Citrix Endpoint Management

Options d’inscription des utilisateurs

Vous pouvez inscrire un grand nombre d’appareils iOS dans Endpoint Management de différentes façons. Avant d’examiner les détails, décidez quels appareils vous souhaitez inscrire à MDM+MAM, MDM ou MAM. Pour plus d’informations sur ces modes de gestion, consultez la section Modes de gestion.

Au plus haut niveau, il y a quatre options d’inscription :

  • Invitation d’inscription : envoyez une invitation d’inscription ou un lien d’invitation aux utilisateurs.
  • Portail en libre-service : configurez un portail que les utilisateurs peuvent visiter pour télécharger Secure Hub et enregistrer leurs appareils ou leur envoyer une invitation d’inscription.
  • Inscription manuelle : envoyez un e-mail, un manuel ou toute autre communication permettant aux utilisateurs de savoir que le système est opérationnel et qu’ils peuvent s’inscrire. Les utilisateurs téléchargent ensuite Secure Hub et inscrivent leurs appareils manuellement.
  • Enterprise : l’inscription des appareils peut également s’effectuer via un programme de déploiement d’Apple et Google Android Enterprise. Grâce à chacun de ces programmes, vous pouvez acheter des appareils préconfigurés, prêts à être utilisés par les employés. Pour plus d’informations, consultez les articles sur le programme de déploiement d’Apple de l’assistance Apple et la documentation sur Google Android Enterprise sur le Site Web Android Enterprise.

Invitation d’inscription

Vous pouvez envoyer une invitation d’inscription aux utilisateurs d’appareils iOS, macOS et Android. Vous pouvez également envoyer un lien d’installation via SMTP ou SMS aux utilisateurs d’appareils iOS, macOS, Android ou Windows. Pour de plus amples informations, consultez Inscrire des appareils.

Si vous choisissez d’utiliser la méthode d’invitation d’inscription, vous pouvez :

  • Choisir parmi sept modes d’inscription, selon la plateforme.
  • Utiliser n’importe quelle combinaison de modes.
  • Activez ou désactivez les modes à partir de la page Paramètres de Endpoint Management.
  • Sélectionnez une valeur par défaut dans Nom d’utilisateur+ Mot de passe, Deux facteurs et Nom d’utilisateur+ PIN. Pour de plus amples informations sur chaque mode d’inscription, consultez la section Configurer les modes d’inscription.

Si vous choisissez le mode basé sur un certificat, envisagez d’exclure l’authentification traditionnelle Nom d’utilisateur + Mot de passe des options autorisées. L’authentification Nom d’utilisateur + Mot de passe peut exposer un vecteur d’intégration faible dans votre environnement et potentiellement annuler la qualité de sécurité requise.

Les invitations servent à plusieurs fins. L’utilisation la plus courante des invitations consiste à informer les utilisateurs que le système est disponible et qu’ils peuvent s’inscrire. Les URL d’invitation sont uniques. Une fois qu’un utilisateur a utilisé une URL d’invitation, cette URL n’est plus disponible. Vous pouvez utiliser cette propriété pour limiter les utilisateurs ou les appareils qui s’enregistrent sur votre système.

Vous pouvez configurer Endpoint Management pour que les utilisateurs iOS fournissent des informations d’identification lors de l’inscription de l’une des manières suivantes :

  • Les utilisateurs entrent leurs informations d’identification lors de l’inscription.

  • Les utilisateurs insèrent une carte à puce provenant d’un fournisseur d’informations d’identification dérivé dans un lecteur relié à leur bureau. Pour plus de détails sur les informations d’identification dérivées, consultez la section Informations d’identification dérivées.

Lors de la configuration d’un profil d’inscription, vous pouvez contrôler le nombre d’appareils que des utilisateurs spécifiques peuvent inscrire, en fonction des groupes Active Directory. Par exemple, vous pouvez autoriser un seul appareil par utilisateur pour votre service financier.

Soyez conscient des coûts supplémentaires et des problèmes de certaines options d’inscription. Envoyer des invitations à l’aide de SMS nécessite une infrastructure supplémentaire. Pour de plus amples informations sur cette option, consultez la section Notifications.

En outre, pour envoyer des invitations par e-mail, assurez-vous que les utilisateurs disposent d’un moyen d’accéder à leurs e-mails en dehors de Secure Hub. Vous pouvez utiliser des modes d’inscription à mot de passe à usage unique (OTP) comme alternative aux mots de passe Active Directory pour l’inscription MDM.

Portail en libre-service

Les utilisateurs peuvent demander une invitation d’inscription via le portail en libre-service. Le mode par défaut est Nom d’utilisateur + Mot de passe, mais vous pouvez également modifier cette condition sur Deux facteurs ou Nom d’utilisateur + Code PIN. Pour plus d’informations sur la configuration du portail en libre-service, consultez la section Configurer les modes d’inscription.

