Définir l’autorité de gestion des appareils mobiles

  • Article

Le paramètre d’autorité de gestion des appareils mobiles (MDM) détermine la façon dont vous gérez vos appareils. En tant qu’administrateur informatique, vous devez définir une autorité de gestion des appareils mobiles (MDM) avant que les utilisateurs puissent inscrire des appareils pour la gestion. Une licence Intune doit également vous être attribuée pour définir l’autorité MDM.

Les configurations possibles sont les suivantes :

  • Intune autonome : gestion cloud uniquement, que vous configurez à l’aide du portail Azure. Inclut l’ensemble complet de fonctionnalités d’Intune. Définissez l’autorité MDM dans le centre d’administration Microsoft Intune.

  • Cogestion Intune : intégration de la solution cloud Intune à Configuration Manager pour les appareils Windows 10. Vous configurez Intune à l’aide de la console Configuration Manager. Configurer l’inscription automatique des appareils à Intune.

  • Mobilité et sécurité de base pour Microsoft 365 : une fois cette configuration activée, l’autorité MDM est définie sur « Office 365 ». Si vous souhaitez commencer à utiliser Intune, vous devez acheter des licences Intune.

  • Mobilité et sécurité de base pour la coexistence de Microsoft 365 : vous pouvez ajouter Intune à votre locataire si vous utilisez déjà Mobilité et sécurité de base pour Microsoft 365. Vous pouvez définir l’autorité de gestion sur Intune ou Mobilité et sécurité de base pour Microsoft 365 pour chaque utilisateur afin de déterminer quel service est utilisé pour gérer ses appareils inscrits à mdm. L’autorité de gestion de chaque utilisateur est définie en fonction de la licence affectée à l’utilisateur :

    • Mobilité et sécurité de base pour Microsoft 365 gère les appareils des utilisateurs qui disposent uniquement d’une licence Microsoft 365 Basic ou Standard.
    • Intune gère les appareils des utilisateurs qui disposent d’une licence leur permettant de l’utiliser.
    • Si vous ajoutez une licence donnant droit à Intune à un utilisateur précédemment géré par Mobilité et sécurité de base pour Microsoft 365, ses appareils sont basculés vers la gestion Intune. Pour éviter de perdre Mobilité et sécurité de base de configuration Microsoft 365 sur les appareils des utilisateurs, veillez à affecter des configurations Intune aux utilisateurs avant de les basculer vers Intune.

Définir l'autorité GPM sur Intune

Pour les locataires utilisant la version 1911 du service et des versions ultérieures, l’autorité MDM est automatiquement définie sur Intune.

Pour les locataires utilisant la version de service 1911 et les versions ultérieures, si vous avez activé Mobilité et sécurité de base, suivez les étapes décrites dans cette section.

Pour les locataires de version de service antérieurs à la version 1911, si vous n’avez pas encore défini l’autorité MDM, suivez les étapes décrites dans cette section.

  1. Dans le centre d’administration Microsoft Intune, sélectionnez la bannière orange pour ouvrir le paramètre Autorité de Gestion des appareils mobile. La bannière orange s’affiche seulement si vous n’avez pas encore défini l’autorité GPM.

  2. Sous Autorité de gestion des appareils mobiles, choisissez votre autorité de gestion des appareils mobiles parmi les options suivantes :

    • Autorité GPM Intune
    • Aucune

    Capture d’écran de l’écran Définir l’autorité de gestion des appareils mobiles d’Intune.

Un message indique que vous avez défini Intune comme autorité de gestion des appareils mobiles.

Flux de travail de l’interface utilisateur d’administration Intune

Quand la gestion des appareils Android ou Apple est activée, Intune envoie des informations relatives aux appareils et aux utilisateurs pour s’intégrer à ces services tiers et gérer leurs appareils respectifs.

Voici quelques-uns des scénarios dans lesquels une fenêtre de consentement de partage des données s’affiche :

  • Vous activez les profils professionnels Android Enterprise appartenant à l’utilisateur ou appartenant à l’entreprise.
  • Vous activez et chargez des certificats Push GPM Apple.
  • Vous activez l’un des services Apple, notamment le Programme d’inscription des appareils (DEP), School Manager et le Programme d’achat en volume (VPP).

Dans chaque cas, le consentement est strictement lié à l’exécution d’un service de gestion des appareils mobiles. Par exemple, confirmer qu’un administrateur informatique a autorisé des appareils Google ou Apple à s’inscrire. Pour savoir quelles informations seront partagées quand les nouveaux flux de travail entreront en vigueur, consultez la documentation suivante :

Principales considérations

Après avoir basculé vers la nouvelle autorité MDM, il y a un certain temps de transition (jusqu’à huit heures) avant que l’appareil s’enregistre et se synchronise avec le service. Vous devez configurer les paramètres dans la nouvelle autorité MDM pour vous assurer que les appareils inscrits continuent d’être gérés et protégés après la modification.

