Introduction aux profils de gestion des appareils
Service de gestion des appareils qui permet à un administrateur de configurer à distance et en toute sécurité des appareils en envoyant des configurations, des profils et des commandes à l’appareil, qu’il appartienne à l’utilisateur ou à votre organisation. Les fonctionnalités comprennent la mise à jour des réglages des appareils et des logiciels, la supervision du respect des règles de l’organisation et l’effacement ou le verrouillage des appareils à distance. Les utilisateurs peuvent inscrire leurs propres appareils à un service de gestion des appareils et les organisations peuvent effectuer l’inscription automatiquement des appareils qui leur appartiennent à l’aide d’Apple School Manager ou d’Apple Business Manager.
Vous devez comprendre certains concepts avant d’utiliser un service de gestion des appareils. Lisez les prochaines sections pour comprendre comment il utilise les profils d’inscription et de configuration, la supervision et les entités.
Appareils Apple pris en charge
Les appareils Apple suivants intègrent un cadre d’application qui prend en charge la gestion des appareils :
iPhone exécutant iOS 4 ou version ultérieure
iPad avec iOS 4.3, iPadOS 13.1 ou une version ultérieure
Ordinateurs Mac avec OS X 10.7 ou version ultérieure
Apple TV avec tvOS 9 ou version ultérieure
Apple Watch avec watchOS 10 ou version ultérieure
Apple Vision Pro avec visionOS 1.1 ou version ultérieure
Inscription des appareils
L’inscription à un service de gestion des appareils consiste à inscrire des identités de certificat des clients à l’aide de protocoles tels que l’environnement automatisé de gestion des certificats (ACME) ou le protocole d’inscription de certificats simple (SCEP). Les appareils utilisent ces protocoles afin de créer des certificats d’identité uniques pour authentifier les services d’une organisation.
Sauf si l’inscription est automatisée, ce sont les utilisateurs qui décident d’inscrire leur appareil, et ils peuvent dissocier leurs appareils du service à tout moment. Il est recommandé de recourir à des incitations pour encourager les utilisateurs à rester inscrits. Par exemple, vous pouvez exiger l’inscription au service de gestion des appareils contre l’obtention d’un accès au réseau Wi-Fi, afin de fournir automatiquement les données d’identification sans fil. Lorsqu’un utilisateur quitte le service, son appareil tente d’informer le service de gestion des appareils qu’il ne peut plus être géré.
Dans le cas des appareils appartenant à votre organisation, vous pouvez utiliser Apple School Manager ou Apple Business Manager pour les inscrire automatiquement à un service de gestion des appareils et les superviser par connexion sans fil durant leur configuration initiale, ce processus d’inscription s’appelle l’inscription automatisée des appareils.
Gestion des appareils et protection en cas de vol de l’appareil
Lorsque la protection en cas de vol de l’appareil est activée, le système d’exploitation retarde les actions suivantes d’une heure si l’utilisateur se trouve dans un lieu inhabituel :
Inscription manuelle de leur appareil à un service de gestion des appareils
Installation manuelle d’un profil ou d’une configuration de code
Configuration d’un compte Microsoft Exchange dans les réglages, ou au moyen d’un profil ou d’une configuration
Profils d’inscription
Un profil d’inscription est l’un des deux principaux moyens par lesquels les utilisateurs peuvent inscrire un appareil personnel dans un service de gestion des appareils (l’autre étant l’inscription des utilisateurs ou l’inscription d’appareils au moyen de comptes). Le service envoie des commandes à l’appareil et, le cas échéant, des profils de configuration supplémentaires à l’aide de ce profil, qui contient une entité. Le profil peut également interroger l’appareil pour obtenir des informations, telles que son statut de verrouillage d’activation, le niveau de sa batterie et son nom.
Lorsqu’un utilisateur supprime un profil d’inscription, tous les profils de configuration, leurs réglages ainsi que les apps gérées associées à ce profil d’inscription sont également supprimés. Il ne peut y avoir qu’un seul profil d’inscription installé à la fois sur chaque appareil.
Une fois le profil d’inscription approuvé, soit par l’appareil, soit par l’utilisateur, les profils de configuration comprenant des entités sont livrés à l’appareil. Vous pouvez ensuite distribuer, gérer et configurer par connexion sans fil des apps et des livres achetés par Apple School Manager ou Apple Business Manager. Les utilisateurs peuvent installer des apps, ou elles peuvent être installées automatiquement selon le type d’app, son attribution et si l’appareil est supervisé. Pour plus d’informations, consultez À propos de la supervision d’appareils Apple.
Profils de configuration
Un profil de configuration est un fichier XML (qui se termine par .mobileconfig) composé d’entités qui chargent des réglages et des informations d’autorisation sur les appareils Apple. Les profils de configuration permettent d’automatiser la configuration des réglages, des comptes, des restrictions et des informations de connexion. Un service de gestion des appareils peut créer ces fichiers, mais vous pouvez également les créer manuellement ou à l’aide d’Apple Configurator pour Mac. Pour en savoir plus sur la création ou l’installation de profils de configuration au moyen d’Apple Configurator pour Mac sur les iPhone, iPad et Apple TV, consultez la rubrique Créer et modifier des profils de configuration dans le guide d’utilisation d’Apple Configurator pour Mac.
Vous pouvez chiffrer et signer les profils de configuration, limiter leur utilisation à un appareil Apple spécifique et, hormis les noms d’utilisateur et les mots de passe, empêcher quiconque de modifier les réglages qu’ils contiennent. Vous pouvez également marquer un profil de configuration comme étant verrouillé sur l’appareil.
