Eindgebruikers zijn gek op de iPhone, maar de ict-afdeling is dat niet. De grootste bezwaren: de iPhone kan niet beheerd worden met security- en toegangspolicies zoals dat wel kan met een Blackberry. Bedrijven kunnen Blackberry Enterprise Server of Motorola Good for Enterprise aanschaffen om hun gebruikersprofielen van afstand te beheren. Zo kun je ervoor zorgen dat eindgebruikers zich houden aan wachtwoordseisen, encryptiepolicies, beperkingen op app-installatie enzovoorts. Je kunt ook hun email, VPN en andere instellingen voorconfigureren om de directe implementatie minder arbeidsintensief te maken.

Apple biedt al een tijdje zijn gratis iPhone Configuration Utility aan voor zowel Windows als Mac, en daarmee kan de ict-afdeling profielen installeren en configureren op een soortgelijke manier als met de Blackberry. Helaas komt het met zijn gebrek aan draadloos bereik en fijnzinnigheid in de controle, en ook qua zichtbaarheid niet in de buurt van Blackberry Enterprise Server. Daardoor wordt de iPhone Configuration Utility dikwijls afgedaan als een speelgoedapplicatie.

Maar kortgeleden heeft Apple het iPhone 3.0 besturingssysteem uitgebracht, en deze biedt verbeterde ondersteuning voor Microsoft Exchange ActiveSync-policies. Tegelijkertijd is de iPhone Configuration Utility 2.0 uitgekomen, met veel nieuwe mogelijkheden op het gebied van beheer en beveiliging. Is de iPhone dan eindelijk te beheren in dezelfde mate als de Blackberry of apparaten op basis van Windows Mobile?

Om deze vraag te beantwoorden heeft ons testcentrum zowel de iPhone Configuration Utility 2.0 als de combinatie Exchange ActiveSync-iPhone getest om te zien hoe goed het allemaal werkt, en wat voor ict-omgevingen en bedrijven hiermee uit de voeten kunnen -- en welke niet.

Kort antwoord: elke tool heeft belangrijke functies die ontbreken bij de ander. We gebruiken dan ook het liefst een combinatie van beiden om onze verzameling aan iPhones en iPod Touches te beheren. Voor omgevingen waarin geen Exchange draait geldt voor het beheer met louter de utility één cruciaal probleem: bij diefstal of verlies van de iPhone is het niet mogelijk om het apparaat van afstand te wissen, of om te zien of het apparaat überhaupt gewist wordt. Maar het beheer van de iPhones via Exchange is geen substituut voor de Configuration Utility.

Krachtig, maar niet schaalbaar

Apple heeft zijn gratis iPhone Configuration Utility opgewaardeerd naar versie 2.0 op het moment dat het iPhone 3.0 OS uitgebracht werd. Het biedt een uitgebreide keus aan policy-opties waarmee de ict-afdeling veel controle krijgt over de iPhones en iPod Touches. De gebruiksinterface is eenvoudig in het gebruik. Verschillende mogelijkheden zijn onderverdeeld in "payload"-sets waartussen je kunt wisselen tussen de configuratieprofielen. En ze werken echt, de regels worden streng toegepast op de client-apparaten.

Je kunt de policies zo instellen dat om een adminwachtwoord wordt gevraagd om een policy te kunnen verwijderen, of je kun die functie helemaal uitschakelen; om een policy dan nog te verwijderen, moet de sysadmin het apparaat fysiek aansluiten aan je PC of Mac en de Remove-functie gebruiken in de Configuration Utility. Dat is pas echte controle van de ict-afdeling.

De utility heeft de wachtwoordfuncties die je zou verwachten van een dergelijke tool, en biedt ook de nodige restricties om uit te kiezen. Daaronder bijvoorbeeld het minimum aantal karakters, het niet toestaan van herhalende patronen, verplichten van symbolen, vernieuwingscyclus en de tijd dat een apparaat ongebruikt mag zijn voordat je opnieuw een wachtwoord in moet voeren. Een sleutelfunctie is de mogelijkheid om in te stellen na hoeveel mislukte invoerpogingen het apparaat schoongeveegd dus gebrickt wordt. De iPhone kan dan nog wel naar alarmnummers bellen, maar daar blijft het dan ook bij.

