Déploiement de l`iPhone et de l`iPad Gestion des appareils

Déploiement de l’iPhone
et de l’iPad
Gestion des appareils mobiles
(MDM)
iOS prend en charge la gestion des appareils mobiles (MDM), offrant aux entreprises
la possibilité de gérer des déploiements évolutifs d’iPhone et d’iPad dans l’ensemble
de leurs services. Ces capacités de gestion des appareils mobiles ont fondées sur les
technologies iOS existantes comme les profils de configuration, l’inscription à distance
(en mode OTA) et le service de notification push Apple (Apple Push Notification
service, APN). Elles peuvent être intégrées aux solutions serveur internes ou tierces. Les
responsables informatiques peuvent déployer iPhone et iPad dans un environnement
professionnel en toute sécurité, configurer et mettre à jour des paramètres sans fil,
vérifier la conformité de l’appareil avec la politique d’entreprise, et même effacer ou
verrouiller à distance des appareils ainsi gérés.
Gestion des iPhone et des iPad
La gestion des appareils iOS se déroule via une connexion à un serveur MDM. Ce
serveur peut être assemblé par le service informatique interne de l’entreprise, ou
obtenu auprès d’un fournisseur tiers. L’appareil communique avec le serveur et
recueille les tâches en attente, puis répond en effectuant les actions correspondantes.
Il peut s’agir de la mise à jour de règles, de l’envoi d’informations sur l’appareil ou le
réseau, ou de la suppression de réglages et de données.
La plupart des fonctions de gestion sont réalisées en arrière-plan et ne nécessitent
aucune interaction avec les utilisateurs. Par exemple, si le service informatique met
à jour son infrastructure VPN, le serveur MDM peut configurer l’iPhone et l’iPad avec
de nouvelles informations de compte à distance. Lors de l’utilisation suivante du VPN
par l’employé, la configuration requise est déjà présente sur l’appareil, ce qui évite un
appel au service d’assistance ou la modification manuelle des réglages.
Coupe-feu
Service de notification
Push d’Apple
Serveur MDM tiers
2
MDM et le service de notification push Apple (APN)
Quand un serveur MDM veut communiquer avec un iPhone ou un iPad, une notification
silencieuse est envoyée à l’appareil via le service de notification push Apple, lui
demandant de se connecter au serveur. Le processus de notification de l’appareil
n’échange aucune information propriétaire avec le service de notification push Apple.
La seule tâche effectuée par la notification push consiste à réveiller l’appareil afin qu’il
se connecte au serveur MDM. Toutes les informations de configuration, les réglages et
les requêtes sont envoyés directement du serveur à l’appareil iOS par une connexion
SSL/TLS chiffrée entre l’appareil et le serveur MDM. iOS gère toutes les requêtes et
actions de MDM en arrière-plan afin d’en limiter l’impact pour l’utilisateur, y compris en
termes d’autonomie, de performances et de fiabilité.
iOS et SCEP
iOS prend en charge le protocole Simple
Certificate Enrollment Protocol (SCEP). SCEP
est un protocole d’enregistrement à l’état
d’Internet draft selon les spécifications de l’IETF.
Il a été conçu pour simplifier la distribution des
certificats dans le cas de déploiements réalisés
à grande échelle. Cette installation permet
une inscription à distance des certificats
d’identité destinés à l’iPhone et à l’iPad et
servant de système d’identification aux services
d’entreprise.
Pour que le serveur de notifications push reconnaisse les commandes du serveur
MDM, un certificat doit au préalable être installé sur le serveur. Ce certificat doit
être demandé et téléchargé depuis le portail de certifcats push Apple (Apple Push
Certificates Portal). Une fois le certificat de notification push Apple téléchargé sur le
serveur MDM, l’inscription des appareils peut débuter. Pour plus d’informations sur la
demande d’un certificat de notification push Apple pour un serveur MDM, consultez la
page www.apple.com/business/mdm.
Configuration réseau pour le service APN
Lorsque les serveurs MDM et les appareils iOS sont protégés par un coupe-feu, il est
nécessaire de procéder à une configuration réseau pour permettre au service MDM
de fonctionner correctement. Pour envoyer des notifications depuis un serveur MDM
vers le service APN, le port TCP 2195 doit être ouvert. Pour bénéficier du service de
feedback, le port TCP 2196 doit également être ouvert. Pour les appareils se connectant
au service push en Wi-Fi, le port TCP 5223 doit être ouvert.
