Définir l’autorité de gestion des appareils mobiles

Le paramètre d’autorité de gestion des appareils mobiles (MDM) détermine la façon dont vous gérez vos appareils. En tant qu’administrateur informatique, vous devez définir une autorité de gestion des appareils mobiles (MDM) avant que les utilisateurs puissent inscrire des appareils pour la gestion.

Les configurations possibles sont les suivantes :

  • Intune autonome : gestion cloud uniquement, que vous configurez à l’aide du portail Azure. Inclut l’ensemble complet de fonctionnalités d’Intune. Configurez l’autorité MDM dans la console Intune.

  • Cogestion Intune : intégration de la solution cloud Intune à Configuration Manager pour les appareils Windows 10. Vous configurez Intune à l’aide de la console Configuration Manager. Configurer l’inscription automatique des appareils à Intune.

  • Mobilité et sécurité de base pour Microsoft 365 : si vous avez cette configuration activée, l’autorité MDM est définie sur « Office 365 ». Si vous souhaitez commencer à utiliser Intune, vous devez acheter des licences Intune.

  • Coexistence de Mobilité et sécurité de base pour Microsoft 365 : vous pouvez ajouter Intune à votre locataire si vous utilisez déjà Mobilité et sécurité de base pour Microsoft 365 et si vous définissez l’autorité de gestion sur Intune ou Mobilité et sécurité de base pour Microsoft 365 pour chaque utilisateur afin de déterminer quel service sera utilisé pour gérer les appareils inscrits à MDM. L’autorité de gestion de chaque utilisateur est définie en fonction de la licence qui leur est attribuée : Si l’utilisateur ne dispose que d’une licence Microsoft 365 Basic ou Standard, ses appareils sont gérés par Mobilité et sécurité de base pour Microsoft 365. Si l’utilisateur dispose d’une licence Intune, ses appareils sont gérés par Intune. Si vous ajoutez une licence Intune à un utilisateur auparavant géré par Mobilité et sécurité de base pour Microsoft 365, ses appareils passent à une gestion Intune. Avant de faire passer les utilisateurs à Intune, veillez à ce que des configurations Intune leur soient affectées de façon à remplacer Mobilité et sécurité de base pour Microsoft 365. À défaut, leurs appareils perdront la configuration Mobilité et sécurité de base pour Microsoft 365 et ne recevront aucun remplacement d’Intune.

Définir l'autorité MDM sur Intune

Pour les locataires utilisant la version 1911 du service et des versions ultérieures, l’autorité MDM est automatiquement définie sur Intune.

Pour les locataires utilisant une version du service antérieure à 1911, si vous n’avez pas encore défini l’autorité MDM, suivez les étapes ci-dessous.

  1. Dans le Centre d’administration Microsoft Endpoint Manager, sélectionnez la bannière orange pour ouvrir le paramètre Autorité de gestion des appareils mobiles. La bannière orange s’affiche seulement si vous n’avez pas encore défini l’autorité MDM.
  2. Sous Autorité de gestion des appareils mobiles, choisissez votre autorité de gestion des appareils mobiles parmi les options suivantes :
  • Autorité MDM Intune
  • Aucun

Capture de l’écran Intune Définir l’autorité de gestion des appareils mobiles

Un message indique que vous avez défini Intune comme autorité de gestion des appareils mobiles.

Flux de travail de l’interface utilisateur d’administration Intune

Quand la gestion des appareils Android ou Apple est activée, Intune envoie des informations relatives aux appareils et aux utilisateurs pour s’intégrer à ces services tiers et gérer leurs appareils respectifs.

Voici quelques-uns des scénarios dans lesquels une fenêtre de consentement de partage des données s’affiche :

  • Vous activez les profils professionnels Android Enterprise appartenant à l’utilisateur ou appartenant à l’entreprise.
  • Vous activez et chargez des certificats Push MDM Apple.
  • Vous activez l’un des services Apple, notamment le Programme d’inscription des appareils (DEP), School Manager et le Programme d’achat en volume (VPP).

Dans chaque cas, le consentement est strictement lié à l’exécution d’un service de gestion des appareils mobiles. Par exemple, confirmer qu’un administrateur informatique a autorisé des appareils Google ou Apple à s’inscrire. Pour savoir quelles informations seront partagées quand les nouveaux flux de travail entreront en vigueur, consultez la documentation suivante :

Principales considérations

Après le passage à la nouvelle autorité MDM, une période de transition (jusqu'à huit heures) peut survenir avant que l’appareil n’effectue l’archivage et ne se synchronise avec le service. Il vous est demandé de configurer les paramètres de la nouvelle autorité GPM pour garantir que les appareils inscrits continueront d’être managés et protégés après le changement.

