AccueilAppleInscrire des périphériques iOS – Programme d'inscription de périphériques – Microsoft Intune
Apple

Inscrire des périphériques iOS – Programme d'inscription de périphériques – Microsoft Intune

Par Maximus , le 15 juillet 2019 - 18 minutes de lecture

  • 14 minutes pour lire

  •

<! – ->

Vous pouvez configurer Intune pour inscrire les périphériques iOS achetés via le programme d'inscription de périphériques (DEP) d'Apple. DEP vous permet d'inscrire un grand nombre d'appareils sans jamais les toucher. Des appareils tels que les iPhones et les iPad peuvent être livrés directement aux utilisateurs. Lorsque l'utilisateur allume le périphérique, l'assistant de configuration s'exécute avec des paramètres préconfigurés et le périphérique s'inscrit dans la gestion.

Pour activer l'inscription DEP, vous utilisez les portails DEP Intune et Apple. Une liste de numéros de série ou un numéro de commande est nécessaire pour que vous puissiez affecter des périphériques à Intune pour la gestion. Vous créez des profils d'inscription DEP contenant les paramètres appliqués aux périphériques lors de l'inscription.

En passant, l'inscription DEP ne fonctionne pas avec le gestionnaire d'inscription de périphérique.

DEP et le portail d'entreprise

Les inscriptions DEP ne sont pas compatibles avec la version App Store de l'application Portail d'entreprise. Si vous souhaitez que les utilisateurs aient accès à l'application du portail d'entreprise sur un appareil DEP, vous devez pousser l'application sur l'appareil en utilisant la touche Installer le portail d'entreprise avec VPP option dans le profil DEP. Pour plus d'informations, voir Inscrire automatiquement des périphériques iOS avec le programme d'inscription de périphériques d'Apple.

Vous pouvez installer l'application Portail d'entreprise sur des appareils déjà inscrits à DEP. Pour ce faire, vous devez déployer l'application de portail d'entreprise via Intune avec une stratégie de configuration d'application appliquée.

Qu'est-ce que le mode supervisé?

Apple a introduit le mode supervisé dans iOS 5. Un appareil iOS en mode supervisé peut être géré avec davantage de contrôles. En tant que tel, il est particulièrement utile pour les appareils appartenant à l'entreprise. Intune prend en charge la configuration de périphériques pour le mode supervisé dans le cadre du programme DEP (Apple Device Enrollment Program).

La prise en charge des périphériques DEP non supervisés était obsolète dans iOS 11. Dans iOS 11 et les versions ultérieures, les périphériques configurés DEP doivent toujours être supervisés. L'indicateur DEP is_supervised sera ignoré dans une future version iOS.

Conditions préalables

Obtenir un jeton Apple DEP

Avant de pouvoir inscrire des périphériques iOS avec DEP, vous devez disposer d'un fichier de jeton DEP (.p7m) d'Apple. Ce jeton permet aux informations de synchronisation d'Intune sur les périphériques DEP que votre société possède. Cela permet également à Intune de télécharger des profils d’inscription sur Apple et d’affecter des périphériques à ces profils.

Vous utilisez le portail Apple DEP pour créer un jeton DEP. Vous utilisez également le portail DEP pour affecter des périphériques à Intune pour la gestion.

Remarque

Si vous supprimez le jeton du portail Intune Classic avant de migrer vers Azure, Intune peut restaurer un jeton Apple DEP supprimé. Vous pouvez à nouveau supprimer le jeton DEP du portail Azure.

Étape 1. Téléchargez le certificat de clé publique Intune requis pour créer le jeton.

  1. Dans Intune dans le portail Azure, choisissez Inscription de l'appareil > Inscription Apple > Jetons de programme d'inscription > Ajouter.

    Obtenez un jeton de programme d'inscription.

  2. Autorisez Microsoft à envoyer des informations sur les utilisateurs et les périphériques à Apple en sélectionnant je suis d'accord.

