Ejemplos de despliegue El iPhone y el iPad en la empresa - Apple
Ejemplos de despliegue El iPhone y el iPad en la empresa - Apple
Ejemplos de despliegue El iPhone y el iPad en la empresa - Apple
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Ejemplos</strong> <strong>de</strong> <strong>de</strong>spliegue<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong><br />
<strong>en</strong> <strong>la</strong> <strong>empresa</strong><br />
Octubre <strong>de</strong> 2011<br />
Apr<strong>en</strong><strong>de</strong> cómo <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> se integran a <strong>la</strong> perfección <strong>en</strong> <strong>en</strong>tornos corporativos<br />
con los sigui<strong>en</strong>tes ejemplos <strong>de</strong> <strong>de</strong>spliegue.<br />
• Exchange ActiveSync <strong>de</strong> Microsoft<br />
• Servicios basados <strong>en</strong> estándares<br />
• Re<strong>de</strong>s privadas virtuales<br />
• Wi-Fi<br />
• Certificados digitales<br />
• Descripción <strong>de</strong> <strong>la</strong> seguridad<br />
• Gestión <strong>de</strong> dispositivos móviles
Políticas <strong>de</strong> seguridad <strong>de</strong><br />
Exchange ActiveSync compatibles<br />
• Borrado remoto<br />
• Imposición <strong>de</strong> contraseña <strong>en</strong> dispositivo<br />
• Longitud mínima <strong>de</strong> contraseña<br />
• Máximo <strong>de</strong> errores <strong>en</strong> contraseña (antes<br />
<strong>de</strong>l borrado local)<br />
• Requerir contraseña con números y letras<br />
• Tiempo <strong>de</strong> inactividad <strong>en</strong> minutos (<strong>de</strong> 1 a<br />
60 minutos)<br />
Otras políticas <strong>de</strong> Exchange ActiveSync<br />
(solo para Exchange 2007 y 2010)<br />
• Permitir o prohibir contraseñas simples<br />
• Caducidad <strong>de</strong> contraseñas<br />
• Historial <strong>de</strong> contraseñas<br />
• Intervalo <strong>de</strong> actualización <strong>de</strong> políticas<br />
• Número mínimo <strong>de</strong> caracteres complejos<br />
<strong>en</strong> una contraseña<br />
• Requerir sincronización manual <strong>en</strong> itinerancia<br />
• Permitir usar <strong>la</strong> cámara<br />
• Permitir navegar por Internet<br />
Despliegue <strong>de</strong>l <strong>iPhone</strong><br />
y <strong>el</strong> <strong>iPad</strong><br />
Exchange ActiveSync<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> se pue<strong>de</strong>n comunicar directam<strong>en</strong>te con tu servicio Exchange Server<br />
<strong>de</strong> Microsoft a través <strong>de</strong> Exchange ActiveSync (EAS) <strong>de</strong> Microsoft, y ofrecer al usuario<br />
correo <strong>el</strong>ectrónico, contactos, cal<strong>en</strong>darios y tareas <strong>de</strong> actualización automática push.<br />
Exchange ActiveSync también permite al usuario acce<strong>de</strong>r a <strong>la</strong> lista global <strong>de</strong> direcciones<br />
(GAL) y ofrece al administrador funciones <strong>de</strong> borrado remoto y <strong>de</strong> imposición <strong>de</strong><br />
políticas <strong>de</strong> contraseñas. iOS es compatible con <strong>la</strong> aut<strong>en</strong>ticación básica y por certificado<br />
<strong>de</strong> Exchange ActiveSync. Si <strong>la</strong> <strong>empresa</strong> utiliza Exchange ActiveSync, ya dispone <strong>de</strong> los<br />
servicios necesarios para integrar <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong>. No hace falta configurar nada<br />
más. Si dispones <strong>de</strong> Exchange Server 2003, 2007 o 2010, pero no ti<strong>en</strong>es experi<strong>en</strong>cia con<br />
Exchange ActiveSync, repasa los sigui<strong>en</strong>tes pasos.<br />
Configuración <strong>de</strong> Exchange ActiveSync<br />
Descripción <strong>de</strong> <strong>la</strong> configuración <strong>de</strong> red<br />
• Comprueba que <strong>el</strong> puerto 443 está abierto <strong>en</strong> <strong>el</strong> firewall o cortafuegos. Si tu <strong>empresa</strong><br />
admite Outlook Web Access, es muy probable que <strong>el</strong> puerto 443 ya esté abierto.<br />
• En <strong>el</strong> servidor front-<strong>en</strong>d, verifica que se ha insta<strong>la</strong>do un certificado <strong>de</strong> servidor y que se<br />
ha activado <strong>la</strong> seguridad SSL para <strong>el</strong> directorio virtual <strong>de</strong> Exchange ActiveSync <strong>en</strong> IIS.<br />
• Si usas un servidor Internet Security and Acc<strong>el</strong>eration (ISA) <strong>de</strong> Microsoft, comprueba que<br />
se ha insta<strong>la</strong>do un certificado <strong>de</strong> servidor y actualiza <strong>el</strong> DNS público para resolver <strong>la</strong>s<br />
conexiones <strong>en</strong>trantes.<br />
• Comprueba que <strong>el</strong> DNS <strong>de</strong> tu red <strong>de</strong>vu<strong>el</strong>ve una única dirección externa <strong>en</strong>rutable al servidor<br />
<strong>de</strong> Exchange ActiveSync, tanto para cli<strong>en</strong>tes <strong>de</strong> <strong>la</strong> intranet como <strong>de</strong> Internet. Esto<br />
es necesario para que <strong>el</strong> dispositivo pueda usar <strong>la</strong> misma dirección IP para comunicarse<br />
con <strong>el</strong> servidor cuando ambos tipos <strong>de</strong> conexión están activos.<br />
• Si usas un servidor ISA <strong>de</strong> Microsoft, crea un ag<strong>en</strong>te <strong>de</strong> escucha y una reg<strong>la</strong> <strong>de</strong> publicación<br />
<strong>de</strong> acceso <strong>de</strong> cli<strong>en</strong>te web <strong>de</strong> Exchange. En <strong>la</strong> docum<strong>en</strong>tación <strong>de</strong> Microsoft <strong>en</strong>contrarás<br />
más información.<br />
• Para todos los firewalls y dispositivos <strong>de</strong> red, ajusta <strong>el</strong> tiempo <strong>de</strong> <strong>de</strong>sconexión por inactividad<br />
a 30 minutos. Si <strong>de</strong>seas más información sobre los intervalos <strong>de</strong> <strong>la</strong>tido e inactividad,<br />
consulta <strong>la</strong> docum<strong>en</strong>tación <strong>de</strong> Exchange <strong>de</strong> Microsoft <strong>en</strong> http://technet.microsoft.<br />
com/<strong>en</strong>-us/library/cc182270.aspx (<strong>en</strong> inglés).<br />
• Configura <strong>la</strong>s prestaciones móviles, <strong>la</strong>s políticas y los ajustes <strong>de</strong> seguridad <strong>de</strong>l dispositivo<br />
mediante <strong>el</strong> Administrador <strong>de</strong>l Sistema <strong>de</strong> Exchange. Para Exchange Server 2007 y 2010,<br />
esto se hace <strong>en</strong> <strong>la</strong> Conso<strong>la</strong> <strong>de</strong> Administración <strong>de</strong> Exchange.
Otros servicios <strong>de</strong> Exchange ActiveSync<br />
• Consulta <strong>de</strong> <strong>la</strong> lista global <strong>de</strong> direcciones<br />
• Aceptación y creación <strong>de</strong> invitaciones <strong>de</strong><br />
cal<strong>en</strong>dario<br />
• Sincronización <strong>de</strong> tareas<br />
• Etiquetado <strong>de</strong> m<strong>en</strong>sajes <strong>de</strong> correo <strong>el</strong>ectrónico<br />
• Sincronización <strong>de</strong> etiquetas <strong>de</strong> respuesta y<br />
re<strong>en</strong>vío con Exchange Server 2010<br />
• Búsqueda <strong>en</strong> correos con Exchange Server<br />
2007 y 2010<br />
• Compatibilidad con múltiples cu<strong>en</strong>tas <strong>de</strong><br />
Exchange ActiveSync<br />
• Aut<strong>en</strong>ticación basada <strong>en</strong> certificados<br />
• Actualización push <strong>de</strong> correos <strong>el</strong>ectrónicos<br />
<strong>en</strong> <strong>de</strong>terminadas carpetas<br />
• Detección Automática<br />
• Descarga e insta<strong>la</strong> <strong>la</strong> herrami<strong>en</strong>ta Mobile Administration Web Tool <strong>de</strong> Exchange<br />
ActiveSync <strong>de</strong> Microsoft, necesaria para iniciar un borrado remoto. En Exchange Server<br />
2007 y 2010, <strong>el</strong> borrado remoto se pue<strong>de</strong> iniciar <strong>de</strong>s<strong>de</strong> Outlook Web Access o con <strong>la</strong><br />
Conso<strong>la</strong> <strong>de</strong> Administración <strong>de</strong> Exchange.<br />
Aut<strong>en</strong>ticación básica (usuario y contraseña)<br />
• Activa Exchange ActiveSync para usuarios y grupos específicos mediante <strong>el</strong> servicio<br />
Active Directory. Se activan por <strong>de</strong>fecto para todos los dispositivos móviles <strong>de</strong> <strong>la</strong> organización<br />
<strong>en</strong> Exchange Server 2003, 2007 y 2010. Para Exchange Server 2007 y 2010, consulta<br />
Configuración <strong>de</strong> Destinatarios <strong>en</strong> <strong>la</strong> Conso<strong>la</strong> <strong>de</strong> Administración <strong>de</strong> Exchange.<br />
• Por <strong>de</strong>fecto, Exchange ActiveSync está configurado para <strong>la</strong> aut<strong>en</strong>ticación básica <strong>de</strong><br />
usuarios. Se recomi<strong>en</strong>da activar <strong>la</strong> seguridad SSL para <strong>la</strong> aut<strong>en</strong>ticación básica con <strong>el</strong> fin<br />
<strong>de</strong> garantizar que <strong>la</strong>s cre<strong>de</strong>nciales se cifr<strong>en</strong> durante <strong>la</strong> aut<strong>en</strong>ticación.<br />
Aut<strong>en</strong>ticación basada <strong>en</strong> certificados<br />
• Insta<strong>la</strong> los servicios <strong>de</strong> certificados <strong>empresa</strong>riales <strong>en</strong> un servidor <strong>de</strong> <strong>la</strong> red o <strong>en</strong> un contro<strong>la</strong>dor<br />
<strong>de</strong> dominio <strong>en</strong> tu dominio (será <strong>el</strong> servidor <strong>de</strong> <strong>la</strong> autoridad certificadora).<br />
• Configura IIS <strong>en</strong> tu servidor front-<strong>en</strong>d <strong>de</strong> Exchange o <strong>en</strong> tu servidor Acceso <strong>de</strong> Cli<strong>en</strong>tes<br />
para aceptar <strong>la</strong> aut<strong>en</strong>ticación basada <strong>en</strong> certificados para <strong>el</strong> directorio virtual <strong>de</strong><br />
Exchange ActiveSync.<br />
• Para autorizar o requerir certificados para todos los usuarios, <strong>de</strong>smarca Aut<strong>en</strong>ticación<br />
Básica y s<strong>el</strong>ecciona Aceptar Certificados <strong>de</strong> Cli<strong>en</strong>te o Requerir Certificados <strong>de</strong> Cli<strong>en</strong>te.<br />
• G<strong>en</strong>era certificados <strong>de</strong> cli<strong>en</strong>te mediante tu servidor <strong>de</strong> autoridad certificadora. Exporta<br />
<strong>la</strong> c<strong>la</strong>ve pública y configura IIS para utilizar esta c<strong>la</strong>ve. Exporta <strong>la</strong> c<strong>la</strong>ve privada y usa<br />
un perfil <strong>de</strong> configuración para <strong>en</strong>viar<strong>la</strong> al <strong>iPhone</strong> y al <strong>iPad</strong>. La aut<strong>en</strong>ticación basada <strong>en</strong><br />
certificados solo se pue<strong>de</strong> configurar mediante un perfil <strong>de</strong> configuración.<br />
Si <strong>de</strong>seas más información sobre los servicios <strong>de</strong> certificados, consulta los recursos disponibles<br />
a través <strong>de</strong> Microsoft.<br />
3
Ejemplo <strong>de</strong> <strong>de</strong>spliegue <strong>de</strong> Exchange ActiveSync<br />
Este ejemplo muestra cómo se conectan <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> a una insta<strong>la</strong>ción estándar <strong>de</strong> Exchange Server 2003, 2007 o 2010<br />
<strong>de</strong> Microsoft.<br />
Perfil <strong>de</strong> configuración<br />
1<br />
2<br />
3<br />
4<br />
5<br />
6<br />
Internet<br />
Pasar<strong>el</strong>a <strong>de</strong> correo o<br />
servidor <strong>de</strong> transporte<br />
perimetral*<br />
Firewall Firewall<br />
443<br />
1<br />
C<strong>la</strong>ve privada<br />
(certificado)<br />
Servidor proxy<br />
Servidor <strong>de</strong> cabeza <strong>de</strong> pu<strong>en</strong>te o<br />
<strong>de</strong> transporte <strong>de</strong> conc<strong>en</strong>tradores<br />
Servidor <strong>de</strong> certificados<br />
Active Directory<br />
Servidor front-<strong>en</strong>d <strong>de</strong> Exchange<br />
o <strong>de</strong> Acceso <strong>de</strong> Cli<strong>en</strong>tes<br />
Buzón <strong>de</strong> correo <strong>de</strong> Exchange<br />
o servidor(es) back-<strong>en</strong>d<br />
* En función <strong>de</strong> <strong>la</strong> configuración <strong>de</strong> red, <strong>la</strong> pasar<strong>el</strong>a <strong>de</strong> correo externa o <strong>el</strong> servidor <strong>de</strong> transporte perimetral pue<strong>de</strong>n residir <strong>de</strong>ntro <strong>de</strong> <strong>la</strong> red <strong>de</strong>l perímetro (DMZ).<br />
C<strong>la</strong>ve privada<br />
(certificado)<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> solicitan acceso a los servicios <strong>de</strong> Exchange ActiveSync a través <strong>de</strong>l puerto 443 (HTTPS). (Se trata <strong>de</strong>l mismo puerto usado<br />
por Outlook Web Access y otros servicios web seguros, así que <strong>en</strong> muchos casos este puerto ya estará abierto y configurado para permitir <strong>el</strong><br />
tráfico <strong>de</strong> HTTPS cifrado por SSL).<br />
ISA facilita <strong>el</strong> acceso al servidor front-<strong>en</strong>d <strong>de</strong> Exchange o al <strong>de</strong> Acceso <strong>de</strong> Cli<strong>en</strong>tes. ISA está configurado como un proxy o, <strong>en</strong> muchos casos,<br />
como un proxy inverso para direccionar <strong>el</strong> tráfico al servidor <strong>de</strong> Exchange.<br />
<strong>El</strong> servidor <strong>de</strong> Exchange aut<strong>en</strong>tica al usuario <strong>en</strong>trante mediante <strong>el</strong> servicio Active Directory y <strong>el</strong> servidor <strong>de</strong> certificados (si se usa <strong>la</strong> aut<strong>en</strong>ticación<br />
basada <strong>en</strong> certificados).<br />
Si <strong>el</strong> usuario aporta <strong>la</strong>s cre<strong>de</strong>nciales apropiadas y ti<strong>en</strong>e acceso a los servicios <strong>de</strong> Exchange ActiveSync, <strong>el</strong> servidor front-<strong>en</strong>d establece una<br />
conexión con <strong>el</strong> buzón <strong>de</strong> correo oportuno <strong>en</strong> <strong>el</strong> servidor back-<strong>en</strong>d (a través <strong>de</strong>l catálogo global <strong>de</strong> Active Directory).<br />
Se establece <strong>la</strong> conexión con Exchange ActiveSync. Las actualizaciones o cambios se <strong>en</strong>vían inalámbricam<strong>en</strong>te y cualquier cambio realizado <strong>en</strong><br />
<strong>el</strong> <strong>iPhone</strong> y <strong>en</strong> <strong>el</strong> <strong>iPad</strong> se refleja a su vez <strong>en</strong> <strong>el</strong> servidor <strong>de</strong> Exchange.<br />
Los correos <strong>en</strong>viados también se sincronizan con <strong>el</strong> servidor <strong>de</strong> Exchange a través <strong>de</strong> Exchange ActiveSync (paso 5). Para dirigir <strong>el</strong> correo <strong>el</strong>ectrónico<br />
sali<strong>en</strong>te a los <strong>de</strong>stinatarios externos, <strong>el</strong> correo se <strong>en</strong>vía por norma g<strong>en</strong>eral a través <strong>de</strong> un servidor <strong>de</strong> cabeza <strong>de</strong> pu<strong>en</strong>te (o transporte <strong>de</strong><br />
conc<strong>en</strong>tradores) a una pasar<strong>el</strong>a <strong>de</strong> correo externa (o servidor <strong>de</strong> transporte perimetral) a través <strong>de</strong> SMTP. En función <strong>de</strong> <strong>la</strong> configuración <strong>de</strong> red,<br />
<strong>la</strong> pasar<strong>el</strong>a <strong>de</strong> correo externa o <strong>el</strong> servidor <strong>de</strong> transporte perimetral pue<strong>de</strong>n residir <strong>de</strong>ntro <strong>de</strong> <strong>la</strong> red <strong>de</strong>l perímetro o fuera <strong>de</strong>l firewall.<br />
