Configurer l’inscription des appareils macOS dans Intune

Microsoft Intune prend en charge l’inscription des appareils personnels et d’entreprise. Cet article décrit les méthodes et fonctionnalités que vous pouvez utiliser pour inscrire des appareils personnels, d’entreprise et des machines virtuelles dans Intune.

Activer l’inscription dans Microsoft Intune

Effectuez d’abord ces étapes pour activer l’inscription dans un client Microsoft Intune.

  1. Vérifier que les appareils sont éligibles pour l’inscription d’appareils Apple
  2. Configurer les domaines
  3. Configurer l’autorité MDM
  4. Obtenir un certificat Push MDM Apple
  5. Attribuer des licences utilisateur dans le Centre d’administration Microsoft 365
  6. Créer des groupes
  7. Configurer l’application Portail d’entreprise

Inscrire des appareils

Une fois l’inscription activée, utilisez l’une des méthodes prises en charge décrites dans cette section pour inscrire les appareils d’entreprise et d’utilisateur.

Appareils macOS de l’utilisateur (BYOD)

Intune prend en charge la fonction BYOD (bring-your-own-device), qui permet aux utilisateurs d'inscrire eux-mêmes leurs appareils personnels. Pour terminer la configuration de l’inscription pour les scénarios BYOD, indiquez à vos utilisateurs sous licence d’utiliser l’une de ces options pour inscrire des appareils :

  • Connectez-vous au site Web du portail de l'entreprise et suivez les instructions à l'écran pour ajouter un appareil.
  • Installez l'application Company Portal pour Mac sur aka.ms/EnrollMyMac et suivez les instructions à l'écran pour ajouter un appareil.

Appareils macOS détenus par l’entreprise

Intune prend en charge les méthodes d'inscription suivantes pour les appareils macOS appartenant à l’entreprise. Sélectionnez une méthode hypertexte pour ouvrir ses étapes de configuration.

  • Inscription automatisée des appareils Apple : Utilisez cette méthode pour automatiser l'inscription des appareils achetés via le gestionnaire d'entreprise Apple ou le gestionnaire d'école Apple. L'inscription automatique des appareils déploie le profil d'inscription par voie hertzienne, de sorte que vous n'avez pas besoin d'avoir un accès physique aux appareils.
  • Gestionnaire d'inscription des appareils (DEM) : utilisez cette méthode pour les déploiements à grande échelle et lorsque plusieurs personnes dans votre organisation peuvent aider à la configuration de l'inscription. Une personne disposant d’autorisations de gestionnaire d’inscription d’appareil (DEM) peut inscrire jusqu’à 1 000 appareils avec un seul compte Microsoft Entra. Cette méthode utilise l'application Company Portal ou l'application Microsoft Intune pour inscrire les appareils. Vous ne pouvez pas utiliser un compte DEM pour inscrire des appareils via l'inscription automatique des appareils.
  • Inscription directe : L'inscription directe inscrit les dispositifs sans affinité avec l'utilisateur, cette méthode est donc la meilleure pour les dispositifs qui ne sont pas associés à un seul utilisateur. Cette méthode exige que vous ayez un accès physique aux Macs que vous inscrivez.

Jetons d’amorçage

Intune prend en charge l'utilisation de jetons d'amorçage sur les Mac inscrits exécutant macOS 10.15 ou une version ultérieure. Les jetons d'amorçage accordent le statut de propriétaire de volume aux comptes d'utilisateurs locaux et d'invités, de sorte que les utilisateurs non administrateurs peuvent approuver des opérations importantes qu'un administrateur devrait autrement effectuer. Des opérations telles que :

  • Mises à jour logicielles à l'initiative de l'utilisateur

  • Installation de l'extension du noyau sur le silicium d'Apple

Vous pouvez utiliser les jetons d'amorçage sur les Macs supervisés et les Macs inscrits via l'inscription automatique des appareils macOS.

Obtenir un jeton d'amorçage

Le jeton d'amorçage est automatiquement généré lorsque :

  • Un Mac nouvellement inscrit s'enregistre dans Intune et
  • Un utilisateur disposant d'un jeton sécurisé (généralement un administrateur Intune) se connecte au Mac avec son mot de passe en clair.

