Méthodes d’inscription à la GAM au moyen de comptes pour les appareils Apple
L’inscription d’utilisateurs et d’appareils au moyen de comptes fournit aux utilisateurs et aux organisations une façon fluide et sécurisée de configurer les appareils Apple pour le travail en les connectant à l’aide d’un compte Apple géré.
Cette approche permet de connecter un compte Apple géré et un compte Apple personnel sur le même appareil, en offrant une séparation complète des données professionnelles et personnelles. Les utilisateurs préservent la confidentialité de leurs informations personnelles, tandis que le service des TI prend en charge les apps, les réglages et les comptes professionnels.
Pour permettre la prise en charge de cette séparation, les modifications suivantes ont été apportées au traitement des apps et des sauvegardes :
Lorsqu’un utilisateur supprime un profil d’inscription, toutes les configurations et tous les réglages sont également supprimés.
Les apps gérées sont systématiquement supprimées lors de la désinscription.
Les apps installées avant l’inscription à un service de gestion des appareils ne peuvent pas être converties en apps gérées.
La restauration d’une sauvegarde ne restaure pas l’inscription au service de gestion des appareils.
Les utilisateurs qui se connectent avec leur compte Apple personnel ne peuvent pas accepter une invitation à la distribution d’une app gérée.
Même si vous pouvez créer les comptes Apple gérés manuellement, les organisations peuvent bénéficier de l’intégration à Google Workspace, Microsoft Entra ID ou leur fournisseur d’identité.
Pour en savoir plus sur l’authentification fédérée, consultez la rubrique Introduction à l’authentification fédérée pour Apple School Manager ou Introduction à l’authentification fédérée pour Apple Business Manager.
Processus d’inscription au moyen de comptes
Pour inscrire un appareil à l’aide de l’inscription d’utilisateurs ou d’appareils au moyen de comptes, l’utilisateur accède à Réglages > Général > VPN et gestion de l’appareil ou à Réglages système > Général > Gestion d’appareils, puis sélectionne le bouton « Se connecter au compte professionnel ou scolaire ».
Les quatre étapes de l’inscription à un service de gestion des appareils qui sont alors initiées sont les suivantes :
Découverte du service : L’appareil détermine l’URL d’inscription au service de gestion des appareils.
Jeton d’authentification et d’accès : L’utilisateur fournit les informations d’identification pour autoriser l’inscription et obtenir un jeton d’accès transmis à des fins d’authentification continue.
Inscription au service : Le profil d’inscription est envoyé à l’appareil, à partir duquel l’utilisateur doit se connecter à son compte Apple géré pour terminer l’inscription.
Authentification continue : Le service de gestion des appareils vérifie en continu l’identité de l’utilisateur connecté à l’aide du jeton d’accès.
Étape 1 : Découverte du service
Tout d’abord, la découverte de services détermine l’URL d’inscription du service de gestion des appareils. Pour ce faire, il utilise l’identifiant saisi par l’utilisateur, par exemple eliza@betterbag.com. Le domaine doit être un nom de domaine complet (FQDN) qui annonce le service de gestion des appareils de l’organisation de l’utilisateur.
Le déroulement est comme suit :
Étape 1
L’appareil identifie le domaine dans l’identifiant fourni (dans l’exemple ci-dessus, betterbag.com).
Étape 2
L’appareil demande la ressource bien connue du domaine de l’organisation, par exemple https://<domain>/.well-known/com.apple.remotemanagement.
Le client inclut deux paramètres de requête dans le chemin URL de la requête HTTP GET :
user-identifier : La valeur de l’identifiant de compte saisi (dans l’exemple ci-dessus, eliza@betterbag.com).
model-family : La famille du modèle d’appareil (par exemple iPhone, iPad, Mac).
Remarque : L’appareil suit les demandes de redirection HTTP 3xx, ce qui permet au fichier com.apple.remotemanagement d’être hébergé sur un autre serveur accessible par l’appareil.
Grâce au processus de découverte de services sur les appareils sous iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, ou versions ultérieures, un appareil peut récupérer la ressource bien connue à partir d’un autre emplacement spécifié par le service de gestion des appareils lié à Apple School Manager ou Apple Business Manager. La principale préférence de la découverte de services est encore la ressource bien connue du domaine de l’organisation. Si la demande échoue, l’appareil vérifie auprès d’Apple School Manager ou d’Apple Business Manager afin d’obtenir un autre emplacement de la ressource bien connue. Ce processus nécessite qu’Apple School Manager ou Apple Business Manager vérifie le domaine dans l’identifiant. Pour en savoir plus, consultez la rubrique Ajouter et vérifier un domaine dans Apple School Manager ou Ajouter et vérifier un domaine dans Apple Business Manager.
Pour utiliser cette fonctionnalité, le service de gestion des appareils doit configurer l’URL de découverte de services alternative lorsqu’il est associé à Apple School Manager ou Apple Business Manager. Lorsque l’appareil s’adresse à Apple School Manager ou Apple Business Manager, le type d’appareil détermine le service assigné pour ce type, le même processus que pour définir le service par défaut pour l’inscription automatisée des appareils. Si le service assigné a une URL de découverte de services configuré, l’appareil demande la ressource bien connue à partir de cet emplacement. Pour définir l’assignation d’appareil par défaut, consultez Définir l’assignation d’appareil par défaut dans Apple School Manager ou Définir l’assignation d’appareil par défaut dans Apple Business Manager.
Le service de gestion des appareils peut également héberger la ressource bien connue.
