Guide de déploiement : Inscrire des appareils iOS et iPadOS dans Microsoft Intune

Vous pouvez inscrire vos appareils personnels et ceux appartenant à l’organisation dans Intune. Une fois inscrits, ils reçoivent les stratégies et les profils que vous créez. Vous disposez des options suivantes lors de l’inscription d’appareils iOS/iPadOS :

Cet article fournit des recommandations sur la méthode d’inscription iOS/iPadOS à utiliser. Il offre également une vue d’ensemble des tâches revenant à l’administrateur et à l’utilisateur pour chaque type d’inscription. Pour obtenir des informations plus spécifiques, consultez Inscrire des appareils macOS.

Conseil

Ce guide est constamment mis à jour. Veillez donc à ajouter des conseils ou à mettre à jour ceux que vous avez trouvé utiles.

Avant de commencer

Pour obtenir une vue d’ensemble, y compris les prérequis propres à Intune, consultez Guide de déploiement : Inscrire des appareils dans Microsoft Intune.

Inscription automatisée des appareils (ADE) (supervisée)

Avant, cette option s’appelait « Programme d’inscription des appareils Apple » (DEP). Utilisez-la sur les appareils appartenant à votre organisation. Cette option configure les paramètres à l’aide d’Apple Business Manager (ABM) ou d’Apple School Manager (ASM). Elle vous permet d’inscrire un grand nombre d’appareils sans jamais les toucher. Ces appareils vendus par Apple sont préconfigurés avec vos paramètres et peuvent être expédiés directement aux utilisateurs ou aux établissements scolaires. Vous créez un profil d’inscription dans le centre d’administration Endpoint Manager, puis vous envoyez (push) ce profil aux appareils.

Pour obtenir des informations plus spécifiques sur ce type d’inscription, consultez :


Fonctionnalité Utiliser cette option d’inscription quand
Vous souhaitez utiliser le mode supervisé. ✔️

Le mode supervisé déploie des mises à jour logicielles, restreint des fonctionnalités, autorise et bloque des applications, etc.
Les appareils appartiennent à l’organisation ou à l’établissement scolaire. ✔️
Vous avez de nouveaux appareils. ✔️
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc). ✔️
Les appareils sont associés à un seul utilisateur. ✔️
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés. ✔️
Les appareils sont personnels ou BYOD.

Non recommandé. Les appareils BYOD ou personnels doivent être inscrits en utilisant GAM-WE (ouvre un autre article Microsoft) ou l’Inscription de l’utilisateur et de l’appareil (dans cet article).
Vous avez des appareils existants.

Les appareils existants doivent être inscrits en utilisant Apple Configurator.
Les appareils sont gérés par un autre fournisseur MDM.

Pour être complètement gérés par Intune, les utilisateurs doivent se désinscrire du fournisseur MDM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser MAM-WE pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, nous vous recommandons de les inscrire dans Intune.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).

Le compte DEM n’est pas pris en charge.

Tâches de l’administrateur pour ADE

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour obtenir des informations plus spécifiques, consultez Inscription avec Apple Business Manager ou Inscription avec Apple School Manager.

  • Vérifiez que vos appareils sont pris en charge.

  • Vous devez avoir accès au portail Apple Business Manager (ABM) ou au portail Apple School Manager (ASM).

  • Vérifiez que le jeton Apple (.p7m) est actif. Pour obtenir des informations plus spécifiques, consultez Obtenir un jeton Apple ADE.

  • Vérifiez que le certificat Push MDM Apple est ajouté à Endpoint Manager et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Décidez comment les utilisateurs vont s’authentifier sur leurs appareils : l’application Portail d’entreprise, l’Assistant Configuration (hérité) ou l’Assistant Configuration avec authentification moderne (préversion publique). Prenez cette décision avant de créer le profil d’inscription. L’utilisation de l’application Portail d’entreprise ou de l’Assistant Configuration avec authentification moderne est considérée comme une authentification moderne.

