Partager via


Guide d’inscription : Inscrire des appareils iOS et iPadOS dans Microsoft Intune

Vous pouvez inscrire vos appareils personnels et ceux appartenant à l’organisation dans Intune. Une fois inscrits, ils reçoivent les stratégies et les profils que vous créez. Vous disposez des options suivantes lors de l’inscription d’appareils iOS/iPadOS :

Cet article fournit des recommandations d’inscription et inclut une vue d’ensemble des tâches de l’administrateur et de l’utilisateur pour chaque option iOS/iPadOS.

Il existe également un guide visuel des différentes options d’inscription pour chaque plateforme :

Représentation visuelle des options d’inscription Intune par plateforme
Télécharger la version au format PDF | Télécharger la version de Visio

Conseil

Ce guide est constamment mis à jour. Veillez donc à ajouter des conseils ou à mettre à jour ceux que vous avez trouvé utiles.

Avant de commencer

Pour connaître tous les prérequis et configurations spécifiques à Intune nécessaires pour préparer votre locataire à l’inscription, consultez Guide d’inscription : Inscription à Microsoft Intune.

Inscription automatisée des appareils (ADE) (supervisée)

Avant, cette option s’appelait « Programme d’inscription des appareils Apple » (DEP). Utilisez-la sur les appareils appartenant à votre organisation. Cette option configure les paramètres à l’aide d’Apple Business Manager (ABM) ou d’Apple School Manager (ASM). Elle vous permet d’inscrire un grand nombre d’appareils sans jamais les toucher. Ces appareils vendus par Apple sont préconfigurés avec vos paramètres et peuvent être expédiés directement aux utilisateurs ou aux établissements scolaires. Vous créez un profil d’inscription dans le Centre d’administration Intune et envoyez ce profil aux appareils.

Pour plus d’informations sur ce type d’inscription, accédez à :


Fonctionnalité Utiliser cette option d’inscription quand
Vous souhaitez utiliser le mode supervisé.

Le mode supervisé déploie des mises à jour logicielles, restreint des fonctionnalités, autorise et bloque des applications, etc.
Les appareils appartiennent à l’organisation ou à l’établissement scolaire.
Vous avez de nouveaux appareils.
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc).
Les appareils sont associés à un seul utilisateur.
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés.
Les appareils sont personnels ou BYOD.

Non recommandé. Les applications sur les appareils BYOD ou personnels peuvent être gérées à l’aide de gam (ouvre un autre article Microsoft) ou de l’inscription des utilisateurs et des appareils (dans cet article).
Vous avez des appareils existants.

Les appareils existants doivent être inscrits en utilisant Apple Configurator.
Les appareils sont gérés par un autre fournisseur MDM.

Pour être complètement gérés par Intune, les utilisateurs doivent se désinscrire du fournisseur MDM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser la gestion des applications mobiles pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, nous vous recommandons de les inscrire dans Intune.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).

Le compte DEM n’est pas pris en charge.

Tâches de l’administrateur pour ADE

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour plus d’informations, accédez à Inscription à Apple Business Manager ou Inscription à Apple School Manager.

  • Vérifiez que vos appareils sont pris en charge.

  • Vous devez avoir accès au portail Apple Business Manager (ABM) ou au portail Apple School Manager (ASM).

  • Vérifiez que le jeton Apple (.p7m) est actif. Pour plus d’informations, consultez Obtenir un jeton Apple ADE.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Décidez comment les utilisateurs vont s’authentifier sur leurs appareils : l’application Portail d’entreprise, l’Assistant Configuration (hérité) ou l’Assistant Configuration avec authentification moderne. Prenez cette décision avant de créer le profil d’inscription. L’utilisation de l’application Portail d’entreprise ou de l’Assistant Configuration avec authentification moderne est considérée comme une authentification moderne.

    • Sélectionnez l’application Portail d’entreprise dans les cas suivants :

      • Vous souhaitez réinitialiser l’appareil.
      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans l’ID Microsoft Entra. Lorsqu’ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec l’ID Microsoft Entra, comme l’accès conditionnel.
      • Vous voulez installer automatiquement l’application Portail d’entreprise lors de l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
      • Vous voulez verrouiller l’appareil jusqu’à ce que l’application Portail d’entreprise soit installée. Une fois l’installation terminée, les utilisateurs se connectent à l’application Portail d’entreprise avec leur compte Microsoft Entra de leur organisation. L’appareil est ensuite déverrouillé et les utilisateurs peuvent l’utiliser.
    • Sélectionnez l’Assistant Configuration (hérité) dans les cas suivants :

      • Vous souhaitez réinitialiser l’appareil.

      • Vous ne souhaitez pas utiliser les fonctionnalités d’authentification modernes, telles que l’authentification multifacteur.

