Déployer des appareils via le programme de déploiement d’Apple
Apple propose des programmes d’inscription d’appareil pour les comptes d’entreprise et éducation. Pour les comptes d’entreprise, vous devez vous inscrire au programme de déploiement d’Apple pour utiliser le programme Apple Business Manager (ABM) ou Apple School Manager (ASM) pour inscrire et gérer des appareils dans XenMobile. Ce programme est pour les appareils iOS, iPadOS et macOS.
Le programme Apple Deployment Program est mis à la disposition des organisations mais pas des individus. Vous devez fournir une quantité considérable d’informations et de détails sur l’entreprise pour créer un compte Apple Deployment Program. La demande et l’obtention de l’approbation peuvent ainsi prendre du temps.
Pour les comptes éducation, vous devez créer un compte Apple School Manager. ASM unifie le programme de déploiement d’Apple et l’achat en volume d’Apple. Pour créer un compte Apple School Manager, accédez au site Apple School.
S’inscrire au programme de déploiement d’Apple
Pour vous inscrire à Apple Business Manager, accédez à business.apple.com. Cliquez sur S’inscrire maintenant pour demander un nouveau compte. Il est recommandé d’utiliser une adresse e-mail pour votre organisation, par exemple deployment@company.com
. Le processus d’inscription peut prendre quelques jours. Après avoir reçu vos informations d’identification d’ouverture de session, suivez les étapes fournies dans Apple Business Manager pour créer un compte.
Remarque :
Pour les comptes éducation, consultez la section Intégration aux fonctionnalités Apple Éducation.
Connecter votre compte Apple Business Manager à XenMobile
Pour connecter votre compte Apple Business Manager à votre déploiement XenMobile, entrez les informations dans la console XenMobile et Apple Business Manager. Procédez comme suit :
Étape 1 : Télécharger une clé publique depuis votre serveur XenMobile
-
Dans la console XenMobile, accédez à Paramètres > Programme de déploiement d’Apple.
-
Sous Télécharger la clé publique, cliquez sur Télécharger.
Étape 2 : Créer et télécharger un fichier de jeton de serveur depuis votre compte Apple
- Connectez-vous à Apple Business Manager avec un compte disposant du rôle Administrateur ou Gestionnaire d’inscription des appareils.
-
En bas de la barre latérale, cliquez sur Réglages, puis cliquez sur Réglages de gestion des appareils > Ajouter un serveur MDM.
- Dans le paramètre Nom du serveur MDM, donnez un nom au serveur XenMobile. Le nom du serveur que vous tapez est à titre de référence. Il ne s’agit pas de l’URL ou du nom du serveur.
- Sous Charger la clé publique, cliquez sur Choisir un fichier. Chargez la clé publique que vous avez téléchargée depuis XenMobile, puis enregistrez les modifications.
-
Cliquez sur Télécharger le jeton pour télécharger le fichier de jeton de serveur sur votre ordinateur.
Vous devez charger le fichier de jeton de serveur lors de l’ajout du compte ABM à XenMobile. Les informations de votre jeton ABM s’affichent dans la console XenMobile après l’importation du fichier de jeton.
- Sous Attribution d’appareils par défaut, cliquez sur Modifier. Choisissez la manière dont vous souhaitez attribuer les appareils et fournissez les informations requises. Pour de plus amples informations, consultez le Guide de l’utilisateur d’ABM.
Étape 3 : Ajouter un compte ABM à XenMobile
Vous pouvez ajouter plusieurs comptes ABM à XenMobile. Cette fonctionnalité vous permet d’utiliser différents paramètres d’inscription ainsi que les options de l’Assistant d’installation par pays, département, etc. Vous pouvez associer des comptes ABM à différentes stratégies.
À titre d’exemple, vous pouvez centraliser tous vos comptes ABM provenant de pays différents sur le même serveur XenMobile, de façon à pouvoir importer et surveiller tous les appareils ABM. En personnalisant les paramètres d’inscription et les options de l’Assistant d’installation par département, hiérarchie organisationnelle ou une autre structure, les stratégies fournissent les fonctionnalités appropriées à votre organisation et les utilisateurs reçoivent une aide à l’installation adaptée.
-
Dans la console XenMobile accédez à Paramètres > Programme de déploiement d’Apple et sous Ajouter un compte de programme de déploiement Apple, cliquez sur Ajouter .
-
Sur la page Jetons de serveur, spécifiez votre fichier de jeton de serveur, puis cliquez sur Charger.
Vos informations de jeton de serveur s’affichent.
