Citrix Endpoint Management

Intégration aux fonctionnalités Apple Éducation

Vous pouvez utiliser Endpoint Management en tant que solution de gestion d’appareils mobiles (MDM) dans un environnement qui utilise Apple Éducation. La prise en charge Endpoint Management inclut Apple School Manager (ASM) et l’application En classe pour iPad. La stratégie Configuration de l’éducation d’Endpoint Management configure les appareils des instructeurs et des étudiants pour une utilisation avec Apple Éducation.

Vous devez fournir des iPad préconfigurés et supervisés aux instructeurs et aux étudiants. Cette configuration inclut l’inscription à ASM dans Endpoint Management, un compte Apple ID géré configuré avec un nouveau mot de passe et les applications et iBooks d’achat en volume requis.

Pour plus d’informations sur les fonctionnalités d’Apple Éducation, consultez le site Éducation d’Apple et le Guide de déploiement dans le secteur de l’éducation d’Apple sur ce site.

Apple School Manager

Suivez ces étapes générales pour intégrer Endpoint Manager à ASM.

  1. Créez un compte pour votre établissement dans ASM afin d’inscrire votre établissement à ASM.
  2. Configurez un compte d’achat en volume Éducation pour Apple School Manager.
  3. Ajoutez des mots de passe pour les utilisateurs Apple School Manager.
  4. Planifiez et ajoutez des ressources et des groupes de mise à disposition à Endpoint Management.
  5. Testez les inscriptions d’appareil instructeur et étudiant.
  6. Fournissez les appareils préconfigurés aux instructeurs et aux étudiants.
  7. Gérer les données des instructeurs, des étudiants et de la classe
  8. Si un appareil est perdu ou volé, vous pouvez le verrouiller et le localiser.

Pour plus d’informations sur l’inscription à ASM et la connexion de votre compte à Endpoint Management, consultez la section Déployer des appareils via le programme de déploiement d’Apple.

Conditions préalables

  • Citrix Gateway

  • Profil d’inscription configuré pour MDM+MAM.

  • Apple iPad 3ème génération (version minimale) ou iPad Mini, avec iOS 9.3 (version minimale)

Remarque :

Endpoint Management ne valide pas les comptes utilisateur ASM auprès de LDAP ou d’Active Directory. Toutefois, vous pouvez connecter Endpoint Management à LDAP ou Active Directory pour la gestion des utilisateurs et des appareils non liés à des instructeurs ou des étudiants ASM. Par exemple, vous pouvez utiliser Active Directory pour fournir Secure Mail et Secure Web à d’autres membres d’ASM, tels que les administrateurs et responsables informatiques.

Étant donné que les étudiants et les instructeurs ASM sont des utilisateurs locaux, il n’est pas nécessaire de déployer Citrix Secure Hub sur leurs appareils.

L’inscription MAM qui comprend l’authentification Citrix Gateway ne prend pas en charge les utilisateurs locaux (uniquement les utilisateurs Active Directory). Par conséquent, Endpoint Management déploie uniquement les applications et iBooks d’achat en volume requis sur les appareils des instructeurs et des étudiants.

Application En classe pour iPad

L’application En classe pour iPad permet aux enseignants de se connecter aux appareils des étudiants et de les gérer. Vous pouvez afficher les écrans de l’appareil, ouvrir des applications sur les iPads, partager et ouvrir des liens Web et présenter un écran d’étudiant sur Apple TV.

L’application En classe est gratuite dans l’App Store. Chargez l’application sur la console Endpoint Management. Utilisez ensuite la stratégie Configuration de l’éducation pour configurer l’application En classe, que vous déployez sur les appareils des enseignants.

Pour plus d’informations sur le déploiement de l’application En classe, reportez-vous à la section Distribuer les applications Apple.

Pour plus d’informations sur la configuration requise, l’installation et les fonctionnalités de l’application En classe, consultez Guide de l’utilisateur d’En classe sur le site d’assistance d’Apple.

Ajouter des mots de passe pour les utilisateurs Apple School Manager

Après l’ajout d’un compte ASM, Endpoint Management importe les classes et les utilisateurs à partir d’ASM. Endpoint Management traite les classes en tant que groupes locaux et utilise le terme « groupe » dans la console. Si une classe a un nom de groupe dans ASM, Endpoint Management lui attribue le nom du groupe. Sinon, Endpoint Management utilise l’ID du système source pour le nom du groupe. Endpoint Management n’utilise pas le nom du cours comme nom de classe, car les noms de cours dans ASM ne sont pas uniques.