Si votre service de gestion des appareils prend en charge cette opération, vous pouvez distribuer des profils de configuration en pièce jointe, par un lien sur votre propre page Web ou par le portail utilisateur intégré à votre service. Lorsque les utilisateurs ouvrent la pièce jointe au courrier électronique ou téléchargent le profil de configuration à l’aide d’un navigateur Web, ils reçoivent une invitation à démarrer son installation.
Vous pouvez transmettre un profil de configuration qui modifiera les réglages d’un appareil ou d’un seul utilisateur :
Profils d’appareil : Vous pouvez envoyer des profils d’appareil vers des appareils et des groupes d’appareils, et appliquer les réglages à l’ensemble de ceux-ci.
Les iPhone, iPad, Apple TV, Apple Watch et Apple Vision Pro ne sont pas en mesure de reconnaître plusieurs utilisateurs. Par conséquent, les profils de configuration créés pour les appareils Apple pris en charge sont systématiquement des profils d’appareil. Bien que les profils iPadOS soient des profils d’appareil, les iPad configurés pour iPad partagé peuvent prendre en charge les profils d’appareil ou d’utilisateur.
Profils d’utilisateur : Vous pouvez envoyer les profils d’utilisateur aux utilisateurs et (si le service de gestion des appareils les prend en charge) aux groupes d’utilisateurs pour appliquer des réglages uniquement aux utilisateurs visés. Puisque les ordinateurs Mac peuvent avoir plusieurs utilisateurs, les entités et les réglages des profils macOS peuvent être basés sur l’appareil ou sur l’utilisateur. Le compte d’utilisateur que l’Assistant réglages crée est considéré comme étant géré par le service de gestion des appareils et peut recevoir des profils. Sur un Mac sous macOS 11 ou toute version ultérieure, un compte administrateur qu’un service de gestion des appareils crée lors de l’inscription peut être géré à la place de l’autre compte, au besoin. Quant aux déploiements liés à Active Directory, l’utilisateur réseau actuellement connecté devient un utilisateur géré.
Les réglages des appareils et des utilisateurs varient en fonction de l’emplacement : les réglages installés au niveau du système se trouvent dans un canal d’appareil et ceux installés pour un utilisateur se trouvent dans un canal d’utilisateur.
Pour en savoir plus sur l’installation de profils et le mode de confinement, consultez l’article de l’assistance Apple À propos du mode de confinement.
Suppression des profils
La façon de supprimer les profils dépend de comment ils ont été installés. La séquence suivante indique comment vous pouvez supprimer un profil :
1. Vous pouvez supprimer tous les profils par l’effacement de toutes les données de l’appareil.
2. Si l’appareil est inscrit à un service de gestion des appareils associé à Apple School Manager ou Apple Business Manager, l’administrateur a le choix d’autoriser l’utilisateur à supprimer le profil d’inscription ou de réserver cette opération au service de gestion des appareils.
3. Si un service de gestion des appareils installe le profil, ce service peut le supprimer ou l’utilisateur peut le supprimer en se désinscrivant du service (en supprimant le profil de configuration d’inscription).
4. Si Apple Configurator installe le profil, cette instance de supervision d’Apple Configurator peut le supprimer.
5. Si Apple Configuratorinstalle le profil ou que vous l’installez manuellement sur un appareil superviser, et que le profil est doté d’une entité de mot de passe de suppression, l’utilisateur doit saisir ce mot de passe pour supprimer le profil.
6. L’utilisateur peut supprimer tous les autres profiles.
Un compte installé par un profil de configuration ne peut être supprimé qu’en supprimant ce profil. Un compte Microsoft Exchange ActiveSync, y compris s’il a été installé par un profil de configuration, peut être supprimé par Microsoft Exchange Server en exécutant la commande de réinitialisation à distance ne concernant que les comptes.
Important : Si les utilisateurs connaissent le code de l’appareil, ils peuvent supprimer les profils de configuration installés manuellement sur les iPhone et iPad qui ne sont pas supervisés, même si l’option est réglée à Jamais. Les utilisateurs de Mac peuvent faire la même chose uniquement si l’utilisateur connaît le nom d’utilisateur et le mot de passe d’un administrateur. Ils peuvent le faire à l’aide de l’outil de ligne de commande profiles dans Réglages système (sous macOS 13 ou une version ultérieure) ou dans Préférences Système (sous macOS 12.0.1 ou une version antérieure). Sur un Mac sous macOS 10.15 ou une version ultérieure, tout comme sous iOS et iPadOS, si un service de gestion des appareils installe un profil, ce service peut le supprimer. Sinon, le système d’exploitation le supprime automatiquement lors de la désinscription de ce service.
Exigences du service de gestion des appareils en matière de communication
La communication d’un service de gestion des appareils avec les appareils Apple devrait aboutir quand :
le service de gestion des appareils configure l’appareil, le teste avec succès et s’assure qu’il fonctionne correctement;
le certificat APN est valide et en vigueur;
l’appareil est en marche;
l’appareil est inscrit au service;
le réseau auquel l’appareil est connecté a accès à Internet (pour les communications APN);
le réseau auquel l’appareil est connecté doit pouvoir accéder aux hôtes Apple associés au service.
Pour en savoir plus, consultez l’article de l’assistance Apple Utiliser les produits Apple sur les réseaux d’entreprise.
Remarque : Apple ne contrôle pas les services de gestion des appareils. D’autres problèmes tels qu’une entité mal configurée peuvent aussi entraîner l’échec des communications.