© 2011 <strong>Apple</strong> Inc. Todos los <strong>de</strong>rechos reservados. <strong>Apple</strong>, <strong>el</strong> logotipo <strong>de</strong> <strong>Apple</strong>, <strong>iPhone</strong>, <strong>iPad</strong> y Mac OS son marcas comerciales <strong>de</strong> <strong>Apple</strong> Inc., registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. Otros nombres <strong>de</strong> productos<br />
y <strong>empresa</strong>s m<strong>en</strong>cionados <strong>en</strong> <strong>el</strong> pres<strong>en</strong>te docum<strong>en</strong>to pue<strong>de</strong>n ser marcas comerciales <strong>de</strong> sus respectivas compañías. Las especificaciones <strong>de</strong> producto están sujetas a cambios sin previo aviso. Este<br />
docum<strong>en</strong>to se proporciona con fines meram<strong>en</strong>te informativos; <strong>Apple</strong> no asume ninguna responsabilidad r<strong>el</strong>acionada con su uso. Octubre <strong>de</strong> 2011 L419822B<br />
6<br />
2<br />
3<br />
5<br />
4<br />
4
Puertos más habituales<br />
• IMAP/SSL: 993<br />
• SMTP/SSL: 587<br />
• LDAP/SSL: 636<br />
• CalDAV/SSL: 8443, 443<br />
• CardDAV/SSL: 8843, 443<br />
Soluciones <strong>de</strong> correo con protocolos<br />
IMAP o POP<br />
iOS admite <strong>la</strong>s soluciones <strong>de</strong> correo<br />
basadas <strong>en</strong> los protocolos IMAP4 y POP3<br />
para una amplia gama <strong>de</strong> p<strong>la</strong>taformas <strong>de</strong><br />
servidor, como Windows, UNIX, Linux y<br />
Mac OS X.<br />
Estándares CalDAV y CardDAV<br />
iOS admite los protocolos <strong>de</strong> cal<strong>en</strong>darios<br />
CalDAV y <strong>de</strong> contactos CardDAV. <strong>El</strong> IETF ha<br />
estandarizado ambos protocolos. <strong>El</strong> consorcio<br />
CalConnect ofrece más información<br />
<strong>en</strong> http://caldav.calconnect.org/ y<br />
http://carddav.calconnect.org/.<br />
Despliegue <strong>de</strong>l <strong>iPhone</strong><br />
y <strong>el</strong> <strong>iPad</strong><br />
Servicios basados <strong>en</strong><br />
estándares<br />
Como es compatible con <strong>el</strong> protocolo <strong>de</strong> correo IMAP, los servicios <strong>de</strong> directorio LDAP y<br />
los protocolos <strong>de</strong> cal<strong>en</strong>darios CalDAV y <strong>de</strong> contactos CardDAV, iOS pue<strong>de</strong> integrarse <strong>en</strong><br />
casi cualquier <strong>en</strong>torno estándar <strong>de</strong> correo, cal<strong>en</strong>darios y contactos. Si <strong>el</strong> <strong>en</strong>torno <strong>de</strong> red<br />
está configurado para exigir <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong> usuario y emplear <strong>la</strong> seguridad SSL, <strong>el</strong><br />
<strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> ofrec<strong>en</strong> un método seguro para acce<strong>de</strong>r al correo, los cal<strong>en</strong>darios, los<br />
contactos y <strong>la</strong>s tareas <strong>de</strong> <strong>la</strong> <strong>empresa</strong> basados <strong>en</strong> estándares.<br />
En un <strong>de</strong>spliegue conv<strong>en</strong>cional, <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> establec<strong>en</strong> acceso directo a los servidores<br />
<strong>de</strong> correo IMAP y SMTP para recibir y <strong>en</strong>viar correo <strong>el</strong>ectrónico <strong>de</strong> forma inalámbrica,<br />
y también pue<strong>de</strong>n sincronizar notas inalámbricam<strong>en</strong>te con servidores basados <strong>en</strong><br />
<strong>el</strong> protocolo IMAP. Los dispositivos iOS se pue<strong>de</strong> conectar a los directorios corporativos<br />
LDAPv3 <strong>de</strong> <strong>la</strong> <strong>empresa</strong>, otorgando acceso a los usuarios a los contactos corporativos <strong>en</strong><br />
<strong>la</strong>s aplicaciones Mail, Contactos y M<strong>en</strong>sajes. La sincronización con <strong>el</strong> servidor CalDAV<br />
permite a los usuarios crear y aceptar invitaciones a cal<strong>en</strong>darios, recibir actualizaciones<br />
<strong>de</strong> cal<strong>en</strong>darios y sincronizar tareas con <strong>la</strong> app Recordatorios, todo <strong>el</strong>lo inalámbricam<strong>en</strong>te.<br />
A<strong>de</strong>más, gracias a <strong>la</strong> compatibilidad con CardDAV, los usuarios pue<strong>de</strong>n mant<strong>en</strong>er un<br />
grupo <strong>de</strong> contactos sincronizado con <strong>el</strong> servidor CardDAV empleando <strong>el</strong> formato vCard.<br />
Todos los servidores <strong>de</strong> red se pue<strong>de</strong>n ubicar <strong>en</strong> una subred DMZ, <strong>de</strong>trás <strong>de</strong> un firewall<br />
corporativo o <strong>en</strong> ambos. Si se usa SSL, iOS admite <strong>el</strong> cifrado <strong>de</strong> 128 bits y los certificados<br />
raíz X.509 <strong>de</strong> <strong>la</strong>s principales <strong>en</strong>tida<strong>de</strong>s certificadoras.<br />
Configuración <strong>de</strong> <strong>la</strong> red<br />
<strong>El</strong> administrador <strong>de</strong> re<strong>de</strong>s o TI <strong>de</strong>berá llevar a cabo estos pasos para activar <strong>el</strong> acceso <strong>de</strong>l<br />
<strong>iPhone</strong> y <strong>de</strong>l <strong>iPad</strong> a los servicios IMAP, LDAP, CalDAV y CardDAV:<br />
• Abrir los puertos correspondi<strong>en</strong>tes <strong>en</strong> <strong>el</strong> firewall. Los puertos habituales son <strong>el</strong> 993 para<br />
<strong>el</strong> correo IMAP, <strong>el</strong> 587 para <strong>el</strong> correo SMTP, <strong>el</strong> 636 para los servicios <strong>de</strong> directorio LDAP,<br />
<strong>el</strong> 8443 para los cal<strong>en</strong>darios CalDAV y <strong>el</strong> 8843 para los contactos CardDAV. A<strong>de</strong>más, se<br />
recomi<strong>en</strong>da que <strong>la</strong> comunicación <strong>en</strong>tre <strong>el</strong> servidor proxy y los servidores back-<strong>en</strong>d IMAP,<br />
LDAP, CalDAV y CardDAV se configur<strong>en</strong> con <strong>la</strong> seguridad SSL activada, y que los certificados<br />
digitales <strong>de</strong> los servidores <strong>de</strong> <strong>la</strong> red estén firmados por una <strong>en</strong>tidad emisora (CA) <strong>de</strong><br />
confianza, como VeriSign. Este importante paso garantiza que <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> reconozcan<br />
<strong>el</strong> servidor proxy como una <strong>en</strong>tidad <strong>de</strong> confianza <strong>en</strong> <strong>la</strong> infraestructura corporativa<br />
<strong>de</strong>l cli<strong>en</strong>te.<br />
• Para <strong>el</strong> correo SMTP sali<strong>en</strong>te, se <strong>de</strong>be abrir <strong>el</strong> puerto 587, 465 o 25 para permitir <strong>el</strong> <strong>en</strong>vío<br />
<strong>de</strong> correo <strong>el</strong>ectrónico. iOS comprueba automáticam<strong>en</strong>te <strong>el</strong> estado <strong>de</strong> esos puertos por<br />
ese or<strong>de</strong>n. <strong>El</strong> puerto 587 es <strong>el</strong> más fiable y seguro porque exige <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong>l usuario.<br />
<strong>El</strong> puerto 25 no requiere aut<strong>en</strong>ticación y algunos proveedores <strong>de</strong> servicios <strong>de</strong> Internet<br />
lo bloquean por <strong>de</strong>fecto para evitar <strong>el</strong> correo basura.
Ejemplo <strong>de</strong> <strong>de</strong>spliegue<br />
Este ejemplo muestra cómo se conectan <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> a una insta<strong>la</strong>ción estándar <strong>de</strong> IMAP, LDAP, CalDAV y CardDAV.<br />
1<br />
2<br />
3<br />
4<br />
5<br />
6<br />
Internet<br />
Firewall Firewall<br />
636<br />
(LDAP)<br />
8443<br />
(CalDAV)<br />
1<br />
8843<br />
(CardDAV)<br />
993 (IMAP)<br />
587 (SMTP)<br />
Servidor proxy inverso<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> solicitan acceso a los servicios <strong>de</strong> red a través <strong>de</strong> los puertos <strong>de</strong>signados.<br />
En función <strong>de</strong>l servicio, los usuarios <strong>de</strong>b<strong>en</strong> aut<strong>en</strong>ticarse con <strong>el</strong> proxy inverso o bi<strong>en</strong> directam<strong>en</strong>te con <strong>el</strong> servidor para obt<strong>en</strong>er<br />
acceso a los datos corporativos. En todos los casos, <strong>la</strong>s conexiones son retransmitidas por <strong>el</strong> proxy inverso, que funciona como<br />
pasar<strong>el</strong>a segura, normalm<strong>en</strong>te <strong>de</strong>trás <strong>de</strong>l firewall <strong>de</strong> Internet <strong>de</strong> <strong>la</strong> <strong>empresa</strong>. Una vez aut<strong>en</strong>ticado, <strong>el</strong> usuario acce<strong>de</strong> a sus datos<br />
corporativos <strong>en</strong> los servidores back-<strong>en</strong>d.<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> ofrec<strong>en</strong> servicios <strong>de</strong> búsqueda <strong>en</strong> los directorios LDAP, <strong>de</strong> modo que los usuarios pue<strong>de</strong>n buscar contactos y<br />
otros datos <strong>de</strong> <strong>la</strong> ag<strong>en</strong>da <strong>de</strong>l servidor LDAP.<br />
En <strong>el</strong> caso <strong>de</strong> los cal<strong>en</strong>darios CalDAV, los usuarios pue<strong>de</strong>n acce<strong>de</strong>r a los cal<strong>en</strong>darios y actualizarlos.<br />
Servidor <strong>de</strong> directorio<br />
LDAP<br />
Servidor <strong>de</strong> correo<br />
Los contactos CardDAV se almac<strong>en</strong>an <strong>en</strong> <strong>el</strong> servidor y se pue<strong>de</strong> acce<strong>de</strong>r a <strong>el</strong>los localm<strong>en</strong>te <strong>de</strong>s<strong>de</strong> <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong>. Los cambios<br />
<strong>en</strong> los campos <strong>de</strong> los contactos CardDAV se sincronizan con <strong>el</strong> servidor CardDAV.<br />
En <strong>el</strong> caso <strong>de</strong> los servicios <strong>de</strong> correo IMAP, los m<strong>en</strong>sajes exist<strong>en</strong>tes y nuevos se pue<strong>de</strong>n leer <strong>de</strong>s<strong>de</strong> <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> mediante <strong>la</strong><br />
conexión proxy con <strong>el</strong> servidor <strong>de</strong> correo. <strong>El</strong> correo sali<strong>en</strong>te se <strong>en</strong>vía al servidor SMTP y se guardan copias <strong>en</strong> <strong>la</strong> carpeta Enviado<br />
<strong>de</strong>l usuario.<br />
© 2011 <strong>Apple</strong> Inc. Todos los <strong>de</strong>rechos reservados. <strong>Apple</strong>, <strong>el</strong> logotipo <strong>de</strong> <strong>Apple</strong>, <strong>iPhone</strong>, <strong>iPad</strong> y Mac OS son marcas comerciales <strong>de</strong> <strong>Apple</strong> Inc., registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. UNIX es una marca comercial<br />
registrada <strong>de</strong> The Op<strong>en</strong> Group. Otros nombres <strong>de</strong> productos y <strong>empresa</strong>s m<strong>en</strong>cionados <strong>en</strong> <strong>el</strong> pres<strong>en</strong>te docum<strong>en</strong>to pue<strong>de</strong>n ser marcas comerciales <strong>de</strong> sus respectivas compañías. Las especificaciones <strong>de</strong><br />
producto están sujetas a cambios sin previo aviso. Este docum<strong>en</strong>to se proporciona con fines meram<strong>en</strong>te informativos; <strong>Apple</strong> no asume ninguna responsabilidad r<strong>el</strong>acionada con su uso. Octubre <strong>de</strong> 2011<br />
L419827B<br />
2<br />
3<br />
4<br />
5<br />
6<br />
Servidor CalDAV<br />
Servidor CardDAV<br />
6
Despliegue <strong>de</strong>l <strong>iPhone</strong><br />
y <strong>el</strong> <strong>iPad</strong><br />
Re<strong>de</strong>s privadas virtuales<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> ofrec<strong>en</strong> acceso seguro a re<strong>de</strong>s corporativas privadas mediante protocolos<br />
<strong>de</strong> re<strong>de</strong>s privadas virtuales (VPN) estándar <strong>de</strong>l sector. Los usuarios se pue<strong>de</strong>n conectar<br />
fácilm<strong>en</strong>te a los sistemas <strong>empresa</strong>riales mediante <strong>el</strong> cli<strong>en</strong>te <strong>de</strong> VPN integrado <strong>en</strong> iOS o<br />
a través <strong>de</strong> aplicaciones <strong>de</strong> terceros <strong>de</strong> Juniper, Cisco y F5 Networks.<br />
iOS es compatible <strong>de</strong> serie con IPSec <strong>de</strong> Cisco, L2TP sobre IPSec y PPTP. Si tu organización<br />
admite uno <strong>de</strong> estos protocolos, no necesitas ningún otro tipo <strong>de</strong> configuración ni aplicaciones<br />
<strong>de</strong> terceros para conectar <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> a tu VPN.<br />
A<strong>de</strong>más, iOS es compatible con re<strong>de</strong>s VPN sobre SSL, lo que permite acce<strong>de</strong>r a servidores<br />
VPN sobre SSL <strong>de</strong> <strong>la</strong> serie SA <strong>de</strong> Juniper, ASA <strong>de</strong> Cisco y BIG-IP Edge Gateway <strong>de</strong> F5. Para<br />
<strong>el</strong>lo, basta con <strong>de</strong>scargar <strong>en</strong> <strong>el</strong> App Store una aplicación cli<strong>en</strong>te <strong>de</strong> VPN <strong>de</strong>sarrol<strong>la</strong>da por<br />
Juniper, Cisco o F5. Al igual que <strong>el</strong> resto <strong>de</strong> protocolos <strong>de</strong> VPN <strong>de</strong> iOS, <strong>el</strong> acceso a re<strong>de</strong>s<br />
VPN sobre SSL se pue<strong>de</strong> configurar manualm<strong>en</strong>te <strong>en</strong> <strong>el</strong> dispositivo o mediante un perfil<br />
<strong>de</strong> configuración.<br />
iOS admite tecnologías estándar como IPv6, servidores proxy y tún<strong>el</strong>es divididos, por lo<br />
que ofrece una exc<strong>el</strong><strong>en</strong>te experi<strong>en</strong>cia <strong>de</strong> VPN al conectarse a re<strong>de</strong>s <strong>empresa</strong>riales.<br />
A<strong>de</strong>más, es compatible con diversos métodos <strong>de</strong> aut<strong>en</strong>ticación, como <strong>el</strong> uso <strong>de</strong> contraseñas,<br />
tok<strong>en</strong>s <strong>de</strong> doble factor y certificados digitales. Con <strong>el</strong> fin <strong>de</strong> optimizar <strong>la</strong> conexión<br />
<strong>en</strong> <strong>en</strong>tornos <strong>en</strong> los que se usa <strong>la</strong> aut<strong>en</strong>ticación basada <strong>en</strong> certificados, iOS incluye VPN<br />
por petición, que inicia dinámicam<strong>en</strong>te una sesión <strong>de</strong> VPN al conectarse a <strong>de</strong>terminados<br />
dominios.<br />
Protocolos y métodos <strong>de</strong> aut<strong>en</strong>ticación admitidos<br />
VPN sobre SSL<br />
Es compatible con <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong> usuario por contraseña, tok<strong>en</strong> <strong>de</strong> doble factor y<br />
certificados.<br />
IPSec <strong>de</strong> Cisco<br />
Es compatible con <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong> usuario por contraseña, tok<strong>en</strong> <strong>de</strong> doble factor,<br />
aut<strong>en</strong>ticación automática mediante secreto compartido y certificados.<br />
L2TP sobre IPSec<br />
Es compatible con <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong> usuario por contraseña MS-CHAP v2, tok<strong>en</strong> <strong>de</strong><br />
doble factor, aut<strong>en</strong>ticación automática mediante secreto compartido y certificados.<br />
PPTP<br />
Admite <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong>l usuario mediante MS-CHAP v2 Password y tok<strong>en</strong> <strong>de</strong> doble<br />
factor.
