Définir l’autorité de gestion des appareils mobilesSet the mobile device management authority

Le paramètre d’autorité de gestion des appareils mobiles (MDM) détermine la façon dont vous gérez vos appareils.The mobile device management (MDM) authority setting determines how you manage your devices. En tant qu’administrateur informatique, vous devez définir une autorité de gestion des appareils mobiles (MDM) avant que les utilisateurs puissent inscrire des appareils pour la gestion.As an IT admin, you must set an MDM authority before users can enroll devices for management.

Les configurations possibles sont les suivantes :Possible configurations are:

  • Intune autonome : gestion cloud uniquement, que vous configurez à l’aide du portail Azure.Intune Standalone - cloud-only management, which you configure by using the Azure portal. Inclut l’ensemble complet de fonctionnalités d’Intune.Includes the full set of capabilities that Intune offers. Configurez l’autorité MDM dans la console Intune.Set the MDM authority in the Intune console.

  • Cogestion Intune : intégration de la solution cloud Intune à Configuration Manager pour les appareils Windows 10.Intune co-management - integration of the Intune cloud solution with Configuration Manager for Windows 10 devices. Vous configurez Intune à l’aide de la console Configuration Manager.You configure Intune by using the Configuration Manager console. Configurer l’inscription automatique des appareils à Intune.Configure auto-enrollment of devices to Intune.

  • Mobilité et sécurité de base pour Microsoft 365 : si vous avez cette configuration activée, l’autorité MDM est définie sur « Office 365 ».Basic Mobility and Security for Microsoft 365 - If you have this configuration activated, you'll see the MDM authority set to "Office 365". Si vous souhaitez commencer à utiliser Intune, vous devez acheter des licences Intune.If you want to start using Intune, you'll need purchase Intune licenses.

  • Coexistence de Mobilité et sécurité de base pour Microsoft 365 : vous pouvez ajouter Intune à votre locataire si vous utilisez déjà Mobilité et sécurité de base pour Microsoft 365 et si vous définissez l’autorité de gestion sur Intune ou Mobilité et sécurité de base pour Microsoft 365 pour chaque utilisateur afin de déterminer quel service sera utilisé pour gérer les appareils inscrits à MDM.Basic Mobility and Security for Microsoft 365 coexistence - You can add Intune to your tenant if you're already using Basic Mobility and Security for Microsoft 365 and set the management authority to either Intune or Basic Mobility and Security for Microsoft 365 for each user to dictate which service will be used to manage their MDM-enrolled devices. L’autorité de gestion de chaque utilisateur est définie en fonction de la licence qui leur est attribuée : Si l’utilisateur ne dispose que d’une licence Microsoft 365 Basic ou Standard, ses appareils sont gérés par Mobilité et sécurité de base pour Microsoft 365.Each user's management authority is defined based on the license assigned to the user: If the user has only a license for Microsoft 365 Basic or Standard, their devices will be managed by Basic Mobility and Security for Microsoft 365. Si l’utilisateur dispose d’une licence Intune, ses appareils sont gérés par Intune.If the user has a license entitling Intune, their devices will be managed by Intune. Si vous ajoutez une licence Intune à un utilisateur auparavant géré par Mobilité et sécurité de base pour Microsoft 365, ses appareils passent à une gestion Intune.If you add a license entitling Intune to a user previously managed by Basic Mobility and Security for Microsoft 365, their devices will be switched to Intune management. Avant de faire passer les utilisateurs à Intune, veillez à ce que des configurations Intune leur soient affectées de façon à remplacer Mobilité et sécurité de base pour Microsoft 365. À défaut, leurs appareils perdront la configuration Mobilité et sécurité de base pour Microsoft 365 et ne recevront aucun remplacement d’Intune.Be sure to have Intune configurations assigned to users to replace Basic Mobility and Security for Microsoft 365 before switching users to Intune, otherwise their devices will lose Basic Mobility and Security for Microsoft 365 configuration and won't receive any replacement from Intune.

Définir l'autorité MDM sur IntuneSet MDM authority to Intune

Pour les locataires utilisant la version 1911 du service et des versions ultérieures, l’autorité MDM est automatiquement définie sur Intune.For tenants using the 1911 service release and later, the MDM authority is automatically set to Intune.

Pour les locataires utilisant une version du service antérieure à 1911, si vous n’avez pas encore défini l’autorité MDM, suivez les étapes ci-dessous.For pre-1911 service release tenants, if you haven't yet set the MDM authority, follow the steps below.

