iOS

Pour gérer des appareils iOS dans Endpoint Management, configurez un certificat Apple Push Notification Service (APNs). Pour plus d’informations, consultez la section Certificats APNs.

Endpoint Management inscrit les appareils iOS en mode MDM+MAM, avec la possibilité pour les utilisateurs de s’enregistrer en mode MAM uniquement. Endpoint Management prend en charge les types d’authentification suivants pour les appareils iOS en mode MDM+MAM. Pour de plus amples informations, consultez la section Certificats et authentification.

  • Domaine
  • Domaine et jeton de sécurité
  • Certificat client
  • Certificat client et domaine
  • Informations d’identification dérivées
  • Fournisseurs d’identité :
    • Azure Active Directory
    • Fournisseur d’identité Citrix

Un workflow général pour le démarrage de la gestion des appareils iOS est le suivant :

  1. Effectuez le processus d’intégration. Consultez les sections Intégration et configuration des ressources et Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

  2. Choisissez et configurez une méthode d’inscription. Consultez la section Méthodes d’inscription prises en charge.

  3. Configurez les stratégies d’appareil iOS.

  4. Inscrivez les appareils iOS qui utilisent les informations d’identification fournies par l’utilisateur.

  5. Configurez les actions de sécurité des appareils et des applications. Consultez la section Actions de sécurisation.

Pour les systèmes d’exploitation pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Méthodes d’inscription prises en charge

Le tableau suivant indique les méthodes d’inscription prises en charge par Endpoint Management pour les appareils iOS :

Méthode Prise en charge
Programme d’inscription des appareils (DEP) Apple Oui
Programme DEP Apple School Manager Oui
Apple Configurator Oui
Inscription manuelle Oui
Invitations d’inscription Oui

Apple propose des programmes d’inscription d’appareil pour les comptes d’entreprise et éducation. Pour les comptes d’entreprise, vous devez vous inscrire au Programme de déploiement d’Apple pour utiliser le programme Apple Device Enrollment Program (DEP) afin de gérer et inscrire des appareils dans Endpoint Management. Ce programme est destiné aux appareils iOS, macOS et Apple TV. Consultez la section Déployer des appareils via le programme DEP d’Apple.

Pour les comptes éducation, vous devez créer un compte Apple School Manager. Apple School Manager unifie l’accès au Programme d’inscription des appareils (DEP) et au Programme d’achat en volume (VPP). Apple School Manager est un type de programme DEP pour Éducation. Consultez la section Intégration avec les fonctionnalités Apple Éducation.

Vous pouvez utiliser le programme DEP Apple (Device Enrollment Program) pour inscrire en bloc des appareils iOS, macOS et Apple TV. Vous pouvez acheter ces appareils directement auprès d’Apple, d’un revendeur agréé Apple ou d’un opérateur. Vous pouvez aussi utiliser Apple Configurator pour inscrire des appareils iOS qu’ils aient été achetés ou non directement auprès d’Apple. Consultez la section Inscription en bloc d’appareils Apple.

Ajouter un appareil iOS manuellement

Si vous souhaitez ajouter manuellement un appareil iOS, par exemple à des fins de test, procédez comme suit.

  1. Dans la console Endpoint Management, cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Cliquez sur Ajouter. La page Ajouter un appareil s’affiche.

    Page d'ajout d'appareil

  3. Pour configurer ces paramètres :

    • Sélectionner une plate-forme : cliquez sur iOS.
    • Numéro de série : entrez le numéro de série de l’appareil.
  4. Cliquez sur Ajouter. Le tableau Appareils s’affiche avec l’appareil ajouté en bas de la liste. Pour afficher et confirmer les détails de l’appareil, sélectionnez l’appareil que vous avez ajouté, puis dans le menu qui s’affiche, cliquez sur Modifier.

    Remarque :

    lorsque vous sélectionnez la case à cocher en regard d’un appareil, le menu d’options s’affiche au-dessus de la liste des appareils. Lorsque vous cliquez dans la liste, le menu d’options s’affiche sur le côté droit de la liste.

