Paramètres des fonctionnalités de l’appareil macOS dans Intune

Remarque

Intune peut prendre en charge davantage de paramètres que ceux répertoriés dans cet article. Tous les paramètres ne sont pas documentés et ne le seront pas. Pour afficher les paramètres que vous pouvez configurer, créez une stratégie de configuration d’appareil, puis sélectionnez Catalogue de paramètres. Pour plus d’informations, accédez à Catalogue de paramètres.

Intune inclut des paramètres intégrés pour personnaliser les fonctionnalités de vos appareils macOS. Par exemple, les administrateurs peuvent ajouter des imprimantes AirPrint, choisir la façon dont les utilisateurs se connectent, configurer les contrôles d’alimentation, utiliser l’authentification unique, etc.

Utilisez ces fonctionnalités pour contrôler les appareils macOS dans le cadre de votre solution de gestion des appareils mobiles (GPM).

Cette fonctionnalité s’applique à :

• macOS

Cet article décrit ces paramètres. Il répertorie également les étapes à suivre pour obtenir l’adresse IP, le chemin et le port des imprimantes AirPrint à l’aide de l’application Terminal (émulateur). Pour plus d’informations sur les fonctionnalités de l’appareil, consultez Ajouter des paramètres de fonctionnalité d’appareil iOS/iPadOS ou macOS.

Avant de commencer

• Create profil de configuration des fonctionnalités d’un appareil macOS.

• Ces paramètres s’appliquent à différents types d’inscription, certains s’appliquant à toutes les options d’inscription. Pour plus d’informations sur les différents types d’inscription, accédez à Inscription macOS.

AirPrint

Les paramètres s’appliquent à : Tous les types d’inscription

• Destinations AirPrint : entrez une ou plusieurs informations d’imprimante AirPrint afin que les utilisateurs puissent imprimer à partir de leurs appareils :

  • Adresse IP : entrez l’adresse IPv4 ou IPv6 de l’imprimante. Par exemple, entrez 10.0.0.1. Si vous utilisez des noms d’hôte pour identifier les imprimantes, vous pouvez obtenir l’adresse IP en effectuant un test ping sur l’imprimante dans l’application Terminal. Obtenir l’adresse IP et le chemin d’accès (dans cet article) contient plus de détails.
  • Chemin de la ressource : entrez le chemin d’accès aux ressources de l’imprimante. Le chemin d’accès est généralement ipp/print destiné aux imprimantes de votre réseau. Obtenir l’adresse IP et le chemin d’accès (dans cet article) contient plus de détails.
  • Port (iOS 11.0+, iPadOS 13.0+) : entrez le port d’écoute de la destination AirPrint. Si vous laissez cette propriété vide, AirPrint utilise le port par défaut.
  • Forcer TLS (iOS 11.0+, iPadOS 13.0+) : Vos options :
    • Désactiver (par défaut) : le protocole TLS (Transport Layer Security) n’est pas appliqué lors de la connexion aux imprimantes AirPrint.
    • Activer : sécurise les connexions AirPrint avec TLS (Transport Layer Security).

• Importez un fichier séparé par des virgules (.csv) qui inclut une liste d’imprimantes AirPrint. En outre, après avoir ajouté des imprimantes AirPrint dans Intune, vous pouvez exporter cette liste.

Obtenir l’adresse IP et le chemin d’accès

Pour ajouter des serveurs AirPrinter, vous avez besoin de l’adresse IP de l’imprimante, du chemin d’accès aux ressources et du port. Les étapes suivantes vous montrent comment obtenir ces informations.

1. Sur un Mac qui se connecte au même réseau local (sous-réseau) que les imprimantes AirPrint, ouvrez l’application Terminal (à partir de /Applications/Utilities).

2. Dans l’application Terminal, entrez ippfind, puis sélectionnez Entrée.

   Notez les informations de l’imprimante. Par exemple, il peut retourner quelque chose comme ipp://myprinter.local.:631/ipp/port1. La première partie est le nom de l’imprimante. La dernière partie (ipp/port1) est le chemin d’accès à la ressource.

3. Dans l’application Terminal, tapez ping myprinter.local, puis sélectionnez Entrée.

   Notez l’adresse IP. Par exemple, il peut retourner quelque chose comme PING myprinter.local (10.50.25.21).

4. Utilisez les valeurs d’adresse IP et de chemin d’accès aux ressources. Dans cet exemple, l’adresse IP est 10.50.25.21et le chemin de la ressource est /ipp/port1.

Domaines associés

Dans Intune, vous pouvez :

• Ajoutez de nombreuses associations d’application à domaine.
• Associez de nombreux domaines à la même application.

Ce paramètre s’applique à :

• macOS 10.15 et ultérieur

Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur et Inscription automatisée des appareils

Ces paramètres utilisent la charge utile AssociatedDomains.ConfigurationItem (ouvre le site web d’Apple).

• Domaines associés : ajoutez une association entre votre domaine et une application. Cette fonctionnalité partage les informations d’identification de connexion entre une application Contoso et un site web Contoso. Entrez également :

  • ID de l’application : entrez l’identificateur d’application de l’application à associer à un site web. L’identificateur de l’application inclut l’ID d’équipe et un ID de bundle : TeamID.BundleID.

