Apple Référence pour le déploiement iOS - Référence pour le déploiement iOS

Référence pour le 

déploiement iOS

KKApple Inc. 

© 2015 Apple Inc. Tous droits réservés. 

Apple, le logo Apple, AirDrop, AirPlay, Apple TV, Bonjour, 

FaceTime, FileVault, iBooks, iLife, iMessage, iPad, iPad Air, 

iPhone, iPod, iPod touch, iTunes, iWork, Keychain, Keynote, Mac, 

MacBook Air, MacBook Pro, Numbers, OS X, Pages, Passbook, 

Safari, Siri, Spotlight et Xcode sont des marques d’Apple Inc., 

déposées aux États-Unis et dans d’autres pays. 

AirPrint, Apple Pay, Apple Watch, Handoff, iPad mini, iTunes U et 

Touch ID sont des marques d’Apple Inc. 

AppleCare, App Store, iCloud, iCloud Keychain et iTunes Store 

sont des marques de service d’Apple Inc., déposées aux États- 

Unis et dans d’autres pays. 

iBooks Store est une marque de service d’Apple Inc. 

Le logo Apple est une marque d’Apple Inc. déposée aux États- 

Unis et dans d’autres pays. En l’absence du consentement écrit 

d’Apple, l’utilisation à des fins commerciales de ce logo via le 

clavier (Option + Maj + K) pourra constituer un acte de contrefaçon 

ou de concurrence déloyale. 

La marque et les logos Bluetooth® sont des marques déposées 

détenues par Bluetooth SIG, Inc. et tout usage de ces marques 

par Apple Inc. est fait sous licence. 

IOS est une marque ou marque déposée de Cisco aux États- 

Unis et dans d’autres pays, utilisée ici sous licence. 

Les autres noms de sociétés et de produits mentionnés ici 

peuvent être des marques de leurs détenteurs respectifs. 

La mention de produits tiers n’est effectuée qu’à des fins 

informatives et ne constitue en aucun cas une approbation ni 

une recommandation. Apple n’assume aucune responsabilité 

vis-à-vis des performances ou de l’utilisation de ces produits. 

Tout arrangement, tout contrat ou toute garantie, le cas 

échéant, est réalisé directement entre les fournisseurs et les 

futurs utilisateurs. 

Tous les efforts nécessaires ont été mis en œuvre pour que 

les informations contenues dans ce document soient les plus 

exactes possible. Apple n’est pas responsable des erreurs 

d’impression ou de reproduction. 

F019-00124/2015-04

Table des matières 

6 Chapitre 1 : Référence pour le déploiement iOS 

6 Introduction 

8 Chapitre 2 : Modèles de déploiement 

8 Vue d’ensemble 

8 Modèles de déploiement dans le secteur de l’éducation 


9 Appareils individuels appartenant à l’institution 

11 Appareils appartenant aux élèves 

13 Appareils partagés 

15 Modèles de déploiement en entreprise 


16 Personnalisé (appareils appartenant aux utilisateurs) 

18 Personnalisé (appareils appartenant à l’entreprise) 

20 Non personnalisé (appareils partagés) 

23 Chapitre 3 : Wi-Fi 


23 Débit du Wi-Fi 

24 Se connecter aux réseaux Wi-Fi 

24 Itinérance 

26 Planifier la couverture et la capacité 

27 Remarques concernant la conception 

28 Normes Wi-Fi exploitées par les appareils iOS 

30 Chapitre 4 : Infrastructure et intégration 


30 Microsoft Exchange 

32 Bonjour 

33 AirPlay 

35 Services basés sur des standards 

36 Certificats numériques 

37 Authentification par signature unique (SSO) 

38 Réseaux privés virtuels (VPN) 


39 Protocoles et méthodes d’authentification pris en charge 

39 Clients VPN SSL 

40 Instructions pour la configuration d’un VPN 

42 Connexion VPN via l’app 

43 Activer VPN sur demande 


43 Étapes 

3

43 Règles et actions 

45 Rétrocompatibilité 

45 VPN toujours actif 


46 Scénarios de déploiement 

47 Profil de configuration VPN toujours actif 

48 Entité VPN toujours actif 

50 Chapitre 5 : Services Internet 


50 Identifiant Apple 

51 Localiser mon iPhone et Verrouillage d’activation 

52 Continuité 

53 iCloud 

53 iCloud Drive 

54 Trousseau iCloud 

54 iMessage 

55 FaceTime 

55 Siri 

55 Identifiant Apple pour les étudiants 

56 Service de notifications push Apple (APN) 

57 Chapitre 6 : Sécurité 


57 Sécurité des appareils et des données 


57 Règles relatives aux codes 

58 Application des règles 

58 Configuration sécurisée des appareils 

59 Protection des données 

59 Chiffrement 

59 Norme S/MIME appliquée par message 

60 Adresses e-mail externes 

60 Touch ID 

61 Effacement à distance 

61 Effacement local 

61 Sécurité réseau 

62 Sécurité des apps 

64 Chapitre 7 : Configuration et gestion 


64 Assistant réglages et activation 

65 Profils de configuration 

66 Gestion des appareils mobiles (MDM) 


67 Inscription 

67 Configurer 

68 Comptes 

68 Requêtes 

69 Tâches de gestion 

69 Apps gérées 

Table des matières 4

71 Livres gérés 

71 Domaines gérés 

71 Gestionnaire de profils 

72 Superviser les appareils 

73 Programme d’inscription d’appareil 

74 Apple Configurator 

75 Chapitre 8 : Distribution d’apps et de livres 


75 Programme d’achat en volume (VPP) 


76 S’inscrire au Programme d’achat en volume pour les entreprises 

76 Acheter des apps et des livres en grand nombre 

76 Distribution gérée 

77 Apps B2B personnalisées 

77 Apps internes 

79 Livres internes 

79 Déployer des apps et des livres 


79 Installer des apps et des livres à l’aide d’une solution MDM 

80 Installer des apps à l’aide d’Apple Configurator 

80 Caching Server 

82 Chapitre 9 : Planification de l’assistance 


82 AppleCare Help Desk Support 

82 AppleCare OS Support 

83 AppleCare for Enterprise 

83 AppleCare pour les utilisateurs d’appareils iOS 

83 Programme d’assistance directe iOS 

83 AppleCare Protection Plan pour Mac ou écran Apple 

84 Chapitre 10 : Annexes 

84 Restrictions 


84 Réglages du programme d’inscription d’appareil 

85 Fonctionnalités des appareils 

87 Réglages des appareils supervisés 

89 Réglages de sécurité et confidentialité 

90 Utilisation des apps 

91 Réglages iCloud 

92 Restrictions relatives aux utilisateurs et groupes d’utilisateurs de Gestionnaire de profils 

93 Installer des apps développées en interne sans fil 

Table des matières 5

Référence pour le déploiement iOS 

1 

Introduction 

Ce guide de référence s’adresse aux administrateurs informatiques qui souhaitent déployer 

des appareils iOS sur leurs réseaux. Il fournit des informations sur le déploiement et la prise en 

charge des iPhone, iPad et iPod touch dans une entreprise ou un établissement d’enseignement 

de grande taille. Il explique comment sont fournis : 

•• 

L’intégration avec votre infrastructure existante 

•• 

Une sécurité complète 

•• 

De puissants outils de déploiement 

•• 

Des méthodes permettant de distribuer des apps et des livres à vos employés ou élèves 

Remarque : Même si ce guide de référence se concentre uniquement sur le déploiement d’appareils 

iOS, certaines sections s’appliquent également aux ordinateurs Mac portables et de bureau. 

Dans le présent document, le terme appareils Apple a été choisi pour désigner l’iPhone, iPad, 

iPod touch, ainsi que les ordinateurs Mac portables et de bureau. Le déploiement de l’Apple TV 

est abordé dans la section AirPlay de ce guide de référence. 

Ce guide est divisé en plusieurs sections : 

Modèles de déploiement 

Il existe plusieurs façons de déployer des appareils iOS. Quel que soit le modèle de déploiement 

choisi, il est utile de prendre en compte les étapes nécessaires pour garantir un déploiement 

aussi homogène que possible. Bien que ce guide décrive tous les aspects d’un déploiement 

d’appareils iOS, les entreprises et établissements d’enseignement peuvent choisir de procéder de 

manière différente. 

Installation et configuration d’un réseau Wi-Fi 

Dès la sortie de l’emballage, les appareils Apple peuvent se connecter en toute sécurité aux 

réseaux Wi-Fi d’entreprise ou pour invités, ce qui permet aux utilisateurs de rejoindre facilement 

les réseaux sans fil disponibles, qu’ils soient sur place ou en déplacement. Ce chapitre traite des 

protocoles Wi-Fi standard pour la transmission et le chiffrement des données. 

Infrastructure et intégration 

Les appareils iOS intègrent la prise en charge d’une large gamme d’infrastructures réseau. 

Dans cette section, vous découvrirez les technologies prises en charge par iOS et les bonnes 

pratiques à mettre en œuvre pour l’intégration avec Microsoft Exchange, les VPN et d’autres 

services standard. 

Services Internet 

Apple a conçu un ensemble solide de services pour aider les utilisateurs à bénéficier au maximum 

de leurs appareils Apple. Ces services comprennent iMessage, FaceTime, Continuity, iCloud, 

le trousseau iCloud, ainsi que la configuration et la gestion des identifiants Apple nécessaires 

pour accéder à ces services. 

6

Observations sur la sécurité 

iOS est conçu pour accéder de manière sécurisée aux services d’entreprise et pour protéger les 

données importantes. iOS fournit un chiffrement puissant des données lors de la transmission, 

des méthodes d’authentification éprouvées pour accéder aux services d’entreprise et un 

chiffrement matériel pour toutes les données stockées sur les appareils iOS. Lisez cette section 

pour obtenir une vue d’ensemble des fonctionnalités iOS relatives à la sécurité. 

Configuration et gestion 

Les appareils Apple prennent en charge des outils et technologies avancés pour qu’il soit facile 

de les préparer, de les configurer pour répondre à vos exigences et de les gérer dans un environnement 

à grande échelle. Cette section décrit les différents outils disponibles pour le déploiement 

et propose une présentation de la gestion des appareils mobiles (MDM) et du Programme 

d’inscription d’appareil. 

Distribution d’apps et de livres 

Il y a plusieurs façons de déployer des apps et du contenu au sein de votre entreprise. Des programmes 

Apple, tels que le Programme d’achat en volume (VPP) et le programme iOS Developer 

Enterprise, permettent à votre organisation d’acheter, de développer et de déployer des apps et 

des livres pour vos utilisateurs. Utilisez cette section pour bien comprendre la portée de ces 

programmes et découvrir comment déployer des apps et des livres achetés ou développés en 

vue d’un usage en interne. 

Planification de l’assistance 

Apple offre de nombreux programmes et options d’assistance pour les utilisateurs d’appareils 

Apple. Avant de déployer des appareils Apple, découvrez les options disponibles pour votre 

organisation et prévoyez l’assistance nécessaire. 

Les annexes suivantes fournissent des détails et indiquent les exigences techniques : 

Restrictions MDM 

Décrit les restrictions pouvant être appliquées à la configuration des appareils iOS pour répondre 

à vos exigences en matière de sécurité et de code d’accès, entre autres. 

Installer des apps développées en interne sans fil 

Explique comment distribuer des apps développées en interne à partir de votre propre 

portail web. 

Ressources supplémentaires 

•• 

www.apple.com/fr/education/it 

•• 

www.apple.com/ipad/business/it 

•• 

www.apple.com/iphone/business/it 

Remarque : Vous trouverez une version web de ce document de référence à l’adresse suivante : 

https://help.apple.com/deployment/ios. 

Remarque : Si l’iBooks Store est disponible dans votre pays ou votre région, vous pouvez 

télécharger ce guide de référence au format ePub. Il vous suffit de rechercher Référence pour le 

déploiement iOS. 

Chapitre 1 Référence pour le déploiement iOS 7


2 

Vue d’ensemble 

Il existe plusieurs façons de distribuer et de configurer des appareils iOS, allant de la préconfiguration 

à la configuration en libre service effectuée par chaque élève ou employé. Explorez les 

possibilités avant de commencer. Les outils et processus utilisés pour le déploiement dépendent 

également de votre modèle de déploiement spécifique. 

•• 

Dans le secteur de l’éducation, on distingue en règle générale trois modèles de déploiement 

pour les appareils iOS : Appareils individuels appartenant à l’institution, appareils appartenant 

aux élèves et appareils partagés. Bien que chaque institution ait un modèle de prédilection, 

il est possible de rencontrer plusieurs modèles au sein d’une même institution. 

•• 

Dans les entreprises, il existe plusieurs façons de déployer des appareils iOS. Que vous choisissiez 

de déployer des appareils iOS appartenant à l’entreprise, d’utiliser des appareils iOS partagés 

par les employés ou d’inviter les employés à venir avec leur propre appareil, il est intéressant 

de prendre en considération les étapes nécessaires pour que le déploiement s’effectue de 

la manière la plus homogène possible. 

Une fois les modèles de déploiement identifiés, votre équipe pourra explorer en détail les fonctionnalités 

de gestion et de déploiement offertes par Apple. Ces outils et programmes sont 

décrits de manière très complète dans ce document. Nous vous conseillons de les fournir aux 

parties prenantes principales de votre organisation afin qu’elles les passent en revue. 

Modèles de déploiement dans le secteur de l’éducation 


L’utilisation d’iPad permet aux enseignants et aux élèves de bénéficier d’outils incroyables. 

La sélection de stratégies ou d’outils appropriés peut contribuer à la transformation de 

l’expérience éducative des enseignants, des élèves et des autres utilisateurs. 

Qu’une institution choisisse de déployer des appareils iOS pour une seule classe ou pour toutes, 

de nombreuses options sont disponibles pour déployer et gérer facilement les appareils iOS et 

le contenu. 


Dans les institutions éducatives, on distingue en règle générale trois modèles de déploiement 

courants pour les appareils iOS : 

•• 

Appareils individuels appartenant à l’institution 

•• 

Appareils appartenant aux élèves 

•• 

Appareils partagés 

Bien que chaque institution ait un modèle de prédilection, il est possible de rencontrer plusieurs 

modèles au sein d’une institution. 

8

Vous trouverez ci-dessous des exemples d’application de ces modèles dans des institutions 

éducatives type : 

•• 

Un collège peut prévoir de déployer des appareils individuels appartenant à l’institution pour 

tous les niveaux. 

•• 

Un grand secteur peut commencer par déployer des appareils individuels appartenant à l’institution 

dans un lycée, puis mettre en place des modèles identiques sur l’ensemble du secteur. 

•• 

Une école regroupant maternelle, primaire et collège peut déployer à la fois des appareils individuels 

appartenant à l’institution pour le collège et des appareils partagés pour la maternelle 

et la primaire. 

•• 

Dans les institutions d’éducation supérieure, le déploiement le plus courant pour un campus 

ou un ensemble de campus est le déploiement d’appareils appartenant aux élèves. 

L’étude plus approfondie de ces modèles vous aidera à identifier celui qui conviendra le mieux à 

votre environnement unique. 

Appareils individuels appartenant à l’institution 

Un modèle de déploiement d’appareils individuels appartenant à l’institution représente la 

meilleure option pour que les appareils iOS aient le meilleur impact possible sur le processus 

d’apprentissage. 

Avec un déploiement d’appareils individuels appartenant à l’institution, votre institution achète 

des appareils iOS pour tous les élèves et enseignants éligibles. Cela peut être mis en place pour 

un niveau spécifique, un département, ou encore un secteur scolaire, une école ou une université 

dans son ensemble. 

Avec ce modèle, chaque utilisateur se voit attribuer un appareil iOS configuré et géré par l’institution. 

Une solution de gestion des appareils mobiles (MDM) permet de simplifier et d’automatiser 

ce processus. Si les appareils iOS sont achetés directement auprès d’Apple ou auprès 

de revendeurs agréés Apple ou d’opérateurs participants, votre institution peut utiliser le 

Programme d’inscription d’appareil (DEP) pour automatiser l’inscription auprès de la solution 

MDM, afin que les appareils iOS puissent être donnés aux utilisateurs directement. 

Une fois les appareils iOS distribués, les utilisateurs suivent les étapes d’une version simplifiée de 

l’Assistant réglages, sont automatiquement inscrits à la solution MDM et peuvent personnaliser 

davantage leur appareil iOS ou télécharger leur propre contenu. Les utilisateurs reçoivent une 

invitation à télécharger du contenu éducatif spécifique, tel que des apps et des livres achetés 

dans le cadre du programme d’achat en volume (VPP), ou encore des cours iTunes U. Si les 

élèves ont moins de 13 ans, l’institution peut créer un identifiant Apple en leur nom, à l’aide du 

programme Identifiants Apple pour étudiants afin de pouvoir leur fournir des apps et des livres. 

Votre institution peut livrer ou mettre à jour ces ressources à distance pendant l’année scolaire, 

et avec Caching Server la plupart de ces téléchargements peuvent provenir du réseau local de 

l’institution. Si les appareils iOS sont supervisés, les apps sont installées automatiquement. 

Chapitre 2 Modèles de déploiement 9

Le tableau suivant illustre les responsabilités de l’administrateur et de l’utilisateur, dans le cadre 

d’un déploiement d’appareils individuels appartenant à l’institution : 

Préparation 

Administrateur : 

•• 

Étudier les différentes options, se procurer et 

déployer une solution MDM. 

•• 

Gérer l’inscription au DEP, au VPP et au programme 

Identifiants Apple pour les étudiants. 

•• 

Déballer et (éventuellement) attribuer des 

ressources à l’appareil iOS. 

•• 

Créer des identifiants Apple pour les élèves de 

moins de 13 ans (le cas échéant). 

Utilisateurs : 

•• 

Créer un identifiant Apple, ainsi que des comptes 

iTunes Store et iCloud. 

Installer et configurer 


•• 

Attribuer les appareils iOS par l’intermédiaire du 

DEP à des fins de supervision et d’inscription 

simplifiée avec la solution MDM. 

•• 

Utiliser Apple Configurator au lieu de DEP et MDM 

pour configurer et superviser les appareils iOS. 

•• 

Configurer et installer les comptes, les réglages et 

les restrictions sans fil avec la solution MDM. 


•• 

Un appareil iOS est fourni à l’utilisateur. 

•• 

Saisir les informations de l’institution dans Assistant 

réglages pour le DEP (facultatif). 

•• 

Personnaliser l’appareil iOS avec Assistant réglages 

et saisir un identifiant Apple personnel. 

•• 

Les réglages et les configurations de l’appareil iOS 

sont automatiquement reçus grâce à la 

solution MDM. 

Distribuer des appareils et du contenu 


•• 

Acheter des apps et des livres dans le cadre du 

programme d’achat en volume et les attribuer aux 

utilisateurs grâce à la solution MDM. 

•• 

Envoyer des invitations au programme VPP 

aux utilisateurs. 

•• 

Installer Caching Server pour accélérer la livraison 

du contenu sur le réseau local. 


•• 

Accepter l’invitation au programme VPP. 

•• 

Télécharger et installer les apps et les livres attribués 

par l’institution. 

•• 

Si l’appareil iOS est supervisé, les apps peuvent être 

installées sur l’appareil silencieusement. 

Gestion suivie 


•• 

Révoquer et réattribuer les apps aux utilisateurs 

selon les besoins avec la solution MDM. 

•• 

Avec la solution MDM, les administrateurs peuvent 

envoyer des requêtes aux appareils iOS gérés pour 

vérifier leur conformité ou envoyer des alertes si 

les utilisateurs ajoutent des contenus ou des apps 

non approuvés. 

•• 

La solution MDM peut également verrouiller des 

appareils iOS ou effacer à distance tout compte ou 

toutes données gérées, ou encore effacer toutes les 

données d’un appareil iOS. 

•• 

Déployer Apple TV pour prendre en charge AirPlay. 


•• 

Sauvegarder le contenu de l’appareil iOS sur iTunes 

ou iCloud, afin d’enregistrer les documents et tout 

autre contenu personnel. 

•• 

Si l’appareil iOS est perdu ou volé, l’utilisateur peut 

le localiser avec Localiser mon iPhone. 



•• 

Vue d’ensemble du programme d’achat en volume 

•• 

Vue d’ensemble de la gestion des appareils mobiles 

•• 

Programme d’inscription d’appareil 

•• 

Identifiant Apple pour les étudiants 

•• 

Identifiant Apple 

•• 

Caching Server 

•• 

AirPlay 

•• 

Apple Configurator 

Appareils appartenant aux élèves 

Dans l’éducation supérieure, les élèves arrivent généralement sur le campus avec leur propre 

appareil iOS. De plus, même si cette pratique est moins répandue dans certains établissements 

allant de la maternelle au lycée, les élèves apportent leurs propres appareils iOS en classe. 

Avec ce modèle, les appareils iOS sont configurés par l’élève ou par un parent. Pour utiliser les 

services de l’institution, tels que le Wi-Fi, la messagerie et les calendriers, ou encore pour configurer 

l’appareil iOS pour des exigences propres aux cours, les appareils iOS appartenant aux élèves 

sont généralement inscrits auprès d’une solution MDM fournie par l’institution. Dans les environnements 

éducatifs, les technologies telles que les solutions MDM peuvent jouer un rôle dans 

la gestion des appareils iOS appartenant aux élèves. L’accès aux services de l’institution permet 

d’inciter les élèves à inscrire leurs appareils iOS à la solution MDM de l’organisation. 

Cela garantit que tous les réglages de configuration, toutes les règles, toutes les restrictions, 

toutes les apps, tous les livres et tout le contenu sont déployés automatiquement et de manière 

discrète, tout en restant sous le contrôle de l’institution. L’inscription à la solution MDM est un 

processus optionnel ; les élèves peuvent donc choisir de la supprimer lorsqu’ils ont terminé un 

cours ou leur cursus, ou encore lorsqu’ils quittent l’établissement. La suppression de la solution 

de gestion s’étend à l’ensemble du contenu et des services fournis par l’établissement. 



d’un déploiement d’appareils appartenant aux élèves : 

Préparation 


•• 



•• 

Gérer l’inscription au VPP. 


•• 

Déballer et activer l’appareil iOS. 

•• 


iTunes Store et iCloud, le cas échéant. 



•• 

Aucune action nécessaire à ce stade. 


•• 

Inscrire les appareils iOS en libre-service, et configurer 

les comptes, les réglages et les restrictions sans 

fil via une solution MDM basée sur les règles de 

groupe/d’utilisateur définies par l’institution. 

•• 

Personnaliser les appareils iOS avec Assistant 

réglages et saisir un identifiant Apple personnel 

(le cas échéant). 

•• 

S’inscrire à la solution MDM. 



•• 




•• 



•• 




•• 


•• 


par l’institution. 

•• 

Mettre à jour iOS et les apps sur leur appareil iOS. 



•• 



•• 

Avec la solution MDM, les administrateurs peuvent 

envoyer des requêtes aux appareils iOS gérés pour 

vérifier leur conformité ou envoyer des alertes si 

les utilisateurs ajoutent des contenus ou des apps 

non approuvés. 

•• 






•• 

Sauvegarder le contenu de l’appareil sur iTunes 



•• 

Si l’appareil iOS est perdu ou volé, l’utilisateur peut 

le localiser avec Localiser mon iPhone. 

•• 

Lorsque l’inscription à la solution MDM est interrompue, 

les comptes et les données gérés sont supprimés, 

mais les apps, les livres, les données et le 

contenu personnels de l’utilisateur sont conservés. 

Remarque : Les livres VPP sont attribués définitivement. 

Ils ne peuvent pas être révoqués. 



•• 


•• 


•• 


•• 


Appareils partagés 

Avec un déploiement d’appareils partagés, les appareils iOS sont achetés dans le but d’être utilisés 

en salle de classe ou en laboratoire, et peuvent être partagés entre les élèves pendant la journée. 

Ces appareils ont des capacités de personnalisation limitées, et ne sont donc pas adaptés 

à une utilisation dans le cadre d’un environnement d’apprentissage personnalisé pour chaque 

élève. En plus d’appareils partagés suivant le même modèle, cette approche peut être utilisée 

pour un déploiement individuel dans un contexte hautement contrôlé, tel qu’un déploiement 

pour les premiers niveaux éducatifs. Dans ce cas, les appareils sont très peu personnalisables. 

Les déploiements d’appareils partagés sont plus gérés que les déploiements personnalisés, 

car les réglages, la configuration et la gestion sont effectués par le personnel de l’institution. 

Avec un modèle de déploiement d’appareils partagés, l’institution est responsable de l’installation 

des apps, livres et autres contenus nécessaires au cursus. 



d’un déploiement d’appareils partagés : 

Préparation 


•• 



•• 


•• 



•• 

Créer un identifiant Apple par instance 

d’Apple Configurator. 


•• 




•• 

Utiliser Apple Configurator pour configurer et 

superviser les appareils. 

•• 

Utiliser Apple Configurator pour inscrire les appareils 

à la solution MDM (facultatif). 

•• 

Utiliser Apple Configurator ou la solution MDM 

pour installer les comptes, les réglages et 

les restrictions. 


•• 


Distribution des apps 


•• 

Acheter des apps par l’intermédiaire du programme 

VPP, et les déployer à l’aide de codes 

d’échange pour permettre une installation et une 

gestion par Apple Configurator. 


•• 




•• 

Mettre à jour iOS sur l’appareil avec 

Apple Configurator. 

•• 

Mettre à jour, configurer et installer les comptes, 

les réglages et les restrictions sans fil avec 

Apple Configurator ou la solution MDM. 

•• 

Réinitialiser régulièrement les appareils avec leur 

configuration standard avec Apple Configurator. 

•• 

Installer et mettre à jour les apps sur l’appareil iOS 

avec Apple Configurator. 

•• 

Avec la solution MDM, vous pouvez envoyer des 

requêtes aux appareils iOS gérés pour vérifier leur 

conformité ou envoyer des alertes si les utilisateurs 

ajoutent des contenus ou des apps non approuvés. 

•• 





•• 

Une sauvegarde régulière du Mac exécutant 

Apple Configurator est nécessaire, car les achats 

effectués dans le cadre du programme VPP sont 

gérés de manière locale. 


•• 




•• 


•• 


•• 


•• 


Modèles de déploiement en entreprise 


Les appareils iOS peuvent transformer votre activité. Ils peuvent développer la productivité de 

manière significative et offrir aux employés la liberté et la flexibilité d’explorer de nouveaux 

modes de travail, au bureau comme en déplacement. 

L’adoption de cette nouvelle manière de travailler offre des avantages pour toute l’organisation. 

Les utilisateurs bénéficient d’un meilleur accès aux informations, se sentent donc investis 

et résolvent les problèmes de manière créative. En prenant en charge iOS, les départements 

informatiques renvoient une image de refonte de la stratégie et de résolution de problèmes 

concrets, plutôt que de réparation des technologies et de réduction des coûts. Tout le monde 

en bénéficie : les employés sont redynamisés et de nouvelles opportunités surgissent dans tous 

les domaines. 

Que votre organisation soit de petite ou grande taille, il existe de nombreuses façons de 

déployer et gérer facilement du contenu et des appareils iOS. 

Commencez par identifier les modèles de déploiement les mieux adaptés à votre organisation. 

Apple propose différents outils de gestion de déploiement en fonction du modèle choisi. 


Dans les entreprises, on distingue en règle générale trois modèles de déploiement courants pour 

les appareils iOS : 

•• 

Personnalisé (appareils appartenant aux utilisateurs) 

•• 

Personnalisé (appareils appartenant à l’entreprise) 

•• 

Non personnalisé (appareils partagés) 

Bien que chaque organisation ait un modèle de prédilection, il est possible de rencontrer 

plusieurs modèles au sein d’une institution. 

Par exemple, une organisation commerciale peut déployer un modèle Personnalisé (appareils 

appartenant aux utilisateurs) en permettant aux employés de configurer leur propre iPad, tout 

en conservant les ressources de l’entreprise bien distinctes des données et apps personnelles de 

l’utilisateur. Cependant, cette entreprise peut également déployer en magasin un modèle Non 

personnalisé (appareils partagés), permettant l’utilisation d’iPod touch partagés entre plusieurs 

employés pour traiter les transactions des clients. 

L’étude plus approfondie de ces modèles vous aidera à identifier celui qui conviendra le mieux à 

votre environnement unique. 


Personnalisé (appareils appartenant aux utilisateurs) 

Si les employés utilisent leur propre appareil iOS, ils doivent le configurer avec leur propre identifiant 

Apple. Pour accéder aux ressources de l’entreprise, les utilisateurs peuvent configurer les 

réglages manuellement, installer un profil de configuration, ou dans la plupart des cas inscrire 

leur appareil iOS auprès de la solution MDM de votre organisation. 

Un des avantages de l’utilisation d’une solution MDM pour inscrire les appareils iOS personnels 

est que cela permet de séparer de manière distincte les ressources de l’entreprise des données 

et apps personnelles de l’utilisateur. Vous pouvez vérifier l’application des réglages, contrôler le 

respect des règles de l’entreprise et supprimer les données et apps de l’entreprise, sans toucher 

aux données et apps personnelles de chaque appareil iOS. 



d’un déploiement personnalisé (appareils appartenant aux utilisateurs) : 

Préparation 


•• 

Évaluer l’infrastructure existante, y compris le 

Wi-Fi, le VPN et les serveurs de messagerie et 

de calendrier. 

•• 



•• 



•• 

Déballer et activer l’appareil iOS. 

•• 





•• 

Les organisations peuvent fournir aux utilisateurs 

des réglages pour les comptes individuels, et 

les règles peuvent être transmises par l’intermédiaire 

d’Exchange ou installées à l’aide d’un profil 

de configuration. 


•• 

Inscrire les appareils iOS en libre-service, et configurer 

les comptes, les réglages et les restrictions sans 

fil à l’aide d’une solution MDM basée sur les règles 

de groupe/d’utilisateur définies par l’organisation. 

•• 

Les réglages et les configurations de l’appareil 

iOS sont automatiquement reçus grâce à la 

solution MDM. 

•• 

Les utilisateurs peuvent également installer les profils 

de configuration manuellement ou configurer 

les réglages que vous fournissez. 



•• 




•• 



•• 

Distribuer des apps internes provenant du iOS 

Developer Enterprise Program (iDEP) et des livres 

internes en les hébergeant sur un serveur web ou 

par l’intermédiaire de votre solution MDM. 

•• 




•• 


•• 


par l’organisation. 



•• 



•• 





•• 






•• 




•• 

Si l’appareil est perdu ou volé, l’utilisateur peut le 

localiser avec Localiser mon iPhone. 

•• 

Lorsque l’inscription à la solution MDM est interrompue, 

les comptes et les données gérés sont supprimés, 

mais les apps, les livres, les données et le 

contenu personnels de l’utilisateur sont conservés. 



•• 


•• 


•• 


•• 


Personnalisé (appareils appartenant à l’entreprise) 

Vous pouvez utiliser le modèle Personnalisé (appareils appartenant à l’entreprise) pour déployer 

des appareils iOS appartenant à votre organisation. Vous pouvez configurer les appareils iOS avec 

des réglages de base avant de les donner aux utilisateurs, ou (comme pour les déploiements 

dans lesquels les utilisateurs utilisent leur propre appareil) fournir des instructions ou des profils 

de configuration que les utilisateurs doivent appliquer eux-mêmes. 

Vous pouvez également demander aux utilisateurs d’inscrire leurs appareils iOS auprès d’une 

solution MDM qui fournit des réglages et des apps sans fil. Les utilisateurs peuvent ensuite 

personnaliser leurs appareils iOS avec leurs propres apps et données, qui restent distinctes des 

apps et données gérées de l’organisation. Si les appareils iOS sont achetés directement auprès 

d’Apple ou auprès de revendeurs agréés Apple ou d’opérateurs participants, votre organisation 

peut utiliser le Programme d’inscription d’appareil (DEP) pour automatiser l’inscription auprès 

de la solution MDM, afin que les appareils iOS puissent être livrés chez les utilisateurs et activés 

à distance. 



d’un déploiement personnalisé (appareils appartenant à l’entreprise) : 

Préparation 


•• 




•• 



•• 

Gérer l’inscription au programme d’inscription 

d’appareil (DEP) et au programme d’achat en 

volume (VPP). 


•• 





•• 

Sur le site web du programme d’inscription d’appareil, 

lier les serveurs virtuels de l’entreprise à la 

solution MDM. 

•• 

Simplifier l’inscription par l’intermédiaire du programme 

d’inscription d’appareil en attribuant 

des appareils iOS à vos serveurs MDM virtuels par 

numéro de commande ou numéro de série. 

•• 

Attribuer les appareils iOS par l’intermédiaire du 

DEP à des fins de supervision et d’inscription simplifiée 

avec la solution MDM. 

•• 


superviser l’appareil iOS (alternative au point 

ci-dessus). 

•• 

Configurer et installer les comptes, les réglages et 

les restrictions sans fil avec la solution MDM ou à 

l’aide d’une clé USB avec Apple Configurator. 


•• 

Recevoir l’appareil iOS. Si l’entreprise a utilisé 

Apple Configurator pour configurer l’appareil, 

aucune configuration supplémentaire n’est requise 

de la part de l’utilisateur. 

•• 

Saisir les informations de l’organisation dans 

Assistant réglages pour le DEP (facultatif). 