    • LDAP configuré

    • Si vous utilisez des groupes locaux et utilisateurs locaux :

      • Un ou plusieurs groupes locaux.

      • Utilisateurs locaux attribués à des groupes locaux.

      • Des groupes de mise à disposition sont associés à des groupes locaux.

    • Utilisation d’Active Directory :

      • Des groupes de mise à disposition sont associés à des groupes Active Directory.

      Liste des détails de l'appareil

  5. La page Général dresse la liste des identificateurs, tels que le numéro de série et d’autres informations relatives au type de plate-forme. Pour Propriétaire, sélectionnez Entreprise ou BYOD.

    La page Général dresse également la liste des propriétés de sécurité, telles que ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme. Le champ Effacement complet de l’appareil inclut le code PIN de l’utilisateur. L’utilisateur doit entrer ce code une fois que l’appareil est effacé. Si l’utilisateur oublie le code, vous pouvez le rechercher ici.

  6. La page Propriétés dresse la liste des propriétés d’appareil qu’Endpoint Management va provisionner. Cette liste affiche toutes les propriétés d’appareil incluses dans le fichier de provisioning utilisé pour ajouter l’appareil. Pour ajouter une propriété, cliquez sur Ajouter, puis sélectionnez une propriété dans la liste. Pour connaître les valeurs valides pour chaque propriété, consultez le PDF Valeurs et noms des propriétés d’appareil.

    Lorsque vous ajoutez une propriété, elle s’affiche initialement sous la catégorie dans laquelle vous l’avez ajoutée. Après avoir cliqué sur Suivant et être revenu sur la page Propriétés, la propriété s’affiche dans la liste appropriée.

    Pour supprimer une propriété, placez le curseur dessus et cliquez sur le X sur le côté droit. Endpoint Management supprime l’élément immédiatement.

  7. Les sections Détails de l’appareil restantes contiennent des informations sommaires sur l’appareil.

    • Propriétés utilisateur : affiche les rôles RBAC, les appartenances aux groupes, les comptes VPP et les propriétés de l’utilisateur. Vous pouvez retirer un compte VPP de cette page.
    • Stratégies attribuées : affiche le nombre des stratégies attribuées, y compris le nombre de stratégies déployées, en attente ou ayant échoué. Fournit les informations relatives au nom, au type et à la dernière date de déploiement pour chaque stratégie.
    • Applications : affiche, pour le dernier inventaire, le nombre de déploiements d’applications installés, en attente et ayant échoué. Fournit le nom de l’application, l’identificateur, le type et d’autres informations. Pour une description des clés d’inventaire iOS et macOS, telles que HasUpdateAvailable, voir Protocole de gestion des appareils mobiles (MDM).
    • Média : affiche, pour le dernier inventaire, le nombre de déploiements de médias installés, en attente et ayant échoué.
    • Actions : affiche le nombre d’actions déployées, en attente et qui ont échoué. Fournit le nom de l’action et l’heure du dernier déploiement.
    • Groupes de mise à disposition : affiche le nombre de groupes de mise à disposition ayant réussi, en attente et qui ont échoué. Pour chaque déploiement, fournit le nom du groupe mise à disposition et l’heure déploiement. Sélectionnez un groupe de mise à disposition pour afficher des informations plus détaillées, y compris l’état, l’action, le canal ou l’utilisateur.
    • Profils iOS : affiche le dernier inventaire de profil iOS, y compris le nom, le type, l’organisation et une description.
    • Profils de provisioning iOS : affiche les informations du profil de provisioning de distribution d’entreprise, telles que l’UUID, la date d’expiration, et si les profils sont gérés ou non gérés.
    • Certificats : affiche pour les certificats valides, révoqués ou ayant expiré, des informations telles que le type, le fournisseur, l’émetteur, le numéro de série et le nombre de jours restants avant l’expiration.
    • Connexions : affiche l’état de la première connexion et de la dernière connexion. Fournit pour chaque connexion, le nom d’utilisateur, l’heure de l’avant-dernière authentification et l’heure de la dernière authentification.
    • État du MDM : affiche des informations telles que l’état du MDM, l’heure de la dernière notification push et l’heure de la dernière réponse de l’appareil.

