WWDC : Quoi de neuf pour les administrateurs d'entreprise et la gestion des appareils ?

Par Jonny Evans, Computerworld |

Appleholic, (nom), æp·əl-hɑl·ɪk : une personne imaginative qui réfléchit à ce que fait Apple, pourquoi et où elle va. Offre des actualités, des conseils et des divertissements populaires liés à Apple depuis 1999.

Apple Silicon, les nouveaux Mac et le nouveau Vision Pro étaient les stars du matériel lors de la WWDC 2023 de cette semaine, mais les professionnels de l'informatique devraient savoir ce qu'il y a de nouveau pour leur faciliter la vie et les aider à gérer les appareils plus efficacement. Voici un bref aperçu des changements importants identifiés jusqu'à présent.

Mais d'abord, considérez ceci. Avec l'utilisation rapide de ses produits dans l'entreprise, Cupertino comprend les principales préoccupations des déploiements massifs d'appareils Apple, telles que l'administration, la gestion et la sécurité.

Dans cet esprit, il n'est pas surprenant de constater à la WWDC que l'entreprise suit son marché. Même l'introduction de MDM pour Apple Watch reflète une tendance dans certaines entreprises à utiliser ces appareils de nouvelles façons intéressantes, comme la façon dont cela se fait chez Volvo.

Ceux-ci deviennent plus polyvalents cette année avec les mises à jour de Continuity, Apple Wallet et iCloud Keychain. Les administrateurs bénéficient également d'un contrôle supplémentaire pour encourager les utilisateurs à se connecter aux applications et aux services dont ils ont besoin. Les identifiants Apple gérés peuvent également être utilisés dans davantage de situations, par exemple lors de l'inscription d'un appareil afin de séparer les données personnelles et professionnelles.

Apple School Manager (ASM) et Apple Business Manager (ABM) prennent déjà en charge les systèmes d'identité fédérée tels qu'Okta, Azure, OAuth et Workspace. Cette année, la prise en charge d'OpenID Connect est ajoutée au mélange, ce qui facilitera grandement la vie des entreprises qui cherchent à fusionner plusieurs plates-formes autour d'un seul service d'autorisation d'identité.

Une autre amélioration utile des identifiants gérés est l'ajout de la prise en charge du trousseau iCloud. Cela permet au service informatique de déployer automatiquement des codes d'accès et des clés d'accès sur les appareils gérés et devrait constituer un bon pas en avant vers une entreprise sans mot de passe. Cela s'appuie sur la possibilité, également annoncée lors de la WWDC 2023, pour des groupes d'utilisateurs d'ajouter et de modifier des mots de passe et des clés d'accès, afin que tous les membres du groupe puissent se tenir au courant.

Apple a beaucoup travaillé sur la gestion déclarative des appareils cette année. Les améliorations discutées lors du salon incluent de nouvelles façons de déployer des applications, des certificats et, sur macOS, même de gérer les fichiers de configuration de service communs.

Dans une démarche qui sera bien accueillie dans de nombreux milieux, les administrateurs informatiques peuvent désormais appliquer les mises à jour logicielles à des délais spécifiques avec une meilleure transparence pour les utilisateurs.

Une autre amélioration signifie que les administrateurs peuvent utiliser MDM pour gérer et installer plusieurs versions d'une application sur Mac.

De nombreuses organisations souhaitent s'assurer que certaines configurations de sécurité sont en place avant même que le Mac ne soit inscrit et que l'utilisateur ne se connecte pour la première fois. Ils peuvent vouloir que FileVault soit activé et que le Mac exécute une version spécifique du système d'exploitation. Apple à la WWDC a annoncé les améliorations suivantes :

macOS 14 permet à MDM d'exiger l'activation de FileVault pendant l'assistant de configuration. La clé de récupération peut ensuite être partagée avec l'utilisateur final lors de la configuration ou gérée par le système MDM.

MDM peut exiger que l'appareil soit sur une version spécifique du système d'exploitation afin de s'inscrire, ce qui signifie qu'un utilisateur ne peut pas accéder aux services de l'entreprise tant qu'ils ne sont pas mis à jour. Cela fonctionne en utilisant JSON pour informer MDM du système d'exploitation qu'un appareil exécute. Si une nouvelle version est requise, l'utilisateur sera guidé tout au long du processus de mise à jour.

À l'heure actuelle, lorsqu'un utilisateur tente de configurer un Mac qui n'est pas connecté à un réseau, l'inscription MDM est ignorée et l'utilisateur est invité à inscrire la machine. (En effet, la configuration repose en partie sur les appels JSON aux serveurs d'autorisation et MDM.)

Apple a changé cela. Tout d'abord, l'assistant de configuration occupe tout l'écran et donne aux utilisateurs le choix lors de la configuration du Mac : inscrire le Mac immédiatement ou "Pas maintenant", ce qui donne un sursis de huit heures avant d'être obligé de le faire.

