Méthodes d’inscription à partir d’un compte avec des appareils Apple
Lʼinscription dʼutilisateurs à partir d’un compte et lʼinscription dʼappareils à partir dʼun compte permettent aux utilisateurs et aux établissements de configurer simplement et de façon sécurisée des appareils Apple pour le milieu professionnel en se connectant avec un compte Apple géré.
Cette approche permet à la fois à un compte Apple géré et à un compte Apple personnel d’être connectés sur le même appareil, avec une séparation complète du domaine professionnel et personnel. La confidentialité des informations personnelles des utilisateurs est garantie et le service informatique gère les apps, les réglages et les comptes qui relèvent du domaine professionnel.
Afin de garantir cette séparation, les modifications suivantes ont été apportées à la façon dont les apps et les sauvegardes sont gérées :
Toutes les configurations et l’ensemble des réglages sont retirés lorsque le profil d’inscription est supprimé.
Les apps gérées sont toujours supprimées pendant le processus de désinscription.
Si vous installez des apps avant de vous inscrire à un service de gestion des appareils, vous ne pourrez pas les convertir en apps gérées.
La restauration à partir dʼune sauvegarde nʼentraîne pas la restauration de lʼinscription au service de gestion des appareils.
Les utilisateurs qui se connectent à lʼaide de leur compte Apple personnel ne peuvent pas accepter dʼinvitation pour la distribution de lʼapp gérée.
Bien qu’il soit possible de créer des comptes Apple gérés manuellement, les organisations peuvent profiter de l’intégration à Google Workspace, Microsoft Entra ID ou à leur fournisseur d’identité (IdP).
Pour en savoir plus sur l’authentification fédérée, consultez la rubrique « Introduction à l'authentification fédérée avec Apple School Manager » ou « Introduction à l'authentification fédérée avec Apple Business Manager ».
Processus d’inscription à partir d’un compte
Pour inscrire un appareil à l’aide de l’inscription d’utilisateurs à partir d’un compte ou l’inscription d’appareils à partir d’un compte, lʼutilisateur accède à Réglages > Général > VPN et gestion de lʼappareil, ou à Réglages Système > Général > Gestion des appareils, puis sélectionne le bouton « Se connecter à un compte professionnel ou scolaire ».
Ceci lance un processus en quatre étapes pour s’inscrire auprès d’un service de gestion des appareils :
Découverte de services : l’appareil détermine l’URL d’inscription du service de gestion des appareils.
Jeton d’authentification et d’accès : l’utilisateur fournit des informations d’identification afin d’autoriser l’inscription et d’obtenir un jeton d’accès délivré pour l’authentification en cours.
Inscription au service : le profil d’inscription est envoyé à l’appareil et l’utilisateur doit se connecter à l’aide de son compte Apple géré afin de terminer l’inscription.
Authentification continue : Le service de gestion des appareils valide l’utilisateur connecté de façon régulière à l’aide du jeton d’accès.
1re étape : découverte de services
Pendant la première étape, la détection de services tente d’identifier l’URL d’inscription du service de gestion des appareils. Pour ce faire, elle utilise l’identifiant saisi par l’utilisateur, comme eliza@betterbag.com. Le domaine doit utiliser un nom de domaine complet, qui présente le service de gestion des appareils à l’établissement de l’utilisateur.
Les évènements suivants se produisent alors :
Étape 1
L’appareil identifie le domaine dans l’identifiant fourni (dans l’exemple ci-dessus, betterbag.com).
Étape 2
L’appareil demande la ressource connue du domaine de l’organisation, par exemple https://<domain>/.reconnu/com.apple.remotemanagement.
Le client inclut deux paramètres de requêtes dans le chemin de l’URL de la requête GET HTTP :
user-identifier : la valeur de l’identifiant de compte saisi (dans l’exemple ci-dessus, eliza@betterbag.com).
model-family : la famille du modèle de l’appareil (comme un iPhone, un iPad ou un Mac).
