Mode supervisé / Supervision

Introduction

Le Mode supervisé, également appelé Supervision, est une stratégie de déploiement introduite par Apple pour que les organisations puissent gérer les appareils iOS, macOS et tvOS. Depuis son introduction avec iOS 5, Supervision a été mis à la disposition des organisations en tant que méthode efficace de gestion des appareils Apple. La supervision signifie qu’une organisation possède et contrôle entièrement les appareils. Les utilisateurs finaux peuvent accéder aux appareils supervisés et les utiliser, mais l’organisation dispose d’un contrôle administratif total. Ainsi, le propriétaire peut décider quelles fonctions peuvent être utilisées sur les appareils en appliquant des restrictions avancées ou en ajustant les paramètres de l’appareil via le système MDM.

Relution prend en charge le type d’inscription via Apple DEP pour mettre les appareils en “mode surveillé”.

Enrôlement automatique →

Mettre les appareils en mode supervisé / Supervised Mode.

Pour pouvoir accéder à toutes les fonctions des appareils Apple via un système MDM, ceux-ci doivent être surveillés ou supervisés. Cet état est obtenu en inscrivant les appareils dans le programme d’inscription des appareils Apple (DEP). Pour ce faire, il est nécessaire d’ajouter les appareils à l’Apple School / Business Manager. Si les appareils sont déjà inscrits, vous pouvez continuer dans la section suivante.

Inscription automatique →

Ajouter des appareils iOS et tvOS à l’école / gestionnaire d’entreprise Apple.

Vous aurez besoin d’un Mac et du logiciel Apple Configurator 2.

Apple Configurator 2 est une application gratuite disponible sur le Mac App Store. L’application peut être utilisée pour configurer manuellement les appareils Apple connectés par USB à un ordinateur Mac avant que les appareils ne soient distribués aux utilisateurs. Pour ce faire, des profils peuvent être créés et appliqués aux appareils. En outre, Apple Configurator 2 permet d’ajouter ultérieurement au DEP des appareils Apple qui n’ont pas encore été ajoutés au DEP par un revendeur agréé. Cette option n’est disponible que pour les iPhones, les iPads et les Apple TV. Les appareils macOS doivent être achetés auprès d’un revendeur agréé pour bénéficier de l’inscription automatique via Apple DEP. D’une manière générale, il est recommandé d’acheter directement les appareils DEP, car leur ajout a posteriori implique un effort manuel.

L"Les appareils Apple qui sont enrôlés via Apple Configurator 2 dans Apple School/Business Manager ne fonctionneront pas de la même manière que les appareils directement enrôlés dans DEP lorsqu’ils ont été achetés auprès d’un revendeur agréé. Même si la suppression manuelle de la gestion MDM a été bloquée sur ces appareils via le profil DEP associé dans le système MDM, les utilisateurs peuvent toutefois supprimer la gestion MDM en se rendant dans “Réglages” > “Général” > “Profils”."

A l’expiration de la période de 30 jours à compter de l’enregistrement, les utilisateurs ne pourront plus supprimer la gestion MDM sur les appareils.

Préparation

Pour que les appareils Apple se connectent automatiquement à Internet et que l’enregistrement ultérieur auprès de DEP soit aussi pratique que possible, il est recommandé de créer un “profil WLAN” à l’avance. Ce profil peut être créé sur un Mac via l’option de menu Fichier > Nouveau profil > WiFi et ensuite sauvegardé en tant que fichier.

Création d’un profil WiFi dans Apple Configurator 2 pour appareils DEP

Ajouter des appareils à DEP

Les appareils Apple doivent être connectés avec un câble USB à un ordinateur Mac, sur lequel le Apple Configurator 2 est ensuite lancé. La boîte de dialogue suivante apparaît :

Appareil Apple détecté dans Apple Configurator 2 lors de l’ajout au DEP

Sélectionnez l’appareil affiché avec le bouton droit de la souris et cliquez sur Prepare.... Dans l’étape suivante, les options suivantes doivent être sélectionnées :

  • Ajouter à Apple School Manager ou Apple Business Manager (éducation/entreprise).
  • Les appareils à coupler avec d’autres ordinateurs doivent être autorisés.

