8/2/2019 iPad Para La Empresa
1/26
iPhone e iPad en la empresaEscenarios de implementacin
Octubre de 2011
Conoce cmo el iPhone y el iPad se integran perfectamente en los entornos
empresariales con estos escenarios de implementacin.
Microsoft Exchange ActiveSync
Servicios basados en estndares
Redes privadas virtuales
Wi-Fi
Certicados digitales
Descripcin de seguridad
Administracin de dispositivos mviles
8/2/2019 iPad Para La Empresa
2/26
Implementando iPhone e iPadExchange ActiveSync
iPhone e iPad se comunican directamente con tu Microsoft Exchange Server a travs de
Microsoft Exchange ActiveSync (EAS), lo que cual permite actualizar correos, calendarios,
contactos y tareas. Con Exchange ActiveSync, los usuarios tambin pueden acceder a
la lista global de direcciones (GAL), y los administradores, a las capacidades de borrado
remoto y ejecucin de polticas con contraseas. iOS es compatible con la autenticacinbsica y basada en certicados para Exchange ActiveSync. Si tu empresa es compatible
con Exchange ActiveSync, tienes los servicios necesarios para implementar el iPhone y
el iPad, sin necesidad de conguracin adicional. Si tienes Exchange Server 2003, 2007
2010, pero tu compaa es nueva en Exchange ActiveSync, consulta los pasos siguientes.
Conguracin de Exchange ActiveSync
Descripcin de la conguracin de red
Verica que el puerto 443 est abierto en el rewall. Si tu compaa permite el acceso
web a Outlook, posiblemente el puerto 443 ya est abierto.
En el servidor de front-end, verica que el certicado del servidor est instalado y
habilita SSL para el directorio virtual de Exchange ActiveSync en IIS. Si ests usando un servidor ISA (Internet Security and Acceleration) de Microsoft, verica
que haya instalado un certicado de servidor y actualiza el DNS pblico para resolver las
conexiones entrantes.
Asegrate que el DNS de tu red devuelve una nica direccin con ruta externa para el
servidor Exchange ActiveSync en clientes de intranet e Internet. Esto es necesario para
que el dispositivo pueda usar la misma direccin IP para comunicarse con el servidor
cuando ambos tipos de conexiones estn activas.
Si ests usando un servidor ISA de Microsoft, crea un web listener, as como una regla
de publicacin de acceso al cliente web de Exchange. Consulta la documentacin de
Microsoft para ver ms detalles.
Para todos los rewalls y dispositivos de red, dene el tiempo de espera de sesininactiva en 30 minutos. Para obtener informacin sobre los intervalos de latidos y
espera, consulta la documentacin de Microsoft Exchange en http://technet.microsoft.
com/es-mx/library/cc182270(en-us).aspx.
Congura las funciones mviles, las polticas y la conguracin del dispositivo de
seguridad con el administrador del sistema de Exchange. Para Exchange Server 2007 y
2010 puedes hacer esto en la consola de administracin de Exchange.
Descarga e instala la herramienta web de administracin mvil de Microsoft Exchange
ActiveSync, necesaria para iniciar un borrado remoto. Para Exchange Server 2007 y
2010, el borrado remoto tambin puede ser iniciado mediante Outlook Web Access o la
consola de administracin de Exchange.
Polticas de seguridad compatibles con
Exchange ActiveSync
Borrado remoto
Dispositivos con contrasea
Tamao mnimo de contrasea
Intentos mximos fallidos de ingreso de
contrasea (antes de Borrado local)
Solicitud de nmeros y letras
Tiempo de inactividad en minutos
(1 a 60 minutos)
Polticas adicionales de Exchange
ActiveSync (slo para Exchange 2007
y 2010)
Permitir o prohibir contraseas simples
Expiracin de contraseas
Historial de contraseas
Intervalo de renovacin de polticas
Nmero mnimo de caracteres complejos
en la contrasea
Activacin de la sincronizacin manual
durante la itinerancia
Activacin de la cmara
Activacin de la navegacin web
8/2/2019 iPad Para La Empresa
3/26
3
Autenticacin bsica (nombre de usuario y contrasea)
Habilita Exchange ActiveSync para los usuarios o grupos especcos que usan el
servicio Active Directory. Esto est habilitado de forma predeterminada en todos los
dispositivos mviles a nivel de la organizacin en Exchange Server 2003, 2007 y 2010.
Para Exchange Server 2007 y 2010, consulta la conguracin del destinatario en la
consola de administracin de Exchange.
Exchange ActiveSync est congurado de forma predeterminada para la autenticacin
bsica del usuario. Se recomienda que habilites SSL para la autenticacin bsica, lo
cual garantiza la encriptacin de las credenciales durante la autenticacin.
Autenticacin basada en certicados
Instala los servicios de certicados corporativos en un servidor miembro o controlador
de dominio en tu dominio (este ser tu servidor de autoridad de certicacin).
Congura IIS en tu servidor de front-end o servidor de acceso cliente de Exchange
para aceptar la autenticacin basada en certicados en el directorio virtual de
Exchange ActiveSync.
Para permitir o requerir certicados para todos los usuarios, deshabilita la Autenticacin
bsica y selecciona Aceptar certicados cliente o Requerir certicados cliente.
Genera certicados cliente usando tu servidor de autoridad de certicacin. Exporta
la clave pblica y congura IIS para usar esta clave. Exporta la clave privada y usa un
perl de conguracin para generar esta clave en el iPhone y el iPad. La autenticacin
basada en certicados slo puede ser congurada usando un perl de conguracin.
Para ms informacin sobre servicios de certicados, consulta los recursos disponibles
en Microsoft.
Otros servicios de Exchange ActiveSync
Bsqueda en la lista global de direcciones
Acepta y crea invitaciones del calendario
Sincroniza tareas
Marca mensajes de correo electrnico con
banderas
Sincroniza las banderas de Respuesta y
Envo con Exchange Server 2010
Bsqueda de Mail en Exchange Server
2007 y 2010
Soporte para varias cuentas de Exchange
ActiveSync
Autenticacin basada en certicados
Actualizacin de correos en carpetas
seleccionadas Identicacin automtica
8/2/2019 iPad Para La Empresa
4/26
El iPhone y el iPad solicitan acceso a los servicios de Exchange ActiveSync en el puerto 443 (HTTPS) (este es el mismo puerto usado por
Outlook Web Access y otros servicios web seguros, por lo que, en muchas implementaciones, este puerto ya est abierto y congurado para el
trco HTTPS encriptado en SSL).
ISA brinda acceso al servidor de front-end o de acceso cliente de Exchange. ISA est congurado como un proxy o, en muchos casos, como un
proxy inverso, para dirigir el trco a Exchange Server.
Exchange Server autentica al usuario entrante a travs del servicio Active Directory y el servidor de certicados (si emplea autenticacin basada
en certicados).
Si el usuario brinda las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor de front-end establece una
conexin a la casilla de correo apropiada en el servidor de back-end (a travs del catlogo global de Active Directory).
Se establece la conexin a Exchange ActiveSync. Las actualizaciones/cambios son empujados de forma inalmbrica, y cualquier cambio en el
iPhone y el iPhone se ve reejado en Exchange Server.
El envo de elementos de correo en iPhone tambin est sincronizado con Exchange Server va Exchange ActiveSync (paso 5). Para dirigir el
correo saliente a destinatarios externos, el correo suele ser enviado a travs de un Bridgehead (o Hub Transport) Server hacia un Mail Gateway
(o Edge Transport Server) externo va SMTP. Dependiendo de la conguracin de tu red, el Mail Gateway o Edge Transport Server externo puede
residir dentro de la red del permetro o fuera del rewall.
2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y M ac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en o tros pases. Otros nombres de productos y
compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo
informativo; Apple no asume responsabilidad relacionada con su uso. Octubre 2011 L419822B
Escenario de implementacin de Exchange ActiveSync
Este ejemplo muestra cmo el iPhone y el iPad se conectan a una implementacin normal de Microsoft Exchange Server 2003, 2007 2010.
Firewall Firewall
Servidor proxyInternet
Servidor de front-end o deacceso cliente de Exchange
Servidor de certicados
Directorio Activo
Clave privada (certicado)
Clave pblica(certicado)
*Dependiendo de la conguracin de tu red, el Mail Gateway o Edge Transport Server puede residir en la red del permetro (DMZ).
