
支持使用密码、双因素令牌和证书进行用户鉴定。
CiscoIPSec。
支持使用密码、双因素令牌进行用户鉴定,以及使用共享密钥和证书进行机器鉴定。
L2TPoverIPSec。
支持使用MS-CHAPv2密码、双因素令牌进行用户鉴定,以及使用共享密钥进行机器鉴定。
PPTP。
支持使用MS-CHAPv2密码和双因素令牌进行用户鉴定。
SSLVPN客户端某些SSLVPN提供商创建了专门的app,用来帮助配置iOS设备,以便与他们的解决方案结合使用。
要配置设备以使用特定的解决方案,可安装配套的app,也可以提供包含必要设置的配置描述文件。
SSLVPN解决方案包括:•JuniperJunosPulseSSLVPN。
iOS支持包含JuniperNetworksIVEpackage7.0和更 高版本的JuniperNetworksSASeriesSSLVPNGateway6.4或更高版本。
要进行配置,请安装JunosPulseapp,该app可从AppStore获取。
有关更多信息,请参阅JuniperNetworks应用程序说明。
国际版本
7 iOS部署技术参考指南 •F5SSLVPN。
iOS支持F5BIG-IPEdgeGateway、essPolicyManager和FirePassSSLVPN解决方案。
要进行配置,请安装F5BIG-IPEdgeClientapp,该app可从AppStore获取。
有关更多信息,请参阅F5技术简介保护iPhone访问公司Web应用程序时的安全。
•ArubaNetworksSSLVPN。
iOS支持ArubaNetworksMobilityController。
要进行配置,请安装ArubaNetworksVIAapp,该app可从AppStore获取。
如需获取联系信息,请访问ArubaNetworks网站。
•SonicWALLSSLVPN。
iOS支持10.5.4版或更高版本的SonicWALLAventallE-ClassSecureRemoteess设备、5.5版或更高版本的SonicWALLSRA设备,以及SonicWALLNext-GenerationFirewall设备(包括运行SonicOS5.8.1.0或更高版本的TZ、NSA和E-ClassNSA)。
要进行配置,请安装SonicWALLMobileConnectapp,该app可从AppStore获取。
如需获取联系信息,请访问SonicWALL网站。
•CheckPointMobileSSLVPN。
iOS支持包含完全第3层VPN隧道的CheckPointSecurityGateway。
要进行配置,请安装CheckPointMobileapp,该app可从AppStore获取。
•OpenVPNSSLVPN。
iOS支持OpenVPNessServer、PrivateTunnel和OpenVPNCommunity。
要进行配置,请安装OpenVPNConnectapp,该app可从AppStore获取。
•PaloAltoNetworksGlobalProtectSSLVPN。
iOS支持PaloAltoNetworks的GlobalProtect网关。
要进行配置,请安装GlobalProtectforiOSapp,该app可从AppStore获取。
•CiscoAnyConnectSSLVPN。
iOS支持运行软件镜像8.0
(3).1或更高版本的CiscoAdaptiveSecurityAppliance(ASA)。
要进行配置,请安装CiscoAnyConnectapp, 该app可从AppStore获取。
VPN设置指南 CiscoIPSec设置指南参考这些指南可配置CiscoVPN服务器,以便与iOS设备结合使用。
iOS支持CiscoASA5500SecurityAppliances和CiscoPIXFirewalls(软件版本为7.2.x或更高)。
建议使用最新的8.0.x软件版本(或更高版本)。
iOS也支持IOS版本为12.4(15)T或更高的CiscoIOSVPN路由器。
VPN3000系列集中器不支持iOSVPN功能。
代理设置在进行所有这些配置时,还可以指定VPN代理。
要为所有连接配置单一代理,请使用“手动” 设置,提供地址、端口,并在必要时进行鉴定。
要使用PAC或WPAD为设备提供自动代理配置文件,请使用“自动”设置。
对于PAC,请指定PAC文件的URL。
对于WPAD,iOS将在 !
DHCP和DNS中查询适当的设置。
国际版本
8 iOS部署技术参考指南 鉴定方式iOS支持以下鉴定方式:•预共享密钥IPSec鉴定,通过xauth进行用户鉴定。
•利用客户端和服务器证书进行IPSec鉴定,可选择通过xauth进行用户鉴定。
•混合鉴定,服务器提供证书,客户端提供预共享密钥,进行IPSec鉴定。
用户鉴定必须通过 xauth进行。
•用户鉴定通过xauth提供,包括以下鉴定方式: –用户名和密码–RSASecurID–CRYPTOCard 鉴定群组CiscoUnity协议根据一组常见鉴定参数及其他参数,使用鉴定群组来分组用户。
应当为iOS用户创建一个鉴定群组。
对于预共享密钥鉴定和混合鉴定,群组名称必须在设备上配置,并且使用群组的共享密钥(预共享密钥)作为群组密码。
使用证书鉴定时,不会使用任何共享密钥。
用户的群组根据证书中的栏位来确定。
Cisco服务器设置可用于将证书中的栏位对应到用户群组。
在ISAKMP优先级列表中,RSA-Sig应该拥有最高优先级。
证书设置和安装证书时,请确定符合以下要求: 服务器身份证书的主体备用名称(SubjectAltName)栏必须包含服务器的DNS名称和/或IP地址。
设备使用此信息来验证证书是否属于服务器。
为了获得更高的灵活性,可以使用通配符来指定SubjectAltName,以达到按名称段匹配的目的,如vpn.*。
如果未指定SubjectAltName,可以将DNS名称放在通用名称栏中。
为服务器证书签名的CA证书需要安装在设备上。
如果该证书不是根证书,请安装信任链的剩余部分以便证书得到信任。
如果使用客户端证书,请确保为客户端证书签名的可信CA证书已安装在VPN服务器上。
使用基于证书的鉴定时,请确保服务器已设置为根据客户端证书中的栏位来识别用户的群组。
证书和证书颁发机构必须有效(例如,未过期)。
不支持通过服务器发送证书链,应该关闭此功能。
!
国际版本
9 iOS部署技术参考指南 IPSec设置使用以下IPSec设置:•模式。
隧道模式•IKE交换模式。
“积极模式”(适用于预共享密钥鉴定和混合鉴定)或“主模式”(适用于 证书鉴定)。
•加密算法。
3DES、AES-128、AES-256。
•鉴定算法。
HMAC-MD5、HMAC-SHA1。
•Diffie-Hellman群组。
预共享密钥鉴定和混合鉴定需要群组
2。
对于证书鉴定,请配合 3DES和AES-128使用群组
2。
配合AES-256使用群组2或群组
5。
•PFS(完全正向保密)。
对于IKE阶段
2,如果使用PFS,则Diffie-Hellman群组必须与用 于IKE阶段1的群组相同。
•模式配置。
必须启用。
•失效同层检测。
推荐。
•标准NAT遍历。
受支持并且可以启用(不支持IPSecoverTCP)。
•负载均衡。
受支持且可以启用。
•阶段1的密钥更新。
当前不受支持。
建议将服务器上的密钥更新时间设定为一小时。
•ASA地址掩码。
确保所有设备地址池掩码都未设定或都设定为255.255.255.255。
例如:asa(config-webvpn)#iplocalpoolvpn_users10.0.0.1-10.0.0.254mask255.255.255.255。
如果使用建议的地址掩码,则可能会忽略VPN配置所采用的某些路由。
若要避免发生这种情况,请确保路由表包含所有必要的路由,并且验证子网地址可以访问,然后再进行部署。
支持的其他功能•应用程序版本。
客户端软件版本会被发送到服务器,使服务器能够根据设备的软件版本接受 或拒绝连接。
•横幅。
横幅(如果是在服务器上配置的)会显示在设备上,用户必须接受它,否则会断开 连接。
•分离隧道。
支持分离隧道。
•分离DNS。
支持分离DNS。
•默认域。
支持默认域。
!
国际版本 10 iOS部署技术参考指南 VPNOnDemandVPNOnDemand可使iOS自动建立安全连接,无需用户干预。
系统会按照配置描述文件中定义的规则,在需要时启动VPN连接。
在iOS7中,VPNOnDemand通过配置描述文件的VPN有效负载中的OnDemandRules键配置。
系统分两个阶段应用规则:•网络检测阶段。
定义当设备的主要网络连接发生更改时适用的VPN要求。
•连接计算阶段。
定义根据需要向域名发起连接请求时的VPN要求。
例如,规则可用于:•识别因iOS设备连接至内部网络而不需要VPN的情况。
•识别因使用未知WLAN网络而需要对所有网络活动采取VPN的情况。
•在针对指定域名的DNS请求失败后要求使用VPN。
网络检测阶段当设备的主要网络接口发生变化时,例如当iOS设备切换至不同的WLAN网络或者从WLAN切换至蜂窝网络时,将对VPNOnDemand规则进行计算。
如果主要接口为虚拟接口,例如VPN接口,将忽略VPNOnDemand规则。
只有当每个组(字典)中的匹配规则全部匹配时,才会执行关联的操作;如果有任何一项规则不匹配,将对列表中的下一个字典进行计算,直至抵达OnDemandRules列表末尾。
最后一个字典应定义“默认”配置,即没有对应的规则,只有操作。
这将找出没有与之前的规则匹配的所有连接。
连接计算阶段VPN可基于对某些域的连接请求按需触发,而不是基于网络接口单方面断开或连接VPN。
按需匹配规则指定以下一个或多个匹配规则:•InterfaceTypeMatch。
可选。
WLAN或蜂窝的字符串值。
如果指定此规则,则当主要接口 硬件为指定的类型时,即与此规则匹配。
•SSIDMatch。
可选。
要基于当前网络匹配的SSID列表。
如果网络不是WLAN网络,或者 其SSID未显示在列表中,则匹配失败。
如果省略此键及其列表,将忽略SSID。
•DNSDomainMatch。
可选。
搜索域字符串列表。
如果为当前主要网络配置的DNS搜索域 包括在此列表中,将与此属性匹配。
支持通配符前缀(*);例如*将与 !