Inscription manuelle

Lors de l’inscription manuelle, les utilisateurs se connectent à Endpoint Management via la découverte automatique ou en entrant les informations du serveur. Si la découverte automatique est activée, les utilisateurs se connectent avec uniquement leur adresse e-mail ou leurs informations d’identification Active Directory au format Nom d’utilisateur principal. Si la découverte automatique n’est pas activée, ils doivent entrer l’adresse du serveur et leurs informations d’identification Active Directory. Pour plus d’informations sur la découverte automatique, consultez la section Configurer la détection automatique Endpoint Management.

Vous pouvez faciliter l’inscription manuelle de plusieurs façons. Vous pouvez créer un guide, le distribuer aux utilisateurs et leur demander de s’inscrire eux-mêmes. Vous pouvez demander à votre département informatique d’inscrire manuellement des groupes d’utilisateurs dans certains créneaux horaires. Vous pouvez utiliser n’importe quelle méthode similaire où les utilisateurs doivent entrer leurs informations d’identification ou les informations sur le serveur.

Intégration de l’utilisateur

Une fois l’environnement configuré, vous devez décider comment intégrer les utilisateurs dans votre environnement. Une section précédente de cet article traite des spécificités des modes d’inscription des utilisateurs. Cette section traite de la manière dont vous communiquez avec les utilisateurs.

Inscription ouverte ou invitation sélective

Lors de l’intégration d’utilisateurs, vous pouvez autoriser l’inscription par deux méthodes de base :

  • Inscription ouverte. Par défaut, tout utilisateur disposant d’informations d’identification LDAP et d’informations d’environnement Endpoint Management peut s’inscrire.
  • Inscription limitée. Vous pouvez limiter le nombre d’utilisateurs en autorisant uniquement les utilisateurs ayant des invitations d’inscription. Vous pouvez également limiter l’inscription ouverte par groupe Active Directory.

Avec la méthode d’invitation, vous pouvez également limiter le nombre d’appareils qu’un utilisateur peut inscrire. Dans la plupart des situations, l’inscription ouverte est acceptable, mais il y a quelques points à considérer :

  • Pour l’inscription MAM, vous pouvez facilement limiter l’inscription ouverte via l’appartenance à un groupe Active Directory.
  • Pour l’inscription MDM, vous pouvez limiter le nombre d’appareils pouvant s’inscrire en fonction de l’appartenance à un groupe Active Directory. Si vous autorisez uniquement les appareils d’entreprise dans votre environnement, cette limitation ne pose normalement pas de problème. Toutefois, vous pouvez envisager cette méthode dans un environnement de travail BYOD dans lequel vous souhaitez limiter le nombre d’appareils.

L’invitation sélective est généralement effectuée moins souvent car elle nécessite un peu plus de travail que l’inscription ouverte. Pour que les utilisateurs puissent inscrire leurs appareils dans votre environnement, vous devez envoyer une invitation unique à chaque utilisateur. Pour plus d’informations sur l’envoi d’une invitation d’inscription, consultez la section Invitations d’inscription.

Envoyez une invitation pour chaque utilisateur ou groupe que vous souhaitez inscrire dans votre environnement. Ce processus peut prendre beaucoup de temps en fonction de la taille de votre organisation. Il est possible d’utiliser des groupes Active Directory pour créer des invitations par lots, mais vous devez effectuer cette approche par vagues.

Premier contact avec les utilisateurs

Après avoir décidé d’utiliser l’inscription ouverte ou l’invitation sélective et configuré ces environnements, informez les utilisateurs de leurs options d’inscription.

Si vous utilisez la méthode d’invitation sélective, les e-mails et SMS font partie du processus. Vous pouvez également envoyer des e-mails via la console Endpoint Management pour une inscription ouverte. Pour plus de détails, consultez la section Invitations d’inscription.

Dans les deux cas, notez que vous avez besoin d’un serveur SMTP pour les e-mails. Vous avez besoin d’un serveur SMS pour les messages texte. Cela peut occasionner des coûts supplémentaires à prendre en compte lors de votre prise de décision. Avant de sélectionner une méthode, tenez compte de la manière dont vous souhaitez que les nouveaux utilisateurs accèdent aux informations, comme les e-mails. Si vous souhaitez que tous les utilisateurs accèdent à leurs e-mails via Endpoint Management, leur envoyer un e-mail d’invitation serait problématique.

Vous pouvez également envoyer des communications par un autre moyen en dehors de Endpoint Management pour un environnement d’inscription ouvert. Pour cette option, assurez-vous d’inclure toutes les informations pertinentes. Indiquez aux utilisateurs où ils peuvent obtenir l’application Secure Hub et quelle méthode utiliser pour s’inscrire. Si la découverte est désactivée, fournissez également aux utilisateurs l’adresse du serveur Endpoint Management. Pour en savoir plus sur la découverte, consultez la section Configurer la détection automatique Endpoint Management.

Options d’inscription des utilisateurs