iOS : Comment activer l’enrôlement par l’utilisateur dans Microsoft Intune ?
L’enrôlement par l’utilisateur dans iOS peut séparer les données professionnelles et personnelles sur les appareils BYOD. Voici comment l’activer dans Microsoft Intune et la manière dont l’expérience utilisateur est affectée.
La prévalence croissante du BYOD a amené des appareils iOS personnels sur le lieu de travail. L’enrôlement par l’utilisateur permet d’administrer ces appareils plus facilement.
L’enrôlement par l’utilisateur fournit une méthode pour séparer les données professionnelles et personnelles sur les iPhone et iPad personnels, à la manière des profils professionnels sur les appareils Android.
L’approche proposée par Android repose sur la création de profils distincts sur l’appareil pour l’utilisation professionnelle et personnelle, ce qui permet à l’utilisateur de désactiver facilement tout ce qui est lié au travail et de disposer d’instances distinctes d’applications en fonction du cas d’utilisation.
L’enrôlement par l’utilisateur d’Apple repose sur la ségrégation des données au sein des applications, ce qui offre une expérience utilisateur différente et oblige les utilisateurs à faire très attention à enregistrer les données au bon endroit.
Créer des identifiants Apple managés
L’enrôlement par l’utilisateur s’accompagne de certaines exigences spécifiques. Apple Business Manager (ABM) est généralement le point de départ pour les appareils d’entreprise et les appareils personnels qui dépendent de l’enrôlement par l’utilisateur.
ABM permet aux entreprises de s’intégrer facilement à un logiciel de gestion des terminaux mobiles (MDM) tiers, d’acheter des appareils Apple et de s’assurer que ces appareils sont administrés.
La plupart de ces fonctionnalités ne sont pas nécessaires pour l’enrôlement par l’utilisateur, car il s’agit d’appareils personnels ; cependant, ABM devient un élément important de l’administration des appareils personnels en raison de l’identité de l’utilisateur.
L’enrôlement par l’utilisateur nécessite l’utilisation d’identifiants Apple administrés pour établir une identité professionnelle pour l’utilisateur d’un appareil. Il peut être utilisé à côté de son Apple ID personnel, de sorte que les différentes identités n’interagissent pas entre elles.
Cette différenciation sépare les données des différentes identités au sein des applications administrées et natives. Les utilisateurs disposeront d’un espace de stockage iCloud pour leur identifiant Apple personnel et d’un second, distinct, pour leur identifiant Apple administré.
Les administrateurs de parc peuvent créer des identifiants Apple administrés manuellement ou automatiquement. La méthode automatisée implique l’utilisation de System for Cross-Identity Management (SCIM) avec Azure Active Directory (AD), ou une synchronisation avec Google Workspace.
Utiliser l’authentification fédérée pour améliorer l’expérience utilisateur
Du point de vue de l’utilisateur, les Apple IDs administrés constituent un outil puissant pour les appareils Apple, surtout en combinaison avec Azure AD ou Google Workspace. Bien que cela donne l’impression que la même identité peut être utilisée sur plusieurs plateformes, il s’agit simplement du même compte dans des systèmes différents avec des mots de passe différents.
Cela peut être déroutant pour les utilisateurs. Mais l’authentification fédérée peut y apporter un remède et améliorer l’expérience utilisateur.
Au lieu de simplement synchroniser les comptes utilisateurs, l’authentification fédérée garantit qu’un utilisateur peut utiliser la même identité et les mêmes informations d’authentification pour se connecter. Dans ce cas, le service informatique utilise soit Azure AD, soit Google Workspace pour authentifier l’utilisateur.
Configurer l’enrôlement par l’utilisateur avec un logiciel MDM tiers
Avant l’enrôlement par l’utilisateur, les entreprises utilisaient l’enrôlement des appareils pour gérer les terminaux personnels. Ce type d’enrôlement permet à une organisation de gérer entièrement l’appareil, jusqu’aux capacités d’effacement de l’appareil à distance. Mais ce qui n’est pas ce qu’un utilisateur souhaite généralement pour ses appareils personnels. Apple a introduit l’enrôlement par l’utilisateur en 2019 pour résoudre ce problème. Ce type d’inscription garantit que les données professionnelles et personnelles sont séparées et que le service informatique ne contrôle pas l’ensemble de l’appareil. Seules des actions d’administration spécifiques sont autorisées, et un effacement à distance n’est pas possible.
Pour configurer l’enrôlement par l’utilisateur, il faut utiliser une solution de MDM tierce qui supporte cette fonctionnalité, ainsi que les Apple IDs administrés requis. Les étapes suivantes expliquent le processus d’activation de l’enrôlement par l’utilisateur dans Microsoft Intune.
- Ouvrez le portail de Microsoft Endpoint Manager et accédez à Devices > iOS/iPadOS > iOS/iPadOS enrollment > Enrollment types.
- Sur la page Enrollment type profiles, cliquez sur Create profile > iOS/iPadOS.
- Sur la page Basics, fournissez un nom valide pour le profil de type d’enrôlement et cliquez sur Next.
- Sur la page Settings, sélectionnez le type d’enrôlement approprié indiqué ci-dessous, puis cliquez sur Next.
- User Enrollment. Sélectionnez cette option uniquement lorsque les données d’entreprise sur les appareils du profil doivent être administrées.
- Device Enrollment. Sélectionnez cette option lorsque les périphériques du profil doivent être entièrement administrés.
- Determine based on user choice. Sélectionnez cette option lorsque les utilisateurs du profil peuvent décider du type d’enrôlement à utiliser.
- Sur la page Assignments, configurez l’affectation du profil et cliquez sur Next.
- Sur la page Revise + create, révisez la configuration et cliquez sur Create.
Il est possible de créer plusieurs profils d’enrôlement avec ces différents types. Pour éviter les conflits entre les profils d’utilisateurs, les administrateurs peuvent configurer des priorités différentes pour les divers profils.
Gardez l’expérience utilisateur à l’esprit pour les iPhone personnels
Le principal défi de l’enrôlement par l’utilisateur est l’expérience utilisateur dans les applications : l’utilisateur doit se familiariser avec les différents emplacements de stockage et savoir comment les utiliser.
Une fois l’enrôlement par l’utilisateur terminé, un volume distinct est créé, qui contient les applications administrées, les notes, les pièces jointes du calendrier, les pièces jointes des e-mails et les éléments du trousseau. Dans les différentes applications, ce volume est visualisé comme un emplacement de stockage distinct.
Du point de vue de l’utilisateur, le processus d’enrôlement par l’utilisateur commence par l’enrôlement d’un iPhone personnel.
Cette expérience dépend de l’éditeur de la solution de MDM tierce et des options d’enrôlement configurées par le service informatique.
Quelle que soit la plateforme MDM utilisée par l’organisation, l’enrôlement est un processus guidé qui commence par le téléchargement de l’application compagnon de la plateforme MDM, telle que l’application Company Portal pour Microsoft Intune. Après avoir téléchargé et ouvert l’application, un utilisateur doit s’authentifier avec son identité. Cela déclenche l’enrôlement et demande à l’utilisateur de confirmer le téléchargement et l’installation du profil d’administration.