Séparer les données professionnelles et personnelles sur les appareils iOS

Éditions compatibles avec cette fonctionnalité : Frontline Starter, Frontline Standard et Frontline Plus ; Business Plus ; Enterprise Standard et Enterprise Plus ; Education Standard, Education Plus et Endpoint Education Upgrade ; Enterprise Essentials et Enterprise Essentials Plus ; G Suite Basic et G Suite Business ; Cloud Identity Premium. Comparer votre édition

En tant qu'administrateur, vous pouvez gérer toutes les données de l'appareil iOS personnel d'un utilisateur ou uniquement les données professionnelles. L'enregistrement de l'utilisateur Apple sépare les données professionnelles des données personnelles sur les appareils iOS afin de vous permettre de contrôler entièrement les données professionnelles stockées sur l'appareil, tout en préservant la confidentialité des données personnelles des utilisateurs.

Comparer les options d'enregistrement des appareils iOS

Vous pouvez choisir entre l'enregistrement de l'appareil et l'enregistrement de l'utilisateur pour les appareils iOS BYOD. Chaque type d'enregistrement vous donne accès à un ensemble différent de fonctionnalités.

• Utilisez l'enregistrement de l'utilisateur si vous souhaitez sécuriser les données professionnelles de l'appareil et préserver la confidentialité de ses données personnelles.
• Utilisez l'enregistrement de l'appareil pour mieux contrôler l'appareil, y compris pour pouvoir en effacer les données.

Fonctionnalité de gestion des appareils mobiles	Enregistrement des appareils	Enregistrement de l'utilisateur
Configurer des comptes pour accéder aux données professionnelles dans les applications iOS intégrées	✔	✔
Installer et configurer des applications	✔	✔
Exiger des mots de passe pour les appareils	✔	✔
Voir l'inventaire des applications professionnelles	✔	✔
Supprimer uniquement les données professionnelles	✔	✔
Exiger un mot de passe sécurisé	✔
Accéder à l'inventaire des applications personnelles	✔
Effacer à distance l'intégralité de l'appareil (y compris les données personnelles)	✔

Avant de commencer

• L'enregistrement de l'utilisateur est possible sur les appareils personnels équipés d'iOS 15.5 ou version ultérieure. Il n'est pas disponible pour les appareils appartenant à l'entreprise.

Remarque : La méthode d'enregistrement de l'utilisateur basée sur les profils (compatible avec iOS 15.5 et versions ultérieures) n'est plus compatible avec les appareils exécutant iOS 18 et versions ultérieures.

• Préparez les informations de connexion pour la console d'administration Google, et l'Apple Business Manager ou l'Apple School Manager de votre organisation.
• Activez la gestion avancée des appareils mobiles pour l'unité organisationnelle qui utilisera les appareils.
• Configurez le programme d'achat en volume (VPP) Apple pour distribuer des applications professionnelles aux utilisateurs.

Étape 1 : Associez Apple Business Manager à Google Workspace

Vous devez associer Apple Business Manager ou Apple School Manager à Google Workspace pour que les utilisateurs puissent utiliser leur nom d'utilisateur Google Workspace comme Identifiant Apple géré. Ils pourront l'utiliser pour se connecter à leur appareil iOS. Vous avez besoin de licences pour l'application Google Device Policy et toute autre application que vous souhaitez distribuer sur les appareils enregistrés par les utilisateurs. Pour associer Apple Business Manager à Google Workspace :

1. Ouvrez Apple Business Manager ou Apple School Manager, puis connectez-vous avec votre ID Apple professionnel.
2. En bas à gauche, sélectionnez votre nom Préférences Comptes Apple gérés.
3. À côté de Authentification fédérée, cliquez sur Modifier.
4. Sélectionnez Google Workspace Connecter, puis connectez-vous avec votre compte administrateur Google Workspace.
5. Cochez la case à côté de chacune des autorisations demandées, puis cliquez sur Continuer.  OK.
6. À côté de Domaines, cliquez sur Modifier.
7. À côté de votre domaine validé, cliquez sur Fédérer.
8. À gauche, cliquez sur Directory Sync et activez Google Workspace Sync.

Étape 2 : Obtenez des licences d'application pour Google Device Policy

Vous avez besoin de licences pour l'application Device Policy et toute autre application que vous souhaitez distribuer sur les appareils enregistrés par les utilisateurs. Pour en savoir plus, consultez Distribuer des applications iOS via le programme VPP Apple.

Étape 3 : Sélectionnez le type d'enregistrement

Avant de commencer : Si vous avez des appareils avec des exigences d'enregistrement différentes, configurez une unité organisationnelle pour chaque type d'enregistrement. Par exemple, les appareils appartenant à une entreprise sont enregistrés par un appareil. Assurez-vous donc qu'ils se trouvent dans une unité organisationnelle pour laquelle l'option "Enregistrement de l'appareil" ou "Choix de l'utilisateur" est sélectionnée. Pour en savoir plus, consultez Ajouter une unité organisationnelle.

1. Dans la console d'administration Google, accédez à Menu  Appareils Mobiles et points de terminaison Paramètres iOS. 

   Accéder à la page "iOS"

   Vous devez disposer du droit d'administrateur Services et appareils.

