企業部門のAppleモバイルデバイス。 構成プロファイル

大企業の従業員のモバイル機器について考えるときに最初に頭に浮かぶのは、HP EliteBookやBlackBerryスマートフォンなどのラップトップです。 大多数は、MacBookは企業の標準からはほど遠いものであり、デザイナー、インディー開発者、上級主婦にのみ適していると考えています。 iPhoneは、おしゃれなInstagramのツイートを書いたり、「弓」を撮影するためのスタイリッシュなガジェットと考えられています。







今、私はそのような固定観念を払拭し、クパチーノの有名な会社のモバイル機器が何ができるかを伝えようとします。



Apple iOSベースのモバイルデバイスから始めます。 現在、次のデバイスが動作するバージョン3.0以降についてです。

• iPhone 3G、3G、4、4s、5
• iPad 2、3、4
• iPod touch 2から5世代
• iPad mini

これらのデバイスはすべて、構成プロファイルのロードをサポートしています。これにより、企業で使用するためにデバイスを柔軟に構成できます。



公式のプロファイルガイドを転載することは意味がありません。 最も興味深い可能性についてのみ説明します。

まず第一に、構成プロファイルはプレーンXMLです。 デジタル証明書で署名したり、暗号化したりできます。 署名されたプロファイルを受信すると、デバイスはデジタル署名証明書を検証し、ステータスを表示します。



暗号化されたプロファイルを受信すると、復号化キーがデバイスに存在する必要があります。



プロファイルには次のデータが含まれる場合があります。

• モバイルデバイスの機能を制限する
• Wi-Fi接続設定
• VPNアクセス設定
• メールサーバー設定（Exchange、POP3、IMAP、SMTP）
• LDAPディレクトリアクセス設定（グローバルアドレス帳用）
• CalDAVカレンダーアクセスオプション
• デジタル証明書
• SCEPを介した証明書の自動ローテーションのリクエスト（上記のサービスを含む）

いくつかのパラメーターをさらに詳しく考えてみましょう。 それでは、プロファイルを使用してデバイスで何を制限できますか？

• パスワードなしのデバイスへのアクセスを拒否する、 forcePIN
  
  
  
  パラメーター
• 常に同じパスワードの使用を許可しない、パラメーターmaxPINAgeInDays
  
  
  
  
• パスワードの長さ、パラメーターminLength
  
  
  
  設定します
• パスワード、 pinHistory
  
  
  
  パラメーターの変更時に同じパスワードの使用を拒否する
• 数字のみで構成されるパスワードを拒否します（これはユーザーのrequireAlphanumeric
  
  
  
  ）、 requireAlphanumeric
  
  
  
  パラメーター
• AppStoreからのアプリケーションのインストールを許可しない 、 allowAppInstallation
  
  
  
  パラメーター
• Siriの拒否、 allowAssistant
  
  
  
  パラメーター
• デバイスでカメラの使用を拒否する 、 allowCamera
  
  
  
  パラメーター
• アダルトコンテンツを拒否、 allowExplicitContent
  
  
  
  パラメーター
• Game Centerへのアクセスを許可、 allowGameCenter
  
  
  
  パラメーター
• スクリーンショットを無効にし 、 allowScreenShot
  
  
  
  パラメーター
• YouTubeアクセスを閉じる（！）、 allowYouTube
  
  
  
  パラメーター
• iTunesを閉じ、iTunes allowiTunes
  
  
  
  
• Safariブラウザーの使用をallowSafari
  
  
  
  、 allowSafari
  
  
  
  パラメーター
• 不明な証明書の使用を拒否し 、 allowUntrusted-TLSPrompt
  
  
  
  
• ユーザーの介入なしでプロファイルのインストールをallowUIConfiguration-ProfileInstallation
  
  
  
  、 allowUIConfiguration-ProfileInstallation
  
  
  
  

ご覧のように、エンタープライズセキュリティサービスの要件に合わせてモバイルデバイスを導入する機会はたくさんあります。 欠落しているのは、特定の制限の時間範囲だけです。たとえば、営業時間中のみYouTubeを禁止します。 :-)



Wi-Fi、VPN、メール、LDAPなどのアクセス設定 まったく同じタイプ。 すべてに証明書の認証を含めることができることに注意してください。 明らかに、証明書による承認の場合、デバイスには公開鍵と秘密鍵のキーのペアが含まれている必要があります。 秘密鍵はプロファイルで転送できません。 SCEP証明書ローテーションプロトコルをサポートするには、インフラストラクチャが必要です。 この場合、秘密鍵の生成はモバイルデバイスで行われ、公開鍵は証明書要求の一部として認証局に転送され、証明書に署名して生成した後、完成した証明書はデバイスに転送され、ローカルストレージにインストールされます。 SCEPリクエストには一意のPayloadUUID



