Configurer l’inscription automatisée des appareils (ADE) pour iOS/iPadOS
S’applique à iOS/iPadOS
Les appareils d’entreprise achetés via Apple Business Manager ou Apple School Manager peuvent être inscrits dans Intune par le biais de l’inscription automatisée des appareils. Cette option d’inscription applique les paramètres de votre organisation à partir d’Apple Business Manager et d’Apple School Manager et inscrit les appareils sans que vous ayez à les toucher. Les iPhone et iPad peuvent être expédiés directement aux employés et aux étudiants. Lorsqu’ils allument leurs appareils, l’Assistant Configuration Apple les guide tout au long de la configuration et de l’inscription.
Cet article explique comment préparer et configurer l’inscription automatisée des appareils dans Microsoft Intune.
Vue d’ensemble des fonctionnalités
Le tableau suivant présente les fonctionnalités et les scénarios pris en charge par l’inscription automatisée des appareils.
Fonctionnalité | Utiliser cette option d’inscription quand |
---|---|
Vous souhaitez utiliser le mode supervisé. | ✔️ Le mode supervisé déploie des mises à jour logicielles, restreint des fonctionnalités, autorise et bloque des applications, etc. |
Les appareils appartiennent à l’organisation ou à l’établissement scolaire. | ✔️ |
Vous avez de nouveaux appareils. | ✔️ |
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc). | ✔️ |
Les appareils sont associés à un seul utilisateur. | ✔️ |
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés. | ✔️ |
Les appareils sont en mode partagé. | ✔️ |
Les appareils sont personnels ou byOD (Apportez votre propre appareil). | ❌ Non recommandé. Les applications sur les appareils BYOD ou personnels peuvent être gérées à l’aide de la GAM (gestion des applications mobiles) ou de l’inscription d’appareils et d’utilisateurs. |
Les appareils sont gérés par un autre fournisseur MDM. | ❌ Si vous souhaitez gérer entièrement un appareil dans Intune, les utilisateurs doivent se désinscrire du fournisseur GPM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser la gestion des applications mobiles pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, nous vous recommandons de les inscrire dans Intune. |
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM). | ❌ Le compte DEM n’est pas pris en charge. |
Certificats
Ce type d’inscription prend en charge le protocole ACME (Automated Certificate Management Environment). Lorsque de nouveaux appareils s’inscrivent, le profil de gestion de Intune reçoit un certificat ACME. Le protocole ACME offre une meilleure protection que le protocole SCEP contre l’émission de certificats non autorisés par le biais de mécanismes de validation robustes et de processus automatisés, ce qui permet de réduire les erreurs dans la gestion des certificats.
Les appareils déjà inscrits n’obtiennent pas de certificat ACME, sauf s’ils s’inscrivent à nouveau dans Microsoft Intune. ACME est pris en charge sur les appareils exécutant :
iOS 16.0 ou version ultérieure
iPadOS 16.1 ou version ultérieure
Conditions préalables
Avant de créer le profil d’inscription, vous devez avoir :
- Un accès au portail Apple Business Manager ou au portail Apple School Manager.
- Un jeton Apple actif (fichier .p7m).
- Pour connaître les étapes à suivre, consultez Obtenir un jeton d’inscription automatisée des appareils Apple (dans cet article).
- Un certificat Push MDM Apple dans Intune.
- Des appareils nouveaux ou réinitialisés achetés auprès d’Apple Business Manager ou d’Apple School Manager.
Conseil
L’inscription automatisée des appareils applique des configurations d’appareils qu’un utilisateur d’appareil ne peut pas supprimer. Effacez tous les appareils avant l’inscription pour les rendre dans leur état d’origine.
Avant de commencer
Lisez les conditions d’inscription et les meilleures pratiques pour préparer une configuration et un déploiement réussis.
Choisir une méthode d’authentification
Avant de créer le profil d’inscription, décidez de la méthode d’authentification des utilisateurs sur leurs appareils : via l’application Portail d'entreprise Intune, l’Assistant Configuration (hérité) ou l’Assistant Configuration avec authentification moderne. L’utilisation de l’application Portail d'entreprise ou de l’Assistant Configuration avec l’authentification moderne est considérée comme une authentification moderne et comporte des fonctionnalités telles que l’authentification multifacteur.
Intune prend également en charge l’inscription juste-à-temps (inscription JIT) pour l’Assistant Configuration avec l’authentification moderne, ce qui élimine la nécessité de l’application Portail d'entreprise pour l’inscription et la conformité Microsoft Entra. Pour utiliser l’inscription JIT, vous devez créer une stratégie de configuration d’appareil avant de créer le profil d’inscription Apple et configurer l’Assistant Configuration avec une authentification moderne.
L’Assistant Configuration avec authentification moderne est pris en charge sur les appareils exécutant iOS/iPadOS 13.0 et versions ultérieures. Les appareils iOS/iPadOS plus anciens auxquels ce profil a été attribué utiliseront l’Assistant Configuration (hérité) pour l’authentification.
Pour plus d’informations sur vos options d’authentification, consultez Méthodes d’authentification pour l’inscription automatisée des appareils.
Qu’est-ce que le mode supervisé ?
Le mode supervisé offre davantage de contrôle de gestion sur les appareils d’entreprise, ce qui vous permet de bloquer les captures d’écran et de restreindre AirDrop, par exemple.
Les appareils d’entreprise exécutant iOS/iPadOS 11+ et inscrits via l’inscription automatisée des appareils doivent toujours être en mode supervisé, que vous pouvez activer dans le profil d’inscription. Pour plus d’informations sur le mode supervisé, consultez Activer le mode supervisé iOS/iPadOS. Microsoft Intune ignore l’indicateur is_supervised pour les appareils exécutant iOS/iPadOS 13.0 et versions ultérieures, car ces appareils sont automatiquement mis en mode supervisé au moment de l’inscription.
Inscription d’appareils en mode partagé
Vous pouvez configurer l’inscription automatisée des appareils en mode partagé. Le mode partagé est une fonctionnalité de Microsoft Entra ID qui permet aux travailleurs de première ligne de partager un seul appareil tout au long de la journée, en se connectant et en se déconnectant selon les besoins. Pour plus d’informations sur la façon d’activer l’inscription pour les appareils en mode partagé Microsoft Entra, consultez Inscription automatisée des appareils en mode partagé.
Déploiement de l’application Portail d'entreprise
Importante
Nous ne recommandons pas l’utilisation de la version App Store de l’application Portail d'entreprise, car elle n’est pas compatible avec l’inscription automatisée des appareils et ne fournit pas les mises à jour automatiques et la disponibilité comme le fait le déploiement.
