Contenu connexe Similaire à CocoaHeads Toulouse - Septembre 2011 - Déployer et gérer i os en entreprise (20) Plus de CocoaHeads France (20) CocoaHeads Toulouse - Septembre 2011 - Déployer et gérer i os en entreprise1. Déployer et Gérer des
terminaux iOS en Entreprise
Copyright (c) 2009-2011 DLTA Studio
Tous Droits Réservés
Version 1.51
Septembre 2011
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
1
2. Sommaire
• Présentation
• Les enjeux
• Bref historique
• iOS en tant que plateforme
• Quels types de contrat ?
• iOS dans l’entreprise
• Déploiement des applications
• Déploiement des terminaux
• iTunes
• Préparation des terminaux
• Gestion/administration
• Démonstration
Copyright © 2010-2011 DLTA Studio
• Conclusion
Tous Droits Réservés
Reproduction Interdite
2
3. Présentation
• DLTA Studio
✦ Studio de développement iPhone / Android / Windows / Linux / Mac OS X
✦ Fondée en 2009 par 2 architectes freelances capitalisant plus de 20 ans en développement Web
(J2EE, .net), client lourd (C++, Windows, Cocoa, MacOS X, iOS)
✦ Accompagnement aux stratégies de déploiement & mise en production d’iPhone, iPad, iPod touch
✦ Service d’édition et de publication sur l’AppStore (11 applications sur l’AppStore, plus de 80 000
utilisateurs)
✦ Formation au développement iOS depuis 2010 en partenariat avec Valtech Training
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
3
4. Historique
iPad iPad 2
2010 2011
iPhone Edge iPhone 3G iPhone 3GS iPhone 4
2007 2008 2009 2010
iPod touch iPod touch iPod touch iPod touch
2G 3G 4G
2007 2008 2009 2010
Copyright © 2010-2011 DLTA Studio
120+ millions de terminaux
Tous Droits Réservés
Reproduction Interdite
4
5. iOS en tant que plateforme
Depuis 2010
Copyright © 2010-2011 DLTA Studio
iPhone
Tous Droits Réservés
Reproduction Interdite
5
6. iOS en tant que plateforme
Depuis 2010
iPod touch iPhone iPad
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
6
7. iOS dans l’entreprise depuis 2009
• Démarrage discret avec iOS 2.0, early adopters
• S2/2009 fut surtout consacré à l’AppStore et les études portent surtout sur le
marketing et la communication, peu sur les applications business
• S1/2010 voit le début des tests de déploiement de iOS 3.0 entreprise et le
début de l’engouement pour l’iPad, plus sensible que pour l’iPhone.
• Déploiement de masse depuis iOS 4.0, émergence des applications métiers
inHouse
• iPod touch reste une plateforme matérielle encore trop souvent mise de côté
malgré un rapport qualité/prix indéniable
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
7
8. Les questions qu’ils se posent
• AppStore ou inHouse ? Ou les 2 ?
• Je voudrais gérer mes terminaux comme mes BlackBerry. Est-ce possible ?
• La plateforme iOS propose une
Et la sécurité ? Que faire en cas de vol ?
• iTunes, c’est obligatoire ?pour chacune de ces
réponse
• questions
Est-ce que je peux TOUT contrôler ? Je ne veux pas de vidéos ni de musique sur
mes terminaux ?
• iPad ? iPhone ? iPod touch ?
• J’ai un technicien qui n’en peut plus de préparer à la main les terminaux. Que
faire ?
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
8
9. AppStore, inHouse, ou les 2 ?
• Apple propose 2 types de contrat pour le déploiement :
• Developer, destiné à déployer vos applications via l’AppStore sur les terminaux de vos clients
• Enterprise, destiné à déployer vos propres applications (inHouse) sur vos propres terminaux
d’entreprise
➡ 2 types de contrat pour 2 profils d’utilisateur différents
➡ L’un n’exclut pas l’autre : vous pouvez parfaitement souscrire aux 2 types de
contrats. Ce ne seront pas nécessairement les mêmes équipes qui souscriront à
l’un et à l’autre contrat
La suite de la présentation se focalise sur le déploiement
en entreprise
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
9
10. iOS en entreprise ?
• 2 problématiques à traiter :
• Le déploiement et la gestion des applications
• Le déploiement et la gestion des terminaux
➡ La gestion des terminaux est un pré-requis au déploiement efficace des
applications même si cela reste possible de manière indépendante, cela demeure
très pénible et coûteux.
