Configurer l’inscription des appareils macOS dans Intune
Microsoft Intune prend en charge l’inscription sur les Mac personnels et d’entreprise. Cet article décrit les méthodes et fonctionnalités que vous pouvez utiliser pour inscrire des appareils personnels, des appareils appartenant à l’entreprise et des machines virtuelles.
Activer l’inscription dans Microsoft Intune
Effectuez d’abord ces étapes pour activer l’inscription dans un client Microsoft Intune.
- Vérifier que les appareils sont éligibles pour l’inscription d’appareils Apple
- Configurer les domaines
- Configurer l’autorité MDM
- Obtenir un certificat Push MDM Apple
- Attribuer des licences utilisateur dans le Centre d’administration Microsoft 365
- Créer des groupes
- Configurer l’application Portail d’entreprise
Inscrire des appareils
Une fois l’inscription activée, utilisez l’une des méthodes prises en charge décrites dans cette section pour inscrire les appareils d’entreprise et d’utilisateur.
Appareils macOS de l’utilisateur (BYOD)
Intune prend en charge la fonction BYOD (bring-your-own-device), qui permet aux utilisateurs d'inscrire eux-mêmes leurs appareils personnels. Pour terminer la configuration de l’inscription pour les scénarios BYOD, indiquez à vos utilisateurs sous licence d’utiliser l’une de ces options pour inscrire des appareils :
- Connectez-vous au site Web du portail de l'entreprise et suivez les instructions à l'écran pour ajouter un appareil.
- Installez l'application Company Portal pour Mac sur aka.ms/EnrollMyMac et suivez les instructions à l'écran pour ajouter un appareil.
Appareils macOS détenus par l’entreprise
Intune prend en charge les méthodes d'inscription suivantes pour les appareils macOS appartenant à l’entreprise. Sélectionnez une méthode hypertexte pour ouvrir ses étapes de configuration.
- Inscription automatisée des appareils Apple : Utilisez cette méthode pour automatiser l'inscription des appareils achetés via le gestionnaire d'entreprise Apple ou le gestionnaire d'école Apple. L'inscription automatique des appareils déploie le profil d'inscription par voie hertzienne, de sorte que vous n'avez pas besoin d'avoir un accès physique aux appareils.
- Gestionnaire d'inscription des appareils (DEM) : utilisez cette méthode pour les déploiements à grande échelle et lorsque plusieurs personnes dans votre organisation peuvent aider à la configuration de l'inscription. Une personne disposant d’autorisations de gestionnaire d’inscription d’appareil (DEM) peut inscrire jusqu’à 1 000 appareils avec un seul compte Microsoft Entra. Cette méthode utilise l'application Company Portal ou l'application Microsoft Intune pour inscrire les appareils. Vous ne pouvez pas utiliser un compte DEM pour inscrire des appareils via l'inscription automatique des appareils.
- Inscription directe : L'inscription directe inscrit les dispositifs sans affinité avec l'utilisateur, cette méthode est donc la meilleure pour les dispositifs qui ne sont pas associés à un seul utilisateur. Cette méthode exige que vous ayez un accès physique aux Macs que vous inscrivez.
Jetons d’amorçage
Intune prend en charge l'utilisation de jetons d'amorçage sur les Mac inscrits exécutant macOS 10.15 ou une version ultérieure. Les jetons d'amorçage accordent le statut de propriétaire de volume aux comptes d'utilisateurs locaux et d'invités, de sorte que les utilisateurs non administrateurs peuvent approuver des opérations importantes qu'un administrateur devrait autrement effectuer. Des opérations telles que :
Mises à jour logicielles à l'initiative de l'utilisateur
Installation de l'extension du noyau sur le silicium d'Apple
Vous pouvez utiliser les jetons d'amorçage sur les Macs supervisés et les Macs inscrits via l'inscription automatique des appareils macOS.
Obtenir un jeton d'amorçage
Le jeton d'amorçage est automatiquement généré lorsque :
- Un Mac nouvellement inscrit s'enregistre dans Intune et
- Un utilisateur disposant d'un jeton sécurisé (généralement un administrateur Intune) se connecte au Mac avec son mot de passe en clair.
Le jeton est ensuite automatiquement déposé auprès de Microsoft Intune. Vous pouvez utiliser un outil de ligne de commande pour afficher, générer et séquestrer manuellement un jeton d'amorçage sur les appareils macOS pris en charge, si nécessaire. Pour en savoir plus sur la commande, consultez la rubrique Utiliser les jetons sécurisés, les jetons dʼamorçage, et la propriété de volume pour les déploiements sur Apple Support.
