Insight24.02.2022

Apple Device Enrollment Program

Qu'est-ce que le Device Enrollment Program (DEP) d'Apple et quels sont ses avantages ?

Avec le Device Enrollment Program d'Apple, DEP en abrégé, l'inscription des appareils dans un système MDM peut être automatisée et la configuration initiale des appareils Apple simplifiée. Par exemple, les appareils iOS, macOS et tvOS peuvent être préconfigurés dans Relution automatiquement et avec très peu d'efforts manuels lors du démarrage initial.

Les appareils DEP enregistrés présentent les avantages suivants :

Rendre obligatoire l'inscription des appareils via un système MDM.
Fonctionnement des appareils Apple en mode supervisé ("appareils de surveillance") afin d'obtenir des options de configuration étendues.
Protéger l'inscription des appareils et interdire la suppression du profil MDM sur l'appareil.
Mettre les appareils en mode "Shared iPad" (iPad partagé)
Sauter les étapes de configuration lors de la configuration initiale de l'appareil.

Avec Relution, les appareils Apple DEP peuvent être préparés de manière pratique pour être utilisés dans des scénarios de sécurité critiques.

Quelles sont les conditions requises pour utiliser le DEP ?

Pour bénéficier des avantages, il faut disposer d'un accès gratuit à l'Apple Business Manager (entreprises) ou à l'Apple School Manager (établissements d'enseignement). Les appareils Apple peuvent ensuite être inscrits au Device Enrollment Program Apple.

Il y a essentiellement deux options disponibles pour cela :

Les appareils Apple doivent être achetés en tant qu'appareils DEP. Vous pouvez le faire soit directement auprès d'Apple, soit auprès de revendeurs agréés Apple.
Les appareils Apple qui n'ont pas été acquis en tant qu'appareils DEP peuvent également être ajoutés au programme DEP à une date ultérieure depuis iOS 11. La version actuelle de l'Apple Configurator2 est nécessaire pour cela. L'ajout ultérieur d'appareils est décrit dans l'aperçu Ajouter des appareils DEP avec Apple Configurator 2 L'ajout ultérieur d'appareils macOS n'est actuellement pas prévu par Apple.

Il est recommandé d'obtenir les périphériques auprès d'un revendeur Apple agréé afin d'éviter les frais d'ajout ultérieur.

L'inscription des appareils DEP est décrite plus loin dans cet aperçu. Cela permet l'enregistrement automatique des appareils avec les appareils suivants :

appareils iOS avec iOS 7 ou plus récent
appareils iPadOS
appareils macOS avec OS X Mavericks 10.9 ou plus récent
Appareils Apple TV (4ème génération ou plus récents) avec tvOS 10.2 ou plus récent.

Comment Relution est-il lié à un compte DEP ?

Tout d'abord, un compte DEP est créé sous "Paramètres" -> "Apple Automated Device Enrollment".

insight-apple_device_enrollment_program_relution-01-en.png

Relution génère un certificat de serveur qui doit être téléchargé. Un nouveau serveur MDM est ensuite créé dans l'Apple Business Manager ou l'Apple School Manager sous "Paramètres pour la gestion des appareils".

insight-apple_device_enrollment_program_relution-02-en.png

Pour faire connaître le serveur de Relution, le certificat téléchargé à partir de Relution est téléchargé à Apple Business Manager ou Apple School Manager. Lors de la dénomination du serveur MDM, il est conseillé d'utiliser le domaine et l'organisation de Relution afin d'assurer une vue d'ensemble lorsqu'il y a plusieurs serveurs MDM.

insight-apple_device_enrollment_program_relution-03-en.png

Après cette étape, un jeton Apple peut maintenant être téléchargé pour le nouveau serveur MDM.

insight-apple_device_enrollment_program_relution-04-en.png

Pour compléter le couplage de Relution avec l'Apple Business Manager ou l'Apple School Manager afin d'utiliser le DEP, celui-ci est enregistré dans Relution sous "Upload token".

insight-apple_device_enrollment_program_relution-05-en.png

Ceci termine la configuration initiale de DEP dans Relution et le compte DEP qui a été configuré est affiché.

insight-apple_device_enrollment_program_relution-06-en.png

Actuellement, le jeton d'Apple a une date d'expiration et doit donc être mis à jour suffisamment tôt avant son expiration. Relution affiche les mises à jour en attente dans le centre de notification suffisamment tôt avant l'expiration.

Pour que les appareils DEP soient affichés dans Relution, les appareils doivent encore être affectés au serveur MDM nouvellement créé dans l'Apple Business Manager ou l'Apple School Manager dans la zone "Devices". Si un seul serveur MDM a été configuré dans Apple Business Manager ou Apple School Manager, il est conseillé d'affecter automatiquement les nouveaux appareils DEP à ce serveur MDM. À cet effet, une affectation automatique des appareils peut être configurée dans les paramètres d'Apple Business Manager ou Apple School Manager.

Comment un profil DEP est-il créé dans Relution et pourquoi est-il nécessaire ?

