Vous êtes sur la page 1sur 30

iPhone et iPad en entreprise

Scnarios de dploiement
Mars 2012
Dcouvrez, grce ces scnarios de dploiement, comment liPhone et liPad
sintgrent en toute transparence dans les environnements dentreprise.
Microsoft Exchange ActiveSync
Services standard
Rseaux privs virtuels (VPN)
Wi-Fi
Certificats numriques
Introduction la scurit
Gestion des appareils mobiles (MDM)
Apple Configurator

Dploiement de liPhone
et de liPad
Exchange ActiveSync

LiPhone et liPad peuvent communiquer directement avec votre serveur Microsoft


Exchange via Microsoft Exchange ActiveSync (EAS), autorisant la transmission en mode
push du courrier lectronique, des calendriers, des contacts et des tches. Exchange
ActiveSync fournit galement aux utilisateurs laccs la Liste dadresses globale et
aux administrateurs des capacits de mise en uvre de politiques de code dappareil
et deffacement distance. iOS prend en charge lauthentification tant de base que
par certificat pour Exchange ActiveSync. Si votre entreprise a actuellement Exchange
ActiveSync activ, elle a dj les services ncessaires en place pour prendre en charge
liPhone et liPad aucune configuration supplmentaire nest requise. Si vous avez
Exchange Server 2003, 2007 ou 2010 mais que votre socit dcouvre Exchange
ActiveSync, suivez les tapes ci-dessous.

Configuration dExchange ActiveSync


Prsentation de la configuration du rseau
Assurez-vous que le port 443 est ouvert sur le coupe-feu. Si votre entreprise utilise
Outlook Web Access, le port 443 est probablement dj ouvert.
Rgles de scurit Exchange ActiveSync
prises en charge
Effacement distance
Application dun code sur lappareil
Nombre minimum de caractres
Nombre maximum de tentatives (avant
effacement local)
Exiger la fois des chiffres et des lettres
Dlai dinactivit en minutes (de 1
60minutes)
Rgles Exchange ActiveSync
supplmentaires (pour Exchange 2007 et
2010 seulement)
Autoriser ou interdire les mots de passe
simples
Expiration du mot de passe
Historique des mots de passe
Intervalle dactualisation des rgles
Nombre minimum de caractres
complexes dans le mot de passe
Exiger la synchronisation manuelle
pendant litinrance
Autoriser lappareil photo
Autoriser la navigation web

Vrifiez quun certificat de serveur est install sur le serveur frontal et activez le
protocole SSL pour le rpertoire virtuel Exchange ActiveSync dans IIS.
Si un serveur Microsoft Internet Security and Acceleration (ISA) est utilis, vrifiez quun
certificat de serveur est install et mettez jour le serveur DNS public de manire ce
quil rsolve les connexions entrantes.
Assurez-vous que le DNS de votre rseau renvoie une adresse unique routable en
externe au serveur Exchange ActiveSync pour les clients intranet et Internet. Cest
obligatoire afin que lappareil puisse utiliser la mme adresse IP pour communiquer
avec le serveur lorsque les deux types de connexions sont actifs.
Si vous utilisez un serveur Microsoft ISA, crez un couteur web ainsi quune rgle de
publication daccs au client web Exchange. Consultez la documentation de Microsoft
pour plus de dtails.
Pour tous les coupe-feu et quipements rseau, dfinissez 30minutes le dlai
dexpiration de session. Pour en savoir plus sur les autres intervalles de pulsations et
de dlai dattente, consultez la documentation Microsoft Exchange ladresse http://
technet.microsoft.com/en-us/library/cc182270.aspx.
Configurez les fonctionnalits, les stratgies et les rglages en matire de scurit des
appareils mobiles laide dExchange System Manager. Pour Exchange Server 2007 et
2010, il faut utiliser la console de gestion Exchange.
Tlchargez et installez loutil Microsoft Exchange ActiveSync Mobile Administration
Web Tool, qui est ncessaire afin de lancer un effacement distance. Pour Exchange
Server 2007 et 2010, un effacement distance peut aussi tre lanc laide dOutlook
Web Access ou de la console de gestion Exchange.

Authentification de base (nom dutilisateur et mot de passe)


Activez Exchange ActiveSync pour certains utilisateurs ou groupes laide du service
Active Directory. Ces fonctionnalits sont actives par dfaut sur tous les appareils
mobiles au niveau organisationnel dans Exchange Server 2003, 2007 et 2010. Pour
Exchange Server 2007 et 2010, voir loption Configuration du destinataire dans la
console de gestion Exchange.
Par dfaut, Exchange ActiveSync est configur pour lauthentification de base des
utilisateurs. Il est recommand dactiver le protocole SSL pour lauthentification de base
afin que les rfrences soient chiffres lors de lauthentification.
Authentification par certificat
Installez les services de certificats dentreprise sur un contrleur de domaine ou
un serveur membre de votre domaine (celui-ci sera votre serveur dautorit de
certification).
Configurez IIS sur votre serveur frontal Exchange ou votre Serveur dAccs Client
afin daccepter lauthentification par certificats pour le rpertoire virtuel Exchange
ActiveSync.
Autres services Exchange ActiveSync
Consultation de la liste dadresses globale
(GAL)
Acceptation et cration dinvitations dans
le calendrier
Synchronisation des tches
Signalisation de-mails par des drapeaux
Synchronisation des repres Rpondre et
Transfrer laide dExchange Server 2010
Recherche de courrier lectronique sur
Exchange Server 2007 et 2010
Prise en charge de plusieurs comptes
Exchange ActiveSync
Authentification par certificat
Envoi de courrier lectronique en mode
push vers des dossiers slectionns
Autodiscover

Pour autoriser ou exiger des certificats pour tous les utilisateurs, dsactivez
Authentification de base et slectionnez Accepter les certificats clients ou
Exiger les certificats clients.
Gnrez les certificats clients au moyen de votre serveur dautorit de certification.
Exportez la cl publique et configurez IIS de manire utiliser cette cl. Exportez la cl
prive et utilisez un Profil de configuration pour fournir cette cl liPhone et liPad.
Lauthentification par certificats peut uniquement tre configure laide dun Profil de
configuration.
Pour en savoir plus sur les services de certificats, reportez-vous aux ressources
disponibles auprs de Microsoft.

Scnario de dploiement dExchange ActiveSync


Cet exemple montre comment liPhone et liPad se connectent un dploiement Microsoft Exchange Server 2003, 2007 ou 2010
standard.
Cl prive (Certificat)
Coupe-feu

Serveur de
certificats

Coupe-feu

Profil de configuration

443
3

1
Internet

Active Directory

Cl publique
(Certificat)

2
Serveur proxy

Serveur frontal Exchange ou


serveur daccs au client
4

6
Serveur Mail Gateway ou
Edge Transport*

Serveur Bridgehead ou
Hub Transport

Bote lettres ou
serveur(s) principaux
Exchange

*Selon la configuration de votre rseau, le serveur Mail Gateway ou Edge Transport peut rsider dans la zone dmilitarise (DMZ).

LiPhone et liPad demandent laccs aux services Exchange ActiveSync via le port443 (HTTPS). (Il sagit du mme port utilis
pour Outlook Web Access et dautres services web scuriss. Dans de nombreux dploiements, ce port est donc dj ouvert et
configur pour autoriser un trafic HTTPS avec chiffrement SSL.)

ISA offre un accs au serveur frontal Exchange ou au serveur daccs au client. ISA est configur comme un proxy ou, dans de
nombreux cas, comme un proxy inverse, pour acheminer le trafic vers le serveur Exchange.

Le serveur Exchange identifie lutilisateur entrant laide du service Active Directory et du serveur de certificats (si vous utilisez
une authentification par certificats).

Si lutilisateur saisit les informations didentification correctes et a accs aux services Exchange ActiveSync, le serveur frontal
tablit une connexion la bote de rception correspondante sur le serveur principal (via le catalogue global Active Directory).

La connexion Exchange ActiveSync est tablie. Les mises jour/modifications sont envoyes en mode push (Over The Air ou
OTA) et les modifications effectues sur iPhone et iPad sont rpercutes sur le serveur Exchange.

Les courriers lectroniques envoys sont galement synchroniss avec le serveur Exchange via Exchange ActiveSync (tape5).
Pour acheminer le courrier lectronique sortant vers des destinataires externes, celui-ci est gnralement envoy par le
biais dun serveur Bridgehead (ou Hub Transport) vers une passerelle Mail (ou Edge Transport) externe via SMTP. Selon la
configuration de votre rseau, la passerelle Mail ou le serveur Edge Transport externe peut rsider dans la zone dmilitarise ou
lextrieur du coupe-feu.

2012 Apple Inc. Tous droits rservs. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques dApple Inc., dposes aux tats-Unis et dans dautres pays. Les autres noms de produits et de socits
mentionns dans ce document peuvent tre des marques de leurs socits respectives. Les caractristiques des produits sont sujettes modification sans pravis. Les informations contenues dans ce
document sont fournies titre indicatif uniquement; Apple nassume aucune responsabilit quant leur utilisation. Mars 2012

Dploiement de liPhone
et de liPad
Services standard

Grce sa prise en charge du protocole de messagerie IMAP, des services dannuaire


LDAP et des protocoles de calendriers CalDAV et de contacts CardDAV, iOS peut sintgrer
la quasi-totalit des environnements standard de courrier lectronique, calendriers et
contacts. Si lenvironnement rseau est configur de manire exiger lauthentification de
lutilisateur et SSL, liPhone et liPad offrent une approche hautement scurise de laccs
aux e-mails, calendriers, tches et contacts de lentreprise.

Ports communs
IMAP/SSL: 993
SMTP/SSL: 587
LDAP/SSL: 636
CalDAV/SSL: 8443, 443
CardDAV/SSL: 8843, 443
Solutions de messagerie IMAP ou POP
iOS prend en charge les serveurs
de messagerie compatibles avec les
protocoles IMAP4 et POP3 sur une large
gamme de systmes dexploitation, y
compris Windows, UNIX, Linux et Mac
OS X.
Standards CalDAV et CardDAV
iOS prend en charge les protocoles de
calendrier CalDAV et de contacts CardDAV.
Ces deux protocoles ont t standardiss
par lIETF. Pour en savoir plus, consultez le
site du consortium CalConnect ladresse
http://caldav.calconnect.org/ et
http://carddav.calconnect.org/.

