Nu werknemers hun eigen mobiele apparaten mee mogen brengen, vreest IT dat ze steeds meer tijd kwijt zullen zijn aan ondersteuning. Voor iOS is die vrees ongegrond.

Ik krijg de afgelopen maanden steeds vaker hetzelfde te horen van IT-managers: ja, we kunnen apparaten beveiligen door middel van Exchange of managementtools voor mobiele apparaten, maar waar we ons echt zorgen over maken is de extra druk die al die iPads en iPhones op ons zullen leggen. Ik je kan gelukkig vertellen dat de druk op IT-ondersteuning niet al te veel of zelfs helemaal niet hoeft toe te nemen - tenminste, niet wanneer werknemers iOS-apparaten binnenbrengen.

Maar eerst even een waarschuwing: Android is een heel ander verhaal, vanwege de verschillen in het besturingssysteem per leverancier en de onduidelijkheid over de herkomst van apps. Sommige principes die ik hieronder beschrijf voor de ondersteuning van iOS-apparatuur, gelden ook voor Android. Maar in tegenstelling tot bij iOS kun je van Android-gebruikers wel telefoontjes verwachten omdat ze geen verbinding kunnen maken met je beveiligde draadloze netwerk, omdat Android 2.x en 3.x geen PEAP-beveiligde WiFi-netwerken ondersteunen. Hetzelfde geldt voor gebruikers van Android 2.x smartphones wiens apparatuur geen ondersteuning biedt voor een groot deel van de Exchange ActiveSync policies, zoals on-device encryptie en complexe wachtwoorden. Daar kan ik je helaas niet mee helpen.

Recent onderzoek heeft uitgewezen dat iOS-apparaten van alle belangrijke mobiele platformen de minste ondersteuning vereisen. Het platform waar IT op dit moment nog de voorkeur aan geeft, BlackBerry van Research in Motion, is moeilijker te ondersteunen, maar aangezien BlackBerry duidelijk op zijn retour is, zou de druk op IT support uit die richting moeten afnemen. Het lijkt er zelfs op dat het agressief vervangen van Blackberry's door iPhones een snelle en effectieve manier kan zijn om de druk op het support-team te verlichten. Android-apparaten vereisen de meeste ondersteuning, maar het gebrek aan fundamentele beveiliging en management tools voor dat platform betekent dat waarschijnlijk toch al dat je dat platform niet snel binnen zult halen, en dan hoef je ze dus ook niet te ondersteunen. (Overigens is Motorola wel al goed bezig met pogingen om hun nieuwe zakelijke Android-toestellen geschikt te maken voor de zakelijke omgeving, door bijvoorbeeld standaard ondersteuning toe te voegen voor Exchange en een deel van het Exchange ActiveSync-beleid.)

Het onderzoek geeft voor de gunstige beoordeling van iOS een reden waar niemand raar van zal opkijken: de gebruikersinterface van iOS is gemakkelijker voor gebruikers, dus hebben ze doorgaans minder hulp nodig. Rapporten van Forrester Research en de Aberdeen Group laten zien dat gebruikers die hun eigen apparaat uitkiezen (ongeacht wie ervoor betaalt) minder ondersteuning nodig hebben. Bovendien: als het apparaat van de gebruiker zelf is, ook al wordt hij voor het bedrijf gebruikt, gaan mensen er veel voorzichtiger mee om. Dit alles verklaart de lagere ondersteuningsbelasting voor iOS-apparaten.

Maar op een gegeven moment zal IT zelf iOS-apparaten willen verstrekken, ondersteunen en beheren. En wanneer dat gebeurt zijn er manieren om met minimale inspanning aan de behoeften van de gebruikers te voldoen.