  1. Dans le Centre d’administration Microsoft Endpoint Manager, sélectionnez la bannière orange pour ouvrir le paramètre Autorité de gestion des appareils mobiles.In the Microsoft Endpoint Manager admin center, select the orange banner to open the Mobile Device Management Authority setting. La bannière orange s’affiche seulement si vous n’avez pas encore défini l’autorité MDM.The orange banner is only displayed if you haven't yet set the MDM authority.
  2. Sous Autorité de gestion des appareils mobiles, choisissez votre autorité de gestion des appareils mobiles parmi les options suivantes :Under Mobile Device Management Authority, choose your MDM authority from the following options:
  • Autorité MDM IntuneIntune MDM Authority
  • AucunNone

Capture de l’écran Intune Définir l’autorité de gestion des appareils mobiles

Un message indique que vous avez défini Intune comme autorité de gestion des appareils mobiles.A message indicates that you have successfully set your MDM authority to Intune.

Flux de travail de l’interface utilisateur d’administration IntuneWorkflow of Intune Administration UI

Quand la gestion des appareils Android ou Apple est activée, Intune envoie des informations relatives aux appareils et aux utilisateurs pour s’intégrer à ces services tiers et gérer leurs appareils respectifs.When Android or Apple device management is enabled, Intune sends device and user information to integrate with these third-party services to manage their respective devices.

Voici quelques-uns des scénarios dans lesquels une fenêtre de consentement de partage des données s’affiche :Scenarios that add a consent to share data are included when:

  • Vous activez les profils professionnels Android.You enable Android work profiles.
  • Vous activez et chargez des certificats Push MDM Apple.You enable and upload Apple MDM push certificates.
  • Vous activez l’un des services Apple, notamment le Programme d’inscription des appareils (DEP), School Manager et le Programme d’achat en volume (VPP).You Enable any of the Apple services, such as Device Enrollment Program, School Manager, or Volume Purchasing Program.

Dans chaque cas, le consentement est strictement lié à l’exécution d’un service de gestion des appareils mobiles.In each case, the consent is strictly related to running a mobile device management service. Par exemple, confirmer qu’un administrateur informatique a autorisé des appareils Google ou Apple à s’inscrire.For example, confirming that an IT Admin has authorized Google or Apple devices to enroll. Pour savoir quelles informations seront partagées quand les nouveaux flux de travail entreront en vigueur, consultez la documentation suivante :Documentation to address what information is shared when the new workflows go live is available from the following locations:

Principales considérationsKey Considerations

Après le passage à la nouvelle autorité MDM, une période de transition (jusqu'à huit heures) peut survenir avant que l’appareil n’effectue l’archivage et ne se synchronise avec le service.After you switch to the new MDM authority, there will likely be transition time (up to eight hours) before the device checks in and synchronizes with the service. Il vous est demandé de configurer les paramètres de la nouvelle autorité GPM pour garantir que les appareils inscrits continueront d’être managés et protégés après le changement.You're required to configure settings in the new MDM authority to make sure enrolled devices will continue to be managed and protected after the change.

  • Les appareils doivent se connecter au service après le changement afin que les paramètres de la nouvelle autorité MDM (version autonome d’Intune) remplacent les paramètres existants sur l’appareil.Devices must connect with the service after the change so that the settings from the new MDM authority (Intune standalone) replace the existing settings on the device.
  • Une fois le changement d’autorité MDM effectué, certains des paramètres de base (comme les profils) de l’autorité MDM précédente restent sur l’appareil pendant sept jours ou jusqu’à ce que l’appareil se connecte au service pour la première fois.After you change the MDM authority, some of the basic settings (such as profiles) from the previous MDM authority will remain on the device for up to seven days or until the device connects to the service for the first time. Il est recommandé de configurer dès que possible les applications et les paramètres (stratégies, profils, applications, etc.) de la nouvelle autorité GPM et de déployer le paramètre sur les groupes d’utilisateurs contenant des utilisateurs qui ont des appareils inscrits existants.It's recommended that you configure apps and settings (like policies, profiles, and apps) in the new MDM authority as soon as possible and deploy the setting to the user groups that contains users who have existing enrolled devices. Dès qu’un appareil se connecte au service après le changement d’autorité MDM, il reçoit les nouveaux paramètres de la nouvelle autorité MDM, évitant ainsi toute interruption dans la gestion et la protection.As soon as a device connects to the service after the change in MDM authority, it will receive the new settings from the new MDM authority and prevent gaps in management and protection.
  • Les appareils qui n’ont pas d’utilisateurs associés (en général quand vous avez des scénarios Programme d’inscription des appareils iOS/iPadOS ou des scénarios d’inscription en bloc) ne sont pas migrés vers la nouvelle autorité GPM.Devices that don't have associated users (typically when you have iOS/iPadOS Device Enrollment Program or bulk enrollment scenarios) aren't migrated to the new MDM authority. Pour ces appareils, vous devez contacter le support afin d’obtenir de l’aide pour déplacer ces appareils vers la nouvelle autorité MDM.For those devices, you need to call support for assistance to move them to the new MDM authority.