匹配。
国际版本 11 iOS部署技术参考指南 •DNSServerAddressMatch。
可选。
DNS服务器地址字符串列表。
如果当前为主要接口配置的所有DNS服务器地址都位于列表中,则将与此属性匹配。
支持通配符(*);例如1.2.3.*将与带有1.2.3.前缀的任何DNS服务器匹配。
•URLStringProbe。
可选。
要探查其可访问性的服务器。
不支持重定向。
URL应当为可信的HTTPS服务器。
设备会发送GET请求来验证是否可以访问该服务器。
Action此键定义当指定的所有匹配规则都计算为真时的VPN行为。
此为必选键。
Action键的值 包括:•Connect。
在下一次尝试建立网络连接时无条件启动VPN连接。
•Disconnect。
断开VPN连接,不按需触发任何新的连接。
•Ignore。
保留任何现有的VPN连接,但不按需触发任何新的连接。
•Allow。
对于配备iOS6或更低版本的iOS设备。
请参阅本节后文中的“向后兼容性说明”。
•EvaluateConnection。
对每次连接尝试计算ActionParameters。
使用此值时,需要通过 键ActionParameters(见下文)指定计算规则。
ActionParameters具有如下所述的键的字典列表,按键的显示顺序计算。
当Action为EvaluateConnection时,此为必选键。
•Domains。
必选。
定义此计算规则适用的域的字符串列表。
支持通配符前缀,例如*。
•DomainAction。
必选。
定义Domains的VPN行为。
DomainAction键的值包括:–ConnectIfNeeded。
如果对Domains的DNS解析失败,例如DNS服务器指示其不能解析域名、DNS响应遭到重定向或者连接失败或超时,将触发VPN。
–NeverConnect。
不对Domains触发VPN。
当DomainAction为ConnectIfNeeded时,还可以在连接计算字典中指定以下键:•RequiredDNSServers。
可选。
要用于解析Domains的DNS服务器的IP地址列表。
这些服务器不必是设备当前网络配置的一部分。
如果无法访问这些DNS服务器,将触发VPN。
请配置内部DNS服务器或可信的外部DNS服务器。
•RequiredURLStringProbe。
可选。
要使用GET请求探查的HTTP或HTTPS(首选)URL。
!
如果对此服务器的DNS解析成功,则探查也一定会成功。
如果探查失败,将触发VPN。
国际版本 12 iOS部署技术参考指南 向后兼容性说明在iOS7之前,域触发规则通过名为OnDemandMatchDomainAlways、OnDemandMatchDomainOnRetry和OnDemandMatchDomainNever的域的列表 配置。
iOS7仍然支持OnRetry和Never情形,尽管它们已被EvaluateConnection操 作取代。
要创建同时适用于iOS7和更早版本的描述文件,除了使用OnDemandMatchDomain列表外,还要使用新的EvaluateConnection键。
iOS的先前版本无法识别EvaluateConnection并将使用旧的列表,iOS7和更高版本将使用EvaluateConnection。
指定Allow操作的旧配置描述文件仍适用于iOS7,但OnDemandMatchDomainsAlways域除外。
为App单独设置VPN iOS7新增了基于app建立VPN连接的功能。
通过这种方式,可以更精确地控制哪些数据可以通过VPN,哪些则不能如此。
采用设备级VPN时,所有数据都通过专用网络传输,而不论其来自何处。
随着组织中使用的个人自有设备越来越多,为App单独设置VPN可为供内部使用的app提供安全的网络连接,同时保护个人设备活动的隐私。
通过为App设置单独的VPN,可使每个处于移动设备管理(MDM)范围内的app通过安全隧道与专用网络通信,同时禁止设备上未处于管理范围内的其他app使用专用网络。
此外,对于处于管理范围内的每个app,可以配置不同的VPN连接以进一步保护数据安全。
例如,销售报价app可使用完全不同于应付帐款app的数据中心,而用户的个人Web浏览通信则使用公共互联网。
这种在app层分离通信的功能为分离个人数据和组织数据创造了条件。
要为App设置单独的VPN,app必须由MDM管理并使用标准iOS网络API。
为App设置单独的VPN时,需要通过MDM配置来指定哪些app和Safari域可以使用此设置。
有关MDM的更多信息,请参阅“第3章:配置和管理”。
单点登录(SSO) 在iOS7中,app可通过Kerberos利用现有的企业内部单点登录基础架构。
通过单点登录,用户只需输入一次密码,因而有助于改善用户体验。
它还可以确保从不无线传送密码,从而提高日常使用app的安全性。
iOS7使用的Kerberos鉴定系统属于行业标准,是世界上部署最广泛的单点登录技术。
如果你配置了ActiveDirectory、eDirectory或OpenDirectory,则可能已有Kerberos系统可供iOS7使用。
为了进行用户鉴定,iOS设备需要能够通过网络连接联系Kerberos服务。
!
国际版本 13 iOS部署技术参考指南 支持的app对于使用NSURLConnection或NSURLSession类来管理网络连接和鉴定的app,iOS提供灵活的Kerberos单点登录(SSO)支持。
Apple向所有开发人员提供这些高级框架,以便他们将网络连接无缝集成到自己的app中。
为帮助你入门,Apple还以Safari为例说明如何在本机使用支持SSO的网站。
配置SSO单点登录通过配置描述文件进行配置,这些描述文件可以手动安装,也可以通过MDM管理。
SSO帐户有效负载允许进行灵活的配置。
SSO可向所有app开放,也可以按app标识符和/或服务URL进行限制。
在URL匹配方面,采用简单模式匹配,URL必须以http://或https://开头。
系统会基于整个URL进行匹配,因此请确保它们完全相同。
例如,值为/的URLPrefixMatches将不会与:443/匹配。
你可以指定http://或https://来仅对安全或常规HTTP服务使用SSO。
例如,使用值为https://的URLPrefixMatches将只能对安全的HTTPS服务使用SSO。
如果URL匹配模式不是以斜杠(/)结尾,则在其末尾追加斜杠(/)。
AppIdentifierMatches列表必须包含与app捆绑包ID匹配的字符串。
这些字符串可以是完全匹配项(例如pany.myapp),也可以通过使用通配符(*)指定与捆绑包ID匹配的前缀。
通配符必须位于句点字符(.)之后,并且只能位于字符串末尾(例如pany.*)。
在使用通配符的情况下,捆绑包ID以此前缀开头的任何app都将可以访问帐户。
数字证书 数字证书是一种身份识别形式,支持简化的鉴定、数据完整性和加密。
数字证书由公钥、有关用户的信息和颁发证书的证书颁发机构组成。
iOS支持数字证书,从而使组织可以安全、简便地访问企业服务。
证书有多种用途。
使用数字证书为数据签名有助于确保信息无法改动。
证书还可用于确保作者或“签名者”身份的真实性。
此外,可以使用证书对配置描述文件和网络通信进行加密,从而进一步保护机密或隐私信息。
例如,Safari浏览器可以检查X.509数字证书的有效性,并使用最多256位的AES加密建立安全会话。
这可以确保网站的身份合法,且与网站的通信受到保护,从而避免个人或机密数据遭到拦截。
!
国际版本 14 支持的证书和身份格式: •iOS支持带有RSA密钥的X.509证书。
•可以识别的文件扩展名包括.cer、.crt、.der、 .p12和.pfx。
iOS部署技术参考指南 在iOS中使用证书 根证书iOS开箱即提供一系列预安装的根证书。
有关更多信息,请参阅此Apple支持文章中的列表。
一旦任何预安装的根证书遭到破坏,iOS可无线更新证书。
要停用此功能,可限制无线更新证书的操作。
如果你使用的根证书并非预安装的证书,例如由你所在的组织创建的自签名根证书,则可以使用下列方式之一进行分发。
分发和安装证书将证书分发至iOS设备的操作非常简单。
收到证书后,用户只需轻按即可查看内容,然后再次轻按即可将此证书添加到他们的设备。
安装身份证书时,系统将提示用户输入可对此证书进行保护的密码。
如果无法验证证书的真实性,则将其显示为不可信证书,用户可决定是否仍要将其添加到自己的设备中。
通过配置描述文件安装证书如果使用配置描述文件分发企业服务(例如Exchange、VPN或WLAN)的设置,则可将证书添加到描述文件中来简化部署。
这包括通过MDM分发证书的功能。
通过“邮件”或Safari安装证书如果证书是通过电子邮件发送的,它将显示为附件。
还可以使用Safari从网页中下载证书。
你可以将证书托管在安全的网站上,并向用户提供URL,以便他们将证书下载到自己的设备上。
删除和撤销证书要手动删除已经安装的证书,请选择“设置”>“通用”>“描述文件”,然后选择要删除的相应证书。
如果用户删除的证书是访问帐户或网络所必需的,设备将无法再连接到这些服务。
通过移动设备管理服务器可以查看设备上的所有证书,以及删除其中已安装的任何证书。
此外,支持通过在线证书状态协议(OCSP)和CRL(证书撤销清单)协议来检查证书的状态。
使用支持OCSP或CRL的证书时,iOS会定期对证书进行验证,确保它没有被撤销。
Bonjour Bonjour是Apple基于标准的零配置网络协议,可帮助设备找到网络上的服务。
iOS设备使用Bonjour发现兼容AirPrint的打印机和兼容AirPlay的设备。
某些对等app也需要使用Bonjour。
你需要确保网络基础架构和Bonjour都得到正确配置,才能使二者配合工作。
iOS7.1设备还将通过蓝牙查找AirPlay来源。
!