    • Sélectionnez l’application Portail d’entreprise dans les cas suivants :

      • Vous souhaitez réinitialiser l’appareil.
      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans Azure AD. Quand ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec Azure AD, comme l’accès conditionnel.
      • Vous voulez installer automatiquement l’application Portail d’entreprise lors de l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
      • Vous voulez verrouiller l’appareil jusqu’à ce que l’application Portail d’entreprise soit installée. Après son installation, les utilisateurs se connectent à l’application Portail d’entreprise avec leur compte Azure AD d’organisation. L’appareil est ensuite déverrouillé et les utilisateurs peuvent l’utiliser.
    • Sélectionnez l’Assistant Configuration (hérité) dans les cas suivants :

      • Vous souhaitez réinitialiser l’appareil.

      • Vous ne souhaitez pas utiliser de fonctionnalités d’authentification modernes comme MFA.

      • Vous ne souhaitez pas inscrire les appareils dans Azure AD. L’Assistant Configuration (hérité) authentifie l’utilisateur avec le jeton Apple .p7m. S’il est acceptable de ne pas inscrire les appareils dans Azure AD, vous n’avez pas besoin d’installer l’application Portail d’entreprise. Continuez à utiliser l’Assistant Configuration (hérité).

        Si vous souhaitez que les appareils soient inscrits dans Azure AD, installez l’application Portail d’entreprise. Quand vous créez le profil d’inscription et que vous sélectionnez l’Assistant Configuration (hérité), vous pouvez installer l’application Portail d’entreprise. Nous vous recommandons d’installer l’application Portail d’entreprise durant l’inscription.

    • Sélectionnez l’Assistant Configuration avec authentification moderne quand :

      • Vous souhaitez réinitialiser l’appareil.
      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans Azure AD. Quand ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec Azure AD, comme l’accès conditionnel.
      • Vous voulez installer automatiquement l’application Portail d’entreprise lors de l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
      • Vous voulez que les utilisateurs utilisent l’appareil, même quand l’application Portail d’entreprise n’est pas installée.

    Notes

    Pour authentifier les utilisateurs, Microsoft recommande l’utilisation de l’application Portail d’entreprise ou de l’Assistant Configuration avec authentification moderne.

    Quelle option faut-il utiliser ? Cela dépend :

    • Si vous voulez utiliser l’appareil avant l’installation de l’application Portail d’entreprise, utilisez l’Assistant Configuration avec authentification moderne.

      Dans l’Assistant Configuration, les utilisateurs doivent entrer leurs informations d’identification Azure AD d’organisation (user@contoso.com). Une fois qu’ils ont entré leurs informations d’identification, l’inscription démarre et l’application Portail d’entreprise s’installe. Si vous le souhaitez, les utilisateurs peuvent également entrer leur ID Apple pour accéder à des fonctionnalités spécifiques à Apple, comme Apple Pay.

      Une fois l’Assistant Configuration terminé, les utilisateurs peuvent utiliser l’appareil. Quand l’écran d’accueil s’affiche, l’inscription est terminée et l’affinité utilisateur est établie. L’appareil n’est pas entièrement inscrit auprès d’Azure AD et il ne s’affiche pas dans la liste des appareils d’un utilisateur dans Azure AD.

      Après l’installation de l’application Portail d’entreprise, qui peut prendre un certain temps, les utilisateurs ouvrent cette application et se connectent avec le compte Azure AD de leur organisation (user@contoso.com). Lors de cette seconde connexion, toutes les stratégies d’accès conditionnel sont évaluées et l’inscription Azure AD est terminée. Les utilisateurs peuvent installer et exécuter des ressources de l’organisation, notamment les applications métier.

    • Si vous ne voulez pas utiliser l’appareil avant l’installation de l’application Portail d’entreprise, utilisez l’option de l’application Portail d’entreprise. L’option de l’application Portail d’entreprise verrouille l’appareil jusqu’à ce que l’application Portail d’entreprise soit installée. Une fois l’installation terminée, l’application Portail d’entreprise s’ouvre automatiquement. Les utilisateurs se connectent avec leur compte d’organisation Azure AD (user@contoso.com) et peuvent utiliser l’appareil.

  • Si vous utilisez l’application Portail d’entreprise, décidez de la manière dont elle sera installée sur les appareils. Prenez cette décision avant de créer le profil d’inscription.

    Notes

    Microsoft recommande le Programme d’achat en volume (VPP) quand vous utilisez l’application Portail d’entreprise pour l’authentification. Il offre une meilleure expérience pour les utilisateurs finaux.

