Gérer lʼaccès aux accessoires aux appareils Apple
Gérer des ordinateurs Mac
Sécurité des accessoires (aussi appelé Mode restreint) pour macOS a été conçu pour protéger les clients des tentatives d’accès au moyen d’accessoires câblés. Pour les ordinateurs portables Mac dotés dʼune puce Apple exécutant macOS 13 ou ultérieur, la configuration par défaut est de demander lʼapprobation de lʼutilisateur concernant lʼutilisation de nouveaux accessoires. En ce qui concerne l’autorisation de connexion d’accessoires, l’utilisateur peut choisir parmi quatre options dans Réglages Système :
Demander à chaque fois
Demander pour les nouveaux accessoires
Automatiquement au déverrouillage
Toujours
Si un utilisateur branche un accessoire inconnu (Thunderbolt, USB ou, sous macOS 13.3 ou ultérieur, des cartes SD à grande capacité SDXC) à un Mac verrouillé, il sera invité à déverrouiller le Mac. Les accessoires approuvés peuvent être branchés sur un Mac verrouillé jusqu’à trois jours après que le Mac a été verrouillé pour la dernière fois. Passé ce délai, l’utilisateur devra déverrouiller son Mac pour pouvoir utiliser un accessoire branché.
Contourner l’autorisation de l’utilisateur peut être nécessaire pour certains environnements. Les solutions MDM peuvent contrôler ce comportement en utilisant la restriction allowUSBRestrictedMode existante pour autoriser systématiquement les accessoires.
Remarque : ces connexions ne sʼappliquent pas aux adaptateurs secteur, aux moniteurs ne prenant pas en charge la technologie Thunderbolt, aux connexions à un concentrateur approuvé, aux cartes à puce jumelées ou à un Mac sur lequel Assistant réglages est actif et qui est démarré à partir du système d’exploitation de secours.
Gérer des appareils iPhone et iPad
La gestion des ordinateurs hôtes avec lesquels un iPhone et un iPad peuvent se jumeler est importante pour la sécurité et la commodité pour les utilisateurs. Par exemple, la possibilité de se connecter en toute sécurité à des stations en libre-service pour la mise à jour des logiciels ou le partage de la connexion Internet d’un ordinateur Mac nécessite une relation de confiance entre l’iPhone ou l’iPad et l’ordinateur hôte.
Le jumelage d’appareils est généralement réalisé par l’utilisateur lorsqu’il connecte son appareil à un ordinateur hôte à l’aide d’un câble USB (ou un câble Thunderbolt, si un modèle d’iPad le prend en charge). Une invite s’affiche sur l’appareil de l’utilisateur et lui demande s’il souhaite établir une relation de confiance avec l’ordinateur.
L’utilisateur est alors invité à saisir son code afin de confirmer sa décision. Par la suite, toute autre connexion au même ordinateur hôte est automatiquement considérée comme fiable. Pour effacer leurs relations de confiance de jumelage, les utilisateurs peuvent accéder à Réglages > Général > Réinitialiser > Réinitialiser localisation et confidentialité, ou effacer leur appareil. De plus, ces enregistrements de confiance sont supprimés s’ils ne sont pas utilisés pendant 30 jours.
Gestion MDM du jumelage avec des hôtes
Un administrateur peut gérer la capacité des appareils Apple supervisés à faire manuellement confiance aux ordinateurs hôtes avec la restriction Autoriser le jumelage avec des hôtes non-Apple Configurator. En désactivant la capacité de jumelage avec des hôtes (et en distribuant les bonnes identités de supervision aux appareils), l’administrateur garantit que seuls les ordinateurs de confiance qui détiennent un certificat d’hôte de supervision valide sont autorisés à accéder aux iPhone et iPad en question par USB (ou, si un modèle dʼiPad le prend en charge, Thunderbolt). Si aucun certificat d’hôte de supervision n’a été configuré sur l’ordinateur hôte, tout jumelage est désactivé.
Remarque : le réglage d’inscription d’appareil Apple allow_pairing (autoriser le jumelage) a été abandonné avec iOS 13 et iPadOS 13.1. Les administrateurs doivent utiliser les instructions ci-dessus à l’avenir, car elles fournissent plus de souplesse en ce qui concerne le jumelage avec des hôtes de confiance. Elles permettent en outre d’ajuster les réglages de jumelage avec des hôtes sans avoir à effacer l’iPhone ou l’iPad.
Sécurisation des flux de restauration en l’absence de jumelage
Dans iOS 14.5 et iPadOS 14.5 ou ultérieur, un ordinateur hôte non jumelé ne peut pas redémarrer un appareil en mode de système d’exploitation de secours (également appelé mode de récupération) ni le restaurer sans interaction physique locale. Avant ce changement, un utilisateur non autorisé pouvait effacer et restaurer l’appareil d’un utilisateur sans interagir directement avec l’iPhone ou l’iPad. Tout ce dont il avait besoin était une connexion USB, ou, si le modèle de lʼiPad le permettait, une connexion Thunderbolt (par exemple, offerte comme moyen de recharge) à l’appareil cible et un ordinateur.
Restreindre le démarrage externe pour récupérer un iPhone ou un iPad
Par défaut, iOS 14.5 et iPadOS 14.5 ou ultérieur limitent cette capacité de récupération aux ordinateurs hôtes qui ont été préalablement approuvés. Les administrateurs qui souhaitent refuser ce comportement plus sécurisé peuvent activer la restriction Autoriser la mise en mode de récupération d’un appareil iOS ou iPadOS à partir d’un hôte non jumelé.
Utiliser des adaptateurs Ethernet avec lʼiPhone ou lʼiPad
Un iPhone ou un iPad avec un adaptateur Ethernet compatible maintient une connexion active à un réseau connecté avant même que lʼappareil soit initialement déverrouillé, si la restriction est désactivée sur lʼappareil. Cette approche est utile lorsque ce dernier doit recevoir une commande MDM et qu’aucun réseau Wi-Fi et cellulaire n’est disponible, et qu’il n’a pas été déverrouillé depuis son démarrage à partir d’un état d’arrêt ou son redémarrage (lorsqu’un utilisateur a oublié son code et que la solution MDD tente de l’effacer, par exemple).
Le réglage « Mode restreint » sur iPhone ou iPad peut-être géré par :
l’administrateur MDM avec la restriction « Mode USB restreint ». Cela requiert la supervision de l’appareil.
l’utilisateur dans Réglages > Touch/Face ID et code > Accessoires.