Como implantar o iPhone eo iPad Exchange ActiveSync - Apple

iPhone e iPad nos negócios
Cenários de implantação
Outubro de 2011
Saiba como o iPhone e o iPad se integram tranquilamente ao ambiente corporativo
com esses cenários de implantação.
• Microsoft Exchange ActiveSync
• Serviços baseados em padrões
• Redes virtuais privativas
• Wi-Fi
• Certificados digitais
• Visão geral sobre a segurança
• Gerenciamento de dispositivos móveis

Políticas de segurança do Exchange
ActiveSync suportadas
• Apagamento remoto
• Ativação de senha no dispositivo
• Tamanho mínimo da senha
• Número máximo de tentativas frustradas
(antes do apagamento local)
• Necessidade de números e letras
• Tempo de inatividade em minutos (de 1 a
60 minutos)
Outras políticas do Exchange ActiveSync
(apenas para Exchange 2007 e 2010)
• Permitir ou não senha simples
• Validade da senha
• Histórico de senha
• Intervalo de atualização de políticas
• Número mínimo de caracteres complexos
na senha
• Necessidade de sincronismo manual em
roaming
• Permitir câmera
• Permitir navegação na web
Como implantar o iPhone e o iPad
Exchange ActiveSync
O iPhone e o iPad se comunicam diretamente com o seu Microsoft Exchange Server
via Microsoft Exchange ActiveSync (EAS), possibilitando o “push” de e-mails, calendário,
contatos e tarefas. O Exchange ActiveSync também oferece aos usuários acesso à GAL
(Global Address List) e oferece aos administradores recursos para ativação de política de
senha e apagamento remoto. O iOS suporta autenticação básica e por certificado para
o Exchange ActiveSync. Caso a sua empresa tenha ativado o Exchange ActiveSync, você
já conta com os serviços necessários para suporte ao iPhone e ao iPad, sem necessidade
de qualquer configuração adicional. Se você tiver o Exchange Server 2003, 2007 ou 2010,
mas a sua empresa for novata no uso do Exchange ActiveSync, observe as etapas a
seguir.
Configuração do Exchange ActiveSync
Visão geral da configuração da rede
• Confira se a porta 443 está aberta no firewall. Caso a sua empresa permita o Outlook
Web Access, é bem provável que ela já esteja aberta.
• No servidor front-end, verifique se o certificado do servidor está instalado e se permite
SSL no diretório virtual do Exchange ActiveSync no IIS.
• Se estiver usando um Microsoft Internet Security and Acceleration (ISA) Server, verifique
se o certificado do servidor está instalado e atualize o DNS público para resolver as
conexões de entrada.
Verifique se o DNS da sua rede retorna um endereço exclusivo de encaminhamento
externo para o servidor Exchange ActiveSync dos clientes intranet e Internet. Isso é
necessário para que o dispositivo possa usar o mesmo endereço IP para comunicação
com o servidor quando ambos os tipos de conexões estiverem ativas.
• Se você estiver usando um Microsoft ISA Server, crie um web listener e uma regra de
publicação de acesso de Exchange web client. Consulte a documentação da Microsoft
para obter mais detalhes.
• Para todos os firewalls e dispositivos de rede, configure Idle Session Timeout para 30
minutos.
Para obter informações sobre os intervalos de heartbeat e timeout, consulte a
documentação do Microsoft Exchange em http://technet.microsoft.com/en-us/library/
cc182270.aspx.
• Configure os recursos e políticas de mobilidade e os ajustes para a segurança de
dispositivos móveis usando o Exchange System Manager. No caso do Exchange Server
2007 e 2010, isso é feito via Exchange Management Console.
• Baixe e instale a Microsoft Exchange ActiveSync Mobile Administration Web
Tool, necessária para iniciar o apagamento remoto. No caso do Exchange Server 2007
e 2010, o apagamento remoto também pode ser iniciado via Outlook Web Access ou
Exchange Management Console.

Outros serviços do Exchange ActiveSync
• Pesquisa na GAL (Global Address List)
• Aceita e cria convites do calendário
• Sincroniza tarefas
• Marca mensagens de e-mail
• Sincroniza indicadores de Resposta e
Encaminhamento com o Exchange Server
2010
• Busca de mensagens no Exchange Server
2007 e 2010
• Suporte a várias contas do Exchange
ActiveSync
• Autenticação por certificado
• Push de e-mail para determinadas pastas
• Detecção automática
Autenticação básica (nome e senha do usuário)
• Ative o Exchange ActiveSync para determinados usuários ou grupos usando o serviço
Active Directory. Eles serão ativados por padrão para todos os dispositivos móveis
corporativos no Exchange Server 2003, 2007 e 2010. Para o caso do Exchange Server
2007 e 2010, consulte Recipient Configuration no Exchange Management Console.
• Por padrão, o Exchange ActiveSync está configurado para autenticação básica de
usuário. É aconselhável ativar SSL para autenticação básica para garantir que as
credenciais sejam criptografadas durante a autenticação.
Autenticação por certificado
• Instale serviços de certificado corporativo em um servidor membro ou controlador de
domínio do seu domínio (ele será o seu servidor de autoridade de certificação).
• Configure o IIS no servidor front-end Exchange ou servidor de acesso de cliente para
aceitar autenticação por certificado para o diretório virtual do Exchange ActiveSync.
• Para permitir ou exigir certificados de todos os usuários, desative “Basic authentication”
e selecione “Accept client certificates” ou “Require client certificates”.
• Gere os certificados do cliente usando o servidor de autoridade do certificado.
Exporte a chave pública e configure o IIS para usá-la. Exporte a chave privativa
e use um Perfil de Configuração para oferecer essa chave no iPhone e no iPad.
A autenticação por certificado só pode ser configurada usando um Perfil de
Configuração.
Para obter mais informações sobre os serviços de certificado, consulte os recursos
disponíveis na Microsoft.
3

Cenário de implantação do Exchange ActiveSync
Este exemplo mostra como o iPhone e o iPad se conectam com uma implantação comum do Microsoft Exchange Server 2003, 2007
ou 2010.
Perfil de Configuração
1
2
3
4
5
6
Internet
Gateway de correio ou
Edge Transport Server*
Firewall Firewall
443
1
Chave privativa
(certificado)
Servidor proxy
Bridgehead ou Hub
Transport Server
*Dependendo da configuração da sua rede, o Gateway de correio ou Edge Transport Server pode residir na rede de perímetro (DMZ).
Servidor de
certificado
Active Directory
Exchange Front-End ou
Client Access Server
Caixa de correio do Exchange ou
Servidor(es) back-end
O iPhone e o iPad solicitam acesso aos serviços do Exchange ActiveSync na porta 443 (HTTPS). (A mesma porta usada para o
Outlook Web Access e outros serviços web seguros, por isso em várias implantações essa porta já está aberta e configurada para
permitir tráfego HTTPS criptografado por SSL.)
O ISA oferece acesso ao Exchange Front-End ou Client Access Server. O ISA é configurado como um proxy ou, em muitos casos,
como proxy reverso para encaminhar o tráfego para o Exchange Server.
O Exchange Server autentica o usuário de entrada via serviço Active Directory e o servidor de certificado (se estiver usando
autenticação por certificado).
Caso o usuário ofereça as credenciais devidas e tenha acesso a serviços do Exchange ActiveSync, o servidor front-end
estabelecerá uma conexão com a caixa de correio apropriada no Servidor back-end (via Active Directory Global Catalog).
Chave pública
(Certificado)
É estabelecida a conexão com o Exchange ActiveSync. É feito “push” das atualizações e alterações remotamente, e quaisquer
alterações feitas no iPhone e no iPad refletem-se no Exchange Server.
Os e-mails enviados também são sincronizados com o Exchange Server via Exchange ActiveSync (etapa 5). Para encaminhar
e-mails de saída para destinatários externos, a mensagem normalmente é enviada via Bridgehead (ou Hub Transport) Server para
um Gateway de correio (ou Edge Transport Server) externo via SMTP. Dependendo da configuração da sua rede, o Gateway de
correio ou Edge Transport Server externo pode residir na rede de perímetro ou fora do firewall.
© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. Os demais
nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Este material
é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419822B
6
2
3
5
4
4