、これPayloadCertificate-UUID



他の設定のPayloadCertificate-UUID



指定できます。 このようにして、受信した証明書はWi-Fi、VPN、メール、LDAPなどの設定に関連付けられます。



ルートおよび公開センターの公開証明書をプロファイルに含めることができます。 エンタープライズルート証明書をインストールすると、無効な証明書に関する警告メッセージを発行することなく、内部httpsリソースにアクセスできます。 これは、メールサービス、VPNゲートウェイ、Wi-Fiポイント-承認プロセスで企業証明書を使用するすべてに適用されます。



プロファイルを削除すると、そのプロファイルに登録されているすべてのサービスと設定も削除されます。 たとえば、プロファイルにエンタープライズメールサーバーへのアクセスが含まれている場合、プロファイルを削除すると、デバイス上のメールボックスが削除され、従業員は新しいメールを受信したり、既に受信したメールを読み取ったりできなくなります。 以前のように、Gmailの個人メールなどの他のメールボックスが利用可能になります。



プロファイルは、PINコードの削除、 HasRemovalPasscode



パラメーターで保護できます。 通常、 PayloadRemoval-Disallowed



パラメーターである削除をPayloadRemoval-Disallowed



できます。 後者の場合、プロファイルは、すべてのデバイス設定を完全にリセットすることによってのみ削除できますが、デバイスのすべてのコンテンツは削除されます。 このような設定は、情報セキュリティの分野で厳しい要件を持つ企業に適しています。

プロファイルが自動的に削除される期間または日付、 DurationUntilRemoval



およびRemovalDate



。 これは、派遣社員や会社のコンサルタントに適しています。



プロファイルは、いくつかの方法でデバイスにダウンロードできます。

1. 有線 。 デバイスは、USBを介してiPhone構成ユーティリティプログラムを実行しているコンピューターに接続され、必要な構成プロファイルが選択され、デバイスにダウンロードされます。
2. 直接 Safariブラウザーでプロファイルファイル（.mobileconfig）のリンクが開き、プロファイルのインストールが確認されます。
3. オーバーザエア 。 Safariブラウザーでプロファイルのダウンロードページが開き、メインプロファイルを暗号化するための中間証明書の生成とともにプライマリプロファイルがインストールされます。 プロファイルの内容は暗号化されています。

最初と2番目の方法は、すべてを手動でインストールするのが簡単な中小企業に適しています。3番目の方法は最も技術的に進んでおり、大企業での使用が推奨されます。



3番目の方法、 Over-the-Airでプロファイルのロードを説明しようとします。



最初のフェーズは、モバイルデバイスへのプロファイルアップロードアドレスを含むURLの配信です。 これは、メールメッセージ、SMSメッセージ、特別なWebページのリンクにすることができます。 httpsリソースへのリンクを配置し、たとえばnginxサーバーのsecure_linkテクノロジーを使用して、コンテンツを変更から保護することをお勧めします。

最初のプロファイルには、ユーザーデバイスパラメーターの要求が含まれています。



拡張子が.mobileconfig



ファイルはSafariでのみ認識されるため、リンクを開く必要があります。



プロファイルを受信した後、デバイスはユーザーにインストール許可を求めます。 セキュリティ設定でPINコードによる画面ロック解除が有効になっている場合、PINコードが要求されます。 次に、デバイス情報がプロファイルサーバーに転送されます。









次のフェーズは、メインプロファイルの後続の暗号化のための中間証明書の生成です。 秘密キーはデバイスに転送できないため、SCEPプロトコルが使用されます。SCEPプロトコルでは、デバイスでキーペアが生成され、認証要求が認証機関に直接送信されます。 プロファイルサーバーはこのプロセスには関与しません。









証明機関は要求に署名し、必要なパラメーターを使用して証明書を生成し、デバイスに送り返します。 受信した証明書はローカルストレージにインストールされます。



モバイルデバイスは、新しい証明書で署名されたメッセージの形式で、プロファイルサーバーに第2フェーズの終了を通知します。

第三段階の時が来ました。 モバイルデバイスには証明書と秘密キーがあり、プロファイルサーバーには証明書があります。 そのため、メインプロファイルを暗号化し、モバイルデバイスに送信できます。



メインプロファイルの内容は、セキュリティサービスの要件と、企業および支社のネットワークインフラストラクチャの開発レベルによって異なります。 これはプロファイル実装プロジェクトの最も重要な部分であり、企業の複数の部門とサービスの参加が含まれます。 プロファイルデータは、Active Directory、企業データベース、または他のシステムから取得できます。







構成プロファイルをいくつかの前提条件で読み込むためのテクノロジーは、OS X 10.8+に基づくモバイルデバイス、つまり、新しいMacBook、MacBook Air / Proに適用されます。







ruVPN.netサービスプロファイルのロードは、説明したスキームに従って機能します;最近、デバイスにVPN設定を含むプロファイルをインストールできるHabréでストレステストが正常に完了しました。 メインプロファイルには、IPsec VPNサーバーにアクセスするためのSCEP証明書要求が含まれていました。 プロファイルは、テスト参加者のデバイス05/27/2013 00:00:00 UTCから自動的に削除されました。 すべてのテスト参加者に感謝します！