Identité des collaborateurs
Gestion des terminaux
Détection et réponse aux menaces
Gestion des vulnérabilités
Automatisation de la conformité
Centre de confiance
Les profils sont un élément essentiel du cadre de gestion des appareils mobiles (MDM) d'Apple. Les profils MDM sont utilisés pour enrôler des appareils dans la gestion, puis pour transmettre des configurations aux appareils gérés. Il existe donc deux types de profils MDM :
- les profils d'inscription ; et
- les profils de configuration.
Profils d'inscription
Comme leur nom l'indique, les profils d'enrôlement sont utilisés pour enrôler des appareils dans votre système MDM. Accompagnés de certificats qui attestent de leur provenance, les profils d'enrôlement préparent les appareils à recevoir des commandes, à installer des logiciels et à accepter des profils de configuration de votre solution MDM. En outre, un profil d'inscription permet à votre MDM de vérifier l'état de l'appareil inscrit, y compris des détails tels que son nom, son état de verrouillage d'activation et son niveau de batterie.
Profils de configuration
Les profils de configuration sont des fichiers XML (se terminant par l'extension .mobileconfig) qui contiennent des données utiles définissant les configurations des appareils. Bien que les profils de configuration soient le plus souvent installés après l'installation d'un profil d'inscription, ils ne nécessitent pas l'installation d'un profil d'inscription. Par exemple, vous pouvez fournir des informations sur le VPN et le compte de messagerie dans le cadre d'un profil de configuration sans exiger que les appareils utilisant ces profils soient enrôlés dans votre MDM.
Les options et les exigences en matière de charge utile varient selon l'appareil. Par exemple, un profil de sécurité AirPlay ne peut être ajouté qu'à une Apple TV, alors que les profils de certificats peuvent être installés sur n'importe quel appareil Apple. Dans la plupart des cas, si une charge utile n'est pas prise en charge par l'appareil, ce dernier l'ignorera.
Comment créer un profil MDM
Les profils sont le plus souvent créés et déployés par des solutions MDM. Ce processus est en grande partie invisible pour les administrateurs et les utilisateurs. Cependant, il est possible de créer des profils de configuration manuellement.
Créer un profil de configuration manuellement
La façon la plus courante de créer des profils de configuration manuellement est d'utiliser Apple Configurator. Pour ce faire, procédez comme suit
1. Dans Apple Configurator, choisissez Fichier > Nouveau profil. Une nouvelle fenêtre de document de profil de configuration s'affiche. 2. Dans le volet Paramètres généraux, remplissez les champs Nom et Identificateur. 3. Pour ajouter une charge utile, sélectionnez-la dans la liste de gauche, cliquez sur Configurer, puis entrez ses paramètres ; les valeurs obligatoires sont marquées d'une icône. Si le type de charge utile autorise plusieurs charges utiles, cliquez sur le bouton Ajouter une charge utile dans le coin supérieur droit du volet des paramètres de charge utile pour en ajouter une autre. 4. Si vous souhaitez signer le profil, choisissez Fichier > Signer le profil, choisissez votre certificat dans le menu contextuel, puis cliquez sur OK. 5. Choisissez Fichier > Enregistrer, nommez le profil, choisissez l'endroit où l'enregistrer, puis cliquez sur Enregistrer.
Modification d'un profil de configuration
1. Dans Apple Configurator , choisissez Fichier > Ouvrir, puis localisez le profil de configuration sur votre Mac. 2. Si le profil de configuration est signé, choisissez Fichier > Désigner le profil. 3. Vous avez alors la possibilité de supprimer ou d'ajouter une charge utile. Pour supprimer, sélectionnez cette option, puis cliquez sur Remove Payload (Supprimer la charge utile) dans le coin supérieur droit. Pour ajouter, sélectionnez cette option, puis modifiez les paramètres. 4. Si vous souhaitez signer le profil, choisissez Fichier > Signer le profil, choisissez votre certificat dans le menu contextuel, puis cliquez sur OK. 5. Lorsque vous avez terminé de modifier le profil, choisissez Fichier > Enregistrer.
Suppression d'un profil MDM
En fonction de la manière dont l'appareil a été enrôlé, les utilisateurs finaux peuvent être en mesure de supprimer les profils de leurs appareils. Dans le cas contraire, seuls les administrateurs peuvent le faire. La suppression peut avoir différentes conséquences, selon le type de profil et les paramètres qu'il configure.
Que se passe-t-il lorsque vous supprimez un profil MDM ?
Si vous supprimez un profil d'enrôlement, tous les profils de configuration installés lors de l'enrôlement de l'appareil seront également supprimés, mais les configurations associées ne seront pas modifiées.
Ainsi, par exemple, si votre profil d'inscription ajoute un compte de messagerie à l'appareil de l'utilisateur et impose à ce dernier de définir un code d'accès à plusieurs caractères, trois choses se produiront si vous le supprimez :
1. Les deux profils de configuration seront également supprimés ; 2. le compte de messagerie sera supprimé ; 3. l'exigence relative au code d'accès sera supprimée, mais le code d'accès ne reviendra pas à son état antérieur. Si l'utilisateur souhaite passer à un code plus simple, il devra modifier manuellement les paramètres de son code dans l'application Paramètres.
Comment supprimer un profil MDM
Les profils sur les appareils supervisés ne peuvent pas être supprimés par l'utilisateur final, à moins que l'appareil ne soit effacé ou que l'administrateur ne les ait configurés pour qu'ils soient amovibles. (Même dans ces cas, le profil peut inclure un mot de passe de suppression, auquel cas l'utilisateur doit saisir ce mot de passe pour supprimer le profil). Sinon, les profils peuvent être supprimés uniquement par la solution MDM.
Si le profil est installé par une solution MDM, il peut être supprimé par cette solution ou en désinscrivant le dispositif.
Dans les autres cas, les profils peuvent être supprimés par l'utilisateur.