Déploiement de l`iPhone et de l`iPad Gestion des appareils mobiles

Déploiement de l`iPhone et de l`iPad Gestion des appareils mobiles

Déploiement de l’iPhone
et de l’iPad
Gestion des appareils mobiles
(MDM)
iOS prend en charge la gestion des appareils mobiles (MDM), offrant aux entreprises la
possibilité de gérer des déploiements évolutifs d’iPhone et d’iPad dans l’ensemble de
leurs organisations. Ces capacités de gestion des appareils mobiles sont fondées sur
les technologies iOS existantes comme les profils de configuration, l’inscription à distance (en mode OTA) et le service de notification push Apple (Apple Push Notification
service, APN). Elles peuvent être intégrées à des solutions serveur internes ou tierces.
Les responsables informatiques peuvent déployer l’iPhone et l’iPad dans un environnement professionnel en toute sécurité, configurer et mettre à jour des réglages
sans fil, vérifier la conformité de l’appareil avec les règles d’entreprise, et même effacer
ou verrouiller à distance des appareils ainsi gérés.
Gestion des iPhone et des iPad
La gestion des appareils iOS se déroule via une connexion à un serveur MDM. Ce
serveur peut être assemblé par le service informatique interne de l’entreprise, ou
obtenu auprès d’un fournisseur tiers. L’appareil communique avec le serveur pour voir
si des tâches sont en attente et répond en effectuant les actions appropriées. Il peut
s’agir de la mise à jour de règles, de l’envoi d’informations sur l’appareil ou le réseau,
ou de la suppression de réglages et de données.
La plupart des fonctions de gestion sont réalisées en arrière-plan et ne nécessitent
aucune interaction avec les utilisateurs. Par exemple, si le service informatique met à
jour son infrastructure VPN, le serveur MDM peut configurer les iPhone et iPad avec
de nouvelles informations de compte à distance. Lors de l’utilisation suivante du VPN
par l’employé, la configuration requise est déjà présente sur l’appareil, ce qui évite un
appel au service d’assistance ou la modification manuelle des réglages.
Coupe-feu
Service de notification
Push d’Apple
Serveur MDM tiers
2
MDM et le service de notification push Apple (APN)
Quand un serveur de gestion des appareils mobiles (MDM) veut communiquer avec un
iPhone ou un iPad, une notification silencieuse est envoyée à l’appareil via le service
de notification push Apple, lui demandant de se connecter au serveur. Le processus
de notification de l’appareil n’échange aucune information propriétaire avec le service
de notification push Apple. La seule tâche effectuée par la notification push consiste
à réveiller l’appareil afin qu’il se connecte au serveur MDM. Toutes les informations
de configuration, les réglages et les requêtes sont envoyés directement du serveur à
l’appareil iOS par une connexion SSL/TLS chiffrée entre l’appareil et le serveur MDM.
iOS gère toutes les requêtes et actions de MDM en arrière-plan afin d’en limiter
l’impact pour l’utilisateur, y compris en termes d’autonomie, de performances et de
fiabilité.
iOS et SCEP
iOS prend en charge le protocole SCEP (Simple
Certificate Enrollment Protocol). SCEP est un
protocole d’enregistrement à l’état d’Internet
draft selon les spécifications de l’IETF. Il a
été conçu pour simplifier la distribution des
certificats dans le cas de déploiements réalisés
à grande échelle. Cette installation permet
une inscription à distance des certificats
d’identité destinés à l’iPhone et à l’iPad et
servant de système d’identification aux services
d’entreprise.
Pour que le serveur de notifications push reconnaisse les commandes du serveur
MDM, un certificat doit au préalable être installé sur le serveur. Ce certificat doit
être demandé et téléchargé depuis le portail de certificats push Apple (Apple Push
Certificates Portal). Une fois le certificat de notification push Apple téléchargé sur le
serveur MDM, l’inscription des appareils peut débuter. Pour plus d’informations sur la
demande d’un certificat de notification push Apple pour un serveur MDM, consultez la
page www.apple.com/business/mdm.
