Apple Référence pour le déploiement iOS - Référence pour le déploiement iOS
Apple Référence pour le déploiement iOS - Référence pour le déploiement iOS
Apple Référence pour le déploiement iOS - Référence pour le déploiement iOS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Réfé<strong>rence</strong> <strong>pour</strong> <strong>le</strong><br />
dé<strong>ploiement</strong> <strong>iOS</strong>
KK<strong>App<strong>le</strong></strong> Inc.<br />
© 2015 <strong>App<strong>le</strong></strong> Inc. Tous droits réservés.<br />
<strong>App<strong>le</strong></strong>, <strong>le</strong> logo <strong>App<strong>le</strong></strong>, AirDrop, AirPlay, <strong>App<strong>le</strong></strong> TV, Bonjour,<br />
FaceTime, Fi<strong>le</strong>Vault, iBooks, iLife, iMessage, iPad, iPad Air,<br />
iPhone, iPod, iPod touch, iTunes, iWork, Keychain, Keynote, Mac,<br />
MacBook Air, MacBook Pro, Numbers, OS X, Pages, Passbook,<br />
Safari, Siri, Spotlight et Xcode sont des marques d’<strong>App<strong>le</strong></strong> Inc.,<br />
déposées aux États-Unis et dans d’autres pays.<br />
AirPrint, <strong>App<strong>le</strong></strong> Pay, <strong>App<strong>le</strong></strong> Watch, Handoff, iPad mini, iTunes U et<br />
Touch ID sont des marques d’<strong>App<strong>le</strong></strong> Inc.<br />
<strong>App<strong>le</strong></strong>Care, App Store, iCloud, iCloud Keychain et iTunes Store<br />
sont des marques de service d’<strong>App<strong>le</strong></strong> Inc., déposées aux États-<br />
Unis et dans d’autres pays.<br />
iBooks Store est une marque de service d’<strong>App<strong>le</strong></strong> Inc.<br />
Le logo <strong>App<strong>le</strong></strong> est une marque d’<strong>App<strong>le</strong></strong> Inc. déposée aux États-<br />
Unis et dans d’autres pays. En l’absence du consentement écrit<br />
d’<strong>App<strong>le</strong></strong>, l’utilisation à des fins commercia<strong>le</strong>s de ce logo via <strong>le</strong><br />
clavier (Option + Maj + K) <strong>pour</strong>ra constituer un acte de contrefaçon<br />
ou de concur<strong>rence</strong> déloya<strong>le</strong>.<br />
La marque et <strong>le</strong>s logos Bluetooth® sont des marques déposées<br />
détenues par Bluetooth SIG, Inc. et tout usage de ces marques<br />
par <strong>App<strong>le</strong></strong> Inc. est fait sous licence.<br />
IOS est une marque ou marque déposée de Cisco aux États-<br />
Unis et dans d’autres pays, utilisée ici sous licence.<br />
Les autres noms de sociétés et de produits mentionnés ici<br />
peuvent être des marques de <strong>le</strong>urs détenteurs respectifs.<br />
La mention de produits tiers n’est effectuée qu’à des fins<br />
informatives et ne constitue en aucun cas une approbation ni<br />
une recommandation. <strong>App<strong>le</strong></strong> n’assume aucune responsabilité<br />
vis-à-vis des performances ou de l’utilisation de ces produits.<br />
Tout arrangement, tout contrat ou toute garantie, <strong>le</strong> cas<br />
échéant, est réalisé directement entre <strong>le</strong>s fournisseurs et <strong>le</strong>s<br />
futurs utilisateurs.<br />
Tous <strong>le</strong>s efforts nécessaires ont été mis en œuvre <strong>pour</strong> que<br />
<strong>le</strong>s informations contenues dans ce document soient <strong>le</strong>s plus<br />
exactes possib<strong>le</strong>. <strong>App<strong>le</strong></strong> n’est pas responsab<strong>le</strong> des erreurs<br />
d’impression ou de reproduction.<br />
F019-00124/2015-04
Tab<strong>le</strong> des matières<br />
6 Chapitre 1 : Réfé<strong>rence</strong> <strong>pour</strong> <strong>le</strong> dé<strong>ploiement</strong> <strong>iOS</strong><br />
6 Introduction<br />
8 Chapitre 2 : Modè<strong>le</strong>s de dé<strong>ploiement</strong><br />
8 Vue d’ensemb<strong>le</strong><br />
8 Modè<strong>le</strong>s de dé<strong>ploiement</strong> dans <strong>le</strong> secteur de l’éducation<br />
8 Vue d’ensemb<strong>le</strong><br />
9 Appareils individuels appartenant à l’institution<br />
11 Appareils appartenant aux élèves<br />
13 Appareils partagés<br />
15 Modè<strong>le</strong>s de dé<strong>ploiement</strong> en entreprise<br />
15 Vue d’ensemb<strong>le</strong><br />
16 Personnalisé (appareils appartenant aux utilisateurs)<br />
18 Personnalisé (appareils appartenant à l’entreprise)<br />
20 Non personnalisé (appareils partagés)<br />
23 Chapitre 3 : Wi-Fi<br />
23 Vue d’ensemb<strong>le</strong><br />
23 Débit du Wi-Fi<br />
24 Se connecter aux réseaux Wi-Fi<br />
24 Itinérance<br />
26 Planifier la couverture et la capacité<br />
27 Remarques concernant la conception<br />
28 Normes Wi-Fi exploitées par <strong>le</strong>s appareils <strong>iOS</strong><br />
30 Chapitre 4 : Infrastructure et intégration<br />
30 Vue d’ensemb<strong>le</strong><br />
30 Microsoft Exchange<br />
32 Bonjour<br />
33 AirPlay<br />
35 Services basés sur des standards<br />
36 Certificats numériques<br />
37 Authentification par signature unique (SSO)<br />
38 Réseaux privés virtuels (VPN)<br />
38 Vue d’ensemb<strong>le</strong><br />
39 Protoco<strong>le</strong>s et méthodes d’authentification pris en charge<br />
39 Clients VPN SSL<br />
40 Instructions <strong>pour</strong> la configuration d’un VPN<br />
42 Connexion VPN via l’app<br />
43 Activer VPN sur demande<br />
43 Vue d’ensemb<strong>le</strong><br />
43 Étapes<br />
3
43 Règ<strong>le</strong>s et actions<br />
45 Rétrocompatibilité<br />
45 VPN toujours actif<br />
45 Vue d’ensemb<strong>le</strong><br />
46 Scénarios de dé<strong>ploiement</strong><br />
47 Profil de configuration VPN toujours actif<br />
48 Entité VPN toujours actif<br />
50 Chapitre 5 : Services Internet<br />
50 Vue d’ensemb<strong>le</strong><br />
50 Identifiant <strong>App<strong>le</strong></strong><br />
51 Localiser mon iPhone et Verrouillage d’activation<br />
52 Continuité<br />
53 iCloud<br />
53 iCloud Drive<br />
54 Trousseau iCloud<br />
54 iMessage<br />
55 FaceTime<br />
55 Siri<br />
55 Identifiant <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants<br />
56 Service de notifications push <strong>App<strong>le</strong></strong> (APN)<br />
57 Chapitre 6 : Sécurité<br />
57 Vue d’ensemb<strong>le</strong><br />
57 Sécurité des appareils et des données<br />
57 Vue d’ensemb<strong>le</strong><br />
57 Règ<strong>le</strong>s relatives aux codes<br />
58 Application des règ<strong>le</strong>s<br />
58 Configuration sécurisée des appareils<br />
59 Protection des données<br />
59 Chiffrement<br />
59 Norme S/MIME appliquée par message<br />
60 Adresses e-mail externes<br />
60 Touch ID<br />
61 Effacement à distance<br />
61 Effacement local<br />
61 Sécurité réseau<br />
62 Sécurité des apps<br />
64 Chapitre 7 : Configuration et gestion<br />
64 Vue d’ensemb<strong>le</strong><br />
64 Assistant réglages et activation<br />
65 Profils de configuration<br />
66 Gestion des appareils mobi<strong>le</strong>s (MDM)<br />
66 Vue d’ensemb<strong>le</strong><br />
67 Inscription<br />
67 Configurer<br />
68 Comptes<br />
68 Requêtes<br />
69 Tâches de gestion<br />
69 Apps gérées<br />
Tab<strong>le</strong> des matières 4
71 Livres gérés<br />
71 Domaines gérés<br />
71 Gestionnaire de profils<br />
72 Superviser <strong>le</strong>s appareils<br />
73 Programme d’inscription d’appareil<br />
74 <strong>App<strong>le</strong></strong> Configurator<br />
75 Chapitre 8 : Distribution d’apps et de livres<br />
75 Vue d’ensemb<strong>le</strong><br />
75 Programme d’achat en volume (VPP)<br />
75 Vue d’ensemb<strong>le</strong><br />
76 S’inscrire au Programme d’achat en volume <strong>pour</strong> <strong>le</strong>s entreprises<br />
76 Acheter des apps et des livres en grand nombre<br />
76 Distribution gérée<br />
77 Apps B2B personnalisées<br />
77 Apps internes<br />
79 Livres internes<br />
79 Déployer des apps et des livres<br />
79 Vue d’ensemb<strong>le</strong><br />
79 Instal<strong>le</strong>r des apps et des livres à l’aide d’une solution MDM<br />
80 Instal<strong>le</strong>r des apps à l’aide d’<strong>App<strong>le</strong></strong> Configurator<br />
80 Caching Server<br />
82 Chapitre 9 : Planification de l’assistance<br />
82 Vue d’ensemb<strong>le</strong><br />
82 <strong>App<strong>le</strong></strong>Care Help Desk Support<br />
82 <strong>App<strong>le</strong></strong>Care OS Support<br />
83 <strong>App<strong>le</strong></strong>Care for Enterprise<br />
83 <strong>App<strong>le</strong></strong>Care <strong>pour</strong> <strong>le</strong>s utilisateurs d’appareils <strong>iOS</strong><br />
83 Programme d’assistance directe <strong>iOS</strong><br />
83 <strong>App<strong>le</strong></strong>Care Protection Plan <strong>pour</strong> Mac ou écran <strong>App<strong>le</strong></strong><br />
84 Chapitre 10 : Annexes<br />
84 Restrictions<br />
84 Vue d’ensemb<strong>le</strong><br />
84 Réglages du programme d’inscription d’appareil<br />
85 Fonctionnalités des appareils<br />
87 Réglages des appareils supervisés<br />
89 Réglages de sécurité et confidentialité<br />
90 Utilisation des apps<br />
91 Réglages iCloud<br />
92 Restrictions relatives aux utilisateurs et groupes d’utilisateurs de Gestionnaire de profils<br />
93 Instal<strong>le</strong>r des apps développées en interne sans fil<br />
Tab<strong>le</strong> des matières 5
Réfé<strong>rence</strong> <strong>pour</strong> <strong>le</strong> dé<strong>ploiement</strong> <strong>iOS</strong><br />
1<br />
Introduction<br />
Ce guide de réfé<strong>rence</strong> s’adresse aux administrateurs informatiques qui souhaitent déployer<br />
des appareils <strong>iOS</strong> sur <strong>le</strong>urs réseaux. Il fournit des informations sur <strong>le</strong> dé<strong>ploiement</strong> et la prise en<br />
charge des iPhone, iPad et iPod touch dans une entreprise ou un établissement d’enseignement<br />
de grande tail<strong>le</strong>. Il explique comment sont fournis :<br />
••<br />
L’intégration avec votre infrastructure existante<br />
••<br />
Une sécurité complète<br />
••<br />
De puissants outils de dé<strong>ploiement</strong><br />
••<br />
Des méthodes permettant de distribuer des apps et des livres à vos employés ou élèves<br />
Remarque : Même si ce guide de réfé<strong>rence</strong> se concentre uniquement sur <strong>le</strong> dé<strong>ploiement</strong> d’appareils<br />
<strong>iOS</strong>, certaines sections s’appliquent éga<strong>le</strong>ment aux ordinateurs Mac portab<strong>le</strong>s et de bureau.<br />
Dans <strong>le</strong> présent document, <strong>le</strong> terme appareils <strong>App<strong>le</strong></strong> a été choisi <strong>pour</strong> désigner l’iPhone, iPad,<br />
iPod touch, ainsi que <strong>le</strong>s ordinateurs Mac portab<strong>le</strong>s et de bureau. Le dé<strong>ploiement</strong> de l’<strong>App<strong>le</strong></strong> TV<br />
est abordé dans la section AirPlay de ce guide de réfé<strong>rence</strong>.<br />
Ce guide est divisé en plusieurs sections :<br />
Modè<strong>le</strong>s de dé<strong>ploiement</strong><br />
Il existe plusieurs façons de déployer des appareils <strong>iOS</strong>. Quel que soit <strong>le</strong> modè<strong>le</strong> de dé<strong>ploiement</strong><br />
choisi, il est uti<strong>le</strong> de prendre en compte <strong>le</strong>s étapes nécessaires <strong>pour</strong> garantir un dé<strong>ploiement</strong><br />
aussi homogène que possib<strong>le</strong>. Bien que ce guide décrive tous <strong>le</strong>s aspects d’un dé<strong>ploiement</strong><br />
d’appareils <strong>iOS</strong>, <strong>le</strong>s entreprises et établissements d’enseignement peuvent choisir de procéder de<br />
manière différente.<br />
Installation et configuration d’un réseau Wi-Fi<br />
Dès la sortie de l’emballage, <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> peuvent se connecter en toute sécurité aux<br />
réseaux Wi-Fi d’entreprise ou <strong>pour</strong> invités, ce qui permet aux utilisateurs de rejoindre faci<strong>le</strong>ment<br />
<strong>le</strong>s réseaux sans fil disponib<strong>le</strong>s, qu’ils soient sur place ou en déplacement. Ce chapitre traite des<br />
protoco<strong>le</strong>s Wi-Fi standard <strong>pour</strong> la transmission et <strong>le</strong> chiffrement des données.<br />
Infrastructure et intégration<br />
Les appareils <strong>iOS</strong> intègrent la prise en charge d’une large gamme d’infrastructures réseau.<br />
Dans cette section, vous découvrirez <strong>le</strong>s technologies prises en charge par <strong>iOS</strong> et <strong>le</strong>s bonnes<br />
pratiques à mettre en œuvre <strong>pour</strong> l’intégration avec Microsoft Exchange, <strong>le</strong>s VPN et d’autres<br />
services standard.<br />
Services Internet<br />
<strong>App<strong>le</strong></strong> a conçu un ensemb<strong>le</strong> solide de services <strong>pour</strong> aider <strong>le</strong>s utilisateurs à bénéficier au maximum<br />
de <strong>le</strong>urs appareils <strong>App<strong>le</strong></strong>. Ces services comprennent iMessage, FaceTime, Continuity, iCloud,<br />
<strong>le</strong> trousseau iCloud, ainsi que la configuration et la gestion des identifiants <strong>App<strong>le</strong></strong> nécessaires<br />
<strong>pour</strong> accéder à ces services.<br />
6
Observations sur la sécurité<br />
<strong>iOS</strong> est conçu <strong>pour</strong> accéder de manière sécurisée aux services d’entreprise et <strong>pour</strong> protéger <strong>le</strong>s<br />
données importantes. <strong>iOS</strong> fournit un chiffrement puissant des données lors de la transmission,<br />
des méthodes d’authentification éprouvées <strong>pour</strong> accéder aux services d’entreprise et un<br />
chiffrement matériel <strong>pour</strong> toutes <strong>le</strong>s données stockées sur <strong>le</strong>s appareils <strong>iOS</strong>. Lisez cette section<br />
<strong>pour</strong> obtenir une vue d’ensemb<strong>le</strong> des fonctionnalités <strong>iOS</strong> relatives à la sécurité.<br />
Configuration et gestion<br />
Les appareils <strong>App<strong>le</strong></strong> prennent en charge des outils et technologies avancés <strong>pour</strong> qu’il soit faci<strong>le</strong><br />
de <strong>le</strong>s préparer, de <strong>le</strong>s configurer <strong>pour</strong> répondre à vos exigences et de <strong>le</strong>s gérer dans un environnement<br />
à grande échel<strong>le</strong>. Cette section décrit <strong>le</strong>s différents outils disponib<strong>le</strong>s <strong>pour</strong> <strong>le</strong> dé<strong>ploiement</strong><br />
et propose une présentation de la gestion des appareils mobi<strong>le</strong>s (MDM) et du Programme<br />
d’inscription d’appareil.<br />
Distribution d’apps et de livres<br />
Il y a plusieurs façons de déployer des apps et du contenu au sein de votre entreprise. Des programmes<br />
<strong>App<strong>le</strong></strong>, tels que <strong>le</strong> Programme d’achat en volume (VPP) et <strong>le</strong> programme <strong>iOS</strong> Developer<br />
Enterprise, permettent à votre organisation d’acheter, de développer et de déployer des apps et<br />
des livres <strong>pour</strong> vos utilisateurs. Utilisez cette section <strong>pour</strong> bien comprendre la portée de ces<br />
programmes et découvrir comment déployer des apps et des livres achetés ou développés en<br />
vue d’un usage en interne.<br />
Planification de l’assistance<br />
<strong>App<strong>le</strong></strong> offre de nombreux programmes et options d’assistance <strong>pour</strong> <strong>le</strong>s utilisateurs d’appareils<br />
<strong>App<strong>le</strong></strong>. Avant de déployer des appareils <strong>App<strong>le</strong></strong>, découvrez <strong>le</strong>s options disponib<strong>le</strong>s <strong>pour</strong> votre<br />
organisation et prévoyez l’assistance nécessaire.<br />
Les annexes suivantes fournissent des détails et indiquent <strong>le</strong>s exigences techniques :<br />
Restrictions MDM<br />
Décrit <strong>le</strong>s restrictions pouvant être appliquées à la configuration des appareils <strong>iOS</strong> <strong>pour</strong> répondre<br />
à vos exigences en matière de sécurité et de code d’accès, entre autres.<br />
Instal<strong>le</strong>r des apps développées en interne sans fil<br />
Explique comment distribuer des apps développées en interne à partir de votre propre<br />
portail web.<br />
Ressources supplémentaires<br />
••<br />
www.app<strong>le</strong>.com/fr/education/it<br />
••<br />
www.app<strong>le</strong>.com/ipad/business/it<br />
••<br />
www.app<strong>le</strong>.com/iphone/business/it<br />
Remarque : Vous trouverez une version web de ce document de réfé<strong>rence</strong> à l’adresse suivante :<br />
https://help.app<strong>le</strong>.com/deployment/ios.<br />
Remarque : Si l’iBooks Store est disponib<strong>le</strong> dans votre pays ou votre région, vous pouvez<br />
télécharger ce guide de réfé<strong>rence</strong> au format ePub. Il vous suffit de rechercher Réfé<strong>rence</strong> <strong>pour</strong> <strong>le</strong><br />
dé<strong>ploiement</strong> <strong>iOS</strong>.<br />
Chapitre 1 Réfé<strong>rence</strong> <strong>pour</strong> <strong>le</strong> dé<strong>ploiement</strong> <strong>iOS</strong> 7
Modè<strong>le</strong>s de dé<strong>ploiement</strong><br />
2<br />
Vue d’ensemb<strong>le</strong><br />
Il existe plusieurs façons de distribuer et de configurer des appareils <strong>iOS</strong>, allant de la préconfiguration<br />
à la configuration en libre service effectuée par chaque élève ou employé. Explorez <strong>le</strong>s<br />
possibilités avant de commencer. Les outils et processus utilisés <strong>pour</strong> <strong>le</strong> dé<strong>ploiement</strong> dépendent<br />
éga<strong>le</strong>ment de votre modè<strong>le</strong> de dé<strong>ploiement</strong> spécifique.<br />
••<br />
Dans <strong>le</strong> secteur de l’éducation, on distingue en règ<strong>le</strong> généra<strong>le</strong> trois modè<strong>le</strong>s de dé<strong>ploiement</strong><br />
<strong>pour</strong> <strong>le</strong>s appareils <strong>iOS</strong> : Appareils individuels appartenant à l’institution, appareils appartenant<br />
aux élèves et appareils partagés. Bien que chaque institution ait un modè<strong>le</strong> de prédi<strong>le</strong>ction,<br />
il est possib<strong>le</strong> de rencontrer plusieurs modè<strong>le</strong>s au sein d’une même institution.<br />
••<br />
Dans <strong>le</strong>s entreprises, il existe plusieurs façons de déployer des appareils <strong>iOS</strong>. Que vous choisissiez<br />
de déployer des appareils <strong>iOS</strong> appartenant à l’entreprise, d’utiliser des appareils <strong>iOS</strong> partagés<br />
par <strong>le</strong>s employés ou d’inviter <strong>le</strong>s employés à venir avec <strong>le</strong>ur propre appareil, il est intéressant<br />
de prendre en considération <strong>le</strong>s étapes nécessaires <strong>pour</strong> que <strong>le</strong> dé<strong>ploiement</strong> s’effectue de<br />
la manière la plus homogène possib<strong>le</strong>.<br />
Une fois <strong>le</strong>s modè<strong>le</strong>s de dé<strong>ploiement</strong> identifiés, votre équipe <strong>pour</strong>ra explorer en détail <strong>le</strong>s fonctionnalités<br />
de gestion et de dé<strong>ploiement</strong> offertes par <strong>App<strong>le</strong></strong>. Ces outils et programmes sont<br />
décrits de manière très complète dans ce document. Nous vous conseillons de <strong>le</strong>s fournir aux<br />
parties prenantes principa<strong>le</strong>s de votre organisation afin qu’el<strong>le</strong>s <strong>le</strong>s passent en revue.<br />
Modè<strong>le</strong>s de dé<strong>ploiement</strong> dans <strong>le</strong> secteur de l’éducation<br />
Vue d’ensemb<strong>le</strong><br />
L’utilisation d’iPad permet aux enseignants et aux élèves de bénéficier d’outils incroyab<strong>le</strong>s.<br />
La sé<strong>le</strong>ction de stratégies ou d’outils appropriés peut contribuer à la transformation de<br />
l’expérience éducative des enseignants, des élèves et des autres utilisateurs.<br />
Qu’une institution choisisse de déployer des appareils <strong>iOS</strong> <strong>pour</strong> une seu<strong>le</strong> classe ou <strong>pour</strong> toutes,<br />
de nombreuses options sont disponib<strong>le</strong>s <strong>pour</strong> déployer et gérer faci<strong>le</strong>ment <strong>le</strong>s appareils <strong>iOS</strong> et<br />
<strong>le</strong> contenu.<br />
Modè<strong>le</strong>s de dé<strong>ploiement</strong><br />
Dans <strong>le</strong>s institutions éducatives, on distingue en règ<strong>le</strong> généra<strong>le</strong> trois modè<strong>le</strong>s de dé<strong>ploiement</strong><br />
courants <strong>pour</strong> <strong>le</strong>s appareils <strong>iOS</strong> :<br />
••<br />
Appareils individuels appartenant à l’institution<br />
••<br />
Appareils appartenant aux élèves<br />
••<br />
Appareils partagés<br />
Bien que chaque institution ait un modè<strong>le</strong> de prédi<strong>le</strong>ction, il est possib<strong>le</strong> de rencontrer plusieurs<br />
modè<strong>le</strong>s au sein d’une institution.<br />
8
Vous trouverez ci-dessous des exemp<strong>le</strong>s d’application de ces modè<strong>le</strong>s dans des institutions<br />
éducatives type :<br />
••<br />
Un collège peut prévoir de déployer des appareils individuels appartenant à l’institution <strong>pour</strong><br />
tous <strong>le</strong>s niveaux.<br />
••<br />
Un grand secteur peut commencer par déployer des appareils individuels appartenant à l’institution<br />
dans un lycée, puis mettre en place des modè<strong>le</strong>s identiques sur l’ensemb<strong>le</strong> du secteur.<br />
••<br />
Une éco<strong>le</strong> regroupant maternel<strong>le</strong>, primaire et collège peut déployer à la fois des appareils individuels<br />
appartenant à l’institution <strong>pour</strong> <strong>le</strong> collège et des appareils partagés <strong>pour</strong> la maternel<strong>le</strong><br />
et la primaire.<br />
••<br />
Dans <strong>le</strong>s institutions d’éducation supérieure, <strong>le</strong> dé<strong>ploiement</strong> <strong>le</strong> plus courant <strong>pour</strong> un campus<br />
ou un ensemb<strong>le</strong> de campus est <strong>le</strong> dé<strong>ploiement</strong> d’appareils appartenant aux élèves.<br />
L’étude plus approfondie de ces modè<strong>le</strong>s vous aidera à identifier celui qui conviendra <strong>le</strong> mieux à<br />
votre environnement unique.<br />
Appareils individuels appartenant à l’institution<br />
Un modè<strong>le</strong> de dé<strong>ploiement</strong> d’appareils individuels appartenant à l’institution représente la<br />
meil<strong>le</strong>ure option <strong>pour</strong> que <strong>le</strong>s appareils <strong>iOS</strong> aient <strong>le</strong> meil<strong>le</strong>ur impact possib<strong>le</strong> sur <strong>le</strong> processus<br />
d’apprentissage.<br />
Avec un dé<strong>ploiement</strong> d’appareils individuels appartenant à l’institution, votre institution achète<br />
des appareils <strong>iOS</strong> <strong>pour</strong> tous <strong>le</strong>s élèves et enseignants éligib<strong>le</strong>s. Cela peut être mis en place <strong>pour</strong><br />
un niveau spécifique, un département, ou encore un secteur scolaire, une éco<strong>le</strong> ou une université<br />
dans son ensemb<strong>le</strong>.<br />
Avec ce modè<strong>le</strong>, chaque utilisateur se voit attribuer un appareil <strong>iOS</strong> configuré et géré par l’institution.<br />
Une solution de gestion des appareils mobi<strong>le</strong>s (MDM) permet de simplifier et d’automatiser<br />
ce processus. Si <strong>le</strong>s appareils <strong>iOS</strong> sont achetés directement auprès d’<strong>App<strong>le</strong></strong> ou auprès<br />
de revendeurs agréés <strong>App<strong>le</strong></strong> ou d’opérateurs participants, votre institution peut utiliser <strong>le</strong><br />
Programme d’inscription d’appareil (DEP) <strong>pour</strong> automatiser l’inscription auprès de la solution<br />
MDM, afin que <strong>le</strong>s appareils <strong>iOS</strong> puissent être donnés aux utilisateurs directement.<br />
Une fois <strong>le</strong>s appareils <strong>iOS</strong> distribués, <strong>le</strong>s utilisateurs suivent <strong>le</strong>s étapes d’une version simplifiée de<br />
l’Assistant réglages, sont automatiquement inscrits à la solution MDM et peuvent personnaliser<br />
davantage <strong>le</strong>ur appareil <strong>iOS</strong> ou télécharger <strong>le</strong>ur propre contenu. Les utilisateurs reçoivent une<br />
invitation à télécharger du contenu éducatif spécifique, tel que des apps et des livres achetés<br />
dans <strong>le</strong> cadre du programme d’achat en volume (VPP), ou encore des cours iTunes U. Si <strong>le</strong>s<br />
élèves ont moins de 13 ans, l’institution peut créer un identifiant <strong>App<strong>le</strong></strong> en <strong>le</strong>ur nom, à l’aide du<br />
programme Identifiants <strong>App<strong>le</strong></strong> <strong>pour</strong> étudiants afin de pouvoir <strong>le</strong>ur fournir des apps et des livres.<br />
Votre institution peut livrer ou mettre à jour ces ressources à distance pendant l’année scolaire,<br />
et avec Caching Server la plupart de ces téléchargements peuvent provenir du réseau local de<br />
l’institution. Si <strong>le</strong>s appareils <strong>iOS</strong> sont supervisés, <strong>le</strong>s apps sont installées automatiquement.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 9
Le tab<strong>le</strong>au suivant illustre <strong>le</strong>s responsabilités de l’administrateur et de l’utilisateur, dans <strong>le</strong> cadre<br />
d’un dé<strong>ploiement</strong> d’appareils individuels appartenant à l’institution :<br />
Préparation<br />
Administrateur :<br />
••<br />
Étudier <strong>le</strong>s différentes options, se procurer et<br />
déployer une solution MDM.<br />
••<br />
Gérer l’inscription au DEP, au VPP et au programme<br />
Identifiants <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants.<br />
••<br />
Débal<strong>le</strong>r et (éventuel<strong>le</strong>ment) attribuer des<br />
ressources à l’appareil <strong>iOS</strong>.<br />
••<br />
Créer des identifiants <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s élèves de<br />
moins de 13 ans (<strong>le</strong> cas échéant).<br />
Utilisateurs :<br />
••<br />
Créer un identifiant <strong>App<strong>le</strong></strong>, ainsi que des comptes<br />
iTunes Store et iCloud.<br />
Instal<strong>le</strong>r et configurer<br />
Administrateur :<br />
••<br />
Attribuer <strong>le</strong>s appareils <strong>iOS</strong> par l’intermédiaire du<br />
DEP à des fins de supervision et d’inscription<br />
simplifiée avec la solution MDM.<br />
••<br />
Utiliser <strong>App<strong>le</strong></strong> Configurator au lieu de DEP et MDM<br />
<strong>pour</strong> configurer et superviser <strong>le</strong>s appareils <strong>iOS</strong>.<br />
••<br />
Configurer et instal<strong>le</strong>r <strong>le</strong>s comptes, <strong>le</strong>s réglages et<br />
<strong>le</strong>s restrictions sans fil avec la solution MDM.<br />
Utilisateurs :<br />
••<br />
Un appareil <strong>iOS</strong> est fourni à l’utilisateur.<br />
••<br />
Saisir <strong>le</strong>s informations de l’institution dans Assistant<br />
réglages <strong>pour</strong> <strong>le</strong> DEP (facultatif).<br />
••<br />
Personnaliser l’appareil <strong>iOS</strong> avec Assistant réglages<br />
et saisir un identifiant <strong>App<strong>le</strong></strong> personnel.<br />
••<br />
Les réglages et <strong>le</strong>s configurations de l’appareil <strong>iOS</strong><br />
sont automatiquement reçus grâce à la<br />
solution MDM.<br />
Distribuer des appareils et du contenu<br />
Administrateur :<br />
••<br />
Acheter des apps et des livres dans <strong>le</strong> cadre du<br />
programme d’achat en volume et <strong>le</strong>s attribuer aux<br />
utilisateurs grâce à la solution MDM.<br />
••<br />
Envoyer des invitations au programme VPP<br />
aux utilisateurs.<br />
••<br />
Instal<strong>le</strong>r Caching Server <strong>pour</strong> accélérer la livraison<br />
du contenu sur <strong>le</strong> réseau local.<br />
Utilisateurs :<br />
••<br />
Accepter l’invitation au programme VPP.<br />
••<br />
Télécharger et instal<strong>le</strong>r <strong>le</strong>s apps et <strong>le</strong>s livres attribués<br />
par l’institution.<br />
••<br />
Si l’appareil <strong>iOS</strong> est supervisé, <strong>le</strong>s apps peuvent être<br />
installées sur l’appareil si<strong>le</strong>ncieusement.<br />
Gestion suivie<br />
Administrateur :<br />
••<br />
Révoquer et réattribuer <strong>le</strong>s apps aux utilisateurs<br />
selon <strong>le</strong>s besoins avec la solution MDM.<br />
••<br />
Avec la solution MDM, <strong>le</strong>s administrateurs peuvent<br />
envoyer des requêtes aux appareils <strong>iOS</strong> gérés <strong>pour</strong><br />
vérifier <strong>le</strong>ur conformité ou envoyer des a<strong>le</strong>rtes si<br />
<strong>le</strong>s utilisateurs ajoutent des contenus ou des apps<br />
non approuvés.<br />
••<br />
La solution MDM peut éga<strong>le</strong>ment verrouil<strong>le</strong>r des<br />
appareils <strong>iOS</strong> ou effacer à distance tout compte ou<br />
toutes données gérées, ou encore effacer toutes <strong>le</strong>s<br />
données d’un appareil <strong>iOS</strong>.<br />
••<br />
Déployer <strong>App<strong>le</strong></strong> TV <strong>pour</strong> prendre en charge AirPlay.<br />
Utilisateurs :<br />
••<br />
Sauvegarder <strong>le</strong> contenu de l’appareil <strong>iOS</strong> sur iTunes<br />
ou iCloud, afin d’enregistrer <strong>le</strong>s documents et tout<br />
autre contenu personnel.<br />
••<br />
Si l’appareil <strong>iOS</strong> est perdu ou volé, l’utilisateur peut<br />
<strong>le</strong> localiser avec Localiser mon iPhone.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 10
Ressources supplémentaires<br />
••<br />
Vue d’ensemb<strong>le</strong> du programme d’achat en volume<br />
••<br />
Vue d’ensemb<strong>le</strong> de la gestion des appareils mobi<strong>le</strong>s<br />
••<br />
Programme d’inscription d’appareil<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong><br />
••<br />
Caching Server<br />
••<br />
AirPlay<br />
••<br />
<strong>App<strong>le</strong></strong> Configurator<br />
Appareils appartenant aux élèves<br />
Dans l’éducation supérieure, <strong>le</strong>s élèves arrivent généra<strong>le</strong>ment sur <strong>le</strong> campus avec <strong>le</strong>ur propre<br />
appareil <strong>iOS</strong>. De plus, même si cette pratique est moins répandue dans certains établissements<br />
allant de la maternel<strong>le</strong> au lycée, <strong>le</strong>s élèves apportent <strong>le</strong>urs propres appareils <strong>iOS</strong> en classe.<br />
Avec ce modè<strong>le</strong>, <strong>le</strong>s appareils <strong>iOS</strong> sont configurés par l’élève ou par un parent. Pour utiliser <strong>le</strong>s<br />
services de l’institution, tels que <strong>le</strong> Wi-Fi, la messagerie et <strong>le</strong>s ca<strong>le</strong>ndriers, ou encore <strong>pour</strong> configurer<br />
l’appareil <strong>iOS</strong> <strong>pour</strong> des exigences propres aux cours, <strong>le</strong>s appareils <strong>iOS</strong> appartenant aux élèves<br />
sont généra<strong>le</strong>ment inscrits auprès d’une solution MDM fournie par l’institution. Dans <strong>le</strong>s environnements<br />
éducatifs, <strong>le</strong>s technologies tel<strong>le</strong>s que <strong>le</strong>s solutions MDM peuvent jouer un rô<strong>le</strong> dans<br />
la gestion des appareils <strong>iOS</strong> appartenant aux élèves. L’accès aux services de l’institution permet<br />
d’inciter <strong>le</strong>s élèves à inscrire <strong>le</strong>urs appareils <strong>iOS</strong> à la solution MDM de l’organisation.<br />
Cela garantit que tous <strong>le</strong>s réglages de configuration, toutes <strong>le</strong>s règ<strong>le</strong>s, toutes <strong>le</strong>s restrictions,<br />
toutes <strong>le</strong>s apps, tous <strong>le</strong>s livres et tout <strong>le</strong> contenu sont déployés automatiquement et de manière<br />
discrète, tout en restant sous <strong>le</strong> contrô<strong>le</strong> de l’institution. L’inscription à la solution MDM est un<br />
processus optionnel ; <strong>le</strong>s élèves peuvent donc choisir de la supprimer lorsqu’ils ont terminé un<br />
cours ou <strong>le</strong>ur cursus, ou encore lorsqu’ils quittent l’établissement. La suppression de la solution<br />
de gestion s’étend à l’ensemb<strong>le</strong> du contenu et des services fournis par l’établissement.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 11
Le tab<strong>le</strong>au suivant illustre <strong>le</strong>s responsabilités de l’administrateur et de l’utilisateur, dans <strong>le</strong> cadre<br />
d’un dé<strong>ploiement</strong> d’appareils appartenant aux élèves :<br />
Préparation<br />
Administrateur :<br />
••<br />
Étudier <strong>le</strong>s différentes options, se procurer et<br />
déployer une solution MDM.<br />
••<br />
Gérer l’inscription au VPP.<br />
Utilisateurs :<br />
••<br />
Débal<strong>le</strong>r et activer l’appareil <strong>iOS</strong>.<br />
••<br />
Créer un identifiant <strong>App<strong>le</strong></strong>, ainsi que des comptes<br />
iTunes Store et iCloud, <strong>le</strong> cas échéant.<br />
Instal<strong>le</strong>r et configurer<br />
Administrateur :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Utilisateurs :<br />
••<br />
Inscrire <strong>le</strong>s appareils <strong>iOS</strong> en libre-service, et configurer<br />
<strong>le</strong>s comptes, <strong>le</strong>s réglages et <strong>le</strong>s restrictions sans<br />
fil via une solution MDM basée sur <strong>le</strong>s règ<strong>le</strong>s de<br />
groupe/d’utilisateur définies par l’institution.<br />
••<br />
Personnaliser <strong>le</strong>s appareils <strong>iOS</strong> avec Assistant<br />
réglages et saisir un identifiant <strong>App<strong>le</strong></strong> personnel<br />
(<strong>le</strong> cas échéant).<br />
••<br />
S’inscrire à la solution MDM.<br />
Distribution d’apps et de livres<br />
Administrateur :<br />
••<br />
Acheter des apps et des livres dans <strong>le</strong> cadre du<br />
programme d’achat en volume et <strong>le</strong>s attribuer aux<br />
utilisateurs grâce à la solution MDM.<br />
••<br />
Envoyer des invitations au programme VPP<br />
aux utilisateurs.<br />
••<br />
Instal<strong>le</strong>r Caching Server <strong>pour</strong> accélérer la livraison<br />
du contenu sur <strong>le</strong> réseau local.<br />
Utilisateurs :<br />
••<br />
Accepter l’invitation au programme VPP.<br />
••<br />
Télécharger et instal<strong>le</strong>r <strong>le</strong>s apps et <strong>le</strong>s livres attribués<br />
par l’institution.<br />
••<br />
Mettre à jour <strong>iOS</strong> et <strong>le</strong>s apps sur <strong>le</strong>ur appareil <strong>iOS</strong>.<br />
Gestion suivie<br />
Administrateur :<br />
••<br />
Révoquer et réattribuer <strong>le</strong>s apps aux utilisateurs<br />
selon <strong>le</strong>s besoins avec la solution MDM.<br />
••<br />
Avec la solution MDM, <strong>le</strong>s administrateurs peuvent<br />
envoyer des requêtes aux appareils <strong>iOS</strong> gérés <strong>pour</strong><br />
vérifier <strong>le</strong>ur conformité ou envoyer des a<strong>le</strong>rtes si<br />
<strong>le</strong>s utilisateurs ajoutent des contenus ou des apps<br />
non approuvés.<br />
••<br />
La solution MDM peut éga<strong>le</strong>ment verrouil<strong>le</strong>r des<br />
appareils <strong>iOS</strong> ou effacer à distance tout compte ou<br />
toutes données gérées, ou encore effacer toutes <strong>le</strong>s<br />
données d’un appareil <strong>iOS</strong>.<br />
Utilisateurs :<br />
••<br />
Sauvegarder <strong>le</strong> contenu de l’appareil sur iTunes<br />
ou iCloud, afin d’enregistrer <strong>le</strong>s documents et tout<br />
autre contenu personnel.<br />
••<br />
Si l’appareil <strong>iOS</strong> est perdu ou volé, l’utilisateur peut<br />
<strong>le</strong> localiser avec Localiser mon iPhone.<br />
••<br />
Lorsque l’inscription à la solution MDM est interrompue,<br />
<strong>le</strong>s comptes et <strong>le</strong>s données gérés sont supprimés,<br />
mais <strong>le</strong>s apps, <strong>le</strong>s livres, <strong>le</strong>s données et <strong>le</strong><br />
contenu personnels de l’utilisateur sont conservés.<br />
Remarque : Les livres VPP sont attribués définitivement.<br />
Ils ne peuvent pas être révoqués.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 12
Ressources supplémentaires<br />
••<br />
Vue d’ensemb<strong>le</strong> du programme d’achat en volume<br />
••<br />
Vue d’ensemb<strong>le</strong> de la gestion des appareils mobi<strong>le</strong>s<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong><br />
••<br />
Caching Server<br />
Appareils partagés<br />
Avec un dé<strong>ploiement</strong> d’appareils partagés, <strong>le</strong>s appareils <strong>iOS</strong> sont achetés dans <strong>le</strong> but d’être utilisés<br />
en sal<strong>le</strong> de classe ou en laboratoire, et peuvent être partagés entre <strong>le</strong>s élèves pendant la journée.<br />
Ces appareils ont des capacités de personnalisation limitées, et ne sont donc pas adaptés<br />
à une utilisation dans <strong>le</strong> cadre d’un environnement d’apprentissage personnalisé <strong>pour</strong> chaque<br />
élève. En plus d’appareils partagés suivant <strong>le</strong> même modè<strong>le</strong>, cette approche peut être utilisée<br />
<strong>pour</strong> un dé<strong>ploiement</strong> individuel dans un contexte hautement contrôlé, tel qu’un dé<strong>ploiement</strong><br />
<strong>pour</strong> <strong>le</strong>s premiers niveaux éducatifs. Dans ce cas, <strong>le</strong>s appareils sont très peu personnalisab<strong>le</strong>s.<br />
Les dé<strong>ploiement</strong>s d’appareils partagés sont plus gérés que <strong>le</strong>s dé<strong>ploiement</strong>s personnalisés,<br />
car <strong>le</strong>s réglages, la configuration et la gestion sont effectués par <strong>le</strong> personnel de l’institution.<br />
Avec un modè<strong>le</strong> de dé<strong>ploiement</strong> d’appareils partagés, l’institution est responsab<strong>le</strong> de l’installation<br />
des apps, livres et autres contenus nécessaires au cursus.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 13
Le tab<strong>le</strong>au suivant illustre <strong>le</strong>s responsabilités de l’administrateur et de l’utilisateur, dans <strong>le</strong> cadre<br />
d’un dé<strong>ploiement</strong> d’appareils partagés :<br />
Préparation<br />
Administrateur :<br />
••<br />
Étudier <strong>le</strong>s différentes options, se procurer et<br />
déployer une solution MDM.<br />
••<br />
Gérer l’inscription au VPP.<br />
••<br />
Débal<strong>le</strong>r et (éventuel<strong>le</strong>ment) attribuer des<br />
ressources à l’appareil <strong>iOS</strong>.<br />
••<br />
Créer un identifiant <strong>App<strong>le</strong></strong> par instance<br />
d’<strong>App<strong>le</strong></strong> Configurator.<br />
Utilisateurs :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Instal<strong>le</strong>r et configurer<br />
Administrateur :<br />
••<br />
Utiliser <strong>App<strong>le</strong></strong> Configurator <strong>pour</strong> configurer et<br />
superviser <strong>le</strong>s appareils.<br />
••<br />
Utiliser <strong>App<strong>le</strong></strong> Configurator <strong>pour</strong> inscrire <strong>le</strong>s appareils<br />
à la solution MDM (facultatif).<br />
••<br />
Utiliser <strong>App<strong>le</strong></strong> Configurator ou la solution MDM<br />
<strong>pour</strong> instal<strong>le</strong>r <strong>le</strong>s comptes, <strong>le</strong>s réglages et<br />
<strong>le</strong>s restrictions.<br />
Utilisateurs :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Distribution des apps<br />
Administrateur :<br />
••<br />
Acheter des apps par l’intermédiaire du programme<br />
VPP, et <strong>le</strong>s déployer à l’aide de codes<br />
d’échange <strong>pour</strong> permettre une installation et une<br />
gestion par <strong>App<strong>le</strong></strong> Configurator.<br />
Utilisateurs :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Gestion suivie<br />
Administrateur :<br />
••<br />
Mettre à jour <strong>iOS</strong> sur l’appareil avec<br />
<strong>App<strong>le</strong></strong> Configurator.<br />
••<br />
Mettre à jour, configurer et instal<strong>le</strong>r <strong>le</strong>s comptes,<br />
<strong>le</strong>s réglages et <strong>le</strong>s restrictions sans fil avec<br />
<strong>App<strong>le</strong></strong> Configurator ou la solution MDM.<br />
••<br />
Réinitialiser régulièrement <strong>le</strong>s appareils avec <strong>le</strong>ur<br />
configuration standard avec <strong>App<strong>le</strong></strong> Configurator.<br />
••<br />
Instal<strong>le</strong>r et mettre à jour <strong>le</strong>s apps sur l’appareil <strong>iOS</strong><br />
avec <strong>App<strong>le</strong></strong> Configurator.<br />
••<br />
Avec la solution MDM, vous pouvez envoyer des<br />
requêtes aux appareils <strong>iOS</strong> gérés <strong>pour</strong> vérifier <strong>le</strong>ur<br />
conformité ou envoyer des a<strong>le</strong>rtes si <strong>le</strong>s utilisateurs<br />
ajoutent des contenus ou des apps non approuvés.<br />
••<br />
La solution MDM peut éga<strong>le</strong>ment verrouil<strong>le</strong>r des<br />
appareils <strong>iOS</strong> ou effacer à distance tout compte ou<br />
toutes données gérées, ou encore effacer toutes <strong>le</strong>s<br />
données d’un appareil <strong>iOS</strong>.<br />
••<br />
Une sauvegarde régulière du Mac exécutant<br />
<strong>App<strong>le</strong></strong> Configurator est nécessaire, car <strong>le</strong>s achats<br />
effectués dans <strong>le</strong> cadre du programme VPP sont<br />
gérés de manière loca<strong>le</strong>.<br />
Utilisateurs :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 14
Ressources supplémentaires<br />
••<br />
Vue d’ensemb<strong>le</strong> du programme d’achat en volume<br />
••<br />
Vue d’ensemb<strong>le</strong> de la gestion des appareils mobi<strong>le</strong>s<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong><br />
••<br />
<strong>App<strong>le</strong></strong> Configurator<br />
Modè<strong>le</strong>s de dé<strong>ploiement</strong> en entreprise<br />
Vue d’ensemb<strong>le</strong><br />
Les appareils <strong>iOS</strong> peuvent transformer votre activité. Ils peuvent développer la productivité de<br />
manière significative et offrir aux employés la liberté et la f<strong>le</strong>xibilité d’explorer de nouveaux<br />
modes de travail, au bureau comme en déplacement.<br />
L’adoption de cette nouvel<strong>le</strong> manière de travail<strong>le</strong>r offre des avantages <strong>pour</strong> toute l’organisation.<br />
Les utilisateurs bénéficient d’un meil<strong>le</strong>ur accès aux informations, se sentent donc investis<br />
et résolvent <strong>le</strong>s problèmes de manière créative. En prenant en charge <strong>iOS</strong>, <strong>le</strong>s départements<br />
informatiques renvoient une image de refonte de la stratégie et de résolution de problèmes<br />
concrets, plutôt que de réparation des technologies et de réduction des coûts. Tout <strong>le</strong> monde<br />
en bénéficie : <strong>le</strong>s employés sont redynamisés et de nouvel<strong>le</strong>s opportunités surgissent dans tous<br />
<strong>le</strong>s domaines.<br />
Que votre organisation soit de petite ou grande tail<strong>le</strong>, il existe de nombreuses façons de<br />
déployer et gérer faci<strong>le</strong>ment du contenu et des appareils <strong>iOS</strong>.<br />
Commencez par identifier <strong>le</strong>s modè<strong>le</strong>s de dé<strong>ploiement</strong> <strong>le</strong>s mieux adaptés à votre organisation.<br />
<strong>App<strong>le</strong></strong> propose différents outils de gestion de dé<strong>ploiement</strong> en fonction du modè<strong>le</strong> choisi.<br />
Modè<strong>le</strong>s de dé<strong>ploiement</strong><br />
Dans <strong>le</strong>s entreprises, on distingue en règ<strong>le</strong> généra<strong>le</strong> trois modè<strong>le</strong>s de dé<strong>ploiement</strong> courants <strong>pour</strong><br />
<strong>le</strong>s appareils <strong>iOS</strong> :<br />
••<br />
Personnalisé (appareils appartenant aux utilisateurs)<br />
••<br />
Personnalisé (appareils appartenant à l’entreprise)<br />
••<br />
Non personnalisé (appareils partagés)<br />
Bien que chaque organisation ait un modè<strong>le</strong> de prédi<strong>le</strong>ction, il est possib<strong>le</strong> de rencontrer<br />
plusieurs modè<strong>le</strong>s au sein d’une institution.<br />
Par exemp<strong>le</strong>, une organisation commercia<strong>le</strong> peut déployer un modè<strong>le</strong> Personnalisé (appareils<br />
appartenant aux utilisateurs) en permettant aux employés de configurer <strong>le</strong>ur propre iPad, tout<br />
en conservant <strong>le</strong>s ressources de l’entreprise bien distinctes des données et apps personnel<strong>le</strong>s de<br />
l’utilisateur. Cependant, cette entreprise peut éga<strong>le</strong>ment déployer en magasin un modè<strong>le</strong> Non<br />
personnalisé (appareils partagés), permettant l’utilisation d’iPod touch partagés entre plusieurs<br />
employés <strong>pour</strong> traiter <strong>le</strong>s transactions des clients.<br />
L’étude plus approfondie de ces modè<strong>le</strong>s vous aidera à identifier celui qui conviendra <strong>le</strong> mieux à<br />
votre environnement unique.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 15
Personnalisé (appareils appartenant aux utilisateurs)<br />
Si <strong>le</strong>s employés utilisent <strong>le</strong>ur propre appareil <strong>iOS</strong>, ils doivent <strong>le</strong> configurer avec <strong>le</strong>ur propre identifiant<br />
<strong>App<strong>le</strong></strong>. Pour accéder aux ressources de l’entreprise, <strong>le</strong>s utilisateurs peuvent configurer <strong>le</strong>s<br />
réglages manuel<strong>le</strong>ment, instal<strong>le</strong>r un profil de configuration, ou dans la plupart des cas inscrire<br />
