Nouveautés en matière de gestion des appareils Apple et de l’identité

Bonjour et bienvenue à WWDC. Je m’appelle Graham et je fais partie de l’équipe de gestion des appareils d’Apple. Si vous déployez et sécurisez des appareils Apple dans une organisation, ou si vous développez des outils ou solutions de gestion des appareils ou des identités, cette session est pour vous. Chez Apple, nous pensons que les meilleurs produits donnent plus d’autonomie à leurs usagers, au travail et en classe également. Notre matériel, nos logiciels et nos services sont conçus pour interagir afin de protéger les données, de stimuler la productivité et de créer des expériences intuitives. Nous voulons vous aider à offrir des expériences exceptionnelles aux utilisateurs tout en optimisant la sécurité de votre organisation. Cette année, nous prenons cet objectif encore plus au sérieux que jamais. La session d’aujourd’hui se divise en quatre sujets principaux. Nous verrons d’abord les nouveautés des services Apple avec les mises à jour d’Apple Business Manager et d’Apple School Manager. Puis, nous aborderons les améliorations de la gestion d’appareils et les nouvelles fonctionnalités de gestion d’apps. Enfin, nous approfondirons les intégrations d’identités. Commençons par les services Apple, sur lesquels reposent le déploiement et la gestion des appareils Apple à grande échelle. Apple Business Manager et Apple School Manager sont des services web gratuits qui fonctionnent parfaitement avec votre MDM pour vous aider à configurer les appareils, acheter des apps et gérer les comptes dans toute l’organisation. Parlons de quelques mises à jour des comptes Apple gérés.

Ces comptes sont conçus pour le travail et l’école. Le service IT a le contrôle total du compte et des données associées. Les équipes IT peuvent configurer leur domaine et connecter leur fournisseur d’identité pour activer l’authentification fédérée et permettre aux utilisateurs de se connecter avec leurs identifiants habituels.

Depuis l’an dernier, le service IT peut verrouiller son domaine et prendre le contrôle des comptes Apple créés avec ce domaine. Dans ce cas, les utilisateurs sont guidés dans un processus de mise à jour de leur compte.

Cette année, les administrateurs peuvent télécharger une liste des comptes Apple personnels sur votre domaine afin de demander aux utilisateurs de mettre à jour leur compte. Une fois la mise à jour terminée, les utilisateurs ont accès à tous les services que l’organisation a approvisionnés, y compris le nouveau service d’authentification d’app. En plus de l’authentification d’app, nous étendons la gestion des accès pour empêcher la connexion aux comptes Apple personnels sur les appareils appartenant à l’organisation. Vous pouvez ainsi garantir que seuls les comptes pro sont utilisés sur les appareils professionnels. Cela inclut les emplacements comme l’Assistant réglages et les Réglages système. Il n’y aucune exigence ni dépendance à l’égard de MDM. Ce nouveau réglage s’applique à tous les appareils de l’organisation. Ces changements visent à encourager l’adoption des comptes Apple gérés dans votre organisation. Dans un premier temps, verrouillez le domaine pour bloquer la création de comptes personnels. Vous pouvez ensuite passer à la capture de compte, à la fédération et à l’activation des services nécessaires. Parlons de l’inventaire des appareils. Nous avons ajouté des informations aux appareils professionnels, comme l’état du verrouillage d’activation et le stockage. En début d’année, nous avons ajouté des informations cellulaires, notamment l’IMEI et l’EID. Nous élargissons aussi les informations des appareils libérés pour inclure qui les a libérés et quand. D’ici la fin d’année, nous ajouterons des adresses MAC pour le Bluetooth et le Wi-Fi sur iPhone et iPad. Cela sera utile pour les organisations qui utilisent ces informations pour gérer l’accès au réseau. Enfin, nous ajoutons des informations sur la couverture AppleCare. Elles aideront les équipes IT à suivre la couverture et à prendre des décisions éclairées sur les réparations et les remplacements. Auparavant, ces informations n’étaient visibles que via un navigateur web. Aujourd’hui, nous annonçons la sortie des API Apple Business Manager et Apple School Manager pour les organisations. Avec les API initiales que nous fournissons, vous pouvez interagir avec les données d’inventaire des appareils et l’attribution de serveur MDM. Voyons la liste des points de terminaison. Vous pouvez demander des informations sur une liste