Configuration réseau pour le service APN
Lorsque les serveurs MDM et les appareils iOS sont protégés par un coupe-feu, il est
nécessaire de procéder à une configuration réseau pour permettre au service MDM
de fonctionner correctement. Pour envoyer des notifications depuis un serveur MDM
vers le service APN, le port TCP 2195 doit être ouvert. Pour bénéficier du service de
feedback, le port TCP 2196 doit également être ouvert. Pour les appareils se connectant
au service push en Wi-Fi, le port TCP 5223 doit être ouvert.
La plage d’adresses IP utilisée pour le service push est susceptible de changer ; il est
normalement prévu qu’un serveur MDM se connecte par nom d’hôte plutôt que par
adresse IP. Le service push met en œuvre une stratégie d’équilibrage des charges
qui fournit une adresse IP différente pour le même nom d’hôte. Ce nom d’hôte est
gateway.push.apple.com (et gateway.sandbox.push.apple.com pour l’environnement
de notification push de développement). Par ailleurs, l’ensemble du bloc d’adresses
17.0.0.0/8 est attribué à Apple afin d’établir des règles de coupe-feu spécifiant cette
plage.
Pour plus d’informations, adressez-vous à votre fournisseur de solutions MDM ou
consultez la Developer Technical Note TN2265 de la bibliothèque de développement iOS
à l’adresse http://developer.apple.com/library/ios/#technotes/tn2265/_index.html.
Inscription
Une fois le serveur MDM et le réseau configurés, la première étape de la gestion d’un
iPhone ou d’un iPad consiste à inscrire celui-ci auprès d’un serveur MDM. Cela établit
une relation entre l’appareil et le serveur qui permet de gérer l’appareil à la demande,
sans autre interaction avec l’utilisateur.
Pour cela, l’iPhone ou l’iPad peuvent être connectés à un ordinateur via USB, mais la
plupart des solutions fournissent le profil d’inscription sans fil. Certains fournisseurs
de solutions MDM utilisent une app pour démarrer le processus, tandis que d’autres
lancent l’inscription en dirigeant les utilisateurs vers un portail web. Chaque méthode
a ses avantages, et l’une comme l’autre permettent de déclencher le processus
d’inscription à distance via Safari.
3
Présentation du processus d’inscription
Le processus d’inscription à distance (mode OTA) se compose de phases qui
s’associent en un flux automatisé afin d’offrir le moyen le plus adaptable d’inscrire
des appareils de façon sécurisée dans un environnement d’entreprise. Ces phases
comprennent :
1. L’authentification de l’utilisateur
L’authentification de l’utilisateur garantit que les demandes d’inscription entrantes
proviennent d’utilisateurs légitimes et que les informations de l’appareil de
l’utilisateur sont capturées avant l’inscription par certificat. L’administrateur peut
inviter l’utilisateur à initier la procédure d’inscription via un portail web, par e-mail,
SMS ou même par le biais d’une app.
2. L’inscription par certificat
Une fois l’utilisateur authentifié, iOS génère une demande d’inscription par certificat
à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Cette demande
d’inscription communique directement avec l’autorité de certification (AC ou CA)
de l’entreprise et permet à l’iPhone et à l’iPad de recevoir en retour le certificat
d’identité émis par l’AC.
3. La configuration de l’appareil
Une fois que le certificat d’identité est installé, l’appareil peut recevoir un profil de
configuration chiffré à distance. Ces informations ne peuvent être installées que sur
l’appareil auquel elles sont destinées et contiennent les réglages permettant de se
connecter au serveur MDM.
À la fin du processus d’inscription, l’utilisateur voit apparaître un écran d’installation
qui décrit les droits d’accès que le serveur MDM possédera sur l’appareil. En
acceptant l’installation du profil, l’appareil de l’utilisateur est automatiquement
inscrit, sans nécessiter d’autre interaction.
