iPhone en entreprise
Scénarios de déploiement et introduction à la conguration iPhone Juillet 2008
Découvrez comme iPhone s’intègre naturellement dans les environnements des entreprises grâce à ces scénarios de déploiement et à cette introduction à la conguration iPhone. • iPhone et Microsoft Exchange Server • iPhone et réseaux privés virtuels (VPN) • iPhone et WPA2 Enterprise/802.1x • iPhone et IMAP • Introduction à la conguration iPhone
�2
iPhone et Microsoft Exchange Server
Le logiciel iPhone 2.0 communique directement avec votre serveur Microsoft Exchange via Microsoft Exchange ActiveSync, o!rant ainsi aux utilisateurs un courrier électronique, des contacts et un calendrier en mode “push” Exchange ActiveSync maintient une connexion entre le serveur . Exchange et iPhone de manière à ce qu’iPhone soit actualisé instantanément lors de la réception d’un message électronique ou de l’invitation à une réunion. Si votre entreprise prend en charge Exchange ActiveSync sur Exchange Server 2003 ou 2007, vous disposez déjà des services nécessaires à la prise en charge du logiciel iPhone 2.0 et aucune conguration supplémentaire n’est requise. Si vous disposez d’un serveur Exchange mais que votre entreprise n’utilise pas encore Exchange ActiveSync, e!ectuez les étapes suivantes pour activer Exchange ActiveSync.
Conguration d’Exchange ActiveSync
Conguration du réseau
• Assurez-vous que le port 443 est ouvert sur le pare-feu. (Remarque : si votre entreprise utilise
Prise en charge d’Exchange ActiveSync • Microsoft Exchange Server 2003 Service Pack 2 • Microsoft Exchange Server 2007 Service Pack 1 Outlook Web Access, le port 443 est probablement déjà ouvert.) • Vériez qu’un certicat de serveur est installé sur le serveur Exchange frontal et activez le protocole SSL pour le répertoire virtuel Exchange ActiveSync (nécessite une authentication SSL de base). • Sur le serveur Microsoft Internet Security and Acceleration (ISA), vériez qu’un certicat de serveur est installé et mettez à jour le serveur DNS public de manière à ce qu’il résolve correctement les connexions entrantes. • Sur le serveur ISA, créez un écouteur web ainsi qu’une règle de publication d’accès pour client Web Exchange conformément à la documentation Microsoft. Cette étape est nécessaire à l’activation d’Exchange ActiveSync. • Pour tous les pare-feu et équipements réseau, dénissez à 30 minutes le délai d’attente en cas de session inactive. (Consultez la documentation Microsoft Exchange pour en savoir plus sur les autres intervalles de pulsations et de délai d’attente). Conguration du compte Exchange Les fonctionnalités Exchange ActiveSync sont activées par défaut sur tous les appareils mobiles au niveau organisationnel dans Exchange Server 2003 et Exchange Server 2007. • Activez Exchange ActiveSync pour certains utilisateurs ou groupes à l’aide du service Active Directory. (Pour Exchange Server 2007, cette opération s’e!ectue à l’aide de l’option Conguration du destinataire dans la console Exchange Management.) • Congurez les fonctionnalités, les stratégies et les réglages en matière de sécurité des appareils mobiles à l’aide d’Exchange System Manager. (Pour Exchange Server 2007, ces fonctionnalités et ces paramètres sont congurés dans la console Exchange Management.)
• • • • • •
Politiques de sécurité Exchange ActiveSync Réinitialisation à distance (Remote Wipe) Imposer le mot de passe sur l’appareil Longueur de mot de passe minimum Mot de passe alphanumérique requis Mot de passe complexe requis Temps d’inactivité en minutes
• Pour Exchange Server 2003, téléchargez et installez l’outil Microsoft Exchange ActiveSync Mobile
Administration Web Tool, qui est nécessaire pour lancer une réinitialisation à distance. (Pour Exchange Server 2007, une réinitialisation à distance peut être lancée à l’aide d’Outlook Web Access ou de la console Exchange Management).
�3
Scénario de déploiement d’Exchange ActiveSync
Cet exemple montre comment iPhone se connecte à un déploiement Microsoft Exchange Server 2003 ou 2007 standard.
