Citrix Endpoint Management

Intégration aux fonctionnalités Apple Éducation

Vous pouvez utiliser Endpoint Management en tant que solution de gestion d’appareils mobiles (MDM) dans un environnement qui utilise Apple Éducation. La prise en charge Endpoint Management inclut Apple School Manager (ASM) et l’application En classe pour iPad. La stratégie Configuration de l’éducation d’Endpoint Management configure les appareils des instructeurs et des étudiants pour une utilisation avec Apple Éducation.

Vous devez fournir des iPad préconfigurés et supervisés aux instructeurs et aux étudiants. Cette configuration inclut l’inscription à ASM dans Endpoint Management, un compte Apple ID géré configuré avec un nouveau mot de passe et les applications et iBooks d’achat en volume requis.

Voici une vue d’ensemble de la prise en charge par Endpoint Management des fonctionnalités d’Apple Éducation.

Apple School Manager

ASM est un service qui vous permet de configurer, déployer et gérer les appareils iOS (iPadOS) et les ordinateurs portables macOS utilisés dans les établissements scolaires. ASM inclut un portail Web qui permet aux administrateurs informatiques d’effectuer les opérations suivantes :

  • Attribuer des appareils du programme de déploiement d’Apple à différents serveurs MDM.

  • Acheter des licences d’achat en volume pour les applications et les iBooks.

  • Créer des identifiants Apple ID gérés en bloc. Ces identifiants Apple ID personnalisés fournissent un accès aux services Apple tels que le stockage des documents dans iCloud Drive et l’inscription aux cours de l’Apple App Store.

Vous pouvez ajouter plusieurs comptes ASM à Endpoint Management. Par exemple, cette fonctionnalité vous permet d’utiliser différents paramètres d’inscription ainsi que les options de l’Assistant d’installation par unité ou département d’éducation. Vous pouvez associer des comptes ASM à différentes stratégies.

Une fois que vous avez ajouté un compte ASM à la console Endpoint Management, Endpoint Management récupère les informations de classes et de listes. Lors de la configuration de l’appareil, Endpoint Management :

  • inscrit les appareils ;
  • installe les ressources que vous avez configurées pour le déploiement, telles que les stratégies (Configuration de l’éducation, Disposition de l’écran d’accueil, etc.) ;
  • installe les applications et les iBooks achetés via l’achat en volume.

Vous devez ensuite fournir les appareils préconfigurés aux instructeurs et aux étudiants. Si un appareil est perdu ou volé, vous pouvez utiliser la fonctionnalité Mode perdu MDM pour verrouiller et localiser les appareils.

Application En classe pour iPad

L’application En classe pour iPad permet aux enseignants de se connecter aux appareils des étudiants et de les gérer. Vous pouvez afficher les écrans de l’appareil, ouvrir des applications sur les iPads, partager et ouvrir des liens Web et présenter un écran d’étudiant sur Apple TV.

L’application En classe est gratuite dans l’App Store. Chargez l’application sur la console Endpoint Management. Utilisez ensuite la stratégie Configuration de l’éducation pour configurer l’application En classe, que vous déployez sur les appareils des enseignants.

Pour plus d’informations sur les fonctionnalités d’Apple Éducation, consultez le site Éducation d’Apple et le Guide de déploiement dans le secteur de l’éducation d’Apple sur ce site.

Conditions préalables

  • Citrix Gateway

  • Profil d’inscription configuré pour MDM+MAM.

  • Apple iPad 3ème génération (version minimale) ou iPad Mini, avec iOS 9.3 (version minimale)

Remarque :

Endpoint Management ne valide pas les comptes utilisateur ASM auprès de LDAP ou d’Active Directory. Toutefois, vous pouvez connecter Endpoint Management à LDAP ou Active Directory pour la gestion des utilisateurs et des appareils non liés à des instructeurs ou des étudiants ASM. Par exemple, vous pouvez utiliser Active Directory pour fournir Secure Mail et Secure Web à d’autres membres d’ASM, tels que les administrateurs et responsables informatiques.

Étant donné que les étudiants et les instructeurs ASM sont des utilisateurs locaux, il n’est pas nécessaire de déployer Citrix Secure Hub sur leurs appareils.

L’inscription MAM qui comprend l’authentification Citrix Gateway ne prend pas en charge les utilisateurs locaux (uniquement les utilisateurs Active Directory). Par conséquent, Endpoint Management déploie uniquement les applications et iBooks d’achat en volume requis sur les appareils des instructeurs et des étudiants.

Conditions préalables pour les iPad partagés

  • iPad Pro, iPad 5ème génération, iPad Air 2 ou ultérieur et iPad mini 4 ou ultérieur
  • Au moins 32 Go de stockage
  • Supervisé

Configuration d’Apple School Manager et d’Endpoint Management

Après avoir acheté des iPad auprès d’Apple ou de revendeurs ou d’opérateurs autorisés d’Apple : suivez le workflow de cette section pour configurer votre compte et vos appareils ASM. Ce workflow comprend des étapes à effectuer dans le portail ASM et dans la console Endpoint Management.

Suivez ces instructions pour configurer votre intégration pour tous les iPad que vous utilisez dans un modèle appareil individuel (un iPad par élève) ou pour les iPad d’instructeur (non partagés). Pour configurer les iPad partagés, consultez la section Configurer les iPad partagés.

Étape 1 : Créer votre compte Apple School Manager et suivre l’Assistant d’installation

Si vous prévoyez une mise à niveau à partir du programme de déploiement d’Apple, consultez l’article de l’assistance d’Apple, Mettre à niveau votre établissement vers ASM. Pour créer votre compte ASM, accédez à https://school.apple.com/ et suivez les instructions d’inscription. Lors de votre première connexion à ASM, l’Assistant d’installation s’ouvre.

  • Pour plus d’informations sur la configuration requise pour ASM, l’Assistant d’installation et les tâches de gestion, veuillez consulter le Guide de l’utilisateur d’Apple School Manager.

  • Lorsque vous configurez ASM, utilisez un nom de domaine différent du nom de domaine d’Active Directory. Par exemple, ajoutez au nom de domaine ASM un préfixe tel que appleid.

