Intégration avec les fonctionnalités Apple Éducation

Vous pouvez utiliser Endpoint Management en tant que solution de gestion d’appareils mobiles (MDM) dans un environnement qui utilise Apple Éducation. Endpoint Management prend en charge les améliorations Apple Éducation introduites dans iOS 9.3, y compris l’application Apple School Manager et En classe pour iPad. La stratégie Configuration de l’éducation d’Endpoint Management configure les appareils des enseignants et des étudiants pour une utilisation avec Apple Éducation.

Vous devez fournir des iPads préconfigurés et supervisés aux enseignants et aux étudiants. Cette configuration inclut l’inscription au programme DEP d’Apple School Manager dans Endpoint Management, un compte Apple ID géré configuré avec un nouveau mot de passe et les applications et iBooks VPP requis.

La vidéo suivante propose une visite guidée des modifications à apporter à Apple School Manager et Endpoint Management.

Icône vidéo

Voici une vue d’ensemble de la prise en charge par Endpoint Management des fonctionnalités d’Apple Éducation.

Apple School Manager

Apple School Manager est un service qui vous permet de configurer, déployer et gérer les appareils iOS et les ordinateurs portables macOS utilisés dans les établissements scolaires. Apple School Manager comprend un portail Web qui permet aux administrateurs informatiques d’effectuer les opérations suivantes :

  • Attribuer des appareils DEP à différents serveurs MDM

  • Acheter des licences VPP pour les applications et iBooks

  • Créer des identifiants Apple ID gérés en bloc. Ces identifiants Apple ID personnalisés fournissent un accès aux services Apple tels que le stockage des documents dans iCloud Drive et l’inscription aux formations iTunes.

Apple School Manager est un type de programme DEP pour Éducation. Endpoint Management prend en charge l’inscription aux programmes DEP pour entreprise et pour Apple School Manager.

Vous pouvez ajouter plusieurs comptes DEP Apple School Manager à Endpoint Management. Par exemple, cette fonctionnalité vous permet d’utiliser différents paramètres d’inscription ainsi que les options de l’assistant d’installation par unité ou département d’éducation. Vous pouvez associer des comptes DEP à différentes stratégies.

Une fois que vous avez ajouté un compte DEP Apple School Manager à la console Endpoint Management, Endpoint Management récupère les informations de classes et de listes. Lors de la configuration de l’appareil, Endpoint Management :

  • inscrit les appareils ;

  • installe les ressources que vous avez configurées pour le déploiement, telles que les stratégies d’appareil (Configuration de l’éducation, Disposition de l’écran d’accueil et ainsi de suite) ; installe également les applications et iBooks achetés via VPP.

Vous devez ensuite fournir les appareils préconfigurés aux enseignants et aux étudiants. Si un appareil est perdu ou volé, vous pouvez utiliser la fonctionnalité Mode perdu MDM pour verrouiller et localiser les appareils.

Application En classe pour iPad

L’application En classe pour iPad permet aux enseignants de se connecter aux appareils des étudiants et de les gérer. Vous pouvez afficher les écrans de l’appareil, ouvrir des applications sur les iPads, partager et ouvrir des liens Web et présenter un écran d’étudiant sur Apple TV.

L’application En classe est gratuite dans l’App Store. Chargez l’application sur la console Endpoint Management. Utilisez ensuite la stratégie Configuration de l’éducation pour configurer l’application En classe, que vous déployez sur les appareils des enseignants.

Pour plus d’informations sur les fonctionnalités d’Apple Éducation, consultez le site Éducation d’Apple et le Guide de déploiement dans le secteur de l’éducation d’Apple.

Conditions préalables

  • NetScaler Gateway

  • Endpoint Management configuré en mode Enterprise (XME, aussi appelé MDM+MAM) ou MDM Si vous disposez déjà d’une instance d’Endpoint Management configurée en mode XME ou MDM, vous pouvez l’utiliser avec Apple School Manager.

  • Apple iPad 3ème génération (version minimale) ou iPad Mini, avec iOS 9.3 (version minimale)

Remarque :

Endpoint Management ne valide pas les comptes utilisateur Apple School Manager auprès d’Active Directory ou de LDAP. Toutefois, vous pouvez connecter Endpoint Management à Active Directory ou LDAP pour une gestion des utilisateurs et des appareils non liés à des enseignants ou des étudiants Apple School Manager. Par exemple, vous pouvez utiliser Active Directory pour fournir Secure Mail et Secure Web à d’autres membres d’Apple School Manager, tels que les administrateurs et responsables informatiques.