Als je je zorgen maakt over de niet-werkgerelateerde activiteiten van je eindgebruikers, dan kun je toegang tot content, Safari, YouTube en/of iTunes, de mogelijkheden om apps te installeren en de camera beperken of blokkeren. Maar mocht je specifieke applicaties willen blokkeren, dan zit je verkeerd; dat kan helaas niet. De enige manier om zoiets voor elkaar te krijgen, is door eerst de toegestane apps zelf te installeren, om vervolgens de mogelijkheid om zelf apps te installeren uit te zetten. Daarmee schakel je ook de auto-updates uit.

Je kunt ook de credentials installeren via de profielen, en dat is handig als je die wilt doorvoeren voor email- en VPN-toegang, in plaats van dezelfde plaintext-wachtwoorden die gebruikers overal voor gebruiken. Andere instellingen waar je mee aan de slag kunt, zijn de LDAP-informatie, kalenderfuncties en de standaard Web-clip, een webpagina die als een soort app op het Home-scherm komt.

Je kunt meerdere configuraties aanmaken, en meerdere configuraties toepassen op afzonderlijke apparaten. Je kunt de instellingen dus als een soort lagen aanbrengen in plaats van dat je een zelf ingesteld profiel moet gaan maken voor elk apparaat. Zo kan iedere eindgebruiker een profiel krijgen met Exchange, LDAP, wachtwoord en applicatietoegang krijgen die voldoen aan de bedrijfstandaard. Je kunt dan afzonderlijke gebruikers daarbovenop een VPN-profiel geven, terwijl je weer anderen juist een Wi-Fi-profiel geeft waarmee ze alleen toegang kunnen krijgen tot specifieke punten.

Let wel even op bij het openen van de payload-instellingen, en ze vervolgens niet afsluit (het minnetje). Het profiel bevat dan namelijk alle null-waardes, wat feitelijk de toegang van de gebruikers tot die instellingen wegneemt. Dit mechanisme kun je moedwillig gebruiken voor het bijvoorbeeld weigeren dat een gebruiker een Wi-Fi-verbinding legt, en wel door toegang te 'verlenen' aan 'null' SSID's. Maar al snel blokkeer je per ongeluk toegang tot dingen die geen kwaad kunnen.

De payload-controle is over het algemeen secuur te noemen, en biedt een breed scala aan configuratiemogelijkheden. Maar controle over de meer fijne instellingen heb je helaas weer niet, zoals het aan/uitschakelen van JavaScript, of dat de gebruiker encryptie dient te gebruiken bij het back-uppen naar iTunes.

De Wi-Fi-instellingen maken het ook niet mogelijk om een algemene minimumeis te stellen aan de verbindingsbeveiliging (zoals WPA2). Je kunt dat alleen per SSID doen, en dat is jammer.

Maar het grootste minpunt aan de iPhone Configuration Utility is de manier waarop het de instellingen beheert. Dit is een breekpunt voor grote bedrijven die zich aan complianceregels moeten houden, of voor welke het mogelijk moet zijn om instellingsprofielen van afstand of via het netwerk te installeren of op te waarderen.

Je kunt de profielen gemakkelijk delen door ze te e-mailen of te plaatsen op een website. Als de gebruikers op het bijvoegsel of linkje klikken, wordt het profiel geïnstalleerd. Maar het is onmogelijk om ze te verplichten het profiel te installeren. Zelfs al doen de gebruikers het braaf, je krijgt daar geen bericht over.

De Configuration Utility werkt goed bij het aanmaken van de profielen. Het is een redelijke tool voor bedrijven om mobiele apparaten mee klaar te stomen, en je kunt de profielen snel en eenvoudig via een usb-ingang erop zetten.

In sommige gevallen kun je prima af met de via e-mail verstuurde of op het web geplaatste profielen. Gebruikers zullen het immers niet laten om deze te installeren als het de enige manier is om toegang te krijgen tot mail en VPN. Dat kan genoeg zijn voor bedrijven die niet te maken hebben met strenge complianceregels, maar deze 'ze installeren het wel omdat ze moeten'-strategie is niet ideaal. Je moet namelijk nog steeds de updates beheren, en dat is al lastiger dan de draconische hordes die de toegang tot het bedrijfsnetwerk al kan opwerpen.