有关Bonjour的更多信息,请参阅此Apple网页。
国际版本 15 支持下列密码策略:•要求设备密码•要求字母数字值•最短的密码长度•必须包含的复杂字符的最少数目•密码的最长有效期•自动锁定前的时间•密码历史记录•设备锁定宽限期•最多可允许的尝试失败次数 第2章: 安全 iOS部署技术参考指南 !
iOS设有多个安全层。
这种设计使iOS设备能够安全地访问网络服务和保护重要数据。
iOS对传输中的数据进行强加密,采用切实有效的鉴定方法访问企业服务,并对所有静态数据进行硬件加密。
iOS还使用可无线传递和强制实施的密码策略来提供安全保护。
如果设备落入不法之徒手中,用户和IT管理员可以启动远程擦除命令擦除私人信息。
当考虑在企业中使用iOS的安全防护功能时,了解以下概念会很有帮助:•设备控制。
防止未经授权使用设备的方法•加密和数据保护。
保护静态数据的安全,即使设备丢失或被盗时也不例外•网络安全。
传输中数据的网络协议和加密•App安全。
支持app安全运行而不损害平台的完整性•互联网服务。
Apple基于网络的通信、同步和备份基础架构这些功能协同工作,提供安全的移动计算平台。
设备安全 制定强有力的iOS访问策略对于保护企业信息至关重要。
设备密码是防止未授权访问的第一道防线,可进行无线配置和强制执行。
iOS设备使用每位用户设立的唯一密码生成强大的加密密钥,进一步保护设备上的邮件和敏感的应用程序数据。
此外,iOS提供了一系列安全的方法用于在IT环境中配置设备,该环境必须已配置特定的设置、策略和限制。
通过选择这些方法,可以灵活地为授权用户设立标准保护级别。
密码策略设备密码可防止未经授权的用户访问数据或以其他方式使用设备。
iOS允许你根据自己的安全 !
!
需求从大量的密码策略中进行选择,这些策略包括超时时间、密码强度和必须更换密码的频率。
国际版本 16 iOS部署技术参考指南 策略强制执行策略可纳入配置描述文件并分发给用户安装。
描述文件可采取特殊的定义方式,以便只有在提供管理密码的情况下才能将其删除,或者将描述文件绑定到设备,不完全擦除设备内容就无法将其删除。
此外,密码设置可使用能够直接向设备推送策略的移动设备管理(MDM)解决方案进行配置。
这样,用户无需执行任何操作,即可强制执行和更新策略。
如果设备配置为访问MicrosoftExchange帐户,则向设备无线推送ExchangeActiveSync策略。
可用的策略集因ExchangeActiveSync和ExchangeServer的版本而异。
如果同时存在Exchange策略和MDM策略,将应用较为严格的那一种策略。
安全的设备配置配置描述文件是XML文件,其中包含下列内容:设备安全策略和限制、VPN配置信息、WLAN设置、电子邮件和日历帐户,以及可使iOS设备与IT系统结合使用的鉴定凭证。
这种在配置描述文件中设立密码策略和设备设置的功能,可确保按照IT部门制定的安全标准正确配置组织中的设备。
此外,由于配置描述文件可以加密和锁定,因此这些设置无法被删除、篡改或与他人共享。
配置描述文件可以同时进行签名和加密。
通过对配置描述文件签名,可确保不能以任何方式篡改它所强制执行的设置。
通过加密配置描述文件,可保护描述文件的内容,并只允许将其安装在既定的目标设备上。
配置描述文件采用支持3DES和AES-128的CMS(加密消息语法RFC3852)进行加密。
首次分发经过加密的配置描述文件时,可使用AppleConfigurator通过USB安装,或者使用无线描述文件传送和配置协议或MDM无线安装。
后续加密的配置描述文件可通过电子邮件附件传送、托管在可供用户访问的网站上,或者推送至使用MDM解决方案的设备上。
有关更多信息,请参阅iOS开发人员资料库网站上的无线描述文件传送和配置协议。
设备限制设备限制可决定用户能够在设备上访问哪些功能。
通常,这些功能涉及支持网络的应用程序,例如Safari、YouTube或iTunesStore,但限制还可以控制诸如app安装或摄像头使用之类的设备功能。
通过限制可按照自身要求配置设备,同时允许用户按照组织的策略使用设备。
你可以在每台设备上手动配置限制、使用配置描述文件强制执行限制,或者通过MDM解决方案远程设立限制。
此外,与密码策略一样,可通过MicrosoftExchangeServer2007和2010强制执行摄像头或Web浏览限制。
限制还可用于防止邮件在不同的帐户之间迁移,或者在一个帐户中收到的邮件被转发给另一个帐户。
有关支持的限制的信息,请参阅附录
B。
!
国际版本 17 iOS部署技术参考指南 加密和数据保护 对于包含敏感信息的任何环境而言,保护iOS设备上存储的数据都至关重要。
除了对传输中的数据进行加密外,iOS设备还对设备上存储的所有数据提供硬件加密,并对电子邮件和应用程序数据提供额外加密,以增强数据保护。
加密iOS设备采用基于硬件的加密。
硬件加密使用256位AES来保护设备上的所有数据。
加密始终处于启用状态,无法停用。
此外,还可以加密iTunes中备份到用户电脑中的数据。
该功能可由用户启用或通过配置描述文件中的设备限制设置强制执行。
iOS还在邮件中支持S/MIME,让用户可以查看和发送加密的电子邮件。
经验证,iOS7和iOS6中的加密模块符合美国联邦信息处理标准(FIPS)140-2级别
1。
这证明,在使用iOS加密服务的Appleapp和第三方app中,加密操作具有完整性。
有关更多信息,请参阅iOS产品安全性:验证和指导和iOS7:AppleFIPSiOS加密模块v4.0。
数据保护存储在设备上的电子邮件和附件可通过使用iOS内置的数据保护功能获得进一步的保护。
数据保护利用每个用户唯一的设备密码和iOS设备上的硬件加密生成强大的加密密钥。
此密钥可在设备被锁定时禁止访问数据,即使在设备被盗的情况下也能确保重要信息的安全。
要打开数据保护功能,只需在设备上设置一个密码即可。
数据保护的有效性取决于密码强度, 因此在建立密码策略时,必须要求并强制使用超过四位数的密码,这一点至关重要。
用户可以通过查看密码设置屏幕来验证是否已在设备上启用了数据保护。
移动设备管理解决方案也能从设备上查询此信息。
数据保护API还向开发人员开放,并可用于保护AppStoreapp或定制开发的企业内部app中的数据安全。
从iOS7开始,应用程序存储的数据在默认情况下属于“在首次用户鉴定之前提供保护”安全级别,这与台式机上的完整磁盘加密类似,可保护数据免遭涉及重新启动的攻击。
注:如果设备自iOS6升级而来,原来存储的数据不会转换为这一新级别。
通过删除并重新安装app,可使app获得新的安全级别。
TouchIDTouchID是iPhone5s中内置的指纹感应系统,有助于更快、更轻松地对设备进行高度安全的访问。
此前瞻性技术可从任意角度读取指纹,感应器会在每次使用时识别更多重叠的节点,从而不断扩展指纹图,逐步加深对用户指纹的认识。
TouchID让使用更长、更复杂的密码变得更加实际,因为用户无需经常输入密码。
TouchID还克服了基于密码进行锁定的不便,它并不取代密码锁定机制,而是允许在精心设计的边界和 !