    N’installez pas l’application Portail d’entreprise à partir de l’App Store directement sur les appareils inscrits avec ADE. Installez-la plutôt à l’aide des options suivantes :

    • Jeton VPP + Inscription de nouveaux appareils : si vous participez au programme VPP et que vous inscrivez de nouveaux appareils, l’application Portail d’entreprise est incluse. Quand vous créez le profil d’inscription dans le centre d’administration Endpoint Manager, sélectionnez Installer le Portail d’entreprise avec VPP. Aucune étape supplémentaire n’est nécessaire.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Vous n’êtes pas obligé de créer une autre stratégie pour déployer l’application Portail d’entreprise sur les appareils.
      • Vous ou vos utilisateurs devez mettre à jour manuellement l’application Portail d’entreprise.
    • Pas de jeton VPP + Inscription de nouveaux appareils : aucune tâche pour l’administrateur. Vérifiez que les utilisateurs entrent leur identifiant Apple dans l’Assistant Configuration.

      Au terme de l’Assistant Configuration, l’application Portail d’entreprise tente de s’installer automatiquement. Si les utilisateurs n’entrent pas leur identifiant Apple (user@iCloud.com ou user@gmail.com), ils sont continuellement invités à le faire. Les utilisateurs doivent entrer leur identifiant Apple pour accéder à l’application Portail d’entreprise sur leurs appareils. Une fois l’application Portail d’entreprise installée, les utilisateurs l’ouvrent et entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Les utilisateurs authentifiés peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    • Appareils déjà inscrits : si des appareils sont déjà inscrits, que vous participiez au programme VPP ou non, utilisez une stratégie de configuration des applications :

      1. Dans le centre d’administration Endpoint Manager, ajoutez l’application Portail d’entreprise en tant qu’application obligatoire et en tant qu’application sous licence d’appareil.
      2. Créez une stratégie de configuration des applications qui comprend l’application Portail d’entreprise comme application sous licence d’appareil. Pour obtenir des informations plus spécifiques, consultez Configurer l’application Portail d’entreprise pour la prise en charge des appareils DEP iOS et iPadOS.
      3. Déployez la stratégie de configuration des applications sur le même groupe d’appareils que le profil d’inscription.
      4. Quand les appareils effectuent un check-in auprès du service Intune, ils reçoivent votre profil et l’application Portail d’entreprise est installée.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Vous oblige à créer un profil d’inscription et une stratégie de configuration d’application. Dans votre stratégie de configuration d’application, rendez l’application obligatoire pour qu’elle soit déployée sur tous vos appareils.
      • L’application Portail d’entreprise peut être mise à jour automatiquement en modifiant la stratégie de configuration des applications existante.
  • Dans le centre d’administration Endpoint Manager, créez un profil d’inscription :

    • Choisissez Inscrire avec l’affinité utilisateur (associer un utilisateur à l’appareil) ou Inscrire sans l’affinité utilisateur (appareils sans utilisateur ou appareils partagés).
    • Choisissez où les utilisateurs s’authentifient : l’application portail d’entreprise, l’Assistant Configuration (hérité) ou l’Assistant Configuration avec authentification moderne.

    Pour obtenir des informations plus spécifiques et des suggestions, consultez Inscription automatisée des appareils Apple.

Tâches de l’utilisateur final pour ADE

Quand vous créez un profil d’inscription dans le centre d’administration Endpoint Manager, vous choisissez d’associer un utilisateur à l’appareil (Inscrire avec l’affinité utilisateur) ou d’avoir des appareils partagés (Inscrire sans l’affinité utilisateur). Les étapes spécifiques à effectuer dépendent de la façon dont vous configurez le profil d’inscription.

  • Inscrire avec l’affinité utilisateur + Application Portail d’entreprise :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com). L’application Portail d’entreprise est alors automatiquement installée à partir de votre profil d’inscription. L’installation automatique de l’application Portail d’entreprise peut prendre du temps.
    2. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Quand ils se connectent, l’inscription démarre. Une fois l’inscription terminée, les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    Les utilisateurs devront peut-être entrer des informations supplémentaires. Pour obtenir des instructions plus spécifiques pour l’utilisateur final, consultez Inscrire l’appareil iOS fourni par votre organisation.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration (hérité) + Application Portail d’entreprise :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com).

