iOS

Pour gérer des appareils iOS dans Endpoint Management, configurez un certificat Apple Push Notification Service (APNs). Pour plus d’informations, veuillez consulter la section Certificats APNS.

Endpoint Management inscrit les appareils iOS en mode MDM+MAM, avec la possibilité pour les utilisateurs de s’enregistrer en mode MAM uniquement. Endpoint Management prend en charge les types d’authentification suivants pour les appareils iOS en mode MDM+MAM. Pour plus d’informations, consultez les articles sous Certificats et authentification.

  • Domaine
  • Domaine et jeton de sécurité
  • Certificat client
  • Certificat client et domaine
  • Informations d’identification dérivées
  • Fournisseurs d’identité :
    • Azure Active Directory
    • Fournisseur d’identité Citrix

Un workflow général pour le démarrage de la gestion des appareils iOS est le suivant :

  1. Effectuez le processus d’intégration. Voir Intégration et configuration des ressources et Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

  2. Choisissez et configurez une méthode d’inscription. Veuillez consulter la section Méthodes d’inscription prises en charge.

  3. Configurer les stratégies d’appareil iOS.

  4. Inscrire des appareils iOS.

  5. Configurez les actions de sécurité des appareils et des applications. Veuillez consulter la section Actions de sécurisation.

Pour connaître les systèmes d’exploitation pris en charge, reportez-vous à la section Systèmes d’exploitation d’appareils pris en charge.

Méthodes d’inscription prises en charge

Le tableau suivant indique les méthodes d’inscription prises en charge par Endpoint Management pour les appareils iOS :

Méthode Pris en charge
Programme d’inscription des appareils (DEP) Apple Oui
Programme DEP Apple School Manager Oui
Apple Configurator Oui
Inscription manuelle Oui
Invitations d’inscription Oui

Apple propose des programmes d’inscription d’appareil pour les comptes d’entreprise et éducation. Pour les comptes d’entreprise, vous devez vous inscrire au Programme de déploiement d’Apple pour utiliser le programme Apple Device Enrollment Program (DEP) afin de gérer et inscrire des appareils dans Endpoint Management. Ce programme est destiné aux appareils iOS, macOS et Apple TV. Veuillez consulter la section Déployer des appareils via le programme DEP d’Apple.

Pour les comptes éducation, vous devez créer un compte Apple School Manager. Apple School Manager unifie l’accès au Programme d’inscription des appareils (DEP) et au Programme d’achat en volume (VPP). Apple School Manager est un type de programme DEP pour Éducation. Veuillez consulter la section Intégration avec les fonctionnalités Apple Éducation.

Vous pouvez utiliser le programme DEP Apple (Device Enrollment Program) pour inscrire en bloc des appareils iOS, macOS et Apple TV. Vous pouvez acheter ces appareils directement auprès d’Apple, d’un revendeur agréé Apple ou d’un opérateur. Vous pouvez aussi utiliser Apple Configurator pour inscrire des appareils iOS qu’ils aient été achetés ou non directement auprès d’Apple. Veuillez consulter la section Inscription en bloc d’appareils Apple.

Ajouter un appareil iOS manuellement

Si vous souhaitez ajouter manuellement un appareil iOS, par exemple à des fins de test, procédez comme suit.

  1. Dans la console Endpoint Management, cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Cliquez sur Ajouter. La page Ajouter un appareil s’affiche.

    Page d'ajout d'appareil

  3. Pour configurer ces paramètres :

    • Sélectionner une plate-forme : cliquez sur iOS.
    • Numéro de série : entrez le numéro de série de l’appareil.
  4. Cliquez sur Ajouter. Le tableau Appareils s’affiche avec l’appareil ajouté en bas de la liste. Pour afficher et confirmer les détails de l’appareil, sélectionnez l’appareil que vous avez ajouté, puis dans le menu qui s’affiche, cliquez sur Modifier.

    Remarque :

    Lorsque vous sélectionnez la case à cocher en regard d’un appareil, le menu d’options s’affiche au-dessus de la liste des appareils. Lorsque vous cliquez dans la liste, le menu d’options s’affiche sur le côté droit de la liste.

