Guide de déploiement : inscrire des appareils macOS dans Microsoft Intune

Vous pouvez inscrire vos appareils personnels et ceux appartenant à l’organisation dans Intune. Sur les appareils macOS, l’application Portail d’entreprise ou l’Assistant Configuration d’Apple authentifie les utilisateurs et démarre l’inscription. Une fois inscrits, ils reçoivent les stratégies et les profils que vous créez.

Vous disposez des options suivantes lors de l’inscription d’appareils macOS :

Cet article :

  • Décrit les options de l’application Portail d’entreprise pour chaque méthode d’inscription.
  • Fournit des recommandations sur la méthode d’inscription macOS à utiliser.
  • Offre une vue d’ensemble des tâches revenant à l’administrateur et à l’utilisateur pour chaque type d’inscription.

Pour obtenir des informations plus spécifiques, consultez Inscrire des appareils macOS. Il existe également un guide visuel des différentes options d’inscription pour chaque plateforme :

Représentation visuelle des options d’inscription Intune par plateforme
Télécharger la version au format PDF | Télécharger la version de Visio

Conseil

Ce guide est constamment mis à jour. Veillez donc à ajouter des conseils ou à mettre à jour ceux que vous avez trouvé utiles.

Avant de commencer

Pour obtenir une vue d’ensemble, y compris les conditions préalables spécifiques à Intune, consultez Conseils de déploiement : inscrire des appareils dans Microsoft Intune.

BYOD : inscription d’un appareil

Utilisez cette option pour vos appareils personnels (BYOD).


Fonctionnalité Utiliser cette option d’inscription quand
Les appareils sont personnels ou BYOD. ✔️
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc). ✔️
Vous avez des appareils nouveaux ou existants. ✔️
Les appareils sont associés à un seul utilisateur. ✔️
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM). ✔️

Tenez compte de l’impact et des éventuelles limitations d’un compte DEM.
Les appareils sont gérés par un autre fournisseur MDM.

Lors de l’inscription d’un appareil, les fournisseurs MDM installent des certificats et d’autres fichiers. Ces fichiers doivent être supprimés. Le moyen le plus rapide consiste à annuler l’inscription ou à réinitialiser les appareils aux paramètres d’usine. Si vous ne souhaitez pas rétablir les paramètres d’usine, contactez le fournisseur MDM.
Les appareils appartiennent à l’organisation ou à l’établissement scolaire.

Option non recommandée pour les appareils appartenant à l’organisation. Les appareils appartenant à l’organisation doivent être inscrits en utilisant Inscription automatique des appareils (dans cet article) ou Apple Configurator.

Vous pouvez ajouter les numéros de série MacBook aux identificateurs d’appareils d’entreprise pour marquer les appareils comme appartenant à l’entreprise. Toutefois, par défaut, les appareils sont marqués comme personnels.
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés ou partagés.

Ces appareils sont la propriété d’une organisation. Les appareils sans utilisateur doivent être inscrits en utilisant Inscription automatique des appareils (dans cet article) ou Apple Configurator.

Tâches de l’administrateur pour l’inscription des appareils

Cette liste fournit une vue d’ensemble des tâches à effectuer.

  • Vérifiez que vos appareils sont pris en charge.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils macOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • L’application Portail d’entreprise n’est pas disponible pour les appareils macOS dans l’App Store d’Apple ou par le biais du Programme d’achat en volume (VPP). Les utilisateurs doivent télécharger et exécuter manuellement le package d’installation de l’application Portail d’entreprise. Ils doivent ensuite se connecter avec leur compte au sein de l’organisation (user@contoso.com), puis effectuer les étapes d’inscription. Une fois l’inscription terminée, ils doivent approuver le profil d’inscription.

    Une fois qu’ils l’ont approuvé, l’appareil est ajouté au service Azure AD de votre organisation. Il peut alors recevoir vos stratégies et vos profils par le biais d’Intune.

    Veillez à communiquer ces informations à vos utilisateurs.

Tâches de l’utilisateur final pour l’inscription des appareils

Vos utilisateurs doivent effectuer les étapes suivantes. Pour obtenir des informations plus spécifiques sur les étapes revenant à l’utilisateur final, consultez Inscrire votre appareil macOS à l’aide de l’application Portail d’entreprise.

  1. Les utilisateurs téléchargent et exécutent le package d’installation de l’application Portail d’entreprise.
  2. Ils ouvrent l’application Portail d’entreprise et se connectent avec leur compte d’organisation (user@contoso.com). Une fois qu’ils se connectent, ils doivent approuver le profil d’inscription (Préférences système). S’ils l’approuvent, l’appareil est inscrit et considéré comme géré. S’ils ne l’approuvent pas, ils ne sont pas inscrits et ne reçoivent ni votre stratégie ni vos profils.

