iOS Deployment Tech Ref Guide DE May14_FR.pages

Transcription

!
Déploiement d’iOS
Référence
technique
pour
!
iOS
! 7.1
!!
Mai 2014
!
Guide de référence technique pour le déploiement d’iOS
!!
!!
!!
!
Contenu
Page 3
Introduction
Page 4
Chapitre 1 : Intégration
Page 4
Microsoft Exchange
Page 6
Services basés sur des standards
Page 6
Wi-Fi
Page 7
Réseaux privés virtuels
Page 13
Connexion VPN via l’app
Page 14
Authentification par signature unique (SSO)
Page 14
Certificats numériques
Page 16
Bonjour
Page 17
Chapitre 2 : Sécurité
Page 17
Sécurité des appareils
Page 19
Chiffrement et protection des données
Page 21
Sécurité du réseau
Page 22
Sécurité des apps
Page 23
Services Internet
Page 25
Chapitre 3 : Configuration et gestion
Page 25
Configuration et activation des appareils
Page 26
Profils de configuration
Page 26
Gestion des appareils mobiles (MDM)
Page 29
Appareils supervisés
Page 30
Chapitre 4 : Distribution des apps
Page 30
Programme d’achats en volume
Page 32
Apps B2B personnalisées
Page 32
Apps internes
Page 33
Déploiement d’apps
Page 35
Caching Server
Page 36
Annexe A : Infrastructure Wi-Fi
Page 39
Annexe B : Restrictions
Page 41
Annexe C : Installation sans fil d’apps développées en interne
2
Introduction
!
Ce guide s’adresse aux administrateurs informatiques qui souhaitent accueillir des
appareils iOS sur leurs réseaux. Il fournit des informations sur le déploiement et la
prise en charge des iPhone, iPad et iPod touch dans une organisation d’envergure
telle qu’une entreprise ou un établissement d’enseignement. Il explique la façon dont les appareils iOS offrent une sécurité complète, s’intègrent à votre infrastructure
existante et fournissent de puissants outils pour le déploiement.
En comprenant les principales technologies intégrées à iOS, vous pourrez mettre en œuvre une stratégie de déploiement qui offrira à vos utilisateurs une expérience
optimale. Les chapitres suivants vous serviront de référence technique lorsque vous
déploierez des appareils iOS dans votre établissement :
Intégration. Les appareils iOS intègrent la prise en charge d’une large gamme
d’infrastructures réseau. Dans cette section, vous découvrirez les technologies prises
en charge par iOS et les bonnes pratiques à mettre en œuvre pour l’intégration à Microsoft Exchange, les réseaux Wi-Fi, les VPN et d’autres services standard.
Sécurité. iOS est conçu pour permettre un accès sécurisé aux services d’entreprise et pour protéger les données importantes. iOS propose un chiffrement hautement
sécurisé des données transmises, des méthodes d’authentification éprouvées pour
l’accès aux services d’entreprise et le chiffrement matériel de toutes les données
stockées sur l’appareil. Lisez ce chapitre pour en savoir plus sur les fonctionnalités
d’iOS relatives à la sécurité.
Configuration et gestion. iOS prend en charge des outils et technologies avancés
afin qu’il soit facile de préparer les appareils iOS, de les configurer pour répondre à
vos exigences et de les gérer dans un environnement à grande échelle. Ce chapitre
décrit les différents outils disponibles pour le déploiement et propose une
présentation de la gestion des appareils mobiles (MDM).
Distribution d’apps. Il existe plusieurs façons de déployer des apps et du contenu au
sein de votre entreprise. Des programmes Apple, tels que le Programme d’achats en
volume (VPP) et le programme iOS Developer Enterprise, vous permettent d’acheter,
de développer et de déployer des apps pour vos utilisateurs. Reportez-vous à ce
chapitre pour bien comprendre la portée de ces programmes et découvrir comment
déployer des apps achetées ou développées en vue d’un usage en interne.
Les annexes suivantes fournissent des détails et des exigences techniques
complémentaires :
Infrastructure Wi-Fi. Détails concernant les standards Wi-Fi pris en charge par iOS et éléments à prendre en considération pour la mise en place d’un réseau Wi-Fi
d’envergure.
Restrictions. Détails sur les restrictions pouvant être appliquées à la configuration des appareils iOS pour répondre à vos exigences en matière de sécurité et de code
d’accès, entre autres.
Installation sans fil d’apps développées en interne. Détails et exigences pour la
distribution des apps développées en interne à partir de votre propre portail web.
Ressources supplémentaires
Pour trouver des informations utiles à ce sujet, consultez les sites web suivants :
www.apple.com/ipad/business/it
http://www.apple.com/iphone/business/it/
www.apple.com/fr/education/it 3
Chapitre 1 : Intégration
Les appareils iOS intègrent la prise en charge d’une large gamme d’infrastructures
réseau. Ils prennent en charge les éléments suivants :
• Des systèmes tiers très répandus, comme Microsoft Exchange
• L’intégration aux services de messagerie, d’annuaires et de calendrier standard et à d’autres systèmes
• Les protocoles Wi-Fi standard pour la transmission et le chiffrement des données
• Les réseaux privés virtuels (VPN), y compris les connexions VPN via l’app
• L’authentification par signature unique (SSO) pour simplifier l’authentification
auprès des apps et services en réseau
• Les certificats numériques pour authentifier les utilisateurs et sécuriser les
communications
Comme cette prise en charge est intégrée à iOS, votre service informatique ne doit
configurer que quelques réglages pour intégrer les appareils iOS à votre
infrastructure existante. Lisez la suite pour découvrir les technologies prises en
charge par iOS et les bonnes pratiques pour l’intégration.
Microsoft Exchange
iOS peut communiquer directement avec votre serveur Microsoft Exchange via
Microsoft Exchange ActiveSync (EAS), autorisant la transmission en mode « push »
du courrier électronique, des calendriers, des contacts, des notes et des tâches.
Exchange ActiveSync fournit également aux utilisateurs l’accès à la Liste d’adresses
globale (GAL) et aux administrateurs des capacités de mise en œuvre de règles de
codes d’appareil et d’effacement à distance. iOS prend en charge l’authentification
tant de base que par certificat pour Exchange ActiveSync.
Si Exchange ActiveSync est déjà activé dans votre entreprise, celle-ci dispose déjà des services nécessaires pour prendre en charge iOS. Aucune configuration
supplémentaire n’est requise.
Conditions requises
Les appareils dotés d’iOS 7 ou d’une version ultérieure prennent en charge les
versions suivantes de Microsoft Exchange :
• Exchange Server 2003 SP 2 (EAS 2.5)
• Exchange Server 2007 (avec EAS 2.5)
• Exchange Server 2010 (EAS 14.0)
• Exchange Server 2010 SP 2 (avec EAS 14.1)
• Exchange Server 2013 (avec EAS 14.1)
• Office 365 (avec EAS 14.1)
Microsoft Direct Push
Exchange Server livre automatiquement les e-mails, les tâches, les contacts et les
événements de calendrier aux appareils iOS si une connexion de données cellulaire
ou Wi-Fi est disponible. L’iPod touch et certains modèles d’iPad ne disposent pas
d’une connexion cellulaire. Ils ne reçoivent donc les notifications push que lorsqu’ils
sont connectés à un réseau Wi-Fi.
4
Découverte automatique Microsoft Exchange
iOS prend en charge le service de découverte automatique de Microsoft
Exchange Server 2007 et Microsoft Exchange Server 2010. Lorsque vous configurez
manuellement un appareil, le service de découverte automatique utilise votre
adresse électronique et votre mot de passe pour déterminer automatiquement les informations Exchange Server correctes.
Pour en savoir plus sur l’activation du service de découverte automatique,
consultez la page Service de découverte automatique.
Liste d’adresses globale de Microsoft Exchange
Les appareils iOS extraient les informations de contact de l’annuaire d’entreprise du
serveur Exchange de votre entreprise. Vous pouvez accéder à l’annuaire en faisant
une recherche dans Contacts, et cet accès se fait automatiquement pour compléter
des adresses électroniques lors de la saisie. iOS 6 (ou version ultérieure) prend en charge les photos des listes d’adresses
globales (GAL) (nécessite Exchange Server 2010 SP 1 ou version ultérieure).
Fonctionnalités ActiveSync Exchange non prises en charge
Les fonctionnalités Exchange suivantes ne sont pas prises en charge :
• l’ouverture de liens pointant vers des documents stockés sur des serveurs
Sharepoint dans des messages électroniques ;
• la définition d’un message de réponse automatique d’absence.
Identification des versions d’iOS via Exchange
Lorsqu’un appareil iOS se connecte à un serveur Exchange, l’appareil indique sa version d’iOS. Le numéro de version est envoyé dans le champ User Agent de
l’en-tête de la demande et se présente sous la forme Apple-iPhone2C1/705.018. Le numéro suivant le délimiteur (/) correspond au numéro de build d’iOS, propre à chaque version d’iOS.
Pour afficher le numéro de build sur un appareil, accédez à Réglages > Général >
Informations. Le numéro de version et le numéro de build sont affichés, par
exemple 4.1 (8B117A). Le numéro entre parenthèses correspond au numéro de build. Il identifie la version d’iOS qu’exécute l’appareil.
Lorsque le numéro de build est envoyé au serveur Exchange, il est converti du
format NANNNA (où N est numérique et A est un caractère alphabétique) au
format Exchange NNN.NNN. Les valeurs numériques sont conservées, mais les
lettres sont remplacées par leur position dans l’alphabet. Par exemple, un « F » est
converti en « 06 », car c’est la sixième lettre de l’alphabet. Au besoin, un préfixe
formé de zéros est ajouté pour correspondre au format Exchange.
Dans cet exemple, le numéro de build 7E18 est converti en 705.018.
Le premier nombre, 7, reste « 7 ». Le caractère E est la cinquième lettre de l’alphabet,
et est donc converti en « 05 ». Un point (.) est inséré dans la version convertie
comme exigé par le format. Un préfixe zéro est ajouté au nombre suivant, 18, qui est converti en « 018 ».
Si le numéro de build se termine par une lettre, par exemple 5H11A, le numéro est converti comme décrit ci-dessus et la valeur numérique du caractère final est
ajoutée à la chaîne, avec 3 zéros de séparation. 5H11A devient ainsi 508.01100001.
Effacement à distance
Vous pouvez effacer à distance le contenu d’un appareil iOS à l’aide des
fonctionnalités fournies par Exchange. L’effacement supprime toutes les données et informations de configuration présentes sur l’appareil. Ce dernier est effacé de
manière sécurisée et ses réglages d’origine sont restaurés. L’effacement supprime
immédiatement la clé de chiffrement des données (chiffrées en AES 256 bits), ce
qui rend toutes les données immédiatement irrécupérables.
5
Avec Microsoft Exchange Server 2007 ou une version ultérieure, vous pouvez
effectuer un effacement à distance avec la console de gestion Exchange, Outlook
Web Access ou l’outil Exchange ActiveSync Mobile Administration Web Tool. Avec
Microsoft Exchange Server 2003, vous pouvez lancer un effacement à distance à l’aide de l’outil Exchange ActiveSync Mobile Administration Web Tool.
Les utilisateurs peuvent également le contenu de leur propre appareil en accédant
à Réglages > Général > Réinitialiser, puis en choisissant « Effacer contenu et
réglages ». Vous pouvez également configurer les appareils pour qu’ils soient
effacés automatiquement après un certain nombre de tentatives infructueuses de saisie du mot de passe.
Services basés sur des standards
Avec la gestion des protocoles de messagerie IMAP, des services d’annuaire LDAP
ainsi que des protocoles de calendrier CalDAV et de contacts CardDAV, iOS peut
s’intégrer à la quasi-totalité des environnements standard. Si l’environnement
réseau est configuré de manière à exiger l’authentification de l’utilisateur et SSL,
iOS offre une approche hautement sécurisée de l’accès aux e-mails, calendriers,
tâches et contacts standard de l’entreprise. Avec SSL, iOS prend en charge le
chiffrement 128 bits et les certificats racine X.509 publiés par les principales
autorités de certification.
Dans un déploiement type, les appareils iOS établissent un accès direct aux serveurs de messagerie IMAP et SMTP afin d’envoyer et de recevoir les e-mails à distance (« Over-The-Air ») et ils peuvent également synchroniser sans fil les notes avec les serveurs IMAP. Les appareils iOS peuvent se connecter aux annuaires LDAPv3 de votre société, ce qui permet aux utilisateurs d’accéder aux contacts de
l’entreprise dans les applications Mail, Contacts et Messages. La synchronisation
avec votre serveur CalDAV permet aux utilisateurs de créer et d’accepter des
invitations de calendrier, de recevoir des mises à jour de calendriers et de
synchroniser des tâches avec l’app Rappels. Le tout, sans fil. Et la prise en charge de CardDAV permet à vos utilisateurs de synchroniser en permanence un ensemble
de contacts avec votre serveur CardDAV à l’aide du format vCard. Tous les serveurs
réseau peuvent se trouver au sein d’un sous-réseau de zone démilitarisée, derrière
un coupe-feu d’entreprise, ou les deux.
Wi-Fi
Dès la sortie de l’emballage, les appareils iOS peuvent se connecter en toute
sécurité aux réseaux Wi-Fi d’entreprise ou pour invités, ce qui permet aux
utilisateurs de détecter facilement les réseaux sans fil disponibles, qu’ils soient à la fac ou en déplacement.
Connexion aux réseaux Wi-Fi
Les utilisateurs peuvent configurer les appareils iOS pour qu’ils se connectent
automatiquement aux réseaux Wi-Fi disponibles. Les réseaux Wi-Fi qui nécessitent
une identification ou d’autres informations peuvent être rapidement accessibles
sans ouvrir de session de navigation distincte, à partir des réglages Wi-Fi ou au sein d’apps comme Mail. La connectivité Wi-Fi permanente à faible consommation
permet aux apps d’utiliser les réseaux Wi-Fi pour distribuer des notifications push.
WPA2 Enterprise
iOS prend en charge les protocoles réseau sans fil standard comme WPA2
Enterprise, garantissant un accès sécurisé aux réseaux sans fil d’entreprise à partir
des appareils iOS. Le protocole WPA2 Enterprise utilise un chiffrement AES sur
128 bits, une méthode de chiffrement éprouvée qui assure un très haut niveau de
protection des données de l’entreprise. Avec la prise en charge du protocole 802.1x,
iOS peut s’intégrer dans une grande variété d’environnements d’authentification
RADIUS. Les méthodes d’authentification sans fil 802.1x, telles que EAP-TLS, EAPTTLS, EAP-FAST, PEAPv0, PEAPv1 et LEAP, sont prises en charge par iOS.
6
Itinérance (Roaming)
Pour l’itinérance sur les vastes réseaux Wi-Fi d’entreprise, iOS prend en charge les
normes 802.11k et 802.11r. La norme 802.11k facilite la transition des appareils iOS
entre les points d’accès Wi-Fi en utilisant les rapports des points d’accès, tandis que
la norme 802.11r simplifie l’authentification 802.1X lorsqu’un appareil passe d’un
point d’accès à un autre.
Pour faciliter la configuration et le déploiement, les réglages de réseau sans fil, de
sécurité, de proxy et d’authentification peuvent être définis à l’aide de profils de
configuration ou d’une solution MDM.
Réseaux privés virtuels
L’accès sécurisé aux réseaux d’entreprise privés est disponible sur iOS via des
protocoles de réseau privé virtuel (VPN) standard bien établis. iOS prend
immédiatement en charge les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. Si
votre organisation utilise déjà l’un de ces protocoles, aucune autre configuration
réseau ni aucune app tierce ne sont nécessaires pour connecter les appareils iOS à votre VPN.
En plus, iOS prend en charge les VPN SSL des principaux fournisseurs de VPN. Il
suffit aux utilisateurs de se rendre sur l’App Store et de télécharger une app de
client VPN développée par l’une de ces sociétés. Comme pour d’autres protocoles
VPN pris en charge par iOS, les VPN SSL peuvent être configurés manuellement sur
l’appareil ou via des profils de configuration ou une solution MDM.
iOS prend en charge les technologies standard comme IPv6, les serveurs proxy et la tunnélisation partagée, offrant une riche expérience VPN pour la connexion aux
réseaux d’entreprise. iOS est également compatible avec différentes méthodes
d’authentification comme les mots de passe, les jetons à deux facteurs et les
certificats numériques. Pour simplifier la connexion dans des environnements où
l’authentification par certificat est utilisée, iOS intègre le VPN à la demande, qui
lance de façon dynamique une session VPN lorsque celle-ci est nécessaire pour se connecter aux domaines spécifiés.