    L’ID d’équipe est une chaîne alphanumérique de 10 caractères (lettres et chiffres) générée par Apple pour les développeurs de votre application, comme ABCDE12345. Localiser votre ID d’équipe (ouvre le site web d’Apple) contient plus d’informations.

    L’ID d’offre groupée identifie de manière unique l’application et est généralement mis en forme en notation de nom de domaine inverse. Par exemple, l’ID de bundle du Finder est com.apple.finder.

    Pour obtenir l’ID d’offre groupée :

    • Ouvrez l’application Terminal et utilisez AppleScript : osascript -e 'id of app "ExampleApp"'
    • Pour les applications ajoutées à Intune, vous pouvez utiliser le centre d’administration Intune.

  • Domaines : entrez le domaine du site web à associer à une application. Le domaine inclut un type de service et un nom d’hôte complet, comme webcredentials:www.contoso.com.

    Vous pouvez faire correspondre tous les sous-domaines d’un domaine associé en entrant *. (un caractère générique astérisque et un point) avant le début du domaine. La période est obligatoire. Les domaines exacts ont une priorité plus élevée que les domaines génériques. Par conséquent, les modèles des domaines parents sont mis en correspondance si aucune correspondance n’est trouvée au niveau du sous-domaine complet.

    Le type de service peut être :

    • authsrv : Extension d’application d’authentification unique
    • applink : lien universel
    • webcredentials : remplissage automatique du mot de passe

  • Activer les téléchargements directs : Oui télécharge les données de domaine directement à partir de l’appareil, au lieu de passer par le réseau de distribution de contenu (CDN) d’Apple. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut télécharger des données via le CDN d’Apple dédié aux domaines associés.

    Ce paramètre s’applique à :

    • macOS 11 et versions ultérieures

Conseil

Pour résoudre les problèmes, sur votre appareil macOS, ouvrezProfilsde préférences> système. Vérifiez que le profil que vous avez créé figure dans la liste des profils d’appareil. S’il est répertorié, vérifiez que la configuration des domaines associés se trouve dans le profil et qu’elle inclut l’ID d’application et les domaines appropriés.

Mise en cache du contenu

La mise en cache du contenu enregistre une copie locale du contenu. D’autres appareils Apple peuvent obtenir ces informations sans se connecter à Internet. Cette mise en cache accélère les téléchargements en enregistrant les mises à jour logicielles, les applications, les photos et d’autres contenus la première fois qu’ils sont téléchargés. Étant donné que les applications sont téléchargées une seule fois et partagées sur d’autres appareils, les écoles et les organization avec de nombreux appareils économisent de la bande passante.

Remarque

Utilisez un seul profil pour ces paramètres. Si vous affectez plusieurs profils avec ces paramètres, une erreur se produit.

Pour plus d’informations sur la surveillance de la mise en cache du contenu, accédez à Afficher les journaux et les statistiques de mise en cache du contenu (ouvre le site web d’Apple).

Ce paramètre s’applique à :

• macOS 10.13.4 et versions ultérieures

Les paramètres s’appliquent à : Tous les types d’inscription

Pour plus d’informations sur ces paramètres, accédez à Paramètres de charge utile de mise en cache du contenu (ouvre le site web d’Apple).

Activer la mise en cache du contenu : Oui active la mise en cache du contenu, et les utilisateurs ne peuvent pas la désactiver. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut le désactiver.

• Type de contenu à mettre en cache : Vos options :

  • Tout le contenu : met en cache le contenu iCloud et le contenu partagé.
  • Contenu utilisateur uniquement : met en cache le contenu iCloud de l’utilisateur, y compris les photos et les documents.
  • Contenu partagé uniquement : met en cache les applications et les mises à jour logicielles.

• Taille maximale du cache : entrez la quantité maximale d’espace disque (en octets) utilisée pour mettre en cache le contenu. Si ce paramètre n’est pas défini (valeur par défaut), Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut définir cette valeur sur zéro (0) octets, ce qui donne un espace disque illimité au cache.

  Veillez à ne pas dépasser l’espace disponible sur les appareils. Pour plus d’informations sur la capacité de stockage de l’appareil, consultez Comment iOS et macOS report storage capacity (ouvre le site web d’Apple).

• Emplacement du cache : entrez le chemin d’accès pour stocker le contenu mis en cache. L’emplacement par défaut est /Library/Application Support/Apple/AssetCache/Data. Nous vous recommandons de ne pas modifier cet emplacement.

  Si vous modifiez ce paramètre, votre contenu mis en cache n’est pas déplacé vers le nouvel emplacement. Pour le déplacer automatiquement, les utilisateurs doivent modifier l’emplacement sur l’appareil (Préférences> systèmePartage de> lamise en cache du contenu).

• Port : entrez le numéro de port TCP sur les appareils pour que le cache accepte les demandes de téléchargement et de chargement, compris entre 0 et 65535. Entrez zéro () (0valeur par défaut) pour utiliser le port disponible.

