Partager via

Méthodes d’authentification pour l’inscription automatisée des appareils dans Intune

  • Article

S’applique à iOS/iPadOS

Cet article décrit les méthodes d’authentification disponibles pour les appareils iOS/iPadOS inscrits dans Intune via l’inscription automatisée des appareils. Les méthodes d’authentification disponibles sont les suivantes :

  • Application Portail d’entreprise Intune
  • Assistant Configuration avec authentification moderne
  • Inscription juste-à-temps (JIT) pour l’Assistant Configuration avec authentification moderne
  • Assistant Configuration (hérité)

Toutes les méthodes sont disponibles pour les appareils appartenant à l’entreprise avec affinité utilisateur et achetés via Apple Business Manager ou Apple School Manager.

Option 1 : application Portail d’entreprise Intune

Utilisez l’application Portail d’entreprise Intune comme méthode d’authentification si vous souhaitez :

  • Utilisez l’authentification multifacteur (MFA).
  • Inviter les utilisateurs à changer leur mot de passe lors de leur première connexion.
  • Inviter les utilisateurs à réinitialiser leurs mots de passe expirés lors de l’inscription.
  • Inscrivez les appareils dans l’ID Microsoft Entra et utilisez les fonctionnalités disponibles avec l’ID Microsoft Entra, telles que l’accès conditionnel.
  • Installez automatiquement l’application Portail d’entreprise pendant l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
  • Vous voulez verrouiller l’appareil jusqu’à ce que l’application Portail d’entreprise soit installée.

Attention

Intune bloque une inscription qui utilise cette méthode d’authentification si l’utilisateur de l’appareil est ciblé avec un type de profil d’inscription utilisateur Apple basé sur un compte. Ce comportement est normal. L’utilisateur reçoit un message d’erreur indiquant que son compte ne prend pas en charge l’inscription via l’application Portail d’entreprise et qu’il doit s’inscrire via le site web portail d’entreprise. Pour garantir la réussite des inscriptions via l’inscription automatisée des appareils, utilisez l’Option 2 : Assistant Configuration avec l’authentification moderne comme méthode d’authentification lorsque vous utilisez des types de profil d’inscription utilisateur Apple pilotés par compte.

Option 2 : Assistant Configuration avec l’authentification moderne

Cette option offre la même sécurité que l’authentification du portail d’entreprise Intune, mais elle est différente, car elle permet à l’utilisateur de l’appareil d’accéder à des parties de l’appareil même si le portail d’entreprise n’a pas été installé. Utilisez cette option pour l’authentification lorsque vous souhaitez :

  • Réinitialiser l’appareil.
  • Utilisez l’authentification multifacteur (MFA).
  • Inviter les utilisateurs à changer leur mot de passe lors de leur première connexion.
  • Inviter les utilisateurs à réinitialiser leurs mots de passe expirés lors de l’inscription.
  • Inscrivez les appareils dans l’ID Microsoft Entra et utilisez les fonctionnalités disponibles avec l’ID Microsoft Entra, telles que l’accès conditionnel.
  • Installez automatiquement l’application Portail d’entreprise pendant l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
  • Autoriser les utilisateurs à utiliser l’appareil même lorsque l’application Portail d’entreprise n’est pas installée.

L’Assistant Configuration avec authentification moderne est pris en charge sur les appareils exécutant iOS/iPadOS 13.0 et versions ultérieures. Les appareils iOS/iPadOS plus anciens auxquels ce type de profil est affecté revient à l’authentification de l’Assistant Configuration (hérité ).

Installer automatiquement l’application Portail d’entreprise

Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs. Pour activer l’installation automatique dans votre profil d’inscription, sélectionnez Oui pour Installer le portail d’entreprise avec VPP. Nous vous recommandons d’utiliser cette option.

Si vous n’utilisez pas l’option VPP, l’utilisateur de l’appareil doit entrer son ID Apple pendant l’Assistant Configuration ou quand Intune tente d’installer le Portail d’entreprise.

Dans les deux scénarios, l’option d’installation portail d’entreprise est masquée à l’utilisateur de l’appareil, et le portail d’entreprise devient une application obligatoire sur son appareil. Lorsque l’utilisateur atteint l’écran d’accueil, Intune applique automatiquement la stratégie de configuration d’application appropriée à l’appareil.