<strong>le</strong>ur appareil <strong>iOS</strong> auprès de la solution MDM de votre organisation.<br />
Un des avantages de l’utilisation d’une solution MDM <strong>pour</strong> inscrire <strong>le</strong>s appareils <strong>iOS</strong> personnels<br />
est que cela permet de séparer de manière distincte <strong>le</strong>s ressources de l’entreprise des données<br />
et apps personnel<strong>le</strong>s de l’utilisateur. Vous pouvez vérifier l’application des réglages, contrô<strong>le</strong>r <strong>le</strong><br />
respect des règ<strong>le</strong>s de l’entreprise et supprimer <strong>le</strong>s données et apps de l’entreprise, sans toucher<br />
aux données et apps personnel<strong>le</strong>s de chaque appareil <strong>iOS</strong>.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 16
Le tab<strong>le</strong>au suivant illustre <strong>le</strong>s responsabilités de l’administrateur et de l’utilisateur, dans <strong>le</strong> cadre<br />
d’un dé<strong>ploiement</strong> personnalisé (appareils appartenant aux utilisateurs) :<br />
Préparation<br />
Administrateur :<br />
••<br />
Évaluer l’infrastructure existante, y compris <strong>le</strong><br />
Wi-Fi, <strong>le</strong> VPN et <strong>le</strong>s serveurs de messagerie et<br />
de ca<strong>le</strong>ndrier.<br />
••<br />
Étudier <strong>le</strong>s différentes options, se procurer et<br />
déployer une solution MDM.<br />
••<br />
Gérer l’inscription au VPP.<br />
Utilisateurs :<br />
••<br />
Débal<strong>le</strong>r et activer l’appareil <strong>iOS</strong>.<br />
••<br />
Créer un identifiant <strong>App<strong>le</strong></strong>, ainsi que des comptes<br />
iTunes Store et iCloud, <strong>le</strong> cas échéant.<br />
Instal<strong>le</strong>r et configurer<br />
Administrateur :<br />
••<br />
Les organisations peuvent fournir aux utilisateurs<br />
des réglages <strong>pour</strong> <strong>le</strong>s comptes individuels, et<br />
<strong>le</strong>s règ<strong>le</strong>s peuvent être transmises par l’intermédiaire<br />
d’Exchange ou installées à l’aide d’un profil<br />
de configuration.<br />
Utilisateurs :<br />
••<br />
Inscrire <strong>le</strong>s appareils <strong>iOS</strong> en libre-service, et configurer<br />
<strong>le</strong>s comptes, <strong>le</strong>s réglages et <strong>le</strong>s restrictions sans<br />
fil à l’aide d’une solution MDM basée sur <strong>le</strong>s règ<strong>le</strong>s<br />
de groupe/d’utilisateur définies par l’organisation.<br />
••<br />
Les réglages et <strong>le</strong>s configurations de l’appareil<br />
<strong>iOS</strong> sont automatiquement reçus grâce à la<br />
solution MDM.<br />
••<br />
Les utilisateurs peuvent éga<strong>le</strong>ment instal<strong>le</strong>r <strong>le</strong>s profils<br />
de configuration manuel<strong>le</strong>ment ou configurer<br />
<strong>le</strong>s réglages que vous fournissez.<br />
Distribution d’apps et de livres<br />
Administrateur :<br />
••<br />
Acheter des apps et des livres dans <strong>le</strong> cadre du<br />
programme d’achat en volume et <strong>le</strong>s attribuer aux<br />
utilisateurs grâce à la solution MDM.<br />
••<br />
Envoyer des invitations au programme VPP<br />
aux utilisateurs.<br />
••<br />
Distribuer des apps internes provenant du <strong>iOS</strong><br />
Developer Enterprise Program (iDEP) et des livres<br />
internes en <strong>le</strong>s hébergeant sur un serveur web ou<br />
par l’intermédiaire de votre solution MDM.<br />
••<br />
Instal<strong>le</strong>r Caching Server <strong>pour</strong> accélérer la livraison<br />
du contenu sur <strong>le</strong> réseau local.<br />
Utilisateurs :<br />
••<br />
Accepter l’invitation au programme VPP.<br />
••<br />
Télécharger et instal<strong>le</strong>r <strong>le</strong>s apps et <strong>le</strong>s livres attribués<br />
par l’organisation.<br />
Gestion suivie<br />
Administrateur :<br />
••<br />
Révoquer et réattribuer <strong>le</strong>s apps aux utilisateurs<br />
selon <strong>le</strong>s besoins avec la solution MDM.<br />
••<br />
Avec la solution MDM, vous pouvez envoyer des<br />
requêtes aux appareils <strong>iOS</strong> gérés <strong>pour</strong> vérifier <strong>le</strong>ur<br />
conformité ou envoyer des a<strong>le</strong>rtes si <strong>le</strong>s utilisateurs<br />
ajoutent des contenus ou des apps non approuvés.<br />
••<br />
La solution MDM peut éga<strong>le</strong>ment verrouil<strong>le</strong>r des<br />
appareils <strong>iOS</strong> ou effacer à distance tout compte ou<br />
toutes données gérées, ou encore effacer toutes <strong>le</strong>s<br />
données d’un appareil <strong>iOS</strong>.<br />
Utilisateurs :<br />
••<br />
Sauvegarder <strong>le</strong> contenu de l’appareil <strong>iOS</strong> sur iTunes<br />
ou iCloud, afin d’enregistrer <strong>le</strong>s documents et tout<br />
autre contenu personnel.<br />
••<br />
Si l’appareil est perdu ou volé, l’utilisateur peut <strong>le</strong><br />
localiser avec Localiser mon iPhone.<br />
••<br />
Lorsque l’inscription à la solution MDM est interrompue,<br />
<strong>le</strong>s comptes et <strong>le</strong>s données gérés sont supprimés,<br />
mais <strong>le</strong>s apps, <strong>le</strong>s livres, <strong>le</strong>s données et <strong>le</strong><br />
contenu personnels de l’utilisateur sont conservés.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 17
Ressources supplémentaires<br />
••<br />
Vue d’ensemb<strong>le</strong> du programme d’achat en volume<br />
••<br />
Vue d’ensemb<strong>le</strong> de la gestion des appareils mobi<strong>le</strong>s<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong><br />
••<br />
Caching Server<br />
Personnalisé (appareils appartenant à l’entreprise)<br />
Vous pouvez utiliser <strong>le</strong> modè<strong>le</strong> Personnalisé (appareils appartenant à l’entreprise) <strong>pour</strong> déployer<br />
des appareils <strong>iOS</strong> appartenant à votre organisation. Vous pouvez configurer <strong>le</strong>s appareils <strong>iOS</strong> avec<br />
des réglages de base avant de <strong>le</strong>s donner aux utilisateurs, ou (comme <strong>pour</strong> <strong>le</strong>s dé<strong>ploiement</strong>s<br />
dans <strong>le</strong>squels <strong>le</strong>s utilisateurs utilisent <strong>le</strong>ur propre appareil) fournir des instructions ou des profils<br />
de configuration que <strong>le</strong>s utilisateurs doivent appliquer eux-mêmes.<br />
Vous pouvez éga<strong>le</strong>ment demander aux utilisateurs d’inscrire <strong>le</strong>urs appareils <strong>iOS</strong> auprès d’une<br />
solution MDM qui fournit des réglages et des apps sans fil. Les utilisateurs peuvent ensuite<br />
personnaliser <strong>le</strong>urs appareils <strong>iOS</strong> avec <strong>le</strong>urs propres apps et données, qui restent distinctes des<br />
apps et données gérées de l’organisation. Si <strong>le</strong>s appareils <strong>iOS</strong> sont achetés directement auprès<br />
d’<strong>App<strong>le</strong></strong> ou auprès de revendeurs agréés <strong>App<strong>le</strong></strong> ou d’opérateurs participants, votre organisation<br />
peut utiliser <strong>le</strong> Programme d’inscription d’appareil (DEP) <strong>pour</strong> automatiser l’inscription auprès<br />
de la solution MDM, afin que <strong>le</strong>s appareils <strong>iOS</strong> puissent être livrés chez <strong>le</strong>s utilisateurs et activés<br />
à distance.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 18
Le tab<strong>le</strong>au suivant illustre <strong>le</strong>s responsabilités de l’administrateur et de l’utilisateur, dans <strong>le</strong> cadre<br />
d’un dé<strong>ploiement</strong> personnalisé (appareils appartenant à l’entreprise) :<br />
Préparation<br />
Administrateur :<br />
••<br />
Évaluer l’infrastructure existante, y compris <strong>le</strong><br />
Wi-Fi, <strong>le</strong> VPN et <strong>le</strong>s serveurs de messagerie et<br />
de ca<strong>le</strong>ndrier.<br />
••<br />
Étudier <strong>le</strong>s différentes options, se procurer et<br />
déployer une solution MDM.<br />
••<br />
Gérer l’inscription au programme d’inscription<br />
d’appareil (DEP) et au programme d’achat en<br />
volume (VPP).<br />
Utilisateurs :<br />
••<br />
Créer un identifiant <strong>App<strong>le</strong></strong>, ainsi que des comptes<br />
iTunes Store et iCloud, <strong>le</strong> cas échéant.<br />
Instal<strong>le</strong>r et configurer<br />
Administrateur :<br />
••<br />
Sur <strong>le</strong> site web du programme d’inscription d’appareil,<br />
lier <strong>le</strong>s serveurs virtuels de l’entreprise à la<br />
solution MDM.<br />
••<br />
Simplifier l’inscription par l’intermédiaire du programme<br />
d’inscription d’appareil en attribuant<br />
des appareils <strong>iOS</strong> à vos serveurs MDM virtuels par<br />
numéro de commande ou numéro de série.<br />
••<br />
Attribuer <strong>le</strong>s appareils <strong>iOS</strong> par l’intermédiaire du<br />
DEP à des fins de supervision et d’inscription simplifiée<br />
avec la solution MDM.<br />
••<br />
Utiliser <strong>App<strong>le</strong></strong> Configurator <strong>pour</strong> configurer et<br />
superviser l’appareil <strong>iOS</strong> (alternative au point<br />
ci-dessus).<br />
••<br />
Configurer et instal<strong>le</strong>r <strong>le</strong>s comptes, <strong>le</strong>s réglages et<br />
<strong>le</strong>s restrictions sans fil avec la solution MDM ou à<br />
l’aide d’une clé USB avec <strong>App<strong>le</strong></strong> Configurator.<br />
Utilisateurs :<br />
••<br />
Recevoir l’appareil <strong>iOS</strong>. Si l’entreprise a utilisé<br />
<strong>App<strong>le</strong></strong> Configurator <strong>pour</strong> configurer l’appareil,<br />
aucune configuration supplémentaire n’est requise<br />
de la part de l’utilisateur.<br />
••<br />
Saisir <strong>le</strong>s informations de l’organisation dans<br />
Assistant réglages <strong>pour</strong> <strong>le</strong> DEP (facultatif).<br />
••<br />
Personnaliser l’appareil <strong>iOS</strong> avec Assistant réglages<br />
et saisir un identifiant <strong>App<strong>le</strong></strong> personnel.<br />
••<br />
S’inscrire à la solution MDM.<br />
••<br />
Les réglages et <strong>le</strong>s configurations de l’appareil<br />
<strong>iOS</strong> sont automatiquement reçus grâce à la<br />
solution MDM.<br />
Distribution d’apps et de livres<br />
Administrateur :<br />
••<br />
Télécharger votre jeton sur <strong>le</strong> store VPP et <strong>le</strong> lier à<br />
la solution MDM.<br />
••<br />
Acheter des apps et des livres dans <strong>le</strong> cadre du<br />
programme d’achat en volume et <strong>le</strong>s attribuer aux<br />
utilisateurs grâce à la solution MDM.<br />
••<br />
Envoyer des invitations au programme VPP<br />
aux utilisateurs.<br />
••<br />
Distribuer des apps internes provenant du <strong>iOS</strong><br />
Developer Enterprise Program (iDEP) et des livres<br />
internes en <strong>le</strong>s hébergeant sur un serveur web ou<br />
par l’intermédiaire de votre solution MDM.<br />
••<br />
Instal<strong>le</strong>r Caching Server <strong>pour</strong> accélérer la livraison<br />
du contenu sur <strong>le</strong> réseau local.<br />
Utilisateurs :<br />
••<br />
Accepter l’invitation au programme VPP.<br />
••<br />
Télécharger et instal<strong>le</strong>r <strong>le</strong>s apps et <strong>le</strong>s livres attribués<br />
par l’organisation.<br />
••<br />
Si l’appareil <strong>iOS</strong> est supervisé, <strong>le</strong>s apps peuvent être<br />
installées sur l’appareil si<strong>le</strong>ncieusement.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 19
Gestion suivie<br />
Administrateur :<br />
••<br />
Révoquer et réattribuer <strong>le</strong>s apps aux utilisateurs<br />
selon <strong>le</strong>s besoins avec la solution MDM.<br />
••<br />
Avec la solution MDM, vous pouvez envoyer des<br />
requêtes aux appareils <strong>iOS</strong> gérés <strong>pour</strong> vérifier <strong>le</strong>ur<br />
conformité ou envoyer des a<strong>le</strong>rtes si <strong>le</strong>s utilisateurs<br />
ajoutent des contenus ou des apps non approuvés.<br />
••<br />
La solution MDM peut éga<strong>le</strong>ment verrouil<strong>le</strong>r des<br />
appareils <strong>iOS</strong> ou effacer à distance tout compte ou<br />
toutes données gérées, ou encore effacer toutes <strong>le</strong>s<br />
données d’un appareil <strong>iOS</strong>.<br />
Utilisateurs :<br />
••<br />
Sauvegarder <strong>le</strong> contenu de l’appareil <strong>iOS</strong> sur iTunes<br />
ou iCloud, afin d’enregistrer <strong>le</strong>s documents et tout<br />
autre contenu personnel.<br />
••<br />
Si l’appareil est perdu ou volé, l’utilisateur peut <strong>le</strong><br />
localiser avec Localiser mon iPhone.<br />
Ressources supplémentaires<br />
••<br />
Vue d’ensemb<strong>le</strong> du programme d’achat en volume<br />
••<br />
Vue d’ensemb<strong>le</strong> de la gestion des appareils mobi<strong>le</strong>s<br />
••<br />
Programme d’inscription d’appareil<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong><br />
••<br />
Caching Server<br />
••<br />
<strong>App<strong>le</strong></strong> Configurator<br />
Non personnalisé (appareils partagés)<br />
Si <strong>le</strong>s appareils <strong>iOS</strong> sont partagés par plusieurs personnes ou utilisés <strong>pour</strong> une fonction unique<br />
(comme dans un restaurant ou un hôtel), ils sont généra<strong>le</strong>ment configurés et gérés par l’entreprise<br />
plutôt que par un utilisateur. Avec un dé<strong>ploiement</strong> d’appareils non personnalisé, <strong>le</strong>s utilisateurs<br />
ne stockent généra<strong>le</strong>ment pas de données personnel<strong>le</strong>s et ne peuvent pas instal<strong>le</strong>r d’apps.<br />
Les appareils non personnalisés sont généra<strong>le</strong>ment supervisés avec <strong>App<strong>le</strong></strong> Configurator et inscrits<br />
auprès d’une solution MDM. Cela permet d’actualiser ou de restaurer <strong>le</strong> contenu de l’appareil en<br />
cas de modification par un utilisateur.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 20
Le tab<strong>le</strong>au suivant illustre <strong>le</strong>s responsabilités de l’administrateur et de l’utilisateur, dans <strong>le</strong> cadre<br />
d’un dé<strong>ploiement</strong> non personnalisé (appareils partagés) :<br />
Préparation<br />
Administrateur :<br />
••<br />
Évaluer l’infrastructure existante, y compris <strong>le</strong><br />
Wi-Fi, <strong>le</strong> VPN et <strong>le</strong>s serveurs de messagerie et<br />
de ca<strong>le</strong>ndrier.<br />
••<br />
Étudier <strong>le</strong>s différentes options, se procurer et<br />
déployer une solution MDM.<br />
••<br />
Gérer l’inscription au Programme d’achat en<br />
volume (VPP).<br />
Utilisateurs :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Instal<strong>le</strong>r et configurer<br />
Administrateur :<br />
••<br />
Débal<strong>le</strong>r et (éventuel<strong>le</strong>ment) attribuer des<br />
ressources à l’appareil <strong>iOS</strong>.<br />
••<br />
Utiliser <strong>App<strong>le</strong></strong> Configurator <strong>pour</strong> configurer et<br />
superviser <strong>le</strong>s appareils.<br />
••<br />
Utiliser <strong>App<strong>le</strong></strong> Configurator <strong>pour</strong> inscrire <strong>le</strong>s<br />
appareils à la solution MDM (facultatif).<br />
••<br />
Utiliser <strong>App<strong>le</strong></strong> Configurator ou la solution MDM<br />
<strong>pour</strong> instal<strong>le</strong>r <strong>le</strong>s comptes, <strong>le</strong>s réglages et<br />
<strong>le</strong>s restrictions.<br />
Utilisateurs :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Distribution des apps<br />
Administrateur :<br />
••<br />
Acheter des apps par l’intermédiaire du programme<br />
VPP, et <strong>le</strong>s déployer à l’aide d’<strong>App<strong>le</strong></strong> Configurator.<br />
••<br />
Distribuer des apps internes du programme <strong>iOS</strong><br />
Developer Enterprise Program (iDEP) à l’aide<br />
d’<strong>App<strong>le</strong></strong> Configurator.<br />
••<br />
Distribuer des livres internes en <strong>le</strong>s hébergeant sur<br />
un serveur web ou avec votre solution MDM.<br />
Utilisateurs :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Gestion suivie<br />
Administrateur :<br />
••<br />
Mettre à jour <strong>iOS</strong> sur l’appareil avec<br />
<strong>App<strong>le</strong></strong> Configurator.<br />
••<br />
Mettre à jour, configurer et instal<strong>le</strong>r <strong>le</strong>s comptes,<br />
<strong>le</strong>s réglages et <strong>le</strong>s restrictions sans fil avec<br />
<strong>App<strong>le</strong></strong> Configurator ou la solution MDM.<br />
••<br />
Réinitialiser régulièrement <strong>le</strong>s appareils avec <strong>le</strong>ur<br />
configuration standard avec <strong>App<strong>le</strong></strong> Configurator.<br />
••<br />
Instal<strong>le</strong>r et mettre à jour <strong>le</strong>s apps sur l’appareil avec<br />
<strong>App<strong>le</strong></strong> Configurator.<br />
••<br />
Avec la solution MDM, vous pouvez envoyer des<br />
requêtes aux appareils <strong>iOS</strong> gérés <strong>pour</strong> vérifier <strong>le</strong>ur<br />
conformité ou envoyer des a<strong>le</strong>rtes si <strong>le</strong>s utilisateurs<br />
ajoutent des contenus ou des apps non approuvés.<br />
••<br />
La solution MDM peut éga<strong>le</strong>ment verrouil<strong>le</strong>r des<br />
appareils <strong>iOS</strong> ou effacer à distance tout compte ou<br />
toutes données gérées, ou encore effacer toutes <strong>le</strong>s<br />
données d’un appareil <strong>iOS</strong>.<br />
Utilisateurs :<br />
••<br />
Aucune action nécessaire à ce stade.<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 21
Ressources supplémentaires<br />
••<br />
Vue d’ensemb<strong>le</strong> du programme d’achat en volume<br />
••<br />
Vue d’ensemb<strong>le</strong> de la gestion des appareils mobi<strong>le</strong>s<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong><br />
••<br />
<strong>App<strong>le</strong></strong> Configurator<br />
Chapitre 2 Modè<strong>le</strong>s de dé<strong>ploiement</strong> 22
Wi-Fi<br />
3<br />
Vue d’ensemb<strong>le</strong><br />
Lors de la préparation de l’infrastructure Wi-Fi <strong>pour</strong> un dé<strong>ploiement</strong> d’appareils <strong>App<strong>le</strong></strong>, plusieurs<br />
facteurs doivent être pris en compte :<br />
••<br />
Débit du Wi-Fi<br />
••<br />
Seuil de déc<strong>le</strong>nchement du Wi-Fi<br />
••<br />
Zone de couverture souhaitée<br />
••<br />
Nombre et densité d’appareils exploitant <strong>le</strong> réseau Wi-Fi<br />
••<br />
Types d’appareils <strong>App<strong>le</strong></strong> et <strong>le</strong>urs fonctionnalités Wi-Fi<br />
••<br />
Type et quantité de données transmises<br />
••<br />
Mesures de sécurité <strong>pour</strong> accéder au réseau sans fil<br />
••<br />
Exigences de chiffrement<br />
Bien que cette liste ne soit pas exhaustive, el<strong>le</strong> inclut <strong>le</strong>s principaux critères de conception de<br />
réseaux Wi-Fi.<br />
Remarque : Cette section est focalisée sur la conception des réseaux Wi-Fi en Amérique du Nord.<br />
Certains aspects ne sont pas forcément applicab<strong>le</strong>s à d’autres pays.<br />
Débit du Wi-Fi<br />
Lors de la planification du dé<strong>ploiement</strong> d’appareils <strong>iOS</strong> dans votre organisation, assurez-vous que<br />
votre réseau Wi-Fi et l’infrastructure sous-jacente sont solides et à jour. Un accès régulier et fiab<strong>le</strong><br />
à un réseau solide est indispensab<strong>le</strong> <strong>pour</strong> <strong>le</strong>s réglages et la configuration d’appareils <strong>iOS</strong>. De plus,<br />
<strong>le</strong> fait de pouvoir prendre en charge plusieurs appareils <strong>iOS</strong> connectés en même temps par vos<br />
employés, élèves ou professeurs est important <strong>pour</strong> la réussite de votre programme.<br />
Important : Votre utilisateur et son appareil <strong>iOS</strong> doivent avoir accès à votre réseau sans fil et<br />
aux services Internet <strong>pour</strong> définir <strong>le</strong>s réglages et <strong>pour</strong> la configuration. Il se peut que vous ayez<br />
besoin de configurer votre proxy web ou vos ports pare-feu afin qu’ils autorisent <strong>le</strong> trafic réseau<br />
de l’appareil vers <strong>le</strong> réseau <strong>App<strong>le</strong></strong> (17.0.0.0/8) si <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> ne peuvent pas accéder aux<br />
serveurs d’activation <strong>App<strong>le</strong></strong>, à iCloud ou à l’iTunes Store. Pour obtenir la liste des ports utilisés par<br />
<strong>le</strong>s appareils <strong>App<strong>le</strong></strong>, consultez l’artic<strong>le</strong> TCP and UDP ports used by <strong>App<strong>le</strong></strong> software products (Ports<br />
TCP et UDP utilisés par <strong>le</strong>s produits logiciels <strong>App<strong>le</strong></strong>) de l’assistance <strong>App<strong>le</strong></strong>.<br />
23
Se connecter aux réseaux Wi-Fi<br />
Les utilisateurs peuvent configurer <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> <strong>pour</strong> qu’ils se connectent automatiquement<br />
aux réseaux Wi-Fi disponib<strong>le</strong>s. Les réseaux Wi-Fi qui nécessitent une identification ou d’autres<br />
informations peuvent être rapidement accessib<strong>le</strong>s sans ouvrir de session de navigation distincte,<br />
à partir des réglages Wi-Fi ou au sein d’apps comme Mail. Une connectivité Wi-Fi permanente<br />
à faib<strong>le</strong> consommation permet aux apps d’utiliser <strong>le</strong>s réseaux Wi-Fi <strong>pour</strong> distribuer des notifications<br />
push. Vous pouvez configurer <strong>le</strong>s réglages de réseau sans fil, de sécurité, de proxy et<br />
d’authentification avec des profils de configuration ou une solution de gestion des appareils<br />
mobi<strong>le</strong>s (MDM).<br />
Pour savoir comment <strong>iOS</strong> décide à quel réseau sans fil se connecter, consultez l’artic<strong>le</strong><br />
Connexion automatique des appareils <strong>iOS</strong> aux réseaux sans fil de l’assistance <strong>App<strong>le</strong></strong>.<br />
WPA2 Entreprise<br />
Les appareils <strong>App<strong>le</strong></strong> prennent en charge <strong>le</strong>s protoco<strong>le</strong>s réseau sans fil standard comme<br />
WPA2 Entreprise, garantissant un accès sécurisé aux réseaux sans fil d’entreprise. WPA2 Enterprise<br />
utilise un chiffrement AES 128 bits, ce qui garantit que <strong>le</strong>s données des utilisateurs sont protégées.<br />
Avec la prise en charge de l’authentification 802.1x, <strong>le</strong>s appareils <strong>iOS</strong> peuvent être intégrés à une<br />
grande variété d’environnements d’authentification RADIUS. Les protoco<strong>le</strong>s d’authentification<br />
sans fil 802.1x, tels que EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, IKEv2, PEAPv0, PEAPv1 et LEAP.ara,<br />
sont pris en charge par <strong>iOS</strong>.<br />
Itinérance<br />
Pour l’itinérance sur <strong>le</strong>s vastes réseaux Wi-Fi d’entreprise, <strong>iOS</strong> prend en charge <strong>le</strong>s normes 802.11k<br />
et 802.11r.<br />
Le seuil de déc<strong>le</strong>nchement est <strong>le</strong> niveau de signal minimum requis par un client <strong>pour</strong> maintenir<br />
la connexion actuel<strong>le</strong>.<br />
Les appareils <strong>iOS</strong> surveil<strong>le</strong>nt et maintiennent la connexion actuel<strong>le</strong> du BSSID (Basic Server Set<br />
Identifier, ou Identifiant d’ensemb<strong>le</strong> de services de base) jusqu’à ce que <strong>le</strong> RSSI (Received Signal<br />
Strength Indication, ou Indication de la force du signal reçu) passe en dessous du seuil de -70 dBm.<br />
Une fois ce seuil franchi, <strong>iOS</strong> se met à la recherche de candidats BSSID <strong>pour</strong> l’itinérance dans<br />
l’ESSID (Extended Service Set Identifier, ou Identifiant d’ensemb<strong>le</strong> de services étendus) actuel.<br />
Il est important de prendre en compte ces données lors de la conception de cellu<strong>le</strong>s sans fil et<br />
de la prévision de la superposition de <strong>le</strong>urs signaux. Par exemp<strong>le</strong>, si des cellu<strong>le</strong>s de 5 GHz sont<br />
conçues avec une superposition de -67 dBm :<br />
••<br />
L’appareil <strong>iOS</strong> utilise -70 dBm comme seuil de déc<strong>le</strong>nchement et restera ainsi connecté au<br />
BSSID actuel plus longtemps que prévu.<br />
••<br />
Considérez la façon dont la superposition des cellu<strong>le</strong>s a été mesurée. Les antennes d’un ordinateur<br />
portab<strong>le</strong> sont bien plus grandes et plus puissantes que cel<strong>le</strong>s d’un smartphone ou<br />
d’une tab<strong>le</strong>tte. Par conséquent, <strong>le</strong>s appareils <strong>iOS</strong> distinguent <strong>le</strong>s limites des cellu<strong>le</strong>s différemment.<br />
Les mesures sont toujours plus exactes si l’on utilise l’appareil cib<strong>le</strong>.<br />
La norme 802.11k permet à votre appareil <strong>iOS</strong> d’identifier rapidement <strong>le</strong>s points d’accès (PA) avoisinants<br />
accessib<strong>le</strong>s en itinérance. Lorsque la puissance du signal du PA actuel faiblira et que votre<br />
appareil devra se mettre à la recherche d’un nouveau PA, il saura déjà <strong>le</strong>quel est <strong>le</strong> mieux indiqué.<br />
Chapitre 3 Wi-Fi 24
La norme 802.11r simplifie <strong>le</strong> processus d’authentification à l’aide d’une fonctionnalité appelée<br />
Fast Basic Service Set Transition (FT) lorsque votre appareil <strong>iOS</strong> est en itinérance d’un PA à un<br />
autre sur <strong>le</strong> même réseau. La fonctionnalité FT permet aux appareils <strong>iOS</strong> de s’associer plus rapidement<br />
aux PA. Selon votre fournisseur de matériel Wi-Fi, la fonctionnalité FT peut fonctionner<br />
avec une clé prépartagée (PSK) ou avec <strong>le</strong>s méthodes d’authentification 802.1X.<br />
Remarque : Tous <strong>le</strong>s fournisseurs de matériel réseau Wi-Fi ne prennent pas en charge <strong>le</strong>s normes<br />
802.11k et 802.11r. Vérifiez auprès du fabricant de votre matériel Wi-Fi (contrô<strong>le</strong>urs et PA) <strong>pour</strong><br />
savoir s’il prend en charge ces normes. Une fois que vous avez vérifié que <strong>le</strong>s deux normes sont<br />
prises en charge, vous devez activer la norme 802.11k et la fonctionnalité FT. Les méthodes de<br />
réglage peuvent varier. Par conséquent, consultez la documentation de configuration de votre<br />
matériel Wi-Fi <strong>pour</strong> plus de détails.<br />
Le tab<strong>le</strong>au ci-dessous indique quels appareils <strong>iOS</strong> prennent en charge <strong>le</strong>s normes 802.11k et<br />
802.11r sous <strong>iOS</strong>. Même si un appareil <strong>iOS</strong> ne prend pas en charge la norme 802.11r, <strong>iOS</strong> 5.1<br />
a prévu la prise en charge de la mise en cache PMKID (ou « pairwise master key identifier<br />
caching »), qui peut être utilisée avec certains appareils Cisco <strong>pour</strong> améliorer l’itinérance entre<br />
PA. Des SSID supplémentaires peuvent s’avérer nécessaires afin de prendre en charge à la fois <strong>le</strong>s<br />
appareils <strong>iOS</strong> compatib<strong>le</strong>s FT et <strong>le</strong>s appareils <strong>iOS</strong> utilisant la mise en cache PMKID.<br />
Appareil <strong>iOS</strong><br />
iPad Air 2, iPad mini 3,<br />
iPhone 6, iPhone 6 Plus,<br />
iPhone 5s. iPhone 5c,<br />
iPad Air, iPad mini<br />
avec écran Retina,<br />
iPad (4e génération),<br />
iPad mini, iPhone 5,<br />
iPod touch<br />
(5e génération)<br />
iPad (3e génération),<br />
iPhone 4s<br />
iPad (2e génération)<br />
et modè<strong>le</strong>s antérieurs,<br />
iPhone 4 et modè<strong>le</strong>s<br />
antérieurs, iPod touch<br />
(4e génération) et<br />
modè<strong>le</strong>s antérieurs<br />
Prise en charge<br />
802.11k/r<br />
Méthodes prises en<br />
charge avec <strong>iOS</strong> 6 et<br />
ultérieur<br />
Méthodes prises en<br />
charge avec <strong>le</strong>s versions<br />
antérieures à <strong>iOS</strong> 6<br />
Oui FT, mise en cache PMKID Non applicab<strong>le</strong><br />
Oui FT, mise en cache PMKID Mise en cache PMKID<br />
Non Mise en cache PMKID Mise en cache PMKID<br />
••<br />
Avant <strong>iOS</strong> 5.1, aucune<br />
méthode optimisée<br />
d’itinérance entre PA<br />
n’existait sous <strong>iOS</strong>.<br />
••<br />
La mise en cache<br />
SKC (ou « Sticky key<br />
caching ») est une<br />
forme de mise en<br />
cache PMKID. La mise<br />
en cache SKC n’est ni<br />
équiva<strong>le</strong>nte à la mise<br />
en cache OKC (opportunistic<br />
key caching),<br />
ni compatib<strong>le</strong> avec<br />
cette dernière.<br />
Chapitre 3 Wi-Fi 25
Pour consulter <strong>le</strong> guide de réfé<strong>rence</strong> de l’itinérance sans fil <strong>App<strong>le</strong></strong>, consultez l’artic<strong>le</strong><br />
<strong>iOS</strong> 8 : Wire<strong>le</strong>ss roaming refe<strong>rence</strong> for enterprise customers (Guide de réfé<strong>rence</strong> de l’itinérance<br />
sans fil <strong>pour</strong> <strong>le</strong>s clients professionnels) de l’assistance <strong>App<strong>le</strong></strong>. Pour en savoir plus sur l’itinérance avec<br />
<strong>le</strong>s normes 802.11k et 802.11r, consultez l’artic<strong>le</strong><br />
<strong>iOS</strong> : itinérance de réseau Wi-Fi avec <strong>le</strong>s normes 802.11k et 802.11r de l’assistance <strong>App<strong>le</strong></strong>.<br />
Planifier la couverture et la capacité<br />
Bien qu’il soit important de fournir une couverture Wi-Fi à l’endroit où <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> sont<br />
utilisés, il est tout aussi important de prévoir la concentration d’appareils dans une zone donnée<br />
<strong>pour</strong> s’assurer que la capacité sera adaptée.<br />
La plupart des points d’accès modernes de qualité professionnel<strong>le</strong> sont capab<strong>le</strong>s de gérer jusqu’à<br />
plus de 50 clients Wi-Fi, même si la qualité de service laisserait sans doute à désirer si un tel<br />
nombre d’appareils utilisait réel<strong>le</strong>ment un seul point d’accès avec la norme 802.11n. L’expérience<br />
de chaque utilisateur dépend de la bande passante sans fil disponib<strong>le</strong> sur <strong>le</strong> canal utilisé par l’appareil,<br />
et du nombre d’appareils utilisant cette bande passante. Plus <strong>le</strong> nombre d’appareils utilisant<br />
<strong>le</strong> même canal est é<strong>le</strong>vé, plus la vitesse du réseau <strong>pour</strong> ces appareils diminue. Lorsque vous<br />
concevez votre réseau Wi-Fi, essayez de prendre en compte l’usage prévu par <strong>le</strong>s appareils <strong>App<strong>le</strong></strong>.<br />
Important : Évitez d’utiliser des identifiants SSID (Service Set IDentifier) masqués, car <strong>le</strong>s appareils<br />
Wi-Fi doivent activement rechercher <strong>le</strong>s SSID masqués. Cela entraîne des délais lors de la<br />
connexion au SSID et peut potentiel<strong>le</strong>ment avoir un impact sur <strong>le</strong> flux de données et <strong>le</strong>s communications.<br />
De plus, <strong>le</strong> fait de masquer <strong>le</strong>s SSID n’apporte aucun avantage en matière de sécurité.<br />
Les utilisateurs ont tendance à beaucoup se déplacer avec <strong>le</strong>urs appareils <strong>App<strong>le</strong></strong> ; <strong>le</strong>s SSID masqués<br />
ra<strong>le</strong>ntissent donc généra<strong>le</strong>ment <strong>le</strong> délai de connexion à un réseau et altèrent <strong>le</strong>s performances<br />
en itinérance. Cette pratique risque de consommer plus d’énergie qu’un SSID diffusé et<br />
peut diminuer l’autonomie de la batterie.<br />
2,4 GHz ou 5 GHz<br />
En Amérique du Nord, 11 canaux sont disponib<strong>le</strong>s sur <strong>le</strong>s réseaux Wi-Fi à 2,4 GHz. Toutefois,<br />
en raison des interfé<strong>rence</strong>s, seuls <strong>le</strong>s canaux 1, 6 et 11 doivent être utilisés dans la conception<br />
d’un réseau.<br />
Les signaux à 5 GHz ne pénètrent pas <strong>le</strong>s murs et autres obstac<strong>le</strong>s aussi efficacement que <strong>le</strong>s<br />
signaux à 2,4 GHz, ce qui se traduit par des zones de couverture plus réduites. Ainsi, utilisez des<br />
réseaux à 5 GHz si vous prévoyez une densité é<strong>le</strong>vée d’appareils dans un espace fermé, comme<br />
une sal<strong>le</strong> de classe ou une grande sal<strong>le</strong> de réunion. Le nombre de canaux disponib<strong>le</strong>s dans la<br />
bande de 5 GHz varie d’un fournisseur à l’autre et d’un pays à l’autre, mais au moins huit canaux<br />
sont toujours disponib<strong>le</strong>s.<br />
Les canaux à 5 GHz ne se chevauchent pas, ce qui est considérab<strong>le</strong>ment moins contraignant<br />
que la limite de trois canaux qui ne se chevauchent pas sur la bande des 2,4 GHz. Lorsque vous<br />
concevez un réseau Wi-Fi <strong>pour</strong> une densité importante d’appareils <strong>App<strong>le</strong></strong>, <strong>le</strong>s canaux supplémentaires<br />
de la bande de 5 GHz deviennent stratégiques.<br />
Important : La couverture Wi-Fi doit être omniprésente sur <strong>le</strong> lieu de travail. Si des appareils hérités<br />
sont utilisés, <strong>le</strong>s deux bandes Wi-Fi (2,4 GHz 802.11b/g/n et 5 GHz 802.11a/n/ac) doivent être<br />
centra<strong>le</strong>s dans la conception.<br />
Chapitre 3 Wi-Fi 26
Remarques concernant la conception<br />
Trois principaux éléments sont à prendre en compte lors de la conception de vos réseaux Wi-Fi.<br />
Prendre en compte la couverture<br />
L’agencement physique du bâtiment peut avoir un impact sur la conception de votre réseau<br />
Wi-Fi. Par exemp<strong>le</strong>, dans <strong>le</strong> cas d’une petite entreprise, <strong>le</strong>s utilisateurs assistent à des réunions<br />
avec d’autres employés dans des sal<strong>le</strong>s de confé<strong>rence</strong> ou des bureaux. Ils sont ainsi amenés à se<br />
déplacer au sein du bâtiment tout au long de la journée. Dans ce scénario, l’essentiel des accès<br />
réseau provient d’activités peu gourmandes en bande passante, tel<strong>le</strong>s que la consultation des<br />
e-mails, la gestion des ca<strong>le</strong>ndriers et la navigation sur Internet, si bien que la couverture Wi-Fi est<br />
la principa<strong>le</strong> priorité. Une conception Wi-Fi peut comprendre un petit nombre de points d’accès<br />
à chaque étage <strong>pour</strong> fournir une couverture à tous <strong>le</strong>s bureaux. Des points d’accès supplémentaires<br />
peuvent être installés <strong>pour</strong> <strong>le</strong>s zones dans <strong>le</strong>squel<strong>le</strong>s beaucoup d’employés se retrouvent,<br />
comme une grande sal<strong>le</strong> de réunion.<br />
Prendre en compte la capacité<br />
Comparez <strong>le</strong> scénario précédent avec un lycée accueillant 1 000 élèves et 30 enseignants dans<br />
un bâtiment de deux étages. Chaque élève reçoit un iPad et chaque enseignant reçoit un<br />
MacBook Air et un iPad. Chaque classe permet d’accueillir environ 35 élèves et <strong>le</strong>s classes sont<br />
proches <strong>le</strong>s unes des autres. Au long de la journée, <strong>le</strong>s élèves font des recherches sur Internet,<br />
regardent des vidéos de cours et copient de fichiers à partir d’un serveur de fichiers du réseau<br />
LAN et vers ce dernier.<br />
La conception du réseau Wi-Fi dans un tel scénario est plus comp<strong>le</strong>xe en raison de la forte densité<br />
d’appareils mobi<strong>le</strong>s. En raison du nombre é<strong>le</strong>vé d’appareils dans chaque classe, il peut être<br />
nécessaire d’instal<strong>le</strong>r un point d’accès par classe. Il peut éga<strong>le</strong>ment être nécessaire d’instal<strong>le</strong>r plusieurs<br />
points d’accès dans <strong>le</strong>s zones communes, afin de fournir une couverture et une capacité de<br />
bonne qualité. Le nombre de points d’accès nécessaire <strong>pour</strong> <strong>le</strong>s zones communes peut varier en<br />
fonction de la densité des appareils Wi-Fi réunis dans ces zones.<br />
Canal<br />
36<br />
Canal<br />
157<br />
Canal<br />
40<br />
Canal<br />
161<br />
Canal<br />
36<br />
Canal<br />
64<br />
Canal<br />
44<br />
Canal<br />
52<br />
Canal<br />
48<br />
Canal<br />
64<br />
Important : Il est recommandé de systématiquement effectuer une étude avant l’installation,<br />
afin de déterminer <strong>le</strong> nombre exact de points d’accès nécessaires et <strong>le</strong>ur emplacement. Une étude<br />
du site permet éga<strong>le</strong>ment de déterminer <strong>le</strong>s réglages d’alimentation à utiliser <strong>pour</strong> chaque radio.<br />
Une fois l’installation du réseau Wi-Fi terminée, il est recommandé d’effectuer une étude successive<br />
<strong>pour</strong> confirmer l’adéquation de l’environnement Wi-Fi. Par exemp<strong>le</strong>, <strong>pour</strong> un réseau devant<br />
prendre en charge un grand nombre d’utilisateurs dans un bâtiment, il est conseillé de faire valider<br />
la conception par <strong>le</strong>s utilisateurs (ou, si <strong>le</strong>s portes des sal<strong>le</strong>s de classe seront fermées pendant<br />
l’utilisation du réseau, el<strong>le</strong>s devront l’être éga<strong>le</strong>ment lors de la validation de la conception).<br />
Chapitre 3 Wi-Fi 27
Il est parfois souhaitab<strong>le</strong> de créer plusieurs SSID à différentes fins. Par exemp<strong>le</strong>, un réseau réservé<br />
aux invités peut être nécessaire. Il est recommandé de ne pas créer trop d’identifiants SSID,<br />
car cela peut causer une plus grande utilisation de la bande passante.<br />
Prendre en compte <strong>le</strong>s applications<br />
Les produits <strong>App<strong>le</strong></strong> utilisent une mise en réseau multidiffusion <strong>pour</strong> <strong>le</strong>s services tels qu’AirPlay<br />
et AirPrint. Ainsi, une prise en charge de la fonctionnalité de multidiffusion doit faire partie de la<br />
conception. Pour en savoir plus sur la préparation d’un réseau <strong>pour</strong> prendre en charge Bonjour,<br />
consultez la section Bonjour.<br />
Normes Wi-Fi exploitées par <strong>le</strong>s appareils <strong>iOS</strong><br />
Les spécifications relatives au Wi-Fi <strong>pour</strong> <strong>le</strong>s appareils <strong>iOS</strong> d’<strong>App<strong>le</strong></strong> sont détaillées dans la liste<br />
ci-après, qui comprend <strong>le</strong>s informations suivantes :<br />
••<br />
Compatibilité 802.11 : 802.11ac, 802.11n, 802.11a, 802.11b/g<br />
••<br />
Bande de fréquences : 2,4 GHz ou 5 GHz<br />
••<br />
Vitesse de transmission maxima<strong>le</strong> : Il s’agit de la vitesse maxima<strong>le</strong> à laquel<strong>le</strong> un client peut<br />
transmettre des données en Wi-Fi.<br />
••<br />
Flux spatiaux : Chaque radio peut envoyer des flux de données indépendants simultanément,<br />
chaque flux contenant différentes données, ce qui peut augmenter <strong>le</strong> débit d’ensemb<strong>le</strong>.<br />
Le nombre de flux de données indépendant est défini comme <strong>le</strong> nombre de flux spatiaux.<br />
••<br />
Index MCS : L’index MCS (Modulation and Coding Scheme, schéma du codage et de la modulation)<br />
définit <strong>le</strong> taux de transmission maximum auquel <strong>le</strong>s appareils 802.11ac/n peuvent communiquer.<br />
La norme 802.11ac fonctionne en VHT (Very High Throughput, ou très haut débit) et<br />
la norme 802.11n fonctionne en HT (High Throughput, ou haut débit).<br />
••<br />
Largeur de canal : Il s’agit de la largeur de canal maxima<strong>le</strong>. En commençant par la norme<br />
802.11n, <strong>le</strong>s canaux peuvent être combinés <strong>pour</strong> créer un canal plus étendu, permettant de<br />
transmettre plus de données à la fois. Avec la norme 802.11n, deux canaux de 20 MHz peuvent<br />
être combinés <strong>pour</strong> créer un canal de 40 MHz. Avec la norme 802.11ac, quatre canaux de<br />
20 MHz peuvent être combinés <strong>pour</strong> créer un canal de 80 MHz.<br />
••<br />
Interval<strong>le</strong> de garde : L’interval<strong>le</strong> de garde correspond à l’espace (temporel) entre la transmission<br />
de symbo<strong>le</strong>s d’un appareil vers un autre. La norme 802.11n spécifie un interval<strong>le</strong> de garde<br />
court de 400 ns qui permet d’accélérer <strong>le</strong> débit d’ensemb<strong>le</strong>, mais <strong>le</strong>s appareils peuvent utiliser<br />
un interval<strong>le</strong> plus long de 800 ns.<br />
Chapitre 3 Wi-Fi 28
Modè<strong>le</strong><br />
Compatibilité<br />
802.11 et bande de<br />
fréquences<br />
Vitesse de<br />
transmission<br />
maxima<strong>le</strong><br />
Flux<br />
spatiaux<br />
Index MCS<br />
Largeur<br />
de canal<br />
Interval<strong>le</strong><br />
de garde<br />
iPad Air 2<br />
802.11ac/n/a à 5 GHz<br />
866 Mbit/s 2 9 (VHT)<br />
80 MHz 400 ns<br />
802.11n/g/b à<br />
2,4 GHz<br />
15 (HT)<br />
iPad mini 3<br />
802.11n à 2,4 GHz et<br />
5 GHz<br />
802.11a/b/g<br />
300 Mbit/s 2 15 (HT) 40 MHz 400 ns<br />
iPhone 6 Plus<br />
802.11ac/n/a à 5 GHz<br />
433 Mbit/s 1 9 (VHT)<br />
80 MHz 400 ns<br />
iPhone 6<br />
802.11n/g/b à<br />
2,4 GHz<br />
7 (HT)<br />
iPhone 5s<br />
iPhone 5c<br />
iPhone 5<br />
iPhone 4s<br />
iPhone 4<br />
iPad Air<br />
iPad mini avec<br />
écran Retina<br />
iPad<br />
(4e génération)<br />
iPad mini<br />
iPad (1ère, 2e et<br />
3e générations)<br />
iPod touch<br />
(5e génération)<br />
iPod touch<br />
(4e génération)<br />
802.11n à 2,4 GHz et<br />
5 GHz<br />
802.11a/b/g<br />
802.11n à 2,4 GHz<br />
802.11b/g<br />
802.11n à 2,4 GHz et<br />
5 GHz<br />
802.11a/b/g<br />
802.11n à 2,4 GHz et<br />
5 GHz<br />
802.11a/b/g<br />
802.11n à 2,4 GHz et<br />
5 GHz<br />
802.11a/b/g<br />
802.11n à 2,4 GHz et<br />
5 GHz<br />
802.11a/b/g<br />
802.11n à 2,4 GHz<br />
802.11b/g<br />
150 Mbit/s 1 7 (HT) 40 MHz 400 ns<br />
65 Mbit/s 1 7 (HT) 20 MHz 800 ns<br />
300 Mbit/s 2 15 (HT) 40 MHz 400 ns<br />
150 Mbit/s 1 7 (HT) 40 MHz 400 ns<br />
65 Mbit/s 1 7 (HT) 20 MHz 800 ns<br />
150 Mbit/s 1 7 (HT) 40 MHz 400 ns<br />
65 Mbit/s 1 7 (HT) 20 MHz 800 ns<br />
Chapitre 3 Wi-Fi 29
Infrastructure et intégration<br />
4<br />
Vue d’ensemb<strong>le</strong><br />
<strong>iOS</strong> prend en charge un grand nombre d’infrastructures réseau, y compris <strong>le</strong>s infrastructures<br />
suivantes :<br />
••<br />
La mise en réseau local à l’aide de Bonjour<br />
••<br />
Les connexions sans fil à <strong>App<strong>le</strong></strong> TV à l’aide d’AirPlay<br />
••<br />
Les certificats numériques <strong>pour</strong> authentifier <strong>le</strong>s utilisateurs et sécuriser <strong>le</strong>s communications<br />
••<br />
L’authentification par signature unique (SSO) <strong>pour</strong> simplifier l’authentification auprès des apps<br />
et services en réseau<br />
••<br />
Les services de messagerie, d’annuaires et de ca<strong>le</strong>ndrier standard et autres systèmes<br />
••<br />
Les systèmes tiers courants, comme Microsoft Exchange<br />
••<br />
Les réseaux privés virtuels (VPN), y compris <strong>le</strong>s connexions VPN via l’app et toujours actives<br />
Cette prise en charge est intégrée à <strong>iOS</strong> ; ainsi, il suffit à votre service informatique de configurer<br />
quelques réglages <strong>pour</strong> intégrer <strong>le</strong>s appareils <strong>iOS</strong> à votre infrastructure existante. Lisez la suite<br />
<strong>pour</strong> découvrir <strong>le</strong>s technologies prises en charge par <strong>iOS</strong> et <strong>le</strong>s bonnes pratiques <strong>pour</strong> <strong>le</strong>s entreprises<br />
et <strong>le</strong> secteur de l’éducation.<br />
Microsoft Exchange<br />
Les appareils <strong>iOS</strong> peuvent communiquer directement avec votre serveur Microsoft Exchange par<br />
<strong>le</strong> biais de Microsoft Exchange ActiveSync (EAS), permettant l’utilisation du mode « push » <strong>pour</strong><br />
<strong>le</strong>s e-mails, des réponses automatiques, des ca<strong>le</strong>ndriers, des contacts, des notes et des tâches.<br />
Exchange ActiveSync fournit éga<strong>le</strong>ment aux utilisateurs l’accès à la Liste d’adresses globa<strong>le</strong> (GAL)<br />
et aux administrateurs des capacités de mise en œuvre de règ<strong>le</strong>s de codes d’appareil et d’effacement<br />
à distance. <strong>iOS</strong> prend en charge l’authentification tant de base que par certificat <strong>pour</strong><br />
Exchange ActiveSync.<br />
Si Exchange ActiveSync est déjà utilisé dans votre organisation, cel<strong>le</strong>-ci dispose déjà des services<br />
nécessaires <strong>pour</strong> prendre en charge <strong>iOS</strong>. Aucune configuration supplémentaire n’est requise.<br />
Configuration requise<br />
<strong>iOS</strong> 8 ou ultérieur prend en charge <strong>le</strong>s versions suivantes de Microsoft Exchange :<br />
••<br />
Office 365 (avec EAS 14.1)<br />
••<br />
Exchange Server 2013 (avec EAS 14.1)<br />
••<br />
Exchange Server 2010 SP 2 (avec EAS 14.1)<br />
••<br />
Exchange Server 2010 SP 1 (EAS 14.1)<br />
••<br />
Exchange Server 2010 (EAS 14.0)<br />
••<br />
Exchange Server 2007 SP 3 (EAS 12.1)<br />
••<br />
Exchange Server 2007 SP 2 (EAS 12.1)<br />
30
••<br />
Exchange Server 2007 SP 1 (EAS 12.1)<br />
••<br />
Exchange Server 2007 (avec EAS 2.5)<br />
Découverte automatique Microsoft Exchange<br />
<strong>iOS</strong> et OS X prennent en charge <strong>le</strong> service de découverte automatique de<br />
Microsoft Exchange Server 2007 ou ultérieur. Lorsque vous configurez manuel<strong>le</strong>ment un appareil<br />
<strong>App<strong>le</strong></strong>, <strong>le</strong> service de découverte automatique utilise votre adresse e-mail et votre mot de passe<br />
<strong>pour</strong> déterminer automatiquement <strong>le</strong>s informations Exchange Server correctes.<br />
Pour en savoir plus, consultez la page dédiée au service de découverte automatique du site<br />
web Microsoft.<br />
Microsoft Direct Push<br />
Exchange Server livre automatiquement <strong>le</strong>s e-mails, <strong>le</strong>s tâches, <strong>le</strong>s contacts et <strong>le</strong>s événements de<br />
