Comment Apple met à jour la gestion des appareils mobiles
Comme prévu, Apple à WWDCa annoncé une série de changements importants dans la gestion des Mac, iPad, iPhone et Apple TV dans les environnements professionnels et éducatifs. Ces changements se divisent en grande partie en deux groupes : ceux qui affectent la gestion globale des appareils et ceux qui s’appliquent à la gestion déclarative (un nouveau type de gestion des appareils qu’Apple a introduit l’année dernière dans iOS 15).
Il est important d’examiner chaque groupe séparément pour mieux comprendre les changements.
Comment Apple a-t-il modifié la gestion globale des appareils ?
Configurateur Apple
Apple Configurator pour iPhone a connu une expansion significative. Il s’agit depuis longtemps d’une méthode manuelle d’inscription des iPhones et des iPads dans la gestion plutôt que d’utiliser des outils automatisés ou d’auto-inscription. L’outil était à l’origine livré en tant qu’application Mac capable de configurer des appareils, mais il présentait un inconvénient majeur : les appareils devaient être connectés via USB au Mac exécutant l’application. Cela avait des implications évidentes en termes de temps et de main-d’œuvre dans autre chose qu’un petit environnement.
L’année dernière, Apple a introduit une version de Configurator pour iPhone qui a inversé le flux de travail de l’original, ce qui signifie qu’une version iPhone de l’application pourrait être utilisée sans fil pour inscrire les Mac dans la gestion. Il était principalement utilisé pour inscrire les Mac qui avaient été achetés en dehors du canal entreprise/éducation d’Apple dans Apple Business Manager (les produits Apple achetés via le canal peuvent être inscrits automatiquement avec une configuration sans contact).
L’incarnation de l’iPhone est incroyablement simple. Au cours du processus de configuration, vous pointez une caméra iPhone sur une animation sur l’écran du Mac (un peu comme le jumelage d’une Apple Watch) et cela déclenche le processus d’inscription.
Le grand changement cette année est qu’Apple a étendu l’utilisation d’Apple Configurator pour iPhone pour prendre en charge l’inscription de l’iPad et de l’iPhone en utilisant le même processus, supprimant l’exigence que les appareils soient connectés à un Mac. Cela réduit considérablement le temps et les efforts nécessaires pour inscrire ces appareils. Il y a une mise en garde : les appareils qui nécessitent une activation cellulaire ou qui ont été verrouillés par activation auront besoin que cette activation soit effectuée manuellement avant que le configurateur puisse être utilisé.
Gestion des identités
Apple a apporté des modifications utiles à la gestion des identités dans les environnements d’entreprise. Le plus important : il offre désormais la prise en charge de fournisseurs d’identité supplémentaires, notamment Google Workspace et Oauth 2, ce qui permet un ensemble étendu de fournisseurs. (Azure AD était déjà pris en charge.) Ces fournisseurs d’identité peuvent être utilisés conjointement avec Apple Business Manager pour générer des identifiants Apple gérés pour les employés.
La société a également annoncé que la prise en charge de l’inscription à authentification unique sur ses plates-formes sera mise en œuvre après l’arrivée de macOS Ventura et iOS/iPadOS16 cet automne. L’objectif ici est de faciliter et de rationaliser l’inscription des utilisateurs en exigeant que les utilisateurs ne s’authentifient qu’une seule fois. Apple a également annoncé Platform Single Sign-on, un effort pour étendre et rationaliser l’accès aux applications et aux sites Web d’entreprise chaque fois qu’ils se connectent à leur(s) appareil(s).
Mise en réseau gérée par application
Apple dispose depuis longtemps de capacités VPN par application, qui permettent uniquement à des applications d’entreprise ou professionnelles spécifiques d’utiliser une connexion VPN active. Cela applique la sécurité VPN, mais limite la charge VPN en envoyant uniquement le trafic d’application spécifique via une connexion VPN. Avec macOS Ventura et iOS/iPadOS 16, Apple ajoute un proxy DNS par application et un filtrage de contenu Web par application. Cela permet de sécuriser le trafic pour des applications spécifiques et fonctionne de la même manière que le VPN par application. Et cela ne nécessite aucune modification des applications elles-mêmes. Le proxy DNS prend en charge les options à l’échelle du système ou par application, tandis que le filtrage de contenu prend en charge l’ensemble du système ou jusqu’à sept instances par application.
Approvisionnement E-SIM
Pour les iPhones prenant en charge les eSIM, Apple permet au logiciel de gestion des appareils mobiles (MDM) de configurer et de fournir une eSIM. Cela peut inclure le provisionnement d’un nouvel appareil, la migration des opérateurs, l’utilisation de plusieurs opérateurs ou la configuration pour les déplacements et l’itinérance.
Gestion des paramètres d’accessibilité
Apple est bien connu pour son vaste ensemble de fonctionnalités d’accessibilité pour les personnes ayant des besoins spéciaux. En fait, de nombreuses personnes sans besoins particuliers utilisent également plusieurs de ces fonctionnalités. Dans iOS/iPadOS 16, Apple permet à MDM d’activer et de configurer automatiquement une poignée des fonctionnalités les plus courantes, notamment : la taille du texte, la voix off, le zoom, les aménagements tactiles, le texte en gras, la réduction du mouvement, l’augmentation du contraste et la réduction de la transparence. Ce sera un outil bienvenu dans des domaines tels que l’éducation spécialisée ou les situations hospitalières et de soins de santé où les appareils peuvent être partagés entre les utilisateurs ayant des besoins spéciaux.
Quoi de neuf dans le processus de gestion déclarative d’Apple ?
Apple a dévoilé l’année dernière la gestion déclarative comme une amélioration par rapport à son protocole MDM d’origine. Son grand avantage est qu’il déplace une grande partie de la logique métier, de la conformité et de la gestion du service MDM vers chaque appareil. En conséquence, les appareils peuvent surveiller de manière proactive leur état. Cela élimine la nécessité pour le service MDM d’interroger constamment l’état de son appareil, puis d’émettre des commandes en réponse. Au lieu de cela, les appareils effectuent ces modifications en fonction de leur état actuel et des déclarations qui leur sont envoyées et les signalent au service.
La gestion déclarative repose sur des déclarations qui contiennent des éléments tels que des activations et des configurations. Un avantage est qu’une déclaration peut inclure plusieurs configurations ainsi que les activations qui indiquent quand ou si la configuration doit être activée. Cela signifie qu’une seule déclaration peut inclure toutes les configurations pour tous les utilisateurs, associées à des activations qui indiquent à quels utilisateurs elles doivent s’appliquer. Cela réduit le besoin de grands ensembles de configurations différentes car l’appareil lui-même peut déterminer celles qui doivent être activées pour l’appareil en raison de son utilisateur.
Cette année, Apple a élargi les domaines dans lesquels la gestion déclarative peut être utilisée. Initialement, il n’était disponible que sur les appareils iOS/iPadOS 15 qui exploitaient l’inscription des utilisateurs. À l’avenir, tous les appareils Apple exécutant macOS Ventura ou iOS/iPadOS/tvOS 16 seront pris en charge, quel que soit leur type d’inscription. Cela signifie que l’inscription des appareils (y compris les appareils supervisés) est prise en charge à tous les niveaux, tout comme l’iPad partagé (un type d’inscription qui permet à plusieurs utilisateurs de partager le même iPad, chacun avec sa propre configuration et ses propres fichiers.)
La société a clairement indiqué que la gestion déclarative est l’avenir de la gestion des appareils Apple et que toute nouvelle fonctionnalité de gestion ne sera déployée que sur le modèle déclaratif. Bien que le MDM traditionnel soit disponible pendant une durée indéterminée, il est obsolète et sera éventuellement retiré.
