Gestion de l’accès des accessoires aux appareils Apple
Gestion des ordinateurs Mac
La sécurité des accessoires (appelée mode restreint) pour macOS est conçue de façon à protéger les clients contre les attaques par accès rapproché perpétrées au moyen d’accessoires connectés. Sur les ordinateurs portables Mac avec puce Apple sous macOS 13 ou une version ultérieure, la configuration par défaut est de demander à l’utilisateur d’autoriser les nouveaux accessoires. L’utilisateur dispose de quatre options dans Réglages système pour autoriser la connexion d’accessoires :
Demander à chaque fois
Demander pour les nouveaux accessoires
Automatiquement une fois déverrouillé
Toujours
Si un utilisateur ajoute un accessoire inconnu (Thunderbolt, USB, ou – sous macOS 13.3 ou une version ultérieure – des cartes SDXC) à un Mac verrouillé, il est invité à déverrouiller le Mac. Les accessoires approuvés peuvent être connectés à un Mac verrouillé pendant un maximum de 3 jours à partir du moment où le Mac a été verrouillé pour la dernière fois. Tout accessoire ajouté après 3 jours incite l’utilisateur à « Déverrouiller pour utiliser les accessoires ».
Dans certains environnements, il peut être nécessaire de contourner l’autorisation de l’utilisateur. Les solutions de GAM peuvent contrôler ce comportement en utilisant la restriction existante allowUSBRestrictedMode pour autoriser systématiquement les accessoires.
Remarque : Ces connexions excluent les adaptateurs de courant, les écrans non Thunderbolt, les concentrateurs approuvés, les cartes intelligentes jumelées, un Mac qui se trouve dans Assistant réglages ou qui a été démarré à partir de recoveryOS.
Gestion des appareils iPhone et iPad
La gestion des ordinateurs hôtes avec lesquels des iPhone et iPad peuvent être jumelés est importante pour la sécurité et la convivialité. Par exemple, la capacité de se connecter sécuritairement à des stations en libre-service pour mettre à jour les logiciels ou partager la connexion Internet d’un ordinateur Mac requiert une relation de confiance entre l’iPhone ou l’iPad et l’ordinateur hôte.
Le jumelage est habituellement effectué par l’utilisateur lorsqu’il connecte son appareil à un ordinateur hôte au moyen d’un câble USB (ou Thunderbolt si le modèle d’iPad le prend en charge). Une invite s’affiche sur l’appareil de l’utilisateur pour lui demander s’il souhaite faire confiance à l’ordinateur.
L’utilisateur est ensuite invité à entrer son code pour confirmer sa décision. Toute connexion ultérieure au même ordinateur hôte sera automatiquement acceptée à l’avenir. Les utilisateurs peuvent effacer les relations de confiance pour le jumelage en accédant à Réglages > Général > Réinitialiser > Réin. localisation et confidentialité, ou en effaçant leur appareil. De plus, ces registres de confiance sont supprimés après 30 jours d’inutilisation.
Administration de la GAM pour le jumelage avec un hôte
Un administrateur peut gérer la capacité des appareils Apple supervisés à autoriser manuellement la connexion à des ordinateurs hôtes au moyen de la restriction Autoriser le jumelage avec des hôtes sans Apple Configurator. En désactivant la capacité de jumelage avec un hôte (et par la distribution sur les appareils des identités de supervision adéquates), l’administrateur s’assure que seuls les ordinateurs de confiance qui disposent d’un certificat hôte de supervision valide sont autorisés à accéder aux iPhone et iPad en question par connexion USB (ou Thunderbolt, si prise en charge par le modèle d’iPad). Si aucun certificat hôte de supervision n’a été configuré sur l’ordinateur hôte, le jumelage est entièrement désactivé.
Remarque : Le réglage d’inscription d’appareils Apple allow_pairing est obsolète depuis iOS 13 et iPadOS 13.1. Les administrateurs doivent plutôt utiliser les directives ci-dessus à l’avenir, car elles offrent plus de flexibilité en autorisant le jumelage avec les hôtes de confiance. Les réglages de jumelage avec un hôte peuvent alors être modifiés sans l’effacement de l’iPhone ou iPad.
Sécurisation des processus de restauration sans jumelage
Sous iOS 14.5 et iPadOS 14.5 ou les versions ultérieures, un ordinateur hôte non jumelé ne peut pas redémarrer un appareil dans recoveryOS (aussi appelé mode de récupération) et le restaurer sans interaction physique sur place. Avant cette modification, un utilisateur non autorisé pouvait effacer et restaurer l’appareil d’un utilisateur sans interagir directement avec l’iPhone ou iPad. Il suffisait d’avoir accès à un ordinateur et à une connexion USB (ou Thunderbolt, si prise en charge par le modèle d’iPad) à l’appareil cible, sous la forme d’une installation de charge par exemple.
Restriction du démarrage externe pour restaurer un iPhone ou iPad
Par défaut, iOS 14.5 et iPadOS 14.5 ou les versions ultérieures restreignent cette capacité de récupération aux ordinateurs hôtes auxquels la confiance a déjà été accordée. Les administrateurs qui ne veulent pas utiliser ce comportement plus sécuritaire peuvent activer la restriction Autoriser le démarrage en mode de récupération d’un appareil iOS ou iPadOS à partir d’un hôte non jumelé.
Utilisation d’adaptateurs Ethernet avec l’iPhone ou l’iPad
Un iPhone ou iPad doté d’un adaptateur Ethernet compatible maintient une connexion active à un réseau connecté même avant le déverrouillage initial de l’appareil, si la restriction est désactivée sur ce dernier. Cette approche est utile lorsque l’appareil doit recevoir une commande de GAM alors que les réseaux Wi‑Fi et cellulaire sont indisponibles, et que l’appareil n’a pas été déverrouillé depuis qu’il a été démarré à partir d’un état d’arrêt ou redémarré (par exemple, si la GAM tente d’effacer un appareil alors que l’utilisateur a oublié son code).
Le réglage du mode restreint sur un iPhone ou iPad peut être géré par :
l’administrateur GAM disposant de la restriction du mode restreint USB – cela nécessite que l’appareil soit supervisé;
l’utilisateur dans Réglages > Touch/Face ID et code > Accessoires.