ca<strong>le</strong>ndrier aux appareils <strong>iOS</strong> à condition qu’une connexion cellulaire ou Wi-Fi soit disponib<strong>le</strong>.<br />
Liste d’adresses globa<strong>le</strong> (GAL) de Microsoft Exchange<br />
Les appareils <strong>App<strong>le</strong></strong> extraient <strong>le</strong>s informations de contact de l’annuaire d’entreprise du serveur<br />
Exchange de votre organisation. Vous pouvez accéder à l’annuaire lorsque vous réalisez une<br />
recherche parmi <strong>le</strong>s contacts ; votre appareil y accède automatiquement <strong>pour</strong> compléter des<br />
adresses e-mail lors de la saisie.<br />
Remarque : <strong>iOS</strong> 6 ou ultérieur prend en charge <strong>le</strong>s photos GAL (requiert Exchange Server 2010 SP 1<br />
ou ultérieur).<br />
Mettre en place une réponse automatique<br />
<strong>iOS</strong> 8 prend en charge l’utilisation des réponses automatiques envoyées lorsque l’utilisateur<br />
n’est pas disponib<strong>le</strong>. L’utilisateur peut éga<strong>le</strong>ment choisir la date à laquel<strong>le</strong> arrêter d’envoyer <strong>le</strong>s<br />
réponses automatiques.<br />
Ca<strong>le</strong>ndrier<br />
<strong>iOS</strong> 8 ou ultérieur et OS X Mavericks ou ultérieur prennent en charge <strong>le</strong>s fonctionnalités<br />
suivantes de Microsoft Exchange :<br />
••<br />
Créer et accepter des invitations de ca<strong>le</strong>ndrier sans fil<br />
••<br />
Consulter <strong>le</strong>s informations de disponibilité du ca<strong>le</strong>ndrier d’un invité<br />
••<br />
Créer des événements de ca<strong>le</strong>ndrier privés<br />
••<br />
Configurer des événements récurrents personnalisés<br />
••<br />
Afficher <strong>le</strong>s numéros de semaine dans Ca<strong>le</strong>ndrier<br />
••<br />
Recevoir des mises à jour de ca<strong>le</strong>ndrier<br />
••<br />
Synchroniser <strong>le</strong>s tâches avec l’app Rappels<br />
Afficher l’identifiant Exchange<br />
<strong>iOS</strong> 8 permet à l’utilisateur de consulter l’identifiant unique lu par <strong>le</strong> serveur Exchange, connu<br />
sous <strong>le</strong> nom d’identifiant Exchange de l’appareil. Cela est uti<strong>le</strong> lorsque <strong>le</strong> serveur Exchange utilisé<br />
par l’utilisateur exige l’ajout des appareils sur liste blanche avant que l’accès <strong>le</strong>ur soit autorisé.<br />
Ils peuvent vous fournir cet identifiant à l’avance. L’identifiant Exchange de l’appareil est modifié<br />
uniquement si <strong>le</strong>s réglages d’origine de l’appareil sont rétablis. L’identifiant ne change pas suite à<br />
la mise à jour vers <strong>iOS</strong> 8. Pour afficher l’identifiant Exchange de l’appareil sur un appareil <strong>iOS</strong>,<br />
touchez Réglages > Mail, Contacts et Ca<strong>le</strong>ndrier > Ajouter un compte, puis touchez Exchange.<br />
Chapitre 4 Infrastructure et intégration 31
Identifier <strong>le</strong>s versions <strong>iOS</strong> avec Exchange<br />
Lorsqu’un appareil <strong>iOS</strong> se connecte à un serveur Exchange, l’appareil indique sa version d’<strong>iOS</strong>.<br />
Le numéro de version est envoyé dans <strong>le</strong> champ Agent de l’utilisateur de l’en-tête de la demande<br />
et ressemb<strong>le</strong> à <strong>App<strong>le</strong></strong>-iPhone2C1/705.018. Le nombre apparaissant après <strong>le</strong> délimiteur (/) est <strong>le</strong><br />
numéro de compilation d’<strong>iOS</strong>, un numéro particulier à chaque version d’<strong>iOS</strong>.<br />
Pour afficher <strong>le</strong> numéro de compilation sur un appareil, accédez à Réglages > Général ><br />
Informations. Le numéro de version et <strong>le</strong> numéro de compilation sont affichés, par exemp<strong>le</strong><br />
4.1 (8B117A). Le numéro entre parenthèses est <strong>le</strong> numéro de compilation. Il identifie la version<br />
d’<strong>iOS</strong> qu’exécute l’appareil.<br />
Lorsque <strong>le</strong> numéro de compilation est envoyé au serveur Exchange, il est converti du format<br />
NANNNA (où N est numérique et A est un caractère alphabétique) au format Exchange NNN.NNN.<br />
Les va<strong>le</strong>urs numériques sont conservées, mais <strong>le</strong>s va<strong>le</strong>urs alphabétiques sont remplacées par<br />
<strong>le</strong>ur position dans l’alphabet. Par exemp<strong>le</strong>, un « F » est converti en « 06 », car c’est la sixième<br />
<strong>le</strong>ttre de l’alphabet. Au besoin, un préfixe formé de zéros est ajouté <strong>pour</strong> correspondre au format<br />
Exchange. Dans cet exemp<strong>le</strong>, <strong>le</strong> numéro de compilation 7E18 est converti en « 705.018 ».<br />
Le premier chiffre, 7, reste « 7 ». Le caractère E est la cinquième <strong>le</strong>ttre de l’alphabet, et est donc<br />
converti en « 05 ». Un point (.) est inséré dans la version convertie comme exigé par <strong>le</strong> format.<br />
Un préfixe zéro est ajouté au nombre suivant, 18, qui est converti en « 018 ».<br />
Si <strong>le</strong> numéro de compilation se termine par une <strong>le</strong>ttre, par exemp<strong>le</strong> 5H11A, <strong>le</strong> numéro est<br />
converti comme décrit ci-dessus et la va<strong>le</strong>ur numérique du caractère final est ajoutée à la chaîne,<br />
avec 3 zéros de séparation. 5H11A devient ainsi « 508.01100001 ».<br />
Effacement à distance<br />
Vous pouvez effacer à distance <strong>le</strong> contenu d’un appareil <strong>iOS</strong> à l’aide des fonctionnalités fournies<br />
par Exchange. L’effacement supprime toutes <strong>le</strong>s données et informations de configuration présentes<br />
sur l’appareil. Ce dernier est effacé de manière sécurisée et ses réglages d’origine sont<br />
restaurés. L’effacement supprime immédiatement la clé de chiffrement des données (chiffrées<br />
en AES 256 bits), ce qui rend toutes <strong>le</strong>s données immédiatement irrécupérab<strong>le</strong>s.<br />
Avec Microsoft Exchange Server 2007 ou une version ultérieure, vous pouvez effectuer un effacement<br />
à distance avec la conso<strong>le</strong> de gestion Exchange, Outlook Web Access ou l’outil Exchange<br />
ActiveSync Mobi<strong>le</strong> Administration Web Tool. Avec Microsoft Exchange Server 2003, vous pouvez<br />
lancer un effacement à distance à l’aide de l’outil Exchange ActiveSync Mobi<strong>le</strong> Administration<br />
Web Tool.<br />
Les utilisateurs peuvent éga<strong>le</strong>ment effacer <strong>le</strong> contenu de <strong>le</strong>ur propre appareil en accédant<br />
à Réglages > Général > Réinitialiser, puis en choisissant « Effacer contenu et réglages ».<br />
Vous pouvez éga<strong>le</strong>ment configurer <strong>le</strong>s appareils <strong>pour</strong> qu’ils soient effacés automatiquement<br />
après un certain nombre de tentatives échouées de mot de passe.<br />
Bonjour<br />
Bonjour est <strong>le</strong> protoco<strong>le</strong> réseau standard sans configuration d’<strong>App<strong>le</strong></strong>, qui permet aux appareils<br />
de trouver des services sur un réseau. Les appareils <strong>iOS</strong>, seuls, utilisent Bonjour <strong>pour</strong> détecter <strong>le</strong>s<br />
imprimantes AirPrint, et <strong>le</strong>s appareils <strong>iOS</strong> et <strong>le</strong>s ordinateurs Mac utilisent Bonjour <strong>pour</strong> découvrir<br />
des appareils compatib<strong>le</strong>s avec AirPlay, tels que <strong>le</strong>s <strong>App<strong>le</strong></strong> TV. Certaines apps utilisent Bonjour<br />
<strong>pour</strong> <strong>le</strong> partage et la collaboration pair-à-pair.<br />
Chapitre 4 Infrastructure et intégration 32
Bonjour fonctionne à l’aide d’un trafic en multidiffusion <strong>pour</strong> signa<strong>le</strong>r la disponibilité des services.<br />
Le trafic en multidiffusion n’est généra<strong>le</strong>ment pas acheminé. Vous devez donc vous assurer que<br />
<strong>le</strong>s <strong>App<strong>le</strong></strong> TV ou <strong>le</strong>s imprimantes AirPrint sont connectées au même sous-réseau IP que <strong>le</strong>s appareils<br />
<strong>iOS</strong> qui vont <strong>le</strong>s utiliser. Si votre réseau est très grand et utilise de nombreux sous-réseaux IP,<br />
vous pouvez envisager d’utiliser une passerel<strong>le</strong> Bonjour, tel<strong>le</strong> que cel<strong>le</strong>s proposées par de nombreux<br />
fabricants d’infrastructures Wi-Fi.<br />
Pour en savoir plus sur Bonjour, consultez la page web <strong>App<strong>le</strong></strong> Bonjour et la documentation<br />
d’<strong>App<strong>le</strong></strong> <strong>pour</strong> développeurs sur Bonjour.<br />
AirPlay<br />
<strong>iOS</strong> 8 et OS X Yosemite permettent de diffuser en continu de données d’un appareil <strong>App<strong>le</strong></strong> vers<br />
une <strong>App<strong>le</strong></strong> TV, même si <strong>le</strong>s appareils sont sur des réseaux différents ou si aucun réseau n’est disponib<strong>le</strong>.<br />
L’appareil <strong>App<strong>le</strong></strong> utilise la fonctionnalité Bluetooth® Low Energy (BTLE) <strong>pour</strong> lancer <strong>le</strong><br />
processus de détection des <strong>App<strong>le</strong></strong> TV disponib<strong>le</strong>s, puis établit une connexion directement avec<br />
l’<strong>App<strong>le</strong></strong> TV par Wi-Fi. La détection Bluetooth Low Energy est une sous-catégorie distincte de la<br />
fonctionnalité AirPlay pair-à-pair.<br />
Sous <strong>iOS</strong> 8 et OS X Yosemite, la fonctionnalité AirPlay pair-à-pair permet à un utilisateur d’utiliser<br />
AirPlay directement à partir d’un appareil <strong>iOS</strong> ou d’un Mac vers une <strong>App<strong>le</strong></strong> TV, sans avoir à se<br />
connecter au réseau de l’organisation. Avec la fonctionnalité AirPlay pair-à-pair, plus besoin de<br />
se connecter à un réseau ni de fournir <strong>le</strong>s mots de passe Wi-Fi. Cela évite <strong>le</strong>s problèmes d’accessibilité<br />
dans <strong>le</strong>s environnements réseau comp<strong>le</strong>xes et fournit un lien direct entre l’expéditeur et<br />
<strong>le</strong> destinataire, afin d’optimiser <strong>le</strong>s performances. La fonctionnalité AirPlay pair-à-pair est activée<br />
par défaut sous <strong>iOS</strong> 8 et OS X Yosemite. Aucune configuration n’est nécessaire de la part de<br />
l’utilisateur.<br />
Éléments requis <strong>pour</strong> utiliser AirPlay pair-à-pair :<br />
••<br />
<strong>App<strong>le</strong></strong> TV (3e génération rev A modè<strong>le</strong> A1469 ou ultérieur) avec <strong>le</strong> logiciel 7.0 ou ultérieur de<br />
l’<strong>App<strong>le</strong></strong> TV<br />
••<br />
Appareils <strong>iOS</strong> (fin 2012 ou ultérieur) exécutant <strong>iOS</strong> 8 ou ultérieur<br />
••<br />
Ordinateurs Mac (2012 ou ultérieur) exécutant OS X Yosemite ou ultérieur<br />
Pour trouver <strong>le</strong> numéro de modè<strong>le</strong> d’une <strong>App<strong>le</strong></strong> TV, consultez l’artic<strong>le</strong><br />
Identification des modè<strong>le</strong>s d’<strong>App<strong>le</strong></strong> TV de l’assistance <strong>App<strong>le</strong></strong>.<br />
La détection pair-à-pair est lancée en Bluetooth Low Energy (BTLE) lorsqu’un utilisateur sé<strong>le</strong>ctionne<br />
AirPlay sur un appareil <strong>iOS</strong> exécutant <strong>iOS</strong> 8 ou un Mac exécutant OS X Yosemite. Suite à<br />
cela, l’appareil et l’<strong>App<strong>le</strong></strong> TV se connectent au canal Wi-Fi 149,1 dans la bande 5 GHz ou au canal<br />
Wi-Fi 6 dans la bande 2,4 GHz, où <strong>le</strong> processus de détection se <strong>pour</strong>suit. Une fois que l’utilisateur<br />
sé<strong>le</strong>ctionne l’<strong>App<strong>le</strong></strong> TV et que la connexion AirPlay démarre, <strong>le</strong>s radios Wi-Fi se partagent entre <strong>le</strong><br />
canal 149,1 et <strong>le</strong> canal de l’infrastructure utilisé par chaque appareil. Si possib<strong>le</strong>, l’expéditeur se<br />
connecte au même canal que l’<strong>App<strong>le</strong></strong> TV dans l’infrastructure. Si aucun des appareils n’utilise <strong>le</strong><br />
réseau de l’infrastructure, <strong>le</strong>s appareils utilisent <strong>le</strong> canal 149 uniquement <strong>pour</strong> AirPlay. La fonctionnalité<br />
AirPlay pair-à-pair est conforme aux normes 802.11 et partage la bande passante du Wi-Fi<br />
avec <strong>le</strong>s autres appareils Wi-Fi.<br />
Lorsque vous déployez des <strong>App<strong>le</strong></strong> TV sur un important réseau Wi-Fi d’entreprise, prenez en<br />
compte <strong>le</strong>s instructions suivantes :<br />
••<br />
Connectez l’<strong>App<strong>le</strong></strong> TV en Ethernet dès que possib<strong>le</strong>.<br />
••<br />
Si possib<strong>le</strong>, n’utilisez pas <strong>le</strong>s canaux Wi-Fi 149 et 153 <strong>pour</strong> <strong>le</strong> réseau d’infrastructure.<br />
Chapitre 4 Infrastructure et intégration 33
••<br />
Ne placez pas ni ne montez <strong>le</strong>s <strong>App<strong>le</strong></strong> TV derrière des objets pouvant empêcher <strong>le</strong> passage des<br />
signaux Bluetooth Low Energy et Wi-Fi.<br />
••<br />
Lorsque vous posez une <strong>App<strong>le</strong></strong> TV sur un mur ou sur une autre surface, posez-la toujours avec<br />
<strong>le</strong> pied en contact avec la surface.<br />
••<br />
Si la fonctionnalité AirPlay pair-à-pair n’est pas prise en charge par l’expéditeur ou <strong>le</strong> destinataire,<br />
la connexion de l’infrastructure est automatiquement utilisée.<br />
Détection AirPlay<br />
Les appareils <strong>iOS</strong> continuent à utiliser <strong>le</strong>s méthodes de détection déjà disponib<strong>le</strong>s aujourd’hui<br />
<strong>pour</strong> trouver des destinataires AirPlay. Les destinataires AirPlay peuvent se faire connaître à l’aide<br />
de Bonjour ou en Bluetooth. La détection Bluetooth requiert <strong>iOS</strong> 7.1 ou ultérieur sur <strong>le</strong>s appareils<br />
suivants :<br />
••<br />
iPad Air<br />
••<br />
<strong>App<strong>le</strong></strong> TV (3e génération ou ultérieur) exécutant <strong>le</strong> logiciel 6.1 ou ultérieur<br />
••<br />
iPhone 4s ou ultérieur<br />
••<br />
iPad 3e génération ou ultérieur<br />
••<br />
iPad mini 1e génération ou ultérieur<br />
••<br />
iPod touch 5e génération ou ultérieur<br />
Les destinataires AirPlay détectés apparaissent dans <strong>le</strong> menu AirPlay.<br />
Les services Bonjour _airplay._tcpx et _raop._tcp doivent être signalés sur <strong>le</strong>s produits de la<br />
passerel<strong>le</strong> Bonjour. Contactez votre fournisseur de passerel<strong>le</strong> <strong>pour</strong> vous assurer que ces services<br />
sont signalés.<br />
Connectivité<br />
Les deux modes pris en charge <strong>pour</strong> la connectivité AirPlay sont <strong>le</strong>s modes pair-à-pair et infrastructure.<br />
Si l’expéditeur et <strong>le</strong> destinataire AirPlay prennent en charge la fonctionnalité AirPlay<br />
pair-à-pair, cela devient <strong>le</strong> chemin préféré <strong>pour</strong> <strong>le</strong>s données, indépendamment de la disponibilité<br />
de l’infrastructure. La connectivité AirPlay pair-à-pair coexiste avec <strong>le</strong>s connexions de l’infrastructure,<br />
afin que l’expéditeur et <strong>le</strong> destinataire AirPlay puissent être connectés à Internet simultanément<br />
à la connexion pair-à-pair. La bande 5 GHz est plus adaptée à la connexion AirPlay pair-àpair,<br />
car el<strong>le</strong> fournit une connexion rapide et directe entre l’expéditeur et <strong>le</strong> destinataire.<br />
Sécurité<br />
AirPlay utilise un chiffrement AES <strong>pour</strong> garantir la protection du contenu en cas de recopie vidéo<br />
ou de <strong>le</strong>cture en continu à partir d’un appareil <strong>iOS</strong> ou d’un Mac vers une <strong>App<strong>le</strong></strong> TV.<br />
L’accès en AirPlay à une <strong>App<strong>le</strong></strong> TV peut être restreint par un mot de passe ou un code à l’écran.<br />
Seuls <strong>le</strong>s utilisateurs saisissant <strong>le</strong> code à l’écran (un code par tentative de connexion AirPlay) ou<br />
<strong>le</strong> mot de passe sur <strong>le</strong>ur appareil <strong>iOS</strong> ou <strong>le</strong>ur Mac peuvent envoyer du contenu en AirPlay à une<br />
<strong>App<strong>le</strong></strong> TV.<br />
Chapitre 4 Infrastructure et intégration 34
Pour que la fonctionnalité Demande de vérification des appareils puisse être activée, l’appareil<br />
<strong>iOS</strong> ou <strong>le</strong> Mac doit s’authentifier lors de la connexion AirPlay initia<strong>le</strong> (requiert un appareil <strong>iOS</strong><br />
exécutant <strong>iOS</strong> 7.1 ou ultérieur, ou un Mac exécutant OS X Mavericks 10.9.2 ou ultérieur). La fonctionnalité<br />
Demande de vérification des appareils est uti<strong>le</strong> lorsque l’<strong>App<strong>le</strong></strong> TV est déployée sur un<br />
réseau Wi-Fi ouvert. Pour s’assurer que <strong>le</strong>s appareils <strong>iOS</strong> et <strong>le</strong>s ordinateurs Mac sont jumelés de<br />
manière sécurisée, l’utilisateur est invité à saisir un code à l’écran propre à la connexion. Pour <strong>le</strong>s<br />
connexions suivantes, aucun code n’est requis, sauf si <strong>le</strong>s réglages du Code à l’écran sont activés.<br />
Le rétablissement des réglages par défaut d’une <strong>App<strong>le</strong></strong> TV ou d’un client précédemment jumelé<br />
rétablit <strong>le</strong>s conditions de connexion initia<strong>le</strong>s.<br />
Les connexions AirPlay pair-à-pair sont toujours sécurisées avec la fonction Demande de vérification<br />
des appareils. Ce réglage n’est pas configurab<strong>le</strong> par l’utilisateur et il empêche <strong>le</strong>s utilisateurs<br />
non autorisés à proximité d’accéder à une <strong>App<strong>le</strong></strong> TV.<br />
Remarque : Pour <strong>le</strong>s appareils ne se trouvant pas sur un réseau d’infrastructure, <strong>le</strong> signa<strong>le</strong>ment<br />
par Bonjour des <strong>App<strong>le</strong></strong> TV (A1469 ou modè<strong>le</strong> ultérieur) est déc<strong>le</strong>nché par Bluetooth.<br />
Services basés sur des standards<br />
Avec la gestion des protoco<strong>le</strong>s de messagerie IMAP, des services d’annuaire LDAP ainsi que des<br />
protoco<strong>le</strong>s de ca<strong>le</strong>ndrier CalDAV et de contacts CardDAV, <strong>iOS</strong> et OS X peuvent s’intégrer à la<br />
quasi-totalité des environnements standard. Si l’environnement réseau est configuré de manière<br />
à exiger l’authentification de l’utilisateur et SSL, <strong>iOS</strong> et OS X offrent une approche hautement<br />
sécurisée de l’accès aux e-mails, ca<strong>le</strong>ndriers, tâches et contacts standard de l’entreprise. Avec SSL,<br />
<strong>iOS</strong> et OS X prennent en charge <strong>le</strong> chiffrement 128 bits et <strong>le</strong>s certificats racine X.509 publiés par<br />
<strong>le</strong>s principa<strong>le</strong>s autorités de certification.<br />
Dans <strong>le</strong> cadre d’un dé<strong>ploiement</strong> type, <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> accèdent directement aux serveurs de<br />
messagerie IMAP et SMTP <strong>pour</strong> envoyer et recevoir <strong>le</strong>s e-mails en mode OTA (ou, dans <strong>le</strong> cas d’un<br />
Mail, en mode OTA ou via Ethernet) et ajouter des discussions à la liste VIP. Ils peuvent éga<strong>le</strong>ment<br />
synchroniser sans fil <strong>le</strong>s notes avec des serveurs IMAP. Les appareils <strong>App<strong>le</strong></strong> peuvent se connecter<br />
aux répertoires LDAPv3 de votre organisation, ce qui permet aux utilisateurs d’accéder aux<br />
contacts de l’entreprise dans <strong>le</strong>s apps Mail, Contacts et Messages. La prise en charge de CardDAV<br />
permet à vos utilisateurs de disposer d’un ensemb<strong>le</strong> de contacts synchronisés avec votre serveur<br />
CardDAV au format vCard. La synchronisation avec votre serveur CalDAV permet à vos utilisateurs<br />
d’effectuer <strong>le</strong>s actions suivantes :<br />
••<br />
Créer et accepter des invitations dans un ca<strong>le</strong>ndrier<br />
••<br />
Consulter <strong>le</strong>s informations de disponibilité du ca<strong>le</strong>ndrier d’un invité<br />
••<br />
Créer des événements de ca<strong>le</strong>ndrier privés<br />
••<br />
Configurer des événements récurrents personnalisés<br />
••<br />
Afficher <strong>le</strong>s numéros de semaine dans Ca<strong>le</strong>ndrier<br />
••<br />
Recevoir des mises à jour de ca<strong>le</strong>ndrier<br />
••<br />
Synchroniser <strong>le</strong>s tâches avec l’app Rappels<br />
Tous <strong>le</strong>s services et serveurs réseau peuvent se trouver au sein d’un sous-réseau de zone démilitarisée,<br />
derrière un coupe-feu d’entreprise, ou <strong>le</strong>s deux.<br />
Chapitre 4 Infrastructure et intégration 35
Certificats numériques<br />
Les appareils <strong>App<strong>le</strong></strong> prennent en charge <strong>le</strong>s certificats et <strong>le</strong>s identités numériques, offrant ainsi à<br />
votre organisation un accès simplifié aux services d’entreprise. Ces certificats peuvent être utilisés<br />
de bien des façons. Par exemp<strong>le</strong>, <strong>le</strong> navigateur Safari peut vérifier la validité d’un certificat<br />
numérique X.509 et établir une session sécurisée avec un chiffrement AES jusqu’à 256 bits. Cela<br />
comprend la vérification que l’identité du site est légitime et que la communication avec <strong>le</strong> site<br />
web est protégée <strong>pour</strong> éviter toute interception de données personnel<strong>le</strong>s ou confidentiel<strong>le</strong>s.<br />
Les certificats peuvent être utilisés <strong>pour</strong> garantir l’identité de l’auteur, ou « signataire »,<br />
et peuvent éga<strong>le</strong>ment servir à chiffrer des profils de configuration et des communications réseau<br />
<strong>pour</strong> protéger plus avant <strong>le</strong>s informations confidentiel<strong>le</strong>s ou privées.<br />
Utiliser des certificats avec des appareils <strong>App<strong>le</strong></strong><br />
Les appareils <strong>App<strong>le</strong></strong> incluent différents certificats racine préinstallés, délivrés par différentes autorités<br />
de certification (AC) et <strong>iOS</strong> valide la fiabilité de ces certificats racine. Si <strong>iOS</strong> ne parvient pas<br />
à valider la chaîne de confiance de l’AC signataire, <strong>le</strong> service rencontrera une erreur. Par exemp<strong>le</strong>,<br />
un certificat auto-signé ne peut pas être vérifié par défaut dans <strong>iOS</strong>. Pour consulter la liste<br />
actuel<strong>le</strong> des certificats racine de confiance dans <strong>iOS</strong>, reportez-vous à l’artic<strong>le</strong> d’assistance <strong>App<strong>le</strong></strong><br />
<strong>iOS</strong> 8 : liste des certificats racine de confiance disponib<strong>le</strong>s.<br />
Les appareils <strong>iOS</strong> peuvent actualiser sans fil <strong>le</strong>s certificats au cas où l’un ou l’autre des certificats<br />
racine préinstallés serait compromis. Pour désactiver cette option, une restriction de la solution<br />
MDM permet d’empêcher <strong>le</strong>s actualisations de certificats à distance.<br />
Ces certificats numériques peuvent être utilisés <strong>pour</strong> identifier un client ou un serveur de<br />
manière sécurisée, et <strong>pour</strong> chiffrer la communication entre l’un et l’autre à l’aide de la paire de<br />
clés publique et privée. Un certificat contient une clé publique, des informations sur <strong>le</strong> client<br />
(ou serveur) et est signé (vérifié) par une AC.<br />
Un certificat et sa clé privée associée sont connus sous <strong>le</strong> nom d’identité. Les certificats peuvent<br />
être distribués librement, mais <strong>le</strong>s identités doivent être préservées. Le certificat librement distribué,<br />
et en particulier la clé publique correspondante, sont utilisés <strong>pour</strong> <strong>le</strong> chiffrement, <strong>le</strong>quel<br />
ne peut être déchiffré qu’avec cette clé publique. Pour sécuriser la clé privée d’une identité,<br />
cel<strong>le</strong>-ci est stockée dans un fichier PKCS12 chiffré à l’aide d’une autre clé protégée par une phrase<br />
secrète. Une identité peut être utilisée dans un but d’authentification (ex. : 802.1x EAP-TLS),<br />
de signature ou de chiffrement (ex. : S/MIME).<br />
Voici la liste des certificats et formats d’identité pris en charge sur <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> :<br />
••<br />
Certificats X.509 avec clés RSA<br />
••<br />
Certificat : .cer, .crt, .der<br />
••<br />
Identité : .pfx, .p12<br />
Déployez des certificats afin d’établir une relation de confiance avec <strong>le</strong>s autorités de certification<br />
(AC) qui ne sont pas reconnues fiab<strong>le</strong>s par défaut (comme, par exemp<strong>le</strong>, une autorité émettrice<br />
de certificats appartenant à une organisation).<br />
Distribuer et instal<strong>le</strong>r des certificats<br />
La distribution manuel<strong>le</strong> de certificats à des appareils <strong>iOS</strong> est un processus simp<strong>le</strong>. Lorsqu’ils<br />
reçoivent un certificat, <strong>le</strong>s utilisateurs peuvent en examiner <strong>le</strong> contenu, puis l’ajouter à <strong>le</strong>ur<br />
appareil, en quelques touchers. Lorsqu’un certificat d’identité est installé, <strong>le</strong>s utilisateurs sont<br />
invités à saisir <strong>le</strong> mot de passe qui <strong>le</strong> protège. Si l’authenticité d’un certificat ne peut être vérifiée,<br />
celui-ci est présenté comme non fiab<strong>le</strong> et l’utilisateur peut décider s’il veut ou non l’instal<strong>le</strong>r sur<br />
son appareil.<br />
Chapitre 4 Infrastructure et intégration 36
Instal<strong>le</strong>r des certificats à l’aide de profils de configuration<br />
Si vous utilisez des profils de configuration <strong>pour</strong> distribuer <strong>le</strong>s réglages de services d’entreprise<br />
tels que des e-mails S/MIME, VPN ou Wi-Fi, des certificats peuvent être ajoutés au profil <strong>pour</strong><br />
simplifier <strong>le</strong> dé<strong>ploiement</strong>. Cela comprend la possibilité de distribuer des certificats avec une<br />
solution MDM.<br />
Instal<strong>le</strong>r des certificats via Mail ou Safari<br />
Si un certificat est envoyé dans un e-mail, il apparaît sous la forme d’une pièce jointe. Safari peut<br />
aussi être utilisé <strong>pour</strong> télécharger des certificats à partir d’une page web. Vous pouvez héberger<br />
un certificat sur un site web sécurisé et fournir aux utilisateurs l’adresse URL à laquel<strong>le</strong> ils<br />
peuvent télécharger <strong>le</strong> certificat sur <strong>le</strong>urs appareils <strong>App<strong>le</strong></strong>.<br />
Suppression et révocation des certificats<br />
Pour supprimer manuel<strong>le</strong>ment un certificat préalab<strong>le</strong>ment installé, choisissez Réglages ><br />
Général > Gestion des appareils, sé<strong>le</strong>ctionnez un profil, choisissez Plus de détails et sé<strong>le</strong>ctionnez<br />
<strong>le</strong> certificat à supprimer. Si un utilisateur supprime un certificat nécessaire <strong>pour</strong> accéder à un<br />
compte ou à un réseau, l’appareil <strong>iOS</strong> ne <strong>pour</strong>ra plus se connecter à ces services.<br />
Un serveur MDM peut visualiser tous <strong>le</strong>s certificats figurant sur un appareil et supprimer tout<br />
certificat installé.<br />
Par ail<strong>le</strong>urs, <strong>le</strong>s protoco<strong>le</strong>s OCSP (Online Certificate Status Protocol) et CRL (Certificate Revocation<br />
List) sont pris en charge et permettent de vérifier <strong>le</strong> statut des certificats. Lorsqu’un certificat<br />
compatib<strong>le</strong> OCSP ou CRL est utilisé, <strong>iOS</strong> et OS X <strong>le</strong> valident régulièrement <strong>pour</strong> s’assurer qu’il n’a<br />
pas été révoqué.<br />
Authentification par signature unique (SSO)<br />
L’authentification par signature unique (SSO) est un processus par <strong>le</strong>quel un utilisateur peut fournir<br />
des informations d’authentification une fois, recevoir un ticket et l’utiliser <strong>pour</strong> accéder à des<br />
ressources aussi longtemps que <strong>le</strong> ticket est valide. Cette stratégie permet de maintenir un accès<br />
sécurisé à des ressources sans que <strong>le</strong> système doive demander ses informations d’authentification<br />
à l’utilisateur chaque fois qu’il demande l’accès. Cette option améliore éga<strong>le</strong>ment la sécurité<br />
de l’utilisation quotidienne des apps en veillant à ce que <strong>le</strong>s mots de passe ne soient jamais<br />
transmis sur <strong>le</strong> réseau.<br />
Sous <strong>iOS</strong> 7 ou ultérieur, <strong>le</strong>s apps peuvent profiter de votre infrastructure actuel<strong>le</strong> d’authentification<br />
par signature unique (SSO), via Kerberos. Le système d’authentification Kerberos utilisé par<br />
<strong>iOS</strong> 7 ou ultérieur est la technologie d’authentification par signature unique la plus couramment<br />
déployée au monde. Si vous disposez d’Active Directory, eDirectory ou Open Directory, il est<br />
probab<strong>le</strong> que vous ayez déjà un système Kerberos utilisab<strong>le</strong> par <strong>le</strong>s appareils exécutant <strong>iOS</strong> 7 ou<br />
ultérieur. Les appareils <strong>iOS</strong> doivent pouvoir contacter <strong>le</strong> service Kerberos à l’aide d’une connexion<br />
réseau <strong>pour</strong> authentifier <strong>le</strong>s utilisateurs. Sous <strong>iOS</strong> 8, <strong>le</strong>s certificats peuvent être utilisés <strong>pour</strong><br />
renouve<strong>le</strong>r si<strong>le</strong>ncieusement un ticket Kerberos, afin que <strong>le</strong>s utilisateurs puissent conserver des<br />
connexions à certains services utilisant Kerberos <strong>pour</strong> l’authentification.<br />
Apps prises en charge<br />
<strong>iOS</strong> offre une prise en charge f<strong>le</strong>xib<strong>le</strong> de l’authentification par signature unique (SSO) de<br />
Kerberos à toute app utilisant la classe NSURLConnection ou NSURLSession <strong>pour</strong> gérer <strong>le</strong>s<br />
connexions réseau et l’authentification. <strong>App<strong>le</strong></strong> fournit à tous <strong>le</strong>s développeurs ces structures de<br />
haut niveau <strong>pour</strong> que <strong>le</strong>s connexions réseau s’intègrent naturel<strong>le</strong>ment avec <strong>le</strong>urs apps. <strong>App<strong>le</strong></strong><br />
fournit éga<strong>le</strong>ment Safari en exemp<strong>le</strong>, <strong>pour</strong> que vous puissiez vous lancer en utilisant de façon<br />
native des sites web compatib<strong>le</strong>s SSO.<br />
Chapitre 4 Infrastructure et intégration 37
Configurer l’authentification par signature unique<br />
Vous pouvez configurer l’authentification par signature unique à l’aide de profils de configuration,<br />
qui peuvent être soit installés manuel<strong>le</strong>ment, soit gérés par une solution MDM. L’entité<br />
d’authentification par signature unique permet une configuration soup<strong>le</strong>. L’authentification par<br />
signature unique (SSO) peut être ouverte à toutes <strong>le</strong>s apps ou restreinte par identificateur d’app,<br />
par URL de service ou <strong>le</strong>s deux.<br />
Un filtrage par motif simp<strong>le</strong> est utilisé <strong>pour</strong> <strong>le</strong>s URL devant commencer soit par http://, soit<br />
par https://. La mise en correspondance se fait sur l’URL complète. Par conséquent, veil<strong>le</strong>z à ce<br />
qu’el<strong>le</strong>s soient exactement identiques. Par exemp<strong>le</strong>, la va<strong>le</strong>ur URLPreficMatches de<br />
https://www.examp<strong>le</strong>.com/ ne correspond pas à cel<strong>le</strong> de https://www.examp<strong>le</strong>.com:443/.<br />
Vous pouvez spécifier http:// ou https:// <strong>pour</strong> limiter l’utilisation de l’authentification SSO à des<br />
services sécurisés ou réguliers. Par exemp<strong>le</strong>, l’utilisation d’une va<strong>le</strong>ur URLPrefixMatches de<br />
https:// ne permet l’utilisation du compte SSO qu’avec des services HTTPS sécurisés. Si un filtrage<br />
par motif d’URL ne se termine pas par une barre oblique (/), une barre oblique (/) lui sera annexée.<br />
Le tab<strong>le</strong>au AppIdentifierMatches doit contenir des chaînes correspondant aux identifiants des<br />
bund<strong>le</strong>s d’apps. Ces chaînes peuvent être des correspondances exactes (com.mycompany.<br />
myapp, par exemp<strong>le</strong>) ou spécifier une correspondance de préfixe sur l’identifiant du bund<strong>le</strong> à<br />
l’aide du métacaractère (*). Le métacaractère doit figurer après un point (.) et uniquement à la<br />
fin de la chaîne (par examp<strong>le</strong> : com.mycompany.*). Lorsqu’un métacaractère est utilisé, l’accès au<br />
compte est accordé à toute app dont l’identifiant de bund<strong>le</strong> commence par <strong>le</strong> préfixe.<br />
Réseaux privés virtuels (VPN)<br />
Vue d’ensemb<strong>le</strong><br />
L’accès sécurisé aux réseaux d’entreprise privés est disponib<strong>le</strong> sur <strong>iOS</strong> et OS X via des protoco<strong>le</strong>s<br />
de réseau privé virtuel (VPN) standard bien établis. <strong>iOS</strong> et OS X prennent tout de suite en charge<br />
<strong>le</strong>s protoco<strong>le</strong>s Cisco IPSec, L2TP sur IPSec et PPTP. <strong>iOS</strong> prend éga<strong>le</strong>ment en charge <strong>le</strong> protoco<strong>le</strong><br />
IKEv2. Si votre organisation utilise déjà l’un de ces protoco<strong>le</strong>s, aucune autre configuration réseau<br />
ni aucune app tierce ne sont nécessaires <strong>pour</strong> connecter <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> à votre VPN.<br />
<strong>iOS</strong> et OS X prennent en charge <strong>le</strong>s VPN SSL des principaux fournisseurs de VPN. Comme <strong>pour</strong><br />
d’autres protoco<strong>le</strong>s VPN pris en charge par <strong>iOS</strong> et OS X, <strong>le</strong>s VPN SSL peuvent être configurés<br />
manuel<strong>le</strong>ment sur l’appareil <strong>App<strong>le</strong></strong> ou via des profils de configuration ou une solution de gestion<br />
des appareils mobi<strong>le</strong>s.<br />
<strong>iOS</strong> et OS X prennent éga<strong>le</strong>ment en charge <strong>le</strong>s technologies standard comme IPv6, <strong>le</strong>s serveurs<br />
proxy et la création de tunnel partagé, offrant une riche expérience VPN <strong>pour</strong> la connexion aux<br />
réseaux d’entreprise. <strong>iOS</strong> et OS X sont compatib<strong>le</strong>s avec différentes méthodes d’authentification<br />
comme <strong>le</strong>s mots de passe, <strong>le</strong>s jetons à deux facteurs et <strong>le</strong>s certificats numériques. OS X est aussi<br />
compatib<strong>le</strong> avec Kerberos. Pour simplifier la connexion dans <strong>le</strong>s environnements dans <strong>le</strong>squels<br />
une authentification basée sur <strong>le</strong>s certificats est utilisée, <strong>iOS</strong> et OS X offrent une fonctionnalité de<br />
VPN sur demande, qui démarre une session VPN lorsque cela est nécessaire <strong>pour</strong> se connecter<br />
aux domaines indiqués.<br />
Avec <strong>iOS</strong> 7 ou ultérieur et OS X Yosemite ou ultérieur, des apps peuvent être individuel<strong>le</strong>ment<br />
configurées de façon à utiliser une connexion VPN indépendamment des autres apps. Cela<br />
permet de garantir que <strong>le</strong>s données de l’entreprise circu<strong>le</strong>nt toujours via une connexion VPN,<br />
à la diffé<strong>rence</strong> des autres données, tel<strong>le</strong>s que cel<strong>le</strong>s des apps personnel<strong>le</strong>s qu’un employé s’est<br />
procurées sur l’App Store. Pour plus de détails, consultez la section Connexion VPN via l’app.<br />
Chapitre 4 Infrastructure et intégration 38
<strong>iOS</strong> propose éga<strong>le</strong>ment la fonctionnalité VPN toujours actif, avec laquel<strong>le</strong> un appareil <strong>iOS</strong> doit se<br />
connecter à un VPN connu et approuvé avant de pouvoir se connecter à tout service réseau.<br />
Vous pouvez utiliser la fonctionnalité VPN toujours actif <strong>pour</strong> <strong>le</strong>s configurations cellulaires et Wi-Fi.<br />
Par exemp<strong>le</strong>, avec la fonctionnalité VPN toujours actif, un appareil <strong>iOS</strong> doit se connecter à un VPN<br />
connu et approuvé avant de pouvoir se connecter à tout service réseau, tel qu’un service de messagerie,<br />
web ou de messages. Cette fonctionnalité dépend de la prise en charge de votre configuration<br />
par <strong>le</strong> fournisseur du réseau VPN et n’est disponib<strong>le</strong> que <strong>pour</strong> <strong>le</strong>s appareils supervisés.<br />
Pour en savoir plus, consultez la section Vue d’ensemb<strong>le</strong> de la fonctionnalité VPN toujours actif.<br />
Protoco<strong>le</strong>s et méthodes d’authentification pris en charge<br />
Les appareils <strong>iOS</strong> et OS X prennent en charge <strong>le</strong>s protoco<strong>le</strong>s et méthodes d’authentification<br />
suivants :<br />
••<br />
L2TP sur IPSec : Authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux<br />
facteurs, certificat et authentification des appareils par secret partagé ou par certificat.<br />
••<br />
VPN SSL : Authentification des utilisateurs par mot de passe, jeton à deux facteurs et certificats<br />
par <strong>le</strong> biais d’un client VPN tiers.<br />
••<br />
Cisco IPSec : Authentification des utilisateurs par mot de passe, jeton à deux facteurs et<br />
authentification des appareils par secret partagé et certificat.<br />
••<br />
IKEv2 : Certificats (RSA uniquement), EAP-TLS, EAP-MSCHAP v2. (<strong>iOS</strong> uniquement)<br />
••<br />
PPTP : Authentification des utilisateurs par mot de passe MS-CHAP v2, certificat et jeton à<br />
deux facteurs.<br />
OS X peut éga<strong>le</strong>ment utiliser l’authentification des machines Kerberos par secret partagé ou par<br />
certificat avec <strong>le</strong> protoco<strong>le</strong> L2TP sur IPSec et PPTP.<br />
Clients VPN SSL<br />
Plusieurs fournisseurs de solutions VPN SSL ont créé des apps qui simplifient la configuration des<br />
appareils <strong>iOS</strong> en vue d’une utilisation avec <strong>le</strong>ur solution. Pour configurer un appareil en vue d’une<br />
utilisation avec une solution en particulier, instal<strong>le</strong>z l’app correspondante à partir de l’App Store et,<br />
<strong>le</strong> cas échéant, fournissez un profil de configuration incluant <strong>le</strong>s réglages nécessaires.<br />
Quelques exemp<strong>le</strong>s de solutions VPN SSL :<br />
••<br />
VPN SSL AirWatch : Pour en savoir plus, consultez <strong>le</strong> site web AirWatch.<br />
••<br />
VPN SSL Aruba Networks : <strong>iOS</strong> prend en charge <strong>le</strong>s contrô<strong>le</strong>urs de mobilité Aruba Networks.<br />
Pour la configuration, instal<strong>le</strong>z l’app Aruba Networks VIA, disponib<strong>le</strong> dans l’App Store.<br />
Pour trouver des coordonnées de contact, consultez <strong>le</strong> site web Aruba Networks.<br />
••<br />
VPN SSL Check Point Mobi<strong>le</strong> : <strong>iOS</strong> prend en charge Check Point Security Gateway avec un tunnel<br />
VPN comp<strong>le</strong>t de couche 3. Instal<strong>le</strong>z l’app Check Point Mobi<strong>le</strong>, disponib<strong>le</strong> dans l’App Store.<br />
••<br />
VPN SSL Cisco AnyConnect : <strong>iOS</strong> prend en charge Cisco Adaptive Security Appliance (ASA)<br />
exécutant l’image logiciel<strong>le</strong> 8.2.5 ou ultérieure. Instal<strong>le</strong>z l’app Cisco AnyConnect, disponib<strong>le</strong><br />
dans l’App Store.<br />
••<br />
VPN SSL F5 : <strong>iOS</strong> prend en charge <strong>le</strong>s solutions VPN SSL F5 BIG-IP Edge Gateway, Access Policy<br />
Manager et FirePass. Instal<strong>le</strong>z l’app F5 BIG-IP Edge Client, disponib<strong>le</strong> dans l’App Store.<br />
Pour en savoir plus, reportez-vous au dossier technique F5,<br />
Secure iPhone Access to Corporate Web Applications.<br />
••<br />
VPN SSL Juniper Junos Pulse : <strong>iOS</strong> prend en charge <strong>le</strong>s passerel<strong>le</strong>s VPN SSL série SA de Juniper<br />
Network, exécutant la version 6.4 ou ultérieure avec <strong>le</strong> paquet Juniper Networks IVE version 7.0<br />
ou ultérieure. Instal<strong>le</strong>z l’app Junos Pulse, disponib<strong>le</strong> dans l’App Store.<br />
Chapitre 4 Infrastructure et intégration 39
Pour en savoir plus, consultez la page Junos Pulse sur <strong>le</strong> site web Juniper Networks.<br />
••<br />
VPN SSL Mobi<strong>le</strong> Iron : Pour en savoir plus, consultez <strong>le</strong> site web Mobi<strong>le</strong> Iron.<br />
••<br />
VPN SSL NetMotion : Pour en savoir plus, consultez <strong>le</strong> site web NetMotion.<br />
••<br />
VPN SSL OpenVPN : <strong>iOS</strong> prend en charge OpenVPN Access Server, Private Tunnel et la communauté<br />
OpenVPN. Pour la configuration, instal<strong>le</strong>z l’app OpenVPN Connect, disponib<strong>le</strong> dans<br />
l’App Store.<br />
••<br />
VPN SSL Palo Alto Networks GlobalProtect : <strong>iOS</strong> prend en charge la passerel<strong>le</strong> GlobalProtect de<br />
Palo Alto Networks. Instal<strong>le</strong>z l’app GlobalProtect for <strong>iOS</strong>, disponib<strong>le</strong> dans l’App Store.<br />
••<br />
VPN SSL SonicWALL : <strong>iOS</strong> prend en charge <strong>le</strong>s appliances d’accès sécurisé à distance (en anglais<br />
« Secure Remote Access » ou « SRA ») E-Class SonicWALL Aventall exécutant la version 10.5.4<br />
ou ultérieure, <strong>le</strong>s appliances SRA SonicWALL exécutant la version 5.5 ou ultérieure et <strong>le</strong>s<br />
appliances de pare-feux SonicWALL de nouvel<strong>le</strong> génération, notamment <strong>le</strong>s gammes NSA,<br />
TZ et E-Class NSA exécutant SonicOS version 5.8.1.0 ou ultérieure. Instal<strong>le</strong>z l’app SonicWALL<br />
Mobi<strong>le</strong> Connect, disponib<strong>le</strong> dans l’App Store.<br />
Pour en savoir plus, consultez <strong>le</strong> site web SonicWALL.<br />
Instructions <strong>pour</strong> la configuration d’un VPN<br />
Instructions <strong>pour</strong> la configuration d’un VPN Cisco IPSec<br />
Suivez ces consignes <strong>pour</strong> configurer votre serveur VPN Cisco <strong>pour</strong> l’utiliser avec <strong>le</strong>s appareils<br />
<strong>iOS</strong>. <strong>iOS</strong> prend en charge <strong>le</strong>s appliances de sécurité Cisco ASA 5500 et <strong>le</strong>s pare-feu PIX configurés<br />
avec <strong>le</strong> logiciel 7.2.x ou ultérieur. La dernière version du logiciel (8.0.x ou ultérieur) est recommandée.<br />
<strong>iOS</strong> prend aussi en charge <strong>le</strong>s routeurs VPN Cisco IOS avec IOS 12.4(15)T ou ultérieur.<br />
Les concentrateurs série VPN 3000 ne prennent pas en charge <strong>le</strong>s fonctionnalités VPN d’<strong>iOS</strong>.<br />
Configuration du proxy<br />
Pour toutes <strong>le</strong>s configurations, vous pouvez spécifier un proxy VPN :<br />
••<br />
Pour configurer un seul proxy <strong>pour</strong> toutes <strong>le</strong>s connexions, utilisez <strong>le</strong> réglage Manuel et fournissez<br />
l’adresse, <strong>le</strong> port et l’authentification si nécessaire.<br />
••<br />
Pour attribuer à l’appareil un fichier de configuration automatique du proxy à l’aide de PAC ou<br />
WPAD, utilisez <strong>le</strong> réglage Auto. Pour PACS, spécifiez l’URL du fichier PACS ou JavaScript. Pour<br />
WPAD, <strong>iOS</strong> interroge <strong>le</strong>s serveurs DHCP et DNS afin d’obtenir <strong>le</strong>s bons réglages.<br />
La configuration du proxy VPN est utilisée lorsque <strong>le</strong> VPN fournir <strong>le</strong>s éléments suivants :<br />
••<br />
La résolution et la route par défaut : Le proxy VPN est utilisé <strong>pour</strong> toutes <strong>le</strong>s requêtes web<br />
envoyées au système.<br />
••<br />
Une séparation des flux : Seu<strong>le</strong>s <strong>le</strong>s connexions aux hôtes correspondant aux domaines de<br />
recherche DNS du VPN utilisent <strong>le</strong> proxy VPN.<br />
Méthodes d’authentification<br />
<strong>iOS</strong> prend en charge <strong>le</strong>s méthodes d’authentification suivantes :<br />
••<br />
L’authentification IPsec par clé prépartagée avec authentification des utilisateurs par xauth.<br />
••<br />
Les certificats client et serveur <strong>pour</strong> l’authentification IPSec avec authentification des utilisateurs<br />
facultative par xauth.<br />
••<br />
L’authentification hybride où <strong>le</strong> serveur fournit un certificat et <strong>le</strong> client fournit une clé prépartagée<br />
<strong>pour</strong> l’authentification IPsec. L’authentification de l’utilisateur est requise via xauth.<br />
••<br />
L’authentification des utilisateurs est fournie par xauth et couvre <strong>le</strong>s méthodes d’authentification<br />
suivantes :<br />
••<br />
Nom d’utilisateur avec mot de passe<br />
Chapitre 4 Infrastructure et intégration 40
••<br />
RSA SecurID<br />
••<br />
CRYPTOCard<br />
Groupes d’authentification<br />
Le protoco<strong>le</strong> Cisco Unity utilise des groupes d’authentification <strong>pour</strong> regrouper <strong>le</strong>s utilisateurs en<br />
fonction d’un jeu commun de paramètres. Il est recommandé de créer un groupe d’authentification<br />
<strong>pour</strong> <strong>le</strong>s utilisateurs d’<strong>iOS</strong>. Pour l’authentification hybride et par clé prépartagée, <strong>le</strong> nom du<br />
groupe doit être configuré sur l’appareil avec <strong>le</strong> secret partagé (clé prépartagée) comme mot de<br />
passe du groupe.<br />
Si vous utilisez une authentification par certificat, il n’y a pas de secret partagé. Le groupe<br />
