Les profils sont votre principal moyen de gestion des terminaux. Configurez les profils pour que vos terminaux iOS restent sécurisés et configurés dans vos paramètres privilégiés. Considérez les profils de sécurité comme des paramètres facilitant l'application des procédures de l'entreprise, lorsqu'ils sont combinés à des politiques de conformité. Ils contiennent les paramètres, les configurations et les restrictions que vous souhaitez appliquer aux terminaux.
Un profil est composé des paramètres de profil généraux et d'une section de configuration spécifique. Les profils fonctionnent mieux lorsqu'ils ne contiennent qu'une seule section de configuration.
Les profils iOS s'appliquent sur un terminal au niveau de l'utilisateur ou du terminal. Lors de la création de profils iOS, sélectionnez le niveau auquel s'applique le profil. Certains profils peuvent uniquement s'appliquer au niveau utilisateur ou au niveau terminal.
Exigence de mode Supervisé pour les profils
Vous pouvez déployer certains ou tous vos terminaux iOS en mode Supervisé. Le mode Supervisé est un paramètre de niveau terminal qui fournit aux administrateurs des fonctionnalités et des restrictions sur la gestion avancée.
Certains paramètres de profil sont disponibles uniquement pour les terminaux supervisés. Un paramètre supervisé est repéré à l'aide d'une icône affichée à droite, qui indique la configuration requise minimale iOS nécessaire à son application.
Par exemple, vous pouvez empêcher les utilisateurs d'utiliser AirDrop pour partager des fichiers avec d'autres ordinateurs macOS et terminaux iOS en désélectionnant la case en regard de l'option Autoriser AirDrop. L'icône iOS 7 + mode Supervisé signifie que seuls les terminaux exécutant iOS 7 et configurés en mode Supervisé à l'aide d'Apple Configurator sont affectés par cette restriction. Pour plus d'informations, consultez Intégration avec Apple Configurator ou Apple Business Manager. Pour voir la liste complète des exigences relatives à la configuration iOS requise et des options de supervision, consultez Matrice des fonctionnalités iOS : comparaison Supervisé et Non supervisé
À l'aide des étapes élémentaires suivantes, vous pouvez configurer n'importe quel profil iOS dans Workspace ONE UEM. Découvrez les paramètres disponibles pour chaque profil dans les sections suivantes.
Accédez à Ressources > Profils et lignes de base > Profils et sélectionnez Ajouter > Apple iOS > Profil du terminal.
Configurez les paramètres du profil de l'onglet Général.
Sélectionnez la section de configuration dans la liste.
Configurez les paramètres du profil.
La configuration de la section AirPlay vous permet d'autoriser un ensemble spécifique de terminaux destinés à recevoir des privilèges de diffusion selon l'ID du terminal. Par ailleurs, si l'accès à l'écran de votre terminal Apple TV est protégé par mot de passe, présaisissez le mot de passe pour établir une connexion réussie sans révéler le code PIN aux tiers non autorisés.
Cette section de configuration fonctionnera même si vous n'enrôlez pas vos terminaux Apple TV avec Workspace ONE UEM. Pour plus d'informations sur les capacités de tvOS, reportez-vous au guide tvOS Management.
Remarque : La liste autorisée d'AirPlay n'est actuellement disponible que sur les terminaux iOS 7 et iOS 8 supervisés.
Configurez les paramètres Mots de passe pour les terminaux iOS 7 et Listes autorisées pour les terminaux iOS 7 supervisés.
Configurez les paramètres suivants :
Paramètre | Description |
---|---|
Nom du terminal | Entrez le nom du terminal de la destination AirPlay. |
Mot de passe | Saisissez le mot de passe de la destination AirPlay. Sélectionnez Ajouter pour inclure d'autres terminaux mis en liste autorisée. |
Nom d'affichage | Saisissez le nom affiché de la destination. Le nom doit correspondre à celui du terminal tvOS et est sensible à la casse. Le nom du terminal est disponible dans les paramètres du terminal tvOS. (iOS 7 + mode Supervisé) |
ID du terminal | Saisissez l'ID du terminal (incluez l'adresse MAC ou l'adresse Ethernet au format XX:XX:XX:XX:XX:XX) pour l'affichage de destination. Sélectionnez Ajouter pour inclure d'autres terminaux mis en liste autorisée. (iOS 7 + mode Supervisé) |
Maintenant que la liste autorisée de destination d'AirPlay est établie pour les terminaux iOS 7 supervisés, utilisez le panneau de configuration du terminal pour activer ou désactiver AirPlay manuellement :
a. Accédez à Terminaux > Affichage en liste et localisez le terminal auquel AirPlay est destiné, puis sélectionnez le nom convivial du terminal.
b. Sélectionnez Support, puis Démarrer Airplay dans la liste des options de support.
c. Choisissez la Destination créée dans le profil AirPlay, saisissez le Mot de passe si nécessaire, puis sélectionnez la Durée de l'analyse. Vous pouvez également sélectionner Personnaliser dans la liste Destination afin de créer une destination personnalisée pour ce terminal particulier.
d. Sélectionnez Enregistrer et acceptez l'invite d'activation d'AirPlay.
Pour désactiver AirPlay manuellement sur le terminal, revenez au panneau de configuration du terminal, puis sélectionnez Support et Arrêter AirPlay.
Configurez une section de configuration AirPrint pour les terminaux Apple pour autoriser les ordinateurs à détecter automatiquement une imprimante AirPrint, même si le terminal se situe sur un autre sous-réseau que l'imprimante AirPrint.
Configurez les paramètres de profil AirPrint , notamment :
Paramètre | Description |
---|---|
Adresse IP | Saisissez l'adresse IP (XXX.XXX.XXX.XXX). |
Chemin d'accès à la ressource | Saisissez le chemin d'accès à la ressource (ipp/printer or printers/Canon_MG5300_series) associé à l'imprimante AirPrint. Pour trouver le chemin d'accès à la ressource et les informations d'adresse IP d'une imprimante, reportez-vous à la section Récupérer les informations de l'imprimante AirPrint. |
Récupérer les informations de l'imprimante AirPrint
Pour connaître les informations de l'imprimante AirPrint, telles que l'adresse IP et le chemin d'accès aux ressources, suivez la procédure décrite dans cette section.
Ouvrez la fenêtre Terminal (située dans /Applications/Utilitaires/), entrez la commande suivante, puis appuyez sur Retour.
ippfind
Remarque : Notez les informations de l'imprimante qui sont extraites via la commande. La première partie est le nom de votre imprimante et la dernière partie est le chemin de la ressource.
ipp://myprinter.local.:XXX/ipp/portX
Pour obtenir l'adresse IP, entrez la commande suivante et le nom de votre imprimante.
ping myprinter.local.
Remarque : Notez les informations de l'adresse IP qui sont extraites via la commande.
PING myprinter.local (XX.XX.XX.XX)
Entrez l'adresse IP (XX.XX.XX.XX) et le chemin de ressource (/ipp/portX) obtenus à partir des étapes 2 et 3 dans les paramètres de charge utile AirPrint.
Déployez un profil CalDAV ou CardDAV afin d'autoriser les utilisateurs à synchroniser respectivement les éléments de calendrier et les contacts de l'entreprise.
Configurez les paramètres du profil CalDav :
Paramètre | Description |
---|---|
Description du compte | Saisissez une courte description du compte. |
Nom d'hôte du compte | Saisissez/Affichez le nom du serveur pour l'utilisation de CalDAV. |
Port | Saisissez le numéro du port attribué pour la communication avec le serveur CalDAV. |
URL principale | Saisissez l'emplacement Web du serveur CalDAV. |
Nom d'utilisateur du compte | Saisissez le nom d'utilisateur pour le compte Active Directory. |
Mot de passe du compte | Saisissez le mot de passe pour le compte Active Directory. |
Utiliser le SSL | Sélectionnez cette option pour activer l'utilisation de la sécurité SSL (Secure Socket Layer). |
Configurez une section de configuration Cellulaire pour configurer les paramètres de réseau cellulaire sur les terminaux et déterminez la manière dont le terminal accède au réseau de données cellulaires de l'opérateur.
Envoyez cette section de configuration afin d'utiliser un autre APN depuis le point par défaut. Si les paramètres APN sont incorrects, vous risquez de perdre des fonctionnalités ; vous devez donc vous procurer les paramètres APN corrects auprès de l'opérateur. Pour plus d'informations sur les paramètres cellulaires, consultez cet article de la base de connaissances Apple.
Configurez les paramètres du profil CalDav :
Paramètre | Description |
---|---|
Nom du point d'accès (APN) | Saisissez l'APN fourni par votre opérateur (par exemple, come.moto.cellular). |
Type d'authentification | Sélectionnez le protocole d'authentification. |
Nom d'utilisateur du point d'accès | Saisissez le nom d'utilisateur utilisé pour l'authentification. |
Mot de passe du point d'accès APN | Saisissez le mot de passe APN utilisé pour l'authentification. |
Nom du point d'accès | Saisissez l'APN fourni par votre opérateur (par exemple, come.moto.cellular). |
Nom d'utilisateur du point d'accès | Saisissez le nom d'utilisateur utilisé pour l'authentification. |
Type d'authentification | Sélectionnez le protocole d'authentification. |
Mot de passe | Saisissez le mot de passe APN utilisé pour l'authentification. |
Serveur proxy | Saisissez les détails du serveur proxy. |
Port du serveur proxy | Indiquez le port du serveur proxy pour tout le trafic. Sélectionnez Ajouter pour continuer ce processus. |
La section de configuration Paramètres personnalisés peut être utilisée lorsqu'Apple lance une nouvelle fonctionnalité iOS que Workspace ONE UEM ne prend actuellement pas en charge dans les sections de configuration natives. Si vous ne souhaitez pas attendre la dernière version de Workspace ONE UEM pour contrôler ces paramètres, utilisez la section de configuration Paramètres personnalisés et le code XML afin d'activer ou de désactiver certains paramètres manuellement.
Vous souhaiterez peut-être effectuer une copie de votre profil et l'enregistrer dans un groupe organisationnel « test », pour éviter d'affecter les utilisateurs tant que vous n'êtes pas prêt à enregistrer et publier.
N'attribuez pas de profil à un Smart Group, car cela peut produire une valeur chiffrée lors de l'affichage du XML.
Accédez à Ressources > Profils et lignes de base > Profils > Ajouter > Ajouter un profil > iOS.
Configurez les paramètres du profil de l'onglet Général.
Configurez les sections de configuration appropriées (Restrictions ou Code d'accès, par exemple).
Sélectionnez Enregistrer et publier.
Remarque : Assurez-vous que le profil créé au cours des étapes 1 à 4 n'est attribué à aucun Smart Group. Dans le cas contraire, les données peuvent être chiffrées lors de l'affichage du XML.
Revenez à la page Profils et sélectionnez un profil à l'aide du bouton radio en regard du nom du profil. Les options de menu s'affichent au-dessus de la liste.
Sélectionnez </> XML dans les options de menu. La fenêtre Consulter le XML du profil s'affiche.
Recherchez la clé PayloadContent et copiez le dictionnaire unique imbriqué à l'intérieur. Copiez l'intégralité du contenu du dictionnaire à partir de <dict>…</dict>. Reportez-vous à la section ci-dessous pour obtenir un exemple de XML pour la charge utile Restrictions.