•• 

Personnaliser l’appareil iOS avec Assistant réglages 

et saisir un identifiant Apple personnel. 

•• 

S’inscrire à la solution MDM. 

•• 

Les réglages et les configurations de l’appareil 

iOS sont automatiquement reçus grâce à la 

solution MDM. 



•• 

Télécharger votre jeton sur le store VPP et le lier à 

la solution MDM. 

•• 




•• 



•• 

Distribuer des apps internes provenant du iOS 

Developer Enterprise Program (iDEP) et des livres 

internes en les hébergeant sur un serveur web ou 

par l’intermédiaire de votre solution MDM. 

•• 




•• 


•• 


par l’organisation. 

•• 

Si l’appareil iOS est supervisé, les apps peuvent être 

installées sur l’appareil silencieusement. 




•• 



•• 





•• 






•• 




•• 

Si l’appareil est perdu ou volé, l’utilisateur peut le 

localiser avec Localiser mon iPhone. 


•• 


•• 


•• 


•• 


•• 


•• 


Non personnalisé (appareils partagés) 

Si les appareils iOS sont partagés par plusieurs personnes ou utilisés pour une fonction unique 

(comme dans un restaurant ou un hôtel), ils sont généralement configurés et gérés par l’entreprise 

plutôt que par un utilisateur. Avec un déploiement d’appareils non personnalisé, les utilisateurs 

ne stockent généralement pas de données personnelles et ne peuvent pas installer d’apps. 

Les appareils non personnalisés sont généralement supervisés avec Apple Configurator et inscrits 

auprès d’une solution MDM. Cela permet d’actualiser ou de restaurer le contenu de l’appareil en 

cas de modification par un utilisateur. 



d’un déploiement non personnalisé (appareils partagés) : 

Préparation 


•• 




•• 



•• 

Gérer l’inscription au Programme d’achat en 

volume (VPP). 


•• 




•• 



•• 


superviser les appareils. 

•• 

Utiliser Apple Configurator pour inscrire les 

appareils à la solution MDM (facultatif). 

•• 

Utiliser Apple Configurator ou la solution MDM 

pour installer les comptes, les réglages et 

les restrictions. 


•• 


Distribution des apps 


•• 

Acheter des apps par l’intermédiaire du programme 

VPP, et les déployer à l’aide d’Apple Configurator. 

•• 

Distribuer des apps internes du programme iOS 

Developer Enterprise Program (iDEP) à l’aide 

d’Apple Configurator. 

•• 

Distribuer des livres internes en les hébergeant sur 

un serveur web ou avec votre solution MDM. 


•• 




•• 

Mettre à jour iOS sur l’appareil avec 


•• 

Mettre à jour, configurer et installer les comptes, 

les réglages et les restrictions sans fil avec 

Apple Configurator ou la solution MDM. 

•• 

Réinitialiser régulièrement les appareils avec leur 

configuration standard avec Apple Configurator. 

•• 

Installer et mettre à jour les apps sur l’appareil avec 


•• 





•• 






•• 




•• 


•• 


•• 


•• 



Wi-Fi 

3 


Lors de la préparation de l’infrastructure Wi-Fi pour un déploiement d’appareils Apple, plusieurs 

facteurs doivent être pris en compte : 

•• 

Débit du Wi-Fi 

•• 

Seuil de déclenchement du Wi-Fi 

•• 

Zone de couverture souhaitée 

•• 

Nombre et densité d’appareils exploitant le réseau Wi-Fi 

•• 

Types d’appareils Apple et leurs fonctionnalités Wi-Fi 

•• 

Type et quantité de données transmises 

•• 

Mesures de sécurité pour accéder au réseau sans fil 

•• 

Exigences de chiffrement 

Bien que cette liste ne soit pas exhaustive, elle inclut les principaux critères de conception de 

réseaux Wi-Fi. 

Remarque : Cette section est focalisée sur la conception des réseaux Wi-Fi en Amérique du Nord. 

Certains aspects ne sont pas forcément applicables à d’autres pays. 

Débit du Wi-Fi 

Lors de la planification du déploiement d’appareils iOS dans votre organisation, assurez-vous que 

votre réseau Wi-Fi et l’infrastructure sous-jacente sont solides et à jour. Un accès régulier et fiable 

à un réseau solide est indispensable pour les réglages et la configuration d’appareils iOS. De plus, 

le fait de pouvoir prendre en charge plusieurs appareils iOS connectés en même temps par vos 

employés, élèves ou professeurs est important pour la réussite de votre programme. 

Important : Votre utilisateur et son appareil iOS doivent avoir accès à votre réseau sans fil et 

aux services Internet pour définir les réglages et pour la configuration. Il se peut que vous ayez 

besoin de configurer votre proxy web ou vos ports pare-feu afin qu’ils autorisent le trafic réseau 

de l’appareil vers le réseau Apple (17.0.0.0/8) si les appareils Apple ne peuvent pas accéder aux 

serveurs d’activation Apple, à iCloud ou à l’iTunes Store. Pour obtenir la liste des ports utilisés par 

les appareils Apple, consultez l’article TCP and UDP ports used by Apple software products (Ports 

TCP et UDP utilisés par les produits logiciels Apple) de l’assistance Apple. 

23

Se connecter aux réseaux Wi-Fi 

Les utilisateurs peuvent configurer les appareils Apple pour qu’ils se connectent automatiquement 

aux réseaux Wi-Fi disponibles. Les réseaux Wi-Fi qui nécessitent une identification ou d’autres 

informations peuvent être rapidement accessibles sans ouvrir de session de navigation distincte, 

à partir des réglages Wi-Fi ou au sein d’apps comme Mail. Une connectivité Wi-Fi permanente 

à faible consommation permet aux apps d’utiliser les réseaux Wi-Fi pour distribuer des notifications 

push. Vous pouvez configurer les réglages de réseau sans fil, de sécurité, de proxy et 

d’authentification avec des profils de configuration ou une solution de gestion des appareils 

mobiles (MDM). 

Pour savoir comment iOS décide à quel réseau sans fil se connecter, consultez l’article 

Connexion automatique des appareils iOS aux réseaux sans fil de l’assistance Apple. 

WPA2 Entreprise 

Les appareils Apple prennent en charge les protocoles réseau sans fil standard comme 

WPA2 Entreprise, garantissant un accès sécurisé aux réseaux sans fil d’entreprise. WPA2 Enterprise 

utilise un chiffrement AES 128 bits, ce qui garantit que les données des utilisateurs sont protégées. 

Avec la prise en charge de l’authentification 802.1x, les appareils iOS peuvent être intégrés à une 

grande variété d’environnements d’authentification RADIUS. Les protocoles d’authentification 

sans fil 802.1x, tels que EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, IKEv2, PEAPv0, PEAPv1 et LEAP.ara, 

sont pris en charge par iOS. 

Itinérance 

Pour l’itinérance sur les vastes réseaux Wi-Fi d’entreprise, iOS prend en charge les normes 802.11k 

et 802.11r. 

Le seuil de déclenchement est le niveau de signal minimum requis par un client pour maintenir 

la connexion actuelle. 

Les appareils iOS surveillent et maintiennent la connexion actuelle du BSSID (Basic Server Set 

Identifier, ou Identifiant d’ensemble de services de base) jusqu’à ce que le RSSI (Received Signal 

Strength Indication, ou Indication de la force du signal reçu) passe en dessous du seuil de -70 dBm. 

Une fois ce seuil franchi, iOS se met à la recherche de candidats BSSID pour l’itinérance dans 

l’ESSID (Extended Service Set Identifier, ou Identifiant d’ensemble de services étendus) actuel. 

Il est important de prendre en compte ces données lors de la conception de cellules sans fil et 

de la prévision de la superposition de leurs signaux. Par exemple, si des cellules de 5 GHz sont 

conçues avec une superposition de -67 dBm : 

•• 

L’appareil iOS utilise -70 dBm comme seuil de déclenchement et restera ainsi connecté au 

BSSID actuel plus longtemps que prévu. 

•• 

Considérez la façon dont la superposition des cellules a été mesurée. Les antennes d’un ordinateur 

portable sont bien plus grandes et plus puissantes que celles d’un smartphone ou 

d’une tablette. Par conséquent, les appareils iOS distinguent les limites des cellules différemment. 

Les mesures sont toujours plus exactes si l’on utilise l’appareil cible. 

La norme 802.11k permet à votre appareil iOS d’identifier rapidement les points d’accès (PA) avoisinants 

accessibles en itinérance. Lorsque la puissance du signal du PA actuel faiblira et que votre 

appareil devra se mettre à la recherche d’un nouveau PA, il saura déjà lequel est le mieux indiqué. 

Chapitre 3 Wi-Fi 24

La norme 802.11r simplifie le processus d’authentification à l’aide d’une fonctionnalité appelée 

Fast Basic Service Set Transition (FT) lorsque votre appareil iOS est en itinérance d’un PA à un 

autre sur le même réseau. La fonctionnalité FT permet aux appareils iOS de s’associer plus rapidement 

aux PA. Selon votre fournisseur de matériel Wi-Fi, la fonctionnalité FT peut fonctionner 

avec une clé prépartagée (PSK) ou avec les méthodes d’authentification 802.1X. 

Remarque : Tous les fournisseurs de matériel réseau Wi-Fi ne prennent pas en charge les normes 

802.11k et 802.11r. Vérifiez auprès du fabricant de votre matériel Wi-Fi (contrôleurs et PA) pour 

savoir s’il prend en charge ces normes. Une fois que vous avez vérifié que les deux normes sont 

prises en charge, vous devez activer la norme 802.11k et la fonctionnalité FT. Les méthodes de 

réglage peuvent varier. Par conséquent, consultez la documentation de configuration de votre 

matériel Wi-Fi pour plus de détails. 

Le tableau ci-dessous indique quels appareils iOS prennent en charge les normes 802.11k et 

802.11r sous iOS. Même si un appareil iOS ne prend pas en charge la norme 802.11r, iOS 5.1 

a prévu la prise en charge de la mise en cache PMKID (ou « pairwise master key identifier 

caching »), qui peut être utilisée avec certains appareils Cisco pour améliorer l’itinérance entre 

PA. Des SSID supplémentaires peuvent s’avérer nécessaires afin de prendre en charge à la fois les 

appareils iOS compatibles FT et les appareils iOS utilisant la mise en cache PMKID. 

Appareil iOS 

iPad Air 2, iPad mini 3, 

iPhone 6, iPhone 6 Plus, 

iPhone 5s. iPhone 5c, 

iPad Air, iPad mini 

avec écran Retina, 

iPad (4e génération), 

iPad mini, iPhone 5, 

iPod touch 

(5e génération) 

iPad (3e génération), 

iPhone 4s 

iPad (2e génération) 

et modèles antérieurs, 

iPhone 4 et modèles 

antérieurs, iPod touch 

(4e génération) et 

modèles antérieurs 

Prise en charge 

802.11k/r 

Méthodes prises en 

charge avec iOS 6 et 

ultérieur 

Méthodes prises en 

charge avec les versions 

antérieures à iOS 6 

Oui FT, mise en cache PMKID Non applicable 

Oui FT, mise en cache PMKID Mise en cache PMKID 

Non Mise en cache PMKID Mise en cache PMKID 

•• 

Avant iOS 5.1, aucune 

méthode optimisée 

d’itinérance entre PA 

n’existait sous iOS. 

•• 

La mise en cache 

SKC (ou « Sticky key 

caching ») est une 

forme de mise en 

cache PMKID. La mise 

en cache SKC n’est ni 

équivalente à la mise 

en cache OKC (opportunistic 

key caching), 

ni compatible avec 

cette dernière. 

Chapitre 3 Wi-Fi 25

Pour consulter le guide de référence de l’itinérance sans fil Apple, consultez l’article 

iOS 8 : Wireless roaming reference for enterprise customers (Guide de référence de l’itinérance 

sans fil pour les clients professionnels) de l’assistance Apple. Pour en savoir plus sur l’itinérance avec 

les normes 802.11k et 802.11r, consultez l’article 

iOS : itinérance de réseau Wi-Fi avec les normes 802.11k et 802.11r de l’assistance Apple. 

Planifier la couverture et la capacité 

Bien qu’il soit important de fournir une couverture Wi-Fi à l’endroit où les appareils Apple sont 

utilisés, il est tout aussi important de prévoir la concentration d’appareils dans une zone donnée 

pour s’assurer que la capacité sera adaptée. 

La plupart des points d’accès modernes de qualité professionnelle sont capables de gérer jusqu’à 

plus de 50 clients Wi-Fi, même si la qualité de service laisserait sans doute à désirer si un tel 

nombre d’appareils utilisait réellement un seul point d’accès avec la norme 802.11n. L’expérience 

de chaque utilisateur dépend de la bande passante sans fil disponible sur le canal utilisé par l’appareil, 

et du nombre d’appareils utilisant cette bande passante. Plus le nombre d’appareils utilisant 

le même canal est élevé, plus la vitesse du réseau pour ces appareils diminue. Lorsque vous 

concevez votre réseau Wi-Fi, essayez de prendre en compte l’usage prévu par les appareils Apple. 

Important : Évitez d’utiliser des identifiants SSID (Service Set IDentifier) masqués, car les appareils 

Wi-Fi doivent activement rechercher les SSID masqués. Cela entraîne des délais lors de la 

connexion au SSID et peut potentiellement avoir un impact sur le flux de données et les communications. 

De plus, le fait de masquer les SSID n’apporte aucun avantage en matière de sécurité. 

Les utilisateurs ont tendance à beaucoup se déplacer avec leurs appareils Apple ; les SSID masqués 

ralentissent donc généralement le délai de connexion à un réseau et altèrent les performances 

en itinérance. Cette pratique risque de consommer plus d’énergie qu’un SSID diffusé et 

peut diminuer l’autonomie de la batterie. 

2,4 GHz ou 5 GHz 

En Amérique du Nord, 11 canaux sont disponibles sur les réseaux Wi-Fi à 2,4 GHz. Toutefois, 

en raison des interférences, seuls les canaux 1, 6 et 11 doivent être utilisés dans la conception 

d’un réseau. 

Les signaux à 5 GHz ne pénètrent pas les murs et autres obstacles aussi efficacement que les 

signaux à 2,4 GHz, ce qui se traduit par des zones de couverture plus réduites. Ainsi, utilisez des 

réseaux à 5 GHz si vous prévoyez une densité élevée d’appareils dans un espace fermé, comme 

une salle de classe ou une grande salle de réunion. Le nombre de canaux disponibles dans la 

bande de 5 GHz varie d’un fournisseur à l’autre et d’un pays à l’autre, mais au moins huit canaux 

sont toujours disponibles. 

Les canaux à 5 GHz ne se chevauchent pas, ce qui est considérablement moins contraignant 

que la limite de trois canaux qui ne se chevauchent pas sur la bande des 2,4 GHz. Lorsque vous 

concevez un réseau Wi-Fi pour une densité importante d’appareils Apple, les canaux supplémentaires 

de la bande de 5 GHz deviennent stratégiques. 

Important : La couverture Wi-Fi doit être omniprésente sur le lieu de travail. Si des appareils hérités 

sont utilisés, les deux bandes Wi-Fi (2,4 GHz 802.11b/g/n et 5 GHz 802.11a/n/ac) doivent être 

centrales dans la conception. 

Chapitre 3 Wi-Fi 26

Remarques concernant la conception 

Trois principaux éléments sont à prendre en compte lors de la conception de vos réseaux Wi-Fi. 

Prendre en compte la couverture 

L’agencement physique du bâtiment peut avoir un impact sur la conception de votre réseau 

Wi-Fi. Par exemple, dans le cas d’une petite entreprise, les utilisateurs assistent à des réunions 

avec d’autres employés dans des salles de conférence ou des bureaux. Ils sont ainsi amenés à se 

déplacer au sein du bâtiment tout au long de la journée. Dans ce scénario, l’essentiel des accès 

réseau provient d’activités peu gourmandes en bande passante, telles que la consultation des 

e-mails, la gestion des calendriers et la navigation sur Internet, si bien que la couverture Wi-Fi est 

la principale priorité. Une conception Wi-Fi peut comprendre un petit nombre de points d’accès 

à chaque étage pour fournir une couverture à tous les bureaux. Des points d’accès supplémentaires 

peuvent être installés pour les zones dans lesquelles beaucoup d’employés se retrouvent, 

comme une grande salle de réunion. 

Prendre en compte la capacité 

Comparez le scénario précédent avec un lycée accueillant 1 000 élèves et 30 enseignants dans 

un bâtiment de deux étages. Chaque élève reçoit un iPad et chaque enseignant reçoit un 

MacBook Air et un iPad. Chaque classe permet d’accueillir environ 35 élèves et les classes sont 

proches les unes des autres. Au long de la journée, les élèves font des recherches sur Internet, 

regardent des vidéos de cours et copient de fichiers à partir d’un serveur de fichiers du réseau 

LAN et vers ce dernier. 

La conception du réseau Wi-Fi dans un tel scénario est plus complexe en raison de la forte densité 

d’appareils mobiles. En raison du nombre élevé d’appareils dans chaque classe, il peut être 

nécessaire d’installer un point d’accès par classe. Il peut également être nécessaire d’installer plusieurs 

points d’accès dans les zones communes, afin de fournir une couverture et une capacité de 

bonne qualité. Le nombre de points d’accès nécessaire pour les zones communes peut varier en 

fonction de la densité des appareils Wi-Fi réunis dans ces zones. 

Canal 

36 

Canal 

157 

Canal 

40 

Canal 

161 

Canal 

36 

Canal 

64 

Canal 

44 

Canal 

52 

Canal 

48 

Canal 

64 

Important : Il est recommandé de systématiquement effectuer une étude avant l’installation, 

afin de déterminer le nombre exact de points d’accès nécessaires et leur emplacement. Une étude 

du site permet également de déterminer les réglages d’alimentation à utiliser pour chaque radio. 

Une fois l’installation du réseau Wi-Fi terminée, il est recommandé d’effectuer une étude successive 

pour confirmer l’adéquation de l’environnement Wi-Fi. Par exemple, pour un réseau devant 

prendre en charge un grand nombre d’utilisateurs dans un bâtiment, il est conseillé de faire valider 

la conception par les utilisateurs (ou, si les portes des salles de classe seront fermées pendant 

l’utilisation du réseau, elles devront l’être également lors de la validation de la conception). 

Chapitre 3 Wi-Fi 27

Il est parfois souhaitable de créer plusieurs SSID à différentes fins. Par exemple, un réseau réservé 

aux invités peut être nécessaire. Il est recommandé de ne pas créer trop d’identifiants SSID, 

car cela peut causer une plus grande utilisation de la bande passante. 

Prendre en compte les applications 

Les produits Apple utilisent une mise en réseau multidiffusion pour les services tels qu’AirPlay 

et AirPrint. Ainsi, une prise en charge de la fonctionnalité de multidiffusion doit faire partie de la 

conception. Pour en savoir plus sur la préparation d’un réseau pour prendre en charge Bonjour, 

consultez la section Bonjour. 

Normes Wi-Fi exploitées par les appareils iOS 

Les spécifications relatives au Wi-Fi pour les appareils iOS d’Apple sont détaillées dans la liste 

ci-après, qui comprend les informations suivantes : 

•• 

Compatibilité 802.11 : 802.11ac, 802.11n, 802.11a, 802.11b/g 

•• 

Bande de fréquences : 2,4 GHz ou 5 GHz 

•• 

Vitesse de transmission maximale : Il s’agit de la vitesse maximale à laquelle un client peut 

transmettre des données en Wi-Fi. 

•• 

Flux spatiaux : Chaque radio peut envoyer des flux de données indépendants simultanément, 

chaque flux contenant différentes données, ce qui peut augmenter le débit d’ensemble. 

Le nombre de flux de données indépendant est défini comme le nombre de flux spatiaux. 

•• 

Index MCS : L’index MCS (Modulation and Coding Scheme, schéma du codage et de la modulation) 

définit le taux de transmission maximum auquel les appareils 802.11ac/n peuvent communiquer. 

La norme 802.11ac fonctionne en VHT (Very High Throughput, ou très haut débit) et 

la norme 802.11n fonctionne en HT (High Throughput, ou haut débit). 

•• 

Largeur de canal : Il s’agit de la largeur de canal maximale. En commençant par la norme 

802.11n, les canaux peuvent être combinés pour créer un canal plus étendu, permettant de 

transmettre plus de données à la fois. Avec la norme 802.11n, deux canaux de 20 MHz peuvent 

être combinés pour créer un canal de 40 MHz. Avec la norme 802.11ac, quatre canaux de 

20 MHz peuvent être combinés pour créer un canal de 80 MHz. 

•• 

Intervalle de garde : L’intervalle de garde correspond à l’espace (temporel) entre la transmission 

de symboles d’un appareil vers un autre. La norme 802.11n spécifie un intervalle de garde 

court de 400 ns qui permet d’accélérer le débit d’ensemble, mais les appareils peuvent utiliser 

un intervalle plus long de 800 ns. 

Chapitre 3 Wi-Fi 28

Modèle 

Compatibilité 

802.11 et bande de 

fréquences 

Vitesse de 

transmission 

maximale 

Flux 

spatiaux 

Index MCS 

Largeur 

de canal 

Intervalle 

de garde 

iPad Air 2 

802.11ac/n/a à 5 GHz 

866 Mbit/s 2 9 (VHT) 

80 MHz 400 ns 

802.11n/g/b à 

2,4 GHz 

15 (HT) 

iPad mini 3 

802.11n à 2,4 GHz et 

5 GHz 

802.11a/b/g 

300 Mbit/s 2 15 (HT) 40 MHz 400 ns 

iPhone 6 Plus 

802.11ac/n/a à 5 GHz 

433 Mbit/s 1 9 (VHT) 

80 MHz 400 ns 

iPhone 6 

802.11n/g/b à 

2,4 GHz 

7 (HT) 

iPhone 5s 

iPhone 5c 

iPhone 5 

iPhone 4s 

iPhone 4 

iPad Air 

iPad mini avec 

écran Retina 

iPad 


iPad mini 

iPad (1ère, 2e et 

3e générations) 

iPod touch 


iPod touch 


802.11n à 2,4 GHz et 

5 GHz 

802.11a/b/g 

802.11n à 2,4 GHz 

802.11b/g 

802.11n à 2,4 GHz et 

5 GHz 

802.11a/b/g 

802.11n à 2,4 GHz et 

5 GHz 

802.11a/b/g 

802.11n à 2,4 GHz et 

5 GHz 

802.11a/b/g 

802.11n à 2,4 GHz et 

5 GHz 

802.11a/b/g 

802.11n à 2,4 GHz 

802.11b/g 

150 Mbit/s 1 7 (HT) 40 MHz 400 ns 

65 Mbit/s 1 7 (HT) 20 MHz 800 ns 

300 Mbit/s 2 15 (HT) 40 MHz 400 ns 

150 Mbit/s 1 7 (HT) 40 MHz 400 ns 

65 Mbit/s 1 7 (HT) 20 MHz 800 ns 

150 Mbit/s 1 7 (HT) 40 MHz 400 ns 

65 Mbit/s 1 7 (HT) 20 MHz 800 ns 

Chapitre 3 Wi-Fi 29

Infrastructure et intégration 

4 


iOS prend en charge un grand nombre d’infrastructures réseau, y compris les infrastructures 

suivantes : 

•• 

La mise en réseau local à l’aide de Bonjour 

•• 

Les connexions sans fil à Apple TV à l’aide d’AirPlay 

•• 

Les certificats numériques pour authentifier les utilisateurs et sécuriser les communications 

•• 

L’authentification par signature unique (SSO) pour simplifier l’authentification auprès des apps 

et services en réseau 

•• 

Les services de messagerie, d’annuaires et de calendrier standard et autres systèmes 

•• 

Les systèmes tiers courants, comme Microsoft Exchange 

•• 

Les réseaux privés virtuels (VPN), y compris les connexions VPN via l’app et toujours actives 

Cette prise en charge est intégrée à iOS ; ainsi, il suffit à votre service informatique de configurer 

quelques réglages pour intégrer les appareils iOS à votre infrastructure existante. Lisez la suite 

pour découvrir les technologies prises en charge par iOS et les bonnes pratiques pour les entreprises 

et le secteur de l’éducation. 

Microsoft Exchange 

Les appareils iOS peuvent communiquer directement avec votre serveur Microsoft Exchange par 

le biais de Microsoft Exchange ActiveSync (EAS), permettant l’utilisation du mode « push » pour 

les e-mails, des réponses automatiques, des calendriers, des contacts, des notes et des tâches. 

Exchange ActiveSync fournit également aux utilisateurs l’accès à la Liste d’adresses globale (GAL) 

et aux administrateurs des capacités de mise en œuvre de règles de codes d’appareil et d’effacement 

à distance. iOS prend en charge l’authentification tant de base que par certificat pour 

Exchange ActiveSync. 

Si Exchange ActiveSync est déjà utilisé dans votre organisation, celle-ci dispose déjà des services 

nécessaires pour prendre en charge iOS. Aucune configuration supplémentaire n’est requise. 

Configuration requise 

iOS 8 ou ultérieur prend en charge les versions suivantes de Microsoft Exchange : 

•• 

Office 365 (avec EAS 14.1) 

•• 

Exchange Server 2013 (avec EAS 14.1) 

•• 

Exchange Server 2010 SP 2 (avec EAS 14.1) 

•• 

Exchange Server 2010 SP 1 (EAS 14.1) 

•• 

Exchange Server 2010 (EAS 14.0) 

•• 


•• 


30

•• 


•• 

Exchange Server 2007 (avec EAS 2.5) 

Découverte automatique Microsoft Exchange 

iOS et OS X prennent en charge le service de découverte automatique de 

Microsoft Exchange Server 2007 ou ultérieur. Lorsque vous configurez manuellement un appareil 

Apple, le service de découverte automatique utilise votre adresse e-mail et votre mot de passe 

pour déterminer automatiquement les informations Exchange Server correctes. 

Pour en savoir plus, consultez la page dédiée au service de découverte automatique du site 

web Microsoft. 

Microsoft Direct Push 

Exchange Server livre automatiquement les e-mails, les tâches, les contacts et les événements de 

calendrier aux appareils iOS à condition qu’une connexion cellulaire ou Wi-Fi soit disponible. 

Liste d’adresses globale (GAL) de Microsoft Exchange 

Les appareils Apple extraient les informations de contact de l’annuaire d’entreprise du serveur 

Exchange de votre organisation. Vous pouvez accéder à l’annuaire lorsque vous réalisez une 

recherche parmi les contacts ; votre appareil y accède automatiquement pour compléter des 

adresses e-mail lors de la saisie. 

Remarque : iOS 6 ou ultérieur prend en charge les photos GAL (requiert Exchange Server 2010 SP 1 

ou ultérieur). 

Mettre en place une réponse automatique 

iOS 8 prend en charge l’utilisation des réponses automatiques envoyées lorsque l’utilisateur 

n’est pas disponible. L’utilisateur peut également choisir la date à laquelle arrêter d’envoyer les 

réponses automatiques. 

Calendrier 

iOS 8 ou ultérieur et OS X Mavericks ou ultérieur prennent en charge les fonctionnalités 

suivantes de Microsoft Exchange : 

•• 

Créer et accepter des invitations de calendrier sans fil 

•• 

Consulter les informations de disponibilité du calendrier d’un invité 

•• 

Créer des événements de calendrier privés 

•• 

Configurer des événements récurrents personnalisés 

•• 

Afficher les numéros de semaine dans Calendrier 

•• 

Recevoir des mises à jour de calendrier 

•• 

Synchroniser les tâches avec l’app Rappels 

Afficher l’identifiant Exchange 

iOS 8 permet à l’utilisateur de consulter l’identifiant unique lu par le serveur Exchange, connu 

sous le nom d’identifiant Exchange de l’appareil. Cela est utile lorsque le serveur Exchange utilisé 

par l’utilisateur exige l’ajout des appareils sur liste blanche avant que l’accès leur soit autorisé. 

Ils peuvent vous fournir cet identifiant à l’avance. L’identifiant Exchange de l’appareil est modifié 

uniquement si les réglages d’origine de l’appareil sont rétablis. L’identifiant ne change pas suite à 

la mise à jour vers iOS 8. Pour afficher l’identifiant Exchange de l’appareil sur un appareil iOS, 

touchez Réglages > Mail, Contacts et Calendrier > Ajouter un compte, puis touchez Exchange. 

Chapitre 4 Infrastructure et intégration 31

Identifier les versions iOS avec Exchange 

Lorsqu’un appareil iOS se connecte à un serveur Exchange, l’appareil indique sa version d’iOS. 

Le numéro de version est envoyé dans le champ Agent de l’utilisateur de l’en-tête de la demande 

et ressemble à Apple-iPhone2C1/705.018. Le nombre apparaissant après le délimiteur (/) est le 

numéro de compilation d’iOS, un numéro particulier à chaque version d’iOS. 

Pour afficher le numéro de compilation sur un appareil, accédez à Réglages > Général > 

Informations. Le numéro de version et le numéro de compilation sont affichés, par exemple 

4.1 (8B117A). Le numéro entre parenthèses est le numéro de compilation. Il identifie la version 

d’iOS qu’exécute l’appareil. 

Lorsque le numéro de compilation est envoyé au serveur Exchange, il est converti du format 

NANNNA (où N est numérique et A est un caractère alphabétique) au format Exchange NNN.NNN. 

Les valeurs numériques sont conservées, mais les valeurs alphabétiques sont remplacées par 

leur position dans l’alphabet. Par exemple, un « F » est converti en « 06 », car c’est la sixième 

lettre de l’alphabet. Au besoin, un préfixe formé de zéros est ajouté pour correspondre au format 

Exchange. Dans cet exemple, le numéro de compilation 7E18 est converti en « 705.018 ». 

Le premier chiffre, 7, reste « 7 ». Le caractère E est la cinquième lettre de l’alphabet, et est donc 

converti en « 05 ». Un point (.) est inséré dans la version convertie comme exigé par le format. 

Un préfixe zéro est ajouté au nombre suivant, 18, qui est converti en « 018 ». 

Si le numéro de compilation se termine par une lettre, par exemple 5H11A, le numéro est 

converti comme décrit ci-dessus et la valeur numérique du caractère final est ajoutée à la chaîne, 

avec 3 zéros de séparation. 5H11A devient ainsi « 508.01100001 ». 

Effacement à distance 

Vous pouvez effacer à distance le contenu d’un appareil iOS à l’aide des fonctionnalités fournies 

par Exchange. L’effacement supprime toutes les données et informations de configuration présentes 

sur l’appareil. Ce dernier est effacé de manière sécurisée et ses réglages d’origine sont 

restaurés. L’effacement supprime immédiatement la clé de chiffrement des données (chiffrées 

en AES 256 bits), ce qui rend toutes les données immédiatement irrécupérables. 

Avec Microsoft Exchange Server 2007 ou une version ultérieure, vous pouvez effectuer un effacement 

à distance avec la console de gestion Exchange, Outlook Web Access ou l’outil Exchange 

ActiveSync Mobile Administration Web Tool. Avec Microsoft Exchange Server 2003, vous pouvez 

lancer un effacement à distance à l’aide de l’outil Exchange ActiveSync Mobile Administration 

Web Tool. 

Les utilisateurs peuvent également effacer le contenu de leur propre appareil en accédant 

à Réglages > Général > Réinitialiser, puis en choisissant « Effacer contenu et réglages ». 

Vous pouvez également configurer les appareils pour qu’ils soient effacés automatiquement 

après un certain nombre de tentatives échouées de mot de passe. 

Bonjour 

Bonjour est le protocole réseau standard sans configuration d’Apple, qui permet aux appareils 

de trouver des services sur un réseau. Les appareils iOS, seuls, utilisent Bonjour pour détecter les 

imprimantes AirPrint, et les appareils iOS et les ordinateurs Mac utilisent Bonjour pour découvrir 

des appareils compatibles avec AirPlay, tels que les Apple TV. Certaines apps utilisent Bonjour 

pour le partage et la collaboration pair-à-pair. 


Bonjour fonctionne à l’aide d’un trafic en multidiffusion pour signaler la disponibilité des services. 

Le trafic en multidiffusion n’est généralement pas acheminé. Vous devez donc vous assurer que 

les Apple TV ou les imprimantes AirPrint sont connectées au même sous-réseau IP que les appareils 

iOS qui vont les utiliser. Si votre réseau est très grand et utilise de nombreux sous-réseaux IP, 

vous pouvez envisager d’utiliser une passerelle Bonjour, telle que celles proposées par de nombreux 

fabricants d’infrastructures Wi-Fi. 

Pour en savoir plus sur Bonjour, consultez la page web Apple Bonjour et la documentation 

d’Apple pour développeurs sur Bonjour. 

AirPlay 

iOS 8 et OS X Yosemite permettent de diffuser en continu de données d’un appareil Apple vers 

une Apple TV, même si les appareils sont sur des réseaux différents ou si aucun réseau n’est disponible. 

L’appareil Apple utilise la fonctionnalité Bluetooth® Low Energy (BTLE) pour lancer le 

processus de détection des Apple TV disponibles, puis établit une connexion directement avec 

l’Apple TV par Wi-Fi. La détection Bluetooth Low Energy est une sous-catégorie distincte de la 

fonctionnalité AirPlay pair-à-pair. 