Endpoint Management utilise les identifiants Apple ID gérés pour créer des utilisateurs locaux avec le type utilisateur ASM. Les utilisateurs sont locaux, car ASM crée les informations d’identification indépendamment de toutes les sources de données externes. Par conséquent, Endpoint Management n’utilise pas de serveur d’annuaire pour authentifier ces nouveaux utilisateurs.

ASM n’envoie pas de mots de passe utilisateur temporaires à Endpoint Management. Vous pouvez les importer à partir d’un fichier CSV ou les ajouter manuellement. Pour importer des mots de passe utilisateur temporaires :

  1. Obtenez le fichier CSV généré par ASM lorsque vous créez les mots de passe temporaires d’identifiants Apple ID gérés.

  2. Modifiez le fichier CSV, en remplaçant les mots de passe temporaires par les nouveaux mots de passe que fournissent les utilisateurs pour s’inscrire à Endpoint Management. Il n’existe aucune contrainte sur le type de mot de passe dans ce cas.

    Le format d’une entrée dans le fichier CSV est le suivant : user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    Où :

    Utilisateur : user@appleid.citrix.com

    Prénom : Firstname

    Deuxième prénom : Middle

    Nom : Lastname

    Mot de passe : Password123!

  3. Dans la console Endpoint Management, cliquez sur Gérer > Utilisateurs. La page Utilisateurs s’affiche.

    L’écran Gérer > Utilisateurs suivant présente un exemple de liste d’utilisateurs importée à partir d’ASM. Dans la liste Utilisateurs :

    • L’option Nom d’utilisateur affiche l’identifiant Apple ID géré.

    • Le type d’utilisateur est ASM pour indiquer que le compte provient d’ASM.

    • L’option Groupes indique les classes.

    Écran Utilisateurs

  4. Cliquez sur Importer des utilisateurs locaux. La boîte de dialogue Importer le fichier de provisioning apparaît.

  5. Pour le format, choisissez Utilisateur ASM, naviguez jusqu’au fichier CSV que vous avez préparé à l’étape 2, puis cliquez sur Importer.

    Écran Utilisateurs

  6. Pour afficher les propriétés d’un utilisateur local, sélectionnez l’utilisateur, puis cliquez sur Modifier.

    Écran Utilisateurs

    Outre les propriétés de nom, ces propriétés ASM sont également disponibles :

    • Source de données ASM : source de données de la classe, telle que CSV ou SFTP.
    • Identifiant Apple géré par ASM : un identifiant Apple ID géré peut inclure le nom de votre établissement et votre appleid. Par exemple, l’identifiant peut ressembler à johnappleseed@appleid.myschool.edu. Endpoint Management requiert un identifiant Apple ID géré pour l’authentification.
    • Nom de l’organisation ASM : nom que vous avez donné au compte dans Endpoint Management.
    • Type de code d’accès ASM : stratégie de mot de passe de la personne : complexe (mot de passe de huit chiffres et lettres ou plus pour un non-étudiant), quatre (chiffres) ou six (chiffres).
    • Identifiant unique de l’étudiant ASM : identifiant de l’utilisateur.
    • Statut de l’étudiant : spécifie si l’identifiant Apple ID géré est Actif ou Inactif. Ce statut devient actif une fois que l’utilisateur fournit un nouveau mot de passe pour le compte Apple ID géré.
    • Titre de l’étudiant ASM : Instructeur, Étudiant ou Autre.
    • Identifiant unique de l’étudiant ASM : identifiant unique de l’utilisateur.
    • Identifiant du système source ASM : identifiant de la source système.
    • Niveau scolaire de l’étudiant ASM : informations sur le niveau scolaire de l’étudiant (non utilisé par les instructeurs).

Planifier et ajouter des ressources et des groupes de mise à disposition à Endpoint Management

Un groupe de mise à disposition spécifie les ressources à déployer vers des catégories d’utilisateurs. Par exemple, vous pouvez créer un groupe de mise à disposition pour instructeurs et étudiants. Éventuellement, vous pouvez créer plusieurs groupes de mise à disposition afin de pouvoir personnaliser les applications, le contenu multimédia et les stratégies envoyés vers différents instructeurs ou étudiants. Vous pouvez créer un ou plusieurs groupes de mise à disposition par classe. Vous pouvez également créer un ou plusieurs groupes de mise à disposition pour les responsables (autre personnel dans votre établissement scolaire).

