El iPad en la empresa

Ejemplos de implantacin Marzo de 2011

Descubre cmo el iPad se integra a la perfeccin en los entornos empresariales con estos ejemplos de implantacin. Exchange ActiveSync de Microsoft Servicios basados en estndares Redes privados virtuales Wi-Fi Certificados digitales Seguridad Mobile Device Management Implantacin de iTunes

El iPad en la empresa Exchange ActiveSync

El iPad se comunica directamente con tu instalacin de Exchange Server de Microsoft a travs de Exchange ActiveSync (EAS) de Microsoft, para ofrecer al usuario correo electrnico, contactos y calendarios de actualizacin automtica push. Exchange ActiveSync tambin permite al usuario acceder a la lista global de direcciones (GAL) y ofrece al administrador funciones de borrado remoto y de imposicin de polticas de contrasea. El iPad es compatible con la autenticacin bsica y por certificado de Exchange ActiveSync. Si la empresa utiliza Exchange ActiveSync, ya dispone de los servicios necesarios para integrar el iPad. No hace falta ninguna configuracin adicional. Si dispones de Exchange Server 2003, 2007 o 2010, pero no tienes experiencia con Exchange ActiveSync, consulta los siguientes pasos.
Polticas de seguridad de Exchange ActiveSync compatibles Borrado remoto Imposicin de contrasea en terminal Longitud mnima de contrasea Mximo de errores en contrasea (antes del borrado local) Exigencia de nmeros y letras Tiempo de inactividad en minutos (de 1 a 60 minutos) Polticas adicionales de Exchange ActiveSync (solo para Exchange 2007 y 2010) Autorizacin o prohibicin de contraseas simples Caducidad de contraseas Historial de contraseas Intervalos de renovacin de polticas Nmero mnimo de caracteres complejos en contraseas Exigencia de sincronizacin manual en itinerancia Autorizacin del uso de cmara Autorizacin de navegacin web

Configuracin de Exchange ActiveSync

Descripcin de la configuracin de red Comprueba que el puerto 443 est abierto en el cortafuegos. Si tu empresa admite Outlook Web Access, es muy probable que ya lo est. En el servidor externo (front-end), verifica que se haya instalado un certificado de servidor y que se haya activado la seguridad SSL para el directorio virtual de Exchange ActiveSync en IIS. Si usas un servidor Internet Security and Acceleration (ISA) de Microsoft, comprueba que se haya instalado un certificado de servidor y actualiza el DNS pblico para resolver correctamente las conexiones entrantes. Comprueba que el DNS de tu red devuelva una nica direccin direccionable externamente al servidor de Exchange ActiveSync, tanto para clientes de la intranet como de Internet. Esto es necesario a fin de que el dispositivo pueda usar la misma direccin IP para comunicarse con el servidor cuando ambos tipos de conexin estn activos. Si usas un servidor ISA de Microsoft, crea un agente de escucha y una regla de publicacin de acceso de cliente de Exchange Web. En la documentacin de Microsoft encontrars ms informacin. Para todos los cortafuegos y dispositivos de red, ajusta el tiempo de desconexin por inactividad a 30 minutos. Si deseas ms informacin sobre los intervalos de latido e inactividad, consulta la documentacin de Exchange de Microsoft, que se encuentra en http://technet.microsoft.com/en-us/library/cc182270.aspx (en ingls). Configura las prestaciones mviles, las polticas y los ajustes de seguridad de dispositivos mediante Exchange System Manager. Para Exchange Server 2007 y 2010, esto se hace en la consola Exchange Management Console.

Descarga e instala la herramienta Mobile Administration Web Tool de Exchange ActiveSync de Microsoft, necesaria para iniciar un borrado remoto. En Exchange Server 2007, el borrado remoto se puede iniciar desde Outlook Web Access o con la consola Exchange Management Console. Autenticacin bsica (usuario y contrasea) Activa Exchange ActiveSync para usuarios y grupos especficos mediante el servicio Active Directory. Se activan por defecto para todos los dispositivos mviles de la organizacin en Exchange Server 2003, 2007 y 2010. Para Exchange Server 2007 y 2010, consulta Recipient Configuration en la consola Exchange Management Console. Por defecto, Exchange ActiveSync est configurado para la autenticacin bsica de usuarios. Se recomienda activar la seguridad SSL para la autenticacin bsica con el fin de garantizar que las credenciales se cifren durante la autenticacin. Autenticacin basada en certificados Instala los servicios de certificados empresariales en un servidor de la red o en un controlador de dominio en tu dominio (ser el servidor de la autoridad emisora de certificados).
Otros servicios de Exchange ActiveSync Consulta de la lista global de direcciones Aceptacin y creacin de invitaciones de calendario Sincronizacin de las etiquetas Reply y Forward con Exchange Server 2010 Bsqueda en correos con Exchange Server 2007 y 2010 Compatibilidad con mltiples cuentas de Exchange ActiveSync Autenticacin basada en certificados Actualizacin push de correos electrnicos en carpetas seleccionadas Autodescubrimiento

Configura IIS en el servidor externo (front-end) de Exchange o en Client Access Server para que acepte la autenticacin basada en certificados para el directorio virtual de Exchange ActiveSync. Si quieres autorizar o exigir certificados para todos los usuarios, desmarca Basic authentication y selecciona Accept client certificates o Require client certificates. Genera certificados de cliente mediante el servidor de la autoridad emisora de certificados. Exporta la clave pblica y configura IIS para que la use. Exporta la clave privada y usa un Perfil de Configuracin para enviarla al iPad. La autenticacin basada en certificados solo se puede configurar mediante un Perfil de Configuracin. Si deseas ms informacin sobre los servicios de certificados, consulta los recursos disponibles a travs de Microsoft.

Ejemplo de implantacin de Exchange ActiveSync

Este ejemplo muestra cmo se conecta el iPad a una instalacin estndar de Exchange Server 2003, 2007 o 2010 de Microsoft.

Clave privada (certificado) Cortafuegos Perfil de configuracin Cortafuegos

Servidor de certificados

443 3

Active Directory

Clave pblica (certificado)

1 Internet Servidor proxy

2 Servidor Front-End de Exchange o Client Access 4

6 Pasarela de correo o Servidor de transporte perimetral* Cabeza de puente o Servidor de transporte de concentradores

5 Buzn de correo de Exchange o servidores internos

* En funcin de la configuracin de red, la pasarela de correo externa o el servidor de transporte perimetral pueden residir dentro de la red del permetro (DMZ).

El iPad solicita acceso a los servicios de Exchange ActiveSync a travs del puerto 443 (HTTPS). (Se trata del mismo puerto usado por Outlook Web Access y otros servicios web seguros, as que en muchos casos este puerto ya estar abierto y configurado para permitir el trfico de HTTPS cifrado por SSL). ISA facilita el acceso al servidor externo (front-end) de Exchange o al de Client Access. ISA est configurado como proxy, o en muchos casos como proxy inverso, para dirigir el trfico al servidor de Exchange. El servidor de Exchange autentica al usuario entrante mediante el servicio Active Directory y el servidor de certificados (si se usa la autenticacin basada en certificados). Si el usuario aporta las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor externo establece una conexin con el buzn de correo oportuno en el servidor interno (back-end) (a travs del catlogo global de Active Directory). Se establece la conexin con Exchange ActiveSync. Las actualizaciones o cambios se envan al iPad, y cualquier cambio realizado en el iPad se refleja a su vez en el servidor de Exchange. Los correos enviados desde el iPad tambin se sincronizan con el servidor de Exchange a travs de Exchange ActiveSync (paso 5). Para dirigir el correo electrnico saliente a los destinatarios externos, el correo se enva por norma general a travs de un servidor de cabeza de puente (o transporte de concentradores) a una pasarela de correo externa (o servidor de transporte perimetral) a travs de SMTP. En funcin de la configuracin de red, la pasarela de correo externa o el servidor de transporte perimetral pueden residir dentro de la red del permetro o fuera del cortafuegos.