Configurer les stratégies d’appareil iOS

Utilisez ces stratégies pour configurer l’interaction entre Endpoint Management et les appareils exécutant iOS. Ce tableau répertorie toutes les stratégies d’appareils disponibles pour les appareils iOS.

     
Mise en miroir AirPlay AirPrint APN
Accès aux applications Attributs d’application Configuration de l’application
Inventaire des applications Mode kiosque Utilisation réseau des applications
Désinstallation des applications Notifications d’applications Calendrier (CalDAV)
Cellulaire Contacts (CardDAV) Contrôler mise à jour d’OS
Informations d’identification Nom de l’appareil Configuration de l’éducation
Exchange Police Disposition de l’écran d’accueil
Importer le profil iOS et macOS LDAP Emplacement
Message sur l’écran de verrouillage Messagerie Domaines gérés
Options MDM Infos organisation Code secret
Personal Hotspot Suppression de profils Profil de provisioning
Suppression du profil de provisioning Proxy Restrictions
Itinérance SCEP iPad partagé - Nombre maximum d’utilisateurs résidents
iPad partagé - Période de grâce de verrouillage par code secret Compte SSO Magasin
Abonnements calendriers Termes et conditions VPN
Fond d’écran Filtre de contenu Web Clip Web
Wi-Fi    

Inscrire les appareils iOS qui utilisent les informations d’identification fournies par l’utilisateur

Remarque :

Pour plus d’informations, consultez la section Inscrire les appareils iOS qui utilisent les informations d’identification dérivée.

  1. Téléchargez l’application Secure Hub à partir de l’App Store Apple iTunes sur l’appareil, puis installez l’application sur l’appareil.

  2. Sur l’écran d’accueil de l’appareil iOS, tapotez l’application Secure Hub.

  3. Lorsque l’application Secure Hub s’affiche, entrez l’adresse du serveur fournie par votre service d’assistance.

    Les écrans présentés peuvent différer de ces exemples en fonction de la configuration d’Endpoint Management.

    Écran Secure Hub avec invite d'adresse de serveur

  4. Lorsque vous y êtes invité, entrez vos nom d’utilisateur et mot de passe ou code PIN. Cliquez sur Next.

    Image de l'écran de connexion à la console

  5. Lorsque vous êtes invité à vous inscrire, cliquez sur Oui, inscrire et entrez vos informations d’identification lorsque vous y êtes invité.

    Écran d'inscription

  6. Cliquez sur Installer pour installer Citrix Profile Services.

    Écran Citrix Profile Services

  7. Appuyez sur Faire confiance.

    Écran Remote Management Trust

  8. Appuyez sur Ouvrir puis entrez vos informations d’identification.

    Écran de demande d'ouverture de Secure Hub

    Écran de demande d'informations d'identification

Actions de sécurisation

iOS prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action, consultez la section Actions de sécurisation.

     
Contourner le verrouillage d’activation Mode kiosque Effacement des applications
Verrouillage d’activation ASM DEP Renouvellement de certificat Effacer les restrictions
Activer/Désactiver le mode perdu Activer/Désactiver le suivi Effacement complet
Localiser Verrouiller Faire sonner
Demander/Arrêter la mise en miroir AirPlay Redémarrer/Arrêter Révoquer/Autoriser
Effacer les données d’entreprise Déverrouiller  

Verrouiller les appareils iOS

Vous pouvez verrouiller un appareil iOS perdu tout en affichant un message et un numéro de téléphone sur l’écran de verrouillage.