Dans un dploiement type, liPhone et liPad tablissent un accs direct aux serveurs de
messagerie IMAP et SMTP afin de recevoir et denvoyer les e-mails distance (OverThe-Air) et ils peuvent galement synchroniser sans fil les notes avec les serveurs
IMAP. Les appareils iOS peuvent se connecter aux annuaires LDAPv3 de votre socit, ce
qui permet aux utilisateurs daccder aux contacts de lentreprise dans les applications
Mail, Contacts et Messages. La synchronisation avec votre serveur CalDAV permet aux
utilisateurs de crer et daccepter des invitations de calendrier, de recevoir des mises
jour de calendriers et de synchroniser des tches avec lapp Rappels, le tout sans fil. Et la
prise en charge de CardDAV permet vos utilisateurs de synchroniser en permanence
un ensemble de contacts avec votre serveur CardDAV laide du format vCard. Tous
les serveurs rseau peuvent se trouver au sein dun sous-rseau de zone dmilitarise,
derrire un coupe-feu dentreprise, ou les deux. Avec SSL, iOS prend en charge le
chiffrement 128bits et les certificats racine X.509 publis par les principales autorits de
certification.

Configuration rseau
Votre administrateur informatique ou rseau devra suivre ces tapes essentielles pour
permettre un accs direct aux services IMAP, LDAP, CalDAV et CardDAV partir de
liPhone et de liPad:
Ouvrez les ports appropris sur le coupe-feu. Les ports sont souvent les suivants: 993
pour le courrier lectronique IMAP, 587 pour le courrier lectronique SMTP, 636 pour les
services dannuaire LDAP, 8443 pour les calendriers CalDAV et 8843 pour les contacts
CardDAV. Il est galement recommand que la communication entre votre serveur proxy
et vos serveurs principaux IMAP, LDAP, CalDAV et CardDAV soit configure pour utiliser
SSL et que les certificats numriques de vos serveurs rseau soient mis par une autorit
de certification (AC) de confiance telle que VeriSign. Cette tape essentielle garantit que
liPhone et liPad reconnaissent votre serveur proxy en tant quentit de confiance au sein
de linfrastructure de votre entreprise.
Pour le courrier SMTP sortant, les ports 587, 465 ou 25 doivent tre ouverts pour
permettre lenvoi du courrier lectronique. iOS vrifie automatiquement le port587, puis
le port465, et enfin le port25. Le port587 est le port le plus fiable et le plus sr car il
ncessite lidentification de lutilisateur. Le port 25 ne ncessite pas didentification et
certains FAI le bloquent par dfaut pour viter le courrier indsirable.

Scnario de dploiement
Cet exemple montre comment liPhone et liPad se connectent un dploiement IMAP, LDAP, CalDAV et CardDAV classique.
Coupe-feu

Coupe-feu
3

636
(LDAP)

Serveur dannuaires
LDAP

8443
(CalDAV)

4
Serveur CalDAV

2
Serveur proxy inverse

Internet

8843
(CardDAV)
993 (IMAP)
587 (SMTP)

5
Serveur CardDAV

6
Mail Server

LiPhone et liPad demandent laccs aux services rseau sur les ports dsigns.

En fonction du service, les utilisateurs doivent sauthentifier soit sur le proxy inverse, soit directement auprs du serveur pour
obtenir laccs aux donnes de lentreprise. Dans tous les cas, les connexions sont relayes par le proxy inverse, qui se comporte
comme une passerelle scurise, en gnral derrire le coupe-feu Internet de lentreprise. Une fois authentifis, les utilisateurs
peuvent accder aux donnes de lentreprise sur les serveurs principaux.

LiPhone et liPad offrent des services de consultation des annuaires LDAP, ce qui permet aux utilisateurs de rechercher des
contacts et autres donnes de carnet dadresses sur le serveur LDAP.

Pour les calendriers CalDAV, les utilisateurs peuvent accder aux calendriers et les mettre jour.

Les contacts CardDAV sont stocks sur le serveur et sont galement accessibles en local sur iPhone et iPad. Les changements
apports aux champs dans les contacts CardDAV sont ensuite synchroniss avec le serveur CardDAV.

Concernant les services de messagerie IMAP, les messages nouveaux et anciens peuvent tre lus sur iPhone et iPad au travers de
la connexion proxy avec le serveur de messagerie. Les e-mails sortants sont envoys au serveur SMTP, des copies tant places
dans le dossier des messages envoys de lutilisateur.

2012 Apple Inc. Tous droits rservs. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques dApple Inc., dposes aux tats-Unis et dans dautres pays. UNIX est une marque dpose de The Open
Group. Les autres noms de produits et de socits mentionns dans ce document appartiennent leurs propritaires respectifs. Les caractristiques des produits sont sujettes modification sans pravis.
Les informations contenues dans ce document sont fournies titre indicatif uniquement; Apple nassume aucune responsabilit quant leur utilisation. Mars 2012

Dploiement de liPhone
et de liPad
Rseaux privs virtuels (VPN)

Laccs scuris aux rseaux dentreprise privs est disponible sur iPhone et iPad via des
protocoles de rseau priv virtuel (VPN) standard bien tablis. Les utilisateurs peuvent
facilement se connecter aux systmes des entreprises via le client VPN intgr ou via des
applications tierces de Juniper Networks, Cisco, SonicWALL, Check Point, ArubaNetworks
et F5 Networks.
iOS prend immdiatement en charge les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. Si
votre organisation prend en charge lun de ces protocoles, aucune configuration rseau ni
application tierce nest ncessaire pour connecter liPhone et liPad votre VPN.
En outre, iOS prend en charge les VPN SSL pour laccs aux serveurs VPN SSL de
Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks.
Pour commencer, il suffit aux utilisateurs de se rendre sur lApp Store et de tlcharger
une application client VPN dveloppe par lune de ces socits. Comme pour dautres
protocoles VPN pris en charge par iOS, les VPN SSL peuvent tre configurs manuellement
sur lappareil ou via un Profil de configuration.
iOS prend en charge les technologies standard comme IPv6, les serveurs proxy et la
tunnelisation partage, offrant une riche exprience VPN pour la connexion aux rseaux
dentreprise. iOS est galement compatible avec diffrents modes dauthentification
comme le mot de passe, lauthentification deux facteurs et les certificats numriques.
Pour simplifier la connexion dans des environnements o lauthentification par certificats
est utilise, iOS intgre le VPN la demande, qui lance de faon dynamique une session
VPN lors de la connexion aux domaines spcifis.

Protocoles et modes dauthentification pris en charge


VPN SSL
Prend en charge lauthentification des utilisateurs par mot de passe, jeton deux facteurs
et certificat.
IPSec Cisco
Prend en charge lauthentification des utilisateurs par mot de passe, jeton deux facteurs,
et lauthentification des appareils par secret partag et certificat.
L2TP via IPSec
Prend en charge lauthentification des utilisateurs par mot de passe MS-CHAP v2, jeton
deux facteurs et lauthentification des appareils par secret partag.
PPTP
Prend en charge lauthentification des utilisateurs par mot de passe MS-CHAP v2 et jeton
deux facteurs.

VPN la demande
Pour les configurations utilisant lauthentification par certificat, iOS est compatible
avec le VPN la demande. Le VPN la demande peut tablir automatiquement une
connexion lors de laccs des domaines prdfinis, ce qui procure aux utilisateurs une
connectivit VPN totalement transparente.
Cette fonctionnalit diOS ne ncessite pas de configuration supplmentaire du serveur.
La configuration du VPN la demande se droule via un Profil de configuration ou
peut tre effectue manuellement sur lappareil.
Les options de VPN la demande sont les suivantes:
Toujours
Lance une connexion VPN pour toute adresse qui correspond au domaine spcifi.
Jamais
Ne lance pas de connexion VPN pour les adresses qui correspondent au domaine
spcifi, mais si le VPN est dj actif, il peut tre utilis.
tablir si ncessaire
Lance une connexion VPN pour les adresses qui correspondent au domaine spcifi
seulement si une recherche DNS a chou.

Configuration VPN
iOS sintgre avec de nombreux rseaux VPN existants et ne demande quune
configuration minimale. La meilleure faon de prparer le dploiement consiste
vrifier si les protocoles VPN et les modes dauthentification utiliss par votre
entreprise sont pris en charge par iOS.
Il est aussi recommand de vrifier le chemin dauthentification jusqu votre serveur
dauthentification pour vous assurer que les normes prises en charge par iOS sont
actives au sein de votre implmentation.
Si vous comptez utiliser lauthentification par certificats, assurez-vous que votre
infrastructure cl publique est configure de manire prendre en charge
les certificats dappareil et dutilisateur avec le processus de distribution de cls
correspondant.
Si vous souhaitez configurer des rglages proxy propres une URL, placez un fichier
PAC sur un serveur web qui soit accessible avec les rglages VPN de base et assurezvous quil soit hberg avec le type MIME application/x-ns-proxy-autoconfig.

Configuration du proxy
Pour toutes les configurations, vous pouvez aussi spcifier un proxy VPN. Pour
configurer un seul proxy pour toutes les connexions, utilisez le paramtre Manuel et
fournissez ladresse, le port et lauthentification si ncessaire. Pour attribuer lappareil
un fichier de configuration automatique du proxy laide de PAC ou WPAD, utilisez
le paramtre Auto. Pour PACS, spcifiez lURL du fichier PACS. Pour WPAD, liPhone et
liPad interrogeront les serveurs DHCP et DNS pour obtenir les bons rglages.

Scnario de dploiement
Cet exemple prsente un dploiement standard avec un serveur/concentrateur VPN et avec un serveur dauthentification contrlant
laccs aux services rseau de lentreprise.
Coupe-feu

Coupe-feu

3a

3b

Authentification
Certificat ou jeton

Serveur dauthentification VPN


Gnration du jeton ou authentification par certificat

Service dannuaire

4
Serveur/concentrateur VPN
Rseau priv

5
Internet public

Serveur proxy

LiPhone et liPad demandent laccs aux services rseau.

Le serveur/concentrateur VPN reoit la requte, puis la transmet au serveur dauthentification.

Dans un environnement dauthentification deux facteurs, le serveur dauthentification gnre alors le jeton synchronis en
temps avec le serveur de cls. Si une mthode dauthentification par certificat est dploye, un certificat didentit doit tre
distribu avant lauthentification. Si une mthode par mots de passe est dploye, la procdure dauthentification se poursuit
avec la validation de lutilisateur.

Une fois lutilisateur authentifi, le serveur dauthentification valide les stratgies dutilisateur et de groupe.

Une fois les stratgies dutilisateur et de groupe valides, le serveur VPN autorise un accs chiffr par tunnel aux services rseau.
Si un serveur proxy est utilis, liPhone et liPad se connectent via le serveur proxy pour accder aux informations en dehors du
coupe-feu.