d’appareils, les affecter à un service de gestion d’appareils, obtenir l’état des activités par lots, etc. Pour commencer à utiliser cette fonctionnalité, créez un compte d’API, en passant par un administrateur ou un gestionnaire de site. Puis, générez et téléchargez une clé d’API privée à utiliser avec votre app ou service. Cela nous amène aux dernières nouveautés d’Apple Business Manager et Apple School Manager, à savoir le déploiement. L’inscription automatisée des appareils est la pierre angulaire d’Apple pour simplifier la gestion des appareils, permettant une livraison juste-à-temps du matériel sans que le service IT n’ait à toucher chaque machine. L’an dernier, nous l’avons étendue à Apple Vision Pro, mais tous les appareils utilisés dans une organisation ne sont pas achetés via les voies habituelles. Dans visionOS, Apple Configurator pour iPhone peut donc désormais ajouter Vision Pro à votre organisation, en toute simplicité. Quand Vision Pro est dans l’Assistant réglages, approchez un iPhone exécutant Apple Configurator de Vision Pro pour générer un code de jumelage. Une fois le code de jumelage saisi sur l’iPhone, l’appareil sera ajouté à votre organisation. Avec ce changement, vous pouvez désormais ajouter tout appareil compatible MDM à votre organisation avec Apple Configurator. Et visionOS prend désormais en charge les sous-fenêtres ignorées dans l’Assistant réglages. Consultez la documentation de gestion des appareils pour en savoir plus. L’inscription automatisée n’est pas disponible dans tous les déploiements. Dans ce cas, une inscription basée sur le compte permet à l’utilisateur de s’inscrire facilement avec son compte Apple géré, en respectant la confidentialité. Les inscriptions basées sur le compte nécessitent un point de terminaison connu fournissant une URL de redirection pour s’inscrire à MDM. Les équipes IT peuvent avoir du mal à mettre cela en place sur leur domaine. C’est pourquoi nous proposons une alternative. Vous pouvez désormais utiliser le serveur MDM pour configurer l’URL de détection du service. Si un appareil ne trouve pas de point de terminaison sur votre domaine, il vérifiera auprès d’Apple Business Manager ou d’Apple School Manager pour finaliser l’inscription. Une fois que le serveur MDM a configuré l’URL de redirection, connectez-vous à Apple Business Manager ou Apple School Manager pour définir l’attribution du service de gestion d’appareils par défaut pour chaque appareil qui doit proposer l’inscription basée sur le compte. Maintenant que tout est configuré, le serveur MDM peut fournir une solution complète pour l’inscription basée sur le compte. Avec ce changement, nous facilitons l’adoption au sein de votre organisation des inscriptions basées sur le compte pour les appareils de l’entreprise, les appareils activés personnellement et les appareils personnels. Pour conclure, j’aimerais vous parler d’une nouvelle fonctionnalité utile qui simplifie grandement un processus complexe. Les entreprises doivent migrer des appareils entre serveurs MDM, par exemple en cas d’acquisition, de passage d’un MDM sur site au cloud ou de changement de solutions de gestion d’appareils. Cela nécessite généralement un effacement complet de l’appareil ou un processus manuel géré par l’utilisateur. Désormais, la migration de la gestion des appareils peut se faire dans Apple Business Manager et Apple School Manager. Vous pouvez ainsi réaffecter un iPhone, un iPad ou un Mac à un nouveau service de gestion des appareils. Vous pouvez également définir une date limite pour la migration. Les utilisateurs recevront une notification les informant qu’ils doivent migrer avant une certaine date. S’ils n’interviennent pas avant la date limite, la migration sera lancée automatiquement et ils seront guidés tout au long de la migration. Une fois la migration terminée, le nouveau service de gestion d’appareils peut assurer le verrouillage d’activation et faire pivoter la clé FileVault à l’aide du jeton d’amorçage. Les anciennes configurations sont supprimées, et de nouvelles sont installées. Faites correspondre les configurations aussi étroitement que possible pour éviter les perturbations. Pour préserver les apps et leurs données, utilisez await device configured et vérifiez que toutes les apps sont réinstallées avant de quitter le processus d’inscription. Nous pensons que la migration de la gestion des appareils facilitera grandement la migration entre les serveurs MDM. Voilà pour les nouveautés concernant les services. Pour en savoir plus, pensez à