Étape 5 : Inscrire des appareils dans Microsoft Intune

Dans la phase finale du déploiement, les appareils sont inscrits ou joints à Microsoft Entra ID, inscrits dans Microsoft Intune et vérifiés leur conformité.

Pendant l’inscription, Microsoft Intune installe un certificat de gestion des appareils mobiles (GPM) sur l’appareil, ce qui permet à Intune d’appliquer les profils d’inscription, les restrictions d’inscription et les stratégies et profils que vous avez créés précédemment dans ce guide.

Cet article décrit les aspects suivants :

• Guide pratique pour préparer l’inscription dans Microsoft Intune pour les appareils appartenant à l’entreprise et appartenant à l’utilisateur.
• Options d’inscription pour chaque plateforme de système d’exploitation.
• Surveillance post-inscription, résolution des problèmes et ressources.

Prise en main

S’il s’agit de votre premier déploiement de profils d’inscription avec Intune, ou si vous essayez une nouvelle configuration, commencez petit et utilisez une approche intermédiaire. Affectez un profil d’inscription à groupe pilote ou test. Après les premiers tests, ajoutez des utilisateurs au groupe pilote. Si tout se passe bien, attribuez le profil d’inscription à d’autres groupes pilotes. Pour plus d’informations et de suggestions, consultez le Guide de planification : Étape 5 - Créer un plan de déploiement.

L’inscription dans Microsoft Entra ID est une étape obligatoire pour la gestion Intune. Avant qu’un appareil puisse s’inscrire dans Intune, l’utilisateur de l’appareil doit s’authentifier et établir une identité d’appareil dans le Microsoft Entra ID de votre organisation. Cette étape accorde à l’utilisateur l’accès à l’authentification unique aux applications de travail cloud et à d’autres ressources. Il est important de savoir quelle option d’identité vous utilisez, car elle détermine les méthodes d’inscription que vous pouvez utiliser et détermine également l’expérience de connexion pour l’utilisateur de l’appareil. Les options d’identité sont les suivantes :

• Microsoft Entra’inscription est l’option d’identité de l’appareil disponible pour les appareils mobiles personnels et d’entreprise. Les utilisateurs de ces appareils s’authentifient en se connectant à des ressources professionnelles, telles que des applications et des navigateurs web, à l’aide de leur compte Microsoft Entra ID professionnel.
• Microsoft Entra joint est l’option d’identité d’appareil disponible pour les appareils Windows 10/11 appartenant à l’entreprise utilisant des options de cogestion. Les utilisateurs de ces appareils s’authentifient en se connectant à l’appareil à l’aide de leur compte Microsoft Entra ID professionnel.

Configurations de préinscription

Préparez les appareils pour l’inscription en configurant les fonctionnalités d’inscription, telles que les restrictions d’inscription, la catégorisation des appareils et les gestionnaires d’inscription d’appareils. Ces configurations permettent d’améliorer et de simplifier l’expérience d’inscription pour vous et les utilisateurs d’appareils, et vous aident à rester organisé dans le centre d’administration. Configurez-les avant de créer le profil d’inscription.

La définition de la disponibilité varie selon la plateforme du système d’exploitation.

Désinscrire et réinitialiser des appareils existants

Si les appareils sont actuellement inscrits auprès d’un autre fournisseur GPM, désinscrivez-les auprès du fournisseur MDM existant avant de les inscrire dans Intune. Le tableau suivant présente les appareils qui nécessitent une réinitialisation aux paramètres d’usine avant de s’inscrire dans Intune.

Plateforme	Réinitialisation nécessaire ?
Appareils Android Enterprise appartenant à l’utilisateur avec un profil professionnel (BYOD)	Non
Profil professionnel Android Enterprise appartenant à l’entreprise (COPE)	Oui
Android Entreprise complètement managé (COBO)	Oui
Appareils dédiés Android Entreprise (COSU)	Oui
Administrateur d’appareils Android (DA)	Non
iOS/iPadOS (BYOD)	Non
iOS/iPadOS (ADE)	Oui
Linux	Non
macOS (BYOD)	Non
macOS (ADE)	Oui
Windows	Non

---

Les appareils qui ne nécessitent pas de réinitialisation commencent à installer Intune profils dès qu’ils s’inscrivent. Les paramètres précédemment configurés peuvent rester sur les appareils si vous ne les modifiez pas dans Intune avant l’inscription.

