Guide de déploiement : gérer des appareils macOS dans Microsoft Intune
Sécuriser l’accès à la messagerie, aux données et aux applications professionnelles sur les appareils macOS. Cet article vous guide dans les tâches propres à macOS pour vous aider à activer la gestion des appareils mobiles Intune pour macOS, à configurer des stratégies et à déployer des applications.
Configuration requise
Pour activer la gestion des appareils macOS dans Intune, suivez les prérequis suivants :
- Ajouter des utilisateurs et des groupes
- Attribuer des licences aux utilisateurs
- Définir l’autorité de gestion des appareils mobiles
- Disposer des autorisations d’administrateur général ou d’administrateur Intune Microsoft Entra
- Configurer le certificat Push MDM (APNs) Apple
Pour plus d’informations sur la configuration initiale, l’intégration ou le passage à Microsoft Intune, consultez le Guide de déploiement de la configuration Intune.
Planifier votre déploiement
Utilisez le guide de planification Microsoft Intune pour définir les objectifs de gestion des appareils, les scénarios de cas d’usage et les besoins. Il vous aide également à planifier le déploiement, la communication, le support, les tests et la validation. Par exemple, étant donné que l’application Portail d’entreprise pour macOS n’est pas disponible dans l’App Store, nous vous recommandons d’avoir un plan de communication afin que les utilisateurs finaux sachent comment installer le Portail d’entreprise et inscrire leurs appareils.
Inscrire des appareils
Configurez les méthodes et l’expérience d’inscription pour les appareils macOS personnels et appartenant à l’entreprise. Cette étape permet de s’assurer que les appareils reçoivent les stratégies et les configurations Intune après leur inscription. Intune prend en charge l’inscription BYOD, l’inscription automatisée des appareils Apple et l’inscription directe pour les appareils d’entreprise. Pour plus d’informations sur chaque méthode d’inscription et savoir comment choisir celle qui convient à votre organisation, consultez le Guide d’inscription des appareils macOS pour Microsoft Intune.
| Tâche | Détails |
|---|---|
| Configurer l’inscription pour les appareils appartenant à l’utilisateur (BYOD) | Suivez les prérequis indiqués dans cet article afin d’activer l’inscription pour les appareils appartenant à l’utilisateur. Vous y trouverez également des liens et des ressources d’inscription à partager avec les utilisateurs d’appareils afin qu’ils soient pris en charge tout au long de l’inscription. Cette méthode d’inscription s’adresse aux organisations qui ont des stratégies BYOD (Bring Your Own Device). BYOD permet aux utilisateurs d’utiliser leurs appareils personnels dans un cadre professionnel. |
| Configurer l’inscription des appareils automatisés (ADE) Apple | Configurez une expérience d’inscription prête à l’emploi qui automatise l’inscription sur les appareils d’entreprise achetés par le biais d’Apple School Manager ou d’Apple Business Manager. Cette méthode est idéale pour les organisations qui ont un grand nombre d’appareils à inscrire, car elle élimine la nécessité de toucher et de configurer chaque appareil individuellement. |
| Configurer l’inscription directe pour les appareils d’entreprise | Configurez une expérience d’inscription pour les appareils appartenant à l’entreprise qui ne sont pas affiliés à un seul utilisateur, tels que les appareils utilisés dans un espace partagé ou dans un point de vente. L’inscription directe ne réinitialise pas l’appareil. Privilégiez-la quand les appareils n’ont pas besoin d’accéder aux données utilisateur locales. Vous devez transférer le profil d’inscription vers l’appareil Mac directement, ce qui nécessite une connexion USB à un ordinateur Mac exécutant Apple Configurator. |
| Ajouter un gestionnaire d’inscription d’appareil | Les personnes désignées comme gestionnaires d’inscription d’appareil peuvent inscrire jusqu’à 1 000 appareils mobiles d’entreprise à la fois. Les comptes de gestionnaire d’inscription d’appareil sont utiles dans les organisations qui inscrivent et préparent des appareils avant de les transmettre aux utilisateurs. |
| Identifier les appareils comme appartenant à l’entreprise | Vous pouvez attribuer l’état Propriété de l’entreprise aux appareils pour activer davantage de fonctionnalités de gestion et d’identification dans Intune. L’état Propriété de l’entreprise ne peut pas être attribué à des appareils inscrits par le biais d’Apple Business Manager. |
| Changer la propriété des appareils | Une fois qu’un appareil a été inscrit, vous pouvez modifier son étiquette de propriété dans Intune en lui attribuant la valeur propriété de l’entreprise ou propriété personnelle. Cet ajustement change la façon dont vous pouvez gérer l’appareil. |
| Résoudre les problèmes d’inscription | Résolvez et trouvez des solutions aux problèmes qui se produisent lors de l’inscription. |
Créer des règles de conformité
Créez des stratégies de conformité pour définir les règles et les conditions auxquelles les utilisateurs et les appareils doivent se conformer pour accéder à vos ressources protégées. C’est ainsi que vous vous assurez que les appareils qui accèdent à vos données sont conformes à vos standards. Intune marque les appareils qui ne répondent pas à vos exigences comme non conformes et effectue une action (par exemple, l’envoi d’une notification à l’utilisateur, la restriction de l’accès ou la réinitialisation de l’appareil) en fonction de vos configurations.