2. Cliquez sur Enregistrement.
3. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
4. Choisissez une option (une par unité organisationnelle) :
   • (Par défaut) Pour gérer les données professionnelles et personnelles sur les appareils iOS personnels, sélectionnez Enregistrement de l'appareil.
   • Pour gérer uniquement les données professionnelles sur les appareils personnels, sélectionnez Enregistrement de l'utilisateur.
      Pour appliquer le paramètre uniquement aux nouveaux appareils, cochez la case Autoriser l'enregistrement d'un appareil pour les utilisateurs existants.
   • Pour laisser l'utilisateur décider du type d'enregistrement, sélectionnez Choix de l'utilisateur.
     • Si l'utilisateur choisit l'option "Enregistrement de l'appareil", il doit installer l'application Google Device Policy et le profil de configuration. Pour en savoir plus, consultez Installer l'application Google Device Policy.
     • S'il choisit l'option "Enregistrement de l'utilisateur", passez à l'étape 5 (plus loin sur cette page) pour savoir comment enregistrer l'appareil.
5. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

   Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.

Étape 4 : Configurez l'enregistrement de l'utilisateur basé sur le compte

Obligatoire pour les appareils iOS 18 et versions ultérieures. Facultatif pour les appareils iOS 17 et versions antérieures.

Configurez l'enregistrement de l'utilisateur basé sur le compte afin que les utilisateurs puissent enregistrer leurs appareils personnels dans l'application Réglages iOS. Pour ce faire, vous devez configurer la découverte des services en hébergeant les informations d'enregistrement sur votre serveur Web. Apple peut ainsi récupérer les informations à partir de la gestion Google des points de terminaison.

Configurer la découverte des services

1. Définissez le document JSON de découverte des services :

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Configurez votre hébergement Web pour qu'il diffuse le document JSON depuis l'emplacement suivant :

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Important :

   • Assurez-vous que l'en-tête Content-Type de la réponse HTTP est défini sur application/json.
   • Le certificat SSL du serveur Web doit être émis par une autorité de certification approuvée et avoir le même nom de domaine complet que le domaine validé configuré à l'étape 1 (plus haut sur cette page).
   • La configuration de la découverte des services doit être hébergée sur un serveur compatible avec les requêtes HTTPS GET.

3. Vérifiez la configuration de la découverte des services en exécutant la commande suivante :

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Assurez-vous que le serveur Web qui diffuse le fichier JSON peut gérer des paramètres d'URL supplémentaires. Certaines versions d'iOS peuvent ajouter les paramètres suivants à la requête HTTP GET :

   • user-identifier : identifiant du compte utilisateur (par exemple, email@yourdomain.com)
   • model-family : famille de modèles de l'appareil (par exemple, iPhone ou iPad)

   La commande doit imprimer une réponse semblable à :

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Cette configuration permet à l'appareil iOS de trouver les serveurs d'enregistrement Google MDM lors du processus d'enregistrement basé sur le compte. Lorsqu'un utilisateur saisit l'adresse e-mail de son compte Apple géré, les événements suivants se produisent :

1. L'appareil extrait le nom de domaine du compte Apple géré.
2. L'appareil envoie une requête HTTP au serveur Web hébergeant les informations d'enregistrement.

Exemple
Si l'utilisateur Andy Jones se connecte à un appareil avec l'identifiant Apple géré andy.jones@yourdomain.com :

• L'appareil extrait yourdomain.com et utilise le processus de découverte des services pour envoyer une requête HTTPS concernant les informations d'enregistrement hébergées sur https://your_domain/.well-known/com.apple.remotemanagement.
• L'appareil identifie Google MDM à partir de la configuration de la découverte des services et lance l'enregistrement.

Pour en savoir plus sur le processus de découverte des services, consultez la documentation sur la découverte des serveurs d'authentification sur le site Web Apple Developer.

Étape 5 : Demandez aux utilisateurs d'enregistrer leur appareil

Pour enregistrer des appareils iOS à gérer, demandez aux utilisateurs de procéder comme suit :

1. Si l'appareil de l'utilisateur était déjà enregistré en vue d'être géré, demandez-lui d'annuler l'enregistrement de son compte Google Workspace dans l'application Device Policy, puis de désinstaller l'application. Pour en savoir plus, consultez Gérer l'application Device Policy.
2. Sélectionnez une option :
   • Si vous avez configuré l'enregistrement de l'utilisateur basé sur le compte (voir plus haut dans cet article), demandez-leur d'appuyer sur Réglages Général VPN et gestion des appareils Se connecter à un compte professionnel ou scolaire, puis de se connecter avec leur compte Workspace.
   • Sinon, demandez aux utilisateurs de se connecter avec leur compte professionnel dans l'application Gmail installée depuis l'App Store d'Apple.
3. Suivez les instructions pour installer le profil de configuration. L'utilisateur devra peut-être accéder à l'application Réglages iOS pour installer le profil téléchargé. L'application Google Device Policy est installée automatiquement.
4. L'utilisateur doit se connecter à l'application Device Policy après l'avoir téléchargée. Pour en savoir plus, consultez Configurer un appareil personnel.
5. Installez les applications gérées à partir de l'application Device Policy. Si une application est marquée comme Obligatoire dans l'application Device Policy, l'utilisateur doit la désinstaller, puis la réinstaller à partir de l'application Device Policy. Pour en savoir plus, consultez Obtenir des applications professionnelles approuvées sur les appareils iOS.

Remarque : Pour des raisons de confidentialité, la gestion Google des points de terminaison ne peut pas lire la liste des applications installées sur les appareils enregistrés par les utilisateurs. Si un utilisateur n'a pas encore installé d'application gérée depuis l'application Device Policy, nous ne pouvons pas savoir si l'application est déjà installée en tant qu'application non gérée depuis l'App Store. Si l'application est déjà installée sur l'appareil, l'utilisateur doit la désinstaller avant de l'installer depuis l'application Device Policy. Pour en savoir plus sur la protection de la confidentialité de l'utilisateur, consultez la documentation Apple.

Article associé

Gérer les applications mobiles pour votre organisation