Configurer l’inscription des appareils iOS/iPad avec Apple School Manager

  • Article

Vous pouvez configurer Intune de façon à inscrire les appareils iOS/iPadOS achetés dans le cadre du programme Apple School Manager. Intune avec Apple School Manager permet d’inscrire un grand nombre d’appareils iOS/iPadOS sans aucune manipulation. Quand un étudiant ou un enseignant active l’appareil, l’Assistant Configuration s’exécute avec les paramètres préconfigurés et l’appareil s’inscrit à la gestion.

Pour activer l’inscription Apple School Manager, vous utilisez à la fois les portails Intune et Apple School Manager. Une liste de numéros de série ou un numéro de bon de commande est nécessaire pour que vous puissiez affecter des appareils à Intune à des fins de gestion. Des profils d’inscription ADE (inscription d’appareils automatisée) contenant les paramètres appliqués aux appareils lors de l’inscription sont créés.

L’inscription à Apple School Manager ne peut pas être utilisée avec le gestionnaire d’inscription d’appareil.

Conditions préalables

Obtenir un jeton Apple et affecter des appareils

Pour pouvoir inscrire des appareils iOS/iPadOS détenus par l’entreprise avec Apple School Manager, il vous faut obtenir un fichier de jeton (.p7m) auprès d’Apple. Ce jeton permet à Intune de synchroniser les informations sur les appareils participant à Apple School Manager. Il permet également à Intune d'effectuer des chargements de profil d'inscription vers Apple et d'attribuer des appareils à ces profils. Lorsque vous vous trouvez dans le portail Apple, vous pouvez également affecter des numéros de série d’appareil à gérer.

Étape 1 : Télécharger le certificat de clé publique Intune requis pour créer un jeton Apple

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.
  2. Sélectionnez l’onglet Apple.
  3. Sélectionnez Jetons du programme d’inscription.
  4. Sélectionnez Ajouter.
  5. Sélectionnez Télécharger votre clé publique pour télécharger et enregistrer le fichier de clé de chiffrement (.pem) localement. Le fichier .pem est utilisé pour demander un certificat de relation d'approbation à partir du portail Apple School Manager.

Étape 2 : Télécharger un jeton et attribuer des appareils

  1. Choisir Créer un jeton avec Apple School Manager et se connecter à Apple School avec votre ID Apple d’entreprise. Vous pouvez utiliser cet ID Apple pour renouveler votre jeton Apple School Manager.
  2. Dans le portail Apple School Manager, accédez à Serveurs de gestion des appareils mobiles, puis choisissez Ajouter un serveur MDM (en haut à droite).
  3. Entrez le nom du serveur MDM. Le nom du serveur vous permet d’identifier le serveur de gestion des appareils mobiles (MDM) uniquement. Il ne s’agit pas du nom ou de l’URL du serveur Microsoft Intune.
  4. Choisir Télécharger un fichier... dans le portail Apple, rechercher le fichier .pem, puis choisir Enregistrer un serveur MDM (en bas à droite).
  5. Choisissez Obtenir un jeton puis téléchargez le fichier de jeton de serveur (.p7m) sur votre ordinateur.
  6. Accédez à Affectations d’appareils. Choisissez vos appareils en entrant manuellement leur numéro de série ou leur numéro de commande.
  7. Choisir l’action Affecter au serveur, puis choisir le serveur MDM que vous avez créé.
  8. Spécifiez comment choisir des appareils, puis fournissez des informations et détails sur les appareils.
  9. Choisir Attribuer au serveur et le <nom_serveur> spécifié pour Microsoft Intune, puis OK.

Étape 3 : Enregistrer l’ID Apple utilisé pour créer ce jeton

Revenez au Centre d’administration et entrez l’ID Apple.

Capture d’écran : spécification de l’ID Apple utilisé pour créer le jeton du programme d’inscription et accès à ce jeton.

Étape 4 : Charger votre jeton

Dans la zone Jeton Apple, accéder au fichier du certificat (.pem), choisir Ouvrir, puis Créer. Avec le certificat Push, Intune peut inscrire et gérer des appareils iOS/iPadOS en envoyant la stratégie aux appareils mobiles inscrits. Intune synchronise automatiquement les appareils Apple School Manager auprès d’Apple.

Créer un profil d’inscription Apple

Maintenant que vous avez installé votre jeton, vous pouvez créer un profil d’inscription pour les appareils Apple School. Un profil d'inscription d'appareil définit les paramètres appliqués à un groupe d'appareils lors de l’inscription.

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.

  2. Sélectionnez l’onglet Apple.

  3. Sous Méthodes d’inscription en bloc, choisissez Jetons du programme d’inscription.

  4. Sélectionnez un jeton.

  5. Sélectionnez Profils>Create profil>iOS/iPadOS.

  6. Dans Créer un profil, entrer le Nom et la Description du profil qui serviront à des fins d’administration. Les utilisateurs ne voient pas ces détails. Vous pouvez utiliser ce champ Nom pour créer un groupe dynamique dans Microsoft Entra ID. Utilisez le nom du profil pour définir le paramètre enrollmentProfileName et attribuer des appareils avec ce profil d’inscription. En savoir plus sur Microsoft Entra groupes dynamiques.

