Partager via


Guide d’inscription : Inscrire des appareils iOS et iPadOS dans Microsoft Intune

Vous pouvez inscrire vos appareils personnels et ceux appartenant à l’organisation dans Intune. Une fois inscrits, ils reçoivent les stratégies et les profils que vous créez. Vous disposez des options suivantes lors de l’inscription d’appareils iOS/iPadOS :

Cet article fournit des recommandations d’inscription et inclut une vue d’ensemble des tâches de l’administrateur et de l’utilisateur pour chaque option iOS/iPadOS.

Il existe également un guide visuel des différentes options d’inscription pour chaque plateforme :

Représentation visuelle des options d’inscription Intune par plateforme
Télécharger la version au format PDF | Télécharger la version de Visio

Conseil

Ce guide est constamment mis à jour. Veillez donc à ajouter des conseils ou à mettre à jour ceux que vous avez trouvé utiles.

Avant de commencer

Pour connaître tous les prérequis et configurations spécifiques à Intune nécessaires pour préparer votre locataire à l’inscription, accédez à Guide d’inscription : Microsoft Intune inscription.

Inscription automatisée des appareils (ADE) (supervisée)

Avant, cette option s’appelait « Programme d’inscription des appareils Apple » (DEP). Utilisez-la sur les appareils appartenant à votre organisation. Cette option configure les paramètres à l’aide d’Apple Business Manager (ABM) ou d’Apple School Manager (ASM). Elle vous permet d’inscrire un grand nombre d’appareils sans jamais les toucher. Ces appareils vendus par Apple sont préconfigurés avec vos paramètres et peuvent être expédiés directement aux utilisateurs ou aux établissements scolaires. Vous créez un profil d’inscription dans le centre d’administration Intune et envoyez ce profil aux appareils.

Pour plus d’informations sur ce type d’inscription, accédez à :


Fonctionnalité Utiliser cette option d’inscription quand
Vous souhaitez utiliser le mode supervisé.

Le mode supervisé déploie des mises à jour logicielles, restreint des fonctionnalités, autorise et bloque des applications, etc.
Les appareils appartiennent à l’organisation ou à l’établissement scolaire.
Vous avez de nouveaux appareils.
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc).
Les appareils sont associés à un seul utilisateur.
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés.
Les appareils sont personnels ou BYOD.

Non recommandé. Les applications sur les appareils BYOD ou personnels peuvent être gérées à l’aide de gam (ouvre un autre article Microsoft) ou de l’inscription des utilisateurs et des appareils (dans cet article).
Vous avez des appareils existants.

Les appareils existants doivent être inscrits en utilisant Apple Configurator.
Les appareils sont gérés par un autre fournisseur MDM.

Pour être complètement gérés par Intune, les utilisateurs doivent se désinscrire du fournisseur MDM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser la gestion des applications mobiles pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, nous vous recommandons de les inscrire dans Intune.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).

Le compte DEM n’est pas pris en charge.

Tâches de l’administrateur pour ADE

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour plus d’informations, accédez à Inscription à Apple Business Manager ou Inscription à Apple School Manager.

  • Vérifiez que vos appareils sont pris en charge.

  • Vous devez avoir accès au portail Apple Business Manager (ABM) ou au portail Apple School Manager (ASM).

  • Vérifiez que le jeton Apple (.p7m) est actif. Pour plus d’informations, consultez Obtenir un jeton Apple ADE.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Décidez comment les utilisateurs vont s’authentifier sur leurs appareils : l’application Portail d’entreprise, l’Assistant Configuration (hérité) ou l’Assistant Configuration avec authentification moderne. Prenez cette décision avant de créer le profil d’inscription. L’utilisation de l’application Portail d’entreprise ou de l’Assistant Configuration avec authentification moderne est considérée comme une authentification moderne.

    • Sélectionnez l’application Portail d’entreprise dans les cas suivants :

      • Vous souhaitez réinitialiser l’appareil.
      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans Microsoft Entra ID. Lorsqu’ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec Microsoft Entra ID, telles que l’accès conditionnel.
      • Vous voulez installer automatiquement l’application Portail d’entreprise lors de l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
      • Vous voulez verrouiller l’appareil jusqu’à ce que l’application Portail d’entreprise soit installée. Une fois l’installation terminée, les utilisateurs se connectent à l’application Portail d'entreprise avec leur compte organization Microsoft Entra. L’appareil est ensuite déverrouillé et les utilisateurs peuvent l’utiliser.
    • Sélectionnez l’Assistant Configuration (hérité) dans les cas suivants :

      • Vous souhaitez réinitialiser l’appareil.

      • Vous ne souhaitez pas utiliser les fonctionnalités d’authentification modernes, telles que l’authentification multifacteur.

      • Vous ne souhaitez pas inscrire d’appareils dans Microsoft Entra ID. L’Assistant Configuration (hérité) authentifie l’utilisateur avec le jeton Apple .p7m. S’il est acceptable de ne pas inscrire d’appareils dans Microsoft Entra ID, vous n’avez pas besoin d’installer l’application Portail d'entreprise. Continuez à utiliser l’Assistant Configuration (hérité).