2012 Apple Inc. Tous droits rservs. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques dApple Inc., dposes aux tats-Unis et dans dautres pays. App Store est une marque de service
dApple Inc. Les autres noms de produits et de socits mentionns dans ce document appartiennent leurs propritaires respectifs. Les caractristiques des produits sont sujettes modification sans
pravis. Les informations contenues dans ce document sont fournies titre indicatif uniquement; Apple nassume aucune responsabilit quant leur utilisation. Mars 2012

Dploiement de liPhone
et de liPad
Wi-Fi

Ds la sortie de lemballage, liPhone et liPad peuvent se connecter en toute scurit


aux rseaux Wi-Fi dentreprise ou dinvits, ce qui permet de dtecter rapidement et
facilement les rseaux sans fil disponibles, o que vous soyez.
iOS prend en charge les protocoles rseau sans fil standard comme le WPA2 Enterprise,
garantissant une configuration rapide et un accs scuris aux rseaux sans fil
dentreprise. Le protocole WPA2 Enterprise utilise le chiffrement AES sur 128bits, une
mthode de chiffrement par blocs qui a fait ses preuves et qui garantit aux utilisateurs
un haut degr de protection de leurs donnes.
Avec la prise en charge du protocole 802.1x, iOS peut sintgrer dans une grande varit
denvironnements dauthentification RADIUS. Parmi les mthodes dauthentification sans
fil 802.1x prises en charge par liPhone et liPad, figurent EAP-TLS, EAP-TTLS, EAP-FAST,
EAP-SIM, PEAPv0, PEAPv1 et LEAP.

Protocoles de scurit sans fil


WEP
WPA Personal
WPA Enterprise
WPA2 Personal
WPA2 Enterprise
Mthodes dauthentification 802.1x
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
PEAPv0 (EAP-MS-CHAP v2)
PEAPv1 (EAP-GTC)
LEAP

Les utilisateurs peuvent rgler liPhone et liPad pour se connecter automatiquement


aux rseaux Wi-Fi disponibles. Les rseaux Wi-Fi qui ncessitent une identification ou
dautres informations peuvent tre rapidement accessibles sans ouvrir une session de
navigation distincte, partir des rglages Wi-Fi ou au sein dapplications comme Mail.
Et la connectivit Wi-Fi permanente faible consommation permet aux applications
dutiliser les rseaux Wi-Fi pour envoyer des notifications en mode push.
Pour faciliter la configuration et le dploiement, les rglages de rseau sans fil, de
scurit, de proxy et dauthentification peuvent tre dfinis laide de profils de
configuration.

Configuration du protocole WPA2 Enterprise


Vrifiez que les quipements rseau sont compatibles et slectionnez un type
dauthentification (type EAP) pris en charge par iOS.
Assurez-vous que 802.1x est activ sur le serveur dauthentification et, si ncessaire,
installez un certificat de serveur et affectez des autorisations daccs rseau aux
utilisateurs et groupes.
Configurez des points daccs sans fil pour lauthentification 802.1x et saisissez les
informations correspondantes sur le serveur RADIUS.
Si vous comptez utiliser lauthentification par certificats, configurez votre infrastructure
cl publique de manire prendre en charge les certificats dappareil et dutilisateur
avec le processus de distribution de cls correspondant.
Vrifiez que le format des certificats est compatible avec le serveur dauthentification.
iOS prend en charge PKCS#1 (.cer, .crt, .der) et PKCS#12.
Des informations complmentaires sur les protocoles rseau sans fil et sur le protocole
Wi-Fi Protected Access (WPA) sont disponibles ladresse www.wi-fi.org.

11

Scnario de dploiement WPA2 Enterprise/802.1X


Cet exemple prsente un dploiement sans fil scuris standard tirant parti de lauthentification RADIUS.
Serveur dauthentification
avec prise en charge
802.1X (RADIUS)

Coupe-feu

Services dannuaire

Certificat ou mot
de passe bas sur
le type EAP

Point daccs sans fil


avec prise en charge
802.1X

Services rseau

LiPhone et liPad demandent laccs au rseau. La connexion est lance soit en rponse un utilisateur slectionnant un rseau
sans fil disponible, soit automatiquement aprs dtection dun rseau pralablement configur.

Lorsque le point daccs reoit la requte, celle-ci est transmise au serveur RADIUS pour authentification.

Le serveur RADIUS identifie le compte utilisateur laide du service dannuaire.

Une fois lutilisateur identifi, le point daccs ouvre laccs rseau en fonction des stratgies et des autorisations dfinies par le
serveur RADIUS.

2012 Apple Inc. Tous droits rservs. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques dApple Inc., dposes aux tats-Unis et dans dautres pays. Les autres noms de produits et de socits
mentionns dans ce document peuvent tre des marques de leurs socits respectives. Les caractristiques des produits sont sujettes modification sans pravis. Les informations contenues dans ce
document sont fournies titre indicatif uniquement; Apple nassume aucune responsabilit quant leur utilisation. Mars 2012

Dploiement de liPhone
et de liPad
Certificats numriques

iOS prend en charge les certificats numriques, offrant aux utilisateurs dentreprise un
accs scuris et simplifi aux services dentreprise. Un certificat numrique est compos
dune cl publique, dinformations sur lutilisateur et de lautorit de certification qui a
mis le certificat. Les certificats numriques sont une forme didentification qui permet
une authentification simplifie, lintgrit des donnes et le chiffrement.
Sur iPhone et iPad, les certificats peuvent tre utiliss de diffrentes manires. La
signature des donnes laide dun certificat numrique aide garantir que les
informations ne seront pas modifies. Les certificats peuvent aussi tre utiliss pour
garantir lidentit de lauteur ou signataire. En outre, ils peuvent tre utiliss pour
chiffrer les profils de configuration et les communications rseau afin de mieux protger
les informations confidentielles ou prives.

Utilisation des certificats sur iOS


Certificats numriques
Formats de certificats et didentit pris
en charge:
iOS prend en charge les certificats X.509
avec des cls RSA.
Les extensions de fichiers .cer, .crt, .der, .p12
et .pfx sont reconnues.
Certificats racine
Les appareils iOS incluent diffrents
certificats racine prinstalls. Pour
consulter la liste des racines systme
prinstalles, consultez larticle Assistance
Apple ladresse http://support.apple.
com/kb/HT4415?viewlocale=fr_FR. Si vous
utilisez un certificat racine qui nest pas
prinstall, comme un certificat racine
auto-sign cr par votre entreprise,
vous pouvez le diffuser laide dune
des mthodes mentionnes la
section Distribution et installation des
certificats de ce document.

Les certificats numriques peuvent tre utiliss pour lauthentification en toute scurit des
utilisateurs pour les services dentreprise, sans ncessiter de noms dutilisateurs, de mots
de passe ni de jetons. Sous iOS, lauthentification par certificat est prise en charge pour
grer laccs aux rseaux Microsoft Exchange ActiveSync, VPN et Wi-Fi.

Autorit
de certification

Demande
dauthentification

Services dentreprise
Intranet, Email, VPN, Wi-Fi

Service
dannuaire

Certificats de serveur
Les certificats numriques peuvent aussi tre utiliss pour valider et chiffrer les
communications rseau. La connexion aux sites web internes et externes est ainsi
scurise. Le navigateur Safari peut vrifier la validit dun certificat numrique X.509 et
configurer une session scurise laide dun chiffrement AES sur 256bits. Le navigateur
sassure ainsi que lidentit du site est lgitime et que la communication avec le site web
est chiffre pour viter toute interception de donnes personnelles ou confidentielles.

Requte HTTPS

Services rseau

Autorit
de certification

13

Distribution et installation des certificats


La distribution de certificats sur iPhone et iPad est trs simple. la rception dun
certificat, les utilisateurs touchent tout simplement lcran pour en lire le contenu, puis
le touchent nouveau pour ajouter le certificat leur appareil. Lorsquun certificat
didentit est install, les utilisateurs sont invits entrer le mot de passe correspondant.
Si lauthenticit dun certificat ne peut tre vrifie, un message davertissement sera
prsent aux utilisateurs avant quil ne soit ajout leur appareil.

Installation des certificats via les profils de configuration


Si des profils de configuration sont utiliss pour distribuer les rglages destins des
services dentreprise comme Exchange, VPN ou Wi-Fi, les certificats peuvent tre ajouts
au profil afin de simplifier le dploiement.

Installation de certificats via Mail ou Safari


Si un certificat est envoy par e-mail, il apparatra sous forme de pice jointe. Safari
peut tre utilis pour tlcharger des certificats partir dune page web. Vous pouvez
hberger un certificat sur un site web scuris et fournir aux utilisateurs ladresse URL o
ils peuvent tlcharger le certificat sur leurs appareils.

Installation via le protocole SCEP (Simple Certificate Enrollment Protocol)


Le protocole SCEP est conu pour fournir un processus simplifi permettant de grer
la distribution des certificats pour des dploiements grande chelle. Cela permet
une inscription distance (ou inscription en mode OTA) des certificats numriques sur
iPhone et iPad, qui peuvent ensuite tre utiliss pour lauthentification auprs de services
dentreprise, ainsi que linscription auprs dun serveur de gestion des appareils mobiles.
Pour en savoir plus sur le protocole SCEP et linscription distance (en mode OTA),
consultez la page www.apple.com/fr/iphone/business/resources.

Suppression et rvocation de certificats


Pour supprimer manuellement un certificat qui a t install, choisissez Rglages >
Gnral > Profils. Si vous supprimez un certificat qui est ncessaire pour accder un
compte ou un rseau, lappareil ne pourra plus se connecter ces services.
Pour supprimer des certificats distance, un serveur de gestion des appareils mobiles
(MDM) peut tre utilis. Ce serveur peut voir tous les certificats qui se trouvent sur un
appareil et supprimer ceux quil a installs.
En outre, le protocole OCSP (Online Certificate Status Protocol) est pris en charge pour
vrifier ltat des certificats. Lorsquun certificat compatible OCSP est utilis, iOS le valide
afin de sassurer quil na pas t rvoqu avant daccomplir la tche demande.