Avec iOS 7, des apps peuvent être individuellement configurées de façon à utiliser
une connexion VPN indépendamment des autres apps de l’appareil. Cela permet de garantir que les données de l’entreprise circulent toujours via une connexion
VPN, à la différence des autres données, telles que celles des apps personnelles
qu’un employé s’est procurées sur l’App Store. Pour plus de détails, consultez la
section « VPN via l’app » de ce chapitre.
Protocoles et méthodes d’authentification pris en charge
VPN SSL. Prend en charge l’authentification des utilisateurs par mot de passe, jeton
à deux facteurs et certificat.
Cisco IPSec. Prend en charge l’authentification des utilisateurs par mot de passe,
jeton à deux facteurs et l’authentification des appareils par secret partagé et
certificat.
L2TP sur IPSec. Prend en charge l’authentification des utilisateurs par mot de passe
MS-CHAP v2, jeton à deux facteurs et l’authentification des appareils par secret
partagé.
PPTP. Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP
v2 et jeton à deux facteurs.
!
7
Clients VPN SSL
Plusieurs fournisseurs de solutions VPN SSL ont créé des apps qui vous assistent dans
la configuration des appareils iOS en vue d’une utilisation avec leur solution. Pour
configurer un appareil en vue d’une utilisation avec une solution en particulier,
installez l’app correspondante et, le cas échéant, fournissez un profil de configuration
incluant les réglages nécessaires. Quelques exemples de solutions VPN SSL :
• VPN SSL Juniper Junos Pulse. iOS prend en charge les passerelles VPN SSL
SA Series de Juniper Networks, exécutant la version 6.4 ou ultérieure avec le
paquet Juniper Networks IVE version 7.0 ou ultérieure. Pour la configuration,
installez l’app Junos Pulse, disponible sur l’App Store.
Pour plus d’informations, reportez-vous au document Juniper Networks application
note.
• VPN SSL F5. iOS prend en charge les solutions VPN SSL F5 BIG-IP Edge Gateway,
Access Policy Manager et FirePass. Pour la configuration, installez l’app F5 BIG-IP
Edge Client, disponible sur l’App Store.
Pour plus d’informations, reportez-vous au dossier technique F5, Secure iPhone
Access to Corporate Web Applications.
• VPN SSL Aruba Networks. iOS prend en charge les contrôleurs de mobilité
Aruba Networks. Pour la configuration, installez l’app Aruba Networks VIA,
disponible sur l’App Store.
Pour trouver des coordonnées de contact, consultez le site web Aruba Networks.
• VPN SSL SonicWALL. iOS prend en charge les appliances d’accès sécurisé à
distance (en anglais « Secure Remote Access » ou « SRA ») E-Class SonicWALL
Aventail exécutant la version 10.5.4 ou ultérieure, les appliances SRA SonicWALL
exécutant la version 5.5 ou ultérieure et les appliances de coupe-feu SonicWALL
de nouvelle génération, notamment les gammes NSA, TZ et E-Class NSA
exécutant SonicOS version 5.8.1.0 ou ultérieure. Pour la configuration, installez
l’app SonicWALL Mobile Connect, disponible sur l’App Store.
Pour trouver des coordonnées de contact, consultez le site web SonicWALL.
• VPN SSL Check Point Mobile. iOS prend en charge Check Point Security Gateway
avec un tunnel VPN complet de couche 3. Pour la configuration, installez l’app
Check Point Mobile, disponible sur l’App Store.
• VPN SSL OpenVPN. iOS prend en charge OpenVPN Access Server, Private Tunnel
et la communauté OpenVPN. Pour la configuration, installez l’app OpenVPN
Connect, disponible sur l’App Store.
• VPN SSL Palo Alto Networks GlobalProtect. iOS prend en charge la passerelle
GlobalProtect de Palo Alto Networks. Pour la configuration, installez l’app
GlobalProtect for iOS, disponible sur l’App Store.
• VPN SSL Cisco AnyConnect. iOS prend en charge Cisco Adaptive Security
Appliance (ASA) exécutant l’image logicielle 8.0(3).1 ou ultérieure. Pour la
configuration, installez l’app Cisco AnyConnect, disponible sur l’App Store.
!
8
Instructions pour la configuration d’un VPN
Instructions pour la configuration d’un VPN Cisco IPSec
Suivez ces instructions afin de configurer votre serveur VPN Cisco pour l’utiliser
avec les appareils iOS. iOS prend en charge les appliances de sécurité Cisco
ASA 5500 et les coupe-feu PIX configurés avec le logiciel 7.2.x ou ultérieur. La dernière version du logiciel (8.0.x ou ultérieure) est recommandée. iOS prend
aussi en charge les routeurs VPN Cisco IOS avec IOS 12.4(15)T ou ultérieur. Les concentrateurs série VPN 3000 ne prennent pas en charge les fonctionnalités
VPN d’iOS.
Configuration du proxy
Pour toutes les configurations, vous pouvez aussi spécifier un proxy VPN. Pour
configurer un seul proxy pour toutes les connexions, utilisez le réglage Manuel et
fournissez l’adresse, le port et l’authentification si nécessaire. Pour attribuer à
l’appareil un fichier de configuration automatique du proxy à l’aide de PAC ou
WPAD, utilisez le réglage Auto. Pour PACS, spécifiez l’URL du fichier PACS. Pour
WPAD, iOS interroge les serveurs DHCP et DNS afin d’obtenir les bons réglages.
Méthodes d’authentification
iOS prend en charge les méthodes d’authentification suivantes :
• L’authentification IPsec par clé prépartagée avec authentification des utilisateurs
par xauth.
• Les certificats client et serveur pour l’authentification IPSec avec authentification
des utilisateurs facultative par xauth.
• L’authentification hybride où le serveur fournit un certificat et le client fournit une
clé prépartagée pour l’authentification IPsec. L’authentification de l’utilisateur est
requise via xauth.
• L’authentification des utilisateurs est fournie par xauth et couvre les méthodes
d’authentification suivantes :
– Nom d’utilisateur avec mot de passe
– RSA SecurID
– CRYPTOCard
Groupes d’authentification
Le protocole Cisco Unity utilise des groupes d’authentification pour regrouper les
utilisateurs en fonction d’un jeu commun de paramètres d’authentification et
d’autres paramètres. Il est conseillé de créer un groupe d’authentification pour les
utilisateurs iOS. Pour l’authentification hybride et par clé prépartagée, le nom du
groupe doit être configuré sur l’appareil avec le secret partagé (clé prépartagée)
comme mot de passe du groupe.
Lorsque vous utilisez l’authentification par certificat, aucun secret partagé n’est
utilisé. Le groupe d’un utilisateur est déterminé en fonction des champs du
certificat. Les réglages du serveur Cisco peuvent être utilisés pour mettre en
correspondance des champs du certificat avec des groupes d’utilisateurs.
RSA-Sig doit avoir la priorité la plus élevée sur la liste de priorité ISAKMP.
Certificats
Lors de la configuration et de l’installation de certificats, vérifiez les points suivants :
Le certificat d’identité du serveur doit contenir le nom DNS et/ou l’adresse IP du
serveur dans le champ pour le nom alternatif de sujet (SubjectAltName). L’appareil
utilise cette information pour vérifier que le certificat appartient bien au serveur.
Pour plus de flexibilité, vous pouvez indiquer le nom alternatif de sujet
(SubjectAltName) en utilisant des caractères de remplacement pour la mise en
correspondance segment par segment, par exemple, vpn.*.mon_entreprise.com.
9
Vous pouvez mettre le nom DNS dans le champ pour le nom commun si vous
n’indiquez pas le nom alternatif de sujet.
Le certificat de l’autorité de certification qui a signé le certificat du serveur doit être
installé sur l’appareil. S’il ne s’agit pas d’un certificat racine, installez le reste de la
chaîne de confiance afin que la confiance soit accordée au certificat. Si des
certificats clients sont utilisés, vérifiez que le certificat de l’autorité de certification
de confiance qui a signé le certificat du client est bien installé sur le serveur VPN.
Lors de l’utilisation d’une authentification par certificats, vérifiez que le serveur est
bien configuré pour identifier le groupe d’utilisateurs en fonction des champs du
certificat client.
Les certificats et les autorités de certification doivent être valides (pas arrivés à
expiration, par exemple). L’envoi de chaînes de certificats par le serveur n’est pas
pris en charge et doit être désactivé.
Réglages IPSec
Utilisez les réglages IPSec suivants :
• Mode. Mode tunnel
• Modes d’échange de clés par Internet. Mode agressif pour l’authentification par
clé prépartagée et hybride ou mode principal pour l’authentification par certificat.
• Algorithmes de chiffrement. 3DES, AES-128, AES-256.
• Algorithmes d’authentification. HMAC-MD5, HMAC-SHA1.
• Groupes Diffie-Hellman. Le groupe 2 est obligatoire pour l’authentification par clé prépartagée et l’authentification hybride. Pour l’authentification par certificat,
utilisez le groupe 2 avec 3DES et AES-128. Utilisez le groupe 2 ou le groupe 5 avec
AES-256.
• PFS (Perfect Forward Secrecy). Pour l’échange de clés par Internet (IKE) phase 2,
si PFS est utilisé, le groupe Diffie-Hellman doit être le même que celui qui était
utilisé pour IKE phase 1.
• Configuration du mode. Doit être activée.
• Détection des pairs morts. Recommandée.
• Traversée NAT standard. Pris en charge et activable au besoin (IPSec sur TCP
n’est pas pris en charge).
• Équilibrage de la charge. Pris en charge et peut être activé.
• Recomposition de la phase 1. Pas prise en charge pour le moment. Il est
recommandé de régler sur 1 heure les temps de recomposition sur le serveur.
• Masque d’adresse ASA. Assurez-vous que tous les masques de pools d’adresses
d’appareils soit ne sont pas définis, soit sont réglés sur 255.255.255.255. Par
exemple : asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask
255.255.255.255.
Si le masque d’adresse recommandé est utilisé, certaines routes utilisées par la
configuration VPN sont susceptibles d’être ignorées. Pour éviter cela, assurez-vous
que votre tableau de routage contient toutes les routes nécessaires et vérifiez que
les adresses de sous-réseau sont accessibles avant le déploiement.
!
10
Autres fonctionnalités prises en charge
• Version d’application. La version du logiciel client est envoyée au serveur, ce qui
lui permet d’accepter ou de rejeter des connexions en fonction de la version du
logiciel de l’appareil.
• Bannière. La bannière, si elle est configurée sur le serveur, est affichée sur
l’appareil et l’utilisateur doit l’accepter ou se déconnecter.
• Split Tunnel. Le « split tunneling » est pris en charge.
• Split DNS. Le « split DNS » est pris en charge.
• Domaine par défaut. Le domaine par défaut est pris en charge.
VPN à la demande
Le VPN à la demande permet à iOS d’établir automatiquement une connexion
sécurisée sans aucune action de l’utilisateur. La connexion VPN est lancée en
fonction des besoins, selon des règles définies dans un profil de configuration.
Sous iOS 7, le VPN à la demande est configuré à l’aide de la clé OnDemandRules dans
l’entité VPN d’un profil de configuration. Les règles s’appliquent en deux étapes :
• Étape de détection du réseau. Définit les exigences VPN s’appliquant en cas de
changement de la connexion réseau principale de l’appareil.
• Étape d’évaluation de la connexion. Définit les exigences VPN pour les
demandes de connexion auprès de noms de domaines, en fonction des besoins.
Par exemple, des règles peuvent être utilisées pour :
• Déterminer qu’un appareil iOS est connecté à un réseau interne et que la
connexion VPN n’est pas nécessaire.
• Déterminer qu’un réseau Wi-Fi inconnu est utilisé et que la connexion VPN est
nécessaire pour toute l’activité réseau.
• Exiger une connexion VPN en cas d’échec d’une demande de nom de domaine
spécifique auprès du serveur DNS.
Étape de détection du réseau
Les règles régissant le VPN à la demande sont évaluées en cas de changement de
l’interface réseau principale de l’appareil, comme lorsqu’un appareil iOS change de
réseau Wi-Fi ou passe d’un réseau Wi-Fi au réseau cellulaire. Si l’interface principale
est une interface virtuelle, comme une interface de VPN, les règles régissant le VPN
à la demande ne sont pas prises en compte.
Les règles correspondantes de chaque ensemble (dictionnaire) doivent toutes
correspondre pour que l’action associée soit engagée ; si l’une ou l’autre des règles
ne correspond pas, l’évaluation passe au dictionnaire suivant dans le tableau,
jusqu’à épuisement du tableau OnDemandRules.
Le dernier dictionnaire doit définir une configuration « par défaut », c’est-à-dire qu’il ne doit comprendre aucune règle correspondante, seulement une Action. Cela
permettra d’intercepter toutes les connexions n’offrant pas de correspondance aux
règles précédentes.
Étape d’évaluation de la connexion
La connexion VPN peut être déclenchée en fonction des besoins à partir d’une
demande de connexion à certains domaines, au lieu que le VPN soit déconnecté ou connecté unilatéralement en fonction de l’interface réseau.
!
11
Règles de correspondance À la demande
Précisez une ou plusieurs des règles de correspondance suivantes :
• InterfaceTypeMatch. Facultatif. Valeur de chaîne d’un réseau Wi-Fi ou cellulaire. Si elle est spécifiée, cette règle correspondra lorsque le matériel de l’interface
principale sera du type indiqué.
• SSIDMatch. Facultatif. Tableau de SSID, dont l’un doit correspondre au réseau en
cours d’utilisation. Si le réseau n’est pas un réseau Wi-Fi ou si son SSID n’apparaît
pas dans la liste, la correspondance échouera. Omettez cette clé et son tableau
pour ignorer le SSID.
• DNSDomainMatch. Facultatif. Tableau de domaines de recherche sous forme de
chaînes. Si le domaine de recherche DNS configuré pour le réseau principal en
cours d’utilisation figure dans le tableau, cette propriété correspondra. Le préfixe
sous forme de métacaractère (*) est pris en charge : *.example.com trouverait une
correspondance avec anything.example.com.
• DNSServerAddressMatch. Facultatif. Tableau d’adresses de serveurs DNS sous
forme de chaînes. Si toutes les adresses de serveur DNS actuellement configurées
pour l’interface principale figurent dans le tableau, cette propriété correspondra.
Le métacaractère (*) est pris en charge ; exemple : 1.2.3.* trouverait la
correspondance avec n’importe quel serveur DNS ayant le préfixe 1.2.3.
• URLStringProbe. Facultatif. Serveur permettant de sonder l’accessibilité. La
redirection n’est pas prise en charge. L’URL doit être celle d’un serveur HTTPS fiable.
L’appareil envoie une requête GET pour vérifier que le serveur peut être atteint.
Action
Cette clé définit le comportement que doit adopter le VPN lorsque toutes les règles
de correspondance spécifiées sont vérifiées. Cette clé est obligatoire. Les valeurs
que peut prendre la clé Action sont les suivantes :
• Connect. Lance sans condition la connexion VPN lors de la tentative suivante de
connexion au réseau.
• Disconnect. Désactive la connexion VPN et ne déclenche aucune nouvelle
connexion à la demande.
• Ignore. Maintient la connexion VPN existante, mais ne déclenche aucune nouvelle
connexion à la demande.
• Allow. Pour les appareils iOS équipés d’iOS 6 ou d’une version antérieure. Voir le
paragraphe « Notes sur la rétrocompatibilité », plus bas dans cette section.
• EvaluateConnection. Évalue les ActionParameters pour chaque tentative de
connexion. Lorsque cette option est utilisée, la clé ActionParameters, décrite cidessous, doit préciser les règles d’évaluation.
ActionParameters
Tableau de dictionnaires contenant les clés décrites ci-dessous, évalués dans leur
ordre d’apparition. Exigé lorsque le champ Action est défini sur
EvaluateConnection.
• Domains. Obligatoire. Tableau de chaînes définissant les domaines auxquels
s’applique cette évaluation. Les préfixes sous forme de métacaractères, comme
*.example.com, sont pris en charge.
• DomainAction. Obligatoire. Définit le comportement du VPN pour Domains. Les valeurs que peut prendre la clé DomainAction sont les suivantes :
– ConnectIfNeeded. Fait apparaître le VPN en cas d’échec de la résolution DNS
pour Domains, comme lorsque le serveur DNS indique qu’il ne parvient pas à
résoudre le nom de domaine, ou si la réponse du DNS est redirigée, ou encore
si la connexion échoue ou dépasse le temps imparti.
– NeverConnect. Ne déclenche pas le VPN pour Domains.
12
Lorsque DomainAction a pour valeur ConnectIfNeeded, vous pouvez aussi spécifier
les clés suivantes dans le dictionnaire d’évaluation de la connexion :
• RequiredDNSServers. Facultatif. Tableau d’adresses IP de serveurs DNS à utiliser
pour résoudre les Domains. Il n’est pas nécessaire que ces serveurs fassent partie
de la configuration réseau en cours de l’appareil. Si ces serveurs DNS sont hors
d’atteinte, le VPN sera déclenché. Configurez un serveur DNS interne ou un
serveur DNS externe validé.
