iPhone OS
Manuale per la
distribuzione nel
settore aziendale
Seconda edizione, per la versione 3.1
o successiva
K
Apple Inc.
© 2009 Apple Inc. Tutti i diritti riservati.
Questo manuale non può essere copiato, interamente
o in parte, senza il consenso scritto di Apple.
Il logo Apple è un marchio di Apple Inc. registrato negli
Stati Uniti e in altri paesi. L’uso del logo Apple “tastiera”
(Opzione-Maiusc-K) per scopi commerciali senza il previo
consenso scritto di Apple può rappresentare una violazione
del marchio e costituire concorrenza sleale in violazione
delle leggi federali e statali.
Ogni sforzo è stato compiuto per garantire che le
informazioni di questo manuale siano accurate. Apple
non è responsabile degli eventuali errori di stampa
o materiali.
Apple
1 Infinite Loop
Cupertino, CA 95014
408-996-1010
www.apple.com
Apple, il logo Apple, Bonjour, iPod, iPod touch, iTunes,
Keychain, Leopard, Mac, Macintosh, il logo Mac, Mac OS,
QuickTime, e Safari sono marchi di Apple Inc., registrati
negli Stati Uniti e in altri paesi.
iPhone è un marchio di Apple Inc.
iTunes Store e App Store sono marchi di servizio di
Apple Inc. registrati negli Stati Uniti e in altri paesi.
MobileMe è un marchio di servizio di Apple Inc.
Altri nomi di società e prodotti qui citati sono marchi
dei rispettivi proprietari. La citazione di prodotti di terze
parti è usata solamente per scopi informativi e non è
intesa a scopo pubblicitario o di raccomandazione
d’uso. Apple non si assume alcuna responsabilità in
merito al funzionamento o all’uso di tali prodotti.
Pubblicato contemporaneamente negli Stati Uniti e in
Canada.
T019-1601/09-2009
Indice
1
Prefazione 6 iPhone nel settore aziendale
6
Novità per le aziende in iPhone OS 3.0 e versione successiva
7
Requisiti di sistema
8
Microsoft Exchange ActiveSync
11
VPN
11
Protezione di network
12
Certificati e identità
12
Account e-mail
12
Server LDAP
12
Server CalDAV
13
Risorse aggiuntive
Capitolo 1 14 Deployment di iPhone e iPod touch
15
Attivare i dispositivi
16
Preparare l’accesso ai servizi del network e ai dati aziendali
20
Determinare le politiche dei codici dei dispositivi
21
Configurare i dispositivi
22
Registrazione e configurazione mediante tecnologia over the air
27
Altre risorse
Capitolo 2 28 Creare e distribuire i profili di configurazione
29
Informazioni su Utility Configurazione iPhone
30
Creare profili di configurazione
41
Modificare i profili di configurazione
41
Installare profili di fornitura e applicazioni
41
Installare i profili di configurazione
44
Rimuovere e aggiornare i profili di configurazione
Capitolo 3 46 Configurare manualmente i dispositivi
46
Impostazioni VPN
50
Impostazioni Wi-Fi
51
Impostazioni di Exchange
56
Installare identità e certificati root
57
Account e-mail aggiuntivi
3
57
Aggiornare e rimuovere i profili
57
Altre risorse
Capitolo 4 58 Distribuire iTunes
58
Installazione di iTunes
60
Attivazione rapida dei dispositivi con iTunes
61
Configurazione delle limitazioni di iTunes
63
Creare un backup di iPhone con iTunes
Capitolo 5 64 Distribuire le applicazioni per iPhone
64
Registrarsi per lo sviluppo di applicazioni
65
Firmare le applicazioni
65
Creare il profilo di fornitura per la distribuzione
65
Installare i profili di fornitura mediante iTunes
66
Installare profili di fornitura con Utility Configurazione iPhone
66
Installare applicazioni mediante iTunes
67
Installare applicazioni con Utility Configurazione iPhone
67
Utilizzare le applicazioni aziendali
67
Disabilitare un’applicazione aziendale
67
Altre risorse
Appendice A 68 Configurazione dei server VPN Cisco
68
Piattaforme Cisco supportate
68
Metodi di autenticazione
69
Gruppi di autenticazione
69
Certificati
70
Impostazioni di IPSec
70
Altre funzionalità supportate
Appendice B 71 Formato dei profili di configurazione
71
Livello base
72
Contenuto del payload
73
Payload password rimozione profilo
73
Payload Politica codice
74
Payload e-mail
76
Payload clip web
76
Restrizioni payload
77
Payload LDAP
77
Payload CalDAV
78
Payload sottoscrizione calendario
78
Payload SCEP
79
Payload APN
80
Payload Exchange
80
Payload di VPN
4
Indice
82
Payload Wi-Fi
85
Esempi di profili di configurazione
Appendice C 89 Script campione
Indice
5
iPhone nel settore aziendale
Impara come integrare iPhone e iPod touch nei sistemi aziendali
Questa guida è destinata agli amministratori di sistema e fornisce informazioni sulla
distribuzione e il supporto di iPhone e iPod touch all’interno degli ambienti aziendali.
Novità per le aziende in iPhone OS 3.0 e versione successiva
iPhone OS 3.x include numerosi miglioramenti, compresi i seguenti potenziamenti
ottimizzati per gli utenti aziendali.
Â
Supporto della sincronizzazione wireless con calendario CalDAV.
Â
Supporto server LDAP per la ricerca di contatti nei messaggi e-mail, nella rubrica
e nei messaggi SMS.
Â
Possibilità di codificare e bloccare i profili di configurazione su un dispositivo in
modo che possano essere rimossi solo inserendo una password amministratore.
Â
Adesso Utility Configurazione iPhone consente di aggiungere e rimuovere i profili di
configurazione codificati direttamente sui dispositivi collegati al computer via USB.
Â
Supporto del protocollo OCSP (Online Certificate Status Protocol) per la revoca dei
certificati.
Â
Supporto delle connessioni VPN su richiesta, basate su certificato.
Â
Supporto della configurazione proxy VPN mediante profilo di configurazione e server
VPN.
Â
Possibilità per gli utenti Microsoft Exchange di invitare gli altri utenti alle riunioni.
Possibilità per gli utenti Microsoft Exchange 2007 di visualizzare lo stato della risposta.
Â
Supporto dell’autenticazione mediante certificato di client Exchange ActiveSync.
Â
Supporto delle politiche EAS aggiuntive, insieme al protocollo 12.1 EAS.
Â
Disponibilità di ulteriori restrizioni al dispositivo, compresa la possibilità di specificare il
periodo di tempo durante il quale il dispositivo può rimanere senza blocco, la possibilità
di disabilitare la fotocamera e di impedire agli utenti di scattare un’istantanea dello
schermo del dispositivo.
Prefazione
6
Â
Possibilità di effettuare ricerche nei messaggi e-mail locali e negli eventi calendario.
Per IMAP, MobileMe e Exchange 2007, possibilità di effettuare ricerche anche nei
messaggi e-mail che si trovano sul server.
Â
Possibilità di indicare cartelle e-mail aggiuntive per la consegna dei messaggi e-mail
push.
Â
Possibilità di specificare le impostazioni proxy APN utilizzando un profilo di
configurazione.
Â
Possibilità di installare i clip web utilizzando un profilo di configurazione.
Â
Supporto di 02.1x EAP-SIM.
Â
Possibilità di autenticare e registrare i dispositivi “over the air”, utilizzando un server
SCEP (Simple Certificate Enrollment Protocol).
Â
Possibilità di utilizzare iTunes per archiviare i backup del dispositivo in formato codificato.
Â
Adesso Utility Configurazione iPhone supporta la creazione di profili mediante scripting.
Requisiti di sistema
Questa sezione contiene una panoramica dei requisiti del sistema e dei vari componenti
disponibili per l’integrazione di iPhone e iPod touch con i sistemi aziendali.
iPhone e iPod touch
I dispositivi iPhone e iPod touch che utilizzi con il network aziendale devono essere
aggiornati con iPhone OS 3.0 o versione successiva.
iTunes
Per procedere alla configurazione di un dispositivo, è necessario disporre di iTunes 8.2 o
versione successiva. Questa versione è necessaria anche per installare gli aggiornamenti
software per iPhone o iPod touch, installare applicazioni e sincronizzare musica, video,
note o altri dati con Mac o PC.
Per utilizzare iTunes, è necessario un Mac o un PC che disponga di una porta USB 2.0
e soddisfi i requisiti minimi elencati sul sito web di iTunes. Consulta
www.apple.com/it/itunes/download/.
Utility Configurazione iPhone
Puoi utilizzare Utility Configurazione iPhone per creare, codificare e installare i profili di
configurazione, per individuare e installare profili di fornitura e applicazioni autorizzate
e per acquisire informazioni sul dispositivo, come i resoconti della console. Per creare
profili di configurazione per dispositivi con iPhone OS 3.1 o versione successiva, devi
utilizzare Utility Configurazione iPhone 2.1 o versione successiva.
Utility Configurazione iPhone richiede uno dei seguenti sistemi:
Â
Mac OS X v10.5 Leopard
Â
Windows XP Service Pack 3 con .NET Framework 3.5 Service Pack 1
Prefazione
iPhone nel settore aziendale
7
Â
Windows Vista Service Pack 1 con .NET Framework 3.5 Service Pack 1
Utility Configurazione iPhone funziona a 32 bit sulle versioni di Windows a 64 bit.
Puoi scaricare il programma di installazione di .Net Framework 3.5 Service Pack 1 da:
http://www.microsoft.com/downloads/details.aspx?familyid=ab99342f-5d1a-413d-831981da479ab0d7
L’utility ti consente di creare un messaggio in Outlook con un profilo di configurazione
come allegato. Inoltre, puoi assegnare nomi utente e indirizzi e-mail dalla tua rubrica ai
dispositivi che hai connesso all’utility. Entrambe le funzionalità richiedono Outlook e
non sono compatibili con Outlook Express. Per utilizzare tali funzionalità su computer
con Windows XP, potrebbe essere necessario installare 2007 Microsoft Office System
Update: Redistributable Primary Interop Assemblies. È necessario se Outlook è stato
installato prima di .NET Framework 3.5 Service Pack 1.
Il programma di installazione di Primary Interop Assemblies è disponibile su:
http://www.microsoft.com/downloads/details.aspx?FamilyID=59daebaa-bed4-4282a28c-b864d8bfa513
Microsoft Exchange ActiveSync
iPhone e iPod touch supportano le seguenti versioni di Microsoft Exchange:
Â
Exchange ActiveSync for Exchange Server (EAS) 2003 Service Pack 2
 Exchange ActiveSync per Exchange Server (EAS) 2007
Come supporto alle politiche e alle funzionalità di Exchange 2007, è necessario
Service Pack 1.
Politiche di Exchange ActiveSync supportate
Sono supportate le seguenti politiche di Exchange:
 Imponi password su dispositivo
 Lunghezza minima password
 Numero massimo di tentativi di inserimento della password
 Richiedi l’uso di numeri e lettere
 Tempo di inattività in minuti
Sono supportate anche le seguenti politiche di Exchange 2007:
 Consenti o proibisci password semplici
 Scadenza password
 Cronologia password
 Intervallo di aggiornamento della politica
 Numero minimo di caratteri complessi nella password
8 Prefazione
iPhone nel settore aziendale
 Richiedi sincronizzazione manuale quando in roaming
 Consenti fotocamera
 Richiedi codificazione del dispositivo
Per una descrizione di queste politiche, consulta la documentazione di Exchange
ActiveSync.
La politica Exchange per richiedere la codificazione del dispositivo
(RequireDeviceEncryption) è supportata su iPhone 3GS e iPod touch (modelli
autunno 2009 con 32 GB o superiore). iPhone, iPhone 3G gli altri modelli di
iPod touch non supportano la codificazione del dispositivo e non possono
essere connessi a un server Exchange che richiede tale codifica.
Abilitando la politica “Richiedi l’uso di numeri e lettere” su Exchange 2003 o la politica
“Richiedi password alfanumerica” su Exchange 2007, l’utente dovrà inserire un codice
per iPhone che contenga almeno un carattere complesso.
Il valore specificato dalla politica di tempo di inattività (MaxInactivityTimeDeviceLock
o AEFrequencyValue) viene utilizzata per impostare il valore massimo che gli utenti
possono selezionare da Impostazioni > Generale > Blocco automatico e da Impostazioni
> Generale > Blocco con codice > Richiedi codice.
Ripulitura remota
Se necessario, puoi ripulire i contenuti di un dispositivo iPhone o iPod touch. Questa
operazione permette di rimuovere tutti i dati e le informazioni di configurazione presenti
sul dispositivo, ripristinando le impostazioni originali di fabbrica.
Importante: su iPhone e iPhone 3G, l’inizializzazione sovrascrive i dati sul dispositivo e può
impiegare circa un’ora per ogni 8 GB di capacità del dispositivo. Prima di inizializzare, collega
il dispositivo a una fonte di alimentazione. Se il dispositivo si spegne perché la batteria è
scarica, il processo di inizializzazione riprende non appena il dispositivo viene collegato
all’alimentatore. Su iPhone 3GS, l’inizializzazione rimuove la chiave di codificazione dei
dati (che è codificata con un crittografia AES a 256 bit) e il processo è immediato.
Con Exchange Server 2007, puoi avviare una ripulitura remota mediante la console di
gestione di Exchange, Outlook Web Access o lo strumento web per l’amministrazione
mobile di Exchange ActiveSync.
Con Exchange Server 2003, puoi avviare una ripulitura remota mediante lo strumento
web per l’amministrazione mobile di Exchange ActiveSync.
Gli utenti possono ripulire i propri dispositivi scegliendo “Cancella contenuto e
impostazioni” dal menu Ripristina delle impostazioni Generali. I dispositivi possono
essere inoltre configurati per iniziare automaticamente a ripulire dopo una serie di
tentativi di inserimento del codice errati.
Prefazione iPhone nel settore aziendale 9
Se esegui il recupero di un dispositivo che è stato inizializzato poiché era stato smarrito,
utilizza iTunes per recuperare la copia di backup più recente del dispositivo.
Microsoft Direct Push
Exchange ActiveSync invia e-mail, contatti ed eventi del calendario automaticamente a
iPhone se è disponibile una connessione dati cellulare o Wi-Fi. iPod touch non dispone
di una connessione cellulare, quindi può ricevere le notifiche push solo quando è
acceso e collegato a un network Wi-Fi.
Microsoft Exchange Autodiscovery
Il servizio Autodiscover di Exchange Server 2007 è supportato. Durante la configurazione
manuale di iPhone o iPod touch, Autodiscover utilizza il tuo indirizzo e-mail e la
tua password per determinare automaticamente le informazioni corrette del server
Exchange. Per informazioni sull’abilitazione del servizio Autodiscover, vai su
http://technet.microsoft.com/en-us/library/cc539114.aspx.
Elenco indirizzi globale di Microsoft Exchange
iPhone e iPod touch ricevono le informazioni sui contatti dall’elenco indirizzi aziendale
del server Exchange. È possibile accedere a questa directory durante la ricerca in
Contatti; inoltre, l’accesso avviene automaticamente per il completamento degli
indirizzi e-mail mentre vengono digitati.
Funzionalità aggiuntive di Exchange ActiveSync supportate
Oltre alle funzionalità e alle proprietà già descritte, iPhone supporta:
 Creazione di inviti calendario. Con Microsoft Exchange 2007, puoi anche visualizzare
lo stato delle risposte agli inviti.
 Impostazione dello stato degli inviti su libero, occupato, provvisorio o fuori sede
per gli eventi calendario.
 Ricerca dei messaggi e-mail sul server. Richiede Microsoft Exchange 2007.
 Autenticazione mediante certificato client Exchange ActiveSync.
Funzionalità di Exchange ActiveSync non supportate
Alcune funzionalità di Exchange non sono supportate; ad esempio:
 Gestione delle cartelle
 Apertura di collegamenti nei messaggi e-mail a documenti archiviati su server Sharepoint
 Sincronizzazione delle attività
 Impostazione di un messaggio di risposta “fuori ufficio” automatico
 Contrassegno di messaggi per il completamento
10 Prefazione iPhone nel settore aziendale
VPN
iPhone e iPod touch possono funzionare con server VPN che supportano i seguenti
protocolli e metodi di autenticazione:
 L2TP/IPSec con autenticazione utente mediante password MS-CHAPV2, RSA SecurID
e CryptoCard e autenticazione computer mediante chiave condivisa.
 PPTP con autenticazione utente mediante password MS-CHAPV2, RSA SecurID
e CryptoCard.
 Cisco IPSec con autenticazione utente tramite password, RSA SecurID o CryptoCard, e
autenticazione computer mediante chiave condivisa e certificati. Per ulteriori consigli
sulla configurazione e per un elenco dei server VPN Cisco compatibili, consulta
l’appendice A.
Cisco IPSec con autenticazione mediante certificato supporta la tecnologia “VPN su
richiesta” per i domini specificati durante la configurazione. Consulta “Impostazioni
VPN” a pagina 35 per ulteriori dettagli.
Protezione di network
iPhone e iPod touch supportano i seguenti standard di protezione per network wireless
802.11i definiti da Wi-Fi Alliance:
 WEP
 WPA-Personal
 WPA-Enterprise
 WPA2-Personal
 WPA2-Enterprise
Inoltre, iPhone e iPod touch supportano i seguenti metodi di autenticazione 802.1X
per network WPA-Enterprise e WPA2-Enterprise:
 EAP-TLS
 EAP-TTLS
 EAP-FAST
 EAP-SIM
 PEAP v0, PEAP v1
 LEAP
Prefazione iPhone nel settore aziendale 11
Certificati e identità
iPhone e iPod touch possono utilizzare i certificati X.509 con chiavi RSA. Vengono
riconosciute le estensioni .cer, .crt e .der. Le valutazioni di catene certificati vengono
eseguite con Safari, Mail, VPN e altre applicazioni.
iPhone e iPod touch possono utilizzare documenti P12 (PKCS #12 standard) che
contengono esattamente un’identità. Vengono riconosciute le estensioni .p12 e .pfx.
Una volta installata un’identità, l’utente riceve la richiesta di inserire una frase chiave
per la sua protezione.
I certificati necessari per stabilire la catena certificati a un certificato root attendibile
possono essere installati manualmente o utilizzando i profili di configurazione. Non è
necessario aggiungere i certificati root forniti sul dispositivo da Apple. Per visualizzare
l’elenco dei certificati root di sistema preinstallati, consulta l’articolo del supporto Apple
all’indirizzo http://support.apple.com/kb/HT3580.
È possibile installare i certificati in modalità sicura “over the air” mediante SCEP.
Per ulteriori informazioni, consulta “Panoramica del processo di registrazione
autenticata e configurazione” a pagina 23.
Account e-mail
iPhone e iPod touch supportano le soluzioni standard per posta e-mail IMAP4 e POP3 su
un’ampia gamma di piattaforme server, tra cui Windows, UNIX, Linux e Mac OS X. Puoi
utilizzare anche il protocollo IMAP per accedere alle e-mail degli account Exchange oltre
all’account Exchange che utilizzi con la tecnologia push.
Quando un utente effettua una ricerca nei propri messaggi e-mail, può continuare la
ricerca sul server di posta. Tale opzione funziona con Microsoft Exchange Server 2007
e con la maggior parte degli account IMAP.
Le informazioni relative all’account dell’utente, compresi ID utente e password Exchange,
vengono archiviate in modo sicuro sul dispositivo.
Server LDAP
iPhone e iPod touch recuperano le informazioni di contatto delle directory aziendali del
server LDAPv3 della tua azienda. Puoi accedere alle directory quando cerchi in Contatti;
inoltre, l’accesso è automatico per il completamento degli indirizzi e-mail durante la
digitazione.
Server CalDAV
iPhone e iPod touch sincronizzano i dati del calendario con il server CalDAV aziendale. Le
modifiche al calendario vengono aggiornate periodicamente tra il dispositivo e il server.
12 Prefazione iPhone nel settore aziendale
Puoi anche sottoscrivere calendari di sola lettura, come calendari di vacanze o di
programmazione di un collega.
Gli account CalDAV non supportano la creazione e l’invio di nuovi inviti calendario
da un dispositivo.
Risorse aggiuntive
Oltre a quelle contenute in questa guida, puoi trovare ulteriori informazioni utili nelle
pubblicazioni e nei siti web seguenti:
 Pagina web di iPhone nel settore aziendale, all’indirizzo
www.apple.com/it/iphone/enterprise/
 Panoramica dei prodotti per Microsoft Exchange all’indirizzo
http://technet.microsoft.com/en-us/library/bb124558.aspx
 Deployment di Exchange ActiveSync, all’indirizzo
http://technet.microsoft.com/en-us/library/aa995962.aspx
 Libreria di documentazione tecnica di Microsoft Exchange 2003 all’indirizzo
http://technet.microsoft.com/en-us/library/bb123872(EXCHG.65).aspx
 Gestione della sicurezza di Exchange ActiveSync, all’indirizzo
http://technet.microsoft.com/en-us/library/bb232020(EXCHG.80).aspx
 Pagina web Wi-Fi for Enterprise all’indirizzo www.wi-fi.org/enterprise.php
 Connettività VPN di iPhone ai dispositivi di sicurezza adattativi Cisco (ASA) su
www.cisco.com/en/US/docs/security/vpn_client/cisco_vpn_client/iPhone/2.0/
connectivity/guide/iphone.html
 Manuale Utente di iPhone, disponibile per il download su
www.apple.com/it/support/iphone/. Per visualizzare il manuale su iPhone, tocca il
preferito “Manuale Utente di iPhone” in Safari o vai su http://help.apple.com/iphone/.
