Pour gérer un appareil MacOS à son plein potentiel, vous devez l’enrôler de manière professionnelle.
Il est plus facile d’enrôler un appareil MacOS via le Portail d’entreprise (article MS ici). Mais du point de vue d’Intune, le problème est que vous obtenez un appareil personnel, pas un appareil d’entreprise. Dans ce post, j’enrôle un appareil MacOS de manière professionnelle — un appareil que j’ai acheté moi-même et non via un revendeur Apple. Je vais utiliser l’application mobile Apple Configurator pour importer l’appareil.
Vous pouvez comparer cette méthode à un import manuel Autopilot suivi d’un enrôlement Intune.
Contexte
- J’enrôle un Macbook Air de 2020 tournant sous Ventura 13.2.1.
- J’utilise également un appareil iOS avec Apple Configurator. C’est nécessaire pour importer l’appareil dans le portail Apple Business Manager (ABM).
L’enrôlement direct est aussi une option, certes. Mais à mon avis (et celui de MS), c’est plus approprié pour les bornes interactives ou les appareils partagés. Vous trouverez plus d’informations sur les trois scénarios d’enrôlement ici.
Association ABM et Intune
Avant toute chose, assurez-vous que le tenant Intune est associé au portail Apple Business Manager.
Vous générez un certificat de relation de confiance (Certificate Signing Request ou CSR) depuis Intune et vous allez l’utiliser dans le portail Apple Push Certificate. Faites attention au compte utilisé pour établir cette relation : privilégiez un compte connu de plusieurs personnes dans votre organisation. Vous téléchargez le fichier CSR, et vous obtenez un fichier .pem qu’il faudra charger dans Intune.
Je vous suggère de suivre ce post MS pour le faire correctement.
C’est fait ? Assurez-vous d’avoir créé un programme d’enrôlement en suivant l’article MS ici. En résumé, vous téléchargez un jeton de serveur depuis le portail Apple Business Manager (ABM business.apple.com) et vous l’importez dans Intune, dans le programme d’enrôlement.
Étapes à suivre :
- Téléchargez la clé publique depuis le programme d’enrôlement dans Intune (fichier .pem)
- Allez sur le portail ABM business.apple.com > Préférences > Ajouter un serveur MDM > Importez la clé publique que vous avez téléchargée
- Toujours depuis le portail ABM, téléchargez le jeton du serveur MDM (fichier .p7m)
- Retournez dans Intune, terminez la création de votre jeton de programme d’enrôlement et importez le jeton du serveur
L’association est terminée. Mon serveur MDM est défini par défaut. Dès qu’un appareil sera importé, il sera lié à mon serveur MDM et au programme d’enrôlement « Intune Synapsys ».
Importer l’appareil dans le portail ABM et Intune
J’ouvre l’application Apple Configurator sur mon iPhone. Je me connecte à l’application avec mon compte administrateur du portail Apple Business.
J’appuie sur « Partager le Wi-Fi » pour que l’iPhone partage les paramètres Wi-Fi lorsque l’appareil final sera en phase d’enrôlement.
L’application demande maintenant de scanner une sorte de code QR.
Allumons le MacBook Air. J’ai réinitialisé l’appareil. Si l’on compare avec un appareil Windows, je me trouve sur l’écran OOBE (Out-of-Box Experience) où l’on sélectionne la langue.
Cliquez sur Continuer et le code QR tant attendu s’affiche. Scannez l’appareil avec l’application. Cela importera l’appareil dans le portail ABM. Si vous dépassez l’écran de sélection de la langue, redémarrez l’appareil. L’écran de l’organisation est le troisième écran que vous rencontrerez.
Vous remarquerez le message « connexion au réseau » grâce aux paramètres Wi-Fi partagés par l’application Apple Configurator. J’éteins le MacBook Air et je me rends dans la console ABM : business.apple.com
Mon appareil importé
Le voilà, mon appareil est bien présent dans ABM.
Mon appareil a déjà le serveur MDM réglé sur « Intune Synapsys ». Parfait. Vous pouvez aussi le faire manuellement en cliquant sur « Modifier le serveur MDM » après avoir sélectionné l’appareil. Il existe également une option pour l’association en masse, mais comme je l’ai configuré par défaut, je n’ai rien à faire.
Jetons un coup d’œil au portail Intune et au programme d’enrôlement « Intune Synapsys » :
Voici mon appareil. Si la liste est vide, vous devrez probablement cliquer sur le bouton Synchroniser. Cela synchronisera les appareils provisionnés d’ABM vers Intune.
L’appareil est maintenant enregistré dans Azure AD et importé dans Intune via le portail ABM.
Tout comme vous le faites avec Autopilot et les appareils Windows, vous créez un groupe dynamique pour rassembler les appareils MacOS.
Créer le groupe dynamique sur Azure AD
En utilisant la règle dynamique appropriée, vous pouvez récupérer tous les appareils macOS avec ce type de règles :
Génial, vous avez un groupe dynamique contenant vos appareils. Ce groupe servira à déployer des applications, des configurations et bien plus encore. Vous pouvez aussi utiliser vos groupes d’utilisateurs grâce à l’Affinité Utilisateur (détails ci-dessous).
Créer le profil d’enrôlement
Si vous comparez cette étape au scénario d’un appareil Windows, c’est le moment où vous configurez l’expérience OOBE en créant le profil Autopilot. Dans les scénarios MacOS, appelons cela un « Profil d’enrôlement ».
Vous remarquerez qu’un profil d’enrôlement est obligatoire pour que l’appareil soit correctement enrôlé dans Intune.
Utiliser ou non l’affinité utilisateur, telle est la question.
L’affinité utilisateur configurera une relation entre l’utilisateur et l’appareil. Si vous voulez que votre utilisateur puisse utiliser le Portail d’entreprise pour télécharger des applications par exemple, je vous suggère de configurer l’appareil avec une Affinité Utilisateur. Si l’appareil est destiné à être utilisé par plusieurs personnes, je vous conseille de configurer le profil d’enrôlement sans affinité.
Quant à la méthode d’authentification, l’authentification moderne est le meilleur choix à mon avis. Le prérequis système est la version 10.15, alias Catalina.
L’enrôlement verrouillé (Locked enrollment) est nécessaire pour que l’utilisateur final ne puisse pas supprimer le profil localement.
Enfin, vous configurez l’expérience OOBE de l’utilisateur final en activant ou désactivant certains écrans. Notez qu’il n’y a aucun moyen de définir le compte de l’utilisateur final comme un compte standard ici. Gardez cela pour plus tard.
Il n’y a pas d’étape d’assignation lors de la création d’un profil d’enrôlement. Venant du monde Autopilot, je sais que cela peut paraître étrange.
Le profil d’enrôlement est assigné dès que l’appareil arrive sur le tenant ; je vous suggère donc de définir votre profil d’enrôlement par défaut ici :
Allumer l’appareil MacOS
L’un des premiers écrans que vous rencontrerez est celui de la Gestion à distance (Remote Management). Ce MacBook a été provisionné dans une organisation et le système d’exploitation vous en informe directement.
Ensuite, c’est l’étape de l’Authentification Moderne que nous avons configurée précédemment. Les identifiants de l’utilisateur final doivent être saisis ici. Une notification MFA est alors envoyée à l’utilisateur.
Désormais, l’utilisateur final configure une session locale. Je sais, cela peut sembler étrange pour les habitués de Windows comme moi, mais l’utilisateur ne se connectera pas avec son compte Azure AD (Entra ID). L’appareil macOS est enregistré dans Azure AD, pas joint.
L’utilisateur bénéficie du SSO dans ses applications managées (avec une configuration adéquate) grâce à son compte d’entreprise, mais la session utilisée reste locale. C’est l’Affinité Utilisateur qui assure la liaison entre cette session locale et le compte d’entreprise.
Voici l’écran où la session locale est configurée, et il s’agit d’un compte administrateur :
Vous souvenez-vous du profil Autopilot où vous définissez le compte de l’utilisateur final comme standard ? Eh bien, cette fonctionnalité n’existe pas dans un profil d’enrôlement MacOS.
Je vous suggère de gérer cela après coup en utilisant un script bash pour ajouter votre propre compte administrateur d’entreprise et définir les autres comme standards (excellent blog à ce sujet, j’adore ce gars). Vous pouvez également tirer parti de JAMF Pro, mais nous gardons cela pour une autre fois.
La session a été créée. L’utilisateur final suit les écrans choisis dans le profil d’enrôlement. L’utilisateur arrive enfin sur le Bureau.
Appareil dans Intune et Azure AD
L’appareil est enrôlé dans Intune et il a reçu les profils de configuration, les politiques de chiffrement, ainsi que les applications ciblées sur le groupe d’appareils dynamiques ou les groupes d’utilisateurs :