        Si vous souhaitez que les appareils soient inscrits dans Microsoft Entra ID, installez l’application Portail d'entreprise. Quand vous créez le profil d’inscription et que vous sélectionnez l’Assistant Configuration (hérité), vous pouvez installer l’application Portail d’entreprise. Nous vous recommandons d’installer l’application Portail d’entreprise durant l’inscription.

    • Sélectionnez l’Assistant Configuration avec authentification moderne quand :

      • Vous souhaitez réinitialiser l’appareil.
      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans Microsoft Entra ID. Lorsqu’ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec Microsoft Entra ID, telles que l’accès conditionnel.
      • Vous voulez installer automatiquement l’application Portail d’entreprise lors de l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise lors de l’inscription sans les ID Apple des utilisateurs.
      • Vous voulez que les utilisateurs utilisent l’appareil, même quand l’application Portail d’entreprise n’est pas installée.

    Remarque

    Pour authentifier les utilisateurs, Microsoft recommande l’utilisation de l’application Portail d’entreprise ou de l’Assistant Configuration avec authentification moderne.

    Quelle option devez-vous utiliser ? Cela dépend :

    • Si vous voulez utiliser l’appareil avant l’installation de l’application Portail d’entreprise, utilisez l’Assistant Configuration avec authentification moderne.

      Pendant l’Assistant Configuration, les utilisateurs doivent entrer leurs informations d’identification organization Microsoft Entra (user@contoso.com). Une fois qu’ils ont entré leurs informations d’identification, l’inscription démarre et l’application Portail d’entreprise s’installe. Si vous le souhaitez, les utilisateurs peuvent également entrer leur IDENTIFIANT Apple pour accéder à des fonctionnalités spécifiques d’Apple, comme Apple Pay.

      Une fois l’Assistant Configuration terminé, les utilisateurs peuvent utiliser l’appareil. Quand l’écran d’accueil s’affiche, l’inscription est terminée et l’affinité utilisateur est établie. L’appareil n’est pas entièrement inscrit avec Microsoft Entra ID et s’affiche comme non conforme dans la liste des appareils d’un utilisateur dans Microsoft Entra ID. L’appareil s’affiche comme conforme dans le centre d’administration Microsoft Intune.

      Une fois l’application Portail d'entreprise installée, ce qui prend un certain temps, les utilisateurs ouvrent l’application Portail d'entreprise et se reconnectent avec leur compte organization Microsoft Entra (user@contoso.com). Lors de cette deuxième connexion, toutes les stratégies d’accès conditionnel sont évaluées et Microsoft Entra’inscription est terminée. Les utilisateurs peuvent installer et exécuter des ressources de l’organisation, notamment les applications métier. L’appareil s’affiche comme conforme dans Microsoft Entra ID.

    • Si vous ne voulez pas utiliser l’appareil avant l’installation de l’application Portail d’entreprise, utilisez l’option de l’application Portail d’entreprise. L’option de l’application Portail d’entreprise verrouille l’appareil jusqu’à ce que l’application Portail d’entreprise soit installée. Une fois l’installation terminée, l’application Portail d’entreprise s’ouvre automatiquement. Les utilisateurs se connectent avec leur compte Microsoft Entra organization (user@contoso.com) et peuvent utiliser l’appareil.

  • Si vous utilisez l’application Portail d'entreprise, déterminez comment l’application Portail d'entreprise est installée sur les appareils. Prenez cette décision avant de créer le profil d’inscription.

    Remarque

    Microsoft recommande le Programme d’achat en volume (VPP) quand vous utilisez l’application Portail d’entreprise pour l’authentification. Il offre une meilleure expérience pour les utilisateurs finaux.

    N’installez pas l’application Portail d’entreprise à partir de l’App Store directement sur les appareils inscrits avec ADE. Installez-la plutôt à l’aide des options suivantes :

    • Jeton VPP + Inscription de nouveaux appareils : si vous participez au programme VPP et que vous inscrivez de nouveaux appareils, l’application Portail d’entreprise est incluse. Lorsque vous créez le profil d’inscription dans le Centre d’administration Intune, sélectionnez Installer Portail d'entreprise avec VPP, définissez-en une application obligatoire et activez les mises à jour automatiques des applications.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Installation unique de l’application Portail d'entreprise.
      • Utilise la fonctionnalité Mises à jour automatiques des applications pour Intune pouvez envoyer (push) des mises à jour d’application. Pour plus d’informations, consultez Déploiement de l’application Portail d'entreprise - ADE.
    • Aucun jeton VPP + inscription de nouveaux appareils : aucune tâche d’administrateur. Vérifiez que les utilisateurs entrent leur identifiant Apple dans l’Assistant Configuration.

