Introduction aux profils de gestion des appareils
Un service de gestion des appareils permet à un administrateur de configurer des appareils de façon sécurisée et à distance en envoyant des configurations, des profils et des commandes à l’appareil, qu’il appartienne à l’utilisateur ou à votre organisation. Les capacités comprennent la mise à jour des réglages des appareils et des logiciels, la vérification de la conformité des appareils aux règles de lʼorganisation et l’effacement ou le verrouillage à distance des appareils. Les utilisateurs peuvent inscrire leurs propres appareils à un service de gestion des appareils et les établissements peuvent procéder automatiquement à l’inscription des appareils possédés par lʼorganisation à l’aide d’Apple School Manager ou d’Apple Business Manager.
Il est important de comprendre certains concepts si vous souhaitez utiliser un service de gestion des appareils. Lisez les sections suivantes pour savoir comment un service de gestion des appareils utilise les profils d’inscription et de configuration, la supervision et les données utiles.
Appareils Apple pris en charge
Les appareils Apple suivants disposent d’un cadre dʼapplication prenant en charge la gestion des appareils :
iPhone exécutant iOS 4 ou ultérieur
iPad exécutant iOS 4.3 ou ultérieur ou iPadOS 13.1 ou ultérieur
Les ordinateurs Mac exécutant OS X 10.7 ou ultérieur
Apple TV exécutant tvOS 9 ou ultérieur
Apple Watch dotée de watchOS 10 ou ultérieur
Apple Vision Pro exécutant visionOS 1.1 ou ultérieur
Inscription des appareils
Lʼinscription auprès dʼun service de gestion des appareils nécessite lʼinscription dʼidentités de certificat client à lʼaide de protocoles tels que lʼEnvironnement de gestion automatique de certificats (ACME) ou le protocole SCEP (Simple Certificate Enrollment Protocol). Les appareils utilisent ces protocoles pour créer des certificats d’identité uniques pour l’authentification des services de l’organisation.
Si lʼinscription nʼest pas automatisée, ce sont les utilisateurs qui décident ou non d’inscrire leur appareil au service, et ils peuvent en dissocier leurs appareils à tout moment. Par conséquent, n’hésitez pas à recourir à des incitations pour encourager les utilisateurs à rester inscrits. Par exemple, vous pouvez exiger l’inscription pour accéder au réseau Wi-Fi en utilisant le service de gestion des appareils pour fournir automatiquement les identifiants de connexion sans fil. Lorsqu’un utilisateur quitte le service, son appareil tente de signaler au service de gestion des appareils qu’il ne pourra plus être géré.
En ce qui concerne les appareils appartenant à votre établissement, vous pouvez utiliser Apple School Manager ou Apple Business Manager afin de les inscrire automatiquement à un service de gestion des appareils et de les superviser sans fil lors de la configuration initiale. Cette inscription est appelée Inscription automatisée d’appareils.
Gestion des appareils et protection en cas de vol de l’appareil
Lorsque la protection en cas de vol de l’appareil est activée, si l’utilisateur se trouve dans un lieu inconnu, le système d’exploitation retarde d’une heure les actions suivantes :
Inscrire manuellement son appareil auprès d’un service de gestion des appareils
Installer manuellement un profil de code ou une configuration
Configurer un compte Microsoft Exchange dans Réglages ou à l’aide d’un profil ou d’une configuration
Profils d’inscription
Un profil dʼinscription est lʼun des deux principaux moyens dont disposent les utilisateurs pour inscrire un appareil personnel à un service de gestion des appareils (lʼautre moyen étant dʼutiliser lʼinscription dʼutilisateur ou l'inscription d'appareil depuis un compte). Grâce à ce profil, qui contient des données utiles, le service envoie des commandes et, si nécessaire, des profils de configuration supplémentaires à lʼappareil. Elle peut également envoyer des requêtes à lʼappareil pour obtenir des informations, telles que le statut de son verrouillage dʼactivation, le niveau de sa batterie et son nom.
Lorsqu’un utilisateur supprime un profil d’inscription, tous les profils de configuration, leurs réglages et les apps gérées en fonction de ce profil d’inscription sont supprimés avec celui-ci. Il ne peut y avoir qu’un seul profil d’inscription sur un appareil à la fois.
Une fois que le profil d’inscription est approuvé, par l’appareil ou par l’utilisateur, les profils de configuration contenant des données utiles sont envoyés à l’appareil. Vous pouvez ensuite distribuer, gérer et configurer sans fil des apps et livres achetés par l’intermédiaire d’Apple School Manager ou d’Apple Business Manager. Selon le type d’app, la façon dont l’app est attribuée et le caractère supervisé ou non de l’appareil, une app peut être installée par l’utilisateur ou automatiquement. Pour plus d’informations, consultez la section À propos de la supervision d’appareils Apple.
Profils de configuration
Un profil de configuration est un fichier XML (se terminant par .mobileconfig) constitué de données utiles qui chargent des réglages et des informations d’autorisation sur des appareils Apple. Les profils de configuration permettent d’automatiser la configuration des réglages, des comptes, des restrictions et des informations de connexion. Un service de gestion des appareils peut créer ces fichiers, ou vous pouvez les créer manuellement ou avec Apple Configurator pour Mac. Pour en savoir plus sur l’utilisation d’Apple Configurator pour Mac en vue de créer et d’installer des profils de configuration sur iPhone, iPad et Apple TV, consultez la rubrique Créer et modifier des profils de configuration du guide d’utilisation d’Apple Configurator pour Mac.
Les profils de configuration pouvant être chiffrés et signés, vous pouvez limiter leur utilisation à un appareil Apple spécifique et, hormis les noms d’utilisateur et les mots de passe, empêcher quiconque de modifier les réglages qu’ils contiennent. Vous pouvez également marquer un profil de configuration comme étant verrouillé sur l’appareil.