2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros pases. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compaas. Las especificaciones del producto estn sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422495B-ES

El iPad en la empresa Servicios basados en estndares

Como el iPad es compatible con el protocolo de correo IMAP, los servicios de directorios LDAP y los protocolos de calendarios CalDAV y de contactos CardDAV, se integra en casi cualquier entorno estndar de correo, calendarios y contactos. Si el entorno de red est configurado para exigir la autenticacin de usuario y emplear la seguridad SSL, el iPad ofrece un mtodo seguro para acceder al correo, los calendarios y los contactos de la empresa basados en estndares. En una instalacin tpica, el iPad establece acceso directo a los servidores de correo IMAP y SMTP para recibir y enviar correo inalmbricamente, y tambin puede sincronizar notas con servidores IMAP de forma inalmbrica. El iPad se puede conectar con los directorios corporativos LDAPv3 de la empresa, otorgando acceso a los usuarios a los contactos corporativos en las aplicaciones Mail, Contactos y SMS. Gracias a la sincronizacin con el servidor CalDAV, los usuarios del iPad pueden crear y aceptar invitaciones a calendarios y recibir actualizaciones de estos de forma inalmbrica. Adems, gracias a la compatibilidad con CardDAV, los usuarios pueden mantener un grupo de contactos sincronizado con el servidor CardDAV mediante el formato vCard. Todos los servidores de red se pueden ubicar en una subred DMZ, detrs de un cortafuegos corporativo o en ambos. Si se usa SSL, el iPad admite el cifrado de 128 bits y los certificados raz X.509 de las principales entidades emisoras de certificados.
Puertos habituales IMAP/SSL: 993 SMTP/SSL: 587 LDAP/SSL: 636 CalDAV/SSL: 8443, 443 CardDAV/SSL: 8843, 443 Soluciones de correo con protocolos IMAP y POP El iPad admite las soluciones de correo basadas en los protocolos IMAP4 y POP3 para una amplia gama de plataformas de servidor, como Windows, UNIX, Linux y Mac OS X. Estndares CalDAV y CardDAV El iPad admite los protocolos de calendarios CalDAV y de contactos CardDAV. El IETF ha estandarizado ambos protocolos. El consorcio CalConnect ofrece ms informacin en http:// caldav.calconnect.org/ y http://carddav. calconnect.org/.

Configuracin de la red
El administrador de redes o TI deber llevar a cabo estos pasos para activar el acceso del iPad a los servicios IMAP, LDAP, CalDAV y CardDAV: Abrir los puertos correspondientes en el cortafuegos. Los puertos habituales son el 993 para el correo IMAP, el 587 para el correo SMTP, el 636 para los servicios de directorio LDAP, el 8443 para los calendarios CalDAV y el 8843 para los contactos CardDAV. Adems, se recomienda que la comunicacin entre el servidor proxy y los servidores internos IMAP, LDAP, CalDAV y CardDAV se configuren con la seguridad SSL activada, y que los certificados digitales de los servidores de la red estn firmados por una entidad emisora de confianza, como VeriSign. Esto garantiza que el iPad reconozca al servidor proxy como una entidad de confianza en la infraestructura de la empresa. Para el correo SMTP saliente, se debe abrir el puerto 587, 465 o 25 para permitir el envo de correo electrnico desde el iPad, que comprueba automticamente el estado de esos puertos por ese orden. El puerto 587 es el ms fiable y seguro, ya que exige la autenticacin del usuario. El puerto 25 no requiere autenticacin, y algunos proveedores de servicios de Internet lo bloquean por defecto para evitar el correo no deseado.

Ejemplo de implantacin
Este ejemplo muestra cmo se conecta el iPad a una instalacin estndar de IMAP, LDAP, CalDAV y CardDAV.
Cortafuegos Cortafuegos 3 Servidor de directorios LDAP 4 Servidor CalDAV 1 Servidor proxy inverso Internet 8843 (CardDAV) 993 (IMAP) 587 (SMTP) 5 Servidor CalDAV 2

636 (LDAP) 8443 (CalDAV)

6 Servidor de Mail

1 2

El iPad solicita acceso a los servicios de red a travs de los puertos designados. En funcin del servicio, los usuarios del iPad deben autenticarse con el proxy inverso o bien directamente con el servidor para obtener acceso a los datos corporativos. En ambos casos, las conexiones son remitidas por el proxy inverso, que hace las veces de pasarela segura, normalmente detrs del cortafuegos. Una vez autenticados, los usuarios pueden acceder a sus datos corporativos en los servidores internos. El iPad ofrece servicios de consulta de directorios LDAP, lo que permite al usuario buscar contactos y otra informacin de la agenda en el servidor LDAP. En el caso de los calendarios CalDAV, los usuarios pueden acceder a los calendarios desde el iPad y actualizarlos. Los contactos CardDAV se almacenan en el servidor y se puede acceder a ellos de forma local desde el iPad. Los cambios efectuados en los campos de los contactos CardDAV se sincronizan con el servidor CardDAV. En el caso de los servicios de correo IMAP, los mensajes existentes y nuevos se pueden leer desde el iPad mediante una conexin proxy con el servidor de correo. El correo saliente del iPad se enva al servidor SMTP, y se guardan copias en la carpeta Enviados del usuario.

4 5

2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros pases. UNIX es una marca comercial registrada de The Open Group. El resto de nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivos titulares. Las especificaciones del producto estn sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422496B-ES

El iPad en la empresa Redes privadas virtuales (VPN)

El iPad ofrece acceso seguro a redes corporativas privadas mediante protocolos VPN estndar reconocidos por el sector. Los usuarios se pueden conectar fcilmente a los sistemas empresariales mediante el cliente de VPN integrado o a travs de aplicaciones de terceros (Juniper, Cisco y F5 Networks). El iPad es compatible de serie con IPSec de Cisco, L2TP sobre IPSec y PPTP. Si tu organizacin admite uno de estos protocolos, no necesitas ningn otro tipo de configuracin ni aplicaciones de terceros para conectar el iPad a tu VPN. Adems, el iPad admite VPN con SSL, lo que le permite acceder a los servidores de VPN con SSL de la serie SA de Juniper, ASA de Cisco y FirePass de F5 Networks. Para ello, basta con descargar en el App Store una aplicacin cliente de VPN desarrollada por Juniper o Cisco. Al igual que el resto de protocolos de VPN del iPad, el acceso a redes VPN con SSL se puede configurar manualmente en el dispositivo o mediante un Perfil de Configuracin. El iPad admite tecnologas estndar como IPv6, servidores proxy y tneles divididos, por lo que ofrece una excelente experiencia de VPN al conectarse a redes empresariales. Adems, es compatible con diversos mtodos de autenticacin, como el uso de contraseas, tokens de doble factor y certificados digitales. Con el fin de optimizar la conexin en entornos en los que se usa la autenticacin basada en certificados, el iPad incluye VPN por peticin, que inicia dinmicamente una sesin de VPN al conectarse a determinados dominios.

Protocolos y mtodos de autenticacin admitidos

VPN con SSL Es compatible con la autenticacin de usuario por contrasea, token de doble factor y certificados. IPSec de Cisco Es compatible con la autenticacin de usuario por contrasea, token de doble factor, autenticacin por mquina mediante secreto compartido y certificados. L2TP sobre IPSec Admite la autenticacin del usuario mediante MS-CHAP v2 Password, token de doble factor y autenticacin por mquina mediante secreto compartido. PPTP Admite la autenticacin del usuario mediante MS-CHAP v2 Password y token de doble factor.

VPN por peticin

Para las configuraciones que empleen la autenticacin basada en certificados, el iPad ofrece VPN por peticin. VPN por peticin puede establecer una conexin automticamente cuando se acceda a dominios predeterminados, lo que ofrece a los usuarios del iPad una experiencia de conexin a redes VPN impecable. Esta prestacin de iOS no requiere ninguna configuracin adicional del servidor. La configuracin de VPN por peticin se realiza mediante un Perfil de Configuracin o manualmente en el dispositivo. Las opciones de VPN por peticin son: Siempre Inicia una conexin VPN para cualquier direccin que coincida con el dominio especificado. Nunca No inicia una conexin VPN para las direcciones que coinciden con el dominio especificado, pero si la VPN ya est activa, se puede usar. Establecer si es necesario Inicia una conexin VPN para las direcciones que coinciden con el dominio especificado, pero solo cuando una consulta de DNS haya fallado.