Une fois l’iPhone et l’iPad inscrits en tant qu’appareils gérés, ils peuvent être
configurés de façon dynamique à l’aide de réglages, interrogés pour livrer des
informations ou effacés à distance par le serveur MDM.
Administration
Grâce à la gestion des appareils mobiles, un certain nombre de fonctions peuvent
être effectuées par un serveur MDM sur des appareils iOS. Parmi ces tâches, figurent
l’installation et la suppression de profils de configuration et d’approvisionnement,
la gestion des apps, la rupture de la relation MDM et l’effacement à distance d’un
appareil.
Configurations gérées
Au cours du processus initial de configuration d’un appareil, un serveur MDM
pousse vers l’iPhone ou l’iPad des profils de configuration, qui sont installés en
arrière-plan. Au fil du temps, il peut être nécessaire d’actualiser ou de modifier les
réglages et les règles mis en place au moment de l’inscription. Pour effectuer ces
changements, un serveur MDM peut à tout moment installer de nouveaux profils
de configuration et modifier ou supprimer les profils existants. De même, il peut
être nécessaire d’installer sur des appareils iOS des configurations spécifiques à un
contexte, selon la localisation d’un utilisateur ou son rôle au sein de l’organisation.
Par exemple, si un utilisateur voyage à l’étranger, un serveur MDM peut exiger
que ses comptes de courrier électronique se synchronisent manuellement plutôt
qu’automatiquement. Un serveur MDM peut même désactiver à distance des
services voix ou données afin d’éviter à un utilisateur des frais d’itinérance imposés
par un opérateur.
4
Apps gérées
Un serveur MDM peut gérer des apps tierces de l’App Store ainsi que des applications
développées en interne par les entreprises. Le serveur peut supprimer à la demande
des apps gérées et les données qui leur sont associées ou préciser si les apps doivent
être supprimées lors de la suppression du profil MDM. En plus, le serveur MDM peut
empêcher la sauvegarde sur iTunes et iCloud des données de l’app gérée.
Pour installer une app gérée, le serveur MDM envoie une commande d’installation
sur l’appareil de l’utilisateur. Les apps gérées nécessitent l’acceptation de l’utilisateur
avant d’être installées. Lorsqu’un serveur MDM demande l’installation d’une app gérée
de l’App Store, l’app est acquise à l’aide du compte iTunes utilisé au moment de
l’installation de l’app. Pour les apps payantes, le serveur MDM devra envoyer un code
d’utilisation du Programme d’achats en volume (VPP, Volume Purchasing Program).
Pour plus d’informations sur le programme VPP, consultez la page www.apple.com/fr/
business/vpp. Les apps de l’App Store ne peuvent pas être installées sur l’appareil d’un
utilisateur si l’App Store a été désactivé.
Gestion des appareils supervisés avec MDM
Les appareils activés avec Apple Configurator peuvent être « supervisés », ce qui
permet d’installer des réglages et restrictions supplémentaires. Lorsqu’un appareil est
supervisé avec Apple Configurator, tous les réglages et restrictions disponibles peuvent
être installés à distance par MDM. Pour plus d’informations sur la configuration et la
gestion des appareils avec Apple Configurator et avec MDM, consultez le document
Déploiement de l’iPhone et de l’iPad : Apple Configurator.
Suppression ou effacement d’appareils
Si un appareil ne respecte pas les règles, est perdu ou volé, ou si un employé quitte la
société, un serveur MDM dispose d’un certain nombre de moyens pour protéger les
informations d’entreprise stockées sur cet appareil.
Un administrateur informatique peut mettre fin à la relation MDM avec un appareil en
supprimant le profil de configuration contenant les informations relatives au serveur
MDM. Ainsi, tous les comptes, réglages et apps qu’il avait la charge d’installer sont
supprimés. Le service informatique peut également laisser le profil de configuration
MDM en place et n’utiliser le serveur MDM que pour supprimer des profils de
configuration et des profils d’approvisionnement spécifiques ainsi que les apps gérées
qu’il souhaite supprimer. Avec cette approche, la gestion de l’appareil reste pilotée par
le serveur MDM et évite d’avoir à le réinscrire dès qu’il respecte à nouveau les règles.