Maak gebruik van beveiligingspolicies en certificaten

iOS ondersteunt meer Exchange ActiveSync (EAS) policies dan enig ander modern mobiel besturingssysteem; alleen het vrijwel uitgestorven Windows Mobile, dat nog steeds door de overheid en een aantal bedrijven gebruikt wordt, ondersteunt er meer. Wanneer iemand vanuit Exchange of Gmail (met EAS ingeschakeld) e-mail probeert te benaderen, valideert de e-mailserver de policies meteen, waardoor gebruikers gedwongen worden zich eraan te houden in ruil voor toegang. Omdat iOS gebruik maakt van standaard EAS-policies hoef je ze alleen maar in te stellen, zonder dat je hoeft te weten of de gebruiker iOS heeft - dezelfde set policies kan ook voor desktoptoegang worden gebruikt.

Als je IBM's Lotus Notes en Domino gebruikt kun je deze policies niet opleggen aan het iOS-apparaat (met versie 8.5.2 of nieuwer van de Notes Server), alleen aan de Lotus client. Dat is een beperking van IBM - niet van Apple. Hetzelfde geldt, om dezelfde reden, voor de GroupWise e-mailserver, ervan uitgaand dat je het Data Mobility Pack geïnstalleerd hebt om EAS-ondersteuning toe te voegen. Voor deze twee oldschool e-mailsystemen is het het overwegen waard een mobile device management (MDM) tool in gebruik te nemen die door middel van policies meerdere mobiele besturingssystemen ondersteunt.

iOS ondersteunt ook certificaten, zoals voor PEAP-beveiligde WiFi-toegang en VPNs. Ook daar zou de ondersteuning niet af moeten wijken van andere apparaten.

Maak gebruik van configuratieprofielen

Maar waar je echt in moet investeren is provisioningprofielen, omdat deze je heel wat tijd kunnen besparen als je een zelfconfiguratiedienst opzet voor gebruikers.

De provisioningcertificaten van Apple zijn gebaseerd op XML, dus je kunt ze op verschillende manieren genereren. MDM-tools kunnen dat bijvoorbeeld. Mac OS X Lion Server genereert ze ook en installeert ze van op afstand, naar behoefte per gebruiker of per apparaat, passend bij je Active Directory of Open Directory infrastructuur, zodat je policies kunt instellen en toepassen voor individuen, groepen, apparaten en groepen van apparaten. De webinterface is eenvoudig, en de policies kunnen toegepast worden op Macs die Lion draaien. Dit betekent dat je een aparte tool moet gebruiken, maar dat verschilt niet van het gebruik van BlackBerry Enterprise Server (BES) waar je hetzelfde doet voor Blackberry's. Mac OS X Lion Server is veel goedkoper dan een MDM-tool, mits de policies ervan aan je behoeften voldoen. (Lion Server kost slechts € 39,99.)

Verder heb je Apple's gratis iPhone Configuration Utility, de nog steeds beschikbare voorganger van OSX Lion Servers policymanager. De iPhone Configuration Utility draait op zowel Windows (XP tot en met 7) en Macs (zowel Snow Leopard als Lion), dus het is best mogelijk dat veel IT-organisaties het verkiezen boven Lion Server. Je kunt voor elk apparaat een profiel aanmaken, en het apparaat vervolgens met het profiel synchroniseren via USB, door het naar de gebruiker te e-mailen, of door het bestand op een webpagina te plaatsen en de gebruiker die link te laten openen.

Maar wat je vooral wilt doen als je je gebruikers zelf hun configuratie wilt laten uitrollen is configuratieprofielen aanmaken voor verschillende klassen gebruikers, in plaats van elke gebruiker individueel te behandelen. Ook dat kan met de iPhone Configuration Utility: je kunt configuratieprofielen aanmaken door Configuration Profiles te selecteren in het Library-gedeelte in de Sidebar. Klik vervolgens op New. Je krijgt dan verschillende vensters te zien, één voor elk type policy of configuratie dat je wilt instellen. Doorloop ze één voor één.

Zo kun je voor de VPN shared secret credentials instellen zodat jij of de gebruiker ze niet op ieder apparaat met de hand hoeft in te voeren - de gebruiker moet alleen zijn eigen legitimatie invoeren (en dat wil je sowieso, anders ligt je VPN wijdopen als het apparaat verloren zou raken), net als in Active Directory. Op dezelfde wijze kun je het adres van de Exchange Server voor een groep toevoegen, of de instellingen voor interne WiFi toegangspunten, LDAP-configuraties, gedeelde agendagegevens, beveiligingskenmerken laden, een benodigde MDM-server specificeren, enzovoorts - alle gebruikelijke dingen die je voor een groep moet doen.