Pour obtenir des informations plus spécifiques sur les étapes revenant à l’utilisateur final, consultez Inscrire votre appareil macOS à l’aide de l’application Portail d’entreprise.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la façon de communiquer avec vos utilisateurs, consultez la section Tâche 5 : créer un plan de déploiement de l’article Guide de planification pour Microsoft Intune.

Inscription automatisée des appareils (ADE) (supervisée)

Avant, cette option s’appelait « Programme d’inscription des appareils Apple » (DEP). Utilisez-la sur les appareils appartenant à votre organisation. Cette option configure les paramètres à l’aide d’Apple Business Manager (ABM) ou d’Apple School Manager (ASM). Elle vous permet d’inscrire un grand nombre d’appareils sans jamais les toucher. Ces appareils vendus par Apple sont préconfigurés avec vos paramètres et peuvent être expédiés directement aux utilisateurs ou aux établissements scolaires. Vous créez un profil d’inscription dans le centre d’administration Endpoint Manager, puis vous envoyez (push) ce profil aux appareils.

Pour obtenir des informations plus spécifiques sur ce type d’inscription, consultez Inscrire automatiquement des appareils macOS avec Apple Business Manager ou Apple School Manager.


Fonctionnalité Utiliser cette option d’inscription quand
Les appareils appartiennent à l’organisation ou à l’établissement scolaire. ✔️
Vous avez de nouveaux appareils. ✔️
Vous avez des appareils existants. ✔️

Pour inscrire des appareils existants, consultez Inscrire des Mac après l’Assistant Installation (ouvre un autre article Microsoft).
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc). ✔️
Les appareils sont associés à un seul utilisateur. ✔️
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés. ✔️
Les appareils sont personnels ou BYOD.

Non recommandé. Les appareils BYOD ou personnels doivent être inscrits à l’aide de Inscription des appareils (dans cet article).
Les appareils sont gérés par un autre fournisseur MDM.

Pour être complètement gérés par Intune, les utilisateurs doivent se désinscrire du fournisseur MDM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser Inscription des appareils pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, il est recommandé de les inscrire dans Intune.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).

Le compte DEM n’est pas pris en charge.

Tâches de l’administrateur pour ADE

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour obtenir des informations plus spécifiques, consultez Inscrire automatiquement des appareils macOS avec Apple Business Manager ou Apple School Manager.

  • Vérifiez que vos appareils sont pris en charge.

  • Vous devez avoir accès au portail Apple Business Manager (ABM) ou au portail Apple School Manager (ASM).

  • Vérifiez que le jeton Apple (.p7m) est actif. Pour plus d’informations, consultez Créer un jeton de programme d’inscription.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils macOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Décidez comment les utilisateurs vont s’authentifier sur leurs appareils : Assistant Configuration (hérité) ou Assistant Configuration avec authentification moderne. Prenez cette décision avant de créer le profil d’inscription. L’utilisation de l’Assistant de configuration avec authentification moderne est considérée comme une authentification moderne. Microsoft recommande l’utilisation de Assistant ed configuration avec une authentification moderne.

    Pour tous les appareils macOS appartenant à l’organisation, l’Assistant Configuration (hérité) est toujours et automatiquement utilisé, même si vous ne voyez pas le texte « Assistant Configuration » dans Intune. L’Assistant de configuration (hérité) authentifie l’utilisateur et inscrit l’appareil.

    • Sélectionnez l’Assistant Configuration (hérité) dans les cas suivants :

      • Vous souhaitez réinitialiser l’appareil.

      • Vous ne souhaitez pas utiliser de fonctionnalités d’authentification modernes comme MFA.

      • Vous ne souhaitez pas inscrire les appareils dans Azure AD. L’Assistant Configuration (hérité) authentifie l’utilisateur avec le jeton Apple .p7m. S’il est acceptable de ne pas inscrire les appareils dans Azure AD, vous n’avez pas besoin d’installer l’application Portail d’entreprise. Continuez à utiliser l’Assistant Configuration (hérité).

        Si vous souhaitez utiliser l’application Portail d’entreprise pour l’authentification au lieu d’utiliser l’Assistant de configuration ou si vous souhaitez que les appareils soient inscrits dans Azure AD, installez l’application Portail d’entreprise. Une fois l’appareil inscrit, vous pouvez installer l’application Portail d’entreprise.

        Pour installer l’application Portail d’entreprise sur les appareils, consultez Ajouter l’application Portail d’entreprise. Définissez l’application Portail d’entreprise en tant qu’application obligatoire.

