6 votes

Empêcher les utilisateurs finaux d'acheter des applications sur iOS

Nous cherchons à déployer des iPads à l'intérieur de notre organisation. Nous voulons être en mesure d'installer des applications pour les utilisateurs, ce qui peut être fait via Mobile Device Management. Cependant, nous ne voulons pas que les utilisateurs puissent acheter des applications, car ces dernières peuvent être achetées avec leur compte d'achat interne. Les applications achetées de cette manière ne devraient pas pouvoir quitter l'organisation, mais un utilisateur pourrait acheter une application sur son compte Apple personnel, ce qui lui permettrait de l'utiliser sur ses autres appareils, même s'il l'a achetée avec son compte d'achat organisationnel.

Je ne trouve pas de moyen d'interdire l'achat d'applications sur un appareil iOS, que ce soit par des restrictions locales ou par la gestion des appareils mobiles. Tout ce que je peux faire, c'est :

  • Restreindre l'installation de TOUTES les applications (inacceptable, car nous ne pouvons pas pousser les applications vers les appareils).
  • Configuration d'un compte iCloud organisationnel sur tous les appareils et restriction de la modification des paramètres du compte au niveau local (inacceptable, car le mot de passe doit être saisi pour accepter les installations d'applications poussées par le MDM).

Y a-t-il un moyen de bloquer uniquement les achats d'applications ? Existe-t-il une suite MDM qui offre cette fonctionnalité ?

0 votes

Is there an MDM suite.... - Oui, à peu près tous. Ce site n'est pas destiné à recommander des produits. Veuillez consulter la FAQ.

0 votes

Il existe peut-être des suites MDM, mais en y regardant de plus près, aucune ne semble offrir le type de restrictions recherchées par Crazydog. Honnêtement, il ne semble pas que ce soit pris en charge par iOS.

1voto

quadruplebucky Points 4991

La solution consiste à générer un certain nombre d'AppleIDs sans carte de crédit associée, auxquels les utilisateurs finaux n'ont pas accès, et à utiliser un MDM (et éventuellement un Configurateur) pour pousser les profils vers les appareils. Tant que l'utilisateur final ne connaît pas le mot de passe de l'AppleID, il ne pourra pas du tout accéder à l'App Store et les applications autorisées pour cet ID ne fonctionneront pas ailleurs.

Ensuite, vous devez empêcher l'utilisateur de modifier/supprimer ce profil, c'est la partie la plus délicate. Le cadre MDM IOS d'Apple prend en charge les verrous par mot de passe, etc. sur les profils, mais tous les MDM ne le rendent pas évident (ou possible). Vous pouvez le faire avec le Configurateur supervisé, mais vous devez alors intervenir sur chaque appareil.

Voici une liste quelque peu périmée de fournisseurs de GDR. Cela pourrait être un bon point de départ.

Voici un lien pour générer des AppleIDs en masse :

http://www.enterpriseios.com/wiki/Batch_Apple_ID_Creator

Si vous exécutez une configuration BYOD (par opposition à la fourniture des appareils par vous-même), je pense que c'est un peu plus difficile, mais pas impossible (certains MDM prennent en charge les agents de stratégie sur l'appareil).

Voici un lien vers les paramètres disponibles dans un profil (inscription requise pour les développeurs Apple). Cela devrait donner une idée de ce qui est possible : https://developer.apple.com/library/ios/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html

Je ne possède pas de compte Apple Developer Enterprise et je n'ai donc pas accès à la documentation complète de l'API MDM.

0 votes

Je pourrais ajouter qu'il s'agit d'une solution technique à ce qui est en réalité un problème de comportement. Si mon employeur me donne un ordinateur (ou quoi que ce soit d'autre) et me dit qu'il doit être utilisé UNIQUEMENT POUR LES AFFAIRES (ce que toute entreprise digne de ce nom fait), je m'y conformerai si je veux garder mon emploi, point final.

0voto

BrianTakan Points 145

Actuellement, il n'existe pas d'interface dans iOS pour le bloquer comme vous le souhaitez.

0 votes

C'est faux. Tout le monde peut le faire avec Configurator et un seul appareil.

0voto

Chris Points 241

Apple fait passer l'utilisateur final en premier. L'expérience de l'utilisateur final est plus importante pour eux que le contrôle pour les administrateurs. En l'état actuel des choses si vous utilisez MDM avec iOS, l'utilisateur final peut toujours décident qu'ils n'ont pas besoin de gestion des périphériques et suppriment vos profils pour installer ce qu'ils veulent

Je pense que cette déclaration est fausse et que c'est la seule façon de procéder :

Restreindre l'installation de TOUTES les applications (inacceptable, car nous ne pouvons pas pousser les applications vers les appareils).

Utilisez l'"Enterprise appstore" dont disposent certaines solutions MDM.

C'est-à-dire, si vous voulez vraiment faire une restriction. Car cela n'a pas beaucoup de sens de toute façon, puisque les utilisateurs peuvent faire ce qu'ils veulent de toute façon.

La seule façon dont il fonctionnera vraiment avec les appareils iOS est par le biais de politiques. Des politiques qui ne sont pas basées sur des logiciels. Vous pouvez "contrôler" cela en configurant des déclencheurs dans votre service MDM (si votre service MDM le prend en charge), en définissant un déclencheur pour les applications qui ne sont pas autorisées, ce qui entraînera une action sur l'appareil qui n'est pas conforme. Par exemple, envoyez un avertissement, puis, si nécessaire, supprimez le courrier électronique de l'entreprise, le wifi et les autres paramètres nécessaires à l'utilisation de l'appareil pour l'usage auquel il est destiné. Vous pouvez aussi effacer l'appareil et le faire venir à votre bureau d'assistance en un rien de temps

N'oubliez pas d'envoyer un rapport de bogue à Apple, peut-être qu'un jour ils reconnaîtront qu'il s'agit d'une erreur de leur part et non d'une fonctionnalité.

-1voto

user123 Points 1

Contactez APPLE pour créer un compte d'entreprise. N'autorisez AUCUNE dépense pour l'achat d'applications. Toute personne ayant besoin d'acheter une application légitime pour son compte professionnel doit le faire en externe sur son propre IPad ou sur un IPad appartenant aux RH. Cet achat peut être traité par les procédures de remboursement normales. Ensuite, l'application peut être transférée sur l'iPad officiel de l'entreprise.

Pour résoudre le problème des utilisateurs qui ont des applications "non approuvées" sur leurs iPads : ne pas PRÉVENIR : INSPECTER. Mentionnez qu'il y aura des inspections régulières et inopinées des iPads d'entreprise à la recherche d'installations d'applications non approuvées. Comme pour les ordinateurs portables où les gens installent leurs propres logiciels, ne vous souciez pas de les empêcher, c'est inutile étant donné les contournements que les gens peuvent mettre en place. Au lieu de cela, menacez d'effectuer des inspections et faites-en de temps en temps afin d'inspirer la crainte de Dieu aux utilisateurs.

0 votes

Ce qui est utile dans ce commentaire, c'est qu'il identifie correctement le problème comme étant un problème humain et non technique. Mais c'est tout.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X