Le déploiement de l’application Portail d'entreprise Intune via Intune est la meilleure façon de fournir l’application aux utilisateurs et la seule façon de :
- S’assurer que tous les appareils ADE, y compris ceux déjà inscrits, reçoivent l’application.
- Activez les mises à jour automatiques des applications pour le Portail d'entreprise sur les appareils ADE.
Déployez l’application en tant qu’application VPP requise avec licence d’appareil. Pour plus d’informations sur la synchronisation, l’attribution et la gestion d’une application VPP, consultez Affecter une application achetée en volume.
Pour activer les mises à jour automatiques d’applications pour Portail d'entreprise, accédez aux paramètres de votre jeton d’application dans le Centre d’administration et définissez les Mises à jour automatiques de l’application sur Oui. Consultez Charger un jeton d’emplacement Apple VPP ou Apple Business Manager pour connaître les étapes à suivre pour accéder aux paramètres de votre jeton. Si vous n’activez pas les mises à jour automatiques, l’utilisateur de l’appareil doit les case activée manuellement.
La préproduction d’appareil est utilisée pour effectuer la transition d’un appareil sans affinité utilisateur vers un appareil avec affinité utilisateur. Pour mettre en place un appareil, configurez le déploiement VPP comme décrit précédemment dans cette section. Ensuite, configurez et déployez une politique de configuration d’application. Veillez à ce que la politique cible uniquement les appareils ADE sans affinité utilisateur.
Importante
Lors de l’inscription initiale, Intune envoie automatiquement (push) les paramètres de stratégie de configuration d’application pour les appareils inscrits avec l’Assistant Configuration avec l’authentification moderne, configurés dans Configurer l’application Portail d'entreprise pour prendre en charge les appareils iOS et iPadOS inscrits avec l’inscription automatisée des appareils, lorsque le paramètre de profil d’inscription Installer Portail d'entreprise est défini sur Oui. Cette configuration ne doit pas être déployée manuellement auprès des utilisateurs, car elle entraînerait un conflit avec la configuration envoyée lors de l’inscription initiale. Si les deux sont déployés, Intune invite à tort les utilisateurs de l’appareil à se connecter au Portail d'entreprise et à télécharger un profil de gestion qu’ils ont déjà installé.
Limites
- Nombre maximal de profils d'inscription par jeton : 1 000
- Nombre maximal d’appareils pour l’inscription automatisée des appareils par profil : 200 000 (identique au nombre maximal d’appareils par jeton).
- Nombre maximal de jetons d'inscription automatisée des appareils par compte Intune : 2 000
- Nombre maximal d’appareils d’inscription automatisée des appareils par jeton : 200 000
- Nous vous recommandons de ne pas dépasser 200 000 appareils par jeton. Sinon, vous risquez d’avoir des problèmes de synchronisation. Si vous avez plus de 200 000 appareils, répartissez-les sur plusieurs jetons ADE.
- Apple Business Manager et Apple School Manager synchronisent environ 3 000 appareils sur Intune par minute. Nous vous recommandons de retenir la synchronisation manuelle à partir du centre d’administration jusqu’à ce que la synchronisation soit suffisante pour tous les appareils (nombre total d’appareils/3 000 appareils par minute).
Résoudre les problèmes d’inscription
Si vous rencontrez des problèmes de synchronisation au cours de ce processus d’inscription, vous pouvez rechercher des solutions dans Résoudre les problèmes d’inscription des appareils iOS/iPadOS.
Obtenir un jeton d’inscription automatisée des appareils Apple
Avant de pouvoir inscrire des appareils iOS/iPadOS à l’aide de l’ADE, vous devez obtenir un jeton d’inscription automatisée des appareils (fichier .p7m) auprès d’Apple. Ce jeton permet à Intune de synchroniser les informations sur les appareils ADE appartenant à votre organisation. Il permet également à Intune de charger des profils d’inscription sur Apple, et d’affecter des appareils à ces profils.
Utilisez Apple Business Manager (ABM) ou Apple School Manager (ASM) pour créer un jeton et affecter des appareils à Intune pour la gestion.
Remarque
Vous pouvez utiliser l’un des portails Apple pour activer ADE. Le reste de cet article fait référence à Apple Business Manager, mais les étapes sont les mêmes pour Apple School Manager.
Étape 1 : télécharger le certificat de clé publique d'Intune
Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.
Sélectionnez l’onglet Apple.
Sélectionnez Jetons du programme d’inscription>Ajouter.
Sous l’onglet Informations de base :
Sélectionnez J’accepte d’autoriser Microsoft à envoyer des informations sur l’utilisateur et l’appareil à Apple.
Sélectionnez Télécharger le certificat de clé publique Intune nécessaire à la création du jeton. Cette étape télécharge et enregistre le fichier de clé de chiffrement (.pem) localement. Le fichier .pem est utilisé pour demander un certificat de relation de confiance au portail Apple Business Manager.
Plus tard, à l’Étape 2 : Accédez au portail Apple Business Manager, vous chargez ce fichier .pem dans Apple Business Manager.
Gardez cet onglet de navigateur web et cette page ouverts. Si vous fermez l’onglet :
- Le certificat que vous avez téléchargé est invalidé.
- Vous devez répéter les étapes.
- Sous l’onglet Vérifier + créer, le bouton Créer n’est pas disponible et vous ne pouvez pas effectuer cette procédure.
Étape 2 : Allez sur le portail Apple Business Manager
Utilisez le portail Apple Business Manager pour créer et renouveler votre jeton ADE (serveur MDM). Ce jeton est ajouté à Intune, et il communique entre Intune et Apple.
Remarque
Les étapes suivantes décrivent ce que vous devez faire dans Apple Business Manager. Pour les étapes spécifiques, reportez-vous à la documentation d'Apple. Le Guide de l’utilisateur d’Apple Business Manager (sur le site web d’Apple) peut être utile.
Télécharger le jeton Apple
Dans Apple Business Manager, connectez-vous avec l’ID Apple de votre entreprise.
Dans ce portail, procédez comme suit :
Dans les paramètres, tous les jetons sont affichés. Ajoutez un serveur MDM et téléchargez le certificat de clé publique (fichier .pem) que vous avez téléchargé depuis Intune à l'étape 1 : Télécharger le certificat de clé publique Intune (dans cet article).
Utilisez le nom du serveur pour identifier le serveur de gestion des appareils mobiles (MDM). Il ne s’agit pas du nom ou de l’URL du service Microsoft Intune.
Après avoir enregistré le serveur MDM, sélectionnez-le, puis téléchargez le jeton (fichier .p7m). Plus tard, à l’étape 4 : Charger votre jeton et terminer, vous chargez le jeton .p7m dans Intune.
Affecter des appareils au jeton Apple (serveur MDM)
- Dans Apple Business Manager>Appareils, sélectionnez les appareils que vous voulez affecter à ce jeton. Vous pouvez effectuer un tri selon différentes propriétés de l’appareil, comme le numéro de série. Vous pouvez également sélectionner plusieurs appareils simultanément.
