Configurer l’inscription des utilisateurs Apple basée sur un compte
Configurez l’inscription utilisateur Apple basée sur un compte pour les appareils personnels qui s’inscrivent dans Microsoft Intune. L’inscription utilisateur basée sur un compte offre une expérience d’inscription plus rapide et plus conviviale que l’inscription utilisateur avec Portail d'entreprise. L’utilisateur de l’appareil lance l’inscription en se connectant à son compte professionnel dans l’application Paramètres. Une fois que l’utilisateur a approuvé la gestion des appareils, le profil d’inscription installe et Intune stratégies sont appliquées en mode silencieux. Intune utilise l’inscription juste-à-temps (JIT) et l’application Microsoft Authenticator pour l’authentification afin de réduire le nombre de fois où les utilisateurs doivent se connecter pendant l’inscription et lors de l’accès aux applications professionnelles.
Cet article explique comment configurer l’inscription des utilisateurs Apple basée sur un compte dans Microsoft Intune. Vous allez :
- Configurez l’inscription JIT.
- Créez un profil d’inscription.
- Préparez les employés et les étudiants à l’inscription.
Configuration requise
Microsoft Intune prend en charge l’inscription d’utilisateurs Apple basée sur un compte sur les appareils exécutant iOS/iPadOS version 15 ou ultérieure. Si vous attribuez un profil d’inscription utilisateur basé sur un compte aux utilisateurs d’appareils exécutant iOS/iPadOS 14.9 ou version antérieure, Microsoft Intune les inscrit automatiquement via l’inscription des utilisateurs avec Portail d'entreprise.
Avant de commencer l’installation, effectuez les tâches suivantes :
- Définir l’autorité de gestion des appareils mobiles (GPM)
- Obtenir un certificat Push MDM Apple
- Créer des ID Apple managés pour les utilisateurs d’appareils (ouvre le site web du support Apple)
Vous devez également configurer la découverte de service afin qu’Apple puisse accéder au service Intune et récupérer les informations d’inscription. Pour remplir ce prérequis, configurez et publiez un fichier de ressources HTTP connu sur le même domaine que celui auquel les employés se connectent. Apple récupère le fichier via une requête HTTP GET à “https://contoso.com/.well-known/com.apple.remotemanagement”
, avec le domaine de votre organization à la place de contoso.com
. Publiez le fichier sur un domaine qui peut gérer les requêtes HTTP GET.
Remarque
Le fichier de ressources connu doit être enregistré sans extension de fichier, telle que .json, pour fonctionner correctement.
Créez le fichier au format JSON, avec le type de contenu défini sur application/json
. Nous fournissons les exemples JSON suivants que vous pouvez copier et coller dans votre fichier. Utilisez celui qui s’aligne sur votre environnement. Remplacez la variable YourAADTenantID dans l’URL de base par l’ID de locataire Microsoft Entra de votre organization.
Microsoft Intune environnements :
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.com/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune pour les environnements du gouvernement des États-Unis :
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.us/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Microsoft Intune exploités par 21 Vianet dans les environnements chinois :
{"Servers":[{"Version":"mdm-byod", "BaseURL":"https://manage.microsoft.cn/EnrollmentServer/PostReportDeviceInfoForUEV2?aadTenantId=YourAADTenantID"}]}
Le reste de l’exemple JSON est rempli avec toutes les informations dont vous avez besoin, notamment :
- Version : la version du serveur est
mdm-byod
. - BaseURL : cette URL est l’emplacement où réside le service Intune.
Conseil
Pour plus d’informations sur les exigences techniques pour la découverte de services, consultez Implémentation du flux d’inscription utilisateur d’authentification simple dans la documentation apple developer.
Meilleures pratiques
Nous vous recommandons des configurations supplémentaires pour améliorer l’expérience d’inscription des utilisateurs d’appareils. Cette section fournit plus d’informations sur chaque recommandation.
Déployer Portail d'entreprise application web
Déployez la version de l’application web du site web Portail d'entreprise Intune afin que les utilisateurs puissent accéder rapidement aux status des appareils, aux actions de l’appareil et aux informations de conformité. L’application web apparaît sur l’écran d’accueil et fonctionne comme un lien vers le site web Portail d'entreprise. Sans l’application web, les utilisateurs d’appareils peuvent toujours accéder au site web Portail d'entreprise, mais doivent ouvrir le navigateur et taper l’adresse dans le champ de recherche. Pour plus d’informations sur l’ajout d’une application web, consultez Ajouter des applications web à Microsoft Intune.
Activer l’authentification fédérée
L’inscription des utilisateurs Apple vous oblige à créer et à fournir des ID Apple managés à l’inscription des utilisateurs. Si vous activez l’authentification fédérée, qui consiste à lier Apple Business Manager à Microsoft Entra ID, vous n’avez pas besoin de créer et de fournir des ID Apple uniques à chaque utilisateur. Au lieu de cela, un utilisateur d’appareil peut se connecter à ses applications avec les mêmes informations d’identification que celles utilisées pour son compte professionnel. Pour plus d’informations, consultez Présentation de l’authentification fédérée avec Apple Business Manager dans le Guide de l’utilisateur d’Apple Business Manager.
Étape 1 : Configurer l’inscription juste-à-temps et affecter Microsoft Authenticator
Configurez l’inscription juste-à-temps et affectez Microsoft Authenticator comme application requise. Pour connaître les étapes à suivre, consultez Configurer l’inscription JIT dans Intune. Revenez à cet article lorsque vous avez terminé afin de pouvoir passer à l’étape suivante.
Étape 2 : Créer un profil d’inscription
Créez un profil d’inscription pour les appareils qui s’inscrivent via l’inscription utilisateur basée sur un compte. Le profil d’inscription déclenche l’expérience d’inscription de l’utilisateur de l’appareil et lui permet de lancer l’inscription à partir de l’application Paramètres.
Dans le centre d’administration Microsoft Intune, accédez àInscriptiondes appareils>.
Sélectionnez l’onglet Apple.
Sous Options d’inscription, choisissez Types d’inscription.
Sélectionnez Créer un profil>iOS/iPadOS.
Dans la page Informations de base , entrez un nom et une description pour le profil afin de pouvoir le distinguer des autres profils dans le centre d’administration. Les utilisateurs de l’appareil ne voient pas ces détails.
Sélectionnez Suivant.
Dans la page Paramètres , pour Type d’inscription, sélectionnez le mode d’inscription des appareils. Vous pouvez choisir la méthode d’inscription ou autoriser les utilisateurs à faire leur propre choix. Leur choix détermine le processus d’inscription que Microsoft Intune effectue. Il est également reflété dans l’attribut de propriété de l’appareil dans Microsoft Intune. Pour en savoir plus sur l’expérience de l’utilisateur et ce qu’il voit à l’écran lors de l’inscription, consultez Configurer un appareil iOS personnel pour le travail ou l’école.
Les options disponibles sont les suivantes :
Inscription utilisateur basée sur un compte : les utilisateurs affectés qui lancent l’inscription sont inscrits via l’inscription utilisateur basée sur un compte.
Déterminer en fonction du choix de l’utilisateur : les utilisateurs affectés qui lancent l’inscription peuvent sélectionner la façon dont ils souhaitent inscrire leur appareil. Leurs options :
Je suis propriétaire de cet appareil : D’autres paramètres s’affichent avec cette sélection. L’utilisateur a la possibilité de sécuriser l’ensemble de son appareil ou uniquement les applications et données professionnelles sécurisées.
(Société) possède cet appareil : L’appareil s’inscrit via l’inscription d’appareils Apple. Pour plus d’informations sur cette méthode d’inscription, consultez Inscription des appareils et GPM sur le site web du support Apple.
Sélectionnez Suivant.
Dans la page Affectations , attribuez le profil à tous les utilisateurs ou sélectionnez des groupes spécifiques. Les groupes d’appareils ne sont pas pris en charge dans les scénarios d’inscription d’utilisateurs, car l’inscription des utilisateurs nécessite des identités d’utilisateur.
Sélectionnez Suivant.
Dans la page Vérifier + créer , passez en revue vos choix, puis sélectionnez Créer pour terminer la création du profil.
Étape 3 : Préparer les employés à l’inscription
Pour lancer l’inscription d’un appareil sur un appareil personnel, le propriétaire de l’appareil doit accéder à l’application Paramètres et se connecter avec son compte professionnel ou scolaire. S’ils tentent de se connecter à une application avec leur compte professionnel ou scolaire, l’application les avertit de l’exigence d’inscription et leur indique comment procéder.
Cette section décrit les étapes d’inscription pour les utilisateurs d’appareils. Nous vous recommandons d’utiliser ces informations dans la documentation d’intégration des appareils de votre organization ou pour la résolution des problèmes et le support.
- Ouvrez l’application Paramètres sur votre appareil.
- Sélectionnez Général.
- Sélectionnez vpn & Gestion des appareils.
- Connectez-vous avec votre compte professionnel ou scolaire, ou avec l’ID Apple fourni par votre organization.
- Sélectionnez Se connecter à iCloud.
- Entrez le mot de passe du nom d’utilisateur qui apparaît à l’écran. Ensuite, sélectionnez Continuer.
- Sélectionnez Autoriser la gestion à distance.
- Patientez quelques minutes pendant que votre appareil est configuré et que le profil de gestion est installé.
- Pour confirmer que votre appareil est prêt à être utilisé pour le travail, accédez à VPN & Gestion des appareils. Vérifiez que votre compte professionnel est répertorié sous COMPTE MANAGÉ.
- Microsoft Authenticator est requis pour accéder aux applications professionnelles. Attendez quelques minutes après l’inscription pour qu’Authenticator s’installe sur votre appareil. Un message d’erreur s’affiche si vous essayez de vous connecter à une application professionnelle sans Authenticator.
- Vous pouvez recevoir d’autres invites vous demandant votre approbation pour installer des applications professionnelles. Sélectionnez Installer pour approuver l’installation.
Priorité du profil
Intune applique les profils d’inscription dans l’ordre dans lequel vous les hiérarchisez. Pour modifier l’ordre dans lequel ils sont appliqués :
- Retour aux types d’inscription pour afficher vos profils.
- Faites glisser et déposez les profils dans la liste pour réorganiser leur priorité.
Si un conflit se produit parce qu’un utilisateur se voit attribuer plusieurs profils, Intune applique le profil avec la priorité la plus élevée.
Suppression de l’appareil de la gestion
Les clés de volume et de chiffrement créées pour gérer les données de travail sur l’appareil sont effacées lorsque l’appareil se désinscrit de Intune.
Problèmes connus
Cette section décrit les problèmes connus actuels liés à l’inscription et à l’Microsoft Intune des utilisateurs Apple basés sur un compte.
L’inscription échoue en raison de l’application d’authentification unique d’inscription
Si l’application Microsoft Authenticator se trouve sur l’appareil avant le début de l’inscription, l’inscription échoue lorsque l’utilisateur de l’appareil tente de se connecter avec son compte professionnel ou scolaire dans l’application Paramètres. Le message qu’ils reçoivent indique :
- Titre : Échec de la connexion
- Description : l’application d’authentification unique d’inscription a été installée sur l’appareil.
Pour contourner ce problème, l’utilisateur de l’appareil doit désinstaller l’application Microsoft Authenticator et redémarrer l’inscription.
Étapes suivantes
Pour obtenir une vue d’ensemble des fonctionnalités d’inscription des utilisateurs Apple prises en charge et des actions de gestion dans Microsoft Intune, consultez Vue d’ensemble de l’inscription des utilisateurs Apple dans Microsoft Intune.
Pour plus d’informations sur l’inscription des utilisateurs Apple, consultez Inscription des utilisateurs et GPM sur le site web du support Apple.
Pour la résolution des problèmes, consultez Résolution des erreurs d’inscription d’appareils iOS/iPadOS dans Microsoft Intune.
Pour connaître les paramètres pris en charge dans Intune profils de configurations d’appareil, consultez :