El iPad en la empresa

El iPad en la empresa
Ejemplos de implantación
Marzo de 2011
Descubre cómo el iPad se integra a la perfección en los entornos empresariales con estos
ejemplos de implantación.
• Exchange ActiveSync de Microsoft
• Servicios basados en estándares
• Redes privados virtuales
• Wi-Fi
• Certificados digitales
• Seguridad
• Mobile Device Management
• Implantación de iTunes
2
El iPad en la empresa
Exchange ActiveSync
El iPad se comunica directamente con tu instalación de Exchange Server de Microsoft
a través de Exchange ActiveSync (EAS) de Microsoft, para ofrecer al usuario correo
electrónico, contactos y calendarios de actualización automática push. Exchange
ActiveSync también permite al usuario acceder a la lista global de direcciones (GAL)
y ofrece al administrador funciones de borrado remoto y de imposición de políticas
de contraseña. El iPad es compatible con la autenticación básica y por certificado
de Exchange ActiveSync. Si la empresa utiliza Exchange ActiveSync, ya dispone de
los servicios necesarios para integrar el iPad. No hace falta ninguna configuración
adicional. Si dispones de Exchange Server 2003, 2007 o 2010, pero no tienes
experiencia con Exchange ActiveSync, consulta los siguientes pasos.
Políticas de seguridad de Exchange
ActiveSync compatibles
• Borrado remoto
• Imposición de contraseña en terminal
• Longitud mínima de contraseña
• Máximo de errores en contraseña (antes del
borrado local)
• Exigencia de números y letras
• Tiempo de inactividad en minutos (de 1 a
60 minutos)
Políticas adicionales de Exchange ActiveSync
(solo para Exchange 2007 y 2010)
• Autorización o prohibición de contraseñas simples
• Caducidad de contraseñas
• Historial de contraseñas
• Intervalos de renovación de políticas
• Número mínimo de caracteres complejos en
contraseñas
• Exigencia de sincronización manual en itinerancia
• Autorización del uso de cámara
• Autorización de navegación web
Configuración de Exchange ActiveSync
Descripción de la configuración de red
• Comprueba que el puerto 443 esté abierto en el cortafuegos. Si tu empresa admite
Outlook Web Access, es muy probable que ya lo esté.
• En el servidor externo (front-end), verifica que se haya instalado un certificado de
servidor y que se haya activado la seguridad SSL para el directorio virtual de Exchange
ActiveSync en IIS.
• Si usas un servidor Internet Security and Acceleration (ISA) de Microsoft, comprueba
que se haya instalado un certificado de servidor y actualiza el DNS público para
resolver correctamente las conexiones entrantes.
• Comprueba que el DNS de tu red devuelva una única dirección direccionable
externamente al servidor de Exchange ActiveSync, tanto para clientes de la intranet
como de Internet. Esto es necesario a fin de que el dispositivo pueda usar la misma
dirección IP para comunicarse con el servidor cuando ambos tipos de conexión estén
activos.
• Si usas un servidor ISA de Microsoft, crea un agente de escucha y una regla de
publicación de acceso de cliente de Exchange Web. En la documentación de Microsoft
encontrarás más información.
• Para todos los cortafuegos y dispositivos de red, ajusta el tiempo de desconexión por
inactividad a 30 minutos. Si deseas más información sobre los intervalos de latido e
inactividad, consulta la documentación de Exchange de Microsoft, que se encuentra en
http://technet.microsoft.com/en-us/library/cc182270.aspx (en inglés).
• Configura las prestaciones móviles, las políticas y los ajustes de seguridad de
dispositivos mediante Exchange System Manager. Para Exchange Server 2007 y 2010,
esto se hace en la consola Exchange Management Console.
3
• Descarga e instala la herramienta Mobile Administration Web Tool de Exchange
ActiveSync de Microsoft, necesaria para iniciar un borrado remoto. En Exchange Server
2007, el borrado remoto se puede iniciar desde Outlook Web Access o con la consola
Exchange Management Console.
Autenticación básica (usuario y contraseña)
• Activa Exchange ActiveSync para usuarios y grupos específicos mediante el servicio
Active Directory. Se activan por defecto para todos los dispositivos móviles de la organización en Exchange Server 2003, 2007 y 2010. Para Exchange Server 2007 y 2010, consulta Recipient Configuration en la consola Exchange Management Console.
• Por defecto, Exchange ActiveSync está configurado para la autenticación básica de
usuarios. Se recomienda activar la seguridad SSL para la autenticación básica con el fin
de garantizar que las credenciales se cifren durante la autenticación.
Autenticación basada en certificados
• Instala los servicios de certificados empresariales en un servidor de la red o en un controlador de dominio en tu dominio (será el servidor de la autoridad emisora de certificados).
Otros servicios de Exchange ActiveSync
• Consulta de la lista global de direcciones
• Aceptación y creación de invitaciones de calendario
• Sincronización de las etiquetas Reply y Forward
con Exchange Server 2010
• Búsqueda en correos con Exchange Server
2007 y 2010
• Compatibilidad con múltiples cuentas de
Exchange ActiveSync
• Autenticación basada en certificados
• Actualización push de correos electrónicos en
carpetas seleccionadas
• Autodescubrimiento
• Configura IIS en el servidor externo (front-end) de Exchange o en Client Access Server
para que acepte la autenticación basada en certificados para el directorio virtual de
Exchange ActiveSync.
• Si quieres autorizar o exigir certificados para todos los usuarios, desmarca «Basic
authentication» y selecciona «Accept client certificates» o «Require client certificates».
• Genera certificados de cliente mediante el servidor de la autoridad emisora de
certificados. Exporta la clave pública y configura IIS para que la use. Exporta la clave
privada y usa un Perfil de Configuración para enviarla al iPad. La autenticación basada
en certificados solo se puede configurar mediante un Perfil de Configuración.
Si deseas más información sobre los servicios de certificados, consulta los recursos
disponibles a través de Microsoft.
4
Ejemplo de implantación de Exchange ActiveSync
Este ejemplo muestra cómo se conecta el iPad a una instalación estándar de Exchange Server 2003, 2007 o 2010 de Microsoft.
Clave privada
(certificado)
Cortafuegos
Servidor de certificados
Cortafuegos
Perfil de configuración
443
3
1
Internet
Active Directory
Clave pública
(certificado)
2
Servidor proxy
Servidor Front-End de
Exchange o Client Access
4
6
Pasarela de correo o
Servidor de transporte
perimetral*
Cabeza de puente o
Servidor de transporte de
concentradores
5
Buzón de correo de
Exchange o servidores
internos
* En función de la configuración de red, la pasarela de correo externa o el servidor de transporte perimetral pueden residir dentro de la red del perímetro (DMZ).
1
El iPad solicita acceso a los servicios de Exchange ActiveSync a través del puerto 443 (HTTPS). (Se trata del mismo puerto usado por
Outlook Web Access y otros servicios web seguros, así que en muchos casos este puerto ya estará abierto y configurado para permitir el tráfico de HTTPS cifrado por SSL).
2
ISA facilita el acceso al servidor externo (front-end) de Exchange o al de Client Access. ISA está configurado como proxy, o en
muchos casos como proxy inverso, para dirigir el tráfico al servidor de Exchange.
3
El servidor de Exchange autentica al usuario entrante mediante el servicio Active Directory y el servidor de certificados (si se usa la
autenticación basada en certificados).
4
Si el usuario aporta las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor externo establece
una conexión con el buzón de correo oportuno en el servidor interno (back-end) (a través del catálogo global de Active Directory).
5
Se establece la conexión con Exchange ActiveSync. Las actualizaciones o cambios se envían al iPad, y cualquier cambio realizado en
el iPad se refleja a su vez en el servidor de Exchange.
6
Los correos enviados desde el iPad también se sincronizan con el servidor de Exchange a través de Exchange ActiveSync (paso 5).
Para dirigir el correo electrónico saliente a los destinatarios externos, el correo se envía por norma general a través de un servidor
de cabeza de puente (o transporte de concentradores) a una pasarela de correo externa (o servidor de transporte perimetral) a
través de SMTP. En función de la configuración de red, la pasarela de correo externa o el servidor de transporte perimetral pueden
residir dentro de la red del perímetro o fuera del cortafuegos.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. Otros nombres de productos y empresas
mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422495B-ES
5
El iPad en la empresa
Servicios basados en
estándares
Como el iPad es compatible con el protocolo de correo IMAP, los servicios de
directorios LDAP y los protocolos de calendarios CalDAV y de contactos CardDAV, se
integra en casi cualquier entorno estándar de correo, calendarios y contactos. Si el
entorno de red está configurado para exigir la autenticación de usuario y emplear la
seguridad SSL, el iPad ofrece un método seguro para acceder al correo, los calendarios
y los contactos de la empresa basados en estándares.