    • LDAP configuré

    • Si vous utilisez des groupes locaux et utilisateurs locaux :

      • Un ou plusieurs groupes locaux.

      • Utilisateurs locaux attribués à des groupes locaux.

      • Des groupes de mise à disposition sont associés à des groupes locaux.

    • Utilisation d’Active Directory :

      • Des groupes de mise à disposition sont associés à des groupes Active Directory.

      Liste des détails de l'appareil

  5. La page Général dresse la liste des identificateurs, tels que le numéro de série et d’autres informations relatives au type de plate-forme. Pour Propriétaire, sélectionnez Entreprise ou BYOD.

    La page Général dresse également la liste des propriétés de sécurité, telles que ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme. Le champ Effacement complet de l’appareil inclut le code PIN de l’utilisateur. L’utilisateur doit entrer ce code une fois que l’appareil est effacé. Si l’utilisateur oublie le code, vous pouvez le rechercher ici.

  6. La page Propriétés dresse la liste des propriétés d’appareil qu’Endpoint Management va provisionner. Cette liste affiche toutes les propriétés d’appareil incluses dans le fichier de provisioning utilisé pour ajouter l’appareil. Pour ajouter une propriété, cliquez sur Ajouter, puis sélectionnez une propriété dans la liste. Pour connaître les valeurs valides pour chaque propriété, consultez le PDF Noms et valeurs des propriétés d’appareil.

    Lorsque vous ajoutez une propriété, elle s’affiche initialement sous la catégorie dans laquelle vous l’avez ajoutée. Après avoir cliqué sur Suivant et être revenu sur la page Propriétés, la propriété s’affiche dans la liste appropriée.

    Pour supprimer une propriété, placez le curseur dessus et cliquez sur le X sur le côté droit. Endpoint Management supprime l’élément immédiatement.

  7. Les sections Détails de l’appareil restantes contiennent des informations sommaires sur l’appareil.

    • Propriétés utilisateur : affiche les rôles RBAC, les appartenances aux groupes, les comptes VPP et les propriétés de l’utilisateur. Vous pouvez retirer un compte VPP de cette page.
    • Stratégies attribuées : affiche le nombre des stratégies attribuées, y compris le nombre de stratégies déployées, en attente ou ayant échoué. Fournit les informations relatives au nom, au type et à la dernière date de déploiement pour chaque stratégie.
    • Applications : affiche, pour le dernier inventaire, le nombre de déploiements d’applications installés, en attente et ayant échoué. Fournit le nom de l’application, l’identificateur, le type et d’autres informations. Pour une description des clés d’inventaire iOS et macOS, telles que HasUpdateAvailable, voir Protocole de gestion des appareils mobiles (MDM).
    • Média : affiche, pour le dernier inventaire, le nombre de déploiements de médias installés, en attente et ayant échoué.
    • Actions : affiche le nombre d’actions déployées, en attente et qui ont échoué. Fournit le nom de l’action et l’heure du dernier déploiement.
    • Groupes de mise à disposition : affiche le nombre de groupes de mise à disposition ayant réussi, en attente et qui ont échoué. Pour chaque déploiement, fournit le nom du groupe mise à disposition et l’heure déploiement. Sélectionnez un groupe de mise à disposition pour afficher des informations plus détaillées, y compris l’état, l’action, le canal ou l’utilisateur.
    • Profils iOS : affiche le dernier inventaire de profil iOS, y compris le nom, le type, l’organisation et une description.
    • Profils de provisioning iOS : affiche les informations du profil de provisioning de distribution d’entreprise, telles que l’UUID, la date d’expiration, et si les profils sont gérés ou non gérés.
    • Certificats : affiche pour les certificats valides, révoqués ou ayant expiré, des informations telles que le type, le fournisseur, l’émetteur, le numéro de série et le nombre de jours restants avant l’expiration.
    • Connexions : affiche l’état de la première connexion et de la dernière connexion. Fournit pour chaque connexion, le nom d’utilisateur, l’heure de l’avant-dernière authentification et l’heure de la dernière authentification.
    • État du MDM : affiche des informations telles que l’état du MDM, l’heure de la dernière notification push et l’heure de la dernière réponse de l’appareil.