VPN bajo <strong>de</strong>manda<br />
Para <strong>la</strong>s configuraciones que emple<strong>en</strong> <strong>la</strong> aut<strong>en</strong>ticación basada <strong>en</strong> certificados, iOS ofrece<br />
VPN bajo <strong>de</strong>manda. VPN bajo <strong>de</strong>manda pue<strong>de</strong> establecer una conexión automáticam<strong>en</strong>te<br />
cuando se acceda a dominios pre<strong>de</strong>terminados, lo que permite a los usuarios<br />
conectarse a re<strong>de</strong>s VPN fácilm<strong>en</strong>te.<br />
Esta prestación <strong>de</strong> iOS no requiere configurar nada más <strong>en</strong> <strong>el</strong> servidor. La configuración<br />
<strong>de</strong> VPN bajo <strong>de</strong>manda se realiza mediante un perfil <strong>de</strong> configuración o manualm<strong>en</strong>te<br />
<strong>en</strong> <strong>el</strong> dispositivo.<br />
Las opciones <strong>de</strong> VPN bajo <strong>de</strong>manda son:<br />
Siempre<br />
Inicia una conexión VPN para cualquier dirección que coinci<strong>de</strong> con <strong>el</strong> dominio especificado.<br />
Nunca<br />
No inicia una conexión VPN para <strong>la</strong>s direcciones que coinci<strong>de</strong>n con <strong>el</strong> dominio especificado,<br />
pero si <strong>la</strong> VPN ya está activa, se pue<strong>de</strong> usar.<br />
Establecer Si Es Necesario<br />
Inicia una conexión VPN para <strong>la</strong>s direcciones que coinci<strong>de</strong>n con <strong>el</strong> dominio especificado,<br />
pero solo cuando una consulta <strong>de</strong> DNS haya fal<strong>la</strong>do.<br />
Configuración <strong>de</strong> VPN<br />
• iOS se integra <strong>en</strong> muchas <strong>de</strong> <strong>la</strong>s re<strong>de</strong>s VPN actuales con una configuración mínima. La<br />
mejor forma <strong>de</strong> preparar <strong>el</strong> <strong>de</strong>spliegue consiste <strong>en</strong> comprobar <strong>la</strong> compatibilidad <strong>de</strong> iOS<br />
con los protocolos <strong>de</strong> VPN y los métodos <strong>de</strong> aut<strong>en</strong>ticación pres<strong>en</strong>tes <strong>en</strong> <strong>la</strong> <strong>empresa</strong>.<br />
• Se recomi<strong>en</strong>da revisar <strong>la</strong> ruta <strong>de</strong> aut<strong>en</strong>ticación al servidor <strong>de</strong> aut<strong>en</strong>ticación para asegurarse<br />
<strong>de</strong> que los estándares admitidos por iOS están activados <strong>en</strong> <strong>la</strong> insta<strong>la</strong>ción<br />
<strong>en</strong> cuestión.<br />
• Si ti<strong>en</strong>es <strong>la</strong> int<strong>en</strong>ción <strong>de</strong> usar un sistema <strong>de</strong> aut<strong>en</strong>ticación basado <strong>en</strong> certificados, comprueba<br />
que tu infraestructura <strong>de</strong> c<strong>la</strong>ve pública está configurada para admitir certificados<br />
<strong>de</strong> usuario y <strong>de</strong> dispositivo con los correspondi<strong>en</strong>tes procesos <strong>de</strong> distribución<br />
<strong>de</strong> c<strong>la</strong>ves.<br />
• Si quieres configurar los ajustes <strong>de</strong> proxy específicos para una URL, coloca un archivo<br />
PAC <strong>en</strong> un servidor web accesible con los ajustes <strong>de</strong> VPN básicos y asegúrate <strong>de</strong> que<br />
está alojado con <strong>el</strong> tipo <strong>de</strong> MIME application/x-ns-proxy-autoconfig.<br />
Configuración <strong>de</strong>l proxy<br />
También pue<strong>de</strong>s especificar un proxy <strong>de</strong> VPN para todas <strong>la</strong>s configuraciones. Para configurar<br />
un único proxy para todas <strong>la</strong>s conexiones, usa <strong>el</strong> ajuste Manual e introduce <strong>la</strong><br />
dirección, <strong>el</strong> puerto y <strong>la</strong> aut<strong>en</strong>ticación, si es preciso. Para proporcionar al dispositivo un<br />
archivo <strong>de</strong> configuración auto-proxy con PAC o WPAD, usa <strong>el</strong> ajuste Automático. Para<br />
PACS, especifica <strong>la</strong> URL <strong>de</strong>l archivo PACS. Para WPAD, <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> solicitarán a<br />
DHCP y DNS los ajustes oportunos.<br />
8
Ejemplo <strong>de</strong> <strong>de</strong>spliegue<br />
Este ejemplo ilustra un <strong>de</strong>spliegue conv<strong>en</strong>cional con un servidor/conc<strong>en</strong>trador <strong>de</strong> VPN, a<strong>de</strong>más <strong>de</strong> un servidor <strong>de</strong> aut<strong>en</strong>ticación para<br />
<strong>el</strong> control <strong>de</strong>l acceso a los servicios <strong>de</strong> red <strong>de</strong> <strong>la</strong> <strong>empresa</strong>.<br />
1<br />
2<br />
3<br />
4<br />
5<br />
6<br />
Aut<strong>en</strong>ticación<br />
Certificado o tok<strong>en</strong><br />
Internet público<br />
Firewall Firewall<br />
3a 3b<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> solicitan acceso a los servicios <strong>de</strong> red.<br />
Servidor <strong>de</strong> aut<strong>en</strong>ticación <strong>de</strong> VPN<br />
G<strong>en</strong>eración <strong>de</strong> tok<strong>en</strong> o aut<strong>en</strong>ticación mediante certificado<br />
2<br />
1 4<br />
Servidor/conc<strong>en</strong>trador VPN<br />
Servidor proxy<br />
<strong>El</strong> servidor/conc<strong>en</strong>trador <strong>de</strong> VPN recibe <strong>la</strong> solicitud y se <strong>la</strong> pasa al servidor <strong>de</strong> aut<strong>en</strong>ticación.<br />
5<br />
Servicio <strong>de</strong><br />
directorio<br />
Red privada<br />
En un <strong>en</strong>torno <strong>de</strong> tok<strong>en</strong> <strong>de</strong> doble factor, <strong>el</strong> servidor <strong>de</strong> aut<strong>en</strong>ticación administra <strong>la</strong> g<strong>en</strong>eración <strong>de</strong> una c<strong>la</strong>ve <strong>de</strong> tok<strong>en</strong> sincronizada temporalm<strong>en</strong>te<br />
con <strong>el</strong> servidor <strong>de</strong> c<strong>la</strong>ves. Si se ha imp<strong>la</strong>ntado un método <strong>de</strong> aut<strong>en</strong>ticación con certificado, antes <strong>de</strong> <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong>be <strong>en</strong>viarse un<br />
certificado <strong>de</strong> i<strong>de</strong>ntidad. Si se ha imp<strong>la</strong>ntado un método <strong>de</strong> contraseña, <strong>el</strong> proceso <strong>de</strong> aut<strong>en</strong>ticación pasa a validar al usuario.<br />
Una vez aut<strong>en</strong>ticado <strong>el</strong> usuario, <strong>el</strong> servidor <strong>de</strong> aut<strong>en</strong>ticación valida <strong>la</strong>s políticas <strong>de</strong> usuarios y grupos.<br />
Una vez validadas <strong>la</strong>s políticas <strong>de</strong> usuarios y grupos, <strong>el</strong> servidor VPN ofrece acceso cifrado y por tún<strong>el</strong> a los servicios <strong>de</strong> red.<br />
Si se usa un servidor proxy, <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> se conectan a través <strong>de</strong>l servidor proxy para acce<strong>de</strong>r a información ubicada fuera <strong>de</strong>l firewall.<br />
© 2011 <strong>Apple</strong> Inc. Todos los <strong>de</strong>rechos reservados. <strong>Apple</strong>, <strong>el</strong> logotipo <strong>de</strong> <strong>Apple</strong>, <strong>iPhone</strong>, <strong>iPad</strong> y Mac OS son marcas comerciales <strong>de</strong> <strong>Apple</strong> Inc., registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. App Store es una<br />
marca <strong>de</strong> servicio <strong>de</strong> <strong>Apple</strong> Inc. Otros nombres <strong>de</strong> productos y <strong>empresa</strong>s m<strong>en</strong>cionados <strong>en</strong> <strong>el</strong> pres<strong>en</strong>te docum<strong>en</strong>to pue<strong>de</strong>n ser marcas comerciales <strong>de</strong> sus respectivas compañías. Las especificaciones <strong>de</strong><br />
producto están sujetas a cambios sin previo aviso. Este docum<strong>en</strong>to se proporciona con fines meram<strong>en</strong>te informativos; <strong>Apple</strong> no asume ninguna responsabilidad r<strong>el</strong>acionada con su uso. Octubre <strong>de</strong><br />
2011 L419828B<br />
9
Protocolos <strong>de</strong> seguridad <strong>en</strong> re<strong>de</strong>s inalámbricas<br />
• WEP<br />
• WPA Personal<br />
• WPA Enterprise<br />
• WPA2 Personal<br />
• WPA2 Enterprise<br />
Métodos <strong>de</strong> aut<strong>en</strong>ticación 802.1X<br />
• EAP-TLS<br />
• EAP-TTLS<br />
• EAP-FAST<br />
• EAP-SIM<br />
• PEAPv0 (EAP-MS-CHAP v2)<br />
• PEAPv1 (EAP-GTC)<br />
• LEAP<br />
Despliegue <strong>de</strong>l <strong>iPhone</strong><br />
y <strong>el</strong> <strong>iPad</strong><br />
Wi-Fi<br />
De serie, <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> se conectan <strong>de</strong> forma segura a re<strong>de</strong>s Wi-Fi corporativas o<br />
<strong>de</strong> invitados, lo que permite acce<strong>de</strong>r a re<strong>de</strong>s inalámbricas disponibles <strong>de</strong> forma rápida y<br />
s<strong>en</strong>cil<strong>la</strong>, ya se esté <strong>en</strong> <strong>la</strong>s insta<strong>la</strong>ciones <strong>de</strong> <strong>la</strong> <strong>empresa</strong> o trabajando sobre <strong>el</strong> terr<strong>en</strong>o.<br />
iOS admite protocolos estándar <strong>de</strong> re<strong>de</strong>s inalámbricas, incluido WPA2 Enterprise, lo<br />
que permite configurar re<strong>de</strong>s inalámbricas corporativas rápidam<strong>en</strong>te y acce<strong>de</strong>r a <strong>el</strong><strong>la</strong>s<br />
<strong>de</strong> forma segura. WPA2 Enterprise emplea cifrado AES <strong>de</strong> 128 bits, un método basado<br />
<strong>en</strong> bloques ampliam<strong>en</strong>te acreditado que ofrece <strong>el</strong> máximo niv<strong>el</strong> <strong>de</strong> seguridad para los<br />
datos <strong>de</strong>l usuario.<br />
iOS es compatible con 802.1X y pue<strong>de</strong> integrarse <strong>en</strong> un amplio abanico <strong>de</strong> <strong>en</strong>tornos <strong>de</strong><br />
aut<strong>en</strong>ticación RADIUS. Entre los métodos <strong>de</strong> aut<strong>en</strong>ticación inalámbrica 802.1X que admit<strong>en</strong><br />
<strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> se <strong>en</strong>cu<strong>en</strong>tran EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0,<br />
PEAPv1 y LEAP.<br />
Los usuarios pue<strong>de</strong>n configurar <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> para que accedan automáticam<strong>en</strong>te<br />
a <strong>la</strong>s re<strong>de</strong>s Wi-Fi disponibles. Se pue<strong>de</strong> acce<strong>de</strong>r rápidam<strong>en</strong>te a <strong>la</strong>s re<strong>de</strong>s Wi-Fi que<br />
requier<strong>en</strong> cre<strong>de</strong>nciales <strong>de</strong> inicio <strong>de</strong> sesión u otra información sin necesidad <strong>de</strong> abrir<br />
una sesión <strong>de</strong> navegador aparte, <strong>de</strong>s<strong>de</strong> los ajustes Wi-Fi o con aplicaciones como Mail.<br />
A<strong>de</strong>más, <strong>la</strong> conectividad Wi-Fi persist<strong>en</strong>te <strong>de</strong> bajo consumo permite a <strong>la</strong>s aplicaciones<br />
usar <strong>la</strong>s re<strong>de</strong>s Wi-Fi para <strong>en</strong>viar notificaciones push.<br />
Para ac<strong>el</strong>erar <strong>la</strong> configuración y <strong>el</strong> <strong>de</strong>spliegue, los ajustes <strong>de</strong> re<strong>de</strong>s inalámbricas, seguridad,<br />
proxy y aut<strong>en</strong>ticación se pue<strong>de</strong>n establecer mediante perfiles <strong>de</strong> configuración.<br />
Configuración <strong>de</strong> WPA2 Enterprise<br />
• Comprueba <strong>la</strong> compatibilidad <strong>de</strong> los dispositivos <strong>de</strong> red y s<strong>el</strong>ecciona un tipo <strong>de</strong> aut<strong>en</strong>ticación<br />
(tipo <strong>de</strong> EAP) admitido por iOS.<br />
• Comprueba que <strong>el</strong> protocolo 802.1X está activado <strong>en</strong> <strong>el</strong> servidor <strong>de</strong> aut<strong>en</strong>ticación y, si es<br />
preciso, insta<strong>la</strong> un certificado <strong>de</strong> servidor y asigna permisos <strong>de</strong> acceso a <strong>la</strong> red a usuarios<br />
y grupos.<br />
• Configura puntos <strong>de</strong> acceso inalámbrico para <strong>la</strong> aut<strong>en</strong>ticación 802.1X e introduce <strong>la</strong><br />
información <strong>de</strong>l correspondi<strong>en</strong>te servidor RADIUS.<br />
• Si ti<strong>en</strong>es <strong>la</strong> int<strong>en</strong>ción <strong>de</strong> usar un sistema <strong>de</strong> aut<strong>en</strong>ticación basado <strong>en</strong> certificados, comprueba<br />
que <strong>la</strong> infraestructura <strong>de</strong> c<strong>la</strong>ve pública está configurada para admitir certificados<br />
<strong>de</strong> usuario y <strong>de</strong> dispositivo con los correspondi<strong>en</strong>tes procesos <strong>de</strong> distribución <strong>de</strong> c<strong>la</strong>ves.<br />
• Comprueba <strong>la</strong> compatibilidad <strong>de</strong>l formato <strong>de</strong>l certificado y <strong>de</strong>l servidor <strong>de</strong> aut<strong>en</strong>ticación.<br />
iOS admite PKCS1 (.cer, .crt y .<strong>de</strong>r) y PKCS12.<br />
• Si <strong>de</strong>seas docum<strong>en</strong>tación adicional sobre estándares <strong>de</strong> re<strong>de</strong>s inalámbricas y Acceso<br />
Protegido a Wi-Fi (WPA), visita www.wi-fi.org.
Ejemplo <strong>de</strong> <strong>de</strong>spliegue con WPA2 Enterprise/802.1X<br />
Este ejemplo ilustra un <strong>de</strong>spliegue conv<strong>en</strong>cional <strong>de</strong> una red inalámbrica segura estándar que aprovecha <strong>la</strong> aut<strong>en</strong>ticación RADIUS.<br />
1<br />
2<br />
3<br />
4<br />
Certificado o contraseña<br />
basados<br />
<strong>en</strong> tipo <strong>de</strong> EAP<br />
1<br />
Servidor <strong>de</strong> aut<strong>en</strong>ticación<br />
compatible con 802.1X (RADIUS)<br />
Punto <strong>de</strong> acceso<br />
inalámbrico<br />
compatible con 802.1X<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> solicitan acceso a <strong>la</strong> red. La conexión se inicia cuando un usuario s<strong>el</strong>ecciona una red inalámbrica disponible, o bi<strong>en</strong> <strong>de</strong> forma<br />
automática cuando se <strong>de</strong>tecta una red configurada previam<strong>en</strong>te.<br />
Después <strong>de</strong> llegar al punto <strong>de</strong> acceso, <strong>la</strong> solicitud se remite al servidor RADIUS para su aut<strong>en</strong>ticación.<br />
<strong>El</strong> servidor RADIUS valida <strong>la</strong> cu<strong>en</strong>ta <strong>de</strong>l usuario empleando <strong>el</strong> servicio <strong>de</strong> directorio.<br />
2<br />
Firewall<br />
Servicios <strong>de</strong> directorio<br />
Servicios <strong>de</strong> red<br />
Cuando <strong>el</strong> usuario está aut<strong>en</strong>ticado, <strong>el</strong> punto <strong>de</strong> acceso ofrece acceso a <strong>la</strong> red aplicando <strong>la</strong>s políticas y los permisos indicados por <strong>el</strong> servidor<br />
RADIUS.<br />
© 2011 <strong>Apple</strong> Inc. Todos los <strong>de</strong>rechos reservados. <strong>Apple</strong>, <strong>el</strong> logotipo <strong>de</strong> <strong>Apple</strong>, <strong>iPhone</strong>, <strong>iPad</strong> y Mac OS son marcas comerciales <strong>de</strong> <strong>Apple</strong> Inc., registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. Otros nombres <strong>de</strong><br />
productos y <strong>empresa</strong>s m<strong>en</strong>cionados <strong>en</strong> <strong>el</strong> pres<strong>en</strong>te docum<strong>en</strong>to pue<strong>de</strong>n ser marcas comerciales <strong>de</strong> sus respectivas compañías. Las especificaciones <strong>de</strong> producto están sujetas a cambios sin previo aviso.<br />
Este docum<strong>en</strong>to se proporciona con fines meram<strong>en</strong>te informativos; <strong>Apple</strong> no asume ninguna responsabilidad r<strong>el</strong>acionada con su uso. Octubre <strong>de</strong> 2011 L419830B<br />
3<br />
4<br />
11
Formatos <strong>de</strong> i<strong>de</strong>ntidad y certificado<br />
admitidos:<br />
• iOS admite los certificados X.509<br />
con c<strong>la</strong>ves RSA.<br />
• Reconoce <strong>la</strong>s ext<strong>en</strong>siones <strong>de</strong> archivo<br />
.cer, .crt, .<strong>de</strong>r, .p12 y .pfx.<br />
Certificados raíz<br />
De serie, iOS incluye diversos<br />
certificados raíz preinsta<strong>la</strong>dos. Si <strong>de</strong>seas<br />
consultar una lista <strong>de</strong> estos certificados, lee<br />
<strong>el</strong> artículo <strong>de</strong> Soporte <strong>de</strong> <strong>Apple</strong> que <strong>en</strong>contrarás<br />
<strong>en</strong> http://support.apple.com/kb/<br />
HT4415?viewlocale=es_ES. Si usas un certificado<br />
raíz que no está preinsta<strong>la</strong>do, como<br />
un certificado raíz autofirmado creado por<br />
tu <strong>empresa</strong>, pue<strong>de</strong>s distribuirlo mediante<br />
