iOS Deployment Tech Ref Guide DE May14_FR.pages
Transcription
iOS Deployment Tech Ref Guide DE May14_FR.pages
! Déploiement d’iOS Référence technique pour ! iOS ! 7.1 !! Mai 2014 ! Guide de référence technique pour le déploiement d’iOS !! !! !! ! Contenu Page 3 Introduction Page 4 Chapitre 1 : Intégration Page 4 Microsoft Exchange Page 6 Services basés sur des standards Page 6 Wi-Fi Page 7 Réseaux privés virtuels Page 13 Connexion VPN via l’app Page 14 Authentification par signature unique (SSO) Page 14 Certificats numériques Page 16 Bonjour Page 17 Chapitre 2 : Sécurité Page 17 Sécurité des appareils Page 19 Chiffrement et protection des données Page 21 Sécurité du réseau Page 22 Sécurité des apps Page 23 Services Internet Page 25 Chapitre 3 : Configuration et gestion Page 25 Configuration et activation des appareils Page 26 Profils de configuration Page 26 Gestion des appareils mobiles (MDM) Page 29 Appareils supervisés Page 30 Chapitre 4 : Distribution des apps Page 30 Programme d’achats en volume Page 32 Apps B2B personnalisées Page 32 Apps internes Page 33 Déploiement d’apps Page 35 Caching Server Page 36 Annexe A : Infrastructure Wi-Fi Page 39 Annexe B : Restrictions Page 41 Annexe C : Installation sans fil d’apps développées en interne 2 Guide de référence technique pour le déploiement d’iOS Introduction ! Ce guide s’adresse aux administrateurs informatiques qui souhaitent accueillir des appareils iOS sur leurs réseaux. Il fournit des informations sur le déploiement et la prise en charge des iPhone, iPad et iPod touch dans une organisation d’envergure telle qu’une entreprise ou un établissement d’enseignement. Il explique la façon dont les appareils iOS offrent une sécurité complète, s’intègrent à votre infrastructure existante et fournissent de puissants outils pour le déploiement. En comprenant les principales technologies intégrées à iOS, vous pourrez mettre en œuvre une stratégie de déploiement qui offrira à vos utilisateurs une expérience optimale. Les chapitres suivants vous serviront de référence technique lorsque vous déploierez des appareils iOS dans votre établissement : Intégration. Les appareils iOS intègrent la prise en charge d’une large gamme d’infrastructures réseau. Dans cette section, vous découvrirez les technologies prises en charge par iOS et les bonnes pratiques à mettre en œuvre pour l’intégration à Microsoft Exchange, les réseaux Wi-Fi, les VPN et d’autres services standard. Sécurité. iOS est conçu pour permettre un accès sécurisé aux services d’entreprise et pour protéger les données importantes. iOS propose un chiffrement hautement sécurisé des données transmises, des méthodes d’authentification éprouvées pour l’accès aux services d’entreprise et le chiffrement matériel de toutes les données stockées sur l’appareil. Lisez ce chapitre pour en savoir plus sur les fonctionnalités d’iOS relatives à la sécurité. Configuration et gestion. iOS prend en charge des outils et technologies avancés afin qu’il soit facile de préparer les appareils iOS, de les configurer pour répondre à vos exigences et de les gérer dans un environnement à grande échelle. Ce chapitre décrit les différents outils disponibles pour le déploiement et propose une présentation de la gestion des appareils mobiles (MDM). Distribution d’apps. Il existe plusieurs façons de déployer des apps et du contenu au sein de votre entreprise. Des programmes Apple, tels que le Programme d’achats en volume (VPP) et le programme iOS Developer Enterprise, vous permettent d’acheter, de développer et de déployer des apps pour vos utilisateurs. Reportez-vous à ce chapitre pour bien comprendre la portée de ces programmes et découvrir comment déployer des apps achetées ou développées en vue d’un usage en interne. Les annexes suivantes fournissent des détails et des exigences techniques complémentaires : Infrastructure Wi-Fi. Détails concernant les standards Wi-Fi pris en charge par iOS et éléments à prendre en considération pour la mise en place d’un réseau Wi-Fi d’envergure. Restrictions. Détails sur les restrictions pouvant être appliquées à la configuration des appareils iOS pour répondre à vos exigences en matière de sécurité et de code d’accès, entre autres. Installation sans fil d’apps développées en interne. Détails et exigences pour la distribution des apps développées en interne à partir de votre propre portail web. Ressources supplémentaires Pour trouver des informations utiles à ce sujet, consultez les sites web suivants : www.apple.com/ipad/business/it http://www.apple.com/iphone/business/it/ www.apple.com/fr/education/it 3 Guide de référence technique pour le déploiement d’iOS Chapitre 1 : Intégration Les appareils iOS intègrent la prise en charge d’une large gamme d’infrastructures réseau. Ils prennent en charge les éléments suivants : • Des systèmes tiers très répandus, comme Microsoft Exchange • L’intégration aux services de messagerie, d’annuaires et de calendrier standard et à d’autres systèmes • Les protocoles Wi-Fi standard pour la transmission et le chiffrement des données • Les réseaux privés virtuels (VPN), y compris les connexions VPN via l’app • L’authentification par signature unique (SSO) pour simplifier l’authentification auprès des apps et services en réseau • Les certificats numériques pour authentifier les utilisateurs et sécuriser les communications Comme cette prise en charge est intégrée à iOS, votre service informatique ne doit configurer que quelques réglages pour intégrer les appareils iOS à votre infrastructure existante. Lisez la suite pour découvrir les technologies prises en charge par iOS et les bonnes pratiques pour l’intégration. Microsoft Exchange iOS peut communiquer directement avec votre serveur Microsoft Exchange via Microsoft Exchange ActiveSync (EAS), autorisant la transmission en mode « push » du courrier électronique, des calendriers, des contacts, des notes et des tâches. Exchange ActiveSync fournit également aux utilisateurs l’accès à la Liste d’adresses globale (GAL) et aux administrateurs des capacités de mise en œuvre de règles de codes d’appareil et d’effacement à distance. iOS prend en charge l’authentification tant de base que par certificat pour Exchange ActiveSync. Si Exchange ActiveSync est déjà activé dans votre entreprise, celle-ci dispose déjà des services nécessaires pour prendre en charge iOS. Aucune configuration supplémentaire n’est requise. Conditions requises Les appareils dotés d’iOS 7 ou d’une version ultérieure prennent en charge les versions suivantes de Microsoft Exchange : • Exchange Server 2003 SP 2 (EAS 2.5) • Exchange Server 2007 (avec EAS 2.5) • Exchange Server 2007 SP 1 (EAS 12.1) • Exchange Server 2007 SP 2 (EAS 12.1) • Exchange Server 2007 SP 3 (EAS 12.1) • Exchange Server 2010 (EAS 14.0) • Exchange Server 2010 SP 1 (EAS 14.1) • Exchange Server 2010 SP 2 (avec EAS 14.1) • Exchange Server 2013 (avec EAS 14.1) • Office 365 (avec EAS 14.1) Microsoft Direct Push Exchange Server livre automatiquement les e-mails, les tâches, les contacts et les événements de calendrier aux appareils iOS si une connexion de données cellulaire ou Wi-Fi est disponible. L’iPod touch et certains modèles d’iPad ne disposent pas d’une connexion cellulaire. Ils ne reçoivent donc les notifications push que lorsqu’ils sont connectés à un réseau Wi-Fi. 4 Guide de référence technique pour le déploiement d’iOS Découverte automatique Microsoft Exchange iOS prend en charge le service de découverte automatique de Microsoft Exchange Server 2007 et Microsoft Exchange Server 2010. Lorsque vous configurez manuellement un appareil, le service de découverte automatique utilise votre adresse électronique et votre mot de passe pour déterminer automatiquement les informations Exchange Server correctes. Pour en savoir plus sur l’activation du service de découverte automatique, consultez la page Service de découverte automatique. Liste d’adresses globale de Microsoft Exchange Les appareils iOS extraient les informations de contact de l’annuaire d’entreprise du serveur Exchange de votre entreprise. Vous pouvez accéder à l’annuaire en faisant une recherche dans Contacts, et cet accès se fait automatiquement pour compléter des adresses électroniques lors de la saisie. iOS 6 (ou version ultérieure) prend en charge les photos des listes d’adresses globales (GAL) (nécessite Exchange Server 2010 SP 1 ou version ultérieure). Fonctionnalités ActiveSync Exchange non prises en charge Les fonctionnalités Exchange suivantes ne sont pas prises en charge : • l’ouverture de liens pointant vers des documents stockés sur des serveurs Sharepoint dans des messages électroniques ; • la définition d’un message de réponse automatique d’absence. Identification des versions d’iOS via Exchange Lorsqu’un appareil iOS se connecte à un serveur Exchange, l’appareil indique sa version d’iOS. Le numéro de version est envoyé dans le champ User Agent de l’en-tête de la demande et se présente sous la forme Apple-iPhone2C1/705.018. Le numéro suivant le délimiteur (/) correspond au numéro de build d’iOS, propre à chaque version d’iOS. Pour afficher le numéro de build sur un appareil, accédez à Réglages > Général > Informations. Le numéro de version et le numéro de build sont affichés, par exemple 4.1 (8B117A). Le numéro entre parenthèses correspond au numéro de build. Il identifie la version d’iOS qu’exécute l’appareil. Lorsque le numéro de build est envoyé au serveur Exchange, il est converti du format NANNNA (où N est numérique et A est un caractère alphabétique) au format Exchange NNN.NNN. Les valeurs numériques sont conservées, mais les lettres sont remplacées par leur position dans l’alphabet. Par exemple, un « F » est converti en « 06 », car c’est la sixième lettre de l’alphabet. Au besoin, un préfixe formé de zéros est ajouté pour correspondre au format Exchange. Dans cet exemple, le numéro de build 7E18 est converti en 705.018. Le premier nombre, 7, reste « 7 ». Le caractère E est la cinquième lettre de l’alphabet, et est donc converti en « 05 ». Un point (.) est inséré dans la version convertie comme exigé par le format. Un préfixe zéro est ajouté au nombre suivant, 18, qui est converti en « 018 ». Si le numéro de build se termine par une lettre, par exemple 5H11A, le numéro est converti comme décrit ci-dessus et la valeur numérique du caractère final est ajoutée à la chaîne, avec 3 zéros de séparation. 5H11A devient ainsi 508.01100001. Effacement à distance Vous pouvez effacer à distance le contenu d’un appareil iOS à l’aide des fonctionnalités fournies par Exchange. L’effacement supprime toutes les données et informations de configuration présentes sur l’appareil. Ce dernier est effacé de manière sécurisée et ses réglages d’origine sont restaurés. L’effacement supprime immédiatement la clé de chiffrement des données (chiffrées en AES 256 bits), ce qui rend toutes les données immédiatement irrécupérables. 5 Guide de référence technique pour le déploiement d’iOS Avec Microsoft Exchange Server 2007 ou une version ultérieure, vous pouvez effectuer un effacement à distance avec la console de gestion Exchange, Outlook Web Access ou l’outil Exchange ActiveSync Mobile Administration Web Tool. Avec Microsoft Exchange Server 2003, vous pouvez lancer un effacement à distance à l’aide de l’outil Exchange ActiveSync Mobile Administration Web Tool. Les utilisateurs peuvent également le contenu de leur propre appareil en accédant à Réglages > Général > Réinitialiser, puis en choisissant « Effacer contenu et réglages ». Vous pouvez également configurer les appareils pour qu’ils soient effacés automatiquement après un certain nombre de tentatives infructueuses de saisie du mot de passe. Services basés sur des standards Avec la gestion des protocoles de messagerie IMAP, des services d’annuaire LDAP ainsi que des protocoles de calendrier CalDAV et de contacts CardDAV, iOS peut s’intégrer à la quasi-totalité des environnements standard. Si l’environnement réseau est configuré de manière à exiger l’authentification de l’utilisateur et SSL, iOS offre une approche hautement sécurisée de l’accès aux e-mails, calendriers, tâches et contacts standard de l’entreprise. Avec SSL, iOS prend en charge le chiffrement 128 bits et les certificats racine X.509 publiés par les principales autorités de certification. Dans un déploiement type, les appareils iOS établissent un accès direct aux serveurs de messagerie IMAP et SMTP afin d’envoyer et de recevoir les e-mails à distance (« Over-The-Air ») et ils peuvent également synchroniser sans fil les notes avec les serveurs IMAP. Les appareils iOS peuvent se connecter aux annuaires LDAPv3 de votre société, ce qui permet aux utilisateurs d’accéder aux contacts de l’entreprise dans les applications Mail, Contacts et Messages. La synchronisation avec votre serveur CalDAV permet aux utilisateurs de créer et d’accepter des invitations de calendrier, de recevoir des mises à jour de calendriers et de synchroniser des tâches avec l’app Rappels. Le tout, sans fil. Et la prise en charge de CardDAV permet à vos utilisateurs de synchroniser en permanence un ensemble de contacts avec votre serveur CardDAV à l’aide du format vCard. Tous les serveurs réseau peuvent se trouver au sein d’un sous-réseau de zone démilitarisée, derrière un coupe-feu d’entreprise, ou les deux. Wi-Fi Dès la sortie de l’emballage, les appareils iOS peuvent se connecter en toute sécurité aux réseaux Wi-Fi d’entreprise ou pour invités, ce qui permet aux utilisateurs de détecter facilement les réseaux sans fil disponibles, qu’ils soient à la fac ou en déplacement. Connexion aux réseaux Wi-Fi Les utilisateurs peuvent configurer les appareils iOS pour qu’ils se connectent automatiquement aux réseaux Wi-Fi disponibles. Les réseaux Wi-Fi qui nécessitent une identification ou d’autres informations peuvent être rapidement accessibles sans ouvrir de session de navigation distincte, à partir des réglages Wi-Fi ou au sein d’apps comme Mail. La connectivité Wi-Fi permanente à faible consommation permet aux apps d’utiliser les réseaux Wi-Fi pour distribuer des notifications push. WPA2 Enterprise iOS prend en charge les protocoles réseau sans fil standard comme WPA2 Enterprise, garantissant un accès sécurisé aux réseaux sans fil d’entreprise à partir des appareils iOS. Le protocole WPA2 Enterprise utilise un chiffrement AES sur 128 bits, une méthode de chiffrement éprouvée qui assure un très haut niveau de protection des données de l’entreprise. Avec la prise en charge du protocole 802.1x, iOS peut s’intégrer dans une grande variété d’environnements d’authentification RADIUS. Les méthodes d’authentification sans fil 802.1x, telles que EAP-TLS, EAPTTLS, EAP-FAST, PEAPv0, PEAPv1 et LEAP, sont prises en charge par iOS. 6 Guide de référence technique pour le déploiement d’iOS Itinérance (Roaming) Pour l’itinérance sur les vastes réseaux Wi-Fi d’entreprise, iOS prend en charge les normes 802.11k et 802.11r. La norme 802.11k facilite la transition des appareils iOS entre les points d’accès Wi-Fi en utilisant les rapports des points d’accès, tandis que la norme 802.11r simplifie l’authentification 802.1X lorsqu’un appareil passe d’un point d’accès à un autre. Pour faciliter la configuration et le déploiement, les réglages de réseau sans fil, de sécurité, de proxy et d’authentification peuvent être définis à l’aide de profils de configuration ou d’une solution MDM. Réseaux privés virtuels L’accès sécurisé aux réseaux d’entreprise privés est disponible sur iOS via des protocoles de réseau privé virtuel (VPN) standard bien établis. iOS prend immédiatement en charge les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. Si votre organisation utilise déjà l’un de ces protocoles, aucune autre configuration réseau ni aucune app tierce ne sont nécessaires pour connecter les appareils iOS à votre VPN. En plus, iOS prend en charge les VPN SSL des principaux fournisseurs de VPN. Il suffit aux utilisateurs de se rendre sur l’App Store et de télécharger une app de client VPN développée par l’une de ces sociétés. Comme pour d’autres protocoles VPN pris en charge par iOS, les VPN SSL peuvent être configurés manuellement sur l’appareil ou via des profils de configuration ou une solution MDM. iOS prend en charge les technologies standard comme IPv6, les serveurs proxy et la tunnélisation partagée, offrant une riche expérience VPN pour la connexion aux réseaux d’entreprise. iOS est également compatible avec différentes méthodes d’authentification comme les mots de passe, les jetons à deux facteurs et les certificats numériques. Pour simplifier la connexion dans des environnements où l’authentification par certificat est utilisée, iOS intègre le VPN à la demande, qui lance de façon dynamique une session VPN lorsque celle-ci est nécessaire pour se connecter aux domaines spécifiés. Avec iOS 7, des apps peuvent être individuellement configurées de façon à utiliser une connexion VPN indépendamment des autres apps de l’appareil. Cela permet de garantir que les données de l’entreprise circulent toujours via une connexion VPN, à la différence des autres données, telles que celles des apps personnelles qu’un employé s’est procurées sur l’App Store. Pour plus de détails, consultez la section « VPN via l’app » de ce chapitre. Protocoles et méthodes d’authentification pris en charge VPN SSL. Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs et certificat. Cisco IPSec. Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs et l’authentification des appareils par secret partagé et certificat. L2TP sur IPSec. Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux facteurs et l’authentification des appareils par secret partagé. PPTP. Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2 et jeton à deux facteurs. ! 7 Guide de référence technique pour le déploiement d’iOS Clients VPN SSL Plusieurs fournisseurs de solutions VPN SSL ont créé des apps qui vous assistent dans la configuration des appareils iOS en vue d’une utilisation avec leur solution. Pour configurer un appareil en vue d’une utilisation avec une solution en particulier, installez l’app correspondante et, le cas échéant, fournissez un profil de configuration incluant les réglages nécessaires. Quelques exemples de solutions VPN SSL : • VPN SSL Juniper Junos Pulse. iOS prend en charge les passerelles VPN SSL SA Series de Juniper Networks, exécutant la version 6.4 ou ultérieure avec le paquet Juniper Networks IVE version 7.0 ou ultérieure. Pour la configuration, installez l’app Junos Pulse, disponible sur l’App Store. Pour plus d’informations, reportez-vous au document Juniper Networks application note. • VPN SSL F5. iOS prend en charge les solutions VPN SSL F5 BIG-IP Edge Gateway, Access Policy Manager et FirePass. Pour la configuration, installez l’app F5 BIG-IP Edge Client, disponible sur l’App Store. Pour plus d’informations, reportez-vous au dossier technique F5, Secure iPhone Access to Corporate Web Applications. • VPN SSL Aruba Networks. iOS prend en charge les contrôleurs de mobilité Aruba Networks. Pour la configuration, installez l’app Aruba Networks VIA, disponible sur l’App Store. Pour trouver des coordonnées de contact, consultez le site web Aruba Networks. • VPN SSL SonicWALL. iOS prend en charge les appliances d’accès sécurisé à distance (en anglais « Secure Remote Access » ou « SRA ») E-Class SonicWALL Aventail exécutant la version 10.5.4 ou ultérieure, les appliances SRA SonicWALL exécutant la version 5.5 ou ultérieure et les appliances de coupe-feu SonicWALL de nouvelle génération, notamment les gammes NSA, TZ et E-Class NSA exécutant SonicOS version 5.8.1.0 ou ultérieure. Pour la configuration, installez l’app SonicWALL Mobile Connect, disponible sur l’App Store. Pour trouver des coordonnées de contact, consultez le site web SonicWALL. • VPN SSL Check Point Mobile. iOS prend en charge Check Point Security Gateway avec un tunnel VPN complet de couche 3. Pour la configuration, installez l’app Check Point Mobile, disponible sur l’App Store. • VPN SSL OpenVPN. iOS prend en charge OpenVPN Access Server, Private Tunnel et la communauté OpenVPN. Pour la configuration, installez l’app OpenVPN Connect, disponible sur l’App Store. • VPN SSL Palo Alto Networks GlobalProtect. iOS prend en charge la passerelle GlobalProtect de Palo Alto Networks. Pour la configuration, installez l’app GlobalProtect for iOS, disponible sur l’App Store. • VPN SSL Cisco AnyConnect. iOS prend en charge Cisco Adaptive Security Appliance (ASA) exécutant l’image logicielle 8.0(3).1 ou ultérieure. Pour la configuration, installez l’app Cisco AnyConnect, disponible sur l’App Store. ! 8 Guide de référence technique pour le déploiement d’iOS Instructions pour la configuration d’un VPN Instructions pour la configuration d’un VPN Cisco IPSec Suivez ces instructions afin de configurer votre serveur VPN Cisco pour l’utiliser avec les appareils iOS. iOS prend en charge les appliances de sécurité Cisco ASA 5500 et les coupe-feu PIX configurés avec le logiciel 7.2.x ou ultérieur. La dernière version du logiciel (8.0.x ou ultérieure) est recommandée. iOS prend aussi en charge les routeurs VPN Cisco IOS avec IOS 12.4(15)T ou ultérieur. Les concentrateurs série VPN 3000 ne prennent pas en charge les fonctionnalités VPN d’iOS. Configuration du proxy Pour toutes les configurations, vous pouvez aussi spécifier un proxy VPN. Pour configurer un seul proxy pour toutes les connexions, utilisez le réglage Manuel et fournissez l’adresse, le port et l’authentification si nécessaire. Pour attribuer à l’appareil un fichier de configuration automatique du proxy à l’aide de PAC ou WPAD, utilisez le réglage Auto. Pour PACS, spécifiez l’URL du fichier PACS. Pour WPAD, iOS interroge les serveurs DHCP et DNS afin d’obtenir les bons réglages. Méthodes d’authentification iOS prend en charge les méthodes d’authentification suivantes : • L’authentification IPsec par clé prépartagée avec authentification des utilisateurs par xauth. • Les certificats client et serveur pour l’authentification IPSec avec authentification des utilisateurs facultative par xauth. • L’authentification hybride où le serveur fournit un certificat et le client fournit une clé prépartagée pour l’authentification IPsec. L’authentification de l’utilisateur est requise via xauth. • L’authentification des utilisateurs est fournie par xauth et couvre les méthodes d’authentification suivantes : – Nom d’utilisateur avec mot de passe – RSA SecurID – CRYPTOCard Groupes d’authentification Le protocole Cisco Unity utilise des groupes d’authentification pour regrouper les utilisateurs en fonction d’un jeu commun de paramètres d’authentification et d’autres paramètres. Il est conseillé de créer un groupe d’authentification pour les utilisateurs iOS. Pour l’authentification hybride et par clé prépartagée, le nom du groupe doit être configuré sur l’appareil avec le secret partagé (clé prépartagée) comme mot de passe du groupe. Lorsque vous utilisez l’authentification par certificat, aucun secret partagé n’est utilisé. Le groupe d’un utilisateur est déterminé en fonction des champs du certificat. Les réglages du serveur Cisco peuvent être utilisés pour mettre en correspondance des champs du certificat avec des groupes d’utilisateurs. RSA-Sig doit avoir la priorité la plus élevée sur la liste de priorité ISAKMP. Certificats Lors de la configuration et de l’installation de certificats, vérifiez les points suivants : Le certificat d’identité du serveur doit contenir le nom DNS et/ou l’adresse IP du serveur dans le champ pour le nom alternatif de sujet (SubjectAltName). L’appareil utilise cette information pour vérifier que le certificat appartient bien au serveur. Pour plus de flexibilité, vous pouvez indiquer le nom alternatif de sujet (SubjectAltName) en utilisant des caractères de remplacement pour la mise en correspondance segment par segment, par exemple, vpn.*.mon_entreprise.com. 9 Guide de référence technique pour le déploiement d’iOS Vous pouvez mettre le nom DNS dans le champ pour le nom commun si vous n’indiquez pas le nom alternatif de sujet. Le certificat de l’autorité de certification qui a signé le certificat du serveur doit être installé sur l’appareil. S’il ne s’agit pas d’un certificat racine, installez le reste de la chaîne de confiance afin que la confiance soit accordée au certificat. Si des certificats clients sont utilisés, vérifiez que le certificat de l’autorité de certification de confiance qui a signé le certificat du client est bien installé sur le serveur VPN. Lors de l’utilisation d’une authentification par certificats, vérifiez que le serveur est bien configuré pour identifier le groupe d’utilisateurs en fonction des champs du certificat client. Les certificats et les autorités de certification doivent être valides (pas arrivés à expiration, par exemple). L’envoi de chaînes de certificats par le serveur n’est pas pris en charge et doit être désactivé. Réglages IPSec Utilisez les réglages IPSec suivants : • Mode. Mode tunnel • Modes d’échange de clés par Internet. Mode agressif pour l’authentification par clé prépartagée et hybride ou mode principal pour l’authentification par certificat. • Algorithmes de chiffrement. 3DES, AES-128, AES-256. • Algorithmes d’authentification. HMAC-MD5, HMAC-SHA1. • Groupes Diffie-Hellman. Le groupe 2 est obligatoire pour l’authentification par clé prépartagée et l’authentification hybride. Pour l’authentification par certificat, utilisez le groupe 2 avec 3DES et AES-128. Utilisez le groupe 2 ou le groupe 5 avec AES-256. • PFS (Perfect Forward Secrecy). Pour l’échange de clés par Internet (IKE) phase 2, si PFS est utilisé, le groupe Diffie-Hellman doit être le même que celui qui était utilisé pour IKE phase 1. • Configuration du mode. Doit être activée. • Détection des pairs morts. Recommandée. • Traversée NAT standard. Pris en charge et activable au besoin (IPSec sur TCP n’est pas pris en charge). • Équilibrage de la charge. Pris en charge et peut être activé. • Recomposition de la phase 1. Pas prise en charge pour le moment. Il est recommandé de régler sur 1 heure les temps de recomposition sur le serveur. • Masque d’adresse ASA. Assurez-vous que tous les masques de pools d’adresses d’appareils soit ne sont pas définis, soit sont réglés sur 255.255.255.255. Par exemple : asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 255.255.255.255. Si le masque d’adresse recommandé est utilisé, certaines routes utilisées par la configuration VPN sont susceptibles d’être ignorées. Pour éviter cela, assurez-vous que votre tableau de routage contient toutes les routes nécessaires et vérifiez que les adresses de sous-réseau sont accessibles avant le déploiement. ! 10 Guide de référence technique pour le déploiement d’iOS Autres fonctionnalités prises en charge • Version d’application. La version du logiciel client est envoyée au serveur, ce qui lui permet d’accepter ou de rejeter des connexions en fonction de la version du logiciel de l’appareil. • Bannière. La bannière, si elle est configurée sur le serveur, est affichée sur l’appareil et l’utilisateur doit l’accepter ou se déconnecter. • Split Tunnel. Le « split tunneling » est pris en charge. • Split DNS. Le « split DNS » est pris en charge. • Domaine par défaut. Le domaine par défaut est pris en charge. VPN à la demande Le VPN à la demande permet à iOS d’établir automatiquement une connexion sécurisée sans aucune action de l’utilisateur. La connexion VPN est lancée en fonction des besoins, selon des règles définies dans un profil de configuration. Sous iOS 7, le VPN à la demande est configuré à l’aide de la clé OnDemandRules dans l’entité VPN d’un profil de configuration. Les règles s’appliquent en deux étapes : • Étape de détection du réseau. Définit les exigences VPN s’appliquant en cas de changement de la connexion réseau principale de l’appareil. • Étape d’évaluation de la connexion. Définit les exigences VPN pour les demandes de connexion auprès de noms de domaines, en fonction des besoins. Par exemple, des règles peuvent être utilisées pour : • Déterminer qu’un appareil iOS est connecté à un réseau interne et que la connexion VPN n’est pas nécessaire. • Déterminer qu’un réseau Wi-Fi inconnu est utilisé et que la connexion VPN est nécessaire pour toute l’activité réseau. • Exiger une connexion VPN en cas d’échec d’une demande de nom de domaine spécifique auprès du serveur DNS. Étape de détection du réseau Les règles régissant le VPN à la demande sont évaluées en cas de changement de l’interface réseau principale de l’appareil, comme lorsqu’un appareil iOS change de réseau Wi-Fi ou passe d’un réseau Wi-Fi au réseau cellulaire. Si l’interface principale est une interface virtuelle, comme une interface de VPN, les règles régissant le VPN à la demande ne sont pas prises en compte. Les règles correspondantes de chaque ensemble (dictionnaire) doivent toutes correspondre pour que l’action associée soit engagée ; si l’une ou l’autre des règles ne correspond pas, l’évaluation passe au dictionnaire suivant dans le tableau, jusqu’à épuisement du tableau OnDemandRules. Le dernier dictionnaire doit définir une configuration « par défaut », c’est-à-dire qu’il ne doit comprendre aucune règle correspondante, seulement une Action. Cela permettra d’intercepter toutes les connexions n’offrant pas de correspondance aux règles précédentes. Étape d’évaluation de la connexion La connexion VPN peut être déclenchée en fonction des besoins à partir d’une demande de connexion à certains domaines, au lieu que le VPN soit déconnecté ou connecté unilatéralement en fonction de l’interface réseau. ! 11 Guide de référence technique pour le déploiement d’iOS Règles de correspondance À la demande Précisez une ou plusieurs des règles de correspondance suivantes : • InterfaceTypeMatch. Facultatif. Valeur de chaîne d’un réseau Wi-Fi ou cellulaire. Si elle est spécifiée, cette règle correspondra lorsque le matériel de l’interface principale sera du type indiqué. • SSIDMatch. Facultatif. Tableau de SSID, dont l’un doit correspondre au réseau en cours d’utilisation. Si le réseau n’est pas un réseau Wi-Fi ou si son SSID n’apparaît pas dans la liste, la correspondance échouera. Omettez cette clé et son tableau pour ignorer le SSID. • DNSDomainMatch. Facultatif. Tableau de domaines de recherche sous forme de chaînes. Si le domaine de recherche DNS configuré pour le réseau principal en cours d’utilisation figure dans le tableau, cette propriété correspondra. Le préfixe sous forme de métacaractère (*) est pris en charge : *.example.com trouverait une correspondance avec anything.example.com. • DNSServerAddressMatch. Facultatif. Tableau d’adresses de serveurs DNS sous forme de chaînes. Si toutes les adresses de serveur DNS actuellement configurées pour l’interface principale figurent dans le tableau, cette propriété correspondra. Le métacaractère (*) est pris en charge ; exemple : 1.2.3.* trouverait la correspondance avec n’importe quel serveur DNS ayant le préfixe 1.2.3. • URLStringProbe. Facultatif. Serveur permettant de sonder l’accessibilité. La redirection n’est pas prise en charge. L’URL doit être celle d’un serveur HTTPS fiable. L’appareil envoie une requête GET pour vérifier que le serveur peut être atteint. Action Cette clé définit le comportement que doit adopter le VPN lorsque toutes les règles de correspondance spécifiées sont vérifiées. Cette clé est obligatoire. Les valeurs que peut prendre la clé Action sont les suivantes : • Connect. Lance sans condition la connexion VPN lors de la tentative suivante de connexion au réseau. • Disconnect. Désactive la connexion VPN et ne déclenche aucune nouvelle connexion à la demande. • Ignore. Maintient la connexion VPN existante, mais ne déclenche aucune nouvelle connexion à la demande. • Allow. Pour les appareils iOS équipés d’iOS 6 ou d’une version antérieure. Voir le paragraphe « Notes sur la rétrocompatibilité », plus bas dans cette section. • EvaluateConnection. Évalue les ActionParameters pour chaque tentative de connexion. Lorsque cette option est utilisée, la clé ActionParameters, décrite cidessous, doit préciser les règles d’évaluation. ActionParameters Tableau de dictionnaires contenant les clés décrites ci-dessous, évalués dans leur ordre d’apparition. Exigé lorsque le champ Action est défini sur EvaluateConnection. • Domains. Obligatoire. Tableau de chaînes définissant les domaines auxquels s’applique cette évaluation. Les préfixes sous forme de métacaractères, comme *.example.com, sont pris en charge. • DomainAction. Obligatoire. Définit le comportement du VPN pour Domains. Les valeurs que peut prendre la clé DomainAction sont les suivantes : – ConnectIfNeeded. Fait apparaître le VPN en cas d’échec de la résolution DNS pour Domains, comme lorsque le serveur DNS indique qu’il ne parvient pas à résoudre le nom de domaine, ou si la réponse du DNS est redirigée, ou encore si la connexion échoue ou dépasse le temps imparti. – NeverConnect. Ne déclenche pas le VPN pour Domains. 