      • Vous ne souhaitez pas inscrire d’appareils dans l’ID Microsoft Entra. L’Assistant Configuration (hérité) authentifie l’utilisateur avec le jeton Apple .p7m. S’il est acceptable de ne pas inscrire d’appareils dans l’ID Microsoft Entra, vous n’avez pas besoin d’installer l’application Portail d’entreprise. Continuez à utiliser l’Assistant Configuration (hérité).

        Si vous souhaitez que les appareils soient inscrits dans l’ID Microsoft Entra, installez l’application Portail d’entreprise . Quand vous créez le profil d’inscription et que vous sélectionnez l’Assistant Configuration (hérité), vous pouvez installer l’application Portail d’entreprise. Nous vous recommandons d’installer l’application Portail d’entreprise durant l’inscription.

    • Sélectionnez l’Assistant Configuration avec authentification moderne quand :

      • Vous souhaitez réinitialiser l’appareil.
      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans l’ID Microsoft Entra. Lorsqu’ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec l’ID Microsoft Entra, comme l’accès conditionnel.
      • Vous voulez installer automatiquement l’application Portail d’entreprise lors de l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
      • Vous voulez que les utilisateurs utilisent l’appareil, même quand l’application Portail d’entreprise n’est pas installée.

    Remarque

    Pour authentifier les utilisateurs, Microsoft recommande l’utilisation de l’application Portail d’entreprise ou de l’Assistant Configuration avec authentification moderne.

    Quelle option devez-vous utiliser ? Cela dépend :

    • Si vous voulez utiliser l’appareil avant l’installation de l’application Portail d’entreprise, utilisez l’Assistant Configuration avec authentification moderne.

      Pendant l’Assistant Configuration, les utilisateurs doivent entrer les informations d’identification Microsoft Entra de leur organisation (user@contoso.com). Une fois qu’ils ont entré leurs informations d’identification, l’inscription démarre et l’application Portail d’entreprise s’installe. Si vous le souhaitez, les utilisateurs peuvent également entrer leur IDENTIFIANT Apple pour accéder à des fonctionnalités spécifiques d’Apple, comme Apple Pay.

      Une fois l’Assistant Configuration terminé, les utilisateurs peuvent utiliser l’appareil. Quand l’écran d’accueil s’affiche, l’inscription est terminée et l’affinité utilisateur est établie. L’appareil n’est pas entièrement inscrit avec l’ID Microsoft Entra et s’affiche comme non conforme dans la liste des appareils d’un utilisateur dans l’ID Microsoft Entra. L’appareil s’affiche comme conforme dans le Centre d’administration Microsoft Intune.

      Une fois l’application Portail d’entreprise installée, ce qui prend un certain temps, les utilisateurs ouvrent l’application Portail d’entreprise et se reconnectent avec leur compte Microsoft Entra de leur organisation (user@contoso.com). Pendant cette deuxième connexion, toutes les stratégies d’accès conditionnel sont évaluées et l’inscription à Microsoft Entra est terminée. Les utilisateurs peuvent installer et exécuter des ressources de l’organisation, notamment les applications métier. L’appareil s’affiche comme conforme dans l’ID Microsoft Entra.

    • Si vous ne voulez pas utiliser l’appareil avant l’installation de l’application Portail d’entreprise, utilisez l’option de l’application Portail d’entreprise. L’option de l’application Portail d’entreprise verrouille l’appareil jusqu’à ce que l’application Portail d’entreprise soit installée. Une fois l’installation terminée, l’application Portail d’entreprise s’ouvre automatiquement. Les utilisateurs se connectent avec leur compte d’organisation Microsoft Entra (user@contoso.com) et peuvent utiliser l’appareil.

  • Si vous utilisez l’application Portail d’entreprise, décidez comment l’application Portail d’entreprise est installée sur les appareils. Prenez cette décision avant de créer le profil d’inscription.

    Remarque

    Microsoft recommande le Programme d’achat en volume (VPP) quand vous utilisez l’application Portail d’entreprise pour l’authentification. Il offre une meilleure expérience pour les utilisateurs finaux.

    N’installez pas l’application Portail d’entreprise à partir de l’App Store directement sur les appareils inscrits avec ADE. Installez-la plutôt à l’aide des options suivantes :

    • Jeton VPP + Inscription de nouveaux appareils : si vous participez au programme VPP et que vous inscrivez de nouveaux appareils, l’application Portail d’entreprise est incluse. Lorsque vous créez le profil d’inscription dans le Centre d’administration Intune, sélectionnez Installer le portail d’entreprise avec VPP, définissez-en une application obligatoire et activez les mises à jour automatiques des applications.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Installation unique de l’application Portail d’entreprise.
      • Utilise la fonctionnalité Mises à jour automatiques des applications pour qu’Intune puisse envoyer (push) les mises à jour des applications. Pour plus d’informations, consultez Déploiement de l’application Portail d’entreprise - ADE.
    • Aucun jeton VPP + inscription de nouveaux appareils : aucune tâche d’administrateur. Vérifiez que les utilisateurs entrent leur identifiant Apple dans l’Assistant Configuration.