Étant donné que les étudiants et les enseignants Apple School Manager sont des utilisateurs locaux, il n’est pas nécessaire de déployer Citrix Secure Hub sur leurs appareils.

L’inscription MAM qui comprend l’authentification NetScaler Gateway ne prend pas en charge les utilisateurs locaux (uniquement les utilisateurs Active Directory). Par conséquent, Endpoint Management déploie uniquement les applications et iBooks VPP requis sur les appareils enseignant et étudiant.

Conditions préalables pour iPads partagés

  • iPad Pro, iPad 5ème génération, iPad Air 2 ou ultérieur et iPad mini 4 ou ultérieur
  • Au moins 32 Go de stockage
  • Supervisé

Configuration d’Apple School Manager et d’Endpoint Management

Après avoir acheté des iPads auprès d’Apple ou auprès de revendeurs ou opérateurs autorisés d’Apple : suivez le workflow de cette section pour configurer votre compte et vos appareils Apple School Manager. Ce workflow comprend des étapes à effectuer dans le portail Apple School Manager et dans la console Endpoint Management.

Suivez ces instructions pour configurer votre intégration pour tous les iPad que vous utilisez dans un modèle appareil individuel (un iPad par élève) ou pour les iPad d’instructeur (non partagé). Pour configurer les iPad partagés, consultez la section Configurer les iPad partagés.

Étape 1 : Créer votre compte Apple School Manager et suivre l’Assistant réglages

Si vous prévoyez une mise à niveau à partir de programmes de déploiement d’Apple, consultez l’article de l’Assistance d’Apple Préparation à la mise à niveau vers Apple School Manager. Pour créer votre compte Apple School Manager, accédez à https://school.apple.com/ et suivez les instructions d’inscription. La première fois que vous ouvrez une session Apple School Manager, l’Assistant réglages s’ouvre.

  • Pour plus d’informations sur la configuration requise pour Apple School Manager, l’Assistant réglages et les tâches de gestion, veuillez consulter l’Aide Apple School Manager.

  • Lorsque vous configurez Apple School Manager, utilisez un nom de domaine qui diffère du nom de domaine d’Active Directory. Par exemple, ajoutez un préfixe au nom de domaine pour Apple School Manager tel que appleid.

  • Lorsque vous connectez Apple School Manager à vos données de listes, Apple School Manager crée des identifiants Apple ID gérés pour les enseignants et les étudiants. Vos données de liste comprennent les enseignants, les étudiants et les classes. Pour plus d’informations sur l’ajout de listes à Apple School Manager, consultez les articles sous « Trouver des membres du personnel, des étudiants et des classes » dans l’Aide Apple School Manager.

  • Vous pouvez personnaliser le format des identifiants Apple ID pour votre établissement, comme indiqué sous « Identifiants Apple gérés » dans l’Aide Apple School Manager.

    Important :

    ne modifiez pas les identifiants Apple gérés après avoir importé des informations Apple School Manager dans Endpoint Management.

  • Si vous avez acheté des appareils auprès de revendeurs ou d’opérateurs, liez ces appareils à Apple School Manager. Pour plus d’informations, consultez les articles sous « Gérer des appareils » dans l’Aide Apple School Manager.

Étape 2 : Configurer Endpoint Management en tant que serveur MDM pour Apple School Manager et configurer les attributions d’appareils

Le portail Apple School Manager comprend un onglet Serveurs MDM. Vous devez obtenir le fichier de clé publique depuis Endpoint Management pour effectuer cette configuration.

  1. Téléchargez la clé publique de votre instance Endpoint Management sur votre ordinateur local : ouvrez une session sur la console Endpoint Management, accédez à Paramètres > Apple Device Enrollment Program (DEP).

    Écran des paramètres DEP Apple

  2. Sous Télécharger la clé publique, cliquez sur Télécharger et enregistrez le fichier PEM.

  3. Dans le portail Apple School Manager, cliquez sur Serveurs MDM et entrez un nom pour Endpoint Management. Le nom de serveur que vous tapez vous servira de référence et ne correspond pas au nom ou à l’adresse URL du serveur.

