Partager via


Configurer l’inscription automatisée des appareils (ADE) pour macOS

Configurez l’inscription automatisée des appareils dans Intune pour les Mac nouveaux ou réinitialisants achetés dans le cadre d’un programme d’inscription Apple, tel qu’Apple Business Manager ou Apple School Manager. Avec cette méthode, vous n’avez pas besoin d’avoir les appareils avec vous pour les configurer. Intune se synchronise automatiquement avec Apple pour obtenir des informations sur l’appareil à partir de votre compte de programme d’inscription, et déploie vos profils d’inscription préconfigurés sur les Mac en direct. Les appareils préparés peuvent être expédiés directement aux employés ou aux étudiants. L’Assistant Configuration et l’inscription de l’appareil commencent lorsque quelqu’un allume le Mac.

Cet article explique comment configurer un profil d’inscription d’appareil automatisé pour les Mac appartenant à l’entreprise.

Remarque

Les étapes décrites dans cet article sont les mêmes que vous utilisiez Apple Business Manager ou Apple School Manager. Par souci de concision, nous faisons référence à Apple Business Manager uniquement tout au long des étapes décrites dans cet article, sauf si des précisions sont nécessaires.

Certificats

Ce type d’inscription prend en charge le protocole ACME (Automated Certificate Management Environment). Lorsque de nouveaux appareils s’inscrivent, le profil de gestion de Intune reçoit un certificat ACME. Le protocole ACME offre une meilleure protection que le protocole SCEP contre l’émission de certificats non autorisés par le biais de mécanismes de validation robustes et de processus automatisés, ce qui permet de réduire les erreurs dans la gestion des certificats.

Les appareils déjà inscrits n’obtiennent pas de certificat ACME, sauf s’ils s’inscrivent à nouveau dans Microsoft Intune. ACME est pris en charge sur les appareils exécutant macOS 13.1 et versions ultérieures.

Limitations

L’inscription automatisée des appareils via Apple Business Manager et Apple School Manager n’est pas prise en charge avec les comptes du gestionnaire d’inscription d’appareils.

Configuration requise

L’accès à Apple School Manager ou Apple Business Manager est requis. Vous devez également disposer d’une liste de numéros de série d’appareils ou d’un numéro de bon de commande pour les appareils que vous avez achetés via Apple.

Avant de commencer, vérifiez que les tâches suivantes sont terminées :

Créer un jeton de programme d’inscription

Cette section explique comment créer un jeton de programme d’inscription dans Intune. Le jeton du programme d’inscription (parfois appelé jeton d’inscription d’appareil automatisé) est un composant nécessaire de l’inscription automatisée des appareils. Il active les fonctionnalités de communication et de gestion des appareils entre Intune et le programme d’inscription Apple que vous avez choisi. Il permet Intune de synchroniser les informations de votre compte Apple Business Manager ou Apple School Manager et d’appliquer des profils aux appareils.

Étape 1 : télécharger le certificat de clé publique d'Intune

Le certificat de clé publique est nécessaire pour demander un certificat de relation d’approbation à Apple Business Manager.

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.
  2. Sélectionnez l’onglet Apple.
  3. Sous Méthodes d’inscription en bloc, sélectionnez Jetons du programme d’inscription.
  4. Sélectionnez Ajouter.
  5. Sélectionnez J’accepte d’accorder à Microsoft l’autorisation d’envoyer des informations sur l’utilisateur et l’appareil à Apple.
  6. Sélectionnez Télécharger votre clé publique et enregistrez la clé en tant que fichier PEM localement. La clé sera utilisée pour obtenir le jeton de serveur MDM à l’étape suivante.

Étape 2 : Ajouter un serveur MDM et télécharger le jeton de serveur

Ajoutez un serveur de gestion des appareils mobiles (MDM) pour Intune à Apple Business Manager, puis téléchargez le jeton de serveur correspondant.