 Tour guidato di iPhone su www.apple.com/it/iphone/guidedtour/
 Manuale Utente di iPod touch, disponibile per il download su
www.apple.com/it/support/ipodtouch. Per visualizzate il manuale su iPod touch, tocca
“Manuale Utente di iPod touch” in Safari o vai su http://help.apple.com/ipodtouch/.
 Tour guidato di iPod touch su www.apple.com/it/ipodtouch/guidedtour/
Prefazione iPhone nel settore aziendale 13
1 Deployment di iPhone
e iPod touch
1
Questo capitolo contiene una panoramica su come effettuare
il deployment di iPhone e iPod touch all’interno di un’azienda.
iPhone e iPod touch sono progettati per integrarsi facilmente con sistemi aziendali quali
Microsoft Exchange 2003 e 2007, network wireless sicuri basati sui protocolli 802.1X e
network privati virtuali Cisco IPSec. Come avviene per qualsiasi soluzione aziendale,
una buona pianificazione e la comprensione delle opzioni disponibili per la distribuzione rendono questa operazione più facile ed efficiente per amministratori e utenti.
Durante la pianificazione della distribuzione di iPhone e iPod touch, è necessario considerare quanto segue:
 In che modo sarà attivato l’uso di servizi cellulari wireless sui dispositivi iPhone aziendali?
 A quali servizi di network, applicazioni e dati aziendali dovranno accedere gli utenti?
 Quali politiche desideri impostare sui dispositivi al fine di proteggere i dati aziendali
riservati?
 Desideri configurare manualmente i singoli dispositivi o utilizzare un processo
semplificato per la configurazione di un grande numero di apparecchi?
14
Le specifiche relative ad ambiente aziendale, politiche IT e operatore wireless e i requisiti
di elaborazione e comunicazione hanno effetto sul modo in cui è possibile personalizzare
la strategia di distribuzione.
Attivare i dispositivi
Prima di poter essere utilizzato per effettuare e ricevere chiamate, inviare messaggi
di testo o connettersi a un network dati cellulare, ogni iPhone deve essere attivato
dal proprio gestore wireless. Contatta l’operatore per informazioni sulle tariffe per voce
e dati e istruzioni di attivazione per i clienti del settore consumer e aziendali.
Tu o l’utente dovete installare una scheda SIM all’interno di iPhone. Quindi, per completare il processo di attivazione, iPhone deve essere connesso a un computer dotato di
iTunes. Se la scheda SIM è già attiva, iPhone è pronto per essere usato; in caso contrario, iTunes ti guida attraverso il processo di attivazione di una nuova linea di servizio.
Anche se attualmente non è disponibile alcun servizio cellulare o scheda SIM per
iPod touch, per poterlo sbloccare questo deve essere collegato a un computer su
cui è installato iTunes.
Poiché è richiesto l’utilizzo di iTunes per completare il processo di attivazione di iPhone
e iPod touch, devi decidere se desideri installare iTunes sul computer Mac o sul computer PC di ciascun utente o se preferisci completare personalmente l’operazione per ogni
dispositivo utilizzando iTunes sul tuo computer.
Dopo l’attivazione, non è necessario usare iTunes per utilizzare il dispositivo con i sistemi
aziendali, ma è necessario utilizzarlo per eseguire la sincronizzazione di musica, video e
preferiti del browser web con il computer. Inoltre, iTunes è necessario anche per scaricare
e installare gli aggiornamenti software per i dispositivi e installare le applicazioni aziendali.
Per ulteriori informazioni sull’attivazione di dispositivi e sull’utilizzo di iTunes, consulta
il capitolo 4.
Capitolo 1 Deployment di iPhone e iPod touch 15
Preparare l’accesso ai servizi del network e ai dati aziendali
Il software iPhone OS 3.0 consente l’invio sicuro di messaggi e-mail, contatti e calendari
push verso le soluzioni Microsoft Exchange Server 2003 o 2007 esistenti, oltre a rafforzare
le politiche relative a GAL (Global Address Lookup), Remote Wipe (cancellazione remota)
e codice del dispositivo. Il software permette anche agli utenti di connettersi in modo
sicuro alle risorse aziendali tramite network wireless WPA Enterprise e WPA2 Enterprise
che utilizzano l’autenticazione wireless 802.1X e/o tramite VPN che utilizzano i protocolli
PPTP, LT2P su IPSec o Cisco IPSec.
Se la società non utilizza Microsoft Exchange, gli utenti possono usare comunque i propri
iPhone o iPod touch per sincronizzare le informazioni in modalità wireless con la maggior
parte dei server e dei servizi basati sugli standard POP o IMAP. Inoltre, essi possono utilizzare iTunes per sincronizzare gli eventi del calendario e i contatti con iCal e Address Book
per Mac OS X o con Microsoft Outlook su un PC. Per l’accesso wireless a calendari e
directory, sono supportati CalDAV e LDAP.
Per determinare i servizi del network a cui gli utenti potranno accedere, consulta le
informazioni contenute nei paragrafi seguenti.
Microsoft Exchange
iPhone comunica direttamente con il server Microsoft Exchange tramite il protocollo
Microsoft EAS (Exchange ActiveSync). Exchange ActiveSync gestisce una connessione tra il
server Exchange e iPhone in modo da aggiornare immediatamente iPhone quando viene
ricevuto un nuovo messaggio e-mail o un invito a una riunione. iPod touch non dispone di
una connessione cellulare, pertanto può ricevere le notifiche push solo quando è acceso e
collegato a un network Wi-Fi.
Se la società supporta Exchange ActiveSync su Exchange Server 2003 o Exchange Server
2007, i servizi necessari sono già disponibili. Per Exchange Server 2007, assicurati che sia
installato Client Access Role (Ruolo Accesso client). Per Exchange Server 2003, assicurati
di aver abilitato Outlook Mobile Access (OMA).
Se disponi di un server Exchange, ma la società ha appena iniziato a usare Exchange
ActiveSync, consulta le informazioni contenute nei paragrafi successivi.
Configurazione di un network
 Verifica che la porta 443 del firewall sia aperta. Se la società utilizza Outlook Web Access,
molto probabilmente la porta 443 è già aperta.
 Controlla che il certificato di un server sia installato sul server frontale di Exchange e
attiva solo l’autenticazione di base, nelle proprietà del metodo di autenticazione, per
richiedere una connessione SSL alla directory Microsoft Server ActiveSync dei tuoi IIS.
 Quando utilizzi un server Microsoft ISA (Internet Security and Acceleration), verifica
che sia installato un certificato server e aggiorna il DNS pubblico affinché sia in grado
di risolvere correttamente le connessioni in entrata.
16 Capitolo 1 Deployment di iPhone e iPod touch
 Assicurati che il DNS del network restituisca al server Exchange ActiveSync un singolo
indirizzo indirizzabile dall’esterno per i client intranet e Internet. Questo requisito è necessario per fare in modo che il dispositivo possa utilizzare lo stesso indirizzo IP per comunicare con il server quando sono attivi entrambi i tipi di connessione.
 Se utilizzi un server ISA, crea un web listener e una regola di pubblicazione accesso
per i client web Exchange. Per ulteriori informazioni, consulta la documentazione
Microsoft.
 Per tutti i firewall e i dispositivi del network, imposta su 30 minuti il timeout di sessione
inattiva. Per informazioni su heartbeat e intervalli di timeout, consulta la documentazione di Microsoft Exchange su
Configurazione degli account Exchange
 Abilita Exchange ActiveSync per utenti o gruppi specifici che utilizzano il servizio Active
Directory. In Exchange Server 2003 ed Exchange Server 2007, vengono abilitati di default
su tutti i dispositivi portatili a livello organizzativo. Per Exchange Server 2007, consulta la
documentazione relativa alla configurazione dei destinatari nella Console Gestione di
Exchange.
 Configura le funzionalità mobili, le politiche e le impostazioni di protezione dei
dispositivi mediante il Gestore di sistema di Exchange. Per Exchange Server 2007,
ciò è possibile tramite la Console Gestione di Exchange.
 Scarica e installa lo strumento Microsoft Exchange ActiveSync Mobile Administration
Web Tool, necessario per eseguire operazioni di pulitura remota. In Exchange Server
2007, la pulitura remota può essere avviata anche mediante Outlook Web Access o
tramite la Console Gestione di Exchange.
http://technet.microsoft.com/en-us/library/cc182270.aspx.
Network Wi-Fi WPA/WPA2 Enterprise
Il supporto di WPA Enterprise e WPA2 Enterprise garantisce che i network wireless
aziendali siano accessibili in modo sicuro da iPhone e iPod touch. WPA/WPA2 Enterprise utilizza la crittografia AES a 128 bit, un collaudato metodo di codificazione basato
sull’uso di blocchi e che fornisce un elevato livello di protezione per i dati aziendali.
Grazie al supporto dell’autenticazione 802.1X, iPhone e iPod touch possono essere integrati
in un’ampia gamma di ambienti server RADIUS. Sono supportati i metodi di autenticazione
wireless 802.1X, tra cui EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 e LEAP.
Configurare un network WPA/WPA2 Enterprise
 Verifica la compatibilità dei dispositivi del network e seleziona un tipo di autenticazione
(tipo EAP) supportato da iPhone e iPod touch. Assicurati che 802.1X sia attivato sul server di autenticazione e se necessario installa un certificato server, quindi assegna a utenti
e gruppi le autorizzazioni di accesso al network.
 Configura i punti di accesso wireless per l’autenticazione 802.1X e inserisci le informa-
zioni relative ai corrispondenti server RADIUS.
Capitolo 1 Deployment di iPhone e iPod touch 17
 Verifica la distribuzione 802.1X con un Mac o un PC per assicurarti che l’autenticazione
RADIUS sia configurata correttamente.
 Se prevedi di utilizzare l’autenticazione basata su certificati, verifica che l’infrastruttura
di chiavi pubbliche sia configurata in modo da supportare dispositivi e certificati utente
con il relativo processo di distribuzione delle chiavi.
 Controlla la compatibilità del formato dei certificati con il dispositivo e con il server di
autenticazione. Per informazioni sui certificati, consulta “Certificati e identità” a pagina 12.
Network privati virtuali
L’accesso protetto ai network privati è supportato su iPhone e iPod touch tramite i
protocolli per i network privati virtuali Cisco IPSec, L2TP su IPSec e PPTP. Se l’organizzazione supporta uno di questi protocolli, per utilizzare i dispositivi con l’infrastruttura
della VPN non è necessario eseguire alcuna ulteriore configurazione o installazione
di applicazioni di terze parti.
Le distribuzioni Cisco IPSec possono sfruttare i vantaggi offerti dall’autenticazione basata
su certificati tramite i certificati digitali standard x.509. Inoltre, l’autenticazione mediante
certificato ti consente di sfruttare “VPN su richiesta”, che fornisce accesso wireless sicuro e
continuo al network aziendale.
Per l’autenticazione basata su due token, iPhone e iPod touch supportano RSA SecurID e
CryptoCard. Durante la creazione di una connessione a una VPN, gli utenti possono inserire i propri PIN e le proprie password monouso generate mediante token direttamente
sul dispositivo. Per ulteriori consigli sulla configurazione e per un elenco dei server VPN
Cisco compatibili, consulta l’appendice A.
iPhone e iPod touch supportano anche l’autenticazione mediante una chiave condivisa
per distribuzioni Cisco IPSec e L2TP su IPSec, oltre a MS-CHAPv2 per l’autenticazione
base tramite nome utente e password.
È supportata anche la configurazione automatica di “Proxy VPN” (PAC e WPAD), che ti
consente di specificare le impostazioni del server proxy per accedere a URL specifici.
Linee guida per la configurazione di una VPN
 iPhone è in grado di integrarsi con la maggior parte dei network VPN con il minimo
impegno di configurazione per abilitarne l’accesso al proprio network. Il modo migliore
per prepararsi alla distribuzione consiste nel verificare che i protocolli VPN aziendali e i
metodi di autenticazione esistenti siano supportati da iPhone.
 Verifica la compatibilità con gli standard dai concentratori della VPN. Spesso è utile
anche rivedere il percorso di autenticazione verso il server RADIUS o di autenticazione
per assicurarsi che gli standard supportati da iPhone siano abilitati nella propria implementazione.
 Contatta i fornitori di soluzioni per accertarti che le attrezzature e il software impiegati
dispongano dei più recenti aggiornamenti di protezione e di firmware.
18 Capitolo 1 Deployment di iPhone e iPod touch
 Se desideri configurare delle impostazioni proxy per un URL specifico, posiziona un
documento PAC su un server web accessibile con impostazioni VPN di base e assicurati che sia servito da un tipo MIME application/x-ns-proxy-autoconfig. In alternativa,
configura il DNS o DHCP per fornire la posizione di un documento WPAD su un server accessibile in modo simile.
E-mail IMAP
Se la società non utilizza Microsoft Exchange, è comunque possibile implementare una
soluzione e-mail sicura e basata su standard utilizzando un server di posta elettronica
in grado di supportare il protocollo IMAP e configurato in modo da richiedere l’autenticazione dell’utente e l’uso del protocollo SSL. Per esempio, puoi accedere alla posta su
Lotus Notes/Domino o Novell GroupWise utilizzando questa tecnica. I server possono
essere ubicati all’interno di un subnetwork DMZ, dietro un firewall aziendale o in una
loro combinazione.
Tramite SSL, iPhone e iPod touch supportano la crittografia a 128 bit e i certificati X.509
emessi dalle principali autorità di certificazione. Essi supportano anche i metodi di
autenticazione dettagliata tra cui lo standard MD5 Challenge-Response e NTLMv2.
Linee guida per la configurazione di network IMAP
 Per garantire una maggiore protezione, installa sul server un certificato digitale rila-
sciato da una CA (autorità di certificazione) considerata attendibile. L’installazione
di un certificato emesso da una CA è un passo importante per garantire che il server
proxy sia un’entità considerata attendibile nell’ambito dell’infrastruttura aziendale.
Consulta “Impostazioni delle credenziali” a pagina 39 per informazioni sull’installazione dei certificati su iPhone.
 Per consentire ai dispositivi iPhone e iPod touch di ricevere messaggi e-mail dal server,
apri la porta 993 nel firewall e assicurati che il server proxy sia impostato in modo da
utilizzare IMAP su SSL.
 Per consentire ai dispositivi di inviare messaggi e-mail, devono essere aperte le porte
587, 465 o 25. La porta 587 viene usata per prima e rappresenta la scelta migliore.
Directory LDAP
iPhone OS 3.0 o versione successiva ti consente di accedere ai server directory basati sullo
standard LDAP. Questo ti consente di aggiungere una directory a indirizzo globale o altre
informazioni simili all’elenco GAL (Elenco indirizzi globale) di Microsoft Exchange.
Quando sul dispositivo viene configurato un account LDAP, il dispositivo cerca l’attributo
namingContexts al livello root del server per identificare la base di ricerca di default.
Di default, l’ambito di ricerca è impostato al livello del sottoalbero.
Capitolo 1 Deployment di iPhone e iPod touch 19
Calendari CalDAV
Il supporto CalDAV in iPhone OS 3.0 o versione successiva può essere utilizzato per fornire calendari globali e programmazioni per organizzazioni che non utilizzano Microsoft
Exchange. iPhone funziona con server calendario che supportano lo standard CalDAV.
Calendari sottoscritti
Se desideri pubblicare dei calendari di sola lettura di eventi aziendali, come vacanze o
programmazioni di eventi speciali, iPhone può sottoscrivere dei calendari e visualizzare
le informazioni accanto ai calendari Microsoft Exchange e CalDAV. iPhone funziona con
documenti calendario nel formato standard iCalendar (.ics).
Un modo facile di distribuire i calendari sottoscritti agli utenti, consiste nell’inviare URL
completamente qualificati utilizzando un SMS o un messaggio e-mail. Quando l’utente
tocca il link, iPhone chiederà di iscriversi al calendario specificato.
Applicazioni aziendali
Se prevedi di distribuire applicazioni aziendali per iPhone e iPod touch, puoi installarle
sui dispositivi mediante “Utility Configurazione iPhone” o iTunes. Una volta distribuita
un’applicazione sui dispositivi degli utenti, l’aggiornamento di tale applicazione sarà
più semplice se ogni utente dispone di iTunes installato sul proprio Mac o PC.
OCSP (Online Certificate Status Protocol)
Quando fornisci certificati digitali per iPhone, considera l’ipotesi di emetterli in modo
che siano abilitati per il protocollo OCSP. Questo consente al dispositivo di chiedere al
server OCSP se il certificato è stato revocato prima di utilizzarlo.
Determinare le politiche dei codici dei dispositivi
Dopo aver deciso a quali servizi del network e dati gli utenti dovranno poter accedere,
devi stabilire le politiche da implementare per i codici dei dispositivi.
L’obbligo di impostare dei codici sul proprio dispositivo è consigliato per le aziende in cui
l’accesso a network, sistemi o applicazioni non richiede alcuna password o token di autenticazione. Se utilizzi l’autenticazione basata su certificati per un network 802.1X o una VPN
Cisco IPSec, oppure se l’applicazione aziendale registra le credenziali di accesso, è necessario richiedere agli utenti di impostare un codice del dispositivo con un periodo di timeout
breve, in modo da evitare che un dispositivo smarrito o sottratto indebitamente possa
essere impiegato senza il relativo codice.
20 Capitolo 1 Deployment di iPhone e iPod touch
Le politiche possono essere impostate su iPhone e iPod touch in uno dei due modi
descritti di seguito. Se il dispositivo è configurato in modo da accedere a un account
Microsoft Exchange, le politiche di Exchange ActiveSync vengono inviate al dispositivo
tramite un collegamento wireless. Ciò permette di imporre e aggiornare le politiche
senza alcuna azione da parte dell’utente. Per informazioni sulle politiche EAS, consulta
“Politiche di Exchange ActiveSync supportate” a pagina 8.
Se la società non utilizza Microsoft Exchange, puoi impostare politiche simili sui dispositivi mediante la creazione di profili di configurazione. Quando modifichi una politica,
devi pubblicare o inviare il profilo aggiornato agli utenti oppure installare il profilo con
“Utility Configurazione iPhone”. Per informazioni sulle politiche di codice del dispositivo, consulta “Impostazioni dei codici” a pagina 33.
Se utilizzi Microsoft Exchange, puoi integrare le politiche Exchange ActiveSync (EAS)
utilizzando anche politiche di configurazione. Questo può fornire accesso alle politiche
non disponibili, ad esempio in Microsoft Exchange 2003 o consentire di definire politiche specifiche per iPhone.
Configurare i dispositivi
A questo punto devi decidere come procedere per configurare i dispositivi iPhone e
iPod touch. Questa operazione dipende principalmente dal numero di dispositivi che si
prevede di distribuire e gestire nel tempo. Se questo numero è relativamente ridotto, può
risultare più semplice per l’amministratore e gli utenti configurare manualmente i singoli
dispositivi. Questa operazione richiede l’utilizzo del dispositivo per inserire le impostazioni di ogni account e-mail e del Wi-Fi nonché le informazioni di configurazione della
VPN. Per ulteriori informazioni sulla configurazione manuale, consulta il capitolo 3.
Se prevedi di distribuire un’ampia serie di dispositivi o devi gestire un numero elevato di
impostazioni di e-mail e network e di certificati da installare, può essere utile configurare
i dispositivi mediante la creazione e la distribuzione di profili di configurazione. I profili
di configurazione consentono di caricare rapidamente sul dispositivo le informazioni relative a impostazioni e autorizzazioni. Inoltre, alcune impostazioni di VPN e Wi-Fi possono
essere specificate solamente mediante un profilo di configurazione; se non utilizzi Microsoft Exchange, dovrai usare un profilo di configurazione anche per impostare le politiche
di codice del dispositivo.
I profili di configurazione possono essere codificati e firmati; questo ti consente di restringerne l’uso a un dispositivo specifico e impedisce che le impostazioni contenute nel profilo possano essere modificate da chiunque. Inoltre, puoi contrassegnare un profilo come
bloccato, affinché dopo averlo installato non possa essere rimosso senza inizializzare tutti
i dati presenti sul dispositivo oppure, facoltativamente, senza un codice amministratore.
Capitolo 1 Deployment di iPhone e iPod touch 21
Indipendentemente dall’uso o meno della configurazione manuale dei dispositivi o
mediante i profili di configurazione, devi decidere anche se configurare i dispositivi o delegare questa operazione agli utenti. Il comportamento prescelto dipende dall’ubicazione
degli utenti, dalle politiche aziendali in merito alla possibilità degli utenti di gestire le proprie attrezzature IT e dalla complessità della configurazione del dispositivo che intendi
distribuire. I profili di configurazione sono più adatti alle grandi
lavorano in modalità remota o agli utenti che non sono in grado di eseguire personalmente
tali operazioni sui propri dispositivi.
Se desideri consentire agli utenti di attivare personalmente i propri dispositivi e installare o
aggiornare le applicazioni aziendali, iTunes deve essere installato sui loro Mac o PC. iTunes
è necessario anche per gli aggiornamenti del software di iPhone e iPod touch, pertanto
è utile ricordarlo se decidi di non distribuire iTunes agli utenti. Per informazioni su come
distribuire iTunes, consulta il capitolo 4.
aziende, ai dipendenti che
Registrazione e configurazione mediante tecnologia over the air
Registrazione si riferisce al procedimento di autenticazione di un dispositivo e di un utente
affinché sia possibile automatizzare il processo di distribuzione dei certificati. I certificati
digitali offrono molti benefici agli utenti iPhone. Possono essere utilizzati per autenticare
l’accesso ai servizi aziendali, come i network wireless Microsoft Exchange ActiveSync,
WPA2 Enterprise e le connessioni aziendali VPN. L’autenticazione sulla base del certificato
ti consente anche di utilizzare la tecnologia “VPN su richiesta” per l’accesso wireless a
network aziendali.