En una instalación típica, el iPad establece acceso directo a los servidores de correo
IMAP y SMTP para recibir y enviar correo inalámbricamente, y también puede
sincronizar notas con servidores IMAP de forma inalámbrica. El iPad se puede conectar
con los directorios corporativos LDAPv3 de la empresa, otorgando acceso a los
usuarios a los contactos corporativos en las aplicaciones Mail, Contactos y SMS. Gracias
a la sincronización con el servidor CalDAV, los usuarios del iPad pueden crear y aceptar
invitaciones a calendarios y recibir actualizaciones de estos de forma inalámbrica.
Además, gracias a la compatibilidad con CardDAV, los usuarios pueden mantener
un grupo de contactos sincronizado con el servidor CardDAV mediante el formato
vCard. Todos los servidores de red se pueden ubicar en una subred DMZ, detrás de un
cortafuegos corporativo o en ambos. Si se usa SSL, el iPad admite el cifrado de 128 bits
y los certificados raíz X.509 de las principales entidades emisoras de certificados.
Puertos habituales
• IMAP/SSL: 993
• SMTP/SSL: 587
• LDAP/SSL: 636
• CalDAV/SSL: 8443, 443
• CardDAV/SSL: 8843, 443
Soluciones de correo con protocolos IMAP
y POP
El iPad admite las soluciones de correo basadas
en los protocolos IMAP4 y POP3 para una
amplia gama de plataformas de servidor, como
Windows, UNIX, Linux y Mac OS X.
Estándares CalDAV y CardDAV
El iPad admite los protocolos de calendarios
CalDAV y de contactos CardDAV. El IETF ha
estandarizado ambos protocolos. El consorcio
CalConnect ofrece más información en http://
caldav.calconnect.org/ y http://carddav.
calconnect.org/.
Configuración de la red
El administrador de redes o TI deberá llevar a cabo estos pasos para activar el acceso
del iPad a los servicios IMAP, LDAP, CalDAV y CardDAV:
• Abrir los puertos correspondientes en el cortafuegos. Los puertos habituales son el 993
para el correo IMAP, el 587 para el correo SMTP, el 636 para los servicios de directorio
LDAP, el 8443 para los calendarios CalDAV y el 8843 para los contactos CardDAV.
Además, se recomienda que la comunicación entre el servidor proxy y los servidores
internos IMAP, LDAP, CalDAV y CardDAV se configuren con la seguridad SSL activada,
y que los certificados digitales de los servidores de la red estén firmados por una
entidad emisora de confianza, como VeriSign. Esto garantiza que el iPad reconozca al
servidor proxy como una entidad de confianza en la infraestructura de la empresa.
• Para el correo SMTP saliente, se debe abrir el puerto 587, 465 o 25 para permitir
el envío de correo electrónico desde el iPad, que comprueba automáticamente el
estado de esos puertos por ese orden. El puerto 587 es el más fiable y seguro, ya que
exige la autenticación del usuario. El puerto 25 no requiere autenticación, y algunos
proveedores de servicios de Internet lo bloquean por defecto para evitar el correo no
deseado.
6
Ejemplo de implantación
Este ejemplo muestra cómo se conecta el iPad a una instalación estándar de IMAP, LDAP, CalDAV y CardDAV.
Cortafuegos
Cortafuegos
3
636
(LDAP)
Servidor de directorios
LDAP
8443
(CalDAV)
4
Servidor CalDAV
1
2
Servidor proxy inverso
Internet
8843
(CardDAV)
993 (IMAP)
587 (SMTP)
5
Servidor CalDAV
6
Servidor de Mail
1
El iPad solicita acceso a los servicios de red a través de los puertos designados.
2
En función del servicio, los usuarios del iPad deben autenticarse con el proxy inverso o bien directamente con el servidor para
obtener acceso a los datos corporativos. En ambos casos, las conexiones son remitidas por el proxy inverso, que hace las veces de
pasarela segura, normalmente detrás del cortafuegos. Una vez autenticados, los usuarios pueden acceder a sus datos corporativos en los servidores internos.
3
El iPad ofrece servicios de consulta de directorios LDAP, lo que permite al usuario buscar contactos y otra información
de la agenda en el servidor LDAP. 4
En el caso de los calendarios CalDAV, los usuarios pueden acceder a los calendarios desde el iPad y actualizarlos.
5
Los contactos CardDAV se almacenan en el servidor y se puede acceder a ellos de forma local desde el iPad. Los cambios efectuados en los campos de los contactos CardDAV se sincronizan con el servidor CardDAV.
6
En el caso de los servicios de correo IMAP, los mensajes existentes y nuevos se pueden leer desde el iPad mediante una conexión
proxy con el servidor de correo. El correo saliente del iPad se envía al servidor SMTP, y se guardan copias en la carpeta Enviados
del usuario.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. UNIX es una marca comercial
registrada de The Open Group. El resto de nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivos titulares. Las especificaciones del
producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422496B-ES
7
El iPad en la empresa
Redes privadas virtuales
(VPN)
El iPad ofrece acceso seguro a redes corporativas privadas mediante protocolos VPN
estándar reconocidos por el sector. Los usuarios se pueden conectar fácilmente a los
sistemas empresariales mediante el cliente de VPN integrado o a través de aplicaciones
de terceros (Juniper, Cisco y F5 Networks).
El iPad es compatible de serie con IPSec de Cisco, L2TP sobre IPSec y PPTP. Si tu
organización admite uno de estos protocolos, no necesitas ningún otro tipo de
configuración ni aplicaciones de terceros para conectar el iPad a tu VPN.
Además, el iPad admite VPN con SSL, lo que le permite acceder a los servidores de VPN
con SSL de la serie SA de Juniper, ASA de Cisco y FirePass de F5 Networks. Para ello,
basta con descargar en el App Store una aplicación cliente de VPN desarrollada por
Juniper o Cisco. Al igual que el resto de protocolos de VPN del iPad, el acceso a redes
VPN con SSL se puede configurar manualmente en el dispositivo o mediante un Perfil
de Configuración.
El iPad admite tecnologías estándar como IPv6, servidores proxy y túneles divididos, por
lo que ofrece una excelente experiencia de VPN al conectarse a redes empresariales.
Además, es compatible con diversos métodos de autenticación, como el uso de
contraseñas, tokens de doble factor y certificados digitales. Con el fin de optimizar la
conexión en entornos en los que se usa la autenticación basada en certificados, el iPad
incluye VPN por petición, que inicia dinámicamente una sesión de VPN al conectarse a
determinados dominios.
Protocolos y métodos de autenticación admitidos
VPN con SSL
Es compatible con la autenticación de usuario por contraseña, token de doble factor y
certificados.
IPSec de Cisco
Es compatible con la autenticación de usuario por contraseña, token de doble factor,
autenticación por máquina mediante secreto compartido y certificados.
L2TP sobre IPSec
Admite la autenticación del usuario mediante MS-CHAP v2 Password, token de doble
factor y autenticación por máquina mediante secreto compartido.
PPTP
Admite la autenticación del usuario mediante MS-CHAP v2 Password y token de doble
factor.
8
VPN por petición
Para las configuraciones que empleen la autenticación basada en certificados, el
iPad ofrece VPN por petición. VPN por petición puede establecer una conexión
automáticamente cuando se acceda a dominios predeterminados, lo que ofrece a los
usuarios del iPad una experiencia de conexión a redes VPN impecable.
Esta prestación de iOS no requiere ninguna configuración adicional del servidor. La
configuración de VPN por petición se realiza mediante un Perfil de Configuración o
manualmente en el dispositivo.
Las opciones de VPN por petición son:
Siempre
Inicia una conexión VPN para cualquier dirección que coincida con el dominio
especificado.
Nunca
No inicia una conexión VPN para las direcciones que coinciden con el dominio
especificado, pero si la VPN ya está activa, se puede usar.