Remarque : l’appareil suit des requêtes HTTP 3xx redirect, ce qui permet au fichier com.apple.remotemanagement d’être hébergé sur un autre serveur, accessible à l’appareil.
Pour les appareils dotés d’iOS 18.2, d'iPadOS 18.2, de macOS 15.2, de visionOS 2.2 ou des versions ultérieures, le processus de découverte de service permet à un appareil de récupérer la ressource connue à partir d’un emplacement alternatif indiqué par le service de gestion des appareils lorsquʼil est lié à Apple School Manager ou Apple Business Manager. La découverte de service donnera toujours la priorité à la ressource connue au niveau du domaine de l’organisation. Si la requête échoue, l’appareil vérifie auprès d’Apple School Manager ou d’Apple Business Manager si un autre emplacement existe pour la ressource connue. Ce processus requiert la vérification du domaine utilisé dans l’identifiant par Apple School Manager ou Apple Business Manager. Pour en savoir plus, consultez la rubrique Ajouter et valider un domaine dans Apple School Manager ou Ajouter et valider un domaine dans Apple Business Manager.
Pour utiliser cette fonctionnalité, le service de gestion des appareils doit configurer l’URL alternative de découverte de service lorsqu’il est lié à Apple School Manager ou Apple Business Manager. Lorsque l’appareil accède à Apple School Manager ou Apple Business Manager, le type de cet appareil détermine le service de gestion des appareils qui lui sera attribué. Il s’agit du même processus qui sert à déterminer le service par défaut pour l’inscription d’appareils automatisée. Si le service qui a été attribué a configuré une URL de découverte de service, l’appareil demande la ressource connue de cet emplacement. Pour définir l’attribution d’appareil par défaut, consultez la rubrique Définir l’attribution par défaut des appareils dans Apple School Manager ou Définir l’attribution par défaut des appareils dans Apple Business Manager.
Le service de gestion des appareils peut également héberger la ressource connue.
Étape 3
Le serveur qui héberge la ressource connue répond avec un document JSON de découverte de service qui est conforme au schéma suivant :
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Les clés, types et descriptions d’inscription au service de gestion des appareils sont indiqués dans le tableau suivant. Toutes les clés sont requises.
Clé | Type | Description |
|---|---|---|
Serveurs | Tableau | Une liste ne comportant qu’une seule entrée. |
Version | Chaîne | La clé détermine la méthode d’inscription à utiliser. Il doit s’agir de |
BaseURL | Chaîne | L’URL d’inscription du service de gestion des appareils. |
Important : le serveur doit garantir que le champ de l’en-tête Content-Type est défini sur application/json dans la réponse HTTP.
Étape 4
L’appareil envoie une requête HTTP POST à l’URL d’inscription indiquée dans la BaseURL.
Scène 2 : Jeton d’authentification et d’accès
Pour autoriser l’inscription, l’utilisateur doit s’identifier auprès du service de gestion des appareils. Une fois l’authentification réussie, le service de gestion des appareils émet un jeton d’accès pour l’appareil. L’appareil stocke le jeton de façon sécurisée afin de l’utiliser lors des requêtes d’autorisation ultérieures.
Le jeton d’accès :
Est au cœur du processus d’authentification initial et de l’accès permanent aux ressources du service de gestion des appareils
Fait office de pont sécurisé entre le compte Apple géré de l’utilisateur et le service de gestion des appareils.
Sert à autoriser l’accès continu aux ressources professionnelles pour l’ensemble des inscriptions à partir d’un compte.
Sur l’iPhone, l’iPad et l’Apple Vision Pro, le processus d’authentification peut être simplifié en utilisant l’authentification unique d’inscription (SSO) afin de minimiser la répétition des invites d’authentification. Pour plus d’informations, consultez la section Authentification unique d’inscription pour lʼiPhone, lʼiPad et l’Apple Vision Pro.