Le jeton est ensuite automatiquement déposé auprès de Microsoft Intune. Vous pouvez utiliser un outil de ligne de commande pour afficher, générer et séquestrer manuellement un jeton d'amorçage sur les appareils macOS pris en charge, si nécessaire. Pour en savoir plus sur la commande, consultez la rubrique Utiliser les jetons sécurisés, les jetons dʼamorçage, et la propriété de volume pour les déploiements sur Apple Support.

Surveiller l’état d’entiercement de l’amorçage

Vous pouvez surveiller l’état d’entiercement pour tout Mac inscrit dans le Centre d’administration. La propriété matérielle Entiercement du jeton d’amorçage indique si le jeton d’amorçage a été entiercé ou non dans Intune. Intune signale Oui lorsque le jeton a été correctement entiercé et Non lorsque le jeton n’a pas été entiercé.

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Accédez à Appareils>macOS.
  3. Sélectionnez un appareil dans votre liste d’appareils macOS.
  4. Sélectionnez Matériel.
  5. Dans les détails du matériel, faites défiler jusqu’à Accès conditionnel>Jeton d’amorçage entiercé.

Gérer les extensions du noyau et les mises à jour des logiciels

Un jeton d'amorçage peut être utilisé pour approuver l'installation des extensions du noyau et des mises à jour logicielles sur un Mac doté du silicium d'Apple.

Les mises à jour logicielles initiées par l’utilisateur peuvent être effectuées avec un jeton bootstrap sur les Mac qui exécutent macOS, version 11.1 et qui sont inscrits via l’inscription automatisée des appareils. Pour autoriser les mises à jour logicielles initiées par l’utilisateur sur un appareil qui n'est pas inscrit via l'inscription automatisée des appareils, vous devez redémarrer le Mac en mode récupération et rétrograder ses paramètres de sécurité. Vous pouvez également utiliser le jeton bootstrap pour les mises à jour logicielles sur Mac exécutant macOS 11.2 et version ultérieure, la seule condition étant que l’appareil doit être supervisé.

La gestion de l'extension du noyau est automatiquement disponible sur les Mac exécutant macOS 11 ou une version ultérieure et inscrits via l'inscription automatique des appareils. Pour autoriser la gestion à distance des extensions du noyau sur un appareil qui n'est pas inscrit via l'inscription automatique des appareils, vous devez redémarrer le Mac en mode récupération et rétrograder ses paramètres de sécurité.

Pour plus d'informations sur la modification des paramètres de sécurité, consultez Modifier les réglages de sécurité sur le disque de démarrage d’un Mac avec une puce Apple sur l'assistance Apple.

Bloquer l’inscription macOS

Par défaut, Intune permet aux appareils macOS de s’inscrire. Pour empêcher l’inscription des appareils Mac OS, consultez Définir des restrictions de type d’appareil.

Inscrire des machines virtuelles macOS à des fins de test

Remarque

Intune prend en charge les machines virtuelles macOS à des fins de test uniquement. N'utilisez pas de machines virtuelles macOS comme appareils officiels pour les employés ou les étudiants.

Intune prend en charge les machines virtuelles en cours d'exécution :

  • Parallels Desktop
  • VMware Fusion
  • Silicium d'Apple

Intune doit connaître le modèle matériel et le numéro de série de la VM pour la reconnaître et l'inscrire comme appareil. Si vous essayez d'inscrire une VM sans fournir ces détails, l'inscription échoue. Cette section fournit des informations supplémentaires sur la manière de satisfaire à cette exigence avant l'inscription.

Parallels Desktop

Modifier les paramètres de configuration de la VM pour ajouter ou modifier un numéro de série de la VM et un identifiant de modèle matériel. Entrez une chaîne de caractères alphanumériques pour le numéro de série. Pour le modèle de matériel, nous recommandons d'utiliser le modèle de l'appareil qui exécute la VM. Pour trouver le modèle de matériel de votre Mac, sélectionnez le menu pomme et allez dans À propos de ce >système de rapport> de Mac identificateur de modèle.

Pour en savoir plus, consultez les rubriques suivantes dans la base de connaissances de Parallels :

VMware Fusion

Ajoutez les lignes suivantes à votre fichier .vmx pour définir le modèle matériel et le numéro de série de la VM. Les valeurs indiquées dans cet exemple sont des exemples.

serialNumber = "ABC123456789"  
hw.model = "MacBookAir10,1"  

Entrez une chaîne de caractères alphanumériques pour le numéro de série. Pour le modèle de matériel, nous recommandons d'utiliser le modèle de l'appareil qui exécute la VM. Pour trouver le modèle de matériel de votre Mac, sélectionnez le menu pomme et allez dans À propos de ce >système de rapport> de Mac identificateur de modèle.

VMware Fusion est pris en charge uniquement sur les Mac Intel. Consultez le site Web de la connexion client VMware pour plus d'informations sur la modification du fichier .vmx de votre VM VMware Fusion.

Silicium d'Apple

Aucun changement n'est requis pour les machines virtuelles fonctionnant sur le matériel Apple Silicon. Parallels Desktop est pris en charge sur les Mac avec Apple Silicon. Par conséquent, si vous configurez une machine virtuelle de cette façon, vous n’avez pas besoin de modifier l’ID ou le numéro de série du modèle matériel.

Inscription approuvée par l’utilisateur

Toutes les inscriptions Mac dans Intune sont considérées comme approuvées par l’utilisateur. L’inscription approuvée par l’utilisateur vous permet de gérer les appareils macOS qui ne font pas partie d’Apple School Manager ou d’Apple Business Manager. Il offre le même niveau de contrôle que les appareils macOS supervisés inscrits à l’aide de l’Inscription automatisée des appareils ou d’Apple Configurator.

Intune active automatiquement la surveillance des appareils approuvés par l’utilisateur exécutant macOS 11 et version ultérieure. Il le fait également pour les appareils inscrits qui sont mis à jour ultérieurement vers macOS 11 ou version ultérieure.

Remarque

Intune a annoncé la prise en charge de l’inscription approuvée par l’utilisateur en juin 2020. Les inscriptions BYOD qui se sont produites avant cette période peuvent ne pas être approuvées par l’utilisateur. Pour plus d’informations sur l’approbation par l’utilisateur des appareils Apple, consultez Inscription MDM approuvée par l’utilisateur sur le site web du support Apple.

Expérience utilisateur

L’utilisateur de l’appareil se connecte à l’application Portail d'entreprise pour lancer l’inscription. Portail d'entreprise ouvre ensuite les préférences système de l’appareil et invite l’utilisateur à installer le profil de gestion. Portail d'entreprise fournit des instructions dans l’application pour permettre aux utilisateurs de trouver le profil. Les utilisateurs accèdent à Préférences système>Profils pour approuver l’installation du profil de gestion. Les utilisateurs d’appareils qui ne fournissent pas d’approbation lors de l’inscription peuvent revenir aux préférences système ultérieurement pour donner leur accord.

Découvrir si l’appareil est approuvé par l’utilisateur

  1. Dans le centre d’administration, sélectionnez Appareils>Tous les appareils.
  2. Choisissez un appareil macOS.
  3. Dans le menu latéral, sélectionnez Matériel.
  4. Vérifiez la valeur à côté d’Inscription approuvée par l’utilisateur.

Sauvegarder et restaurer avec l’Assistant Migration Apple

Utilisez l’Assistant Migration Apple pour sauvegarder et restaurer un appareil macOS. Vous pouvez utiliser l’outil pour sauvegarder un Mac et restaurer ses données d’application sur un nouvel appareil. Il est important de savoir :

  • Le profil de gestion sur le Mac d’origine n’est pas sauvegardé. Un nouveau profil de gestion est envoyé à l’appareil lors de la réinscription du nouveau Mac. Cela se produit sur les Mac qui passent par l’inscription automatique des appareils Apple et les Mac qui ne passent pas par l’inscription automatique des appareils.
  • Portail d'entreprise informations d’identification de l’application peuvent être restaurées sur le nouveau Mac après avoir passé par l’Assistant Migration et s’est inscrit. Si cela se produit, nous vous recommandons, ou l’utilisateur de l’appareil, d’effectuer les étapes suivantes pour effacer les données d’application :
    1. Déconnectez-vous de l’application Portail d'entreprise.
    2. Connectez-vous à l’application ou Portail d'entreprise site web.

Prochaines étapes