    Capture d'écran du volet Jeton de programme d'inscription dans l'espace de travail Certificats Apple pour télécharger la clé publique.

  3. Choisir Téléchargez votre clé publique pour télécharger et enregistrer le fichier de clé de cryptage (.pem) localement. Le fichier .pem est utilisé pour demander un certificat de relation de confiance au portail du programme Apple Device Enrollment Program.

Étape 2. Utilisez votre clé pour télécharger un jeton d’Apple.

  1. Choisir Créer un jeton pour le programme d'inscription de périphériques d'Apple pour ouvrir le portail du programme de déploiement d’Apple, et connectez-vous avec votre identifiant Apple. Vous pouvez utiliser cet identifiant Apple pour renouveler votre jeton DEP.

  2. Dans le portail des programmes de déploiement d’Apple, choisissez Commencer pour Programme d'inscription des appareils.

  3. Sur le Gérer les serveurs page, choisissez Ajouter un serveur MDM.

  4. Entrer le Nom du serveur MDM, puis choisissez Suivant. Le nom du serveur sert de référence pour identifier le serveur MDM (Mobile Device Management). Ce n'est pas le nom ou l'URL du serveur Microsoft Intune.

  5. le Ajouter La boîte de dialogue s'ouvre et indique Téléchargez votre clé publique. Sélectionner Choisir le fichier… pour télécharger le fichier .pem, puis choisissez Suivant.

  6. Aller à Programmes de déploiement > Programme d'inscription des appareils > Gérer les appareils.

  7. Sous Choisir les appareils par, spécifiez comment les périphériques sont identifiés:

    • Numéro de série
    • Numéro de commande
    • Télécharger un fichier CSV.

    Capture d'écran de la spécification des périphériques choisis par numéro de série, définissant l'action choisie comme Affecter au serveur et en sélectionnant le nom du serveur.

  8. Pour Choisir une actionchoisir Attribuer au serveur, choisir la spécifié pour Microsoft Intune, puis choisissez D'accord. Le portail Apple attribue les périphériques spécifiés au serveur Intune pour la gestion, puis affiche Cession terminée.

    Dans le portail Apple, accédez à Programmes de déploiement > Programme d'inscription des appareils > Afficher l'historique des affectations pour voir une liste de périphériques et leur affectation au serveur MDM.

Étape 3. Enregistrez l'ID Apple utilisé pour créer ce jeton.

Dans Intune dans le portail Azure, fournissez l'identifiant Apple pour référence ultérieure.

Capture d'écran de la spécification de l'identifiant Apple utilisé pour créer le jeton du programme d'inscription et accéder au jeton du programme d'inscription.

Étape 4. Téléchargez votre jeton et choisissez les balises scope.

  1. dans le Jeton Apple zone, accédez au fichier de certificat (.pem), choisissez Ouvrir.
  2. Si vous souhaitez appliquer des balises d'étendue à ce jeton DEP, choisissez Portée (tags)et sélectionnez les balises d'étendue souhaitées. Les balises d'étendue appliquées à un jeton seront héritées par les profils et les périphériques ajoutés à ce jeton.
  3. Choisir Créer.

Avec le certificat push, Intune peut inscrire et gérer les périphériques iOS en transmettant la stratégie aux périphériques mobiles inscrits. Intune se synchronise automatiquement avec Apple pour voir votre compte de programme d'inscription.

Créer un profil d'inscription Apple

Maintenant que vous avez installé votre token, vous pouvez créer un profil d'inscription pour les appareils DEP. Un profil d'inscription de périphérique définit les paramètres appliqués à un groupe de périphériques lors de l'inscription.

Remarque

Les périphériques seront bloqués s'il n'y a pas suffisamment de licences du portail d'entreprise pour un jeton VPP ou si le jeton a expiré. Intune affichera une alerte lorsqu'un jeton arrive à expiration ou que les licences sont faibles.