Configurer les stratégies d’appareil iOS

Utilisez ces stratégies pour configurer l’interaction entre Endpoint Management et les appareils exécutant iOS. Ce tableau répertorie toutes les stratégies d’appareils disponibles pour les appareils iOS.

     
Mise en miroir AirPlay AirPrint APN
Accès aux applications Attributs d’application Configuration d’applications
Inventaire des applications Mode kiosque Utilisation réseau des applications
Désinstallation des applications Notifications d’applications Calendrier (CalDAV)
Cellulaire Contacts (CardDAV) Contrôler mise à jour d’OS
Informations d’identification Nom de l’appareil Configuration de l’éducation
Exchange Police Disposition de l’écran d’accueil
Importer le profil iOS et macOS LDAP Emplacement
Message sur l’écran de verrouillage Mail Domaines gérés
Options MDM Infos organisation Code secret
Personal Hotspot Suppression de profils Profil de provisioning
Suppression du profil de provisioning Proxy Restrictions
Itinérance SCEP iPad partagé - Nombre maximum d’utilisateurs résidents
iPad partagé - Période de grâce de verrouillage par code secret Compte SSO Magasin
Abonnements calendriers Termes et conditions VPN
Fond d’écran Filtre de contenu Web Clip Web
Wi-Fi    

Inscrire des appareils iOS

Cette section explique comment les utilisateurs inscrivent des appareils iOS (12.2 ou version ultérieure) dans Endpoint Management. Pour plus d’informations sur l’inscription iOS, ouvrez la vidéo suivante :

Vidéo d'inscription iOS

Pour plus d’informations sur l’inscription des appareils à l’aide d’informations d’identification dérivées, consultez la section Appareils inscrits.

  1. Accédez à l’Apple Store sur votre appareil iOS, téléchargez l’application Citrix Secure Hub, puis touchez l’application.
  2. Lorsque vous êtes invité à installer l’application, touchez Suivant, puis Installer.
  3. Après l’installation de Secure Hub, touchez Ouvrir.
  4. Entrez vos informations d’identification d’entreprise, telles que le nom de votre serveur Endpoint Management, le nom d’utilisateur principal (UPN), ou votre adresse e-mail. Touchez ensuite Suivant.
  5. Touchez Oui, inscrire pour inscrire votre appareil iOS. Inscrire l'appareil
  6. Après avoir tapé vos informations d’identification, appuyez sur Autoriser lorsque vous y êtes invité, pour télécharger le profil de configuration. Télécharger le profil
  7. Après avoir téléchargé le profil de configuration, appuyez sur Fermer. Fermer le profil
  8. Dans les paramètres de votre appareil, installez le certificat iOS et ajoutez l’appareil à la liste de confiance.
    • Accédez à Paramètres > Général > Profil > XenMobile Profile Service et touchez Installer pour ajouter le profil. Ajouter le profil
    • Dans la fenêtre de notification, touchez Faire confiance pour inscrire votre appareil à la gestion à distance. Paramètres d'approbation
  9. Connectez-vous à Secure Hub. Si vous vous inscrivez à MDM+MAM : une fois vos informations d’identification validées, créez et confirmez votre code PIN Citrix lorsque vous y êtes invité.
  10. Une fois le workflow terminé, l’appareil est inscrit. Vous pouvez ensuite accéder au magasin d’applications pour afficher les applications que vous pouvez installer sur votre appareil iOS.

Actions de sécurisation

iOS prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action de sécurité, reportez-vous à la sectionActions de sécurisation.

     
Contourner le verrouillage d’activation Mode kiosque Effacement des applications
Verrouillage d’activation ASM DEP Renouvellement de certificat Effacer les restrictions
Activer/Désactiver le mode perdu Activer/Désactiver le suivi Effacement complet
Localiser Verrouiller Faire sonner
Demander/Arrêter la mise en miroir AirPlay Redémarrer/Arrêter Révoquer/Autoriser
Effacer les données d’entreprise Déverrouiller  

Verrouiller les appareils iOS

Vous pouvez verrouiller un appareil iOS perdu tout en affichant un message et un numéro de téléphone sur l’écran de verrouillage.

