Après avoir fait une annonce par Microsoft l’été dernier concernant leur engagement envers la gestion des appareils Apple, Microsoft est enthousiastes de vous présenter dix façons essentielles par lesquelles Microsoft Intune renforce la sécurité et facilite la gestion et la protection des appareils macOS, iOS et iPadOS.
Microsoft a pour objectif d’aider les organisations à répondre aux besoins de gestion des terminaux sur l’ensemble de leur infrastructure. Cette approche, combinée aux retours de nos clients, nous pousse à innover en permanence afin de créer les meilleures expériences possibles pour les utilisateurs et les administrateurs informatiques qui optent pour les appareils Apple dans leur travail.
Par exemple, Intune alimente désormais la gestion des appareils macOS chez EY. Grâce à une collaboration de deux ans avec leur équipe de produits de configuration de bureau, EY peut désormais gérer facilement et efficacement ses appareils macOS aux côtés de Windows grâce à Intune. En plus des centaines de milliers de postes de travail Windows gérés par Intune, EY prévoit d’ajouter des dizaines de milliers d’appareils macOS.
Microsoft est impatients de faire bénéficier de cette valeur ajoutée aux nombreux utilisateurs finaux et aux entreprises qui choisissent quotidiennement les appareils Apple pour mener à bien leurs activités professionnelles. Voici quelques-unes des améliorations à court terme proposées par Intune :
- DMG apps for macOS
- PKG installers for macOS
- macOS software updates
- JIT for macOS
- Local account management
- Account driven user enrollment for iOS
- ADE enrollment
- JIT enrollment for iOS
- Shared Device Mode provisioning for iOS
- DDM policy management for iOS
Simplification des déploiements d’applications DMG pour les appareils Mac
La conversion d’applications au format PKG était fastidieuse et nécessitait une expertise en packaging. La capacité d’installation des applications DMG complète les scénarios de gestion d’applications natives pour les appareils macOS gérés par Intune en introduisant un nouveau pipeline de déploiement d’applications qui utilise l’agent MDM d’Intune pour installer, surveiller et rapporter les applications de type DMG. Depuis l’annonce de la version de prévisualisation, nous avons écouté les commentaires de nos clients et y avons répondu.
Nous ajoutons maintenant la possibilité de déployer des mises à jour d’applications DMG sur place. Nous prévoyons de rendre la capacité d’installation d’applications DMG disponible dans les prochains mois.
Installations flexibles de PKG
Nous avons entendu à maintes reprises que le flux de travail existant pour les applications métier sur Mac vous empêchait d’atteindre vos objectifs organisationnels. Nous travaillons activement sur une solution qui facilitera le déploiement d’applications avec des scripts personnalisés et d’applications non signées. Cette solution utilisera l’agent MDM d’Intune pour déployer des installateurs de type PKG.
Bien que nous continuerons de prendre en charge et d’améliorer les expériences de gestion d’applications de type PKG natives pour macOS, nous pensons que les nouvelles expériences de distribution et de surveillance d’applications de type PKG basées sur l’agent Intune offrent plus de flexibilité et de personnalisation.
Initialement, nous prendrons en charge les installations de PKG pour le type d’affectation « requis ». Les autres types d’affectation suivront. Nous prévoyons de lancer la préversion publique de la capacité d’installation de PKG en utilisant l’agent MDM Intune au troisième trimestre de cette année afin de recueillir vos commentaires.
Réduction des vulnérabilités en maintenant à jour vos logiciels macOS
La gestion des mises à jour logicielles est essentielle pour la sécurité des appareils. En restant à jour avec les mises à jour qui corrigent les vulnérabilités logicielles, vous pouvez réduire la surface d’attaque globale dans votre organisation.
Les politiques de mise à jour système pour macOS dans Intune reposent sur les commandes MDM d’Apple. Cela vous offre une expérience native du client de mise à jour logicielle macOS et réduit la dépendance vis-à-vis de scripts ou d’installations manuelles initiées par l’utilisateur.
Maintenant disponible, Intune vous offre un contrôle supplémentaire sur le type de mises à jour que vous souhaitez installer, que ce soit pour mettre à jour les outils de protection contre les logiciels malveillants intégrés ou l’ensemble du système d’exploitation. Vous pouvez également configurer le comportement de chaque type de mise à jour, par exemple en forçant l’installation immédiate d’une mise à jour pour atténuer une vulnérabilité ou en planifiant l’installation d’une mise à jour moins urgente à un moment propice pour minimiser les interruptions de productivité pour les utilisateurs.