Pour afficher un message et un numéro de téléphone sur un appareil verrouillé, définissez la stratégie Code secret sur true dans la console Endpoint Management. Ou bien les utilisateurs peuvent activer le code secret sur l’appareil manuellement.

  1. Cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Sélectionnez l’appareil iOS que vous voulez verrouiller.

    Sélectionnez la case à cocher en regard d’un appareil pour afficher le menu d’options au-dessus de la liste des appareils. Cliquez dans la liste pour afficher le menu d’options sur le côté droit de la liste.

    Menu d'options

    Menu d'options

  3. Dans le menu d’options, sélectionnez Sécurité. La boîte de dialogue Actions de sécurisation s’affiche.

    Boîte de dialogue Actions de sécurisation

  4. Cliquez sur Verrouiller. La boîte de dialogue Actions de sécurisation s’affiche.

    Écran de confirmation des actions de sécurisation

  5. Si vous le souhaitez, entrez un message et un numéro de téléphone qui s’afficheront sur l’écran de verrouillage de l’appareil.

    iOS ajoute les mots « iPad perdu » au texte entré dans le champ Message.

    Si vous laissez le champ Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

  6. Cliquez sur Verrouiller l’appareil.

Placer les appareils iOS en Mode perdu

La propriété d’appareil Mode perdu d’Endpoint Management place un appareil iOS en Mode perdu. Contrairement au mode perdu géré d’Apple, le mode perdu de Endpoint Management ne nécessite pas qu’un utilisateur effectue une des actions suivantes pour activer la recherche de son appareil : configurer le paramètre Localiser mon iPhone/iPad ou activer les Services de géolocalisation pour Citrix Secure Hub.

Dans le Mode perdu d’Endpoint Management, seul Endpoint Management peut déverrouiller l’appareil. (En revanche, si vous utilisez la fonctionnalité de verrouillage d’appareil d’Endpoint Management, les utilisateurs peuvent déverrouiller l’appareil directement à l’aide d’un code PIN que vous devez fournir.

Pour activer ou désactiver le Mode perdu : accédez à Gérer > Appareils, choisissez un appareil iOS supervisé et cliquez sur Sécurisé. Ensuite, cliquez sur Activer le mode perdu ou Désactiver le mode perdu.

Options du mode perdu

Si vous cliquez sur Activer le mode perdu, entrez les informations qui sont affichées sur l’appareil lorsqu’il est en mode perdu.

Informations à afficher sur un appareil

Pour vérifier l’état du mode perdu, utilisez une des méthodes suivantes :

  • Dans la fenêtre Actions de sécurisation, vérifiez si le bouton indique Désactiver le mode perdu.
  • Dans Gérer > Appareils, dans l’onglet Général sous Sécurité, consultez la dernière action Activer le mode perdu ou Désactiver le mode perdu.

Onglet Général

  • Dans Gérer > Appareils, dans l’onglet Propriétés, vérifiez que la valeur du paramètre Mode perdu MDM activé est correcte.

Paramètre du Mode perdu MDM activé

Si vous activez le mode perdu de Endpoint Management sur un appareil iOS, la console Endpoint Management est également modifiée comme suit :

  • Dans Configurer > Actions, la liste Actions ne comprend pas ces actions automatiques : Révoquer l’appareil, Effacer les données d’entreprise de l’appareil et Effacer toutes les données de l’appareil.
  • Dans Gérer > Appareils, la liste Actions de sécurisation n’inclut plus les actions Révoquer et Effacer les données d’entreprise. Vous pouvez toujours utiliser une action de sécurité pour effectuer une action Effacement complet, si nécessaire.

iOS ajoute les mots « iPad perdu » au texte entré dans Message dans l’écran Actions de sécurisation.