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>safariAcceptCookies</key>
<real>2</real>
<key>safariAllowAutoFill</key>
<true />
<key>PayloadDisplayName</key>
<string>Restrictions</string>
<key>PayloadDescription</key>
<string>RestrictionSettings</string>
<key>PayloadIdentifier</key>
<string>745714ad-e006-463d-8bc1-495fc99809d5.Restrictions</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadType</key>
<string>com.apple.applicationaccess</string>
<key>PayloadUUID</key>
<string>9dd56416-dc94-4904-b60a-5518ae05ccde</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDescription</key>
<string></string>
<key>PayloadDisplayName</key>
<string>Block Camera/V_1</string>
<key>PayloadIdentifier</key>
<string>745714ad-e006-463d-8bc1-495fc99809d5</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadRemovalDisallowed</key>
<false />
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>86a02489-58ff-44ff-8cd0-faad7942f64a</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Pour obtenir plus d'exemples et d'informations sur le code XML, reportez-vous à l'article de notre base de connaissances ici.
Si vous voyez du texte chiffré entre les balises dict dans la fenêtre XML, vous pouvez générer le texte déchiffré en modifiant les paramètres sur la page Profils. Pour ce faire :
a. Accédez à Groupes et paramètres > Tous les paramètres > Terminaux > Utilisateurs > Apple > Profils.
b. Remplacez l'option Paramètres personnalisés.
c. Désactivez l'option Chiffrer les profils, puis enregistrez.
Revenez au profil Paramètres personnalisés et collez le XML que vous avez copié dans la zone de texte. Le code XML doit contenir un bloc de code complet, délimité par <dict> et </dict>.
Supprimez la section de configuration que vous aviez configurée à l'origine en sélectionnant la section de configuration de base, par exemple, Restrictions ou Code d'accès, et en sélectionnant sur le bouton moins (-) en bas de la page. Vous pouvez maintenant améliorer le profil en ajoutant du code XML personnalisé pour les nouvelles fonctionnalités.
Sélectionnez Enregistrer et publier.
Les profils de code d’accès de terminal sécurisent les terminaux iOS et leur contenu. Configurez le niveau de sécurité en fonction des besoins de vos utilisateurs.
Choisissez des options strictes pour les employés ayant une forte visibilité et des options plus souples pour les autres terminaux ou pour les employés faisant partie d'un programme permettant d'utiliser des terminaux personnels. En outre, lorsqu'un code d'accès est défini sur un terminal iOS, il fournit le chiffrement matériel du terminal et crée également un indicateur de terminal Protection des données activée dans l'onglet Sécurité de la page Détails du terminal.
Créez un code d'accès et configurez les options suivantes :
Les profils de code d'accès de terminal sécurisent les terminaux iOS et leur contenu. Configurez plusieurs paramètres dans le cadre d'une section de configuration Code d'accès afin d'appliquer des codes d'accès de terminal en fonction des besoins de vos utilisateurs.
Configurez les paramètres de profil Code secret du terminal, dont :
Paramètre | Description |
---|---|
Exiger un code d'accès sur le terminal | Active la protection par code d'accès obligatoire. |
Valeurs simples autorisées | Autorisez l'utilisateur à appliquer un code d'accès numérique simple. |
Exiger une valeur alphanumérique | Empêchez l'utilisateur d'utiliser des espaces ou des caractères non alphanumériques dans le code d'accès. |
longueur min. du code d'accès | Sélectionnez le nombre minimum de caractères requis pour le code d'accès. |
Nombre minimum de caractères complexes | Sélectionnez le nombre minimum de caractères complexes (#, $,! , @) requis dans un code d'accès. |
Durée de vie maximale du code d'accès (en jours) | Sélectionnez le nombre maximum de jours durant lequel le code d'accès restera actif. |
Verrouillage automatique (en min) | Nombre maximal de minutes pendant lesquelles le terminal peut être inactif sans que l'utilisateur ne le déverrouille, avant que le système ne le verrouille. Lorsque cette limite est atteinte, le système verrouille le terminal et le code secret est requis pour le déverrouiller. L’utilisateur peut modifier ce paramètre, mais la valeur ne peut pas dépasser le paramètre configuré. |
historique du code d'accès | Sélectionnez le nombre de codes d'accès à stocker dans l'historique qu'un utilisateur ne peut pas répéter. |
Période de grâce avant verrouillage du terminal (min) | Sélectionnez la durée d'inactivité (en minutes) d'un terminal avant son verrouillage par le système et après laquelle l'utilisateur doit ressaisir son code d'accès. |
Nombre maximum de tentatives infructueuses | Sélectionnez le nombre de tentatives autorisées. Si l'utilisateur entre un code d'accès incorrect le nombre de fois indiqué, le terminal effectue une réinitialisation sur les valeurs usine. |
Configurez un profil de messagerie pour les terminaux iOS afin de configurer les paramètres de messagerie sur le terminal.
Configurez les paramètres suivants :
Paramètres | Descriptions |
---|---|
Description du compte | Saisissez une courte description du compte de messagerie. |
Type de compte | Utilisez le menu déroulant pour sélectionner IMAP ou POP. |
Préfixe du chemin d'accès | Saisissez le nom du dossier racine pour le compte de messagerie (IMAP uniquement). |
Nom affiché de l'utilisateur | Saisissez le nom de l'utilisateur. |
Adresse e-mail | Saisissez l'adresse e-mail du compte de messagerie. |
Empêcher le déplacement des messages | Sélectionnez cette option pour empêcher l'utilisateur de transférer des e-mails ou de les ouvrir dans des applications tierces. |
Empêcher la synchronisation des adresses récentes | Sélectionnez cette option pour empêcher l'utilisateur de synchroniser ses contacts dans le terminal personnel. |
Empêcher l'utilisation dans des applications tierces | Sélectionnez cette option pour empêcher les utilisateurs de déplacer les e-mails d'entreprise dans d'autres clients de messagerie. |
Empêcher le dépôt d'e-mails | Sélectionnez cette option pour empêcher les utilisateurs d'utiliser la fonctionnalité de dépôt d'e-mails d'Apple. |
Utiliser S/MIME | Sélectionnez cette option pour utiliser d'autres certificats de chiffrement. |
Nom d'hôte | Saisissez le nom du serveur de messagerie. |
Port | Indiquez le numéro du port affecté au trafic de messagerie entrant. |
Nom d'utilisateur | Saisissez le nom d'utilisateur du compte de messagerie. |
Type d'authentification | Utilisez le menu déroulant pour sélectionner le mode d'authentification du détenteur du compte de messagerie. |
Mot de passe | Saisissez le mot de passe requis pour authentifier l'utilisateur final. |
Utiliser le SSL | Sélectionnez cette option afin d'activer l'utilisation de SSL (Secure Socket Layer) pour le trafic entrant. |
Nom d'hôte | Saisissez le nom du serveur de messagerie. |
Port | Indiquez le numéro du port affecté au trafic de messagerie sortant. |
Nom d'utilisateur | Saisissez le nom d'utilisateur du compte de messagerie. |
Type d'authentification | Utilisez le menu déroulant pour sélectionner le mode d'authentification du détenteur du compte de messagerie. |
Mot de passe sortant identique au mot de passe entrant | Sélectionnez cette option pour remplir automatiquement la zone de texte du mot de passe. |
Mot de passe | Saisissez le mot de passe requis pour authentifier l'utilisateur final. |
Utiliser le SSL | Sélectionnez cette option afin d'activer l'utilisation de SSL (Secure Socket Layer) pour le trafic sortant. |
Exchange Active Sync (EAS) est le protocole standard pour la synchronisation de messagerie sur terminaux mobiles. Grâce aux profils EAS, vous pouvez configurer les terminaux à distance afin qu'ils se connectent à votre serveur de messagerie pour synchroniser les e-mails, les calendriers et les contacts.
Le profil EAS utilise les informations de chaque utilisateur, comme le nom d'utilisateur, l'adresse e-mail et le mot de passe. Si vous intégrez Workspace ONE UEM aux services Active Directory, ces informations utilisateur sont remplies automatiquement et peuvent être indiquées dans le profil EAS par l'utilisation de valeurs de recherche.
Avant de créer un profil EAS qui permettra aux terminaux de récupérer automatiquement des données depuis le serveur de messagerie, vous devez d'abord vous assurer que les utilisateurs disposent des informations nécessaires dans les données de leur compte utilisateur. Pour les utilisateurs de l'annuaire ou pour ceux qui s'enrôlent avec leurs identifiants d'annuaire comme Active Directory, les informations sont automatiquement saisies pendant l'enrôlement. Toutefois, pour les utilisateurs basiques, ces informations ne sont pas fournies automatiquement et doivent être renseignées via l'une des deux méthodes suivantes :
Vous pouvez modifier les données de chaque utilisateur, et renseigner les champs Adresse e-mail et Nom d'utilisateur de messagerie.
Pour inviter les utilisateurs à saisir ces informations au cours de l'enrôlement, accédez à Terminaux > Paramètres des terminaux > Général > Enrôlement, puis, sous l'onglet Invite facultative, cochez la case Activer la demande de l'e-mail d'enrôlement.
Créez un profil de configuration des e-mails pour le client de messagerie natif sur des terminaux iOS.
Accédez à Ressources > Profils et lignes de base > Profils > Ajouter. Sélectionnez Apple iOS.
Configurez les paramètres du profil de l'onglet Général.
Sélectionnez la section de configuration Exchange ActiveSync.
Sélectionnez Client de messagerie natif en tant que Client de messagerie. Complétez la zone de texte Nom du compte avec la description de ce compte de messagerie. Remplissez le champ Hôte Exchange ActiveSync avec l'URL externe du serveur ActiveSync de votre entreprise.
Le serveur ActiveSync peut être n'importe quel serveur de messagerie utilisant le protocole ActiveSync, comme IBM Notes Traveler, Novell Data Synchronizer et Microsoft Exchange. Dans le cas des déploiements Secure Email Gateway (SEG), utilisez l'URL de la SEG et non l'URL du serveur de messagerie.
Cochez la case Utiliser SSL afin d'activer l'utilisation de SSL (Secure Socket Layer) pour le trafic de messagerie entrant.
Cochez la case S/MIME pour utiliser d'autres certificats de chiffrement. Avant d'activer cette option, vérifiez que vous avez importé les certificats nécessaires dans les paramètres de profil Identifiants.
a. Sélectionnez le certificat S/MIME pour signer les messages des e-mails.
b. Sélectionnez le certificat de chiffrement S/MIME pour signer et chiffrer les messages des e-mails.
c. Cochez la case Commutateur par message pour autoriser les utilisateurs à choisir les e-mails à signer et à chiffrer à l'aide du client de messagerie iOS natif (iOS 8 et versions ultérieures, mode Supervisé uniquement).
Cochez la case Utiliser OAuth afin d'activer OAuth pour l'authentification. OAuth est requis pour les comptes modernes pour lesquels l'authentification est activée.
a. URL de connexion à OAuth : saisissez l'URL de connexion à OAuth.
b. URL du jeton OAuth : saisissez l'URL du jeton OAuth.
Remplissez les Informations de connexion (Nom de domaine, Nom d'utilisateur et Adresse e-mail) à l'aide des valeurs de recherche. Les valeurs de recherche viennent directement de l'enregistrement du compte utilisateur. Pour utiliser les valeurs de recherche {EmailDomain}, {EmailUserName} et {EmailAddress}, assurez-vous que votre compte utilisateur Workspace ONE UEM dispose d'un nom d'utilisateur et d'une adresse e-mail définis.
Laissez le champ Mot de passe vide pour demander à l'utilisateur de saisir son propre mot de passe.
Sélectionnez Certificat de section de configuration pour définir un certificat pour l'authentification basée sur les certificats une fois que le certificat est ajouté à la section de configuration Identifiants.
