iCloud pour les comptes Apple gérés
Selon le modèle de déploiement de votre organisation, les utilisateurs de vos appareils gérés pourraient utiliser leur compte Apple personnel, un compte Apple géré, les deux ou aucun des deux.
Quant aux utilisateurs d’appareils appartenant à votre organisation, envisagez de leur fournir un compte Apple géré. Ce compte étant la propriété de votre organisation, vous pouvez gérer les services auxquels il a accès et les appareils auxquels il peut se connecter.
Services iCloud
Avec les services iCloud accessibles au moyen d’un compte Apple géré, les utilisateurs peuvent stocker du contenu comme des contacts, calendriers, documents et notes, et le maintenir à jour sur plusieurs appareils Apple. iCloud sécurise le contenu en le chiffrant lorsqu’il transite par Internet, en le stockant dans un format chiffré et en utilisant des jetons sécurisés lors de l’authentification. Pour en savoir plus sur la sécurité iCloud, consultez la rubrique Aperçu de la sécurité iCloud dans la documentation « Sécurité des plateformes Apple ».
Remarque : Certaines fonctionnalités d’iCloud requièrent une connexion Wi‑Fi, certaines fonctionnalités ne sont pas offertes dans tous les pays ni dans toutes les régions, et l’accès à certains services est limité à dix appareils associés au même compte Apple.
iCloud Drive
Les utilisateurs peuvent stocker leurs documents et fichiers sur iCloud Drive et y accéder à partir d’iPhone, d’iPad, de Mac ou d’ordinateurs Windows sur lesquels iCloud est configuré. Les documents sont synchronisés avec tous les appareils, et les modifications apportées à un fichier lorsque l’utilisateur est hors ligne seront automatiquement mises à jour dès que l’appareil sera à nouveau en ligne.
Les utilisateurs peuvent aussi configurer leurs dossiers Bureau et Documents de macOS afin qu’ils soient stockés automatiquement dans iCloud Drive de sorte que leur contenu soit disponible sur tous les appareils de l’utilisateur.
Les utilisateurs peuvent même collaborer à des documents stockés dans iCloud Drive si ces derniers ont été créés à partir de Pages, Numbers, Keynote ou d’une autre app prenant en charge CloudKit. Quant aux comptes Apple gérés, les organisations peuvent définir si une collaboration est possible avec les utilisateurs internes et externes ou uniquement avec les utilisateurs internes.
Trousseau iCloud
Le trousseau iCloud synchronise les mots de passe de réseau Wi‑Fi et des sites Web utilisés dans Safari avec tous les iPhone, iPad et Mac configurés avec iCloud. Il garde en mémoire les informations de connexion et de configuration de comptes Internet ainsi que les mots de passes d’autres apps qui prennent en charge iCloud. Le trousseau iCloud peut également garder en mémoire les informations relatives aux cartes de crédit saisies dans Safari par les utilisateurs pour permettre à Safari de les remplir automatiquement.
Le trousseau iCloud est composé de deux services :
Synchronisation du trousseau avec tous les appareils
Récupération du trousseau
Pour échanger sécuritairement les éléments du trousseau, un cercle de confiance est établi et utilisé parmi les appareils de confiance de l’utilisateur. Les nouveaux appareils qui joignent ce cercle doivent être approuvés soit par un appareil qui a déjà accès au trousseau iCloud, soit par l’entremise de la récupération du trousseau iCloud. Chaque élément synchronisé est chiffré de sorte qu’il puisse être déchiffré uniquement par un appareil faisant partie du cercle de confiance de l’utilisateur. Il ne peut être déchiffré par aucun autre appareil ni par Apple.
Le trousseau iCloud met les données du trousseau de l’utilisateur sous séquestre chez Apple sans qu’Apple puisse lire les mots de passe ni d’autres données qu’il contient. Même si l’utilisateur ne dispose que d’un appareil, la récupération du trousseau offre une protection contre la perte des données. C’est particulièrement important lorsqu’on utilise Safari pour générer de façon aléatoire des mots de passe robustes pour les comptes Web, car le seul registre de ces mots de passe se trouve dans le trousseau.