2012 Apple Inc. Tous droits rservs. Apple, le logo Apple, iPhone, iPad, Mac OS et Safari sont des marques dApple Inc., dposes
aux tats-Unis et dans dautres pays. Les autres noms de produits et de socits mentionns dans ce document peuvent tre des
marques de leurs socits respectives. Les caractristiques des produits sont sujettes modification sans pravis. Les informations
contenues dans ce document sont fournies titre indicatif uniquement; Apple nassume aucune responsabilit quant leur
utilisation. Mars 2012

Dploiement de liPhone
et de liPad
Introduction la scurit

iOS, le systme dexploitation qui est au cur de liPhone et de liPad, repose sur plusieurs
niveaux de scurit. Cela permet liPhone et liPad daccder en toute scurit aux
diffrents services dentreprise et dassurer la protection des donnes importantes. iOS
assure un haut niveau de chiffrement des donnes transmises, applique des mthodes
dauthentification prouves pour laccs aux services dentreprise et assure le
chiffrement matriel de toutes les donnes stockes sur lappareil. iOS offre galement un
haut niveau de protection grce lutilisation de rgles de code dappareil, qui peuvent
tre appliques et distribues distance. Et si un appareil tombe entre de mauvaises
mains, les utilisateurs et les administrateurs informatiques peuvent lancer un effacement
distance pour supprimer toutes les informations confidentielles de lappareil.
Lors de lvaluation de la scurit diOS en vue de son utilisation en entreprise, il est utile
de sintresser aux points suivants:
Scurit de lappareil: mthodes empchant toute utilisation non autorise de lappareil
Scurit des donnes: protection des donnes au repos (en cas de perte ou de vol)
Scurit rseau: protocoles de rseau et chiffrement des donnes transmises
Scurit des apps: plate-forme de base scurise diOS

Scurit des appareils


Codes dappareils forts
Expiration des codes dappareil
Historique de rutilisation des codes
Nombre maximal de tentatives infructueuses
Application des codes distance
Dlai dexpiration progressif des codes

Ces capacits fonctionnent de concert pour offrir une plate-forme informatique mobile
scurise.

Scurit de lappareil
Ltablissement de rgles strictes daccs aux iPhone et iPad est essentiel pour assurer la
protection des donnes dentreprise. Lapplication de codes dappareil, qui peuvent tre
configurs et appliqus distance, constitue la ligne de front de la dfense contre laccs
non autoris. Les appareils iOS utilisent le code unique dfini par chaque utilisateur afin
de gnrer une cl de chiffrement scurise et ainsi protger les e-mails et les donnes
dapplication sensibles sur lappareil. iOS fournit en plus des mthodes scurises pour
configurer lappareil dans un environnement dentreprise o des rglages, des rgles et
des restrictions spcifiques doivent tre appliqus. Ces mthodes offrent un vaste choix
doptions pour tablir un niveau de protection standard pour les utilisateurs autoriss.
Rgles de code dappareil
Un code dappareil empche les utilisateurs non autoriss daccder aux donnes
stockes sur lappareil ou dutiliser ce dernier. iOS propose un grand nombre de rgles
daccs conues pour rpondre vos besoins en matire de scurit (dlais dexpiration,
niveau de scurit et frquence de changement du code daccs, par exemple).
Les rgles suivantes sont prises en charge:
Exiger un code sur lappareil
Accepter les valeurs simples
Exiger une valeur alphanumrique
Nombre minimum de caractres
Nombre minimum de caractres complexes
Dure de vie maximum du code
Dlai avant verrouillage automatique
Historique des codes
Dlai supplmentaire pour le verrouillage de lappareil
Nombre maximum de tentatives

15

Application des rgles


Les rgles dcrites prcdemment peuvent tre configures de diffrentes faons
sur iPhone et iPad. Les rgles peuvent tre distribues dans le cadre dun profil de
configuration installer par les utilisateurs. Un profil peut tre dfini de sorte quun mot
de passe dadministrateur soit obligatoire pour pouvoir le supprimer, ou vous pouvez
dfinir le profil de faon ce quil soit verrouill sur lappareil et quil soit impossible de
le supprimer sans effacer compltement le contenu de lappareil. Par ailleurs, les rglages
des mots de passe peuvent tre configurs distance laide de solutions de gestion des
appareils mobiles (MDM) qui peuvent transmettre directement les rgles lappareil. Cela
permet dappliquer et de mettre jour les rgles sans intervention de lutilisateur.
Nanmoins, si lappareil est configur pour accder un compte Microsoft Exchange,
les rgles Exchange ActiveSync sont pousses sur lappareil via une connexion sans
fil. Noubliez pas que les rgles disponibles varient en fonction de la version dExchange
(2003, 2007 ou 2010). Consultez le document Exchange ActiveSync et les appareils iOS
pour prendre connaissance de la liste des rgles prises en charge en fonction de votre
configuration.
Rgles et restrictions configurables
prises en charge:
Fonctionnalit des appareils
Autoriser linstallation dapps
Autoriser Siri
Autoriser Siri lorsque lappareil est verrouill
Autoriser lutilisation de lappareil photo
Autoriser FaceTime
Autoriser la capture dcran
Permettre la synchronisation automatique en
dplacement
Permettre la composition vocale de numros
Autoriser les achats intgrs
Exiger le mot de passe iTunes Store pour les
achats
Autoriser les jeux multijoueurs
Autoriser lajout damis dans Game Center
Applications
Autoriser lutilisation de YouTube
Autoriser lutilisation de liTunes Store
Autoriser lutilisation de Safari
Dfinir les prfrences de scurit de Safari
iCloud
Autoriser la sauvegarde
Autoriser la synchronisation des documents et
des valeurs cls
Autoriser Flux de photos
Scurit et confidentialit
Autoriser lenvoi Apple des donnes de
diagnostic
Autoriser lutilisateur accepter des certificats
non fiables
Forcer les sauvegardes chiffres
Classement du contenu
Autoriser la musique et les podcasts contenu
explicite
Dfinir la rgion du classement
Dfinir les classements de contenus autoriss

Configuration scurise des appareils


Les profils de configuration sont des fichiers XML qui contiennent les rgles de scurit
et les restrictions applicables un appareil, les informations sur la configuration des
rseaux VPN, les rglages Wi-Fi, les comptes de courrier lectronique et de calendrier et
les rfrences dauthentification qui permettent liPhone et liPad de fonctionner avec
les systmes de votre entreprise. La possibilit dtablir des rgles de code et de dfinir
des rglages dans un profil de configuration garantit que les appareils utiliss dans votre
entreprise sont configurs correctement et selon les normes de scurit dfinies par
votre organisation. Et comme les profils de configuration peuvent tre la fois chiffrs et
verrouills, il est impossible den supprimer, modifier ou partager les rglages.
Les profils de configuration peuvent tre la fois signs et chiffrs. Signer un profil
de configuration garantit que les rglages appliqus ne peuvent tre modifis. Le
chiffrement dun profil de configuration protge le contenu du profil et permet de
lancer linstallation uniquement sur lappareil pour lequel il a t cr. Les profils de
configuration sont chiffrs laide de CMS (Cryptographic Message Syntax, RFC 3852),
prenant en charge 3DES et AES 128.
La premire fois que vous distribuez un profil de configuration chiffr, vous pouvez
linstaller via USB laide de lUtilitaire de configuration ou sans fil via linscription
distance (en mode OTA). Par ailleurs, une autre distribution de profils de configuration
chiffrs peut ensuite tre effectue par e-mail, sous forme de pice jointe, hberge sur
un site web accessible vos utilisateurs ou pousse vers lappareil laide de solutions
MDM.
Restrictions de lappareil
Les restrictions de lappareil dterminent quelles fonctionnalits vos utilisateurs
peuvent accder sur lappareil. Gnralement, il sagit dapplications rseau telles que
Safari, YouTube ou liTunes Store, mais les restrictions peuvent aussi servir contrler
les fonctionnalits de lappareil comme linstallation dapplications ou lutilisation de la
camra, par exemple. Les restrictions vous permettent de configurer lappareil en fonction
de vos besoins, tout en permettant aux utilisateurs dutiliser lappareil de faon cohrente
par rapport vos pratiques professionnelles. Les restrictions peuvent tre configures
manuellement sur chaque appareil, mises en uvre via un profil de configuration ou
tablies distance laide de solutions MDM. En outre, comme les rgles de code
dappareil, des restrictions concernant lappareil photo ou la navigation sur le Web
peuvent tre appliques distance via Microsoft Exchange Server 2007 et 2010.
En plus de dfinir les restrictions et les rgles sur lappareil, lapplication de bureau iTunes
peut tre configure et contrle par voie informatique. Cela consiste, par exemple,
dsactiver laccs aux contenus explicites, dfinir quels services rseau les utilisateurs
peuvent accder dans iTunes et dterminer si de nouvelles mises jour logicielles sont
disponibles. Pour en savoir plus, consultez le document Dploiement diTunes pour les
appareils iOS.

16

Scurit des donnes


Scurit des donnes
Chiffrement matriel
Protection des donnes
Effacement distance
Effacement local
Profils de configuration chiffrs
Sauvegardes iTunes chiffres

La protection des donnes stockes sur iPhone et iPad est un facteur essentiel pour
tous les environnements intgrant des donnes dentreprise ou des informations
client sensibles. En plus du chiffrement des donnes en transmission, liPhone et
liPad assurent un chiffrement matriel de toutes les donnes stockes sur lappareil
et le chiffrement du courrier lectronique et des donnes dapplications grce une
protection amliore des donnes.
En cas de perte ou de vol dun appareil, il est important de dsactiver lappareil et den
effacer le contenu. Il est galement conseill de mettre en place une politique visant
effacer le contenu dun appareil aprs un nombre dfini de tentatives infructueuses
de saisie du code: il sagit l dun puissant moyen de dissuasion contre les tentatives
daccs non autoris lappareil.
Chiffrement
LiPhone et liPad proposent le chiffrement matriel. Ce chiffrement matriel utilise
lencodage AES sur 256bits pour protger toutes les donnes stockes sur lappareil.
Cette fonction est toujours active et ne peut pas tre dsactive par les utilisateurs.
De plus, les donnes sauvegardes dans iTunes sur lordinateur dun utilisateur
peuvent galement tre chiffres. Ce chiffrement peut tre activ par lutilisateur
ou mis en place laide des rglages de restriction de lappareil dans les profils de
configuration.
iOS prend en charge S/MIME dans Mail, ce qui permet liPhone et liPad de
visualiser et denvoyer des e-mails chiffrs. Les restrictions peuvent galement servir
empcher le dplacement de-mails dun compte lautre ou le transfert de messages
reus dans un compte depuis un autre.
Protection des donnes
partir des capacits de chiffrement matriel de liPhone et de liPad, la scurit des
e-mails et pices jointes stocks sur lappareil peut tre renforce par lutilisation des
fonctionnalits de protection des donnes intgres iOS. La protection des donnes
associe le code unique de chaque appareil au chiffrement matriel de liPhone et
de liPad pour gnrer une cl de chiffrement scurise. Cette cl empche laccs
aux donnes lorsque lappareil est verrouill afin dassurer la scurit des donnes
sensibles, mme quand lappareil tombe entre de mauvaises mains.
Pour activer la protection des donnes, il vous suffit de dfinir un code de verrouillage
sur lappareil. Lefficacit de la protection des donnes dpend du code, il est donc
important dexiger et dappliquer un code contenant plus de quatre chiffres lorsque
vous tablissez vos rgles de codes en entreprise. Les utilisateurs peuvent vrifier
que la protection des donnes est active sur leur appareil en consultant lcran des
rglages de codes. Les solutions MDM peuvent aussi interroger lappareil pour obtenir
ces informations.
Ces API de protection des donnes sont aussi disponibles pour les dveloppeurs
et peuvent tre utilises pour scuriser les donnes des applications internes ou
commerciales de lentreprise.

