Hybrid mobile device management (MDM) with System Center Configuration Manager and Microsoft Intune

 

S’applique à : System Center Configuration Manager (current branch)

Cette procédure pas à pas explique comment configurer System Center Configuration Manager pour gérer des appareils iOS, Android (notamment Samsung KNOX), Windows Phone et Windows avec le service en ligne Microsoft Intune sur Internet. Même si vous utilisez le service Intune, les tâches de gestion s’effectuent à l’aide du rôle de système de site de point de connexion de service dans la console Configuration Manager.

Vous pouvez configurer Configuration Manager pour permettre aux utilisateurs d'accéder aux ressources de l'entreprise sur leurs appareils de manière sécurisée et gérée. En utilisant la gestion des appareils, vous protégez les données de l'entreprise tout en permettant aux utilisateurs d'inscrire leurs appareils mobiles personnels ou d'entreprise et en leur donnant accès aux données de l'entreprise. Quand vous utilisez Configuration Manager avec Intune, vous disposez des fonctionnalités de gestion suivantes sur les appareils :

  • Mise hors service et réinitialisation des appareils

  • Configuration des paramètres de compatibilité tels que les mots de passe, la sécurité, l'itinérance, le chiffrement et la communication sans fil

  • Déploiement d'applications métier sur les appareils

  • Déploiement d'applications sur des appareils qui se connectent au Windows Store, au Windows Phone Store, à l'App Store ou à Google Play

  • Collecte de l'inventaire matériel

  • Collecte de l'inventaire logiciel à l'aide de rapports intégrés

Pour en savoir sur les nouvelles fonctionnalités disponibles pour la Gestion des appareils mobiles hybride, consultez Nouveautés de Gestion des appareils mobiles hybride avec System Center Configuration Manager et Microsoft Intune.

Ce document suppose que vous utilisez Configuration Manager pour gérer les ordinateurs et que vous souhaitez étendre la console Configuration Manager avec Intune pour gérer les appareils mobiles. Pour comprendre les différences entre Intune et la Gestion des appareils mobiles hybride, consultez Choisir entre Microsoft Intune autonome et la Gestion des appareils mobiles hybride avec System Center Configuration Manager.

Après avoir étendu Configuration Manager avec Intune, vous pouvez autoriser les utilisateurs à inscrire leurs appareils personnels, ou à inscrire et gérer des appareils d’entreprise. Vous pouvez également gérer des appareils d’entreprise avec Intune en utilisant Configuration Manager. Consultez Inscrire des appareils d’entreprise pour les déploiements hybrides avec Configuration Manager.

Utilisez les sections suivantes pour vous aider à gérer les appareils mobiles.

Consultez les informations suivantes pour connaître les conditions requises en matière de gestion des appareils mobiles.

Dépendances externes à Configuration Manager

Si nécessaire, procédez comme suit pour satisfaire toutes les dépendances externes à Configuration Manager :

  1. Vérifiez que vous avez un nom de domaine enregistré publiquement et que chaque utilisateur a un UPN de domaine public qui peut être vérifié par Intune. GoDaddy et Symantec, entre autres, fournissent des noms de domaine.

    Avant de synchroniser le compte d'utilisateur Active Directory, vous devez vérifier que les comptes d'utilisateur disposent d'un UPN de domaine public. Pour plus d'informations, voir Ajouter des suffixes UPN dans la bibliothèque de documentation d'Active Directory.

    Vous pouvez créer un rapport personnalisé Configuration Manager pour vérifier que l'UPN des utilisateurs découverts et le portail des comptes Windows Intune sont cohérents. Pour cela, utilisez la requête SQL suivante :

    SELECT UserPrincipalName,   
    COUNT(*) AS NumOfOccurances FROM (SELECT RIGHT(User_Principal_Name0,   
    LEN(User_Principal_Name0)-PATINDEX('%@%',   
    User_Principal_Name0)) AS UserPrincipalName FROM CM_EC1.dbo.v_R_User)   
    AS sub GROUP BY UserPrincipalName  
    
    
  2. Facultatif, mais vivement recommandé : déployer et configurer les services AD FS (Active Directory Federated Services).

    Si vous activez l'authentification unique, vos utilisateurs peuvent utiliser leurs informations d'identification d'entreprise pour accéder aux services de Intune.

    Pour plus d'informations, consultez les rubriques suivantes :

  3. Déploiement et configuration de la synchronisation d'annuaires

    La synchronisation d'annuaires vous permet d'importer les comptes d'utilisateur synchronisés dans Intune . Ainsi, les comptes d'utilisateur et les groupes de sécurité synchronisés sont ajoutés à Intune. L’échec d’activation de la synchronisation d’annuaires est une cause courante de l’incapacité des périphériques à s’inscrire lors de la configuration du MDM Configuration Manager avec Microsoft Intune.

    Pour plus d’informations, consultez Intégration d’annuaire dans la bibliothèque de documentation d’Active Directory.

  4. Facultatif et non recommandé : si vous n’utilisez pas les services AD FS, réinitialiser les mots de passe Microsoft Online des utilisateurs.