Exchange Mailbox oBack-End Server(s)
Mail Gateway oEdge Transport Server*
Perl de conguracin
Bridgehead oHub Transport Server
443
1
4
56
2
3
4
5
6
1
3
2
4
8/2/2019 iPad Para La Empresa
5/26
Implementando iPhone e iPadServicios basados en
estndares
Con soporte para protocolo de correo IMAP, servicios de directorio LDAP, y protocolos de
calendarios CalDAV y contactos CardDAV, el iOS puede ser integrado con casi todos los
entornos de correo, calendarios y contactos basados en estndares. Si tu entorno de red
est congurado para requerir autenticacin de usuario y SSL, el iPhone y el iPad ofrecen
un mtodo seguro para acceder al correo, los calendarios y los contactos corporativosbasados en estndares.
En una implementacin tpica, el iPhone y el iPad establecen el acceso directo a servidores
de correo IMAP y SMTP para recibir y enviar correos a travs del aire, y tambin puede
sincronizar notas inalmbricamente con servidores IMAP. Los dispositivos iOS se conectan
a los directorios LDAP v3 de tu compaa, para que los usuarios accedan a los contactos
corporativos en las aplicaciones Mail, Contactos y Mensajes. Con la sincronizacin con
el servidor CalDAV, los usuarios pueden crear y aceptar invitaciones de calendario,
recibir actualizaciones del calendario y sincronizar tareas con la app Recordatorios.
Con el soporte para CardDAV, los usuarios pueden mantener una serie de contactos
sincronizados con tu servidor CardDAV usando el formato vCard. Todos los servidores de
red pueden estar situados dentro de una subred DMZ, detrs de un rewall corporativo,
o en ambos. Con SSL, iOS es compatible con la encriptacin de 128 bits y los certicados
raz X.509 emitidos por las principales autoridades de certicacin.
Conguracin de red
Su administrador de TI o de red debe completar estos pasos clave para habilitar el acceso
desde el iPhone y el iPad a los servicios IMAP, LDAP, CalDAV y CardDAV:
Abrir los puertos adecuados en el rewall. Los puertos ms comunes son el 993 para el
correo IMAP, el 587 para el correo SMTP, el 636 para servicios de directorio LDAP, el 8443
para calendarios CalDAV y el 8843 para contactos CardDAV. Tambin, se recomienda que
la comunicacin entre tu servidor proxy y tus servidores IMAP, LDAP, CalDAV y CardDAV
de back-end sea congurada para utilizar SSL y que los certicados digitales en tus
servidores de red sean rmados por una autoridad certicadora de conanza, comoVeriSign. Este importante paso asegura que el iPhone y el iPad reconozcan el servidor
proxy como una entidad de conanza dentro de tu infraestructura corporativa.
Para correo SMTP saliente debe abrirse el puerto 587, 465 25 para permitir el envo de
correos electrnicos. El iPhone verica automticamente el puerto 587, luego el 465 y,
luego, el 25. El puerto 587 es el ms conable y seguro, ya que requiere autenticacin de
usuario. El puerto 25 no requiere autenticacin y algunos proveedores de servicios de
Internet bloquean este puerto de forma predeterminada para evitar el spam.
Puertos comunes IMAP/SSL: 993
SMTP/SSL: 587
LDAP/SSL: 636
CalDAV/SSL: 8443, 443
CardDAV/SSL: 8843, 443
Soluciones de correo IMAP o POP
iOS es compatible con los servidores de
correo IMAP4 y POP3 habituales en la
industria para una amplia gama de plata-
formas de servidores, como Windows,
UNIX, Linux y Mac OS X.
Estndares CalDAV y CardDAViOS es compatible con los protocolos de
calendarios CalDAV y contactos CardDAV.
Ambos protocolos han sido estandariza-
dos por el IETF. Encuentra ms infor-
macin a travs del consorcio CalConnect
en http://caldav.calconnect.org/ y http://
carddav.calconnect.org/.
8/2/2019 iPad Para La Empresa
6/26
Escenario de implementacin
Este ejemplo muestra cmo el iPhone y el iPad se conectan a una implementacin tpica de IMAP, LDAP, CalDAV y CardDAV.
2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y
compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo
informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419827B
El iPhone y el iPad solicitan acceso a los servicios de red sobre los puertos designados.
Dependiendo del servicio, los usuarios deben autenticar ya sea con el reverse proxy o directamente con el servidor para obtener
acceso a los datos corporativos. En todos los casos, las conexiones son transmitidas por el reverse proxy, que funciona como un
gateway seguro, por lo general detrs del rewall de Internet de la compaa. Una vez autenticado, el usuario puede acceder a
sus datos corporativos en los servidores de back-end.
El iPhone y el iPad ofrecen servicios de bsqueda en directorios LDAP, para que los usuarios puedan buscar contactos y otra
informacin de la libreta de direcciones en el servidor LDAP.
Para calendarios CalDAV, los usuarios pueden acceder y actualizar calendarios.
Los contactos de CardDAV son almacenados en el servidor y se puede acceder a ellos localmente desde el iPhone y el iPad. Los
cambios en los campos de contactos de CardDAV vuelven a ser sincronizados con el servidor de CardDAV.
Para los servicios de correo IMAP, los mensajes nuevos y actuales pueden ser ledos en el iPhone y el iPad a travs de la conexin
proxy con el servidor de correo. El correo saliente en el iPhone es enviado al servidor SMTP, con copias en la carpeta Enviados
del usuario.
1
2
3
4
5
6
Firewall Firewall
Servidor reverse proxy
Internet
Servidor de Mail
Servidor de directorioLDAP
3
6
Servidor de CalDAV
Servidor de CardDAV
2
4
5
1
636(LDAP)
8843(CardDAV)
993 (IMAP)587 (SMTP)
8443(CalDAV)
6
8/2/2019 iPad Para La Empresa
7/26
Implementando iPhone e iPadRedes privadas virtuales
El acceso seguro a redes privadas corporativas est disponible en el iPhone y el iPad
mediante los protocolos VPN establecidos, habituales en la industria. Los usuarios pueden
conectarse fcilmente a los sistemas empresariales a travs del cliente VPN integrado en
iOS o mediante aplicaciones de Juniper, Cisco y F5 Networks.
Apenas lo sacas de la caja, iOS es compatible con Cisco IPSec, L2TP over IPSec y PPTP. Si tu
organizacin emplea alguno de estos protocolos, no necesitas otra conguracin de red o
aplicaciones de terceros para conectar el iPhone y el iPad a tu VPN.
Adems, iOS es compatible con VPN SSL, que permite el acceso a los servidores de VPN SSL
de Juniper SA Series, Cisco ASA y F5 BIG-IP Edge Gateway. Para empezar, los usuarios slo
tienen que descargar una aplicacin de cliente VPN desarrollada por Juniper, Cisco o F5
desde el App Store. Al igual que otros protocolos VPN compatibles con iOS, SSL VPN puede
ser congurado manualmente en el dispositivo o por medio de un perl de conguracin.
iOS es compatible con las tecnologas estndar en la industria, tales como IPv6, servidores
proxy y split-tunneling, proporcionando una rica experiencia de VPN para conectarse a
redes corporativas. Adems, iOS funciona con varios mtodos de autenticacin, incluyendo
contraseas, tokens de dos factores y certicados digitales. Para mejorar la conexin en
entornos que utilizan la autenticacin basada en certicados, iOS incluye VPN On Demand,
que inicia dinmicamente una sesin de VPN para conectarse a dominios especcos.
Protocolos y mtodos de autenticacin compatibles
SSL VPN
Es compatible con la autenticacin de usuarios mediante contraseas, tokens de dos
factores y certicados.
Cisco IPSec
Es compatible con la autenticacin de usuarios mediante contraseas, tokens de dos
factores y autenticacin de mquinas por certicados y secreto compartido.
L2TP over IPSecEs compatible con la autenticacin de usuarios mediante contrasea MS-CHAP v2, tokens
de dos factores y autenticacin de mquinas por secreto compartido.
PPTP
Es compatible con la autenticacin de usuarios mediante contrasea MS-CHAP v2 y
tokens de dos factores.
8/2/2019 iPad Para La Empresa
8/26
8
VPN On Demand
Para las conguraciones con autenticacin basada en certicados, iOS es compatible
con VPN On Demand, que establecer una conexin automticamente cuando
se acceda a los dominios predenidos, ofreciendo una excelente experiencia de
conectividad VPN para los usuarios.
Esta es una funcionalidad de iOS que no requiere otra conguracin del servidor.
La conguracin de VPN On Demand se lleva a cabo a travs de un perl de
conguracin o puede ser congurada manualmente en el dispositivo.
Las opciones de VPN On Demand son:
Siempre
Inicia una conexin de VPN para cualquier direccin que coincide con el dominio
especicado.
Nunca
No inicia una conexin de VPN para direcciones que coinciden con el dominio
especicado, pero si la VPN ya est activa, puede ser usada.
Establecer si es necesario
Inicia una conexin de VPN para direcciones que coinciden con el dominio
especicado slo luego de que ha fallado una bsqueda DNS.
Conguracin de VPN
iOS se integra con varias de las actuales redes VPN con una conguracin mnima
necesaria. La mejor manera de preparar la implementacin es comprobar si iOS es
compatible con los protocolos VPN y los mtodos de autenticacin de tu compaa.
Se recomienda que revises la ruta de autenticacin en tu servidor de autenticacin
para garantizar que los estndares compatibles con iOS estn habilitados en tu
implementacin.
Si piensas utilizar la autenticacin basada en certicados, asegrate de tener la
infraestructura de clave pblica congurada para ser compatible con certicados
basados en dispositivos y usuarios, con el correspondiente proceso de distribucin de
claves.
Si deseas congurar los ajustes de proxy especcos para la URL, coloca un archivo PAC
en un servidor web que sea accesible con la conguracin bsica de VPN y asegrate
que se encuentra alojado con el tipo application/x-ns-proxy-autocong MIME.
Conguracin de proxy
Para todas las conguraciones tambin puedes especicar un proxy VPN. Para
congurar un proxy nico para todas las conexiones, usa la conguracin manual e
ingresa la direccin, el puerto y la autenticacin, si es necesario. Para congurar el
dispositivo con un archivo de conguracin de proxy automtico que utiliza PAC o
WPAD, emplea el ajuste automtico. Para PACS, especica la URL del archivo PACS. Para
WPAD, el iPhone y el iPad consultarn DHCP y DNS para la conguracin adecuada.
8/2/2019 iPad Para La Empresa
9/26
9
1
2
3
4
5
6
Firewall Firewall
Servidor/concentrador de VPN
Internet pblica
Red privada
Certicado o tokende autenticacin
Servidor proxy
Servidor de autenticacin de VPNGeneracin de token o autenticacin de certifcado
1 4
3a 3b
2
5
Servicio dedirectorio
2011 Apple Inc. Todos los derechos reser vados. Apple, el logo Apple, iPhone, iPad y Ma c OS son ma rcas comerciales de Apple Inc., registradas en los EE.UU. y en otros p ases. Otros nombres de produc-
tos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto
solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419828B
Escenario de implementacin
El ejemplo muestra una implementacin habitual con un servidor/concentrador de VPN y con un servidor de autenticacin que
controla el acceso a los servicios de red empresariales.
El iPhone y el iPad solicitan acceso a los servicios de red.
El servidor/concentrador de VPN recibe la solicitud y la transere al servidor de autenticacin.
En un entorno de token de dos factores, el servidor de autenticacin administrar la generacin de claves de token sincronizada con el servidor
de claves. Si se implementa un mtodo de autenticacin de certicados es necesario distribuir un certicado de identidad al iPhone antes de la
autenticacin. Si se implementa un mtodo de contraseas el proceso de autenticacin contina con la validacin del usuario.
Una vez que el usuario es autenticado, el servidor de autenticacin valida las polticas del usuario y el grupo.
Luego de validar las polticas del usuario y del grupo, el servidor de VPN brinda acceso encapsulado y encriptado a los servicios de red.
Si se usa un servidor de proxy, el iPhone y el iPad se conectan a travs del servidor de proxy para acceder a la informacin fuera del rewall.
8/2/2019 iPad Para La Empresa
10/26
Implementando iPhone e iPadWi-Fi
Protocolos de seguridad inalmbrica
WEP
WPA Personal
WPA Enterprise
WPA2 Personal
WPA2 Enterprise
Mtodos de autenticacin 802.1X
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
PEAPv0 (EAP-MS-CHAP v2)
PEAPv1 (EAP-GTC)
LEAP
Apenas los sacas de la caja, el iPhone y el iPad se pueden conectar de forma segura a
redes Wi-Fi corporativas o invitadas, por lo que unirse a redes inalmbricas disponibles
es muy rpido y simple, tanto si ests en el campus o de viaje.
iOS es compatible con los protocolos habituales de redes inalmbricas, como WPA2
Enterprise, asegurando que las redes inalmbricas corporativas puedan ser conguradas
rpidamente y sean de acceso seguro. WPA2 Enterprise emplea encriptacin AES de 128
bits, un mtodo comprobado y basado en bloques que proporciona a los usuarios el
mayor nivel de seguridad para sus datos.
Con soporte para 802.1X, iOS puede ser integrado a una amplia gama de entornos de
autenticacin RADIUS. Los mtodos de autenticacin inalmbrica 802.1X compatibles con
el iPhone y el iPad son EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 y LEAP.
Es posible acceder rpidamente a las redes Wi-Fi que requieren credenciales de
acceso u otra informacin, sin necesidad de abrir una sesin del navegador, desde la
conguracin de Wi-Fi o en aplicaciones tales como Mail. Adems, con la conectividad
Wi-Fi persistente y de bajo consumo de energa, las aplicaciones pueden emplear redes
Wi-Fi para distribuir noticaciones push.
Para una rpida instalacin e implementacin, los ajustes de red inalmbrica, seguridad,
proxy y autenticacin pueden ser congurados a travs de Perles de Conguracin.
Conguracin de WPA2 Enterprise
Verica la compatibilidad de los dispositivos de red y selecciona un tipo de autenticacin
(tipo EAP) compatible con iOS.
Verica que 802.1X est habilitado en el servidor de autenticacin y, si es necesario, instala
un certicado de servidor y asigna permisos de acceso a la red para usuarios y grupos.
Congura puntos de acceso inalmbrico para la autenticacin de 802.1X e ingresa la
informacin correspondiente del servidor RADIUS.
Si planeas usar la autenticacin basada en certicados, congura tu infraestructura
de claves pblicas para emplear certicados basados en dispositivos y usuarios con el
correspondiente proceso de distribucin de claves.
Verica el formato de los certicados y la compatibilidad del servidor de autenticacin. iOS
es compatible con PKCS#1 (.cer, .crt, .der) y PKCS#12.
Para ver ms documentacin sobre los estndares de redes inalmbricas y el Acceso
Protegido Wi-Fi (WPA), visita www.wi-.org.
8/2/2019 iPad Para La Empresa
11/26
Escenario de implementacin de WPA2 Enterprise/802.1XEste ejemplo muestra una implementacin habitual de red inalmbrica segura con autenticacin basada en RADIUS.
El iPhone y el iPad solicitan acceso a la red. El iPhone inicia la conexin en respuesta a un usuario que selecciona una redinalmbrica disponible, o inicia automticamente una conexin luego de detectar una red congurada previamente.
Una vez que el punto de acceso recibe la solicitud, la misma es enviada al servidor RADIUS para su autenticacin.
El servidor RADIUS valida la cuenta del usuario mediante el servicio de directorio.
Una vez que el usuario es autenticado, el punto de acceso brinda acceso a red con las polticas y permisos establecidos por el
servidor RADIUS.