La plage d’adresses IP utilisée pour le service push est susceptible de changer ;
il est normalement prévu qu’un serveur MDM se connecte par nom d’hôte plutôt
que par adresse IP. Le service push met en œuvre une stratégie d’équilibrage des
charges qui fournit une adresse IP différente pour le même nom d’hôte. Ce nom
d’hôte est gateway.push.apple.com (et gateway.sandbox.push.apple.com pour
l’environnement de notification push de développement). Par ailleurs, l’ensemble du
bloc d’adresses 17.0.0.0/8 est attribué à Apple afin d’établir des règles de coupe-feu
spécifiant cette plage.
Pour plus d’informations, adressez-vous à votre fournisseur de solutions MDM ou
consultez la Developer Technical Note TN2265 de la bibliothèque de développement iOS
à l’adresse http://developer.apple.com/library/ios/#technotes/tn2265/_index.html.
Inscription
Une fois le serveur MDM et le réseau configurés, la première étape de la gestion
d’un iPhone ou d’un iPad consiste à inscrire celui-ci auprès d’un serveur MDM. Cela
établit une relation entre l’appareil et le serveur, ce qui permet de gérer l’appareil à la
demande sans autre interaction avec l’utilisateur.
Cela peut être fait en reliant l’iPhone ou l’iPad à un ordinateur via USB, mais la
plupart des solutions fournissent le profil d’inscription sans fil. Certains fournisseurs
de solutions MDM utilisent une app pour démarrer le processus, tandis que d’autres
lancent l’inscription en dirigeant les utilisateurs vers un portail web. Chaque méthode
a ses avantages, et l’une comme l’autre permettent de déclencher le processus
d’inscription à distance («Over-the-Air Enrollment») via Safari.
3
Présentation du processus d’inscription.
Le processus d’inscription en mode OTA suppose des phases qui s’associent en un
flux automatisé afin d’offrir le moyen le plus adaptable d’inscrire des appareils de
façon sécurisée dans un environnement d’entreprise. Ces phases sont les suivantes :
1. Authentification de l’utilisateur
L’authentification de l’utilisateur assure que les demandes d’inscription entrantes
proviennent d’utilisateurs légitimes et que les informations de l’appareil de
l’utilisateur sont capturées avant l’inscription par certificat. L’administrateur peut
inviter l’utilisateur à initier la procédure d’inscription via un portail web, par e-mail,
SMS ou même par le biais d’une app.
2. Inscription par certificat
Une fois l’utilisateur authentifié, iOS génère une requête d’inscription par certificat
à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Cette demande
d’inscription communique directement avec l’autorité de certification (AC) de
l’entreprise et permet à l’iPhone et à l’iPad de recevoir en retour le certificat
d’identité émis par l’AC.
3. Configuration de l’appareil
Une fois que le certificat d’identité est installé, l’appareil peut recevoir un profil de
configuration chiffré à distance. Ces informations ne peuvent être installées que sur
l’appareil auquel elles sont destinées et contiennent des réglages permettant de se
connecter au serveur MDM.
À la fin du processus d’inscription, l’utilisateur voit apparaître un écran d’installation
qui décrit les droits d’accès que le serveur MDM possédera sur l’appareil. Lorsque
l’utilisateur accepte l’installation du profil, son appareil est automatiquement inscrit,
sans intervention supplémentaire.
Une fois l’iPhone et l’iPad inscrits en tant qu’appareils gérés, ils peuvent être
configurés de façon dynamique à l’aide de réglages, interrogés pour livrer des
informations ou effacés à distance par le serveur MDM.
Configuration
Pour configurer un appareil à l’aide de comptes, de règles et de restrictions, le
serveur MDM envoie à l’appareil des fichiers appelés Profils de configuration qui
sont installés automatiquement. Les Profils de configuration sont des fichiers XML
qui contiennent des réglages permettant à l’appareil d’interagir avec les systèmes
de votre entreprise : informations de comptes, règles de codes, restrictions et
autres réglages d’appareils. Lorsqu’on l’associe au processus d’inscription décrit
précédemment, la configuration de l’appareil garantit au service informatique que
seuls les utilisateurs de confiance peuvent accéder aux services de l’entreprise et
que leurs appareils sont correctement configurés en fonction des règles établies.
Et comme les profils de configuration peuvent être à la fois signés et chiffrés, les
réglages ne peuvent être ni modifiés, ni partagés avec d’autres.