Si votre service de gestion des appareils le prend en charge, vous pouvez distribuer des profils de configuration sous forme de pièce jointe à un e-mail, via un lien sur votre propre page web ou via le portail utilisateur intégré du service. Lorsque les utilisateurs ouvrent la pièce jointe à l’e-mail ou téléchargent le profil de configuration à l’aide d’un navigateur, ils sont invités à lancer l’installation du profil de configuration.
Vous pouvez distribuer un profil de configuration qui peut modifier les réglages de tout lʼappareil ou dʼun utilisateur unique :
Profils d’appareil : vous pouvez envoyer des profils d’appareil à des appareils et à des groupes d’appareils, et appliquer les réglages de l’appareil à l’appareil entier.
Les iPhone, iPad, Apple TV, Apple Watch et Apple Vision Pro ne peuvent pas reconnaître plusieurs utilisateurs. Aussi, les profils de configuration créés pour les appareils Apple pris en charge sont toujours des profils d’appareil. Bien que les profils iPadOS constituent des profils d’appareil, les appareils iPad configurés pour la fonctionnalité iPad partagé peuvent prendre en charge des profils en fonction de l’appareil ou de l’utilisateur.
Profils d’utilisateurs : vous pouvez envoyer des profils d’utilisateur aux utilisateurs et (si le service de gestion des appareils les prend en charge) aux groupes d’utilisateurs, et appliquer les réglages d’utilisateur aux utilisateurs respectifs uniquement. Puisque les Mac peuvent avoir plusieurs utilisateurs, vous pouvez baser les données utiles et les réglages pour les profils macOS sur l’appareil ou sur l’utilisateur. Le compte utilisateur créé par l’Assistant réglages est considéré comme géré par le service de gestion des appareils et peut recevoir des profils. Pour les Mac dotés de macOS 11 ou ultérieur, un compte dʼadministrateur créé par un service de gestion des appareils pendant lʼinscription peut aussi être géré à la place. Pour les déploiements liés à Active Directory, lʼutilisateur du réseau qui est connecté devient un utilisateur géré.
Les réglages de lʼappareil et les réglages utilisateur varient en fonction de leur emplacement : Les réglages installés au niveau du système se trouvent dans un canal dʼappareil. Les réglages installés au niveau de lʼutilisateur se trouvent dans un canal dʼutilisateur.
Pour en savoir plus sur lʼinstallation dʼun profil et le mode Isolement, consultez lʼarticle À propos du mode Isolement.
Suppression de profil
Le retrait des profils dépend de la manière dont ils ont été installés. La séquence suivante indique de quelle manière vous pouvez supprimer un profil :
1. Vous pouvez supprimer tous les profils en effaçant toutes les données de l’appareil.
2. Si l’appareil a été inscrit à un service de gestion des appareils lié à Apple School Manager ou Apple Business Manager, l’administrateur peut choisir si l’utilisateur peut supprimer le profil d’inscription ou si seul le service de gestion des appareils peut le supprimer.
3. Si un service de gestion des appareils installe le profil, ce dernier peut le supprimer ou l’utilisateur peut le supprimer en se désinscrivant du service (en supprimant le profil de configuration d’inscription).
4. Si Apple Configurator installe le profil, cette instance de supervision d’Apple Configurator peut supprimer le profil.
5. Si Apple Configurator installe le profil ou si vous l’installez manuellement sur un appareil supervisé, et si le profil dispose de données utiles de mot de passe de suppression, l’utilisateur doit saisir le mot de passe de suppression pour supprimer le profil.
6. L’utilisateur peut supprimer tous les autres profils.
Un compte installé via un profil de configuration peut être supprimé en supprimant ce profil. Un compte Microsoft Exchange ActiveSync, y compris s’il a été installé à l’aide d’un profil de configuration, peut être supprimé par Microsoft Exchange Server en émettant la commande d’effacement à distance du compte uniquement.
Important : si les utilisateurs connaissent le code de l’appareil, ils peuvent supprimer les profils de configuration installés manuellement des iPhone et iPad non supervisés, même si l’option est définie sur Jamais. Les utilisateurs de Mac peuvent faire la même chose à condition de connaitre le nom d’utilisateur ainsi que le mot de passe d’un administrateur. Pour ce faire, ils doivent utiliser l’outil de ligne de commande profiles, Réglages Système (sous macOS 13 ou ultérieur), ou Préférences Système (sous macOS 12.0.1 ou antérieur). Pour un Mac doté de macOS 10.15 ou ultérieur, comme sous iOS et iPadOS, si un service de gestion des appareils installe un profil, ce service peut le supprimer, ou le système d’exploitation le supprimera automatiquement lors de la désinscription du service.
Exigences de communication du service de gestion des appareils
La communication du service de gestion des appareils avec les appareils Apple est plus susceptible de réussir lorsque :
le service de gestion des appareils configure l’appareil, le teste et s’assure qu’il fonctionne correctement ;
le certificat APNs est valide et nʼa pas expiré ;
lʼappareil est allumé ;
l’appareil est actuellement inscrit au service ;
le réseau auquel lʼappareil est connecté a accès à Internet (pour les communications APNs) ;
le réseau auquel lʼappareil est connecté doit être en mesure dʼaccéder aux hôtes Apple liés au service.
Pour en savoir plus, consultez l’article Utiliser les produits Apple sur des réseaux d’entreprise de l’assistance Apple.
Remarque : Apple ne contrôle pas les services de gestion des appareils tiers. Dʼautres problèmes, comme des données utiles mal configurées, peuvent également entraîner un échec des communications avec la solution.