Configurer l’inscription des appareils iOS/iPad avec Apple Configurator

Intune prend en charge l’inscription d’appareils iOS/iPadOS avec Apple Configurator sur un ordinateur Mac. Il est nécessaire de relier chacun des appareils iOS/iPadOS à un ordinateur Mac par câble USB pour configurer l’inscription d’entreprise. Vous pouvez inscrire des appareils sur Intune avec Apple Configurator de deux manières :

  • Inscription de l’Assistant Configuration : réinitialise l’appareil et le prépare à l’inscription avec l’Assistant Configuration.
  • Inscription directe : ne réinitialise pas l’appareil et l’inscrit via les paramètres iOS/iPadOS. Cette méthode prend seulement en charge les appareils sans affinité utilisateur.

Vous ne pouvez pas utiliser les méthodes d’inscription Apple Configurator avec le gestionnaire d’inscription d’appareil.

Certificats

L’inscription Apple Configurator prend en charge le protocole ACME (Automated Certificate Management Environment). Lorsque de nouveaux appareils s’inscrivent, le profil de gestion sur l’appareil reçoit un certificat ACME. Le protocole ACME offre une meilleure protection que le protocole SCEP contre l’émission de certificats non autorisés par le biais de mécanismes de validation robustes et de processus automatisés, ce qui permet de réduire les erreurs dans la gestion des certificats.

Les appareils déjà inscrits n’obtiennent pas de certificat ACME, sauf s’ils s’inscrivent à nouveau dans Microsoft Intune. ACME est pris en charge sur les appareils exécutant :

  • iOS 16.0 ou version ultérieure

  • iPadOS 16.1 ou version ultérieure

Configuration requise

Créer un profil Apple Configurator pour les appareils

Un profil d’inscription d’appareil définit les paramètres appliqués durant l’inscription. Ces paramètres ne sont appliqués qu’une seule fois. Suivez ces étapes pour créer un profil d’inscription en vue d’inscrire des appareils iOS/iPadOS avec Apple Configurator.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Inscription des appareils>.

  3. Sélectionnez l’onglet Apple.

  4. Sous Méthodes d’inscription en bloc, sélectionnez Apple Configurator.

  5. Accédez à Créer des profils>.

  6. Sous Créer un profil d’inscription, sous l’onglet Informations de base , tapez un nom et une description pour le profil. Les utilisateurs ne voient pas ces détails. Vous pouvez utiliser le nom pour créer un groupe dynamique dans l’ID Microsoft Entra. Utilisez le nom du profil pour définir le paramètre enrollmentProfileName et attribuer des appareils avec ce profil d’inscription. Pour plus d’informations sur la création d’un groupe dynamique avec des règles, consultez Créer une règle d’appartenance à un groupe.
    Capture d’écran du volet de création de profil d’inscription, avec sélection de l’onglet Informations de base.

  7. Sélectionnez Suivant pour accéder à la page Paramètres .

  8. Pour Affinité utilisateur, indiquez si les appareils possédant ce profil doivent être inscrits avec ou sans utilisateur attribué.

    • Inscrire avec affinité utilisateur : choisissez cette option pour les appareils qui appartiennent à des utilisateurs et qui veulent utiliser le Portail d’entreprise pour des services comme l’installation d’applications. L’appareil doit être affilié à un utilisateur avec l’Assistant Configuration. Il pourra alors accéder aux données et à la messagerie de l’entreprise. Prise en charge seulement pour l’inscription de l’Assistant Configuration. L’affinité utilisateur nécessite un point de terminaison WS-Trust 1.3 Username/Mixed. En savoir plus.

    • Inscrire sans affinité utilisateur : choisissez cette option pour les appareils non affiliés à un seul utilisateur. Utilisez cette option pour les appareils qui effectuent des tâches sans accéder aux données de l’utilisateur local. Les applications qui nécessitent l’affiliation d’un utilisateur (y compris l’application Portail d’entreprise utilisée pour l’installation des applications métier) ne fonctionneront pas. Obligatoire pour l’inscription directe.