Onboarding cohérent pour tous les appareils Apple
La capacité de SSO (Single Sign-On) d’Apple pour macOS offre une excellente opportunité de repenser l’expérience d’intégration des employés sur les Mac. Plus tard cette année, nous prévoyons de proposer une solution qui changera fondamentalement cette expérience, en créant une méthode familière et cohérente pour intégrer les nouveaux utilisateurs sur tous les appareils Apple.
Nos plans reposent sur la nouvelle expérience d’inscription macOS/iPadOS « Just-In-Time » (JIT) qui facilitera davantage l’intégration des appareils Mac pour les utilisateurs de Macs appartenant à l’organisation. Après l’inscription, ils pourront se connecter à l’extension Enterprise Single Sign-On pour établir une connexion unique sur les applications compatibles Azure AD et utiliser leur mot de passe Azure AD pour se connecter à leur Mac. Avec l’utilitaire JIT intégré à l’extension Azure AD Enterprise Single Sign-On, l’authentification ne nécessitera pas l’application Company Portal pour accéder aux ressources protégées par l’Accès conditionnel.
Nous prévoyons également de prendre en charge une méthode d’authentification alternative qui utilise la clé Secure Enclave lors de l’authentification sur le web ou les applications compatibles Azure AD. Peu importe la méthode d’authentification que vous choisissez, les utilisateurs apprécieront cette expérience plus fluide car elle sera semblable à une expérience native macOS.
Gestion des comptes locaux sur macOS
Nous développons activement la prise en charge du compte administrateur local et de la création de compte principal local lors de l’ADE (automated device enrollment) macOS. Le plan consiste à vous permettre de personnaliser les paramètres du compte administrateur local dans les profils d’inscription macOS existants et nouveaux pour les appareils s’inscrivant avec une affinité utilisateur-appareil (Assistant de configuration avec authentification moderne et Assistant de configuration hérité). Soyez à l’affût d’une annonce imminente concernant la préversion publique de la gestion des comptes locaux pour macOS, une partie essentielle du flux d’ADE macOS.
Inscription plus rapide des utilisateurs pour les appareils personnels (BYOD)
L’inscription basée sur le compte utilisateur est une nouvelle version de l’inscription utilisateur. Ce flux mis à jour utilise l’inscription « Just-in-Time » (JIT), supprime l’exigence de l’application iOS Company Portal et offre aux utilisateurs une expérience d’intégration fluide. Les utilisateurs peuvent initier l’inscription directement dans l’application Paramètres d’iOS/iPadOS, terminer le processus en quelques étapes seulement et accéder aux ressources de l’entreprise depuis leurs appareils personnels.
Avec cette version qui sera disponible dans les prochains mois, nous introduirons également une fonctionnalité d’inscription avec une seule authentification (Single Sign-On, SSO). Les utilisateurs n’auront besoin de s’authentifier qu’une seule fois dans tout le processus pour terminer l’inscription et établir une connexion unique sur l’appareil.
Dans Intune, vous pouvez cibler les appareils iOS/iPadOS 15+ pour l’inscription basée sur le compte utilisateur et continuer à cibler les appareils avec des versions antérieures d’iOS/iPadOS pour l’inscription utilisateur avec la méthode du portail d’entreprise. Les appareils exécutant iOS/iPadOS 14.8.1 et les versions inférieures ne seront pas affectés par cette mise à jour et pourront continuer à utiliser l’inscription utilisateur actuelle avec le portail d’entreprise.
Nous sommes ravis de proposer cette expérience améliorée à nos utilisateurs finaux pour les aider à devenir productifs le plus rapidement possible.
Sécurisation de l’inscription ADE
Pour améliorer davantage et sécuriser l’ADE (automated device enrollment) grâce à la personnalisation de l’administration, Intune prendra en charge la commande iOS/iPadOS « Awaiting Final Configuration » pendant l’ADE en préversion publique avec la version 2303 d’Intune. Pour l’Assistant de configuration iOS/iPadOS avec une authentification moderne, lors de l’inscription d’appareils sans affinité utilisateur-appareil et en mode partagé Azure AD, un nouveau paramètre Intune sera disponible pour vous permettre de configurer la majorité des politiques de configuration de l’appareil sur l’appareil d’entreprise avant que l’utilisateur final ne quitte l’Assistant de configuration.
Ce paramètre sera disponible pour les nouveaux profils d’inscription ainsi que pour les profils d’inscription existants. L’avantage de cette fonctionnalité est que l’appareil sera principalement configuré en fonction des profils d’administration ciblés qui maintiennent la sécurité de l’appareil et le personnalisent en fonction des politiques de l’organisation lorsque l’utilisateur final arrive sur l’écran d’accueil de son appareil.