  1. Dans Intune dans le portail Azure, choisissez Inscription de l'appareil > Inscription Apple > Jetons de programme d'inscription.

  2. Sélectionnez un jeton, choisissez Profils, puis choisissez Créer un profil.

    Créez une capture d'écran de profil.

  3. Sous Créer un profil, entrez un prénom et La description pour le profil à des fins administratives. Les utilisateurs ne voient pas ces détails. Vous pouvez utiliser ceci prénom champ pour créer un groupe dynamique dans Azure Active Directory. Utilisez le nom de profil pour définir le paramètre inscriptionmentProfileName afin d'affecter des périphériques avec ce profil d'inscription. En savoir plus sur les groupes dynamiques Azure Active Directory.

    Nom du profil et description.

  4. Pour Affinité utilisateur, choisissez si les appareils avec ce profil doivent s’inscrire avec ou sans utilisateur attribué.

    • S'inscrire avec l'affinité de l'utilisateur – Choisissez cette option pour les appareils appartenant à des utilisateurs et souhaitant utiliser le portail d'entreprise pour des services tels que l'installation d'applications. Si vous utilisez ADFS et que le profil d’inscription a Authentifier avec le portail d'entreprise au lieu de l'assistant de configuration mis à NonNom d'utilisateur / terminal mixte WS-Trust 1.3 En savoir plus est requis.

    • S'inscrire sans affinité utilisateur – Choisissez cette option pour un périphérique non affilié à un seul utilisateur. Utilisez cette option pour les périphériques exécutant des tâches sans accéder aux données utilisateur locales. Des applications telles que l'application Portail d'entreprise ne fonctionnent pas.

  5. Si vous avez choisi S'inscrire avec l'affinité de l'utilisateur, vous pouvez laisser les utilisateurs s’authentifier avec le portail de la société au lieu de l’Assistant réglages Apple.

    Authentifiez-vous avec le portail de l'entreprise.

    Remarque

    Si vous souhaitez effectuer l’une des opérations suivantes, définissez Authentification avec le portail d'entreprise au lieu de l'assistant de configuration Apple à Oui.

    • utiliser l'authentification multifactorielle
    • invite les utilisateurs qui doivent changer leur mot de passe lors de leur première connexion
    • invite les utilisateurs à réinitialiser leurs mots de passe expirés lors de l'inscription

    Celles-ci ne sont pas prises en charge lors de l'authentification avec l'assistant d'installation Apple.

  6. Si vous avez choisi Oui pour Authentification avec le portail d'entreprise au lieu de l'assistant de configuration Apple, vous pouvez utiliser un jeton VPP (Volume Purchase Program) pour installer automatiquement le portail d'entreprise sur le périphérique. Dans ce cas, l'utilisateur n'est pas obligé de fournir un identifiant Apple. Pour installer le portail d'entreprise avec un jeton VPP, choisissez un jeton sous Installer le portail d'entreprise avec VPP. Ne configurez pas une stratégie pour exiger l'application pour les utilisateurs. Intune installera automatiquement le portail d'entreprise sur les appareils auxquels ce profil d'inscription est appliqué. Assurez-vous que le jeton n'a pas expiré et que vous disposez de suffisamment de licences de périphérique pour l'application Portail d'entreprise. Si le jeton expire ou manque de licences, Intune installe à la place le portail d'entreprise App Store et demande un identifiant Apple.

    Remarque

    Quand Authentification avec le portail d'entreprise au lieu de l'assistant de configuration Apple est réglé sur Oui, assurez-vous que le processus d’inscription de l’appareil est exécuté dans les 24 heures qui suivent le téléchargement du portail de la société sur l’appareil DEP. Sinon, l'inscription pourrait échouer et une réinitialisation d'usine sera nécessaire pour inscrire le périphérique.

    Capture d'écran de l'installation du portail d'entreprise avec VPP.