      Au terme de l’Assistant Configuration, l’application Portail d’entreprise tente de s’installer automatiquement. Si les utilisateurs n’entrent pas leur identifiant Apple (user@iCloud.com ou user@gmail.com), ils sont continuellement invités à le faire. Les utilisateurs doivent entrer leur identifiant Apple pour accéder à l’application Portail d’entreprise sur leurs appareils. Une fois l’application Portail d’entreprise installée, les utilisateurs l’ouvrent et entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Les utilisateurs authentifiés peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    • appareils déjà inscrits : si des appareils sont déjà inscrits, que vous participiez au programme VPP ou non, utilisez une stratégie de configuration des applications :

      1. Dans le Centre d’administration Intune, ajoutez l’application Portail d’entreprise en tant qu’application requise et en tant qu’application sous licence d’appareil.
      2. Créez une stratégie de configuration des applications qui comprend l’application Portail d’entreprise comme application sous licence d’appareil. Pour plus d’informations, consultez Configurer l’application Portail d’entreprise pour prendre en charge les appareils iOS et iPadOS DEP.
      3. Déployez la stratégie de configuration des applications sur le même groupe d’appareils que le profil d’inscription.
      4. Quand les appareils effectuent un check-in auprès du service Intune, ils reçoivent votre profil et l’application Portail d’entreprise est installée.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Vous oblige à créer un profil d’inscription et une stratégie de configuration d’application. Dans votre stratégie de configuration d’application, rendez l’application obligatoire pour qu’elle soit déployée sur tous vos appareils.
      • L’application Portail d’entreprise peut être mise à jour automatiquement en modifiant la stratégie de configuration des applications existante.
  • Dans le Centre d’administration Intune, créez un profil d’inscription :

    • Choisissez Inscrire avec l’affinité utilisateur (associer un utilisateur à l’appareil) ou Inscrire sans l’affinité utilisateur (appareils sans utilisateur ou appareils partagés).
    • Choisissez où les utilisateurs s’authentifient : l’application portail d’entreprise, l’Assistant Configuration (hérité) ou l’Assistant Configuration avec authentification moderne.

    Pour obtenir des informations et des suggestions plus spécifiques, accédez à Inscription automatisée des appareils d’Apple.

Tâches de l’utilisateur final pour ADE

Lorsque vous créez un profil d’inscription dans le Centre d’administration Intune, vous choisissez d’associer un utilisateur à l’appareil (Inscrire avec l’affinité utilisateur) ou d’avoir des appareils partagés (Inscrire sans affinité utilisateur). Les étapes spécifiques à effectuer dépendent de la façon dont vous configurez le profil d’inscription. Avec shared iPad, après l’activation, tous les volets de l’Assistant Installation sont automatiquement ignorés.

  • Inscrire avec l’affinité utilisateur + Application Portail d’entreprise :

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire avec l’affinité utilisateur et utilisez l’application Portail d’entreprise pour l’authentification.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com). L’application Portail d’entreprise est alors automatiquement installée à partir de votre profil d’inscription. L’installation automatique de l’application Portail d’entreprise peut prendre du temps.
    2. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Quand ils se connectent, l’inscription démarre. Une fois l’inscription terminée, les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    Les utilisateurs devront peut-être entrer plus d’informations. Pour obtenir des étapes plus spécifiques pour l’utilisateur final, accédez à Inscrire l’appareil iOS fourni par votre organisation.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration (hérité) + Application Portail d’entreprise :

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire avec l’affinité utilisateur, utilisez l’Assistant Configuration pour l’authentification et installez l’application Portail d’entreprise.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com).

    2. L’Assistant Configuration invite l’utilisateur à fournir des informations.

    3. L’application Portail d’entreprise s’ouvre automatiquement et doit verrouiller l’appareil en mode kiosque. L’ouverture de l’application Portail d’entreprise peut prendre du temps. Les utilisateurs se connectent avec leurs informations d’identification d’organisation (user@contoso.com) et l’appareil est inscrit dans Intune.

