Introduction aux profils de gestion des appareils mobiles
iOS, iPadOS, macOS, tvOS, watchOS 10, et visionOS 1.1, ou toutes versions ultérieures, possèdent une structure intégrée qui prend en charge la gestion des appareils mobiles (GAM). La GAM vous permet de configurer des appareils de façon sécuritaire et sans fil en leur envoyant des profils et des commandes, qu’ils appartiennent à l’utilisateur ou à votre organisation. Les capacités de la GAM comprennent la mise à jour des réglages des appareils et des logiciels, la supervision du respect des règles de l’organisation et l’effacement ou le verrouillage des appareils à distance. Les utilisateurs peuvent inscrire leurs propres appareils à la GAM et les appareils appartenant à l’organisation peuvent y être inscrits automatiquement à l’aide d’Apple School Manager ou d’Apple Business Manager. Si vous utilisez Apple Business Essentials, vous pouvez également utiliser la gestion des appareils qui y est intégrée.
Vous devez comprendre certains concepts avant d’utiliser la GAM. Lisez les prochaines sections pour comprendre comment elle utilise les profils d’inscription et de configuration, la supervision et les entités.
Inscription des appareils
L’inscription dans la GAM implique l’inscription des identités de certificat des clients à l’aide de protocoles tels que l’environnement automatisé de gestion des certificats (ACME) ou le protocole d’inscription de certificats simple (SCEP). Les appareils utilisent ces protocoles afin de créer des certificats d’identité uniques pour authentifier les services d’une organisation.
Sauf si l’inscription est automatisée, ce sont les utilisateurs qui décident de s’inscrire à la GAM, et ils peuvent dissocier leurs appareils à tout moment. Il est recommandé de recourir à des incitations pour encourager les utilisateurs à rester inscrits. Par exemple, vous pouvez exiger l’inscription à la solution de gestion des appareils mobiles contre l’obtention d’un accès au réseau Wi-Fi, afin de fournir automatiquement les données d’identification sans fil. Lorsqu’un utilisateur quitte la GAM, son appareil tente d’informer la solution de GAM qu’il ne peut plus être géré.
Dans le cas des appareils appartenant à votre organisation, vous pouvez utiliser Apple School Manager, Apple Business Manager ou Apple Business Essentials pour les inscrire automatiquement à la GAM et les superviser par connexion sans fil durant leur configuration initiale, ce processus d’inscription s’appelle l’inscription automatisée des appareils.
GAM et protection en cas de vol de l’appareil
Lorsque la protection en cas de vol de l’appareil est activée, les actions suivantes sont retardées d’une heure si l’utilisateur se trouve dans un lieu inhabituel :
Inscription manuelle de l’appareil à la GAM
Installation manuelle d’un profil ou d’une configuration de code
Configuration d’un compte Microsoft Exchange dans les réglages, ou au moyen d’un profil ou d’une configuration
Profils d’inscription
Un profil d’inscription est l’un des deux principaux moyens par lesquels les utilisateurs peuvent inscrire un appareil personnel dans une solution de GAM (l’autre étant l’inscription des utilisateurs). La solution de GAM envoie des commandes à l’appareil et, le cas échéant, des profils de configuration supplémentaires à l’aide de ce profil, qui contient une entité de GAM. Le profil peut également interroger l’appareil pour obtenir des informations, telles que son statut de verrouillage d’activation, le niveau de sa batterie et son nom.
Lorsqu’un utilisateur supprime un profil d’inscription, tous les profils de configuration, leurs réglages ainsi que les apps gérées associées à ce profil d’inscription sont également supprimés. Il ne peut y avoir qu’un seul profil d’inscription installé à la fois sur chaque appareil.
Une fois le profil d’inscription approuvé, soit par l’appareil, soit par l’utilisateur, les profils de configuration comprenant des entités sont livrés à l’appareil. Vous pouvez ensuite distribuer, gérer et configurer par connexion sans fil des apps et des livres achetés par Apple School Manager, Apple Business Manager ou Apple Business Essentials. Les utilisateurs peuvent installer des apps, ou elles peuvent être installées automatiquement selon le type d’app, son attribution et si l’appareil est supervisé. Pour plus d’informations, consultez À propos de la supervision d’appareils Apple.
Profils de configuration
Un profil de configuration est un fichier XML (qui se termine par .mobileconfig) composé d’entités qui chargent des réglages et des informations d’autorisation sur les appareils Apple. Les profils de configuration permettent d’automatiser la configuration des réglages, des comptes, des restrictions et des informations de connexion. Ces fichiers peuvent être créés par une solution de GAM ou Apple Configurator pour Mac, ou manuellement. Pour en savoir plus sur la création ou l’installation de profils de configuration au moyen d’Apple Configurator pour Mac sur les iPhone, iPad et Apple TV, consultez la rubrique Créer et modifier des profils de configuration dans le guide d’utilisation d’Apple Configurator pour Mac.
Les profils de configuration pouvant être chiffrés et signés, vous pouvez limiter leur utilisation à un appareil Apple spécifique et, hormis les noms d’utilisateur et les mots de passe, empêcher quiconque de modifier les réglages qu’ils contiennent. Vous pouvez également marquer un profil de configuration comme étant verrouillé sur l’appareil.
Si votre solution de GAM prend en charge cette opération, vous pouvez distribuer des profils de configuration en pièce jointe, par un lien sur votre propre page Web ou par le portail utilisateur intégré à votre solution de GAM. Lorsque les utilisateurs ouvrent la pièce jointe au courrier électronique ou téléchargent le profil de configuration à l’aide d’un navigateur Web, ils sont invités à lancer son installation.
Vous pouvez transmettre un profil de configuration qui modifiera les réglages d’un appareil ou d’un seul utilisateur :
Les profils d’appareil peuvent être envoyés aux appareils et aux groupes d’appareils afin d’appliquer des réglages à l’échelle des appareils.