    2. L’Assistant Configuration invite l’utilisateur à fournir des informations.

    3. L’application Portail d’entreprise s’ouvre automatiquement et doit verrouiller l’appareil en mode kiosque. L’ouverture de l’application Portail d’entreprise peut prendre du temps. Les utilisateurs se connectent avec leurs informations d’identification d’organisation (user@contoso.com) et l’appareil est inscrit dans Intune.

      Cette étape inscrit l’appareil dans Azure AD. Les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration (hérité) - Application Portail d’entreprise :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com).
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, puis inscrit l’appareil dans Intune. L’appareil n’est pas inscrit dans Azure AD.
  • Inscrire avec l’affinité utilisateur + Assistant Configuration avec authentification moderne + Application Portail d’entreprise :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur ID Apple (user@iCloud.com ou user@gmail.com) et leurs informations d’identification Azure AD d’organisation (user@contoso.com).

      Quand les utilisateurs entrent leurs informations d’identification Azure AD, l’inscription démarre.

    2. L’Assistant Configuration demande d’autres informations à l’utilisateur. Quand c’est terminé, les utilisateurs peuvent utiliser l’appareil. Quand l’écran d’accueil s’affiche, l’inscription est terminée. Les utilisateurs verront vos applications et vos stratégies sur l’appareil.

    3. L’application Portail d’entreprise s’installe automatiquement, ce qui prend un certain temps. Les utilisateurs ouvrent l’application Portail d’entreprise et se reconnectent avec leurs informations d’identification d’organisation (user@contoso.com).

  • Inscrire avec l’affinité utilisateur + Assistant Configuration avec authentification moderne - Application Portail d’entreprise :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur ID Apple (user@iCloud.com ou user@gmail.com) et leurs informations d’identification Azure AD d’organisation.

      Quand les utilisateurs entrent leurs informations d’identification Azure AD, l’inscription démarre.

    2. L’Assistant Configuration demande d’autres informations à l’utilisateur. Quand c’est terminé, les utilisateurs peuvent utiliser l’appareil. Quand l’écran d’accueil s’affiche, l’inscription est terminée. Les utilisateurs verront vos applications et vos stratégies sur l’appareil.

    3. L’application Portail d’entreprise s’installe automatiquement. Les utilisateurs n’ont pas besoin d’ouvrir l’application Portail d’entreprise ni de se connecter à l’application. S’ils ne se connectent pas, l’appareil n’est pas enregistré auprès d’Azure AD et il n’est pas affiché dans la liste des appareils d’un utilisateur dans Azure AD. Les ressources dépendant de l’accès conditionnel ne sont pas disponibles.

  • Inscrire sans l’affinité utilisateur : aucune action. Veillez à ce que les utilisateurs n’installent pas l’application Portail d’entreprise à partir de l’App Store d’Apple.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Veillez à bien guider les utilisateurs, notamment en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la façon de communiquer avec vos utilisateurs, consultez Guide de planification : Tâche 5 : Créer un plan de lancement.

Inscription à Apple Configurator

Utilisez cette option sur les appareils appartenant à votre organisation (inclut l’inscription directe). Cette option vous oblige à connecter physiquement les appareils macOS à un ordinateur Mac par le biais du port USB.

Pour obtenir des informations plus spécifiques sur ce type d’inscription, consultez Inscription avec Apple Configurator.


Fonctionnalité Utiliser cette option d’inscription quand
Vous avez besoin d’une connexion câblée ou vous avez un problème de réseau. ✔️
Votre organisation ne souhaite pas que les administrateurs utilisent les portails ABM ou ASM, ou elle ne souhaite pas configurer toutes les exigences. ✔️

L’idée consistant à ne pas utiliser les portails ABM ou ASM vise à donner moins de contrôle aux administrateurs.
Un pays ne prend pas en charge Apple Business Manager (ABM) ou Apple School Manager (ASM). ✔️

Si votre pays prend en charge ABM ou ASM, les appareils doivent être inscrits à l’aide de l’inscription automatique des appareils.
Les appareils appartiennent à l’organisation ou à l’établissement scolaire. ✔️
Vous avez des appareils nouveaux ou existants. ✔️
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc). ✔️

Si vous avez un grand nombre d’appareils, cette méthode prend du temps.
Les appareils sont associés à un seul utilisateur. ✔️
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés. ✔️
Les appareils sont personnels ou BYOD.