consulter la documentation. Voyons les dernières améliorations en matière de gestion des appareils. Nous aborderons ici les annonces importantes sur les mises à jour logicielle, les mises à jour de la gestion de Safari, les commandes Apple Intelligence et les améliorations de la remise en service. La mise à jour des appareils est un aspect essentiel de la gestion d’appareils dans toute organisation. Les mises à jour logicielles avec la gestion déclarative des appareils ont d’abord été ajoutées dans iOS 17, iPadOS 17 et macOS Sonoma, et les retours ont été extrêmement positifs. Cette année, nous intégrons ces mêmes fonctionnalités à Vision Pro et à Apple TV. Cela inclut le contrôle des reports, la définition de la cadence et la définition des dates limites des mises à jour. La transition vers la gestion déclarative des appareils étant terminée sur toutes nos plates-formes, nous annonçons l’abandon de l’ancienne solution de gestion des mises à jour logicielles avec MDM. Elle continuera à fonctionner, mais sera supprimée dans une prochaine version. La gestion de Safari continue d’évoluer avec une nouvelle configuration déclarative permettant de gérer les signets et de définir une page d’accueil par défaut. Le portail des employés ou de l’école sera donc ce que verront les utilisateurs en premier dans un nouvel onglet ou une nouvelle fenêtre. Nous en avons profité pour consolider les réglages Safari actuellement gérés dans la charge utile des restrictions. Toute la gestion de Safari est donc désormais disponible dans la gestion déclarative des appareils. Les fonctionnalités d’Apple Intelligence comme les Outils d’écriture, les résumés de notifications et le playground image permettent aux employés et aux élèves d’être plus productifs. Apple Intelligence a fait son apparition sur Vision Pro dans visionOS 2.4. Pour que les organisations respectent les réglementations sectorielles et internes, nous avons aussi apporté toutes les restrictions applicables à visionOS. Enfin, voyons quelques nouveautés de la remise en service. Pour les secteurs tels que le commerce et la santé qui partagent souvent les appareils entre les utilisateurs, la remise en service est un bon moyen de les réinitialiser rapidement. Cette année, nous améliorons encore ce processus. L’iPhone et l’iPad peuvent désormais conserver les apps gérées lors de la réinitialisation. Les données utilisateur sont effacées, mais les apps restent. Plus besoin de retélécharger les apps, ce qui fait gagner un temps précieux au prochain utilisateur. Cette fonctionnalité est activée avec une nouvelle clé dans la configuration du cloud. Vous devrez également définir await device configured. Lorsque l’appareil atteint l’état En attente de configuration, vous pouvez installer les apps que vous souhaitez conserver. Lorsque vous libérerez l’appareil, le système créera un instantané des apps installées. Après la prochaine réinitialisation, vous devrez envoyer la commande InstallApplication ou la déclaration ManagedApp pour prendre le contrôle des apps conservées avant de libérer l’appareil d’une configuration en attente. Ne pas avoir à retélécharger les apps accélère non seulement la transition entre les utilisateurs, mais aide aussi dans les environnements à réseau limité. La remise en service a été formidable pour l’iPhone et l’iPad, et nous souhaitons aussi l’intégrer à une nouvelle plate-forme où les cas d’utilisation partagés commencent à décoller. L’Apple Vision Pro ! visionOS offre une nouvelle façon de préparer l’appareil pour le prochain utilisateur. Une fois configuré pour la remise en service, Vision Pro affiche une nouvelle option « Réinitialiser pour le prochain utilisateur » dans le centre de contrôle. Une fois cette option sélectionnée, l’utilisateur dispose de 10 secondes pour retirer l’appareil et le mettre de côté pour commencer le processus de réinitialisation. Et Vision Pro peut être réinitialisé sur l’écran de verrouillage en appuyant juste sur la Digital Crown. La préparation de Vision Pro pour un nouvel utilisateur n’a jamais été aussi simple, et la conservation des apps spécifiques à votre organisation minimise les temps d’arrêt. Le déploiement de Vision Pro ne cesse de nous étonner, et nous pensons que cela continuera à débloquer de nouveaux cas d’utilisation intéressants. En plus des détails que nous avons couverts ici, consultez la documentation sur la gestion des appareils pour en savoir plus, notamment : Informations sur l’état de la batterie de l’iPad, définition d’apps par défaut pour la