Si vous laissez Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

Ne pas utiliser le verrouillage d’activation iOS

Le verrouillage d’activation est une fonctionnalité de Localiser mon iPhone/iPad qui empêche la réactivation d’un appareil supervisé perdu ou volé. Le verrouillage d’activation requiert l’identifiant Apple et le mot de passe de l’utilisateur pour pouvoir effectuer ces actions : désactiver Localiser mon iPhone/iPad, effacer l’appareil ou réactiver l’appareil. Pour les appareils qui sont la propriété de votre organisation, il est nécessaire de contourner le verrouillage d’activation pour, par exemple, réinitialiser ou réattribuer des appareils.

Pour activer le verrouillage d’activation, configurez et déployez la stratégie Options MDM d’Endpoint Management. Vous pouvez ensuite gérer un appareil à partir de la console Endpoint Management sans les informations d’identification Apple de l’utilisateur. Pour contourner l’obligation d’entrer des informations d’identification Apple avec un verrou d’activation, émettez l’action de sécurisation Contourner le verrouillage d’activation depuis la console Endpoint Management.

Par exemple, si l’utilisateur retourne un téléphone perdu ou pour configurer l’appareil avant ou après un effacement complet : lorsque le téléphone invite à entrer les informations d’identification de compte iTunes, vous pouvez ignorer cette étape en émettant l’action de sécurité Contourner le verrouillage d’activation à partir de la console Endpoint Management.

Configuration requise pour le contournement du verrouillage d’activation

  • Supervisé par Apple Configurator ou Apple DEP
  • Configuré avec un compte iCloud
  • Localiser mon iPhone/iPad activé
  • Inscrit dans Endpoint Management
  • Stratégie Options MDM, avec verrouillage d’activation activé, déployée sur les appareils

Pour contourner le verrouillage d’activation avant d’émettre un effacement complet de l’appareil :

  1. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  2. Effacez l’appareil. L’écran de verrouillage d’activation ne s’affiche pas lors de l’installation de l’appareil.

Pour contourner le verrouillage d’activation après avoir émis un effacement complet de l’appareil :

  1. Réinitialisez ou effacez l’appareil. L’écran de verrouillage d’activation s’affiche lors de l’installation de l’appareil.
  2. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  3. Cliquez sur le bouton Retour sur l’appareil. L’écran d’accueil s’affiche.

Gardez à l’esprit les considérations suivantes :

  • Conseillez à vos utilisateurs de ne pas désactiver Localiser mon iPhone/iPad. N’effectuez pas d’effacement complet à partir de l’appareil. Dans ces deux cas, l’utilisateur est invité à entrer le mot de passe du compte iCloud. Après la validation du compte, l’utilisateur ne verra pas d’écran Activer iPhone/iPad après avoir effacé tout le contenu et les paramètres.
  • Pour un appareil avec un code de contournement de verrouillage d’activation généré et avec le verrouillage d’activation activé : si vous ne pouvez pas contourner la page Activer iPhone/iPad après un effacement complet, il n’est pas nécessaire de supprimer l’appareil de Endpoint Management. Vous ou l’utilisateur pouvez contacter l’assistance Apple pour débloquer l’appareil directement.
  • Lors d’un inventaire matériel, Endpoint Management interroge un appareil pour obtenir un code de contournement de verrouillage d’activation. Si un code de contournement est disponible, l’appareil l’envoie à Endpoint Management. Ensuite, pour supprimer le code de contournement de l’appareil, envoyez l’action de sécurisation Contourner le verrouillage d’activation à partir de la console Endpoint Management. À ce stade, Endpoint Management et Apple ont le code de contournement nécessaire pour débloquer l’appareil.
  • L’action de sécurisation Contourner le verrouillage d’activation repose sur la disponibilité d’un service d’Apple. Si l’action ne fonctionne pas, vous pouvez débloquer un appareil comme suit. Sur l’appareil, entrez manuellement les informations d’identification du compte iCloud. Ou, laissez le champ de nom d’utilisateur vide et tapez le code de contournement dans le champ de mot de passe. Pour rechercher le code de contournement, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Modifier et cliquez sur Propriétés. Le Code de contournement du verrouillage d’activation se trouve sous Informations de sécurité.