Belangrijk in het venster General is de optie Security; hier kun je instellen met welk wachtwoord het configuratiecertificaat herroepen kan worden, zodat IT dat in noodgevallen op afstand kan regelen.

Als je enkele configuraties hebt die universeel zijn en andere die specifiek zijn voor een bepaalde rol of afdeling, maak dan aparte configuratieprofielen aan. Je kunt dit het beste hiërarchisch doen, zodat alleen het universele profiel de universele instellingen vastlegt en de lokale profielen alleen de lokale instellingen. iOS laat je meerdere configuraties installeren, zodat je de configuraties gelaagd kunt opslaan en later slechts de universele of een lokale kunt updaten, zonder dat de instellingen van de andere configuraties worden beïnvloed.

Wanneer je het profiel opslaat kun je het vervolgens delen met zoveel gebruikers als je maar wilt. Je kunt de profielen emailen en wanneer de gebruikers het profiel op hun iOS-apparaat openen krijgen ze een prompt te zien om het te installeren. Een andere mogelijkheid, die wellicht meer geschikt is voor zelfbediening, is dat je links naar deze profielen op een webpagina of intranetsite plaatst (zoals een welkomstpagina voor nieuwe gebruikers die ook het personeelshandboek, de salaris- en de urenadministratie en dat soort zaken bevat), zodat gebruikers simpel hun eigen profiel kunnen installeren. Omdat deze profielen hun iPhones en iPads configureren zodat ze ermee op je netwerk en bij de bedrijfsmiddelen kunnen, weet je dat ze dat ook zullen doen - nou ja, ervan uitgaande dat ze die apparatuur ook inderdaad voor werkdoeleinden gebruiken.

Het nadeel van de iPhone Configuration Utility is dat het geïnstalleerde profielen niet automatisch kan updaten, zoals een MDM-tool of Lion Server dat wel kan. Gebruikers moeten zelf de nieuwste versie downloaden, tenzij je je eigen over-the-air policyserver wilt creëren (Apple heeft instructies gepubliceerd om dit te doen met behulp van het SCEP-protocol en een Cisco IOS of het Microsoft Windows Server platform).

Helaas is mij niets bekend van vergelijkbare manieren om dergelijke zelf-installatieprofielen voor Blackberry, Android of andere mobiele platforms te creëren (tips in die richting zijn zeer welkom in de reacties).

Bedrijfsapplicaties

Wat je verder kunt doen om zelfbediening door werknemers te bevorderen is webpagina's aanbieden met daarop links naar apps waar je voorkeur naar uitgaat. Apple heeft een iTunes minisite aangemaakt met daarop populaire bedrijfsapps; dat is een goede plek om geschikte apps te vinden.

Klik in iTunes met de rechter muisknop op het icoon van een app en kies Copy Link in het contextmenu. Als een gebruiker op die link klikt, wordt hij of zij naar de iTunes Store op het iOS-apparaat geleid om de app te kopen of te downloaden. Op deze manier stimuleer je het gebruik van de tools waarvan jij graag wilt dat je werknemers ze gebruiken. Voor gebruikers van Android kun je links aanmaken naar de Google Android Market voor je aanbevolen Android apps.

Het is waarschijnlijk het gemakkelijkst om werknemers deze aanbevolen apps zelf te laten betalen en ze te laten declareren; iTunes ze stuurt via email een printervriendelijke rekening. Apple heeft wel een Business App Store service waarmee je een soort eigen gesloten app store kunt inrichten, maar dat is helaas vooralsnog alleen beschikbaar in de VS.

