Share via

Méthodes d’authentification pour l’inscription automatisée des appareils dans Intune

  • Article

S’applique à iOS/iPadOS

Cet article décrit les méthodes d’authentification disponibles pour les appareils iOS/iPadOS inscrits dans Intune via l’inscription automatisée des appareils. Les méthodes d’authentification disponibles sont les suivantes :

  • Application Portail d’entreprise Intune
  • Assistant Configuration avec l’authentification moderne
  • Inscription juste-à-temps (JIT) pour l’Assistant Configuration avec authentification moderne
  • Assistant Configuration (hérité)

Toutes les méthodes sont disponibles pour les appareils appartenant à l’entreprise avec affinité utilisateur et achetés via Apple Business Manager ou Apple School Manager.

Option 1 : application Portail d'entreprise Intune

Utilisez l’application Portail d'entreprise Intune comme méthode d’authentification si vous souhaitez :

  • Utilisez l’authentification multifacteur (MFA).
  • Inviter les utilisateurs à changer leur mot de passe lors de leur première connexion.
  • Inviter les utilisateurs à réinitialiser leurs mots de passe expirés lors de l’inscription.
  • Inscrire des appareils dans Microsoft Entra ID et utiliser les fonctionnalités disponibles avec les Microsoft Entra ID, telles que l’accès conditionnel.
  • Installez automatiquement l’application Portail d'entreprise lors de l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
  • Vous voulez verrouiller l’appareil jusqu’à ce que l’application Portail d’entreprise soit installée.

Attention

Intune bloque une inscription qui utilise cette méthode d’authentification si l’utilisateur de l’appareil est ciblé avec un type de profil d’inscription utilisateur Apple basé sur un compte. Ce comportement est normal. L’utilisateur reçoit un message d’erreur indiquant que son compte ne prend pas en charge l’inscription via l’application Portail d'entreprise et qu’il doit s’inscrire via le site web Portail d'entreprise. Pour garantir la réussite des inscriptions via l’inscription automatisée des appareils, utilisez l’Option 2 : Assistant Configuration avec l’authentification moderne comme méthode d’authentification lorsque vous utilisez des types de profil d’inscription utilisateur Apple pilotés par compte.

Option 2 : Assistant Configuration avec l’authentification moderne

Cette option offre la même sécurité que Portail d'entreprise Intune’authentification, mais elle est différente, car elle permet à l’utilisateur de l’appareil d’accéder à des parties de l’appareil même si le Portail d'entreprise n’a pas été installé. Utilisez cette option pour l’authentification lorsque vous souhaitez :

  • Réinitialiser l’appareil.
  • Utilisez l’authentification multifacteur (MFA).
  • Inviter les utilisateurs à changer leur mot de passe lors de leur première connexion.
  • Inviter les utilisateurs à réinitialiser leurs mots de passe expirés lors de l’inscription.
  • Inscrire des appareils dans Microsoft Entra ID et utiliser les fonctionnalités disponibles avec les Microsoft Entra ID, telles que l’accès conditionnel.
  • Installez automatiquement l’application Portail d'entreprise lors de l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
  • Autoriser les utilisateurs à utiliser l’appareil même lorsque l’application Portail d'entreprise n’est pas installée.

L’Assistant Configuration avec authentification moderne est pris en charge sur les appareils exécutant iOS/iPadOS 13.0 et versions ultérieures. Les appareils iOS/iPadOS plus anciens auxquels ce type de profil est affecté revient à l’authentification de l’Assistant Configuration (hérité ).

Installer automatiquement Portail d'entreprise application

Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs. Pour activer l’installation automatique dans votre profil d’inscription, sélectionnez Oui pour Installer Portail d'entreprise avec VPP. Nous vous recommandons d’utiliser cette option.

Si vous n’utilisez pas l’option VPP, l’utilisateur de l’appareil doit entrer son ID Apple pendant l’Assistant Configuration ou quand Intune tente d’installer Portail d'entreprise.

Dans les deux scénarios, l’option d’installation Portail d'entreprise est masquée à l’utilisateur de l’appareil, et l’Portail d'entreprise devient une application obligatoire sur son appareil. Lorsque l’utilisateur atteint l’écran d’accueil, Intune applique automatiquement la stratégie de configuration d’application appropriée à l’appareil.

