Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à macOS
Cet article explique comment créer une stratégie d’inscription pour l’inscription automatisée des appareils macOS (ADE) dans Microsoft Intune. Pour obtenir une vue d’ensemble d’ADE et de la configuration des prérequis, consultez Vue d’ensemble de l’inscription automatisée des appareils Apple pour macOS.
Remarque
Les étapes décrites dans cet article sont les mêmes que vous utilisiez Apple Business ou Apple School Manager. Par souci de concision, nous faisons référence à Apple Business uniquement tout au long des étapes décrites dans cet article, sauf si des précisions sont nécessaires.
Configuration requise
Configuration requise pour la plateforme de l’appareil
Appareils macOS nouveaux ou réinitialés achetés via Apple Business ou Apple School Manager.
Configuration requise du locataire
- Accès au portail Apple Business ou au portail Apple School Manager.
- Un jeton Apple actif (fichier .p7m). Pour connaître les étapes à suivre, consultez Configurer un jeton ADE macOS.
- Un certificat Push MDM Apple dans Intune.
Conseil
L’inscription automatisée des appareils applique des configurations d’appareils qu’un utilisateur d’appareil ne peut pas supprimer. Effacez tous les appareils avant l’inscription pour les rendre dans leur état d’origine.
Lors de l’inscription d’appareils macOS à l’aide d’ADE avec affinité utilisateur et de l’Assistant Configuration avec l’authentification moderne, les utilisateurs doivent se connecter à l’application Portail d'entreprise avec leurs informations d’identification Microsoft Entra pour terminer l’inscription de l’appareil dans Microsoft Entra ID. Pour ajouter l’application Portail d'entreprise aux appareils macOS, consultez Ajouter l’application Portail d'entreprise pour macOS.
Créer une stratégie d’inscription
Créez une stratégie d’inscription automatique des appareils dans le centre d’administration. La stratégie définit l’expérience d’inscription pour les appareils Mac de votre organization et applique des stratégies et des paramètres d’inscription sur les appareils d’inscription. La stratégie est déployée sur les appareils attribués en direct.
À la fin de cette procédure, vous pouvez affecter cette stratégie à Microsoft Entra groupes d’appareils.
Dans le Centre d’administration, accédez àInscriptiondes appareils>.
Sélectionnez l’onglet macOS .
Sous Méthodes d’inscription en bloc, sélectionnez Jetons du programme d’inscription.
Sélectionnez un jeton de programme d’inscription.
Sélectionnez Stratégies d’inscription>Créer une stratégie>macOS.
Importante
Vous devez affecter une stratégie d’inscription à vos appareils avant qu’ils ne deviennent actifs. Nous vous recommandons de définir une stratégie d’inscription par défaut dès que possible afin que les appareils se synchronisent à partir d’Apple Business ou d’Apple School Manager, puis qu’ils puissent s’inscrire correctement via l’inscription automatisée des appareils. Si aucune stratégie d’inscription n’est affectée à un appareil que vous avez synchronisé à partir d’Apple et que quelqu’un l’active pour la configurer, l’inscription échoue.
Pour Informations de base, entrez un nom et une description pour la stratégie afin de pouvoir la distinguer des autres stratégies d’inscription. Ces détails ne sont pas visibles par les utilisateurs de l’appareil.
Conseil
Vous pouvez utiliser le champ nom pour créer un groupe dynamique dans Microsoft Entra ID et affecter automatiquement des appareils à la stratégie d’inscription. Utilisez le nom de la stratégie pour définir le paramètre enrollmentProfileName . Pour plus d’informations, consultez les groupes dynamiques Microsoft Entra.
Sélectionnez Suivant.
Dans la page Paramètres de gestion , configurez l’affinité utilisateur. L’affinité utilisateur détermine si les appareils s’inscrivent avec ou sans utilisateur affecté. Les options disponibles sont les suivantes :
Inscrire sans affinité utilisateur : inscrire des appareils qui ne sont pas associés à un seul utilisateur. Choisissez cette option pour les appareils partagés et les appareils qui n’ont pas besoin d’accéder aux données utilisateur locales. L’application Portail d'entreprise ne fonctionne pas sur ces types d’appareils. L’inscription sans affinité utilisateur est également appelée inscription sans utilisateur.