      Cette étape inscrit l’appareil dans l’ID Microsoft Entra. Les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration (hérité) - Application Portail d’entreprise :

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire avec l’affinité utilisateur, utilisez l’Assistant Configuration pour l’authentification et n’installez pas l’application Portail d’entreprise.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com).
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, puis inscrit l’appareil dans Intune. L’appareil n’est pas inscrit dans l’ID Microsoft Entra.
  • s’inscrire avec l’affinité utilisateur et l’Assistant de configuration avec authentification moderne :

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire avec l’affinité utilisateur, puis utilisez l’Assistant Configuration pour l’authentification. L’application Portail d’entreprise s’installe automatiquement.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur IDENTIFIANT Apple (user@iCloud.com ou user@gmail.com) et les informations d’identification Microsoft Entra de leur organisation (user@contoso.com).

      Lorsque les utilisateurs entrent leurs informations d’identification Microsoft Entra, l’inscription démarre.

    2. L’Assistant Configuration demande d’autres informations à l’utilisateur. Lorsque l'écran d'accueil apparaît, la configuration est terminée. L'appareil est entièrement inscrit et l'affinité entre l'appareil et l'utilisateur est établie. Les utilisateurs peuvent utiliser leurs appareils et voir vos applications et stratégies sur leurs appareils.

      À ce stade, l’appareil n’est pas entièrement inscrit avec l’ID Microsoft Entra et s’affiche comme non conforme dans l’ID Microsoft Entra. L’appareil indique qu’il est conforme dans le Centre d’administration Microsoft Intune.

    3. Si vous installez l'application Portail d'entreprise avec VPP (recommandé), l'application Portail d'entreprise s'installe automatiquement. Les utilisateurs ouvrent l'application Portail d'entreprise et se reconnectent avec leur compte professionnel ou scolaire (user@contoso.com). Ils effectuent l’inscription à Microsoft Entra dans l’application Portail d’entreprise, qui inscrit entièrement l’appareil avec l’ID Microsoft Entra. Les utilisateurs ont ensuite accès aux ressources d’entreprise protégées par des stratégies d’accès conditionnel et l’appareil s’affiche comme étant conforme dans l’ID Microsoft Entra.

    4. Si vous n'installez pas l'application Portail d'entreprise avec VPP et souhaitez utiliser l'application Portail d'entreprise, alors :

      1. Les utilisateurs se connectent à l'App Store d'Apple avec leur identifiant Apple (user@iCloud.com ou user@gmail.com). Lorsqu'ils se connectent, l'application Portail d'entreprise s'installe automatiquement.

        Cette étape de connexion supplémentaire ralentit l'inscription, en particulier si les utilisateurs ne se connectent pas immédiatement.

        S'ils ne se connectent pas à l'App Store, l'application Portail d'entreprise ne s'installe pas. Si l’application n’est pas installée, les utilisateurs ne peuvent pas inscrire l’appareil dans l’ID Microsoft Entra. Étant donné que l’appareil n’a pas terminé l’inscription, l’appareil s’affiche comme non conforme dans l’ID Microsoft Entra. Les ressources en fonction de l’accès conditionnel ne sont pas disponibles.

      2. Les utilisateurs ouvrent l'application Portail d'entreprise et se reconnectent avec leur compte professionnel ou scolaire (user@contoso.com). Ils effectuent l’inscription à Microsoft Entra dans l’application Portail d’entreprise, qui inscrit entièrement l’appareil avec l’ID Microsoft Entra. Lors de l’archivage suivant, les utilisateurs ont accès aux ressources d’entreprise protégées par des stratégies d’accès conditionnel.

  • Inscrire sans affinité utilisateur : aucune action. Veillez à ce que les utilisateurs n’installent pas l’application Portail d’entreprise à partir de l’App Store d’Apple.

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire sans affinité utilisateur.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la communication avec vos utilisateurs, consultez Guide de planification : Étape 5 - Créer un plan de déploiement.

Inscription à Apple Configurator

Utilisez cette option sur les appareils appartenant à votre organisation (inclut l’inscription directe). Cette option vous oblige à connecter physiquement des appareils iOS/iPadOS à un ordinateur Mac à l’aide du port USB.

Pour plus d’informations sur ce type d’inscription, accédez à Inscription Apple Configurator.


Fonctionnalité Utiliser cette option d’inscription quand
Vous avez besoin d’une connexion câblée ou vous avez un problème de réseau.
Votre organisation ne souhaite pas que les administrateurs utilisent les portails ABM ou ASM, ou elle ne souhaite pas configurer toutes les exigences.

L’idée consistant à ne pas utiliser les portails ABM ou ASM vise à donner moins de contrôle aux administrateurs.
Un pays/région ne prend pas en charge Apple Business Manager (ABM) ou Apple School Manager (ASM).

Si votre pays/région prend en charge ABS ou ASM, les appareils doivent être inscrits à l’aide de l’inscription automatisée des appareils (dans cet article).
Les appareils appartiennent à l’organisation ou à l’établissement scolaire.
Vous avez des appareils nouveaux ou existants.
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc).

Si vous avez un grand nombre d’appareils, cette méthode prend un certain temps.
Les appareils sont associés à un seul utilisateur.
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés.
Les appareils sont personnels ou BYOD.

Non recommandé. Les applications sur les appareils BYOD ou personnels peuvent être gérées à l’aide de gam (ouvre un autre article Microsoft) ou de l’inscription des utilisateurs et des appareils (dans cet article).
Les appareils sont gérés par un autre fournisseur MDM.

Pour être entièrement gérés par Intune, les utilisateurs doivent se désinscrire du fournisseur MDM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser la gestion des applications mobiles pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, nous vous recommandons de les inscrire dans Intune.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).

Le compte DEM n’est pas pris en charge.

Tâches de l’administrateur pour Apple Configurator

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour plus d’informations, accédez à Inscription Apple Configurator.

  • Nécessite l’accès à un ordinateur Mac avec un port USB.

  • Vérifiez que vos appareils sont pris en charge.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Décidez de la manière dont les utilisateurs vont s’authentifier sur leurs appareils : avec l’application Portail d’entreprise ou avec l’Assistant Configuration. Prenez cette décision avant de créer le profil d’inscription. L’application Portail d’entreprise est considérée comme une méthode d’authentification moderne. Nous vous recommandons donc d’utiliser cette application.

    • Sélectionnez l’application Portail d’entreprise dans les cas suivants :

      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans l’ID Microsoft Entra. Lorsqu’ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec l’ID Microsoft Entra, comme l’accès conditionnel.
      • Vous souhaitez installer automatiquement l’application Portail d’entreprise durant l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise durant l’inscription.
    • Sélectionnez l’Assistant Configuration dans les cas suivants :

      • Vous ne souhaitez pas utiliser les fonctionnalités d’authentification modernes, telles que l’authentification multifacteur.

      • Vous souhaitez réinitialiser l’appareil.

      • Vous souhaitez importer les numéros de série.

      • Vous ne souhaitez pas inscrire d’appareils dans l’ID Microsoft Entra. L’Assistant Configuration authentifie l’utilisateur avec le profil d’inscription exporté que vous copiez sur l’appareil. S’il est acceptable de ne pas inscrire d’appareils dans l’ID Microsoft Entra, vous n’avez pas besoin d’installer l’application Portail d’entreprise. Continuez à utiliser l’Assistant Configuration.

        Si vous souhaitez que les appareils soient inscrits dans l’ID Microsoft Entra, installez l’application Portail d’entreprise . Quand vous créez le profil d’inscription et sélectionnez l’Assistant Configuration, vous pouvez installer l’application Portail d’entreprise. Nous vous recommandons d’installer l’application Portail d’entreprise durant l’inscription.

  • Si vous utilisez l’application Portail d’entreprise, celle-ci doit être installée sur les appareils à l’aide d’une stratégie de configuration des applications. Nous vous recommandons de créer cette stratégie avant de créer le profil d’inscription.

    N’installez pas l’application Portail d’entreprise à partir de l’App Store directement sur les appareils inscrits avec Apple Configurator. Installez-la plutôt à l’aide des options suivantes :

    • Inscrire de nouveaux appareils : aucune tâche d’administrateur. Vérifiez que les utilisateurs entrent leur identifiant Apple dans l’Assistant Configuration.

      Au terme de l’Assistant Configuration, l’application Portail d’entreprise tente de s’installer automatiquement. Si les utilisateurs n’entrent pas leur identifiant Apple (user@iCloud.com ou user@gmail.com), ils sont continuellement invités à le faire. Les utilisateurs doivent entrer leur identifiant Apple pour accéder à l’application Portail d’entreprise sur leurs appareils. Une fois l’application Portail d’entreprise installée, les utilisateurs l’ouvrent et entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Les utilisateurs authentifiés peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    • Appareils déjà inscrits : si des appareils sont déjà inscrits, utilisez une stratégie de configuration des applications :

      1. Dans le Centre d’administration Intune, ajoutez l’application Portail d’entreprise en tant qu’application requise et en tant qu’application sous licence d’appareil.
      2. Créez une stratégie de configuration des applications qui comprend l’application Portail d’entreprise comme application sous licence d’appareil. Pour plus d’informations, consultez Configurer l’application Portail d’entreprise pour prendre en charge les appareils iOS et iPadOS DEP.
      3. Déployez la stratégie de configuration des applications sur le même groupe d’appareils que le profil d’inscription.
      4. Quand les appareils effectuent un check-in auprès du service Intune, ils reçoivent votre profil et l’application Portail d’entreprise est installée.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Vous oblige à créer un profil d’inscription et une stratégie de configuration d’application. Dans votre stratégie de configuration d’application, rendez l’application obligatoire pour qu’elle soit déployée sur tous vos appareils.
      • L’application Portail d’entreprise peut être mise à jour automatiquement en modifiant la stratégie de configuration des applications existante.
  • Dans le Centre d’administration Intune, créez un profil d’inscription :

    • Choisissez Inscrire avec l’affinité utilisateur (associer un utilisateur à l’appareil) ou Inscrire sans l’affinité utilisateur (appareils sans utilisateur ou appareils partagés).

