Tutoriel : Configurer l’inscription Microsoft Intune pour les appareils iOS/iPadOS dans Apple Business

Utilisez Apple Business avec Microsoft Intune pour simplifier et automatiser l’inscription des appareils pour les appareils iOS/iPadOS fournis via Apple Business. L’inscription automatisée des appareils, que nous allons configurer dans ce tutoriel, permet une inscription automatique sécurisée la première fois que l’utilisateur allume l’appareil en déployant la stratégie d’inscription sur l’appareil ota.

Dans ce tutoriel, vous apprendrez comment le faire :

  • Obtenir un jeton d’inscription d’appareil Apple
  • Synchroniser les appareils gérés avec Intune
  • Créer une stratégie d’inscription
  • Affecter la stratégie d’inscription aux appareils

À la fin de ce tutoriel, les appareils seront prêts à être distribués pour l’inscription.

Configuration requise

Si vous n’avez pas d’abonnement Intune, inscrivez-vous à un compte d’essai gratuit.

Étape 1 : Ajouter un serveur MDM

Créez un profil de serveur MDM pour Microsoft Intune dans Apple Business. Le jeton que vous téléchargez à cette étape permettra d’activer la connexion entre Microsoft Intune et Apple Business dans une étape ultérieure.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Appareils.

  3. Développez Intégration de l’appareil, puis sélectionnez Inscription.

  4. Sélectionnez Apple Mobile.

  5. Sélectionnez Jetons du programme d’inscription.

  6. Sélectionnez Créer.

  7. Sélectionnez J’accepte d’accorder à Microsoft l’autorisation d’envoyer des informations sur l’utilisateur et l’appareil à Apple.

  8. Sélectionnez Télécharger votre clé publique pour télécharger le certificat de clé publique du serveur (un fichier .pem) sur votre lecteur local.

  9. Sélectionnez Créer un jeton via Apple Business et connectez-vous à Apple Business avec l’ID Apple de votre entreprise.

    Importante

    Lorsque vous êtes dans Apple Business, ne fermez pas l’onglet du navigateur avec Microsoft Intune. Vous y reviendrez plus tard.

  10. Ajoutez un serveur MDM appelé TestMDMServer et téléchargez le jeton de serveur correspondant dans Apple Business. Pour plus d’informations et d’instructions, consultez Lien vers un serveur GPM tiers (ouvre le Guide de l’utilisateur Apple Business). Enregistrez le jeton de serveur localement sous la forme d’un fichier P7M (.p7m). Passez ensuite à l’Étape 2 : Attribuer des appareils.

Étape 2 : Attribuer des appareils

Lorsque vous êtes dans Apple Business, attribuez des appareils à votre nouveau serveur MDM (TestMDMServer ou tout ce que vous avez nommé). Pour plus d’informations et d’instructions, consultez Attribuer, réaffecter ou annuler l’affectation d’appareils dans Apple Business (ouvre le Guide de l’utilisateur Apple Business). Lorsque vous avez terminé d’attribuer des appareils, passez à l’Étape 3 : Charger le jeton du serveur MDM.

Étape 3 : Charger le jeton de serveur MDM

Revenez au centre d’administration Microsoft Intune pour charger le jeton de serveur MDM dans Intune. Après avoir chargé le jeton, Microsoft Intune pouvez synchroniser et inscrire des appareils iOS/iPadOS affectés à TestMDMServer.

  1. Pour ID Apple, entrez l’ID Apple que vous avez utilisé pour créer le jeton.
  2. Pour le jeton Apple, chargez le jeton de serveur que vous avez enregistré précédemment. Le fichier doit être au format P7M.
  3. Sélectionnez Suivant.
  4. Si vous le souhaitez, appliquez des balises d’étendue au jeton d’inscription pour empêcher d’autres administrateurs d’y accéder ou d’y apporter des modifications. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
  5. Sélectionnez Suivant.
  6. Dans Vérifier + créer, sélectionnez Créer pour terminer la liaison Microsoft Intune et Apple Business.