限制内安全地访问设备。
国际版本 18 iOS部署技术参考指南 启用TouchID后,iPhone5s会在按下“睡眠/唤醒”按钮时立即锁定。
在仅使用密码的安全机制下,许多用户设置解锁宽限期,以免每次使用设备时都输入密码。
借助TouchID,iPhone5s每次进入睡眠模式时都会锁定,而每次唤醒时都需要提供指纹,也可以选择提供 密码。
TouchID可与SecureEnclave配合使用,后者是AppleA7芯片中的协处理器。
SecureEnclave拥有自己的内存空间(已加密和保护),并能够与TouchID感应器安全通信。
当iPhone5s锁定时,将使用SecureEnclave加密内存中的密钥保护数据保护级别为“完全”的密钥。
该密钥最长存放48小时,如果重新启动iPhone5s或者使用五次无法识别的指纹,将丢弃该密钥。
如果可以识别指纹,SecureEnclave将提供用于释放数据保护密钥的密钥,从而使设备得到解锁。
远程擦除iOS支持远程擦除。
如果设备丢失或被盗,管理员或设备所有者可发出远程擦除命令,该命令将删除所有数据并禁用该设备。
如果设备使用Exchange帐户进行配置,则管理员可使用ExchangeManagementConsole(ExchangeServer2007)或ExchangeActiveSyncMobileAdministrationWebTool(ExchangeServer2003或2007)启动远程擦除命令。
ExchangeServer2007用户还可以使用OutlookWebess直接启动远程擦除命令。
远程擦除命令还可以通过MDM解决方案或使用iCloud的“查找我的iPhone”功能发起,即使没有使用Exchange企业服务,也不例外。
本地擦除设备还可配置为在若干次密码输入尝试失败后,自动启动本地擦除。
这可以防止强力侵入设备的尝试。
设立密码后,用户可以在设置中直接启用本地擦除。
默认情况下,iOS会在10次输入密码失败后自动擦除设备。
与其他密码策略一样,最大失败尝试次数可通过配置描述文件或MDM设定,或者通过MicrosoftExchangeActiveSync策略以无线方式强制执行。
“查找我的iPhone”和激活锁如果设备丢失或被盗,则停用设备和抹掉设备上的数据非常重要。
在iOS7中,如果启用了“查找我的iPhone”,则必须输入所有者的AppleID凭证,才能重新激活设备。
对于机构拥有的设备,最好实施监督,或者设立策略供用户停用此功能,以免“查找我的iPhone”妨碍组织将设备分配给其他人使用。
在iOS7.1或更高版本中,某个用户开启“查找我的iPhone”时,你可以使用兼容的MDM解决方案来启用激活锁。
在激活锁启用后,你的MDM解决方案会存储一个绕过码,之后如需抹掉设备上的数据并将其部署给新用户时,可使用该代码自动清除激活锁。
请参阅MDM解决方案文档以了解详细信息。
有关“查找我的iPhone”和激活锁的更多信息,请参阅iCloud支持和移动设备管理和“查找我的iPhone”激活锁。
国际版本 19 网络安全•内置CiscoIPSec、L2TP、PPTPVPN•通过AppStoreapp的SSLVPN•采用X.509证书的SSL/TLS•采用802.1X的WPA/WPA2企业级协议•基于证书的鉴定•RSASecurID、CRYPTOCard VPN协议•CiscoIPSec•L2TP/IPSec•PPTP•SSLVPN 鉴定方式•密码(MSCHAPv2)•RSASecurID•CRYPTOCard•X.509数字证书•共享密钥 802.1X鉴定协议•EAP-TLS•EAP-TTLS•EAP-FAST•EAP-SIM•PEAPv0、v1•LEAP 支持的证书格式iOS支持带有RSA密钥的X.509证书。
可以识别的文件扩展名包括.cer、 .crt和.der。
iOS部署技术参考指南 网络安全 移动用户必须可以在世界的任何地方都能访问公司的网络信息,但是确保用户已获得授权并且数据在传输过程中受到保护也是非常重要的。
iOS提供久经验证的技术,可在WLAN和蜂窝数据网络连接中实现这些安全目标。
除了现有的基础架构,每一次FaceTime会话和iMessage对话也都进行了端到端加密。
iOS为每位用户创建一个唯一的ID,确保通信已正确地加密、路由和连接。
VPN许多企业环境都设有某种形式的虚拟专用网络(VPN)。
这些安全网络服务已经过部署,通常只需要很少的设置和配置就能与iOS配合使用。
iOS开箱即可与多种常用的VPN技术相集成。
有关详细信息,请参阅第1章中的“虚拟专用网络”。
SSL/TLSiOS支持SSLv3和传输层安全(TLSv1.0、1.1和1.2)。
Safari、“日历”、“邮件”和其他互联网应用程序会自动启动这些机制,在iOS和企业服务之间形成加密的通信渠道。
WPA/WPA2iOS支持WPA2企业级网络,以便通过鉴定方式访问你的企业无线网络。
WPA2企业级采用128位AES加密,为用户提供最高级别的保障,在用户通过WLAN网络连接发送和接收通信时,使其数据始终处于保护之下。
由于支持802.1X,iPhone和iPad可以集成到广泛的RADIUS鉴定环境中。
App安全 iOS以确保安全为核心设计宗旨。
它以沙箱方式进行应用程序运行时保护和应用程序签名,可确保app不会遭到篡改。
iOS还提供了一个框架,有助于将应用程序和网络服务凭证安全存放在一个加密的存储位置(称为钥匙串)。
对于开发人员,它提供了通用加密架构,可用于 加密应用程序数据存储。
运行时保护设备上的app都在沙箱模式下运行,可限制其访问由其他app存储的数据。
此外,系统文件、资源和内核会与用户的应用程序空间保持屏蔽。
如果某个app需要访问来自其他app的数据,它只能使用iOS提供的API和服务来完成此操作。
这还可以防止生成代码。
强制代码签名所有iOSapp都必须经过签名。
设备附带的app由Apple签名。
第三方app由开发者使用Apple颁发的证书进行签名。
这可确保app未被篡改或更改。
此外,还会执行运行时检查, !
确保app自上次使用后仍然可信。
国际版本 20 iOS部署技术参考指南 对于自定开发的企业内部app,可使用预置描述文件来控制其使用。
用户必须安装预置描述文件才能执行应用程序。
预置描述文件可通过MDM解决方案以无线方式安装。
管理员还可以只允许特定的设备使用应用程序。
安全的鉴定框架iOS提供安全、加密的钥匙串来存储数字身份、用户名和密码。
钥匙串数据是分区的,以使第三方app存储的凭证不会被使用其他身份的app访问。
这为企业内iOS设备上的一系列应用程序和服务的鉴定凭证提供了保护机制。
通用加密架构应用程序开发人员可访问加密API,用来进一步保护其数据。
它可使用AES、RC4或3DES等经过验证的方法进行对称加密。
此外,iOS设备对AES加密和SHA1哈希提供硬件加速,可最大限度地提高应用程序的性能。
应用程序数据保护App也可利用iOS设备内置的硬件加密以进一步保护敏感的应用程序数据。
开发者可以指定 要进行数据保护的具体文件,要求系统在设备锁定时将该文件的内容加密,app和任何潜在入侵者都不得访问。
App授权默认情况下,iOSapp仅具有非常有限的权限。
开发人员必须明确添加授权才能使用iCloud、后台处理或共享钥匙串等大部分功能。
这可以确保app无法为自己授予本来不具备的数据访问权限。
此外,iOSapp在使用许多iOS功能(例如GPS定位、用户通讯录、摄像头或存储的照片)之前,必须得到用户的明确准许。
互联网服务 Apple构建了一系列强大的服务来帮助用户更充分地使用设备并提高工作效率,其中包括iMessage、FaceTime、Siri、iCloud、iCloud云备份和iCloud钥匙串。
这些互联网服务在设计上继承了iOS在整个平台中推行的安全目标。
这些目标包括:安全处理数据,无论数据存储在设备上还是在通过无线网络进行传输;保护用户的个人信息;防范威胁,阻止对信息和服务进行恶意或未经授权的访问。
每一种服务都采用自己强大的安全架构,丝毫不会影响iOS的整体易用性。
iMessageiMessage1是一种适用于iOS设备和Mac电脑的通信服务。
iMessage支持文本和附件, 例如照片、通讯录和位置。
信息显示在用户注册的所有设备上,用户可使用任一设备继续之前的谈话。
iMessage大量使用Apple推送通知服务(APN)。
iMessage采用端到端加密方式,只有发送和接收设备知道密钥。
Apple无法对信息解密,也不会记录这些信息。
!