2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y
compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo
informat ivo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419830B
1
2
3
4
Punto de accesoinalmbrico
con soporte para 802.1x
Servicios de directorio
Servicios de red
Servidor de autenticacin consoporte para 802.1x (RADIUS)
Certicado ocontrasea basado en
Tipo EAP
1
2
3
4
Firewall
11
8/2/2019 iPad Para La Empresa
12/26
8/2/2019 iPad Para La Empresa
13/26
2011 Apple Inc. Todos los derechos reser vados. Apple, el logo Apple, iPhone, iPad y Ma c OS son marcas comerciales de Apple
Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas
registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a cambios sin previo aviso. Este material
ese provisto solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419821B
Distribucin e instalacin de certicados
Distribuir certicados para iPhone e iPad es muy simple. Cuando se recibe un certicado,
los usuarios slo deben tocar para revisar el contenido y volver a tocar para aadir el
certicado a su dispositivo. Cuando se instala un certicado de identidad, los usuarios
deben ingresar la contrasea que lo protege. Si la autenticidad de un certicadono puede ser vericada, los usuarios vern una advertencia antes de aadirlo a su
dispositivo.
Instalacin de certicados mediante perles de conguracin
Si se usan perles de conguracin para distribuir conguraciones de servicios
corporativos, tales como Exchange, VPN o Wi-Fi, se pueden aadir certicados al perl
para simplicar la implementacin.
Instalacin de certicados mediante Mail o Safari
Si se enva un certicado por correo electrnico, aparecer como un archivo adjunto. Es
posible usar Safari para descargar certicados desde una pgina web. Puedes alojar un
certicado en un sitio web seguro y brindar a los usuarios una URL donde descargar el
certicado en sus dispositivos.
Instalacin mediante SCEP (Simple Certicate Enrollment Protocol)
SCEP est diseado para brindar un proceso simplicado que permita manejar la
distribucin de certicados para implementaciones a gran escala. Esto permite el registro
a travs del aire de certicados digitales en el iPhone y el iPad, que pueden ser usados
para la autenticacin de servicios corporativos, as como para el registro con un servidor
de administracin de dispositivos mviles.
Para ms informacin sobre SCEP y Over-the-Air Enrollment, visita www.apple.com/mx/
iphone/business/resources (Mxico) o www.apple.com/la/iphone/business/resources
(resto de Amrica Latina).
Eliminacin y revocacin de certicados
Para eliminar manualmente un certicado que ha sido instalado, selecciona Ajustes >
General > Perles. Si eliminas un certicado requerido para el acceso a una cuenta o red,
el dispositivo ya no podr conectarse a esos servicios.
Para eliminar certicados a travs del aire, se puede usar un servidor de administracin
de dispositivos mviles. Este servidor puede ver todos los certicados en un dispositivo y
eliminar los instalados.
Adems, el protocolo OCSP (Online Certicate Status Protocol) permite comprobar el
estado de los certicados. Cuando se utiliza un certicado compatible con OCSP, iOS lo
valida para garantizar que no ha sido revocado antes de completar la tarea solicitada.
13
8/2/2019 iPad Para La Empresa
14/26
Implementando iPhone e iPadDescripcin de seguridad
iOS, el sistema operativo del iPhone y el iPad, est basado en capas de seguridad.
A travs de l, el iPhone y el iPad pueden acceder de forma segura a los servicios
corporativos y proteger datos importantes. iOS ofrece encriptacin slida para los datos
en transmisin, mtodos comprobados de autenticacin para acceso a los servicios
corporativos, y encriptacin de hardware para todos los datos en reposo. iOS tambin
brinda proteccin segura a travs del uso de polticas de contrasea que pueden ser
distribuidas y ejecutadas a travs del aire. Adems, si el dispositivo cae en las manosequivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado
remoto para eliminar la informacin privada.
Al considerar la seguridad de iOS para uso empresarial, es til conocer lo siguiente:
Seguridad del dispositivo: mtodos que previenen el uso no autorizado del dispositivo
Seguridad de datos: proteccin de los datos en reposo, incluso si el dispositivo est roto o perdido
Seguridad de la red: protocolos de red y encriptacin de datos en transmisin
Seguridad de apps: base segura para plataformas en iOS
Estas capacidades trabajan en conjunto para brindar una plataforma segura de
informtica mvil.
Seguridad del dispositivoEl establecimiento de polticas slidas para acceder al iPhone y al iPad es fundamental
para proteger la informacin corporativa. Las contraseas de dispositivos son la primera
lnea de defensa contra el acceso no autorizado, y pueden ser conguradas y aplicadas de
forma inalmbrica. Los dispositivos iOS usan la contrasea establecida por cada usuario
para generar una clave de encriptacin fuerte que protege an ms el correo y los datos
sensibles de las aplicaciones en el dispositivo. Adems, iOS brinda mtodos seguros para
congurar el dispositivo en un entorno empresarial con ajustes, polticas y restricciones
especcas. Estos mtodos ofrecen opciones exibles para el establecimiento de un nivel
estndar de proteccin para usuarios autorizados.
Polticas de contraseas
Una contrasea en el dispositivo evita que los usuarios no autorizados accedan a los datos
u obtengan acceso a ese dispositivo. iOS te permite seleccionar entre un amplio conjunto
de requisitos de contraseas para atender tus necesidades de seguridad, como perodos de
tiempo de espera, fuerza de la contrasea y frecuencia de modicacin de la contrasea.
Son compatibles las siguientes polticas de contraseas:
Solicitud de contrasea
Permiso de valor simple
Solicitud de valor alfanumrico
Extensin mnima de contrasea
Nmero mnimo de caracteres complejos
Perodo mximo de contrasea
Bloqueo automtico
Historial de contraseas
Perodo de gracia para bloqueo del dispositivo
Nmero mximo de intentos fallidos
Seguridad del dispositivo
Contraseas fuertes
Expiracin de la contrasea
Historial de reutilizacin de la contrasea
Mximo de intentos fallidos
Ejecucin inalmbrica de contraseas
Interrupcin progresiva de la contrasea
8/2/2019 iPad Para La Empresa
15/26
Ejecucin de polticas
Las polticas descritas pueden aplicarse al iPhone y al iPad de diversas maneras. Las
polticas pueden ser distribuidas como parte de un perl de conguracin a instalar.
Un perl puede ser denido para que slo sea posible borrarlo con una contrasea de
administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por
completo todos los contenidos del dispositivo. Adems, los ajustes de contraseas puedenser congurados de forma remota usando soluciones de administracin de dispositivos
mviles que pueden aplicar las polticas directamente al dispositivo. Esto permite que las
polticas sean aplicadas y actualizadas sin interaccin por parte del usuario.
Alternativamente, si el dispositivo est congurado para acceder a una cuenta de
Microsoft Exchange, las polticas de Exchange ActiveSync son aplicadas de forma
inalmbrica en el dispositivo. Ten en cuenta que el conjunto disponible de polticas
puede variar dependiendo de la versin de Exchange (2003, 2007 2010). Consulta la
gua de Exchange ActiveSync y dispositivos iOS para ver un detalle de las polticas para
tu conguracin especca.
Conguracin segura de dispositivos
Los perles de conguracin son archivos XML que contienen polticas de seguridad y
restricciones, informacin de conguracin de la VPN, ajustes de Wi-Fi, cuentas de correoy calendario, y credenciales de autenticacin para que el iPhone y el iPad funcionen
con los sistemas de tu empresa. La capacidad de establecer polticas de contraseas,
junto con los ajustes del dispositivo en un perl de conguracin, asegura que los
dispositivos dentro de tu empresa estn congurados correctamente y de acuerdo con
las normas de seguridad establecidas por tu organizacin. Adems, ya que los perles
de conguracin pueden ser encriptados y bloqueados, los ajustes no pueden ser
removidos, alterados o compartidos con otros.
Los perles de conguracin pueden ser rmados y encriptados. La rma de un perl
de conguracin asegura que los ajustes no pueden ser alterados. La encriptacin de un
perl de conguracin protege los contenidos del perl y slo lo instala en el dispositivo
para el cual fue creado. Los perles de conguracin son encriptados usando CMS
(Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128.
La primera vez que distribuyes un perl de conguracin encriptado, lo instalas a travsde sincronizacin por USB usando la herramienta de utilidad de conguracin o de forma
inalmbrica a travs de Over-the-Air Enrollment. Adems de estos mtodos, la distribucin
posterior de perles de conguracin encriptados puede ser realizada como adjuntos de
correo electrnico, alojados en un sitio web accesible para los usuarios, o empujados al
dispositivo a travs de soluciones de administracin de dispositivos mviles.
Restricciones para dispositivos
Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios
pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la
red, como Safari, YouTube o el iTunes Store, pero las restricciones tambin pueden
controlar funcionalidades como la instalacin de aplicaciones o el uso de la cmara.