12 Guide de référence technique pour le déploiement d’iOS Lorsque DomainAction a pour valeur ConnectIfNeeded, vous pouvez aussi spécifier les clés suivantes dans le dictionnaire d’évaluation de la connexion : • RequiredDNSServers. Facultatif. Tableau d’adresses IP de serveurs DNS à utiliser pour résoudre les Domains. Il n’est pas nécessaire que ces serveurs fassent partie de la configuration réseau en cours de l’appareil. Si ces serveurs DNS sont hors d’atteinte, le VPN sera déclenché. Configurez un serveur DNS interne ou un serveur DNS externe validé. • RequiredURLStringProbe. Facultatif. URL HTTP ou HTTPS (de préférence) pour sondage à l’aide d’une requête GET. Si la résolution DNS réussit pour ce serveur, le sondage doit, lui aussi, réussir. Si le sondage échoue, le VPN sera déclenché. Notes sur la rétrocompatibilité Avant iOS 7, les règles de déclenchement de domaine étaient configurées via des tableaux de domaines appelés OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry et OnDemandMatchDomainNever. Les cas OnRetry et Never sont toujours pris en charge dans iOS 7, bien que l’action EvaluateConnection leur soit préférée. Pour créer un profil fonctionnant à la fois sur iOS 7 et sur les précédentes versions, utilisez les nouvelles clés EvaluateConnection en plus des tableaux OnDemandMatchDomain. Les versions précédentes d’iOS ne reconnaissant pas EvaluateConnection utiliseront les anciens tableaux, tandis qu’iOS 7 et les versions ultérieures utiliseront EvaluateConnection. Les anciens profils de configuration qui spécifient l’action Allow fonctionneront sur iOS 7, à l’exception des domaines OnDemandMatchDomainsAlways. Connexion VPN via l’app iOS 7 ajoute la possibilité d’établir des connexions VPN app par app. Cette approche permet de déterminer plus précisément quelles données transitent ou non par le VPN. Avec le VPN à l’échelle de l’appareil, toutes les données, quelle qu’en soit l’origine, transitent via le réseau privé. Comme un nombre croissant d’appareils personnels sont utilisés au sein des entreprises, le VPN via l’app permet d’assurer des connexions réseau sécurisées pour les apps à usage interne, tout en préservant la confidentialité des activités personnelles. Le VPN via l’app permet à chaque app gérée par la solution de gestion des appareils mobiles (MDM) de communiquer avec le réseau privé via un tunnel sécurisé et empêche les apps non gérées figurant sur l’appareil d’utiliser ce même réseau. En outre, pour préserver plus encore les données, les apps gérées peuvent être configurées avec des connexions VPN différentes. Par exemple, une app de devis commerciaux pourra exploiter un centre de données entièrement différent de celui qu’utilisera une app de comptabilité fournisseurs, tandis que le trafic lié à la navigation web personnelle de l’utilisateur utilisera l’Internet public. Cette capacité à discriminer le trafic au niveau de l’app permet d’assurer la séparation entre les données personnelles et celles appartenant à l’entreprise. Pour utiliser le VPN via l’app, une app doit être gérée par la solution MDM et exploiter les API de mise en réseau iOS standard. Le VPN via l’app est configuré à l’aide d’une configuration MDM qui définit quelles apps et quels domaines Safari sont autorisés à utiliser ces réglages. Pour plus d’informations sur la gestion des appareils mobiles (MDM), reportez-vous au chapitre 3 : Configuration et gestion. ! 13 Guide de référence technique pour le déploiement d’iOS Authentification par signature unique (SSO) Avec iOS 7, les apps peuvent profiter de votre infrastructure actuelle d’authentification par signature unique (SSO), via Kerberos. L’authentification par signature unique est susceptible d’améliorer l’expérience utilisateur en ne demandant à l’utilisateur d’entrer son mot de passe qu’une seule fois. Cette option améliore également la sécurité de l’utilisation quotidienne des apps en veillant à ce que les mots de passe ne soient jamais transmis à distance. Le système d’authentification Kerberos utilisé par iOS 7 est un standard et la technologie d’authentification par signature unique la plus couramment déployée au monde. Si vous avez Active Directory, eDirectory ou OpenDirectory, il est très probable que vous disposiez déjà d’un système Kerberos qu’iOS 7 pourra exploiter. Les appareils iOS doivent pouvoir contacter le service Kerberos via une connexion réseau afin que les utilisateurs soient authentifiés. Apps prises en charge iOS offre une prise en charge flexible de l’authentification par signature unique (SSO) de Kerberos à toute app utilisant la classe NSURLConnection ou NSURLSession pour gérer les connexions réseau et l’authentification. Apple fournit à tous les développeurs ces frameworks de haut niveau pour que les connexions réseau s’intègrent naturellement avec leurs apps. Apple fournit également Safari en exemple, pour que vous puissiez vous lancer en utilisant de façon native des sites web compatibles SSO. Configuration de l’authentification par signature unique (SSO) La configuration de l’authentification par signature unique se fait à l’aide de profils de configuration, qui peuvent être soit installés manuellement, soit gérés par une solution MDM. L’entité du compte SSO permet une configuration souple. L’authentification par signature unique (SSO) peut être ouverte à toutes les apps ou restreinte soit par identificateur d’app, soit par URL de service, soit par les deux à la fois. Pour la correspondance des URL, c’est un filtrage par motif qui est utilisé, et les URL doivent commencer soit par http://, soit par https://. La correspondance doit se faire sur l’URL complète. Par conséquent, veillez à ce qu’elles soient exactement identiques. Par exemple, une valeur URLPrefixMatches de https://www.exemple.com/ ne correspondra pas à https://www.exemple.com:443/. Vous pouvez spécifier http:// ou https:// pour limiter l’utilisation de l’authentification SSO à des services sécurisés ou réguliers. Par exemple, l’utilisation d’une valeur URLPrefixMatches de https:// ne permettra l’utilisation du compte SSO qu’avec des services HTTPS sécurisés. Si un filtrage par motif d’URL ne se termine pas par une barre oblique (/), une barre oblique (/) lui sera annexée. Le tableau AppIdentifierMatches doit contenir des chaînes correspondant aux identifiants des bundles d’apps. Ces chaînes peuvent être des correspondances exactes (com.mycompany.myapp, par exemple) ou spécifier une correspondance de préfixe sur l’identifiant du bundle à l’aide du métacaractère (*). Le métacaractère doit figurer après un point (.) et uniquement à la fin de la chaîne (par exemple : com.mycompany.*). Lorsqu’un métacaractère est utilisé, l’accès au compte est accordé à toute app dont l’identifiant de bundle commence par le préfixe. Certificats numériques Les certificats numériques sont une forme d’identification qui permet une authentification simplifiée, l’intégrité des données et le chiffrement. Un certificat numérique est composé d’une clé publique, d’informations sur l’utilisateur et de l’autorité de certification qui a émis le certificat. iOS prend en charge les certificats numériques, offrant ainsi un accès sécurisé et simplifié aux services d’entreprise. ! 14 Guide de référence technique pour le déploiement d’iOS Formats de certificats et d’identité pris en charge : • iOS prend en charge les certificats X.509 avec des clés RSA. • Les extensions de fichiers .cer, .crt, .der, .p12 et .pfx sont reconnues. Les certificats peuvent être utilisés de bien des façons. La signature des données à l’aide d’un certificat numérique aide à garantir que les informations ne seront pas modifiées. Les certificats peuvent aussi être utilisés pour garantir l’identité de l’auteur ou « signataire ». Ils peuvent également servir à chiffrer des profils de configuration et des communications réseau pour protéger plus avant les informations confidentielles ou privées. Par exemple, le navigateur Safari peut vérifier la validité d’un certificat numérique X. 509 et établir une session sécurisée avec un chiffrement AES jusqu’à 256 bits. Le navigateur s’assure ainsi que l’identité du site est légitime et que la communication avec le site web est protégée pour éviter toute interception de données personnelles ou confidentielles. Utilisation des certificats dans iOS Certificats racine Les appareils iOS incluent différents certificats racine préinstallés. Pour plus d’informations, reportez-vous à la liste figurant dans cet article de l’Assistance Apple. iOS peut actualiser sans fil les certificats au cas où l’un ou l’autre des certificats racine préinstallés serait compromis. Pour désactiver cette option, une restriction permet d’empêcher les actualisations de certificats à distance. Si vous utilisez un certificat racine qui n’est pas préinstallé, comme un certificat racine auto-signé, créé par votre entreprise, vous pouvez le distribuer à l’aide d’une des méthodes recensées ci-dessous. Distribution et installation de certificats La distribution de certificats à des appareils iOS est un processus simple. Lorsqu’ils reçoivent un certificat, les utilisateurs peuvent en examiner le contenu, puis l’ajouter à leur appareil, en quelques touchers. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à saisir le mot de passe qui le protège. Si l’authenticité d’un certificat ne peut être vérifiée, celui-ci sera présenté comme non fiable et l’utilisateur pourra décider s’il veut toujours l’installer sur son appareil. Installation de certificats à l’aide de profils de configuration Si l’on utilise des profils de configuration pour distribuer les réglages de services d’entreprise tels qu’Exchange, VPN ou Wi-Fi, des certificats peuvent être ajoutés au profil pour simplifier le déploiement. Cela comprend la possibilité de distribuer des certificats via une solution MDM. Installation des certificats via Mail ou Safari Si un certificat est envoyé dans un e-mail, il apparaît sous la forme d’une pièce jointe. Safari peut aussi être utilisé pour télécharger des certificats à partir d’une page web. Vous pouvez héberger un certificat sur un site web sécurisé et fournir aux utilisateurs l’adresse URL où ils peuvent télécharger le certificat sur leurs appareils. Suppression et révocation des certificats Pour supprimer manuellement un certificat préalablement installé, choisissez Réglages > Général > Profils et sélectionnez le certificat à supprimer. Si un utilisateur supprime un certificat nécessaire pour accéder à un compte ou à un réseau, l’appareil ne pourra plus se connecter à ces services. Un serveur de gestion d’appareils mobiles peut visualiser tous les certificats figurant sur un appareil et supprimer tout certificat qu’il a installé. Par ailleurs, les protocoles OCSP (Online Certificate Status Protocol) et CRL (Certificate Revocation List) sont pris en charge et permettent de vérifier le statut des certificats. Lorsqu’un certificat compatible OCSP ou CRL est utilisé, iOS le valide régulièrement pour s’assurer qu’il n’a pas été révoqué. ! 15 Guide de référence technique pour le déploiement d’iOS Bonjour Bonjour est le protocole réseau standard et sans configuration d’Apple qui permet aux appareils de trouver des services sur un réseau. Les appareils iOS utilisent Bonjour pour découvrir les imprimantes compatibles AirPrint et les appareils compatibles AirPlay, comme Apple TV. Certaines apps pair à pair nécessitent également Bonjour. Vous devez vous assurer que votre infrastructure réseau et Bonjour sont correctement configurés pour fonctionner de concert. Les appareils iOS 7.1 rechercheront également les sources AirPlay via Bluetooth. Lorsqu’une Apple TV compatible est détectée, les données AirPlay sont transmises via le réseau Wi-Fi. Une Apple TV 6.1 ou version ultérieure est requise pour permettre la découverte Bluetooth. Par ailleurs, l’appareil iOS et l’Apple TV doivent être connectés au même sous-réseau pour permettre la lecture ou la recopie vidéo du contenu. Pour plus d’informations sur Bonjour, reportez-vous à cette page web Apple. ! ! 16 Guide de référence technique pour le déploiement d’iOS Chapitre 2 : Sécurité ! iOS est conçu avec plusieurs couches de sécurité,ce qui permet aux appareils iOS d’accéder aux services réseau de manière sécurisée et de protéger les données importantes. iOS propose un puissant mécanisme de chiffrement des données transmises, des méthodes d’authentification éprouvées pour l’accès aux services d’entreprise et le chiffrement matériel de toutes les données stockées sur l’appareil. iOS offre également une protection fiable grâce à l’utilisation de règles de codes d’appareil qui peuvent être transmises et mises en œuvre à distance. Et si un appareil tombe entre de mauvaises mains, les utilisateurs et les administrateurs informatiques peuvent lancer un effacement à distance pour supprimer toutes les informations confidentielles de l’appareil. Lors de l’évaluation de la sécurité d’iOS en vue de son utilisation en entreprise, il est utile de s’intéresser aux points suivants : • Contrôle des appareils. Méthodes empêchant toute utilisation non autorisée de l’appareil • Chiffrement et protection des données. Protection des données au repos, notamment en cas de perte ou de vol d’un appareil • Sécurité des réseaux. Protocoles de réseau et chiffrement des données transmises • Sécurité des apps. Moyen de permettre aux apps de s’exécuter en toute sécurité et sans compromettre l’intégrité de la plate-forme • Services Internet. Infrastructure réseau d’Apple pour la messagerie, la synchronisation et la sauvegarde Ces fonctionnalités fournissent une plate-forme informatique mobile sécurisée. Les règles de codes d’appareil suivantes sont prises en charge : • Exiger un code sur l’appareil • Exiger une valeur alphanumérique • Nombre minimum de caractères • Nombre minimum de caractères complexes • Durée de vie maximale du code • Délai avant verrouillage automatique • Historique des codes • Délai de grâce avant verrouillage de l’appareil • Nombre maximal de tentatives infructueuses Sécurité des appareils La mise en œuvre de règles efficaces pour l’accès aux appareils iOS est déterminante pour protéger les informations d’entreprise. Les codes de sécurité des appareils constituent la première ligne de défense contre les accès non autorisés et peuvent être configurés et appliqués à distance. Les appareils iOS utilisent le code de sécurité unique établi par chaque utilisateur pour générer une puissante clé de chiffrement afin de renforcer la protection des e-mails et des données d’applications sensibles figurant sur l’appareil. Par ailleurs, iOS fournit des méthodes sécurisées pour configurer l’appareil dans un environnement informatique où des réglages, des règles et des restrictions spécifiques doivent être appliqués. Ces méthodes offrent un vaste choix d’options pour établir un niveau de protection standard pour les utilisateurs autorisés. Règles en matière de codes d’appareil Un code d’appareil empêche les utilisateurs non autorisés d’accéder aux données stockées sur l’appareil ou d’utiliser ce dernier. iOS propose un nombre important de règles de sécurité afin de répondre à tous vos besoins en la matière, y compris des délais d’expiration, le niveau de sécurité (complexité) du code d’accès et la fréquence de changement de celui-ci. ! 17 Guide de référence technique pour le déploiement d’iOS Application des règles Les règles peuvent être distribuées dans le cadre d’un profil de configuration à installer par les utilisateurs. Un profil peut être défini de sorte qu’un mot de passe d’administrateur soit obligatoire pour pouvoir le supprimer, ou de façon à ce qu’il soit verrouillé sur l’appareil et qu’il soit impossible de le supprimer sans effacer complètement le contenu de l’appareil. Par ailleurs, les réglages des codes de sécurité peuvent être configurés à distance à l’aide de solutions de gestion des appareils mobiles (MDM) qui peuvent transmettre directement les règles à l’appareil. Cela permet d’appliquer et de mettre à jour les règles sans intervention de l’utilisateur. Si l’appareil est configuré pour accéder à un compte Microsoft Exchange, les règles Exchange ActiveSync sont « poussées » sur l’appareil via une connexion sans fil. L’ensemble des règles disponibles varie en fonction de la version d’Exchange ActiveSync et d’Exchange Server. S’il existe à la fois des règles Exchange et des règles MDM, ce sont les règles les plus strictes qui s’appliqueront. Configuration sécurisée des appareils Les profils de configuration sont des fichiers XML qui contiennent les règles de sécurité et les restrictions applicables à un appareil, les informations sur la configuration des réseaux VPN, les réglages Wi-Fi, les comptes de courrier électronique et de calendrier et les références d’authentification qui permettent aux appareils iOS de fonctionner avec les systèmes de votre entreprise. La possibilité d’établir des règles de codes et de définir des réglages dans un profil de configuration garantit que les appareils utilisés dans votre entreprise sont configurés correctement et selon les normes de sécurité définies par votre service informatique. Et comme les profils de configuration peuvent être à la fois chiffrés et verrouillés, il est impossible de supprimer, modifier ou partager les réglages. Les profils de configuration peuvent être à la fois signés et chiffrés. Signer un profil de configuration permet de garantir que les réglages appliqués ne peuvent pas être modifiés. Le chiffrement d’un profil de configuration protège le contenu du profil et permet de lancer l’installation uniquement sur l’appareil pour lequel il a été créé. Les profils de configuration sont chiffrés à l’aide de CMS (Cryptographic Message Syntax, RFC 3852), prenant en charge 3DES et AES 128. La première fois que vous distribuez un profil de configuration chiffré, vous pouvez l’installer via un port USB à l’aide d’Apple Configurator, ou sans fil à l’aide du protocole Over-the-Air Profile Delivery and Configuration, ou encore via une solution MDM. Les profils de configuration chiffrés ultérieurs peuvent être distribués sous forme de pièce jointe à un e-mail, hébergés sur un site web accessible à vos utilisateurs ou « poussés » sur l’appareil à l’aide de solutions MDM. Pour plus d’informations, reportez-vous à l’article Over-the-Air Profile Delivery and Configuration protocol du site iOS Developer Library. Restrictions de l’appareil Les restrictions de l’appareil déterminent à quelles fonctionnalités vos utilisateurs peuvent accéder sur l’appareil. Généralement, il s’agit d’applications réseau telles que Safari, YouTube ou l’iTunes Store, mais les restrictions peuvent aussi servir à contrôler les fonctionnalités de l’appareil comme l’installation d’apps ou l’utilisation de l’appareil photo. Les restrictions vous permettent de configurer l’appareil en fonction de vos besoins, tout en permettant aux utilisateurs de l’utiliser de façon cohérente par rapport aux règles en vigueur dans votre entreprise. Les restrictions sont configurées manuellement sur chaque appareil, mises en œuvre grâce à un profil de configuration ou établies à distance à l’aide de solutions MDM. En outre, comme les règles de codes d’appareil, des restrictions concernant l’appareil photo ou la navigation sur le Web peuvent être appliquées à distance via Microsoft Exchange Server 2007 et 2010. Les restrictions peuvent également servir à empêcher le déplacement d’e-mails d’un compte à l’autre ou le transfert de messages reçus dans un compte depuis un autre. Reportez-vous à l’Annexe B pour voir les restrictions prises en charge. 