Attention

N’envoyez pas de stratégie distincte de configuration des applications au Portail d’entreprise pour les appareils iOS/iPadOS après inscription auprès de l’Assistant Configuration avec l’authentification moderne. Cela provoquerait une erreur.

Authentification multifacteur

L’authentification multifacteur (MFA) est requise si une stratégie d’accès conditionnel qui l’exige est appliquée lors de l’inscription ou pendant Portail d'entreprise connexion. Toutefois, l’authentification multifacteur est facultative, en fonction des paramètres de Microsoft Entra dans la stratégie d’accès conditionnel ciblée.

L’authentification multifacteur (MFA) ne fonctionne pas pour l’Assistant Installation avec authentification moderne si vous utilisez un fournisseur MFA tiers pour présenter l’écran de l’authentification MFA lors de l’inscription. Seul l’écran d’authentification multifacteur Microsoft Entra fonctionne pendant l’inscription.

Portail d'entreprise action requise

Après avoir parcouru les écrans de l’Assistant Configuration, l’utilisateur de l’appareil arrive sur la page d’accueil. À ce stade, leur affinité utilisateur est établie. Toutefois, jusqu’à ce que l’utilisateur se connecte à l’Portail d'entreprise à l’aide de ses informations d’identification Microsoft Entra et sélectionne Begin, l’appareil :

  • Ne sera pas entièrement inscrit auprès de Microsoft Entra ID.
  • Ne s’affiche pas dans la liste des appareils de l’utilisateur dans Microsoft Entra ID.
  • L’appareil n’a pas accès aux ressources protégées par l’accès conditionnel.
  • L’appareil ne fait pas l’objet d’une évaluation de conformité.
  • L’appareil sera redirigé vers le Portail d’entreprise à partir d’autres applications si l’utilisateur tente d’ouvrir des applications gérées protégées par l’accès conditionnel.

Option 3 : Inscription juste-à-temps pour l’Assistant Configuration avec authentification moderne

Cette option est identique à celle de l’Assistant Installation avec l’authentification moderne, sauf que Portail d'entreprise n’est pas nécessaire pour Microsoft Entra’inscription ou la conformité. Au lieu de cela, Microsoft Entra vérifications d’inscription et de conformité sont entièrement intégrées dans une application Microsoft désignée ou non Microsoft configurée avec l’extension d’application authentification unique (SSO) Apple. L’extension réduit les invites d’authentification et établit l’authentification unique sur l’ensemble de l’appareil. L’inscription JIT invite les utilisateurs à s’authentifier deux fois :

  • Une authentification gère l’inscription et l’affinité utilisateur-appareil, et se produit lorsque l’utilisateur de l’appareil allume son appareil et se connecte à l’Assistant Configuration.
  • Une autre authentification gère Microsoft Entra’inscription et se produit lorsque l’utilisateur se connecte à l’application désignée. Des vérifications de conformité sont également effectuées dans cette application.

Remarque

Si votre organization utilise Microsoft Defender pour point de terminaison, pour que l’inscription JIT et la correction de conformité fonctionnent comme prévu, assurez-vous que l’application Microsoft Defender pour point de terminaison n’est pas le premier utilisateur de l’application ouvert.

Une fois que l’utilisateur de l’appareil atteint l’écran d’accueil, il peut se connecter à n’importe quelle application professionnelle ou scolaire configurée avec l’extension SSO pour effectuer Microsoft Entra vérifications d’inscription et de conformité. L’authentification unique connecte l’utilisateur à toutes les applications qui font partie de votre stratégie d’extension d’authentification unique. À ce stade, ils peuvent également se connecter manuellement à n’importe quelle application qui n’est pas configurée pour utiliser l’extension SSO.

Pour configurer l’inscription JIT avec l’inscription automatisée des appareils :

  1. Créez une stratégie de configuration d’appareil et configurez les paramètres sous la catégorie Extension d’application Authentification unique . Pour connaître les étapes à suivre, consultez Configurer l’inscription juste-à-temps.