Oltre ad utilizzare le funzionalità di registrazione “over the air” per rilasciare certificati per
l’infrastruttura a chiave pubblica (PKI: Public Key Infrastructure) della tua azienda, puoi
anche effettuare il deployment dei profili di configurazione del dispositivo. In questo modo
l’accesso ai servizi aziendali sarà consentito solo agli utenti considerati attendibili e i cui
dispositivi siano configurati secondo le politiche IT. Poiché i profili di configurazione possono essere sia codificati che bloccati, le impostazioni non possono essere rimosse, modificate o condivise con altri. Queste funzionalità sono disponibili mediante procedimento
“over the air”, come descritto di seguito, e anche con “Utility Configurazione iPhone” per
configurare i dispositivi mentre sono collegati al computer amministratore. Per informazioni sull’uso di “Utility Configurazione iPhone”, consulta il capitolo 2.
L’implementazione della registrazione e della configurazione “over the air” richiede lo
sviluppo e l’integrazione dei servizi di autenticazione, directory e certificazione. È possibile effettuare il deployment del processo utilizzando servizi web standard; dopo aver
effettuato la registrazione, gli utenti potranno configurare i propri dispositivi in modo
sicuro e autenticato.
22 Capitolo 1 Deployment di iPhone e iPod touch
Panoramica del processo di registrazione autenticata e configurazione
Per implementare questo processo, devi creare il tuo servizio distribuzione profili che accetti
connessioni HTTP, autentichi gli utenti, crei profili mobileconfig e gestisca il processo generale descritto in questo paragrafo.
Per rilasciare le credenziali del dispositivo utilizzando il protocollo SCEP (Simple Certificate
Enrollment Protocol), è necessaria un’autorità di certificazione (CA). Per collegamenti a PKI,
SCEP e argomenti correlati, consulta “Altre risorse” a pagina 27.
Il seguente diagramma mostra il processo di registrazione e configurazione supportato
da iPhone.
Fase 1: inizio della registrazione
Servizio profilo
2
Richiesta informazioni
sul dispositivo
esempio
Attributi richiesti: UDID, versione OS, IMEI
Token challenge: MarioRossi1
URL per risposta:
https://profili.esempio.com
Richiesta di registrazione
1
esempio
Utente: Mario Rossi
Fase 1: inizio della registrazione. La registrazione inizia quando l’utente, mediante Safari,
accede all’URL del servizio distribuzione profili che hai creato. Puoi distribuire l’URL tramite
SMS o e-mail. La richiesta di registrazione (il passo 1 del diagramma) dovrebbe autenticare
l’identità dell’utente. Puoi optare per un’autenticazione di base oppure associare l’identità
dell’utente a servizi directory già esistenti.
Capitolo 1 Deployment di iPhone e iPod touch 23
Al passo 2, il tuo servizio invia un profilo di configurazione (.mobileconfig) in risposta.
In tale risposta è specificato un’elenco di attributi che il dispositivo deve fornire nella prossima risposta oltre a una chiave pre-condivisa (challenge) che può portare avanti l’identità
dell’utente durante il processo, in modo che sia possibile personalizzare il processo di configurazione per ogni utente. Gli attributi del dispositivo che il servizio può richiedere sono:
versione iPhone OS, ID del dispositivo (indirizzo MAC),
sce iPhone2,1), ID del telefono (IMEI) e informazioni relative alla SIM (ICCID).
tipo di prodotto (iPhone 3GS restitui-
Per un esempio del profilo di configurazione di questa fase, consulta “Esempio fase 1
risposta del server” a pagina 85.
Fase 2: autenticazione del dispositivo
Servizio profilo
Risposta firmata via POST
esempio
Attributi: UDID,
Versione OS, IMEI
Token challenge:
MarioRossi1
Fase 2: autenticazione del dispositivo. Dopo l’accettazione dell’installazione del profilo ricevuto nella fase 1, il dispositivo cerca gli attributi richiesti, aggiunge la risposta
di verifica (se fornita), firma la risposta utilizzando l’identità integrata del dispositivo
(certificato rilasciato da Apple) e la invia nuovamente al servizio distribuzione profili
mediante HTTP Post.
Per un esempio del profilo di configurazione di questa fase, consulta “Esempio fase 2
risposta del dispositivo” a pagina 86.
24 Capitolo 1 Deployment di iPhone e iPod touch
Fase 3: installazione del certificato
Servizio emissione
certificato
3
Challenge
Chiave pubblica
Certificato dispositivo
esempio
RSA: 1024
Challenge: MarioRossi1
URL:http://ca.esempio.com/
getkey.exe
Servizio profilo
1
Challenge
Specifiche generazione chiave
URL per risposta
2
Richiesta firma certificato
Fase 3: installazione del certificato. Al passo 1, il servizio distribuzione profili risponde
con specificazioni utilizzate dal dispositivo per generare una chiave (RSA 1024) e restituirla
per la certificazione mediante protocollo SCEP (Simple Certificate Enrollment Protocol).
Al passo 2, la richiesta SCEP deve essere gestita in modalità automatica, utilizzando
la verifica del pacchetto SCEP per autenticare la richiesta.
Al passo 3, la CA risponde con un certificato di codificazione per il dispositivo.
Per un profilo di configurazione campione di questa fase, consulta “Esempio fase 3
risposta del server con specifiche SCEP” a pagina 86.
Capitolo 1 Deployment di iPhone e iPod touch 25
Fase 4: configurazione del dispositivo
2
Servizio profilo
Un documento .mobileconfig
criptato per il dispositivo
e firmato dal servizio profilo
Attributi del dispositivo
firmati con certificato
del dispositivo
esempio
esempio
1
UDID, versione OS,
IMEI, indirizzo MAC
Politiche Exchange,
impostazioni VPN,
payload SCEP aggiuntivi,
account e-mail, ecc.
Fase 4: configurazione del dispositivo. Al passo 1, il dispositivo risponde con un elenco
di attributi, firmati con il certificato di codificazione fornito dalla CA durante la fase precedente.
Al passo 2, il servizio profili risponde con un documento .mobileconfig codificato che
viene installato automaticamente. Il servizio del profilo dovrebbe firmare il documento
.mobileconfig. Il relativo certificato SSL può essere utilizzato a tale scopo, per esempio.
Oltre alle impostazioni generali, questo profilo di configurazione dovrebbe anche definire
le politiche aziendali che desideri far osservare; dovrebbe trattarsi di un profilo protetto,
in modo che l’utente non possa rimuoverlo dal dispositivo. Il profilo di configurazione può
contenere richieste aggiuntive di registrazione di identità mediante protocollo SCEP, che
vengono eseguite dopo l’installazione del profilo.
Analogamente, quando un certificato installato mediante SCEP scade o viene invalidato,
il dispositivo richiede all’utente di aggiornare il profilo. Quando l’utente autorizza la richiesta, il dispositivo ripete il processo descritto sopra per ottenere un nuovo certificato e un
nuovo profilo.
Per un esempio del profilo di configurazione di questa fase, consulta “Esempio fase 4
risposta del dispositivo” a pagina 88.
26 Capitolo 1 Deployment di iPhone e iPod touch
Altre risorse
 PKI dei certificati digitali per IPSec VPN su
https://cisco.hosted.jivesoftware.com/docs/DOC-3592
 PKI (Public Key Infrastructure) su http://en.wikipedia.org/wiki/Public_key_infrastructure
 Specifica del protocollo SCEP IETF su
http://www.ietf.org/internet-drafts/draft-nourse-scep-18.txt
Informazioni e risorse aggiuntive per iPhone e iPod touch nel settore aziendale sono
disponibili all’indirizzo www.apple.com/it/iphone/enterprise/.
Capitolo 1 Deployment di iPhone e iPod touch 27
2 Creare e distribuire i profili
di configurazione
2
I profili di configurazione definiscono il modo in cui iPhone
e iPod touch operano nell’ambito dei sistemi aziendali.
I profili di configurazione sono documenti XML che contengono politiche di sicurezza
e restrizioni sui dispositivi, informazioni sulla configurazione VPN, impostazioni Wi-Fi,
account e-mail e calendario e credenziali di autenticazione che consentono a iPhone
e iPod touch di funzionare con i sistemi aziendali.
Puoi installare i profili di configurazione sui dispositivi collegati al computer tramite USB,
utilizzando “Utility Configurazione iPhone” oppure puoi distribuire i profili di configurazione via e-mail o utilizzando una pagina web. Quando gli utenti aprono l’allegato di un
messaggio e-mail o scaricano il profilo sul proprio dispositivo utilizzando Safari, il sistema
chiede loro di avviare il processo di installazione.
Se preferisci non creare e distribuire i profili di configurazione, puoi configurare
manualmente i dispositivi iPhone o iPod touch. Per informazioni sulle configurazioni
manuali, consulta il capitolo 3.
28
Informazioni su Utility Configurazione iPhone
Puoi utilizzare “Utility Configurazione iPhone” per creare, codificare e installare i profili di
configurazione in modo semplice e veloce, per individuare e installare profili di fornitura
e applicazioni autorizzate e per acquisire informazioni sul dispositivo compresi i resoconti
della console. Quando esegui il programma di installazione di Utility Configurazione iPhone,
l’applicazione viene installata nella cartella /Applicazioni/Utility/ su Mac OS X oppure nella
cartella Programmi\iPhone Configuration Utility\ su Windows.
Quando avvii Utility Configurazione iPhone, viene visualizzata una schermata simile
a quella mostrata di seguito.
Il contenuto del paragrafo principale della finestra varia a seconda delle voci selezionate
nella barra laterale.
La barra laterale visualizza la libreria, la quale contiene le seguenti categorie:
 Dispositivi mostra l’elenco dei dispositivi iPhone e iPod touch che sono stati connessi
al computer.
 Applicazioni elenca le applicazioni disponibili per l’installazione sui dispositivi collegati
al tuo computer. Per il corretto funzionamento di un’applicazione su un dispositivo,
potrebbe essere necessario un profilo di fornitura.
 Profili di fornitura elenca i profili che consentono di utilizzare il dispositivo per lo svi-
luppo dell’OS iPhone, come autorizzato da Apple Developer Connection. Per ulteriori
informazioni, consulta il capitolo 5. Inoltre, i profili di fornitura consentono ai dispositivi
di eseguire applicazioni aziendali che non vengono distribuite utilizzando iTunes Store.
Capitolo 2 Creare e distribuire i profili di configurazione 29
 Profili di configurazione elenca i profili di configurazione creati in precedenza e ti
consente di modificare le informazioni immesse o di creare una nuova configurazione che puoi inviare a un utente o installare su un dispositivo collegato.
La barra laterale mostra anche i Dispositivi collegati, con informazioni sui dispositivi
iPhone o iPod touch attualmente connessi al tuo computer tramite una porta USB.
Le informazioni sui dispositivi collegati vengono aggiunte automaticamente all’elenco
Dispositivi, in modo che sia possibile vederle nuovamente senza dover ricollegare il
dispositivo. Dopo aver collegato un dispositivo, puoi criptare i profili in modo che possano essere utilizzati solo su tale dispositivo.
Quando un dispositivo è collegato, puoi utilizzare “Utility Configurazione iPhone” per
installare i profili di configurazione e le applicazioni sul dispositivo. Per dettagli, consulta
il “Installare profili di configurazione con Utility Configurazione iPhone” a pagina 41,
“Installare applicazioni con Utility Configurazione iPhone” a pagina 67 e “Installare profili
di fornitura con Utility Configurazione iPhone” a pagina 66.
Quando un dispositivo è collegato, puoi vedere anche i resoconti di console e tutti gli
eventuali resoconti di blocco. Questi sono gli stessi resoconti di dispositivo disponibili
all’interno dell’ambiente di sviluppo Xcode su Mac OS X.
Creare profili di configurazione
In questo documento ricorrono spesso i termini profilo di configurazione e payload. Si
definisce “profilo di configurazione” l’intero documento usato per configurare alcune
impostazioni (singole o multiple) su iPhone o iPod touch. Si definisce “payload” una
collezione individuale di un certo tipo di impostazioni, quali le impostazioni VPN, nel
profilo di configurazione.
Sebbene sia possibile creare un profilo di configurazione che contenga tutti i payload
necessari per l’azienda, considera l’ipotesi di creare un profilo per i certificati e un altro
profilo (o più di uno) per altre impostazioni, in modo da poter aggiornare e distribuire
ogni tipo di informazione separatamente. Ciò consente anche agli utenti di conservare
i certificati già installati in caso di installazione di un nuovo profilo contenente impostazioni per VPN o account.
Molti payload consentono di specificare nomi utente e password. Se ometti questo tipo
di informazione, il profilo potrà essere utilizzato da più utenti, ma l’utente dovrà inserire le
informazioni mancanti quando il profilo viene installato. Se personalizzi il profilo per ogni
utente, e includi le password, dovresti distribuire il profilo in formato codificato per proteggerne il contenuto. Per ulteriori informazioni, consulta “Installare i profili di configurazione” a pagina 41.
30 Capitolo 2 Creare e distribuire i profili di configurazione
Per creare un nuovo profilo di configurazione, fai clic sul pulsante Nuovo nella barra degli
strumenti di “Utility Configurazione iPhone”. Per aggiungere payload al profilo, devi utilizzare l’elenco payload. Quindi, puoi modificare i payload inserendo e selezionando opzioni
disponibili nel pannello modifica. I campi obbligatori sono contrassegnati da una freccia
di colore rosso. Per alcune impostazioni, ad esempio Wi-Fi, puoi fare clic sul pulsante
Aggiungi (+) per aggiungere configurazioni. Per rimuovere una configurazione, fai clic
sul pulsante Elimina (–) nella pannello modifica.
Per modificare un payload, seleziona l’elemento appropriato nell’elenco payload, fai
clic sul pulsante Configura, quindi inserisci le informazioni che vedi sullo schermo come
descritto di seguito.
Automatizzare la creazione di un profilo di configurazione
Puoi automatizzare la creazione di documenti di configurazione utilizzando AppleScript
su un Mac o C# Script su Windows. Per consultare i metodi supportati e la rispettiva sintassi, fai quanto segue:
 Mac OS X: utilizza Script Editor per aprire “Dizionario AppleScript” per Utility Configu-
razione iPhone.
 Windows: utilizza “Visual Studio” per visualizzare le chiamate di metodo fornite da
iPCUScripting.dll.
Per eseguire uno script su Mac, utilizza il comando Tell di AppleScript. Su Windows,
passa il nome dello script a “Utility Configurazione iPhone“ come un parametro della
linea di comando.
Per esempi, consulta appendice C, “Script campione”.
Capitolo 2 Creare e distribuire i profili di configurazione 31
Impostazioni generali
Nelle impostazioni generali indichi nome e identificatore di questo profilo, e decidi
se gli utenti possono rimuovere il profilo dopo averlo installato.
Il nome inserito viene visualizzato nell’elenco dei profili e appare sul dispositivo una
volta installato il profilo di configurazione. Non è obbligatorio che il nome sia univoco,
ma è consigliabile usare un nome descrittivo che permetta di identificare il profilo.
L’identificatore di configurazione deve identificare questo profilo in modo univoco e
utilizzare il formato com.nomesocietà.identificatore, dove “identificatore” descrive il pro-
filo. (per esempio com.mycompany.homeoffice).
L’identificatore è importante, poiché durante l’installazione di un profilo, il valore viene
confrontato con i profili già presenti sul dispositivo. Se l’identificatore è univoco, le informazioni presenti nel profilo vengono aggiunte al dispositivo. Se l’identificatore corrisponde a
un profilo già installato, le informazioni nel profilo sostituiscono quelle presenti sul dispositivo, a eccezione delle impostazioni Exchange. Per poter cambiare un account Exchange,
è necessario rimuovere il profilo manualmente in modo che i dati associati con l’account
possano essere rimossi.
Per impedire a un utente di cancellare un profilo installato su un dispositivo, scegli
un’opzione dal menu a comparsa Sicurezza. L’opzione “Con autorizzazione” consente
di specificare una password di autorizzazione necessaria per la rimozione del profilo sul
dispositivo. Se selezioni l’opzione Mai, il profilo può essere aggiornato con una nuova
versione, ma non può essere rimosso.
32 Capitolo 2 Creare e distribuire i profili di configurazione
Impostazioni dei codici
Se non utilizzi politiche codice di Exchange, questo payload ti permette di impostare le
politiche del dispositivo. Al suo interno puoi specificare se è obbligatorio un codice per
poter utilizzare il dispositivo, oppure indicare le caratteristiche del codice e la frequenza
con cui esso deve essere modificato. Quando viene caricato il profilo di configurazione,
l’utente riceve immediatamente la richiesta di inserire un codice che soddisfi le politiche
selezionate oppure il profilo non verrà installato.
Se utilizzi politiche dispositivo e politiche codice di Exchange, i due gruppi di politiche
vengono uniti applicando così impostazioni più rigide. Per informazioni sul supporto delle
politiche Exchange ActiveSync
Sono disponibili le seguenti politiche:
 Richiedi codice sul dispositivo: richiede agli utenti di inserire un codice prima di poter
utilizzare il dispositivo. Altrimenti, chiunque abbia il dispositivo potrà accedere a
tutte le funzioni e a tutte le informazioni che contiene.
 Consenti valore semplice: consente agli utenti di utilizzare caratteri sequenziali o ripe-
tuti nei loro codici. Ad esempio, è possibile utilizzare codici come “3333” o “DEFG”.
 Richiede valore alfanumerico: richiede che il codice contenga almeno una lettera.
 Lunghezza minima codice: specifica il numero minimo di caratteri che devono comporre
un codice.
 Numero minimo di caratteri complessi: indica il numero minimo di caratteri non alfanu-
merici (ad esempio $, & e !) che devono essere presenti nel codice.
 Durata massima codice (in giorni): richiede agli utenti di modificare il proprio codice
alla scadenza dell’intervallo specificato.
 Blocco automatico (in minuti): il dispositivo si blocca automaticamente se non viene
utilizzato per un numero di minuti pari a questo valore. Per sbloccarlo è necessario
inserire il codice.
 Cronologia codice: se un nuovo codice corrisponde a un codice precedentemente
utilizzato, non verrà accettato. Puoi specificare il numero di codici precedenti che
devono essere ricordati e utilizzati per tale confronto.
 Attesa massima per bloccare il dispositivo: specifica quando il dispositivo può essere
sbloccato nuovamente dopo l’utilizzo, senza dover reinserire il codice.
 Numero massimo di tentativi falliti: determina il numero di tentativi falliti di inserimento
del codice che possono essere compiuti prima che il dispositivo venga inizializzato.
Se non cambi questa impostazione, dopo sei tentativi falliti di inserimento del codice,
il dispositivo imposta un ritardo prima che possa essere nuovamente inserito un
codice. L’intervallo di tempo aumenta a ogni tentativo non riuscito. Dopo l’undicesimo
tentativo fallito, tutti i dati e le impostazioni vengono eliminati dal dispositivo. I tempi
di attesa del codice iniziano sempre dopo il sesto tentativo; pertanto, impostando un
valore uguale o inferiore a 6, il dispositivo viene inizializzato non appena viene superato il numero di tentativi specificato.
, consulta “Microsoft Exchange ActiveSync” a pagina 8.
Capitolo 2 Creare e distribuire i profili di configurazione 33
Impostazioni restrizioni
Utilizza questo payload per specificare le funzionalità del dispositivo che l’utente può
utilizzare.
 Consenti contenuto esplicito: quando questa opzione è disattivata, il contenuto video
o musicale esplicito acquistato da iTunes Store viene nascosto. Il contenuto esplicito
è contrassegnato come tale dal fornitore del contenuto, per esempio etichette di
registrazione, quando viene venduto tramite iTunes Store.
 Consenti uso di Safari: quando questa opzione è disattivata, il browser web Safari
viene disabilitato e la relativa icona rimossa dalla schermata Home. Inoltre, questo
impedisce agli utenti di aprire i clip web.
 Consenti uso di YouTube: quando questa opzione è disattivata, l’applicazione YouTube
viene disabilitata e la relativa icona rimossa dalla schermata Home.
 Consenti uso di iTunes Music Store: quando questa opzione è disattivata, iTunes Music
Store viene disabilitato e la relativa icona rimossa dalla schermata Home. Gli utenti
non potranno effettuare anteprime, acquisti o download dei contenuti.
 Consenti installazione applicazioni: quando questa opzione è disattivata, App Store
viene disabilitato e la relativa icona rimossa dalla schermata Home. Gli utenti non
potranno installare o aggiornare le applicazioni.
 Consenti uso della fotocamera: quando questa opzione è disattivata, la fotocamera
viene disabilitata completamente e la relativa icona rimossa dalla schermata Home.
Gli utenti non potranno scattare fotografie.
 Consenti istantanea schermo: quando questa opzione è disattivata, gli utenti non
possono registrare un’istantanea dello schermo.
Impostazioni Wi-Fi
Questo payload consente di impostare la modalità di connessione del dispositivo a
un network wireless. Puoi aggiungere configurazioni network multiple, facendo clic
sul pulsante Aggiungi (+) nel pannello modifica.
Queste impostazioni devono essere specificate e devono soddisfare i requisiti del network
affinché l’utente possa usarle per avviare una connessione.
 SSID (Service Set Identifier): SSID del network wireless cui si desidera connettersi.
 Network nascosto: specifica se il network deve trasmettere la propria identità.
 Tipo sicurezza: seleziona un metodo di autenticazione da usare per il network.
Sono disponibili le seguenti scelte per network di tipo personale e aziendale.
 Nessuno: il network non utilizza alcuna autenticazione.
 WEP: il network utilizza solo l’autenticazione WEP.
 WPA/WPA 2: il network utilizza solo l’autenticazione WPA.
 Qualsiasi: durante la connessione al network, il dispositivo utilizza l’autenticazione
WEP o WPA, ma non si connette a network non autenticati.
 Password: inserisci la password per il collegamento al network wireless. Se non inserisci
alcun elemento, l’utente dovrà inserire una password.