Surveiller l’état d’entiercement de l’amorçage
Vous pouvez surveiller l’état d’entiercement pour tout Mac inscrit dans le Centre d’administration. La propriété matérielle Entiercement du jeton d’amorçage indique si le jeton d’amorçage a été entiercé ou non dans Intune. Intune signale Oui lorsque le jeton a été correctement entiercé et Non lorsque le jeton n’a pas été entiercé.
- Connectez-vous au Centre d’administration Microsoft Intune.
- Accédez à Appareils>par plateforme>macOS.
- Sélectionnez un appareil dans votre liste d’appareils macOS.
- Sélectionnez Matériel.
- Dans les détails du matériel, faites défiler jusqu’à Accès conditionnel>Jeton d’amorçage entiercé.
Gérer les extensions du noyau et les mises à jour des logiciels
Importante
Les extensions de noyau ne sont plus recommandées pour macOS. Apple recommande d’utiliser des extensions système lorsque cela est possible. Pour plus d’informations, consultez le Guide de sécurité de la plateforme Apple - Extension sécurisée du noyau dans macOS sur le support Apple.
Un jeton d'amorçage peut être utilisé pour approuver l'installation des extensions du noyau et des mises à jour logicielles sur un Mac doté du silicium d'Apple.
Les mises à jour logicielles initiées par l’utilisateur peuvent être effectuées avec un jeton bootstrap sur les Mac qui exécutent macOS, version 11.1 et qui sont inscrits via l’inscription automatisée des appareils. Pour autoriser les mises à jour logicielles initiées par l’utilisateur sur un appareil qui n'est pas inscrit via l'inscription automatisée des appareils, vous devez redémarrer le Mac en mode récupération et rétrograder ses paramètres de sécurité. Vous pouvez également utiliser le jeton bootstrap pour les mises à jour logicielles sur Mac exécutant macOS 11.2 et version ultérieure, la seule condition étant que l’appareil doit être supervisé.
La gestion de l'extension du noyau est automatiquement disponible sur les Mac exécutant macOS 11 ou une version ultérieure et inscrits via l'inscription automatique des appareils. Pour autoriser la gestion à distance des extensions du noyau sur un appareil qui n'est pas inscrit via l'inscription automatique des appareils, vous devez redémarrer le Mac en mode récupération et rétrograder ses paramètres de sécurité. Pour plus d'informations, consultez la rubrique modifier les paramètres de sécurité sur le disque de démarrage d'un Mac avec silicium Apple sur l'assistance Apple.
Bloquer l’inscription macOS
Par défaut, Intune permet aux appareils macOS de s’inscrire. Pour empêcher l’inscription des appareils macOS, consultez Définir une restriction de plateforme d’appareils.
Inscrire des machines virtuelles macOS à des fins de test
Remarque
Intune prend en charge les machines macOS virtuelles à des fins de test uniquement. N’utilisez pas de machines virtuelles comme appareils officiels pour les employés ou les étudiants.
Intune prend en charge les machines virtuelles exécutant :
- Parallels Desktop
- VMware Fusion
- Silicium d'Apple
Intune doit connaître le modèle matériel et le numéro de série de la VM pour la reconnaître et l'inscrire comme appareil. Si vous essayez d'inscrire une VM sans fournir ces détails, l'inscription échoue. Cette section fournit des informations supplémentaires sur la manière de satisfaire à cette exigence avant l'inscription.
Parallels Desktop
Modifier les paramètres de configuration de la VM pour ajouter ou modifier un numéro de série de la VM et un identifiant de modèle matériel. Entrez une chaîne de caractères alphanumériques pour le numéro de série. Pour le modèle de matériel, nous recommandons d'utiliser le modèle de l'appareil qui exécute la VM. Pour trouver le modèle de matériel de votre Mac, sélectionnez le menu pomme et allez dans À propos de ce >système de rapport> de Mac identificateur de modèle.
Pour en savoir plus, consultez les rubriques suivantes dans la base de connaissances de Parallels :
- Comment inscrire une VM macOS dans Parallels Desktop à l'aide d' Intune ?