Las restricciones para dispositivos te permiten congurar el dispositivo segn tus
necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente
con las prcticas de tu negocio. Las restricciones pueden ser conguradas manualmenteen cada dispositivo, aplicadas con un perl de conguracin o establecidas de
forma remota con soluciones de administracin de dispositivos mviles. Adems, las
restricciones para la cmara y la navegacin web pueden aplicarse de forma inalmbrica
a travs de Microsoft Exchange Server 2007 y 2010.
Adems de establecer restricciones y polticas en el dispositivo, la aplicacin iTunes
puede ser congurada y controlada por el rea de TI. Esto incluye deshabilitar el acceso
al contenido explcito, denir qu usuarios de servicios de red pueden acceder dentro de
iTunes, y si hay nuevas actualizaciones de software para instalar. Para ms informacin,
consulta Implementar iTunes en dispositivos iOS.
Polticas y restricciones congurables
compatibles:
Funcionalidad de dispositivos
Instalacin de apps
Uso de la cmara
Uso de FaceTime
Captura de pantalla
Sincronizacin automtica durante la itinerancia
Uso del marcado por voz
Compras dentro de apps
Solicitud de la contrasea de la tienda para
todas las compras
Juegos multijugadores
Agregado de amigos a Game Center
Aplicaciones Uso de YouTube
Uso de iTunes Store
Uso de Safari
Conguracin de las preferencias de seguridad
de Safari
iCloud
Copias de seguridad
Sincronizacin de documentos y sincronizacin
de valores clave
Uso de Fotos en streaming
Seguridad y privacidad
Envo de datos de diagnstico a Apple
Aceptacin de certicados no conables porparte del usuario
Ejecucin de copias de seguridad encriptadas
Califcaciones de contenido
Habilitacin de msica y podcasts explcitos
Denicin de regiones de calicaciones
Denicin de calicaciones de contenidos
permitidos
15
8/2/2019 iPad Para La Empresa
16/26
Seguridad de los datos
Proteger los datos almacenados en el iPhone y el iPad es importante para cualquier
entorno con un alto nivel de informacin condencial corporativa o del cliente. Adems
de encriptar datos en la transmisin, el iPhone y el iPad permiten la encriptacin de
hardware para los datos almacenados en el dispositivo, y la encriptacin adicional dedatos de correos y aplicaciones con una mejor proteccin de datos.
Si un dispositivo se pierde o es robado es importante desactivar y borrar el dispositivo.
Tambin, es una buena idea tener una poltica que borre el dispositivo despus de un
nmero denido de intentos fallidos de ingreso de la contrasea, un impedimento
clave contra los intentos de obtener acceso no autorizado al dispositivo.
Encriptacin
El iPhone y el iPad ofrecen encriptacin basada en el hardware. La encriptacin
de hardware usa codicacin AES de 256 bits para proteger todos los datos en el
dispositivo. La encriptacin est siempre activa y no puede ser deshabilitada por los
usuarios.
Adems, es posible encriptar los datos de las copias de seguridad de iTunes en la
computadora de un usuario. Esto puede ser activado por el usuario o ejecutado
mediante los ajustes de las restricciones del dispositivo en los perles de conguracin.
iOS es compatible con S/MIME en el correo, lo que permite al iPhone y al iPad ver y
enviar mensajes de correo electrnico encriptados. Las restricciones tambin pueden
ser usadas para evitar que los mensajes de correo sean movidos entre cuentas o los
mensajes recibidos en una cuenta sean reenviados desde otra.
Proteccin de datos
Gracias a las capacidades de encriptacin de hardware del iPhone y el iPad, los
mensajes y adjuntos de correo electrnico almacenados en el dispositivo pueden ser
protegidos con las funcionalidades de proteccin de datos de iOS. La proteccin de
datos usa la contrasea de dispositivo de cada usuario, junto con la encriptacin dehardware en el iPhone y el iPad, para generar una slida clave de encriptacin. Esta
clave evita el acceso a los datos cuando el dispositivo est bloqueado, garantizando
que la informacin crtica est protegida incluso si el dispositivo se ve comprometido.
Para activar la funcionalidad de proteccin de datos, slo tienes que establecer
una contrasea en el dispositivo. La efectividad de la proteccin de datos depende
de una contrasea fuerte, por lo que es importante exigir e implementar una
contrasea mayor a cuatro dgitos a la hora de establecer sus polticas de contrasea
corporativas. Los usuarios pueden vericar que la proteccin de datos est habilitada
en tu dispositivo mirando la pantalla de ajustes de la contrasea. Las soluciones de
administracin de dispositivos mviles tambin pueden consultar el dispositivo para
obtener esta informacin. Estas API de proteccin de datos tambin estn disponibles
para desarrolladores, y pueden ser usadas para proteger los datos de aplicaciones
internas o comerciales en la empresa.
Borrado remoto
iOS permite el borrado remoto. Si un dispositivo se pierde o es robado, el
administrador o dueo del dispositivo puede iniciar un comando de borrado remoto
que elimina todos los datos y desactiva el dispositivo. Si el dispositivo est congurado
con una cuenta de Exchange, el administrador puede iniciar un comando de borrado
remoto con la consola de administracin de Exchange (Exchange Server 2007) o la
herramienta web de administracin mvil de Exchange ActiveSync (Exchange Server
2003 2007). Los usuarios de Exchange Server 2007 tambin pueden iniciar comandos
de borrado remoto directamente a travs de Outlook Web Access. Los comandos de
borrado remoto tambin pueden ser iniciados por las soluciones de administracin de
dispositivos mviles, incluso si los servicios corporativos de Exchange no estn en uso.
Intervalo progresivo de contrasea
El iPhone y el iPad pueden ser congurados
para iniciar automticamente un borrado
despus de varios intentos fallidos de ingreso
de la contrasea. Si un usuario ingresa varias
veces la contrasea incorrecta, iOS se inhabili-
tar por intervalos cada vez ms largos. Luego
de muchos intentos fallidos, se borrarn todos
los datos y ajustes del dispositivo.
Seguridad de los datos
Encriptacin de hardware
Proteccin de datos
Borrado remoto
Borrado local
Perles de conguracin encriptados
Copias de seguridad de iTunes encriptadas
16
8/2/2019 iPad Para La Empresa
17/26
Protocolos de VPN
Cisco IPSec
L2TP/IPSec
PPTP
VPN SSL
Mtodos de autenticacin
Contrasea (MSCHAPv2)
RSA SecurID
CRYPTOCard
Certicados digitales x.509
Secreto compartido
Protocolos de autenticacin 802.1x
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
PEAP v0, v1
LEAP
Formatos de certicados compatibles
iOS es compatible con los certicados X.509
con claves RSA. Se reconocen las extensiones
de archivos .cer, .crt y .der.
Borrado local
Los dispositivos tambin pueden ser congurados para iniciar automticamente un
borrado local despus de varios intentos fallidos de ingreso de la contrasea. Esto protege
contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una
contrasea, los usuarios pueden habilitar el borrado local directamente desde los ajustes.
Por defecto, iOS borrar automticamente el dispositivo luego de 10 intentos fallidos.Al igual que con otras polticas de contrasea, el nmero mximo de intentos fallidos
es establecido a travs de un perl de conguracin, un servidor de administracin
de dispositivos mviles o, de forma inalmbrica, con polticas de Microsoft Exchange
ActiveSync.
iCloud
iCloud almacena msica, fotos, apps, calendarios, documentos y mucho ms, y los actualiza
automticamente en todos los dispositivos del usuario. iCloud tambin hace copias de
seguridad de la informacin, como ajustes del dispositivo, datos de apps, y mensajes
de texto y MMS, todos los das a travs de Wi-Fi. iCloud protege tu contenido, ya que lo
encripta cuando se enva por Internet, lo almacena en un formato cifrado y usa tokens de
seguridad para la autenticacin. Adems, las funcionalidades de iCloud, como Fotos en
streaming, sincronizacin de documentos y copias de seguridad, pueden ser deshabilitadasmediante un perl de conguracin. Para ms informacin sobre la seguridad y privacidad
de iCloud, visita http://support.apple.com/kb/HT4865?viewlocale=es_ES.
