Lorsque les utilisateurs apportent leurs appareils au travail ou à l’école, ils ne veulent pas que les administrateurs informatiques gèrent tout l’appareil. Jusqu’à présent, Apple n’offrait au système informatique que deux façons de gérer les appareils iOS scolaires ou professionnels : les enregistrements d’appareils, les capacités de gestion des appareils pour les administrateurs et l’installation automatique d’un profil offrant les mêmes fonctionnalités de gestion. Lors de la WWDC, Apple a annoncé l’introduction d’une troisième méthode : l’enregistrement de l’utilisateur.

données privées, iPhone iPad en entreprise

Cette nouvelle option d’enregistrement MDM (gestion des appareils mobiles) est conçue pour mieux équilibrer les besoins informatiques et protéger les données privées de l’entreprise, avec la possibilité de gérer les logiciels et les paramètres disponibles pour les utilisateurs tout en préservant la confidentialité des données privées de la supervision informatique.

Selon Apple, lorsque les besoins des utilisateurs et des systèmes informatiques sont équilibrés, les utilisateurs sont plus enclins à accepter un plan commercial « Take your device » (BYOD), qui permet aux entreprises d’économiser de l’argent lors de l’achat d’un smartphone ou d’une tablette.

L’option pour les nouveaux utilisateurs enregistrés dans MDM comporte trois composants : un identifiant Apple géré alternatif à l’identifiant personnel ; séparation cryptographique des données personnelles et professionnelles ; un ensemble limité de fonctionnalités de gestion au niveau du périphérique pour le service informatique.

L’ID Apple géré sera l’identité professionnelle de l’utilisateur sur le périphérique et sera créé par l’administrateur dans l’Apple School Manager ou l’Apple Business Manager, selon qu’il s’agisse d’une école ou d’une entreprise. L’utilisateur peut accéder à cet identifiant Apple lors du processus d’inscription. À partir de ce moment et jusqu’à la fin de l’enregistrement, les applications et les comptes gérés de l’entreprise utiliseront le compte iCloud du nouvel identifiant Apple géré. Dans le même temps, les applications et comptes personnels de l’utilisateur utiliseront leur compte personnel iCloud s’ils ont été consultés.

Cela signifie que les utilisateurs ne pourront pas changer de mode ni exécuter les applications simultanément dans les deux modes. Toutefois, certaines applications intégrées telles que Notes sont basées sur des comptes, ce qui signifie que l’application utilisera l’identifiant Apple approprié, géré ou personnel, en fonction du compte sur lequel vous travaillez actuellement.

Pour séparer les données personnelles et professionnelles, iOS crée un volume géré APFS lors de son enregistrement. Le volume utilise des clés cryptographiques distinctes qui sont détruites avec le volume lui-même à la fin de la période d’enregistrement. Le volume géré hébergera les données locales stockées par toute application tierce gérée. Le même volume hébergera également un trousseau géré qui stockera des objets sécurisés tels que des mots de passe et des certificats, des informations d’authentification pour les comptes gérés et des pièces jointes. Le volume système héberge une base de données centrale pour le courrier, comprenant des métadonnées et cinq aperçus de ligne, mais cette opération est supprimée une fois l’enregistrement terminé.

Les applications personnelles des utilisateurs et leurs données ne peuvent pas être gérées par l’administrateur informatique. Par conséquent, les données associées ne risquent jamais d’être lues ou supprimées. Entre autres choses, contrairement aux abonnements sur le périphérique, les enregistrements d’utilisateur ne doivent pas nécessairement partager des UDID ou d’autres identifiants uniques avec le service informatique. Avec ce système, un nouvel identifiant appelé « ID d’enregistrement » est créé. Cet identifiant est utilisé avec le serveur MDM pour toutes les communications et est détruit à la fin de l’enregistrement.

De plus, l’administrateur ne peut même pas savoir quelles applications personnelles sont installées sur l’appareil, uniquement pour protéger la confidentialité. Et il ne sera plus possible de supprimer à distance les données et les applications de l’utilisateur, car l’opération de suppression aura une incidence sur dans le cas uniquement les données « gérées » de l’entreprise ou de l’école.

Une autre nouvelle fonctionnalité des abonnements utilisateur est la manière dont le trafic des comptes gérés est géré via le VPN de l’entreprise. À l’aide de la fonctionnalité VPN, le trafic des applications intégrées Mail, Contacts et Calendriers ne transitera par le VPN que si les domaines correspondent à ceux de la société. Par exemple, mail.acme.com peut passer par le VPN, mais pas mail.aol.com. En d’autres termes, le courrier personnel de l’utilisateur reste privé.

Ces modifications devraient donc inciter les employés à accepter les règles BYOD (utilisation d’appareils personnels en tant qu’ « entreprise »), jusqu’à présent presque toujours refusées précisément en raison de l’impact sur la confidentialité et les données personnelles.

Partager un commentaire