Pour afficher un message et un numéro de téléphone sur un appareil verrouillé, définissez la stratégie Code secret sur true dans la console Endpoint Management. Ou bien les utilisateurs peuvent activer le code secret sur l’appareil manuellement.

  1. Cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Sélectionnez l’appareil iOS que vous voulez verrouiller.

    Sélectionnez la case à cocher en regard d’un appareil pour afficher le menu d’options au-dessus de la liste des appareils. Cliquez dans la liste pour afficher le menu d’options sur le côté droit de la liste.

    Menu d'options

    Menu d'options

  3. Dans le menu d’options, sélectionnez Sécurité. La boîte de dialogue Actions de sécurisation s’affiche.

    Boîte de dialogue Actions de sécurisation

  4. Cliquez sur Verrouiller. La boîte de dialogue Actions de sécurisation s’affiche.

    Écran de confirmation des actions de sécurisation

  5. Si vous le souhaitez, entrez un message et un numéro de téléphone qui s’afficheront sur l’écran de verrouillage de l’appareil.

    iOS ajoute les mots « iPad perdu » au texte entré dans le champ Message.

    Si vous laissez le champ Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

  6. Cliquez sur Verrouiller l’appareil.

Placer les appareils iOS en Mode perdu

La propriété d’appareil Mode perdu d’Endpoint Management place un appareil iOS en Mode perdu. Contrairement au mode perdu géré d’Apple, le mode perdu de Endpoint Management ne nécessite pas qu’un utilisateur effectue une des actions suivantes pour activer la recherche de son appareil : configurer le paramètre Localiser mon iPhone/iPad ou activer les Services de géolocalisation pour Citrix Secure Hub.

Dans le Mode perdu d’Endpoint Management, seul Endpoint Management peut déverrouiller l’appareil. (En revanche, si vous utilisez la fonctionnalité de verrouillage d’appareil d’Endpoint Management, les utilisateurs peuvent déverrouiller l’appareil directement à l’aide d’un code PIN que vous devez fournir.

Pour activer ou désactiver le Mode perdu : accédez à Gérer > Appareils, choisissez un appareil iOS supervisé et cliquez sur Sécurisé. Ensuite, cliquez sur Activer le mode perdu ou Désactiver le mode perdu.

Options du mode perdu

Si vous cliquez sur Activer le mode perdu, entrez les informations qui sont affichées sur l’appareil lorsqu’il est en mode perdu.

Informations à afficher sur un appareil

Pour vérifier l’état du mode perdu, utilisez une des méthodes suivantes :

  • Dans la fenêtre Actions de sécurisation, vérifiez si le bouton indique Désactiver le mode perdu.
  • Dans Gérer > Appareils, dans l’onglet Général sous Sécurité, consultez la dernière action Activer le mode perdu ou Désactiver le mode perdu.

Onglet Général

  • Dans Gérer > Appareils, dans l’onglet Propriétés, vérifiez que la valeur du paramètre Mode perdu MDM activé est correcte.

Paramètre du Mode perdu MDM activé

Si vous activez le mode perdu de Endpoint Management sur un appareil iOS, la console Endpoint Management est également modifiée comme suit :

  • Dans Configurer > Actions, la liste Actions ne comprend pas ces actions automatiques : Révoquer l’appareil, Effacer les données d’entreprise de l’appareil et Effacer toutes les données de l’appareil.
  • Dans Gérer > Appareils, la liste Actions de sécurisation n’inclut plus les actions Révoquer et Effacer les données d’entreprise. Vous pouvez toujours utiliser une action de sécurité pour effectuer une action Effacement complet, si nécessaire.

iOS ajoute les mots « iPad perdu » au texte entré dans Message dans l’écran Actions de sécurisation.