• Bloquer la connexion Internet et le partage de contenu de cache : également appelé mise en cache attachée. Oui empêche le partage de connexion Internet et empêche le partage de contenu mis en cache avec des appareils iOS/iPadOS connectés à leur Mac. Les utilisateurs ne peuvent pas activer cette fonctionnalité. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

• Activer le partage de connexion Internet : également appelé mise en cache attachée. Oui autorise le partage de connexion Internet et autorise le partage de contenu mis en cache avec des appareils iOS/iPadOS connectés par USB à leur Mac. Les utilisateurs ne peuvent pas désactiver cette fonctionnalité. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut le désactiver.

  Ce paramètre s’applique à :

  • macOS 10.15.4 et versions ultérieures

• Activer le cache pour journaliser les détails du client : Oui enregistre l’adresse IP et le numéro de port des appareils qui demandent du contenu. Si vous résolvez des problèmes d’appareil, ce fichier journal peut vous aider. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas enregistrer ces informations.

• Conservez toujours le contenu du cache, même lorsque le système a besoin d’espace disque pour d’autres applications : Oui conserve le contenu du cache et garantit que rien n’est supprimé, même lorsque l’espace disque est faible. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut vider automatiquement le contenu du cache lorsqu’il a besoin d’espace de stockage pour d’autres applications.

  Ce paramètre s’applique à :

  • macOS 10.15 et ultérieur

• Afficher status alertes : Oui affiche les alertes sous forme de notifications système. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher ces alertes sous forme de notifications système.

  Ce paramètre s’applique à :

  • macOS 10.15 et ultérieur

• Empêcher l’appareil de se mettre en veille lorsque la mise en cache est activée : Oui empêche l’ordinateur de se mettre en veille lorsque la mise en cache est activée. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’appareil à se mettre en veille.

  Ce paramètre s’applique à :

  • macOS 10.15 et ultérieur

• Appareils à mettre en cache : choisissez les appareils qui peuvent mettre en cache le contenu. Les options disponibles sont les suivantes :

  • Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre.
  • Appareils utilisant le même réseau local : le cache de contenu offre du contenu aux appareils sur le même réseau local immédiat. Aucun contenu n’est proposé aux appareils sur d’autres réseaux, y compris les appareils accessibles par le cache de contenu.
  • Appareils utilisant la même adresse IP publique : le cache de contenu offre du contenu aux appareils qui utilisent la même adresse IP publique. Aucun contenu n’est proposé aux appareils sur d’autres réseaux, y compris les appareils accessibles par le cache de contenu.
  • Appareils utilisant des réseaux locaux personnalisés : le cache de contenu fournit du contenu aux appareils dans les plages d’adresses IP que vous entrez.
    • Plages d’écoute du client : entrez la plage d’adresses IP pouvant recevoir le cache de contenu.
  • Appareils utilisant des réseaux locaux personnalisés avec secours : le cache de contenu fournit du contenu aux appareils dans les plages d’écoute, les plages d’écoute d’homologue et les adresses IP des parents.
    • Plages d’écoute du client : entrez la plage d’adresses IP pouvant recevoir le cache de contenu.

• Adresses IP publiques personnalisées : entrez une plage d’adresses IP publiques. Les serveurs cloud utilisent cette plage pour faire correspondre les appareils clients aux caches.

• Partager du contenu avec d’autres caches : lorsque votre réseau dispose de plusieurs caches de contenu, les caches de contenu sur d’autres appareils deviennent automatiquement des homologues. Ces appareils peuvent consulter et partager des logiciels mis en cache.

  Lorsqu’un élément demandé n’est pas disponible sur un cache de contenu, il recherche l’élément dans ses homologues. Si l’élément est disponible, il est téléchargé à partir du cache de contenu sur l’appareil homologue. S’il n’est toujours pas disponible, le cache de contenu télécharge l’élément à partir de :

  • Une adresse IP parente, le cas échéant, configurée

    OU

  • À partir d’Apple à l’aide d’Internet

  Lorsque plusieurs caches de contenu sont disponibles, les appareils sélectionnent automatiquement le cache de contenu approprié.

  Les options disponibles sont les suivantes :

  • Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre.

  • Caches de contenu utilisant les mêmes réseaux locaux : le cache de contenu est uniquement pair avec d’autres caches de contenu sur le même réseau local immédiat.

  • Caches de contenu utilisant la même adresse IP publique : le cache de contenu est uniquement pair avec d’autres caches de contenu sur la même adresse IP publique.

  • Caches de contenu utilisant des réseaux locaux personnalisés : le cache de contenu est uniquement homologue avec d’autres caches de contenu dans la plage d’écoute d’adresse IP que vous entrez :

    • Plages d’écoute d’homologue : entrez les adresses IP de début et de fin IPv4 ou IPv6 pour votre plage. Le cache de contenu répond uniquement aux demandes de cache d’homologue provenant des caches de contenu dans les plages d’adresses IP que vous entrez.
    • Plages de filtres d’homologues : entrez les adresses IP de début et de fin IPv4 ou IPv6 pour votre plage. Le cache de contenu filtre sa liste d’homologues à l’aide des plages d’adresses IP que vous entrez.