  7. Si vous avez choisi Non pour Authentification avec le portail d'entreprise au lieu de l'assistant de configuration AppleSi vous souhaitez également utiliser l'accès conditionnel ou déployer des applications de la société sur les appareils, vous devez installer le portail d'entreprise sur les appareils. Pour ce faire, choisissez Oui pour Installer le portail de l'entreprise. Si vous souhaitez que les utilisateurs reçoivent le portail de l'entreprise sans s'authentifier sur l'App Store, choisissez Installer le portail d'entreprise avec VPP et sélectionnez un jeton VPP. Assurez-vous que le jeton n'a pas expiré et que vous disposez de suffisamment de licences de périphérique pour que l'application de portail d'entreprise se déploie correctement.

  8. Si vous avez choisi un jeton pour Installer le portail d'entreprise avec VPP, vous pouvez verrouiller l’appareil en mode App unique (en particulier l’application Portail d'entreprise) immédiatement après la fin de l’Assistant de configuration. Choisir Oui pour Exécuter le portail d'entreprise en mode Single App jusqu'à l'authentification pour définir cette option. Pour utiliser le périphérique, l'utilisateur doit d'abord s'authentifier en se connectant à l'aide du portail d'entreprise.
    Cette fonctionnalité est uniquement prise en charge pour iOS 11.3.1 et versions ultérieures.

    Capture d'écran du mode d'application unique.

  9. Choisir Paramètres de gestion des périphériques et choisissez si vous souhaitez que les appareils utilisant ce profil soient supervisés.

    Capture d'écran des paramètres de gestion du périphérique.

    Supervisé Les appareils vous offrent davantage d’options de gestion et le verrouillage d’activation désactivé par défaut. Microsoft recommande d'utiliser DEP comme mécanisme d'activation du mode supervisé, en particulier si vous déployez un grand nombre de périphériques iOS.

    Les utilisateurs sont informés que leurs appareils sont supervisés de deux manières:

    • L'écran de verrouillage indique: "Cet iPhone est géré par Contoso."

    • le Réglages > Général > Sur L'écran affiche: "Cet iPhone est supervisé. Contoso peut surveiller votre trafic Internet et localiser ce périphérique."

      Remarque

      Un appareil inscrit sans surveillance ne peut être réinitialisé en surveillance à l'aide du configurateur Apple. Réinitialiser le périphérique de cette manière nécessite de connecter un périphérique iOS à un Mac avec un câble USB. En savoir plus à ce sujet sur la documentation Apple Configurator.

  10. Choisissez si vous souhaitez une inscription verrouillée pour les appareils utilisant ce profil. Inscription verrouillée désactive les paramètres iOS qui permettent de supprimer le profil de gestion de la Réglages menu. Après l'inscription de l'appareil, vous ne pouvez pas modifier ce paramètre sans essuyer l'appareil. De tels dispositifs doivent avoir la Supervisé Mode de gestion défini sur Oui.

  11. Choisissez si vous voulez que les appareils utilisant ce profil puissent Synchroniser avec des ordinateurs. Si tu choisis Autoriser Apple Configurator par certificat, vous devez choisir un certificat sous Certificats Apple Configurator.

  12. Si vous avez choisi Autoriser Apple Configurator par certificat à l'étape précédente, choisissez un certificat Apple Configurator à importer.

  13. Vous pouvez spécifier un format de dénomination pour les périphériques qui sera automatiquement appliqué lors de leur inscription et à chaque enregistrement successif. Pour créer un modèle de nommage, sélectionnez Oui sous Appliquer le modèle de nom de périphérique. Ensuite, dans le Modèle de nom de périphérique zone, entrez le modèle à utiliser pour les noms utilisant ce profil. Vous pouvez spécifier un format de modèle incluant le type de périphérique et le numéro de série.

  14. Choisir D'accord.

  15. Choisir Personnalisation de l'assistant d'installation configurer les paramètres de profil suivants:
    Personnalisation de l'assistant d'installation.

