Inscription d’utilisateurs et la GAM
L’inscription d’utilisateurs est conçue pour une approche « Prenez vos appareils personnels » selon laquelle l’appareil appartient à l’utilisateur et non à l’organisation. L’inscription d’utilisateurs fonctionne avec un fournisseur d’identité, Google Workspace ou Microsoft Entra ID et Apple School Manager ou Apple Business Manager, et une solution de GAM tierce. Elle fonctionne également avec la gestion des appareils dans Apple Business Essentials.
Les quatre étapes de l’inscription d’utilisateurs à la GAM sont les suivantes :
Découverte du service : L’appareil s’identifie auprès de la solution de GAM.
Inscription d’utilisateurs : L’utilisateur fournit les informations d’identification à un fournisseur d’identité à des fins d’autorisation pour l’inscription à la solution de GAM.
Jeton de session : Un jeton de session est transmis à l’appareil pour autoriser l’authentification en cours.
Inscription à la GAM : Le profil d’inscription est envoyé à l’appareil avec les entités configurées par l’administrateur de la GAM.
Inscription d’utilisateurs et comptes Apple gérés
Inscription d’utilisateurs requiert des comptes Apple gérés. Ils sont détenus et gérés par une organisation et donnent aux employés accès à certains services Apple. En outre, les comptes Apple gérés :
sont créés manuellement ou automatiquement au moyen de l’authentification fédérée;
sont intégrés à votre système d’information étudiants ou par téléversement de fichiers .csv (Apple School Manager uniquement);
peuvent également être utilisés pour se connecter à un rôle attribué dans Apple School Manager, Apple Business Manager ou Apple Business Essentials.
Lorsqu’un utilisateur supprime un profil d’inscription, tous les profils de configuration, leurs réglages ainsi que les apps gérées associées à ce profil d’inscription sont également supprimés.
L’inscription d’utilisateurs est intégrée aux comptes Apple gérés pour valider l’identité des utilisateurs sur leur appareil. L’utilisateur doit s’identifier correctement pour que l’inscription puisse être complétée. Le compte Apple géré peut être utilisé en même temps que le compte Apple personnel de l’utilisateur. Les deux comptes n’interagissent pas entre eux.
Inscription d’utilisateurs et authentification fédérée
Même si les comptes Apple gérés peuvent être créés manuellement, les organisations peuvent bénéficier de la synchronisation entre un fournisseur d’identité, Google Workspace ou Microsoft Entra ID et l’inscription d’utilisateurs. Pour ce faire, votre organisation doit tout d’abord :
gérer les informations d’identification des utilisateurs avec un fournisseur d’identité, Google Workspace ou Microsoft Entra ID
(si vous disposez d’une version sur place d’Active Directory, des configurations supplémentaires sont nécessaires pour préparer l’authentification fédérée);
s’inscrire dans Apple School Manager, Apple Business Manager ou Apple Business Essentials;
configurer l’authentification fédérée dans Apple School Manager, Apple Business Manager ou Apple Business Essentials;
configurer une solution de GAM et la relier à Apple School Manager, Apple Business Manager ou Apple Business Essentials, ou utiliser la gestion des appareils intégrée à Apple Business Essentials;
créer des comptes Apple gérés (facultatif).
Inscription d’utilisateurs et apps gérées (macOS)
L’inscription d’utilisateurs a ajouté les apps gérées à macOS (cette fonctionnalité était déjà possible pour l’inscription d’appareils et l’inscription automatisée des appareils). Les apps gérées qui ont recours à CloudKit utilisent le compte Apple géré associé à l’inscription GAM. Les administrateurs de la GAM doivent ajouter la clé InstallAsManaged à la commande InstallApplication. Comme les apps iOS et iPadOS, ces apps peuvent être supprimées automatiquement lorsqu’un utilisateur se désinscrit de la GAM.
Inscription d’utilisateurs et mise en réseau par app
Sous iOS 16, iPadOS 16.1 et visionOS 1.1, ou toute version ultérieure, la mise en réseau par app est disponible pour le VPN (sous le nom de VPN par app), les serveurs mandataires DNS et les filtres de contenu Web pour les appareils inscrits avec l’inscription d’utilisateurs. Ainsi, seul le trafic réseau initié par les apps gérées passe par le serveur mandataire DNS, le filtre de contenu Web ou les deux. Le trafic personnel d’un utilisateur reste séparé et n’est pas filtré ou contrôlé par une organisation. Pour ce faire, on utilise de nouvelles paires clé-valeur pour les entités suivantes :
Comment les utilisateurs inscrivent leurs appareils personnels
Sous iOS 15, iPadOS 15, macOS 14 et visionOS 1.1, ou toute version ultérieure, les organisations peuvent utiliser un processus simplifié d’inscription d’utilisateurs, intégré directement dans l’app Réglages pour faciliter la tâche aux utilisateurs qui souhaitent inscrire leurs appareils personnels.
Pour ce faire :
Sur l’iPhone, l’iPad et l’Apple Vision Pro, l’utilisateur accède à Réglages > Général > VPN et gestion de l’appareil, puis touche le bouton « Se connecter au compte professionnel ou scolaire ».
Sur Mac, l’utilisateur accède à Réglages système > Confidentialité et sécurité > Profils, puis clique sur le bouton « Se connecter au compte professionnel ou scolaire ».
