Introduction aux profils de gestion des appareils mobiles
Les systèmes d’exploitation iOS, iPadOS, macOS, tvOS, watchOS 10 ou ultérieur et visionOS 1.1 ou ultérieur possèdent une structure intégrée prenant en charge la gestion des appareils mobiles (MDM). Avec une solution MDM, vous pouvez configurer des appareils de manière sécurisée et sans fil en leur envoyant des profils et des commandes, peu importe qu’ils appartiennent à l’utilisateur ou à l’organisation. Les capacités MDM comprennent la mise à jour des réglages des appareils et des logiciels, la vérification de la conformité des appareils aux règles de lʼorganisation et l’effacement ou le verrouillage à distance des appareils. Les utilisateurs peuvent inscrire leurs propres appareils à la solution MDM et les appareils appartenant à l’organisation peuvent être inscrits automatiquement à la solution MDM à l’aide d’Apple School Manager ou d’Apple Business Manager. Si vous utilisez Apple Business Essentials, vous pouvez également utiliser la gestion dʼappareils intégrée.
Certains concepts sont à comprendre si vous souhaitez utiliser une solution MDM. Consultez les sections suivantes pour comprendre comment les solutions MDM utilisent les profils d’inscription et de configuration, la supervision et les données utiles.
Inscription des appareils
Lʼinscription auprès de la solution MDM nécessite lʼinscription dʼidentités de certificat client à lʼaide de protocoles tels que lʼEnvironnement de gestion automatique de certificats (ACME) ou le protocole SCEP (Simple Certificate Enrollment Protocol). Les appareils utilisent ces protocoles pour créer des certificats d’identité uniques pour l’authentification des services de l’organisation.
Si lʼinscription nʼest pas automatisée, ce sont les utilisateurs qui décident ou non de s’inscrire à la solution MDM, et ils peuvent en dissocier leurs appareils à tout moment. Par conséquent, n’hésitez pas à recourir à des incitations pour encourager les utilisateurs à rester inscrits. Par exemple, vous pouvez exiger l’inscription au serveur MDM pour obtenir un accès au réseau Wi-Fi, en utilisant la gestion des appareils mobiles pour fournir les identifiants de connexion. Lorsqu’un utilisateur quitte la gestion des appareils mobiles, son appareil tente de signaler à la solution MDM qu’il ne pourra plus être géré.
En ce qui concerne les appareils appartenant à votre établissement, vous pouvez utiliser Apple School Manager, Apple Business Manager ou Apple Business Essentials afin de les inscrire automatiquement à une solution MDM et de les superviser sans fil lors de la configuration initiale. Cette inscription est appelée Inscription automatisée d’appareils.
MDM et Protection en cas de vol de l’appareil
Lorsque la protection en cas de vol de l’appareil est activée, si l’utilisateur se trouve dans un lieu inconnu, il devra attendre une heure avant de pouvoir effectuer les actions suivantes :
Inscrire son appareil manuellement au service MDM
Installer manuellement un profil de code ou une configuration
Configurer un compte Microsoft Exchange dans les réglages ou à l’aide d’un profil ou d’une configuration
Profils d’inscription
Un profil dʼinscription est lʼun des deux principaux moyens dont disposent les utilisateurs pour inscrire un appareil personnel à une solution MDM (lʼautre moyen étant dʼutiliser lʼinscription dʼutilisateur). Grâce à ce profil, qui contient des données utiles MDM, la solution MDM envoie des commandes et, si nécessaire, des profils de configuration supplémentaires à lʼappareil. Elle peut également envoyer des requêtes à lʼappareil pour obtenir des informations, telles que le statut de son verrouillage dʼactivation, le niveau de sa batterie et son nom.
Lorsqu’un utilisateur supprime un profil d’inscription, tous les profils de configuration, leurs réglages et les apps gérées en fonction de ce profil d’inscription sont supprimés avec celui-ci. Il ne peut y avoir qu’un seul profil d’inscription sur un appareil à la fois.