      Au terme de l’Assistant Configuration, l’application Portail d’entreprise tente de s’installer automatiquement. Si les utilisateurs n’entrent pas leur identifiant Apple (user@iCloud.com ou user@gmail.com), ils sont continuellement invités à le faire. Les utilisateurs doivent entrer leur identifiant Apple pour accéder à l’application Portail d’entreprise sur leurs appareils. Une fois l’application Portail d’entreprise installée, les utilisateurs l’ouvrent et entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Les utilisateurs authentifiés peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    • appareils déjà inscrits : si des appareils sont déjà inscrits, que vous participiez au programme VPP ou non, utilisez une stratégie de configuration des applications :

      1. Dans le centre d’administration Intune, ajoutez l’application Portail d'entreprise en tant qu’application requise et en tant qu’application sous licence d’appareil.
      2. Créez une stratégie de configuration des applications qui comprend l’application Portail d’entreprise comme application sous licence d’appareil. Pour plus d’informations, consultez Configurer l’application Portail d'entreprise pour prendre en charge les appareils DEP iOS et iPadOS.
      3. Déployez la stratégie de configuration des applications sur le même groupe d’appareils que le profil d’inscription.
      4. Quand les appareils effectuent un check-in auprès du service Intune, ils reçoivent votre profil et l’application Portail d’entreprise est installée.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Vous oblige à créer un profil d’inscription et une stratégie de configuration d’application. Dans votre stratégie de configuration d’application, rendez l’application obligatoire pour qu’elle soit déployée sur tous vos appareils.
      • L’application Portail d’entreprise peut être mise à jour automatiquement en modifiant la stratégie de configuration des applications existante.
  • Dans le centre d’administration Intune, créez un profil d’inscription :

    • Choisissez Inscrire avec l’affinité utilisateur (associer un utilisateur à l’appareil) ou Inscrire sans l’affinité utilisateur (appareils sans utilisateur ou appareils partagés).
    • Choisissez où les utilisateurs s’authentifient : l’application portail d’entreprise, l’Assistant Configuration (hérité) ou l’Assistant Configuration avec authentification moderne.

    Pour obtenir des informations et des suggestions plus spécifiques, accédez à Inscription automatisée des appareils d’Apple.

Tâches de l’utilisateur final pour ADE

Lorsque vous créez un profil d’inscription dans le Centre d’administration Intune, vous choisissez d’associer un utilisateur à l’appareil (Inscrire avec l’affinité utilisateur) ou d’avoir des appareils partagés (Inscrire sans affinité utilisateur). Les étapes spécifiques à effectuer dépendent de la façon dont vous configurez le profil d’inscription. Avec shared iPad, après l’activation, tous les volets de l’Assistant Installation sont automatiquement ignorés.

  • Inscrire avec l’affinité utilisateur + Application Portail d’entreprise :

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire avec l’affinité utilisateur et utilisez l’application Portail d'entreprise pour l’authentification.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com). L’application Portail d’entreprise est alors automatiquement installée à partir de votre profil d’inscription. L’installation automatique de l’application Portail d’entreprise peut prendre du temps.
    2. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Quand ils se connectent, l’inscription démarre. Une fois l’inscription terminée, les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    Les utilisateurs devront peut-être entrer plus d’informations. Pour obtenir des étapes plus spécifiques pour l’utilisateur final, accédez à Inscrire votre appareil iOS fourni organization.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration (hérité) + Application Portail d’entreprise :

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire avec l’affinité utilisateur, utilisez l’Assistant Configuration pour l’authentification et installez l’application Portail d'entreprise.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com).

    2. L’Assistant Configuration invite l’utilisateur à fournir des informations.

    3. L’application Portail d’entreprise s’ouvre automatiquement et doit verrouiller l’appareil en mode kiosque. L’ouverture de l’application Portail d’entreprise peut prendre du temps. Les utilisateurs se connectent avec leurs informations d’identification d’organisation (user@contoso.com) et l’appareil est inscrit dans Intune.

      Cette étape inscrit l’appareil dans Microsoft Entra ID. Les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration (hérité) - Application Portail d’entreprise :

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire avec l’affinité utilisateur, utilisez l’Assistant Configuration pour l’authentification et n’installez pas l’application Portail d'entreprise.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com).
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, puis inscrit l’appareil dans Intune. L’appareil n’est pas inscrit dans Microsoft Entra ID.
  • s’inscrire avec l’affinité utilisateur et l’Assistant de configuration avec authentification moderne :

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire avec l’affinité utilisateur, puis utilisez l’Assistant Configuration pour l’authentification. L’application Portail d'entreprise s’installe automatiquement.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur IDENTIFIANT Apple (user@iCloud.com ou user@gmail.com) et leurs informations d’identification organization Microsoft Entra (user@contoso.com).

      Lorsque les utilisateurs entrent leurs informations d’identification Microsoft Entra, l’inscription démarre.

    2. L’Assistant Configuration demande d’autres informations à l’utilisateur. Lorsque l'écran d'accueil apparaît, la configuration est terminée. L'appareil est entièrement inscrit et l'affinité entre l'appareil et l'utilisateur est établie. Les utilisateurs peuvent utiliser leurs appareils et voir vos applications et stratégies sur leurs appareils.

      À ce stade, l’appareil n’est pas entièrement inscrit avec Microsoft Entra ID et s’affiche comme non conforme dans Microsoft Entra ID. L’appareil indique qu’il est conforme dans le centre d’administration Microsoft Intune.