    Remarque

    Lorsque Inscrire avec l’affinité utilisateur est sélectionné, assurez-vous que l’appareil est affilié à un utilisateur avec l’Assistant Configuration dans les 24 heures qui suivent l’inscription de l’appareil. Sinon, l'inscription risque d'échouer et une réinitialisation d'usine sera nécessaire pour inscrire l'appareil.

  9. Si vous avez choisi Inscrire avec affinité utilisateur, vous avez la possibilité d’autoriser les utilisateurs à s’authentifier avec le Portail d’entreprise au lieu de l’Assistant Configuration Apple.

    Remarque

    Si vous souhaitez effectuer l’une des options suivantes, définissez S’authentifier avec le portail d’entreprise au lieu de l’Assistant Configuration Apple sur Oui.

    • utiliser l’authentification multifacteur
    • inviter les utilisateurs à changer leur mot de passe lors de leur première connexion
    • demander aux utilisateurs de réinitialiser leurs mots de passe arrivés à expiration lors de l’inscription

    Ces fonctionnalités ne sont pas prises en charge lors de l’authentification avec l’Assistant Configuration Apple.

  10. Sélectionnez Créer pour enregistrer le profil.

Limitations connues

L’inscription auprès d’Apple Configuration présente les limitations suivantes :

  • Le fichier csv peut avoir jusqu’à 5 000 appareils.
  • Le nombre total d’appareils, qui inclut les appareils répertoriés dans le fichier csv et les appareils Apple Configurator déjà dans Intune, ne peut pas dépasser 75 000.

Inscription Assistant Configuration

Ajouter des numéros de série Apple Configurator

  1. Dans un éditeur de texte, créez une liste de valeurs séparées par des virgules (.csv) sans en-tête. Ajoutez le numéro de série dans la colonne de gauche et les détails de l’appareil dans la colonne de droite, au format suivant :

    Serial number,device details

    Vous pouvez inclure n’importe quel type de détails sur l’appareil. Par exemple :

    F7TLWCLBX196,iPad Air (5th generation) - Blue

    Le maximum actuel pour la liste est de 5 000 lignes. Pour plus d’informations sur la recherche d’un numéro de série d’appareil iOS/iPadOS, consultez Rechercher le numéro de série ou IMEI sur votre iPhone, iPad ou iPod touch (ouvre le site web du support Apple).

  2. Connectez-vous au Centre d’administration Microsoft Intune.

  3. Accédez à Inscription des appareils>.

  4. Sélectionnez l’onglet Apple.

  5. Sous Méthodes d’inscription en bloc, sélectionnez Apple Configurator.

  6. Sélectionnez Appareils>Ajouter.

  7. Sélectionnez un Profil d’inscription à appliquer aux numéros de série que vous importez. Si vous souhaitez que le nouveau numéro de série remplace toutes les informations existantes, choisissez Remplacer les informations des identificateurs existants.

  8. Sous Importer des appareils, accédez au fichier CSV de numéros de série, puis sélectionnez Ajouter.

Réaffecter un profil à des numéros de série d’appareils

Il est possible d’attribuer un profil d’inscription en important des numéros de série iOS/iPadOS dans le cadre de l’inscription Apple Configurator. L’attribution de profils peut également se faire à deux endroits différents du Portail Azure :

  • Appareils Apple Configurator
  • Profils AC

Affecter un profil à partir d’appareils Apple Configurator

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.
  2. Sélectionnez l’onglet Apple.
  3. Sous Méthodes d’inscription en bloc, sélectionnez Apple Configurator.
  4. Sélectionnez Appareils. Sélectionnez ensuite un numéro de série.
  5. Choisissez Attribuer un profil.
  6. Sous Attribuer un profil, sélectionnez le nouveau profil que vous souhaitez attribuer, puis choisissez Attribuer.

Affecter à partir de profils

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Accédez à Inscription des appareils>.
  3. Sélectionnez l’onglet Apple.
  4. Sous Méthodes d’inscription en bloc, sélectionnez Apple Configurator.
  5. Accédez à Profils. Choisissez un profil.
  6. Dans le profil, sélectionnez Appareils affectés. Sélectionnez ensuite Affecter.
  7. Filtrez pour rechercher les numéros de série d’appareils que vous souhaitez affecter au profil. Sélectionnez ensuite les appareils, puis choisissez Attribuer.

