Apple iPhone OS Guide [de]
iPhone OS
Einsatz in Unternehmen
Zweite Auflage für Version 3.1 oder neuer
K
Apple Inc.
© 2009 Apple Inc. Alle Rechte vorbehalten.
Das Kopieren, Vervielfältigen, Übersetzen oder Umsetzen
dieses Handbuchs in irgendein elektronisches Medium
oder maschinell lesbare Form im Ganzen oder in Teilen
ohne vorherige schriftliche Genehmigung von Apple ist
nicht gestattet.
Das Apple-Logo ist eine Marke der Apple Inc., die in den
USA und weiteren Ländern eingetragen ist. Die Verwendung des über die Tastatur erzeugten Apple-Logos für
kommerzielle Zwecke ohne vorherige Genehmigung
von Apple kann als Markenmissbrauch und unlauterer
Wettbewerb gerichtlich verfolgt werden.
Es wurden alle Anstrengungen unternommen, um
sicherzustellen, dass die in diesem Handbuch aufgeführten Informationen korrekt sind. Apple übernimmt
jedoch keine Gewähr für die Richtigkeit des Inhalts
dieses Handbuchs.
Apple
1 Infinite Loop
Cupertino, CA 95014
408-996-1010
www.apple.com
Apple, das Apple-Logo, Bonjour, iPod, iPod touch,
iTunes, Keychain, Leopard, Mac, Macintosh, das MacLogo, Mac OS, QuickTime und Safari sind Marken der
Apple Inc., die in den USA und weiteren Ländern eingetragen sind.
iPhone ist eine Marke der Apple Inc.
iTunes Store und App Store sind Dienstleistungsmarken
der Apple Inc., die in den USA und weiteren Ländern
eingetragen sind. MobileMe ist eine Dienstleistungsmarke der Apple Inc.
Die Rechte an anderen in diesem Handbuch erwähnten
Marken- und Produktnamen liegen bei ihren Inhabern
und werden hiermit anerkannt. Die Nennung von Produkten, die nicht von Apple sind, dient ausschließlich
Informationszwecken und stellt keine Werbung dar.
Apple übernimmt hinsichtlich der Auswahl, Leistung
oder Verwendbarkeit dieser Produkte keine Gewähr.
D019-1601 / September 2009
2
Inhalt
Vorwort 6 Das iPhone in Unternehmen
6
Neuerungen für Unternehmen in iPhone OS 3.0 und neuer
7
Systemanforderungen
9
Microsoft Exchange ActiveSync
11
VPN
12
Netzwerksicherheit
12
Zertifikate und Identitäten
13
E-Mail-Accounts
13
LDAP-Server
13
CalDAV-Server
14
Zusätzliche Informationsressourcen
Kapitel 1 15 Implementieren von iPhone- und iPod touch-Geräten
16
Aktivieren der Geräte
16
Vorbereiten des Zugriffs auf Netzwerkdienste und Unternehmensdaten
22
Festlegen der Richtlinien für den Gerätecode
23
Konfigurieren von Geräten
24
Drahtlose Registrierung und Konfiguration
29
Weitere Informationsquellen
Kapitel 2 30 Erstellen und Implementieren von Konfigurationsprofilen
31
iPhone-Konfigurationsprogramm
32
Erstellen von Konfigurationsprofilen
44
Bearbeiten von Konfigurationsprofilen
44
Installieren von Vorlageprofilen und Programmen
45
Installieren von Konfigurationsprofilen
49
Entfernen und Aktualisieren von Konfigurationsprofilen
Kapitel 3 50 Manuelles Konfigurieren von Geräten
50
VPN-Einstellungen
54
55
60
61
i-Einstellungen
Wi-F
Exchange-Einstellungen
Installieren von Identitäten und Root-Zertifikaten
Zusätzliche Mail-Accounts
3
61
Entfernen und Aktualisieren von Profilen
62
Weitere Informationsquellen
Kapitel 4 63 Bereitstellen von iTunes
63
Installieren von iTunes
65
Schnelles Aktivieren von Geräten mit iTunes
67
Festlegen von iTunes-Einschränkungen
69
Sichern des iPhone mit iTunes
Kapitel 5 70 Bereitstellen von iPhone-Programmen
70
Registrieren für die Entwicklung von Programmen
71
Signieren von Programmen
71
Erstellen der Vorlageprofile für die Verteilung
71
Installieren von Vorlageprofilen mit iTunes
72
Installieren von Vorlageprofilen mit dem iPhone-Konfigurationsprogramm
72
Installieren von Programmen mit iTunes
73
Installieren von Programmen mithilfe des iPhone-Konfigurationsprogramms
73
Verwenden von unternehmenseigenen Programmen
73
Deaktivieren eines unternehmenseigenen Programms
73
Weitere Informationsquellen
Anhang A 74 Konfiguration des Cisco-VPN-Servers
74
Unterstützte Cisco-Plattformen
74
Identifizierungsmethoden
75
Identifizierungsgruppen
75
Zertifikate
76
IPSec-Einstellungen
77
Andere unterstützte Funktionen
Anhang B 78 Format von Konfigurationsprofilen
78
Root-Ebene
ayload-Segment „Content“
80
P
81
Payload-Segment „Removal Password“
81
Payload-Segment „Passcode Policy“
83
Payload-Segment „Email“
84
Payload-Segment „Web Clip“
85
Payload-Segment „Restrictions“
85
Payload-Segment „LDAP“
86
Payload-Segment „CalDAV“
87
Payload-Segment „Calendar Subscription“
87
Payload-Segment „SCEP“
88
Payload-Segment „APN“
89
Payload-Segment „Exchange“
90
Payload-Segment „VPN“
4
Inhalt
92
Payload-Segment „Wi-Fi“
95
Muster für Konfigurationsprofile
Anhang C 99 Beispielskripte
Inhalt
5
Das iPhone in Unternehmen
Das vorliegende Dokument beschreibt die Integration von
iPhone- und iPod touch-Geräten in Unternehmen.
Dieses Handbuch ist für Systemadministratoren konzipiert und umfasst Informationen
zur Implementierung und Unterstützung von iPhone- und iPod touch-Geräten in
Unternehmensumgebungen.
Neuerungen für Unternehmen in iPhone OS 3.0 und neuer
iPhone OS 3.x bietet eine Vielzahl von Erweiterungen und Verbesserungen, die besonders für Unternehmenskunden und deren Benutzer interessant sind.
Â
Unterstützung für die drahtlose Synchronisierung von CalDAV-Kalendern
Â
LDAP-Serverunterstützung für die Suche nach Kontakten zur Verwendung in E-Mails,
Adressbüchern und SMS-Nachrichten
Â
Verschlüsseln von Konfigurationsprofilen und administrative Kennwörter als Schutz
vor dem Löschen der Profile vom Gerät
Â
iPhone-Konfigurationsprogramm zum direkten Hinzufügen und Entfernen verschlüsselter Konfigurationsprofile auf über USB angeschlossenen Geräten
Â
Unterstützung für OCSP (Online Certificate Status Protocol) für den Rückruf von
Zertifikaten
Â
Unterstützung für zertifikatbasierte VPN-On-demand-Verbindungen
Â
Unterstützung für VPN-Proxy-Konfiguration mittels Konfigurationsprofil und
VPN-Server
Â
Möglichkeit für Microsoft Exchange-Benutzer, andere Benutzer zu Meetings einzuladen, Möglichkeit für Benutzer von Microsoft Exchange 2007, den Antwortstatus
anzuzeigen
Â
Unterstützung für die zertifikatbasierte Identifizierung mithilfe eines Exchange
ActiveSync-Clients
Â
Unterstützung für zusätzliche EAS-Richtlinien und für das EAS-Protokoll 12.1
Vorwort
6
Â
Zusätzliche Einschränkungen für Geräte (u. a. Festlegen der Kulanzzeit, während der
das Gerät entsperrt bleibt, Deaktivieren der Kamera und Verhindern, dass Benutzer
ein Bildschirmfoto der Anzeige des Geräts erstellen)
Â
Durchsuchen lokal gespeicherter E-Mail-Nachrichten und Kalenderereignisse Möglichkeit zum Durchsuchen auf einem IMAP-, MobileMe- oder Exchange 2007-Server
gespeicherter E-Mails
Â
Einbeziehung weiterer Mail-Ordner in die Zustellung per Push-Funktion
Â
Möglichkeit zur Festlegung der APN-Proxy-Einstellungen in einem
Konfigurationsprofil
Â
Möglichkeit zur Installation von Web-Clips mithilfe eines Konfigurationsprofils
Â
Unterstützung für 802.1x EAP-SIM
Â
Drahtlose Identifizierung und Registrierung von Geräten mithilfe eines SCEP-Servers
(Simple Certificate Enrollment Protocol)
Â
Möglichkeit zum Speichern verschlüsselter Gerätedatensicherungen in iTunes
Â
Unterstützung für Profilerstellung über Skripte im iPhone-Konfigurationsprogramm
Systemanforderungen
Hier finden Sie einen Überblick über die Systemanforderungen und über die Komponenten, die für die Integration von iPhone- und iPod touch-Geräten in Unternehmenssysteme zur Verfügung stehen.
