Configurer l’inscription pour les appareils en mode appareil partagé

S’applique à iOS/iPadOS

Configurez l’inscription automatisée des appareils en mode d’appareil partagé. Le mode d’appareil partagé est une fonctionnalité de Microsoft Entra ID qui permet aux employés de première ligne de partager en toute sécurité un seul appareil tout au long de la journée, en se connectant et en se connectant en fonction des besoins. Cette expérience utilise le plug-in Microsoft Enterprise SSO pour limiter le nombre de fois que les employés doivent se connecter pendant une session.

Les appareils d’entreprise achetés via Apple Business Manager ou Apple School Manager peuvent être inscrits dans Intune par le biais de l’inscription automatisée des appareils. Microsoft Intune prend en charge l’approvisionnement sans contact pour les appareils en mode d’appareil partagé, ce qui signifie que l’appareil peut être configuré et inscrit dans Intune avec une interaction minimale de la part du travailleur de première ligne.

Dans cet article, vous allez :

• Créer une stratégie d’inscription Apple
• Créer un groupe de Microsoft Entra dynamique pour le regroupement automatique
• Créer un filtre d’affectation pour l’approvisionnement rapide
• Créer une stratégie de configuration d’appareil pour l’extension d’application d’authentification unique (SSO)
• Affecter l’application Microsoft Authenticator (version VPP)

Configuration requise

Avant de créer une stratégie d’inscription dans Microsoft Intune :

• Remplissez toutes les conditions préalables pour l’inscription automatique des appareils Apple.
• Lisez Avant de commencer pour connaître les meilleures pratiques et les recommandations relatives à l’inscription automatisée des appareils.

Étape 1 : Créer une stratégie d’inscription Apple

Créez une stratégie d’inscription automatique des appareils Apple dans Microsoft Intune pour les appareils qui s’inscrivent en mode d’appareil partagé. Incluez les configurations suivantes :

• Affinité utilisateur : s’inscrire avec Microsoft Entra ID mode partagé
• Inscription verrouillée : Oui
• Appliquer le modèle de nom d’appareil : Oui (facultatif)
• Modèle de nom d’appareil (facultatif) : {{DEVICETYPE}}-{{SERIAL}}
• Activer/désactiver tout (facultatif) : Masquer

Bien que facultatif, nous vous recommandons d’appliquer un modèle de nom d’appareil avec la mise en forme recommandée. Vous pouvez également masquer tout ou partie des écrans de l’Assistant Configuration pour accélérer l’approvisionnement et l’intégration des utilisateurs. Lorsque vous avez terminé de configurer le reste du profil d’inscription, affectez-le aux appareils.

Pour plus d’informations sur la création d’une stratégie d’inscription, consultez Créer un profil d’inscription Apple.

Étape 2 : Créer un groupe de Microsoft Entra dynamique

Créez un groupe Microsoft Entra dynamique à l’aide de la enrollmentProfileName propriété pour regrouper automatiquement les appareils qui s’inscrivent avec une stratégie d’inscription spécifique. Dans ce cas, nous souhaitons regrouper les appareils qui sont en mode partage d’appareil et qui s’inscrivent avec la stratégie que vous avez créée à l’étape 1. Incluez ces configurations dans votre stratégie de groupe dynamique :

• Type de groupe : Sécurité
• Type d’appartenance : Appareil dynamique
• Ajoutez une requête dynamique avec la règle suivante :
  • Propriété : enrollmentProfileName
  • Opérateur : égal à
  • Valeur : entrez le nom de la stratégie d’inscription que vous avez créée pour les appareils en mode appareil partagé.

Pour plus d’informations sur la création d’un groupe dynamique pour les appareils partagés dans Microsoft Entra ID, consultez Créer une règle d’appartenance à un groupe.

Étape 3 : Créer un filtre d’affectation

Créez un filtre d’affectation pour cibler rapidement les appareils affectés à votre stratégie d’inscription. Ajoutez une règle avec les paramètres suivants :

• Propriété : enrollmentProfileName
• Opérateur : égal à
• Valeur : entrez le nom du profil d’inscription que vous avez créé pour les appareils en mode appareil partagé.

Pour plus d’informations sur la création d’une règle de filtre d’affectation, consultez Créer un filtre.

Étape 4 : Créer une stratégie de configuration d’appareil

Configurez une stratégie d’extension d’application d’authentification unique (SSO) pour le mode appareil partagé. Créez une stratégie de configuration d’appareil et incluez les configurations suivantes :

• Type de profil : Modèles
• Nom du modèle : Fonctionnalités de l’appareil
• Développez Extension d’application Authentification unique, puis configurez :
  • Type d’extension d’application SSO : Microsoft Entra ID
  • Activer le mode d’appareil partagé : Oui
  • Clé : device_registration
  • Type : Chaîne
  • Valeur : {{DEVICEREGISTRATION}}

Vous pouvez configurer le reste de la stratégie pour répondre aux besoins de votre organization. Lorsque vous avez terminé de configurer la stratégie, affectez-la à Tous les appareils , puis ajoutez le filtre d’affectation que vous avez créé à l’étape 3.

Pour plus d’informations sur la création d’une stratégie d’extension d’application SSO, consultez :

• Créer un profil de configuration d’appareil Intune
• Paramètres d’extension d’application d’authentification unique (SSO)

Étape 5 : Affecter l’application Microsoft Authenticator

Affectez l’application Microsoft Authenticator aux appareils ciblés. Affectez l’application en fonction des besoins à Tous les appareils. Ajoutez ensuite le filtre d’affectation que vous avez créé à l’étape 3. Vous devez avoir acheté l’application Microsoft Authenticator par le biais d’un programme d’achat en volume Apple.

Pour plus d’informations sur l’attribution d’une application achetée en volume, consultez Affecter une application achetée en volume.

Étape 6 : Distribuer des appareils

Les appareils partagés, qui sont inscrits sans affinité utilisateur, nécessitent une interaction utilisateur minimale de la part du travailleur de première ligne. Lors de la réception de l’appareil, le travailleur de première ligne doit ouvrir l’application Microsoft Authenticator pour s’assurer que l’appareil est en mode appareil partagé.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la communication avec vos utilisateurs, consultez Guide de planification : Étape 5 - Créer un plan de déploiement.