Introduction aux profils de gestion des appareils mobiles
iOS, iPadOS, macOS et tvOS possèdent tous une structure prenant en charge la gestion des appareils mobiles (MDM). Avec une solution MDM, vous pouvez configurer des appareils de manière sécurisée et sans fil en leur envoyant des profils et des commandes, peu importe qu’ils appartiennent à l’utilisateur ou à l’organisation. Les capacités MDM comprennent la mise à jour des réglages des appareils et des logiciels, la vérification de la conformité des appareils aux règles de lʼorganisation et l’effacement ou le verrouillage à distance des appareils. Les utilisateurs peuvent inscrire leurs propres appareils à la solution MDM et les appareils appartenant à l’organisation peuvent être inscrits automatiquement à la solution MDM à l’aide d’Apple School Manager ou d’Apple Business Manager. Si vous utilisez Apple Business Essentials, vous pouvez également utiliser la gestion dʼappareils intégrée.
Certains concepts sont à comprendre si vous souhaitez utiliser une solution MDM. Consultez les sections suivantes pour comprendre comment les solutions MDM utilisent les profils d’inscription et de configuration, la supervision et les données utiles.
Inscription des appareils
Lʼinscription auprès de la solution MDM nécessite lʼinscription dʼidentités de certificat client à lʼaide de protocoles tels que lʼEnvironnement de gestion automatique de certificats (ACME) ou le protocole SCEP (Simple Certificate Enrollment Protocol). Les appareils utilisent ces protocoles pour créer des certificats d’identité uniques pour l’authentification des services de l’organisation.
Si lʼinscription nʼest pas automatisée, ce sont les utilisateurs qui décident ou non de s’inscrire à la solution MDM, et ils peuvent en dissocier leurs appareils à tout moment. Par conséquent, n’hésitez pas à recourir à des incitations pour encourager les utilisateurs à rester inscrits. Par exemple, vous pouvez exiger l’inscription au serveur MDM pour obtenir un accès au réseau Wi-Fi, en utilisant la gestion des appareils mobiles pour fournir les identifiants de connexion. Lorsqu’un utilisateur quitte la gestion des appareils mobiles, son appareil tente de signaler à la solution MDM qu’il ne pourra plus être géré.
En ce qui concerne les appareils appartenant à votre établissement, vous pouvez utiliser Apple School Manager, Apple Business Manager ou Apple Business Essentials afin de les inscrire automatiquement à une solution MDM et de les superviser sans fil lors de la configuration initiale. Cette inscription est appelée Inscription automatisée d’appareils.
Gestion déclarative des appareils
La gestion déclarative des appareils est une mise à jour du protocole existant pour la gestion des appareils pouvant être utilisée conjointement avec les capacités du protocole MDM existant. Cela permet à lʼappareil dʼappliquer des réglages de façon asynchrone et de signaler son état à la solution MDM sans devoir être interrogé en permanence.
Le rapport dʼétat permet à un appareil de partager des informations sur son état actuel et, en cas de changements, ceux-ci peuvent être signalés au serveur de manière proactive, sans avoir à interroger lʼappareil concernant des mises à jour. Outre les propriétés de lʼappareil, lʼétat de la présence et de la conformité du code dʼaccès, des comptes et de la progression de lʼinstallation des applications MDM est désormais indiqué.
Déclarations
Il existe quatre types de déclarations, qui sont des données utiles que le serveur définit et envoie aux appareils, et qui représentent la politique quʼune organisation souhaite appliquer aux appareils.
Type de déclaration | Description | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Configurations | Les configurations sont similaires aux données utiles du profil MDM déjà existantes, comme les comptes, les réglages et les restrictions. Consultez la section Réglages MDM dans la rubrique Configurations déclaratives. | ||||||||||
Actifs | Les actifs sont constitués de données de référence requises par les configurations pour les éléments de données volumineux et les données par utilisateur. Les actifs ont une relation de type un à plusieurs avec les configurations. Consultez la rubrique Réglages des ressources d’informations d’authentification et d’identité. | ||||||||||
Activations | Les activations sont un ensemble de configurations qui sont appliquées automatiquement à lʼappareil et qui peuvent inclure des prédicats, tels que « le type dʼappareil est iPad » ou « la version du système dʼexploitation est supérieure à iPadOS 16.1. » Il existe une relation de type plusieurs à plusieurs entre les activations et les configurations. Les activations peuvent utiliser une syntaxe de prédicat étendue, y compris des menus dʼétat, pour prendre en charge des expressions de prédicat complexes. De plus, une déclaration des propriétés de gestion permet aux serveurs de configurer sur lʼappareil des propriétés arbitraires, qui peuvent être directement utilisées dans les prédicats dʼactivation. | ||||||||||
Gestion | La gestion sert à transmettre lʼétat général de la gestion à lʼappareil, en décrivant les détails de lʼorganisation et des capacités de la solution MDM. | ||||||||||
Canal d’état
Le canal dʼétat est un nouveau canal de communication dans lequel lʼappareil envoie de manière proactive au serveur de nouvelles informations le concernant. Les mises à jour de lʼétat de lʼappareil sont envoyées au serveur sous forme de rapport dʼétat. Le serveur peut sʼinscrire à des menus dʼétat spécifiques, afin de ne recevoir que les mises à jour des changements qui lʼintéressent. Les menus dʼétat peuvent également être utilisés comme expressions dans les prédicats dʼactivation, ce qui permet à lʼappareil de fonctionner indépendamment, en fonction des changements dʼétat. Pour en savoir plus, consultez la rubrique Rapports dʼétat déclaratifs.
Profils d’inscription
Un profil dʼinscription est lʼun des deux principaux moyens dont disposent les utilisateurs pour inscrire un appareil personnel à une solution MDM (lʼautre moyen étant dʼutiliser le compte dʼune organisation). Grâce à ce profil, qui contient des données utiles MDM, la solution MDM envoie des commandes et, si nécessaire, des profils de configuration supplémentaires à lʼappareil. Elle peut également envoyer des requêtes à lʼappareil pour obtenir des informations, telles que le statut de son verrouillage dʼactivation, le niveau de sa batterie et son nom.
Lorsqu’un utilisateur supprime un profil d’inscription, tous les profils de configuration, leurs réglages et les apps gérées en fonction de ce profil d’inscription sont supprimés avec celui-ci. Il ne peut y avoir qu’un seul profil d’inscription sur un appareil à la fois.
Une fois que le profil d’inscription est approuvé, par l’appareil ou par l’utilisateur, les profils de configuration contenant des données utiles sont envoyés à l’appareil. Vous pouvez ensuite distribuer, gérer et configurer sans fil des apps et livres achetés par l’intermédiaire d’Apple School Manager, Apple Business Manager, ou Apple Business Essentials. Selon le type d’app, la façon dont l’app est attribuée et le caractère supervisé ou non de l’appareil, une app peut être installée par l’utilisateur ou automatiquement. Pour plus d’informations, consultez la section À propos de la supervision d’appareils Apple.
Profils de configuration
Un profil de configuration est un fichier XML (se terminant par .mobileconfig) constitué de données utiles qui chargent des réglages et des informations d’autorisation sur des appareils Apple. Les profils de configuration permettent d’automatiser la configuration des réglages, des comptes, des restrictions et des informations de connexion. Ces fichiers peuvent être créés automatiquement, à l’aide d’une solution MDM ou d’Apple Configurator, ou manuellement.
Les profils de configuration pouvant être chiffrés et signés, vous pouvez limiter leur utilisation à un appareil Apple spécifique et, hormis les noms d’utilisateur et les mots de passe, empêcher quiconque de modifier les réglages qu’ils contiennent. Vous pouvez également marquer un profil de configuration comme étant verrouillé sur l’appareil.
Si votre solution MDM prend en charge cette fonctionnalité, vous pouvez distribuer les profils de configuration par e-mail en pièce jointe, via un lien sur votre propre page web ou par le biais du portail utilisateurs intégré de la solution MDM. Lorsque les utilisateurs ouvrent la pièce jointe à l’e-mail ou téléchargent le profil de configuration à l’aide d’un navigateur, ils sont invités à lancer l’installation du profil de configuration.
Pour en savoir plus sur lʼinstallation dʼun profil et le mode Isolement, consultez lʼarticle À propos du mode Isolement.
Remarque : vous pouvez utiliser Apple Configurator pour Mac pour ajouter des profils de configuration (automatiquement ou manuellement) à des appareils iOS, iPadOS et Apple TV. pour en savoir plus, consultez le guide d’utilisation d’Apple Configurator pour Mac.
