L’utilisation de l’Apple Business Manager permet de mettre en place un scénario d’enrôlement automatique ADE au déballage de l’appareil. À l’instar de Autopilot pour les périphériques Windows, ABM permet aux appareils Apple achetés par l’entreprise d’être pré affecté à un profil d’enrôlement Intune.
Il s’agit de l’unique point d’entrée (avec Apple Configurator) pour l’inscription des périphériques en mode professionnel. Le scénario ADE permettra à l’appareil de se démarrer pour la première fois directement sur sa cinématique d’enrôlement professionnel sans aucune manipulation de l’utilisateur ou d’un administrateur.
I – Inscription à Apple Business Manager
Avant de commencer, il est nécessaire de procéder à la création du portail Apple Business Manager (ABM) pour son entreprise. Cette opération doit être effectuée par un membre de l’organisation via le lien suivant : https://business.apple.com/#/enrollment/form
Il suffit de suivre les étapes et d’attendre la confirmation d’Apple (cette confirmation peut prendre plusieurs jours). Parmi les informations demandées, il est nécessaire de fournir le numéro D-U-N-S de l’entreprise qui est un numéro universel permettant d’identifier les entreprises dans le monde. Il est donc nécessaire de se rapprocher de son service administratif/juridique avant de procéder à cette inscription.
II – Configuration de l’enrôlement automatique
Prérequis :
Les périphériques sur lesquels un scénario d’enrôlement automatique est souhaité doivent impérativement être présents sur la console ABM. Pour ce faire, il existe deux façons :
- Appareils ajoutés automatiquement par le revendeur – Solution à privilégier. En indiquant sur la console ABM vos différents revendeurs, ces derniers ont la possibilité d’ajouter de manière automatique les périphériques achetés sur l’Apple Business Manager. Aucune action d’administrateur n’est requise et aucun surcoût n’est à prévoir.
- Appareils ajoutés manuellement via Apple Configurator – Solution de contournement. Si certains appareils n’ont pas pu être intégrés de manière automatique, il est possible de servir d’un périphérique macOS d’administration qui servira d’interface entre la console ABM et les autres périphériques Apple à y intégrer. Pour plus d’informations sur cette méthode d’intégration : se rendre sur l’article « Configurer l’ajout d’appareils professionnels avec Apple Configurator ».
A. Ajouter son serveur MDM (Intune) dans ABM
À la différence des méthodes d’enrôlement automatiques Android, l’affectation des profils aux périphériques ne s’effectuera pas sur l’Apple Business Manager, mais directement dans Microsoft Intune. La configuration ABM consiste en l’ajout d’un connecteur au serveur MDM Intune afin de remonter la liste des appareils dans la console Microsoft. Une fois ce connecteur configuré, les appareils remonteront directement dans le jeton présent sur Intune.
Afin de configurer l’assignation du serveur MDM sur ABM, il suffit de :
1-
Se connecter à la console Microsoft Intune, et se rendre dans la partie « Inscription iOS/iPad0S ». Cliquez sur le bouton « Jetons du programme d’inscription » et cliquez sur le bouton « + Ajouter »
Cochez la case « J’accepte » sous « J’autorise Microsoft à envoyer des informations sur l’utilisateur et sur l’appareil à Apple ».
Et cliquez sur le lien « Télécharger votre clé publique » afin de récupérer le certificat au format pem nécessaire à la création du serveur MDM dans ABM.
2-
Se connecter ensuite à la console Apple Business Manager avec un compte ayant le rôle « Administrateur » sur ABM.
3-
Dans le coin inférieur gauche, cliquer sur son nom d’administrateur puis sur le bouton « Préférences ».
4-
À côté de Vos serveurs MDM cliquer sur le bouton « + Ajouter ».
Renseignez un nom pour votre serveur MDM (Intune). Et dans la partie Règlages du serveur MDM importer la clé publique Intune au format pem précédemment téléchargé.
Confirmer en cliquant sur le bouton « Enregistrer ».
5-
Le serveur MDM est maintenant ajouté à la liste sur l’Apple Business Manager.
Se rendre dans son serveur MDM et récupérer le jeton ABM en cliquant sur le bouton « Télécharger le jeton »
Un jeton au format p7m se télécharge alors sur le périphérique.
6-
Revenir sur la console Microsoft Intune sur la création l’ajout du programme d’inscription laissé en suspend depuis l’étape 1.
Renseignez l’ID Apple de l’administrateur ABM. Et pour finir, ajouter le Jeton Apple (au format p7m) sous la partie « Chargez votre jeton. Intune va automatiquement synchroniser les appareils à partir de votre compte Apple Business Manager ou Apple School Manager attribué au serveur MDM associé à ce jeton ».
Cliquez sur le bouton « Suivant » et validez la création du jeton en cliquant sur le bouton « Créer ».
Le connexion entre Apple Business Manager et Microsoft est maintenant finalisée.
B. Affecter des profils d’inscription aux périphériques Apple via ADE
Une fois le connecteur ABM <-> Intune configuré, l’ensemble des périphériques présents dans l’Apple Business Manager redescendent automatiquement dans le jeton du programme d’inscription présent dans la console Intune.
Il faudra tout de même bien vérifier dans ABM que les périphériques sont affectés au bon serveur MDM.
1-
Se connecter à la console Microsoft Intune, et se rendre dans la partie « Inscription iOS/iPad0S ». Cliquez sur le bouton « Jetons du programme d’inscription » et sélectionnez le jeton Apple Businnes Manager souhaité.
2-
Dans le menu latéral gauche, cliquez sur « Appareils ». La liste de l’ensemble des appareils ABM synchronisés avec le serveur MDM Intune apparaît alors.
Si tous les appareils n’apparaissent pas, cliquez sur le bouton « Synchroniser » afin d’opérer une synchronisation entre Intune et ABM.
3-
Cocher les appareils souhaités (identifiables via leur numéro de série), et cliquer sur le bouton « Attribuer un profil » et choisir le profil d’inscription ADE souhaité.
Pour rappel : se rendre sur l’article Inscription iOS/iPadOS (partie II- A.) pour la création du profil ADE.
#-
BONUS : Il est possible de choisir un profil d’inscription ADE par défaut. Tous les appareils du serveur MDM se verront à l’avenir automatique attribué au profil ADE choisi.
Pour se faire, dans le menu latéral gauche, cliquez sur « Profils » et sur le bouton « Définir le profil par défaut ». Dans le menu déroulant sous « Profil d’inscription iOS/iPadOS » choisir le profil ADE souhaité.
Articles associés
Lien vers Article « Inscription iOS/iPadOS«
Lien vers Article « Configurer l’ajout d’appareils professionnels avec Apple Configurator »
Tune in Cloud 