Portas comuns
• IMAP/SSL: 993
• SMTP/SSL: 587
• LDAP/SSL: 636
• CalDAV/SSL: 8443, 443
• CardDAV/SSL: 8843, 443
Soluções de correio IMAP ou POP
O iOS suporta servidores de correio
IMAP4 e POP3 padrão em várias
plataformas de servidor, entre elas
Windows, UNIX, Linux e Mac OS X
Padrões CalDAV e CardDAV
O iOS suporta os protocolos de calendário
CalDAV e de contatos CardDAV.
Ambos os protocolos foram padronizados
pelo IETF. Para obter mais informações,
entre em contato com o consórcio
CalConnect em http://caldav.calconnect.
org/ e http://carddav.calconnect.org/.
Como implantar o iPhone e o iPad
Serviços baseados em padrões
Com suporte ao protocolo de correio IMAP, serviços de diretório LDAP, calendários CalDAV
e protocolos de contato CardDAV, o iOS se integra com praticamente todos os ambientes
de correio, calendário e contatos baseados em padrão. Se o seu ambiente de rede for
configurado para solicitar autenticação do usuário e SSL, o iPhone e o iPad adotam uma
abordagem segura para acesso a ambientes corporativos de e-mail, calendário, tarefas e
contatos baseados em padrões.
Em uma implantação típica, o iPhone e o iPad estabelecem acesso direto com servidores
de correio IMAP e SMTP para recebimento e envio remoto de mensagens, podendo
também sincronizar notas com servidores IMAP. Os dispositivos com iOS se conectam
aos diretórios corporativos LDAPv3 da sua empresa para que os usuários tenham acesso
a contatos dos aplicativos Mail, Contatos e Mensagens. A sincronização com o servidor
CalDAV permite que os usuários criem e aceitem convites de calendário, recebam
atualizações de calendário e sincronizem tarefas remotamente com o app Lembretes. O
suporte a CardDAV também permite que os usuários mantenham um grupo de contatos
sincronizados com o seu servidor CardDAV usando o formato vCard. Todos os servidores
de rede podem ser colocados em uma sub-rede DMZ, por trás do firewall corporativo ou
ambos. Com relação a SSL, o iOS suporta criptografia de 128 bits e certificados raiz X.509
emitidos pelas principais autoridades de certificação.
Configuração da rede
Seu administrador de TI ou de rede terá que seguir estas etapas-chave para viabilizar o
acesso do iPhone e do iPad aos serviços IMAP, LDAP, CalDAV e CardDAV:
• Abra as portas apropriadas do firewall. Entre as portas mais comuns estão a 993 para
correio IMAP, a 587 para correio SMTP, a 636 para serviços de diretório LDAP, a 8443
para calendário CalDAV e a 8843 para contatos CardDAV. Também é aconselhável que a
comunicação entre o seu servidor proxy e os servidores back-end IMAP, LDAP, CalDAV e
CardDAV seja configurada para usar SSL e que os certificados digitais dos seus servidores
de rede sejam assinados por uma autoridade de certificação (CA) confiável, como a
VeriSign. Esta etapa importante garante que o iPhone e o iPad reconheçam o seu
servidor proxy como entidade confiável dentro da infraestrutura corporativa.
• Para e-mail SMTP de saída, será necessário abrir a porta 587, 465 ou 25 para permitir o
envio de e-mails.
O iOS verifica automaticamente a porta 587, em seguida a 465 e depois a 25. A porta
587 é a mais confiável e segura porque solicita autenticação do usuário. A porta 25
não solicita autenticação, e alguns provedores de Internet a bloqueiam para impedir os
spams.

Cenário de implantação
Este exemplo mostra como o iPhone e o iPad se conectam a uma implantação típica de IMAP, LDAP, CalDAV e CardDAV.
1
2
3
4
5
6
Internet
Firewall Firewall
636
(LDAP)
8443
(CalDAV)
1
8843
(CardDAV)
993 (IMAP)
587 (SMTP)
Servidor proxy reverso
O iPhone e o iPad solicitam acesso aos serviços da rede através das portas designadas.
Dependendo do serviço, os usuários devem ser autenticados usando o proxy reverso ou diretamente no servidor para obter
acesso aos dados corporativos. Em todos os casos, as conexões são liberadas pelo proxy reverso, que funciona como gateway
seguro, localizado normalmente atrás do firewall de Internet. Uma vez autenticados, os usuários podem acessar os dados
corporativos nos servidores back-end.
O iPhone e o iPad oferecem serviços de pesquisa em diretórios LDAP, dando aos usuários a capacidade de procurar contatos e
outras informações da agenda no servidor LDAP.
No caso dos calendários CalDAV, os usuários acessam e atualizam os calendários.
Servidor de diretório
LDAP
Servidor de correio
Os contatos CardDAV são armazenados no servidor e pode ser acessados localmente no iPhone e no iPad. As mudanças nos
campos de contatos CardDAV são sincronizadas no servidor CardDAV.
No caso dos serviços de correio IMAP, as mensagens existentes e as novas podem ser lidas no iPhone e no iPad via conexão
proxy com o servidor de correio. As mensagens de saída são enviadas ao servidor SMTP, com cópias colocadas na pasta de
mensagens enviadas do usuário.
© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. UNIX é marca
registrada do The Open Group. Os demais nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a
mudanças sem aviso prévio. Este material é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419827B
2
3
4
5
6
Servidor CalDAV
Servidor de CardDAV
6

Como implantar o iPhone e o iPad
Redes virtuais privativas
O acesso seguro às redes virtuais privativas está disponível no iPhone e no iPad através
de protocolos VPN padrão do setor já estabelecidos. Os usuários podem se conectar
facilmente aos sistemas corporativos via cliente VPN integrado no iOS ou aplicativos de
terceiros da Juniper, Cisco e F5 Networks.
O iOS é compatível com Cisco IPSec, L2TP sobre IPSec e PPTP. Caso a sua empresa trabalhe
com um desses protocolos, não será necessário fazer nenhuma configuração de rede
adicional nem usar um aplicativo de terceiro para conectar o iPhone e o iPad à sua VPN.
Além disso, o iOS é compatível com VPN SSL, para acesso aos servidores Juniper SA Series,
Cisco ASA e F5 BIG-IP Edge Gateway. Para começar, basta que os usuários baixem um
aplicativo cliente de VPN desenvolvido pela Juniper, Cisco ou F5 na App Store. Assim
como os outros protocolos VPN suportados no iOS, a VPN SSL pode ser configurada
manualmente no dispositivo ou via Perfil de Configuração.
O iOS suporta tecnologias padrão do setor como IPv6, servidores proxy e encapsulamento
dividido, para uma experiência VPN de alta qualidade na conexão com as redes
corporativas.
E o iOS funciona com vários métodos de autenticação, como senha, token duplo e
certificados digitais. Para agilizar a conexão nos ambientes onde é usada autenticação por
certificado, o iOS vem com o VPN On Demand, que inicia dinamicamente uma sessão VPN
na conexão com determinados domínios.
Protocolos e métodos de autenticação suportados
VPN SSL
Suporta autenticação de usuário por senha, token duplo e certificados.
Cisco IPSec
Suporta autenticação de usuário por senha, token duplo e autenticação da máquina via
certificados e segredo compartilhado.
L2TP sobre IPSec
Suporta autenticação de usuário por senha MS-CHAP v2, token duplo e autenticação da
máquina via segredo compartilhado.
PPTP
Suporta autenticação de usuário por senha MS-CHAP v2 e token duplo.