En tant quʼadministrateur, vous pouvez distribuer un profil de configuration qui peut modifier les réglages de tout lʼappareil ou dʼun utilisateur unique :
Les profils dʼappareil peuvent être envoyés à des appareils et des groupes d’appareils, et appliquent des réglages à tout l’appareil.
Les iPhone, iPad et Apple TV ne peuvent pas reconnaître plusieurs utilisateurs. Aussi, les profils de configuration créés à partir de données utiles et de réglages iOS, iPadOS et tvOS sont toujours des profils d’appareil. Bien que les profils iPadOS constituent des profils d’appareil, les appareils iPad configurés pour la fonctionnalité iPad partagé peuvent prendre en charge des profils en fonction de l’appareil ou de l’utilisateur.
Les profils dʼutilisateur peuvent être envoyés à des utilisateurs et des groupes d’utilisateurs et appliquent des réglages utilisateurs uniquement à des utilisateurs en particulier.
Puisque les ordinateurs Mac peuvent avoir plusieurs utilisateurs, les données utiles et les réglages pour les profils macOS peuvent être basés sur l’appareil ou sur l’utilisateur.
Les réglages de lʼappareil et les réglages utilisateur varient en fonction de leur emplacement : Les réglages installés au niveau du système se trouvent dans un canal dʼappareil. Les réglages installés au niveau de lʼutilisateur se trouvent dans un canal dʼutilisateur.
Suppression de profil
Le retrait des profils dépend de la manière dont ils ont été installés. La séquence suivante indique de quelle manière un profil peut être supprimé :
1. Tous les profils peuvent être supprimés en effaçant toutes les données de l’appareil.
2. Si l’appareil a été inscrit à la solution MDM à l’aide d’Apple School Manager, Apple Business Manager ou Apple Business Essentials, l’administrateur peut choisir si le profil d’inscription peut être supprimé par l’utilisateur ou s’il ne peut être supprimé que par le serveur MDM lui-même.
3. Si le profil est installé par une solution MDM, il peut être supprimé par cette même solution MDM ou par la désinscription de l’utilisateur du service MDM en supprimant le profil de configuration d’inscription.
4. Si le profil est installé sur un appareil supervisé à l’aide d’Apple Configurator, cette instance de supervision d’Apple Configurator peut supprimer le profil.
5. Si le profil est installé sur un appareil supervisé manuellement ou à l’aide d’Apple Configurator, et si le profil dispose de données utiles de mot de passe de suppression, l’utilisateur doit saisir le mot de passe de suppression pour supprimer le profil.
6. Tous les autres profils peuvent être supprimés par l’utilisateur.
Un compte installé via un profil de configuration peut être supprimé en supprimant ce profil. Un compte Microsoft Exchange ActiveSync, y compris s’il a été installé à l’aide d’un profil de configuration, peut être supprimé par le serveur Microsoft Exchange en émettant la commande d’effacement à distance du compte uniquement.
Important : si les utilisateurs connaissent le code de l’appareil, ils peuvent supprimer les profils de configuration installés manuellement des iPhone et iPad non supervisés, même si l’option est définie sur « jamais ». les utilisateurs de Mac peuvent faire la même chose à condition de connaitre le nom d’utilisateur ainsi que le mot de passe d’un administrateur. Pour ce faire, ils doivent utiliser l’outil de ligne de commande profiles, Réglages Système (sous macOS 13 ou ultérieur), ou Préférences Système (sous macOS 12.0.1 ou antérieur). Sous macOS 10.15 ou ultérieur, comme sous iOS et iPadOS, les profils installés à l’aide d’une solution MDM doivent être supprimés avec une solution MDM, ou ils seront supprimés automatiquement lors de la désinscription de la solution MDM.
Appareils Apple pris en charge
Les appareils Apple suivants possèdent une structure intégrée prenant en charge la gestion des appareils mobiles (MDM) :
iPhone exécutant iOS 4 ou ultérieur
iPad exécutant iOS 4.3 ou ultérieur ou iPadOS 13.1 ou ultérieur
Les ordinateurs Mac exécutant OS X 10.7 ou ultérieur
Apple TV exécutant tvOS 9 ou ultérieur
Remarque : toutes les options ne sont pas disponibles dans toutes les solutions MDM. Pour découvrir les options MDM disponibles pour vos appareils, consultez la documentation de votre fournisseur de solution MDM.