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
10
11. Déploiement des applications
• 3 possibilités :
• En utilisant XCode
• En utilisant l’utilitaire de configuration iPhone (iPCU)
• Depuis un serveur Web
➡ Seul la dernière possibilité est scalable et déployable
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
11
12. Déploiement des applications
Déploiement par le Web
• Procédure :
1. Créer le fichier IPA depuis XCode, signé avec un profil d’approvisionnement d’entreprise
2. Créer le fichier Manifest contenant les URL vers l’icône de l’application et le fichier IPA
(http://developer.apple.com/library/ios/#featuredarticles/FA_Wireless_Enterprise_App_Distribution/Introduction/Introduction.html)
3. Créer une page HTML avec un lien vers le fichier Manifest, avec comme protocole itms-
services :
<a href="itms-services://?action=download-manifest&url=http://example.com/manifest.plist">Install App</a>
• Ce système est en général encapsulé dans une application de
type AppStore dans le solutions de déploiement du commerce.
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
12
13. Déploiement des terminaux
• 3 problèmatiques à traiter
• iTunes ?
• Préparation des terminaux, configuration d’usine, masterisation
• Gestion et administration
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
13
14. iTunes
• iTunes gère les terminaux des utilisateurs
➡Il doit être déployé en même temps que les
terminaux
• Gestion des mises à jour de iOS
• Gestion des backups (encryptés ou non)
• Synchronisation des données utilisateurs
• Le poids d’iTunes tend à diminuer avec le
temps
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
14
15. Déploiement iTunes
• Installation silencieuse possible
• A déployer sur chaque poste
• Gère les mises à jour automatiques de l’OS
• Possibilité de contrôler et valider ces mises à jour depuis
iTunes au travers d’un serveur d’update sous Mac OS X
Server
• Possibilité d’activer/désactiver les mises à jour de iPhone
OS depuis iTunes via la base de registre
• Gestion des sauvegardes/restauration du
téléphone
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
15
16. Préparation des terminaux
• Création des profils de configuration
• Déploiement des profils
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
16
17. Profils de configuration
Création
• Chaque terminal contient un ou plusieurs profils de configuration pour le
paramétrage du téléphone (réseau, sécurité, etc...)
• iPhone Configuration Utility (iPCU) permet d’éditer les profiles de configuration
• Ces profils vont vous permettre de définir comment vos terminaux seront pré-configurés pour
vos utilisateurs : serveur de mail,VPN, certificat, calendrier, etc...
• Des règles de sécurité (mot de passe obligatoire, etc...) et des restrictions (vidéo, AppStore)
peuvent être définies
• Chaque profil forme un TOUT indissociable : Si vous forcez l’utilisation d’un mot de passe dans
le profil contenant les accès au serveur de mail, ce dernier ne pourra pas pas être utilisé sans
mot de passe.
• L’administrateur peut empêcher l’utilisateur de modifier ou de supprimer les profils
• Il est recommandé de signer et de crypter les profils
• Un profil de configuration est un ficher XML qui peut être généré de manière automatisée
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
17
18. Profiles de configuration
Déploiement
• 3 possibilités :
• Directement par câble USB via le logiciel iPCU
• Par mail
• Depuis un portail Web (mode OTA : Over The Air)
➡ Le mode OTA est largement recommandé
• Permet l’authentification des utilisateurs
• Permet de générer des profils personnalisés pour chaque utilisateur
• Automatise le déploiement et la préparation des terminaux
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
18
19. Profils de configuration
Déploiement OTA - Phase 1 (authentification)
Phase 1: User Authentication
2
Directory Service
1
4
3
Device
1 1. L’utilisateur se connecte sur l’URL d’enregistrement avec Safari et s’authentifie avec son login/mot de passe
2. Le système vérifie l’identité de l’utilisateur sur l’annuaire d’entreprise
2
3 3. Le système envoie un profil au terminal lui demandant de renvoyer sa configuration
4. Le terminal demande à l’utilisateur de valider l’installation du profil
Copyright © 2010-2011 DLTA Studio
4
Tous Droits Réservés
Reproduction Interdite
19
20. 2
Profils de configuration
3
4
Déploiement OTA - Phase 2 (inscription du certificat)
Directory Service
1 4
3
2
1. Une fois l’installation acceptée par l’utilisateur, le terminal envoie sa configuration au serveur
1
2. Le système répond en envoyant un profil permettant au terminal d’obtenir un certificat depuis un serveur SCEP. Ce certificat va
permettre de crypter de manière unique les données stockées sur le terminal et servira à l’identifier de manière unique. Cette
2
étape est optionnelle, mais fortement recommandée.
3. Le terminal installe le profil SCEP automatiquement, génère la clé privée et contacte le serveur SCEP pour obtenir le certificat.