  1. Dans le Centre d’administration, sélectionnez le lien qui correspond au portail Apple que vous utilisez. Les options disponibles sont les suivantes :

    • Créer un jeton via Apple Business Manager
    • Créer un jeton via Apple School Manager

    Le portail sélectionné s’ouvre dans un nouvel onglet de navigateur. Vous pouvez basculer en toute sécurité vers le nouvel onglet, mais gardez l’onglet avec Microsoft Intune ouvert pour plus tard.

  2. Connectez-vous au portail Apple avec l’ID Apple de votre entreprise. N’oubliez pas que cet ID est l’ID Apple que vous et votre organisation devez utiliser pour renouveler et gérer le jeton à l’avenir. N’utilisez donc pas d’ID personnel.

  3. Accédez à votre profil > de compte Préférences.

  4. Accédez à vos devoirs de serveur MDM.

  5. Sélectionnez l’option permettant d’ajouter un serveur GPM.

  6. Nommez le serveur MDM. Le nom est à des fins d’identification uniquement dans Apple Business Manager et ne doit pas être le nom ou l’URL réel du serveur Microsoft Intune.

  7. Chargez votre fichier de clé publique, puis enregistrez vos modifications.

  8. Téléchargez le jeton de serveur (fichier .p7m).

Étape 3 : Attribuer des appareils au serveur MDM

Si vous le souhaitez, après avoir créé le serveur MDM dans Apple Business Manager, vous pouvez commencer à lui attribuer des appareils. Nous vous recommandons de les attribuer maintenant, car vous êtes déjà dans Apple Business Manager, mais vous pouvez revenir plus tard si vous n’êtes pas prêt. Vous pouvez utiliser les fonctionnalités disponibles telles que les filtres et l’affectation en bloc pour simplifier la sélection des affectations. Pour plus d’informations et pour connaître les étapes à suivre, consultez Attribuer, réaffecter ou annuler l’affectation d’appareils dans Apple Business Manager(ouvre le Guide de l’utilisateur d’Apple Business Manager).

Étape 4 : Enregistrer l’ID Apple

Revenez au centre d’administration et entrez l’ID Apple utilisé pour télécharger le jeton de serveur. Cet ID est l’ID Apple que vous devez utiliser pour renouveler le jeton chaque année. Assurez-vous que les administrateurs Intune futurs sont au courant de l’ID Apple utilisé, au cas où vous laissez votre organization et que vous devez y transférer la gestion des jetons.

Capture d’écran mettant en évidence le champ ID Apple dans le volet « Ajouter un jeton de programme d’inscription ».

Étape 5 : Charger le jeton du serveur et terminer

Chargez le fichier de jeton de serveur sur Intune pour terminer la création du jeton du programme d’inscription.

  1. Revenez au champ jeton Apple du centre > d’administration. Accédez au jeton de serveur (fichier .p7m) sur votre appareil.
  2. Choisissez Ouvrir, puis Créer.

Intune se connectera automatiquement à Apple Business Manager pour synchroniser les informations d’appareil à partir de votre compte de programme d’inscription. Pour plus d’informations sur la synchronisation manuelle du jeton, consultez Synchroniser les appareils gérés (dans cet article).

Créer un profil d’inscription Apple

Créez un profil d’inscription d’appareil automatisée dans le centre d’administration. Le profil définit l’expérience d’inscription pour les appareils Mac de votre organization et applique des stratégies et des paramètres d’inscription sur les appareils d’inscription. Le profil est déployé sur les appareils attribués en direct.

À la fin de cette procédure, vous pouvez attribuer ce profil à Microsoft Entra groupes d’appareils.

Importante

Pour créer le profil, vous devez disposer d’une configuration de jeton de programme d’inscription dans Intune. Si vous ne l’avez pas encore fait, consultez Créer un jeton de programme d’inscription au début de cet article.