VPN On Demand
No caso das configurações que usam autenticação por certificado, o iOS suporta VPN
On Demand. VPN On Demand estabelecerá uma conexão automaticamente no acesso
a determinados domínios, para conectividade VPN tranquila e de alta qualidade dos
usuários.
Esse é um recurso do iOS que não exige nenhuma configuração extra do servidor. A
configuração do VPN On Demand é feita via Perfil de Configuração ou manualmente
no dispositivo.
Opções do VPN On Demand:
Inicia uma conexão VPN com qualquer endereço que corresponda ao domínio
especificado.
Nunca:
Não inicia uma conexão VPN com nenhum endereço que corresponda ao domínio
especificado, mas, se a VPN estiver ativa, ela poderá ser usada.
Estabelecer, se necessário
Inicia uma conexão VPN com endereços que correspondam ao domínio especificado,
somente depois de erro em uma pesquisa de DNS.
Configuração da VPN
• O iOS se integra a várias redes VPN existentes, exigindo o mínimo de
configuração. A melhor forma de se preparar para a implantação é verificar se o iOS
suporta os protocolos VPN e métodos de autenticação usados na sua empresa.
• Recomenda-se verificar o caminho de autenticação ao servidor de autenticação
para garantir que os padrões suportados pelo iOS estão ativados na sua
implementação.
• Se você pretende usar autenticação por certificado, não se esqueça de configurar a
infraestrutura de chave pública para suportar certificados de dispositivo e usuário com
o devido processo de distribuição de chaves.
• Se você deseja configurar ajustes de proxy específicos de uma URL, coloque um
arquivo PAC no servidor web acessível via ajustes básicos de VPN e garanta que ele
seja hospedado com o aplicativo/tipo MIME x-ns-proxy-autoconfig.
Configuração do proxy
Para todas as configurações, você também pode especificar um proxy VPN. Para
configurar um único proxy para todas as conexões, use o ajuste Manual e informe
o endereço, a porta e a auten-ticação, se necessário. Para associar um arquivo de
configuração de auto-proxy ao dispositivo usando PAC ou WPAD, use o ajuste Auto. No
caso de PACS, especifique a URL do arquivo PACS. No caso de WPAD, o iPhone e o iPad
irão pesquisar no DHCP e no DNS os ajustes apropriados.
8

Cenário de implantação
O exemplo ilustra uma implantação típica com um concentrador/servidor VPN e um servidor de autenticação que controla o acesso
aos serviços da rede corporativa.
Certificado de autenticação
ou token
1
2
3
4
5
6
Internet pública
Firewall Firewall
3a 3b
O iPhone e o iPad solicitam acesso aos serviços da rede.
Servidor de autenticação VPN Geração do token
ou autenticação do certificado
2
1 4
Concentrador/Servidor VPN
Servidor proxy
O concentrador/servidor VPN recebe a solicitação e a encaminha para o servidor de autenticação.
5
Servicio de
directorio
Rede privativa
Em um ambiente de token duplo, o servidor de autenticação gerenciaria a criação de um token sincronizado por tempo com o servidorde
chaves. Caso seja utilizado o método de autenticação por certificado, é necessário que um certificado de identidade seja distribuído antes da
autenticação. Caso seja utilizado o método de senha, o processo de autenticação ocorre na validação do usuário.
Assim que o usuário é autenticado, o servidor de autenticação valida as políticas de usuário e grupo.
Após a validação dessas políticas, o servidor VPN viabiliza o acesso criptografado e encapsulado aos serviços da rede.
Caso seja usado um servidor proxy, o iPhone e o iPad se conectam pelo servidor proxy para ter acesso a informações fora do firewall.
© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. App Store é
marca de serviço da Apple Inc. . Os demais nomes de produtos e de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a
mudanças sem aviso prévio. Este material é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419828B
9

Protocolos de segurança para ambiente
sem fio
• WEP
• WPA Personal
• WPA Enterprise
• WPA2 Personal
• WPA2 Enterprise
Métodos de autenticação 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAPv0 (EAP-MS-CHAP v2)
• PEAPv1 (EAP-GTC)
• LEAP
Como implantar o iPhone e o iPad
Wi-Fi
O iPhone e o iPad se conectam com segurança a redes Wi-Fi corporativas ou
convidadas, o que simplifica e agiliza a conexão com redes sem fio, independentemente
de você estar no escritório ou em trânsito. O iOS suporta protocolos de rede sem fio
padrão do setor, como o WPA2 Enterprise, garantindo configuração rápida e acesso
seguro de redes sem fio corporativas. O WPA2 Enterprise usa criptografia AES de 128
bits, um método de criptografia comprovado e em bloco, garantindo aos usuários a
máxima proteção dos dados.
Com suporte a 802.1X, o iOS pode ser integrado a uma ampla gama de ambientes de
autenticação RADIUS. Entre os métodos de autenticação sem fio 802.1X suportados pelo
iPhone e o iPad estão EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 e LEAP.
Os usuários podem configurar o iPhone e o iPad para se conectar a redes Wi-Fi
disponíveis automaticamente. As redes Wi-Fi que precisarem de login ou de outras
informações também podem ser acessadas a partir das configurações de Wi-Fi ou de
aplicativos como o Mail, sem necessidade de abrir uma sessão no navegador. E o baixo
consumo de energia e a facilidade de conexão Wi-Fi permitem que os aplicativos usem
redes Wi-Fi para enviar notificações de push.
Use os Perfis de Configuração para instalação e implantação rápidas e para os ajustes de
rede sem fio, de segurança e de autenticação.
Configuração do WPA2 Enterprise
• Confira a compatibilidade dos dispositivos de rede e selecione um tipo de autenticação
(tipo EAP) suportado pelo iOS.
• Verifique se 802.1X está habilitado no servidor de autenticação e, se necessário, instale um
certificado de servidor e atribua permissões de acesso à rede para usuários e grupos.
• Configure pontos de acesso sem fio para autenticação 802.1X e insira as informações
do servidor RADIUS.
• Se você pretende usar autenticação por certificado, configure a infraestrutura
de chave pública para suportar certificados para dispositivos e usuários com o respectivo
processo de distribuição de chaves.
• Verifique a compatibilidade do servidor de autenticação e o formato do certificado. O iOS
suporta PKCS#1 (.cer, .crt, .der) e PKCS#12.
• Para obter outras documentações sobre padrões de rede sem fio e WPA (Wi-Fi Protected
Access), acesse www.wi-fi.org.

Cenário de implantação de WPA2 Enterprise/802.1X
Este exemplo ilustra uma implantação típica para segurança de ambiente sem fio, que aproveita os benefícios da autenticação RADIUS.
1
2
3
4
Certificado
ou senha
tipo EAP
1
Servidor de autenticação com
suporte a 802.1X (RADIUS)
Ponto de acesso sem fio
com suporte a 802.1X
O iPhone e o iPad solicitam acesso à rede. A conexão é iniciada em resposta a um usuário que está selecionando uma rede sem
fio disponível ou automaticamente depois que é detectada uma rede já configurada.
Depois que o ponto de acesso recebe a solicitação, ela é enviada ao servidor RADIUS para autenticação.
O servidor RADIUS valida a conta do usuário via serviço de diretório.
2
Firewall
Serviços de diretório
Serviços de rede
Assim que o usuário é autenticado, o ponto de acesso oferece acesso à rede, de acordo com as políticas e permissões, conforme
instruções do servidor RADIUS.
© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países. Os demais
nomes de produtos e de empresas aqui mencionados podem ser marcas comerciais das respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Este material é
fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011 L419830B
3
4
11

Formatos de identidade e certificados
suportados:
• O iOS suporta certificados X.509
com chaves RSA.
• Reconhece as extensões de arquivo .cer,
.crt, .der, .p12 e .pfx.
Certificados raiz
O iOS já vem com vários certificados
raiz pré-instalados. Para ver uma lista deles,
consulte o artigo no suporte da Apple em
http://support.apple.com/kb/HT4415. Se
estiver usando um certificado raiz que não
esteja pré-instalado, como um certificado
raiz auto-assinado criado pela sua empresa,
você poderá distribuí-lo usando um dos
métodos mencionados na seção “Como
distribuir e instalar certificados” deste
documento.
Como implantar o iPhone e o iPad
Certificados digitais
O iOS suporta certificados digitais para que os usuários corporativos tenham acesso
ágil e seguro aos serviços corporativos. Um certificado digital é composto por uma
chave pública, informações sobre o usuário e a autoridade de certificação que emitiu
o certificado. Os certificados digitais são uma forma de identificação que agiliza a
autenticação, a integridade e a criptografia dos dados.
No iPhone e no iPad, os certificados podem ser usados de várias formas. Assinar dados
com um certificado digital ajuda a garantir que as informações não serão alteradas.
Os certificados também podem ser usados para garantir a identidade do autor ou
“signatário”. Além disso, eles podem ser usados para criptografar Perfis de Configuração e
comunicações via rede, reforçando a proteção de informações confidenciais ou privativas.
Como usar certificados no iOS
Certificados digitais
Os certificados digitais podem ser usados para autenticar, com segurança, os usuários nos
serviços corporativos, dispensando assim os nomes de usuários, senhas ou tokens. No iOS,
a autenticação por certificado é suportada para acesso ao Microsoft Exchange ActiveSync,
VPN e redes Wi-Fi.
Autoridade
certificadora
Solicitação de autenticação
Serviços corporativos
Intranet, e-mail, VPN,
Serviço de diretórioo
Certificados de servidor
Os certificados digitais também podem ser usados para validar e criptografar as
comunicações via rede, para comunicação segura com sites internos e externos. O
navegador Safari confere a validade de um certificado digital X.509 e configura uma
sessão segura com criptografia AES de 256 bits, que verifica a legitimidade da identidade
do site e se a comunicação com o site está protegida, evitando assim a intercepção de
dados pessoais ou confidenciais.
Solicitação HTTPS Serviços de rede
Autoridade certificadora

