Introduction aux services de gestion des appareils dans Apple Business
Aperçu
iOS, iPadOS, macOS, tvOS, visionOS et watchOS ont un cadre intégré qui prend en charge la gestion des appareils. Un service de gestion d’appareils permet à une organisation de configurer des appareils à distance et en toute sécurité en envoyant des configurations, des profils et des commandes à l’appareil, qu’il appartienne à l’utilisateur ou utilisatrice ou à votre organisation. Il permet aussi à l’appareil d’appliquer des paramètres de manière asynchrone et de retourner son état au service de gestion des appareils sans interrogation constante. C’est idéal en termes de performance et d’évolutivité. La gestion déclarative des appareils offre aux organisations une plus grande confiance que les appareils sont dans l’état souhaité et que les données essentielles sont sécurisées, même sans connexion Internet. Et du point de vue de l’utilisateur ou de l’utilisatrice, ça offre une expérience beaucoup plus réactive. Les fonctionnalités incluent la mise à jour des logiciels et des réglages de l’appareil, la surveillance de la conformité aux politiques organisationnelles, ainsi que l’effacement ou le verrouillage à distance des appareils.
Vous pouvez affecter des appareils à un service de gestion des appareils afin de désigner les services qui doivent être utilisés pour l’inscription d’appareils et l’inscription automatisée d’appareils. L’attribution d’un système de gestion des appareils n’a aucune incidence sur une inscription existante d’un appareil. La différence entre les deux méthodes d’inscription est la suivante :
Inscription des appareils : les appareils sont inscrits par l’utilisateur ou l’utilisatrice une fois l’assistant de configuration terminé.
Inscription automatisée des appareils : les appareils apparaissent dans l’assistant réglages.
Vous pouvez également affecter automatiquement des appareils à un service par plateforme, par appareil sur la page de l’appareil, par une action groupée et avec Apple Configurator pour iPhone.
Selon vos critères, vous pouvez créer une courte liste de services de gestion des appareils et les configurer à titre d’essai avec seulement quelques appareils de test afin d’évaluer quelle solution répond le mieux à vos besoins avant de prendre une décision finale. Apple Business vous permet de vous connecter à plusieurs services de gestion d’appareils et d’affecter des appareils à différents services selon vos besoins.
Avant de commencer
Avant de vous connecter à un service de gestion d’appareils externe, veuillez consulter les informations ci-dessous :
Sécurité : chaque service de gestion d’appareils externe que vous créez doit être reconnu par Apple et nécessite une autorisation sécurisée par un processus de validation en deux étapes. Ce processus implique la création et l’installation d’un jeton du service de gestion d’appareils sur votre service de gestion d’appareils. Le certificat chiffre le jeton. Pour en savoir plus sur le transfert du jeton, consultez la documentation de votre service de gestion d’appareils.
Certificats : avant d’ajouter un service de gestion d’appareils externe, obtenez le fichier de clé publique (se terminant par .pem ou .der) auprès du développeur de votre service de gestion d’appareils pour chaque service que vous souhaitez ajouter. Consultez la documentation de votre service de gestion d’appareils pour savoir comment obtenir le certificat de clé publique du service.
Remarque : Vous ne pouvez pas télécharger plus de 250 fichiers de certificats de clé publique.
Noms : lorsque vous nommez chaque service de gestion des appareils externe, il n’est pas nécessaire d’utiliser le nom de domaine complet. Par exemple, vous pouvez choisir un nom basé sur un bâtiment, un site, une salle ou une fonction professionnelle (mais vous ne pouvez pas utiliser le même nom pour plusieurs services). Vous ne pouvez pas non plus nommer vos services « Non attribué » ou « Réattribué ».
Prise en charge des appareils : Certains services de gestion d’appareils sont conçus pour une prise en charge approfondie de types d’appareils Apple spécifiques, par exemple les ordinateurs Mac ou les appareils iPhone et iPad, tandis que d’autres offrent une prise en charge multiplateforme. Vous pouvez choisir un mélange de développeurs afin que chaque type d’appareil soit pris en charge par une solution spécialisée. L’attribution automatique par type d’appareil simplifie les choses. Ou choisissez un développeur qui prend en charge tous les types d’appareils Apple utilisés dans votre organisation.