Les deux méthodes permettent au service informatique de s’assurer que les
informations ne sont disponibles que pour les utilisateurs et les appareils qui
respectent les règles, et de veiller à ce que les données d’entreprise soient supprimées
sans interférer avec les données personnelles d’un utilisateur, comme sa musique, ses
photos ou ses apps personnelles.
Pour supprimer de façon définitive tous les contenus multimédias et les données de
l’appareil et en restaurer les réglages d’origine, le serveur MDM peut effacer à distance
un iPhone ou un iPad. Si l’utilisateur est toujours à la recherche de son appareil, le
service informatique peut également décider d’envoyer à cet appareil une commande
de verrouillage à distance. Cela a pour effet de verrouiller l’écran et d’exiger le code de
sécurité de l’utilisateur pour le déverrouiller.
Si un utilisateur a tout simplement oublié son code de sécurité, un serveur MDM peut
le supprimer de l’appareil et inviter l’utilisateur à en définir un nouveau dans un délai
de 60 minutes.
5
Commandes de gestion prises en charge
Configuration gérée
• Installation du profil de configuration
• Suppression du profil de configuration
• Itinérance du service données
• Itinérance du service voix (non disponible chez certains opérateurs)
Apps gérées
• Installation d’apps gérées
• Suppression d’apps gérées
• Recensement de toutes les apps gérées
• Installation de profil d’approvisionnement
• Suppression de profil d’approvisionnement
Commandes de sécurité
• Effacement à distance
• Verrouillage à distance
• Effacement de codes de verrouillage
Configuration
Pour configurer un appareil à l’aide de comptes, de règles et de restrictions, le serveur
MDM envoie à l’appareil des fichiers appelés Profils de configuration qui sont installés
automatiquement. Les Profils de configuration sont des fichiers XML qui contiennent
des réglages permettant à l’appareil d’interagir avec les systèmes de votre entreprise :
informations de comptes, règles de codes, restrictions et autres réglages d’appareils.
Lorsqu’on l’associe au processus d’inscription décrit précédemment, la configuration
de l’appareil garantit au service informatique que seuls les utilisateurs de confiance
peuvent accéder aux services de l’entreprise et que leurs appareils sont correctement
configurés en fonction des règles établies.
Et comme les profils de configuration peuvent être à la fois signés et chiffrés, les
réglages ne peuvent être ni modifiés, ni partagés avec d’autres.
6
Éléments configurables pris en charge
Comptes
• Exchange ActiveSync
• E-mail IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendriers avec abonnements
Fonctionnalité des appareils
• Autoriser l’installation d’apps
• Autoriser Siri
• Autoriser Siri si verrouillé
• Autoriser les notifications de Passbook si
verrouillé
• Autoriser l’utilisation de l’appareil photo
• Autoriser FaceTime
• Autoriser la capture d’écran
• Permettre la synchronisation automatique
Règles en matière de codes
en déplacement
• Exiger un code sur l’appareil
• Autoriser la synchronisation des messages
• Autoriser une valeur simple
Mail récents
• Exiger une valeur alphanumérique
• Permettre la composition vocale de
• Nombre minimum de caractères
numéros
• Nombre minimum de caractères complexes • Autoriser les achats au sein des
• Durée de vie maximale du code
applications
• Délai avant verrouillage automatique
• Demander le mot de passe du Store pour
• Historique des codes
tous les achats
• Délai supplémentaire pour le verrouillage de • Autoriser les jeux multijoueurs
l’appareil
• Autoriser l’ajout d’amis dans Game Center
• Nombre maximal de tentatives infructueuses
Apps
Sécurité et confidentialité
• Autoriser l’utilisation de YouTube
• Autoriser l’envoi à Apple des données de
• Autoriser l’utilisation de l’iTunes Store
diagnostic
