Aperçu de la sécurité de la gestion des appareils mobiles
La prise en charge de la gestion des appareils mobiles (GAM) par les systèmes d’exploitation Apple permet aux entreprises de configurer et de gérer en toute sécurité des déploiements d’appareils Apple à grande échelle.
Fonctionnement sécurisé de la GAM
Les fonctionnalités de GAM exploitent les technologies des systèmes d’exploitation existantes, comme les profils de configuration, l’inscription sans fil et le service de notifications Push d’Apple (APN). Par exemple, le service APN sert à activer l’appareil et le déclencher pour qu’il puisse communiquer directement avec la solution de GAM par connexion sécurisée. Aucun renseignement d’identification ni aucune donnée confidentielle ne sont transmis avec le service APN.
Avec la GAM, les services des TI peuvent inscrire des appareils Apple à l’environnement de l’entreprise ou éducatif, en configurer et mettre à jour les réglages à distance, vérifier la conformité, gérer les mises à jour logicielles, et même verrouiller ou effacer à distance les appareils gérés.
Sous iOS 13, iPadOS 13.1 et macOS 10.15, ou les versions ultérieures de ces systèmes d’exploitation, les appareils Apple proposent une nouvelle fonctionnalité d’inscription spécialement conçue pour les programmes du type « Apportez votre appareil ». L’inscription par l’utilisateur permet une plus grande autonomie des utilisateurs sur leurs propres appareils, et les données de l’organisation sont mieux protégées en séparant de manière cryptographique les données gérées. La sécurité, la protection de la vie privée et l’expérience des utilisateurs dans le cadre des programmes du type « Apportez votre appareil » s’en trouvent donc améliorées. Un mécanisme similaire de séparation des données a été ajouté pour l’inscription au moyen de comptes d’appareils pris en charge par iOS 17, iPadOS 17 et macOS 14 et les versions ultérieures de ces systèmes d’exploitation.
Types d’inscription
Inscription par l’utilisateur : l’inscription par l’utilisateur est conçue pour les appareils personnels. Elle est intégrée à l’identifiant Apple géré pour définir l’identité d’un utilisateur sur un appareil. L’identifiant Apple géré est requis au moment de l’inscription, et l’utilisateur doit s’authentifier avec succès pour pouvoir terminer l’inscription. L’identifiant Apple géré peut être utilisé de pair avec l’identifiant Apple personnel dont l’utilisateur s’est servi pour se connecter. Les apps et les comptes gérés utilisent un identifiant Apple géré, tandis que les apps et les comptes personnels utilisent un identifiant Apple personnel.
Inscription des appareils : l’inscription des appareils permet aux organisations de demander aux utilisateurs d’inscrire manuellement des appareils et de gérer différents aspects de leur utilisation, y compris la capacité à effacer l’appareil. L’inscription des appareils offre également un ensemble plus vaste de configurations et de restrictions applicables aux appareils. Lorsqu’un utilisateur supprime un profil d’inscription, les configurations, les réglages et les apps gérées associés à ce profil d’inscription sont tous également supprimés. Comme l’inscription par l’utilisateur, l’inscription des appareils peut aussi être intégrée à un identifiant Apple géré. Cette inscription au moyen de comptes offre aussi la possibilité d’utiliser un identifiant Apple géré avec un identifiant Apple personnel et sépare de manière cryptographique les données d’entreprise.
Inscription automatisée des appareils : l’inscription automatisée des appareils permet aux organisations de configurer et de gérer des appareils dès qu’ils sont sortis de leur boîte. Ces appareils sont supervisés, et les utilisateurs ont la possibilité d’empêcher la suppression du profil de GAM par l’utilisateur. L’inscription automatisée des appareils est conçue pour les appareils appartenant à l’organisation.
Application de restrictions aux appareils
Les administrateurs peuvent activer ou désactiver des restrictions pour contribuer à empêcher les utilisateurs d’accéder à une app, à un service ou à une fonctionnalité avec les iPhone, iPad, Mac, Apple TV ou Apple Watch inscrits à une solution de GAM. Les restrictions sont transmises aux appareils par l’entremise d’entités qui appartiennent à une configuration. Certaines restrictions appliquées à un iPhone peuvent être appliquées à une Apple Watch jumelée.
Gestion des réglages des codes et des mots de passe
Par défaut, le code de l’utilisateur peut être défini comme un numéro d’identification personnel (NIP) sur les appareils iOS, iPadOS et watchOS. Sur les appareils iPhone et iPad dotés de Face ID ou de Touch ID, la longueur par défaut du code est de six chiffres et sa longueur minimale est de quatre chiffres. Puisque les codes plus complexes ou plus longs sont plus difficiles à deviner et moins vulnérables aux attaques, ils sont recommandés.
Les administrateurs peuvent imposer l’utilisation de codes complexes et d’autres politiques soit à l’aide de la GAM ou, sur les appareils iOS et iPadOS, à l’aide de Microsoft Exchange. Un mot de passe administrateur est requis lorsque l’entité de politique de code macOS est installée manuellement. Les politiques en matière de code peuvent imposer des exigences quant à la longueur, la composition ou d’autres attributs des codes.
L’Apple Watch utilise des codes numériques par défaut. Si une politique en matière de code applicable à l’Apple Watch requiert l’utilisation de caractères non numériques, l’iPhone couplé doit être utilisé pour déverrouiller l’appareil.