国际版本 21 iOS部署技术参考指南 FaceTimeFaceTime2是Apple的视频和音频呼叫服务。
FaceTime通话使用Apple推送通知服务建立初始连接,然后使用互联网连接设立(ICE)和会话启动协议(SIP)创建加密的数据流。
Siri用户只需自然发声即可通过Siri3发送信息、安排会议、拨打电话及执行其他操作。
Siri采用语音识别、文本语音转换以及“客户端-服务器”模式,可响应多种请求。
Siri支持的任务经过专门设计,可确保只使用尽可能少的个人信息,并对这些信息提供全面保护。
Siri的请求和录音都没有可用于识别个人身份的因素,而且Siri功能都尽可能在设备而非服务器上执行。
iCloudiCloud4可以存储音乐、照片、app、日历、文稿等内容,并自动将它们推送至用户的所有设备。
iCloud也可以每天通过WLAN备份信息,包括设备设置、app数据以及短信和彩信。
iCloud通过以下方式来确保内容的安全:通过互联网发送内容时对内容进行加密、以加密方式储存内容以及使用安全令牌进行鉴定。
另外,可以通过配置描述文件停用iCloud功能, 包括照片流、文稿同步和备份。
有关iCloud安全性和隐私政策的更多信息,请参阅iCloud安全性与隐私政策概览。
iCloud云备份iCloud也可以每天通过WLAN备份信息,包括设备设置、app数据以及短信和彩信。
iCloud通过以下方式来确保内容的安全:通过互联网发送内容时对内容进行加密、以加密方式储存内容以及使用安全令牌进行鉴定。
只有当设备已经锁定、连接到电源并且能够通过WLAN访问互联网时,才会发生iCloud云备份。
由于iOS采用独特的加密技术,因此系统经过专门设计,既可保护数据安全,又能进行无人值守式增量备份和还原。
iCloud钥匙串iCloud钥匙串可帮助用户在iOS设备和Mac电脑之间安全地同步密码,而不会将此信息泄露给Apple。
除了强大的隐私和安全性能外,对iCloud钥匙串的设计和架构起到重大影响的其他目标还有易用性,以及恢复钥匙串的能力。
iCloud钥匙串由两项服务构成:钥匙串同步和钥匙串恢复。
在钥匙串同步中,设备只有经过用户批准才能加入同步过程,符合同步条件的每个钥匙串项通过iCloud密钥值存储与每个设备的加密密钥进行交换。
这些项均为临时项,同步完毕后不会留在iCloud中。
钥匙串恢复提供了一条途径,可使用户将其钥匙串交由Apple管理,而不让Apple读取其中包含的密码和其他数据。
即使用户只有一部设备,钥匙串恢复也可以提供安全的网络来防止数据丢失。
当使用Safari为Web帐户生成随机的强大密码时,这一点就特别重要,因为这些密码的唯一记录就存储在钥匙串中。
钥匙串恢复包含两大基本要素:二次鉴定和安全托管服务,后者是Apple专为支持此功能而创建的服务。
用户的钥匙串通过强大的密码加密,只有在满足一组严格的条件时,托管服务才会提供钥匙串的拷贝。
有关安全性的详细信息,请参阅iOS安全指南。
国际版本 22 第3章: 配置和管理 iOS部署技术参考指南 iOS部署可通过一系列管理技术进行简化,这包括简化帐户设置、配置机构策略、分发app和应用设备限制。
用户随后可使用iOS中内置的设置助理自行完成大部分配置工作。
在MDM中配置并注册iOS设备后,即可由IT进行无线管理。
本章介绍如何使用配置描述文件和移动设备管理来支持iOS部署。
设备设置和激活 iOS开箱即允许用户通过iOS中的设置助理来激活设备、配置基本设置并立即开展工作。
除基本设置外,用户还可以自定他们的个人偏好设置,例如语言、位置、Siri、iCloud和“查找我的iPhone”。
通过设置助理,用户还可以创建个人AppleID(如果还没有此ID)。
AppleIDAppleID是一种身份,用于登录各种Apple设备,例如FaceTime、iMessage、iTunes、AppStore、iCloud和iBooksStore。
凭借AppleID,每个用户都可以从iTunesStore、AppStore或iBooksStore安装app、图书和内容。
用户还可以使用AppleID注册iCloud帐户,以便在多部设备上访问和共享内容。
为充分利用这些服务,用户应使用自己的个人AppleID。
如果用户还没有AppleID,可在获得设备之前就创建一个,这样可以尽快地完成配置。
要了解如何注册AppleID,请参阅我的AppleID。
使用AppleConfigurator准备设备对于由IT集中管理而非由各个用户分别设置的设备,AppleConfigurator可用于快速激活设备、定义和应用配置、监管设备、安装app以及将设备更新至最新的iOS版本。
AppleConfigurator是一款适用于OSX的免费应用程序,可从MacAppStore下载。
设备需要通过USB连接至Mac才能执行这些任务。
你还可以将备份还原到设备,这会应用设备设置和主屏幕布局,并安装app数据。
!
国际版本 23 iOS部署技术参考指南 配置描述文件 配置描述文件是XML文件,其中包含下列内容:设备安全策略和限制、VPN配置信息、WLAN设置、电子邮件和日历帐户,以及可使iOS设备与IT系统结合使用的鉴定凭证。
配置描述文件能快速地将设置和授权信息载入到设备上。
有些VPN和WLAN设置只能使用配置描述文件来设定,而且如果你使用的不是MicrosoftExchange,则将需要使用配置描述文件来设定设备密码策略。
配置描述文件可使用无线描述文件传送或通过移动设备管理(MDM)进行分发。
你还可以使用AppleConfigurator将配置描述文件安装在通过USB连接到电脑的设备上,或者通过电子邮件或网页来分发配置描述文件。
当用户在他们的设备上打开电子邮件附件或使用Safari下载描述文件时,会提示他们开始安装过程。
如果你使用的是MDM服务器,则可以分发仅包含服务器配置信息的初始描述文件,然后让设备以无线方式获取所有其他描述文件。
配置描述文件可被加密和签名,这会允许你将它们限制用于特定设备并阻止任何人更改描述文件所含有的设置。
你还可以将描述文件标记为锁定到设备,这样描述文件在安装后就不能移除,除非擦除设备上的所有数据,或者输入密码(可选)。
用户不能更改配置描述文件中提供的设置,除非使用密码。
此外,由描述文件配置的帐户 (如Exchange帐户)只能通过删除相应的描述文件来删除。
有关更多信息,请参阅iOS开发人员资料库网站上的配置描述文件重要参考。
移动设备管理(MDM) iOS具有内置MDM框架,允许第三方MDM解决方案与iOS设备无线交互。
这款轻便框架完全针对iOS设备而设计,功能强大且可以扩展,足以配置和管理一所组织内的所有iOS设备。
有了MDM解决方案,IT管理员可将设备安全融入企业环境中。
不仅能配置和更新设置,监督企业策略的贯彻情况,还可远程擦除或锁定被管理的设备。
iOSMDM为IT提供了一种简便的方式来支持用户对网络服务的访问,同时确保设备得到适当配置,而不论它们归谁所有。
MDM解决方案使用Apple推送通知服务(APN),以通过公共和专用网络与设备持续通信。
MDM需要多个证书才能运行,包括与客户端通信的APN证书和用于安全通信的SSL证书。
MDM解决方案还可以通过证书签署描述文件。
大多数证书(包括APNS证书)必须手动续订。
证书过期后,MDM服务器将无法与客户端通信,直到证书得到更新。
在证书过期之前,请做好更新所有MDM证书的准备。
有关MDM证书的更多信息,请参阅Apple推送证书门户。
国际版本 24 iOS部署技术参考指南 注册注册设备后,将启用编录和资产管理。
注册过程可利用简单证书注册协议(SCEP),它允许iOS设备创建并注册唯一的身份证书,供机构服务进行使用鉴定。
在大多数情况下,用户可决定是否在MDM中注册其设备,并可以随时取消与MDM的关联。
各机构应考虑采取一些激励措施,鼓励用户保持托管状态。
例如,通过使用MDM解决方案自动提供无线凭证,要求完成MDM注册才能访问WLAN网络。
当用户离开MDM时,设备会尝试通知MDM服务器。
配置设备一旦注册,移动设备管理服务器就可以动态配置其设置和策略,此服务器会向设备发送配置描述文件,而设备会以自动和静默的方式安装这些描述文件。
配置描述文件可进行签名、加密和锁定(防止更改或共享设置),从而确保仅允许按照你的具体要求而配置的可信用户和设备访问你的网络和服务。
如果用户将设备与MDM解除关联,则通过MDM安装的所有设置都会被删除。
帐户移动设备管理可自动设置组织用户的邮件和其他帐户,帮助他们更快上手。
根据MDM产品以及与内部系统的集成情况,帐户有效负载还可以预先填充用户的名称、邮件地址以及用于鉴定和签名的证书标识(如果适用)。
MDM可配置以下类型的帐户: •邮件•日历•已订阅的日历•通讯录•ExchangeActiveSync•LDAP托管邮件和日历帐户遵守iOS7中的“托管打开方式”限制。
查询移动设备管理服务器能够查询设备的各种信息。
这包括诸如序列号、设备UDID或WLANMAC地址等硬件信息,以及iOS版本和设备上安装的所有app的详细列表等软件信息。
这些信息可用来帮助确保用户维护一组适当的app。
国际版本 25 iOS部署技术参考指南 命令当设备处于托管状态时,移动设备管理服务器可通过一组特定的操作对其进行管理。
管理任务包括: •更改配置设置。
可发送一个命令,以便在设备上安装新的或更新后的配置描述文件。
配置更改可静默进行,无需与用户进行交互。
•锁定设备。
如果需要立即锁定设备,则可发送一个命令,以便使用当前设定的密码将其锁定。
•远程擦除设备。
如果设备丢失或被窃,则可发送一个命令,以便抹掉设备上的所有数据。
一旦收到远程擦除命令,此操作便无法还原。
•清除密码锁定。
清除设备的密码后,设备会立即要求用户输入新密码。
当用户忘记密码并希望IT为其重设密码时,可使用此命令。
•请求AirPlay镜像和停止AirPlay镜像。
iOS7添加了一个命令,用来提示受监管的iOS设备开始向特定位置进行AirPlay镜像或终止当前的AirPlay会话。
托管app组织经常需要分发软件来帮助他们的用户提高工作效率或课堂效率。
与此同时,组织需要控制该软件如何连接内部资源或在用户离开组织后如何处理数据安全问题,这一切都要与用户的个人app和数据共存。