Sous iOS 8 et OS X Yosemite, la fonctionnalité AirPlay pair-à-pair permet à un utilisateur d’utiliser 

AirPlay directement à partir d’un appareil iOS ou d’un Mac vers une Apple TV, sans avoir à se 

connecter au réseau de l’organisation. Avec la fonctionnalité AirPlay pair-à-pair, plus besoin de 

se connecter à un réseau ni de fournir les mots de passe Wi-Fi. Cela évite les problèmes d’accessibilité 

dans les environnements réseau complexes et fournit un lien direct entre l’expéditeur et 

le destinataire, afin d’optimiser les performances. La fonctionnalité AirPlay pair-à-pair est activée 

par défaut sous iOS 8 et OS X Yosemite. Aucune configuration n’est nécessaire de la part de 

l’utilisateur. 

Éléments requis pour utiliser AirPlay pair-à-pair : 

•• 

Apple TV (3e génération rev A modèle A1469 ou ultérieur) avec le logiciel 7.0 ou ultérieur de 

l’Apple TV 

•• 

Appareils iOS (fin 2012 ou ultérieur) exécutant iOS 8 ou ultérieur 

•• 

Ordinateurs Mac (2012 ou ultérieur) exécutant OS X Yosemite ou ultérieur 

Pour trouver le numéro de modèle d’une Apple TV, consultez l’article 

Identification des modèles d’Apple TV de l’assistance Apple. 

La détection pair-à-pair est lancée en Bluetooth Low Energy (BTLE) lorsqu’un utilisateur sélectionne 

AirPlay sur un appareil iOS exécutant iOS 8 ou un Mac exécutant OS X Yosemite. Suite à 

cela, l’appareil et l’Apple TV se connectent au canal Wi-Fi 149,1 dans la bande 5 GHz ou au canal 

Wi-Fi 6 dans la bande 2,4 GHz, où le processus de détection se poursuit. Une fois que l’utilisateur 

sélectionne l’Apple TV et que la connexion AirPlay démarre, les radios Wi-Fi se partagent entre le 

canal 149,1 et le canal de l’infrastructure utilisé par chaque appareil. Si possible, l’expéditeur se 

connecte au même canal que l’Apple TV dans l’infrastructure. Si aucun des appareils n’utilise le 

réseau de l’infrastructure, les appareils utilisent le canal 149 uniquement pour AirPlay. La fonctionnalité 

AirPlay pair-à-pair est conforme aux normes 802.11 et partage la bande passante du Wi-Fi 

avec les autres appareils Wi-Fi. 

Lorsque vous déployez des Apple TV sur un important réseau Wi-Fi d’entreprise, prenez en 

compte les instructions suivantes : 

•• 

Connectez l’Apple TV en Ethernet dès que possible. 

•• 

Si possible, n’utilisez pas les canaux Wi-Fi 149 et 153 pour le réseau d’infrastructure. 


•• 

Ne placez pas ni ne montez les Apple TV derrière des objets pouvant empêcher le passage des 

signaux Bluetooth Low Energy et Wi-Fi. 

•• 

Lorsque vous posez une Apple TV sur un mur ou sur une autre surface, posez-la toujours avec 

le pied en contact avec la surface. 

•• 

Si la fonctionnalité AirPlay pair-à-pair n’est pas prise en charge par l’expéditeur ou le destinataire, 

la connexion de l’infrastructure est automatiquement utilisée. 

Détection AirPlay 

Les appareils iOS continuent à utiliser les méthodes de détection déjà disponibles aujourd’hui 

pour trouver des destinataires AirPlay. Les destinataires AirPlay peuvent se faire connaître à l’aide 

de Bonjour ou en Bluetooth. La détection Bluetooth requiert iOS 7.1 ou ultérieur sur les appareils 

suivants : 

•• 

iPad Air 

•• 

Apple TV (3e génération ou ultérieur) exécutant le logiciel 6.1 ou ultérieur 

•• 

iPhone 4s ou ultérieur 

•• 

iPad 3e génération ou ultérieur 

•• 

iPad mini 1e génération ou ultérieur 

•• 

iPod touch 5e génération ou ultérieur 

Les destinataires AirPlay détectés apparaissent dans le menu AirPlay. 

Les services Bonjour _airplay._tcpx et _raop._tcp doivent être signalés sur les produits de la 

passerelle Bonjour. Contactez votre fournisseur de passerelle pour vous assurer que ces services 

sont signalés. 

Connectivité 

Les deux modes pris en charge pour la connectivité AirPlay sont les modes pair-à-pair et infrastructure. 

Si l’expéditeur et le destinataire AirPlay prennent en charge la fonctionnalité AirPlay 

pair-à-pair, cela devient le chemin préféré pour les données, indépendamment de la disponibilité 

de l’infrastructure. La connectivité AirPlay pair-à-pair coexiste avec les connexions de l’infrastructure, 

afin que l’expéditeur et le destinataire AirPlay puissent être connectés à Internet simultanément 

à la connexion pair-à-pair. La bande 5 GHz est plus adaptée à la connexion AirPlay pair-àpair, 

car elle fournit une connexion rapide et directe entre l’expéditeur et le destinataire. 

Sécurité 

AirPlay utilise un chiffrement AES pour garantir la protection du contenu en cas de recopie vidéo 

ou de lecture en continu à partir d’un appareil iOS ou d’un Mac vers une Apple TV. 

L’accès en AirPlay à une Apple TV peut être restreint par un mot de passe ou un code à l’écran. 

Seuls les utilisateurs saisissant le code à l’écran (un code par tentative de connexion AirPlay) ou 

le mot de passe sur leur appareil iOS ou leur Mac peuvent envoyer du contenu en AirPlay à une 

Apple TV. 


Pour que la fonctionnalité Demande de vérification des appareils puisse être activée, l’appareil 

iOS ou le Mac doit s’authentifier lors de la connexion AirPlay initiale (requiert un appareil iOS 

exécutant iOS 7.1 ou ultérieur, ou un Mac exécutant OS X Mavericks 10.9.2 ou ultérieur). La fonctionnalité 

Demande de vérification des appareils est utile lorsque l’Apple TV est déployée sur un 

réseau Wi-Fi ouvert. Pour s’assurer que les appareils iOS et les ordinateurs Mac sont jumelés de 

manière sécurisée, l’utilisateur est invité à saisir un code à l’écran propre à la connexion. Pour les 

connexions suivantes, aucun code n’est requis, sauf si les réglages du Code à l’écran sont activés. 

Le rétablissement des réglages par défaut d’une Apple TV ou d’un client précédemment jumelé 

rétablit les conditions de connexion initiales. 

Les connexions AirPlay pair-à-pair sont toujours sécurisées avec la fonction Demande de vérification 

des appareils. Ce réglage n’est pas configurable par l’utilisateur et il empêche les utilisateurs 

non autorisés à proximité d’accéder à une Apple TV. 

Remarque : Pour les appareils ne se trouvant pas sur un réseau d’infrastructure, le signalement 

par Bonjour des Apple TV (A1469 ou modèle ultérieur) est déclenché par Bluetooth. 

Services basés sur des standards 

Avec la gestion des protocoles de messagerie IMAP, des services d’annuaire LDAP ainsi que des 

protocoles de calendrier CalDAV et de contacts CardDAV, iOS et OS X peuvent s’intégrer à la 

quasi-totalité des environnements standard. Si l’environnement réseau est configuré de manière 

à exiger l’authentification de l’utilisateur et SSL, iOS et OS X offrent une approche hautement 

sécurisée de l’accès aux e-mails, calendriers, tâches et contacts standard de l’entreprise. Avec SSL, 

iOS et OS X prennent en charge le chiffrement 128 bits et les certificats racine X.509 publiés par 

les principales autorités de certification. 

Dans le cadre d’un déploiement type, les appareils Apple accèdent directement aux serveurs de 

messagerie IMAP et SMTP pour envoyer et recevoir les e-mails en mode OTA (ou, dans le cas d’un 

Mail, en mode OTA ou via Ethernet) et ajouter des discussions à la liste VIP. Ils peuvent également 

synchroniser sans fil les notes avec des serveurs IMAP. Les appareils Apple peuvent se connecter 

aux répertoires LDAPv3 de votre organisation, ce qui permet aux utilisateurs d’accéder aux 

contacts de l’entreprise dans les apps Mail, Contacts et Messages. La prise en charge de CardDAV 

permet à vos utilisateurs de disposer d’un ensemble de contacts synchronisés avec votre serveur 

CardDAV au format vCard. La synchronisation avec votre serveur CalDAV permet à vos utilisateurs 

d’effectuer les actions suivantes : 

•• 

Créer et accepter des invitations dans un calendrier 

•• 

Consulter les informations de disponibilité du calendrier d’un invité 

•• 

Créer des événements de calendrier privés 

•• 

Configurer des événements récurrents personnalisés 

•• 

Afficher les numéros de semaine dans Calendrier 

•• 

Recevoir des mises à jour de calendrier 

•• 

Synchroniser les tâches avec l’app Rappels 

Tous les services et serveurs réseau peuvent se trouver au sein d’un sous-réseau de zone démilitarisée, 

derrière un coupe-feu d’entreprise, ou les deux. 


Certificats numériques 

Les appareils Apple prennent en charge les certificats et les identités numériques, offrant ainsi à 

votre organisation un accès simplifié aux services d’entreprise. Ces certificats peuvent être utilisés 

de bien des façons. Par exemple, le navigateur Safari peut vérifier la validité d’un certificat 

numérique X.509 et établir une session sécurisée avec un chiffrement AES jusqu’à 256 bits. Cela 

comprend la vérification que l’identité du site est légitime et que la communication avec le site 

web est protégée pour éviter toute interception de données personnelles ou confidentielles. 

Les certificats peuvent être utilisés pour garantir l’identité de l’auteur, ou « signataire », 

et peuvent également servir à chiffrer des profils de configuration et des communications réseau 

pour protéger plus avant les informations confidentielles ou privées. 

Utiliser des certificats avec des appareils Apple 

Les appareils Apple incluent différents certificats racine préinstallés, délivrés par différentes autorités 

de certification (AC) et iOS valide la fiabilité de ces certificats racine. Si iOS ne parvient pas 

à valider la chaîne de confiance de l’AC signataire, le service rencontrera une erreur. Par exemple, 

un certificat auto-signé ne peut pas être vérifié par défaut dans iOS. Pour consulter la liste 

actuelle des certificats racine de confiance dans iOS, reportez-vous à l’article d’assistance Apple 

iOS 8 : liste des certificats racine de confiance disponibles. 

Les appareils iOS peuvent actualiser sans fil les certificats au cas où l’un ou l’autre des certificats 

racine préinstallés serait compromis. Pour désactiver cette option, une restriction de la solution 

MDM permet d’empêcher les actualisations de certificats à distance. 

Ces certificats numériques peuvent être utilisés pour identifier un client ou un serveur de 

manière sécurisée, et pour chiffrer la communication entre l’un et l’autre à l’aide de la paire de 

clés publique et privée. Un certificat contient une clé publique, des informations sur le client 

(ou serveur) et est signé (vérifié) par une AC. 

Un certificat et sa clé privée associée sont connus sous le nom d’identité. Les certificats peuvent 

être distribués librement, mais les identités doivent être préservées. Le certificat librement distribué, 

et en particulier la clé publique correspondante, sont utilisés pour le chiffrement, lequel 

ne peut être déchiffré qu’avec cette clé publique. Pour sécuriser la clé privée d’une identité, 

celle-ci est stockée dans un fichier PKCS12 chiffré à l’aide d’une autre clé protégée par une phrase 

secrète. Une identité peut être utilisée dans un but d’authentification (ex. : 802.1x EAP-TLS), 

de signature ou de chiffrement (ex. : S/MIME). 

Voici la liste des certificats et formats d’identité pris en charge sur les appareils Apple : 

•• 

Certificats X.509 avec clés RSA 

•• 

Certificat : .cer, .crt, .der 

•• 

Identité : .pfx, .p12 

Déployez des certificats afin d’établir une relation de confiance avec les autorités de certification 

(AC) qui ne sont pas reconnues fiables par défaut (comme, par exemple, une autorité émettrice 

de certificats appartenant à une organisation). 

Distribuer et installer des certificats 

La distribution manuelle de certificats à des appareils iOS est un processus simple. Lorsqu’ils 

reçoivent un certificat, les utilisateurs peuvent en examiner le contenu, puis l’ajouter à leur 

appareil, en quelques touchers. Lorsqu’un certificat d’identité est installé, les utilisateurs sont 

invités à saisir le mot de passe qui le protège. Si l’authenticité d’un certificat ne peut être vérifiée, 

celui-ci est présenté comme non fiable et l’utilisateur peut décider s’il veut ou non l’installer sur 

son appareil. 


Installer des certificats à l’aide de profils de configuration 

Si vous utilisez des profils de configuration pour distribuer les réglages de services d’entreprise 

tels que des e-mails S/MIME, VPN ou Wi-Fi, des certificats peuvent être ajoutés au profil pour 

simplifier le déploiement. Cela comprend la possibilité de distribuer des certificats avec une 

solution MDM. 

Installer des certificats via Mail ou Safari 

Si un certificat est envoyé dans un e-mail, il apparaît sous la forme d’une pièce jointe. Safari peut 

aussi être utilisé pour télécharger des certificats à partir d’une page web. Vous pouvez héberger 

un certificat sur un site web sécurisé et fournir aux utilisateurs l’adresse URL à laquelle ils 

peuvent télécharger le certificat sur leurs appareils Apple. 

Suppression et révocation des certificats 

Pour supprimer manuellement un certificat préalablement installé, choisissez Réglages > 

Général > Gestion des appareils, sélectionnez un profil, choisissez Plus de détails et sélectionnez 

le certificat à supprimer. Si un utilisateur supprime un certificat nécessaire pour accéder à un 

compte ou à un réseau, l’appareil iOS ne pourra plus se connecter à ces services. 

Un serveur MDM peut visualiser tous les certificats figurant sur un appareil et supprimer tout 

certificat installé. 

Par ailleurs, les protocoles OCSP (Online Certificate Status Protocol) et CRL (Certificate Revocation 

List) sont pris en charge et permettent de vérifier le statut des certificats. Lorsqu’un certificat 

compatible OCSP ou CRL est utilisé, iOS et OS X le valident régulièrement pour s’assurer qu’il n’a 

pas été révoqué. 

Authentification par signature unique (SSO) 

L’authentification par signature unique (SSO) est un processus par lequel un utilisateur peut fournir 

des informations d’authentification une fois, recevoir un ticket et l’utiliser pour accéder à des 

ressources aussi longtemps que le ticket est valide. Cette stratégie permet de maintenir un accès 

sécurisé à des ressources sans que le système doive demander ses informations d’authentification 

à l’utilisateur chaque fois qu’il demande l’accès. Cette option améliore également la sécurité 

de l’utilisation quotidienne des apps en veillant à ce que les mots de passe ne soient jamais 

transmis sur le réseau. 

Sous iOS 7 ou ultérieur, les apps peuvent profiter de votre infrastructure actuelle d’authentification 

par signature unique (SSO), via Kerberos. Le système d’authentification Kerberos utilisé par 

iOS 7 ou ultérieur est la technologie d’authentification par signature unique la plus couramment 

déployée au monde. Si vous disposez d’Active Directory, eDirectory ou Open Directory, il est 

probable que vous ayez déjà un système Kerberos utilisable par les appareils exécutant iOS 7 ou 

ultérieur. Les appareils iOS doivent pouvoir contacter le service Kerberos à l’aide d’une connexion 

réseau pour authentifier les utilisateurs. Sous iOS 8, les certificats peuvent être utilisés pour 

renouveler silencieusement un ticket Kerberos, afin que les utilisateurs puissent conserver des 

connexions à certains services utilisant Kerberos pour l’authentification. 

Apps prises en charge 

iOS offre une prise en charge flexible de l’authentification par signature unique (SSO) de 

Kerberos à toute app utilisant la classe NSURLConnection ou NSURLSession pour gérer les 

connexions réseau et l’authentification. Apple fournit à tous les développeurs ces structures de 

haut niveau pour que les connexions réseau s’intègrent naturellement avec leurs apps. Apple 

fournit également Safari en exemple, pour que vous puissiez vous lancer en utilisant de façon 

native des sites web compatibles SSO. 


Configurer l’authentification par signature unique 

Vous pouvez configurer l’authentification par signature unique à l’aide de profils de configuration, 

qui peuvent être soit installés manuellement, soit gérés par une solution MDM. L’entité 

d’authentification par signature unique permet une configuration souple. L’authentification par 

signature unique (SSO) peut être ouverte à toutes les apps ou restreinte par identificateur d’app, 

par URL de service ou les deux. 

Un filtrage par motif simple est utilisé pour les URL devant commencer soit par http://, soit 

par https://. La mise en correspondance se fait sur l’URL complète. Par conséquent, veillez à ce 

qu’elles soient exactement identiques. Par exemple, la valeur URLPreficMatches de 

https://www.example.com/ ne correspond pas à celle de https://www.example.com:443/. 

Vous pouvez spécifier http:// ou https:// pour limiter l’utilisation de l’authentification SSO à des 

services sécurisés ou réguliers. Par exemple, l’utilisation d’une valeur URLPrefixMatches de 

https:// ne permet l’utilisation du compte SSO qu’avec des services HTTPS sécurisés. Si un filtrage 

par motif d’URL ne se termine pas par une barre oblique (/), une barre oblique (/) lui sera annexée. 

Le tableau AppIdentifierMatches doit contenir des chaînes correspondant aux identifiants des 

bundles d’apps. Ces chaînes peuvent être des correspondances exactes (com.mycompany. 

myapp, par exemple) ou spécifier une correspondance de préfixe sur l’identifiant du bundle à 

l’aide du métacaractère (*). Le métacaractère doit figurer après un point (.) et uniquement à la 

fin de la chaîne (par example : com.mycompany.*). Lorsqu’un métacaractère est utilisé, l’accès au 

compte est accordé à toute app dont l’identifiant de bundle commence par le préfixe. 

Réseaux privés virtuels (VPN) 


L’accès sécurisé aux réseaux d’entreprise privés est disponible sur iOS et OS X via des protocoles 

de réseau privé virtuel (VPN) standard bien établis. iOS et OS X prennent tout de suite en charge 

les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. iOS prend également en charge le protocole 

IKEv2. Si votre organisation utilise déjà l’un de ces protocoles, aucune autre configuration réseau 

ni aucune app tierce ne sont nécessaires pour connecter les appareils Apple à votre VPN. 

iOS et OS X prennent en charge les VPN SSL des principaux fournisseurs de VPN. Comme pour 

d’autres protocoles VPN pris en charge par iOS et OS X, les VPN SSL peuvent être configurés 

manuellement sur l’appareil Apple ou via des profils de configuration ou une solution de gestion 

des appareils mobiles. 

iOS et OS X prennent également en charge les technologies standard comme IPv6, les serveurs 

proxy et la création de tunnel partagé, offrant une riche expérience VPN pour la connexion aux 

réseaux d’entreprise. iOS et OS X sont compatibles avec différentes méthodes d’authentification 

comme les mots de passe, les jetons à deux facteurs et les certificats numériques. OS X est aussi 

compatible avec Kerberos. Pour simplifier la connexion dans les environnements dans lesquels 

une authentification basée sur les certificats est utilisée, iOS et OS X offrent une fonctionnalité de 

VPN sur demande, qui démarre une session VPN lorsque cela est nécessaire pour se connecter 

aux domaines indiqués. 

Avec iOS 7 ou ultérieur et OS X Yosemite ou ultérieur, des apps peuvent être individuellement 

configurées de façon à utiliser une connexion VPN indépendamment des autres apps. Cela 

permet de garantir que les données de l’entreprise circulent toujours via une connexion VPN, 

à la différence des autres données, telles que celles des apps personnelles qu’un employé s’est 

procurées sur l’App Store. Pour plus de détails, consultez la section Connexion VPN via l’app. 


iOS propose également la fonctionnalité VPN toujours actif, avec laquelle un appareil iOS doit se 

connecter à un VPN connu et approuvé avant de pouvoir se connecter à tout service réseau. 

Vous pouvez utiliser la fonctionnalité VPN toujours actif pour les configurations cellulaires et Wi-Fi. 

Par exemple, avec la fonctionnalité VPN toujours actif, un appareil iOS doit se connecter à un VPN 

connu et approuvé avant de pouvoir se connecter à tout service réseau, tel qu’un service de messagerie, 

web ou de messages. Cette fonctionnalité dépend de la prise en charge de votre configuration 

par le fournisseur du réseau VPN et n’est disponible que pour les appareils supervisés. 

Pour en savoir plus, consultez la section Vue d’ensemble de la fonctionnalité VPN toujours actif. 

Protocoles et méthodes d’authentification pris en charge 

Les appareils iOS et OS X prennent en charge les protocoles et méthodes d’authentification 

suivants : 

•• 

L2TP sur IPSec : Authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux 

facteurs, certificat et authentification des appareils par secret partagé ou par certificat. 

•• 

VPN SSL : Authentification des utilisateurs par mot de passe, jeton à deux facteurs et certificats 

par le biais d’un client VPN tiers. 

•• 

Cisco IPSec : Authentification des utilisateurs par mot de passe, jeton à deux facteurs et 

authentification des appareils par secret partagé et certificat. 

•• 

IKEv2 : Certificats (RSA uniquement), EAP-TLS, EAP-MSCHAP v2. (iOS uniquement) 

•• 

PPTP : Authentification des utilisateurs par mot de passe MS-CHAP v2, certificat et jeton à 

deux facteurs. 

OS X peut également utiliser l’authentification des machines Kerberos par secret partagé ou par 

certificat avec le protocole L2TP sur IPSec et PPTP. 

Clients VPN SSL 

Plusieurs fournisseurs de solutions VPN SSL ont créé des apps qui simplifient la configuration des 

appareils iOS en vue d’une utilisation avec leur solution. Pour configurer un appareil en vue d’une 

utilisation avec une solution en particulier, installez l’app correspondante à partir de l’App Store et, 

le cas échéant, fournissez un profil de configuration incluant les réglages nécessaires. 

Quelques exemples de solutions VPN SSL : 

•• 

VPN SSL AirWatch : Pour en savoir plus, consultez le site web AirWatch. 

•• 

VPN SSL Aruba Networks : iOS prend en charge les contrôleurs de mobilité Aruba Networks. 

Pour la configuration, installez l’app Aruba Networks VIA, disponible dans l’App Store. 

Pour trouver des coordonnées de contact, consultez le site web Aruba Networks. 

•• 

VPN SSL Check Point Mobile : iOS prend en charge Check Point Security Gateway avec un tunnel 

VPN complet de couche 3. Installez l’app Check Point Mobile, disponible dans l’App Store. 

•• 

VPN SSL Cisco AnyConnect : iOS prend en charge Cisco Adaptive Security Appliance (ASA) 

exécutant l’image logicielle 8.2.5 ou ultérieure. Installez l’app Cisco AnyConnect, disponible 

dans l’App Store. 

•• 

VPN SSL F5 : iOS prend en charge les solutions VPN SSL F5 BIG-IP Edge Gateway, Access Policy 

Manager et FirePass. Installez l’app F5 BIG-IP Edge Client, disponible dans l’App Store. 

Pour en savoir plus, reportez-vous au dossier technique F5, 

Secure iPhone Access to Corporate Web Applications. 

•• 

VPN SSL Juniper Junos Pulse : iOS prend en charge les passerelles VPN SSL série SA de Juniper 

Network, exécutant la version 6.4 ou ultérieure avec le paquet Juniper Networks IVE version 7.0 

ou ultérieure. Installez l’app Junos Pulse, disponible dans l’App Store. 


Pour en savoir plus, consultez la page Junos Pulse sur le site web Juniper Networks. 

•• 

VPN SSL Mobile Iron : Pour en savoir plus, consultez le site web Mobile Iron. 

•• 

VPN SSL NetMotion : Pour en savoir plus, consultez le site web NetMotion. 

•• 

VPN SSL OpenVPN : iOS prend en charge OpenVPN Access Server, Private Tunnel et la communauté 

OpenVPN. Pour la configuration, installez l’app OpenVPN Connect, disponible dans 

l’App Store. 

•• 

VPN SSL Palo Alto Networks GlobalProtect : iOS prend en charge la passerelle GlobalProtect de 

Palo Alto Networks. Installez l’app GlobalProtect for iOS, disponible dans l’App Store. 

•• 

VPN SSL SonicWALL : iOS prend en charge les appliances d’accès sécurisé à distance (en anglais 

« Secure Remote Access » ou « SRA ») E-Class SonicWALL Aventall exécutant la version 10.5.4 

ou ultérieure, les appliances SRA SonicWALL exécutant la version 5.5 ou ultérieure et les 

appliances de pare-feux SonicWALL de nouvelle génération, notamment les gammes NSA, 

TZ et E-Class NSA exécutant SonicOS version 5.8.1.0 ou ultérieure. Installez l’app SonicWALL 

Mobile Connect, disponible dans l’App Store. 

Pour en savoir plus, consultez le site web SonicWALL. 

Instructions pour la configuration d’un VPN 

Instructions pour la configuration d’un VPN Cisco IPSec 

Suivez ces consignes pour configurer votre serveur VPN Cisco pour l’utiliser avec les appareils 

iOS. iOS prend en charge les appliances de sécurité Cisco ASA 5500 et les pare-feu PIX configurés 

avec le logiciel 7.2.x ou ultérieur. La dernière version du logiciel (8.0.x ou ultérieur) est recommandée. 

iOS prend aussi en charge les routeurs VPN Cisco IOS avec IOS 12.4(15)T ou ultérieur. 

Les concentrateurs série VPN 3000 ne prennent pas en charge les fonctionnalités VPN d’iOS. 

Configuration du proxy 

Pour toutes les configurations, vous pouvez spécifier un proxy VPN : 

•• 

Pour configurer un seul proxy pour toutes les connexions, utilisez le réglage Manuel et fournissez 

l’adresse, le port et l’authentification si nécessaire. 

•• 

Pour attribuer à l’appareil un fichier de configuration automatique du proxy à l’aide de PAC ou 

WPAD, utilisez le réglage Auto. Pour PACS, spécifiez l’URL du fichier PACS ou JavaScript. Pour 

WPAD, iOS interroge les serveurs DHCP et DNS afin d’obtenir les bons réglages. 

La configuration du proxy VPN est utilisée lorsque le VPN fournir les éléments suivants : 

•• 

La résolution et la route par défaut : Le proxy VPN est utilisé pour toutes les requêtes web 

envoyées au système. 

•• 

Une séparation des flux : Seules les connexions aux hôtes correspondant aux domaines de 

recherche DNS du VPN utilisent le proxy VPN. 

Méthodes d’authentification 

iOS prend en charge les méthodes d’authentification suivantes : 

•• 

L’authentification IPsec par clé prépartagée avec authentification des utilisateurs par xauth. 

•• 

Les certificats client et serveur pour l’authentification IPSec avec authentification des utilisateurs 

facultative par xauth. 

•• 

L’authentification hybride où le serveur fournit un certificat et le client fournit une clé prépartagée 

pour l’authentification IPsec. L’authentification de l’utilisateur est requise via xauth. 

•• 

L’authentification des utilisateurs est fournie par xauth et couvre les méthodes d’authentification 

suivantes : 

•• 

Nom d’utilisateur avec mot de passe 


•• 

RSA SecurID 

•• 

CRYPTOCard 

Groupes d’authentification 

Le protocole Cisco Unity utilise des groupes d’authentification pour regrouper les utilisateurs en 

fonction d’un jeu commun de paramètres. Il est recommandé de créer un groupe d’authentification 

pour les utilisateurs d’iOS. Pour l’authentification hybride et par clé prépartagée, le nom du 

groupe doit être configuré sur l’appareil avec le secret partagé (clé prépartagée) comme mot de 

passe du groupe. 

Si vous utilisez une authentification par certificat, il n’y a pas de secret partagé. Le groupe 

d’un utilisateur est déterminé à partir des champs du certificat. Les réglages du serveur Cisco 

peuvent être utilisés pour mettre en correspondance des champs du certificat avec des groupes 

d’utilisateurs. 

RSA-Sig doit avoir la priorité maximale sur la liste de priorité ISAKMP. 

Certificats 

Lors de la configuration et de l’installation des certificats : 

•• 

Le certificat d’identité du serveur doit contenir le nom DNS ou l’adresse IP du serveur dans 

le champ SubjectAltName. L’appareil utilise cette information pour vérifier que le certificat 

appartient bien au serveur. Pour plus de flexibilité, vous pouvez indiquer le nom alternatif 

de sujet en utilisant des métacaractères pour la mise en correspondance segment par segment, 

par exemple, vpn.*.mon_entreprise.com. Si aucune valeur n’est indiquée dans le champ 

SubjectAltName, vous pouvez mettre le nom DNS dans le champ de nom commun. 

•• 

Le certificat de l’autorité de certification qui a signé le certificat du serveur doit être installé sur 

l’appareil. S’il ne s’agit pas d’un certificat racine, installez le reste de la chaîne de confiance afin 

que la confiance soit accordée au certificat. Si des certificats clients sont utilisés, vérifiez que 

le certificat de l’autorité de certification de confiance qui a signé le certificat du client est bien 

installé sur le serveur VPN. Lors de l’utilisation d’une authentification par certificats, vérifiez que 

le serveur est bien configuré pour identifier le groupe d’utilisateurs en fonction des champs 

du certificat client. 

Important : Les certificats et les autorités de certification doivent être valides (pas arrivés à 

expiration, par exemple). L’envoi de chaînes de certificat par le serveur n’est pas pris en charge. 

Réglages et descriptions IPSec 

IPSec offre plusieurs réglages que vous pouvez utiliser pour définir l’implémentation : 

•• 

Mode : Mode tunnel. 

•• 

Modes d’échange de clés par Internet : Mode agressif pour l’authentification par clé prépartagée 

et hybride ou mode principal pour l’authentification par certificat. 

•• 

Algorithmes de chiffrement : 3DES, AES-128 ou AES-256. 

•• 

Algorithmes d’authentification : HMAC-MD5 ou HMAC-SHA1. 

•• 

Groupes Diffie-Hellman : Le groupe 2 est obligatoire pour l’authentification par clé prépartagée 

et l’authentification hybride. Groupe 2 avec 3DES et AES-128 pour l’authentification des certificats. 

Groupe 2 ou 5 avec AES-256. 

•• 

PFS (Perfect Forward Secrecy) : Échange de clés par Internet (IKE) phase 2, si PFS est utilisé, 

le groupe Diffie-Hellman doit être le même que celui qui était utilisé pour IKE phase 1. 

•• 

Configuration du mode : Doit être activée. 

•• 

Détection des pairs morts : Recommandée. 


•• 

Transversal NAT standard : Non pris en charge et activable au besoin (IPSec sur TCP n’est pas 

pris en charge). 

•• 

Équilibrage de la charge : Pris en charge et peut être activé. 

•• 

Recomposition de la phase 1 : Pas prise en charge pour le moment. Il est recommandé de régler 

sur 1 heure les temps de recomposition sur le serveur. 

•• 

Masque d’adresse ASA : Assurez-vous que le masque de réserve d’adresse de tous les appareils 

n’est pas défini ou qu’il est défini sur 255.255.255.255. Par exemple : 

asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask 

255.255.255.255. 

Si le masque d’adresse recommandé est utilisé, certaines routes utilisées par la configuration 

VPN sont susceptibles d’être ignorées. Pour éviter cela, assurez-vous que votre tableau de 

routage contient toutes les routes nécessaires et vérifiez que les adresses de sous-réseau sont 

accessibles avant le déploiement. 

•• 

Version d’application : La version du logiciel client est envoyée au serveur, ce qui lui permet 

d’accepter ou de rejeter des connexions en fonction de la version du logiciel de l’appareil. 

•• 

Bannière : La bannière, si elle est configurée sur le serveur, est affichée sur l’appareil et l’utilisateur 

doit l’accepter ou se déconnecter. 

•• 

Split Tunnel : Pris en charge. 

•• 

Split DNS : Pris en charge. 

•• 

Domaine par défaut : Pris en charge. 

Connexion VPN via l’app 

Avec iOS et OS X, les connexions VPN peuvent être établies par app. Cette approche permet 

de déterminer plus précisément quelles données transitent ou non par le VPN. Avec le VPN à 

l’échelle de l’appareil, toutes les données, quelle qu’en soit l’origine, transitent via le réseau privé. 

Cette capacité à discriminer le trafic au niveau des apps permet de séparer les données personnelles 

de celles de l’entreprise. Comme un nombre croissant d’appareils personnels sont utilisés 

au sein des entreprises, le VPN via l’app permet d’assurer des connexions réseau sécurisées pour 

les apps à usage interne, tout en préservant la confidentialité des activités personnelles. 

Le VPN via l’app permet à chaque app gérée par la solution MDM de communiquer avec le 

réseau privé via un tunnel sécurisé et empêche les apps non gérées figurant sur les appareils 

Apple d’utiliser ce même réseau. Pour préserver plus encore les données, les apps gérées 

peuvent être configurées avec des connexions VPN différentes. Par exemple, une app de devis 

commerciaux pourra exploiter un centre de données entièrement différent de celui qu’utilisera 

une app de comptabilité fournisseurs, tandis que le trafic lié à la navigation web personnelle 

de l’utilisateur utilisera l’Internet public. Cette capacité à discriminer le trafic au niveau des apps 

permet de séparer les données personnelles de celles de l’entreprise. 