  1. Dans le Centre d’administration, accédez àInscriptiondes appareils>.

  2. Sélectionnez l’onglet Apple.

  3. Sous Méthodes d’inscription en bloc, sélectionnez Jetons du programme d’inscription.

  4. Sélectionnez un jeton de programme d’inscription.

  5. Sélectionnez Profils>Créer un profil>macOS.

    Capture d’écran de création d’un profil.

  6. Pour Informations de base, entrez un nom et une description pour le profil afin de pouvoir le distinguer des autres profils d’inscription. Ces détails ne sont pas visibles par les utilisateurs de l’appareil.

    Conseil

    Vous pouvez utiliser le champ nom pour créer un groupe dynamique dans Microsoft Entra ID et affecter automatiquement des appareils au profil d’inscription. Utilisez le nom du profil pour définir le paramètre enrollmentProfileName . Pour plus d’informations, consultez les groupes dynamiques Microsoft Entra.

  7. Sélectionnez Suivant.

  8. Dans la page Paramètres de gestion , configurez l’affinité utilisateur. L’affinité utilisateur détermine si les appareils s’inscrivent avec ou sans utilisateur affecté. Les options disponibles sont les suivantes :

    • Inscrire sans affinité utilisateur : inscrire des appareils qui ne sont pas associés à un seul utilisateur. Choisissez cette option pour les appareils partagés et les appareils qui n’ont pas besoin d’accéder aux données utilisateur locales. L’application Portail d'entreprise ne fonctionne pas sur ces types d’appareils.

    • Inscrire avec l’affinité utilisateur : inscrire les appareils associés à un utilisateur affecté. Choisissez cette option pour les appareils professionnels qui appartiennent à des utilisateurs, et si vous souhaitez demander aux utilisateurs d’avoir l’application Portail d'entreprise pour installer des applications. L’authentification multifacteur (MFA) est disponible avec cette option.

      L’option 2 nécessite davantage de configurations. Les utilisateurs doivent s’authentifier avant l’inscription pour confirmer leur identité. Sélectionnez l’une des méthodes d’authentification suivantes :

      • Assistant Configuration avec authentification moderne : cette méthode exige que les utilisateurs remplissent tous les écrans de l’Assistant Configuration et se connectent à l’application Portail d'entreprise avec leurs informations d’identification Microsoft Entra avant de pouvoir accéder aux ressources. Une fois qu’ils se sont connectés à Portail d'entreprise, l’appareil :

        • S’inscrit avec Microsoft Entra ID.
        • Est ajouté à l’enregistrement d’appareil de l’utilisateur dans Microsoft Entra ID.
        • Peut être évalué pour la conformité de l’appareil.
        • Obtient l’accès aux ressources protégées par l’accès conditionnel.

        Si l’utilisateur ne se connecte pas à l’Portail d'entreprise pour terminer l’inscription, il est redirigé vers l’application Portail d'entreprise chaque fois qu’il tente d’ouvrir une application gérée avec protection d’accès conditionnel.

        Les appareils exécutant macOS 10.15 et versions ultérieures peuvent utiliser cette méthode. Les anciens appareils macOS reviennent à l’utilisation de la méthode de l’Assistant Installation héritée. Pour plus d’informations sur la façon d’obtenir l’application Portail d'entreprise aux utilisateurs Mac, consultez Ajouter l’application Portail d'entreprise pour macOS.

      • Assistant Configuration (hérité) : utilisez l’Assistant Configuration hérité si vous souhaitez que les utilisateurs profitent de l’expérience standard prête à l’emploi pour les produits Apple. Cette méthode installe les paramètres préconfigurés standard lorsque l’appareil s’inscrit avec Intune gestion. Si vous utilisez les services de fédération Active Directory (AD FS) et l’Assistant Configuration pour vous authentifier, un point de terminaison Nom d’utilisateur/Mixte WS-Trust 1.3 est nécessaire. Pour plus d’informations sur la récupération du point de terminaison ADFS, consultez [Get-ADfsEndpoint] (/powershell/module/adfs/get-adfsendpoint ?view=win10-ps&preserve-view=true).