Establecer si es necesario
Inicia una conexión VPN para las direcciones que coinciden con el dominio
especificado, pero solo cuando una consulta de DNS haya fallado.
Configuración de VPN
• El iPad se integra en muchas de las redes VPN actuales con una mínima configuración.
La mejor forma de preparar esta instalación consiste en comprobar la compatibilidad
del iPad con los protocolos de VPN y los métodos de autenticación presentes en la
empresa.
• Se recomienda revisar la ruta de autenticación al servidor de autenticación para
garantizar que los estándares admitidos por el iPad estén activados en la instalación en
cuestión.
• Si tienes la intención de usar un sistema de autenticación basado en certificados,
comprueba que tu infraestructura de claves públicas esté configurada para admitir
certificados de usuario y de dispositivo con los correspondientes procesos de
distribución de claves.
• Si quieres configurar ajustes de proxy específicos para una URL, coloca un archivo PAC
en un servidor web accesible con los ajustes de VPN básicos y asegúrate de que esté
alojado con el tipo de MIME application/x-ns-proxy-autoconfig.
Configuración del proxy
Puedes especificar un proxy de VPN para todas las configuraciones. Para configurar un
único proxy para todas las conexiones, usa el ajuste Manual e introduce la dirección,
el puerto y la autenticación, si es preciso. Para proporcionar al dispositivo un archivo
de configuración auto-proxy con PAC o WPAD, usa el ajuste Automático. Para PACS,
especifica la URL del archivo PACS. Para WPAD, el iPad solicitará a DHCP y DNS los
ajustes oportunos.
9
Ejemplo de implantación
Este ejemplo ilustra una implantación típica con un servidor/concentrador de VPN, además de un servidor de autenticación para el
control del acceso a los servicios de red de la empresa.
Firewall
Firewall
3a
3b
Autenticación
Certificado o token
Servidor de autenticación de VPN
Generación de token o distribución de certificados
Servicio de
directorio
2
1
4
Concentrador/servidor de VPN
Red privada
Certificado, token o
contraseña
5
Internet público
Servidor proxy
1
El iPad solicita acceso a los servicios de red.
2
El servidor/concentrador de VPN recibe la solicitud y la pasa al servidor de autenticación.
3
En un entorno de token de doble factor, el servidor de autenticación administra la generación de una clave de token sincronizada
temporalmente con el servidor de claves. Si se ha implantado un método de autenticación con certificado, antes de la autenticación debe enviarse al iPad un certificado de identidad. Si se ha implantado un método de contraseña, el proceso de autenticación
efectúa la validación del usuario.
4
Una vez autenticado el usuario, el servidor de autenticación valida las políticas de usuarios y grupos. Una vez validadas las políticas
de usuarios y grupos, el servidor de VPN ofrece acceso cifrado y por túnel a los servicios de red.
5
Si se usa un servidor proxy, el iPad se conecta a través del servidor proxy para acceder a información ubicada fuera del cortafuegos.
Si deseas más información sobre VPN en el iPad, visita www.apple.com/es/ipad/business/integration.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de servicio de
Apple Inc. Los demás nombres de productos y empresas mencionados aquí son marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso.
Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422497B-ES
10
El iPad en la empresa
Wi-Fi
De serie, el iPad se conecta de forma segura a redes Wi-Fi corporativas o de invitados,
lo que permite acceder a redes inalámbricas disponibles de forma rápida y sencilla, ya
se esté en las instalaciones de la empresa o de viaje.
El iPad admite protocolos estándar de redes inalámbricas, incluido WPA2 Enterprise, lo
que permite configurar redes inalámbricas corporativas rápidamente y acceder a ellas
de forma segura. WPA2 Enterprise emplea cifrado AES de 128 bits, un método basado
en bloques ampliamente acreditado que brinda el máximo nivel de seguridad para los
datos del usuario.
El iPad, compatible con 802.1X, puede integrarse en un amplio abanico de entornos
de autenticación RADIUS. Entre los métodos de autenticación inalámbrica 802.1X que
admite el iPad se encuentran EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 y
LEAP.
Protocolos inalámbricos de seguridad
• WEP
• WPA Personal
• WPA Enterprise
• WPA2 Personal
• WPA2 Enterprise
Métodos de autenticación 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAPv0 (EAP-MS-CHAP v2)
• PEAPv1 (EAP-GTC)
• LEAP
Los usuarios pueden configurar el iPad para que acceda automáticamente a las redes
Wi-Fi disponibles. Se puede acceder rápidamente a las redes Wi-Fi que requieran
credenciales de inicio de sesión u otra información sin necesidad de abrir una sesión
de navegador aparte, desde los ajustes Wi-Fi o con aplicaciones como Mail. Además, la
conectividad Wi-Fi persistente de bajo consumo permite a las aplicaciones del iPad usar
las redes Wi-Fi para enviar notificaciones push.
Para acelerar la configuración y la implantación, los ajustes de redes inalámbricas,
seguridad y autenticación se pueden establecer mediante perfiles de configuración.
Configuración de WPA2 Enterprise
• Comprueba la compatibilidad de los dispositivos de red y selecciona un tipo de autenticación (tipo de EAP) admitido por el iPad.
• Comprueba que el protocolo 802.1X esté activado en el servidor de autenticación y, si
es preciso, instala un certificado de servidor y asigna los permisos de acceso a la red
de usuarios y grupos.
• Configura puntos de acceso inalámbrico para la autenticación 802.1X e introduce la
información del correspondiente servidor RADIUS.
• Si tienes la intención de usar un sistema de autenticación basado en certificados,
comprueba que la infraestructura de claves públicas esté configurada para admitir
certificados de usuario y de dispositivo con los correspondientes procesos de
distribución de claves.
• Comprueba la compatibilidad del formato del certificado y del servidor de
autenticación. El iPad admite PKCS1 (.cer, .crt y .der) y PKCS12.
• Si deseas documentación adicional sobre estándares de red inalámbrica y Acceso
Protegido a Wi-Fi (WPA), visita www.wi-fi.org.
11
WPA2 Enterprise/802.1X Ejemplo de implantación
Este ejemplo ilustra una implantación inalámbrica segura estándar que aprovecha la autenticación RADIUS.
Servidor de autenticación
Compatible con 802.1X (RADIUS)
Firewall
Servicio de directorio
3
2
4
1
Certificado o contraseña basados
en tipo de EAP
Punto de acceso inalámbrico compatible
con 802.1X
Servicios de red
1
El iPad solicita acceso a la red. El iPad inicia la conexión cuando un usuario selecciona una red inalámbrica disponible, o lo
hace automáticamente al detectar una red ya configurada.
2
Después de llegar al punto de acceso, la solicitud es remitida al servidor RADIUS para su autenticación.
3
El servidor RADIUS valida la cuenta del usuario empleando el servicio de directorio.
4
Cuando el usuario está autenticado, el punto de acceso ofrece acceso a la red aplicando las políticas y los permisos indicados por el
servidor RADIUS.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. Otros nombres de productos y empresas
mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422498B-ES
12
El iPad en la empresa
Certificados digitales
El iPad admite certificados digitales, lo que permite a los usuarios de empresa acceder
de forma segura y optimizada a servicios corporativos. Los certificados digitales se
componen de una clave pública, y de información sobre el usuario y la entidad emisora
del certificado. Los certificados digitales son una forma de identificarse que optimiza la
autenticación, la integridad de los datos y el cifrado.
En el iPad, los certificados se pueden usar de varias maneras. La firma de datos con
un certificado digital ayuda a garantizar que la información no pueda modificarse. Los
certificados también sirven para garantizar la identidad del autor o «firmante». Además,
se pueden usar para cifrar Perfiles de Configuración y comunicaciones de red, con el fin
de aumentar la protección de información confidencial o privada.
Uso de certificados en el iPad
Certificados digitales
Los certificados digitales sirven para autenticar de forma segura a usuarios de servicios
corporativos sin necesidad de emplear nombres de usuario, contraseñas ni tokens
por software. En el iPad, la autenticación basada en certificados se usa para acceder a
servidores de Exchange ActiveSync de Microsoft, así como a redes VPN y Wi-Fi.
Formatos de identidad y certificado
admitidos:
• El iPad admite los certificados X.509
con claves RSA.
• Reconoce las extensiones de archivo
.cer, .crt, .der, .p12 y .pfx.