Inscrire avec l’affinité utilisateur : inscrire les appareils associés à un utilisateur affecté. Choisissez cette option pour les appareils professionnels qui appartiennent à des utilisateurs, et si vous souhaitez demander aux utilisateurs d’avoir l’application Portail d'entreprise pour installer des applications. L’authentification multifacteur (MFA) est disponible avec cette option. L’inscription avec l’affinité utilisateur est également appelée inscription avec un utilisateur.
L’option 2 nécessite davantage de configurations. Les utilisateurs doivent s’authentifier avant l’inscription pour confirmer leur identité. Sélectionnez l’une des méthodes d’authentification suivantes :
Assistant Configuration avec authentification moderne (recommandé) : cette méthode nécessite que les utilisateurs remplissent tous les écrans de l’Assistant Configuration et se connectent à l’application Portail d'entreprise avec leurs informations d’identification Microsoft Entra avant de pouvoir accéder aux ressources. Une fois qu’ils se sont connectés à Portail d'entreprise, l’appareil :
- S’inscrit avec Microsoft Entra ID.
- Est ajouté à l’enregistrement d’appareil de l’utilisateur dans Microsoft Entra ID.
- Peut être évalué pour la conformité de l’appareil.
- Obtient l’accès aux ressources protégées par l’accès conditionnel.
Si l’utilisateur ne se connecte pas à l’Portail d'entreprise pour terminer l’inscription, il est redirigé vers l’application Portail d'entreprise chaque fois qu’il tente d’ouvrir une application gérée avec la protection de l’accès conditionnel.
Les appareils exécutant macOS 10.15 et versions ultérieures peuvent utiliser cette méthode. Les anciens appareils macOS reviennent à l’utilisation de la méthode de l’Assistant Installation héritée. Pour plus d’informations sur la façon d’obtenir l’application Portail d'entreprise aux utilisateurs Mac, consultez Ajouter l’application Portail d'entreprise pour macOS.
Importante
Nous vous recommandons d’utiliser l’Assistant Configuration avec l’authentification moderne pour vos appareils Apple pour les scénarios ADE (inscription automatisée des appareils) avec l’affinité entre les appareils utilisateur. Bien que l’utilisation de l’authentification héritée reste disponible, nous ne recommandons pas son utilisation.
- Assistant Configuration (hérité) (non recommandé) : utilisez l’Assistant Configuration hérité si vous souhaitez que les utilisateurs profitent de l’expérience standard prête à l’emploi pour les produits Apple. Cette méthode installe les paramètres préconfigurés standard lorsque l’appareil s’inscrit avec Intune gestion. Si vous utilisez les services de fédération Active Directory (AD FS) et l’Assistant Configuration pour vous authentifier, un point de terminaison Nom d’utilisateur/Mixte WS-Trust 1.3 est nécessaire. Pour plus d’informations sur la récupération du point de terminaison ADFS, consultez Get-ADfsEndpoint.
La configuration finale Await active une expérience verrouillée à la fin de l’Assistant Configuration pour vous assurer que vos stratégies de configuration d’appareil les plus critiques sont installées sur l’appareil. Ce paramètre est appliqué une seule fois pendant l’expérience d’inscription automatique des appareils Apple prête à l’emploi dans l’Assistant Configuration. L’utilisateur de l’appareil ne le retrouve pas, sauf s’il réinscrit son Mac.
Les options disponibles sont les suivantes :
Oui : Juste avant le chargement de l’écran d’accueil, l’Assistant Configuration s’interrompt et Intune case activée avec l’appareil. L’expérience utilisateur final se verrouille pendant que les utilisateurs attendent les configurations finales. Cette option est la configuration par défaut pour les nouvelles stratégies d’inscription.
