Tutoriel : Configurer l’inscription Microsoft Intune pour les appareils iOS/iPadOS dans Apple Business Manager

Utilisez Apple Business Manager avec Microsoft Intune pour simplifier et automatiser l’inscription des appareils pour les appareils iOS/iPadOS fournis via Apple Business Manager. L’inscription automatisée des appareils, que nous allons configurer dans ce tutoriel, permet l’inscription automatique sécurisée la première fois que l’utilisateur allume l’appareil en déployant le profil d’inscription sur l’appareil en direct.

Dans ce tutoriel, vous apprendrez comment le faire :

• Obtenir un jeton d’inscription d’appareil Apple
• Synchroniser les appareils gérés avec Intune
• Créer un profil d’inscription
• Affecter le profil d’inscription aux appareils

À la fin de ce tutoriel, les appareils seront prêts à être distribués pour l’inscription.

Configuration requise

• Définir l’autorité de gestion des appareils mobiles (GPM).
• Obtenez le certificat Push MDM Apple.
• Avoir des appareils nouveaux ou réinitialés achetés auprès d’Apple Business Manager.
• Ajoutez des informations d’achat sous paramètres de gestion des appareils dans Apple Business Manager.

Si vous n’avez pas d’abonnement Intune, inscrivez-vous à un compte d’essai gratuit.

Étape 1 : Ajouter un serveur MDM

Créez un profil de serveur MDM pour Microsoft Intune dans Apple Business Manager. Le jeton que vous téléchargez dans cette étape activera la connexion entre Microsoft Intune et Apple Business Manager dans une étape ultérieure.

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Accédez à Appareils>iOS/iPadInscription>iOS/iPadOS.

3. Sélectionnez Jetons du programme d’inscription.

4. Sélectionnez Ajouter.

5. Sélectionnez J’accepte d’accorder à Microsoft l’autorisation d’envoyer des informations sur l’utilisateur et l’appareil à Apple.

6. Sélectionnez Télécharger votre clé publique pour télécharger le certificat de clé publique du serveur (un fichier .pem) sur votre lecteur local.

7. Sélectionnez Créer un jeton via Apple Business Manager et connectez-vous à Apple Business Manager avec l’ID Apple de votre entreprise.

   Importante

   Lorsque vous êtes dans Apple Business Manager, ne fermez pas l’onglet du navigateur avec Microsoft Intune. Vous y reviendrez plus tard.

8. Ajoutez un serveur MDM appelé TestMDMServer et téléchargez le jeton de serveur correspondant dans Apple Business Manager. Pour plus d’informations et pour obtenir des instructions, consultez Lien vers un serveur GPM tiers (ouvre le Guide de l’utilisateur Apple Business Manager). Enregistrez le jeton de serveur localement sous la forme d’un fichier P7M (.p7m). Passez ensuite à l’Étape 2 : Attribuer des appareils.

Étape 2 : Attribuer des appareils

Lorsque vous êtes dans Apple Business Manager, attribuez des appareils à votre nouveau serveur MDM (TestMDMServer ou tout ce que vous avez nommé). Pour plus d’informations et d’instructions, consultez Attribuer, réaffecter ou annuler l’affectation d’appareils dans Apple Business Manager(ouvre le Guide de l’utilisateur d’Apple Business Manager). Lorsque vous avez terminé d’attribuer des appareils, passez à l’Étape 3 : Charger le jeton du serveur MDM.

Étape 3 : Charger le jeton de serveur MDM

Revenez au centre d’administration Microsoft Intune pour charger le jeton de serveur MDM dans Intune. Après avoir chargé le jeton, Microsoft Intune pouvez synchroniser et inscrire des appareils iOS/iPadOS affectés à TestMDMServer.

1. Pour ID Apple, entrez l’ID Apple que vous avez utilisé pour créer le jeton.
2. Sous Jeton Apple, chargez le jeton de serveur que vous avez enregistré précédemment. Le fichier doit être au format P7M.
3. Sélectionnez Suivant.
4. Si vous le souhaitez, appliquez des balises d’étendue au jeton d’inscription pour empêcher d’autres administrateurs d’y accéder ou d’y apporter des modifications. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
5. Sélectionnez Suivant.
6. Dans Vérifier + créer, sélectionnez Créer pour terminer la liaison Microsoft Intune et Apple Business Manager.

