XenMobile Server

iOS

Pour gérer des appareils iOS dans XenMobile Server, vous devez configurer un certificat Apple Push Notification Service (APNS). Pour de plus amples informations, consultez la section Certificats APNs.

Les profils d’inscription déterminent si les appareils iOS s’inscrivent en mode MDM+MAM, avec la possibilité pour les utilisateurs de se désinscrire de MDM. XenMobile Server prend en charge les types d’authentification suivants pour les appareils iOS en mode MDM+MAM. Pour de plus amples informations, consultez la section Certificats et authentification.

  • Domaine
  • Domaine et jeton de sécurité
  • Certificat client
  • Certificat client et domaine

Exigences pour les certificats de confiance dans iOS 13 :

Apple a introduit de nouvelles exigences pour les certificats de serveur TLS. Vérifiez que tous les certificats respectent les nouvelles exigences d’Apple. Consultez la publication Apple, https://support.apple.com/en-us/HT210176. Pour obtenir de l’aide sur la gestion des certificats, consultez la section Chargement de certificats dans XenMobile Server.

Pour les systèmes d’exploitation pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Compatibilité iOS 14

XenMobile Server et les applications mobiles Citrix sont compatibles avec iOS 14, mais ne prennent pas actuellement en charge les nouvelles fonctionnalités iOS 14.

Pour les appareils iOS supervisés, vous pouvez retarder les mises à niveau logicielles jusqu’à 90 jours. Dans la stratégie Restrictions pour iOS, utilisez les paramètres suivants :

  • Retarder les mises à jour logicielles
  • Délai imposé pour les mises à jour logicielles

Consultez la section Paramètres iOS. Ces paramètres ne sont pas disponibles pour les appareils en mode d’inscription utilisateur ou non supervisé (MDM complet).

Noms d’hôtes Apple qui doivent rester ouverts

Certains noms d’hôtes Apple doivent rester ouverts pour assurer le bon fonctionnement d’iOS, de macOS et de l’Apple App Store. Le blocage de ces noms d’hôtes peut affecter l’installation, la mise à jour et le bon fonctionnement d’iOS, des applications iOS et de MDM et l’inscription des appareils et des applications. Pour en savoir plus, voir https://support.apple.com/en-us/HT201999.

Méthodes d’inscription prises en charge

Vous spécifiez comment gérer les appareils iOS dans les profils d’inscription. Vous pouvez choisir l’inscription d’appareils ou pas d’inscription MDM.

Pour configurer les paramètres d’inscription pour les appareils iOS, accédez à Configurer > Profils d’inscription > iOS.

Page Profil d’inscription pour iOS

Le tableau suivant indique les méthodes d’inscription prises en charge par XenMobile Server pour les appareils iOS :

Méthode Pris en charge
Programmes de déploiement d’Apple Oui
Apple School Manager Oui
Apple Configurator Oui
Inscription manuelle Oui
Invitations d’inscription Oui

Apple propose des programmes d’inscription d’appareil pour les comptes d’entreprise et éducation. Pour les comptes d’entreprise, vous devez vous inscrire au Programme de déploiement d’Apple pour utiliser le programme Apple Device Enrollment Program (DEP) afin de gérer et inscrire des appareils dans XenMobile Server. Ce programme est pour les appareils iOS et macOS. Voir Déployer des appareils via le programme de déploiement d’Apple.

Pour les comptes éducation, vous devez créer un compte Apple School Manager. Apple School Manager unifie le programme de déploiement et l’achat en volume. Apple School Manager est un type de programme de déploiement Apple Éducation. Consultez la section Intégration avec les fonctionnalités Apple Éducation.

Vous pouvez utiliser le programme de déploiement d’Apple pour inscrire en bloc des appareils iOS et macOS. Vous pouvez acheter ces appareils directement auprès d’Apple, d’un revendeur agréé Apple ou d’un opérateur. Vous pouvez aussi utiliser Apple Configurator pour inscrire des appareils iOS qu’ils aient été achetés ou non directement auprès d’Apple. Consultez la section Inscription en bloc d’appareils Apple.

Ajouter un appareil iOS manuellement

Si vous souhaitez ajouter manuellement un appareil iOS, par exemple à des fins de test, procédez comme suit.