  2. Créez un profil d’inscription Apple et sélectionnez Assistant Configuration avec l’authentification moderne comme méthode d’authentification. Un jeton d’inscription d’appareil automatisé actif d’Apple Business Manager ou d’Apple School Manager doit être présent dans Intune pour effectuer cette étape.

  3. Lorsque vous accédez à la page Devoirs dans le profil d’inscription, affectez le profil aux appareils synchronisés à partir d’Apple Business Manager et d’Apple School Manager. Une fois le profil attribué, les employés et les étudiants peuvent effectuer la configuration et l’authentification sur leurs appareils.

    Remarque

    La Portail d'entreprise est toujours envoyée aux appareils en tant qu’application requise, même si elle n’est pas requise pour l’inscription ou la conformité Microsoft Entra. Les utilisateurs d’appareils peuvent utiliser l’application Portail d'entreprise pour collecter et charger des journaux s’ils rencontrent des problèmes dans l’application.

Exemple d’authentification réussie

La séquence d’événements suivante décrit un exemple de ce à quoi ressemble une authentification réussie avec inscription JIT pour l’Assistant Configuration avec l’authentification moderne. L’expérience de votre organization peut être différente en fonction de vos configurations d’inscription d’appareils automatisées.

  1. L’utilisateur de l’appareil active l’appareil.

  2. L’Assistant Configuration commence. L’utilisateur de l’appareil s’authentifie avec ses informations d’identification Microsoft Entra dans l’Assistant Configuration.

  3. L’utilisateur de l’appareil effectue l’authentification multifacteur si nécessaire dans la stratégie d’accès conditionnel.

  4. L’appareil termine l’inscription dans Intune et l’affinité utilisateur-appareil est établie.

  5. L’utilisateur de l’appareil accède à l’écran d’accueil et ouvre Microsoft Teams ou une autre application Office et se connecte avec son compte professionnel. Si l’appareil répond à toutes les exigences de conformité, l’utilisateur de l’appareil a immédiatement accès à ses messages et à son calendrier.

    Remarque

    Pendant Microsoft Entra’inscription, l’utilisateur de l’appareil peut voir une courte rotation pendant qu’Intune termine les vérifications de conformité. Ce comportement est normal.

  6. L’extension SSO établit l’authentification unique dans toutes les autres applications ciblées et toutes les applications Microsoft.

  7. L’appareil est inscrit avec Microsoft Entra ID et conforme. Vous pouvez afficher les status de l’appareil dans le centre d’administration et Microsoft Entra ID. L’utilisateur de l’appareil peut afficher les status dans Portail d'entreprise Intune et utiliser Portail d'entreprise pour la conformité, l’inventaire des applications, les synchronisations d’appareils et le partage de journaux.

  8. L’utilisateur de l’appareil ouvre Teams et est automatiquement connecté.

Option 4 : Assistant Configuration (hérité)

Utilisez l’Assistant Configuration hérité si vous souhaitez que les utilisateurs profitent de l’expérience standard prête à l’emploi pour les produits Apple. Cette option installe les paramètres préconfigurés standard lorsque l’appareil s’inscrit dans Intune. Utilisez cette option pour l’authentification dans les cas suivants :

  • Vous souhaitez réinitialiser un appareil.
  • Vous ne voulez pas de fonctionnalités d’authentification modernes telles que l’authentification multifacteur.
  • Vous ne souhaitez pas inscrire d’appareils dans Microsoft Entra ID. L’Assistant Configuration (hérité) authentifie l’utilisateur avec le jeton Apple .p7m.

Si vous utilisez les services de fédération Active Directory (AD FS) et l’Assistant Configuration pour vous authentifier, un point de terminaison Nom d’utilisateur/Mixte WS-Trust 1.3 est nécessaire. Pour plus d’informations, consultez Get-AdfsEndpoint dans notre guide de référence Windows PowerShell.

Prochaines étapes

Maintenant que vous savez quelle méthode d’authentification vous utilisez, créez un profil d’inscription Apple et sélectionnez la méthode d’authentification lorsque vous y êtes invité. Un jeton d’inscription d’appareil automatisé actif d’Apple Business Manager ou d’Apple School Manager doit être présent dans Intune pour effectuer cette étape.