Déploiement d`iPhone et d`iPad Gestion d`appareils mobiles

Déploiement d`iPhone et d`iPad Gestion d`appareils mobiles

Déploiement d’iPhone et d’iPad
Gestion d’appareils mobiles
iOS prend en charge la gestion d’appareils mobiles (MDM), donnant aux entreprises la
possibilité de gérer le déploiement d’iPhone et d’iPad à l’échelle de toute l’organisation.
Ces possibilités de gestion des appareils mobiles reposent sur des technologies iOS existantes
telles que les profils de configuration, l’inscription sans fil et le service de notification Push
d’Apple, et peuvent être intégrées aux solutions internes ou tierces. Les services des TI ont ainsi
la possibilité d’inscrire iPhone et iPad de façon sécurisée dans l’environnement de l’entreprise,
de configurer et de mettre à jour les réglages, de gérer le respect des politiques de l’entreprise
et même d’exécuter à distance l’effacement ou le verrouillage des appareils gérés.
Gestion d’iPhone et d’iPad
La gestion des appareils iOS s’effectue au moyen d’une connexion à un serveur de gestion
d’appareils mobiles. Ce serveur peut être construit à l’interne par le service des TI ou
acheté auprès d’un fournisseur de solutions. L’appareil communique avec le serveur afin de
déterminer si des tâches sont en attente et répond en exécutant les actions appropriées.
Ces tâches peuvent comprendre la mise à jour des politiques, la transmission des données
demandées au sujet de l’appareil ou du réseau, ou la suppression de réglages et de données.
La plupart des fonctions de gestion sont exécutées en arrière-plan, sans intervention de la
part de l’utilisateur. Par exemple, si le service des TI met à jour son infrastructure de RPV, le
serveur MDM peut configurer iPhone et iPad en fonction des nouvelles données de compte
à distance. La prochaine fois que le RPV est utilisé par l’employé, la configuration correcte
est déjà en place, de sorte que l’employé n’a pas à communiquer avec le service de soutien
ni à modifier manuellement les réglages.
Coupe-feu
Service de notification Push d’Apple
Serveur MDM tiers
2
La gestion d’appareils mobiles et le service de notification
Push d’Apple
Lorsqu’un serveur MDM doit communiquer avec iPhone ou iPad, une notification silencieuse
est envoyée à l’appareil par le service de notification Push d’Apple, qui demande à
l’appareil de se connecter au serveur. La notification de l’appareil n’entraîne l’échange
d’aucune donnée propriétaire entre l’appareil et le service de notification Push d’Apple.
La seule tâche exécutée par la notification Push consiste à réveiller l’appareil afin qu’il se
connecte au serveur MDM. Toutes les données de configuration, tous les réglages et toutes
les interrogations sont envoyés directement du serveur à l’appareil iOS au moyen d’une
connexion SSL/TLS chiffrée entre l’appareil et le serveur MDM. iOS gère toutes les requêtes
et les actions MDM en arrière-plan afin de limiter leur impact sur l’expérience de l’utilisateur,
y compris l’autonomie de la batterie, le rendement et la fiabilité.
iOS et SCEP
iOS prend en charge le protocole d’inscription du
certificat simple (SCEP). Le protocole SCEP est une
première version visant à simplifier la distribution
des certificats dans le cas des déploiements
à grande échelle. Il permet l’inscription sans
fil, sur iPhone et iPad, de certificats de clé
publique qui peuvent ensuite être utilisés
pour l’authentification requise par les services
d’entreprise.
Pour que le serveur de notification Push reconnaisse les commandes provenant du serveur
MDM, un certificat doit d’abord être installé sur le serveur. Ce certificat doit être téléchargé
à partir du portail des certificats Push d’Apple. Une fois que le certificat de notification
Push d’Apple est téléchargé sur le serveur MDM, vous pouvez procéder à l’inscription
des appareils. Pour de plus amples renseignements sur la façon de demander un certificat
de notification Push d’Apple pour la gestion d’appareils mobiles, consultez le site
www.apple.com/business/mdm.
Configuration du réseau pour le service de notification Push d’Apple
Lorsque les serveurs MDM et les appareils iOS se trouvent derrière un coupe-feu, il est
possible qu’une certaine configuration du réseau soit nécessaire pour que le service de
gestion d’appareils mobilesfonctionne correctement. Pour que l’envoi de notifications du
serveur MDM au service de notification Push d’Apple soit possible, le port TCP 2195 doit
être ouvert. Pour qu’il soit possible de joindre le service de réponse, le port TCP 2196 doit
également être ouvert. Dans le cas des appareils se connectant au service Push au moyen
d’une connexion Wi-Fi, le port 5223 doit être ouvert.