Étape 3
En réponse, le serveur qui héberge la ressource bien connue envoie un document JSON de découverte de services conforme au schéma suivant :
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Les clés d’inscription au service des gestion des appareils, leurs types et descriptions se trouvent dans le tableau suivant. Toutes les clés requises.
Clé | Type | Description |
|---|---|---|
Serveurs | Tableau | Une liste comptant une seule entrée. |
Version | Chaîne | Cette clé détermine la méthode d’inscription à utiliser et doit être soit |
BaseURL | Chaîne | L’URL d’inscription du service de gestion des appareils. |
Important : Le serveur doit s’assurer que le champ d'en-tête Content-Type dans la réponse HTTP est défini à application/json.
Étape 4
L’appareil envoie une demande HTTP POST à l’URL d’inscription spécifiée par la BaseURL.
Étape 2 : Jeton d’authentification et d’accès
Pour autoriser l’inscription, l’utilisateur doit s’authentifier avec le service de gestion des appareils. Lorsque l’authentification est réussie, le service de gestion des appareils émet un jeton d’accès à l’appareil. L’appareil stocke sécuritairement le jeton pour qu’il soit utilisé lors de l’autorisation de demandes ultérieures.
Le jeton d’accès :
est un élément central du processus d’authentification initial de même que de l’accès continu aux ressources du service de gestion des appareils;
sert de pont sécurisé entre le compte Apple géré de l’utilisateur et le service de gestion des appareils;
est utilisé pour permettre un accès continu aux resources professionnelles pour toutes les inscriptions au moyen de comptes.
Sur l’iPhone, l’iPad et l’Apple Vision Pro, le processus d’authentification initial et continu peut être simplifié au moyen de l’authentification unique d’inscription pour réduire les demandes répétées d’authentification. Pour plus d’informations, consultez Authentification unique d’inscription pour l’iPhone, l’iPad et l’Apple Vision Pro.
Étape 3 : Inscription au service de gestion des appareils
À l’aide du jeton d’accès, l’appareil peut s’authentifier avec le service de gestion des appareils et accéder au profil d’inscription. Ce profil contient toutes les informations nécessaires à l’appareil pour procéder à l’inscription. Pour terminer l’inscription, l’utilisateur doit se connecter à son compte Apple géré. Une fois l’inscription terminée, le compte Apple géré s’affiche distinctement dans Réglages et Réglages système.
Pour plus d’informations sur les services iCloud disponibles aux utilisateurs, consultez Accès aux services iCloud.
Étape 4 : Authentification continue
Après l’inscription, le jeton d’accès reste actif et est inclus dans toutes les demandes au service de gestion des appareils utilisant l’en-tête HTTP Authorization. Ainsi, le service de gestion des appareils vérifie en continu l’utilisateur, contribuant à assurer que seuls les utilisateurs autorisés aient accès aux ressources organisationnelles.
Les jetons d’accès expirent habituellement après une période définie. Dans ce cas, l’appareil pourrait inviter l’utilisateur à s’authentifier de nouveau pour renouveler le jeton d’accès. La revalidation périodique aide à sécuriser le téléversement, ce qui est important aussi bien pour les appareils personnels que pour ceux appartenant à l’organisation. Avec l’authentification unique d’inscription, le renouvellement de jeton est effectué automatiquement par le fournisseur d’identité de l’organisation, garantissant un accès ininterrompu sans nouvelle authentification.
En savoir plus sur la séparation des données de l’utilisateur et de l’organisation à l’aide des méthodes d’inscription au moyen de comptes
Une fois l’inscription des utilisateurs ou des appareils basée sur les comptes terminée, le système d’exploitation crée automatiquement des clés de chiffrement distinctes sur l’appareil. Si l’utilisateur désinscrit l’appareil ou si le service de gestion des appareils le désinscrit à distance, le système d’exploitation détruit ces clés de chiffrement. Le système d’exploitation utilise les clés pour distinguer par chiffrement les données gérées dans le tableau ci-dessous.
Contenu | Versions des systèmes d’exploitation minimum prises en charge | Description | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Conteneurs de données des apps gérées | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les apps gérées utilisent le compte Apple géré associé à l’inscription au service de gestion des appareils pour la synchronisation des données iCloud. Cela comprend les apps gérées (installées avec la clé | |||||||||
App Calendrier | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Les événements sont distincts. | |||||||||
Les éléments de trousseau | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | L’app Mac tierce doit se servir de l’interface API du trousseau de protection des données. Pour en savoir plus, consultez la page de la variable globale kSecUseDataProtectionKeychain sur le site Web Apple Developer. | |||||||||
App Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les pièces jointes et le corps des courriels sont distincts. | |||||||||
App Notes | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les notes sont distinctes. | |||||||||
App Rappels | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Les rappels sont distincts. | |||||||||
Sur l’iPhone, l’iPad et l’Apple Vision Pro, les apps gérées et les documents Web gérés ont tous accès à l’iCloud Drive d’une organisation (qui apparaît distinctement dans l’app Fichiers une fois que l’utilisateur a connecté son appareil à son compte Apple géré). L’administrateur du service de gestion des appareils peut contribuer à maintenir certains documents de l’utilisateur et de l’entreprise distincts en utilisant des restrictions précises. Pour plus d’informations, consultez Distribution d’apps gérées aux appareils Apple.
Si un utilisateur est connecté avec un compte Apple personnel et un compte Apple géré, Connexion avec Apple utilise automatiquement le compte Apple géré pour les apps gérées et le compte Apple personnel pour les apps non gérées. Lors de l’utilisation d’un flux de connexion dans Safari ou SafariWebView au sein d’une app gérée, l’utilisateur peut sélectionner et accéder à son compte Apple géré pour associer la connexion à son compte professionnel ou scolaire.