- Modifiez la gestion des appareils, puis sélectionnez le serveur MDM que vous venez d’ajouter. Cette étape affecte des appareils au jeton.
Étape 3 : Enregistrer l’ID Apple
Dans votre navigateur web, revenez à l’onglet qui contient le Microsoft Intune page Ajouter un jeton de programme d’inscription, où vous avez démarré à l’Étape 1 : Télécharger le certificat de clé publique Intune.
Dans ID Apple, entrez votre ID. Cette étape enregistre l’ID. L’ID peut être utilisé ultérieurement.
Étape 4 : Téléchargez votre jeton et terminez
Dans Jeton Apple, accédez au fichier de certificat .p7m, puis sélectionnez Ouvrir.
Conseil
Vous avez téléchargé le jeton à l’étape 2 : Accéder au portail Apple Business Manager.
Sélectionnez Suivant.
Dans la page Vérifier + créer, sélectionnez Créer.
Avec le certificat Push, Intune peut inscrire et gérer des appareils iOS/iPadOS en envoyant (par push) des stratégies aux appareils mobiles inscrits. Intune se synchronise automatiquement avec Apple pour accéder votre compte de programme d’inscription.
Créer un profil d’inscription Apple
Maintenant que vous avez installé votre jeton, vous pouvez créer un profil d’inscription pour l’inscription automatisée des appareils (ADE). Un profil d'inscription d'appareil définit les paramètres appliqués à un groupe d'appareils lors de l’inscription. Le nombre de profils d’inscription est limité à 1 000 par jeton d’inscription.
Remarque
Les appareils ne peuvent pas s’inscrire s’il n’y a pas suffisamment de licences Portail d'entreprise pour un jeton VPP ou si le jeton expire. Intune vous avertit lorsqu'un jeton est sur le point d'expirer ou lorsque le nombre de licences est faible.
Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.
Sélectionnez l’onglet Apple.
Sélectionnez Jetons du programme d’inscription.
Choisissez un jeton, puis sélectionnez Profils.
Sélectionnez Créer un profil>iOS/iPadOS.
Pour Informations de base, attribuez au profil un Nom et une Description à des fins administratives. Les utilisateurs ne voient pas ces détails.
Sélectionnez Suivant.
Importante
Vous devez affecter une stratégie d’inscription à vos appareils avant qu’ils ne deviennent actifs. Nous vous recommandons de définir une stratégie d’inscription par défaut dès que possible afin que les appareils synchronisés à partir d’Apple Business Manager ou d’Apple School Manager, puis activés, puissent s’inscrire correctement via l’inscription automatisée des appareils. Si aucune stratégie d’inscription n’est affectée à un appareil que vous avez synchronisé à partir d’Apple et que quelqu’un l’active pour la configurer, l’inscription échoue.
Importante
Si vous apportez des modifications à un profil d’inscription existant, les nouveaux paramètres n’entreront pas en vigueur sur les appareils affectés tant que les appareils ne sont pas réinitialisés aux paramètres d’usine et réactivés. Le paramètre de modèle de nom d’appareil est le seul paramètre que vous pouvez modifier et qui ne nécessite pas de réinitialisation aux paramètres d’usine pour être pris en compte. Les modifications apportées au modèle de dénomination prennent effet lors du prochain enregistrement.
Dans la liste Affinité utilisateur, sélectionnez une option qui détermine si les appareils ayant ce profil doivent être inscrits avec ou sans utilisateur affecté.
Inscrire avec l’affinité utilisateur : sélectionnez cette option pour les appareils qui appartiennent aux utilisateurs qui souhaitent utiliser la Portail d'entreprise pour des services tels que l’installation d’applications.
S’inscrire sans affinité utilisateur : sélectionnez cette option pour les appareils qui ne sont pas affiliés à un seul utilisateur. Utilisez cette option pour les appareils qui n'ont pas accès aux données locales des utilisateurs. Cette option est généralement utilisée pour les appareils kiosque, point de vente (POS) ou utilitaire partagé.
Dans certains cas, vous pouvez associer un utilisateur principal à des appareils inscrits sans affinité utilisateur. Pour effectuer cette tâche, vous pouvez envoyer la clé
IntuneUDAUserlessDevice
à l’application Portail d’entreprise dans une stratégie de configuration des applications pour les appareils gérés. Le premier utilisateur qui se connecte à l’application Portail d’entreprise est établi en tant qu’utilisateur principal. Si le premier utilisateur se déconnecte et qu’un deuxième utilisateur se connecte, le premier utilisateur reste l’utilisateur principal de l’appareil. Pour plus d’informations, consultez Configurer l’application Portail d’entreprise pour la prise en charge des appareils ADE iOS et iPadOS.S’inscrire avec le mode partagé Microsoft Entra ID : sélectionnez cette option pour inscrire les appareils qui seront en mode partagé.
Si vous avez sélectionné l’option S’inscrire avec affinité utilisateur dans le champ Affinité utilisateur, vous avez la possibilité de choisir la méthode d’authentification que les employés doivent utiliser. Pour plus d’informations sur chaque méthode d’authentification, consultez Méthodes d’authentification pour l’inscription automatisée des appareils.
Les options disponibles sont les suivantes :
- Portail d'entreprise
- Assistant Configuration (hérité)
- Assistant Configuration avec authentification moderne
Si vous avez sélectionné Assistant Configuration (hérité) comme méthode d’authentification, mais que vous voulez également utiliser l’accès conditionnel ou déployer des applications d’entreprise sur les appareils, vous devez installer l’application Portail d’entreprise sur les appareils, puis vous connecter pour finaliser l’inscription Microsoft Entra. Pour ce faire, sélectionnez Oui pour Installer le portail d’entreprise. Si vous souhaitez que les utilisateurs reçoivent Portail d'entreprise sans avoir à s’authentifier dans le App Store, dans Installer Portail d'entreprise avec VPP, sélectionnez un jeton VPP. Vérifiez que le jeton n’arrive pas à expiration et que vous avez suffisamment de licences d’appareils pour que l’application Portail d’entreprise se déploie correctement.
Si vous sélectionnez un jeton pour Installer le portail d’entreprise avec VPP, vous pouvez verrouiller l’appareil en mode Application unique (plus précisément l’application Portail d’entreprise) immédiatement après la fin de l’Assistant Configuration. Sélectionnez Oui pour Exécuter le portail d’entreprise en mode Application unique jusqu’à l’authentification pour définir cette option. Pour utiliser l’appareil, l’utilisateur doit d’abord s’authentifier en se connectant au Portail d'entreprise.