Als je gebruikers wilt beperken tot specifieke apps, dan kan dat via policies, maar dan heeft de hele BYOD-benadering natuurlijk weinig zin. Ik neem aan dat de meeste bedrijven die iOS-apparaten willen ondersteunen met zo min mogelijk druk op IT, ook de belasting voor werknemers die de apparaten gebruiken zo laag mogelijk willen houden. Bedenk vooral dat hoe meer je oplegt, hoe meer ondersteuning je moet bieden.

Problemen oplossen

iOS mag dan voor de meeste gebruikers intuïtief zijn, niet alles is meteen duidelijk. En elk apparaat heeft weleens problemen. Voor sommige, zoals verloren wachtwoorden, zou IT al een universeel systeem moeten hebben. Maar er zijn vragen die vaker opduiken en waar je de antwoorden maar beter alvast in een zelfbedienings FAQ kunt opnemen:

[list]iCloud backupt automatisch de apparaatinstellingen voor gebruikers die inloggen met hun Apple ID of iCloud account. Dat is ideaal voor het herstellen van een systeem dat op één of andere manier gereset wordt. Maar applicatiegegevens worden niet naar iCloud gebackupped. iTunes volgt ook alle apps en media die via iTunes worden aangeschaft, dus die kunnen opnieuw worden gedownload wanneer een apparaat gewist of gereset wordt, en ze kunnen ook (zonder extra kosten) naar een nieuw apparaat worden gedownload, mocht een werknemer het huidige apparaat verliezen. Verder maakt iTunes een backup van gebruikersgegevens en instellingen, dus door regelmatig het iOS-apparaat te synchroniseren met iTunes kan een gebruiker zelf een gewist apparaat herstellen of de apps, data en instellingen naar een nieuw apparaat overzetten. De draadloze backupmogelijkheden van iOS 5 maken dit backupproces nog eenvoudiger.

iOS heeft geen zichtbaar bestandssysteem (bestanden worden als beveiligingsmaatregel binnen hun apps opgeslagen), dus het is voor gebruikers vaak onduidelijk hoe ze bestanden aan e-mails moeten hangen of binnen een app moeten openen. De truc is te beginnen met de inhoud. Bijvoorbeeld: om een foto te emailen ga je naar de Foto's app. Selecteer de foto's, gebruik vervolgens het Delen menu om ze via email te versturen. De meeste apps gebruiken dat menu of iets vergelijkbaars. Om bestanden tussen apps te verplaatsen zoek je naar het Openen In menu. Dit krijg je te zien door op een document te drukken en vast te houden, of door het Delen menu te openen, of andere applicatiespecifieke methodes. Apps moeten wel specifiek Openen In ondersteunen, dus sommige apps hebben deze mogelijkheid niet. Een andere optie die je kunt proberen is bepaalde inhoud te selecteren en te kopiëren (door er enige tijd op te drukken) en het vervolgens in een andere app te plakken.

Als een werknemer problemen krijgt wanneer hij niet in de buurt is van een IT-ondersteuningsmedewerker kan hij gemakkelijk een screenshot maken die hij kan doormailen om het probleem te laten zien. Druk tegelijkertijd op de Sluimer-knop en de Home-knop om een screenshot te maken. Deze verschijnt dan in de Foto's app. Je kunt zoveel screenshots maken als je wilt.

De meeste apps bieden een optie om snel te kunnen scrollen: druk bovenaan op het scherm en gewoonlijk springt dan het beeld van de app naar het begin (zoals de lijst met e-mailberichten). Helaas is er geen vergelijkbare functie om helemaal naar beneden te scrollen.

Een aantal gebaren zijn universeel: scroll binnen een app met één vinger; scroll binnen een venster in een app (doorgaans is dit voor Websites) met twee vingers. Beweeg je wijsvinger naar je duim toe om in te zoomen en doe het omgekeerde om uit te zoomen. Druk tweemaal op de Home-knop om de taakbalk met alle draaiende apps te zien te krijgen waarmee je op een andere reeds openstaande app kunt overstappen (of deze kunt sluiten door een app ingedrukt te houden en vervolgens op Sluiten te drukken).[/list]

Meer tips voor zo'n FAQ zijn zeer welkom in de reacties.