Configurez les paramètres et sécurité facultatifs suivants, si nécessaire :
a. Synchronisation des e-mails depuis – Télécharge le nombre de messages défini. Notez qu'une longue période de temps entrainera une consommation des données plus importante lors du téléchargement des messages.
b. Empêcher le déplacement des messages – Désactive le déplacement des e-mails depuis une boîte e-mail Exchange vers une autre boîte e-mail du terminal.
c. Empêcher l'utilisation dans des applications tierces – Interdit les autres applications d'utiliser la boîte aux lettres Exchange pour envoyer des messages.
d. Empêcher la synchronisation des adresses récentes – Désactive les suggestions de contacts lors de l'envoi d'e-mails dans Exchange.
e. Empêcher le dépôt d'e-mails – Désactive la fonctionnalité de dépôt de courrier d'Apple.
f. (iOS 13) Activer la messagerie – Active la configuration d'une application de messagerie distincte pour le compte Exchange.
g. (iOS 13) Autoriser le basculement de la messagerie – Si désactivé, empêche l'utilisateur d'activer ou de désactiver la messagerie.
h. (iOS 13) Activer les contacts – Active la configuration d'une application de contacts distincte pour le compte Exchange.
i. (iOS 13) Autoriser le basculement des contacts – Si désactivé, empêche l'utilisateur d'activer ou de désactiver les contacts.
j. (iOS 13) Activer les calendriers – Active la configuration d'une application de calendrier distincte pour le compte Exchange.
k. (iOS 13) Autoriser le basculement des calendriers – Si désactivé, empêche l'utilisateur d'activer ou de désactiver les calendriers.
l. Activer les notes – Active la configuration d'une application de notes distincte pour le compte Exchange.
m. (iOS 13) Autoriser le basculement des notes – Si désactivé, empêche l'utilisateur d'activer ou de désactiver les notes.
n. (iOS 13) Activer les rappels – Active la configuration d'une application de rappels distincte pour le compte Exchange.
o. (iOS 13) Autoriser le basculement des rappels – Si désactivé, empêche l'utilisateur d'activer ou de désactiver les rappels.
Attribuez une Application d'appel audio par défaut que votre compte EAS natif utilisera pour passer des appels lorsque vous sélectionnerez un numéro de téléphone dans un e-mail.
Sélectionnez Enregistrer et publier pour envoyer le profil vers les terminaux disponibles.
L'intégration de Workspace ONE UEM à Forcepoint vous permet d'utiliser vos catégories de filtrage de contenu existantes dans Forcepoint et de les appliquer aux terminaux que vous gérez dans UEM Console.
Autorisez ou bloquez l'accès à des sites Web en fonction des sites Web que vous configurez dans Forcepoint, puis déployez une section de configuration VPN pour forcer les terminaux à respecter ces règles. Les utilisateurs de l'annuaire enrôlés dans Workspace ONE UEM sont validés via Forcepoint pour déterminer les règles de filtrage de contenu à appliquer selon l'utilisateur final.
Vous pouvez appliquer le filtrage de contenu avec Forcepoint de l'une des deux manières suivantes.
a. Utilisez le profil VPN en fonction des descriptions de cette section. La mise en place d'un filtrage du contenu à l'aide du profil VPN peut s'appliquer à l'ensemble du trafic Web utilisant d'autres navigateurs que VMware Browser.
b. Configurez la page Paramètres et politiques qui s'applique à l'ensemble du trafic Web utilisant d'autres navigateurs que VMware Browser. Pour obtenir des instructions sur la configuration des Paramètres et politiques, consultez le Guide VMware Browser.
Procédure
Après avoir sélectionné la section de configuration, sélectionnez Websense (Forcepoint) pour Type de connection.
Configurez les informations de Connexion :
Paramètres | Description |
---|---|
Nom de la connexion | Saisissez le nom de la connexion à afficher. |
Nom d'utilisateur | Saisissez le nom d'utilisateur pour vous connecter au serveur proxy. |
Mot de passe | Saisissez le mot de passe pour la connexion. |
Vous pouvez également sélectionner Test de la connexion.
Définissez les paramètres Configurations du fournisseur.
Paramètre | Description |
---|---|
Clés du fournisseur | Créez des clés personnalisées à ajouter au dictionnaire de configuration du fournisseur. |
Clé | Saisissez la clé spécifique fournie par le fournisseur. |
Valeur | Saisissez la valeur VPN pour chaque clé. |
Cliquez sur Enregistrer et publier. Les utilisateurs basés sur l'annuaire peuvent désormais accéder aux sites autorisés selon vos catégories Forcepoint.
Autoriser un utilisateur à utiliser son compte Google sur l’application de messagerie native sur le terminal iOS. Ajoutez un compte Google directement depuis UEM Console.
Configurez les paramètres de profil Compte Google, dont :
Paramètre | Description |
---|---|
Nom du compte | Nom d'utilisateur complet du compte Google. Il s'agit du nom d'utilisateur qui apparaît lorsque vous envoyez un e-mail. |
Description du compte | Description du compte Google qui s'affiche dans Messagerie et Paramètres. |
Adresse e-mail | Adresse e-mail Google complète du compte. |
Application d'appel audio par défaut | Recherchez et sélectionnez une application qui deviendra l'application par défaut pour passer des appels depuis le compte Google configuré. |
Configurez un proxy HTTP global qui dirige tout le trafic HTTP des terminaux iOS 7 (et versions ultérieures) supervisés vers un serveur proxy défini. Par exemple, une école peut définir un proxy global pour s'assurer que l'ensemble de la navigation Internet passe par son filtre de contenu Web.
Configurez les paramètres de proxy HTTP global, dont :
Paramètre | Description |
---|---|
Type de proxy | Choisissez Auto ou Manuel comme configuration du proxy. |
Serveur proxy | Saisissez l'URL du serveur proxy. Cette zone de texte s'affiche lorsque le Type de proxy est défini sur Manuel. |
Port du serveur proxy | Saisissez le port utilisé pour communiquer avec le proxy. Cette zone de texte s'affiche lorsque le Type de proxy est défini sur Manuel. |
Nom d'utilisateur/Mot de passe du proxy | Si le proxy nécessite des identifiants, vous pouvez utiliser des valeurs de recherche pour définir la méthode d'authentification. Cette zone de texte s'affiche lorsque le Type de proxy est défini sur Manuel. |
Autoriser le contournement du proxy pour accéder aux réseaux captifs | Cochez cette case pour permettre au terminal de contourner les paramètres du proxy afin d'accéder à un réseau connu. Cette zone de texte s'affiche lorsque le Type de proxy est défini sur Manuel. |
URL du fichier PAC du proxy | Entrez l'URL du fichier PAC du proxy pour appliquer automatiquement ses paramètres. Cette zone de texte s'affiche lorsque le Type de proxy est défini sur Auto. |
Autoriser la connexion directe si le PAC est inaccessible | Sélectionnez cette option pour permettre aux terminaux iOS de contourner le serveur proxy si le fichier PAC est inaccessible. Cette zone de texte s'affiche lorsque le Type de proxy est défini sur Auto. |
Autoriser le contournement du proxy pour accéder aux réseaux captifs | Cochez cette case pour permettre au terminal de contourner les paramètres du proxy afin d'accéder à un réseau connu. Cette zone de texte s'affiche lorsque le Type de proxy est défini sur Auto. |
Utilisez cette section de configuration pour définir la disposition des applications, des dossiers et des raccourcis Internet pour l’écran d’accueil. Le déploiement de cette charge utile de configuration vous permet de regrouper les applications et les web clips de manière à répondre aux besoins de votre organisation.
Lorsque la charge utile est déployée sur le terminal, la disposition de l'écran d'accueil est verrouillée et ne peut pas être modifiée par les utilisateurs. Cette charge utile est autorisée sur les terminaux supervisés iOS 9.3 et versions ultérieures.
Configurez les paramètres de profil Mise en page de l'écran d'accueil, dont :
Paramètre | Description |
---|---|
Dock | Choisissez les applications et les web clips que vous souhaitez voir apparaître dans le Dock. |
Page | Choisissez les applications et les web clips que vous souhaitez ajouter au terminal. Vous pouvez également ajouter d'autres pages pour d'autres groupes d'applications et de web clips. |
Ajouter un dossier | Configurez un nouveau dossier à ajouter à l'écran du terminal sur la page sélectionnée.- Utilisez l'icône en forme de crayon dans la barre grise pour créer ou modifier le nom du dossier. |
Sélectionnez Ajouter une page pour ajouter d'autres pages au terminal, si nécessaire, et sélectionnez Enregistrer et publier pour transférer ce profil vers les terminaux.
Configurez un profil LDAP afin d'autoriser les utilisateurs à accéder aux informations sur les répertoires LDAPv3 de votre entreprise et à les intégrer.
Configurez les paramètres de profil LDAP :
Paramètre | Description |
---|---|
Description du compte | Saisissez une courte description du compte LDAP. |
Nom d'hôte du compte | Saisissez/Affichez le nom du serveur pour l'utilisation d'Active Directory. |
Nom d'utilisateur du compte | Saisissez le nom d'utilisateur pour le compte Active Directory. |
Mot de passe du compte | Saisissez le mot de passe pour le compte Active Directory. |
Utiliser le SSL | Cochez cette case pour activer l'utilisation de la sécurité SSL (Secure Socket Layer). |
Paramètres de recherche | Entrez les paramètres des recherches Active Directory effectuées depuis le terminal. |
Personnalisez l'écran de verrouillage des terminaux de vos utilisateurs finaux avec des informations qui peuvent vous aider à récupérer des terminaux perdus.
Configurez les paramètres de profil Message de l'écran de verrouillage, dont :
Paramètre | Description |
---|---|
Message « En cas de perte, rapportez-moi à » | Affiche un nom ou une organisation à qui renvoyer un terminal trouvé. Ce champ accepte les valeurs de recherche. |
Informations de l'étiquette du composant | Affiche les informations de l'étiquette d'inventaire du terminal sur son écran de verrouillage. Cette étiquette d'inventaire peut dupliquer ou remplacer une étiquette d'inventaire physique attachée au terminal. Ce champ accepte les valeurs de recherche. |
Ajoutez un compte serveur macOS directement depuis UEM Console afin de gérer votre infrastructure MDM. Utilisez cette option afin de fournir les identifiants visant à autoriser les utilisateurs à accéder au partage de fichiers sur macOS.
Configurez les paramètres de profil de serveur macOS, notamment :
Paramètre | Description |
---|---|
Description du compte | Saisissez le nom affiché du compte. |
Nom d'hôte | Saisissez l'adresse du serveur. |
Nom d'utilisateur | Saisissez le nom de connexion de l'utilisateur. |
Mot de passe | Saisissez le mot de passe de l'utilisateur. |
Port | Désigne le numéro de port à utiliser pour contacter le serveur. |
Les domaines gérés sont une autre méthode par laquelle Workspace ONE UEM améliore la fonctionnalité de sécurité « Ouvrir dans » d'Apple sur les terminaux iOS 8. L'utilisation de la fonctionnalité de sécurité d'ouverture « Ouvrir dans » avec des domaines gérés vous permet de protéger les données d'entreprise en contrôlant les applications qui peuvent ouvrir les documents téléchargés depuis les domaines de l'entreprise à l'aide de Safari.
Spécifiez les URL ou les sous-domaines pour gérer la méthode d'ouverture des documents, des pièces jointes et des téléchargements. Par ailleurs, dans les domaines de messagerie gérés, un indicateur d'avertissement en couleur peut être affiché dans les e-mails envoyés à des domaines non gérés. Ces outils permettent aux utilisateurs de déterminer les documents qui peuvent être ouverts avec des applications de l'entreprise, ainsi que ceux qui sont personnels et peuvent être ouverts dans des applications personnelles.