  • Lorsque vous connectez ASM à vos données de liste, ASM crée des identifiants Apple ID gérés pour les instructeurs et les étudiants. Vos données de liste comprennent les instructeurs, les étudiants et les classes. Pour plus d’informations sur l’ajout de données de liste à ASM, reportez-vous au Guide de l’utilisateur d’ASM, référencé précédemment.

  • Vous pouvez personnaliser le format des identifiants Apple ID pour votre établissement, comme décrit dans le Guide de l’utilisateur d’ASM, référencé précédemment.

    Important :

    Ne modifiez pas les identifiants Apple ID gérés après avoir importé des informations ASM dans Endpoint Management.

  • Si vous avez acheté des appareils auprès de revendeurs ou d’opérateurs, liez ces appareils à ASM. Pour plus d’informations, reportez-vous au Guide de l’utilisateur d’ASM, référencé précédemment.

Étape 2 : Configurer Endpoint Management en tant que serveur MDM pour Apple School Manager et configurer les attributions d’appareils

Le portail ASM comprend un onglet Serveurs MDM. Vous devez obtenir le fichier de clé publique auprès de Endpoint Management pour effectuer cette configuration.

  1. Téléchargez la clé publique de votre instance Endpoint Management sur votre ordinateur local : sur la console Endpoint Management, accédez à Paramètres > Programme de déploiement d’Apple.

    Écran des paramètres du programme de déploiement d'Apple

  2. Sous Télécharger la clé publique, cliquez sur Télécharger et enregistrez le fichier PEM.

  3. Dans le portail du programme de déploiement d’Apple, cliquez sur Paramètres, puis sur Réglages de la gestion des appareils. Cliquez sur Ajouter un serveur MDM.

    Portail ASM

  4. Entrez un nom pour Endpoint Management. Le nom de serveur que vous entrez vous servira de référence et ne correspond pas au nom ou à l’adresse URL du serveur. Sous Charger la clé publique, cliquez sur Choisir un fichier.

    Portail ASM

  5. Chargez la clé de serveur que vous avez téléchargée à partir de Endpoint Management et cliquez sur Enregistrer.

  6. Générez un jeton de serveur : cliquez sur Télécharger le jeton et téléchargez le fichier de jeton de serveur sur votre ordinateur.

    Portail ASM

  7. Sous Attribution d’appareils par défaut, cliquez sur Modifier . Choisissez la manière dont vous souhaitez attribuer les appareils et fournissez les informations requises. Pour de plus amples informations, consultez le Guide de l’utilisateur d’ASM.

Étape 3 : Ajouter le compte Apple School Manager à Endpoint Management

  1. Dans la console Endpoint Management, accédez à Paramètres > Programme de déploiement d’Apple et sous Ajouter un compte de programme de déploiement Apple, cliquez sur Ajouter .

    Écran des paramètres du programme de déploiement d'Apple

  2. Dans la page Jetons de serveur, cliquez sur Charger et choisissez le jeton de serveur (.p7m) que vous avez téléchargé à partir du portail ASM. Les informations de jeton s’affichent.

    Écran des paramètres du programme de déploiement d'Apple

    Remarques :

    • L’ID d’organisation est votre ID client pour le programme de déploiement d’Apple.

    • Les comptes ASM sont associés au type d’organisation Éducation et à la version d’organisation v2.

  3. Dans la page Infos sur le compte, spécifiez ces paramètres :

    Écran des paramètres du programme de déploiement d'Apple

    • Nom du compte du programme de déploiement Apple : nom unique pour ce compte du programme de déploiement d’Apple. Utilisez des noms qui reflètent la manière dont vous organisez les comptes du programme de déploiement d’Apple, par pays ou hiérarchie organisationnelle par exemple.
    • Division/Département: unité ou département d’éducation pour l’attribution de l’appareil. Ce champ est obligatoire.
    • ID de service unique : ID unique (facultatif) pour vous aider à identifier le compte.
    • Numéro de téléphone de l’assistance : numéro de téléphone d’assistance que les utilisateurs peuvent appeler pour obtenir de l’aide au cours de la configuration. Ce champ est obligatoire.
    • Adresse e-mail de l’assistance : adresse e-mail d’assistance (facultatif) que peuvent utiliser les utilisateurs.
    • Suffixe d’éducation : identifie les classes pour un compte du programme de déploiement ASM donné. (Le suffixe d’achat en volume signale les applications et les iBooks pour un compte d’achat en volume donné.) Il est recommandé d’utiliser le même suffixe pour les deux comptes, le programme de déploiement ASM et l’achat en volume ASM.
  4. Cliquez sur Suivant. Dans Paramètres iOS, spécifiez les paramètres suivants :

    Écran des paramètres Apple

    • Paramètres d’inscription

      • Exiger l’inscription des appareils : cette option oblige les utilisateurs à inscrire leurs appareils. Définissez le paramètre sur Non.
      • Exiger des informations d’identification pour l’inscription d’appareils : les utilisateurs doivent entrer leurs informations d’identification lors de la configuration du programme de déploiement d’Apple. Pour l’intégration d’ASM à Endpoint Management, ce paramètre est défini sur Oui par défaut et ne peut pas être modifié. Le programme de déploiement d’Apple requiert des informations d’identification pour l’inscription d’appareils.
      • Attendre la fin de l’installation : indiquez si les appareils des utilisateurs doivent rester dans le mode Assistant d’installation jusqu’à ce que toutes les ressources MDM soient déployées sur l’appareil. Pour l’intégration d’ASM à Endpoint Management, ce paramètre est défini sur Non par défaut. La documentation Apple indique que les commandes suivantes peuvent ne pas fonctionner lorsqu’un appareil est en mode Assistant d’installation :

        • InviteToProgram
        • InstallApplication
        • InstallMedia
        • ApplyRedemptionCode
    • Paramètres de l’appareil

      • Mode supervisé : place les appareils iOS en mode supervisé. Ne modifiez pas la valeur par défaut, Oui. Pour plus d’informations sur le placement d’un appareil iOS en mode supervisé, consultez la section Pour placer un appareil iOS en mode supervisé à l’aide d’Apple Configurator.

