Configurer l’inscription des utilisateurs Apple basée sur un compte

Importante

Cette fonctionnalité est disponible en préversion publique. Pour plus d’informations, consultez Préversion publique dans Microsoft Intune.

Configurez l’inscription utilisateur Apple basée sur un compte pour les appareils personnels qui s’inscrivent dans Microsoft Intune. L’inscription utilisateur basée sur un compte offre une expérience d’inscription plus rapide et plus conviviale que l’inscription utilisateur avec Portail d'entreprise. L’utilisateur de l’appareil lance l’inscription en se connectant à son compte professionnel dans l’application Paramètres. Une fois que l’utilisateur a approuvé la gestion des appareils, le profil d’inscription s’installe en mode silencieux et les stratégies Intune sont appliquées. Intune utilise l’inscription juste-à-temps et l’application Microsoft Authenticator pour l’authentification afin de réduire le nombre de fois que les utilisateurs doivent se connecter pendant l’inscription et lors de l’accès aux applications professionnelles.

Cet article explique comment configurer l’inscription des utilisateurs Apple basée sur un compte dans Microsoft Intune. Vous allez :

• Configurez l’inscription JIT.
• Créez un profil d’inscription.
• Préparez les employés et les étudiants à l’inscription.

Configuration requise

Microsoft Intune prend en charge l’inscription d’utilisateurs Apple basée sur un compte sur les appareils exécutant iOS/iPadOS version 15 ou ultérieure. Si vous attribuez un profil d’inscription utilisateur basé sur un compte aux utilisateurs d’appareils exécutant iOS/iPadOS 14.9 ou version antérieure, Microsoft Intune les inscrire automatiquement via l’inscription des utilisateurs avec Portail d'entreprise.

Avant de commencer l’installation, effectuez les tâches suivantes :

• Définir l’autorité de gestion des appareils mobiles (GPM)
• Obtenir un certificat Push MDM Apple
• Créer des ID Apple managés pour les utilisateurs d’appareils (ouvre le site web du support Apple)

Vous devez également configurer la découverte de service afin qu’Apple puisse accéder au service Intune et récupérer les informations d’inscription. Pour ce faire, configurez et publiez un fichier de ressources HTTP connu sur le même domaine que celui auquel les employés se connectent. Apple récupère le fichier via une requête HTTP GET à “https://contoso.com/.well-known/com.apple.remotemanagement”, avec le domaine de votre organization à la place de contoso.com. Publiez le fichier sur un domaine qui peut gérer les requêtes HTTP GET.

Créez le fichier au format JSON, avec le type de contenu défini sur application/json. Nous avons fourni les exemples JSON suivants que vous pouvez copier et coller dans votre fichier. Utilisez celui qui s’aligne sur votre environnement. Remplacez la variable YourAADTenantID dans l’URL de base par l’ID de locataire Microsoft Entra de votre organization.

Microsoft Intune environnements :

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune pour les environnements du gouvernement des États-Unis :

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Microsoft Intune exploités par 21 Vianet dans les environnements chinois :

{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}

Le reste de l’exemple JSON est rempli avec toutes les informations dont vous avez besoin, notamment :

• Version : la version du serveur est mdm-byod.
• BaseURL : cette URL est l’emplacement où réside le service Intune.

Meilleures pratiques

Nous vous recommandons des configurations supplémentaires pour améliorer l’expérience d’inscription des utilisateurs d’appareils. Cette section fournit plus d’informations sur chaque recommandation.

Déployer Portail d'entreprise application web

Déployez la version de l’application web du site web Portail d'entreprise Intune afin que les utilisateurs puissent accéder rapidement aux status des appareils, aux actions de l’appareil et aux informations de conformité. L’application web apparaît sur l’écran d’accueil et fonctionne comme un lien vers le site web Portail d'entreprise. Sans l’application web, les utilisateurs d’appareils peuvent toujours accéder au site web Portail d'entreprise, mais doivent ouvrir le navigateur et taper l’adresse dans le champ de recherche. Pour plus d’informations sur l’ajout d’une application web, consultez Ajouter des applications web à Microsoft Intune.

Activer l’authentification fédérée

L’inscription des utilisateurs Apple vous oblige à créer et à fournir des ID Apple managés à l’inscription des utilisateurs. Si vous activez l’authentification fédérée, qui consiste à lier Apple Business Manager à Microsoft Entra ID, vous n’avez pas besoin de créer et de fournir des ID Apple uniques à chaque utilisateur. Au lieu de cela, un utilisateur d’appareil peut se connecter à ses applications avec les mêmes informations d’identification que celles utilisées pour son compte professionnel. Pour plus d’informations, consultez Présentation de l’authentification fédérée avec Apple Business Manager dans le Guide de l’utilisateur d’Apple Business Manager.

Étape 1 : Configurer l’inscription juste-à-temps et affecter Microsoft Authenticator

Importante

Cette fonctionnalité est disponible en préversion publique. Pour plus d’informations, consultez Préversion publique dans Microsoft Intune.

Configurez l’inscription juste-à-temps et affectez Microsoft Authenticator comme application requise. Pour connaître les étapes à suivre, consultez Configurer l’inscription JIT dans Intune. Revenez à cet article lorsque vous avez terminé afin de pouvoir passer à l’étape suivante.

Étape 2 : Créer un profil d’inscription

Créez un profil d’inscription pour les appareils qui s’inscrivent via l’inscription utilisateur basée sur un compte. Le profil d’inscription déclenche l’expérience d’inscription de l’utilisateur de l’appareil et lui permet de lancer l’inscription à partir de l’application Paramètres.