iPhone und iPod touch
Die im Netzwerk Ihres Unternehmens verwendeten iPhone- und iPod touch-Geräte
müssen mit iPhone OS 3.0 (oder neuer) aktualisiert werden.
iTunes
Für die Konfiguration der Geräte ist iTunes 8.2 (oder neuer) erforderlich. Diese Version
wird auch für das Installieren von Softwareaktualisierungen für iPhone oder iPod touch
sowie für das Installieren von Programmen und für das Synchronisieren von Musik,
Videos, Notizen und anderen Daten mit einem Mac oder PC benötigt.
Damit Sie iTunes verwenden können, benötigen Sie einen Mac-Computer oder einen
PC mit einem USB 2.0-Port, der den Mindestanforderungen genügt, die auf der folgenden Website aufgeführt sind: www.apple.com/de/itunes/download/.
Vorwort
Das iPhone in Unternehmen
7
iPhone-Konfigurationsprogramm
Mit dem iPhone-Konfigurationsprogramm können Sie Konfigurationsprofile erstellen,
verschlüsseln und installieren, Vorlageprofile und autorisierte Programme überwachen
und installieren sowie Konsolenprotokolle und andere gerätespezifische Informationen
erfassen. Sie benötigen das iPhone-Konfigurationsprogramm 2.1 (oder neuer), um für
Geräte mit iPhone OS 3.1 (oder neuer) ein Konfigurationsprofil zu erstellen.
Für das iPhone-Konfigurationsprogramm ist eines der folgenden Betriebssysteme
erforderlich:
Â
Mac OS X 10.5 Leopard
Â
Windows XP Service Pack 3 mit .NET Framework 3.5 Service Pack 1
Â
Windows Vista Service Pack 1 mit .NET Framework 3.5 Service Pack 1
Das iPhone-Konfigurationsprogramm kann unter den 32- und den 64-Bit-Versionen der
Windows-Betriebssysteme ausgeführt werden.
Das .Net Framework 3.5 Service Pack 1-Installationsprogramm kann unter folgender
Adresse geladen werden: http://www.microsoft.com/downloads/details.aspx?
familyid=ab99342f-5d1a-413d-8319-81da479ab0d7
Das Programm bietet die Möglichkeit, eine Outlook-Nachricht mit einem Konfigurationsprofil als Anhang zu erstellen. Darüber hinaus können die Namen und E-MailAdressen von Benutzern aus dem Adressbuch des Desktop-Computers auf Geräte übertragen werden, die an den Computer angeschlossen und mit dem Programm verbunden sind. Für beide genannten Funktionen ist das Programm „Outlook“ erforderlich. Sie
sind nicht mit dem Programm „Outlook Express“ kompatibel. Damit Ihnen diese Funktionen auf einem Computer unter Windows XP zur Verfügung stehen, müssen Sie möglicherweise die Update-Software „2007 Microsoft Office System Update: Redistributable
Primary Interop Assemblies“ installieren. Die Installation dieser Software ist erforderlich, wenn das Programm „Outlook“ vor dem .NET Framework 3.5 Service Pack 1 installiert wurde.
Das Primary Interop Assemblies-Installationsprogramm ist verfügbar unter:
http://www.microsoft.com/downloads/details.aspx?FamilyID=59daebaa-bed4-4282a28c-b864d8bfa513
8 Vorwort
Das iPhone in Unternehmen
Microsoft Exchange ActiveSync
iPhone und iPod touch unterstützen die folgenden Microsoft Exchange-Versionen:
 Exchange ActiveSync für Exchange Server (EAS) 2003 Service Pack 2
 Exchange ActiveSync für Exchange Server (EAS) 2007
Damit die Richtlinien und Funktionen von Exchange 2007 unterstützt werden, ist das
Service Pack 1 erforderlich.
Unterstützte Exchange ActiveSync-Richtlinien (Policies)
Die folgenden Exchange-Richtlinien werden unterstützt:
 Zwingende Eingabe eines Gerätekennworts
 Mindestlänge für Kennwort
 Maximale Anzahl von Fehlversuchen bei der Code-Eingabe
 Kennwort muss aus Ziffern und Buchstaben bestehen
 Inaktivitätszeit in Minuten
Die folgenden Exchange 2007-Richtlinien werden ebenfalls unterstützt:
 Zulassen bzw. Zurückweisen einfacher Kennwörter
 Verfallszeit für Kennwörter
 Kennwortchronik
 Intervall für Aktualisierung von Richtlinien
 Mindestanzahl komplexer Zeichen in Kennwörtern
 Notwendigkeit zum manuellen Synchronisieren beim Roaming
 Aktivieren der Kamera
 Notwendigkeit der Geräteverschlüsselung
Eine Beschreibung der einzelnen Richtlinien finden Sie in der Dokumentation zu
Exchange ActiveSync.
Die Exchange-Richtlinie für die Geräteverschlüsselung (RequireDeviceEncryption) wird
vom iPhone 3GS und iPod touch (Mod. Herbst 2009 mit 32 GB oder mehr) unterstützt.
iPhone, iPhone 3G und andere iPod touch-Modelle unterstützen die Geräteverschlüsselung nicht und stellen keine Verbindung zu einem Exchange Server her, der diese Funktion voraussetzt.
Wenn Sie die Richtlinie „Erfordert Zahlen und Buchstaben“ (Exchange 2003) bzw.
„Alphanumerisches Kennwort erforderlich“ (Exchange 2007) aktivieren, muss der
Benutzer einen iPhone-Code eingeben, der mindestens ein komplexes Zeichen enthält.
Mit dem Wert, der durch die Richtlinie für die Inaktivitätszeit (MaxInactivityTimeDeviceLock oder AEFrequencyValue) angegeben wird, wird der Maximalwert festgelegt, den
Benutzer unter „Einstellungen“ > „Allgemein“ > „Automatische Sperre“ und „Einstellungen“ > „Allgemein“ > „Code-Sperre“ > „Code anfordern“ auswählen können.
Vorwort
Das iPhone in Unternehmen
9
Fernlöschen
Der Inhalt eines iPhone oder iPod touch kann per Fernzugriff gelöscht werden (Fernlöschen). Auf diese Weise lassen sich alle Daten und Konfigurationsinformationen vom
Gerät entfernen. Nach dem sicheren Löschen des Geräts werden die ursprünglichen
Werkseinstellungen wiederhergestellt.
Wichtig: Auf dem iPhone und iPhone 3G werden die Daten auf dem Gerät beim
Löschen überschrieben. Der Löschvorgang dauert pro 8 GB Speicherkapazität ungefähr eine Stunde. Das Gerät sollte daher vor Beginn des Löschvorgangs an eine Stromquelle angeschlossen werden. Schaltet sich das Gerät während des Löschvorgangs
aufgrund einer zu schwachen Batterie ab, wird der Vorgang fortgesetzt, sobald das
Gerät mit Strom versorgt wird. Auf dem iPhone 3GS wird der Verschlüsselungscode für
die Daten (die mit 256-Bit-AES-Verschlüsselung verschlüsselt sind) beim Löschen entfernt. Der Löschvorgang erfolgt dabei sofort.
Unter Exchange Server 2007 kann das Fernlöschen über die Exchange-Verwaltungskonsole, Outlook Web Access oder das Exchange ActiveSync Mobile Administration
Web Tool gestartet werden.
Unter Exchange Server 2003 kann das Fernlöschen über das Exchange ActiveSync
Mobile Administration Web Tool gestartet werden.
Die Benutzer haben darüber hinaus die Möglichkeit, ein in ihrem Besitz befindliches
Gerät mithilfe der Option „Inhalte & Einstellungen löschen“ im Menü „Zurücksetzen“ des
Bereichs „Allgemein“ zu löschen. Die Geräte lassen sich auch so konfigurieren, dass
nach mehreren fehlgeschlagenen Anmeldeversuchen (durch Eingabe des falschen
Codes) das Gerät automatisch vollständig gelöscht wird.
Wenn Sie ein Gerät wiederherstellen, dessen Daten gelöscht wurden, weil es verloren
ging, stellen Sie mithilfe von iTunes die neuste Sicherungskopie des Geräts wieder her.
Microsoft Direct Push
Das iPhone wird vom Exchange-Server automatisch mit E-Mails, Kontaktinformationen
und Kalendereintragungen beliefert, solange eine Mobilfunk- oder eine Wi-Fi-Datenverbindung besteht. Der iPod touch, der keine Mobilfunkverbindung besitzt, wird im
Gegensatz dazu nur mit Push-Informationen versorgt, solange es aktiv und mit einem
Wi-Fi-Netzwerk verbunden ist.
Microsoft Exchange Autodiscovery-Funktion
Der Autodiscover-Dienst von Exchange Server 2007 wird unterstützt. Wenn Sie das
iPhone oder den iPod touch manuell konfigurieren, verwendet der AutodiscoverDienst Ihre E-Mail-Adresse und Ihr Kennwort, um automatisch die richtigen ExchangeServer-Informationen zu ermitteln. Informationen über das Aktivieren des
Autodiscover-Diensts finden Sie im Internet unter der folgenden Adresse:
http://technet.microsoft.com/en-us/library/cc539114.aspx.
10 Vorwort Das iPhone in Unternehmen
Microsoft Exchange Globale Adressliste (GAL)
Das iPhone und der iPod touch rufen die Kontaktinformationen aus dem unternehmensspezifischen Verzeichnis (Corporate Directory) des Exchange-Servers ab. Sie können auf dieses Verzeichnis zugreifen, wenn Sie in den Kontakten suchen. Beim
Eingeben von E-Mail-Adressen wird ebenfalls auf das Verzeichnis zugegriffen, um Ihre
Eingaben automatisch zu vervollständigen.
Zusätzlich unterstützte Exchange ActiveSync-Funktionen
Zusätzlich zu den bereits beschriebenen Funktionen und Leistungsmerkmalen unterstützt das iPhone folgende Optionen:
 Erstellen von Einladungen mithilfe des Kalenders. Benutzer von Microsoft Exchange
2007 haben zusätzlich die Möglichkeit, den Status der Antworten auf ihre Einladungen anzuzeigen.
 Kennzeichnen von Kalenderereignissen als „Frei“, „Belegt“, „Provisorisch“ oder „Nicht
anwesend“
 Durchsuchen auf dem Server gespeicherter E-Mails. Hierfür ist Microsoft Exchange
2007 erforderlich.
 Zertifikatbasierte Identifizierung mithilfe eines Exchange ActiveSync-Clients
Nicht unterstützte Exchange ActiveSync-Funktionen
Zu den nicht unterstützten Exchange-Funktionen gehören unter anderem:
 Ordnerverwaltung
 Öffnen von Links in E-Mails, die auf Dokumente verweisen, die auf Sharepoint-
Servern gespeichert sind
 Synchronisieren von Aufgaben
 Festlegen einer automatischen Abwesenheitsnotiz
 Markieren von Nachrichten zur Nachverfolgung
VPN
iPhone- und iPod touch-Geräte können in Verbindung mit VPN-Servern verwendet
werden, die folgende Protokolle und Identifizierungsverfahren unterstützen:
 L2TP/IPSec mit Benutzeridentifizierung durch MS-CHAPV2-Kennwort, RSA SecurID
und CryptoCard sowie Geräteidentifizierung durch Shared Secret (symmetrischer
Schlüssel).
 PPTP mit Benutzeridentifizierung durch MS-CHAPV2-Kennwort, RSA SecurID und
CryptoCard.
 Cisco IPSec mit Benutzeridentifizierung durch Kennwort, RSA SecurID
oder CryptoCard sowie Geräteidentifizierung durch Shared Secret und
Zertifikate. In Anhang A finden Sie kompatible Cisco-VPN-Server sowie
Konfigurationsempfehlungen.
Vorwort Das iPhone in Unternehmen 11
Cisco IPSec mit zertifikatbasierter Identifizierung unterstützt VPN on Demand für die
Domänen, die bei der Konfiguration definiert werden. Weitere Informationen finden Sie
im Abschnitt „Einstellungen im Bereich „VPN““ auf Seite 38.
Netzwerksicherheit
iPhone und iPod touch unterstützen die folgenden, von der Wi-Fi-Allianz definierten
802.11i-Sicherheitsprotokolle für drahtlose Netzwerke:
 WEP
 WPA Personal
 WPA Enterprise
 WPA2 Personal
 WPA2 Enterprise
Darüber hinaus unterstützen iPhone und iPod touch die folgenden 802.1X-Identifizierungsverfahren für WPA Enterprise- und WPA2 Enterprise-Netzwerke:
 EAP-TLS
 EAP -TTLS
 EAP-FAST
 EAP-SIM
 PEAP v0, PEAP v1
 LEAP
Zertifikate und Identitäten
iPhone und iPod touch unterstützen X.509-Zertifikate mit RSA-Schlüsseln. Dabei werden die Dateierweiterungen .cer, .crt und .der erkannt. Die Verifizierung von Zertifikatsketten erfolgt durch Safari, Mail, VPN und andere Programme.
iPhone und iPod touch unterstützen P12-Dateien (PKCS-Standard #12), die genau eine
Identität enthalten. Dabei werden die Dateierweiterungen .p12 und .pfx erkannt. Wenn
eine Identität installiert ist, wird der Benutzer zur Eingabe des Kennworts aufgefordert,
das als Schutz der Identität dient.
Die für den Aufbau der Zertifikatskette zu einem vertrauenswürdigen Root-Zertifikat
(Stammzertifikat) erforderlichen Zertifikate können manuell oder mithilfe von Konfigurationsprofilen installiert werden. Sie müssen keine Root-Zertifikate hinzufügen, da
diese von Apple auf dem Gerät installiert wurden. Eine Liste der bereits installierten
Root-Zertifikate des Systems finden Sie im folgenden Apple Support-Artikel:
http://support.apple.com/kb/HT3580.
12 Vorwort Das iPhone in Unternehmen
Zertifikate können auf Basis von SCEP auch bei drahtloser Verbindung sicher installiert
werden. Weitere Informationen finden Sie im Abschnitt „Übersicht über die authentifizierte Registrierung und Konfiguration“ auf Seite 24.
E-Mail-Accounts
iPhone und iPod touch unterstützen standardkonforme IMAP4- und POP3-fähige
Mail-Lösungen auf einer Reihe von Serverplattformen wie Windows, UNIX, Linux und
Mac OS X. Mithilfe von IMAP können Sie über andere Exchange-Accounts auf Ihre
E-Mail zugreifen (zusätzlich zu dem Exchange-Account, den Sie für den Direct PushDienst verwenden).
Führt ein Benutzer eine Suche in den eigenen Mail-Nachrichten aus, hat er die Möglichkeit, die Suche auf den Mail-Server auszuweiten. Diese Möglichkeit besteht bei
Microsoft Exchange Server 2007 und den meisten IMAP-basierten Accounts.
Die Informationen des benutzereigenen E-Mail-Accounts (einschließlich der BenutzerID und des Kennworts für Exchange) werden auf sichere Weise auf dem Gerät
gespeichert.
LDAP-Server
iPhone und iPod touch sind in der Lage, Kontaktinformationen aus den Unternehmensverzeichnisses eines LDAPv3-Servers in Ihrem Unternehmen abzurufen. Der Zugriff auf
diese Verzeichnisse kann erfolgen, wenn Sie Ihre Kontaktinformationen durchsuchen,
und er erfolgt automatisch, während Sie E-Mail-Adressen eingeben.
CalDAV-Server
iPhone und iPod touch können Kalenderdaten mit dem CalDAV-Server Ihres Unternehmens synchronisieren. Änderungen im Kalender werden in regelmäßigen Abständen
zwischen dem Gerät und dem Server synchronisiert.
Zusätzlich können im Lesezugriff verfügbare Kalender abonniert werden (zum Beispiel
ein Urlaubskalender oder der Terminkalender einer Kollegin oder eines Kollegen).
Das Erstellen und Senden neuer Kalendereinladungen auf dem Gerät wird für CalDAVAccounts nicht unterstützt.
Vorwort Das iPhone in Unternehmen 13
Zusätzliche Informationsressourcen
Neben diesem Handbuch enthalten auch die folgenden Veröffentlichungen und
Websites nützliche Informationen:
 Webseite „Das iPhone in Unternehmen“ unter der Adresse:
www.apple.com/de/iphone/enterprise
 Übersicht über Exchange Server unter der Adresse:
http://technet.microsoft.com/en-us/library/bb124558.aspx bzw.
http://technet.microsoft.com/de-de/library/bb124558.aspx
 Implementieren von Exchange ActiveSync unter der Adresse:
http://technet.microsoft.com/en-us/library/aa995962.aspx bzw.
http://technet.microsoft.com/de-de/library/aa995962.aspx
 Technische Dokumentation für Exchange 2003 unter der Adresse:
http://technet.microsoft.com/en-us/library/bb123872(EXCHG.65).aspx bzw.
http://technet.microsoft.com/de-de/library/bb123872(EXCHG.65).aspx
 Verwalten von Exchange ActiveSync-Sicherheit unter der Adresse:
http://technet.microsoft.com/en-us/library/bb232020(EXCHG.80).aspx bzw.
http://technet.microsoft.com/de-de/library/bb232020(EXCHG.80).aspx
 Webseite „Wi-Fi for Enterprise“ unter der Adresse: www.wi-fi.org/enterprise.php
 Webseite „Apple iPhone VPN Connectivity to Cisco Adaptive Security Appliances
(ASA)“ unter der Adresse: www.cisco.com/en/US/docs/security/vpn_client/
cisco_vpn_client/iPhone/2.0/connectivity/guide/iphone.html
 iPhone-Benutzerhandbuch, verfügbar unter der Adresse:
www.apple.com/de/support/iphone/. Möchten Sie das Handbuch auf dem iPhone
anzeigen, tippen Sie auf das Lesezeichen für das iPhone-Benutzerhandbuch in Safari
oder besuchen Sie die Seite http://help.apple.com/iphone/.
 iPhone-Videotour unter der Adresse: www.apple.com/de/iphone/guidedtour/
 iPod touch-Benutzerhandbuch, verfügbar unter der Adresse:
www.apple.com/de/support/ipodtouch. Möchten Sie das Handbuch auf dem
iPod touch anzeigen, tippen Sie auf das Lesezeichen für das iPod touch-Benutzerhandbuch in Safari oder besuchen Sie die Seite http://help.apple.com/ipodtouch/.
 iPod touch-Videotour unter der Adresse: www.apple.com/de/ipodtouch/guidedtour/
14 Vorwort Das iPhone in Unternehmen
1 Implementieren von iPhone- und
iPod touch-Geräten
1
Dieses Kapitel enthält einen Überblick über die Implementierung von iPhone- und iPod touch-Geräten in
Ihrem Unternehmen.
iPhone- und iPod touch-Geräte lassen sich auf einfache Weise in Unternehmenssysteme wie Microsoft Exchange 2003 und 2007 sowie in drahtlose, sichere 802.1X-konforme Netzwerke und Cisco IPSec virtuelle private Netzwerke (VPNs) integrieren. Wie
bei allen Unternehmenslösungen wird die Integration durch eine gute Planung und
eine umfassende Kenntnis der verfügbaren Implementierungsoptionen vereinfacht
und damit auch effizienter für Sie und Ihre Benutzer.
Bei der Planung der Implementierung von iPhone- und iPod touch-Geräten sollten
die folgenden Aspekte berücksichtigt werden:
 Wie werden die iPhone-Geräte Ihres Unternehmens für den Mobilfunkdienst
aktiviert?
 Auf welche Netzwerkdienste, Programme und Daten Ihres Unternehmens sollen
die Benutzer zugreifen können?
 Welche Richtlinien (Policies) möchten Sie für die Geräte festlegen, um sensible
Unternehmensdaten zu schützen?
 Sollen die Geräte einzeln und manuell konfiguriert werden, oder möchten Sie einen
vereinheitlichten Prozess für die Konfiguration mehrerer Geräte nutzen?
Die individuellen Charakteristika Ihrer Unternehmensumgebung, die IT-Richtlinien, der
Mobilfunkanbieter sowie die System- und Kommunikationsanforderungen bestimmen
die geeignete Implementierungsstrategie.
15
Aktivieren der Geräte
Jedes iPhone muss von Ihrem Mobilfunkanbieter aktiviert werden, bevor es zum Empfangen und Tätigen von Anrufen, zum Versenden von Textnachrichten (SMS) oder zur
Verbindung mit einem mobilen Datennetz genutzt werden kann. Informationen zu den
Sprach- und Datentarifen sowie Anleitungen zur Aktivierung für Privat- und Geschäftskunden erhalten Sie bei Ihrem Mobilfunkanbieter.
Sie bzw. die Benutzer installieren zunächst eine SIM-Karte im iPhone. Anschließend
muss das iPhone an einen Computer angeschlossen werden, auf dem iTunes installiert
ist, um den Aktivierungsprozess abzuschließen. Ist die SIM-Karte bereits aktiviert, kann
das iPhone sofort verwendet werden. Andernfalls werden Sie von iTunes schrittweise
durch den Aktivierungsprozess für eine Reihe neuer Dienste geführt.
Obwohl es für den iPod touch keinen Mobilfunkdienst bzw. keine SIM-Karte gibt, muss
das Gerät trotzdem an einen Computer mit iTunes angeschlossen werden, damit es
freigeschaltet wird.
Da zum Abschließen des Aktivierungsprozesses sowohl für das iPhone als auch für
den iPod touch die Software iTunes erforderlich ist, müssen Sie sich entscheiden, ob
Sie iTunes auf allen Mac-Computern bzw. PCs der Benutzer installieren möchten, oder
ob Sie die Aktivierung aller Geräte mit Ihrer eigenen iTunes-Installation abschließen
möchten.
Für die Nutzung des Geräts in Verbindung mit Ihren Unternehmenssystemen ist iTunes
im Anschluss an die Aktivierung nicht mehr erforderlich. Die Software wird allerdings
benötigt, um Musik, Videos und Browser-Lesezeichen mit einem Computer zu synchronisieren. Auch zum Laden und Installieren von Softwareaktualisierungen für die Geräte
sowie zum Installieren Ihrer Unternehmensprogramme wird die Software benötigt.
Weitere Informationen über das Aktivieren von Geräten und die Verwendung von
iTunes finden Sie in Kapitel 4.
Vorbereiten des Zugriffs auf Netzwerkdienste und Unternehmensdaten
Die iPhone OS 3.0-Software unterstützt das sichere, sofortige Weiterleiten von E-Mail,
Kontaktinformationen und Kalenderereignissen über Microsoft Exchange Server 2003
oder 2007 (Push-Dienste) sowie GAL (Global Address Lookup), Fernlöschen (Remote
Wipe) und die Richtlinie zur zwingenden Eingabe des Gerätecodes. Darüber hinaus
können die Benutzer über WPA Enterprise- und WPA2 Enterprise-Funknetzwerke mithilfe der 802.1X-Identifizierung und/oder über VPN unter Verwendung der Protokolle
PPTP, LT2P over IPSec bzw. Cisco IPSec eine sichere Verbindung zu den Unternehmensressourcen herstellen.
16 Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten
Wenn Microsoft Exchange in Ihrem Unternehmen nicht verwendet wird, können die
Benutzer trotzdem mit dem iPhone bzw. dem iPod touch arbeiten, um mit den meisten
standardkonformen POP- oder IMAP-basierten Servern und Diensten E-Mails drahtlos
zu synchronisieren. Mithilfe von iTunes können die Benutzer auch ihre Kalenderereignisse und Kontaktinformationen aus Mac OS X iCal und dem Adressbuch bzw.
Microsoft Outlook auf einem Windows-PC synchronisieren. Für den drahtlosen
Zugriff auf Kalender und Verzeichnisse werden CalDAV und LDAP unterstützt.