Microsoft Intune se synchronise automatiquement avec Apple Business. L’affichage des appareils dans le centre d’administration peut prendre jusqu’à 12 heures. Vous pouvez attendre que ces appareils se synchronisent ou démarrer manuellement la synchronisation. Pour démarrer la synchronisation vous-même, sélectionnez votre jeton dans la liste du centre d’administration, puis choisissez Synchronisation des appareils>.

Étape 4 : Créer une stratégie d’inscription Apple

Créez une stratégie d’inscription pour les appareils iOS/iPadOS appartenant à l’entreprise. Une stratégie d’inscription d’appareil définit les paramètres appliqués à un groupe d’appareils lors de l’inscription.

  1. Sélectionnez votre jeton dans le Centre d’administration, puis choisissez Stratégies d’inscription.

  2. Sélectionnez Créer une stratégie>iOS/iPadOS.

  3. Dans la page Informations de base , entrez TestPolicy comme Nom et Test ADE pour les appareils iOS/iPadOS pour Description. Les utilisateurs ne voient pas ces détails.

  4. Sélectionnez Suivant.

  5. Décidez si vous souhaitez que vos appareils s’inscrivent avec ou sans affinité utilisateur. L’affinité utilisateur est conçue pour les appareils qui seront utilisés par des utilisateurs particuliers. Si vos utilisateurs souhaitent utiliser le Portail d’entreprise pour des services comme l’installation d’applications, choisissez Inscrire avec l’affinité utilisateur. Si vos utilisateurs n’ont pas besoin du Portail d'entreprise ou si vous souhaitez approvisionner l’appareil pour de nombreux utilisateurs, choisissez Inscrire sans affinité utilisateur.

    • Si vous choisissez de vous inscrire avec l’affinité utilisateur, l’option Sélectionnez où les utilisateurs doivent s’authentifier s’affiche. Décidez si vous souhaitez vous authentifier avec Portail d'entreprise ou l’Assistant Configuration Apple (hérité) ou l’Assistant Configuration avec l’authentification moderne. Pour plus d’informations sur les méthodes d’authentification, consultez Méthodes d’authentification pour l’inscription automatisée des appareils dans Intune.

  6. Si vous avez choisi de vous inscrire avec l’affinité utilisateur et de vous authentifier avec le Portail d’entreprise, l’option Installer le Portail d’entreprise avec VPP s’affiche. Si vous installez le Portail d’entreprise avec un jeton VPP, votre utilisateur n’a pas à entrer d’identifiant ou de mot de passe Apple pour télécharger l’application Portail d’entreprise à partir de l’App store lors de l’inscription. Choisissez Utiliser un jeton : sous Installer le portail d’entreprise avec VPP pour sélectionner un jeton VPP qui a des licences gratuites disponibles du Portail d’entreprise. Si vous ne souhaitez pas utiliser VPP pour déployer le Portail d’entreprise, choisissez Ne pas utiliser VPP.

    • Si vous avez choisi de vous inscrire avec l’affinité utilisateur, de vous authentifier avec le Portail d’entreprise et d’installer le Portail d’entreprise avec VPP, décidez si vous souhaitez exécuter le Portail d’entreprise en mode Application unique jusqu’à l’authentification. Avec ce paramètre, vous pouvez vous assurer que l’utilisateur n’a pas accès à d’autres applications tant qu’il n’a pas terminé l’inscription de l’entreprise. Si vous souhaitez limiter l’utilisateur à ce flux tant que l’inscription n’est pas terminée, choisissez Oui sous Exécuter le Portail d’entreprise en mode Application unique jusqu’à l’authentification.

  7. Sous Gestion des appareils Paramètres, choisissez Oui pour Supervisé. La supervision vous offre davantage d’options de gestion et désactive le verrouillage d’activation Apple par défaut. Microsoft recommande d’utiliser l’inscription automatisée des appareils comme mécanisme pour activer le mode supervisé de Intune, en particulier pour les organisations qui déploient un grand nombre d’appareils iOS/iPadOS.

