Méthodes d’inscription à la GAM au moyen de comptes pour les appareils Apple
L’inscription d’utilisateurs et d’appareils au moyen de comptes fournit aux utilisateurs et aux organisations une façon fluide et sécurisée de configurer les appareils Apple pour le travail en les connectant à l’aide d’un compte Apple géré.
Cette approche permet de connecter un compte Apple géré et un compte Apple personnel sur le même appareil, en offrant une séparation complète des données professionnelles et personnelles. Les utilisateurs préservent la confidentialité de leurs informations personnelles, tandis que le service des TI prend en charge les apps, les réglages et les comptes professionnels.
Pour permettre la prise en charge de cette séparation, les modifications suivantes ont été apportées au traitement des apps et des sauvegardes :
Lorsqu’un utilisateur supprime un profil d’inscription, toutes les configurations et tous les réglages sont également supprimés.
Les apps gérées sont systématiquement supprimées lors de la désinscription.
Les apps installées avant l’inscription à une solution de gestion des appareils mobiles (GAM) ne peuvent pas être converties en apps gérées.
La restauration d’une sauvegarde ne restaure pas l’inscription à la GAM.
Les utilisateurs qui se connectent avec leur compte Apple personnel ne peuvent pas accepter une invitation à la distribution d’une app gérée.
Même si les comptes Apple gérés peuvent être créés manuellement, les organisations peuvent bénéficier de l’intégration à un fournisseur d’identité, Google Workspace ou Microsoft Entra ID.
Pour en savoir plus sur l’authentification fédérée, consultez la rubrique Introduction à l’authentification fédérée pour Apple School Manager ou Introduction à l’authentification fédérée pour Apple Business Manager.
Processus d’inscription au moyen de comptes
Pour inscrire un appareil à l’aide de l’inscription d’utilisateurs ou d’appareils au moyen de comptes, l’utilisateur accède à Réglages > Général > VPN et gestion de l’appareil ou à Réglages système > Général > Gestion d’appareils, puis sélectionne le bouton « Se connecter au compte professionnel ou scolaire ».
Les quatre étapes de l’inscription à la GAM qui sont alors initiées sont les suivantes :
Découverte du service : L’appareil détermine l’URL d’inscription à la solution de GAM.
Jeton d’authentification et d’accès : L’utilisateur fournit les informations d’identification pour autoriser l’inscription et obtenir un jeton d’accès transmis à des fins d’authentification continue.
Inscription à la GAM : Le profil d’inscription est envoyé à l’appareil, à partir duquel l’utilisateur doit se connecter à son compte Apple géré pour terminer l’inscription.
Authentification continue : La solution de GAM vérifie en continu l’identité de l’utilisateur connecté à l’aide du jeton d’accès.
Étape 1 : Découverte du service
Tout d’abord, la découverte de services détermine l’URL d’inscription de la solution de GAM. Pour ce faire, il utilise l’identifiant saisi par l’utilisateur, par exemple eliza@betterbag.com. Le domaine doit être un nom de domaine complet (FQDN) qui annonce le service de GAM de l’organisation de l’utilisateur.
Le déroulement est comme suit :
Étape 1
L’appareil identifie le domaine dans l’identifiant fourni (dans l’exemple ci-dessus, betterbag.com).
Étape 2
L’appareil demande la ressource bien connue du domaine de l’organisation, par exemple https://<domain>/.well-known/com.apple.remotemanagement.
Le client inclut deux paramètres de requête dans le chemin URL de la requête HTTP GET :
user-identifier : La valeur de l’identifiant de compte saisi (dans l’exemple ci-dessus, eliza@betterbag.com).
model-family : La famille du modèle d’appareil (par exemple iPhone, iPad, Mac).
Remarque : L’appareil suit les demandes de redirection HTTP 3xx, ce qui permet au fichier com.apple.remotemanagement d’être hébergé sur un autre serveur accessible par l’appareil.
Grâce au processus de découverte de services sur les appareils sous iOS 18.2, iPadOS 18.2, macOS 15.2, visionOS 2.2, ou versions ultérieures, un appareil peut récupérer la ressource bien connue à partir d’un autre emplacement spécifié par la solution de GAM liée à Apple School Manager ou Apple Business Manager. La principale préférence de la découverte de services est encore la ressource bien connue du domaine de l’organisation. Si la demande échoue, l’appareil vérifie auprès d’Apple School Manager ou d’Apple Business Manager afin d’obtenir un autre emplacement de la ressource bien connue. Ce processus requiert que le domaine utilisé dans l’identifiant soit vérifié dans Apple School Manager ou Apple Business Manager. Pour en savoir plus, consultez la rubrique Ajouter et vérifier un domaine dans Apple School Manager ou Ajouter et vérifier un domaine dans Apple Business Manager.
Afin d’utiliser cette fonctionnalité, l’URL de découverte de services alternative doit être configurée par la solution de GAM liée à Apple School Manager et Apple Business Manager. Lorsque l’appareil s’adresse à Apple School Manager ou Apple Business Manager, le type d’appareil sert à déterminer la solution de GAM assignée pour ce type, le même processus que pour définir la solution de GAM par défaut pour l’inscription automatisée des appareils. Si la solution de GAM assignée a configuré une URL de découverte de services, l’appareil demande la ressource bien connue à partir de cet emplacement. Pour définir l’assignation d’appareil par défaut, consultez Définir l’assignation d’appareil par défaut dans Apple School Manager ou Définir l’assignation d’appareil par défaut dans Apple Business Manager.
La solution de GAM peut également héberger la ressource bien connue.
Étape 3
En réponse, le serveur qui héberge la ressource bien connue envoie un document JSON de découverte de services conforme au schéma suivant :
{ "Servers": [ { "Version": "<Version>", "BaseURL": "<BaseURL>" } ]}Les clés d’inscription à la GAM, leurs types et descriptions se trouvent dans le tableau suivant. Toutes les clés requises.