  • Les appareils doivent se connecter au service après le changement afin que les paramètres de la nouvelle autorité MDM (version autonome d’Intune) remplacent les paramètres existants sur l’appareil.
  • Une fois le changement d’autorité MDM effectué, certains des paramètres de base (comme les profils) de l’autorité MDM précédente restent sur l’appareil pendant sept jours ou jusqu’à ce que l’appareil se connecte au service pour la première fois. Il est recommandé de configurer dès que possible les applications et les paramètres (stratégies, profils, applications, etc.) de la nouvelle autorité GPM et de déployer le paramètre sur les groupes d’utilisateurs contenant des utilisateurs qui ont des appareils inscrits existants. Dès qu’un appareil se connecte au service après le changement d’autorité MDM, il reçoit les nouveaux paramètres de la nouvelle autorité MDM, évitant ainsi toute interruption dans la gestion et la protection.
  • Les appareils qui n’ont pas d’utilisateurs associés (en général quand vous avez des scénarios Programme d’inscription des appareils iOS/iPadOS ou des scénarios d’inscription en bloc) ne sont pas migrés vers la nouvelle autorité GPM. Pour ces appareils, vous devez contacter le support afin d’obtenir de l’aide pour déplacer ces appareils vers la nouvelle autorité MDM.

Coexistence

L’activation de la coexistence vous permet d’utiliser Intune pour un nouvel ensemble d’utilisateurs tout en continuant à utiliser Mobilité et sécurité de base pour les utilisateurs existants. Vous contrôlez les appareils managés par Intune par le biais de l’utilisateur. Si un utilisateur se voit attribuer une licence Intune ou utilise la cogestion Intune avec Configuration Manager, tous ses appareils inscrits sont gérés par Intune. Dans le cas contraire, l’utilisateur est managé par Mobilité et sécurité de base.

Il existe trois étapes principales pour activer la coexistence :

  1. Préparation
  2. Ajouter une autorité GPM Intune
  3. Migration d’utilisateurs et d’appareils (facultatif).

Préparation

Avant d’activer la coexistence avec Mobilité et sécurité de base, tenez compte des points suivants :

  • Assurez-vous que vous disposez de licences Intune suffisantes pour les utilisateurs que vous souhaitez manager par le biais d’Intune.
  • Examinez les utilisateurs auxquels sont attribuées des licences Intune. Une fois que vous avez activé la coexistence, les appareils des utilisateurs auxquels une licence Intune est déjà attribuée passent à Intune. Pour éviter les commutations d’appareils inattendues, nous vous recommandons de ne pas attribuer de licences Intune avant toute activation de la coexistence.
  • Créez et déployez des stratégies Intune pour remplacer les stratégies de sécurité des appareils qui ont été déployées à l’origine via le portail Office 365 Security & Compliance. Ce remplacement doit être effectué pour tous les utilisateurs que vous prévoyez de passer de Mobilité et sécurité de base à Intune. Si aucune stratégie Intune n’est attribuée à ces utilisateurs, l’activation de la coexistence peut entraîner la perte des paramètres de Mobilité et sécurité de base. Ces paramètres seront perdus sans remplacement, comme les profils de messagerie managés. Même lors du remplacement des stratégies de sécurité des appareils par des stratégies Intune, les utilisateurs peuvent être invités à authentifier à nouveau leurs profils d’adresse e-mail une fois l’appareil déplacé vers la gestion Intune.

Ajouter une autorité GPM Intune

Pour activer la coexistence, vous devez ajouter Intune en tant qu’autorité GPM pour votre environnement :

  1. Connectez-vous au Centre d’administration Microsoft Endpoint Manager avec des droits d’administrateur général ou d’administrateur de service Intune Azure AD.
  2. Accédez à Appareils.
  3. Le panneau Ajouter une autorité GPM s’affiche.
  4. Pour basculer l’autorité MDM de Office 365 à Intune et activer la coexistence, sélectionnez Autorité MDM Intune > Ajouter. Capture d’écran de l’écran Ajouter une autorité GPM

Migrer des utilisateurs et des appareils (facultatif)

Une fois l’autorité GPM Intune activée, la coexistence est activée et vous pouvez commencer à manager les utilisateurs par le biais d’Intune. Éventuellement, si vous souhaitez déplacer des appareils précédemment managés par la Mobilité et sécurité de base afin qu’ils soient managés par Intune, attribuez à ces utilisateurs une licence Intune. Les appareils des utilisateurs basculeront vers Intune lors de leur prochain check-in GPM. Les paramètres appliqués à ces appareils via Mobilité et sécurité de base ne seront plus appliqués et seront supprimés des appareils.