Als je je zorgen maakt over een stortvloed aan iOS-apparaten waarin je ondersteuningsteam gaat verdrinken: relax. Ze zijn gemakkelijker te ondersteunen dan je denkt - en door je werknemers zelfbedieningsopties aan te bieden met de technieken hierboven, kun je de druk nog verder verminderen.

Heb je een pc met weinig opslagruimte dan loont het wellicht om in Windows 11 de bestandscompressie in te schakelen. Dan hebben we het niet over zip-archieven, maar de NTFS-compressie waarmee je bestanden, mappen en zelfs volledige schijven kunt verkleinen.

Eerst een waarschuwing

Dankzij compressie is het mogelijk om meer data op te slaan op dezelfde ruimte. In Windows 11 kun je NTFS (New Technology File System) aanspreken. Het nadeel van deze methode is dat het extra rekenkracht vraagt iedere keer dat je zo'n gecomprimeerd bestand opent. Hetzelfde gebeurt wanneer je na de bewerking het bestand sluit en er recompressie wordt toegepast. Gebruik deze methode dus voor data die je lange tijd niet gebruikt en waar extra laadtijd nauwelijks hinderlijk is.

Je kunt op deze manier ook een volledige schijf comprimeren, maar we raden af om dit met de opstartschijf te doen. Gebruik deze functie niet op usb-sticks en alleen op snelle schijven zoals ssd's. Het prestatieverlies zou teveel doorwegen. Bij jpg-afbeeldingen of mp3- of mp4-mediabestanden is de winst verwaarloosbaar.

Map comprimeren

Open Windows Verkenner en navigeer naar de map waarvan je de inhoud wilt verkleinen. Klik met de rechtermuisknop op de map en in het snelmenu selecteer je Eigenschappen. Open het tabblad Algemeen en klik op Geavanceerd. Bij de Geavanceerde kenmerken zie je onderaan Compressie en versleutelingskenmerken. Plaats een vinkje bij Inhoud comprimeren om schijfruimte vrij te maken. Klik op OK en klik daarna op Toepassen.

Selecteer indien nodig de optie Wijzigingen toepassen op deze map, submappen en bestanden en klik op de OK-knop. Net zoals voorheen kun je zo'n map openen en de bestanden bekijken in Verkenner. Om de volledige map te decomprimeren, open je opnieuw de Eigenschappen en volg je de beschreven stappen.

Station comprimeren

Het is mogelijk om een volledige schijf te comprimeren. Open Windows Verkenner en klik op Deze pc in het linkerdeelvenster. Klik met de rechtermuisknop op de opslagschijf die je wilt comprimeren. Selecteer onder het gedeelte Apparaten en stations de optie Eigenschappen. Daarna kun je opnieuw de optie aanvinken: Dit station comprimeren om schijfruimte te besparen.

Ring heeft de tweede generatie van zijn Floodlight Cam Pro uitgebracht. De voornaamste verbetering van deze schijnwerpercamera is de 4K-beeldkwaliteit. Dankzij twee felle ledlampen leent dit product zich goed voor het bewaken van een grote buitenruimte, zoals een oprit of diepe achtertuin.

Zodra we de productdoos openmaken, valt één ding meteen op. Ring levert geen voedingskabel of accu mee. De Ring Floodlight Cam Pro (2e gen) kun je namelijk alleen op de plek van een bestaande buitenlamp monteren. De IP65-gecertificeerde behuizing is grotendeels van kunststof. Desalniettemin voelt de constructie solide aan, dus die gaat niet zomaar stuk. Gunstig is dat je zowel de camera als beide schijnwerpers naar eigen wens kunt richten.

©Maikel Dijkhuizen

Montage

Voor de juiste montage-instructies ben je aangewezen op de Ring - Always Home-app. Overigens is dat geen straf, want duidelijke filmpjes en Nederlandstalige aanwijzingen loodsen je soepel door de installatieprocedure. Film de QR-code en volg vervolgens alle stappen. Een beetje kennis van elektra is trouwens geen overbodige luxe.