Attention

N’envoyez pas de stratégie distincte de configuration des applications au Portail d’entreprise pour les appareils iOS/iPadOS après inscription auprès de l’Assistant Configuration avec l’authentification moderne. Cela provoquerait une erreur.

Authentification multifacteur

L’authentification multifacteur (MFA) est requise si une stratégie d’accès conditionnel qui l’exige est appliquée lors de l’inscription ou lors de la connexion au portail d’entreprise. Toutefois, l’authentification multifacteur est facultative, en fonction des paramètres Microsoft Entra dans la stratégie d’accès conditionnel ciblée.

Les méthodes d’authentification externes sont prises en charge dans l’ID Microsoft Entra, ce qui signifie que vous pouvez utiliser votre solution MFA préférée pour faciliter l’authentification multifacteur lors de l’inscription de l’appareil. Si vous choisissez d’utiliser un fournisseur MFA tiers, avant de déployer des profils d’inscription sur tous les appareils, effectuez une série de tests pour vous assurer que l’écran MFA microsoft Entra et l’authentification multifacteur fonctionnent tous les deux pendant l’inscription. Pour plus d’informations et pour plus d’informations sur les méthodes d’authentification externe, consultez Préversion publique : Méthodes d’authentification externes dans l’ID Microsoft Entra.

Action du portail d’entreprise requise

Après avoir parcouru les écrans de l’Assistant Configuration, l’utilisateur de l’appareil arrive sur la page d’accueil. À ce stade, leur affinité utilisateur est établie. Toutefois, jusqu’à ce que l’utilisateur se connecte au portail d’entreprise à l’aide de ses informations d’identification Microsoft Entra et sélectionne Commencer, l’appareil :

  • Ne sera pas entièrement inscrit avec l’ID Microsoft Entra.
  • Ne s’affiche pas dans la liste des appareils de l’utilisateur dans l’ID Microsoft Entra.
  • L’appareil n’a pas accès aux ressources protégées par l’accès conditionnel.
  • L’appareil ne fait pas l’objet d’une évaluation de conformité.
  • L’appareil sera redirigé vers le Portail d’entreprise à partir d’autres applications si l’utilisateur tente d’ouvrir des applications gérées protégées par l’accès conditionnel.

Option 3 : Inscription juste-à-temps pour l’Assistant Configuration avec authentification moderne

Cette option est identique à celle de l’Assistant Configuration avec authentification moderne, sauf que portail d’entreprise n’est pas requis pour l’inscription ou la conformité à Microsoft Entra. Au lieu de cela, les vérifications d’inscription et de conformité Microsoft Entra sont entièrement intégrées dans une application Microsoft désignée ou non Microsoft configurée avec l’extension d’application d’authentification unique (SSO) Apple. L’extension réduit les invites d’authentification et établit l’authentification unique sur l’ensemble de l’appareil. L’inscription JIT invite les utilisateurs à s’authentifier deux fois :

  • Une authentification gère l’inscription et l’affinité utilisateur-appareil, et se produit lorsque l’utilisateur de l’appareil allume son appareil et se connecte à l’Assistant Configuration.
  • Une autre authentification gère l’inscription Microsoft Entra et se produit lorsque l’utilisateur se connecte à l’application désignée. Des vérifications de conformité sont également effectuées dans cette application.

Remarque

Si votre organisation utilise Microsoft Defender pour point de terminaison, pour que l’inscription JIT et la correction de conformité fonctionnent comme prévu, assurez-vous que l’application Microsoft Defender pour point de terminaison n’est pas le premier utilisateur de l’application ouverte.

Une fois que l’utilisateur de l’appareil atteint l’écran d’accueil, il peut se connecter à n’importe quelle application professionnelle ou scolaire configurée avec l’extension SSO pour effectuer les vérifications d’inscription et de conformité Microsoft Entra. L’authentification unique connecte l’utilisateur à toutes les applications qui font partie de votre stratégie d’extension d’authentification unique. À ce stade, ils peuvent également se connecter manuellement à n’importe quelle application qui n’est pas configurée pour utiliser l’extension SSO.

Pour configurer l’inscription JIT avec l’inscription automatisée des appareils :

  1. Créez une stratégie de configuration d’appareil et configurez les paramètres sous la catégorie Extension d’application Authentification unique . Pour connaître les étapes à suivre, consultez Configurer l’inscription juste-à-temps.

  2. Créez un profil d’inscription Apple et sélectionnez Assistant Configuration avec l’authentification moderne comme méthode d’authentification. Un jeton d’inscription d’appareil automatisé actif d’Apple Business Manager ou d’Apple School Manager doit être présent dans Intune pour effectuer cette étape.

  3. Lorsque vous accédez à la page Devoirs dans le profil d’inscription, affectez le profil aux appareils synchronisés à partir d’Apple Business Manager et d’Apple School Manager. Une fois le profil attribué, les employés et les étudiants peuvent effectuer la configuration et l’authentification sur leurs appareils.

    Remarque

    Le portail d’entreprise est toujours envoyé aux appareils en tant qu’application obligatoire, même s’il n’est pas requis pour l’inscription ou la conformité à Microsoft Entra. Les utilisateurs d’appareils peuvent utiliser l’application Portail d’entreprise pour collecter et charger des journaux s’ils rencontrent des problèmes dans l’application.

Exemple d’authentification réussie

La séquence d’événements suivante décrit un exemple de ce à quoi ressemble une authentification réussie avec inscription JIT pour l’Assistant Configuration avec l’authentification moderne. L’expérience de votre organisation peut être différente en fonction de vos configurations d’inscription d’appareils automatisées.

  1. L’utilisateur de l’appareil active l’appareil.

  2. L’Assistant Configuration commence. L’utilisateur de l’appareil s’authentifie avec ses informations d’identification Microsoft Entra dans l’Assistant Configuration.

  3. L’utilisateur de l’appareil effectue l’authentification multifacteur si nécessaire dans la stratégie d’accès conditionnel.

  4. L’appareil termine l’inscription dans Intune et l’affinité utilisateur-appareil est établie.

  5. L’utilisateur de l’appareil accède à l’écran d’accueil et ouvre Microsoft Teams ou une autre application Office et se connecte avec son compte professionnel. Si l’appareil répond à toutes les exigences de conformité, l’utilisateur de l’appareil a immédiatement accès à ses messages et à son calendrier.

    Remarque

    Lors de l’inscription à Microsoft Entra, l’utilisateur de l’appareil peut voir une courte rotation pendant qu’Intune termine les vérifications de conformité. Ce comportement est normal.

  6. L’extension SSO établit l’authentification unique dans toutes les autres applications ciblées et toutes les applications Microsoft.

  7. L’appareil est inscrit avec l’ID Microsoft Entra et conforme. Vous pouvez afficher l’état de l’appareil dans le centre d’administration et l’ID Microsoft Entra. L’utilisateur de l’appareil peut afficher l’état dans portail d’entreprise Intune et utiliser portail d’entreprise pour la conformité, l’inventaire des applications, la synchronisation des appareils et le partage des journaux.

  8. L’utilisateur de l’appareil ouvre Teams et est automatiquement connecté.

Option 4 : Assistant Configuration (hérité)

Utilisez l’Assistant Configuration hérité si vous souhaitez que les utilisateurs profitent de l’expérience standard prête à l’emploi pour les produits Apple. Cette option installe les paramètres préconfigurés standard lorsque l’appareil s’inscrit dans Intune. Utilisez cette option pour l’authentification dans les cas suivants :

  • Vous souhaitez réinitialiser un appareil.
  • Vous ne voulez pas de fonctionnalités d’authentification modernes telles que l’authentification multifacteur.
  • Vous ne souhaitez pas inscrire d’appareils dans l’ID Microsoft Entra. L’Assistant Configuration (hérité) authentifie l’utilisateur avec le jeton Apple .p7m.

Si vous utilisez les services de fédération Active Directory (AD FS) et l’Assistant Configuration pour vous authentifier, un point de terminaison Nom d’utilisateur/Mixte WS-Trust 1.3 est nécessaire. Pour plus d’informations, consultez Get-AdfsEndpoint dans notre guide de référence Windows PowerShell.

Étapes suivantes

Maintenant que vous savez quelle méthode d’authentification vous utilisez, créez un profil d’inscription Apple et sélectionnez la méthode d’authentification lorsque vous y êtes invité. Un jeton d’inscription d’appareil automatisé actif d’Apple Business Manager ou d’Apple School Manager doit être présent dans Intune pour effectuer cette étape.