4
Réglages configurables pris en charge
Comptes
• Exchange ActiveSync
• E-mail IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendriers avec abonnements
Règles de codes de verrouillage
• Exiger un code sur l’appareil
• Autorisation d'une valeur simple
• Demande d'une valeur alphanumérique
• Nombre minimum de caractères
• Nombre minimum de caractères complexes
• Durée de vie maximum du code
• Délai avant verrouillage automatique
• Historique des codes
• Délai supplémentaire pour le verrouillage de
l'appareil
• Nombre maximum de tentatives
Sécurité et confidentialité
• Autoriser l'envoi à Apple des données de
diagnostic
• Autoriser l'utilisateur à accepter des
certificats non fiables
• Forcer les sauvegardes chiffrées
Autres réglages
• Références
• Web Clips
• Réglages SCEP
• Réglages APN
Fonctionnalité des appareils
• Autoriser l'installation d'apps
• Autoriser Siri
• Autoriser l’utilisation de l’appareil photo
• Autoriser FaceTime
• Autoriser la capture d’écran
• Permettre la synchronisation automatique
en déplacement
• Permettre la composition vocale de
numéros
• Autoriser les achats intégrés
• Demander le mot de passe du Store pour
tous les achats
• Autoriser les jeux multijoueurs
• Autoriser l'ajout d'amis dans Game Center
Applications
• Autoriser l'utilisation de YouTube
• Autoriser l'utilisation de l'iTunes Store
• Autoriser l'utilisation de Safari
• Définir les préférences de sécurité de
Safari
iCloud
• Autoriser la sauvegarde
• Autoriser la synchronisation des
documents et des valeurs clés
• Autoriser Flux de photos
Classement du contenu
• Autoriser la musique et les podcasts à
contenu explicite
• Définir la région du classement
• Définir les classements de contenus
autorisés
5
Interrogation des appareils
Outre la configuration, un serveur MDM a la capacité de demander aux appareils
toute une gamme d’informations. Ces informations peuvent servir à s’assurer que les
appareils continuent à respecter les règles en vigueur
Requêtes prises en charge
Informations sur les appareils
• Identifiant unique de l'appareil (UDID)
• Nom de l'appareil
• iOS et version
• Nom et numéro du modèle
• Numéro de série
• Capacité et espace disponible
• Numéro IMEI
• Firmware du modem
• Niveau de la batterie
Informations réseau
• ICCID
• Adresses MAC Bluetooth® et Wi-Fi
• Réseau et opérateur actuel
• Opérateur de l'abonné
• Version des réglages de l'opérateur
• Téléphone
• Paramètre d'itinérance des données (activer/
désactiver)
Informations de conformité et de sécurité
• Profils de configuration installés
• Certificats installés avec des dates
d'expiration
• Recensement de toutes les restrictions en
vigueur
• Capacité de chiffrement matériel
• Utilisation d'un code d'accès
Applications
• Applications installées (ID, nom, version,
taille de l'app et volume des données
de l'app)
• Profils d'approvisionnement installés avec
des dates d'expiration
Gestion
Grâce à la gestion des appareils mobiles, un certain nombre de fonctions peuvent
être effectuées par un serveur MDM sur des appareils iOS. Parmi ces tâches, figurent
l’installation et la suppression de profils de configuration et d’approvisionnement,
la gestion des apps, la rupture de la relation MDM et l’effacement à distance d’un
appareil.
Réglages gérés
Au cours du processus initial de configuration d’un appareil, un serveur MDM pousse
vers l’iPhone ou l’iPad des profils de configuration, qui sont installés en coulisses.
Au fil du temps, il peut être nécessaire d’actualiser ou de modifier les réglages et les
règles mis en place au moment de l’inscription. Pour effectuer ces changements, un
serveur MDM peut à tout moment installer de nouveaux profils de configuration et
modifier ou supprimer les profils existants. De même, il peut être nécessaire d’installer
sur des appareils iOS des configurations spécifiques à un contexte particulier, selon
la localisation d’un utilisateur ou son rôle au sein de l’organisation. Par exemple, si
un utilisateur voyage à l’étranger, un serveur MDM peut exiger que ses comptes de
courrier électronique se synchronisent manuellement plutôt qu’automatiquement.
Un serveur MDM peut même désactiver à distance des services voix ou données afin
d’éviter à un utilisateur des frais d’itinérance imposés par un opérateur.
Apps gérées
Un serveur MDM peut gérer des apps tierces de l’App Store ainsi que des applications
créées en interne pour des entreprises. Le serveur peut supprimer à la demande des
apps gérées et les données qui leur sont associées ou préciser si les apps doivent
être supprimées lors de la suppression du profil MDM. En plus, le serveur MDM peut
empêcher la sauvegarde sur iTunes et iCloud des données de l’app gérée.