  1. Dans la console XenMobile Server, cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Cliquez sur Ajouter. La page Ajouter un appareil s’affiche.

    Page Ajouter un appareil

  3. Pour configurer ces paramètres :

    • Sélectionner une plate-forme : cliquez sur iOS.
    • Numéro de série : entrez le numéro de série de l’appareil.
  4. Cliquez sur Ajouter. Le tableau Appareils s’affiche avec l’appareil ajouté en bas de la liste. Pour afficher et confirmer les détails de l’appareil, sélectionnez l’appareil que vous avez ajouté, puis dans le menu qui s’affiche, cliquez sur Modifier.

    Remarque :

    Lorsque vous sélectionnez la case à cocher en regard d’un appareil, le menu d’options s’affiche au-dessus de la liste des appareils. Lorsque vous cliquez dans la liste, le menu d’options s’affiche sur le côté droit de la liste.

    • LDAP configuré

    • Si vous utilisez des groupes locaux et utilisateurs locaux :

      • Un ou plusieurs groupes locaux.

      • Utilisateurs locaux attribués à des groupes locaux.

      • Des groupes de mise à disposition sont associés à des groupes locaux.

    • Utilisation d’Active Directory :

      • Des groupes de mise à disposition sont associés à des groupes Active Directory.

      Liste des détails de l'appareil

  5. La page Général dresse la liste des identificateurs, tels que le numéro de série et d’autres informations relatives au type de plate-forme. Pour Propriétaire, sélectionnez Entreprise ou BYOD.

    La page Général dresse également la liste des propriétés de sécurité, telles que ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme. Le champ Effacement complet de l’appareil inclut le code PIN de l’utilisateur. L’utilisateur doit entrer ce code une fois que l’appareil est effacé. Si l’utilisateur oublie le code, vous pouvez le rechercher ici.

  6. La page Propriétés dresse la liste des propriétés d’appareil que XenMobile Server va provisionner. Cette liste affiche toutes les propriétés d’appareil incluses dans le fichier de provisioning utilisé pour ajouter l’appareil. Pour ajouter une propriété, cliquez sur Ajouter, puis sélectionnez une propriété dans la liste. Pour connaître les valeurs valides pour chaque propriété, consultez le PDF Valeurs et noms des propriétés d’appareil.

    Lorsque vous ajoutez une propriété, elle s’affiche initialement sous la catégorie dans laquelle vous l’avez ajoutée. Après avoir cliqué sur Suivant et être revenu sur la page Propriétés, la propriété s’affiche dans la liste appropriée.

    Pour supprimer une propriété, placez le curseur dessus et cliquez sur le X sur le côté droit. XenMobile Server supprime l’élément immédiatement.

  7. Les sections Détails de l’appareil restantes contiennent des informations sommaires sur l’appareil.

    • Propriétés utilisateur : affiche les rôles RBAC, les appartenances aux groupes, les comptes d’achat en volume et les propriétés de l’utilisateur. Vous pouvez retirer un compte d’achat en volume à partir de cette page.
    • Stratégies attribuées : affiche le nombre de stratégies attribuées, y compris le nombre de stratégies déployées, en attente ou ayant échoué. Fournit les informations relatives au nom, au type et à la dernière date de déploiement pour chaque stratégie.
    • Applications : affiche, pour le dernier inventaire, le nombre de déploiements d’applications installés, en attente et ayant échoué. Fournit le nom de l’application, l’identificateur, le type et d’autres informations. Pour une description des clés d’inventaire iOS et macOS, telles que HasUpdateAvailable, voir Protocole de gestion des appareils mobiles (MDM).
    • Média : affiche, pour le dernier inventaire, le nombre de déploiements de médias installés, en attente et ayant échoué.
    • Actions : affiche le nombre d’actions déployées, en attente et qui ont échoué. Fournit le nom de l’action et l’heure du dernier déploiement.
    • Groupes de mise à disposition : affiche le nombre de groupes de mise à disposition ayant réussi, en attente et qui ont échoué. Pour chaque déploiement, fournit le nom du groupe mise à disposition et l’heure déploiement. Sélectionnez un groupe de mise à disposition pour afficher des informations plus détaillées, y compris l’état, l’action, le canal ou l’utilisateur.
    • Profils iOS : affiche le dernier inventaire de profil iOS, y compris le nom, le type, l’organisation et une description.
    • Profils de provisioning iOS : affiche les informations du profil de provisioning de distribution d’entreprise, telles que l’UUID, la date d’expiration, et si les profils sont gérés ou non gérés.
    • Certificats : affiche pour les certificats valides, révoqués ou ayant expiré, des informations telles que le type, le fournisseur, l’émetteur, le numéro de série et le nombre de jours restants avant l’expiration.
    • Connexions : affiche l’état de la première connexion et de la dernière connexion. Fournit pour chaque connexion, le nom d’utilisateur, l’heure de l’avant-dernière authentification et l’heure de la dernière authentification.
    • État du MDM : affiche des informations telles que l’état du MDM, l’heure de la dernière notification push et l’heure de la dernière réponse de l’appareil.