Configuracin de VPN
El iPad se integra en muchas de las redes VPN actuales con una mnima configuracin. La mejor forma de preparar esta instalacin consiste en comprobar la compatibilidad del iPad con los protocolos de VPN y los mtodos de autenticacin presentes en la empresa. Se recomienda revisar la ruta de autenticacin al servidor de autenticacin para garantizar que los estndares admitidos por el iPad estn activados en la instalacin en cuestin. Si tienes la intencin de usar un sistema de autenticacin basado en certificados, comprueba que tu infraestructura de claves pblicas est configurada para admitir certificados de usuario y de dispositivo con los correspondientes procesos de distribucin de claves. Si quieres configurar ajustes de proxy especficos para una URL, coloca un archivo PAC en un servidor web accesible con los ajustes de VPN bsicos y asegrate de que est alojado con el tipo de MIME application/x-ns-proxy-autoconfig.

Configuracin del proxy

Puedes especificar un proxy de VPN para todas las configuraciones. Para configurar un nico proxy para todas las conexiones, usa el ajuste Manual e introduce la direccin, el puerto y la autenticacin, si es preciso. Para proporcionar al dispositivo un archivo de configuracin auto-proxy con PAC o WPAD, usa el ajuste Automtico. Para PACS, especifica la URL del archivo PACS. Para WPAD, el iPad solicitar a DHCP y DNS los ajustes oportunos.

Ejemplo de implantacin
Este ejemplo ilustra una implantacin tpica con un servidor/concentrador de VPN, adems de un servidor de autenticacin para el control del acceso a los servicios de red de la empresa.
Firewall 3a Autenticacin Certificado o token Servidor de autenticacin de VPN Generacin de token o distribucin de certificados Firewall 3b Servicio de directorio

1 Concentrador/servidor de VPN

4 Red privada

Certificado, token o contrasea

5 Internet pblico Servidor proxy

1 2 3

El iPad solicita acceso a los servicios de red. El servidor/concentrador de VPN recibe la solicitud y la pasa al servidor de autenticacin. En un entorno de token de doble factor, el servidor de autenticacin administra la generacin de una clave de token sincronizada temporalmente con el servidor de claves. Si se ha implantado un mtodo de autenticacin con certificado, antes de la autenticacin debe enviarse al iPad un certificado de identidad. Si se ha implantado un mtodo de contrasea, el proceso de autenticacin efecta la validacin del usuario. Una vez autenticado el usuario, el servidor de autenticacin valida las polticas de usuarios y grupos. Una vez validadas las polticas de usuarios y grupos, el servidor de VPN ofrece acceso cifrado y por tnel a los servicios de red. Si se usa un servidor proxy, el iPad se conecta a travs del servidor proxy para acceder a informacin ubicada fuera del cortafuegos.

Si deseas ms informacin sobre VPN en el iPad, visita www.apple.com/es/ipad/business/integration.

2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros pases. App Store es una marca de servicio de Apple Inc. Los dems nombres de productos y empresas mencionados aqu son marcas comerciales de sus respectivas compaas. Las especificaciones del producto estn sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422497B-ES

10

El iPad en la empresa Wi-Fi

De serie, el iPad se conecta de forma segura a redes Wi-Fi corporativas o de invitados, lo que permite acceder a redes inalmbricas disponibles de forma rpida y sencilla, ya se est en las instalaciones de la empresa o de viaje. El iPad admite protocolos estndar de redes inalmbricas, incluido WPA2 Enterprise, lo que permite configurar redes inalmbricas corporativas rpidamente y acceder a ellas de forma segura. WPA2 Enterprise emplea cifrado AES de 128 bits, un mtodo basado en bloques ampliamente acreditado que brinda el mximo nivel de seguridad para los datos del usuario. El iPad, compatible con 802.1X, puede integrarse en un amplio abanico de entornos de autenticacin RADIUS. Entre los mtodos de autenticacin inalmbrica 802.1X que admite el iPad se encuentran EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 y LEAP. Los usuarios pueden configurar el iPad para que acceda automticamente a las redes Wi-Fi disponibles. Se puede acceder rpidamente a las redes Wi-Fi que requieran credenciales de inicio de sesin u otra informacin sin necesidad de abrir una sesin de navegador aparte, desde los ajustes Wi-Fi o con aplicaciones como Mail. Adems, la conectividad Wi-Fi persistente de bajo consumo permite a las aplicaciones del iPad usar las redes Wi-Fi para enviar notificaciones push. Para acelerar la configuracin y la implantacin, los ajustes de redes inalmbricas, seguridad y autenticacin se pueden establecer mediante perfiles de configuracin.

Protocolos inalmbricos de seguridad WEP WPA Personal WPA Enterprise WPA2 Personal WPA2 Enterprise Mtodos de autenticacin 802.1X EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAPv0 (EAP-MS-CHAP v2) PEAPv1 (EAP-GTC) LEAP

Configuracin de WPA2 Enterprise

Comprueba la compatibilidad de los dispositivos de red y selecciona un tipo de autenticacin (tipo de EAP) admitido por el iPad. Comprueba que el protocolo 802.1X est activado en el servidor de autenticacin y, si es preciso, instala un certificado de servidor y asigna los permisos de acceso a la red de usuarios y grupos. Configura puntos de acceso inalmbrico para la autenticacin 802.1X e introduce la informacin del correspondiente servidor RADIUS. Si tienes la intencin de usar un sistema de autenticacin basado en certificados, comprueba que la infraestructura de claves pblicas est configurada para admitir certificados de usuario y de dispositivo con los correspondientes procesos de distribucin de claves. Comprueba la compatibilidad del formato del certificado y del servidor de autenticacin. El iPad admite PKCS1 (.cer, .crt y .der) y PKCS12. Si deseas documentacin adicional sobre estndares de red inalmbrica y Acceso Protegido a Wi-Fi (WPA), visita www.wi-fi.org.

11

WPA2 Enterprise/802.1X Ejemplo de implantacin

Este ejemplo ilustra una implantacin inalmbrica segura estndar que aprovecha la autenticacin RADIUS.
Servidor de autenticacin Compatible con 802.1X (RADIUS) Firewall 3 Servicio de directorio

1 Punto de acceso inalmbrico compatible con 802.1X

4 Servicios de red

Certificado o contrasea basados en tipo de EAP 1

El iPad solicita acceso a la red. El iPad inicia la conexin cuando un usuario selecciona una red inalmbrica disponible, o lo hace automticamente al detectar una red ya configurada. Despus de llegar al punto de acceso, la solicitud es remitida al servidor RADIUS para su autenticacin. El servidor RADIUS valida la cuenta del usuario empleando el servicio de directorio. Cuando el usuario est autenticado, el punto de acceso ofrece acceso a la red aplicando las polticas y los permisos indicados por el servidor RADIUS.

2 3 4

2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple y iPad son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros pases. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compaas. Las especificaciones del producto estn sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422498B-ES

12

El iPad en la empresa Certificados digitales

El iPad admite certificados digitales, lo que permite a los usuarios de empresa acceder de forma segura y optimizada a servicios corporativos. Los certificados digitales se componen de una clave pblica, y de informacin sobre el usuario y la entidad emisora del certificado. Los certificados digitales son una forma de identificarse que optimiza la autenticacin, la integridad de los datos y el cifrado. En el iPad, los certificados se pueden usar de varias maneras. La firma de datos con un certificado digital ayuda a garantizar que la informacin no pueda modificarse. Los certificados tambin sirven para garantizar la identidad del autor o firmante. Adems, se pueden usar para cifrar Perfiles de Configuracin y comunicaciones de red, con el fin de aumentar la proteccin de informacin confidencial o privada.