Certificados raíz
El iPad incluye de serie diversos certificados
raíz preinstalados. Si deseas consultar una lista
de estos certificados, lee el artículo de Soporte
de Apple que encontrarás en
http://support.apple.com/kb/HT3580. Si usas
un certificado raíz que no está preinstalado,
como un certificado raíz autofirmado creado
por tu empresa, puedes distribuirlo al iPad
mediante uno de los métodos enumerados
en el apartado «Distribución e instalación de
certificados» de este documento.
Entidad emisora de
certificados
Solicitud de autenticación
Servicios empresariales
Intranet, correo electrónico, VPN y Wi-Fi
Servicio de
directorio
Certificados de servidor
Los certificados digitales también se pueden usar para validar y cifrar comunicaciones
de redes. Esto ofrece una comunicación segura con sitios web tanto internos como
externos. El navegador Safari puede comprobar la validez de un certificado digital
X.509 y configurar una sesión segura con cifrado AES de hasta 256 bits. Así se verifica la
legitimidad de la identidad del sitio y se garantiza la protección de la comunicación con
el sitio web para evitar la interceptación de datos personales o confidenciales.
Solicitud
HTTPS
Servicios de red
Entidad emisora de
certificados
13
Distribución e instalación de certificados
Distribuir certificados al iPad es fácil. Cuando recibe un certificado, el usuario solo
tiene que tocarlo para ver su contenido, y dar otro toque para añadir el certificado al
dispositivo. Al instalar un certificado de identidad, se solicita al usuario que introduzca
la frase clave que lo protege. Si no se puede verificar la autenticidad de un certificado,
el usuario recibe una alerta antes de añadirlo al dispositivo.
Instalación de certificados mediante Perfiles de Configuración
Si se usan perfiles de configuración para distribuir los ajustes de los servicios
corporativos, como Exchange, VPN o Wi-Fi, los certificados se pueden añadir al perfil
con el fin de optimizar la implantación.
Instalación de certificados mediante Mail o Safari
Si se envía un certificado en un correo electrónico, se mostrará como un adjunto.
También se puede usar Safari para descargar certificados desde una página web.
Puedes alojar un certificado en un sitio web seguro y facilitar a los usuarios la URL
desde la que pueden descargar el certificado en sus dispositivos.
Instalación mediante el protocolo SCEP (Simple Certificate Enrollment Protocol)
SCEP está diseñado para ofrecer un acceso simplificado a fin de administrar la
distribución de certificados en implantaciones a gran escala. Esto permite la inscripción
inalámbrica en el iPad de certificados digitales, que se pueden utilizar para la
autenticación del acceso a servicios corporativos, y para la inscripción en un servidor
de Mobile Device Management.
Si deseas más información sobre el protocolo SCEP y la inscripción inalámbrica, visita
www.apple.com/ipad/business/resources.
Revocación y eliminación de certificados
Para eliminar manualmente un certificado ya instalado, selecciona Ajustes > General
> Perfiles. Si eliminas un certificado necesario para acceder a una cuenta o red, el
dispositivo no podrá volver a conectarse a esos servicios.
Para eliminar certificados inalámbricamente se puede usar un servidor de Mobile
Device Management. Este servidor puede ver todos los certificados de un dispositivo y
eliminar los que tenga instalados.
Además, el iPad admite el protocolo OCSP (Online Certificate Status Protocol), que sirve
para comprobar el estado de los certificados. Cuando se usa un certificado que emplea
OCSP, el iPad lo valida para comprobar que no haya sido revocado antes de llevar a
cabo la tarea solicitada.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad y Safari son marcas comerciales de Apple Inc.,
registradas en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el presente documento pueden
ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están sujetas a cambios sin previo aviso.
Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su
uso. Marzo de 2011 L422499B-ES
14
El iPad en la empresa
Seguridad
Protección de dispositivos
• Contraseñas seguras
• Caducidad de códigos
• Historial de reutilización de contraseñas
• Número máximo de intentos fallidos
• Imposición inalámbrica del uso de contraseñas
• Desactivación progresiva por contraseña errónea
Seguridad de datos
• Cifrado por hardware
• Protección de datos
• Borrado remoto
• Borrado local
• Perfiles de Configuración cifrados
• Copias de seguridad de iTunes cifradas
Seguridad de red
• Integración de VPN IPSec de Cisco, L2TP y PPTP
• VPN con SSL mediante apps del App Store
• SSL/TLS con certificados X.509
• WPA/WPA2 Enterprise con 802.1X
• Autenticación basada en certificados
• RSA SecureID y CRYPTOCard
Seguridad de la plataforma
• Protección de ejecución
• Firma de código obligatoria
• Servicios de llavero
• Interfaces API Crypto comunes
• Protección de datos de aplicaciones
El iPad accede a los servicios de la empresa de forma segura y protege los datos
que contiene. El iPad ofrece cifrado seguro en la transmisión de datos y métodos de
autenticación acreditados para acceder a los servicios de la empresa. Además, todos
los datos almacenados en el dispositivo se cifran por hardware. El iPad también ofrece
protección segura mediante el uso de políticas de contraseña que se pueden diseñar
e imponer de forma inalámbrica. Además, si el dispositivo cayese en malas manos, los
usuarios y los administradores de TI pueden enviar una orden de borrado remoto para
garantizar que la información privada se borra.
Cuando nos planteamos la seguridad del iPad para su uso en empresas, es útil conocer lo
siguiente:
• Seguridad del dispositivo: métodos que impiden el uso no autorizado del dispositivo.
• Seguridad de datos: máxima protección de los datos, incluso si el dispositivo se pierde o
lo roban.
• Seguridad de red: protocolos de red y cifrado de los datos transmitidos.
• Seguridad de aplicaciones: fundamentos de la plataforma segura de iOS.
Estas funciones se conjugan para ofrecer una plataforma segura de informática móvil.
Seguridad del dispositivo.
Es importante establecer estrictas políticas de acceso al iPad para proteger la información
de la empresa. La contraseña de dispositivo es la primera línea de defensa contra usos
no autorizados y se puede configurar e imponer de forma inalámbrica. El iPad emplea
la contraseña exclusiva determinada por cada usuario para generar una clave de cifrado
segura con la que proteger en mayor medida el correo y los datos confidenciales de las
aplicaciones del dispositivo. Además, el iPad proporciona métodos seguros de configurar
el terminal en entornos empresariales, donde se deben aplicar ciertos ajustes, políticas y
limitaciones. Estos métodos proporcionan opciones flexibles para establecer un nivel de
protección estándar para los usuarios autorizados.
Políticas de contraseña
Una contraseña de dispositivo impide que los usuarios sin autorización accedan a
los datos guardados en el iPad o incluso al dispositivo. iOS 4 permite elegir entre un
amplio conjunto de requisitos para contraseñas con los que satisfacer las necesidades
de seguridad, como periodos de inactividad, solidez de las contraseñas y frecuencia de
modificación de la contraseña.
Se ofrecen las siguientes políticas de contraseña:
• Exigencia de contraseña en el dispositivo
• Autorización de valores simples
• Exigencia de contraseñas alfanuméricas
• Longitud mínima de contraseña
• Número mínimo de caracteres complejos
• Vigencia máxima de contraseñas
• Bloqueo automático
• Historial de contraseñas
•Periodo de gracia para bloqueo del dispositivo
•Número máximo de intentos fallidos
15
Imposición de políticas
Las políticas descritas arriba se pueden configurar en el iPad de diversas maneras. Las
políticas también pueden distribuirse como parte de un Perfil de Configuración para
que lo instalen los usuarios. El perfil se puede definir de modo que solo se pueda
borrar con una contraseña de administrador, o para que esté ligado al terminal y
solo se pueda borrar si se borra todo el contenido del equipo. Además, los ajustes
de contraseñas se pueden configurar remotamente mediante soluciones de Mobile
Device Management, capaces de transmitir las políticas directamente al dispositivo.
Esto permite imponer y actualizar las políticas sin que el usuario deba hacer nada.
Opcionalmente, si el dispositivo está configurado para acceder a una cuenta de
Exchange de Microsoft, las políticas de Exchange ActiveSync son remitidas de forma
inalámbrica al dispositivo. Recuerda que el conjunto disponible de políticas depende
de la versión de Exchange (2003, 2007 o 2010). En la Guía de integración en empresas
encontrarás un desglose de las políticas admitidas para tu configuración específica.