  4. Sous Charger votre clé publique, cliquez sur Charger le fichier.

    Écran du portail Apple School Manager

  5. Chargez la clé du serveur que vous avez téléchargée à partir d’Endpoint Management et cliquez sur Enregistrer.

  6. Générez un jeton de serveur : cliquez sur Obtenir le jeton et téléchargez le fichier de jeton de serveur sur votre ordinateur.

    Écran du portail Apple School Manager

  7. Cliquez sur Attributions d’appareils, choisissez la manière dont vous souhaitez attribuer les appareils et fournissez les informations requises. Pour plus d’informations, consultez la section « Gérer des appareils » dans l’Aide Apple School Manager.

  8. Sous Choisir une action, dans le menu Exécuter une action, cliquez sur Attribuer au serveur. Puis, dans le menu Serveur MDM, cliquez sur le serveur gérant les appareils, puis cliquez sur Terminé.

Étape 3 : Ajouter le compte Apple School Manager à Endpoint Management

  1. Dans la console Endpoint Management, accédez à Paramètres > Programme d’inscription des appareils (DEP) Apple puis, sous Ajouter un compte DEP, cliquez sur Ajouter.

    Écran des paramètres DEP Apple

  2. Dans la page Jetons de serveur, cliquez sur Charger et choisissez le jeton de serveur (.p7m) que vous avez téléchargé à partir du portail Apple School Manager. Les informations de jeton s’affichent.

    Écran des paramètres DEP Apple

    Remarques :

    • ID d’organisation est votre ID client pour DEP.

    • Les comptes Apple School Manager ont comme type d’organisation Éducation et comme version d’organisation v2.

  3. Dans la page Infos sur le compte, spécifiez ces paramètres :

    Écran des paramètres DEP Apple

    • Nom du compte DEP : un nom unique pour ce compte DEP. Utilisez des noms qui reflètent la manière dont vous organisez les comptes DEP, par pays ou hiérarchie organisationnelle par exemple.

    • Division : unité ou département d’éducation pour l’attribution de l’appareil. Ce champ est obligatoire.

    • ID de service unique : un ID unique (facultatif) pour vous aider à identifier le compte.

    • Numéro de téléphone de l’assistance : numéro de téléphone d’assistance que les utilisateurs peuvent appeler pour obtenir de l’aide au cours de la configuration. Ce champ est obligatoire.

    • Adresse e-mail de l’assistance : adresse e-mail d’assistance (facultatif) que peuvent utiliser les utilisateurs.

    • Suffixe d’éducation : identifie les classes pour un compte DEP Apple School Manager donné. (Le suffixe VPP identifie les applications et iBooks d’un compte VPP donné.) Il est recommandé d’utiliser le même suffixe pour les deux comptes, DEP Apple School Manager et VPP Apple School Manager.

  4. Cliquez sur Suivant. Dans Paramètres iOS, spécifiez les paramètres suivants :

    Écran des paramètres DEP Apple

    • Paramètres d’inscription

      • Exiger l’inscription des appareils : cette option oblige les utilisateurs à inscrire leurs appareils. Définissez le paramètre sur Non.

      • Exiger des informations d’identification pour l’inscription de l’appareil : indiquez si vous souhaitez demander aux utilisateurs d’entrer leurs informations d’identification lors de la configuration de DEP. Pour l’intégration d’Apple School Manager avec Endpoint Management, ce paramètre est Oui par défaut et ne peut pas être modifié. Apple DEP nécessite des informations d’identification pour l’inscription d’appareils

      • Attendre la fin de l’installation : indiquez si les appareils des utilisateurs doivent rester dans le mode Assistant d’installation jusqu’à ce que toutes les ressources MDM soient déployées sur l’appareil. Pour l’intégration d’Apple School Manager avec Endpoint Management, ce paramètre est Non par défaut. La documentation Apple indique que les commandes suivantes peuvent ne pas fonctionner lorsqu’un appareil est en mode Assistant d’installation :

        • InviteToProgram
        • InstallApplication
        • InstallMedia
        • ApplyRedemptionCode
    • Paramètres de l’appareil

      • Mode supervisé : place les appareils iOS en mode supervisé. Ne modifiez pas la valeur par défaut, Oui. Pour de plus amples informations sur le placement d’un appareil iOS en mode supervisé, consultez la section Pour placer un appareil iOS en mode supervisé à l’aide de Apple Configurator.