Dlai dexpiration progressif des codes


LiPhone et liPad peuvent tre configurs
pour initier automatiquement un effacement
aprs plusieurs tentatives infructueuses de
saisie du code dappareil. Si un utilisateur
saisit plusieurs reprises un code erron, iOS
sera dsactiv pendant des intervalles de
plus en plus longs. Aprs plusieurs tentatives
infructueuses, toutes les donnes et tous les
rglages stocks sur lappareil seront effacs.

Effacement distance
iOS prend en charge leffacement distance. En cas de perte ou de vol dun appareil,
ladministrateur ou le propritaire de lappareil peut mettre une commande
deffacement distance qui supprimera toutes les donnes et dsactivera lappareil.
Si lappareil est configur avec un compte Exchange, ladministrateur peut initier
une commande deffacement distance laide de la console de gestion Exchange
Management Console (Exchange Server 2007) ou de loutil Exchange ActiveSync
Mobile Administration Web Tool (Exchange Server 2003 ou 2007). Les utilisateurs
dExchange Server 2007 peuvent aussi initier directement des commandes
deffacement distance laide dOutlook Web Access. Les commandes deffacement
distance peuvent aussi tre lances par les solutions MDM, mme si les services
dentreprise Exchange ne sont pas en cours dutilisation.

17

Effacement local
Il est galement possible de configurer les appareils de manire initier
automatiquement un effacement local aprs plusieurs tentatives de saisie
infructueuses du code. Ce systme vite les tentatives daccs en force lappareil.
Lorsquun code est tabli, les utilisateurs ont la possibilit dactiver leffacement local
directement partir des rglages. Par dfaut, iOS efface automatiquement le contenu
de lappareil aprs dix tentatives de saisie infructueuses. Comme avec les autres rgles
de code dappareil, le nombre maximum de tentatives infructueuses peut tre tabli
via un profil de configuration, dfini par un serveur MDM ou appliqu distance par
lintermdiaire de rgles Microsoft Exchange ActiveSync.

Scurit rseau
Protocoles VPN Cisco IPSec, L2TP et
PPTP intgrs
VPN SSL via les apps de lApp Store
SSL/TLS avec des certificats X.509
WPA/WPA2 Enterprise avec
authentification 802.1x
Authentification par certificat
RSA SecurID, CRYPTOCard
Protocoles VPN
IPSec Cisco
L2TP/IPSec
PPTP
VPN SSL
Mthodes dauthentification
Mot de passe (MSCHAPv2)
RSA SecurID
CRYPTOCard
Certificats numriques X.509
Secret partag
Protocoles dauthentification 802.1x
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
PEAP v0, v1
LEAP
Formats de certificats pris en charge
iOS prend en charge les certificats X.509 avec
des cls RSA. Les extensions de fichiers .cer, .crt
et .der sont reconnues.

iCloud
iCloud stocke la musique, les photos, les apps, les calendriers, les documents et plus
encore, et les pousse automatiquement vers tous les appareils dun utilisateur. Il
sauvegarde galement des informations, notamment les rglages des appareils, les
donnes dapps et les messages texte et MMS, chaque jour en Wi-Fi. iCloud scurise
vos contenus en les chiffrant lors de leur envoi sur Internet, en les stockant dans un
format chiffr et en utilisant des jetons scuriss pour lauthentification. Par ailleurs,
les fonctionnalits diCloud telles que Flux de photos, Synchronisation de documents
et Sauvegarde peuvent tre dsactives laide dun Profil de configuration. Pour
en savoir plus sur la scurit et la confidentialit diCloud, consultez la page http://
support.apple.com/kb/HT4865?viewlocale=fr_FR.

Scurit rseau
Les utilisateurs mobiles doivent pouvoir accder aux rseaux dinformation de leur
entreprise partout dans le monde, mais il est aussi important de sassurer que les
utilisateurs disposent dune autorisation et que leurs donnes sont protges pendant
la transmission. iOS fournit des technologies prouves afin datteindre ces objectifs de
scurit pour les connexions Wi-Fi et les connexions un rseau cellulaire.
En plus de votre infrastructure existante, chaque session FaceTime et change
iMessage est chiffr de bout en bout. iOS cre un identifiant unique pour chaque
utilisateur, veillant ainsi ce que les communications soient correctement chiffres,
achemines et connectes.
VPN
De nombreux environnements dentreprise intgrent une forme de rseau priv virtuel
(VPN). Ces services rseau scuriss sont dj dploys et ncessitent gnralement un
minimum dinstallation et de configuration pour fonctionner avec liPhone et liPad.
iOS sintgre immdiatement avec un large ventail de technologies de VPN courantes,
grce sa prise en charge de Cisco IPSec, L2TP et PPTP. Il prend en charge les
technologies de VPN SSL par le biais dapplications de Juniper Networks, Cisco,
SonicWALL, Check Point, Aruba Networks et F5 Networks. La prise en charge de ces
protocoles garantit un niveau de chiffrement optimal bas sur IP pour la transmission
des informations sensibles.
En plus dassurer un accs scuris aux environnements VPN existants, iOS offre des
mthodes prouves pour lauthentification des utilisateurs. Lauthentification via
des certificats numriques X.509 standard offre aux utilisateurs un accs simplifi aux
ressources de la socit et une alternative viable lutilisation de jetons matriels. Par
ailleurs, lauthentification par certificat permet iOS de tirer parti de la technologie
VPN On Demand, pour un processus dauthentification VPN transparent, tout en
fournissant un accs hautement scuris aux services rseau. Pour les environnements
dentreprise dans lesquels un jeton deux facteurs est obligatoire, iOS sintgre avec
RSA SecurID et CRYPTOCard.
iOS prend en charge la configuration du proxy rseau, ainsi que la tunnelisation IP
partage afin que le trafic vers des domaines rseau publics ou privs soit relay en
fonction des rgles propres votre entreprise.

18

SSL/TLS
iOS prend en charge le protocole SSL v3, ainsi que Transport Layer Security (TLS
v1.0, 1.1 et 1.2), la norme de scurit de prochaine gnration pour Internet. Safari,
Calendrier, Mail et dautres applications Internet dmarrent automatiquement ces
mcanismes afin dactiver un canal de communication chiffr entre iOS et les services
de lentreprise.
WPA/WPA2
iOS prend en charge la norme WPA2 Enterprise pour fournir un accs authentifi
au rseau sans fil de votre entreprise. WPA2 Enterprise utilise le chiffrement AES sur
128bits, offrant aux utilisateurs un niveau optimal de garantie que leurs donnes
seront protges lorsquils enverront et recevront des communications via une
connexion Wi-Fi. Et avec la prise en charge de lauthentification 802.1x, liPhone et
liPad peuvent sintgrer dans une grande varit denvironnements dauthentification
RADIUS.

Scurit des apps


Scurit des apps
Protection lexcution
Signature obligatoire du code
Services de trousseau
API de chiffrement courantes
Protection des donnes des applications

iOS est conu pour une scurit optimale. Il adopte une approche de bac sable
(sandboxing) pour la protection des applications au moment de lexcution et exige
une signature pour garantir quelles nont pas t falsifies. iOS comprend aussi
un cadre dapplications scuris qui facilite le stockage scuris des informations
didentification des applications et des services rseau dans un trousseau chiffr. Pour
les dveloppeurs, il offre une architecture cryptographique courante qui peut tre
utilise pour chiffrer les magasins de donnes des applications.
Protection lexcution
Les applications sur lappareil sont mises en bac sable (sandboxed) pour quelles
ne puissent pas accder aux donnes stockes par dautres applications. De plus, les
fichiers systme, les ressources et le noyau sont labri de lespace dexcution des
applications de lutilisateur. Si une application doit accder aux donnes depuis une
autre application, elle ne peut le faire quen utilisant les API et les services fournis par
iOS. La gnration de codes est galement impossible.
Signature obligatoire du code
Toutes les applications iOS doivent tre signes. Les applications fournies avec
lappareil sont signes par Apple. Les applications tierces sont signes par leur
dveloppeur laide dun certificat dlivr par Apple. Ce mcanisme permet dassurer
quelles nont pas t dtournes ou altres. En outre, des vrifications sont effectues
lexcution pour garantir que lapplication na pas t invalide depuis sa dernire
utilisation.
Lutilisation des applications personnalises ou maison peut tre contrle
laide dun profil dapprovisionnement. Les utilisateurs doivent avoir install le profil
dapprovisionnement correspondant pour pouvoir excuter lapplication. Des profils
dapprovisionnement peuvent tre installs ou rvoqus distance laide de
solutions MDM. Les administrateurs peuvent galement restreindre lutilisation dune
application des appareils spcifiques.
Structure dauthentification scurise
iOS fournit un trousseau chiffr scuris pour stocker les identits numriques, les
noms dutilisateur et les mots de passe. Les donnes du trousseau sont segmentes de
sorte que les informations didentification stockes par des applications tierces soient
inaccessibles aux applications ayant une identit diffrente. Ce mcanisme permet de
scuriser les informations dauthentification sur iPhone et iPad sur un large ventail
dapplications et de services au sein de lentreprise.

19

Architecture cryptographique courante


Les dveloppeurs dapplications ont accs des API de chiffrement quils peuvent
utiliser pour renforcer la protection de leurs donnes dapplications. Les donnes
peuvent tre chiffres symtriquement laide de mthodes prouves comme AES,
RC4 ou 3DES. En outre, liPhone et liPad fournissent une acclration matrielle pour le
chiffrement AES et le hachage SHA1, optimisant les performances des applications.
Protection des donnes des applications
Les applications peuvent galement exploiter le chiffrement matriel intgr liPhone
et liPad pour renforcer la protection de leurs donnes sensibles. Les dveloppeurs
peuvent dsigner des fichiers spcifiques pour la protection des donnes, en
demandant au systme de chiffrer le contenu du fichier pour le rendre inaccessible
lapplication et tout intrus potentiel lorsque lappareil est verrouill.
Apps gres
Un serveur MDM peut grer des apps tierces de lApp Store, ainsi que les applications
dveloppes en interne par les entreprises. La dsignation dune app comme app
gre permet au serveur de prciser si lapp et ses donnes peuvent tre supprimes
de lappareil par le serveur MDM. De plus, le serveur peut empcher les donnes
de lapp gre dtre sauvegardes dans iTunes et iCloud. Cela permet aux quipes
informatiques de grer les apps susceptibles de contenir des informations mtier
sensibles de faon plus contrle que les apps tlcharges directement par
lutilisateur.
Afin dinstaller une app gre, le serveur MDM envoie une commande dinstallation
lappareil. Les apps gres ncessitent lacceptation de lutilisateur avant dtre
installes. Pour en savoir plus sur les apps gres, consultez le document dintroduction
la gestion des appareils mobiles, tlchargeable ladresse www.apple.com/fr/iphone/
business/integration/mdm.

Des appareils rvolutionnaires entirement scuriss


LiPhone et liPad fournissent une protection chiffre des donnes en transit, au
repos et lors de la sauvegarde sur iTunes ou iCloud. Que lutilisateur accde aux
e-mails dentreprise, visite un site web priv ou sidentifie sur le rseau dentreprise,
iOS fournit la garantie que seuls les utilisateurs autoriss peuvent accder aux
informations dentreprise sensibles. Et avec la prise en charge de fonctionnalits rseau
professionnelles et de mthodes compltes pour viter la perte de donnes, vous
pouvez dployer les appareils iOS avec la garantie dimplanter un systme prouv de
scurit des appareils mobiles et de protection des donnes.

2012 Apple Inc. Tous droits rservs. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes, Safari et Siri sont des marques dApple Inc.,
dposes aux tats-Unis et dans dautres pays. iMessage est une marque dApple Inc. iCloud et iTunes Store sont des marques de
service dApple Inc., dposes aux tats-Unis et dans dautres pays. App Store est une marque de service dApple Inc. Les autres
noms de produits et de socits mentionns dans ce document appartiennent leurs propritaires respectifs. Les caractristiques
des produits sont sujettes modification sans pravis. Mars 2012

Dploiement de liPhone
et de liPad
Gestion des appareils mobiles
(MDM)
iOS prend en charge la gestion des appareils mobiles (MDM), offrant aux entreprises la
possibilit de grer des dploiements volutifs diPhone et diPad dans lensemble de
leurs organisations. Ces capacits de gestion des appareils mobiles sont fondes sur les
technologies iOS existantes comme les profils de configuration, linscription distance
(en mode OTA) et le service de notification push Apple (Apple Push Notification service,
APN). Elles peuvent tre intgres des solutions serveur internes ou tierces. Les
responsables informatiques peuvent dployer liPhone et liPad dans un environnement
professionnel en toute scurit, configurer et mettre jour des rglages sans fil, vrifier
la conformit de lappareil avec les rgles dentreprise, et mme effacer ou verrouiller
distance des appareils ainsi grs.

Gestion des iPhone et des iPad


La gestion des appareils iOS se droule via une connexion un serveur MDM. Ce
serveur peut tre assembl par le service informatique interne de lentreprise, ou
obtenu auprs dun fournisseur tiers. Lappareil communique avec le serveur et
recueille les tches en attente, puis rpond en effectuant les actions correspondantes.
Il peut sagir de la mise jour de rgles, de lenvoi dinformations sur lappareil ou le
rseau, ou de la suppression de rglages et de donnes.
La plupart des fonctions de gestion sont ralises en arrire-plan et ne ncessitent
aucune interaction avec les utilisateurs. Par exemple, si le service informatique met
jour son infrastructure VPN, le serveur MDM peut configurer les iPhone et iPad avec
de nouvelles informations de compte distance. Lors de lutilisation suivante du VPN
par lemploy, la configuration requise est dj prsente sur lappareil, ce qui vite un
appel au service dassistance ou la modification manuelle des rglages.
Coupe-feu

Service de notification
Push dApple

Serveur MDM tiers

21

MDM et le service de notification push Apple (APN)


Quand un serveur de gestion des appareils mobiles (MDM) veut communiquer avec un
iPhone ou un iPad, une notification silencieuse est envoye lappareil via le service
de notification push Apple, lui demandant de se connecter au serveur. Le processus
de notification de lappareil nchange aucune information propritaire avec le service
de notification push Apple. La seule tche effectue par la notification push consiste
rveiller lappareil afin quil se connecte au serveur MDM. Toutes les informations
de configuration, les rglages et les requtes sont envoys directement du serveur
lappareil iOS par une connexion SSL/TLS chiffre entre lappareil et le serveur MDM.
iOS gre toutes les requtes et actions de MDM en arrire-plan afin den limiter
limpact pour lutilisateur, y compris en termes dautonomie, de performances et de
fiabilit.

iOS et SCEP
iOS prend en charge le protocole SCEP (Simple
Certificate Enrollment Protocol). SCEP est un
protocole denregistrement ltat dInternet
draft selon les spcifications de lIETF. Il a
t conu pour simplifier la distribution des
certificats dans le cas de dploiements raliss
grande chelle. Cette installation permet
une inscription distance des certificats
didentit destins liPhone et liPad et
servant de systme didentification aux services
dentreprise.

Pour que le serveur de notifications push reconnaisse les commandes du serveur


MDM, un certificat doit au pralable tre install sur le serveur. Ce certificat doit
tre demand et tlcharg depuis le portail de certificats push Apple (Apple Push
Certificates Portal). Une fois le certificat de notification push Apple tlcharg sur
le serveur MDM, linscription des appareils peut dbuter. Pour en savoir plus sur la
demande dun certificat de notification push Apple pour un serveur MDM, consultez la
page www.apple.com/fr/iphone/business/integration/mdm.
Configuration rseau pour le service APN
Lorsque les serveurs MDM et les appareils iOS sont protgs par un coupe-feu, il est
ncessaire de procder une configuration rseau pour permettre au service MDM
de fonctionner correctement. Pour envoyer des notifications depuis un serveur MDM
vers le service APN, le port TCP 2195 doit tre ouvert. Pour bnficier du service de
feedback, le port TCP 2196 doit galement tre ouvert. Pour les appareils se connectant
au service push en Wi-Fi, le port TCP 5223 doit tre ouvert.
La plage dadresses IP utilise pour le service push est susceptible de changer; il est
normalement prvu quun serveur MDM se connecte par nom dhte plutt que
par adresse IP. Le service push met en uvre une stratgie dquilibrage des charge
qui fournit une adresse IP diffrente pour le mme nom dhte. Ce nom dhte est
gateway.push.apple.com (et gateway.sandbox.push.apple.com pour lenvironnement
de notification push de dveloppement). Par ailleurs, lensemble du bloc dadresses
17.0.0.0/8 est attribu Apple afin dtablir des rgles de coupe-feu spcifiant cette
plage.
Pour en savoir plus, adressez-vous votre fournisseur de solutions MDM ou consultez
la Developer Technical Note TN2265 de la bibliothque de dveloppement iOS
ladresse http://developer.apple.com/library/ios/#technotes/tn2265/_index.html.

Inscription
Une fois le serveur MDM et le rseau configurs, la premire tape de la gestion dun
iPhone ou dun iPad consiste inscrire celui-ci auprs dun serveur MDM. Cela tablit
une relation entre lappareil et le serveur qui permet de grer lappareil la demande
sans autre interaction avec lutilisateur.
Pour cela, liPhone ou liPad peuvent tre connects un ordinateur via USB, mais la
plupart des solutions fournissent le profil dinscription sans fil. Certains fournisseurs
de solutions MDM utilisent une app pour dmarrer le processus, tandis que dautres
lancent linscription en dirigeant les utilisateurs vers un portail web. Chaque mthode
a ses avantages, et lune comme lautre permettent de dclencher le processus
dinscription distance via Safari.

22

Prsentation du processus dinscription


Le processus dinscription distance (mode OTA) suppose des phases qui sassocient
en un flux automatis afin doffrir le moyen le plus adaptable dinscrire des appareils
de faon scurise dans un environnement dentreprise. Ces phases sont les
suivantes:
1. Lauthentification de lutilisateur
Lauthentification de lutilisateur garantit que les demandes dinscription entrantes
proviennent dutilisateurs lgitimes et que les informations de lappareil de
lutilisateur sont captures avant linscription par certificat. Ladministrateur peut
inviter lutilisateur initier la procdure dinscription via un portail web, par e-mail,
SMS ou mme par le biais dune app.
2. Inscription par certificat
Une fois lutilisateur authentifi, iOS gnre une demande dinscription par certificat
laide du protocole SCEP (Simple Certificate Enrollment Protocol). Cette demande
dinscription communique directement avec lautorit de certification (AC ou CA)
de lentreprise et permet liPhone et liPad de recevoir en retour le certificat
didentit mis par lAC.
3. Configuration de lappareil
Une fois que le certificat didentit est install, lappareil peut recevoir un profil de
configuration chiffr distance. Ces informations ne peuvent tre installes que sur
lappareil auquel elles sont destines et contiennent les rglages permettant de se
connecter au serveur MDM.
la fin du processus dinscription, lutilisateur voit apparatre un cran dinstallation
qui dcrit les droits daccs que le serveur MDM possdera sur lappareil. Lorsque
lutilisateur accepte linstallation du profil, son appareil est automatiquement inscrit,
sans intervention supplmentaire.
Une fois liPhone et liPad inscrits en tant quappareils grs, ils peuvent tre
configurs de faon dynamique laide de rglages, interrogs pour livrer des
informations ou effacs distance par le serveur MDM.

Configuration
Pour configurer un appareil laide de comptes, de rgles et de restrictions, le
serveur MDM envoie lappareil des fichiers appels Profils de configuration qui
sont installs automatiquement. Les Profils de configuration sont des fichiers XML
qui contiennent des rglages permettant lappareil dinteragir avec les systmes
de votre entreprise: informations de comptes, rgles de codes, restrictions et
autres rglages dappareils. Lorsquon lassocie au processus dinscription dcrit
prcdemment, la configuration de lappareil garantit au service informatique que
seuls les utilisateurs de confiance peuvent accder aux services de lentreprise et
que leurs appareils sont correctement configurs en fonction des rgles tablies.
Et comme les profils de configuration peuvent tre la fois signs et chiffrs, les
rglages ne peuvent tre ni modifis, ni partags avec dautres.