Uso de certificados en el iPad

Certificados digitales Los certificados digitales sirven para autenticar de forma segura a usuarios de servicios corporativos sin necesidad de emplear nombres de usuario, contraseas ni tokens por software. En el iPad, la autenticacin basada en certificados se usa para acceder a servidores de Exchange ActiveSync de Microsoft, as como a redes VPN y Wi-Fi.
Formatos de identidad y certificado admitidos: El iPad admite los certificados X.509 con claves RSA. Reconoce las extensiones de archivo .cer, .crt, .der, .p12 y .pfx. Certificados raz El iPad incluye de serie diversos certificados raz preinstalados. Si deseas consultar una lista de estos certificados, lee el artculo de Soporte de Apple que encontrars en http://support.apple.com/kb/HT3580. Si usas un certificado raz que no est preinstalado, como un certificado raz autofirmado creado por tu empresa, puedes distribuirlo al iPad mediante uno de los mtodos enumerados en el apartado Distribucin e instalacin de certificados de este documento.
Entidad emisora de certificados Solicitud de autenticacin Servicios empresariales Intranet, correo electrnico, VPN y Wi-Fi Servicio de directorio

Certificados de servidor Los certificados digitales tambin se pueden usar para validar y cifrar comunicaciones de redes. Esto ofrece una comunicacin segura con sitios web tanto internos como externos. El navegador Safari puede comprobar la validez de un certificado digital X.509 y configurar una sesin segura con cifrado AES de hasta 256 bits. As se verifica la legitimidad de la identidad del sitio y se garantiza la proteccin de la comunicacin con el sitio web para evitar la interceptacin de datos personales o confidenciales.

Solicitud HTTPS

Servicios de red

Entidad emisora de certificados

13

Distribucin e instalacin de certificados

Distribuir certificados al iPad es fcil. Cuando recibe un certificado, el usuario solo tiene que tocarlo para ver su contenido, y dar otro toque para aadir el certificado al dispositivo. Al instalar un certificado de identidad, se solicita al usuario que introduzca la frase clave que lo protege. Si no se puede verificar la autenticidad de un certificado, el usuario recibe una alerta antes de aadirlo al dispositivo. Instalacin de certificados mediante Perfiles de Configuracin Si se usan perfiles de configuracin para distribuir los ajustes de los servicios corporativos, como Exchange, VPN o Wi-Fi, los certificados se pueden aadir al perfil con el fin de optimizar la implantacin. Instalacin de certificados mediante Mail o Safari Si se enva un certificado en un correo electrnico, se mostrar como un adjunto. Tambin se puede usar Safari para descargar certificados desde una pgina web. Puedes alojar un certificado en un sitio web seguro y facilitar a los usuarios la URL desde la que pueden descargar el certificado en sus dispositivos. Instalacin mediante el protocolo SCEP (Simple Certificate Enrollment Protocol) SCEP est diseado para ofrecer un acceso simplificado a fin de administrar la distribucin de certificados en implantaciones a gran escala. Esto permite la inscripcin inalmbrica en el iPad de certificados digitales, que se pueden utilizar para la autenticacin del acceso a servicios corporativos, y para la inscripcin en un servidor de Mobile Device Management. Si deseas ms informacin sobre el protocolo SCEP y la inscripcin inalmbrica, visita www.apple.com/ipad/business/resources. Revocacin y eliminacin de certificados Para eliminar manualmente un certificado ya instalado, selecciona Ajustes > General > Perfiles. Si eliminas un certificado necesario para acceder a una cuenta o red, el dispositivo no podr volver a conectarse a esos servicios. Para eliminar certificados inalmbricamente se puede usar un servidor de Mobile Device Management. Este servidor puede ver todos los certificados de un dispositivo y eliminar los que tenga instalados. Adems, el iPad admite el protocolo OCSP (Online Certificate Status Protocol), que sirve para comprobar el estado de los certificados. Cuando se usa un certificado que emplea OCSP, el iPad lo valida para comprobar que no haya sido revocado antes de llevar a cabo la tarea solicitada.

2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad y Safari son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros pases. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compaas. Las especificaciones del producto estn sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422499B-ES

14

El iPad en la empresa Seguridad

El iPad accede a los servicios de la empresa de forma segura y protege los datos que contiene. El iPad ofrece cifrado seguro en la transmisin de datos y mtodos de autenticacin acreditados para acceder a los servicios de la empresa. Adems, todos los datos almacenados en el dispositivo se cifran por hardware. El iPad tambin ofrece proteccin segura mediante el uso de polticas de contrasea que se pueden disear e imponer de forma inalmbrica. Adems, si el dispositivo cayese en malas manos, los usuarios y los administradores de TI pueden enviar una orden de borrado remoto para garantizar que la informacin privada se borra. Cuando nos planteamos la seguridad del iPad para su uso en empresas, es til conocer lo siguiente: Seguridad del dispositivo: mtodos que impiden el uso no autorizado del dispositivo. Seguridad de datos: mxima proteccin de los datos, incluso si el dispositivo se pierde o lo roban. Seguridad de red: protocolos de red y cifrado de los datos transmitidos. Seguridad de aplicaciones: fundamentos de la plataforma segura de iOS. Estas funciones se conjugan para ofrecer una plataforma segura de informtica mvil.

Proteccin de dispositivos Contraseas seguras Caducidad de cdigos Historial de reutilizacin de contraseas Nmero mximo de intentos fallidos Imposicin inalmbrica del uso de contraseas Desactivacin progresiva por contrasea errnea Seguridad de datos Cifrado por hardware Proteccin de datos Borrado remoto Borrado local Perfiles de Configuracin cifrados Copias de seguridad de iTunes cifradas Seguridad de red Integracin de VPN IPSec de Cisco, L2TP y PPTP VPN con SSL mediante apps del App Store SSL/TLS con certificados X.509 WPA/WPA2 Enterprise con 802.1X Autenticacin basada en certificados RSA SecureID y CRYPTOCard Seguridad de la plataforma Proteccin de ejecucin Firma de cdigo obligatoria Servicios de llavero Interfaces API Crypto comunes Proteccin de datos de aplicaciones

Seguridad del dispositivo.

Es importante establecer estrictas polticas de acceso al iPad para proteger la informacin de la empresa. La contrasea de dispositivo es la primera lnea de defensa contra usos no autorizados y se puede configurar e imponer de forma inalmbrica. El iPad emplea la contrasea exclusiva determinada por cada usuario para generar una clave de cifrado segura con la que proteger en mayor medida el correo y los datos confidenciales de las aplicaciones del dispositivo. Adems, el iPad proporciona mtodos seguros de configurar el terminal en entornos empresariales, donde se deben aplicar ciertos ajustes, polticas y limitaciones. Estos mtodos proporcionan opciones flexibles para establecer un nivel de proteccin estndar para los usuarios autorizados. Polticas de contrasea Una contrasea de dispositivo impide que los usuarios sin autorizacin accedan a los datos guardados en el iPad o incluso al dispositivo. iOS 4 permite elegir entre un amplio conjunto de requisitos para contraseas con los que satisfacer las necesidades de seguridad, como periodos de inactividad, solidez de las contraseas y frecuencia de modificacin de la contrasea. Se ofrecen las siguientes polticas de contrasea: Exigencia de contrasea en el dispositivo Autorizacin de valores simples Exigencia de contraseas alfanumricas Longitud mnima de contrasea Nmero mnimo de caracteres complejos Vigencia mxima de contraseas Bloqueo automtico Historial de contraseas Periodo de gracia para bloqueo del dispositivo Nmero mximo de intentos fallidos