d’un utilisateur est déterminé à partir des champs du certificat. Les réglages du serveur Cisco<br />
peuvent être utilisés <strong>pour</strong> mettre en correspondance des champs du certificat avec des groupes<br />
d’utilisateurs.<br />
RSA-Sig doit avoir la priorité maxima<strong>le</strong> sur la liste de priorité ISAKMP.<br />
Certificats<br />
Lors de la configuration et de l’installation des certificats :<br />
••<br />
Le certificat d’identité du serveur doit contenir <strong>le</strong> nom DNS ou l’adresse IP du serveur dans<br />
<strong>le</strong> champ SubjectAltName. L’appareil utilise cette information <strong>pour</strong> vérifier que <strong>le</strong> certificat<br />
appartient bien au serveur. Pour plus de f<strong>le</strong>xibilité, vous pouvez indiquer <strong>le</strong> nom alternatif<br />
de sujet en utilisant des métacaractères <strong>pour</strong> la mise en correspondance segment par segment,<br />
par exemp<strong>le</strong>, vpn.*.mon_entreprise.com. Si aucune va<strong>le</strong>ur n’est indiquée dans <strong>le</strong> champ<br />
SubjectAltName, vous pouvez mettre <strong>le</strong> nom DNS dans <strong>le</strong> champ de nom commun.<br />
••<br />
Le certificat de l’autorité de certification qui a signé <strong>le</strong> certificat du serveur doit être installé sur<br />
l’appareil. S’il ne s’agit pas d’un certificat racine, instal<strong>le</strong>z <strong>le</strong> reste de la chaîne de confiance afin<br />
que la confiance soit accordée au certificat. Si des certificats clients sont utilisés, vérifiez que<br />
<strong>le</strong> certificat de l’autorité de certification de confiance qui a signé <strong>le</strong> certificat du client est bien<br />
installé sur <strong>le</strong> serveur VPN. Lors de l’utilisation d’une authentification par certificats, vérifiez que<br />
<strong>le</strong> serveur est bien configuré <strong>pour</strong> identifier <strong>le</strong> groupe d’utilisateurs en fonction des champs<br />
du certificat client.<br />
Important : Les certificats et <strong>le</strong>s autorités de certification doivent être valides (pas arrivés à<br />
expiration, par exemp<strong>le</strong>). L’envoi de chaînes de certificat par <strong>le</strong> serveur n’est pas pris en charge.<br />
Réglages et descriptions IPSec<br />
IPSec offre plusieurs réglages que vous pouvez utiliser <strong>pour</strong> définir l’implémentation :<br />
••<br />
Mode : Mode tunnel.<br />
••<br />
Modes d’échange de clés par Internet : Mode agressif <strong>pour</strong> l’authentification par clé prépartagée<br />
et hybride ou mode principal <strong>pour</strong> l’authentification par certificat.<br />
••<br />
Algorithmes de chiffrement : 3DES, AES-128 ou AES-256.<br />
••<br />
Algorithmes d’authentification : HMAC-MD5 ou HMAC-SHA1.<br />
••<br />
Groupes Diffie-Hellman : Le groupe 2 est obligatoire <strong>pour</strong> l’authentification par clé prépartagée<br />
et l’authentification hybride. Groupe 2 avec 3DES et AES-128 <strong>pour</strong> l’authentification des certificats.<br />
Groupe 2 ou 5 avec AES-256.<br />
••<br />
PFS (Perfect Forward Secrecy) : Échange de clés par Internet (IKE) phase 2, si PFS est utilisé,<br />
<strong>le</strong> groupe Diffie-Hellman doit être <strong>le</strong> même que celui qui était utilisé <strong>pour</strong> IKE phase 1.<br />
••<br />
Configuration du mode : Doit être activée.<br />
••<br />
Détection des pairs morts : Recommandée.<br />
Chapitre 4 Infrastructure et intégration 41
••<br />
Transversal NAT standard : Non pris en charge et activab<strong>le</strong> au besoin (IPSec sur TCP n’est pas<br />
pris en charge).<br />
••<br />
Équilibrage de la charge : Pris en charge et peut être activé.<br />
••<br />
Recomposition de la phase 1 : Pas prise en charge <strong>pour</strong> <strong>le</strong> moment. Il est recommandé de rég<strong>le</strong>r<br />
sur 1 heure <strong>le</strong>s temps de recomposition sur <strong>le</strong> serveur.<br />
••<br />
Masque d’adresse ASA : Assurez-vous que <strong>le</strong> masque de réserve d’adresse de tous <strong>le</strong>s appareils<br />
n’est pas défini ou qu’il est défini sur 255.255.255.255. Par exemp<strong>le</strong> :<br />
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask<br />
255.255.255.255.<br />
Si <strong>le</strong> masque d’adresse recommandé est utilisé, certaines routes utilisées par la configuration<br />
VPN sont susceptib<strong>le</strong>s d’être ignorées. Pour éviter cela, assurez-vous que votre tab<strong>le</strong>au de<br />
routage contient toutes <strong>le</strong>s routes nécessaires et vérifiez que <strong>le</strong>s adresses de sous-réseau sont<br />
accessib<strong>le</strong>s avant <strong>le</strong> dé<strong>ploiement</strong>.<br />
••<br />
Version d’application : La version du logiciel client est envoyée au serveur, ce qui lui permet<br />
d’accepter ou de rejeter des connexions en fonction de la version du logiciel de l’appareil.<br />
••<br />
Bannière : La bannière, si el<strong>le</strong> est configurée sur <strong>le</strong> serveur, est affichée sur l’appareil et l’utilisateur<br />
doit l’accepter ou se déconnecter.<br />
••<br />
Split Tunnel : Pris en charge.<br />
••<br />
Split DNS : Pris en charge.<br />
••<br />
Domaine par défaut : Pris en charge.<br />
Connexion VPN via l’app<br />
Avec <strong>iOS</strong> et OS X, <strong>le</strong>s connexions VPN peuvent être établies par app. Cette approche permet<br />
de déterminer plus précisément quel<strong>le</strong>s données transitent ou non par <strong>le</strong> VPN. Avec <strong>le</strong> VPN à<br />
l’échel<strong>le</strong> de l’appareil, toutes <strong>le</strong>s données, quel<strong>le</strong> qu’en soit l’origine, transitent via <strong>le</strong> réseau privé.<br />
Cette capacité à discriminer <strong>le</strong> trafic au niveau des apps permet de séparer <strong>le</strong>s données personnel<strong>le</strong>s<br />
de cel<strong>le</strong>s de l’entreprise. Comme un nombre croissant d’appareils personnels sont utilisés<br />
au sein des entreprises, <strong>le</strong> VPN via l’app permet d’assurer des connexions réseau sécurisées <strong>pour</strong><br />
<strong>le</strong>s apps à usage interne, tout en préservant la confidentialité des activités personnel<strong>le</strong>s.<br />
Le VPN via l’app permet à chaque app gérée par la solution MDM de communiquer avec <strong>le</strong><br />
réseau privé via un tunnel sécurisé et empêche <strong>le</strong>s apps non gérées figurant sur <strong>le</strong>s appareils<br />
<strong>App<strong>le</strong></strong> d’utiliser ce même réseau. Pour préserver plus encore <strong>le</strong>s données, <strong>le</strong>s apps gérées<br />
peuvent être configurées avec des connexions VPN différentes. Par exemp<strong>le</strong>, une app de devis<br />
commerciaux <strong>pour</strong>ra exploiter un centre de données entièrement différent de celui qu’utilisera<br />
une app de comptabilité fournisseurs, tandis que <strong>le</strong> trafic lié à la navigation web personnel<strong>le</strong><br />
de l’utilisateur utilisera l’Internet public. Cette capacité à discriminer <strong>le</strong> trafic au niveau des apps<br />
permet de séparer <strong>le</strong>s données personnel<strong>le</strong>s de cel<strong>le</strong>s de l’entreprise.<br />
Pour utiliser <strong>le</strong> VPN via l’app, une app doit être gérée par la solution MDM et exploiter <strong>le</strong>s API de<br />
mise en réseau standard. Une fois que vous avez activé <strong>le</strong> VPN via l’app <strong>pour</strong> une quelconque<br />
connexion VPN, vous devez associer cette connexion aux apps qui l’utiliseront afin de sécuriser <strong>le</strong><br />
trafic réseau <strong>pour</strong> ces apps. Cette opération nécessite l’utilisation des données uti<strong>le</strong>s de mappage<br />
de l’app utilisant <strong>le</strong> VPN via l’app dans un profil de configuration. Le VPN via l’app est configuré à<br />
l’aide d’une configuration MDM qui définit quel<strong>le</strong>s apps et quels domaines Safari sont autorisés à<br />
utiliser ces réglages.<br />
Pour en savoir plus sur la prise en charge du VPN via l’app, contactez <strong>le</strong>s fournisseurs VPN ou<br />
SSL tiers.<br />
Chapitre 4 Infrastructure et intégration 42
Activer VPN sur demande<br />
Vue d’ensemb<strong>le</strong><br />
Le VPN sur demande permet aux appareils <strong>App<strong>le</strong></strong> d’établir automatiquement une connexion<br />
sécurisée sans aucune intervention de l’utilisateur. La connexion VPN est lancée en fonction des<br />
besoins, selon des règ<strong>le</strong>s définies dans un profil de configuration. Le VPN sur demande requiert<br />
une authentification basée sur un certificat.<br />
Le VPN sur demande est configuré à l’aide de la clé OnDemandRu<strong>le</strong>s dans l’entité VPN d’un profil<br />
de configuration. Les règ<strong>le</strong>s s’appliquent en deux étapes :<br />
••<br />
Étape de détection du réseau : Définit <strong>le</strong>s exigences VPN s’appliquant en cas de changement de<br />
la connexion réseau principa<strong>le</strong> de l’appareil.<br />
••<br />
Étape d’évaluation de la connexion : Définit <strong>le</strong>s exigences VPN <strong>pour</strong> <strong>le</strong>s demandes de connexion<br />
auprès de noms de domaines, en fonction des besoins.<br />
Par exemp<strong>le</strong>, des règ<strong>le</strong>s peuvent être utilisées <strong>pour</strong> :<br />
••<br />
Déterminer qu’un appareil <strong>App<strong>le</strong></strong> est connecté à un réseau interne et que la connexion VPN<br />
n’est pas nécessaire.<br />
••<br />
Déterminer qu’un réseau Wi-Fi inconnu est utilisé et que la connexion VPN est nécessaire <strong>pour</strong><br />
toute l’activité réseau.<br />
••<br />
Exiger une connexion VPN en cas d’échec d’une demande de nom de domaine spécifique<br />
auprès du serveur DNS.<br />
Étapes<br />
Le VPN sur demande se connecte à votre réseau en deux étapes.<br />
Étape de détection du réseau<br />
Les règ<strong>le</strong>s régissant <strong>le</strong> VPN sur demande sont évaluées en cas de changement de l’interface<br />
réseau principa<strong>le</strong> de l’appareil, comme lorsqu’un appareil <strong>App<strong>le</strong></strong> change de réseau Wi-Fi ou passe<br />
d’un réseau Wi-Fi à un réseau cellulaire sous <strong>iOS</strong>, ou Ethernet sous OS X. Si l’interface principa<strong>le</strong><br />
est une interface virtuel<strong>le</strong>, comme une interface de VPN, <strong>le</strong>s règ<strong>le</strong>s régissant <strong>le</strong> VPN sur demande<br />
ne sont pas prises en compte.<br />
Les règ<strong>le</strong>s correspondantes de chaque ensemb<strong>le</strong> (dictionnaire) doivent toutes correspondre <strong>pour</strong><br />
que l’action associée soit engagée. Si l’une des règ<strong>le</strong>s ne correspond pas, l’évaluation passe au<br />
dictionnaire suivant dans <strong>le</strong> tab<strong>le</strong>au, jusqu’à épuisement du tab<strong>le</strong>au OnDemandRu<strong>le</strong>s.<br />
Le dernier dictionnaire doit définir une configuration « par défaut », c’est-à-dire qu’il ne doit<br />
comprendre aucune règ<strong>le</strong> correspondante, seu<strong>le</strong>ment une action. Cela permettra d’intercepter<br />
toutes <strong>le</strong>s connexions n’offrant pas de correspondance aux règ<strong>le</strong>s précédentes.<br />
Étape d’évaluation de la connexion<br />
La connexion VPN peut être déc<strong>le</strong>nchée en fonction des besoins à partir d’une demande de<br />
connexion à certains domaines, et non unilatéra<strong>le</strong>ment en fonction de l’interface réseau.<br />
Règ<strong>le</strong>s et actions<br />
Les règ<strong>le</strong>s aident à définir <strong>le</strong>s types de réseaux associés au VPN sur demande. Les actions aident à<br />
définir ce qu’il se passe lorsque <strong>le</strong>s règ<strong>le</strong>s de correspondance sont vraies.<br />
Chapitre 4 Infrastructure et intégration 43
Règ<strong>le</strong>s de correspondance Sur demande<br />
Précisez une ou plusieurs des règ<strong>le</strong>s de correspondance suivantes <strong>pour</strong> <strong>le</strong>s clients Cisco IPSec :<br />
••<br />
InterfaceTypeMatch : Facultatif. Va<strong>le</strong>ur de chaîne « Cellulaire (<strong>pour</strong> <strong>iOS</strong>) ou Ethernet (<strong>pour</strong><br />
OS X) » ou « Wi-Fi ». Si el<strong>le</strong> est spécifiée, cette règ<strong>le</strong> correspond lorsque <strong>le</strong> matériel de l’interface<br />
principa<strong>le</strong> est du type indiqué.<br />
••<br />
SSIDMatch : Facultatif. Tab<strong>le</strong>au de SSID, dont l’un doit correspondre au réseau en cours d’utilisation.<br />
Si <strong>le</strong> réseau n’est pas un réseau Wi-Fi ou si son SSID n’apparaît pas dans la liste,<br />
la correspondance échoue. Omettez cette clé et son tab<strong>le</strong>au <strong>pour</strong> ignorer <strong>le</strong> SSID.<br />
••<br />
DNSDomainMatch : Facultatif. Tab<strong>le</strong>au de domaines de recherche sous forme de chaînes.<br />
Si <strong>le</strong> domaine de recherche DNS configuré <strong>pour</strong> <strong>le</strong> réseau principal en cours d’utilisation figure<br />
dans <strong>le</strong> tab<strong>le</strong>au, cette propriété correspond. Le préfixe sous forme de métacaractère (*) est pris<br />
en charge : *.examp<strong>le</strong>.com trouverait une correspondance avec anything.examp<strong>le</strong>.com.<br />
••<br />
DNSServerAddressMatch : Facultatif. Tab<strong>le</strong>au d’adresses de serveurs DNS sous forme de chaînes.<br />
Si toutes <strong>le</strong>s adresses de serveur DNS actuel<strong>le</strong>ment configurées <strong>pour</strong> l’interface principa<strong>le</strong><br />
figurent dans <strong>le</strong> tab<strong>le</strong>au, cette propriété correspondra. Le métacaractère * est pris en charge ;<br />
par exemp<strong>le</strong>, « 1.2.3.* » correspond à tout serveur DNS dotés du préfixe 1.2.3.<br />
••<br />
URLStringProbe : Facultatif. Serveur permettant de sonder l’accessibilité. La redirection n’est<br />
pas prise en charge. L’URL doit être cel<strong>le</strong> d’un serveur HTTPS fiab<strong>le</strong>. L’appareil envoie une<br />
requête GET <strong>pour</strong> vérifier que <strong>le</strong> serveur peut être atteint.<br />
Action<br />
Cette clé requise définit <strong>le</strong> comportement que doit adopter <strong>le</strong> VPN lorsque toutes <strong>le</strong>s règ<strong>le</strong>s de<br />
correspondance spécifiées sont vérifiées. Les va<strong>le</strong>urs que peut prendre la clé Action sont <strong>le</strong>s<br />
suivantes :<br />
••<br />
Connect : Lance sans condition la connexion VPN lors de la tentative suivante de connexion<br />
au réseau.<br />
••<br />
Disconnect : Désactive la connexion VPN et ne déc<strong>le</strong>nche aucune nouvel<strong>le</strong> connexion<br />
sur demande.<br />
••<br />
Ignore : Maintient la connexion VPN existante, mais ne déc<strong>le</strong>nche aucune nouvel<strong>le</strong> connexion<br />
sur demande.<br />
••<br />
EvaluateConnection : Évalue <strong>le</strong>s ActionParameters <strong>pour</strong> chaque tentative de connexion.<br />
Lorsque cette option est utilisée, la clé ActionParameters, décrite ci-dessous, doit préciser <strong>le</strong>s<br />
règ<strong>le</strong>s d’évaluation.<br />
••<br />
Allow : Pour <strong>le</strong>s appareils <strong>iOS</strong> équipés d’<strong>iOS</strong> 6 ou d’une version antérieure, consultez la<br />
section Rétrocompatibilité.<br />
ActionParameters<br />
Ceci est un tab<strong>le</strong>au de dictionnaires contenant <strong>le</strong>s clés décrites ci-dessous, évalués dans <strong>le</strong>ur<br />
ordre d’apparition. Exigé lorsque <strong>le</strong> champ Action est défini sur EvaluateConnection.<br />
••<br />
Domains : Obligatoire. Tab<strong>le</strong>au de chaînes définissant <strong>le</strong>s domaines auxquels s’applique cette<br />
évaluation. Les préfixes sous forme de métacaractère son pris en charge. Vous pouvez donc<br />
utiliser, par exemp<strong>le</strong> *.examp<strong>le</strong>.com.<br />
••<br />
DomainAction : Obligatoire. Définit <strong>le</strong> comportement du VPN <strong>pour</strong> <strong>le</strong>s domaines. Les va<strong>le</strong>urs<br />
que peut prendre la clé DomainAction sont <strong>le</strong>s suivantes :<br />
••<br />
ConnectIfNeeded : Fait apparaître <strong>le</strong> VPN en cas d’échec de la résolution DNS des domaines,<br />
comme lorsque <strong>le</strong> serveur DNS indique qu’il ne parvient pas à résoudre <strong>le</strong> nom de domaine,<br />
ou si la réponse du DNS est redirigée, ou encore si la connexion échoue ou dépasse <strong>le</strong><br />
temps imparti.<br />
••<br />
NeverConnect : Ne déc<strong>le</strong>nche pas <strong>le</strong> VPN <strong>pour</strong> <strong>le</strong>s domaines.<br />
Chapitre 4 Infrastructure et intégration 44
Lorsque DomainAction a <strong>pour</strong> va<strong>le</strong>ur ConnectIfNeeded, vous pouvez aussi spécifier <strong>le</strong>s clés suivantes<br />
dans <strong>le</strong> dictionnaire d’évaluation de la connexion :<br />
••<br />
RequiredDNSServers : Facultatif. Tab<strong>le</strong>au d’adresses IP de serveurs DNS à utiliser <strong>pour</strong> résoudre<br />
<strong>le</strong>s domaines. Il n’est pas nécessaire que ces serveurs fassent partie de la configuration réseau<br />
en cours de l’appareil. Si ces serveurs DNS sont hors d’atteinte, <strong>le</strong> VPN sera déc<strong>le</strong>nché.<br />
Pour obtenir une connexion régulière, configurez un serveur DNS interne ou un serveur DNS<br />
externe validé.<br />
••<br />
RequiredURLStringProbe : Facultatif. URL HTTP ou HTTPS (de préfé<strong>rence</strong>) <strong>pour</strong> sondage à l’aide<br />
d’une requête GET. Si la résolution DNS réussit <strong>pour</strong> ce serveur, <strong>le</strong> sondage doit, lui aussi,<br />
réussir. Si <strong>le</strong> sondage échoue, <strong>le</strong> VPN est déc<strong>le</strong>nché.<br />
Rétrocompatibilité<br />
Avant <strong>iOS</strong> 7, <strong>le</strong>s règ<strong>le</strong>s de déc<strong>le</strong>nchement de domaine étaient configurées par tab<strong>le</strong>au de<br />
domaines :<br />
••<br />
OnDemandMatchDomainAlways<br />
••<br />
OnDemandMatchDomainOnRetry<br />
••<br />
OnDemandMatchDomainNever<br />
Les cas OnRetry et Never sont toujours pris en charge dans <strong>iOS</strong> 7 ou ultérieur, bien que l’action<br />
EvaluateConnection <strong>le</strong>ur soit préférée.<br />
Pour créer un profil fonctionnant à la fois sur <strong>iOS</strong> 7 et sur <strong>le</strong>s précédentes versions, utilisez <strong>le</strong>s<br />
nouvel<strong>le</strong>s clés EvaluateConnection en plus des tab<strong>le</strong>aux OnDemandMatchDomain. Les versions<br />
précédentes d’<strong>iOS</strong> ne reconnaissant pas EvaluateConnection utilisent <strong>le</strong>s anciens tab<strong>le</strong>aux,<br />
tandis qu’<strong>iOS</strong> 7 et <strong>le</strong>s versions ultérieures utilisent EvaluateConnection.<br />
Les anciens profils de configuration qui spécifient l’action Allow fonctionneront sur <strong>iOS</strong> 7 ou ultérieur,<br />
à l’exception des domaines OnDemandMatchDomainsAlways.<br />
VPN toujours actif<br />
Vue d’ensemb<strong>le</strong><br />
La fonction VPN toujours actif offre à votre organisation un contrô<strong>le</strong> comp<strong>le</strong>t sur <strong>le</strong> trafic des<br />
appareils en créant un tunnel <strong>pour</strong> rediriger tout <strong>le</strong> trafic IP vers l’organisation. Le protoco<strong>le</strong><br />
de création de tunnel par défaut, IKEv2, sécurise toutes <strong>le</strong>s transmissions de trafic en chiffrant<br />
<strong>le</strong>s données. Votre organisation peut maintenant contrô<strong>le</strong>r et filtrer <strong>le</strong> trafic entrant et sortant<br />
de ses appareils, sécuriser <strong>le</strong>s données au sein de son réseau et restreindre l’accès à Internet<br />
des appareils.<br />
Pour activer <strong>le</strong> VPN toujours actif, <strong>le</strong>s appareils doivent être supervisés. Une fois <strong>le</strong> profil VPN<br />
toujours actif installé sur un appareil, cette fonctionnalité est automatiquement activée,<br />
sans intervention de l’utilisateur. Le VPN toujours actif reste activé (même si l’appareil est<br />
redémarré) jusqu’à ce que <strong>le</strong> profil VPN toujours actif soit désinstallé.<br />
Chapitre 4 Infrastructure et intégration 45
Si <strong>le</strong> VPN toujours actif est activé sur un appareil, l’utilisation ou non du tunnel VPN est liée à<br />
l’état du protoco<strong>le</strong> IP de l’interface. Lorsque l’interface accède au réseau IP, l’appareil tente<br />
d’utiliser <strong>le</strong> tunnel. Lorsque l’état du protoco<strong>le</strong> IP de l’interface se dégrade, <strong>le</strong> tunnel est désactivé.<br />
VPN toujours actif prend éga<strong>le</strong>ment en charge <strong>le</strong>s tunnels par interface. Pour <strong>le</strong>s appareils <strong>iOS</strong>,<br />
il y a un tunnel par interface IP active (c’est-à-dire, un tunnel <strong>pour</strong> l’interface cellulaire et un<br />
tunnel <strong>pour</strong> l’interface Wi-Fi). Tant que <strong>le</strong> ou <strong>le</strong>s tunnels VPN sont actifs, tout <strong>le</strong> trafic IP est acheminé<br />
dans <strong>le</strong> tunnel. Le trafic comprend tout <strong>le</strong> trafic IP acheminé et ciblé (c’est-à-dire, <strong>le</strong> trafic<br />
provenant d’apps <strong>App<strong>le</strong></strong> tel<strong>le</strong>s que FaceTime et Messages). Si <strong>le</strong> ou <strong>le</strong>s tunnels ne sont pas actifs,<br />
tout <strong>le</strong> trafic IP est arrêté.<br />
Tout <strong>le</strong> trafic acheminé à partir d’un appareil atteint un serveur VPN. Vous pouvez appliquer des<br />
traitements de filtrage et/ou de contrô<strong>le</strong> avant de transférer <strong>le</strong> trafic vers sa destination au sein<br />
du réseau de votre organisation ou sur Internet. De la même manière, <strong>le</strong> trafic arrivant sur l’appareil<br />
est acheminé vers <strong>le</strong> serveur VPN de votre organisation, où des traitements de filtrage et/ou<br />
de contrô<strong>le</strong> peuvent être appliqués avant que <strong>le</strong> trafic ne soit transféré vers l’appareil.<br />
Scénarios de dé<strong>ploiement</strong><br />
Les appareils <strong>iOS</strong> fonctionnent en mode utilisateur unique. Aucune distinction n’est faite entre<br />
l’identité de l’appareil et l’identité de l’utilisateur. Lorsqu’un appareil <strong>iOS</strong> établit un tunnel IKEv2<br />
vers <strong>le</strong> serveur IKEv2, <strong>le</strong> serveur perçoit l’appareil <strong>iOS</strong> comme une entité de jumelage unique.<br />
Traditionnel<strong>le</strong>ment, il existe un tunnel entre une paire d’appareils <strong>iOS</strong> et un serveur VPN. Étant<br />
donné que VPN toujours actif introduit l’utilisation d’un tunnel par interface, il peut y avoir plusieurs<br />
tunnels établis simultanément entre un appareil <strong>iOS</strong> et <strong>le</strong> serveur IKEv2, en fonction du<br />
modè<strong>le</strong> de dé<strong>ploiement</strong>.<br />
La configuration d’un réseau VPN toujours actif prend en charge <strong>le</strong>s modè<strong>le</strong>s de dé<strong>ploiement</strong><br />
décrits ci-dessous, qui répondent chacun à des exigences particulières.<br />
Appareils utilisant uniquement une connexion cellulaire<br />
Si votre organisation décide de déployer VPN toujours actif sur des appareils <strong>iOS</strong> utilisant uniquement<br />
une connexion cellulaire (interface Wi-Fi désactivée de manière permanente), un tunnel<br />
IKEv2 est établi sur l’interface IP cellulaire entre chaque appareil et <strong>le</strong> serveur IKEv2. Cela fonctionne<br />
de la même manière que <strong>le</strong> modè<strong>le</strong> VPN traditionnel. L’appareil <strong>iOS</strong> agit comme un client<br />
IKEv2, avec un identifiant (un certificat client ou un nom d’utilisateur/mot de passe), et établit un<br />
tunnel IKEv2 avec <strong>le</strong> serveur IKEv2.<br />
Appareils utilisant une connexion cellulaire et Wi-Fi<br />
Si votre organisation décide de déployer VPN toujours actif sur des appareils <strong>iOS</strong> utilisant des<br />
interfaces cellulaire et Wi-Fi, deux tunnels IKEv2 simultanés seront établis à partir de l’appareil.<br />
Dans ce cas, deux scénarios sont possib<strong>le</strong>s :<br />
••<br />
Le tunnel cellulaire et <strong>le</strong> tunnel Wi-Fi aboutissent sur deux serveurs IKEv2 distincts<br />
La configuration de VPN toujours actif avec un tunnel par interface permet à votre organisation<br />
de configurer <strong>le</strong>s appareils <strong>pour</strong> qu’ils établissent <strong>le</strong> tunnel cellulaire vers un serveur<br />
IKEv2 et <strong>le</strong> tunnel Wi-Fi sur un second serveur IKEv2. L’un des avantages de ce modè<strong>le</strong> est<br />
qu’un appareil peut utiliser <strong>le</strong> même identifiant client (certificat ou nom d’utilisateur/mot de<br />
passe) <strong>pour</strong> chacun des tunnels, car ils aboutissent sur des serveurs différents. L’utilisation de<br />
deux serveurs offre éga<strong>le</strong>ment à votre organisation une meil<strong>le</strong>ure f<strong>le</strong>xibilité <strong>pour</strong> <strong>le</strong> contrô<strong>le</strong><br />
et la séparation en fonction du type de trafic (cellulaire ou Wi-Fi). L’inconvénient est que votre<br />
organisation doit alors entretenir deux serveurs IKEv2 distincts avec des politiques d’authentification<br />
client identiques.<br />
••<br />
Le tunnel cellulaire et <strong>le</strong> tunnel Wi-Fi aboutissent sur <strong>le</strong> même serveur IKEv2<br />
Chapitre 4 Infrastructure et intégration 46
La configuration de VPN toujours actif avec un tunnel par interface permet éga<strong>le</strong>ment à votre<br />
organisation de configurer <strong>le</strong>s appareils <strong>pour</strong> qu’ils établissent <strong>le</strong> tunnel cellulaire et <strong>le</strong> tunnel<br />
Wi-Fi vers <strong>le</strong> même serveur IKEv2.<br />
Utilisation de l’identité client :<br />
••<br />
Une identité client par appareil : Votre organisation peut configurer la même identité client<br />
(un certificat client ou un nom d’utilisateur/mot de passe) à la fois <strong>pour</strong> <strong>le</strong> tunnel cellulaire et<br />
<strong>le</strong> tunnel Wi-Fi si <strong>le</strong> serveur IKEv2 prend en charge plusieurs tunnels par client. L’avantage est<br />
que cela permet d’éviter d’avoir une identité client supplémentaire <strong>pour</strong> chaque appareil,<br />
et donc <strong>le</strong>s contraintes en matière de configuration et de ressources liées. L’inconvénient est<br />
que lorsqu’un appareil passe d’un réseau à un autre, de nouveaux tunnels sont établis et <strong>le</strong>s<br />
anciens tunnels deviennent obsolètes. En fonction de l’implémentation, <strong>le</strong> serveur peut ne<br />
pas pouvoir éliminer <strong>le</strong>s tunnels obsolètes de manière correcte et efficace. Votre organisation<br />
doit implémenter une stratégie <strong>pour</strong> l’élimination des tunnels obsolètes sur <strong>le</strong> serveur.<br />
••<br />
Deux identités client par appareil : Votre organisation peut configurer deux identifiants client<br />
(c’est-à-dire deux certificats client ou deux noms d’utilisateur/mots de passe), un <strong>pour</strong> <strong>le</strong><br />
tunnel cellulaire et un <strong>pour</strong> <strong>le</strong> tunnel Wi-Fi. Le serveur IKEv2 perçoit donc deux clients différents<br />
établissant <strong>le</strong>ur propre tunnel. L’avantage de ce modè<strong>le</strong> est qu’il fonctionne avec la<br />
plupart des implémentations de serveur, car de nombreux serveurs différencient <strong>le</strong>s tunnels<br />
par <strong>le</strong>ur identité client, et n’autorisent qu’un tunnel par client. L’inconvénient de ce modè<strong>le</strong><br />
est <strong>le</strong> fait d’avoir à gérer deux identités client et deux configurations et ensemb<strong>le</strong>s de ressources<br />
sur <strong>le</strong> serveur.<br />
Profil de configuration VPN toujours actif<br />
Un profil de configuration VPN toujours actif peut être composé soit manuel<strong>le</strong>ment, à l’aide d’un<br />
des éditeurs de profil de configuration <strong>App<strong>le</strong></strong> (tel que Gestionnaire de profils ou <strong>App<strong>le</strong></strong> Configurator),<br />
ou à l’aide d’un fournisseur de solution MDM tiers. Pour plus d’informations, consultez<br />
l’aide Gestionnaire de profils ou l’aide <strong>App<strong>le</strong></strong> Configurator.<br />
Clés relatives aux interactions utilisateur<br />
Pour empêcher <strong>le</strong>s utilisateurs de désactiver VPN toujours actif, interdisez la suppression du profil<br />
VPN toujours actif en définissant la clé de profil de premier niveau « PayloadRemovalDisallowed »<br />
sur vrai.<br />
Pour empêcher <strong>le</strong>s utilisateurs de modifier <strong>le</strong> comportement de VPN toujours actif en installant<br />
d’autres profils de configuration, interdisez l’installation de profils d’interface utilisateur en définissant<br />
la clé allowUIConfigurationProfi<strong>le</strong>Installation sur faux sous l’entité com.app<strong>le</strong>.applicationaccess.<br />
Votre organisation peut implémenter des restrictions supplémentaires à l’aide d’autres<br />
clés prises en charge sous la même entité.<br />
Entités de certificat<br />
••<br />
Certificat d’autorité de certification de serveur : Si la méthode d’authentification du tunnel IKEv2<br />
est d’utiliser des certificats, <strong>le</strong> serveur IKEv2 envoie ses certificats de serveur à l’appareil <strong>iOS</strong>,<br />
ce qui valide l’identité du serveur. Pour que l’appareil <strong>iOS</strong> valide <strong>le</strong> certificat de serveur, il a<br />
besoin du certificat de l’autorité de certification (entité qui émet <strong>le</strong>s certificats de serveur) du<br />
serveur. Le certificat d’autorité de certification du serveur peut déjà avoir été installé sur l’appareil.<br />
Si ce n’est pas <strong>le</strong> cas, votre organisation peut inclure <strong>le</strong> certificat de l’autorité de certification<br />
du serveur en créant une entité de certificat <strong>pour</strong> <strong>le</strong> certificat d’autorité de certification<br />
du serveur.<br />
Chapitre 4 Infrastructure et intégration 47
••<br />
Certificats d’autorité de certification de client : Si la méthode d’authentification du tunnel IKEv2<br />
est d’utiliser des certificats ou EAP-TLS, l’appareil <strong>iOS</strong> envoie ses certificats client au serveur<br />
IKEv2, ce qui valide l’identité du client. Le client peut avoir un ou deux certificats client,<br />
en fonction du modè<strong>le</strong> de dé<strong>ploiement</strong> sé<strong>le</strong>ctionné. Votre organisation doit inclure <strong>le</strong>s certificats<br />
client en créant des entités de certificat <strong>pour</strong> <strong>le</strong>s certificats client. Simultanément, <strong>pour</strong> que <strong>le</strong><br />
serveur IKEv2 valide l’identité du client, il doit disposer du certificat d’autorité de certification<br />
(émetteur des certificats client) du client installé.<br />
••<br />
Prise en charge du certificat IKEv2 <strong>pour</strong> <strong>le</strong> VPN toujours actif : Actuel<strong>le</strong>ment, VPN toujours actif<br />
IKEv2 ne prend en charge que <strong>le</strong>s certificats RSA.<br />
Entité VPN toujours actif<br />
Les informations suivantes s’appliquent à l’entité VPN toujours actif.<br />
••<br />
L’entité VPN toujours actif ne peut être installée que sur <strong>le</strong>s appareils <strong>iOS</strong> supervisés.<br />
••<br />
Un profil de configuration ne peut contenir qu’une seu<strong>le</strong> entité VPN toujours actif.<br />
••<br />
À tout moment, un seul profil de configuration VPN toujours actif peut être installé sur un<br />
appareil <strong>iOS</strong>.<br />
Se connecter automatiquement sous <strong>iOS</strong><br />
VPN toujours actif fournit une clé facultative nommée « UITogg<strong>le</strong>Enab<strong>le</strong>d » qui permet à votre<br />
organisation d’activer un commutateur « Connexion automatique » dans <strong>le</strong>s réglages VPN.<br />
Si cette clé n’est pas définie dans <strong>le</strong> profil ou est définie sur 0, VPN toujours actif tente d’activer<br />
un ou deux tunnels VPN. Si la clé est définie sur 1, <strong>le</strong> commutateur correspondant est ajouté dans<br />
la sous-fenêtre Réglages VPN et l’utilisateur peut décider d’activer ou non la création de tunnel<br />
VPN. Si l’utilisateur décide de désactiver la création de tunnel VPN, aucun tunnel n’est établi et<br />
l’appareil interrompt l’ensemb<strong>le</strong> du trafic IP. Cela est uti<strong>le</strong> lorsqu’il n’y a aucun trafic IP accessib<strong>le</strong><br />
et que l’utilisateur souhaite malgré tout passer des appels téléphoniques. L’utilisateur peut<br />
désactiver la création de tunnel VPN <strong>pour</strong> éviter <strong>le</strong>s tentatives inuti<strong>le</strong>s.<br />
Tab<strong>le</strong>au de configuration de tunnel par interface<br />
Au moins une configuration de tunnel est requise (c’est-à-dire une configuration appliquée <strong>pour</strong><br />
l’interface cellulaire <strong>pour</strong> <strong>le</strong>s appareils n’utilisant que ce type de connexion, ou une configuration<br />
appliquée aux interfaces Wi-Fi et cellulaire) dans <strong>le</strong> tab<strong>le</strong>au TunnelConfigurations. Deux configurations<br />
maximum peuvent être incluses (une <strong>pour</strong> <strong>le</strong>s interfaces Wi-Fi et une <strong>pour</strong> <strong>le</strong>s interfaces<br />
cellulaires).<br />
Exceptions propres au trafic captif<br />
VPN toujours actif prend uniquement en charge l’authentification automatique <strong>pour</strong> <strong>le</strong>s réseaux<br />
captifs (connexion automatique avec des informations de connexion préattribuées, tel<strong>le</strong>s que<br />
des informations obtenues à partir de la carte SIM).<br />
VPN toujours actif fournit éga<strong>le</strong>ment un contrô<strong>le</strong> sur la gestion des réseaux captifs en prenant en<br />
charge <strong>le</strong>s clés suivantes :<br />
••<br />
AllowCaptiveWebSheet : Clé permettant au trafic provenant de l’app captive WebSheet intégrée<br />
de passer en dehors du tunnel. L’app WebSheet est un navigateur prenant en charge<br />
la connexion aux réseaux captifs si aucune app captive n’est présente. Nous conseillons aux<br />
organisations d’évaluer <strong>le</strong> risque que présente l’utilisation de cette clé d’un point de vue<br />
sécuritaire, étant donné que WebSheet est un navigateur fonctionnel capab<strong>le</strong> de rendre<br />
tout contenu provenant du serveur captif répondant. L’autorisation du trafic provenant de<br />
WebSheet rend l’appareil vulnérab<strong>le</strong> face aux serveurs captifs malveillants ou ne se comportant<br />
pas comme attendu.<br />
Chapitre 4 Infrastructure et intégration 48
••<br />
AllowAllCaptiveNetworkPlugins : Clé permettant au trafic de toutes <strong>le</strong>s apps captives autorisées<br />
de passer en dehors du tunnel. Cette clé prend <strong>le</strong> dessus par rapport au dictionnaire<br />
AllowedCaptiveNetworkPlugins.<br />
••<br />
AllowedCaptiveNetworkPlugins : Liste d’identifiants de bund<strong>le</strong> d’apps captives tierces autorisées.<br />
Le trafic provenant des apps captives tierces de cette liste est autorisé en dehors du<br />
tunnel. Si la clé AllowAllCaptiveNetworkPlugins est éga<strong>le</strong>ment configurée, cette liste n’est<br />
pas appliquée.<br />
Exceptions relatives au service<br />
Les tunnels VPN toujours actif sont par défaut réservés au trafic IP. Cela inclut tout <strong>le</strong> trafic local,<br />
ainsi que <strong>le</strong> trafic des services de l’opérateur fournissant <strong>le</strong>s données cellulaires. Ainsi, <strong>le</strong> comportement<br />
par défaut du VPN toujours actif ne prend pas en charge <strong>le</strong>s services IP locaux ni <strong>le</strong>s<br />
services IP d’opérateur. La prise en charge des exceptions de service VPN toujours actif permet<br />
à votre organisation de modifier <strong>le</strong> traitement par défaut du trafic des services ; afin de <strong>le</strong> faire<br />
passer en dehors du tunnel ou de l’interrompre. Actuel<strong>le</strong>ment, <strong>le</strong>s services prise en charge sont<br />
VoiceMail et AirPrint, et <strong>le</strong>s actions autorisées sont Allow (<strong>pour</strong> autoriser <strong>le</strong> trafic en dehors du<br />
tunnel) ou Drop (<strong>pour</strong> interrompre <strong>le</strong> trafic indépendamment du tunnel).<br />
Pour en savoir plus sur <strong>le</strong>s clés et attributs de protoco<strong>le</strong> IKEv2 VPN toujours actif, consultez la<br />
page Configuration Profi<strong>le</strong> Key Refe<strong>rence</strong> (Réfé<strong>rence</strong>s des clés <strong>pour</strong> <strong>le</strong>s profils de configuration)<br />
du site web de la bibliothèque des développeurs <strong>iOS</strong>.<br />
Chapitre 4 Infrastructure et intégration 49
Services Internet<br />
5<br />
Vue d’ensemb<strong>le</strong><br />
Les services Internet d’<strong>App<strong>le</strong></strong> sont conçus avec <strong>le</strong>s mêmes objectifs en matière de sécurité que<br />
ceux appliqués sur toute la plateforme : il s’agit, notamment, de la manipulation sécurisée des<br />
données, que cel<strong>le</strong>s-ci soient au repos sur l’appareil <strong>iOS</strong> ou en transit sur des réseaux sans fil ;<br />
de la protection des informations personnel<strong>le</strong>s de l’utilisateur ; ainsi que de la protection contre<br />
<strong>le</strong>s accès malveillants ou non autorisés aux informations et aux services. Chaque service exploite<br />
sa propre puissante architecture de sécurité, sans compromettre la simplicité d’utilisation<br />
généra<strong>le</strong> d’<strong>iOS</strong>.<br />
Ces services aident <strong>le</strong>s utilisateurs à communiquer, à créer et à sauvegarder <strong>le</strong>urs données<br />
personnel<strong>le</strong>s, sans compromettre <strong>le</strong>s données de votre organisation.<br />
Ils comprennent <strong>le</strong>s services suivants :<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong><br />
••<br />
Localiser mon iPhone et Verrouillage d’activation<br />
••<br />
Continuité<br />
••<br />
iCloud<br />
••<br />
Trousseau iCloud<br />
••<br />
iMessage<br />
••<br />
FaceTime<br />
••<br />
Siri<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants<br />
Vous pouvez utiliser une solution MDM et des restrictions <strong>iOS</strong> <strong>pour</strong> restreindre certains services.<br />
Pour en savoir plus, consultez la rubrique Vue d’ensemb<strong>le</strong> des restrictions MDM.<br />
Chez <strong>App<strong>le</strong></strong>, la sécurité et la confidentialité sont au cœur même de la conception de tous nos<br />
matériels, logiciels ou services. C’est <strong>pour</strong>quoi nous respectons la confidentialité de nos clients<br />
et la protégeons par de solides méthodes de chiffrement, ainsi que par des politiques rigoureuses<br />
qui régissent <strong>le</strong> traitement de toutes <strong>le</strong>s données. Pour en savoir plus, consultez la page<br />
www.app<strong>le</strong>.com/fr/privacy.<br />
Identifiant <strong>App<strong>le</strong></strong><br />
Un identifiant <strong>App<strong>le</strong></strong> est requis <strong>pour</strong> pouvoir accéder aux services d’<strong>App<strong>le</strong></strong>. Vous devez comprendre<br />
ce que sont <strong>le</strong>s identifiants <strong>App<strong>le</strong></strong> <strong>pour</strong> pouvoir expliquer à vos utilisateurs comment en<br />
configurer un.<br />
Un identifiant <strong>App<strong>le</strong></strong> est une identité servant à se connecter à divers services <strong>App<strong>le</strong></strong> tels que<br />
FaceTime, iMessage, l’iTunes Store, l’App Store, l’iBooks Store et iCloud. Ces services permettent<br />
aux utilisateurs d’accéder à une large gamme de contenu dans <strong>le</strong> but de simplifier <strong>le</strong>s tâches<br />
professionnel<strong>le</strong>s, d’améliorer la productivité et de faciliter la collaboration.<br />
50
Pour profiter au maximum de ces services, <strong>le</strong>s utilisateurs doivent utiliser <strong>le</strong>ur propre identifiant<br />
<strong>App<strong>le</strong></strong>. S’ils n’en ont pas, ils peuvent s’en créer un avant même de recevoir un appareil <strong>App<strong>le</strong></strong>,<br />
ou à l’aide de l’Assistant réglages. L’Assistant réglages offre à l’utilisateur une manière simp<strong>le</strong> et<br />
rationalisée de créer un identifiant <strong>App<strong>le</strong></strong> directement à partir de <strong>le</strong>ur appareil <strong>App<strong>le</strong></strong>. Les identifiants<br />
<strong>App<strong>le</strong></strong> peuvent éga<strong>le</strong>ment être créés sans carte bancaire.<br />
Pour <strong>le</strong>s dé<strong>ploiement</strong>s individuels et d’appareils appartenant aux élèves (ou appareils appartenant<br />
aux utilisateurs), chaque utilisateur doit disposer de son propre identifiant <strong>App<strong>le</strong></strong>. Pour <strong>le</strong>s<br />
dé<strong>ploiement</strong>s dans <strong>le</strong>squels <strong>le</strong>s appareils sont partagés, un identifiant <strong>App<strong>le</strong></strong> appartenant à l’institution<br />
peut être utilisé <strong>pour</strong> déployer du contenu sur plusieurs appareils <strong>App<strong>le</strong></strong>.<br />
Avec un identifiant <strong>App<strong>le</strong></strong>, chaque élève ou employé peut instal<strong>le</strong>r des apps, livres et autres<br />
contenus fournis par l’établissement, prendre des notes dans iBooks et y accéder à partir de n’importe<br />
quel appareil <strong>iOS</strong>, et s’inscrire à des cours iTunes U, <strong>le</strong> tout, sans intervention nécessaire de<br />
la part du service informatique <strong>pour</strong> gérer l’identifiant <strong>App<strong>le</strong></strong> sur l’appareil <strong>App<strong>le</strong></strong> de l’utilisateur.<br />
Pour en savoir plus sur <strong>le</strong>s identifiants <strong>App<strong>le</strong></strong>, consultez <strong>le</strong> site web Mon identifiant <strong>App<strong>le</strong></strong>.<br />
Localiser mon iPhone et Verrouillage d’activation<br />
En cas de perte ou de vol d’un appareil <strong>iOS</strong>, il est important de <strong>le</strong> désactiver et d’effacer son<br />
contenu. Grâce à Localiser mon iPhone, qui fait partie de la suite iCloud, <strong>le</strong>s utilisateurs peuvent<br />
voir la dernière position enregistrée de <strong>le</strong>ur iPad, iPhone ou iPod touch en utilisant Localiser mon<br />
iPhone sur iCloud.com ou l’app Localiser mon iPhone sur un appareil <strong>iOS</strong>. Une fois l’appareil <strong>iOS</strong><br />
localisé, l’utilisateur peut lui faire émettre un son, <strong>le</strong> mettre en mode Perdu ou l’effacer complètement<br />
s’il est connecté à Internet.<br />
Le mode Perdu (<strong>iOS</strong> 6 ou ultérieur) verrouil<strong>le</strong> l’appareil <strong>iOS</strong> avec un code, affiche un message<br />
personnalisé et suit sa position. Pour <strong>le</strong>s appareils <strong>iOS</strong> sous <strong>iOS</strong> 5, cette fonctionnalité verrouil<strong>le</strong>ra<br />
seu<strong>le</strong>ment l’appareil.<br />
Sous <strong>iOS</strong> 7 ou ultérieur, lorsque Localiser mon iPhone est activé, l’appareil <strong>iOS</strong> ne peut pas être<br />
réactivé sans que soient au préalab<strong>le</strong> saisis l’identifiant <strong>App<strong>le</strong></strong> et <strong>le</strong> mot de passe associé de son<br />
propriétaire. Il est conseillé de superviser <strong>le</strong>s appareils appartenant à votre organisation et de<br />
mettre en place des règ<strong>le</strong>s obligeant <strong>le</strong>s utilisateurs à désactiver cette fonctionnalité, afin que<br />
Localiser mon iPhone n’empêche pas l’organisation d’attribuer l’appareil à une autre personne.<br />
Sous <strong>iOS</strong> 7.1 ou ultérieur, vous pouvez utiliser une solution MDM compatib<strong>le</strong> <strong>pour</strong> activer <strong>le</strong><br />
Verrouillage d’activation sur <strong>le</strong>s appareils supervisés lorsqu’un utilisateur active Localiser mon<br />
iPhone. Les administrateurs de la solution MDM peuvent gérer <strong>le</strong> Verrouillage d’activation de la<br />
fonction Localiser mon iPhone en supervisant <strong>le</strong>s appareils avec <strong>App<strong>le</strong></strong> Configurator ou <strong>le</strong> programme<br />
d’inscription d’appareil. Votre solution MDM peut ensuite stocker un code de contournement<br />
lorsque <strong>le</strong> Verrouillage d’activation est activé, puis utiliser ce code <strong>pour</strong> désactiver <strong>le</strong><br />
Verrouillage d’activation automatiquement lorsque vous devez effacer <strong>le</strong>s données de l’appareil<br />
et attribuer ce dernier à un nouvel utilisateur. Consultez la documentation de votre solution<br />
MDM <strong>pour</strong> obtenir plus de détails.<br />
Chapitre 5 Services Internet 51
Important : Par défaut, <strong>le</strong> verrouillage d’activation n’est pas activé sur <strong>le</strong>s appareils supervisés,<br />
même si l’utilisateur active Localiser mon iPhone. Cependant, un serveur MDM peut récupérer un<br />
code de contournement et autoriser <strong>le</strong> verrouillage d’activation sur l’appareil. Si Localiser mon<br />
iPhone est activé lorsque <strong>le</strong> serveur MDM active <strong>le</strong> verrouillage d’activation, cette fonctionnalité<br />
est activée à ce moment-là. Si Localiser mon iPhone est désactivé lorsque <strong>le</strong> serveur MDM active<br />
<strong>le</strong> verrouillage d’activation, cette fonctionnalité est activée dès que l’utilisateur active Localiser<br />
mon iPhone.<br />
Pour en savoir plus sur la fonction Localiser mon iPhone et sur <strong>le</strong> verrouillage d’activation,<br />
consultez <strong>le</strong>s artic<strong>le</strong>s Assistance iCloud, iCloud : Utiliser <strong>le</strong> mode Perdu et<br />