-
Sur la page Infos sur le compte, spécifiez ces paramètres :
- Nom du compte du programme de déploiement Apple : nom unique pour ce compte du programme de déploiement d’Apple. Utilisez des noms qui reflètent la manière dont vous organisez les comptes du programme de déploiement d’Apple, par pays ou hiérarchie organisationnelle par exemple.
- Division/Département : division ou département auquel l’appareil est attribué. Ce champ est obligatoire.
- ID de service unique : ID unique (facultatif) pour vous aider à identifier le compte.
- Numéro de téléphone de l’assistance : numéro de téléphone d’assistance que les utilisateurs peuvent appeler pour obtenir de l’aide au cours de la configuration. Ce champ est obligatoire.
- Adresse e-mail de l’assistance : adresse e-mail d’assistance (facultatif) que peuvent utiliser les utilisateurs.
-
Dans Paramètres iOS, spécifiez les paramètres suivants :
Paramètres d’inscription :
- Exiger l’inscription des appareils : sélectionnez cette option pour obliger les utilisateurs à inscrire leurs appareils. La valeur par défaut est Oui.
-
Exiger des informations d’identification pour l’inscription de l’appareil : indiquez si vous souhaitez demander aux utilisateurs d’entrer leurs informations d’identification lors de la configuration d’ABM. Citrix recommande de demander à tous les utilisateurs d’entrer leurs informations d’identification lors de l’inscription de l’appareil, afin de limiter l’inscription des appareils aux utilisateurs autorisés. La valeur par défaut est Oui.
Lorsque vous activez ABM avant la première configuration et que vous ne sélectionnez pas cette option, XenMobile crée les composants ABM. Cette création inclut des composants tels que l’utilisateur ABM, Secure Hub, l’inventaire logiciel et le groupe de déploiement ABM. Si vous sélectionnez cette option, XenMobile ne crée pas les composants. Par conséquent, si vous désactivez cette option ultérieurement, les utilisateurs qui n’ont pas entré leurs informations d’identification ne peuvent pas s’inscrire à ABM, car ces composants ABM n’existent pas. Pour ajouter les composants ABM, dans ce cas, désactivez, puis réactivez le compte ABM.
- Attendre la fin de l’installation : indiquez si les appareils des utilisateurs doivent rester dans le mode Assistant d’installation jusqu’à ce que toutes les ressources MDM soient déployées sur l’appareil. Ce paramètre est disponible sur les appareils en mode supervisé. La valeur par défaut est Non.
- La documentation Apple indique que les commandes suivantes peuvent ne pas fonctionner lorsqu’un appareil est en mode Assistant d’installation :
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
Paramètres de l’appareil :
- Mode supervisé : doit être défini sur Oui si vous utilisez Apple Configurator pour gérer les appareils inscrits à ABM ou lorsque l’option Attendre la fin de l’installation est activée. La valeur par défaut est Oui. Pour de plus amples informations sur le placement d’un appareil iOS en mode supervisé, consultez la section Pour placer un appareil iOS en mode supervisé à l’aide de Apple Configurator.
- Autoriser suppression du profil d’inscription : indiquez si vous souhaitez autoriser les appareils à utiliser un profil que vous pouvez supprimer à distance. La valeur par défaut est Non.
- Autoriser le couplage de l’appareil : pour les appareils inscrits par le biais d’ABM, sélectionnez cette option pour pouvoir les gérer via Apple Music et Apple Configurator. La valeur par défaut est Non.
Identités de supervision
Si vous utilisez l’outil GroundControl, vous pouvez ajouter un certificat pour effectuer les opérations suivantes :
- Ignorez les restrictions liées au couplage pour éviter l’invite « Approuver cet hôte ».
- Faites passer les actions des appareils gérés via USB pour effectuer des activités telles que l’installation de profils sans interaction de l’utilisateur. Cela permet à GroundControl d’activer le mode d’application unique et le verrouillage de l’appareil pour l’extraction.
- Restaurez une sauvegarde sur les appareils ABM.
Pour plus d’informations sur GroundControl, consultez le site Web de GroundControl.
-
Dans Paramètres macOS, spécifiez les paramètres suivants :
Paramètres d’inscription :
- Exiger l’inscription des appareils : sélectionnez cette option pour obliger les utilisateurs à inscrire leurs appareils. La valeur par défaut est Oui.
- Attendre la fin de l’installation : si Oui est sélectionné, l’appareil macOS interrompt l’Assistant d’installation jusqu’à ce que le code secret des ressources MDM soit déployé sur l’appareil. Ce déploiement se produit avant la création du compte local. Ce paramètre est disponible pour macOS 10.11 et versions ultérieures. La valeur par défaut est Non.