    • Si vous choisissez Inscrire sans l’affinité utilisateur, vous utilisez automatiquement l’inscription directe. N’oubliez pas :

      • Vous utilisez les paramètres d’un profil d’inscription macOS existant.
      • Les utilisateurs ne peuvent pas utiliser les applications qui nécessitent un utilisateur, comme c’est le cas de l’application Portail d’entreprise. L’application Portail d’entreprise n’est ni utilisée, ni nécessaire, ni prise en charge sur les inscriptions sans affinité utilisateur. Veillez à ce que les utilisateurs n’installent pas l’application Portail d’entreprise à partir de l’App Store d’Apple.
  • Quand le profil d’inscription est prêt, les appareils se connectent au Mac par USB et l’application Apple Configurator s’ouvre. Quand l’application s’ouvre, elle détecte l’appareil connecté par USB et déploie le profil d’inscription Intune que vous avez créé.

Pour plus d’informations sur cette option d’inscription et ses prérequis, accédez à Inscription Apple Configurator.

Tâches de l’utilisateur final pour Apple Configurator

Les tâches dépendent de l’option que vous avez configurée dans le profil d’inscription.

  • Inscrire avec l’affinité utilisateur + Application Portail d’entreprise :

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide d’Apple Configurator. Sélectionnez Inscrire avec l’affinité utilisateur et utilisez l’application Portail d’entreprise pour l’authentification.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com). L’application Portail d’entreprise est ensuite automatiquement installée à partir de l’App Store. L’installation automatique de l’application Portail d’entreprise peut prendre du temps.
    2. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Quand les utilisateurs se connectent, l’inscription démarre. Une fois l’inscription terminée, les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    Les utilisateurs devront peut-être entrer plus d’informations. Pour obtenir des étapes plus spécifiques, accédez à Inscrire un appareil iOS fourni par votre organisation.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration + Application Portail d’entreprise :

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide d’Apple Configurator. Sélectionnez Inscrire avec l’affinité utilisateur, utilisez l’Assistant Configuration pour l’authentification et installez l’application Portail d’entreprise.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans Intune.
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, notamment l’identifiant Apple (user@iCloud.com ou user@gmail.com).
    3. L’application Portail d’entreprise est automatiquement installée à partir de l’App Store. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans l’ID Microsoft Entra. Les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.
  • Inscrire avec l’affinité utilisateur + Assistant Configuration - Application Portail d’entreprise :

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide d’Apple Configurator. Sélectionnez Inscrire avec l’affinité utilisateur, utilisez l’Assistant Configuration pour l’authentification et n’installez pas l’application Portail d’entreprise.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans Intune.
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, notamment l’identifiant Apple (user@iCloud.com ou user@gmail.com). Cette étape envoie (push) le profil de gestion Intune à l’appareil.
    3. Les utilisateurs installent le profil de gestion. Le profil s’enregistre auprès du service Intune et inscrit l’appareil. L’appareil n’est pas inscrit dans l’ID Microsoft Entra.
  • Inscrire sans affinité utilisateur : vous utilisez l’inscription directe. Aucune action. Veillez à ce que les utilisateurs n’installent pas l’application Portail d’entreprise à partir de l’App Store d’Apple.

    Dans le Centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide d’Apple Configurator. Sélectionnez Inscrire sans affinité utilisateur.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la communication avec vos utilisateurs, consultez Guide de planification : Étape 5 - Créer un plan de déploiement.

BYOD : Inscription des utilisateurs et des appareils

Ces appareils iOS/iPadOS sont des appareils personnels ou BYOD (apportez votre propre appareil) qui peuvent accéder aux e-mails, aux applications et à d’autres données de l’organisation. Dans iOS 13 et ultérieur, cette option d’inscription cible les utilisateurs ou cible les appareils. Elle ne nécessite pas la réinitialisation des appareils.

Lorsque vous créez le profil d’inscription, vous êtes invité à choisir Inscription de l’utilisateur auprès du portail d’entreprise, Inscription de l’appareil avec portail d’entreprise, Inscription utilisateur basée sur un compte ou Déterminer en fonction du choix de l’utilisateur.

Pour connaître les étapes d’inscription spécifiques et ses prérequis, accédez à Configurer l’inscription des utilisateurs iOS/iPadOS et Configurer l’inscription des appareils iOS/iPadOS.