Seguridad de red
Los usuarios mviles deben poder acceder a las redes de informacin corporativa desde
cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios
estn autorizados y que sus datos estn protegidos durante la transmisin. iOS ofrece
tecnologas comprobadas para lograr estos objetivos de seguridad, tanto para conexiones
Wi-Fi como de redes celulares.
Adems de la infraestructura existente, cada sesin de FaceTime y la conversacin
de iMessage es encriptada de punta a punta. iOS crea un ID nico para cada usuario,
asegurando que las comunicaciones estn encriptadas, dirigidas y conectadas
correctamente.
VPN
Muchos entornos empresariales tienen algn tipo de red privada virtual (VPN) establecida.
Estos servicios de redes seguras ya estn implementados y, por lo general, requieren una
conguracin mnima para funcionar con el iPhone y el iPad.
Apenas lo sacas de la caja, iOS se integra con una amplia gama de tecnologas VPN usadas
habitualmente a travs del soporte de Cisco IPSec, L2TP y PPTP. iOS es compatible con
SSL VPN a travs de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos
protocolos garantiza el ms alto nivel de encriptacin basada en IP para la transmisin
de informacin sensible. Adems de permitir el acceso seguro a los entornos de VPN,
iOS ofrece mtodos comprobados para la autenticacin del usuario. Con la autenticacin
a travs de certicados digitales x.509 estndar, los usuarios pueden acceder mejor alos recursos de la compaa y es una alternativa viable al uso de tokens basados en el
hardware. Adems, con la autenticacin de certicados, iOS puede usar VPN On Demand,
para que el proceso de autenticacin de VPN sea transparente, mientras brinda fuertes
credenciales de acceso a los servicios de red. Para entornos empresariales que requieren
un token de dos factores, iOS se integra con RSA SecurID y CRYPTOCard.
iOS es compatible con la conguracin proxy de red, as como con la divisin de tunneling
IP, para que el trco a los dominios de redes pblicas o privadas sea transmitido de
acuerdo con las polticas especcas de tu compaa.
Seguridad de red
Cisco IPSec, L2TP, PPTP VPN integrados
VPN SSL va apps del App Store
SSL/TLS con certicados X.509
WPA/WPA2 Enterprise con autenticacin
802.1x basada en certicados
RSA SecurID, CRYPTOCard
17
8/2/2019 iPad Para La Empresa
18/26
SSL/TLS
iOS es compatible con SSL v3, as como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el
estndar de seguridad de ltima generacin para Internet. Safari, Calendario, Mail y otras
aplicaciones de Internet inician automticamente estos mecanismos para habilitar un
canal de comunicacin encriptado entre iOS y los servicios corporativos.
WPA/WPA2
iOS es compatible con WPA2 Enterprise para brindar acceso autenticado a la red
inalmbrica de tu empresa. WPA2 Enterprise emplea encriptacin AES de 128 bits, para
que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos
permanecern protegidos a la hora de enviar y recibir comunicaciones a travs de una
conexin de red Wi-Fi. Adems, con el soporte para 802.1x, el iPhone y el iPad pueden ser
integrados en una amplia gama de entornos de autenticacin RADIUS.
Seguridad de las apps
iOS es diseado con la seguridad en su ncleo. Incluye un mtodo aislado para la proteccin
del tiempo de ejecucin de las aplicaciones y requiere la rma de la aplicacin para garantizar
que las aplicaciones no pueden ser alteradas. iOS tambin tiene una estructura segura quefacilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un
llavero encriptado. Para los desarrolladores, ofrece una arquitectura comn de encriptacin
que puede ser usada para encriptar los datos de aplicaciones almacenados.
Proteccin del tiempo de ejecucin
Las aplicaciones en el dispositivo estn aisladas, para que no puedan acceder a datos
almacenados por otras aplicaciones. Adems, los archivos del sistema, los recursos y el
ncleo estn protegidos desde el espacio de la aplicacin del usuario. Si una aplicacin
necesita acceder a los datos de otra aplicacin, slo puede hacerlo a travs de las API y los
servicios provistos por iOS. Tambin se evita la generacin de cdigo.
Firma obligatoria del cdigo
Todas las aplicaciones de iOS deben estar rmadas. Las aplicaciones provistas con eldispositivo estn rmadas por Apple. Las aplicaciones de terceros estn rmadas por el
desarrollador mediante un certicado emitido por Apple. Esto garantiza que las aplicaciones
no han sido manipuladas o alteradas. Adems, se realizan controles del tiempo de ejecucin
para garantizar que una aplicacin sigue siendo conable desde la ltima vez que se utiliz.
El uso de aplicaciones personalizadas o internas puede ser controlado con un perl de
aprovisionamiento. Los usuarios deben tener el perl de aprovisionamiento instalado
para ejecutar la aplicacin. Los perles de aprovisionamiento pueden ser instalados o
revocados de forma inalmbrica usando soluciones de administracin de dispositivos
mviles. Los administradores tambin pueden restringir el uso de una aplicacin a
dispositivos especcos.
Esquema seguro de autenticacin
iOS ofrece llaveros seguros y encriptados para almacenar las identidades digitales,los nombres de usuario y las contraseas. Los datos del llavero son divididos para
evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde
aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger
las credenciales de autenticacin en el iPhone y el iPad a travs de una amplia gama de
aplicaciones y servicios dentro de la empresa.
Arquitectura Common Crypto
Los desarrolladores de aplicaciones tienen acceso a las API de encriptacin, que pueden
usar para proteger an ms los datos de sus aplicaciones. Los datos pueden ser encriptados
mtricamente empleando mtodos comprobados, tales como AES, RC4 o 3DES. Adems,
el iPhone y el iPad ofrecen aceleracin de hardware para encriptacin AES y hash SHA1,
maximizando el desempeo de las aplicaciones.
Seguridad de las apps
Proteccin del tiempo de ejecucin
Firma obligatoria del cdigo Servicios de llavero
API de CommonCrypto
Proteccin de datos de aplicaciones
18
8/2/2019 iPad Para La Empresa
19/26
2011 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, iPad, iPhone, iTunes y Safari son marcas
comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. iCloud e iTunes Store son marcas de servicio de Apple Inc.,
registradas en los EE.UU. y en otros pases. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compaas
mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a
cambios sin previo aviso. Octubre de 2011 L422500B
Proteccin de los datos de las aplicaciones
Las aplicaciones tambin pueden emplear la encriptacin de hardware incluida en
el iPhone y el iPad para proteger an ms los datos sensibles de las aplicaciones.
Los desarrolladores pueden designar a archivos especcos para la proteccin
de datos, dando instrucciones al sistema para que el contenido del archivo sea
criptogrcamente inaccesible para la aplicacin y para cualquier intruso potencialcuando se bloquea el dispositivo.
Apps administradas
Un servidor MDM puede administrar apps de terceros en el App Store, as como apps
internas de la empresa. La designacin de una app como administrada permite que el
servidor especique si la app y sus datos pueden ser eliminados del dispositivo por el
servidor MDM. Adems, el servidor puede evitar que los datos de la app administrada
sean respaldados en iTunes e iCloud. As, el rea de TI puede administrar apps que
pueden contener informacin condencial de la empresa con ms control que con las
apps descargadas directamente por el usuario.
Para instalar una app administrada el servidor MDM enva un comando de
instalacin al dispositivo. Las apps administradas requieren la aceptacin del usuarioantes de ser instaladas.
Dispositivos revolucionarios y completamente seguros
El iPhone y el iPad ofrecen proteccin encriptada de los datos en trnsito, en reposo e
incluidos en las copias de seguridad de iCloud e iTunes. Si un usuario est accediendo
al correo electrnico corporativo, visitando un sitio web privado o autenticando su
ingreso a la red corporativa, iOS garantiza que nicamente los usuarios autorizados
puedan acceder a la informacin corporativa sensible. Adems, con su soporte para
redes de nivel empresarial y mtodos completos para prevenir la prdida de datos,
puedes implementar los dispositivos iOS con la conanza de que ests implementando
la mejor proteccin de datos y seguridad para dispositivos mviles.
