Einige Einstellungen, die für den Einsatz des iPhones im Unternehmen obligatorisch sind, können nicht vom Gerätebenutzer über die Konfigurationsoberfläche des iPhones bzw. des iPads eingestellt werden. Trotzdem werden diese vom Betriebssystem iOS4 unterstützt. Um den Anforderungen innerhalb eines Unternehmensnetzwerkes gerecht zu werden, müssen diese Einstellungen über ein Konfigurationswerkzeug (Download verfügbar für MacOSX und Windows) in Form von Konfigurationsprofilen vorgenommen werden.
iPhone Konfigurationswerkzeug
Das „iPhone Konfigurationswerkzeug“ (iPhone Configuration Utility, iPCU) dient dem Anlegen und Verwalten von Konfigurationsprofilen für das iPhone in Unternehmensnetzwerken. Zudem besteht die Möglichkeit, unternehmenseigene Geräte über eine zentrale Managementkonsole remote zu managen. Dazu können im Gerät Adressen von Konfigurationsservern hinterlegt werden, zu denen konfigurierte Geräte regelmäßig und ohne Benutzerinteraktion Verbindungen herstellen. Über diesen regelmäßigen Kommunikationskanal können sowohl Geräteberichte (z.B. über installierte Applikationen), als auch Konfigurationsprofile übertragen und verteilt werden. Das iPCU erlaubt zudem die unternehmensinterne Bereitstellung von Applikationen.
Konfigurationsprofile
Ein Konfigurationsprofil stellt einen Container für mögliche Konfigurationseinstellungen (sog. Configuration Payloads) des iPhones im Unternehmenseinsatz dar. Dieser Container kann entweder einzelne oder alle Konfigurationseinstellungen für ein bestimmtes Gerät enthalten. Da einem iPhone mehrere Profile zugeordnet werden können, können unternehmensweite und geräte- bzw. benutzerspezifische Einstellungen in verschiedenen Profilen gehalten werden. So ist es z.B. möglich, unternehmensweite Kennwortrichtlinien in einem eigenen Konfigurationsprofil zu pflegen, benutzerspezifische Einstellungen eines Exchange-Accounts in einem zweiten.
Konfigurationseinstellungen können sich in der erlaubten Multiplizität unterscheiden innerhalb eines Profils unterscheiden. So können z.B. Kennwortrichtlinien nur einmal innerhalb eines Profils angelegt werden, hingegen für WiFi-Verbindungsoptionen können mehrere Einstellungen für mehrere WLANs hinterlegt werden. Werden auf einem iPhone mehrere Profile installiert, so wird bei eindeutigen Einstellungen (derzeit nur Sicherheitseinstellungen) für jede Einstellung die jeweils restriktivere angewandt. Bei anderen Konfigurationseinstellungen wird jeweils die Konjunktion der Einstellungen gebildet.
Ist ein Exchange Konto auf dem iPhone eingerichtet, so werden die anzuwendenden Group Policies auf die Profileinstellungen angewandt. Dabei gilt, dass GPs die im Profil konfigurierten Einstellungen immer überschreiben.
Konfigurationsprofile werden in Form von XML Dateien repräsentiert. Sie können verschiedene, gerätebezogene Einstellungen enthalten und auf einzelne oder mehrere Geräte verteilt werden. Da Konfigurationsprofile vertrauliche Daten wie Kennwörter und private Benutzerzertifikate enthalten können, werden die XML Dateien mittels hybrider Verschlüsselungsverfahren nach relevanten Teilen des XML Security Standard verschlüsselt. Um die Integrität der Konfigurationsprofile während und nach der Verteilung zu gewährleisten, können die Profile digital signiert werden. Für die Verteilung geräte- oder benutzerspezifischer Einstellungen (z.B. Kennwörter oder private Zertifikate) können Konfigurationsprofile gerätebezogen signiert werden, so dass eine Installation des Profils nur auf genau einem Gerät möglich ist.
Für die automatische Generierung geräte- oder benutzerbezogener Profile kann die Erstellung der Profile mittels AppleScript (nur MacOSX) oder C# Script (nur Windows) erfolgen.
Wenn bestehende Konfigurationsprofile auf einem Gerät durch aktualisierte Profile ersetzt werden sollen, so ist dies nur möglich, wenn das aktualisierte Profil von der gleichen Instanz signiert wurde wie das vorherige.
