Réglages de l’entité de GAM Certificats pour appareils Apple
Vous pouvez configurer les réglages Certificats des Apple TV, iPhone, iPad et Mac inscrits à une solution de gestion des appareils mobiles (GAM). Servez-vous des entités Certificats pour ajouter des certificats et une identité à l’appareil.
Les entités Certificats prennent en charge les éléments ci-après. Pour plus d’informations, consultez Informations sur l’entité.
Identifiants de l’entité prise en charge : com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Systèmes d’exploitation et canaux pris en charge : iOS, iPadOS, iPad partagé, appareil sous macOS, utilisateur de macOS, tvOS, watchOS 10 et visionOS 1.1.
Types d’inscription compatibles : L’inscription d’utilisateurs, l’inscription d’appareils et l’inscription automatisée des appareils.
Doublons autorisés : True : plus d’une entité Certificats peut être distribuée à un utilisateur ou à un appareil.
Vous pouvez utiliser les réglages du tableau ci-dessous avec les entités Certificats.
Réglage | Description | Obligatoire | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nom de certificat | Le nom affiché pour le certificat. | Oui | |||||||||
Données de certificat ou d’identité | Les iPhone, iPad, Mac et Apple TV peuvent utiliser des certificats X.509 avec des clés RSA. Les formats et extensions de fichier reconnus sont :
Les fichiers PKCS12 comprennent aussi la clé privée et contiennent exactement une identité. Pour assurer la protection de la clé privée, les fichiers PKCS12 sont chiffrés à l’aide d’une phrase secrète. | Oui | |||||||||
Phrase secrète | Une phrase secrète utilisées pour sécuriser les informations d’identification. | Non | |||||||||
Remarque : Chaque fournisseur de GAM met en œuvre ces réglages différemment. Pour découvrir comment les différents réglages des certificats sont appliqués à vos appareils et utilisateurs, consultez la documentation de votre fournisseur de GAM.
Quand ajouter un certificat ou une identité
Lorsque vous installez un certificat racine, vous pouvez aussi installer les certificats intermédiaires afin de former une chaîne vers un certificat de confiance se trouvant sur l’appareil. Ceci peut être important pour des technologies comme 802.1X. Pour en savoir plus et obtenir la liste des certificats racines préinstallés sur les appareils Apple, consultez l’article de l’assistance Apple Liste des certificats racines de confiance offerts sous iOS 17, iPadOS 17, macOS 14, tvOS 17 et watchOS 10.
Si le certificat ou l’identité que vous souhaitez installer est dans votre trousseau, utilisez le Trousseau d’accès pour l’exporter en format PKCS12 (.p12). Le Trousseau d’accès est situé dans /Applications/Utilities/. Pour en savoir plus, consultez le Guide d’utilisation de Trousseaux d’accès.
Pour ajouter une identité à utiliser avec Microsoft Exchange ou Exchange ActiveSync, l’authentification unique, le VPN, et le réseau ou le Wi-Fi, utilisez cette entité.
Lors du déploiement d’un fichier PKCS12 (.p12 ou .pfx), si vous omettez la phrase secrète d’identité du certificat, le système demande aux utilisateurs de la saisir lorsque le profil est installé. Le contenu de l’entité est brouillé mais n’est pas chiffré. Si vous fournissez la phrase secrète, assurez-vous que seuls les utilisateurs autorisés ont accès au profil.
Plutôt que d’installer les certificats à l’aide d’un profil de configuration, vous pouvez laisser les utilisateurs utiliser Safari pour télécharger les certificats sur leur appareil à partir d’une page Web qui utilise ce certificat (vous ne devriez pas héberger le certificat). Vous pouvez aussi envoyer des certificats à des utilisateurs par courriel. Vous pouvez aussi utiliser le protocole SCEP (Simple Certificate Enrollment Protocol) Réglages de l’entité de GAM SCEP pour indiquer de quelle façon l’appareil obtient des certificats lorsque le profil est installé.
Certificats de confiance
Un certificat bénéficie automatiquement d’une confiance totale s’il est :
installé par une instance d’Apple Configurator qui dispose de la même identité de supervision que l’appareil;
automatiquement installé à partir d’une solution de GAM prise en charge;
installé manuellement par une entité jointe à un profil d’inscription qui provient d’une solution de GAM prise en charge.
Il est recommandé d’éviter de demander aux utilisateurs d’installer manuellement les certificats. Assurez-vous plutôt que l’entité Certificats se trouve dans le profil d’inscription à la GAM afin d’éviter l’étape d’approbation manuelle du certificat.