Introduction aux services de gestion des appareils dans Apple Business
Présentation
iOS, iPadOS, macOS, tvOS, visionOS et watchOS disposent d’un cadre intégré qui prend en charge la gestion des appareils. Un service de gestion des appareils permet à une organisation de configurer des appareils en toute sécurité et à distance en envoyant des configurations, des profils et des commandes à l’appareil, qu’il appartienne à l’utilisateur ou à votre organisation. Il permet également à l’appareil d’appliquer des réglages et de signaler l’état de manière asynchrone au service de gestion des appareils sans écoute permanente. C’est idéal pour les performances et l’évolutivité. La gestion déclarative des appareils donne aux organisations une plus grande assurance quant à l’état souhaité des appareils et à la conservation des données essentielles en toute sécurité, même sans connexion Internet. Et du point de vue utilisateur, elle offre une expérience beaucoup plus réactive. Les capacités comprennent la mise à jour des réglages des appareils et des logiciels, la vérification de la conformité aux règles de l’organisation et l’effacement ou le verrouillage à distance des appareils.
Vous pouvez attribuer des appareils à un service de gestion des appareils pour désigner les services qui doivent être utilisés pour l’inscription des appareils et l’inscription automatisée des appareils. L’attribution d’un service de gestion des appareils n’affecte pas l’inscription en cours d’un appareil. Les différences entre les deux méthodes d’inscription sont les suivantes :
Inscription des appareils : les appareils sont inscrits par l’utilisateur ou l’utilisatrice après avoir terminé l’accès à l’assistant de configuration.
Inscription automatisée d’appareils : les appareils apparaissent dans l’Assistant réglages.
Vous pouvez également attribuer des appareils à un service automatiquement par plateforme, par appareil sur la page de l’appareil, par une action en bloc et avec Apple Configurator pour iPhone.
En fonction de vos critères, vous pouvez créer une courte liste de services de gestion des appareils et les configurer à titre d’essai avec seulement quelques appareils de test pour évaluer quelle solution répond le mieux à vos besoins avant de prendre une décision finale. Apple Business vous permet de vous connecter à plusieurs services de gestion d’appareils et d’attribuer des appareils à différents services si nécessaire.
Avant de commencer
Avant d’établir un lien vers un service de gestion d’appareil externe, consultez les informations ci-dessous :
Sécurité : Apple doit avoir connaissance de tous les services externes de gestion des appareils que vous créez, et ils doivent être autorisés de manière sécurisée à l’aide d’une validation en deux étapes. La procédure de validation implique la création et l’installation d’un jeton de service sur votre service de gestion des appareils. Le certificat chiffre le jeton. Pour en savoir plus sur le transfert du jeton, consultez la documentation de votre service de gestion des appareils.
Certificats : avant d’ajouter un service externe de gestion des appareils, procurez‑vous le fichier de certificat de clé publique (avec une extension .pem ou .der) auprès de votre fournisseur pour chaque service que vous souhaitez ajouter. Consultez la documentation du service de gestion des appareils pour en savoir plus sur l’obtention du certificat de clé publique du service.
Remarque : Vous ne pouvez pas charger plus de 250 fichiers de certificat de clé publique.
Noms : lorsque vous nommez chaque service de gestion externe des appareils, vous n’avez pas besoin d’utiliser le nom de domaine complet. Vous pouvez par exemple choisir un nom de bâtiment, de salle, de lieu ou de fonction (en revanche, vous ne pouvez pas utiliser le même nom pour plusieurs services). Vous ne pouvez pas non plus nommer vos services « Non Attribué » ou « Réattribué ».
Prise en charge des appareils : certains services de gestion des appareils sont créés avec une prise en charge détaillée pour des types d’appareils Apple spécifiques, par exemple (uniquement les ordinateurs Mac ou les appareils iPhone et iPad), tandis que d’autres offrent une prise en charge multiplateforme. Vous pouvez choisir une combinaison de développeurs afin que chaque type d’appareil soit pris en charge avec une solution spécialisée. L’attribution automatique par type d’appareil facilite les choses. Ou choisissez un développeur qui prend en charge tous les types d’appareils Apple utilisés dans votre organisation.