Firewall Firewall
Active Directory
3
1 Microsoft ISA Server Internet
2 Client Access or Front-End Server 4
6 Mail Gateway or Edge Transport Server* Bridgehead or Hub Transport Server
5 Exchange Mailbox or Back-End Server(s)
*Selon la conguration de votre réseau, le serveur Mail Gateway ou Edge Transport peut résider dans la zone démilitarisée (DMZ).
1
iPhone demande l’accès aux services Exchange ActiveSync via le port 443 (HTTPS). (Il s’agit du même port utilisé pour Outlook Web Access et d’autres services web sécurisés. Dans de nombreux déploiements, ce port est donc déjà ouvert et conguré pour autoriser un trac HTTPS avec cryptage SSL.) ISA o!re un accès au serveur frontal Exchange ou Client Access Server. ISA est conguré comme un proxy ou, dans de nombreux cas, comme un proxy inverse, pour acheminer le trac vers le serveur Exchange. Le serveur Exchange identie l’utilisateur entrant à l’aide du service Active Directory. Si l’utilisateur saisit les informations d’identication correctes et a accès aux services Exchange ActiveSync, le serveur frontal établit une connexion à la boîte de réception correspondante sur le serveur principal (via le catalogue global Active Directory). La connexion Exchange ActiveSync est établie. Les mises à jour/modications sont envoyées en mode “push” (“Over The Air” OTA) sur votre iPhone, et les changements apportés à iPhone sont répercutés sur le serveur Exchange. Les e-mails envoyés vers iPhone sont également synchronisés avec le serveur Exchange via Exchange ActiveSync (étape 5). Pour acheminer le courrier électronique sortant vers des destinataires externes, celui-ci est généralement envoyé par le biais d’un serveur Bridgehead (ou Hub Transport) vers une passerelle Mail (ou Edge Transport) externe via SMTP. Selon la conguration de votre réseau, la passerelle Mail ou Edge Transport externe peut résider dans la DMZ ou à l’extérieur du pare-feu.
2
3 4
5
6
�4
iPhone et réseaux privés virtuels (VPN)
iPhone permet un accès sécurisé aux réseaux privés d’entreprise en utilisant les principaux protocoles VPN. Le logiciel iPhone 2.0 prend en charge Cisco IPSec, L2TP sur IPSec et PPTP. Si votre organisation prend en charge l’un de ces protocoles, aucune conguration réseau ni application de tierce partie n’est nécessaire pour connecter iPhone à votre VPN. Les déploiements Cisco IPSec peuvent bénécier de l’authentication par certicats à l’aide de certicats numériques x.509 standard de l’industrie (PKCS1, PKCS12). Pour l’authentication à deux facteurs, iPhone prend en charge RSA SecurID et CRYPTOCard. Les utilisateurs saisissent leur code PIN et leur mot de passe à utilisation unique généré par jeton directement sur leur iPhone lorsqu’ils établissent une connexion VPN. iPhone prend en charge l’authentication par secret partagé pour les déploiements Cisco IPSec et L2TP/IPSec. En ce qui concerne l’authentication par nom d’utilisateur et mot de passe simple, iPhone prend en charge MS-CHAPv2. Quelle que soit la méthode d’authentication utilisée, des paramètres VPN prédénis peuvent être transmis aux utilisateurs via un prol de conguration ou saisis directement dans iPhone.
Protocoles VPN • Cisco IPSec • L2TP/IPSec • PPTP Méthodes d’authentication Mot de passe (MS-CHAPv2) RSA SecurID CRYPTOCard Certicats (PKCS1, PKCS12) Authentication par secret partagé
Conguration VPN
• iPhone s’intègre à la plupart des réseaux VPN existants. La conguration nécessaire pour qu’un iPhone puisse accéder à votre réseau doit donc être minimale. La meilleure manière de préparer le déploiement consiste à vérier si les protocoles VPN et les méthodes d’authentication utilisés par votre entreprise sont pris en charge par iPhone. • Assurez-vous que vos concentrateurs VPN sont bien compatibles avec les normes. Il est aussi recommandé de vérier le chemin d’authentication jusqu’à votre serveur RADIUS ou VPN pour vous assurer que les normes prises en charge par iPhone sont activées au sein de votre implémentation. • Si vous comptez utiliser l’authentication par certicats, assurez-vous que votre infrastructure à clé publique est congurée de manière à prendre en charge les certicats d’appareil et d’utilisateur avec le processus de distribution de clés correspondant. • Vériez que le format des certicats est compatible avec le serveur d’authentication. iPhone prend en charge PKCS1 (.cer, .crt, .der) et PKCS12 (.p12, .pfx). • Vériez auprès de votre fournisseur de solutions que les derniers correctifs de sécurité et programmes internes sont bien installés sur vos logiciels et votre équipement. • Des informations complémentaires sur le protocole et les spécications Cisco IPSec sont disponibles à l’adresse www.cisco.com.