  9. La configuration finale Await active une expérience verrouillée à la fin de l’Assistant Configuration pour vous assurer que vos stratégies de configuration d’appareil les plus critiques sont installées sur l’appareil. Ce paramètre est appliqué une seule fois pendant l’expérience d’inscription automatique des appareils Apple prête à l’emploi dans l’Assistant Configuration. L’utilisateur de l’appareil ne le retrouve pas, sauf s’il réinscrit son Mac.

    Les options disponibles sont les suivantes :

    • Oui : Juste avant le chargement de l’écran d’accueil, l’Assistant Configuration s’interrompt et Intune case activée avec l’appareil. L’expérience utilisateur final se verrouille pendant que les utilisateurs attendent les configurations finales. Cette option est la configuration par défaut pour les nouveaux profils d’inscription.

    • Non : l’appareil est renvoyé sur l’écran d’accueil à la fin de l’Assistant Configuration, quel que soit le statut d’installation de la politique. Les utilisateurs de l’appareil peuvent accéder à l’écran d’accueil ou modifier les paramètres de l’appareil avant l’installation de toutes les stratégies. Cette option est la configuration par défaut pour les profils d’inscription existants.

    La durée pendant laquelle les utilisateurs sont placés sur l’écran De configuration finale en attente varie et dépend du nombre total de stratégies et d’applications que vous attribuez à l’appareil. Les utilisateurs peuvent voir le téléchargement des profils de configuration d’appareil dans l’Assistant Configuration pendant qu’ils attendent. Plus le nombre de stratégies et d’applications affectées est grand, plus le temps d’attente est long. L’Assistant Configuration et les Intune n’appliquent pas de limite de temps minimale ou maximale pendant cette partie de la configuration. Lors de la validation du produit, la plupart des appareils que nous avons testés ont été libérés et ont pu accéder à l’écran d’accueil dans les 15 minutes. Si vous activez cette fonctionnalité et que vous travaillez avec un partenaire Microsoft ou un service non-Microsoft pour vous aider à provisionner des appareils, informez-leur du risque d’augmentation du temps d’approvisionnement.

    L’expérience de verrouillage est prise en charge sur les Mac exécutant macOS 10.11 ou version ultérieure. Il fonctionne sur les Mac ciblés avec des profils d’inscription nouveaux ou existants configurés pour les scénarios suivants :

    • Inscription via l’Assistant Configuration avec l’authentification moderne
    • Inscription avec l’Assistant Configuration (hérité)
    • Inscription sans affinité entre l’utilisateur et l’appareil
  10. Vous pouvez appliquer l’inscription verrouillée pour empêcher les utilisateurs de désinscrire leurs appareils de Intune. Sélectionnez Oui pour désactiver les paramètres Mac dans préférences système et terminal qui permettent aux utilisateurs de supprimer le profil de gestion. Une fois l’appareil inscrit, vous ne pouvez pas modifier ce paramètre sans effacer l’appareil.

  11. Sélectionnez Suivant.

  12. Si vous le souhaitez, dans la page Paramètres du compte , vous pouvez configurer le compte principal local sur les Mac ciblés.

    Image du centre d’administration montrant la nouvelle section Paramètres du compte dans le profil d’inscription automatique des appareils macOS.

    Ces paramètres sont pris en charge sur les appareils exécutant macOS 10.11 ou version ultérieure. Lorsque vous configurez le compte principal, gardez à l’esprit que ce compte sera un compte d’administrateur . Avoir au moins un compte d’administrateur est une exigence de configuration Mac.