Une fois que le profil d’inscription est approuvé, par l’appareil ou par l’utilisateur, les profils de configuration contenant des données utiles sont envoyés à l’appareil. Vous pouvez ensuite distribuer, gérer et configurer sans fil des apps et livres achetés par l’intermédiaire d’Apple School Manager, Apple Business Manager, ou Apple Business Essentials. Selon le type d’app, la façon dont l’app est attribuée et le caractère supervisé ou non de l’appareil, une app peut être installée par l’utilisateur ou automatiquement. Pour plus d’informations, consultez la section À propos de la supervision d’appareils Apple.
Profils de configuration
Un profil de configuration est un fichier XML (se terminant par .mobileconfig) constitué de données utiles qui chargent des réglages et des informations d’autorisation sur des appareils Apple. Les profils de configuration permettent d’automatiser la configuration des réglages, des comptes, des restrictions et des informations de connexion. Ces fichiers peuvent être créés automatiquement, à l’aide d’une solution MDM ou d’Apple Configurator pour Mac, ou manuellement. Pour en savoir plus sur l’utilisation d’Apple Configurator pour Mac en vue de créer et d’installer des profils de configuration sur iPhone, iPad et Apple TV, consultez la rubrique Créer et modifier des profils de configuration du guide d’utilisation d’Apple Configurator pour Mac.
Les profils de configuration pouvant être chiffrés et signés, vous pouvez limiter leur utilisation à un appareil Apple spécifique et, hormis les noms d’utilisateur et les mots de passe, empêcher quiconque de modifier les réglages qu’ils contiennent. Vous pouvez également marquer un profil de configuration comme étant verrouillé sur l’appareil.
Si votre solution MDM prend en charge cette fonctionnalité, vous pouvez distribuer les profils de configuration par e-mail en pièce jointe, via un lien sur votre propre page web ou par le biais du portail utilisateurs intégré de la solution MDM. Lorsque les utilisateurs ouvrent la pièce jointe à l’e-mail ou téléchargent le profil de configuration à l’aide d’un navigateur, ils sont invités à lancer l’installation du profil de configuration.
Vous pouvez distribuer un profil de configuration qui peut modifier les réglages de tout lʼappareil ou dʼun utilisateur unique :
Les profils dʼappareil peuvent être envoyés à des appareils et des groupes d’appareils, et appliquent des réglages à tout l’appareil.
Les iPhone, iPad, Apple TV, Apple Watch et Apple Vision Pro ne peuvent pas reconnaître plusieurs utilisateurs. Aussi, les profils de configuration créés pour iOS, iPadOS, tvOS, watchOS 10 ou ultérieur et visionOS 1.1 ou ultérieur sont toujours des profils d’appareil. Bien que les profils iPadOS constituent des profils d’appareil, les appareils iPad configurés pour la fonctionnalité iPad partagé peuvent prendre en charge des profils en fonction de l’appareil ou de l’utilisateur.
Les profils dʼutilisateur peuvent être envoyés à des utilisateurs et (si la solution MDM les prend en charge) des groupes d’utilisateurs et appliquent des réglages utilisateurs uniquement à des utilisateurs en particulier. Puisque les ordinateurs Mac peuvent avoir plusieurs utilisateurs, les données utiles et les réglages pour les profils macOS peuvent être basés sur l’appareil ou sur l’utilisateur. Le compte dʼutilisateur créé pendant les étapes de lʼAssistant réglages est considéré comme étant géré par la solution MDM et peut recevoir des profils. Sous macOS 11 ou ultérieur, un compte dʼadministrateur créé par une solution MDM pendant lʼinscription peut aussi être géré à la place. Pour les déploiements liés à Active Directory, lʼutilisateur du réseau qui est connecté peut être géré à lʼaide de la solution MDM.
Les réglages de lʼappareil et les réglages utilisateur varient en fonction de leur emplacement : Les réglages installés au niveau du système se trouvent dans un canal dʼappareil. Les réglages installés au niveau de lʼutilisateur se trouvent dans un canal dʼutilisateur.
Pour en savoir plus sur lʼinstallation dʼun profil et le mode Isolement, consultez lʼarticle À propos du mode Isolement.