De fabrikant levert montagegereedschap mee, zoals pluggen, afdekdoppen en een schroevendraaier. Je hebt verder alleen nog maar een boormachine nodig. De montagebeugel bevat een kroonsteentje waarop je de gekleurde stroomdraden kunt aansluiten. Daarnaast heeft de montagebeugel een geïntegreerde waterpas, zodat je de beveiligingscamera helemaal recht hangt. Houd rekening met een ideale ophanghoogte van ongeveer drie meter.

©Maikel Dijkhuizen

Configuratie

Na de montage volgt de configuratie in de Ring - Always Home-app. Je koppelt deze beveiligingscamera van Google binnen een mum van tijd aan een 2,4GHz- of 5GHz-netwerk. Vervolgens downloadt en installeert het apparaat op eigen houtje een firmware-update. Helaas kun je deze beveiligingscamera niet met een bekabeld netwerk verbinden. Zorg op de beoogde locatie dus voor voldoende wifi-dekking. Bij te weinig bandbreedte schakelt deze beveiligingscamera automatisch terug naar een lagere videokwaliteit.

Je geeft tijdens de configuratie optioneel andere gezinsleden toegang tot de camera. Bepaal ook welke slimme meldingen je wilt ontvangen. Na detectie van personen, voertuigen en andere bewegingen stuurt de Floodlight Cam Pro je desgewenst pushnotificaties. Hierbij stel je zelf de gevoeligheid van de bewegingssensor en detectiezone in. Je kunt ook nog gebieden blokkeren, zodat je bijvoorbeeld geen activiteiten in een naburige tuin vastlegt.

©Maikel Dijkhuizen

Opnemen in 4K

De maximale videokwaliteit van 3840 × 2160 pixels betaalt zich uit, want de beelden zijn zeer scherp. Zo'n hoge resolutie is voor bewakingsdoeleinden eigenlijk niet per se nodig, al biedt het wel degelijk voordelen. Na maximaal 10× inzoomen zijn nummerborden namelijk nog goed leesbaar. Met een behoorlijk brede kijkhoek van 140 graden (horizontaal) bewaak je probleemloos een grote tuin of oprijlaan.

In het donker hebben de twee schijnlampen met een totale lichtopbrengst van 2000 lumen veel meerwaarde. Je ziet 's avonds en 's nachts op grote afstand precies wat er bij jouw woning gebeurt. Daarbij fungeert de Floodlight Cam Pro ook nog als veredelde buitenlamp. Voor een beveiligingscamera heeft dit model een luide sirene. Wie weet schrikt dat insluipers af. Dankzij ondersteuning voor tweewegaudio kun je op afstand een gesprek starten.

Je kijkt in de app eenvoudig opnames terug. Met behulp van de kalender en duidelijk vormgegeven tijdlijn bepaal je welk moment je wilt terugzien. Er is ook een slimme zoekfunctie ingebakken, zodat je met specifieke trefwoorden als 'hond', 'pakket' en 'rode auto' relevante opnames kunt vinden. Een nadeel is dat Ring-beveiligingscamera's geen lokale opslag ondersteunen. Wil je opnames van gebeurtenissen opslaan of 24/7 opnemen, dan heb je een betaald Ring Home-abonnement nodig.

©Maikel Dijkhuizen

Ring Floodlight Cam Pro (2e gen) kopen?

De Ring Floodlight Cam Pro (2e gen) heeft een heleboel voordelen, zoals een scherp beeld, twee felle verstelbare ledlampen, luide sirene en gebruiksvriendelijke app. Daarmee zijn alle ingrediënten aanwezig om op een laagdrempelige manier je tuin of oprit te bewaken. Daarentegen is de adviesprijs van 279,99 euro nogal fors. En daarmee ben je er nog niet, want voor het bewaren van opnames heb je een betaald Ring Home-abonnement nodig. Er bestaan als alternatief (veel) goedkopere floodlight-beveiligingscamera's met lokale opslag, al ondersteunen die veelal geen 4K-beeldkwaliteit.

Lees ook: Bedraad of draadloos: wat is de beste slimme deurbel voor jou?