Distribuer des apps gérées à des appareils Apple
Selon l’établissement, vous devrez peut-être contrôler la façon dont les apps que vous distribuez à vos utilisateurs se connectent aux ressources internes et la manière dont vous gérez la sécurité des données lorsqu’un utilisateur quitte l’établissement. Vous pouvez distribuer sans fil des apps gratuites, payantes et personnalisées via votre service de gestion des appareils, et gérer le flux de données, offrant ainsi le bon équilibre entre sécurité organisationnelle et personnalisation par l’utilisateur.
Apps gérées
Les apps installées à l’aide d’un service de gestion des appareils sont appelées des apps gérées. Elles contiennent souvent des données sensibles, et vous avez plus de contrôle sur ces apps que sur celles téléchargées par l’utilisateur.
Les apps gérées peuvent être supprimées d’un appareil :
À distance par le service de gestion des appareils.
Lorsqu’un utilisateur désinscrit un appareil d’un service de gestion des appareils.
Sur un iPhone, un iPad ou un Apple Vision Pro, supprimer une app supprime également les données qui lui sont associées dans son conteneur de données. Si un service de gestion des appareils révoque la licence d’une app sur un iPhone, un iPad ou un Apple Vision Pro sans la supprimer, l’app reste utilisable sur l’appareil pendant 30 jours. Si le développeur de l’app implémente un contrôle des reçus, l’app peut être désactivée plus tôt. Sur un Mac, les apps restent utilisables jusqu’à ce qu’un contrôle des reçus soit effectué.
Une fois qu’une app est désactivée, elle ne peut plus être lancée et l’utilisateur en est informé, mais l’app reste sur l’appareil et ses données sont conservées. Dès que l’utilisateur achète une copie, l’app peut à nouveau être utilisée.
Restrictions et capacités relatives aux apps gérées
Les apps gérées peuvent avoir les capacités et les restrictions suivantes qui renforcent la sécurité et améliorent l’expérience utilisateur :
Annulation de l’inscription auprès d’un service de gestion des appareils : Spécifiez si les apps gérées et leurs données restent ou non sur l’appareil lorsqu’un utilisateur se désinscrit d’un service de gestion des appareils.
Convertir des apps : Convertissez des apps non gérées en apps gérées.
Si l’appareil est supervisé, le passage d’une app non gérée à une app gérée se fait sans interaction avec l’utilisateur si un service de gestion des appareils le demande. Si l’appareil n’est pas supervisé, l’utilisateur doit formellement accepter la gestion. La conversion d’apps n’est pas compatible avec l’inscription d’utilisateurs.
Mises à jour de la version de lʼapp : Consultez régulièrement l’App Store à la recherche de nouvelles versions d’apps, puis envoyez une commande d’installation d’app à l’appareil afin de mettre l’app à jour. Cette recherche peut également s’appliquer à des apps personnalisées. Les apps affectées à un appareil que vous installez et gérez via un service de gestion des appareils doivent être mises à jour par ce dernier ; les notifications de mise à jour d’app n’apparaissent pas pour les utilisateurs dans l’App Store.
Autoriser Tap to Pay (iOS) : Pour les appareils dotés d’iOS 16.4 ou ultérieur, une app de paiement exécutée au premier plan peut être marquée comme devant être utilisée de manière sécurisée lors d’une transaction « Tap to Pay ». Une fois configurée, celle-ci requiert que l’utilisateur déverrouille son appareil avec Face ID, Touch ID ou un code après chaque transaction durant laquelle l’appareil a été passé à un client pour qu’il saisisse le code PIN de sa carte.
Utiliser les restrictions configurées pour lʼouverture gérée (iOS et iPadOS) : Vous pouvez choisir parmi trois fonctions pour la protection des données de votre organisation :
Autoriser les documents provenant de sources non gérées dans les destinations gérées. L’application de cette restriction permet dʼempêcher les sources et comptes personnels d’un utilisateur d’ouvrir des documents dans les destinations gérées de votre organisation. Par exemple, cette restriction pourrait empêcher l’utilisateur d’ouvrir un PDF provenant d’un site web inconnu dans l’app de visualisation de PDF de votre établissement.
Autoriser les documents provenant de sources gérées dans les destinations non gérées. L’application de cette restriction permet dʼempêcher les sources et comptes gérés d’ouvrir des documents dans les destinations personnelles de l’utilisateur. Cette restriction pourrait, par exemple, empêcher les pièces jointes confidentielles d’un compte de messagerie géré de s’ouvrir dans des apps personnelles de l’utilisateur.
Presse-papiers géré. Pour les appareils dotés d’iOS 15 et d'iPadOS 15 ou ultérieur, cette restriction aide à contrôler le collage de contenu entre des destinations gérées et non gérées. Lorsque les restrictions ci-dessus sont appliquées, le collage de contenu est conçu pour respecter la limite de la gestion des autorisations dʼouverture entre les apps tierce et les apps Apple telles que Calendrier, Fichiers, Mail, Notes. Les apps ne peuvent pas non plus demander des éléments du presse-papiers lorsque cette restriction est utilisée et que le contenu dépasse la zone gérée. Pour les appareils dotés d’iOS 16 et d'iPadOS 16.1 ou ultérieurs, ceci inclut les domaines gérés.