Services de requête et de rapport : Un service de gestion des appareils peut interroger les appareils Apple pour obtenir diverses informations, notamment le numéro de série du matériel, l’UDID de l’appareil, le Wi-Fi, l’adresse MAC (Media Access Control) et l’état du chiffrement FileVault (pour les ordinateurs Mac). Il peut aussi interroger le système pour obtenir des informations sur les logiciels, comme la version de l’appareil et les restrictions, et énumérer les apps installées sur l’appareil. Ces renseignements peuvent être utilisés pour s’assurer que les utilisateurs et utilisatrices utilisent les apps appropriées. iOS et iPadOS permettent d’effectuer des requêtes concernant la dernière sauvegarde d’un appareil sur iCloud, ainsi que sur le hachage du compte d’attribution d’app de l’utilisateur connecté. Sous tvOS, un service de gestion des appareils peut interroger les appareils Apple TV enregistrés pour obtenir des informations sur les ressources telles que la langue, les paramètres régionaux et l’organisation.
Accès et politiques du soutien aux fournisseurs : un service de gestion des appareils est un service essentiel à la mission. Vous devez évaluer le soutien, les services et toute formation fournis par le développeur de votre service de gestion des appareils.
Configuration réseau requise pour votre service de gestion des appareils
Lors de l’installation et de la configuration de votre service de gestion des appareils, tenez compte de la manière dont vous configurerez le réseau, la sécurité de la couche de transport (TLS), les services d’infrastructure, les services Apple et la sauvegarde.
Lorsque vous installez un service de gestion d’appareils hébergé localement, vous devez configurer tous les éléments suivants. Configurez et testez chaque élément tôt dans le processus afin d’assurer un déploiement sans accroc. Si votre service de gestion des appareils est géré en externe ou hébergé dans le nuage, le développeur peut gérer plusieurs de ces éléments pour votre compte :
DNS : un service de gestion d’appareils doit utiliser un nom de domaine pleinement qualifié qui peut être résolu à la fois de l’intérieur et de l’extérieur du réseau de l’organisation. Cela permet au service de gérer les appareils, qu’ils soient connectés localement ou à distance. Afin de maintenir la connectivité avec les client·es, ce nom de domaine ne peut pas changer.
Adresse IP : la plupart des services de gestion d’appareils nécessitent une adresse IP statique. Le nom DNS existant doit être conservé si l’adresse IP du serveur est modifiée.
Configuration avec TLS : toutes les communications entre les appareils Apple et le service de gestion des appareils sont chiffrées avec HTTPS. Un certificat TLS (anciennement SSL) est requis pour sécuriser ces communications. Ne déployez pas d’appareils sans certificat provenant d’une autorité de certification (CA) reconnue. Notez la date d’expiration et assurez-vous de renouveler le certificat avant son expiration.
Ports du pare-feu : pour permettre l’accès interne et externe au service de gestion d’appareils, certains ports du pare-feu doivent être ouverts. La plupart des services de gestion d’appareils acceptent les connexions entrantes par HTTPS sur le port 443. Les appareils Apple doivent pouvoir se connecter à des ports spécifiques sur des hôtes spécifiques :
Le port TCP 443 est utilisé lors de l’activation de l’appareil, puis comme solution de repli si les appareils ne peuvent pas accéder aux APN sur le port 5223
Port TCP 5223 pour communiquer avec les APN
Port TCP 443 ou 2197 pour envoyer des notifications du service de gestion d’appareils aux APN
Remarque : Votre service de gestion des appareils peut héberger des clés de sécurité et des codes de contournement pour le verrouillage d’activation, des jetons d’amorçage macOS et d’autres données uniques importantes pour la continuité de l’accès à l’appareil. Pour cette raison, assurez-vous d’avoir une solide stratégie de reprise après sinistre pour votre service de gestion des appareils sur site. Il est recommandé de tester régulièrement les sauvegardes et les restaurations.
Gestion supplémentaire des appareils
La supervision indique généralement que l’appareil appartient à l’organisation, ce qui lui confère un contrôle supplémentaire sur sa configuration et ses restrictions. Il existe différentes façons pour les organisations de superviser les appareils; certaines varient selon la plateforme. Consultez À propos de la supervision d’appareils Apple dans Déploiement des plateformes Apple.