借助iOS7中的托管app,组织可以使用MDM无线分发企业app,同时在机构安全与用户个性化之间取得适当平衡。
MDM服务器可以将AppStoreapp和企业内部app以无线方式部署到设备。
托管app可由MDM服务器远程删除,或在用户从MDM删除其自有设备时删除。
删除app时将同时删除与之关联的数据。
iOS7和移动设备管理为iOS7中的托管app添加了一套附加限制和功能,以便提供更高的安全性和更好的用户体验:•托管打开方式。
提供两种有用的功能,用来保护组织的app数据: –允许在托管app中打开使用非托管app创建的文稿。
实施这一限制可防止用户的个人app和帐户打开组织的托管app中的文稿。
例如,这样的限制可以防止用户使用Keynote打开保护机构内部的PDF阅读器中的PDF文稿。
此限制还可防止用户的个人iCloud帐户在组织的Pages副本中打开文字处理文稿附件。
–允许在非托管app中打开使用托管app创建的文稿。
实施这一限制可防止组织的托管app和帐户在用户的个人app中打开文稿。
此限制可防止在用户的任何个人app中打开组织托管电子邮件帐户中的机密电子邮件附件。
•App配置。
App开发者可以标识出那些在作为托管app安装时可配置的app设置。
这些配置设置可以在安装托管app之前或之后安装。
•App反馈。
构建app的开发者可以标识出可使用MDM从托管app中读取的app设置。
例如,开发者可以指定一个“DidFinishSetup”键用于app反馈,MDM服务器可以查询此键以确定app是否已启动和设置。
•防止备份。
此限制可防止托管app将数据备份到iCloud或iTunes。
如果禁止备份,则在通过MDM删除托管app,然后用户又重新安装该app后,可防止恢复app数据。
国际版本 26 iOS部署技术参考指南 设备监管 默认情况下,所有iOS设备都不受监管。
要启用附加配置选项和限制,你可以选择使用AppleConfigurator监管归组织所有的iOS设备。
当在计划中将设备分配给MDM服务器后,可使用组织的MDM服务器应用描述文件和附加功能。
这些功能包括:•设备监管•强制配置•可锁定MDM设置•跳过设置助理中的步骤 可跳过的设置助理屏幕包括:•密码。
跳过密码设置•位置。
不启用定位服务•从备份恢复。
不从备份恢复•AppleID。
不提示你使用AppleID登录•服务条款。
跳过服务条款•Siri。
不启用Siri•发送诊断。
不自动发送诊断信息 受监管的设备监管功能为归组织所有的设备提供了更高的设备管理水平,可以实现诸如关闭iMessage或GameCenter等附加限制。
它还提供了诸如Web内容过滤等附加设备配置和功能,还可以实现静默安装app。
可以在设备上使用AppleConfigurator以无线方式启用监管。
请参见附录
B,了解可在受监管设备上启用的具体限制。
!
国际版本 27 第4章: App分发 iOS部署技术参考指南 iOS附带一套app,可供组织内的用户执行日常所需的全部任务,例如,电子邮件、管理日历、跟踪记录联系人,以及通过Web消费内容。
很多能够帮助用户提高效率的功能均来自AppStore中提供的成千上万的第三方iOSapp,或定制开发的企业内部app。
iOS开发者企业计划的成员可以创建和部署自己的企业内部app。
本章介绍可用于向用户部署app的方法。
企业内部App 如果你自行开发iOSapp来供你的组织使用,则可通过iOS开发者企业计划部署企业内部app。
部署企业内部app的过程如下:•注册iOS开发者企业计划。
•准备好要进行分发的app。
•创建企业分发预置描述文件,用于授权设备使用你已签名的app。
•使用预置描述文件构建app。
•为用户部署app。
注册以进行app开发要开发和部署iOS企业内部app,首先需要注册iOS开发者企业计划。
一旦注册,你便可以请求开发者证书和开发者预置描述文件。
你在开发过程中使用这些文件来构建和测试你的app。
开发预置描述文件允许那些使用你的开发者证书进行签名的app在注册设备上运行。
你可以在iOSProvisioningPortal上创建开发者预置描述文件。
该临时描述文件在3个月后过期,并会按设备ID指定哪些设备可以运行app的开发版本。
你可以将开发者签名的版本和开发预置描述文件分发给你的app团队和测试人员。
准备好要进行分发的app在完成开发和测试并准备好部署你的app后,你可以使用分发证书给app签名,并将其与预置描述文件一起打包。
为你的计划成员资格指定的团队代理或管理员会在iOSProvisioningPortal上创建该证书和描述文件。
在生成分发证书的过程中,会使用“证书助理”(OSX开发系统上“钥匙串访问”app的一部分)来生成证书签名请求(CSR)。
你应将CSR上传到iOSProvisioningPortal,然后会收到分发证书作为回复。
当你在“钥匙串”中安装此证书时,可以设定Xcode使用此证书为你的app签名。
!
国际版本 28 iOS部署技术参考指南 预置企业内部app利用企业分发预置描述文件,可以将你的app安装到任意数量的iOS设备上。
你可以为特定app或多个app创建企业分发预置描述文件。
当你在Mac上同时安装企业分发证书和预置描述文件后,便可以使用Xcode来签署和构建app的发行/生产版本。
企业分发证书的有效期是3年,有效期过后,你必须使用续订的证书再次签署和构建你的app。
App预置描述文件的有效期是一年,所以你需要每年发布一次新预置描述文件。
请参见附录C中的“提供更新后的app”以了解更多详情。
你应限制对你的分发证书及其专用密钥的访问,这非常重要。
使用OSX上的“钥匙串访问”可利用p12格式导出和备份这些项目。
如果专用密钥丢失,则无法再次恢复或下载。
除了确保证书和专用密钥的安全外,你还应该限制对负责最终接受app的人员的接触。
使用分发证书给应用程序签名相当于批准app的内容和功能,表明遵循企业开发者协议的许可条款。
部署App 你可以通过四种方式来部署app:•分发app以便用户使用iTunes进行安装。
•让IT管理员使用AppleConfigurator将app安装到设备上。
•将app发布到安全的Web服务器;用户以无线方式访问和执行安装。
请参阅“附录C: 以无线方式安装企业内部App”。
•使用你的MDM服务器来指示托管设备安装企业内部app或AppStoreapp(如果你的 MDM服务器支持该功能)。
使用iTunes安装app如果你的用户使用iTunes在他们的设备上安装app,请将app安全地分发给用户,并让他们遵循下列步骤:
1.在iTunes中,选取“文件”>“添加到资料库”,然后选择文件(.app、.ipa或 .mobileprovision)。
用户也可以将文件拖到iTunesapp图标上。
2.将设备连接到电脑,然后在iTunes的“设备”列表中将其选中。
3.点按“应用程序”标签,然后在列表中选择app。
4.点按“应用”。
如果用户的电脑处于托管状态,则无需要求他们将文件添加到iTunes,只需将文件部署到他们的电脑并要求他们对其设备进行同步。
iTunes会自动安装位于iTunes的“MobileApplications”和“ProvisioningProfiles”文件夹中的文件。
使用AppleConfigurator安装appAppleConfigurator是一种可在MacAppStore中下载的免费OSX应用程序,IT管理员可用它来安装企业内部app或来自AppStore的app。
AppStore中的app或企业内部app可直接导入AppleConfigurator,并安装到任意数量的设备上。
!
国际版本 29 iOS部署技术参考指南 使用MDM安装appMDM服务器可以管理来自AppStore的第三方app,也可以管理企业内部app。
使用MDM安装的app称为“托管app”。
MDM服务器可以指定当用户从MDM取消注册后是否保留托管app及其数据。
此外,服务器还可以防止托管app数据备份到iTunes和iCloud。
这可以使IT在管理可能包含敏感业务信息的app时,拥有比用户直接下载的app更多的控制权。
为了安装托管app,MDM服务器会向设备发送安装命令。
在受监管的设备上,托管app需要获得用户的同意才能安装。
托管app可以从iOS7的附加控制措施中受益。
VPN连接现在可在app层指定,这意味着仅该app的网络通信才会在受保护的VPN通道中。
这可以确保专用数据保持隐私性,而不会与共有数据相混合。
托管app还支持iOS7中的“托管打开方式”功能。
这意味着可限制托管app与用户的个人app之间相互传输数据,从而使企业可以确保敏感数据留在应有的位置。
高速缓存服务器 iOS便于用户轻松访问和消费数字内容,一些用户可能会在连接到组织的无线网络时请求数千兆字节的app、图书和软件更新。
对这些资源的需求会以高峰形式出现,首先会随初始设备部署而发生一波高峰,之后,随着用户发现新的内容或内容随时间而更新,也会零星出现需求高峰。
由于这些内容下载,可能会导致对互联网带宽的需求激增。
OSXServer中的高速缓存服务器功能可以将所请求内容的缓存副本存储在局域网内,从而减少专用网络上的出站互联网带宽(RFC1918)。
通过设置多台高速缓存服务器,规模较大的网络将会从中受益。
对于很多部署来说,配置高速缓存服务器就像开启服务一样简单。
服务器及所有利用此服务器的设备需要一种NAT环境。
有关更多信息,请参阅OSXServer:高级管理。
运行iOS7的iOS设备将自动联系附近的高速缓存服务器,无需任何附加设备配置。
以下说明了高速缓存服务器工作流程如何对iOS设备以透明方式运行:
1.在具有一个或多个高速缓存服务器的网络上,当一部iOS设备向iTunesStore或软件更新 服务器请求内容时,此iOS设备将被引荐给一个高速缓存服务器。
2.此高速缓存服务器首先将查看其本地缓存中是否已经具有所请求的内容。
如果有,它将立即开始向iOS设备供应内容。
3.如果此高速缓存服务器没有所请求的资源,则将尝试从其他来源下载内容。
OSXMavericks的高速缓存服务器2具备一种对等复制功能,可以使用网络上的其他高速缓存服务器(如果这些服务器已经下载所请求的内容)。
4.当高速缓存服务器收到下载数据后,它将立即转发给请求数据的任何客户端,同时将副本缓 !