      • Autoriser suppression du profil d’inscription : pour l’intégration d’Apple School Manager, autorisez l’utilisateur à supprimer le profil d’inscription de l’appareil. Définissez le paramètre sur Oui.

      • Autoriser le couplage de l’appareil : pour l’intégration d’Apple School Manager, autorisez le couplage de l’appareil pour une gestion via iTunes et Apple Configurator. Définissez le paramètre sur Oui.

  5. Dans Options de l’assistant d’installation iOS, sélectionnez les étapes de l’Assistant d’installation iOS à ignorer lorsque les utilisateurs démarreront leurs appareils pour la première fois. Par défaut, l’Assistant d’installation comprend toutes les étapes. La suppression d’étapes de l’Assistant d’installation peut simplifier l’expérience utilisateur.

    Important :

    Citrix vous recommande fortement d’inclure les étapes Apple ID et Termes et conditions. Ces étapes permettent aux enseignants et aux étudiants de fournir un nouveau mot de passe pour leur identifiant Apple ID géré et d’accepter les termes et conditions.

    Écran des paramètres DEP Apple

    • Services de localisation : configurez le service de localisation sur l’appareil.

    • Touch ID : configurez Touch ID dans iOS 8.0 et versions ultérieures.

    • Verrouillage par code secret : créez un code secret pour l’appareil.

    • Définir comme nouveau ou restaurer : configurez l’appareil comme nouveau ou restaurez-le à partir d’une copie de sauvegarde d’iCloud ou d’iTunes.

    • Déplacer depuis Android : activez le transfert des données à partir d’un appareil Android vers un appareil iOS 9 ou version ultérieure. Cette option est disponible uniquement lorsque Définir comme nouveau ou Restaurer est sélectionné (sinon, cette étape est ignorée).

    • Apple ID : configurez un compte Apple ID pour l’appareil. Citrix recommande de sélectionner la case à cocher pour inclure cette étape.

    • Termes et conditions : exigez que l’utilisateur accepte les termes et conditions pour utiliser l’appareil. Citrix recommande de sélectionner la case à cocher pour inclure cette étape.

    • Apple Pay : configurez Apple Pay dans iOS 8.0 et versions ultérieures.

    • Siri : utilisez ou non Siri sur l’appareil.

    • Analyse de l’application : configurez cette option si vous souhaitez partager les données d’incidents et les statistiques d’utilisation avec Apple.

    • Zoom d’affichage : définissez la résolution d’affichage (standard ou zoom) sur les appareils iOS 8.0 et versions ultérieures.

    • True Tone : configurez l’affichage de True Tone sur les appareils iOS 10.0 (version minimale).

    • Bouton d’accueil : configurez la sensibilité de l’écran du bouton d’accueil sur les appareils iOS 10.0 (version minimale).

  6. Le compte DEP apparaît sous Paramètres > Programme d’inscription des appareils (DEP) Apple. Pour tester la connexion entre Endpoint Management et votre compte Apple School Manager, sélectionnez le compte et cliquez sur Tester la connectivité.

    Écran des paramètres DEP Apple

    Un message d’état s’affiche.

    Écran des paramètres DEP Apple

    Après quelques minutes, les comptes utilisateur d’Apple School Manager s’affichent sur la page Gérer > Utilisateurs. Endpoint Management crée des comptes utilisateur locaux basés sur l’identifiant Apple ID importé géré pour chaque utilisateur. Dans l’exemple suivant, le préfixe du nom de domaine des identifiants Apple ID personnalisés pour les comptes d’utilisateur est appleid.

    Écran des paramètres DEP Apple

Pour rechercher tous les utilisateurs d’un compte DEP d’Apple School Manager donné, entrez le nom du compte dans le filtre de recherche utilisateur.

Étape 4 : Configurer un compte VPP Éducation pour Apple School Manager

Dans cette section, vous pointez Endpoint Management vers le compte VPP que vous utilisez pour acheter des licences VPP pour les applications et iBooks.

  1. Pour configurer un compte VPP Éducation pour Apple School Manager, suivez les instructions dans Programme d’achat en volume iOS. L’écran Ajouter un compte VPP demande un jeton d’entreprise. Téléchargez votre jeton directement depuis votre compte VPP Éducation https://volume.itunes.apple.com/us/store et collez-le dans l’écran Ajouter un compte VPP.