    Paramètres du département La description
    Nom du département Apparaît lorsque les utilisateurs tapent A propos de la configuration lors de l'activation.
    Téléphone du département Apparaît lorsque l'utilisateur clique sur le Besoin d'aide pour bouton pendant l'activation.

Vous pouvez choisir de masquer les écrans de l'Assistant d'installation sur le périphérique lors de la configuration de l'utilisateur.

  • Si tu choisis Cacher, l’écran ne sera pas affiché lors de la configuration. Une fois l’appareil configuré, l’utilisateur peut toujours accéder au Réglages menu pour configurer la fonction.

  • Si tu choisis Spectacle, l'écran sera affiché lors de la configuration. L'utilisateur peut parfois sauter l'écran sans prendre des mesures. Mais ils peuvent ensuite aller plus tard dans l'appareil Réglages menu pour configurer la fonction.

    Paramètres de l'écran de l'assistant d'installation Si tu choisis Spectacle, lors de l'installation, l'appareil va …
    Code d'authentification Demander à l'utilisateur un mot de passe. Exigez toujours un code d'authentification pour les appareils non sécurisés, à moins que l'accès ne soit contrôlé d'une autre manière (comme le mode kiosque qui limite l'appareil à une seule application).
    Services de location Demander à l'utilisateur de se localiser.
    Restaurer Afficher le Applications et données écran. Cet écran offre à l'utilisateur la possibilité de restaurer ou de transférer des données à partir d'iCloud Backup lors de la configuration du périphérique.
    iCloud et identifiant Apple Donnez à l'utilisateur les options pour vous connecter avec son identifiant Apple et utilise iCloud.
    Termes et conditions Exiger de l'utilisateur qu'il accepte les termes et conditions d'Apple.
    Touch ID Donnez à l'utilisateur la possibilité de configurer l'identification d'empreinte digitale pour le périphérique.
    Apple Pay Donnez à l'utilisateur la possibilité de configurer Apple Pay sur l'appareil.
    Zoom Donner à l'utilisateur l'option de zoomer sur l'écran lors de la configuration du périphérique.
    Siri Donnez à l'utilisateur la possibilité de configurer Siri.
    Données de diagnostic Afficher le Diagnostics écran à l'utilisateur. Cet écran offre à l'utilisateur la possibilité d'envoyer des données de diagnostic à Apple.
    Tonalité d'affichage Donnez à l'utilisateur la possibilité d'activer la tonalité d'affichage.
    Intimité Afficher l'écran de confidentialité à l'utilisateur.
    Migration Android Donnez à l'utilisateur la possibilité de migrer la date à partir d'un appareil Android.
    iMessage et FaceTime Donnez à l'utilisateur la possibilité de configurer iMessage et FaceTime.
    À bord Affichez des écrans d’information intégrés pour la formation des utilisateurs, tels que Page de garde et Centre multitâche et de contrôle.
    Regarder la migration Donnez à l'utilisateur la possibilité de migrer les données d'un appareil surveillé.
    Temps d'écran Affiche l'écran de temps d'écran.
    Mise à jour logicielle Affiche l'écran de mise à jour logicielle obligatoire.
    Configuration de la carte SIM Donnez à l'utilisateur la possibilité d'ajouter un plan cellulaire.

  1. Choisir D'accord.

  2. Pour enregistrer le profil, choisissez Créer.

Synchroniser les appareils gérés

Maintenant qu'Intune est autorisé à gérer vos périphériques, vous pouvez synchroniser Intune avec Apple pour afficher vos périphériques gérés dans Intune dans le portail Azure.

  1. Dans Intune dans le portail Azure, choisissez Inscription de l'appareil > Inscription Apple > Jetons de programme d'inscription > choisissez un jeton dans la liste> Dispositifs > Sync.
    Capture d'écran du nœud Périphériques du programme d'inscription et lien de synchronisation.