• Adresses IP parentes : entrez l’adresse IP locale d’un autre cache de contenu à ajouter en tant que cache parent. Votre cache charge et télécharge le contenu dans ces caches, au lieu de charger/télécharger directement avec Apple. Ajoutez une adresse IP parente une seule fois.

• Stratégie de sélection parente : lorsqu’il existe de nombreux caches parents, sélectionnez la façon dont l’adresse IP parente est choisie. Les options disponibles sont les suivantes :

  • Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre.
  • Tourniquet (round robin) : utilisez les adresses IP parentes dans l’ordre. Cette option est adaptée aux scénarios d’équilibrage de charge.
  • Première disponible : utilisez toujours la première adresse IP disponible dans la liste.
  • Hachage : crée une valeur de hachage pour la partie chemin d’accès de l’URL demandée. Cette option garantit que la même adresse IP parente est toujours utilisée pour la même URL.
  • Aléatoire : utilisez de manière aléatoire une adresse IP dans la liste. Cette option est adaptée aux scénarios d’équilibrage de charge.
  • Collant disponible : utilisez toujours la première adresse IP de la liste. Si elle n’est pas disponible, utilisez la deuxième adresse IP de la liste. Continuez à utiliser la deuxième adresse IP jusqu’à ce qu’elle ne soit pas disponible, etc.

Éléments de connexion

Les paramètres s’appliquent à : Tous les types d’inscription

• Ajouter les fichiers, dossiers et applications personnalisées qui seront lancés lors de la connexion : ajoutez le chemin d’accès d’un fichier, d’un dossier, d’une application personnalisée ou d’une application système qui s’ouvre lorsque les utilisateurs se connectent à leurs appareils. Entrez également :

  • Chemin d’accès de l’élément : entrez le chemin du fichier, du dossier ou de l’application. Les applications système, ou les applications créées ou personnalisées pour votre organization se trouvent généralement dans le Applications dossier , avec un chemin similaire à /Applications/AppName.app.

    Vous pouvez ajouter de nombreux fichiers, dossiers et applications. Par exemple, entrez :

    • /Applications/Calculator.app
    • /Applications
    • /Applications/Microsoft Office/root/Office16/winword.exe
    • /Users/UserName/music/itunes.app

    Lorsque vous ajoutez une application, un dossier ou un fichier, veillez à entrer le chemin d’accès correct. Tous les éléments ne se trouvent pas dans le Applications dossier . Si les utilisateurs déplacent un élément d’un emplacement à un autre, le chemin d’accès change. Cet élément déplacé n’est pas ouvert lorsque l’utilisateur se connecte.

  • Masquer : choisissez d’afficher ou de masquer l’application. Les options disponibles sont les suivantes :

    • Non configuré (valeur par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut afficher des éléments dans la liste Utilisateurs & Groupes éléments de connexion avec l’option Masquer désactivée.
    • Oui : masque l’application dans la liste Utilisateurs & Groupes éléments de connexion.

Fenêtre de connexion

Les paramètres s’appliquent à : Tous les types d’inscription

Disposition windows

• Afficher des informations supplémentaires dans la barre de menus : lorsque la zone de temps de la barre de menus est sélectionnée, Oui affiche le nom d’hôte et la version de macOS. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher ces informations dans la barre de menus.

• Bannière : entrez un message qui s’affiche sur l’écran de connexion sur les appareils. Par exemple, entrez vos informations organization, un message de bienvenue, des informations perdues et trouvées, etc.

• Exiger des champs de texte nom d’utilisateur et mot de passe : choisissez la façon dont les utilisateurs se connectent aux appareils. Oui oblige les utilisateurs à entrer un nom d’utilisateur et un mot de passe. Lorsqu’il est défini sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut obliger les utilisateurs à sélectionner leur nom d’utilisateur dans une liste, puis à taper leur mot de passe.

  Lorsque la valeur est Non configuré, entrez également :

  • Masquer les utilisateurs locaux : Oui masque les comptes d’utilisateur locaux dans la liste des utilisateurs, qui peuvent inclure les comptes standard et administrateur. Seuls les comptes d’utilisateur réseau et système sont affichés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher les comptes d’utilisateur locaux dans la liste des utilisateurs.
  • Masquer les comptes mobiles : Oui masque les comptes mobiles dans la liste des utilisateurs. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher les comptes mobiles dans la liste des utilisateurs. Certains comptes mobiles peuvent s’afficher en tant qu’utilisateurs réseau.
  • Afficher les utilisateurs du réseau : sélectionnez Oui pour répertorier les utilisateurs du réseau dans la liste des utilisateurs. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher les comptes d’utilisateur réseau dans la liste des utilisateurs.
  • Masquer les administrateurs de l’ordinateur : Oui masque les comptes d’utilisateur administrateur dans la liste des utilisateurs. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher les comptes d’utilisateur administrateur dans la liste des utilisateurs.
  • Afficher les autres utilisateurs : sélectionnez Oui pour répertorier d’autres utilisateurs dans la liste des utilisateurs. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher les autres comptes d’utilisateur dans la liste des utilisateurs.

