Réglages d’enrôlement par l’utilisateur

L’enrôlement est le processus consistant à ajouter des ordinateurs et des appareils mobiles à Jamf Pro. Ce processus établit une connexion entre les ordinateurs et les appareils mobiles et le serveur Jamf Pro. L’enrôlement par l’utilisateur permet aux utilisateurs de lancer eux-mêmes le processus d’enrôlement en accédant à une URL d’enrôlement. Par exemple :

  • https://JAMF_PRO_URL.jamfcloud.com/Enrôler (hébergement dans Jamf Cloud)

  • https://JAMF_PRO_URL.com:8443/Enrôler (hébergement local)

Remarque :

Les utilisateurs doivent utiliser Safari pour accéder à l’URL d’enrôlement sur les appareils mobiles.

Les utilisateurs peuvent enrôler les appareils suivants :

  • Ordinateurs Mac

  • Appareils iOS et iPadOS appartenant à l’établissement

  • Appareils iOS et iPadOS personnels

Configuration des réglages d’enrôlement par l’utilisateur

Les réglages d’enrôlement par l’utilisateur de Jamf Pro configurent pour les appareils tout ce qui est relatif à l’enrôlement tel que les restrictions, les workflows et l’expérience des utilisateurs.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Enrôlement à l’initiative de l’utilisateur .
  3. Cliquez sur Modifier .
  4. Utilisez le volet Général pour configurer les réglages afin de limiter le réenrôlement, ignorer l’installation du certificat ou téléverser un certificat de signature tiers à utiliser lors de l’enrôlement.
    Remarque :

    L’étape d’installation du certificat est ignorée par défaut.

  5. Utilisez le volet Message pour personnaliser le texte qui s’affiche sur les appareils au cours de l’enrôlement.

    Plusieurs langues sont disponibles pour ce texte. Utilisez « Markdown » pour le mettre en forme. Pour plus d’informations sur l’utilisation de Markdown pour personnaliser les messages, consultez l’article Using Markdown to Format Text (Utilisation de Markdown pour mettre en forme du texte).

    1. Pour ajouter une langue, cliquez sur Ajouter , puis choisissez la langue dans le menu contextuel Langue. Pour personnaliser une langue existante, cliquez sur Modifier .
      Remarque :

      L’anglais est la langue par défaut si aucune langue n’est prédéfinie pour l’appareil.

    2. Dans le champ Titre de page pour l’enrôlement, saisissez un titre de page à afficher en haut de toutes les pages d’enrôlement.
    3. Utilisez la boîte de dialogue Langue pour personnaliser les réglages, notamment les messages Ouverture de session et Propriété de l’appareil.
    4. Cliquez sur Enregistrer.
  6. Utilisez le volet macOS pour activer l’enrôlement par l’utilisateur et configurer le compte de gestion pour les ordinateurs Mac.
  7. Utilisez le volet iOS pour activer l’Enrôlement par l’utilisateur à partir d’un profil (enrôlement par l’utilisateur via l’URL) et l’Enrôlement par l’utilisateur à partir d’un compte (enrôlement par l’utilisateur via un Identifiant Apple géré) pour les appareils mobiles.
    Remarque :

    Si certains de vos appareils personnels sont actuellement enrôlés dans Jamf Pro via un profil d’appareil personnel, activer l’Enrôlement par l’utilisateur à partir d’un compte ou l’Enrôlement par l’utilisateur à partir d’un profil n’annule pas leur gestion.

  8. Utilisez le volet Accès pour autoriser un groupe LDAP à accéder à l’enrôlement des appareils mobiles au moyen d’une URL d’enrôlement sans invitation.

    Lorsque des sites sont définis dans Jamf Pro, vous pouvez choisir un site à afficher aux groupes d’utilisateurs LDAP pendant l’enrôlement.

    Remarque :

    Si un utilisateur LDAP appartient à plusieurs groupes d’utilisateurs LDAP dans Jamf Pro, l’utilisateur pourra sélectionner les sites que vous affectez à chaque groupe auquel il appartient.

