Inscrire des appareils iOS DEP d’entrepriseEnroll corporate-owned Device Enrollment Program iOS devices

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Microsoft Intune peut déployer un profil d’inscription qui inscrit les appareils iOS qui ont été achetés via le programme DEP « à distance ».Microsoft Intune can deploy an enrollment profile that enrolls iOS devices that were bought through the Device Enrollment Program (DEP) “over the air.” Le package d’inscription peut inclure des options d’Assistant de configuration pour l’appareil.The enrollment package can include setup assistant options for the device.

Note

L’inscription au programme DEP ne peut pas être utilisée avec celle du gestionnaire d’inscription d’appareil.DEP enrollment can't be used with the device enrollment manager method. De plus, si les utilisateurs inscrivent des appareils iOS (c’est-à-dire à l’aide de l’application Portail d’entreprise) et que les numéros de série de ces appareils sont ensuite importés et affectés à un profil DEP, les appareils sont désinscrits d’Intune.Also, if users enroll iOS devices (i.e. using the Company Portal app) and those devices' serial numbers are then imported and assigned a DEP profile, the device will be unenrolled from Intune.

Prérequis pour inscrire des appareils iOS à l’aide de la gestion Apple DEPPrerequisites for enrolling iOS devices by using Apple DEP management

  • Installer un certificat APNsInstall an APNs certificate

  • Votre organisation doit participer au programme Apple DEP et obtenir des appareils par le biais de ce programme.Your organization must join Apple DEP and get devices through that program. Les détails de cette procédure sont disponibles à l'adresse suivante : https://deploy.apple.com. Les avantages du programme incluent la configuration automatique des appareils sans utiliser de câble USB pour connecter chaque appareil à un ordinateur.Details of that process are available at: https://deploy.apple.com. Advantages of the program include hands-free setup of devices without using a USB cable to connect each device to a computer.

  • Avant de pouvoir inscrire des appareils iOS d’entreprise à l’aide du programme DEP, vous devez obtenir un jeton approprié auprès d’Apple.Before you can enroll corporate-owned iOS devices with DEP, you need a DEP token from Apple. Ce jeton permet à Intune de synchroniser les informations sur les appareils participant à ce programme et appartenant à votre entreprise.This token lets Intune sync information about DEP-participating devices that your corporation owns. Il permet également à Intune d'effectuer des téléchargements de profil d'inscription sur Apple et d'attribuer des appareils à ces profils.It also permits Intune to perform Enrollment Profile uploads to Apple and to assign devices to those profiles.

Étapes d’inscription des appareils iOS à l’aide de la gestion Apple DEPSteps to enroll iOS devices by using Apple DEP management

Les étapes suivantes décrivent la première inscription d’appareils iOS à l’aide de la gestion Apple DEP.The following steps explain how to enroll iOS devices on "day 0" by using Apple DEP management. Certaines de ces étapes pourront être répétées pour ajouter et supprimer des appareils dans votre organisation, par exemple, ajouter ou supprimer des numéros de série, comme décrit plus bas.As devices are added and removed from your organization, you will likely repeat some of these steps, such as adding or removing serial numbers, as described below.

Obtenir une clé de chiffrementGet an Encryption Key

  1. En tant qu’administrateur, ouvrez la console d’administration Microsoft Intune, accédez à Administration > Gestion des appareils mobiles > iOS > Programme d’inscription d’appareils, puis choisissez Télécharger la clé de chiffrement.As an administrative user, open the Microsoft Intune administration console, go to Admin > Mobile Device Management > iOS > Device Enrollment Program, and then choose Download Encryption Key.

  2. Enregistrez le fichier de clé de chiffrement (.pem) localement.Save the encryption key (.pem) file locally. Le fichier .pem est utilisé pour demander un certificat de relation d'approbation à partir du portail du programme d'inscription d'appareils d'Apple.The .pem file is used to request a trust-relationship certificate from the Apple Device Enrollment Program portal.