18 Guide de référence technique pour le déploiement d’iOS Chiffrement et protection des données La protection des données stockées sur des appareils iOS est cruciale pour tout environnement où circulent des données sensibles. En plus du chiffrement des données transmises, les appareils iOS assurent un chiffrement matériel de toutes les données stockées sur l’appareil ainsi qu’un chiffrement supplémentaire du courrier électronique et des données d’applications grâce à une protection améliorée des données. Chiffrement Les appareils iOS exploitent un chiffrement matériel. Ce chiffrement matériel utilise l’encodage AES sur 256 bits pour protéger toutes les données stockées sur l’appareil. Le chiffrement est toujours activé et ne peut pas être désactivé. De plus, les données sauvegardées dans iTunes sur l’ordinateur d’un utilisateur peuvent également être chiffrées. Ce chiffrement peut être activé par l’utilisateur ou mis en place à l’aide des réglages de restriction de l’appareil dans les profils de configuration. iOS prend également en charge S/MIME dans Mail, ce qui permet aux utilisateurs de consulter et d’envoyer des messages électroniques chiffrés. Les modules cryptographiques d’iOS 7 et iOS 6 ont été validés pour satisfaire aux exigences du standard américain FIPS (Federal Information Processing Standard) 140-2 Level 1. Cette validation garantit l’intégrité des opérations cryptographiques des apps Apple et des apps tierces qui exploitent les services cryptographiques d’iOS. Pour plus d’informations, reportez-vous aux articles Sécurité des produits iOS : validations et procédures applicables et iOS 7 : version 4.0 des modules cryptographiques iOS Apple pour la norme FIPS. Protection des données La sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS. La protection des données associe le code d’appareil unique de chaque utilisateur au chiffrement matériel des appareils iOS pour générer une puissante clé de chiffrement. Cela empêche l’accès aux données lorsque l’appareil est verrouillé, afin d’assurer la sécurité des données confidentielles, même si l’appareil tombait entre de mauvaises mains. Pour activer la protection des données, il vous suffit de définir un code de verrouillage sur l’appareil. L’efficacité de la protection des données dépend du code ; il est donc important d’exiger et d’appliquer un code composé de plus de quatre chiffres lorsque vous établissez vos règles de codes. Les utilisateurs peuvent vérifier que la protection des données est activée sur leur appareil en consultant l’écran des réglages de codes. Les solutions de gestion des appareils mobiles permettent également d’interroger les appareils pour récupérer cette information. Des API de protection des données sont également à la disposition des développeurs et peuvent être utilisées pour sécuriser les données au sein des apps de l’App Store ou des apps d’entreprise sur mesure développées en interne. Sous iOS 7, les données stockées par les applications se trouvent, par défaut, dans la classe de sécurité « Protected Until First User Authentication », qui est semblable à un chiffrement complet du disque sur les ordinateurs de bureau, et protège les données des attaques impliquant un redémarrage. Remarque : si un appareil a été mis à jour à partir d’iOS 6, les magasins de données existants ne sont pas convertis pour être intégrés dans cette nouvelle classe. La suppression, puis la réinstallation de l’app permettront à l’app de bénéficier de cette nouvelle classe de protection. ! 19 Guide de référence technique pour le déploiement d’iOS Sécurité réseau • Protocoles VPN Cisco IPSec, L2TP et PPTP intégrés • VPN SSL via les apps de l’App Store • SSL/TLS avec des certificats X.509 • Protocoles WPA/WPA2 Enterprise avec 802.1x • Authentification par certificat • RSA SecurID, CRYPTOCard Protocoles VPN • Cisco IPSec • L2TP/IPSec • PPTP • VPN SSL Méthodes d’authentification • Mot de passe (MSCHAPv2) • RSA SecurID • CRYPTOCard • Certificats numériques X.509 • Secret partagé Protocoles d’authentification 802.1x • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP Formats de certificat pris en charge iOS prend en charge les certificats X. 509 avec des clés RSA. Les extensions de fichiers .cer, .crt, . et .der sont reconnues. Touch ID Touch ID est le système de détection d’empreinte digitale intégré à l’iPhone 5s, qui accélère et facilite l’accès hautement sécurisé à l’appareil. Cette technologie avantgardiste identifie les empreintes digitales sous n’importe quel angle et apprend à mieux connaître l’empreinte digitale de l’utilisateur au fil du temps, le capteur continuant à enrichir la carte de l’empreinte avec l’identification de nouveaux chevauchements à chaque utilisation. Grâce à Touch ID, l’utilisation d’un code plus long et plus complexe devient beaucoup plus pratique, car les utilisateurs n’ont pas à le saisir aussi fréquemment. Touch ID permet également d’éviter l’inconfort d’un verrouillage par code, non pas en remplaçant celui-ci, mais plutôt en fournissant un accès sécurisé à l’appareil au sein de limites et de contraintes temporelles réfléchies. Lorsque Touch ID est activé, l’iPhone 5s se verrouille dès que l’on appuie sur le bouton Marche/arrêt - Veille/éveil. Lorsque la sécurité ne dépend que du code d’accès, de nombreux utilisateurs définissent une « période de grâce » du déverrouillage pour éviter d’avoir à saisir leur code à chaque utilisation de l’appareil. Avec Touch ID, l’iPhone 5s se verrouille dès qu’il se met en veille et exige une empreinte digitale — ou éventuellement le code de sécurité — pour chaque sortie de veille. Touch ID fonctionne conjointement avec le coprocesseur Secure Enclave contenu au sein de la puce A7 Apple. Le coprocesseur Secure Enclave dispose de son propre espace mémoire chiffré et protégé, et communique de façon sécurisée avec le capteur Touch ID. Lorsque l’iPhone 5s se verrouille, les clés de la classe de protection des données Complete sont protégées par une clé détenue par la mémoire chiffrée du coprocesseur Secure Enclave. Cette clé est détenue pendant 48 heures maximum et rejetée si l’iPhone 5s est redémarré ou si une empreinte digitale non reconnue est utilisée cinq fois. Si l’empreinte est reconnue, Secure Enclave fournit la clé permettant de « désenvelopper » les clés de protection des données, et l’appareil est déverrouillé. Effacement à distance iOS prend en charge l’effacement à distance. En cas de perte ou de vol d’un appareil, l’administrateur ou le propriétaire de l’appareil peut émettre une commande d’effacement à distance qui supprimera toutes les données et désactivera l’appareil. Si l’appareil est configuré avec un compte Exchange, l’administrateur peut initier une commande d’effacement à distance à l’aide de la console de gestion Exchange Management Console (Exchange Server 2007) ou de l’outil Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 ou 2007). Les utilisateurs d’Exchange Server 2007 peuvent aussi initier directement des commandes d’effacement à distance à l’aide d’Outlook Web Access. Les commandes d’effacement à distance peuvent également être lancées par les solutions MDM ou à l’aide de la fonctionnalité Localiser mon iPhone d’iCloud, même si les services d’entreprise Exchange ne sont pas utilisés. Effacement local Les appareils peuvent également être configurés pour initier automatiquement un effacement local après plusieurs tentatives infructueuses de saisie du code d’appareil. C’est un moyen de se protéger des tentatives d’accès à l’appareil par force brute. Lorsqu’un code est établi, les utilisateurs ont la possibilité d’activer l’effacement local directement à partir des réglages. Par défaut, iOS efface automatiquement le contenu de l’appareil après dix tentatives de saisie infructueuses. Comme avec les autres règles de codes d’appareil, le nombre maximum de tentatives infructueuses peut être établi via un profil de configuration, défini par un serveur MDM ou appliqué à distance par l’intermédiaire de règles Microsoft Exchange ActiveSync. ! 20 Guide de référence technique pour le déploiement d’iOS Localiser mon iPhone et Verrouillage d’activation En cas de perte ou de vol d’un appareil, il est important de désactiver l’appareil et d’en effacer le contenu. Sous iOS 7, lorsque Localiser mon iPhone est activé, l’appareil ne peut pas être réactivé sans que soient au préalable saisis les identifiants Apple ID de son propriétaire. Il est judicieux soit de superviser les appareils détenus par l’entreprise, soit de mettre en place des règles obligeant les utilisateurs à désactiver cette fonctionnalité, afin que Localiser mon iPhone n’empêche pas l’entreprise d’attribuer l’appareil à une autre personne. Sous iOS 7.1 ou version ultérieure, il est possible d’utiliser une solution MDM compatible pour activer l’option Verrouillage d’activation lorsqu’un utilisateur fait usage de la fonction Localiser mon iPhone. Votre solution MDM peut vous permettre de bénéficier d’un code de contournement permettant de désactiver automatiquement l’option Verrouillage d’activation lorsque vous souhaitez effacer les données de l’appareil et l’attribuer à un nouvel utilisateur. Pour en savoir plus, consultez la documentation relative à votre solution MDM. Pour plus d’informations sur Localiser mon iPhone et Verrouillage d’activation, consultez les articles iCloud : option Verrouillage d’activation de la fonction Localiser mon iPhone sous iOS 7 et iOS 7 : gestion des appareils mobiles et option Verrouillage d’activation de la fonction Localiser mon iPhone. Sécurité du réseau Les utilisateurs mobiles doivent pouvoir accéder aux réseaux d’information de leur entreprise partout dans le monde, mais il est aussi important de s’assurer que les utilisateurs disposent d’une autorisation et que leurs données sont protégées pendant la transmission. iOS fournit des technologies éprouvées afin d’atteindre ces objectifs de sécurité pour les connexions Wi-Fi et les connexions à un réseau cellulaire. En plus de votre infrastructure existante, chaque session FaceTime et chaque conversation iMessage sont chiffrées de bout en bout. iOS crée un identifiant unique pour chaque utilisateur, veillant ainsi à ce que les communications soient correctement chiffrées, acheminées et connectées. VPN De nombreux environnements d’entreprise intègrent une forme de réseau privé virtuel (VPN). Ces services réseau sécurisés sont déjà déployés et nécessitent généralement un minimum d’installation et de configuration pour fonctionner avec iOS. iOS s’intègre immédiatement avec une large gamme de technologies VPN couramment utilisées. Pour plus de détails, reportez-vous à la section « Réseaux privés virtuels » du chapitre 1. SSL/TLS iOS prend en charge le protocole SSL v3 ainsi que Transport Layer Security (TLS v1.0, 1.1 et 1.2). Safari, Calendrier, Mail et d’autres applications Internet démarrent automatiquement ces mécanismes afin d’activer un canal de communication chiffré entre iOS et les services de l’entreprise. WPA/WPA2 iOS prend en charge la norme WPA2 Enterprise pour fournir un accès authentifié au réseau sans fil de votre entreprise. WPA2 Enterprise utilise le chiffrement AES sur 128 bits, pour garantir aux utilisateurs un niveau optimal de protection lorsqu’ils envoient et reçoivent des données par le biais d’une connexion réseau Wi-Fi. Et avec la prise en charge de l’authentification 802.1x, l’iPhone et l’iPad peuvent s’intégrer dans une grande variété d’environnements d’authentification RADIUS. ! 21 Guide de référence technique pour le déploiement d’iOS Sécurité des apps iOS est conçu pour offrir une sécurité optimale. Il utilise la méthode du « bac à sable » pour la protection à l’exécution des applications et exige une signature des applications pour empêcher toute altération. iOS comprend aussi un framework facilitant le stockage sécurisé des identifiants des applications et des services réseau dans un emplacement de stockage chiffré appelé trousseau. Pour les développeurs, il offre une architecture cryptographique courante qui peut être utilisée pour chiffrer les magasins de données des applications. Protection à l’exécution Les apps que contient l’appareil sont mises en bac à sable pour restreindre l’accès aux données stockées par d’autres apps. De plus, les fichiers système, les ressources et le noyau sont à l’abri de l’espace d’exécution des applications par l’utilisateur. Si une app doit accéder aux données d’une autre app, elle ne peut le faire qu’en utilisant les API et les services fournis par iOS. La génération de codes est également impossible. Signature du code obligatoire Toutes les apps iOS doivent être signées. Les apps fournies avec l’appareil sont signées par Apple. Les apps tierces sont signées par leur développeur à l’aide d’un certificat délivré par Apple. Ce mécanisme permet de s’assurer qu’elles n’ont pas été détournées ou altérées. En outre, des vérifications sont effectuées à l’exécution pour s’assurer que l’app n’a pas été invalidée depuis sa dernière utilisation. L’utilisation des apps personnalisées développées en interne peut être contrôlée à l’aide d’un profil d’approvisionnement. Les utilisateurs doivent avoir installé le profil d’approvisionnement correspondant pour pouvoir exécuter l’application. Les profils d’approvisionnement peuvent être installés à distance à l’aide de solutions MDM. Les administrateurs peuvent également restreindre l’utilisation d’une application à des appareils spécifiques. Structure d’authentification sécurisée iOS fournit un trousseau chiffré sécurisé pour stocker les identités numériques, les noms d’utilisateur et les mots de passe. Les données du trousseau sont segmentées de sorte que les informations d’identification stockées par des apps tierces soient inaccessibles aux apps ayant une identité différente. Ce mécanisme permet de sécuriser les informations d’authentification sur les appareils iOS pour un large éventail d’applications et de services au sein de l’entreprise. Architecture cryptographique courante Les développeurs d’applications ont accès à des API de chiffrement qu’ils peuvent utiliser pour renforcer la protection de leurs données d’applications. Les données peuvent être chiffrées symétriquement à l’aide de méthodes éprouvées comme AES, RC4 ou 3DES. En outre, les appareils iOS fournissent une accélération matérielle pour le chiffrement AES et le hachage SHA1, ce qui optimise les performances des applications. Protection des données des applications Les apps peuvent aussi tirer parti du chiffrement matériel intégré aux appareils iOS pour renforcer la protection des données d’applications sensibles. Les développeurs peuvent désigner des fichiers spécifiques pour la protection des données, en demandant au système de chiffrer le contenu du fichier pour le rendre inaccessible à l’app et à tout intrus potentiel lorsque l’appareil est verrouillé. ! 