• Autoriser l’utilisation de Safari
• Autoriser l’utilisateur à accepter des
• Définir les préférences de sécurité de
certificats non fiables
Safari
• Forcer les copies de sauvegardes chiffrées
iCloud
Restrictions uniquement supervisées
• Autoriser la sauvegarde
• Autoriser iMessage
• Autoriser la synchronisation des
• Autoriser Game Center
documents et des valeurs clés
• Autoriser la suppression des apps
• Autoriser Flux de photos
• Autoriser iBookstore
• Autoriser Flux de photos partagés
• Autoriser les contenus érotiques de
l’iBookstore
Classement du contenu
• Activer le filtre anti-grossièretés de Siri
• Autoriser la musique et les podcasts à
• Autoriser l’installation manuelle des profils
contenu explicite
de configuration
• Définir la région du classement
• Définir les classements de contenus
Autres réglages
autorisés
• Références personnelles
• Clips web
• Réglages SCEP
• Réglages APN
• Proxy HTTP mondial (supervisé uniquement)
• Mode app unique (supervisé uniquement)
7
Interrogation des appareils
Outre la configuration, un serveur MDM a la capacité d’interroger les appareils pour
obtenir des informations diverses. Ces informations peuvent servir à s’assurer que les
appareils continuent à respecter les politiques en vigueur.
Requêtes prises en charge
Informations sur les appareils
• Identifiant unique de l’appareil (UDID)
• Nom de l’appareil
• iOS et version
• Nom et numéro du modèle
• Numéro de série
• Capacité et espace disponible
• Numéro IMEI
• Programme interne du modem
• Niveau de la batterie
• Statut de la supervision
Informations réseau
• ICCID
• Adresses MAC Bluetooth® et Wi-Fi
• Opérateur actuel
• Opérateur de l’abonné
• Version des réglages de l’opérateur
• Numéro de téléphone
• Paramètre d’itinérance des données
(activer/désactiver)
Conformité et informations de sécurité
• Profils de configuration installés
• Certificats installés avec des dates
d’expiration
• Recensement de toutes les restrictions en
vigueur
• Capacités de chiffrement matériel
• Code présent
Apps
• Applications installées (ID, nom, version,
taille de l’app et volume des données de
l’app)
• Profils d’approvisionnement installés avec
des dates d’expiration
8
Présentation du processus
Cet exemple illustre le déploiement élémentaire d’un serveur de gestion des appareils mobiles (MDM).
1
Coupe-feu
3
2
4
Service de notification
Push d’Apple
Serveur MDM tiers
5
1
Un Profil de configuration contenant des informations relatives au serveur de gestion des appareils mobiles est envoyé à
l’appareil. L’utilisateur voit apparaître les informations sur les éléments qui seront gérés et/ou demandés par le serveur.
2
L’utilisateur installe le profil pour accepter (« opt-in ») la gestion de l’appareil.
3
L’inscription de l’appareil se fait pendant l’installation du profil. Le serveur valide l’appareil et autorise l’accès.
4
Le serveur envoie une notification « push » invitant l’appareil à s’identifier pour les tâches ou requêtes demandées.
5
L’appareil se connecte directement au serveur via HTTPS. Le serveur envoie les informations concernant les commandes ou les
requêtes.
Pour en savoir plus sur la gestion des appareils mobiles, consultez la page www.apple.com/business/mdm.
© 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes, Passbook, Safari et Siri sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iMessage est
une marque d’Apple Inc. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store et iBookstore sont des marques de service d’Apple, Inc.
Le terme et les logos Bluetooth sont des marques déposées détenues par Bluetooth SIG, Inc. et utilisées sous licence par Apple. Les autres noms de produits et de sociétés mentionnés sont des marques de
leurs sociétés respectives. Les caractéristiques des produits sont susceptibles d’être modifiées sans préavis. Septembre 2012