34 Capitolo 2 Creare e distribuire i profili di configurazione
Impostazioni aziendali
In questo paragrafo puoi specificare le impostazioni per la connessione ai network
aziendali. Queste impostazioni appaiono quando scegli un’impostazione Enterprise
nel menu a comparsa “Tipo sicurezza”.
Nel pannello Protocolli, puoi specificare i metodi EAP da utilizzare per l’autenticazione
e configurare le impostazioni PAC (Protected Access Credential) EAP-FAST.
Nel pannello Autenticazione, puoi specificare le impostazioni di accesso quali nome
utente e protocolli di autenticazione. Se hai installato un’identità usando il paragrafo
Credenziali, puoi sceglierla dal menu a comparsa “Certificato identità”.
Nel pannello Autorizza, puoi specificare quali certificati debbano essere considerati attendibili al fine di convalidare il server di autenticazione della connessione Wi-Fi. L’elenco
“Certificati attendibili” mostra i certificati aggiunti mediante il pannello Credenziali e permette di selezionare quelli da considerare attendibili. Aggiungi i nomi dei server di autenticazione da considerare attendibili nell’elenco Nomi dei certificati ritenuti attendibili dal
server. Puoi specificare un server particolare, ad esempio server.miasocietà.com oppure un
nome parziale come *.miasocietà.com.
L’opzione “Consenti eccezioni a quanto ritenuto attendibile” consente agli utenti di
decidere di considerare attendibile un server quando non può essere stabilita la catena
di attendibilità. Per evitare queste richieste e consentire le connessioni solo con i servizi considerati attendibili, disattiva questa opzione e incorpora tutti i certificati necessari in un profilo.
Impostazioni VPN
Questo payload permette di inserire le impostazioni VPN per la connessione al network.
Per aggiungere insiemi multipli di connessioni VPN, fai clic sul pulsante Aggiungi (+).
Per informazioni sui protocolli VPN e i metodi di autenticazione supportati, consulta
“VPN” a pagina 11. Le opzioni disponibili variano in base al metodo di protocollo e di
autenticazione selezionato.
Capitolo 2 Creare e distribuire i profili di configurazione 35
VPN su richiesta
Per le configurazioni IPSec basate su certificazione, puoi attivare “VPN su richiesta”
in modo che venga automaticamente stabilita una connessione VPN quando accedi
a determinati domini.
Le opzioni “VPN su richiesta” sono le seguenti:
Impostazione Descrizione
Sempre Viene stabilita una connessione VPN per gli indirizzi che corrispon-
dono al dominio specificato.
Mai Per gli indirizzi che corrispondono al dominio specificato non viene
stabilita una connessione VPN, ma se la funzionalità VPN è già attiva,
verrà utilizzata.
Stabilisci se necessario Viene stabilita una connessione VPN per gli indirizzi che corrispon-
dono al dominio specificato solo dopo che si è verificato un errore
di ricerca DNS.
L’azione viene applicata a tutti gli indirizzi corrispondenti. Gli indirizzi vengono paragonati utilizzando una semplice corrispondenza di stringhe che inizia dalla fine e funziona
all’indietro. L’indirizzo “.example.org” corrisponde a “support.example.org” e “sales.example.org”, ma non corrisponde a “www.private-example.org”. Tuttavia, se specifichi il dominio di corrispondenza come “example.com” (nota che all’inizio non c’è un punto), questo
corrisponde a “www.private-example.com” e a tutti gli altri.
Le connessioni LDAP non avviano una connessione VPN; se la connessione VPN non è
già stata stabilita da un’altra applicazione, per esempio Safari, la ricerca LDAP fallisce.
Proxy VPN
iPhone supporta proxy VPN manuale e la configurazione proxy automatica utilizzando
PAC o WPAD. Per specificare un proxy VPN, seleziona un’opzione dal menu a comparsa
“Configurazione proxy”.
Per le configurazioni proxy automatiche basate su PAC, seleziona Automatico dal menu
a comparsa, quindi inserisci l’URL di un documento PAC. Per informazioni sulle funzionalità PACS e sul formato del documento, consulta “Altre risorse” a pagina 57.
36 Capitolo 2 Creare e distribuire i profili di configurazione
Per le configurazioni WPAD (Web Proxy Autodiscovery), seleziona Automatico dal menu
a comparsa. Lascia il campo dell’URL server proxy vuoto; iPhone richiederà il documento
WPAD usando DHCP e DNS. Per informazioni su WPAD, consulta “Altre risorse” a pagina 57.
Impostazioni di posta elettronica
Questo payload consente di configurare gli account e-mail POP o IMAP dell’utente. Se
stai aggiungendo un account Exchange, consulta il paragrafo “Impostazioni Exchange”
di seguito.
Gli utenti possono modificare alcune delle impostazioni fornite nel profilo, ad esempio
il nome dell’account, la password e i server SMTP alternativi. Se ometti parte di queste
informazioni nel profilo, gli utenti riceveranno la richiesta di inserirle quando accedono
all’account.
Per aggiungere altri account di posta, fai clic sul pulsante Aggiungi (+).
Impostazioni di Exchange
Questo payload permette di inserire le impostazioni utente per il server Exchange. Puoi
creare un profilo per un particolare utente specificando nome utente, nome host e indirizzo e-mail oppure puoi fornire solamente il nome host; in questo modo, al momento
dell’installazione del profilo gli utenti dovranno inserire gli altri valori.
Se nel profilo specifichi nome utente, nome host e impostazioni SSL, l’utente non potrà
modificare tali impostazioni sul dispositivo.
È possibile configurare un solo account Exchange per dispositivo. Quando aggiungi account
Exchange, gli altri account, compresi gli account IMAP via Exchange, non sono soggetti a
questa operazione. Gli account Exchange aggiunti utilizzando un profilo, vengono eliminati
quando il profilo viene rimosso e non possono essere eliminati in altro modo.
Di default, Exchange esegue la sincronizzazione di contatti, calendari ed e-mail.
L’utente può modificare queste impostazioni sul dispositivo in Impostazioni >
Account compresa la quantità di dati giornalieri da sincronizzare.
Se selezioni l’opzione Usa SSL, assicurati di aggiungere i certificati necessari per l’autenticazione della connessione nel pannello Credenziali.
Per fornire un certificato che identifica l’utente sul Server Exchange ActiveSync, fai clic sul
pulsante Aggiungi (+), quindi seleziona un certificato identità da Portachiavi di Mac OS X
o da “Archivio certificati” di Windows. Dopo aver aggiunto un certificato, puoi specificare
il nome delle credenziali di autenticazione, se necessario per la configurazione di ActiveSync. Puoi anche incorporare la frase chiave del certificato nel profilo di configurazione.
Se non fornisci la frase chiave, l’utente riceve la richiesta di inserirla al momento
dell’installazione del profilo.
Capitolo 2 Creare e distribuire i profili di configurazione 37
Impostazioni LDAP
Questo payload permette di inserire le impostazioni per la connessione a una directory
LDAPv3. Puoi specificare basi di ricerca multiple per ogni directory e configurare connessioni directory multiple, facendo clic sul pulsante Aggiungi (+).
Se selezioni l’opzione Usa SSL, assicurati di aggiungere i certificati necessari per l’autenticazione della connessione nel pannello Credenziali.
Impostazioni CalDAV
Questo payload permette di fornire impostazioni account per la connessione a un server
calendario compatibile con CalDAV. Questi account saranno aggiunti al dispositivo e, come
avviene per gli account di Exchange, gli utenti dovranno inserire manualmente le informazioni non presenti nel profilo al momento della sua installazione, ad esempio la propria
password per l’account.
Se selezioni l’opzione Usa SSL, assicurati di aggiungere i certificati necessari per l’autenticazione della connessione nel pannello Credenziali.
Per configurare altri account, fai clic sul pulsante Aggiungi (+).
Impostazioni calendario sottoscritto
Questo payload permette di aggiungere sottoscrizioni calendario di sola lettura
all’applicazione Calendario del dispositivo. Per configurare altre sottoscrizioni, fai
clic sul pulsante Aggiungi (+).
Consulta il sito web www.apple.com/it/downloads/macosx/calendars/ per un elenco
dei calendari pubblici che possono essere sottoscritti.
Se selezioni l’opzione Usa SSL, assicurati di aggiungere i certificati necessari per l’autenticazione della connessione nel pannello Credenziali.
Impostazioni clip web
Questo payload permette di aggiungere clip web alla schermata Home del dispositivo
dell’utente. I clip web forniscono accesso veloce alle pagine web preferite.
Assicurati che l’URL inserito includa il prefisso http:// oppure https://, affinché il clip
web possa funzionare correttamente. Ad esempio, per aggiungere la versione in linea
del Manuale Utente di iPhone alla schermata Home, specifica l’URL del clip web:
http://help.apple.com/iphone/
Per aggiungere un’icona personalizzata, seleziona un documento grafico in formato gif,
jpeg o png, con una dimensione di 59 x 60 pixel. L’immagine viene automaticamente
ridimensionata, ritagliata e convertita in formato png, se necessario.
38 Capitolo 2 Creare e distribuire i profili di configurazione
Impostazioni delle credenziali
Questo payload consente di aggiungere certificati e identità al dispositivo. Per informazioni sui formati supportati, consulta “Certificati e identità” a pagina 12.
Quando installi le credenziali, installa anche i certificati intermedi necessari per stabilire
la catena a un certificato attendibile presente sul dispositivo. Per visualizzare un elenco
dei
certificati root preinstallati, consulta l’articolo Apple Support all’indirizzo
http://support.apple.com/kb/HT2185.
Se stai aggiungendo un’identità da utilizzare con Microsoft Exchange, utilizza invece
payload Exchange. Per informazioni, consulta “Impostazioni di Exchange” a pagina 37.
Aggiungere credenziali su Mac OS X:
1 Fai clic sul pulsante Aggiungi (+).
2 Nella finestra di dialogo che appare, seleziona un documento PKCS1 o PKSC12, quindi
fai clic su Apri.
Se il certificato o l’identità che desideri installare si trova in Portachiavi, utilizza “Accesso
Portachiavi” per esportare l’elemento nel formato .p12. Accesso Portachiavi si trova in /
Applications/Utilities. Per aiuto, consulta “Aiuto Accesso Portachiavi”, disponibile nel
menu Aiuto quando Accesso Portachiavi è aperto.
Per aggiungere più credenziali al profilo di configurazione, fai nuovamente clic sul
pulsante Aggiungi (+).
Aggiungere credenziali su Windows:
1 Fai clic sul pulsante Aggiungi (+).
2 Seleziona la credenziale che desideri installare da “Archivio certificati” di Windows.
Se la credenziale non è disponibile nel tuo archivio certificati personale, devi aggiungerla
e la chiave privata deve essere contrassegnata come esportabile; si tratta di uno dei passi
disponibili nella procedura di importazione del certificato. Per poter aggiungere certificati
root, è necessario un accesso amministrativo al computer, e il certificato deve essere
aggiunto all’archivio personale.
Se stai utilizzando profili di configurazione multipli, assicurati che i certificati non siano
duplicati. Non puoi installare copie multiple dello stesso certificato.
Invece di installare i certificati utilizzando un profilo di configurazione, puoi consentire
agli utenti di utilizzare Safari per scaricare i certificati da una pagina web direttamente
sui dispositivi. In alternativa, puoi inviare i certificati agli utenti a mezzo e-mail. Per ulteriori informazioni, consulta “Installare identità e certificati root” a pagina 56. Inoltre, puoi
utilizzare “Impostazioni SCEP”, sotto, per specificare il modo in cui il dispositivo ottiene i
certificati over-the-air quando il profilo viene installato.
Capitolo 2 Creare e distribuire i profili di configurazione 39
Impostazioni SCEP
Il payload SCEP consente di specificare le impostazioni utilizzabili dal dispositivo per ottenere certificati da un CA con il protocollo SCEP (Simple Certificate Enrollment Protocol).
Impostazione Descrizione
URL Si tratta dell’indirizzo del server SCEP.
Nome Può essere qualsiasi stringa comprensibile dall’Autorità di certifica-
zione (CA); per esempio, può essere utilizzata per distinguere tra
le occorrenze.
Oggetto La rappresentazione di un nome X.500 rappresentata come una
matrice di OID e valore. Per esempio, /C=US/O=Apple Inc./CN=foo/
1.2.5.3=bar, che si tradurrebbe come segue:
[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ]
Verifica Una chiave pre-condivisa che il server SCEP può utilizzare per iden-
tificare la richiesta o l’utente.
Utilizzo e dimensione chiave Seleziona una dimensione chiave e, utilizzando i riquadri sotto
questo campo, l’uso accettabile della chiave.
Impronta digitale Se l’Autorità di certificazione usa HTTP, utilizza questo campo per for-
nire l’impronta digitale dei certificati della CA che verranno utilizzati
dal dispositivo per confermare l’autenticità della risposta della CA
durante il processo di registrazione. Puoi inserire un’impronta SHA1 o
MD5 oppure selezionare un certificato per importare la relativa firma.
Per ulteriori informazioni su come iPhone ottiene i certificati in modalità wireless, consulta “Registrazione e configurazione mediante tecnologia over the air” a pagina 22.
Impostazioni avanzate
Il payload Avanzato consente di cambiare il nome APN (Access Point Name) del dispositivo e le impostazioni proxy network. Queste impostazioni definiscono il modo in cui il
dispositivo si connette al network del gestore. Queste impostazioni dovrebbero essere
modificate solo in seguito a una specifica richiesta da parte del personale del network
del gestore. Se errate, queste impostazioni impediscono al dispositivo di accedere ai dati
attraverso il network cellulare. Per annullare eventuali modifiche involontarie a queste
impostazioni, elimina il profilo dal dispositivo. Apple consiglia di definire le impostazioni
APN in un profilo di configurazione separato dalle altre impostazioni aziendali, poiché i
profili che specificano informazioni su APN devono essere firmati dal tuo gestore di telefonia mobile.
iPhone supporta nomi utenti APN con un limite di 20 caratteri e password con un limite
di 32 caratteri.
40 Capitolo 2 Creare e distribuire i profili di configurazione
Modificare i profili di configurazione
In “Utility Configurazione iPhone”, puoi selezionare un profilo nell’elenco “Profili configurazione”, quindi utilizzare l’elenco payload e i pannelli modifica per effettuare le modifiche.
Se necessario, puoi anche importare un profilo selezionando Documento > Aggiungi alla
libreria e scegliendo quindi un documento .mobileconfig. Se i pannelli impostazioni non
sono visibili, scegli Vista > Mostra dettagli.
Il dispositivo può utilizzare il campo Identificatore nel payload Generali per determinare
se si tratta di un nuovo profilo o di un aggiornamento di un profilo esistente. Per sostituire un profilo esistente con il profilo aggiornato, non modificare l’identificatore.
Installare profili di fornitura e applicazioni
Puoi utilizzare “Utility Configurazione iPhone” per installare applicazioni e profilo di fornitura sui dispositivi collegati al computer. Per dettagli, consulta capitolo 5, “Distribuire
le applicazioni per iPhone”, a pagina 64.
Installare i profili di configurazione
Dopo aver creato un profilo, puoi collegare un dispositivo e installare il profilo utilizzando
“Utility Configurazione iPhone”.
In alternativa, puoi distribuire il profilo agli utenti via e-mail oppure pubblicarlo su un
sito web. Quando utilizzano i dispositivi per aprire un messaggio e-mail o scaricare il
profilo dal web, gli utenti ricevono la richiesta di avviare il processo di installazione.
Installare profili di configurazione con Utility Configurazione iPhone
Puoi installare profili di configurazione direttamente su un dispositivo che è stato aggiornato a iPhone OS 3.0 o versione successiva ed è collegato al computer. Inoltre, puoi utilizzare “Utility Configurazione iPhone” per rimuovere profili precedentemente installati.
Per installare un profilo di configurazione:
1 Collega il dispositivo al computer utilizzando un cavo USB.
Dopo qualche istante, il dispositivo appare nell’elenco Dispositivi in “Utility Configurazione
iPhone”.
2 Seleziona il dispositivo, quindi fai clic sul pannello “Profilo configurazione”.
3 Seleziona un profilo di configurazione dall’elenco, quindi fai clic su Installa.
4 Tocca Installa sul dispositivo per installare il profilo.
Quando installi direttamente su un dispositivo utilizzando la tecnologia USB, il profilo
di configurazione viene automaticamente firmato e criptato prima di essere trasferito
sul dispositivo.
Capitolo 2 Creare e distribuire i profili di configurazione 41
Distribuire i profili di configurazione a mezzo e-mail
Puoi distribuire i profili di configurazione utilizzando un messaggio e-mail. Gli utenti
installano il profilo ricevendo il messaggio sul loro dispositivo, quindi toccando l’allegato per installarlo.
Per inviare un profilo di configurazione in un messaggio e-maiil:
1 Fai clic sul pulsante Condividi nella barra degli strumenti di “Utility Configurazione iPhone”.
Nella finestra di dialogo che appare, seleziona un’opzione di sicurezza:
a Nessuno: viene creato un documento solo testo .mobileconfig. Tale documento può
essere installato sul dispositivo.
impedire azioni di spionaggio nel caso in cui il documento venga esaminato.
b Firma profilo di configurazione: il documento .mobileconfig viene firmato e non potrà
essere installato da un dispositivo se viene alterato. Alcuni campi appaiono offuscati
per impedire azioni di spionaggio nel caso in cui il documento venga esaminato.
Dopo l’installazione, il profilo può essere solo aggiornato da un profilo con lo stesso
identificatore e firmato dalla stessa copia di “Utility Configurazione iPhone“.
c Firma e codifica il profilo: firma il profilo affinché non possa essere alterato; codifica
l’intero contenuto in modo che non sia possibile esaminare il profilo e che possa
essere installato solo su un dispositivo specifico. Se il profilo contiene password,
si consiglia di scegliere questa opzione. Verranno creati documenti .mobileconfig
separati per ogni dispositivo che selezioni dall’elenco Dispositivi. Se un dispositivo
non appare nell’elenco, potrebbe non essere stato precedentemente collegato al
computer per ottenere la chiave di codificazione oppure potrebbe non essere stato
aggiornato con iPhone OS 3.0 o versione successiva.
2 Fai clic su Condividi; si apre un nuovo messaggio Mail (Mac OS X) o Outlook (Windows)
a cui sono allegati i profili come documenti non compressi. Affinché il dispositivo riconosca e installi il profilo, i documenti non devono essere compressi.
Parte del contenuto del documento è offuscato per
Distribuire i profili di configurazione sul web
Puoi distribuire i profili di configurazione utilizzando un sito web. Gli utenti possono
installare il profilo scaricandolo con Safari sui dispositivi. Per distribuire facilmente l’URL
agli utenti, invialo tramite SMS.
Per esportare un profilo di configurazione:
1 Fai clic sul pulsante Esporta nella barra degli strumenti di “Utility Configurazione iPhone“.
Nella finestra di dialogo che appare, seleziona un’opzione di sicurezza:
a Nessuno: viene creato un documento solo testo .mobileconfig. Tale documento può
essere installato sul dispositivo. Parte del contenuto del documento è offuscato per
impedire azioni di spionaggio nel caso in cui il documento venga esaminato; tutttavia, assicurati che quando pubblichi il documento sul sito web sia accessibile solo
agli utenti autorizzati.
42 Capitolo 2 Creare e distribuire i profili di configurazione
b Firma profilo di configurazione: il documento .mobileconfig viene firmato e non potrà
essere installato da un dispositivo se viene alterato. Dopo l’installazione, il profilo può
essere solo aggiornato da un profilo con lo stesso identificatore e firmato dalla stessa
copia di “Utility Configurazione iPhone“. Parte delle informazioni presenti nel profilo
è offuscata per impedire azioni di spionaggio nel caso in cui il documento venga esaminato; tutttavia, assicurati che quando pubblichi il documento sul sito web sia
accessibile solo agli utenti autorizzati.
c Firma e codifica il profilo: firma il profilo affinché non possa essere alterato; codifica l’intero
contenuto in modo che non sia possibile esaminare il profilo e che possa essere installato solo su un dispositivo specifico. Verranno creati documenti .mobileconfig separati
per ogni dispositivo che selezioni dall’elenco Dispositivi.
2 Fai clic su Esporta, quindi seleziona una posizione in cui registrare i documenti
.mobileconfig.
I documenti sono pronti per essere pubblicati sul sito web. Non comprimere il documento
.mobileconfig o non modificarne l’estensione; in caso contrario, il dispositivo non sarà in
grado di riconoscere o installare il profilo.
Installazione utente dei profili di configurazione scaricati
Puoi fornire agli utenti l’URL da cui scaricare i profili sui propri dispositivi, oppure inviare
i profili a un account e-mail a cui possano accedere usando il dispositivo prima che venga
configurato con informazioni specifiche dell’azienda.
Quando un utente scarica il profilo dal web oppure apre l’allegato utilizzando Mail,
il dispositivo riconosce l’estensione .mobileconfig come profilo e avvia l’installazione
quando l’utente tocca Installa.
Durante l’installazione, l’utente deve inserire le informazioni necessarie, quali la password
non specificata nel profilo e altre informazioni necessarie per le impostazioni specificate.
Capitolo 2 Creare e distribuire i profili di configurazione 43
Inoltre, il dispositivo riceve le politiche di Exchange ActiveSync dal server e le aggiorna
(se sono state modificate) a ogni connessione successiva. Se le politiche del dispositivo
o di Exchange ActiveSync impongono l’impostazione di un codice, per completare
l’installazione l’utente dovrà inserire un codice che soddisfi le regole in vigore.
Inoltre, egli dovrà anche inserire la password eventualmente necessaria per poter utilizzare
i certificati inclusi nel profilo.