Ajouter des gestionnaires d’inscription des appareils

Nous vous recommandons d’utiliser des gestionnaires d’inscription d’appareils lorsque vous devez inscrire et préparer un grand nombre d’appareils pour la distribution. Un compte de gestionnaire d’inscription d’appareil peut inscrire et gérer jusqu’à 1 000 appareils, tandis qu’un compte standard non administrateur ne peut inscrire que 15 appareils. Un gestionnaire d’inscription d’appareil est un utilisateur Microsoft Entra non administrateur qui peut :

• Inscrire jusqu’à 1 000 appareils d’entreprise dans Intune
• Connectez-vous à Portail d'entreprise Intune pour obtenir des applications d’entreprise
• Configurer l’accès aux données d’entreprise en déployant des applications spécifiques à un rôle sur des appareils

Certaines méthodes d’inscription, telles que l’inscription automatisée des appareils Apple, ne sont pas compatibles avec le compte du gestionnaire d’inscription d’appareil. Assurez-vous donc que la méthode que vous choisissez est prise en charge avant de commencer la configuration.

Pour plus d’informations et pour connaître les limitations, consultez Ajouter des gestionnaires d’inscription d’appareils.

Créer des restrictions d’inscription d’appareil

Utilisez cette fonctionnalité dans le centre d’administration Microsoft Intune pour empêcher certains appareils de s’inscrire dans Intune. Il existe deux types de restrictions d’inscription d’appareils que vous pouvez configurer dans Microsoft Intune :

• Restrictions de plateforme d’appareil : limitez les appareils en fonction de la plateforme, de la version, du fabricant ou du type de propriété de l’appareil.
• Restrictions de limite d’appareils : limitez le nombre d’appareils qu’un utilisateur peut inscrire dans Intune.

Les restrictions d’inscription ne sont pas disponibles pour Linux et certains scénarios d’inscription Windows. Pour plus d’informations, consultez Vue d’ensemble des restrictions d’inscription .

Créer une stratégie de conditions générales

Vous pouvez utiliser une stratégie de conditions générales Intune pour divulguer les exclusions de responsabilité légales et les exigences de conformité aux utilisateurs de l’appareil avant l’inscription. Cette stratégie exige que l’utilisateur des appareils accepte les conditions générales de votre organisation avant d’inscrire son appareil ou d’accéder aux ressources protégées. Les conditions générales sont présentées aux utilisateurs ciblés dans l’application Portail d'entreprise Intune.

Si vous recherchez davantage de contrôle, y compris l’emplacement où les termes apparaissent, envisagez de configurer Microsoft Entra conditions d’utilisation. Microsoft Entra termes sont présentés aux utilisateurs lorsqu’ils se connectent à des applications et ressources ciblées et offrent des paramètres plus granulaires que Intune conditions générales.

Pour plus d’informations, consultez Conditions générales relatives à l’accès utilisateur.

Exiger l’authentification multifacteur

Exiger que les utilisateurs s’authentifient via l’authentification multifacteur (MFA) lors de l’inscription. Si vous avez besoin de l’authentification multifacteur, les personnes souhaitant inscrire des appareils doivent s’authentifier avec un deuxième appareil et deux formes d’informations d’identification avant de pouvoir inscrire leur appareil. Il s’agit d’une étape conditionnelle unique qui garantit que la personne sur l’appareil est celle qu’elle prétend être. Vous pouvez activer ce comportement pour toutes les plateformes à l’exception de Linux en utilisant une stratégie d’accès conditionnel avec une stratégie MFA. Microsoft Entra ID P1 ou P2 est obligatoire.

Pour plus d’informations, consultez Exiger l’authentification multifacteur pour les inscriptions d’appareils Intune.

Catégoriser les appareils en groupes

Créez une catégorie d’appareil dans Intune, comme les soins infirmiers ou le marketing, et Intune ajoutera automatiquement tous les appareils qui appartiennent à cette catégorie au groupe d’appareils correspondant dans Intune.

Cette fonctionnalité est disponible pour toutes les plateformes à l’exception de Linux. Pour plus d’informations, consultez Catégoriser les appareils en groupes.