        Au terme de l’installation, les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec le compte Azure AD de leur organisation (user@contoso.com). Quand ils se connectent, ils sont authentifiés et prêts à recevoir vos stratégies et profils.

    • Sélectionnez l’Assistant Configuration avec authentification moderne quand :

      • Vous souhaitez réinitialiser l’appareil.
      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans Azure AD. Quand ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec Azure AD, comme l’accès conditionnel.

      Remarque

      Dans l’Assistant Configuration, les utilisateurs doivent entrer leurs informations d’identification Azure AD d’organisation (user@contoso.com). Lorsqu’ils entrent leurs informations d’identification, l’inscription démarre. Si vous le souhaitez, les utilisateurs peuvent également entrer leur ID Apple pour accéder à des fonctionnalités spécifiques à Apple, comme Apple Pay.

      Une fois l’Assistant Configuration terminé, les utilisateurs peuvent utiliser l’appareil. Quand l’écran d’accueil s’affiche, l’inscription est terminée et l’affinité utilisateur est établie. L’appareil n’est pas entièrement inscrit auprès de Azure AD et ne s’affiche pas dans la liste des appareils d’un utilisateur dans Azure AD.

      Si les utilisateurs ont besoin d’accéder aux ressources protégées par l’accès conditionnel ou doivent être entièrement inscrits auprès de Azure AD, Installez l’application Portail d’entreprise. Au terme de l’installation, les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec le compte Azure AD de leur organisation (user@contoso.com). Au cours de cette seconde connexion, toutes les stratégies d’accès conditionnel sont évaluées et l’inscription Azure AD est terminée. Les utilisateurs peuvent installer et exécuter des ressources de l’organisation, notamment les applications métier.

  • Dans le Centre d’administration Endpoint Manager, créez un profil d’inscription. Choisissez Inscrire avec l’affinité utilisateur (associer un utilisateur à l’appareil) ou Inscrire sans l’affinité utilisateur (appareils sans utilisateur ou appareils partagés).

    • Inscrire avec l’affinité utilisateur : l’Assistant Configuration authentifie l’utilisateur et inscrit l’appareil dans Intune. Choisissez également si les utilisateurs peuvent supprimer le profil de gestion (Inscription verrouillée).

    • Inscrire avec l’affinité utilisateur : l’Assistant Installation authentifier l’utilisateur et inscrire l’appareil dans Intune. Choisissez également si les utilisateurs peuvent supprimer le profil de gestion (Inscription verrouillée). L’application Portail d’entreprise n’est ni utilisée, ni nécessaire, ni prise en charge sur les inscriptions sans affinité utilisateur.

Tâches de l’utilisateur final pour ADE

Ces tâches dépendent de la façon dont les administrateurs demandent aux utilisateurs d’installer l’application Portail d’entreprise. En règle générale, moins les utilisateurs finaux doivent effectuer d’étapes pour s’inscrire, plus il y a de chances qu’ils souhaitent s’inscrire.

Pour plus d’informations sur les étapes de l’utilisateur final, consultez Inscrire votre appareil macOS à l’aide de l’application Portail d'entreprise.

  • S’inscrire avec l’affinité utilisateur et l’Assistant de configuration (hérité) :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com).

    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, puis inscrit l’appareil dans Intune. L’appareil n’est pas inscrit dans Azure AD.

      Si vous utilisez l’Assistant Configuration pour l’authentification, arrêtez-vous ici.

    3. Facultatif. Si vous utilisez l’application Portail d’entreprise pour l’authentification (à la place de l’Assistant Configuration), l’application Portail d’entreprise est installée avec l’option que vous avez configurée.

      Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Une fois connectés, les utilisateurs sont authentifiés et peuvent accéder aux ressources de l’organisation.

      N’oubliez pas que l’installation de l’application Portail d’entreprise est facultative. Si vous souhaitez que vos utilisateurs s’authentifient à l’aide de l’application Portail d’entreprise à la place de l’Assistant Configuration, ajoutez l’application Portail d’entreprise.

  • s’inscrire avec l’affinité utilisateur et l’Assistant de configuration avec authentification moderne :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur ID Apple (user@iCloud.com ou user@gmail.com) et leurs informations d’identification Azure AD d’organisation (user@contoso.com).

      Quand les utilisateurs entrent leurs informations d’identification Azure AD, l’inscription démarre.

    2. L’Assistant de configuration peut demander d’autres informations à l’utilisateur. Quand c’est terminé, les utilisateurs peuvent utiliser l’appareil. Lorsque l’écran d’accueil s’affiche, l’inscription est terminée et l’affinité entre utilisateur et périphérique est établie. Les utilisateurs verront vos applications et vos stratégies sur l’appareil.