3e étape : Inscription au service de gestion des appareils
En faisant appel au jeton d’accès, l’appareil peut s’identifier auprès du service de gestion des appareils et accéder au profil d’inscription. Ce profil contient toutes les informations nécessaires par l’appareil pour l'inscription. Pour terminer le processus dʼinscription, l’utilisateur doit réussir à se connecter à lʼaide de son compte Apple géré. Une fois que l’inscription est terminée, le compte Apple géré sʼaffiche en évidence dans Réglages et « Réglages Système ».
Pour en savoir plus sur les services d’iCloud qui sont disponibles pour les utilisateurs, consultez la rubrique Accéder aux services d’iCloud.
4e étape : Authentification continue
Une fois l’inscription terminée, le jeton d’accès reste actif et est inclus dans toutes les requêtes auprès du service de gestion des appareils via l’en-tête HTTP Authorization. Cela permet au service de gestion des appareils de valider l’utilisateur en continu, et de garantir que seuls les utilisateurs disposant d’une autorisation puissent accéder aux ressources de l’établissement.
Les jetons d’accès expirent généralement après une certaine durée. Lorsque cela se produit, il est possible que l’appareil invite l’utilisateur à s’identifier de nouveau afin de renouveler le jeton d’accès. La revalidation périodique permet de garantir la sécurité des importations, ce qui est important pour les appareils personnels et ceux gérés par l’établissement. Avec l’authentification unique d’inscription, le renouvellement de jeton se produit automatiquement via le fournisseur d’identification de l’établissement, ce qui garantit un accès sans interruption sans nouvelle authentification.
Comment les données des utilisateurs sont séparées de celles des établissements avec les méthodes d’inscription à partir d’un compte
Une fois que l’inscription d’utilisateurs à partir d’un compte ou l’inscription d’appareils à partir d’un compte est terminée, le système d’exploitation crée automatiquement des clés de chiffrement séparées sur l’appareil. Si l’utilisateur désinscrit l’appareil ou si le service de gestion des appareils le désinscrit à distance, le système d’exploitation détruit ces clés de chiffrement. Le système d’exploitation utilise ces clés pour séparer cryptographiquement les données gérées qui sont énumérées dans ce tableau.
Contenu | Versions du système d’exploitation les plus anciennes à être prises en charge | Description | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Conteneurs de données dʼapps gérées | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les apps gérées utilisent le compte Apple géré associé à lʼinscription au service de gestion des appareils pour synchroniser les données d’iCloud. Cela comprend les apps gérées (installées avec la clé | |||||||||
App Calendrier | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Les évènements sont séparés. | |||||||||
Éléments de trousseau | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | lʼapp tierce sur Mac doit utiliser lʼAPI de trousseau de protection des données. Pour en savoir plus, consultez la variable globale kSecUseDataProtectionKeychain sur le site web Apple Developer. | |||||||||
App Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les pièces jointes et le corps du message de l’e-mail de Mail sont séparés . | |||||||||
App Notes | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les notes sont séparées. | |||||||||
App Rappels | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Les rappels sont séparés. | |||||||||
Sur lʼiPhone, lʼiPad et l’Apple Vision Pro, les apps et les documents web gérés ont tous accès au dossier iCloud Drive dʼune organisation (qui s'affiche séparément dans l’app Fichiers une fois qu’un utilisateur s’est connecté à l’aide de son compte Apple géré). L’administrateur du service de gestion des appareils peut contribuer à séparer des documents personnels et organisationnels spécifiques en utilisant certaines restrictions. Pour en savoir plus, consultez la section Distribuer des apps gérées à des appareils Apple.
Si un utilisateur est connecté avec un compte Apple personnel et un compte Apple géré, « Connexion avec Apple » utilise automatiquement le compte Apple géré pour les apps gérées et le compte Apple personnel pour les apps non-gérées. Lors de lʼutilisation dʼun processus de connexion dans Safari ou SafariWebView au sein dʼune app gérée, lʼutilisateur peut sélectionner et saisir son compte Apple géré pour associer la connexion avec son compte professionnel ou scolaire.