15

Imposicin de polticas Las polticas descritas arriba se pueden configurar en el iPad de diversas maneras. Las polticas tambin pueden distribuirse como parte de un Perfil de Configuracin para que lo instalen los usuarios. El perfil se puede definir de modo que solo se pueda borrar con una contrasea de administrador, o para que est ligado al terminal y solo se pueda borrar si se borra todo el contenido del equipo. Adems, los ajustes de contraseas se pueden configurar remotamente mediante soluciones de Mobile Device Management, capaces de transmitir las polticas directamente al dispositivo. Esto permite imponer y actualizar las polticas sin que el usuario deba hacer nada. Opcionalmente, si el dispositivo est configurado para acceder a una cuenta de Exchange de Microsoft, las polticas de Exchange ActiveSync son remitidas de forma inalmbrica al dispositivo. Recuerda que el conjunto disponible de polticas depende de la versin de Exchange (2003, 2007 o 2010). En la Gua de integracin en empresas encontrars un desglose de las polticas admitidas para tu configuracin especfica. Configuracin del dispositivo segura Los Perfiles de Configuracin son archivos XML que contienen las polticas de seguridad y restricciones del dispositivo, la informacin de la configuracin de la red VPN, los ajustes Wi-Fi y las cuentas de correo electrnico y calendarios, as como las credenciales de autenticacin que permiten que el iPad funcione con los sistemas de la empresa. La posibilidad de establecer polticas de contrasea y ajustes de dispositivo con un Perfil de Configuracin garantiza que los dispositivos de la empresa estn correctamente configurados y respeten los estndares de seguridad establecidos por la organizacin. Como los Perfiles de Configuracin se pueden cifrar y bloquear, los ajustes no se pueden eliminar, modificar ni compartir con otros usuarios. Los Perfiles de Configuracin se pueden firmar y cifrar. La firma de un Perfil de Configuracin garantiza que no se puedan modificar los ajustes que establece. El cifrado de un Perfil de Configuracin protege su contenido y solo permite su instalacin en el dispositivo para el que fue creado. Los Perfiles de Configuracin se cifran con CMS (Cryptographic Message Syntax, RFC 3852). Se admiten los algoritmos 3DES y AES 128. La primera vez que se distribuye un Perfil de Configuracin cifrado, se instala mediante sincronizacin USB empleando la utilidad de configuracin, o bien mediante inscripcin inalmbrica. Adems de estos mtodos, la distribucin posterior de Perfiles de Configuracin cifrados se puede realizar mediante un adjunto de correo electrnico, alojado en un sitio web accesible para los usuarios, o bien se enva al dispositivo mediante soluciones de Mobile Device Management. Restricciones del dispositivo Las restricciones de dispositivo determinan qu prestaciones del iPad estn disponibles para los usuarios. Normalmente se aplican a programas con conexin a Internet, como Safari, YouTube o el iTunes Store, pero las restricciones tambin pueden controlar aspectos como la instalacin de aplicaciones o el uso de la cmara. Las restricciones de dispositivo permiten configurar el dispositivo en funcin de los requisitos de cada empresa, de modo que los usuarios lo empleen de acuerdo con las prcticas de la organizacin. Las restricciones pueden configurarse a mano en cada dispositivo, imponerse con un Perfil de Configuracin o establecerse a distancia con soluciones de Mobile Device Management. Adems, las restricciones de navegacin web o del uso de la cmara se pueden aplicar de forma inalmbrica con Exchange Server 2007 y 2010 de Microsoft. Aparte de las restricciones de ajustes y polticas del dispositivo, la aplicacin iTunes se puede configurar y controlar desde el departamento de TI. Esto incluye el bloqueo del acceso a contenido explcito. Para ello se definen los servicios de red disponibles desde iTunes y se determina si se pueden instalar actualizaciones de programas.

Restricciones disponibles Acceso al iTunes Store Acceso a medios explcitos y valoraciones de contenido en el iTunes Store Uso de Safari y preferencias de seguridad Uso de YouTube Uso del App Store y compra desde apps Instalacin de apps Posibilidad de capturar pantallas Sincronizacin automtica en itinerancia Uso de marcacin por voz Imposicin de copias de seguridad de iTunes cifradas Uso de la cmara

16

Seguridad de los datos

La proteccin de los datos almacenados en el iPad es importante para cualquier entorno en el que haya informacin confidencial de la empresa o los clientes. Adems de cifrar los datos transmitidos, el iPad ofrece cifrado por hardware para los datos almacenados en el dispositivo, y cifrado adicional de correos electrnicos y datos de aplicaciones con un nivel superior de proteccin de datos. Si un dispositivo se extrava o es objeto de hurto, es importante desactivarlo y borrar su contenido. Tambin es buena idea instaurar una poltica que borre el dispositivo tras un nmero determinado de intentos fallidos de introduccin de la contrasea, lo cual es una excelente medida disuasoria para evitar el intento de acceso no autorizado al dispositivo. Cifrado El cifrado por hardware del iPad emplea la codificacin AES de 256 bits para proteger los datos del dispositivo. El cifrado est siempre activado y el usuario no lo puede desconectar. Adems, los datos guardados con la copia de seguridad de iTunes en el ordenador del usuario se pueden cifrar. Esto puede ser activado por el usuario o impuesto mediante los ajustes de restriccin del dispositivo de los perfiles de configuracin. Proteccin de datos De forma complementaria a las funciones de cifrado por hardware del iPad, los mensajes de correo electrnico y los adjuntos almacenados en el dispositivo se pueden salvaguardar en mayor medida mediante las prestaciones de proteccin de datos integradas en iOS 4. La proteccin de datos emplea la contrasea exclusiva del dispositivo del usuario en combinacin con el cifrado por hardware del iPad para generar una clave de cifrado segura. Esta clave evita el acceso a los datos cuando el dispositivo est bloqueado, lo que garantiza que la informacin crucial est segura incluso si el dispositivo no lo est. La activacin de la proteccin de datos requiere que los dispositivos existentes sean completamente restaurados desde una copia de seguridad al cambiar a la versin iOS 4. Los nuevos dispositivos entregados con iOS 4 ya presentan esta caracterstica. Para activar la prestacin de proteccin de datos solo es necesario establecer una contrasea en el dispositivo. La eficacia de la proteccin de datos depende de una contrasea segura, por lo que es importante exigir e imponer una contrasea ms fuerte que las de cuatro dgitos al establecer las polticas de contrasea de la empresa. Los usuarios pueden comprobar si la proteccin de datos est activada en su dispositivo consultando la pantalla de ajustes de contrasea. Las soluciones de Mobile Device Management tambin permiten solicitar esta informacin al dispositivo. Estas API de proteccin de datos tambin estn a disposicin de los desarrolladores, y se pueden usar para salvaguardar los datos de aplicaciones comerciales o internas. Borrado remoto El iPad admite la opcin de borrado remoto. Si el terminal se pierde o lo roban, el administrador o propietario puede emitir una orden de borrado remoto que elimina todos sus datos y lo desactiva. Si el dispositivo est configurado con una cuenta de Exchange, el administrador puede iniciar una orden de borrado remoto desde

Desactivacin progresiva por contrasea errnea El iPad se puede configurar para iniciar automticamente un borrado tras varios intentos fallidos de introduccin de la contrasea. Si un usuario introduce repetidamente la contrasea incorrecta, el iPad se bloquear durante periodos cada vez ms prolongados. Tras un nmero determinado de intentos fallidos, se borrarn todos los datos y ajustes del dispositivo.

17

la consola Exchange Management Console (Exchange Server 2007) o Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 o 2007). Los usuarios de Exchange Server 2007 tambin pueden dar la orden de borrado remoto directamente con Outlook Web Access. Las rdenes de borrado remoto tambin se pueden iniciar desde soluciones de Mobile Device Management, incluso si no se usan servicios corporativos de Exchange. Borrado local Los terminales tambin pueden configurarse para iniciar un borrado local automticamente tras varios intentos fallidos de introduccin de la contrasea. Esto protege contra los intentos de forzar el acceso al dispositivo. Cuando se establece una contrasea, los usuarios tienen la posibilidad de activar directamente el borrado local desde los ajustes del iPad. De serie, el iPad borra el dispositivo automticamente despus de 10 intentos fallidos de introduccin de la contrasea. Como con otras polticas de contrasea, el nmero mximo de intentos fallidos se puede establecer mediante un Perfil de Configuracin, con un servidor de Mobile Device Management o de forma inalmbrica con polticas de Exchange ActiveSync de Microsoft.

Protocolos de VPN IPSec de Cisco L2TP/IPSec PPTP VPN con SSL Mtodos de autenticacin Contrasea (MSCHAPv2) RSA SecurID CRYPTOCard Certificados digitales X.509 Secreto compartido Protocolos de autenticacin 802.1X EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Formatos de certificado admitidos El iPad admite los certificados X.509 con claves RSA. Reconoce las extensiones de archivo .cer, .crt y .der.