Paramètres d’alimentation de l’écran de connexion

• Masquer le bouton d’arrêt : Oui masque le bouton d’arrêt sur l’écran de connexion. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher le bouton d’arrêt.
• Bouton Masquer le redémarrage : Oui masque le bouton redémarrer sur l’écran de connexion. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher le bouton Redémarrer.
• Masquer le bouton de mise en veille : Oui masque le bouton De veille sur l’écran de connexion. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher le bouton de mise en veille.
• Désactiver la connexion utilisateur à partir de la console : Oui masque la ligne de commande macOS utilisée pour la connexion. Pour les utilisateurs classiques, définissez ce paramètre sur Oui. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs avancés à se connecter à l’aide de la ligne de commande macOS. Pour passer en mode console, les utilisateurs entrent >console dans le champ Nom d’utilisateur et doivent s’authentifier dans la fenêtre de console.

Menu Pomme

• Désactiver l’arrêt lors de la connexion : Oui empêche les utilisateurs de sélectionner l’option Arrêter une fois qu’ils se sont connectés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à sélectionner l’élément de menu Arrêter sur les appareils.
• Désactiver Le redémarrage lors de la connexion : Oui empêche les utilisateurs de sélectionner l’option Redémarrer une fois qu’ils se sont connectés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à sélectionner l’élément de menu Redémarrer sur les appareils.
• Désactiver la mise hors tension lors de la connexion : Oui empêche les utilisateurs de sélectionner l’option Mettre hors tension une fois qu’ils se sont connectés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à sélectionner l’élément de menu Mettre hors tension sur les appareils.
• Désactiver la déconnexion lors de la connexion (macOS 10.13 et versions ultérieures) : Oui empêche les utilisateurs de sélectionner l’option Se déconnecter une fois connectés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de sélectionner l’élément de menu Se déconnecter sur les appareils.
• Désactiver l’écran de verrouillage lors de la connexion (macOS 10.13 et versions ultérieures) : Oui empêche les utilisateurs de sélectionner l’option Écran de verrouillage après leur connexion. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à sélectionner l’élément de menu Écran de verrouillage sur les appareils.

Extension d’application d’authentification unique

Ce paramètre s’applique à :

• macOS 10.15 et ultérieur

Les paramètres s’appliquent à : Inscription d’appareil approuvée par l’utilisateur et Inscription automatisée des appareils

• Type d’extension d’application SSO : choisissez le type d’extension d’application SSO. Les options disponibles sont les suivantes :

  • Non configuré : les extensions d’application ne sont pas utilisées. Pour désactiver une extension d’application, définissez le type d’extension d’application SSO sur Non configuré.

  • Microsoft Entra ID : utilise le plug-in Microsoft Entra ID Enterprise SSO, qui est une extension d’application SSO de type redirection. Ce plug-in fournit l’authentification unique pour les comptes Active Directory local sur toutes les applications macOS qui prennent en charge la fonctionnalité d’authentification unique Enterprise d’Apple. Utilisez ce type d’extension d’application SSO pour activer l’authentification unique sur les applications Microsoft, les applications organization et les sites web qui s’authentifient à l’aide de Microsoft Entra ID. Pour plus d’informations, consultez Utiliser le plug-in Microsoft Enterprise SSO sur les appareils macOSOS.

    Le plug-in SSO agit comme un répartiteur d’authentification avancé qui offre des améliorations en matière de sécurité et d’expérience utilisateur.

    Importante

    Pour obtenir l’authentification unique avec le type d’extension d’application SSO Microsoft Entra, installez l’application macOS Portail d'entreprise sur les appareils. L’application Portail d'entreprise fournit le plug-in Microsoft Enterprise SSO aux appareils. Les paramètres d’extension d’application MDM SSO activent le plug-in. Une fois que l’application Portail d'entreprise et le profil d’extension d’application SSO sont installés sur les appareils, les utilisateurs se connectent avec leurs informations d’identification et créent une session sur leurs appareils. Cette session est utilisée dans différentes applications sans demander aux utilisateurs de s’authentifier à nouveau.

    Pour plus d’informations sur l’application Portail d'entreprise, consultez Que se passe-t-il si vous installez l’application Portail d'entreprise et inscrivez votre appareil macOS dans Intune.

    Vous pouvez également télécharger l’application Portail d'entreprise.

  • Redirection : utilisez une extension d’application de redirection générique et personnalisable pour utiliser l’authentification unique avec des flux d’authentification modernes. Veillez à connaître l’extension et l’ID d’équipe pour l’extension d’application de votre organization.

  • Informations d’identification : utilisez une extension d’application d’informations d’identification générique et personnalisable pour utiliser l’authentification unique avec des flux d’authentification par défi et réponse. Veillez à connaître l’ID d’extension et l’ID d’équipe pour l’extension d’application SSO de votre organization.

  • Kerberos : utilisez l’extension Kerberos intégrée d’Apple, qui est incluse sur macOS Catalina 10.15 et versions ultérieures. Cette option est une version spécifique à Kerberos de l’extension d’application Informations d’identification .