Les iPhone, iPad, Apple TV, Apple Watch, et Apple Vision Pro ne sont pas en mesure de reconnaître plusieurs utilisateurs. Par conséquent, les profils de configuration créés à partir d’entités et de réglages iOS, iPadOS, tvOS, watchOS 10 et visionOS 1.1, ou les versions ultérieures, sont systématiquement des profils d’appareil. Bien que les profils iPadOS soient des profils d’appareil, les iPad configurés pour iPad partagé peuvent prendre en charge les profils d’appareil ou d’utilisateur.
Les profils d’utilisateur peuvent être envoyés aux utilisateurs et (si la solution de GAM les prend en charge) aux groupes d’utilisateurs pour appliquer des réglages uniquement aux utilisateurs visés. Puisque les ordinateurs Mac peuvent avoir plusieurs utilisateurs, les entités et les réglages des profils macOS peuvent être basés sur l’appareil ou sur l’utilisateur. Le compte d’utilisateur créé par l’entremise d’Assistant réglages est considéré comme étant géré par la solution de GAM et peut recevoir des profils. Sous macOS 11 ou toute version ultérieure, un compte administrateur créé par une solution de GAM lors de l’inscription peut être facultativement géré à la place de l’autre compte. Quant aux déploiements liés à Active Directory, l’utilisateur réseau actuellement connecté devient gérable par la GAM.
Les réglages des appareils et des utilisateurs varient en fonction de l’emplacement : les réglages installés au niveau du système se trouvent dans un canal d’appareil et ceux installés pour un utilisateur se trouvent dans un canal d’utilisateur.
Pour en savoir plus sur l’installation de profils et le mode de confinement, consultez l’article de l’assistance Apple À propos du mode de confinement.
Suppression des profils
La façon de supprimer les profils dépend de comment ils ont été installés. La séquence suivante indique comment supprimer un profil :
1. Tous les profils sont supprimables par l’effacement de toutes les données de l’appareil.
2. Si l’appareil a été inscrit à la solution de GAM au moyen d’Apple School Manager, d’Apple Business Manager ou d’Apple Business Essentials, l’administrateur peut choisir si le profil d’inscription peut être supprimé par l’utilisateur ou s’il peut être supprimé uniquement par le serveur de GAM.
3. Si le profil est installé par une solution de GAM, il doit être supprimé par celle-ci ou en désinscrivant l’utilisateur de la GAM par la suppression du profil de configuration d’inscription.
4. Si le profil est installé sur un appareil supervisé à l’aide d’Apple Configurator, cette instance de supervision d’Apple Configurator peut le supprimer.
5. Si le profil est installé manuellement sur un appareil supervisé ou à l’aide d’Apple Configurator, et que le profil est doté d’une entité de mot de passe de suppression, l’utilisateur doit saisir ce mot de passe pour supprimer le profil.
6. Les autres profils sont tous supprimables par l’utilisateur.
Un compte installé par un profil de configuration ne peut être supprimé qu’en supprimant ce profil. Un compte Microsoft Exchange ActiveSync, y compris s’il a été installé par un profil de configuration, peut être supprimé par Microsoft Exchange Server en exécutant la commande de réinitialisation à distance ne concernant que les comptes.
Important : Si les utilisateurs connaissent le code de l’appareil, ils peuvent supprimer les profils de configuration installés manuellement sur les iPhone et iPad qui ne sont pas supervisés, même si l’option est réglée à « Jamais ». Les utilisateurs de Mac peuvent faire la même chose uniquement si l’utilisateur connaît le nom d’utilisateur et le mot de passe d’un administrateur. Ils peuvent le faire à l’aide de l’outil de ligne de commande profiles
dans Réglages système (sous macOS 13 ou une version ultérieure) ou dans Préférences Système (sous macOS 12.0.1 ou une version antérieure). Sous macOS 10.15 ou une version ultérieure, tout comme sous iOS et iPadOS, les profils installés au moyen de la GAM doivent être supprimés par celle-ci. Sinon, ces profils sont supprimés automatiquement lors de toute désinscription de la solution de GAM.
Exigences de la GAM en matière de communication
La communication d’une solution de GAM tierce avec les appareils Apple devrait aboutir quand :
la solution de GAM a été correctement configurée et testée, et qu’elle fonctionne sans problème;
le certificat APN est valide et en vigueur;
l’appareil est en marche;
l’appareil est actuellement inscrit à la GAM;
le réseau auquel l’appareil est connecté a accès à Internet (pour les communications APN);
le réseau auquel l’appareil est connecté est en mesure d’accéder aux hôtes Apple associés à la GAM.
Pour en savoir plus, consultez l’article de l’assistance Apple Utiliser les produits Apple sur les réseaux d’entreprise.
Remarque : Apple ne contrôle pas les solutions de GAM tierces. D’autres problèmes tels qu’une entité de GAM mal configurée peuvent aussi entraîner l’échec des communications de GAM.
Appareils Apple pris en charge
Les appareils Apple suivants intègrent un cadre d’application qui prend en charge la GAM :
iPhone exécutant iOS 4 ou version ultérieure
iPad avec iOS 4.3, iPadOS 13.1 ou une version ultérieure
Ordinateurs Mac avec OS X 10.7 ou version ultérieure
Apple TV avec tvOS 9 ou version ultérieure
Apple Watch avec watchOS 10 ou version ultérieure
Apple Vision Pro avec visionOS 1.1 ou version ultérieure
Remarque : Les options ne sont pas toutes disponibles dans toutes les solutions de GAM. Afin de découvrir les options de GAM disponibles pour vos appareils, consultez la documentation de votre fournisseur de GAM.