Non recommandé. Les appareils BYOD ou personnels doivent être inscrits en utilisant GAM-WE (ouvre un autre article Microsoft) ou l’Inscription de l’utilisateur et de l’appareil (dans cet article).
Les appareils sont gérés par un autre fournisseur MDM.

Pour être complètement gérés par Intune, les utilisateurs doivent se désinscrire du fournisseur MDM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser MAM-WE pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, nous vous recommandons de les inscrire dans Intune.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).

Le compte DEM n’est pas pris en charge.

Tâches de l’administrateur pour Apple Configurator

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour obtenir des informations plus spécifiques, consultez Inscription avec Apple Configurator.

  • Nécessite l’accès à un ordinateur Mac avec un port USB.

  • Vérifiez que vos appareils sont pris en charge.

  • Vérifiez que le certificat Push MDM Apple est ajouté à Endpoint Manager et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Décidez de la manière dont les utilisateurs vont s’authentifier sur leurs appareils : avec l’application Portail d’entreprise ou avec l’Assistant Configuration. Prenez cette décision avant de créer le profil d’inscription. L’application Portail d’entreprise est considérée comme une méthode d’authentification moderne. Nous vous recommandons donc d’utiliser cette application.

    • Sélectionnez l’application Portail d’entreprise dans les cas suivants :

      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans Azure AD. Quand ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec Azure AD, comme l’accès conditionnel.
      • Vous souhaitez installer automatiquement l’application Portail d’entreprise durant l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise durant l’inscription.
    • Sélectionnez l’Assistant Configuration dans les cas suivants :

      • Vous ne souhaitez pas utiliser de fonctionnalités d’authentification modernes comme MFA.

      • Vous souhaitez réinitialiser l’appareil.

      • Vous souhaitez importer les numéros de série.

      • Vous ne souhaitez pas inscrire les appareils dans Azure AD. L’Assistant Configuration authentifie l’utilisateur avec le profil d’inscription exporté que vous copiez sur l’appareil. S’il est acceptable de ne pas inscrire les appareils dans Azure AD, vous n’avez pas besoin d’installer l’application Portail d’entreprise. Continuez à utiliser l’Assistant Configuration.

        Si vous souhaitez que les appareils soient inscrits dans Azure AD, installez l’application Portail d’entreprise. Quand vous créez le profil d’inscription et sélectionnez l’Assistant Configuration, vous pouvez installer l’application Portail d’entreprise. Nous vous recommandons d’installer l’application Portail d’entreprise durant l’inscription.

  • Si vous utilisez l’application Portail d’entreprise, celle-ci doit être installée sur les appareils à l’aide d’une stratégie de configuration des applications. Nous vous recommandons de créer cette stratégie avant de créer le profil d’inscription.

    N’installez pas l’application Portail d’entreprise à partir de l’App Store directement sur les appareils inscrits avec Apple Configurator. Installez-la plutôt à l’aide des options suivantes :

    • Inscrire de nouveaux appareils : aucune tâche pour l’administrateur. Vérifiez que les utilisateurs entrent leur identifiant Apple dans l’Assistant Configuration.

      Au terme de l’Assistant Configuration, l’application Portail d’entreprise tente de s’installer automatiquement. Si les utilisateurs n’entrent pas leur identifiant Apple (user@iCloud.com ou user@gmail.com), ils sont continuellement invités à le faire. Les utilisateurs doivent entrer leur identifiant Apple pour accéder à l’application Portail d’entreprise sur leurs appareils. Une fois l’application Portail d’entreprise installée, les utilisateurs l’ouvrent et entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Les utilisateurs authentifiés peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    • Appareils déjà inscrits : si des appareils sont déjà inscrits, utilisez une stratégie de configuration des applications :