Mettre à jour un jeton du programme d’inscription d’appareils

Obtenir un jeton du programme d’inscription d’appareilsGet a Device Enrollment Program token

  1. Accédez au portail du Programme DEP (https://deploy.apple.com) et connectez-vous avec votre ID Apple d’entreprise.Go to the Device Enrollment Program Portal (https://deploy.apple.com), and sign in with your company Apple ID. Cet ID Apple doit être utilisé par la suite pour renouveler votre jeton DEP.This Apple ID must be used later to renew your DEP token.

  2. Dans le portail du Programme d’inscription d’appareils, accédez à Programme d’inscription d’appareils > Gérer les serveurs, puis choisissez Ajouter un serveur MDM.In the Device Enrollment Program Portal, go to Device Enrollment Program > Manage Servers, and then choose Add MDM Server.

  3. Entrez le Nom du serveur MDM, puis choisissez Suivant.Enter the MDM Server Name, and then choose Next. Le nom du serveur vous permet d’identifier le serveur de gestion des appareils mobiles (MDM) uniquement.The server name is for your reference to identify the mobile device management (MDM) server. Il ne s’agit pas du nom ou de l’URL du serveur Microsoft Intune.It is not the name or URL of the Microsoft Intune server.

  4. La boîte de dialogue Ajouter<nom_serveur> s’ouvre.The Add <ServerName> dialog box opens. Choisissez Choisir un fichierChoose Choose File… pour charger le fichier .pem, puis choisissez Suivant.to upload the .pem file, and then choose Next.

  5. La boîte de dialogue Ajouter<nom_serveur> affiche un lien Votre jeton de serveur.The Add <ServerName> dialog box shows a Your Server Token link. Téléchargez le fichier de jeton de serveur (.p7m) sur votre ordinateur, puis choisissez Terminé.Download the server token (.p7m) file to your computer, and then choose Done.

    Ce fichier de certificat (.p7m) est utilisé pour établir une relation d'approbation entre le serveur Intune et le serveur du programme d'inscription d'appareils d'Apple.This certificate (.p7m) file is used to establish a trust relationship between Intune and Apple’s Device Enrollment Program servers.

Ajouter le jeton DEP à IntuneAdd the DEP token to Intune

  1. Dans la console d’administration Microsoft Intune, accédez à Admin > Gestion des appareils mobiles > iOS > Programme d’inscription d’appareils.In the Microsoft Intune administration console, go to Admin > Mobile Device Management > iOS > Device Enrollment Program.

  2. Choisissez Charger le jeton DEP.Choose Upload the DEP Token. Accédez au fichier de certificat (.p7m), entrez votre ID Apple, puis choisissez Télécharger.Browse to the certificate (.p7m) file, enter your Apple ID, and then choose Upload.

Ajouter la stratégie Inscription d’appareil professionnelAdd the Corporate Device Enrollment Policy

  1. Dans la console d’administration Microsoft Intune, accédez à Stratégie > Inscription d’appareil professionnel, puis choisissez Ajouter.In the Microsoft Intune administration console, go to Policy > Corporate Device Enrollment, and then choose Add.

  2. Remplissez la section Général, notamment les champs Nom et Description, et spécifiez si les appareils attribués au profil ont une affinité utilisateur ou s’ils appartiennent à un groupe :Provide General details including Name and Description, and specify whether devices assigned to the profile have user affinity or belong to a group:

    • Demander l’affinité utilisateur : l’appareil doit être affilié à un utilisateur durant l’installation initiale. Il peut ensuite être autorisé à accéder aux données et aux e-mails de l’entreprise pour le compte de cet utilisateur.Prompt for user affinity: The device must be affiliated with a user during initial setup before it can be permitted to access company data and email as that user. L’affinité utilisateur doit être configurée pour les appareils gérés par DEP qui appartiennent à des utilisateurs et doivent utiliser le portail d’entreprise (c’est-à-dire, pour installer des applications).User affinity should be set up for DEP-managed devices that belong to users and need to use the company portal (that is, to install apps). L’authentification multifacteur (MFA) ne fonctionne pas lors de l’inscription sur les appareils DEP avec l’affinité utilisateur.Multifactor authentication (MFA) doesn't work during enrollment on DEP devices with user affinity. Après l’inscription, l’authentification multifacteur fonctionne comme prévu sur ces appareils.After enrollment, MFA works as expected on these devices. Les nouveaux utilisateurs qui doivent changer leur mot de passe lors de leur première connexion ne peuvent pas y être invités pendant l’inscription sur des appareils DEP.New users who are required to change their password when they first sign in cannot be prompted during enrollment on DEP devices. De plus, les utilisateurs dont les mots de passe ont expiré ne sont pas invités à réinitialiser leur mot de passe lors de l’inscription DEP et doivent le faire à partir d’un autre appareil.Additionally, users whose passwords have expired won't be prompted to reset their password during DEP enrollment and must reset the password from a different device.