Cela permet de s'assurer que les Mac sont inscrits dans MDM et que les données ne sortent pas trop facilement du périmètre des appareils gérés.

macOS Ventura a permis aux utilisateurs de s'authentifier une fois avec un compte du fournisseur d'identité de l'organisation et d'avoir accès à tous leurs services approuvés. macOS Sonoma étend cela avec des outils pratiques pour vous permettre de réparer ou de réauthentifier l'enregistrement et/ou la création à la demande d'un compte local dans lequel l'utilisateur se connecte avec ses informations d'identification ou sa carte à puce pour créer/authentifier un compte.

Apple a apporté quelques modifications ici. L'un d'entre eux implique une gestion plus stricte de la conformité des mots de passe, ce qui signifie que les mots de passe faibles seront signalés et que l'utilisation continue d'un mot de passe faible informera l'utilisateur et lui conseillera de le changer. Un autre changement voit de nouvelles restrictions en place pour empêcher les utilisateurs d'appareils gérés de modifier les identifiants Apple ID et les comptes Internet ou d'ajouter des comptes d'utilisateurs locaux.

Apple a introduit Managed Device Attestation pour iOS en 2022. L'idée est qu'une fois le système mis en place, il permet de garantir que seuls les appareils légitimes peuvent accéder aux ressources de l'entreprise. Cette protection est désormais également disponible sur Mac. Apple a également étendu le système, de sorte qu'il surveille davantage d'éléments du système (tels que l'ID de l'appareil ou la version du système d'exploitation), ce qui ajoute des couches de sécurité supplémentaires pour les systèmes protégés par Managed Device Attestation.

De nombreuses entreprises et écoles constatent une rotation relativement rapide de l'utilisation des appareils. Un iPad peut passer par plusieurs utilisateurs en un mois ou une semaine. Bien que la suppression des anciennes données de l'appareil soit relativement facile, la configuration devait être effectuée manuellement. Le retour au service automatise certaines de ces étapes, de sorte que l'appareil est non seulement effacé, mais également réinitialisé, inscrit dans MDM et connecté au Wi-Fi afin qu'il soit prêt pour une utilisation immédiate une fois que la prochaine personne l'attrape.

Un nombre croissant d'entreprises adoptent les réseaux privés 5G et LTE. Ceux-ci prennent en charge le type de niveaux de service et de latence requis par les technologies d'entreprise de nouvelle génération, ou pour fournir une connectivité réseau sur des zones plus étendues que celles prises en charge par le Wi-Fi.

Les iPad prenaient déjà en charge les réseaux LTE et 5G privés, y compris avec le déploiement eSIM basé sur MDM. Cette capacité arrive maintenant sur les iPhones, tout comme la prise en charge des réseaux 5G autonomes privés. Le support d'Apple est assez important, car la société a également trouvé comment utiliser ces réseaux plus économes en énergie ; La prise en charge basée sur la carte SIM n'est activée qu'en cas de besoin, grâce à la géolocalisation. Apple a également introduit la prise en charge du découpage du réseau 5G, qui est une technologie prometteuse conçue pour gérer efficacement les demandes émergentes de services et d'appareils connectés.

Apple a également introduit une nouvelle façon de fournir un accès sécurisé aux ressources du réseau d'entreprise : les relais. Pris en charge de manière native sur les appareils Apple, il s'agit de proxys sécurisés qui, selon la société, offrent une meilleure expérience utilisateur et sont plus faciles à gérer que les services VPN traditionnels. Ils peuvent également être configurés à l'aide de MDM.

Apple Configurator pour iPhone est un outil largement utilisé par le service informatique pour ajouter des appareils à ASM ou ABM. Le changement est que les utilisateurs peuvent désormais attribuer leur propre appareil à un serveur MDM à partir du configurateur. Ils ont trois choix : Ne pas attribuer ; attribuer au serveur MDM par défaut ; ou attribuer à un serveur MDM sélectionné appartenant à l'entreprise. Lorsqu'un utilisateur se connecte avec son identifiant Apple géré, une liste des serveurs MDM disponibles pour lui et son appareil lui est présentée.

Apple a créé un lot de raccourcis pour Apple Configurator. Ceux-ci incluent des raccourcis pour mettre à jour, restaurer, effacer et préparer les iPhones et iPads. Lors de la WWDC, Apple a démontré une utilisation de ceux-ci dans laquelle une série de raccourcis ont été utilisés pour configurer et approvisionner un iPad. Apple exhorte les développeurs MDM à intégrer ces raccourcis, il semble donc assez clair qu'il a l'intention d'automatiser autant que possible le processus de configuration et de gestion.

Suivez-moi sur Mastodon ou rejoignez-moi dans les groupes AppleHolic's bar & grill et Apple Discussions sur MeWe.

Jonny est un écrivain indépendant qui écrit (principalement sur Apple et la technologie) depuis 1999.

Copyright © 2023 IDG Communications, Inc.