Como distribuir e instalar certificados
É muito simples distribuir certificados no iPhone e no iPad. Assim que o certificado é
recebido, basta que o usuário confira o seu conteúdo e dê um toque para adicioná-lo ao
dispositivo. Durante a instalação do certificado, o usuário é solicitado a informar a senha
que o protege. Se a autenticidade do certificado não puder ser conferida, o usuário
receberá um aviso antes que o certificado seja adicionado ao dispositivo.
Como instalar certificados via Perfis de Configuração
Caso você esteja utilizando Perfis de Configuração para distribuir as configurações dos
serviços corporativos, como Exchange, VPN ou Wi-Fi, inclua os certificados no perfil para
agilizar a implantação.
Como instalar certificados via Mail ou Safari
Caso o certificado seja enviado por e-mail, ele aparecerá como um anexo. O Safari
pode ser usado para baixar certificados de uma página da web. Você pode hospedar
o certificado em um site seguro e enviar a URL para os usuários para que eles possam
baixá-lo nos dispositivos.
Como instalar via SCEP (Simple Certificate Enrollment Protocol)
O SCEP foi criado para simplificar o gerenciamento da distribuição de certificados em
implantações de larga escala. Ele possibilita a inscrição remota de certificados digitais
no iPhone e no iPad, e os certificados podem então ser usados tanto para autenticação
nos serviços corporativos quanto para inscrição em um servidor de gerenciamento de
dispositivos móveis.
Para obter mais informações sobre o SCEP e inscrição remota, acesse www.apple.com/
iphone/business/resources
Remoção e revogação de certificados
Para remover manualmente um certificado já instalado, escolha Ajustes > Geral > Perfis.
Se você remover um certificado necessário para acessar uma conta ou rede, o dispositivo
não poderá mais se conectar a esses serviços.
Para remover certificados remotamente, pode ser utilizado um servidor de
gerenciamento de dispositivos móveis. Esse servidor pode visualizar todos os certificados
de um dispositivo e remover os desejados.
Além disso, há suporte para OCSP (Online Certificate Status Protocol) para verificar o
status dos certificados. Quando você usa um certificado OCSP, o iOS o valida para se
certificar de que ele não foi revogado antes da conclusão da tarefa solicitada.
© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, iPhone, iPad e Mac OS são marcas comerciais da
Apple Inc., registradas nos EUA e em outros países. Os demais nomes de produtos e de empresas aqui mencionados são marcas
comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Este material
é fornecido apenas em caráter informativo. A Apple não assume qualquer responsabilidade sobre a utilização. Outubro de 2011
L419821B
13

Segurança do dispositivo
• Senhas rígidas
• Validade da senha
• Histórico para reutilização de senhas
• Número máximo de tentativas falhas
• Ativação remota da senha
• Timeout progressivo da senha
Como implantar o iPhone e o iPad
Visão geral sobre a segurança
O iOS, o sistema operacional na essência do iPhone e do iPad, foi criado com camadas
de segurança. Por isso, o iPhone e o iPad conseguem acessar serviços corporativos com
segurança e proteger dados importantes. O iOS oferece criptografia rígida dos dados na
transmissão, métodos de autenticação comprovados para acesso a serviços corporativos e
criptografia de hardware para todos os dados em repouso.
O iOS também oferece proteção e segurança através do uso de políticas de senha que
podem ser disponibilizadas e ativadas remotamente. E, se o dispositivo cair nas mãos
erradas, os usuários e administradores de TI podem iniciar o comando de apagamento
remoto para excluir informações confidenciais.
Ao considerar a segurança do iOS para uso corporativo, é importante entender o
seguinte:
• Segurança do dispositivo: Métodos que impedem o uso não autorizado do dispositivo
• Segurança dos dados: Proteção dos dados em repouso, mesmo quando o dispositivo foi perdido
ou roubado
• Segurança da rede: Protocolos de rede e criptografia de dados na transmissão
• Segurança dos aplicativos: A base segura que é a plataforma do iOS
Esses recursos funcionam juntos para oferecer uma plataforma de computação móvel
segura.
Segurança dos dispositivos
Estabelecer políticas rígidas de acesso para o iPhone e o iPad é fundamental para proteger
informações corporativas. As senhas dos dispositivos são a primeira linha de defesa contra o
acesso não autorizado e podem ser configuradas e ativadas remotamente. Os dispositivos com
iOS usam uma senha exclusiva definida pelo usuário para gerar uma chave de criptografia forte
para maior proteção de mensagens e dados confidenciais dos aplicativos armazenados no
dispositivo. Além disso, o iOS oferece métodos seguros para
configuração do dispositivo em um ambiente corporativo, onde são necessários ajustes,
políticas e restrições específicas. Esses métodos oferecem opções flexíveis para que se
estabeleça um nível de proteção padrão para os usuários autorizados.
Políticas de senha
A senha de um dispositivo impede que usuários não autorizados acessem os dados
armazenados ou tenham acesso a ele. O iOS permite escolher entre várias opções de requisitos
de senha conforme as suas necessidades de segurança; entre essas opções estão períodos de
inatividade, intensidade da senha e frequência com que a senha deve ser trocada.
Há suporte para as seguintes políticas de senha:
• Obrigatoriedade de senha no dispositivo
• Permissão de valor simples
• Obrigatoriedade de valor alfanumérico
• Tamanho mínimo da senha
• Número mínimo de caracteres complexos
• Validade da senha
• Tempo antes de bloqueio automático
• Histórico de senha
• Período de carência para bloqueio do dispositivo
• Número máximo de tentativas falhas

Políticas e restrições configuráveis
suportadas:
Funcionalidade do dispositivo
• Permitir instalação de aplicativos
• Permitir uso de câmera
• Permitir o FaceTime
• Permitir capturas de tela
• Permitir sincronização automática em roaming
• Permitir discagem por voz
• Permitir compra de aplicativos
• Exigir senha de loja em todas as compras
• Permitir jogos com vários participantes
• Permitir adicionar amigos do Game Center
Aplicativos
• Permitir uso do YouTube
• Permitir uso da iTunes Store
• Permitir uso do Safari
• Definir preferências de segurança do Safari
iCloud
• Permitir backup
• Permitir sincronização de documentos e de
valores de chaves
• Permitir Streaming de Fotos
Segurança e privacidade
• Permitir envio de dados de diagnóstico à Apple
• Permitir que o usuário aceite certificados não
confiáveis
• Impor backups criptografados
Comentários sobre o conteúdo
• Permitir determinadas músicas e podcasts
• Definir região de comentários
• Definir comentários de conteúdo permitido
Ativação de política
As política descritas acima podem ser definidas no iPhone e no iPad de várias formas.
Elas podem ser distribuídas como parte de um Perfil de Configuração para que sejam
instaladas pelo usuário. É possível definir um perfil que só possa ser excluído com
uma senha administrativa ou que fique oculto no dispositivo e só possa ser removido
se for apagado todo o conteúdo do dispositivo. Além disso, é possível configurar
remotamente os ajustes de senha usando soluções de Gerenciamento de Dispositivos
Móveis (MDM) que fazem “push” dessas políticas diretamente para o dispositivo. Isso
permite ativar e atualizar as políticas sem qualquer ação por parte do usuário.
Se o dispositivo for configurado para acessar uma conta do Microsoft Exchange, será
feito “push” das políticas do Exchange ActiveSync remotamente. Lembre-se de que o
conjunto de políticas disponíveis irá variar dependendo da versão do Exchange (2003,
2007 ou 2010). Consulte Exchange ActiveSync e dispositivos com iOS para saber quais
políticas são suportadas para a sua configuração específica.
Configuração segura dos dispositivos
Perfis de Configuração são arquivos XML contendo restrições e políticas de segurança do
dispositivo, informações sobre configurações de VPN, configurações de Wi-Fi, contas de
e-mail e calendário e credenciais de autenticação que permitem que o iPhone e o iPad
funcionem com os seus sistemas corporativos. A capacidade de estabelecer políticas de
senha junto com as configurações do dispositivo em um Perfil de Configuração garante
que os dispositivos da sua empresa sejam configurados corretamente e de acordo com
os padrões de segurança definidos por ela. E, como os Perfis de Configuração podem
ser criptografados e bloqueados, os ajustes não podem ser removidos, alterados nem
compartilhados com outras pessoas.
Os Perfis de Configuração podem ser assinados e criptografados. A assinatura de um
Perfil de Configuração garante que os ajustes ativados por ele não sejam alterados de
forma alguma. Criptografar um Perfil de Configuração protege o conteúdo do perfil
e possibilita a instalação apenas no dispositivo para o qual ele foi criado. Os Perfis de
Configuração são criptografados por CMS (Cryptographic Message Syntax, RFC 3852),
com suporte a 3DES e AES 128.
Na primeira vez que você distribui um Perfil de Configuração criptografado, pode
instalá-lo via USB usando o Utilitário de Configuração ou remotamente, via Inscrição
Remota. Além desses métodos, a distribuição dos Perfis de Configuração criptografados
subsequentes pode ser feita via anexo de e-mail, hospedagem em um site que possa ser
acessado pelos usuários ou por “push” no dispositivo via soluções de MDM.
Restrições do dispositivo
As restrições do dispositivo determinam quais recursos os usuários podem acessar nele.
Normalmente as restrições envolvem aplicativos em rede, como Safari, YouTube ou
iTunes Store, mas elas também podem controlar a funcionalidade dos dispositivos,
como instalação de aplicativos ou uso da câmera. As restrições permitem configurar
o dispositivo para atender aos seus requisitos, permitindo também que os usuários
o utilizem de forma consistente com as práticas corporativas. As restrições podem
ser configuradas manualmente em cada dispositivo, ativadas usando um Perfil de
Configuração ou estabelecidas remotamente com soluções de MDM. Além disso,
assim como as políticas de senha, é possível ativar restrições de uso de câmera ou de
navegação na Web remotamente via Microsoft Exchange Server 2007 e 2010.
Além de configurar restrições e políticas no dispositivo, o aplicativo do iTunes pode ser
configurado e controlado pela área de TI. Isso inclui desativar o acesso a determinado
conteúdo, definir quais serviços de rede os usuários podem acessar no iTunes e verificar
se há novas atualizações de software disponíveis para os usuários instalarem. Para obter
mais informações, consulte Como implantar o iTunes para dispositivos com iOS.
15