Nettoyage de l’appareil mobile après expiration du certificat MDM

Le certificat MDM est renouvelé automatiquement lorsque les appareils mobiles communiquent avec le service Intune. Si des appareils mobiles sont effacés ou ne parviennent pas à communiquer avec le service Intune pendant un certain temps, le certificat GPM n’est pas renouvelé. L’appareil est supprimé du portail Azure 180 jours après l’expiration du certificat MDM.

Supprimer l’autorité MDM

L’autorité MDM ne peut pas être rétablie à Inconnu. L’autorité MDM est utilisée par le service pour déterminer à quel portail se rapportent les appareils inscrits (Microsoft Intune ou Mobilité et sécurité de base pour Microsoft 365).

Ce qui se passe après un changement de l’autorité MDM

  • Quand le service Intune détecte que l’autorité GPM d’un locataire a changé, il envoie un message de notification à tous les appareils inscrits pour qu’ils s’enregistrent et se synchronisent avec le service (cette notification a lieu en dehors de l’enregistrement régulier planifié). Par conséquent, une fois que l’autorité MDM du locataire de la version autonome d’Intune a été modifiée, tous les appareils sous tension et en ligne se connecteront au service, recevront la nouvelle autorité MDM et seront désormais managés par la nouvelle autorité MDM. Il n’y a aucune interruption au niveau de la gestion et de la protection de ces appareils.
  • Même si les appareils sont sous tension et en ligne pendant (ou juste après) le changement d’autorité MDM, un délai de huit heures maximum s’écoulera (selon l’heure du prochain enregistrement normal planifié) avant que les appareils soient inscrits auprès du service sous la nouvelle autorité MDM.

Important

Entre le moment où vous changez l’autorité MDM et celui où le certificat APNS renouvelé est chargé dans la nouvelle autorité, les inscriptions de nouveaux appareils et le check-in des appareils iOS/iPadOS échouent. Par conséquent, il est important de passer en revue et de charger le certificat APNs dans la nouvelle autorité dès que possible après le changement d’autorité GPM.

  • Les utilisateurs peuvent rapidement basculer vers la nouvelle autorité MDM en lançant manuellement un enregistrement de l’appareil vers le service. Les utilisateurs peuvent facilement effectuer cette modification à l’aide de l’application du Portail d’entreprise, en démarrant une vérification de conformité d’appareil.
  • Pour confirmer que tout fonctionne correctement une fois les appareils enregistrés et synchronisés avec le service après le changement d’autorité MDM, recherchez les appareils dans la nouvelle autorité MDM.
  • Il existe une période temporaire pendant laquelle un appareil est hors ligne lors du changement d’autorité GPM et lorsque cet appareil s’enregistre auprès du service. Pour que l’appareil reste protégé et opérationnel pendant cet intervalle, les profils suivants restent dessus pendant sept jours maximum (ou jusqu’à ce que l’appareil se connecte à la nouvelle autorité MDM et reçoive les nouveaux paramètres qui remplacent les paramètres existants) :
    • Profil de messagerie
    • Profil VPN
    • Profil de certificat
    • Profil Wi-Fi
    • Profils de configuration
  • Après la sélection de la nouvelle autorité MDM, une semaine peut être nécessaire avant que les données de conformité s’affichent correctement dans la console d’administration Microsoft Intune. Cependant, les états de conformité dans Azure Active Directory et sur l’appareil restent corrects et l’appareil est ainsi toujours protégé.
  • Vérifiez que les nouveaux paramètres destinés à remplacer les paramètres existants portent le même nom que les précédents pour s’assurer que les anciens paramètres sont remplacés. Sinon, les appareils risquent de contenir des stratégies et des profils redondants.

Conseil

Il est recommandé de créer tous les paramètres de gestion et toutes les configurations, ainsi que les déploiements, peu de temps après le changement d’autorité MDM. Ceci permet de garantir que les appareils sont protégés et activement gérés pendant la période temporaire.

  • Après avoir modifié l’autorité MDM, procédez comme suit pour confirmer que les nouveaux appareils sont inscrits correctement auprès de la nouvelle autorité :
    • Inscrire un nouvel appareil
    • Assurez-vous que l’appareil qui vient d’être inscrit s’affiche dans la nouvelle autorité MDM.
    • Effectuez une action, par exemple un verrouillage à distance, à partir de la console d’administration sur l’appareil. En cas de succès, l’appareil est géré par la nouvelle autorité MDM.
  • Si vous rencontrez des problèmes avec des appareils spécifiques, vous pouvez annuler l’inscription puis réinscrire ces appareils pour les connecter à la nouvelle autorité et les gérer dès que possible.

Étapes suivantes

Une fois l’autorité MDM définie, vous pouvez commencer à inscrire des appareils.