    3. Si vous installez l'application Portail d'entreprise avec VPP (recommandé), l'application Portail d'entreprise s'installe automatiquement. Les utilisateurs ouvrent l'application Portail d'entreprise et se reconnectent avec leur compte professionnel ou scolaire (user@contoso.com). Ils effectuent Microsoft Entra’inscription dans l’application Portail d'entreprise, qui inscrit entièrement l’appareil auprès de Microsoft Entra ID. Les utilisateurs ont ensuite accès aux ressources d’entreprise protégées par des stratégies d’accès conditionnel et l’appareil apparaît comme étant conforme dans Microsoft Entra ID.

    4. Si vous n'installez pas l'application Portail d'entreprise avec VPP et souhaitez utiliser l'application Portail d'entreprise, alors :

      1. Les utilisateurs se connectent à l’App Store Apple avec leur ID Apple (user@iCloud.com ou user@gmail.com). Lorsqu'ils se connectent, l'application Portail d'entreprise s'installe automatiquement.

        Cette étape de connexion supplémentaire ralentit l'inscription, en particulier si les utilisateurs ne se connectent pas immédiatement.

        S'ils ne se connectent pas à l'App Store, l'application Portail d'entreprise ne s'installe pas. Si l’application n’est pas installée, les utilisateurs ne peuvent pas inscrire l’appareil dans Microsoft Entra ID. Étant donné que l’appareil n’a pas terminé l’inscription, il s’affiche comme non conforme dans Microsoft Entra ID. Les ressources en fonction de l’accès conditionnel ne sont pas disponibles.

      2. Les utilisateurs ouvrent l'application Portail d'entreprise et se reconnectent avec leur compte professionnel ou scolaire (user@contoso.com). Ils effectuent Microsoft Entra’inscription dans l’application Portail d'entreprise, qui inscrit entièrement l’appareil auprès de Microsoft Entra ID. À la case activée suivante, les utilisateurs ont accès aux ressources d’entreprise protégées par des stratégies d’accès conditionnel.

  • Inscrire sans affinité utilisateur : aucune action. Assurez-vous qu’ils n’installent pas l’application Portail d'entreprise à partir du App Store Apple.

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide de l’inscription automatisée des appareils (ADE). Sélectionnez Inscrire sans affinité utilisateur.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la communication avec vos utilisateurs, consultez Guide de planification : Étape 5 - Créer un plan de déploiement.

Inscription à Apple Configurator

Utilisez cette option sur les appareils appartenant à votre organisation (inclut l’inscription directe). Cette option vous oblige à connecter physiquement des appareils iOS/iPadOS à un ordinateur Mac à l’aide du port USB.

Pour plus d’informations sur ce type d’inscription, accédez à Inscription Apple Configurator.


Fonctionnalité Utiliser cette option d’inscription quand
Vous avez besoin d’une connexion câblée ou vous avez un problème de réseau.
Votre organisation ne souhaite pas que les administrateurs utilisent les portails ABM ou ASM, ou elle ne souhaite pas configurer toutes les exigences.

L’idée consistant à ne pas utiliser les portails ABM ou ASM vise à donner moins de contrôle aux administrateurs.
Un pays/région ne prend pas en charge Apple Business Manager (ABM) ou Apple School Manager (ASM).

Si votre pays/région prend en charge ABS ou ASM, les appareils doivent être inscrits à l’aide de l’inscription automatisée des appareils (dans cet article).
Les appareils appartiennent à l’organisation ou à l’établissement scolaire.
Vous avez des appareils nouveaux ou existants.
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc).

Si vous avez un grand nombre d’appareils, cette méthode prend un certain temps.
Les appareils sont associés à un seul utilisateur.
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés.
Les appareils sont personnels ou BYOD.

Non recommandé. Les applications sur les appareils BYOD ou personnels peuvent être gérées à l’aide de gam (ouvre un autre article Microsoft) ou de l’inscription des utilisateurs et des appareils (dans cet article).
Les appareils sont gérés par un autre fournisseur MDM.

Pour être entièrement gérés par Intune, les utilisateurs doivent se désinscrire du fournisseur MDM actuel, puis s’inscrire dans Intune. Vous pouvez également utiliser la gestion des applications mobiles pour gérer des applications spécifiques sur l’appareil. Ces appareils appartenant à l’organisation, nous vous recommandons de les inscrire dans Intune.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).

Le compte DEM n’est pas pris en charge.

Tâches de l’administrateur pour Apple Configurator

Cette liste fournit une vue d’ensemble des tâches à effectuer. Pour plus d’informations, accédez à Inscription Apple Configurator.

  • Nécessite l’accès à un ordinateur Mac avec un port USB.

  • Vérifiez que vos appareils sont pris en charge.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Décidez de la manière dont les utilisateurs vont s’authentifier sur leurs appareils : avec l’application Portail d’entreprise ou avec l’Assistant Configuration. Prenez cette décision avant de créer le profil d’inscription. L’application Portail d’entreprise est considérée comme une méthode d’authentification moderne. Nous vous recommandons donc d’utiliser cette application.