  Conseil

  Avec les types Redirection et Informations d’identification , vous ajoutez vos propres valeurs de configuration pour passer par l’extension. Si vous utilisez Des informations d’identification, envisagez d’utiliser les paramètres de configuration intégrés fournis par Apple dans le type Kerberos .

• ID d’extension (redirection, informations d’identification) : entrez l’identificateur d’offre groupée qui identifie votre extension d’application SSO, par exemple com.apple.ssoexample.

• ID d’équipe (redirection, informations d’identification) : entrez l’identificateur d’équipe de votre extension d’application SSO. Un identificateur d’équipe est une chaîne alphanumérique de 10 caractères (chiffres et lettres) générée par Apple, comme ABCDE12345.

  Localiser votre ID d’équipe (ouvre le site web d’Apple) contient plus d’informations.

• Domaine (informations d’identification, Kerberos) : entrez le nom de votre domaine d’authentification. Le nom de domaine doit être en majuscule, comme CONTOSO.COM. En règle générale, votre nom de domaine est le même que votre nom de domaine DNS, mais en majuscules.

• Domaines (informations d’identification, Kerberos) : entrez les noms de domaine ou d’hôte des sites qui peuvent s’authentifier via l’authentification unique. Par exemple, si votre site web est mysite.contoso.com, est mysite le nom d’hôte et .contoso.com est le nom de domaine. Lorsque les utilisateurs se connectent à l’un de ces sites, l’extension d’application gère le défi d’authentification. Cette authentification permet aux utilisateurs d’utiliser Face ID, Touch ID ou le code pin/code secret Apple pour se connecter.

  • Tous les domaines de votre extension d’application d’authentification unique Intune profils doivent être uniques. Vous ne pouvez pas répéter un domaine dans un profil d’extension d’application d’authentification, même si vous utilisez différents types d’extensions d’application SSO.
  • Ces domaines ne respectent pas la casse.
  • Le domaine doit commencer par un point (.).

• URL (redirection uniquement) : entrez les préfixes d’URL de vos fournisseurs d’identité pour le compte des lesquels l’extension d’application de redirection utilise l’authentification unique. Lorsque les utilisateurs sont redirigés vers ces URL, l’extension d’application SSO intervient et demande l’authentification unique.

  • Toutes les URL de votre Intune profils d’extension d’application d’authentification unique doivent être uniques. Vous ne pouvez pas répéter un domaine dans un profil d’extension d’application SSO, même si vous utilisez différents types d’extensions d’application SSO.
  • Les URL doivent commencer par http:// ou https://.

• Configuration supplémentaire (Microsoft Entra ID, redirection, informations d’identification) : entrez d’autres données spécifiques à l’extension à passer à l’extension d’application SSO :

  • Clé : entrez le nom de l’élément que vous souhaitez ajouter, par exemple user name.

  • Type : entrez le type de données. Les options disponibles sont les suivantes :

    • Chaîne
    • Boolean : dans Valeur de configuration, entrez True ou False.
    • Entier : dans Valeur de configuration, entrez un nombre.

  • Valeur : entrez les données.

• Bloquer l’utilisation de keychain (Kerberos uniquement) : Oui empêche l’enregistrement et le stockage des mots de passe dans le keychain. De plus, les utilisateurs ne sont pas invités à enregistrer leur mot de passe et doivent entrer à nouveau le mot de passe à l’expiration du ticket Kerberos. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’enregistrement et le stockage des mots de passe dans le keychain. Les utilisateurs ne sont pas invités à entrer à nouveau leur mot de passe à l’expiration du ticket.

• Exiger Face ID, Touch ID ou code secret (Kerberos uniquement) : Oui force les utilisateurs à entrer leur ID Visage, Touch ID ou code secret d’appareil lorsque les informations d’identification sont nécessaires pour actualiser le ticket Kerberos. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas obliger les utilisateurs à utiliser la biométrie ou le code secret de l’appareil pour actualiser le ticket Kerberos. Si Bloquer l’utilisation keychain est défini sur Oui, ce paramètre ne s’applique pas.

• Définir comme domaine par défaut (Kerberos uniquement) : choisissez Oui pour définir la valeur de domaine que vous avez entrée comme domaine par défaut. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas définir de domaine par défaut.

  • Si vous configurez plusieurs extensions d’application Kerberos SSO dans votre organization, sélectionnez Oui.
  • Si vous utilisez plusieurs domaines, sélectionnez Oui. Il définit la valeur realm que vous avez entrée comme domaine par défaut.
  • Si vous n’avez qu’un seul domaine, laissez-le Non configuré (valeur par défaut).

• Bloquer la découverte automatique (Kerberos uniquement) : lorsqu’elle est définie sur Oui, l’extension Kerberos n’utilise pas automatiquement LDAP et DNS pour déterminer son nom de site Active Directory. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’extension à rechercher automatiquement le nom du site Active Directory.

• Autoriser uniquement les applications gérées (Kerberos uniquement) : lorsqu’elle est définie sur Oui, l’extension Kerberos autorise uniquement les applications gérées et toutes les applications entrées avec l’ID de bundle d’applications à accéder aux informations d’identification. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les applications non managées à accéder aux informations d’identification.

  Cette fonctionnalité s’applique à :

  • macOS 12 et les plus nouveaux

• Bloquer les modifications de mot de passe (Kerberos uniquement) : Oui empêche les utilisateurs de modifier les mots de passe qu’ils utilisent pour se connecter aux domaines que vous avez entrés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les modifications de mot de passe.

• Activer la synchronisation de mot de passe locale (Kerberos uniquement) : choisissez Oui pour synchroniser les mots de passe locaux de vos utilisateurs avec Microsoft Entra ID. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver la synchronisation de mot de passe pour Microsoft Entra ID.

  Utilisez ce paramètre comme alternative ou comme sauvegarde de l’authentification unique. Ce paramètre ne fonctionne pas si les utilisateurs sont connectés avec un compte mobile Apple.

• Retarder la configuration de l’extension Kerberos (Kerberos uniquement) : quand la valeur est définie sur Oui, l’utilisateur n’est pas invité à configurer l’extension Kerberos tant que l’extension n’est pas activée par l’administrateur ou qu’un défi Kerberos n’est pas reçu. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut inviter immédiatement l’utilisateur à configurer l’extension Kerberos.

  Cette fonctionnalité s’applique à :

  • macOS 11 et versions ultérieures

• Autoriser les utilitaires Kerberos standard (Kerberos uniquement) : lorsqu’elle est définie sur Oui, l’extension Kerberos permet à toutes les applications entrées avec l’ID d’offre groupée d’applications, les applications gérées et les utilitaires Kerberos standard, comme TicketViewer et klist, d’accéder aux informations d’identification et de les utiliser. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas autoriser les applications répertoriées à accéder aux informations d’identification et à les utiliser.

  Cette fonctionnalité s’applique à :

  • macOS 12 et les plus nouveaux

• Demander des informations d’identification (Kerberos uniquement) : lorsqu’elle est définie sur Oui, les informations d’identification sont demandées lors de la prochaine modification de l’état réseau ou du défi Kerberos correspondant. Lorsque les informations d’identification ont expiré ou sont manquantes, elles sont créées. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas demander de nouvelles informations d’identification.

  Cette fonctionnalité s’applique à :

  • macOS 12 et les plus nouveaux

• Exiger des connexions LDAP pour TLS (Kerberos uniquement) : lorsqu’elle est définie sur Oui, les connexions LDAP doivent utiliser TLS (Transport Layer Security). Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas nécessiter de connexions LDAP pour utiliser TLS.

  Cette fonctionnalité s’applique à :

  • macOS 11 et versions ultérieures

• Exiger la complexité du mot de passe Active Directory (Kerberos uniquement) : choisissez Oui pour forcer les mots de passe utilisateur à répondre aux exigences de complexité de mot de passe d’Active Directory. Sur les appareils, ce paramètre affiche une fenêtre contextuelle avec des zones case activée pour permettre aux utilisateurs de voir qu’ils remplissent les conditions requises pour le mot de passe. Il permet aux utilisateurs de savoir ce qu’ils doivent entrer pour le mot de passe. Pour plus d’informations, consultez Le mot de passe doit répondre aux exigences de complexité. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas obliger les utilisateurs à répondre aux exigences de mot de passe d’Active Directory.

• Longueur minimale du mot de passe (Kerberos uniquement) : entrez le nombre minimal de caractères pouvant être des mots de passe des utilisateurs. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas appliquer une longueur minimale de mot de passe aux utilisateurs.

• Limite de réutilisation de mot de passe (Kerberos uniquement) : entrez le nombre de nouveaux mots de passe, compris entre 1 et 24, qui sont utilisés jusqu’à ce qu’un mot de passe précédent puisse être réutilisé sur le domaine. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas appliquer de limite de réutilisation de mot de passe.

• Âge minimal du mot de passe (jours) (Kerberos uniquement) : entrez le nombre de jours pendant lesquels un mot de passe est utilisé sur le domaine avant que les utilisateurs puissent le modifier. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas appliquer une ancienneté minimale des mots de passe avant qu’ils puissent être modifiés.

• Notification d’expiration du mot de passe (jours) (Kerberos uniquement) : entrez le nombre de jours avant l’expiration d’un mot de passe pour que les utilisateurs soient avertis que leur mot de passe va expirer. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut utiliser des 15 jours.

• Expiration du mot de passe (jours) (Kerberos uniquement) : entrez le nombre de jours avant que le mot de passe de l’appareil ne change. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne jamais expirer les mots de passe.

• URL de modification de mot de passe (Kerberos uniquement) : entrez l’URL qui s’ouvre lorsque les utilisateurs commencent une modification de mot de passe Kerberos.

• Nom d’utilisateur personnalisé (Kerberos uniquement) : entrez le texte qui remplace le nom d’utilisateur indiqué dans l’extension Kerberos. Vous pouvez entrer un nom qui correspond au nom de votre entreprise ou de votre organization. Par exemple, vous pouvez entrer Contoso .