Au moment d’entrer le compte Apple géré, la découverte de services détermine l’URL d’inscription de la solution GAM.
L’utilisateur entre ensuite le nom d’utilisateur et le mot de passe qu’il utilise dans son organisation. Après la réussite de l’authentification de l’organisation, le profil d’inscription est envoyé à l’appareil. Un jeton de session est également transmis à l’appareil pour autoriser l’autorisation en cours. Le processus d’inscription de l’appareil commence et invite l’utilisateur à se connecter avec son compte Apple géré. Sur l’iPhone, l’iPad et l’Apple Vision Pro, le processus d’authentification peut être simplifié au moyen de l’authentification unique d’inscription pour réduire les demandes répétées d’authentification.
Après l’inscription, le nouveau compte géré est affiché distinctement dans l’app Réglages (iPhone, iPad et Apple Vision Pro) ou Réglages système (Mac). Cela permet aux utilisateurs de continuer à accéder aux fichiers créés avec leur compte Apple personnel et stockés dans iCloud Drive. L’espace iCloud Drive de l’organisation (associé au compte Apple géré de l’utilisateur) s’affiche séparément dans l’app Fichiers.
Sur l’iPhone, l’iPad et l’Apple Vision Pro, les apps gérées et les documents Web gérés ont tous accès à l’iCloud Drive de l’organisation, et l’administrateur de la GAM peut contribuer à la séparation de certains documents de l’utilisateur et de l’entreprise en utilisant des restrictions précises. Pour plus d’informations, consultez Restrictions et fonctionnalités des apps gérées.
Les utilisateurs peuvent consulter les détails au sujet des éléments gérés sur leur appareil personnel et la quantité d’espace de stockage iCloud fournie par leur organisation. Parce que l’appareil appartient à l’utilisateur, l’inscription d’utilisateurs peut lui appliquer seulement un ensemble limité de réglages et de restrictions. Pour plus d’informations, consultez Informations relatives à l’inscription d’utilisateurs à la GAM.
Comment Apple distingue les données des utilisateurs de celles de l’organisation
Une fois l’inscription de l’utilisateur terminée, des clés de chiffrement distinctes sont automatiquement créées sur l’appareil. Si l’appareil est désinscrit par l’utilisateur ou à distance au moyen de la GAM, ces clés de chiffrement sont détruites de façon sécuritaire. Les clés sont utilisées pour séparer par chiffrement les données gérées ci-dessous :
Conteneurs de données des applications : iPhone, iPad, Mac et Apple Vision Pro
Calendrier : iPhone, iPad, Mac et Apple Vision Pro
Les appareils doivent exécuter iOS 16, iPadOS 16.1, macOS 13 et visionOS 1.1, ou toute version ultérieure.
Les éléments de trousseau : iPhone, iPad, Mac et Apple Vision Pro
Remarque : L’app Mac tierce doit se servir de l’interface API du trousseau de protection des données. Pour en savoir plus, consultez la documentation Apple Developer kSecUseDataProtectionKeychain (en anglais).
Les pièces jointes et le corps des courriels : iPhone, iPad, Mac et Apple Vision Pro
Notes : iPhone, iPad, Mac et Apple Vision Pro
Rappels : iPhone, iPad, Mac et Apple Vision Pro
Les appareils doivent exécuter iOS 17, iPadOS 17, macOS 14 et visionOS 1.1, ou toute version ultérieure.
Si un utilisateur est connecté avec un compte Apple personnel et un compte Apple géré, Connexion avec Apple utilise automatiquement le compte Apple géré pour les apps gérées et le compte Apple personnel pour les apps non gérées. Lors de l’utilisation d’un flux de connexion dans Safari ou SafariWebView au sein d’une app gérée, l’utilisateur peut sélectionner et entrer son compte Apple géré pour associer la connexion à son compte professionnel.
Les administrateurs système ne peuvent gérer que les comptes, les réglages et les informations d’une organisation fournis par la GAM et jamais le compte personnel d’un utilisateur. En effet, les mêmes fonctions qui assurent la sécurité des données dans les apps gérées par une organisation empêchent également l’entrée du contenu personnel d’un utilisateur dans le flux de données de l’entreprise.
La GAM peut | La GAM ne peut pas |
|---|---|
Configurer les comptes | Consulter les renseignements personnels, les données d’utilisateurs ou les historiques |
Accéder à la liste des apps gérees | Accéder à la liste des apps personnelles |
Supprimer les données gérées seulement | Supprimer les données personnelles |
Installer et configurer les apps | Prendre le contrôle de la gestion d’une app personnelle |
Exiger un code | Exiger un code ou un mot de passe complexe |
Imposer certaines restrictions | Accéder à la position de l’appareil |
Configurer le VPN par app | Accéder à l’identifiant unique des appareils |
| Effacer à distance toutes les données de l’appareil |
| Gérer le verrouillage d’activation |
| Accéder à l’état d’itinérance |
| Activer le mode Perdu |
Remarque : Pour les iPhone et les iPad, les administrateurs peuvent exiger des codes comptant au moins six caractères et empêcher les utilisateurs d’utiliser des codes simples (comme « 123456 » ou « abcdef »), mais ils ne peuvent pas imposer l’utilisation de caractères ou mots de passe complexes.