BYOD : comment l’enrôlement simplifié aide l’IT et les utilisateurs

Flexibilité et simplicité pour les utilisateurs finaux sont les clés d’un programme de BYOD réussi en entreprise. C’était un thème central de la conférence des utilisateurs Jamf Nation, un événement annuel de Jamf, éditeur de solutions d’administration de terminaux Apple.

Les participants ont entendu parler d’une expérience d’enrôlement des terminaux BYOD clés en main avec Jamf Pro, où les utilisateurs peuvent s’authentifier pour enrôler un terminal dans le système de SSO, par exemple, et limiter les invites d’authentification sur les appareils administrés.

Lorsque les entreprises s’ouvrent au BYOD, les utilisateurs peuvent éviter de transporter plusieurs appareils tout en ayant un accès permanent à leurs applications et données professionnelles.

Dans cet échange, Dean Hager, PDG de Jamf, Linh Lam, DSI de l’éditeur, et Michael Covington, son vice-président en charge de la stratégie produits, discutent de la stratégie de Jamf, du support technique et des perspectives du BYOD pour les iPhones dans l’entreprise.

LeMagIT : Lors de la session plénière, vous avez mis en avant le processus d’enrôlement d’un iPhone avec Jamf Pro dans un contexte de BYOD. Il s’agit d’un processus très centré sur l’utilisateur, alors pourquoi était-il si important de le souligner pour le public ?

Linh Lam : Si vous pensez au processus d’enrôlement antérieur, essayer de configurer votre téléphone est une souffrance. Nous essayons de faire comprendre à notre public, composé principalement de professionnels de l’informatique, que [Jamf] donne de l’autonomie aux utilisateurs. Ce processus d’accueil est intuitif, car il utilise simplement les fonctionnalités d’Apple auxquelles tout le monde est habitué via l’application Paramètres, et il est suffisamment simple pour que les utilisateurs puissent s’en servir eux-mêmes.

Les professionnels de l’IT seront intrigués par ce processus, car il ne nécessite pas leur intervention. L’objectif est de réduire le nombre de tickets au service d’assistance, et c’est exactement ce que nous voulons faire : faciliter la vie des administrateurs informatiques.

Dean Hager : Historiquement, pour enrôler un terminal dans un système d’administration, il fallait lui envoyer un lien ou un paquet. C’est tout à fait propice au piratage. Il était possible de tromper quelqu’un en l’enrôlant dans un système dans lequel il n’avait aucune intention de s’enrôler.

Le fait que les appareils personnels puissent s’inscrire de la façon décrite [par Linh Lam] offre non seulement une meilleure expérience utilisateur, mais réduit également le risque de [tentative de piratage].

LeMagIT : Certains utilisateurs en mode BYOD considèrent tout type d’administration des terminaux mobiles (MDM) ou d’agent local comme un empiétement sur leur vie privée. Comment abordez-vous les messages relatifs à l’intégration et à la gestion du BYOD pour répondre à ces préoccupations ?

Michael Covington : J’ai cessé d’utiliser le mot administration lorsque je parle du cas d’usage [BYOD] et j’utilise plutôt le mot enrôlement. Actuellement, l’administration signifie quelque chose de spécifique aux utilisateurs, sur la base d’expériences passées qui ont souvent une connotation négative pour les appareils personnels.

De nombreux travailleurs sont passés par le processus d’enrôlement d’un appareil personnel pour qu’il soit entièrement administré par un MDM… ou par un client VPN qui a généralement apporté avec lui une tonne de choses que les utilisateurs ne connaissaient pas. Il s’agit d’établir la confiance avec une entreprise et de fournir les applications dont les utilisateurs ont besoin pour travailler.

L’autre aspect important est la manière dont nous parvenons à l’enrôlement en BYOD. Nous tirons parti de l’expérience intégrée d’Apple et nous nous affranchissons de l’envoi de liens et du téléchargement par les utilisateurs d’une application à installer sur l’appareil. Il leur suffit de passer par les paramètres familiers d’Apple et de configurer cette relation en passant par toutes ces invites.

Si je suis l’utilisateur, j’aime voir ces invites. J’accepte les choses, et si je ne les accepte pas, je peux arrêter à tout moment. Les invites viennent d’Apple, et non de l’entreprise pour laquelle je travaille ou du tiers que mon entreprise a choisi pour gérer mon appareil. Apple a une longue histoire avec son approche « bas à sable », et je suis heureux qu’il ait créé une séparation claire entre le conteneur de travail et le côté personnel.

LeMagIT : Les entreprises considèrent-elles que cette approche apporte des contrôles suffisants pour la sécurité du BYOD ? Vous avez souligné les limites du copier-coller de données entre le conteneur professionnel et le conteneur personnel d’un iPhone, mais qu’en est-il des captures d’écran ou du simple fait de noter les données ? Les fonctions de gestion de la sécurité ne peuvent pas tout faire.

Linh Lam : Il existe des politiques autour de la gouvernance des données que vous devez mettre en place et vous devez former les utilisateurs à les respecter. Mais nous nous concentrons sur les contrôles mécaniques que vous pouvez mettre en œuvre. Bien sûr, vous n’aurez pas la possibilité de tout contrôler, mais dans la mesure où vous le pouvez, vous devez compléter cette politique par une technologie pouvant vous aider à effectuer ces contrôles.

Vous devez hiérarchiser les risques et vous demander : « quels sont les plus importants et comment pouvons-nous les prévenir ? ». Si quelqu’un veut obtenir ces données et les partager d’une manière nuisible, il trouvera le moyen de le faire.

Michael Covington : Nous sommes évidemment en mesure de fournir une fonctionnalité DLP entre les conteneurs professionnels et personnels. Mais au cours de l’année dernière, nous avons acquis une société appelée ScreenTrust, qui nous a donné la technologie nécessaire pour utiliser le moteur de filtrage de contenu intégré d’Apple. Il peut non seulement effectuer un blocage axé sur l’URL, mais aussi sur les mots-clés. Nous disposons également d’une fonctionnalité réseau […] qui permet de faire des choses intelligentes, orientées DLP également.

LeMagIT : Le BYOD peut éviter à un utilisateur de transporter deux smartphones. Considérez-vous que l’un des objectifs des logiciels de Jamf est de permettre aux utilisateurs de disposer d’un seul appareil dans le cadre du modèle BYOD ?

Dean Hager : Je ne vois pas pourquoi, à l’avenir, les utilisateurs auraient besoin de deux appareils. Qu’il s’agisse d’un appareil fourni par l’entreprise ou d’un appareil personnel peut varier. Dans les deux cas, vous disposez de solutions et de politiques d’administration et de sécurité qui peuvent répondre aux besoins spécifiques d’un utilisateur.

Je suis un membre à part entière du mouvement anti-deux téléphones. Le pouvoir au téléphone unique.

Linh Lam : Ces deux mondes – le travail et la vie privée – se mélangent plus que jamais avec le travail à distance. Dès lors, du point de vue de [votre vie personnelle], je pense qu’avoir deux téléphones est tout simplement terrible.

L’appareil unique offre une bien meilleure expérience que les employeurs peuvent offrir à leurs employés, ce qui peut contribuer à la convivialité et attirer plus de personnes à travailler pour eux.

Propos recueillis par nos collègues de SearchMobileComputing (groupe TechTarget également propriétaire du MagIT)