Exporter le profil

Une fois que vous avez créé le profil et affecté des numéros de série, vous devez exporter le profil d’Intune comme URL. Ensuite, importez-le dans Apple Configurator sur un Mac pour le déployer sur des appareils.

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.

  2. Sélectionnez l’onglet Apple.

  3. Sous Méthodes d’inscription en bloc, sélectionnez Apple Configurator.

  4. Accédez à Profils. Choisissez un profil à exporter.

  5. Sélectionnez Exporter le profil.

  6. Copiez l’URL du profil. Vous pourrez l’ajouter dans Apple Configurator pour définir le profil Intune utilisé par les appareils iOS/iPadOS.

    Ensuite, importez ce profil dans Apple Configurator au cours de la procédure suivante pour définir le profil Intune utilisé par les appareils iOS/iPadOS.

Inscrire des appareils avec l’Assistant Configuration

  1. Sur un ordinateur Mac, ouvrez Apple Configurator 2. Dans la barre de menus, choisissez Apple Configurator 2, puis cliquez sur Préférences.

    Avertissement

    Les appareils sont réinitialisés aux paramètres d’usine durant le processus d’inscription. En guise de bonne pratique, vous devez réinitialiser l’appareil et l’allumer. Les appareils doivent afficher l’écran Hello quand vous les connectez. Si l'appareil était déjà enregistré auprès du compte d’ID Apple, il doit être supprimé d'iCloud Apple avant de lancer le processus d'inscription. Le message d’erreur affiche « Unable to activate [Device name] (Impossible d’activer [Nom de l'appareil]) ».

  2. Dans le volet Préférences, sélectionnez Serveurs et cliquez sur le symbole plus (« + ») pour lancer l’Assistant de serveur MDM. Cliquez sur Suivant.

  3. Entrez les informations Nom d’hôte ou URL et URL d’inscription du serveur MDM sous Inscription Assistant Configuration pour les appareils iOS/iPadOS avec Microsoft Intune. Pour l’URL d’inscription, entrez l’URL du profil d’inscription exporté depuis Intune. Cliquez sur Suivant.
    Vous pouvez ignorer en toute sécurité un avertissement indiquant « l’URL du serveur n’est pas vérifiée ». Pour continuer, choisissez Suivant jusqu’à ce que l’Assistant soit terminé.

  4. Reliez les appareils mobiles iOS/iPadOS à l’ordinateur Mac avec un adaptateur USB.

  5. Sélectionnez les appareils iOS/iPadOS que vous voulez gérer, puis choisissez Préparer. Dans le volet Préparer l’appareil iOS/iPadOS, sélectionnez Manuel, puis Suivant.

  6. Dans le panneau Inscription dans un serveur MDM, sélectionnez le nom du serveur que vous avez créé, puis cliquez sur Suivant.

  7. Dans le volet Surveiller les appareils, sélectionnez le niveau de surveillance, puis cliquez sur Suivant.

  8. Dans le panneau Créer une organisation, choisissez l’organisation ou créez-en une, puis cliquez sur Suivant.

  9. Dans le panneau Configurer l’Assistant Configuration iOS/iPadOS, choisissez les étapes à présenter à l’utilisateur, puis sélectionnez Préparer. Si vous y êtes invité, authentifiez-vous pour mettre à jour les paramètres d’approbation.

  10. Une fois la préparation de l’appareil iOS/iPadOS terminée, déconnectez le câble USB.

Distribuer les appareils

Les appareils sont désormais prêts pour l’inscription d’entreprise. Éteignez les appareils et distribuez-les aux utilisateurs. Quand les utilisateurs allument leur appareil, l’Assistant Configuration démarre.

Après avoir reçu leur appareil, les utilisateurs doivent exécuter l’Assistant Configuration. Des appareils configurés avec une affinité utilisateur peuvent installer et exécuter l’application Portail d’entreprise pour télécharger des applications et gérer des appareils.

Inscription directe

Quand vous inscrivez directement des appareils iOS/iPadOS avec Apple Configurator, vous n’avez pas besoin de récupérer leur numéro de série. Vous pouvez également nommer l’appareil à des fins d’identification avant qu’Intune capture son nom lors de l’inscription. L’application Portail d’entreprise n’est pas prise en charge pour les appareils inscrits directement. Cette méthode ne réinitialise pas l’appareil.

Vous ne pouvez pas installer d’applications nécessitant l’affiliation de l’utilisateur (notamment l’application Portail d’entreprise utilisée pour installer des applications métier).

Exportation du profil en tant que fichier .mobileconfig sur les appareils iOS/iPadOS

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Inscription.

  2. Sélectionnez l’onglet Apple.

  3. Sous Méthodes d’inscription en bloc, sélectionnez Apple Configurator.

  4. Accédez à Profils. Choisissez un profil à exporter.

  5. Sélectionnez Exporter le profil.

  6. Copiez l’URL du profil. Vous pourrez l’ajouter dans Apple Configurator pour définir le profil Intune utilisé par les appareils iOS/iPadOS.

  7. Sous Inscription directe, choisissez Télécharger le profil et enregistrez le fichier. Un fichier de profil d’inscription n’est valide que pendant deux semaines. Au bout de cette période, vous devez le recréer.

  8. Transférez le fichier sur un ordinateur Mac exécutant Apple Configurator pour l’envoyer directement comme profil de gestion sur les appareils iOS/iPadOS.

  9. Préparez l’appareil avec Apple Configurator en suivant les étapes ci-dessous :

    1. Sur un ordinateur Mac, ouvrez Apple Configurator 2.0.

    2. Reliez l’appareil iOS/iPadOS à l’ordinateur Mac par câble USB. Fermez Photos, iTunes et toutes les autres applications qui s’ouvrent quand l’appareil est détecté.

    3. Dans Apple Configurator, choisissez l’appareil iOS/iPadOS connecté, puis cliquez sur le bouton Ajouter. Les options qui peuvent être ajoutées à l’appareil s’affichent dans la liste déroulante. Choisissez Profils.

      Capture d’écran Exporter le profil pour l’inscription de l’Assistant Installation avec l’URL du profil mise en surbrillance

    4. Utilisez le sélecteur de fichiers pour sélectionner le fichier .mobileconfig que vous avez exporté à partir d’Intune, puis choisissez Ajouter. Le profil est ajouté à l’appareil. Si l’appareil est Non supervisé, l’installation doit être acceptée sur l’appareil.

  10. Suivez les étapes ci-dessous pour installer le profil sur l’appareil iOS/iPadOS. L’appareil doit avoir terminé l’Assistant Configuration et être prêt à l’emploi. Si l’inscription entraîne des déploiements d’applications, un identifiant Apple doit être configuré sur l’appareil, car le déploiement d’applications nécessite que vous soyez connecté à l’App Store avec un identifiant Apple.

    1. Déverrouillez l’appareil iOS/iPadOS.
    2. Dans la boîte de dialogue Installer le profil de Gestion du profil, choisissez Installer.
    3. Spécifiez le code secret de l’appareil ou l’Apple ID, si nécessaire.
    4. Acceptez l’Avertissement , puis choisissez Installer.
    5. Acceptez l’Avertissement distant, puis choisissez Approuver.
    6. Quand la boîte de dialogue Profil installé confirme que le profil est installé, cliquez sur Terminé.
  11. Sur l’appareil iOS/iPadOS, ouvrez Paramètres et accédez à Général>Gestion des appareils>Profil de gestion. Vérifiez que l’installation du profil apparaît, puis consultez les restrictions de stratégie iOS/iPadOS et les applications installées. L’affichage des applications et des restrictions de stratégie sur l’appareil peut prendre jusqu’à dix minutes.

  12. Distribuez des appareils. L’appareil iOS/iPadOS est maintenant inscrit et géré dans Intune.

Étapes suivantes