    3. Les utilisateurs ouvrent l’application Portail d’entreprise que vous avez installé et se reconnectent avec les informations d’identification de leur organisation (user@contoso.com).

  • Inscrire sans affinité utilisateur : aucune action. Veillez à ce que vos utilisateurs n’installent pas l’application Portail d’entreprise.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la façon de communiquer avec vos utilisateurs, consultez la section Tâche 5 : créer un plan de déploiement de l’article Guide de planification pour Microsoft Intune.

Inscription directe

Utilisé sur les appareils appartenant à votre organisation qui n’ont pas besoin d’affinité d’appareil utilisateur.

Ces appareils sont la propriété de l’organisation et utilisent Apple Configurator. Le seul objectif est d’être un appareil de type kiosque. Ils ne sont pas associés à un seul utilisateur ni à un utilisateur spécifique. Ces appareils sont couramment utilisés pour numériser des articles, imprimer des tickets, obtenir des signatures numériques, gérer l’inventaire, et bien plus encore.

Pour plus d’informations sur ce type d’inscription, voir Utiliser l’inscription directe pour les appareils macOS.


Fonctionnalité Utiliser cette option d’inscription quand
Vous avez besoin d’une connexion câblée ou vous avez un problème de réseau. ✔️
Votre organisation ne souhaite pas que les administrateurs utilisent les portails ABM ou ASM, ou elle ne souhaite pas configurer toutes les exigences. ✔️

L’idée consistant à ne pas utiliser les portails ABM ou ASM vise à donner moins de contrôle aux administrateurs.
Un pays/région ne prend pas en charge Apple Business Manager (ABM) ou Apple School Manager (ASM). ✔️

Si votre pays/région prend en charge ABS ou ASM, les appareils doivent être inscrits à l’aide de l’inscription automatisée des appareils (dans cet article).
Les appareils appartiennent à l’organisation ou à l’établissement scolaire. ✔️
Vous avez des appareils nouveaux ou existants. ✔️
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc). ✔️

Si vous avez un grand nombre d’appareils, cette méthode prend du temps.
Les appareils sont associés à un seul utilisateur.

Non recommandé. Les appareils qui ont besoin d’une affinité utilisateur doivent être inscrits en utilisation Inscription automatique des appareils (ADE).
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés. ✔️
Les appareils sont personnels ou BYOD.

Non recommandé. Les appareils BYOD ou personnels doivent être inscrits à l’aide de MAM-WE (ouvre un autre article Microsoft) ou BYOD : Inscription des appareils (dans cet article).
Les appareils sont gérés par un autre fournisseur MDM.

Pour être complètement gérés par Intune, les utilisateurs doivent se désinscrire du fournisseur MDM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser MAM-WE pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, nous vous recommandons de les inscrire dans Intune.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).

Le compte DEM n’est pas pris en charge.

Tâches de l’administrateur pour l’inscription directe

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour obtenir des informations plus spécifiques, consultez Inscription directe macOS.

  • Vérifiez que vos appareils sont pris en charge.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils macOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Dans le Centre d’administration Endpoint Manager, créez un profil d’inscription. Sélectionnez Inscrire sans l’affinité utilisateur (appareils sans utilisateur ou appareils partagés). Avec les appareils sans utilisateur :

    • Les utilisateurs ne peuvent pas utiliser les applications qui nécessitent un utilisateur, comme c’est le cas de l’application Portail d’entreprise. L’application Portail d’entreprise n’est ni utilisée, ni nécessaire, ni prise en charge sur les inscriptions sans affinité utilisateur. Veillez à ce que les utilisateurs n’installent pas l’application Portail d’entreprise à partir de l’App Store d’Apple.
    • L’inscription avec l’affinité utilisateur est disponible dans l’interface utilisateur, mais elle ne fonctionne pas. Ne sélectionnez pas cette option. Si vous avez besoin d’une affinité utilisateur, utilisez Inscription automatique des appareils (dans cet article).
  • Lorsque le profil d’inscription est prêt, exportez la stratégie, puis copiez le fichier sur l’appareil macOS. Double-cliquez sur le fichier pour installer la stratégie d’inscription.

Pour plus d’informations sur cette option d’inscription et ses prérequis, consultez Inscription directe macOS.

Tâches d’inscription directe de l’utilisateur final

  • Inscrire sans affinité utilisateur : aucune action. Veillez à ce que les utilisateurs n’installent pas l’application Portail d’entreprise à partir de l’App Store d’Apple.

    Dans le centre d’administration endpoint Manager et Microsoft Intune, inscrivez des appareils macOS à l’aide de l’inscription directe. Sélectionnez Inscrire sans affinité utilisateur.

Prochaines étapes