uno <strong>de</strong> los métodos <strong>en</strong>umerados <strong>en</strong> <strong>la</strong> sección<br />
«Distribuir e insta<strong>la</strong>r certificados» <strong>de</strong><br />
este docum<strong>en</strong>to.<br />
Despliegue <strong>de</strong>l <strong>iPhone</strong><br />
y <strong>el</strong> <strong>iPad</strong><br />
Certificados digitales<br />
iOS admite certificados digitales, lo que permite a los usuarios <strong>de</strong> <strong>empresa</strong> acce<strong>de</strong>r <strong>de</strong><br />
forma segura y optimizada a servicios corporativos. Los certificados digitales están compuestos<br />
por una c<strong>la</strong>ve pública e información sobre <strong>el</strong> usuario y sobre <strong>la</strong> <strong>en</strong>tidad emisora<br />
<strong>de</strong>l certificado. Los certificados digitales son una forma <strong>de</strong> i<strong>de</strong>ntificarse que optimiza <strong>la</strong><br />
aut<strong>en</strong>ticación, <strong>la</strong> integridad <strong>de</strong> los datos y <strong>el</strong> cifrado.<br />
En <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong>, los certificados se pue<strong>de</strong>n usar <strong>de</strong> varias maneras. La firma <strong>de</strong><br />
datos con un certificado digital ayuda a garantizar que <strong>la</strong> información no pueda ser<br />
modificada. Los certificados también sirv<strong>en</strong> para garantizar <strong>la</strong> i<strong>de</strong>ntidad <strong>de</strong>l autor o «firmante».<br />
A<strong>de</strong>más, se pue<strong>de</strong>n usar para cifrar perfiles <strong>de</strong> configuración y comunicaciones<br />
<strong>de</strong> red con <strong>el</strong> fin <strong>de</strong> aum<strong>en</strong>tar <strong>la</strong> protección <strong>de</strong> información confi<strong>de</strong>ncial o privada.<br />
Usar certificados <strong>en</strong> iOS<br />
Certificados digitales<br />
Los certificados digitales sirv<strong>en</strong> para aut<strong>en</strong>ticar <strong>de</strong> forma segura a usuarios <strong>de</strong> servicios<br />
corporativos sin necesidad <strong>de</strong> emplear nombres <strong>de</strong> usuario, contraseñas ni tok<strong>en</strong>s por<br />
software. En iOS, <strong>la</strong> aut<strong>en</strong>ticación basada <strong>en</strong> certificados se usa para acce<strong>de</strong>r a servidores<br />
<strong>de</strong> Exchange ActiveSync <strong>de</strong> Microsoft y a re<strong>de</strong>s VPN y Wi-Fi.<br />
Entidad certificadora<br />
Solicitud <strong>de</strong> aut<strong>en</strong>ticación<br />
Servicios <strong>empresa</strong>riales<br />
Intranet, correo <strong>el</strong>ectrónico, VPN, Wi-Fi<br />
Servicio <strong>de</strong><br />
directorio<br />
Certificados <strong>de</strong> servidor<br />
Los certificados digitales también se pue<strong>de</strong>n usar para validar y cifrar comunicaciones <strong>de</strong><br />
re<strong>de</strong>s. Esto ofrece una comunicación segura, tanto con sitios web internos como externos.<br />
<strong>El</strong> navegador Safari pue<strong>de</strong> comprobar <strong>la</strong> vali<strong>de</strong>z <strong>de</strong> un certificado digital X.509 y<br />
configurar una sesión segura con cifrado AES <strong>de</strong> hasta 256 bits. Así se verifica <strong>la</strong> legitimidad<br />
<strong>de</strong> <strong>la</strong> i<strong>de</strong>ntidad <strong>de</strong>l sitio y se garantiza <strong>la</strong> protección <strong>de</strong> <strong>la</strong> comunicación con <strong>el</strong> sitio<br />
web para ayudar a evitar <strong>la</strong> interceptación <strong>de</strong> datos personales o confi<strong>de</strong>nciales.<br />
Solicitud HTTPS Servicios <strong>de</strong> red<br />
Entidad certificadora
Distribuir e insta<strong>la</strong>r certificados<br />
Distribuir certificados al <strong>iPhone</strong> y al <strong>iPad</strong> es fácil. Cuando recibe un certificado, <strong>el</strong> usuario<br />
solo ti<strong>en</strong>e que tocarlo para ver su cont<strong>en</strong>ido y volver a tocar para añadir <strong>el</strong> certificado al<br />
dispositivo. Al insta<strong>la</strong>r un certificado <strong>de</strong> i<strong>de</strong>ntidad, se solicita al usuario que introduzca <strong>la</strong><br />
contraseña que lo protege. Si no se pue<strong>de</strong> verificar <strong>la</strong> aut<strong>en</strong>ticidad <strong>de</strong> un certificado, <strong>el</strong><br />
usuario recibe una alerta antes <strong>de</strong> añadirlo al dispositivo.<br />
Insta<strong>la</strong>r certificados mediante perfiles <strong>de</strong> configuración<br />
Si se usan perfiles <strong>de</strong> configuración para distribuir los ajustes <strong>de</strong> los servicios corporativos,<br />
como Exchange, VPN o Wi-Fi, los certificados se pue<strong>de</strong>n añadir al perfil con <strong>el</strong> fin <strong>de</strong><br />
optimizar <strong>el</strong> <strong>de</strong>spliegue.<br />
Insta<strong>la</strong>r certificados mediante Mail o Safari<br />
Si se <strong>en</strong>vía un certificado <strong>en</strong> un correo <strong>el</strong>ectrónico, se mostrará como un adjunto. Se<br />
pue<strong>de</strong> usar Safari para <strong>de</strong>scargar certificados <strong>de</strong>s<strong>de</strong> una página web. Pue<strong>de</strong>s alojar un<br />
certificado <strong>en</strong> un sitio web seguro y facilitar a los usuarios <strong>la</strong> URL <strong>de</strong>s<strong>de</strong> <strong>la</strong> que pue<strong>de</strong>n<br />
<strong>de</strong>scargar <strong>el</strong> certificado <strong>en</strong> sus dispositivos.<br />
Insta<strong>la</strong>ción mediante <strong>el</strong> protocolo SCEP (Simple Certificate Enrollm<strong>en</strong>t<br />
Protocol)<br />
SCEP está diseñado para ofrecer un acceso simplificado para administrar <strong>la</strong> distribución<br />
<strong>de</strong> certificados <strong>en</strong> <strong>de</strong>spliegues a gran esca<strong>la</strong>. Esto permite <strong>la</strong> inscripción inalámbrica <strong>de</strong><br />
certificados digitales <strong>en</strong> <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong>. Estos certificados se pue<strong>de</strong>n utilizar para <strong>la</strong><br />
aut<strong>en</strong>ticación <strong>de</strong>l acceso a servicios corporativos, y también para <strong>la</strong> inscripción <strong>en</strong> un<br />
servidor <strong>de</strong> gestión <strong>de</strong> dispositivos móviles.<br />
Si <strong>de</strong>seas más información sobre <strong>el</strong> protocolo SCEP y <strong>la</strong> inscripción inalámbrica, consulta<br />
los recursos disponibles <strong>en</strong> www.apple.com/es/iphone/business/.<br />
Revocación y <strong>el</strong>iminación <strong>de</strong> certificados<br />
Para <strong>el</strong>iminar un certificado ya insta<strong>la</strong>do manualm<strong>en</strong>te, s<strong>el</strong>ecciona Ajustes > G<strong>en</strong>eral ><br />
Perfiles. Si <strong>el</strong>iminas un certificado necesario para acce<strong>de</strong>r a una cu<strong>en</strong>ta o red, <strong>el</strong> dispositivo<br />
no podrá volver a conectarse a esos servicios.<br />
Para <strong>el</strong>iminar certificados <strong>de</strong> forma inalámbrica se pue<strong>de</strong> usar un servidor <strong>de</strong> gestión <strong>de</strong><br />
dispositivos móviles. Este servidor pue<strong>de</strong> ver todos los certificados <strong>de</strong> un dispositivo y<br />
<strong>el</strong>iminar los que t<strong>en</strong>ga insta<strong>la</strong>dos.<br />
A<strong>de</strong>más, se admite <strong>el</strong> protocolo OCSP (protocolo <strong>de</strong> estado <strong>de</strong> los certificados <strong>en</strong> línea,<br />
por sus sig<strong>la</strong>s <strong>en</strong> inglés), que sirve para comprobar <strong>el</strong> estado <strong>de</strong> los certificados. Cuando<br />
se usa un certificado que emplea OCSP, iOS lo valida para comprobar que no haya sido<br />
revocado antes <strong>de</strong> completar <strong>la</strong> tarea solicitada.<br />
© 2011 <strong>Apple</strong> Inc. Todos los <strong>de</strong>rechos reservados. <strong>Apple</strong>, <strong>el</strong> logotipo <strong>de</strong> <strong>Apple</strong>, <strong>iPhone</strong>, <strong>iPad</strong> y Mac OS son marcas comerciales <strong>de</strong><br />
<strong>Apple</strong> Inc., registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. Otros nombres <strong>de</strong> productos y <strong>empresa</strong>s m<strong>en</strong>cionados <strong>en</strong> <strong>el</strong> pres<strong>en</strong>te docum<strong>en</strong>to<br />
pue<strong>de</strong>n ser marcas comerciales <strong>de</strong> sus respectivas compañías. Las especificaciones <strong>de</strong> producto están sujetas a cambios sin<br />
previo aviso. Este docum<strong>en</strong>to se proporciona con fines meram<strong>en</strong>te informativos; <strong>Apple</strong> no asume ninguna responsabilidad r<strong>el</strong>acionada<br />
con su uso. Octubre <strong>de</strong> 2011 L419821B<br />
13
Seguridad <strong>de</strong>l dispositivo<br />
• Contraseñas seguras<br />
• Caducidad <strong>de</strong> contraseñas<br />
• Historial <strong>de</strong> reutilización <strong>de</strong> contraseñas<br />
• Número máximo <strong>de</strong> int<strong>en</strong>tos fallidos<br />
• Imposición inalámbrica <strong>de</strong> contraseñas<br />
• Tiempo <strong>de</strong> espera progresivo para introducción<br />
<strong>de</strong> contraseña<br />
Despliegue <strong>de</strong>l <strong>iPhone</strong><br />
y <strong>el</strong> <strong>iPad</strong><br />
Descripción <strong>de</strong> <strong>la</strong> seguridad<br />
iOS, <strong>el</strong> sistema operativo <strong>en</strong> <strong>el</strong> que se basan <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong>, se ha creado sobre diversas<br />
capas <strong>de</strong> seguridad. Esto permite que <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> accedan <strong>de</strong> forma segura<br />
a servicios corporativos y protejan datos importantes. iOS ofrece un sólido sistema <strong>de</strong><br />
cifrado <strong>de</strong> datos <strong>en</strong> tránsito, métodos <strong>de</strong> aut<strong>en</strong>ticación acreditados para acce<strong>de</strong>r a servicios<br />
<strong>empresa</strong>riales y cifrado por hardware para los datos <strong>en</strong> reposo. iOS también ofrece<br />
protección segura mediante <strong>el</strong> uso <strong>de</strong> políticas <strong>de</strong> contraseñas que se pue<strong>de</strong>n diseñar<br />
e imponer <strong>de</strong> forma inalámbrica. A<strong>de</strong>más, si <strong>el</strong> dispositivo cayese <strong>en</strong> ma<strong>la</strong>s manos, los<br />
usuarios y los administradores <strong>de</strong> TI pue<strong>de</strong>n <strong>en</strong>viar una or<strong>de</strong>n <strong>de</strong> borrado remoto para<br />
garantizar que <strong>la</strong> información privada se borra.<br />
Cuando nos p<strong>la</strong>nteamos <strong>la</strong> seguridad <strong>de</strong> iOS para su uso <strong>en</strong> <strong>empresa</strong>s, es útil compr<strong>en</strong><strong>de</strong>r<br />
lo sigui<strong>en</strong>te:<br />
• Seguridad <strong>de</strong>l dispositivo: métodos que impi<strong>de</strong>n <strong>el</strong> uso no autorizado <strong>de</strong>l dispositivo.<br />
• Seguridad <strong>de</strong> datos: máxima protección <strong>de</strong> los datos, incluso si <strong>el</strong> dispositivo se pier<strong>de</strong> o<br />
lo roban.<br />
• Seguridad <strong>de</strong> red: protocolos <strong>de</strong> red y cifrado <strong>de</strong> los datos <strong>en</strong> tránsito.<br />
• Seguridad <strong>de</strong> <strong>la</strong>s apps: fundam<strong>en</strong>tos <strong>de</strong> <strong>la</strong> p<strong>la</strong>taforma segura <strong>de</strong> iOS.<br />
Estas funciones se combinan para ofrecer una p<strong>la</strong>taforma informática móvil segura.<br />
Seguridad <strong>de</strong>l dispositivo<br />
Es importante establecer políticas <strong>de</strong> acceso estrictas al <strong>iPhone</strong> y al <strong>iPad</strong> para proteger <strong>la</strong><br />
información <strong>de</strong> <strong>la</strong> <strong>empresa</strong>. La contraseña <strong>de</strong> dispositivo es <strong>la</strong> primera línea <strong>de</strong> <strong>de</strong>f<strong>en</strong>sa<br />
contra usos no autorizados, y se pue<strong>de</strong> configurar e imponer <strong>de</strong> forma inalámbrica. iOS<br />
emplea <strong>la</strong> contraseña exclusiva <strong>de</strong>terminada por cada usuario para g<strong>en</strong>erar una c<strong>la</strong>ve <strong>de</strong><br />
cifrado fuerte con <strong>la</strong> que proteger <strong>en</strong> mayor medida <strong>el</strong> correo y los datos confi<strong>de</strong>nciales<br />
<strong>de</strong> <strong>la</strong>s aplicaciones <strong>de</strong>l dispositivo. A<strong>de</strong>más, iOS proporciona métodos seguros para configurar<br />
<strong>el</strong> dispositivo <strong>en</strong> <strong>en</strong>tornos <strong>empresa</strong>riales, don<strong>de</strong> se <strong>de</strong>b<strong>en</strong> aplicar ciertos ajustes,<br />
políticas y restricciones. Estos métodos proporcionan opciones flexibles para establecer<br />
un niv<strong>el</strong> <strong>de</strong> protección estándar para los usuarios autorizados.<br />
Políticas <strong>de</strong> contraseñas<br />
<strong>El</strong> uso <strong>de</strong> contraseña <strong>en</strong> <strong>el</strong> dispositivo impi<strong>de</strong> que los usuarios sin autorización accedan a<br />
los datos o incluso al dispositivo. iOS permite <strong>el</strong>egir <strong>en</strong>tre un amplio conjunto <strong>de</strong> requisitos<br />
para contraseñas con los que satisfacer <strong>la</strong>s necesida<strong>de</strong>s <strong>de</strong> seguridad, como periodos<br />
<strong>de</strong> inactividad, fortaleza <strong>de</strong> contraseñas y caducidad.<br />
Se ofrec<strong>en</strong> <strong>la</strong>s sigui<strong>en</strong>tes políticas <strong>de</strong> contraseña:<br />
• Solicitar Código <strong>en</strong> <strong>el</strong> Dispositivo<br />
• Permitir Valor Simple<br />
• Requerir Valor Alfanumérico<br />
• Longitud Mínima <strong>de</strong>l Código<br />
14
Políticas y restricciones<br />
configurables admitidas:<br />
Funcionalidad <strong>de</strong>l Dispositivo<br />
• Permitir Insta<strong>la</strong>r Aplicaciones<br />
• Permitir Siri<br />
• Permitir Usar <strong>la</strong> Cámara<br />
• Permitir FaceTime<br />
• Permitir Captura <strong>de</strong> Pantal<strong>la</strong><br />
• Permitir Sincronización Automática <strong>en</strong><br />
Itinerancia<br />
• Permitir Marcación por Voz<br />
• Permitir Compras <strong>de</strong>s<strong>de</strong> Aplicaciones<br />
• Pedir al Usuario que Escriba <strong>la</strong> Contraseña <strong>de</strong><br />
iTunes Store para todas <strong>la</strong>s Compras<br />
• Permitir Modo Multijugador<br />
• Permitir Añadir Amigos <strong>de</strong> Game C<strong>en</strong>ter<br />
Aplicaciones<br />
• Permitir <strong>el</strong> Uso <strong>de</strong> YouTube<br />
• Permitir <strong>el</strong> Uso <strong>de</strong> iTunes Store<br />
• Permitir <strong>el</strong> Uso <strong>de</strong> Safari<br />
• Definir prefer<strong>en</strong>cias <strong>de</strong> seguridad <strong>de</strong> Safari<br />
iCloud<br />
• Permitir Copia <strong>de</strong> Seguridad<br />
• Permitir <strong>la</strong> Sincronización <strong>de</strong> Docum<strong>en</strong>tos/<br />
Permitir <strong>la</strong> Sincronización <strong>de</strong> C<strong>la</strong>ve-Valor<br />
• Permitir Fotos <strong>en</strong> Streaming<br />
Seguridad y Privacidad<br />
• Permitir <strong>el</strong> Envío <strong>de</strong> Datos <strong>de</strong> Diagnóstico a<br />
<strong>Apple</strong><br />
• Permitir al Usuario Aceptar Certificados TLS no<br />
Fiables<br />
• Forzar Copias <strong>de</strong> Seguridad Encriptadas<br />
C<strong>la</strong>sificaciones <strong>de</strong>l Cont<strong>en</strong>ido<br />
• Permitir Música y Podcasts Explícitos<br />
• Región <strong>de</strong> <strong>la</strong>s C<strong>la</strong>sificaciones<br />
• C<strong>la</strong>sificaciones <strong>de</strong> los Cont<strong>en</strong>idos Permitidas<br />
• Número Mínimo <strong>de</strong> Caracteres Complejos<br />
• Periodo Máximo <strong>de</strong> Vali<strong>de</strong>z <strong>de</strong>l Código<br />
• Bloqueo Automático<br />
• Historial <strong>de</strong> Códigos<br />
• Periodo <strong>de</strong> Gracia para <strong>el</strong> Bloqueo <strong>de</strong>l Dispositivo<br />
• Número Máximo <strong>de</strong> Int<strong>en</strong>tos Fallidos<br />
Imposición <strong>de</strong> políticas<br />
Las políticas <strong>de</strong>scritas arriba se pue<strong>de</strong>n configurar <strong>en</strong> <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> <strong>de</strong> diversas<br />
maneras. Las políticas también pue<strong>de</strong>n distribuirse como parte <strong>de</strong> un perfil <strong>de</strong> configuración<br />
que puedan insta<strong>la</strong>r los usuarios. <strong>El</strong> perfil se pue<strong>de</strong> <strong>de</strong>finir <strong>de</strong> modo que solo se<br />