Se l’installazione non viene completata con successo, ad esempio perché il server Exchange
risulta irraggiungibile o l’utente ha annullato il processo, le informazioni inserite dall’utente
non potranno essere conservate.
Gli utenti possono cambiare la quantità di messaggi giornalieri da sincronizzare sul dispositivo e decidere quali cartelle di posta (oltre alla cartella di posta in entrata) devono essere
sincronizzate. Le opzioni di default sono: tre giorni e tutte le cartelle. Gli utenti possono
modificare questi valori selezionando Impostazioni > E-mail, contatti, calendari > nome
account Exchange.
Rimuovere e aggiornare i profili di configurazione
Gli aggiornamenti del profilo di configurazione non vengono inviati agli utenti. Distribuisci
i profili aggiornati agli utenti affinché possano installarli. Quando l’indicatore del profilo
corrisponde ed è firmato dalla stessa copia di “Utility Configurazione iPhone“, il nuovo
profilo sostituisce il profilo presente sul dispositivo.
Le impostazioni specificate da un profilo di configurazione non possono essere modificate
sul dispositivo. Per modificare un’impostazione devi installare un profilo aggiornato. Se il
profilo era stato firmato, può essere sostituito da un profilo firmato dalla stessa copia di
Utility Configurazione iPhone. Affinché il profilo aggiornato venga riconosciuto come
sostitutivo, l’identificatore di entrambi i profili deve corrispondere. Per ulteriori informazioni sull’identificatore, consulta “Impostazioni generali” a pagina 32.
44 Capitolo 2 Creare e distribuire i profili di configurazione
Importante: la rimozione di un profilo di configurazione elimina le politiche e tutti i dati
degli account Exchange archiviati sul dispositivo, oltre alle impostazioni VPN, ai certificati
e alle altre informazioni associate al profilo, compresi i messaggi di posta.
Se il payload “Impostazioni generali” del profilo specifica che il profilo non può essere
rimosso dall’utente, il pulsante Rimuovi non sarà disponibile. Se le impostazioni consentono la rimozione tramite una password di autorizzazione, l’utente dovrà inserire la
password dopo aver toccato Rimuovi. Per ulteriori informazioni sulle impostazioni della
sicurezza del profilo, consulta “Impostazioni generali” a pagina 32.
Capitolo 2 Creare e distribuire i profili di configurazione 45
3 Configurare manualmente
i dispositivi
3
Questo capitolo descrive come configurare manualmente
i dispositivi iPhone e iPod touch.
Se non sono disponibili i profili di configurazione automatica, gli utenti possono configurare manualmente i propri dispositivi. Alcune impostazioni, ad esempio le politiche relative ai codici, possono essere impostate solamente mediante un profilo di configurazione.
Impostazioni VPN
Per modificare le impostazioni relative a VPN, seleziona Impostazioni > Generali >
Network > VPN.
Durante la configurazione delle impostazioni VPN, il dispositivo chiede di inserire informazioni basate sulle risposte ricevute dal server VPN. Ad esempio, se il server lo richiede, può
esserti richiesto un token RSA SecurID.
46
Per poter configurare una connessione VPN basata su certificati, sul dispositivo devono
essere installati i certificati necessari. Per ulteriori informazioni, consulta “Installare identità e certificati root” a pagina 56.
Non è possibile configurare la tecnologia "VPN su richiesta“ sul dispositivo; configurala
mediante un profilo di configurazione. consultare “VPN su richiesta” a pagina 36.
Impostazioni proxy VPN
Per tutte le configurazioni devi specificare anche un proxy VPN. Per configurare un unico
proxy per tutte le connessioni, tocca Manuale e, se necessario, fornisci l’indirizzo, la porta
e l’autenticazione. Per fornire un documento di configurazione proxy automatico al dispositivo, tocca Auto e specifica l’URL del documento PACS. Per specificare una configurazione proxy automatica mediante WPAD, tocca Auto; iPhone cercherà le impostazioni
WPAD mediante DHCP e DNS. Consulta “Altre risorse”, alla fine di questo capitolo per
risorse ed esempi PACS.
Impostazioni di IPSec Cisco
Durante la configurazione manuale del dispositivo per una VPN IPSec Cisco, viene
visualizzata una schermata simile alla seguente:
La tabella che segue permette di individuare le impostazioni e le informazioni da inserire:
Campo Descrizione
Descrizione Titolo descrittivo che identifica il gruppo di impostazioni.
Server Nome DNS o indirizzo IP del server VPN a cui desideri effettuare
la connessione.
Account Nome utente dell’account di accesso alla VPN usato dall’utente.
Non inserire il nome del gruppo in questo campo.
Password Frase chiave dell’account di accesso alla VPN usato dall’utente.
Lasciare vuoto per l’autenticazione RSA SecurID e CryptoCard
oppure se si desidera che l’utente immetta manualmente la
propria password a ogni tentativo di connessione.
Usa certificato Disponibile solo se è installata un’identità .p12 o .pfx contenente
un certificato fornito per l’accesso remoto e la chiave privata di tale
certificato. Se è selezionato Usa certificato, i campi Nome gruppo
e Chiave condivisa vengono sostituiti da un campo Identità che
permette di scegliere da un elenco di identità installate compatibili
con la VPN.
Nome gruppo Nome del gruppo a cui appartiene l’utente come definito sul serve
VPN.
Segreto Chiave condivisa del gruppo. È la stessa per ogni membro del
gruppo a cui è assegnato l’utente. Non è la password dell’utente
e deve essere specificata per iniziare una connessione.
Capitolo 3 Configurare manualmente i dispositivi 47
Impostazioni di PPTP
Durante la configurazione manuale del dispositivo per una VPN PPTP, viene visualizzata
una schermata simile alla seguente:
La tabella che segue permette di individuare le impostazioni e le informazioni da inserire:
Campo Descrizione
Descrizione Titolo descrittivo che identifica il gruppo di impostazioni.
Server Nome DNS o indirizzo IP del server VPN a cui desideri effettuare
la connessione.
Account Nome utente dell’account di accesso alla VPN usato dall’utente.
RSA SecurID Se utilizzi un token RSA SecurID, attiva questa opzione per fare
in modo che il campo Password risulti nascosto.
Password Frase chiave dell’account di accesso alla VPN usato dall’utente.
Livello di criptatura Il valore di default Auto seleziona il massimo livello di codificazione
disponibile, partendo da 128 bit per passare a 40 bit e infine a
Nessuno. Il massimo è solo 128 bit. Nessuno disattiva la crittografia.
Invia tutto il traffico Di default è impostato su Sì. Invia tutto il traffico del network su un
collegamento VPN. Disattiva per consentire l’uso di tunneling di tipo
split che inviano attraverso il server solo il traffico destinato ai server
all’interno della VPN. Il traffico rimanente viene inviato direttamente
a Internet.
48 Capitolo 3 Configurare manualmente i dispositivi
Impostazioni di L2TP
Durante la configurazione manuale del dispositivo per una L2TP VPN, viene visualizzata
una schermata simile alla seguente:
La tabella che segue permette di individuare le impostazioni e le informazioni da inserire:
Campo Descrizione
Descrizione Titolo descrittivo che identifica il gruppo di impostazioni.
Server Nome DNS o indirizzo IP del server VPN a cui desideri effettuare
la connessione.
Account Nome utente dell’account di accesso alla VPN usato dall’utente.
Password Password dell’account dell’utente per l’accesso alla VPN.
Segreto Chiave condivisa (chiave pre-condivisa) dell’account L2TP. È la stessa
per tutti gli utenti LT2P.
Invia tutto il traffico Di default è impostato su Sì. Invia tutto il traffico del network su un
collegamento VPN. Disattiva per consentire l’uso di tunneling di tipo
split che inviano attraverso il server solo il traffico destinato ai server
all’interno della VPN. Il traffico rimanente viene inviato direttamente
a Internet.
Capitolo 3 Configurare manualmente i dispositivi 49
Impostazioni Wi-Fi
Per modificare le impostazioni Wi-Fi, seleziona Impostazioni > Generali > Network > Wi-Fi.
Se il network che desideri aggiungere si trova all’interno dell’intervallo, selezionalo
dall’elenco dei network disponibili. In caso contrario, tocca Altri.
Verifica che l’infrastruttura del network utilizzi l’autenticazione e la crittografia supportate
da iPhone e iPod touch. Per informazioni sulle specifiche, consulta “Protezione di network”
a pagina 11. Per informazioni su come installare i certificati per l’autenticazione, consulta
“Installare identità e certificati root” a pagina 56.
50 Capitolo 3 Configurare manualmente i dispositivi
Impostazioni di Exchange
È possibile configurare un solo account Exchange per dispositivo. Per aggiungere
un account Exchange, seleziona Impostazioni > E-mail, contatti, calendari e tocca
Aggiungi account. Nella schermata Aggiungi account, tocca Microsoft Exchange.
Durante la configurazione manuale del dispositivo per Exchange, utilizza la tabella
che segue per identificare le impostazioni e le informazioni da inserire:
Campo Descrizione
E-mail Indirizzo e-mail completo dell’utente.
Dominio Dominio dell’account Exchange dell’utente.
Nome utente Nome utente dell’account Exchange usato dall’utente.
Password Password dell’account Exchange dell’utente.
Descrizione Titolo descrittivo che identifica l’account.
Capitolo 3 Configurare manualmente i dispositivi 51
iPhone e iPod touch supportano il servizio Autodiscover di Microsoft, il quale impiega
nome utente e password per stabilire l’indirizzo del server Exchange frontale. Se l’indirizzo del server non può essere determinato, il sistema chiede di inserirlo manualmente.
Se il server Exchange cerca una connessione su una porta diversa dalla porta 443, specifica
il numero della porta nel campo Server utilizzando il formato exchange.esempio.com:nume-
roporta.
Una volta configurato con successo l’account Exchange, vengono applicate le politiche
relative codice del server. Se il codice attuale dell’utente non soddisfa le politiche di
Exchange ActiveSync, all’utente viene richiesto di modificarlo o impostare un diverso
codice. Il dispositivo potrà comunicare con il server Exchange solo dopo che l’utente
avrà impostato un codice appropriato.
Fatto ciò, il dispositivo propone immediatamente di eseguire la sincronizzazione con
il server Exchange. Se non desideri eseguire subito la sincronizzazione, potrai avviarla in
seguito per calendari e contatti in Impostazioni > E-mail, contatti, calendari. Di default,
Exchange ActiveSync invia i nuovi dati al dispositivo non appena questi arrivano sul
server. Se preferisci scaricare i nuovi dati mediante una pianificazione o solo in modo
manuale, utilizza Impostazioni > E-mail, contatti, calendari > Scarica nuovi dati, per
cambiare le impostazioni.
52 Capitolo 3 Configurare manualmente i dispositivi
Per modificare la quantità di messaggi e-mail giornalieri da sincronizzare sul dispositivo,
seleziona Impostazioni > E-mail, contatti, calendari, quindi seleziona l’account Exchange.
Puoi selezionare anche quali cartelle, oltre alla casella di posta in entrata, sono da includere nel recupero delle e-mail push.
Per modificare l’impostazione relativa ai dati di un calendario, seleziona Impostazioni >
E-mail, contatti, calendari > Sincronizza.
Impostazioni LDAP
iPhone può cercare le informazioni di contatto sui server directory LDAP. Per aggiungere
un server LDAP, seleziona Impostazioni > E-mail, contatti, calendari > Aggiungi account >
Altro. Quindi, tocca “Aggiungi account LDAP“.
Capitolo 3 Configurare manualmente i dispositivi 53
Inserisci l’indirizzo del server LDAP e, se necessario, il nome utente e la password, quindi
tocca Successivo. Se il server è raggiungibile e fornisce impostazioni di ricerca di default
per il dispositivo, verranno utilizzate tali impostazioni.
Sono supportati le seguenti impostazioni relativamente agli ambiti di ricerca:
Impostazione ambito di ricerca Descrizione
Base Cerca solamente nell’oggetto base.
Un livello Cerca negli oggetti a un livello inferiore dell’oggetto base, ma non
nell’oggetto base.
Sottoalbero Cerca nell’oggetto base e nell’intero albero di tutti gli oggetti che
discendono da esso.
Puoi definire diversi insiemi di impostazioni di ricerca per ogni server.
54 Capitolo 3 Configurare manualmente i dispositivi
Impostazioni CalDAV
iPhone funziona con i server calendario CalDAV per fornire calendari e programmazioni
di gruppo.
dari > Aggiungi account > Altro. Quindi, tocca “Aggiungi account CalDAV“.
Inserisci l’indirizzo del server CalDAV e, se necessario, il nome utente e la password, quindi
tocca Successivo. Dopo aver contattato il server, vengono visualizzati i campi aggiuntivi
che ti consentono di impostare altre opzioni.
Per aggiungere un server CalDAV, seleziona Impostazioni > E-mail, contatti, calen-
Impostazioni sottoscrizione calendario
Puoi aggiungere calendari di sola lettura, come programmazioni di progetti o vacanze.
Per aggiungere un calendario, seleziona Impostazioni > E-mail, contatti, calendari >
Aggiungi account > Altro, quindi tocca “Aggiungi calendario sottoscritto”.
Capitolo 3 Configurare manualmente i dispositivi 55
Inserisci l’URL di un documento iCalendar (.ics) e, se necessario, il nome utente e la password, quindi tocca Salva. Inoltre, puoi specificare se gli avvisi impostati sul calendario
devono essere rimossi quando tale calendario viene aggiunto al dispositivo.
Oltre ad aggiungere manualmente sottoscrizioni calendario, puoi inviare agli utenti un
URL webcal:\\ (o un HTTP:\\ ad un documento .ics) e, quando l’utente tocca tale link,
il dispositivo chiederà di aggiungerlo come calendario sottoscritto.
Installare identità e certificati root
Se i certificati non vengono distribuiti mediante l’uso di profili, gli utenti possono installarli manualmente utilizzando il dispositivo per scaricarli da un sito web, oppure aprendo
un allegato di un messaggio e-mail. Il dispositivo riconosce i certificati con i seguenti tipi
MIME ed estensioni di documento:
 application/x-pkcs12, .p12, .pfx
 application/x-x509-ca-cert, .cer, .crt, .der
Per ulteriori informazioni sui formati supportati e sugli altri requisiti, consulta “Certificati
e identità” a pagina 12.
Quando scarichi un certificato o un’identità sul dispositivo, viene visualizzata la schermata
Installa profilo. La descrizione indica il tipo: identità o autorità di certificazione. Per installare il certificato, tocca Installa. Se si tratta di un certificato identità, dovrai inserire la password del certificato.
Per visualizzare o rimuovere un certificato installato, seleziona Impostazioni > Generali >
Profilo. Se rimuovi un certificato necessario per l’accesso a un account o a un network, il
dispositivo non potrà più connettersi a tali servizi.
56 Capitolo 3 Configurare manualmente i dispositivi
Account e-mail aggiuntivi
Puoi configurare un solo account Exchange, ma se lo desideri, puoi aggiungere altri account
POP e IMAP. Per esempio, tali account possono essere utilizzati per accedere alla posta su
un server Lotus Notes o Novell Groupwise. Vai su Impostazioni > Account > E-mail, contatti,
calendari > Aggiungi account > Altro. Per ulteriori informazioni sull’aggiunta di un account
IMAP, consulta il Manuale utente di iPhone o il Manuale utente di iPod touch.
Aggiornare e rimuovere i profili
Per informazioni su come aggiornare o rimuovere i profili di configurazione, consulta
“Rimuovere e aggiornare i profili di configurazione” a pagina 44.
Per informazioni sull’installazione dei profili di fornitura, consulta “Distribuire le applicazioni per iPhone” a pagina 64.
Altre risorse
Per informazioni sul formato e sulla funzione dei documenti di configurazione proxy
automatici utilizzati dalle impostazioni proxy VPN, consulta:
 PAC (Proxy auto-config) su http://en.wikipedia.org/wiki/Proxy_auto-config
 Protocollo WPAD (Web Proxy Autodiscovery Protocol) su
http://en.wikipedia.org/wiki/Wpad
 Microsoft TechNet “Using Automatic Configuration, Automatic Proxy, and Automatic
Detection” disponibile suhttp://technet.microsoft.com/en-us/library/dd361918.aspx
Apple dispone di numerosi tutorial video visualizzabili mediante un browser web standard e che mostrano agli utenti come configurare e utilizzare le funzionalità dei propri
iPhone e iPod touch:
 Tour guidato di iPhone, all’indirizzo www.apple.com/it/iphone/guidedtour/
 Tour guidato di iPod touch, all’indirizzo www.apple.com/it/ipodtouch/guidedtour/
 Pagina web di supporto per iPhone, all’indirizzo www.apple.com/it/support/iphone/
 Pagina web di supporto per iPod touch, all’indirizzo
www.apple.com/it/support/ipodtouch/
Per ogni dispositivo è disponibile anche un manuale utente in formato PDF che fornisce
suggerimenti e dettagli aggiuntivi sull’impiego:
 Manuale utente di iPhone:
http://manuals.info.apple.com/it_IT/iPhone_Manuale_Utente.pdf
 Manuale utente di iPod touch:
http://manuals.info.apple.com/it_IT/iPod_touch_¡3.0_Manuale_Utente.pdf
Capitolo 3 Configurare manualmente i dispositivi 57
4 Distribuire iTunes
4
iTunes ti permette di sincronizzare musica e filmati, installare
applicazioni e altro ancora.
Questo capitolo descrive come distribuire iTunes e altre applicazioni aziendali, e illustra
le impostazioni e le limitazioni che puoi specificare.
Su iPhone e iPod touch puoi sincronizzare qualsiasi tipo di dati (musica, documenti
multimediali, ecc.) su un solo computer alla volta. Per esempio, puoi sincronizzare la
musica con un computer da scrivania e i preferiti con un computer portatile, configurando adeguatamente le opzioni di sincronizzazione di iTunes su entrambi i computer.
Per ulteriori informazioni sulle opzioni di sincronizzazione, consulta “Aiuto iTunes“,
disponibile nel menu Aiuto quando iTunes è aperto.
58
Installazione di iTunes
iTunes utilizza programmi di installazione standard per Macintosh e Windows. Puoi
scaricare l’ultima versione di iTunes e un elenco dei requisiti di sistema all’indirizzo
www.itunes.com/it.
Per informazioni sui requisiti della concessione in licenza per la distribuzione di iTunes,
consulta: http://developer.apple.com/softwarelicensing/agreements/itunes.html
Installazione di iTunes su computer Windows
Quando installi iTunes su computer Windows di default puoi installare la versione più
recente di QuickTime, Bonjour e Apple Software Update. Se necessario, puoi omettere
questi componenti mediante i parametri del programma di installazione di iTunes,
oppure copiando solo i componenti che desideri installare sui computer degli utenti.
Installazione su Windows mediante iTunesSetup.exe
Se desideri utilizzare il normale processo di installazione di iTunes omettendo però
alcuni componenti, puoi passare le proprietà a iTunesSetup.exe mediante i parametri
della linea di comando.
Proprietà Significato
NO_AMDS=1 Non installare i servizi Apple Mobile Device Services. Questo com-
ponente è necessario affinché iTunes possa eseguire la sincronizzazione e la gestione dei dispositivi mobili.
NO_ASUW=1 Non installare Apple Software Update per Windows. Questa appli-
cazione segnala agli utenti la disponibilità di nuove versioni del
software Apple.
NO_BONJOUR=1 Non installare Bonjour. Bonjour garantisce la rilevazione senza configu-
razione di stampanti, librerie condivise iTunes e altri servizi di network.
NO_QUICKTIME=1 Non installare QuickTime. Questo componente è necessario per l’uso
di iTunes. Non omettere QuickTime se non sei certo che sul computer client sia già stata installata l’ultima versione.
Installazione automatica su Windows
Per installare silenziosamente iTunes, estrai i singoli documenti .msi da TunesSetup.exe,
quindi copiali
sui computer client.
Per estrarre i documenti .msi da iTunesSetup.exe, esegui le seguenti operazioni:
1 Esegui iTunesSetup.exe.
2 Apri %temp% e cerca una cartella chiamata IXPnnn.TMP, dove %temp% è la tua directory
temporanea e nnn un numero casuale a 3 cifre. In Windows XP, la directory temporanea di
solito si trova in unità di avvio:\Documents and Settings\utente\Impostazioni locali\temp\.
In Windows Vista, la directory temporanea di solito si trova in
\Utenti\utente\AppData\Local\Temp\.
3 Copia i documenti .msi dalla cartella a un’altra ubicazione.
4 Esci dal programma di installazione aperto da iTunesSetup.exe.
Fatto ciò, utilizza Preferenze di Editor oggetti Criteri di gruppo della Microsoft Management Console per aggiungere i documenti .msi a una politica Configurazione computer. Assicurati di aggiungere la configurazione a una politica Configurazione computer,
invece che a una politica Configurazione utente.
Importante: iTunes richiede QuickTime e Cartella Application Support. Cartella Application
Support deve essere installata prima di installare iTunes. AMDS (Apple Mobile Device Services) è necessario per utilizzare iPod touch o iPhone con iTunes.
Capitolo 4 Distribuire iTunes 59
Prima di copiare i documenti .msi, devi selezionare la versione localizzata di iTunes
che desideri installare. Per farlo, apri il documento .msi in ORCA, installato Windows
SDK come Orca.msi, in bin\. Quindi, modifica lo stream delle informazioni di riepilogo
e rimuovi le lingue che non desideri installare. (Locale ID1033 è l’inglese.) In alternativa,
utilizza “Editor oggetti Criteri di gruppo” per modificare le proprietà di deployment
dei documenti .msi su “Ignora lingua”.
Installazione di iTunes su computer Macintosh
I computer Mac sono forniti con iTunes già installato. Puoi scaricare l’ultima versione di
iTunes all’indirizzo www.itunes.com/it. Per copiare iTunes sui client Mac, puoi utilizzare
Workgroup Manager, uno strumento di amministrazione incluso in Mac OS X Server.