Non : l’appareil est renvoyé sur l’écran d’accueil à la fin de l’Assistant Configuration, quel que soit le statut d’installation de la politique. Les utilisateurs de l’appareil peuvent accéder à l’écran d’accueil ou modifier les paramètres de l’appareil avant l’installation de toutes les stratégies. Cette option est la configuration par défaut pour les stratégies d’inscription existantes.
La durée pendant laquelle les utilisateurs sont placés sur l’écran De configuration finale en attente varie et dépend du nombre total de stratégies et d’applications que vous attribuez à l’appareil. Les utilisateurs peuvent voir le téléchargement des stratégies de configuration d’appareil dans l’Assistant Configuration pendant qu’ils attendent. Plus le nombre de stratégies et d’applications affectées est grand, plus le temps d’attente est long. L’Assistant Configuration et les Intune n’appliquent pas de limite de temps minimale ou maximale pendant cette partie de la configuration. Lors de la validation du produit, la plupart des appareils que nous avons testés ont été libérés et ont pu accéder à l’écran d’accueil dans les 15 minutes. Si vous activez cette fonctionnalité et que vous travaillez avec un partenaire Microsoft ou un service non-Microsoft pour vous aider à provisionner des appareils, informez-leur du risque d’augmentation du temps d’approvisionnement.
L’expérience de verrouillage est prise en charge sur les Mac exécutant macOS 10.11 ou version ultérieure. Il fonctionne sur les Mac ciblés avec des stratégies d’inscription nouvelles ou existantes configurées pour ces scénarios :
- Inscription via l’Assistant Configuration avec l’authentification moderne
- Inscription avec l’Assistant Configuration (hérité)
- Inscription sans affinité entre l’utilisateur et l’appareil
Vous pouvez appliquer l’inscription verrouillée pour empêcher les utilisateurs de désinscrire leurs appareils de Intune. Sélectionnez Oui pour désactiver les paramètres Mac dans préférences système et terminal qui permettent aux utilisateurs de supprimer la stratégie de gestion. Une fois l’appareil inscrit, vous ne pouvez pas modifier ce paramètre sans effacer l’appareil.
Sélectionnez Suivant.
Si vous le souhaitez, dans la page Paramètres du compte , vous pouvez configurer l’administrateur local et les comptes d’utilisateur sur les Mac ciblés.
Lorsqu’un appareil macOS pris en charge s’inscrit avec Intune via une stratégie d’inscription automatique des appareils (ADE) qui configure l’administrateur local, l’appareil est activé pour la configuration de compte local macOS avec la solution de mot de passe d’administrateur local (LAPS) Microsoft. Avec cette fonctionnalité, les appareils nouvellement inscrits reçoivent un compte d’administrateur local unique qui a un mot de passe administrateur fort, chiffré et aléatoire (15 caractères alphanumériques), qui est également stocké et chiffré par Intune. Après l’inscription, Intune fait pivoter automatiquement un mot de passe administrateur géré par LAPS tous les six mois par défaut et prend en charge la recherche et la rotation manuelle du mot de passe administrateur par Intune administrateurs disposant des autorisations suffisantes.
Pour plus d’informations sur la configuration et la gestion de cette fonctionnalité, consultez Configurer la configuration de compte macOS avec LAPS.
Les paramètres suivants pour le compte d’utilisateur local sont pris en charge sur les appareils exécutant macOS 12 ou version ultérieure. Lorsque vous configurez le compte principal, gardez à l’esprit que ce compte sera un compte d’administrateur . Avoir au moins un compte d’administrateur est une exigence de configuration Mac. Si vous configurez également le mot de passe de l’administrateur local via cette stratégie, consultez compte d’administrateur local dans l’article Configurer la configuration du compte macOS avec LAPS , puis revenez ici.
Les options disponibles sont les suivantes :
Créer un compte d’utilisateur local : sélectionnez Oui pour configurer les paramètres du compte d’utilisateur local pour les Mac ciblés. Sélectionnez Non configuré pour ignorer toutes les configurations de paramètres de compte.