Segurança dos dados
• Criptografia de hardware
• Proteção dos dados
• Apagamento remoto
• Apagamento local
• Perfis de Configuração criptografados
• Backups criptografados via iTunes
Timeout progressivo da senha
O iPhone e o iPad podem ser configurados
para iniciar um apagamento automaticamente
após várias tentativas mal-sucedidas de informar
a senha. Se o usuário digitar a senha
errada repetidas vezes, o iOS será desativado
por intervalos cada vez maiores. Após muitas
tentativas mal-sucedidas, todos os dados e
ajustes no dispositivo serão apagados.
Segurança dos dados
A proteção dos dados armazenados no iPhone e no iPad é importante para qualquer
ambiente com informações confidenciais da empresa ou de clientes. Além de
criptografar os dados na transmissão, o iPhone e o iPad oferecem criptografia de
hardware para todos os dados armazenados no dispositivo e criptografia de e-mails e
dados de aplicativos, com avançada proteção desses dados.
No caso de perda ou roubo do dispositivo, é importante desativar e excluir todos os
dados contidos nele. É aconselhável também contar com uma política que remova
tudo do dispositivo após um determinado número de tentativas de informar a senha,
uma ótima solução caso alguém esteja tentando acessar o dispositivo sem autorização.
Criptografia
O iPhone e o iPad oferecem criptografia de hardware. A criptografia de hardware usa
codificação AES de 256 bits para proteger todos os dados armazenados no dispositivo.
A criptografia está sempre ativada e não pode ser desativada pelos usuários.
Além disso, é possível criptografar o backup dos dados do computador de um usuário
no iTunes. Isso pode ser feito pelo próprio usuário ou como parte dos ajustes de
restrição do dispositivo nos Perfis de Configuração.
O iOS suporta S/MIME em mensagens, permitindo que o iPhone e o iPad vejam e
enviem mensagens de e-mail criptografadas. Também é possível usar restrições para
impedir que mensagens de e-mail sejam transferidas entre contas ou que mensagens
recebidas em uma conta sejam encaminhadas de outra.
Proteção dos dados
Com a ajuda dos recursos de criptografia de hardware do iPhone e do iPad, é possível
reforçar a proteção de mensagens e anexos de e-mail armazenados no dispositivo com
os recursos de proteção de dados do iOS. A proteção dos dados alia a senha exclusiva
definida pelo usuário do dispositivo com a criptografia de hardware disponível no
iPhone e no iPad, gerando uma chave de criptografia forte. Essa chave impede o
acesso aos dados quando o dispositivo está bloqueado, garantindo a proteção das
informações críticas, mesmo no caso de comprometimento do dispositivo.
Para ativar o recurso de proteção dos dados, basta definir uma senha no dispositivo.
A eficácia da proteção dos dados depende de uma senha forte, daí a importância de
exigir e aplicar uma senha mais forte do que apenas quatro dígitos quando definir
as políticas corporativas de senha. Para saber se a proteção dos dados está ativada,
os usuários só precisam acessar a tela de configurações de senha. As soluções de
Gerenciamento de Dispositivos Móveis também conseguem consultar essa informação
no dispositivo.
Essas APIs de proteção de dados também estão disponíveis para os desenvolvedores
e podem ser utilizadas para proteger os dados dos aplicativos desenvolvidos
internamente na empresa ou disponíveis comercialmente.
Apagamento remoto
O iOS suporta apagamento remoto. No caso de perda ou roubo do dispositivo, seu
administrador ou proprietário pode acionar um comando de apagamento remoto que
exclui todos os dados e desativa o dispositivo. Caso o dispositivo esteja configurado
com uma conta do Exchange, o administrador poderá iniciar um comando de
apagamento remoto via Exchange Management Console (Exchange Server 2007)
ou Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 ou
2007). Os usuários do Exchange Server 2007 também podem iniciar comandos de
apagamento remoto diretamente via Outlook Web Access e pelas soluções de MDM,
mesmo que os serviços corporativos do Exchange não estejam sendo usados.
16

Segurança da rede
• Cisco IPSec, L2TP, PPTP VPN integrados
• VPN SSL via apps da App Store
• SSL/TLS com certificados X.509
• WPA/WPA2 Enterprise com 802.1X
• Autenticação por certificado
• RSA SecurID, CRYPTOCard
Protocolos VPN
• Cisco IPSec
• L2TP/IPSec
• PPTP
• VPN SSL
Métodos de autenticação
• Senha (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• Certificados digitais X.509
• Segredo compartilhado
Protocolos de autenticação 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Formatos de certificados suportados
O iOS suporta certificados X.509 com
chaves RSA. Reconhece as extensões de
arquivo .cer,. crt e .der.
Apagamento local
Os dispositivos também podem ser configurados para iniciar o apagamento local
automaticamente após várias tentativas mal-sucedidas de informar a senha. Isso impede as
tentativas de acesso não autorizado às informações armazenadas no dispositivo. Com uma
senha, o usuário pode acionar o apagamento local diretamente através das configurações.
Por padrão, o iOS irá apagar automaticamente todo o conteúdo do
dispositivo após 10 tentativas de digitação da senha. Assim como ocorre com outras
políticas de senha, o número máximo de tentativas mal-sucedidas pode ser definido via
Perfil de Configuração, em um servidor MDM ou ativado remotamente através de políticas
do Microsoft Exchange ActiveSync.
iCloud
O iCloud armazena músicas, fotos, aplicativos, calendários, documentos e muito mais e faz
“push” deles automaticamente em todos os dispositivos do usuário. O iCloud faz backup
de informações, entre elas configurações do dispositivo, dados de aplicativos e mensagens
de texto e MMS, diariamente via Wi-Fi. Ele também protege o conteúdo com criptografia
ao enviá-lo pela Internet, armazenando-o em um formato criptografado e usando tokens
seguros para autenticação. Além disso, recursos do iCloud, como Streaming de Fotos,
Document Sync e Backup, podem ser desativados via Perfil de Configuração. Para obter
mais informações sobre segurança e privacidade no iCloud, acesse http://support.apple.
com/kb/HT4865.
Segurança da rede
Os usuários móveis podem acessar informações armazenadas na rede corporativa
onde estiverem, mas é importante garantir que esses usuários têm autorização para
fazê-lo e que os dados sejam protegidos durante a transmissão. O iOS conta com
tecnologias comprovadas para atender aos objetivos de segurança das conexões de
rede Wi-Fi e celulares.
Além da infraestrutura existente, cada sessão do FaceTime e conversa no iMessage é
totalmente criptografada. O iOS cria um ID exclusivo para cada usuário, assegurando
que as comunicações sejam criptografadas, roteadas e devidamente conectadas.
VPN
Vários ambientes corporativos possuem alguma forma de rede virtual privativa (VPN)
estabelecida. Esses serviços de rede segura já estão implantados e normalmente
exigem o mínimo de configuração para funcionar com o iPhone e o iPad.
O iOS integra-se a uma ampla variedade de tecnologias VPN bastante utilizadas
graças ao suporte para Cisco IPSec, L2TP e PPTP. Ele também suporta VPN SSL através
de aplicativos da Juniper, Cisco e F5 Networks. O suporte a esses protocolos garante
criptografia IP do mais alto nível para a transmissão de informações confidenciais.
Além de viabilizar acesso seguro aos ambientes VPN existentes, o iOS oferece
métodos comprovados de autenticação de usuário. A autenticação via certificados
digitais X.509 padrão agiliza o acesso dos usuários aos recursos corporativos e é uma
alternativa viável aos tokens de hardware. Além disso, a autenticação por certificado
permite que o iOS aproveite as vantagens do VPN On Demand, tornando o processo
de autenticação transparente, mas viabilizando acesso credenciado e confiável aos
serviços da rede. No caso de ambientes corporativos com necessidade de token
duplo, o iOS se integra a RSA SecurID e CRYPTOCard.
O iOS suporta configuração de proxy da rede, assim como divisão de encapsulamento
IP, para que o tráfego aos domínios de redes públicos ou privativos ocorra sempre de
acordo com as políticas específicas da sua empresa.
17