• RequiredURLStringProbe. Facultatif. URL HTTP ou HTTPS (de préférence) pour
sondage à l’aide d’une requête GET. Si la résolution DNS réussit pour ce serveur, le sondage doit, lui aussi, réussir. Si le sondage échoue, le VPN sera déclenché.
Notes sur la rétrocompatibilité
Avant iOS 7, les règles de déclenchement de domaine étaient configurées via des tableaux de domaines appelés OnDemandMatchDomainAlways,
OnDemandMatchDomainOnRetry et OnDemandMatchDomainNever. Les cas
OnRetry et Never sont toujours pris en charge dans iOS 7, bien que l’action
EvaluateConnection leur soit préférée.
Pour créer un profil fonctionnant à la fois sur iOS 7 et sur les précédentes versions,
utilisez les nouvelles clés EvaluateConnection en plus des tableaux
OnDemandMatchDomain. Les versions précédentes d’iOS ne reconnaissant pas
EvaluateConnection utiliseront les anciens tableaux, tandis qu’iOS 7 et les versions
ultérieures utiliseront EvaluateConnection.
Les anciens profils de configuration qui spécifient l’action Allow fonctionneront sur
iOS 7, à l’exception des domaines OnDemandMatchDomainsAlways.
Connexion VPN via l’app
iOS 7 ajoute la possibilité d’établir des connexions VPN app par app. Cette
approche permet de déterminer plus précisément quelles données transitent ou
non par le VPN. Avec le VPN à l’échelle de l’appareil, toutes les données, quelle
qu’en soit l’origine, transitent via le réseau privé. Comme un nombre croissant
d’appareils personnels sont utilisés au sein des entreprises, le VPN via l’app permet
d’assurer des connexions réseau sécurisées pour les apps à usage interne, tout en
préservant la confidentialité des activités personnelles.
Le VPN via l’app permet à chaque app gérée par la solution de gestion des
appareils mobiles (MDM) de communiquer avec le réseau privé via un tunnel
sécurisé et empêche les apps non gérées figurant sur l’appareil d’utiliser ce même
réseau. En outre, pour préserver plus encore les données, les apps gérées peuvent
être configurées avec des connexions VPN différentes. Par exemple, une app de
devis commerciaux pourra exploiter un centre de données entièrement différent de
celui qu’utilisera une app de comptabilité fournisseurs, tandis que le trafic lié à la navigation web personnelle de l’utilisateur utilisera l’Internet public. Cette capacité
à discriminer le trafic au niveau de l’app permet d’assurer la séparation entre les
données personnelles et celles appartenant à l’entreprise.
Pour utiliser le VPN via l’app, une app doit être gérée par la solution MDM et
exploiter les API de mise en réseau iOS standard. Le VPN via l’app est configuré à
l’aide d’une configuration MDM qui définit quelles apps et quels domaines Safari
sont autorisés à utiliser ces réglages. Pour plus d’informations sur la gestion des
appareils mobiles (MDM), reportez-vous au chapitre 3 : Configuration et gestion.
!
13
Authentification par signature unique (SSO)
Avec iOS 7, les apps peuvent profiter de votre infrastructure actuelle
d’authentification par signature unique (SSO), via Kerberos. L’authentification par signature unique est susceptible d’améliorer l’expérience utilisateur en ne
demandant à l’utilisateur d’entrer son mot de passe qu’une seule fois. Cette option
améliore également la sécurité de l’utilisation quotidienne des apps en veillant à ce
que les mots de passe ne soient jamais transmis à distance.
Le système d’authentification Kerberos utilisé par iOS 7 est un standard et la
technologie d’authentification par signature unique la plus couramment déployée
au monde. Si vous avez Active Directory, eDirectory ou OpenDirectory, il est très
probable que vous disposiez déjà d’un système Kerberos qu’iOS 7 pourra exploiter.
Les appareils iOS doivent pouvoir contacter le service Kerberos via une connexion
réseau afin que les utilisateurs soient authentifiés.
Apps prises en charge
iOS offre une prise en charge flexible de l’authentification par signature unique
(SSO) de Kerberos à toute app utilisant la classe NSURLConnection ou
NSURLSession pour gérer les connexions réseau et l’authentification. Apple fournit
à tous les développeurs ces frameworks de haut niveau pour que les connexions
réseau s’intègrent naturellement avec leurs apps. Apple fournit également Safari en
exemple, pour que vous puissiez vous lancer en utilisant de façon native des sites
web compatibles SSO.
Configuration de l’authentification par signature unique (SSO)
La configuration de l’authentification par signature unique se fait à l’aide de profils de configuration, qui peuvent être soit installés manuellement, soit gérés par une solution MDM. L’entité du compte SSO permet une configuration souple.
L’authentification par signature unique (SSO) peut être ouverte à toutes les apps ou restreinte soit par identificateur d’app, soit par URL de service, soit par les deux à la fois.
Pour la correspondance des URL, c’est un filtrage par motif qui est utilisé, et les URL doivent commencer soit par http://, soit par https://. La correspondance
doit se faire sur l’URL complète. Par conséquent, veillez à ce qu’elles soient
exactement identiques. Par exemple, une valeur URLPrefixMatches de https://www.exemple.com/ ne correspondra pas à https://www.exemple.com:443/.
Vous pouvez spécifier http:// ou https:// pour limiter l’utilisation de
l’authentification SSO à des services sécurisés ou réguliers. Par exemple, l’utilisation
d’une valeur URLPrefixMatches de https:// ne permettra l’utilisation du compte SSO
qu’avec des services HTTPS sécurisés. Si un filtrage par motif d’URL ne se termine
pas par une barre oblique (/), une barre oblique (/) lui sera annexée.
Le tableau AppIdentifierMatches doit contenir des chaînes correspondant aux
identifiants des bundles d’apps. Ces chaînes peuvent être des correspondances
exactes (com.mycompany.myapp, par exemple) ou spécifier une correspondance
de préfixe sur l’identifiant du bundle à l’aide du métacaractère (*). Le métacaractère
doit figurer après un point (.) et uniquement à la fin de la chaîne (par exemple :
com.mycompany.*). Lorsqu’un métacaractère est utilisé, l’accès au compte est
accordé à toute app dont l’identifiant de bundle commence par le préfixe.
Certificats numériques
Les certificats numériques sont une forme d’identification qui permet une
authentification simplifiée, l’intégrité des données et le chiffrement. Un certificat
numérique est composé d’une clé publique, d’informations sur l’utilisateur et de
l’autorité de certification qui a émis le certificat. iOS prend en charge les certificats
numériques, offrant ainsi un accès sécurisé et simplifié aux services d’entreprise.
!
14
Formats de certificats et d’identité pris en charge :
• iOS prend en charge les certificats X.509
avec des clés RSA.
• Les extensions de
fichiers .cer, .crt, .der, .p12 et .pfx sont reconnues.
Les certificats peuvent être utilisés de bien des façons. La signature des données à l’aide d’un certificat numérique aide à garantir que les informations ne seront pas modifiées. Les certificats peuvent aussi être utilisés pour garantir l’identité de
l’auteur ou « signataire ». Ils peuvent également servir à chiffrer des profils de
configuration et des communications réseau pour protéger plus avant les
informations confidentielles ou privées.
Par exemple, le navigateur Safari peut vérifier la validité d’un certificat numérique X.
509 et établir une session sécurisée avec un chiffrement AES jusqu’à 256 bits. Le
navigateur s’assure ainsi que l’identité du site est légitime et que la communication
avec le site web est protégée pour éviter toute interception de données
personnelles ou confidentielles.
Utilisation des certificats dans iOS
Certificats racine
Les appareils iOS incluent différents certificats racine préinstallés. Pour plus
d’informations, reportez-vous à la liste figurant dans cet article de l’Assistance
Apple.
iOS peut actualiser sans fil les certificats au cas où l’un ou l’autre des certificats
racine préinstallés serait compromis. Pour désactiver cette option, une restriction
permet d’empêcher les actualisations de certificats à distance.
Si vous utilisez un certificat racine qui n’est pas préinstallé, comme un certificat
racine auto-signé, créé par votre entreprise, vous pouvez le distribuer à l’aide d’une
des méthodes recensées ci-dessous.
Distribution et installation de certificats
La distribution de certificats à des appareils iOS est un processus simple. Lorsqu’ils
reçoivent un certificat, les utilisateurs peuvent en examiner le contenu, puis
l’ajouter à leur appareil, en quelques touchers. Lorsqu’un certificat d’identité est
installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si
l’authenticité d’un certificat ne peut être vérifiée, celui-ci sera présenté comme non fiable et l’utilisateur pourra décider s’il veut toujours l’installer sur son appareil.
Installation de certificats à l’aide de profils de configuration
Si l’on utilise des profils de configuration pour distribuer les réglages de services
d’entreprise tels qu’Exchange, VPN ou Wi-Fi, des certificats peuvent être ajoutés au
profil pour simplifier le déploiement. Cela comprend la possibilité de distribuer des
certificats via une solution MDM.
Installation des certificats via Mail ou Safari
Si un certificat est envoyé dans un e-mail, il apparaît sous la forme d’une pièce jointe.
Safari peut aussi être utilisé pour télécharger des certificats à partir d’une page web.
Vous pouvez héberger un certificat sur un site web sécurisé et fournir aux utilisateurs
l’adresse URL où ils peuvent télécharger le certificat sur leurs appareils.
Suppression et révocation des certificats
Pour supprimer manuellement un certificat préalablement installé, choisissez
Réglages > Général > Profils et sélectionnez le certificat à supprimer. Si un
utilisateur supprime un certificat nécessaire pour accéder à un compte ou à un
réseau, l’appareil ne pourra plus se connecter à ces services.
Un serveur de gestion d’appareils mobiles peut visualiser tous les certificats
figurant sur un appareil et supprimer tout certificat qu’il a installé.
Par ailleurs, les protocoles OCSP (Online Certificate Status Protocol) et CRL
(Certificate Revocation List) sont pris en charge et permettent de vérifier le statut
des certificats. Lorsqu’un certificat compatible OCSP ou CRL est utilisé, iOS le valide
régulièrement pour s’assurer qu’il n’a pas été révoqué.
!
15
Bonjour
Bonjour est le protocole réseau standard et sans configuration d’Apple qui permet aux appareils de trouver des services sur un réseau. Les appareils iOS
utilisent Bonjour pour découvrir les imprimantes compatibles AirPrint et les
appareils compatibles AirPlay, comme Apple TV. Certaines apps pair à pair
nécessitent également Bonjour. Vous devez vous assurer que votre infrastructure
réseau et Bonjour sont correctement configurés pour fonctionner de concert.
Les appareils iOS 7.1 rechercheront également les sources AirPlay via Bluetooth.
Lorsqu’une Apple TV compatible est détectée, les données AirPlay sont transmises
via le réseau Wi-Fi. Une Apple TV 6.1 ou version ultérieure est requise pour
permettre la découverte Bluetooth. Par ailleurs, l’appareil iOS et l’Apple TV doivent
être connectés au même sous-réseau pour permettre la lecture ou la recopie vidéo
du contenu.
Pour plus d’informations sur Bonjour, reportez-vous à cette page web Apple. !
!
16
Chapitre 2 : Sécurité
!
iOS est conçu avec plusieurs couches de sécurité,ce qui permet aux appareils iOS
d’accéder aux services réseau de manière sécurisée et de protéger les données
importantes. iOS propose un puissant mécanisme de chiffrement des données
transmises, des méthodes d’authentification éprouvées pour l’accès aux services
d’entreprise et le chiffrement matériel de toutes les données stockées sur l’appareil.
iOS offre également une protection fiable grâce à l’utilisation de règles de codes
d’appareil qui peuvent être transmises et mises en œuvre à distance. Et si un
appareil tombe entre de mauvaises mains, les utilisateurs et les administrateurs
informatiques peuvent lancer un effacement à distance pour supprimer toutes les
informations confidentielles de l’appareil.
Lors de l’évaluation de la sécurité d’iOS en vue de son utilisation en entreprise, il est utile de s’intéresser aux points suivants :
• Contrôle des appareils. Méthodes empêchant toute utilisation non autorisée de l’appareil
• Chiffrement et protection des données. Protection des données au repos,
notamment en cas de perte ou de vol d’un appareil
• Sécurité des réseaux. Protocoles de réseau et chiffrement des données
transmises
• Sécurité des apps. Moyen de permettre aux apps de s’exécuter en toute sécurité
et sans compromettre l’intégrité de la plate-forme
• Services Internet. Infrastructure réseau d’Apple pour la messagerie, la
synchronisation et la sauvegarde
Ces fonctionnalités fournissent une plate-forme informatique mobile sécurisée.
Les règles de codes d’appareil
suivantes sont prises en charge :
• Exiger un code sur l’appareil
• Exiger une valeur
alphanumérique
• Nombre minimum de caractères
• Nombre minimum de caractères
complexes
• Durée de vie maximale du code
• Délai avant verrouillage
automatique
• Historique des codes
• Délai de grâce avant verrouillage
de l’appareil
• Nombre maximal de tentatives
infructueuses
Sécurité des appareils
La mise en œuvre de règles efficaces pour l’accès aux appareils iOS est
déterminante pour protéger les informations d’entreprise. Les codes de sécurité des
appareils constituent la première ligne de défense contre les accès non autorisés et
peuvent être configurés et appliqués à distance. Les appareils iOS utilisent le code
de sécurité unique établi par chaque utilisateur pour générer une puissante clé de
chiffrement afin de renforcer la protection des e-mails et des données d’applications
sensibles figurant sur l’appareil. Par ailleurs, iOS fournit des méthodes sécurisées
pour configurer l’appareil dans un environnement informatique où des réglages,
des règles et des restrictions spécifiques doivent être appliqués. Ces méthodes
offrent un vaste choix d’options pour établir un niveau de protection standard pour
les utilisateurs autorisés.
Règles en matière de codes d’appareil
Un code d’appareil empêche les utilisateurs non autorisés d’accéder aux données
stockées sur l’appareil ou d’utiliser ce dernier. iOS propose un nombre important de
règles de sécurité afin de répondre à tous vos besoins en la matière, y compris des
délais d’expiration, le niveau de sécurité (complexité) du code d’accès et la
fréquence de changement de celui-ci.
!
17
Application des règles
Les règles peuvent être distribuées dans le cadre d’un profil de configuration à
installer par les utilisateurs. Un profil peut être défini de sorte qu’un mot de passe
d’administrateur soit obligatoire pour pouvoir le supprimer, ou de façon à ce qu’il soit
verrouillé sur l’appareil et qu’il soit impossible de le supprimer sans effacer
complètement le contenu de l’appareil. Par ailleurs, les réglages des codes de sécurité
peuvent être configurés à distance à l’aide de solutions de gestion des appareils
mobiles (MDM) qui peuvent transmettre directement les règles à l’appareil. Cela
permet d’appliquer et de mettre à jour les règles sans intervention de l’utilisateur. Si
l’appareil est configuré pour accéder à un compte Microsoft Exchange, les règles
Exchange ActiveSync sont « poussées » sur l’appareil via une connexion sans fil.
L’ensemble des règles disponibles varie en fonction de la version d’Exchange
ActiveSync et d’Exchange Server. S’il existe à la fois des règles Exchange et des règles
MDM, ce sont les règles les plus strictes qui s’appliqueront.
Configuration sécurisée des appareils
Les profils de configuration sont des fichiers XML qui contiennent les règles de
sécurité et les restrictions applicables à un appareil, les informations sur la
configuration des réseaux VPN, les réglages Wi-Fi, les comptes de courrier
électronique et de calendrier et les références d’authentification qui permettent
aux appareils iOS de fonctionner avec les systèmes de votre entreprise. La
possibilité d’établir des règles de codes et de définir des réglages dans un profil de configuration garantit que les appareils utilisés dans votre entreprise sont
configurés correctement et selon les normes de sécurité définies par votre service
informatique. Et comme les profils de configuration peuvent être à la fois chiffrés et verrouillés, il est impossible de supprimer, modifier ou partager les réglages.
Les profils de configuration peuvent être à la fois signés et chiffrés. Signer un profil
de configuration permet de garantir que les réglages appliqués ne peuvent pas être
modifiés. Le chiffrement d’un profil de configuration protège le contenu du profil et
permet de lancer l’installation uniquement sur l’appareil pour lequel il a été créé.