Préremplir les informations sur le compte : la configuration par défaut, Non configuré, nécessite que l’utilisateur de l’appareil entre son nom d’utilisateur de compte et son nom complet dans l’Assistant Configuration. Pour préremplir les informations de compte à leur place, sélectionnez Oui. Entrez ensuite le nom du compte principal et le nom complet :
Nom d’utilisateur du compte d’utilisateur local :
- {{serialNumber}} - par exemple, F4KN99ZUG5V2
- {{partialupn}} - par exemple, John
- {{managedDeviceName}} - par exemple, F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{OnPremisesSamAccountName}} - par exemple, contoso\John
Nom complet du compte d’utilisateur local :
- {{username}} - par exemple, John@contoso.com
- {{serialNumber}} - par exemple, F4KN99ZUG5V2
- {{OnPremisesSamAccountName}} - par exemple, contoso\John
Restreindre la modification : la configuration par défaut est définie sur Oui afin que les utilisateurs de l’appareil ne puissent pas modifier le nom de compte et le nom complet configurés pour eux. Pour autoriser les utilisateurs de l’appareil à modifier le nom du compte et le nom complet, sélectionnez Non configuré. Si vous utilisez uniquement l’Assistant Configuration (hérité) pour inscrire des appareils exécutant macOS 10.15 et versions ultérieures, vous pouvez vous attendre à l’expérience utilisateur final suivante :
- Oui : l’écran de création de compte dans l’Assistant Configuration n’apparaît jamais. Au lieu de cela, le compte d’utilisateur local est automatiquement créé en fonction des autres configurations de paramètre, et le mot de passe est automatiquement rempli à partir de l’écran d’authentification Microsoft Entra. L’utilisateur de l’appareil ne peut pas modifier ces champs.
- Non configuré : l’écran du compte d’utilisateur local s’affiche à l’utilisateur final dans l’Assistant Configuration et est rempli avec les valeurs de compte configurées et le mot de passe de l’écran d’authentification Microsoft Entra. L’utilisateur de l’appareil peut modifier ces champs pendant l’Assistant Configuration.
Pour que les paramètres de compte fonctionnent comme prévu, votre stratégie d’inscription doit avoir les configurations suivantes :
- Affinité utilisateur : sélectionnez Inscrire avec l’affinité utilisateur.
- Méthode d’authentification : sélectionnez Assistant Installation avec authentification moderne ou Assistant Configuration (hérité).
- Attendre la configuration finale : sélectionnez Oui.
Les comptes locaux dépendent de la fonctionnalité de configuration finale await lors de leur création. Par conséquent, si vous configurez des paramètres de compte d’administrateur local ou d’utilisateur, ce paramètre est toujours activé. Même si vous ne touchez pas au paramètre de configuration d’attente final, il est toujours activé en arrière-plan et appliqué à la stratégie d’inscription.
Sélectionnez Suivant.
Dans la page Assistant Configuration , configurez l’expérience Assistant Configuration.
- Entrez les informations de votre service afin que les utilisateurs sachent qui contacter pour le support :
- Nom du service : ce nom s’affiche lorsque les utilisateurs de l’appareil sélectionnent À propos de la configuration lors de l’activation.
- Téléphone du service : ce numéro de téléphone s’affiche lorsque les utilisateurs de l’appareil sélectionnent Besoin d’aide lors de l’activation.
- Sélectionnez les écrans de l’Assistant Configuration que vous souhaitez afficher ou masquer pendant la configuration de l’appareil. Pour obtenir une description de tous les écrans, consultez Informations de référence sur l’écran de l’Assistant Configuration (dans cet article). Les options disponibles sont les suivantes :
- Masquer : l’écran n’apparaît pas aux utilisateurs pendant la configuration de l’appareil. Après la configuration de l’appareil, l’utilisateur peut accéder aux paramètres de son appareil pour configurer la fonctionnalité.
- Afficher : l’écran s’affiche aux utilisateurs pendant la configuration de l’appareil. L’utilisateur peut toujours ignorer les écrans qui ne nécessitent pas d’action immédiate. Après la configuration de l’appareil, l’utilisateur peut accéder aux paramètres de son appareil pour configurer la fonctionnalité.