    Écran des paramètres iOS

    Écran des paramètres iOS

  2. Patientez quelques minutes pendant l’importation de licences VPP dans Endpoint Management.

Étape 5 : Ajouter des mots de passe pour les utilisateurs Apple School Manager

Après l’ajout d’un compte DEP Apple Manager School, Endpoint Management importe les classes et les utilisateurs à partir d’Apple School Manager. Endpoint Management traite les classes en tant que groupes locaux et utilise le terme « groupe » dans la console. Si une classe a un nom de groupe dans Apple School Manager, Endpoint Management attribue le nom du groupe à la classe. Sinon, Endpoint Management utilise l’ID du système source pour le nom du groupe. Endpoint Management n’utilise pas le nom du cours pour le nom de classe étant donné que les noms de cours dans Apple School Manager ne sont pas uniques.

Endpoint Management utilise les identifiants Apple ID gérés pour créer des utilisateurs locaux avec le type utilisateur ASM. Les utilisateurs sont locaux car Apple School Manager crée les informations d’identification indépendamment de toutes les sources de données externes. Par conséquent, Endpoint Management n’utilise pas de serveur d’annuaire pour authentifier ces nouveaux utilisateurs.

Apple School Manager n’envoie pas de mots de passe utilisateur temporaires à Endpoint Management. Vous pouvez les importer à partir d’un fichier CSV ou les ajouter manuellement. Pour importer des mots de passe utilisateur temporaires :

  1. Obtenez le fichier CSV généré par Apple School Manager lorsque vous créez les mots de passe temporaires d’identifiants Apple ID gérés.

  2. Modifiez le fichier CSV, en remplaçant les mots de passe temporaires par les nouveaux mots de passe que fournissent les utilisateurs pour s’inscrire à Endpoint Management. Il n’existe aucune contrainte sur le type de mot de passe dans ce cas.

    Le format d’une entrée dans le fichier CSV est le suivant : elizabethabeles@appleid.citrix.com,Elizabeth,Anne,Abeles,Citrix123!

    Où :

    Utilisateur : elizabethabeles@appleid.citrix.com

    Prénom : Elizabeth

    Deuxième prénom : Anne

    Nom : Abeles

    Mot de passe : Citrix123!

  3. Dans la console Endpoint Management, cliquez sur Gérer > Utilisateurs. La page Utilisateurs s’affiche.

    L’écran Gérer > Utilisateurs suivant illustre une liste d’utilisateurs importée à partir d’Apple School Manager. Dans la liste Utilisateurs :

    • L’option Nom d’utilisateur affiche l’identifiant Apple ID géré.

    • Le type d’utilisateur est ASM pour indiquer que le compte provient d’Apple School Manager.

    • L’option Groupes indique les classes.

    Écran des utilisateurs

  4. Cliquez sur Importer des utilisateurs locaux. La boîte de dialogue Importer le fichier de provisioning apparaît.

  5. Pour le format, choisissez Utilisateur ASM, naviguez jusqu’au fichier CSV que vous avez préparé à l’étape 2, puis cliquez sur Importer.

    Écran des utilisateurs

  6. Pour afficher les propriétés d’un utilisateur local, sélectionnez l’utilisateur, puis cliquez sur Modifier.

    Écran des utilisateurs

    Outre les propriétés du nom, ces propriétés Apple School Manager s’affichent :

    • Compte DEP ASM : le nom que vous avez donné au compte dans Endpoint Management.

    • Fonction de personne ASM : Instructeur, Étudiant ou Autre.

    • Identifiant unique de l’étudiant ASM : identificateur unique pour l’utilisateur.

    • Identifiant du système source ASM : identifiant configuré par votre organisation pour l’utilisateur.

    • Statut de personne ASM : spécifie si l’Apple ID géré est Actif ou Inactif. Ce statut devient actif une fois que l’utilisateur fournit un nouveau mot de passe pour le compte Apple ID géré.

    • Identifiant Apple géré par ASM : un identifiant Apple ID géré peut inclure le nom de votre établissement et votre appleid. Par exemple, l’identifiant peut ressembler à johnappleseed@appleid.myschool.edu. Endpoint Management requiert un identifiant Apple ID géré pour l’authentification.

    • Niveau scolaire de l’étudiant ASM : informations sur le niveau scolaire de l’étudiant (non utilisé par les instructeurs).

    • Type de code d’accès ASM : stratégie de mot de passe de la personne : complexe (mot de passe de huit chiffres et lettres ou plus pour un non-étudiant) quatre (chiffres) ou six (chiffres).

    • Source de données ASM : source de données de la classe, telle que CSV ou SFTP.

Étape 6 : Ajouter des photos des étudiants (facultatif)

Vous pouvez ajouter une photo de chaque étudiant. Si les instructeurs utilisent l’application En classe d’Apple, les photos s’affichent dans cette application.

Recommandé pour les photos :

  • Résolution : 256 x 256 pixels (ou 512 x 512 pixels sur un appareil 2x)

  • Format : JPEG, PNG ou TIFF

Pour ajouter une photo, accédez à Gérer > Utilisateurs, sélectionnez un utilisateur, cliquez sur Modifier, puis cliquez sur Choisir une image.

Écran des utilisateurs

Étape 7 : Planifier et ajouter des ressources et des groupes de mise à disposition à Endpoint Management

Un groupe de mise à disposition spécifie les ressources à déployer vers des catégories d’utilisateurs. Par exemple, vous pouvez créer un groupe de mise à disposition pour instructeurs et étudiants. Éventuellement, vous pouvez créer plusieurs groupes de mise à disposition afin de pouvoir personnaliser les applications, le contenu multimédia et les stratégies envoyés vers différents instructeurs ou étudiants. Vous pouvez créer un ou plusieurs groupes de mise à disposition par classe. Vous pouvez également créer un ou plusieurs groupes de mise à disposition pour les responsables (autre personnel dans votre établissement scolaire).

Les ressources que vous déployez sur les appareils utilisateur comprennent les stratégies d’appareil, les applications VPP et les iBooks.

  • Stratégies d’appareil :

    Si les instructeurs utilisent l’application En classe, la stratégie Configuration de l’éducation est requise. Veillez à consulter les autres stratégies d’appareil pour déterminer la manière dont vous souhaitez configurer et limiter les iPad des instructeurs et des étudiants.

  • Applications VPP :

    Endpoint Management requiert le déploiement des applications VPP en tant qu’applications requises pour les utilisateurs Éducation. Endpoint Management ne prend actuellement pas en charge le déploiement de telles applications VPP en mode facultatif.

    Si vous utilisez l’application En classe d’Apple, déployez-la uniquement sur les appareils des instructeurs.

    Déployez toute autre application que vous souhaitez fournir aux instructeurs ou aux étudiants. Cette solution n’utilisant pas l’application Citrix Secure Hub, il n’est pas nécessaire de la déployer vers les instructeurs ou étudiants.

  • iBooks VPP :

    Une fois qu’Endpoint Management s’est connecté à votre compte VPP Apple Manager School, vos iBooks achetés s’affichent dans la console Endpoint Management, dans Configurer > Média. Les iBooks répertoriés sur cette page peuvent être ajoutés aux groupes de mise à disposition. Actuellement, Endpoint Management prend en charge l’ajout d’iBooks en tant que média requis uniquement.

Après avoir planifié les ressources et les groupes de mise à disposition pour les instructeurs et les étudiants, vous pouvez créer ces éléments dans la console Endpoint Management.

  1. Créez les stratégies d’appareil que vous voulez déployer sur les appareils des instructeurs ou des étudiants. Pour de plus amples informations sur la stratégie Configuration de l’éducation, consultez la section Stratégie Configuration de l’éducation.

    Écran de la stratégie de configuration de l'éducation

    Consultez la section Stratégies d’appareil et les articles de stratégies individuels pour de plus amples informations sur les stratégies d’appareil.

  2. Configurez les applications (Configurer > Applications) et les iBooks (Configurer > Média) :

    • Par défaut, Endpoint Management attribue les applications et les iBooks au niveau de l’utilisateur. Lors du premier déploiement, les instructeurs et les étudiants sont invités à s’enregistrer auprès du programme VPP. Après avoir accepté l’invitation, les utilisateurs reçoivent leurs applications et iBooks VPP au cours du déploiement suivant (dans les six heures). Citrix vous recommande de forcer le déploiement d’applications et d’iBooks vers les nouveaux utilisateurs VPP. Pour ce faire, sélectionnez le groupe de mise à disposition et cliquez sur Déployer.