pueda borrar con una contraseña <strong>de</strong> administrador, o para que esté ligado al dispositivo<br />
y solo se pueda borrar si se borra todo <strong>el</strong> cont<strong>en</strong>ido <strong>de</strong>l equipo. A<strong>de</strong>más, los ajustes <strong>de</strong><br />
contraseñas se pue<strong>de</strong>n configurar <strong>de</strong> forma remota mediante soluciones <strong>de</strong> gestión <strong>de</strong><br />
dispositivos móviles (MDM), capaces <strong>de</strong> transmitir <strong>la</strong>s políticas directam<strong>en</strong>te al dispositivo.<br />
Esto permite imponer y actualizar <strong>la</strong>s políticas sin que <strong>el</strong> usuario <strong>de</strong>ba hacer nada.<br />
Opcionalm<strong>en</strong>te, si <strong>el</strong> dispositivo está configurado para acce<strong>de</strong>r a una cu<strong>en</strong>ta <strong>de</strong> Exchange<br />
<strong>de</strong> Microsoft, <strong>la</strong>s políticas <strong>de</strong> Exchange ActiveSync se remit<strong>en</strong> <strong>de</strong> forma inalámbrica al<br />
dispositivo. Recuerda que <strong>el</strong> conjunto disponible <strong>de</strong> políticas <strong>de</strong>p<strong>en</strong><strong>de</strong> <strong>de</strong> <strong>la</strong> versión <strong>de</strong><br />
Exchange (2003, 2007 o 2010). En <strong>la</strong> docum<strong>en</strong>tación sobre Exchange ActiveSync y los<br />
dispositivos iOS <strong>en</strong>contrarás un <strong>de</strong>sglose <strong>de</strong> <strong>la</strong>s políticas admitidas para tu configuración<br />
específica.<br />
Configuración segura <strong>de</strong>l dispositivo<br />
Los perfiles <strong>de</strong> configuración son archivos XML que conti<strong>en</strong><strong>en</strong> <strong>la</strong>s políticas <strong>de</strong> seguridad<br />
y restricciones <strong>de</strong>l dispositivo, <strong>la</strong> información <strong>de</strong> <strong>la</strong> configuración <strong>de</strong> <strong>la</strong> red VPN, los<br />
ajustes Wi-Fi y <strong>la</strong>s cu<strong>en</strong>tas <strong>de</strong> correo <strong>el</strong>ectrónico y cal<strong>en</strong>darios, así como <strong>la</strong>s cre<strong>de</strong>nciales<br />
<strong>de</strong> aut<strong>en</strong>ticación que permit<strong>en</strong> que <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> funcion<strong>en</strong> con los sistemas <strong>de</strong> <strong>la</strong><br />
<strong>empresa</strong>. La posibilidad <strong>de</strong> establecer políticas <strong>de</strong> contraseñas y ajustes <strong>de</strong> dispositivo<br />
con un perfil <strong>de</strong> configuración garantiza que los dispositivos <strong>de</strong> <strong>la</strong> <strong>empresa</strong> estén correctam<strong>en</strong>te<br />
configurados y respet<strong>en</strong> los estándares <strong>de</strong> seguridad establecidos por <strong>la</strong> organización.<br />
Como los perfiles <strong>de</strong> configuración se pue<strong>de</strong>n cifrar y bloquear, los ajustes no se<br />
pue<strong>de</strong>n <strong>el</strong>iminar, modificar ni compartir con otros usuarios.<br />
Los perfiles <strong>de</strong> configuración se pue<strong>de</strong>n firmar y cifrar. La firma <strong>de</strong> un perfil <strong>de</strong> configuración<br />
garantiza que no se puedan modificar los ajustes que establece. <strong>El</strong> cifrado <strong>de</strong> un<br />
perfil <strong>de</strong> configuración protege su cont<strong>en</strong>ido y solo permite su insta<strong>la</strong>ción <strong>en</strong> <strong>el</strong> dispositivo<br />
para <strong>el</strong> que fue creado. Los perfiles <strong>de</strong> configuración se cifran con CMS (Cryptographic<br />
Message Syntax, RFC 3852), y se admit<strong>en</strong> los algoritmos 3DES y AES 128.<br />
La primera vez que se distribuye un perfil <strong>de</strong> configuración cifrado, se insta<strong>la</strong> mediante<br />
sincronización USB empleando <strong>la</strong> utilidad <strong>de</strong> configuración, o bi<strong>en</strong> mediante inscripción<br />
inalámbrica. A<strong>de</strong>más <strong>de</strong> estos métodos, <strong>la</strong> distribución posterior <strong>de</strong> perfiles <strong>de</strong> configuración<br />
cifrados se pue<strong>de</strong> realizar mediante adjuntos <strong>de</strong> correo <strong>el</strong>ectrónico, alojándolos <strong>en</strong><br />
un sitio web accesible para los usuarios, o bi<strong>en</strong> <strong>en</strong>viándolos al dispositivo mediante soluciones<br />
<strong>de</strong> gestión <strong>de</strong> dispositivos móviles.<br />
Restricciones <strong>de</strong>l dispositivo<br />
Las restricciones <strong>de</strong> dispositivo <strong>de</strong>terminan qué prestaciones están disponibles para<br />
los usuarios. Normalm<strong>en</strong>te se aplican a programas con conexión a <strong>la</strong> Red, como Safari,<br />
YouTube o <strong>el</strong> iTunes Store, pero <strong>la</strong>s restricciones también pue<strong>de</strong>n contro<strong>la</strong>r cosas como<br />
<strong>la</strong> insta<strong>la</strong>ción <strong>de</strong> aplicaciones o <strong>el</strong> uso <strong>de</strong> <strong>la</strong> cámara. Las restricciones permit<strong>en</strong> configurar<br />
<strong>el</strong> dispositivo <strong>en</strong> función <strong>de</strong> los requisitos <strong>de</strong> cada <strong>empresa</strong>, <strong>de</strong> modo que los usuarios lo<br />
emple<strong>en</strong> <strong>de</strong> acuerdo con <strong>la</strong>s prácticas <strong>de</strong> <strong>la</strong> organización. Las restricciones pue<strong>de</strong>n configurarse<br />
<strong>en</strong> cada dispositivo <strong>de</strong> forma manual, imponerse con un perfil <strong>de</strong> configuración<br />
o establecerse a distancia con soluciones <strong>de</strong> gestión <strong>de</strong> dispositivos móviles. A<strong>de</strong>más, al<br />
15
Seguridad <strong>de</strong> datos<br />
• Cifrado por hardware<br />
• Protección <strong>de</strong> datos<br />
• Borrado remoto<br />
• Borrado local<br />
• Perfiles <strong>de</strong> configuración cifrados<br />
• Copias <strong>de</strong> seguridad <strong>de</strong> iTunes cifradas<br />
Tiempo <strong>de</strong> espera progresivo para introducción<br />
<strong>de</strong> código<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> se pue<strong>de</strong>n configurar para<br />
iniciar automáticam<strong>en</strong>te un borrado tras varios<br />
int<strong>en</strong>tos fallidos <strong>de</strong> introducción <strong>de</strong> <strong>la</strong> contraseña.<br />
Si un usuario introduce repetidam<strong>en</strong>te<br />
<strong>la</strong> contraseña incorrecta, iOS se bloqueará<br />
durante periodos cada vez más prolongados.<br />
Tras un número <strong>de</strong>terminado <strong>de</strong> int<strong>en</strong>tos fallidos,<br />
se borrarán todos los datos y ajustes <strong>de</strong>l<br />
dispositivo.<br />
igual que <strong>la</strong>s políticas <strong>de</strong> contraseñas, <strong>la</strong>s restricciones r<strong>el</strong>acionadas con <strong>la</strong> cámara o <strong>la</strong><br />
navegación web se pue<strong>de</strong>n imponer inalámbricam<strong>en</strong>te mediante Exchange Server 2007<br />
o 2010 <strong>de</strong> Microsoft.<br />
Aparte <strong>de</strong> <strong>la</strong>s restricciones <strong>de</strong> ajustes y políticas <strong>de</strong>l dispositivo, <strong>la</strong> aplicación para equipos<br />
<strong>de</strong> mesa iTunes se pue<strong>de</strong> configurar y contro<strong>la</strong>r <strong>de</strong>s<strong>de</strong> <strong>el</strong> <strong>de</strong>partam<strong>en</strong>to <strong>de</strong> TI. Esto<br />
incluye <strong>el</strong> bloqueo <strong>de</strong>l acceso a cont<strong>en</strong>ido explícito, <strong>la</strong> <strong>de</strong>finición <strong>de</strong> los servicios <strong>de</strong> red<br />
disponibles <strong>de</strong>s<strong>de</strong> iTunes y <strong>la</strong> autorización para insta<strong>la</strong>r actualizaciones <strong>de</strong> programas. Si<br />
<strong>de</strong>seas más información, consulta Desplegar iTunes <strong>en</strong> dispositivos iOS.<br />
Seguridad <strong>de</strong> los datos<br />
Proteger los datos almac<strong>en</strong>ados <strong>en</strong> <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> es importante <strong>en</strong> cualquier <strong>en</strong>torno<br />
con información <strong>de</strong>licada sobre <strong>la</strong> <strong>empresa</strong> o sus cli<strong>en</strong>tes. A<strong>de</strong>más <strong>de</strong> cifrar los datos<br />
transmitidos, <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> ofrec<strong>en</strong> cifrado por hardware para los datos almac<strong>en</strong>ados<br />
<strong>en</strong> <strong>el</strong> dispositivo, y cifrado adicional <strong>de</strong> correos <strong>el</strong>ectrónicos y datos <strong>de</strong> aplicaciones<br />
con un niv<strong>el</strong> <strong>de</strong> protección <strong>de</strong> datos superior.<br />
Si un dispositivo se extravía o es objeto <strong>de</strong> hurto, es importante <strong>de</strong>sactivarlo y borrar su<br />
cont<strong>en</strong>ido. También es bu<strong>en</strong>a i<strong>de</strong>a instaurar una política que borre <strong>el</strong> dispositivo tras un<br />
número <strong>de</strong>terminado <strong>de</strong> int<strong>en</strong>tos fallidos <strong>de</strong> introducción <strong>de</strong> <strong>la</strong> contraseña, lo cual supone<br />
una medida disuasoria para evitar <strong>el</strong> int<strong>en</strong>to <strong>de</strong> acceso no autorizado al dispositivo.<br />
Cifrado<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> ofrec<strong>en</strong> cifrado por hardware. <strong>El</strong> cifrado por hardware emplea <strong>la</strong><br />
codificación AES <strong>de</strong> 256 bits para proteger todos los datos <strong>de</strong>l dispositivo. <strong>El</strong> cifrado está<br />
siempre activado, y <strong>el</strong> usuario no lo pue<strong>de</strong> <strong>de</strong>sactivar.<br />
A<strong>de</strong>más, los datos guardados con <strong>la</strong> copia <strong>de</strong> seguridad <strong>de</strong> iTunes <strong>en</strong> <strong>el</strong> or<strong>de</strong>nador <strong>de</strong>l<br />
usuario se pue<strong>de</strong>n cifrar. Esto pue<strong>de</strong> ser activado por <strong>el</strong> usuario o impuesto mediante los<br />
ajustes <strong>de</strong> restricción <strong>de</strong>l dispositivo <strong>de</strong> los perfiles <strong>de</strong> configuración.<br />
iOS admite S/MIME <strong>en</strong> <strong>el</strong> correo, <strong>de</strong> modo que <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> pue<strong>de</strong>n ver y <strong>en</strong>viar<br />
m<strong>en</strong>sajes <strong>de</strong> correo <strong>el</strong>ectrónico cifrados. También se pue<strong>de</strong>n aplicar restricciones para<br />
evitar que los m<strong>en</strong>sajes <strong>de</strong> correo <strong>el</strong>ectrónico sean traspasados <strong>en</strong>tre cu<strong>en</strong>tas o que los<br />
m<strong>en</strong>sajes recibidos por una cu<strong>en</strong>ta sean re<strong>en</strong>viados a otra.<br />
Protección <strong>de</strong> datos<br />
Como complem<strong>en</strong>to a <strong>la</strong>s funciones <strong>de</strong> cifrado por hardware <strong>de</strong>l <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong>, los<br />
m<strong>en</strong>sajes <strong>de</strong> correo <strong>el</strong>ectrónico y los adjuntos almac<strong>en</strong>ados <strong>en</strong> <strong>el</strong> dispositivo se pue<strong>de</strong>n<br />
salvaguardar <strong>en</strong> mayor medida mediante <strong>la</strong>s prestaciones <strong>de</strong> protección <strong>de</strong> datos integradas<br />
<strong>en</strong> iOS. La protección <strong>de</strong> datos emplea <strong>la</strong> contraseña exclusiva <strong>de</strong>l dispositivo <strong>de</strong>l<br />
usuario <strong>en</strong> combinación con <strong>el</strong> cifrado por hardware <strong>de</strong>l <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> para g<strong>en</strong>erar<br />
una c<strong>la</strong>ve <strong>de</strong> cifrado sólida. Esta c<strong>la</strong>ve evita <strong>el</strong> acceso a los datos cuando <strong>el</strong> dispositivo<br />
está bloqueado, lo que garantiza que <strong>la</strong> información crucial esté segura incluso si <strong>el</strong> dispositivo<br />
no lo está.<br />
Para activar <strong>la</strong> prestación <strong>de</strong> protección <strong>de</strong> datos, solo es necesario establecer una contraseña<br />
<strong>en</strong> <strong>el</strong> dispositivo. La eficacia <strong>de</strong> <strong>la</strong> protección <strong>de</strong> datos <strong>de</strong>p<strong>en</strong><strong>de</strong> <strong>de</strong> una contraseña<br />
sólida, por lo que es importante exigir e imponer una contraseña más fuerte que <strong>la</strong>s<br />
<strong>de</strong> cuatro dígitos al establecer <strong>la</strong>s políticas <strong>de</strong> contraseñas <strong>de</strong> <strong>la</strong> <strong>empresa</strong>. Los usuarios<br />
pue<strong>de</strong>n comprobar si <strong>la</strong> protección <strong>de</strong> datos está activada <strong>en</strong> su dispositivo consultando<br />
<strong>la</strong> pantal<strong>la</strong> <strong>de</strong> ajustes <strong>de</strong> contraseña. Las soluciones <strong>de</strong> gestión <strong>de</strong> dispositivos móviles<br />
también permit<strong>en</strong> solicitar esta información al dispositivo.<br />
Estas API <strong>de</strong> protección <strong>de</strong> datos también están a disposición <strong>de</strong> los <strong>de</strong>sarrol<strong>la</strong>dores, y se<br />
pue<strong>de</strong>n usar para salvaguardar los datos <strong>de</strong> aplicaciones comerciales o internas.<br />
16
Seguridad <strong>de</strong> red<br />
• Compatibilidad integrada con VPN<br />
IPSec <strong>de</strong> Cisco, L2TP y PPTP<br />
• VPN sobre SSL mediante apps <strong>de</strong>l App<br />
Store<br />
• SSL/TLS con certificados X.509<br />
• WPA/WPA2 Enterprise con 802.1X<br />
• Aut<strong>en</strong>ticación basada <strong>en</strong> certificados<br />
• RSA SecureID y CRYPTOCard<br />
Protocolos <strong>de</strong> VPN<br />
• IPSec <strong>de</strong> Cisco<br />
• L2TP/IPSec<br />
• PPTP<br />
• VPN sobre SSL<br />
Métodos <strong>de</strong> aut<strong>en</strong>ticación<br />
• Contraseña (MSCHAPv2)<br />
• RSA SecurID<br />
• CRYPTOCard<br />
• Certificados digitales X.509<br />
• Secreto compartido<br />
Protocolos <strong>de</strong> aut<strong>en</strong>ticación 802.1X<br />
• EAP-TLS<br />
• EAP-TTLS<br />
• EAP-FAST<br />
• EAP-SIM<br />
• PEAP v0, v1<br />
• LEAP<br />
Formatos <strong>de</strong> certificado admitidos<br />
iOS admite los certificados X.509<br />
con c<strong>la</strong>ves RSA. Reconoce <strong>la</strong>s ext<strong>en</strong>siones <strong>de</strong><br />
archivo cer, .crt y .<strong>de</strong>r.<br />
Borrado remoto<br />
iOS admite <strong>el</strong> borrado remoto. En caso <strong>de</strong> robo o extravío <strong>de</strong> un dispositivo, <strong>el</strong> administrador<br />
o propietario pue<strong>de</strong> emitir una or<strong>de</strong>n <strong>de</strong> borrado remoto que <strong>el</strong>imina<br />
todos sus datos y lo <strong>de</strong>sactiva. Si <strong>el</strong> dispositivo está configurado con una cu<strong>en</strong>ta <strong>de</strong><br />
Exchange, <strong>el</strong> administrador pue<strong>de</strong> iniciar una or<strong>de</strong>n <strong>de</strong> borrado remoto <strong>de</strong>s<strong>de</strong> <strong>la</strong><br />
Conso<strong>la</strong> <strong>de</strong> Administración <strong>de</strong> Exchange (Exchange Server 2007) o <strong>de</strong>s<strong>de</strong> Exchange<br />
ActiveSync Mobile Administration Web Tool (Exchange Server 2003 o 2007). Los usuarios<br />
<strong>de</strong> Exchange Server 2007 también pue<strong>de</strong>n dar <strong>la</strong> or<strong>de</strong>n <strong>de</strong> borrado remoto directam<strong>en</strong>te<br />
con Outlook Web Access. Las ór<strong>de</strong>nes <strong>de</strong> borrado remoto también se pue<strong>de</strong>n<br />
iniciar <strong>de</strong>s<strong>de</strong> soluciones <strong>de</strong> gestión <strong>de</strong> dispositivos móviles (MDM), aun cuando no se<br />
us<strong>en</strong> servicios corporativos <strong>de</strong> Exchange.<br />
Borrado local<br />
Los dispositivos también pue<strong>de</strong>n configurarse para iniciar un borrado local automáticam<strong>en</strong>te<br />
tras varios int<strong>en</strong>tos fallidos <strong>de</strong> introducción <strong>de</strong> <strong>la</strong> contraseña. Esto protege<br />
contra los int<strong>en</strong>tos <strong>de</strong> forzar <strong>el</strong> acceso al dispositivo. Cuando se establece una contraseña,<br />
los usuarios ti<strong>en</strong><strong>en</strong> <strong>la</strong> posibilidad <strong>de</strong> activar directam<strong>en</strong>te <strong>el</strong> borrado local <strong>de</strong>s<strong>de</strong> los<br />