Fonctionnalité Utiliser cette option d’inscription quand
Les appareils sont personnels ou BYOD.
Vous souhaitez protéger une fonctionnalité spécifique sur l’appareil, par exemple le VPN par application.
Vous avez des appareils nouveaux ou existants.
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc).
Les appareils sont associés à un seul utilisateur.
Les appareils sont gérés par un autre fournisseur MDM.

Lors de l’inscription d’un appareil, les fournisseurs MDM installent des certificats et d’autres fichiers. Ces fichiers doivent être supprimés. Le moyen le plus rapide peut consister à annuler l’inscription ou à réinitialiser les appareils aux paramètres d’usine. Si vous ne souhaitez pas rétablir les paramètres d’usine, contactez le fournisseur MDM.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).
Les appareils appartiennent à l’organisation ou à l’établissement scolaire.

Non recommandé. Les appareils appartenant à l’organisation doivent être inscrits en utilisant Inscription automatique des appareils (dans cet article) ou Apple Configurator (dans cet article).
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés.

En règle générale, les appareils sans utilisateur ou partagés appartiennent à l’organisation. Ces appareils doivent être inscrits en utilisant l’Inscription automatique des appareils (dans cet article) ou Apple Configurator (dans cet article).

Tâches de l’administrateur pour l’inscription des utilisateurs et des appareils

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour plus d’informations, consultez Configurer l’inscription des utilisateurs iOS/iPadOS et iPadOS.

  • Vérifiez que vos appareils sont pris en charge.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Dans le Centre d’administration Intune, créez le profil d’inscription. Quand vous créez le profil d’inscription, vous disposez des options suivantes :

    • Inscription de l’appareil auprès du portail d’entreprise : cette option est une inscription classique dans l’application Portail d’entreprise pour les appareils personnels. L’appareil est géré, pas seulement des applications ou des fonctionnalités spécifiques. Si vous utilisez cette option, tenez compte des informations suivantes :

      • Vous pouvez déployer des certificats qui s’appliquent à l’ensemble de l’appareil.
      • Les utilisateurs doivent installer les mises à jour. Seuls les appareils inscrits à l’aide de l’option Inscription automatisée des appareils (ADE) peuvent recevoir des mises à jour à l’aide de profils ou de stratégies MDM.
      • Un utilisateur doit être associé à l’appareil. Cet utilisateur peut être un compte de gestionnaire d’inscription d’appareil (DEM).
    • Inscription d’appareils web : à compter d’iOS 15 et versions ultérieures. Cette option est semblable à l’inscription des appareils avec le Portail d’entreprise, mais l’inscription a lieu sur la version web du portail d’entreprise Intune, ce qui élimine la nécessité de l’application. En outre, cette option permet aux employés et aux étudiants sans ID Apple gérés d’inscrire des appareils et d’accéder aux applications achetées en volume.

    • Déterminer en fonction du choix de l’utilisateur : donne aux utilisateurs finaux un choix lorsqu’ils s’inscrivent. En fonction de leur sélection, l’option Inscription des utilisateurs ou Inscription des appareils est utilisée.

    • Inscription des utilisateurs : à partir d’iOS 13 et versions ultérieures. Cette option configure un ensemble spécifique de fonctionnalités et d’applications d’organisation, comme le mot de passe, le VPN par application, le Wi-Fi et Siri. Si vous utilisez Inscription des utilisateurs et que vous souhaitez sécuriser les applications et leurs données, nous vous recommandons d’utiliser également des stratégies de protection des applications.

      Pour obtenir la liste complète de ce que vous pouvez ou ne pouvez pas faire, accédez à Actions et options Intune prises en charge avec l’inscription des utilisateurs Apple. Pour connaître les étapes d’inscription utilisateur spécifiques, accédez à Configurer l’inscription des utilisateurs iOS/iPadOS.

      Remarque

      Des appareils BYOD peut devenir des appareils appartenant à l’organisation. Pour rendre ces appareils professionnels, accédez à Identifier les appareils comme appartenant à l’entreprise.

      L'inscription des utilisateurs est considérée comme plus conviviale pour les utilisateurs finaux. Toutefois, il peut ne pas fournir l’ensemble de fonctionnalités et les fonctionnalités de sécurité dont les administrateurs ont besoin. Dans certains scénarios, l’inscription des utilisateurs peut ne pas être la meilleure option. Plusieurs scénarios sont envisageables :

      • L’inscription des utilisateurs crée une partition de travail sur les appareils. Les fonctionnalités et la sécurité que vous configurez dans le profil d’inscription utilisateur n’existent que dans la partition de travail. Elles n’existent pas dans la partition utilisateur. Les utilisateurs ne peuvent pas réinitialiser la partition de travail aux paramètres d’usine ; les administrateurs peuvent. Les utilisateurs peuvent réinitialiser la partition personnelle aux paramètres d’usine ; les administrateurs ne peuvent pas.