      • Mode partagé : active le mode partagé sur les iPad. Le partage ne peut pas être activé sur les appareils qui ne présentent pas la configuration minimale requise.
      • Autoriser la suppression du profil d’inscription : pour l’intégration d’ASM, autorisez l’utilisateur à supprimer le profil d’inscription de l’appareil. Définissez le paramètre sur Oui.
      • Autoriser le couplage de l’appareil : pour l’intégration d’ASM, autorisez le couplage pour pouvoir gérer les appareils via l’Apple App Store et Apple Configurator. Définissez le paramètre sur Oui.
  5. Dans Options de l’assistant d’installation iOS, sélectionnez les étapes de l’Assistant d’installation iOS à ignorer lorsque les utilisateurs démarreront leurs appareils pour la première fois. Par défaut, l’Assistant d’installation comprend toutes les étapes. La suppression d’étapes de l’Assistant d’installation peut simplifier l’expérience utilisateur.

    Important :

    Citrix vous recommande fortement d’inclure les étapes Apple ID et Termes et conditions. Ces étapes permettent aux instructeurs et aux étudiants de fournir un nouveau mot de passe pour leur identifiant Apple ID géré et d’accepter les conditions générales.

    Écran des paramètres du programme de déploiement d'Apple

    • Services de localisation : configurez le service de localisation sur l’appareil.
    • Touch ID : configurez Touch ID dans iOS.
    • Verrouillage par code secret : créez un code secret pour l’appareil.
    • Définir comme nouveau ou restaurer : configurez l’appareil comme nouveau ou restaurez-le à partir d’une sauvegarde de l’Apple App Store ou d’iCloud.
    • Déplacer depuis Android : activez le transfert des données à partir d’un appareil Android vers un appareil iOS. Cette option est disponible uniquement lorsque Définir comme nouveau ou Restaurer est sélectionné (sinon, cette étape est ignorée).
    • Apple ID : configurez un compte Apple ID pour l’appareil. Citrix recommande de sélectionner la case à cocher pour inclure cette étape.
    • Termes et conditions : exigez que l’utilisateur accepte les termes et conditions pour utiliser l’appareil. Citrix recommande de sélectionner la case à cocher pour inclure cette étape.
    • Apple Pay : configurez Apple Pay dans iOS.
    • Siri : utilisez ou non Siri sur l’appareil.
    • Analyse de l’application : configurez cette option si vous souhaitez partager les données d’incidents et les statistiques d’utilisation avec Apple.
    • Zoom d’affichage : définissez la résolution d’affichage (standard ou zoom) sur les appareils iOS.
    • True Tone : configurez l’affichage de True Tone sur les appareils iOS.
    • Bouton d’accueil : configurez la sensibilité de l’écran du bouton d’accueil.
    • Présentation des nouvelles fonctionnalités : configurez les écrans d’information d’intégration, Accès au Dock à partir de n’importe quel emplacement et Basculement entre applications récentes sur les appareils iOS 11.0 (version minimale).
    • Confidentialité : empêche les utilisateurs de voir les données et le volet de confidentialité lors de la configuration d’appareils du programme de déploiement d’Apple. Pour iOS 11.3 et versions ultérieures.
    • Mise à jour logicielle : empêche l’utilisateur de voir l’écran de mise à jour logicielle pendant la configuration des appareils du programme de déploiement d’Apple. Pour iOS 12.0 et versions ultérieures.
    • ScreenTime : empêche l’utilisateur de voir l’écran Screen Time pendant la configuration des appareils du programme de déploiement d’Apple. Pour iOS 12.0 et versions ultérieures.
    • Configuration de la carte SIM : empêche l’utilisateur de voir l’écran Ajouter forfait de données pendant la configuration des appareils du programme de déploiement d’Apple. Pour iOS 12.0 et versions ultérieures.
    • iMessage & FaceTime : empêche l’utilisateur de voir l’écran iMessage & FaceTime pendant la configuration des appareils du programme de déploiement d’Apple. Pour iOS 12.0 et versions ultérieures.
  6. Le compte apparaît dans Paramètres > Programme de déploiement d’Apple. Pour tester la connexion entre Endpoint Management et votre compte ASM, sélectionnez le compte et cliquez sur Tester la connectivité.

    Écran des paramètres du programme de déploiement d'Apple

    Un message d’état s’affiche.

    Écran des paramètres du programme de déploiement d'Apple

    Après quelques minutes, les comptes utilisateur d’ASM s’affichent sur la page Gérer > Utilisateurs. Endpoint Management crée des comptes utilisateur locaux basés sur l’identifiant Apple ID importé géré pour chaque utilisateur. Dans l’exemple suivant, le préfixe du nom de domaine des identifiants Apple ID personnalisés pour les comptes utilisateur est appleid.

    Écran des paramètres du programme de déploiement d'Apple

Pour rechercher tous les utilisateurs d’un compte ASM donné, entrez le nom du compte dans le filtre de recherche utilisateur.

Étape 4 : Configurer un compte d’achat en volume Éducation pour Apple School Manager

Dans cette section, vous pointez Endpoint Management vers le compte d’achat en volume utilisé pour acheter des licences d’achat en volume pour les applications et les iBooks.

  1. Pour configurer un compte d’achat en volume Éducation pour ASM, suivez les instructions de la section Achats en volume d’Apple. L’écran Ajouter un compte d’achat en volume demande un jeton d’entreprise. Téléchargez votre jeton directement à partir de votre compte d’achat en volume Éducation et collez-le dans l’écran Ajouter un compte d’achat en volume.

    Écran d'achat en volume

    Écran d'achat en volume

  2. Patientez quelques minutes pendant l’importation de licences d’achat en volume dans Endpoint Management.

Étape 5 : Ajouter des mots de passe pour les utilisateurs Apple School Manager

Après l’ajout d’un compte ASM, Endpoint Management importe les classes et les utilisateurs à partir d’ASM. Endpoint Management traite les classes en tant que groupes locaux et utilise le terme « groupe » dans la console. Si une classe a un nom de groupe dans ASM, Endpoint Management lui attribue le nom du groupe. Sinon, Endpoint Management utilise l’ID du système source pour le nom du groupe. Endpoint Management n’utilise pas le nom du cours comme nom de classe, car les noms de cours dans ASM ne sont pas uniques.