22 Guide de référence technique pour le déploiement d’iOS Habilitations pour les apps Par défaut, une app iOS a des privilèges très limités. Les développeurs doivent explicitement ajouter des habilitations pour utiliser la plupart des fonctionnalités telles qu’iCloud, le traitement en arrière-plan ou les trousseaux partagés. Cela permet de s’assurer que les apps ne peuvent pas s’accorder l’accès à des données avec lesquelles elles n’ont pas été déployées. En outre, les apps iOS doivent demander la permission explicite de l’utilisateur avant d’exploiter de nombreuses fonctionnalités iOS telles que la géolocalisation par GPS, les contacts de l’utilisateur, l’appareil photo ou les photos stockées. Services Internet Apple a constitué un solide ensemble de services destinés à permettre aux utilisateurs de retirer encore plus d’avantages de leurs appareils et de gagner en productivité. Parmi ces services, figurent iMessage, FaceTime, Siri, iCloud, Sauvegarde iCloud et Trousseau iCloud. Ces services Internet ont été élaborés avec les objectifs de sécurité que promeut iOS sur l’ensemble de la plate-forme. Il s’agit, notamment, de la manipulation sécurisée des données, que celles-ci soient au repos sur l’appareil ou en transit sur des réseaux sans fil ; de la protection des informations personnelles de l’utilisateur ; enfin, de la protection contre les accès malveillants ou non autorisés aux informations et aux services. Chaque service exploite sa propre puissante architecture de sécurité, sans compromettre la simplicité d’utilisation générale d’iOS. iMessage iMessage1 est un service de messagerie pour les appareils iOS et les ordinateurs Mac. iMessage prend en charge le texte et les pièces jointes telles que les photos, les contacts et les lieux. Les messages apparaissent sur tous les appareils enregistrés d’un utilisateur, si bien qu’une conversation peut se poursuivre sur n’importe lequel de ces appareils. iMessage fait un large usage du service de notification push d’Apple (APN). iMessage met en œuvre un chiffrement de bout en bout qui exploite des clés connues uniquement des appareils expéditeurs et des appareils récepteurs. Apple ne peut pas déchiffrer les messages, et ceux-ci ne sont pas consignés. FaceTime FaceTime2 est le service d’appels vidéo et audio d’Apple. Les appels FaceTime utilisent le service de notification push d’Apple (APN) pour établir une connexion initiale, puis la technique ICE (Internet Connectivity Establishment) et le protocole SIP (Session Initiation Protocol) pour créer un flux chiffré. Siri En parlant tout à fait naturellement, les utilisateurs peuvent faire appel à Siri3 pour envoyer des messages, programmer des rendez-vous ou encore passer des appels téléphoniques. Siri utilise la reconnaissance vocale, la synthèse vocale et un modèle client-serveur pour répondre à une large gamme de requêtes. Les tâches dont s’acquitte Siri ont été conçues pour faire en sorte que seul soit utilisé le strict minimum d’informations personnelles et que ces dernières soient entièrement protégées. Les requêtes et enregistrements vocaux de Siri ne sont pas personnellement identifiés et, si possible, les fonctions Siri sont toujours mises en œuvre sur l’appareil, et non sur le serveur. ! 23 Guide de référence technique pour le déploiement d’iOS iCloud iCloud4 stocke de la musique, des photos, des apps, des calendriers, des documents et bien plus encore, et les envoie automatiquement en mode push à tous les appareils d’un utilisateur. De plus, il effectue la sauvegarde quotidienne d’informations, comme les réglages des appareils, les données d’apps et les messages texte et MMS, par Wi-Fi. Afin d’assurer la protection de vos données, iCloud chiffre votre contenu lorsque celui-ci est envoyé via Internet, le stocke au format crypté et utilise des filtres sécurisés pour l’authentification. Par ailleurs, les fonctionnalités d’iCloud telles que Flux de photos, Documents et données et Sauvegarde peuvent être désactivées à l’aide d’un profil de configuration. Pour plus d’informations sur la sécurité et la confidentialité sur iCloud, consultez l’article Présentation de la sécurité et de la confidentialité d’iCloud. Sauvegarde iCloud iCloud sauvegarde également chaque jour en Wi-Fi des informations comme les réglages des appareils, les données d’apps et les messages texte et MMS. Il protège le contenu en le chiffrant lorsque celui-ci est envoyé via Internet, en le stockant sous un format chiffré et en utilisant des jetons sécurisés pour l’authentification. La Sauvegarde iCloud se produit uniquement lorsque l’appareil est verrouillé et relié à une source d’alimentation, et qu’il dispose d’un accès Wi-Fi à Internet. Grâce au chiffrement utilisé dans iOS, le système est conçu pour sécuriser les données tout en permettant une sauvegarde incrémentielle sans intervention ainsi qu’une restauration. Trousseau iCloud Le Trousseau iCloud permet aux utilisateurs de synchroniser en toute sécurité leurs mots de passe entre leurs appareils iOS et leurs ordinateurs Mac, sans exposer ces informations à Apple. Outre une attention particulière portée à la vie privée et à la sécurité, les objectifs qui ont fortement influencé la conception et l’architecture du Trousseau iCloud étaient la facilité d’utilisation et la capacité à récupérer un trousseau. Le Trousseau iCloud assure deux services : la synchronisation et la récupération des trousseaux. Dans la synchronisation de trousseaux, les appareils ne sont autorisés à participer qu’après approbation de l’utilisateur, et chaque élément de trousseau éligible à la synchronisation est échangé avec un chiffrement par appareil via le stockage de valeur par clé iCloud. Les éléments sont éphémères et ne persistent pas dans iCloud après leur synchronisation. La récupération de trousseau offre aux utilisateurs un moyen de confier leur trousseau à la garde d’Apple, sans pour autant lui donner la possibilité de lire les mots de passe et autres données qu’il contient. Même si l’utilisateur n’a qu’un seul appareil, la récupération de trousseau crée un filet de sécurité contre la perte de données. C’est particulièrement important lorsqu’on utilise Safari pour générer de façon aléatoire des mots de passe puissants pour les comptes web, car la seule trace de ces mots de passe se trouve dans le trousseau. La pierre angulaire de la récupération de trousseau est l’authentification secondaire assortie d’un service de séquestre sécurisé, créé spécialement par Apple pour prendre en charge cette fonctionnalité. Le trousseau de l’utilisateur est chiffré à l’aide d’un puissant code de sécurité, et le service de séquestre ne fournira une copie du trousseau que si un ensemble de conditions très strictes sont réunies. Vous trouverez des détails sur la sécurité dans le Guide de la sécurité iOS. ! 24 Guide de référence technique pour le déploiement d’iOS Chapitre 3 : Configuration et gestion Les déploiements iOS peuvent être rationalisés grâce à plusieurs techniques de gestion qui simplifient la création des comptes, la configuration des règles institutionnelles, la distribution des apps et l’application des restrictions visant les appareils. Les utilisateurs peuvent ensuite se charger de l’essentiel du travail de personnalisation grâce à l’Assistant réglages intégré à iOS. Une fois les appareils iOS configurés et inscrits auprès de la solution MDM, ils peuvent être gérés sans fil par le service informatique. Ce chapitre décrit comment utiliser les profils de configuration et la gestion des appareils mobiles pour soutenir votre déploiement iOS. Configuration et activation des appareils iOS permet immédiatement aux utilisateurs d’activer leur appareil, d’en configurer les réglages de base et de se mettre à travailler dans la foulée grâce à l’Assistant réglages d’iOS. Au-delà des réglages de base, les utilisateurs peuvent personnaliser leurs préférences personnelles, comme la langue, le lieu, Siri, iCloud et Localiser mon iPhone. L’Assistant réglages permet également à l’utilisateur de se créer un identifiant Apple personnel, s’il n’en a pas déjà un. Identifiant Apple Un identifiant Apple est une identité servant à se connecter à divers services Apple tels que FaceTime, iMessage, iTunes, l’App Store, iCloud et l’iBooks Store. Avec un identifiant Apple, chaque utilisateur peut installer des apps, des livres et des contenus de l’iTunes Store, de l’App Store ou de l’iBooks Store. Un identifiant Apple permet aussi aux utilisateurs de se créer un compte iCloud afin d’accéder à des contenus et de les partager sur de multiples appareils. Pour profiter au maximum de ces services, les utilisateurs doivent utiliser leur propre identifiant Apple. S’ils n’en ont pas, ils peuvent s’en créer un avant même de disposer de leur appareil, afin que la configuration se fasse aussi vite que possible. Découvrez comment obtenir un identifiant Apple sur la page Mon identifiant Apple. Préparer les appareils avec Apple Configurator Pour les appareils dont la gestion est centralisée par le service informatique et qui ne sont pas configurés par les utilisateurs eux-mêmes, Apple Configurator peut être utilisé pour activer rapidement les appareils, définir et appliquer les configurations, superviser les appareils, installer des apps et actualiser les appareils à l’aide de la dernière version d’iOS. Apple Configurator est une application gratuite pour OS X, disponible au téléchargement sur le Mac App Store. Les appareils doivent être connectés à un Mac via USB pour effectuer ces tâches. Vous pouvez aussi restaurer une sauvegarde sur des appareils : les réglages de l’appareil ainsi que la disposition des écrans d’accueil seront appliqués et les données d’apps installées. ! 25 Guide de référence technique pour le déploiement d’iOS Profils de configuration Les profils de configuration sont des fichiers XML qui contiennent les règles de sécurité et les restrictions applicables à un appareil, les informations sur la configuration des réseaux VPN, les réglages Wi-Fi, les comptes de courrier électronique et de calendrier et les références d’authentification qui permettent aux appareils iOS de fonctionner avec les systèmes de votre entreprise. Les profils de configuration permettent de charger rapidement des réglages et des informations d’autorisation sur un appareil. Certains réglages VPN et Wi-Fi ne peuvent être définis qu’à l’aide d’un profil de configuration et, si vous n’utilisez pas Microsoft Exchange, vous devez avoir recours à un profil de configuration pour définir les règles concernant les codes d’appareils. Les profils de configuration peuvent être distribués à l’aide du mécanisme Overthe-Air Profile Delivery ou via une solution de gestion des appareils mobiles (MDM). Vous pouvez aussi installer les profils de configuration sur des appareils connectés au port USB d’un ordinateur par le biais d’Apple Configurator, ou les distribuer par e-mail ou sur une page web. Lorsque des utilisateurs ouvrent la pièce jointe à un message électronique ou téléchargent le profil sur leur appareil à l’aide de Safari, ils sont invités à lancer le processus d’installation. Si vous utilisez un serveur MDM, vous pouvez distribuer un profil initial contenant seulement les informations sur la configuration du serveur, puis faire en sorte que l’appareil obtienne sans fil tous les autres profils. Vous pouvez chiffrer et signer les profils de configuration, ce qui vous permet de limiter leur usage à un appareil donné et empêche quiconque de modifier les réglages inclus dans un profil. Vous avez également la possibilité de marquer un profil comme étant verrouillé à un appareil de sorte que, une fois installé, personne ne peut le supprimer sans effacer toutes les données de l’appareil ou, le cas échéant, saisir un code. À l’exception des mots de passe, les utilisateurs ne sont pas en mesure de modifier les réglages fournis par un profil de configuration. De plus, les comptes qui sont configurés par un profil, comme les comptes Exchange, ne peuvent être supprimés qu’en effaçant le profil. Pour plus d’informations, consultez l’article Configuration Profile Key Reference du site iOS Developer Library. Gestion des appareils mobiles (MDM) iOS intègre une structure MDM qui permet aux solutions MDM tierces de dialoguer sans fil avec les appareils iOS. Cette structure légère a été conçue de A à Z pour les appareils iOS. Elle est assez puissante et évolutive pour permettre une configuration et une gestion complètes de tous les appareils iOS d’une entreprise. Avec une solution MDM en place, les administrateurs informatiques peuvent déployer en toute sécurité des appareils dans un environnement d’entreprise, configurer et mettre à jour des réglages, vérifier la conformité des appareils à la politique de l’entreprise, et même effacer ou verrouiller à distance les appareils ainsi gérés. La gestion des appareils mobiles iOS offre au service informatique un moyen simple de procurer aux utilisateurs un accès aux services réseau, tout en s’assurant que les appareils sont correctement configurés, quel qu’en soit le détenteur. Les solutions MDM utilisent le service de notification push d’Apple (APNs) pour maintenir une connexion permanente avec les appareils, tant sur les réseaux publics que sur les réseaux privés. Pour fonctionner, la gestion des appareils mobiles (MDM) repose sur plusieurs certificats, dont un certificat APNs pour communiquer avec les clients et un certificat SSL pour sécuriser les échanges. Les solutions MDM peuvent également signer les profils avec un certificat. ! 26 Guide de référence technique pour le déploiement d’iOS La plupart des certificats, y compris les certificats APNs, doivent être renouvelés tous les ans. Lorsqu’un certificat expire, le serveur MDM ne peut plus communiquer avec les clients tant que le certificat n’a pas été mis à jour. Prévoyez donc de mettre à jour tous les certificats MDM avant leur expiration. Reportez-vous au portail Apple Push Certificates Portal pour plus d’informations sur les certificats MDM. Inscription L’inscription des appareils permet de les cataloguer et de gérer le parc. Le processus d’inscription peut exploiter le protocole SCEP (Simple Certificate Enrollment Protocol), qui permet aux appareils iOS de créer des certificats d’identité uniques et de s’y inscrire, pour l’authentification auprès des services de l’entreprise. Dans la plupart des cas, ce sont les utilisateurs qui décident ou non d’inscrire leur appareil auprès du serveur MDM, et ils peuvent l’en dissocier à tout moment. L’établissement peut éventuellement recourir à des incitations pour encourager les utilisateurs à rester inscrits. Par exemple, il peut exiger l’inscription MDM pour obtenir un accès au réseau Wi-Fi, en utilisant la solution MDM pour fournir les identifiants de connexion. Lorsqu’un utilisateur quitte la gestion des appareils mobiles, l’appareil tente d’en informer le serveur MDM. ! Configuration Une fois inscrit, un appareil peut être configuré de façon dynamique à l’aide de réglages et de règles par le serveur de gestion des appareils mobiles. Celui-ci envoie à l’appareil des profils de configuration qui sont alors installés par l’appareil, automatiquement et en silence. Les profils de configuration peuvent être signés, chiffrés et verrouillés, ce qui empêche que les réglages soient modifiés ou partagés. Ainsi, seuls les utilisateurs certifiés et les appareils configurés selon vos spécifications peuvent accéder à votre réseau et à vos services. Si un utilisateur dissocie l’appareil de la MDM, tous les réglages installés via la MDM en sont supprimés. Comptes La gestion des appareils mobiles peut aider les utilisateurs de votre entreprise à être rapidement opérationnels en configurant automatiquement leur messagerie et autres comptes. En fonction de la solution MDM et de son intégration avec vos systèmes internes, les entités de compte peuvent aussi être pré-renseignées avec le nom de l’utilisateur, l’adresse électronique et, le cas échéant, les identités de certificat pour l’authentification et la signature. La MDM peut configurer les types de comptes suivants : • Mail • Calendrier • Calendriers par abonnement • Contacts • Exchange ActiveSync • LDAP Les comptes de courrier électronique et de calendrier gérés respectent les nouvelles restrictions de la gestion des autorisations d’ouverture d’iOS 7. ! 27 Guide de référence technique pour le déploiement d’iOS Interrogation Un serveur MDM est capable d’interroger les appareils pour récupérer diverses informations. Il peut s’agir d’informations matérielles, comme le numéro de série, l’identifiant UDID ou l’adresse MAC du Wi-Fi et d’informations logicielles comme la version d’iOS et une liste détaillée de toutes les apps installées sur l’appareil. Ces informations permettent de vérifier que les utilisateurs utilisent les apps préconisées. Avec la version 5.4 (ou une version ultérieure) du logiciel Apple TV, le serveur MDM peut également interroger les Apple TV inscrites pour récupérer des informations telles que la langue, la localisation et l’organisation. Commandes Un appareil peut être géré, le cas échéant, par le serveur de gestion des appareils mobiles via un ensemble d’actions spécifiques. Les tâches de gestion comprennent entre autres : • Le changement des réglages de configuration. Une commande peut être envoyée pour installer sur un appareil un profil de configuration nouveau ou actualisé. Les changements de configuration se font en silence, sans interaction avec l’utilisateur. • Le verrouillage d’un appareil. Si un appareil doit être immédiatement verrouillé, une commande peut être envoyée pour le verrouiller à l’aide du code de verrouillage en cours de validité. • L’effacement à distance d’un appareil. En cas de perte ou de vol d’un appareil, une commande peut être envoyée pour effacer toutes les données de l’appareil. Une fois reçue, une commande d’effacement ne peut être annulée. • La suppression d’un code de verrouillage. Après la suppression du code de verrouillage, l’appareil demande immédiatement à l’utilisateur d’en saisir un nouveau. Ce mécanisme est mis en œuvre lorsque l’utilisateur oublie son code de verrouillage et demande au service informatique de le réinitialiser. • Demander la recopie vidéo AirPlay et interrompre la recopie vidéo AirPlay. iOS 7 ajoute une commande pour inviter un appareil iOS supervisé à lancer la recopie vidéo AirPlay vers une destination particulière, ou pour mettre fin à une session AirPlay. Apps gérées Les organisations ont souvent besoin de distribuer des logiciels pour que les utilisateurs restent productifs au travail ou en cours. En même temps, elles doivent contrôler la façon dont les logiciels se connectent aux ressources internes ou dont la sécurité des données est gérée lorsque l’utilisateur quitte l’organisation, tout en assurant la coexistence avec les apps et données personnelles de l’utilisateur. Les apps gérées sous iOS 7 permettent à une organisation de distribuer à distance des apps gratuites, payantes et d’entreprise via une solution de gestion des appareils mobiles (MDM), tout en offrant le bon équilibre entre sécurité institutionnelle et personnalisation par l’utilisateur. Les serveurs MDM peuvent déployer à distance sur les appareils des apps de l’App Store ou des apps développées en interne. Qu’elles soient payantes ou gratuites, les apps de l’App Store peuvent être gérées par un serveur MDM à l’aide de la distribution gérée du Programme d’achats en volume (VPP). Pour plus d’informations sur la distribution gérée avec la MDM, consultez la section « Programme d’achats en volume » du chapitre 4. L’installation d’apps acquises dans le cadre du Programme d’achats en volume peut se faire de trois façons. Les utilisateurs ayant un appareil personnel sont invités par la MDM à installer l’app depuis l’App Store, et à saisir leur identifiant Apple. Avec un appareil supervisé détenu par l’organisation et inscrit auprès d’un serveur MDM, l’installation des apps se fait en silence. Si un appareil n’est pas associé à une solution MDM, les apps VPP sont installées par l’utilisateur à l’aide d’un code d’achat. Les apps sont ensuite associées à l’identifiant Apple personnel de l’utilisateur. 