Berücksichtigen Sie bei Ihren Überlegungen, auf welche Netzwerkdienste Benutzer
Zugriff erhalten sollen, die Informationen in den folgenden Abschnitten.
Microsoft Exchange
Das iPhone kommuniziert über Microsoft Exchange ActiveSync (EAS) direkt mit Ihrem
Microsoft Exchange Server. Exchange ActiveSync hält eine Verbindung zwischen dem
Exchange Server und dem iPhone aufrecht, damit das iPhone beim Eintreffen einer
neuen E-Mail-Nachricht oder einer Einladung zu einer Besprechung sofort aktualisiert
werden kann. Da für den iPod touch keine permanente Mobilfunkverbindung besteht,
wird er nur über die Verfügbarkeit neuer Daten informiert, wenn er aktiv und mit
einem Wi-Fi-Netzwerk verbunden ist.
Wenn Ihr Unternehmen Exchange ActiveSync für Exchange Server 2003 oder Exchange
Server 2007 unterstützt, stehen Ihnen die erforderlichen Dienste bereits zur Verfügung.
Unter Exchange Server 2007 ist sicherzustellen, dass die ClientAccess-Funktion installiert ist. Unter Exchange Server 2003 ist sicherzustellen, dass Outlook Mobile Access
(OMA) aktiviert ist.
Wenn Sie einen Exchange Server verwenden, Ihr Unternehmen mit Exchange ActiveSync aber noch wenig Erfahrung hat, lesen Sie die Informationen in den folgenden
Abschnitten.
Netzwerkkonfiguration
 Stellen Sie sicher, dass Port 443 in der Firewall geöffnet ist. Wenn Ihr Unternehmen
Outlook Web Access verwendet, ist Port 443 wahrscheinlich bereits geöffnet.
 Vergewissern Sie sich, dass auf dem Exchange Frontend-Server ein Serverzertifikat
installiert ist, und aktivieren Sie als einzige Authentifizierungsmethode die Standardauthentifizierung, damit für die Verbindung zum Microsoft Server ActiveSyncVerzeichnis Ihres IIS eine SSL-Verschlüsselung erfolgt.
 Wird ein Microsoft ISA-Server (Internet Security and Acceleration) verwendet, muss
geprüft werden, ob ein Serverzertifikat installiert ist. Aktualisieren Sie den DNS-Server, damit eingehende Verbindungen richtig aufgelöst werden.
Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten 17
 Stellen Sie sicher, dass der DNS-Server für Ihr Netzwerk sowohl für Intranet- als
auch für Internet-Clients eine einzelne, extern weiterleitbare IP-Adresse an den
Exchange ActiveSync-Server übergibt. Dies ist erforderlich, damit das Gerät die
gleiche IP-Adresse für die Kommunikation mit dem Server verwenden kann, auch
wenn beide Verbindungsarten aktiv sind.
 Wird ein Microsoft ISA-Server verwendet, müssen ein Web-Listener und eine Bereit-
stellungsrichtlinie für den Zugriff durch Exchange Web-Clients erstellt werden.
Weitere Informationen finden Sie in der Microsoft-Dokumentation.
 Legen Sie für alle Firewalls und Netzwerk-Appliances das Zeitlimit (Timeout) für inak-
tive Sitzungen auf 30 Minuten fest. In der Dokumentation zu Microsoft Exchange
 finden Sie unter der folgenden Adresse weitere Informationen über Taktintervalle
und Zeitlimits:
Konfigurieren des Exchange-Accounts
 Aktivieren Sie Exchange ActiveSync mithilfe des Active Directory-Diensts für
bestimmte Benutzer oder Gruppen. Die Aktivierung erfolgt unter Exchange Server
2003 und Exchange Server 2007 auf Organisationsebene standardmäßig für alle
mobilen Geräte (vgl. Empfängerkonfiguration der Exchange-Verwaltungskonsole
unter Exchange 2007).
 Konfigurieren Sie mithilfe des Exchange-System-Managers die Funktionen für mobile
Geräte, die Richtlinien und die Einstellungen für die Gerätesicherheit. Unter Exchange
Server 2007 können diese Einstellungen über die Exchange-Verwaltungskonsole vorgenommen werden.
 Laden und Installieren Sie das Microsoft Exchange ActiveSync Mobile Administration
Web Tool, das zum Löschen von mobilen Geräten per Fernzugriff (Remote Wipe)
erforderlich ist. Unter Exchange Server 2007 kann Remote Wipe auch mithilfe von
Outlook Web Access oder über die Exchange-Verwaltungskonsole gestartet werden.
http://technet.microsoft.com/en-us/library/cc182270.aspx.
WPA/WPA2 Enterprise-Wi-Fi-Netzwerke
Die Unterstützung für WPA Enterprise und WPA2 Enterprise gewährleistet den sicheren
Zugriff auf drahtlose Unternehmensnetzwerke über iPhone- und iPod touch-Geräte.
WPA/WPA2 Enterprise arbeitet mit einer AES-128-Bit-Verschlüsselung, einem bewährten, blockbasierten Verschlüsselungsverfahren, das ein hohes Maß an Sicherheit für die
Unternehmensdaten bietet.
Da die 802.1X-Identifizierung unterstützt wird, lassen sich iPhone- und iPod touchGeräte in eine Vielzahl von RADIUS-Serverumgebungen integrieren. Die 802.1X-Identifizierungsverfahren für Funknetze werden unterstützt und umfassen EAP-TLS, EAP-TTLS,
EAP-FAST, PEAPv0, PEAPv1 und LEAP.
18 Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten
Konfigurieren des WPA/WPA2 Enterprise-Netzwerks
 Prüfen Sie die Netzwerk-Appliances auf Kompatibilität und wählen Sie einen Identifi-
zierungstyp (EAP-Typ), der von iPhone und iPod touch unterstützt wird. Vergewissern Sie sich, dass 802.1X auf dem Identifizierungsserver aktiviert ist und installieren
Sie gegebenenfalls ein Serverzertifikat und weisen Sie den Benutzern und Gruppen
die entsprechenden Berechtigungen für den Netzwerkzugriff zu.
 Konfigurieren Sie die Funkzugangsknoten (WAP; Wireless Access Points) für die
802.1X-Identifizierung und geben Sie die entsprechenden Informationen für den
RADIUS-Server ein.
 Testen Sie Ihre 802.1X-Implementierung mit einem Mac oder einem PC um sicher-
zustellen, dass die RADIUS-Identifizierung richtig konfiguriert ist.
 Wenn Sie beabsichtigen, eine zertifikatbasierte Identifizierung zu verwenden,
muss sichergestellt sein, dass die Infrastruktur für den öffentlichen Schlüssel so
konfiguriert ist, dass geräte- und benutzerbasierte Zertifikate vom entsprechenden
Schlüsselverteilungsprozess unterstützt werden.
 Überprüfen Sie die Kompatibilität Ihrer Zertifikatformate mit dem Gerät und mit
Ihrem Identifizierungsserver. Weitere Informationen über Zertifikate finden Sie im
Abschnitt „Zertifikate und Identitäten“ auf Seite 12.
VPNs (Virtual Private Networks)
Der sichere Zugriff auf private Netzwerke wird von iPhone und iPod touch mithilfe der
VPN-Protokolle Cisco IPSec, L2TP over IPSec und PPTP sichergestellt. Wenn Ihr Unternehmen eines dieser Protokolle unterstützt, ist für die Verwendung Ihrer Geräte in einer
VPN-Infrastruktur keine zusätzliche Netzwerkkonfiguration oder Software von Drittanbietern erforderlich.
Cisco IPSec-Implementierungen können die Vorteile der zertifikatbasierten Identifizierung über standardkonforme X.509-Zertifikate nutzen. Auf der Basis der zertifikatbasierten Identifizierung können Sie außerdem die Vorteile von VPN On Demand nutzen, um
eine sichere drahtlose Verbindung zu Ihrem Unternehmensnetzwerk herzustellen.
Für die tokenbasierte Zwei-Faktor-Identifizierung unterstützen iPhone und iPod touch
RSA SecurID und CryptoCard. Die Benutzer geben ihre PIN und ein vom Token generiertes Einmalkennwort direkt auf dem Gerät ein, wenn sie die VPN-Verbindung herstellen. In
Anhang A finden Sie kompatible Cisco-VPN-Server sowie Konfigurationsempfehlungen.
iPhone und iPod touch unterstützen auch die Shared-Secret-Identifizierung für Cisco
IPSec- und L2TP/IPSec-Implementierungen sowie MS-CHAPv2 für die einfache Identifizierung mithilfe von Benutzername und Kennwort.