Endpoint Management utilise les identifiants Apple ID gérés pour créer des utilisateurs locaux avec le type utilisateur ASM. Les utilisateurs sont locaux, car ASM crée les informations d’identification indépendamment de toutes les sources de données externes. Par conséquent, Endpoint Management n’utilise pas de serveur d’annuaire pour authentifier ces nouveaux utilisateurs.

ASM n’envoie pas de mots de passe utilisateur temporaires à Endpoint Management. Vous pouvez les importer à partir d’un fichier CSV ou les ajouter manuellement. Pour importer des mots de passe utilisateur temporaires :

  1. Obtenez le fichier CSV généré par ASM lorsque vous créez les mots de passe temporaires d’identifiants Apple ID gérés.

  2. Modifiez le fichier CSV, en remplaçant les mots de passe temporaires par les nouveaux mots de passe que fournissent les utilisateurs pour s’inscrire à Endpoint Management. Il n’existe aucune contrainte sur le type de mot de passe dans ce cas.

    Le format d’une entrée dans le fichier CSV est le suivant : user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    Où :

    Utilisateur : user@appleid.citrix.com

    Prénom : Firstname

    Deuxième prénom : Middle

    Nom : Lastname

    Mot de passe : Password123!

  3. Dans la console Endpoint Management, cliquez sur Gérer > Utilisateurs. La page Utilisateurs s’affiche.

    L’écran Gérer > Utilisateurs suivant présente un exemple de liste d’utilisateurs importée à partir d’ASM. Dans la liste Utilisateurs :

    • L’option Nom d’utilisateur affiche l’identifiant Apple ID géré.

    • Le type d’utilisateur est ASM pour indiquer que le compte provient d’ASM.

    • L’option Groupes indique les classes.

    Écran Utilisateurs

  4. Cliquez sur Importer des utilisateurs locaux. La boîte de dialogue Importer le fichier de provisioning apparaît.

  5. Pour le format, choisissez Utilisateur ASM, naviguez jusqu’au fichier CSV que vous avez préparé à l’étape 2, puis cliquez sur Importer.

    Écran Utilisateurs

  6. Pour afficher les propriétés d’un utilisateur local, sélectionnez l’utilisateur, puis cliquez sur Modifier.

    Écran Utilisateurs

    Outre les propriétés de nom, ces propriétés ASM sont également disponibles :

    • Source de données ASM : source de données de la classe, telle que CSV ou SFTP.
    • Identifiant Apple géré par ASM : un identifiant Apple ID géré peut inclure le nom de votre établissement et votre appleid. Par exemple, l’identifiant peut ressembler à johnappleseed@appleid.myschool.edu. Endpoint Management requiert un identifiant Apple ID géré pour l’authentification.
    • Nom de l’organisation ASM : nom que vous avez donné au compte dans Endpoint Management.
    • Type de code d’accès ASM : stratégie de mot de passe de la personne : complexe (mot de passe de huit chiffres et lettres ou plus pour un non-étudiant), quatre (chiffres) ou six (chiffres).
    • Identifiant unique de l’étudiant ASM : identifiant de l’utilisateur.
    • Statut de l’étudiant : spécifie si l’identifiant Apple ID géré est Actif ou Inactif. Ce statut devient actif une fois que l’utilisateur fournit un nouveau mot de passe pour le compte Apple ID géré.
    • Titre de l’étudiant ASM : Instructeur, Étudiant ou Autre.
    • Identifiant unique de l’étudiant ASM : identifiant unique de l’utilisateur.
    • Identifiant du système source ASM : identifiant de la source système.
    • Niveau scolaire de l’étudiant ASM : informations sur le niveau scolaire de l’étudiant (non utilisé par les instructeurs).

Étape 6 : Ajouter des photos des étudiants (facultatif)

Vous pouvez ajouter une photo de chaque étudiant. Si les instructeurs utilisent l’application En classe d’Apple, les photos s’affichent dans cette application.

Recommandé pour les photos :

  • Résolution : 256 x 256 pixels (ou 512 x 512 pixels sur un appareil 2x)

  • Format : JPEG, PNG ou TIFF

Pour ajouter une photo, accédez à Gérer > Utilisateurs, sélectionnez un utilisateur, cliquez sur Modifier, puis cliquez sur Choisir une image.

Écran Utilisateurs

Étape 7 : Planifier et ajouter des ressources et des groupes de mise à disposition à Endpoint Management

Un groupe de mise à disposition spécifie les ressources à déployer vers des catégories d’utilisateurs. Par exemple, vous pouvez créer un groupe de mise à disposition pour instructeurs et étudiants. Éventuellement, vous pouvez créer plusieurs groupes de mise à disposition afin de pouvoir personnaliser les applications, le contenu multimédia et les stratégies envoyés vers différents instructeurs ou étudiants. Vous pouvez créer un ou plusieurs groupes de mise à disposition par classe. Vous pouvez également créer un ou plusieurs groupes de mise à disposition pour les responsables (autre personnel dans votre établissement scolaire).

Les ressources que vous déployez sur les appareils utilisateur comprennent les stratégies d’appareil, les applications d’achat en volume et les iBooks.

  • Stratégies d’appareil :

    Si les instructeurs utilisent l’application En classe, la stratégie Configuration de l’éducation est requise. Veillez à consulter les autres stratégies d’appareil pour déterminer la manière dont vous souhaitez configurer et limiter les iPad des instructeurs et des étudiants.

  • Applications d’achat en volume :

    Endpoint Management requiert le déploiement des applications d’achat en volume en tant qu’applications requises pour les utilisateurs Éducation. Endpoint Management ne prend pas en charge le déploiement de telles applications d’achat en volume en mode facultatif.

    Si vous utilisez l’application En classe d’Apple, déployez-la uniquement sur les appareils des instructeurs.

    Déployez toute autre application que vous souhaitez fournir aux instructeurs ou aux étudiants. Cette solution n’utilisant pas l’application Citrix Secure Hub, il n’est pas nécessaire de la déployer vers les instructeurs ou les étudiants.