Pour marquer des apps comme n’étant pas supprimables (iOS et iPadOS) : pour les appareils dotés d’iOS 14 et d'iPadOS 14 ou ultérieur, vous pouvez marquer les apps gérées comme n’étant pas supprimables. Précédemment, les administrateurs devaient verrouiller entièrement l’écran d’accueil et empêcher la suppression de toutes les apps, ce qui limitait la capacité de l’utilisateur de gérer ses propres apps. Les utilisateurs peuvent continuer à réarranger leurs apps, installer de nouvelles apps et supprimer d’autres qu’ils ont installées. Les administrateurs peuvent marquer les apps gérées qu’ils estiment essentielles comme n’étant pas supprimables. Lorsque des utilisateurs essayent de supprimer ou de décharger une app gérée, la procédure n’aboutit pas et une alerte s’affiche. Le fait que ces apps gérées ne soient pas supprimables permet de s’assurer que les utilisateurs d’un établissement ont toujours les apps dont ils ont besoin sur leurs appareils.
Empêcher les apps gérées de sauvegarder des données (macOS) : vous pouvez empêcher les apps gérées de sauvegarder des données sur le Finder (macOS 10.15 ou ultérieur), sur iTunes (macOS 10.14 ou antérieur) ou sur iCloud. Ne pas autoriser les sauvegardes permet d’éviter que quelqu’un récupère les données des apps gérées si un service de gestion des appareils supprime l’app, puis si un utilisateur la réinstalle ultérieurement.
Utiliser les réglages de configuration d’app : Les développeurs d’apps peuvent identifier les réglages de configuration pouvant être définis avant ou après que l’app soit installée en tant qu’app gérée. Par exemple, un développeur pourrait indiquer un réglage SkipIntro pour que l’app passe les écrans d’introduction pour l’app gérée.
Utilisez les réglages de retour d’app que peut lire un service de gestion des appareils : Les développeurs d’apps peuvent identifier les réglages d’app qu’un service de gestion des appareils peut lire. Par exemple, un développeur peut indiquer une clé
DidFinishSetupqu’un service de gestion des appareils interroge pour déterminer si une app se lance et se configure correctement.Télécharger les documents gérés depuis Safari : Les téléchargements provenant de Safari sont considérés comme des documents gérés s’ils proviennent d’un domaine géré. Par exemple, si un utilisateur télécharge un PDF à partir d’un domaine géré, ce PDF doit être conforme à tous les réglages des documents gérés. Pour en savoir plus, consultez la section Exemples de domaines gérés.
Empêcher les apps gérées de stocker des données sur iCloud : Les données créées par les utilisateurs peuvent toujours être stockées dans sur iCloud.
Remarque : toutes les options ne sont pas disponibles dans tous les services de gestion des appareils. Pour savoir quelles options sont disponibles pour vos appareils, consultez la documentation du service de gestion des appareils de votre développeur.
Configuration des apps gérées
Les organisations ont souvent besoin de personnaliser l’expérience utilisateur d’une app en fonction de leurs besoins spécifiques ou même pour un groupe d’utilisateurs particulier.
Sur les appareils dotés d’iOS 18.4, d'iPadOS 18.4, de visionOS 2.4 ou ultérieur, les organisations peuvent déployer des configurations et des secrets spécifiques aux apps (comme des mots de passe, des certificats et des identités) de manière sécurisée vers les apps gérées qui adoptent le cadre dʼapplication ManagedApp. Cela permet aux organisations de personnaliser le comportement d’une app, de rationaliser l’expérience utilisateur et de renforcer la sécurité grâce à la configuration com.apple.configuration.app.managed. Par exemple :
Préparer une app gérée ou une extension d’app pour un appareil ou un utilisateur spécifique.
Utiliser les identités fournies automatiquement pour l’authentification et la signature.
Recevoir en toute sécurité des jetons d’accès API.
Acquérir des certificats pour une confiance personnalisée (épinglage de certificats).
Utiliser des clés liées au matériel et l’attestation d’appareil géré pour une authentification robuste de l’appareil.
Pour en savoir plus, consultez le cadre dʼapplication ManagedApp sur le site web Apple Developer.
Livres gérés
Vous pouvez également utiliser un service de gestion des appareils pour distribuer des livres gérés, des livres ePub et des PDF que vous créez.
Les livres EPUB et les PDF distribués par un service de gestion des appareils présentent les mêmes propriétés que les autres documents gérés. Vous pouvez les mettre à jour avec des versions plus récentes en cas de besoin, les partager uniquement avec d’autres apps gérées ou les envoyer par e-mail à l’aide d’un compte Apple géré. Le service de gestion des appareils peut également empêcher les utilisateurs de sauvegarder les livres gérés. Bien que vous attribuiez ces livres à des utilisateurs, ils n’apparaissent que sur les iPhone et iPad que le service de gestion des appareils assigne à ces utilisateurs.
Remarque : les livres gérés ne sont pas pris en charge sur l’Apple Vision Pro.
Restriction des claviers tiers
iOS et iPadOS prennent en charge les règles de gestion des autorisations d’ouverture qui s’appliquent aux extensions de clavier de tierce partie. Ces règles empêchent les claviers non gérés d’apparaître dans les apps gérées.