Gestion des appareils mobi<strong>le</strong>s et option Verrouillage d’activation de la fonction Verrouil<strong>le</strong>r mon<br />
iPhone de l’assistance <strong>App<strong>le</strong></strong>. Consultez éga<strong>le</strong>ment la page Réglages Verrouillage d’activation<br />
dans l’aide Gestionnaire de profils.<br />
Continuité<br />
Continuité est une suite de fonctionnalités permettant à un Mac et un iPhone ou un iPad de<br />
communiquer en toute simplicité. Continuité requiert <strong>iOS</strong> 8 ou ultérieur et OS X Yosemite ou<br />
ultérieur, et peut nécessiter que <strong>le</strong>s appareils soient enregistrés avec <strong>le</strong> même identifiant <strong>App<strong>le</strong></strong>.<br />
Remarque : Certaines fonctionnalités ne sont pas disponib<strong>le</strong>s dans tous <strong>le</strong>s pays, régions<br />
ou langues.<br />
Appels téléphoniques<br />
Un iPhone et un Mac fonctionnent très bien ensemb<strong>le</strong> lorsqu’il s’agit de passer un appel ou de<br />
répondre à un appel. Lorsqu’un utilisateur travail<strong>le</strong> sur son Mac avec son iPhone à proximité, il<br />
peut passer un appel ou répondre sur <strong>le</strong> Mac et, au besoin, continuer la conversation sur l’iPhone.<br />
SMS<br />
Les utilisateurs peuvent communiquer par SMS depuis <strong>le</strong>ur appareil <strong>iOS</strong> sous <strong>iOS</strong> 8.1 ou ultérieur,<br />
et depuis OS X Yosemite ou ultérieur. Les SMS apparaissent sur tous <strong>le</strong>s appareils de l’utilisateur,<br />
ce qui lui permet de répondre sur celui de son choix.<br />
Handoff<br />
Un utilisateur peut commencer à écrire un message dans Mail ou créer un document Pages sur<br />
son Mac, puis passer sur son appareil <strong>iOS</strong> sous <strong>iOS</strong> 8 ou ultérieur situé à proximité et trouver l’élément<br />
entamé déjà présent, prêt à <strong>pour</strong>suivre <strong>le</strong>s modifications. L’utilisateur verra une petite icône<br />
dans <strong>le</strong> coin de l’appareil <strong>iOS</strong> ou dans <strong>le</strong> Dock sur <strong>le</strong> Mac. Un balayage sur l’écran de l’appareil <strong>iOS</strong><br />
ou un clic sur <strong>le</strong> Mac met <strong>le</strong> document au premier plan. Handoff fonctionne avec Ca<strong>le</strong>ndrier,<br />
Contacts, Mail, Plans, Messages, Pages, Numbers, Keynote, Rappels et Safari. Les développeurs<br />
d’apps peuvent éga<strong>le</strong>ment intégrer Handoff à <strong>le</strong>urs apps.<br />
Instant Hotspot<br />
Instant Hotspot permet à un Mac d’utiliser un iPhone ou un iPad (avec une connexion cellulaire)<br />
sous <strong>iOS</strong> 8.1 ou ultérieur comme point d’accès Internet lorsqu’aucun accès Wi-Fi n’est disponib<strong>le</strong>.<br />
La puissance du signal et <strong>le</strong> niveau de charge de la batterie de votre appareil <strong>iOS</strong> sont affichés<br />
dans la barre des menus de votre Mac. Dès que l’utilisateur se déconnecte de l’appareil <strong>iOS</strong>,<br />
<strong>le</strong> partage de connexion est désactivé <strong>pour</strong> prolonger l’autonomie de la batterie.<br />
Remarque : Vérifiez auprès de votre opérateur <strong>le</strong>s partages de connexion disponib<strong>le</strong>s.<br />
Chapitre 5 Services Internet 52
AirDrop<br />
AirDrop permet à un Mac sous OS X Mavericks ou ultérieur et un appareil <strong>iOS</strong> sous <strong>iOS</strong> 8 ou<br />
ultérieur de partager des fichiers sans fil en l’absence d’un réseau sans fil. AirDrop est accessib<strong>le</strong><br />
depuis n’importe quel menu de partage et depuis la barre latéra<strong>le</strong> du Finder sur un Mac.<br />
iCloud<br />
iCloud permet aux utilisateurs de stocker du contenu personnel, tel que des contacts, des ca<strong>le</strong>ndriers,<br />
des documents et des photos, et de <strong>le</strong>s maintenir à jour sur plusieurs appareils <strong>iOS</strong> et<br />
ordinateurs Mac. iCloud sécurise <strong>le</strong> contenu en <strong>le</strong> chiffrant avant de <strong>le</strong> transférer par Internet,<br />
en <strong>le</strong> stockant dans un format chiffré et en utilisant des jetons sécurisés <strong>pour</strong> l’authentification.<br />
Les appareils <strong>iOS</strong> utilisent la sauvegarde iCloud <strong>pour</strong> sauvegarder chaque jour en Wi-Fi des<br />
informations comme <strong>le</strong>s réglages des appareils <strong>iOS</strong>, <strong>le</strong>s données d’apps et <strong>le</strong>s SMS et MMS. La<br />
sauvegarde iCloud fonctionne uniquement lorsque l’appareil est verrouillé, est connecté à une<br />
source d’alimentation et accède à Internet en Wi-Fi. En outre, iCloud permet de localiser <strong>le</strong>s<br />
appareils <strong>iOS</strong> ou ordinateurs Mac égarés ou dérobés grâce à la fonction Localiser mon iPhone.<br />
Une solution MDM peut éga<strong>le</strong>ment empêcher la sauvegarde des apps gérées sur iCloud. Cela<br />
permet aux utilisateurs d’utiliser iCloud <strong>pour</strong> <strong>le</strong>urs données personnel<strong>le</strong>s, tout en empêchant<br />
<strong>le</strong> stockage sur iCloud des données de l’entreprise. Les données provenant des comptes de<br />
l’entreprise et des apps internes ne sont pas sauvegardées sur iCloud. Certains services, tels que<br />
Photos iCloud, Trousseau iCloud et iCloud Drive peuvent être désactivés à l’aide de restrictions<br />
saisies manuel<strong>le</strong>ment sur l’appareil ou définies dans des profils de configuration.<br />
Pour en savoir plus sur iCloud, consultez <strong>le</strong> site web iCloud. Pour en savoir plus sur la sécurité et la<br />
confidentialité iCloud, consultez l’artic<strong>le</strong> Informations sur la sécurité et la confidentialité d’iCloud<br />
de l’assistance <strong>App<strong>le</strong></strong>. Pour en savoir plus sur la configuration système requise <strong>pour</strong> iCloud,<br />
consultez l’artic<strong>le</strong> Configuration système requise <strong>pour</strong> iCloud de l’assistance <strong>App<strong>le</strong></strong>.<br />
Remarque : Certaines fonctionnalités nécessitent une connexion Wi-Fi. Certaines fonctionnalités<br />
ne sont pas disponib<strong>le</strong>s dans tous <strong>le</strong>s pays. L’accès à certains services est limité à 10 appareils.<br />
iCloud Drive<br />
Les utilisateurs peuvent stocker <strong>le</strong>urs documents en toute sécurité sur iCloud Drive et y accéder<br />
à tout moment et où qu’ils se trouvent depuis <strong>le</strong>ur iPhone, iPad, Mac ou PC Windows. Les bibliothèques<br />
de documents des apps <strong>iOS</strong> sont éga<strong>le</strong>ment accessib<strong>le</strong>s depuis un Mac, de sorte qu’un<br />
document commencé sur un appareil <strong>iOS</strong> peut être modifié sur un Mac.<br />
Les utilisateurs peuvent éga<strong>le</strong>ment partager <strong>le</strong>urs documents Pages, Numbers et Keynote stockés<br />
sur iCloud Drive avec d’autres personnes. Chaque app <strong>iOS</strong> affiche <strong>le</strong>s documents compatib<strong>le</strong>s<br />
stockés sur iCloud Drive. Sur un Mac, iCloud Drive apparaît sous forme de dossier dans OS X.<br />
Les utilisateurs font glisser et déposent des fichiers <strong>pour</strong> <strong>le</strong>s ajouter, <strong>le</strong>s organiser à l’aide de<br />
dossiers et de tags, et même <strong>le</strong>s rechercher grâce à Spotlight.<br />
iCloud tient vos informations à jour sur tous vos appareils. Toute modification effectuée<br />
sur un fichier hors connexion est automatiquement mise à jour dès que l’appareil est de<br />
nouveau connecté.<br />
Chapitre 5 Services Internet 53
Trousseau iCloud<br />
Trousseau iCloud tient à jour spécifiquement <strong>le</strong>s mots de passe des sites web utilisés dans Safari<br />
et ceux des réseaux Wi-Fi sur tous vos appareils <strong>iOS</strong> et vos ordinateurs Mac sur <strong>le</strong>squels vous avez<br />
configuré iCloud. Ce service peut stocker des mots de passe <strong>pour</strong> d’autres apps qui <strong>le</strong> prennent<br />
en charge. Le trousseau iCloud stocke éga<strong>le</strong>ment <strong>le</strong>s données de carte bancaire enregistrées<br />
dans Safari afin que cette app puisse <strong>le</strong>s remplir automatiquement sur vos Mac et appareils <strong>iOS</strong>.<br />
Le trousseau iCloud stocke éga<strong>le</strong>ment <strong>le</strong>s données de connexion à votre compte Internet et <strong>le</strong>s<br />
informations de configuration.<br />
Trousseau iCloud est composé de deux services :<br />
••<br />
Maintien à jour du trousseau sur d’autres appareils<br />
••<br />
Récupération de trousseau<br />
Le maintien à jour du trousseau sur <strong>le</strong>s appareils <strong>iOS</strong> et <strong>le</strong>s ordinateurs Mac requiert l’approbation<br />
de l’utilisateur et chaque élément du trousseau éligib<strong>le</strong> est remplacé par un chiffrement par<br />
appareil via <strong>le</strong> stockage de va<strong>le</strong>ur par clé iCloud. Les éléments du trousseau sont temporaires et<br />
ne persistent pas dans iCloud après <strong>le</strong>ur synchronisation.<br />
La récupération de trousseau permet aux utilisateurs d’enregistrer <strong>le</strong>ur trousseau auprès d’<strong>App<strong>le</strong></strong>,<br />
sans <strong>pour</strong> autant lui donner la possibilité de lire <strong>le</strong>s mots de passe et autres données qu’il<br />
contient. Même si l’utilisateur n’a qu’un seul appareil <strong>iOS</strong> ou Mac, la récupération de trousseau<br />
crée un fi<strong>le</strong>t de sécurité contre la perte de données. C’est particulièrement important lorsqu’on<br />
utilise Safari <strong>pour</strong> générer de façon aléatoire des mots de passe puissants <strong>pour</strong> <strong>le</strong>s comptes web,<br />
car la seu<strong>le</strong> trace de ces mots de passe se trouve dans <strong>le</strong> trousseau.<br />
Le trousseau iCloud de l’utilisateur est sauvegardé sur iCloud si l’utilisateur crée un code de<br />
sécurité iCloud. L’authentification secondaire et <strong>le</strong> service d’entiercement sécurisé sont des fonctionnalités<br />
importantes de la récupération de trousseau. Le trousseau de l’utilisateur est chiffré à<br />
l’aide d’un puissant code de sécurité, et <strong>le</strong> service d’entiercement ne fournit une copie du trousseau<br />
que si des conditions très strictes sont réunies.<br />
Important : Si l’utilisateur ne crée pas un code de sécurité iCloud, <strong>App<strong>le</strong></strong> ne peut rien faire <strong>pour</strong><br />
récupérer <strong>le</strong> trousseau iCloud. Consultez l’artic<strong>le</strong> Frequently asked questions about iCloud Keychain<br />
(Questions et réponses sur <strong>le</strong> trousseau iCloud) de l’assistance <strong>App<strong>le</strong></strong>.<br />
iMessage<br />
iMessage est un service de messagerie <strong>pour</strong> <strong>le</strong>s appareils <strong>iOS</strong> et <strong>le</strong>s ordinateurs Mac, qui permet<br />
de discuter individuel<strong>le</strong>ment ou en groupe. Il prend en charge <strong>le</strong> texte et <strong>le</strong>s pièces jointes tel<strong>le</strong>s<br />
que des photos, des contacts et des positions. L’app Messages apparaît sur tous <strong>le</strong>s appareils <strong>iOS</strong><br />
et ordinateurs Mac inscrits d’un utilisateur, afin que ce dernier puisse continuer sa conversation<br />
sur l’appareil de son choix. iMessage utilise <strong>le</strong> service de notifications push <strong>App<strong>le</strong></strong> (APN) et un<br />
chiffrement de bout en bout qui exploite des clés que seuls <strong>le</strong>s appareils <strong>iOS</strong> et ordinateurs Mac<br />
expéditeur et destinataire connaissent. <strong>App<strong>le</strong></strong> ne peut pas déchiffrer <strong>le</strong>s messages, et ceux-ci ne<br />
sont pas consignés.<br />
Remarque : Des frais de données standard de l’opérateur peuvent s’appliquer. Les messages<br />
peuvent être envoyés comme SMS quand iMessage n’est pas disponib<strong>le</strong> ; des frais de messagerie<br />
de l’opérateur s’appliquent.<br />
Chapitre 5 Services Internet 54
FaceTime<br />
FaceTime est <strong>le</strong> service d’appels vidéo et audio d’<strong>App<strong>le</strong></strong>. Les appels FaceTime utilisent <strong>le</strong> service<br />
de notifications push <strong>App<strong>le</strong></strong> (APN) <strong>pour</strong> établir une connexion, puis la technique ICE (Internet<br />
Connectivity Establishment) et <strong>le</strong> protoco<strong>le</strong> SIP (Session Initiation Protocol) <strong>pour</strong> créer un flux<br />
chiffré. Les utilisateurs peuvent communiquer par <strong>le</strong> biais de FaceTime quels que soient <strong>le</strong>s appareils<br />
<strong>iOS</strong> et OS X utilisés.<br />
Remarque : Les appels FaceTime nécessitent que l’appelant et l’appelé disposent d’un appareil<br />
compatib<strong>le</strong> FaceTime, et qu’une connexion Wi-Fi soit disponib<strong>le</strong>. FaceTime peut être utilisé avec<br />
une connexion à un réseau cellulaire avec un iPhone 4s (ou ultérieur), ou encore un iPad avec<br />
écran Retina ou ultérieur, ou un iPad mini ou ultérieur avec capacité de connexion aux données<br />
cellulaires. La disponibilité sur réseau cellulaire dépend de la politique des opérateurs. Des frais<br />
de données peuvent s’appliquer.<br />
Siri<br />
Siri permet aux utilisateurs d’envoyer des messages, de planifier des réunions, de passer des<br />
appels téléphonique et bien plus encore, simp<strong>le</strong>ment en parlant naturel<strong>le</strong>ment. Siri utilise la<br />
reconnaissance voca<strong>le</strong>, la synthèse voca<strong>le</strong> et un modè<strong>le</strong> client-serveur <strong>pour</strong> répondre à une large<br />
gamme de requêtes. Les tâches dont s’acquitte Siri ont été conçues <strong>pour</strong> faire en sorte que seul<br />
soit utilisé <strong>le</strong> strict minimum d’informations personnel<strong>le</strong>s et que ces dernières soient entièrement<br />
protégées. Les requêtes et enregistrements vocaux de Siri ne sont pas personnel<strong>le</strong>ment identifiés<br />
et, si possib<strong>le</strong>, <strong>le</strong>s fonctions Siri sont toujours mises en œuvre sur l’appareil <strong>iOS</strong>, et non sur<br />
<strong>le</strong> serveur.<br />
Remarque : Siri n’est pas disponib<strong>le</strong> dans toutes <strong>le</strong>s langues ni dans tous <strong>le</strong>s pays, et <strong>le</strong>s fonctionnalités<br />
proposées peuvent varier en fonction des zones géographiques. Un accès à Internet est<br />
requis. Des frais de transfert de données cellulaires peuvent s’appliquer.<br />
Identifiant <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants<br />
Le programme Identifiant <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants est réservé aux étudiants âgés de moins de<br />
13 ans. Les identifiants <strong>App<strong>le</strong></strong> sont requis par l’éco<strong>le</strong> ou par <strong>le</strong> secteur scolaire, et créés par <strong>App<strong>le</strong></strong><br />
suite à la réception de l’accord relatif à la divulgation des renseignements personnels de l’enfant<br />
(formulaire disponib<strong>le</strong> en anglais et espagnol uniquement) signé par un parent ou tuteur. Cette<br />
méthode est conforme à la loi COPPA (Children’s Online Privacy Protection Act, Loi relative à la<br />
protection et la confidentialité sur Internet <strong>pour</strong> <strong>le</strong>s enfants).<br />
Pour en savoir plus sur <strong>le</strong>s identifiants <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants, consultez :<br />
••<br />
Le site web Identifiant <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants<br />
••<br />
L’aide relative aux identifiants <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants<br />
Remarque : Le programme Identifiant <strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s étudiants n’est pas disponib<strong>le</strong> dans tous<br />
<strong>le</strong>s pays.<br />
Chapitre 5 Services Internet 55
Service de notifications push <strong>App<strong>le</strong></strong> (APN)<br />
De nombreux services dépendent du service de notifications push <strong>App<strong>le</strong></strong> (APN). Le service APN<br />
est un élément essentiel permettant aux appareils <strong>App<strong>le</strong></strong> d’être informés des mises à jour, politiques<br />
de la solution MDM et des messages entrants. Afin que vos appareils <strong>App<strong>le</strong></strong> puissent fonctionner<br />
avec ces services, vous devez autoriser <strong>le</strong> trafic réseau de l’appareil vers <strong>le</strong> réseau <strong>App<strong>le</strong></strong><br />
(17.0.0.0/8) sur <strong>le</strong> port 5223, avec <strong>le</strong> port 443 comme alternative.<br />
Ce trafic est un protoco<strong>le</strong> binaire sécurisé propre au service APN et ne doit pas passer par un<br />
proxy. Toute tentative d’inspection ou de redirection du trafic mènera <strong>le</strong> client, <strong>le</strong> service APN et<br />
<strong>le</strong>s serveurs du fournisseur de notifications push à marquer la conversation réseau comme compromise<br />
et invalide.<br />
Plusieurs couches de sécurité sont appliquées au service APN au niveau des extrémités et<br />
des serveurs. Pour lire des informations techniques sur ces précautions, consultez la page<br />
Local and Remote Notification Programming Guide (Guide de programmation des notifications<br />
en local et à distance).<br />
Chapitre 5 Services Internet 56
Sécurité<br />
6<br />
Vue d’ensemb<strong>le</strong><br />
<strong>iOS</strong> et OS X sont conçus avec de nombreuses couches de sécurité, ce qui permet aux appareils<br />
<strong>App<strong>le</strong></strong> d’accéder aux services réseau de manière sécurisée et de protéger <strong>le</strong>s données importantes.<br />
<strong>iOS</strong> et OS X offrent éga<strong>le</strong>ment une protection sécurisée grâce à l’utilisation de règ<strong>le</strong>s de<br />
codes et de mots de passe pouvant être fournies et appliquées par la solution MDM. Si un appareil<br />
<strong>App<strong>le</strong></strong> est dérobé, un utilisateur ou un administrateur informatique peut utiliser une commande<br />
à distance <strong>pour</strong> effacer toutes <strong>le</strong>s données privées.<br />
Pour garantir la sécurité de tous <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> déployés, une entreprise doit disposer des<br />
éléments suivants :<br />
••<br />
Méthodes empêchant toute utilisation non autorisée de l’appareil<br />
••<br />
Protection des données au repos, notamment en cas de perte ou de vol de l’appareil<br />
••<br />
Protoco<strong>le</strong>s de réseau et chiffrement des données transmises<br />
••<br />
Exécution des apps en toute sécurité sans compromettre l’intégrité de la plate-forme<br />
Ces fonctionnalités s’associent <strong>pour</strong> fournir une plate-forme informatique mobi<strong>le</strong> sécurisée.<br />
Pour en savoir plus sur la sécurité sous <strong>iOS</strong>, consultez la page <strong>iOS</strong> and the new IT (<strong>iOS</strong> et <strong>le</strong>s<br />
nouvel<strong>le</strong>s technologies).<br />
Sécurité des appareils et des données<br />
Vue d’ensemb<strong>le</strong><br />
La mise en œuvre de règ<strong>le</strong>s efficaces <strong>pour</strong> l’accès aux appareils <strong>App<strong>le</strong></strong> est déterminante <strong>pour</strong><br />
protéger <strong>le</strong>s informations de votre organisation. De puissants codes de sécurité <strong>pour</strong> <strong>le</strong>s appareils<br />
<strong>iOS</strong> constituent la première ligne de défense contre <strong>le</strong>s accès non autorisés et peuvent être<br />
configurés et appliqués par la solution MDM.<br />
Les appareils <strong>iOS</strong> utilisent <strong>le</strong> code unique établi par chaque utilisateur <strong>pour</strong> générer une puissante<br />
clé de chiffrement utilisée <strong>pour</strong> renforcer la protection des e-mails et des données d’applications<br />
sensib<strong>le</strong>s stockées sur l’appareil. <strong>iOS</strong> fournit éga<strong>le</strong>ment des méthodes sécurisées <strong>pour</strong><br />
configurer <strong>le</strong>s appareils dans un environnement informatique où des réglages, des règ<strong>le</strong>s et des<br />
restrictions spécifiques doivent être appliqués. Ces méthodes fournissent des options f<strong>le</strong>xib<strong>le</strong>s<br />
<strong>pour</strong> établir un niveau de protection standard <strong>pour</strong> <strong>le</strong>s utilisateurs sécurisés.<br />
Règ<strong>le</strong>s relatives aux codes<br />
Un code d’appareil <strong>iOS</strong> empêche <strong>le</strong>s utilisateurs non autorisés d’accéder aux données stockées<br />
sur l’appareil. <strong>iOS</strong> propose un nombre important de règ<strong>le</strong>s de code de sécurité afin de répondre<br />
à tous vos besoins en la matière.<br />
Ces règ<strong>le</strong>s de code incluent <strong>le</strong>s suivantes :<br />
••<br />
Exiger un code sur l’appareil <strong>iOS</strong><br />
57
••<br />
Exiger des va<strong>le</strong>urs alphanumériques<br />
••<br />
Longueur minimum du mot de passe<br />
••<br />
Nombre minimum de caractères comp<strong>le</strong>xes<br />
••<br />
Durée maximum du code<br />
••<br />
Délai avant verrouillage automatique<br />
••<br />
Historique de code<br />
••<br />
Délai de grâce <strong>pour</strong> <strong>le</strong> verrouillage de l’appareil<br />
••<br />
Nombre maximum de tentatives infructueuses avant que <strong>le</strong>s données soient effacées de<br />
l’appareil <strong>iOS</strong><br />
Application des règ<strong>le</strong>s<br />
Vous pouvez distribuer des règ<strong>le</strong>s au sein d’un profil de configuration installé par <strong>le</strong>s utilisateurs.<br />
Vous pouvez éga<strong>le</strong>ment définir un profil de sorte qu’un mot de passe d’administrateur soit obligatoire<br />
<strong>pour</strong> pouvoir <strong>le</strong> supprimer, ou qu’il soit verrouillé sur l’appareil <strong>iOS</strong> et qu’il soit impossib<strong>le</strong><br />
de <strong>le</strong> supprimer sans effacer complètement <strong>le</strong> contenu de l’appareil. Les réglages de code configurés<br />
à distance à l’aide d’une solution MDM peuvent envoyer des règ<strong>le</strong>s en mode push directement<br />
à l’appareil, afin que <strong>le</strong>s règ<strong>le</strong>s soient mises en application et mises à jour sans aucune<br />
intervention de la part de l’utilisateur.<br />
Si un appareil est configuré <strong>pour</strong> accéder à un compte Microsoft Exchange, <strong>le</strong>s règ<strong>le</strong>s<br />
Exchange ActiveSync sont envoyées en mode push sur l’appareil via une connexion sans fil.<br />
L’ensemb<strong>le</strong> des règ<strong>le</strong>s disponib<strong>le</strong>s varie en fonction de la version d’Exchange ActiveSync et<br />
d’Exchange Server. S’il existe à la fois des règ<strong>le</strong>s Exchange et des règ<strong>le</strong>s définies par une solution<br />
MDM, ce sont <strong>le</strong>s règ<strong>le</strong>s <strong>le</strong>s plus strictes qui s’appliquent.<br />
Configuration sécurisée des appareils<br />
Un profil de configuration est un fichier XML qui contient <strong>le</strong>s règ<strong>le</strong>s de sécurité et <strong>le</strong>s restrictions<br />
applicab<strong>le</strong>s à un appareil, <strong>le</strong>s informations sur la configuration des réseaux VPN, <strong>le</strong>s réglages<br />
Wi-Fi, <strong>le</strong>s comptes de messagerie et de ca<strong>le</strong>ndrier et <strong>le</strong>s réfé<strong>rence</strong>s d’authentification qui permettent<br />
aux appareils <strong>iOS</strong> de fonctionner avec vos systèmes informatiques. La possibilité d’établir<br />
des règ<strong>le</strong>s de codes et de définir des réglages dans un profil de configuration garantit que<br />
<strong>le</strong>s appareils utilisés sont configurés correctement et selon <strong>le</strong>s normes de sécurité définies par<br />
votre département informatique. Étant donné que <strong>le</strong>s profils de configuration peuvent être à la<br />
fois chiffrés et verrouillés, il est impossib<strong>le</strong> de supprimer, de modifier ou de partager <strong>le</strong>s réglages.<br />
Les profils de configuration peuvent être à la fois signés et chiffrés. La signature d’un profil de<br />
configuration permet de garantir que <strong>le</strong>s réglages appliqués ne peuvent pas être modifiés.<br />
Le chiffrement d’un profil de configuration protège <strong>le</strong> contenu du profil et permet de lancer<br />
l’installation uniquement sur l’appareil <strong>pour</strong> <strong>le</strong>quel il a été créé. Les profils de configuration<br />
sont chiffrés à l’aide de CMS (Cryptographic Message Syntax, RFC 3852), prenant en charge 3DES<br />
et AES 128.<br />
La première fois que vous distribuez un profil de configuration chiffré, vous pouvez l’instal<strong>le</strong>r<br />
via une connexion USB à l’aide d’<strong>App<strong>le</strong></strong> Configurator, sans fil à l’aide du protoco<strong>le</strong> Over-the-Air<br />
Profi<strong>le</strong> Delivery and Configuration, ou encore par <strong>le</strong> biais d’une solution MDM. Les profils de<br />
configuration chiffrés ensuite peuvent être distribués sous forme de pièce jointe à un e-mail,<br />
hébergés sur un site web accessib<strong>le</strong> à vos utilisateurs ou envoyés en mode push sur l’appareil<br />
par <strong>le</strong> biais d’une solution MDM.<br />
Pour en savoir plus, consultez la page Over-the-Air Profi<strong>le</strong> Delivery and Configuration<br />
(Configuration et livraison de profils sans fil).<br />
Chapitre 6 Sécurité 58
Protection des données<br />
Vous pouvez améliorer la sécurité des données sensib<strong>le</strong>s tel<strong>le</strong>s que <strong>le</strong>s e-mails et pièces jointes<br />
stockés sur l’appareil en utilisant des fonctionnalités de protection des données intégrées à <strong>iOS</strong>.<br />
La protection des données associe <strong>le</strong> code d’appareil unique de chaque utilisateur au chiffrement<br />
matériel des appareils <strong>iOS</strong> <strong>pour</strong> générer une puissante clé de chiffrement. Cela empêche<br />
l’accès aux données lorsque l’appareil est verrouillé, et assure la sécurité des données confidentiel<strong>le</strong>s,<br />
même si l’appareil tombe entre de mauvaises mains.<br />
Pour activer la protection des données, définissez un code de verrouillage sur l’appareil.<br />
L’efficacité de la protection des données dépend du code ; il est donc important d’exiger un code<br />
efficace composé de plus de quatre chiffres.<br />
Les utilisateurs peuvent s’assurer que la protection des données est activée sur <strong>le</strong>ur appareil en<br />
consultant l’écran des réglages de codes. Les solutions de gestion des appareils mobi<strong>le</strong>s permettent<br />
éga<strong>le</strong>ment d’interroger <strong>le</strong>s appareils <strong>pour</strong> récupérer cette information.<br />
Il existe éga<strong>le</strong>ment <strong>pour</strong> <strong>le</strong>s développeurs des API de protection des données pouvant être utilisées<br />
<strong>pour</strong> sécuriser <strong>le</strong>s données au sein des apps de l’App Store ou des apps personnalisées<br />
développées en interne. Sous <strong>iOS</strong> 7 et ultérieur, <strong>le</strong>s données stockées par <strong>le</strong>s applications se<br />
trouvent, par défaut, dans la classe de sécurité « Protected Until First User Authentication ».<br />
Cela est semblab<strong>le</strong> à un chiffrement comp<strong>le</strong>t du disque sur <strong>le</strong>s ordinateurs de bureau et protège<br />
<strong>le</strong>s données des attaques impliquant un redémarrage.<br />
<strong>iOS</strong> 8 comprend une protection des données <strong>pour</strong> Ca<strong>le</strong>ndrier, Contacts, Messages, Notes, Rappels<br />
et <strong>le</strong>s livres et fichiers PDF gérés.<br />
Remarque : Si un appareil est mis à jour à partir d’<strong>iOS</strong> 6, <strong>le</strong>s magasins de données existants ne<br />
sont pas convertis <strong>pour</strong> être intégrés dans cette nouvel<strong>le</strong> classe. La suppression et la réinstallation<br />
d’une app lui permettent de bénéficier de cette nouvel<strong>le</strong> classe de protection.<br />
Chiffrement<br />
Les appareils <strong>iOS</strong> utilisent un chiffrement matériel. Ce chiffrement matériel utilise l’encodage<br />
AES sur 256 bits <strong>pour</strong> protéger toutes <strong>le</strong>s données stockées sur l’appareil. Le chiffrement est<br />
toujours activé et ne peut pas être désactivé. De plus, <strong>le</strong>s données sauvegardées dans iTunes sur<br />
l’ordinateur d’un utilisateur peuvent éga<strong>le</strong>ment être chiffrées. Ce chiffrement peut être activé<br />
par l’utilisateur ou mis en place à l’aide des réglages de restriction de l’appareil dans <strong>le</strong>s profils<br />
de configuration.<br />
Les modu<strong>le</strong>s cryptographiques sous <strong>iOS</strong> 6 et ultérieur ont été validés <strong>pour</strong> satisfaire aux exigences<br />
du standard américain FIPS (Federal Information Processing Standard) 140-2 Level 1.<br />
Cette validation garantit l’intégrité des opérations cryptographiques des apps <strong>App<strong>le</strong></strong> et des apps<br />
tierces qui exploitent <strong>le</strong>s services cryptographiques d’<strong>iOS</strong>.<br />
Pour en savoir plus, consultez <strong>le</strong>s artic<strong>le</strong>s<br />
Sécurité des produits <strong>iOS</strong> : validations et procédures applicab<strong>le</strong>s et<br />
Version 4.0 des modu<strong>le</strong>s cryptographiques <strong>iOS</strong> <strong>App<strong>le</strong></strong> <strong>pour</strong> la norme FIPS de l’assistance <strong>App<strong>le</strong></strong>.<br />
Norme S/MIME appliquée par message<br />
<strong>iOS</strong> 8 et OS X Yosemite permettent d’appliquer la norme S/MIME par message, afin que <strong>le</strong>s<br />
utilisateurs de cette norme puissent décider de toujours signer et chiffrer par défaut, ou de ne<br />
signer et/ou chiffrer que certains messages. Cela fournit un meil<strong>le</strong>ur contrô<strong>le</strong> de la sécurité de<br />
chaque e-mail.<br />
Chapitre 6 Sécurité 59
L’appareil <strong>App<strong>le</strong></strong> peut délivrer des certificats de norme S/MIME par <strong>le</strong> biais d’un profil de configuration,<br />
une solution MDM ou SCEP. Cela offre au service informatique la f<strong>le</strong>xibilité requise <strong>pour</strong><br />
garantir que <strong>le</strong>s utilisateurs ont toujours <strong>le</strong> certificat adéquat installé.<br />
Adresses e-mail externes<br />
<strong>iOS</strong> 8 et OS X Yosemite prennent en charge la création d’une liste de domaines en fonction des<br />
suffixes. Les messages Mail envoyés à des adresses dont <strong>le</strong> domaine n’est pas répertorié dans la<br />
liste des domaines approuvés sont marqués en rouge. Par exemp<strong>le</strong>, un utilisateur peut ajouter<br />
examp<strong>le</strong>.com et groupe.examp<strong>le</strong>.com à sa liste de domaines connus. Si un utilisateur ayant <strong>le</strong>s<br />
adresses examp<strong>le</strong>.com et group.examp<strong>le</strong>.com dans sa liste de domaines connus venait à saisir<br />
l’adresse anyone@acme.com dans un e-mail, cette adresse serait marquée clairement afin que<br />
l’utilisateur sache que <strong>le</strong> domaine acme.com ne figure pas dans sa liste des domaines approuvés.<br />
Touch ID<br />
Touch ID est <strong>le</strong> système de détection d’empreinte digita<strong>le</strong> intégré à certains appareils <strong>iOS</strong>,<br />
qui accélère et facilite l’accès hautement sécurisé à l’appareil. Cette technologie identifie <strong>le</strong>s<br />
empreintes digita<strong>le</strong>s sous n’importe quel ang<strong>le</strong> et apprend à mieux connaître l’empreinte digita<strong>le</strong><br />
de l’utilisateur au fil du temps, <strong>le</strong> capteur continuant à enrichir la carte de l’empreinte avec<br />
l’identification de nouveaux chevauchements à chaque utilisation.<br />
Grâce à Touch ID, l’utilisation d’un code plus long et plus comp<strong>le</strong>xe devient plus pratique,<br />
car l’utilisateur n’a pas à <strong>le</strong> saisir aussi fréquemment.<br />
Lorsque Touch ID est activé, l’appareil se verrouil<strong>le</strong> dès que l’on appuie sur <strong>le</strong> bouton de mise en<br />
veil<strong>le</strong>. Lorsque la sécurité ne dépend que du code d’accès, de nombreux utilisateurs définissent<br />
une « période de grâce » du déverrouillage <strong>pour</strong> éviter d’avoir à saisir <strong>le</strong>ur code à chaque utilisation<br />
de l’appareil. Avec Touch ID, l’appareil se verrouil<strong>le</strong> dès qu’il se met en veil<strong>le</strong> et exige une<br />
empreinte digita<strong>le</strong> – ou éventuel<strong>le</strong>ment <strong>le</strong> code – à chaque sortie de veil<strong>le</strong>.<br />
Touch ID fonctionne avec <strong>le</strong> coprocesseur Secure Enclave contenu au sein de la puce A7 <strong>App<strong>le</strong></strong>.<br />
Le coprocesseur Secure Enclave dispose de son propre espace mémoire chiffré et protégé, et<br />
communique de façon sécurisée avec <strong>le</strong> capteur Touch ID. Lorsque l’appareil se verrouil<strong>le</strong>,<br />
<strong>le</strong>s clés de la classe de protection des données Comp<strong>le</strong>te sont protégées par une clé conservée<br />
par la mémoire chiffrée du coprocesseur Secure Enclave. Cette clé est détenue pendant<br />
48 heures maximum et rejetée si l’appareil est redémarré ou si une empreinte digita<strong>le</strong> non<br />
reconnue est utilisée cinq fois. Si l’empreinte est reconnue, Secure Enclave fournit la clé permettant<br />
de « désenvelopper » <strong>le</strong>s clés de protection des données, et l’appareil est déverrouillé.<br />
<strong>iOS</strong> 8 introduit l’utilisation de Touch ID <strong>pour</strong> se connecter à des apps tierces. Si <strong>le</strong> développeur a<br />
intégré cette fonctionnalité à son app, l’utilisateur n’a pas besoin de saisir de mot de passe.<br />
Tout élément du trousseau spécifié par <strong>le</strong> développeur peut être déverrouillé à l’aide de Touch ID.<br />
Les données relatives à l’empreinte digita<strong>le</strong> de l’utilisateur sont protégées et ne sont pas<br />
accessib<strong>le</strong>s par <strong>iOS</strong> ni par <strong>le</strong>s apps tierces.<br />
Chapitre 6 Sécurité 60
Effacement à distance<br />
Les appareils <strong>App<strong>le</strong></strong> prennent entièrement en charge l’effacement à distance. En cas de perte ou<br />
de vol d’un appareil, un administrateur ou <strong>le</strong> propriétaire de l’appareil peut émettre une commande<br />
d’effacement à distance qui supprimera toutes <strong>le</strong>s données et désactivera l’appareil par <strong>le</strong><br />
biais d’une solution MDM ou de la fonctionnalité Localiser mon iPhone d’iCloud. Si l’appareil est<br />
configuré avec un compte Exchange, l’administrateur peut initier une commande d’effacement à<br />
distance à l’aide de la conso<strong>le</strong> de gestion Exchange Management Conso<strong>le</strong> (Exchange Server 2007)<br />
ou de l’outil Exchange ActiveSync Mobi<strong>le</strong> Administration Web Tool (Exchange Server 2003 ou 2007).<br />
Les utilisateurs d’Exchange Server 2007 peuvent initier directement une commande d’effacement<br />
à distance à l’aide d’Outlook Web Access.<br />
Effacement local<br />
Vous pouvez configurer <strong>le</strong>s appareils de manière à initier automatiquement un effacement<br />
local après plusieurs tentatives infructueuses de saisie du code d’appareil. C’est un moyen de<br />
se protéger des tentatives d’accès à l’appareil par force brute. Lorsqu’un code est mis en place,<br />
<strong>le</strong>s utilisateurs peuvent activer l’effacement local directement dans <strong>le</strong>s réglages. Par défaut,<br />
<strong>iOS</strong> efface automatiquement l’appareil après 10 tentatives de saisie de mot de passe infructueuses.<br />
Le nombre maximum de tentatives infructueuses peut être défini à l’aide d’un profil de<br />
configuration, défini par un serveur MDM ou appliqué à distance par l’intermédiaire de règ<strong>le</strong>s<br />
Microsoft Exchange ActiveSync.<br />
Sécurité réseau<br />
Les utilisateurs d’appareils mobi<strong>le</strong>s doivent pouvoir accéder aux réseaux de l’entreprise partout<br />
dans <strong>le</strong> monde ; il est éga<strong>le</strong>ment important de s’assurer que <strong>le</strong>s utilisateurs sont autorisés et<br />
que <strong>le</strong>urs données sont protégées pendant la transmission. Les technologies de sécurité réseau<br />
intégrées à <strong>iOS</strong> atteignent ces objectifs de sécurité à la fois <strong>pour</strong> <strong>le</strong>s connexions Wi-Fi et <strong>pour</strong> <strong>le</strong>s<br />
connexions cellulaires.<br />
La sécurité réseau <strong>iOS</strong> prend en charge <strong>le</strong>s éléments suivants :<br />
••<br />
Protoco<strong>le</strong>s Cisco IPSec, L2TP, IKEv2 et PPTP intégrés<br />
••<br />
VPN SSL via <strong>le</strong>s apps de l’App Store<br />
••<br />
SSL/TLS avec des certificats X.509<br />
••<br />
Protoco<strong>le</strong>s WPA/WPA2 Enterprise avec 802.1x<br />
••<br />
Authentification par certificat<br />
••<br />
RSA SecurID, CRYPTOCard<br />
VPN<br />
De nombreux environnements d’entreprise possèdent une forme de réseau privé virtuel (VPN).<br />
Ces services réseau sécurisés requièrent en règ<strong>le</strong> généra<strong>le</strong> des réglages et une configuration<br />
minimes <strong>pour</strong> pouvoir fonctionner avec des appareils <strong>App<strong>le</strong></strong>, <strong>le</strong>squels prennent en charge<br />
l’intégration d’une large gamme de technologies VPN courantes.<br />
Pour en savoir plus, consultez la section Vue d’ensemb<strong>le</strong> des réseaux privés virtuels (VPN).<br />
IPSec<br />
Les appareils <strong>iOS</strong> et OS X prennent en charge <strong>le</strong>s protoco<strong>le</strong>s et méthodes d’authentification IPSec.<br />
Pour plus de détails, consultez la section Protoco<strong>le</strong>s et méthodes d’authentification pris<br />
en charge.<br />
Chapitre 6 Sécurité 61
SSL/TLS<br />
<strong>iOS</strong> prend en charge <strong>le</strong> protoco<strong>le</strong> SSL v3 ainsi que Transport Layer Security (TLS v1.0, 1.1 et 1.2).<br />
Safari, Ca<strong>le</strong>ndrier, Mail et d’autres apps Internet utilisent automatiquement ces protoco<strong>le</strong>s <strong>pour</strong><br />
activer un canal de communication chiffré entre <strong>le</strong>s appareils <strong>iOS</strong> et OS X et <strong>le</strong>s services d’entreprise.<br />
WPA/WPA2<br />
<strong>iOS</strong> et OS X prennent en charge la norme WPA2 Enterprise <strong>pour</strong> fournir un accès authentifié au<br />
réseau sans fil de votre entreprise. WPA2 Enterprise utilise un chiffrement AES 128 bit, afin que <strong>le</strong>s<br />
données des utilisateurs soient protégées pendant <strong>le</strong>s communications effectuées sur un réseau<br />
Wi-Fi. En outre, avec la prise en charge de l’authentification 802.1x, <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> peuvent<br />
s’intégrer dans une grande variété d’environnements d’authentification RADIUS.<br />
<strong>iOS</strong> et OS X prennent en charge <strong>le</strong>s protoco<strong>le</strong>s d’authentification 802.1X suivants :<br />
••<br />
EAP-TLS<br />
••<br />
EAP-TTLS<br />
••<br />
EAP-FAST<br />
••<br />
EAP-SIM<br />
••<br />
EAP-AKA<br />
••<br />
PEAP v0, v1<br />
••<br />
LEAP<br />
Pour en savoir plus, consultez la rubrique Vue d’ensemb<strong>le</strong> du Wi-Fi.<br />
Chiffrement FaceTime et iMessage<br />
Chaque session FaceTime et chaque conversation iMessage sont chiffrées de bout en bout. <strong>iOS</strong> et<br />
OS X créent un identifiant unique <strong>pour</strong> chaque utilisateur, veillant ainsi à ce que <strong>le</strong>s communications<br />
soient correctement chiffrées, acheminées et connectées.<br />
Sécurité des apps<br />
Pour éviter toute possibilité de détournement des apps, <strong>iOS</strong> et OS X comprennent une méthode<br />
en environnement contrôlé <strong>pour</strong> la protection des apps lors de <strong>le</strong>ur exécution et <strong>pour</strong> <strong>le</strong>ur signature.<br />
<strong>iOS</strong> et OS X comprennent aussi une structure appelée Trousseau qui facilite <strong>le</strong> stockage<br />
sécurisé des identifiants des apps et des services réseau dans un emplacement de stockage<br />
chiffré. Pour <strong>le</strong>s développeurs <strong>iOS</strong> et OS X, il offre une architecture cryptographique courante qui<br />
peut être utilisée <strong>pour</strong> chiffrer <strong>le</strong>s données stockées par <strong>le</strong>s apps.<br />
Protection à l’exécution<br />
Toutes <strong>le</strong>s apps de l’App Store sont mises en environnement contrôlé <strong>pour</strong> restreindre l’accès aux<br />
données stockées par d’autres apps. De plus, <strong>le</strong>s fichiers système, <strong>le</strong>s ressources et <strong>le</strong> noyau sont<br />
à l’abri de l’espace d’exécution des apps de l’utilisateur. Si une app doit accéder aux données<br />
d’une autre app, el<strong>le</strong> ne peut <strong>le</strong> faire qu’en utilisant <strong>le</strong>s API et <strong>le</strong>s services fournis par <strong>iOS</strong> et OS X.<br />
La génération de codes est éga<strong>le</strong>ment impossib<strong>le</strong>.<br />
Signature du code obligatoire<br />
Toutes <strong>le</strong>s apps de l’App Store doivent être signées. Les apps fournies avec <strong>le</strong>s appareils <strong>App<strong>le</strong></strong><br />
sont signées par <strong>App<strong>le</strong></strong>. Les apps tierces sont signées par <strong>le</strong>ur développeur à l’aide d’un certificat<br />
délivré par <strong>App<strong>le</strong></strong>. Ce mécanisme permet de s’assurer qu’el<strong>le</strong>s n’ont pas été détournées ou altérées.<br />
Des vérifications sont effectuées à l’exécution <strong>pour</strong> s’assurer que l’app n’a pas été invalidée<br />
depuis sa dernière utilisation.<br />
Chapitre 6 Sécurité 62
Vous pouvez contrô<strong>le</strong>r l’utilisation d’apps internes personnalisées avec un profil d’approvisionnement.<br />
Les utilisateurs doivent avoir installé <strong>le</strong> profil d’approvisionnement correspondant <strong>pour</strong><br />
pouvoir lancer l’app. Les profils d’approvisionnement peuvent être installés à distance à l’aide de<br />
solutions MDM. Vous pouvez éga<strong>le</strong>ment faire en sorte qu’une app ne puisse être utilisée que sur<br />
certains appareils.<br />
Structure d’authentification sécurisée<br />
<strong>iOS</strong> et OS X fournissent un trousseau chiffré sécurisé <strong>pour</strong> stocker <strong>le</strong>s identités numériques,<br />
<strong>le</strong>s noms d’utilisateur et <strong>le</strong>s mots de passe. Les données du trousseau sont segmentées et<br />
protégées avec des listes de contrô<strong>le</strong> d’accès (ACL), de sorte que <strong>le</strong>s informations d’identification<br />
stockées par des apps tierces sont inaccessib<strong>le</strong>s aux apps ayant une identité différente,<br />
sauf si l’utilisateur <strong>le</strong>s approuve explicitement. Ce mécanisme permet de sécuriser <strong>le</strong>s informations<br />
d’authentification sur <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> <strong>pour</strong> un large éventail d’apps et de services au sein de<br />
votre organisation.<br />
Architecture cryptographique courante<br />
Les développeurs d’app peuvent utiliser des API de chiffrement <strong>pour</strong> protéger <strong>le</strong>s données de<br />
<strong>le</strong>urs apps. Les données peuvent être chiffrées de manière symétrique à l’aide de méthodes<br />
éprouvées tel<strong>le</strong>s que AES, RC4 ou 3DES. En outre, <strong>le</strong>s appareils <strong>iOS</strong> et <strong>le</strong>s ordinateurs Mac à<br />
processeur Intel actuels fournissent une accélération matériel<strong>le</strong> <strong>pour</strong> <strong>le</strong> chiffrement AES et <strong>le</strong><br />
hachage SHA1, ce qui optimise <strong>le</strong>s performances des applications.<br />
Protection des données d’apps<br />
Les apps peuvent aussi tirer parti du chiffrement matériel intégré aux appareils <strong>iOS</strong> <strong>pour</strong> renforcer<br />
la protection des données d’apps sensib<strong>le</strong>s. Les développeurs peuvent désigner des<br />
fichiers spécifiques <strong>pour</strong> la protection des données, en demandant au système de chiffrer <strong>le</strong><br />
contenu du fichier <strong>pour</strong> <strong>le</strong> rendre inaccessib<strong>le</strong> à l’app et à tout intrus potentiel lorsque l’appareil<br />
est verrouillé.<br />
Habilitations <strong>pour</strong> <strong>le</strong>s apps<br />
Par défaut, <strong>le</strong>s apps d’un appareil <strong>iOS</strong> ont des privilèges très limités. Les développeurs doivent<br />
explicitement ajouter des habilitations <strong>pour</strong> utiliser la plupart des fonctionnalités tel<strong>le</strong>s qu’iCloud,<br />
<strong>le</strong> traitement en arrière-plan ou <strong>le</strong>s trousseaux partagés. Cela permet de s’assurer que <strong>le</strong>s apps<br />
ne peuvent pas el<strong>le</strong>s-mêmes s’accorder l’accès à des données avec <strong>le</strong>squel<strong>le</strong>s el<strong>le</strong>s n’ont pas été<br />
déployées. Les apps <strong>iOS</strong> doivent demander la permission explicite de l’utilisateur avant d’exploiter<br />
de nombreuses fonctionnalités <strong>iOS</strong> tel<strong>le</strong>s que la géolocalisation par GPS, <strong>le</strong>s contacts de l’utilisateur,<br />
l’appareil photo ou <strong>le</strong>s photos stockées.<br />
Authentification par signature unique et Touch ID<br />
Les développeurs peuvent tirer parti de l’authentification par signature unique et de Touch ID<br />
<strong>pour</strong> fournir une intégration de l’authentification continue et sécurisée entre <strong>le</strong>s apps, et <strong>pour</strong><br />
autoriser l’authentification avec Touch ID.<br />
Pour plus d’informations, consultez <strong>le</strong>s sections Configurer l’authentification par signature unique<br />
