Apple : gérer et enrôler des appareils iPhone et iPad dans Intune

Introduction sur la gestion des appareils Apple en entreprise

L’usage des appareils mobiles Apple (iPhone et iPad) en entreprise s’est largement démocratisé ces dernières années. Que ce soit pour la communication, la gestion de tâches ou l’accès aux applications métiers, ces appareils Apple sont devenus des outils incontournables dans de nombreux secteurs.

L’adoption croissante des iPhones et iPad dans les environnements professionnels s’explique par plusieurs facteurs :

• Un écosystème fluide et sécurisé, avec des fonctionnalités comme Face ID, le chiffrement matériel et l’authentification forte via Apple ID et iCloud.
• Un déploiement et une gestion simplifiés grâce à des solutions MDM comme Microsoft Intune, permettant une configuration sans intervention utilisateur via Apple Business Manager et l’Enrôlement Automatique des Appareils.
• Une expérience utilisateur homogène, avec une interface intuitive, des mises à jour régulières et une compatibilité optimisée entre les applications et services cloud.
• Une productivité accrue, notamment avec l’iPad qui devient une véritable alternative aux ordinateurs portables grâce à des accessoires comme l’Apple Pencil et le Magic Keyboard.
• Un matériel fiable et durable, garantissant un bon retour sur investissement et une adoption large par les collaborateurs.

De grandes entreprises comme Delta Airlines, IBM ou encore la SNCF exploitent les appareils mobiles Apple pour améliorer la mobilité et la réactivité de leurs équipes, que ce soit pour la relation client, la gestion des stocks ou le suivi de projet.

Dans cet article, nous verrons comment Intune permet d’administrer efficacement une flotte Apple d’iPhone et d’iPad en entreprise, en assurant à la fois sécurité, conformité et flexibilité d’usage.

Prérequis à la gestion d'une flotte Apple avec Microsoft Intune

Pour gérer un environnement Apple avec Microsoft Intune, il y a deux prérequis essentiels et obligatoires à mettre en place qui sont :

• Apple Push Certificate : il est essentiel car il permet d'assurer une communication sécurisée entre les appareils Apple et le MDM
• Apple Business Manager : c'est un portail Web qui permet entre autres de faire l'inscription automatisée de l'appareil lors de sa mise en route et de déployer des applications venant de l'Apple Store

Ces tokens sont à renouveler tous les ans sous peine de perdre la gestion de vos périphériques Apple.

Apple : les méthodes d'enrôlement des iPad et BYOD avec Intune

Dans ce tableau vous trouverez les différentes méthodes d’enrôlement d’un périphérique Apple (iPhone ou iPad) dans Microsoft Intune avec comme ordre de préférence la méthode « Automated Device Enrollment » qui vous permettra d’avoir un enrôlement automatisé dès le démarrage du périphérique. Le seul prérequis est que votre matériel soit enregistré dans Apple Business Manager.

Pour cela 2 solutions :

• Demandez à votre revendeur
• Utiliser l’application Apple Configurator for MacOS

Cette méthode vous apportera aussi la fonctionnalité « Await Final Configuration » qui permet à l’utilisateur de prendre le contrôle de son environnement une fois que toutes les configurations voulues par l’IT sont déployées. Si le mobile est déjà en service, il faudra le réinitialiser pour bénéficier de cette méthode.

Mais si vous voulez enrôler un iPhone/iPad existant sans le réinitialiser, vous pouvez utiliser la méthode « Company portal enrollment with corporate identifier ». Le prérequis pour cette méthode est l’installation de l’application « Portail d’entreprise » .

La partie « Corporate Identifier » vous permettra de faire reconnaitre le périphérique en tant que « Corporate » lors de son enrôlement dans Microsoft Intune.

L’enrôlement à partir du Portail d’entreprise se fait assez simplement : l’utilisateur final se connecte avec ses identifiants et il accepte l’installation du profil de gestion.

Concernant la dernière méthode dite « BYOD – Web Based Device Enrollment », des détails arrivent ci-après.

Apple : gestion des iPad partagés avec Intune

Le provisionnement d’un iPad en tant qu’iPad partagé fait en sorte qu’il puisse être utilisé et partagé entre plusieurs employés de votre organisation. Les iPad inscrits dans Intune à l’aide de l’inscription automatisée des appareils, et sans affinité utilisateur, peuvent être provisionnés en tant qu’iPad partagés.

L’iPad partagé crée un nombre prédéfini de partitions utilisateur sur l’appareil. Les partitions utilisateur garantissent que les applications, données et préférences de chaque utilisateur sont stockées séparément sur l’iPad. Si vous l’autorisez, ces partitions peuvent être sauvegardées sur iCloud pour une transition transparente entre d’autres iPad partagés.

Lorsque vous fédérer votre tenant Entra ID avec Apple Business Manager, un utilisateur peut se connecter à un iPad partagé à l’aide de son nom d’utilisateur et de son mot de passe Microsoft Entra.

Les avantages sont multiples :

• Idéal dans l’utilisation d’un iPad partagé devant accéder aux services Microsoft 365.
• Réduction des coûts (plusieurs utilisateurs peuvent utiliser le même appareil).
• Sécurité de l’identité et des données.
• Expérience utilisateur personnalisé. (SSO)

La mise en place de ce mode de gestion implique quelques pré requis :

• iPad OS 13.4 mini avec 32 Go de stockage
• Fédération Apple Business Manager <-> Entra ID (attention aux impacts possibles)
• Déploiement uniquement via la méthode « Automated Device Enrollment without user affinity »

En ce qui concerne l’impact possible sur la fédération Entra ID <> Apple Business Manager >

• La fédération est possible avec Entra ID, Google Workspace…
• Utilisation du compte Entra ID en tant qu’Apple ID pour se connecter à un iPad partagé
• Fédération activée = Apple reprend possession du nom de domaine
• Si des utilisateurs ont créer un Apple ID personnel avec leur adresse mail professionnel, Apple leur enverra un mail pour demander le changement de celui-ci dans un délai imparti.

Pour en savoir plus sur ce mode de gestion, suivez ce guide : https://www.cloudtekspace.com/post/configure-shared-ipad-using-microsoft-intune

Apple : gestion du BYOD avec Intune

La gestion des appareils personnels (BYOD) dans un environnement professionnel soulève des enjeux majeurs en matière de sécurité et d’expérience utilisateur. Avec Microsoft Intune, il existe plusieurs approches pour sécuriser les iPhone et iPad sans compromettre la productivité des employés, notamment les App Protection Policies et l'inscription Web Based.

App Protection Policy dans Intune

Son rôle :

• Garantir que les données de l’organisation restent sécurisées ou contenues dans une application managée.
• Contrôler la façon dont les données sont consultées et partagées.
• Pas besoin d’inscrire son terminal dans le MDM. Les stratégies ne s’appliquent pas dans un contexte perso.

Quelques exemples d’utilisation de stratégies de protection des applications avec Microsoft Intune :

• Exiger un code confidentiel ou une empreinte digitale pour accéder à la messagerie d’entreprise sur un appareil mobile
• Empêcher les utilisateurs de copier et coller des données d’entreprise dans des applications personnelles
• Restriction de l’accès aux données d’entreprise uniquement aux applications approuvées

Web Based Enrôlement dans Intune

L'inscription « Web Based Enrôlement » est l'une des deux méthodes d'inscription des appareils disponibles pour les appareils iOS/iPadOS dit personnels. L’autre méthode étant l’inscription à partir du portail d’entreprise.

Le principal facteur de différenciation est que l’inscription « Web based » offre une expérience d'inscription plus rapide et plus conviviale. Il n'est plus nécessaire de télécharger d'abord l'application Portail d’entreprise. Au lieu de cela, l'utilisateur peut simplement se rendre sur le site Web Company Portal.

Nous pouvons voir sur le tableau ci-dessus les différences entre l’inscription « Web based » et l’inscription via « Portail d’entreprise ».

Microsoft Intune prend en charge ce nouveau type d’inscription sur les appareils exécutant iOS/iPadOS version 15 ou ultérieure.

En ce qui concerne le BYOD, ma préférence se dirige plutôt sur l’application de stratégie « App Protection Policy » qui pour moi offre le niveau de sécurité le plus haut et ne s’applique uniquement que sur les applications de l’entreprise. (Exemple : Office 365) contrairement à une inscription « Web Based » qui elle concerne l’appareil.

Tout dépend du niveau de contrôle que vous souhaitez.

Apple : conclusion sur la gestion des iPhone et iPad dans Intune

L’intégration des appareils mobiles Apple (iPhone et iPad) dans un environnement d’entreprise avec Microsoft Intune permet une gestion flexible et sécurisée des appareils, qu’ils soient corporate ou BYOD. Grâce aux différentes méthodes d’enrôlement, les administrateurs peuvent choisir la meilleure approche selon les besoins de l’organisation : Automated Device Enrollment pour un contrôle total, Company Portal Enrollment pour un enrôlement simplifié, ou encore Web-Based Enrollment pour une expérience utilisateur optimisée.

L’ajout de fonctionnalités comme Shared iPad for Business offre une solution efficace pour les environnements où plusieurs utilisateurs partagent le même appareil, tandis que les App Protection Policies permettent de sécuriser les données sans imposer une gestion intrusive des périphériques personnels.

À l’heure où la frontière entre usage professionnel et personnel devient de plus en plus floue, Intune apporte les outils nécessaires pour assurer sécurité, conformité et expérience utilisateur fluide dans un écosystème Apple en entreprise.