Inscription pour les appareils Android

Vous pouvez inscrire des appareils Android personnels ou d’entreprise dans Intune. Nous recommandons des solutions d’inscription Android Enterprise pour les appareils personnels et d’entreprise qui utilisent Google Mobile Services. Pour les appareils appartenant à l’entreprise qui n’ont pas Google Mobile Services et qui sont créés à partir d’Android Open Source Project (AOSP), utilisez les méthodes d’inscription AOSP.

Configuration requise

Connectez Intune à votre compte Google Play géré. La connexion est requise pour toutes les options de gestion Android Entreprise, notamment :

• Profil professionnel Android Enterprise appartenant à l’utilisateur
• Profil professionnel Android Enterprise appartenant à l’entreprise
• Android Entreprise complètement managé
• Android Entreprise dédié

Méthodes d’inscription d’Android

Les onglets suivants décrivent les options d’inscription Android et AOSP prises en charge Intune.

Propriété de l’entreprise

• Appareils appartenant à l’entreprise avec un profil professionnel : inscrivez les appareils appartenant à l’entreprise qui sont également approuvés pour une utilisation personnelle. Cette méthode crée un profil professionnel distinct sur l’appareil afin que l’utilisateur puisse basculer entre ses applications personnelles et les applications professionnelles facilement et en toute sécurité. L’utilisateur de l’appareil inscrit l’appareil via l’application Microsoft Intune. En tant qu’administrateur, vous pouvez gérer les applications et les données dans le profil professionnel. Cette méthode s’aligne sur la solution de gestion des profils professionnels Android Enterprise appartenant à l’entreprise .

• Entièrement géré : inscrire des appareils appartenant à l’entreprise exclusivement pour un usage professionnel et non personnel. Un utilisateur est associé à l’appareil inscrit. Vous pouvez gérer l’ensemble de l’appareil et appliquer des contrôles de stratégie non disponibles avec la méthode de profil professionnel Android Entreprise. Cette méthode s’aligne sur la solution de gestion entièrement managée Android Enterprise .

• Appareil dédié : inscrivez des appareils d’entreprise, à usage unique ou en kiosque utilisés pour des éléments tels que la signalisation numérique, l’impression de tickets ou la gestion des stocks. Avec cette méthode, vous pouvez limiter les applications et les liens web disponibles sur l’appareil, et empêcher les utilisateurs d’utiliser l’appareil en dehors de l’étendue prévue. Cette méthode s’aligne sur la solution de gestion des appareils dédiés Android Enterprise .

• Appareils sans utilisateur appartenant à l’entreprise : inscrivez les appareils créés à partir d’Android Open Source Project (AOSP) et absents des services Google Mobile en tant qu’appareils sans utilisateur appartenant à l’entreprise. Aucun utilisateur n’est associé à ces appareils et sont destinés à être partagés, comme dans une bibliothèque ou un labo.

• Appareils appartenant à l’entreprise et associés à l’utilisateur : inscrivez les appareils créés à partir d’AOSP et absents des services Google Mobile en tant qu’appareils appartenant à l’entreprise et associés à l’utilisateur. Ces appareils sont associés à un seul utilisateur et destinés à être exclusivement destinés à un usage professionnel.

• Inscription sans contact : nous vous recommandons d’utiliser l’inscription sans contact pour les inscriptions en bloc et pour simplifier l’inscription pour les travailleurs à distance. Cette méthode vous permet de préparer les appareils appartenant à l’entreprise à l’avance afin qu’ils provisionnent et inscrivent automatiquement en tant qu’appareils entièrement gérés lorsque les utilisateurs les activent.

Propriété de l’utilisateur

Appareils personnels avec profil professionnel : prise en charge de l’inscription des appareils personnels dans les scénarios BYOD. Lors de l’inscription, un profil professionnel distinct est créé sur l’appareil afin que les utilisateurs puissent basculer facilement et en toute sécurité entre leurs applications personnelles et les applications professionnelles. Le propriétaire de l’appareil inscrit son appareil via l’application Portail d'entreprise Intune. En tant qu’administrateur, vous pouvez gérer les applications et les données dans le profil professionnel. Cette méthode s’aligne sur le profil professionnel Android Entreprise pour la solution de gestion des appareils personnels.