Configurer les stratégies d’appareil iOS

Utilisez ces stratégies pour configurer l’interaction entre XenMobile Server et les appareils exécutant iOS. Ce tableau répertorie toutes les stratégies d’appareils disponibles pour les appareils iOS.

     
Mise en miroir AirPlay AirPrint APN
Accès aux applications Attributs d’application Configuration d’applications
Inventaire des applications Mode kiosque Utilisation des réseaux
Désinstallation des applications Notifications d’applications Calendrier (CalDav)
Cellulaire Contacts (CardDAV) Contrôler mise à jour d’OS
Informations d’identification Nom de l’appareil Configuration de l’éducation
Exchange Police Disposition de l’écran d’accueil
Importer le profil iOS et macOS LDAP Emplacement
Messagerie Domaines gérés Options MDM
Info organisation Code secret Partage de connexion
Suppression de profils Profil de provisioning Suppression du profil de provisioning
Proxy Restrictions Itinérance
SCEP iPad partagé - Nombre maximum d’utilisateurs résidents iPad partagé - Période de grâce de verrouillage par code secret
Compte SSO Magasin Abonnements calendriers
Termes et conditions VPN Fond d’écran
Filtre de contenu Web Clip Web Wi-Fi

Inscrire des appareils iOS

Cette section explique comment les utilisateurs inscrivent des appareils iOS (12.2 ou version ultérieure) dans XenMobile Server. Pour plus d’informations sur l’inscription iOS, ouvrez la vidéo suivante :

Vidéo sur l’inscription iOS

  1. Accédez à l’Apple Store sur votre appareil iOS, téléchargez l’application Citrix Secure Hub, puis touchez l’application.
  2. Lorsque vous êtes invité à installer l’application, touchez Suivant, puis Installer.
  3. Après l’installation de Secure Hub, touchez Ouvrir.
  4. Entrez vos informations d’identification d’entreprise, telles que le nom de votre serveur XenMobile Server, le nom d’utilisateur principal (UPN) ou votre adresse e-mail. Cliquez ensuite sur Suivant. Entrez vos informations d'identification
  5. Touchez Oui, inscrire pour inscrire votre appareil iOS. Inscrire l'appareil
  6. Une liste des données collectées par XenMobile Server s’affiche. Cliquez sur Suivant. Une explication de la façon dont une organisation utilise ces données apparaît. Cliquez sur Suivant. Accès à l'information
  7. Après avoir tapé vos informations d’identification, appuyez sur Autoriser lorsque vous y êtes invité, pour télécharger le profil de configuration. Après avoir téléchargé le profil de configuration, appuyez sur Fermer. Télécharger le profil
  8. Dans les paramètres de votre appareil, installez le certificat iOS et ajoutez l’appareil à la liste de confiance.
    • Accédez à Paramètres > Général > Profil > XenMobile Profile Service et touchez Installer pour ajouter le profil.
    • Dans la fenêtre de notification, touchez Faire confiance pour inscrire votre appareil à la gestion à distance. Ajouter le profil
  9. Une fois l’inscription réussie, ouvrez Secure Hub. Si vous vous inscrivez à MDM+MAM : une fois vos informations d’identification validées, créez et confirmez votre code PIN Citrix lorsque vous y êtes invité.
  10. Une fois le workflow terminé, l’appareil est inscrit. Vous pouvez ensuite accéder au magasin d’applications pour afficher les applications que vous pouvez installer sur votre appareil iOS.

Actions de sécurisation

iOS prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action, consultez la section Actions de sécurisation.