    • Sélectionnez l’application Portail d’entreprise dans les cas suivants :

      • Vous souhaitez utiliser l’authentification multifacteur (MFA).
      • Vous souhaitez demander aux utilisateurs de mettre à jour leur mot de passe arrivé à expiration quand ils se connectent pour la première fois.
      • Vous souhaitez demander aux utilisateurs de réinitialiser leur mot de passe arrivé à expiration durant l’inscription.
      • Vous souhaitez que les appareils soient inscrits dans Microsoft Entra ID. Lorsqu’ils sont inscrits, vous pouvez utiliser les fonctionnalités disponibles avec Microsoft Entra ID, telles que l’accès conditionnel.
      • Vous souhaitez installer automatiquement l’application Portail d’entreprise durant l’inscription. Si votre entreprise utilise le Programme d’achat en volume (VPP), vous pouvez installer automatiquement l’application Portail d’entreprise durant l’inscription.
    • Sélectionnez l’Assistant Configuration dans les cas suivants :

      • Vous ne souhaitez pas utiliser les fonctionnalités d’authentification modernes, telles que l’authentification multifacteur.

      • Vous souhaitez réinitialiser l’appareil.

      • Vous souhaitez importer les numéros de série.

      • Vous ne souhaitez pas inscrire d’appareils dans Microsoft Entra ID. L’Assistant Configuration authentifie l’utilisateur avec le profil d’inscription exporté que vous copiez sur l’appareil. S’il est acceptable de ne pas inscrire d’appareils dans Microsoft Entra ID, vous n’avez pas besoin d’installer l’application Portail d'entreprise. Continuez à utiliser l’Assistant Configuration.

        Si vous souhaitez que les appareils soient inscrits dans Microsoft Entra ID, installez l’application Portail d'entreprise. Quand vous créez le profil d’inscription et sélectionnez l’Assistant Configuration, vous pouvez installer l’application Portail d’entreprise. Nous vous recommandons d’installer l’application Portail d’entreprise durant l’inscription.

  • Si vous utilisez l’application Portail d’entreprise, celle-ci doit être installée sur les appareils à l’aide d’une stratégie de configuration des applications. Nous vous recommandons de créer cette stratégie avant de créer le profil d’inscription.

    N’installez pas l’application Portail d’entreprise à partir de l’App Store directement sur les appareils inscrits avec Apple Configurator. Installez-la plutôt à l’aide des options suivantes :

    • Inscrire de nouveaux appareils : aucune tâche d’administrateur. Vérifiez que les utilisateurs entrent leur identifiant Apple dans l’Assistant Configuration.

      Au terme de l’Assistant Configuration, l’application Portail d’entreprise tente de s’installer automatiquement. Si les utilisateurs n’entrent pas leur identifiant Apple (user@iCloud.com ou user@gmail.com), ils sont continuellement invités à le faire. Les utilisateurs doivent entrer leur identifiant Apple pour accéder à l’application Portail d’entreprise sur leurs appareils. Une fois l’application Portail d’entreprise installée, les utilisateurs l’ouvrent et entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Les utilisateurs authentifiés peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    • Appareils déjà inscrits : si des appareils sont déjà inscrits, utilisez une stratégie de configuration des applications :

      1. Dans le centre d’administration Intune, ajoutez l’application Portail d'entreprise en tant qu’application requise et en tant qu’application sous licence d’appareil.
      2. Créez une stratégie de configuration des applications qui comprend l’application Portail d’entreprise comme application sous licence d’appareil. Pour plus d’informations, consultez Configurer l’application Portail d'entreprise pour prendre en charge les appareils DEP iOS et iPadOS.
      3. Déployez la stratégie de configuration des applications sur le même groupe d’appareils que le profil d’inscription.
      4. Quand les appareils effectuent un check-in auprès du service Intune, ils reçoivent votre profil et l’application Portail d’entreprise est installée.

      Cette option :

      • Inclut la bonne version de l’application Portail d’entreprise.
      • Vous oblige à créer un profil d’inscription et une stratégie de configuration d’application. Dans votre stratégie de configuration d’application, rendez l’application obligatoire pour qu’elle soit déployée sur tous vos appareils.
      • L’application Portail d’entreprise peut être mise à jour automatiquement en modifiant la stratégie de configuration des applications existante.
  • Dans le centre d’administration Intune, créez un profil d’inscription :

    • Choisissez Inscrire avec l’affinité utilisateur (associer un utilisateur à l’appareil) ou Inscrire sans l’affinité utilisateur (appareils sans utilisateur ou appareils partagés).

    • Si vous choisissez Inscrire sans l’affinité utilisateur, vous utilisez automatiquement l’inscription directe. N’oubliez pas :

      • Vous utilisez les paramètres d’un profil d’inscription macOS existant.
      • Les utilisateurs ne peuvent pas utiliser les applications qui nécessitent un utilisateur, comme c’est le cas de l’application Portail d’entreprise. L’application Portail d’entreprise n’est ni utilisée, ni nécessaire, ni prise en charge sur les inscriptions sans affinité utilisateur. Assurez-vous que les utilisateurs n’installent pas l’application Portail d'entreprise à partir de l’App Store Apple.
  • Quand le profil d’inscription est prêt, les appareils se connectent au Mac par USB et l’application Apple Configurator s’ouvre. Quand l’application s’ouvre, elle détecte l’appareil connecté par USB et déploie le profil d’inscription Intune que vous avez créé.