Segurança dos aplicativos
• Proteção na execução
• Assinatura obrigatória de código
• Serviços de cadeia de chaves
• APIs de criptografia comum
• Proteção de dados de aplicativos
SSL/TLS
O iOS suporta SSL v3, bem como Transport Layer Security (TLS v1.0, 1.1 e 1.2), o padrão de
segurança de última geração para a Internet. O Safari, Calendário, Mail e outros aplicativos
para Internet iniciam esses mecanismos automaticamente para viabilizar um canal de
comunicação criptografada entre o iOS e os serviços corporativos.
WPA/WPA2
O iOS suporta WPA2 Enterprise para acesso autenticado à rede sem fio corporativa. O
WPA2 Enterprise usa criptografia AES de 128 bits, dando aos usuários o mais alto nível
de garantia de que os dados serão protegidos no envio e no recebimento de
comunicações por uma conexão de rede Wi-Fi. O suporte a 802.1X permite que o iPhone
e o iPad se integrem a uma ampla gama de ambientes de autenticação RADIUS.
Segurança dos aplicativos
O iOS foi desenvolvido pensando na segurança. Adota uma abordagem de “área restrita”
para proteção dos aplicativos durante a execução e exige assinatura do aplicativo para
garantir que os aplicativos não sejam invadidos. O iOS conta também com uma estrutura
segura que facilita e protege o armazenamento de credenciais dos serviços de rede e dos
aplicativos em uma cadeia de chaves criptografadas. Para os desenvolvedores, oferece
uma arquitetura de criptografia comum que pode ser usada para criptografar os data
stores de aplicativos.
Proteção na execução
Os aplicativos armazenados no dispositivo são “vedados” para que não possam acessar os
dados armazenados por outros aplicativos. Além disso, os arquivos, recursos e o kernel do
sistema ficam protegidos do espaço de aplicativos do usuário. Caso um aplicativo precise
acessar dados de outro aplicativo, só poderá fazê-lo usando as APIs e os serviços fornecidos
pelo iOS. A geração de código também é impedida.
Assinatura obrigatória de código
Todos os aplicativos para iOS devem ser assinados. Os aplicativos fornecidos com o
dispositivo são assinados pela Apple. Os aplicativos de terceiros são assinados pelo
desenvolvedor, que para isso usa um certificado emitido pela Apple. Isso garante que os
aplicativos não foram invadidos nem alterados. Além disso, são feitas verificações durante
a execução para garantir que um aplicativo não tenha se tornado não confiável desde a
última utilização.
O uso de aplicativos personalizados ou desenvolvidos internamente pode ser controlado
com a ajuda de um perfil de aprovisionamento. O usuário deve ter um perfil de
aprovisionamento instalado para poder executar o aplicativo. Esses perfis podem ser
instalados ou revogados remotamente com soluções de MDM. Os administradores
também podem restringir o uso de um aplicativo a determinados dispositivos.
Estrutura segura de autenticação
O iOS oferece uma cadeia de chaves seguras e criptografadas para o armazenamento
de identidades digitais, nomes de usuário e senhas. Os dados da cadeia de chaves são
particionados de forma que as credenciais armazenadas por aplicativos de terceiros não
sejam acessados por aplicativos com outra identidade. Isso fornece o mecanismo para a
proteção das credenciais de autenticação no iPhone e no iPad para diversos aplicativos e
serviços dentro da empresa.
Arquitetura de criptografia comum
Os desenvolvedores de aplicativos têm acesso a APIs de criptografia que podem ser usadas
para reforçar a proteção dos dados de aplicativos. Os dados podem ser criptografados
simetricamente usando métodos comprovados, como AES, RC4 ou 3DES. Além disso, o
iPhone e o iPad oferecem aceleração de hardware para criptografia AES e hashing SHA1,
maximizando o desempenho dos aplicativos.
18

Proteção de dados de aplicativos
Os aplicativos também podem aproveitar a criptografia de hardware no iPhone
e no iPad para reforçar a proteção de dados confidenciais de aplicativos. Os
desenvolvedores podem designar que apenas determinados arquivos sejam
protegidos, instruindo o sistema a deixar o conteúdo do arquivo criptograficamente
inacessível, tanto para o aplicativo quanto para qualquer possível invasor quando o
dispositivo estiver bloqueado.
Aplicativos gerenciados
Um servidor MDM pode gerenciar aplicativos de terceiros na App Store, bem como
aplicativos corporativos desenvolvidos internamente. Designar um aplicativo como
sendo gerenciado permite que o servidor especifique se aplicativo e seus dados
podem ser removidos do dispositivo pelo servidor MDM.
Além disso, o servidor pode impedir que dados de aplicativos gerenciados sejam
submetidos a backup no iTunes e no iCloud. Com isso, a área de TI pode gerenciar
aplicativos que podem conter informações corporativas confidenciais com mais
controle do que os aplicativos baixados diretamente pelo usuário.
Para instalar um aplicativo gerenciado, o servidor MDM envia um comando de
instalação ao dispositivo. Os aplicativos gerenciados exigem aceitação do usuário para
que possam ser instalados. Para obter mais informações sobre aplicativos gerenciados,
consulte a Visão geral sobre Gerenciamento de Dispositivos Móveis em www.apple.
com/business/mdm.
Dispositivos revolucionários e transmissão segura
O iPhone e o iPad oferecem proteção criptografada dos dados em trânsito, em
repouso e no backup para o iCloud ou iTunes. Independentemente de o usuário
estar acessando e-mail corporativo, um site privativo ou se autenticando na rede da
empresa, o iOS oferece a garantia de que apenas usuários autorizados poderão acessar
informações corporativas confidenciais. E, com o suporte a rede corporativa e métodos
abrangentes para evitar perda de dados, você pode implantar dispositivos com o
iOS com a certeza de que está implementando um dispositivo móvel seguro e com
proteção de dados.
© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, FaceTime, iPad, iPhone, iTunes e Safari são marcas comerciais
da Apple Inc., registradas nos Estados Unidos e em outros países. iCloud e iTunes Store são marcas de serviço da Apple Inc.,
registradas nos Estados Unidos e em outros países. App Store é marca de serviço da Apple, Inc. Os demais nomes de produtos e
de empresas aqui mencionados são marcas comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas
a mudanças sem aviso prévio. Outubro de 2011 L422500B
19