• • • • •
�5
Scénario de déploiement VPN
Cet exemple présente un déploiement standard avec un serveur/concentrateur VPN et avec un serveur d’authentication VPN contrôlant l’accès aux services réseau de l’entreprise.
Authentication Token 3a Firewall VPN Authentication Server Token Generation Firewall 3b Directory Server
2
1 Internet VPN Server/Concentrator
4 Network Services
1 2 3a
iPhone demande l’accès aux services réseau (généralement via une connexion PPP). Le serveur/concentrateur VPN reçoit la requête, puis la transmet au serveur d’authentication. Dans un environnement d’authentication à deux facteurs, le serveur d’authentication génère alors un jeton synchronisé en temps avec le serveur de clés. Si une méthode de certicat ou de mot de passe est déployée, le processus d’authentication procède à l’identication de l’utilisateur.. Une fois l’utilisateur identié, le serveur d’authentication valide les stratégies d’accès réseau d’utilisateur et de groupe. Une fois les stratégies d’utilisateur et de groupe validées, le serveur VPN autorise un accès crypté par tunnel aux services réseau (généralement via IPSec).
3b 4
�6
iPhone et WPA2 Enterprise/802.1x
La prise en charge par le logiciel iPhone 2.0 du protocole WPA2 Enterprise permet de s’assurer que l’on accède aux réseaux sans l de manière sécurisée sur iPhone. WPA2 Enterprise utilise le cryptage AES à 128 bits, une méthode de cryptage par blocs qui a fait ses preuves et qui confère à la protection des données d’entreprise un haut degré d’assurance. Avec la prise en charge de l’authentication 802.1x, iPhone peut s’intégrer dans une grande variété d’environnements de serveur RADIUS. Les méthodes d’authentication sans l 802.1x, telles que EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 et LEAP, sont prises en charge. Pour faciliter la conguration et le déploiement, les paramètres de réseau, de sécurité et d’authentication WPA2 Enterprise peuvent être dénis à l’aide de prols de conguration. Pour plus d’informations, consultez le document d’introduction à la conguration iPhone.
• • • • •
Protocoles de sécurité sans l WEP WPA Personal WPA Enterprise WPA2 Personal WPA2 Enterprise Méthodes d’authentication 802.1x EAP-TLS EAP-TTLS EAP-FAST PEAPv0 (EAP-MS-CHAPv2) PEAPv1 (EAP-GTC) LEAP
Conguration du protocole WPA2 Enterprise
• Vériez que les équipements réseau sont compatibles et sélectionnez un type d’authentication (type EAP) pris en charge par iPhone. • Assurez-vous que 802.1x est activé sur le serveur d’authentication et, si nécessaire, installez un certicat de serveur et assignez des permissions d’accès réseau aux utilisateurs et groupes. • Congurez des points d’accès sans l pour l’authentication 802.1x et saisissez les informations sur le serveur RADIUS correspondantes. • Testez votre déploiement 802.1x avec un Mac ou un PC pour vous assurer que l’authentication RADIUS est congurée correctement. • Si vous comptez utiliser l’authentication par certicats, assurez-vous que votre infrastructure à clé publique est congurée de manière à prendre en charge les certicats d’appareil et d’utilisateur avec le processus de distribution de clés correspondant. • Vériez que le format des certicats est compatible avec le serveur d’authentication. iPhone prend en charge PKCS1 (.cer, .crt, .der) et PKCS12 (.p12, .pfx). • Vériez auprès de votre fournisseur de solutions que les derniers correctifs de sécurité et programmes internes sont bien installés sur vos logiciels et votre équipement. • Des informations complémentaires sur les protocoles réseau sans l et sur le protocole Wi-Fi Protected Access (WPA) sont disponibles à l’adresse www.wi-.org.
• • • • • •
�7
Scénario de déploiement WPA2/802.1x Enterprise
Cet exemple présente un déploiement sans l sécurisé standard tirant parti de l’authentication RADIUS.