- Entrez les informations de votre service afin que les utilisateurs sachent qui contacter pour le support :
Sélectionnez Suivant.
Passez en revue le résumé des modifications, puis sélectionnez Créer pour terminer la création de la stratégie.
Référence d’écran de l’Assistant Configuration
Le tableau suivant décrit les écrans de l’Assistant Configuration affichés lors de l’inscription automatisée des appareils pour Mac. Vous pouvez afficher ou masquer ces écrans sur les appareils pris en charge pendant l’inscription. Pour plus d’informations sur la façon dont chaque écran de l’Assistant Configuration affecte l’expérience utilisateur, consultez les ressources Apple suivantes :
- Guide de déploiement de la plateforme Apple : Gérer l’Assistant Configuration pour les appareils Apple
- Documentation pour les développeurs Apple : ShipKeys
| Écran de l’Assistant Configuration | Que se passe-t-il lorsque ceci est visible ? |
|---|---|
| Services de localisation | Affiche le volet d’installation des services de localisation, où les utilisateurs peuvent activer les services de localisation sur leur appareil. Pour macOS 10.11 et versions ultérieures. |
| Restaurer | Affiche le volet d’installation des applications et des données. Sur cet écran, les utilisateurs qui configurent des appareils peuvent restaurer ou transférer des données à partir de sauvegarde iCloud. Pour macOS 10.9-15.3. Pour macOS 15.4 et versions ultérieures, cet écran ne peut pas être masqué et l’utilisateur reçoit une alerte après l’inscription indiquant qu’il ne peut pas transférer des données à partir d’un autre appareil, car la gestion des appareils mobiles contrôle le paramètre. |
| ID Apple | Affiche le volet de configuration de l’ID Apple, qui donne aux utilisateurs la possibilité de se connecter avec leur ID Apple et d’utiliser iCloud. Pour macOS 10.9 et ultérieur. |
| Conditions générales | Affiche le volet Conditions générales d’Apple et exige que les utilisateurs les acceptent. Pour macOS 10.9 et ultérieur. |
| Touch ID et Face ID | Affiche le volet de configuration biométrique, qui donne aux utilisateurs la possibilité de configurer l’identification par empreinte digitale ou faciale sur leurs appareils. Pour macOS 10.12.4 et ultérieur. |
| Apple Pay | Affiche le volet de configuration d’Apple Pay, qui donne aux utilisateurs la possibilité de configurer Apple Pay sur leurs appareils. Pour macOS 10.12.4 et ultérieur. |
| Siri | Affiche le volet d’installation de Siri aux utilisateurs. Pour macOS 10.12 et versions ultérieures. |
| Données de diagnostic | Affiche le volet diagnostics dans lequel les utilisateurs peuvent choisir d’envoyer des données de diagnostic à Apple. Pour macOS 10.9 et ultérieur. |
| Tonalité d’affichage | Affiche le volet d’installation de la tonalité d’affichage. Cet écran offre aux utilisateurs la possibilité d’activer l’affichage de la tonalité vraie. Pour macOS 10.13.6 et versions ultérieures. |
| FileVault | Affiche l’écran de chiffrement FileVault 2 pour les utilisateurs. Pour macOS 10.10 et ultérieur. |
| Diagnostics iCloud | Affiche l’écran iCloud Analytics aux utilisateurs. Pour macOS 10.12.4 et ultérieur. |
| Registration | Affiche l’écran d’inscription aux utilisateurs. Pour macOS 10.9 et ultérieur. |
| Stockage iCloud | Affiche l’écran Documents et Bureau iCloud à l’utilisateur. Pour macOS 10.13.4 et ultérieur. |
| Apparence | Affiche le volet d’apparence dans lequel les utilisateurs peuvent sélectionner un mode d’apparence. Pour macOS 10.14 et versions ultérieures. |
| Heure de l’écran | Affiche le volet de configuration de l’heure d’écran macOS, une fonctionnalité que les utilisateurs peuvent activer pour obtenir des informations sur le temps d’écran et l’activité des applications et des sites web. Pour macOS 10.15 et versions ultérieures. |