     
Contourner le verrouillage d’activation Mode kiosque Effacement des applications
Verrouillage d’activation ASM Renouvellement de certificat Effacer les restrictions
Activer/Désactiver le mode perdu Activer/Désactiver le suivi Effacer
Localiser Verrouiller Faire sonner
Demander/Arrêter la mise en miroir AirPlay Redémarrer/Arrêter Révoquer/Autoriser
Effacer les données d’entreprise Déverrouiller  

Verrouiller les appareils iOS

Vous pouvez verrouiller un appareil iOS perdu tout en affichant un message et un numéro de téléphone sur l’écran de verrouillage.

Pour afficher un message et un numéro de téléphone sur un appareil verrouillé, définissez la stratégie Code secret sur true dans la console XenMobile Server. Ou bien les utilisateurs peuvent activer le code secret sur l’appareil manuellement.

  1. Cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Sélectionnez l’appareil iOS que vous voulez verrouiller.

    Sélectionnez la case à cocher en regard d’un appareil pour afficher le menu d’options au-dessus de la liste des appareils. Cliquez dans la liste pour afficher le menu d’options sur le côté droit de la liste.

    Menu d'options

    Menu d'options

  3. Dans le menu d’options, sélectionnez Sécurité. La boîte de dialogue Actions de sécurisation s’affiche.

    Boîte de dialogue Actions de sécurisation

  4. Cliquez sur Verrouiller. La boîte de dialogue Actions de sécurisation s’affiche.

    Confirmation des actions de sécurisation

  5. Si vous le souhaitez, entrez un message et un numéro de téléphone qui s’afficheront sur l’écran de verrouillage de l’appareil.

    iOS ajoute les mots « iPad perdu » au texte entré dans le champ Message.

    Si vous laissez le champ Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

  6. Cliquez sur Verrouiller l’appareil.

Placer les appareils iOS en Mode perdu

La propriété d’appareil Mode perdu de XenMobile Server place un appareil iOS en Mode perdu. Contrairement au mode perdu géré d’Apple, le mode perdu de XenMobile Server ne nécessite pas qu’un utilisateur effectue une des actions suivantes pour activer la recherche de son appareil : configurer le paramètre Localiser mon iPhone/iPad ou activer les Services de géolocalisation pour Citrix Secure Hub.

Dans le mode perdu de XenMobile Server, seul XenMobile Server peut déverrouiller l’appareil. (En revanche, si vous utilisez la fonctionnalité de verrouillage d’appareil de XenMobile Server, les utilisateurs peuvent déverrouiller l’appareil directement à l’aide d’un code PIN que vous devez fournir.

Pour activer ou désactiver le Mode perdu : accédez à Gérer > Appareils, choisissez un appareil iOS supervisé et cliquez sur Sécurisé. Ensuite, cliquez sur Activer le mode perdu ou Désactiver le mode perdu.

Options du mode perdu

Si vous cliquez sur Activer le mode perdu, entrez les informations qui sont affichées sur l’appareil lorsqu’il est en mode perdu.

Informations affichées sur un appareil

Pour vérifier l’état du mode perdu, utilisez une des méthodes suivantes :

  • Dans la fenêtre Actions de sécurisation, vérifiez si le bouton indique Désactiver le mode perdu.
  • Dans Gérer > Appareils, dans l’onglet Général sous Sécurité, consultez la dernière action Activer le mode perdu ou Désactiver le mode perdu.

Onglet Général

  • Dans Gérer > Appareils, dans l’onglet Propriétés, vérifiez que la valeur du paramètre Mode perdu MDM activé est correcte.

Paramètre du Mode perdu MDM activé

Si vous activez le mode perdu de XenMobile Server sur un appareil iOS, la console XenMobile Server est également modifiée comme suit :

  • Dans Configurer > Actions, la liste Actions ne comprend pas ces actions automatiques : Révoquer l’appareil, Effacer les données d’entreprise de l’appareil et Effacer toutes les données de l’appareil.
  • Dans Gérer > Appareils, la liste Actions de sécurisation n’inclut plus les actions Révoquer et Effacer les données d’entreprise. Vous pouvez toujours utiliser une action de sécurité pour effectuer une action Effacement complet, si nécessaire.

iOS ajoute les mots « iPad perdu » au texte entré dans Message dans l’écran Actions de sécurisation.