Microsoft Intune se synchronise automatiquement avec Apple Business Manager. L’affichage des appareils dans le centre d’administration peut prendre jusqu’à 12 heures. Vous pouvez attendre que ces appareils se synchronisent ou démarrer manuellement la synchronisation. Pour démarrer la synchronisation vous-même, sélectionnez votre jeton dans la liste du centre d’administration, puis choisissez Synchronisation des appareils>.

Étape 4 : Créer un profil d’inscription Apple

Créez un profil d’inscription pour les appareils iOS/iPadOS appartenant à l’entreprise. Un profil d'inscription d'appareil définit les paramètres appliqués à un groupe d'appareils lors de l’inscription.

1. Sélectionnez votre jeton dans le Centre d’administration, puis choisissez Profils>Créer un profil>iOS/iPadOS.

2. Dans la page Informations de base, entrez TestProfile comme Nom et Tester le Programme ADE pour les appareils iOS/iPadOS comme Description. Les utilisateurs ne voient pas ces détails.

3. Sélectionnez Suivant.

4. Dans la page Paramètres de gestion, déterminez si vous souhaitez que vos appareils s’inscrivent avec ou sans Affinité utilisateur. L’affinité utilisateur est conçue pour les appareils qui seront utilisés par des utilisateurs particuliers. Si vos utilisateurs souhaitent utiliser le Portail d’entreprise pour des services comme l’installation d’applications, choisissez Inscrire avec l’affinité utilisateur. Si vos utilisateurs n’ont pas besoin du Portail d'entreprise ou si vous souhaitez approvisionner l’appareil pour de nombreux utilisateurs, choisissez Inscrire sans affinité utilisateur.

5. Si vous choisissez de vous inscrire avec l’affinité utilisateur, l’option Sélectionnez où les utilisateurs doivent s’authentifier s’affiche. Choisissez si vous souhaitez vous authentifier avec le Portail d’entreprise ou l’Assistant Configuration Apple.

   • Portail d'entreprise : sélectionnez cette option pour utiliser l’authentification multifacteur, autoriser les utilisateurs à modifier leur mot de passe lors de la première connexion ou inviter les utilisateurs à réinitialiser leur mot de passe expiré lors de l’inscription. Si vous souhaitez que l’application Portail d’entreprise soit mise à jour automatiquement sur les appareils des utilisateurs finaux, vous devez déployer séparément le Portail d’entreprise en tant qu’application requise pour ces utilisateurs par le biais du programme d’achat en volume (VPP) d’Apple.
   • Assistant Installation : sélectionnez cette option pour utiliser l’authentification HTTP de base fournie par Apple via l’Assistant Configuration d’Apple

6. Si vous avez choisi de vous inscrire avec l’affinité utilisateur et de vous authentifier avec le Portail d’entreprise, l’option Installer le Portail d’entreprise avec VPP s’affiche. Si vous installez le Portail d’entreprise avec un jeton VPP, votre utilisateur n’a pas à entrer d’identifiant ou de mot de passe Apple pour télécharger l’application Portail d’entreprise à partir de l’App store lors de l’inscription. Choisissez Utiliser un jeton : sous Installer le portail d’entreprise avec VPP pour sélectionner un jeton VPP qui a des licences gratuites disponibles du Portail d’entreprise. Si vous ne souhaitez pas utiliser VPP pour déployer le Portail d’entreprise, choisissez Ne pas utiliser VPP.

7. Si vous avez choisi de vous inscrire avec l’affinité utilisateur, de vous authentifier avec le Portail d’entreprise et d’installer le Portail d’entreprise avec VPP, décidez si vous souhaitez exécuter le Portail d’entreprise en mode Application unique jusqu’à l’authentification. Avec ce paramètre, vous pouvez vous assurer que l’utilisateur n’a pas accès à d’autres applications tant qu’il n’a pas terminé l’inscription de l’entreprise. Si vous souhaitez limiter l’utilisateur à ce flux tant que l’inscription n’est pas terminée, choisissez Oui sous Exécuter le Portail d’entreprise en mode Application unique jusqu’à l’authentification.