3
4. Le serveur SCEP génère un certificat qui sera installé sur le terminal
4
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
20
21. Profils de configuration 4
Déploiement OTA - Phase 3 (installation du profil)
Directory Service
1
3
2
1
1. Le terminal va alors renvoyer sa configuration, signée avec la clé privée du certificat générée. Cela lui permet d’envoyer sa clé
publique d’encryption
2. 2 Le système peut alors envoyer le profil de configuration encrypté avec la clé publique du terminal. De la sorte, seul le terminal
peut installer et décrypter le profil de configuration
3
3. Le profil est installé automatiquement sans intervention de l’utilisateur
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
21
22. Profils de configuration
Déploiement OTA - Conclusion
• Avantages :
• Garantit une sécurité maximale
Le service MDM (Mobile Device
• Automatise le déploiement, plus d’intervention manuelle
Management) permet de palier les
• Largement documenté par Apple : http://www.apple.com/fr/iphone/business/
manques du déploiement OTA
• Inconvénients :
• Pas de possibilité de mettre à jour sans intervention de l’utilisateur
• Impossible de collecter les infos sur un terminal (asset management)
• Impossible d’intervenir sur un périphérique compromis (perte, vol...)
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
22
23. Profils de configuration
MDM - Mobile Device Management
• API apparue avec iOS 4
• API uniquement disponible pour les éditeurs de logiciels de
solutions mobiles pour l’entreprise
➡ Nécessité de passer par un intégrateur pour déployer une solution de MDM
• Basé sur le déploiement OTA : La configuration du serveur
MDM est fournie dans le profil installé par le serveur OTA
• Principale fonctionnalités :
• Asset Management
• Installation/suppression des profils de configuration
• Installation/suppression des profils d’approvisionnement
• Gestion des procédures d’urgence (wipe, réinitialisation de mot de passe, verrouillage)
• Magasin d’application inHouse
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
23
24. Profils de configuration
MDM - Principe de fonctionnement
1 Le serveur MDM réveille le terminal en
envoyant une notification Push
Serveur MDM
Serveur Push
Apple
4 Le serveur
envoie la 2
3 commande à
exécuter
Le serveur APNS
réveille le terminal
Le terminal va
chercher la
commande à
exécuter
5 Le terminal exécute la
commande et renvoie
le résultat au serveur
MDM
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
24
25. Profils de configuration
MDM - Un exemple d’architecture
DLTA Deploy
Serveur Serveur
d’enregistrement d’administration
Base de données
OTA
Serveur MDM
DLTAStore
3 4
1 AppStore 2 Pilotage du Console
d’entreprise terminal d’administration
Inscription du Asset
périphérique Management
5 DMZ
SI Entreprise
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
Internet
25
26. Profiles de configuration
MDM - Conclusion
• Avantages :
• Permet une solution de configuration Out-Of-Box : Le terminal peut directement passer dans
les mains de l’utilisateur final sans préconfiguration
• Solution unique dans la gestion de flotte mobile et indépendante de tout produit propriétaire :
L’infrastucture de gestion iOS est ouverte.
• Solution totalement sécurisée, basée sur TLS : tous les échanges d’information sont cryptés et
signés
• Inconvénients :
• L’utilisateur reste maître de son terminal : vous n’aurez jamais plus de contrôle que ce que
l’utilisateur vous accorde. Il peut à tout instant mettre fin à la gestion de son terminal,
perdant toutes les configurations installées
• Infrastructure parfois lourde à mettre en oeuvre pour une PME, bien que scalable
• Apple ne fournit pas de solution de référence ni de partenaire privilégié
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
26
28. Configuration d’un terminal en
entreprise
Résumé
1. Déploiement de iTunes sur l’ordinateur de
l’utilisateur
2. Mise à disposition du téléphone pour
l’utilisateur
3. Activation du terminal par l’utilisateur sur
iTunes
4. Inscription du terminal sur le serveur MDM.
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
28
29. Conclusion
• Déployer iOS en entreprise est un projet à part entière
• Bien que cela paraisse complexe, la complexité n’est pas
liée à iOS mais à la nature du projet : il s’agit d’ouvrir une
partie du SI de l’entreprise sur l’extérieur, et c’est un sujet
délicat
• Impliquez les équipes sécurité et réseau
• Mettez en place une organisation robuste, des manuels
simplifiés.
• Consultez régulièrement la documentation en ligne (http://
www.apple.com/fr/iphone/enterprise/integration.html)
• ...et préparez-vous à répondre aux demandes de vos
utilisateurs pour des applications métiers spécifiques
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
29
30. Contacts
Accompagnement au déploiement / gestion de projet :
David Scrève
DLTA Studio
+ 33 6 27 69 58 14
david.screve@dlta-studio.com
Patrice Trognon
DLTA Studio
+ 33 6 21 09 36 94
patrice.trognon@dlta-studio.com
Copyright © 2010-2011 DLTA Studio
Tous Droits Réservés
Reproduction Interdite
30