Configurez les paramètres de profil Domaines gérés, dont :
Paramètre | Description |
---|---|
Domaines de messagerie gérés | Entrez des domaines pour spécifier les adresses e-mail qui sont des domaines d'entreprise. Par exemple : exchange.acme.com. Les e-mails envoyés aux adresses non indiquées ici sont mis en surbrillance dans l'application de messagerie afin d'indiquer que l'adresse ne fait pas partie du domaine de l'entreprise. |
Domaines Web gérés | Entrez les domaines afin de choisir les URL ou les sous-domaines spécifiques qui peuvent être considérés comme étant gérés. Par exemple : sharepoint.acme.com. Tous les documents ou pièces jointes provenant de ces domaines sont considérés comme étant gérés. |
Domaines de mot de passe Safari | Saisissez le mot de passe des domaines que Safari doit enregistrer. Cette option s'applique uniquement aux terminaux surveillés. |
Configurez des règles d'utilisation du réseau pour contrôler les applications et les cartes SIM qui peuvent accéder aux données en fonction du type de connexion réseau ou lorsque le terminal est en itinérance. Cette fonctionnalité permet aux administrateurs d'apporter leur aide dans la gestion des charges de données lorsque les employés utilisent les terminaux pour leur travail. Utilisez les contrôles granulaires pour appliquer différentes règles aux terminaux et aux cartes SIM si nécessaire.
Sous Règles d'utilisation de l'application, saisissez l'Identifiant d'application de toutes les applications publiques, internes ou achetées.
Activez Autoriser les données cellulaires et Utilisation des données en itinérance. Les deux options sont sélectionnées par défaut.
Sous Règles d'utilisation de la carte SIM, fournissez les ICCID des cartes SIM (cartes physiques et eSIM) et spécifiez le type de capacité d'Assistance Wi-Fi, à savoir Par défaut ou Données mobiles illimitées.
Cliquez sur Enregistrer et publier.
Utilisez ce profil afin d'autoriser des applications spécifiques à apparaître dans l'écran d'accueil lorsqu'il est verrouillé.
Contrôlez le moment et l'endroit d'affichage des notifications. Ce profil s'applique aux terminaux iOS 9.3 + mode Supervisé.
Choisissez Sélectionner l'application. Une nouvelle fenêtre s'affiche.
Configurez les paramètres.
Paramètre | Description |
---|---|
Sélectionner l'application | Choisissez l'application que vous souhaitez configurer. |
Autoriser les notifications | Sélectionnez cette option si vous souhaitez autoriser des notifications. |
Afficher dans le centre de notifications | Sélectionnez cette option si vous souhaitez autoriser les notifications à s'afficher dans le centre de notifications. |
Afficher sur l'écran de verrouillage | Sélectionnez cette option si vous souhaitez autoriser les notifications à s'afficher dans l'écran de verrouillage. |
Autoriser le son | Sélectionnez cette option si vous souhaitez autoriser l'émission d'un son avec la notification. |
Autoriser la création de badges | Sélectionnez cette option si vous souhaitez autoriser l'affichage des badges dans l'icône d'application. |
Type d'alerte quand le terminal est déverrouillé | Choisissez le style de notification lorsque le terminal est déverrouillé : Bannière – Une bannière s'affiche en travers de l'écran d'accueil pour alerter l'utilisateur. Alerte modale – Une fenêtre s'affiche sur l'écran d'accueil. L'utilisateur doit interagir avec la fenêtre avant de continuer. |
Sélectionnez Enregistrer pour envoyer la section de configuration au terminal.
Pour les terminaux iOS 7 et versions ultérieures, vous pouvez obliger certaines applications à se connecter via votre VPN d'entreprise. Votre fournisseur VPN doit prendre en charge cette fonctionnalité et vous devez publier les applications en tant qu'applications gérées.
Configurez votre profil VPN de base en conséquence.
Cliquez sur VPN par application afin de générer un UUID de VPN pour les paramètres du profil VPN. L'UUID de VPN est un identifiant unique propre à cette configuration de VPN spécifique.
Sélectionnez Se connecter automatiquement pour afficher les zones de texte des Domaines pour Safari ; ces sites internes déclenchent une connexion VPN automatique.
Choisissez un Type de fournisseur afin de déterminer le mode de transmission du trafic par tunnel, par l'intermédiaire d'une couche d'applications ou d'une couche IP.
Cliquez sur Enregistrer et publier.
Si cet enregistrement a été réalisé en tant que mise à jour d'un profil VPN existant, les applications et terminaux existants utilisant actuellement le profil sont mis à jour. Les terminaux et applications n'utilisant aucun UUID de VPN sont également mis à jour pour utiliser le profil VPN.
Après avoir créé un profil de tunnel par application, vous pouvez l'attribuer à des applications spécifiques dans l'écran de configuration des applications. Cela indique à cette application qu'elle doit utiliser le profil VPN défini lors de l'établissement de connexions.
Accédez à Ressources > Applications > Natives.
Cliquez sur l'onglet Publics/Publiques.
Sélectionnez Ajouter une application pour ajouter une application ou Modifier pour modifier une application existante.
Sous l'onglet Déploiement, sélectionnez Utiliser le VPN et sélectionnez le profil que vous avez créé.
Sélectionnez Enregistrer et publiez vos modifications.
Pour plus d'informations sur l'ajout ou la modification d'applications, reportez-vous au guide Gestion des applications mobiles.
Après avoir créé un profil de tunnel par application, vous pouvez l'attribuer à des applications spécifiques dans l'écran de configuration des applications. Cela indique à cette application qu'elle doit utiliser le profil VPN défini lors de l'établissement de connexions.
Accédez à Ressources > Applications > Natives.
Sélectionnez l'onglet Interne.
Sélectionnez Ajouter une application et ajoutez une application.
Sélectionnez Enregistrer et attribuer pour accéder à la page Attribution.
Sélectionnez Ajouter une attribution, puis Profil VPN par application dans la section Avancé.
Enregistrez et publiez l'application.
Pour plus d'informations sur l'ajout ou la modification d'applications, consultez le guide Gestion des applications mobiles, disponible dans la documentation de VMware AirWatch
Le profil de restriction limite la façon dont les employés peuvent utiliser leurs terminaux iOS et permet aux administrateurs de verrouiller la fonctionnalité native des terminaux iOS et de mettre en œuvre un système de prévention contre la perte des données.
Remarque : certaines options de restriction de la page des profils Restrictions sont accompagnées d'une icône qui indique la configuration iOS minimale requise pour pouvoir appliquer la restriction. Par exemple, l'icône iOS 7 + mode Supervisé située à côté de la case à cocher Autoriser AirDrop signifie que seuls les terminaux s'exécutant sous iOS 7, définis pour s'exécuter en mode Supervisé et utilisant Apple Configurator ou le programme d'enrôlement de terminaux d'Apple sont concernés par cette restriction.
Les instructions détaillées indiquées ici répertorient quelques exemples fonctionnels des paramètres que vous pouvez limiter. Pour voir la liste complète des exigences en matière de version iOS et de mode Supervisé, consultez Matrice des fonctionnalités iOS : comparaison Supervisé et Non supervisé
Vous pouvez configurer des restrictions de terminaux, des restrictions au niveau de l'application, des restrictions iCloud, etc. sur vos terminaux iOS.
Configurez les paramètres de profil Restrictions, dont :
Paramètres | Descriptions |
---|---|
Fonctionnalités des terminaux | Les restrictions au niveau du terminal peuvent désactiver les fonctionnalités importantes comme l'appareil photo, FaceTime, Siri et les achats au sein des applications pour améliorer la productivité et la sécurité. |
Applications | Les restrictions de niveau application désactivent certaines applications telles que YouTube, iTunes et Safari, ou certaines de leurs fonctionnalités, afin d'appliquer les politiques d'utilisation de l'entreprise. |
iCloud | Workspace ONE UEM établit des restrictions pour les terminaux iOS 7 et versions ultérieures qui peuvent désactiver iCloud ou la fonctionnalité iCloud en fonction des besoins. |
Sécurité & confidentialité | Les restrictions liées à la sécurité et à la confidentialité empêchent les utilisateurs d'effectuer certaines actions susceptibles de violer la politique professionnelle ou de compromettre le terminal d'une autre façon. |
Protection contre la perte de données | Les restrictions de protection contre la perte de données empêchent les utilisateurs d'utiliser AirDrop pour partager des fichiers avec d'autres ordinateurs macOS et terminaux iOS. Autoriser les applications gérées à écrire des contacts dans des comptes de contacts non gérés, etc. |
Contenu multimédia | Les restrictions basées sur les notations bloquent l'accès à certains contenus en fonction de leur notation, gérée par région. |
Éducation | Restrictions pour les élèves pour forcer l'observation de l'écran sans autorisation pour les classes gérées |
Mises à jour de l'OS | Restrictions de retard du logiciel au niveau du système d'exploitation qui vous permettent de masquer les mises à jour iOS aux utilisateurs finaux pendant un nombre de jours spécifié. |
Fonctionnalité | Terminaux pris en charge | Supervisé |
---|---|---|
Restrictions concernant la fonctionnalité des terminaux | ||
Autoriser l'utilisation de la caméra | iOS 4, iOS 13 et versions ultérieures | ✓ |
Autoriser FaceTime | iOS 4, iOS 13 et versions ultérieures | ✓ |
Autoriser la capture d'écran | ||
Autoriser l'observation de l'écran | iOS 9.3 et versions ultérieures | ✓ |
Autoriser la modification du code secret | (iOS 9 et versions ultérieures) | ✓ |
Autoriser l’ID biométrique à déverrouiller le terminal | iOS 7 | |
Autoriser la modification de l’ID biométrique | iOS 8.3 et versions ultérieures | ✓ |
Autoriser l'utilisation d'iMessage | iOS 6 et versions ultérieures | ✓ |
Autoriser l'installation d'applications | iOS 4, iOS 13 et versions ultérieures | ✓ |
Autoriser l'installation d'applications à partir d'autres marketplaces | iOS 17.4 | ✓ |
Autoriser l'icône de l'App Store sur l'écran d'accueil | (iOS 9 et versions ultérieures) | ✓ |
Autoriser la suppression d'applications | iOS 6 et versions ultérieures | ✓ |
Autoriser les achats intégrés | ||
Autoriser les téléchargements automatiques d'applications | (iOS 9 et versions ultérieures) | ✓ |
Autoriser les modifications de l'utilisation des données mobiles pour les applications | iOS 7 et versions ultérieures | ✓ |
Forcer le suivi des annonces limité | iOS 7 | |
Autoriser le transfert | iOS 8 | |
Autoriser la synchronisation automatique en itinérance | ||
Autoriser la composition vocale | ||
Autoriser les résultats Internet dans Spotlight | iOS 8 et versions ultérieures | ✓ |
Autoriser Siri | iOS 5 | |
Autoriser Siri lorsque le terminal est verrouillé | iOS 5.1 | |