Pour utiliser le VPN via l’app, une app doit être gérée par la solution MDM et exploiter les API de 

mise en réseau standard. Une fois que vous avez activé le VPN via l’app pour une quelconque 

connexion VPN, vous devez associer cette connexion aux apps qui l’utiliseront afin de sécuriser le 

trafic réseau pour ces apps. Cette opération nécessite l’utilisation des données utiles de mappage 

de l’app utilisant le VPN via l’app dans un profil de configuration. Le VPN via l’app est configuré à 

l’aide d’une configuration MDM qui définit quelles apps et quels domaines Safari sont autorisés à 

utiliser ces réglages. 

Pour en savoir plus sur la prise en charge du VPN via l’app, contactez les fournisseurs VPN ou 

SSL tiers. 


Activer VPN sur demande 


Le VPN sur demande permet aux appareils Apple d’établir automatiquement une connexion 

sécurisée sans aucune intervention de l’utilisateur. La connexion VPN est lancée en fonction des 

besoins, selon des règles définies dans un profil de configuration. Le VPN sur demande requiert 

une authentification basée sur un certificat. 

Le VPN sur demande est configuré à l’aide de la clé OnDemandRules dans l’entité VPN d’un profil 

de configuration. Les règles s’appliquent en deux étapes : 

•• 

Étape de détection du réseau : Définit les exigences VPN s’appliquant en cas de changement de 

la connexion réseau principale de l’appareil. 

•• 

Étape d’évaluation de la connexion : Définit les exigences VPN pour les demandes de connexion 

auprès de noms de domaines, en fonction des besoins. 

Par exemple, des règles peuvent être utilisées pour : 

•• 

Déterminer qu’un appareil Apple est connecté à un réseau interne et que la connexion VPN 

n’est pas nécessaire. 

•• 

Déterminer qu’un réseau Wi-Fi inconnu est utilisé et que la connexion VPN est nécessaire pour 

toute l’activité réseau. 

•• 

Exiger une connexion VPN en cas d’échec d’une demande de nom de domaine spécifique 

auprès du serveur DNS. 

Étapes 

Le VPN sur demande se connecte à votre réseau en deux étapes. 

Étape de détection du réseau 

Les règles régissant le VPN sur demande sont évaluées en cas de changement de l’interface 

réseau principale de l’appareil, comme lorsqu’un appareil Apple change de réseau Wi-Fi ou passe 

d’un réseau Wi-Fi à un réseau cellulaire sous iOS, ou Ethernet sous OS X. Si l’interface principale 

est une interface virtuelle, comme une interface de VPN, les règles régissant le VPN sur demande 

ne sont pas prises en compte. 

Les règles correspondantes de chaque ensemble (dictionnaire) doivent toutes correspondre pour 

que l’action associée soit engagée. Si l’une des règles ne correspond pas, l’évaluation passe au 

dictionnaire suivant dans le tableau, jusqu’à épuisement du tableau OnDemandRules. 

Le dernier dictionnaire doit définir une configuration « par défaut », c’est-à-dire qu’il ne doit 

comprendre aucune règle correspondante, seulement une action. Cela permettra d’intercepter 

toutes les connexions n’offrant pas de correspondance aux règles précédentes. 

Étape d’évaluation de la connexion 

La connexion VPN peut être déclenchée en fonction des besoins à partir d’une demande de 

connexion à certains domaines, et non unilatéralement en fonction de l’interface réseau. 

Règles et actions 

Les règles aident à définir les types de réseaux associés au VPN sur demande. Les actions aident à 

définir ce qu’il se passe lorsque les règles de correspondance sont vraies. 


Règles de correspondance Sur demande 

Précisez une ou plusieurs des règles de correspondance suivantes pour les clients Cisco IPSec : 

•• 

InterfaceTypeMatch : Facultatif. Valeur de chaîne « Cellulaire (pour iOS) ou Ethernet (pour 

OS X) » ou « Wi-Fi ». Si elle est spécifiée, cette règle correspond lorsque le matériel de l’interface 

principale est du type indiqué. 

•• 

SSIDMatch : Facultatif. Tableau de SSID, dont l’un doit correspondre au réseau en cours d’utilisation. 

Si le réseau n’est pas un réseau Wi-Fi ou si son SSID n’apparaît pas dans la liste, 

la correspondance échoue. Omettez cette clé et son tableau pour ignorer le SSID. 

•• 

DNSDomainMatch : Facultatif. Tableau de domaines de recherche sous forme de chaînes. 

Si le domaine de recherche DNS configuré pour le réseau principal en cours d’utilisation figure 

dans le tableau, cette propriété correspond. Le préfixe sous forme de métacaractère (*) est pris 

en charge : *.example.com trouverait une correspondance avec anything.example.com. 

•• 

DNSServerAddressMatch : Facultatif. Tableau d’adresses de serveurs DNS sous forme de chaînes. 

Si toutes les adresses de serveur DNS actuellement configurées pour l’interface principale 

figurent dans le tableau, cette propriété correspondra. Le métacaractère * est pris en charge ; 

par exemple, « 1.2.3.* » correspond à tout serveur DNS dotés du préfixe 1.2.3. 

•• 

URLStringProbe : Facultatif. Serveur permettant de sonder l’accessibilité. La redirection n’est 

pas prise en charge. L’URL doit être celle d’un serveur HTTPS fiable. L’appareil envoie une 

requête GET pour vérifier que le serveur peut être atteint. 

Action 

Cette clé requise définit le comportement que doit adopter le VPN lorsque toutes les règles de 

correspondance spécifiées sont vérifiées. Les valeurs que peut prendre la clé Action sont les 

suivantes : 

•• 

Connect : Lance sans condition la connexion VPN lors de la tentative suivante de connexion 

au réseau. 

•• 

Disconnect : Désactive la connexion VPN et ne déclenche aucune nouvelle connexion 

sur demande. 

•• 

Ignore : Maintient la connexion VPN existante, mais ne déclenche aucune nouvelle connexion 

sur demande. 

•• 

EvaluateConnection : Évalue les ActionParameters pour chaque tentative de connexion. 

Lorsque cette option est utilisée, la clé ActionParameters, décrite ci-dessous, doit préciser les 

règles d’évaluation. 

•• 

Allow : Pour les appareils iOS équipés d’iOS 6 ou d’une version antérieure, consultez la 

section Rétrocompatibilité. 

ActionParameters 

Ceci est un tableau de dictionnaires contenant les clés décrites ci-dessous, évalués dans leur 

ordre d’apparition. Exigé lorsque le champ Action est défini sur EvaluateConnection. 

•• 

Domains : Obligatoire. Tableau de chaînes définissant les domaines auxquels s’applique cette 

évaluation. Les préfixes sous forme de métacaractère son pris en charge. Vous pouvez donc 

utiliser, par exemple *.example.com. 

•• 

DomainAction : Obligatoire. Définit le comportement du VPN pour les domaines. Les valeurs 

que peut prendre la clé DomainAction sont les suivantes : 

•• 

ConnectIfNeeded : Fait apparaître le VPN en cas d’échec de la résolution DNS des domaines, 

comme lorsque le serveur DNS indique qu’il ne parvient pas à résoudre le nom de domaine, 

ou si la réponse du DNS est redirigée, ou encore si la connexion échoue ou dépasse le 

temps imparti. 

•• 

NeverConnect : Ne déclenche pas le VPN pour les domaines. 


Lorsque DomainAction a pour valeur ConnectIfNeeded, vous pouvez aussi spécifier les clés suivantes 

dans le dictionnaire d’évaluation de la connexion : 

•• 

RequiredDNSServers : Facultatif. Tableau d’adresses IP de serveurs DNS à utiliser pour résoudre 

les domaines. Il n’est pas nécessaire que ces serveurs fassent partie de la configuration réseau 

en cours de l’appareil. Si ces serveurs DNS sont hors d’atteinte, le VPN sera déclenché. 

Pour obtenir une connexion régulière, configurez un serveur DNS interne ou un serveur DNS 

externe validé. 

•• 

RequiredURLStringProbe : Facultatif. URL HTTP ou HTTPS (de préférence) pour sondage à l’aide 

d’une requête GET. Si la résolution DNS réussit pour ce serveur, le sondage doit, lui aussi, 

réussir. Si le sondage échoue, le VPN est déclenché. 

Rétrocompatibilité 

Avant iOS 7, les règles de déclenchement de domaine étaient configurées par tableau de 

domaines : 

•• 

OnDemandMatchDomainAlways 

•• 

OnDemandMatchDomainOnRetry 

•• 

OnDemandMatchDomainNever 

Les cas OnRetry et Never sont toujours pris en charge dans iOS 7 ou ultérieur, bien que l’action 

EvaluateConnection leur soit préférée. 

Pour créer un profil fonctionnant à la fois sur iOS 7 et sur les précédentes versions, utilisez les 

nouvelles clés EvaluateConnection en plus des tableaux OnDemandMatchDomain. Les versions 

précédentes d’iOS ne reconnaissant pas EvaluateConnection utilisent les anciens tableaux, 

tandis qu’iOS 7 et les versions ultérieures utilisent EvaluateConnection. 

Les anciens profils de configuration qui spécifient l’action Allow fonctionneront sur iOS 7 ou ultérieur, 

à l’exception des domaines OnDemandMatchDomainsAlways. 

VPN toujours actif 


La fonction VPN toujours actif offre à votre organisation un contrôle complet sur le trafic des 

appareils en créant un tunnel pour rediriger tout le trafic IP vers l’organisation. Le protocole 

de création de tunnel par défaut, IKEv2, sécurise toutes les transmissions de trafic en chiffrant 

les données. Votre organisation peut maintenant contrôler et filtrer le trafic entrant et sortant 

de ses appareils, sécuriser les données au sein de son réseau et restreindre l’accès à Internet 

des appareils. 

Pour activer le VPN toujours actif, les appareils doivent être supervisés. Une fois le profil VPN 

toujours actif installé sur un appareil, cette fonctionnalité est automatiquement activée, 

sans intervention de l’utilisateur. Le VPN toujours actif reste activé (même si l’appareil est 

redémarré) jusqu’à ce que le profil VPN toujours actif soit désinstallé. 


Si le VPN toujours actif est activé sur un appareil, l’utilisation ou non du tunnel VPN est liée à 

l’état du protocole IP de l’interface. Lorsque l’interface accède au réseau IP, l’appareil tente 

d’utiliser le tunnel. Lorsque l’état du protocole IP de l’interface se dégrade, le tunnel est désactivé. 

VPN toujours actif prend également en charge les tunnels par interface. Pour les appareils iOS, 

il y a un tunnel par interface IP active (c’est-à-dire, un tunnel pour l’interface cellulaire et un 

tunnel pour l’interface Wi-Fi). Tant que le ou les tunnels VPN sont actifs, tout le trafic IP est acheminé 

dans le tunnel. Le trafic comprend tout le trafic IP acheminé et ciblé (c’est-à-dire, le trafic 

provenant d’apps Apple telles que FaceTime et Messages). Si le ou les tunnels ne sont pas actifs, 

tout le trafic IP est arrêté. 

Tout le trafic acheminé à partir d’un appareil atteint un serveur VPN. Vous pouvez appliquer des 

traitements de filtrage et/ou de contrôle avant de transférer le trafic vers sa destination au sein 

du réseau de votre organisation ou sur Internet. De la même manière, le trafic arrivant sur l’appareil 

est acheminé vers le serveur VPN de votre organisation, où des traitements de filtrage et/ou 

de contrôle peuvent être appliqués avant que le trafic ne soit transféré vers l’appareil. 

Scénarios de déploiement 

Les appareils iOS fonctionnent en mode utilisateur unique. Aucune distinction n’est faite entre 

l’identité de l’appareil et l’identité de l’utilisateur. Lorsqu’un appareil iOS établit un tunnel IKEv2 

vers le serveur IKEv2, le serveur perçoit l’appareil iOS comme une entité de jumelage unique. 

Traditionnellement, il existe un tunnel entre une paire d’appareils iOS et un serveur VPN. Étant 

donné que VPN toujours actif introduit l’utilisation d’un tunnel par interface, il peut y avoir plusieurs 

tunnels établis simultanément entre un appareil iOS et le serveur IKEv2, en fonction du 

modèle de déploiement. 

La configuration d’un réseau VPN toujours actif prend en charge les modèles de déploiement 

décrits ci-dessous, qui répondent chacun à des exigences particulières. 

Appareils utilisant uniquement une connexion cellulaire 

Si votre organisation décide de déployer VPN toujours actif sur des appareils iOS utilisant uniquement 

une connexion cellulaire (interface Wi-Fi désactivée de manière permanente), un tunnel 

IKEv2 est établi sur l’interface IP cellulaire entre chaque appareil et le serveur IKEv2. Cela fonctionne 

de la même manière que le modèle VPN traditionnel. L’appareil iOS agit comme un client 

IKEv2, avec un identifiant (un certificat client ou un nom d’utilisateur/mot de passe), et établit un 

tunnel IKEv2 avec le serveur IKEv2. 

Appareils utilisant une connexion cellulaire et Wi-Fi 

Si votre organisation décide de déployer VPN toujours actif sur des appareils iOS utilisant des 

interfaces cellulaire et Wi-Fi, deux tunnels IKEv2 simultanés seront établis à partir de l’appareil. 

Dans ce cas, deux scénarios sont possibles : 

•• 

Le tunnel cellulaire et le tunnel Wi-Fi aboutissent sur deux serveurs IKEv2 distincts 

La configuration de VPN toujours actif avec un tunnel par interface permet à votre organisation 

de configurer les appareils pour qu’ils établissent le tunnel cellulaire vers un serveur 

IKEv2 et le tunnel Wi-Fi sur un second serveur IKEv2. L’un des avantages de ce modèle est 

qu’un appareil peut utiliser le même identifiant client (certificat ou nom d’utilisateur/mot de 

passe) pour chacun des tunnels, car ils aboutissent sur des serveurs différents. L’utilisation de 

deux serveurs offre également à votre organisation une meilleure flexibilité pour le contrôle 

et la séparation en fonction du type de trafic (cellulaire ou Wi-Fi). L’inconvénient est que votre 

organisation doit alors entretenir deux serveurs IKEv2 distincts avec des politiques d’authentification 

client identiques. 

•• 

Le tunnel cellulaire et le tunnel Wi-Fi aboutissent sur le même serveur IKEv2 


La configuration de VPN toujours actif avec un tunnel par interface permet également à votre 

organisation de configurer les appareils pour qu’ils établissent le tunnel cellulaire et le tunnel 

Wi-Fi vers le même serveur IKEv2. 

Utilisation de l’identité client : 

•• 

Une identité client par appareil : Votre organisation peut configurer la même identité client 

(un certificat client ou un nom d’utilisateur/mot de passe) à la fois pour le tunnel cellulaire et 

le tunnel Wi-Fi si le serveur IKEv2 prend en charge plusieurs tunnels par client. L’avantage est 

que cela permet d’éviter d’avoir une identité client supplémentaire pour chaque appareil, 

et donc les contraintes en matière de configuration et de ressources liées. L’inconvénient est 

que lorsqu’un appareil passe d’un réseau à un autre, de nouveaux tunnels sont établis et les 

anciens tunnels deviennent obsolètes. En fonction de l’implémentation, le serveur peut ne 

pas pouvoir éliminer les tunnels obsolètes de manière correcte et efficace. Votre organisation 

doit implémenter une stratégie pour l’élimination des tunnels obsolètes sur le serveur. 

•• 

Deux identités client par appareil : Votre organisation peut configurer deux identifiants client 

(c’est-à-dire deux certificats client ou deux noms d’utilisateur/mots de passe), un pour le 

tunnel cellulaire et un pour le tunnel Wi-Fi. Le serveur IKEv2 perçoit donc deux clients différents 

établissant leur propre tunnel. L’avantage de ce modèle est qu’il fonctionne avec la 

plupart des implémentations de serveur, car de nombreux serveurs différencient les tunnels 

par leur identité client, et n’autorisent qu’un tunnel par client. L’inconvénient de ce modèle 

est le fait d’avoir à gérer deux identités client et deux configurations et ensembles de ressources 

sur le serveur. 

Profil de configuration VPN toujours actif 

Un profil de configuration VPN toujours actif peut être composé soit manuellement, à l’aide d’un 

des éditeurs de profil de configuration Apple (tel que Gestionnaire de profils ou Apple Configurator), 

ou à l’aide d’un fournisseur de solution MDM tiers. Pour plus d’informations, consultez 

l’aide Gestionnaire de profils ou l’aide Apple Configurator. 

Clés relatives aux interactions utilisateur 

Pour empêcher les utilisateurs de désactiver VPN toujours actif, interdisez la suppression du profil 

VPN toujours actif en définissant la clé de profil de premier niveau « PayloadRemovalDisallowed » 

sur vrai. 

Pour empêcher les utilisateurs de modifier le comportement de VPN toujours actif en installant 

d’autres profils de configuration, interdisez l’installation de profils d’interface utilisateur en définissant 

la clé allowUIConfigurationProfileInstallation sur faux sous l’entité com.apple.applicationaccess. 

Votre organisation peut implémenter des restrictions supplémentaires à l’aide d’autres 

clés prises en charge sous la même entité. 

Entités de certificat 

•• 

Certificat d’autorité de certification de serveur : Si la méthode d’authentification du tunnel IKEv2 

est d’utiliser des certificats, le serveur IKEv2 envoie ses certificats de serveur à l’appareil iOS, 

ce qui valide l’identité du serveur. Pour que l’appareil iOS valide le certificat de serveur, il a 

besoin du certificat de l’autorité de certification (entité qui émet les certificats de serveur) du 

serveur. Le certificat d’autorité de certification du serveur peut déjà avoir été installé sur l’appareil. 

Si ce n’est pas le cas, votre organisation peut inclure le certificat de l’autorité de certification 

du serveur en créant une entité de certificat pour le certificat d’autorité de certification 

du serveur. 


•• 

Certificats d’autorité de certification de client : Si la méthode d’authentification du tunnel IKEv2 

est d’utiliser des certificats ou EAP-TLS, l’appareil iOS envoie ses certificats client au serveur 

IKEv2, ce qui valide l’identité du client. Le client peut avoir un ou deux certificats client, 

en fonction du modèle de déploiement sélectionné. Votre organisation doit inclure les certificats 

client en créant des entités de certificat pour les certificats client. Simultanément, pour que le 

serveur IKEv2 valide l’identité du client, il doit disposer du certificat d’autorité de certification 

(émetteur des certificats client) du client installé. 

•• 

Prise en charge du certificat IKEv2 pour le VPN toujours actif : Actuellement, VPN toujours actif 

IKEv2 ne prend en charge que les certificats RSA. 

Entité VPN toujours actif 

Les informations suivantes s’appliquent à l’entité VPN toujours actif. 

•• 

L’entité VPN toujours actif ne peut être installée que sur les appareils iOS supervisés. 

•• 

Un profil de configuration ne peut contenir qu’une seule entité VPN toujours actif. 

•• 

À tout moment, un seul profil de configuration VPN toujours actif peut être installé sur un 

appareil iOS. 

Se connecter automatiquement sous iOS 

VPN toujours actif fournit une clé facultative nommée « UIToggleEnabled » qui permet à votre 

organisation d’activer un commutateur « Connexion automatique » dans les réglages VPN. 

Si cette clé n’est pas définie dans le profil ou est définie sur 0, VPN toujours actif tente d’activer 

un ou deux tunnels VPN. Si la clé est définie sur 1, le commutateur correspondant est ajouté dans 

la sous-fenêtre Réglages VPN et l’utilisateur peut décider d’activer ou non la création de tunnel 

VPN. Si l’utilisateur décide de désactiver la création de tunnel VPN, aucun tunnel n’est établi et 

l’appareil interrompt l’ensemble du trafic IP. Cela est utile lorsqu’il n’y a aucun trafic IP accessible 

et que l’utilisateur souhaite malgré tout passer des appels téléphoniques. L’utilisateur peut 

désactiver la création de tunnel VPN pour éviter les tentatives inutiles. 

Tableau de configuration de tunnel par interface 

Au moins une configuration de tunnel est requise (c’est-à-dire une configuration appliquée pour 

l’interface cellulaire pour les appareils n’utilisant que ce type de connexion, ou une configuration 

appliquée aux interfaces Wi-Fi et cellulaire) dans le tableau TunnelConfigurations. Deux configurations 

maximum peuvent être incluses (une pour les interfaces Wi-Fi et une pour les interfaces 

cellulaires). 

Exceptions propres au trafic captif 

VPN toujours actif prend uniquement en charge l’authentification automatique pour les réseaux 

captifs (connexion automatique avec des informations de connexion préattribuées, telles que 

des informations obtenues à partir de la carte SIM). 

VPN toujours actif fournit également un contrôle sur la gestion des réseaux captifs en prenant en 

charge les clés suivantes : 

•• 

AllowCaptiveWebSheet : Clé permettant au trafic provenant de l’app captive WebSheet intégrée 

de passer en dehors du tunnel. L’app WebSheet est un navigateur prenant en charge 

la connexion aux réseaux captifs si aucune app captive n’est présente. Nous conseillons aux 

organisations d’évaluer le risque que présente l’utilisation de cette clé d’un point de vue 

sécuritaire, étant donné que WebSheet est un navigateur fonctionnel capable de rendre 

tout contenu provenant du serveur captif répondant. L’autorisation du trafic provenant de 

WebSheet rend l’appareil vulnérable face aux serveurs captifs malveillants ou ne se comportant 

pas comme attendu. 


•• 

AllowAllCaptiveNetworkPlugins : Clé permettant au trafic de toutes les apps captives autorisées 

de passer en dehors du tunnel. Cette clé prend le dessus par rapport au dictionnaire 

AllowedCaptiveNetworkPlugins. 

•• 

AllowedCaptiveNetworkPlugins : Liste d’identifiants de bundle d’apps captives tierces autorisées. 

Le trafic provenant des apps captives tierces de cette liste est autorisé en dehors du 

tunnel. Si la clé AllowAllCaptiveNetworkPlugins est également configurée, cette liste n’est 

pas appliquée. 

Exceptions relatives au service 

Les tunnels VPN toujours actif sont par défaut réservés au trafic IP. Cela inclut tout le trafic local, 

ainsi que le trafic des services de l’opérateur fournissant les données cellulaires. Ainsi, le comportement 

par défaut du VPN toujours actif ne prend pas en charge les services IP locaux ni les 

services IP d’opérateur. La prise en charge des exceptions de service VPN toujours actif permet 

à votre organisation de modifier le traitement par défaut du trafic des services ; afin de le faire 

passer en dehors du tunnel ou de l’interrompre. Actuellement, les services prise en charge sont 

VoiceMail et AirPrint, et les actions autorisées sont Allow (pour autoriser le trafic en dehors du 

tunnel) ou Drop (pour interrompre le trafic indépendamment du tunnel). 

Pour en savoir plus sur les clés et attributs de protocole IKEv2 VPN toujours actif, consultez la 

page Configuration Profile Key Reference (Références des clés pour les profils de configuration) 

du site web de la bibliothèque des développeurs iOS. 


Services Internet 

5 


Les services Internet d’Apple sont conçus avec les mêmes objectifs en matière de sécurité que 

ceux appliqués sur toute la plateforme : il s’agit, notamment, de la manipulation sécurisée des 

données, que celles-ci soient au repos sur l’appareil iOS ou en transit sur des réseaux sans fil ; 

de la protection des informations personnelles de l’utilisateur ; ainsi que de la protection contre 

les accès malveillants ou non autorisés aux informations et aux services. Chaque service exploite 

sa propre puissante architecture de sécurité, sans compromettre la simplicité d’utilisation 

générale d’iOS. 

Ces services aident les utilisateurs à communiquer, à créer et à sauvegarder leurs données 

personnelles, sans compromettre les données de votre organisation. 

Ils comprennent les services suivants : 

•• 


•• 

Localiser mon iPhone et Verrouillage d’activation 

•• 

Continuité 

•• 

iCloud 

•• 

Trousseau iCloud 

•• 

iMessage 

•• 

FaceTime 

•• 

Siri 

•• 


Vous pouvez utiliser une solution MDM et des restrictions iOS pour restreindre certains services. 

Pour en savoir plus, consultez la rubrique Vue d’ensemble des restrictions MDM. 

Chez Apple, la sécurité et la confidentialité sont au cœur même de la conception de tous nos 

matériels, logiciels ou services. C’est pourquoi nous respectons la confidentialité de nos clients 

et la protégeons par de solides méthodes de chiffrement, ainsi que par des politiques rigoureuses 

qui régissent le traitement de toutes les données. Pour en savoir plus, consultez la page 

www.apple.com/fr/privacy. 


Un identifiant Apple est requis pour pouvoir accéder aux services d’Apple. Vous devez comprendre 

ce que sont les identifiants Apple pour pouvoir expliquer à vos utilisateurs comment en 

configurer un. 

Un identifiant Apple est une identité servant à se connecter à divers services Apple tels que 

FaceTime, iMessage, l’iTunes Store, l’App Store, l’iBooks Store et iCloud. Ces services permettent 

aux utilisateurs d’accéder à une large gamme de contenu dans le but de simplifier les tâches 

professionnelles, d’améliorer la productivité et de faciliter la collaboration. 

50

Pour profiter au maximum de ces services, les utilisateurs doivent utiliser leur propre identifiant 

Apple. S’ils n’en ont pas, ils peuvent s’en créer un avant même de recevoir un appareil Apple, 

ou à l’aide de l’Assistant réglages. L’Assistant réglages offre à l’utilisateur une manière simple et 

rationalisée de créer un identifiant Apple directement à partir de leur appareil Apple. Les identifiants 

Apple peuvent également être créés sans carte bancaire. 

Pour les déploiements individuels et d’appareils appartenant aux élèves (ou appareils appartenant 

aux utilisateurs), chaque utilisateur doit disposer de son propre identifiant Apple. Pour les 

déploiements dans lesquels les appareils sont partagés, un identifiant Apple appartenant à l’institution 

peut être utilisé pour déployer du contenu sur plusieurs appareils Apple. 

Avec un identifiant Apple, chaque élève ou employé peut installer des apps, livres et autres 

contenus fournis par l’établissement, prendre des notes dans iBooks et y accéder à partir de n’importe 

quel appareil iOS, et s’inscrire à des cours iTunes U, le tout, sans intervention nécessaire de 

la part du service informatique pour gérer l’identifiant Apple sur l’appareil Apple de l’utilisateur. 

Pour en savoir plus sur les identifiants Apple, consultez le site web Mon identifiant Apple. 

Localiser mon iPhone et Verrouillage d’activation 

En cas de perte ou de vol d’un appareil iOS, il est important de le désactiver et d’effacer son 

contenu. Grâce à Localiser mon iPhone, qui fait partie de la suite iCloud, les utilisateurs peuvent 

voir la dernière position enregistrée de leur iPad, iPhone ou iPod touch en utilisant Localiser mon 

iPhone sur iCloud.com ou l’app Localiser mon iPhone sur un appareil iOS. Une fois l’appareil iOS 

localisé, l’utilisateur peut lui faire émettre un son, le mettre en mode Perdu ou l’effacer complètement 

s’il est connecté à Internet. 

Le mode Perdu (iOS 6 ou ultérieur) verrouille l’appareil iOS avec un code, affiche un message 

personnalisé et suit sa position. Pour les appareils iOS sous iOS 5, cette fonctionnalité verrouillera 

seulement l’appareil. 

Sous iOS 7 ou ultérieur, lorsque Localiser mon iPhone est activé, l’appareil iOS ne peut pas être 

réactivé sans que soient au préalable saisis l’identifiant Apple et le mot de passe associé de son 

propriétaire. Il est conseillé de superviser les appareils appartenant à votre organisation et de 

mettre en place des règles obligeant les utilisateurs à désactiver cette fonctionnalité, afin que 

Localiser mon iPhone n’empêche pas l’organisation d’attribuer l’appareil à une autre personne. 

Sous iOS 7.1 ou ultérieur, vous pouvez utiliser une solution MDM compatible pour activer le 

Verrouillage d’activation sur les appareils supervisés lorsqu’un utilisateur active Localiser mon 

iPhone. Les administrateurs de la solution MDM peuvent gérer le Verrouillage d’activation de la 

fonction Localiser mon iPhone en supervisant les appareils avec Apple Configurator ou le programme 

d’inscription d’appareil. Votre solution MDM peut ensuite stocker un code de contournement 

lorsque le Verrouillage d’activation est activé, puis utiliser ce code pour désactiver le 

Verrouillage d’activation automatiquement lorsque vous devez effacer les données de l’appareil 

et attribuer ce dernier à un nouvel utilisateur. Consultez la documentation de votre solution 

MDM pour obtenir plus de détails. 

Chapitre 5 Services Internet 51

Important : Par défaut, le verrouillage d’activation n’est pas activé sur les appareils supervisés, 

même si l’utilisateur active Localiser mon iPhone. Cependant, un serveur MDM peut récupérer un 

code de contournement et autoriser le verrouillage d’activation sur l’appareil. Si Localiser mon 

iPhone est activé lorsque le serveur MDM active le verrouillage d’activation, cette fonctionnalité 

est activée à ce moment-là. Si Localiser mon iPhone est désactivé lorsque le serveur MDM active 

le verrouillage d’activation, cette fonctionnalité est activée dès que l’utilisateur active Localiser 

mon iPhone. 

Pour en savoir plus sur la fonction Localiser mon iPhone et sur le verrouillage d’activation, 

consultez les articles Assistance iCloud, iCloud : Utiliser le mode Perdu et 

Gestion des appareils mobiles et option Verrouillage d’activation de la fonction Verrouiller mon 

iPhone de l’assistance Apple. Consultez également la page Réglages Verrouillage d’activation 

dans l’aide Gestionnaire de profils. 

Continuité 

Continuité est une suite de fonctionnalités permettant à un Mac et un iPhone ou un iPad de 

communiquer en toute simplicité. Continuité requiert iOS 8 ou ultérieur et OS X Yosemite ou 

ultérieur, et peut nécessiter que les appareils soient enregistrés avec le même identifiant Apple. 

Remarque : Certaines fonctionnalités ne sont pas disponibles dans tous les pays, régions 

ou langues. 

Appels téléphoniques 

Un iPhone et un Mac fonctionnent très bien ensemble lorsqu’il s’agit de passer un appel ou de 

répondre à un appel. Lorsqu’un utilisateur travaille sur son Mac avec son iPhone à proximité, il 

peut passer un appel ou répondre sur le Mac et, au besoin, continuer la conversation sur l’iPhone. 

SMS 

Les utilisateurs peuvent communiquer par SMS depuis leur appareil iOS sous iOS 8.1 ou ultérieur, 

et depuis OS X Yosemite ou ultérieur. Les SMS apparaissent sur tous les appareils de l’utilisateur, 

ce qui lui permet de répondre sur celui de son choix. 

Handoff 

Un utilisateur peut commencer à écrire un message dans Mail ou créer un document Pages sur 

son Mac, puis passer sur son appareil iOS sous iOS 8 ou ultérieur situé à proximité et trouver l’élément 

entamé déjà présent, prêt à poursuivre les modifications. L’utilisateur verra une petite icône 

dans le coin de l’appareil iOS ou dans le Dock sur le Mac. Un balayage sur l’écran de l’appareil iOS 

ou un clic sur le Mac met le document au premier plan. Handoff fonctionne avec Calendrier, 

Contacts, Mail, Plans, Messages, Pages, Numbers, Keynote, Rappels et Safari. Les développeurs 

d’apps peuvent également intégrer Handoff à leurs apps. 

Instant Hotspot 

Instant Hotspot permet à un Mac d’utiliser un iPhone ou un iPad (avec une connexion cellulaire) 

sous iOS 8.1 ou ultérieur comme point d’accès Internet lorsqu’aucun accès Wi-Fi n’est disponible. 

La puissance du signal et le niveau de charge de la batterie de votre appareil iOS sont affichés 

dans la barre des menus de votre Mac. Dès que l’utilisateur se déconnecte de l’appareil iOS, 

le partage de connexion est désactivé pour prolonger l’autonomie de la batterie. 

Remarque : Vérifiez auprès de votre opérateur les partages de connexion disponibles. 


AirDrop 

AirDrop permet à un Mac sous OS X Mavericks ou ultérieur et un appareil iOS sous iOS 8 ou 

ultérieur de partager des fichiers sans fil en l’absence d’un réseau sans fil. AirDrop est accessible 

depuis n’importe quel menu de partage et depuis la barre latérale du Finder sur un Mac. 

iCloud 

iCloud permet aux utilisateurs de stocker du contenu personnel, tel que des contacts, des calendriers, 

des documents et des photos, et de les maintenir à jour sur plusieurs appareils iOS et 

ordinateurs Mac. iCloud sécurise le contenu en le chiffrant avant de le transférer par Internet, 

en le stockant dans un format chiffré et en utilisant des jetons sécurisés pour l’authentification. 