      Note

      Dans le cas de DEP avec affinité utilisateur, un point de terminaison WS-Trust 1.3 Username/Mixed doit être activé pour demander un jeton utilisateur.DEP with user affinity requires WS-Trust 1.3 Username/Mixed endpoint to be enabled to request user token. En savoir plus sur WS-Trust 1.3.Learn more about WS-Trust 1.3.

    • Aucune affinité utilisateur : l’appareil n’est pas affilié à un utilisateur.No user affinity: The device is not affiliated with a user. Utilisez cette affiliation pour les appareils qui effectuent des tâches sans accéder aux données de l’utilisateur local.Use this affiliation for devices that do tasks without accessing local user data. Les applications qui nécessitent l’affiliation d’un utilisateur, y compris l’application Portail d’entreprise utilisée pour installer les applications métier, ne fonctionneront pas.Apps that require user affiliation, including the Company Portal app that is used to install line-of-business apps, won’t work.

    Vous pouvez également assigner les appareils au groupe suivant.You can also Assign devices to the following group. Choisissez Sélectionner... pour choisir un groupe.Choose Select... to choose a group.

    Important

    L’attribution de groupes passe d’Intune à Azure Active Directory.Group assignments are moving from Intune to Azure Active Directory. Une fois que votre compte Intune reçoit la mise à jour applicable, l’option Attribuer des appareils au groupe suivant ne s’affiche pas.Once your Intune account receives the applicable update, you won't see the Assign devices to the following group option. En savoir plus.Learn more.

  3. Activez Configurez les paramètres DEP (Device Enrollment Program) pour cette stratégie pour prendre en charge le programme DEP.Enable Configure Device Enrollment Program settings for this policy to support DEP.

    Volet de l’Assistant d’installation

    Les paramètres suivants sont disponibles pour les appareils gérés par le programme DEP :The following settings are available for DEP-managed devices:

    • Service : s’affiche quand les utilisateurs appuient sur À propos de la configuration pendant l’activationDepartment - Appears when users tap About Configuration during activation
    • Numéro de téléphone du support : s’affiche quand l’utilisateur clique sur le bouton Besoin d’aide pendant l’activationSupport phone number - Appears when the user clicks the Need Help button during activation
    • Mode de préparation : défini pendant l’activation et ne peut pas être modifié sans rétablir les paramètres d’usine de l’appareil :Preparation mode - Set during activation and cannot be changed without factory resetting the device:
      • Non supervisé : capacités de gestion limitéesUnsupervised - Limited management capabilities
      • Supervisé : active plusieurs options de gestion et désactive le verrou d’activation par défautSupervised - Enables more management options and disables Activation Lock by default
    • Verrouiller le profil d’inscription de l’appareil : défini pendant l’activation et ne peut pas être modifié sans rétablir les paramètres d’usineLock enrollment profile to device - Set during activation and cannot be changed without a factory reset
      • Désactiver : permet de supprimer le profil de gestion à partir du menu ParamètresDisable - Allows the management profile to be removed from the Settings menu
      • Activer : (nécessite le Mode de préparation = Supervisé) désactive l’option du menu Paramètres iOS permettant de supprimer le profil de gestionEnable - (Requires Preparation Mode = Supervised) Disables the iOS Settings menu option to remove the management profile
    • Options de l’Assistant Installation : ces paramètres facultatifs peuvent être configurés plus tard dans le menu Paramètres d’iOS.Setup Assistant Options - These optional settings can be set up later in the iOS Settings menu.
      • Code secret : demande un code secret pendant l’activation.Passcode - Prompt for passcode during activation. Exige toujours un code secret, sauf si l’appareil doit être sécurisé ou si son accès doit être contrôlé d’une autre façon (c’est-à-dire, en mode plein écran qui limite l’appareil à une seule application)Always require a passcode unless the device will be secured or have access controlled in some other manner (that is, kiosk mode that restricts the device to one app)
        • Services de localisation : si activé, l’Assistant Installation vous invite à spécifier le service pendant l’activationLocation Services - If enabled, Setup Assistant prompts for the service during activation
        • Restaurer : si activé, l’Assistant Installation invite à spécifier la sauvegarde iCloud pendant l’activationRestore - If enabled, Setup Assistant prompts for iCloud backup during activation
        • ID Apple : si cette option est activée, iOS demande un ID Apple aux utilisateurs quand Intune tente d’installer une application sans ID.Apple ID - If enabled, iOS will prompt users for an Apple ID when Intune attempts to install an app without an ID. Un ID Apple est nécessaire pour télécharger des applications App Store iOS, y compris celles qui sont installées par Intune.An Apple ID is required to download iOS App Store apps, including those installed by Intune.
        • Termes et conditions : si cette option est activée, l’Assistant Installation invite l’utilisateur à accepter les conditions générales d’Apple pendant l’activationTerms and Conditions - If enabled, Setup Assistant prompts users to accept Apple's terms and conditions during activation
        • Touch ID : si cette option est activée, l’Assistant Installation vous invite à spécifier ce service pendant l’activationTouch ID - If enabled, Setup Assistant prompts for this service during activation
        • Apple Pay : si cette option est activée, l’Assistant Installation vous invite à spécifier ce service pendant l’activationApple Pay - If enabled, Setup Assistant prompts for this service during activation
        • Zoom : si cette option est activée, l’Assistant Installation vous invite à spécifier ce service pendant l’activationZoom - If enabled, Setup Assistant prompts for this service during activation
        • Siri : si cette option est activée, l’Assistant Installation vous invite à spécifier ce service pendant l’activationSiri - If enabled, Setup Assistant prompts for this service during activation
        • Envoyer les données de diagnostic à Apple : si cette option est activée, l’Assistant Installation vous invite à spécifier ce service pendant l’activationSend diagnostic data to Apple - If enabled, Setup Assistant prompts for this service during activation
    • Activez la gestion supplémentaire via Apple Configurator : spécifiez Interdire pour empêcher la synchronisation des fichiers avec iTunes ou la gestion via Apple Configurator.Enable additional Apple Configurator management - Set to Disallow to prevent syncing files with iTunes or management via Apple Configurator. Il vaut mieux choisir Interdire, exporter les configurations supplémentaires d’Apple Configurator, puis déployer en tant que profil de configuration iOS personnalisé via Intune, au lieu d’utiliser ce paramètre pour permettre un déploiement manuel avec ou sans un certificat.It's a good idea to choose Disallow, export further configurations from Apple Configurator, and then deploy as a Custom iOS configuration profile via Intune instead of using this setting to allow manual deployment with or without a certificate.
      • Interdire : empêche l’appareil de communiquer via USB (désactive l’appariement)Disallow - Prevents the device from communicating via USB (disables pairing)
      • Autoriser : autorise un appareil à communiquer via une connexion USB pour n’importe quel PC ou MacAllow - Allows a device to communicate via USB connection for any PC or Mac
      • Demander un certificat : permet un appariement avec un Mac avec un certificat importé dans le profil d’inscriptionRequire certificate - Allows pairing with a Mac with a certificate imported to the enrollment profile

Attribuer le profil aux appareilsAssign the profile to devices

  1. Dans la console d’administration Microsoft Intune, accédez à Stratégie > Inscription des appareils de l’entreprise, puis choisissez Attribuer.In the Microsoft Intune administration console, go to Policy > Corporate Device Enrollment, and then choose Assign.

