Utiliser des fonctionnalités de sécurité réseau intégrées pour les appareils Apple
Les appareils Apple présentent des technologies de sécurité réseau intégrées qui autorisent les utilisateurs et protègent leurs données pendant la transmission. La prise en charge de la sécurité réseau pour les appareils Apple comprend :
Protocoles IPsec, IKEv2 et L2TP intégrés
VPN personnalisé via les apps de l’App Store (iOS, iPadOS, visionOS)
VPN personnalisé via les clients VPN tiers (macOS)
Protocoles Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) et DTLS
SSL/TLS avec des certificats X.509
Protocoles WPA/WPA2/WPA3 Enterprise avec 802.1X
Authentification par certificat
Authentification Kerberos et authentification par secret partagé
RSA SecurID, CRYPTOCard (macOS)
Relais réseau dans iOS, iPadOS, macOS et tvOS
Un relais intégré à iOS 17, iPadOS 17, macOS 14 et tvOS 17, ainsi qu’aux versions ultérieures, peut servir à sécuriser le trafic par le biais d’une connexion HTTP/3 ou HTTP/2, sans avoir à utiliser un VPN. Un relais réseau est un type particulier de proxy optimisé pour la performance et qui utilise les derniers protocoles de transport et de sécurité. Il peut être utilisé pour sécuriser le trafic TCP et UDP d’une app en particulier, d’un appareil entier et lors d’accès à des ressources internes. Plusieurs relais réseau peuvent être utilisés en parallèle, notamment le relais privé iCloud, sans qu’une app soit requise. Pour en savoir plus, consultez la rubrique Utiliser des relais réseau.
VPN et IPsec
De nombreux environnements d’entreprise possèdent une forme de réseau privé virtuel (VPN). Ces services VPN requièrent en règle générale des réglages et une configuration minimes pour pouvoir fonctionner avec des appareils Apple, lesquels prennent en charge l’intégration de nombreuses technologies VPN courantes.
iOS, iPadOS, macOS, tvOS, watchOS et visionOS prennent en charge les méthodes d’authentification et les protocoles IPsec. Pour en savoir plus, consultez la rubrique Vue d’ensemble des VPN.
TLS
Le protocole cryptographique SSL 3 et la suite de chiffrement symétrique RC4 sont devenus obsolètes sous iOS 10 et macOS 10.12. Par défaut, les clients ou serveurs TLS utilisant les API Secure Transport n’ont pas de suite de chiffrement RC4 activée. Par conséquent, ils ne sont pas capables de se connecter lorsque RC4 est la seule suite de chiffrement disponible. Pour plus de sécurité, les services ou les apps nécessitant RC4 doivent être mis à niveau pour activer les suites de chiffrement.
Les améliorations supplémentaires en matière de sécurité comprennent :
Signature requise pour les connexions SMB (macOS)
Sous macOS 10.12 ou ultérieur, prise en charge du chiffrement AES comme méthode de chiffrement pour les NFS kerbérisés (macOS)
Protocoles Transport Layer Security (TLS v1.2, TLS 1.3)
TLS 1.2 prend en charge les chiffrements AES 128 et SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Calendrier, Mail et d’autres apps Internet utilisent ces protocoles pour activer un canal de communication chiffré entre les appareils iOS, iPadOS, macOS et visionOS et les services d’entreprise.
Vous pouvez également définir votre version TLS minimale et maximale pour vos données utiles de réseau 802.1X avec EAP-TLS, EAP-TTLS, PEAP et EAP-FAST. Vous pouvez, par exemple, définir :
Les deux sur la même version TLS spécifique
Une valeur inférieure pour la version TLS minimale et une valeur supérieure pour la version TLS maximale, qui seraient ensuite négociées avec le serveur RADIUS
Une valeur nulle, ce qui autoriserait le demandeur 802.1X à négocier la version TLS avec le serveur RADIUS
iOS, iPadOS, macOS et visionOS requièrent la signature du certificat nœud terminal du serveur à l’aide des algorithmes de signature de la famille SHA-2 et doivent utiliser une clé RSA d’au moins 2 048 octets ou une clé ECC d’au moins 256 octets.
iOS 11, iPadOS 13.1, macOS 10.13 et visionOS 1.1 ou ultérieur prennent en charge TLS 1.2 pour l’authentification 802.1X. Les serveurs d’authentification prenant en charge TLS 1.2 peuvent nécessiter les mises à jour de compatibilité suivantes :
Cisco : ISE 2.3.0
FreeRADIUS : Mettre à jour vers la version 2.2.10 et 3.0.16.
Aruba ClearPass : Mettre à jour vers la version 6.6.x.
ArubaOS : Mettre à jour vers la version 6.5.3.4.
Microsoft : Windows Server 2012 - Serveur de stratégie réseau.
Microsoft : Windows Server 2016 - Serveur de stratégie réseau.
Pour en savoir plus sur le protocole 802.1X, consultez la rubrique Connecter des appareils Apple à des réseaux 802.1X.
WPA2/WPA3
Toutes les plateformes Apple prennent en charge l’authentification Wi-Fi et les protocoles de chiffrement standards, afin de proposer un accès authentifié et d’assurer de la confidentialité lors de la connexion aux réseaux sans fil sécurisés suivants :
WPA2 Personnel
WPA2 Entreprise
WPA2/WPA3 Transitionnel
WPA3 Personnel
WPA3 Entreprise
WPA3 Entreprise sécurité 192 bits
Pour afficher une liste de protocoles d’authentification sans fil 802.1X, consultez la rubrique Configurations 802.1X pour Mac.
Masquage et verrouillage des apps
Sous iOS 18 et iPadOS 18 ou ultérieur, les utilisateurs peuvent exiger Face ID, Touch ID ou un code pour ouvrir une app, et pour la masquer sur l’écran d’accueil. La solution MDM peut gérer la disponibilité de ces options en :
contrôlant la capacité d’un utilisateur à masquer et verrouiller des apps gérés pour chaque app ;
désactivant le masquage et le verrouillage de toutes les apps sur les appareils supervisés.
Pour les appareils inscrits avec lʼinscription dʼutilisateurs, les apps masquées sont signalées à la solution MDM uniquement si elles sont gérées. Pour les appareils inscrits avec lʼinscription d’appareils, les apps masquées sont signalées à la solution MDM dans le cadre de toutes les apps installées.
Accès au réseau local pour macOS
Sous macOS 15 ou ultérieur, un agent de lancement ou une app de tierce partie qui souhaite interagir avec des appareils sur le réseau local d’un utilisateur doit demander l’autorisation la première fois qu’il tente de parcourir le réseau local.
Comme pour iOS et iPad OS, les utilisateurs peuvent accéder à Réglages Système > Confidentialité > Réseau local pour autoriser ou refuser cet accès.
Chiffrement FaceTime et iMessage
iOS, iPadOS, macOS et visionOS créent un identifiant unique pour chaque utilisateur de FaceTime et d’iMessage, veillant ainsi à ce que les communications soient correctement chiffrées, acheminées et connectées.