Les profils de configuration sont chiffrés à l’aide de CMS (Cryptographic Message
Syntax, RFC 3852), prenant en charge 3DES et AES 128. La première fois que vous
distribuez un profil de configuration chiffré, vous pouvez l’installer via un port USB
à l’aide d’Apple Configurator, ou sans fil à l’aide du protocole Over-the-Air Profile
Delivery and Configuration, ou encore via une solution MDM. Les profils de
configuration chiffrés ultérieurs peuvent être distribués sous forme de pièce jointe
à un e-mail, hébergés sur un site web accessible à vos utilisateurs ou « poussés »
sur l’appareil à l’aide de solutions MDM. Pour plus d’informations, reportez-vous à
l’article Over-the-Air Profile Delivery and Configuration protocol du site iOS
Developer Library.
Restrictions de l’appareil
Les restrictions de l’appareil déterminent à quelles fonctionnalités vos utilisateurs
peuvent accéder sur l’appareil. Généralement, il s’agit d’applications réseau telles
que Safari, YouTube ou l’iTunes Store, mais les restrictions peuvent aussi servir à
contrôler les fonctionnalités de l’appareil comme l’installation d’apps ou l’utilisation
de l’appareil photo. Les restrictions vous permettent de configurer l’appareil en
fonction de vos besoins, tout en permettant aux utilisateurs de l’utiliser de façon
cohérente par rapport aux règles en vigueur dans votre entreprise. Les restrictions
sont configurées manuellement sur chaque appareil, mises en œuvre grâce à un
profil de configuration ou établies à distance à l’aide de solutions MDM. En outre,
comme les règles de codes d’appareil, des restrictions concernant l’appareil photo
ou la navigation sur le Web peuvent être appliquées à distance via Microsoft
Exchange Server 2007 et 2010. Les restrictions peuvent également servir à
empêcher le déplacement d’e-mails d’un compte à l’autre ou le transfert de
messages reçus dans un compte depuis un autre.
Reportez-vous à l’Annexe B pour voir les restrictions prises en charge.
18
Chiffrement et protection des données
La protection des données stockées sur des appareils iOS est cruciale pour tout
environnement où circulent des données sensibles. En plus du chiffrement des
données transmises, les appareils iOS assurent un chiffrement matériel de toutes les données stockées sur l’appareil ainsi qu’un chiffrement supplémentaire du
courrier électronique et des données d’applications grâce à une protection
améliorée des données.
Chiffrement
Les appareils iOS exploitent un chiffrement matériel. Ce chiffrement matériel utilise
l’encodage AES sur 256 bits pour protéger toutes les données stockées sur
l’appareil. Le chiffrement est toujours activé et ne peut pas être désactivé. De plus,
les données sauvegardées dans iTunes sur l’ordinateur d’un utilisateur peuvent
également être chiffrées. Ce chiffrement peut être activé par l’utilisateur ou mis en place à l’aide des réglages de restriction de l’appareil dans les profils de
configuration. iOS prend également en charge S/MIME dans Mail, ce qui permet
aux utilisateurs de consulter et d’envoyer des messages électroniques chiffrés.
Les modules cryptographiques d’iOS 7 et iOS 6 ont été validés pour satisfaire aux exigences du standard américain FIPS (Federal Information Processing
Standard) 140-2 Level 1. Cette validation garantit l’intégrité des opérations
cryptographiques des apps Apple et des apps tierces qui exploitent les services
cryptographiques d’iOS.
Pour plus d’informations, reportez-vous aux articles Sécurité des produits iOS :
validations et procédures applicables et iOS 7 : version 4.0 des modules
cryptographiques iOS Apple pour la norme FIPS.
Protection des données
La sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée
par l’utilisation des fonctionnalités de protection des données intégrées à iOS. La
protection des données associe le code d’appareil unique de chaque utilisateur au chiffrement matériel des appareils iOS pour générer une puissante clé de
chiffrement. Cela empêche l’accès aux données lorsque l’appareil est verrouillé, afin
d’assurer la sécurité des données confidentielles, même si l’appareil tombait entre
de mauvaises mains.
Pour activer la protection des données, il vous suffit de définir un code de
verrouillage sur l’appareil. L’efficacité de la protection des données dépend du
code ; il est donc important d’exiger et d’appliquer un code composé de plus de
quatre chiffres lorsque vous établissez vos règles de codes. Les utilisateurs peuvent
vérifier que la protection des données est activée sur leur appareil en consultant
l’écran des réglages de codes. Les solutions de gestion des appareils mobiles
permettent également d’interroger les appareils pour récupérer cette information.
Des API de protection des données sont également à la disposition des
développeurs et peuvent être utilisées pour sécuriser les données au sein des apps
de l’App Store ou des apps d’entreprise sur mesure développées en interne. Sous
iOS 7, les données stockées par les applications se trouvent, par défaut, dans la
classe de sécurité « Protected Until First User Authentication », qui est semblable à un chiffrement complet du disque sur les ordinateurs de bureau, et protège les
données des attaques impliquant un redémarrage.
Remarque : si un appareil a été mis à jour à partir d’iOS 6, les magasins de données
existants ne sont pas convertis pour être intégrés dans cette nouvelle classe. La
suppression, puis la réinstallation de l’app permettront à l’app de bénéficier de
cette nouvelle classe de protection.
!
19
Sécurité réseau
• Protocoles VPN Cisco IPSec, L2TP et
PPTP intégrés
• VPN SSL via les apps de l’App Store
• SSL/TLS avec des certificats X.509
• Protocoles WPA/WPA2 Enterprise avec 802.1x
• Authentification par certificat
• RSA SecurID, CRYPTOCard
Protocoles VPN
• Cisco IPSec
• L2TP/IPSec
• PPTP
• VPN SSL
Méthodes d’authentification
• Mot de passe (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• Certificats numériques X.509
• Secret partagé
Protocoles d’authentification 802.1x
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Formats de certificat pris en charge
iOS prend en charge les certificats X.
509 avec des clés RSA. Les extensions
de fichiers .cer, .crt, . et .der sont
reconnues.
Touch ID
Touch ID est le système de détection d’empreinte digitale intégré à l’iPhone 5s, qui
accélère et facilite l’accès hautement sécurisé à l’appareil. Cette technologie avantgardiste identifie les empreintes digitales sous n’importe quel angle et apprend à
mieux connaître l’empreinte digitale de l’utilisateur au fil du temps, le capteur
continuant à enrichir la carte de l’empreinte avec l’identification de nouveaux
chevauchements à chaque utilisation.
Grâce à Touch ID, l’utilisation d’un code plus long et plus complexe devient
beaucoup plus pratique, car les utilisateurs n’ont pas à le saisir aussi fréquemment.
Touch ID permet également d’éviter l’inconfort d’un verrouillage par code, non pas
en remplaçant celui-ci, mais plutôt en fournissant un accès sécurisé à l’appareil au
sein de limites et de contraintes temporelles réfléchies.
Lorsque Touch ID est activé, l’iPhone 5s se verrouille dès que l’on appuie sur le
bouton Marche/arrêt - Veille/éveil. Lorsque la sécurité ne dépend que du code
d’accès, de nombreux utilisateurs définissent une « période de grâce » du
déverrouillage pour éviter d’avoir à saisir leur code à chaque utilisation de
l’appareil. Avec Touch ID, l’iPhone 5s se verrouille dès qu’il se met en veille et exige
une empreinte digitale — ou éventuellement le code de sécurité — pour chaque
sortie de veille.
Touch ID fonctionne conjointement avec le coprocesseur Secure Enclave contenu
au sein de la puce A7 Apple. Le coprocesseur Secure Enclave dispose de son propre
espace mémoire chiffré et protégé, et communique de façon sécurisée avec le
capteur Touch ID. Lorsque l’iPhone 5s se verrouille, les clés de la classe de
protection des données Complete sont protégées par une clé détenue par la
mémoire chiffrée du coprocesseur Secure Enclave. Cette clé est détenue pendant
48 heures maximum et rejetée si l’iPhone 5s est redémarré ou si une empreinte
digitale non reconnue est utilisée cinq fois. Si l’empreinte est reconnue, Secure
Enclave fournit la clé permettant de « désenvelopper » les clés de protection des
données, et l’appareil est déverrouillé.
Effacement à distance
iOS prend en charge l’effacement à distance. En cas de perte ou de vol d’un
appareil, l’administrateur ou le propriétaire de l’appareil peut émettre une
commande d’effacement à distance qui supprimera toutes les données et
désactivera l’appareil. Si l’appareil est configuré avec un compte Exchange,
l’administrateur peut initier une commande d’effacement à distance à l’aide de la
console de gestion Exchange Management Console (Exchange Server 2007) ou de
l’outil Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003
ou 2007). Les utilisateurs d’Exchange Server 2007 peuvent aussi initier directement
des commandes d’effacement à distance à l’aide d’Outlook Web Access. Les
commandes d’effacement à distance peuvent également être lancées par les
solutions MDM ou à l’aide de la fonctionnalité Localiser mon iPhone d’iCloud,
même si les services d’entreprise Exchange ne sont pas utilisés.
Effacement local
Les appareils peuvent également être configurés pour initier automatiquement un effacement local après plusieurs tentatives infructueuses de saisie du code
d’appareil. C’est un moyen de se protéger des tentatives d’accès à l’appareil par
force brute. Lorsqu’un code est établi, les utilisateurs ont la possibilité d’activer
l’effacement local directement à partir des réglages. Par défaut, iOS efface
automatiquement le contenu de l’appareil après dix tentatives de saisie
infructueuses. Comme avec les autres règles de codes d’appareil, le nombre
maximum de tentatives infructueuses peut être établi via un profil de
configuration, défini par un serveur MDM ou appliqué à distance par l’intermédiaire de règles Microsoft Exchange ActiveSync.
!
20
Localiser mon iPhone et Verrouillage d’activation
En cas de perte ou de vol d’un appareil, il est important de désactiver l’appareil et d’en effacer le contenu. Sous iOS 7, lorsque Localiser mon iPhone est activé,
l’appareil ne peut pas être réactivé sans que soient au préalable saisis les
identifiants Apple ID de son propriétaire. Il est judicieux soit de superviser les
appareils détenus par l’entreprise, soit de mettre en place des règles obligeant les utilisateurs à désactiver cette fonctionnalité, afin que Localiser mon iPhone
n’empêche pas l’entreprise d’attribuer l’appareil à une autre personne.
Sous iOS 7.1 ou version ultérieure, il est possible d’utiliser une solution MDM
compatible pour activer l’option Verrouillage d’activation lorsqu’un utilisateur fait usage de la fonction Localiser mon iPhone. Votre solution MDM peut vous
permettre de bénéficier d’un code de contournement permettant de désactiver
automatiquement l’option Verrouillage d’activation lorsque vous souhaitez effacer
les données de l’appareil et l’attribuer à un nouvel utilisateur. Pour en savoir plus,
consultez la documentation relative à votre solution MDM.
Pour plus d’informations sur Localiser mon iPhone et Verrouillage d’activation,
consultez les articles iCloud : option Verrouillage d’activation de la fonction
Localiser mon iPhone sous iOS 7 et iOS 7 : gestion des appareils mobiles et option
Verrouillage d’activation de la fonction Localiser mon iPhone.
Sécurité du réseau
Les utilisateurs mobiles doivent pouvoir accéder aux réseaux d’information de leur
entreprise partout dans le monde, mais il est aussi important de s’assurer que les
utilisateurs disposent d’une autorisation et que leurs données sont protégées
pendant la transmission. iOS fournit des technologies éprouvées afin d’atteindre
ces objectifs de sécurité pour les connexions Wi-Fi et les connexions à un réseau
cellulaire.
En plus de votre infrastructure existante, chaque session FaceTime et chaque
conversation iMessage sont chiffrées de bout en bout. iOS crée un identifiant
unique pour chaque utilisateur, veillant ainsi à ce que les communications soient
correctement chiffrées, acheminées et connectées.
VPN
De nombreux environnements d’entreprise intègrent une forme de réseau privé
virtuel (VPN). Ces services réseau sécurisés sont déjà déployés et nécessitent
généralement un minimum d’installation et de configuration pour fonctionner avec iOS. iOS s’intègre immédiatement avec une large gamme de technologies VPN
couramment utilisées. Pour plus de détails, reportez-vous à la section « Réseaux
privés virtuels » du chapitre 1.
SSL/TLS
iOS prend en charge le protocole SSL v3 ainsi que Transport Layer Security (TLS
v1.0, 1.1 et 1.2). Safari, Calendrier, Mail et d’autres applications Internet démarrent
automatiquement ces mécanismes afin d’activer un canal de communication
chiffré entre iOS et les services de l’entreprise.
WPA/WPA2
iOS prend en charge la norme WPA2 Enterprise pour fournir un accès authentifié au réseau sans fil de votre entreprise. WPA2 Enterprise utilise le chiffrement AES sur
128 bits, pour garantir aux utilisateurs un niveau optimal de protection lorsqu’ils
envoient et reçoivent des données par le biais d’une connexion réseau Wi-Fi. Et
avec la prise en charge de l’authentification 802.1x, l’iPhone et l’iPad peuvent
s’intégrer dans une grande variété d’environnements d’authentification RADIUS.
!
21
Sécurité des apps
iOS est conçu pour offrir une sécurité optimale. Il utilise la méthode du « bac à
sable » pour la protection à l’exécution des applications et exige une signature des
applications pour empêcher toute altération. iOS comprend aussi un framework
facilitant le stockage sécurisé des identifiants des applications et des services
réseau dans un emplacement de stockage chiffré appelé trousseau. Pour les
développeurs, il offre une architecture cryptographique courante qui peut être utilisée pour chiffrer les magasins de données des applications.
Protection à l’exécution
Les apps que contient l’appareil sont mises en bac à sable pour restreindre l’accès
aux données stockées par d’autres apps. De plus, les fichiers système, les ressources
et le noyau sont à l’abri de l’espace d’exécution des applications par l’utilisateur. Si une app doit accéder aux données d’une autre app, elle ne peut le faire qu’en
utilisant les API et les services fournis par iOS. La génération de codes est
également impossible.
Signature du code obligatoire
Toutes les apps iOS doivent être signées. Les apps fournies avec l’appareil sont
signées par Apple. Les apps tierces sont signées par leur développeur à l’aide d’un
certificat délivré par Apple. Ce mécanisme permet de s’assurer qu’elles n’ont pas
été détournées ou altérées. En outre, des vérifications sont effectuées à l’exécution
pour s’assurer que l’app n’a pas été invalidée depuis sa dernière utilisation.
L’utilisation des apps personnalisées développées en interne peut être contrôlée à l’aide d’un profil d’approvisionnement. Les utilisateurs doivent avoir installé le profil
d’approvisionnement correspondant pour pouvoir exécuter l’application. Les profils
d’approvisionnement peuvent être installés à distance à l’aide de solutions MDM.
Les administrateurs peuvent également restreindre l’utilisation d’une application à des appareils spécifiques.
Structure d’authentification sécurisée
iOS fournit un trousseau chiffré sécurisé pour stocker les identités numériques, les
noms d’utilisateur et les mots de passe. Les données du trousseau sont segmentées
de sorte que les informations d’identification stockées par des apps tierces soient
inaccessibles aux apps ayant une identité différente. Ce mécanisme permet de
sécuriser les informations d’authentification sur les appareils iOS pour un large
éventail d’applications et de services au sein de l’entreprise.
Architecture cryptographique courante
Les développeurs d’applications ont accès à des API de chiffrement qu’ils peuvent
utiliser pour renforcer la protection de leurs données d’applications. Les données
peuvent être chiffrées symétriquement à l’aide de méthodes éprouvées comme
AES, RC4 ou 3DES. En outre, les appareils iOS fournissent une accélération
matérielle pour le chiffrement AES et le hachage SHA1, ce qui optimise les
performances des applications.
Protection des données des applications
Les apps peuvent aussi tirer parti du chiffrement matériel intégré aux appareils iOS pour renforcer la protection des données d’applications sensibles. Les développeurs
peuvent désigner des fichiers spécifiques pour la protection des données, en
demandant au système de chiffrer le contenu du fichier pour le rendre inaccessible
à l’app et à tout intrus potentiel lorsque l’appareil est verrouillé.
!
22
Habilitations pour les apps
Par défaut, une app iOS a des privilèges très limités. Les développeurs doivent
explicitement ajouter des habilitations pour utiliser la plupart des fonctionnalités
telles qu’iCloud, le traitement en arrière-plan ou les trousseaux partagés. Cela
permet de s’assurer que les apps ne peuvent pas s’accorder l’accès à des données
avec lesquelles elles n’ont pas été déployées. En outre, les apps iOS doivent
demander la permission explicite de l’utilisateur avant d’exploiter de nombreuses
fonctionnalités iOS telles que la géolocalisation par GPS, les contacts de l’utilisateur,
l’appareil photo ou les photos stockées.
Services Internet
Apple a constitué un solide ensemble de services destinés à permettre aux
utilisateurs de retirer encore plus d’avantages de leurs appareils et de gagner en
productivité. Parmi ces services, figurent iMessage, FaceTime, Siri, iCloud,
Sauvegarde iCloud et Trousseau iCloud.