Außerdem wird auch die automatische VPN-Proxy-Konfiguration (PAC und WPAD)
unterstützt, mit der Sie die Proxy-Servereinstellungen für den Zugriff auf bestimmte
URLs festlegen können.
Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten 19
Hinweise zur VPN-Konfiguration
 iPhone-Geräte lassen sich in die meisten VPN-Netzwerke integrieren, sodass in der
Regel nur ein minimaler Konfigurationsaufwand erforderlich ist, um den Zugriff auf
Ihr Netzwerk über das iPhone zu aktivieren. Zur Vorbereitung der Implementierung
empfiehlt es sich, zunächst zu prüfen, ob die in Ihrem Unternehmen genutzten VPNProtokolle und Identifizierungsverfahren von iPhone unterstützt werden.
 Stellen Sie sicher, dass Ihre VPN-Konzentratoren die erforderlichen Standards unter-
stützen. Es empfiehlt sich auch, den Identifizierungspfad zu Ihrem RADIUS- oder
Identifizierungsserver zu prüfen, damit sichergestellt ist, dass die vom iPhone unterstützten Standards innerhalb Ihrer Implementierung aktiviert sind.
 Lassen Sie sich von Ihrem Lösungsanbieter bestätigen, dass Ihre Software und Ihre
Geräteausstattung auf dem neuesten Stand ist und über die aktuellsten SicherheitsPatches und die neueste Firmware verfügt.
 Wenn Sie die Proxy-Einstellungen für eine spezifische URL konfigurieren wollen, kön-
nen Sie auf einem Webserver, auf den Sie basierend auf den grundlegenden VPN-Einstellungen zugreifen können, eine PAC-Datei ablegen und im Hinblick auf diese Datei
den MIME-Typ „application/x-ns-proxy-autoconfig“ ergänzen. Alternativ können Sie
Ihre DNS- oder DHCP-Konfiguration so gestalten, dass der Speicherort einer WPADDatei auf einem Server bereitgestellt wird, der auf ähnliche Weise zugänglich ist.
IMAP-E-Mail
Wenn Sie nicht mit Microsoft Exchange arbeiten, können Sie trotzdem eine sichere,
standardbasierte E-Mail-Lösung implementieren. Hierfür können Sie beliebige MailServer verwenden, die IMAP unterstützen und so konfiguriert sind, dass eine Benutzeridentifizierung und die SSL-Verschlüsselung erforderlich sind. Mit dieser Technik
können Sie beispielsweise auf Lotus Notes/Domino- oder Novell GroupWise-E-Mails
zugreifen. Die Mail-Server können sich innerhalb eines DMZ-Teilnetzes und/oder
hinter einer Unternehmensfirewall befinden.
Mit SSL unterstützen iPhone und iPod touch die 128-Bit-Verschlüsselung sowie X.509Zertifikate, die von führenden Zertifizierungsstellen ausgestellt werden. Die Geräte
unterstützen darüber hinaus auch sichere Identifizierungsverfahren wie das standardkonforme MD5 Challenge-Response-Verfahren und NTLMv2.
20 Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten
Hinweise zur IMAP-Konfiguration
 Installieren Sie ein von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausge-
stelltes digitales Zertifikat auf dem Server, um zusätzliche Sicherheit zu erhalten. Das
Installieren eines von einer Zertifizierungsstelle ausgestellten Zertifikats ist ein wichtiger Schritt, der sicherstellt, dass Ihr Proxy-Server innerhalb Ihrer Unternehmensinfrastruktur eine vertrauenswürdige Einheit darstellt. Im Abschnitt „Einstellungen im
Bereich „Zertifikate““ auf Seite 42 finden Sie weitere Informationen zur Installation
von Zertifikaten auf dem iPhone.
 Damit iPhone- und iPod touch-Geräte E-Mails von Ihrem Server abrufen können,
muss Port 993 in der Firewall geöffnet werden. Stellen Sie auch sicher, dass der
Proxy-Server auf „IMAP über SSL“ eingestellt ist.
 Damit die Geräte E-Mails senden können, müssen die Ports 587, 465 oder 25 geöffnet
sein. Da Port 587 zuerst verwendet wird, ist er die beste Wahl.
LDAP-Verzeichnisse
iPhone OS 3.0 (oder neuer) ermöglicht den Zugriff auf standardbasierte LDAP-Verzeichnisserver. Dies gibt Ihnen die Möglichkeit, ein globales Adressverzeichnis oder andere
Informationen bereitzustellen, die mit der globalen Adressliste (GAL) von Microsoft
Exchange vergleichbar sind.
Wenn Sie auf dem Gerät einen LDAP-Account konfigurieren, sucht das Gerät auf der
Root-Ebene des Servers nach dem Attribut namingContexts, um davon ausgehend den
standardmäßigen Suchbeginn zu identifizieren. Der Suchbereich ist standardmäßig auf
„Subtree“ (Teilbaum) eingestellt.
CalDAV-Kalender
Mithilfe der in iPhone OS 3.0 (oder neuer) integrierten CalDAV-Unterstützung können in
Umgebungen ohne Microsoft Exchange-Installation Kalender- und Zeitplanfunktionen
auf globaler Ebene bereitgestellt werden. Das iPhone kann für alle Kalenderserver
genutzt werden, die den CalDAV-Standard unterstützen.
Abonnierte Kalender
Wenn Kalender für unternehmensspezifische Ereignisse (zum Beispiel Urlaube und
besondere Veranstaltungen) veröffentlicht und mit Lesezugriff bereitgestellt werden,
können Sie diese Kalender auf dem iPhone abonnieren und sie zusammen mit den
Microsoft Exchange- und CalDAV-Kalendern anzeigen. Das iPhone unterstützt alle
Kalenderdateien, die im iCalendar-Standardformat (.ics) vorliegen.
Eine einfache Möglichkeit, abonnierte Kalender an Ihre Benutzer weiterzugeben,
besteht darin, ihnen per SMS oder E-Mail die vollständig qualifizierte URL-Adresse
zu senden. Tippt der Benutzer auf den Link, bietet das iPhone die Möglichkeit, den
angegebenen Kalender zu abonnieren.
Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten 21
Unternehmensprogramme
Wenn Sie beabsichtigen, Unternehmensprogramme für iPhone und iPod touch zu verwenden, können Sie diese Programme mithilfe des iPhone-Konfigurationsprogramms
oder mit iTunes auf den Geräten installieren. Wenn Sie ein Programm auf den Geräten
der Benutzer implementieren, ist die Aktualisierung dieser Programme einfacher, wenn
die Benutzer iTunes auf ihrem Mac oder PC installiert haben.
OSCP (Online Certificate Status Protocol)
Wenn Sie digitale Zertifikate für das iPhone bereitstellen, überlegen Sie, sie als OCSPfähige Zertifikate auszugeben. Das Gerät kann dann vor der Verwendung des Zertifikats
bei Ihrem OCSP-Server anfragen, ob das Zertifikat widerrufen wurde.
Festlegen der Richtlinien für den Gerätecode
Nachdem Sie festgelegt haben, auf welche Netzwerkdienste und Daten Ihre Benutzer
zugreifen sollen, müssen Sie die Richtlinien für den Gerätecode definieren.
Unternehmen, deren Netzwerke, Systeme oder Programme kein Kennwort und kein
Identifizierungs-Token erfordern, wird empfohlen, die Festlegung eines Codes auf den
Geräten zwingend zu erfordern. Wenn Sie eine zertifikatbasierte Identifizierung für
ein 802.1X-Netzwerk oder Cisco IPSec-VPN verwenden, oder wenn Ihr Unternehmensprogramm Ihre Anmeldedaten speichert, sollten Sie Ihre Benutzer auffordern, einen
Gerätecode mit einem kurzen Intervall für die Zeitabschaltung festzulegen, damit ein
verloren gegangenes oder gestohlenes Gerät ohne den Gerätecode nicht verwendet
werden kann.