Attivazione rapida dei dispositivi con iTunes
Prima che sia possibile utilizzare iPhone o iPod touch, è necessario attivarli collegandoli ad
un computer con iTunes in esecuzione. Normalmente, dopo l’attivazione di un dispositivo,
iTunes ti propone di sincronizzare il dispositivo con il computer. Per evitare che questo succeda quando stai configurando un dispositivo per qualcun altro, abilita la modalità di sola
attivazione. In questo modo, al termine dell’attivazione, iTunes espelle automaticamente il
dispositivo. Il dispositivo è quindi pronto per essere configurato, ma non contiene nessun
dato o documento multimediale.
Per abilitare la modalità di sola attivazione in Mac OS X:
1 Assicurati che iTunes non sia in esecuzione, quindi apri Terminale.
2 In Terminale, inserisci un comando:
 Per abilitare la modalità di sola attivazione:
di default: com.apple.iTunes StoreActivationMode -integer 1
 Per disabilitare la modalità di sola attivazione:
di default: elimina com.apple.iTunes StoreActivationMode
Per attivare un dispositivo, consulta “Utilizzare la modalità di sola attivazione”,
a continuazione.
Per abilitare la modalità di sola attivazione in Windows:
1 Assicurati che iTunes non sia in esecuzione, quindi apri una finestra di comandi.
2 Inserisci un comando:
 Per abilitare la modalità di sola attivazione:
"C:\Program Files\iTunes\iTunes.exe" /setPrefInt StoreActivationMode 1
 Per disabilitare la modalità di sola attivazione:
"C:\Program Files\iTunes\iTunes.exe" /setPrefInt StoreActivationMode 0
Puoi anche creare un’abbreviazione o modificare quella di iTunes per includere questi
comandi, così puoi passare velocemente alla modalità di sola attivazione.
Per verificare che iTunes sia in modalità di sola attivazione, scegli iTunes > Informazioni su
iTunes, quindi cerca “solo attivazione” sotto la versione di iTunes e l’identificatore build.
60 Capitolo 4 Distribuire iTunes
Utilizzare la modalità di sola attivazione
Assicurati di avere abilitato la modalità di sola attivazione così come descritto sopra
e segui questi passi.
1 Se attivi iPhone, inserisci una scheda SIM attivata. Utilizza lo strumento di espulsione
della SIM oppure una graffetta raddrizzata per espellere il vassoio della SIM. Consulta
il Manuale Utente di iPhone per maggiori dettagli.
2 Collega iPhone o iPod touch al computer. Perché sia possibile attivare il dispositivo,
il computer deve essere connesso a Internet.
iTunes si apre, se necessario, e attiva il dispositivo. Quando il dispositivo è stato attivato
con successo, viene visualizzato un messaggio.
3 Scollega il dispositivo.
Puoi collegare e attivare immediatamente dispositivi aggiuntivi. Quando la modalità di
sola attivazione è abilitata, iTunes non sincronizza alcun dispositivo; quindi non dimenticare di disabilitare tale modalità se pensi di utilizzare iTunes per sincronizzare i dispositivi.
Configurazione delle limitazioni di iTunes
Se necessario, puoi escludere particolari utenti dall’uso di specifiche funzionalità di iTunes.
A volte questa operazione viene indicata con il termine Controlli censura. È possibile limitare l’accesso alle seguenti funzioni:
 Controllo automatico e su comando dell’utente della presenza di nuove versioni
di iTunes e di aggiornamenti del software per i dispositivi impiegati
 Visualizzazione dei suggerimenti Genius durante la navigazione o la riproduzione
di documenti multimediali
 Sincronizzazione automatica quando i dispositivi sono collegati
 Download della copertina di un album
 Uso dei plugin dei visualizzatori
 Inserimento di un URL di documenti multimediali in streaming
 Ricerca automatica di sistemi Apple TV
 Registrazione di nuovi dispositivi con Apple
 Iscrizione a podcast
 Riproduzione della radio Internet
 Accesso a iTunes Store
 Condivisione della libreria con computer del network locale che eseguono iTunes
 Riproduzione dei contenuti multimediali di iTunes contrassegnati come espliciti
 Riproduzione filmati
 Riproduzione spettacoli TV
Capitolo 4 Distribuire iTunes 61
Impostazione delle limitazioni di iTunes per Mac OS X
In Mac OS X, puoi controllare l’accesso mediante le chiavi specificate in un documento plist.
I valori delle chiavi qui mostrati possono essere specificati per ciascun utente modificando
il documento ~/Library/Preferences/com.apple.iTunes.plist con Workgroup Manager, uno
strumento di amministrazione fornito con Mac OS X Server.
Per istruzioni su come procedere, consulta l’articolo di Apple Support all’indirizzo
http://docs.info.apple.com/article.html?artnum=303099.
Impostazione delle limitazioni di iTunes per Windows
In Windows, puoi controllare l’accesso impostando i valori del registro di sistema
all’interno di una delle seguenti chiavi:
Windows XP e Windows Vista a 32 bit:
 HKEY_LOCAL_MACHINE\Software\Apple Computer, Inc.\iTunes\[SID]\Parental Controls\
 HKEY_CURRENT_USER\Software\Apple Computer, Inc.\iTunes\Parental Controls
Windows Vista a 64 bit:
 HKEY_LOCAL_MACHINE\Software\Wow6432Node\Apple Computer, Inc.\iTunes\[SID]\
Parental Controls\
 HKEY_CURRENT_USER\Software\Wow6432Node\Apple Computer, Inc.\iTunes\Parental
Controls
Per informazioni sui valori del registro di sistema di iTunes, consulta l’articolo Apple
Support all’indirizzo http://support.apple.com/kb/HT2102?viewlocale=it_IT.
Per informazioni generali sulla modifica del registro di sistema di Windows, consulta
la Guida in linea Microsoft e l’articolo del supporto all’indirizzo
http://support.microsoft.com/kb/136393.
Aggiornamento manuale del software di iTunes e iPhone
Se disattivi il controllo automatico e avviato dall’utente della disponibilità di aggiornamenti software in iTunes, devi distribuire gli aggiornamenti software agli utenti affinché provvedano all’installazione manuale.
Per aggiornare iTunes, esegui le operazioni di installazione e distribuzione descritte
precedentemente in questo documento. Il processo è lo stesso seguito per la distribuzione di iTunes agli utenti.
Per aggiornare il software di iPhone, esegui le seguenti operazioni:
1 Per i computer su cui l’aggiornamento del software di iTunes non è disattivato, usa iTunes
per scaricare il software iPhone aggiornato. Per fare ciò, seleziona un dispositivo collegato
in iTunes, fai clic sul pannello Riepilogo, quindi sul pulsante “Verifica aggiornamenti”.
2 Dopo il download, copia i documenti del programma di aggiornamento (.ipsw) trovati
nella seguente posizione:
62 Capitolo 4 Distribuire iTunes
 Su Mac OS X: ~/Library/iTunes/iPhone Software Updates/
 Su Windows XP: disco-di-avvio:\Documents and Settings\nome-utente\Application Data\
Apple Computer\iTunes\iPhone Software Updates\
3 Distribuisci il documento .ipsw agli utenti oppure copialo sul network a cui possono
accedere.
4 Indica agli utenti di eseguire un backup dei propri dispositivi con iTunes prima di applicare
l’aggiornamento. Nota che, durante l’esecuzione di aggiornamenti manuali, iTunes non
esegue il backup automatico del dispositivo prima dell’installazione. Per creare un nuovo
backup, fai clic col tasto destro (Windows) o fai clic tenendo premuto il tasto Controllo
(Mac) sul dispositivo nella barra laterale di iTunes. Fatto ciò, seleziona Backup dal menu
contestuale che appare.
5 Per installare gli aggiornamenti, gli utenti possono connettere i propri dispositivi a iTunes
e selezionare la linguetta Riepilogo relativa al dispositivo interessato. Fatto ciò, possono
procedere tenendo premuto il tasto Opzione (Mac) o Maiusc (Windows) e facendo clic
sul pulsante “Verifica aggiornamenti”.
6 Viene visualizzata una finestra di dialogo per la selezione dei documenti. Al suo interno,
gli utenti possono selezionare i documenti .ipsw e fare clic su Apri per iniziare il processo
di aggiornamento.
Creare un backup di iPhone con iTunes
Quando iPhone o iPod touch sono sincronizzati con iTunes, viene eseguito un backup
automatico delle impostazioni del dispositivo sul computer. Vengono copiate nella
libreria di iTunes anche le applicazioni acquistate su App Store.
Per le applicazioni sviluppate personalmente e distribuite agli utenti con i profili di
distribuzione aziendale, non verrà creato alcun backup e le applicazioni non verranno
trasferite sul computer dell’utente. Tuttavia, il backup del dispositivo comprenderà qualsiasi documento dati creato dall’applicazione.
I backup del dispositivo possono essere archiviati in formato codificato selezionando
l’opzione “Codifica backup iPhone” nel pannello di iTunes con le informazioni di riepilogo del dispositivo. I documenti sono codificati mediante AES256. La chiave viene
conservata in modo sicuro nel portachiavi di iPhone.
Importante: se sul dispositivo di cui esegui il backup sono installati profili codificati,
iTunes richiede all’utente di abilitare la codificazione dei backup.
Capitolo 4 Distribuire iTunes 63
5 Distribuire le applicazioni
per iPhone
5
Se desideri, puoi distribuire agli utenti applicazioni per iPhone
e iPod touch.
Se desideri installare applicazioni per iPhone OS sviluppate da te, devi distribuirle agli
utenti che potranno installarle mediante iTunes.
Le applicazioni scaricate da App Store in linea funzionano su iPhone e iPod touch senza
alcuna operazione aggiuntiva. Se hai sviluppato un’applicazione che desideri distribuire personalmente, questa deve essere firmata digitalmente con un certificato emesso
da Apple. Inoltre, devi fornire agli utenti un profilo di fornitura di distribuzione che consenta ai loro dispositivi di utilizzare l’applicazione in questione.
Per seguire il processo di distribuzione delle applicazioni devi:
 Registrarti per la distribuzione aziendale con Apple.
 Firmare le applicazioni utilizzando il tuo proprio certificato.
 Creare un profilo di fornitura per la distribuzione aziendale che autorizzi i dispositivi
a utilizzare le applicazioni che hai firmato.
 Distribuire l’applicazione e il profilo di fornitura per la distribuzione aziendale sui
computer degli utenti.
 Indicare agli utenti di installare l’applicazione e il profilo mediante iTunes.
64
Per ulteriori informazioni su queste procedure, vedi di seguito.
Registrarsi per lo sviluppo di applicazioni
Per sviluppare e distribuire applicazioni personalizzate per iPhone e iPod touch,
devi aderire al programma iPhone Enterprise Developer Program all’indirizzo
http://developer.apple.com/.
Una volta completato il processo di registrazione, riceverai istruzioni su come consentire
alle tue applicazioni di funzionare sui dispositivi.
Firmare le applicazioni
Le applicazioni distribuite agli utenti devono essere firmate con il tuo certificato di
distribuzione. Per informazioni su come ottenere e utilizzare un certificato, consulta
l’iPhone Developer Center all’indirizzo http://developer.apple.com/iphone.
Creare il profilo di fornitura per la distribuzione
I profili di fornitura per la distribuzione consentono di creare applicazioni che gli utenti
possono utilizzare sui propri iPhone o iPod touch. Per creare un profilo di fornitura per
la distribuzione aziendale di una o più specifiche applicazioni, specifica l’AppID autorizzato dal profilo. Se dispone di un’applicazione ma non del profilo che ne autorizza
l’impiego, l’utente non sarà in grado di utilizzare tale applicazione.
Il Team Agent aziendale designato può creare i profili di fornitura per la distribuzione dal
portale Enterprise Program all’indirizzo http://developer.apple.com/iphone. Per ulteriori
informazioni, consulta il sito web.
Una volta creato il profilo di fornitura per la distribuzione aziendale, scarica il documento
.mobileprovision e distribuiscilo in modo sicuro assieme alla tua applicazione.
Installare i profili di fornitura mediante iTunes
La copia di iTunes installata dall’utente installa automaticamente i profili di fornitura
che si trovano nelle cartelle definite in questo paragrafo. Se necessario, crea le cartelle
utilizzando i nomi mostrati.
Mac OS X
 ~/Library/MobileDevice/Provisioning Profiles/
 /Library/MobileDevice/Provisioning Profiles/
 percorso specificato dalla chiave ProvisioningProfilesPath in
~/Library/Preferences/com.apple.itunes
Windows XP
 disco-di-avvio:\Documents and Settings\nome-utente\Application Data\Apple Computer\
MobileDevice\Provisioning Profiles
 disco-di-avvio:\Documents and Settings\All Users\Application Data\Apple Computer\
MobileDevice\Provisioning Profiles
 percorso specificato in HKCU o HKLM della chiave di registro SOFTWARE\Apple
Computer, Inc\iTunes di ProvisioningProfilesPath
Capitolo 5 Distribuire le applicazioni per iPhone 65
Windows Vista
 disco-di-avvio:\Users\nome-utente\AppData\Roaming\Apple Computer\MobileDevice\
Provisioning Profiles
 disco-di-avvio:\ProgramData\Apple Computer\MobileDevice\Provisioning Profiles
 percorso specificato in HKCU o HKLM della chiave di registro SOFTWARE\Apple
Computer, Inc\iTunes di ProvisioningProfilesPath
iTunes installa automaticamente i profili di fornitura disponibili nelle posizioni sopra
indicate sui dispositivi con cui esegue la sincronizzazione. Una volta installati, i profili di
fornitura possono essere visualizzati sul dispositivo in Impostazioni > Generale > Profili.
Inoltre, puoi distribuire il documento .mobileprovision agli utenti e indicare loro di trascinarlo sull’icona dell’applicazione iTunes. In questo modo, iTunes copierà il documento nella
posizione corretta specificata in precedenza.
Installare profili di fornitura con Utility Configurazione iPhone
Puoi usare Utility Configurazione iPhone per installare i profili di fornitura sui dispositivi
collegati. Per fare ciò, esegui le seguenti operazioni:
1 In “Utility Configurazione iPhone“, scegli Archivio > Aggiungi a libreria, quindi seleziona
il profilo di fornitura che desideri installare.
Il profilo viene aggiunto a Utility Configurazione iPhone e può essere visualizzato
selezionando la categoria Profili di fornitura nella libreria.
2 Seleziona un dispositivo dall’elenco dei dispositivi collegati.
3 Fai clic sul pannello “Profili di fornitura“.
4 Seleziona il profilo di fornitura dall’elenco, quindi fai clic sul pulsante Installa.
Installare applicazioni mediante iTunes
Gli utenti possono utilizzare iTunes per installare le applicazioni sui propri dispositivi.
Per consentire questa operazione, distribuisci in modo sicuro l’applicazione agli utenti
e indica loro di eseguire le seguenti operazioni:
1 In iTunes, scegli Archivio > Aggiungi alla libreria, quindi seleziona l’applicazione (.app)
fornita da te.
Puoi anche trascinare il documento .app sull’icona dell’applicazione iTunes.
2 Collega un dispositivo al computer, quindi selezionalo nell’elenco Dispositivi in iTunes.
3 Fai clic sul pannello Applicazioni e seleziona l’applicazione dall’elenco.
4 Fai clic su Applica per installare l’applicazione e tutti i profili di fornitura per la distribuzione
disponibili nelle cartelle designate, come discusso in “Installare i profili di fornitura mediante
iTunes” a pagina 65.
66 Capitolo 5 Distribuire le applicazioni per iPhone
Installare applicazioni con Utility Configurazione iPhone
Puoi usare Utility Configurazione iPhone per installare applicazioni sui dispositivi collegati.
Per fare ciò, esegui le seguenti operazioni:
1 In “Utility Configurazione iPhone“, scegli Archivio > Aggiungi a libreria, quindi seleziona
l’applicazione che desideri installare.
L’applicazione viene aggiunta a Utility Configurazione iPhone e può essere visualizzata
selezionando la categoria Applicazioni nella libreria.
2 Seleziona un dispositivo dall’elenco dei dispositivi collegati.
3 Fai clic sul pannello Applicazioni.
4 Seleziona l’applicazione dall’elenco, quindi fai clic sul pulsante Installa.
Utilizzare le applicazioni aziendali
Quando un utente esegue un’applicazione non firmata da Apple, il dispositivo cerca
un profilo di fornitura per la distribuzione che ne autorizzi l’impiego. Se tale profilo
non viene trovato, l’applicazione non può essere aperta.
Disabilitare un’applicazione aziendale
Se devi disabilitare un’applicazione interna, puoi farlo revocando l’identità utilizzata per
firmare il profilo di fornitura di distribuzione. L’applicazione non potrà più essere installata e, nel caso in cui sia già installata, non si aprirà più.
Altre risorse
Per ulteriori informazioni sulla creazione di applicazioni e profili di fornitura, consulta:
 iPhone Developer Center all’indirizzo http://developer.apple.com/iphone/
Capitolo 5 Distribuire le applicazioni per iPhone 67
A Configurazione dei server
VPN Cisco
A
Le linee guida che seguono permettono di configurare il tuo
server VPN Cisco per l’uso con iPhone e iPod touch.
Piattaforme Cisco supportate
iPhone supporta i dispositivi di sicurezza adattativi Cisco ASA 5500 e i firewall PIX configurati con il software 7.2.x o versione successiva. È consigliabile utilizzare l’ultima versione
rilasciata del software 8.0.x (o versione successiva). iPhone supporta anche i router Cisco
IOS VPN con IOS versione 12.4(15)T o versione successiva. I concentratori serie VPN 3000
non supportano le caratteristiche VPN di iPhone.
Metodi di autenticazione
iPhone supporta i seguenti metodi di autenticazione:
 Autenticazione IPSec con chiave pre-condivisa con autenticazione utente mediante
xauth.
 Certificati client e server per autenticazione IPsec con autenticazione utente facoltativa
mediante xauth.
 Autenticazione ibrida in cui il server fornisce un certificato e il client fornisce una
chiave pre-condivisa per l’autenticazione IPsec. È richiesta l’autenticazione utente
mediante xauth.
 L’autenticazione utente è effettuata mediante xauth e comprende i seguenti metodi
di autenticazione:
 Nome utente e password
 SecurID RSA
 CryptoCard
Appendice
68
Gruppi di autenticazione
Il protocollo Cisco Unity impiega i gruppi di autenticazione per riunire gli utenti in base
a un insieme comune di parametri di autenticazione e ad altri fattori. Si consiglia di creare
un gruppo di autenticazione per gli utenti di iPhone e iPod touch. Per l’autenticazione
mediante chiave pre-condivisa e ibrida, il nome del gruppo deve essere configurato sul
dispositivo con la relativa chiave pre-condivisa definita come password di gruppo.
La chiave pre-condivisa non è usata in caso di impiego dell’autenticazione mediante
certificato se il gruppo dell’utente viene stabilito in base ai campi presenti nel certificato. Le impostazioni del server Cisco possono essere impiegate per mappare i campi
di un certificato nei gruppi di utenti.
Certificati
Durante la configurazione e l’installazione dei certificati, verifica quanto segue:
 Il certificato di identità del server deve contenerne il nome DNS e/o l’indirizzo IP nel
campo del nome alternativo del soggetto (SubjectAltName). Il dispositivo impiega queste informazioni per verificare che il certificato appartenga al server. Per una maggiore
flessibilità, puoi specificare il valore di SubjectAltName utilizzando i caratteri jolly per la
corrispondenza dei vari segmenti, ad esempio vpn.*.miasocietà.com. Se non viene specificato il valore di SubjectAltName, è possibile inserire il nome DNS nel campo del
nome comune.
 Sul dispositivo dovrebbe essere installato il certificato della CA che ha firmato il certifi-
cato del server. Se non si tratta di un certificato root, installa la parte rimanente della
catena di trust in modo da garantire l’attendibilità del certificato.
 In caso di utilizzo dei certificati client, verifica che sul server VPN sia installato il certificato
della CA attendibile che ha firmato il certificato del client.
 I certificati e le autorità di certificazione devono essere validi (ad esempio, non scaduti).
 L’invio della catena di certificazione da parte del server non è supportato e dovrebbe
essere disattivato.
 Durante l’uso dell’autenticazione basata su certificato, verifica che il server sia configu-
rato in modo da identificare il gruppo dell’utente mediante i campi presenti nel certificato del client. Per informazioni, consulta “Gruppi di autenticazione” a pagina 69.
Appendice A Configurazione dei server VPN Cisco 69
Impostazioni di IPSec
Utilizza le seguenti impostazioni di IPSec:
 Modalità: modalità Tunnel.
 Modalità scambio IKE: modalità Aggressive per l’autenticazione mediante chiave
pre-condivisa e ibrida, modalità Main per l’autenticazione mediante certificato.
 Algoritmi di codificazione: 3DES, AES-128, AES-256.
 Algoritmi di autenticazione: HMAC-MD5, HMAC-SHA1.
 Gruppi Diffie Hellman: per l’autenticazione mediante chiave pre-condivisa e ibrida è
necessario il gruppo 2. Per l’autenticazione mediante certificato, utilizza il gruppo 2
con 3DES e AES-128, oppure i gruppi 2 o 5 con AES-256.
 PFS (Perfect Forward Secrecy): per IKE fase 2, in caso di utilizzo di PFS il gruppo Diffie
Hellman deve essere lo stesso usato per IKE fase 1.
 Configurazione modalità: attivata.
 Rilevamento dead peer: consigliato.
 Attraversamento NAT standard: supportato e attivabile se necessario. IPSec su TCP
non supportato.
 Bilanciamento del carico: supportato e attivabile se necessario.