19
8/2/2019 iPad Para La Empresa
20/26
Implementando iPhone e iPadAdministracin de dispositivos
mviles
iOS es compatible con la administracin de dispositivos mviles, brindando a las
empresas la capacidad de administrar implementaciones a escala del iPhone y el iPad
en todas sus organizaciones. Estas capacidades MDM estn basadas en las tecnologas
iOS existentes, como los perles de conguracin, Over-the-Air Enrollment y el servicio
de noticacin push de Apple, adems pueden ser integradas con soluciones deservidor internas o de terceros. Con esto, los departamentos de TI pueden registrar el
iPhone y el iPad de forma segura en un entorno empresarial, congurar y actualizar de
forma inalmbrica los ajustes, monitorear el cumplimiento de las polticas corporativas
e, incluso, borrar o bloquear de forma remota los dispositivos administrados.
Cmo administrar el iPhone y el iPad
La administracin de dispositivos iOS se realiza a travs de una conexin a un
servidor de administracin de dispositivos mviles. Este servidor puede ser creado
internamente por TI o comprado a otro proveedor. El dispositivo se comunica con el
servidor para ver si hay tareas pendientes y responde con las acciones apropiadas.
Estas tareas pueden incluir la actualizacin de polticas, la provisin de la informacinde dispositivos o redes solicitada, o la eliminacin de ajustes y datos.
La mayora de las funciones de administracin son realizadas detrs de escena,
sin interaccin del usuario. Por ejemplo, si un departamento de TI actualiza su
infraestructura de VPN, el servidor MDM puede congurar el iPhone y el iPad con la
nueva informacin de cuenta a travs del aire. La prxima vez que la VPN es usada por
el empleado, la conguracin adecuada ya estar instalada, por lo que el empleado no
necesita llamar a la mesa de ayuda o modicar manualmente los ajustes.
Firewall
Servidor MDM de tercerosServicio de noticacinpush de Apple
8/2/2019 iPad Para La Empresa
21/26
MDM y el servicio de noticacin push de Apple
Cuando un servidor MDM desea comunicarse con el iPhone o el iPad, se enva una
noticacin silenciosa al dispositivo a travs del servicio de noticacin push de Apple,
solicitando que se conecte al servidor. El proceso de noticacin del dispositivo no
enva ningn tipo de informacin condencial o del servicio de noticacin pushde Apple. La nica tarea que realiza la noticacin es despertar al dispositivo para
que se conecte al servidor MDM. Toda la informacin de conguracin, ajustes y
consultas es enviada directamente desde el servidor al dispositivo iOS a travs de
una conexin SSL/TLS encriptada entre el dispositivo y el servidor MDM. iOS maneja
todas las solicitudes y acciones de MDM en un segundo plano para limitar el impacto
en la experiencia del usuario, incluyendo la duracin de la batera, el desempeo y la
conabilidad.
Para que el servidor de noticaciones push reconozca los comandos del servidor MDM,
debe instalarse un primer certicado en el servidor. Este certicado debe ser solicitado
y descargado desde el Portal de Certicados Push de Apple. Una vez que el certicado
de noticacin push de Apple es cargado en el servidor de MDM, los dispositivos
pueden comenzar a registrarse.
Conguracin de la red de noticaciones push de Apple
Cuando los servidores MDM y los dispositivos IOS estn detrs del cortafuegos,
son necesarias algunas conguraciones de red para que el servicio MDM funcione
correctamente. Para enviar noticaciones desde un servidor MDM al servicio de
noticaciones push de Apple, el puerto TCP 2195 debe estar abierto. Para llegar
al servicio de informacin, el puerto TCP 2196 tambin debe estar abierto. Para
dispositivos que se conectan al servicio push a travs de Wi-Fi, el puerto TCP 5223
debe estar abierto.
El rango de direcciones IP para el servicio push est sujeto a cambios; la expectativa
es que un servidor MDM se conectar por nombre de host antes que por direccin IP.
El servicio push emplea un esquema de equilibrio de carga que genera una direccin
IP diferente para el mismo nombre de host. Este nombre es gateway.push.apple.
com (y gateway.sandbox.push.apple.com para el entorno de noticaciones push de
desarrollo). Adems, todo el bloque 17.0.0.0/8 est asignado a Apple, por lo que las
reglas del cortafuegos pueden ser establecidas para especicar ese rango.
Para ms informacin, consulta a tu proveedor de MDM o mira la Nota Tcnica
para Desarrolladores TN2265 en la Biblioteca para Desarrolladores de iOS en
http://developer.apple.com/library/ ios/#technotes/tn2265/_index.html.
Registro
Una vez que se conguran el servidor MDM y la red, el primer paso en la
administracin del iPhone o el iPad es registrarlos con un servidor MSM. Esto creauna relacin entre el dispositivo y el servidor, permitiendo que el dispositivo sea
administrado sin intervencin del usuario.
Esto puede ser realizado conectando el iPhone o el iPad a una computadora a
travs de USB, pero la mayora de las soluciones cuentan con un perl de registro
inalmbrico. Para comenzar este proceso, algunos proveedores de MDM usan una app,
y otros inician el registro dirigiendo a los usuarios a un portal web. Cada mtodo tiene
sus ventajas, y ambos son usados para iniciar el proceso de Over-the-Air Enrollment a
travs de Safari.
iOS and SCEP
iOS es compatible con el protocolo SCEP(Simple Certicate Enrollment Protocol).
SCEP es un borrador de Internet, el IETF, y
est diseado para proporcionar una forma
simplicada de manejar la distribucin de
certicados para implementaciones a gran
escala. Esto permite el registro inalmbrico
de los certicados de identidad para iPhone
e iPad, que pueden ser usados para la
autenticacin en los servicios corporativos.
21
http://developer.apple.com/library/ios/#technotes/tn2265/_index.htmlhttp://developer.apple.com/library/ios/#technotes/tn2265/_index.html8/2/2019 iPad Para La Empresa
22/26
22
Descripcin del proceso de registro
El proceso de Over-the-Air Enrollment involucra fases que estn combinadas en
un ujo de trabajo automatizado, para brindar una manera segura de registrar
dispositivos dentro de la empresa. Estas fases son:
1. Autenticacin de usuariosLa autenticacin de usuario asegura que las solicitudes de registro entrantes
sean de usuarios autorizados y que la informacin del dispositivo del usuario sea
capturada antes de proceder al registro del certicado. Los administradores pueden
solicitar al usuario que inicie el proceso de registro a travs de un portal web, correo
electrnico, mensaje SMS o, incluso, una app.
2. Registro de certicados
Una vez autenticado el usuario, iOS genera una solicitud de registro del certicado
usando el SCEP (Simple Certicate Enrollment Protocol). Esta solicitud de registro se
comunica directamente con la Autoridad de Certicacin de la empresa, y habilita al
iPhone y al iPad para recibir el certicado de identidad en respuesta.
3. Conguracin de dispositivos
Una vez que se instala un certicado de identidad el dispositivo puede recibir
informacin de conguracin encriptada a travs del aire. Esta informacin slo
puede ser instalada en el dispositivo y contiene los ajustes necesarios para conectar
al servidor MDM.
Al nal del proceso de registro, el usuario ver una pantalla de instalacin que
describe los derechos de acceso al servidor MDM contenidos en el dispositivo.
Al aceptar la instalacin del perl el dispositivo del usuario es registrado
automticamente, sin necesidad de interaccin.
Una vez que el iPhone y el iPad estn registrados como dispositivos administrados
pueden ser congurados dinmicamente con los ajustes, consultados en busca de
informacin o eliminados de forma remota por el servidor MDM.
Conguracin
Para congurar un dispositivo con cuentas, polticas y restricciones, el servidor
MDM enva archivos, conocidos como perles de conguracin, al dispositivo, que
son instalados automticamente. Los perles de conguracin son archivos XML
que contienen ajustes, como informacin de cuenta, polticas de contraseas,
restricciones y otros ajustes del dispositivo, para que el dispositivo funcione con tus
sistemas empresariales. Cuando se combina con el proceso de registro discutido
previamente, la conguracin de dispositivos brinda al rea de TI la garanta de que
solamente los usuarios de conanza tienen acceso a los servicios corporativos, y que
sus dispositivos estn congurados correctamente con las polticas establecidas.
8/2/2019 iPad Para La Empresa
23/26
Adems, ya que los perles de conguracin pueden ser rmados y encriptados, los
ajustes no pueden ser alterados o compartidos con otros.