ajustes <strong>de</strong>l dispositivo. Por omisión, iOS borra <strong>el</strong> dispositivo automáticam<strong>en</strong>te <strong>de</strong>spués<br />
<strong>de</strong> 10 int<strong>en</strong>tos fallidos <strong>de</strong> introducción <strong>de</strong> <strong>la</strong> contraseña. Como con otras políticas <strong>de</strong><br />
contraseñas, <strong>el</strong> número máximo <strong>de</strong> int<strong>en</strong>tos fallidos se pue<strong>de</strong> establecer mediante un<br />
perfil <strong>de</strong> configuración, con un servidor MDM o <strong>de</strong> forma inalámbrica con políticas <strong>de</strong><br />
Exchange ActiveSync <strong>de</strong> Microsoft.<br />
iCloud<br />
iCloud almac<strong>en</strong>a varios tipos <strong>de</strong> cont<strong>en</strong>ido, como música, fotos, apps, cal<strong>en</strong>darios y<br />
docum<strong>en</strong>tos, y lo actualiza automáticam<strong>en</strong>te <strong>en</strong> todos los dispositivos <strong>de</strong>l usuario<br />
mediante tecnología push. iCloud también hace copias <strong>de</strong> seguridad diarias y por<br />
Wi-Fi <strong>de</strong> diversa información, como ajustes <strong>de</strong>l dispositivo, datos <strong>de</strong> apps y m<strong>en</strong>sajes<br />
<strong>de</strong> texto y MMS. iCloud protege tu cont<strong>en</strong>ido cifrándolo cuando se <strong>en</strong>vía por Internet,<br />
almac<strong>en</strong>ándolo <strong>en</strong> un formato cifrado y usando tok<strong>en</strong>s seguros para <strong>la</strong> aut<strong>en</strong>ticación.<br />
A<strong>de</strong>más, <strong>la</strong>s prestaciones <strong>de</strong> iCloud, como Fotos <strong>en</strong> Streaming, Sincronización <strong>de</strong><br />
Docum<strong>en</strong>tos y Copia <strong>de</strong> Seguridad, se pue<strong>de</strong>n <strong>de</strong>sactivar mediante un perfil <strong>de</strong> configuración.<br />
Si <strong>de</strong>seas más información sobre <strong>la</strong> seguridad y privacidad <strong>de</strong> iCloud, visita<br />
http://support.apple.com/kb/HT4865?viewlocale=es_ES.<br />
Seguridad <strong>de</strong> red<br />
Los usuarios que se <strong>de</strong>sp<strong>la</strong>zan a m<strong>en</strong>udo necesitan po<strong>de</strong>r acce<strong>de</strong>r a <strong>la</strong>s re<strong>de</strong>s <strong>de</strong> información<br />
corporativa <strong>de</strong>s<strong>de</strong> cualquier lugar <strong>de</strong>l mundo, pero también es importante<br />
garantizar que los usuarios estén autorizados y que los datos estén protegidos durante<br />
su transmisión. iOS ofrece tecnologías acreditadas que permit<strong>en</strong> cumplir estos objetivos<br />
<strong>de</strong> seguridad tanto para conexiones a re<strong>de</strong>s Wi-Fi como <strong>de</strong> t<strong>el</strong>efonía móvil.<br />
A<strong>de</strong>más <strong>de</strong> tu infraestructura, todas <strong>la</strong>s conversaciones <strong>de</strong> FaceTime y iMessage están<br />
cifradas <strong>de</strong> punto a punto. iOS crea un i<strong>de</strong>ntificador exclusivo para cada usuario, garantizando<br />
que <strong>la</strong>s comunicaciones se cifr<strong>en</strong>, dirijan y conect<strong>en</strong> a<strong>de</strong>cuadam<strong>en</strong>te.<br />
VPN<br />
Muchos <strong>en</strong>tornos <strong>empresa</strong>riales ti<strong>en</strong><strong>en</strong> algún tipo <strong>de</strong> red privada virtual (VPN). Estos<br />
servicios seguros <strong>de</strong> red ya están <strong>de</strong>splegados y normalm<strong>en</strong>te requier<strong>en</strong> una configuración<br />
mínima para funcionar con <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong>.<br />
iOS se integra <strong>de</strong> serie <strong>en</strong> una amplia gama <strong>de</strong> tecnologías VPN ampliam<strong>en</strong>te utilizadas,<br />
ya que es compatible con IPSec <strong>de</strong> Cisco, L2TP y PPTP, así como con tecnologías<br />
<strong>de</strong> VPN sobre SSL <strong>de</strong> Juniper, Cisco y F5 Networks. La compatibilidad con estos protocolos<br />
garantiza <strong>el</strong> máximo niv<strong>el</strong> <strong>de</strong> cifrado por IP para <strong>la</strong> transmisión <strong>de</strong> información<br />
confi<strong>de</strong>ncial.<br />
17
Seguridad <strong>de</strong> <strong>la</strong>s apps<br />
• Protección <strong>en</strong> tiempo <strong>de</strong> ejecución<br />
• Firma obligatoria <strong>de</strong>l código<br />
• Servicios <strong>de</strong> l<strong>la</strong>vero<br />
• Las API <strong>de</strong> CommonCrypto<br />
• Protección <strong>de</strong> datos <strong>de</strong> aplicaciones<br />
A<strong>de</strong>más <strong>de</strong> permitir <strong>el</strong> acceso seguro a <strong>en</strong>tornos VPN exist<strong>en</strong>tes, iOS ofrece métodos<br />
acreditados para <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong> usuarios. La aut<strong>en</strong>ticación mediante certificados<br />
digitales X.509 estándar ofrece al usuario un acceso optimizado a los recursos <strong>de</strong> <strong>la</strong><br />
<strong>empresa</strong> y constituye una alternativa viable a los tok<strong>en</strong>s por hardware. A<strong>de</strong>más, <strong>la</strong><br />
aut<strong>en</strong>ticación con certificado permite a iOS aprovechar <strong>la</strong>s v<strong>en</strong>tajas <strong>de</strong> VPN por petición,<br />
con lo que <strong>el</strong> proceso <strong>de</strong> aut<strong>en</strong>ticación VPN es transpar<strong>en</strong>te sin <strong>de</strong>jar <strong>de</strong> ofrecer<br />
un acceso i<strong>de</strong>ntificado sólido a los servicios <strong>de</strong> red. Para <strong>en</strong>tornos <strong>empresa</strong>riales <strong>en</strong> los<br />
que se exige un tok<strong>en</strong> <strong>de</strong> doble factor, iOS se integra con RSA SecurID y CRYPTOCard.<br />
iOS admite <strong>la</strong> configuración <strong>de</strong> proxy <strong>de</strong> red, así como tún<strong>el</strong> IP dividido, <strong>de</strong> modo que<br />
<strong>el</strong> tráfico a dominios <strong>de</strong> red públicos o privados es remitido <strong>en</strong> función <strong>de</strong> <strong>la</strong>s políticas<br />
<strong>de</strong> <strong>la</strong> <strong>empresa</strong>.<br />
SSL/TLS<br />
iOS admite SSL v3 y también Transport Layer Security (TLS v1.0, 1.1 y 1.2), <strong>el</strong> estándar <strong>de</strong><br />
seguridad <strong>de</strong> última g<strong>en</strong>eración para Internet. Safari, Cal<strong>en</strong>dario, Mail y otras aplicaciones<br />
<strong>de</strong> Internet inician automáticam<strong>en</strong>te estos mecanismos para establecer un canal<br />
<strong>de</strong> comunicación cifrada <strong>en</strong>tre iOS y los servicios corporativos.<br />
WPA/WPA2<br />
iOS admite WPA2 Enterprise para ofrecer acceso aut<strong>en</strong>ticado a <strong>la</strong> red inalámbrica <strong>de</strong><br />
<strong>la</strong> <strong>empresa</strong>. WPA2 Enterprise utiliza cifrado AES <strong>de</strong> 128 bits, que ofrece a los usuarios<br />
<strong>la</strong>s máximas garantías <strong>de</strong> que sus datos estarán protegidos al <strong>en</strong>viar y recibir comunicaciones<br />
a través <strong>de</strong> <strong>la</strong> conexión a una red Wi-Fi. A<strong>de</strong>más, como <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong><br />
son compatibles con 802.1X, pue<strong>de</strong>n integrarse <strong>en</strong> un amplio abanico <strong>de</strong> <strong>en</strong>tornos <strong>de</strong><br />
aut<strong>en</strong>ticación RADIUS.<br />
Seguridad <strong>de</strong> <strong>la</strong>s apps<br />
iOS está íntegram<strong>en</strong>te <strong>de</strong>sarrol<strong>la</strong>do para ofrecer <strong>la</strong> máxima seguridad. Incluye un sistema<br />
<strong>de</strong> «<strong>en</strong>jau<strong>la</strong>do» para <strong>la</strong> protección <strong>en</strong> tiempo <strong>de</strong> ejecución <strong>de</strong> <strong>la</strong>s aplicaciones y<br />
requiere que estén firmadas para garantizar que no hayan sido manipu<strong>la</strong>das. A<strong>de</strong>más,<br />
iOS ti<strong>en</strong>e un <strong>en</strong>torno protegido que facilita <strong>el</strong> almac<strong>en</strong>ami<strong>en</strong>to seguro <strong>de</strong> cre<strong>de</strong>nciales<br />
<strong>de</strong> aplicaciones y <strong>de</strong> servicios <strong>de</strong> red <strong>en</strong> un l<strong>la</strong>vero cifrado. Para los <strong>de</strong>sarrol<strong>la</strong>dores,<br />
ofrece una arquitectura <strong>de</strong> cifrado común que pue<strong>de</strong> usarse para cifrar <strong>de</strong>pósitos <strong>de</strong><br />
datos <strong>de</strong> aplicaciones.<br />
Protección <strong>en</strong> tiempo <strong>de</strong> ejecución<br />
Las aplicaciones <strong>de</strong>l dispositivo están «<strong>en</strong>jau<strong>la</strong>das», <strong>de</strong> modo que no pue<strong>de</strong>n acce<strong>de</strong>r a<br />
datos almac<strong>en</strong>ados por otras aplicaciones. A<strong>de</strong>más, los archivos, los recursos y <strong>el</strong> kern<strong>el</strong><br />
<strong>de</strong>l sistema están ais<strong>la</strong>dos <strong>de</strong>l espacio para aplicaciones <strong>de</strong>l usuario. Si una aplicación<br />
necesita acce<strong>de</strong>r a datos <strong>de</strong> otra aplicación, solo pue<strong>de</strong> hacerlo usando <strong>la</strong>s API y los<br />
servicios ofrecidos por iOS. También se impi<strong>de</strong> <strong>la</strong> g<strong>en</strong>eración <strong>de</strong> código.<br />
Firma obligatoria <strong>de</strong>l código<br />
Todas <strong>la</strong>s aplicaciones <strong>de</strong> iOS <strong>de</strong>b<strong>en</strong> ir firmadas. Las aplicaciones incluidas <strong>de</strong> serie <strong>en</strong><br />
<strong>el</strong> dispositivo están firmadas por <strong>Apple</strong>. Las <strong>de</strong> terceros están firmadas por <strong>el</strong> <strong>de</strong>sarrol<strong>la</strong>dor<br />
usando un certificado emitido por <strong>Apple</strong>. Así se garantiza que <strong>la</strong>s aplicaciones<br />
no hayan sido manipu<strong>la</strong>das ni modificadas. A<strong>de</strong>más, se realizan comprobaciones <strong>en</strong><br />
tiempo <strong>de</strong> ejecución para garantizar que una aplicación no haya <strong>de</strong>jado <strong>de</strong> ser <strong>de</strong> confianza<br />
<strong>de</strong>s<strong>de</strong> su última utilización.<br />
<strong>El</strong> uso <strong>de</strong> aplicaciones personalizadas o internas se pue<strong>de</strong> contro<strong>la</strong>r con un perfil <strong>de</strong><br />
datos. Los usuarios <strong>de</strong>b<strong>en</strong> t<strong>en</strong>er este perfil insta<strong>la</strong>do para po<strong>de</strong>r ejecutar <strong>la</strong> aplicación<br />
<strong>en</strong> cuestión. Los perfiles <strong>de</strong> datos se pue<strong>de</strong>n insta<strong>la</strong>r o revocar inalámbricam<strong>en</strong>te<br />
mediante soluciones <strong>de</strong> MDM. Los administradores también pue<strong>de</strong>n limitar <strong>el</strong> uso <strong>de</strong><br />
una aplicación <strong>en</strong> dispositivos específicos.<br />
18
Entorno <strong>de</strong> aut<strong>en</strong>ticación seguro<br />
iOS proporciona un l<strong>la</strong>vero cifrado seguro don<strong>de</strong> guardar i<strong>de</strong>ntida<strong>de</strong>s digitales, nombres<br />
<strong>de</strong> usuario y contraseñas. Los datos <strong>de</strong>l l<strong>la</strong>vero se compartim<strong>en</strong>tan para que <strong>la</strong>s<br />
cre<strong>de</strong>nciales guardadas por programas <strong>de</strong> terceros no puedan ser utilizadas por programas<br />
con una i<strong>de</strong>ntidad difer<strong>en</strong>te. Esto constituye <strong>el</strong> mecanismo para proteger <strong>la</strong>s<br />
cre<strong>de</strong>nciales <strong>de</strong> aut<strong>en</strong>ticación <strong>de</strong>l <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> <strong>en</strong> una amplia gama <strong>de</strong> aplicaciones<br />
y servicios <strong>de</strong> <strong>la</strong> <strong>empresa</strong>.<br />
Arquitectura CommonCrypto<br />
Los <strong>de</strong>sarrol<strong>la</strong>dores <strong>de</strong> aplicaciones ti<strong>en</strong><strong>en</strong> acceso a diversas API <strong>de</strong> cifrado que pue<strong>de</strong>n<br />
usar para reforzar <strong>la</strong> protección <strong>de</strong> los datos <strong>de</strong> sus aplicaciones. Los datos se<br />
pue<strong>de</strong>n cifrar simétricam<strong>en</strong>te mediante métodos acreditados, como AES, RC4 o 3DES.<br />
A<strong>de</strong>más, <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> ofrec<strong>en</strong> ac<strong>el</strong>eración por hardware para <strong>el</strong> cifrado AES y <strong>el</strong><br />
hash SHA1, lo que optimiza <strong>el</strong> r<strong>en</strong>dimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s aplicaciones.<br />
Protección <strong>de</strong> datos <strong>de</strong> aplicaciones<br />
Las aplicaciones también pue<strong>de</strong>n hacer uso <strong>de</strong>l cifrado por hardware integrado <strong>en</strong> <strong>el</strong><br />
<strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> para proteger <strong>en</strong> mayor medida sus datos confi<strong>de</strong>nciales. Los <strong>de</strong>sarrol<strong>la</strong>dores<br />
pue<strong>de</strong>n <strong>de</strong>signar archivos específicos para <strong>la</strong> protección <strong>de</strong> datos e indicar<br />
al sistema que cifre los cont<strong>en</strong>idos <strong>de</strong>l archivo para hacerlos inaccesibles, tanto para <strong>la</strong><br />
aplicación como para cualquier posible intruso cuando <strong>el</strong> dispositivo está bloqueado.<br />
Apps gestionadas<br />
Un servidor MDM pue<strong>de</strong> gestionar apps <strong>de</strong> terceros <strong>de</strong>l App Store, así como aplicaciones<br />
internas <strong>de</strong> <strong>la</strong> <strong>empresa</strong>. Al <strong>de</strong>signar una app como gestionada, se permite que <strong>el</strong><br />
servidor especifique si <strong>la</strong> app y sus datos se pue<strong>de</strong>n <strong>el</strong>iminar <strong>de</strong>l dispositivo mediante<br />
<strong>el</strong> servidor MDM. A<strong>de</strong>más, <strong>el</strong> servidor pue<strong>de</strong> impedir que los datos <strong>de</strong> <strong>la</strong>s apps gestionadas<br />
se incluyan <strong>en</strong> copias <strong>de</strong> seguridad <strong>de</strong> iTunes y iCloud. Esto permite al equipo<br />
<strong>de</strong> TI gestionar <strong>la</strong>s apps que pue<strong>de</strong>n cont<strong>en</strong>er información confi<strong>de</strong>ncial <strong>de</strong> <strong>la</strong> <strong>empresa</strong><br />
<strong>de</strong> forma más contro<strong>la</strong>da que <strong>la</strong>s apps <strong>de</strong>scargadas por <strong>el</strong> usuario.<br />
Para insta<strong>la</strong>r una app gestionada, <strong>el</strong> servidor MDM <strong>en</strong>vía un comando <strong>de</strong> insta<strong>la</strong>ción al<br />
dispositivo. Las apps gestionadas <strong>de</strong>b<strong>en</strong> ser aceptadas por <strong>el</strong> usuario antes <strong>de</strong> ser insta<strong>la</strong>das.<br />
Si <strong>de</strong>seas más información sobre <strong>la</strong>s apps gestionadas, consulta <strong>el</strong> docum<strong>en</strong>to<br />
<strong>de</strong> <strong>de</strong>scripción g<strong>en</strong>eral <strong>de</strong> <strong>la</strong> gestión <strong>de</strong> dispositivos móviles <strong>en</strong> www.apple.com/iphone/business/integration/mdm<br />
(<strong>en</strong> inglés).<br />
Dispositivos revolucionarios y seguros por los cuatro costados<br />
<strong>El</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> ofrec<strong>en</strong> protección cifrada <strong>de</strong> datos <strong>en</strong> tránsito, <strong>en</strong> reposo y <strong>en</strong> <strong>la</strong>s<br />
copias <strong>de</strong> seguridad <strong>de</strong> iCloud y iTunes. Cuando un usuario acce<strong>de</strong> al correo <strong>el</strong>ectrónico<br />
corporativo, visita un sitio web privado o se aut<strong>en</strong>tica <strong>en</strong> <strong>la</strong> red <strong>empresa</strong>rial, iOS<br />
garantiza que solo los usuarios autorizados puedan acce<strong>de</strong>r a <strong>la</strong> información confi<strong>de</strong>ncial<br />
<strong>de</strong> <strong>la</strong> <strong>empresa</strong>. A<strong>de</strong>más, gracias a su compatibilidad con <strong>la</strong>s re<strong>de</strong>s <strong>empresa</strong>riales y<br />
a sus completos métodos <strong>de</strong> prev<strong>en</strong>ción <strong>de</strong> pérdida <strong>de</strong> datos, iOS se pue<strong>de</strong> imp<strong>la</strong>ntar<br />
con <strong>la</strong> tranquilidad que supone emplear un sistema <strong>de</strong> seguridad <strong>de</strong> dispositivos móviles<br />
y protección <strong>de</strong> datos pl<strong>en</strong>am<strong>en</strong>te acreditado.<br />
© 2011 <strong>Apple</strong> Inc. Todos los <strong>de</strong>rechos reservados. <strong>Apple</strong>, <strong>el</strong> logotipo <strong>de</strong> <strong>Apple</strong>, FaceTime, <strong>iPad</strong>, <strong>iPhone</strong>, iTunes y Safari son marcas<br />