存到磁盘。
国际版本 30 iOS部署技术参考指南 iOS7支持以下类型的缓存内容:•iOS软件更新•AppStoreapp•AppStore更新•iBooksStore中的图书iTunes还支持高速缓存服务器
2。
iTunes11.0.4或更高版本(包括Mac和Windows)支持以下类型的内容:•AppStoreapp•AppStore更新•iBooksStore中的图书 国家/地区限制由于许可分发和税法方面的原因,某些内容可能无法在某些国家/地区缓存。
自2013年12月起,iTunes下载项目无法在巴西、墨西哥、中国和葡萄牙缓存,且iBooks下载项目无法在加拿大缓存。
如果根据客户端的IP地址,其所在国家/地区与使用iTunesStore的国家/地区不同,则iTunes下载项目将无法缓存。
例如,旧金山的iPad用户可以从德国的iTunesStore下载app,但是 !
无法使用缓存服务。
!
国际版本 31 附录A: WLAN基础架构 iOS部署技术参考指南 在为iOS部署准备WLAN基础架构时,需要考虑以下几个因素:•所需的覆盖区域•使用WLAN网络的设备数量和密度•设备类型及其WLAN功能•要传输的数据类型及数量•无线网络访问方面的安全要求•加密要求 尽管此列表并不详尽,但它代表了一些最相关的WLAN网络设计因素。
提醒:本章重点介绍美国的WLAN网络设计。
此设计在其他国家/地区可能有所不同。
规划覆盖范围和密度尽管在要使用iOS设备的地点提供WLAN覆盖至关重要,但针对给定区域内的设备密度进行规划也必不可少。
大多数现代、企业级接入点最多能够处理50个WLAN客户端,但如果将如此之多的设备与单个接入点相关联,用户体验可能会令人失望。
每台设备上的体验取决于在用通道上的可用无线带宽以及共享总带宽的设备数量。
随着使用同一接入点的设备越来越多,这些设备的相对网络速度将会降低。
在进行WLAN网络设计时,你应该考虑iOS设备的预期使用模式。
2.4GHz和5GHz在美国,在2.4GHz下运行的WLAN网络允许建立11个频道。
但是,考虑到频道干扰问题,在网络设计中只应使用频道1、6和11。
5GHz信号与2.4GHz信号一样无法穿透墙壁和其他障碍物,导致覆盖区域较小。
因此,在为封闭空间(例如教室)内的高密度设备设计网络时,可能会首选5GHz网络。
5GHz频段内的可用频道数量因接入点供应商和国家/地区而异,但是至少有8个频道始终可用。
5GHz频道都是不重叠的,这明显不同于2.4GHz频段内的三个不重叠频道。
在为高密度iOS设备设计WLAN网络时,5GHz下提供的附加频道将成为一个战略性的规划考虑因素。
!
国际版本 32 iOS部署技术参考指南 设计覆盖范围建筑物的物理布局可能会对你的WLAN网络设计产生影响。
例如,在企业环境内,用户可能会在会议室或办公室与其他员工会面。
因此,用户一天里会在建筑物内不断移动。
这种情况下,大多数网络访问来自于检查电子邮件、日历和上网浏览,因此WLAN覆盖范围的优先级最高。
设计WLAN时可以在每层楼包含两个或三个接入点,用以为办公室提供网络覆盖,同时在每间会议室各包含一个接入点。
设计密度与上面的场景相对,假设一间学校有1000名学生和30名教师,全部位于一幢两层建筑中。
学校为每名学生配备了一台iPad,并为每位教师配备了一台MacBookAir和一台iPad。
每间教室大约可容纳35名学生,并且教室彼此相邻。
学生一整天都在互联网上进行研究、观看课程视频,并不断从LAN上的文件服务器上复制文件或将文件复制到服务器。
这种情况下,由于移动设备的密度更高,因此WLAN网络设计更为复杂。
鉴于每间教室大约有35名学生,所以每间教室可以部署一个接入点。
应该考虑在公共区域部署多个接入点,以便提供足够的网络覆盖。
各公共区域的实际接入点数量将有所不同,具体取决于这些区域中WLAN设备的密度。
如果需要将仅支持802.11b或802.11g标准的设备加入到网络,可选方案之一是直接启用802.11b/g(如果已部署双频接入点)。
另一种方案是:针对较新的设备预置一个使用5GHz802.11n的SSID,然后再预置一个2.4GHz的SSID以支持802.11b和802.11g设备。
但是,请注意不要创建过多的SSID。
两种设计方案都应避免使用隐藏SSID。
与广播SSID相比,WLAN设备重新连接隐藏SSID会比较困难,并且隐藏SSID几乎没有安全优势。
用户倾向于经常携带他们的iOS设备改变位置,因此隐藏SSID可能会延长网络关联时间。
Apple产品中的WLAN标准随后的列表中详细介绍了Apple产品对各种WLAN规格的支持情况,其中包括以下信息: •802.11.兼容性。
802.11b/g、802.11a、802.11n •频段。
2.4GHz或5GHz •MCS指数。
调制和编码方案(MCS)指数用于定义802.11n设备通信时可达到的最大传输 速率。
!
•通道绑定。
HD20或HD40 国际版本 33 iOS部署技术参考指南 •保护间隔(GI)。
保护间隔是从一台设备传输到另一台设备的符号之间的时间间隔。
802.11n标准定义了较短的400ns保护间隔以实现更高的整体吞吐量,但是设备可以使用较长的800ns保护间隔。
iPhone5s802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HT40/400nsGI iPhone5c802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HT40/400nsGI iPhone5802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HD40/400nsGI iPhone4s802.11n@2.4GHz 802.11b/g MCS指数7/HD20/800nsGI iPhone4802.11n@2.4GHz 802.11b/g MCS指数7/HD20/800nsGI iPadAir和配备Retina显示屏的iPadmini802.11n@2.4GHz和5GHz802.11a/b/gMCS指数15/HT40/400nsGI iPad(第4代)与iPadmini802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HD40/400nsGI iPad(第1代、第2代和第3代)802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HD20/800nsGI iPodtouch(第5代)802.11n@2.4GHz和5GHz 802.11a/b/g MCS指数7/HD40/400nsGI iPodtouch(第4代)802.11n@2.4GHz 802.11b/g MCS指数7/HD20/800nsGI !
国际版本 34 附录B: 限制 iOS部署技术参考指南 iOS支持以下政策和限制,它们全部可根据组织的需要进行配置。
设备功能•允许安装app•允许Siri•在锁定时允许Siri•允许使用摄像头•允许FaceTime•允许屏幕捕捉•允许漫游时自动同步•允许同步邮件最近使用的项目•允许语音拨号•允许App内购买•所有购买均需要提供零售店密码•允许多人游戏•允许添加GameCenter好友•设置允许的内容分级•允许TouchID•允许锁屏状态下访问控制中心•允许锁屏状态下访问通知中心•允许锁屏状态下显示“今天”视图•允许锁屏状态下显示Passbook通知 应用程序•允许使用iTunesStore•允许使用Safari•设置Safari安全偏好设置 iCloud•允许备份•允许文稿同步和钥匙串同步•允许我的照片流•允许iCloud照片共享 !
国际版本 35 安全和隐私•允许将诊断数据发送给Apple•允许用户接受不受信任的证书•执行加密备份•允许从非托管app打开到托管app•允许从托管app打开到非托管app•首次AirPlay配对时需要密码•允许以无线方式进行PKI更新•需要限制广告跟踪 仅限受监管设备的限制•单一App模式•“辅助功能”设置•允许iMessage•允许GameCenter•允许删除app•允许iBooksStore•允许iBooksStore中的色情图书•启用Siri脏话过滤器•允许手动安装配置描述文件•HTTP的全球网络代理•允许配对到电脑以进行内容同步•使用白名单和可选连接密码限制AirPlay连接•允许AirDrop•允许帐户修改•允许蜂窝数据设置修改•允许“查找我的朋友”•允许主机配对(iTunes)•允许激活锁定 !