Ajustes congurables compatibles
Cuentas
Exchange ActiveSync Correo IMAP/POP
Wi-Fi
VPN
LDAP
CardDAV
CalDAV
Calendarios aceptados
Polticas de contrasea
Solicitud de contrasea en el dispositivo
Permiso de valor simple
Solicitud de valor alfanumrico
Extensin mnima de contrasea Nmero mnimo de caracteres complejos
Perodo mximo de contrasea
Tiempo antes del bloqueo automtico
Historial de contrasea
Perodo de gracia para bloqueo del
dispositivo
Nmero mximo de intentos fallidos
Seguridad y privacidad
Envo de datos de diagnstico a Apple
Aceptacin de certicados no conables
por parte del usuario
Ejecucin de copias de seguridadencriptadas
Otros ajustes
Credenciales
Clips web
Ajustes de SCEP
Ajustes de APN
Funcionalidad de dispositivos
Instalacin de apps Uso de la cmara
Uso de FaceTime
Captura de pantalla
Sincronizacin automtica durante la
itinerancia
Uso del marcado por voz
Compras dentro de apps
Solicitud de la contrasea de la tienda
para todas las compras
Juegos multijugadores
Agregado de amigos a Game Center
Aplicaciones Uso de YouTube
Uso de iTunes Store
Uso de Safari
Conguracin de preferencias de
seguridad de Safari
iCloud
Copias de seguridad
Sincronizacin de documentos y valores
claves
Uso de Fotos en streaming
Calicaciones de contenido
Habilitacin de msica y podcasts
explcitos
Denicin de regiones de calicaciones
Denicin de calicaciones de contenidos
permitidos
23
8/2/2019 iPad Para La Empresa
24/26
Consulta de dispositivos
Adems de congurar los dispositivos, el servidor MDM tiene la capacidad de consultar
diversa informacin en los dispositivos. Esta informacin puede ser usada para que los
productos sigan cumpliendo con las polticas necesarias.
Consultas compatibles
Informacin del dispositivo
Unique Device Identier (UDID)
Nombre del dispositivo
iOS y versin de iOS
Nombre y nmero del modelo
Nmero de serie
Capacidad y espacio disponible
IMEI
Firmware del mdem
Nivel de la batera
Informacin de red
ICCID
Direcciones de Bluetooth y Wi-Fi MAC
Red del operador actual
Red del operador del abonado
Versin de los ajustes del operador
Nmero de telfono
Ajuste de itinerancia de datos (on/o)
Informacin de cumplimiento y
seguridad
Perles de conguracin instalados
Certicados instalados con fecha de
expiracin
Lista de todas las restricciones
aplicadas
Capacidad de encriptacin de
hardware
Presentacin de contrasea
Aplicaciones Aplicaciones instaladas (ID, nombre,
versin, tamao y tamao de datos)
Aprovisionamiento de perles
instalados con fechas de expiracin
Administracin
Con la Administracin de Dispositivos Mviles, hay una serie de funciones de un
servidor MDM que se pueden realizar en los dispositivos iOS. Estas tareas incluyen lainstalacin y la eliminacin de los perles de conguracin y aprovisionamiento, la
administracin de apps, la nalizacin de la relacin del MDM y el borrado remoto de
un dispositivo.
Ajustes administrados
Durante el proceso inicial de conguracin de un dispositivo, el servidor MDM enva
perles de conguracin al iPhone y el iPad, que son instalados en un segundo
plano. Con el tiempo, los ajustes y las polticas aplicadas en el momento del registro
pueden tener que ser actualizados o cambiados. Para realizar estos cambios, un
servidor MDM puede instalar nuevos perles de conguracin, y modicar o eliminar
perles existentes en cualquier momento. Adems, es posible tener que instalar las
conguraciones especcas del contexto en los dispositivos iOS, dependiendo de la
ubicacin de un usuario o su rol en la organizacin. Por ejemplo, si un usuario estviajando a otro pas, el servidor MDM puede requerir que las cuentas de correo sean
sincronizadas manualmente, y no automticamente. Incluso, el servidor MDM puede
deshabilitar de forma remota los servicios de voz y datos para evitar que un usuario
incurra en cargos por itinerancia de un proveedor de servicios inalmbricos.
Apps administradas
Un servidor MDM puede administrar apps de terceros en el App Store, as como apps
internas de la empresa. La designacin de una app como administrada permite que
el servidor especique si la app y sus datos pueden ser eliminados del dispositivo
por el servidor MDM. Adems, el servidor MDM puede evitar que los datos de la app
administrada sean respaldados en iTunes e iCloud.
24
8/2/2019 iPad Para La Empresa
25/26
25
Para instalar una app administrada, el servidor MDM envia un comando de
instalacin al dispositivo del usuario. Las apps administradas requieren la aceptacin
del usuario previo a ser instaladas. Cuando un servidor MDM solicita la instalacin
de una app administrada desde el App Store, la app ser canjeada con la cuenta de
iTunes utilizada en el momento de instalar la app.
Eliminacin o borrado de dispositivos
Si un dispositivo se encuentra fuera de poltica, se ha perdido o fue robado, o si un
empleado deja la empresa, un servidor MDM puede tomar medidas para proteger la
informacin corporativa de varias maneras.
Un administrador de TI puede terminar la relacin de MDM con un dispositivo
mediante la eliminacin del perl de conguracin que contiene la informacin del
servidor MDM. De ese modo, se quitan todas las cuentas, ajustes y apps que eran
responsables por la instalacin. Alternativamente, el rea de TI puede mantener el
perl de conguracin MDM en el lugar y usar MDM slo para quitar los perles de
conguracin, perles de aprovisionamiento y las apps administradas especcas
que desea eliminar. Este enfoque mantiene al dispositivo administrado por MDM y
elimina la necesidad de volver a registrarlo una vez que est dentro de la poltica.
Ambos mtodos brindan al rea de TI la capacidad de asegurar que la informacin
nicamente est disponible para los usuarios y dispositivos compatibles, y garantiza
que los datos corporativos sean quitados sin interferir con los datos personales del
usuario, tales como msica, fotos o apps personales.
Para eliminar denitivamente todos los contenidos y datos en el dispositivo, y
restaurar los ajustes de fbrica, MDM puede borrar el iPhone y el iPad de forma
remota. Si un usuario sigue buscando el dispositivo el rea de TI tambin puede
optar por enviar un comando de bloqueo remoto al dispositivo. Esto bloquea la
pantalla y solicita la contrasea del usuario para desbloquearlo.
Si un usuario ha olvidado la contrasea, el servidor MDM puede eliminarla desde el
dispositivo y pedir al usuario que cree una nueva en un plazo de 60 minutos.
Comandos de administracin compatibles
Ajustes administrados
Instalacin de perl de conguracin
Eliminacin de perl de conguracin
Itinerancia de datos
Itinerancia de voz (no est disponible en todos los operadores)
Apps administradas
Instalacin de app administrada
Eliminacin de app administrada
Mostrar todas las apps administradas
Instalacin de perl de aprovisionamiento
Eliminacin de perl de aprovisionamiento
Comandos de seguridad
Borrado remoto
Bloqueo remoto
Limpiar contrasea
8/2/2019 iPad Para La Empresa
26/26
Firewall
Servidor MDM de tercerosServidor de noticacionespush de Apple
1
2
4
3
5
2011 Apple Inc Todos los derechos reservados Apple el logo de Apple FaceTime iPad iPhone iTunes y Safari son marcas comerciales de Apple Inc registradas en los EE UU y en o tros pases iCloud e iTunes
1
2
3
4
5
Descripcin del proceso
Este ejemplo describe una implementacin bsica de un servidor de administracin de dispositivos mviles.
Un perl de conguracin que contiene la informacin del servidor de administracin de dispositivos mviles es enviado al
dispositivo. El usuario recibe la informacin sobre qu ser administrado y/o consultado por el servidor.
El usuario instala el perl a ser incluido en el dispositivo administrado.
El registro del dispositivo tiene lugar a medida que el perl es instalado. El servidor valida el dispositivo y permite el acceso.
El servidor enva una noticacin push que lleva al dispositivo a vericar tareas o consultas.
El dispositivo se conecta directamente al servidor sobre HTTPS. El servidor enva comandos o solicita informacin.
26
Top Related