La récupération du trousseau comprend une authentification secondaire et un service sécurisé de mise sous séquestre créés spécialement par Apple pour prendre en charge cette fonctionnalité. Le trousseau de l’utilisateur est chiffré au moyen d’une clé de chiffrement robuste, et le service de mise sous séquestre fournit une copie de cette clé uniquement si un ensemble rigoureux de conditions est satisfait et que l’utilisateur saisit le code de l’un de ses anciens appareils.
Important : Les comptes Apple gérés ne prennent pas en charge la récupération du trousseau iCloud au moyen d’un contact de récupération.
Clés d’identification
Les clés d’identification sont conçues pour fournir une expérience de connexion sans mot de passe autant pratique que sécuritaire. Elles représentent une technologie basée sur des normes qui résiste l’hameçonnage, sont toujours robustes et ne partagent aucun secret.
Grâce à la prise en charge du trousseau iCloud pour les comptes Apple gérés, les organisations peuvent déployer des clés d’identification pour autoriser leur personnel à accéder aux ressources de l’entreprise et s’assurer que ces clés se synchronisent sécuritairement avec tous leurs iPhone, iPad et Mac. En utilisant la fonctionnalité de gestion de l’accès, elles peuvent aussi définir l’état de gestion requis d’un appareil pour autoriser l’accès aux clés d’identification gérées.
Une attestation déclarative de clé d’identification autorise un appareil géré à fournir une attestation lorsqu’une clé d’identification est approvisionnée pour un service organisationnel. L’attestation est fournie lorsqu’un utilisateur enregistre une clé d’identification pour un site Web ou une app qui utilise un domaine indiqué dans la configuration. Une fois que l’appareil a généré sécuritairement une clé d’identification, il utilise l’identité de certificat définie dans la configuration pour exécuter une attestation WebAuthn avec le service accédé. Ce dernier peut ainsi vérifier que la clé d’identification a été créée sur un appareil géré par l’organisation avant d’approvisionner l’accès.
Les clés d’identification générées sont automatiquement entreposées dans le trousseau iCloud associé au compte Apple géré. Si aucun compte Apple géré n’est présent, la création de la clé d’identification est impossible.
Pour offrir à l’utilisateur un processus de connexion simple, les développeurs d’apps peuvent se servir de domaines associés pour établir une association sécuritaire entre les domaines et leur app (et facultativement autoriser une configuration des domaines associés par la GAM). Si l’option est disponible, iOS, iPadOS et macOS peuvent sélectionner et fournir automatiquement les clés d’identification nécessaires pour offrir une expérience de connexion fluide. Si l’authentification est effectuée par un service tiers, ASWebAuthenticationSession peut être utilisé à la place.
Pour en savoir plus, consultez la rubrique Configuration déclarative de l’attestation de clé d’identification.
Accès aux services iCloud
La connexion au moyen d’un compte Apple géré dans Assistant réglages, ou à partir du menu du compte Apple au dessus de Réglages(iPhone et iPad) ou de Réglages système (Mac) donne accès à tous les services associés au compte.
Les utilisateurs peuvent ajouter d’autres comptes dans Réglages > Mail > Comptes (iPhone, iPad et Apple Vision Pro) ou Réglages système > Comptes Internet (Mac) pour accéder à leurs courriels (si le compte offre ce service), aux contacts et aux calendriers d’un autre compte Apple personnel, et aux contacts, aux calendriers et aux rappels d’un compte Apple géré.
L’inscription d’appareils au moyen de comptes et l’inscription d’utilisateurs étendent la liste de services accessibles sur un appareil au moyen d’un compte Apple géré aux contacts, aux calendriers, aux rappels, aux notes, à iCloud Drive et à la sauvegarde iCloud.
Gestion de l’accès à iCloud
Vous pouvez désactiver chaque service iCloud accessible par un compte Apple géré dans Apple School Manager et Apple Business Manager. De plus, vous pouvez définir quels utilisateurs d’appareils peuvent se connecter, accéder aux données de leur compte Apple géré, et spécifier avec qui ils peuvent communiquer et collaborer. Si l’utilisateur se sert principalement d’un compte Apple personnel, les organisations peuvent établir des restrictions pour désactiver certains services iCloud sur les appareils gérés. Notez que certaines restrictions nécessitent la supervision de l’appareil.