Como implantar o iPhone e o iPad
Gerenciamento de Dispositivos
Móveis
O iOS suporta Gerenciamento de Dispositivos Móveis (MDM), o que ajuda as empresas
a administrar implantações em escala do iPhone e do iPad nas organizações. Esses
recursos de MDM estão presentes nas tecnologias já existentes do iOS, como os Perfis
de Configuração, a Inscrição Remota e o serviço de notificação de push da Apple, e
podem ser integrados a soluções de servidor internas ou de terceiros. Isso permite que
os departamentos de TI implantem com segurança o iPhone e o iPad no ambiente
corporativo, configurem e atualizem ajustes remotamente, monitorem a conformidade
com políticas corporativas e até apaguem ou bloqueiem remotamente dispositivos
gerenciados.
Gerenciando o iPhone e o iPad
O gerenciamento de dispositivos com iOS ocorre via conexão com um servidor de
Gerenciamento de Dispositivos Móveis. Esse servidor pode ser montado internamente
ou adquirido com um provedor de soluções de terceiros. O dispositivo se comunica
com o servidor para saber se há tarefas pendentes e responde com as ações
apropriadas. Essas tarefas podem incluir atualizar políticas, fornecer informações
necessárias sobre o dispositivo ou a rede ou remover ajustes e dados.
A maior parte das funções de gerenciamento são executadas em segundo plano, sem
necessidade de interação por parte do usuário. Por exemplo, caso o departamento
de TI atualize a infraestrutura de VPN, o servidor MDM poderá configurar o iPhone
e o iPad com novas informações de conta remotamente. Na próxima vez que um
funcionário usar a VPN, a configuração apropriada já estará pronta, o que significa
que o funcionário não precisará ligar para o suporte nem modificar as ajustes
manualmente.
Serviço de notificação de push
da Apple
Firewall
Servidor MDM de terceiros

iOS e SCEP
O iOS suporta SCEP (Simple Certificate
Enrollment Protocol), uma especificação
preliminar da IETF destinada a facilitar a
distribuição de certificados para implantações
em larga escala. Esse protocolo viabiliza o
cadastro remoto de certificados de identidade
no iPhone e no iPad que podem ser usados
para autenticação em serviços corporativos.
MDM e o serviço de notificação de push da Apple
Quando um servidor MDM quer se comunicar com o iPhone ou o iPad, o serviço de
notificação de push da Apple envia uma notificação silenciosa ao dispositivo, que deve
fazer check-in no servidor. O processo de notificar o dispositivo não envia nenhuma
informação de acesso restrito para o/do serviço de notificação de push da Apple. A
única tarefa realizada pelo serviço é despertar o dispositivo para que ele faça check-in
no servidor MDM.
Todas as informações de configuração, ajustes e consultas são enviados diretamente
do servidor ao dispositivo com iOS via conexão SSL/TLS criptografada entre o
dispositivo e o servidor MDM. O iOS lida com todas as solicitações e ações de MDM em
segundo plano para limitar o impacto na experiência do usuário, incluindo duração da
bateria, desempenho e confiabilidade.
Para que o servidor de notificação de push reconheça comandos do servidor MDM,
primeiro é necessário instalar um certificado no servidor. Esse certificado deve
ser solicitado e baixado do portal de certificados de push da Apple. Depois que
o certificado de notificação de push da Apple for carregado no servidor MDM, os
dispositivos poderão começar a ser cadastrados. Para obter mais informações sobre
como solicitar um certificado de notificação de push da Apple para MDM, acesse www.
apple.com/mdm.
Configuração de rede das notificações de push da Apple.
Quando servidores MDM e dispositivos iOS estão protegidos por um firewall,
algumas configurações de rede podem ser necessárias para que o serviço MDM
funcione corretamente. Para enviar notificações de um servidor MDM para o serviço
de notificação de push da Apple, a porta TCP 2195 deve estar aberta. Para chegar
ao serviço de feedback, a porta TCP 2196 também deverá estar aberta. No caso de
dispositivos que se conectam ao serviço de push por Wi-Fi, a porta TCP 5223 deve
estar aberta.
O intervalo de endereços IP do serviço de push está sujeito a modificações; a
expectativa é que um servidor MDM se conecte por nome de host e não por endereço
IP. O serviço de push usa um esquema de balanceamento de carga que gera um
endereço IP diferente para o mesmo nome de host. Esse nome de host é gateway.
push.apple.com (e gateway.sandbox.push.apple.com para o ambiente de notificação
de push de desenvolvimento). Além disso, todo o bloco de endereço 17.0.0.0/8 é
designado à Apple para que seja possível estabelecer regras de firewall a fim de
especificar esse intervalo.
Para obter mais informações, consulte o seu fornecedor de MDM ou veja a nota
técnica para desenvolvedores TN2265 na biblioteca para desenvolvedores em iOS, em
http://developer.apple.com/library/ios/#technotes/tn2265/_index.html.
Cadastro
Uma vez configurados o servidor de Gerenciamento de Dispositivos Móveis e a rede, a
primeira etapa para gerenciar um iPhone ou iPad é cadastrá-lo em um servidor MDM.
Isso cria um relacionamento entre o dispositivo e o servidor, permitindo que ele seja
gerenciado quando necessário, sem interação do usuário.
Isso pode ser feito conectando o iPhone ou o iPad a um computador via USB, mas
a maioria das soluções disponibilizam o perfil de cadastro remotamente. Alguns
fornecedores de MDM usam um aplicativo para alavancar esse processo, e outros
iniciam o cadastro direcionando os usuários para um portal na Web. Cada método tem
suas vantagens, e ambos são usados para disparar o processo de Inscrição Remota via
Safari.
21

Visão geral do processo de cadastro
O processo de Inscrição Remota compreende fases que são combinadas em um
fluxo de trabalho automatizado para permitir o cadastro seguro de dispositivos
em um ambiente corporativo, da forma mais escalonável possível. Entre essas fases
estão as seguintes:
1. Autenticação do usuário
A autenticação do usuário garante que sejam recebidas solicitações de cadastro de
usuários autorizados e que informações do dispositivo do usuário sejam capturadas
para proceder ao cadastro do certificado. Os administradores podem solicitar que o
usuário inicie o processo de cadastro em um portal da Web, por e-mail, mensagem
SMS ou até mesmo por um aplicativo.
2. Cadastro do certificado
Depois da autenticação do usuário, o iOS gera uma solicitação de cadastro de
certificado usando para isso o SCEP (Simple Certificate Enrollment Protocol). Essa
solicitação de inscrição se comunica diretamente com a Autoridade Certificadora
(AC) e permite que o iPhone e o iPad recebam o certificado de identidade da AC em
resposta.
3. Configuração do dispositivo
Uma vez instalado o certificado de identidade, o dispositivo pode começar a receber
informações de configuração criptografadas remotamente. Essas informações só
podem ser instaladas no dispositivo para o qual se destinam e contêm os ajustes
necessários para a conexão com o servidor MDM.
No final do processo de cadastro, o usuário verá uma tela de instalação que
descreve os direitos de acesso que o servidor MDM terá sobre o dispositivo. Depois
que o usuário concordar com a instalação do perfil, o dispositivo será cadastrado
automaticamente, sem necessidade de interação por parte do usuário.
Uma vez que o iPhone e o iPad estiverem cadastrados como dispositivos
gerenciados, poderão ser configurados dinamicamente com ajustes, receber
consultas de informações ou ser apagados remotamente pelo servidor MDM.
Configuração
Para configurar um dispositivo com contas, políticas e restrições, o servidor MDM
envia para o dispositivo arquivos conhecidos como Perfis de Configuração que são
instalados automaticamente.
Os Perfis de Configuração são arquivos XML que contêm configurações que
permitem ao dispositivo funcionar com os sistemas da sua empresa. Estão inclusas
informações sobre contas, políticas de senha, restrições e outras configurações do
dispositivo. Quando combinada ao processo de cadastro apresentado anteriormente,
a configuração do dispositivo dá para a TI a segurança de que apenas usuários
confiáveis terão acesso aos serviços corporativos e que os dispositivos serão
devidamente configurados com as políticas estabelecidas.
Como os Perfis de Configuração podem ser assinados e criptografados, não é
possível alterar nem compartilhar os ajustes.
22