Paramètres de l’appareil :
- Autoriser suppression du profil d’inscription : indiquez si vous souhaitez autoriser les appareils à utiliser un profil que vous pouvez supprimer à distance. La valeur par défaut est Non.
-
Dans Options de l’assistant d’installation iOS, sélectionnez les étapes que l’Assistant d’installation iOS peut ignorer lorsque les utilisateurs démarrent leurs appareils pour la première fois. Lorsqu’un écran est ignoré, la fonctionnalité associée utilise les paramètres par défaut. Les utilisateurs peuvent configurer les fonctionnalités ignorées une fois l’installation terminée, sauf si vous limitez complètement l’accès à ces fonctionnalités. Pour plus d’informations sur la restriction de l’accès aux fonctionnalités, consultez la section Stratégie de restrictions. Par défaut, tous les éléments sont désactivés. Les descriptions suivantes expliquent ce qui se produit lorsqu’un paramètre est sélectionné.
- Services de localisation : empêche les utilisateurs de configurer le service de localisation sur l’appareil.
- Touch ID : empêche les utilisateurs de configurer Touch ID ou Face ID sur les appareils iOS.
- Verrouillage par code secret : empêche les utilisateurs de configurer un code secret pour l’appareil. Si aucun code secret n’existe, les utilisateurs ne peuvent pas utiliser Touch ID ou Apple Pay.
- Définir comme nouveau ou restaurer : empêche les utilisateurs de configurer l’appareil comme nouveau ou de le restaurer à partir d’une sauvegarde de l’Apple App Store ou d’iCloud.
- Déplacer depuis Android : empêche les utilisateurs de transférer des données à partir d’un appareil Android vers un appareil iOS. Cette option est disponible uniquement lorsque Définir comme nouveau ou restaurer est sélectionné (sinon, cette étape est ignorée).
- Apple ID : empêche les utilisateurs de configurer un compte Apple ID géré pour l’appareil.
- Termes et conditions : empêche les utilisateurs de lire et d’accepter les termes et conditions d’utilisation de l’appareil.
- Apple Pay : empêche les utilisateurs de configurer Apple Pay. Si ce paramètre est désactivé, les utilisateurs doivent configurer Touch ID et Apple ID. Assurez-vous que ces paramètres sont effacés.
- Siri : empêche les utilisateurs de configurer Siri.
- Analyse de l’application : empêche les utilisateurs de configurer le partage des données d’incidents et des statistiques d’utilisation avec Apple.
- Zoom d’affichage : empêche les utilisateurs de définir la résolution d’affichage (standard ou zoom) sur les appareils iOS.
- True Tone : empêche les utilisateurs de configurer des capteurs à quatre canaux pour régler dynamiquement la balance des blancs de l’affichage.
- Bouton d’accueil : empêche les utilisateurs de configurer le style du bouton d’accueil des commentaires.
- Présentation des nouvelles fonctionnalités : empêche les utilisateurs d’afficher des écrans qui incluent des informations sur les nouvelles fonctionnalités du logiciel Apple.
- Confidentialité : empêche les utilisateurs d’afficher le panneau de données et de confidentialité. Pour iOS 11.3 et versions ultérieures.
- Mise à jour logicielle : empêche les utilisateurs de mettre à jour iOS vers la dernière version. Pour iOS 12.0 et versions ultérieures.
- Screen Time : empêche les utilisateurs d’activer la fonction Screen Time. Pour iOS 12.0 et versions ultérieures.
- Configuration de la carte SIM : empêche les utilisateurs de configurer un forfait de données mobiles. Pour iOS 12.0 et versions ultérieures.
- iMessage & FaceTime : empêche les utilisateurs d’activer iMessage et FaceTime. Pour iOS 12.0 et versions ultérieures.
- Apparence : empêche les utilisateurs de sélectionner le mode d’apparence. Pour iOS 13.0 et versions ultérieures.
- Bienvenue : empêche l’utilisateur d’afficher l’écran Mise en route. Pour iOS 13.0 et versions ultérieures.
- Restauration terminée : empêche les utilisateurs de voir si une restauration est terminée pendant l’installation. Pour iOS 14.0 et versions ultérieures.
- Mise à jour terminée : empêche les utilisateurs de voir si une mise à jour logicielle est terminée pendant l’installation. Pour iOS 14.0 et versions ultérieures.
Le compte ABM apparaît dans Paramètres > Programme de déploiement d’Apple.
-
Dans Options de l’assistant d’installation macOS, sélectionnez les étapes que l’Assistant d’installation macOS peut ignorer lorsque les utilisateurs démarrent leurs appareils pour la première fois. Lorsqu’un écran est ignoré, la fonctionnalité associée utilise les paramètres par défaut. Les utilisateurs peuvent configurer les fonctionnalités ignorées une fois l’installation terminée, sauf si vous limitez complètement l’accès à ces fonctionnalités. Pour plus d’informations sur la restriction de l’accès aux fonctionnalités, consultez la section Stratégie de restrictions. Par défaut, tous les éléments sont désactivés. Les descriptions suivantes expliquent ce qui se produit lorsqu’un paramètre est sélectionné.
- Définir comme nouveau ou restaurer : empêche les utilisateurs de configurer l’appareil comme nouveau ou à partir d’une sauvegarde Time Machine ou d’effectuer une migration système.
- Services de localisation : empêche les utilisateurs de configurer le service de localisation sur l’appareil. Pour macOS 10.11 et versions ultérieures.
- Apple ID : empêche les utilisateurs de configurer un compte Apple ID géré pour l’appareil.
- Termes et conditions : empêche les utilisateurs de lire et d’accepter les termes et conditions d’utilisation de l’appareil.
- Siri : empêche les utilisateurs de configurer Siri. Pour macOS 10.12 et versions ultérieures.
-
FileVault : utilisez FileVault pour crypter le disque de démarrage. XenMobile applique le paramètre FileVault uniquement si le système dispose d’un seul compte utilisateur local et que ce compte est connecté à iCloud.
Vous pouvez utiliser la fonctionnalité de cryptage de disque FileVault de macOS pour protéger le volume système en cryptant son contenu (https://support.apple.com/en-us/HT204837). Si vous exécutez l’Assistant d’installation sur un Mac portable de modèle récent sur lequel FileVault n’est pas activé, vous pourrez être invité à activer cette fonctionnalité. L’invite s’affiche sur les nouveaux systèmes et les systèmes mis à niveau vers OS X 10.10 ou 10.11, mais uniquement si le système dispose d’un compte d’administrateur local unique et que ce compte est connecté à iCloud.
- Analyse de l’application : empêche les utilisateurs de configurer le partage des données d’incidents et des statistiques d’utilisation avec Apple.
- Confidentialité : empêche les utilisateurs d’afficher le panneau de données et de confidentialité. Pour macOS 10.13 et versions ultérieures.
- Analyse d’iCloud : empêche les utilisateurs de choisir d’envoyer des données iCloud de diagnostic à Apple. Pour macOS 10.13 et versions ultérieures.
- Bureau et documents iCloud : empêche les utilisateurs de configurer le bureau et les documents iCloud. Pour macOS 10.13 et versions ultérieures.
- Apparence : empêche les utilisateurs de sélectionner le mode d’apparence. Pour macOS 10.14 et versions ultérieures.
- Accessibilité : empêche les utilisateurs d’entendre la fonctionnalité VoiceOver automatiquement. Disponible uniquement si l’appareil est connecté à Ethernet. Pour macOS 11 et versions ultérieures.
- Biométrie : empêche l’utilisateur de configurer Touch ID et Face ID. Pour macOS 10.12.4 et versions ultérieures.
- True Tone : empêche les utilisateurs de configurer des capteurs à quatre canaux pour régler dynamiquement la balance des blancs de l’affichage. Pour macOS 10.13.6 et versions ultérieures.
- Apple Pay : empêche les utilisateurs de configurer Apple Pay. Si ce paramètre est désactivé, les utilisateurs doivent configurer Touch ID et Apple ID. Assurez-vous que les paramètres Apple ID et Biométrie sont effacés. Pour macOS 10.12.4 et versions ultérieures.
-
Screen Time : empêche les utilisateurs d’activer la fonction Screen Time. Pour macOS 10.15 et versions ultérieures.
-
Options de configuration du compte local : spécifiez les paramètres pour créer un compte administrateur sur l’appareil. Les utilisateurs se connectent à leur appareil macOS à l’aide de ces informations. XenMobile crée le compte, à l’aide des informations spécifiées.
- Créer un compte principal en tant qu’utilisateur standard : au lieu d’accorder à l’utilisateur des privilèges d’administrateur sur l’appareil, XenMobile donne à l’utilisateur des autorisations standard. macOS ayant besoin d’un compte administrateur, XenMobile crée d’abord un compte administrateur, puis crée un nouveau compte standard et le définit comme compte principal.
- Nom complet de l’administrateur : saisissez le nom que le système affiche pour le compte administrateur.
- Nom court de l’administrateur : saisissez le nom que l’appareil affiche pour le dossier de base et dans le shell.