et Touch ID.<br />
Chapitre 6 Sécurité 63
Configuration et gestion<br />
7<br />
Vue d’ensemb<strong>le</strong><br />
Vous pouvez rationaliser <strong>le</strong>s dé<strong>ploiement</strong>s d’appareils <strong>App<strong>le</strong></strong> grâce à plusieurs techniques de<br />
gestion qui simplifient la configuration des comptes, la configuration des règ<strong>le</strong>s institutionnel<strong>le</strong>s,<br />
la distribution des apps et l’application des restrictions. Vous pouvez configurer <strong>le</strong>s préfé<strong>rence</strong>s<br />
et <strong>le</strong>s comptes <strong>iOS</strong> et OS X manuel<strong>le</strong>ment, ou par l’intermédiaire d’une solution MDM. Les utilisateurs<br />
peuvent ensuite se charger de l’essentiel de la configuration initia<strong>le</strong> grâce à l’Assistant<br />
réglages intégré aux appareils <strong>App<strong>le</strong></strong>. Une fois <strong>le</strong>s appareils configurés et inscrits auprès de la<br />
solution MDM, ils peuvent être gérés sans fil par votre service informatique.<br />
Les solutions MDM permettent aux organisations d’inscrire des appareils <strong>App<strong>le</strong></strong> de manière<br />
sécurisée au sein de l’environnement éducatif ou de l’entreprise, de configurer et de mettre<br />
à jour <strong>le</strong>s réglages sans fil, de contrô<strong>le</strong>r <strong>le</strong> respect des règ<strong>le</strong>s, de déployer des apps, mais aussi<br />
d’effacer ou de verrouil<strong>le</strong>r <strong>le</strong>s appareils à distance s’ils sont gérés. Plusieurs solutions MDM sont<br />
disponib<strong>le</strong>s en fonction des différentes plateformes de serveur. Chaque solution dispose d’une<br />
conso<strong>le</strong> de gestion, de fonctionnalités et de tarifs qui lui sont propres. Avant de choisir une solution<br />
MDM, consultez cette section <strong>pour</strong> déterminer <strong>le</strong>s fonctionnalités <strong>le</strong>s plus importantes <strong>pour</strong><br />
votre organisation.<br />
En fonction des propriétaires des appareils <strong>App<strong>le</strong></strong> et du type de dé<strong>ploiement</strong>, plusieurs fonctionnalités<br />
et flux de travail de configuration différents sont disponib<strong>le</strong>s. Pour en savoir plus, consultez<br />
la section Vue d’ensemb<strong>le</strong> des modè<strong>le</strong>s de dé<strong>ploiement</strong>.<br />
Cette section décrit l’ensemb<strong>le</strong> comp<strong>le</strong>t d’outils, de programmes et de services disponib<strong>le</strong>s <strong>pour</strong><br />
prendre en charge votre dé<strong>ploiement</strong> d’appareils <strong>App<strong>le</strong></strong>.<br />
Assistant réglages et activation<br />
<strong>iOS</strong> et OS X proposent l’Assistant réglages, qui permet d’activer tout appareil <strong>App<strong>le</strong></strong> nouveau ou<br />
effacé, de configurer <strong>le</strong>s réglages de base et de personnaliser certaines préfé<strong>rence</strong>s tel<strong>le</strong>s que la<br />
langue, <strong>le</strong> service de localisation, Siri, iCloud et Localiser mon iPhone. Les utilisateurs peuvent,<br />
dès la réception de <strong>le</strong>ur appareil <strong>App<strong>le</strong></strong>, utiliser ces fonctionnalités <strong>pour</strong> commencer à utiliser <strong>le</strong>ur<br />
appareil ; votre organisation peut éga<strong>le</strong>ment se charger de ces tâches de configuration de base.<br />
Assistant réglages permet éga<strong>le</strong>ment à l’utilisateur de se créer un identifiant <strong>App<strong>le</strong></strong> personnel,<br />
s’il n’en a pas déjà un.<br />
Pour <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> inscrits au programme d’inscription d’appareil et gérés par une solution<br />
MDM, <strong>le</strong>s écrans suivants de l’Assistant réglages peuvent être ignorés :<br />
••<br />
Restaurer à partir d’une sauvegarde : N’effectue pas de restauration à partir d’une sauvegarde<br />
••<br />
Identifiant <strong>App<strong>le</strong></strong> : N’invite pas l’utilisateur à s’inscrire à l’aide d’un identifiant <strong>App<strong>le</strong></strong><br />
••<br />
Conditions généra<strong>le</strong>s : Ignore <strong>le</strong>s Conditions généra<strong>le</strong>s<br />
••<br />
Envoi de diagnostics : N’envoie pas automatiquement <strong>le</strong>s informations de diagnostic<br />
••<br />
Localisation (<strong>iOS</strong> uniquement) : N’active pas <strong>le</strong> Service de localisation<br />
64
••<br />
Touch ID (<strong>iOS</strong> uniquement) : N’active pas Touch ID<br />
••<br />
Code (<strong>iOS</strong> uniquement) : Ignore la configuration du code d’accès<br />
••<br />
<strong>App<strong>le</strong></strong> Pay (<strong>iOS</strong> uniquement) : N’active pas <strong>App<strong>le</strong></strong> Pay<br />
••<br />
Siri (<strong>iOS</strong> uniquement) : N’active pas Siri<br />
••<br />
Zoom de l’écran (<strong>iOS</strong> uniquement) : N’active pas <strong>le</strong> zoom de l’écran<br />
••<br />
Enregistrement (OS X uniquement) : N’autorise pas l’enregistrement<br />
••<br />
Fi<strong>le</strong>Vault (OS X uniquement) : N’active pas Fi<strong>le</strong>Vault<br />
Sauf dans <strong>le</strong> cas où ces éléments sont éga<strong>le</strong>ment définitivement restreints par <strong>le</strong> biais de la solution<br />
MDM, <strong>le</strong>s utilisateurs peuvent effectuer l’ensemb<strong>le</strong> de ces opérations une fois que l’appareil<br />
<strong>App<strong>le</strong></strong> est configuré.<br />
Pour en savoir plus sur <strong>le</strong> programme d’inscription d’appareil, consultez :<br />
••<br />
Programme d’inscription d’appareil<br />
••<br />
Programme d’inscription d’appareil<br />
••<br />
Aide des programmes de dé<strong>ploiement</strong> d’<strong>App<strong>le</strong></strong><br />
Profils de configuration<br />
Un profil de configuration est un fichier XML utilisé <strong>pour</strong> distribuer <strong>le</strong>s informations de configuration<br />
aux appareils <strong>App<strong>le</strong></strong>. Les profils de configuration permettent d’automatiser la configuration<br />
des réglages, des comptes, des restrictions et des informations de connexion. Ils peuvent être<br />
envoyés en pièce jointe par e-mail, téléchargés depuis une page web ou installés sur <strong>le</strong>s appareils<br />
<strong>iOS</strong> à l’aide d’<strong>App<strong>le</strong></strong> Configurator. Si vous devez configurer un grand nombre d’appareils <strong>iOS</strong>,<br />
ou si vous préférez un modè<strong>le</strong> de configuration automatisé et à distance, vous pouvez livrer <strong>le</strong>s<br />
profils de configuration par l’intermédiaire d’une solution MDM.<br />
Les profils de configuration contenant un certificat et des données uti<strong>le</strong>s Wi-Fi peuvent éga<strong>le</strong>ment<br />
être installés sur une <strong>App<strong>le</strong></strong> TV. Pour en savoir plus, consultez l’artic<strong>le</strong> d’assistance <strong>App<strong>le</strong></strong><br />
Comment instal<strong>le</strong>r un profil de configuration sur une <strong>App<strong>le</strong></strong> TV.<br />
Vous pouvez chiffrer et signer <strong>le</strong>s profils de configuration, ce qui vous permet de limiter <strong>le</strong>ur<br />
usage à un appareil <strong>App<strong>le</strong></strong> donné et empêche quiconque de modifier <strong>le</strong>s réglages inclus dans<br />
<strong>le</strong> profil. Un administrateur MDM a éga<strong>le</strong>ment la possibilité de marquer un profil comme étant<br />
verrouillé à un appareil de sorte que, une fois installé, personne ne peut <strong>le</strong> supprimer sans effacer<br />
toutes <strong>le</strong>s données de l’appareil ou, <strong>le</strong> cas échéant, saisir un mot de passe.<br />
À l’exception des codes, <strong>le</strong>s utilisateurs ne peuvent pas modifier <strong>le</strong>s réglages fournis dans un<br />
profil de configuration. Les comptes configurés par un profil, tels que <strong>le</strong>s comptes Exchange,<br />
ne peuvent être supprimés que par la suppression du profil.<br />
Pour en savoir plus, consultez la page Configuration Profi<strong>le</strong> Key Refe<strong>rence</strong> (Réfé<strong>rence</strong>s des clés<br />
<strong>pour</strong> <strong>le</strong>s profils de configuration).<br />
Chapitre 7 Configuration et gestion 65
Gestion des appareils mobi<strong>le</strong>s (MDM)<br />
Vue d’ensemb<strong>le</strong><br />
La compatibilité d’<strong>iOS</strong> et OS X avec la gestion des appareils mobi<strong>le</strong>s (MDM) permet aux services<br />
informatiques de configurer et de gérer <strong>le</strong> dé<strong>ploiement</strong> des appareils <strong>App<strong>le</strong></strong> en toute sécurité<br />
sur l’ensemb<strong>le</strong> des organisations. Pour rendre cela possib<strong>le</strong>, <strong>iOS</strong> et OS X intègrent une structure<br />
MDM qui permet aux solutions MDM tierces de dialoguer sans fil avec <strong>le</strong>s appareils <strong>App<strong>le</strong></strong>. Cette<br />
structure légère a été conçue <strong>pour</strong> <strong>le</strong>s appareils <strong>App<strong>le</strong></strong>. El<strong>le</strong> est assez puissante et évolutive <strong>pour</strong><br />
permettre de configurer et gérer tous <strong>le</strong>s appareils <strong>iOS</strong>, OS X et <strong>App<strong>le</strong></strong> TV d’une entreprise.<br />
Avec une solution MDM, vous pouvez inscrire des appareils <strong>App<strong>le</strong></strong> en toute sécurité dans une<br />
organisation, configurer et mettre à jour des réglages, vérifier la conformité des appareils aux<br />
règ<strong>le</strong>s de l’organisation, et effacer ou verrouil<strong>le</strong>r à distance <strong>le</strong>s appareils gérés. MDM <strong>pour</strong> <strong>iOS</strong> et<br />
OS X vous offre un moyen simp<strong>le</strong> de permettre à des utilisateurs d’accéder aux services réseau,<br />
tout en garantissant que <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> sont correctement configurés, indépendamment<br />
du propriétaire.<br />
APN<br />
Push<br />
Interrogation<br />
Serveur MDM<br />
Inscription<br />
Les solutions MDM utilisent <strong>le</strong> service de notifications push <strong>App<strong>le</strong></strong> (APN) <strong>pour</strong> maintenir une<br />
connexion permanente avec <strong>le</strong>s appareils <strong>App<strong>le</strong></strong>, tant sur <strong>le</strong>s réseaux publics que sur <strong>le</strong>s réseaux<br />
privés. Pour fonctionner, la gestion des appareils mobi<strong>le</strong>s (MDM) repose sur plusieurs certificats,<br />
dont un certificat APN <strong>pour</strong> communiquer avec <strong>le</strong>s clients et un certificat SSL <strong>pour</strong> sécuriser <strong>le</strong>s<br />
échanges. Les solutions MDM peuvent éga<strong>le</strong>ment signer <strong>le</strong>s profils avec un certificat. Les fonctionnalités<br />
MDM sont développées à partir de technologies <strong>iOS</strong> et OS X existantes, tel<strong>le</strong>s que <strong>le</strong>s<br />
profils de configuration, l’inscription à distance et <strong>le</strong> service de notifications push <strong>App<strong>le</strong></strong> (APN).<br />
Par exemp<strong>le</strong>, <strong>le</strong>s APN sont utilisées <strong>pour</strong> réactiver l’appareil afin qu’il puisse communiquer directement<br />
avec son serveur MDM via une connexion sécurisée.<br />
Important : Aucune information confidentiel<strong>le</strong> ou exclusive n’est transmise par <strong>le</strong> biais d’APN.<br />
Chapitre 7 Configuration et gestion 66
Une solution MDM permet à votre service informatique d’inscrire de manière sécurisée <strong>le</strong>s<br />
appareils <strong>App<strong>le</strong></strong> appartenant à l’entreprise et <strong>le</strong>s appareils appartenant personnel<strong>le</strong>ment aux<br />
employés. Avec une solution MDM, vous pouvez configurer et mettre à jour des réglages,<br />
vérifier la conformité des appareils aux règ<strong>le</strong>s de l’entreprise, et effacer ou verrouil<strong>le</strong>r à distance<br />
<strong>le</strong>s appareils <strong>App<strong>le</strong></strong> gérés. Les solutions MDM permettent éga<strong>le</strong>ment la distribution, la gestion et<br />
la configuration d’apps et de livres achetés par l’intermédiaire du programme d’achat en volume<br />
ou développés en interne.<br />
Pour en savoir plus sur la gestion des appareils mobi<strong>le</strong>s (MDM), consultez <strong>le</strong>s pages suivantes :<br />
••<br />
Gestion d’appareils dans l’éducation<br />
••<br />
<strong>iOS</strong> and the new IT for enterprise (<strong>iOS</strong> et <strong>le</strong>s nouvel<strong>le</strong>s technologies <strong>pour</strong> l’entreprise)<br />
La plupart des certificats, y compris <strong>le</strong>s certificats APN, doivent être renouvelés tous <strong>le</strong>s ans.<br />
Lorsqu’un certificat expire, <strong>le</strong> serveur MDM ne peut plus communiquer avec <strong>le</strong>s appareils <strong>App<strong>le</strong></strong><br />
tant que <strong>le</strong> certificat n’a pas été mis à jour. Prévoyez donc de mettre à jour tous <strong>le</strong>s certificats<br />
MDM avant <strong>le</strong>ur expiration. Contactez votre autorité de certification (AC) <strong>pour</strong> en savoir plus sur<br />
<strong>le</strong> renouvel<strong>le</strong>ment de vos certificats. Pour plus d’informations sur <strong>le</strong>s APN, reportez-vous au<br />
portail <strong>App<strong>le</strong></strong> Push Certificates Portal.<br />
Pour en permettre la gestion, <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> sont inscrits à un serveur MDM à l’aide d’un<br />
profil de configuration d’inscription et peuvent être inscrits directement par l’utilisateur. Pour <strong>le</strong>s<br />
appareils appartenant à l’entreprise, l’inscription au serveur MDM peut être automatisée à l’aide<br />
du programme d’inscription d’appareil, comme décrit dans ce chapitre. Lorsqu’un administrateur<br />
initie une règ<strong>le</strong>, une option ou une commande MDM, <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> reçoivent une notification<br />
de l’action par <strong>le</strong> biais des APN. Avec une connexion réseau, <strong>le</strong>s appareils peuvent recevoir<br />
des commandes APN, où qu’ils soient dans <strong>le</strong> monde.<br />
Inscription<br />
L’inscription des appareils <strong>App<strong>le</strong></strong> permet de <strong>le</strong>s cataloguer et de gérer <strong>le</strong> parc. Le processus d’inscription<br />
exploite généra<strong>le</strong>ment <strong>le</strong> protoco<strong>le</strong> SCEP (Simp<strong>le</strong> Certificate Enrollment Protocol),<br />
qui permet à un appareil de créer des certificats d’identité uniques et de s’y inscrire, <strong>pour</strong><br />
l’authentification auprès des services de l’organisation.<br />
Dans la plupart des cas, ce sont <strong>le</strong>s utilisateurs qui décident ou non d’inscrire <strong>le</strong>ur appareil <strong>App<strong>le</strong></strong><br />
auprès du serveur MDM, et ils peuvent l’en dissocier à tout moment. Les organisations peuvent<br />
éventuel<strong>le</strong>ment recourir à des incitations <strong>pour</strong> encourager <strong>le</strong>s utilisateurs à rester inscrits.<br />
Par exemp<strong>le</strong>, il peut exiger l’inscription au serveur MDM <strong>pour</strong> obtenir un accès au réseau Wi-Fi,<br />
en utilisant la solution MDM <strong>pour</strong> fournir <strong>le</strong>s identifiants de connexion. Lorsqu’un utilisateur<br />
quitte la gestion des appareils mobi<strong>le</strong>s, son appareil tente d’en informer <strong>le</strong> serveur MDM.<br />
Le Programme d’inscription d’appareil peut éga<strong>le</strong>ment être utilisé <strong>pour</strong> inscrire automatiquement<br />
auprès de la solution MDM <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> appartenant à l’entreprise, au cours de<br />
la configuration initia<strong>le</strong>. Vous pouvez éga<strong>le</strong>ment superviser <strong>le</strong>s appareils <strong>iOS</strong> <strong>pour</strong> que <strong>le</strong>s utilisateurs<br />
à qui sont confiés ces appareils ne puissent pas contourner la MDM ni en désinscrire<br />
<strong>le</strong>urs appareils.<br />
Pour plus d’informations, consultez la section Programme d’inscription d’appareil.<br />
Configurer<br />
Une fois inscrit, un appareil <strong>App<strong>le</strong></strong> peut être configuré de façon dynamique à l’aide de réglages<br />
et de règ<strong>le</strong>s par <strong>le</strong> serveur MDM. Celui-ci envoie à l’appareil des profils de configuration qui sont<br />
alors installés par <strong>iOS</strong> ou OS X automatiquement et en si<strong>le</strong>nce.<br />
Chapitre 7 Configuration et gestion 67
Les profils de configuration peuvent être signés, chiffrés et verrouillés, ce qui empêche que <strong>le</strong>s<br />
réglages soient modifiés ou partagés. Ainsi, seuls <strong>le</strong>s utilisateurs certifiés et <strong>le</strong>s appareils <strong>App<strong>le</strong></strong><br />
configurés selon vos spécifications peuvent accéder à votre réseau et à vos services. Si un utilisateur<br />
dissocie son appareil de la solution MDM, tous <strong>le</strong>s réglages installés par l’intermédiaire de<br />
cette solution en sont supprimés.<br />
Une interface utilisateur <strong>pour</strong> <strong>le</strong>s profils repensée sous <strong>iOS</strong> 8 indique aux utilisateurs ce qui a<br />
été configuré et restreint par la solution MDM. Les comptes, <strong>le</strong>s apps, <strong>le</strong>s livres et <strong>le</strong>s restrictions<br />
peuvent maintenant être consultés faci<strong>le</strong>ment. Les profils d’approvisionnement ne sont plus<br />
visib<strong>le</strong>s par <strong>le</strong>s utilisateurs sous <strong>iOS</strong> 8, et <strong>le</strong>s profils expirés sont automatiquement supprimés.<br />
Comptes<br />
La gestion des appareils mobi<strong>le</strong>s peut aider <strong>le</strong>s utilisateurs à être rapidement opérationnels en<br />
configurant automatiquement <strong>le</strong>ur messagerie et autres comptes. En fonction de la solution<br />
MDM utilisée et de son intégration avec vos systèmes internes, <strong>le</strong>s entités de compte peuvent<br />
aussi être pré-renseignées avec <strong>le</strong> nom de l’utilisateur, l’adresse e-mail et, <strong>le</strong> cas échéant, <strong>le</strong>s identités<br />
de certificat <strong>pour</strong> l’authentification et la signature.<br />
La solution MDM peut configurer <strong>le</strong>s types de comptes suivants :<br />
••<br />
Ca<strong>le</strong>ndrier<br />
••<br />
Contacts<br />
••<br />
Exchange ActiveSync<br />
••<br />
Identité<br />
••<br />
Jabber<br />
••<br />
LDAP<br />
••<br />
Mail<br />
••<br />
Abonnements ca<strong>le</strong>ndrier<br />
••<br />
VPN<br />
••<br />
802.1X<br />
Les comptes de messagerie et de ca<strong>le</strong>ndrier gérés respectent <strong>le</strong>s restrictions de la gestion des<br />
autorisations d’ouverture sous <strong>iOS</strong> 7 ou ultérieur.<br />
Requêtes<br />
Un serveur MDM peut interroger <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> <strong>pour</strong> récupérer diverses informations. Il<br />
peut s’agir d’informations matériel<strong>le</strong>s, comme <strong>le</strong> numéro de série, l’identifiant UDID, l’adresse<br />
MAC du Wi-Fi ou l’état de chiffrement Fi<strong>le</strong>Vault (<strong>pour</strong> OS X). Il peut s’agir éga<strong>le</strong>ment d’informations<br />
logiciel<strong>le</strong>s, comme la version de l’appareil, <strong>le</strong>s restrictions et une liste détaillée de toutes<br />
<strong>le</strong>s apps installées sur l’appareil. Ces informations peuvent être utilisées <strong>pour</strong> garantir que <strong>le</strong>s<br />
utilisateurs conservent <strong>le</strong>s apps appropriées. <strong>iOS</strong> et OS X permettent des requêtes relatives à<br />
la dernière sauvegarde iCloud de l’appareil et au hachage de compte d’attribution d’apps de<br />
l’utilisateur connecté.<br />
Avec la version 5.4 (ou une version ultérieure) du logiciel <strong>App<strong>le</strong></strong> TV, <strong>le</strong> serveur MDM peut interroger<br />
<strong>le</strong>s <strong>App<strong>le</strong></strong> TV inscrites <strong>pour</strong> récupérer des informations tel<strong>le</strong>s que la langue, la région et<br />
l’organisation.<br />
Chapitre 7 Configuration et gestion 68
Tâches de gestion<br />
Un appareil <strong>iOS</strong> peut être géré, <strong>le</strong> cas échéant, par <strong>le</strong> serveur MDM via un ensemb<strong>le</strong> de tâches<br />
spécifiques. Les tâches de gestion comprennent entre autres :<br />
••<br />
La modification des réglages de configuration : Une commande peut être envoyée <strong>pour</strong> instal<strong>le</strong>r<br />
sur un appareil <strong>App<strong>le</strong></strong> un profil de configuration nouveau ou actualisé. Les changements de<br />
configuration se font en si<strong>le</strong>nce, sans interaction avec l’utilisateur.<br />
••<br />
Le verrouillage d’un appareil <strong>iOS</strong> : Si un appareil <strong>iOS</strong> doit être immédiatement verrouillé,<br />
une commande peut être envoyée <strong>pour</strong> <strong>le</strong> verrouil<strong>le</strong>r à l’aide du code de verrouillage en cours.<br />
••<br />
L’effacement à distance d’un appareil <strong>iOS</strong> : En cas de perte ou de vol d’un appareil <strong>iOS</strong>,<br />
une commande peut être envoyée <strong>pour</strong> effacer toutes <strong>le</strong>s données qu’il contient.<br />
Une fois reçue, une commande d’effacement à distance ne peut être annulée.<br />
••<br />
La suppression d’un code de verrouillage : Après la suppression du code de verrouillage, l’appareil<br />
<strong>iOS</strong> demande immédiatement à l’utilisateur d’en saisir un nouveau. Ce mécanisme est mis<br />
en œuvre lorsque l’utilisateur oublie son code de verrouillage et demande au service informatique<br />
de <strong>le</strong> réinitialiser.<br />
••<br />
La suppression du mot de passe des restrictions : Prise en charge de la suppression des restrictions<br />
et du mot de passe des restrictions défini sur l’appareil <strong>iOS</strong> par l’utilisateur. Cette fonctionnalité<br />
n’est disponib<strong>le</strong> que <strong>pour</strong> <strong>le</strong>s appareils supervisés.<br />
••<br />
Demander la recopie vidéo AirPlay : Ajoute une commande <strong>pour</strong> inviter un appareil <strong>iOS</strong> supervisé<br />
à lancer la recopie vidéo AirPlay vers une destination particulière.<br />
••<br />
Arrêter la recopie vidéo AirPlay : Ajoute une commande <strong>pour</strong> inviter un appareil <strong>iOS</strong> supervisé à<br />
arrêter la recopie vidéo AirPlay vers une destination particulière.<br />
Certaines tâches peuvent être mises en attente sous <strong>iOS</strong> 8 ou ultérieur et sous OS X Mavericks ou<br />
ultérieur, si l’appareil est dans Assistant réglages. Ces tâches sont <strong>le</strong>s suivantes :<br />
••<br />
Invitation au programme d’achat en volume (VPP)<br />
••<br />
Installation d’apps<br />
••<br />
Installation de contenu multimédia<br />
••<br />
Verrouillage d’un appareil<br />
••<br />
Demander la recopie vidéo AirPlay (<strong>iOS</strong> uniquement)<br />
Apps gérées<br />
La distribution d’apps à vos utilisateurs peut <strong>le</strong>s aider à accroître <strong>le</strong>ur productivité au travail ou<br />
en classe. Cependant, selon <strong>le</strong>s besoins de votre organisation, vous devrez peut-être contrô<strong>le</strong>r la<br />
façon dont ces apps se connectent aux ressources internes et dont la sécurité des données est<br />
gérée lorsque l’utilisateur quitte l’organisation, tout en assurant la coexistence avec <strong>le</strong>s apps et<br />
données personnel<strong>le</strong>s de l’utilisateur. Les apps gérées sous <strong>iOS</strong> 7 ou ultérieur et OS X Yosemite<br />
ou ultérieur permettent à votre organisation de distribuer sans fil des apps gratuites, payantes et<br />
d’entreprise développées en interne via une solution MDM, tout en offrant <strong>le</strong> bon équilibre entre<br />
sécurité institutionnel<strong>le</strong> et personnalisation par l’utilisateur.<br />
Les serveurs MDM peuvent déployer à distance sur des appareils <strong>App<strong>le</strong></strong> des apps de l’App Store<br />
et d’autres développées en interne. Qu’el<strong>le</strong>s soient payantes ou gratuites, <strong>le</strong>s apps de l’App Store<br />
peuvent être gérées par un serveur MDM à l’aide de la distribution gérée du Programme d’achat<br />
en volume (VPP). Pour en savoir plus sur la distribution gérée avec une solution MDM, consultez<br />
la rubrique Vue d’ensemb<strong>le</strong> du programme d’achat en volume.<br />
Chapitre 7 Configuration et gestion 69
Les apps du programme d’achat en volume peuvent être installées selon <strong>le</strong>s manières suivantes :<br />
••<br />
Les utilisateurs ayant un appareil <strong>App<strong>le</strong></strong> personnel sont invités par la solution MDM à instal<strong>le</strong>r<br />
l’app depuis l’App Store avec <strong>le</strong>ur identifiant <strong>App<strong>le</strong></strong>.<br />
••<br />
Pour <strong>le</strong>s utilisateurs ayant un appareil <strong>iOS</strong> supervisé appartenant à l’organisation et inscrit<br />
auprès d’un serveur MDM, l’installation des apps se fait de façon si<strong>le</strong>ncieuse.<br />
Les apps gérées peuvent être supprimées à distance par <strong>le</strong> serveur MDM ou lorsque l’utilisateur<br />
désinscrit son appareil <strong>App<strong>le</strong></strong> de la solution MDM. La suppression de l’app a <strong>pour</strong> effet de supprimer<br />
<strong>le</strong>s données qui lui sont associées. Si l’app du Programme d’achat en volume est toujours<br />
attribuée à l’utilisateur ou si ce dernier a utilisé un code avec son identifiant <strong>App<strong>le</strong></strong> personnel,<br />
l’app <strong>pour</strong>ra de nouveau être téléchargée sur l’App Store, mais el<strong>le</strong> ne sera pas gérée. Lorsqu’une<br />
app est révoquée, el<strong>le</strong> continue de fonctionner pendant une durée limitée. Puis, l’app est fina<strong>le</strong>ment<br />
désactivée et l’utilisateur est informé qu’il doit acheter sa propre copie <strong>pour</strong> continuer de<br />
l’utiliser.<br />
<strong>iOS</strong> 7 comprend un ensemb<strong>le</strong> de restrictions et de possibilités renforçant la sécurité et améliorant<br />
l’expérience utilisateur :<br />
••<br />
Gestion des autorisations d’ouverture : Fournit deux fonctions uti<strong>le</strong>s <strong>pour</strong> la protection des données<br />
des apps de votre organisation :<br />
••<br />
Autoriser <strong>le</strong>s documents provenant de sources non gérées dans <strong>le</strong>s destinations gérées.<br />
L’application de cette restriction empêche <strong>le</strong>s sources et comptes personnels d’un utilisateur<br />
d’ouvrir des documents dans <strong>le</strong>s destinations gérées de l’organisation. Par exemp<strong>le</strong>, cette<br />
restriction <strong>pour</strong>rait empêcher une copie de Keynote appartenant à l’utilisateur d’ouvrir une<br />
présentation PDF dans une app de visualisation de PDF de l’organisation. Cette restriction<br />
<strong>pour</strong>rait aussi empêcher un compte iCloud personnel d’un utilisateur d’ouvrir une pièce<br />
jointe dans une copie de Pages appartenant à l’organisation.<br />
••<br />
Autoriser <strong>le</strong>s documents provenant de sources gérées dans <strong>le</strong>s destinations non gérées.<br />
L’application de cette restriction empêche <strong>le</strong>s sources et comptes gérés d’ouvrir des documents<br />
dans <strong>le</strong>s destinations personnel<strong>le</strong>s de l’utilisateur. Cette restriction <strong>pour</strong>rait,<br />
par exemp<strong>le</strong>, empêcher <strong>le</strong>s pièces jointes confidentiel<strong>le</strong>s d’un compte de messagerie géré<br />
de s’ouvrir dans des apps personnel<strong>le</strong>s de l’utilisateur.<br />
••<br />
App Configuration (Configuration des apps) : Les développeurs d’apps peuvent identifier <strong>le</strong>s<br />
réglages d’une app pouvant être définis lorsque cette app est installée en tant qu’app gérée.<br />
Ces réglages de configuration s’effectuent avant ou après l’installation de l’app gérée.<br />
••<br />
App Feedback (Feedback sur l’app) : Les développeurs compilant des apps peuvent identifier<br />
<strong>le</strong>s réglages qu’il est possib<strong>le</strong> de lire depuis une app gérée à l’aide d’une solution MDM.<br />
Par exemp<strong>le</strong>, un développeur indique une clé DidFinishSetup qu’un serveur MDM interroge<br />
<strong>pour</strong> déterminer si l’app a été lancée et configurée.<br />
••<br />
Prevent Backup (Empêcher la sauvegarde) : Cette restriction empêche <strong>le</strong>s apps gérées de sauvegarder<br />
des données sur iCloud ou iTunes. Ne pas autoriser la sauvegarde permet d’éviter que<br />
<strong>le</strong>s données des apps gérées ne soient récupérées si l’app est supprimée via la gestion des<br />
appareils mobi<strong>le</strong>s, mais réinstallée ensuite par l’utilisateur.<br />
Nouvel<strong>le</strong>s fonctionnalités de gestion sous <strong>iOS</strong> 8 :<br />
• • Safari downloads from managed domains (Téléchargements Safari à partir de domaines gérés) :<br />
Les téléchargements provenant de Safari sont considérés comme des documents gérés s’ils<br />
proviennent d’un domaine géré. Par exemp<strong>le</strong>, si un utilisateur télécharge un document PDF<br />
par l’intermédiaire de Safari à partir d’un domaine géré, ce document est conforme à tous <strong>le</strong>s<br />
réglages des documents gérés.<br />
Chapitre 7 Configuration et gestion 70
••<br />
iCloud document management (Gestion de documents iCloud) : Cette restriction empêche <strong>le</strong>s<br />
apps gérées de stocker des données sur iCloud. Par exemp<strong>le</strong>, <strong>le</strong>s données créées ou utilisées<br />
par une app gérée ne peuvent pas être stockées sur iCloud, mais <strong>le</strong>s données créées par <strong>le</strong>s<br />
utilisateurs dans des apps non gérées <strong>le</strong> peuvent.<br />
Restriction des claviers tiers<br />
<strong>iOS</strong> 8 prend en charge <strong>le</strong>s règ<strong>le</strong>s de gestion des autorisations d’ouverture qui s’appliquent aux<br />
extensions de clavier tiers. Cela empêche <strong>le</strong>s claviers non gérés d’apparaître dans <strong>le</strong>s apps gérées.<br />
Livres gérés<br />
Avec <strong>iOS</strong> 8 et OS X Mavericks ou ultérieur, vous pouvez distribuer et gérer <strong>le</strong>s livres, fichiers ePub<br />
et PDF que vous créez ou achetez avec la solution MDM, ce qui vous permet de gérer sans effort<br />
<strong>le</strong>s supports de formation et autres documents d’entreprise.<br />
Les livres, <strong>le</strong>s fichiers ePub et <strong>le</strong>s fichiers PDF distribués par une solution MDM ont <strong>le</strong>s mêmes<br />
propriétés que <strong>le</strong>s documents gérés : ils peuvent être partagés uniquement avec <strong>le</strong>s autres apps<br />
gérées, ou envoyés par e-mail à l’aide de comptes gérés. Les livres achetés par l’intermédiaire du<br />
programme d’achat en volume peuvent être distribués par une distribution de livres gérés, mais<br />
ne peuvent pas être révoqués ni réattribués. Les livres déjà achetés par l’utilisateur ne peuvent<br />
pas être gérés, sauf s’ils sont explicitement attribués à l’utilisateur par l’intermédiaire du programme<br />
d’achat en volume.<br />
Domaines gérés<br />
Sous <strong>iOS</strong> 8, vous pouvez gérer des URL et des sous-domaines spécifiques. Tous <strong>le</strong>s documents<br />
provenant de ces domaines sont éga<strong>le</strong>ment considérés comme étant gérés et respectent <strong>le</strong>s<br />
restrictions de gestion des autorisations d’ouverture existantes. Les chemins suivant <strong>le</strong> domaine<br />
sont gérés par défaut. Les sous-domaines alternatifs ne sont pas inclus, sauf si un métacaractère<br />
est utilisé. Les domaines saisis dans Safari commençant par www (par exemp<strong>le</strong>, www.examp<strong>le</strong>.com)<br />
sont traités comme .examp<strong>le</strong>.com<br />
Affiché dans <strong>le</strong>s réglages Domaines gérés Domaines non gérés<br />
examp<strong>le</strong>.com<br />
examp<strong>le</strong>.com/*<br />
*.examp<strong>le</strong>.com<br />
www.examp<strong>le</strong>.com/*<br />
hr.examp<strong>le</strong>.com<br />
examp<strong>le</strong>.com/docs<br />
www.examp<strong>le</strong>.com<br />
examp<strong>le</strong>.com/docs/*<br />
www.examp<strong>le</strong>.com/docs/*<br />
www.examp<strong>le</strong>.com/*<br />
www.examp<strong>le</strong>.com/docs<br />
examp<strong>le</strong>.com<br />
www.examp<strong>le</strong>.com<br />
hr.examp<strong>le</strong>.com/docs<br />
examp<strong>le</strong>.com<br />
hr.examp<strong>le</strong>.com<br />
*.examp<strong>le</strong>.com *.examp<strong>le</strong>.com/* examp<strong>le</strong>.com<br />
*.examp<strong>le</strong>.com/docs *.examp<strong>le</strong>.com/docs/* examp<strong>le</strong>.com<br />
www.examp<strong>le</strong>.com<br />
Gestionnaire de profils<br />
En plus de solutions MDM tierces, <strong>App<strong>le</strong></strong> propose une solution MDM appelée Gestionnaire de<br />
profils, qui est un service d’OS X Server. Gestionnaire de profils facilite la configuration des appareils<br />
<strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s rendre conformes aux spécifications de l’organisation.<br />
Chapitre 7 Configuration et gestion 71
Gestionnaire de profils offre trois composants :<br />
••<br />
Configuration des appareils <strong>App<strong>le</strong></strong> à distance : Rationalisez la configuration des appareils <strong>App<strong>le</strong></strong><br />
appartenant à l’organisation. Inscrivez <strong>le</strong>s appareils à la solution de gestion des appareils<br />
mobi<strong>le</strong>s (MDM) pendant l’activation et ignorez <strong>le</strong>s étapes de configuration de base <strong>pour</strong> que<br />
<strong>le</strong>s utilisateurs disposent d’un appareil fonctionnel <strong>le</strong> plus rapidement possib<strong>le</strong>.<br />
••<br />
Service de gestion des appareils mobi<strong>le</strong>s : Gestionnaire de profils fournit un service de gestion<br />
des appareils mobi<strong>le</strong>s qui vous permet de gérer à distance <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> inscrits. Une fois<br />
qu’un appareil est inscrit, vous pouvez mettre à jour sa configuration en passant par <strong>le</strong> réseau<br />
sans que l’utilisateur n’ait besoin d’intervenir ni d’effectuer d’autres tâches.<br />
••<br />
Distribution d’apps et de livres : Gestionnaire de profils peut distribuer des apps et des livres<br />
achetés par l’intermédiaire du programme d’achat en volume (VPP). Le service de distribution<br />
d’apps et de livres est pris en charge par <strong>le</strong>s appareils <strong>iOS</strong> exécutant <strong>iOS</strong> 7 ou ultérieur et <strong>le</strong>s<br />
ordinateurs Mac exécutant OS X Maverick 10.9 ou ultérieur.<br />
Pour en savoir plus, consultez la page Gestion d’appareils. Consultez éga<strong>le</strong>ment<br />
l’aide Gestionnaire de profils.<br />
Superviser <strong>le</strong>s appareils<br />
Pour activer des options de configuration et des restrictions supplémentaires, il est recommandé<br />
de superviser <strong>le</strong>s appareils <strong>iOS</strong> appartenant à votre organisation. Par exemp<strong>le</strong>, la supervision vous<br />
permet d’empêcher la modification des réglages de compte, ou de filtrer <strong>le</strong>s connexions web à<br />
l’aide de Global Proxy <strong>pour</strong> vous assurer que <strong>le</strong> trafic web des utilisateurs reste dans <strong>le</strong> réseau de<br />
l’organisation.<br />
Par défaut, <strong>le</strong>s appareils ne sont pas supervisés. Vous pouvez combiner la supervision et la gestion<br />
à distance avec une solution MDM <strong>pour</strong> gérer <strong>le</strong>s réglages et restrictions supplémentaires.<br />
Pour permettre la supervision des appareils de votre organisation, utilisez <strong>le</strong> programme d’inscription<br />
d’appareil <strong>App<strong>le</strong></strong> ou <strong>App<strong>le</strong></strong> Configurator.<br />
La supervision offre un niveau supérieur de gestion des appareils appartenant à votre organisation,<br />
en permettant d’appliquer des restrictions comme la désactivation d’iMessage ou<br />
de Game Center. El<strong>le</strong> fournit éga<strong>le</strong>ment d’autres fonctionnalités et configurations d’appareils,<br />
comme <strong>le</strong> filtrage du contenu, et la possibilité d’instal<strong>le</strong>r si<strong>le</strong>ncieusement des apps. Avec <strong>le</strong><br />
Programme d’inscription d’appareil, la supervision peut être activée sans fil sur l’appareil dans <strong>le</strong><br />
cadre du processus de configuration, ou manuel<strong>le</strong>ment par <strong>le</strong> biais d’<strong>App<strong>le</strong></strong> Configurator.<br />
Pour plus d’informations, consultez la section Réglages des appareils supervisés.<br />
Chapitre 7 Configuration et gestion 72
Programme d’inscription d’appareil<br />
Le Programme d’inscription d’appareil (DEP) offre un moyen rapide et simp<strong>le</strong> de déployer<br />
<strong>le</strong>s appareils <strong>App<strong>le</strong></strong> achetés par votre organisation directement auprès d’<strong>App<strong>le</strong></strong> ou auprès de<br />
revendeurs agréés <strong>App<strong>le</strong></strong> ou d’opérateurs participants. Vous pouvez inscrire automatiquement<br />
<strong>le</strong>s appareils <strong>App<strong>le</strong></strong> auprès de la solution MDM sans avoir à <strong>le</strong>s toucher physiquement ni à <strong>le</strong>s<br />
préparer avant que <strong>le</strong>s utilisateurs en prennent possession. Et vous pouvez encore simplifier <strong>le</strong><br />
processus de configuration <strong>pour</strong> <strong>le</strong>s utilisateurs en éliminant des étapes spécifiques de l’Assistant<br />
réglages, afin que <strong>le</strong>s utilisateurs soient rapidement opérationnels. Vous pouvez aussi contrô<strong>le</strong>r<br />
<strong>le</strong> fait que l’utilisateur puisse ou non supprimer <strong>le</strong> profil MDM de l’appareil. Par exemp<strong>le</strong>,<br />
vous pouvez commander <strong>le</strong>s appareils auprès d’<strong>App<strong>le</strong></strong> ou auprès de revendeurs agréés <strong>App<strong>le</strong></strong><br />
ou d’opérateurs participants, configurer tous <strong>le</strong>s réglages de gestion, puis envoyer <strong>le</strong>s appareils<br />
<strong>App<strong>le</strong></strong> directement aux domici<strong>le</strong>s des utilisateurs. Une fois l’appareil déballé et activé, il est inscrit<br />
à votre solution MDM, et <strong>le</strong>s réglages de gestion, <strong>le</strong>s apps et <strong>le</strong>s livres sont prêts à être utilisés.<br />
Le processus est simp<strong>le</strong> : Après l’inscription au programme, <strong>le</strong>s administrateurs se connectent<br />
au site web DEP, lient <strong>le</strong> programme à <strong>le</strong>urs serveurs MDM, puis « revendiquent » <strong>le</strong>s appareils<br />
<strong>App<strong>le</strong></strong> achetés auprès d’<strong>App<strong>le</strong></strong> ou auprès de revendeurs agréés <strong>App<strong>le</strong></strong> ou d’opérateurs participants.<br />
Les appareils peuvent ensuite être attribués à un serveur MDM. Une fois l’appareil<br />
inscrit, <strong>le</strong>s configurations, <strong>le</strong>s restrictions et <strong>le</strong>s contrô<strong>le</strong>s spécifiés par la solution MDM sont<br />
automatiquement installés.<br />
Compte<br />
client<br />
Acheté auprès<br />
d’un revendeur<br />
DEP<br />
Serveur MDM<br />
Acheté auprès<br />
d’<strong>App<strong>le</strong></strong><br />
Les appareils <strong>App<strong>le</strong></strong> doivent respecter <strong>le</strong>s critères suivants <strong>pour</strong> pouvoir être attribués dans <strong>le</strong><br />
cadre du programme d’inscription d’appareil :<br />
••<br />
Avoir été commandés au plus tôt <strong>le</strong> 1er mars 2011 et achetés directement auprès d’<strong>App<strong>le</strong></strong> à<br />
l’aide d’un numéro de client <strong>App<strong>le</strong></strong> inscrit et validé.<br />
••<br />
Avoir été achetés directement auprès d’un revendeur agréé <strong>App<strong>le</strong></strong> ou d’un opérateur participant,<br />
et être liés à l’identifiant de revendeur du programme d’inscription d’appareil du revendeur<br />
en question. La date réel<strong>le</strong> d’éligibilité est déterminée par l’historique des ventes de votre<br />
revendeur agréé <strong>App<strong>le</strong></strong> ou opérateur participant, mais ne peut être antérieure au 1er mars 2011.<br />
Remarque : Le programme d’inscription d’appareil n’est pas disponib<strong>le</strong> dans tous <strong>le</strong>s pays.<br />
Chapitre 7 Configuration et gestion 73
La liste des appareils <strong>App<strong>le</strong></strong> éligib<strong>le</strong>s pouvant être attribués par numéro de commande à vos<br />
serveurs MDM peut être consultée sur <strong>le</strong> site web des programmes de dé<strong>ploiement</strong> <strong>App<strong>le</strong></strong>.<br />
Vous <strong>pour</strong>rez aussi rechercher, au sein de ces commandes, <strong>le</strong>s appareils par type et par numéro<br />
de série. Lorsque de nouvel<strong>le</strong>s commandes arrivent, vous pouvez <strong>le</strong>s rechercher sur <strong>le</strong> site web<br />
DEP et <strong>le</strong>s attribuer automatiquement à un serveur MDM spécifique. Si, par exemp<strong>le</strong>, vous avez<br />
passé commande de 5 000 iPad, vous pouvez utiliser <strong>le</strong> numéro de commande <strong>pour</strong> attribuer<br />
tous <strong>le</strong>s appareils, ou un nombre précis d’entre eux, à un serveur MDM autorisé existant.<br />
Vous pouvez aussi attribuer des appareils à un serveur MDM spécifique en utilisant <strong>le</strong>ur numéro<br />
de série. Cette méthode est uti<strong>le</strong> si vous vous trouvez en possession physique des appareils<br />
devant être attribués.<br />
Les commandes futures peuvent être attribuées automatiquement à un serveur MDM autorisé,<br />
ce qui vous évite de gérer manuel<strong>le</strong>ment l’attribution des appareils <strong>App<strong>le</strong></strong>.<br />
Une fois qu’un appareil a été attribué à un serveur MDM du programme, <strong>le</strong>s profils et autres<br />
fonctionnalités peuvent être appliqués à l’aide du serveur MDM de votre organisation. Parmi ces<br />
fonctionnalités, figurent :<br />
••<br />
Activer la supervision<br />
••<br />
Configuration obligatoire<br />
••<br />
Exiger une authentification à votre système d’annuaire <strong>pour</strong> terminer la configuration<br />
••<br />
Profil d’inscription MDM verrouillab<strong>le</strong><br />
••<br />
Ignorer des étapes de l’Assistant réglages<br />
Pour plus d’informations, consultez :<br />
••<br />
Programmes de dé<strong>ploiement</strong> d’<strong>App<strong>le</strong></strong><br />
••<br />
L’aide des programmes d’inscription d’appareil<br />
••<br />
Programme d’inscription d’appareil <strong>pour</strong> <strong>le</strong> secteur de l’éducation<br />
<strong>App<strong>le</strong></strong> Configurator<br />
Pour <strong>le</strong>s appareils <strong>iOS</strong> gérés par vous et non configurés individuel<strong>le</strong>ment par <strong>le</strong>s utilisateurs,<br />
vous pouvez utiliser <strong>App<strong>le</strong></strong> Configurator, une app Mac gratuite disponib<strong>le</strong> dans l’App Store.<br />
El<strong>le</strong> vous permet de configurer plusieurs appareils en même temps via USB avant de <strong>le</strong>s donner<br />
aux utilisateurs. Avec cet outil, votre organisation peut rapidement configurer et mettre à jour<br />
plusieurs appareils vers la dernière version d’<strong>iOS</strong>, configurer <strong>le</strong>s réglages et restrictions des<br />
appareils et instal<strong>le</strong>r des apps et du contenu. Vous pouvez aussi restaurer une sauvegarde sur des<br />
appareils : <strong>le</strong>s réglages de l’appareil ainsi que la disposition de l’écran d’accueil seront appliqués<br />
et <strong>le</strong>s données d’apps installées.<br />
<strong>App<strong>le</strong></strong> Configurator est idéal lorsque <strong>le</strong>s utilisateurs partagent des appareils <strong>iOS</strong> devant être<br />
rapidement actualisés et maintenus à jour avec <strong>le</strong>s réglages, <strong>le</strong>s règ<strong>le</strong>s, <strong>le</strong>s apps et <strong>le</strong>s données<br />
appropriés. Vous pouvez éga<strong>le</strong>ment utiliser <strong>App<strong>le</strong></strong> Configurator <strong>pour</strong> superviser des appareils,<br />
puis utiliser une solution MDM <strong>pour</strong> gérer <strong>le</strong>s réglages, <strong>le</strong>s règ<strong>le</strong>s et <strong>le</strong>s apps.<br />
Pour plus d’informations, consultez l’aide <strong>App<strong>le</strong></strong> Configurator.<br />
Chapitre 7 Configuration et gestion 74
Distribution d’apps et de livres<br />
8<br />
Vue d’ensemb<strong>le</strong><br />
<strong>iOS</strong> est doté de toute une col<strong>le</strong>ction d’apps puissantes et intégrées permettant aux utilisateurs<br />
de votre organisation d’accomplir des tâches faci<strong>le</strong>ment chaque jour, de la gestion d’e-mails et<br />
de plannings à l’organisation des contacts et des contenus sur <strong>le</strong> Web. En outre, <strong>le</strong>s fonctionnalités<br />
supplémentaires dont <strong>le</strong>s utilisateurs ont besoin <strong>pour</strong> être productifs viennent des centaines<br />
de milliers d’apps tierces disponib<strong>le</strong>s dans l’App Store ou d’apps d’entreprise personnalisées<br />
développées en interne ou par des développeurs tiers. Dans <strong>le</strong> secteur de l’éducation, certaines<br />
apps <strong>iOS</strong> et certains contenus pertinents peuvent aider vos utilisateurs à rester productifs<br />