28 Guide de référence technique pour le déploiement d’iOS Les apps gérées peuvent être supprimées à distance par le serveur MDM ou lorsque l’utilisateur désinscrit son appareil de celui-ci. La suppression de l’app a pour effet de supprimer les données qui lui sont associées. Si l’app du Programme d’achats en volume est toujours attribuée à l’utilisateur ou que ce dernier a utilisé un code avec son identifiant Apple personnel, l’app pourra de nouveau être téléchargée sur l’App Store, mais elle ne sera pas gérée. La gestion des appareils mobiles apporte aux apps gérées sous iOS 7 un ensemble de restrictions et de possibilités supplémentaires qui renforcent la sécurité et améliorent l’expérience utilisateur : • Gestion des autorisations d’ouverture. Fournit deux fonctions utiles pour la protection des données d’apps de l’organisation : – Permettre aux documents créés à l’aide d’apps non gérées de s’ouvrir dans des apps gérées. L’application de cette restriction empêche les apps et comptes personnels d’un utilisateur d’ouvrir des documents dans les apps gérées de l’organisation. Par exemple, cette restriction pourrait empêcher une copie de Keynote appartenant à l’utilisateur d’ouvrir une présentation PDF dans une app de visualisation de PDF de l’organisation. Cette restriction pourrait aussi empêcher un compte iCloud personnel d’un utilisateur d’ouvrir un document de traitement de texte en pièce jointe dans une copie de Pages appartenant à l’organisation. – Permettre aux documents créés à l’aide d’apps gérées de s’ouvrir dans des apps non gérées. L’application de cette restriction empêche les apps et comptes gérés d’ouvrir des documents dans les apps personnelles de l’utilisateur. Cette restriction pourrait, par exemple, empêcher les pièces jointes confidentielles d’un compte de messagerie géré de s’ouvrir dans des apps personnelles de l’utilisateur. • Configuration des apps. Les développeurs d’apps peuvent identifier les réglages d’une app pouvant être définis lorsque cette app est installée en tant qu’app gérée. Ces réglages de configuration s’effectuent avant ou après l’installation de l’app gérée. • Feedback sur l’app. Les développeurs concevant des apps peuvent identifier les réglages qu’il est possible de lire depuis une app gérée à l’aide d’une solution MDM. Par exemple, un développeur indique une clé DidFinishSetup en tant que retour d’une app, clé qu’un serveur MDM interroge pour déterminer si l’app a été lancée et configurée. • Empêcher la sauvegarde. Cette restriction empêche les apps gérées de sauvegarder des données sur iCloud ou iTunes. Ne pas autoriser la sauvegarde permet d’éviter que les données des apps gérées ne soient récupérées si l’app est supprimée via la gestion des appareils mobiles mais réinstallée ensuite par l’utilisateur. Appareils supervisés La supervision offre un niveau supérieur de gestion des appareils pour ceux qui sont détenus par votre organisation, en permettant d’appliquer d’autres restrictions comme la désactivation d’iMessage ou de Game Center. Elle fournit également d’autres fonctionnalités et configurations d’appareils, comme le filtrage du contenu ou la possibilité d’installer silencieusement des apps. Pour voir les restrictions spécifiques pouvant être activées sur des appareils supervisés, reportez-vous à l’Annexe B. ! 29 Guide de référence technique pour le déploiement d’iOS Chapitre 4 : Distribution des apps iOS est doté de toute une collection d’apps qui permettent à vos collaborateurs de se livrer à leurs activités quotidiennes, comme échanger des e-mails, gérer leurs plannings, organiser leurs contacts ou encore exploiter des contenus sur le Web. Nombre des fonctionnalités dont les utilisateurs ont besoin pour être productifs viennent des centaines de milliers d’apps iOS tierces disponibles sur l’App Store ou de celles développées en interne. Il y a plusieurs façons de déployer des apps et du contenu au sein de votre entreprise. Le Programme d’achats en volume vous permet d’acheter et d’attribuer des apps et des livres via une solution MDM, y compris des apps de l’App Store, des apps B2B personnalisées et des livres de l’iBooks Store. Vous pouvez aussi créer et déployer vos propres apps si vous êtes membre du programme iOS Developer Enterprise. Ce chapitre décrit les diverses méthodes dont vous disposez pour déployer des apps pour vos utilisateurs. Programme d’achats en volume L’App Store et l’iBooks Store proposent des milliers de formidables apps et livres que les utilisateurs peuvent acheter, télécharger et installer. Grâce au Programme d’achats en volume (VPP), votre organisation peut acheter en grand nombre des apps et des livres à distribuer à vos employés, sous-traitants ou étudiants. Tous les livres et apps payants et gratuits de l’iBooks Store et de l’App Store peuvent être acquis dans le cadre du programme. Le Programme d’achats en volume pour les entreprises permet également d’acheter des apps B2B personnalisées pour iOS, développées pour vous par des développeurs tiers et des partenaires commerciaux. Avec l’introduction de la distribution gérée, iOS 7 apporte des améliorations majeures au Programme d’achats en volume (VPP). Via la gestion des appareils mobiles, cette fonctionnalité permet l’achat et l’attribution aux utilisateurs d’apps qui restent sous le contrôle de votre institution. Ainsi, les apps peuvent être attribuées aux utilisateurs, révoquées et réattribuées à d’autres utilisateurs lorsque les précédents n’en ont plus besoin. Distribution gérée Lorsque vous achetez des apps et des livres en volume, vous pouvez distribuer les contenus directement à vos utilisateurs à l’aide de codes, ou utiliser la distribution gérée pour attribuer les apps et les livres aux utilisateurs d’iOS 7 ou d’OS X Mavericks 10.9 (ou version ultérieure) par le biais d’une solution MDM. Lorsque vous attribuez une app ou un livre à vos utilisateurs, ces derniers peuvent les utiliser sur tous leurs appareils. Lorsqu’ils n’ont plus besoin de l’app ou qu’ils quittent votre organisation, vous pouvez réattribuer cette app à un autre utilisateur. Les livres ne peuvent être révoqués après avoir été attribués. Une fois que vous avez acheté des apps pour le compte de vos utilisateurs, vous pouvez choisir la distribution gérée comme méthode de déploiement. Avant d’utiliser une solution MDM pour attribuer les apps à vos utilisateurs, vous devrez lier votre serveur MDM à votre compte VPP à l’aide d’un jeton sécurisé. Vous pouvez télécharger ce jeton sécurisé sur votre serveur MDM en accédant au résumé de votre compte sur le Store du Programme d’achats en volume. ! 30 Guide de référence technique pour le déploiement d’iOS Pour prendre part à la distribution gérée via le Programme d’achats en volume, les utilisateurs doivent y être invités au préalable. Lorsqu’un utilisateur accepte une invitation à prendre part à la distribution gérée, son identifiant Apple personnel est lié à votre organisation. L’utilisateur n’a pas besoin de vous révéler son identifiant Apple, et vous n’avez pas besoin d’en créer un et de le lui fournir. Une fois attribuée à un utilisateur via une solution MDM, l’app apparaîtra dans l’historique des achats de l’App Store de cet utilisateur. Celui-ci peut ensuite être invité à accepter l’installation de l’app, ou, dans le cas d’appareils supervisés, l’app peut s’installer en silence. Lorsqu’une app est révoquée pour un utilisateur, elle continue à se lancer dans les 30 jours qui suivent. Au cours de cette période de grâce, l’utilisateur peut se voir rappeler que l’app ne lui est plus attribuée et choisir de l’acheter sur l’App Store, ce qu’il doit faire pour conserver les données de l’app sur son appareil. Inscription au Programme d’achats en volume Pour acheter des apps en grand nombre, il est nécessaire de s’inscrire et de se créer un compte auprès d’Apple. Vous devez fournir des informations sur votre organisation, comme le numéro D-U-N-S de D&B (si vous êtes une entreprise) et des coordonnées de contact. Vous devez également créer un identifiant Apple réservé à la gestion administrative du programme. Pour obtenir des informations sur l’inscription au Programme d’achats en volume et sur les pays et régions où il est disponible, consultez : Programme d’achats en volume pour les entreprises Programme d’achats en volume pour l’Éducation Achat d’apps en volume Utilisez le site web du Programme d’achats en volume pour acheter des apps pour votre entreprise ou votre établissement d’enseignement. Utilisez l’identifiant Apple associé à votre compte de Programme d’achats en volume pour ouvrir une session sur le site web. Recherchez les apps que vous désirez acheter, puis indiquez le nombre d’exemplaires souhaité. Vous pouvez payer à l’aide d’une carte de crédit d’entreprise ou du crédit VPP obtenu à l’aide d’un bon de commande (PO). Le nombre d’exemplaires n’est pas limité. Pour chaque exemplaire acheté, vous pouvez choisir soit des codes de téléchargement, soit la distribution gérée. Vous ne pouvez acheter des codes de téléchargement que pour les apps et les livres payants. Gratuits ou payants, les apps et les livres sont tous disponibles à la distribution gérée. Si vous achetez des codes de téléchargement, vous serez informé par e-mail dès qu’ils seront disponibles. Une feuille de calcul XLS contenant les codes de téléchargement sera disponible dans la section compte du site web du Programme d’achats en volume. Le site web recense chaque achat par numéro de commande, nom d’app, coût total et nombre de licences. Téléchargez la feuille de calcul associée pour afficher les codes de téléchargement pour chaque app, dans la quantité achetée. Par exemple, pour l’achat de sept exemplaires de l’app Pages, vous recevez sept codes de téléchargement pour Pages. La feuille de calcul contient également une URL de téléchargement pour chaque code. Ces URL permettent aux utilisateurs de télécharger et d’installer les apps sur leurs appareils sans avoir à saisir le code de téléchargement. Si vous avez choisi la distribution gérée comme mode de distribution, les apps seront disponibles pour attribution via votre solution MDM, à condition que celle-ci soit liée à votre compte VPP et qu’elle dispose d’un jeton valide. ! 31 Guide de référence technique pour le déploiement d’iOS Distribution des codes de téléchargement Vous pouvez distribuer les URL de téléchargement par e-mail ou par SMS, ou en les publiant sur un site web accessible aux utilisateurs et groupes concernés. Vous pouvez créer un site web proposant un catalogue des apps achetées et indiquant les codes de téléchargement aux utilisateurs autorisés. De nombreuses solutions de gestion des appareils mobiles (MDM) tierces permettent également de gérer et de distribuer les codes de façon centralisée. Les utilisateurs installent les apps que vous achetez pour eux en cliquant sur l’URL de téléchargement à partir de leur appareil iOS. Ils sont directement renvoyés vers l’App Store où le code de téléchargement est déjà saisi. Ils n’ont plus qu’à s’authentifier avec leur identifiant Apple. Le processus est identique à celui de toute autre app de l’App Store, mais comme le code de téléchargement est prépayé, les utilisateurs ne paient pas leur achat. Chaque code de téléchargement est à usage unique. À chaque utilisation d’un code de téléchargement, une version mise à jour de la feuille de calcul est disponible sur le site web du Programme d’achats en volume. Téléchargez la feuille de calcul pour savoir combien de codes ont été utilisés et voir ceux qui restent. Une fois qu’un utilisateur a installé l’app, celle-ci est sauvegardée et mise à jour comme toute autre app de l’App Store. Apps B2B personnalisées Les apps personnalisées créées ou personnalisées par un développeur pour votre entreprise (B2B) peuvent également être achetées via le Programme d’achats en volume. Les développeurs inscrits au programme iOS Developer peuvent soumettre des apps pour une distribution d’entreprise à entreprise à l’aide d’iTunes Connect. Le processus est identique à la soumission d’apps sur l’App Store. Le développeur fixe le prix par exemplaire et ajoute votre identifiant Apple du Programme d’achats en volume à sa liste d’acheteurs B2B autorisés. Seuls les acheteurs autorisés peuvent voir ou acheter l’app. Les apps B2B ne sont pas sécurisées par Apple. La sécurisation des données d’une app est de la responsabilité du développeur. Apple recommande d’utiliser les bonnes pratiques iOS pour l’authentification et le chiffrement d’une app. Une fois qu’Apple a vérifié l’app, vous utilisez le site web du Programme d’achats en volume pour acheter des exemplaires, comme le décrit le paragraphe « Achats d’apps en volume » de la section précédente. Les apps B2B personnalisées ne sont pas recensées sur l’App Store. Elles doivent être achetées sur le site web du Programme d’achats en volume. Apps internes Le programme iOS Developer Enterprise vous permet de déployer les apps iOS que vous développez pour un usage interne. Le processus de déploiement d’une app interne est le suivant : • Inscrivez-vous au programme iOS Developer Enterprise. • Préparez votre app pour sa distribution. • Créez un profil d’approvisionnement de distribution en entreprise qui autorise les appareils à utiliser les apps que vous avez signées. • Développez l’app avec le profil d’approvisionnement. • Déployez l’app auprès de vos utilisateurs. ! ! 32 Guide de référence technique pour le déploiement d’iOS Inscription au développement d’apps Pour pouvoir développer et déployer des apps pour iOS au sein de votre entreprise, inscrivez-vous d’abord au programme iOS Developer Enterprise. Une fois inscrit(e), vous pouvez demander un certificat de développeur et un profil d’approvisionnement développeur. Vous les utiliserez lors du développement pour créer et tester votre app. Le profil d’approvisionnement permet d’exécuter sur un appareil enregistré les apps signées avec votre certificat de développeur. Créez le profil d’approvisionnement développeur par le biais du portail d’approvisionnement iOS. Ce profil ad hoc expire au bout de trois mois et précise quels appareils (par identifiant d’appareil) peuvent exécuter les versions de développement de votre app. Distribuez à votre équipe et à vos testeurs votre version signée par le développeur ainsi que le profil d’approvisionnement développeur. Préparation des apps pour la distribution Une fois que les étapes de développement et de test sont terminées et que vous êtes prêt à déployer votre app, signez votre app à l’aide de votre certificat de distribution et finalisez-la avec un profil d’approvisionnement. L’agent d’équipe ou l’administrateur désigné pour votre adhésion au programme crée le certificat et le profil sur le portail d’approvisionnement iOS. La génération du certificat de distribution nécessite d’utiliser l’Assistant de certification (qui fait partie de l’application Trousseau d’accès sur le système de développement OS X) pour générer une demande de signature de certificat (CSR). Téléchargez la CSR sur le portail d’approvisionnement iOS et recevez en réponse un certificat de distribution. Lorsque vous installez ce certificat dans Trousseau, vous pouvez configurer Xcode pour qu’il l’utilise pour signer votre app. Approvisionnement en apps développées en interne Le profil d’approvisionnement de distribution en entreprise permet d’installer votre app sur un nombre illimité d’appareils iOS. Il est possible de créer un profil d’approvisionnement de distribution en entreprise pour une ou plusieurs apps. Lorsque le certificat de distribution en entreprise ainsi que le profil d’approvisionnement sont installés sur votre Mac, utilisez Xcode pour signer et créer une version/version finale de votre app. Votre certificat de distribution en entreprise est valide pour une durée de 3 ans, période après laquelle vous devrez signer et élaborer à nouveau votre app grâce à un certificat renouvelé. Le profil d’approvisionnement pour l’app est valable pour une année, vous devrez donc renouveler vos profils d’approvisionnement chaque année. Pour de plus amples détails, consultez la section « Mise à disposition d’apps mises à jour » de l’Annexe C. Il est fondamental que vous limitiez l’accès à votre certificat de distribution et à la clé privée. Utilisez Trousseau d’accès sous OS X pour exporter et sauvegarder ces éléments au format p12. En cas de perte de la clé privée, celle-ci ne peut pas être récupérée ni téléchargée une deuxième fois. En plus de la protection du certificat et de la clé privée, il est important de restreindre l’accès au personnel responsable de l’acceptation finale de l’app. Signer une app avec le certificat de distribution, appose le sceau d’approbation de votre entreprise en ce qui concerne le contenu de l’app et ses fonctions et confirme son adhésion aux conditions de la licence Enterprise Developer Agreement. Déploiement d’apps Quatre méthodes permettent de déployer une app : • Distribuez l’app à vos utilisateurs pour que ceux-ci l’installent à l’aide d’iTunes. • Demandez à un administrateur informatique d’installer l’app sur des appareils à l’aide d’Apple Configurator. 