  • iBooks d’achat en volume :

    Une fois qu’Endpoint Management s’est connecté à votre compte ASM, vos iBooks achetés s’affichent dans la console Endpoint Management, dans Configurer > Média. Les iBooks répertoriés sur cette page peuvent être ajoutés aux groupes de mise à disposition. Endpoint Management prend en charge l’ajout d’iBooks en tant que média requis uniquement.

Après avoir planifié les ressources et les groupes de mise à disposition pour les instructeurs et les étudiants, vous pouvez créer ces éléments dans la console Endpoint Management.

  1. Créez les stratégies d’appareil que vous voulez déployer sur les appareils des instructeurs ou des étudiants. Pour de plus amples informations sur la stratégie Configuration de l’éducation, consultez la section Stratégie Configuration de l’éducation.

    Écran de la stratégie de configuration de l'éducation

    Consultez la section Stratégies d’appareil et les articles de stratégies individuels pour de plus amples informations sur les stratégies d’appareil.

  2. Configurez les applications (Configurer > Applications) et les iBooks (Configurer > Média) :

    • Par défaut, Endpoint Management attribue les applications et les iBooks au niveau de l’utilisateur. Lors du premier déploiement, les instructeurs et les étudiants sont invités à s’enregistrer auprès d’ASM. Après avoir accepté l’invitation, les utilisateurs reçoivent leurs applications et iBooks ASM au cours du déploiement suivant (dans les six heures). Citrix vous recommande de forcer le déploiement d’applications et d’iBooks vers les nouveaux utilisateurs ASM. Pour ce faire, sélectionnez le groupe de mise à disposition et cliquez sur Déployer.

      Vous pouvez choisir d’attribuer des applications (mais pas des iBooks) au niveau de l’appareil. Pour ce faire, réglez le paramètre Forcer l’association de licence avec l’appareil sur Activé. Lorsque vous attribuez les applications au niveau de l’appareil, les utilisateurs ne reçoivent pas d’invitation à rejoindre le programme d’achat en volume.

    Écran de configuration des applications

    • Pour déployer une application uniquement vers les instructeurs, sélectionnez un groupe de mise à disposition qui comprend uniquement des instructeurs ou utilisez la règle de déploiement suivante :

       Deploy this resource by ASM device type
       only
       Instructor
      

    Écran de configuration des applications

  3. Facultatif. Créez des actions basées sur les propriétés utilisateur ASM. Par exemple, vous pouvez créer une action pour envoyer une notification aux appareils des étudiants lorsqu’une nouvelle application est installée. Éventuellement, vous pouvez créer une action que déclenche une propriété utilisateur, comme illustré dans l’exemple suivant.

    Écran de configuration Actions

    Pour créer une action, accédez à Configurer > Actions. Pour de plus amples informations sur la configuration des actions, consultez la section Actions automatisées.

  4. Dans Configurer > Groupes de mise à disposition, créez des groupes de mise à disposition pour instructeurs et étudiants. Choisissez les classes importées depuis ASM. Créez aussi une règle de déploiement pour instructeurs et étudiants.

    Par exemple, les affectations utilisateur suivantes sont destinées aux instructeurs. La règle de déploiement est la suivante :

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    Écran de configuration des groupes de mise à disposition

    Les affectations utilisateur suivantes sont destinées aux étudiants. La règle de déploiement est la suivante :

    Limit by user property
    ASM person title
    is equal to
    Student
    

    Écran de configuration des groupes de mise à disposition

    Vous pouvez également filtrer un groupe de mise à disposition à l’aide d’une règle de déploiement basée sur le nom de l’organisation ASM.

    Écran de configuration des groupes de mise à disposition

  5. Attribuez les ressources à des groupes de mise à disposition. L’exemple suivant illustre un iBook contenu dans un groupe de mise à disposition.

    Écran de configuration des groupes de mise à disposition

    L’exemple suivant illustre la boîte de dialogue de confirmation qui s’affiche lorsque vous sélectionnez un groupe de mise à disposition et cliquez sur Déployer.

    Écran de configuration des groupes de mise à disposition

    Pour plus d’informations, consultez la section « Pour modifier un groupe de mise à disposition » et « Pour déployer des groupes de mise à disposition » dans Déployer des ressources.

Étape 8 : Tester les inscriptions d’appareil instructeur et étudiant

Vous pouvez inscrire des appareils avec une des méthodes suivantes :

  • Un administrateur d’établissement scolaire peut inscrire des appareils instructeur et étudiant en utilisant le mot de passe utilisateur que vous pouvez définir dans la console Endpoint Management. Par conséquent, vous pouvez fournir aux utilisateurs des appareils qui sont déjà configurés avec les applications et les médias.

  • Lorsque les utilisateurs reçoivent les appareils, ils peuvent s’inscrire à l’aide du mot de passe utilisateur que vous leur fournissez. Une fois l’inscription terminée, Endpoint Management envoie les stratégies d’appareil, les applications et le contenu multimédia aux appareils.

Pour tester l’inscription, utilisez les appareils du programme de déploiement d’Apple liés à ASM.

  1. Si les appareils ne sont pas liés à ASM, vous devez effacer leur contenu et leurs paramètres en effectuant une réinitialisation matérielle.

  2. Inscrivez un appareil ASM auprès d’un instructeur. Inscrivez ensuite un appareil ASM auprès d’un étudiant.

  3. Dans la page Gérer > Appareils, vérifiez que les deux appareils ASM sont inscrits dans MDM uniquement.

    Vous pouvez filtrer la page Appareils en fonction de l’état de l’appareil ASM : Enregistré auprès de ASM, Partagé avec ASM, Instructeur et Étudiant.

    Écran de configuration des appareils

  4. Pour vérifier que les ressources MDM ont été déployées correctement pour chaque appareil : sélectionnez l’appareil, cliquez sur Modifier et vérifiez les différentes pages.

    Écran de configuration des appareils

Étape 9 : Distribuer des appareils

Apple vous recommande d’organiser un événement de façon à distribuer les appareils à des instructeurs et à des étudiants.

Si vous ne distribuez pas d’appareils pré-inscrits, vous devez également fournir les éléments suivants à ces utilisateurs :

  • Mots de passe Endpoint Management pour l’inscription

  • Mots de passe temporaires ASM pour les identifiants Apple ID gérés

La première expérience utilisateur se présente comme suit.

  1. La première fois qu’un utilisateur démarre son appareil après une réinitialisation matérielle, Endpoint Management l’invite dans l’écran d’inscription à inscrire son appareil.

  2. L’utilisateur fournit l’identifiant Apple ID géré et le mot de passe Endpoint Management qu’il a utilisés pour s’authentifier auprès d’Endpoint Management.

  3. Dans l’étape de configuration de l’identifiant Apple ID, l’appareil invite l’utilisateur à entrer son identifiant Apple ID géré et son mot de passe temporaire ASM. Ces éléments authentifient l’utilisateur auprès des services d’Apple.

  4. L’appareil invite l’utilisateur à créer un mot de passe pour son Apple ID géré, utilisé pour protéger ses données dans iCloud.

  5. À la fin de l’Assistant d’installation, Endpoint Management démarre l’installation de stratégies, d’applications et de contenu multimédia sur l’appareil. Pour les applications et iBooks attribués au niveau de l’utilisateur, l’assistant invite les instructeurs et les étudiants à s’enregistrer pour l’achat en volume. Après avoir accepté l’invitation, les utilisateurs reçoivent leurs applications et iBooks d’achat en volume au cours du déploiement suivant (dans les six heures).

Configurer les iPad partagés

Plusieurs élèves d’une salle de classe peuvent partager un iPad pour différentes matières enseignées par un ou plusieurs instructeurs.

Vous ou les instructeurs inscrivez les iPad partagés, puis déployez des stratégies, des applications et des médias sur ces appareils. Ensuite, les étudiants fournissent leurs informations d’identification Apple gérées pour se connecter à un iPad partagé. Si vous avez déjà déployé une stratégie Configuration de l’éducation pour les étudiants, ils ne se connectent plus en tant que « Autre utilisateur » pour partager les appareils.

Endpoint Management utilise deux canaux de communication pour les iPad partagés : le canal système pour le propriétaire de l’appareil (instructeur) et le canal utilisateur pour l’utilisateur résident actuel (étudiant). Endpoint Management utilise ces canaux pour envoyer les commandes MDM appropriées aux ressources prises en charge par Apple.

Les ressources déployées sur le canal système sont les suivantes :

  • Stratégies d’appareil, telles que Configuration de l’éducation, Message sur l’écran de verrouillage, Nombre maximal d’utilisateurs résidents et Période de grâce de verrouillage par code secret
  • Applications achetées en volume basées sur les appareils

    Apple ne prend pas en charge les applications d’entreprise ou les applications achetées en volume basées sur les utilisateurs sur les iPad partagés. Les applications installées sur un iPad partagé sont liées à l’appareil et non à l’utilisateur.

  • iBooks achetés en volume basés sur l’utilisateur

    Apple prend en charge l’attribution d’iBooks achetés en volume basés sur l’utilisateur sur les iPad partagés.

Les ressources déployées sur le canal utilisateur sont les suivantes :

  • Stratégies d’appareil : Notifications d’applications, Disposition de l’écran d’accueil et Restrictions

    Endpoint Management ne prend en charge que ces stratégies d’appareil sur le canal utilisateur.

Lors de la configuration des stratégies d’appareil, vous spécifiez le canal de déploiement dans le paramètre de stratégie Étendue du profil.

Écran de configuration Stratégies d'appareil

Pour supprimer les stratégies d’appareil que vous avez déployées sur le canal utilisateur, réglez l’étendue de déploiement sur Utilisateur pour la stratégie Suppression de profil.

Workflow général

En général, vous fournissez des iPad préconfigurés et supervisés partagés aux enseignants. Les instructeurs distribuent ensuite les appareils aux étudiants. Si vous ne distribuez pas d’iPad partagés pré-inscrits aux instructeurs : assurez-vous de fournir aux instructeurs leurs mots de passe du serveur Endpoint Management afin qu’ils puissent inscrire leurs appareils.

Le workflow général pour la configuration et l’inscription des iPad partagés est le suivant.

  1. Utilisez la console du serveur Endpoint Management pour ajouter des comptes ASM (Paramètres > Programme de déploiement d’Apple) avec le mode partagé activé. Pour plus d’informations, voir « Gérer les comptes ASM pour les iPad partagés » ci-après.
  2. Comme décrit dans cette section, ajoutez les stratégies d’appareil, les applications et le contenu multimédia requis à Endpoint Management. Attribuez ces ressources à des groupes de mise à disposition.
  3. Demandez aux instructeurs d’effectuer une réinitialisation matérielle sur les iPad partagés. L’écran de gestion à distance pour l’inscription s’affiche.
  4. Les instructeurs inscrivent les iPad partagés. Endpoint Management déploie les ressources configurées sur chaque iPad partagé inscrit. Après un redémarrage automatique, les instructeurs peuvent partager les appareils avec les élèves. Une page de connexion apparaît sur l’iPad.
  5. Un étudiant choisit sa classe, puis saisit son identifiant Apple ID géré et son mot de passe ASM temporaire. L’iPad partagé s’authentifie auprès d’ASM et invite l’étudiant à créer un mot de passe ASM. Pour sa prochaine connexion à l’iPad partagé, l’étudiant fournit le nouveau mot de passe ASM.
  6. Un autre étudiant qui partage l’iPad peut alors se connecter en répétant l’étape précédente.

Gérer les comptes ASM pour les iPad partagés

Si vous utilisez déjà Endpoint Management avec Apple Éducation : un compte ASM existant est configuré dans Endpoint Management pour les appareils qui ne sont pas partagés, tels que les appareils utilisés par les instructeurs. Vous pouvez utiliser le même ASM et le même serveur Endpoint Management pour les appareils partagés et non partagés.

Endpoint Management prend en charge ces scénarios de déploiement :

  • Un groupe d’iPad partagés par classe

    Dans ce scénario, vous attribuez les iPad partagés à une classe d’étudiants. Les iPad restent dans la salle de classe. Les instructeurs qui enseignent différentes matières dans cette classe utilisent les mêmes iPad.

  • Un groupe d’iPad partagés par instructeur

    Dans ce scénario, vous attribuez les iPad partagés à un instructeur, qui utilise ces iPad pour les différentes classes auxquelles il enseigne.

Organiser les iPad partagés en groupes d’appareils

ASM vous permet d’organiser les appareils en groupes en créant plusieurs serveurs MDM. Lorsque vous attribuez les iPad partagés à un serveur MDM, créez un groupe d’appareils pour chaque groupe d’iPad partagés, par classe ou par instructeur :

  • Groupe 1 d’iPad partagés > Serveur MDM du groupe d’appareils 1
  • Groupe 2 d’iPad partagés > Serveur MDM du groupe d’appareils 2
  • Groupe N d’iPad partagés > Serveur MDM du groupe d’appareils N

Ajouter des comptes ASM pour chaque groupe d’appareils

Lorsque vous créez plusieurs comptes ASM à partir de la console du serveur Endpoint Management, vous importez automatiquement des groupes d’iPad partagés (un pour chaque classe ou chaque instructeur) :

  • Serveur MDM du groupe d’appareils 1 > Compte du groupe d’appareils 1
  • Serveur MDM du groupe d’appareils 2 > Compte du groupe d’appareils 2
  • Serveur MDM du groupe d’appareils N > Compte du groupe d’appareils N

Les exigences spécifiques aux iPad partagés sont les suivantes :

  • Un compte ASM pour chaque groupe d’appareils avec ces paramètres activés :
    • Exiger l’inscription des appareils
    • Mode supervisé
    • Mode partagé
  • Assurez-vous d’utiliser le même suffixe d’éducation pour tous les comptes ASM d’un établissement d’enseignement donné.

Pour ajouter un compte, accédez à Paramètres > Programme de déploiement d’Apple.

Écran de configuration des paramètres du programme de déploiement d'Apple

Applications pour iPad partagés

Les iPad partagés prennent en charge l’attribution d’applications d’achat en volume basées sur les appareils. Avant de déployer une application sur un iPad partagé, Endpoint Management envoie une demande au serveur d’achat en volume d’Apple pour attribuer des licences d’achat en volume aux appareils. Pour vérifier les attributions d’achat en volume, accédez à Configurer > Applications > iPad et développez Achat en volume.

Médias pour iPad partagés

Les iPad partagés prennent en charge l’attribution d’iBooks achetés en volume basés sur l’utilisateur. Avant de déployer des iBooks sur un iPad partagé, Endpoint Management envoie une demande au serveur d’achat en volume d’Apple pour attribuer des licences d’achat en volume aux étudiants. Pour vérifier les attributions d’achat en volume, accédez à Configurer > Média > iPad et développez Achat en volume.

Écran de configuration Média

Règles de déploiement pour iPad partagés

Avec le déploiement d’iPad partagés, les règles au niveau du groupe de mise à disposition ne s’appliquent pas, car elles se rapportent aux propriétés utilisateur. Pour filtrer les stratégies, les applications et les médias pour chaque groupe d’appareils : ajoutez une règle de déploiement pour les ressources en fonction du nom du compte. Par exemple :

  • Pour le compte du groupe d’appareils 1, définissez cette règle de déploiement :

  Apple Deployment Program account name
  Only
  Device Group 1 account

  • Pour le compte du groupe d’appareils 2, définissez cette règle de déploiement :

  Apple Deployment Program account name
  Only
  Device Group 2 account

  • Pour le compte du groupe d’appareils N, définissez cette règle de déploiement :

  Apple Deployment Program account name
  Only
  Device Group N account

Écran de configuration Stratégies d'appareil

Pour déployer l’application En classe d’Apple uniquement pour les instructeurs (à l’aide d’iPad non partagés), filtrez les ressources par état partagé ASM avec ces règles de déploiement :


Deploy this resource regarding ASM shared mode
only
unshared

Ou :


Deploy this resource regarding ASM shared mode
except
shareable

Écran de configuration des applications

Groupes de mise à disposition pour iPad partagés

Pour le groupe d’appareils pour chaque instructeur :

  • Configurez un groupe de mise à disposition. Pour l’instructeur, attribuez toutes les classes définies par la stratégie Configuration de l’éducation.

Écran de configuration des groupes de mise à disposition

  • Ce groupe de mise à disposition doit inclure ces ressources MDM :
    • Stratégies d’appareil :
      • Configuration de l’éducation
      • Message sur l’écran de verrouillage
      • Notifications d’applications
      • Disposition de l’écran d’accueil
      • Restrictions
      • Nombre maximal d’utilisateurs résidents
      • Période de grâce de verrouillage par code secret
    • Applications achetées en volume requises
    • iBooks achetés en volume requis

Écran de configuration des groupes de mise à disposition

Actions de sécurisation pour iPad partagés

Outre les actions de sécurisation existantes, vous pouvez utiliser ces actions de sécurisation pour les iPad partagés :

  • Obtenir utilisateurs résidents : répertorie les utilisateurs qui ont des comptes actifs sur l’appareil actuel. Cette action force une synchronisation entre l’appareil et la console Endpoint Management.
  • Déconnecter utilisateur résident : force une déconnexion de l’utilisateur actuel.
  • Supprimer utilisateur résident : supprime la session en cours pour un utilisateur spécifique. L’utilisateur peut se reconnecter.

Écran Actions de sécurité

Après avoir cliqué sur Supprimer utilisateur résident, vous pouvez spécifier le nom d’utilisateur.

Écran Actions de sécurité

Les résultats des actions de sécurisation apparaissent sur les pages Gérer > Appareils > Général et Gérer > Appareils > Groupes de mise à disposition.

Obtenir des informations sur les iPad partagés

Vous trouverez des informations spécifiques aux iPad partagés sur la page Gérer > Appareils :

  • Vous pouvez vérifier :
    • si un appareil est partagé (Partagé avec ASM) ;
    • qui est connecté à l’appareil partagé (utilisateur ASM connecté) ;
    • tous les utilisateurs attribués à l’appareil partagé (utilisateurs résidents ASM)

Écran de configuration des appareils

  • Filtrez la liste des appareils en fonction de l’état des appareils ASM :

Écran de configuration des appareils

  • Vous pouvez afficher les détails sur l’utilisateur connecté à un iPad partagé, depuis la page Gérer > Appareils > Propriétés de l’utilisateur connecté.