Remarque

Microsoft Intune prend également en charge la gestion des administrateurs d’appareils Android, mais mettra fin à la prise en charge sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Inscription pour les appareils Apple

Cette section décrit les options d’inscription disponibles pour les appareils iOS/iPadOS et Mac dans Intune.

Configuration requise

Remplissez les conditions préalables suivantes avant de créer le profil d’inscription pour les appareils Apple :

• Chargez un certificat Push MDM Apple sur Intune. Pour plus d’informations, consultez Obtenir un certificat Push MDM.
• Obtenez un jeton de programme d’inscription Apple si vous envisagez d’inscrire des appareils via l’inscription automatique d’appareils Apple. Pour plus d’informations, consultez l’article suivant :
  • Obtenir le jeton du programme d’inscription Apple pour iOS/iPadOS
  • Obtenir le jeton du programme d’inscription Apple pour macOS

Solutions d’inscription Apple

Le tableau suivant décrit les solutions d’inscription pour les appareils exécutant iOS/iPadOS et macOS.

Propriété de l’entreprise

• Inscription automatisée des appareils pour les appareils iOS/iPadOS et pour Mac : inscrivez des appareils nouveaux ou réinitialés achetés auprès d’Apple Business Manager ou d’Apple School Manager avec l’inscription automatisée des appareils. Cette méthode d’inscription automatisée pour les appareils appartenant à l’entreprise applique les paramètres de votre organization à partir d’Apple Business Manager et d’Apple School Manager, prend en charge le mode de supervision et inscrit les appareils sans que vous ayez besoin de les toucher. Lorsque les utilisateurs allument leurs appareils, l’Assistant Configuration Apple les guide tout au long de la configuration et de l’inscription.

• Apple Configurator pour les appareils iOS/iPadOS et pour Mac : inscrivez manuellement des appareils d’entreprise nouveaux ou existants via Apple Configurator. Cette option est idéale pour les inscriptions en bloc et lorsque vous n’avez pas accès à Apple School Manager, Apple Business Manager ou lorsque vous avez besoin d’une connexion réseau câblée. Vous devez disposer d’un accès physique aux appareils, car vous devez vous connecter aux appareils et les configurer sur un Mac. Vous pouvez emprunter deux chemins différents :

  • Inscription de l’Assistant Configuration : cette méthode efface l’appareil et le prépare à l’inscription dans Apple Configurator. Lorsque les utilisateurs activent leurs appareils, l’Assistant Configuration commence, puis les appareils s’inscrivent dans Intune. Vous devez avoir accès aux numéros de série de l’appareil, car vous devez les entrer dans le centre d’administration.
  • Inscription directe : cette méthode vous permet d’inscrire l’appareil avant la distribution et ne réinitialise pas l’appareil. Les appareils inscrits de cette façon ne sont pas associés à un utilisateur. Nous vous recommandons donc cette option pour les appareils partagés ou kiosques. Les instructions sont différentes pour les appareils macOS et iOS. Veillez donc à utiliser la documentation pratique correcte pour les appareils.

Propriété de l’utilisateur

• Inscription BYOD pour Mac : activez l’inscription dans Intune pour les Mac appartenant à l’utilisateur dans les scénarios BYOD (bring-your-own-device). Intune utilisateurs d’appareils sous licence initialisent l’inscription en se connectant à l’application Portail d'entreprise sur leur appareil.

• Inscription des utilisateurs Apple : activez l’inscription des utilisateurs Apple pour les appareils iOS/iPadOS appartenant à l’utilisateur dans les scénarios BYOD. Cette option donne aux propriétaires d’appareils la possibilité de sécuriser l’ensemble de l’appareil ou uniquement les applications et données professionnelles, et conserve les données gérées et les applications sur un volume distinct à l’écart des données personnelles de l’utilisateur. L’inscription a lieu dans l’application Portail d'entreprise.

• Inscription d’appareils Apple : activez l’inscription d’appareils Apple pour les appareils iOS/iPadOS appartenant à l’utilisateur dans les scénarios BYOD. Cette méthode vous donne plus de contrôle sur les paramètres de configuration de l’appareil que l’inscription de l’utilisateur. Par exemple, vous pouvez appliquer des exigences plus précises pour les codes secrets.

