Déploiement iOS en entreprise

L’iPhone est l’appareil le plus plébiscité par les entreprises comme téléphone professionnel. Néanmoins, il est nécessaire pour les administrateur de la flotte d’entreprise de prendre certaines précaution / disposition afin d’éviter certaines déconvenues lors du déploiement d’iOS en entreprise (se retrouver avec un iPhone verrouillé sur un compte iCloud personnel par exemple). Il sera notamment question dans cet article, de serveur DEP, de fonctionnalité de supervision et de serveur MDM.

Lexique du déploiement iOS

Avant d’envisager les différentes étapes du déploiement d’IOS en entreprise, il est nécessaire d’appréhender certaines notions afin de mieux cerner les différents éléments à mettre en place.

DEP

Le programme d’inscription des appareils a été développé par Apple pour aider les entreprises et les établissements d’enseignement à déployer facilement des appareils iOS et macOS. Son but principal est de simplifier la mise en place d’un nouvel appareil.

Lors de l’ajout d’un appareil au serveur DEP on parles d’un appareil inscrit au DEP

Serveur MDM

La gestion des appareils mobiles, ou MDM (Mobile Device Management), est un domaine d’administration qui gère le déploiement, la sécurisation, la surveillance, l’intégration et l’administration des appareils mobiles, tels que smartphones, tablettes et ordinateurs portables, sur le lieu de travail.

Lors de l’ajout d’un appareil au serveur MDM, on parle d’enrôlement. On peux aussi dire que l’appareil est managé

Appareil supervisé

Avec la fonctionnalité de supervision, un administrateur peut appliquer des restrictions supplémentaires, par exemple désactiver AirDrop ou empêcher l’accès à l’App Store. La supervision offre également des configurations d’appareils et des fonctionnalités supplémentaires, comme la mise à jour des applications en mode silencieux ou le filtrage de l’utilisation du Web.

On pourrais comparer la supervision d’un appareil IOS à un accès root sur un appareil android détenu par l’organisation

Fonctionnement de certains éléments

Après avoir découvert l’existence des différents éléments nécessaire au déploiement d’IOS, voyons comment ils fonctionnent.

Fonctionnement du serveur DEP Apple

Dès qu’un nouvel appareil est mis sous tension, Apple reçoit une notification, confirme le compte DEP et redirige l’appareil vers le serveur MDM approprié. L’Assistant Configuration des appareils Mac et iOS guide les utilisateurs tout au long du processus d’activation.

Schéma des différentes étapes simultanées réalisées lors de la mise sous tension d’un nouvel appareil :

Schéma réalisé par INET-System, encore plus d’informations sur le DEP sur cette page

Fonctionnement d’un serveur MDM iOS

Une fois le périphérique enrôlé (automatiquement par le DEP ou manuellement) , l’application dynamique des stratégies de sécurité pour le périphérique peut alors être réalisée. Ces stratégies sont l’équivalent dans le monde Windows des GPO (Group Policies Object). Pour l’iPhone, ces stratégies se présentent sous la forme d’un fichier de configuration .XML contenant les régulations du Smartphone connecté à l’entreprise.

Ecran d’application d’une configuration par un serveur MDM

Supervision d’un appareil iOS

Par défaut, un iPhone, iPad ou iPod touch n’est pas supervisé. La fonctionnalité de supervision ne peut être activée que lors de la configuration initiale de ce dernier. Dans le cas d’un appareil déjà en cours d’utilisation, l’administrateur doit effacer complètement les données de cet appareil pour configurer la fonctionnalité de supervision.

message confimrmant l’activation de la fonctionnalité de supervision

Déployer iOS

Temps nécessaire : 15 jours

  1. Inscrire son organisation au DEP Apple

    Rendez-vous sur ce site afin d’inscrire votre entreprise au programme d’Apple. (Attention, une validation avec un agent Apple est nécessaire, ainsi qu’un temps de mise en place)

  2. Mettre en place votre serveur MDM

    Il existe de nombreuses solutions MDM compatible avec iOS. En voici quelques une, Cisco Meraki, JAMF, Microsoft Intune, GSuite

  3. Lié votre serveur MDM au programme DEP

    Cela permet d’attribuer automatiquement vos appareil à votre serveur MDM. Procéder comme suit

  4. Inscrivez vos appareil au DEP

    Avec un fichier qui contient tous les numéros de séries soit avec votre numéro de commande Apple. Sachez que les revendeurs agrée peuvent inscrire automatiquement les appareils que vous achetez sur votre compte DEP.

  5. Mettre en place des Settings DEP

    il vous permet notamment de sauter les écrans non désirés du setup initial de l’appareil.

  6. Créer vos Settings (stratégie de sécurité)

    C’est ici que vous renseignez tous les paramètres qui doivent être appliqués sur l’appareil. Vous devez ensuite taguer vos appareils pour appliquer vos stratégies.

  7. (ré)Initialiser vos appareils

    Réaliser la mise en fonctionnement avec une connexion wifi, l’ensemble de la configuration sera appliquée sur l’appareil.

  8. Profiter des fonctions de gestion avancées offertes par votre MDM

    Publication d’application, protection de l’activation des iPhone,

F.A.Q

Comment l’appareil est-il reconnu par le DEP ?

Il n’utilise en réalité que le numéro de série du système pour authentifier les périphériques avant leur inscription.

Ai-je besoin d’Apple configurator ?

Apple configurator est un logiciel (fonctionnant sous mac) qui permet de préparer des appareils en USB. Il est nécessaire pour inscrire au DEP les appareils que vous avez achetés avant la mise en place de celui ci.

Puis-je restaurer des données sur un iPhone supervisé ?

Oui, et ceux tout à fait classiquement pour passer d’un appareil à l’autre. Néanmoins, sur le même appareil, l’état de supervision qui prime est celui de la sauvegarde (si pas supervisé lors de la sauvegarde, pas supervisé une fois restauré) .

L’utilisation d’un système a trois appareil peut vous permettre de superviser un appareil qui ne l’était pas en conservent les données.

Appareil non supervisé après une restauration

CF. question du dessus, de plus il faut impérativement une connexion wifi lors du setup post restauration.

appleDEPdéploiemententrepriseiosmanagerMDMserveursuperviser