| Confidentialité | Affiche le volet de configuration de la confidentialité à l’utilisateur. Pour macOS 10.13.4 et ultérieur. |
| Accessibilité | Affiche l’écran de configuration de l’accessibilité à l’utilisateur. Si cet écran est masqué, l’utilisateur ne peut pas utiliser la fonctionnalité de voix over macOS. La fonctionnalité Voix est pris en charge sur les appareils qui respectent les critères suivants : – Ils doivent exécuter macOS 11. – Ils doivent être connectés à Internet par Ethernet. - Avoir un numéro de série dans Apple School Manager ou Apple Business. |
| Déverrouillage automatique avec Apple Watch | Affiche le volet Déverrouillage macOS avec Apple Watch, où les utilisateurs peuvent configurer leur Apple Watch pour déverrouiller leur Mac. Pour iOS/iPadOS 12.0 et ultérieur. |
| Forme d’adresse | Affiche le volet des conditions d’adresse, qui donne aux utilisateurs la possibilité de choisir la façon dont ils souhaitent être traités dans le système : féminin, masculin ou neutre. Cette fonctionnalité Apple est disponible pour certaines langues. Pour plus d’informations, consultez Modifier les paramètres de langue & région sur Mac (ouvre le site web Apple). Pour macOS 13.0 et versions ultérieures. |
| Papier peint | Affiche le volet de configuration du papier peint MacOS Sonoma une fois que les appareils ont terminé une mise à niveau logicielle. Si vous masquez cet écran, les appareils obtiennent le papier peint macOS Sonoma par défaut. Pour macOS 14.1 et versions ultérieures. |
| Mode de verrouillage | Affiche le volet d’installation du mode de verrouillage pour les utilisateurs qui ont configuré un ID Apple. Pour macOS 14.0 et versions ultérieures. |
| Intelligence | Affiche le volet d’installation d’Apple Intelligence, où les utilisateurs peuvent configurer les fonctionnalités Apple Intelligence. Pour macOS 15.0 et versions ultérieures. |
| App Store | Affiche le volet App Store Apple. Pour macOS 11.1 et versions ultérieures. |
| Mise à jour logicielle | Affiche l’écran de mise à jour logicielle obligatoire. Pour macOS 15.4 et versions ultérieures. |
| Paramètres de confidentialité supplémentaires | Affiche le volet paramètres de confidentialité supplémentaires. Pour macOS 26.0 et versions ultérieures. |
| Démonstration du système d’exploitation | Affiche le volet de présentation du système d’exploitation. Pour macOS 26.1 et versions ultérieures. |
| Mise à jour terminée | Affiche le volet de mise à jour logicielle terminée. Pour macOS 26.1 et versions ultérieures. |
| Prise en main | Affiche le volet Prise en main. Pour macOS 15.0 et versions ultérieures. |
Affecter une stratégie d’inscription aux appareils
Affectez une stratégie d’inscription aux appareils Apple.
- Revenez à Jetons du programme d’inscription et sélectionnez un jeton.
- Sélectionnez Appareils.
- Choisissez vos appareils dans la liste, puis sélectionnez Attribuer une stratégie.
- Choisissez une stratégie à attribuer, puis sélectionnez Affecter.
Si vous le souhaitez, vous pouvez sélectionner une stratégie d’inscription par défaut. La stratégie par défaut est déployée sur tous les appareils d’inscription associés au jeton.
- Revenez à Jetons du programme d’inscription et sélectionnez un jeton.
- Sélectionnez Définir la stratégie par défaut.
- Choisissez une stratégie, puis sélectionnez Enregistrer.
Étapes suivantes
- Pour synchroniser des appareils, distribuer des appareils aux utilisateurs et gérer les jetons, consultez Gérer les jetons et les appareils ADE macOS.
- Pour renouveler ou supprimer votre jeton de programme d’inscription, consultez Configurer un jeton ADE macOS.
- Utilisez les actions d’appareil à distance dans Microsoft Intune pour gérer à distance les Mac inscrits.