Les ressources que vous déployez sur les appareils utilisateur comprennent les stratégies d’appareil, les applications d’achat en volume et les iBooks.

  • Stratégies d’appareil :

    Si les instructeurs utilisent l’application En classe, la stratégie Configuration de l’éducation est requise. Veillez à consulter les autres stratégies d’appareil pour déterminer la manière dont vous souhaitez configurer et limiter les iPad des instructeurs et des étudiants.

  • Applications d’achat en volume :

    Endpoint Management requiert le déploiement des applications d’achat en volume en tant qu’applications requises pour les utilisateurs Éducation. Endpoint Management ne prend pas en charge le déploiement de telles applications d’achat en volume en mode facultatif.

    Si vous utilisez l’application En classe d’Apple, déployez-la uniquement sur les appareils des instructeurs.

    Déployez toute autre application que vous souhaitez fournir aux instructeurs ou aux étudiants. Cette solution n’utilisant pas l’application Citrix Secure Hub, il n’est pas nécessaire de la déployer vers les instructeurs ou les étudiants.

  • iBooks d’achat en volume :

    Une fois qu’Endpoint Management s’est connecté à votre compte ASM, vos iBooks achetés s’affichent dans la console Endpoint Management, dans Configurer > Média. Les iBooks répertoriés sur cette page peuvent être ajoutés aux groupes de mise à disposition. Endpoint Management prend en charge l’ajout d’iBooks en tant que média requis uniquement.

Après avoir planifié les ressources et les groupes de mise à disposition pour les instructeurs et les étudiants, vous pouvez créer ces éléments dans la console Endpoint Management.

  1. Créez les stratégies d’appareil que vous voulez déployer sur les appareils des instructeurs ou des étudiants. Pour de plus amples informations sur la stratégie Configuration de l’éducation, consultez la section Stratégie Configuration de l’éducation.

    Écran de la stratégie de configuration de l'éducation

    Consultez la section Stratégies d’appareil et les articles de stratégies individuels pour de plus amples informations sur les stratégies d’appareil.

  2. Configurez les applications (Configurer > Applications) et les iBooks (Configurer > Média) :

    • Par défaut, Endpoint Management attribue les applications et les iBooks au niveau de l’utilisateur. Lors du premier déploiement, les instructeurs et les étudiants sont invités à s’enregistrer auprès d’ASM. Après avoir accepté l’invitation, les utilisateurs reçoivent leurs applications et iBooks ASM au cours du déploiement suivant (dans les six heures). Citrix vous recommande de forcer le déploiement d’applications et d’iBooks vers les nouveaux utilisateurs ASM. Pour ce faire, sélectionnez le groupe de mise à disposition et cliquez sur Déployer.

      Vous pouvez choisir d’attribuer des applications (mais pas des iBooks) au niveau de l’appareil. Pour ce faire, réglez le paramètre Forcer l’association de licence avec l’appareil sur Activé. Lorsque vous attribuez les applications au niveau de l’appareil, les utilisateurs ne reçoivent pas d’invitation à rejoindre le programme d’achat en volume.

    Écran de configuration des applications

    • Pour déployer une application uniquement vers les instructeurs, sélectionnez un groupe de mise à disposition qui comprend uniquement des instructeurs ou utilisez la règle de déploiement suivante :

       Deploy this resource by ASM device type
       only
       Instructor
      

    Écran de configuration des applications

  3. Facultatif. Créez des actions basées sur les propriétés utilisateur ASM. Par exemple, vous pouvez créer une action pour envoyer une notification aux appareils des étudiants lorsqu’une nouvelle application est installée. Éventuellement, vous pouvez créer une action que déclenche une propriété utilisateur, comme illustré dans l’exemple suivant.

    Écran de configuration Actions

    Pour créer une action, accédez à Configurer > Actions. Pour de plus amples informations sur la configuration des actions, consultez la section Actions automatisées.

  4. Dans Configurer > Groupes de mise à disposition, créez des groupes de mise à disposition pour instructeurs et étudiants. Choisissez les classes importées depuis ASM. Créez aussi une règle de déploiement pour instructeurs et étudiants.

    Par exemple, les affectations utilisateur suivantes sont destinées aux instructeurs. La règle de déploiement est la suivante :

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    Écran de configuration des groupes de mise à disposition

    Les affectations utilisateur suivantes sont destinées aux étudiants. La règle de déploiement est la suivante :

    Limit by user property
    ASM person title
    is equal to
    Student
    

    Écran de configuration des groupes de mise à disposition

    Vous pouvez également filtrer un groupe de mise à disposition à l’aide d’une règle de déploiement basée sur le nom de l’organisation ASM.