33 Guide de référence technique pour le déploiement d’iOS • Publiez l’app sur un serveur web sécurisé ; les utilisateurs accèdent à l’app et réalisent l’installation sans fil. Voir « Annexe C : Installation sans fil d’apps développées en interne. » • Si cette fonction est prise en charge par votre serveur MDM, utilisez-le pour demander aux appareils gérés d’installer une app interne ou de l’App Store. Installation d’apps à l’aide d’iTunes Si vos utilisateurs se servent d’iTunes pour installer des apps sur leurs appareils, distribuez-leur l’app de manière sécurisée et demandez-leur de procéder comme suit : 1. Dans iTunes, choisissez Fichier > Ajouter à la bibliothèque, puis sélectionnez le fichier (.app, .ipa, ou.mobileprovision). L’utilisateur peut également faire glisser le fichier sur l’icône de l’application iTunes. 2. Connectez un appareil à l’ordinateur puis sélectionnez-le dans la liste Appareils dans iTunes. 3. Cliquez sur l’onglet Apps, puis sélectionnez l’app dans la liste. 4. Cliquez sur Appliquer. Si les ordinateurs de vos utilisateurs sont gérés, vous pouvez, au lieu de demander aux utilisateurs d’ajouter les fichiers à iTunes, déployer les fichiers sur leurs ordinateurs et leur demander de synchroniser leurs appareils. iTunes installe automatiquement les fichiers trouvés dans les dossiers Mobile Applications et Provisioning Profiles d’iTunes. Installation d’apps à l’aide d’Apple Configurator Apple Configurator, application gratuite pour OS X disponible au téléchargement sur le Mac App Store, peut être utilisé par les administrateurs informatiques pour installer des apps développées en interne ou des apps de l’App Store. Pour les apps payantes de l’App Store, commencez par importer dans Apple Configurator une feuille de calcul comportant les codes de téléchargement du Programme d’achats en volume. Le nombre de codes de téléchargement dont vous disposez correspond au nombre d’appareils sur lesquels vous pouvez installer une app achetée. À chaque fois que vous installez une app sur un appareil, Apple Configurator marque le code correspondant comme ayant été utilisé, afin que le même code ne puisse pas être réutilisé. Les apps gratuites de l’App Store et les apps d’entreprise développées en interne peuvent être importées directement dans Apple Configurator et installées sur le nombre d’appareils de votre choix. Pour plus d’informations, reportez-vous à l’article Apple Configurator : utilisation des codes de téléchargement du programme d’achat en volume (VPP). Installation d’apps à l’aide d’une solution MDM Un serveur MDM peut gérer des apps tierces de l’App Store ainsi que des apps d’entreprise développées en interne. Les apps installées à l’aide d’une solution MDM sont appelées « apps gérées ». Le serveur MDM peut spécifier si les apps gérées et leurs données restent ou non sur l’appareil lorsqu’un utilisateur se désinscrit de la MDM. De plus, le serveur peut empêcher les données de l’app gérée d’être sauvegardées dans iTunes et iCloud. Cela permet aux équipes informatiques de gérer les apps susceptibles de contenir des informations métier sensibles de façon plus contrôlée que les apps téléchargées directement par l’utilisateur. Afin d’installer une app gérée, le serveur MDM envoie une commande d’installation à l’appareil. Sur les appareils non supervisés, les apps gérées nécessitent l’acceptation de l’utilisateur avant d’être installées. Avec iOS 7, les apps gérées bénéficient de contrôles supplémentaires. Les connexions VPN peuvent désormais être spécifiées au niveau de l’app, ce qui signifie que seul le trafic réseau lié à cette app transitera par le tunnel VPN protégé. Ce mécanisme permet de garantir que les données privées restent privées, et que les données publiques ne peuvent pas interférer avec elles. 34 Guide de référence technique pour le déploiement d’iOS Les apps gérées prennent aussi en charge la fonction de gestion des autorisations d’ouverture dans iOS 7. Cela signifie que les apps gérées peuvent être restreintes dans leur capacité à transférer des données depuis ou vers les apps personnelles de l’utilisateur, ce qui permet à l’entreprise de s’assurer que les données sensibles restent là où elles doivent être. Caching Server iOS permet aux utilisateurs d’accéder facilement à des contenus numériques et de les consommer. Certains utilisateurs peuvent demander de nombreux gigaoctets d’apps, de livres et de mises à jour logicielles lorsqu’ils sont connectés au réseau sans fil d’une organisation. La demande de ces ressources arrive par vagues, d’abord avec le déploiement initial des appareils, puis de manière sporadique, à mesure que les utilisateurs découvrent de nouveaux contenus, ou au gré de l’actualisation des contenus. Ces téléchargements de contenus peuvent se traduire par des pics de demande de bande passante Internet. La fonctionnalité Caching Server intégrée à OS X Server réduit la bande passante Internet sortante sur les réseaux privés (RFC1918) en stockant en cache des copies des contenus demandés sur le réseau local. Les réseaux de plus grande envergure bénéficieront de la mise en place de plusieurs serveurs Caching Server. Pour de nombreux déploiements, la configuration de Caching Server revient tout simplement à activer le service. Un environnement NAT (traduction d’adresses réseau) est requis pour le serveur et tous les appareils qui utilisent ce dernier. Pour plus d’informations, reportez-vous à l’article OS X Server: Advanced Administration. Les appareils iOS exécutant iOS 7 contacteront automatiquement un serveur Caching Server à proximité sans configuration supplémentaire des appareils. Voici la façon dont le flux de production Caching Server se comporte de façon transparente vis-à-vis de l’appareil iOS : 1. Lorsqu’un appareil iOS sur un réseau comprenant un ou plusieurs serveurs de mise en cache demande du contenu auprès de l’iTunes Store ou du serveur Mise à jour de logiciels, l’appareil iOS est envoyé vers un serveur de mise en cache. 2. Le serveur de mise en cache (Caching Server) va d’abord vérifier qu’il dispose bien du contenu requis dans son cache local. Si c’est le cas, il commencera immédiatement à transférer le contenu à l’appareil iOS. 3. Si le serveur de mise en cache ne dispose pas des ressources demandées, il essaie de télécharger le contenu depuis une autre source. Caching Server 2 pour OS X Mavericks inclut une fonctionnalité de réplication pair à pair qui peut exploiter d’autres serveurs Caching Server du réseau, si ceux-ci ont déjà téléchargé le contenu requis. 4. Dès que le serveur de mise en cache reçoit les données de téléchargement, il les relaie immédiatement à tout client les ayant demandées et en met simultanément une copie en cache. Les types de contenus en cache suivants sont pris en charge par iOS 7 : • Mises à jour logicielles iOS • Apps de l’App Store • Mises à jour de l’App Store • Livres de l’iBooks Store iTunes prend également en charge Caching Server 2. Les types de contenus suivants sont pris en charge par iTunes 11.0.4 ou version ultérieure (pour Mac et Windows) : • Apps de l’App Store • Mises à jour de l’App Store • Livres de l’iBooks Store 35 Guide de référence technique pour le déploiement d’iOS Annexe A : Infrastructure Wi-Fi Lors de la préparation de l’infrastructure Wi-Fi pour un déploiement iOS, plusieurs facteurs doivent être pris en compte : • Zone de couverture souhaitée • Nombre et densité d’appareils exploitant le réseau Wi-Fi • Types d’appareils et leurs fonctionnalités Wi-Fi • Type et quantité de données transmises • Mesures de sécurité pour accéder au réseau sans fil • Exigences de chiffrement Bien que cette liste ne soit pas exhaustive, elle inclut les principaux critères de conception de réseaux Wi-Fi. Rappel : ce chapitre aborde l’architecture de réseaux Wi-Fi aux États-Unis. Certains aspects ne sont pas forcément applicables à d’autres pays. Planification de la couverture et de la densité Bien qu’il soit essentiel de fournir une couverture Wi-Fi dans le lieu où les appareils iOS seront utilisés, il est tout aussi important de prévoir la concentration d’appareils dans une zone donnée. La plupart des points d’accès de qualité professionnelle sont capables de gérer jusqu’à 50 clients Wi-Fi, même si la qualité de service laisserait sans doute à désirer si un tel nombre d’appareils était associé à un seul point d’accès. L’expérience utilisateur sur chaque appareil dépend de la bande passante disponible sur le canal utilisé et du nombre d’appareils qui partagent l’intégralité de la bande passante. Plus le nombre d’appareils utilisant un point d’accès donné augmente, plus la vitesse réseau relative diminue. Lorsque vous concevez votre réseau Wi-Fi, essayez de prendre en compte l’usage anticipé qu’en feront les appareils iOS. 2,4 GHz ou 5 GHz Aux États-Unis, 11 canaux sont disponibles sur les réseaux Wi-Fi à 2,4 GHz. Toutefois, en raison des interférences, seuls les canaux 1, 6 et 11 doivent être utilisés dans la conception d’un réseau. Les signaux à 5 GHz ne pénètrent pas les murs et autres obstacles aussi efficacement que les signaux à 2,4 GHz, ce qui se traduit par des zones de couverture plus réduites. Dès lors, les réseaux à 5 GHz sont à privilégier si vous prévoyez une densité élevée d’appareils dans un espace restreint, comme une salle de classe. Le nombre de canaux disponibles dans la bande des 5 GHz varie d’un fournisseur de points d’accès à l’autre et d’un pays à l’autre, mais au moins huit canaux seront toujours disponibles. Les canaux à 5 GHz ne se chevauchent pas, ce qui est considérablement moins contraignant que la limite de trois canaux qui ne se chevauchent pas sur la bande des 2,4 GHz. Lorsque vous concevez un réseau Wi-Fi pour une densité importante d’appareils iOS, les canaux supplémentaires de la bande des 5 GHz deviennent un point stratégique. ! 36 Guide de référence technique pour le déploiement d’iOS Prise en compte de la couverture L’agencement physique du bâtiment peut avoir un impact sur la conception de votre réseau Wi-Fi. Par exemple, dans le cas d’une entreprise, les utilisateurs assisteront souvent à des réunions avec d’autres employés dans des salles de conférence ou des bureaux. Ils seront ainsi amenés à se déplacer au sein du bâtiment tout au long de la journée. Dans ce scénario, l’essentiel des accès réseau provient de la consultation des e-mails, de la gestion des calendriers et de la navigation sur Internet, si bien que la couverture Wi-Fi est la principale priorité. L’architecture du réseau Wi-Fi pourra intégrer deux ou trois points d’accès par étage pour couvrir les bureaux, ainsi qu’un point d’accès par salle de réunion. Prise en compte de la densité Comparez le scénario précédent avec un lycée accueillant 1 000 élèves et 30 enseignants dans un bâtiment de deux étages. Chaque élève reçoit un iPad et chaque enseignant reçoit un MacBook Air et un iPad. Il y a environ 35 élèves par classe. Les salles de classe se jouxtent. Tout au long de la journée, les élèves font des recherches sur Internet, regardent des vidéos dans le cadre des cours et échangent des fichiers avec un serveur de fichiers sur le réseau local. La conception du réseau Wi-Fi dans un tel scénario est plus complexe en raison de la forte densité d’appareils. Comme chaque classe accueille environ 35 élèves, un point d’accès par classe pourra être déployé. Plusieurs points d’accès risquent d’être nécessaires dans les espaces partagés pour fournir une couverture adéquate. Le nombre précis de points d’accès à déployer dans ces espaces partagés dépend de la densité des appareils Wi-Fi. Si les appareils ne prenant en charge que les normes 802.11b ou 802.11g doivent s’intégrer au réseau, l’une des options consiste à activer le 802.11b/g si des points d’accès bibandes sont déployés. Vous pouvez également créer un réseau (identifiant SSID distinct) qui exploite le 802.11n à 5 GHz pour les appareils les plus récents et un deuxième réseau qui exploite la bande de 2,4 GHz pour les appareils compatibles 802.11b et 802.11g. Veillez toutefois à ne pas créer trop de SSID. Il convient par ailleurs d’éviter les SSID masqués dans le cadre de ces deux scénarios. En effet, il est plus compliqué pour un appareil Wi-Fi de se reconnecter à un SSID masqué qu’à un SSID public. Qui plus est, les avantages des SSID masqués en matière de sécurité sont insignifiants. Les utilisateurs ont tendance à se déplacer tout le temps avec leurs appareils iOS. Les SSID masqués peuvent rallonger les délais d’association au réseau. Normes Wi-Fi exploitées par les produits Apple La prise en charge par les produits Apple des différentes spécifications Wi-Fi est détaillée dans la liste ci-dessous, qui comprend les informations suivantes : • Compatibilité 802.11. 802.11b/g, 802.11a, 802.11n • Bande de fréquences. 2,4 GHz ou 5 GHz • Index MCS. L’index MCS (Modulation and Coding Scheme, schéma du codage et de la modulation) définit le taux de transmission maximum auquel les appareils 802.11n peuvent communiquer. • Agrégation de liens. HD20 ou HD40 ! 37 Guide de référence technique pour le déploiement d’iOS • Intervalle de garde (GI). L’intervalle de garde correspond à l’espace (temporel) entre la transmission de symboles d’un appareil vers un autre. La norme 802.11n spécifie un intervalle de garde court de 400 ns qui permet d’accélérer le débit d’ensemble, mais les appareils peuvent utiliser un intervalle plus long de 800 ns. iPhone 5s 802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HT40 / GI 400 ns iPhone 5c 802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HT40 / GI 400 ns iPhone 5 802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HD40 / GI 400 ns iPhone 4s 802.11n à 2,4 GHz 802.11/b/g Index MCS 7 / HD20 / GI 800 ns iPhone 4 802.11n à 2,4 GHz 802.11/b/g Index MCS 7 / HD20 / GI 800 ns iPad Air et iPad mini avec écran Retina 802.11n à 2,4 GHz et 5 GHz 802.11 a/b/g Index MCS 15 / HT40 / GI 400 ns iPad (4e génération) et iPad mini 802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HD40 / GI 400 ns iPad (1re, 2e et 3e générations) 802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HD20 / GI 800 ns iPod touch (5e génération) 802.11n à 2,4 GHz et 5 GHz 802.11a/b/g Index MCS 7 / HD40 / GI 400 ns iPod touch (4e génération) 802.11n à 2,4 GHz 802.11/b/g Index MCS 7 / HD20 / GI 800 ns ! 38 Guide de référence technique pour le déploiement d’iOS Annexe B : Restrictions iOS prend en charge les règles et restrictions suivantes qui, toutes, peuvent être configurées pour répondre aux besoins de votre organisation. Fonctionnalité des appareils • Autoriser l’installation d’apps • Autoriser Siri • Autoriser Siri lorsque l’appareil est verrouillé • Autoriser l’utilisation de l’appareil photo • Autoriser FaceTime • Autoriser les captures d’écran • Autoriser la synchronisation automatique en itinérance • Autoriser la synchronisation des messages Mail récents • Autoriser la composition vocale • Autoriser les achats intégrés • Exiger le mot de passe du Store pour tous les achats • Autoriser les jeux multijoueurs • Autoriser l’ajout d’amis Game Center • Définir les classements de contenus autorisés • Autoriser Touch ID • Autoriser l’accès au Centre de contrôle depuis l’écran de verrouillage • Autoriser l’accès au Centre de notifications depuis l’écran de verrouillage • Autoriser l’accès à la vue Aujourd’hui depuis l’écran de verrouillage • Autoriser les notifications Passbook sur l’écran de verrouillage Applications • Autoriser l’utilisation de l’iTunes Store • Autoriser l’utilisation de Safari • Définir les préférences de sécurité de Safari iCloud • Autoriser la sauvegarde • Autoriser la synchronisation des documents et des trousseaux • Autoriser Mon flux de photos • Autoriser le partage de photos iCloud ! 