Seguridad de red
Los usuarios mviles deben ser capaces de acceder a las redes de informacin corporativas desde cualquier lugar del mundo, pero tambin es importante asegurarse de que los usuarios estn autorizados y de que los datos estn protegidos durante la transmisin. El iPad ofrece tecnologas acreditadas para cumplir estos objetivos de seguridad, para conexiones tanto Wi-Fi como de redes de telefona mvil. VPN Muchos entornos empresariales tienen algn tipo de red privada virtual. Estos servicios seguros de red ya estn implantados y suelen requerir una configuracin mnima para funcionar con el iPad. De serie, el iPad se integra con una amplia gama de tecnologas VPN muy extendidas, ya que es compatible con IPSec de Cisco, L2TP y PPTP. Adems, el iPad admite VPN con SSL mediante aplicaciones de Juniper, Cisco y F5 Networks. La compatibilidad con estos protocolos garantiza el mximo nivel de cifrado por IP para la transmisin de informacin confidencial. Adems de permitir el acceso seguro a entornos VPN existentes, el iPad ofrece mtodos acreditados para la autenticacin de usuarios. La autenticacin mediante certificados digitales X.509 estndar ofrece al usuario un acceso optimizado a los recursos de la empresa y constituye una alternativa viable a los tokens por hardware. Adems, la autenticacin con certificado permite al iPad aprovechar las ventajas de VPN por peticin, con lo que el proceso de autenticacin VPN es transparente sin dejar de ofrecer un acceso identificado slido a los servicios de red. Para entornos empresariales en los que se exige un token de doble factor, el iPad se integra con RSA SecurID y CRYPTOCard. El iPad admite la configuracin de proxy de red, as como tnel IP dividido, de modo que el trfico a dominios de red pblicos o privados es remitido en funcin de las polticas de la empresa. SSL/TLS El iPad admite SSL v3 y tambin Transport Layer Security (TLS v1.0), el estndar de seguridad de ltima generacin para Internet. Safari, Calendario, Mail y otras aplicaciones de Internet inician automticamente estos mecanismos para establecer un canal de comunicacin cifrada entre el iPad y los servicios corporativos. WPA/WPA2

18

El iPad utiliza WPA2 Enterprise para ofrecer acceso autenticado a la red inalmbrica de la empresa. WPA2 Enterprise emplea cifrado AES de 128 bits, que ofrece a los usuarios las mximas garantas de que sus datos estarn protegidos al enviar y recibir comunicaciones a travs de la conexin a una red Wi-Fi. Adems, como el iPad es compatible con 802.1X, puede integrarse en un amplio abanico de entornos de autenticacin RADIUS.

Seguridad de aplicaciones
iOS est ntegramente desarrollado para ofrecer la mxima seguridad. Incluye un sistema de jaulas para la proteccin de aplicaciones en tiempo de ejecucin y exige la firma digital para que no se puedan manipular las aplicaciones. iOS tambin cuenta con un entorno protegido que permite guardar con seguridad las credenciales de servicios de aplicaciones y redes en un llavero cifrado. Para los desarrolladores, ofrece una arquitectura de cifrado comn que puede usarse para cifrar almacenes de datos de aplicaciones. Proteccin de ejecucin Las aplicaciones del dispositivo estn enjauladas, de modo que no pueden acceder a datos almacenados por otras aplicaciones. Adems, los archivos, los recursos y el kernel del sistema estn aislados del espacio para aplicaciones del usuario. Si una aplicacin necesita acceder a datos de otra aplicacin, solo puede hacerlo usando las API y los servicios ofrecidos por iOS. Tambin se impide la generacin de cdigo. Firma de cdigo obligatoria Todos los programas para el iPad deben ir firmados. Las aplicaciones que el terminal incluye de serie vienen firmadas por Apple. Las de terceros son firmadas por el desarrollador usando un certificado emitido por Apple. As se garantiza que las aplicaciones no hayan sido manipuladas ni modificadas. Adems, se realizan comprobaciones en tiempo de ejecucin para garantizar que una aplicacin no haya dejado de ser de confianza desde su ltima utilizacin. El uso de aplicaciones personalizadas o internas se puede controlar con un perfil de datos. Los usuarios deben tener este perfil instalado para poder ejecutar la aplicacin en cuestin. Los perfiles de datos se pueden instalar o revocar inalmbricamente mediante soluciones de Mobile Device Management. Los administradores tambin pueden limitar el uso de una aplicacin en determinados terminales. Entorno de autenticacin seguro El iPad proporciona un llavero cifrado seguro donde guardar identidades digitales, nombres de usuario y contraseas. Los datos del llavero se compartimentan para que las credenciales guardadas por aplicaciones de terceros no puedan ser utilizadas por aplicaciones con una identidad diferente. Esto constituye el mecanismo para proteger las credenciales de autenticacin del iPad en una amplia gama de aplicaciones y servicios de la empresa. Arquitectura Crypto comn Los desarrolladores de aplicaciones tienen acceso a API de cifrado que pueden usar para elevar la proteccin de los datos de sus aplicaciones. Los datos se pueden cifrar simtricamente mediante mtodos acreditados, como AES, RC4 o 3DES. Adems, el iPad ofrece aceleracin por hardware para el cifrado AES y el hash SHA1, lo que optimiza el rendimiento de las aplicaciones. Proteccin de datos de aplicaciones Las aplicaciones tambin pueden utilizar el cifrado por hardware integrado en el iPad para proteger en mayor medida sus datos confidenciales. Los desarrolladores pueden designar qu archivos concretos deben protegerse, indicando al sistema que el contenido de esos archivos debe ser inaccesible criptogrficamente para la aplicacin y cualquier intruso potencial cuando el dispositivo est bloqueado.

19

Dispositivo revolucionario y seguro por los cuatro costados

El iPad ofrece proteccin cifrada de datos en trnsito, en reposo y en las copias de seguridad de iTunes. Cuando un usuario accede al correo electrnico corporativo, visita un sitio web privado o se autentica en la red empresarial, el iPad garantiza que solo los usuarios autorizados puedan acceder a la informacin confidencial de la empresa. Adems, gracias a su compatibilidad con las redes empresariales y a sus completos mtodos de prevencin de prdida de datos, el iPad se puede implantar con la tranquilidad que supone emplear un sistema de seguridad de dispositivos mviles y proteccin de datos plenamente acreditado. Si deseas obtener ms informacin y recursos de implantacin para el iPad, visita www.apple.com/es/ipad/business/integration/.

2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad, iTunes y Safari son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros pases. App Store es una marca de servicio de Apple Inc. iTunes Store es una marca de servicio de Apple Inc., registrada en EE. UU. y en otros pases. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compaas. Las especificaciones del producto estn sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422500B-ES

20

El iPad en la empresa Mobile Device Management

El iPad admite el sistema Mobile Device Management (administracin de dispositivos mviles), lo que permite a las empresas administrar implantaciones ampliables del iPad en sus organizaciones. Estas funciones de Mobile Device Management se basan en tecnologas ya existentes en iOS, como los Perfiles de Configuracin, la inscripcin inalmbrica y el servicio de notificacin push de Apple, y se pueden integrar con soluciones de servidor propias o de terceros. Esto permite a los departamentos de TI inscribir de forma segura el iPad en un entorno empresarial, configurar y actualizar ajustes inalmbricamente, supervisar el cumplimiento de las polticas corporativas e incluso bloquear y borrar de forma remota los iPad que estn bajo su administracin.

Administracin del iPad

La administracin del iPad se realiza mediante una conexin con un servidor de Mobile Device Management. Como ya se ha sealado, este servidor se puede adquirir en un proveedor externo. Cuando un servidor de Mobile Device Management quiere comunicarse con un iPad, se enva una notificacin muda al dispositivo para indicarle que se registre en el servidor. El dispositivo se comunica con el servidor para ver si hay tareas pendientes y responde con las acciones oportunas. Estas tareas pueden consistir en actualizar polticas, ofrecer la informacin de dispositivo o de red solicitada, o eliminar ajustes y datos. Las funciones de administracin se realizan en segundo plano, sin intervencin del usuario. Por ejemplo, si un departamento de TI actualiza la infraestructura de su red VPN, el servidor de Mobile Device Management puede configurar el iPad con nuevos datos de cuenta de forma inalmbrica. La prxima vez que el empleado use la red VPN, la configuracin correcta ya estar implantada, por lo que el usuario no necesitar llamar al servicio de asistencia tcnica ni modificar manualmente ningn ajuste. Para ilustrar las funciones de Mobile Device Management, este documento est organizado en cuatro categoras de implantacin: inscripcin, configuracin, consultas y administracin.

Cortafuegos

Servicio de notificaciones push de Apple

Servidor de MDM de terceros

21

Inscripcin
El primer paso para la administracin del iPad es inscribir el dispositivo en un servidor de Mobile Device Management. Esto crea una relacin entre el dispositivo y el servidor, y permite que el dispositivo sea administrado bajo peticin sin la posterior intervencin del usuario. Se puede realizar de forma inalmbrica o conectando el iPad a un ordenador por USB. Como mtodo para inscribir dispositivos en un entorno empresarial de forma segura y ampliable, el iPad admite un proceso llamado inscripcin inalmbrica (Over-the-Air Enrollment). Con este mtodo, la empresa ofrece un portal web seguro en el que los usuarios pueden inscribir sus dispositivos para que sean administrados. De este modo, el servidor puede configurar los dispositivos administrados con las restricciones y los accesos a cuentas correspondientes. Descripcin del proceso El proceso de inscripcin inalmbrica comprende tres fases que, combinadas en un flujo de trabajo automatizado, ofrecen una forma segura de implantar los dispositivos en la empresa. Estas fases son: 1. Autenticacin del usuario La autenticacin del usuario garantiza que las peticiones de inscripcin entrantes provengan de usuarios autorizados, y que la informacin del dispositivo del usuario sea recopilada antes de proceder con la inscripcin del certificado. Los administradores pueden solicitar al usuario que inicie el proceso de inscripcin proporcionndoles una URL por correo electrnico o SMS. 2. Inscripcin de certificado Una vez autenticado el usuario, el iPad genera una peticin de inscripcin de certificado mediante el protocolo SCEP (Simple Certificate Enrollment Protocol). Esta peticin de inscripcin se comunica directamente con la autoridad de certificados (CA) de la empresa y permite que el iPad reciba el certificado de identidad remitido por la CA. 3. Configuracin de dispositivos Una vez instalado un certificado de identidad, el iPad puede recibir informacin de configuracin cifrada de forma inalmbrica. Esta informacin solo se puede instalar en el dispositivo para el que se gener y contiene ajustes que permiten al iPad conectarse al servidor de Mobile Device Management. Al final del proceso de inscripcin, se presentar al usuario una pantalla de instalacin que describe los derechos de acceso del servidor de Mobile Device Management con respecto al dispositivo. Cuando el usuario acepte la instalacin del perfil, el dispositivo quedar automticamente inscrito, sin necesidad de que el usuario vuelva a intervenir.

El iPad y el protocolo SCEP El iPad admite el protocolo SCEP (Simple Certificate Enrollment Protocol). El SCEP es un borrador de Internet del IETF. Est diseado para simplificar la distribucin de certificados en implantaciones a gran escala. Permite la inscripcin inalmbrica de certificados de identidad en el iPad, que se pueden usar para la autenticacin en el acceso a servicios corporativos.

22

Configuracin
Una vez inscrito como dispositivo administrado, se puede usar el servidor de Mobile Device Management para configurarlo dinmicamente con ajustes y polticas. El servidor enva al dispositivo configuraciones, llamadas Perfiles de Configuracin, y se instalan automticamente. Los Perfiles de Configuracin son archivos XML que contienen informacin y ajustes de configuracin que permiten que el iPad use los sistemas de la empresa. Estos datos incluyen informacin de cuentas, polticas de contrasea, restricciones y otros ajustes del dispositivo. Cuando se combina con el proceso ya descrito de inscripcin, la configuracin del dispositivo garantiza al departamento de TI que solo los usuarios de confianza podrn acceder a los servicios corporativos, y que los dispositivos cumplirn las polticas establecidas. Como los perfiles de configuracin se pueden firmar, cifrar y bloquear, los ajustes no se pueden eliminar, modificar ni compartir con otros usuarios.

Ajustes configurables admitidos

Cuentas Exchange ActiveSync Correo electrnico IMAP/POP VPN Wi-Fi LDAP CalDAV CardDAV Calendarios suscritos Restricciones Instalacin de apps Cmara Captura de pantallas Sincronizacin automtica de cuentas de correo en itinerancia Marcacin por voz con dispositivo bloqueado Compras desde aplicaciones Exigencia de copias de seguridad cifradas en iTunes Msica y podcasts explcitos en iTunes Autorizacin de valoraciones de contenido de pelculas, programas de TV y apps YouTube iTunes Store App Store Safari Preferencias de seguridad de Safari

Polticas Exigencia de contrasea Autorizacin de valores simples Exigencia de contraseas alfanumricas Longitud de contrasea Nmero de caracteres complejos Vigencia mxima de contraseas Intervalo previo a bloqueo automtico Nmero de contraseas distintas antes de reutilizacin Otros ajustes Periodo de gracia para bloqueo del Certificados e identidades dispositivo Clips web Nmero de intentos fallidos antes del Ajustes APN borrado Control de la eliminacin del perfil de configuracin por parte del usuario

23

Consulta
Adems de configurar dispositivos, un servidor de Mobile Device Management puede consultar a los dispositivos diversa informacin. Esta informacin se puede emplear para comprobar que los dispositivos sigan cumpliendo las polticas exigidas. El servidor de Mobile Device Management determina la frecuencia con que recopila esta informacin.

Consultas admitidas
Informacin del dispositivo Identificador exclusivo del dispositivo (UDID) Nombre del dispositivo Versin de iOS y build Nombre y nmero de modelo Nmero de serie Capacidad y espacio disponible IMEI Firmware del mdem Informacin de red ICCID Direcciones MAC de Bluetooth y Wi-Fi Red del operador actual Red del operador SIM Versin de ajustes del operador Nmero de telfono Ajuste de itinerancia de datos (activado/ desactivado) Datos de seguridad y cumplimiento Perfiles de Configuracin instalados Certificados instalados con fecha de caducidad Lista de todas las restricciones impuestas Funcin de cifrado por hardware Contrasea presente Aplicaciones Aplicaciones instaladas (identificador de la app, nombre, versin, tamao y volumen de datos de la app) Perfiles de datos instalados con fecha de caducidad

Gestin
Cuando un dispositivo est administrado, el servidor de Mobile Device Management puede llevar a cabo esta tarea mediante un conjunto de acciones especficas.

Acciones admitidas
Borrado remoto Un servidor de Mobile Device Management puede borrar el contenido de un iPad de forma remota. Esta accin eliminar permanentemente la informacin y archivos digitales del iPad, y restaurar su configuracin de fbrica. Bloqueo remoto El servidor bloquea el iPad y exige la contrasea del dispositivo para desbloquearlo. Borrar contrasea Esta accin elimina temporalmente la contrasea del dispositivo para los usuarios que la han olvidado. Si el dispositivo tiene una poltica de exigencia de contrasea, se indicar al usuario que debe crear una nueva. Perfiles de Configuracin y de Datos Para configurar dispositivos y distribuir aplicaciones de desarrollo interno, los servidores de Mobile Device Management pueden aadir y eliminar Perfiles de Configuracin y de Datos de forma remota.

24

Descripcin del proceso

Este ejemplo ilustra una implantacin bsica de un servidor de Mobile Device Management.
1 Cortafuegos

2 4 Servicio de notificaciones push de Apple Servidor de MDM de terceros

Se enva al dispositivo un Perfil de Configuracin que contiene los datos del servidor de Mobile Device Management. El usuario recibe informacin sobre qu ser administrado u objeto de consulta por parte del servidor. El usuario instala el perfil para aceptar que el dispositivo sea administrado. La inscripcin del dispositivo se realiza al instalar el perfil. El servidor valida el dispositivo y permite el acceso. El servidor enva una notificacin push que indica al dispositivo que se registre para llevar a cabo tareas o consultas. El dispositivo se conecta directamente al servidor mediante HTTPS. El servidor enva comandos o solicita informacin.

2 3 4 5

Si deseas ms informacin sobre Mobile Device Management, visita www.apple.com/es/ipad/business/integration.

2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPad, iTunes y Safari son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros pases. App Store es una marca de servicio de Apple Inc. iTunes Store es una marca de servicio de Apple Inc., registrada en EE. UU. y en otros pases. La marca Bluetooth es una marca comercial registrada de Bluetooth SIG Inc., y Apple dispone de licencia para usar dicha marca. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compaas. Las especificaciones del producto estn sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422501B-ES

25

El iPad en la empresa Implantacin de iTunes

Introduccin
Al implantar el iPad en la empresa, es importante valorar el papel desempeado por iTunes. Algunas funciones clave requieren iTunes, empezando por la activacin del dispositivo. Una vez activado, iTunes no es necesario para configurar ni usar el iPad con los sistemas empresariales. No obstante, s es necesario para instalar actualizaciones de programas y crear copias de seguridad, que se utilizan para restaurar la informacin del usuario o transferirla a otro dispositivo. iTunes tambin sirve para sincronizar msica, vdeos, aplicaciones y otros contenidos. Estas funciones de sincronizacin no son necesarias para el uso profesional habitual.
Controles y restricciones de iTunes Al implantar iTunes en la red corporativa, puedes restringir las siguientes funciones de iTunes mediante el registro de Windows o Preferencias del Sistema en Mac OS X: Acceso al iTunes Store Bibliotecas compartidas con ordenadores de la red local que tambin tengan iTunes Reproduccin de contenido explcito de iTunes Reproduccin de pelculas Reproduccin de programas de televisin Reproduccin de radio por Internet Introduccin de una URL de emisin de medios en streaming Suscripcin a podcasts Visualizacin de sugerencias Genius al navegar o reproducir medios Descarga de portadas de lbumes Uso de complementos de Visualizer Deteccin automtica de sistemas Apple TV Comprobacin de nuevas versiones de iTunes Comprobacin de actualizaciones de software del dispositivo Sincronizacin automtica al conectar dispositivos Registro en Apple de nuevos dispositivos Acceso a iTunes (iTunes U)

Se puede elegir entre instalar iTunes en los ordenadores de la empresa o pedir a los empleados que realicen estas funciones desde su ordenador particular. En ambos casos, los datos corporativos estn cifrados y protegidos durante todo el proceso. Si se decide usar iTunes internamente, se puede personalizar la aplicacin para cumplir las necesidades del entorno y las polticas de uso de la empresa. Por ejemplo, se puede adaptar iTunes restringiendo o desactivando servicios de red como el iTunes Store y las bibliotecas compartidas de medios, o bien controlando el acceso a actualizaciones de programas. Tambin se puede implantar iTunes mediante herramientas de implantacin de software de sobremesa administradas de forma centralizada. Para el usuario final, iTunes es fcil de usar. Los usuarios que ya conocen la interfaz de iTunes para administrar contenido y medios fuera del trabajo no tendrn ningn problema para administrar su contenido corporativo desde el iPad.

Uso de iTunes
Activacin Para activar el iPad y poder empezar a usarlo, debe estar conectado a iTunes mediante USB. Como iTunes es necesario para llevar a cabo el proceso de activacin del iPad, hay que decidir si se desea instalar iTunes en el Mac o PC de cada usuario, o si se prefiere completar la activacin de los dispositivos con una instalacin centralizada de iTunes. En ambos casos, el proceso de activacin es rpido y sencillo. El usuario solo tiene que conectar el iPad a un Mac o PC con iTunes y, en cuestin de segundos, el iPad estar activado y listo para su uso. Una vez activado el dispositivo, iTunes ofrece sincronizarlo con el ordenador. Para evitar este paso al activar los dispositivos de los usuarios, puedes usar iTunes en modo de solo activacin. As se desactiva la sincronizacin y las copias de seguridad automticas, y la aplicacin te invita a desconectar el dispositivo en cuanto concluye la activacin. Si deseas instrucciones sobre cmo habilitar el modo de solo activacin, consulta la Gua de integracin en empresas.

26

Sincronizacin de medios Puedes usar iTunes para sincronizar msica, vdeos, fotos y apps, entre otras cosas. Con iTunes es fcil controlar exactamente qu se quiere sincronizar. Tambin indica claramente cunto espacio queda. El iPad solo puede sincronizar cada tipo de datos con un nico ordenador. Por ejemplo, puedes sincronizar la msica con tu ordenador personal y los contactos con el ordenador del trabajo. Para ello basta con configurar iTunes para que realice las sincronizaciones oportunas en cada ordenador. Actualizaciones de software iTunes se usa para actualizar o reinstalar el software del iPad y para restaurar los ajustes por omisin o una copia de seguridad. Las actualizaciones no afectan a las aplicaciones descargadas, a los ajustes ni a los datos. Para actualizar, el usuario simplemente conecta el iPad al ordenador y hace clic en Buscar Actualizacin. iTunes informa al usuario si hay una versin nueva disponible del software del iPad. Si desactivas la comprobacin de actualizaciones automtica e iniciada por el usuario, debers distribuir las actualizaciones para su instalacin manual. Para ello, distribuye el archivo .ipsw asociado a cada versin del software y da instrucciones al usuario para instalar la actualizacin manualmente.
Podcasts de iTunes iTunes permite suscribirse a podcasts de audio y vdeo, y tambin descargarlos. Los podcasts son muy tiles para distribuir muchos contenidos, como materiales de formacin y enseanza, comunicaciones corporativas e informacin de productos. Adems, los podcasts se pueden transferir fcilmente al iPad, de modo que los empleados podrn escucharlos y verlos cuando y donde quieran. El iTunes Store tambin incluye miles de podcasts gratuitos de temas de negocios creados por diversas instituciones, como Harvard Business Review, Wharton y Bloomberg, entre otras.

Copia de seguridad Aunque la sincronizacin de datos para usuarios de empresa normalmente se realiza inalmbricamente mediante servicios corporativos como Exchange ActiveSync, el uso de iTunes para hacer copias de seguridad de los ajustes del iPad es importante si los usuarios necesitan restaurar su dispositivo. Cuando el iPad se sincroniza con iTunes, los ajustes del dispositivo se guardan automticamente en el ordenador. Las aplicaciones adquiridas en el App Store se copian en la biblioteca de iTunes. Las aplicaciones desarrolladas internamente y distribuidas a los usuarios con perfiles de datos de la empresa no forman parte de las copias de seguridad ni se transfieren al ordenador del usuario. No obstante, la copia de seguridad del dispositivo incluir los archivos de datos creados por las aplicaciones de la empresa. Cuando un iPad est configurado para sincronizarse con un ordenador concreto, iTunes hace automticamente una copia de seguridad del iPad cuando se sincroniza con dicho ordenador. iTunes no realizar esta operacin automticamente con un iPad que no est configurado para sincronizarse con ese ordenador. Las copias de seguridad que iTunes hace en el equipo anfitrin se pueden cifrar para impedir prdidas de datos no deseadas en el ordenador anfitrin. Los archivos de copia de seguridad se cifran con AES 128 y una clave de 256 bits. La clave se almacena de forma segura en el llavero del iPad. Al realizar la primera copia de seguridad del iPad, se solicita al usuario que cree una contrasea segura.

Implantacin de iTunes
Instalacin iTunes emplea instaladores estndar de Mac OS y Windows, y se puede implantar mediante muchas de las aplicaciones de administracin de sobremesa habitualmente empleadas por los profesionales de TI. Una vez que se han modificado los ajustes y polticas en el instalador de iTunes, la aplicacin puede implantarse del mismo modo que el resto de las aplicaciones de la empresa.

27

Al instalar iTunes en ordenadores con Windows, por omisin tambin se instala la ltima versin de QuickTime, Bonjour y Actualizacin de Software de Apple. Se pueden omitir los componentes Bonjour y Actualizacin de Software definiendo los parmetros en el instalador de iTunes, o bien enviando a los ordenadores de los usuarios nicamente los componentes oportunos. No obstante, el componente QuickTime es necesario, y iTunes no funcionar sin l. Los ordenadores Mac incluyen iTunes de serie. Para enviar iTunes a los clientes Mac, puedes usar Workgroup Manager, una herramienta administrativa incluida en Mac OS X Server.

2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, Apple TV, Bonjour, iPad, iTunes, iTunes U, Mac, Mac OS y QuickTime son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros pases. App Store es una marca de servicio de Apple Inc. iTunes Store es una marca de servicio de Apple Inc., registrada en EE. UU. y en otros pases. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compaas. Las especificaciones del producto estn sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple renuncia a cualquier responsabilidad relacionada con su uso. Marzo de 2011 L422502B-ES