Remarque
L’authentification multifacteur n’est pas prise en charge sur un appareil verrouillé en mode Application unique. Cette limitation existe parce que l'appareil ne peut pas passer à une autre application pour compléter le deuxième facteur d'authentification. Si vous souhaitez une authentification multifacteur sur un appareil en mode Application unique, le second facteur doit se trouver sur un autre appareil.
Cette fonctionnalité est prise en charge seulement pour iOS/iPadOS 11.3.1 et ultérieur.
Si vous souhaitez que les appareils utilisant ce profil soient supervisés, sélectionnez Oui dans la liste Supervisés .
Les appareils supervisés vous offrent plus d'options de gestion et désactivent le verrouillage d'activation par défaut. Microsoft vous recommande d’utiliser ADE comme mécanisme d’activation du mode supervisé, en particulier si vous déployez un grand nombre d’appareils iOS/iPadOS. Les appareils iPad partagés Apple pour l’entreprise doivent être supervisés.
Les utilisateurs sont informés du fait que leurs appareils sont supervisés dans l’application Paramètres. Dans l’application en haut de l’écran, un message statique leur indique Cet iPhone est supervisé et géré par
<your organization>
.Remarque
Si un appareil est inscrit sans supervision, vous devez utiliser Apple Configurator si vous voulez le mettre sous supervision. Pour réinitialiser l’appareil de cette manière, vous devez le connecter à un Mac avec un câble USB. Pour plus d’informations, consultez Aide d’Apple Configurator.
Dans la liste Inscription verrouillée, sélectionnez Oui ou Non. L'inscription verrouillée désactive les paramètres iOS/iPadOS qui permettent de supprimer le profil de gestion. Si vous activez l’inscription verrouillée, le bouton de l’application Paramètres qui permet aux utilisateurs de supprimer un profil de gestion est masqué et les utilisateurs ne peuvent pas désinscrire leur appareil. Si vous configurez des appareils en mode partagé Microsoft Entra ID, sélectionnez Oui.
L’inscription verrouillée fonctionne un peu différemment, dans un premier temps, sur les appareils qui n’ont pas été achetés à l’origine via Apple Business Manager, mais qui ont été ajoutés ultérieurement pour faire partie de l’inscription automatique des appareils : les utilisateurs sur ces appareils peuvent voir le bouton Supprimer la gestion dans l’application Paramètres pendant les 30 premiers jours après l’activation de leur appareil. Après cette période provisoire, cette option est masquée. Pour plus d’informations, consultez Préparer les appareils manuellement (ouvre la documentation de l’aide d’Apple Configurator).
Importante
Ce paramètre est différent des options de suppression et de réinitialisation dans l’application Portail d'entreprise. Quelle que soit la manière dont vous configurez l’inscription verrouillée, les options Supprimer l’appareil ou Réinitialiser les paramètres d’usine de l’application Portail d'entreprise restent indisponibles sur les appareils inscrits par le biais de l’inscription automatisée des appareils. De même, les utilisateurs ne pourront pas supprimer l’appareil sur le site web Portail d’entreprise. Pour plus d’informations sur les actions en libre-service disponibles sur les appareils inscrits, consultez Actions en libre-service.
Si vous avez sélectionné Inscrire sans l’affinité utilisateur et Supervisé dans les étapes précédentes, vous devez décider s’il est nécessaire de configurer les appareils en tant qu’appareils iPad partagés Apple pour l’entreprise. Sélectionnez Ouipour les iPad partagés pour permettre à plusieurs utilisateurs de se connecter à un seul appareil. Les utilisateurs s’authentifient à l’aide de leurs ID Apple managés et comptes d’authentification fédérée ou à l’aide d’une session temporaire (comme le compte invité). Cette option nécessite iOS/iPadOS 13.4 ou version ultérieure. Avec l'iPad partagé, tous les volets de l'assistant de configuration après l'activation sont automatiquement ignorés.
Remarque
- Une réinitialisation d’appareil est nécessaire si un profil d’inscription iOS/iPadOS avec iPad partagé activé est envoyé à un appareil non pris en charge. Les appareils non pris en charge sont les suivants : tous les modèles d’iPhone et les iPad sous iPadOS/iOS 13.3 et versions antérieures. Les appareils pris en charge sont les iPads fonctionnant sous iPadOS 13.3 ou une version ultérieure.
- Pour mettre en place l'iPad partagé Apple pour l'entreprise, configurez ces paramètres :
- Dans la liste Affinité utilisateur, sélectionnez Inscrire sans l’affinité utilisateur.
- Dans la liste Supervisé, sélectionnez Oui.
- Dans la liste iPad partagé, sélectionnez Oui.
Si vous configurez des appareils Apple Shared iPad for Business, configurez également :
Maximum d'utilisateurs en cache : Entrez le nombre d'utilisateurs qui devraient utiliser l 'iPad partagé. Vous pouvez mettre en cache jusqu'à 24 utilisateurs sur un appareil de 32 ou 64 Go. Si vous choisissez un chiffre faible, il se peut que les données de vos utilisateurs mettent un certain temps à apparaître sur leurs appareils après leur connexion. Si vous choisissez un nombre élevé, vos utilisateurs risquent de manquer d'espace disque.
Nombre maximal de secondes après le verrouillage de l’écran avant que le mot de passe ne soit requis : entrez le délai en secondes. Les valeurs acceptées sont les suivantes : 0, 60, 300, 900, 3600 et 14400. Si le verrouillage de l'écran dépasse cette durée, un mot de passe de l'appareil sera nécessaire pour le déverrouiller. Disponible pour les appareils en mode iPad partagé fonctionnant sous iPadOS 13.0 ou une version ultérieure.
Nombre maximal de secondes d’inactivité jusqu’à ce que la session utilisateur se déconnecte : la valeur minimale autorisée pour ce paramètre est 30. S’il n’y a pas d’activité après la période définie, la session utilisateur se termine et déconnecte l’utilisateur. Si vous laissez l’entrée vide ou si vous la définissez sur zéro (0), la session ne se terminera jamais en raison d’une inactivité. Disponible pour les appareils en mode iPad partagé fonctionnant sous iPadOS 14.5 ou une version ultérieure.
Nécessite une session iPad session temporaire uniquement : configure l’appareil de sorte que les utilisateurs voient uniquement la version invité de l’expérience de la session et doivent se connecter en tant qu’invités. Ils ne peuvent pas se connecter avec un identifiant Apple géré. Disponible pour les appareils en mode iPad partagé fonctionnant sous iPadOS 14.5 ou une version ultérieure.