Écran de configuration des appareils

Écran de configuration des appareils

  • Vous pouvez voir le canal utilisé pour déployer les ressources pour les instructeurs et les utilisateurs d’un groupe de mise à disposition sur la page Gérer > Appareils > Groupes de mise à disposition. La colonne Canal/utilisateur affiche le type (Système ou Utilisateur) et le destinataire (instructeur ou étudiant).

Écran de configuration des appareils

  • Vous pouvez obtenir des informations sur les utilisateurs résidents :
    • Dispose de données à synchroniser : si l’utilisateur a des données à synchroniser avec le cloud.
    • Quota de données : quota de données défini pour l’utilisateur en octets. Un quota peut ne pas apparaître si les quotas utilisateur sont temporairement désactivés ou ne sont pas appliqués pour l’utilisateur.
    • Données utilisées : quantité de données utilisée par l’utilisateur en octets. Une valeur peut ne pas apparaître si une erreur se produit lorsque le système rassemble les informations.
    • Est connecté : indique si l’utilisateur est connecté à l’appareil.

Écran de configuration des appareils

  • Vous pouvez voir l’état de push pour les deux canaux.

Écran de configuration des appareils

Gérer les données des instructeurs, des étudiants et de la classe

Lors de la gestion des données des instructeurs, des étudiants et de la classe, notez ce qui suit :

  • Ne modifiez pas les identifiants Apple ID gérés après avoir importé des informations ASM dans Endpoint Management. Endpoint Management utilise également les identifiants d’utilisateur ASM pour identifier les utilisateurs.

  • Si vous ajoutez ou modifiez des données de classe dans ASM une fois que vous avez créé une ou plusieurs stratégies Configuration de l’éducation : modifiez les stratégies, puis redéployez-les.

  • Si l’instructeur d’une classe change après le déploiement de la stratégie Configuration de l’éducation : vérifiez que la stratégie se met bien à jour dans la console Endpoint Management, puis redéployez-la.

  • Si vous mettez à jour les propriétés utilisateur dans le portail ASM, Endpoint Management met également à jour ces propriétés dans la console. Toutefois, Endpoint Management ne reçoit pas la propriété de fonction de la personne ASM (Instructeur, Étudiant ou Autre) de la même manière que les autres propriétés. Par conséquent, si vous modifiez la fonction de la personne ASM dans ASM, procédez comme suit pour refléter cette modification dans Endpoint Management.

Pour gérer les données :

  1. Dans le portail ASM, mettez à jour le niveau scolaire de l’étudiant et effacez le niveau scolaire de l’instructeur.

  2. Si vous avez transformé un compte étudiant en compte instructeur, supprimez l’utilisateur de la liste des étudiants de la classe. Ensuite, ajoutez l’utilisateur à la liste des instructeurs dans la même classe ou une autre.

    Si vous avez modifié un compte instructeur vers un compte étudiant, supprimez l’utilisateur de la classe. Ensuite, ajoutez l’utilisateur à la liste des étudiants dans la même classe ou une autre. Vos mises à jour s’affichent dans la console Endpoint Management lors de la prochaine synchronisation (toutes les cinq minutes par défaut) ou récupération (par défaut, toutes les 24 heures).

  3. Modifiez la stratégie Configuration de l’éducation pour appliquer la modification et redéployez-la.

    • Si vous supprimez un utilisateur du portail ASM, Endpoint Management supprime également cet utilisateur de la console Endpoint Management après une récupération.

      Vous pouvez réduire l’intervalle de ligne de base en modifiant la valeur de cette propriété du serveur : bulk.enrollment.fetchRosterInfoDelay (la valeur par défaut est 1440 minutes).

    • Lorsque vous déployez des ressources : si un étudiant rejoint une classe, créez un groupe de mise à disposition avec cet étudiant uniquement et déployez les ressources vers l’étudiant.

    • Si un étudiant ou un instructeur perd son mot de passe temporaire, demandez-lui de contacter l’administrateur ASM. L’administrateur peut fournir le mot de passe temporaire ou en générer un nouveau.

Gérer un appareil perdu ou volé qui est inscrit au programme de déploiement Apple d’Apple School Manager

Le service Localiser mon iPhone/iPad d’Apple comprend une fonctionnalité de verrouillage d’activation. Le verrouillage d’activation empêche les utilisateurs non autorisés d’utiliser ou de revendre un appareil perdu ou volé qui est inscrit au programme de déploiement d’Apple.

Endpoint Management comprend une action de sécurité Verrouillage d’activation ASM qui vous permet d’envoyer un code de verrouillage à un appareil inscrit au de déploiement Apple ASM.

Lorsque vous utilisez l’action de sécurité Verrouillage d’activation ASM, Endpoint Management peut localiser les appareils sans obliger les utilisateurs à activer le service Localiser mon iPhone/iPad. Lors d’une réinitialisation matérielle ou d’un effacement complet d’un appareil ASM, l’utilisateur fournit son identifiant Apple ID géré et son mot de passe pour déverrouiller l’appareil.

Pour libérer le verrou depuis la console, cliquez sur l’action de sécurité Contourner le verrouillage d’activation. Pour plus d’informations sur le contournement d’un verrouillage d’activation, consultez la section Contourner un verrouillage d’activation iOS. L’utilisateur peut également ne pas renseigner les informations de connexion et entrer le code de contournement du verrouillage d’activation ASM en tant que mot de passe. Ces informations sont disponibles dans Détails de l’appareil, sur l’onglet Propriétés.

Pour définir le verrouillage d’activation, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurité, puis cliquez sur Verrouillage d’activation ASM.

Écran de configuration des appareils

Les propriétés Dépôt de clé ASM et Code de contournement du verrouillage d’activation ASM s’affichent dans Détails de l’appareil.

Écran de configuration des appareils

L’autorisation RBAC pour un verrouillage d’activation ASM est Appareils > Activer contournement du verrouillage d’activation ASM.

Écran de configuration RBAC