Services de requêtes et de rapports : un service de gestion d’appareils peut enquêter sur les appareils Apple afin d’obtenir diverses informations, notamment le numéro de série du matériel, l’UDID de l’appareil, le Wi-Fi, l’adresse Media Access Control (MAC) et l’état du chiffrement FileVault (pour les ordinateurs Mac). Il peut également rechercher des informations logicielles, telles que la version et les restrictions de l’appareil, et répertorier les apps installées sur l’appareil. Ces informations peuvent être utilisées pour s’assurer que les utilisateurs gèrent les apps appropriées. iOS et iPadOS permettent des requêtes sur la dernière sauvegarde d’un appareil sur iCloud et sur le hashage du compte d’attribution de l’app du profil utilisateur connecté. Dans tvOS, un service de gestion des appareils peut interroger les appareils Apple TV inscrits pour obtenir des informations sur les ressources, telles que la langue, les paramètres régionaux et l’organisation.
Accès et politiques d’assistance du fournisseur : un service de gestion des appareils est un service essentiel. Vous devez évaluer l’assistance, les services et toute formation fournie par votre développeur de services de gestion d’appareils.
Exigences réseau pour votre service de gestion d’appareils
Lors de l’installation et de la configuration de votre service de gestion des appareils, réfléchissez à la façon dont vous configurerez le réseau, le protocole TLS (Transport Layer Security), les services d’infrastructure , les services Apple et la sauvegarde.
Lorsque vous installez un service de gestion des appareils hébergés localement, vous devez configurer tous les éléments suivants. Configurez et testez chacun d’entre eux tôt dans le processus pour garantir un déploiement en douceur. Si votre service de gestion des appareils est géré en externe ou hébergé dans le cloud, le développeur peut gérer plusieurs de ces éléments en votre nom :
DNS : un service de gestion des appareils doit utiliser un nom de domaine complet qui peut être résolu aussi bien à l’intérieur qu’à l’extérieur du réseau de l’organisation. Cela permet au service de gérer les appareils, qu’ils soient connectés localement ou à distance. Afin de maintenir la connectivité avec les clients et clientes, ce nom de domaine ne peut pas changer.
Adresse IP : la plupart des services de gestion des appareils nécessitent une adresse IP statique. Le nom DNS existant doit être conservé si l’adresse IP du serveur est modifiée.
Configurer avec TLS : toutes les communications entre les appareils Apple et le service de gestion des appareils sont cryptées avec HTTPS. Un certificat TLS (anciennement SSL) est requis pour protéger ces communications. Ne déployez pas d’appareils sans certificat provenant d’une autorité de certification (AC) bien connue. Notez la date d’expiration et assurez-vous de renouveler le certificat avant son expiration.
Ports de pare-feu : pour autoriser un accès interne et externe au service de gestion des appareils, certains ports de pare-feu doivent être ouverts. La plupart des services de gestion des appareils acceptent les connexions entrantes via HTTPS sur le port 443. Les appareils Apple doivent pouvoir se connecter à des ports spécifiques sur des hébergeurs spécifiques :
Port TCP 443 pendant l’activation de l’appareil, puis pour le retour si les appareils ne peuvent pas atteindre les APN sur le port 5223
Port TCP 5223 pour communiquer avec les APN
Port TCP 443 ou 2197 pour envoyer des notifications du service de gestion des appareils aux APN
Remarque : Votre service de gestion des appareils peut héberger des clés de soumission et des codes de contournement d’activation, des jetons de démarrage macOS et d’autres données uniques importantes pour la continuité de l’accès aux appareils. Pour cette raison, assurez-vous de disposer d’une stratégie de récupération d’entreprise fiable pour votre service de gestion des appareils sur site. Nous vous recommandons de tester régulièrement les sauvegardes et les restaurations.
Gestion supplémentaire des appareils
La surveillance indique généralement que l’appareil appartient à l’organisation, ce qui offre un contrôle supplémentaire sur sa configuration et ses restrictions. Les organisations peuvent surveiller les appareils de différentes manières ; certains types varient selon la plateforme. Consultez la section À propos de la surveillance des appareils Apple dans Déploiement des plateformes Apple.