      • Si les utilisateurs utilisent principalement des applications Microsoft ou des applications créées avec Intune App SDK, ils doivent télécharger ces applications à partir de l’App Store d’Apple. Ils doivent ensuite utiliser des stratégies de protection des applications pour les protéger. Dans ce scénario, vous n’avez pas besoin de l’inscription des utilisateurs.

      • Pour les applications métier, l’inscription des utilisateurs peut être une option, car elle déploie ces applications sur la partition de travail. La gestion des applications mobiles (MAM) ne prend pas en charge les applications métier. Par conséquent, si vous avez besoin d’applications métier, utilisez l’inscription des utilisateurs.

      • Quand vous inscrivez des appareils avec l’inscription des utilisateurs, vous ne pouvez pas passer à l’inscription des appareils. Avec l’inscription des utilisateurs, vous ne pouvez pas déplacer une application de « non gérée » à « gérée ». Les utilisateurs doivent se désinscrire de l’inscription des utilisateurs, puis se réinscrire à l’inscription des appareils.

      • Si vous installez des applications avant l’application du profil d’inscription utilisateur, ces applications ne sont ni protégées ni gérées par le profil d’inscription utilisateur.

        Par exemple, un utilisateur télécharge l’application Outlook à partir de l’App Store d’Apple. L’application est installée automatiquement dans la partition de l’utilisateur sur l’appareil. L’utilisateur configure Outlook pour son adresse e-mail personnelle. Lorsque les utilisateurs configurent la messagerie de leur organisation, ils sont bloqués par l’accès conditionnel et invités à s’inscrire. Après inscription, un profil d’inscription utilisateur est déployé.

        Étant donné que l’application Outlook a été installée avant le profil d’inscription utilisateur, ce dernier échoue. L’application Outlook ne peut pas être gérée dans la mesure où elle est installée et configurée dans la partition utilisateur, et non dans la partition de travail. Les utilisateurs doivent désinstaller manuellement l’application Outlook.

        Une fois la désinstallation terminée, les utilisateurs peuvent synchroniser manuellement l’appareil et éventuellement réappliquer le profil d’inscription utilisateur. Vous devrez peut-être créer une stratégie de configuration d’application pour déployer Outlook et en faire une application obligatoire. Vous devrez ensuite déployer une stratégie de protection des applications pour sécuriser l’application et ses données.

  • Affectez le profil d’inscription à des groupes d’utilisateurs. Ne l’affectez pas à des groupes d’appareils.

Tâches de l’utilisateur final pour l’inscription des utilisateurs et des appareils

Vos utilisateurs doivent effectuer les étapes suivantes. Pour l’expérience utilisateur spécifique, accédez à inscrire l’appareil.

  1. Ils accèdent à l’App Store d’Apple et installent l’application Portail d’entreprise Intune.

  2. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Après leur connexion, votre profil d’inscription s’applique à l’appareil.

    Les utilisateurs devront peut-être entrer plus d’informations. Pour obtenir des étapes plus spécifiques, accédez à inscrire l’appareil.

Les utilisateurs avec des notifications d’application activées reçoivent une invite pour revenir à l’application Portail d’entreprise pour terminer l’inscription de l’appareil requise. Les utilisateurs avec des notifications d’application désactivées ne sont pas avertis de cette exigence. Si vous utilisez des groupes dynamiques, qui reposent sur l’inscription des appareils pour fonctionner, il est important que les utilisateurs terminent l’inscription de l’appareil. Prévoyez de communiquer ces étapes aux utilisateurs finaux. Si vous utilisez des stratégies d’accès conditionnel (CA), aucune action n’est requise, car les utilisateurs d’une application protégée par une autorité de certification tentent de se connecter les invitent à revenir au portail d’entreprise pour terminer l’inscription de l’appareil.

Une fois l’inscription terminée, Intune installe automatiquement un certificat de signature de profil sur l’appareil. Ce certificat est valide pendant un an. À la fin de l’année où le certificat arrive à expiration, Intune renouvelle le certificat. Si ce processus de renouvellement échoue, sur l’appareil, l’état de l’application >ParamètresVpn général> &Profil de gestion des> appareils indique Non vérifié. Avec cet état, les utilisateurs finaux ne sont pas affectés et les appareils continuent à s’enregistrer auprès d’Intune et à recevoir des mises à jour de stratégie.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la communication avec vos utilisateurs, consultez Guide de planification : Étape 5 - Créer un plan de déploiement.

Conseil

Voici une brève vidéo pas à pas qui montre à vos utilisateurs comment inscrire leurs appareils dans Intune :

Inscrire votre appareil iOS/iPadOS