    Nom et description du profil.

  7. Pour Affinité utilisateur, indiquer si les appareils possédant ce profil doivent être inscrits avec ou sans utilisateur attribué.

    • Inscrire avec affinité utilisateur : choisissez cette option pour les appareils qui appartiennent à des utilisateurs et qui veulent utiliser le Portail d’entreprise pour des services comme l’installation d’applications. Cette option permet également aux utilisateurs d’authentifier leurs appareils avec le Portail d’entreprise. Si vous utilisez ADFS, l’affinité utilisateur nécessite un point de terminaison WS-Trust 1.3 Username/Mixed. En savoir plus. Le mode iPad partagé d’Apple School Manager nécessite l’inscription de l’utilisateur sans une affinité utilisateur.

    • Inscrire sans affinité utilisateur : choisir cette option pour les appareils non affiliés à un seul utilisateur, par exemple des appareils partagés. Utiliser cette option pour les appareils qui effectuent des tâches sans accéder aux données de l’utilisateur local. Les applications telles que l’application Portail d’entreprise ne fonctionnent pas.

  8. Si vous avez choisi Inscrire avec l’affinité utilisateur, vous pouvez permettre aux utilisateurs de s’authentifier avec Portail d'entreprise, l’Assistant Configuration (hérité) et l’Assistant Configuration avec l’authentification moderne. Sélectionnez l’option . Pour plus d’informations sur les méthodes d’authentification, consultez Méthodes d’authentification pour l’inscription automatisée des appareils dans Intune.

    Remarque

    Si vous souhaitez effectuer l’une des options suivantes, définissez S’authentifier avec le portail d’entreprise au lieu de l’Assistant Configuration Apple sur Oui.

    • utiliser l’authentification multifacteur
    • inviter les utilisateurs à changer leur mot de passe lors de leur première connexion
    • inviter les utilisateurs à réinitialiser leurs mots de passe arrivés à expiration lors de l’inscription

    Ces fonctionnalités ne sont pas prises en charge lors de l’authentification avec l’Assistant Configuration Apple.

  9. Choisissez Paramètres de gestion des appareils et indiquez si vous souhaitez que les appareils utilisant ce profil soient supervisés ou non. Les appareils supervisés offrent plus d’options de gestion et le Verrouillage d’activation est par défaut désactivé. Microsoft recommande d’utiliser ADE comme mécanisme d’activation du mode supervisé d’Intune, en particulier pour les organisations qui déploient un grand nombre d’appareils iOS/iPadOS.

    Les utilisateurs sont informés du fait que leurs appareils sont supervisés de deux manières :

    • L’écran de verrouillage indique : « Cet iPhone est géré par Contoso. »

    • L’écran Paramètres>Général>À propos de indique : « Cet iPhone est supervisé. Contoso peut surveiller votre trafic Internet et localiser cet appareil. »

      Remarque

      Seul Apple Configurator permet de rétablir la supervision sur un appareil inscrit sans supervision. Pour cela, l’appareil iOS/iPadOS doit être relié à un Mac par câble USB. Découvrez plus d’informations sur ceci dans la documentation d’Apple Configurator.

  10. Choisir si vous souhaitez que l’inscription soit verrouillée pour les appareils possédant ce profil. L’inscription verrouillée désactive les paramètres iOS/iPadOS qui permettent de supprimer le profil de gestion du menu Paramètres. Une fois l’appareil inscrit, vous ne pouvez plus modifier ce paramètre sans réinitialiser l’appareil. Pour ces appareils, le Mode d’administration Supervisé doit avoir la valeur Oui.

  11. Vous pouvez autoriser plusieurs utilisateurs à se connecter à des iPad inscrits en utilisant un ID Apple géré. Pour ce faire, choisir Oui sous iPad partagé (cette option nécessite Inscrire sans affinité utilisateur et mode supervisé défini sur Oui.) Les ID Apple gérés sont créés dans le portail Apple School Manager. En savoir plus sur l’option iPad partagé et les spécifications pour iPad partagé d’Apple.

  12. Choisir si vous souhaitez que les appareils possédant ce profil puissent Se synchroniser avec des ordinateurs. Refuser tout signifie que tous les appareils qui utilisent ce profil ne pourront pas se synchroniser avec les données d’un ordinateur. Si vous choisissez Autoriser Apple Configurator par certificat, vous devez choisir un certificat sous Certificats Apple Configurator.

  13. Si vous avez sélectionné Autoriser Apple Configurator par certificat à l’étape précédente, choisir un certificat Apple Configurator à importer.