Ces services Internet ont été élaborés avec les objectifs de sécurité que promeut iOS
sur l’ensemble de la plate-forme. Il s’agit, notamment, de la manipulation sécurisée
des données, que celles-ci soient au repos sur l’appareil ou en transit sur des réseaux
sans fil ; de la protection des informations personnelles de l’utilisateur ; enfin, de la
protection contre les accès malveillants ou non autorisés aux informations et aux
services. Chaque service exploite sa propre puissante architecture de sécurité, sans
compromettre la simplicité d’utilisation générale d’iOS.
iMessage
iMessage1 est un service de messagerie pour les appareils iOS et les ordinateurs Mac.
iMessage prend en charge le texte et les pièces jointes telles que les photos, les
contacts et les lieux. Les messages apparaissent sur tous les appareils enregistrés d’un
utilisateur, si bien qu’une conversation peut se poursuivre sur n’importe lequel de ces
appareils. iMessage fait un large usage du service de notification push d’Apple (APN).
iMessage met en œuvre un chiffrement de bout en bout qui exploite des clés
connues uniquement des appareils expéditeurs et des appareils récepteurs. Apple ne peut pas déchiffrer les messages, et ceux-ci ne sont pas consignés.
FaceTime
FaceTime2 est le service d’appels vidéo et audio d’Apple. Les appels FaceTime
utilisent le service de notification push d’Apple (APN) pour établir une connexion
initiale, puis la technique ICE (Internet Connectivity Establishment) et le protocole
SIP (Session Initiation Protocol) pour créer un flux chiffré.
Siri
En parlant tout à fait naturellement, les utilisateurs peuvent faire appel à Siri3 pour
envoyer des messages, programmer des rendez-vous ou encore passer des appels
téléphoniques. Siri utilise la reconnaissance vocale, la synthèse vocale et un modèle
client-serveur pour répondre à une large gamme de requêtes. Les tâches dont
s’acquitte Siri ont été conçues pour faire en sorte que seul soit utilisé le strict
minimum d’informations personnelles et que ces dernières soient entièrement
protégées. Les requêtes et enregistrements vocaux de Siri ne sont pas
personnellement identifiés et, si possible, les fonctions Siri sont toujours mises en
œuvre sur l’appareil, et non sur le serveur.
!
23
iCloud
iCloud4 stocke de la musique, des photos, des apps, des calendriers, des documents
et bien plus encore, et les envoie automatiquement en mode push à tous les
appareils d’un utilisateur. De plus, il effectue la sauvegarde quotidienne
d’informations, comme les réglages des appareils, les données d’apps et les
messages texte et MMS, par Wi-Fi. Afin d’assurer la protection de vos données,
iCloud chiffre votre contenu lorsque celui-ci est envoyé via Internet, le stocke au
format crypté et utilise des filtres sécurisés pour l’authentification. Par ailleurs, les
fonctionnalités d’iCloud telles que Flux de photos, Documents et données et
Sauvegarde peuvent être désactivées à l’aide d’un profil de configuration.
Pour plus d’informations sur la sécurité et la confidentialité sur iCloud, consultez
l’article Présentation de la sécurité et de la confidentialité d’iCloud.
Sauvegarde iCloud
iCloud sauvegarde également chaque jour en Wi-Fi des informations comme les
réglages des appareils, les données d’apps et les messages texte et MMS. Il protège
le contenu en le chiffrant lorsque celui-ci est envoyé via Internet, en le stockant
sous un format chiffré et en utilisant des jetons sécurisés pour l’authentification. La Sauvegarde iCloud se produit uniquement lorsque l’appareil est verrouillé et
relié à une source d’alimentation, et qu’il dispose d’un accès Wi-Fi à Internet. Grâce
au chiffrement utilisé dans iOS, le système est conçu pour sécuriser les données
tout en permettant une sauvegarde incrémentielle sans intervention ainsi qu’une
restauration.
Trousseau iCloud
Le Trousseau iCloud permet aux utilisateurs de synchroniser en toute sécurité leurs
mots de passe entre leurs appareils iOS et leurs ordinateurs Mac, sans exposer ces
informations à Apple. Outre une attention particulière portée à la vie privée et à la
sécurité, les objectifs qui ont fortement influencé la conception et l’architecture du
Trousseau iCloud étaient la facilité d’utilisation et la capacité à récupérer un
trousseau. Le Trousseau iCloud assure deux services : la synchronisation et la
récupération des trousseaux. Dans la synchronisation de trousseaux, les appareils
ne sont autorisés à participer qu’après approbation de l’utilisateur, et chaque
élément de trousseau éligible à la synchronisation est échangé avec un chiffrement par appareil via le stockage de valeur par clé iCloud. Les éléments sont éphémères
et ne persistent pas dans iCloud après leur synchronisation. La récupération de
trousseau offre aux utilisateurs un moyen de confier leur trousseau à la garde
d’Apple, sans pour autant lui donner la possibilité de lire les mots de passe et
autres données qu’il contient. Même si l’utilisateur n’a qu’un seul appareil, la
récupération de trousseau crée un filet de sécurité contre la perte de données.
C’est particulièrement important lorsqu’on utilise Safari pour générer de façon
aléatoire des mots de passe puissants pour les comptes web, car la seule trace de
ces mots de passe se trouve dans le trousseau. La pierre angulaire de la
récupération de trousseau est l’authentification secondaire assortie d’un service de
séquestre sécurisé, créé spécialement par Apple pour prendre en charge cette
fonctionnalité. Le trousseau de l’utilisateur est chiffré à l’aide d’un puissant code de
sécurité, et le service de séquestre ne fournira une copie du trousseau que si un
ensemble de conditions très strictes sont réunies.
Vous trouverez des détails sur la sécurité dans le Guide de la sécurité iOS.
!
24
Chapitre 3 : Configuration et gestion
Les déploiements iOS peuvent être rationalisés grâce à plusieurs techniques de gestion qui simplifient la création des comptes, la configuration des règles
institutionnelles, la distribution des apps et l’application des restrictions visant les
appareils. Les utilisateurs peuvent ensuite se charger de l’essentiel du travail de
personnalisation grâce à l’Assistant réglages intégré à iOS. Une fois les appareils iOS
configurés et inscrits auprès de la solution MDM, ils peuvent être gérés sans fil par
le service informatique.
Ce chapitre décrit comment utiliser les profils de configuration et la gestion des
appareils mobiles pour soutenir votre déploiement iOS.
Configuration et activation des appareils
iOS permet immédiatement aux utilisateurs d’activer leur appareil, d’en configurer
les réglages de base et de se mettre à travailler dans la foulée grâce à l’Assistant
réglages d’iOS. Au-delà des réglages de base, les utilisateurs peuvent personnaliser
leurs préférences personnelles, comme la langue, le lieu, Siri, iCloud et Localiser
mon iPhone. L’Assistant réglages permet également à l’utilisateur de se créer un
identifiant Apple personnel, s’il n’en a pas déjà un.
Identifiant Apple
Un identifiant Apple est une identité servant à se connecter à divers services Apple
tels que FaceTime, iMessage, iTunes, l’App Store, iCloud et l’iBooks Store. Avec un
identifiant Apple, chaque utilisateur peut installer des apps, des livres et des
contenus de l’iTunes Store, de l’App Store ou de l’iBooks Store. Un identifiant Apple
permet aussi aux utilisateurs de se créer un compte iCloud afin d’accéder à des
contenus et de les partager sur de multiples appareils.
Pour profiter au maximum de ces services, les utilisateurs doivent utiliser leur
propre identifiant Apple. S’ils n’en ont pas, ils peuvent s’en créer un avant même de
disposer de leur appareil, afin que la configuration se fasse aussi vite que possible.
Découvrez comment obtenir un identifiant Apple sur la page Mon identifiant Apple.
Préparer les appareils avec Apple Configurator
Pour les appareils dont la gestion est centralisée par le service informatique et qui
ne sont pas configurés par les utilisateurs eux-mêmes, Apple Configurator peut être
utilisé pour activer rapidement les appareils, définir et appliquer les configurations,
superviser les appareils, installer des apps et actualiser les appareils à l’aide de la
dernière version d’iOS. Apple Configurator est une application gratuite pour OS X,
disponible au téléchargement sur le Mac App Store. Les appareils doivent être
connectés à un Mac via USB pour effectuer ces tâches. Vous pouvez aussi restaurer
une sauvegarde sur des appareils : les réglages de l’appareil ainsi que la disposition
des écrans d’accueil seront appliqués et les données d’apps installées.
!
25
Profils de configuration
Les profils de configuration sont des fichiers XML qui contiennent les règles de sécurité et les restrictions applicables à un appareil, les informations sur la configuration des réseaux VPN, les réglages Wi-Fi, les comptes de courrier
électronique et de calendrier et les références d’authentification qui permettent
aux appareils iOS de fonctionner avec les systèmes de votre entreprise. Les profils
de configuration permettent de charger rapidement des réglages et des
informations d’autorisation sur un appareil. Certains réglages VPN et Wi-Fi ne
peuvent être définis qu’à l’aide d’un profil de configuration et, si vous n’utilisez pas Microsoft Exchange, vous devez avoir recours à un profil de configuration pour définir les règles concernant les codes d’appareils.
Les profils de configuration peuvent être distribués à l’aide du mécanisme Overthe-Air Profile Delivery ou via une solution de gestion des appareils mobiles (MDM).
Vous pouvez aussi installer les profils de configuration sur des appareils connectés
au port USB d’un ordinateur par le biais d’Apple Configurator, ou les distribuer par
e-mail ou sur une page web. Lorsque des utilisateurs ouvrent la pièce jointe à un
message électronique ou téléchargent le profil sur leur appareil à l’aide de Safari, ils sont invités à lancer le processus d’installation. Si vous utilisez un serveur MDM,
vous pouvez distribuer un profil initial contenant seulement les informations sur la
configuration du serveur, puis faire en sorte que l’appareil obtienne sans fil tous les
autres profils.
Vous pouvez chiffrer et signer les profils de configuration, ce qui vous permet de limiter leur usage à un appareil donné et empêche quiconque de modifier les
réglages inclus dans un profil. Vous avez également la possibilité de marquer un
profil comme étant verrouillé à un appareil de sorte que, une fois installé, personne
ne peut le supprimer sans effacer toutes les données de l’appareil ou, le cas
échéant, saisir un code.
À l’exception des mots de passe, les utilisateurs ne sont pas en mesure de modifier
les réglages fournis par un profil de configuration. De plus, les comptes qui sont
configurés par un profil, comme les comptes Exchange, ne peuvent être supprimés
qu’en effaçant le profil.
Pour plus d’informations, consultez l’article Configuration Profile Key Reference du
site iOS Developer Library.
Gestion des appareils mobiles (MDM)
iOS intègre une structure MDM qui permet aux solutions MDM tierces de dialoguer
sans fil avec les appareils iOS. Cette structure légère a été conçue de A à Z pour les
appareils iOS. Elle est assez puissante et évolutive pour permettre une
configuration et une gestion complètes de tous les appareils iOS d’une entreprise.
Avec une solution MDM en place, les administrateurs informatiques peuvent
déployer en toute sécurité des appareils dans un environnement d’entreprise,
configurer et mettre à jour des réglages, vérifier la conformité des appareils à la
politique de l’entreprise, et même effacer ou verrouiller à distance les appareils
ainsi gérés. La gestion des appareils mobiles iOS offre au service informatique un
moyen simple de procurer aux utilisateurs un accès aux services réseau, tout en
s’assurant que les appareils sont correctement configurés, quel qu’en soit le
détenteur.
Les solutions MDM utilisent le service de notification push d’Apple (APNs) pour
maintenir une connexion permanente avec les appareils, tant sur les réseaux
publics que sur les réseaux privés. Pour fonctionner, la gestion des appareils
mobiles (MDM) repose sur plusieurs certificats, dont un certificat APNs pour
communiquer avec les clients et un certificat SSL pour sécuriser les échanges. Les
solutions MDM peuvent également signer les profils avec un certificat.
!
26
La plupart des certificats, y compris les certificats APNs, doivent être renouvelés tous
les ans. Lorsqu’un certificat expire, le serveur MDM ne peut plus communiquer avec
les clients tant que le certificat n’a pas été mis à jour. Prévoyez donc de mettre à jour
tous les certificats MDM avant leur expiration.
Reportez-vous au portail Apple Push Certificates Portal pour plus d’informations sur
les certificats MDM.
Inscription
L’inscription des appareils permet de les cataloguer et de gérer le parc. Le
processus d’inscription peut exploiter le protocole SCEP (Simple Certificate
Enrollment Protocol), qui permet aux appareils iOS de créer des certificats d’identité
uniques et de s’y inscrire, pour l’authentification auprès des services de l’entreprise.
Dans la plupart des cas, ce sont les utilisateurs qui décident ou non d’inscrire leur
appareil auprès du serveur MDM, et ils peuvent l’en dissocier à tout moment.
L’établissement peut éventuellement recourir à des incitations pour encourager les utilisateurs à rester inscrits. Par exemple, il peut exiger l’inscription MDM pour
obtenir un accès au réseau Wi-Fi, en utilisant la solution MDM pour fournir les
identifiants de connexion. Lorsqu’un utilisateur quitte la gestion des appareils
mobiles, l’appareil tente d’en informer le serveur MDM.
!
Configuration
Une fois inscrit, un appareil peut être configuré de façon dynamique à l’aide de
réglages et de règles par le serveur de gestion des appareils mobiles. Celui-ci
envoie à l’appareil des profils de configuration qui sont alors installés par l’appareil,
automatiquement et en silence.
Les profils de configuration peuvent être signés, chiffrés et verrouillés, ce qui
empêche que les réglages soient modifiés ou partagés. Ainsi, seuls les utilisateurs
certifiés et les appareils configurés selon vos spécifications peuvent accéder à votre
réseau et à vos services. Si un utilisateur dissocie l’appareil de la MDM, tous les
réglages installés via la MDM en sont supprimés.
Comptes
La gestion des appareils mobiles peut aider les utilisateurs de votre entreprise à
être rapidement opérationnels en configurant automatiquement leur messagerie et
autres comptes. En fonction de la solution MDM et de son intégration avec vos
systèmes internes, les entités de compte peuvent aussi être pré-renseignées avec le nom de l’utilisateur, l’adresse électronique et, le cas échéant, les identités de
certificat pour l’authentification et la signature. La MDM peut configurer les types
de comptes suivants :
• Mail
• Calendrier
• Calendriers par abonnement
• Contacts
• Exchange ActiveSync
• LDAP
Les comptes de courrier électronique et de calendrier gérés respectent les
nouvelles restrictions de la gestion des autorisations d’ouverture d’iOS 7.
!
27
Interrogation
Un serveur MDM est capable d’interroger les appareils pour récupérer diverses informations. Il peut s’agir d’informations matérielles, comme le numéro de série,
l’identifiant UDID ou l’adresse MAC du Wi-Fi et d’informations logicielles comme la
version d’iOS et une liste détaillée de toutes les apps installées sur l’appareil. Ces
informations permettent de vérifier que les utilisateurs utilisent les apps préconisées.
Avec la version 5.4 (ou une version ultérieure) du logiciel Apple TV, le serveur MDM
peut également interroger les Apple TV inscrites pour récupérer des informations
telles que la langue, la localisation et l’organisation.
Commandes
Un appareil peut être géré, le cas échéant, par le serveur de gestion des appareils
mobiles via un ensemble d’actions spécifiques. Les tâches de gestion comprennent
entre autres :
• Le changement des réglages de configuration. Une commande peut être envoyée
pour installer sur un appareil un profil de configuration nouveau ou actualisé. Les
changements de configuration se font en silence, sans interaction avec l’utilisateur.
• Le verrouillage d’un appareil. Si un appareil doit être immédiatement verrouillé,
une commande peut être envoyée pour le verrouiller à l’aide du code de
verrouillage en cours de validité.
• L’effacement à distance d’un appareil. En cas de perte ou de vol d’un appareil,
une commande peut être envoyée pour effacer toutes les données de l’appareil.
Une fois reçue, une commande d’effacement ne peut être annulée.
• La suppression d’un code de verrouillage. Après la suppression du code de
verrouillage, l’appareil demande immédiatement à l’utilisateur d’en saisir un
nouveau. Ce mécanisme est mis en œuvre lorsque l’utilisateur oublie son code de verrouillage et demande au service informatique de le réinitialiser.
• Demander la recopie vidéo AirPlay et interrompre la recopie vidéo AirPlay.
iOS 7 ajoute une commande pour inviter un appareil iOS supervisé à lancer la
recopie vidéo AirPlay vers une destination particulière, ou pour mettre fin à une
session AirPlay.