Activer le filtre de grossièretés de Siri | iOS 11 et versions ultérieures | ✓ |
Afficher le contenu généré par l’utilisateur dans Siri | iOS 7 et versions ultérieures | ✓ |
Autoriser l'installation manuelle de profils | iOS 6 et versions ultérieures | ✓ |
Autoriser la configuration des restrictions | iOS 8 et versions ultérieures | ✓ |
Autoriser l'effacement de tout le contenu et des paramètres | iOS 8 et versions ultérieures | ✓ |
Autoriser la modification du nom du terminal | (iOS 9 et versions ultérieures) | ✓ |
Autoriser la modification du papier peint | (iOS 9 et versions ultérieures) | ✓ |
Autoriser les modifications du compte | iOS 7 et versions ultérieures | ✓ |
Exiger un code secret lors du premier couplage AirPlay | iOS 7.1 | |
Autoriser les notifications Wallet sur l'écran de verrouillage | iOS 6 | |
Afficher le centre de contrôle sur l'écran de verrouillage | iOS 7 | |
Afficher le centre de notifications sur l'écran de verrouillage | iOS 7 | |
Afficher la vue du jour sur l'écran de verrouillage | iOS 7 | |
Appliquer AirDrop en tant que destination de dépôt non gérée | iOS 9 | |
Autoriser le couplage Apple Watch | (iOS 9 et versions ultérieures) | ✓ |
Appliquer la détection du poignet sur Apple Watch | iOS 8.3 | |
Autoriser les raccourcis clavier | (iOS 9 et versions ultérieures) | ✓ |
Autoriser le clavier prédictif | iOS 8.1.3 et versions ultérieures | ✓ |
Autoriser la correction automatique pour le clavier | iOS 8.1.3 et versions ultérieures | ✓ |
Autoriser la vérification orthographique pour le clavier | iOS 8.1.3 et versions ultérieures | ✓ |
Autoriser la recherche de définition pour le clavier | iOS 8.1.3 et versions ultérieures | ✓ |
Autoriser la modification des paramètres Bluetooth | iOS 10 et versions ultérieures | ✓ |
Autoriser la dictée | iOS 10.3 et versions ultérieures | ✓ |
Autoriser la suppression d'applications système | iOS 11 et versions ultérieures | ✓ |
Autoriser la création manuelle de VPN | iOS 11 et versions ultérieures | ✓ |
Autoriser la configuration de proximité de nouveau terminal | iOS 11 et versions ultérieures | ✓ |
Autoriser les demandes de proximité de mot de passe | iOS 12 et versions ultérieures | ✓ |
Forcer la définition automatique de la date et de l'heure | iOS 12 et versions ultérieures | ✓ |
Autoriser le remplissage automatique des mots de passe | OS 12 + | ✓ |
Autoriser le partage des mots de passe Wi-Fi | iOS 12 et versions ultérieures | |
Forcer l'authentification avant le remplissage automatique des mots de passe | iOS 11 et versions ultérieures | ✓ |
Autoriser la modification du forfait mobile | iOS 11 et versions ultérieures | ✓ |
Autoriser la modification eSIM | iOS 12.1 et versions ultérieures | ✓ |
Autoriser la modification du point d'accès personnel | iOS 12.2 et versions ultérieures | ✓ |
Autoriser la journalisation du serveur Siri | iOS 12.2 | |
Autoriser l'activation/la désactivation du Wi-Fi | iOS 13 et versions ultérieures | ✓ |
Autoriser le clavier QuickPath | iOS 13 et versions ultérieures | ✓ |
Autoriser l'accès au lecteur USB | iOS 13 et versions ultérieures | ✓ |
Forcer l'activation du Wi-Fi | iOS 13.1 et versions ultérieures | ✓ |
Autoriser l'accès au lecteur réseau | iOS 13.1 et versions ultérieures | ✓ |
Autoriser les versions TLS obsolètes | iOS 13.4 | |
Autoriser la session temporaire de terminaux partagés | iOS 13.4 | |
Autoriser les clips d'application | iOS 14 et versions ultérieures | ✓ |
Autoriser le déverrouillage automatique | iOS 14.5 | |
Autoriser le relais privé iCloud | iOS 15 et versions ultérieures | ✓ |
Restrictions d'applications | ||
Autoriser l'utilisation de YouTube | iOS 5 et versions précédentes | |
Autoriser l'utilisation de l'iTunes Music Store | iOS 4, iOS 13 et versions ultérieures | ✓ |
Autoriser l'utilisation de l'iBookstore | iOS 6 et versions ultérieures | ✓ |
Autoriser Game Center | iOS 6 et versions ultérieures | ✓ |
Autoriser Game Center | iOS 6 et versions ultérieures | ✓ |
Autoriser les jeux multijoueurs | iOS 4.1, iOS 13 et versions ultérieures | ✓ |
Autoriser l'ajout d'amis Game Center | iOS 4.2.1, iOS 13 et versions ultérieures | ✓ |
Autoriser les modifications de la fonction Localiser mes amis | iOS 7 et versions ultérieures | ✓ |
Autoriser l'utilisation de Safari | iOS 4, iOS 13 et versions ultérieures | ✓ |
Autoriser les actualités | (iOS 9 et versions ultérieures) | ✓ |
Autoriser le service radio | iOS 9.3 et versions ultérieures | ✓ |
Autoriser le service music | (iOS 9 et versions ultérieures) | ✓ |
Autoriser les podcasts | iOS 8 + S | ✓ |
Activer le remplissage automatique | iOS 4, iOS 13 et versions ultérieures | ✓ |
Forcer l’alerte de fraude | ||
Activez JavaScript | ||
Bloquer les pop-up | ||
Accepter les cookies | ||
Afficher les applications | iOS 9.3 et versions ultérieures | ✓ |
Masquer les applications | iOS 9.3 et versions ultérieures | ✓ |
Autoriser Localiser mon terminal | iOS 13 et versions ultérieures | ✓ |
Autoriser Localiser mes amis | iOS 13 et versions ultérieures | ✓ |
Restrictions concernant iCloud | ||
Autoriser la sauvegarde | iOS 5, iOS 13 et versions ultérieures | ✓ |
Autoriser la synchronisation de documents | iOS 5, iOS 13 et versions ultérieures | ✓ |
Autoriser la synchronisation du trousseau | iOS 7, iOS 13 et versions ultérieures | ✓ |
Autoriser les applications gérées à stocker les données | iOS 8 | |
Autoriser la sauvegarde de livres Entreprise | iOS 8 | |
Autoriser la synchronisation des notes, des favoris et des livres professionnels | iOS 8 | |
Autoriser le flux de photos | iOS 5 | |
Autoriser le flux de photos partagé | iOS 6 | |
Autoriser la bibliothèque photo iCloud | iOS 9 | |
Restrictions de sécurité et de confidentialité | ||
Autoriser le mode USB restreint | iOS 11.4.1 et versions ultérieures | ✓ |
Autoriser le mode de récupération avec un périphérique non couplé | iOS 14.5 et versions ultérieures | ✓ |
Autoriser l’utilisateur à faire confiance aux applications d'entreprise non gérées | iOS 9 | |
Forcer la saisie du mot de passe dans l'iTunes Store | iOS 5 | |
Autoriser l'envoi des données de diagnostic à Apple | iOS 5 | |
Forcer la dictée sur le terminal | iOS 14.5 | |
Forcer la traduction sur le terminal | iOS 15 | |
Autoriser l'utilisateur à accepter les certificats TLS non approuvés | iOS 5 | |
Autoriser les mises à jour PKI à distance | iOS 7 | |
Forcer le chiffrement des sauvegardes | ||
Autoriser le couplage avec des hôtes différents du Configurator | iOS 7 et versions ultérieures | ✓ |
Exiger le Wi-Fi géré | iOS 10.3 et versions ultérieures | ✓ |
Autoriser le stockage des informations d'identification AirPrint dans le trousseau | iOS 11 et versions ultérieures | ✓ |
Forcer AirPrint à utiliser un certificat TLS approuvé | iOS 11 et versions ultérieures | ✓ |
Autoriser la découverte AirPrint iBeacon | iOS 11 et versions ultérieures | ✓ |
Autoriser la publicité personnalisée | iOS 14 et versions ultérieures | ✓ |
Autoriser la protection de la confidentialité des e-mails | iOS 15.2 et versions ultérieures | ✓ |
Restrictions de protection contre la perte de données | ||
Autoriser les documents provenant de sources gérées dans des destinations non gérées | iOS 7 | |
Autoriser les documents provenant de sources non gérées dans des destinations gérées | iOS 7 | |
Autoriser AirDrop | iOS 7 et versions ultérieures | ✓ |
Autoriser AirPrint | iOS 11 et versions ultérieures | ✓ |
Autoriser le NFC | iOS 14.2 et versions ultérieures | ✓ |
Autoriser les applications gérées à écrire des contacts dans des comptes de contacts non gérés | iOS 12 | |
Autoriser les applications non gérées à lire les contacts des comptes de contacts gérés | iOS 12 | |
Exiger Managed Pasteboard | iOS 15.0 | |
Restrictions en matière de contenu multimédia | ||
Région des notations | ||
Films | ||
Séries TV | ||
Applications | ||
iBooks | iOS 6 | |
Autoriser la musique et les podcasts explicites | iOS 4, iOS 13 et versions ultérieures | ✓ |
Restrictions en matière d’éducation | ||
Forcer l'observation d'écran sans autorisation pour les classes gérées | iOS 10.3 et versions ultérieures | ✓ |
Autoriser le verrouillage d’applications et de terminaux non sollicités dans des cours non gérés | iOS 11 et versions ultérieures | ✓ |
Permettre l’accès automatique aux cours non gérés | iOS 11 et versions ultérieures | ✓ |
Forcer les élèves à demander l'autorisation de quitter les cours non gérés | (iOS 11.3 et versions ultérieures) | ✓ |
Restrictions concernant les mises à jour du système d'exploitation | ||
Retarder les mises à jour du système d’exploitation (jours) | (iOS 11.3 et versions ultérieures) | ✓ |
Autoriser l’installation d’une réponse de sécurité rapide | iOS 16.0 et versions ultérieures | ✓ |
Autoriser la suppression rapide de la réponse de sécurité | iOS 16.0 et versions ultérieures | ✓ |
Même si vous protégez votre messagerie, votre Wi-Fi, votre VPN et vos autres connexions d'entreprise à l'aide de codes d'accès et d'autres restrictions, votre infrastructure peut rester vulnérable aux attaques par force brute et par dictionnaire, ainsi qu'aux erreurs humaines. Pour une sécurité renforcée, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs professionnels.
Pour attribuer des certificats, vous devez d'abord définir une autorité de certification. Configurez ensuite une section de configuration Identifiants avec votre section de configuration Exchange ActiveSync (EAS), Wi-Fi ou VPN. Chacune de ces sections de configuration dispose de paramètres permettant d'associer l'autorité de certification définie dans la section de configuration Identifiants.
Pour envoyer des certificats vers des terminaux, vous devez configurer une section de configuration Identifiants ou SCEP dans le cadre des profils que vous avez créés pour les paramètres EAS, Wi-Fi et VPN. Suivez les instructions ci-dessous pour un profil activé par certificat :
Accédez à Ressources > Profils et lignes de base > Profils > Ajouter et sélectionnez iOS dans la liste des plateformes.
Configurez les paramètres du profil de l'onglet Général.
Sélectionnez la section de configuration EAS, Wi-Fi ou VPN à configurer. Complétez les informations nécessaires, en fonction de la section de configuration que vous avez sélectionnée.
Sélectionnez la section de configuration Identifiants (ou SCEP).
Choisissez une option du menu Source des identifiants :
a. Sélectionnez Importer pour importer un certificat et saisissez le Nom du certificat.
b. Choisissez Autorité de certification définie et sélectionnez les options Autorité de certification et Modèle de certificat appropriées.
c. Choisissez Certificat utilisateur et l'utilisation prévue du certificat S/MIME.
d. Choisissez la valeur Identifiants dérivés et sélectionnez l'utilisation de la clé appropriée selon la manière dont le certificat est utilisé. Voici les options d'utilisation de la clé disponibles : Authentification, Signature et Chiffrement.
Revenez à la section de configuration EAS, Wi-Fi ou VPN précédente.