      1. Dans le centre d’administration Endpoint Manager, ajoutez l’application Portail d’entreprise en tant qu’application obligatoire et en tant qu’application sous licence d’appareil.
      2. Créez une stratégie de configuration des applications qui comprend l’application Portail d’entreprise comme application sous licence d’appareil. Pour obtenir des informations plus spécifiques, consultez Configurer l’application Portail d’entreprise pour la prise en charge des appareils DEP iOS et iPadOS.
      3. Déployez la stratégie de configuration des applications sur le même groupe d’appareils que le profil d’inscription.
      4. Quand les appareils effectuent un check-in auprès du service Intune, ils reçoivent votre profil et l’application Portail d’entreprise est installée.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Vous oblige à créer un profil d’inscription et une stratégie de configuration d’application. Dans votre stratégie de configuration d’application, rendez l’application obligatoire pour qu’elle soit déployée sur tous vos appareils.
      • L’application Portail d’entreprise peut être mise à jour automatiquement en modifiant la stratégie de configuration des applications existante.
  • Dans le centre d’administration Endpoint Manager, créez un profil d’inscription :

    • Choisissez Inscrire avec l’affinité utilisateur (associer un utilisateur à l’appareil) ou Inscrire sans l’affinité utilisateur (appareils sans utilisateur ou appareils partagés).

    • Si vous choisissez Inscrire sans l’affinité utilisateur, vous utilisez automatiquement l’inscription directe. Points à retenir :

      • Vous utilisez les paramètres d’un profil d’inscription macOS existant.
      • Les utilisateurs ne peuvent pas utiliser les applications qui nécessitent un utilisateur, comme c’est le cas de l’application Portail d’entreprise. L’application Portail d’entreprise n’est ni utilisée, ni nécessaire, ni prise en charge sur les inscriptions sans affinité utilisateur. Veillez à ce que les utilisateurs n’installent pas l’application Portail d’entreprise à partir de l’App Store d’Apple.
  • Quand le profil d’inscription est prêt, les appareils se connectent au Mac par USB et l’application Apple Configurator s’ouvre. Quand l’application s’ouvre, elle détecte l’appareil connecté par USB et déploie le profil d’inscription Intune que vous avez créé.

Pour plus d’informations sur cette option d’inscription et ses prérequis, consultez Inscription avec Apple Configurator.

Tâches de l’utilisateur final pour Apple Configurator

Les tâches dépendent de l’option que vous avez configurée dans le profil d’inscription.

  • Inscrire avec l’affinité utilisateur + Application Portail d’entreprise :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com). L’application Portail d’entreprise est ensuite automatiquement installée à partir de l’App Store. L’installation automatique de l’application Portail d’entreprise peut prendre du temps.
    2. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Quand les utilisateurs se connectent, l’inscription démarre. Une fois l’inscription terminée, les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    Les utilisateurs devront peut-être entrer des informations supplémentaires. Pour obtenir des instructions plus spécifiques, consultez Inscrire l’appareil iOS fourni par votre organisation.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration + Application Portail d’entreprise :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans Intune.
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, notamment l’identifiant Apple (user@iCloud.com ou user@gmail.com).
    3. L’application Portail d’entreprise est automatiquement installée à partir de l’App Store. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans Azure AD. Les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.
  • Inscrire avec l’affinité utilisateur + Assistant Configuration - Application Portail d’entreprise :

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans Intune.
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, notamment l’identifiant Apple (user@iCloud.com ou user@gmail.com). Cette étape envoie (push) le profil de gestion Intune à l’appareil.
    3. Les utilisateurs installent le profil de gestion. Le profil effectue un check-in auprès du service Intune, puis inscrit l’appareil. L’appareil n’est pas inscrit dans Azure AD.
  • Inscrire sans l’affinité utilisateur : vous utilisez l’inscription directe. Aucune action. Veillez à ce que les utilisateurs n’installent pas l’application Portail d’entreprise à partir de l’App Store d’Apple.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Veillez à bien guider les utilisateurs, notamment en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la façon de communiquer avec vos utilisateurs, consultez Guide de planification : Tâche 5 : Créer un plan de lancement.

BYOD : Inscription de l’utilisateur et de l’appareil

Ces appareils iOS/iPadOS sont des appareils personnels ou BYOD (apportez votre propre appareil) qui peuvent accéder aux e-mails, aux applications et à d’autres données de l’organisation. Dans iOS 13 et ultérieur, cette option d’inscription cible les utilisateurs ou cible les appareils. Elle ne nécessite pas la réinitialisation des appareils.