Exchange ActiveSync: een beetje policy met flink bereik

De policies voor Exchange ActiveSync die de iPhone ondersteunt, zijn een heel stuk beperkter dan die voor de iPhone Configuration Utility. Met zowel Exchange Server 2003 als Exchange Server 2007 kun je het gebruik van een wachtwoord op het apparaat afdwingen, je kunt de complexiteitseisen van een wachtwoord instellen, en hoe vaak de gebruiker hem moet vervangen. Daarnaast kun je instellen hoe lang een apparaat ongebruikt mag blijven voordat een nieuw wachtwoord wordt gevraagd, en ook hier kun je het aantal pogingen instellen voordat het apparaat wordt gewist.

Maar de enige functie die je met de ActiveSync-policies apart kunt uitschakelen, is de camera, en zelfs dat kan alleen met Exchange Server 2007. Je krijgt geen controle over Safari, YuoTube, iTunes of de App Store, om maar te zwijgen over Wi-Fi, VPN, LDAP en de kalenderfuncties. Dit is dus absoluut geen vervanging voor de utility.

ActiveSync brengt de beheerder wel één cruciale functie die de Configuration Utility niet biedt: met een druk op de knop kun je alle gevoelige gegevens van het apparaat verwijderen, waar de iPhone zich ook bevindt. Deze 'killswitch' is beschikbaar voor zowel Exchange Server 2003 als Exchange Server 2007, maar alleen met 2007 kan de gebruiker er ook wat mee. Die kan daar toegang krijgen tot de functie via Outlook Web Access. Dat kan een goed idee zijn, omdat de gebruiker de eerste is die opmerkt dat zijn iPhone is verdwenen, maar je kunt het als beheerder ook voor de zekerheid uitzetten.

We hebben een paar Remote Wipes geprobeerd met Exchange Server 2007, en het werkt probleemloos. Apple waarschuwt dat oudere modellen iPhones er tot een uur per 8 gigabyte kunnen doen over het wissen, maar onze 3G-toestellen (1GB data, met iPhone OS 2.2 of 3.0) waren binnen tien minuten tot een kwartier leeg en klaar om opnieuw in te stellen. De status van het wissen wordt via de beheerconsole van Exchange gemeld, en je krijg een e-mailtje als het geheel is geslaagd.

Als je het praktisch bekijkt, is de Configuration Utility waarschijnlijk even effectief tegen het verlies van een iPhone als Exchange Server. Je stelt immers het wachtwoord in, en na vijf of zes mislukte pogingen wordt het ding alsnog gebrickt. Maar het is toch handig om een wipe gedocumenteerd te hebben, en veel bedrijven nemen geen genoegen met minder dan dat.

Apple-Exchange komt dichterbij

Alleen al om die reden kun je dus concluderen dat de beste beheermethode van de iPhone een combinatie is van de Configuration Utility en Exchange ActiveSync. Maar zelfs samen bieden ze niet de controle die beheerders gewend zijn van de Blackberry. Als Apple een doorbraak in het bedrijfsleven wil forceren, dan moet het bedrijf meer tussenmogelijkheden bieden; niet alleen de keuzes "alle apps of geen" of "Safari altijd aan of altijd uit".

Belangrijker nog is dat Apple het ding beheerbaar moet maken zonder dat de eindgebruiker er een zegje over heeft. De iPhone Configuration Utility is goed genoeg om een aardig aantal gebruikers te activeren, maar alleen als het allemaal betrouwbare jongens en meisjes zijn die zich aan de regels houden. Met het groeiende aantal iPhone-gebruikers is meer controle noodzakelijk, en afhankelijkheid van deze gebruikers voor het installeren van updates kan gewoon niet meer.

Het goede nieuws is dat de meeste policy-puzzelstukjes nu wel op hun plekje liggen. Het slechte nieuws is dat cruciale beheerstukjes nog in geen velden of wegen zijn te bekennen.

Bron: Infoworld.com Bron: Techworld