et créatifs.<br />
Il existe plusieurs manières de déployer des apps et des livres sur des appareils <strong>App<strong>le</strong></strong> dans une<br />
organisation. La méthode la plus évolutive est d’acheter des apps et des livres dans <strong>le</strong> cadre<br />
du programme d’achats en volume (y compris des apps B2B) et de <strong>le</strong>s attribuer aux utilisateurs<br />
avec une solution MDM. Votre organisation peut éga<strong>le</strong>ment créer et déployer ses propres apps<br />
internes en rejoignant <strong>le</strong> programme <strong>iOS</strong> Developer Enterprise. Si vous avez choisi un modè<strong>le</strong> de<br />
dé<strong>ploiement</strong> avec des appareils partagés, vous pouvez instal<strong>le</strong>r des apps et du contenu loca<strong>le</strong>ment<br />
avec <strong>App<strong>le</strong></strong> Configurator.<br />
Lorsque vous déployez des apps et des livres, prenez en compte <strong>le</strong>s éléments suivants :<br />
••<br />
Programme d’achat en volume (VPP)<br />
••<br />
Apps B2B personnalisées<br />
••<br />
Apps et livres développés en interne<br />
••<br />
Dé<strong>ploiement</strong> d’apps et de livres<br />
••<br />
Caching Server<br />
Programme d’achat en volume (VPP)<br />
Vue d’ensemb<strong>le</strong><br />
L’App Store et l’iBooks Store proposent des milliers de formidab<strong>le</strong>s apps et livres que <strong>le</strong>s utilisateurs<br />
peuvent acheter, télécharger et instal<strong>le</strong>r. Le Programme d’achat en volume (VPP) offre aux<br />
organisations une manière simp<strong>le</strong> d’acheter des apps et des livres en grand nombre, et de <strong>le</strong>s<br />
distribuer aux employés, sous-traitants ou élèves. Tous <strong>le</strong>s livres et apps payants et gratuits de<br />
l’iBooks Store et de l’App Store peuvent être acquis dans <strong>le</strong> cadre du programme. Il existe deux<br />
sites web <strong>pour</strong> <strong>le</strong> Programme d’achat en volume : un <strong>pour</strong> <strong>le</strong>s entreprises et un <strong>pour</strong> <strong>le</strong> secteur<br />
de l’éducation.<br />
Le programme VPP <strong>pour</strong> <strong>le</strong>s entreprises permet d’obtenir des apps B2B personnalisées, réalisées<br />
sur mesure <strong>pour</strong> vous par des développeurs tiers et téléchargées de manière privée depuis <strong>le</strong><br />
store VPP.<br />
75
Le programme VPP <strong>pour</strong> <strong>le</strong> secteur de l’éducation permet aux développeurs d’apps de proposer<br />
des tarifs préférentiels <strong>pour</strong> <strong>le</strong>s achats de 20 apps ou plus <strong>pour</strong> certaines institutions d’éducation<br />
éligib<strong>le</strong>s, y compris des éco<strong>le</strong>s maternel<strong>le</strong>s, éco<strong>le</strong>s primaires, collèges ou lycées, des secteurs,<br />
ou encore toute institution d’éducation supérieure accréditée délivrant des diplômes. Les tarifs<br />
préférentiels ne sont pas disponib<strong>le</strong>s <strong>pour</strong> <strong>le</strong>s livres.<br />
Les solutions MDM peuvent être intégrées au programme VPP, ce qui permet à votre organisation<br />
d’acheter des apps et des livres en volume et de <strong>le</strong>s attribuer à des utilisateurs ou groupes<br />
spécifiques. Lorsqu’un utilisateur n’a plus besoin d’une app, vous pouvez utiliser la solution MDM<br />
<strong>pour</strong> la révoquer et la réattribuer à un autre utilisateur. De plus, chaque app ou chaque livre peut<br />
automatiquement être téléchargé sur l’appareil <strong>App<strong>le</strong></strong> de l’utilisateur. Une fois distribués, <strong>le</strong>s livres<br />
restent la propriété du destinataire et ne peuvent pas être révoqués ni réattribués.<br />
Pour plus d’informations, consultez :<br />
••<br />
Programme d’achat en volume <strong>pour</strong> <strong>le</strong>s entreprises<br />
••<br />
Programme d’achat en volume <strong>pour</strong> l’Éducation<br />
••<br />
Aide des programmes de dé<strong>ploiement</strong> d’<strong>App<strong>le</strong></strong><br />
Remarque : Le programme d’achat en volume n’est pas disponib<strong>le</strong> dans tous <strong>le</strong>s pays.<br />
S’inscrire au Programme d’achat en volume <strong>pour</strong> <strong>le</strong>s entreprises<br />
Pour acheter des apps en grand nombre, vous devez d’abord vous inscrire et créer un compte<br />
auprès d’<strong>App<strong>le</strong></strong>. Vous devez fournir des informations sur votre organisation, comme <strong>le</strong> numéro<br />
D-U-N-S de D&B (si vous êtes une entreprise) et des coordonnées de contact. Vous devez éga<strong>le</strong>ment<br />
créer un identifiant <strong>App<strong>le</strong></strong> réservé à la gestion administrative de ce programme.<br />
Acheter des apps et des livres en grand nombre<br />
Utilisez <strong>le</strong> site web du Programme d’achat en volume <strong>pour</strong> acheter des apps et des livres <strong>pour</strong><br />
votre entreprise ou votre établissement d’enseignement.<br />
Utilisez l’identifiant <strong>App<strong>le</strong></strong> associé à votre compte de Programme d’achat en volume <strong>pour</strong> vous<br />
connecter sur <strong>le</strong> site web. Recherchez <strong>le</strong>s apps ou <strong>le</strong>s livres que vous désirez acheter, puis indiquez<br />
<strong>le</strong> nombre d’exemplaires souhaité. Vous pouvez payer à l’aide d’une carte de crédit d’entreprise<br />
ou du crédit VPP obtenu à l’aide d’un bon de commande (PO). Le nombre d’exemplaires<br />
n’est pas limité. Les apps et <strong>le</strong>s livres sont alors disponib<strong>le</strong>s <strong>pour</strong> attribution via votre solution<br />
MDM, à condition que cel<strong>le</strong>-ci soit liée à votre compte VPP et qu’el<strong>le</strong> dispose d’un jeton valide.<br />
Distribution gérée<br />
Lorsque vous achetez des apps et des livres en volume, vous pouvez <strong>le</strong>s distribuer via votre solution<br />
MDM à l’aide de la distribution gérée <strong>pour</strong> <strong>le</strong>s attribuer aux utilisateurs d’<strong>iOS</strong> 7 ou ultérieur<br />
ou d’OS X Mavericks ou ultérieur. Lorsqu’ils n’ont plus besoin de l’app ou qu’ils quittent votre<br />
organisation, vous pouvez réattribuer cette app à un autre utilisateur. Les livres ne peuvent pas<br />
être révoqués après avoir été attribués.<br />
Avant d’utiliser une solution MDM <strong>pour</strong> attribuer <strong>le</strong>s apps à vos utilisateurs, vous devrez lier<br />
votre serveur MDM à votre compte VPP à l’aide d’un jeton sécurisé. Vous pouvez télécharger<br />
ce jeton sécurisé sur votre serveur MDM en accédant au résumé de votre compte sur <strong>le</strong> Store du<br />
Programme d’achat en volume. Pour plus d’informations, consultez<br />
l’aide des programmes de dé<strong>ploiement</strong> d’<strong>App<strong>le</strong></strong>.<br />
Chapitre 8 Distribution d’apps et de livres 76
Pour prendre part à la distribution gérée via <strong>le</strong> Programme d’achat en volume, <strong>le</strong>s utilisateurs<br />
doivent y être invités au préalab<strong>le</strong>. Lorsqu’un utilisateur accepte une invitation à prendre part<br />
à la distribution gérée, son identifiant <strong>App<strong>le</strong></strong> personnel est lié à votre organisation. L’utilisateur<br />
n’a pas besoin de vous révé<strong>le</strong>r son identifiant <strong>App<strong>le</strong></strong>, et vous n’avez pas besoin d’en créer un<br />
et de <strong>le</strong> lui fournir. Pour <strong>le</strong>s comptes du secteur de l’éducation, vous pouvez créer des identifiants<br />
<strong>App<strong>le</strong></strong> <strong>pour</strong> <strong>le</strong>s élèves de moins de 13 ans. Pour en savoir plus, consultez <strong>le</strong> site web<br />
Identifiants <strong>App<strong>le</strong></strong> <strong>pour</strong> étudiants.<br />
Il est important d’inscrire et d’attribuer <strong>le</strong>s apps et livres aux utilisateurs du programme d’achat<br />
en volume avant de <strong>le</strong>ur envoyer une invitation. Cela laisse plus de temps <strong>pour</strong> que l’attribution<br />
soit intégrée à l’historique d’achat de l’utilisateur lorsqu’il accepte l’invitation au programme<br />
d’achat en volume. L’inscription des utilisateurs et l’attribution d’apps et de livres peuvent<br />
être effectuées à tout moment, y compris avant l’inscription des appareils <strong>App<strong>le</strong></strong> au sein de la<br />
solution MDM.<br />
Une fois attribuée à un utilisateur via une solution MDM, l’app apparaît dans l’historique des<br />
achats de l’App Store de cet utilisateur. Celui-ci peut être invité à accepter l’installation de l’app,<br />
ou, dans <strong>le</strong> cas d’un appareil <strong>iOS</strong> supervisé, l’app peut s’instal<strong>le</strong>r en si<strong>le</strong>nce.<br />
Si des apps qui ne sont pas déjà installées sur un appareil sont transférées à l’aide de la tâche<br />
Transférer <strong>le</strong>s applications VPP, el<strong>le</strong>s seront automatiquement supprimées lorsqu’un utilisateur se<br />
désinscrit de la solution MDM.<br />
Les apps et <strong>le</strong>s livres distribués avec une distribution gérée ne sont pas partagés avec <strong>le</strong>s<br />
membres de la famil<strong>le</strong> lorsque <strong>le</strong> partage familial est activé.<br />
Apps B2B personnalisées<br />
Les apps personnalisées créées ou personnalisées par un développeur <strong>pour</strong> votre entreprise<br />
(B2B) peuvent éga<strong>le</strong>ment être achetées via <strong>le</strong> Programme d’achat en volume.<br />
Les développeurs inscrits au programme <strong>iOS</strong> Developer peuvent soumettre des apps <strong>pour</strong> une<br />
distribution d’entreprise à entreprise à l’aide d’iTunes Connect. Le processus est identique à la<br />
soumission d’apps sur l’App Store. Le développeur fixe <strong>le</strong> prix par exemplaire et ajoute votre<br />
identifiant <strong>App<strong>le</strong></strong> du Programme d’achat en volume à <strong>le</strong>ur liste d’acheteurs d’entreprise à entreprise<br />
autorisés. Seuls <strong>le</strong>s acheteurs autorisés peuvent voir ou acheter l’app.<br />
Les apps d’entreprise à entreprise ne sont pas sécurisées par <strong>App<strong>le</strong></strong>. La sécurisation des données<br />
d’une app est de la responsabilité du développeur. <strong>App<strong>le</strong></strong> recommande d’utiliser <strong>le</strong>s meil<strong>le</strong>ures<br />
pratiques <strong>iOS</strong> <strong>pour</strong> l’authentification et <strong>le</strong> chiffrement d’une app.<br />
Après la révision de l’app par <strong>App<strong>le</strong></strong>, utilisez <strong>le</strong> Programme d’achat en volume <strong>pour</strong> acheter des<br />
exemplaires de l’app, comme décrit dans la section Acheter des apps et des livres en grand<br />
nombre. Les apps B2B personnalisées ne sont pas recensées dans l’App Store. El<strong>le</strong>s doivent être<br />
achetées via <strong>le</strong> site web du Programme d’achat en volume.<br />
Apps internes<br />
Développez des apps <strong>iOS</strong> <strong>pour</strong> <strong>le</strong>s employés de votre organisation à l’aide du programme<br />
<strong>iOS</strong> Developer Enterprise. Ce programme offre un processus comp<strong>le</strong>t et intégré <strong>pour</strong> <strong>le</strong> développement,<br />
<strong>le</strong> test et la distribution des apps <strong>iOS</strong> aux employés de votre organisation. Vous pouvez<br />
distribuer des apps internes soit en <strong>le</strong>s hébergeant sur un serveur web sécurisé créé en interne,<br />
soit à l’aide d’une solution MDM ou de gestion d’apps tierce.<br />
Chapitre 8 Distribution d’apps et de livres 77
La gestion d’apps avec une solution MDM présente de nombreux avantages, y compris des fonctionnalités<br />
permettant de configurer des apps à distance, de gérer <strong>le</strong>s versions, de configurer une<br />
authentification par signature unique, de définir des règ<strong>le</strong>s <strong>pour</strong> l’accès au réseau et de contrô<strong>le</strong>r<br />
l’export de documents par <strong>le</strong>s apps. Choisissez la solution la plus adaptée <strong>pour</strong> vous en prenant<br />
en compte vos exigences spécifiques, votre infrastructure et <strong>le</strong> niveau de gestion dont vous<br />
avez besoin.<br />
Pour développer et déployer des apps internes <strong>pour</strong> <strong>iOS</strong> :<br />
1 Inscrivez-vous au programme <strong>iOS</strong> Developer Enterprise.<br />
2 Préparez votre app <strong>pour</strong> sa distribution.<br />
3 Créez un profil d’approvisionnement de distribution d’entreprise qui autorise <strong>le</strong>s appareils à<br />
utiliser <strong>le</strong>s apps que vous avez signées.<br />
4 Compi<strong>le</strong>z l’app avec <strong>le</strong> profil d’approvisionnement.<br />
5 Déployez l’app auprès de vos utilisateurs.<br />
S’inscrire <strong>pour</strong> développer des apps<br />
Une fois inscrit au programme <strong>iOS</strong> Developer Enterprise, vous pouvez demander à avoir un<br />
certificat de développeur et un profil d’approvisionnement développeur. Vous <strong>le</strong>s utiliserez<br />
lors du développement <strong>pour</strong> créer et tester votre app. Le profil d’approvisionnement permet<br />
d’exécuter <strong>le</strong>s apps signées avec votre certificat de développeur sur un appareil <strong>iOS</strong> enregistré.<br />
Ce profil ad hoc expire au bout de trois mois et précise quels appareils (par identifiant d’appareil)<br />
peuvent exécuter <strong>le</strong>s compilations de développement de votre app. Distribuez à votre équipe de<br />
développement et à vos testeurs d’apps votre compilation signée par <strong>le</strong> développeur ainsi que <strong>le</strong><br />
profil d’approvisionnement développeur.<br />
Pour en savoir plus, consultez <strong>le</strong> site web <strong>iOS</strong> Developer Enterprise Program.<br />
Préparer des apps <strong>pour</strong> la distribution<br />
À la fin des étapes de développement et de test et lorsque vous vous apprêtez à déployer votre<br />
app, signez votre app à l’aide de votre certificat de distribution et finalisez-la avec votre profil<br />
d’approvisionnement. L’agent d’équipe ou l’administrateur désigné <strong>pour</strong> votre adhésion au<br />
programme crée <strong>le</strong> certificat et <strong>le</strong> profil sur <strong>le</strong> site web <strong>iOS</strong> Dev Center.<br />
Sous <strong>iOS</strong> 8, <strong>le</strong>s utilisateurs ne peuvent plus afficher <strong>le</strong>s profils d’approvisionnement sur <strong>le</strong>ur<br />
appareil <strong>iOS</strong>.<br />
Approvisionner des apps développées en interne<br />
Le profil d’approvisionnement de distribution d’entreprise permet d’instal<strong>le</strong>r votre app sur un<br />
nombre illimité d’appareils <strong>iOS</strong>. Il est possib<strong>le</strong> de créer un profil d’approvisionnement de<br />
distribution d’entreprise <strong>pour</strong> une ou plusieurs apps.<br />
Lorsque <strong>le</strong> certificat de distribution d’entreprise ainsi que <strong>le</strong> profil d’approvisionnement sont<br />
installés sur votre Mac, utilisez Xcode <strong>pour</strong> signer et compi<strong>le</strong>r une version fina<strong>le</strong> de votre app.<br />
Votre certificat de distribution d’entreprise est valab<strong>le</strong> pendant 3 ans, et vous ne pouvez disposer<br />
que de deux certificats valides simultanément. Lorsque votre certificat expire, vous devez signer<br />
et compi<strong>le</strong>r à nouveau votre app grâce à un certificat renouvelé. Le profil d’approvisionnement<br />
<strong>pour</strong> l’app est valab<strong>le</strong> pendant un an ; vous devez donc renouve<strong>le</strong>r vos profils d’approvisionnement<br />
chaque année. Pour plus d’informations, consultez la section Fournir des apps mises à jour.<br />
Chapitre 8 Distribution d’apps et de livres 78
Il est important de limiter l’accès à votre certificat de distribution et à la clé privée. Utilisez <strong>le</strong><br />
Trousseau d’accès sous OS X <strong>pour</strong> exporter et sauvegarder ces éléments au format .p12. En cas de<br />
perte de la clé privée, cel<strong>le</strong>-ci ne peut pas être récupérée ni téléchargée une deuxième fois. Il est<br />
éga<strong>le</strong>ment conseillé de limiter l’accès aux membres du personnel responsab<strong>le</strong>s de l’acceptation<br />
fina<strong>le</strong> de l’app. Signer une app avec <strong>le</strong> certificat de distribution appose <strong>le</strong> sceau d’approbation de<br />
votre organisation sur <strong>le</strong> contenu de l’app et ses fonctions et confirme son adhésion aux conditions<br />
de la licence Enterprise Developer Agreement.<br />
Pour en savoir plus sur <strong>le</strong> dé<strong>ploiement</strong> d’apps internes, consultez <strong>le</strong> guide de distribution d’apps<br />
d’<strong>App<strong>le</strong></strong>.<br />
Livres internes<br />
<strong>iOS</strong> 8 et OS X Yosemite fournissent d’importantes améliorations, notamment la prise en charge<br />
de la distribution gérée <strong>pour</strong> <strong>le</strong>s livres. Cette fonctionnalité vous permet d’attribuer des livres aux<br />
utilisateurs via une solution MDM, afin que <strong>le</strong>s livres restent sous <strong>le</strong> contrô<strong>le</strong> de votre organisation.<br />
Les fichiers PDF et ePub que vous créez peuvent être attribués aux utilisateurs, mais aussi<br />
révoqués et réattribués lorsque l’utilisateur n’en a plus besoin, tout comme <strong>le</strong>s apps internes.<br />
Déployer des apps et des livres<br />
Vue d’ensemb<strong>le</strong><br />
Vous pouvez procéder des manières suivantes <strong>pour</strong> déployer des apps et des livres :<br />
••<br />
Si cette fonction est prise en charge par votre serveur MDM, utilisez celui-ci <strong>pour</strong> demander<br />
aux appareils <strong>App<strong>le</strong></strong> gérés d’instal<strong>le</strong>r une app interne ou de l’App Store.<br />
••<br />
Publiez l’app sur un serveur web sécurisé afin que <strong>le</strong>s utilisateurs puissent accéder à l’app et<br />
l’instal<strong>le</strong>r sans fil. Pour en savoir plus, consultez la section Instal<strong>le</strong>r des apps développées en<br />
interne sans fil.<br />
••<br />
Vous pouvez instal<strong>le</strong>r l’app sur des appareils <strong>iOS</strong> loca<strong>le</strong>ment à l’aide d’<strong>App<strong>le</strong></strong> Configurator.<br />
Instal<strong>le</strong>r des apps et des livres à l’aide d’une solution MDM<br />
Un serveur MDM peut gérer des apps tierces de l’App Store ainsi que des apps d’entreprise développées<br />
en interne. Les apps installées à l’aide d’une solution MDM sont appelées apps gérées.<br />
Le serveur MDM peut spécifier si <strong>le</strong>s apps gérées et <strong>le</strong>urs données restent ou non sur l’appareil<br />
lorsqu’un utilisateur se désinscrit de la solution MDM. Le serveur peut empêcher <strong>le</strong>s données des<br />
apps gérées d’être sauvegardées sur iTunes et iCloud. Cela vous permet de gérer des apps pouvant<br />
contenir des informations sensib<strong>le</strong>s relatives à votre activité avec plus de contrô<strong>le</strong> que <strong>le</strong>s<br />
apps téléchargées directement par l’utilisateur.<br />
Pour instal<strong>le</strong>r une app gérée, <strong>le</strong> serveur MDM envoie une commande d’installation à l’appareil<br />
<strong>App<strong>le</strong></strong>. Si l’app provient de l’App Store, el<strong>le</strong> sera téléchargée et installée à partir d’<strong>App<strong>le</strong></strong>. S’il s’agit<br />
d’une app interne, el<strong>le</strong> sera installée à partir de votre solution MDM. Sur <strong>le</strong>s appareils non supervisés,<br />
l’utilisateur doit donner son accord <strong>pour</strong> qu’une app gérée puisse être installée.<br />
Sous <strong>iOS</strong> 7 ou ultérieur et OS X Mavericks ou ultérieur, <strong>le</strong>s connexions VPN peuvent être spécifiées<br />
au niveau des apps, afin que seul <strong>le</strong> trafic réseau lié à cette app soit dans <strong>le</strong> réseau VPN protégé.<br />
Ce mécanisme permet de garantir que <strong>le</strong>s données privées restent privées et ne sont pas<br />
mélangées avec <strong>le</strong>s données publiques.<br />
Chapitre 8 Distribution d’apps et de livres 79
Les apps gérées prennent en charge la fonction de gestion des autorisations d’ouverture dans<br />
<strong>iOS</strong> 7 ou ultérieur. Cela signifie que <strong>le</strong>s apps gérées peuvent être restreintes dans <strong>le</strong>ur capacité à<br />
transférer des données depuis ou vers <strong>le</strong>s apps personnel<strong>le</strong>s de l’utilisateur, ce qui permet à votre<br />
organisation de s’assurer que <strong>le</strong>s données sensib<strong>le</strong>s restent là où el<strong>le</strong>s doivent être.<br />
Un serveur MDM peut instal<strong>le</strong>r des livres provenant de l’iBooks Store attribués aux utilisateurs<br />
par l’intermédiaire du programme d’achat en volume. Il peut éga<strong>le</strong>ment instal<strong>le</strong>r des fichiers PDF<br />
et ePub gérés, ainsi que des livres iBooks Author provenant de vos propres serveurs, et <strong>le</strong>s mettre<br />
à jour vers <strong>le</strong>s nouvel<strong>le</strong>s versions si besoin. Le serveur peut empêcher la sauvegarde des livres<br />
gérés. Les livres gérés sont supprimés lorsque l’utilisateur se désinscrit de la solution MDM.<br />
Instal<strong>le</strong>r des apps à l’aide d’<strong>App<strong>le</strong></strong> Configurator<br />
<strong>App<strong>le</strong></strong> Configurator simplifie <strong>le</strong>s réglages de base et <strong>le</strong>s tâches de configuration, et peut<br />
éga<strong>le</strong>ment être utilisé <strong>pour</strong> instal<strong>le</strong>r des apps et d’autres contenus sur <strong>le</strong>s appareils <strong>iOS</strong>.<br />
<strong>App<strong>le</strong></strong> Configurator est très uti<strong>le</strong> <strong>pour</strong> superviser des appareils n’allant pas être personnalisés par<br />
<strong>le</strong>s utilisateurs, comme des iPad partagés dans une sal<strong>le</strong> de classe.<br />
En plus des apps, vous pouvez utiliser <strong>App<strong>le</strong></strong> Configurator <strong>pour</strong> instal<strong>le</strong>r des documents afin qu’ils<br />
soient disponib<strong>le</strong>s lorsque vos utilisateurs commencent à utiliser <strong>le</strong>s appareils. Les documents<br />
sont disponib<strong>le</strong>s <strong>pour</strong> <strong>le</strong>s apps prenant en charge <strong>le</strong> partage de fichiers iTunes. Vous pouvez éga<strong>le</strong>ment<br />
passer en revue ou récupérer des documents à partir d’appareils <strong>iOS</strong> en <strong>le</strong>s connectant à<br />
un Mac exécutant <strong>App<strong>le</strong></strong> Configurator.<br />
Caching Server<br />
<strong>iOS</strong> et OS X permettent aux utilisateurs d’accéder faci<strong>le</strong>ment à des contenus numériques et de<br />
<strong>le</strong>s consommer. Certains utilisateurs peuvent demander de nombreux gigaoctets d’apps, de livres<br />
et de mises à jour logiciel<strong>le</strong>s lorsqu’ils sont connectés au réseau d’une organisation. La demande<br />
de ces ressources arrive par vagues, d’abord avec <strong>le</strong> dé<strong>ploiement</strong> initial des appareils <strong>App<strong>le</strong></strong>,<br />
puis de manière sporadique, à mesure que <strong>le</strong>s utilisateurs découvrent de nouveaux contenus,<br />
ou au gré de l’actualisation des contenus. Ces téléchargements de contenus peuvent se traduire<br />
par des pics de demande de bande passante Internet.<br />
Caching Server est un service d’OS X Server qui enregistre <strong>le</strong> contenu ayant déjà été demandé<br />
sur <strong>le</strong> réseau local de votre organisation. Cela réduit la quantité de bande passante requise <strong>pour</strong><br />
télécharger du contenu. Il réduit la bande passant Internet sortante des réseaux privés (RFC 1918)<br />
et stocke en cache des copies du contenu demandé sur <strong>le</strong> réseau local.<br />
Caching Server sous OS X Server Yosemite met en cache <strong>le</strong>s types de contenu suivants <strong>pour</strong><br />
<strong>iOS</strong> 7 ou ultérieur et OS X Mountain Lion 10.8.2 ou ultérieur :<br />
••<br />
Mises à jour de logiciels <strong>iOS</strong> (<strong>iOS</strong> 8.1 ou ultérieur)<br />
••<br />
Mises à jour de logiciels OS X<br />
••<br />
Images de Récupération Internet (OS X Mavericks ou ultérieur)<br />
••<br />
Mises à jour Java et de gestionnaires d’impression<br />
••<br />
Apps de l’App Store<br />
••<br />
Mises à jour de l’App Store<br />
••<br />
Livres de l’iBooks Store<br />
••<br />
Cours et contenu iTunes U<br />
••<br />
Contenu téléchargeab<strong>le</strong> GarageBand<br />
••<br />
Voix haute qualité et dictionnaires<br />
Chapitre 8 Distribution d’apps et de livres 80
Pour en savoir plus sur <strong>le</strong> contenu mis en cache par <strong>le</strong> service de mise en cache, consultez l’artic<strong>le</strong><br />
d’assistance <strong>App<strong>le</strong></strong> OS X Server : types de contenu pris en charge par <strong>le</strong> service de mise en cache.<br />
iTunes prend éga<strong>le</strong>ment en charge Caching Server. Les types de contenus suivants sont pris en<br />
charge par iTunes 11.0.4 ou version ultérieure (<strong>pour</strong> ordinateurs Mac et Windows) :<br />
••<br />
Apps de l’App Store<br />
••<br />
Mises à jour de l’App Store<br />
••<br />
Livres de l’iBooks Store<br />
Les réseaux de grande envergure bénéficieront de la mise en place de plusieurs serveurs Caching<br />
Server. Pour de nombreux dé<strong>ploiement</strong>s, la configuration de Caching Server revient tout<br />
simp<strong>le</strong>ment à activer <strong>le</strong> service. Si vous disposez de Caching Server sous OS X Server Yosemite,<br />
vous n’avez plus besoin d’environnement NAT <strong>pour</strong> <strong>le</strong> serveur et tous <strong>le</strong>s appareils qui l’utilisent.<br />
Caching Server peut maintenant être utilisé sur <strong>le</strong>s réseaux composés d’adresses IP acheminab<strong>le</strong>s<br />
publiquement. Les appareils <strong>App<strong>le</strong></strong> exécutant <strong>iOS</strong> 7 ou ultérieur et OS X Mountain Lion 10.8.2 ou<br />
ultérieur contactent automatiquement un serveur Caching Server sans qu’une configuration de<br />
l’appareil supplémentaire ne soit nécessaire.<br />
Pour en savoir plus, consultez la page Service de mise en cache dans l’aide OS X Server.<br />
Voici une explication du flux de travail de Caching Server :<br />
1 Lorsqu’un appareil <strong>App<strong>le</strong></strong> sur un réseau comprenant un ou plusieurs serveurs de mise en cache<br />
demande du contenu auprès de l’iTunes Store ou du serveur Mise à jour de logiciels, l’appareil<br />
est envoyé vers un serveur de mise en cache.<br />
2 Caching Server commence par vérifier qu’il dispose bien du contenu requis dans son cache local.<br />
••<br />
Si c’est <strong>le</strong> cas, il commence immédiatement à transférer <strong>le</strong> contenu vers l’appareil.<br />
••<br />
Si <strong>le</strong> serveur de mise en cache ne dispose pas des ressources demandées, il essaie de télécharger<br />
<strong>le</strong> contenu depuis une autre source. Caching Server 2 ou ultérieur inclut une fonctionnalité<br />
de réplication pair-à-pair qui peut exploiter d’autres serveurs Caching Server du réseau, si<br />
ceux-ci ont déjà téléchargé <strong>le</strong> contenu requis.<br />
3 Dès que <strong>le</strong> serveur de mise en cache reçoit <strong>le</strong>s données de téléchargement, il <strong>le</strong>s relaie immédiatement<br />
à tout appareil <strong>le</strong>s ayant demandées et en met simultanément une copie en cache sur <strong>le</strong><br />
périphérique de stockage désigné.<br />
Chapitre 8 Distribution d’apps et de livres 81
Planification de l’assistance<br />
9<br />
Vue d’ensemb<strong>le</strong><br />
Un dé<strong>ploiement</strong> d’appareils <strong>App<strong>le</strong></strong> doit inclure une assistance. <strong>App<strong>le</strong></strong>Care propose des plans<br />
d’assistance <strong>pour</strong> <strong>le</strong>s organisations de toutes tail<strong>le</strong>s, notamment une assistance au dé<strong>ploiement</strong><br />
de logiciels et une couverture matériel<strong>le</strong> :<br />
••<br />
Ordinateurs Mac sous OS X et appareils <strong>iOS</strong> sous <strong>iOS</strong><br />
••<br />
<strong>App<strong>le</strong></strong>Care Help Desk Support<br />
••<br />
<strong>App<strong>le</strong></strong>Care OS Support<br />
••<br />
<strong>App<strong>le</strong></strong>Care for Enterprise<br />
••<br />
Appareils <strong>iOS</strong> uniquement<br />
••<br />
<strong>App<strong>le</strong></strong>Care <strong>pour</strong> <strong>le</strong>s utilisateurs d’appareils <strong>iOS</strong><br />
••<br />
Programme d’assistance directe <strong>iOS</strong><br />
••<br />
Ordinateurs Mac uniquement<br />
••<br />
<strong>App<strong>le</strong></strong>Care Protection Plan <strong>pour</strong> Mac ou écran <strong>App<strong>le</strong></strong><br />
Vous pouvez choisir <strong>le</strong> programme qui répond aux besoins de votre organisation. Pour en savoir<br />
plus, consultez <strong>le</strong> site web de l’assistance professionnel<strong>le</strong> <strong>App<strong>le</strong></strong>Care.<br />
<strong>App<strong>le</strong></strong>Care Help Desk Support<br />
<strong>App<strong>le</strong></strong>Care Help Desk Support permet de communiquer par téléphone de manière prioritaire<br />
avec <strong>le</strong>s équipes d’assistance technique <strong>le</strong>s plus expérimentées d’<strong>App<strong>le</strong></strong>. Ce service comprend<br />
un ensemb<strong>le</strong> d’outils permettant de diagnostiquer et de dépanner <strong>le</strong> matériel <strong>App<strong>le</strong></strong>, ce qui peut<br />
aider <strong>le</strong>s institutions à gérer <strong>le</strong>urs ressources de manière plus efficace, à améliorer <strong>le</strong>ur temps de<br />
réponse et à réduire <strong>le</strong>s coûts de formation. <strong>App<strong>le</strong></strong>Care Help Desk Support prend en charge un<br />
nombre illimité d’incidents, qu’il s’agisse de diagnostic ou de dépannage matériel ou logiciel,<br />
ou encore d’isolation de problème <strong>pour</strong> <strong>le</strong>s appareils <strong>iOS</strong> et OS X. Obtenez plus d’informations<br />
sur <strong>le</strong> site web <strong>App<strong>le</strong></strong>Care Help Desk Support.<br />
<strong>App<strong>le</strong></strong>Care OS Support<br />
<strong>App<strong>le</strong></strong>Care OS Support comprend <strong>App<strong>le</strong></strong>Care Help Desk Support, en plus de l’assistance <strong>pour</strong><br />
<strong>le</strong>s incidents. <strong>App<strong>le</strong></strong>Care OS Support comprend une assistance <strong>pour</strong> <strong>le</strong>s composants système,<br />
la configuration réseau, l’administration et l’intégration en environnements hétérogènes,<br />
<strong>le</strong>s applications logiciel<strong>le</strong>s professionnel<strong>le</strong>s, <strong>le</strong>s applications et <strong>le</strong>s services web, et <strong>le</strong>s problèmes<br />
techniques dont la résolution nécessite l’utilisation des outils de ligne de commande. Obtenez<br />
plus d’informations sur <strong>le</strong> site web <strong>App<strong>le</strong></strong>Care OS Support.<br />
82
<strong>App<strong>le</strong></strong>Care for Enterprise<br />
<strong>App<strong>le</strong></strong>Care for Enterprise comprend un ensemb<strong>le</strong> comp<strong>le</strong>t de matériel et de logiciels <strong>pour</strong> votre<br />
entreprise ou votre établissement d’enseignement. Votre chargé de compte <strong>App<strong>le</strong></strong>Care vous<br />
aidera à analyser votre infrastructure informatique et à assurer un suivi de vos problèmes éventuels.<br />
Il vous fournira des rapports d’activité mensuels <strong>pour</strong> vos appels au service d’assistance et<br />
réparations. Vous bénéficierez d’une assistance par téléphone ou par e-mail <strong>pour</strong> l’ensemb<strong>le</strong> de<br />
votre département informatique sur la totalité du matériel et des logiciels <strong>App<strong>le</strong></strong>. Nous vous aiderons<br />
à mettre en place vos scénarios comp<strong>le</strong>xes de dé<strong>ploiement</strong> et d’intégration, notamment <strong>le</strong>s<br />
solutions MDM et Active Directory. Et si vous avez besoin d’aide avec <strong>le</strong>s apps IBM Mobi<strong>le</strong>First<br />
for <strong>iOS</strong>, nous collaborerons avec IBM <strong>pour</strong> vous aider à résoudre votre problème. <strong>App<strong>le</strong></strong>Care for<br />
Enterprise peut contribuer à réduire la charge de travail de votre service d’assistance interne en<br />
fournissant à vos employés une assistance technique téléphonique 24 heures sur 24, 7 jours sur 7.<br />
<strong>App<strong>le</strong></strong> vous offrira une assistance technique <strong>pour</strong> <strong>le</strong> matériel <strong>App<strong>le</strong></strong>, <strong>le</strong>s systèmes d’exploitation,<br />
<strong>le</strong>s apps <strong>App<strong>le</strong></strong> comme Keynote, Pages et Numbers, et <strong>le</strong>s comptes et réglages personnels.<br />
Pour en savoir plus, consultez <strong>le</strong> site web <strong>App<strong>le</strong></strong>Care for Enterprise.<br />
<strong>App<strong>le</strong></strong>Care <strong>pour</strong> <strong>le</strong>s utilisateurs d’appareils <strong>iOS</strong><br />
Chaque appareil <strong>iOS</strong> est fourni avec une garantie limitée d’un an et une assistance téléphonique<br />
gratuite pendant <strong>le</strong>s 90 jours suivant la date d’achat. Ce service peut être étendu à deux ans<br />
après la date d’achat d’origine avec <strong>le</strong>s contrats <strong>App<strong>le</strong></strong>Care+ <strong>pour</strong> iPhone, <strong>App<strong>le</strong></strong>Care+ <strong>pour</strong> iPad<br />
ou <strong>App<strong>le</strong></strong>Care+ <strong>pour</strong> iPod touch. Les utilisateurs peuvent appe<strong>le</strong>r <strong>le</strong>s experts de l’assistance<br />
technique <strong>App<strong>le</strong></strong> aussi souvent qu’ils <strong>le</strong> souhaitent <strong>pour</strong> obtenir des conseils élémentaires d’utilisation.<br />
<strong>App<strong>le</strong></strong> fournit éga<strong>le</strong>ment des options d’entretien et de réparation opportunes lorsque <strong>le</strong>s<br />
appareils doivent être réparés. Les trois programmes couvrent <strong>le</strong> dépannage de deux incidents<br />
ayant entraîné des dommages accidentels, chacun soumis à des frais de service.<br />
Programme d’assistance directe <strong>iOS</strong><br />
En tant qu’avantage compris dans <strong>le</strong>s services <strong>App<strong>le</strong></strong>Care+ et <strong>App<strong>le</strong></strong>Care Protection Plan,<br />
<strong>le</strong> Programme d’assistance directe <strong>iOS</strong> permet à votre centre d’aide de détecter <strong>le</strong>s problèmes<br />
des appareils sans appe<strong>le</strong>r <strong>le</strong> service <strong>App<strong>le</strong></strong>Care ni se rendre dans un <strong>App<strong>le</strong></strong> Store. Si nécessaire,<br />
votre organisation peut commander directement un iPhone, iPad ou iPod touch de remplacement,<br />
ou encore des accessoires. Obtenez plus d’informations sur <strong>le</strong> site Web<br />
Programme d’assistance directe <strong>iOS</strong>.<br />
<strong>App<strong>le</strong></strong>Care Protection Plan <strong>pour</strong> Mac ou écran <strong>App<strong>le</strong></strong><br />
Chaque Mac est fourni avec une garantie limitée d’un an et une assistance téléphonique gratuite<br />
pendant <strong>le</strong>s 90 jours suivant la date d’achat. La couverture de ce service peut être étendue<br />
jusqu’à trois ans à partir de la date d’achat et peut inclure la réparation sur site des ordinateurs<br />
de bureau. Le transport par colis d’ordinateurs portab<strong>le</strong>s et d’écrans <strong>App<strong>le</strong></strong> <strong>pour</strong> réparation,<br />
ainsi que <strong>le</strong> dépôt et retrait d’ordinateurs Mac ou d’écrans <strong>App<strong>le</strong></strong> dans un magasin <strong>App<strong>le</strong></strong> Store<br />
ou dans un Centre de services agréé <strong>App<strong>le</strong></strong> <strong>pour</strong> réparation sont éga<strong>le</strong>ment inclus. Vous pouvez<br />
appe<strong>le</strong>r <strong>le</strong>s experts de l’assistance technique <strong>App<strong>le</strong></strong> aussi souvent que vous <strong>le</strong> souhaitez <strong>pour</strong><br />
poser vos questions concernant <strong>le</strong> matériel <strong>App<strong>le</strong></strong>, OS X et <strong>le</strong>s apps <strong>App<strong>le</strong></strong>, tel<strong>le</strong>s que cel<strong>le</strong>s contenues<br />
dans <strong>le</strong>s suites iLife et iWork.<br />
Chapitre 9 Planification de l’assistance 83
Annexes<br />
10<br />
Restrictions<br />
Vue d’ensemb<strong>le</strong><br />
Les appareils <strong>App<strong>le</strong></strong> prennent en charge <strong>le</strong>s règ<strong>le</strong>s et restrictions suivantes, que vous pouvez<br />
configurer <strong>pour</strong> répondre aux besoins de votre organisation. En fonction de votre solution MDM,<br />
<strong>le</strong>s noms de ces restrictions peuvent varier légèrement.<br />
Remarque : Toutes <strong>le</strong>s restrictions ne sont pas disponib<strong>le</strong>s <strong>pour</strong> tous <strong>le</strong>s appareils <strong>App<strong>le</strong></strong>.<br />
Réglages du programme d’inscription d’appareil<br />
Les restrictions suivantes s’appliquent aux appareils <strong>App<strong>le</strong></strong> attribués à des serveurs MDM par <strong>le</strong><br />
biais du programme d’inscription d’appareil.<br />
Options d’inscription<br />
••<br />
Demander à l’utilisateur d’inscrire l’appareil : Lorsque cette option est activée, l’utilisateur est<br />
invité à inscrire l’appareil dans MDM. Cette option est désactivée par défaut.<br />
Les réglages suivants sont des sous-catégories du réglage précédent.<br />
••<br />
Empêcher l’utilisateur d’ignorer l’étape d’inscription : Lorsque cette option est activée, l’utilisateur<br />
doit inscrire l’appareil dans MDM <strong>pour</strong> pouvoir <strong>le</strong> configurer. Cette option est désactivée<br />
par défaut.<br />
••<br />
Exiger <strong>le</strong>s informations d’identification <strong>pour</strong> l’inscription : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs n’ont pas besoin de s’authentifier auprès d’un service d’annuaire avant d’inscrire<br />
l’appareil dans MDM. Cette option est activée par défaut.<br />
••<br />
Superviser l’appareil (<strong>iOS</strong> uniquement) : Lorsque cette option est activée, l’appareil est supervisé<br />
pendant l’inscription et ne peut pas être désinscrit par l’utilisateur. Cette option est<br />
désactivée par défaut.<br />
Le réglage suivant est une sous-catégorie du réglage précédent.<br />
••<br />
Autoriser <strong>le</strong> jumelage (<strong>iOS</strong> uniquement) : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs<br />
ne peuvent pas jume<strong>le</strong>r <strong>le</strong>ur appareil avec un ordinateur. Cette option est activée par défaut.<br />
••<br />
Empêcher la désinscription : Lorsque cette option est activée, un appareil <strong>iOS</strong> supervisé ne<br />
peut pas être désinscrit par l’utilisateur. Les ordinateurs Mac ne peuvent pas être désinscrits<br />
si l’utilisateur dispose du nom d’utilisateur et du mot de passe d’administrateur. Cette option<br />
est désactivée par défaut.<br />
Options de l’Assistant réglages<br />
Pour <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> inscrits au programme d’inscription d’appareil et gérés par une solution<br />
MDM, <strong>le</strong>s écrans suivants de l’Assistant réglages peuvent être ignorés (toutes ces options sont<br />
activées par défaut) :<br />
Sauf dans <strong>le</strong> cas où ces éléments sont éga<strong>le</strong>ment définitivement restreints par <strong>le</strong> biais de la solution<br />
MDM, <strong>le</strong>s utilisateurs peuvent effectuer l’ensemb<strong>le</strong> de ces opérations une fois que l’appareil<br />
<strong>App<strong>le</strong></strong> est configuré.<br />
84
••<br />
Set up as a new device or restore from backup (Configurer comme nouvel appareil ou restaurer à<br />
partir d’une sauvegarde) : Lorsque cette option est désactivée, l’utilisateur ne peut pas choisir<br />
entre <strong>le</strong>s deux possibilités.<br />
••<br />
Allow user to enter their <strong>App<strong>le</strong></strong> ID (Autoriser l’utilisateur à saisir son identifiant <strong>App<strong>le</strong></strong>) : Lorsque<br />
cette option est désactivée, l’utilisateur ne peut pas saisir son identifiant <strong>App<strong>le</strong></strong>.<br />
••<br />
Autoriser l’utilisateur à afficher <strong>le</strong>s Conditions généra<strong>le</strong>s : Lorsque cette option est désactivée,<br />
l’utilisateur ne peut pas consulter <strong>le</strong>s Conditions généra<strong>le</strong>s d’<strong>App<strong>le</strong></strong>.<br />
••<br />
Allow user to se<strong>le</strong>ct whether diagnostic data is sent to <strong>App<strong>le</strong></strong> and developers (Autoriser l’utilisateur<br />
à choisir si <strong>le</strong>s données de diagnostic doivent être envoyées à <strong>App<strong>le</strong></strong> et aux développeurs) : Lorsque<br />
cette option est désactivée, l’utilisateur ne peut pas choisir si <strong>le</strong>s données de diagnostic<br />
doivent être envoyées à <strong>App<strong>le</strong></strong> et <strong>le</strong>s données des apps aux développeurs.<br />
••<br />
Allow user to enab<strong>le</strong> Location Services (Autoriser l’utilisateur à activer <strong>le</strong> service de localisation) :<br />
Lorsque cette option est désactivée, l’utilisateur ne peut pas activer <strong>le</strong> service de localisation.<br />
••<br />
Allow the user to enab<strong>le</strong> Touch ID (Autoriser l’utilisateur à activer Touch ID [<strong>iOS</strong> uniquement]) :<br />
Lorsque cette option est désactivée, l’utilisateur ne peut pas activer Touch ID <strong>pour</strong> déverrouil<strong>le</strong>r<br />
l’appareil ni s’authentifier dans des apps utilisant Touch ID.<br />
••<br />
Allow user to alter the Passcode Lock settings (Autoriser l’utilisateur à modifier <strong>le</strong>s réglages de codes<br />
[<strong>iOS</strong> uniquement]) : Lorsque cette option est désactivée, l’utilisateur ne peut pas modifier <strong>le</strong><br />
code du réglage géré.<br />
••<br />
Allow user to enab<strong>le</strong> <strong>App<strong>le</strong></strong> Pay (Autoriser l’utilisateur à activer <strong>App<strong>le</strong></strong> Pay ([<strong>iOS</strong> uniquement]) :<br />
Lorsque cette option est désactivée, l’utilisateur ne peut pas activer <strong>App<strong>le</strong></strong> Pay.<br />
••<br />
Allow user to enab<strong>le</strong> Siri (Autoriser l’utilisateur à activer Siri ([<strong>iOS</strong> uniquement]) : Lorsque cette<br />
option est désactivée, l’utilisateur ne peut pas activer Siri.<br />
••<br />
Allow user to change the Display Zoom (Autoriser l’utilisateur à modifier <strong>le</strong> Zoom de l’écran ([<strong>iOS</strong><br />
uniquement]) : Lorsque cette option est désactivée, l’utilisateur ne peut pas choisir entre <strong>le</strong>s<br />
réglages standard ou agrandi du Zoom de l’écran.<br />
••<br />
Allow the user to register the Mac with <strong>App<strong>le</strong></strong> (Autoriser l’utilisateur à enregistrer <strong>le</strong> Mac auprès<br />
d’<strong>App<strong>le</strong></strong> ([OS X uniquement]) : Lorsque cette option est désactivée, l’utilisateur ne peut pas<br />
remplir <strong>le</strong> formulaire d’enregistrement et l’envoyer à <strong>App<strong>le</strong></strong>.<br />
••<br />
Allow the user to enab<strong>le</strong> Fi<strong>le</strong>Vault (Autoriser l’utilisateur à activer Fi<strong>le</strong>Vault ([OS X uniquement]) :<br />
Lorsque cette option est désactivée, l’utilisateur ne peut pas activer Fi<strong>le</strong>Vault.<br />
Fonctionnalités des appareils<br />
Fonctionnalités des appareils <strong>iOS</strong><br />
Les restrictions suivantes concernent <strong>le</strong>s appareils <strong>iOS</strong> :<br />
••<br />
Autoriser l’installation d’applications : Lorsque cette option est désactivée, l’App Store est<br />
désactivé et son icône supprimée de l’écran principal. Les utilisateurs ne peuvent pas instal<strong>le</strong>r<br />
ni mettre à jour <strong>le</strong>s apps provenant de l’App Store à l’aide de l’App Store, d’iTunes ou de la<br />
solution MDM. Les apps internes peuvent être installées et mises à jour.<br />
••<br />
Autoriser Siri : Lorsque cette option est désactivée, Siri ne peut pas être utilisé.<br />
••<br />
Autoriser Siri lorsque l’appareil est verrouillé : Lorsque cette option est désactivée, Siri ne répond<br />
que si l’appareil est déverrouillé.<br />
••<br />
<strong>App<strong>le</strong></strong> Pay : Lorsque cette option est désactivée, <strong>App<strong>le</strong></strong> Pay est désactivé.<br />
••<br />
Autoriser Handoff : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent pas utiliser<br />
Handoff avec <strong>le</strong>urs appareils <strong>App<strong>le</strong></strong>.<br />
Chapitre 10 Annexes 85
••<br />
Autoriser l’utilisation de l’appareil photo : Lorsque cette option est désactivée, <strong>le</strong>s appareils<br />
photo sont désactivés et l’icône Appareil photo est supprimée de l’écran principal.<br />
Les utilisateurs ne peuvent prendre de photos ou de vidéos ni utiliser FaceTime.<br />
••<br />
Autoriser FaceTime : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent pas passer<br />
ni recevoir d’appels FaceTime audio ou vidéo.<br />
••<br />
Autoriser <strong>le</strong>s captures d’écran : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent<br />
pas enregistrer une capture d’écran.<br />
••<br />
Autoriser synchronisation automatique en roaming : Lorsque cette option est désactivée,<br />