    Les options disponibles sont les suivantes :

    • Créer un compte principal local : sélectionnez Oui pour configurer les paramètres du compte principal local pour les Mac ciblés. Sélectionnez Non configuré pour ignorer toutes les configurations de paramètres de compte.
    • Préremplir les informations sur le compte : la configuration par défaut, Non configuré, nécessite que l’utilisateur de l’appareil entre son nom d’utilisateur de compte et son nom complet dans l’Assistant Configuration. Pour préremplir les informations de compte à leur place, sélectionnez Oui. Entrez ensuite le nom du compte principal et le nom complet :
      • Nom du compte principal : entrez le nom d’utilisateur du compte. {{partialupn}} est la variable de jeton prise en charge pour le nom du compte.
      • Nom complet du compte principal : entrez le nom complet du compte. {{username}} est la variable de jeton prise en charge pour le nom complet.
    • Restreindre la modification : la configuration par défaut est définie sur Oui afin que les utilisateurs de l’appareil ne puissent pas modifier le nom de compte et le nom complet configurés pour eux. Pour autoriser les utilisateurs de l’appareil à modifier le nom du compte et le nom complet, sélectionnez Non configuré. Si vous utilisez uniquement l’Assistant Configuration (hérité) pour inscrire des appareils exécutant macOS 10.15 et versions ultérieures, vous pouvez vous attendre à l’expérience utilisateur final suivante :
      • Oui : l’écran de création de compte dans l’Assistant Configuration n’apparaît jamais. Au lieu de cela, le compte principal local est automatiquement créé en fonction des autres configurations de paramètre, et le mot de passe est automatiquement rempli à partir de l’écran d’authentification Microsoft Entra. L’utilisateur de l’appareil ne peut pas modifier ces champs.
      • Non configuré : l’écran du compte principal local s’affiche à l’utilisateur final dans l’Assistant Configuration et est rempli avec les valeurs de compte configurées et le mot de passe de l’écran d’authentification Microsoft Entra. L’utilisateur de l’appareil peut modifier ces champs pendant l’Assistant Configuration.

    Pour que les paramètres de compte fonctionnent comme prévu, votre profil d’inscription doit avoir les configurations suivantes :

    • Affinité utilisateur : sélectionnez Inscrire avec l’affinité utilisateur.
    • Méthode d’authentification : sélectionnez Assistant Installation avec authentification moderne ou Assistant Configuration (hérité).
    • Attendre la configuration finale : sélectionnez Oui.

    Les comptes locaux dépendent de la fonctionnalité de configuration finale await lors de leur création. Par conséquent, si vous configurez des paramètres de compte principal local, ce paramètre est toujours activé. Même si vous ne touchez pas au paramètre de configuration final Await , il est activé en arrière-plan et appliqué au profil d’inscription.

  13. Sélectionnez Suivant.

  14. Dans la page Assistant Configuration , configurez l’expérience Assistant Configuration.

    1. Entrez les informations de votre service afin que les utilisateurs sachent qui contacter pour le support :
      • Nom du service : ce nom s’affiche lorsque les utilisateurs de l’appareil sélectionnent À propos de la configuration lors de l’activation.
      • Téléphone du service : ce numéro de téléphone s’affiche lorsque les utilisateurs de l’appareil sélectionnent Besoin d’aide lors de l’activation.
    2. Sélectionnez les écrans de l’Assistant Configuration que vous souhaitez afficher ou masquer pendant la configuration de l’appareil. Pour obtenir une description de tous les écrans, consultez Informations de référence sur l’écran de l’Assistant Configuration (dans cet article). Les options disponibles sont les suivantes :
      • Masquer : l’écran n’apparaît pas aux utilisateurs pendant la configuration de l’appareil. Après la configuration de l’appareil, l’utilisateur peut accéder aux paramètres de son appareil pour configurer la fonctionnalité.
      • Afficher : l’écran s’affiche aux utilisateurs pendant la configuration de l’appareil. L’utilisateur peut toujours ignorer les écrans qui ne nécessitent pas d’action immédiate. Après la configuration de l’appareil, l’utilisateur peut accéder aux paramètres de son appareil pour configurer la fonctionnalité.
  15. Sélectionnez Suivant.