    Si vous n'utilisez pas AD FS, vous devez définir un mot de passe Microsoft Online pour chaque utilisateur.

L’abonnement Intune vous permet de spécifier les paramètres de configuration du service Intune. Vous pouvez notamment spécifier quels utilisateurs peuvent inscrire leurs appareils et définir les plates-formes d'appareil mobile à gérer. Après avoir créé votre abonnement, vous pouvez installer le rôle de système de site de point de connexion de service, qui vous permet de vous connecter au service Intune. Ce rôle de système de site envoie les paramètres et les applications au service Intune. L’abonnement Intune effectue les opérations suivantes :

  • Récupération du certificat dont a besoin le point de connexion de service pour se connecter au service Intune

  • Définition du regroupement d’utilisateurs permettant aux utilisateurs d’inscrire des appareils mobiles

  • Définition et configuration des plateformes mobiles que vous souhaitez prendre en charge

System_CAPS_ICON_important.jpg Important


La création d’un abonnement pour Microsoft Intune dans Configuration Manager placera le point de connexion de service de votre site en « mode en ligne ». Consultez À propos du point de connexion de service dans System Center Configuration Manager.

Pour créer l'abonnement Microsoft Intune

  1. Si vous n’avez pas encore de compte Microsoft Intune, créez-en un sur Microsoft Intune.

    Pour obtenir des instructions, consultez Prise en main de Microsoft Intune.

  2. Dans la console Configuration Manager , cliquez sur Administration.

  3. Dans l'espace de travail Administration , développez Services cloud, puis cliquez sur Abonnements Microsoft Intune. Sous l'onglet Accueil , cliquez sur Ajouter un abonnement Microsoft Intune.

  4. Dans la page Introduction de l'Assistant Créer un abonnement Microsoft Intune, lisez le texte et cliquez sur Suivant.

  5. Dans la page Abonnement , cliquez sur Se connecter , puis connectez-vous en utilisant votre compte professionnel ou scolaire. Dans la boîte de dialogue Définir l’autorité de gestion des périphériques mobiles , cochez la case pour gérer uniquement les appareils mobiles à l’aide de Configuration Manager par le biais de la console Configuration Manager . Pour poursuivre la procédure d'abonnement, vous devez sélectionner cette option.

    System_CAPS_ICON_important.jpg Important


    Après avoir sélectionné Configuration Manager comme autorité de gestion, vous ne pouvez plus définir Microsoft Intune comme autorité de gestion.

  6. Pour prendre connaissance de la déclaration de confidentialité, cliquez sur les liens correspondants. Cliquez ensuite sur Suivant.

  7. Sur la page Général , spécifiez les options suivantes et cliquez sur Suivant.

    • Regroupement: spécifiez un regroupement d'utilisateurs contenant les utilisateurs qui sont appelés à inscrire leurs appareils mobiles.

      System_CAPS_ICON_note.jpg Remarque


      Si un utilisateur est supprimé d'un regroupement, l'appareil de l'utilisateur continue d'être géré pendant 24 heures au maximum, le temps que l'enregistrement soit supprimé de la base de données utilisateur.

    • Nom de la société: spécifiez le nom de votre entreprise.

    • URL vers la documentation de confidentialité: si vous publiez des informations de confidentialité sur votre société par le biais d’un lien accessible sur Internet, fournissez un lien auquel les utilisateurs puissent accéder à partir du portail d’entreprise, par exemple http://www.contoso.com/CP_privacy.html. Les informations de confidentialité permettent de donner des précisions sur les informations que les utilisateurs partagent avec votre entreprise.

    • Modèle de couleurs pour le portail de la société: modifiez éventuellement la couleur bleue par défaut des portails d'entreprise.

    • Code de site Configuration Manager: spécifiez le code de site d'un site principal pour gérer les appareils mobiles.

      System_CAPS_ICON_note.jpg Remarque


      La modification du code de site affecte uniquement les nouvelles inscriptions et n'affecte pas les appareils inscrits existants.

    • Spécifiez la Limite d’inscription des appareils. Chaque utilisateur sous licence peut avoir jusqu’à cinq appareils inscrits. Les utilisateurs reçoivent un message d’erreur s’ils tentent d’inscrire plus que le nombre d’appareils spécifié.

  8. Dans la page Coordonnées de contact de l'entreprise , spécifiez les informations de contact de l'entreprise qui s'affichent dans le portail d'entreprise, puis cliquez sur Suivant.

  9. Dans la page Logo de l'entreprise , choisissez s'il faut afficher un logo dans le portail d'entreprise, puis cliquez sur Suivant.

  10. Effectuez toutes les étapes de l'Assistant.

Une fois que vous avez configuré la gestion Intune pour les appareils mobiles, vous pouvez créer des Conditions générales. Utilisez les conditions générales pour expliquer aux utilisateurs ce qui se produit quand ils inscrivent leurs appareils. Les utilisateurs doivent accepter les conditions générales pour pouvoir inscrire un appareil. Voir Conditions générales dans System Center Configuration Manager.

