Inscription iOS/iPadOS, iOS/iPadOS

Inscription iOS/iPadOS

Daniel Polonio

Microsoft Intune propose la possibilité de gérer les appareils fonctionnant sous iOS et iPadOS via des scénarios d’enrôlement Apple. Les scénarios qui seront présentés ci-après sont des modes développés par Apple sur lesquels Microsoft Intune fera office d’autorité de gestion. Il est donc important de comprendre que les possibilités de gestions de ces appareils peuvent impliquer à la fois Microsoft & Apple.

I – Présentation des méthodes d’enrôlement

A. Périphériques d’Entreprise

Côté Apple, il n’existe qu’un seul mode de périphérique d’entreprise, parfois appelé COD (Corporate Owned Device) et d’autre fois appelé « mode supervisé ». Quoi qu’il en soit, pas possible de se tromper quand on parle de périphérique inscrit avec scénario professionnel sur iOS ou iPadOS. Contrairement à Android qui propose un mode COPE, l’inscription pro Apple s’apparenterait plus à un mode COBO. Il est également possible de configurer des périphériques en kiosque côté Apple mais pas de mode COSU non plus. La mise en place d’un kiosque se fait post enrôlement via des stratégies de configuration.

La chose très importante à savoir sur l’inscription d’entreprise Apple, est qu’il est impossible de la faire aboutir sans passer par un service Apple. Microsoft Intune ne propose pas la possibilité de créer de manière autonome via QR Code des profils d’inscription comme pour Android.

Version minimum d’iOS requis : 14.0

Enrôlement professionnel : Le périphérique doit impérativement être neuf ou réinitialisé afin d’avoir accès à ce scénario d’enrôlement.

Il existe deux scénarios d’inscription des périphériques professionnels via services Apple :

  1. Inscription automatique ADE. Solution à privilégier. Comme pour tous les autres scénarios d’enrôlement automatique (Autopilot, KME, ZTE), l’inscription ADE se prépare avec son revendeur d’équipement qui ajoute à l’achat les périphériques Apple dans le portail Apple Business Manager (ABM) de l’entreprise. Un connecteur avec le serveur MDM Intune doit y être configuré pour que les appareils puissent arriver en « provisionnement » sur Intune. L’affectation du profil se fera directement dans Intune. Voir article sur l’inscription automatique ADE pour plus d’informations.
  2. Inscription via Apple Configurator. Solution à la marge pour les périphériques absents de l’ABM. Cette méthode permet d’utiliser un mac d’administration sur lequel on installe l’application Apple Configurator. Il est ensuite possible de brancher des périphériques en USB et de soit : les ajouter dans l’ABM et repartir sur le scénario 1, soit : exporter la configuration Intune et de lancer l’enrôlement de l’appareil directement depuis Apple Configurator. Voir article sur l’inscription Apple Configurator pour plus d’informations.

B. Périphériques Personnels

BYOD « Inscription de l’appareil » : Appareils inscrits par un utilisateur via connexion à l’application Portail d’Entreprise. Même s’il s’agit d’un scénario d’inscription BYOD l’appareil est considéré comme appartenant à l’entreprise. Attention du coup à la généralisation de ce mode d’inscription sur des périphériques appartenant aux utilisateurs, car cette inscription est plus intrusive qu’une inscription BYOD classique.

GESTION DES Données :

Informations / Actions non accessibles par l’informatique

  • Afficher l’historique de navigation sur l’appareil
  • Voir les emails, documents, contacts ou calendriers personnels
  • Accéder aux mots de passe
  • Voir, modifier ou supprimer les photos
  • Voir l’emplacement du périphérique

Informations / Actions accessibles par l’informatique

  • Voir le modèle, le numéro de série et le système d’exploitation
  • Identifier l’appareil par son nom
  • Réinitialiser complètement le périphérique
  • Voir les informations collectées par les applications et réseaux d’entreprise
  • Inventaire des applications installées sur l’appareil
  • Voir le numéro de téléphone

Retour d’expérience : Ce scénario fonctionne correctement, mais est souvent considéré comme trop intrusif pour du BYOD. Il est très intéressant cependant pour rattraper des périphériques achetés par l’entreprise, mais lâchés dans la nature sans solution de gestion. La réinitialisation n’étant pas nécessaire, il est souvent plus simple de passer par le portail d’entreprise dans un premier temps avant de profiter d’un plan de renouvellement des postes pour lancer le vrai scénario d’enrôlement professionnel.

BYOD « Inscription de l’utilisateur » : Appareils inscrits par un utilisateur via connexion à l’application Portail d’Entreprise. Appartenant à l’utilisateur. Ce scénario ne propose pas deux conteneurs pro/perso comme sur Android, mais permet aux utilisateurs d’avoir une gestion des données professionnelles et personnelles au sein des applications compatibles. Il est par exemple possible d’avoir des Notes personnelles et des Notes professionnelles. Lors de la désinscription BYOD, seules les données professionnelles sont supprimées de l’application.

Pour fonctionner, ce scénario nécessite la gestion d’un « Apple ID géré ». Ces ID Apple se gèrent à partir de l’Apple Business Manager.

Pour généraliser ce scénario, il est donc très important de fédérer les identités Apple ID gérées et les identités Azure AD. En ajoutant l’application Apple Businness Manager dans la liste des applications fédérées dans Azure.

Dans ce mode d’enrôlement, seules les applications VPP peuvent être installées (pas d’applications de l’Apple Store géré).

GESTION DES Données :

Informations / Actions non accessibles par l’informatique

  • Afficher l’historique de navigation sur l’appareil
  • Voir les emails, documents, contacts ou calendriers personnels
  • Accéder aux mots de passe
  • Voir, modifier ou supprimer les photos
  • Voir l’emplacement du périphérique
  • Supprimer les données personnelles (photos, applications …)

Informations / Actions accessibles par l’informatique

  • Voir le modèle, le numéro de série et le système d’exploitation
  • Identifier l’appareil par son nom
  • Afficher les applications gérées par l’entreprise
  • Voir les informations collectées par les applications et réseaux d’entreprise

Retour d’expérience : Ce scénario prometteur est celui qui est le plus adapté à un vrai scénario BYOD pour des périphériques personnels sur le papier. Cependant, certains problèmes connus peuvent rendre le déploiement de ce mode d’enrôlement compliqué. (Par exemple, des bugs de licences VPP peuvent rendre l’utilisation de certaines applications impossible même après réinitialisation de l’appareil). Il est donc conseillé de renforcer la recette technique sur ce type de périphérique. Statut début 2023 : Un nouveau mode d’enrôlement (nommé Account Driven User Enrollment) corrigeant ses problèmes est en phase de développement et de test. Sujet à surveiller.

Non-inscrits : « Appareils non gérés » – Types d’appareils souvent oubliés par les administrateurs, il s’agit des appareils n’ayant effectué aucune opération d’inscription, mais accèdent aux ressources d’entreprise. Ces périphériques ne remontent pas dans la console Intune, cependant la sécurisation de ces appareils doit être prise en compte. Par exemple par la mise en place de stratégies de protection d’applications (MAM) ou la mise en place de règles d’Accès conditionnels. Il serait contre-productif de sécuriser les scénarios d’inscription d’entreprise en laissant les périphériques non gérés avoir un accès libre aux applications/services d’entreprise.

Ces appareils ne sont donc pas considérés comme des appareils BYOD auprès d’Intune.

II – Création des profils d’enrôlement

Prérequis :

Afin de pouvoir accéder aux profils d’enrôlement Apple, il est nécessaire de lier Intune à Apple via le certificat Push MDM. Pour ce faire :

1-

Se connecter au portail Microsoft Intune

2-

Se rendre sur la partie « Inscription iOS/iPadOS » (Via « Appareils > iOS/iPadOS » ou via « Inscrire des appareils »)

3-

Dans la section « Configuration Requise », Cliquer sur le bouton Certificat Push MDM Apple

4-

Cocher la case « J’accepte » sous « J’autorise Microsoft à envoyer des informations sur l’utilisateur et sur l’appareil à Apple. »

5-

Télécharger le fichier CSR pour la demande du certificat Intune auprès d’Apple.

6-

Se connecter au portail Apple Push Certificates via un compte Apple (pro ou perso), cliquer sur le bouton « Create a Certificate ». Acceptez les termes d’utilisations en cliquant sur « Accept »

7-

Dans la page de création du certificat, cliquer sur le bouton « Choisir un fichier » et importer le fichier CSR Intune précédemment téléchargé. Valider en cliquant sur « Upload ».

Le certificat Push MDM Apple a bien été créé, il est possible de le récupérer en cliquant sur le bouton « Download ». Le certificat sera en format PEM.

8-

Revenir maintenant sur Intune et renseignez l’ID Apple utilisé pour créer le certificat Push MDM. Cet ID n’est là qu’à titre indicatif et permettra de retrouver le compte Apple permettant de gérer le certificat Push lorsqu’il sera nécessaire de le renouvelé (via bouton « Manage Certificates » ci-dessus).

9-

Charger le certificat Push MDM Apple au format PEM, et valider en cliquant sur le bouton « Charger ».

Une fois l’ensemble de ces actions effectuées, la liaison entre Intune et Apple sera activée. Ce qui ouvrira l’accès aux différents profils d’enrôlement Apple.

A. Profils d’enrôlement ADE

L’inscription ADE propose deux expériences utilisateurs différentes : l’inscription via Portail d’Entreprise et l’inscription via Assistant Apple :

Enrôlement Portail Entreprise

L’enrôlement s’effectue en 2 étapes :
1. Configuration du périphérique via l’assistant Apple
2. Configuration de l’affinité utilisateur via le portail d’entreprise

Entre les deux étapes, le périphérique se bloque en attendant l’installation de l’application Portail d’Entreprise. Une fois le téléchargement et l’installation terminés, l’application se lance automatiquement afin de passer à la deuxième étape de l’enrôlement.

Ce scénario force la connexion à l’application Portail d’Entreprise, indispensable pour gérer complétement le périphérique. Cependant, cette phase de blocage peut paraitre déroutante pour l’utilisateur final qui devra être accompagner par des canaux de communication durant la phase d’enrôlement.

Enrôlement via Assistant Apple

L’enrôlement s’effectue en une seule étape via l’assistant de configuration Apple.

Attention, dans le cadre d’un enrôlement sécurisé via authentification forte, ce scénario n’est envisageable que pour les périphériques iOS/iPadOS version 13.0 et ultérieur.

Ce scénario, plus naturel pour l’utilisateur final ne bloque pas l’utilisateur jusqu’à l’utilisation du Portail d’Entreprise. L’application s’installera tout de même en arrière plan.

Cependant, tant que l’utilisateur final n’a pas opéré de connexion au Portail d’Entreprise, le périphérique sera dans un état d’enrôlement inachevé :

  • La conformité ne pourra pas être contrôlé
  • Les applications d’entreprise ne pourront pas être utilisées
  • L’appareil sera considéré comme périphérique non PE pour les accès conditionnels

Ce scénario doit donc s’accompagner d’une communication utilisateur afin de s’assurer que la connexion au Portail Entreprise est effectuée.

Création d’un profil ADE :

1-

Se connecter au portail Microsoft Intune

2-

Se rendre sur la partie « Inscription iOS/iPadOS » (Via « Appareils > iOS/iPadOS » ou via « Inscrire des appareils »)

3-

Dans la section « Méthodes d’inscription en bloc », Cliquer sur le bouton Jeton du programme d’inscription. Cliquez ensuite sur le jeton servant de connecteur avec l’Apple Business Manager (voir l’article sur l’inscription automatique avec ABM pour cette partie).

4-

Dans le menu latéral gauche catégorie « Gérer » cliquez sur « Profils ». Cliquer ensuite sur le bouton « + Créer un profil » et choisir « iOS/iPadOS ».

5-

Définir un nom de profil, une description et cliquer sur « Suivant ».

6-

Définir l’affinité utilisateur sur « Inscrire avec l’affinité utilisateur ».

Le mode « Inscrire sans l’affinité utilisateur » sera plutôt utilisé pour les périphériques en mode kiosque.

Choisir l’expérience d’enrôlement souhaité entre « Portail d’entreprise » et « Assistant Installation ». Explicatif ci-dessus.

Pour améliorer l’expérience utilisateur, installez le Portail Entreprise via VPP. Il est donc nécessaire d’avoir un jeton VPP actif avec l’application Portail Entreprise acquise. (voir article sur le déploiement des applications VPP pour cette partie).

7-

Dans les options de gestion, le mode supervisé est activé par défaut. Choisissez « Oui » dans Inscription verrouillée. Et applique un modèle de nom d’appareil si souhaité.

Valider en cliquant sur Suivant.

8-

Dans la page « Assistant Configuration », indiquez :

  1. Le nom et numéro de téléphone du service informatique
  2. Choisir quelles pages afficher ou masquer lors du scénario d’enrôlement (toutes les pages d’inscription classique iOS s’y trouvent).

Valider en cliquant sur Suivant.

9-

Valider la création du profil en cliquant sur le bouton « Créer »

B. Enrôlements BYOD

Comme évoqué ci-dessus, il existe deux modes d’enrôlement BYOD. Par défaut, les deux modes sont activés et c’est au choix de l’utilisateur lors du processus d’enrôlement d’intégrer son appareil dans un mode d’inscription, appareil ou inscription utilisateur.

Il est cependant possible de fixer la valeur du mode d’enrôlement BYOD souhaité :

  • Sur Intune, dans la partie Inscription iOS/iPadOS
  • Cliquez sur le bouton « Types d’inscription »
  • Cliquez sur « + Créer un profil » et définir un nom de profil
  • Choisir le type d’inscription souhaité (utilisateur ou appareil)
  • Valider la configuration du profil en l’affectant aux utilisateurs souhaités

Comme évoqué ci-dessus, l’enrôlement BYOD ne se fait pas via l’administrateur, mais via action utilisateur :

1-

Depuis le téléphone souhaitant s’inscrire en mode BYOD, se rendre sur l’App Store et installer l’application « Portail Entreprise Microsoft Intune »

2-

Une fois l’application installée, lancer le Portail d’Entreprise et cliquer sur le bouton « Se Connecter » puis renseigner ses identifiants d’entreprise. (Valider la demande de MFA si nécessaire)

3-

L’inscription BYOD se fera alors en 4étapes : Consulter les informations sur la confidentialité / Télécharger le profil de gestion / Installer le profil de gestion / Vérification des paramètres de l’appareil. Continuer en cliquant sur « Continuer »

4-

La première étape passe automatiquement et le téléchargement du profil de gestion se lance alors. Cliquez sur « Autoriser » sur la fenêtre contextuelle pour valider le téléchargement du profil. Un message apparaît une fois le téléchargement terminé.

5-

L’application Portail Entreprise vous dirige alors sur l’application Paramètres du périphérique. Depuis l’application Paramètre se rendre dans Général > Profil > sélectionner le profil précédemment télécharger sous le nom de « Management profile ». Cliquer ensuite sur le bouton « Installer » plusieurs fois et valider la gestion à distance en cliquant sur « Oui » dans la fenêtre contextuelle. Une fois l’installation terminée, revenir sur l’application Portail d’Entreprise.

Uniquement en mode « Inscription de l’utilisateur » : Durant l’installation du Management profile, il sera nécessaire de se connecter avec un compte Apple ID géré (présent dans votre console ABM). Afin de généraliser la solution à tous vos utilisateurs, une fédération des identités entre l’Azure AD et ABM sera donc requise.

6-

Cliquer sur le bouton « Continuer » pour lancer la dernière étape qui vérifiera les critères de conformités du périphérique. Finaliser l’inscription en cliquant sur « Terminé ».

Articles associés

Lien vers Article « Configurer l’enrôlement automatique avec Apple Business Manager (ADE) »

Lien vers Article « Configurer l’ajout d’appareils professionnels avec Apple Configurator »en cours de rédaction

Laisser un commentaire