Inscription d’utilisateurs Apple

L’Inscription d’utilisateurs Apple est un mode de gestion conçu pour les appareils appartenant à l’utilisateur, dans le cadre du BYOD (Bring Your Own Device).

Restriction : Inscription d’utilisateurs Apple à partir d’iOS 13 et d’iPadOS 13

Identifiant Apple géré

L’Inscription d’utilisateurs utilise un identifiant Apple géré pour établir une identité d’utilisateur sur l’appareil et se connecter aux services Apple comme iCloud.

Les identifiants Apple gérés appartiennent et sont gérés par votre organisation. Pour chaque utilisateur, vous créez un identifiant Apple géré et un mot de passe unique dans Apple Business Manager. L’utilisateur doit saisir les codes d’accès de l’identifiant Apple géré pour inscrire son appareil à Sophos Mobile.

Plutôt que de créer manuellement des identifiants Apple gérés, vous pouvez configurer l’authentification fédérée avec Microsoft Azure Active Directory (Azure AD) dans Apple Business Manager. Dans ce cas, Apple Business Manager gère la création d’identifiants Apple gérés et les utilisateurs se connectent avec leur adresse email et leur mot de passe Azure AD. Retrouvez plus de renseignements dans la documentation de Apple Business Manager.

Sur l’appareil, l’identifiant Apple géré existe séparément de l’identifiant Apple personnel de l’utilisateur. Lorsque l’utilisateur désinscrit l’appareil de Sophos Mobile, iOS supprime l’identifiant Apple géré de l’appareil.

Séparation des données personnelles et professionnelles

Les appareils en mode Inscription d’utilisateurs disposent d’un volume APFS (Managed Apple File System) pour stocker les données professionnelles. Ce volume contient les éléments suivants :

  • Les applis gérées et leurs données
  • Un trousseau géré
  • Documents du compte iCloud de l’identifiant Apple géré
  • Données des applications Messagerie, Calendrier et Notes de l’identifiant Apple géré

Lorsque l’utilisateur désinscrit l’appareil de Sophos Mobile, iOS supprime le volume APFS géré.

Capacités de gestion

L’utilisateur étant propriétaire de l’appareil, vous n’aurez que des capacités de gestion MDM (Mobile Device Management) limitées.

Vous ne pourrez pas accéder aux données personnelles de l’utilisateur. Vous pourrez uniquement gérer et interroger les éléments tels que les applis, les certificats et les stratégies sur le volume APFS géré.

Vous ne pourrez pas accéder aux identifiants de l’appareil tels que l’UDID, le numéro IMEI ou l’adresse MAC. Sophos Mobile identifie l’appareil grâce à un identifiant spécifique créé par iOS lorsque l’utilisateur l’inscrit à Sophos Mobile. Si l’utilisateur désinscrit l’appareil, puis le réinscrit, l’appareil obtient un nouvel identifiant et Sophos Mobile le traite comme un nouvel appareil.

Étant donné que l’adresse MAC n’est pas disponible pour Sophos Mobile, vous ne pourrez pas utiliser le contrôle d’accès réseau (NAC) pour les appareils en mode Inscription d’utilisateurs.

Avertissement : Vous pourrez définir des règles pour le mot de passe de l’appareil, mais ne pourrez pas le réinitialiser si l’utilisateur l’oublie.

Gestion des applis

Sur les appareils en mode Inscription d’utilisateurs Apple, vous ne pouvez installer que les applis que vous avez achetées dans Apple Business Manager (anciennement applis Apple VPP).

Installez ces applis via Sophos Mobile ou assignez-les à l’identifiant Apple géré pour permettre à l’utilisateur de les installer à partir de l’App Store.

Chaque appli ne peut être installée qu’une seule fois sur un appareil, soit pour l’identifiant Apple personnel (appli personnelle), soit pour l’identifiant Apple géré (appli gérée). Les règles suivantes s’appliquent :

  • Vous ne pouvez pas installer une appli gérée si l’utilisateur a déjà installé la même appli personnelle.
  • L’utilisateur peut désinstaller une appli gérée, mais elle reste gérée si l’utilisateur la réinstalle.
  • Pour permettre à un utilisateur d’installer une appli personnelle que vous avez précédemment installée en tant qu’appli gérée, vous devez désinstaller l’appli gérée via Sophos Mobile ou supprimer la licence de l’appli de l’identifiant Apple géré.
  • Les applis Messagerie, Notes et Calendrier sont basées sur le compte et peuvent stocker des données pour l’identifiant Apple géré (sur le volume APFS géré) et l’identifiant Apple personnel (sur le volume APFS système).