Si vous laissez Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

Contourner un verrouillage d’activation iOS

Le verrouillage d’activation est une fonctionnalité de Localiser mon iPhone/iPad qui empêche la réactivation d’un appareil supervisé perdu ou volé. Le verrouillage d’activation requiert l’identifiant Apple et le mot de passe de l’utilisateur pour pouvoir effectuer ces actions : désactiver Localiser mon iPhone/iPad, effacer l’appareil ou réactiver l’appareil. Pour les appareils qui sont la propriété de votre organisation, il est nécessaire de contourner le verrouillage d’activation pour, par exemple, réinitialiser ou réattribuer des appareils.

Pour activer le verrouillage d’activation, configurez et déployez la stratégie Options MDM de XenMobile Server. Vous pouvez ensuite gérer un appareil à partir de la console XenMobile Server sans les informations d’identification Apple de l’utilisateur. Pour contourner l’obligation d’entrer des informations d’identification Apple avec un verrou d’activation, émettez l’action de sécurisation Contourner le verrouillage d’activation depuis la console XenMobile Server.

Par exemple, si l’utilisateur renvoie un téléphone perdu ou pour configurer l’appareil avant ou après un effacement complet : lorsque le téléphone invite à entrer les informations d’identification de compte Apple App Store, vous pouvez ignorer cette étape en émettant l’action de sécurité Contourner le verrouillage d’activation à partir de la console XenMobile Server.

Configuration requise pour le contournement du verrouillage d’activation

  • Supervisé par Apple Configurator ou le programme de déploiement Apple
  • Configuré avec un compte iCloud
  • Localiser mon iPhone/iPad activé
  • Inscrit dans XenMobile Server
  • Stratégie Options MDM, avec verrouillage d’activation activé, déployée sur les appareils

Pour contourner le verrouillage d’activation avant d’émettre un effacement complet de l’appareil :

  1. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  2. Effacez l’appareil. L’écran de verrouillage d’activation ne s’affiche pas lors de l’installation de l’appareil.

Pour contourner le verrouillage d’activation après avoir émis un effacement complet de l’appareil :

  1. Réinitialisez ou effacez l’appareil. L’écran de verrouillage d’activation s’affiche lors de l’installation de l’appareil.
  2. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  3. Cliquez sur le bouton Retour sur l’appareil. L’écran d’accueil s’affiche.

Gardez à l’esprit les considérations suivantes :

  • Conseillez à vos utilisateurs de ne pas désactiver Localiser mon iPhone/iPad. N’effacez pas complètement l’appareil. Dans ces deux cas, l’utilisateur est invité à entrer le mot de passe du compte iCloud. Après la validation du compte, l’utilisateur ne verra pas d’écran Activer iPhone/iPad après avoir effacé tout le contenu et les paramètres.
  • Pour un appareil avec un code de contournement de verrouillage d’activation généré et avec le verrouillage d’activation activé : si vous ne pouvez pas contourner la page Activer iPhone/iPad après un effacement complet, il n’est pas nécessaire de supprimer l’appareil de XenMobile Server. Vous ou l’utilisateur pouvez contacter l’assistance Apple pour débloquer l’appareil directement.
  • Lors d’un inventaire matériel, XenMobile Server interroge un appareil pour obtenir un code de contournement de verrouillage d’activation. Si un code de contournement est disponible, l’appareil l’envoie à XenMobile Server. Ensuite, pour supprimer le code de contournement de l’appareil, envoyez l’action de sécurisation Contourner le verrouillage d’activation à partir de la console XenMobile Server. À ce stade, XenMobile Server et Apple ont le code de contournement nécessaire pour débloquer l’appareil.
  • L’action de sécurisation Contourner le verrouillage d’activation repose sur la disponibilité d’un service d’Apple. Si l’action ne fonctionne pas, vous pouvez débloquer un appareil comme suit. Sur l’appareil, entrez manuellement les informations d’identification du compte iCloud. Ou, laissez le champ de nom d’utilisateur vide et tapez le code de contournement dans le champ de mot de passe. Pour rechercher le code de contournement, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Modifier et cliquez sur Propriétés. Le Code de contournement du verrouillage d’activation se trouve sous Informations de sécurité.
iOS