Aperçu de la sécurité de la gestion des appareils mobiles
La prise en charge de la gestion des appareils mobiles (GAM) par les systèmes d’exploitation Apple permet aux entreprises de configurer et de gérer en toute sécurité des déploiements d’appareils Apple à grande échelle.
Fonctionnement sécurisé de la GAM
Les fonctionnalités de GAM exploitent les technologies des systèmes d’exploitation existantes, comme les profils de configuration, l’inscription sans fil et le service de notifications Push d’Apple (APN). Par exemple, le service APN sert à activer l’appareil pour qu’il puisse communiquer directement avec la solution de GAM par connexion sécurisée. Avec le service APN, aucun renseignement d’identification ni aucune donnée confidentielle ne sont transmis.
Avec la GAM, les services des TI peuvent inscrire des appareils Apple à l’environnement de l’entreprise, en configurer et mettre à jour les réglages à distance, vérifier le respect des politiques, gérer les mises à jour logicielles, et même verrouiller ou effacer à distance les appareils gérés.
En plus des modes d’inscription des appareils traditionnels pris en charge par iOS, iPadOS, macOS et tvOS, un type d’inscription a été ajouté sous iOS 13, iPadOS 13.1, macOS 10.15 et les versions ultérieures de ces systèmes d’exploitation : l’inscription par l’utilisateur. L’inscription par l’utilisateur est un mode d’inscription à la GAM qui vise spécifiquement les déploiements « Apportez votre appareil », dans le cadre desquels un appareil appartenant à l’employé est utilisé dans un environnement géré. L’inscription par l’utilisateur accorde à la solution de GAM des privilèges plus limités par rapport à l’inscription d’appareils non supervisés et fournit une séparation chiffrée entre l’utilisateur et les données de l’entreprise.
Types d’inscription
Inscription automatisée des appareils : L’inscription automatisée des appareils permet aux organisations de configurer et de gérer des appareils dès qu’ils sont sortis de leur boîte (il s’agit du déploiement sans intervention). Ces appareils sont supervisés, et les utilisateurs ont la possibilité d’empêcher la suppression du profil de GAM par l’utilisateur. L’inscription automatisée des appareils est conçue pour les appareils appartenant à l’organisation.
Inscription des appareils : L’inscription des appareils permet aux organisations de demander aux utilisateurs d’inscrire manuellement des appareils et de gérer différents aspects de leur utilisation, y compris la capacité à effacer l’appareil. L’inscription des appareils offre également un ensemble plus vaste d’entités et de restrictions applicables aux appareils. Lorsqu’un utilisateur supprime un profil d’inscription, tous les profils de configuration, les réglages et les apps gérées associés à ce profil d’inscription sont également supprimés.
Inscription par l’utilisateur : L’inscription par l’utilisateur est conçue pour les appareils personnels. Elle est intégrée à l’identifiant Apple géré pour définir l’identité d’un utilisateur sur un appareil. L’identifiant Apple géré est lié au profil d’inscription par l’utilisateur, et l’utilisateur doit s’authentifier avec succès pour pouvoir terminer l’inscription. L’identifiant Apple géré peut être utilisé de pair avec l’identifiant Apple personnel dont l’utilisateur s’est servi pour se connecter. Les apps et les comptes gérés utilisent un identifiant Apple géré tandis que les apps et les comptes personnels utilisent un identifiant Apple personnel.
Application de restrictions aux appareils
Les administrateurs peuvent activer ou désactiver des restrictions pour contribuer à empêcher les utilisateurs d’accéder à une app, à un service ou à une fonctionnalité avec les iPhone, iPad, Mac et Apple TV inscrits à une solution de GAM. Les restrictions sont transmises aux appareils par l’entremise d’entités qui appartiennent à un profil de configuration. Certaines restrictions appliquées à un iPhone peuvent être appliquées à une Apple Watch jumelée.
Gestion des réglages des codes et des mots de passe
Par défaut, le code de l’utilisateur peut être défini comme un numéro d’identification personnel (NIP). Sur les appareils iOS et iPadOS dotés de Face ID ou de Touch ID, la longueur minimale du code est de quatre chiffres. Puisque les codes plus complexes ou plus longs sont plus difficiles à deviner et moins vulnérables aux attaques, ils sont recommandés.
Les administrateurs peuvent imposer l’utilisation de codes complexes et d’autres politiques, soit à l’aide de Microsoft Exchange ActiveSync ou d’une solution de gestion des appareils mobiles (GAM), soit en demandant aux utilisateurs d’installer manuellement des profils de configuration. Un mot de passe administrateur est requis pour l’installation d’une entité de politique de code macOS. Certaines politiques en matière de code peuvent imposer des exigences quant à la longueur, à la composition ou à d’autres attributs des codes.