Restricciones disponibles
• Acceso al iTunes Store
• Acceso a medios explícitos y valoraciones
de contenido en el iTunes Store
• Uso de Safari y preferencias de seguridad
• Uso de YouTube
• Uso del App Store y compra desde apps
• Instalación de apps
• Posibilidad de capturar pantallas
• Sincronización automática en itinerancia
• Uso de marcación por voz
• Imposición de copias de seguridad de iTunes
cifradas
• Uso de la cámara
Configuración del dispositivo segura
Los Perfiles de Configuración son archivos XML que contienen las políticas de seguridad
y restricciones del dispositivo, la información de la configuración de la red VPN,
los ajustes Wi-Fi y las cuentas de correo electrónico y calendarios, así como las
credenciales de autenticación que permiten que el iPad funcione con los sistemas de
la empresa. La posibilidad de establecer políticas de contraseña y ajustes de dispositivo
con un Perfil de Configuración garantiza que los dispositivos de la empresa estén
correctamente configurados y respeten los estándares de seguridad establecidos por
la organización. Como los Perfiles de Configuración se pueden cifrar y bloquear, los
ajustes no se pueden eliminar, modificar ni compartir con otros usuarios.
Los Perfiles de Configuración se pueden firmar y cifrar. La firma de un Perfil de
Configuración garantiza que no se puedan modificar los ajustes que establece.
El cifrado de un Perfil de Configuración protege su contenido y solo permite su
instalación en el dispositivo para el que fue creado. Los Perfiles de Configuración se
cifran con CMS (Cryptographic Message Syntax, RFC 3852). Se admiten los algoritmos
3DES y AES 128.
La primera vez que se distribuye un Perfil de Configuración cifrado, se instala
mediante sincronización USB empleando la utilidad de configuración, o bien mediante
inscripción inalámbrica. Además de estos métodos, la distribución posterior de Perfiles
de Configuración cifrados se puede realizar mediante un adjunto de correo electrónico,
alojado en un sitio web accesible para los usuarios, o bien se envía al dispositivo
mediante soluciones de Mobile Device Management.
Restricciones del dispositivo
Las restricciones de dispositivo determinan qué prestaciones del iPad están disponibles
para los usuarios. Normalmente se aplican a programas con conexión a Internet, como
Safari, YouTube o el iTunes Store, pero las restricciones también pueden controlar
aspectos como la instalación de aplicaciones o el uso de la cámara. Las restricciones
de dispositivo permiten configurar el dispositivo en función de los requisitos de cada
empresa, de modo que los usuarios lo empleen de acuerdo con las prácticas de la
organización. Las restricciones pueden configurarse a mano en cada dispositivo,
imponerse con un Perfil de Configuración o establecerse a distancia con soluciones de
Mobile Device Management. Además, las restricciones de navegación web o del uso
de la cámara se pueden aplicar de forma inalámbrica con Exchange Server 2007 y 2010
de Microsoft.
Aparte de las restricciones de ajustes y políticas del dispositivo, la aplicación iTunes se
puede configurar y controlar desde el departamento de TI. Esto incluye el bloqueo del
acceso a contenido explícito. Para ello se definen los servicios de red disponibles desde
iTunes y se determina si se pueden instalar actualizaciones de programas.
16
Seguridad de los datos
La protección de los datos almacenados en el iPad es importante para cualquier
entorno en el que haya información confidencial de la empresa o los clientes. Además
de cifrar los datos transmitidos, el iPad ofrece cifrado por hardware para los datos
almacenados en el dispositivo, y cifrado adicional de correos electrónicos y datos de
aplicaciones con un nivel superior de protección de datos.
Si un dispositivo se extravía o es objeto de hurto, es importante desactivarlo y borrar
su contenido. También es buena idea instaurar una política que borre el dispositivo
tras un número determinado de intentos fallidos de introducción de la contraseña, lo
cual es una excelente medida disuasoria para evitar el intento de acceso no autorizado
al dispositivo.
Cifrado
El cifrado por hardware del iPad emplea la codificación AES de 256 bits para proteger
los datos del dispositivo. El cifrado está siempre activado y el usuario no lo puede
desconectar.
Desactivación progresiva por contraseña
errónea
El iPad se puede configurar para iniciar
automáticamente un borrado tras varios
intentos fallidos de introducción de
la contraseña. Si un usuario introduce
repetidamente la contraseña incorrecta, el iPad
se bloqueará durante periodos cada vez más
prolongados. Tras un número determinado de
intentos fallidos, se borrarán todos los datos y
ajustes del dispositivo.
Además, los datos guardados con la copia de seguridad de iTunes en el ordenador del
usuario se pueden cifrar. Esto puede ser activado por el usuario o impuesto mediante
los ajustes de restricción del dispositivo de los perfiles de configuración.
Protección de datos
De forma complementaria a las funciones de cifrado por hardware del iPad, los
mensajes de correo electrónico y los adjuntos almacenados en el dispositivo se
pueden salvaguardar en mayor medida mediante las prestaciones de protección de
datos integradas en iOS 4. La protección de datos emplea la contraseña exclusiva
del dispositivo del usuario en combinación con el cifrado por hardware del iPad para
generar una clave de cifrado segura. Esta clave evita el acceso a los datos cuando el
dispositivo está bloqueado, lo que garantiza que la información crucial esté segura
incluso si el dispositivo no lo está.
La activación de la protección de datos requiere que los dispositivos existentes sean
completamente restaurados desde una copia de seguridad al cambiar a la versión
iOS 4. Los nuevos dispositivos entregados con iOS 4 ya presentan esta característica.
Para activar la prestación de protección de datos solo es necesario establecer una
contraseña en el dispositivo. La eficacia de la protección de datos depende de
una contraseña segura, por lo que es importante exigir e imponer una contraseña
más fuerte que las de cuatro dígitos al establecer las políticas de contraseña de la
empresa. Los usuarios pueden comprobar si la protección de datos está activada en su
dispositivo consultando la pantalla de ajustes de contraseña. Las soluciones de Mobile
Device Management también permiten solicitar esta información al dispositivo.
Estas API de protección de datos también están a disposición de los desarrolladores, y
se pueden usar para salvaguardar los datos de aplicaciones comerciales o internas.
Borrado remoto
El iPad admite la opción de borrado remoto. Si el terminal se pierde o lo roban, el
administrador o propietario puede emitir una orden de borrado remoto que elimina
todos sus datos y lo desactiva. Si el dispositivo está configurado con una cuenta
de Exchange, el administrador puede iniciar una orden de borrado remoto desde
17
la consola Exchange Management Console (Exchange Server 2007) o Exchange
ActiveSync Mobile Administration Web Tool (Exchange Server 2003 o 2007). Los
usuarios de Exchange Server 2007 también pueden dar la orden de borrado remoto
directamente con Outlook Web Access. Las órdenes de borrado remoto también se
pueden iniciar desde soluciones de Mobile Device Management, incluso si no se usan
servicios corporativos de Exchange.
Borrado local
Los terminales también pueden configurarse para iniciar un borrado local
automáticamente tras varios intentos fallidos de introducción de la contraseña. Esto
protege contra los intentos de forzar el acceso al dispositivo. Cuando se establece
una contraseña, los usuarios tienen la posibilidad de activar directamente el borrado
local desde los ajustes del iPad. De serie, el iPad borra el dispositivo automáticamente
después de 10 intentos fallidos de introducción de la contraseña. Como con otras
políticas de contraseña, el número máximo de intentos fallidos se puede establecer
mediante un Perfil de Configuración, con un servidor de Mobile Device Management o
de forma inalámbrica con políticas de Exchange ActiveSync de Microsoft.
Protocolos de VPN
• IPSec de Cisco
• L2TP/IPSec
• PPTP
• VPN con SSL
Métodos de autenticación
• Contraseña (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• Certificados digitales X.509
• Secreto compartido
Protocolos de autenticación 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Formatos de certificado admitidos
El iPad admite los certificados X.509 con claves
RSA. Reconoce las extensiones de archivo .cer,
.crt y .der.
Seguridad de red
Los usuarios móviles deben ser capaces de acceder a las redes de información
corporativas desde cualquier lugar del mundo, pero también es importante asegurarse
de que los usuarios estén autorizados y de que los datos estén protegidos durante
la transmisión. El iPad ofrece tecnologías acreditadas para cumplir estos objetivos de
seguridad, para conexiones tanto Wi-Fi como de redes de telefonía móvil.
VPN
Muchos entornos empresariales tienen algún tipo de red privada virtual. Estos servicios
seguros de red ya están implantados y suelen requerir una configuración mínima para
funcionar con el iPad.
De serie, el iPad se integra con una amplia gama de tecnologías VPN muy extendidas,
ya que es compatible con IPSec de Cisco, L2TP y PPTP. Además, el iPad admite VPN
con SSL mediante aplicaciones de Juniper, Cisco y F5 Networks. La compatibilidad
con estos protocolos garantiza el máximo nivel de cifrado por IP para la transmisión de
información confidencial.
Además de permitir el acceso seguro a entornos VPN existentes, el iPad ofrece
métodos acreditados para la autenticación de usuarios. La autenticación mediante
certificados digitales X.509 estándar ofrece al usuario un acceso optimizado a los
recursos de la empresa y constituye una alternativa viable a los tokens por hardware.
Además, la autenticación con certificado permite al iPad aprovechar las ventajas de
VPN por petición, con lo que el proceso de autenticación VPN es transparente sin
dejar de ofrecer un acceso identificado sólido a los servicios de red. Para entornos
empresariales en los que se exige un token de doble factor, el iPad se integra con RSA
SecurID y CRYPTOCard.
El iPad admite la configuración de proxy de red, así como túnel IP dividido, de modo
que el tráfico a dominios de red públicos o privados es remitido en función de las
políticas de la empresa.
SSL/TLS
El iPad admite SSL v3 y también Transport Layer Security (TLS v1.0), el estándar
de seguridad de última generación para Internet. Safari, Calendario, Mail y otras
aplicaciones de Internet inician automáticamente estos mecanismos para establecer
un canal de comunicación cifrada entre el iPad y los servicios corporativos.
WPA/WPA2
18
El iPad utiliza WPA2 Enterprise para ofrecer acceso autenticado a la red inalámbrica
de la empresa. WPA2 Enterprise emplea cifrado AES de 128 bits, que ofrece a los
usuarios las máximas garantías de que sus datos estarán protegidos al enviar y recibir
comunicaciones a través de la conexión a una red Wi-Fi. Además, como el iPad es
compatible con 802.1X, puede integrarse en un amplio abanico de entornos de
autenticación RADIUS.
Seguridad de aplicaciones
iOS está íntegramente desarrollado para ofrecer la máxima seguridad. Incluye un
sistema de «jaulas» para la protección de aplicaciones en tiempo de ejecución y exige
la firma digital para que no se puedan manipular las aplicaciones. iOS también cuenta
con un entorno protegido que permite guardar con seguridad las credenciales de
servicios de aplicaciones y redes en un llavero cifrado. Para los desarrolladores, ofrece
una arquitectura de cifrado común que puede usarse para cifrar almacenes de datos
de aplicaciones.
Protección de ejecución
Las aplicaciones del dispositivo están «enjauladas», de modo que no pueden acceder a
datos almacenados por otras aplicaciones. Además, los archivos, los recursos y el kernel
del sistema están aislados del espacio para aplicaciones del usuario. Si una aplicación
necesita acceder a datos de otra aplicación, solo puede hacerlo usando las API y los
servicios ofrecidos por iOS. También se impide la generación de código.
Firma de código obligatoria
Todos los programas para el iPad deben ir firmados. Las aplicaciones que el
terminal incluye de serie vienen firmadas por Apple. Las de terceros son firmadas
por el desarrollador usando un certificado emitido por Apple. Así se garantiza que
las aplicaciones no hayan sido manipuladas ni modificadas. Además, se realizan
comprobaciones en tiempo de ejecución para garantizar que una aplicación no haya
dejado de ser de confianza desde su última utilización.
El uso de aplicaciones personalizadas o internas se puede controlar con un perfil de
datos. Los usuarios deben tener este perfil instalado para poder ejecutar la aplicación
en cuestión. Los perfiles de datos se pueden instalar o revocar inalámbricamente
mediante soluciones de Mobile Device Management. Los administradores también
pueden limitar el uso de una aplicación en determinados terminales.
Entorno de autenticación seguro
El iPad proporciona un llavero cifrado seguro donde guardar identidades digitales,
nombres de usuario y contraseñas. Los datos del llavero se compartimentan para que
las credenciales guardadas por aplicaciones de terceros no puedan ser utilizadas por
aplicaciones con una identidad diferente. Esto constituye el mecanismo para proteger
las credenciales de autenticación del iPad en una amplia gama de aplicaciones y
servicios de la empresa.
Arquitectura Crypto común
Los desarrolladores de aplicaciones tienen acceso a API de cifrado que pueden usar
para elevar la protección de los datos de sus aplicaciones. Los datos se pueden cifrar
simétricamente mediante métodos acreditados, como AES, RC4 o 3DES. Además,
el iPad ofrece aceleración por hardware para el cifrado AES y el hash SHA1, lo que
optimiza el rendimiento de las aplicaciones.
Protección de datos de aplicaciones
Las aplicaciones también pueden utilizar el cifrado por hardware integrado en el iPad
para proteger en mayor medida sus datos confidenciales. Los desarrolladores pueden
designar qué archivos concretos deben protegerse, indicando al sistema que el
contenido de esos archivos debe ser inaccesible criptográficamente para la aplicación
y cualquier intruso potencial cuando el dispositivo está bloqueado.
19
Dispositivo revolucionario y seguro por los cuatro costados
El iPad ofrece protección cifrada de datos en tránsito, en reposo y en las copias de
seguridad de iTunes. Cuando un usuario accede al correo electrónico corporativo, visita
un sitio web privado o se autentica en la red empresarial, el iPad garantiza que solo
los usuarios autorizados puedan acceder a la información confidencial de la empresa.
Además, gracias a su compatibilidad con las redes empresariales y a sus completos
métodos de prevención de pérdida de datos, el iPad se puede implantar con la
tranquilidad que supone emplear un sistema de seguridad de dispositivos móviles y
protección de datos plenamente acreditado.
Si deseas obtener más información y recursos de implantación para el iPad, visita
www.apple.com/es/ipad/business/integration/.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad, iTunes y Safari son marcas comerciales de
Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de servicio de Apple Inc. iTunes Store es una marca
de servicio de Apple Inc., registrada en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el
presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del producto están
sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier
responsabilidad relacionada con su uso. Marzo de 2011 L422500B-ES
20
El iPad en la empresa
Mobile Device Management
El iPad admite el sistema Mobile Device Management (administración de dispositivos
móviles), lo que permite a las empresas administrar implantaciones ampliables del
iPad en sus organizaciones. Estas funciones de Mobile Device Management se basan
en tecnologías ya existentes en iOS, como los Perfiles de Configuración, la inscripción
inalámbrica y el servicio de notificación push de Apple, y se pueden integrar con
soluciones de servidor propias o de terceros. Esto permite a los departamentos de TI
inscribir de forma segura el iPad en un entorno empresarial, configurar y actualizar
ajustes inalámbricamente, supervisar el cumplimiento de las políticas corporativas e
incluso bloquear y borrar de forma remota los iPad que estén bajo su administración.
Administración del iPad
La administración del iPad se realiza mediante una conexión con un servidor de
Mobile Device Management. Como ya se ha señalado, este servidor se puede adquirir
en un proveedor externo. Cuando un servidor de Mobile Device Management quiere
comunicarse con un iPad, se envía una notificación muda al dispositivo para indicarle
que se registre en el servidor. El dispositivo se comunica con el servidor para ver si hay
tareas pendientes y responde con las acciones oportunas. Estas tareas pueden consistir
en actualizar políticas, ofrecer la información de dispositivo o de red solicitada, o
eliminar ajustes y datos.
Las funciones de administración se realizan en segundo plano, sin intervención del
usuario. Por ejemplo, si un departamento de TI actualiza la infraestructura de su red
VPN, el servidor de Mobile Device Management puede configurar el iPad con nuevos
datos de cuenta de forma inalámbrica. La próxima vez que el empleado use la red
VPN, la configuración correcta ya estará implantada, por lo que el usuario no necesitará
llamar al servicio de asistencia técnica ni modificar manualmente ningún ajuste.
Para ilustrar las funciones de Mobile Device Management, este documento está
organizado en cuatro categorías de implantación: inscripción, configuración, consultas
y administración.