  8. Choisissez Oui sous Inscription verrouillée pour vous assurer que vos utilisateurs ne peuvent pas supprimer la gestion des appareils de leur appareil d’entreprise.

  9. Par défaut, Apple nomme l’appareil avec le type d’appareil, par exemple iPad. Si vous souhaitez fournir un autre modèle de nom, sous Appliquer le modèle de nom d’appareil, choisissez Oui. Entrez le nom à appliquer aux appareils, où les chaînes {{SERIAL}} et {{DEVICETYPE}} remplaceront le numéro de série et le type de chaque appareil. Sinon, choisissez Non sous Appliquer le modèle de nom d’appareil.

  10. Cliquez sur Suivant.

  11. Dans la page Assistant Configuration , entrez Service du didacticiel pour Nom du service. Cette chaîne est ce que les utilisateurs voient quand ils appuient sur À propos de la configuration lors de l’activation de l’appareil.

  12. Sous Téléphone du service, entrez un numéro de téléphone. Ce numéro s’affiche quand l’utilisateur clique sur le bouton Besoin d’aide lors de l’activation.

  13. Vous pouvez afficher ou masquer différents écrans pendant l’activation de l’appareil. Pour bénéficier de l’expérience d’inscription la plus fluide, définissez tous les écrans sur Masquer.

  14. Cliquez sur Suivant.

  15. Passez en revue les paramètres de stratégie. Pour enregistrer la stratégie, sélectionnez Créer.

Étape 5 : Attribuer une stratégie d’inscription aux appareils iOS/iPadOS

Vous devez attribuer une stratégie d’inscription d’appareil automatisée aux appareils avant qu’ils puissent s’inscrire. Ces appareils sont synchronisés avec Intune d’Apple et doivent être affectés au jeton de serveur MDM approprié dans Apple Business ou Apple School Manager.

  1. Dans le Centre d’administration, revenez à Jetons du programme d’inscription. Choisissez votre jeton dans la liste.
  2. Sélectionnez Appareils, puis choisissez les appareils que vous souhaitez attribuer.
  3. Sélectionnez Attribuer une stratégie. Sélectionnez ensuite une stratégie pour les appareils.
  4. Sélectionnez Affecter.

Remarque

Vérifiez que restrictions de type d’appareil, qui se trouvent dans les restrictions d’inscription de votre locataire, n’a pas la stratégie Par défaut Tous les utilisateurs définie pour bloquer la plateforme iOS/iPadOS. Ce paramètre entraîne l’échec de l’inscription automatisée et votre appareil s’affiche en tant que profil non valide, quelle que soit l’attestation de l’utilisateur. Pour autoriser l’inscription uniquement par les appareils gérés par l’entreprise, bloquez uniquement les appareils personnels, ce qui permettra aux appareils de l’entreprise de s’inscrire. Microsoft définit un appareil d’entreprise comme un appareil inscrit via un programme d’inscription d’appareil ou un appareil entré manuellement dans le centre d’administration sous Identificateurs d’appareil d’entreprise.

Étape 6 : Distribuer des appareils aux utilisateurs

Vous avez configuré la gestion et la synchronisation entre Apple et Intune, et attribué une stratégie pour permettre à vos appareils ADE de s’inscrire. Vous pouvez désormais distribuer les appareils aux utilisateurs. Pour les appareils avec affinité utilisateur, chaque utilisateur doit se voir attribuer une licence Intune.

Outre l’attribution d’appareils à votre serveur MDM et la création d’une stratégie d’inscription, vous pouvez éventuellement utiliser les paramètres de gestion des accès Apple dans Apple Business (ou Apple School Manager) pour configurer l’accès au service pour les comptes Apple sur les appareils appartenant à organization. Microsoft Intune applique ces paramètres après l’inscription. Pour plus d’informations, consultez Configurer l’accès au service pour les comptes Apple.

  • Last updated on