    Écran de configuration des groupes de mise à disposition

  5. Attribuez les ressources à des groupes de mise à disposition. L’exemple suivant illustre un iBook contenu dans un groupe de mise à disposition.

    Écran de configuration des groupes de mise à disposition

    L’exemple suivant illustre la boîte de dialogue de confirmation qui s’affiche lorsque vous sélectionnez un groupe de mise à disposition et cliquez sur Déployer.

    Écran de configuration des groupes de mise à disposition

    Pour plus d’informations, consultez la section « Pour modifier un groupe de mise à disposition » et « Pour déployer des groupes de mise à disposition » dans Déployer des ressources.

Tester les inscriptions d’appareil instructeur et étudiant

Vous pouvez inscrire des appareils avec une des méthodes suivantes :

  • Un administrateur d’établissement scolaire peut inscrire des appareils instructeur et étudiant en utilisant le mot de passe utilisateur que vous pouvez définir dans la console Endpoint Management. Par conséquent, vous pouvez fournir aux utilisateurs des appareils qui sont déjà configurés avec les applications et les médias.

  • Lorsque les utilisateurs reçoivent les appareils, ils peuvent s’inscrire à l’aide du mot de passe utilisateur que vous leur fournissez. Une fois l’inscription terminée, Endpoint Management envoie les stratégies d’appareil, les applications et le contenu multimédia aux appareils.

Pour tester l’inscription, utilisez les appareils du programme de déploiement d’Apple liés à ASM.

  1. Si les appareils ne sont pas liés à ASM, vous devez effacer leur contenu et leurs paramètres en effectuant une réinitialisation matérielle.

  2. Inscrivez un appareil ASM auprès d’un instructeur. Inscrivez ensuite un appareil ASM auprès d’un étudiant.

  3. Sur la page Gérer > Appareils, vérifiez que les deux appareils ASM sont inscrits dans MDM uniquement.

    Vous pouvez filtrer la page Appareils en fonction de l’état de l’appareil ASM : Enregistré auprès de ASM, Partagé avec ASM, Instructeur et Étudiant.

    Écran de configuration des appareils

  4. Pour vérifier que les ressources MDM ont été déployées correctement pour chaque appareil : sélectionnez l’appareil, cliquez sur Modifier et vérifiez les différentes pages.

    Écran de configuration des appareils

Distribuer des appareils

Apple vous recommande d’organiser un événement de façon à distribuer les appareils à des instructeurs et à des étudiants.

Si vous ne distribuez pas d’appareils pré-inscrits, vous devez également fournir les éléments suivants à ces utilisateurs :

  • Mots de passe Endpoint Management pour l’inscription

  • Mots de passe temporaires ASM pour les identifiants Apple ID gérés

La première expérience utilisateur se présente comme suit.

  1. La première fois qu’un utilisateur démarre son appareil après une réinitialisation matérielle, Endpoint Management l’invite dans l’écran d’inscription à inscrire son appareil.

  2. L’utilisateur fournit l’identifiant Apple ID géré et le mot de passe Endpoint Management qu’il a utilisés pour s’authentifier auprès d’Endpoint Management.

  3. Dans l’étape de configuration de l’identifiant Apple ID, l’appareil invite l’utilisateur à entrer son identifiant Apple ID géré et son mot de passe temporaire ASM. Ces éléments authentifient l’utilisateur auprès des services d’Apple.

  4. L’appareil invite l’utilisateur à créer un mot de passe pour son Apple ID géré, utilisé pour protéger ses données dans iCloud.

  5. À la fin de l’Assistant d’installation, Endpoint Management démarre l’installation de stratégies, d’applications et de contenu multimédia sur l’appareil. Pour les applications et iBooks attribués au niveau de l’utilisateur, l’assistant invite les instructeurs et les étudiants à s’enregistrer pour l’achat en volume. Après avoir accepté l’invitation, les utilisateurs reçoivent leurs applications et iBooks d’achat en volume au cours du déploiement suivant (dans les six heures).

Gérer les données des instructeurs, des étudiants et de la classe

Lors de la gestion des données des instructeurs, des étudiants et de la classe, notez ce qui suit :

  • Ne modifiez pas les identifiants Apple ID gérés après avoir importé des informations ASM dans Endpoint Management. Endpoint Management utilise également les identifiants d’utilisateur ASM pour identifier les utilisateurs.