6
Pour installer une app gérée, le serveur MDM envoie à l’appareil une commande
d’installation. Les apps gérées nécessitent l’acceptation de l’utilisateur avant
d’être installées. Lorsqu’un serveur MDM demande l’installation d’une app gérée
de l’App Store, l’app est acquise à l’aide du compte iTunes utilisé au moment de
l’installation de l’app. Les apps payantes nécessiteront que le serveur MDM envoie
un code d’utilisation du Programme d’achats en volume (VPP, Volume Purchasing
Program). Pour plus d’informations sur le programme VPP, consultez la page
www.apple.com/business/vpp/. Les apps de l’App Store ne peuvent pas être
installées sur l’appareil d’un utilisateur si l’App Store a été désactivé.
Suppression ou effacement d’appareils
Si un appareil ne respecte pas les règles, est perdu ou volé, ou si un employé quitte
la société, un serveur MDM dispose d’un certain nombre de moyens pour protéger
les informations d’entreprise que contient cet appareil
Un administrateur informatique peut mettre fin à la relation MDM avec un appareil
en supprimant le profil de configuration contenant les informations relatives
au serveur MDM. Ainsi, tous les comptes, réglages et apps qu’il avait la charge
d’installer sont supprimés. Le service informatique peut également laisser le profil
de configuration MDM en place et n’utiliser le serveur MDM que pour supprimer
des profils de configuration et des profils d’approvisionnement spécifiques ainsi
que les apps gérées qu’il souhaite supprimer. Cette approche maintient la gestion
de l’appareil par le serveur MDM et évite d’avoir à le réinscrire dès qu’il respecte à
nouveau les règles.
Les deux méthodes donnent au service informatique la capacité de s’assurer que
les informations ne sont disponibles qu’aux utilisateurs et aux appareils respectant
les règles, et de veiller à ce que les données d’entreprise soient supprimées sans
interférer avec les données personnelles d’un utilisateur, comme la musique, les
photos ou des apps personnelles.
Pour supprimer de façon permanente tous les médias et les données de l’appareil et
en restaurer les réglages d’origine, le serveur MDM peut effacer à distance un iPhone
ou un iPad. Si un utilisateur recherche encore son appareil, le service informatique
peut également décider d’envoyer à cet appareil une commande de verrouillage à
distance. Cela a pour effet de verrouiller l’écran et d’exiger le code de sécurité de
l’utilisateur pour le déverrouiller.
Si un utilisateur a tout simplement oublié son code de sécurité, un serveur MDM
peut le supprimer de l’appareil et inviter l’utilisateur à en définir un nouveau dans
un délai de 60 minutes.
Commandes de gestion prises en charge
Réglages gérés
• Installation du profil de configuration
• Suppression du profil de configuration
• Itinérance du service données
• Itinérance du service voix (non disponible chez certains opérateurs)
Apps gérées
• Installation d’apps gérées
• Suppression d’apps gérées
• Recensement de toutes les apps gérées
• Installation de profil d’approvisionnement
• Suppression de profil d’approvisionnement
Commandes de sécurité
• Effacement à distance
• Verrouillage à distance
• Effacement de codes de verrouillage
7
Présentation du processus
Cet exemple illustre le déploiement élémentaire d’un serveur de gestion d’appareils mobiles (MDM).
1
Coupe-feu
3
2
4
Service de notification
Push d’Apple
Serveur MDM tiers
5
1
Un Profil de configuration contenant des informations de serveur de gestion d’appareils mobiles est envoyé à l’appareil.
L’utilisateur voit apparaître les informations sur les éléments qui seront gérés et/ou demandés par le serveur.
2
L’utilisateur installe le profil pour accepter («opt-in») la gestion de l’appareil.
3
L’inscription de l’appareil se fait pendant l’installation du profil. Le serveur valide l’appareil et autorise l’accès.
4
Le serveur envoie une notification «push» invitant l’appareil à s’identifier pour les tâches ou requêtes demandées.
5
L’appareil se connecte directement au serveur via HTTPS. Le serveur envoie les informations concernant les commandes
ou les requêtes.
Pour en savoir plus sur la gestion des appareils mobiles, consultez la page www.apple.com/business/mdm.
© 2011 Apple Inc. Tous droits réservés. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes et Safari sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iCloud et iTunes Store sont
des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple, Inc. Le terme et les logos Bluetooth® sont des marques déposées détenues
par Bluetooth SIG, Inc. et utilisées sous licence par Apple. UNIX est une marque déposée de The Open Group. Les autres noms de produits et de sociétés mentionnés dans ce document peuvent être des
marques de leurs sociétés respectives. Les caractéristiques des produits sont susceptibles d’être modifiées sans préavis. Octobre 2011 L422501B