Inscription pour Linux

Les employés et les étudiants dans les scénarios BYOD peuvent inscrire des appareils Linux personnels dans Microsoft Intune. L’inscription leur permet d’accéder aux ressources professionnelles dans Microsoft Edge.

En tant qu’administrateur Intune, vous n’avez rien à faire pour activer l’inscription Linux dans le Centre d’administration. Il est automatiquement activé. Lorsque les utilisateurs inscrivent leurs appareils Linux, vous les voyez dans le centre d’administration. Pour plus d’informations, consultez Inscrire des appareils de bureau Linux dans Microsoft Intune.

Inscription pour Windows

Cette section décrit les solutions d’inscription disponibles pour les appareils personnels et d’entreprise exécutant Windows 10 ou Windows 11.

Remarque

Microsoft Intune’inscription est prise en charge sur les appareils dans les environnements cloud. La cogestion avec Configuration Manager est prise en charge dans les environnements locaux.

Méthodes d’inscription Windows

Le tableau suivant décrit les méthodes d’inscription prises en charge pour les appareils exécutant Windows 10 et Windows 11.

Inscription automatique

Facilitez l’inscription à Intune pour les employés et les étudiants en activant l’inscription automatique pour Windows. Pour plus d’informations, consultez Activer l’inscription automatique.

• Microsoft Entra rejoindre avec inscription automatique : cette option est prise en charge sur les appareils que vous ou l’utilisateur de l’appareil avez achetés pour une utilisation professionnelle. L’inscription se produit pendant l’expérience prête à l’emploi, une fois que l’utilisateur s’est connecté avec son compte professionnel et a rejoint Microsoft Entra ID ou en choisissant de rejoindre l’appareil dans Microsoft Entra ID lors de la connexion d’un compte professionnel ou scolaire à partir de l’application Paramètres (comme décrit dans le Guide d’inscription des appareils Windows - Tâches de l’utilisateur final). Cette solution est destinée lorsque vous n’avez pas accès à l’appareil, par exemple dans les environnements de travail à distance. Lorsque ces appareils s’inscrivent, la propriété de l’appareil devient propriété de l’entreprise et vous avez accès aux fonctionnalités de gestion qui ne sont pas disponibles sur les appareils marqués comme appartenant à l’utilisateur.

• Mode Windows Autopilot piloté par l’utilisateur ou auto-déploiement : l’inscription automatique est prise en charge avec les profils Windows Autopilot piloté par l’utilisateur (pour les scénarios de jointure hybride Microsoft Entra et de jointure Microsoft Entra) ou auto-déploiement (Microsoft Entra uniquement) et peut être utilisé pour les ordinateurs de bureau, ordinateurs portables et kiosques appartenant à l’entreprise. Les utilisateurs de l’appareil obtiennent l’accès au bureau après l’installation des stratégies et des logiciels requis. Une licence Microsoft Entra ID P1 ou P2 est requise. Nous vous recommandons d’utiliser uniquement Microsoft Entra jointure, qui offre la meilleure expérience utilisateur et est plus facile à configurer. Dans les scénarios où Active Directory local est toujours nécessaire, Microsoft Entra jointure hybride peut être utilisée, mais vous devez installer le connecteur Intune pour Active Directory, et vos appareils doivent être en mesure de se connecter à un contrôleur de domaine via un réseau local ou une connexion VPN.

• Cogestion avec Configuration Manager : la cogestion est idéale pour les environnements qui gèrent déjà des appareils avec Configuration Manager et qui souhaitent intégrer Microsoft Intune charges de travail. La cogestion consiste à déplacer des charges de travail de Configuration Manager à Intune et à indiquer au client Windows qui est l’autorité de gestion pour cette charge de travail particulière. Par exemple, vous pouvez gérer des appareils avec des stratégies de conformité et des charges de travail de configuration d’appareil dans Intune, et utiliser Configuration Manager pour toutes les autres fonctionnalités, telles que le déploiement d’applications et les stratégies de sécurité.

• Inscription à l’aide de stratégie de groupe : une stratégie de groupe peut être utilisée pour déclencher l’inscription automatique de Microsoft Entra appareils joints hybrides sans aucune interaction de l’utilisateur. Le processus d’inscription démarre en arrière-plan (via une tâche planifiée) après qu’un utilisateur Microsoft Entra ID synchronisé se connecte à l’appareil. Nous vous recommandons cette méthode dans les environnements où les appareils sont Microsoft Entra joints hybrides et non gérés à l’aide de Configuration Manager.

Inscription BYOD

Ces options peuvent être utilisées par les utilisateurs dans les scénarios BYOD qui souhaitent inscrire leurs appareils personnels sans les joindre à un domaine.

• Connecter un compte professionnel ou scolaire : les utilisateurs accèdent à l’application Paramètres sur leur appareil et ajoutent leur compte professionnel ou scolaire. Ils ajoutent leur adresse e-mail professionnelle sans sélectionner d’option de jonction de domaine.
• Inscription à l’aide de l’application Portail d'entreprise Intune : les utilisateurs se connectent à l’application Portail d'entreprise Intune avec leur compte professionnel pour inscrire leurs appareils. Ils peuvent installer Portail d'entreprise à partir du Microsoft Store.
• Inscription via une connexion d’application Microsoft 365 : les utilisateurs se connectent à une application ou à un service Microsoft 365, comme Exchange Online, à partir d’un appareil non géré et non inscrit avec leur compte professionnel. À l’invite de connexion, ils sélectionnent Autoriser mon organization à gérer mon appareil.

Dans tous ces scénarios BYOD, les appareils sont Microsoft Entra inscrits et gérés par Intune. Si les étendues utilisateur MDM et GAM sont activées pour un utilisateur dans la configuration d’inscription automatique Intune, l’étendue utilisateur GAM est prioritaire et l’appareil n’est pas inscrit et géré par Intune.

Inscription en bloc via le package d’approvisionnement

Rejoignez et inscrivez un grand nombre d’appareils appartenant à l’entreprise dans Microsoft Entra ID et Intune sans avoir à les réimager. Ce processus vous oblige à créer un package d’approvisionnement à l’aide de l’application De configuration Windows Designer. Vous pouvez appliquer le package pendant l’OOBE de l’appareil ou le charger sur l’appareil dans l’application Paramètres.

Autres fonctionnalités d’inscription Windows

Il existe d’autres options d’inscription Windows dans Intune pour améliorer ou simplifier l’expérience de gestion des appareils pour vous et vos employés :

• Paramètres de cogestion : activez les paramètres de cogestion pour intégrer Configuration Manager charges de travail à Intune. La cogestion vous permet d’utiliser les fonctionnalités Intune et Configuration Manager pour gérer les appareils.
• Validation CNAME : validez un alias de serveur de noms de domaine (DNS) (type d’enregistrement CNAME) que vous avez créé pour rediriger les demandes d’inscription vers Intune serveurs. L’alias simplifie l’inscription pour les utilisateurs en l’absence de Microsoft Entra ID P1 ou P2 et de l’inscription automatique.
• Page d’état de l’inscription : activez la page État de l’inscription afin que les personnes qui effectuent la configuration de l’appareil puissent afficher et suivre la progression de l’installation.

Signaler et résoudre les problèmes

Suivez les inscriptions d’utilisateurs incomplètes et abandonnées. Ce rapport Microsoft Intune vous indique où, dans le Portail d'entreprise les utilisateurs n’ont pas pu terminer le processus d’inscription.

Pour plus d’informations sur la résolution des problèmes, consultez Résoudre les problèmes d’inscription des appareils.

Ressources

Des guides d’inscription supplémentaires sont disponibles dans la documentation Microsoft Intune. Ces guides incluent des comparaisons visuelles, des étapes pratiques, des conseils et des bonnes pratiques d’inscription pour chaque plateforme prise en charge.

• Guide de repère Android
• Guide de repère iOS/iPadOS
• Guide d’inscription Linux
• Guide d’inscription macOS
• Guide d’inscription de Windows

Étapes suivantes

1. Configurer Microsoft Intune
2. Ajouter, configurer et protéger des applications
3. Planifier les stratégies de conformité
4. Créer les profils de configuration de l’appareil
5. 🡺 Inscrire des appareils (Vous êtes ici)