Lorsqu'il est défini sur Oui, ce paramètre annule les paramètres suivants de l'iPad partagé, car ils ne sont pas applicables aux sessions temporaires :
- Nombre maximum d'utilisateurs en cache
- Nombre maximal de secondes après le verrouillage de l'écran avant que le mot de passe ne soit demandé
- Nombre maximum de secondes d'inactivité avant que la session de l'utilisateur ne se déconnecte
Nombre maximal de secondes d’inactivité jusqu’à ce que la session temporaire se déconnecte : la valeur minimale autorisée pour ce paramètre est 30. S’il n’y a aucune activité après la période définie, la session temporaire se termine et déconnecte l’utilisateur. Si vous laissez l’entrée vide ou si vous la définissez sur zéro (0), la session ne se terminera jamais en raison d’une inactivité. Disponible pour les appareils en mode iPad partagé fonctionnant sous iPadOS 14.5 ou une version ultérieure.
Ce paramètre est disponible lorsque l'option Requérir une session temporaire d'iPad partagé uniquement est réglée sur Oui.
Remarque
- Si les sessions temporaires sont activées, toutes les données de l’utilisateur sont supprimées lorsqu’ils se dé connectent à la session. Cela signifie que toutes les stratégies et applications ciblées seront transmises à l'utilisateur lorsqu'il se connectera, et qu'elles seront effacées lorsque l'utilisateur se déconnectera.
- Pour modifier une configuration d'iPads partagés afin de ne pas avoir de sessions temporaires, l'appareil devra être entièrement réinitialisé et un nouveau profil d'inscription avec les configurations mises à jour devra être envoyé à l'iPad.
Dans la liste Synchroniser avec les ordinateurs, sélectionnez une option pour les appareils qui utilisent ce profil. Si vous avez sélectionné Autoriser Apple Configurator par certificat, vous devez choisir un certificat sous Certificats Apple Configurator.
Remarque
Si vous définissez Synchroniser avec des ordinateurs sur Refuser tout, le port sera limité sur les appareils iOS et iPadOS. Le port sera limité et permettra seulement la charge. L’utilisation d’iTunes ou d’Apple Configurator 2 sera bloquée.
Si vous définissez Synchroniser avec des ordinateurs sur Autoriser Apple Configurator par certificat, veillez à avoir une copie locale du certificat que vous pouvez utiliser ultérieurement. Vous ne pourrez pas apporter de modifications à la copie chargée et il est important de conserver une copie de ce certificat. Si vous voulez vous connecter à l’appareil iOS/iPadOS à partir d’un appareil Mac, le même certificat doit être installé sur l’appareil établissant la connexion à l’appareil iOS/iPadOS.
Si vous avez sélectionné Autoriser Apple Configurator par certificat à l’étape précédente, choisissez un certificat Apple Configurator à importer. La limite est de 10 certificats.
Pour Attendre la configuration finale, les options sont les suivantes :
Oui : activez une expérience verrouillée à la fin de l’Assistant Configuration pour vous assurer que vos stratégies de configuration d’appareil les plus critiques sont installées sur l’appareil. Juste avant le chargement de l’écran d’accueil, l’Assistant Configuration s’interrompt et permet à Intune de se connecter à l’appareil. L’expérience utilisateur final se verrouille pendant que les utilisateurs attendent les configurations finales.
La durée pendant laquelle les utilisateurs sont bloqués sur l’écran Attente de la configuration finale varie et dépend du nombre total de politiques et d’applications que vous appliquez à l’appareil. Plus il y a de politiques et d’applications affectées à l’appareil, plus le temps d’attente est long. L’Assistant Configuration et Microsoft Intune n’appliquent pas de limite de temps minimale ou maximale pendant cette partie de l’installation. Lors de la validation du produit, la plupart des appareils que nous avons testés ont été libérés et ont pu accéder à l’écran d’accueil dans les 15 minutes. Si vous activez cette fonctionnalité et que vous utilisez quelqu’un en dehors de Microsoft pour vous aider à approvisionner des appareils, informez-lui du risque d’augmentation du temps d’approvisionnement.
Remarque
Seules les stratégies de configuration d’appareil commencent à s’installer pendant l’attente de l’écran de configuration final, et les applications ne sont pas incluses dans ce.
L’expérience verrouillée fonctionne sur les appareils ciblés avec des profils d’inscription nouveaux et existants. √ Les appareils pris en charge sont les suivants :
- Appareils iOS/iPadOS 13+ qui s’inscrivent auprès de l’Assistant Configuration avec authentification moderne
- Inscription d’appareils iOS/iPadOS 13+ sans affinité utilisateur
- Appareils iOS/iPadOS 13+ qui s’inscrivent avec le mode partagé Microsoft Entra ID
Ce paramètre est appliqué une fois au cours de l’expérience d’inscription automatisée des appareils dans l’Assistant Configuration. L’utilisateur de l’appareil ne l’expérimentera plus, sauf s’il réinscrit son appareil. Oui est le paramètre par défaut pour les nouveaux profils d’inscription.
Non : l’appareil est renvoyé sur l’écran d’accueil à la fin de l’Assistant Configuration, quel que soit le statut d’installation de la politique. Les utilisateurs de l’appareil peuvent accéder à l’écran d’accueil ou modifier les paramètres de l’appareil avant l’installation de toutes les stratégies. Non est le paramètre par défaut pour les profils d’inscription existants.
Le paramètre de configuration en attente n’est pas disponible dans les profils présentant cette combinaison de configurations :
- Affinité utilisateur : s'inscrire sans affinité utilisateur (étape 6 dans cette section)
- iPad partagé : Oui (étape 12 dans cette section)
Si vous le souhaitez, créez un modèle de nom d’appareil pour identifier rapidement les appareils affectés à ce profil dans le Centre d’administration. Intune utilise votre modèle pour créer et mettre en forme des noms d’appareils. Les noms sont attribués aux appareils lors de leur inscription et lors de chaque enregistrement successif. Pour créer un modèle :
Sous Appliquer le modèle de nom de l’appareil, sélectionnez Oui.
Dans la zone Modèle de nom d’appareil, entrez le modèle que vous souhaitez utiliser pour construire des noms d’appareils. Le modèle peut inclure le type d’appareil et le numéro de série. Il ne peut pas contenir plus de 63 caractères, y compris les variables. Exemple :
{{DEVICETYPE}}-{{SERIAL}}
Vous pouvez activer un plan de données cellulaires. Ce paramètre s’applique aux appareils exécutant iOS/iPadOS 13.0 et ultérieurs. La configuration de cette option envoie une commande pour activer les plans de données cellulaires pour vos appareils cellulaires compatibles avec eSim. Votre opérateur doit fournir des activations pour vos appareils avant de pouvoir activer des plans de données à l’aide de cette commande. Pour activer le plan de données cellulaires, sélectionnez Oui, puis entrez l’URL du serveur d’activation de votre opérateur.
Sélectionnez Suivant.
Sous l’onglet Assistant de configuration, configurez les paramètres de profil suivants :
Paramètre du service Description Department Apparaît lorsque les utilisateurs tapent sur À propos de la configuration pendant l'activation. Téléphone du département Apparaît quand l’utilisateur appuie sur le bouton Besoin d’aide lors de l’activation. Vous pouvez masquer les écrans de l'Assistant Configuration sur l'appareil pendant la configuration de l'utilisateur. Pour obtenir une description de tous les écrans, consultez la référence d’écran de l’Assistant Configuration (dans cet article).
- Si vous sélectionnez Masquer, l’écran ne s’affiche pas pendant l’installation. Après avoir configuré l’appareil, l’utilisateur peut toujours accéder au menu Paramètres pour configurer la fonctionnalité.
- Si vous sélectionnez Afficher, l’écran s’affiche pendant l’installation, mais uniquement s’il existe des étapes à effectuer après la restauration ou après la mise à jour logicielle. Les utilisateurs peuvent parfois passer l'écran sans prendre de mesures. Ils peuvent accéder ultérieurement au menu Paramètres de l’appareil pour configurer la fonctionnalité.
- Avec l'iPad partagé, tous les volets de l'assistant de configuration après l'activation sont automatiquement ignorés, quelle que soit la configuration.
Sélectionnez Suivant.
Pour enregistrer le profil, sélectionnez Créer.
Groupes dynamiques dans Microsoft Entra ID
Vous pouvez utiliser le champ Nom de l’inscription pour créer un groupe dynamique dans Microsoft Entra ID. Pour plus d’informations, consultez les groupes dynamiques Microsoft Entra.
Vous pouvez utiliser le nom du profil pour définir le paramètre enrollmentProfileName afin d'affecter des périphériques avec ce profil d'inscription.
Avant l’installation de l’appareil et pour garantir une livraison rapide aux appareils ayant une affinité utilisateur, assurez-vous que l’utilisateur inscrit est membre d’un groupe d’utilisateurs Microsoft Entra.
Si vous affectez des groupes dynamiques à des profils d’inscription, il peut y avoir un certain délai de remise des applications et des stratégies aux appareils après l’inscription.
Référence d’écran de l’Assistant Configuration
Le tableau suivant décrit les écrans de l’Assistant Configuration affichés lors de l’inscription automatisée des appareils pour iOS/iPadOS. Vous pouvez afficher ou masquer ces écrans sur les appareils pris en charge pendant l’inscription. Pour plus d’informations sur la façon dont chaque écran de l’Assistant Configuration affecte l’expérience utilisateur, consultez les ressources Apple suivantes :
- Guide de déploiement de la plateforme Apple : Gérer l’Assistant Configuration pour les appareils Apple
- Documentation pour les développeurs Apple : ShipKeys
Écran de l’Assistant Configuration | Que se passe-t-il lorsque ceci est visible ? |
---|---|
Code secret | Affiche le volet de verrouillage du code secret et du mot de passe pour les utilisateurs, et invite les utilisateurs à entrer un code secret. Exigez toujours un code secret pour les appareils non sécurisés, sauf si l’accès est contrôlé d’une autre manière (par exemple, par le biais d’une configuration en mode plein écran qui limite l’appareil à une seule application). Cet écran est disponible pour iOS/iPadOS 7.0 et versions ultérieures, avec certaines limitations. Pour plus d’informations, consultez Limitations dans cet article. |
Services de localisation | Affiche le volet d’installation des services de localisation, où les utilisateurs peuvent activer les services de localisation sur leur appareil. Pour iOS/iPadOS 7.0 et ultérieur. |
Restaurer | Affiche le volet d’installation des applications et des données. Sur cet écran, les utilisateurs qui configurent des appareils peuvent restaurer ou transférer des données à partir de sauvegarde iCloud. Pour iOS/iPadOS 7.0 et ultérieur. |
ID Apple | Affiche le volet de configuration de l’ID Apple, qui donne aux utilisateurs la possibilité de se connecter avec leur ID Apple et d’utiliser iCloud. Pour iOS/iPadOS 7.0 et ultérieur. |
Conditions générales | Affiche le volet Conditions générales d’Apple et exige que les utilisateurs les acceptent. Pour iOS/iPadOS 7.0 et ultérieur. |
Touch ID et Face ID | Affiche le volet de configuration biométrique, qui donne aux utilisateurs la possibilité de configurer l’identification par empreinte digitale ou faciale sur leurs appareils. Pour iOS/iPadOS 8.1 et versions ultérieures, avec certaines limitations. Pour plus d’informations, consultez Limitations dans cet article. |
Apple Pay | Affiche le volet de configuration d’Apple Pay, qui donne aux utilisateurs la possibilité de configurer Apple Pay sur leurs appareils. Pour iOS/iPadOS 7.0 et ultérieur. |
Zoom | Affiche le volet de configuration du zoom, qui donne aux utilisateurs la possibilité de configurer les paramètres de zoom. Pour iOS/iPadOS 8.3 et versions ultérieures, et déconseillé dans iOS/iPadOS 17. |
Siri | Affiche le volet d’installation de Siri aux utilisateurs. Pour iOS/iPadOS 7.0 et ultérieur. |
Données de diagnostic | Affiche le volet diagnostics dans lequel les utilisateurs peuvent choisir d’envoyer des données de diagnostic à Apple. Pour iOS/iPadOS 7.0 et ultérieur. |
Tonalité d’affichage | Affiche le volet de configuration de la tonalité d’affichage, où les utilisateurs peuvent configurer les paramètres de la balance des blancs de l’affichage. Pour iOS/iPadOS 9.3.2 et versions ultérieures, et déconseillé dans iOS/iPadOS 15. |
Confidentialité | Affiche le volet de configuration de la confidentialité à l’utilisateur. Pour iOS/iPadOS 11.3 et versions ultérieures. |
Migration Android | Affiche un volet d’installation destiné aux utilisateurs Android précédents. Sur cet écran, les utilisateurs peuvent migrer des données à partir d’un appareil Android. Pour iOS/iPadOS 9.0 et ultérieur. |
iMessage & FaceTime | Affiche le volet d’installation pour iMessage et FaceTime. Pour iOS/iPadOS 9.0 et ultérieur. |
Intégration | Affiche des écrans d’informations d’intégration pour l’éducation des utilisateurs, tels que Feuille de couverture et Multitâche et Centre de contrôle. Pour iOS/iPadOS 11.0 et ultérieur. |
Heure de l’écran | Affiche l’écran Temps de l’écran. Pour iOS/iPadOS 12.0 et ultérieur. |
Configuration de la SIM | Affiche le volet configuration cellulaire, dans lequel les utilisateurs peuvent ajouter un plan de téléphonie mobile. Pour iOS/iPadOS 12.0 et ultérieur. |
Mise à jour logicielle | Affiche l’écran de mise à jour logicielle obligatoire. Pour iOS/iPadOS 12.0 et ultérieur. |
Migration Watch | Affiche le volet de migration de l’Apple Watch, où les utilisateurs peuvent migrer des données à partir d’une Apple Watch. Pour iOS/iPadOS 11.0 et ultérieur. |
Apparence | Affiche le volet de configuration de l’apparence. Pour iOS/iPadOS 13.0 et ultérieur. |
Migration des appareils vers les appareils | Affiche le volet de migration appareil-à-appareil. Sur cet écran, les utilisateurs peuvent transférer des données d’un ancien appareil vers leur appareil actuel. L’option de transfert de données directement à partir d’un appareil n’est pas disponible pour les appareils exécutant iOS 13 ou version ultérieure. |
Restauration effectuée | Affiche aux utilisateurs l’écran Restauration terminée après l’exécution d’une sauvegarde et d’une restauration pendant l’Assistant de configuration. |
Mise à jour de logiciel effectuée | Affiche aux utilisateurs toutes les mises à jour logicielles qui se produisent pendant l’Assistant Configuration. |
Prise en main | Affiche aux utilisateurs l’écran d’accueil de la prise en main. |
Forme d’adresse | Affiche le volet des conditions d’adresse, qui donne aux utilisateurs la possibilité de choisir la façon dont ils souhaitent être traités dans le système : féminin, masculin ou neutre. Cette fonctionnalité Apple est disponible pour certaines langues. Pour plus d’informations, consultez Fonctionnalités principales et améliorations(ouvre le site web Apple). Pour iOS/iPadOS 16.0 et versions ultérieures. |
SOS d’urgence | Affiche le volet configuration de la sécurité. Pour iOS/iPadOS 16.0 et versions ultérieures. |
Bouton Action | Affiche le volet de configuration du bouton d’action. Pour iOS/iPadOS 17.0 et versions ultérieures. |
Intelligence | Affiche le volet d’installation d’Apple Intelligence, où les utilisateurs peuvent configurer les fonctionnalités Apple Intelligence. Pour iOS/iPadOS 18.0 et versions ultérieures. |
Synchroniser des appareils gérés
Maintenant qu’Intune est autorisé à gérer vos appareils, vous pouvez synchroniser Intune avec Apple pour voir vos appareils gérés dans le portail Azure d’Intune.
Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.
Sélectionnez l’onglet Apple.
Sélectionnez Jetons du programme d’inscription.
Sélectionnez un jeton dans la liste, puis sélectionnez Synchronisation des appareils>.
Pour respecter les conditions d’Apple relatives à un trafic de programme d’inscription acceptable, Intune impose les restrictions suivantes :
- Une synchronisation complète ne peut pas s’exécuter plus d’une fois tous les sept jours. Pendant une synchronisation complète, Intune extrait toute la liste actualisée des numéros de série attribués au serveur MDM Apple connecté à Intune.
Importante
Si un appareil est supprimé d'Intune, mais reste attribué au jeton d'inscription ADE dans le portail ASM/ABM, il réapparaîtra dans Intune lors de la prochaine synchronisation complète. Si vous ne voulez pas que l'appareil réapparaisse dans Intune, désassignez-le du serveur MDM Apple dans le portail ABM/ASM.
- Si un appareil est retiré d’ABM/ASM, jusqu’à 45 jours peuvent être nécessaires pour qu’il soit automatiquement supprimé de la page des appareils dans Intune. Vous pouvez supprimer manuellement un par un des appareils retirés d’Intune, si nécessaire. Les appareils libérés sont signalés avec précision comme étant supprimés d’ABM/ASM dans Intune jusqu’à ce qu’ils soient automatiquement supprimés dans un délai de 30 à 45 jours.
- Une synchronisation delta est exécutée automatiquement toutes les 12 heures. Vous pouvez également déclencher une synchronisation delta en sélectionnant le bouton Synchroniser (pas plus d’une fois toutes les 15 minutes). Toutes les demandes de synchronisation ont 15 minutes pour se terminer. Le bouton Synchroniser devient inactif jusqu’à ce que la synchronisation soit terminée. La synchronisation actualise l’appareil existant status et importe les nouveaux appareils affectés au serveur MDM Apple. Si une synchronisation delta échoue pour une raison quelconque, la synchronisation suivante est une synchronisation complète et peut résoudre les problèmes.
- Une synchronisation complète ne peut pas s’exécuter plus d’une fois tous les sept jours. Pendant une synchronisation complète, Intune extrait toute la liste actualisée des numéros de série attribués au serveur MDM Apple connecté à Intune.
Affecter un profil d’inscription à des appareils
Avant que les appareils puissent être inscrits, vous devez leur affecter un profil d’inscription.
Remarque
Vous pouvez aussi affecter des numéros de série aux profils à partir du volet Numéros de série Apple.
- Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.
- Sélectionnez l’onglet Apple.
- Sélectionnez Jetons du programme d’inscription.
- Sélectionnez un jeton d’inscription.
- Sélectionnez Appareils.
- Sélectionnez tous les appareils que vous souhaitez affecter, puis sélectionnez Affecter un profil.
- Sous Affecter le profil, choisissez le profil d’inscription automatisée des appareils que vous avez créé pour les appareils, puis sélectionnez Affecter.
Attribuer un profil par défaut
Vous pouvez choisir un profil par défaut à appliquer à tous les appareils qui s’inscrivent avec un jeton spécifique.
- Dans le Centre d’administration, revenez à Jetons du programme d’inscription.
- Sélectionnez un jeton d’inscription.
- Sélectionnez Définir le profil par défaut.
- Sélectionnez un profil dans la liste, puis sélectionnez Enregistrer. À partir de là, Intune applique le profil à tous les appareils qui s’inscrivent avec le jeton d’inscription sélectionné.
Remarque
Assurez-vous que Restrictions de type d’appareil sous Restrictions d’inscription n’a pas la stratégie par défaut Tous les utilisateurs définie sur la plateforme iOS/iPadOS. Ce paramètre entraîne l’échec de l’inscription automatique et votre appareil s’affiche comme profil non valide, quelle que soit l’attestation de l’utilisateur. Pour autoriser l’inscription uniquement par les appareils gérés par l’entreprise, bloquez uniquement les appareils personnels, ce qui permettra aux appareils de l’entreprise de s’inscrire. Microsoft définit un appareil d’entreprise comme un appareil qui est inscrit via un Programme d’inscription des appareils ou un appareil entré manuellement sous les Identificateurs d’appareil d’entreprise.
Distribuer les appareils
Vous avez activé la gestion et la synchronisation entre Apple et Intune, et vous avez attribué un profil pour que vos appareils ADE puissent s’inscrire. Vous êtes maintenant prêt à distribuer des appareils aux utilisateurs. Quelques informations à connaître :
Pour utiliser des appareils inscrits avec l’affinité utilisateur, les utilisateurs doivent disposer d’une licence Intune attribuée.
Les appareils inscrits sans affinité utilisateur n'ont généralement pas d'utilisateurs associés. Ces appareils doivent disposer d’une licence d’appareil Intune. Si un appareil sans affinité utilisateur est utilisé par un utilisateur sous licence Intune, une licence d’appareil n’est pas nécessaire.
Pour récapituler, si un appareil a un utilisateur, celui-ci doit avoir une licence Intune qui lui est affectée. Si l’appareil n’a pas d’utilisateur avec une licence Intune, il doit avoir une licence d’appareil Intune.
Pour plus d’informations sur la gestion des licences Intune, consultez Gestion des licences Microsoft Intune et le Guide de planification Intune.
Un appareil qui est déjà activé doit être réinitialiser avant de pouvoir s’inscrire correctement avec l’inscription automatisée des appareils. Après l’avoir effacé, mais avant de l’activer à nouveau, vous pouvez appliquer le profil d’inscription. Consultez Configuration d’un iPhone, d’un iPad ou d’un iPod touch existant
Si vous inscrivez avec ADE et affinité d'utilisateur, l'erreur suivante peut se produire pendant la configuration :
The SCEP server returned an invalid response.
Vous pouvez résoudre cette erreur en tentant de télécharger à nouveau la gestion dans un délai de 15 minutes. Après 15 minutes, vous devez réinitialiser l’appareil aux paramètres d’usine pour résoudre l’erreur. Cette erreur se produit en raison d’une limite de temps de 15 minutes sur les certificats SCEP, qui est appliquée à des fins de sécurité.
Pour plus d’informations sur l’expérience de l’utilisateur final, consultez Inscrire votre appareil iOS/iPadOS dans Intune en utilisant ADE.
Inscrire à nouveau un appareil
Effectuez ces étapes pour inscrire à nouveau un appareil qui a déjà fait l’objet d’une inscription automatisée.
- Il existe deux options pour réinitialiser l’appareil :
- Effacer l’appareil dans le centre d’administration Microsoft Intune.
- Mettre hors service l’appareil dans le centre d’administration, puis réinitialiser l’appareil aux paramètres d’usine à l’aide de l’application Paramètres, d’Apple Configurator 2 ou d’iTunes.
- Activez l’appareil et suivez les étapes à l’écran de l’Assistant Configuration pour récupérer le profil de gestion à distance.
Renouveler un jeton d’inscription d’appareils automatisée
Il est important de renouveler votre jeton de programme d’inscription chaque année. Le centre d’administration Intune affiche la date d’expiration.
- Si le mot de passe de l’identifiant Apple change pour l’utilisateur qui a configuré le jeton dans Apple Business Manager, renouvelez votre jeton du programme d’inscription dans Intune et dans Apple Business Manager.
- Si l’utilisateur qui a configuré le jeton dans Apple Business Manager quitte l’organisation, renouvelez votre jeton du programme d’inscription dans Intune et dans Apple Business Manager.
- Lorsque vous modifiez l’ID Apple utilisé pour créer le jeton ADE, la modification n’affecte pas les appareils actuellement inscrits avec ce jeton, jusqu’à ce qu’ils se réinscrient. Ce comportement est différent du certificat Apple Push Notification Service (APNS) utilisé pour le locataire. Le certificat APNS peut être modifié avec l’aide du Support Apple. Sinon, pour apporter des modifications, tous les appareils doivent se réinscrire.
Renouveler vos jetons
Accédez à business.apple.com et connectez-vous avec un compte ayant un rôle Administrateur ou Gestionnaire d’inscription d’appareil.
Sélectionnez Paramètres. Sous Serveurs MDM, sélectionnez le serveur MDM associé au fichier de jeton que vous voulez renouveler. Sélectionnez Télécharger le jeton.
Sélectionnez Télécharger le jeton du serveur.
Remarque
Comme indiqué dans l’invite, ne sélectionnez pas Télécharger le jeton du serveur si vous ne prévoyez pas de renouveler le jeton. Ceci invalidera le jeton utilisé par Intune (ou par toute autre solution MDM). Si vous avez déjà téléchargé le jeton, veillez à effectuer les étapes suivantes jusqu’à ce que le jeton soit renouvelé.
Après avoir téléchargé le jeton, accédez au centre d’administration Microsoft Intune.
Sélectionnez Appareils>Inscription.
Sélectionnez Jetons du programme d’inscription.
Sélectionnez le jeton.
Sélectionnez Renouveler le jeton. Entrez l’ID Apple utilisé pour créer le jeton d’origine (s’il n’est pas déjà renseigné) :
Chargez le jeton qui vient d’être téléchargé.
Sélectionnez Suivant pour accéder à la page Balises d’étendue. Affectez des balises d’étendue si vous le souhaitez.
Sélectionnez Renouveler le jeton. Attendez la confirmation que le renouvellement du jeton est terminé.
Supprimer un jeton d’inscription d’appareils automatisée d’Intune
Vous pouvez supprimer un jeton de profil d’inscription dans Intune aux conditions suivantes :
- Aucun appareil n’est affecté au jeton.
- Aucun appareil n’est affecté au profil par défaut.
- Il n’existe aucun profil d’inscription sous ce jeton.
Pour supprimer un jeton de profil d’inscription :
- Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.
- Sélectionnez l’onglet Apple.
- Sélectionnez Jetons du programme d’inscription
- Sélectionnez le jeton, puis sélectionnez Appareils.
- Supprimez tous les appareils affectés au jeton.
- Revenez à Jetons du programme d’inscription. Sélectionnez le jeton, puis sélectionnez Profils.
- S’il existe un profil par défaut ou un autre profil d’inscription, ils doivent tous être supprimés.
- Revenez à Jetons du programme d’inscription. Sélectionnez le jeton, puis sélectionnez Supprimer.
Limitations
Ces écrans de l’Assistant Configuration ne fonctionnent pas correctement sur les appareils exécutant iOS/iPadOS 14.5 et versions ultérieures :
- Code secret
- Touch ID et Face ID
Masquez les deux écrans sur les appareils exécutant iOS/iPadOS 14.5 et versions ultérieures. Si vous souhaitez exiger des codes secrets sur ces appareils, créez une stratégie de configuration d’appareil ou une stratégie de conformité avec les exigences de code secret. Une fois que l’utilisateur a inscrit et reçu la stratégie, l’exigence de code secret entre en jeu.
Étapes suivantes
Pour obtenir une vue d’ensemble de la configuration requise pour les utilisateurs d’appareils, consultez Tâches de l’utilisateur final ADE.