Si vous créez une stratégie d’accès conditionnel, celle-ci peut fonctionner aux côtés des résultats de conformité de votre appareil pour bloquer l’accès aux ressources depuis des appareils non conformes. Pour obtenir une explication détaillée sur les stratégies de conformité et la prise en main, consultez Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune.
| Tâche | Détails |
|---|---|
| Créer une stratégie de conformité | Obtenir des instructions pas à pas sur la création et l’affectation d’une stratégie de conformité à des groupes d’utilisateurs et d’appareils. |
| Ajouter des actions en cas de non-conformité | Choisissez ce qui se passe lorsque les appareils ne remplissent plus les conditions de votre stratégie de conformité. Vous pouvez ajouter des actions pour non-conformité lorsque vous configurez une stratégie de conformité des appareils ou ultérieurement en modifiant cette stratégie. |
| Créer une stratégie d’accès conditionnel basée sur l’appareil ou basée sur l’application | Spécifiez l’application ou les services que vous souhaitez protéger et définissez les conditions d’accès. |
| Bloquer l’accès aux applications qui n’utilisent pas l’authentification moderne | Créer une stratégie d’accès conditionnel basé sur l’application pour bloquer les applications qui utilisent des méthodes d’authentification autres que OAuth2 ; par exemple, les applications qui utilisent l’authentification de base et l’authentification basée sur les formulaires. Toutefois, avant de bloquer l’accès, connectez-vous à Microsoft Entra ID et passez en revue le rapport d’activité des méthodes d’authentification pour voir si les utilisateurs utilisent l’authentification de base pour accéder à des éléments essentiels que vous avez oubliés ou que vous ne connaissez pas. Par exemple, les éléments tels que les kiosques de calendriers de salle de réunion utilisent l’authentification de base. |
Configurer les paramètres des appareils
Utilisez Microsoft Intune pour activer ou désactiver des paramètres et des fonctionnalités sur des appareils macOS utilisés à des fins professionnelles. Pour configurer et appliquer ces paramètres, créez un profil de configuration d’appareils, puis attribuez le profil aux groupes de votre organisation.
| Tâche | Détails |
|---|---|
| Créer un profil d’appareil dans Microsoft Intune | Découvrez les différents types de profils d’appareil que vous pouvez créer pour votre organisation. |
| Configurer des fonctionnalités d’appareil | Configurez les fonctionnalités macOS courantes. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les fonctionnalités de l'appareil. |
| Configurer le profil de Wi-Fi | Ce profil permet aux utilisateurs de trouver et de se connecter au réseau Wi-Fi de votre organisation. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres Wi-Fi. |
| Configurer un profil de réseau câblé | Ce profil permet aux utilisateurs d’ordinateurs de bureau de se connecter au réseau câblé de votre organisation. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les réseaux câblés. |
| Configurer le profil VPN | Configurez une option VPN sécurisée, telle que Microsoft Tunnel, pour les personnes qui se connectent au réseau de votre organisation. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres VPN. |
| Restreindre les fonctionnalités de l’appareil | Protégez les utilisateurs contre les accès et les distractions non autorisés en limitant les fonctionnalités de l’appareil qu’ils peuvent utiliser au travail ou à l’école. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les restrictions sur l'appareil. |
| Configurer un profil personnalisé | Ajoutez et attribuez des paramètres et des fonctionnalités d’appareil qui ne sont pas intégrés à Intune. |
| Ajouter et gérer des extensions macOS | Ajoutez des extensions de noyau et des extensions système, qui permettent aux utilisateurs d’installer des extensions d’application qui étendent les fonctionnalités natives du système d’exploitation. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les extensions macOS. |
| Personnaliser l’expérience d’inscription et de personnalisation | Personnalisez l’expérience de l’application Portail d’entreprise Intune et Microsoft Intune avec les mots, les préférences de personnalisation, d’écran et les informations de contact de votre organisation. |
Configurer la sécurité des points de terminaison
Utilisez les fonctionnalités de sécurité des points de terminaison Intune pour configurer la sécurité des appareils et pour gérer les tâches de sécurité des appareils à risque.
| Tâche | Détails |
|---|---|
| Gérer des appareils avec des fonctionnalités de sécurité de point de terminaison | Utilisez les paramètres de sécurité des points de terminaison dans Intune pour gérer efficacement la sécurité des appareils et résoudre les problèmes des appareils. |
| Utiliser l’accès conditionnel pour limiter l’accès à Microsoft Tunnel | Utilisez les stratégies d’accès conditionnel pour contrôler l’accès des appareils à votre passerelle VPN Microsoft Tunnel. |
| Ajouter des paramètres Endpoint Protection | Configurez les fonctionnalités de sécurité courantes d’Endpoint Protection, notamment le pare-feu, Gatekeeper et FileVault. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres Endpoint Protection. |
Configurer des méthodes d’authentification sécurisées
Configurez des méthodes d’authentification dans Intune pour vous assurer que seules les personnes autorisées accèdent à vos ressources internes. Intune prend en charge l’authentification multifacteur, les certificats et les informations d’identification dérivées. Les certificats sont également utilisés pour signer et chiffrer les e-mails à l’aide de S/MIME.
| Tâche | Détails |
|---|---|
| Exiger une authentification multifacteur (MFA) | Demandez aux utilisateurs de fournir deux formes d’informations d’identification au moment de l’inscription. |
| Créer un profil de certificat approuvé | Créez et déployez un profil de certificat approuvé avant de créer un profil de certificat importé SCEP, PKCS ou PKCS. Le profil de certificat approuvé déploie le certificat racine approuvé sur les appareils et auprès des utilisateurs à l’aide des certificats SCEP, PKCS et PKCS importés. |
| Utiliser des certificats SCEP avec Intune | Découvrez ce qui est nécessaire pour utiliser des certificats SCEP avec Intune et configurez l’infrastructure requise. Après cela, vous pouvez créer un profil de certificat SCEP ou configurer une autorité de certification tierce avec SCEP. |
| Utiliser des certificats SCEP avec Intune | Configurer l’infrastructure requise (telle que les connecteurs de certificat locaux), exporter un certificat PKCS et ajouter le certificat à un profil de configuration d’appareil Intune. |
| Utiliser des certificats PKCS importés avec Intune | Configurez les certificats PKCS importés, qui vous permettent de configurer et d’utiliser S/MIME pour chiffrer les e-mails. |
Déployer des applications
Quand vous configurez des applications et des stratégies d’applications, réfléchissez aux besoins de votre organisation, tels que les plateformes que vous allez prendre en charge, les tâches que les utilisateurs effectuent, le type d’applications dont ils ont besoin pour effectuer ces tâches et qui en a besoin. Vous pouvez utiliser Intune pour gérer l’ensemble de l’appareil (y compris les applications) ou utilisez Intune pour gérer uniquement les applications.
| Tâche | Détails |
|---|---|
| Ajouter l’application Portail d’entreprise Intune | Découvrez comment obtenir le Portail d’entreprise sur des appareils ou apprenez aux utilisateurs comment le faire eux-mêmes. |
| Ajouter Microsoft Edge | Ajoutez et attribuez Microsoft Edge dans Intune. |
| Ajouter Microsoft 365 | Ajoutez et attribuez des applications Microsoft 365 dans Intune. |
| Ajouter des applications cœur de métier | Ajoutez et attribuez des applications métier macOS dans Intune. |
| Attribuer des applications à des groupes | Après avoir ajouté des applications à Intune, attribuez-les aux utilisateurs et aux appareils. |
| Inclure et exclure des affectations d’applications | Contrôler l’accès et la disponibilité à une application en incluant et en excluant des groupes sélectionnés de l’affectation. |
| Utiliser des scripts shell sur des appareils macOS | Utilisez des scripts shell pour étendre les fonctionnalités de gestion des appareils dans Intune au-delà de ce qui est pris en charge par le système d’exploitation macOS. |
Exécuter des actions à distance
Une fois les appareils configurés, vous pouvez utiliser des actions à distance dans Intune pour gérer et dépanner des appareils macOS à distance. Les articles suivants vous présentent les actions à distance dans Intune. Si une action est absente ou désactivée dans le portail, elle n’est pas prise en charge sur macOS.
| Tâche | Détails |
|---|---|
| Effectuer une action à distance sur des appareils | Apprenez à explorer au niveau du détail, à gérer à distance et à dépanner des appareils individuels dans Intune. Cet article répertorie toutes les actions à distance disponibles dans Intune et fournit des liens vers ces procédures. |
| Utiliser TeamViewer pour gérer à distance les appareils Intune | Configurez TeamViewer dans Intune et apprenez à administrer à distance un appareil. |
| Utiliser des tâches de sécurité pour afficher les menaces et les vulnérabilités | Intégrez Intune à Microsoft Defender pour point de terminaison pour tirer parti de la gestion des menaces et des vulnérabilités de Defender pour point de terminaison et utiliser Intune pour corriger les faiblesses des points de terminaison identifiées à l’aide des fonctionnalités de gestion des vulnérabilités de Defender. |
Prochaines étapes
Pour obtenir un tutoriel sur la navigation et l’utilisation d’Intune, consultez Le Centre d’administration Intune . Les didacticiels sont un contenu de niveau 100 à 200 pour les personnes qui débutent avec Intune ou un scénario spécifique.
Pour obtenir des tutoriels sur le déploiement d’applications, consultez les blogs Microsoft Tech Community suivants écrits par l’équipe du support technique Intune :
Pour les autres versions de ce guide, consultez :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour