Comptes Apple gérés pour les appareils Apple
Les comptes Apple gérés sont un formidable moyen d’augmenter la productivité des employés et de fournir les services dont les utilisateurs ont besoin. Ces comptes sont conçus tout spécialement pour les établissements et sont distincts des comptes Apple personnels que les utilisateurs créent pour eux-mêmes. Cela aide à maintenir une séparation entre les données de l’établissement et les données personnelles à l’aide de contrôles de gestion robustes.
Comme nʼimporte quel compte Apple, les comptes Apple gérés peuvent être utilisés sur des appareils dédiés ou partagés pour accéder à des services Apple spécifiques (notamment iPad partagé, iCloud et les outils de collaboration iWork et Notes), ainsi que pour accéder à Apple School Manager, Apple Business Manager et Apple Business Essentials et les utiliser.
Dans Apple School Manager, les comptes Apple gérés sont détenus et contrôlés par l’établissement d’enseignement, et sont conçus pour répondre aux besoins de ces établissements, notamment pour la réinitialisation des mots de passe, les restrictions sur les communications et l’administration par attribution de rôles. Apple School Manager simplifie la création d’un compte Apple géré unique par lot pour chaque utilisateur.
Dans Apple School Manager, Apple Business Manager et Apple Business Essentials, les comptes Apple gérés appartiennent à l’établissement et sont gérés par celui-ci, y compris en ce qui concerne les réinitialisations de mot de passe, la gestion des accès aux services et l’administration par attribution de rôles. Apple School Manager, Apple Business Manager et Apple Business Essentials simplifient la création d’un compte Apple géré unique par lot pour chaque utilisateur.
Pour voir les certifications qu’Apple maintient en conformité avec les normes ISO 27001 et 27018 pour les comptes Apple gérés, consultez l’article Apple internet services security certifications (en anglais) dans Apple Platform Certifications (Certifications des plateformes Apple).
Mode de création des comptes Apple gérés
Les comptes Apple gérés sont créés après les opérations suivantes :
Utiliser l’authentification fédérée avec Google Workspace, Microsoft Entra ID ou un fournisseur d’identité (IdP)
Importer des utilisateurs depuis Google Workspace, Microsoft Entra ID ou un fournisseur d’identité (IdP)
Apple School Manager uniquement : Importer des comptes depuis votre SIS (Student Information System)
Apple School Manager uniquement : Importer des fichiers .csv à l’aide du protocole SFTP (Secure File Transfer Protocol)
Créer des comptes manuellement
Se connecter avec Apple au travail et à l’école
« Se connecter avec Apple au travail et à l’école » est une fonctionnalité permettant à « Se connecter avec Apple » de prendre en charge les comptes Apple gérés. Les employés, instructeurs et élèves peuvent se connecter avec leur compte Apple géré pour accéder aux apps et sites web prenant en charge « Se connecter avec Apple ». Les administrateurs, gestionnaires de sites (Apple School Manager uniquement) et gestionnaires de personnes peuvent contrôler les apps autorisées à prendre en charge la fonctionnalité « Se connecter avec Apple ». Pour utiliser « Se connecter avec Apple au travail et à l’école », les appareils Apple doivent exécuter iOS 16, iPadOS 16.1 ou macOS 13 ou ultérieur.
Pour en savoir plus, visionnez la vidéo Discover Sign in with Apple at Work & School (en anglais) de la WWDC22.
Clés d’accès et comptes Apple gérés
Les clés d’identification sont conçues pour fournir une expérience de connexion sans mot de passe à la fois pratique et sécurisée. Il s’agit d’une technologie fondée sur une norme capable de résister au hameçonnage, fondamentalement robuste et ne nécessitant l’utilisation d’aucun secret partagé.
Grâce à la prise en charge des comptes Apple gérés par le Trousseau iCloud, les établissements peuvent déployer des clés d’accès afin de permettre aux employés d’accéder à des ressources internes avec l’assurance que les clés de sécurité se synchronisent en toute sécurité sur l’ensemble de leurs iPhone, iPad et Mac. À l’aide de la fonctionnalité de gestion des accès, elles peuvent également définir l’état de gestion requis d’un appareil permettant d’accéder aux clés d’identification gérées.
Une configuration déclarative d’attestation de clé d’identification autorise un appareil géré à fournir une attestation lorsqu’une clé d’identification est approvisionnée pour un service organisationnel. L’attestation est fournie lorsqu’un utilisateur enregistre une clé d’identification pour un site web ou une app utilisant un domaine spécifié dans la configuration. Une fois que l’appareil a généré une clé d’identification en toute sécurité, il utilise l’identité de certificat définie dans la configuration pour réaliser une attestation WebAuthn
avec le service auquel il accède. Cela permet au service de vérifier que la clé d’identification a été créée sur un appareil géré par l’organisation avant d’accorder l’accès.
Les clés d’accès générées sont automatiquement stockées dans le trousseau iCloud associé au compte Apple géré. En cas d’absence de compte Apple géré, la clé d’accès ne peut pas être créée.
S’ils souhaitent fournir à l’utilisateur un processus de connexion simple, les développeurs d’apps peuvent avoir recours aux domaines associés afin d’établir une association sécurisée entre les domaines et leur app (et accessoirement autoriser une configuration des domaines associés via le service MDM). Le cas échéant, iOS, iPadOS et macOS peuvent automatiquement sélectionner et fournir la clé d’identification correcte offrant ainsi une expérience de connexion fluide. Si l’authentification est effectuée par un service tiers, vous pouvez utiliser ASWebAuthenticationSession
à la place.
Pour en savoir plus, consultez la rubrique Configuration déclarative d’Attestation de code d’accès.