Si vous laissez Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

Ne pas utiliser le verrouillage d’activation iOS

Le verrouillage d’activation est une fonctionnalité de Localiser mon iPhone/iPad qui empêche la réactivation d’un appareil supervisé perdu ou volé. Le verrouillage d’activation requiert l’identifiant Apple et le mot de passe de l’utilisateur pour pouvoir effectuer ces actions : désactiver Localiser mon iPhone/iPad, effacer l’appareil ou réactiver l’appareil. Pour les appareils qui sont la propriété de votre organisation, il est nécessaire de contourner le verrouillage d’activation pour, par exemple, réinitialiser ou réattribuer des appareils.

Pour activer le verrouillage d’activation, configurez et déployez la stratégie Options MDM d’Endpoint Management. Vous pouvez ensuite gérer un appareil à partir de la console Endpoint Management sans les informations d’identification Apple de l’utilisateur. Pour contourner l’obligation d’entrer des informations d’identification Apple avec un verrou d’activation, émettez l’action de sécurisation Contourner le verrouillage d’activation depuis la console Endpoint Management.

Par exemple, si l’utilisateur retourne un téléphone perdu ou pour configurer l’appareil avant ou après un effacement complet : lorsque le téléphone invite à entrer les informations d’identification de compte iTunes, vous pouvez ignorer cette étape en émettant l’action de sécurité Contourner le verrouillage d’activation à partir de la console Endpoint Management.

Configuration requise pour le contournement du verrouillage d’activation

  • Supervisé par Apple Configurator ou Apple DEP
  • Configuré avec un compte iCloud
  • Localiser mon iPhone/iPad activé
  • Inscrit dans Endpoint Management
  • Stratégie Options MDM, avec verrouillage d’activation activé, déployée sur les appareils

Pour contourner le verrouillage d’activation avant d’émettre un effacement complet de l’appareil :

  1. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  2. Effacez l’appareil. L’écran de verrouillage d’activation ne s’affiche pas lors de l’installation de l’appareil.

Pour contourner le verrouillage d’activation après avoir émis un effacement complet de l’appareil :

  1. Réinitialisez ou effacez l’appareil. L’écran de verrouillage d’activation s’affiche lors de l’installation de l’appareil.
  2. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  3. Cliquez sur le bouton Retour sur l’appareil. L’écran d’accueil s’affiche.

Gardez à l’esprit les considérations suivantes :

  • Conseillez à vos utilisateurs de ne pas désactiver Localiser mon iPhone/iPad. N’effectuez pas d’effacement complet à partir de l’appareil. Dans ces deux cas, l’utilisateur est invité à entrer le mot de passe du compte iCloud. Après la validation du compte, l’utilisateur ne verra pas d’écran Activer iPhone/iPad après avoir effacé tout le contenu et les paramètres.
  • Pour un appareil avec un code de contournement de verrouillage d’activation généré et avec le verrouillage d’activation activé : si vous ne pouvez pas contourner la page Activer iPhone/iPad après un effacement complet, il n’est pas nécessaire de supprimer l’appareil de Endpoint Management. Vous ou l’utilisateur pouvez contacter l’assistance Apple pour débloquer l’appareil directement.
  • Lors d’un inventaire matériel, Endpoint Management interroge un appareil pour obtenir un code de contournement de verrouillage d’activation. Si un code de contournement est disponible, l’appareil l’envoie à Endpoint Management. Ensuite, pour supprimer le code de contournement de l’appareil, envoyez l’action de sécurisation Contourner le verrouillage d’activation à partir de la console Endpoint Management. À ce stade, Endpoint Management et Apple ont le code de contournement nécessaire pour débloquer l’appareil.
  • L’action de sécurisation Contourner le verrouillage d’activation repose sur la disponibilité d’un service d’Apple. Si l’action ne fonctionne pas, vous pouvez débloquer un appareil comme suit. Sur l’appareil, entrez manuellement les informations d’identification du compte iCloud. Ou, laissez le champ de nom d’utilisateur vide et tapez le code de contournement dans le champ de mot de passe. Pour rechercher le code de contournement, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Modifier et cliquez sur Propriétés. Le Code de contournement du verrouillage d’activation se trouve sous Informations de sécurité.