Authentication Server with 802.1x Support (RADIUS) Firewall Directory Server
3
2
1 Wireless Access Point with 802.1x Support
4 Network Services
Certicate or Password Based on EAP Type
1
iPhone demande l’accès aux services réseau. En sélectionnant un réseau sans l ou en congurant l’accès à un SSID spécique, iPhone lance la connexion. Lorsque le point d’accès reçoit la requête, celle-ci est transmise au serveur RADIUS pour authentication. Le serveur RADIUS identie le compte utilisateur à l’aide du service d’annuaire. Une fois l’utilisateur identié, le point d’accès ouvre l’accès réseau en fonction des stratégies et des autorisations dénies par le serveur RADIUS.
2 3 4
�8
iPhone et IMAP
Grâce à la prise en charge du protocole de messagerie IMAP, l’iPhone peut s’intégrer à pratiquement tout environnement de serveur de messagerie. Si le serveur prend en charge le protocole IMAP et est conguré pour demander l’identication de l’utilisateur et l’application du protocole SSL, iPhone o!re une approche hautement sécurisée et standardisée du déploiement de courrier électronique. Lors d’un déploiement standard, iPhone établit un accès direct à un serveur IMAP via le port 993 et à des serveurs SMTP via le port 587. Ces serveurs peuvent se trouver au sein d’un sous-réseau de zone démilitarisée, derrière un pare-feu d’entreprise ou les deux. Avec SSL, iPhone prend en charge le cryptage 128 bits et les certicats racine X.509 émis par les principales autorités de certicat. iPhone prend également en charge des méthodes d’authentication informatiques fortes, notamment MD5 Challenge-Response et NTLMv2.
Solutions de courrier électronique IMAP ou POP L’iPhone prend en charge les solutions de courrier électronique IMAP4 et POP3 sur une large gamme de systèmes d’exploitation, y compris Windows, UNIX, Linux et Mac OS X. Des informations complémentaires sur le protocole IMAP4rev1 sont disponibles à l’adresse www.imap.org.
Conguration du réseau IMAP
L’administrateur informatique ou réseau devra e!ectuer ces étapes essentielles pour permettre un accès direct à une solution de courrier électronique IMAP à partir d’iPhone. • Ouvrir le port 993 pour permettre la réception du courrier électronique via le pare-feu. Le serveur proxy doit être conguré de manière à utiliser IMAP sur SSL. Le protocole SSL garantit la sécurité du cryptage du courrier électronique lors de la transmission sans l. • Pour une meilleure protection, une bonne pratique consiste à installer sur le serveur un certicat numérique émis par une autorité de certicat (AC) de conance telle que VeriSign. L’installation d’un certicat émis par une AC est essentielle dans le processus de vérication de votre serveur proxy en tant qu’entité de conance au sein de l’infrastructure de votre entreprise. • Les ports 587, 465 ou 25 doivent être ouverts pour permettre l’envoi du courrier électronique à partir d’iPhone. iPhone vérie automatiquement le port 587, puis le port 465, et enn le port 25. Le port 587 est le port le plus able et le plus sûr car il nécessite l’identication de l’utilisateur. Le port 25 o!re le moins de sécurité car il est utilisé depuis de nombreuses années et susceptible d’être plus attaqué par des pirates. Il s’agit également du port que les FAI bloquent par défaut pour empêcher l’envoi de courrier indésirable.
�9
Scénario de déploiement IMAP
Réception du courrier électronique
Firewall Firewall 3 2 Directory Server
1 Proxy Server Internet 5
4 Mail Server(s)
1 2
iPhone demande l’accès au courrier électronique via le port 993 (IMAP/SSL). L’utilisateur d’iPhone doit ensuite être identié par le réseau d’entreprise. Cette tâche est e!ectuée par le serveur proxy, qui agit comme une passerelle sécurisée. Le serveur proxy vérie les informations de compte à l’aide du service d’annuaire. Une fois l’utilisateur identié, le serveur proxy transmet la requête au serveur de messagerie. Les messages et les mises à jour sont récupérés et renvoyés via le port 993. L’utilisateur peut ainsi consulter les nouveaux messages et a"cher les mises à jour de la boîte de réception sur iPhone.