Apps gérées
Les organisations ont souvent besoin de distribuer des logiciels pour que les
utilisateurs restent productifs au travail ou en cours. En même temps, elles doivent
contrôler la façon dont les logiciels se connectent aux ressources internes ou dont
la sécurité des données est gérée lorsque l’utilisateur quitte l’organisation, tout en
assurant la coexistence avec les apps et données personnelles de l’utilisateur. Les
apps gérées sous iOS 7 permettent à une organisation de distribuer à distance des
apps gratuites, payantes et d’entreprise via une solution de gestion des appareils
mobiles (MDM), tout en offrant le bon équilibre entre sécurité institutionnelle et
personnalisation par l’utilisateur. Les serveurs MDM peuvent déployer à distance
sur les appareils des apps de l’App Store ou des apps développées en interne.
Qu’elles soient payantes ou gratuites, les apps de l’App Store peuvent être gérées
par un serveur MDM à l’aide de la distribution gérée du Programme d’achats en
volume (VPP). Pour plus d’informations sur la distribution gérée avec la MDM,
consultez la section « Programme d’achats en volume » du chapitre 4.
L’installation d’apps acquises dans le cadre du Programme d’achats en volume peut
se faire de trois façons. Les utilisateurs ayant un appareil personnel sont invités par
la MDM à installer l’app depuis l’App Store, et à saisir leur identifiant Apple. Avec un
appareil supervisé détenu par l’organisation et inscrit auprès d’un serveur MDM,
l’installation des apps se fait en silence. Si un appareil n’est pas associé à une
solution MDM, les apps VPP sont installées par l’utilisateur à l’aide d’un code
d’achat. Les apps sont ensuite associées à l’identifiant Apple personnel de
l’utilisateur.
28
Les apps gérées peuvent être supprimées à distance par le serveur MDM ou
lorsque l’utilisateur désinscrit son appareil de celui-ci. La suppression de l’app a
pour effet de supprimer les données qui lui sont associées. Si l’app du Programme
d’achats en volume est toujours attribuée à l’utilisateur ou que ce dernier a utilisé
un code avec son identifiant Apple personnel, l’app pourra de nouveau être
téléchargée sur l’App Store, mais elle ne sera pas gérée.
La gestion des appareils mobiles apporte aux apps gérées sous iOS 7 un ensemble
de restrictions et de possibilités supplémentaires qui renforcent la sécurité et
améliorent l’expérience utilisateur :
• Gestion des autorisations d’ouverture. Fournit deux fonctions utiles pour la
protection des données d’apps de l’organisation :
– Permettre aux documents créés à l’aide d’apps non gérées de s’ouvrir dans
des apps gérées. L’application de cette restriction empêche les apps et
comptes personnels d’un utilisateur d’ouvrir des documents dans les apps
gérées de l’organisation. Par exemple, cette restriction pourrait empêcher une
copie de Keynote appartenant à l’utilisateur d’ouvrir une présentation PDF dans
une app de visualisation de PDF de l’organisation. Cette restriction pourrait
aussi empêcher un compte iCloud personnel d’un utilisateur d’ouvrir un
document de traitement de texte en pièce jointe dans une copie de Pages
appartenant à l’organisation.
– Permettre aux documents créés à l’aide d’apps gérées de s’ouvrir dans des apps non gérées. L’application de cette restriction empêche les apps et
comptes gérés d’ouvrir des documents dans les apps personnelles de
l’utilisateur. Cette restriction pourrait, par exemple, empêcher les pièces jointes
confidentielles d’un compte de messagerie géré de s’ouvrir dans des apps
personnelles de l’utilisateur.
• Configuration des apps. Les développeurs d’apps peuvent identifier les réglages
d’une app pouvant être définis lorsque cette app est installée en tant qu’app
gérée. Ces réglages de configuration s’effectuent avant ou après l’installation de
l’app gérée.
• Feedback sur l’app. Les développeurs concevant des apps peuvent identifier les réglages qu’il est possible de lire depuis une app gérée à l’aide d’une solution
MDM. Par exemple, un développeur indique une clé DidFinishSetup en tant que
retour d’une app, clé qu’un serveur MDM interroge pour déterminer si l’app a été
lancée et configurée.
• Empêcher la sauvegarde. Cette restriction empêche les apps gérées de
sauvegarder des données sur iCloud ou iTunes. Ne pas autoriser la sauvegarde
permet d’éviter que les données des apps gérées ne soient récupérées si l’app est supprimée via la gestion des appareils mobiles mais réinstallée ensuite par l’utilisateur.
Appareils supervisés
La supervision offre un niveau supérieur de gestion des appareils pour ceux qui
sont détenus par votre organisation, en permettant d’appliquer d’autres restrictions
comme la désactivation d’iMessage ou de Game Center. Elle fournit également
d’autres fonctionnalités et configurations d’appareils, comme le filtrage du contenu
ou la possibilité d’installer silencieusement des apps.
Pour voir les restrictions spécifiques pouvant être activées sur des appareils
supervisés, reportez-vous à l’Annexe B.
!
29
Chapitre 4 : Distribution des apps
iOS est doté de toute une collection d’apps qui permettent à vos collaborateurs de se livrer à leurs activités quotidiennes, comme échanger des e-mails, gérer leurs
plannings, organiser leurs contacts ou encore exploiter des contenus sur le Web.
Nombre des fonctionnalités dont les utilisateurs ont besoin pour être productifs
viennent des centaines de milliers d’apps iOS tierces disponibles sur l’App Store ou de celles développées en interne.
Il y a plusieurs façons de déployer des apps et du contenu au sein de votre
entreprise. Le Programme d’achats en volume vous permet d’acheter et d’attribuer
des apps et des livres via une solution MDM, y compris des apps de l’App Store, des
apps B2B personnalisées et des livres de l’iBooks Store. Vous pouvez aussi créer et
déployer vos propres apps si vous êtes membre du programme iOS Developer
Enterprise. Ce chapitre décrit les diverses méthodes dont vous disposez pour
déployer des apps pour vos utilisateurs.
Programme d’achats en volume
L’App Store et l’iBooks Store proposent des milliers de formidables apps et livres
que les utilisateurs peuvent acheter, télécharger et installer. Grâce au Programme
d’achats en volume (VPP), votre organisation peut acheter en grand nombre des
apps et des livres à distribuer à vos employés, sous-traitants ou étudiants. Tous les
livres et apps payants et gratuits de l’iBooks Store et de l’App Store peuvent être
acquis dans le cadre du programme.
Le Programme d’achats en volume pour les entreprises permet également
d’acheter des apps B2B personnalisées pour iOS, développées pour vous par des développeurs tiers et des partenaires commerciaux.
Avec l’introduction de la distribution gérée, iOS 7 apporte des améliorations
majeures au Programme d’achats en volume (VPP). Via la gestion des appareils
mobiles, cette fonctionnalité permet l’achat et l’attribution aux utilisateurs d’apps
qui restent sous le contrôle de votre institution. Ainsi, les apps peuvent être
attribuées aux utilisateurs, révoquées et réattribuées à d’autres utilisateurs lorsque
les précédents n’en ont plus besoin.
Distribution gérée
Lorsque vous achetez des apps et des livres en volume, vous pouvez distribuer les
contenus directement à vos utilisateurs à l’aide de codes, ou utiliser la distribution
gérée pour attribuer les apps et les livres aux utilisateurs d’iOS 7 ou d’OS X
Mavericks 10.9 (ou version ultérieure) par le biais d’une solution MDM. Lorsque vous
attribuez une app ou un livre à vos utilisateurs, ces derniers peuvent les utiliser sur
tous leurs appareils. Lorsqu’ils n’ont plus besoin de l’app ou qu’ils quittent votre
organisation, vous pouvez réattribuer cette app à un autre utilisateur. Les livres ne
peuvent être révoqués après avoir été attribués.
Une fois que vous avez acheté des apps pour le compte de vos utilisateurs, vous
pouvez choisir la distribution gérée comme méthode de déploiement. Avant
d’utiliser une solution MDM pour attribuer les apps à vos utilisateurs, vous devrez
lier votre serveur MDM à votre compte VPP à l’aide d’un jeton sécurisé. Vous
pouvez télécharger ce jeton sécurisé sur votre serveur MDM en accédant au
résumé de votre compte sur le Store du Programme d’achats en volume.
!
30
Pour prendre part à la distribution gérée via le Programme d’achats en volume, les
utilisateurs doivent y être invités au préalable. Lorsqu’un utilisateur accepte une
invitation à prendre part à la distribution gérée, son identifiant Apple personnel est
lié à votre organisation. L’utilisateur n’a pas besoin de vous révéler son identifiant
Apple, et vous n’avez pas besoin d’en créer un et de le lui fournir.
Une fois attribuée à un utilisateur via une solution MDM, l’app apparaîtra dans
l’historique des achats de l’App Store de cet utilisateur. Celui-ci peut ensuite être
invité à accepter l’installation de l’app, ou, dans le cas d’appareils supervisés, l’app
peut s’installer en silence. Lorsqu’une app est révoquée pour un utilisateur, elle
continue à se lancer dans les 30 jours qui suivent. Au cours de cette période de
grâce, l’utilisateur peut se voir rappeler que l’app ne lui est plus attribuée et choisir
de l’acheter sur l’App Store, ce qu’il doit faire pour conserver les données de l’app
sur son appareil.
Inscription au Programme d’achats en volume
Pour acheter des apps en grand nombre, il est nécessaire de s’inscrire et de se créer
un compte auprès d’Apple. Vous devez fournir des informations sur votre
organisation, comme le numéro D-U-N-S de D&B (si vous êtes une entreprise) et
des coordonnées de contact. Vous devez également créer un identifiant Apple
réservé à la gestion administrative du programme.
Pour obtenir des informations sur l’inscription au Programme d’achats en volume
et sur les pays et régions où il est disponible, consultez :
Programme d’achats en volume pour les entreprises
Programme d’achats en volume pour l’Éducation
Achat d’apps en volume
Utilisez le site web du Programme d’achats en volume pour acheter des apps pour
votre entreprise ou votre établissement d’enseignement.
Utilisez l’identifiant Apple associé à votre compte de Programme d’achats en
volume pour ouvrir une session sur le site web. Recherchez les apps que vous
désirez acheter, puis indiquez le nombre d’exemplaires souhaité. Vous pouvez payer
à l’aide d’une carte de crédit d’entreprise ou du crédit VPP obtenu à l’aide d’un bon
de commande (PO). Le nombre d’exemplaires n’est pas limité. Pour chaque
exemplaire acheté, vous pouvez choisir soit des codes de téléchargement, soit la distribution gérée.
Vous ne pouvez acheter des codes de téléchargement que pour les apps et les
livres payants. Gratuits ou payants, les apps et les livres sont tous disponibles à la distribution gérée.
Si vous achetez des codes de téléchargement, vous serez informé par e-mail dès
qu’ils seront disponibles. Une feuille de calcul XLS contenant les codes de
téléchargement sera disponible dans la section compte du site web du Programme
d’achats en volume. Le site web recense chaque achat par numéro de commande,
nom d’app, coût total et nombre de licences. Téléchargez la feuille de calcul
associée pour afficher les codes de téléchargement pour chaque app, dans la
quantité achetée. Par exemple, pour l’achat de sept exemplaires de l’app Pages,
vous recevez sept codes de téléchargement pour Pages. La feuille de calcul
contient également une URL de téléchargement pour chaque code. Ces URL
permettent aux utilisateurs de télécharger et d’installer les apps sur leurs appareils
sans avoir à saisir le code de téléchargement.
Si vous avez choisi la distribution gérée comme mode de distribution, les apps
seront disponibles pour attribution via votre solution MDM, à condition que celle-ci soit liée à votre compte VPP et qu’elle dispose d’un jeton valide.
!
31
Distribution des codes de téléchargement
Vous pouvez distribuer les URL de téléchargement par e-mail ou par SMS, ou en les publiant sur un site web accessible aux utilisateurs et groupes concernés. Vous
pouvez créer un site web proposant un catalogue des apps achetées et indiquant
les codes de téléchargement aux utilisateurs autorisés. De nombreuses solutions de
gestion des appareils mobiles (MDM) tierces permettent également de gérer et de
distribuer les codes de façon centralisée.
Les utilisateurs installent les apps que vous achetez pour eux en cliquant sur l’URL
de téléchargement à partir de leur appareil iOS. Ils sont directement renvoyés vers
l’App Store où le code de téléchargement est déjà saisi. Ils n’ont plus qu’à
s’authentifier avec leur identifiant Apple. Le processus est identique à celui de toute
autre app de l’App Store, mais comme le code de téléchargement est prépayé, les
utilisateurs ne paient pas leur achat.
Chaque code de téléchargement est à usage unique. À chaque utilisation d’un
code de téléchargement, une version mise à jour de la feuille de calcul est
disponible sur le site web du Programme d’achats en volume. Téléchargez la feuille
de calcul pour savoir combien de codes ont été utilisés et voir ceux qui restent.
Une fois qu’un utilisateur a installé l’app, celle-ci est sauvegardée et mise à jour
comme toute autre app de l’App Store.
Apps B2B personnalisées
Les apps personnalisées créées ou personnalisées par un développeur pour votre
entreprise (B2B) peuvent également être achetées via le Programme d’achats en
volume.
Les développeurs inscrits au programme iOS Developer peuvent soumettre des
apps pour une distribution d’entreprise à entreprise à l’aide d’iTunes Connect. Le
processus est identique à la soumission d’apps sur l’App Store. Le développeur fixe
le prix par exemplaire et ajoute votre identifiant Apple du Programme d’achats en
volume à sa liste d’acheteurs B2B autorisés. Seuls les acheteurs autorisés peuvent
voir ou acheter l’app.
Les apps B2B ne sont pas sécurisées par Apple. La sécurisation des données d’une
app est de la responsabilité du développeur. Apple recommande d’utiliser les
bonnes pratiques iOS pour l’authentification et le chiffrement d’une app.
Une fois qu’Apple a vérifié l’app, vous utilisez le site web du Programme d’achats
en volume pour acheter des exemplaires, comme le décrit le paragraphe « Achats
d’apps en volume » de la section précédente. Les apps B2B personnalisées ne sont
pas recensées sur l’App Store. Elles doivent être achetées sur le site web du
Programme d’achats en volume.
Apps internes
Le programme iOS Developer Enterprise vous permet de déployer les apps iOS que
vous développez pour un usage interne. Le processus de déploiement d’une app
interne est le suivant :
• Inscrivez-vous au programme iOS Developer Enterprise.
• Préparez votre app pour sa distribution.
• Créez un profil d’approvisionnement de distribution en entreprise qui autorise les
appareils à utiliser les apps que vous avez signées.
• Développez l’app avec le profil d’approvisionnement.
• Déployez l’app auprès de vos utilisateurs.
!
!
32
Inscription au développement d’apps
Pour pouvoir développer et déployer des apps pour iOS au sein de votre entreprise,
inscrivez-vous d’abord au programme iOS Developer Enterprise.
Une fois inscrit(e), vous pouvez demander un certificat de développeur et un profil
d’approvisionnement développeur. Vous les utiliserez lors du développement pour
créer et tester votre app. Le profil d’approvisionnement permet d’exécuter sur un
appareil enregistré les apps signées avec votre certificat de développeur. Créez le
profil d’approvisionnement développeur par le biais du portail d’approvisionnement
iOS. Ce profil ad hoc expire au bout de trois mois et précise quels appareils (par
identifiant d’appareil) peuvent exécuter les versions de développement de votre app.
Distribuez à votre équipe et à vos testeurs votre version signée par le développeur
ainsi que le profil d’approvisionnement développeur.
Préparation des apps pour la distribution
Une fois que les étapes de développement et de test sont terminées et que vous êtes prêt à déployer votre app, signez votre app à l’aide de votre certificat de
distribution et finalisez-la avec un profil d’approvisionnement. L’agent d’équipe ou
l’administrateur désigné pour votre adhésion au programme crée le certificat et le
profil sur le portail d’approvisionnement iOS.
La génération du certificat de distribution nécessite d’utiliser l’Assistant de
certification (qui fait partie de l’application Trousseau d’accès sur le système de
développement OS X) pour générer une demande de signature de certificat (CSR).
Téléchargez la CSR sur le portail d’approvisionnement iOS et recevez en réponse un certificat de distribution. Lorsque vous installez ce certificat dans Trousseau,
vous pouvez configurer Xcode pour qu’il l’utilise pour signer votre app.
Approvisionnement en apps développées en interne
Le profil d’approvisionnement de distribution en entreprise permet d’installer votre app sur un nombre illimité d’appareils iOS. Il est possible de créer un profil
d’approvisionnement de distribution en entreprise pour une ou plusieurs apps.