  • Si vous ajoutez ou modifiez des données de classe dans ASM une fois que vous avez créé une ou plusieurs stratégies Configuration de l’éducation : modifiez les stratégies, puis redéployez-les.

  • Si l’instructeur d’une classe change après le déploiement de la stratégie Configuration de l’éducation : vérifiez que la stratégie se met bien à jour dans la console Endpoint Management, puis redéployez-la.

  • Si vous mettez à jour les propriétés utilisateur dans le portail ASM, Endpoint Management met également à jour ces propriétés dans la console. Toutefois, Endpoint Management ne reçoit pas la propriété de fonction de la personne ASM (Instructeur, Étudiant ou Autre) de la même manière que les autres propriétés. Par conséquent, si vous modifiez la fonction de la personne ASM dans ASM, procédez comme suit pour refléter cette modification dans Endpoint Management.

Pour gérer les données :

  1. Dans le portail ASM, mettez à jour le niveau scolaire de l’étudiant et effacez le niveau scolaire de l’instructeur.

  2. Si vous avez transformé un compte étudiant en compte instructeur, supprimez l’utilisateur de la liste des étudiants de la classe. Ensuite, ajoutez l’utilisateur à la liste des instructeurs dans la même classe ou une autre.

    Si vous avez modifié un compte instructeur vers un compte étudiant, supprimez l’utilisateur de la classe. Ensuite, ajoutez l’utilisateur à la liste des étudiants dans la même classe ou une autre. Vos mises à jour s’affichent dans la console Endpoint Management lors de la prochaine synchronisation (toutes les cinq minutes par défaut) ou récupération (par défaut, toutes les 24 heures).

  3. Modifiez la stratégie Configuration de l’éducation pour appliquer la modification et redéployez-la.

    • Si vous supprimez un utilisateur du portail ASM, Endpoint Management supprime également cet utilisateur de la console Endpoint Management après une récupération.

      Vous pouvez réduire l’intervalle de ligne de base en modifiant la valeur de cette propriété du serveur : bulk.enrollment.fetchRosterInfoDelay (la valeur par défaut est 1440 minutes).

    • Lorsque vous déployez des ressources : si un étudiant rejoint une classe, créez un groupe de mise à disposition avec cet étudiant uniquement et déployez les ressources vers l’étudiant.

    • Si un étudiant ou un instructeur perd son mot de passe temporaire, demandez-lui de contacter l’administrateur ASM. L’administrateur peut fournir le mot de passe temporaire ou en générer un nouveau.

Gérer un appareil perdu ou volé

Le service Localiser mon iPhone/iPad d’Apple comprend une fonctionnalité de verrouillage d’activation. Le verrouillage d’activation empêche les utilisateurs non autorisés d’utiliser ou de revendre un appareil perdu ou volé qui est inscrit au programme de déploiement d’Apple.

Endpoint Management comprend une action de sécurité Verrouillage d’activation ASM qui vous permet d’envoyer un code de verrouillage à un appareil inscrit au de déploiement Apple ASM.

Lorsque vous utilisez l’action de sécurité Verrouillage d’activation ASM, Endpoint Management peut localiser les appareils sans obliger les utilisateurs à activer le service Localiser mon iPhone/iPad. Lors d’une réinitialisation matérielle ou d’un effacement complet d’un appareil ASM, l’utilisateur fournit son identifiant Apple ID géré et son mot de passe pour déverrouiller l’appareil.

Pour libérer le verrou depuis la console, cliquez sur l’action de sécurité Contourner le verrouillage d’activation. Pour plus d’informations sur le contournement d’un verrouillage d’activation, consultez la section Contourner un verrouillage d’activation iOS. L’utilisateur peut également ne pas renseigner les informations de connexion et entrer le code de contournement du verrouillage d’activation ASM en tant que mot de passe. Ces informations sont disponibles dans Détails de l’appareil, sur l’onglet Propriétés.

Pour définir le verrouillage d’activation, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurité, puis cliquez sur Verrouillage d’activation ASM.

Écran de configuration des appareils

Les propriétés Dépôt de clé ASM et Code de contournement du verrouillage d’activation ASM s’affichent dans Détails de l’appareil.

Écran de configuration des appareils

L’autorisation RBAC pour un verrouillage d’activation ASM est Appareils > Activer contournement du verrouillage d’activation ASM.

Écran de configuration RBAC