Cela a des implications majeures pour les appareils déjà utilisés. Les appareils qui ne peuvent pas exécuter macOS Ventura ou iOS/iPadOS 16 finiront par être abandonnés et ceux qui resteront en service devront être remplacés. Compte tenu du grand nombre d’appareils qui ne sont plus pris en charge, cela pourrait entraîner une transition coûteuse pour certaines organisations. Bien qu’elle ne soit pas immédiate, vous devez commencer à déterminer la taille et le coût de la transition et comment vous allez la gérer (en particulier car elle nécessitera probablement une transition vers Apple Silicon, qui ne prend pas en charge la possibilité d’exécuter Windows ou les applications Windows, dans le traiter).
Au-delà de l’extension des produits pouvant utiliser la gestion déclarative, Apple a également étendu ses fonctionnalités, notamment la prise en charge de la configuration des codes d’accès, des comptes d’entreprise et de l’installation d’applications régies par MDM.
L’option de mot de passe est plus complexe que de simplement exiger un mot de passe d’un certain type. La conformité au mot de passe est traditionnellement requise pour certaines configurations liées à la sécurité, telles que l’envoi de la configuration Wi-Fi de l’entreprise à un appareil. Dans le modèle déclaratif, ces configurations peuvent être envoyées à l’appareil avant qu’un mot de passe ne soit défini. Ils sont envoyés avec l’exigence de mot de passe et incluent une activation qui ne l’activera qu’une fois que l’utilisateur aura créé un mot de passe conforme à cette politique. Une fois que l’utilisateur a défini un mot de passe, l’appareil détecte le changement et active la configuration Wi-Fi avec plusieurs connexions au service MDM, activant immédiatement le Wi-Fi et notifiant au service qu’il a été activé.
Les comptes qui peuvent inclure des éléments tels que le courrier, les notes, le calendrier et les calendriers abonnés fonctionnent de la même manière. Une déclaration peut préciser tous les types de comptes supportés au sein de l’organisation ainsi que tous les calendriers souscrits. L’appareil déterminera ensuite en fonction du compte de l’utilisateur et du ou des rôles au sein de l’organisation à activer et à activer.
L’installation de l’application MDM est l’ajout le plus important à la gestion déclarative, car l’installation de l’application est l’une des tâches qui sollicitent le plus un MDM et le plus gros goulot d’étranglement lors des activations massives d’appareils (comme l’intégration massive de nouveaux employés, le déploiement de nouveaux appareils, ou le premier jour d’école). Une déclaration peut spécifier toutes les applications potentielles à installer et à envoyer à un appareil lors de l’activation, avant même qu’il n’ait été remis à son utilisateur. Encore une fois, l’appareil déterminera les configurations d’installation de l’application à activer et à rendre disponibles, en fonction de l’utilisateur. Cela évite à chaque appareil d’interroger à plusieurs reprises le service et de télécharger des applications et leurs configurations. Il simplifie et accélère également le processus d’activation (ou de désactivation) des applications si le rôle d’un utilisateur change.
Ce sont des améliorations significatives et il est facile de comprendre pourquoi ce sont les premiers ajouts à la gestion déclarative après son déploiement initial. Il existe encore des fonctionnalités MDM qui n’ont pas encore franchi le pas de l’utilisation déclarative, mais il est évident qu’éventuellement, peut-être dès l’année prochaine, elles le feront.
Il s’agit de l’une des annonces les plus importantes de la WWDC pour les entreprises et il est bon de voir qu’Apple a réfléchi en décidant des fonctionnalités à ajouter ou à mettre à jour, car la plupart d’entre elles abordent des domaines difficiles, chronophages, gourmands en ressources ou fastidieux. Apple ne se contente pas de répondre aux besoins des entreprises clientes, mais démontre qu’il comprend ces besoins.
Copyright © 2022 IDG Communications, Inc.