Lorsque le certificat de distribution en entreprise ainsi que le profil
d’approvisionnement sont installés sur votre Mac, utilisez Xcode pour signer et
créer une version/version finale de votre app. Votre certificat de distribution en
entreprise est valide pour une durée de 3 ans, période après laquelle vous devrez
signer et élaborer à nouveau votre app grâce à un certificat renouvelé. Le profil
d’approvisionnement pour l’app est valable pour une année, vous devrez donc
renouveler vos profils d’approvisionnement chaque année. Pour de plus amples
détails, consultez la section « Mise à disposition d’apps mises à jour » de l’Annexe C.
Il est fondamental que vous limitiez l’accès à votre certificat de distribution et à la
clé privée. Utilisez Trousseau d’accès sous OS X pour exporter et sauvegarder ces
éléments au format p12. En cas de perte de la clé privée, celle-ci ne peut pas être
récupérée ni téléchargée une deuxième fois. En plus de la protection du certificat
et de la clé privée, il est important de restreindre l’accès au personnel responsable
de l’acceptation finale de l’app. Signer une app avec le certificat de distribution,
appose le sceau d’approbation de votre entreprise en ce qui concerne le contenu
de l’app et ses fonctions et confirme son adhésion aux conditions de la licence
Enterprise Developer Agreement.
Déploiement d’apps
Quatre méthodes permettent de déployer une app :
• Distribuez l’app à vos utilisateurs pour que ceux-ci l’installent à l’aide d’iTunes.
• Demandez à un administrateur informatique d’installer l’app sur des appareils à l’aide d’Apple Configurator.
33
• Publiez l’app sur un serveur web sécurisé ; les utilisateurs accèdent à l’app et réalisent l’installation sans fil. Voir « Annexe C : Installation sans fil d’apps
développées en interne. »
• Si cette fonction est prise en charge par votre serveur MDM, utilisez-le pour
demander aux appareils gérés d’installer une app interne ou de l’App Store.
Installation d’apps à l’aide d’iTunes
Si vos utilisateurs se servent d’iTunes pour installer des apps sur leurs appareils,
distribuez-leur l’app de manière sécurisée et demandez-leur de procéder comme suit :
1. Dans iTunes, choisissez Fichier > Ajouter à la bibliothèque, puis sélectionnez le
fichier (.app, .ipa, ou.mobileprovision). L’utilisateur peut également faire glisser le
fichier sur l’icône de l’application iTunes.
2. Connectez un appareil à l’ordinateur puis sélectionnez-le dans la liste Appareils
dans iTunes.
3. Cliquez sur l’onglet Apps, puis sélectionnez l’app dans la liste.
4. Cliquez sur Appliquer.
Si les ordinateurs de vos utilisateurs sont gérés, vous pouvez, au lieu de demander
aux utilisateurs d’ajouter les fichiers à iTunes, déployer les fichiers sur leurs
ordinateurs et leur demander de synchroniser leurs appareils. iTunes installe
automatiquement les fichiers trouvés dans les dossiers Mobile Applications et Provisioning Profiles d’iTunes.
Installation d’apps à l’aide d’Apple Configurator
Apple Configurator, application gratuite pour OS X disponible au téléchargement
sur le Mac App Store, peut être utilisé par les administrateurs informatiques pour
installer des apps développées en interne ou des apps de l’App Store.
Pour les apps payantes de l’App Store, commencez par importer dans Apple
Configurator une feuille de calcul comportant les codes de téléchargement du
Programme d’achats en volume. Le nombre de codes de téléchargement dont vous
disposez correspond au nombre d’appareils sur lesquels vous pouvez installer une
app achetée. À chaque fois que vous installez une app sur un appareil, Apple
Configurator marque le code correspondant comme ayant été utilisé, afin que le
même code ne puisse pas être réutilisé. Les apps gratuites de l’App Store et les
apps d’entreprise développées en interne peuvent être importées directement
dans Apple Configurator et installées sur le nombre d’appareils de votre choix.
Pour plus d’informations, reportez-vous à l’article Apple Configurator : utilisation
des codes de téléchargement du programme d’achat en volume (VPP).
Installation d’apps à l’aide d’une solution MDM
Un serveur MDM peut gérer des apps tierces de l’App Store ainsi que des apps
d’entreprise développées en interne. Les apps installées à l’aide d’une solution
MDM sont appelées « apps gérées ». Le serveur MDM peut spécifier si les apps
gérées et leurs données restent ou non sur l’appareil lorsqu’un utilisateur se
désinscrit de la MDM. De plus, le serveur peut empêcher les données de l’app gérée
d’être sauvegardées dans iTunes et iCloud. Cela permet aux équipes informatiques
de gérer les apps susceptibles de contenir des informations métier sensibles de
façon plus contrôlée que les apps téléchargées directement par l’utilisateur.
Afin d’installer une app gérée, le serveur MDM envoie une commande d’installation
à l’appareil. Sur les appareils non supervisés, les apps gérées nécessitent
l’acceptation de l’utilisateur avant d’être installées.
Avec iOS 7, les apps gérées bénéficient de contrôles supplémentaires. Les
connexions VPN peuvent désormais être spécifiées au niveau de l’app, ce qui
signifie que seul le trafic réseau lié à cette app transitera par le tunnel VPN protégé.
Ce mécanisme permet de garantir que les données privées restent privées, et que
les données publiques ne peuvent pas interférer avec elles.
34
Les apps gérées prennent aussi en charge la fonction de gestion des autorisations
d’ouverture dans iOS 7. Cela signifie que les apps gérées peuvent être restreintes dans leur capacité à transférer des données depuis ou vers les apps personnelles de
l’utilisateur, ce qui permet à l’entreprise de s’assurer que les données sensibles restent
là où elles doivent être.
Caching Server
iOS permet aux utilisateurs d’accéder facilement à des contenus numériques et de
les consommer. Certains utilisateurs peuvent demander de nombreux gigaoctets
d’apps, de livres et de mises à jour logicielles lorsqu’ils sont connectés au réseau
sans fil d’une organisation. La demande de ces ressources arrive par vagues,
d’abord avec le déploiement initial des appareils, puis de manière sporadique, à mesure que les utilisateurs découvrent de nouveaux contenus, ou au gré de
l’actualisation des contenus. Ces téléchargements de contenus peuvent se traduire par des pics de demande de bande passante Internet.
La fonctionnalité Caching Server intégrée à OS X Server réduit la bande passante
Internet sortante sur les réseaux privés (RFC1918) en stockant en cache des copies
des contenus demandés sur le réseau local. Les réseaux de plus grande envergure
bénéficieront de la mise en place de plusieurs serveurs Caching Server. Pour de
nombreux déploiements, la configuration de Caching Server revient tout
simplement à activer le service. Un environnement NAT (traduction d’adresses
réseau) est requis pour le serveur et tous les appareils qui utilisent ce dernier.
Pour plus d’informations, reportez-vous à l’article OS X Server: Advanced
Administration.
Les appareils iOS exécutant iOS 7 contacteront automatiquement un serveur
Caching Server à proximité sans configuration supplémentaire des appareils. Voici la façon dont le flux de production Caching Server se comporte de façon
transparente vis-à-vis de l’appareil iOS :
1. Lorsqu’un appareil iOS sur un réseau comprenant un ou plusieurs serveurs de
mise en cache demande du contenu auprès de l’iTunes Store ou du serveur Mise
à jour de logiciels, l’appareil iOS est envoyé vers un serveur de mise en cache.
2. Le serveur de mise en cache (Caching Server) va d’abord vérifier qu’il dispose
bien du contenu requis dans son cache local. Si c’est le cas, il commencera
immédiatement à transférer le contenu à l’appareil iOS.
3. Si le serveur de mise en cache ne dispose pas des ressources demandées, il
essaie de télécharger le contenu depuis une autre source. Caching Server 2 pour OS X Mavericks inclut une fonctionnalité de réplication pair à pair qui peut exploiter d’autres serveurs Caching Server du réseau, si ceux-ci ont déjà
téléchargé le contenu requis.
4. Dès que le serveur de mise en cache reçoit les données de téléchargement, il les relaie immédiatement à tout client les ayant demandées et en met
simultanément une copie en cache.
Les types de contenus en cache suivants sont pris en charge par iOS 7 :
• Mises à jour logicielles iOS
• Apps de l’App Store
• Mises à jour de l’App Store
• Livres de l’iBooks Store
iTunes prend également en charge Caching Server 2. Les types de contenus
suivants sont pris en charge par iTunes 11.0.4 ou version ultérieure (pour Mac et Windows) :
• Apps de l’App Store
• Mises à jour de l’App Store
• Livres de l’iBooks Store
35
Annexe A : Infrastructure Wi-Fi
Lors de la préparation de l’infrastructure Wi-Fi pour un déploiement iOS, plusieurs
facteurs doivent être pris en compte :
• Zone de couverture souhaitée
• Nombre et densité d’appareils exploitant le réseau Wi-Fi
• Types d’appareils et leurs fonctionnalités Wi-Fi
• Type et quantité de données transmises
• Mesures de sécurité pour accéder au réseau sans fil
• Exigences de chiffrement
Bien que cette liste ne soit pas exhaustive, elle inclut les principaux critères de conception de réseaux Wi-Fi.
Rappel : ce chapitre aborde l’architecture de réseaux Wi-Fi aux États-Unis. Certains aspects ne sont pas forcément applicables à d’autres pays.
Planification de la couverture et de la densité
Bien qu’il soit essentiel de fournir une couverture Wi-Fi dans le lieu où les appareils
iOS seront utilisés, il est tout aussi important de prévoir la concentration d’appareils
dans une zone donnée.
La plupart des points d’accès de qualité professionnelle sont capables de gérer
jusqu’à 50 clients Wi-Fi, même si la qualité de service laisserait sans doute à désirer
si un tel nombre d’appareils était associé à un seul point d’accès. L’expérience
utilisateur sur chaque appareil dépend de la bande passante disponible sur le canal
utilisé et du nombre d’appareils qui partagent l’intégralité de la bande passante.
Plus le nombre d’appareils utilisant un point d’accès donné augmente, plus la
vitesse réseau relative diminue. Lorsque vous concevez votre réseau Wi-Fi, essayez
de prendre en compte l’usage anticipé qu’en feront les appareils iOS.
2,4 GHz ou 5 GHz
Aux États-Unis, 11 canaux sont disponibles sur les réseaux Wi-Fi à 2,4 GHz. Toutefois,
en raison des interférences, seuls les canaux 1, 6 et 11 doivent être utilisés dans la
conception d’un réseau.
Les signaux à 5 GHz ne pénètrent pas les murs et autres obstacles aussi
efficacement que les signaux à 2,4 GHz, ce qui se traduit par des zones de
couverture plus réduites. Dès lors, les réseaux à 5 GHz sont à privilégier si vous
prévoyez une densité élevée d’appareils dans un espace restreint, comme une salle
de classe. Le nombre de canaux disponibles dans la bande des 5 GHz varie d’un
fournisseur de points d’accès à l’autre et d’un pays à l’autre, mais au moins huit
canaux seront toujours disponibles.
Les canaux à 5 GHz ne se chevauchent pas, ce qui est considérablement moins
contraignant que la limite de trois canaux qui ne se chevauchent pas sur la bande
des 2,4 GHz. Lorsque vous concevez un réseau Wi-Fi pour une densité importante
d’appareils iOS, les canaux supplémentaires de la bande des 5 GHz deviennent un
point stratégique.
!
36
Prise en compte de la couverture
L’agencement physique du bâtiment peut avoir un impact sur la conception de votre
réseau Wi-Fi. Par exemple, dans le cas d’une entreprise, les utilisateurs assisteront
souvent à des réunions avec d’autres employés dans des salles de conférence ou des
bureaux. Ils seront ainsi amenés à se déplacer au sein du bâtiment tout au long de la
journée. Dans ce scénario, l’essentiel des accès réseau provient de la consultation des
e-mails, de la gestion des calendriers et de la navigation sur Internet, si bien que la
couverture Wi-Fi est la principale priorité. L’architecture du réseau Wi-Fi pourra
intégrer deux ou trois points d’accès par étage pour couvrir les bureaux, ainsi qu’un
point d’accès par salle de réunion.
Prise en compte de la densité
Comparez le scénario précédent avec un lycée accueillant 1 000 élèves et
30 enseignants dans un bâtiment de deux étages. Chaque élève reçoit un iPad et
chaque enseignant reçoit un MacBook Air et un iPad. Il y a environ 35 élèves par
classe. Les salles de classe se jouxtent. Tout au long de la journée, les élèves font des
recherches sur Internet, regardent des vidéos dans le cadre des cours et échangent
des fichiers avec un serveur de fichiers sur le réseau local.
La conception du réseau Wi-Fi dans un tel scénario est plus complexe en raison de la forte densité d’appareils. Comme chaque classe accueille environ 35 élèves,
un point d’accès par classe pourra être déployé. Plusieurs points d’accès risquent
d’être nécessaires dans les espaces partagés pour fournir une couverture adéquate.
Le nombre précis de points d’accès à déployer dans ces espaces partagés dépend
de la densité des appareils Wi-Fi.
Si les appareils ne prenant en charge que les normes 802.11b ou 802.11g doivent
s’intégrer au réseau, l’une des options consiste à activer le 802.11b/g si des points
d’accès bibandes sont déployés. Vous pouvez également créer un réseau
(identifiant SSID distinct) qui exploite le 802.11n à 5 GHz pour les appareils les plus
récents et un deuxième réseau qui exploite la bande de 2,4 GHz pour les appareils
compatibles 802.11b et 802.11g. Veillez toutefois à ne pas créer trop de SSID.
Il convient par ailleurs d’éviter les SSID masqués dans le cadre de ces deux
scénarios. En effet, il est plus compliqué pour un appareil Wi-Fi de se reconnecter à
un SSID masqué qu’à un SSID public. Qui plus est, les avantages des SSID masqués
en matière de sécurité sont insignifiants. Les utilisateurs ont tendance à se déplacer
tout le temps avec leurs appareils iOS. Les SSID masqués peuvent rallonger les
délais d’association au réseau.
Normes Wi-Fi exploitées par les produits Apple
La prise en charge par les produits Apple des différentes spécifications Wi-Fi est détaillée dans la liste ci-dessous, qui comprend les informations suivantes :
• Compatibilité 802.11. 802.11b/g, 802.11a, 802.11n
• Bande de fréquences. 2,4 GHz ou 5 GHz
• Index MCS. L’index MCS (Modulation and Coding Scheme, schéma du codage et
de la modulation) définit le taux de transmission maximum auquel les appareils
802.11n peuvent communiquer.
• Agrégation de liens. HD20 ou HD40
!
37
• Intervalle de garde (GI). L’intervalle de garde correspond à l’espace (temporel)
entre la transmission de symboles d’un appareil vers un autre. La norme 802.11n
spécifie un intervalle de garde court de 400 ns qui permet d’accélérer le débit
d’ensemble, mais les appareils peuvent utiliser un intervalle plus long de 800 ns.
iPhone 5s
802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HT40 / GI 400 ns
iPhone 5c
802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HT40 / GI 400 ns
iPhone 5
802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HD40 / GI 400 ns
iPhone 4s
802.11n à 2,4 GHz 802.11/b/g Index MCS 7 / HD20 / GI 800 ns
iPhone 4
iPad Air et iPad mini avec écran Retina
802.11n à 2,4 GHz et 5 GHz
802.11 a/b/g
Index MCS 15 / HT40 / GI 400 ns
iPad (4e génération) et iPad mini
iPad (1re, 2e et 3e générations)
iPod touch (5e génération)
iPod touch (4e génération)
!
38
Annexe B : Restrictions
iOS prend en charge les règles et restrictions suivantes qui, toutes, peuvent être
configurées pour répondre aux besoins de votre organisation.
Fonctionnalité des appareils
• Autoriser l’installation d’apps
• Autoriser Siri
• Autoriser Siri lorsque l’appareil est verrouillé
• Autoriser l’utilisation de l’appareil photo
• Autoriser FaceTime
• Autoriser les captures d’écran
• Autoriser la synchronisation automatique en itinérance
• Autoriser la synchronisation des messages Mail récents
• Autoriser la composition vocale
• Autoriser les achats intégrés
• Exiger le mot de passe du Store pour tous les achats
• Autoriser les jeux multijoueurs
• Autoriser l’ajout d’amis Game Center
• Définir les classements de contenus autorisés
• Autoriser Touch ID
• Autoriser l’accès au Centre de contrôle depuis l’écran de verrouillage
• Autoriser l’accès au Centre de notifications depuis l’écran de verrouillage
• Autoriser l’accès à la vue Aujourd’hui depuis l’écran de verrouillage
• Autoriser les notifications Passbook sur l’écran de verrouillage
Applications
• Autoriser l’utilisation de l’iTunes Store
• Autoriser l’utilisation de Safari
• Définir les préférences de sécurité de Safari
iCloud
• Autoriser la sauvegarde
• Autoriser la synchronisation des documents et des trousseaux
• Autoriser Mon flux de photos
• Autoriser le partage de photos iCloud
!