messagerie et les appels, nouvelles restrictions pour limiter les messages et FaceTime par carte SIM, autorisation de l’utilisation temporaire d’AirPods et d’écouteurs Beats, prise en charge des noms de domaine complets dans le profil de relais réseau et nouvelle API de filtrage des URL d’extension réseau. Pour plus de détails à ce sujet, regardez la session « Filter and tunnel network traffic with Network Extension ». Voilà pour la gestion des appareils. Passons à la gestion des apps. Les apps permettent aux utilisateurs d’être créatifs, productifs et informés, où qu’ils soient. Maintenir les apps à jour est essentiel pour la sécurité. Mais pour certaines apps stratégiques, les équipes IT ont besoin de plus de contrôle, par exemple pour valider les mises à jour avant leur déploiement. C’est ce que nous vous proposons cette année. Sur iOS et iPadOS, la configuration des apps gérées inclut désormais des options pour définir le comportement de mise à jour de chaque app. Les organisations ont ainsi encore plus de contrôle sur leurs apps gérées. Vous pourrez appliquer ou désactiver la mise à jour automatique des apps. Pour un processus de publication plus contrôlé, les apps peuvent aussi être épinglées à une version spécifique. Le canal d’état offre une visibilité en temps réel sur la progression de l’installation et les informations de version de l’app. Les administrateurs peuvent même spécifier si les téléchargements d’apps sur réseau cellulaire doivent être restreints. Toutes ces nouveautés donnent aux équipes IT encore plus de contrôle sur les apps installées sur leurs appareils. Dans le cadre d’iOS 18.4 et d’iPadOS 18.4, les apps gérées ne sont officiellement plus en version bêta et nous prenons désormais en charge les apps requises dans visionOS 2.4. Maintenant, parlons du Mac. Depuis macOS Tahoe, les apps de l’App Store, les apps personnalisées et les paquets peuvent être déployés à l’aide de la gestion déclarative des appareils. Le déploiement des apps et des paquets pourra être obligatoire ou facultatif. Et le canal d’état mettra à jour le serveur avec l’état d’installation. Le framework ManagedAppDistribution, qui permet aux développeurs MDM de créer des apps en libre-service, sera disponible pour le Mac d’ici la fin de l’année. Enfin, avec iOS 18.4, iPadOS 18.4 et visionOS 2.4, les développeurs d’apps disposent d’un nouveau framework ManagedApp à intégrer à leurs apps. Cette API permet aux organisations de déployer en toute sécurité les configurations d’app, y compris les réglages, les mots de passe, les certificats et les identités. Il existe des tas de cas d’utilisation intéressants pour cette API, notamment la personnalisation des expériences d’app, la récupération sécurisée des jetons d’accès à l’API, l’ajout de certificats de confiance personnalisés et l’accès à des clés liées au matériel pour permettre aux apps d’obtenir une preuve solide de la posture de l’appareil. Regardez la session « Discover ManagedApp Framework » pour plus d’informations. La gestion déclarative des appareils est la meilleure façon de gérer vos apps. Le nouveau framework ManagedApp vous permet d’améliorer encore les expériences utilisateur. Parlons de notre dernier sujet avec les mises à jour des intégrations d’identité. L’identité est un aspect clé des déploiements. En veillant à ce que seuls les utilisateurs autorisés puissent accéder aux données et aux ressources, l’authentification unique de la plate-forme leur permet de se connecter à leur Mac avec leur fournisseur d’identité, puis les connecte automatiquement aux apps et sites web avec un mot de passe synchronisé ou une clé Secure Enclave. L’authentification unique de la plate-forme est activée après la configuration d’un Mac avec un utilisateur local. Cette année, nous simplifions ce processus en intégrant l’authentification unique de la plate-forme dans l’Assistant réglages lors de l’inscription automatisée des appareils. Voyons à quoi ressemble ce processus pour l’utilisateur. Lorsqu’un Mac commence l’inscription dans la gestion des appareils, une sous-fenêtre Authentification unique de la plate-forme invite l’utilisateur à s’authentifier auprès de son fournisseur d’identité. L’utilisateur ne peut pas continuer sans inscription à l’authentification unique de la plate-forme. L’authentification unique fournit une inscription authentifiée dans la gestion des appareils et, si la connexion est fédérée au même fournisseur d’identité, elle connecte l’utilisateur à son compte Apple géré. Un compte local est créé et le mot de