  • Les appareils doivent se connecter au service après le changement afin que les paramètres de la nouvelle autorité GPM (version autonome d’Intune) remplacent les paramètres existants sur l’appareil.
  • Une fois le changement d’autorité GPM effectué, certains des paramètres de base (comme les profils) de l’autorité GPM précédente restent sur l’appareil pendant sept jours ou jusqu’à ce que l’appareil se connecte au service pour la première fois. Vous devez configurer les applications et les paramètres (tels que les stratégies, les profils et les applications) dans la nouvelle autorité MDM dès que possible et déployer le paramètre sur les groupes d’utilisateurs qui contiennent des utilisateurs qui disposent d’appareils inscrits existants. Dès qu’un appareil se connecte au service après le changement d’autorité GPM, il reçoit les nouveaux paramètres de la nouvelle autorité GPM, évitant ainsi toute interruption dans la gestion et la protection.
  • Les appareils qui n’ont pas d’utilisateurs associés (en général quand vous avez des scénarios Programme d’inscription des appareils iOS/iPadOS ou des scénarios d’inscription en bloc) ne sont pas migrés vers la nouvelle autorité GPM. Pour ces appareils, vous devez contacter le support afin d’obtenir de l’aide pour déplacer ces appareils vers la nouvelle autorité MDM.

Coexistence

En activant la coexistence, vous pouvez utiliser Intune pour un nouvel ensemble d’utilisateurs tout en continuant à utiliser Mobilité et sécurité de base pour les utilisateurs existants. Vous pouvez contrôler les appareils gérés par Intune via l’utilisateur. Intune gère tous les appareils inscrits par un utilisateur, si l’utilisateur dispose d’une licence Intune ou utilise la cogestion Intune avec Configuration Manager. Dans le cas contraire, l’utilisateur est managé par Mobilité et sécurité de base.

Il existe trois étapes principales pour activer la coexistence :

  1. Préparation
  2. Ajouter une autorité GPM Intune
  3. Migration d’utilisateurs et d’appareils (facultatif).

Préparation

Avant d’activer la coexistence avec Mobilité et sécurité de base, tenez compte des points suivants :

  • Assurez-vous que vous disposez de licences Intune suffisantes pour les utilisateurs que vous souhaitez manager par le biais d’Intune.
  • Examinez les utilisateurs auxquels sont attribuées des licences Intune. Une fois que vous avez activé la coexistence, les appareils des utilisateurs auxquels une licence Intune est déjà attribuée passent à Intune. Pour éviter les commutations d’appareils inattendues, nous vous recommandons de ne pas attribuer de licences Intune avant toute activation de la coexistence.
  • Créez et déployez des stratégies Intune pour remplacer les stratégies de sécurité des appareils qui ont été déployées à l’origine via le portail Office 365 Security & Compliance. Ce remplacement doit être effectué pour tous les utilisateurs que vous prévoyez de passer de Mobilité et sécurité de base à Intune. Si aucune stratégie Intune n’est attribuée à ces utilisateurs, l’activation de la coexistence peut entraîner la perte des paramètres de Mobilité et sécurité de base. Ces paramètres sont perdus sans remplacement, comme les profils de messagerie gérés. Même lors du remplacement des stratégies de sécurité des appareils par des stratégies Intune, les utilisateurs peuvent être invités à authentifier à nouveau leurs profils d’adresse e-mail une fois l’appareil déplacé vers la gestion Intune.
  • Vous ne pouvez pas désapprovisionner le service Mobilité et sécurité de base après l'avoir configuré. Toutefois, il existe des étapes à suivre pour désactiver les stratégies. Pour plus d’informations, consultez Désactiver lesMobilité et sécurité de base .

Ajouter une autorité GPM Intune

Pour activer la coexistence, vous devez ajouter Intune en tant qu’autorité GPM pour votre environnement :

  1. Connectez-vous au Centre d’administration Microsoft Intune avec Microsoft Entra droits d’administrateur de service Global ou Intune.

  2. Accédez à Appareils.

  3. Le panneau Ajouter une autorité GPM s’affiche.

  4. Pour basculer l’autorité MDM de Office 365 à Intune et activer la coexistence, sélectionnez Autorité MDM Intune>Ajouter.

    Capture d’écran de l’écran Ajouter une autorité MDM.

Migrer des utilisateurs et des appareils (facultatif)

Une fois que vous avez activé l’autorité MDM Intune, la coexistence est activée et vous pouvez commencer à gérer les utilisateurs via Intune. Vous pouvez éventuellement déplacer des appareils précédemment gérés par Mobilité et sécurité de base pour qu’ils soient gérés par Intune en attribuant à ces utilisateurs une licence Intune. Les appareils des utilisateurs basculeront vers Intune lors de leur prochain check-in GPM. Les paramètres appliqués à ces appareils via Mobilité et sécurité de base ne sont plus appliqués et sont supprimés des appareils.

Nettoyage de l’appareil mobile après expiration du certificat MDM

Le certificat MDM est renouvelé automatiquement lorsque les appareils mobiles communiquent avec le service Intune. Si des appareils mobiles sont réinitialisés ou ne parviennent pas à communiquer avec le service Intune pendant un certain temps, le certificat MDM n’est pas renouvelé. L’appareil est supprimé du Portail Microsoft Azure 180 jours après l’expiration du certificat MDM.

