Identifiants Apple gérés pour les appareils Apple
Comme nʼimporte quel identifiant Apple, les identifiants Apple gérés peuvent être utilisés sur des appareils dédiés ou partagés pour accéder à des appareils Apple spécifiques (notamment lʼiPad partagé, iCloud et les outils de collaboration iWork et Notes), ainsi que pour accéder à et utiliser Apple School Manager, Apple Business Manager et Apple Business Essentials. Les identifiants Apple gérés ne prennent pas en charge le partage familial.
Dans Apple School Manager, les identifiants Apple gérés sont détenus et contrôlés par l’établissement d’enseignement, et sont conçus pour répondre aux besoins des établissements de l’Enseignement, notamment pour la réinitialisation des mots de passe, les restrictions sur les communications, et l’administration par attribution de rôles. Apple School Manager simplifie la création d’un identifiant Apple géré par lot pour chaque utilisateur.
Dans Apple Business Manager et Apple Business Essentials, les identifiants Apple gérés appartiennent à l’établissement et sont gérés par celui-ci, y compris en ce qui concerne les réinitialisations de mot de passe et l’administration par attribution de rôles. Apple Business Manager et Apple Business Essentials simplifient la création d’un identifiant Apple géré par lot pour chaque utilisateur.
Pour voir les certifications qu’Apple maintient en conformité avec les normes ISO 27001 et 27018 pour les identifiants Apple gérés, consultez l’article Certifications de sécurité Apple pour les services Internet dans les certifications de sécurité Apple.
Mode de création des identifiants Apple gérés
Les identifiants Apple gérés sont créés après les opérations suivantes :
Apple School Manager uniquement : Importer des comptes depuis votre SIS (Student Information System)
Apple School Manager uniquement : Importer des fichiers .csv à l’aide du protocole SFTP (Secure File Transfer Protocol)
Importer des utilisateurs depuis Google Workspace
Utiliser l’authentification fédérée avec un fournisseur d’identité (IdP), Google Workspace ou Microsoft Entra ID
Utiliser Open ID Connect (OIDC) pour importer des utilisateurs à partir d’un IdP
Utiliser la norme SCIM (System for Cross-domain Identity Management ou Système de gestion d’identité interdomaines) pour importer des utilisateurs à partir d’un IdP ou de Microsoft Entra ID
Créer des comptes manuellement
Important : gardez à l’esprit que chaque identifiant Apple géré doit être unique. Aucun conflit ne doit être constaté avec d’autres identifiants Apple que d’autres utilisateurs sont susceptibles de déjà posséder.
Se connecter avec Apple au travail et à l’école
« Se connecter avec Apple au travail et à l’école » est une fonctionnalité permettant à « Se connecter avec Apple » de prendre en charge les identifiants Apple gérés. Les employés, instructeurs et élèves peuvent se connecter avec leur identifiant Apple géré pour accéder aux apps et sites web prenant en charge « Se connecter avec Apple ». Les administrateurs, gestionnaires de sites (Apple School Manager uniquement) et gestionnaires de personnes peuvent contrôler les apps autorisées à prendre en charge la fonctionnalité « Se connecter avec Apple ». Pour utiliser « Se connecter avec Apple au travail et à l’école », les appareils Apple doivent exécuter iOS 16, iPadOS 16.1 ou macOS 13 ou ultérieur.
Pour en savoir plus, visionnez la vidéo Discover Sign in with Apple at Work & School (en anglais) de la WWDC22.
Clés d’identification et identifiants Apple gérés
Les clés d’identification sont conçues pour fournir une expérience de connexion sans mot de passe à la fois pratique et sécurisée. Il s’agit d’une technologie fondée sur une norme capable de résister au hameçonnage, fondamentalement robuste et ne nécessitant l’utilisation d’aucun secret partagé.
Grâce à la prise en charge des identifiants Apple gérés par le Trousseau iCloud, les organisations peuvent déployer des clés d’identification afin de permettre aux employés d’accéder à des ressources internes avec l’assurance que les clés de sécurité se synchronisent en toute sécurité sur l’ensemble de leurs iPhone, iPad et Mac. À l’aide de la fonctionnalité de gestion des accès, elles peuvent également définir l’état de gestion requis d’un appareil permettant d’accéder aux clés d’identification gérées.
Une configuration déclarative d’attestation de clé d’identification autorise un appareil géré à fournir une attestation lorsqu’une clé d’identification est approvisionnée pour un service organisationnel. L’attestation est fournie lorsqu’un utilisateur enregistre une clé d’identification pour un site web ou une app utilisant un domaine spécifié dans la configuration. Une fois que l’appareil a généré une clé d’identification en toute sécurité, il utilise l’identité de certificat définie dans la configuration pour réaliser une attestation WebAuthn
avec le service auquel il accède. Cela permet au service de vérifier que la clé d’identification a été créée sur un appareil géré par l’organisation avant d’accorder l’accès.
Les clés d’identification générées sont automatiquement stockées dans le trousseau iCloud associé à l’identifiant Apple géré. En cas d’absence d’identifiant Apple géré, la clé d’identification ne peut pas être créée.
S’ils souhaitent fournir à l’utilisateur un processus de connexion simple, les développeurs d’apps peuvent avoir recours aux domaines associés afin d’établir une association sécurisée entre les domaines et leur app (et accessoirement autoriser une configuration des domaines associés via le service MDM). Le cas échéant, iOS, iPadOS et macOS peuvent automatiquement sélectionner et fournir la clé d’identification correcte offrant ainsi une expérience de connexion fluide. Si l’authentification est effectuée par un service tiers, vous pouvez utiliser ASWebAuthenticationSession
à la place.
Pour en savoir plus, consultez la rubrique Configuration déclarative d’Attestation de code d’accès.