Pour que les appareils DEP enregistrés automatiquement dans Relution reçoivent toutes les informations de configuration nécessaires directement lors du processus d'enregistrement, un profil DEP doit être créé au préalable sous "Appareils" -> "Profils DEP". Ce profil définit les paramètres qui sont préconfigurés sur les appareils Apple avant que l'enregistrement réel de l'appareil ne soit effectué automatiquement lors du démarrage initial. Les options importantes sont les suivantes :

Forcer l'inscription au MDM
Forcer l'authentification de l'utilisateur lors de l'inscription
Surveiller l'appareil (superviser) - voir l'aperçu appareils iOS supervisés
L'utilisateur est autorisé à supprimer l'inscription au service MDM.
Activez "Shared iPad" - voir l'aperçu Relution avec l'iPad partagé par Apple

Les options "Surveiller le dispositif (superviser)" et "L'utilisateur peut supprimer l'inscription au MDM" sont particulièrement importantes. Le mode supervisé est une condition préalable pour qu'un profil MDM sur l'appareil ne puisse plus être supprimé manuellement par les utilisateurs. Cela empêche le MDM de perdre le contrôle du dispositif.

insight-apple_device_enrollment_program_relution-07-en.png

En outre, dans la zone inférieure du masque de saisie du profil DEP, vous pouvez définir les étapes de configuration qui doivent être ignorées lors de la mise en service initiale des appareils. L'option permettant d'ignorer les services de localisation ne doit pas être sélectionnée, sinon l'appareil Apple ne sera pas automatiquement affecté au bon fuseau horaire. Le fuseau horaire peut également être défini à l'aide d'une politique.

Un profil DEP peut être défini comme le profil standard pour tous les nouveaux appareils DEP à enregistrer. Les modifications apportées aux paramètres d'un profil DEP n'affecteront pas les appareils inscrits, à moins qu'ils ne soient réinitialisés et inscrits à nouveau via DEP.

Où sont affichés dans Relution les appareils DEP du compte DEP lié ?

Un aperçu de tous les appareils DEP synchronisés avec le compte DEP pour le serveur MDM correspondant est affiché sous "Appareils" -> "Inscription automatique". La liste des appareils est régulièrement comparée dans Relution avec l'Apple Business Manager ou l'Apple School Manager. Il est également possible de lancer manuellement la synchronisation des appareils. Si un appareil n'est pas affiché dans Relution, vous devez vérifier à Apple Business Manager ou Apple School Manager si l'appareil a été affecté au serveur MDM correspondant.

insight-apple_device_enrollment_program_relution-08-en.png

Un profil DEP doit être attribué à chaque appareil afin que ces appareils soient automatiquement préconfigurés lorsqu'ils sont mis sous tension pour la première fois (ou après une réinitialisation) et se connectent ensuite au serveur Relution afin de s'enregistrer automatiquement. En outre, il est possible d'y enregistrer un utilisateur de périphérique, de définir le nom du périphérique et d'attribuer des directives et des règles.

insight-apple_device_enrollment_program_relution-09-en.png

Après l'attribution du profil DEP, les appareils sont configurés en conséquence lors de la mise en service initiale ou après une réinitialisation d'usine et sont automatiquement inscrits dans Relution. Tant que l'affectation du profil DEP n'est pas modifiée, la réinitialisation d'un appareil Apple entraîne une nouvelle inscription. Au cours de l'inscription, les configurations sont à nouveau importées à l'aide de directives. Lors de la réinitialisation, il faut bien sûr noter que toutes les données, les applications ou les paramètres réglés manuellement sur l'appareil sont supprimés et ne peuvent pas être restaurés automatiquement à partir d'une sauvegarde existante.

Peut-on transférer des appareils DEP d'un autre système MDM à Relution ?

En créant le serveur Relution à Apple Business Manager ou Apple School Manager, en lui attribuant les appareils DEP et en réinitialisant les appareils aux paramètres d'usine, il est facile de passer d'un autre système MDM à Relution. Lorsque les appareils DEP sont remis à l'état de livraison, toutes les apps, les données et les paramètres de l'appareil sont supprimés. Au redémarrage, les appareils s'enregistrent automatiquement auprès de Relution et reçoivent les configurations attribuées via le profil DEP attribué par Relution.

Ce mécanisme peut également être utilisé pour déplacer facilement les appareils d'un serveur de Relution à un autre serveur de Relution.

Les appareils Apple peuvent être réinitialisés dans Relution dans la liste d'inventaire des appareils en utilisant l'action "Reset device to factory settings" :

insight-apple_device_enrollment_program_relution-10-en.png

Les appareils peuvent également être réinitialisés à l'aide de l'app Apple Configurator 2 sur un Mac via USB.

Latest Insights

Les géozones dans le MDM : un contrôle maximal des terminaux mobiles
10.03.2025
Les géozones dans le MDM : un contrôle maximal des terminaux mobiles
Conformité à la protection des données avec Relution - Maintenant plus que jamais
28.02.2025
Conformité à la protection des données avec Relution - Maintenant plus que jamais
Mode Kiosque de Relution : Gestion des appareils plus sûre et plus simple
03.02.2025
Mode Kiosque de Relution : Gestion des appareils plus sûre et plus simple
Cybersécurité, protection des données et solutions innovantes avec Relution
10.01.2025
Cybersécurité, protection des données et solutions innovantes avec Relution
Le VPN expliqué simplement : comment un réseau privé virtuel (VPN) protège vos données
16.12.2024
Le VPN expliqué simplement : comment un réseau privé virtuel (VPN) protège vos données
Relution agit indépendamment de la plate-forme
03.12.2024
Relution agit indépendamment de la plate-forme
Relution, une solution UEM globale pour le BYOD et le COPE
14.11.2024
Relution, une solution UEM globale pour le BYOD et le COPE
Solution cloud ou sur site ?
07.11.2024
Solution cloud ou sur site ?
La gestion des appareils numériques en bref
27.09.2024
La gestion des appareils numériques en bref
MDM en bref
12.09.2024
MDM en bref