Inscription d’utilisateurs et MDM
L’inscription d’utilisateurs a été conçue pour des déploiements personnalisés (ou déploiements d’appareils appartenant aux utilisateurs), autrement dit l’appareil appartient à l’utilisateur, et non à l’organisation.
Les quatre étapes de lʼinscription dʼutilisateurs dans une solution MDM sont :
Découverte de services : Lʼappareil sʼidentifie auprès de la solution MDM.
Inscription d’utilisateurs : Lʼutilisateur fournit ses informations dʼidentification à un fournisseur dʼidentité (IdP) pour obtenir lʼautorisation de sʼinscrire à la solution MDM.
Jeton de session : Un jeton de session est envoyé à lʼappareil afin dʼautoriser lʼauthentification en cours.
Inscription à la solution MDM : Le profil dʼinscription est envoyé vers lʼappareil en même temps que les données utiles configurées par lʼadministrateur MDM.
Inscription d’utilisateurs et identifiants Apple gérés
L’inscription d’utilisateurs requiert des identifiants Apple gérés. Ceux-ci sont détenus et gérés par un établissement, et permettent aux employés d’accéder à certains services Apple. En outre, les identifiants Apple gérés :
Sont créés manuellement, ou automatiquement à l’aide de l’authentification fédérée
sont intégrés à un système d’information des élèves (SIS) ou chargent des fichiers .csv (Apple School Manager uniquement)
peuvent également être utilisés pour se connecter avec un rôle attribué au sein d’Apple School Manager, Apple Business Manager ou Apple Business Essentials
Lorsqu’un utilisateur supprime un profil d’inscription, tous les profils de configuration, leurs réglages et les apps gérées en fonction de ce profil d’inscription sont supprimés avec celui-ci.
L’inscription d’utilisateurs est intégrée aux identifiants Apple gérés afin d’établir l’identité d’un utilisateur sur l’appareil. Lʼutilisateur doit être en mesure de sʼauthentifier correctement pour terminer le processus dʼinscription. L’identifiant Apple géré peut être utilisé en complément de l’identifiant Apple personnel utilisé par l’utilisateur pour se connecter, et les deux n’interagissent pas entre eux. L’inscription d’utilisateurs a été spécialement conçue pour les appareils appartenant à l’utilisateur.
Inscription d’utilisateurs et authentification fédérée
L’inscription d’utilisateurs fonctionne avec Google Workspace ou Microsoft Azure Active Directory (AD) et Apple School Manager ou Apple Business Manager, et avec une solution MDM tierce. Elle fonctionne également avec la gestion des appareils dans Apple Business Essentials. Pour que vos utilisateurs puissent profiter de la synchronisation avec Google Workspace ou Microsoft Azure AD et l’inscription d’utilisateurs, votre établissement doit d’abord :
Configurer Google Workspace ou Azure AD
Si vous possédez une version locale d’Active Directory, des étapes supplémentaires de configuration sont nécessaires afin de préparer l’authentification fédérée.
Inscrire votre organisation dans Apple School Manager, Apple Business Manager ou Apple Business Essentials
Configurer lʼauthentification fédérée dans Apple School Manager, Apple Business Manager ou Apple Business Essentials
Configurer une solution MDM et lʼassocier à Apple School Manager, Apple Business Manager ou Apple Business Essentials, ou utiliser la gestion des appareils directement intégrée à Apple Business Essentials
(Facultatif) Créer des identifiants Apple gérés
Inscription d’utilisateurs et Apps gérées (macOS)
Lʼinscription dʼutilisateurs a ajouté les apps gérées à macOS (cette fonctionnalité est déjà disponible avec lʼinscription dʼappareils et lʼinscription dʼappareils automatisée). Les apps gérées qui ont recours à CloudKit utilisent lʼidentifiant Apple géré associé à lʼinscription à la solution MDM. Les administrateurs MDM doivent ajouter la clé InstallAsManaged à la commande InstallApplication. Comme les apps iOS et iPadOS, ces apps peuvent être supprimées automatiquement lorsqu’un utilisateur se désinscrit de la solution MDM.
Inscription d’utilisateurs et mise en réseau via lʼapp
La mise en réseau via lʼapp sous iOS 16 et iPadOS 16.1 est disponible pour VPN (appelé VPN par application), Proxys DNS, et les filtres de contenu web pour les appareils inscrits avec lʼinscription dʼutilisateurs. Cela signifie que seul le trafic réseau généré par les apps gérées est transmis via le Proxy DNS, le filtre de contenu web, ou les deux. Le trafic personnel dʼun utilisateur reste séparé et nʼest pas filtré ou relayé par une organisation. Cette opération est réalisée à lʼaide de nouvelles paires clé-valeur pour les données utiles suivantes. Pour en savoir plus, consultez :
Comment les utilisateurs inscrivent leurs appareils personnels
Il existe deux principales façons pour les utilisateurs d’inscrire un appareil personnel à l’inscription d’utilisateurs : au moyen d’un compte ou d’un profil d’inscription.
Inscription d’utilisateurs en fonction d’un compte
Dans iOS 15 et iPadOS 15 ou ultérieur, les organisations peuvent recourir au processus dʼinscription dʼutilisateurs simplifié, intégré à lʼapp Réglages afin de faciliter aux utilisateurs lʼinscription de leurs appareils personnels.
Pour cela, lʼutilisateur doit naviguer jusquʼà Réglages > Général > VPN et gestion de lʼappareil, et appuyer sur le bouton « Se connecter à un compte professionnel ou scolaire… ».
Lorsquʼil saisit son identifiant Apple géré, la détection de services identifie lʼURL dʼinscription de la solution MDM.
L’utilisateur saisit le nom d’utilisateur et le mot de passe de son organisation. Une fois lʼauthentification de lʼorganisation effectuée, le profil dʼinscription est envoyé vers lʼappareil. Un jeton de session est également envoyé à lʼappareil afin dʼautoriser lʼauthentification en cours.
Enfin, une fois quʼun utilisateur est connecté, le nouveau compte géré est affiché en évidence dans lʼapp Réglages.
Après lʼinscription, les utilisateurs peuvent encore accéder à leurs fichiers personnels dans iCloud Drive. Le dossier iCloud Drive de lʼorganisation apparaît séparément dans lʼapp Fichiers. Sous iOS et iPadOS, les apps et les documents web gérés ont tous accès au dossier iCloud Drive de lʼorganisation. Cependant, lʼadministrateur MDM peut conserver certains documents personnels séparément des documents de lʼorganisation à lʼaide de restrictions spécifiques.
Les utilisateurs peuvent voir les détails concernant ce qui est géré sur leur appareil personnel et combien dʼespace de stockage iCloud est mis à disposition par leur organisation.
Inscription à partir du profil de lʼutilisateur
Avec le processus dʼinscription à partir du profil dʼutilisateur existant, le profil dʼinscription est transmis aux utilisateurs par le biais dʼune URL personnalisée, dʼun e-mail ou par un autre moyen. Une fois que le profil dʼinscription et les profils de configuration sont téléchargés, un écran dʼinscription dʼutilisateurs apparaît. Lʼutilisateur clique sur « Inscrire mon (iPhone, iPad, Mac) », puis :
Avec l’authentification fédérée : Il saisit son nom dʼutilisateur et son mot de passe Google Workspace ou Azure AD
Sans l’authentification fédérée : Il saisit le nom d’utilisateur et le mot de passe de son identifiant Apple géré
Une fois l’inscription terminée, les utilisateurs verront un compte supplémentaire sur cet appareil. Dans Réglages > Mots de passe et comptes sʼil sʼagit dʼun iPhone ou dʼun iPad, et sur un Mac, dans Réglages Système sous macOS 13 ou ultérieur, ou dans Préférences Système sous macOS 12.0.1 ou antérieur.
Étant donné que l’utilisateur est propriétaire de l’appareil, l’inscription d’utilisateurs ne peut appliquer quʼun ensemble limité de données utiles et de restrictions pouvant être appliquées à l’appareil. Pour afficher cet ensemble, consultez la rubrique Informations MDM pour l’inscription d’utilisateur.
Comment Apple sépare les données des utilisateurs des données de l’établissement
Une fois l’inscription d’utilisateurs terminée, des clés de chiffrement séparés sont créés automatiquement sur l’appareil. Si lʼappareil est désinscrit par lʼutilisateur ou à distance via une solution MDM, ces clés de chiffrement sont détruites de façon sécurisée. Les clés sont utilisées pour séparer par cryptographie les données gérées indiquées ci-dessous :
Conteneurs de données dʼapps : iPhone, iPad et Mac.
Calendrier : iPhone, iPad et Mac. Les appareils doivent être dotés dʼiOS 16, dʼiPadOS 16.1 ou de macOS 13 ou des versions ultérieures.
Éléments de trousseau : iPhone, iPad et Mac.
Remarque : Lʼapp tierce sur Mac doit utiliser lʼAPI de trousseau de protection des données. Pour en savoir plus, consultez la documentation dʼApple pour les développeurs kSecUseDataProtectionKeychain.
Pièces jointes de Mail et corps des e-mails : iPhone, iPad et Mac.
Notes : iPhone, iPad et Mac.
Sous iOS et iPadOS, les apps et les documents web gérés ont tous accès au dossier iCloud Drive de lʼorganisation à lʼaide des restrictions de la gestion des autorisations dʼouverture existantes. Lʼadministrateur MDM peut permettre de conserver certains documents personnels séparément des documents de lʼorganisation.
Les administrateurs système ne peuvent gérer que les comptes, réglages et informations d’une organisation fournis par la solution MDM ; en aucun cas ils ne peuvent gérer le compte personnel d’un utilisateur. De fait, les fonctionnalités qui protègent les données à l’intérieur des apps gérées par l’organisation empêchent également les données personnelles des utilisateurs d’être intégrées au flux des données d’entreprise.
Une solution MDM peut | Une solution MDM ne peut pas |
|---|---|
Configurer des comptes | Afficher des informations personnelles, des données dʼutilisation ou des historiques |
Accéder à l’inventaire des apps gérées | Accéder à l’inventaire des apps personnelles |
Supprimer les données gérées uniquement | Supprimer toute donnée personnelle |
Installer et configurer les apps | Prendre le contrôle de la gestion dʼune app personnelle |
Exiger un code | Exiger un code complexe ou un mot de passe |
Mettre en application certaines restrictions | Accéder à la localisation de l’appareil |
Configurer le VPN par app | Accéder aux identifiants d’appareils uniques |
| Effacer à distance la totalité de l’appareil |
| Gérer le verrouillage d’activation |
| Accéder au statut d’itinérance |
| Activer le mode Perdu |
Remarque : les administrateurs peuvent exiger que les codes comprennent au moins 6 caractères et empêcher les utilisateurs dʼutiliser des codes simples (par exemple,123456 ou abcdef), mais ils ne peuvent pas exiger des caractères spéciaux ou des codes complexes.