La plage d’adresses IP du service Push est susceptible d’être modifiée; normalement,
le serveur MDM établit la connexion par nom d’hôte plutôt que par adresse IP. Le service
Push utilise un jeu d’équilibrage de charge donnant une adresse IP différente pour le même
nom d’hôte. Ce nom d’hôte est gateway.push.apple.com (et gateway.sandbox.push.apple.
com pour l’environnement de notification Push de développement). De plus, tout le bloc
d’adresses 17.0.0.0/8 est assigné à Apple, de sorte que les règles du coupe-feu peuvent être
établies de manière à préciser cette plage.
Pour de plus amples renseignements à ce sujet, consultez votre fournisseur de services
de gestion d’appareils mobiles ou le document Technical Note TN2265 à l’intention des
développeurs dans la bibliothèque des développeurs iOS, à l’adresse suivante :
http://developer.apple.com/library/ios/#technotes/tn2265/_index.html.
Inscription
Une fois la configuration du serveur MDM et du réseau effectuée, la première étape de
la gestion d’un appareil iPhone ou iPad consiste à l’inscrire auprès d’un serveur MDM.
Une relation est alors créée entre l’appareil et le serveur, permettant au serveur de gérer
l’appareil sur demande sans intervention de la part de l’utilisateur.
Cette inscription peut s’effectuer en reliant iPhone ou iPad à un ordinateur par connexion
USB, mais la plupart des solutions transmettent le profil d’inscription par connexion sans
fil. Certains fournisseurs de services de gestion d’appareils mobiles utilisent une application
pour démarrer le processus; d’autres lancent l’inscription en demandant aux utilisateurs
d’accéder à un portail Web. Chaque méthode comporte des avantages, et les deux
méthodes sont utilisées pour déclencher l’inscription sans fil par l’intermédiaire de Safari.
3
Aperçu du processus d’inscription
L’inscription sans fil comporte des étapes rassemblées de manière à créer un flux de
travail automatisé et le moyen le mieux dimensionnable d’inscrire les appareils de façon
sécurisée dans un environnement d’entreprise. Étapes du processus :
1. Authentification de l’utilisateur
L’authentification de l’utilisateur permet de s’assurer que les demandes d’inscription
entrantes proviennent d’utilisateurs autorisés et que les données relatives à l’appareil
de l’utilisateur sont enregistrées avant que l’inscription du certificat soit effectuée.
Les administrateurs peuvent inviter l’utilisateur à démarrer le processus d’inscription
par l’intermédiaire d’un portail Web, d’un courriel, d’un message texte ou même d’une
application.
2. Inscription du certificat
Une fois l’utilisateur authentifié, iOS génère une demande d’inscription du certificat en
utilisant le protocole SCEP. La demande d’inscription est communiquée directement
à l’autorité de certification de l’entreprise et permet à iPhone et à iPad de recevoir en
réponse le certificat de clé publique envoyé par l’autorité de certification.
3. Configuration de l’appareil
Une fois le certificat de clé publique installé, l’appareil peut recevoir les données de
configuration chiffrées par connexion sans fil. Ces données ne peuvent être enregistrées
que sur l’appareil auquel elles sont destinées et contiennent les réglages nécessaires à
l’établissement de la connexion avec le serveur MDM.
À la fin du processus d’inscription, un écran d’installation s’affiche, décrivant à l’utilisateur
les droits d’accès du serveur MDM sur l’appareil. Lorsque l’utilisateur accepte l’installation
du profil, l’appareil est automatiquement inscrit sans autre intervention de la part de
l’utilisateur.
Une fois iPhone et iPad inscrits en tant qu’appareils gérés, ils peuvent être configurés de
façon dynamique avec les réglages voulus, interrogés en vue de l’obtention de divers
renseignements ou effacés à distance par le serveur MDM.
Configuration
Pour configurer un appareil afin de lui assigner des comptes, des politiques et des
restrictions, le serveur MDM envoie à l’appareil des fichiers, les profils de configuration,
qui sont alors automatiquement installés. Les profils de configuration sont des fichiers
XML qui contiennent les réglages qui permettent à l’appareil de fonctionner au sein
des systèmes de l’entreprise, y compris les données de compte, les politiques relatives
aux codes de sécurité et d’autres réglages. La configuration de l’appareil, associée au
processus d’inscription discuté précédemment, donne au service des TI l’assurance que
seuls les utilisateurs autorisés accèdent aux services de l’entreprise et que les appareils
sont correctement configurés conformément aux politiques établies.
De plus, comme les profils de configuration peuvent être signés et chiffrés, les réglages
ne peuvent être altérés ni être divulgués à autrui.