L’option d’activation et d’inscription complète ne doit pas être sélectionnée, sinon l’appareil essaiera directement de s’inscrire. Toutefois, cela nécessite une configuration supplémentaire dans Apple School/Business Manager et Relution après l’ajout au DEP.

Options de préparation DEP dans Apple Configurator 2 pour ajout à Apple School Manager

Dans l’étape suivante, il faut cliquer sur “Nouveau serveur…`” puis sur “Suivant”.

Maintenant, le nom et l’URL du Serveur de Relution correspondant doivent être spécifiés. Le nom peut être choisi arbitrairement. L’URL commence par https:// et correspond par exemple au système Relution live :

  • Pour les appareils iOS https://live.relution.io/
  • Pour les appareils tvOS https://live.relution.io/api/v1/devices/appleMdm/depenroll.

Les appareils fournis doivent être gérés sur le système de test Relution.

Saisie du nom et de l’URL du serveur Relution dans Apple Configurator 2

L’étape suivante consiste à sélectionner le certificat affiché. S’il y a plusieurs certificats, le premier est sélectionné.

Le serveur est alors défini et stocké dans le Apple Configurator 2. L’information est à nouveau disponible pour ajouter ultérieurement d’autres appareils au Programme d'inscription des appareils.

Maintenant, dans le dialogue suivant, New Organization... est sélectionné et confirmé avec Next.

L’étape suivante consiste à se connecter au serveur Apple DEP. Pour ce faire, l’Apple ID et le mot de passe du compte Apple School / Business Manager respectif sont saisis.

Connexion à Apple DEP avec l’identifiant Apple dans Apple Configurator 2

Si nécessaire, cette connexion doit être confirmée par une authentification à 2 facteurs (saisie d’un code à 4 chiffres envoyé par SMS).

Il faut maintenant sélectionner “Créer une nouvelle identité d’aidant” et confirmer avec “Suivant”. Les données de l’organisation sont également sauvegardées par Apple Configurator 2, de sorte qu’elles peuvent être réutilisées plus tard et qu’il n’est pas nécessaire de créer une nouvelle organisation.

Ensuite, les étapes de configuration qui ne doivent pas être sautées lors de la configuration des appareils sont sélectionnées dans le dialogue suivant. L’option Services de localisation doit être sélectionnée, sinon l’appareil Apple ne sera pas assigné au bon fuseau horaire.

Sélection des étapes de configuration à ne pas ignorer dans Apple Configurator 2

Ensuite, vous devez sélectionner un profil de configuration WLAN qui a été précédemment créé dans Apple Configurator 2 via Fichier > Nouveau Profil. Ce profil sera automatiquement adopté par l’appareil après le redémarrage et établira directement une connexion Internet.

Sélection du profil WiFi pour connexion automatique lors du démarrage de l’appareil

Cela permet à l’appareil Apple de transférer l’enregistrement ultérieur du DEP aux serveurs Apple. Au lieu du profil WLAN, la connexion Internet de l’ordinateur Mac peut également être partagée avec l’appareil connecté via la connexion USB. Si aucun profil n’est sélectionné, les réglages WiFi sont entrés manuellement lorsque les appareils sont redémarrés. Il faut choisir “Préparer” pour redémarrer l’appareil. Il est automatiquement enrôlé dans le DEP et ensuite assigné manuellement au serveur MDM Relution approprié dans Apple School / Business Manager.

Par défaut, les appareils sont affectés à Apple Configurator 2 via ce chemin.