<strong>le</strong>s appareils en itinérance ne se synchronisent que lorsque l’utilisateur accède à un compte.<br />
••<br />
Autoriser la composition voca<strong>le</strong> : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent<br />
pas utiliser <strong>le</strong>s commandes voca<strong>le</strong>s <strong>pour</strong> composer des numéros.<br />
••<br />
Autoriser <strong>le</strong>s achats intégrés : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent<br />
pas effectuer des achats intégrés.<br />
••<br />
Autoriser Touch ID à déverrouil<strong>le</strong>r l’appareil : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs<br />
doivent utiliser un code <strong>pour</strong> déverrouil<strong>le</strong>r l’appareil.<br />
••<br />
Forcer la détection du poignet par l’<strong>App<strong>le</strong></strong> Watch : Lorsque cette option est activée, l’<strong>App<strong>le</strong></strong> Watch<br />
se verrouil<strong>le</strong> automatiquement lorsqu’el<strong>le</strong> n’est plus sur <strong>le</strong> poignet de l’utilisateur. El<strong>le</strong> peut être<br />
déverrouillée à l’aide du code ou de l’iPhone jumelé. Cette option est désactivée par défaut.<br />
••<br />
Afficher <strong>le</strong> Centre de contrô<strong>le</strong> sur l’écran de verrouillage : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs ne peuvent pas balayer vers <strong>le</strong> haut <strong>pour</strong> afficher <strong>le</strong> Centre de contrô<strong>le</strong>.<br />
••<br />
Afficher <strong>le</strong> Centre de notifications sur l’écran de verrouillage : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs ne peuvent pas balayer vers <strong>le</strong> bas <strong>pour</strong> afficher <strong>le</strong> Centre de notifications<br />
depuis l’écran verrouillé.<br />
••<br />
Afficher l’affichage du jour sur l’écran de verrouillage : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs ne peuvent pas balayer vers <strong>le</strong> bas <strong>pour</strong> afficher la vue Aujourd’hui depuis<br />
l’écran verrouillé.<br />
••<br />
Autoriser <strong>le</strong>s notifications Passbook sur l’écran de verrouillage : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs doivent déverrouil<strong>le</strong>r l’appareil <strong>pour</strong> utiliser Passbook.<br />
••<br />
Exiger <strong>le</strong> mot de passe iTunes Store <strong>pour</strong> tous <strong>le</strong>s achats : Lorsque cette option est désactivée,<br />
<strong>le</strong> mot de passe du compte n’est pas exigé lors des achats intégrés et des achats iTunes.<br />
••<br />
Définir <strong>le</strong> Classement de contenu autorisé : Définit la région et <strong>le</strong>s classements <strong>pour</strong> <strong>le</strong>s films,<br />
<strong>le</strong>s séries télévisées et <strong>le</strong>s apps.<br />
Fonctionnalités des Mac<br />
Les restrictions suivantes concernent <strong>le</strong>s Mac :<br />
••<br />
Autoriser l’adoption par l’App Store : Lorsque cette option est désactivée, <strong>le</strong>s apps iLife et iWork<br />
fournies sous OS X ne peuvent pas être adoptées par l’App Store.<br />
••<br />
Limiter l’App Store aux mises à jour de logiciel : Lorsque cette option est activée, l’App Store ne<br />
peut être utilisé que <strong>pour</strong> mettre à jour des apps. Cette option est désactivée par défaut.<br />
••<br />
Require admin password to install or update apps (Exiger mot de passe admin. <strong>pour</strong> instal<strong>le</strong>r/<br />
màj des applications) : Lorsque cette option est activée, un mot de passe d’administrateur est<br />
requis <strong>pour</strong> pouvoir mettre à jour des apps. Cette option est désactivée par défaut.<br />
••<br />
Limiter <strong>le</strong>s applications pouvant être ouvertes : Lorsque cette option est activée, vous pouvez<br />
limiter <strong>le</strong>s apps pouvant être utilisées. Cette option est désactivée par défaut.<br />
Chapitre 10 Annexes 86
••<br />
Restrict specific System Prefe<strong>rence</strong>s panes (Limiter certaines sous-fenêtres de préfé<strong>rence</strong>s Système) :<br />
Lorsque cette option est activée, vous pouvez sé<strong>le</strong>ctionner <strong>le</strong>s éléments des préfé<strong>rence</strong>s<br />
Système auxquels <strong>le</strong>s utilisateurs peuvent accéder. Si une sous-fenêtre ne figure pas dans la<br />
liste, assurez-vous qu’el<strong>le</strong> est installée sur <strong>le</strong> Mac où Gestionnaire de profils est installé. Cette<br />
option est désactivée par défaut.<br />
••<br />
Verrouil<strong>le</strong>r <strong>le</strong> fond d’écran : Lorsque cette option est activée, vous pouvez empêcher l’utilisateur<br />
de modifier <strong>le</strong> fond d’écran. Cette option est désactivée par défaut.<br />
Réglages des appareils supervisés<br />
Les deux restrictions relatives au verrouillage d’activation sont désactivées par défaut <strong>pour</strong> tous<br />
<strong>le</strong>s utilisateurs et groupes d’utilisateurs.<br />
••<br />
Envoyer la commande « Autoriser <strong>le</strong> verrouillage d’activation » après l’inscription au service MDM :<br />
Lorsque cette option est activée, <strong>le</strong>s utilisateurs sont autorisés à configurer <strong>le</strong>ur appareil <strong>iOS</strong><br />
afin qu’il ne puisse pas être effacé sans que soit saisi l’identifiant <strong>App<strong>le</strong></strong> de l’utilisateur.<br />
Le réglage suivant est une sous-catégorie du réglage précédent.<br />
••<br />
Envoyer la commande seu<strong>le</strong>ment si <strong>le</strong> code de contournement du verrouillage d’activation a été<br />
obtenu : Lorsque cette option est activée, <strong>le</strong> serveur MDM doit recevoir un code de contournement<br />
du verrouillage d’activation <strong>pour</strong> que l’utilisateur puisse configurer son appareil <strong>iOS</strong><br />
afin qu’il ne puisse pas être effacé sans que soit saisi l’identifiant <strong>App<strong>le</strong></strong> de l’utilisateur.<br />
••<br />
Proxy réseau mondial <strong>pour</strong> HTTP : Lorsque cette entité est ajoutée à un profil, <strong>le</strong>s appareils <strong>iOS</strong><br />
doivent utiliser <strong>le</strong> proxy défini dans l’entité <strong>pour</strong> tout <strong>le</strong> trafic réseau utilisant HTTP.<br />
••<br />
Autoriser iMessage : Lorsque cette option est désactivée <strong>pour</strong> <strong>le</strong>s appareils Wi-Fi, l’app<br />
Messages est masquée. Lorsque cette option est désactivée <strong>pour</strong> <strong>le</strong>s appareils Wi-Fi + Cellular,<br />
l’app Messages est disponib<strong>le</strong>, mais seuls <strong>le</strong>s messages texte et MMS peuvent être utilisés.<br />
••<br />
Autoriser l’utilisation de Game Center : Lorsque cette option est désactivée, l’app Game Center<br />
et ses icônes sont supprimées.<br />
••<br />
Allow removal of apps (Autoriser la suppression d’apps) : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs ne peuvent pas supprimer <strong>le</strong>s apps installées.<br />
••<br />
Autoriser iBooks Store : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent pas<br />
acheter de livres dans l’iBooks Store.<br />
••<br />
Autoriser l’utilisation de Podcasts : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne<br />
peuvent pas télécharger Podcasts.<br />
••<br />
Autoriser <strong>le</strong> clavier prédictif : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs n’ont pas accès<br />
au clavier prédictif.<br />
••<br />
Autoriser la correction automatique : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne se<br />
voient pas proposer de suggestions de correction.<br />
••<br />
Autoriser <strong>le</strong> correcteur orthographique : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne<br />
voient pas <strong>le</strong>s mots potentiel<strong>le</strong>ment mal orthographiés soulignés en rouge.<br />
••<br />
Autoriser Définir : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent pas toucher<br />
deux fois <strong>pour</strong> rechercher la définition d’un mot.<br />
••<br />
Afficher <strong>le</strong> contenu généré par l’utilisateur dans Siri : Lorsque cette option est désactivée, Siri ne<br />
peut pas obtenir de contenu provenant de sources autorisant <strong>le</strong> contenu généré par <strong>le</strong>s utilisateurs,<br />
comme Wikipedia.<br />
••<br />
Allow manual install of configuration fi<strong>le</strong>s (Autoriser l’installation manuel<strong>le</strong> des profils de configuration)<br />
: Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent pas instal<strong>le</strong>r de profils de<br />
configuration manuel<strong>le</strong>ment.<br />
Chapitre 10 Annexes 87
••<br />
Autoriser la configuration de restrictions : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne<br />
peuvent pas définir <strong>le</strong>urs propres restrictions sur <strong>le</strong>ur appareil.<br />
••<br />
Allow pairing to computers for content sync (Autoriser <strong>le</strong> jumelage avec <strong>le</strong>s ordinateurs <strong>pour</strong> la<br />
synchronisation du contenu) : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent<br />
jume<strong>le</strong>r <strong>le</strong>ur appareil <strong>iOS</strong> qu’avec <strong>le</strong> Mac sur <strong>le</strong>quel <strong>App<strong>le</strong></strong> Configurator est installé et avec<br />
<strong>le</strong>quel l’appareil était supervisé initia<strong>le</strong>ment.<br />
••<br />
Autoriser AirDrop : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent utiliser<br />
AirDrop avec aucune app.<br />
••<br />
Autoriser la modification des empreintes Touch ID : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs<br />
ne peuvent pas ajouter ni supprimer <strong>le</strong>urs données Touch ID existantes.<br />
••<br />
Autoriser <strong>le</strong>s modifications de compte : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne<br />
peuvent pas créer de nouveaux comptes, ni modifier <strong>le</strong>ur nom d’utilisateur, <strong>le</strong>ur mot de passe<br />
ou tout autre réglage associé à <strong>le</strong>ur compte.<br />
••<br />
Autoriser la modification des réglages d’app à données cellulaires : Lorsque cette option est<br />
désactivée, <strong>le</strong>s utilisateurs ne peuvent pas modifier <strong>le</strong>s réglages relatifs à l’utilisation des<br />
données cellulaires par <strong>le</strong>s apps.<br />
••<br />
Allow Find My Friends settings modification (Autoriser la modification des réglages de Localiser<br />
mes amis) : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent pas modifier <strong>le</strong>s<br />
réglages de l’app Localiser mes amis.<br />
••<br />
Autoriser l’utilisation de l’option Effacer contenu et réglages : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs ne peuvent pas effacer <strong>le</strong> contenu de <strong>le</strong>ur appareil ni restaurer <strong>le</strong>s réglages<br />
d’origine.<br />
••<br />
URL spécifiques autorisées (entité Filtre de contenu) : Lorsque ces données uti<strong>le</strong>s sont ajoutées à<br />
un profil, <strong>le</strong>s utilisateurs ne peuvent pas choisir à quels sites web ils peuvent accéder sur <strong>le</strong>urs<br />
appareils <strong>iOS</strong>.<br />
••<br />
URL autorisées : Ajoutez des URL à cette liste <strong>pour</strong> autoriser l’accès à certains sites web,<br />
même s’ils sont considérés comme étant réservés aux adultes par <strong>le</strong> filtre automatique.<br />
Si vous laissez cette liste vide, <strong>le</strong>s utilisateurs sont autorisés à accéder à tous <strong>le</strong>s sites web<br />
non réservés aux adultes, à l’exception de ceux figurant dans la Liste noire d’URL.<br />
••<br />
Liste noire d’URL : Ajoutez des URL à cette liste <strong>pour</strong> interdire l’accès à certains sites web.<br />
Les utilisateurs ne peuvent pas consulter ces sites, même s’ils ne sont pas répertoriés comme<br />
étant des sites réservés aux adultes par <strong>le</strong> filtre automatique.<br />
••<br />
Certains sites web : L’utilisateur de l’appareil n’aura accès qu’aux sites web définis par vous.<br />
Saisissez <strong>le</strong>s URL des sites web dans la colonne URL. Saisissez <strong>le</strong> nom à donner au signet<br />
dans la colonne Nom. Pour créer un signet dans un dossier, saisissez l’emplacement du dossier<br />
dans la colonne Signet. Par exemp<strong>le</strong>, <strong>pour</strong> créer un signet dans <strong>le</strong> dossier Favoris, saisissez<br />
/Favoris/.<br />
••<br />
Restrict AirPlay connections with whitelist and optional connection passcodes (Restreindre <strong>le</strong>s<br />
connexions AirPlay grâce à une liste blanche et à des codes de connexion facultatifs) : Lorsque<br />
cette option est désactivée, aucun code n’est requis lors du premier jumelage AirPlay de<br />
l’appareil.<br />
••<br />
Activer <strong>le</strong> filtre antigrossièretés de Siri : Lorsque cette option est désactivée, <strong>le</strong> filtre antigrossièretés<br />
de Siri n’est pas activé.<br />
••<br />
Mode app individuel<strong>le</strong> : Permet uniquement l’utilisation d’une app spécifique.<br />
••<br />
Réglages d’accessibilité : Permet certains réglages d’accessibilité en mode app individuel<strong>le</strong>.<br />
Pour en savoir plus sur la supervision des appareils <strong>iOS</strong>, consultez la section Superviser<br />
<strong>le</strong>s appareils.<br />
Chapitre 10 Annexes 88
Réglages de sécurité et confidentialité<br />
Réglages de sécurité et confidentialité <strong>iOS</strong> et OS X<br />
La restriction suivante concernant la sécurité et la confidentialité est applicab<strong>le</strong> à <strong>iOS</strong> et à OS X :<br />
••<br />
Autoriser l’envoi des données de diagnostic à <strong>App<strong>le</strong></strong> : Lorsque cette option est désactivée,<br />
<strong>le</strong>s données de diagnostic d’un appareil ne sont pas envoyées à <strong>App<strong>le</strong></strong>.<br />
Réglages de sécurité et confidentialité sous <strong>iOS</strong><br />
Les restrictions suivantes concernant la sécurité et la confidentialité sont uniquement applicab<strong>le</strong>s<br />
sous <strong>iOS</strong> :<br />
••<br />
Autoriser <strong>le</strong>s résultats provenant d’Internet dans Spotlight : Lorsque cette option est désactivée,<br />
Spotlight ne renvoie aucun résultat provenant d’Internet.<br />
••<br />
Domaines de messagerie non marqués : Les messages Mail envoyés à des adresses dont <strong>le</strong><br />
domaine n’est pas répertorié dans la liste des domaines approuvés sont marqués. Par exemp<strong>le</strong>,<br />
un utilisateur peut ajouter examp<strong>le</strong>.com et groupe.examp<strong>le</strong>.com à sa liste de domaines<br />
connus. Si l’utilisateur envoie un message à untel@foo.com, cette adresse est marquée afin que<br />
l’utilisateur sache que <strong>le</strong> domaine ne fait pas partie de la liste.<br />
••<br />
Domaines web Safari gérés : Les téléchargements à partir de Safari sont considérés comme des<br />
documents gérés s’ils proviennent d’un domaine géré. Par exemp<strong>le</strong>, si un utilisateur télécharge<br />
un document PDF par l’intermédiaire de Safari à partir d’un domaine géré, ce document sera<br />
conforme à tous <strong>le</strong>s réglages des documents gérés.<br />
••<br />
Autoriser <strong>le</strong>s documents de sources non gérées dans <strong>le</strong>s destinations gérées : Lorsque cette option<br />
est désactivée, <strong>le</strong>s documents créés ou téléchargés sur des sources non gérées ne peuvent pas<br />
être ouverts dans <strong>le</strong>s destinations gérées.<br />
••<br />
Autoriser <strong>le</strong>s documents de sources gérées dans <strong>le</strong>s destinations non gérées : Lorsque cette option<br />
est désactivée, <strong>le</strong>s documents créés ou téléchargés sur des sources gérées ne peuvent pas être<br />
ouverts dans <strong>le</strong>s destinations non gérées.<br />
••<br />
Autoriser la musique, <strong>le</strong>s podcasts et <strong>le</strong>s contenus iTunes U explicites : Lorsque cette option est<br />
désactivée, <strong>le</strong> contenu musical ou vidéo réservé à un public averti acheté dans l’iTunes Store<br />
est masqué. Les éléments vendus dans l’iTunes Store ou distribués par iTunes U réservés à un<br />
public averti sont clairement indiqués par <strong>le</strong>ur fournisseur, par exemp<strong>le</strong> un label musical.<br />
••<br />
Autoriser <strong>le</strong> contenu sexuel explicite dans l’iBooks Store : Lorsque cette option est désactivée,<br />
<strong>le</strong> contenu sexuel réservé à un public averti vendu dans l’iBooks Store est masqué. Les éléments<br />
vendus dans l’iBooks Store réservés à un public averti sont clairement indiqués par <strong>le</strong>ur<br />
fournisseur. Requiert une supervision <strong>pour</strong> <strong>iOS</strong> 6.<br />
Les réglages de gestion des autorisations relatives à la <strong>le</strong>cture de musique, de podcasts,<br />
d’éléments iTunes U explicites, de contenu autoévalué et érotique sont disponib<strong>le</strong>s dans <strong>le</strong>s<br />
apps iTunes et iBooks sous OS X.<br />
••<br />
Autoriser <strong>le</strong>s mises à jour automatiques des réglages de confiance des certificats : Lorsque cette<br />
option est désactivée, <strong>le</strong>s mises à jour automatiques des réglages de confiance des certificats<br />
ne peuvent pas être effectuées.<br />
••<br />
Autoriser l’acceptation de certificats TLS non fiab<strong>le</strong>s : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs ne sont pas invités à faire confiance aux certificats qui ne peuvent être vérifiés.<br />
Ce réglage s’applique aux comptes Safari, Mail, Contacts et Ca<strong>le</strong>ndrier. Lorsque cette option<br />
est activée, seuls <strong>le</strong>s certificats ayant des certificats racine fiab<strong>le</strong>s sont acceptés sans invite de<br />
confirmation. Pour en savoir plus sur <strong>le</strong>s autorités de certificat racine acceptées par <strong>iOS</strong>,<br />
consultez l’artic<strong>le</strong> Liste des certificats racine de confiance disponib<strong>le</strong>s de l’assistance <strong>App<strong>le</strong></strong>.<br />
••<br />
Exiger un code lors du premier jumelage AirPlay : Lorsque cette option est désactivée,<br />
aucun code n’est requis lors du premier jumelage AirPlay de l’appareil.<br />
Chapitre 10 Annexes 89
••<br />
Forcer <strong>le</strong> suivi publicitaire limité : Lorsque cette option est désactivée, <strong>le</strong>s apps peuvent<br />
utiliser l’identifiant publicitaire (identifiant temporaire de l’appareil) <strong>pour</strong> l’affichage de<br />
publicités ciblées.<br />
••<br />
Autoriser la sauvegarde des livres d’entreprise : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs<br />
ne peuvent pas sauvegarder <strong>le</strong>s livres distribués par <strong>le</strong>ur organisation sur iCloud ni sur iTunes.<br />
••<br />
Forcer <strong>le</strong>s copies de sauvegardes chiffrées : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs<br />
peuvent choisir si <strong>le</strong>s sauvegardes d’appareil effectuées dans iTunes sont stockées dans un<br />
format chiffré sur <strong>le</strong>ur Mac.<br />
Si un profil est chiffré est que cette option est désactivée, <strong>le</strong> chiffrement des sauvegardes est<br />
obligatoire et forcé par iTunes. Les profils installés sur l’appareil par <strong>le</strong> Gestionnaire de profils<br />
ne sont jamais chiffrés.<br />
Sécurité et confidentialité d’OS X<br />
La restriction suivante de sécurité et confidentialité est uniquement applicab<strong>le</strong> à OS X :<br />
••<br />
Autoriser AirDrop : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne peuvent pas utiliser<br />
AirDrop avec d’autres ordinateurs Mac.<br />
Vous pouvez restreindre l’utilisation d’AirDrop <strong>pour</strong> <strong>le</strong>s appareils <strong>iOS</strong>, mais ils doivent d’abord<br />
être supervisés.<br />
Utilisation des apps<br />
Restrictions relatives aux apps <strong>iOS</strong> et OS X<br />
Les restrictions suivantes concernant <strong>le</strong>s apps sont applicab<strong>le</strong>s sous <strong>iOS</strong> et OS X :<br />
••<br />
Restrictions relatives à l’app Mail :<br />
••<br />
Les messages peuvent être déplacés de ce compte à un autre : Lorsque cette option est<br />
désactivée, <strong>le</strong>s utilisateurs ne peuvent pas déplacer de message Mail d’un compte à un autre.<br />
••<br />
Utiliser seu<strong>le</strong>ment dans Mail : Lorsque cette option est désactivée, d’autres apps peuvent être<br />
utilisées <strong>pour</strong> envoyer <strong>le</strong>s e-mails au sein d’apps à partir du compte spécifié.<br />
••<br />
Autoriser la synchronisation des adresses récentes : Lorsque cette option est désactivée, <strong>le</strong>s<br />
adresses récemment utilisées ne sont pas synchronisées sur <strong>le</strong>s appareils.<br />
••<br />
Restrictions relatives à l’app Safari :<br />
••<br />
Autoriser <strong>le</strong> remplissage automatique de Safari : Lorsque cette option est désactivée, Safari ne<br />
garde pas en mémoire <strong>le</strong>s saisies effectuées dans <strong>le</strong>s formulaires web.<br />
••<br />
Restrictions Game Center :<br />
••<br />
Autoriser <strong>le</strong>s jeux multijoueurs : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne<br />
peuvent pas jouer à des jeux multijoueurs dans Game Center.<br />
••<br />
Autoriser l’ajout d’amis Game Center : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne<br />
peuvent pas trouver ni ajouter d’amis dans Game Center.<br />
Restrictions relatives aux apps <strong>iOS</strong> uniquement<br />
Les restrictions suivantes concernant <strong>le</strong>s apps sont applicab<strong>le</strong>s sous <strong>iOS</strong> :<br />
••<br />
Restrictions relatives à l’iTunes Store :<br />
••<br />
Autoriser l’utilisation de l’iTunes Store : Lorsque cette option est désactivée, l’iTunes Store est<br />
désactivé et son icône supprimée de l’écran principal. L’utilisateur ne peut alors pas<br />
prévisualiser, acheter ou télécharger de contenu.<br />
••<br />
Restrictions relatives à l’app Safari :<br />
Chapitre 10 Annexes 90
••<br />
Autoriser l’utilisation de Safari : Lorsque cette option est désactivée, l’app du navigateur web<br />
Safari est désactivée et son icône retirée de l’écran d’accueil. El<strong>le</strong> empêche éga<strong>le</strong>ment<br />
l’utilisateur d’ouvrir des clips web.<br />
••<br />
Forcer l’a<strong>le</strong>rte de fraude : Lorsque cette option est désactivée, Safari n’essaie pas d’empêcher<br />
l’utilisateur d’accéder à tout site web identifié comme fraudu<strong>le</strong>ux ou compromis.<br />
••<br />
Activer JavaScript : Lorsque cette option est désactivée, Safari ignore tout <strong>le</strong> code JavaScript<br />
sur <strong>le</strong>s sites Internet.<br />
••<br />
Bloquer <strong>le</strong>s fenêtres surgissantes : Lorsque cette option est désactivée, <strong>le</strong>s fenêtres surgissantes<br />
ne sont pas bloquées dans Safari.<br />
••<br />
Règ<strong>le</strong> d’acceptation des cookies : Définit la règ<strong>le</strong> d’acceptation des cookies dans Safari.<br />
Choisissez de toujours bloquer tous <strong>le</strong>s cookies, toujours accepter tous <strong>le</strong>s cookies, autoriser<br />
<strong>le</strong>s cookies venant de sites web consultés actuel<strong>le</strong>ment ou des sites web visités par l’utilisateur.<br />
La va<strong>le</strong>ur par défaut est Toujours.<br />
Restrictions relatives aux apps OS X uniquement<br />
Les restrictions suivantes concernant <strong>le</strong>s apps sont applicab<strong>le</strong>s sous OS X :<br />
••<br />
Restrictions relatives à l’app Dashboard :<br />
••<br />
Allow specific Dashboard widgets to run (Autoriser l’exécution de certains widgets de<br />
Dashboard) : Lorsque cette option est activée, vous pouvez sé<strong>le</strong>ctionner <strong>le</strong>s widgets de<br />
Dashboard que <strong>le</strong>s utilisateurs peuvent activer.<br />
••<br />
Restrictions Game Center :<br />
••<br />
Autoriser l’utilisation de Game Center : Lorsque cette option est désactivée, l’app Game Center<br />
et ses icônes sont supprimées.<br />
••<br />
Autoriser la modification du compte Game Center : Lorsque cette option est désactivée, <strong>le</strong>s<br />
utilisateurs de Game Center ne peuvent pas modifier <strong>le</strong>ur nom d’utilisateur ni <strong>le</strong>ur mot<br />
de passe.<br />
Réglages iCloud<br />
••<br />
Autoriser la sauvegarde : Lorsque cette option est désactivée, la sauvegarde de l’appareil ne<br />
peut être effectuée que dans iTunes.<br />
••<br />
Allow document and data sync (Autoriser la synchronisation des documents et données) : Lorsque<br />
cette option est désactivée, <strong>le</strong>s documents et données ne sont pas ajoutés à iCloud.<br />
••<br />
Trousseau iCloud : Lorsque cette option est désactivée, Trousseau iCloud n’est pas utilisé.<br />
••<br />
Autoriser Mon flux de photos : Lorsque cette option est désactivée, <strong>le</strong>s photos de Mon flux de<br />
photos sont effacées de l’appareil, <strong>le</strong>s photos de la pellicu<strong>le</strong> ne sont pas envoyées à Mon flux<br />
de photos et <strong>le</strong>s vidéos des flux partagés ne peuvent pas être consultées sur l’appareil.<br />
Si aucune autre copie de ces photos et vidéos n’est disponib<strong>le</strong>, il se peut qu’el<strong>le</strong>s soient perdues.<br />
••<br />
Autoriser <strong>le</strong> partage de photos iCloud : Lorsque cette option est désactivée, <strong>le</strong>s utilisateurs ne<br />
peuvent pas s’abonner à des flux de photos partagés ni en créer.<br />
••<br />
Autoriser <strong>le</strong>s apps gérées à stocker des données sur iCloud : Lorsque cette option est désactivée,<br />
<strong>le</strong>s utilisateurs ne peuvent pas stocker <strong>le</strong>s données des apps gérées sur iCloud.<br />
••<br />
Autoriser la synchronisation des notes et des surlignages <strong>pour</strong> <strong>le</strong>s livres d’entreprise : Lorsque cette<br />
option est désactivée, <strong>le</strong>s utilisateurs ne peuvent pas synchroniser de notes ni de surlignages<br />
sur d’autres appareils à l’aide d’iCloud.<br />
Chapitre 10 Annexes 91
Restrictions relatives aux utilisateurs et groupes d’utilisateurs de Gestionnaire<br />
de profils<br />
Ces réglages sont activés par défaut <strong>pour</strong> tous <strong>le</strong>s utilisateurs et <strong>le</strong> groupe d’utilisateurs « Tous ».<br />
Ils sont désactivés par défaut <strong>pour</strong> <strong>le</strong> groupe nommé « Groupe de travail » et <strong>pour</strong> tous <strong>le</strong>s<br />
groupes d’utilisateurs créés par un administrateur.<br />
D’autres solutions MDM peuvent posséder des réglages similaires, mais la description du<br />
réglage varie.<br />
••<br />
Autoriser l’accès au portail Mes appareils : Lorsque cette option est activée, l’utilisateur peut<br />
accéder au portail Mes appareils de Gestionnaire de profils.<br />
Les réglages suivants sont une sous-catégorie de ce réglage.<br />
••<br />
Autoriser <strong>le</strong>s téléchargements de profils de configuration : Lorsque cette option est activée,<br />
<strong>le</strong>s utilisateurs peuvent télécharger des profils de configuration à partir du portail Mes appareils.<br />
••<br />
Autoriser l’inscription et la désinscription d’appareils : Lorsque cette option est activée, <strong>le</strong>s utilisateurs<br />
peuvent inscrire des appareils supplémentaires et en désinscrire.<br />
••<br />
Autoriser l’effacement des données de l’appareil : Lorsque cette option est activée, <strong>le</strong>s utilisateurs<br />
peuvent effacer <strong>le</strong>s données de <strong>le</strong>urs appareils.<br />
••<br />
Autoriser <strong>le</strong> verrouillage de l’appareil (<strong>iOS</strong> uniquement) : Lorsque cette option est activée,<br />
<strong>le</strong>s utilisateurs peuvent verrouil<strong>le</strong>r <strong>le</strong>ur appareil <strong>iOS</strong>.<br />
••<br />
Autoriser l’effacement du code de l’appareil (<strong>iOS</strong> uniquement) : Lorsque cette option est activée,<br />
<strong>le</strong>s utilisateurs peuvent effacer <strong>le</strong> code de <strong>le</strong>ur appareil <strong>iOS</strong>.<br />
••<br />
Autoriser l’inscription pendant Assistant réglages <strong>pour</strong> <strong>le</strong>s appareils configurés à l’aide du programme<br />
d’inscription d’appareil : Lorsque cette option est activée, <strong>le</strong>s appareils <strong>App<strong>le</strong></strong> dans<br />
<strong>le</strong> programme d’inscription d’appareil, attribués à cette instance de Gestionnaire de profils<br />
peuvent inscrire <strong>le</strong>ur appareil dans <strong>le</strong> service MDM du gestionnaire de profils.<br />
Les réglages suivants sont désactivés par défaut <strong>pour</strong> tous <strong>le</strong>s utilisateurs et groupes<br />
d’utilisateurs.<br />
••<br />
Autoriser l’inscription pendant Assistant réglages <strong>pour</strong> <strong>le</strong>s appareils configurés à l’aide<br />
d’<strong>App<strong>le</strong></strong> Configurator (<strong>iOS</strong> uniquement) : Lorsque cette option est activée, <strong>le</strong>s appareils <strong>iOS</strong><br />
configurés avec <strong>App<strong>le</strong></strong> Configurator peuvent inscrire <strong>le</strong>ur appareil dans <strong>le</strong> service MDM de<br />
Gestionnaire de profils.<br />
••<br />
Limiter l’inscription aux appareils de paramètre fictif : Lorsque cette option est activée, seuls <strong>le</strong>s<br />
appareils possédant l’un des paramètres fictifs suivants peuvent s’inscrire dans <strong>le</strong> service MDM<br />
de Gestionnaire de profils :<br />
••<br />
Numéro de série<br />
••<br />
UDID<br />
••<br />
IMEI<br />
••<br />
MEID<br />
••<br />
Identifiant du périphérique Bonjour (<strong>App<strong>le</strong></strong> TV uniquement)<br />
Remarque : Le réglage suivant est une sous-catégorie de cette restriction.<br />
• • Limiter l’inscription aux appareils assignés : Lorsque cette option est activée, seuls <strong>le</strong>s appareils<br />
attribués à un utilisateur peuvent être inscrits dans <strong>le</strong> service MDM de Gestionnaire<br />
de profils.<br />
Chapitre 10 Annexes 92
Instal<strong>le</strong>r des apps développées en interne sans fil<br />
<strong>iOS</strong> et OS X prennent en charge l’installation à distance d’apps personnalisées développées en<br />
interne sans <strong>le</strong> recours à iTunes ou à l’App Store.<br />
Conditions requises :<br />
••<br />
Une app <strong>iOS</strong> au format .ipa, conçue <strong>pour</strong> une version fina<strong>le</strong> avec un profil d’approvisionnement<br />
d’entreprise<br />
••<br />
Un fichier manifeste XML, décrit dans cette annexe<br />
••<br />
Une configuration réseau permettant aux appareils d’accéder à un serveur iTunes <strong>App<strong>le</strong></strong><br />
••<br />
L’utilisation du protoco<strong>le</strong> HTTPS <strong>pour</strong> <strong>iOS</strong> 7.1 ou version ultérieure<br />
L’installation de l’app est simp<strong>le</strong>. Les utilisateurs téléchargent <strong>le</strong> fichier manifeste à partir de votre<br />
site web sur <strong>le</strong>ur appareil <strong>iOS</strong>. Le fichier manifeste demande à l’appareil de télécharger et<br />
d’instal<strong>le</strong>r <strong>le</strong>s apps qui y sont référencées.<br />
Vous pouvez distribuer l’URL de téléchargement du fichier manifeste par message texte ou<br />
e-mail ou en l’intégrant dans une autre app d’entreprise que vous avez créée.<br />
Vous pouvez concevoir et héberger comme vous l’entendez <strong>le</strong> site web utilisé <strong>pour</strong> distribuer <strong>le</strong>s<br />
apps. Assurez-vous que <strong>le</strong>s utilisateurs sont authentifiés, par exemp<strong>le</strong> en utilisant une authentification<br />
de base ou basée sur des dossiers, et que <strong>le</strong> site web est accessib<strong>le</strong> par l’intermédiaire de<br />
votre intranet ou d’Internet. Vous pouvez placer l’app et <strong>le</strong> fichier manifeste dans un répertoire<br />
masqué ou dans tout autre emplacement lisib<strong>le</strong> par HTTPS.<br />
Si vous créez un portail en libre-service, envisagez d’ajouter un Web Clip à l’écran d’accueil<br />
de l’utilisateur afin de diriger faci<strong>le</strong>ment ce dernier vers <strong>le</strong> portail, où il <strong>pour</strong>ra trouver des<br />
informations sur <strong>le</strong> futur dé<strong>ploiement</strong>, comme <strong>le</strong>s nouveaux profils de configuration, <strong>le</strong>s apps<br />
de l’App Store recommandées et <strong>le</strong>s modalités d’inscription à une solution de gestion des<br />
appareils mobi<strong>le</strong>s.<br />
Préparer une app développée en interne en vue d’une distribution sans fil<br />
Pour préparer votre app développée en interne à une distribution sans fil, compi<strong>le</strong>z une version<br />
archivée (fichier .ipa) et un fichier manifeste qui permet la distribution et l’installation sans<br />
fil de l’app.<br />
Xcode sert à créer une archive d’app. Signez l’app à l’aide de votre certificat de distribution et<br />
joignez votre profil d’approvisionnement de développement d’entreprise aux archives. Pour en<br />
savoir plus sur la compilation et l’archivage des apps, consultez <strong>le</strong> centre de développement<br />
<strong>iOS</strong> Dev Center ou <strong>le</strong> Guide de l’utilisateur Xcode, accessib<strong>le</strong> depuis <strong>le</strong> menu Aide de Xcode.<br />
À propos du fichier manifeste sans fil<br />
Le fichier manifeste est un fichier plist XML. Il est utilisé par un appareil <strong>iOS</strong> <strong>pour</strong> trouver, télécharger<br />
et instal<strong>le</strong>r des apps à partir de votre serveur web. Le fichier manifeste est créé par Xcode<br />
en utilisant des informations que vous fournissez lorsque vous partagez une app archivée <strong>pour</strong><br />
une distribution d’entreprise.<br />
Les champs suivants sont obligatoires :<br />
••<br />
URL : L’URL HTTPS complète du fichier de l’app (.ipa).<br />
••<br />
display-image : Une image PNG de 57 x 57 pixels qui est affichée pendant <strong>le</strong> téléchargement et<br />
l’installation. Indiquez l’URL complète de l’image.<br />
••<br />
full-size-image : Une image PNG de 512 x 512 pixels qui représente l’app dans iTunes.<br />
Chapitre 10 Annexes 93
••<br />
bund<strong>le</strong>-identifier : L’identificateur de paquet de votre app, exactement tel qu’indiqué dans<br />
votre projet Xcode.<br />
••<br />
bund<strong>le</strong>-version : La version de paquet de votre app, tel qu’indiqué dans votre projet Xcode.<br />
••<br />
tit<strong>le</strong> : Le nom de l’app, qui est affiché pendant <strong>le</strong> téléchargement et l’installation.<br />
Pour <strong>le</strong>s apps de Kiosque uniquement, <strong>le</strong>s champs suivants sont obligatoires :<br />
••<br />
newsstand-image : Une image tail<strong>le</strong> réel<strong>le</strong> au format PNG <strong>pour</strong> l’affichage sur l’étagère<br />
de Kiosque.<br />
••<br />
UINewsstandBindingEdge and UINewsstandBindingType : Ces clés doivent correspondre à cel<strong>le</strong>s<br />
contenues dans l’info.plist de votre app Kiosque.<br />
••<br />
UINewsstandApp : Précisez que l’app est une app Kiosque.<br />
Les clés facultatives que vous pouvez utiliser sont indiquées dans <strong>le</strong> fichier manifeste d’exemp<strong>le</strong>.<br />
Par exemp<strong>le</strong>, vous pouvez utiliser <strong>le</strong>s clés MD5 si votre fichier d’app est volumineux et que vous<br />
souhaitez assurer une intégrité de téléchargement supérieure à la correction d’erreur norma<strong>le</strong>ment<br />
effectuée <strong>pour</strong> une communication TCP.<br />
Vous pouvez instal<strong>le</strong>r plusieurs apps avec un unique fichier manifeste, en spécifiant <strong>le</strong>s membres<br />
supplémentaires de la tab<strong>le</strong> d’éléments.<br />
Un exemp<strong>le</strong> de fichier manifeste figure à la fin de cette annexe.<br />
Construire votre site web<br />
Téléchargez <strong>le</strong>s éléments suivants vers une zone de votre site web à laquel<strong>le</strong> peuvent accéder<br />
vos utilisateurs authentifiés :<br />
••<br />
Le fichier d’app (.ipa)<br />
••<br />
Le fichier manifeste (.plist)<br />
Votre site web peut être une simp<strong>le</strong> page web contenant un lien vers <strong>le</strong> fichier manifeste.<br />
Lorsqu’un utilisateur touche <strong>le</strong> lien web, <strong>le</strong> fichier manifeste est téléchargé, ce qui déc<strong>le</strong>nche <strong>le</strong><br />
téléchargement et l’installation des apps qu’il décrit.<br />
Voici un exemp<strong>le</strong> de lien :<br />
Install App<br />
N’ajoutez pas de lien web vers l’app archivée (.ipa). Le fichier .ipa est téléchargé par l’appareil lors<br />
du chargement du fichier manifeste. Bien que la portion de l’URL correspondant au protoco<strong>le</strong><br />
soit itms-services, l’iTunes Store n’est pas impliqué dans ce processus.<br />
Assurez-vous éga<strong>le</strong>ment que votre fichier .ipa est accessib<strong>le</strong> via HTTPS et que votre site est signé<br />
avec un certificat reconnu comme fiab<strong>le</strong> par <strong>iOS</strong>. L’installation échoue si un certificat auto-signé<br />
ne comprend pas de point d’ancrage fiab<strong>le</strong> et ne peut pas être validé par l’appareil <strong>iOS</strong>.<br />
Définir <strong>le</strong>s types MIME du serveur<br />
Il peut être nécessaire de configurer votre serveur web de sorte que <strong>le</strong> fichier manifeste et <strong>le</strong><br />
fichier d’app soient transmis correctement.<br />
Pour OS X Server, ajoutez <strong>le</strong>s types MIME suivants aux réglages Types MIME du service web :<br />
application/octet-stream ipa<br />
text/xml plist<br />
Chapitre 10 Annexes 94
Pour IIS, utilisez IIS Manager <strong>pour</strong> ajouter <strong>le</strong> type MIME dans la page de propriétés du serveur :<br />
.ipa application/octet-stream<br />
.plist text/xml<br />
Dépanner la distribution d’app sans fil<br />
Si la distribution d’apps échoue avec un message d’impossibilité de téléchargement :<br />
••<br />
Assurez-vous que l’app est correctement signée. Testez-la en l’installant sur un appareil à l’aide<br />
d’<strong>App<strong>le</strong></strong> Configurator, et voyez si des erreurs se produisent.<br />
••<br />
Assurez-vous que <strong>le</strong> lien au fichier manifeste est correct et que <strong>le</strong> fichier manifeste est accessib<strong>le</strong><br />
aux utilisateurs web.<br />
••<br />
Assurez-vous que l’URL du fichier .ipa (dans <strong>le</strong> fichier manifeste) est correcte et que <strong>le</strong> fichier .<br />
ipa est accessib<strong>le</strong> aux utilisateurs web via HTTPS.<br />
Configuration réseau requise<br />
Si <strong>le</strong>s appareils sont connectés à un réseau interne fermé, il est conseillé d’autoriser <strong>le</strong>s appareils<br />
<strong>iOS</strong> à accéder aux éléments suivants :<br />
••<br />
ax.init.itunes.app<strong>le</strong>.com : L’appareil obtient la limite de tail<strong>le</strong> de fichier actuel<strong>le</strong> <strong>pour</strong> <strong>le</strong> téléchargement<br />
d’apps sur <strong>le</strong> réseau cellulaire. S’il n’est pas possib<strong>le</strong> d’atteindre ce site, l’installation<br />
peut échouer.<br />
••<br />
ocsp.app<strong>le</strong>.com : L’appareil contacte ce site web <strong>pour</strong> vérifier <strong>le</strong> statut du certificat de distribution<br />
utilisé <strong>pour</strong> signer <strong>le</strong> profil d’approvisionnement.<br />
Fournir des apps mises à jour<br />
Les apps que vous distribuez vous-même ne sont pas mises à jour automatiquement. Lorsque<br />
vous avez une nouvel<strong>le</strong> version à instal<strong>le</strong>r <strong>pour</strong> <strong>le</strong>s utilisateurs, avertissez-<strong>le</strong>s de la mise à jour et<br />
expliquez-<strong>le</strong>ur comment instal<strong>le</strong>r l’app. Il est souhaitab<strong>le</strong> que l’app recherche <strong>le</strong>s mises à jour et<br />
informe l’utilisateur à son ouverture. Si vous utilisez une distribution d’app sans fil, la notification<br />
peut fournir un lien vers <strong>le</strong> fichier manifeste de l’app mise à jour.<br />
Si vous souhaitez que <strong>le</strong>s utilisateurs conservent <strong>le</strong>s données de l’app stockées sur <strong>le</strong>ur appareil,<br />
assurez-vous que la nouvel<strong>le</strong> version utilise la même clé <strong>pour</strong> <strong>le</strong> champ bund<strong>le</strong>-identifier que<br />
cel<strong>le</strong> qu’el<strong>le</strong> remplace et demandez aux utilisateurs de ne pas supprimer l’ancienne version avant<br />
d’instal<strong>le</strong>r la nouvel<strong>le</strong>. La nouvel<strong>le</strong> version remplace l’ancienne et conserve <strong>le</strong>s données stockées<br />
sur l’appareil si <strong>le</strong>s va<strong>le</strong>urs bund<strong>le</strong>-identifier correspondent.<br />
Les profils d’approvisionnement de distribution expirent 12 mois après <strong>le</strong>ur date d’émission.<br />
Après la date d’expiration, <strong>le</strong> profil est supprimé et l’app ne se lancera plus.<br />
Avant qu’un profil d’approvisionnement n’arrive à expiration, consultez <strong>le</strong> site web<br />
<strong>iOS</strong> Dev Center <strong>pour</strong> créer un nouveau profil <strong>pour</strong> l’app. Créez une nouvel<strong>le</strong> archive d’app (.ipa)<br />
à l’aide du nouveau profil d’approvisionnement, <strong>pour</strong> <strong>le</strong>s utilisateurs qui instal<strong>le</strong>nt l’app <strong>pour</strong> la<br />
première fois.<br />
Si <strong>le</strong>s utilisateurs ont déjà installé l’app, vous souhaitez peut-être planifier la sortie de votre<br />
prochaine version de façon à ce qu’el<strong>le</strong> comprenne <strong>le</strong> nouveau profil d’approvisionnement.<br />
Si ce n’est pas <strong>le</strong> cas, vous pouvez simp<strong>le</strong>ment distribuer <strong>le</strong> fichier .mobi<strong>le</strong>provision, <strong>pour</strong> que <strong>le</strong>s<br />
utilisateurs n’aient pas à instal<strong>le</strong>r l’app à nouveau. Le nouveau profil d’approvisionnement écrase<br />
celui qui se trouve dans l’archive de l’app.<br />
Chapitre 10 Annexes 95
Les profils d’approvisionnement peuvent être installés et gérés à l’aide d’une solution MDM,<br />
puis téléchargés et installés par <strong>le</strong>s utilisateurs par l’intermédiaire d’une mise à jour d’app ou<br />
d’une solution MDM.<br />
Si votre certificat de distribution arrive à expiration, l’app ne s’ouvre plus. Votre certificat de distribution<br />
d’entreprise est valide <strong>pour</strong> une durée de 3 ans à partir de sa date d’émission, ou jusqu’à<br />
l’expiration de votre adhésion au programme Developer Enterprise, la date retenue étant la plus<br />
proche. Pour éviter l’expiration de votre certificat, assurez-vous de renouve<strong>le</strong>r votre adhésion<br />
avant qu’el<strong>le</strong> n’expire.<br />
Vous pouvez disposer de deux certificats de distribution actifs simultanément, chacun étant<br />
indépendant de l’autre. La validité du second certificat démarre avant que cel<strong>le</strong> du premier ne<br />
se termine, ce qui permet de mettre à jour <strong>le</strong>s apps. Lors de la demande de votre second certificat<br />
de distribution auprès du centre de développement <strong>iOS</strong> Dev Center, assurez-vous de ne pas<br />
révoquer <strong>le</strong> premier certificat.<br />
Validation de certificat<br />
La première fois qu’un utilisateur ouvre une application sur un appareil, <strong>le</strong> certificat de distribution<br />
est validé en contactant <strong>le</strong> serveur OCSP d’<strong>App<strong>le</strong></strong>. Si <strong>le</strong> certificat a été révoqué, l’app ne<br />
s’exécute pas. L’impossibilité de contacter <strong>le</strong> serveur OCSP ou d’obtenir une réponse de celui-ci<br />
n’est pas considérée comme une révocation. Pour vérifier <strong>le</strong> statut, l’appareil doit être en mesure<br />
d’accéder à ocsp.app<strong>le</strong>.com. Consultez la section Configuration réseau requise.<br />
La réponse OCSP est mise en cache sur l’appareil pendant une période indiquée par <strong>le</strong> serveur<br />
OCSP, à l’heure actuel<strong>le</strong>, entre trois et sept jours. La validité du certificat n’est pas vérifiée jusqu’à<br />
ce que l’appareil redémarre et que la réponse mise en cache expire. Si <strong>le</strong> certificat a été révoqué<br />
entre temps, l’app ne s’ouvre pas.<br />
La révocation d’un certificat de distribution invalide toutes <strong>le</strong>s apps que vous avez signées à<br />
l’aide de ce dernier. Ne révoquez un certificat qu’en dernier recours : en cas de perte de la clé<br />
privée ou de suspicion de compromission du certificat.<br />
Exemp<strong>le</strong> de fichier manifeste d’app<br />
<br />
<br />
<br />
<br />
items<br />
<br />
<br />
<br />
assets<br />
<br />
<br />
<br />
<br />
kind<br />
software-package<br />
<br />
md5-size<br />
Chapitre 10 Annexes 96
10485760<br />
<br />
md5s<br />
<br />
41fa64bb7a7cae5a46bfb45821ac8bba<br />
51fa64bb7a7cae5a46bfb45821ac8bba<br />
<br />
<br />
url<br />
https://www.examp<strong>le</strong>.com/apps/foo.ipa<br />
<br />
<br />
<br />
kind<br />
display-image<br />
<br />
needs-shine<br />
<br />
url<br />
https://www.examp<strong>le</strong>.com/image.57x57.png<br />
<br />
<br />
<br />
kind<br />
full-size-image<br />
<br />
md5<br />
61fa64bb7a7cae5a46bfb45821ac8bba<br />
needs-shine<br />
<br />
urlhttps://www.examp<strong>le</strong>.com/image.512x512.jpg<br />
<br />
metadata<br />
<br />
<br />
bund<strong>le</strong>-identifier<br />
com.exemp<strong>le</strong>.fooapp<br />
<br />
version-bund<strong>le</strong><br />
1.0<br />
<br />
kind<br />
software<br />
<br />
subtit<strong>le</strong><br />
<strong>App<strong>le</strong></strong><br />
Chapitre 10 Annexes 97
tit<strong>le</strong><br />
Exemp<strong>le</strong> d’app d’entreprise<br />
<br />
<br />
<br />
<br />
<br />
Pour en savoir plus sur <strong>le</strong>s clés et attributs de profil, consultez la page<br />
Configuration Profi<strong>le</strong> Key Refe<strong>rence</strong> (Réfé<strong>rence</strong>s des clés <strong>pour</strong> <strong>le</strong>s profils de configuration).<br />
Chapitre 10 Annexes 98