1. Dans le centre d’administration Microsoft Intune, accédez àInscriptiondes appareils>.
2. Sélectionnez l’onglet Apple .
3. Sous Options d’inscription, choisissez Types d’inscription.
4. Sélectionnez Créer un profil>iOS/iPadOS.
5. Dans la page Informations de base , entrez un nom et une description pour le profil afin de pouvoir le distinguer des autres profils dans le centre d’administration. Les utilisateurs de l’appareil ne voient pas ces détails.
6. Sélectionnez Suivant.
7. Dans la page Paramètres , pour Type d’inscription, sélectionnez Inscription utilisateur basée sur un compte.
8. Sélectionnez Suivant.
9. Dans la page Affectations , attribuez le profil à tous les utilisateurs ou sélectionnez des groupes spécifiques. Les groupes d’appareils ne sont pas pris en charge dans les scénarios d’inscription d’utilisateurs, car l’inscription des utilisateurs nécessite des identités d’utilisateur.
10. Sélectionnez Suivant.
11. Dans la page Vérifier + créer , passez en revue vos choix, puis sélectionnez Créer pour terminer la création du profil.

Étape 3 : Préparer les employés à l’inscription

Pour lancer l’inscription d’un appareil sur un appareil personnel, le propriétaire de l’appareil doit accéder à l’application Paramètres et se connecter avec son compte professionnel ou scolaire. S’ils tentent de se connecter à une application avec leur compte professionnel ou scolaire, l’application les avertit de l’exigence d’inscription et leur indique comment procéder.

Cette section décrit les étapes d’inscription pour les utilisateurs d’appareils. Nous vous recommandons d’utiliser ces informations dans la documentation d’intégration des appareils de votre organization ou pour la résolution des problèmes et le support.

1. Ouvrez l’application Paramètres sur votre appareil.
2. Sélectionnez Général.
3. Sélectionnez vpn & Gestion des appareils.
4. Connectez-vous avec votre compte professionnel ou scolaire, ou avec l’ID Apple fourni par votre organization.
5. Sélectionnez Se connecter à iCloud.
6. Entrez le mot de passe du nom d’utilisateur affiché à l’écran. Ensuite, sélectionnez Continuer.
7. Sélectionnez Autoriser la gestion à distance.
8. Patientez quelques minutes pendant que votre appareil est configuré et que le profil de gestion est installé.
9. Pour confirmer que votre appareil est prêt à être utilisé pour le travail, accédez à VPN & Gestion des appareils. Vérifiez que votre compte professionnel est répertorié sous COMPTE MANAGÉ.
10. Microsoft Authenticator est requis pour accéder aux applications professionnelles. Attendez quelques minutes après l’inscription pour qu’Authenticator s’installe sur votre appareil. Un message d’erreur s’affiche si vous essayez de vous connecter à une application professionnelle sans Authenticator.
11. Vous pouvez recevoir d’autres invites vous demandant votre approbation pour installer des applications professionnelles. Sélectionnez Installer pour approuver l’installation.

Priorité du profil

Intune applique les profils d’inscription dans l’ordre dans lequel vous les hiérarchisez. Pour modifier l’ordre dans lequel ils sont appliqués :

1. Retour aux types d’inscription pour afficher vos profils.
2. Faites glisser et déposez les profils dans la liste pour réorganiser leur priorité.

Si un conflit se produit parce qu’un utilisateur se voit attribuer plusieurs profils, Intune applique le profil avec la priorité la plus élevée.

Suppression de l’appareil de la gestion

Les clés de volume et de chiffrement créées pour gérer les données de travail sur l’appareil sont effacées lorsque l’appareil se désinscrit d’Intune.

Problèmes connus

Cette section décrit les problèmes connus actuels liés à l’inscription et à l’Microsoft Intune des utilisateurs Apple basés sur un compte.

L’inscription échoue en raison de l’application d’authentification unique d’inscription

Si l’application Microsoft Authenticator se trouve sur l’appareil avant le début de l’inscription, l’inscription échoue lorsque l’utilisateur de l’appareil tente de se connecter avec son compte professionnel ou scolaire dans l’application Paramètres. Le message qu’ils reçoivent indique :

• Titre : Échec de la connexion
• Description : l’application d’authentification unique d’inscription a été installée sur l’appareil.

Pour contourner ce problème, l’utilisateur de l’appareil doit désinstaller l’application Microsoft Authenticator et redémarrer l’inscription.

Étapes suivantes

• Pour obtenir une vue d’ensemble des fonctionnalités d’inscription des utilisateurs Apple prises en charge et des actions de gestion dans Microsoft Intune, consultez Vue d’ensemble de l’inscription des utilisateurs Apple dans Microsoft Intune.

• Pour plus d’informations sur les fonctionnalités et fonctionnalités d’inscription des utilisateurs Apple, consultez Inscription des utilisateurs et GPM sur le site web du support Technique Apple.

• Pour la résolution des problèmes, consultez Résolution des erreurs d’inscription d’appareils iOS/iPadOS dans Microsoft Intune.

• Pour connaître les paramètres pris en charge dans les profils de configurations d’appareil Intune, consultez :

  • Restrictions relatives aux appareils iOS et iPadOS
  • Fonctionnalités des appareils iOS et iPadOS
  • Configurer un réseau privé virtuel (VPN) par application