- Comment trouver et modifier le numéro de série
VMware Fusion
Ajoutez les lignes suivantes à votre fichier .vmx pour définir le modèle matériel et le numéro de série de la VM. Les valeurs indiquées dans cet exemple sont des exemples.
serialNumber = "ABC123456789"
hw.model = "MacBookAir10,1"
Entrez une chaîne de caractères alphanumériques pour le numéro de série. Pour le modèle de matériel, nous recommandons d'utiliser le modèle de l'appareil qui exécute la VM. Pour trouver le modèle de matériel de votre Mac, sélectionnez le menu pomme et allez dans À propos de ce >système de rapport> de Mac identificateur de modèle.
VMware Fusion est pris en charge uniquement sur les Mac Intel. Consultez le site Web de la connexion client VMware pour plus d'informations sur la modification du fichier .vmx de votre VM VMware Fusion.
Silicium d'Apple
Aucune modification n’est requise pour les machines virtuelles s’exécutant sur du matériel Apple Silicon. Parallels Desktop est pris en charge sur les Mac avec Apple Silicon. Par conséquent, si vous configurez une machine virtuelle de cette façon, vous n’avez pas besoin de modifier l’ID ou le numéro de série du modèle matériel.
Inscription approuvée par l’utilisateur
Toutes les inscriptions Mac dans Intune sont considérées comme approuvées par l’utilisateur. L’inscription approuvée par l’utilisateur vous permet de gérer les appareils macOS qui ne font pas partie d’Apple School Manager ou d’Apple Business Manager. Il offre le même niveau de contrôle que les appareils macOS supervisés inscrits à l’aide de l’Inscription automatisée des appareils ou d’Apple Configurator.
Intune active automatiquement la surveillance des appareils approuvés par l’utilisateur exécutant macOS 11 et version ultérieure. Il le fait également pour les appareils inscrits qui sont mis à jour ultérieurement vers macOS 11 ou version ultérieure.
Remarque
Intune a annoncé la prise en charge de l’inscription approuvée par l’utilisateur en juin 2020. Les inscriptions BYOD qui se sont produites avant cette période peuvent ne pas être approuvées par l’utilisateur. Pour plus d’informations sur l’approbation par l’utilisateur des appareils Apple, consultez Inscription MDM approuvée par l’utilisateur sur le site web du support Apple.
Expérience utilisateur
L’utilisateur de l’appareil se connecte à l’application Portail d'entreprise pour lancer l’inscription. Portail d'entreprise ouvre ensuite les préférences système de l’appareil et invite l’utilisateur à installer le profil de gestion. Portail d'entreprise fournit des instructions dans l’application pour permettre aux utilisateurs de trouver le profil. Les utilisateurs accèdent à Préférences système>Profils pour approuver l’installation du profil de gestion. Les utilisateurs d’appareils qui ne fournissent pas d’approbation lors de l’inscription peuvent revenir aux préférences système ultérieurement pour donner leur accord.
Découvrir si l’appareil est approuvé par l’utilisateur
- Dans le centre d’administration, sélectionnez Appareils>Tous les appareils.
- Choisissez un appareil macOS.
- Dans le menu latéral, sélectionnez Matériel.
- Vérifiez la valeur à côté d’Inscription approuvée par l’utilisateur.
Sauvegarder et restaurer avec l’Assistant Migration Apple
Utilisez l’Assistant Migration Apple pour sauvegarder et restaurer un appareil macOS. Vous pouvez utiliser l’outil pour sauvegarder un Mac et restaurer ses données d’application sur un nouvel appareil. Il est important de savoir :
- Le profil de gestion sur le Mac d’origine n’est pas sauvegardé. Un nouveau profil de gestion est envoyé à l’appareil lors de la réinscription du nouveau Mac. Cela se produit sur les Mac qui passent par l’inscription automatique des appareils Apple et les Mac qui ne passent pas par l’inscription automatique des appareils.
- Les informations d’identification de l’application Portail d’entreprise peuvent être restaurées sur le nouveau Mac après avoir passé par l’Assistant Migration et s’est inscrit. Si cela se produit, nous vous recommandons, ou l’utilisateur de l’appareil, d’effectuer les étapes suivantes pour effacer les données d’application :
- Déconnectez-vous de l’application Portail d’entreprise.
- Connectez-vous au site web de l’application ou du portail d’entreprise.
Prochaines étapes
Pour la documentation d'aide à l'utilisateur, qui fournit des instructions d'inscription étape par étape pour les utilisateurs d'appareils, voir Inscrire votre appareil macOS dans Intune. Vous pouvez également créer vos propres instructions si vous préférez capturer l'expérience d'inscription personnalisée ou de marque de votre organisation.
Une fois les appareils macOS inscrits, vous pouvez créer des paramètres personnalisés pour les appareils macOS.