    Pour suivre les conditions d’Apple concernant le trafic de programmes d’inscription acceptables, Intune impose les restrictions suivantes:

    • Une synchronisation complète ne peut pas s'exécuter plus d'une fois tous les sept jours. Au cours d'une synchronisation complète, Intune récupère la liste complète et mise à jour des numéros de série attribués au serveur Apple MDM connecté à Intune. Si un périphérique DEP est supprimé du portail Intune, il doit être désaffecté du serveur Apple MDM du portail DEP. S'il n'est pas attribué, il ne sera pas réimporté dans Intune tant que la synchronisation complète n'aura pas été exécutée.
    • Une synchronisation est exécutée automatiquement toutes les 24 heures. Vous pouvez également synchroniser en cliquant sur le bouton Sync bouton (pas plus d'une fois toutes les 15 minutes). Toutes les demandes de synchronisation ont 15 minutes pour terminer. le Sync Le bouton est désactivé jusqu'à ce qu'une synchronisation soit terminée. Cette synchronisation actualisera l'état des périphériques existants et importera les nouveaux périphériques affectés au serveur Apple MDM.

Attribuer un profil d'inscription aux appareils

Vous devez attribuer un profil de programme d'inscription aux appareils avant qu'ils ne puissent s'inscrire.

Remarque

Vous pouvez également attribuer des numéros de série aux profils à partir de Numéros de série Apple lame.

  1. Dans Intune dans le portail Azure, choisissez Inscription de l'appareil > Inscription Apple > Jetons de programme d'inscription > choisissez un jeton dans la liste.
  2. Choisir Dispositifs > choisir les appareils dans la liste> Attribuer un profil.
  3. Sous Attribuer un profil, choisissez un profil pour les appareils> Attribuer.

Attribuer un profil par défaut

Vous pouvez choisir un profil par défaut à appliquer à tous les périphériques qui s'inscrivent avec un jeton spécifique.

  1. Dans Intune dans le portail Azure, choisissez Inscription de l'appareil > Inscription Apple > Jetons de programme d'inscription > choisissez un jeton dans la liste.
  2. Choisir Définir le profil par défaut, choisissez un profil dans la liste déroulante, puis choisissez sauvegarder. Ce profil sera appliqué à tous les appareils qui s'inscrivent avec le jeton.

Distribuer des appareils

Vous avez activé la gestion et la synchronisation entre Apple et Intune et attribué un profil permettant à vos périphériques DEP de s'inscrire. Vous pouvez maintenant distribuer des appareils aux utilisateurs. Les appareils avec affinité utilisateur exigent que chaque utilisateur se voit attribuer une licence Intune. Les périphériques sans affinité utilisateur nécessitent une licence de périphérique. Un appareil activé ne peut pas appliquer de profil d'inscription tant qu'il n'a pas été essuyé.

Voir Inscrire votre appareil iOS dans Intune avec le programme d'inscription d'appareil.

Renouveler un jeton DEP

  1. Allez sur deploy.apple.com.

  2. Sous Gérer les serveurs, choisissez votre serveur MDM associé au fichier de jeton que vous souhaitez renouveler.

  3. Choisir Générer un nouveau jeton.

    Capture d'écran de générer un nouveau jeton.

  4. Choisir Votre jeton serveur.

  5. Dans Intune dans le portail Azure, choisissez Inscription de l'appareil > Inscription Apple > Jetons de programme d'inscription > choisissez le jeton.
    Capture d'écran des jetons du programme d'inscription.

  6. Choisir Renouveler le jeton et entrez l'ID Apple utilisé pour créer le jeton d'origine.
    Capture d'écran de générer un nouveau jeton.

  7. Téléchargez le jeton récemment téléchargé.

  8. Choisir Renouveler le jeton. Vous verrez la confirmation que le jeton a été renouvelé.
    Capture d'écran de la confirmation.

<! – ->

Click to rate this post!
[Total: 0 Average: 0]

Maximus

Voir les publications de l'auteur