Cortafuegos
Servicio de notificaciones
push de Apple
Servidor de MDM de
terceros
21
Inscripción
El primer paso para la administración del iPad es inscribir el dispositivo en un servidor
de Mobile Device Management. Esto crea una relación entre el dispositivo y el
servidor, y permite que el dispositivo sea administrado bajo petición sin la posterior
intervención del usuario. Se puede realizar de forma inalámbrica o conectando el iPad
a un ordenador por USB.
Como método para inscribir dispositivos en un entorno empresarial de forma segura y
ampliable, el iPad admite un proceso llamado «inscripción inalámbrica» (Over-the-Air
Enrollment).
Con este método, la empresa ofrece un portal web seguro en el que los usuarios
pueden inscribir sus dispositivos para que sean administrados. De este modo, el
servidor puede configurar los dispositivos administrados con las restricciones y los
accesos a cuentas correspondientes.
El iPad y el protocolo SCEP
El iPad admite el protocolo SCEP (Simple
Certificate Enrollment Protocol). El SCEP es un
borrador de Internet del IETF. Está diseñado
para simplificar la distribución de certificados
en implantaciones a gran escala. Permite la
inscripción inalámbrica de certificados de
identidad en el iPad, que se pueden usar
para la autenticación en el acceso a servicios
corporativos.
Descripción del proceso
El proceso de inscripción inalámbrica comprende tres fases que, combinadas en un
flujo de trabajo automatizado, ofrecen una forma segura de implantar los dispositivos
en la empresa. Estas fases son:
1. Autenticación del usuario
La autenticación del usuario garantiza que las peticiones de inscripción entrantes
provengan de usuarios autorizados, y que la información del dispositivo del usuario
sea recopilada antes de proceder con la inscripción del certificado. Los administradores
pueden solicitar al usuario que inicie el proceso de inscripción proporcionándoles una
URL por correo electrónico o SMS.
2. Inscripción de certificado
Una vez autenticado el usuario, el iPad genera una petición de inscripción de
certificado mediante el protocolo SCEP (Simple Certificate Enrollment Protocol). Esta
petición de inscripción se comunica directamente con la autoridad de certificados (CA)
de la empresa y permite que el iPad reciba el certificado de identidad remitido por la
CA.
3. Configuración de dispositivos
Una vez instalado un certificado de identidad, el iPad puede recibir información de
configuración cifrada de forma inalámbrica. Esta información solo se puede instalar en
el dispositivo para el que se generó y contiene ajustes que permiten al iPad conectarse
al servidor de Mobile Device Management.
Al final del proceso de inscripción, se presentará al usuario una pantalla de instalación
que describe los derechos de acceso del servidor de Mobile Device Management con
respecto al dispositivo. Cuando el usuario acepte la instalación del perfil, el dispositivo
quedará automáticamente inscrito, sin necesidad de que el usuario vuelva a intervenir.
22
Configuración
Una vez inscrito como dispositivo administrado, se puede usar el servidor de Mobile
Device Management para configurarlo dinámicamente con ajustes y políticas. El
servidor envía al dispositivo configuraciones, llamadas Perfiles de Configuración, y se
instalan automáticamente.
Los Perfiles de Configuración son archivos XML que contienen información y ajustes
de configuración que permiten que el iPad use los sistemas de la empresa. Estos datos
incluyen información de cuentas, políticas de contraseña, restricciones y otros ajustes
del dispositivo.
Cuando se combina con el proceso ya descrito de inscripción, la configuración del
dispositivo garantiza al departamento de TI que solo los usuarios de confianza podrán
acceder a los servicios corporativos, y que los dispositivos cumplirán las políticas
establecidas.
Como los perfiles de configuración se pueden firmar, cifrar y bloquear, los ajustes no se
pueden eliminar, modificar ni compartir con otros usuarios.
Ajustes configurables admitidos
Cuentas
• Exchange ActiveSync
• Correo electrónico IMAP/POP
• VPN
• Wi-Fi
• LDAP
• CalDAV
• CardDAV
• Calendarios suscritos
Restricciones
• Instalación de apps
• Cámara
• Captura de pantallas
• Sincronización automática de cuentas de
correo en itinerancia
• Marcación por voz con dispositivo bloqueado
• Compras desde aplicaciones
• Exigencia de copias de seguridad cifradas
en iTunes
• Música y podcasts explícitos en iTunes
• Autorización de valoraciones de contenido de películas, programas de TV y apps
• YouTube
• iTunes Store
• App Store
• Safari
• Preferencias de seguridad de Safari
Políticas
• Exigencia de contraseña
• Autorización de valores simples
• Exigencia de contraseñas alfanuméricas
• Longitud de contraseña
• Número de caracteres complejos
• Vigencia máxima de contraseñas
• Intervalo previo a bloqueo automático
• Número de contraseñas distintas antes de
reutilización
Otros ajustes
• Periodo de gracia para bloqueo del
• Certificados e identidades
dispositivo
• Clips web
• Número de intentos fallidos antes del
• Ajustes APN
borrado
• Control de la eliminación del perfil de configuración por parte del usuario
23
Consulta
Además de configurar dispositivos, un servidor de Mobile Device Management puede
consultar a los dispositivos diversa información. Esta información se puede emplear
para comprobar que los dispositivos sigan cumpliendo las políticas exigidas.
El servidor de Mobile Device Management determina la frecuencia con que recopila
esta información.
Consultas admitidas
Información del dispositivo
• Identificador exclusivo del dispositivo (UDID)
• Nombre del dispositivo
• Versión de iOS y build
• Nombre y número de modelo
• Número de serie
• Capacidad y espacio disponible
• IMEI
• Firmware del módem
Información de red
• ICCID
• Direcciones MAC de Bluetooth® y Wi-Fi
• Red del operador actual
• Red del operador SIM
• Versión de ajustes del operador
• Número de teléfono
• Ajuste de itinerancia de datos (activado/
desactivado)
Datos de seguridad y cumplimiento
• Perfiles de Configuración instalados
• Certificados instalados con fecha de caducidad
• Lista de todas las restricciones impuestas
• Función de cifrado por hardware
• Contraseña presente
Aplicaciones
• Aplicaciones instaladas (identificador de la
app, nombre, versión, tamaño y volumen
de datos de la app)
• Perfiles de datos instalados con fecha de
caducidad
Gestión
Cuando un dispositivo está administrado, el servidor de Mobile Device Management
puede llevar a cabo esta tarea mediante un conjunto de acciones específicas.
Acciones admitidas
Borrado remoto
Un servidor de Mobile Device Management puede borrar el contenido de un iPad
de forma remota. Esta acción eliminará permanentemente la información y archivos
digitales del iPad, y restaurará su configuración de fábrica.
Bloqueo remoto
El servidor bloquea el iPad y exige la contraseña del dispositivo para desbloquearlo.
Borrar contraseña
Esta acción elimina temporalmente la contraseña del dispositivo para los usuarios
que la han olvidado. Si el dispositivo tiene una política de exigencia de contraseña, se
indicará al usuario que debe crear una nueva.
Perfiles de Configuración y de Datos
Para configurar dispositivos y distribuir aplicaciones de desarrollo interno, los
servidores de Mobile Device Management pueden añadir y eliminar Perfiles de
Configuración y de Datos de forma remota.
24
Descripción del proceso
Este ejemplo ilustra una implantación básica de un servidor de Mobile Device Management.
1
Cortafuegos
3
2
4
Servicio de notificaciones
push de Apple
Servidor de MDM de terceros
5
1
Se envía al dispositivo un Perfil de Configuración que contiene los datos del servidor de Mobile Device Management. El usuario
recibe información sobre qué será administrado u objeto de consulta por parte del servidor.
2
El usuario instala el perfil para aceptar que el dispositivo sea administrado.
3
La inscripción del dispositivo se realiza al instalar el perfil. El servidor valida el dispositivo y permite el acceso.
4
El servidor envía una notificación push que indica al dispositivo que se registre para llevar a cabo tareas o consultas.
5
El dispositivo se conecta directamente al servidor mediante HTTPS. El servidor envía comandos o solicita información.