  9. Cliquez sur Enregistrer .

Réglages des messages qui s’affichent lors de l’enrôlement par l’utilisateur

Si la plupart des réglages des messages s’appliquent à la fois aux ordinateurs et aux appareils mobiles, les suivants ne concernent que les appareils mobiles :
  • Propriété de l’appareil

  • Certificat

  • Profil MDM de l’appareil institutionnel

  • Profil MDM personnel

  • Profil MDM d’enrôlement de l’utilisateur

Le réglage Paquet QuickAdd s’applique uniquement aux ordinateurs Mac.

Vous pouvez utiliser la boîte de dialogue Langue du volet Message pour personnaliser les réglages suivants :
Ouverture de session
Personnalisez la façon dont vous voulez que la page Ouverture de session s’affiche pour les utilisateurs.
Remarque :

Il s’agit du seul réglage qu’il est possible de personnaliser pour Enrôlement par l’utilisateur à partir d’un compte.

Propriété de l’appareil

Personnalisez le texte qui s’affiche pour les utilisateurs selon le type de propriété de leur appareil mobile.

Le texte affiché sur la page d’enrôlement dépend des options d’enrôlement activées :

  • Appareils mobiles personnels et appartenant à l’institutionPersonnalisez le texte qui invite les utilisateurs à choisir le type de propriété de l’appareil, puis personnalisez la description de la gestion des appareils, qui explique l’intervention du service informatique en fonction du type de propriété. Lorsque les utilisateurs sélectionnent le type de propriété de l’appareil personnel ou institutionnel, la description de la gestion des appareils respectifs s’affiche.
  • Appareils personnels uniquementPersonnalisez la description de la gestion des appareils, qui explique l’intervention du service informatique pour les appareils personnels. Les utilisateurs peuvent accéder à cette description en touchant l’icône Information affichée sur la page Profil MDM personnel lors de l’enrôlement.
Contrat de licence d’utilisateur final

Renseignez un contrat de licence d’utilisateur final (CLUF) pour les appareils personnels.

Si les champs CLUF sont laissés vides, ils ne s’affichent pas pour les utilisateurs lors de l’enrôlement.

Sites

Personnalisez le message qui invite les utilisateurs à choisir un site.

Si un utilisateur se connecte avec un compte utilisateur Jamf Pro, il peut affecter un utilisateur LDAP à l’ordinateur ou à l’appareil mobile. Si plusieurs sites apparaissent dans Jamf Pro et que vous avez saisi des informations dans le volet Profil MDM personnel, ces informations sont présentées aux utilisateurs lorsqu’ils sont invités à choisir un site.

Remarque :

Ce réglage ne s’applique pas à l’enrôlement par l’utilisateur.

Certificat
Personnalisez le message qui invite les utilisateurs à installer le certificat CA pour approuver les appareils mobiles lors de l’enrôlement.
Profil MDM de l’appareil institutionnel
Personnalisez le message qui invite les utilisateurs à installer le profil MDM pour les appareils appartenant à l’établissement.
Profil MDM personnel
Personnalisez le message qui invite les utilisateurs à installer le profil MDM pour les appareils personnels.
Profil MDM d’enrôlement de l’utilisateur
Personnalisez le message qui invite les utilisateurs à installer le profil MDM, y compris les conseils destinés aux utilisateurs relatifs à la saisie de leur Identifiant Apple géré.
Paquet QuickAdd
Personnalisez le message qui invite les utilisateurs à télécharger et installer le paquet QuickAdd sur des ordinateurs Mac enrôlés.
Terminer
Personnalisez les messages qui sont affichés pour les utilisateurs en cas de réussite ou d’échec de l’enrôlement.

Création d’un compte de gestion au cours de l’enrôlement d’un ordinateur

Lorsque vous enrôlez des ordinateurs, vous devez spécifier un compte administrateur local appelé « compte de gestion ». Cela est nécessaire pour que les ordinateurs soient considérés comme étant gérés par Jamf Pro. Créer ce compte de gestion sur les ordinateurs est toutefois facultatif et n’est requis que pour certains workflows. Le compte de gestion ne doit être créé que si vous souhaitez exécuter les tâches suivantes sur l’ordinateur :

L’utilisation d’une règle pour administrer le compte de gestion vous permet de faire ce qui suit :

  • Partage d’écran avec Jamf Remote

  • Authentification pour lancer une session SSH en utilisant Jamf Remote afin que l’ordinateur se connecte à Jamf Pro pour exécuter les règles