!
iOS部署技术参考指南 国际版本 36 iOS部署技术参考指南 附录C: 以无线方式安装企业内部App iOS支持以无线方式安装定制开发的企业内部app,而无需使用iTunes或AppStore。
要求:•已鉴定的用户可访问的安全Web服务器•.ipa格式的iOSapp,使用企业预置描述文件为发行/生产而构建•此附录中描述的XML清单文件•允许设备访问AppleiTunes服务器的网络配置安装app很简单。
用户可以将清单文件从你的网站下载到他们的iOS设备。
该清单文件会指示设备下载和安装文件中所引用的app。
你可以通过SMS或电子邮件分发用于下载清单文件的URL,或将其嵌入你所创建的另一企业app中。
你负责设计和托管用于分发app的网站。
确保用户已通过鉴定(可能是使用基本鉴定或基于目录的鉴定),并确定网站可通过内联网或互联网进行访问。
你可以将app和清单文件放入隐藏目录,或其他任何可使用HTTPS读取的位置。
在创建自助服务门户时,请考虑在用户主页屏幕中添加一个WebClip,以便用户轻松返回门户以获取未来部署信息,例如,新的配置描述文件、推荐的AppStoreapp,以及移动设备管理解决方案的注册信息。
准备好要以无线方式分发的企业内部app要使你的企业内部app做好无线分发的准备,你需要构建一个归档版本(.ipa文件),以及一个清单文件,此文件用于实现app的无线分发和安装。
你可以使用Xcode来创建app归档。
使用你的分发证书给app签名,并在归档中包括你的企业开发预置描述文件。
有关构建和归档app的更多信息,请访问iOSDevCenter或参阅Xcode用户指南,此指南可通过Xcode中的“帮助”菜单获得。
关于无线清单文件清单文件是XMLplist格式。
iOS设备使用它从你的Web服务器上查找、下载和安装app。
清单文件是由Xcode创建的,使用的是你在共享用于企业分发的归档app时所提供的信息。
请参见上一节,了解如何准备好要进行分发的app。
国际版本 37 iOS部署技术参考指南 以下栏是必填项: 项目 说明 URL App(.ipa)文件的完全限定HTTPSURL。
display-image 一幅57x57像素PNG图像,在下载和安装过程中显示。
指定图像的完全限定URL。
full-size-image 一幅512x512像素PNG图像,用来在iTunes中表示相应app。
bundle-identifier 你的app的包标识符,与Xcode项目中指定的完全一样。
bundle-version 你的app的包版本,在Xcode项目中指定。
!
title 下载和安装过程中显示的app的名称。
仅对于“报刊杂志”app来说,以下栏才是必填项: 项目 说明 newsstand-image UINewsstandBindingEdgeUINewsstandBindingTypeUINewsstandApp 一幅完整大小的PNG图像,用于显示在“报刊杂志”书架上。
这些键必须与“报刊杂志”app的info.plist中的键相符。
表明相应app是“报刊杂志”app。
示例清单文件中描述了你可以使用的一些可选键。
例如,如果你的app文件太大并且想要在执行错误检验(TCP通信通常会执行该检验)的基础上确保下载的完整性,则可以使用MD5键。
通过指定项目数组的附加成员,你可以使用一个清单文件安装多个app。
此附录末尾包含一个示例清单文件。
构建网站将这些项目上传到你网站上可供已鉴定的用户访问的区域:•app(.ipa)文件 •清单(.plist)文件 你的网站设计可以非常简单,就像链接到清单文件的单个页面一样。
当用户轻按Web链接时,将会下载清单文件,并触发下载和安装它所描述的app。
以下是一个示例链接:
载入清单文件时,设备会下载该.ipa文件。
虽然URL的协议部分是itms-services,但iTunesStore并不参与此过程。
此外,请确保你的.ipa文件可通过HTTPS进行访问,并且你的站点已使用iOS信任的证书进行了签名。
如果自签名证书没有受信任的锚点并且无法由iOS设备验证,安装将失败。
国际版本 38 iOS部署技术参考指南 设定服务器MIME类型你可能需要配置你的Web服务器,以便正确地传输清单文件和app文件。
对于OSXServer,请将以下MIME类型添加到Web服务的“MIME类型”设置:application/octet-streamipa text/xmlplist 对于IIS,请使用IISManager在服务器的“属性”页面中添加MIME类型: .ipaapplication/octet-stream .plisttext/xml 无线app分发故障诊断如果无线app分发失败并显示“无法下载”信息,请进行以下检查: •确定app已正确进行签名。
测试方法是使用AppleConfigurator将其安装到设备上, 然后查看是否发生错误。
•确定清单文件的链接是正确的,且清单文件可供Web用户访问。
•确定.ipa文件(在清单文件中)的URL是正确的,并且该.ipa文件可供Web用户通过HTTPS进行访问。
网络配置要求如果设备连接到封闭式内部网络,你应该允许iOS设备访问以下站点: URL 原因 设备会获取通过蜂窝移动网络下载app的当前文件大小限制。
如果无法访问此站点,则安装可能会失败。
设备会联系此站点,以检查用来给预置描述文件签名的分发证书的状态。
请参阅下面的“证书验证”。
提供更新的app你自己分发的app不会自动更新。
当你有新版本可供用户安装时,应通知他们进行更新并指导他们安装app。
请考虑让app检查更新,并在打开app时通知用户。
如果你使用的是无线app分发,则在通知中可以提供更新版app的清单文件链接。
如果你想要用户保留他们的设备上存储的app数据,请确保新版本与它要替换的版本使用相同的捆绑标识符,并告知用户在安装新版本之前不要删除他们的旧版本。
如果捆绑标识符相匹配,新版本将会替换旧版本并保留设备上存储的数据。
分发预置描述文件自签发之日起12个月后过期。
过期后,系统将删除描述文件,而app将不 !
会启动。
国际版本 39 iOS部署技术参考指南 请在预置描述文件过期之前,使用iOSDevelopmentPortal(iOS开发门户)为app创建新描述文件。
对于首次安装app的用户,请使用新预置描述文件创建新的app归档(.ipa)。
对于已经拥有该app的用户,你可能想要设定发布下一个版本的时间,以便它包括新预置描述文件。
如果你不想这样做,则可以仅分发新的.mobileprovision文件,这样用户便不必再次安装该app。
新的预置描述文件将覆盖app归档中已有的描述文件。
预置描述文件可以使用MDM进行安装和管理,也可以由用户从你提供的安全网站上进行下载和安装,或者,作为电子邮件附件分发给用户,供用户打开和安装。
当你的分发证书过期后,app将不会启动。
分发证书自签发之日起三年内有效,或者在你的企业开发者计划成员资格过期之前一直有效,二者以先到者为准。
若要防止证书提前到期,请确保在成员资格过期之前进行续订。
有关如何检查分发证书的信息,请参见下面的“证书验证”。
你可以同时让两个证书处于活跃状态,并且彼此独立。
第二个证书是为了提供一个重叠期,让你能够在第一个证书过期前更新你的app。
从iOSDevCenter请求第二个分发证书时,请确保不要撤销第一个证书。
证书验证用户首次打开app时,系统会通过联系Apple的OCSP服务器来验证分发证书。
除非证书已被撤销,否则将允许app运行。
如不能联系OCSP服务器或不能从OCSP服务器获得响应,这种情况不会被视为撤销。
为了验证状态,设备必须能够访问。
请参见此附录前面部分的“网络配置要求”。
OCSP响应会在设备上缓存一段时间(由OCSP服务器指定),当前为介于3到7天之间。
在重新启动设备和缓存的响应过期之前,将不会再次检查证书的有效性。
如果那时收到撤销命令,则系统将阻止app运行。
如果撤销分发证书,则使用该证书签名的所有app都会失效。
你只应在万不得已时撤销证书,比如你确定专用密钥已丢失或确信证书已遭破解。
!
国际版本 40 iOS部署技术参考指南 示例app清单文件DOCTYPEplistPUBLIC“-//Apple//DTDPLIST1.0//EN”“/DTDs/PropertyList-1.0.dtd”>
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
1可能需支付一般运营商数据资费。
iMessage无法使用时,文本信息可能以短信发送,需支付运营商信息资费。
2FaceTime视频通话要求通话双方使用支持FaceTime的设备和WLAN连接。
通过蜂窝网络进行FaceTime视频通话时,需要具备蜂窝网络数据功能的iPhone4s或更新机型、配备Retina显示屏的iPad或iPadmini。
能否通过蜂窝网络使用此功能取决于运营商政策;可能需要支付数据费用。
3Siri可能仅支持部分语言或地区,并且功能可能因地区而异。
需要使用互联网连接。
可能需要支付蜂窝数据费用。
4某些功能要求使用WLAN网络连接。
某些功能仅适用于部分国家或地区。
某些服务仅限10部设备进行访问。
©2014AppleInc.保留所有权利。
Apple、Apple标志、AirDrop、AirPlay、AppleTV、Bonjour、FaceTime、iBooks、iMessage、iPad、iPhone、iPodtouch、iTunes、Keychain、Keynote、Mac、Mac标志、MacBookAir、OSX、Pages、Passbook、Retina、Safari、Siri和Xcode是AppleInc.在美国和其他国家/地区的注册商标。
AirPrint、iPadAir和iPadmini是AppleInc.的商标。
iCloud和iTunesStore是AppleInc.在美国和其他国家/地区注册的服务商标。
AppStore和iBooksStore是AppleInc.的服务商标。
IOS是Cisco在美国及其他国家和地区的商标或注册商标,经许可后使用。
此处提及的其他产品和公司名称可能是其各自公司的商标。
国际版本 42
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