Si deseas más información sobre Mobile Device Management, visita www.apple.com/es/ipad/business/integration.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad, iTunes y Safari son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de
servicio de Apple Inc. iTunes Store es una marca de servicio de Apple Inc., registrada en EE. UU. y en otros países. La marca Bluetooth es una marca comercial registrada de Bluetooth SIG Inc., y Apple dispone de licencia para usar dicha marca. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones
del producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011
L422501B-ES
25
El iPad en la empresa
Implantación de iTunes
Introducción
Al implantar el iPad en la empresa, es importante valorar el papel desempeñado por
iTunes. Algunas funciones clave requieren iTunes, empezando por la activación del
dispositivo. Una vez activado, iTunes no es necesario para configurar ni usar el iPad con
los sistemas empresariales. No obstante, sí es necesario para instalar actualizaciones de
programas y crear copias de seguridad, que se utilizan para restaurar la información del
usuario o transferirla a otro dispositivo. iTunes también sirve para sincronizar música,
vídeos, aplicaciones y otros contenidos. Estas funciones de sincronización no son
necesarias para el uso profesional habitual.
Controles y restricciones de iTunes
Al implantar iTunes en la red corporativa,
puedes restringir las siguientes funciones de
iTunes mediante el registro de Windows o
Preferencias del Sistema en Mac OS X:
• Acceso al iTunes Store
• Bibliotecas compartidas con ordenadores de la
red local que también tengan iTunes
• Reproducción de contenido explícito de iTunes
• Reproducción de películas
• Reproducción de programas de televisión
• Reproducción de radio por Internet
• Introducción de una URL de emisión de
medios en streaming
• Suscripción a podcasts
• Visualización de sugerencias Genius al navegar
o reproducir medios
• Descarga de portadas de álbumes
• Uso de complementos de Visualizer
• Detección automática de sistemas Apple TV
• Comprobación de nuevas versiones de iTunes
• Comprobación de actualizaciones de software
del dispositivo
• Sincronización automática al conectar dispositivos
• Registro en Apple de nuevos dispositivos
• Acceso a iTunes (iTunes U)
Se puede elegir entre instalar iTunes en los ordenadores de la empresa o pedir a los
empleados que realicen estas funciones desde su ordenador particular. En ambos
casos, los datos corporativos están cifrados y protegidos durante todo el proceso. Si se
decide usar iTunes internamente, se puede personalizar la aplicación para cumplir las
necesidades del entorno y las políticas de uso de la empresa. Por ejemplo, se puede
adaptar iTunes restringiendo o desactivando servicios de red como el iTunes Store y las
bibliotecas compartidas de medios, o bien controlando el acceso a actualizaciones de
programas. También se puede implantar iTunes mediante herramientas de implantación
de software de sobremesa administradas de forma centralizada.
Para el usuario final, iTunes es fácil de usar. Los usuarios que ya conocen la interfaz
de iTunes para administrar contenido y medios fuera del trabajo no tendrán ningún
problema para administrar su contenido corporativo desde el iPad.
Uso de iTunes
Activación
Para activar el iPad y poder empezar a usarlo, debe estar conectado a iTunes mediante
USB. Como iTunes es necesario para llevar a cabo el proceso de activación del iPad, hay
que decidir si se desea instalar iTunes en el Mac o PC de cada usuario, o si se prefiere
completar la activación de los dispositivos con una instalación centralizada de iTunes. En
ambos casos, el proceso de activación es rápido y sencillo.
El usuario solo tiene que conectar el iPad a un Mac o PC con iTunes y, en cuestión de
segundos, el iPad estará activado y listo para su uso.
Una vez activado el dispositivo, iTunes ofrece sincronizarlo con el ordenador. Para evitar
este paso al activar los dispositivos de los usuarios, puedes usar iTunes en modo de solo
activación. Así se desactiva la sincronización y las copias de seguridad automáticas, y la
aplicación te invita a desconectar el dispositivo en cuanto concluye la activación.
Si deseas instrucciones sobre cómo habilitar el modo de solo activación, consulta la Guía
de integración en empresas.
26
Sincronización de medios
Puedes usar iTunes para sincronizar música, vídeos, fotos y apps, entre otras cosas.
Con iTunes es fácil controlar exactamente qué se quiere sincronizar. También indica
claramente cuánto espacio queda. El iPad solo puede sincronizar cada tipo de datos
con un único ordenador. Por ejemplo, puedes sincronizar la música con tu ordenador
personal y los contactos con el ordenador del trabajo. Para ello basta con configurar
iTunes para que realice las sincronizaciones oportunas en cada ordenador.
Actualizaciones de software
iTunes se usa para actualizar o reinstalar el software del iPad y para restaurar los
ajustes por omisión o una copia de seguridad. Las actualizaciones no afectan a
las aplicaciones descargadas, a los ajustes ni a los datos. Para actualizar, el usuario
simplemente conecta el iPad al ordenador y hace clic en «Buscar Actualización».
iTunes informa al usuario si hay una versión nueva disponible del software del iPad.
Si desactivas la comprobación de actualizaciones automática e iniciada por el usuario,
deberás distribuir las actualizaciones para su instalación manual. Para ello, distribuye el
archivo .ipsw asociado a cada versión del software y da instrucciones al usuario para
instalar la actualización manualmente.
Podcasts de iTunes
iTunes permite suscribirse a podcasts de
audio y vídeo, y también descargarlos. Los
podcasts son muy útiles para distribuir
muchos contenidos, como materiales de
formación y enseñanza, comunicaciones
corporativas e información de productos.
Además, los podcasts se pueden transferir
fácilmente al iPad, de modo que los empleados
podrán escucharlos y verlos cuando y donde
quieran. El iTunes Store también incluye
miles de podcasts gratuitos de temas de
negocios creados por diversas instituciones,
como Harvard Business Review, Wharton y
Bloomberg, entre otras.
Copia de seguridad
Aunque la sincronización de datos para usuarios de empresa normalmente se realiza
inalámbricamente mediante servicios corporativos como Exchange ActiveSync, el uso
de iTunes para hacer copias de seguridad de los ajustes del iPad es importante si los
usuarios necesitan restaurar su dispositivo. Cuando el iPad se sincroniza con iTunes, los
ajustes del dispositivo se guardan automáticamente en el ordenador. Las aplicaciones
adquiridas en el App Store se copian en la biblioteca de iTunes. Las aplicaciones
desarrolladas internamente y distribuidas a los usuarios con perfiles de datos de la
empresa no forman parte de las copias de seguridad ni se transfieren al ordenador
del usuario. No obstante, la copia de seguridad del dispositivo incluirá los archivos de
datos creados por las aplicaciones de la empresa. Cuando un iPad está configurado
para sincronizarse con un ordenador concreto, iTunes hace automáticamente una
copia de seguridad del iPad cuando se sincroniza con dicho ordenador. iTunes no
realizará esta operación automáticamente con un iPad que no esté configurado para
sincronizarse con ese ordenador.
Las copias de seguridad que iTunes hace en el equipo anfitrión se pueden cifrar para
impedir pérdidas de datos no deseadas en el ordenador anfitrión. Los archivos de copia
de seguridad se cifran con AES 128 y una clave de 256 bits. La clave se almacena de
forma segura en el llavero del iPad. Al realizar la primera copia de seguridad del iPad,
se solicita al usuario que cree una contraseña segura.
Implantación de iTunes
Instalación
iTunes emplea instaladores estándar de Mac OS y Windows, y se puede implantar
mediante muchas de las aplicaciones de administración de sobremesa habitualmente
empleadas por los profesionales de TI. Una vez que se han modificado los ajustes y
políticas en el instalador de iTunes, la aplicación puede implantarse del mismo modo
que el resto de las aplicaciones de la empresa.
27
Al instalar iTunes en ordenadores con Windows, por omisión también se instala
la última versión de QuickTime, Bonjour y Actualización de Software de Apple. Se
pueden omitir los componentes Bonjour y Actualización de Software definiendo
los parámetros en el instalador de iTunes, o bien enviando a los ordenadores de
los usuarios únicamente los componentes oportunos. No obstante, el componente
QuickTime es necesario, y iTunes no funcionará sin él. Los ordenadores Mac incluyen
iTunes de serie. Para enviar iTunes a los clientes Mac, puedes usar Workgroup Manager,
una herramienta administrativa incluida en Mac OS X Server.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, Apple TV, Bonjour, iPad, iTunes, iTunes U, Mac, Mac OS y
QuickTime son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de servicio de Apple
Inc. iTunes Store es una marca de servicio de Apple Inc., registrada en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones del
producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia
a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422502B-ES