  • Enrôlement d’ordinateurs avec macOS 10.15.7 ou version antérieure avec Recon, et notamment création d’un paquet QuickAdd.pkg pour les enrôlements avec Jamf Binary

  • Activer FileVault en utilisant une règle (lorsque le SecureToken est activé sur le compte de gestion)

  • Ajouter ou supprimer des utilisateurs de FileVault en utilisant une règle (lorsque le SecureToken est activé sur le compte de gestion)

  • Générer une clé de secours personnelle en utilisant une règle (lorsque le SecureToken est activé sur le compte de gestion)

  • Exécuter des redémarrages authentifiés en utilisant une règle (lorsque le SecureToken est activé sur le compte de gestion)

Pour activer le compte de gestion, vous devez activer l’enrôlement par l’utilisateur, puis configurer le nom d’utilisateur et le mot de passe du compte de gestion. Pour une sécurité maximale, il est recommandé de choisir l’option Générer les mots de passe aléatoirement. Vous pouvez voir si un ordinateur est géré par le compte de gestion en consultant le champ d’attribut Managed (Géré) dans les données d’inventaire de l’ordinateur.

Important :

Jamf déconseille l’utilisation d’un mot de passe commun et connu pour le compte de gestion ou pour la connexion locale aux ordinateurs. De plus, vous ne devez pas utiliser le compte de gestion pour vous connecter localement aux ordinateurs. Si vous avez besoin d’un compte pour vous connecter localement à un ordinateur, créez pour cela un compte d’administrateur local plutôt que d’utiliser le compte de gestion. Vous pouvez créer un compte d’administrateur local à l’aide des méthodes suivantes :

  • Configuration de l’entité Comptes locaux d’une règle

    Pour plus d’informations, voir Comptes locaux.

  • Configuration du compte local lors de l’enrôlement PreStage d’un ordinateur

    Pour plus d’informations, voir Enrôlements PreStage d’ordinateurs.

  • Création d’un script

Enrôlement d’appareils mobiles personnels

Les appareils mobiles personnels peuvent être enrôlés avec Jamf Pro via l’enrôlement des utilisateurs piloté par les comptes (iOS 15 ou version ultérieure, ou iPadOS 15 ou version ultérieure) ou via l’enrôlement par l’utilisateur (iOS 13.1 ou version ultérieure, ou iPadOS 13.1 ou version ultérieure). Ces deux méthodes sont conçues pour garantir la sécurité des données de l’entreprise sur les appareils tout en protégeant la vie privée de l’utilisateur. L’enrôlement des appareils personnels sépare les données personnelles et institutionnelles en associant un identifiant Apple personnel aux données personnelles et un identifiant Apple géré aux données de l’entreprise. Elle permet une gestion limitée des appareils via un ensemble de réglages associant la gestion à l’utilisateur, et non de l’ensemble de l’appareil. L’utilisateur peut accéder aux données de l’entreprise sans que l’administrateur efface, modifie ou affiche les données personnelles. Cette séparation permet aux utilisateurs de protéger leurs données personnelles et de les garder intactes une fois que l’appareil est supprimé de Jamf Pro et que les données de l’entreprise sont effacées. Pour plus d’informations sur les fonctionnalités de gestion de l’enrôlement par l’utilisateur, voir Fonctionnalités de gestion d’appareils mobiles.

Pour créer des identifiants Apple gérés, vous devez utiliser l’authentification fédérée pour associer Apple School Manager ou Apple Business Manager à votre entité de Microsoft Azure Active Directory (AD) ou les créer manuellement dans Apple School Manager ou Apple Business Manager. Pour plus d’informations, consultez la documentation Apple suivante :

Limitation de responsabilité :

Les profils d’appareils personnels sont désormais obsolètes et ne sont plus recommandés comme méthode d’enrôlement des appareils personnels. L’enrôlement par l’utilisateur est désormais la méthode préférée d’Apple pour l’enrôlement des appareils personnels dans un programme BYOD (Apportez votre appareil personnel). Pour plus d’informations sur l’enrôlement d’appareils iOS ou iPadOS personnels avec Jamf Pro, consultez le document technique Créer un programme BYOD avec l’enrôlement par l’utilisateur et Jamf Pro. Pour obtenir la documentation concernant les profils d’appareils personnels, consultez la version 10.27.0 ou antérieure du Guide de l’administrateur Jamf Pro.