Clé | Type | Description |
|---|---|---|
Serveurs | Tableau | Une liste comptant une seule entrée. |
Version | Chaîne | Cette clé détermine la méthode d’inscription à utiliser et doit être soit |
BaseURL | Chaîne | L’URL d’inscription à la solution de GAM. |
Important : Le serveur doit s’assurer que le champ d'en-tête Content-Type dans la réponse HTTP est défini à application/json.
Étape 4
L’appareil envoie une demande HTTP POST à l’URL d’inscription spécifiée par la BaseURL.
Étape 2 : Jeton d’authentification et d’accès
Pour autoriser l’inscription, l’utilisateur doit s’authentifier avec la solution de GAM. Lorsque l’authentification est réussie, la solution de GAM émet un jeton d’accès à l’appareil. L’appareil stocke sécuritairement le jeton pour qu’il soit utilisé lors de l’autorisation de demandes ultérieures.
Le jeton d’accès :
est un élément central du processus d’authentification initial de même que de l’accès continu aux ressources de GAM;
sert de pont sécurisé entre le compte Apple géré de l’utilisateur et la solution de GAM;
est utilisé pour permettre un accès continu aux resources professionnelles pour toutes les inscriptions au moyen de comptes.
Sur l’iPhone, l’iPad et l’Apple Vision Pro, le processus d’authentification initial et continu peut être simplifié au moyen de l’authentification unique d’inscription pour réduire les demandes répétées d’authentification. Pour plus d’informations, consultez Authentification unique d’inscription pour l’iPhone, l’iPad et l’Apple Vision Pro.
Étape 3 : Inscription à la GAM
À l’aide du jeton d’accès, l’appareil peut s’authentifier avec la solution de GAM et accéder au profil d’inscription à la GAM. Ce profil contient toutes les informations nécessaires à l’appareil pour procéder à l’inscription. Pour terminer l’inscription, l’utilisateur doit se connecter à son compte Apple géré. Une fois l’inscription terminée, le compte Apple géré est affiché distinctement dans Réglages et Réglages système.
Pour plus d’informations sur les services iCloud disponibles aux utilisateurs, consultez Accès aux services iCloud.
Étape 4 : Authentification continue
Après l’inscription, le jeton d’accès reste actif et est inclus dans toutes les demandes à la solution de GAM utilisant l’en-tête HTTP Authorization. Ainsi, la solution de GAM vérifie en continu l’utilisateur, contribuant à assurer que seuls les utilisateurs autorisés aient accès aux ressources organisationnelles.
Les jetons d’accès expirent habituellement après une période définie. Dans ce cas, l’appareil pourrait inviter l’utilisateur à s’authentifier de nouveau pour renouveler le jeton d’accès. La revalidation périodique aide à sécuriser le téléversement, ce qui est important aussi bien pour les appareils personnels que pour ceux appartenant à l’organisation. Avec l’authentification unique d’inscription, le renouvellement de jeton est effectué automatiquement par le fournisseur d’identité de l’organisation, garantissant un accès ininterrompu sans nouvelle authentification.
En savoir plus sur la séparation des données de l’utilisateur et de l’organisation à l’aide des méthodes d’inscription au moyen de comptes
Une fois l’inscription de l’utilisateur ou de l’appareil au moyen de comptes terminée, des clés de chiffrement distinctes sont automatiquement créées sur l’appareil. Si l’appareil est désinscrit par l’utilisateur ou à distance au moyen de la GAM, ces clés de chiffrement sont détruites de façon sécuritaire. Les clés sont utilisées pour distinguer par chiffrement les données gérées dans le tableau ci-dessous :
Contenu | Versions des systèmes d’exploitation minimum prises en charge | Description | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Conteneurs de données des apps gérées | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les apps gérées utilisent le compte Apple géré associé à l’inscription de la GAM pour la synchronisation des données iCloud. Cela comprend les apps gérées (installées avec la clé | |||||||||
App Calendrier | iOS 16 iPadOS 16.1 macOS 13 visionOS 1.1 | Les événements sont distincts. | |||||||||
Les éléments de trousseau | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | L’app Mac tierce doit se servir de l’interface API du trousseau de protection des données. Pour en savoir plus, consultez la page de la variable globale kSecUseDataProtectionKeychain sur le site Web Apple Developer. | |||||||||
App Mail | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les pièces jointes et le corps des courriels sont distincts. | |||||||||
App Notes | iOS 15 iPadOS 15 macOS 14 visionOS 1.1 | Les notes sont distinctes. | |||||||||
App Rappels | iOS 17 iPadOS 17 macOS 14 visionOS 1.1 | Les rappels sont distincts. | |||||||||
Sur l’iPhone, l’iPad et l’Apple Vision Pro, les apps gérées et les documents Web gérés ont tous accès à l’iCloud Drive de l’organisation (qui apparaît distinctement dans l’app Fichiers une fois que l’utilisateur a connecté son appareil à son compte Apple géré). L’administrateur de la GAM peut contribuer à maintenir certains documents de l’utilisateur et de l’entreprise distincts en utilisant des restrictions précises. Pour plus d’informations, consultez Restrictions et fonctionnalités des apps gérées.
Si un utilisateur est connecté avec un compte Apple personnel et un compte Apple géré, Connexion avec Apple utilise automatiquement le compte Apple géré pour les apps gérées et le compte Apple personnel pour les apps non gérées. Lors de l’utilisation d’un flux de connexion dans Safari ou SafariWebView au sein d’une app gérée, l’utilisateur peut sélectionner et accéder à son compte Apple géré pour associer la connexion à son compte professionnel ou scolaire.