Quand vous créez le profil d’inscription, vous êtes invité à choisir entre Inscription des utilisateurs, Inscription des appareils et Déterminer en fonction du choix de l’utilisateur.

Pour obtenir les étapes d’inscription spécifiques et les prérequis, consultez Configurer l’inscription d’utilisateurs ou d’appareils iOS/iPadOS.


Fonctionnalité Utiliser cette option d’inscription quand
Les appareils sont personnels ou BYOD. ✔️
Vous souhaitez protéger une fonctionnalité spécifique sur l’appareil, par exemple le VPN par application. ✔️
Vous avez des appareils nouveaux ou existants. ✔️
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc). ✔️
Les appareils sont associés à un seul utilisateur. ✔️
Les appareils sont gérés par un autre fournisseur MDM.

Lors de l’inscription d’un appareil, les fournisseurs MDM installent des certificats et d’autres fichiers. Ces fichiers doivent être supprimés. La méthode la plus rapide consiste à annuler l’inscription ou à réinitialiser les appareils aux paramètres d’usine. Si vous ne souhaitez pas rétablir les paramètres d’usine, contactez le fournisseur MDM.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM). ✔️
Les appareils appartiennent à l’organisation ou à l’établissement scolaire.

Non recommandé. Les appareils appartenant à l’organisation doivent être inscrits en utilisant Inscription automatique des appareils (dans cet article) ou Apple Configurator (dans cet article).
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés.

En règle générale, les appareils sans utilisateurs ou partagés appartiennent à l’organisation. Ces appareils doivent être inscrits en utilisant l’Inscription automatique des appareils (dans cet article) ou Apple Configurator (dans cet article).

Tâches de l’administrateur pour l’inscription des utilisateurs et des appareils

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour obtenir des informations plus spécifiques, consultez Configurer l’inscription des utilisateurs iOS/iPadOS et iPadOS.

  • Vérifiez que vos appareils sont pris en charge.

  • Vérifiez que le certificat Push MDM Apple est ajouté à Endpoint Manager et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Dans le centre d’administration Endpoint Manager, créez le profil d’inscription. Quand vous créez le profil d’inscription, vous disposez des options suivantes :

    • Inscription de l’appareil : il s’agit de l’option d’inscription standard pour les appareils personnels. L’appareil est géré, pas seulement des applications ou des fonctionnalités spécifiques. Si vous utilisez cette option, tenez compte des informations suivantes :

      • Vous pouvez déployer des certificats qui s’appliquent à l’ensemble de l’appareil.
      • Les utilisateurs doivent installer les mises à jour. Seuls les appareils inscrits à l’aide de l’option Inscription automatisée des appareils (ADE) peuvent recevoir des mises à jour à l’aide de profils ou de stratégies MDM.
      • Un utilisateur doit être associé à l’appareil. Cet utilisateur peut être un compte de gestionnaire d’inscription d’appareil (DEM).
    • Déterminer en fonction du choix de l'utilisateur : donne aux utilisateurs finaux la possibilité de choisir au moment de l’inscription. En fonction de leur sélection, l’option Inscription des utilisateurs ou Inscription des appareils est utilisée.

    • Inscription des utilisateurs : disponible dans iOS 13 et ultérieur. Cette option configure un ensemble spécifique de fonctionnalités et d’applications d’organisation comme le mot de passe, le VPN par application, le Wi-Fi et Siri. Si vous utilisez Inscription des utilisateurs et que vous souhaitez sécuriser les applications et leurs données, nous vous recommandons d’utiliser également des stratégies de protection des applications.

      Pour obtenir la liste complète de ce que vous pouvez et ne pouvez pas faire, consultez Actions et options Intune prises en charge par l’inscription des utilisateurs d’Apple. Pour connaître les étapes spécifiques de l’inscription des utilisateurs, consultez Configurer l’inscription des utilisateurs iOS/iPadOS.

      Notes

      Des appareils BYOD peut devenir des appareils appartenant à l’organisation. Pour cela, consultez Identifier les appareils comme appartenant à l’entreprise.

