iCloud pour les comptes Apple gérés

Services iCloud

Avec les services iCloud disponibles pour un compte Apple géré, les utilisateurs peuvent stocker du contenu comme des contacts, des calendriers, des documents, et des notes, et les maintenir à jour sur plusieurs appareils Apple. iCloud sécurise le contenu en le chiffrant avant de le transférer par Internet, en le stockant dans un format chiffré et en utilisant des jetons sécurisés pour l’authentification. Pour en savoir plus sur la sécurité d’iCloud, consultez la rubrique iCloud security overview (en anglais) dans Apple Platform Security (Sécurité des plateformes Apple).

iCloud Drive

Les utilisateurs peuvent stocker leurs documents et fichiers sur iCloud Drive et y accéder depuis des iPhone, iPad et Mac, et depuis des ordinateurs Windows configurés avec iCloud. Les documents sont tenus à jour sur tous les appareils et les modifications apportées à un fichier lorsque l’utilisateur n’est pas connecté à Internet sont automatiquement mises à jour lorsque l’appareil se connecte.

Les utilisateurs peuvent également configurer leur Mac de sorte que le contenu des dossiers Bureau et Documents soit stocké automatiquement sur iCloud Drive et accessible sur tous leurs appareils.

Les utilisateurs peuvent même collaborer sur des documents stockés dans iCloud Drive, à condition d’avoir été créés avec Pages, Numbers, Keynote et d’autres apps prenant en charge CloudKit. En ce qui concerne les comptes Apple gérés, les établissements peuvent définir si la collaboration est uniquement possible avec des utilisateurs internes ou également avec des utilisateurs externes.

Trousseau iCloud

Le trousseau iCloud tient à jour les mots de passe des sites web utilisés dans Safari et ceux des réseaux Wi-Fi sur tous vos iPhone, iPad et Mac associés à votre compte iCloud. Cette fonctionnalité stocke aussi les données de connexion à votre compte Internet et les informations de configuration, ainsi que les mots de passe d’autres apps compatibles avec iCloud. Le trousseau iCloud peut également stocker des données de cartes bancaires enregistrées dans Safari, afin que cette app puisse les renseigner automatiquement.

Le trousseau iCloud est composé de deux services :

• Maintien à jour du trousseau sur d’autres appareils

• Récupération de trousseau

Pour échanger des éléments du trousseau de façon sécurisée, un cercle de confiance est déterminé et utilisé pour les appareils approuvés d’un utilisateur. Les nouveaux appareils qui rejoignent le cercle doivent être approuvés par un appareil existant du trousseau iCloud ou via la récupération du trousseau iCloud. Chaque élément synchronisé est chiffré afin de pouvoir uniquement être déchiffré par un appareil qui se trouve dans le cercle de confiance de l’utilisateur. Il ne peut pas être déchiffré par d’autres appareils, ni par Apple.

Le trousseau iCloud entierce les données du trousseau de l’utilisateur auprès d’Apple sans pour autant permettre à la marque de lire les mots de passe et les données qu’il contient. Même si l’utilisateur ne possède qu’un seul appareil, la récupération du trousseau permet d’offrir un filet de sécurité contre la perte de données. Ce point est particulièrement important lorsqu’on utilise Safari pour générer de façon aléatoire des mots de passe puissants pour les comptes web, car la seule trace de ces mots de passe se trouve dans le trousseau.

L’authentification secondaire et le service d’entiercement sécurisé font partie du processus de récupération du trousseau, créé par Apple spécifiquement pour prendre en charge cette fonctionnalité. Le trousseau de l’utilisateur est chiffré avec une clé de chiffrement robuste, et le service d’entiercement sécurisé ne fournit une copie de cette clé que si des conditions très strictes sont réunies et si l’utilisateur saisi le code de l’un de ses précédents appareils.

Clés d’accès

Les clés d’identification sont conçues pour fournir une expérience de connexion sans mot de passe à la fois pratique et sécurisée. Il s’agit d’une technologie fondée sur une norme capable de résister au hameçonnage, fondamentalement robuste et ne nécessitant l’utilisation d’aucun secret partagé.

Grâce à la prise en charge des comptes Apple gérés par le Trousseau iCloud, les établissements peuvent déployer des clés d’accès afin de permettre aux employés d’accéder à des ressources internes avec l’assurance que les clés de sécurité se synchronisent en toute sécurité sur l’ensemble de leurs iPhone, iPad et Mac. À l’aide de la fonctionnalité de gestion des accès, elles peuvent également définir l’état de gestion requis d’un appareil permettant d’accéder aux clés d’identification gérées.

Une configuration déclarative d’attestation de clé d’identification autorise un appareil géré à fournir une attestation lorsqu’une clé d’identification est approvisionnée pour un service organisationnel. L’attestation est fournie lorsqu’un utilisateur enregistre une clé d’identification pour un site web ou une app utilisant un domaine spécifié dans la configuration. Une fois que l’appareil a généré une clé d’identification en toute sécurité, il utilise l’identité de certificat définie dans la configuration pour réaliser une attestation WebAuthn avec le service auquel il accède. Cela permet au service de vérifier que la clé d’identification a été créée sur un appareil géré par l’organisation avant d’accorder l’accès.

Les clés d’accès générées sont automatiquement stockées dans le trousseau iCloud associé au compte Apple géré. En cas d’absence de compte Apple géré, la clé d’accès ne peut pas être créée.

S’ils souhaitent fournir à l’utilisateur un processus de connexion simple, les développeurs d’apps peuvent avoir recours aux domaines associés afin d’établir une association sécurisée entre les domaines et leur app (et accessoirement autoriser une configuration des domaines associés via le service MDM). Le cas échéant, iOS, iPadOS et macOS peuvent automatiquement sélectionner et fournir la clé d’identification correcte offrant ainsi une expérience de connexion fluide. Si l’authentification est effectuée par un service tiers, vous pouvez utiliser ASWebAuthenticationSession à la place.

Pour en savoir plus, consultez la rubrique Configuration déclarative d’Attestation de code d’accès.

Accéder aux services d’iCloud

La connexion avec un compte Apple géré pendant le processus d’Assistant réglages ou avec l’élément de menu Compte Apple en haut de Réglages (iPhone et iPad) ou Réglages Système (Mac) permet d’accéder à tous les services disponibles sur le compte.

Les utilisateurs peuvent ajouter des comptes supplémentaires dans Réglages > Mail > Comptes (iPhone, iPad, Apple Vision Pro) ou Réglages Système > Comptes Internet (Mac) pour accéder aux e-mails (si disponibles pour le compte), contacts et calendriers stockés avec un autre compte Apple personnel et aux contacts, calendriers et rappels d’un compte Apple géré.

L’inscription d’utilisateurs et l’inscription d’appareils à partir d’un compte augmentent le nombre de services disponibles sur un appareil avec un compte Apple géré en ajoutant les contacts, les calendriers, les rappels, les notes, iCloud Drive et Sauvegarde iCloud.

Gérer l’accès à iCloud

Vous pouvez désactiver les services iCloud individuels qui sont accessibles par un compte Apple géré dans Apple School Manager et Apple Business Manager. En outre, vous pouvez définir à quels appareils les utilisateurs peuvent se connecter, accéder aux données de leur compte Apple géré et spécifier avec qui ils peuvent communiquer et collaborer. Si l’utilisateur utilise principalement un compte Apple personnel, les établissements peuvent désactiver certains services iCloud sur les appareils gérés via des restrictions. Veuillez noter que certaines restrictions requièrent la supervision de l’appareil.