En permettant aux appareils ADE d’être utilisés exactement comme prévu par l’organisation dès que les utilisateurs finaux arrivent sur leur écran d’accueil, ils peuvent immédiatement être productifs sur l’appareil configuré. Support de cette commande (document Apple MDM).
Réduction du temps d’inscription iOS
Nous continuons à explorer de nouvelles façons d’améliorer les expériences d’inscription sur les appareils iOS/iPadOS. Avec l’introduction de la fonctionnalité « Just-In-Time » (JIT), l’application iOS Company Portal ne sera plus nécessaire pour l’enregistrement AAD. Cela nous permet d’évoluer vers un flux d’inscription basé sur le web pour les scénarios « Bring Your Own Device » (BYOD).
L’inscription via le web permettra un processus d’inscription de bout en bout beaucoup plus rapide, réduisant le besoin de passer d’une application à l’autre et le nombre d’étapes d’authentification. Les utilisateurs seront guidés vers un nouveau portail d’entreprise basé sur le web pour initier l’inscription, vérifier la conformité de l’appareil et consulter les étapes de remédiation. Nous prévoyons de publier cette nouvelle expérience d’ici août 2023 afin d’améliorer l’expérience d’intégration des utilisateurs finaux.
Zero touch provisioning pour les appareils iOS partagés
Pour répondre à la demande croissante d’appareils iOS partagés, la préversion publique du mode partagé (Shared Device Mode, SDM) introduit une expérience de provisioning sans contact (Zero Touch Provisioning, ZTP). Vous pouvez configurer un appareil comme appareil partagé via le portail Intune. Après le déploiement, l’appareil sera configuré avec le mode partagé sans intervention de l’utilisateur final.
La préversion publique prend en charge Microsoft Teams et toute application qui implémente la bibliothèque d’authentification Microsoft (MSAL) et le mode partagé. Les utilisateurs d’un appareil partagé bénéficieront d’une expérience de connexion et de déconnexion unique pour toutes les applications prises en charge. Intune travaille sur l’ajout de la possibilité d’appliquer des stratégies de protection d’applications aux appareils iOS en mode partagé plus tard dans l’année.
Facilité de migration vers la gestion déclarative des appareils
Apple a introduit le nouveau protocole de gestion déclarative des appareils (Declarative Device Management, DDM) en 2021. Il met l’accent sur la gestion des politiques au niveau de l’appareil plutôt que par le biais du serveur. En août 2022, nous avons annoncé le premier support du DDM sur le marché avec la possibilité de configurer des politiques DDM en utilisant le catalogue de paramètres iOS/iPadOS. Un mois plus tard, nous avons étendu le DDM au catalogue de paramètres macOS.
L’un des avantages les plus utiles du DDM est qu’il coexiste avec le protocole MDM standard sans impact sur l’expérience utilisateur. Intune vous permet d’envoyer la politique que vous créez dans le catalogue de paramètres et une politique basée sur le DDM aux appareils compatibles DDM, ainsi que d’envoyer la politique basée sur le MDM standard à ceux qui utilisent encore l’ancien protocole. Grâce à cette flexibilité offerte par Intune, il sera plus facile de migrer en douceur vers le nouveau protocole DDM d’Apple au fil du temps.
Nous sommes ravis de continuer à intégrer les capacités du DDM dans Intune. Non seulement cela améliorera les performances de livraison des politiques, mais cela nous permettra également de développer davantage la conformité des appareils, l’inventaire des applications et d’autres fonctionnalités à l’avenir.
Plus tôt ce mois-ci, vous avez peut-être vu les actualités sur le lancement de la suite Microsoft Intune, qui rassemble les fonctionnalités essentielles de gestion avancée des points d’extrémité et de sécurité dans Intune. Cette suite met l’accent sur l’intégration des services Microsoft 365 et Microsoft Security, ainsi que sur les avantages pour les organisations ayant besoin de simplifier la gestion des points d’extrémité, renforcer la sécurité et réduire les coûts.
Dans les mois à venir, nous annoncerons davantage de plans pour étendre les fonctionnalités avancées de gestion des points d’extrémité à macOS avec Microsoft Intune Remote Help, la gestion avancée des applications, les analyses avancées des points d’extrémité, en plus des fonctionnalités existantes de Microsoft Tunnel pour la gestion des applications mobiles sur iOS dans la suite Intune.