Présentation du service MDM pour les appareils Apple
Ce document est conçu pour les administrateurs informatiques et MDM. Il rassemble l’ensemble des réglages de gestion des appareils mobiles (MDM) tels que définis par Apple. Si vous êtes un développeur Apple, vous pouvez également consulter la rubrique Gestion des appareils sur le site web des développeurs Apple.
En quoi consiste la gestion des appareils mobiles (MDM) ?
Avec une solution MDM, vous pouvez configurer des appareils de manière sécurisée et sans fil, peu importe qu’ils appartiennent à l’utilisateur ou à l’organisation. La solution MDM comprend la mise à jour des réglages des appareils et des logiciels, la vérification de la conformité des appareils aux règles de l’entreprise et l’effacement ou le verrouillage à distance des appareils. Les utilisateurs peuvent inscrire leurs propres appareils à la solution MDM et les appareils appartenant à l’organisation peuvent être inscrits automatiquement à la solution MDM à l’aide d’Apple School Manager ou d’Apple Business Manager.
Appareils Apple pris en charge
Les appareils Apple suivants possèdent une structure intégrée prenant en charge la gestion des appareils mobiles (MDM) :
iPhone et iPod touch (iOS 5 ou ultérieur)
iPad (iOS 5 ou ultérieur ou iPadOS 13.1 ou ultérieur)
Ordinateurs Mac (OS X 10.7 ou ultérieur)
Apple TV (tvOS 9 ou ultérieur)
Dans le reste de ce document, le terme iPhone fait référence à la fois à l’iPhone et à l’iPod touch.
Comment fonctionnent les solutions MDM ?
Une fois que le profil d’inscription est approuvé, par l’appareil ou par l’utilisateur, les profils de configuration contenant des données utiles sont envoyés à l’appareil. Vous pouvez ensuite distribuer, gérer et configurer sans fil des apps et livres achetés par l’intermédiaire d’Apple School Manager ou d’Apple Business Manager. Selon le type d’app, la façon dont l’app est attribuée et le caractère supervisé ou non de l’appareil, une app peut être installée par l’utilisateur lui-même ou automatiquement.
Certains concepts sont à comprendre si vous souhaitez utiliser une solution MDM. Découvrez comment les solutions MDM utilisent les profils de configuration et les données utiles.
En quoi consistent les profils de configuration ?
Un profil de configuration est un fichier XML (terminant par .mobileconfig) constitué de données utiles qui chargent des réglages et des informations d’autorisation sur des appareils Apple. Les profils de configuration permettent d’automatiser la configuration des réglages, des comptes, des restrictions et des informations de connexion. Ces fichiers peuvent être créés automatiquement, à l’aide d’une solution MDM ou d’Apple Configurator 2, ou manuellement.
Les profils de configuration pouvant être chiffrés et signés, vous pouvez limiter leur utilisation à un appareil Apple spécifique et, hormis les noms d’utilisateur et les mots de passe, empêcher quiconque de modifier les réglages qu’ils contiennent. Vous pouvez également marquer un profil de configuration comme étant verrouillé sur l’appareil.
Pourquoi existe-t-il deux types de profils de configuration ?
Les profils de configuration peuvent être envoyés à des utilisateurs ou des appareils, ou à des groupes d’utilisateurs ou des groupes d’appareils.
Vous pouvez également créer des profils de configuration distincts pour des appareils spécifiques (tels que des iPhone) ou pour un groupe d’utilisateurs (tel que des élèves). Pour en savoir plus, consultez la rubrique Meilleures pratiques en matière de données utiles.
Si votre solution MDM prend en charge cette fonctionnalité, vous pouvez distribuer les profils de configuration par e-mail en pièce jointe, via un lien sur votre propre page web ou par le biais du portail utilisateurs intégré de la solution MDM. Lorsque les utilisateurs ouvrent la pièce jointe à l’e-mail ou téléchargent le profil de configuration à l’aide d’un navigateur, ils sont invités à lancer l’installation du profil de configuration.
Remarque : vous pouvez utiliser Apple Configurator 2 pour ajouter des profils de configuration d’appareil (automatiquement ou manuellement) à des iPhone, iPad et Apple TV. Pour ajouter des profils de configuration d’appareil ou d’utilisateur contenant des réglages propres à macOS, utilisez une solution de gestion des appareils mobiles (MDM) de tierce partie ou Gestionnaire de profils, qui fait partie de l’app macOS Server.
Que sont des données utiles ?
Des données utiles peuvent être configurées pour gérer des appareils Apple. Par exemple, vous pouvez avoir plusieurs données utiles pour requérir un code complexe, remplir automatiquement un compte Exchange avec toutes les informations de serveur Exchange, et ajouter une configuration VPN à un appareil. Bien que toutes les données utiles aient leurs propres réglages, elles se définissent sans exception par les caractéristiques suivantes :
Le ou les systèmes d’exploitation qu’elles prennent en charge.
Le canal sur lequel elles fonctionnent.
Elles nécessitent ou non que l’appareil Apple soit supervisé.
Elles sont exclusives ou peuvent être combinées avec d’autres données utiles du même type.
Elles peuvent avoir ou non des doublons.
Une fois que les données utiles sont configurées, elles sont enregistrées dans un profil de configuration.
Consultez la liste complète des données utiles. Pour découvrir les données utiles MDM prises en charge par vos appareils, consultez la documentation de votre fournisseur de solution MDM.
Profils de configuration et iPad partagé
Si vous utilisez la fonction iPad partagé, vous pouvez installer :
Des profils d’appareil et de groupe d’appareils avec votre solution MDM.
Des profils d’utilisateur et de groupe d’utilisateurs avec votre solution MDM.
Inscription au service MDM approuvée par l’utilisateur
L’inscription au service MDM approuvée par l’utilisateur exige que les utilisateurs acceptent le profil d’inscription MDM sur leur appareil Apple. Cela ne peut pas être réalisé au moyen d’une gestion à distance (par exemple, à l’aide d’Apple Remote Desktop). Les appareils Apple qui apparaissent dans Apple School Manager ou Apple Business Manager ne requièrent pas une inscription au service MDM approuvée par l’utilisateur. Lorsqu’un profil d’inscription MDM est supprimé, toutes les données utiles le sont également. Lorsqu’un appareil est réinscrit, les données utiles MDM suivantes approuvées par l’utilisateur seront rejetées si les appareils ne s’affichent pas dans Apple School Manager ni Apple Business Manager :
Interaction des données utiles avec Open Directory
Les données utiles macOS peuvent se comporter différemment lorsqu’elles interagissent avec des réglages Open Directory, tel qu’expliqué ci-dessous :
Les profils d’utilisateur appliqués à des appareils gérés ont priorité sur les réglages utilisateur stockés sur Open Directory.
Les réglages utilisateur stockés sur Open Directory ont priorité sur les profils d’appareil appliqués à des appareils gérés.
Les profils d’appareil appliqués à des appareils gérés ont priorité sur les réglages d’ordinateur stockés sur Open Directory.
Les réglages d’appareil ou d’utilisateur stockés par Open Directory ou appliqués par un appareil géré sont toujours prioritaires par rapport aux profils d’appareil et d’utilisateur installés manuellement.
Suppression de profil
Le retrait des profils de configuration dépend de la manière dont ils ont été installés. La séquence suivante indique de quelle manière un profil de configuration peut être supprimé :
1. Tous les profils peuvent être supprimés en effaçant toutes les données de l’appareil.
2. Si le profil est attribué à l’appareil à l’aide d’Apple School Manager ou d’Apple Business Manager, il peut être supprimé par la solution MDM et, facultativement, par l’utilisateur.
3. Si le profil est installé par une solution MDM, il peut être supprimé par cette même solution MDM ou par la désinscription de l’utilisateur du service MDM en supprimant le profil de configuration d’inscription.
4. Si le profil est installé sur un appareil supervisé à l’aide d’Apple Configurator 2, cette instance de supervision d’Apple Configurator 2 peut supprimer le profil.
5. Si le profil est installé sur un appareil supervisé manuellement ou à l’aide d’Apple Configurator 2, et si le profil dispose de données utiles de mot de passe de suppression, l’utilisateur doit saisir le mot de passe de suppression pour supprimer le profil.
6. Tous les autres profils peuvent être supprimés par l’utilisateur.
Un compte installé via un profil de configuration peut être supprimé en supprimant ce profil. Un compte Microsoft Exchange ActiveSync, y compris s’il a été installé à l’aide d’un profil de configuration, peut être supprimé par le serveur Microsoft Exchange en émettant la commande d’effacement à distance du compte uniquement.
Pour découvrir comment préparer votre organisation au déploiement d’appareils Apple, consultez la Référence pour le déploiement d’iPhone et iPad et la Référence pour le déploiement du Mac.