      L’inscription des utilisateurs est considérée comme étant plus conviviale pour les utilisateurs finaux, mais elle peut ne pas répondre aux besoins des administrateurs en termes de fonctionnalités et de sécurité. En effet, dans certains scénarios, l’inscription des utilisateurs n’est pas la meilleure option. Considérez les scénarios suivants :

      • L’inscription des utilisateurs crée une partition de travail sur les appareils. Les fonctionnalités et la sécurité que vous configurez dans le profil d’inscription utilisateur n’existent que dans la partition de travail. Elles n’existent pas dans la partition utilisateur. Les utilisateurs ne peuvent pas réinitialiser la partition de travail aux paramètres d’usine, mais les administrateurs peuvent le faire. Les utilisateurs peuvent réinitialiser la partition de travail aux paramètres d’usine, mais les administrateurs ne peuvent pas le faire.

      • Si les utilisateurs utilisent principalement des applications Microsoft ou des applications créées avec Intune App SDK, ils doivent télécharger ces applications à partir de l’App Store d’Apple. Ils doivent ensuite utiliser des stratégies de protection des applications pour les protéger. Dans ce scénario, vous n’avez pas besoin de l’inscription des utilisateurs.

      • Pour les applications métier, l’inscription des utilisateurs peut être une option dans la mesure où elle déploie ces applications sur la partition de travail. La gestion des applications mobiles (MAM) ne prend pas en charge les applications métier. Par conséquent, si vous avez besoin d’applications métier, utilisez l’inscription des utilisateurs.

      • Quand vous inscrivez des appareils avec l’inscription des utilisateurs, vous ne pouvez pas passer à l’inscription des appareils. Avec l’inscription des utilisateurs, vous ne pouvez pas déplacer une application de « non gérée » à « gérée ». Les utilisateurs doivent se désinscrire de l’inscription des utilisateurs, puis se réinscrire à l’inscription des appareils.

      • Si vous installez des applications avant l’application du profil d’inscription utilisateur, ces applications ne sont ni protégées ni gérées par le profil d’inscription utilisateur.

        Par exemple, un utilisateur télécharge l’application Outlook à partir de l’App Store d’Apple. L’application est installée automatiquement dans la partition de l’utilisateur sur l’appareil. L’utilisateur configure Outlook pour son adresse e-mail personnelle. Quand il configure son adresse e-mail professionnelle, il est bloqué par l’accès conditionnel et est invité à s’inscrire. Après inscription, un profil d’inscription utilisateur est déployé.

        Étant donné que l’application Outlook a été installée avant le profil d’inscription utilisateur, ce dernier échoue. L’application Outlook ne peut pas être gérée dans la mesure où elle est installée et configurée dans la partition utilisateur, et non dans la partition de travail. Les utilisateurs doivent désinstaller manuellement l’application Outlook.

        Une fois la désinstallation terminée, les utilisateurs peuvent synchroniser manuellement l’appareil et éventuellement réappliquer le profil d’inscription utilisateur. Par ailleurs, vous devrez peut-être créer une stratégie de configuration des applications pour déployer Outlook et en faire une application obligatoire. Vous devrez ensuite déployer une stratégie de protection des applications pour sécuriser l’application et ses données.

  • Affectez le profil d’inscription à des groupes d’utilisateurs. Ne l’affectez pas à des groupes d’appareils.

Tâches de l’utilisateur final pour l’inscription des utilisateurs et des appareils

Vos utilisateurs doivent effectuer les étapes suivantes. Pour connaître l’expérience utilisateur spécifique, consultez Inscrire l’appareil.

  1. Ils accèdent à l’App Store d’Apple et installent l’application Portail d’entreprise Intune.

  2. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Après leur connexion, votre profil d’inscription s’applique à l’appareil.

    Les utilisateurs peuvent être amenés à entrer des informations supplémentaires. Pour obtenir des instructions plus spécifiques, consultez Inscrire l’appareil.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Veillez à bien guider les utilisateurs, notamment en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la façon de communiquer avec vos utilisateurs, consultez Guide de planification : Tâche 5 : Créer un plan de lancement.

Conseil

Voici une brève vidéo pas à pas qui montre à vos utilisateurs comment inscrire leurs appareils dans Intune :

Inscrire votre appareil iOS/iPadOS

Étapes suivantes