comerciales <strong>de</strong> <strong>Apple</strong> Inc., registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. iCloud y iTunes Store son marcas <strong>de</strong> servicio <strong>de</strong> <strong>Apple</strong> Inc.,<br />
registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. App Store es una marca <strong>de</strong> servicio <strong>de</strong> <strong>Apple</strong> Inc. Los <strong>de</strong>más nombres <strong>de</strong> productos y<br />
<strong>empresa</strong>s m<strong>en</strong>cionados <strong>en</strong> este docum<strong>en</strong>to son marcas comerciales <strong>de</strong> sus respectivas compañías. Las especificaciones <strong>de</strong> producto<br />
están sujetas a cambios sin previo aviso. Octubre <strong>de</strong> 2011 L422500B<br />
19
Despliegue <strong>de</strong>l <strong>iPhone</strong><br />
y <strong>el</strong> <strong>iPad</strong><br />
Administración <strong>de</strong> dispositivos<br />
móviles<br />
iOS es compatible con <strong>la</strong> gestión <strong>de</strong> dispositivos móviles (MDM), lo que permite a <strong>la</strong>s<br />
<strong>empresa</strong>s gestionar imp<strong>la</strong>ntaciones ampliables <strong>de</strong>l <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> <strong>en</strong> sus organizaciones.<br />
Estas funciones <strong>de</strong> gestión <strong>de</strong> dispositivos móviles se basan <strong>en</strong> tecnologías ya<br />
exist<strong>en</strong>tes <strong>en</strong> iOS, como los perfiles <strong>de</strong> configuración, <strong>la</strong> inscripción inalámbrica y <strong>el</strong><br />
servicio <strong>de</strong> notificación push <strong>de</strong> <strong>Apple</strong>, y se pue<strong>de</strong>n integrar con soluciones <strong>de</strong> servidor<br />
propias o <strong>de</strong> terceros. Esto permite a los <strong>de</strong>partam<strong>en</strong>tos <strong>de</strong> TI inscribir <strong>de</strong> forma<br />
segura <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> <strong>en</strong> un <strong>en</strong>torno <strong>empresa</strong>rial, configurar y actualizar ajustes<br />
inalámbricam<strong>en</strong>te, supervisar <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s políticas corporativas e incluso<br />
bloquear y borrar <strong>de</strong> forma remota los dispositivos gestionados.<br />
Gestionar <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong><br />
La gestión <strong>de</strong> dispositivos iOS se lleva a cabo mediante una conexión con un servidor<br />
<strong>de</strong> gestión <strong>de</strong> dispositivos móviles (MDM). <strong>El</strong> servidor pue<strong>de</strong> ser insta<strong>la</strong>do por <strong>el</strong> equipo<br />
<strong>de</strong> TI o se pue<strong>de</strong> comprar a un proveedor externo. <strong>El</strong> dispositivo se comunica con <strong>el</strong><br />
servidor para ver si hay tareas p<strong>en</strong>di<strong>en</strong>tes y respon<strong>de</strong> con <strong>la</strong>s acciones oportunas. Estas<br />
tareas pue<strong>de</strong>n incluir actualizar políticas, proporcionar <strong>la</strong> información solicitada sobre<br />
<strong>el</strong> dispositivo o <strong>la</strong> red, o <strong>el</strong>iminar ajustes y datos.<br />
Las funciones <strong>de</strong> gestión se realizan <strong>de</strong> forma transpar<strong>en</strong>te, sin necesidad <strong>de</strong> interv<strong>en</strong>ción<br />
<strong>de</strong>l usuario. Por ejemplo, si un <strong>de</strong>partam<strong>en</strong>to <strong>de</strong> TI actualiza <strong>la</strong> infraestructura <strong>de</strong><br />
su red VPN, <strong>el</strong> servidor MDM pue<strong>de</strong> configurar <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> con nuevos datos <strong>de</strong><br />
cu<strong>en</strong>ta <strong>de</strong> forma inalámbrica. La próxima vez que <strong>el</strong> empleado use <strong>la</strong> red VPN, <strong>la</strong> configuración<br />
correcta ya estará imp<strong>la</strong>ntada, por lo que <strong>el</strong> usuario no necesitará l<strong>la</strong>mar al<br />
servicio <strong>de</strong> asist<strong>en</strong>cia técnica ni modificar manualm<strong>en</strong>te ningún ajuste.<br />
Servicio <strong>de</strong> notificación<br />
push <strong>de</strong> <strong>Apple</strong><br />
Firewall<br />
Servidor MDM <strong>de</strong> terceros
iOS y <strong>el</strong> protocolo SCEP<br />
iOS admite <strong>el</strong> protocolo SCEP (Simple<br />
Certificate Enrollm<strong>en</strong>t Protocol). <strong>El</strong> SCEP es un<br />
borrador <strong>de</strong> Internet <strong>de</strong>l IETF. Está diseñado<br />
para simplificar <strong>la</strong> distribución <strong>de</strong> certificados<br />
<strong>en</strong> imp<strong>la</strong>ntaciones a gran esca<strong>la</strong>. Permite <strong>la</strong> inscripción<br />
inalámbrica <strong>de</strong> certificados <strong>de</strong> i<strong>de</strong>ntidad<br />
<strong>en</strong> <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong>, que se pue<strong>de</strong>n usar<br />
para <strong>la</strong> aut<strong>en</strong>ticación <strong>en</strong> <strong>el</strong> acceso a servicios<br />
corporativos.<br />
MDM y <strong>el</strong> servicio <strong>de</strong> notificación push <strong>de</strong> <strong>Apple</strong><br />
Cuando un servidor MDM quiere comunicarse con un <strong>iPhone</strong> o un <strong>iPad</strong>, <strong>el</strong> servicio <strong>de</strong><br />
notificación push <strong>de</strong> <strong>Apple</strong> <strong>en</strong>vía una notificación muda al dispositivo con <strong>la</strong> que se le<br />
indica que se registre <strong>en</strong> <strong>el</strong> servidor. <strong>El</strong> proceso <strong>de</strong> notificación al dispositivo no <strong>en</strong>vía<br />
información privada al o <strong>de</strong>s<strong>de</strong> <strong>el</strong> servicio <strong>de</strong> notificación push <strong>de</strong> <strong>Apple</strong>. La notificación<br />
push se limita a <strong>de</strong>spertar al dispositivo para que se registre <strong>en</strong> <strong>el</strong> servidor MDM.<br />
Todos los datos <strong>de</strong> configuración, ajustes y consultas se <strong>en</strong>vían directam<strong>en</strong>te <strong>de</strong>s<strong>de</strong> <strong>el</strong><br />
servidor al dispositivo iOS mediante una conexión SSL/TLS cifrada <strong>en</strong>tre <strong>el</strong> dispositivo<br />
y <strong>el</strong> servidor MDM. iOS procesa todas <strong>la</strong>s acciones y peticiones <strong>de</strong> MDM <strong>en</strong> segundo<br />
p<strong>la</strong>no para limitar su repercusión <strong>en</strong> <strong>el</strong> usuario, incluida <strong>la</strong> batería, <strong>el</strong> r<strong>en</strong>dimi<strong>en</strong>to y <strong>la</strong><br />
fiabilidad.<br />
Para que <strong>el</strong> servidor <strong>de</strong> notificación push reconozca los comandos <strong>de</strong>l servidor MDM,<br />
antes es preciso insta<strong>la</strong>r un certificado <strong>en</strong> <strong>el</strong> servidor. Este certificado <strong>de</strong>be ser solicitado<br />
y <strong>de</strong>scargado <strong>en</strong> <strong>el</strong> portal <strong>de</strong> certificados push <strong>de</strong> <strong>Apple</strong>. Una vez subido <strong>el</strong> certificado<br />
<strong>de</strong> notificaciones push <strong>de</strong> <strong>Apple</strong> al servidor MDM, se pue<strong>de</strong>n inscribir los dispositivos.<br />
Si <strong>de</strong>seas más información sobre los certificados <strong>de</strong> notificaciones push <strong>de</strong> <strong>Apple</strong><br />
para MDM, visita www.apple.com/iphone/business/integration/mdm/ (<strong>en</strong> inglés).<br />
Configuración <strong>de</strong> <strong>la</strong> red para <strong>el</strong> servicio <strong>de</strong> notificación push <strong>de</strong> <strong>Apple</strong><br />
Cuando los servidores MDM y los dispositivos iOS están <strong>de</strong>trás <strong>de</strong> un firewall, es posible<br />
que haya que configurar <strong>la</strong> red para que <strong>el</strong> servicio MDM funcione correctam<strong>en</strong>te.<br />
Para <strong>en</strong>viar notificaciones <strong>de</strong>s<strong>de</strong> un servidor MDM al servicio <strong>de</strong> notificación push <strong>de</strong><br />
<strong>Apple</strong>, <strong>el</strong> puerto TCP 2195 <strong>de</strong>be estar abierto. Para conectar con <strong>el</strong> servicio <strong>de</strong> respuesta,<br />
<strong>el</strong> puerto TCP 2196 también <strong>de</strong>be estar abierto. Para los dispositivos que se conectan<br />
al servicio push por Wi-Fi, <strong>el</strong> puerto TCP 5223 <strong>de</strong>be estar abierto.<br />
<strong>El</strong> rango <strong>de</strong> direcciones IP para <strong>el</strong> servicio push está sujeto a cambios; por norma g<strong>en</strong>eral,<br />
<strong>el</strong> servidor MDM se conectará usando su nombre <strong>de</strong> host, y no una dirección IP. <strong>El</strong><br />
servicio push usa un esquema <strong>de</strong> equilibrio <strong>de</strong> carga que g<strong>en</strong>era una dirección IP distinta<br />
para <strong>el</strong> mismo nombre <strong>de</strong> host. Este nombre <strong>de</strong> host es gateway.push.apple.com<br />
(y gateway.sandbox.push.apple.com para <strong>el</strong> <strong>en</strong>torno <strong>de</strong> notificación push <strong>de</strong> <strong>de</strong>sarrollo).<br />
A<strong>de</strong>más, <strong>el</strong> bloque <strong>en</strong>tero <strong>de</strong> direcciones 17.0.0.0/8 está asignado a <strong>Apple</strong>, <strong>de</strong> modo<br />
que se pue<strong>de</strong>n establecer reg<strong>la</strong>s <strong>de</strong> firewall para dicho rango.<br />
Si <strong>de</strong>seas más información, consulta a tu proveedor <strong>de</strong> MDM o lee <strong>la</strong> nota técnica para<br />
<strong>de</strong>sarrol<strong>la</strong>dores TN2265 disponible <strong>en</strong> <strong>la</strong> biblioteca para <strong>de</strong>sarrol<strong>la</strong>dores <strong>de</strong> iOS <strong>en</strong><br />
http://<strong>de</strong>v<strong>el</strong>oper.apple.com/library/ios/#technotes/tn2265/_in<strong>de</strong>x.html (<strong>en</strong> inglés).<br />
Inscripción<br />
Una vez que están configurados <strong>el</strong> servidor <strong>de</strong> gestión <strong>de</strong> dispositivos móviles y <strong>la</strong><br />
red, <strong>el</strong> primer paso para gestionar <strong>el</strong> <strong>iPhone</strong> o <strong>el</strong> <strong>iPad</strong> es inscribir <strong>el</strong> dispositivo <strong>en</strong> <strong>el</strong><br />
servidor MDM. Esto crea una r<strong>el</strong>ación <strong>en</strong>tre <strong>el</strong> dispositivo y <strong>el</strong> servidor, y permite que<br />
<strong>el</strong> dispositivo sea gestionado bajo <strong>de</strong>manda sin que <strong>el</strong> usuario t<strong>en</strong>ga que interv<strong>en</strong>ir<br />
<strong>de</strong>spués.<br />
Esto pue<strong>de</strong> hacerse conectando <strong>el</strong> <strong>iPhone</strong> o <strong>el</strong> <strong>iPad</strong> a un or<strong>de</strong>nador por USB, aunque <strong>la</strong><br />
mayoría <strong>de</strong> soluciones <strong>en</strong>vían <strong>el</strong> perfil <strong>de</strong> inscripción inalámbricam<strong>en</strong>te. Algunos proveedores<br />
<strong>de</strong> MDM usan una app para iniciar <strong>el</strong> proceso, mi<strong>en</strong>tras que otros lo hac<strong>en</strong><br />
remiti<strong>en</strong>do a los usuarios a un portal web. Cada método ti<strong>en</strong>e sus v<strong>en</strong>tajas, y ambos se<br />
utilizan para iniciar <strong>el</strong> proceso <strong>de</strong> inscripción inalámbrica mediante Safari.<br />
21
Descripción <strong>de</strong>l proceso <strong>de</strong> inscripción<br />
<strong>El</strong> proceso <strong>de</strong> inscripción inalámbrica compr<strong>en</strong><strong>de</strong> varias fases que, combinadas <strong>en</strong><br />
un flujo <strong>de</strong> trabajo automatizado, ofrec<strong>en</strong> <strong>el</strong> método más ampliable para imp<strong>la</strong>ntar<br />
<strong>de</strong> forma segura los dispositivos <strong>en</strong> un <strong>en</strong>torno <strong>empresa</strong>rial. Estas fases son:<br />
1. Aut<strong>en</strong>ticación <strong>de</strong>l usuario<br />
La aut<strong>en</strong>ticación <strong>de</strong>l usuario garantiza que <strong>la</strong>s peticiones <strong>de</strong> inscripción <strong>en</strong>trantes<br />
prov<strong>en</strong>gan <strong>de</strong> usuarios autorizados y que <strong>la</strong> información <strong>de</strong>l dispositivo <strong>de</strong>l usuario<br />
sea recopi<strong>la</strong>da antes <strong>de</strong> proce<strong>de</strong>r a <strong>la</strong> inscripción <strong>de</strong>l certificado. Los administradores<br />
pue<strong>de</strong>n solicitar al usuario que inicie <strong>el</strong> proceso <strong>de</strong> inscripción mediante un portal<br />
web, un email, un SMS o incluso una app.<br />
2. Inscripción <strong>de</strong>l certificado<br />
Una vez aut<strong>en</strong>ticado <strong>el</strong> usuario, iOS g<strong>en</strong>era una petición <strong>de</strong> inscripción <strong>de</strong> certificado<br />
mediante <strong>el</strong> protocolo SCEP (Simple Certificate Enrollm<strong>en</strong>t Protocol). Esta<br />
petición <strong>de</strong> inscripción se comunica directam<strong>en</strong>te con <strong>la</strong> autoridad certificadora (CA)<br />
<strong>de</strong> <strong>la</strong> <strong>empresa</strong> y permite que <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> reciban <strong>el</strong> certificado <strong>de</strong> i<strong>de</strong>ntidad<br />
remitido por <strong>la</strong> CA.<br />
3. Configuración <strong>de</strong> dispositivos<br />
Una vez insta<strong>la</strong>do un certificado <strong>de</strong> i<strong>de</strong>ntidad, <strong>el</strong> dispositivo pue<strong>de</strong> recibir información<br />
<strong>de</strong> configuración cifrada <strong>de</strong> forma inalámbrica. Esta información solo se pue<strong>de</strong><br />
insta<strong>la</strong>r <strong>en</strong> <strong>el</strong> dispositivo para <strong>el</strong> que se g<strong>en</strong>eró y conti<strong>en</strong>e ajustes que permit<strong>en</strong> al<br />
dispositivo conectarse al servidor <strong>de</strong> gestión <strong>de</strong> dispositivos móviles.<br />
Al final <strong>de</strong>l proceso <strong>de</strong> inscripción, se pres<strong>en</strong>tará al usuario una pantal<strong>la</strong> <strong>de</strong> insta<strong>la</strong>ción<br />
que <strong>de</strong>scribe los <strong>de</strong>rechos <strong>de</strong> acceso <strong>de</strong>l servidor MDM con respecto al<br />
dispositivo. Cuando <strong>el</strong> usuario acepte <strong>la</strong> insta<strong>la</strong>ción <strong>de</strong>l perfil, <strong>el</strong> dispositivo quedará<br />
automáticam<strong>en</strong>te inscrito, sin necesidad <strong>de</strong> que <strong>el</strong> usuario vu<strong>el</strong>va a interv<strong>en</strong>ir.<br />
Una vez que <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> están inscritos como dispositivos gestionados, <strong>el</strong> servidor<br />
MDM pue<strong>de</strong> configurar sus ajustes dinámicam<strong>en</strong>te, consultarles información o<br />
borrarlos <strong>de</strong> forma remota.<br />
Configuración<br />
Para configurar un dispositivo con cu<strong>en</strong>tas, políticas y restricciones, <strong>el</strong> servidor MDM<br />
<strong>en</strong>vía al dispositivo archivos conocidos como perfiles <strong>de</strong> configuración, que se insta<strong>la</strong>n<br />
automáticam<strong>en</strong>te. Los perfiles <strong>de</strong> configuración son archivos XML que conti<strong>en</strong><strong>en</strong><br />
ajustes que permit<strong>en</strong> que <strong>el</strong> dispositivo use los sistemas <strong>de</strong> <strong>la</strong> <strong>empresa</strong>. Estos datos<br />
incluy<strong>en</strong> información <strong>de</strong> cu<strong>en</strong>tas, políticas <strong>de</strong> contraseñas, restricciones y otros ajustes<br />
<strong>de</strong>l dispositivo. Cuando se combina con <strong>el</strong> proceso ya <strong>de</strong>scrito <strong>de</strong> inscripción, <strong>la</strong><br />
configuración <strong>de</strong>l dispositivo garantiza al <strong>de</strong>partam<strong>en</strong>to <strong>de</strong> TI que solo los usuarios<br />
<strong>de</strong> confianza podrán acce<strong>de</strong>r a los servicios corporativos, y que los dispositivos cumplirán<br />
<strong>la</strong>s políticas establecidas.<br />
Como los perfiles <strong>de</strong> configuración se pue<strong>de</strong>n firmar y cifrar, los ajustes no se pue<strong>de</strong>n<br />
modificar ni compartir con otros usuarios.<br />
22
Ajustes configurables admitidos<br />
Cu<strong>en</strong>tas<br />
• Exchange ActiveSync<br />
• Correo <strong>el</strong>ectrónico IMAP/POP<br />
• Wi-Fi<br />
• VPN<br />
• LDAP<br />
• CardDAV<br />
• CalDAV<br />