 Re-key della fase 1: attualmente non supportato. Si consiglia di impostare tempi
di re-key sul server di circa un’ora.
 Maschera indirizzo ASA: garantisce che tutte le maschere pool del dispositivo siano
impostate su 255.255.255.255 oppure non siano impostate. Ad esempio,
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask
255.255.255.255.
Quando utilizzi la maschera indirizzo consigliata, alcuni percorsi adottati dalla configurazione VPN potrebbero venire ignorati. Per evitarlo, assicurati che la tabella di instradamento contenga tutti i percorsi necessari e controlla che gli indirizzi di sottorete siano
accessibili prima del deployment.
Altre funzionalità supportate
iPhone e iPod touch supportano le seguenti funzionalità:
 Versione delle applicazioni: la versione del software client viene inviata al server
per consentirgli di accettare o respingere le connessioni in base alla versione del
software disponibile sul dispositivo.
 Banner: se impostato sul server, il banner viene visualizzato sul dispositivo e l’utente
può accettarlo o disconnettersi.
 Split tunneling: supportato.
 Split DNS: supportato.
 Dominio predefinito: supportato.
70 Appendice A Configurazione dei server VPN Cisco
B Formato dei profili
di configurazione
B
Questa appendice illustra il formato dei documenti
mobileconfig che possono essere impiegati per
creare strumenti personalizzati.
Il documento presuppone che il lettore abbia familiarità con il DTD Apple XML e il formato
dell’elenco delle proprietà generali. La descrizione generica del formato plist di Apple è
disponibile all’indirizzo www.apple.com/DTDs/PropertyList-1.0.dtd. Per iniziare, utilizza
“Utility Configurazione iPhone” per creare un documento di struttura che puoi modificare
utilizzando le informazioni di questa appendice.
In questo documento ricorrono spesso i termini payload e profilo. Si definisce profilo l’intero
documento usato per configurare alcune impostazioni (singole o multiple) su dispositivi
iPhone o iPod touch. Il payload è un singolo componente del documento profilo.
Appendice
Livello base
A livello base, il documento di configurazione è un dizionario con le seguenti coppie
di chiave/valore:
Chiave Valore
PayloadVersion Numero, obbligatorio. Versione del documento profilo di confi-
gurazione. Il numero di versione specifica il formato dell’intero
profilo, non solo dei singoli payload.
PayloadUUID Stringa, obbligatorio. Solitamente, una stringa identificatrice uni-
voca generata dal sistema. Il contenuto esatto di questa stringa
è irrilevante, tuttavia deve essere univoco a livello globale. In
Mac OS X, puoi generare UUID con /usr/bin/uuidgen.
PayloadType Stringa, obbligatorio. Attualmente l’unico valore valido per questa
stringa è “Configuration”.
PayloadOrganization Stringa, facoltativo. Descrive l’organizzazione che emette il profilo
come visualizzata all’utente.
71
Chiave Valore
PayloadIdentifier Stringa, obbligatorio. Per convenzione, è una stringa delimitata
da punti che descrive il profilo in modo univoco, ad esempio
“com.miaSoc.iPhone.impostEmail” o “edu.miaUniv.studenti.vpn”.
Questa stringa permette di differenziare i profili; se viene installato un profilo che corrisponde all’identificatore di un altro, il
primo sovrascrive il secondo (invece di essere aggiunto).
PayloadDisplayName Stringa, obbligatorio. Specifica una stringa molto breve che può
essere visualizzata dall’utente per descrivere il profilo, ad esempio “Impostazioni VPN”. Non è obbligatorio che sia univoca.
PayloadDescription Stringa, facoltativo. Determina il testo descrittivo in formato
libero per l’intero profilo da visualizzare all’utente sullo schermo
Dettagli. Scopo di questa stringa è di identificare chiaramente
il profilo per consentire all’utente di decidere se installarlo.
PayloadContent Array, facoltativo. È il reale contenuto del profilo. Se omesso,
l’intero profilo non ha alcuno scopo pratico.
PayloadRemovalDisallowed Booleano, facoltativo. Valore di default No. Se impostato, l’utente
non potrà eliminare il profilo. È possibile aggiornare un profilo con
tale impostazione via USB o via web/e-mail solamente se l’identificatore del profilo corrisponde ed è firmato dalla stessa autorità.
Se viene fornita una password di rimozione, il profilo può essere
eliminato specificando la password.
Con i profili firmati e codificati, l’impostazione di questo valore
in chiaro non ha nessuna conseguenza poiché il profilo non
può essere alterato e tale impostazione viene mostrata anche
sul dispositivo.
Contenuto del payload
L’array PayloadContent è un gruppo di dizionari ognuno dei quali descrive un singolo
payload del profilo. Ogni profilo funzionale ha almeno una o più voci in questo array.
Ogni dizionario di questo array dispone di alcune proprietà comuni, indipendentemente
dal tipo di payload. Altri dizionari sono specializzati e univoci per ciascun tipo di payload.
Chiave Valore
PayloadVersion Numero, obbligatorio. Versione del singolo payload. Ogni profilo
può essere formato da payload con numeri di versione diversi.
Ad esempio, il numero di versione VPN può essere aumentato in
futuro mentre il numero di versione di Mail rimane inalterato.
PayloadUUID Stringa, obbligatorio. Solitamente, una stringa identificatrice uni-
voca generata dal sistema. Il contenuto esatto di questa stringa
è irrilevante, tuttavia deve essere univoco a livello globale.
PayloadType Stringa, obbligatorio. Coppia di chiave/valore che determina il tipo
di singolo payload all’interno del profilo.
PayloadOrganization Stringa, facoltativo. Descrive l’organizzazione che emette il profilo
come viene visualizzata dall’utente. Facoltativamente, può essere
uguale a PayloadOrganization di livello base.
72 Appendice B Formato dei profili di configurazione
Chiave Valore
PayloadIdentifier Stringa, obbligatorio. Per convenzione, è una stringa delimitata
da punti che descrive il payload in modo univoco. Solitamente è
il valore PayloadIdentifier base con l’aggiunta di un identificatore
secondario; descrive un payload particolare.
PayloadDisplayName Stringa, obbligatorio. Stringa molto breve visualizzata all’utente per
descrivere il profilo, ad esempio “Impostazioni VPN”. Non è obbligatorio che sia univoca.
PayloadDescription Stringa, facoltativo. Determina il testo descrittivo in formato libero
per questo payload visualizzato all’utente sullo schermo Dettagli.
Payload password rimozione profilo
Il payload della password di rimozione è designato dal valore com.apple.profileRemovalPassword di PayloadType. Lo scopo è quello di codificare la password che consente agli
utenti di rimuovere un profilo di configurazione dal dispositivo. Se il payload è presente e
ha un valore impostato per la password, quando l’utente toccherà il pulsante per la rimozione di un profilo il dispositivo richiederà la password. Il payload è codificato con il resto
del profilo.
Chiave Valore
RemovalPassword Stringa, facoltativo. Specifica la password di rimozione del profilo.
Payload Politica codice
Il payload Politica codice è designato in base al valore di PayloadType di
com.apple.mobiledevice.passwordpolicy. La presenza di questo tipo di payload indica
a iPhone di visualizzare all’utente un meccanismo di immissione di un codice alfanumerico che permette di immettere codici di lunghezza e complessità arbitrarie.
Oltre alle impostazioni comuni a tutti i payload, questo definisce quanto segue:
Chiave Valore
allowSimple Booleano, facoltativo. Valore di default YES. Determina se è consen-
tito l’uso di codici semplici. Viene definito semplice un codice contenente caratteri ripetuti o che aumentano/diminuiscono, come ad
esempio 123 o CBA. L’impostazione “NO” è sinonimo dell’impostazione del valore “1” per minComplexChars.
forcePIN Booleano, facoltativo. Valore di default NO. Determina se all’utente
deve essere imposto di definire un PIN. L’impostazione semplice
di questo valore (ma non di altri) forza l’utente a immettere un
codice senza imporne lunghezza o qualità.
Appendice B Formato dei profili di configurazione 73
Chiave Valore
maxFailedAttempts Numero, facoltativo. Di default: 11. Intervallo ammesso [2...11].
Specifica il numero di tentativi consentiti non riusciti di immettere il codice nella schermata di blocco di iPhone. Una volta
superato questo valore, il dispositivo viene bloccato e deve
essere collegato al programma iTunes per essere sbloccato.
maxInactivity Numero, facoltativo. Valore di default infinito. Specifica il numero
di giorni per cui il dispositivo può rimanere inattivo (senza essere
sbloccato dall’utente) prima di venire bloccato dal sistema. Una
volta raggiunto il valore specificato, il dispositivo viene bloccato
ed è necessario inserire il codice.
maxPINAgeInDays Numero, facoltativo. Valore di default infinito. Specifica il numero
di giorni per cui il codice può rimanere non modificato. Trascorso
il numero di giorni specificato, l’utente viene forzato a modificare
il codice prima di poter sbloccare il dispositivo.
minComplexChars Numero, facoltativo. Di default 0. Specifica il numero minimo di
caratteri complessi che deve contenere il codice. Viene definito
“complesso” ogni carattere diverso da un numero o una lettera,
ad esempio &%$#.
minLength Numero, facoltativo. Di default 0. Specifica la lunghezza com-
plessiva minima del codice. Questo parametro è indipendente
dall’altro argomento facoltativo minComplexChars.
requireAlphanumeric Booleano, facoltativo. Valore di default NO. Specifica se l’utente
deve inserire caratteri alfabetici (“abcd”) o se sono sufficienti i
numeri.
pinHistory Numero, facoltativo. Quando l’utente modifica il codice, esso
deve essere unico rispetto alle ultime N voci contenute nella
cronologia. Il valore minimo è 1, quello massimo è 50.
manualFetchingWhenRoaming Booleano, facoltativo. Se impostato, tutte le operazioni “push”
verranno disabilitate quando in roaming. L’utente deve quindi
recuperare i nuovi dati manualmente.
maxGracePeriod Numero, facoltativo. Il periodo di attesa massimo, in minuti, per
sbloccare il telefono senza dover inserire un codice. Di default è
impostato su 0, quindi viene richiesto immediatamente un codice.
Payload e-mail
Il payload e-mail è designato in base al valore di PayloadType di com.apple.mail.managed
PayloadType. Questo payload crea un account e-mail sul dispositivo. Oltre alle impostazioni
comuni a tutti i payload, tale payload definisce quanto segue:
Chiave Valore
EmailAccountDescription Stringa, facoltativo. Descrizione dell’account e-mail visibile
all’utente e mostrata nelle applicazioni Mail e Impostazioni.
EmailAccountName Stringa, facoltativo. Nome utente completo dell’account.
È il nome utente usato nei messaggi inviati, ecc.
74 Appendice B Formato dei profili di configurazione
Chiave Valore
EmailAccountType Stringa, obbligatorio. I valori consentiti sono EmailTypePOP ed
EmailTypeIMAP. Definisce il protocollo da utilizzare per l’account.
EmailAddress Stringa, obbligatorio. Specifica l’indirizzo e-mail completo
dell’account. Se assente nel payload, il dispositivo la richiede
durante l’installazione del profilo.
IncomingMailServerAuthentication Stringa, obbligatorio. Indica lo schema di autenticazione per la
posta in entrata. I valori consentiti sono EmailAuthPassword ed
EmailAuthNone.
IncomingMailServerHostName Stringa, obbligatorio. Specifica il nome host o l’indirizzo IP
del server di posta in entrata.
IncomingMailServerPortNumber Numero, facoltativo. Indica il numero della porta del server di
posta in entrata. Se non viene specificato alcun numero, viene
utilizzata la porta di default del protocollo impiegato.
IncomingMailServerUseSSL Booleano, facoltativo. Valore di default YES. Indica se il server
di posta in entrata utilizza SSL per l’autenticazione.
IncomingMailServerUsername Stringa, obbligatorio. Specifica il nome utente dell’account e-mail;
solitamente è la parte di indirizzo e-mail prima del carattere @. Se
non presente nel payload quando l’account è configurato in modo
da richiedere l’autenticazione per la posta in entrata, il dispositivo
richiede questa stringa durante l’installazione del profilo.
IncomingPassword Stringa, facoltativo. Password per il server di posta in entrata.
utilizza solo con profili codificati.
OutgoingPassword Stringa, facoltativo. Password per il server di posta in uscita.
utilizza solo con profili codificati.
OutgoingPasswwordSameAsIncomingPassword
OutgoingMailServerAuthentication Stringa, obbligatorio. Indica lo schema di autenticazione per la
OutgoingMailServerHostName Stringa, obbligatorio. Specifica il nome host o l’indirizzo IP del
OutgoingMailServerPortNumber Numero, facoltativo. Indica il numero della porta del server di
OutgoingMailServerUseSSL Booleano, facoltativo. Valore di default YES. Indica se il server
OutgoingMailServerUsername Stringa, obbligatorio. Specifica il nome utente dell’account e-mail;
Booleano, facoltativo. Se impostato, la password verrà richiesta
solo una volta e verrà utilizzata sia per la posta in uscita che per
quella in entrata.
posta in uscita. I valori consentiti sono EmailAuthPassword ed
EmailAuthNone.
server di posta in uscita.
posta in uscita. Se non è specificata alcuna porta, vengono usate
nell’ordine le porte 25, 587 e 465.
di posta in uscita utilizza SSL per l’autenticazione.
solitamente è la parte di indirizzo e-mail prima del carattere @.
Se non presente nel payload quando l’account è configurato in
modo da richiedere l’autenticazione per la posta in uscita, il dispositivo richiede questa stringa durante l’installazione del profilo.
Appendice B Formato dei profili di configurazione 75
Payload clip web
Il payload clip web è designato in base al valore PayloadType com.apple.webClip.managed. Oltre alle impostazioni comuni a tutti i payload, questo definisce quanto segue:
Chiave Valore
URL Stringa, obbligatorio. L’URL che dovrebbe essere aperto dal clip web
quando fai clic su di esso. L’URL deve iniziare con HTTP o HTTPS, altrimenti non funzionerà.
Etichetta Stringa, obbligatorio. Il nome del clip web come visualizzato sulla
schermata Home.
Icona Dati, facoltativo. Un’icona PNG da mostrare nella schermata Home.
Le dimensioni dovrebbero essere di 59 x 60 pixel. Se non viene specificato nulla, verrà visualizzata un’icona bianca quadrata.
IsRemovable Booleano, facoltativo. Se impostato su No, l’utente non può rimuo-
vere il clip web, che però verrà rimosso se viene eliminato il profilo.
Restrizioni payload
Il payload clip web è designato in base al valore PayloadType comcom.apple.applicationaccess. Oltre alle impostazioni comuni a tutti i payload, questo definisce quanto segue:
Chiave Valore
allowAppInstallation Booleano, facoltativo. Se False, App Store viene disabilitato e la rela-
tiva icona rimossa dalla schermata Home. Gli utenti non potranno
installare o aggiornare le applicazioni.
allowCamera Booleano, facoltativo. Se False, la fotocamera viene disabilitata
completamente e la relativa icona rimossa dalla schermata Home.
Gli utenti non potranno scattare fotografie.
allowExplicitContent Booleano, facoltativo. Se False, il contenuto video o musicale esplicito
acquistato da iTunes Store viene nascosto. Il contenuto esplicito è
contrassegnato come tale dal fornitore del contenuto, per esempio
etichette di registrazione, quando viene venduto tramite iTunes Store.
allowScreenShot Booleano, facoltativo. Se False, gli utenti non potranno registrare
un’istantanea dello schermo.
allowYouTube Booleano, facoltativo. Se False, l’applicazione YouTube viene disabi-
litata e la relativa icona rimossa dalla schermata Home.
allowiTunes Booleano, facoltativo. Se False, iTunes Music Store viene disabilitato
e la relativa icona rimossa dalla schermata Home. Gli utenti non
potranno effettuare anteprime, acquisti o download dei contenuti.
allowSafari Booleano, facoltativo. Se False, il browser web Safari viene disabilitato
e la relativa icona rimossa dalla schermata Home. Inoltre, questo
impedisce agli utenti di aprire i clip web.
76 Appendice B Formato dei profili di configurazione
Payload LDAP
Il payload LDAP è designato in base al valore PayloadType com.apple.ldap.account.
La relazione fra l’account LDAP e LDAPSearchSettings è del tipo one-to-many. Immagina
il LDAP come un albero. Ogni oggetto SearchSettings rappresenta un nodo dell’albero in
cui iniziare la ricerca e l’ambito in cui effettuare la ricerca (nodo, nodo+1 livello secondario, nodo + tutti i livelli secondari). Oltre alle impostazioni comuni a tutti i payload, questo definisce quanto segue:
Chiave Valore
LDAPAccountDescription Stringa, facoltativo. Descrizione dell’account.
LDAPAccountHostName Stringa, obbligatorio. L’host.
LDAPAccountUseSSL Booleano, obbligatorio. Se utilizzare o meno il protocollo SSL.
LDAPAccountUserName Stringa, facoltativo. Il nome utente.
LDAPAccountPassword Stringa, facoltativo. utilizza solo con profili codificati.
LDAPSearchSettings Oggetto contenitore di livello superiore. Puoi averne molti per un
account. Dovresti averne almeno uno per l’account perché sia utile.
LDAPSearchSettingDescription Stringa, facoltativo. Descrizione di questa impostazione di ricerca.
LDAPSearchSettingSearchBase Stringa, obbligatoria. Concettualmente, il percorso fino al nodo
per iniziare una ricerca in “ou=people,o=example corp”
LDAPSearchSettingScope Stringa, obbligatoria. Definisce la ricorsione da utilizzare nella ricerca.
Può essere uno dei 3 valori seguenti:
LDAPSearchSettingScopeBase: Il nodo a cui si dirige immediatamente
SearchBase
LDAPSearchSettingScopeOneLevel: Il nodo e il suo nodo seconda-
rio immediato.
LDAPSearchSettingScopeSubtree: Il nodo e tutti i suoi nodi secon-
dari, a prescindere dalla profondità.
Payload CalDAV
Il payload CalDAV è designato dal valore PayloadType com.apple.caldav.account.
Oltre alle impostazioni comuni a tutti i payload, questo definisce quanto segue:
Chiave Valore
CalDAVAccountDescription Stringa, facoltativo. Descrizione dell’account.
CalDAVHostName Stringa, obbligatorio. L’indirizzo del server
CalDAVUsername Stringa, obbligatorio. Il nome per il login dell’utente.
CalDAVPassword Stringa, facoltativo. La password dell’utente
CalDAVUseSSL Booleano, obbligatorio. Se utilizzare o meno il protocollo SSL.
CalDAVPort Numero, facoltativo. La porta su cui connettere al server.
CalDAVPrincipalURL Stringa, facoltativo. L’URL base che dirige al calendario dell’utente.
Appendice B Formato dei profili di configurazione 77
Payload sottoscrizione calendario
Il payload CalSub è designato dal valore PayloadType com.apple.subscribedcalendar.account. Oltre alle impostazioni comuni a tutti i payload, questo definisce
quanto segue:
Chiave Valore
SubCalAccountDescription Stringa, facoltativo. Descrizione dell’account.
SubCalAccountHostName Stringa, obbligatorio. L’indirizzo del server.
SubCalAccountUsername Stringa, facoltativo. Il nome per il login dell’utente
SubCalAccountPassword Stringa, facoltativo. La password dell’utente.
SubCalAccountUseSSL Booleano, obbligatorio. Se utilizzare o meno il protocollo SSL.
Payload SCEP
Il payload SCEP (Simple Certificate Enrollment Protocol) è designato in base al valore
PayloadType com.apple.encrypted-profile-service. Oltre alle impostazioni comuni a
tutti i payload, questo definisce quanto segue:
Chiave Valore
URL Stringa, obbligatorio.
Nome Stringa, facoltativa. Qualsiasi stringa che il server SCEP è in grado di
capire. Per esempio, potrebbe trattarsi di un nome dominio come
esempio.org. Se un’autorità di certificazione possiede diversi certificati CA, questo campo può essere utilizzato per identificare quello
richiesto.
Oggetto Array, facoltativo. La rappresentazione di un nome X.500 rappre-
sentata come una matrice di OID e valore. Per esempio, /C=US/
O=Apple Inc./CN=foo/1.2.5.3=bar, che si tradurrebbe come segue:
[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ]
Gli OID possono essere rappresentati come numeri separati da
punti, con abbreviazioni per C, L, ST, O, OU, CN (paese, località,
stato, società, unità amministrativa, nome comune).
Verifica Stringa, facoltativo. Una chiave pre-condivisa.
Dimensione chiave Numero, facoltativo. La dimensione della chiave in bit, 1024 o 2048.
Tipo chiave Stringa, facoltativo. Attualmente sempre “RSA”.
Utilizzo chiave Numero, facoltativo. Una maschera di bit che indica l’uso della
chiave. 1 è la firma, 4 è la codificazione, 5 è entrambe le cose.
Windows CA supporta solo la codificazione o la firma, ma non
entrambe le cose allo stesso tempo.
78 Appendice B Formato dei profili di configurazione
Chiavi del dizionario SubjectAltName
Il payload SCEP può specificare un dizionario SubjectAltName facoltativo che fornisce i
valori richiesti dalla CA per l’emissione di un certificato. Puoi specificare una sola stringa
o una matrice di stringhe per ogni chiave. I valori specificati dipendono dalla CA che stai
utilizzando, ma potrebbero includere valori di nome DNS, URL o e-mail. Per un esempio,
consulta “Esempio fase 3 risposta del server con specifiche SCEP” a pagina 86.
Chiavi del dizionario GetCACaps
Se aggiungi un dizionario con la chiave GetCACaps, il dispositivo utilizza le stringhe
che fornisci come sorgente vincolante di informazioni sulle funzionalità della tua CA.