Pour plus d’informations sur cette option d’inscription et ses prérequis, accédez à Inscription Apple Configurator.

Tâches de l’utilisateur final pour Apple Configurator

Les tâches dépendent de l’option que vous avez configurée dans le profil d’inscription.

  • Inscrire avec l’affinité utilisateur + Application Portail d’entreprise :

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide d’Apple Configurator. Sélectionnez Inscrire avec l’affinité utilisateur et utilisez l’application Portail d'entreprise pour l’authentification.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leur identifiant Apple (user@iCloud.com ou user@gmail.com). L’application Portail d’entreprise est ensuite automatiquement installée à partir de l’App Store. L’installation automatique de l’application Portail d’entreprise peut prendre du temps.
    2. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Quand les utilisateurs se connectent, l’inscription démarre. Une fois l’inscription terminée, les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.

    Les utilisateurs devront peut-être entrer plus d’informations. Pour obtenir des étapes plus spécifiques, accédez à Inscrire votre appareil iOS fourni par organization.

  • Inscrire avec l’affinité utilisateur + Assistant Configuration + Application Portail d’entreprise :

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide d’Apple Configurator. Sélectionnez Inscrire avec l’affinité utilisateur, utilisez l’Assistant Configuration pour l’authentification et installez l’application Portail d'entreprise.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans Intune.
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, notamment l’identifiant Apple (user@iCloud.com ou user@gmail.com).
    3. L’application Portail d’entreprise est automatiquement installée à partir de l’App Store. Les utilisateurs ouvrent l’application Portail d’entreprise et se connectent avec leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans Microsoft Entra ID. Les utilisateurs peuvent installer et exécuter les applications utilisées par votre organisation, notamment des applications métier.
  • Inscrire avec l’affinité utilisateur + Assistant Configuration - Application Portail d’entreprise :

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide d’Apple Configurator. Sélectionnez Inscrire avec l’affinité utilisateur, utilisez l’Assistant Configuration pour l’authentification et n’installez pas l’application Portail d'entreprise.

    1. Quand l’appareil est allumé, l’Assistant Configuration d’Apple démarre. Les utilisateurs entrent leurs informations d’identification au sein de l’organisation (user@contoso.com). Cette étape inscrit l’appareil dans Intune.
    2. L’Assistant Configuration invite l’utilisateur à fournir des informations, notamment l’identifiant Apple (user@iCloud.com ou user@gmail.com). Cette étape envoie (push) le profil de gestion Intune à l’appareil.
    3. Les utilisateurs installent le profil de gestion. Le profil s’enregistre auprès du service Intune et inscrit l’appareil. L’appareil n’est pas inscrit dans Microsoft Entra ID.
  • Inscrire sans affinité utilisateur : vous utilisez l’inscription directe. Aucune action. Assurez-vous qu’ils n’installent pas l’application Portail d'entreprise à partir du App Store Apple.

    Dans le centre d’administration Intune et Microsoft Intune, inscrivez des appareils iOS/iPadOS à l’aide d’Apple Configurator. Sélectionnez Inscrire sans affinité utilisateur.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la communication avec vos utilisateurs, consultez Guide de planification : Étape 5 - Créer un plan de déploiement.

BYOD : Inscription des utilisateurs et des appareils

Ces appareils iOS/iPadOS sont des appareils personnels ou BYOD (apportez votre propre appareil) qui peuvent accéder aux e-mails, aux applications et à d’autres données de l’organisation. Dans iOS 13 et ultérieur, cette option d’inscription cible les utilisateurs ou cible les appareils. Elle ne nécessite pas la réinitialisation des appareils.

Lorsque vous créez le profil d’inscription, vous êtes invité à choisir Inscription de l’appareil avec Portail d'entreprise, Inscription utilisateur basée sur un compte ou Déterminer en fonction du choix de l’utilisateur.

Pour connaître les étapes d’inscription spécifiques et ses prérequis, accédez à Configurer l’inscription utilisateur basée sur un compte et Configurer l’inscription des appareils iOS/iPadOS.


Fonctionnalité Utiliser cette option d’inscription quand
Les appareils sont personnels ou BYOD.
Vous souhaitez protéger une fonctionnalité spécifique sur l’appareil, par exemple le VPN par application.
Vous avez des appareils nouveaux ou existants.
Vous devez inscrire quelques appareils ou un grand nombre d’appareils (inscription en bloc).
Les appareils sont associés à un seul utilisateur.
Les appareils sont gérés par un autre fournisseur MDM.

Lors de l’inscription d’un appareil, les fournisseurs MDM installent des certificats et d’autres fichiers. Ces fichiers doivent être supprimés. Le moyen le plus rapide peut consister à annuler l’inscription ou à réinitialiser les appareils aux paramètres d’usine. Si vous ne souhaitez pas rétablir les paramètres d’usine, contactez le fournisseur MDM.
Vous utilisez le compte du gestionnaire d’inscription d’appareil (DEM).
Les appareils appartiennent à l’organisation ou à l’établissement scolaire.