  16. Passez en revue le résumé des modifications, puis sélectionnez Créer pour terminer la création du profil.

Référence d’écran de l’Assistant Configuration

Le tableau suivant décrit les écrans de l’Assistant Configuration affichés lors de l’inscription automatisée des appareils pour Mac. Vous pouvez afficher ou masquer ces écrans sur les appareils pris en charge pendant l’inscription. Pour plus d’informations sur la façon dont chaque écran de l’Assistant Configuration affecte l’expérience utilisateur, consultez les ressources Apple suivantes :

Écran de l’Assistant Configuration Que se passe-t-il lorsque ceci est visible ?
Services de localisation Affiche le volet d’installation des services de localisation, où les utilisateurs peuvent activer les services de localisation sur leur appareil. Pour macOS 10.11 et versions ultérieures.
Restaurer Affiche le volet d’installation des applications et des données. Sur cet écran, les utilisateurs qui configurent des appareils peuvent restaurer ou transférer des données à partir de sauvegarde iCloud. Pour macOS 10.9 et ultérieur.
ID Apple Affiche le volet de configuration de l’ID Apple, qui donne aux utilisateurs la possibilité de se connecter avec leur ID Apple et d’utiliser iCloud. Pour macOS 10.9 et ultérieur.
Conditions générales Affiche le volet Conditions générales d’Apple et exige que les utilisateurs les acceptent. Pour macOS 10.9 et ultérieur.
Touch ID et Face ID Affiche le volet de configuration biométrique, qui donne aux utilisateurs la possibilité de configurer l’identification par empreinte digitale ou faciale sur leurs appareils. Pour macOS 10.12.4 et ultérieur.
Apple Pay Affiche le volet de configuration d’Apple Pay, qui donne aux utilisateurs la possibilité de configurer Apple Pay sur leurs appareils. Pour macOS 10.12.4 et ultérieur.
Siri Affiche le volet d’installation de Siri aux utilisateurs. Pour macOS 10.12 et versions ultérieures.
Données de diagnostic Affiche le volet diagnostics dans lequel les utilisateurs peuvent choisir d’envoyer des données de diagnostic à Apple. Pour macOS 10.9 et ultérieur.
Tonalité d’affichage Affiche le volet d’installation de la tonalité d’affichage. Cet écran offre aux utilisateurs la possibilité d’activer l’affichage de la tonalité vraie. Pour macOS 10.13.6 et versions ultérieures.
FileVault Affiche l’écran de chiffrement FileVault 2 pour les utilisateurs. Pour macOS 10.10 et ultérieur.
Diagnostics iCloud Affiche l’écran iCloud Analytics aux utilisateurs. Pour macOS 10.12.4 et ultérieur.
Registration Affiche l’écran d’inscription aux utilisateurs. Pour macOS 10.9 et ultérieur.
Stockage iCloud Affiche l’écran Documents et Bureau iCloud à l’utilisateur. Pour macOS 10.13.4 et ultérieur.
Apparence Affiche le volet d’apparence dans lequel les utilisateurs peuvent sélectionner un mode d’apparence. Pour macOS 10.14 et versions ultérieures.
Heure de l’écran Affiche le volet de configuration de l’heure d’écran macOS, une fonctionnalité que les utilisateurs peuvent activer pour obtenir des informations sur le temps d’écran et l’activité des applications et des sites web. Pour macOS 10.15 et versions ultérieures.
Confidentialité Affiche le volet de configuration de la confidentialité à l’utilisateur. Pour macOS 10.13.4 et ultérieur.
Accessibilité Affiche l’écran de configuration de l’accessibilité à l’utilisateur. Si cet écran est masqué, l’utilisateur ne peut pas utiliser la fonctionnalité de voix over macOS. La fonctionnalité Voix est pris en charge sur les appareils qui respectent les critères suivants :
– Ils doivent exécuter macOS 11.
– Ils doivent être connectés à Internet par Ethernet.
- Avoir un numéro de série dans Apple School Manager ou Apple Business Manager.
Déverrouillage automatique avec Apple Watch Affiche le volet Déverrouillage macOS avec Apple Watch, où les utilisateurs peuvent configurer leur Apple Watch pour déverrouiller leur Mac. Pour iOS/iPadOS 12.0 et ultérieur.
Forme d’adresse Affiche le volet des conditions d’adresse, qui donne aux utilisateurs la possibilité de choisir la façon dont ils souhaitent être traités dans le système : féminin, masculin ou neutre. Cette fonctionnalité Apple est disponible pour certaines langues. Pour plus d’informations, consultez Modifier les paramètres de langue & région sur Mac (ouvre le site web Apple). Pour macOS 13.0 et versions ultérieures.
Papier peint Affiche le volet de configuration du papier peint MacOS Sonoma une fois que les appareils ont terminé une mise à niveau logicielle. Si vous masquez cet écran, les appareils obtiennent le papier peint macOS Sonoma par défaut. Pour macOS 14.1 et versions ultérieures.
Mode de verrouillage Affiche le volet d’installation du mode de verrouillage pour les utilisateurs qui ont configuré un ID Apple. Pour macOS 14.0 et versions ultérieures.
Intelligence Affiche le volet d’installation d’Apple Intelligence, où les utilisateurs peuvent configurer les fonctionnalités Apple Intelligence. Pour macOS 15.0 et versions ultérieures.