Les appareils iOS utilisent la sauvegarde iCloud pour sauvegarder chaque jour en Wi-Fi des 

informations comme les réglages des appareils iOS, les données d’apps et les SMS et MMS. La 

sauvegarde iCloud fonctionne uniquement lorsque l’appareil est verrouillé, est connecté à une 

source d’alimentation et accède à Internet en Wi-Fi. En outre, iCloud permet de localiser les 

appareils iOS ou ordinateurs Mac égarés ou dérobés grâce à la fonction Localiser mon iPhone. 

Une solution MDM peut également empêcher la sauvegarde des apps gérées sur iCloud. Cela 

permet aux utilisateurs d’utiliser iCloud pour leurs données personnelles, tout en empêchant 

le stockage sur iCloud des données de l’entreprise. Les données provenant des comptes de 

l’entreprise et des apps internes ne sont pas sauvegardées sur iCloud. Certains services, tels que 

Photos iCloud, Trousseau iCloud et iCloud Drive peuvent être désactivés à l’aide de restrictions 

saisies manuellement sur l’appareil ou définies dans des profils de configuration. 

Pour en savoir plus sur iCloud, consultez le site web iCloud. Pour en savoir plus sur la sécurité et la 

confidentialité iCloud, consultez l’article Informations sur la sécurité et la confidentialité d’iCloud 

de l’assistance Apple. Pour en savoir plus sur la configuration système requise pour iCloud, 

consultez l’article Configuration système requise pour iCloud de l’assistance Apple. 

Remarque : Certaines fonctionnalités nécessitent une connexion Wi-Fi. Certaines fonctionnalités 

ne sont pas disponibles dans tous les pays. L’accès à certains services est limité à 10 appareils. 

iCloud Drive 

Les utilisateurs peuvent stocker leurs documents en toute sécurité sur iCloud Drive et y accéder 

à tout moment et où qu’ils se trouvent depuis leur iPhone, iPad, Mac ou PC Windows. Les bibliothèques 

de documents des apps iOS sont également accessibles depuis un Mac, de sorte qu’un 

document commencé sur un appareil iOS peut être modifié sur un Mac. 

Les utilisateurs peuvent également partager leurs documents Pages, Numbers et Keynote stockés 

sur iCloud Drive avec d’autres personnes. Chaque app iOS affiche les documents compatibles 

stockés sur iCloud Drive. Sur un Mac, iCloud Drive apparaît sous forme de dossier dans OS X. 

Les utilisateurs font glisser et déposent des fichiers pour les ajouter, les organiser à l’aide de 

dossiers et de tags, et même les rechercher grâce à Spotlight. 

iCloud tient vos informations à jour sur tous vos appareils. Toute modification effectuée 

sur un fichier hors connexion est automatiquement mise à jour dès que l’appareil est de 

nouveau connecté. 


Trousseau iCloud 

Trousseau iCloud tient à jour spécifiquement les mots de passe des sites web utilisés dans Safari 

et ceux des réseaux Wi-Fi sur tous vos appareils iOS et vos ordinateurs Mac sur lesquels vous avez 

configuré iCloud. Ce service peut stocker des mots de passe pour d’autres apps qui le prennent 

en charge. Le trousseau iCloud stocke également les données de carte bancaire enregistrées 

dans Safari afin que cette app puisse les remplir automatiquement sur vos Mac et appareils iOS. 

Le trousseau iCloud stocke également les données de connexion à votre compte Internet et les 

informations de configuration. 

Trousseau iCloud est composé de deux services : 

•• 

Maintien à jour du trousseau sur d’autres appareils 

•• 

Récupération de trousseau 

Le maintien à jour du trousseau sur les appareils iOS et les ordinateurs Mac requiert l’approbation 

de l’utilisateur et chaque élément du trousseau éligible est remplacé par un chiffrement par 

appareil via le stockage de valeur par clé iCloud. Les éléments du trousseau sont temporaires et 

ne persistent pas dans iCloud après leur synchronisation. 

La récupération de trousseau permet aux utilisateurs d’enregistrer leur trousseau auprès d’Apple, 

sans pour autant lui donner la possibilité de lire les mots de passe et autres données qu’il 

contient. Même si l’utilisateur n’a qu’un seul appareil iOS ou Mac, la récupération de trousseau 

crée un filet de sécurité contre la perte de données. C’est particulièrement important lorsqu’on 

utilise Safari pour générer de façon aléatoire des mots de passe puissants pour les comptes web, 

car la seule trace de ces mots de passe se trouve dans le trousseau. 

Le trousseau iCloud de l’utilisateur est sauvegardé sur iCloud si l’utilisateur crée un code de 

sécurité iCloud. L’authentification secondaire et le service d’entiercement sécurisé sont des fonctionnalités 

importantes de la récupération de trousseau. Le trousseau de l’utilisateur est chiffré à 

l’aide d’un puissant code de sécurité, et le service d’entiercement ne fournit une copie du trousseau 

que si des conditions très strictes sont réunies. 

Important : Si l’utilisateur ne crée pas un code de sécurité iCloud, Apple ne peut rien faire pour 

récupérer le trousseau iCloud. Consultez l’article Frequently asked questions about iCloud Keychain 

(Questions et réponses sur le trousseau iCloud) de l’assistance Apple. 

iMessage 

iMessage est un service de messagerie pour les appareils iOS et les ordinateurs Mac, qui permet 

de discuter individuellement ou en groupe. Il prend en charge le texte et les pièces jointes telles 

que des photos, des contacts et des positions. L’app Messages apparaît sur tous les appareils iOS 

et ordinateurs Mac inscrits d’un utilisateur, afin que ce dernier puisse continuer sa conversation 

sur l’appareil de son choix. iMessage utilise le service de notifications push Apple (APN) et un 

chiffrement de bout en bout qui exploite des clés que seuls les appareils iOS et ordinateurs Mac 

expéditeur et destinataire connaissent. Apple ne peut pas déchiffrer les messages, et ceux-ci ne 

sont pas consignés. 

Remarque : Des frais de données standard de l’opérateur peuvent s’appliquer. Les messages 

peuvent être envoyés comme SMS quand iMessage n’est pas disponible ; des frais de messagerie 

de l’opérateur s’appliquent. 


FaceTime 

FaceTime est le service d’appels vidéo et audio d’Apple. Les appels FaceTime utilisent le service 

de notifications push Apple (APN) pour établir une connexion, puis la technique ICE (Internet 

Connectivity Establishment) et le protocole SIP (Session Initiation Protocol) pour créer un flux 

chiffré. Les utilisateurs peuvent communiquer par le biais de FaceTime quels que soient les appareils 

iOS et OS X utilisés. 

Remarque : Les appels FaceTime nécessitent que l’appelant et l’appelé disposent d’un appareil 

compatible FaceTime, et qu’une connexion Wi-Fi soit disponible. FaceTime peut être utilisé avec 

une connexion à un réseau cellulaire avec un iPhone 4s (ou ultérieur), ou encore un iPad avec 

écran Retina ou ultérieur, ou un iPad mini ou ultérieur avec capacité de connexion aux données 

cellulaires. La disponibilité sur réseau cellulaire dépend de la politique des opérateurs. Des frais 

de données peuvent s’appliquer. 

Siri 

Siri permet aux utilisateurs d’envoyer des messages, de planifier des réunions, de passer des 

appels téléphonique et bien plus encore, simplement en parlant naturellement. Siri utilise la 

reconnaissance vocale, la synthèse vocale et un modèle client-serveur pour répondre à une large 

gamme de requêtes. Les tâches dont s’acquitte Siri ont été conçues pour faire en sorte que seul 

soit utilisé le strict minimum d’informations personnelles et que ces dernières soient entièrement 

protégées. Les requêtes et enregistrements vocaux de Siri ne sont pas personnellement identifiés 

et, si possible, les fonctions Siri sont toujours mises en œuvre sur l’appareil iOS, et non sur 

le serveur. 

Remarque : Siri n’est pas disponible dans toutes les langues ni dans tous les pays, et les fonctionnalités 

proposées peuvent varier en fonction des zones géographiques. Un accès à Internet est 

requis. Des frais de transfert de données cellulaires peuvent s’appliquer. 


Le programme Identifiant Apple pour les étudiants est réservé aux étudiants âgés de moins de 

13 ans. Les identifiants Apple sont requis par l’école ou par le secteur scolaire, et créés par Apple 

suite à la réception de l’accord relatif à la divulgation des renseignements personnels de l’enfant 

(formulaire disponible en anglais et espagnol uniquement) signé par un parent ou tuteur. Cette 

méthode est conforme à la loi COPPA (Children’s Online Privacy Protection Act, Loi relative à la 

protection et la confidentialité sur Internet pour les enfants). 

Pour en savoir plus sur les identifiants Apple pour les étudiants, consultez : 

•• 

Le site web Identifiant Apple pour les étudiants 

•• 

L’aide relative aux identifiants Apple pour les étudiants 

Remarque : Le programme Identifiant Apple pour les étudiants n’est pas disponible dans tous 

les pays. 


Service de notifications push Apple (APN) 

De nombreux services dépendent du service de notifications push Apple (APN). Le service APN 

est un élément essentiel permettant aux appareils Apple d’être informés des mises à jour, politiques 

de la solution MDM et des messages entrants. Afin que vos appareils Apple puissent fonctionner 

avec ces services, vous devez autoriser le trafic réseau de l’appareil vers le réseau Apple 

(17.0.0.0/8) sur le port 5223, avec le port 443 comme alternative. 

Ce trafic est un protocole binaire sécurisé propre au service APN et ne doit pas passer par un 

proxy. Toute tentative d’inspection ou de redirection du trafic mènera le client, le service APN et 

les serveurs du fournisseur de notifications push à marquer la conversation réseau comme compromise 

et invalide. 

Plusieurs couches de sécurité sont appliquées au service APN au niveau des extrémités et 

des serveurs. Pour lire des informations techniques sur ces précautions, consultez la page 

Local and Remote Notification Programming Guide (Guide de programmation des notifications 

en local et à distance). 


Sécurité 

6 


iOS et OS X sont conçus avec de nombreuses couches de sécurité, ce qui permet aux appareils 

Apple d’accéder aux services réseau de manière sécurisée et de protéger les données importantes. 

iOS et OS X offrent également une protection sécurisée grâce à l’utilisation de règles de 

codes et de mots de passe pouvant être fournies et appliquées par la solution MDM. Si un appareil 

Apple est dérobé, un utilisateur ou un administrateur informatique peut utiliser une commande 

à distance pour effacer toutes les données privées. 

Pour garantir la sécurité de tous les appareils Apple déployés, une entreprise doit disposer des 

éléments suivants : 

•• 

Méthodes empêchant toute utilisation non autorisée de l’appareil 

•• 

Protection des données au repos, notamment en cas de perte ou de vol de l’appareil 

•• 

Protocoles de réseau et chiffrement des données transmises 

•• 

Exécution des apps en toute sécurité sans compromettre l’intégrité de la plate-forme 

Ces fonctionnalités s’associent pour fournir une plate-forme informatique mobile sécurisée. 

Pour en savoir plus sur la sécurité sous iOS, consultez la page iOS and the new IT (iOS et les 

nouvelles technologies). 

Sécurité des appareils et des données 


La mise en œuvre de règles efficaces pour l’accès aux appareils Apple est déterminante pour 

protéger les informations de votre organisation. De puissants codes de sécurité pour les appareils 

iOS constituent la première ligne de défense contre les accès non autorisés et peuvent être 

configurés et appliqués par la solution MDM. 

Les appareils iOS utilisent le code unique établi par chaque utilisateur pour générer une puissante 

clé de chiffrement utilisée pour renforcer la protection des e-mails et des données d’applications 

sensibles stockées sur l’appareil. iOS fournit également des méthodes sécurisées pour 

configurer les appareils dans un environnement informatique où des réglages, des règles et des 

restrictions spécifiques doivent être appliqués. Ces méthodes fournissent des options flexibles 

pour établir un niveau de protection standard pour les utilisateurs sécurisés. 

Règles relatives aux codes 

Un code d’appareil iOS empêche les utilisateurs non autorisés d’accéder aux données stockées 

sur l’appareil. iOS propose un nombre important de règles de code de sécurité afin de répondre 

à tous vos besoins en la matière. 

Ces règles de code incluent les suivantes : 

•• 

Exiger un code sur l’appareil iOS 

57

•• 

Exiger des valeurs alphanumériques 

•• 

Longueur minimum du mot de passe 

•• 

Nombre minimum de caractères complexes 

•• 

Durée maximum du code 

•• 

Délai avant verrouillage automatique 

•• 

Historique de code 

•• 

Délai de grâce pour le verrouillage de l’appareil 

•• 

Nombre maximum de tentatives infructueuses avant que les données soient effacées de 

l’appareil iOS 

Application des règles 

Vous pouvez distribuer des règles au sein d’un profil de configuration installé par les utilisateurs. 

Vous pouvez également définir un profil de sorte qu’un mot de passe d’administrateur soit obligatoire 

pour pouvoir le supprimer, ou qu’il soit verrouillé sur l’appareil iOS et qu’il soit impossible 

de le supprimer sans effacer complètement le contenu de l’appareil. Les réglages de code configurés 

à distance à l’aide d’une solution MDM peuvent envoyer des règles en mode push directement 

à l’appareil, afin que les règles soient mises en application et mises à jour sans aucune 

intervention de la part de l’utilisateur. 

Si un appareil est configuré pour accéder à un compte Microsoft Exchange, les règles 

Exchange ActiveSync sont envoyées en mode push sur l’appareil via une connexion sans fil. 

L’ensemble des règles disponibles varie en fonction de la version d’Exchange ActiveSync et 

d’Exchange Server. S’il existe à la fois des règles Exchange et des règles définies par une solution 

MDM, ce sont les règles les plus strictes qui s’appliquent. 

Configuration sécurisée des appareils 

Un profil de configuration est un fichier XML qui contient les règles de sécurité et les restrictions 

applicables à un appareil, les informations sur la configuration des réseaux VPN, les réglages 

Wi-Fi, les comptes de messagerie et de calendrier et les références d’authentification qui permettent 

aux appareils iOS de fonctionner avec vos systèmes informatiques. La possibilité d’établir 

des règles de codes et de définir des réglages dans un profil de configuration garantit que 

les appareils utilisés sont configurés correctement et selon les normes de sécurité définies par 

votre département informatique. Étant donné que les profils de configuration peuvent être à la 

fois chiffrés et verrouillés, il est impossible de supprimer, de modifier ou de partager les réglages. 

Les profils de configuration peuvent être à la fois signés et chiffrés. La signature d’un profil de 

configuration permet de garantir que les réglages appliqués ne peuvent pas être modifiés. 

Le chiffrement d’un profil de configuration protège le contenu du profil et permet de lancer 

l’installation uniquement sur l’appareil pour lequel il a été créé. Les profils de configuration 

sont chiffrés à l’aide de CMS (Cryptographic Message Syntax, RFC 3852), prenant en charge 3DES 

et AES 128. 

La première fois que vous distribuez un profil de configuration chiffré, vous pouvez l’installer 

via une connexion USB à l’aide d’Apple Configurator, sans fil à l’aide du protocole Over-the-Air 

Profile Delivery and Configuration, ou encore par le biais d’une solution MDM. Les profils de 

configuration chiffrés ensuite peuvent être distribués sous forme de pièce jointe à un e-mail, 

hébergés sur un site web accessible à vos utilisateurs ou envoyés en mode push sur l’appareil 

par le biais d’une solution MDM. 

Pour en savoir plus, consultez la page Over-the-Air Profile Delivery and Configuration 

(Configuration et livraison de profils sans fil). 

Chapitre 6 Sécurité 58

Protection des données 

Vous pouvez améliorer la sécurité des données sensibles telles que les e-mails et pièces jointes 

stockés sur l’appareil en utilisant des fonctionnalités de protection des données intégrées à iOS. 

La protection des données associe le code d’appareil unique de chaque utilisateur au chiffrement 

matériel des appareils iOS pour générer une puissante clé de chiffrement. Cela empêche 

l’accès aux données lorsque l’appareil est verrouillé, et assure la sécurité des données confidentielles, 

même si l’appareil tombe entre de mauvaises mains. 

Pour activer la protection des données, définissez un code de verrouillage sur l’appareil. 

L’efficacité de la protection des données dépend du code ; il est donc important d’exiger un code 

efficace composé de plus de quatre chiffres. 

Les utilisateurs peuvent s’assurer que la protection des données est activée sur leur appareil en 

consultant l’écran des réglages de codes. Les solutions de gestion des appareils mobiles permettent 

également d’interroger les appareils pour récupérer cette information. 

Il existe également pour les développeurs des API de protection des données pouvant être utilisées 

pour sécuriser les données au sein des apps de l’App Store ou des apps personnalisées 

développées en interne. Sous iOS 7 et ultérieur, les données stockées par les applications se 

trouvent, par défaut, dans la classe de sécurité « Protected Until First User Authentication ». 

Cela est semblable à un chiffrement complet du disque sur les ordinateurs de bureau et protège 

les données des attaques impliquant un redémarrage. 

iOS 8 comprend une protection des données pour Calendrier, Contacts, Messages, Notes, Rappels 

et les livres et fichiers PDF gérés. 

Remarque : Si un appareil est mis à jour à partir d’iOS 6, les magasins de données existants ne 

sont pas convertis pour être intégrés dans cette nouvelle classe. La suppression et la réinstallation 

d’une app lui permettent de bénéficier de cette nouvelle classe de protection. 

Chiffrement 

Les appareils iOS utilisent un chiffrement matériel. Ce chiffrement matériel utilise l’encodage 

AES sur 256 bits pour protéger toutes les données stockées sur l’appareil. Le chiffrement est 

toujours activé et ne peut pas être désactivé. De plus, les données sauvegardées dans iTunes sur 

l’ordinateur d’un utilisateur peuvent également être chiffrées. Ce chiffrement peut être activé 

par l’utilisateur ou mis en place à l’aide des réglages de restriction de l’appareil dans les profils 

de configuration. 

Les modules cryptographiques sous iOS 6 et ultérieur ont été validés pour satisfaire aux exigences 

du standard américain FIPS (Federal Information Processing Standard) 140-2 Level 1. 

Cette validation garantit l’intégrité des opérations cryptographiques des apps Apple et des apps 

tierces qui exploitent les services cryptographiques d’iOS. 

Pour en savoir plus, consultez les articles 

Sécurité des produits iOS : validations et procédures applicables et 

Version 4.0 des modules cryptographiques iOS Apple pour la norme FIPS de l’assistance Apple. 

Norme S/MIME appliquée par message 

iOS 8 et OS X Yosemite permettent d’appliquer la norme S/MIME par message, afin que les 

utilisateurs de cette norme puissent décider de toujours signer et chiffrer par défaut, ou de ne 

signer et/ou chiffrer que certains messages. Cela fournit un meilleur contrôle de la sécurité de 

chaque e-mail. 


L’appareil Apple peut délivrer des certificats de norme S/MIME par le biais d’un profil de configuration, 

une solution MDM ou SCEP. Cela offre au service informatique la flexibilité requise pour 

garantir que les utilisateurs ont toujours le certificat adéquat installé. 

Adresses e-mail externes 

iOS 8 et OS X Yosemite prennent en charge la création d’une liste de domaines en fonction des 

suffixes. Les messages Mail envoyés à des adresses dont le domaine n’est pas répertorié dans la 

liste des domaines approuvés sont marqués en rouge. Par exemple, un utilisateur peut ajouter 

example.com et groupe.example.com à sa liste de domaines connus. Si un utilisateur ayant les 

adresses example.com et group.example.com dans sa liste de domaines connus venait à saisir 

l’adresse anyone@acme.com dans un e-mail, cette adresse serait marquée clairement afin que 

l’utilisateur sache que le domaine acme.com ne figure pas dans sa liste des domaines approuvés. 

Touch ID 

Touch ID est le système de détection d’empreinte digitale intégré à certains appareils iOS, 

qui accélère et facilite l’accès hautement sécurisé à l’appareil. Cette technologie identifie les 

empreintes digitales sous n’importe quel angle et apprend à mieux connaître l’empreinte digitale 

de l’utilisateur au fil du temps, le capteur continuant à enrichir la carte de l’empreinte avec 

l’identification de nouveaux chevauchements à chaque utilisation. 

Grâce à Touch ID, l’utilisation d’un code plus long et plus complexe devient plus pratique, 

car l’utilisateur n’a pas à le saisir aussi fréquemment. 

Lorsque Touch ID est activé, l’appareil se verrouille dès que l’on appuie sur le bouton de mise en 

veille. Lorsque la sécurité ne dépend que du code d’accès, de nombreux utilisateurs définissent 

une « période de grâce » du déverrouillage pour éviter d’avoir à saisir leur code à chaque utilisation 

de l’appareil. Avec Touch ID, l’appareil se verrouille dès qu’il se met en veille et exige une 

empreinte digitale – ou éventuellement le code – à chaque sortie de veille. 

Touch ID fonctionne avec le coprocesseur Secure Enclave contenu au sein de la puce A7 Apple. 

Le coprocesseur Secure Enclave dispose de son propre espace mémoire chiffré et protégé, et 

communique de façon sécurisée avec le capteur Touch ID. Lorsque l’appareil se verrouille, 

les clés de la classe de protection des données Complete sont protégées par une clé conservée 

par la mémoire chiffrée du coprocesseur Secure Enclave. Cette clé est détenue pendant 

48 heures maximum et rejetée si l’appareil est redémarré ou si une empreinte digitale non 

reconnue est utilisée cinq fois. Si l’empreinte est reconnue, Secure Enclave fournit la clé permettant 

de « désenvelopper » les clés de protection des données, et l’appareil est déverrouillé. 

iOS 8 introduit l’utilisation de Touch ID pour se connecter à des apps tierces. Si le développeur a 

intégré cette fonctionnalité à son app, l’utilisateur n’a pas besoin de saisir de mot de passe. 

Tout élément du trousseau spécifié par le développeur peut être déverrouillé à l’aide de Touch ID. 

Les données relatives à l’empreinte digitale de l’utilisateur sont protégées et ne sont pas 

accessibles par iOS ni par les apps tierces. 


Effacement à distance 

Les appareils Apple prennent entièrement en charge l’effacement à distance. En cas de perte ou 

de vol d’un appareil, un administrateur ou le propriétaire de l’appareil peut émettre une commande 

d’effacement à distance qui supprimera toutes les données et désactivera l’appareil par le 

biais d’une solution MDM ou de la fonctionnalité Localiser mon iPhone d’iCloud. Si l’appareil est 

configuré avec un compte Exchange, l’administrateur peut initier une commande d’effacement à 

distance à l’aide de la console de gestion Exchange Management Console (Exchange Server 2007) 

ou de l’outil Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 ou 2007). 

Les utilisateurs d’Exchange Server 2007 peuvent initier directement une commande d’effacement 

à distance à l’aide d’Outlook Web Access. 

Effacement local 

Vous pouvez configurer les appareils de manière à initier automatiquement un effacement 

local après plusieurs tentatives infructueuses de saisie du code d’appareil. C’est un moyen de 

se protéger des tentatives d’accès à l’appareil par force brute. Lorsqu’un code est mis en place, 

les utilisateurs peuvent activer l’effacement local directement dans les réglages. Par défaut, 

iOS efface automatiquement l’appareil après 10 tentatives de saisie de mot de passe infructueuses. 

Le nombre maximum de tentatives infructueuses peut être défini à l’aide d’un profil de 

configuration, défini par un serveur MDM ou appliqué à distance par l’intermédiaire de règles 

Microsoft Exchange ActiveSync. 

Sécurité réseau 

Les utilisateurs d’appareils mobiles doivent pouvoir accéder aux réseaux de l’entreprise partout 

dans le monde ; il est également important de s’assurer que les utilisateurs sont autorisés et 

que leurs données sont protégées pendant la transmission. Les technologies de sécurité réseau 

intégrées à iOS atteignent ces objectifs de sécurité à la fois pour les connexions Wi-Fi et pour les 

connexions cellulaires. 

La sécurité réseau iOS prend en charge les éléments suivants : 

•• 

Protocoles Cisco IPSec, L2TP, IKEv2 et PPTP intégrés 

•• 

VPN SSL via les apps de l’App Store 

•• 

SSL/TLS avec des certificats X.509 

•• 

Protocoles WPA/WPA2 Enterprise avec 802.1x 

•• 

Authentification par certificat 

•• 

RSA SecurID, CRYPTOCard 

VPN 

De nombreux environnements d’entreprise possèdent une forme de réseau privé virtuel (VPN). 

Ces services réseau sécurisés requièrent en règle générale des réglages et une configuration 

minimes pour pouvoir fonctionner avec des appareils Apple, lesquels prennent en charge 

l’intégration d’une large gamme de technologies VPN courantes. 

Pour en savoir plus, consultez la section Vue d’ensemble des réseaux privés virtuels (VPN). 

IPSec 

Les appareils iOS et OS X prennent en charge les protocoles et méthodes d’authentification IPSec. 

Pour plus de détails, consultez la section Protocoles et méthodes d’authentification pris 

en charge. 


SSL/TLS 

iOS prend en charge le protocole SSL v3 ainsi que Transport Layer Security (TLS v1.0, 1.1 et 1.2). 

Safari, Calendrier, Mail et d’autres apps Internet utilisent automatiquement ces protocoles pour 

activer un canal de communication chiffré entre les appareils iOS et OS X et les services d’entreprise. 

WPA/WPA2 

iOS et OS X prennent en charge la norme WPA2 Enterprise pour fournir un accès authentifié au 

réseau sans fil de votre entreprise. WPA2 Enterprise utilise un chiffrement AES 128 bit, afin que les 

données des utilisateurs soient protégées pendant les communications effectuées sur un réseau 

Wi-Fi. En outre, avec la prise en charge de l’authentification 802.1x, les appareils Apple peuvent 

s’intégrer dans une grande variété d’environnements d’authentification RADIUS. 

iOS et OS X prennent en charge les protocoles d’authentification 802.1X suivants : 

•• 

EAP-TLS 

•• 

EAP-TTLS 

•• 

EAP-FAST 

•• 

EAP-SIM 

•• 

EAP-AKA 

•• 

PEAP v0, v1 

•• 

LEAP 

Pour en savoir plus, consultez la rubrique Vue d’ensemble du Wi-Fi. 

Chiffrement FaceTime et iMessage 

Chaque session FaceTime et chaque conversation iMessage sont chiffrées de bout en bout. iOS et 

OS X créent un identifiant unique pour chaque utilisateur, veillant ainsi à ce que les communications 

soient correctement chiffrées, acheminées et connectées. 

Sécurité des apps 

Pour éviter toute possibilité de détournement des apps, iOS et OS X comprennent une méthode 

en environnement contrôlé pour la protection des apps lors de leur exécution et pour leur signature. 

iOS et OS X comprennent aussi une structure appelée Trousseau qui facilite le stockage 

sécurisé des identifiants des apps et des services réseau dans un emplacement de stockage 

chiffré. Pour les développeurs iOS et OS X, il offre une architecture cryptographique courante qui 

peut être utilisée pour chiffrer les données stockées par les apps. 

Protection à l’exécution 

Toutes les apps de l’App Store sont mises en environnement contrôlé pour restreindre l’accès aux 

données stockées par d’autres apps. De plus, les fichiers système, les ressources et le noyau sont 

à l’abri de l’espace d’exécution des apps de l’utilisateur. Si une app doit accéder aux données 

d’une autre app, elle ne peut le faire qu’en utilisant les API et les services fournis par iOS et OS X. 

La génération de codes est également impossible. 

Signature du code obligatoire 

Toutes les apps de l’App Store doivent être signées. Les apps fournies avec les appareils Apple 

sont signées par Apple. Les apps tierces sont signées par leur développeur à l’aide d’un certificat 

délivré par Apple. Ce mécanisme permet de s’assurer qu’elles n’ont pas été détournées ou altérées. 

Des vérifications sont effectuées à l’exécution pour s’assurer que l’app n’a pas été invalidée 

depuis sa dernière utilisation. 


Vous pouvez contrôler l’utilisation d’apps internes personnalisées avec un profil d’approvisionnement. 

Les utilisateurs doivent avoir installé le profil d’approvisionnement correspondant pour 

pouvoir lancer l’app. Les profils d’approvisionnement peuvent être installés à distance à l’aide de 

solutions MDM. Vous pouvez également faire en sorte qu’une app ne puisse être utilisée que sur 

certains appareils. 

Structure d’authentification sécurisée 

iOS et OS X fournissent un trousseau chiffré sécurisé pour stocker les identités numériques, 

les noms d’utilisateur et les mots de passe. Les données du trousseau sont segmentées et 

protégées avec des listes de contrôle d’accès (ACL), de sorte que les informations d’identification 

stockées par des apps tierces sont inaccessibles aux apps ayant une identité différente, 

sauf si l’utilisateur les approuve explicitement. Ce mécanisme permet de sécuriser les informations 

d’authentification sur les appareils Apple pour un large éventail d’apps et de services au sein de 

votre organisation. 

Architecture cryptographique courante 

Les développeurs d’app peuvent utiliser des API de chiffrement pour protéger les données de 

leurs apps. Les données peuvent être chiffrées de manière symétrique à l’aide de méthodes 

éprouvées telles que AES, RC4 ou 3DES. En outre, les appareils iOS et les ordinateurs Mac à 

processeur Intel actuels fournissent une accélération matérielle pour le chiffrement AES et le 

hachage SHA1, ce qui optimise les performances des applications. 

Protection des données d’apps 

Les apps peuvent aussi tirer parti du chiffrement matériel intégré aux appareils iOS pour renforcer 

la protection des données d’apps sensibles. Les développeurs peuvent désigner des 

fichiers spécifiques pour la protection des données, en demandant au système de chiffrer le 

contenu du fichier pour le rendre inaccessible à l’app et à tout intrus potentiel lorsque l’appareil 

est verrouillé. 

Habilitations pour les apps 

Par défaut, les apps d’un appareil iOS ont des privilèges très limités. Les développeurs doivent 

explicitement ajouter des habilitations pour utiliser la plupart des fonctionnalités telles qu’iCloud, 

le traitement en arrière-plan ou les trousseaux partagés. Cela permet de s’assurer que les apps 

ne peuvent pas elles-mêmes s’accorder l’accès à des données avec lesquelles elles n’ont pas été 

déployées. Les apps iOS doivent demander la permission explicite de l’utilisateur avant d’exploiter 

de nombreuses fonctionnalités iOS telles que la géolocalisation par GPS, les contacts de l’utilisateur, 

l’appareil photo ou les photos stockées. 

Authentification par signature unique et Touch ID 

Les développeurs peuvent tirer parti de l’authentification par signature unique et de Touch ID 

pour fournir une intégration de l’authentification continue et sécurisée entre les apps, et pour 

autoriser l’authentification avec Touch ID. 

Pour plus d’informations, consultez les sections Configurer l’authentification par signature unique 

et Touch ID. 


Configuration et gestion 

7 


Vous pouvez rationaliser les déploiements d’appareils Apple grâce à plusieurs techniques de 

gestion qui simplifient la configuration des comptes, la configuration des règles institutionnelles, 

la distribution des apps et l’application des restrictions. Vous pouvez configurer les préférences 

et les comptes iOS et OS X manuellement, ou par l’intermédiaire d’une solution MDM. Les utilisateurs 

peuvent ensuite se charger de l’essentiel de la configuration initiale grâce à l’Assistant 

réglages intégré aux appareils Apple. Une fois les appareils configurés et inscrits auprès de la 

solution MDM, ils peuvent être gérés sans fil par votre service informatique. 

Les solutions MDM permettent aux organisations d’inscrire des appareils Apple de manière 

sécurisée au sein de l’environnement éducatif ou de l’entreprise, de configurer et de mettre 

à jour les réglages sans fil, de contrôler le respect des règles, de déployer des apps, mais aussi 

d’effacer ou de verrouiller les appareils à distance s’ils sont gérés. Plusieurs solutions MDM sont 

disponibles en fonction des différentes plateformes de serveur. Chaque solution dispose d’une 

console de gestion, de fonctionnalités et de tarifs qui lui sont propres. Avant de choisir une solution 

MDM, consultez cette section pour déterminer les fonctionnalités les plus importantes pour 

votre organisation. 

En fonction des propriétaires des appareils Apple et du type de déploiement, plusieurs fonctionnalités 

et flux de travail de configuration différents sont disponibles. Pour en savoir plus, consultez 

la section Vue d’ensemble des modèles de déploiement. 

Cette section décrit l’ensemble complet d’outils, de programmes et de services disponibles pour 

prendre en charge votre déploiement d’appareils Apple. 

Assistant réglages et activation 

iOS et OS X proposent l’Assistant réglages, qui permet d’activer tout appareil Apple nouveau ou 

effacé, de configurer les réglages de base et de personnaliser certaines préférences telles que la 

langue, le service de localisation, Siri, iCloud et Localiser mon iPhone. Les utilisateurs peuvent, 

dès la réception de leur appareil Apple, utiliser ces fonctionnalités pour commencer à utiliser leur 

appareil ; votre organisation peut également se charger de ces tâches de configuration de base. 

Assistant réglages permet également à l’utilisateur de se créer un identifiant Apple personnel, 

s’il n’en a pas déjà un. 