Ajustes configuráveis suportados
Contas
• Exchange ActiveSync
• E-mail IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendários assinados
Políticas de senha
• Solicitud de contraseña en el dispositivo
• Obrigatoriedade de valor alfanumérico
• Solicitud de valor alfanumérico
• Tamanho mínimo da senha
• Número mínimo de caracteres complexos
• Validade da senha
• Tempo antes de bloqueio automático
• Histórico de senha
• Período de carência para bloqueio do
dispositivo
• Número máximo de tentativas falhas
Segurança e privacidade
• Permitir envio de dados de diagnóstico à
Apple
• Permitir que o usuário aceite certificados
não confiáveis
• Impor backups criptografados
Outros ajustes
• Credenciais
• Clipes web
• Ajustes de SCEP
• Ajustes de APN
Funcionalidade do dispositivo
• Permitir instalação de aplicativos
• Permitir uso de câmera
• Permitir o FaceTime
• Permitir capturas de tela
• Permitir sincronização automática em
roaming
• Permitir discagem por voz
• Permitir compra de aplicativos
• Exigir senha de loja em todas as compras
• Permitir jogos com vários participantes
• Permitir adicionar amigos do Game
Center
Aplicativos
• Permitir uso do YouTube
• Permitir uso da iTunes Store
• Permitir uso do Safari
• Definir preferências de segurança do
Safari
iCloud
• Permitir backup
• Permitir sincronização de documentos e
de valores de chaves
• Permitir Streaming de Fotos
23
Comentários sobre o conteúdo
• Permitir determinadas músicas e podcasts
• Definir região de comentários
• Definir comentários de conteúdo
permitido

Consulta a dispositivos
Além da configuração, um servidor MDM pode consultar uma variedade de
informações nos dispositivos. Essas informações podem ser usadas para garantir que
os dispositivos continuem em conformidade com as políticas necessárias.
Consultas suportadas
Informações sobre o dispositivo
• Identificador exclusivo do dispositivo (UDID)
• Nome do dispositivo
• Versão do iOS e do build
• Número e nome do modelo
• Número de série
• Capacidade e espaço disponível
• IMEI
• Firmware do modem
• Nível da bateria
Informações sobre a rede
• ICCID
• Endereços MAC Bluetooth® e Wi-Fi
• Rede da operadora atual
• Rede da operadora do assinante
• Versão das configurações da operadora
• Telefone
• Ativação/desativação do roaming de dados
Gerenciamento
Informações sobre conformidade e
segurança
• Perfis de Configuração instalados
• Certificados instalados e datas de
vencimento
• Lista de todas as restrições ativas
• Capacidade de criptografia do hardware
• Senha definida
Aplicativos
• Aplicativos instalados (ID, nome,
versão, tamanho e volume de dados do
app)
• Perfis de aprovisionamento instalados
com datas de vencimento
Com o Gerenciamento de Dispositivos Móveis, existem inúmeras funções que um
servidor MDM pode executar em dispositivos com iOS. Entre essas tarefas estão
instalar e remover Perfis de Configuração e de Aprovisionamento, gerenciar aplicativos,
encerrar o relacionamento MDM e apagar um dispositivo remotamente.
Configurações gerenciadas
Durante o processo inicial de configurar um dispositivo, um servidor MDM faz push
de Perfis de Configuração no iPhone e no iPad e os perfis são instalados em segundo
plano. Com o tempo, as configurações e políticas em vigor no momento do cadastro
precisam ser atualizadas ou alteradas. Para fazer essas alterações, um servidor MDM
pode instalar novos Perfis de Configuração e modificar ou remover os perfis existentes
a qualquer momento. Além disso, talvez seja preciso instalar configurações específicas
de contexto nos dispositivos com iOS, dependendo da localização ou da função de um
usuário na organização. Como exemplo, se um usuário está viajando ao exterior, um
servidor MDM pode exigir que as contas de e-mail sejam sincronizadas manualmente
e não automaticamente. Um servidor MDM pode até mesmo desativar remotamente
serviços de voz ou dados para evitar que o usuário tenha de pagar taxas de roaming
de um provedor wireless.
Aplicativos gerenciados
Um servidor MDM pode gerenciar aplicativos de terceiros na App Store, bem como
aplicativos corporativos desenvolvidos internamente. O servidor pode remover
aplicativos gerenciados e os dados associados por demanda ou especificar se os
aplicativos devem ser removidos quando o perfil MDM for removido. Além disso, o
servidor MDM pode impedir que dados de aplicativos gerenciados sejam submetidos a
backup no iTunes e no iCloud.
24

Para instalar um aplicativo gerenciado, o servidor MDM envia um comando de
instalação ao dispositivo do usuário. Os aplicativos gerenciados exigem aceitação
do usuário para que possam ser instalados. Quando um servidor MDM solicitar a
instalação de um aplicativo gerenciado da App Store, o aplicativo será resgatado
com a conta do iTunes usada no momento da instalação do aplicativo. Aplicativos
pagos exigirão que o servidor MDM envie um código de resgate do VPP (Programa
de Compra por Volume). Para obter mais informações sobre o VPP, acesse www.
apple.com/business/vpp/. Aplicativos da App Store não podem ser instalados no
dispositivo do usuário se a App Store tiver sido desativada.
Removendo ou apagando dispositivos
Se for detectado que um dispositivo não está em conformidade com as políticas,
se ele foi perdido ou roubado ou se um funcionário se desligar da empresa, um
servidor MDM poderá tomar providências para proteger informações corporativas
de várias formas.
Um administrador de TI pode encerrar o relacionamento MDM com um dispositivo
removendo o Perfil de Configuração que contém as informações do servidor MDM.
Nesse caso, todas as contas, configurações e aplicativos que ele foi responsável por
instalar são removidos.
Como alternativa, a área de TI pode manter o Perfil de Configuração MDM
ativo e usar o MDM apenas para remover os Perfis de Configuração, Perfis de
Aprovisionamento e aplicativos gerenciados que quiser excluir. Essa abordagem
mantém o dispositivo gerenciado por MDM e elimina a necessidade de
recadastramento quando ele estiver novamente em conformidade com a política.
Os dois métodos conferem à TI a capacidade de garantir que as informações só
estarão disponíveis para usuários e dispositivos em conformidade e que os dados
corporativos sejam removidos sem interferir nos dados pessoais de um usuário,
como músicas, fotos ou aplicativos pessoais.
Para excluir permanentemente todos os dados e mídias no dispositivo e restaurá-lo
com os ajustes de fábrica, o MDM pode apagar o iPhone e o iPad remotamente. Se o
usuário ainda estiver procurando pelo dispositivo, a área de TI também poderá optar
por enviar um comando de bloqueio remoto ao dispositivo. Esse comando bloqueia
a tela e exige a senha do usuário para desbloqueá-la.
Se o usuário simplesmente esqueceu a senha, um servidor MDM poderá removê-la
do dispositivo e pedir para o usuário criar uma nova em até 60 minutos.
Comandos de gerenciamento suportados
Configurações gerenciadas
• Instalar Perfil de Configuração
• Remover Perfil de Configuração
• Roaming de dados
• Roaming de voz (não disponível em todas as operadoras)
Aplicativos gerenciados
• Instalar aplicativo gerenciado
• Remover aplicativo gerenciado
• Listar todos os aplicativos gerenciados
• Instalar Perfil de Aprovisionamento
• Remover Perfil de Aprovisionamento
Comandos de segurança
• Apagamento remoto
• Bloqueio remoto
• Apagar senha
25

Visão geral do processo
Este exemplo ilustra uma implantação básica de um servidor de Gerenciamento de Dispositivos Móveis.
1
2
3
4
5
1
2
3
Serviço d de push da Apple e
notificação
5
Firewall
4
Servidor MDM de terceiros
Um Perfil de Configuração contendo informações do servidor MDM é enviado ao dispositivo. O usuário recebe informações
sobre o que será gerenciado e/ou consultado pelo servidor.
O usuário instala o perfil para aceitar o dispositivo que está sendo gerenciado.
O cadastro do dispositivo ocorre durante a instalação do perfil. O servidor valida o dispositivo e autoriza o acesso.
O servidor envia uma notificação de push solicitando que o dispositivo verifique se há tarefas ou consultas.
O dispositivo conecta-se diretamente ao servidor por HTTPS. O servidor envia comandos ou solicita informações.
Para obter mais informações sobre Gerenciamento de Dispositivos Móveis, acesse www.apple.com/business/mdm.
© 2011 Apple Inc. Todos os direitos reservados. Apple, o logotipo da Apple, FaceTime, iPad, iPhone, iTunes e Safari são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iCloud e iTunes Store são marcas de serviço da Apple Inc., registradas nos Estados Unidos e em outros países. App Store é marca de serviço da Apple Inc. A marca e os logotipos Bluetooth são marcas registradas
que pertencem à Bluetooth SIG, Inc. e são utilizados pela Apple sob licença. UNIX é marca registrada do The Open Group. Os demais nomes de produtos e de empresas aqui mencionados são marcas
comerciais das suas respectivas empresas. As especificações dos produtos estão sujeitas a mudanças sem aviso prévio. Outubro de 2011 L422501B
26