  14. Vous pouvez spécifier pour les appareils un format d’attribution de noms qui est automatiquement appliqué lorsqu’ils s’inscrivent. Pour cela, choisissez Oui sous Appliquer le modèle de nom d’appareil. Ensuite, dans la zone Modèle de nom d’appareil, entrer le modèle à utiliser pour les noms à l’aide de ce profil. Vous pouvez spécifier un format de modèle incluant le type d’appareil et le numéro de série.

  15. Sélectionnez OK.

  16. Choisissez Paramètres de l’Assistant Configuration pour configurer les paramètres de profil suivants :

    Paramètre Description
    Nom du service S’affiche quand l’utilisateur appuie sur À propos de la configuration pendant l’activation.
    Numéro de téléphone du service S’affiche quand l’utilisateur clique sur le bouton Besoin d’aide pendant l’activation.
    Options de l’Assistant Configuration Les paramètres facultatifs suivants pourront être configurés plus tard dans le menu Paramètres d’iOS/iPadOS.
    Code secret Invite à saisir un code secret pendant l’activation. Toujours exiger un code secret pour les appareils non sécurisés, sauf si l'accès est contrôlé d'une autre manière (comme le mode plein écran qui limite l'appareil à une seule application).
    Services de localisation Si cette option est activée, l’Assistant Configuration invite à spécifier le service pendant l’activation.
    Restaurer Si cette option est activée, l’Assistant Configuration invite à spécifier la sauvegarde iCloud pendant l’activation.
    ID iCloud et Apple Si cette option est activée, l’Assistant Configuration invite l’utilisateur à se connecter avec un ID Apple, et l’écran Applications et données autorisera la restauration de l’appareil à partir de la sauvegarde iCloud.
    Conditions générales Si cette option est activée, l’Assistant Configuration invite l’utilisateur à accepter les conditions générales d’Apple pendant l’activation.
    Touch ID Si cette option est activée, l’Assistant Configuration invite à spécifier ce service pendant l’activation.
    Apple Pay Si cette option est activée, l’Assistant Configuration invite à spécifier ce service pendant l’activation.
    Zoom Si cette option est activée, l’Assistant Configuration invite à spécifier ce service pendant l’activation.
    Siri Si cette option est activée, l’Assistant Configuration invite à spécifier ce service pendant l’activation.
    Données de diagnostic Si cette option est activée, l’Assistant Configuration invite à spécifier ce service pendant l’activation.

  17. Sélectionnez OK.

  18. Pour enregistrer le profil, choisissez Créer.

Synchroniser des appareils gérés

Une fois qu’Intune a reçu l’autorisation de gérer vos appareils Apple School Manager, synchroniser Intune avec le service Apple pour voir vos appareils gérés dans Intune.

  1. Revenez à Jetons du programme d’inscription.
  2. Sélectionnez un jeton dans la liste.
  3. Sélectionnez Synchronisation des appareils>.
    Capture d’écran du nœud Appareils du programme d’inscription et du lien Synchronisation.

Pour respecter les conditions d’Apple relatives à un trafic de programme d’inscription acceptable, Intune impose les restrictions suivantes :

  • Une synchronisation complète ne peut pas s’exécuter plus d’une fois tous les sept jours. Pendant une synchronisation complète, Intune actualise tous les numéros de série Apple affectés à Intune. Si une synchronisation complète est tentée dans les sept jours de la synchronisation complète précédente, Intune actualise seulement les numéros de série qui ne figurent pas déjà dans Intune.
  • Toute demande de synchronisation doit se terminer dans un délai de 15 minutes. Pendant ce temps ou jusqu’au succès de la demande, le bouton Synchroniser est désactivé.
  • Intune synchronise les nouveaux appareils et les appareils supprimés auprès d’Apple toutes les 24 heures.

Remarque

Vous pouvez également affecter des numéros de série Apple School Manager aux profils à partir du panneau Appareils du programme d’inscription.

Attribuer un profil aux appareils

Un profil d’inscription doit être affecté aux appareils Apple School Manager gérés par Intune avant leur inscription.

  1. Revenez à Jetons du programme d’inscription.
  2. Sélectionnez un jeton dans la liste.
  3. Sélectionnez Appareils et choisissez vos appareils.
  4. Sélectionnez Attribuer un profil. Sélectionnez ensuite un profil pour les appareils.
  5. Sélectionnez Affecter.

Distribuer des appareils aux utilisateurs

Vous avez activé la gestion et la synchronisation entre Apple et Intune, et attribué un profil pour permettre à vos appareils Apple School de s’inscrire. Vous pouvez désormais distribuer les appareils aux utilisateurs. Quand un appareil Apple School Manager iOS/iPadOS est allumé, il est inscrit pour être géré par Intune. Les profils ne peuvent pas être appliqués aux appareils activés en cours d'utilisation tant que l'appareil n'a pas été effacé.