Préparation et redémarrage de l’appareil pour l’enrôlement DEP dans Apple Configurator 2

Réglages dans Apple School and Business Manager

Après avoir ajouté manuellement des appareils Apple dans DEP, il faut les affecter au serveur MDM souhaité dans Apple School / Business Manager. Il est également possible de configurer un paramètre dans Apple School / Business Manager, de sorte que les nouveaux appareils soient automatiquement affectés à un serveur MDM défini. Toutes les options de configuration sont décrites dans la documentation en ligne d’Apple.

Affectation de l’appareil au serveur MDM dans Apple School Business Manager

Certificat de supervision

Pour protéger les appareils DEP et empêcher tout accès non autorisé, Relution vous permet de désactiver l’option «Autoriser la connexion aux Mac ou PC et la configuration avec Apple Configurator» dans le profil DEP. Ceci empêche l’appareil Apple de se connecter à un Mac ou un PC et d’être configuré ultérieurement à l’aide d’Apple Configurator. Par exemple, cela empêche les utilisateurs de supprimer le profil MDM. Cette configuration ne peut être modifiée qu’après une réinitialisation de l’appareil. Option de blocage de connexion Mac ou PC dans le profil DEP Relution

À quoi faut-il faire attention lors de l’utilisation de ce paramètre ? Dans certains cas, le blocage de l’accès via un Mac ou un PC peut empêcher l’administrateur de réinitialiser manuellement un appareil depuis un ordinateur. Cela peut se produire, par exemple, si les paramètres Wi-Fi sont mal configurés ou si le serveur MDM dysfonctionne. L’appareil n’est alors plus accessible via Relution et ne peut plus être géré ni réinitialisé. On parle alors d’effet de verrouillage. Effet de verrouillage d’un appareil DEP inaccessible sans certificat de supervision

Comment garantir un accès autorisé avec Relution? Avec la version serveur 5.13, Relution autorise les connexions aux Mac et PC, même si le profil DEP les interdit. Lors de l’inscription d’appareils DEP dans Relution, un certificat de supervision est généré automatiquement. Grâce à ce certificat, l’administrateur peut connecter l’appareil à un Mac ou un PC malgré la restriction. Pour ce faire, le certificat est téléchargé depuis Relution et spécifié une seule fois lors de la connexion via Apple Configurator. Le certificat est ensuite disponible au téléchargement dans les détails de l’appareil. L’appareil est alors de nouveau accessible.

Avec Relution, l’appareil est de nouveau accessible. Que faut-il prendre en compte lors du déverrouillage de l’appareil ?

Voici la procédure de déverrouillage via Apple Configurator:

  1. Téléchargez le certificat de supervision et copiez le mot de passe. Téléchargement du certificat de supervision et copie du mot de passe dans Relution
  2. Créez une nouvelle organisation dans les réglages d’Apple Configurator et saisissez votre identifiant Apple et le code de vérification.
  3. Sélectionnez votre identité de superviseur existante et cliquez sur Suivant. Sélection de l’identité de superviseur existante dans Apple Configurator
  4. Ouvrez ensuite le certificat de supervision téléchargé sur votre ordinateur à l’aide du mot de passe fourni par Relution. Le Trousseau contenant le certificat s’ouvre.
  5. Le certificat apparaît alors dans la boîte de dialogue Apple Configurator, sous Identités de superviseur, pour sélection. Certificat de supervision affiché dans la liste des identités de superviseur Apple Configurator
  6. Créez une organisation. Création de l’organisation dans Apple Configurator pour déverrouiller l’appareil
  7. L’appareil est maintenant déverrouillé et peut être géré via Apple Configurator. Appareil DEP déverrouillé et accessible via Apple Configurator

Que faut-il prendre en compte lors de l’utilisation du certificat de supervision?

Le certificat est généré uniquement lors de l’inscription de nouveaux appareils au programme DEP. Durant cette inscription, il est automatiquement créé et installé sur l’appareil. Cette fonctionnalité ne s’applique pas aux appareils déjà inscrits, et aucun certificat n’est généré pour ces derniers.