• Cal<strong>en</strong>darios suscritos<br />
Políticas <strong>de</strong> contraseñas<br />
• Solicitar Código <strong>en</strong> <strong>el</strong> Dispositivo<br />
• Permitir Valor Simple<br />
• Requerir Valor Alfanumérico<br />
• Longitud Mínima <strong>de</strong>l Código<br />
• Número Mínimo <strong>de</strong> Caracteres Complejos<br />
• Periodo Máximo <strong>de</strong> Vali<strong>de</strong>z <strong>de</strong>l Código<br />
• Bloqueo Automático<br />
• Historial <strong>de</strong> Códigos<br />
• Periodo <strong>de</strong> Gracia para <strong>el</strong> Bloqueo <strong>de</strong>l<br />
Dispositivo<br />
• Número Máximo <strong>de</strong> Int<strong>en</strong>tos Fallidos<br />
Seguridad y Privacidad<br />
• Permitir <strong>el</strong> Envío <strong>de</strong> Datos <strong>de</strong> Diagnóstico a<br />
<strong>Apple</strong><br />
• Permitir al Usuario Aceptar Certificados TLS<br />
no Fiables<br />
• Forzar Copias <strong>de</strong> Seguridad Encriptadas<br />
Otros ajustes<br />
• Cre<strong>de</strong>nciales<br />
• Clips web<br />
• Ajustes <strong>de</strong> SCEP<br />
• Ajustes <strong>de</strong> APN<br />
Funcionalidad <strong>de</strong>l Dispositivo<br />
• Permitir Insta<strong>la</strong>r Aplicaciones<br />
• Permitir Siri<br />
• Permitir Usar <strong>la</strong> Cámara<br />
• Permitir FaceTime<br />
• Permitir Captura <strong>de</strong> Pantal<strong>la</strong><br />
• Permitir Sincronización Automática <strong>en</strong><br />
Itinerancia<br />
• Permitir Marcación por Voz<br />
• Permitir Compras <strong>de</strong>s<strong>de</strong> Aplicaciones<br />
• Pedir al Usuario que Escriba <strong>la</strong> Contraseña<br />
<strong>de</strong> iTunes Store para todas <strong>la</strong>s Compras<br />
• Permitir Modo Multijugador<br />
• Permitir Añadir Amigos <strong>de</strong> Game C<strong>en</strong>ter<br />
Aplicaciones<br />
• Permitir <strong>el</strong> Uso <strong>de</strong> YouTube<br />
• Permitir <strong>el</strong> Uso <strong>de</strong> iTunes Store<br />
• Permitir <strong>el</strong> Uso <strong>de</strong> Safari<br />
• Definir prefer<strong>en</strong>cias <strong>de</strong> seguridad <strong>de</strong><br />
Safari<br />
iCloud<br />
• Permitir Copia <strong>de</strong> Seguridad<br />
• Permitir <strong>la</strong> Sincronización <strong>de</strong><br />
Docum<strong>en</strong>tos/Permitir <strong>la</strong> Sincronización <strong>de</strong><br />
C<strong>la</strong>ve-Valor<br />
• Permitir Fotos <strong>en</strong> Streaming<br />
C<strong>la</strong>sificaciones <strong>de</strong>l Cont<strong>en</strong>ido<br />
• Permitir Música y Podcasts Explícitos<br />
• Región <strong>de</strong> <strong>la</strong>s C<strong>la</strong>sificaciones<br />
• C<strong>la</strong>sificaciones <strong>de</strong> los Cont<strong>en</strong>idos<br />
Permitidas<br />
23
Consultas a dispositivos<br />
A<strong>de</strong>más <strong>de</strong> configurar dispositivos, un servidor MDM pue<strong>de</strong> consultar a los dispositivos<br />
diversa información. Esta información pue<strong>de</strong> utilizarse para comprobar que los dispositivos<br />
sigu<strong>en</strong> cumpli<strong>en</strong>do <strong>la</strong>s políticas exigidas.<br />
Consultas admitidas<br />
Información <strong>de</strong>l dispositivo<br />
• I<strong>de</strong>ntificador único <strong>de</strong>l dispositivo (UDID)<br />
• Nombre <strong>de</strong>l dispositivo<br />
• Versión y compi<strong>la</strong>ción <strong>de</strong> iOS<br />
• Número y nombre <strong>de</strong>l mo<strong>de</strong>lo<br />
• Número <strong>de</strong> serie<br />
• Capacidad y espacio disponible<br />
• IMEI<br />
• Firmware <strong>de</strong>l mó<strong>de</strong>m<br />
• Niv<strong>el</strong> <strong>de</strong> <strong>la</strong> batería<br />
Información <strong>de</strong> red<br />
• ICCID<br />
• Direcciones MAC <strong>de</strong> Bluetooth® y Wi-Fi<br />
• Red <strong>de</strong>l operador actual<br />
• Red <strong>de</strong>l operador <strong>de</strong>l suscriptor<br />
• Versión <strong>de</strong> los ajustes <strong>de</strong>l operador<br />
• Número <strong>de</strong> t<strong>el</strong>éfono<br />
• Ajuste <strong>de</strong> itinerancia <strong>de</strong> datos (activada/<strong>de</strong>sactivada)<br />
Gestión<br />
Datos <strong>de</strong> seguridad y cumplimi<strong>en</strong>to<br />
• Perfiles <strong>de</strong> configuración insta<strong>la</strong>dos<br />
• Certificados insta<strong>la</strong>dos con fecha <strong>de</strong> caducidad<br />
• Lista <strong>de</strong> todas <strong>la</strong>s restricciones impuestas<br />
• Función <strong>de</strong> cifrado por hardware<br />
• Código <strong>de</strong> acceso pres<strong>en</strong>te<br />
Aplicaciones<br />
• Aplicaciones insta<strong>la</strong>das (i<strong>de</strong>ntificador,<br />
nombre, versión, tamaño y volum<strong>en</strong> <strong>de</strong><br />
datos <strong>de</strong> <strong>la</strong> app)<br />
• Perfiles <strong>de</strong> datos insta<strong>la</strong>dos con<br />
fecha <strong>de</strong> caducidad<br />
Cuando se usa una solución <strong>de</strong> gestión <strong>de</strong> dispositivos móviles, <strong>el</strong> servidor MDM<br />
pue<strong>de</strong> realizar varias acciones <strong>en</strong> los dispositivos iOS. Por ejemplo, pue<strong>de</strong> insta<strong>la</strong>r y <strong>el</strong>iminar<br />
perfiles <strong>de</strong> configuración y <strong>de</strong> datos, gestionar apps, canc<strong>el</strong>ar <strong>la</strong> r<strong>el</strong>ación <strong>de</strong> MDM<br />
y borrar un dispositivo <strong>de</strong> forma remota.<br />
Ajustes gestionados<br />
Durante <strong>el</strong> proceso inicial <strong>de</strong> configuración <strong>de</strong>l dispositivo, un servidor MDM <strong>en</strong>vía<br />
perfiles <strong>de</strong> configuración al <strong>iPhone</strong> y al <strong>iPad</strong>, y se insta<strong>la</strong>n <strong>en</strong> segundo p<strong>la</strong>no. Con <strong>el</strong><br />
tiempo, es posible que haya que actualizar o modificar los ajustes y <strong>la</strong>s políticas que se<br />
aplicaron <strong>en</strong> <strong>el</strong> mom<strong>en</strong>to <strong>de</strong> <strong>la</strong> inscripción. Para <strong>el</strong>lo, un servidor MDM pue<strong>de</strong> insta<strong>la</strong>r<br />
nuevos perfiles <strong>de</strong> configuración y modificar o <strong>el</strong>iminar los perfiles exist<strong>en</strong>tes <strong>en</strong> cualquier<br />
mom<strong>en</strong>to. A<strong>de</strong>más, pue<strong>de</strong> que haya que insta<strong>la</strong>r <strong>en</strong> los dispositivos iOS configuraciones<br />
específicas para <strong>de</strong>terminadas situaciones, <strong>en</strong> función <strong>de</strong> dón<strong>de</strong> se <strong>en</strong>cu<strong>en</strong>tre<br />
<strong>el</strong> usuario o qué cargo t<strong>en</strong>ga. Por ejemplo, si un usuario va a viajar al extranjero, un<br />
servidor MDM pue<strong>de</strong> requerir que <strong>la</strong>s cu<strong>en</strong>tas <strong>de</strong> correo se sincronic<strong>en</strong> manualm<strong>en</strong>te,<br />
<strong>en</strong> lugar <strong>de</strong> automáticam<strong>en</strong>te. Un servidor MDM pue<strong>de</strong> incluso <strong>de</strong>sactivar <strong>de</strong> forma<br />
remota los servicios <strong>de</strong> voz o datos para impedir que un proveedor <strong>de</strong> servicios inalámbricos<br />
cargue a un usuario cuotas por itinerancia.<br />
Apps gestionadas<br />
Un servidor MDM pue<strong>de</strong> gestionar apps <strong>de</strong> terceros <strong>de</strong>l App Store, así como aplicaciones<br />
internas <strong>de</strong> <strong>la</strong> <strong>empresa</strong>. <strong>El</strong> servidor pue<strong>de</strong> <strong>el</strong>iminar por petición apps gestionadas y<br />
sus correspondi<strong>en</strong>tes datos o especificar qué apps <strong>de</strong>b<strong>en</strong> <strong>el</strong>iminarse cuando se quite <strong>el</strong><br />
perfil MDM. A<strong>de</strong>más, <strong>el</strong> servidor MDM pue<strong>de</strong> impedir que los datos <strong>de</strong> <strong>la</strong>s apps gestionadas<br />
se incluyan <strong>en</strong> copias <strong>de</strong> seguridad <strong>de</strong> iTunes y iCloud.<br />
24
Para insta<strong>la</strong>r una app gestionada, <strong>el</strong> servidor MDM <strong>en</strong>vía un comando <strong>de</strong> insta<strong>la</strong>ción<br />
al dispositivo <strong>de</strong>l usuario. Las apps gestionadas <strong>de</strong>b<strong>en</strong> ser aceptadas por <strong>el</strong> usuario<br />
antes <strong>de</strong> ser insta<strong>la</strong>das. Cuando un servidor MDM solicita <strong>la</strong> insta<strong>la</strong>ción <strong>de</strong> una app<br />
gestionada <strong>de</strong>l App Store, <strong>la</strong> app se carga a <strong>la</strong> cu<strong>en</strong>ta <strong>de</strong> iTunes usada <strong>en</strong> <strong>el</strong> mom<strong>en</strong>to<br />
<strong>de</strong> <strong>la</strong> insta<strong>la</strong>ción <strong>de</strong> <strong>la</strong> app. Las apps <strong>de</strong> pago requerirán que <strong>el</strong> servidor MDM<br />
<strong>en</strong>víe un código <strong>de</strong> canje <strong>de</strong>l Programa <strong>de</strong> compras por volum<strong>en</strong> VPP). Si <strong>de</strong>seas<br />
más información sobre <strong>el</strong> programa VPP, visita www.apple.com/business/vpp/ (<strong>en</strong><br />
inglés). No es posible insta<strong>la</strong>r apps <strong>de</strong>l App Store <strong>en</strong> <strong>el</strong> dispositivo <strong>de</strong> un usuario si<br />
se ha <strong>de</strong>sactivado <strong>el</strong> App Store.<br />
<strong>El</strong>iminar o borrar dispositivos<br />
Un servidor MDM pue<strong>de</strong> tomar medidas para proteger <strong>la</strong> información <strong>de</strong> <strong>la</strong> <strong>empresa</strong><br />
<strong>en</strong> diversas situaciones. Por ejemplo, <strong>en</strong> caso <strong>de</strong> robo o extravío <strong>de</strong> un dispositivo, si<br />
se <strong>de</strong>tecta un incumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> política interna o cuando un empleado abandona<br />
<strong>la</strong> <strong>empresa</strong>.<br />
Un administrador <strong>de</strong> TI pue<strong>de</strong> canc<strong>el</strong>ar <strong>la</strong> r<strong>el</strong>ación MDM con un dispositivo <strong>el</strong>iminando<br />
<strong>el</strong> perfil <strong>de</strong> configuración que conti<strong>en</strong>e <strong>la</strong> información <strong>de</strong>l servidor MDM. De este<br />
modo, se <strong>el</strong>iminan todas <strong>la</strong>s cu<strong>en</strong>tas, ajustes y apps que haya insta<strong>la</strong>do <strong>el</strong> servidor.<br />
Opcionalm<strong>en</strong>te, <strong>el</strong> personal <strong>de</strong> TI pue<strong>de</strong> <strong>de</strong>jar insta<strong>la</strong>do <strong>el</strong> perfil <strong>de</strong> configuración<br />
<strong>de</strong> MDM y usar <strong>la</strong> gestión <strong>de</strong> dispositivos móviles solo para <strong>el</strong>iminar <strong>de</strong>terminados<br />
perfiles <strong>de</strong> configuración, perfiles <strong>de</strong> datos y apps gestionadas. Con este <strong>en</strong>foque, <strong>el</strong><br />
dispositivo sigue si<strong>en</strong>do gestionado por MDM y se evita t<strong>en</strong>er que volver a inscribir<br />
<strong>el</strong> dispositivo cuando <strong>de</strong>je <strong>de</strong> incumplir <strong>la</strong> política interna.<br />
Ambos métodos dan al personal <strong>de</strong> TI <strong>la</strong> posibilidad <strong>de</strong> garantizar que <strong>la</strong> información<br />
solo esté a disposición <strong>de</strong> los usuarios y dispositivos que cumpl<strong>en</strong> <strong>la</strong> normativa,<br />
y permite <strong>el</strong>iminar los datos <strong>empresa</strong>riales sin afectar a los datos personales <strong>de</strong>l<br />
usuario, como <strong>la</strong> música, <strong>la</strong>s fotos y <strong>la</strong>s apps <strong>de</strong> uso personal.<br />
Para <strong>el</strong>iminar perman<strong>en</strong>tem<strong>en</strong>te todos los medios y datos <strong>de</strong>l dispositivo y restablecer<br />
los ajustes por omisión, MDM pue<strong>de</strong> borrar <strong>el</strong> <strong>iPhone</strong> y <strong>el</strong> <strong>iPad</strong> <strong>de</strong> forma remota.<br />
Si un usuario está buscando su dispositivo, <strong>el</strong> personal <strong>de</strong> TI también pue<strong>de</strong> <strong>en</strong>viar<br />
al dispositivo un comando <strong>de</strong> bloqueo remoto. Este comando bloquea <strong>la</strong> pantal<strong>la</strong> y<br />
exige <strong>la</strong> contraseña <strong>de</strong>l dispositivo para <strong>de</strong>sbloquearlo.<br />
Si un usuario simplem<strong>en</strong>te ha olvidado <strong>la</strong> contraseña, un servidor MDM pue<strong>de</strong><br />
<strong>el</strong>iminar<strong>la</strong> <strong>de</strong>l dispositivo y pedir al usuario que cree una nueva <strong>en</strong> un p<strong>la</strong>zo <strong>de</strong> 60<br />
minutos.<br />
Comandos <strong>de</strong> gestión admitidos<br />
Ajustes gestionados<br />
• Insta<strong>la</strong>ción <strong>de</strong> perfiles <strong>de</strong> configuración<br />
• <strong>El</strong>iminación <strong>de</strong> perfiles <strong>de</strong> configuración<br />
• Itinerancia <strong>de</strong> datos<br />
• Itinerancia <strong>de</strong> voz (no disponible con todos los operadores)<br />
Apps gestionadas<br />
• Insta<strong>la</strong>ción <strong>de</strong> apps gestionadas<br />
• <strong>El</strong>iminación <strong>de</strong> apps gestionadas<br />
• Lista <strong>de</strong> todas <strong>la</strong>s apps gestionadas<br />
• Insta<strong>la</strong>ción <strong>de</strong> perfiles <strong>de</strong> datos<br />
• <strong>El</strong>iminación <strong>de</strong> perfiles <strong>de</strong> datos<br />
Comandos <strong>de</strong> seguridad<br />
• Borrado remoto<br />
• Bloqueo remoto<br />
• Borrado <strong>de</strong> contraseña<br />
25
Descripción <strong>de</strong>l proceso<br />
Este ejemplo ilustra un <strong>de</strong>spliegue básico <strong>de</strong> un servidor <strong>de</strong> gestión <strong>de</strong> dispositivos móviles.<br />
1<br />
2<br />
3<br />
4<br />
5<br />
1<br />
2<br />
3<br />
Servicio <strong>de</strong> notificación<br />
push <strong>de</strong> <strong>Apple</strong><br />
5<br />
Firewall<br />
4<br />
Servidor <strong>de</strong> MDM <strong>de</strong> terceros<br />
Se <strong>en</strong>vía al dispositivo un perfil <strong>de</strong> configuración que conti<strong>en</strong>e los datos <strong>de</strong>l servidor <strong>de</strong> gestión <strong>de</strong> dispositivos móviles. <strong>El</strong> usuario<br />
recibe información sobre qué será administrado u objeto <strong>de</strong> consulta por parte <strong>de</strong>l servidor.<br />
<strong>El</strong> usuario insta<strong>la</strong> <strong>el</strong> perfil para aceptar que <strong>el</strong> dispositivo sea gestionado.<br />
La inscripción <strong>de</strong>l dispositivo se realiza al insta<strong>la</strong>r <strong>el</strong> perfil. <strong>El</strong> servidor valida <strong>el</strong> dispositivo y permite <strong>el</strong> acceso.<br />
<strong>El</strong> servidor <strong>en</strong>vía una notificación push que indica al dispositivo que se registre para llevar a cabo tareas o consultas.<br />
<strong>El</strong> dispositivo se conecta directam<strong>en</strong>te al servidor mediante HTTPS. <strong>El</strong> servidor <strong>en</strong>vía comandos o solicita información.<br />
Si quieres más información sobre <strong>la</strong> gestión <strong>de</strong> dispositivos móviles, visita www.apple.com/business/mdm (<strong>en</strong> inglés).<br />
© 2011 <strong>Apple</strong> Inc. Todos los <strong>de</strong>rechos reservados. <strong>Apple</strong>, <strong>el</strong> logotipo <strong>de</strong> <strong>Apple</strong>, FaceTime, <strong>iPad</strong>, <strong>iPhone</strong>, iTunes y Safari son marcas comerciales <strong>de</strong> <strong>Apple</strong> Inc., registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. iCloud y<br />
iTunes Store son marcas <strong>de</strong> servicio <strong>de</strong> <strong>Apple</strong> Inc., registradas <strong>en</strong> EE. UU. y <strong>en</strong> otros países. App Store es una marca <strong>de</strong> servicio <strong>de</strong> <strong>Apple</strong> Inc. La marca y los logotipos <strong>de</strong> Bluetooth son marcas comerciales <strong>de</strong><br />
Bluetooth SIG, Inc., y <strong>Apple</strong> dispone <strong>de</strong> lic<strong>en</strong>cia para usar dichas marcas. UNIX es una marca comercial registrada <strong>de</strong> The Op<strong>en</strong> Group. Otros nombres <strong>de</strong> productos y <strong>empresa</strong>s m<strong>en</strong>cionados <strong>en</strong> <strong>el</strong> pres<strong>en</strong>te<br />
docum<strong>en</strong>to pue<strong>de</strong>n ser marcas comerciales <strong>de</strong> sus respectivas compañías. Las especificaciones <strong>de</strong> producto están sujetas a cambios sin previo aviso. Octubre <strong>de</strong> 2011 L422501B<br />
26