Non recommandé. Les appareils appartenant à l’organisation doivent être inscrits en utilisant Inscription automatique des appareils (dans cet article) ou Apple Configurator (dans cet article).
Les appareils sont sans utilisateur, comme les kiosques ou les appareils dédiés.

En règle générale, les appareils sans utilisateur ou partagés appartiennent à l’organisation. Ces appareils doivent être inscrits en utilisant l’Inscription automatique des appareils (dans cet article) ou Apple Configurator (dans cet article).

Tâches de l’administrateur pour l’inscription des utilisateurs et des appareils

Cette liste fournit une vue d’ensemble des tâches requises des administrateurs.

  • Vérifiez que vos appareils sont pris en charge.

  • Assurez-vous que le certificat Push MDM Apple est ajouté à Intune et qu’il est actif. Ce certificat est obligatoire pour inscrire des appareils iOS/iPadOS. Pour plus d’informations, consultez Obtenir un certificat Push MDM Apple.

  • Dans le centre d’administration Intune, créez le profil d’inscription. Quand vous créez le profil d’inscription, vous disposez des options suivantes :

    • Inscription de l’appareil avec Portail d'entreprise : cette option est une inscription classique dans l’application Portail d'entreprise pour les appareils personnels. L’appareil est géré, pas seulement des applications ou des fonctionnalités spécifiques. Si vous utilisez cette option, tenez compte des informations suivantes :

      • Vous pouvez déployer des certificats qui s’appliquent à l’ensemble de l’appareil.
      • Les utilisateurs doivent installer les mises à jour. Seuls les appareils inscrits à l’aide de l’option Inscription automatisée des appareils (ADE) peuvent recevoir des mises à jour à l’aide de profils ou de stratégies MDM.
      • Un utilisateur doit être associé à l’appareil. Cet utilisateur peut être un compte de gestionnaire d’inscription d’appareil (DEM).
    • Inscription d’appareils web : à compter d’iOS 15 et versions ultérieures. Cette option est semblable à l’inscription d’appareils avec Portail d'entreprise, mais l’inscription a lieu sur la version web de Portail d'entreprise Intune, ce qui élimine la nécessité de l’application. En outre, cette option permet aux employés et aux étudiants sans ID Apple gérés d’inscrire des appareils et d’accéder aux applications achetées en volume.

    • Déterminer en fonction du choix de l’utilisateur : donne aux utilisateurs finaux un choix lorsqu’ils s’inscrivent. En fonction de leur sélection, l’inscription utilisateur basée sur un compte ou l’inscription de l’appareil est utilisée.

    • Inscription utilisateur basée sur un compte : à partir d’iOS 13 et versions ultérieures. Cette option configure un ensemble spécifique de fonctionnalités et d’applications organization, telles que le mot de passe, le VPN par application, le Wi-Fi et Siri. Si vous utilisez cette méthode et pour sécuriser les applications et leurs données, nous vous recommandons également d’utiliser des stratégies de protection des applications.

      Pour obtenir la liste complète de ce que vous pouvez et ne pouvez pas faire, accédez à Vue d’ensemble de l’inscription des utilisateurs Apple dans Microsoft Intune.

      Remarque

      Des appareils BYOD peut devenir des appareils appartenant à l’organisation. Pour rendre ces appareils professionnels, accédez à Identifier les appareils comme appartenant à l’entreprise.

      L’inscription des utilisateurs pilotée par le compte est considérée comme plus conviviale pour les utilisateurs finaux. Toutefois, il peut ne pas fournir l’ensemble de fonctionnalités et les fonctionnalités de sécurité dont les administrateurs ont besoin. Dans certains scénarios, l’inscription utilisateur basée sur un compte peut ne pas être la meilleure option. Plusieurs scénarios sont envisageables :

      • L’inscription utilisateur basée sur un compte crée une partition de travail sur les appareils. Les fonctionnalités et la sécurité que vous configurez dans le profil d’inscription utilisateur n’existent que dans la partition de travail. Elles n’existent pas dans la partition utilisateur. Les utilisateurs ne peuvent pas réinitialiser la partition de travail aux paramètres d’usine ; les administrateurs peuvent. Les utilisateurs peuvent réinitialiser la partition personnelle aux paramètres d’usine ; les administrateurs ne peuvent pas.

      • Si les utilisateurs utilisent principalement des applications Microsoft ou des applications créées avec le SDK d’application Intune, les utilisateurs doivent télécharger ces applications à partir du App Store Apple. Ils doivent ensuite utiliser des stratégies de protection des applications pour les protéger. Dans ce scénario, vous n’avez pas besoin d’une inscription d’utilisateur basée sur un compte.

      • Pour les applications métier, l’inscription utilisateur basée sur un compte peut être une option, car elle déploie ces applications sur la partition de travail. La gestion des applications mobiles (MAM) ne prend pas en charge les applications métier. Par conséquent, si vous avez besoin d’applications métier, utilisez l’inscription utilisateur basée sur un compte.

      • Lorsque des appareils sont inscrits à l’aide de l’inscription utilisateur basée sur un compte, vous ne pouvez pas basculer vers l’inscription des appareils. Avec l’inscription d’utilisateurs pilotée par un compte, vous ne pouvez pas déplacer une application de non managée vers gérée. Les utilisateurs doivent se désinscrire de l’inscription des utilisateurs, puis se réinscrire à l’inscription des appareils.