8. Sous Paramètres de gestion de l’appareil, sous Supervisée, choisissez Oui (si vous avez choisi Inscrire avec l’affinité utilisateur, cette valeur est automatiquement définie sur Oui). Les appareils supervisés sont ceux qui offrent le plus d’options de gestion pour les appareils iOS/iPadOS d’entreprise.

9. Choisissez Oui sous Inscription verrouillée pour vous assurer que vos utilisateurs ne peuvent pas supprimer la gestion de l’appareil d’entreprise.

10. Choisissez une option sous Synchroniser avec des ordinateurs pour déterminer si les appareils iOS/iPadOS peuvent se synchroniser avec des ordinateurs.

11. Par défaut, Apple nomme l’appareil avec le type d’appareil, par exemple iPad. Si vous souhaitez fournir un autre modèle de nom, sous Appliquer le modèle de nom d’appareil, choisissez Oui. Entrez le nom à appliquer aux appareils, où les chaînes {{SERIAL}} et {{DEVICETYPE}} remplaceront le numéro de série et le type de chaque appareil. Sinon, choisissez Non sous Appliquer le modèle de nom d’appareil.

12. Cliquez sur Suivant.

13. Dans la page Assistant Configuration, définissez Service didacticiel pour Nom du service. Cette chaîne est ce que les utilisateurs voient quand ils appuient sur À propos de la configuration lors de l’activation de l’appareil.

14. Sous Téléphone du service, entrez un numéro de téléphone. Ce numéro s’affiche quand l’utilisateur clique sur le bouton Besoin d’aide lors de l’activation.

15. Vous pouvez afficher ou masquer différents écrans pendant l’activation de l’appareil. Pour bénéficier de l’expérience d’inscription la plus fluide, définissez tous les écrans sur Masquer.

16. Choisissez Suivant pour accéder à la page Vérifier + créer. Sélectionnez Créer.

Étape 5 : Attribuer un profil d’inscription à des appareils iOS/iPadOS

Vous devez affecter un profil de programme d’inscription aux appareils pour pouvoir les inscrire. Ces appareils sont synchronisés avec Intune à partir d’Apple et doivent se voir attribuer le bon jeton de serveur MDM dans le portail ABM, ASM ou ADE.

1. Dans le centre d’administration, choisissez votre jeton dans la liste.
2. Sélectionnez Appareils et choisissez les appareils que vous souhaitez attribuer.
3. Sélectionnez Attribuer un profil.
4. Sous Attribuer un profil, choisissez un profil pour les appareils >Attribuer.

Remarque

Assurez-vous que Restrictions de type d’appareil sous Restrictions d’inscription n’a pas la stratégie par défaut Tous les utilisateurs définie sur la plateforme iOS/iPadOS. Ce paramètre entraîne l’échec de l’inscription automatique et votre appareil s’affiche comme profil non valide, quelle que soit l’attestation de l’utilisateur. Pour autoriser l’inscription uniquement par les appareils gérés par l’entreprise, bloquez uniquement les appareils personnels, ce qui permettra aux appareils de l’entreprise de s’inscrire. Microsoft définit un appareil d’entreprise comme un appareil qui est inscrit via un Programme d’inscription des appareils ou un appareil entré manuellement sous les Identificateurs d’appareil d’entreprise.

Étape 6 : Distribuer des appareils aux utilisateurs

Vous avez configuré la gestion et la synchronisation entre Apple et Intune, et vous avez affecté un profil pour permettre l’inscription de vos appareils ADE. Vous pouvez désormais distribuer les appareils aux utilisateurs. Pour les appareils avec affinité utilisateur, chaque utilisateur doit se voir attribuer une licence Intune.

Prochaines étapes

Vous trouverez plus d’informations sur les autres options disponibles pour l’inscription des appareils iOS/iPadOS.

Documentation technique pour l’inscription automatisée des appareils iOS/iPadOS