In caso contrario, il dispositivo richiede la CA per GetCACaps e utilizza la risposta che
riceve. Se la CA non risponde, il dispositivo utilizza le impostazioni di default per le
richieste GET 3DES e SHA-1.
Payload APN
Il payload APN (Access Point Name) è designato in base al valore PayloadType di
com.apple.apn.managed. Oltre alle impostazioni comuni a tutti i payload, questo
definisce quanto segue:
Chiave Valore
DefaultsData Dizionario, obbligatorio. Contiene due coppie di chiave/valore.
DefaultsDomainName Stringa, obbligatorio. L’unico valore permesso è
com.apple.managedCarrier.
apns Array, obbligatorio. Contiene un numero arbitrario di dizionari,
ognuno dei quali descrive una configurazione APN, seguito dalle
coppie di chiavi/valori riportate di seguito.
apn Stringa, obbligatorio. Specifica il valore di Access Point Name.
username Stringa, obbligatorio. Specifica il valore del nome utente per
questo APN. Se mancante, il dispositivo lo richiede durante
l’installazione del profilo.
password Dati, facoltativo. Rappresentano la password dell’utente di
questo APN. Il valore è codificato per scopi di occultamento.
Se mancante nel payload, il dispositivo lo richiede durante
l’installazione del profilo.
proxy Stringa, facoltativo. L’indirizzo IP o l’URL del proxy APN.
proxyPort Numero, facoltativo. Il numero della porta del proxy APN.
Appendice B Formato dei profili di configurazione 79
Payload Exchange
Il payload Exchange è designato in base al valore PayloadType com.apple.eas.account.
Questo payload crea un account Microsoft Exchange sul dispositivo. Oltre alle impostazioni comuni a tutti i payload, questo definisce quanto segue:
Chiave Valore
EmailAddress Stringa, obbligatorio. Se assente nel payload, il dispositivo la
richiede durante l’installazione del profilo. Indica l’indirizzo
e-mail completo dell’account.
Host Stringa, obbligatorio. Specifica il nome host o l’indirizzo IP
del server Exchange.
SSL Booleano, facoltativo. Valore di default YES. Indica se il server
Exchange utilizza SSL per l’autenticazione.
username Stringa, obbligatorio. Specifica il nome utente per questo server
Exchange. Se mancante, i dispositivi lo richiedono durante
l’installazione.
Password Stringa, facoltativo. La password dell’account. utilizza solo
con profili codificati.
Certificato Facoltativo. Per gli account che consentono l’autenticazione tramite
certificato, a .p12 certificato di identità in formato blob NSData.
CertificateName Stringa, facoltativo. Specifica il nome o la descrizione del certificato.
CertificatePassword Facoltativo. La password necessaria per il certificato di identità
p12. utilizza solo con profili codificati.
Payload di VPN
l payload VPN è designato in base al valore di PayloadType di com.apple.vpn.managed.
Oltre alle impostazioni comuni a tutti i tipi di payload, il payload VPN definisce le seguenti
chiavi:
Chiave Valore
UserDefinedName Stringa. Descrizione della connessione VPN visualizzata sul
dispositivo.
OverridePrimary Booleano. Specifica se inviare tutto il traffico attraverso l’interfac-
cia VPN. Se True, tutto il traffico di network viene inviato su VPN.
VPNType Stringa. Determina le impostazioni disponibili nel payload per
questo tipo di connessione VPN. Può assumere i valori“L2TP”,
“PPTP” o “IPSec” che rappresentano rispettivamente L2TP, PPTP
e Cisco IPSec.
Sotto le chiavi “PPP” e “IPSec” sono presenti due possibili dizionari al livello superiore.
Le chiavi presenti in questi due dizionari sono descritte di seguito assieme al valore
VPNType sotto cui esse vengono usate.
80 Appendice B Formato dei profili di configurazione
Chiavi del dizionario PPP
Gli elementi che seguono riguardano i payload di VPN del tipo PPP.
Chiave Valore
AuthName Stringa. Nome utente dell’account VPN. Usato per L2TP e PPTP.
AuthPassword Stringa, facoltativo. Visibile solo se TokenCard è False. Usato
per L2TP e PPTP.
TokenCard Booleano. Indica se usare una token card per la connessione,
ad esempio una card RSA SecurID. Usato per L2TP.
CommRemoteAddress Stringa. Indirizzo IP o nome host di un server VPN. Usato per L2TP
e PPTP.
AuthEAPPlugins Array. Presente solo se viene utilizzato RSA SecurID; in questo
caso è presente una sola voce, una stringa con valore “EAP-RSA”.
Usato per L2TP e PPTP.
AuthProtocol Array. Presente solo se viene utilizzato RSA SecurID; in questo
caso è presente una sola voce, una stringa con valore “EAP”.
Usato per L2TP e PPTP.
CCPMPPE40Enabled Booleano. Vedi la discussione relativa a CCPEnabled. Usato per PPTP.
CCPMPPE128Enabled Booleano. Vedi la discussione relativa a CCPEnabled. Usato per PPTP.
CCPEnabled Booleano. Attiva la crittografia sulla connessione. Se questa
chiave e CCPMPPE40Enabled sono True, indica il livello di crittografia automatico; se questa chiave e CCPMPPE128Enabled sono
True, indica il livello di crittografia massimo. Se la crittografia non
viene utilizzata, nessuna delle chiavi CCP è True. Usato per PPTP.
Chiavi del dizionario IPSec
Gli elementi che seguono riguardano i payload di VPN del tipo IPSec.
Chiave Valore
RemoteAddress Stringa. Indirizzo IP o nome host del server VPN. Usato per
Cisco IPSec.
AuthenticationMethod Stringa. Può essere “SharedSecret” o “Certificate”. Usato per L2TP
e Cisco IPSec.
XAuthName Stringa. Nome utente per l’account VPN. Usato per Cisco IPSec.
XAuthEnabled Intero. 1 se XAUTH è ON, 0 se OFF. Usato per Cisco IPSec.
LocalIdentifier Stringa. Presente solo se AuthenticationMethod = SharedSecret.
Nome del gruppo da usare. Se viene impiegata l’autenticazione
ibrida, la stringa deve terminare con “[hybrid]”. Usato per Cisco IPSec.
LocalIdentifierType Stringa. Presente solo se AuthenticationMethod = SharedSecret.
Il valore è “KeyID”. Usato per L2TP e Cisco IPSec.
SharedSecret Dati. Chiave condivisa dell’account VPN. Presente solo se Authen-
ticationMethod = SharedSecret. Usato per L2TP e Cisco IPSec.
Appendice B Formato dei profili di configurazione 81
Chiave Valore
PayloadCertificateUUID Stringa. UUID del certificato da utilizzare per le credenziali
dell’account. Presente solo se AuthenticationMethod =
Certificate. Usato per Cisco IPSec.
PromptForVPNPIN Booleano. Indica se durante la connessione deve essere richiesto
un PIN. Usato per Cisco IPSec.
Payload Wi-Fi
Il payload Wi-Fi è designato in base al valore di PayloadType di com.apple.wifi.managed.
Questo descrive la versione 0 del valore PayloadVersion. Oltre alle impostazioni comuni a
tutti i tipi di payload, il payload definisce le seguenti chiavi:
Chiave Valore
SSID_STR Stringa. SSID del network Wi-Fi da utilizzare. Il nome di questa
chiave viene dichiarato come APPLE80211KEY_SSID_STR in
<Apple80211/Apple80211API.h>.
HIDDEN_NETWORK Booleano. Oltre a SSID, per differenziare i network il dispositivo
impiega informazioni quali tipo di broadcast e di crittografia. Di
default, si presuppone che tutti i network configurati siano di tipo
aperto o broadcast. Per specificare un network nascosto, è necessario includere un valore booleano per la chiave “HIDDEN_NETWORK”
o APPLE80211KEY_HIDDEN_NETWORK.
EncryptionType Stringa. I valori possibili per “EncryptionType” sono “WEP”, “WPA”
o “Any”. “WPA” corrisponde a WPA e WPA2 e si applica a entrambi
i tipi di crittografia. Verifica che questi valori corrispondano esattamente alle caratteristiche del punto di accesso al network. In
caso di dubbi sul tipo di crittografia o se desideri applicarlo a
tutti i tipi di crittografia, utilizza il valore “Any”.
Password Stringa, facoltativo. L’assenza di una password non impedisce
l’aggiunta del network all’elenco dei network noti. All’utente
viene richiesto di fornire la password durante la connessione
al network in questione.
Per network aziendali 802.1X, è necessario fornire il dizionario di configurazione client EAP.
82 Appendice B Formato dei profili di configurazione
Dizionario EAPClientConfiguration
Oltre ai tipi di codificazione standard, è possibile utilizzare la chiave “EAPClientConfiguration” per specificare un profilo aziendale per un network particolare. Questa chiave viene
dichiarata come kEAPOLControlEAPClientConfiguration in <EAP8021X/EAPOLControlTypes.h>. Se presente, il suo valore è un dizionario contenente le chiavi che seguono.
Chiave Valore
username Stringa, facoltativo. Questa proprietà appare nelle configura-
zioni importate solo se si conosce il nome utente esatto. Gli
utenti possono immettere queste informazioni al momento
dell’autenticazione.
AcceptEAPTypes Array di valori interi. Sono accettati i seguenti tipi EAP:
13 = TLS
17 = LEAP
21 = TTLS
25 = PEAP
43 = EAP-FAST
TLSTrustedCertificates Array di valori dati, facoltativo. Elenco di certificati attendibili per
questa autenticazione. Ogni elemento di dati contiene il modulo
.cer del certificato corrispondente.
Questa chiave permette di personalizzare l’elenco di certificati
previsti per un determinato network ed evita di dover chiedere
all’utente di impostare dinamicamente il trust su un certificato.
Il trust dinamico (finestra di dialogo certificato) è disattivato se
questa proprietà è specificata, tranne qualora sia specificata anche
TLSAllowTrustExceptions con il valore True (vedi più avanti).
TLSTrustedServerCommonNames Array di valori stringa, facoltativo. Elenco di nomi comuni dei certi-
ficati server che possono essere accettati. Per specificare il nome,
puoi utilizzare i caratteri jolly, per esempio wpa.*.esempio.com. I
server con certificati non presenti nell’elenco non saranno considerati attendibili.
Usata da sola o insieme a TLSTrustedCertificates, questa proprietà
consente di indicare precisamente quali certificati devono essere
considerati attendibili per il network specificato, evitando così
l’uso di certificati con trust dinamico.
Il trust dinamico (finestra di dialogo certificato) è disattivato se
questa proprietà è specificata, tranne qualora sia specificata anche
TLSAllowTrustExceptions con il valore True (vedi più avanti).
TLSAllowTrustExceptions Booleano, facoltativo. Abilita/disabilita una decisione di trust dina-
mico da parte dell’utente. Il trust dinamico è la finestra di dialogo
del certificato che appare quando questo non è considerato attendibile. In caso di False, l’autenticazione non riesce se il certificato
non è già stato considerato attendibile. Vedi TLSTrustedCertificates
e TLSTrustedServerCommonNames più indietro.
Il valore di default di questa proprietà è True, tranne se sono
forniti TLSTrustedCertificates o TLSTrustedServerCommonNames;
in questo caso il valore di default è False.
Appendice B Formato dei profili di configurazione 83
Chiave Valore
TTLSInnerAuthentication Stringa, facoltativo. Autenticazione interna usata dal modulo
TTLS. Valore di default “MSCHAPv2”.
I valori possibili sono “PAP”, “CHAP”, “MSCHAP” e “MSCHAPv2”.
OuterIdentity Stringa, facoltativo. Questa chiave riguarda solamente TTLS, PEAP
e EAP-FAST.
Consente di nascondere l’identità dell’utente. Il nome reale
dell’utente appare solo all’interno del tunnel codificato. Ad
esempio, può essere impostato su “anonimo”, “anon” o anche
“anon@miasocietà.net”.
Ciò consente di migliorare la protezione, poiché un eventuale
malintenzionato non è in grado di vedere il vero nome dell’utente
che esegue l’autenticazione.
Supporto di EAP-Fast
Il modulo EAP-FAST impiega le seguenti proprietà nel dizionario EAPClientConfiguration.
Chiave Valore
EAPFASTUsePAC Booleano, facoltativo.
EAPFASTProvisionPAC Booleano, facoltativo.
EAPFASTProvisionPACAnonymously Booleano, facoltativo.
Queste chiavi sono di natura gerarchica, pertanto se EAPFASTUsePAC è False, le altre
due non vengono consultate. Analogamente, se EAPFASTProvisionPAC è False, EAPFASTProvisionPACAnonymously non viene consultata.
Se EAPFASTUsePAC è False, l’autenticazione procede in modo simile a quanto avviene
per PEAP o TTLS e il server fornisce la propria identità ogni volta mediante un certificato.
Se EAPFASTUsePAC è Vero, viene utilizzato un PAC esistente (se disponibile). Attualmente,
l’unico modo per ottenere un PAC sul dispositivo consiste nell’abilitare la fornitura PAC.
A tal fine è necessario abilitare EAPFASTProvisionPAC e, se necessario, EAPFASTProvisionPACAnonymously. Dal punto di vista della protezione EAPFASTProvisionPACAnonymously
rappresenta un punto debole poiché non autentica il server, quindi le connessioni sono
vulnerabili a un attacco di tipo MITM (man-in-the-middle attack).
Certificati
Come avviene per le configurazioni di VPN, la configurazione dell’identità di un certificato
può essere associata a una configurazione Wi-Fi. Ciò è utile durante la definizione delle credenziali per un network aziendale protetto. Per associare un’identità, specificane il payload
UUID mediante la chiave “PayloadCertificateUUID”.
Chiave Valore
PayloadCertificateUUID Stringa. UUID del certificato da utilizzare per le credenziali
di identità.
84 Appendice B Formato dei profili di configurazione
Esempi di profili di configurazione
Questo paragrafo include esempi di profili che illustrano le fasi di registrazione e configurazione “over-the-air”. Si tratta di estratti e i requisiti potranno variare dagli esempi.
Per assistenza sulla sintassi, consulta le informazioni fornite precedentemente in questa appendice. Per la descrizione di ogni fase, consulta “Registrazione e configurazione
mediante tecnologia over the air” a pagina 22.
Esempio fase 1 risposta del server
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http://
www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<dict>
<key>URL</key>
<string>https://profileserver.example.com/iphone</string>
<key>DeviceAttributes</key>
<array>
<string>UDID</string>
<string>IMEI</string>
<string>ICCID</string>
<string>VERSION</string>
<string>PRODUCT</string>
</array>
<key>Challenge</key>
<string>optional challenge</string>
or
<data>base64-encoded</data>
</dict>
<key>PayloadOrganization</key>
<string>Example Inc.</string>
<key>PayloadDisplayName</key>
<string>Profile Service</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadUUID</key>
<string>fdb376e5-b5bb-4d8c-829e-e90865f990c9</string>
<key>PayloadIdentifier</key>
<string>com.example.mobileconfig.profile-service</string>
<key>PayloadDescription</key>
<string>Enter device into the Example Inc encrypted profile service</
string>
<key>PayloadType</key>
<string>Profile Service</string>
</dict>
</plist>
Appendice B Formato dei profili di configurazione 85
Esempio fase 2 risposta del dispositivo
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/
DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>UDID</key>
<string></string>
<key>VERSION</key>
<string>7A182</string>
<key>MAC_ADDRESS_EN0</key>
<string>00:00:00:00:00:00</string>
<key>Challenge</key>
either:
<string>String</string>
or:
<data>"base64 encoded data"</data>
</dict>
</plist>
Esempio fase 3 risposta del server con specifiche SCEP
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Inc//DTD PLIST 1.0//EN" "http://
www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<dict>
<key>URL</key>
<string>https://iphone.vpn.apple.com/pkifoobar.exe</string>
<key>Name</key>
<string>instance_for_getcacert_call</string>
<key>Subject</key>
<array>
<array>
<array>
<string>O</string>
<string>Apple Inc.</string>
</array>
</array>
<array>
<array>
<string>CN</string>
<string>Foo</string>
</array>
</array>
</array>
86 Appendice B Formato dei profili di configurazione
<key>SubjectAltName</key>
<dict>
<key>rfc822name</key>
<string>foo@example.org</string>
<key>dnsname</key>
<array>
<string>foo.example.org</string>
<string>foo-test.example.org</string>
</array>
<key>uniformresourceidentifier</key>
<string>http://foo.example.org/secret-lair/</string>
</dict>
<key>Challenge</key>
<string>CHALLENGE</string>
<key>Keysize</key>
<integer>1024</integer>
<key>Key Type</key>
<string>RSA</string>
<key>Key Usage</key>
<integer>5</integer>
</dict>
<key>PayloadDescription</key>
<string>Provides device encryption identity</string>
<key>PayloadUUID</key>
<string>fd8a6b9e-0fed-406f-9571-8ec98722b713</string>
<key>PayloadType</key>
<string>com.apple.security.scep</string>
<key>PayloadDisplayName</key>
<string>Identità di codificazione</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>PayloadOrganization</key>
<string>Apple Inc.</string>
<key>PayloadIdentifier</key>
<string>com.apple.encrypted-profile-service</string>
</dict>
</plist>
Appendice B Formato dei profili di configurazione 87
Esempio fase 4 risposta del dispositivo
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/
DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>UDID</key>
<string></string>
<key>VERSION</key>
<string>7A182</string>
<key>MAC_ADDRESS_EN0</key>
<string>00:00:00:00:00:00</string>
</dict>
</plist>
88 Appendice B Formato dei profili di configurazione
C Script campione
C
Questa appendice fornisce script campione per le attività
di diployment di iPhone.
Gli script di questo paragrafo dovrebbero essere modificati per adattarsi alle tue esigenze
e configurazioni.
Script campione C# per Utility Configurazione iPhone
Questo script campione mostra la creazione di documenti di configurazione utilizzando
Utility Configurazione iPhone per Windows.
using System;
using Com.Apple.iPCUScripting;
public class TestScript : IScript
{
private IApplication _host;
Appendice
public TestScript()
{
}
public void main(IApplication inHost)
{
_host = inHost;
string msg = string.Format("# of config profiles : {0}", _host.ConfigurationProfiles.Count);
Console.WriteLine(msg);
IConfigurationProfile profile = _host.AddConfigurationProfile();
profile.Name = "Profile Via Script";
profile.Identifier = "com.example.configviascript";
profile.Organization = "Example Org";
profile.Description = "This is a configuration profile created via the
new scripting feature in iPCU";
// passcode
IPasscodePayload passcodePayload = profile.AddPasscodePayload();
89
passcodePayload.PasscodeRequired = true;
passcodePayload.AllowSimple = true;
// restrictions
IRestrictionsPayload restrictionsPayload = profile.AddRestrictionsPayload();
restrictionsPayload.AllowYouTube = false;
// wi-fi
IWiFiPayload wifiPayload = profile.AddWiFiPayload();
wifiPayload.ServiceSetIdentifier = "Example Wi-Fi";
wifiPayload.EncryptionType = WirelessEncryptionType.WPA;
wifiPayload.Password = "password";
wifiPayload = profile.AddWiFiPayload();
profile.RemoveWiFiPayload(wifiPayload);
// vpn
IVPNPayload vpnPayload = profile.AddVPNPayload();
vpnPayload.ConnectionName = "Example VPN Connection";
vpnPayload = profile.AddVPNPayload();
profile.RemoveVPNPayload(vpnPayload);
// email
IEmailPayload emailPayload = profile.AddEmailPayload();
emailPayload.AccountDescription = "Email Account 1 Via Scripting";
emailPayload = profile.AddEmailPayload();
emailPayload.AccountDescription = "Email Account 2 Via Scripting";
// exchange
IExchangePayload exchangePayload = profile.AddExchangePayload();
exchangePayload.AccountName = "ExchangePayloadAccount";
// ldap
ILDAPPayload ldapPayload = profile.AddLDAPPayload();
ldapPayload.Description = "LDAP Account 1 Via Scripting";
ldapPayload = profile.AddLDAPPayload();
ldapPayload.Description = "LDAP Account 2 Via Scripting";
// ldap
IWebClipPayload wcPayload = profile.AddWebClipPayload();
wcPayload.Label = "Web Clip 1 Via Scripting";
wcPayload = profile.AddWebClipPayload();
wcPayload.Label = "Web Clip 2 Via Scripting";
}
}
90 Appendice C Script campione
Esempio AppleScript per Utility Configurazione iPhone
Questo script campione mostra la creazione di documenti di configurazione utilizzando
Utility Configurazione iPhone per Mac OS X.
tell application "iPhone Configuration Utility"
log (count of every configuration profile)
set theProfile to make new configuration profile with properties
{displayed name:"Profile Via Script", profile identifier:"com.example.configviascript", organization:"Example Org.", account description:"This is a configuration profile created via AppleScript"}
tell theProfile
make new passcode payload with properties {passcode required:true, simple value allowed:true}
make new restrictions payload with properties {YouTube allowed:false}
make new WiFi payload with properties {service set identifier:"Example
Wi-Fi", security type:WPA, password:"password"}
set theWiFiPayload to make new WiFi payload
delete theWiFiPayload
make new VPN payload with properties {connection name:"Example VPN Connection"}
set theVPNPayload to make new VPN payload
delete theVPNPayload
make new email payload with properties {account description:"Email
Account 1 Via Scripting"}
make new email payload with properties {account description:"Email
Account 2 Via Scripting"}
make new Exchange ActiveSync payload with properties {account
name:"ExchangePayloadAccount"}
make new LDAP payload with properties {account description:"LDAP
Account 1 Via Scripting"}
make new LDAP payload with properties {account description:"LDAP
Account 2 Via Scripting"}
make new web clip payload with properties {label:"Web Clip Account 1
Via Scripting"}
make new web clip payload with properties {label:"Web Clip Account 2
Via Scripting"}
end tell
end tell
Appendice C Script campione 91
Loading...