Bei der Erstellung eines neuen Konfigurationsprofils kann ausgewählt werden, ob und wie dieses Profil nach der Installation auf einem Gerät wieder entfernt werden kann. Grundsätzlich stehen drei Varianten zur Verfügung:
Profileinstellung | Auswirkung |
always | Der Benutzer kann das Profil jederzeit wieder entfernen. Alle durch das Profil vorgenommenen Einstellungen werden gelöscht. Alle mittels des Profils installierten Zertifikate, WiFi-Einstellungen, Exchange Konten, etc. werden mit der Deinstallation des Profils gelöscht. |
with authentication | Der Administrator kann ein Kennwort vergeben, welches beim Löschen des Profils eingegeben werden muss. Aktualisierungen des Profils können ohne Eingabe des Kennworts vorgenommen werden. |
never | Das Konfigurationsprofil kann nur durch ein vollständiges Zurücksetzen des Gerätes entfernt werden. Dabei werden alle sich auf dem Gerät befindlichen Daten gelöscht. Eine Aktualisierung des Profils ist möglich. |
Die Verteilung der Konfigurationsprofile kann auf drei verschiedenen Wegen erfolgen:
- Direkte Geräteverbindung zum iPhone über USB
- Versand des verschlüsselten und signierten Profils über Email an das iPhone (OTA-Verteilung)
- Speicherung des verschlüsselten und signierten Profils auf einem Webserver und (optional) Versand der Ziel-URL an das iPhone via SMS (OTA-Verteilung)
Konfigurationseinstellungen
In der derzeitigen Version des iPCU und unter Verwendung des iOS4 stehen derzeit 16 Klassen von Konfigurationseinstellungen zur Verfügung:
Einstellung | Inhalte |
General | Konfiguration des Profilnamens
Einstellung ob und wie das Profil auf dem Gerät gelöscht werden kann |
Passcode* | Einstellungen zum Kennwortschutz des Gerätes (z.B. Komplexität des Kennworts, Gültigkeitsdauer, Historie, etc.) |
Restrictions | Einschränkung von Gerätefunktion (z.B. Installieren von Applikationen, Deaktivieren der Kamera, Screenshots, verschlüsselte Gerätebackups) |
Wi-Fi | Konfiguration von WLAN-Zugangsdaten |
VPN | Konfiguration von VPN-Zugängen derzeit unterstützt:L2TP, PPTP, Cisco IPSec, Cisco AnyConnect, Juniper SSL |
Konfiguration von IMAP- oder POP-basierten Email-Konten | |
Exchange ActiveSync* | Konfiguration von ActiveSync-basierten Exchange Konten |
LDAP | Konfiguration von LDAP-basierten Adressbüchern |
CalDAV, Subscribed Calendars |
Konfiguration von CalDAV-basierten Internetkalendern |
CardDAV | Konfiguration von CardDAV-basierten Adressbüchern |
Web Clips | Konfiguration von Links zu Webseiten die auf dem Home Screen des Benutzers abgelegt werden |
Credentials* | Transfer von Benutzerzertifikaten aus dem lokalen Zertifikatsspeicher auf das iPhone |
SCEP | Einstellungen für die Zertifikatsrollout über das Simple Certificate Enrollment Protocol |
Mobile Device Management | Einstellungen für den Verbindungsaufbau zum MDM-Server und Remote Management |
Advanced | APN-Settings für das Mobile Network |
*im Folgenden vorgestellt
Konfiguration von Passwortrichtlinien
Für die Konfiguration von Passwortrichtlinien stehen folgende Einstellungen zur Verfügung:
- Passwort erforderlich (numerisch oder alphanumerisch)
- Minimale Kennwortlänge, minimale Anzahl „komplexer“ Zeichen (non-alphanumeric)
- Gültigkeitsdauer des Kennworts in Tagen, Länge der Passworthistorie
- Zeitgesteuerte, automatische Sperrung des Geräts (keine oder innerhalb 1-5 Minuten)
- Maximale Dauer zwischen zwei Kennworteingaben
- Maximale Anzahl fehlgeschlagener Anmeldeversuche (4-16, bei Überschreiten dieser Schwelle werden alle Daten auf dem Gerät gelöscht)
Konfiguration von Zertifikaten
Das iPhone unterstützt Mutual Authentication mittels Client- und Serverzertifikaten. Außerdem wird beim Aufbau von SSL/TLS-Verbindungen und beim Email-Transport die Gültigkeit von Serverzertifikaten überprüft.
Die dafür notwendigen Zertifikate werden mittels des iPCU aus dem persönlichen Zertifikatsspeicher des Benutzers auf das iPhone übertragen. Ein direkter Import der Zertifikate ist nicht möglich. Das bedeutet, dass alle verwendeten Zertifikate exportierbar sein müssen. Ein Transfer von nicht exportierbaren Zertifikaten auf das iPhone ist nicht möglich.
Die Zertifikate die über die Konfigurationseinstellung „Credentials“ eingerichtet werden dienen der Verwendung im Webbrowser und im Email-Client, sowie für Applikationen die eine sichere Serververbindung herstellen. Client-Zertifikate für die Authentifizierung im Rahmen von Exchange ActiveSync-Verbindungen müssen gesondert eingetragen werden.
Konfiguration von Exchange-Accounts mit Mutual Authentication
Die Verwendung von User-Zertifikaten in Verbindung mit Exchange ActiveSync ist ausschließlich über Konfigurationsprofile möglich. Dazu muss über die Oberfläche des iPCU ein neues Exchange-Konto angelegt werden. Neben der Adresse des Exchange-Servers können bei der Konfiguration des Exchange-Kontos auch Benutzername und Kennwort angegeben werden.
Wird als Benutzername ein Domänenkonto angegeben, so muss der Name der Domäne auch angegeben werden. Dies kann entweder in dem dafür vorgesehenen Textfeld, oder im Benutzernamen angegeben werden. Werden weder Benutzername noch Kennwort angegeben, so werden diese Informationen bei der Installation des Profils abgefragt. Zusätzlich kann konfiguriert werden, über welchen Zeitraum Emails synchronisiert werden sollen. Das Benutzerkennwort und diese Einstellung sind die einzigen Optionen die der Benutzer nach Installation des Profils direkt am Gerät noch ändern kann. Andere Einstellungen sind schreibgeschützt.
Wird für die Authentifizierung des Benutzers ein Zertifikat benötigt, so muss dieses aus dem persönlichen Zertifikatsspeicher ausgewählt werden. Das Zertifikat muss zu diesem Zeitpunkt exportierbar sein. Der Private Key sollte mit einem komplexen Kennwort geschützt werden. Dieses Kennwort muss bei der Installation des Profils auf dem Gerät erneut eingegeben werden.