4
Réglages configurables pris en charge
Comptes
• Exchange ActiveSync
• Messagerie IMAP/POP
• Wi-Fi
• RPV
• LDAP
• CardDAV
• CalDAV
• Abonnements à des calendriers
Politiques concernant les codes de sécurité
• Code de sécurité requis sur l’appareil
• Valeur simple permise
• Valeur alphanumérique requise
• Longueur minimale du code de sécurité
• Nombre minimal de caractères complexes
• Période de validité maximale du code de
sécurité
• Délai précédant le verrouillage automatique
• Historique des codes de sécurité
• Délai de verrouillage de l’appareil
• Nombre maximal de tentatives infructueuses
Fonctionnalité de l’appareil
• Installation d’apps permise
• Siri permis
• Utilisation de l’appareil photo permise
• FaceTime permis
• Capture de page permise
• Synchronisation automatique permise
durant l’itinérance
• Numérotation vocale permise
• Achats à même les apps permis
• Identifiant requis pour tous les achats
• Jeu multijoueur permis
• Ajout d’amis Game Center permis
Applications
• Utilisation de YouTube permise
• Utilisation de l’iTunes Store permise
• Utilisation de Safari permise
• Définition des réglages de sécurité de Safari
iCloud
• Sauvegarde permise
• Synchronisation des documents et des
valeurs de clés permise
• Flux de photos permis
Sécurité et confidentialité
• Envoi des données de diagnostic à Apple
permis
• Approbation des certificats non fiables permise Cotes de contenu
• Musique et podcasts au contenu explicite
• Sauvegarde cryptée forcée
permis
Autres réglages
• Cotes établies pour les régions
• Authentifiant
• Cotes établies de contenu permis
• Clips Web
• Réglages SCEP
• Réglages APN
5
Interrogation des appareils
En plus de la configuration, le serveur MDM peut interroger les appareils afin d’obtenir
divers renseignements. Ces renseignements peuvent être utilisés pour s’assurer que les
appareils sont toujours conformes aux politiques exigées.
Interrogations prises en charge
Données relatives à l’appareil
• Identifiant unique d’appareil (UDID)
• Nom de l’appareil
• Version iOS et numéro de version
• Nom et numéro de modèle
• Numéro de série
• Mémoire et espace disponible
• IMEI
• Micrologiciel du modem
• Niveau de la batterie
Renseignements sur le réseau
• ICCID
• Adresses BluetoothMD et Wi-Fi sur MAC
• Réseau du fournisseur actuel
• Réseau du fournisseur de l’abonné
• Version des réglages du fournisseur
• Numéro de téléphone
• Paramètre d’itinérance des données
(interrupteur)
Informations sur la conformité et la
sécurité
• Profils de configuration installés
• Certificats installés avec dates d’expiration
• Liste de toutes les restrictions imposées
• Possibilité de chiffrement matériel
• Code de verrouillage présent
Applications
• Applications installées (ID de l’application,
nom, version, taille et taille des données
de l’application)
• Profils d’approvisionnement installés et
dates d’expiration
Gestion
Le serveur MDM peut exécuter un bon nombre de fonctions sur les appareils iOS. Ces tâches
comprennent l’installation et la suppression de profils de configuration et de profils
d’approvisionnement, la gestion d’applications, la mise à terme de la relation avec le serveur
MDM et l’effacement à distance d’un appareil.
Réglages gérés
Pendant le processus de configuration initial d’un appareil, un serveur MDM pousse les
profils de configuration vers les appareils iPhone et iPad installés en arrière-plan. Avec le
temps, il peut être nécessaire de mettre à jour ou de modifier les politiques et les réglages
mis en place au moment de l’inscription. Pour apporter ces modifications, le serveur MDM
peut à tout moment installer de nouveaux profils de configuration et modifier ou supprimer
les profils existants. De plus, il peut être nécessaire d’installer des configurations propres au
contexte sur des appareils iOS, selon l’emplacement de l’utilisateur ou le rôle de ce dernier
au sein de l’organisation. Par exemple, si un utilisateur voyage à l’étranger, un serveur
MDM peut exiger que les comptes de courriel soient synchronisés manuellement plutôt
qu’automatiquement. Un serveur MDM peut même désactiver à distance les services de
téléphonie et de données afin d’empêcher l’utilisateur d’engager des frais d’itinérance
auprès d’un fournisseur de services sans fil.
Applications gérées
Un serveur MDM peut gérer les applications tierces provenant de l’App Store ainsi que les
applications internes de l’entreprise. Le serveur peut retirer les applications gérées et les
données qui leur sont associées sur demande ou indiquer si les applications sont retirées
lorsque le profil MDM est retiré. De plus, le serveur MDM peut empêcher la sauvegarde des
données des applications gérées sur iTunes et iCloud.