Richtlinien können auf dem iPhone und auf dem iPod touch auf zwei verschiedene
Arten festgelegt werden. Ist das Gerät für den Zugriff auf einen Microsoft ExchangeAccount konfiguriert, werden die Exchange ActiveSync-Richtlinien drahtlos an das
Gerät übermittelt. In diesem Fall können Sie die Richtlinien ohne Benutzeraktion durchsetzen und aktualisieren. Weitere Informationen zu den EAS-Richtlinien finden Sie im
Abschnitt „Unterstützte Exchange ActiveSync-Richtlinien (Policies)“ auf Seite 9.
Wenn Sie nicht mit Microsoft Exchange arbeiten, können Sie auf Ihren Geräten ähnliche Richtlinien festlegen, indem Sie Konfigurationsprofile erstellen. Wenn Sie Änderungen an einer Richtlinie vornehmen, müssen Sie den Benutzern ein entsprechend
aktualisiertes Profil bereitstellen oder ihnen zusenden oder alternativ das geänderte
Profil mithilfe des iPhone-Konfigurationsprogramms installieren. Weitere Informationen
zu den Richtlinien für den Gerätecode finden Sie im Abschnitt „Einstellungen im
Bereich „Code““ auf Seite 35.
Wenn Sie Microsoft Exchange verwenden, können Sie Ihre EAS-Richtlinien durch die
Verwendung von Konfigurationsrichtlinien ergänzen. Dadurch wird beispielsweise der
Zugriff auf Richtlinien möglich, die unter Microsoft Exchange 2003 nicht zur Verfügung
stehen, oder Sie können Richtlinien speziell für das iPhone definieren.
22 Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten
Konfigurieren von Geräten
Nun muss die Konfiguration der einzelnen iPhone- und iPod touch-Geräte festgelegt
werden. Dabei spielt eine wichtige Rolle, wie viele Geräte Sie implementieren und verwalten möchten. Handelt es sich um eine relativ geringe Anzahl von Geräten, ist es
unter Umständen einfacher, wenn Sie oder Ihre Benutzer die Geräte manuell konfigurieren. Die Einstellungen für jeden Mail-Account, die Wi-Fi-Einstellungen und die VPNKonfigurationsdaten werden in diesem Fall direkt am Gerät eingegeben. In Kapitel 3
finden Sie ausführliche Informationen über die manuelle Konfiguration.
Wenn Sie beabsichtigen, eine größere Anzahl von Geräten zu implementieren, oder
zahlreiche E-Mail- und Netzwerk-Einstellungen festlegen und Zertifikate installieren
müssen, empfiehlt es sich, die Geräte zu konfigurieren, indem Konfigurationsprofile
erstellt und verteilt werden. Mit Konfigurationsprofilen können Einstellungen und Identifizierungsinformationen schnell auf das Gerät geladen werden. Darüber hinaus lassen
sich einige VPN- und Wi-Fi-Einstellungen ausschließlich über ein Konfigurationsprofil
festlegen. Wenn Sie nicht mit Microsoft Exchange arbeiten, müssen Sie auch zum Festlegen des Gerätecodes ein Konfigurationsprofil verwenden.
Konfigurationsprofile können verschlüsselt und signiert werden. Dies gibt Ihnen die
Möglichkeit, den Einsatz eines Profils auf ein bestimmtes Gerät zu beschränken und
Änderungen an den Einstellungen des Profils durch Dritte zu verhindern. Sie können
ein Profil auf dem Gerät auch als geschützt markieren. In diesem Fall kann das Profil
nach der Installation nur gelöscht werden, indem alle Daten vom Gerät gelöscht
werden oder alternativ ein administrativer Code eingegeben wird.
Unabhängig davon, ob Sie die Geräte manuell oder mithilfe von Konfigurationsprofilen
konfigurieren, muss auch festgelegt werden, ob Sie die Geräte selbst konfigurieren
oder ob Sie diese Aufgabe Ihren Benutzern übertragen. Dies hängt davon ab, wo sich
Ihre Benutzer befinden, welche Unternehmensrichtlinien es für die Verwaltung von
IT-Ausrüstung durch die Benutzer gibt, und wie komplex die Gerätekonfiguration ist,
die Sie implementieren möchten. Konfigurationsprofile eignen sich besonders für
Unternehmen, für Außendienstmitarbeiter und für Benutzer, die ihre Geräte
große
nicht selbst einrichten können.
Sollen die Benutzer ihre Geräte selbst aktivieren oder sollen Unternehmensprogramme
installiert oder aktualisiert werden, muss iTunes auf dem Mac oder PC der Benutzer
installiert sein. iTunes ist auch für Softwareaktualisierungen für iPhone und iPod touch
erforderlich. Bitte bedenken Sie dies, wenn Sie entscheiden, iTunes nicht an Ihre Benutzer zu verteilen. Weitere Informationen zur Implementierung und Bereitstellung von
iTunes finden Sie in Kapitel 4.
Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten 23
Drahtlose Registrierung und Konfiguration
Als Registrierung wird der Prozess bezeichnet, mit dem ein Gerät und ein Benutzer mit
dem Ziel identifiziert werden, die Verteilung von Zertifikaten zu automatisieren. Digitale Zertifikate bieten viele Vorteile für iPhone-Benutzer. Sie werden zum Beispiel für
die Identifizierung eines Benutzers verwendet, wenn er versucht, auf zentrale Dienste
eines Unternehmens oder einer Organisation wie Microsoft Exchange ActiveSync,
drahtlose WPA2 Enterprise-Netzwerke oder VPN-Verbindungen zum Unternehmensnetzwerk zuzugreifen. Die zertifikatbasierte Identifizierung ermöglicht außerdem den
Einsatz von VPN On Demand für den nahtlosen Zugang zu Unternehmensnetzwerken.
Zusätzlich zu der Option, Zertifikate für die PKI (Public Key Infrastructure) Ihres Unternehmens mit den Mitteln der drahtlosen Identifizierung zu verteilen, haben Sie auch
die Möglichkeit, spezielle Profile für die Gerätekonfiguration bereitzustellen und zu
implementieren. Auf diese Weise ist sichergestellt, dass nur vertrauenswürdige Benutzer auf die Dienste Ihres Unternehmens zugreifen und dass deren Geräte gemäß Ihren
IT-Richtlinien konfiguriert sind. Da Konfigurationsprofile verschlüsselt und geschützt
werden können, bieten sie außerdem den Vorteil, dass ihre Einstellungen weder
gelöscht noch geändert oder an andere Benutzer weitergegeben werden können. Die
genannten Möglichkeiten stehen beim unten beschriebenen drahtlosen Prozess und
auch im iPhone-Konfigurationsprogramm zur Verfügung, solange das konfigurierte
Gerät mit Ihrem Administrationscomputer verbunden ist. Weitere Informationen über
das iPhone-Konfigurationsprogramm finden Sie in Kapitel 2.
Die Implementierung der drahtlosen Identifizierung und Konfiguration erfordert die
Entwicklung und Integration von Identifizierungs-, Verzeichnis- und Zertifizierungsdiensten. Die Bereitstellung und Implementierung kann mithilfe standardmäßiger Webdienste erfolgen. Nachdem alle notwendigen Voraussetzungen geschaffen wurden, können
Benutzer ihre Geräte in einer sicheren, authentifizierten Umgebung einrichten.
Übersicht über die authentifizierte Registrierung und Konfiguration
Für die Implementierung dieses Prozesses müssen Sie einen eigenen Profilweitergabedienst erstellen, der HTTP-Verbindungen, die Identifizierung von Benutzern, das Erstel-
len von mobileconfig-Profilen und die Verwaltung des im Folgenden beschriebenen
Gesamtprozesses unterstützt.
Außerdem benötigen Sie eine Zertifizierungsstelle (Certificate Authority, CA), damit
Sie Ihre gerätespezifischen Zertifikate mithilfe des Protokolls SCEP (Simple Certificate
Enrollment Protocol) bereitstellen können. Links zu PKI, SCEP und zugehörigen
Themen finden Sie unter „Weitere Informationsquellen“ auf Seite 29.
Das folgende Diagramm zeigt den vom iPhone unterstützten Registrierungs- und
Konfigurationsprozess.