3 4 5
Envoi du courrier électronique
Firewall Firewall 3 2 Directory Server
1 Proxy Server Internet
4 Mail Server(s)
5 Mail Transfer Agent
1 2 3 4
Le courrier électronique envoyé est acheminé via le port 587 (SSL/TLS). Les requêtes de courrier électronique envoyées sont ensuite acheminées via le serveur proxy. Le serveur proxy lance le processus d’authentication à l’aide du service d’annuaire. Une fois l’utilisateur identié, le message est acheminé via le serveur de messagerie et une copie est placée dans le dossier des messages envoyés. Le message est ensuite acheminé par l’agent de transfert de courrier, puis par le port 587 jusqu’au destinataire externe via SMTP (SSL/TLS).
5
�10
Introduction à la conguration iPhone
Le logiciel iPhone 2.0 facilite de déploiement d’iPhone dans votre entreprise. Les appareils iPhone peuvent être congurés via les prols de conguration créés et distribués par votre département informatique. Les prols de conguration sont des chiers XML qui, une fois installés, fournissent des informations qu’iPhone peut utiliser pour se connecter avec les systèmes de votre entreprise.
Composants du prol de conguration
Paramètres Exchange Spéciez le serveur, le domaine et les informations de compte dans un prol de conguration an de permettre à vos utilisateurs de saisir simplement un mot de passe pour se connecter via Microsoft Exchange ActiveSync. Paramètres sans l Que vous conguriez iPhone pour vous connecter à un réseau privé ou pour une authentication RADIUS à des points d’accès sans l d’une entreprise, les prols de conguration peuvent être déployés pour simplier ces connexions. Paramètres VPN Congurez les paramètres du serveur VPN, les comptes, les proxies, les certicats, les jetons, les mots de passe, les groupes et les secrets partagés de vos réseaux privés d’entreprise. Paramètres du courrier électronique Congurez les paramètres de messagerie IMAP ou POP, y compris les serveurs de messagerie entrant et sortant. Politiques de code d’appareil Protégez les données de votre entreprise en dénissant des stratégies de code d’accès. Dénissez le nombre minimum de caractères, le nombre de caractères complexes requis, la durée maximum du code, le verrouillage par code d’accès et le nombre maximum de tentatives. Certicats Vériez l’identité de vos utilisateurs et contrôlez l’accès aux services cruciaux de l’entreprise tels que les réseaux VPN et WPA2 Enterprise/802.1x d’iPhone. Déployez des certicats aux formats natifs PKCS1 (.cer, .crt, .der) et PKCS12 (.p12, .pfx). Signatures Ajoutez une identité à votre prol de conguration an que vos utilisateurs soient certains que ce prol provient d’une source de conance.
�11
1 Create Conguration Prole (XML)
2 Distribute Prole via Email or Website
3 Install Prole on iPhone
1
Création de prols
Utilitaire de conguration iPhone Application simple et intuitive destinée aux administrateurs informatiques, iPhone Conguration Utility vous permet de créer facilement des prols de conguration. L’utilitaire de conguration iPhone est disponible sous forme d’une application web ou d’une application bureautique native pour Mac OS X.
2
Distribution de prols
Site web sécurisé • Exportez le prol à partir d iPhone Conguration Utility. • Ajoutez le type MIME approprié à votre serveur web. application/x-apple-aspen-cong mobilecong • Hébergez le prol de conguration (non compressé) sur un site sécurisé accessible aux utilisateurs. Pièce jointe d’e-mail • Exportez le prol à partir d’ iPhone Conguration Utility. • Joignez le prol de conguration (non compressé) à un e-mail et envoyez-le aux utilisateurs.
3
Installation des prols
Installation sur iPhone • Si le prol est hébergé sur le Web, accédez au site web à l’aide de Safari sur iPhone, et touchez le chier pour lancer l’installation sur iPhone. • Sur iPhone, vous pouvez installer les prols de conguration envoyés sous forme de pièces jointes à un e-mail en touchant le chier directement dans le corps du message dans l’application Courrier. • Touchez Installer pour accepter les paramètres. Lors de l’installation, les utilisateurs sont invités à saisir les informations requises (par exemple, les mots de passe de comptes) an de terminer la conguration de l’appareil.
© 2008 Apple Inc. Tous droits réservés. Apple, le logo Apple, iTunes, Mac, Mac OS et Safari sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iPhone est une marque d’Apple Inc. Les noms d’autres produits et sociétés mentionnés dans ce document sont des marques appartenant à leurs propriétaires respectifs. Les caractéristiques des produits peuvent être modiées sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Juillet 2008 L372760B