Supprimer l’autorité GPM

L’autorité GPM ne peut pas être rétablie à Inconnu. L’autorité MDM est utilisée par le service pour déterminer à quel portail se rapportent les appareils inscrits (Microsoft Intune ou Mobilité et sécurité de base pour Microsoft 365).

Ce qui se passe après un changement de l’autorité GPM

  • Lorsque le service Intune détecte une modification dans l’autorité MDM d’un locataire, il envoie un message de notification à tous les appareils inscrits. Le message de notification invite les appareils à case activée et à se synchroniser avec le service, en dehors de leur planification habituelle. Par conséquent, tous les appareils sous tension et en ligne se connectent au service et reçoivent la nouvelle autorité MDM. La nouvelle autorité gère et protège les appareils sans interruption. Par conséquent, une fois que l’autorité MDM pour le locataire est remplacée par une autorité autonome Intune, les appareils continueront à fonctionner normalement sous la nouvelle autorité MDM.

  • Les appareils sous tension et en ligne pendant ou peu de temps après le changement d’autorité MDM subissent un retard. Le délai peut durer jusqu’à huit heures, en fonction du moment de la prochaine case activée régulière planifiée. Pendant le délai, les appareils ne sont pas inscrits auprès du service sous la nouvelle autorité MDM. Après ce délai, les appareils sont entièrement inscrits et opérationnels sous la nouvelle autorité MDM.

    Importante

    Entre le moment où vous changez l’autorité MDM et celui où le certificat APNS renouvelé est chargé dans la nouvelle autorité, les inscriptions de nouveaux appareils et le check-in des appareils iOS/iPadOS échouent. Par conséquent, il est important de passer en revue et de charger le certificat APNs dans la nouvelle autorité dès que possible après le changement d’autorité GPM.

  • Les utilisateurs peuvent rapidement basculer vers la nouvelle autorité MDM en lançant manuellement un enregistrement de l’appareil vers le service. Les utilisateurs peuvent facilement effectuer cette modification à l’aide de l’application du Portail d’entreprise, en démarrant une vérification de conformité d’appareil.

  • Pour confirmer que tout fonctionne correctement une fois les appareils enregistrés et synchronisés avec le service après le changement d’autorité GPM, recherchez les appareils dans la nouvelle autorité GPM.

  • Il existe une période temporaire pendant laquelle un appareil est hors ligne lors du changement d’autorité GPM et lorsque cet appareil s’enregistre auprès du service. Pendant la période intermédiaire, il est important de protéger et de maintenir les fonctionnalités de l’appareil. Pour protéger et gérer les fonctionnalités de l’appareil, les profils suivants restent sur l’appareil. Ces profils restent sur l’appareil jusqu’à sept jours ou jusqu’à ce que l’appareil se connecte à la nouvelle autorité MDM. Une fois que l’appareil se connecte et reçoit de nouveaux paramètres, les profils existants sont remplacés :

    • Profil de messagerie
    • Profil VPN
    • Profil de certificat
    • Profil Wi-Fi
    • Profils de configuration

  • Une fois que vous êtes passé à la nouvelle autorité MDM, les données de conformité dans le centre d’administration Microsoft Intune peuvent prendre jusqu’à une semaine pour générer des rapports précis. Toutefois, les états de conformité dans Microsoft Entra ID et sur l’appareil sont précis afin que l’appareil soit toujours protégé.

  • Vérifiez que les nouveaux paramètres destinés à remplacer les paramètres existants portent le même nom que les paramètres précédents pour vous assurer que les anciens paramètres sont remplacés. Sinon, les appareils risquent de contenir des stratégies et des profils redondants.

    Conseil

    Il est recommandé de créer tous les paramètres de gestion et toutes les configurations, ainsi que les déploiements, peu de temps après le changement d’autorité GPM. Ceci permet de garantir que les appareils sont protégés et activement gérés pendant la période temporaire.

  • Après avoir modifié l’autorité GPM, procédez comme suit pour confirmer que les nouveaux appareils sont inscrits correctement auprès de la nouvelle autorité :

    • Inscrire un nouvel appareil
    • Assurez-vous que l’appareil qui vient d’être inscrit s’affiche dans la nouvelle autorité MDM.
    • Effectuez une action, telle que Verrouillage à distance, à partir du centre d’administration Microsoft Intune vers l’appareil. Si l’opération réussit, la nouvelle autorité MDM gère l’appareil.

  • Si vous rencontrez des problèmes avec des appareils spécifiques, vous pouvez annuler l’inscription puis réinscrire ces appareils pour les connecter à la nouvelle autorité et les gérer dès que possible.

Confirmer l’autorité MDM de votre locataire

Pour vérifier que votre autorité MDM est définie sur Intune, procédez comme suit :

  1. Dans le centre d’administration Microsoft Intune, sélectionnez Administration> du locataireStatus de locataire.
  2. Sous l’onglet Détails du locataire , recherchez Autorité GPM.

Prochaines étapes

Une fois l’autorité GPM définie, vous pouvez commencer à inscrire des appareils.