24 Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten
Phase 1 – Beginn der Registrierung
Profildienst
2
Gerätedaten-
abfrage
Muster
Erforderliche Attribute: UDID,
OS-Version, IMEI
Challenge-Token: AnneJohnson1
URL für Antwort:
https://profile.example.com
Registrierungsanforderung
1
Muster
Benutzer: Anne Johnson
Phase 1 – Beginn der Registrierung: Die Registrierung beginnt damit, dass der Benutzer in Safari auf die URL des von Ihnen erstellten Profilweitergabediensts zugreift. Sie
können diese URL per SMS oder E-Mail weitergeben. Mit der Registrierungsanforderung, im Diagramm oben als Schritt 1 dargestellt, sollte die Identität des Benutzers
authentifiziert werden. Für die Authentifizierung und Identifizierung genügt unter
Umständen eine einfache Identifizierung (basic auth). Sie können aber auch vorhandene Verzeichnisdienste heranziehen.
In Schritt 2 sendet Ihr Dienst als Antwort auf die Anforderung ein Konfigurationsprofil
(.mobileconfig). Diese Antwort umfasst eine Liste von Attributen, die das Gerät mit
seiner nächsten Antwort senden muss, sowie einen Pre-Shared Key (PSK), d. h. ein
vorab ausgetauschtes Kennwort zur Authentifizierung, als so genannte Challenge.
Mithilfe des PSK kann die Identität des Benutzers über den gesamten Prozess aufrecht
erhalten werden, was Ihnen die Möglichkeit gibt, den Konfigurationsprozess individuell für jeden Benutzer anzupassen. Zu den Geräteattributen, die angefordert werden
können, gehören die iPhone OS-Version, die Geräte-ID (MAC-Adresse),
der Produkttyp
(das iPhone 3GS wird als iPhone2,1 angegeben), die Telefon-ID (IMEI) und die SIMAngaben (ICCID).
Im Abschnitt „Muster für Phase 1 – Antwort des Servers“ auf Seite 95 sehen Sie ein
Beispiel für ein Konfigurationsprofil in dieser Phase.
Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten 25
Phase 2 – Identifizierung des Geräts
Profildienst
Signierte Antwort via POST
Muster
Attribute: UDID,
OS-Version, IMEI
Challenge-Token:
AnneJohnson1
Phase 2 – Identifizierung des Geräts: Wenn sich der Benutzer mit der Installation des
in Phase 1 empfangenen Profils einverstanden erklärt, sucht das Gerät nach den angeforderten Attributen, fügt gegebenenfalls die Antwort auf die Challenge hinzu und
signiert die Antwort mit der in das Gerät integrierten Identität. (Hierbei handelt es sich
um ein von Apple ausgegebenes Zertifikat.) Abschließend wird die Antwort per HTTP
Post an den Profilweitergabedienst zurück gesendet.
Im Abschnitt „Muster für Phase 2 – Antwort des Geräts“ auf Seite 96 sehen Sie ein
Beispiel für ein Konfigurationsprofil in dieser Phase.
26 Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten
Phase 3 – Installation des Gerätezertifikats
Zertifizierungs-
dienst
3
Gerätezertifikat
Muster
RSA: 1024
Challenge: AnneJohnson1
URL:http://ca.example.com/
getkey.exe
Profildienst
1
URL mit Spezifikationen
für die Generierung des
Challenge-Schlüssels
2
Challenge-Schlüssel
für die Anforderung zur
Zertifikatssignierung
Phase 3 – Installation des Zertifikats: In Schritt 1 sendet der Profilweitergabedienst
eine Antwort mit Spezifikationen, auf deren Basis das Gerät nun einen Schlüssel generiert (RSA 1024), sowie Angaben dazu, wohin diese Schlüsseldaten für die Zertifizierung
mit SCEP (Simple Certificate Enrollment Protocol) gesendet werden müssen.
In Schritt 2 muss die SCEP-Anforderung automatisch bearbeitet werden. Dies ist möglich, da für die Authentifizierung/Identifizierung der Anforderung die Challenge-Informationen im SCEP-Paket verwendet werden.
In Schritt 3 liefert die Zertifizierungsstelle (CA) als Antwort ein Verschlüsselungszertifikat für das Gerät.
Im Abschnitt „Muster für Phase 3 – Antwort des Servers mit SCEP-Spezifikationen“ auf
Seite 97 sehen Sie ein Beispiel für ein Konfigurationsprofil in dieser Phase.
Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten 27
Phase 4 – Gerätekonfiguration
2
Profildienst
Versschlüsselte .mobileconfig-
Gerätedatei, die vom Profildienst
signiert wurde
Geräteattribute,
signiert mit
Gerätezertifikat
Muster
Muster
1
UDID, OS-Version,
IMEI, MAC-Adresse
Austauschregeln,
VPN-Einstellungen, weitere
SCEP-Payloads,
Mail-Accounts, etc.
Phase 4 – Konfigurierung des Geräts: In Schritt 1 sendet das Gerät eine Liste von
Attributen, die mithilfe des Verschlüsselungszertifikats signiert ist, das in der vorherigen Phase von der Zertifizierungsstelle (CA) bereitgestellt wurde.
In Schritt 2 sendet der Profildienst im Gegenzug eine verschlüsselte .mobileconfigDatei, die automatisch installiert wird. Diese .mobileconfig-Datei muss vom Profildienst
signiert werden. Für diesen Zweck kann zum Beispiel dessen SSL-Zertifikat verwendet
werden.
Außer den allgemeinen Einstellungen sollte dieses Konfigurationsprofil auch die Richtlinien Ihres Unternehmens definieren, deren Umsetzung und Anwendung erzwungen
werden sollten. Außerdem sollte das Profil geschützt werden, damit der Benutzer es
nicht vom Gerät entfernen kann. Das Konfigurationsprofil kann zusätzliche Anforderungen bezüglich der Registrierung von Identitäten per SCEP enthalten. Diese Anforderungen werden im Zuge der Installation des Profils ausgeführt.
Bei einem Zertifikat, das mithilfe von SCEP installiert wurde und abläuft oder anderweitig ungültig wird, erhält der Benutzer die Aufforderung, das Profil zu aktualisieren.
Bestätigt der Benutzer die Aufforderung, wiederholt das Gerät den oben beschriebenen Prozess, um ein neues Zertifikat und Profil zu erhalten.
Im Abschnitt „Muster für Phase 4 – Antwort des Geräts“ auf Seite 98 sehen Sie ein
Beispiel für ein Konfigurationsprofil in dieser Phase.
28 Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten
Weitere Informationsquellen
 Digital Certificates PKI for IPSec VPNs.pdf unter der Adresse:
https://cisco.hosted.jivesoftware.com/docs/DOC-3592
 Public-Key-Infrastructure unter der Adresse:
http://de.wikipedia.org/wiki/Public_Key_Infrastructure
 Spezifikation für das Protokoll IETF SCEP unter der Adresse:
http://www.ietf.org/internet-drafts/draft-nourse-scep-18.txt
Weitere Informationen und Ressourcen für iPhone und iPod touch in Unternehmen
finden Sie im Internet www.apple.com/de/iphone/enterprise/.
Kapitel 1 Implementieren von iPhone- und iPod touch-Geräten 29
2 Erstellen und Implementieren von
Konfigurationsprofilen
2
Konfigurationsprofile legen fest, wie iPhone- und iPod touchGeräte in Ihre Unternehmensinstallationen eingebunden
werden.
Konfigurationsprofile sind XML-Dateien, die gerätespezifische Sicherheitsrichtlinien und
Einschränkungen, VPN-Konfigurationsinformationen, Wi-Fi-Einstellungen, Accounts für
E-Mail- und Kalenderfunktionen und Identifizierungszertifikate enthalten, die es dem
Gerät (iPhone und iPod touch) ermöglichen, mit den Systemen in Ihrem Unternehmen
zu kommunizieren und zu kooperieren.
Sie können ein Konfigurationsprofil auf einem Gerät mithilfe des iPhone-Konfigurationsprogramms installieren. Dazu muss das Gerät über USB mit einem Computer
verbunden sein. Alternativ können Sie Konfigurationsprofile per E-Mail verteilen oder
auf einer Website bereitstellen. Wenn ein Benutzer den E-Mail-Anhang öffnet bzw.
das Profil mithilfe von Safari auf sein Gerät lädt, wird er aufgefordert, den Installationsprozess zu starten.
30
Sollen keine Konfigurationsprofile erstellt und verteilt werden, können iPhone- und
iPod touch-Geräte auch manuell konfiguriert werden. In Kapitel 3 finden Sie weitere
Informationen über die manuelle Konfiguration.
Loading...