  2. Choisissez les appareils auxquels vous voulez attribuer le profil que vous avez créé.Choose the devices to which you want to assign the profile that you created. Vous pouvez choisir Tous les appareils ou sélectionner des appareils spécifiques, puis choisissez Ajouter.You can choose All devices or select specific devices, and then select Add.

Important

Actuellement, Intune vous permet de désigner un profil d’inscription d’appareil « par défaut ». Dans ce cas, les nouveaux numéros de série sont automatiquement affectés à ce profil par défaut quand vous les synchronisez avec le service Apple DEP.Currently, Intune lets you designate a "default" device enrollment profile," which means that new serial numbers are automatically assigned to that default profile when you synchronize new serial numbers with the Apple DEP service. Dès que votre client aura migré vers le nouveau portail Azure, vous ne pourrez plus définir de profil par défaut et les numéros de série ne seront plus automatiquement attribués à ce profil.When your tenant is migrated to the new Azure portal in the near future, you will no longer be able to set a default profile and have serial numbers be automatically assigned to that profile. Vous devrez affecter les numéros de série à un profil spécifique.Instead, you will have to assign serial numbers to a specific profile. En savoir plusLearn more

Attribuer des appareils DEP pour la gestionAssign DEP Devices for Management

  1. Accédez au portail du Programme DEP (https://deploy.apple.com) et connectez-vous avec votre ID Apple d’entreprise.Go to the Device Enrollment Program Portal (https://deploy.apple.com) and sign in with your company Apple ID.

  2. Accédez à Programme de déploiement > Programme d’inscription d’appareils > Gérer les appareils.Go to Deployment Program > Device Enrollment Program > Manage Devices.

  3. Spécifiez la façon dont vous allez Choisir des appareils, fournissez les informations relatives aux appareils et spécifiez les détails par appareil : Numéro de série, Numéro de commandeou Télécharger un fichier CSV.Specify how you will Choose Devices, provide device information and specify details by device Serial Number, Order Number, or Upload CSV File.

  4. Choisissez Attribuer au serveur et le <nom_serveur> spécifié pour Microsoft Intune, puis OK.Choose Assign to Server and choose the <ServerName> specified for Microsoft Intune, and then choose OK.

Synchroniser les appareils gérés par le programme DEPSynchronize DEP-Managed Devices

Cette étape synchronise les appareils avec le service Apple DEP et les affiche dans la console Intune.This step synchronizes devices with the Apple DEP Service, and makes the devices appear in the Intune console.

  1. En tant qu’administrateur, ouvrez la console d’administration Microsoft Intune, accédez à Admin > Gestion des appareils mobiles > iOS > Programme d’inscription d’appareils, puis choisissez Synchroniser maintenant.As an administrative user, open the Microsoft Intune administration console, go to Admin > Mobile Device Management > iOS > Device Enrollment Program, and then choose Sync now. Une demande de synchronisation est envoyée à Apple.A sync request is sent to Apple.

  2. Pour afficher les appareils gérés par DEP après la synchronisation, dans la console d’administration Microsoft Intune, accédez à Groupes > Tous les appareils > Appareils d’entreprise préinscrits > Par numéro de série iOS.To see DEP-managed devices after synchronization, in the Microsoft Intune administration console go to Groups > All Devices > Corporate Pre-enrolled devices > By iOS Serial Number. Dans l’espace de travail Par numéro de série iOS, l’État des appareils gérés est « Non contacté » tant que l’appareil n’est pas démarré et n’exécute pas l’Assistant d’installation pour inscrire l’appareil.In the By iOS Serial Number workspace, the State for managed devices reads “Not contacted” until the device is powered on and runs the Setup Assistant to enroll the device.

    Pour être conforme aux conditions d’Apple pour un trafic DEP acceptable, Intune impose les restrictions suivantes :To comply with Apple’s terms for acceptable DEP traffic, Intune imposes the following restrictions:

    • Une synchronisation DEP complète ne peut pas s’exécuter plus d’une fois tous les sept jours.A full DEP sync can run no more than once every seven days. Pendant une synchronisation complète, Intune actualise chaque numéro de série attribué à Intune par Apple, que le numéro de série ait été ou non déjà synchronisé.During a full sync, Intune refreshes every serial number that Apple has assigned to Intune whether the serial has previously been synced or not. Si une synchronisation complète est tentée dans les sept jours de la synchronisation complète précédente, Intune actualise seulement les numéros de série qui ne figurent pas déjà dans Intune.If a full sync is attempted within seven days of the previous full sync, Intune only refreshes serial numbers that are not already listed in Intune.