Synchroniser des appareils gérés

La synchronisation actualise les status d’appareils existants et importe les nouveaux appareils affectés au serveur MDM Apple. Pour afficher tous les appareils Apple associés et les informations sur les appareils, synchronisez votre jeton de programme d’inscription dans le centre d’administration.

  1. Revenez à Jetons du programme d’inscription et choisissez votre jeton de programme d’inscription.

  2. Sélectionnez Synchronisation des appareils>.

    Capture d’écran de la zone jeton du programme d’inscription dans le centre d’administration, mettant en évidence l’exemple de jeton, le lien « Appareils » et le bouton « Synchroniser ».

Restrictions de synchronisation

Pour se conformer aux conditions d’Apple concernant le trafic acceptable du programme d’inscription, Microsoft Intune impose les restrictions suivantes :

  • Une synchronisation complète ne peut pas s’exécuter plus d’une fois tous les sept jours. Pendant une synchronisation complète, Intune récupère la liste la plus récente et mise à jour des numéros de série attribués au serveur MDM Apple connecté. Si vous supprimez un appareil de Intune sans le désaffecter du serveur MDM dans Apple Business Manager ou Apple School Manager, il ne sera pas réimporté dans Intune tant que la synchronisation complète n’est pas exécutée.
  • Si un appareil est libéré de l’un des programmes d’inscription Apple, la suppression automatique de l’appareil de la page Appareils dans Intune peut prendre jusqu’à 45 jours. Vous pouvez supprimer manuellement les appareils libérés dans Intune un par un, si nécessaire. Intune les rapports indiquent que les appareils ont été supprimés d’Apple Business Manager ou d’Apple School Manager jusqu’à ce qu’ils soient automatiquement supprimés, ce qui se produit dans les 30 à 45 jours.
  • Une synchronisation est exécutée automatiquement toutes les 24 heures. Vous pouvez lancer une synchronisation au plus une fois toutes les 15 minutes. Toutes les demandes de synchronisation ont 15 minutes pour se terminer. Le bouton Synchroniser devient inactif jusqu’à ce que la synchronisation soit terminée.

Affecter un profil d’inscription à des appareils

Attribuer un profil d’inscription aux appareils Apple.

  1. Revenez à Jetons du programme d’inscription et sélectionnez un jeton.
  2. Sélectionnez Appareils.
  3. Choisissez vos appareils dans la liste, puis sélectionnez Attribuer un profil.
  4. Choisissez un profil à attribuer, puis sélectionnez Attribuer.

Si vous le souhaitez, vous pouvez sélectionner un profil d’inscription par défaut. Le profil par défaut est déployé sur tous les appareils d’inscription associés au jeton.

  1. Revenez à Jetons du programme d’inscription et sélectionnez un jeton.
  2. Sélectionnez Définir le profil par défaut.
  3. Choisissez un profil, puis sélectionnez Enregistrer.

Distribuer les appareils

Importante

Les utilisateurs associés à des appareils qui ont une affinité utilisateur doivent se voir attribuer une licence Intune. Les appareils sans affinité utilisateur nécessitent une licence d’appareil.

Distribuez les appareils préparés tout au long de votre organization.

  • Macs nouveaux ou réinitialés : les Macs nouveaux ou réinitialises configurés dans Apple Business Manager ou Apple School Manager s’inscrivent automatiquement dans Microsoft Intune pendant l’Assistant Configuration lorsque quelqu’un allume l’appareil. Si vous avez affecté l’appareil à un profil d’inscription macOS avec affinité utilisateur, l’utilisateur de l’appareil doit se connecter à l’Portail d'entreprise une fois l’Assistant Installation terminé pour terminer Microsoft Entra exigences d’inscription et d’accès conditionnel.

  • Mac existants : vous pouvez inscrire des appareils qui ont déjà transité par l’Assistant Configuration. Effectuez ces étapes pour inscrire des Mac appartenant à l’entreprise exécutant macOS 10.13 et versions ultérieures.

    1. Vérifiez que :

      • L’appareil est importé dans Apple Business Manager ou Apple School Manager.
      • Un profil d’inscription macOS est affecté à l’appareil dans le centre d’administration.
    2. Connectez-vous à l’appareil avec un compte d’administrateur local.

    3. Pour déclencher l’inscription, à partir de la page d’accueil , ouvrez Terminal, puis exécutez la commande suivante :

      sudo profiles renew -type enrollment

    4. Entrez le mot de passe de l’appareil pour le compte d’administrateur local.

    5. Dans Inscription de l’appareil, sélectionnez Détails.

    6. Dans Préférences système, sélectionnez Profils.

    7. Suivez les invites à l’écran pour télécharger le profil de gestion Microsoft Intune, les certificats et les stratégies.

      Conseil

      Vous pouvez vérifier quels profils se trouvent sur l’appareil à tout moment en retournant à Préférences> systèmeProfils.

    8. Si vous avez affecté l’appareil à un profil d’inscription macOS avec l’affinité utilisateur, connectez-vous à l’application Portail d'entreprise pour effectuer Microsoft Entra les exigences d’inscription et d’accès conditionnel, puis terminez l’inscription.

Renouveler le jeton du programme d’inscription

Effectuez ces étapes pour renouveler un jeton de serveur sur le point d’expirer. Cette procédure garantit que le jeton du programme d’inscription associé dans Intune reste actif.

  1. Connectez-vous à Apple Business Manager ou Apple School Manager et procédez comme suit pour télécharger un nouveau jeton de serveur MDM :
  2. Dans le Centre d’administration, accédez àInscriptiondes appareils>.
  3. Sélectionnez l’onglet Apple.
  4. Sous Méthodes d’inscription en bloc, sélectionnez Jetons du programme d’inscription.
  5. Choisissez le jeton du programme d’inscription que vous souhaitez renouveler.
  6. Sélectionnez Renouveler le jeton et entrez l’ID Apple utilisé pour créer le jeton d’origine.
  7. Chargez le nouveau jeton.
  8. Sélectionnez Suivant. Vous pouvez mettre à jour les balises d’étendue pour le moment si vous le souhaitez. Sinon, passez à Vérifier + créer.
  9. Sélectionnez Créer pour enregistrer vos modifications.

Étapes suivantes

Utilisez Microsoft Intune actions à distance pour gérer à distance les Mac inscrits.