CoexistenceCoexistence

L’activation de la coexistence vous permet d’utiliser Intune pour un nouvel ensemble d’utilisateurs tout en continuant à utiliser Mobilité et sécurité de base pour les utilisateurs existants.Enabling coexistence lets you use Intune for a new set of users while continuing to use Basic Mobility and Security for the existing users. Vous contrôlez les appareils managés par Intune par le biais de l’utilisateur.You control which devices are managed by Intune through the user. Si un utilisateur se voit attribuer une licence Intune ou utilise la cogestion Intune avec Configuration Manager, tous ses appareils inscrits sont gérés par Intune.If a user is assigned an Intune license or is using Intune co-management with Configuration Manager, then all their enrolled devices will be managed by Intune. Dans le cas contraire, l’utilisateur est managé par Mobilité et sécurité de base.Otherwise, the user is managed by Basic Mobility and Security.

Il existe trois étapes principales pour activer la coexistence :There are three major steps to enable coexistence:

  1. PréparationPreparation
  2. Ajouter une autorité GPM IntuneAdd Intune MDM authority
  3. Migration d’utilisateurs et d’appareils (facultatif).User and Device migration (optional).

PréparationPreparation

Avant d’activer la coexistence avec Mobilité et sécurité de base, tenez compte des points suivants :Before enabling coexistence with Basic Mobility and Security, consider the following points:

  • Assurez-vous que vous disposez de licences Intune suffisantes pour les utilisateurs que vous souhaitez manager par le biais d’Intune.Make sure you have sufficient Intune licenses for the users you intend to manage through Intune.
  • Examinez les utilisateurs auxquels sont attribuées des licences Intune.Review which users are assigned Intune licenses. Une fois que vous avez activé la coexistence, les appareils des utilisateurs auxquels une licence Intune est déjà attribuée passent à Intune.After you enable coexistence, any user already assigned an Intune license will have their devices switch to Intune. Pour éviter les commutations d’appareils inattendues, nous vous recommandons de ne pas attribuer de licences Intune avant toute activation de la coexistence.To avoid unexpected device switches, we recommend not assigning any Intune licenses until you've enabled coexistence.
  • Créez et déployez des stratégies Intune pour remplacer les stratégies de sécurité des appareils qui ont été déployées à l’origine via le portail Office 365 Security & Compliance.Create and deploy Intune policies to replace device security policies that were originally deployed through the Office 365 Security & Compliance portal. Ce remplacement doit être effectué pour tous les utilisateurs que vous prévoyez de passer de Mobilité et sécurité de base à Intune.This replacement should be done for any users you expect to move from Basic Mobility and Security to Intune. Si aucune stratégie Intune n’est attribuée à ces utilisateurs, l’activation de la coexistence peut entraîner la perte des paramètres de Mobilité et sécurité de base.If there are no Intune policies assigned to those users, enabling coexistence may cause them to lose Basic Mobility and Security settings. Ces paramètres seront perdus sans remplacement, comme les profils de messagerie managés.These settings will be lost without replacement, like managed email profiles. Même lors du remplacement des stratégies de sécurité des appareils par des stratégies Intune, les utilisateurs peuvent être invités à authentifier à nouveau leurs profils d’adresse e-mail une fois l’appareil déplacé vers la gestion Intune.Even when replacing device security policies with Intune policies, users may be prompted to re-authenticate their email profiles after the device is moved to Intune management.