      • Si vous installez des applications avant l’application du profil d’inscription utilisateur, ces applications ne sont ni protégées ni gérées par le profil d’inscription utilisateur.

        Par exemple, un utilisateur télécharge l’application Outlook à partir de l’App Store Apple. L’application est installée automatiquement dans la partition de l’utilisateur sur l’appareil. L’utilisateur configure Outlook pour son adresse e-mail personnelle. Lorsque les utilisateurs configurent leur organization e-mail, ils sont bloqués par l’accès conditionnel et invités à s’inscrire. Après inscription, un profil d’inscription utilisateur est déployé.

        Étant donné que l’application Outlook a été installée avant le profil d’inscription utilisateur, ce dernier échoue. L’application Outlook ne peut pas être gérée dans la mesure où elle est installée et configurée dans la partition utilisateur, et non dans la partition de travail. Les utilisateurs doivent désinstaller manuellement l’application Outlook.

        Une fois la désinstallation terminée, les utilisateurs peuvent synchroniser manuellement l’appareil et éventuellement réappliquer le profil d’inscription utilisateur. Vous devrez peut-être créer une stratégie de configuration d’application pour déployer Outlook et en faire une application obligatoire. Vous devrez ensuite déployer une stratégie de protection des applications pour sécuriser l’application et ses données.

  • Affectez le profil d’inscription à des groupes d’utilisateurs. Ne l’affectez pas à des groupes d’appareils.

Tâches de l’utilisateur final pour l’inscription des appareils

Vos utilisateurs doivent effectuer les étapes suivantes.

  1. Accédez au App Store Apple et installez l’application Portail d'entreprise Intune.

  2. Ouvrez l’application Portail d'entreprise et connectez-vous avec leur compte professionnel ou scolaire (user@contoso.com). Après leur connexion, votre profil d’inscription s’applique à l’appareil.

    Les utilisateurs devront peut-être entrer plus d’informations. Pour obtenir des étapes plus spécifiques, accédez à inscrire l’appareil.

Les utilisateurs avec des notifications d’application activées reçoivent une invite pour revenir à l’application Portail d'entreprise pour terminer l’inscription de l’appareil requise. Les utilisateurs avec des notifications d’application désactivées ne sont pas avertis de cette exigence. Si vous utilisez des groupes dynamiques, qui reposent sur l’inscription des appareils pour fonctionner, il est important que les utilisateurs terminent l’inscription de l’appareil. Prévoyez de communiquer ces étapes aux utilisateurs finaux. Si vous utilisez des stratégies d’accès conditionnel (CA), aucune action n’est requise, car les utilisateurs d’une application protégée par une autorité de certification tentent de se connecter les invitent à revenir à Portail d'entreprise pour terminer l’inscription de l’appareil.

Une fois l’inscription terminée, Intune installe automatiquement un certificat de signature de profil sur l’appareil. Ce certificat est valide pendant un an. À la fin de l’année où le certificat arrive à expiration, Intune renouvelle le certificat. Si le renouvellement échoue, un status Non vérifié s’affiche dans les paramètres du profil de gestion des> appareils & VPN sur l’appareil. Avec cette status, les utilisateurs finaux ne sont pas affectés et les appareils continuent de case activée avec Intune et de recevoir des mises à jour de stratégie.

En général, les utilisateurs n’aiment pas s’inscrire eux-mêmes et peuvent ne pas bien connaître l’application Portail d’entreprise. Guidez efficacement vos utilisateurs, par exemple en leur expliquant quelles informations ils doivent entrer. Pour obtenir des conseils sur la communication avec vos utilisateurs, consultez Guide de planification : Étape 5 - Créer un plan de déploiement.

Conseil

Voici une brève vidéo pas à pas qui montre à vos utilisateurs comment inscrire leurs appareils dans Intune :

Inscrire votre appareil iOS/iPadOS

Tâches de l’utilisateur final d’inscription de l’utilisateur

Vos utilisateurs doivent effectuer les étapes suivantes lors de l’inscription utilisateur basée sur un compte.

  1. Ouvrez l’application Paramètres et accédez à& Gestion des appareils VPNgénéral>.
  2. Connectez-vous à leur compte professionnel ou scolaire.
  3. Suivez les invites à l’écran et autorisez la gestion à distance.
  4. Entrez le code secret de l’appareil pour configurer la gestion à distance.

Une fois l’inscription terminée, Intune installe automatiquement un certificat de signature de profil sur l’appareil. Ce certificat est valide pendant un an. À la fin de l’année où le certificat arrive à expiration, Intune renouvelle le certificat. Si le renouvellement échoue, un status Non vérifié s’affiche dans les paramètres du profil de gestion des> appareils & VPN sur l’appareil. Avec cette status, les utilisateurs finaux ne sont pas affectés et les appareils continuent à case activée avec Intune et reçoivent des mises à jour de stratégie.

Pour plus d’informations sur l’expérience utilisateur, consultez Préparer les employés pour l’inscription.