    • Toute demande de synchronisation doit se terminer dans un délai de 10 minutes.Any sync request is given 10 minutes to finish. Pendant ce temps ou jusqu’au succès de la demande, le bouton Synchroniser est désactivé.During this time or until the request succeeds, the Sync button is disabled.

Distribuer des appareils aux utilisateursDistribute devices to users

Vous pouvez maintenant distribuer vos appareils d’entreprise aux utilisateurs.Your corporate-owned devices can now be distributed to users. Quand un appareil iOS est activé, il est inscrit pour être géré par Intune.When an iOS device is turned on it will be enrolled for management by Intune. Le nombre limite d’appareils de l’utilisateur s’applique aux appareils gérés par DEP.The user device limit applies to DEP-managed devices.

Note

Si un utilisateur tente d’inscrire un appareil DEP, mais a dépassé le nombre limite d’appareils pouvant être inscrits, l’inscription échoue en mode silencieux, sans qu’il en soit averti.If a user attempts to enroll a DEP device but has exceeded her device limit, enrollment will fail silently without warning the user.

Modifications apportées aux affectations de groupe IntuneChanges to Intune group assignments

Depuis avril 2017, la gestion des groupes d’appareils est transmise à Azure Active Directory.Starting in April 2017, device group management is moving to Azure Active Directory. Après la transition vers des groupes Azure Active Directory, l’affectation de groupe n’apparaîtra pas dans les options de profil d’inscription de l’entreprise.After the transition to Azure Active Directory groups, group assignment will not appear in the Corporate Enrollment Profile options. Plusieurs mois pourront s’écouler avant que vous ne constatiez les effets de cette modification.Because this change will roll out over a series of months, you might not see the change right away. Après le déplacement vers le nouveau portail, les attributions de groupes d’appareils dynamiques peuvent être définies en fonction des noms des profils d’inscription de l’entreprise.After moving to the new portal, dynamic device group assignments can be defined based on the Corporate Enrollment Profile names.

Lors de la migration, pour chaque groupe d’appareils Intune préattribué par un profil d’inscription des appareils de l’entreprise, un groupe d’appareils dynamique correspondant est créé dans Azure AD à partir du nom du profil d’inscription des appareils de l’entreprise.Upon migration, for every Intune device group pre-assigned by a Corporate Device Enrollment profile, a corresponding dynamic device group will be created in Azure AD based on the Corporate Device Enrollment profile’s name. Les nouveaux noms de profil ont le format EnrollmentProfile : <nom du profil associé>.New profile names have the format EnrollmentProfile:<name of associated profile>. Ce processus garantit que les appareils déjà affectés à un groupe d’appareils sont inscrits automatiquement dans le groupe avec une stratégie et des applications déployées.This process ensures that devices that are assigned to a device group already will automatically enroll in the group with policy and apps deployed.

Cette création automatique d’un groupe se produit une seule fois, lors de la migration des groupes.This automatic group creation happens only once, during groups migration. Après la migration, les administrateurs Intune doivent créer des groupes à l’aide du portail Azure.After migration, Intune admins must create groups using the Azure portal. Pour connaître l’impact que cela implique sur l’inscription des appareils iOS d’entreprise, consultez Changes to Automatic Grouping for Corporate Pre-enrolled iOS Devices (Modifications du regroupement automatique pour les appareils iOS d’entreprise préinscrits).For details about how this affects company-owned iOS device enrollment, see Changes to Automatic Grouping for Corporate Pre-enrolled iOS Devices.

Vous pouvez également chercher à en savoir plus sur les groupes Azure Active Directory.You can also Learn more about Azure Active Directory groups.

Voir aussiSee also

Prérequis pour l’inscription des appareilsPrerequisites for enrolling devices