6
Pour installer une application gérée, le serveur MDM envoie une commande d’installation
à l’appareil de l’utilisateur. Les applications gérées doivent être acceptées par l’utilisateur
pour être installées. Lorsqu’un serveur MDM demande l’installation d’une application
gérée à partir de l’App Store, l’application est échangée dans le compte iTunes en
cours d’utilisation au moment où l’application est installée. Dans le cas des applications
payantes, le serveur MDM doit envoyer un code d’échange VPP (Volume Purchasing
Program). Pour de plus amples renseignements au sujet du VPP, consultez le site
www.apple.com/business/vpp/). Les applications provenant de l’App Store ne peuvent
pas être installées sur l’appareil d’un utilisateur si l’App Store a été désactivé.
Retrait ou effacement d’appareils
Si un appareil ne respecte pas la politique, est perdu ou a été volé, ou si un employé
quitte l’entreprise, un serveur MDM peut prendre des mesures afin de protéger les
données de l’entreprise de différentes façons.
Un administrateur du service des TI peut mettre fin à la relation MDM avec l’appareil
en retirant le profil de configuration qui contient les données relatives au serveur MDM.
Tous les comptes, toutes les applications et tous les réglages installés par le serveur
sont alors supprimés de l’appareil. Le service des TI peut aussi laisser en place le profil
de configuration MDM et utiliser la gestion d’appareils mobiles pour retirer les profils
de configuration, les profils d’approvisionnement et les applications gérées à supprimer.
Cette approche fait en sorte que l’appareil continue d’être géré par MDM, de sorte qu’il
n’est pas nécessaire de réinscrire l’appareil lorsque celui-ci est de nouveau conforme à
la politique.
Les deux méthodes permettent au service des TI de s’assurer que seuls les utilisateurs et
les appareils conformes ont accès à l’information et que les données d’entreprise sont
supprimées sans nuire aux données personnelles de l’utilisateur, par exemple la musique,
les photos ou les applications personnelles.
Pour supprimer définitivement tout le contenu multimédia et toutes les données de
l’appareil et réinitialiser les réglages aux valeurs d’usine, MDM peut effectuer l’effacement
à distance d’iPhone et d’iPad. Si un utilisateur cherche encore son appareil, le service des
TI peut aussi envoyer une commande de verrouillage à distance à celui-ci. L’écran est
alors verrouillé et le code de sécurité de l’utilisateur est nécessaire pour le déverrouiller.
Si un utilisateur oublie son code de sécurité, un serveur MDM peut le retirer de l’appareil
et inviter l’utilisateur à créer un nouveau code de sécurité dans les 60 minutes qui suivent.
Commandes de gestion prises en charge
Réglages gérés
• Installation de profil de configuration
• Retrait de profil de configuration
• Itinérance de données
• Itinérance téléphonique (option non offerte par tous les fournisseurs)
Applications gérées
• Installation d’applications gérées
• Suppression d’applications gérées
• Liste de toutes les applications gérées
• Installation de profil d’approvisionnement
• Retrait de profil d’approvisionnement
Commandes de sécurité
• Effacement à distance
• Verrouillage à distance
• Effacement du code de sécurité
7
Aperçu du processus
Cet exemple illustre le déploiement de base d’un serveur de gestion d’appareils mobiles (MDM).
1
Coupe-feu
3
2
4
Service de notification Push d’Apple
Serveur MDM tiers
5
1
Un profil de configuration contenant les données relatives au serveur de gestion d’appareils mobiles est envoyé à l’appareil. L’utilisateur
reçoit des renseignements sur les éléments gérés par le serveur ou faisant l’objet d’interrogations de la part de celui-ci.
2
L’utilisateur installe le profil pour faire de l’appareil un appareil géré.
3
L’inscription de l’appareil s’effectue lorsque le profil est installé. Le serveur valide l’appareil et en autorise l’accès.
4
Le serveur envoie une notification Push invitant l’appareil à se connecter au serveur pour vérifier si des tâches ou des interrogations
doivent être exécutées.
5
L’appareil se connecte directement au serveur par HTTPS. Le serveur envoie des commandes ou demande des renseignements.
Pour de plus amples renseignements sur la gestion d’appareils mobiles, consultez le site www.apple.com/business/mdm.
© 2011 Apple Inc. Tous droits réservés. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes et Safari sont des marques de commerce d’Apple Inc., enregistrées aux États-Unis et dans d’autres pays. iCloud et
iTunes Store sont des marques de service d’Apple Inc., enregistrées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. La marque et le logo Bluetooth sont des marques
déposées de Bluetooth SIG, Inc. et toute utilisation de ces marques par Apple est effectuée sous licence. UNIX est une marque déposée de The Open Group. Les autres produits et dénominations sociales
mentionnés ici peuvent être des marques de commerce de leurs sociétés respectives. Les caractéristiques des produits peuvent changer sans préavis. Octobre 2011 L422501B