- Mot de passe de l’administrateur : saisissez un mot de passe sécurisé pour le compte administrateur.
- Afficher le compte administrateur dans Utilisateurs et groupes : si cette option n’est pas cochée, le compte administrateur n’apparaît pas dans Utilisateurs et groupes dans les paramètres macOS. Si vous créez le compte principal en tant qu’utilisateur standard, activez ce paramètre pour masquer le compte administrateur créé par XenMobile.
Commander des appareils compatibles avec le programme de déploiement
Vous pouvez commander des appareils compatibles avec le programme de déploiement directement auprès d’Apple ou de revendeurs ou d’opérateurs agrées. Pour commander auprès d’Apple, entrez votre ID de client Apple dans le portail du programme de déploiement d’Apple. Votre ID de client permet à Apple d’associer vos appareils achetés à votre compte du programme de déploiement d’Apple.
Pour commander auprès de votre revendeur ou d’un opérateur, contactez-le pour savoir s’il participe au programme de déploiement d’Apple. Lorsque vous achetez des appareils, demandez l’ID du programme de déploiement d’Apple du revendeur. Apple requiert ces informations lorsque vous ajoutez votre revendeur du programme de déploiement d’Apple à votre compte du programme de déploiement d’Apple. Après avoir ajouté l’ID du programme de déploiement d’Apple pour le revendeur, vous recevez un ID client du programme de déploiement. Fournissez cet ID au revendeur, qui l’utilisera pour soumettre les informations sur les appareils que vous avez achetés à Apple. Pour plus d’informations, consultez le site d’inscription des appareils Apple.
Gérer les appareils compatibles avec le programme de déploiement
Une fois votre commande expédiée, vous pouvez associer des appareils iOS, iPadOS et macOS à votre serveur XenMobile.
- Connectez-vous à Apple Business Manager avec un compte disposant du rôle Administrateur ou Gestionnaire d’inscription des appareils.
- Dans la barre latérale, cliquez sur Appareils. Les appareils que vous avez achetés directement auprès d’Apple apparaissent automatiquement. Pour attribuer des appareils depuis Apple Configurator 2 vers Apple Business Manager, consultez le Guide de l’utilisateur d’Apple Business Manager.
- Dans la liste, sélectionnez un appareil ou le nombre total d’appareils et cliquez sur Modifier la gestion des appareils. Deux options sont disponibles :
-
Pour attribuer un appareil à un serveur MDM, sous Attribuer à un serveur, choisissez le nom de votre serveur XenMobile. Cliquez sur Continuer.
Pour attribuer de nouveaux appareils à Apple Business Manager en bloc, définissez un serveur XenMobile par défaut pour le déploiement. Pour plus d’informations, consultez Définir un serveur par défaut pour l’inscription en bloc.
-
Pour annuler l’attribution d’un appareil au serveur XenMobile, choisissez Retirer.
-
Vos appareils du programme de déploiement d’Apple sont maintenant associés au serveur XenMobile sélectionné.
Si vous envoyez un appareil iOS, iPadOS ou macOS à des fins de maintenance, vous devez supprimer l’appareil d’Apple Business Manager. Lorsque vous recevez l’appareil réparé, vous devez réattribuer l’appareil au serveur XenMobile. Lorsque vous remplacez l’appareil, vous pouvez attribuer un nouvel appareil au serveur XenMobile à l’aide d’un numéro de commande.
Pour consulter l’historique des appareils attribués, procédez comme suit :
- Connectez-vous à Apple Business Manager avec un compte disposant du rôle Administrateur ou Gestionnaire d’inscription des appareils.
- Dans la barre latérale, cliquez sur Historique des attributions. Choisissez ensuite une attribution pour afficher plus d’informations.
- Cliquez sur Télécharger pour télécharger un fichier CSV contenant les numéros de série de tous les appareils attribués et non attribués.
Vous pouvez supprimer les appareils iOS, iPadOS et macOS d’Apple Business Manager si l’appareil a été vendu, volé ou ne peut pas être réparé.
- Connectez-vous à Apple Business Manager avec un compte disposant du rôle Administrateur ou Gestionnaire d’inscription des appareils.
- Dans la barre latérale, cliquez sur Appareils et recherchez un appareil.
- Sélectionnez un appareil et cliquez sur Révoquer des appareils. Dans la boîte de dialogue, confirmez vos modifications pour supprimer l’appareil du programme. Pour ajouter à nouveau des appareils iOS et iPadOS, utilisez Apple Configurator 2. Vous ne pouvez pas ajouter de nouveaux appareils macOS avec Apple Configurator 2.