passe est synchronisé avec le fournisseur d’identité ou défini par l’utilisateur à l’aide d’une clé Secure Enclave. La photo de profil du compte peut aussi être synchronisée à partir du fournisseur d’identité. Pour résumer, l’authentification unique de la plate-forme rationalise les déploiements sur Mac et permet aux utilisateurs d’être vite opérationnels sur un nouveau Mac avec les identifiants de leur organisation. Bien que cela soit idéal pour les déploiements individuels, nous avons aussi une mise à jour intéressante pour les déploiements à usage partagé, qui sont nombreux. Je vous présente le mode Invité authentifié, optimisé pour une utilisation partagée. Il permet aux utilisateurs de se connecter à un Mac avec leur identité cloud directement depuis la fenêtre de connexion. L’authentification se fait avec un mot de passe ou une carte à puce et nécessite que le Mac soit en ligne pour la connexion. Une fois connecté, l’utilisateur peut profiter de l’authentification unique et se connecter facilement aux apps et aux sites web. Lorsqu’il a terminé et se déconnecte, toutes les données utilisateur de la session sont effacées de l’appareil. Pour optimiser la configuration de cette fonctionnalité, alliez l’authentification unique de la plate-forme à l’avance automatique. Lors de la configuration, le Mac activera ainsi silencieusement l’authentification, s’inscrira à la gestion des appareils et ouvrira la fenêtre de connexion utilisateur. De nombreux environnements à usage partagé nécessitent une connexion et un accès aux ressources rapides. Les utilisateurs peuvent avoir à se connecter plusieurs fois par jour sur diverses machines, comme un médecin rendant visite à différents patients tout au long de la journée. Cette année, nous améliorons cette expérience avec Tap to Log In. Ces dernières années, les entreprises et les établissements scolaires ont commencé à adopter les badges et les cartes d’identité scolaires dans Cartes d’Apple. Ces cartes permettent d’ouvrir la porte en un seul geste sur l’iPhone ou l’Apple Watch. Pas besoin de carte physique. Nous apportons cette même expérience au Mac. Les utilisateurs peuvent se connecter et se mettre au travail rapidement avec une connexion unique à tous leurs apps et sites web en appuyant simplement sur leur iPhone ou leur Apple Watch sur les Mac configurés avec le mode Invité authentifié. Les identifiants utilisateur peuvent être fournis sous forme de clé d’accès dans Cartes via une app sur iPhone. Les clés d’accès sont stockées dans Secure Enclave. Elles sont donc sauvegardées sur du matériel, chiffrées et protégées contre toute altération ou extraction. Comme pour les cartes de transport, le mode Express vous permet de vous connecter d’un simple geste, sans avoir à désactiver le mode Veille ni à déverrouiller l’appareil. En plus de configurer le Mac avec le mode Invité authentifié, vous devrez connecter un lecteur NFC externe. Cette fonctionnalité sera d’une grande aide aux organisations qui partagent des appareils, comme les écoles, les commerces et les hôpitaux. Des développeurs comme SwiftConnect, qui fournissent déjà des badges d’employés et des cartes d’identité scolaires, visent à permettre l’approvisionnement de clés d’accès avec Tap to Log In. Nous avons couvert beaucoup d’informations. Récapitulons-les rapidement. Nous espérons que les nouvelles fonctionnalités des comptes Apple gérés vous permettront d’offrir une meilleure expérience aux utilisateurs. La nouvelle API de services pour Apple Business Manager et Apple School Manager permet d’effectuer de nombreuses tâches courantes via des API, simplifiant encore la gestion des appareils. La migration des appareils entre des serveurs MDM est encore plus facile avec la migration de la gestion des appareils. Et les mises à jour de la distribution des apps vous permettent de gérer facilement les apps avec la gestion déclarative des appareils. L’Apple Vision Pro peut désormais être partagé avec la remise en service. Et avec les mises à jour de l’authentification unique de la plate-forme, vous pouvez maintenant vous connecter à un Mac d’un simple geste sur un iPhone ou une Apple Watch. Pour en savoir plus sur la plupart des nouvelles fonctionnalités dont nous avons parlé aujourd’hui, consultez la documentation disponible sur developer.apple.com. Merci de votre attention. J’ai hâte de voir jusqu’où nous pouvons aller pour que la gestion des appareils Apple soit un plaisir pour les développeurs, les administrateurs et les utilisateurs. Passez une excellente WWDC.