39
Sécurité et confidentialité
• Autoriser l’envoi des données de diagnostic à Apple
• Autoriser l’utilisateur à accepter des certificats non fiables
• Forcer les copies de sauvegarde chiffrées
• Autoriser l’ouverture d’éléments issus d’une app non gérée dans des apps gérées
• Autoriser l’ouverture d’éléments issus d’une app gérée dans des apps non gérées
• Exiger un code lors du premier jumelage d’AirPlay
• Autoriser les mises à jour à distance de l’infrastructure à clé publique (PKI)
• Exiger la limite du suivi publicitaire
Restrictions en mode supervisé uniquement
• Mode app individuelle uniquement
• Réglages d’accessibilité
• Autoriser iMessage
• Autoriser Game Center
• Autoriser la suppression des apps
• Autoriser l’iBooks Store
• Autoriser la littérature érotique de l’iBooks Store
• Activer le filtre antigrossièretés de Siri
• Autoriser l’installation manuelle des profils de configuration
• Proxy réseau mondial pour HTTP
• Autoriser le jumelage avec les ordinateurs pour la synchronisation du contenu
• Restreindre les connexions AirPlay grâce à une liste blanche et à des codes de
connexion facultatifs
• Autoriser AirDrop
• Autoriser la modification des comptes
• Autoriser la modification des réglages de données cellulaires
• Autoriser Localiser mes amis
• Autoriser le jumelage d’appareils hôtes (iTunes)
• Autoriser le verrouillage d’activation
!
!
40
Annexe C : Installation sans fil d’apps
développées en interne
iOS prend en charge l’installation à distance d’apps personnalisées développées en
interne sans le recours à iTunes ou à l’App Store.
Conditions requises :
• Un serveur web sécurisé accessible par les utilisateurs authentifiés
• Une app iOS au format .ipa, conçue pour une version/version finale avec un profil
d’approvisionnement d’entreprise
• Un fichier manifeste XML, décrit dans cette annexe
• Une configuration réseau permettant aux appareils d’accéder à un serveur iTunes Apple
L’installation de l’app est simple. Les utilisateurs téléchargent sur leur appareil iOS
le fichier manifeste à partir de votre site web. Le fichier manifeste demande à
l’appareil de télécharger et d’installer les apps qui y sont référencées.
Vous pouvez distribuer l’URL de téléchargement du fichier manifeste par SMS ou
par e-mail ou en l’intégrant dans une autre app d’entreprise que vous avez créée.
Vous pouvez concevoir et héberger comme vous l’entendez le site web utilisé pour
distribuer les apps. Assurez-vous que les utilisateurs sont authentifiés, par exemple
en utilisant une authentification de base ou par répertoire, et que le site web est
accessible via votre intranet ou Internet. Vous pouvez placer l’app et le fichier
manifeste dans un répertoire masqué ou dans tout autre emplacement lisible par HTTP ou HTTPS.
Si vous créez un portail en libre-service, envisagez d’ajouter un Web Clip à l’écran
d’accueil de l’utilisateur afin de diriger facilement ce dernier vers le portail, où il
pourra trouver des informations sur le futur déploiement, comme les nouveaux
profils de configuration, les apps de l’App Store recommandées et les modalités
d’inscription à une solution de gestion des appareils mobiles.
Préparation d’une app développée en interne en vue d’une distribution
sans fil
Pour préparer votre app développée en interne en vue d’une distribution sans fil,
créez une version archivée (un fichier .ipa) et un fichier manifeste permettant la
distribution et l’installation sans fil de l’app.
Xcode sert à créer une archive d’app. Signez l’app à l’aide de votre certificat de
distribution et joignez votre profil d’approvisionnement de développement
d’entreprise à l’archive. Pour plus d’informations sur la construction et l’archivage
d’apps, consultez le site iOS Dev Center ou reportez-vous au Guide de l’utilisateur
Xcode (Xcode User Guide), disponible dans le menu Help de Xcode.
À propos du fichier manifeste sans fil
Le fichier manifeste est un fichier plist XML. Il est utilisé par un appareil iOS pour
trouver, télécharger et installer des apps à partir de votre serveur web. Le fichier
manifeste est créé par Xcode en utilisant des informations que vous fournissez
lorsque vous partagez une app archivée pour une distribution en entreprise.
Reportez-vous à la section précédente sur la préparation des apps en vue de leur distribution. 41
Les champs suivants sont obligatoires :
Élément
Description
URL
L’URL HTTPS complète du fichier de l’app (.ipa).
display-image
Une image PNG de 57 x 57 pixels qui est
affichée pendant le téléchargement et
l’installation. Indiquez l’URL complète de l’image.
full-size-image
Une image PNG de 512 x 512 pixels qui
représente l’app dans iTunes.
bundle-identifier
L’identifiant de bundle de votre app,
exactement tel qu’indiqué dans votre projet Xcode.
bundle-version
La version de bundle de votre app, telle
qu’indiquée dans votre projet Xcode.
title
Le nom de l’app, qui est affiché pendant le téléchargement et l’installation.
!
Pour les apps de Kiosque uniquement, les champs suivants sont obligatoires :
Élément
Description
newsstand-image
Une image taille réelle au format PNG pour l’affichage sur l’étagère de Kiosque.
UINewsstandBindingEdge
UINewsstandBindingType
Ces clés doivent correspondre à celles
contenues dans le fichier info.plist de l’app Kiosque.
UINewsstandApp
Indique que l’app est une app Kiosque.
Les clés facultatives que vous pouvez utiliser sont indiquées dans le fichier
manifeste d’exemple. Par exemple, vous pouvez utiliser les clés MD5 si votre fichier
d’app est volumineux et que vous souhaitez assurer une intégrité de téléchargement
supérieure à la correction d’erreur normalement effectuée pour une
communication TCP.
Vous pouvez installer plusieurs apps avec un unique fichier manifeste, en spécifiant
les membres supplémentaires de la table d’éléments.
Un exemple de fichier manifeste figure à la fin de cette annexe.
Construction de votre site web
Téléchargez les éléments suivants vers une zone de votre site web à laquelle peuvent accéder vos utilisateurs authentifiés :
• Le fichier d’app (.ipa)
• Le fichier manifeste (.plist)
L’apparence de votre site web peut être une simple page web contenant un lien
vers le fichier manifeste. Lorsqu’un utilisateur touche le lien web, le fichier
manifeste est téléchargé, ce qui déclenche le téléchargement et l’installation des
apps qu’il décrit.
Voici un exemple de lien : <a href=”itms-services://?action=downloadmanifest&url=http://exemple.com/manifest.plist”>Installer l’app</a>
42
N’ajoutez pas de lien web vers l’app archivée (.ipa). Le fichier .ipa est téléchargé par l’appareil lors du chargement du fichier manifeste. Bien que la portion de l’URL
correspondant au protocole soit itms-services, l’iTunes Store n’est pas impliqué
dans ce processus.
Vérifiez également que votre fichier .ipa est accessible via HTTPS et que votre site est signé à l’aide d’un certificat approuvé par iOS. L’installation échouera si un
certificat auto-signé ne dispose pas d’une ancre de confiance et ne peut pas être
validé par l’appareil iOS.
Configuration des types MIME du serveur
Il peut être nécessaire de configurer votre serveur web de sorte que le fichier
manifeste et le fichier d’app soient transmis correctement.
Pour OS X Server, ajoutez les types MIME suivants aux réglages Types MIME du service web :
application/octet-stream ipa text/xml plist
Pour IIS, utilisez IIS Manager pour ajouter le type MIME dans la page de propriétés
du serveur :
.ipa application/octet-stream .plist text/xml
Résolution des problèmes liés à la distribution d’apps sans fil
Si la distribution d’apps sans fil échoue avec un message d’impossibilité de
téléchargement, vérifiez les points suivants :
• Assurez-vous que l’app est correctement signée. Testez-la en l’installant sur un
appareil à l’aide d’Apple Configurator, et voyez si des erreurs se produisent.
• Assurez-vous que le lien vers le fichier manifeste est correct et que le fichier
manifeste est accessible aux utilisateurs web.
• Assurez-vous que l’URL du fichier .ipa (dans le fichier manifeste) est correcte et
que le fichier .ipa est accessible aux utilisateurs web via HTTPS.
Configuration réseau requise
Si les appareils sont connectés à un réseau interne fermé, il est conseillé d’autoriser
les appareils iOS à accéder aux éléments suivants :
URL
Raison
ax.init.itunes.apple.com
L’appareil obtient la limite de taille de fichier
actuelle pour le téléchargement d’apps sur le
réseau cellulaire. Si ce site n’est pas joignable,
l’installation peut échouer.
ocsp.apple.com
L’appareil se connecte à ce site afin de consulter
l’état du certificat de distribution utilisé pour signer
le profil d’approvisionnement. Consultez la section
« Validation de certificat », plus bas.
Mise à disposition d’apps mises à jour
Les apps que vous distribuez vous-même ne sont pas mises à jour
automatiquement. Lorsque vous avez une nouvelle version qui doit être installée
par les utilisateurs, avertissez-les de la mise à jour et expliquez-leur comment
installer l’app. Il est souhaitable que l’app recherche les mises à jour et informe
l’utilisateur à son ouverture. Si vous avez recours à la distribution d’apps sans fil, la
notification peut fournir un lien vers le fichier manifeste de l’app mise à jour.
!
43
Si vous souhaitez que les utilisateurs conservent les données de l’app stockées sur leur appareil, assurez-vous que la nouvelle version utilise la même clé pour
bundle-identifier que celle qu’elle remplace et demandez aux utilisateurs de ne pas supprimer l’ancienne version avant d’installer la nouvelle. La nouvelle version
remplace l’ancienne et conserve les données stockées sur l’appareil si les valeurs
bundle-identifier correspondent.
Les profils d’approvisionnement de distribution expirent 12 mois après leur date d’émission. Après la date d’expiration, le profil est supprimé et l’app ne se
lancera plus.
Avant qu’un profil d’approvisionnement n’arrive à expiration, utilisez le portail de
développement iOS pour créer un nouveau profil pour l’app. Créez une nouvelle
archive d’app (.ipa) à l’aide du nouveau profil d’approvisionnement, pour les
utilisateurs qui installent l’app pour la première fois.
Pour les utilisateurs ayant déjà installé l’app, vous souhaitez peut-être planifier la
sortie de votre prochaine version de façon à ce qu’elle comprenne le nouveau
profil d’approvisionnement. Si ce n’est pas le cas, vous pouvez simplement
distribuer le fichier .mobileprovision, pour que les utilisateurs n’aient pas à
réinstaller l’app. Le nouveau profil d’approvisionnement écrasera celui qui se trouve
dans l’archive de l’app.
Les profils d’approvisionnement peuvent être installés et gérés à l’aide d’une
solution MDM, téléchargés et installés par les utilisateurs à partir d’un site web
sécurisé que vous fournissez, ou distribués à ces derniers sous forme de pièce
jointe à un e-mail à ouvrir et installer.
Une fois que votre certificat de distribution aura expiré, l’app ne s’ouvrira plus. Votre certificat de distribution est valide pour une durée de 3 ans à partir de sa
date d’émission, ou jusqu’à l’expiration de votre adhésion au programme
Developer Enterprise, selon la date qui arrive en premier Pour éviter l’expiration
prématurée de votre certificat, assurez-vous de renouveler votre adhésion avant
qu’elle n’expire. Pour en savoir plus sur la vérification du certificat de distribution,
consultez la section « Validation de certificat » ci-dessous.
Vous pouvez disposer de deux certificats de distribution actifs simultanément,
chacun étant indépendant de l’autre. Le second certificat permet de mettre à jour les apps avant que le premier certificat n’expire. Lors de la demande de votre second certificat de distribution auprès du centre de développement iOS,
assurez-vous de ne pas révoquer le premier certificat.
Validation de certificat
La première fois qu’un utilisateur ouvre une app sur un appareil, le certificat de
distribution est validé en contactant le serveur OCSP d’Apple. À moins que le
certificat ne soit révoqué, l’exécution de l’app est autorisée. L’impossibilité de
contacter le serveur OCSP ou d’obtenir une réponse de celui-ci n’est pas considérée
comme une révocation. Pour vérifier le statut, l’appareil doit être en mesure
d’accéder à ocsp.apple.com. Consultez la section « Configuration réseau requise »,
plus haut dans cette annexe.
La réponse OCSP est mise en cache sur l’appareil pendant une période indiquée
par le serveur OCSP, à l’heure actuelle, entre trois et sept jours. La validité du
certificat n’est pas vérifiée à nouveau tant que l’appareil n’a pas redémarré et que la réponse mise en cache n’a pas expiré.
Si une révocation est reçue à ce moment-là, l’exécution de l’app est interdite.
La révocation d’un certificat de distribution invalide toutes les apps que vous avez signées à l’aide de ce dernier. Ne révoquez un certificat qu’en dernier recours :
en cas de perte de la clé privée ou de suspicion de compromission du certificat.
!
44
Exemple de fichier manifeste d’app
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/
DTDs/PropertyList-1.0.dtd”> <plist version=”1.0”> <dict>  <key>items</key> <array> <dict>  <key>assets</key> <array>  <dict>  <key>kind</key> <string>software-package</string>  <key>md5-size</key> <integer>10485760</integer>  <key>md5s</key> <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba</string> <string>51fa64bb7a7cae5a46bfb45821ac8bba</string> </array>  <key>url</key> <string>http://www.example.com/apps/foo.ipa</string> </dict>  <dict> <key>kind</key> <string>display-image</string>  <key>needs-shine</key> <true/> <key>url</key> <string>http://www.example.com/image.57x57.png</string> </dict>  <dict> <key>kind</key> <string>full-size-image</string>  <key>md5</key> <string>61fa64bb7a7cae5a46bfb45821ac8bba</string> <key>needs-shine</key> <true/> <key>url</key><string>http://www.example.com/image.512x512.jpg</string>
</dict> </array><key>metadata</key> <dict>  <key>bundle-identifier</key> <string>com.example.fooapp</string>  <key>bundle-version</key> 45
!
<string>1.0</string>  <key>kind</key> <string>software</string>  <key>subtitle</key> <string>Apple</string>  <key>title</key> <string>Exemple d’app d’entreprise</string> </dict> </dict> </array> </dict> </plist>
!
1Des
frais de données standard de l’opérateur peuvent s’appliquer. Les messages peuvent être envoyés comme SMS
quand iMessage n’est pas disponible ; des frais de messagerie de l’opérateur s’appliquent. 2Les appels FaceTime
nécessitent un appareil compatible FaceTime pour l’appelant et l’appelé et une connexion Wi-Fi. FaceTime sur réseau
cellulaire nécessite un iPhone 4s (ou ultérieur), un iPad avec écran Retina ou un iPad mini avec capacité de connexion aux données cellulaires. La disponibilité sur réseau cellulaire dépend de la politique des opérateurs. Des frais de données
peuvent s’appliquer. 3Siri n’est pas disponible dans toutes les langues ni dans tous les pays, et les fonctionnalités
proposées peuvent varier en fonction des zones géographiques. Accès à Internet requis. Des frais de transfert de données
cellulaires peuvent s’appliquer. 4Certaines fonctionnalités nécessitent une connexion Wi-Fi. Certaines fonctionnalités ne
sont pas disponibles dans tous les pays. L’accès à certains services est limité à 10 appareils.
© 2014 Apple Inc. Tous droits réservés. Apple, le logo Apple, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage,
iPad, iPhone, iPod touch, iTunes, Keychain, Keynote, Mac, le logo Mac, MacBook Air, OS X, Pages, Passbook, Retina, Safari,
Siri et Xcode sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. AirPrint, iPad Air et iPad mini
sont des marques d’Apple Inc. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et
dans d’autres pays. App Store et iBooks Store sont des marques de service d’Apple Inc. IOS est une marque commerciale
ou déposée de Cisco aux États-Unis et dans d’autres pays, utilisée sous licence. Les autres noms de produits et de sociétés
mentionnés dans ce document appartiennent à leurs propriétaires respectifs.
46

iOS Deployment Tech Ref Guide DE May14_FR.pages

Transcription

Documents pareils

Communiqué de presse BelgiumApps, la nouvelle référence belge

Game Developer

DEVELOPPEMENT D`APPLICATION POUR MOBILE / TARIFS

Le Musée d`Orsay dans votre téléphone oMusée pour tout savoir sur

Téléchargez le CV

Quelques usages des Apps de Learning Apps

RAPHAËL WACH Ingénieur expert des technologies mobiles Apple

Présentation PowerPoint