Ajouter une autorité GPM IntuneAdd Intune MDM authority

Pour activer la coexistence, vous devez ajouter Intune en tant qu’autorité GPM pour votre environnement :To enable coexistence, you must add Intune as the MDM authority for your environment:

  1. Connectez-vous à endpoint.microsoft.com avec les droits d’administrateur de service Global ou Intune Azure AD.Sign in to endpoint.microsoft.com with Azure AD Global or Intune service administrator rights.
  2. Accédez à Appareils.Navigate to Devices.
  3. Le panneau Ajouter une autorité GPM s’affiche.The Add MDM Authority blade displays.
  4. Pour basculer l’autorité GPM de Office 365 à Intune et activer la coexistence, sélectionnez Autorité GPM Intune > Ajouter.To switch the MDM authority from Office 365 to Intune and enables coexistence, select Intune MDM Authority > Add. Capture d’écran de l’écran Ajouter une autorité GPMScreenshot of Add MDM Authority screen

Migrer des utilisateurs et des appareils (facultatif)Migrate users and devices (optional)

Une fois l’autorité GPM Intune activée, la coexistence est activée et vous pouvez commencer à manager les utilisateurs par le biais d’Intune.After the Intune MDM authority is enabled, coexistence is activated and you can begin managing users through Intune. Éventuellement, si vous souhaitez déplacer des appareils précédemment managés par la Mobilité et sécurité de base afin qu’ils soient managés par Intune, attribuez à ces utilisateurs une licence Intune.Optionally, if you want to move devices previously managed by Basic Mobility and Security to be managed by Intune, assign those users an Intune license. Les appareils des utilisateurs basculeront vers Intune lors de leur prochain check-in GPM.The users' devices will switch to Intune on their next MDM check-in. Les paramètres appliqués à ces appareils via Mobilité et sécurité de base ne seront plus appliqués et seront supprimés des appareils.Settings applied to these devices through Basic Mobility and Security will no longer be applied and will be removed from the devices.

Nettoyage de l’appareil mobile après expiration du certificat MDMMobile device cleanup after MDM certificate expiration

Le certificat MDM est renouvelé automatiquement lorsque les appareils mobiles communiquent avec le service Intune.The MDM certificate is renewed automatically when mobile devices are communicating with the Intune service. Si des appareils mobiles sont effacés ou ne parviennent pas à communiquer avec le service Intune pendant un certain temps, le certificat GPM n’est pas renouvelé.If mobile devices are wiped, or they fail to communicate with the Intune service for some period of time, the MDM certificate won't get renewed. L’appareil est supprimé du portail Azure 180 jours après l’expiration du certificat MDM.The device is removed from the Azure portal 180 days after the MDM certificate expires.

Supprimer l’autorité MDMRemove MDM authority

L’autorité MDM ne peut pas être rétablie à Inconnu.The MDM authority can't be changed back to Unknown. L’autorité MDM est utilisée par le service pour déterminer à quel portail se rapportent les appareils inscrits (Microsoft Intune ou Mobilité et sécurité de base pour Microsoft 365).The MDM authority is used by the service to determine which portal enrolled devices report to (Microsoft Intune or Basic Mobility and Security for Microsoft 365).

Ce qui se passe après un changement de l’autorité MDMWhat to expect after changing the MDM authority

  • Quand le service Intune détecte que l’autorité GPM d’un locataire a changé, il envoie un message de notification à tous les appareils inscrits pour qu’ils s’enregistrent et se synchronisent avec le service (cette notification a lieu en dehors de l’enregistrement régulier planifié).When the Intune service detects that a tenant's MDM authority has changed, it sends out a notification message to all the enrolled devices to check in and synchronize with the service (this notification is outside of the regularly scheduled check-in). Par conséquent, une fois que l’autorité MDM du locataire de la version autonome d’Intune a été modifiée, tous les appareils sous tension et en ligne se connecteront au service, recevront la nouvelle autorité MDM et seront désormais managés par la nouvelle autorité MDM.Therefore, after the MDM authority for the tenant has been changed from Intune standalone, all the devices that are powered on and online will connect with the service, receive the new MDM authority, and be managed by the new MDM authority. Il n’y a aucune interruption au niveau de la gestion et de la protection de ces appareils.There's no interruption to the management and protection of these devices.
  • Même si les appareils sont sous tension et en ligne pendant (ou juste après) le changement d’autorité MDM, un délai de huit heures maximum s’écoulera (selon l’heure du prochain enregistrement normal planifié) avant que les appareils soient inscrits auprès du service sous la nouvelle autorité MDM.Even for devices that are powered on and online during (or shortly after) the change in MDM authority, there will be a delay of up to eight hours (depending on the timing of the next scheduled regular check-in) before devices are registered with the service under the new MDM authority.

Important

Entre le moment où vous changez l’autorité MDM et celui où le certificat APNS renouvelé est chargé dans la nouvelle autorité, les inscriptions de nouveaux appareils et le check-in des appareils iOS/iPadOS échouent.Between the time when you change the MDM authority and when the renewed APNs certificate is uploaded to the new authority, new device enrollments and device check-in for iOS/iPadOS devices fail. Par conséquent, il est important de passer en revue et de charger le certificat APNs dans la nouvelle autorité dès que possible après le changement d’autorité GPM.Therefore, it's important that you review and upload the APNs certificate to the new authority as soon as possible after the change in MDM authority.