  Cette fonctionnalité s’applique à :

  • macOS 11 et versions ultérieures

• Utilisation de l’extension Kerberos (Kerberos uniquement) : sélectionnez la façon dont les autres processus utilisent les informations d’identification de l’extension Kerberos. Les options disponibles sont les suivantes :

  • Toujours : les informations d’identification de l’extension sont toujours utilisées si le SPN est répertorié dans Domaines. Il n’est pas utilisé si l’application appelante n’est pas répertoriée dans les ID de bundle d’applications.
  • Quand elle n’est pas spécifiée : les informations d’identification de l’extension sont utilisées uniquement quand aucune autre information d’identification n’est entrée par l’appelant et que le SPN est répertorié dans Domaines. Elle n’est pas utilisée si l’application appelante n’est pas répertoriée dans les ID de bundle d’applications.
  • Valeur par défaut kerberos : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation utilise les processus Kerberos par défaut pour sélectionner les informations d’identification. Cette option est identique à la non-configuration de ce paramètre.

  Cette fonctionnalité s’applique à :

  • macOS 11 et versions ultérieures

• Nom du principal (Kerberos uniquement) : entrez le nom d’utilisateur du principal Kerberos. Vous n’avez pas besoin d’inclure le nom de domaine. Par exemple, dans user@contoso.com, user est le nom principal et contoso.com est le nom de domaine.

  • Vous pouvez également utiliser des variables dans le nom du principal en entrant des {{ }}accolades . Par exemple, pour afficher le nom d’utilisateur, entrez Username: {{username}}.
  • Soyez prudent avec la substitution de variable, car les variables ne sont pas validées dans l’interface utilisateur et respectent la casse. Veillez à entrer les informations correctes.

• Code de site Active Directory (Kerberos uniquement) : entrez le nom du site Active Directory que l’extension Kerberos doit utiliser. Vous n’avez peut-être pas besoin de modifier cette valeur, car l’extension Kerberos peut trouver automatiquement le code de site Active Directory.

• Nom du cache (Kerberos uniquement) : entrez le nom GSS (Generic Security Services) du cache Kerberos. Vous n’avez probablement pas besoin de définir cette valeur.

• Texte de la fenêtre de connexion (Kerberos uniquement) : entrez le texte affiché aux utilisateurs dans la fenêtre de connexion Kerberos.

  Cette fonctionnalité s’applique à :

  • macOS 11 et versions ultérieures

• Message de conditions de mot de passe (Kerberos uniquement) : entrez une version texte des exigences de mot de passe de votre organization qui est présentée aux utilisateurs. Le message indique si vous n’avez pas besoin des exigences de complexité de mot de passe d’Active Directory ou si vous n’entrez pas de longueur minimale de mot de passe.

  Lorsque la valeur est Oui, tous les comptes d’utilisateur existants sont effacés des appareils. Pour éviter la perte de données ou empêcher une réinitialisation aux paramètres d’usine, assurez-vous de comprendre comment ce paramètre modifie vos appareils.

  Pour plus d’informations sur le mode d’appareil partagé, accédez à Vue d’ensemble du mode d’appareil partagé.

• ID de bundle d’applications (Microsoft Entra ID, Kerberos) : entrez les identificateurs de bundle d’applications qui doivent utiliser l’authentification unique sur vos appareils. Ces applications ont accès au ticket d’octroi de ticket Kerberos et au ticket d’authentification. Les applications authentifient également les utilisateurs auprès des services auxquels ils sont autorisés à accéder.

  Pour obtenir l’ID de bundle d’une application ajouté à Intune, vous pouvez utiliser le centre d’administration Intune.

• Mappage de domaine de domaine (Kerberos uniquement) : entrez les suffixes DNS de domaine qui doivent être mappés à votre domaine. Utilisez ce paramètre lorsque les noms DNS des hôtes ne correspondent pas au nom de domaine. Vous n’avez probablement pas besoin de créer ce mappage de domaine à domaine personnalisé.

• Certificat PKINIT (Kerberos uniquement) : sélectionnez le certificat Chiffrement à clé publique pour l’authentification initiale (PKINIT) qui peut être utilisé pour l’authentification Kerberos. Vous pouvez choisir parmi les certificats PKCS ou SCEP que vous ajoutez dans Intune. Pour plus d’informations sur les certificats, consultez Utiliser des certificats pour l’authentification dans Microsoft Intune.

• KDCs préférés (Kerberos uniquement) : entrez les centres de distribution de clés (KDC) à utiliser pour le trafic Kerberos par ordre de préférence. Cette liste est utilisée lorsque les serveurs ne sont pas détectables à l’aide de DNS. Lorsque les serveurs sont détectables, la liste est utilisée à la fois pour les vérifications de connectivité et utilisée en premier pour le trafic Kerberos. Si les serveurs ne répondent pas, l’appareil utilise la découverte DNS.

  Cette fonctionnalité s’applique à :

  • macOS 12 et les plus nouveaux

Articles connexes

• Attribuer le profil et suivre son état.

• Configurer les fonctionnalités de l’appareil sur iOS/iPadOS.