Pour les appareils Apple inscrits au programme d’inscription d’appareil et gérés par une solution 

MDM, les écrans suivants de l’Assistant réglages peuvent être ignorés : 

•• 

Restaurer à partir d’une sauvegarde : N’effectue pas de restauration à partir d’une sauvegarde 

•• 

Identifiant Apple : N’invite pas l’utilisateur à s’inscrire à l’aide d’un identifiant Apple 

•• 

Conditions générales : Ignore les Conditions générales 

•• 

Envoi de diagnostics : N’envoie pas automatiquement les informations de diagnostic 

•• 

Localisation (iOS uniquement) : N’active pas le Service de localisation 

64

•• 

Touch ID (iOS uniquement) : N’active pas Touch ID 

•• 

Code (iOS uniquement) : Ignore la configuration du code d’accès 

•• 

Apple Pay (iOS uniquement) : N’active pas Apple Pay 

•• 

Siri (iOS uniquement) : N’active pas Siri 

•• 

Zoom de l’écran (iOS uniquement) : N’active pas le zoom de l’écran 

•• 

Enregistrement (OS X uniquement) : N’autorise pas l’enregistrement 

•• 

FileVault (OS X uniquement) : N’active pas FileVault 

Sauf dans le cas où ces éléments sont également définitivement restreints par le biais de la solution 

MDM, les utilisateurs peuvent effectuer l’ensemble de ces opérations une fois que l’appareil 

Apple est configuré. 

Pour en savoir plus sur le programme d’inscription d’appareil, consultez : 

•• 


•• 


•• 

Aide des programmes de déploiement d’Apple 

Profils de configuration 

Un profil de configuration est un fichier XML utilisé pour distribuer les informations de configuration 

aux appareils Apple. Les profils de configuration permettent d’automatiser la configuration 

des réglages, des comptes, des restrictions et des informations de connexion. Ils peuvent être 

envoyés en pièce jointe par e-mail, téléchargés depuis une page web ou installés sur les appareils 

iOS à l’aide d’Apple Configurator. Si vous devez configurer un grand nombre d’appareils iOS, 

ou si vous préférez un modèle de configuration automatisé et à distance, vous pouvez livrer les 

profils de configuration par l’intermédiaire d’une solution MDM. 

Les profils de configuration contenant un certificat et des données utiles Wi-Fi peuvent également 

être installés sur une Apple TV. Pour en savoir plus, consultez l’article d’assistance Apple 

Comment installer un profil de configuration sur une Apple TV. 

Vous pouvez chiffrer et signer les profils de configuration, ce qui vous permet de limiter leur 

usage à un appareil Apple donné et empêche quiconque de modifier les réglages inclus dans 

le profil. Un administrateur MDM a également la possibilité de marquer un profil comme étant 

verrouillé à un appareil de sorte que, une fois installé, personne ne peut le supprimer sans effacer 

toutes les données de l’appareil ou, le cas échéant, saisir un mot de passe. 

À l’exception des codes, les utilisateurs ne peuvent pas modifier les réglages fournis dans un 

profil de configuration. Les comptes configurés par un profil, tels que les comptes Exchange, 

ne peuvent être supprimés que par la suppression du profil. 

Pour en savoir plus, consultez la page Configuration Profile Key Reference (Références des clés 

pour les profils de configuration). 

Chapitre 7 Configuration et gestion 65

Gestion des appareils mobiles (MDM) 


La compatibilité d’iOS et OS X avec la gestion des appareils mobiles (MDM) permet aux services 

informatiques de configurer et de gérer le déploiement des appareils Apple en toute sécurité 

sur l’ensemble des organisations. Pour rendre cela possible, iOS et OS X intègrent une structure 

MDM qui permet aux solutions MDM tierces de dialoguer sans fil avec les appareils Apple. Cette 

structure légère a été conçue pour les appareils Apple. Elle est assez puissante et évolutive pour 

permettre de configurer et gérer tous les appareils iOS, OS X et Apple TV d’une entreprise. 

Avec une solution MDM, vous pouvez inscrire des appareils Apple en toute sécurité dans une 

organisation, configurer et mettre à jour des réglages, vérifier la conformité des appareils aux 

règles de l’organisation, et effacer ou verrouiller à distance les appareils gérés. MDM pour iOS et 

OS X vous offre un moyen simple de permettre à des utilisateurs d’accéder aux services réseau, 

tout en garantissant que les appareils Apple sont correctement configurés, indépendamment 

du propriétaire. 

APN 

Push 

Interrogation 

Serveur MDM 

Inscription 

Les solutions MDM utilisent le service de notifications push Apple (APN) pour maintenir une 

connexion permanente avec les appareils Apple, tant sur les réseaux publics que sur les réseaux 

privés. Pour fonctionner, la gestion des appareils mobiles (MDM) repose sur plusieurs certificats, 

dont un certificat APN pour communiquer avec les clients et un certificat SSL pour sécuriser les 

échanges. Les solutions MDM peuvent également signer les profils avec un certificat. Les fonctionnalités 

MDM sont développées à partir de technologies iOS et OS X existantes, telles que les 

profils de configuration, l’inscription à distance et le service de notifications push Apple (APN). 

Par exemple, les APN sont utilisées pour réactiver l’appareil afin qu’il puisse communiquer directement 

avec son serveur MDM via une connexion sécurisée. 

Important : Aucune information confidentielle ou exclusive n’est transmise par le biais d’APN. 


Une solution MDM permet à votre service informatique d’inscrire de manière sécurisée les 

appareils Apple appartenant à l’entreprise et les appareils appartenant personnellement aux 

employés. Avec une solution MDM, vous pouvez configurer et mettre à jour des réglages, 

vérifier la conformité des appareils aux règles de l’entreprise, et effacer ou verrouiller à distance 

les appareils Apple gérés. Les solutions MDM permettent également la distribution, la gestion et 

la configuration d’apps et de livres achetés par l’intermédiaire du programme d’achat en volume 

ou développés en interne. 

Pour en savoir plus sur la gestion des appareils mobiles (MDM), consultez les pages suivantes : 

•• 

Gestion d’appareils dans l’éducation 

•• 

iOS and the new IT for enterprise (iOS et les nouvelles technologies pour l’entreprise) 

La plupart des certificats, y compris les certificats APN, doivent être renouvelés tous les ans. 

Lorsqu’un certificat expire, le serveur MDM ne peut plus communiquer avec les appareils Apple 

tant que le certificat n’a pas été mis à jour. Prévoyez donc de mettre à jour tous les certificats 

MDM avant leur expiration. Contactez votre autorité de certification (AC) pour en savoir plus sur 

le renouvellement de vos certificats. Pour plus d’informations sur les APN, reportez-vous au 

portail Apple Push Certificates Portal. 

Pour en permettre la gestion, les appareils Apple sont inscrits à un serveur MDM à l’aide d’un 

profil de configuration d’inscription et peuvent être inscrits directement par l’utilisateur. Pour les 

appareils appartenant à l’entreprise, l’inscription au serveur MDM peut être automatisée à l’aide 

du programme d’inscription d’appareil, comme décrit dans ce chapitre. Lorsqu’un administrateur 

initie une règle, une option ou une commande MDM, les appareils Apple reçoivent une notification 

de l’action par le biais des APN. Avec une connexion réseau, les appareils peuvent recevoir 

des commandes APN, où qu’ils soient dans le monde. 

Inscription 

L’inscription des appareils Apple permet de les cataloguer et de gérer le parc. Le processus d’inscription 

exploite généralement le protocole SCEP (Simple Certificate Enrollment Protocol), 

qui permet à un appareil de créer des certificats d’identité uniques et de s’y inscrire, pour 

l’authentification auprès des services de l’organisation. 

Dans la plupart des cas, ce sont les utilisateurs qui décident ou non d’inscrire leur appareil Apple 

auprès du serveur MDM, et ils peuvent l’en dissocier à tout moment. Les organisations peuvent 

éventuellement recourir à des incitations pour encourager les utilisateurs à rester inscrits. 

Par exemple, il peut exiger l’inscription au serveur MDM pour obtenir un accès au réseau Wi-Fi, 

en utilisant la solution MDM pour fournir les identifiants de connexion. Lorsqu’un utilisateur 

quitte la gestion des appareils mobiles, son appareil tente d’en informer le serveur MDM. 

Le Programme d’inscription d’appareil peut également être utilisé pour inscrire automatiquement 

auprès de la solution MDM les appareils Apple appartenant à l’entreprise, au cours de 

la configuration initiale. Vous pouvez également superviser les appareils iOS pour que les utilisateurs 

à qui sont confiés ces appareils ne puissent pas contourner la MDM ni en désinscrire 

leurs appareils. 

Pour plus d’informations, consultez la section Programme d’inscription d’appareil. 

Configurer 

Une fois inscrit, un appareil Apple peut être configuré de façon dynamique à l’aide de réglages 

et de règles par le serveur MDM. Celui-ci envoie à l’appareil des profils de configuration qui sont 

alors installés par iOS ou OS X automatiquement et en silence. 


Les profils de configuration peuvent être signés, chiffrés et verrouillés, ce qui empêche que les 

réglages soient modifiés ou partagés. Ainsi, seuls les utilisateurs certifiés et les appareils Apple 

configurés selon vos spécifications peuvent accéder à votre réseau et à vos services. Si un utilisateur 

dissocie son appareil de la solution MDM, tous les réglages installés par l’intermédiaire de 

cette solution en sont supprimés. 

Une interface utilisateur pour les profils repensée sous iOS 8 indique aux utilisateurs ce qui a 

été configuré et restreint par la solution MDM. Les comptes, les apps, les livres et les restrictions 

peuvent maintenant être consultés facilement. Les profils d’approvisionnement ne sont plus 

visibles par les utilisateurs sous iOS 8, et les profils expirés sont automatiquement supprimés. 

Comptes 

La gestion des appareils mobiles peut aider les utilisateurs à être rapidement opérationnels en 

configurant automatiquement leur messagerie et autres comptes. En fonction de la solution 

MDM utilisée et de son intégration avec vos systèmes internes, les entités de compte peuvent 

aussi être pré-renseignées avec le nom de l’utilisateur, l’adresse e-mail et, le cas échéant, les identités 

de certificat pour l’authentification et la signature. 

La solution MDM peut configurer les types de comptes suivants : 

•• 

Calendrier 

•• 

Contacts 

•• 

Exchange ActiveSync 

•• 

Identité 

•• 

Jabber 

•• 

LDAP 

•• 

Mail 

•• 

Abonnements calendrier 

•• 

VPN 

•• 

802.1X 

Les comptes de messagerie et de calendrier gérés respectent les restrictions de la gestion des 

autorisations d’ouverture sous iOS 7 ou ultérieur. 

Requêtes 

Un serveur MDM peut interroger les appareils Apple pour récupérer diverses informations. Il 

peut s’agir d’informations matérielles, comme le numéro de série, l’identifiant UDID, l’adresse 

MAC du Wi-Fi ou l’état de chiffrement FileVault (pour OS X). Il peut s’agir également d’informations 

logicielles, comme la version de l’appareil, les restrictions et une liste détaillée de toutes 

les apps installées sur l’appareil. Ces informations peuvent être utilisées pour garantir que les 

utilisateurs conservent les apps appropriées. iOS et OS X permettent des requêtes relatives à 

la dernière sauvegarde iCloud de l’appareil et au hachage de compte d’attribution d’apps de 

l’utilisateur connecté. 

Avec la version 5.4 (ou une version ultérieure) du logiciel Apple TV, le serveur MDM peut interroger 

les Apple TV inscrites pour récupérer des informations telles que la langue, la région et 

l’organisation. 


Tâches de gestion 

Un appareil iOS peut être géré, le cas échéant, par le serveur MDM via un ensemble de tâches 

spécifiques. Les tâches de gestion comprennent entre autres : 

•• 

La modification des réglages de configuration : Une commande peut être envoyée pour installer 

sur un appareil Apple un profil de configuration nouveau ou actualisé. Les changements de 

configuration se font en silence, sans interaction avec l’utilisateur. 

•• 

Le verrouillage d’un appareil iOS : Si un appareil iOS doit être immédiatement verrouillé, 

une commande peut être envoyée pour le verrouiller à l’aide du code de verrouillage en cours. 

•• 

L’effacement à distance d’un appareil iOS : En cas de perte ou de vol d’un appareil iOS, 

une commande peut être envoyée pour effacer toutes les données qu’il contient. 

Une fois reçue, une commande d’effacement à distance ne peut être annulée. 

•• 

La suppression d’un code de verrouillage : Après la suppression du code de verrouillage, l’appareil 

iOS demande immédiatement à l’utilisateur d’en saisir un nouveau. Ce mécanisme est mis 

en œuvre lorsque l’utilisateur oublie son code de verrouillage et demande au service informatique 

de le réinitialiser. 

•• 

La suppression du mot de passe des restrictions : Prise en charge de la suppression des restrictions 

et du mot de passe des restrictions défini sur l’appareil iOS par l’utilisateur. Cette fonctionnalité 

n’est disponible que pour les appareils supervisés. 

•• 

Demander la recopie vidéo AirPlay : Ajoute une commande pour inviter un appareil iOS supervisé 

à lancer la recopie vidéo AirPlay vers une destination particulière. 

•• 

Arrêter la recopie vidéo AirPlay : Ajoute une commande pour inviter un appareil iOS supervisé à 

arrêter la recopie vidéo AirPlay vers une destination particulière. 

Certaines tâches peuvent être mises en attente sous iOS 8 ou ultérieur et sous OS X Mavericks ou 

ultérieur, si l’appareil est dans Assistant réglages. Ces tâches sont les suivantes : 

•• 

Invitation au programme d’achat en volume (VPP) 

•• 

Installation d’apps 

•• 

Installation de contenu multimédia 

•• 

Verrouillage d’un appareil 

•• 

Demander la recopie vidéo AirPlay (iOS uniquement) 

Apps gérées 

La distribution d’apps à vos utilisateurs peut les aider à accroître leur productivité au travail ou 

en classe. Cependant, selon les besoins de votre organisation, vous devrez peut-être contrôler la 

façon dont ces apps se connectent aux ressources internes et dont la sécurité des données est 

gérée lorsque l’utilisateur quitte l’organisation, tout en assurant la coexistence avec les apps et 

données personnelles de l’utilisateur. Les apps gérées sous iOS 7 ou ultérieur et OS X Yosemite 

ou ultérieur permettent à votre organisation de distribuer sans fil des apps gratuites, payantes et 

d’entreprise développées en interne via une solution MDM, tout en offrant le bon équilibre entre 

sécurité institutionnelle et personnalisation par l’utilisateur. 

Les serveurs MDM peuvent déployer à distance sur des appareils Apple des apps de l’App Store 

et d’autres développées en interne. Qu’elles soient payantes ou gratuites, les apps de l’App Store 

peuvent être gérées par un serveur MDM à l’aide de la distribution gérée du Programme d’achat 

en volume (VPP). Pour en savoir plus sur la distribution gérée avec une solution MDM, consultez 

la rubrique Vue d’ensemble du programme d’achat en volume. 


Les apps du programme d’achat en volume peuvent être installées selon les manières suivantes : 

•• 

Les utilisateurs ayant un appareil Apple personnel sont invités par la solution MDM à installer 

l’app depuis l’App Store avec leur identifiant Apple. 

•• 

Pour les utilisateurs ayant un appareil iOS supervisé appartenant à l’organisation et inscrit 

auprès d’un serveur MDM, l’installation des apps se fait de façon silencieuse. 

Les apps gérées peuvent être supprimées à distance par le serveur MDM ou lorsque l’utilisateur 

désinscrit son appareil Apple de la solution MDM. La suppression de l’app a pour effet de supprimer 

les données qui lui sont associées. Si l’app du Programme d’achat en volume est toujours 

attribuée à l’utilisateur ou si ce dernier a utilisé un code avec son identifiant Apple personnel, 

l’app pourra de nouveau être téléchargée sur l’App Store, mais elle ne sera pas gérée. Lorsqu’une 

app est révoquée, elle continue de fonctionner pendant une durée limitée. Puis, l’app est finalement 

désactivée et l’utilisateur est informé qu’il doit acheter sa propre copie pour continuer de 

l’utiliser. 

iOS 7 comprend un ensemble de restrictions et de possibilités renforçant la sécurité et améliorant 

l’expérience utilisateur : 

•• 

Gestion des autorisations d’ouverture : Fournit deux fonctions utiles pour la protection des données 

des apps de votre organisation : 

•• 

Autoriser les documents provenant de sources non gérées dans les destinations gérées. 

L’application de cette restriction empêche les sources et comptes personnels d’un utilisateur 

d’ouvrir des documents dans les destinations gérées de l’organisation. Par exemple, cette 

restriction pourrait empêcher une copie de Keynote appartenant à l’utilisateur d’ouvrir une 

présentation PDF dans une app de visualisation de PDF de l’organisation. Cette restriction 

pourrait aussi empêcher un compte iCloud personnel d’un utilisateur d’ouvrir une pièce 

jointe dans une copie de Pages appartenant à l’organisation. 

•• 

Autoriser les documents provenant de sources gérées dans les destinations non gérées. 

L’application de cette restriction empêche les sources et comptes gérés d’ouvrir des documents 

dans les destinations personnelles de l’utilisateur. Cette restriction pourrait, 

par exemple, empêcher les pièces jointes confidentielles d’un compte de messagerie géré 

de s’ouvrir dans des apps personnelles de l’utilisateur. 

•• 

App Configuration (Configuration des apps) : Les développeurs d’apps peuvent identifier les 

réglages d’une app pouvant être définis lorsque cette app est installée en tant qu’app gérée. 

Ces réglages de configuration s’effectuent avant ou après l’installation de l’app gérée. 

•• 

App Feedback (Feedback sur l’app) : Les développeurs compilant des apps peuvent identifier 

les réglages qu’il est possible de lire depuis une app gérée à l’aide d’une solution MDM. 

Par exemple, un développeur indique une clé DidFinishSetup qu’un serveur MDM interroge 

pour déterminer si l’app a été lancée et configurée. 

•• 

Prevent Backup (Empêcher la sauvegarde) : Cette restriction empêche les apps gérées de sauvegarder 

des données sur iCloud ou iTunes. Ne pas autoriser la sauvegarde permet d’éviter que 

les données des apps gérées ne soient récupérées si l’app est supprimée via la gestion des 

appareils mobiles, mais réinstallée ensuite par l’utilisateur. 

Nouvelles fonctionnalités de gestion sous iOS 8 : 

• • Safari downloads from managed domains (Téléchargements Safari à partir de domaines gérés) : 

Les téléchargements provenant de Safari sont considérés comme des documents gérés s’ils 

proviennent d’un domaine géré. Par exemple, si un utilisateur télécharge un document PDF 

par l’intermédiaire de Safari à partir d’un domaine géré, ce document est conforme à tous les 

réglages des documents gérés. 


•• 

iCloud document management (Gestion de documents iCloud) : Cette restriction empêche les 

apps gérées de stocker des données sur iCloud. Par exemple, les données créées ou utilisées 

par une app gérée ne peuvent pas être stockées sur iCloud, mais les données créées par les 

utilisateurs dans des apps non gérées le peuvent. 

Restriction des claviers tiers 

iOS 8 prend en charge les règles de gestion des autorisations d’ouverture qui s’appliquent aux 

extensions de clavier tiers. Cela empêche les claviers non gérés d’apparaître dans les apps gérées. 

Livres gérés 

Avec iOS 8 et OS X Mavericks ou ultérieur, vous pouvez distribuer et gérer les livres, fichiers ePub 

et PDF que vous créez ou achetez avec la solution MDM, ce qui vous permet de gérer sans effort 

les supports de formation et autres documents d’entreprise. 

Les livres, les fichiers ePub et les fichiers PDF distribués par une solution MDM ont les mêmes 

propriétés que les documents gérés : ils peuvent être partagés uniquement avec les autres apps 

gérées, ou envoyés par e-mail à l’aide de comptes gérés. Les livres achetés par l’intermédiaire du 

programme d’achat en volume peuvent être distribués par une distribution de livres gérés, mais 

ne peuvent pas être révoqués ni réattribués. Les livres déjà achetés par l’utilisateur ne peuvent 

pas être gérés, sauf s’ils sont explicitement attribués à l’utilisateur par l’intermédiaire du programme 

d’achat en volume. 

Domaines gérés 

Sous iOS 8, vous pouvez gérer des URL et des sous-domaines spécifiques. Tous les documents 

provenant de ces domaines sont également considérés comme étant gérés et respectent les 

restrictions de gestion des autorisations d’ouverture existantes. Les chemins suivant le domaine 

sont gérés par défaut. Les sous-domaines alternatifs ne sont pas inclus, sauf si un métacaractère 

est utilisé. Les domaines saisis dans Safari commençant par www (par exemple, www.example.com) 

sont traités comme .example.com 

Affiché dans les réglages Domaines gérés Domaines non gérés 

example.com 

example.com/* 

*.example.com 

www.example.com/* 

hr.example.com 

example.com/docs 

www.example.com 

example.com/docs/* 

www.example.com/docs/* 

www.example.com/* 

www.example.com/docs 



hr.example.com/docs 


hr.example.com 

*.example.com *.example.com/* example.com 

*.example.com/docs *.example.com/docs/* example.com 


Gestionnaire de profils 

En plus de solutions MDM tierces, Apple propose une solution MDM appelée Gestionnaire de 

profils, qui est un service d’OS X Server. Gestionnaire de profils facilite la configuration des appareils 

Apple pour les rendre conformes aux spécifications de l’organisation. 


Gestionnaire de profils offre trois composants : 

•• 

Configuration des appareils Apple à distance : Rationalisez la configuration des appareils Apple 

appartenant à l’organisation. Inscrivez les appareils à la solution de gestion des appareils 

mobiles (MDM) pendant l’activation et ignorez les étapes de configuration de base pour que 

les utilisateurs disposent d’un appareil fonctionnel le plus rapidement possible. 

•• 

Service de gestion des appareils mobiles : Gestionnaire de profils fournit un service de gestion 

des appareils mobiles qui vous permet de gérer à distance les appareils Apple inscrits. Une fois 

qu’un appareil est inscrit, vous pouvez mettre à jour sa configuration en passant par le réseau 

sans que l’utilisateur n’ait besoin d’intervenir ni d’effectuer d’autres tâches. 

•• 

Distribution d’apps et de livres : Gestionnaire de profils peut distribuer des apps et des livres 

achetés par l’intermédiaire du programme d’achat en volume (VPP). Le service de distribution 

d’apps et de livres est pris en charge par les appareils iOS exécutant iOS 7 ou ultérieur et les 

ordinateurs Mac exécutant OS X Maverick 10.9 ou ultérieur. 

Pour en savoir plus, consultez la page Gestion d’appareils. Consultez également 

l’aide Gestionnaire de profils. 

Superviser les appareils 

Pour activer des options de configuration et des restrictions supplémentaires, il est recommandé 

de superviser les appareils iOS appartenant à votre organisation. Par exemple, la supervision vous 

permet d’empêcher la modification des réglages de compte, ou de filtrer les connexions web à 

l’aide de Global Proxy pour vous assurer que le trafic web des utilisateurs reste dans le réseau de 

l’organisation. 

Par défaut, les appareils ne sont pas supervisés. Vous pouvez combiner la supervision et la gestion 

à distance avec une solution MDM pour gérer les réglages et restrictions supplémentaires. 

Pour permettre la supervision des appareils de votre organisation, utilisez le programme d’inscription 

d’appareil Apple ou Apple Configurator. 

La supervision offre un niveau supérieur de gestion des appareils appartenant à votre organisation, 

en permettant d’appliquer des restrictions comme la désactivation d’iMessage ou 

de Game Center. Elle fournit également d’autres fonctionnalités et configurations d’appareils, 

comme le filtrage du contenu, et la possibilité d’installer silencieusement des apps. Avec le 

Programme d’inscription d’appareil, la supervision peut être activée sans fil sur l’appareil dans le 

cadre du processus de configuration, ou manuellement par le biais d’Apple Configurator. 

Pour plus d’informations, consultez la section Réglages des appareils supervisés. 



Le Programme d’inscription d’appareil (DEP) offre un moyen rapide et simple de déployer 

les appareils Apple achetés par votre organisation directement auprès d’Apple ou auprès de 

revendeurs agréés Apple ou d’opérateurs participants. Vous pouvez inscrire automatiquement 

les appareils Apple auprès de la solution MDM sans avoir à les toucher physiquement ni à les 

préparer avant que les utilisateurs en prennent possession. Et vous pouvez encore simplifier le 

processus de configuration pour les utilisateurs en éliminant des étapes spécifiques de l’Assistant 

réglages, afin que les utilisateurs soient rapidement opérationnels. Vous pouvez aussi contrôler 

le fait que l’utilisateur puisse ou non supprimer le profil MDM de l’appareil. Par exemple, 

vous pouvez commander les appareils auprès d’Apple ou auprès de revendeurs agréés Apple 

ou d’opérateurs participants, configurer tous les réglages de gestion, puis envoyer les appareils 

Apple directement aux domiciles des utilisateurs. Une fois l’appareil déballé et activé, il est inscrit 

à votre solution MDM, et les réglages de gestion, les apps et les livres sont prêts à être utilisés. 

Le processus est simple : Après l’inscription au programme, les administrateurs se connectent 

au site web DEP, lient le programme à leurs serveurs MDM, puis « revendiquent » les appareils 

Apple achetés auprès d’Apple ou auprès de revendeurs agréés Apple ou d’opérateurs participants. 

Les appareils peuvent ensuite être attribués à un serveur MDM. Une fois l’appareil 

inscrit, les configurations, les restrictions et les contrôles spécifiés par la solution MDM sont 

automatiquement installés. 

Compte 

client 

Acheté auprès 

d’un revendeur 

DEP 

Serveur MDM 

Acheté auprès 

d’Apple 

Les appareils Apple doivent respecter les critères suivants pour pouvoir être attribués dans le 

cadre du programme d’inscription d’appareil : 

•• 

Avoir été commandés au plus tôt le 1er mars 2011 et achetés directement auprès d’Apple à 

l’aide d’un numéro de client Apple inscrit et validé. 

•• 

Avoir été achetés directement auprès d’un revendeur agréé Apple ou d’un opérateur participant, 

et être liés à l’identifiant de revendeur du programme d’inscription d’appareil du revendeur 

en question. La date réelle d’éligibilité est déterminée par l’historique des ventes de votre 

revendeur agréé Apple ou opérateur participant, mais ne peut être antérieure au 1er mars 2011. 

Remarque : Le programme d’inscription d’appareil n’est pas disponible dans tous les pays. 


La liste des appareils Apple éligibles pouvant être attribués par numéro de commande à vos 

serveurs MDM peut être consultée sur le site web des programmes de déploiement Apple. 

Vous pourrez aussi rechercher, au sein de ces commandes, les appareils par type et par numéro 

de série. Lorsque de nouvelles commandes arrivent, vous pouvez les rechercher sur le site web 

DEP et les attribuer automatiquement à un serveur MDM spécifique. Si, par exemple, vous avez 

passé commande de 5 000 iPad, vous pouvez utiliser le numéro de commande pour attribuer 

tous les appareils, ou un nombre précis d’entre eux, à un serveur MDM autorisé existant. 

Vous pouvez aussi attribuer des appareils à un serveur MDM spécifique en utilisant leur numéro 

de série. Cette méthode est utile si vous vous trouvez en possession physique des appareils 

devant être attribués. 

Les commandes futures peuvent être attribuées automatiquement à un serveur MDM autorisé, 

ce qui vous évite de gérer manuellement l’attribution des appareils Apple. 

Une fois qu’un appareil a été attribué à un serveur MDM du programme, les profils et autres 

fonctionnalités peuvent être appliqués à l’aide du serveur MDM de votre organisation. Parmi ces 

fonctionnalités, figurent : 

•• 

Activer la supervision 

•• 

Configuration obligatoire 

•• 

Exiger une authentification à votre système d’annuaire pour terminer la configuration 

•• 

Profil d’inscription MDM verrouillable 

•• 

Ignorer des étapes de l’Assistant réglages 

Pour plus d’informations, consultez : 

•• 

Programmes de déploiement d’Apple 

•• 

L’aide des programmes d’inscription d’appareil 

•• 

Programme d’inscription d’appareil pour le secteur de l’éducation 


Pour les appareils iOS gérés par vous et non configurés individuellement par les utilisateurs, 

vous pouvez utiliser Apple Configurator, une app Mac gratuite disponible dans l’App Store. 

Elle vous permet de configurer plusieurs appareils en même temps via USB avant de les donner 

aux utilisateurs. Avec cet outil, votre organisation peut rapidement configurer et mettre à jour 

plusieurs appareils vers la dernière version d’iOS, configurer les réglages et restrictions des 

appareils et installer des apps et du contenu. Vous pouvez aussi restaurer une sauvegarde sur des 

appareils : les réglages de l’appareil ainsi que la disposition de l’écran d’accueil seront appliqués 

et les données d’apps installées. 

Apple Configurator est idéal lorsque les utilisateurs partagent des appareils iOS devant être 

rapidement actualisés et maintenus à jour avec les réglages, les règles, les apps et les données 

appropriés. Vous pouvez également utiliser Apple Configurator pour superviser des appareils, 

puis utiliser une solution MDM pour gérer les réglages, les règles et les apps. 

Pour plus d’informations, consultez l’aide Apple Configurator. 



8 


iOS est doté de toute une collection d’apps puissantes et intégrées permettant aux utilisateurs 

de votre organisation d’accomplir des tâches facilement chaque jour, de la gestion d’e-mails et 

de plannings à l’organisation des contacts et des contenus sur le Web. En outre, les fonctionnalités 

supplémentaires dont les utilisateurs ont besoin pour être productifs viennent des centaines 

de milliers d’apps tierces disponibles dans l’App Store ou d’apps d’entreprise personnalisées 

développées en interne ou par des développeurs tiers. Dans le secteur de l’éducation, certaines 

apps iOS et certains contenus pertinents peuvent aider vos utilisateurs à rester productifs 

et créatifs. 

Il existe plusieurs manières de déployer des apps et des livres sur des appareils Apple dans une 

organisation. La méthode la plus évolutive est d’acheter des apps et des livres dans le cadre 

du programme d’achats en volume (y compris des apps B2B) et de les attribuer aux utilisateurs 

avec une solution MDM. Votre organisation peut également créer et déployer ses propres apps 

internes en rejoignant le programme iOS Developer Enterprise. Si vous avez choisi un modèle de 

déploiement avec des appareils partagés, vous pouvez installer des apps et du contenu localement 

avec Apple Configurator. 

Lorsque vous déployez des apps et des livres, prenez en compte les éléments suivants : 

•• 

Programme d’achat en volume (VPP) 

•• 

Apps B2B personnalisées 

•• 

Apps et livres développés en interne 

•• 

Déploiement d’apps et de livres 

•• 


Programme d’achat en volume (VPP) 


L’App Store et l’iBooks Store proposent des milliers de formidables apps et livres que les utilisateurs 

peuvent acheter, télécharger et installer. Le Programme d’achat en volume (VPP) offre aux 

organisations une manière simple d’acheter des apps et des livres en grand nombre, et de les 

distribuer aux employés, sous-traitants ou élèves. Tous les livres et apps payants et gratuits de 

l’iBooks Store et de l’App Store peuvent être acquis dans le cadre du programme. Il existe deux 

sites web pour le Programme d’achat en volume : un pour les entreprises et un pour le secteur 

de l’éducation. 

Le programme VPP pour les entreprises permet d’obtenir des apps B2B personnalisées, réalisées 

sur mesure pour vous par des développeurs tiers et téléchargées de manière privée depuis le 

store VPP. 

75

Le programme VPP pour le secteur de l’éducation permet aux développeurs d’apps de proposer 

des tarifs préférentiels pour les achats de 20 apps ou plus pour certaines institutions d’éducation 

éligibles, y compris des écoles maternelles, écoles primaires, collèges ou lycées, des secteurs, 

ou encore toute institution d’éducation supérieure accréditée délivrant des diplômes. Les tarifs 

préférentiels ne sont pas disponibles pour les livres. 

Les solutions MDM peuvent être intégrées au programme VPP, ce qui permet à votre organisation 

d’acheter des apps et des livres en volume et de les attribuer à des utilisateurs ou groupes 

spécifiques. Lorsqu’un utilisateur n’a plus besoin d’une app, vous pouvez utiliser la solution MDM 

pour la révoquer et la réattribuer à un autre utilisateur. De plus, chaque app ou chaque livre peut 

automatiquement être téléchargé sur l’appareil Apple de l’utilisateur. Une fois distribués, les livres 

restent la propriété du destinataire et ne peuvent pas être révoqués ni réattribués. 

Pour plus d’informations, consultez : 

•• 

Programme d’achat en volume pour les entreprises 

•• 

Programme d’achat en volume pour l’Éducation 

•• 

Aide des programmes de déploiement d’Apple 

Remarque : Le programme d’achat en volume n’est pas disponible dans tous les pays. 

S’inscrire au Programme d’achat en volume pour les entreprises 

Pour acheter des apps en grand nombre, vous devez d’abord vous inscrire et créer un compte 

auprès d’Apple. Vous devez fournir des informations sur votre organisation, comme le numéro 

D-U-N-S de D&B (si vous êtes une entreprise) et des coordonnées de contact. Vous devez également 

créer un identifiant Apple réservé à la gestion administrative de ce programme. 

Acheter des apps et des livres en grand nombre 

Utilisez le site web du Programme d’achat en volume pour acheter des apps et des livres pour 

votre entreprise ou votre établissement d’enseignement. 

Utilisez l’identifiant Apple associé à votre compte de Programme d’achat en volume pour vous 

connecter sur le site web. Recherchez les apps ou les livres que vous désirez acheter, puis indiquez 

le nombre d’exemplaires souhaité. Vous pouvez payer à l’aide d’une carte de crédit d’entreprise 

ou du crédit VPP obtenu à l’aide d’un bon de commande (PO). Le nombre d’exemplaires 

n’est pas limité. Les apps et les livres sont alors disponibles pour attribution via votre solution 

MDM, à condition que celle-ci soit liée à votre compte VPP et qu’elle dispose d’un jeton valide. 

Distribution gérée 

Lorsque vous achetez des apps et des livres en volume, vous pouvez les distribuer via votre solution 

MDM à l’aide de la distribution gérée pour les attribuer aux utilisateurs d’iOS 7 ou ultérieur 

ou d’OS X Mavericks ou ultérieur. Lorsqu’ils n’ont plus besoin de l’app ou qu’ils quittent votre 

organisation, vous pouvez réattribuer cette app à un autre utilisateur. Les livres ne peuvent pas 

être révoqués après avoir été attribués. 

Avant d’utiliser une solution MDM pour attribuer les apps à vos utilisateurs, vous devrez lier 

votre serveur MDM à votre compte VPP à l’aide d’un jeton sécurisé. Vous pouvez télécharger 

ce jeton sécurisé sur votre serveur MDM en accédant au résumé de votre compte sur le Store du 

Programme d’achat en volume. Pour plus d’informations, consultez 

l’aide des programmes de déploiement d’Apple. 

Chapitre 8 Distribution d’apps et de livres 76

Pour prendre part à la distribution gérée via le Programme d’achat en volume, les utilisateurs 

doivent y être invités au préalable. Lorsqu’un utilisateur accepte une invitation à prendre part 

à la distribution gérée, son identifiant Apple personnel est lié à votre organisation. L’utilisateur 

n’a pas besoin de vous révéler son identifiant Apple, et vous n’avez pas besoin d’en créer un 

et de le lui fournir. Pour les comptes du secteur de l’éducation, vous pouvez créer des identifiants 

Apple pour les élèves de moins de 13 ans. Pour en savoir plus, consultez le site web 

Identifiants Apple pour étudiants. 

Il est important d’inscrire et d’attribuer les apps et livres aux utilisateurs du programme d’achat 

en volume avant de leur envoyer une invitation. Cela laisse plus de temps pour que l’attribution 

soit intégrée à l’historique d’achat de l’utilisateur lorsqu’il accepte l’invitation au programme 

d’achat en volume. L’inscription des utilisateurs et l’attribution d’apps et de livres peuvent 

être effectuées à tout moment, y compris avant l’inscription des appareils Apple au sein de la 

solution MDM. 

Une fois attribuée à un utilisateur via une solution MDM, l’app apparaît dans l’historique des 

achats de l’App Store de cet utilisateur. Celui-ci peut être invité à accepter l’installation de l’app, 

ou, dans le cas d’un appareil iOS supervisé, l’app peut s’installer en silence. 

Si des apps qui ne sont pas déjà installées sur un appareil sont transférées à l’aide de la tâche 

Transférer les applications VPP, elles seront automatiquement supprimées lorsqu’un utilisateur se 

désinscrit de la solution MDM. 

Les apps et les livres distribués avec une distribution gérée ne sont pas partagés avec les 

membres de la famille lorsque le partage familial est activé. 

Apps B2B personnalisées 

Les apps personnalisées créées ou personnalisées par un développeur pour votre entreprise 

(B2B) peuvent également être achetées via le Programme d’achat en volume. 

Les développeurs inscrits au programme iOS Developer peuvent soumettre des apps pour une 

distribution d’entreprise à entreprise à l’aide d’iTunes Connect. Le processus est identique à la 

soumission d’apps sur l’App Store. Le développeur fixe le prix par exemplaire et ajoute votre 

identifiant Apple du Programme d’achat en volume à leur liste d’acheteurs d’entreprise à entreprise 

autorisés. Seuls les acheteurs autorisés peuvent voir ou acheter l’app. 

Les apps d’entreprise à entreprise ne sont pas sécurisées par Apple. La sécurisation des données 

d’une app est de la responsabilité du développeur. Apple recommande d’utiliser les meilleures 

pratiques iOS pour l’authentification et le chiffrement d’une app. 

Après la révision de l’app par Apple, utilisez le Programme d’achat en volume pour acheter des 

exemplaires de l’app, comme décrit dans la section Acheter des apps et des livres en grand 

nombre. Les apps B2B personnalisées ne sont pas recensées dans l’App Store. Elles doivent être 

achetées via le site web du Programme d’achat en volume. 

Apps internes 

Développez des apps iOS pour les employés de votre organisation à l’aide du programme 

iOS Developer Enterprise. Ce programme offre un processus complet et intégré pour le développement, 

le test et la distribution des apps iOS aux employés de votre organisation. Vous pouvez 

distribuer des apps internes soit en les hébergeant sur un serveur web sécurisé créé en interne, 

soit à l’aide d’une solution MDM ou de gestion d’apps tierce. 


La gestion d’apps avec une solution MDM présente de nombreux avantages, y compris des fonctionnalités 

permettant de configurer des apps à distance, de gérer les versions, de configurer une 

authentification par signature unique, de définir des règles pour l’accès au réseau et de contrôler 

l’export de documents par les apps. Choisissez la solution la plus adaptée pour vous en prenant 

en compte vos exigences spécifiques, votre infrastructure et le niveau de gestion dont vous 

avez besoin. 

Pour développer et déployer des apps internes pour iOS : 

1 Inscrivez-vous au programme iOS Developer Enterprise. 

2 Préparez votre app pour sa distribution. 

3 Créez un profil d’approvisionnement de distribution d’entreprise qui autorise les appareils à 

utiliser les apps que vous avez signées. 

4 Compilez l’app avec le profil d’approvisionnement. 

5 Déployez l’app auprès de vos utilisateurs. 

S’inscrire pour développer des apps 

Une fois inscrit au programme iOS Developer Enterprise, vous pouvez demander à avoir un 

certificat de développeur et un profil d’approvisionnement développeur. Vous les utiliserez 

lors du développement pour créer et tester votre app. Le profil d’approvisionnement permet 

d’exécuter les apps signées avec votre certificat de développeur sur un appareil iOS enregistré. 

Ce profil ad hoc expire au bout de trois mois et précise quels appareils (par identifiant d’appareil) 

peuvent exécuter les compilations de développement de votre app. Distribuez à votre équipe de 

développement et à vos testeurs d’apps votre compilation signée par le développeur ainsi que le 

profil d’approvisionnement développeur. 

Pour en savoir plus, consultez le site web iOS Developer Enterprise Program. 

Préparer des apps pour la distribution 

À la fin des étapes de développement et de test et lorsque vous vous apprêtez à déployer votre 

app, signez votre app à l’aide de votre certificat de distribution et finalisez-la avec votre profil 

d’approvisionnement. L’agent d’équipe ou l’administrateur désigné pour votre adhésion au 

programme crée le certificat et le profil sur le site web iOS Dev Center. 

Sous iOS 8, les utilisateurs ne peuvent plus afficher les profils d’approvisionnement sur leur 

appareil iOS. 

Approvisionner des apps développées en interne 

Le profil d’approvisionnement de distribution d’entreprise permet d’installer votre app sur un 

nombre illimité d’appareils iOS. Il est possible de créer un profil d’approvisionnement de 

distribution d’entreprise pour une ou plusieurs apps. 

Lorsque le certificat de distribution d’entreprise ainsi que le profil d’approvisionnement sont 

installés sur votre Mac, utilisez Xcode pour signer et compiler une version finale de votre app. 

Votre certificat de distribution d’entreprise est valable pendant 3 ans, et vous ne pouvez disposer 

que de deux certificats valides simultanément. Lorsque votre certificat expire, vous devez signer 

et compiler à nouveau votre app grâce à un certificat renouvelé. Le profil d’approvisionnement 

pour l’app est valable pendant un an ; vous devez donc renouveler vos profils d’approvisionnement 

chaque année. Pour plus d’informations, consultez la section Fournir des apps mises à jour. 


Il est important de limiter l’accès à votre certificat de distribution et à la clé privée. Utilisez le 

Trousseau d’accès sous OS X pour exporter et sauvegarder ces éléments au format .p12. En cas de 

perte de la clé privée, celle-ci ne peut pas être récupérée ni téléchargée une deuxième fois. Il est 

également conseillé de limiter l’accès aux membres du personnel responsables de l’acceptation 

finale de l’app. Signer une app avec le certificat de distribution appose le sceau d’approbation de 

votre organisation sur le contenu de l’app et ses fonctions et confirme son adhésion aux conditions 

de la licence Enterprise Developer Agreement. 

Pour en savoir plus sur le déploiement d’apps internes, consultez le guide de distribution d’apps 

d’Apple. 

Livres internes 

iOS 8 et OS X Yosemite fournissent d’importantes améliorations, notamment la prise en charge 

de la distribution gérée pour les livres. Cette fonctionnalité vous permet d’attribuer des livres aux 

utilisateurs via une solution MDM, afin que les livres restent sous le contrôle de votre organisation. 

Les fichiers PDF et ePub que vous créez peuvent être attribués aux utilisateurs, mais aussi 

révoqués et réattribués lorsque l’utilisateur n’en a plus besoin, tout comme les apps internes. 

Déployer des apps et des livres 


Vous pouvez procéder des manières suivantes pour déployer des apps et des livres : 

•• 

Si cette fonction est prise en charge par votre serveur MDM, utilisez celui-ci pour demander 

aux appareils Apple gérés d’installer une app interne ou de l’App Store. 

•• 

Publiez l’app sur un serveur web sécurisé afin que les utilisateurs puissent accéder à l’app et 

l’installer sans fil. Pour en savoir plus, consultez la section Installer des apps développées en 

interne sans fil. 

•• 

Vous pouvez installer l’app sur des appareils iOS localement à l’aide d’Apple Configurator. 

Installer des apps et des livres à l’aide d’une solution MDM 

Un serveur MDM peut gérer des apps tierces de l’App Store ainsi que des apps d’entreprise développées 

en interne. Les apps installées à l’aide d’une solution MDM sont appelées apps gérées. 

Le serveur MDM peut spécifier si les apps gérées et leurs données restent ou non sur l’appareil 

lorsqu’un utilisateur se désinscrit de la solution MDM. Le serveur peut empêcher les données des 

apps gérées d’être sauvegardées sur iTunes et iCloud. Cela vous permet de gérer des apps pouvant 

contenir des informations sensibles relatives à votre activité avec plus de contrôle que les 

apps téléchargées directement par l’utilisateur. 

Pour installer une app gérée, le serveur MDM envoie une commande d’installation à l’appareil 

Apple. Si l’app provient de l’App Store, elle sera téléchargée et installée à partir d’Apple. S’il s’agit 

d’une app interne, elle sera installée à partir de votre solution MDM. Sur les appareils non supervisés, 

l’utilisateur doit donner son accord pour qu’une app gérée puisse être installée. 

Sous iOS 7 ou ultérieur et OS X Mavericks ou ultérieur, les connexions VPN peuvent être spécifiées 

au niveau des apps, afin que seul le trafic réseau lié à cette app soit dans le réseau VPN protégé. 

Ce mécanisme permet de garantir que les données privées restent privées et ne sont pas 

mélangées avec les données publiques. 


Les apps gérées prennent en charge la fonction de gestion des autorisations d’ouverture dans 

iOS 7 ou ultérieur. Cela signifie que les apps gérées peuvent être restreintes dans leur capacité à 

transférer des données depuis ou vers les apps personnelles de l’utilisateur, ce qui permet à votre 

organisation de s’assurer que les données sensibles restent là où elles doivent être. 

Un serveur MDM peut installer des livres provenant de l’iBooks Store attribués aux utilisateurs 

par l’intermédiaire du programme d’achat en volume. Il peut également installer des fichiers PDF 

et ePub gérés, ainsi que des livres iBooks Author provenant de vos propres serveurs, et les mettre 

à jour vers les nouvelles versions si besoin. Le serveur peut empêcher la sauvegarde des livres 

gérés. Les livres gérés sont supprimés lorsque l’utilisateur se désinscrit de la solution MDM. 

Installer des apps à l’aide d’Apple Configurator 

Apple Configurator simplifie les réglages de base et les tâches de configuration, et peut 

également être utilisé pour installer des apps et d’autres contenus sur les appareils iOS. 

Apple Configurator est très utile pour superviser des appareils n’allant pas être personnalisés par 

les utilisateurs, comme des iPad partagés dans une salle de classe. 

En plus des apps, vous pouvez utiliser Apple Configurator pour installer des documents afin qu’ils 

soient disponibles lorsque vos utilisateurs commencent à utiliser les appareils. Les documents 

sont disponibles pour les apps prenant en charge le partage de fichiers iTunes. Vous pouvez également 

passer en revue ou récupérer des documents à partir d’appareils iOS en les connectant à 

un Mac exécutant Apple Configurator. 


iOS et OS X permettent aux utilisateurs d’accéder facilement à des contenus numériques et de 

les consommer. Certains utilisateurs peuvent demander de nombreux gigaoctets d’apps, de livres 

et de mises à jour logicielles lorsqu’ils sont connectés au réseau d’une organisation. La demande 

de ces ressources arrive par vagues, d’abord avec le déploiement initial des appareils Apple, 

puis de manière sporadique, à mesure que les utilisateurs découvrent de nouveaux contenus, 

ou au gré de l’actualisation des contenus. Ces téléchargements de contenus peuvent se traduire 

par des pics de demande de bande passante Internet. 

Caching Server est un service d’OS X Server qui enregistre le contenu ayant déjà été demandé 

sur le réseau local de votre organisation. Cela réduit la quantité de bande passante requise pour 

télécharger du contenu. Il réduit la bande passant Internet sortante des réseaux privés (RFC 1918) 

et stocke en cache des copies du contenu demandé sur le réseau local. 

Caching Server sous OS X Server Yosemite met en cache les types de contenu suivants pour 

iOS 7 ou ultérieur et OS X Mountain Lion 10.8.2 ou ultérieur : 

•• 

Mises à jour de logiciels iOS (iOS 8.1 ou ultérieur) 

•• 

Mises à jour de logiciels OS X 

•• 

Images de Récupération Internet (OS X Mavericks ou ultérieur) 

•• 

Mises à jour Java et de gestionnaires d’impression 

•• 

Apps de l’App Store 

•• 

Mises à jour de l’App Store 

•• 

Livres de l’iBooks Store 

•• 

Cours et contenu iTunes U 

•• 

Contenu téléchargeable GarageBand 

•• 

Voix haute qualité et dictionnaires 


Pour en savoir plus sur le contenu mis en cache par le service de mise en cache, consultez l’article 

d’assistance Apple OS X Server : types de contenu pris en charge par le service de mise en cache. 

iTunes prend également en charge Caching Server. Les types de contenus suivants sont pris en 

charge par iTunes 11.0.4 ou version ultérieure (pour ordinateurs Mac et Windows) : 

•• 

Apps de l’App Store 

•• 

Mises à jour de l’App Store 

•• 

Livres de l’iBooks Store 

Les réseaux de grande envergure bénéficieront de la mise en place de plusieurs serveurs Caching 

Server. Pour de nombreux déploiements, la configuration de Caching Server revient tout 

simplement à activer le service. Si vous disposez de Caching Server sous OS X Server Yosemite, 

vous n’avez plus besoin d’environnement NAT pour le serveur et tous les appareils qui l’utilisent. 

Caching Server peut maintenant être utilisé sur les réseaux composés d’adresses IP acheminables 

publiquement. Les appareils Apple exécutant iOS 7 ou ultérieur et OS X Mountain Lion 10.8.2 ou 

ultérieur contactent automatiquement un serveur Caching Server sans qu’une configuration de 

l’appareil supplémentaire ne soit nécessaire. 

Pour en savoir plus, consultez la page Service de mise en cache dans l’aide OS X Server. 

Voici une explication du flux de travail de Caching Server : 

1 Lorsqu’un appareil Apple sur un réseau comprenant un ou plusieurs serveurs de mise en cache 

demande du contenu auprès de l’iTunes Store ou du serveur Mise à jour de logiciels, l’appareil 

est envoyé vers un serveur de mise en cache. 

2 Caching Server commence par vérifier qu’il dispose bien du contenu requis dans son cache local. 

•• 

Si c’est le cas, il commence immédiatement à transférer le contenu vers l’appareil. 

•• 

Si le serveur de mise en cache ne dispose pas des ressources demandées, il essaie de télécharger 

le contenu depuis une autre source. Caching Server 2 ou ultérieur inclut une fonctionnalité 

de réplication pair-à-pair qui peut exploiter d’autres serveurs Caching Server du réseau, si 

ceux-ci ont déjà téléchargé le contenu requis. 

3 Dès que le serveur de mise en cache reçoit les données de téléchargement, il les relaie immédiatement 

à tout appareil les ayant demandées et en met simultanément une copie en cache sur le 

périphérique de stockage désigné. 


Planification de l’assistance 

9 


Un déploiement d’appareils Apple doit inclure une assistance. AppleCare propose des plans 

d’assistance pour les organisations de toutes tailles, notamment une assistance au déploiement 

de logiciels et une couverture matérielle : 

•• 

Ordinateurs Mac sous OS X et appareils iOS sous iOS 

•• 

AppleCare Help Desk Support 

•• 

AppleCare OS Support 

•• 

AppleCare for Enterprise 

•• 

Appareils iOS uniquement 

•• 

AppleCare pour les utilisateurs d’appareils iOS 

•• 

Programme d’assistance directe iOS 

•• 

Ordinateurs Mac uniquement 

•• 

AppleCare Protection Plan pour Mac ou écran Apple 

Vous pouvez choisir le programme qui répond aux besoins de votre organisation. Pour en savoir 

plus, consultez le site web de l’assistance professionnelle AppleCare. 

AppleCare Help Desk Support 

AppleCare Help Desk Support permet de communiquer par téléphone de manière prioritaire 

avec les équipes d’assistance technique les plus expérimentées d’Apple. Ce service comprend 

un ensemble d’outils permettant de diagnostiquer et de dépanner le matériel Apple, ce qui peut 

aider les institutions à gérer leurs ressources de manière plus efficace, à améliorer leur temps de 

réponse et à réduire les coûts de formation. AppleCare Help Desk Support prend en charge un 

nombre illimité d’incidents, qu’il s’agisse de diagnostic ou de dépannage matériel ou logiciel, 

ou encore d’isolation de problème pour les appareils iOS et OS X. Obtenez plus d’informations 

sur le site web AppleCare Help Desk Support. 

AppleCare OS Support 

AppleCare OS Support comprend AppleCare Help Desk Support, en plus de l’assistance pour 

les incidents. AppleCare OS Support comprend une assistance pour les composants système, 

la configuration réseau, l’administration et l’intégration en environnements hétérogènes, 

les applications logicielles professionnelles, les applications et les services web, et les problèmes 

techniques dont la résolution nécessite l’utilisation des outils de ligne de commande. Obtenez 

plus d’informations sur le site web AppleCare OS Support. 

82

AppleCare for Enterprise 

AppleCare for Enterprise comprend un ensemble complet de matériel et de logiciels pour votre 

entreprise ou votre établissement d’enseignement. Votre chargé de compte AppleCare vous 

aidera à analyser votre infrastructure informatique et à assurer un suivi de vos problèmes éventuels. 

Il vous fournira des rapports d’activité mensuels pour vos appels au service d’assistance et 

réparations. Vous bénéficierez d’une assistance par téléphone ou par e-mail pour l’ensemble de 

votre département informatique sur la totalité du matériel et des logiciels Apple. Nous vous aiderons 

à mettre en place vos scénarios complexes de déploiement et d’intégration, notamment les 

solutions MDM et Active Directory. Et si vous avez besoin d’aide avec les apps IBM MobileFirst 

for iOS, nous collaborerons avec IBM pour vous aider à résoudre votre problème. AppleCare for 

Enterprise peut contribuer à réduire la charge de travail de votre service d’assistance interne en 

fournissant à vos employés une assistance technique téléphonique 24 heures sur 24, 7 jours sur 7. 

Apple vous offrira une assistance technique pour le matériel Apple, les systèmes d’exploitation, 

les apps Apple comme Keynote, Pages et Numbers, et les comptes et réglages personnels. 

Pour en savoir plus, consultez le site web AppleCare for Enterprise. 

AppleCare pour les utilisateurs d’appareils iOS 

Chaque appareil iOS est fourni avec une garantie limitée d’un an et une assistance téléphonique 

gratuite pendant les 90 jours suivant la date d’achat. Ce service peut être étendu à deux ans 

après la date d’achat d’origine avec les contrats AppleCare+ pour iPhone, AppleCare+ pour iPad 

ou AppleCare+ pour iPod touch. Les utilisateurs peuvent appeler les experts de l’assistance 

technique Apple aussi souvent qu’ils le souhaitent pour obtenir des conseils élémentaires d’utilisation. 

Apple fournit également des options d’entretien et de réparation opportunes lorsque les 

appareils doivent être réparés. Les trois programmes couvrent le dépannage de deux incidents 

ayant entraîné des dommages accidentels, chacun soumis à des frais de service. 

Programme d’assistance directe iOS 

En tant qu’avantage compris dans les services AppleCare+ et AppleCare Protection Plan, 

le Programme d’assistance directe iOS permet à votre centre d’aide de détecter les problèmes 

des appareils sans appeler le service AppleCare ni se rendre dans un Apple Store. Si nécessaire, 

votre organisation peut commander directement un iPhone, iPad ou iPod touch de remplacement, 

ou encore des accessoires. Obtenez plus d’informations sur le site Web 

Programme d’assistance directe iOS. 

AppleCare Protection Plan pour Mac ou écran Apple 

Chaque Mac est fourni avec une garantie limitée d’un an et une assistance téléphonique gratuite 

pendant les 90 jours suivant la date d’achat. La couverture de ce service peut être étendue 

jusqu’à trois ans à partir de la date d’achat et peut inclure la réparation sur site des ordinateurs 

de bureau. Le transport par colis d’ordinateurs portables et d’écrans Apple pour réparation, 

ainsi que le dépôt et retrait d’ordinateurs Mac ou d’écrans Apple dans un magasin Apple Store 

ou dans un Centre de services agréé Apple pour réparation sont également inclus. Vous pouvez 

appeler les experts de l’assistance technique Apple aussi souvent que vous le souhaitez pour 

poser vos questions concernant le matériel Apple, OS X et les apps Apple, telles que celles contenues 

dans les suites iLife et iWork. 

Chapitre 9 Planification de l’assistance 83

Annexes 

10 

Restrictions 


Les appareils Apple prennent en charge les règles et restrictions suivantes, que vous pouvez 

configurer pour répondre aux besoins de votre organisation. En fonction de votre solution MDM, 

les noms de ces restrictions peuvent varier légèrement. 

Remarque : Toutes les restrictions ne sont pas disponibles pour tous les appareils Apple. 

Réglages du programme d’inscription d’appareil 

Les restrictions suivantes s’appliquent aux appareils Apple attribués à des serveurs MDM par le 

biais du programme d’inscription d’appareil. 

Options d’inscription 

•• 

Demander à l’utilisateur d’inscrire l’appareil : Lorsque cette option est activée, l’utilisateur est 

invité à inscrire l’appareil dans MDM. Cette option est désactivée par défaut. 

Les réglages suivants sont des sous-catégories du réglage précédent. 

•• 

Empêcher l’utilisateur d’ignorer l’étape d’inscription : Lorsque cette option est activée, l’utilisateur 

doit inscrire l’appareil dans MDM pour pouvoir le configurer. Cette option est désactivée 

par défaut. 

•• 

Exiger les informations d’identification pour l’inscription : Lorsque cette option est désactivée, 

les utilisateurs n’ont pas besoin de s’authentifier auprès d’un service d’annuaire avant d’inscrire 

l’appareil dans MDM. Cette option est activée par défaut. 

•• 

Superviser l’appareil (iOS uniquement) : Lorsque cette option est activée, l’appareil est supervisé 

pendant l’inscription et ne peut pas être désinscrit par l’utilisateur. Cette option est 

désactivée par défaut. 

Le réglage suivant est une sous-catégorie du réglage précédent. 

•• 

Autoriser le jumelage (iOS uniquement) : Lorsque cette option est désactivée, les utilisateurs 

ne peuvent pas jumeler leur appareil avec un ordinateur. Cette option est activée par défaut. 

•• 

Empêcher la désinscription : Lorsque cette option est activée, un appareil iOS supervisé ne 

peut pas être désinscrit par l’utilisateur. Les ordinateurs Mac ne peuvent pas être désinscrits 

si l’utilisateur dispose du nom d’utilisateur et du mot de passe d’administrateur. Cette option 

est désactivée par défaut. 

Options de l’Assistant réglages 

Pour les appareils Apple inscrits au programme d’inscription d’appareil et gérés par une solution 

MDM, les écrans suivants de l’Assistant réglages peuvent être ignorés (toutes ces options sont 

activées par défaut) : 

Sauf dans le cas où ces éléments sont également définitivement restreints par le biais de la solution 

MDM, les utilisateurs peuvent effectuer l’ensemble de ces opérations une fois que l’appareil 

Apple est configuré. 

84

•• 

Set up as a new device or restore from backup (Configurer comme nouvel appareil ou restaurer à 

partir d’une sauvegarde) : Lorsque cette option est désactivée, l’utilisateur ne peut pas choisir 

entre les deux possibilités. 

•• 

Allow user to enter their Apple ID (Autoriser l’utilisateur à saisir son identifiant Apple) : Lorsque 

cette option est désactivée, l’utilisateur ne peut pas saisir son identifiant Apple. 

•• 

Autoriser l’utilisateur à afficher les Conditions générales : Lorsque cette option est désactivée, 

l’utilisateur ne peut pas consulter les Conditions générales d’Apple. 

•• 

Allow user to select whether diagnostic data is sent to Apple and developers (Autoriser l’utilisateur 

à choisir si les données de diagnostic doivent être envoyées à Apple et aux développeurs) : Lorsque 

cette option est désactivée, l’utilisateur ne peut pas choisir si les données de diagnostic 

doivent être envoyées à Apple et les données des apps aux développeurs. 

•• 

Allow user to enable Location Services (Autoriser l’utilisateur à activer le service de localisation) : 

Lorsque cette option est désactivée, l’utilisateur ne peut pas activer le service de localisation. 

•• 

Allow the user to enable Touch ID (Autoriser l’utilisateur à activer Touch ID [iOS uniquement]) : 

Lorsque cette option est désactivée, l’utilisateur ne peut pas activer Touch ID pour déverrouiller 

l’appareil ni s’authentifier dans des apps utilisant Touch ID. 

•• 

Allow user to alter the Passcode Lock settings (Autoriser l’utilisateur à modifier les réglages de codes 

[iOS uniquement]) : Lorsque cette option est désactivée, l’utilisateur ne peut pas modifier le 

code du réglage géré. 

•• 

Allow user to enable Apple Pay (Autoriser l’utilisateur à activer Apple Pay ([iOS uniquement]) : 

Lorsque cette option est désactivée, l’utilisateur ne peut pas activer Apple Pay. 

•• 

Allow user to enable Siri (Autoriser l’utilisateur à activer Siri ([iOS uniquement]) : Lorsque cette 

option est désactivée, l’utilisateur ne peut pas activer Siri. 

•• 

Allow user to change the Display Zoom (Autoriser l’utilisateur à modifier le Zoom de l’écran ([iOS 

uniquement]) : Lorsque cette option est désactivée, l’utilisateur ne peut pas choisir entre les 

réglages standard ou agrandi du Zoom de l’écran. 

•• 

Allow the user to register the Mac with Apple (Autoriser l’utilisateur à enregistrer le Mac auprès 

d’Apple ([OS X uniquement]) : Lorsque cette option est désactivée, l’utilisateur ne peut pas 

remplir le formulaire d’enregistrement et l’envoyer à Apple. 

•• 

Allow the user to enable FileVault (Autoriser l’utilisateur à activer FileVault ([OS X uniquement]) : 

Lorsque cette option est désactivée, l’utilisateur ne peut pas activer FileVault. 

Fonctionnalités des appareils 

Fonctionnalités des appareils iOS 

Les restrictions suivantes concernent les appareils iOS : 

•• 

Autoriser l’installation d’applications : Lorsque cette option est désactivée, l’App Store est 

désactivé et son icône supprimée de l’écran principal. Les utilisateurs ne peuvent pas installer 

ni mettre à jour les apps provenant de l’App Store à l’aide de l’App Store, d’iTunes ou de la 

solution MDM. Les apps internes peuvent être installées et mises à jour. 

•• 

Autoriser Siri : Lorsque cette option est désactivée, Siri ne peut pas être utilisé. 

•• 

Autoriser Siri lorsque l’appareil est verrouillé : Lorsque cette option est désactivée, Siri ne répond 

que si l’appareil est déverrouillé. 

•• 

Apple Pay : Lorsque cette option est désactivée, Apple Pay est désactivé. 

•• 

Autoriser Handoff : Lorsque cette option est désactivée, les utilisateurs ne peuvent pas utiliser 

Handoff avec leurs appareils Apple. 

Chapitre 10 Annexes 85

•• 

Autoriser l’utilisation de l’appareil photo : Lorsque cette option est désactivée, les appareils 

photo sont désactivés et l’icône Appareil photo est supprimée de l’écran principal. 

Les utilisateurs ne peuvent prendre de photos ou de vidéos ni utiliser FaceTime. 

•• 

Autoriser FaceTime : Lorsque cette option est désactivée, les utilisateurs ne peuvent pas passer 

ni recevoir d’appels FaceTime audio ou vidéo. 

•• 

Autoriser les captures d’écran : Lorsque cette option est désactivée, les utilisateurs ne peuvent 

pas enregistrer une capture d’écran. 

•• 

Autoriser synchronisation automatique en roaming : Lorsque cette option est désactivée, 

les appareils en itinérance ne se synchronisent que lorsque l’utilisateur accède à un compte. 

•• 

Autoriser la composition vocale : Lorsque cette option est désactivée, les utilisateurs ne peuvent 

pas utiliser les commandes vocales pour composer des numéros. 

•• 

Autoriser les achats intégrés : Lorsque cette option est désactivée, les utilisateurs ne peuvent 

pas effectuer des achats intégrés. 

•• 

Autoriser Touch ID à déverrouiller l’appareil : Lorsque cette option est désactivée, les utilisateurs 

doivent utiliser un code pour déverrouiller l’appareil. 

•• 

Forcer la détection du poignet par l’Apple Watch : Lorsque cette option est activée, l’Apple Watch 

se verrouille automatiquement lorsqu’elle n’est plus sur le poignet de l’utilisateur. Elle peut être 

déverrouillée à l’aide du code ou de l’iPhone jumelé. Cette option est désactivée par défaut. 

•• 

Afficher le Centre de contrôle sur l’écran de verrouillage : Lorsque cette option est désactivée, 

les utilisateurs ne peuvent pas balayer vers le haut pour afficher le Centre de contrôle. 

•• 

Afficher le Centre de notifications sur l’écran de verrouillage : Lorsque cette option est désactivée, 

les utilisateurs ne peuvent pas balayer vers le bas pour afficher le Centre de notifications 

depuis l’écran verrouillé. 

•• 

Afficher l’affichage du jour sur l’écran de verrouillage : Lorsque cette option est désactivée, 

les utilisateurs ne peuvent pas balayer vers le bas pour afficher la vue Aujourd’hui depuis 

l’écran verrouillé. 

•• 

Autoriser les notifications Passbook sur l’écran de verrouillage : Lorsque cette option est désactivée, 

les utilisateurs doivent déverrouiller l’appareil pour utiliser Passbook. 

•• 

Exiger le mot de passe iTunes Store pour tous les achats : Lorsque cette option est désactivée, 

le mot de passe du compte n’est pas exigé lors des achats intégrés et des achats iTunes. 

•• 

Définir le Classement de contenu autorisé : Définit la région et les classements pour les films, 

les séries télévisées et les apps. 

Fonctionnalités des Mac 

Les restrictions suivantes concernent les Mac : 

•• 

Autoriser l’adoption par l’App Store : Lorsque cette option est désactivée, les apps iLife et iWork 

fournies sous OS X ne peuvent pas être adoptées par l’App Store. 

•• 

Limiter l’App Store aux mises à jour de logiciel : Lorsque cette option est activée, l’App Store ne 

peut être utilisé que pour mettre à jour des apps. Cette option est désactivée par défaut. 

•• 

Require admin password to install or update apps (Exiger mot de passe admin. pour installer/ 

màj des applications) : Lorsque cette option est activée, un mot de passe d’administrateur est 

requis pour pouvoir mettre à jour des apps. Cette option est désactivée par défaut. 

•• 

Limiter les applications pouvant être ouvertes : Lorsque cette option est activée, vous pouvez 

limiter les apps pouvant être utilisées. Cette option est désactivée par défaut. 


•• 

Restrict specific System Preferences panes (Limiter certaines sous-fenêtres de préférences Système) : 

Lorsque cette option est activée, vous pouvez sélectionner les éléments des préférences 

Système auxquels les utilisateurs peuvent accéder. Si une sous-fenêtre ne figure pas dans la 

liste, assurez-vous qu’elle est installée sur le Mac où Gestionnaire de profils est installé. Cette 

option est désactivée par défaut. 

•• 

Verrouiller le fond d’écran : Lorsque cette option est activée, vous pouvez empêcher l’utilisateur 

de modifier le fond d’écran. Cette option est désactivée par défaut. 

Réglages des appareils supervisés 

Les deux restrictions relatives au verrouillage d’activation sont désactivées par défaut pour tous 

les utilisateurs et groupes d’utilisateurs. 

•• 

Envoyer la commande « Autoriser le verrouillage d’activation » après l’inscription au service MDM : 

Lorsque cette option est activée, les utilisateurs sont autorisés à configurer leur appareil iOS 

afin qu’il ne puisse pas être effacé sans que soit saisi l’identifiant Apple de l’utilisateur. 

Le réglage suivant est une sous-catégorie du réglage précédent. 

•• 

Envoyer la commande seulement si le code de contournement du verrouillage d’activation a été 

obtenu : Lorsque cette option est activée, le serveur MDM doit recevoir un code de contournement 

du verrouillage d’activation pour que l’utilisateur puisse configurer son appareil iOS 

afin qu’il ne puisse pas être effacé sans que soit saisi l’identifiant Apple de l’utilisateur. 

•• 

Proxy réseau mondial pour HTTP : Lorsque cette entité est ajoutée à un profil, les appareils iOS 

doivent utiliser le proxy défini dans l’entité pour tout le trafic réseau utilisant HTTP. 

•• 

Autoriser iMessage : Lorsque cette option est désactivée pour les appareils Wi-Fi, l’app 

Messages est masquée. Lorsque cette option est désactivée pour les appareils Wi-Fi + Cellular, 

l’app Messages est disponible, mais seuls les messages texte et MMS peuvent être utilisés. 

•• 

Autoriser l’utilisation de Game Center : Lorsque cette option est désactivée, l’app Game Center 

et ses icônes sont supprimées. 

•• 

Allow removal of apps (Autoriser la suppression d’apps) : Lorsque cette option est désactivée, 

les utilisateurs ne peuvent pas supprimer les apps installées. 

•• 

Autoriser iBooks Store : Lorsque cette option est désactivée, les utilisateurs ne peuvent pas 

acheter de livres dans l’iBooks Store. 

•• 

Autoriser l’utilisation de Podcasts : Lorsque cette option est désactivée, les utilisateurs ne 

peuvent pas télécharger Podcasts. 

•• 

Autoriser le clavier prédictif : Lorsque cette option est désactivée, les utilisateurs n’ont pas accès 

au clavier prédictif. 

•• 

Autoriser la correction automatique : Lorsque cette option est désactivée, les utilisateurs ne se 

voient pas proposer de suggestions de correction. 

•• 

Autoriser le correcteur orthographique : Lorsque cette option est désactivée, les utilisateurs ne 

voient pas les mots potentiellement mal orthographiés soulignés en rouge. 

•• 

Autoriser Définir : Lorsque cette option est désactivée, les utilisateurs ne peuvent pas toucher 

deux fois pour rechercher la définition d’un mot. 

•• 

Afficher le contenu généré par l’utilisateur dans Siri : Lorsque cette option est désactivée, Siri ne 

peut pas obtenir de contenu provenant de sources autorisant le contenu généré par les utilisateurs, 

comme Wikipedia. 

•• 

Allow manual install of configuration files (Autoriser l’installation manuelle des profils de configuration) 

: Lorsque cette option est désactivée, les utilisateurs ne peuvent pas installer de profils de 

configuration manuellement. 


•• 

Autoriser la configuration de restrictions : Lorsque cette option est désactivée, les utilisateurs ne 

peuvent pas définir leurs propres restrictions sur leur appareil. 

•• 

Allow pairing to computers for content sync (Autoriser le jumelage avec les ordinateurs pour la 

synchronisation du contenu) : Lorsque cette option est désactivée, les utilisateurs ne peuvent 

jumeler leur appareil iOS qu’avec le Mac sur lequel Apple Configurator est installé et avec 

lequel l’appareil était supervisé initialement. 

•• 

Autoriser AirDrop : Lorsque cette option est désactivée, les utilisateurs ne peuvent utiliser 

AirDrop avec aucune app. 

•• 

Autoriser la modification des empreintes Touch ID : Lorsque cette option est désactivée, les utilisateurs 

ne peuvent pas ajouter ni supprimer leurs données Touch ID existantes. 

•• 

Autoriser les modifications de compte : Lorsque cette option est désactivée, les utilisateurs ne 

peuvent pas créer de nouveaux comptes, ni modifier leur nom d’utilisateur, leur mot de passe 

ou tout autre réglage associé à leur compte. 

•• 

Autoriser la modification des réglages d’app à données cellulaires : Lorsque cette option est 

désactivée, les utilisateurs ne peuvent pas modifier les réglages relatifs à l’utilisation des 

données cellulaires par les apps. 

•• 

Allow Find My Friends settings modification (Autoriser la modification des réglages de Localiser 

mes amis) : Lorsque cette option est désactivée, les utilisateurs ne peuvent pas modifier les 

réglages de l’app Localiser mes amis. 

•• 

Autoriser l’utilisation de l’option Effacer contenu et réglages : Lorsque cette option est désactivée, 

les utilisateurs ne peuvent pas effacer le contenu de leur appareil ni restaurer les réglages 

d’origine. 

•• 

URL spécifiques autorisées (entité Filtre de contenu) : Lorsque ces données utiles sont ajoutées à 

un profil, les utilisateurs ne peuvent pas choisir à quels sites web ils peuvent accéder sur leurs 

appareils iOS. 

•• 

URL autorisées : Ajoutez des URL à cette liste pour autoriser l’accès à certains sites web, 

même s’ils sont considérés comme étant réservés aux adultes par le filtre automatique. 

Si vous laissez cette liste vide, les utilisateurs sont autorisés à accéder à tous les sites web 

non réservés aux adultes, à l’exception de ceux figurant dans la Liste noire d’URL. 

•• 

Liste noire d’URL : Ajoutez des URL à cette liste pour interdire l’accès à certains sites web. 

Les utilisateurs ne peuvent pas consulter ces sites, même s’ils ne sont pas répertoriés comme 

étant des sites réservés aux adultes par le filtre automatique. 

•• 

Certains sites web : L’utilisateur de l’appareil n’aura accès qu’aux sites web définis par vous. 

Saisissez les URL des sites web dans la colonne URL. Saisissez le nom à donner au signet 

dans la colonne Nom. Pour créer un signet dans un dossier, saisissez l’emplacement du dossier 

dans la colonne Signet. Par exemple, pour créer un signet dans le dossier Favoris, saisissez 

/Favoris/. 

•• 

Restrict AirPlay connections with whitelist and optional connection passcodes (Restreindre les 

connexions AirPlay grâce à une liste blanche et à des codes de connexion facultatifs) : Lorsque 

cette option est désactivée, aucun code n’est requis lors du premier jumelage AirPlay de 

l’appareil. 

•• 

Activer le filtre antigrossièretés de Siri : Lorsque cette option est désactivée, le filtre antigrossièretés 

de Siri n’est pas activé. 

•• 

Mode app individuelle : Permet uniquement l’utilisation d’une app spécifique. 

•• 

Réglages d’accessibilité : Permet certains réglages d’accessibilité en mode app individuelle. 

Pour en savoir plus sur la supervision des appareils iOS, consultez la section Superviser 

les appareils. 


Réglages de sécurité et confidentialité 

Réglages de sécurité et confidentialité iOS et OS X 

La restriction suivante concernant la sécurité et la confidentialité est applicable à iOS et à OS X : 

•• 

Autoriser l’envoi des données de diagnostic à Apple : Lorsque cette option est désactivée, 

les données de diagnostic d’un appareil ne sont pas envoyées à Apple. 

Réglages de sécurité et confidentialité sous iOS 

Les restrictions suivantes concernant la sécurité et la confidentialité sont uniquement applicables 

sous iOS : 

•• 

Autoriser les résultats provenant d’Internet dans Spotlight : Lorsque cette option est désactivée, 

Spotlight ne renvoie aucun résultat provenant d’Internet. 

•• 

Domaines de messagerie non marqués : Les messages Mail envoyés à des adresses dont le 

domaine n’est pas répertorié dans la liste des domaines approuvés sont marqués. Par exemple, 

un utilisateur peut ajouter example.com et groupe.example.com à sa liste de domaines 

connus. Si l’utilisateur envoie un message à untel@foo.com, cette adresse est marquée afin que 

l’utilisateur sache que le domaine ne fait pas partie de la liste. 

•• 

Domaines web Safari gérés : Les téléchargements à partir de Safari sont considérés comme des 

documents gérés s’ils proviennent d’un domaine géré. Par exemple, si un utilisateur télécharge 

un document PDF par l’intermédiaire de Safari à partir d’un domaine géré, ce document sera 

conforme à tous les réglages des documents gérés. 

•• 

Autoriser les documents de sources non gérées dans les destinations gérées : Lorsque cette option 

est désactivée, les documents créés ou téléchargés sur des sources non gérées ne peuvent pas 

être ouverts dans les destinations gérées. 

•• 

Autoriser les documents de sources gérées dans les destinations non gérées : Lorsque cette option 

est désactivée, les documents créés ou téléchargés sur des sources gérées ne peuvent pas être 

ouverts dans les destinations non gérées. 

•• 

Autoriser la musique, les podcasts et les contenus iTunes U explicites : Lorsque cette option est 

désactivée, le contenu musical ou vidéo réservé à un public averti acheté dans l’iTunes Store 

est masqué. Les éléments vendus dans l’iTunes Store ou distribués par iTunes U réservés à un 

public averti sont clairement indiqués par leur fournisseur, par exemple un label musical. 

•• 

Autoriser le contenu sexuel explicite dans l’iBooks Store : Lorsque cette option est désactivée, 

le contenu sexuel réservé à un public averti vendu dans l’iBooks Store est masqué. Les éléments 

vendus dans l’iBooks Store réservés à un public averti sont clairement indiqués par leur 

fournisseur. Requiert une supervision pour iOS 6. 

Les réglages de gestion des autorisations relatives à la lecture de musique, de podcasts, 

d’éléments iTunes U explicites, de contenu autoévalué et érotique sont disponibles dans les 

apps iTunes et iBooks sous OS X. 

•• 

Autoriser les mises à jour automatiques des réglages de confiance des certificats : Lorsque cette 

option est désactivée, les mises à jour automatiques des réglages de confiance des certificats 

ne peuvent pas être effectuées. 

•• 

Autoriser l’acceptation de certificats TLS non fiables : Lorsque cette option est désactivée, 

les utilisateurs ne sont pas invités à faire confiance aux certificats qui ne peuvent être vérifiés. 

Ce réglage s’applique aux comptes Safari, Mail, Contacts et Calendrier. Lorsque cette option 

est activée, seuls les certificats ayant des certificats racine fiables sont acceptés sans invite de 

confirmation. Pour en savoir plus sur les autorités de certificat racine acceptées par iOS, 

consultez l’article Liste des certificats racine de confiance disponibles de l’assistance Apple. 

•• 

Exiger un code lors du premier jumelage AirPlay : Lorsque cette option est désactivée, 

aucun code n’est requis lors du premier jumelage AirPlay de l’appareil. 


•• 

Forcer le suivi publicitaire limité : Lorsque cette option est désactivée, les apps peuvent 

utiliser l’identifiant publicitaire (identifiant temporaire de l’appareil) pour l’affichage de 

publicités ciblées. 

•• 

Autoriser la sauvegarde des livres d’entreprise : Lorsque cette option est désactivée, les utilisateurs 

ne peuvent pas sauvegarder les livres distribués par leur organisation sur iCloud ni sur iTunes. 

•• 

Forcer les copies de sauvegardes chiffrées : Lorsque cette option est désactivée, les utilisateurs 

peuvent choisir si les sauvegardes d’appareil effectuées dans iTunes sont stockées dans un 

format chiffré sur leur Mac. 

Si un profil est chiffré est que cette option est désactivée, le chiffrement des sauvegardes est 

obligatoire et forcé par iTunes. Les profils installés sur l’appareil par le Gestionnaire de profils 

ne sont jamais chiffrés. 

Sécurité et confidentialité d’OS X 

La restriction suivante de sécurité et confidentialité est uniquement applicable à OS X : 

•• 

Autoriser AirDrop : Lorsque cette option est désactivée, les utilisateurs ne peuvent pas utiliser 

AirDrop avec d’autres ordinateurs Mac. 

Vous pouvez restreindre l’utilisation d’AirDrop pour les appareils iOS, mais ils doivent d’abord 

être supervisés. 

Utilisation des apps 

Restrictions relatives aux apps iOS et OS X 

Les restrictions suivantes concernant les apps sont applicables sous iOS et OS X : 

•• 

Restrictions relatives à l’app Mail : 

•• 

Les messages peuvent être déplacés de ce compte à un autre : Lorsque cette option est 

désactivée, les utilisateurs ne peuvent pas déplacer de message Mail d’un compte à un autre. 

•• 

Utiliser seulement dans Mail : Lorsque cette option est désactivée, d’autres apps peuvent être 

utilisées pour envoyer les e-mails au sein d’apps à partir du compte spécifié. 

•• 

Autoriser la synchronisation des adresses récentes : Lorsque cette option est désactivée, les 

adresses récemment utilisées ne sont pas synchronisées sur les appareils. 

•• 

Restrictions relatives à l’app Safari : 

•• 

Autoriser le remplissage automatique de Safari : Lorsque cette option est désactivée, Safari ne 

garde pas en mémoire les saisies effectuées dans les formulaires web. 

•• 

Restrictions Game Center : 

•• 

Autoriser les jeux multijoueurs : Lorsque cette option est désactivée, les utilisateurs ne 

peuvent pas jouer à des jeux multijoueurs dans Game Center. 

•• 

Autoriser l’ajout d’amis Game Center : Lorsque cette option est désactivée, les utilisateurs ne 

peuvent pas trouver ni ajouter d’amis dans Game Center. 

Restrictions relatives aux apps iOS uniquement 

Les restrictions suivantes concernant les apps sont applicables sous iOS : 

•• 

Restrictions relatives à l’iTunes Store : 

•• 

Autoriser l’utilisation de l’iTunes Store : Lorsque cette option est désactivée, l’iTunes Store est 

désactivé et son icône supprimée de l’écran principal. L’utilisateur ne peut alors pas 

prévisualiser, acheter ou télécharger de contenu. 

•• 

Restrictions relatives à l’app Safari : 


•• 

Autoriser l’utilisation de Safari : Lorsque cette option est désactivée, l’app du navigateur web 

Safari est désactivée et son icône retirée de l’écran d’accueil. Elle empêche également 

l’utilisateur d’ouvrir des clips web. 

•• 

Forcer l’alerte de fraude : Lorsque cette option est désactivée, Safari n’essaie pas d’empêcher 

l’utilisateur d’accéder à tout site web identifié comme frauduleux ou compromis. 

•• 

Activer JavaScript : Lorsque cette option est désactivée, Safari ignore tout le code JavaScript 

sur les sites Internet. 

•• 

Bloquer les fenêtres surgissantes : Lorsque cette option est désactivée, les fenêtres surgissantes 

ne sont pas bloquées dans Safari. 

•• 

Règle d’acceptation des cookies : Définit la règle d’acceptation des cookies dans Safari. 

Choisissez de toujours bloquer tous les cookies, toujours accepter tous les cookies, autoriser 

les cookies venant de sites web consultés actuellement ou des sites web visités par l’utilisateur. 

La valeur par défaut est Toujours. 

Restrictions relatives aux apps OS X uniquement 

Les restrictions suivantes concernant les apps sont applicables sous OS X : 

•• 

Restrictions relatives à l’app Dashboard : 

•• 

Allow specific Dashboard widgets to run (Autoriser l’exécution de certains widgets de 

Dashboard) : Lorsque cette option est activée, vous pouvez sélectionner les widgets de 

Dashboard que les utilisateurs peuvent activer. 

•• 

Restrictions Game Center : 

•• 

Autoriser l’utilisation de Game Center : Lorsque cette option est désactivée, l’app Game Center 

et ses icônes sont supprimées. 

•• 

Autoriser la modification du compte Game Center : Lorsque cette option est désactivée, les 

utilisateurs de Game Center ne peuvent pas modifier leur nom d’utilisateur ni leur mot 

de passe. 

Réglages iCloud 

•• 

Autoriser la sauvegarde : Lorsque cette option est désactivée, la sauvegarde de l’appareil ne 

peut être effectuée que dans iTunes. 

•• 

Allow document and data sync (Autoriser la synchronisation des documents et données) : Lorsque 

cette option est désactivée, les documents et données ne sont pas ajoutés à iCloud. 

•• 

Trousseau iCloud : Lorsque cette option est désactivée, Trousseau iCloud n’est pas utilisé. 

•• 

Autoriser Mon flux de photos : Lorsque cette option est désactivée, les photos de Mon flux de 

photos sont effacées de l’appareil, les photos de la pellicule ne sont pas envoyées à Mon flux 

de photos et les vidéos des flux partagés ne peuvent pas être consultées sur l’appareil. 

Si aucune autre copie de ces photos et vidéos n’est disponible, il se peut qu’elles soient perdues. 

•• 

Autoriser le partage de photos iCloud : Lorsque cette option est désactivée, les utilisateurs ne 

peuvent pas s’abonner à des flux de photos partagés ni en créer. 

•• 

Autoriser les apps gérées à stocker des données sur iCloud : Lorsque cette option est désactivée, 

les utilisateurs ne peuvent pas stocker les données des apps gérées sur iCloud. 

•• 

Autoriser la synchronisation des notes et des surlignages pour les livres d’entreprise : Lorsque cette 

option est désactivée, les utilisateurs ne peuvent pas synchroniser de notes ni de surlignages 

sur d’autres appareils à l’aide d’iCloud. 


Restrictions relatives aux utilisateurs et groupes d’utilisateurs de Gestionnaire 

de profils 

Ces réglages sont activés par défaut pour tous les utilisateurs et le groupe d’utilisateurs « Tous ». 

Ils sont désactivés par défaut pour le groupe nommé « Groupe de travail » et pour tous les 

groupes d’utilisateurs créés par un administrateur. 

D’autres solutions MDM peuvent posséder des réglages similaires, mais la description du 

réglage varie. 

•• 

Autoriser l’accès au portail Mes appareils : Lorsque cette option est activée, l’utilisateur peut 

accéder au portail Mes appareils de Gestionnaire de profils. 

Les réglages suivants sont une sous-catégorie de ce réglage. 

•• 

Autoriser les téléchargements de profils de configuration : Lorsque cette option est activée, 

les utilisateurs peuvent télécharger des profils de configuration à partir du portail Mes appareils. 

•• 

Autoriser l’inscription et la désinscription d’appareils : Lorsque cette option est activée, les utilisateurs 

peuvent inscrire des appareils supplémentaires et en désinscrire. 

•• 

Autoriser l’effacement des données de l’appareil : Lorsque cette option est activée, les utilisateurs 

peuvent effacer les données de leurs appareils. 

•• 

Autoriser le verrouillage de l’appareil (iOS uniquement) : Lorsque cette option est activée, 

les utilisateurs peuvent verrouiller leur appareil iOS. 

•• 

Autoriser l’effacement du code de l’appareil (iOS uniquement) : Lorsque cette option est activée, 

les utilisateurs peuvent effacer le code de leur appareil iOS. 

•• 

Autoriser l’inscription pendant Assistant réglages pour les appareils configurés à l’aide du programme 

d’inscription d’appareil : Lorsque cette option est activée, les appareils Apple dans 

le programme d’inscription d’appareil, attribués à cette instance de Gestionnaire de profils 

peuvent inscrire leur appareil dans le service MDM du gestionnaire de profils. 

Les réglages suivants sont désactivés par défaut pour tous les utilisateurs et groupes 

d’utilisateurs. 

•• 

Autoriser l’inscription pendant Assistant réglages pour les appareils configurés à l’aide 

d’Apple Configurator (iOS uniquement) : Lorsque cette option est activée, les appareils iOS 

configurés avec Apple Configurator peuvent inscrire leur appareil dans le service MDM de 

Gestionnaire de profils. 

•• 

Limiter l’inscription aux appareils de paramètre fictif : Lorsque cette option est activée, seuls les 

appareils possédant l’un des paramètres fictifs suivants peuvent s’inscrire dans le service MDM 

de Gestionnaire de profils : 

•• 

Numéro de série 

•• 

UDID 

•• 

IMEI 

•• 

MEID 

•• 

Identifiant du périphérique Bonjour (Apple TV uniquement) 

Remarque : Le réglage suivant est une sous-catégorie de cette restriction. 

• • Limiter l’inscription aux appareils assignés : Lorsque cette option est activée, seuls les appareils 

attribués à un utilisateur peuvent être inscrits dans le service MDM de Gestionnaire 

de profils. 


Installer des apps développées en interne sans fil 

iOS et OS X prennent en charge l’installation à distance d’apps personnalisées développées en 

interne sans le recours à iTunes ou à l’App Store. 

Conditions requises : 

•• 

Une app iOS au format .ipa, conçue pour une version finale avec un profil d’approvisionnement 

d’entreprise 

•• 

Un fichier manifeste XML, décrit dans cette annexe 

•• 

Une configuration réseau permettant aux appareils d’accéder à un serveur iTunes Apple 

•• 

L’utilisation du protocole HTTPS pour iOS 7.1 ou version ultérieure 

L’installation de l’app est simple. Les utilisateurs téléchargent le fichier manifeste à partir de votre 

site web sur leur appareil iOS. Le fichier manifeste demande à l’appareil de télécharger et 

d’installer les apps qui y sont référencées. 

Vous pouvez distribuer l’URL de téléchargement du fichier manifeste par message texte ou 

e-mail ou en l’intégrant dans une autre app d’entreprise que vous avez créée. 

Vous pouvez concevoir et héberger comme vous l’entendez le site web utilisé pour distribuer les 

apps. Assurez-vous que les utilisateurs sont authentifiés, par exemple en utilisant une authentification 

de base ou basée sur des dossiers, et que le site web est accessible par l’intermédiaire de 

votre intranet ou d’Internet. Vous pouvez placer l’app et le fichier manifeste dans un répertoire 

masqué ou dans tout autre emplacement lisible par HTTPS. 

Si vous créez un portail en libre-service, envisagez d’ajouter un Web Clip à l’écran d’accueil 

de l’utilisateur afin de diriger facilement ce dernier vers le portail, où il pourra trouver des 

informations sur le futur déploiement, comme les nouveaux profils de configuration, les apps 

de l’App Store recommandées et les modalités d’inscription à une solution de gestion des 

appareils mobiles. 

Préparer une app développée en interne en vue d’une distribution sans fil 

Pour préparer votre app développée en interne à une distribution sans fil, compilez une version 

archivée (fichier .ipa) et un fichier manifeste qui permet la distribution et l’installation sans 

fil de l’app. 

Xcode sert à créer une archive d’app. Signez l’app à l’aide de votre certificat de distribution et 

joignez votre profil d’approvisionnement de développement d’entreprise aux archives. Pour en 

savoir plus sur la compilation et l’archivage des apps, consultez le centre de développement 

iOS Dev Center ou le Guide de l’utilisateur Xcode, accessible depuis le menu Aide de Xcode. 

À propos du fichier manifeste sans fil 

Le fichier manifeste est un fichier plist XML. Il est utilisé par un appareil iOS pour trouver, télécharger 

et installer des apps à partir de votre serveur web. Le fichier manifeste est créé par Xcode 

en utilisant des informations que vous fournissez lorsque vous partagez une app archivée pour 

une distribution d’entreprise. 

Les champs suivants sont obligatoires : 

•• 

URL : L’URL HTTPS complète du fichier de l’app (.ipa). 

•• 

display-image : Une image PNG de 57 x 57 pixels qui est affichée pendant le téléchargement et 

l’installation. Indiquez l’URL complète de l’image. 

•• 

full-size-image : Une image PNG de 512 x 512 pixels qui représente l’app dans iTunes. 


•• 

bundle-identifier : L’identificateur de paquet de votre app, exactement tel qu’indiqué dans 

votre projet Xcode. 

•• 

bundle-version : La version de paquet de votre app, tel qu’indiqué dans votre projet Xcode. 

•• 

title : Le nom de l’app, qui est affiché pendant le téléchargement et l’installation. 

Pour les apps de Kiosque uniquement, les champs suivants sont obligatoires : 

•• 

newsstand-image : Une image taille réelle au format PNG pour l’affichage sur l’étagère 

de Kiosque. 

•• 

UINewsstandBindingEdge and UINewsstandBindingType : Ces clés doivent correspondre à celles 

contenues dans l’info.plist de votre app Kiosque. 

•• 

UINewsstandApp : Précisez que l’app est une app Kiosque. 

Les clés facultatives que vous pouvez utiliser sont indiquées dans le fichier manifeste d’exemple. 

Par exemple, vous pouvez utiliser les clés MD5 si votre fichier d’app est volumineux et que vous 

souhaitez assurer une intégrité de téléchargement supérieure à la correction d’erreur normalement 

effectuée pour une communication TCP. 

Vous pouvez installer plusieurs apps avec un unique fichier manifeste, en spécifiant les membres 

supplémentaires de la table d’éléments. 

Un exemple de fichier manifeste figure à la fin de cette annexe. 

Construire votre site web 

Téléchargez les éléments suivants vers une zone de votre site web à laquelle peuvent accéder 

vos utilisateurs authentifiés : 

•• 

Le fichier d’app (.ipa) 

•• 

Le fichier manifeste (.plist) 

Votre site web peut être une simple page web contenant un lien vers le fichier manifeste. 

Lorsqu’un utilisateur touche le lien web, le fichier manifeste est téléchargé, ce qui déclenche le 

téléchargement et l’installation des apps qu’il décrit. 

Voici un exemple de lien : 

Install App 

N’ajoutez pas de lien web vers l’app archivée (.ipa). Le fichier .ipa est téléchargé par l’appareil lors 

du chargement du fichier manifeste. Bien que la portion de l’URL correspondant au protocole 

soit itms-services, l’iTunes Store n’est pas impliqué dans ce processus. 

Assurez-vous également que votre fichier .ipa est accessible via HTTPS et que votre site est signé 

avec un certificat reconnu comme fiable par iOS. L’installation échoue si un certificat auto-signé 

ne comprend pas de point d’ancrage fiable et ne peut pas être validé par l’appareil iOS. 

Définir les types MIME du serveur 

Il peut être nécessaire de configurer votre serveur web de sorte que le fichier manifeste et le 

fichier d’app soient transmis correctement. 

Pour OS X Server, ajoutez les types MIME suivants aux réglages Types MIME du service web : 

application/octet-stream ipa 

text/xml plist 


Pour IIS, utilisez IIS Manager pour ajouter le type MIME dans la page de propriétés du serveur : 

.ipa application/octet-stream 

.plist text/xml 

Dépanner la distribution d’app sans fil 

Si la distribution d’apps échoue avec un message d’impossibilité de téléchargement : 

•• 

Assurez-vous que l’app est correctement signée. Testez-la en l’installant sur un appareil à l’aide 

d’Apple Configurator, et voyez si des erreurs se produisent. 

•• 

Assurez-vous que le lien au fichier manifeste est correct et que le fichier manifeste est accessible 

aux utilisateurs web. 

•• 

Assurez-vous que l’URL du fichier .ipa (dans le fichier manifeste) est correcte et que le fichier . 

ipa est accessible aux utilisateurs web via HTTPS. 

Configuration réseau requise 

Si les appareils sont connectés à un réseau interne fermé, il est conseillé d’autoriser les appareils 

iOS à accéder aux éléments suivants : 

•• 

ax.init.itunes.apple.com : L’appareil obtient la limite de taille de fichier actuelle pour le téléchargement 

d’apps sur le réseau cellulaire. S’il n’est pas possible d’atteindre ce site, l’installation 

peut échouer. 

•• 

ocsp.apple.com : L’appareil contacte ce site web pour vérifier le statut du certificat de distribution 

utilisé pour signer le profil d’approvisionnement. 

Fournir des apps mises à jour 

Les apps que vous distribuez vous-même ne sont pas mises à jour automatiquement. Lorsque 

vous avez une nouvelle version à installer pour les utilisateurs, avertissez-les de la mise à jour et 

expliquez-leur comment installer l’app. Il est souhaitable que l’app recherche les mises à jour et 

informe l’utilisateur à son ouverture. Si vous utilisez une distribution d’app sans fil, la notification 

peut fournir un lien vers le fichier manifeste de l’app mise à jour. 

Si vous souhaitez que les utilisateurs conservent les données de l’app stockées sur leur appareil, 

assurez-vous que la nouvelle version utilise la même clé pour le champ bundle-identifier que 

celle qu’elle remplace et demandez aux utilisateurs de ne pas supprimer l’ancienne version avant 

d’installer la nouvelle. La nouvelle version remplace l’ancienne et conserve les données stockées 

sur l’appareil si les valeurs bundle-identifier correspondent. 

Les profils d’approvisionnement de distribution expirent 12 mois après leur date d’émission. 

Après la date d’expiration, le profil est supprimé et l’app ne se lancera plus. 

Avant qu’un profil d’approvisionnement n’arrive à expiration, consultez le site web 

iOS Dev Center pour créer un nouveau profil pour l’app. Créez une nouvelle archive d’app (.ipa) 

à l’aide du nouveau profil d’approvisionnement, pour les utilisateurs qui installent l’app pour la 

première fois. 

Si les utilisateurs ont déjà installé l’app, vous souhaitez peut-être planifier la sortie de votre 

prochaine version de façon à ce qu’elle comprenne le nouveau profil d’approvisionnement. 

Si ce n’est pas le cas, vous pouvez simplement distribuer le fichier .mobileprovision, pour que les 

utilisateurs n’aient pas à installer l’app à nouveau. Le nouveau profil d’approvisionnement écrase 

celui qui se trouve dans l’archive de l’app. 


Les profils d’approvisionnement peuvent être installés et gérés à l’aide d’une solution MDM, 

puis téléchargés et installés par les utilisateurs par l’intermédiaire d’une mise à jour d’app ou 

d’une solution MDM. 

Si votre certificat de distribution arrive à expiration, l’app ne s’ouvre plus. Votre certificat de distribution 

d’entreprise est valide pour une durée de 3 ans à partir de sa date d’émission, ou jusqu’à 

l’expiration de votre adhésion au programme Developer Enterprise, la date retenue étant la plus 

proche. Pour éviter l’expiration de votre certificat, assurez-vous de renouveler votre adhésion 

avant qu’elle n’expire. 

Vous pouvez disposer de deux certificats de distribution actifs simultanément, chacun étant 

indépendant de l’autre. La validité du second certificat démarre avant que celle du premier ne 

se termine, ce qui permet de mettre à jour les apps. Lors de la demande de votre second certificat 

de distribution auprès du centre de développement iOS Dev Center, assurez-vous de ne pas 

révoquer le premier certificat. 

Validation de certificat 

La première fois qu’un utilisateur ouvre une application sur un appareil, le certificat de distribution 

est validé en contactant le serveur OCSP d’Apple. Si le certificat a été révoqué, l’app ne 

s’exécute pas. L’impossibilité de contacter le serveur OCSP ou d’obtenir une réponse de celui-ci 

n’est pas considérée comme une révocation. Pour vérifier le statut, l’appareil doit être en mesure 

d’accéder à ocsp.apple.com. Consultez la section Configuration réseau requise. 

La réponse OCSP est mise en cache sur l’appareil pendant une période indiquée par le serveur 

OCSP, à l’heure actuelle, entre trois et sept jours. La validité du certificat n’est pas vérifiée jusqu’à 

ce que l’appareil redémarre et que la réponse mise en cache expire. Si le certificat a été révoqué 

entre temps, l’app ne s’ouvre pas. 

La révocation d’un certificat de distribution invalide toutes les apps que vous avez signées à 

l’aide de ce dernier. Ne révoquez un certificat qu’en dernier recours : en cas de perte de la clé 

privée ou de suspicion de compromission du certificat. 

Exemple de fichier manifeste d’app 

 

 

 

 

items 

 

 

 

assets 

 

 

 

 

kind 

software-package 

 

md5-size 


10485760 

 

md5s 

 

41fa64bb7a7cae5a46bfb45821ac8bba 


 

 

url 

https://www.example.com/apps/foo.ipa 

 

 

 

kind 

display-image 

 

needs-shine 

 

url 

https://www.example.com/image.57x57.png 

 

 

 

kind 

full-size-image 

 

md5 


needs-shine 

 

urlhttps://www.example.com/image.512x512.jpg 

 

metadata 

 

 

bundle-identifier 

com.exemple.fooapp 

 

version-bundle 

1.0 

 

kind 

software 

 

subtitle 

Apple 


title 

Exemple d’app d’entreprise 

 

 

 

 

 

Pour en savoir plus sur les clés et attributs de profil, consultez la page 

Configuration Profile Key Reference (Références des clés pour les profils de configuration).

Apple R&eacute;f&eacute;rence pour le d&eacute;ploiement iOS - R&eacute;f&eacute;rence pour le d&eacute;ploiement iOS

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

Apple Référence pour le déploiement iOS - Référence pour le déploiement iOS