  • Les utilisateurs peuvent rapidement basculer vers la nouvelle autorité MDM en lançant manuellement un enregistrement de l’appareil vers le service.Users can quickly change to the new MDM authority by manually starting a check-in from the device to the service. Les utilisateurs peuvent facilement effectuer cette modification à l’aide de l’application du Portail d’entreprise, en démarrant une vérification de conformité d’appareil.Users can easily make this change by using the Company Portal app and starting a device compliance check.
  • Pour confirmer que tout fonctionne correctement une fois les appareils enregistrés et synchronisés avec le service après le changement d’autorité MDM, recherchez les appareils dans la nouvelle autorité MDM.To validate that things are working correctly after devices have checked-in and synchronized with the service after the change in MDM authority, look for the devices in the new MDM authority.
  • Il existe une période temporaire pendant laquelle un appareil est hors ligne lors du changement d’autorité GPM et lorsque cet appareil s’enregistre auprès du service.There's an interim period when a device is offline during the change in MDM authority and when that device checks in to the service. Pour que l’appareil reste protégé et opérationnel pendant cet intervalle, les profils suivants restent dessus pendant sept jours maximum (ou jusqu’à ce que l’appareil se connecte à la nouvelle autorité MDM et reçoive les nouveaux paramètres qui remplacent les paramètres existants) :To help ensure that the device remains protected and functional during this interim period, the following profiles remain on the device for up to seven days (or until the device connects with the new MDM authority and receives new settings that overwrite the existing ones):
    • Profil de messagerieE-mail profile
    • Profil VPNVPN profile
    • Profil de certificatCert profile
    • Profil Wi-FiWi-Fi profile
    • Profils de configurationConfiguration profiles
  • Après la sélection de la nouvelle autorité MDM, une semaine peut être nécessaire avant que les données de conformité s’affichent correctement dans la console d’administration Microsoft Intune.After you change to the new MDM authority, the compliance data in the Microsoft Intune administration console can take up to a week to accurately report. Cependant, les états de conformité dans Azure Active Directory et sur l’appareil restent corrects et l’appareil est ainsi toujours protégé.However, the compliance states in Azure Active Directory and on the device will be accurate so the device is still be protected.
  • Vérifiez que les nouveaux paramètres destinés à remplacer les paramètres existants portent le même nom que les précédents pour s’assurer que les anciens paramètres sont remplacés.Make sure the new settings that are intended to overwrite existing settings have the same name as the previous ones to ensure that the old settings are overwritten. Sinon, les appareils risquent de contenir des stratégies et des profils redondants.Otherwise, the devices might end up with redundant profiles and policies.

Conseil

Il est recommandé de créer tous les paramètres de gestion et toutes les configurations, ainsi que les déploiements, peu de temps après le changement d’autorité MDM.As a best practice, you should create all management settings and configurations, as well as deployments, shortly after the change to the MDM authority has completed. Ceci permet de garantir que les appareils sont protégés et activement gérés pendant la période temporaire.This helps ensure that devices are protected and actively managed during the interim period.

  • Après avoir modifié l’autorité MDM, procédez comme suit pour confirmer que les nouveaux appareils sont inscrits correctement auprès de la nouvelle autorité :After you change the MDM authority, perform the following steps to validate that new devices are enrolled successfully to the new authority:
  • Inscrire un nouvel appareilEnroll a new device
  • Assurez-vous que l’appareil qui vient d’être inscrit s’affiche dans la nouvelle autorité MDM.Make sure the newly enrolled device shows up in the new MDM authority.
  • Effectuez une action, par exemple un verrouillage à distance, à partir de la console d’administration sur l’appareil.Perform an action, such as Remote Lock, from the administration console to the device. En cas de succès, l’appareil est géré par la nouvelle autorité MDM.If it's successful, the device is being managed by the new MDM authority.
  • Si vous rencontrez des problèmes avec des appareils spécifiques, vous pouvez annuler l’inscription puis réinscrire ces appareils pour les connecter à la nouvelle autorité et les gérer dès que possible.If you have issues with specific devices, you can unenroll and reenroll the devices to get them connected to the new authority and managed as quickly as possible.

Étapes suivantesNext steps

Une fois l’autorité MDM définie, vous pouvez commencer à inscrire des appareils.With the MDM authority set, you can start enrolling devices.