Le point connexion de service envoie des informations sur les paramètres et le déploiement logiciel à Configuration Manager et il récupère des messages d’état et d’inventaire à partir des appareils mobiles. Le service Configuration Manager joue le rôle d'une passerelle qui communique avec les appareils mobiles et stocke les paramètres.

System_CAPS_ICON_note.jpg Remarque


Le rôle de système de site de point de connexion de service ne peut être installé que sur le site d’administration centrale ou un site principal autonome. Le point de connexion de service doit avoir accès à Internet.

Pour configurer le rôle de point de connexion de service

  1. Dans la console Configuration Manager , cliquez sur Administration.

  2. Dans l'espace de travail Administration , développez Configuration du site, puis cliquez sur Serveurs et rôles de système de site.

  3. Ajoutez le rôle Point de connexion de service à un serveur de système de site nouveau ou existant en suivant l’étape correspondante :

    • Nouveau serveur de système de site : sous l’onglet Accueil , dans le groupe Créer , cliquez sur Créer un serveur de système de site pour démarrer l’Assistant Création d’un serveur de système de site.

    • Serveur de système de site existant : cliquez sur le serveur sur lequel vous souhaitez installer le rôle de point de connexion de service. Ensuite, sous l'onglet Accueil , dans le groupe Serveur , cliquez sur Ajouter des rôles de système de site pour démarrer l'Assistant Ajout des rôles de système de site.

  4. Dans la page Sélection du rôle système , sélectionnez Point de connexion de service, puis cliquez sur Suivant.

  5. Effectuez toutes les étapes de l'Assistant.

Comment le point de connexion de service s’authentifie-t-il auprès du service Microsoft Intune ?

Le point de connexion de service étend les fonctionnalités de Configuration Manager en établissant une connexion au service cloud Intune qui gère les appareils mobiles par le biais d’Internet. Le point de connexion de service s’authentifie auprès du service Intune comme suit :

  1. Quand vous créez un abonnement Intune dans la console Configuration Manager , l’administrateur Configuration Manager est authentifié grâce à une connexion à Azure Active Directory, qui redirige vers le serveur AD FS approprié pour demander le nom d’utilisateur et le mot de passe. Ensuite, Intune délivre un certificat au locataire.

  2. Le certificat de l’étape 1 est installé sur le rôle de site de point de connexion de service et il est utilisé pour authentifier et autoriser toutes les communications ultérieures avec le service Microsoft Intune.

Avant de pouvoir inscrire des appareils mobiles, vous devez établir une relation d’approbation entre la solution de gestion et ces appareils. Cette relation est spécifique à la plateforme. Ainsi, si par exemple vous souhaitez gérer des appareils iOS, vous devez activer l’inscription par le biais des serveurs Apple avec un certificat APN (Apple Push Notification service). Les rubriques suivantes expliquent comment activer la Gestion des appareils mobiles pour chaque ensemble d’appareils :

Vérifier la configuration de la gestion des périphériques mobiles

Vous pouvez vérifier certains composants de gestion des périphériques en consultant les fichiers journaux suivants :

  • Consultez le fichier Cloudusersync.log pour vérifier que les comptes d'utilisateur sont bien synchronisés.

  • Consultez le fichier Sitecomp.log pour vérifier que le point de connexion de service a bien été créé.

Si vous ajoutez un abonnement Microsoft Intune (abonnement d’essai ou payant) à Configuration Manager, et que vous devez ensuite basculer vers un autre abonnement Intune, vous devez supprimer l’abonnement Microsoft Intune et le point de connexion de service à partir de la console Configuration Manager avant de pouvoir ajouter un nouvel abonnement.

Comment supprimer un abonnement Intune de Configuration Manager

  1. Dans la console Configuration Manager , cliquez sur Administration.

  2. Dans l’espace de travail Administration, développez Vue d’ensemble, accédez à Services cloud, puis cliquez sur Abonnements Microsoft Intune.

  3. Cliquez avec le bouton droit sur Abonnement Microsoft Intune, puis cliquez sur Supprimer pour supprimer l’abonnement Microsoft Intune.

    System_CAPS_ICON_important.jpg Important


    Tout le contenu, dont les inscriptions utilisateur, les stratégies et les déploiements d’applications configurés pour l’abonnement d’évaluation Intune seront perdus.

  4. Dans l’espace de travail Administration, développez Vue d’ensemble, accédez à Configuration du site, puis sélectionnez Serveurs et rôles de système de site.

  5. Sélectionnez le serveur hébergeant le rôle Point de connexion de service.

  6. Dans la liste Rôles système de site, sélectionnez Point de connexion de service, puis cliquez sur Supprimer le rôle dans le ruban. Confirmez que vous souhaitez supprimer le rôle. Le point de connexion de service est supprimé.

  7. Vous pouvez à présent créer un nouveau point de connexion de service, ajouter un nouvel abonnement Intune à Configuration Manager, et définir Configuration Manager en tant qu’autorité de gestion des périphériques mobiles.

Gérer des ordinateurs et des appareils avec System Center Configuration Manager

Afficher: