Séparation des données

Motivation

Lors de l’utilisation d’appareils mobiles, on accède à des données de toutes sortes. La conformité de la protection des données doit être garantie. On distingue les appareils appartenant à l’entreprise, appelés “Corporate Owned devices” (COD), et les appareils appartenant à l’utilisateur, appelés “Bring Your Own Devices” (BYOD). Pour les deux types d’utilisation, les fabricants des systèmes d’exploitation d’appareils mobiles iOS et Android proposent désormais leurs propres technologies de séparation des données. Ces “moyens embarqués” et leur mise en œuvre dans Relution sont décrits en détail ci-après.

iOS - Appareils appartenant à l’entreprise

Différenciation géré / non géré

Depuis iOS12, Apple fait fondamentalement la distinction entre “managed” et “unmanaged” pour les objets suivants :

Appareils gérés

  1. Apps- poussées par Relution ou installées via l’Appstore de Relution Enterprise, configurables par le serveur.
  2. Comptes de messagerie - configurés par Relution via une stratégie.
  3. Contacts - chargés depuis le compte de messagerie géré vers l’appareil (synchronisés).
  4. Documents - chargés depuis le compte de messagerie géré vers l’appareil (synchronisés).

Appareils non gérés

  1. Apps - installées par l’utilisateur à partir de l’AppStore d’Apple, non configurables par le serveur.
  2. Comptes de messagerie - configurés sur l’appareil par l’utilisateur.
  3. Contacts - créés par l’utilisateur.
  4. Documents - générés par l’utilisateur dans des applications non gérées ou reçus dans des comptes de messagerie non gérés.

Une application non gérée peut être convertie en une application gérée en étant à nouveau poussée par Relution. Elle remplace l’application non gérée du même nom sur l’appareil. Cependant, les comptes de messagerie, les contacts et les documents non gérés ne peuvent pas être transférés vers des applications gérées.

Restrictions d’accès

Dans iOS, les données sont séparées du côté du système au moyen d’une politique qui vous permet de définir si l’accès aux données gérées à partir d’applications non gérées doit être autorisé ou non. À cette fin, la configuration “Restrictions” en tant que partie d’une politique dans Relution offre les options de restriction suivantes :

  • Interdire l’ouverture de documents gérés dans des applications non gérées.
  • Autoriser l’ouverture de documents non gérés dans les applications gérées.
  • Interdire aux applications non gérées l’accès aux contacts gérés.
  • Autoriser l’ouverture de documents non gérés dans les applications gérées.
  • Autoriser les applications gérées à écrire des contacts non gérés.
  • Considérer généralement les cibles AirDrop comme non gérées.
  • Interdire le déplacement de messages vers des comptes de messagerie non gérés.

Par exemple, les éléments suivants peuvent être empêchés :

  • Une application privée (par exemple WhatsApp) qui voit des contacts professionnels (Exchange).
  • Un courrier professionnel est transféré à volonté.
  • Une pièce jointe d’un courrier professionnel est ouverte dans n’importe quelle application (par exemple Dropbox).

Restrictions iCloud

Afin d’empêcher la sortie incontrôlée de données, Relution offre la possibilité d’interdire ou au moins de restreindre complètement les comptes cloud. Les fonctions suivantes peuvent être désactivées :

  • Sauvegardes iCloud
  • synchronisation du trousseau iCloud
  • Autoriser les applications gérées à stocker des données dans iCloud
  • Enregistrement de photos dans iCloud
  • Synchronisation des documents iCloud.

Restrictions fonctionnelles

Enfin, certaines fonctions du système iOS peuvent être considérées comme des critères de sécurité des données et peuvent également être désactivées par restriction :

  • Blocage/autorisation de l’application
  • Blocage/autorisation des URL Web
  • AirDrop (peut être complètement désactivé)
  • Partage du mot de passe
  • Accès à l’AppStore d’Apple
  • Captures d’écran et enregistrements
  • Appareil photo (peut être complètement désactivé, y compris pour les fonctions in-app)
  • Création et modification de comptes (Mail, Apple ID)
  • Bluetooth
  • Installation de profils VPN
  • Connexions USB.

Via l’application VPN

En tant que mesure importante de protection des données, iOS offre la possibilité de coupler en permanence la connexion de données des applications à une connexion VPN, qui peut à son tour être reconfigurée par le serveur Relution. Cela permet de s’assurer que certaines applications ne fonctionnent que sur le réseau de l’entreprise et que l’accès externe est empêché (intranet uniquement).

iOS - Apportez vos propres appareils

Jusqu’à iOS 12, il était courant d’utiliser une application conteneur sur les appareils iOS BYOD qui pouvait être configurée du côté du serveur et garantissait ainsi la séparation des données professionnelles et privées.

Entre-temps, iOS propose une “solution de conteneur” intégrée pour séparer les applications et les données professionnelles des données privées. À cette fin, un appareil iOS est ajouté à Relution par le biais d’une inscription (BYOD) dans l’inventaire. Un profil MDM est ainsi installé sur l’appareil, ce qui permet de le gérer via Relution. Techniquement, une distinction est alors faite entre les applications et le contenu “gérés” et “non gérés”. Cela transforme l’appareil iOS en un appareil à “double personnalité” et sépare complètement les données. Des restrictions peuvent également être utilisées pour contrôler si les données peuvent être partagées entre les applications “gérées” et “non gérées”.

Différentes configurations peuvent être chargées sur les appareils et gérées par Relution :

  • Apps
  • Configuration VPN
  • Notes (d’autres applications système suivront dans les prochaines versions d’iOS)
  • Compte iCloud
  • Trousseau
  • Comptes de messagerie / pièces jointes
  • Comptes de calendrier / pièces jointes.

Si le profil MDM est supprimé, toutes les applications et tous les contenus gérés sont supprimés. Cette action peut être effectuée via Relution ou sur l’appareil lui-même.