23

Rglages configurables pris en charge


Comptes
Exchange ActiveSync
E-mail IMAP/POP
Wi-Fi
VPN
LDAP
CardDAV
CalDAV
Calendriers avec abonnements

Fonctionnalit des appareils


Autoriser linstallation dapps
Autoriser Siri
Autoriser Siri lorsque lappareil est
verrouill
Autoriser lutilisation de lappareil photo
Autoriser FaceTime
Autoriser la capture dcran
Permettre la synchronisation automatique
en dplacement
Permettre la composition vocale de
numros
Autoriser les achats intgrs
Demander le mot de passe du Store pour
tous les achats
Autoriser les jeux multijoueurs
Autoriser lajout damis dans Game Center

Rgles de code dappareil


Exiger un code sur lappareil
Autoriser une valeur simple
Exiger une valeur alphanumrique
Nombre minimum de caractres
Nombre minimum de caractres complexes
Dure de vie maximum du code
Dlai avant verrouillage automatique
Historique des codes
Applications
Dlai supplmentaire pour le verrouillage de Autoriser lutilisation de YouTube
lappareil
Autoriser lutilisation de liTunes Store
Nombre maximum de tentatives
Autoriser lutilisation de Safari
Dfinir les prfrences de scurit de
Scurit et confidentialit
Safari
Autoriser lenvoi Apple des donnes de
diagnostic
iCloud
Autoriser lutilisateur accepter des
Autoriser la sauvegarde
certificats non fiables
Autoriser la synchronisation des
Forcer les sauvegardes chiffres
documents et des valeurs cls
Autoriser Flux de photos
Autres rglages
Rfrences
Classement du contenu
Web Clips
Autoriser la musique et les podcasts
Rglages SCEP
contenu explicite
Rglages APN
Dfinir la rgion du classement
Dfinir les classements de contenus
autoriss

24

Interrogation des appareils


Outre la configuration, un serveur MDM a la capacit dinterroger les appareils pour
obtenir des informations diverses. Ces informations peuvent servir sassurer que les
appareils continuent respecter les politiques en vigueur.

Requtes prises en charge


Informations sur les appareils
Identifiant unique de lappareil (UDID)
Nom de lappareil
iOS et version
Nom et numro du modle
Numro de srie
Capacit et espace disponible
Numro IMEI
Firmware du modem
Niveau de la batterie
Informations rseau
ICCID
Adresses MAC Bluetooth et Wi-Fi
Rseau et oprateur actuel
Rseau de loprateur de labonn
Version des rglages de loprateur
Tlphone
Paramtre ditinrance des donnes
(activer/dsactiver)

Informations de conformit et de
scurit
Profils de configuration installs
Certificats installs avec des dates
dexpiration
Recensement de toutes les restrictions en
vigueur
Capacit de chiffrement matriel
Code dappareil prsent
Applications
Applications installes (ID, nom, version,
taille de lapp et volume des donnes de
lapp)
Profils dapprovisionnement installs avec
des dates dexpiration

Gestion
Grce la gestion des appareils mobiles, un certain nombre de fonctions peuvent
tre effectues par un serveur MDM sur des appareils iOS. Parmi ces tches, figurent
linstallation et la suppression de profils de configuration et dapprovisionnement,
la gestion des apps, la rupture de la relation MDM et leffacement distance dun
appareil.
Rglages grs
Au cours du processus initial de configuration dun appareil, un serveur MDM pousse
vers liPhone ou liPad des profils de configuration, qui sont installs en arrire-plan.
Au fil du temps, il peut tre ncessaire dactualiser ou de modifier les rglages et les
rgles mis en place au moment de linscription. Pour effectuer ces changements, un
serveur MDM peut tout moment installer de nouveaux profils de configuration et
modifier ou supprimer les profils existants. De mme, il peut tre ncessaire dinstaller
sur des appareils iOS des configurations spcifiques un contexte particulier, selon
la localisation dun utilisateur ou son rle au sein de lorganisation. Par exemple, si
un utilisateur voyage ltranger, un serveur MDM peut exiger que ses comptes de
courrier lectronique se synchronisent manuellement plutt quautomatiquement.
Un serveur MDM peut mme dsactiver distance des services voix ou donnes afin
dviter un utilisateur des frais ditinrance imposs par un oprateur.
Apps gres
Un serveur MDM peut grer des apps tierces de lApp Store ainsi que des applications
dveloppes en interne par les entreprises. Le serveur peut supprimer la demande
des apps gres et les donnes qui leur sont associes ou prciser si les apps doivent
tre supprimes lors de la suppression du profil MDM. De plus, le serveur MDM peut
empcher la sauvegarde sur iTunes et iCloud des donnes de lapp gre.

25

Pour installer une app gre, le serveur MDM envoie une commande dinstallation
sur lappareil de lutilisateur. Les apps gres ncessitent lacceptation de lutilisateur
avant dtre installes. Lorsquun serveur MDM demande linstallation dune app
gre de lAppStore, lapp est acquise laide du compte iTunes utilis au moment
de linstallation de lapp. Pour les apps payantes, le serveur MDM devra envoyer
un code dutilisation du Programme dachats en volume (VPP, Volume Purchasing
Program). Pour en savoir plus sur le programme VPP, consultez la page www.apple.
com/business/vpp/. Les apps de lApp Store ne peuvent pas tre installes sur
lappareil dun utilisateur si lApp Store a t dsactiv.

Suppression ou effacement dappareils


Si un appareil ne respecte pas les rgles, est perdu ou vol, ou si un employ quitte
la socit, un serveur MDM dispose dun certain nombre de moyens pour protger
les informations dentreprise que contient cet appareil.
Un administrateur informatique peut mettre fin la relation MDM avec un appareil
en supprimant le profil de configuration contenant les informations relatives
au serveur MDM. Ainsi, tous les comptes, rglages et apps quil avait la charge
dinstaller sont supprims. Le service informatique peut galement laisser le profil
de configuration MDM en place et nutiliser le serveur MDM que pour supprimer
des profils de configuration et des profils dapprovisionnement spcifiques ainsi
que les apps gres quil souhaite supprimer. Cette approche maintient la gestion
de lappareil par le serveur MDM et vite davoir le rinscrire ds quil respecte
nouveau les rgles.
Les deux mthodes donnent au service informatique la capacit de sassurer que
les informations ne sont disponibles quaux utilisateurs et aux appareils respectant
les rgles, et de veiller ce que les donnes dentreprise soient supprimes sans
interfrer avec les donnes personnelles dun utilisateur, comme la musique, les
photos ou des apps personnelles.
Pour supprimer de faon dfinitive tous les contenus multimdias et les donnes
de lappareil et en restaurer les rglages dorigine, le serveur MDM peut effacer
distance un iPhone ou un iPad. Si lutilisateur est toujours la recherche de son
appareil, le service informatique peut galement dcider denvoyer cet appareil
une commande de verrouillage distance. Cela a pour effet de verrouiller lcran et
dexiger le code de scurit de lutilisateur pour le dverrouiller.
Si un utilisateur a tout simplement oubli son code de scurit, un serveur MDM
peut le supprimer de lappareil et inviter lutilisateur en dfinir un nouveau dans
un dlai de 60minutes.

Commandes de gestion prises en charge


Rglages grs
Installation du profil de configuration
Suppression du profil de configuration
Itinrance du service donnes
Itinrance du service voix (non disponible chez certains oprateurs)
Apps gres
Installation dapps gres
Suppression dapps gres
Recensement de toutes les apps gres
Installation de profil dapprovisionnement
Suppression de profil dapprovisionnement
Commandes de scurit
Effacement distance
Verrouillage distance
Effacement de codes de verrouillage

26

Prsentation du processus
Cet exemple illustre le dploiement lmentaire dun serveur de gestion dappareils mobiles (MDM).
1

Coupe-feu

2
4
Service de notification
Push dApple

Serveur MDM tiers

Un Profil de configuration contenant des informations relatives au serveur de gestion des appareils mobiles est envoy
lappareil. Lutilisateur voit apparatre les informations sur les lments qui seront grs et/ou demands par le serveur.

Lutilisateur installe le profil pour accepter (opt-in) la gestion de lappareil.

Linscription de lappareil se fait pendant linstallation du profil. Le serveur valide lappareil et autorise laccs.

Le serveur envoie une notification push invitant lappareil sidentifier pour les tches ou requtes demandes.

Lappareil se connecte directement au serveur via HTTPS. Le serveur envoie les informations concernant les commandes ou les
requtes.

Pour en savoir plus sur la gestion des appareils mobiles, consultez la page www.apple.com/fr/iphone/business/integration/mdm.

2012 Apple Inc. Tous droits rservs. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes, Safari et Siri sont des marques dApple Inc., dposes aux tats-Unis et dans dautres pays. iCloud et iTunes Store
sont des marques de service dApple Inc., dposes aux tats-Unis et dans dautres pays. App Store est une marque de service dApple, Inc. Le terme et les logos Bluetooth sont des marques dposes
dtenues par Bluetooth SIG, Inc. et utilises sous licence par Apple. Les autres noms de produits et de socits mentionns sont des marques de leurs socits respectives. Les caractristiques des produits
sont sujettes modification sans pravis. Mars 2012

Dploiement de liPhone
et de liPad
Apple Configurator

Les appareils iOS peuvent tre configurs pour un dploiement en entreprise laide
dun large ventail doutils et de mthodes. Lutilisateur final peut configurer les
appareils manuellement en suivant quelques instructions simples fournies par le service
informatique; la configuration des appareils peut aussi tre automatise au moyen de
profils de configuration ou dun serveur de gestion des appareils mobiles (MDM) tiers.

Configuration requise
Ordinateur Mac
OS X Lion 10.7.2
iTunes 10.6
Apple Configurator fonctionne avec les
appareils quips diOS 4.3 ou version
ultrieure, et il peut superviser les appareils
quips diOS 5.0 ou version ultrieure.

Dans le cadre de certains dploiements, le service informatique souhaitera parfois


configurer de nombreux appareils en leur appliquant les mmes rglages et apps, avant
de les distribuer aux utilisateurs. Cest souvent le cas lorsquun mme appareil doit tre
utilis par diffrents utilisateurs au cours de la journe. Dautres dploiements exigent
quant eux une gestion troite des appareils et la rinitialisation dune configuration
particulire intervalles rguliers.
Apple Configurator pour OSX Lion simplifie la configuration et le dploiement en masse
des iPhone et des iPad dans de telles situations grce trois options simples:
Prparer les appareils. Vous pouvez Prparer un jeu de nouveaux appareils iOS
partir dune mme configuration centralise, avant de les dployer auprs des utilisateurs.
Installez la dernire version diOS, installez des profils de configuration et des apps,
inscrivez les appareils auprs du serveur MDM de votre organisation, puis distribuez les
appareils. La prparation des appareils est une excellente option de dploiement si votre
organisation souhaite fournir des appareils iOS aux employs pour une utilisation au
quotidien.
Superviser les appareils. Une autre option consiste Superviser un ensemble dappareils
iOS qui restent sous votre contrle direct et peuvent tre configurs de manire
continue. Vous appliquez une configuration chaque appareil, puis lappliquez nouveau
automatiquement aprs chaque utilisation en reconnectant tout simplement lappareil
Apple Configurator. La supervision est idale pour le dploiement dappareils destins
des tches ddies (vente au dtail, SAV sur le terrain, tches mdicales, etc.), le partage
dappareils entre lves dune classe ou dun laboratoire, ou le prt dappareils iOS des
clients (par exemple dans un htel, un restaurant ou lhpital).
Attribuer des appareils. Enfin, vous pouvez Attribuer des appareils superviss des
utilisateurs particuliers de votre organisation. Attribuez un appareil un utilisateur
particulier, puis restaurez la sauvegarde de lutilisateur concern (y compris toutes ses
donnes) sur lappareil. Lorsque lappareil est restitu, sauvegardez les donnes de
lutilisateur pour une utilisation ultrieure, y compris sur un autre appareil. Cette option
est pratique lorsque les utilisateurs doivent pouvoir exploiter les mmes donnes et
documents sur une longue priode, quel que soit lappareil qui leur est attribu.

28

Activer les appareils


Pour prparer les appareils de faon ce que
vous (ou lutilisateur final) ne soyez pas oblig
de passer par lassistant de configuration iOS,
restaurez la sauvegarde dun appareil ayant
dj suivi les tapes de lassistant. Apple
Configurator ne peut pas effectuer la
toute premire activation des iPhone ou iPad
sur un rseau cellulaire, mais il peut ractiver
des appareils prcdemment activs dans le
cadre du processus de configuration.

Configuration des rglages et des apps


Que vous choisissiez de Prparer, de Superviser ou dAttribuer vos appareils iOS avant
leur dploiement, Apple Configurator simplifie la configuration dun ventail complet de
rglages ainsi que linstallation dapps de lApp Store ou dveloppes en interne.

Rglages
Tout comme iTunes, Apple Configurator permet de nommer les appareils et dinstaller les
mises jour diOS. En outre, Apple Configurator peut configurer les prfrences, dont
le fond dcran de lcran de verrouillage, la disposition de lcran daccueil et dautres
rglages qui peuvent tre dfinis manuellement sur un appareil et sauvegards dans
Apple Configurator.
Apple Configurator simplifie la configuration de nombreux appareils qui doivent disposer
des mmes rglages. Il suffit de configurer un appareil avec les rglages et prfrences
souhaits sur tous les appareils, puis deffectuer une sauvegarde avec Apple Configurator.
Apple Configurator restaure aussi simultanment la sauvegarde sur les autres appareils
(jusqu 30appareils connects par USB la fois).
Comme lUtilitaire de configuration iPhone, le Gestionnaire de profils dOS X Lion Server et
certaines solutions tierces de gestion des appareils mobiles, Apple Configurator permet
de crer et dinstaller des profils de configuration pour les rglages suivants:
Comptes Exchange ActiveSync
Rglages VPN et Wi-Fi
Longueur et complexit du code dappareil et rglages deffacement local
Rglages dinscription MDM
Restrictions de lappareil
Certificats
Web Clips
Les profils de configuration crs avec dautres outils peuvent tre imports facilement
dans Apple Configurator. Pour une liste complte des rglages de profil de configuration
disponibles dans Apple Configurator, rendez-vous sur http://help.apple.com/configurator/
mac/1.0.
Si vous souhaitez connecter des appareils un serveur de gestion des appareils mobiles,
utilisez Apple Configurator pour installer les rglages de MDM avant de remettre
lappareil un utilisateur final. Une fois lappareil inscrit auprs du serveur MDM de
votre organisation, vous pouvez configurer les rglages distance, surveiller le respect
des rgles de lentreprise et effacer ou verrouiller lappareil. Pour en savoir plus sur les
fonctionnalits de gestion des appareils mobiles diOS, consultez la page www.apple.
com/fr/iphone/business/integration/mdm.

29

Afficher ou exporter des infos sur les


appareils
Apple Configurator intgre un inspecteur
qui affiche les informations relatives aux
appareils superviss, comme la version
diOS, le numro de srie, les identifiants et
adresses matrielles et la capacit disponible.
Vous pouvez galement exporter la plupart
de ces informations au format CSV pour les
exploiter dans un tableur, ou les exporter
dans un format spcialement conu pour
le portail dapprovisionnement iOS afin de
permettre aux dveloppeurs de logiciels de
votre entreprise dy accder et de crer des
profils dapprovisionnement pour les apps iOS
dveloppes en interne.

Apps
Pour installer une app de lApp Store sur vos appareils, achetez et tlchargez lapp dans
iTunes, ajoutez-la Apple Configurator, puis installez lapp lors de la configuration des
appareils.
Pour installer des apps payantes de lApp Store laide dApple Configurator, vous
devez participer au Programme dachat en volume pour les entreprises (VPP).
Apple Configurator rcupre automatiquement les codes fournis par lanimateur du
programme VPP ou lacheteur agr pour installer les apps.
La liste des apps dans Apple Configurator indique les apps gratuites et le nombre de
codes de tlchargement restants pour les apps payantes. Chaque fois que vous
installez une app sur un appareil, un code de tlchargement est utilis sur la feuille de
calcul VPP qui a t importe dans AppleConfigurator. Les codes de tlchargement ne
peuvent pas tre rutiliss. Sil ne vous en reste plus, vous devez en importer dautres
pour installer lapp sur dautres appareils. Lorsquune app payante est dsinstalle dun
appareil supervis ou attribu, elle peut tre installe sur un autre appareil. Le code VPP
nest pas ractiv, ce qui signifie que les installations ultrieures doivent tre effectues
avec Apple Configurator sur le Mac utilis pour linstallation initiale de lapp.
Les apps payantes de lApp Store ne peuvent tre installes qu laide des codes
de tlchargement obtenus par le biais du Programme dachat en volume pour les
entreprises ou lducation. Le Programme dachat en volume nest pas disponible dans
tous les pays. Pour en savoir plus, consultez www.apple.com/business/vpp ou www.
apple.com/education/volume-purchase-program.
Vous pouvez galement installer les apps dveloppes et distribues en interne au
sein de votre entreprise. Ajoutez votre app (qui inclut le profil dapprovisionnement de
distribution) Apple Configurator, puis installez-la durant la configuration des appareils.
Important: les apps installes avec Apple Configurator sont associes lappareil sur
lequel elles ont t installes, et non un identifiant Apple particulier. Pour mettre jour
les apps dployes avec Apple Configurator, vous devez reconnecter lappareil au Mac
ayant servi installer les apps. En outre, vous ne pouvez pas tlcharger nouveau ces
apps via iTunes dans le nuage. Ds lors, il est conseill de rserver linstallation dapps
de lApp Store avec Apple Configurator aux appareils superviss ou attribus.

Exemples de dploiement
Les scnarios suivants illustrent la manire dont vous pouvez tirer parti dApple
Configurator pour dployer rapidement des appareils personnaliss.

Prparer de nouveaux appareils pour un usage personnel


Avec loption Prparer, configurez les rglages sur les appareils avant de les dployer
auprs des utilisateurs pour un usage professionnel. Il peut sagir dvoluer vers la
dernire version diOS, dactualiser une configuration rseau ou des informations
dinscription auprs du serveur MDM de votre organisation.
Si un appareil est prpar avec Apple Configurator, il peut tre reconfigur la
convenance de lutilisateur final. Il ne sera pas reconnu par Apple Configurator sil
est reconnect ultrieurement. Par exemple, les utilisateurs peuvent connecter leurs
appareils non superviss leur copie diTunes et synchroniser le contenu de leur
choix. Les administrateurs informatiques qui souhaitent autoriser les utilisateurs
personnaliser leurs appareils peuvent utiliser Apple Configurator pour Prparer et
dployer des appareils non superviss, puis utiliser une solution MDM pour grer
distance les rglages, comptes et apps de chaque appareil.
La configuration dun appareil non supervis est gnralement effectue une seule fois,
lutilisateur tant responsable de la gestion de lappareil par la suite. Apple Configurator
oublie les appareils non superviss ds quils sont dconnects; il les traite comme de
nouveaux appareils lorsquils sont reconnects.

30

Superviser des appareils devant tre dploys auprs dutilisateurs non


spcifis
Lors de la prparation, vous pouvez choisir de Superviser les appareils qui doivent tre
contrls et configurs de manire continue avec Apple Configurator. Il peut sagir
dun ensemble dappareils qui doivent tous tre dots dune mme configuration et
qui ne sont pas associs des utilisateurs particuliers. Un appareil supervis est effac
chaque reconnexion Apple Configurator. Les donnes de lutilisateur prcdent
sont alors supprimes et lappareil est reconfigur. En outre, les appareils superviss ne
peuvent pas tre synchroniss avec iTunes ou Apple Configurator sur un autre Mac.
Le dploiement dappareils superviss consiste gnralement distribuer les appareils,
les rcuprer, rappliquer leur configuration initiale et les redistribuer. Les appareils
superviss peuvent tre classs dans des groupes, afin de simplifier lapplication
automatique dune mme configuration.
Important: lors de la supervision initiale dun appareil lors du processus de
prparation, lensemble du contenu et des rglages est volontairement effac. Cela
permet dviter que lappareil personnel dun utilisateur soit supervis sans quil en ait
connaissance.

Attribuer des appareils superviss des utilisateurs particuliers


Une fois que vous avez configur un appareil supervis, vous pouvez aussi lAttribuer
un utilisateur particulier. Lorsque vous extrayez lappareil pour un utilisateur
particulier, Apple Configurator le remet dans ltat o il tait la dernire fois que cette
personne la utilis. Lintgralit des rglages et donnes dapps de lutilisateur est alors
restaure.
Lorsque lappareil est retourn, Apple Configurator sauvegarde les rglages et les
donnes dapps de lutilisateur pour la prochaine fois, y compris toutes les nouvelles
donnes cres par lutilisateur, puis efface toutes les informations laisses sur lappareil
par le prcdent utilisateur. Le mcanisme dextraction-archivage des appareils permet
lutilisateur de bnficier de lexprience dun appareil personnel tout en vous laissant
la possibilit dattribuer un mme groupe dappareils plusieurs groupes dutilisateurs.
Les utilisateurs peuvent tre ajouts manuellement ou imports depuis Open Directory
ou Active Directory, puis classs dans des groupes personnaliss.
Si vous installez des apps comme Keynote ou Pages qui prennent en charge le partage
de fichiers iTunes, vous pouvez galement installer des documents qui seront prts
lemploi lorsque vos utilisateurs rcupreront un appareil extrait. Et lorsque lappareil est
restitu, une sauvegarde des donnes et des rglages de lutilisateur est effectue, et ses
documents synchroniss sont accessibles directement depuis Apple Configurator.

2012 Apple Inc. Tous droits rservs. Apple, le logo Apple, iPad, iPhone, iTunes, Keynote, Mac, le logo Mac, OSX et Pages sont des
marques dApple Inc., dposes aux tats-Unis et dans dautres pays. iCloud et iTunes Store sont des marques de service dApple Inc.,
dposes aux tats-Unis et dans dautres pays. App Store est une marque de service dApple Inc. Les autres noms de produits et de
socits mentionns dans ce document appartiennent leurs propritaires respectifs. Les caractristiques des produits sont sujettes
modification sans pravis. Mars 2012