Suppression de profil
Le retrait des profils dépend de la manière dont ils ont été installés. La séquence suivante indique de quelle manière un profil peut être supprimé :
1. Tous les profils peuvent être supprimés en effaçant toutes les données de l’appareil.
2. Si l’appareil a été inscrit à la solution MDM à l’aide d’Apple School Manager, Apple Business Manager ou Apple Business Essentials, l’administrateur peut choisir si le profil d’inscription peut être supprimé par l’utilisateur ou s’il ne peut être supprimé que par le serveur MDM lui-même.
3. Si le profil est installé par une solution MDM, il peut être supprimé par cette même solution MDM ou par la désinscription de l’utilisateur du service MDM en supprimant le profil de configuration d’inscription.
4. Si le profil est installé sur un appareil supervisé à l’aide d’Apple Configurator, cette instance de supervision d’Apple Configurator peut supprimer le profil.
5. Si le profil est installé sur un appareil supervisé manuellement ou à l’aide d’Apple Configurator, et si le profil dispose de données utiles de mot de passe de suppression, l’utilisateur doit saisir le mot de passe de suppression pour supprimer le profil.
6. Tous les autres profils peuvent être supprimés par l’utilisateur.
Un compte installé via un profil de configuration peut être supprimé en supprimant ce profil. Un compte Microsoft Exchange ActiveSync, y compris s’il a été installé à l’aide d’un profil de configuration, peut être supprimé par Microsoft Exchange Server en émettant la commande d’effacement à distance du compte uniquement.
Important : si les utilisateurs connaissent le code de l’appareil, ils peuvent supprimer les profils de configuration installés manuellement des iPhone et iPad non supervisés, même si l’option est définie sur « jamais ». Les utilisateurs de Mac peuvent faire la même chose à condition de connaitre le nom d’utilisateur ainsi que le mot de passe d’un administrateur. Pour ce faire, ils doivent utiliser l’outil de ligne de commande profiles, Réglages Système (sous macOS 13 ou ultérieur), ou Préférences Système (sous macOS 12.0.1 ou antérieur). Sous macOS 10.15 ou ultérieur, comme sous iOS et iPadOS, les profils installés à l’aide d’une solution MDM doivent être supprimés avec une solution MDM, ou ils seront supprimés automatiquement lors de la désinscription de la solution MDM.
Exigences liées aux communication de la solution MDM
Les communications de tierce partie de la solution MDM avec des appareils Apple ont le plus de chance de réussir lorsque :
la solution MDM est configurée, a passé les tests et fonctionne correctement ;
le certificat APNs est valide et nʼa pas expiré ;
lʼappareil est allumé ;
lʼappareil est actuellement inscrit à la solution MDM ;
le réseau auquel lʼappareil est connecté a accès à Internet (pour les communications APNs) ;
le réseau auquel lʼappareil est connecté doit être en mesure dʼaccéder aux hôtes Apple liés à la solution MDM.
Pour en savoir plus, consultez l’article Utiliser les produits Apple sur des réseaux d’entreprise de l’assistance Apple.
Remarque : Apple ne contrôle pas les solutions MDM de tierce partie. Dʼautres problèmes, comme des données utiles MDM mal configurées, peuvent également entraîner un échec des communications avec la solution MDM.
Appareils Apple pris en charge
Les appareils Apple suivants possèdent une structure intégrée prenant en charge la gestion des appareils mobiles (MDM) :
iPhone exécutant iOS 4 ou ultérieur
iPad exécutant iOS 4.3 ou ultérieur ou iPadOS 13.1 ou ultérieur
Les ordinateurs Mac exécutant OS X 10.7 ou ultérieur
Apple TV exécutant tvOS 9 ou ultérieur
Apple Watch dotée de watchOS 10 ou ultérieur
Apple Vision Pro exécutant visionOS 1.1 ou ultérieur
Remarque : toutes les options ne sont pas disponibles dans toutes les solutions MDM. Pour découvrir les options MDM disponibles pour vos appareils, consultez la documentation de votre fournisseur de solution MDM.