Spécifiez le Certificat d'identité dans la section de configuration :
a. EAS – Sélectionnez le Certificat de section de configuration dans Informations de connexion.
b. Wi-Fi – Sélectionnez un Type de sécurité compatible (WEP d'entreprise, WPA/WPA2 d'entreprise ou Tous [entreprise]) et sélectionnez le Certificat d'identité dans la section Authentification.
c. VPN – Sélectionnez un Type de connexion compatible (par exemple, CISCO AnyConnect, F5 SSL) et sélectionnez Certificat dans la liste déroulante Authentification de l'utilisateur. Sélectionnez Certificat d'identité.
Revenez à la section de configuration Identifiants (ou SCEP).
Configurez les paramètres restants, puis sélectionnez Enregistrer et publier.
Utilisez le mode d'application unique pour provisionner des terminaux afin qu'ils ne puissent accéder qu'à une seule application de leur choix. Le mode d'application unique désactive le bouton d'accueil et force le terminal à démarrer directement dans l'application souhaitée si l'utilisateur tente un redémarrage manuel.
Cette fonctionnalité permet de s'assurer que le terminal n'est pas utilisé pour quoi que ce soit en dehors de l'application définie et qu'il n'a aucun moyen d'accéder à d'autres applications indésirables, aux paramètres du terminal ou à un navigateur Internet. Cette fonctionnalité est utile pour les restaurants et les magasins de vente au détail. Pour le secteur de l'éducation, les élèves peuvent utiliser des terminaux dont l'accès est verrouillé sur un seul jeu, eBook ou exercice.
Un terminal iOS 7 ou version ultérieure configuré en mode Supervisé. (La version iOS 7, ou une version ultérieure, est requise pour des options supplémentaires et le mode d'application unique autonome.)
Configurez les paramètres du mode d'application unique :
Paramètre | Description |
---|---|
Type de filtre | Choisissez un filtre, Limiter le terminal à une seule application ou Applications autorisées pour le mode autonome d'application unique : Limiter le terminal à une seule application – Verrouillez les terminaux dans une seule application publique, interne, achetée ou native, jusqu'à ce que le profil contenant cette section de configuration soit supprimé. Le bouton d'accueil est désactivé et le terminal démarre toujours sur l'application indiquée, après une mise en veille ou un redémarrage. Applications autorisées pour le mode autonome d'application unique – Permettez aux applications autorisées de déclencher un mode d'application unique en fonction d'un événement qui contrôle le moment d'activation et de désactivation du mode d'application unique sur le terminal. Cette action se produit dans l'application proprement dite, conformément aux indications du développeur de l'application. |
ID de l'offre groupée d'applications | Saisissez l'ID de l'offre groupée ou sélectionnez-en un dans le menu déroulant. L'ID de l'offre groupée apparaît dans le menu déroulant une fois que l'application est importée dans UEM Console. Par exemple : com.air-watch.secure.browser. |
Paramètres facultatifs | Choisissez des paramètres facultatifs pour les terminaux iOS 7 et versions ultérieures supervisés. |
Une fois que vous avez enregistrer le profil, chaque terminal provisioné avec ce profil entre en mode Application unique.
Redémarrer un terminal fonctionnant en mode d'application unique
La procédure de réinitialisation matérielle est utilisée pour redémarrer un terminal fonctionnant en mode d'application unique.
Appuyez simultanément sur le bouton d'accueil et le bouton de mise en veille et maintenez-les enfoncés.
Maintenez ces boutons enfoncés jusqu'à ce que le terminal s'éteigne et redémarre.
Relâchez-les lorsque le logo Apple argenté apparaît. Le terminal peut mettre quelques minutes à charger l'écran d'accueil depuis la page du logo Apple.
Quitter le mode d'application unique sur les terminaux iOS
Les utilisateurs ne peuvent pas quitter l'application lorsque le mode d'application unique est activé. Workspace ONE UEM fournit deux options permettant de quitter le mode d'application unique, en fonction du mode d'application unique que vous activez.
Vous pouvez désactiver temporairement le mode d'application unique si vous souhaitez mettre à jour l'application en question vers une nouvelle version. Suivez les instructions ci-dessous, installez la nouvelle version de l'application et réactivez le mode d'application unique.
Procédure
Autoriser l'administrateur des terminaux à quitter le mode d'application unique depuis le terminal
Vous pouvez autoriser un administrateur à quitter le mode d'application unique à l'aide d'un code d'accès sur le terminal proprement dit. Cette option n'est disponible que si vous activez le mode d'application unique en tant que Type de filtre pour le profil du mode d'application unique.
Procédure
Activez l’authentification unique pour les applications d’entreprise afin d’autoriser un accès simple, sans authentification requise à chaque application. Envoyez ce profil pour authentifier les utilisateurs par l'intermédiaire de l'authentification Kerberos au lieu du stockage de mots de passe sur les terminaux. Pour plus d'informations sur les paramètres d'authentification unique, consultez le Guide VMware Workspace ONE UEM de gestion des applications mobiles.
Entrez les Informations de connexion :
Paramètre | Description |
---|---|
Nom du compte | Saisissez le nom qui apparaîtra sur le terminal. |
Nom principal pour Kerberos | Saisissez le nom principal pour Kerberos. |
Domaine | Saisissez le domaine Kerberos. Ce paramètre doit être indiqué entièrement en majuscules. |
Certificat de renouvellement | Sur les terminaux iOS 8 et versions ultérieures, sélectionnez le certificat utilisé pour réauthentifier l'utilisateur automatiquement, sans aucune interaction de sa part, à l'expiration de la session d'authentification unique. Configurez un certificat de renouvellement (par exemple : .pfx) à l'aide de la section de configuration Identifiants ou SCEP. |
Saisissez les préfixes d'URL pour lesquels utiliser ce compte pour l'authentification Kerberos via HTTP. Par exemple : http://sharepoint.acme.com
. Si ce champ est laissé vide, le compte sera utilisé pour toutes les URL HTTP et HTTPS.
Saisissez l'ID de l'offre groupée d'applications ou sélectionnez-en un dans le menu déroulant. L'ID de l'offre groupée apparaît dans le menu déroulant une fois que l'application est importée dans UEM Console. Par exemple : com.air-watch.secure.browser. Les applications spécifiées doivent prendre en charge l'authentification Kerberos.
Cliquez sur Enregistrer et publier.
Dans l'exemple d'un navigateur Web, lorsque les utilisateurs accèdent à un site Web spécifié dans la section de configuration, ils sont invités à saisir le mot de passe de leur compte de domaine. Par la suite, ils n'ont plus à ressaisir les identifiants pour accéder à l'un des sites Web spécifiés dans la section de configuration.
Remarque :
Le serveur DNS doit avoir un enregistrement des services Kerberos (serveur KDC).
L'application sur le terminal mobile et le site Web doivent tous deux prendre en charge l'authentification Kerberos/Negotiate.
Utilisez le profil Assistant de configuration pour ignorer les écrans de l'Assistant de configuration sur le terminal après une mise à jour du système d'exploitation. Ce profil s'applique uniquement aux terminaux iOS 14, iPadOS 14 et versions ultérieures.
Configurez les paramètres de profil Ignorer l'assistant de configuration, dont :
Paramètres | Description |
---|---|
Assistant de configuration | Sélectionnez Ignorer tous les écrans de configuration après une mise à jour du système d'exploitation ou Ignorer les écrans sélectionnés de la liste ci-dessous. Remarque : par défaut, l'option Ignorer tous les écrans est sélectionnée. Lorsque les utilisateurs sélectionnent l'option permettant d'ignorer certains écrans, les autres zones de texte sont modifiables. |
Quitter Android | Si le volet Restaurer n'est pas ignoré, ignore l'option Quitter Android dans le volet Restaurer sur iOS. |
Choisissez votre aspect | Ignore l'écran Choisir votre aspect. |
Configuration de l'ID Apple | Ignore la configuration de l'ID Apple. |
App Store | Ignore la page App Store lors de la configuration. |
SOS d'urgence | Ignore la page SOS d’urgence lors de la configuration. |
ID biométrique | Ignore la configuration biométrique. Migration de terminal à terminal |
Migration de terminal à terminal | Ignore le volet Migration de terminal à terminal. |
Diagnostic | Ignore le volet Analyse d'applications. |
Afficher la tonalité | Ignore le volet de configuration Afficher la tonalité. |
Bouton Accueil | Ignore l'écran Découvrez le nouveau bouton d'accueil sur iPhone 7, iPhone 7 Plus, iPhone 8, iPhone 8 Plus et iPhone SE. |
IMessage et FaceTime | Ignore les écrans iMessage et FaceTime dans iOS. |
services de localisation | Ignore les services de localisation. |
Code d'accès | Ignore le volet Code secret. |
Paiement | Ignore la configuration d'Apple Pay. |
Confidentialité | Ignore le volet Confidentialité. |
Restaurer | Désactive la restauration à partir d'une sauvegarde. |
Restauration terminée | Ignore le volet Restauration terminée. |
Heure de l'écran | Ignore le volet Heure de l'écran. |
Ajouter un forfait mobile | Ignore le volet Ajouter un forfait mobile. |
Siri | Ignore Siri. |
Mise à jour logicielle | Ignore l'écran Mise à jour logicielle obligatoire dans iOS. |
Conditions générales | Ignore les conditions d'utilisation. |
Conditions d'adresse | Ignore les conditions d'adresse lors de l'assistant de configuration |
Mise à jour terminée | Ignore le volet Mise à jour logicielle terminée. |
Migration de Watch | Ignore l'écran Migration de Watch. |
Bienvenue | Ignore le volet Démarrage. |
Zoom | Ignore la configuration de Zoom. |
Pour configurer une application sur un terminal afin d'effectuer une authentification unique (SSO) avec l'extension Kerberos, configurez le profil d'extension SSO. Le profil d'extension SSO évite aux utilisateurs d'avoir à renseigner leur nom d'utilisateur et leur mot de passe pour accéder à des URL spécifiques. Ce profil s'applique uniquement aux terminaux iOS 13 et versions ultérieures.
Configurez les paramètres de l'extension SSO, dont :
Paramètre | Description |
---|---|
Type d'extension | Sélectionnez le type d'extension SSO de l'application. Si vous choisissez le type Générique, indiquez dans le champ Identifiant d'extension l'ID de bundle de l'extension d'application qui exécute la SSO pour les URL spécifiées. Si vous sélectionnez Kerberos, spécifiez les domaines Active Directory. |
Type | Sélectionnez Informations d'identification ou Redirection comme type d'extension. L'extension Informations d'identification est utilisée pour l'authentification par stimulation/réponse. L'extension Redirection prend en charge les authentifications OpenID Connect, OAuth et SAML. |
Identifiant d'équipe | Entrez l'identifiant d'équipe de l'extension d'application qui exécute la SSO pour les URL spécifiées. |
URL | Entrez un ou plusieurs préfixes d'URL de fournisseurs d'identité dans lesquels l'extension d'application exécute la SSO. |
Paramètres supplémentaires | Entrez les paramètres supplémentaires du profil dans le code XML qui est ajouté au nœud ExtensionData. |
Domaine Active Directory | Cette option s'affiche uniquement si Kerberos est sélectionné comme type d'extension. Entrez le nom du domaine Kerberos. |
Domaines | Entrez les noms d'hôte ou les noms de domaine pouvant être authentifiés via l'extension d'application. |
Utiliser la détection automatique de site | Activez cette option pour que l'extension Kerberos utilise automatiquement LDAP et DNS pour déterminer le nom du site Active Directory. |
Autoriser la connexion automatique | Activez cette option pour permettre l'enregistrement des mots de passe dans le trousseau d'accès. |
Demander un ID utilisateur tactile ou un mot de passe | Activez cette option pour permettre à l'utilisateur de fournir un ID tactile, un ID de reconnaissance faciale ou un code secret pour accéder à l'entrée du trousseau d'accès. |
Certificat | Sélectionnez le certificat à transférer au terminal qui se trouve dans le même profil MDM. |
ID de bundle autorisés | Entrez une liste d'ID de bundle d'applications pour autoriser l'accès au ticket d'attribution de ticket (TGT) de Kerberos. |
Envoyez à vos terminaux iOS des abonnements aux calendriers à l'aide de l'application de calendrier native dans macOS en configurant cette section de configuration.
Configurez les paramètres de calendrier :
Paramètre | Description |
---|---|
Description | Saisissez une courte description des abonnements aux calendriers. |
URL | Saisissez l'URL du calendrier auquel vous vous inscrivez. |
Nom d'utilisateur | Saisissez le nom de l'utilisateur à des fins d'authentification. |
Mot de passe | Saisissez le mot de passe à des fins d'authentification. |
Utiliser le SSL | Cochez cette case pour envoyer tout le trafic par SSL. |
Les réseaux privés virtuels (VPN) fournissent aux terminaux un tunnel sécurisé et chiffré pour accéder aux ressources internes. Les profils VPN permettent à chaque terminal de fonctionner comme s'il était connecté sur un réseau sur site. La configuration d'un profil VPN assure aux utilisateurs finaux un accès facile aux e-mails, aux fichiers et au contenu.
Les paramètres que vous voyez peuvent varier en fonction du Type de connexion que vous choisissez. Pour plus d'informations sur l'utilisation du filtrage de contenu Forcepoint, reportez-vous à la section Création d'un profil de filtrage de contenu Forcepoint.
Configurez les paramètres de profil Notifications, dont :
Paramètres | Description |
---|---|
Nom de la connexion | Saisissez le nom affiché de la connexion à afficher sur le terminal. |
Type de connexion | Utilisez le menu déroulant pour sélectionner la méthode de connexion réseau. |
Serveur | Saisissez le nom d'hôte ou l'adresse IP du serveur utilisé pour la connexion. |
Compte | Saisissez le nom du compte VPN. |
Envoyer tout le trafic | Permet de forcer l'ensemble du trafic à travers le réseau spécifié. |
Déconnexion en cas d'inactivité | Autorisez le VPN à se déconnecter automatiquement après une certaine durée. La prise en charge de cette valeur dépend du fournisseur VPN. |
Se connecter automatiquement | Sélectionnez cette option pour autoriser le VPN à se connecter automatiquement aux domaines suivants. Cette option s’affiche lorsque l’option Règles du VPN par application est sélectionnée. Domaines pour Safari Domaines de messagerie Domaines de contacts Domaines de calendrier |
Type de fournisseur | Sélectionnez le type de service VPN. Si le type de service VPN est un proxy d'application, le service VPN achemine le trafic au niveau de l'application. S'il s'agit d'un tunnel de paquets, le service VPN achemine le trafic au niveau de la couche IP. |
Règles du VPN par application | Active le VPN par application pour les terminaux. Pour plus d'informations, consultez la section Configuration du VPN par application pour les terminaux iOS dans ce guide. |
Authentification | Sélectionnez la méthode d'authentification des utilisateurs finaux. Suivez les indications qui s'affichent pour importer un Certificat d'identité ou saisissez un Mot de passe ou la clé Secret partagé à fournir pour donner aux utilisateurs l'accès VPN. |
Activer le VPN à la demande | Activez le VPN à la demande afin d'utiliser des certificats pour établir automatiquement des connexions VPN à l'aide des informations de la section Configuration d'un VPN à la demande pour les terminaux iOS de ce guide. |
Proxy | Sélectionnez le type de proxy Manuel ou Automatique à configurer avec cette connexion VPN. |
Serveur | Saisissez l'URL du serveur proxy. |
Port | Saisissez le port utilisé pour communiquer avec le proxy. |
Nom d'utilisateur | Saisissez le nom d'utilisateur pour vous connecter au serveur proxy. |
Mot de passe | Saisissez le mot de passe pour vous authentifier. |
Clés du fournisseur | Sélectionnez cette option pour créer des clés personnalisés à ajouter au dictionnaire de configuration du fournisseur. |
Clé | Saisissez la clé spécifique fournie par le fournisseur. |
Valeur | Saisissez la valeur VPN pour chaque clé. |
Exclure les réseaux locaux | Activez cette option pour inclure tous les réseaux afin d'acheminer le trafic réseau en dehors du VPN. |
Inclure tous les réseaux | Activez cette option pour inclure tous les réseaux afin d'acheminer le trafic réseau via le VPN. |
Appliquer les routes | Activez cette option pour que toutes les routes autres que les routes par défaut du VPN prévalent sur les règles définies localement. Si vous avez activé Inclure tous les réseaux, ce paramètre est ignoré. |
Unité de transmission maximum | Elle spécifie la taille maximale en octets de chaque paquet qui sera envoyé sur l'interface VPN IKEv2. |
Domaines SMB | Tableau de domaines SMB accessibles via cette connexion VPN. |
Empêcher le remplacement à la demande | Activez cette option pour empêcher les utilisateurs d'activer le VPN à la demande dans Paramètres. |
Remarque : Si vous avez choisi le type IKEv2, vous êtes autorisé à entrer la version TLS minimale et maximale pour la connexion VPN, à condition que vous ayez coché la case Activer EAP avant d'entrer la version TLS.
Après l'enregistrement du profil, les utilisateurs finaux ont accès aux sites autorisés.
Le VPN à la demande est le processus d'établissement automatique d'une connexion VPN pour des domaines spécifiques. Pour une meilleure sécurité et une plus grande facilité d'utilisation, le VPN à la demande utilise, pour l'authentification, des certificats au lieu des codes d'accès simples.
Assurez-vous que votre autorité de certification et les modèles de certificat dans Workspace ONE UEM sont convenablement configurés pour la distribution des certificats. Rendez l'application VPN tierce de votre choix disponible pour les utilisateurs en l'envoyant vers les terminaux ou en la recommandant dans votre catalogue d'applications d'entreprise.
Configurez votre profil VPN de base en conséquence.
Sélectionnez Certificat dans le menu déroulant Authentification de l'utilisateur. Naviguez vers la section de configuration Identifiants.
a. Dans le menu déroulant Source des informations d'identification, sélectionnez Autorité de certification définie.
b. Sélectionnez l'Autorité de certification et le Modèle de certificat dans les menus déroulants correspondants.
c. Revenez à la section de configuration VPN.
Sélectionnez le Certificat d'identité tel qu'il est indiqué dans la section de configuration Identifiants si vous appliquez une authentification de certificat au profil VPN.
Cochez la case Activer le VPN à la demande.
Configurez l'option Utiliser les nouvelles clés à la demande (iOS 7) pour activer une connexion VPN lorsque les utilisateurs accèdent à l'un des domaines spécifiés :
Paramètre | Description |
---|---|
Utiliser de nouvelles clés à la demande (iOS 7 et versions ultérieures) | Sélectionnez cette option pour utiliser la nouvelle syntaxe qui permet d'indiquer des règles VPN plus granulaires. |
Règle à la demande/Action | Choisissez une Action pour définir le comportement VPN à appliquer à la connexion VPN en fonction des critères définis. Si le critère est vrai, l'action spécifiée se produit. Évaluer la connexion : établit automatiquement la connexion au tunnel VPN en fonction des paramètres réseau et des caractéristiques de chaque connexion. L'évaluation se produit chaque fois que le VPN se connecte à un site Web. Connecter : établit automatiquement la connexion au tunnel VPN lors de la nouvelle tentative de connexion au réseau si les critères réseau sont satisfaits. Déconnecter : Désactive automatiquement la connexion au tunnel VPN et ne se reconnecte pas à la demande si les critères réseau sont satisfaits. Ignorer : quitte la connexion VPN existante, mais ne se reconnecte pas à la demande si les critères réseau sont satisfaits. |
Paramètre d'action | Configurez les Paramètres d'action pour que les domaines spécifiés déclenchent une tentative de connexion VPN en cas d'échec de la résolution des noms de domaine, par exemple lorsque le serveur DNS indique qu'il ne parvient pas à résoudre le domaine, répond par une redirection vers un autre serveur ou ne parvient pas à répondre (expiration). Si vous choisissez Évaluer la connexion, les options suivantes s'affichent : Choisissez Connecter si besoin/Ne jamais connecter et saisissez des informations supplémentaires : Domaines – Saisissez les domaines pour lesquels cette évolution s'applique. Analyse de l'URL – Saisissez une URL HTTP ou, de préférence, HTTPS à analyser à l'aide d'une requête GET. Si le nom d'hôte de l'URL ne peut pas être résolu, si le serveur est inaccessible ou ne répond pas avec un code de statut 200 HTTP, une connexion VPN est établie en réponse. Serveurs DNS – Saisissez une série d'adresses IP de serveur DNS à utiliser pour la résolution des domaines spécifiés. Ces serveurs ne doivent pas nécessairement faire partir de la configuration réseau actuelle du terminal. Si ces serveurs DNS ne sont pas accessibles, une connexion VPN est établie en réponse. Il doit s'agir de serveurs DNS internes ou de serveurs DNS externes approuvés. (facultatif) |
Critères/Valeur pour le paramètre | Correspondance des interfaces – Sélectionnez le type de connexion qui correspond à l'adaptateur actuel du réseau du terminal. Les valeurs disponibles sont Tout, Wifi, Ethernet et Cellulaire. Détection de l'URL – Saisissez l'URL spécifiée pour que les critères soient satisfaits. Lorsque les critères sont satisfaits, un code de statut 200 HTTP est renvoyé. Ce format inclut le protocole (https). Correspondance SSID – Saisissez l'ID réseau actuel du terminal. Pour que les critères soient satisfaits, l'ID doit correspondre à au moins l'une des valeurs de la plage. - Utilisez l'icône + pour entrer plusieurs SSID si nécessaire. Correspondance de domaines DSN – Saisissez le domaine de recherche du réseau actuel du terminal. Vous pouvez utiliser un caractère générique (*.exemple.com). Correspondance d'adresses DNS – Saisissez l'adresse DNS qui correspond à l'adresse IP du serveur DNS actuel du terminal. Pour que les critères soient satisfaits, toutes les adresses IP répertoriées du terminal doivent être entrées. Vous pouvez effectuer la mise en correspondance avec un seul caractère générique (17.*). |
Vous pouvez également choisir l'option existante VPN à la demande :
Paramètre | Description |
---|---|
Domaine ou hôte | Action à la demande Établir si nécessaire ou Toujours établir : établit une connexion VPN uniquement si la page indiquée n'est pas accessible directement. Ne jamais établir – N'établit pas de connexion VPN pour les adresses correspondant au domaine indiqué. Cependant, si un VPN est déjà actif, celui-ci peut être utilisé. |
Utilisez l'icône + pour ajouter d'autres Règles et Paramètres d'action si nécessaire.
Choisissez un type de Proxy :
Paramètre | Description |
---|---|
Proxy | Sélectionnez le type de proxy Manuel ou Automatique pour configurer cette connexion VPN. |
Serveur | Saisissez l'URL du serveur proxy. |
Port | Saisissez le port utilisé pour communiquer avec le proxy. |
Nom d'utilisateur | Saisissez le nom d'utilisateur pour vous connecter au serveur proxy. |
Mot de passe | Saisissez le mot de passe pour vous authentifier. |
Effectuez les Configurations du fournisseur. Ces valeurs sont propres à chaque fournisseur VPN.
Paramètre | Description |
---|---|
Clés du fournisseur | Sélectionnez cette option pour créer des clés personnalisées à ajouter au dictionnaire de configuration du fournisseur. |
Clé | Saisissez la clé spécifique fournie par le fournisseur. |
Valeur | Saisissez la valeur VPN pour chaque clé. |
Cliquez sur Enregistrer et publier. Une fois le profil installé sur le terminal d'un utilisateur, une invite de connexion via le VPN s'affiche automatiquement dès que l'utilisateur navigue vers un site concerné, comme SharePoint.
Les raccourcis Internet sont des signets que vous pouvez envoyer vers les terminaux et qui s'afficheront comme des icônes sur l'écran d'accueil du terminal ou dans votre catalogue d'applications.
Configurez les paramètres des raccourcis Internet :
Paramètre | Description |
---|---|
Libellé | Saisissez le texte affiché sous l'icône du raccourci Internet sur le terminal d'un utilisateur. Par exemple : “AirWatch Self-Service Portal.” |
URL | Saisissez l'URL du raccourci Internet qui s'affiche. Voici quelques exemples de pages Workspace ONE UEM : Pour le SSP, utilisez : https://{Environnement Airwatch}/mydevice/ Pour le catalogue d'applications, utilisez : https://{Environnement}/Catalog/ViewCatalog/{SecureDeviceUdid}/{DevicePlatform} Pour le catalogue de livre, utilisez : https://{Environnement}/Catalog/BookCatalog?uid={DeviceUUID} |
Supprimable | Autorisez les utilisateurs des terminaux à utiliser la fonctionnalité d'appui long pour supprimer des raccourcis internet. |
Icône | Sélectionnez cette option pour l'importation comme icône de raccourci Internet. Importez une icône personnalisée, au format .gif, .jpg ou .png, pour l'application. Pour de meilleurs résultats, choisissez une image carrée de 400 pixels maximum de côté et de moins d'1 Mo lorsqu'elle n'est pas compressée. L'image sera automatiquement ajustée et rognée, puis convertie au format png. Les icônes des raccourcis Internet mesurent 104 x 104 pixels pour les terminaux dotés d'un écran Retina ou 57 x 57 pixels pour tous les autres terminaux. |
Icône précomposée | Sélectionnez cette option pour afficher l'icône sans effets visuels. |
Plein écran | Sélectionnez cette option pour exécuter la page Web en mode plein écran. |
Vous pouvez autoriser ou empêcher les utilisateurs d’accéder à certaines URL depuis un navigateur Web en configurant une section de configuration Filtre de contenu Web appliquée aux terminaux. Toutes les URL doivent commencer par http:// ou https://. Si nécessaire, vous devez créer des entrées séparées pour les versions HTTP et HTTPS d'une même URL. La section de configuration Filtre de contenu Web n'est applicable qu'à des terminaux iOS 7 (et versions ultérieures) supervisés.
Configurez les paramètres de filtre de contenu Web , notamment :
Sélectionnez le menu déroulant Type de filtre :
Intégré : Autoriser les sites Web
Intégré : Refuser les sites Web
Plug-in
Intégré : Autoriser les sites Web
Configurez une liste autorisée d'URL afin d'autoriser les utilisateurs à accéder uniquement aux sites Web spécifiques figurant sur la liste et les empêcher d'accéder à d'autres sites Web.
Sélectionnez Intégré : Autoriser les sites Web dans le menu déroulant Type de filtre pour choisir les plug-ins qui sont accessibles.
Sélectionnez Ajouter et configurez la liste des sites Web autorisés :
Paramètre | Description |
---|---|
URL autorisées | URL d'un site autorisé. |
Titre | Titre du signet. |
Chemin d'accès au signet | Dossier dans lequel le signet sera ajouté dans Safari. |
Intégré : Refuser les sites Web
Configurez une liste bloquée d'URL afin d'empêcher les utilisateurs d'accéder aux sites Web spécifiés. Toutefois, tous les autres sites Web restent disponibles pour les utilisateurs. Par ailleurs, les sites Web comportant des grossièretés sont exclus, sauf si une exception est autorisée.
Sélectionnez Intégré : Refuser les sites Web dans le menu déroulant Type de filtre et configurez les sites Web bloqués :
Paramètre | Description |
---|---|
URL bloquées | Saisissez des URL bloquées en les séparant par un retour à la ligne, un espace ou une virgule. |
Filtrer automatiquement les sites Web inappropriés | Sélectionnez cette option pour exclure les sites Web pour adultes. |
Chemin d'accès au signet | Saisissez le chemin d'accès au dossier dans lequel le signet est ajouté dans Safari. |
URL autorisées | Saisissez les sites Web qui peuvent être autorisés en tant qu'exceptions au filtre automatique. |
Plug-ins
Cette section de configuration vous permet d'intégrer dans Safari un plug-in tiers de filtrage de contenu Web.
Si vous souhaitez intégrer spécifiquement des filtres de contenu Forcepoint ou Blue Coat, consultez les sections correspondantes de ce guide.
Sélectionnez Plug-in dans le menu déroulant Type de filtre pour choisir les plug-ins qui sont accessibles. Vous devez activer les besoins en trafic Webkit ou Socket pour que la section de configuration fonctionne.
Paramètre | Description |
---|---|
Nom du filtre | Saisissez le nom du filtre qui s'affiche sur le terminal. |
Identifiant | Saisissez l'ID d'offre groupée de l'identifiant du plug-in qui fournit un service de filtrage. |
Adresse de service | Saisissez le nom d'hôte, l'adresse IP ou l'URL du service. |
Groupe | Choisissez la chaîne d'organisation transmise au plug-in tiers. |
Filtrer le trafic WebKit | Sélectionnez cette option pour choisir si vous souhaitez filtrer le trafic Webkit. |
Filtrage du trafic Socket | Sélectionnez cette option pour choisir si vous souhaitez filtrer le trafic Socket. |
Configurez les informations d'Authentification :
Paramètre | Description |
---|---|
Nom d'utilisateur | Utilisez les valeurs de recherche pour qu'elles se remplissent automatiquement depuis l'enregistrement de compte utilisateur. Vérifiez qu'une adresse e-mail et un nom d'utilisateur e-mail sont définis pour les comptes utilisateur Workspace ONE UEM. |
Mot de passe | Saisissez le mot de passe de ce compte. |
Certificat de section de configuration | Choisissez le certificat d'authentification. |
Ajoutez des Données personnalisées qui incluent les clés requises par le service de filtrage tiers. Ces informations intègrent le dictionnaire de configuration du fournisseur.
Cliquez sur Enregistrer et publier.
La configuration d'un profil Wi-Fi permet aux terminaux de se connecter aux réseaux d'entreprise, même s'ils sont masqués, chiffrés ou protégés par mot de passe. Cette section de configuration est utile pour les utilisateurs qui voyagent et utilisent leur propre réseau sans fil, ou pour les utilisateurs qui se trouvent dans un bureau dans lequel ils peuvent connecter leur terminal automatiquement à un réseau sans fil sur site.
Configurez les paramètres du Wi-Fi, notamment :
Paramètre | Description |
---|---|
Identifiant SSID | Saisissez nom du réseau auquel le terminal se connecte. |
Réseau masqué | Saisissez une connexion à un réseau qui n'est pas ouvert ou qui n'émet aucune donnée. |
Rejoindre automatiquement | Déterminez si le terminal se connecte automatiquement au réseau lors du démarrage du terminal. Le terminal conserve une connexion active jusqu'au redémarrage du terminal ou jusqu'à la sélection manuelle d'une autre connexion. |
Activer IPv6 | Désélectionnez cette option pour désactiver IPv6 |
Type de sécurité | Sélectionnez le type de protocole d'accès à utiliser. Saisissez le Mot de passe ou sélectionnez les Protocoles qui s'appliquent à votre réseau Wi-Fi. |
Protocoles | Choisissez les protocoles d'accès réseau. Cette option apparaît lorsque Wi-Fi et Type de sécurité sont définis sur l'un des paramètres Entreprise. Cette option s'affiche également lorsque Ethernet est sélectionné. |
Point d'accès Wi-Fi 2.0 | Active la fonctionnalité Point d'accès Wi-Fi 2.0 et n'est disponible que pour les terminaux iOS 7 et versions ultérieures. Le point d'accès 2.0 est un type d'accès Wi-Fi public qui permet aux terminaux de s'identifier et de se connecter facilement au meilleur point d'accès disponible. Les forfaits des fournisseurs doivent prendre en charge les points d'accès 2.0 pour que cette option fonctionne correctement. |
HESSID | HESSID utilisé pour la négociation du point d'accès Wi-Fi 2.0 |
Nom de domaine | Saisissez le nom du domaine du fournisseur de service du Passpoint. |
Autorise la connexion aux réseaux Passpoint des partenaires d'itinérance | Activez l'itinérance vers les réseaux Passpoint partenaires. |
Nom de l'opérateur affiché | Saisissez le nom du fournisseur de services du point d'accès Wi-Fi. |
ID d'organisation du consortium en itinérance | Saisissez les identifiants de l'organisation du consortium en itinérance. |
ID d'accès réseau | Saisissez les noms de domaine d'ID d'accès au réseau. |
MCC/MNC | Saisissez la configuration Mobile country code/Mobile network code, sous la forme d'un nombre à 6 chiffres. |
Authentification | Configurez les paramètres d'authentification qui varient selon le protocole. |
Nom d'utilisateur | Saisissez un nom d'utilisateur pour le compte. |
Mot de passe par connexion de l'utilisateur | Demandez le mot de passe lors de la connexion et envoyez-le avec l'authentification. |
Mot de passe | Entrez le mot de passe pour la connexion. |
Certificat d'identité | Sélectionnez le certificat pour l'authentification. |
Identité externe | Sélectionnez la méthode d'authentification externe. |
Certificat TLS requis | Activez ce paramètre pour autoriser l'authentification à deux facteurs pour EAP-TTLS, PEAP ou EAP-FAST. Sélectionnez Désactivé pour autoriser l'authentification à zéro facteur pour EAP-TLS. |
Version TLS minimale | Sélectionnez la version TLS minimale (1.0, 1.1 et 1.2). Si aucune valeur n'est sélectionnée, la version TLS minimale par défaut est 1.0. Remarque : de plus, les versions TLS maximales peuvent uniquement être configurées pour les types de protocoles TLS, TTLS, EAP-Fast et PEAP. |
Version TLS maximale | Sélectionnez la version TLS maximale (1.0, 1.1 et 1.2). Si aucune valeur n'est sélectionnée, la version TLS maximale par défaut est 1.2. |
Certificats approuvés | Il s'agit des certificats de serveurs fiables pour votre réseau Wi-Fi. |
Noms des certificats de serveurs approuvés | Entrez les noms des certificats de serveur approuvés. |
Autoriser les exceptions de fiabilité | Autorisez les utilisateurs à prendre des décisions avisées. |
Configurez les paramètres Proxy pour les types de proxy Manuel ou Auto.
Si vous utilisez une infrastructure Cisco, configurez la Politique de marquage QoS (terminaux iOS v11 et versions ultérieures).
Paramètre | Description |
---|---|
Marquage QoS pour Fastlane | Sélectionnez la configuration de marquage requise. |
Activer le marquage QoS | Sélectionnez cette option pour choisir les applications concernées par les attributions de données prioritaires. |
Autoriser les services d'appels d'Apple | Sélectionnez cette option pour ajouter les services d'appel Wi-Fi d'Apple à votre liste autorisée de QoS. |
Autoriser les applications pour le marquage QoS | Recherchez les applications concernées par les attributions de données prioritaires et ajoutez-les. |
Configurez le portail Captivate pour le contourner.
Sélectionnez Enregistrer et publier lorsque vous avez terminé pour envoyer le profil sur les terminaux.