39 Guide de référence technique pour le déploiement d’iOS Sécurité et confidentialité • Autoriser l’envoi des données de diagnostic à Apple • Autoriser l’utilisateur à accepter des certificats non fiables • Forcer les copies de sauvegarde chiffrées • Autoriser l’ouverture d’éléments issus d’une app non gérée dans des apps gérées • Autoriser l’ouverture d’éléments issus d’une app gérée dans des apps non gérées • Exiger un code lors du premier jumelage d’AirPlay • Autoriser les mises à jour à distance de l’infrastructure à clé publique (PKI) • Exiger la limite du suivi publicitaire Restrictions en mode supervisé uniquement • Mode app individuelle uniquement • Réglages d’accessibilité • Autoriser iMessage • Autoriser Game Center • Autoriser la suppression des apps • Autoriser l’iBooks Store • Autoriser la littérature érotique de l’iBooks Store • Activer le filtre antigrossièretés de Siri • Autoriser l’installation manuelle des profils de configuration • Proxy réseau mondial pour HTTP • Autoriser le jumelage avec les ordinateurs pour la synchronisation du contenu • Restreindre les connexions AirPlay grâce à une liste blanche et à des codes de connexion facultatifs • Autoriser AirDrop • Autoriser la modification des comptes • Autoriser la modification des réglages de données cellulaires • Autoriser Localiser mes amis • Autoriser le jumelage d’appareils hôtes (iTunes) • Autoriser le verrouillage d’activation ! ! 40 Guide de référence technique pour le déploiement d’iOS Annexe C : Installation sans fil d’apps développées en interne iOS prend en charge l’installation à distance d’apps personnalisées développées en interne sans le recours à iTunes ou à l’App Store. Conditions requises : • Un serveur web sécurisé accessible par les utilisateurs authentifiés • Une app iOS au format .ipa, conçue pour une version/version finale avec un profil d’approvisionnement d’entreprise • Un fichier manifeste XML, décrit dans cette annexe • Une configuration réseau permettant aux appareils d’accéder à un serveur iTunes Apple L’installation de l’app est simple. Les utilisateurs téléchargent sur leur appareil iOS le fichier manifeste à partir de votre site web. Le fichier manifeste demande à l’appareil de télécharger et d’installer les apps qui y sont référencées. Vous pouvez distribuer l’URL de téléchargement du fichier manifeste par SMS ou par e-mail ou en l’intégrant dans une autre app d’entreprise que vous avez créée. Vous pouvez concevoir et héberger comme vous l’entendez le site web utilisé pour distribuer les apps. Assurez-vous que les utilisateurs sont authentifiés, par exemple en utilisant une authentification de base ou par répertoire, et que le site web est accessible via votre intranet ou Internet. Vous pouvez placer l’app et le fichier manifeste dans un répertoire masqué ou dans tout autre emplacement lisible par HTTP ou HTTPS. Si vous créez un portail en libre-service, envisagez d’ajouter un Web Clip à l’écran d’accueil de l’utilisateur afin de diriger facilement ce dernier vers le portail, où il pourra trouver des informations sur le futur déploiement, comme les nouveaux profils de configuration, les apps de l’App Store recommandées et les modalités d’inscription à une solution de gestion des appareils mobiles. Préparation d’une app développée en interne en vue d’une distribution sans fil Pour préparer votre app développée en interne en vue d’une distribution sans fil, créez une version archivée (un fichier .ipa) et un fichier manifeste permettant la distribution et l’installation sans fil de l’app. Xcode sert à créer une archive d’app. Signez l’app à l’aide de votre certificat de distribution et joignez votre profil d’approvisionnement de développement d’entreprise à l’archive. Pour plus d’informations sur la construction et l’archivage d’apps, consultez le site iOS Dev Center ou reportez-vous au Guide de l’utilisateur Xcode (Xcode User Guide), disponible dans le menu Help de Xcode. À propos du fichier manifeste sans fil Le fichier manifeste est un fichier plist XML. Il est utilisé par un appareil iOS pour trouver, télécharger et installer des apps à partir de votre serveur web. Le fichier manifeste est créé par Xcode en utilisant des informations que vous fournissez lorsque vous partagez une app archivée pour une distribution en entreprise. Reportez-vous à la section précédente sur la préparation des apps en vue de leur distribution. 41 Guide de référence technique pour le déploiement d’iOS Les champs suivants sont obligatoires : Élément Description URL L’URL HTTPS complète du fichier de l’app (.ipa). display-image Une image PNG de 57 x 57 pixels qui est affichée pendant le téléchargement et l’installation. Indiquez l’URL complète de l’image. full-size-image Une image PNG de 512 x 512 pixels qui représente l’app dans iTunes. bundle-identifier L’identifiant de bundle de votre app, exactement tel qu’indiqué dans votre projet Xcode. bundle-version La version de bundle de votre app, telle qu’indiquée dans votre projet Xcode. title Le nom de l’app, qui est affiché pendant le téléchargement et l’installation. ! Pour les apps de Kiosque uniquement, les champs suivants sont obligatoires : Élément Description newsstand-image Une image taille réelle au format PNG pour l’affichage sur l’étagère de Kiosque. UINewsstandBindingEdge UINewsstandBindingType Ces clés doivent correspondre à celles contenues dans le fichier info.plist de l’app Kiosque. UINewsstandApp Indique que l’app est une app Kiosque. Les clés facultatives que vous pouvez utiliser sont indiquées dans le fichier manifeste d’exemple. Par exemple, vous pouvez utiliser les clés MD5 si votre fichier d’app est volumineux et que vous souhaitez assurer une intégrité de téléchargement supérieure à la correction d’erreur normalement effectuée pour une communication TCP. Vous pouvez installer plusieurs apps avec un unique fichier manifeste, en spécifiant les membres supplémentaires de la table d’éléments. Un exemple de fichier manifeste figure à la fin de cette annexe. Construction de votre site web Téléchargez les éléments suivants vers une zone de votre site web à laquelle peuvent accéder vos utilisateurs authentifiés : • Le fichier d’app (.ipa) • Le fichier manifeste (.plist) L’apparence de votre site web peut être une simple page web contenant un lien vers le fichier manifeste. Lorsqu’un utilisateur touche le lien web, le fichier manifeste est téléchargé, ce qui déclenche le téléchargement et l’installation des apps qu’il décrit. Voici un exemple de lien : <a href=”itms-services://?action=downloadmanifest&url=http://exemple.com/manifest.plist”>Installer l’app</a> 42 Guide de référence technique pour le déploiement d’iOS N’ajoutez pas de lien web vers l’app archivée (.ipa). Le fichier .ipa est téléchargé par l’appareil lors du chargement du fichier manifeste. Bien que la portion de l’URL correspondant au protocole soit itms-services, l’iTunes Store n’est pas impliqué dans ce processus. Vérifiez également que votre fichier .ipa est accessible via HTTPS et que votre site est signé à l’aide d’un certificat approuvé par iOS. L’installation échouera si un certificat auto-signé ne dispose pas d’une ancre de confiance et ne peut pas être validé par l’appareil iOS. Configuration des types MIME du serveur Il peut être nécessaire de configurer votre serveur web de sorte que le fichier manifeste et le fichier d’app soient transmis correctement. Pour OS X Server, ajoutez les types MIME suivants aux réglages Types MIME du service web : application/octet-stream ipa text/xml plist Pour IIS, utilisez IIS Manager pour ajouter le type MIME dans la page de propriétés du serveur : .ipa application/octet-stream .plist text/xml Résolution des problèmes liés à la distribution d’apps sans fil Si la distribution d’apps sans fil échoue avec un message d’impossibilité de téléchargement, vérifiez les points suivants : • Assurez-vous que l’app est correctement signée. Testez-la en l’installant sur un appareil à l’aide d’Apple Configurator, et voyez si des erreurs se produisent. • Assurez-vous que le lien vers le fichier manifeste est correct et que le fichier manifeste est accessible aux utilisateurs web. • Assurez-vous que l’URL du fichier .ipa (dans le fichier manifeste) est correcte et que le fichier .ipa est accessible aux utilisateurs web via HTTPS. Configuration réseau requise Si les appareils sont connectés à un réseau interne fermé, il est conseillé d’autoriser les appareils iOS à accéder aux éléments suivants : URL Raison ax.init.itunes.apple.com L’appareil obtient la limite de taille de fichier actuelle pour le téléchargement d’apps sur le réseau cellulaire. Si ce site n’est pas joignable, l’installation peut échouer. ocsp.apple.com L’appareil se connecte à ce site afin de consulter l’état du certificat de distribution utilisé pour signer le profil d’approvisionnement. Consultez la section « Validation de certificat », plus bas. Mise à disposition d’apps mises à jour Les apps que vous distribuez vous-même ne sont pas mises à jour automatiquement. Lorsque vous avez une nouvelle version qui doit être installée par les utilisateurs, avertissez-les de la mise à jour et expliquez-leur comment installer l’app. Il est souhaitable que l’app recherche les mises à jour et informe l’utilisateur à son ouverture. Si vous avez recours à la distribution d’apps sans fil, la notification peut fournir un lien vers le fichier manifeste de l’app mise à jour. ! 43 Guide de référence technique pour le déploiement d’iOS Si vous souhaitez que les utilisateurs conservent les données de l’app stockées sur leur appareil, assurez-vous que la nouvelle version utilise la même clé pour bundle-identifier que celle qu’elle remplace et demandez aux utilisateurs de ne pas supprimer l’ancienne version avant d’installer la nouvelle. La nouvelle version remplace l’ancienne et conserve les données stockées sur l’appareil si les valeurs bundle-identifier correspondent. Les profils d’approvisionnement de distribution expirent 12 mois après leur date d’émission. Après la date d’expiration, le profil est supprimé et l’app ne se lancera plus. Avant qu’un profil d’approvisionnement n’arrive à expiration, utilisez le portail de développement iOS pour créer un nouveau profil pour l’app. Créez une nouvelle archive d’app (.ipa) à l’aide du nouveau profil d’approvisionnement, pour les utilisateurs qui installent l’app pour la première fois. Pour les utilisateurs ayant déjà installé l’app, vous souhaitez peut-être planifier la sortie de votre prochaine version de façon à ce qu’elle comprenne le nouveau profil d’approvisionnement. Si ce n’est pas le cas, vous pouvez simplement distribuer le fichier .mobileprovision, pour que les utilisateurs n’aient pas à réinstaller l’app. Le nouveau profil d’approvisionnement écrasera celui qui se trouve dans l’archive de l’app. Les profils d’approvisionnement peuvent être installés et gérés à l’aide d’une solution MDM, téléchargés et installés par les utilisateurs à partir d’un site web sécurisé que vous fournissez, ou distribués à ces derniers sous forme de pièce jointe à un e-mail à ouvrir et installer. Une fois que votre certificat de distribution aura expiré, l’app ne s’ouvrira plus. Votre certificat de distribution est valide pour une durée de 3 ans à partir de sa date d’émission, ou jusqu’à l’expiration de votre adhésion au programme Developer Enterprise, selon la date qui arrive en premier Pour éviter l’expiration prématurée de votre certificat, assurez-vous de renouveler votre adhésion avant qu’elle n’expire. Pour en savoir plus sur la vérification du certificat de distribution, consultez la section « Validation de certificat » ci-dessous. Vous pouvez disposer de deux certificats de distribution actifs simultanément, chacun étant indépendant de l’autre. Le second certificat permet de mettre à jour les apps avant que le premier certificat n’expire. Lors de la demande de votre second certificat de distribution auprès du centre de développement iOS, assurez-vous de ne pas révoquer le premier certificat. Validation de certificat La première fois qu’un utilisateur ouvre une app sur un appareil, le certificat de distribution est validé en contactant le serveur OCSP d’Apple. À moins que le certificat ne soit révoqué, l’exécution de l’app est autorisée. L’impossibilité de contacter le serveur OCSP ou d’obtenir une réponse de celui-ci n’est pas considérée comme une révocation. Pour vérifier le statut, l’appareil doit être en mesure d’accéder à ocsp.apple.com. Consultez la section « Configuration réseau requise », plus haut dans cette annexe. La réponse OCSP est mise en cache sur l’appareil pendant une période indiquée par le serveur OCSP, à l’heure actuelle, entre trois et sept jours. La validité du certificat n’est pas vérifiée à nouveau tant que l’appareil n’a pas redémarré et que la réponse mise en cache n’a pas expiré. Si une révocation est reçue à ce moment-là, l’exécution de l’app est interdite. La révocation d’un certificat de distribution invalide toutes les apps que vous avez signées à l’aide de ce dernier. Ne révoquez un certificat qu’en dernier recours : en cas de perte de la clé privée ou de suspicion de compromission du certificat. ! 44 Guide de référence technique pour le déploiement d’iOS Exemple de fichier manifeste d’app <!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/ DTDs/PropertyList-1.0.dtd”> <plist version=”1.0”> <dict> <!-- matrice de téléchargements. --> <key>items</key> <array> <dict> <!-- matrice de ressources à télécharger --> <key>assets</key> <array> <!-- paquet-logiciel : le fichier ipa à installer. --> <dict> <!-- requis. le type de ressource. --> <key>kind</key> <string>software-package</string> <!-- facultatif. md5 tous les n bits. redémarre un bloc si md5 échoue. --> <key>md5-size</key> <integer>10485760</integer> <!-- facultatif. matrice de hachage md5 pour chaque bloc « taille md5 ». --> <key>md5s</key> <array> <string>41fa64bb7a7cae5a46bfb45821ac8bba</string> <string>51fa64bb7a7cae5a46bfb45821ac8bba</string> </array> <!-- requis. l’URL du fichier à télécharger. --> <key>url</key> <string>http://www.example.com/apps/foo.ipa</string> </dict> <!-- image-affichage : l’icône à afficher pendant le téléchargement.--> <dict> <key>kind</key> <string>display-image</string> <!-- facultatif. indique si l’icône a besoin d’un effet brillant. --> <key>needs-shine</key> <true/> <key>url</key> <string>http://www.example.com/image.57x57.png</string> </dict> <!-- image-taille-réelle : l’icône large 512 x 512 utilisée par iTunes. --> <dict> <key>kind</key> <string>full-size-image</string> <!-- facultatif. un hachage md5 pour tout le fichier. --> <key>md5</key> <string>61fa64bb7a7cae5a46bfb45821ac8bba</string> <key>needs-shine</key> <true/> <key>url</key><string>http://www.example.com/image.512x512.jpg</string> </dict> </array><key>metadata</key> <dict> <!-- required --> <key>bundle-identifier</key> <string>com.example.fooapp</string> <!-- optional (software only) --> <key>bundle-version</key> 45 Guide de référence technique pour le déploiement d’iOS ! <string>1.0</string> <!-- requis. le type de téléchargement. --> <key>kind</key> <string>software</string> <!-- facultatif. affiché pendant le téléchargement ; en général, le nom de la société --> <key>subtitle</key> <string>Apple</string> <!-- requis. le titre à afficher pendant le téléchargement. --> <key>title</key> <string>Exemple d’app d’entreprise</string> </dict> </dict> </array> </dict> </plist> ! 1Des frais de données standard de l’opérateur peuvent s’appliquer. Les messages peuvent être envoyés comme SMS quand iMessage n’est pas disponible ; des frais de messagerie de l’opérateur s’appliquent. 2Les appels FaceTime nécessitent un appareil compatible FaceTime pour l’appelant et l’appelé et une connexion Wi-Fi. FaceTime sur réseau cellulaire nécessite un iPhone 4s (ou ultérieur), un iPad avec écran Retina ou un iPad mini avec capacité de connexion aux données cellulaires. La disponibilité sur réseau cellulaire dépend de la politique des opérateurs. Des frais de données peuvent s’appliquer. 3Siri n’est pas disponible dans toutes les langues ni dans tous les pays, et les fonctionnalités proposées peuvent varier en fonction des zones géographiques. Accès à Internet requis. Des frais de transfert de données cellulaires peuvent s’appliquer. 4Certaines fonctionnalités nécessitent une connexion Wi-Fi. Certaines fonctionnalités ne sont pas disponibles dans tous les pays. L’accès à certains services est limité à 10 appareils. © 2014 Apple Inc. Tous droits réservés. Apple, le logo Apple, AirDrop, AirPlay, Apple TV, Bonjour, FaceTime, iBooks, iMessage, iPad, iPhone, iPod touch, iTunes, Keychain, Keynote, Mac, le logo Mac, MacBook Air, OS X, Pages, Passbook, Retina, Safari, Siri et Xcode sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. AirPrint, iPad Air et iPad mini sont des marques d’Apple Inc. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store et iBooks Store sont des marques de service d’Apple Inc. IOS est une marque commerciale ou déposée de Cisco aux États-Unis et dans d’autres pays, utilisée sous licence. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. 46