      Vous pouvez choisir d’attribuer des applications (mais pas des iBooks) au niveau de l’appareil. Pour ce faire, réglez le paramètre Forcer l’association de licence avec l’appareil sur Activé. Lorsque vous attribuez les applications au niveau de l’appareil, les utilisateurs ne reçoivent pas d’invitation à rejoindre le programme VPP.

    Image de l'écran de configuration Applications

    • Pour déployer une application uniquement vers les instructeurs, sélectionnez un groupe de mise à disposition qui comprend uniquement des instructeurs ou utilisez la règle de déploiement suivante :

       Deploy this resource by ASM DEP device type
       only
       Instructor
      

    Image de l'écran de configuration Applications

  3. Facultatif. Créez des actions basées sur les propriétés de l’utilisateur Apple School Manager. Par exemple, vous pouvez créer une action pour envoyer une notification aux appareils des étudiants lorsqu’une nouvelle application est installée. Éventuellement, vous pouvez créer une action que déclenche une propriété utilisateur, comme illustré dans l’exemple suivant.

    Écran de configuration Actions

    Pour créer une action, accédez à Configurer > Actions. Pour de plus amples informations sur la configuration des actions, consultez la section Actions automatisées.

  4. Dans Configurer > Groupes de mise à disposition, créez des groupes de mise à disposition pour instructeurs et étudiants. Choisissez les classes qui ont été importées depuis Apple School Manager. Créez aussi une règle de déploiement pour instructeurs et étudiants.

    Par exemple, les affectations utilisateur suivantes sont destinées aux instructeurs. La règle de déploiement est la suivante :

    Limit by user property
    ASM person title
    is equal to
    Instructor
    

    Écran de configuration des groupes de mise à disposition

    Les affectations utilisateur suivantes sont destinées aux étudiants. La règle de déploiement est la suivante :

    Limit by user property
    ASM person title
    is equal to
    Student
    

    Écran de configuration des groupes de mise à disposition

    Vous pouvez également filtrer un groupe de mise à disposition à l’aide d’une règle de déploiement basée sur le nom du compte DEP d’Apple School Manager.

    Écran de configuration des groupes de mise à disposition

  5. Attribuez les ressources à des groupes de mise à disposition. L’exemple suivant illustre un iBook contenu dans un groupe de mise à disposition.

    Écran de configuration des groupes de mise à disposition

    L’exemple suivant illustre la boîte de dialogue de confirmation qui s’affiche lorsque vous sélectionnez un groupe de mise à disposition et cliquez sur Déployer.

    Écran de configuration des groupes de mise à disposition

    Pour plus d’informations, consultez la section « Pour modifier un groupe de mise à disposition » et « Pour déployer des groupes de mise à disposition » dans Déployer des ressources.

Étape 8 : Tester les inscriptions d’appareil instructeur et étudiant

Vous pouvez inscrire des appareils avec une des méthodes suivantes :

  • Un administrateur d’établissement scolaire peut inscrire des appareils instructeur et étudiant en utilisant le mot de passe utilisateur que vous pouvez définir dans la console Endpoint Management. Par conséquent, vous pouvez fournir aux utilisateurs des appareils qui sont déjà configurés avec les applications et les médias.

  • Lorsque les utilisateurs reçoivent les appareils, ils peuvent s’inscrire à l’aide du mot de passe utilisateur que vous leur fournissez. Une fois l’inscription terminée, Endpoint Management envoie les stratégies d’appareil, les applications et le contenu multimédia aux appareils.

Pour tester l’inscription, utilisez des appareils DEP qui sont liés à Apple School Manager.

  1. Si les appareils ne sont pas liés à Apple School Manager, vous devez effacer le contenu et les paramètres de l’appareil en effectuant une réinitialisation matérielle.

  2. Inscrivez un appareil du programme DEP d’Apple School Manager avec un instructeur. Inscrivez ensuite un appareil du programme DEP d’Apple School Manager avec un étudiant.

  3. Dans la page Gérer > Appareils, vérifiez que les deux appareils du programme DEP d’Apple School Manager sont inscrits dans MDM uniquement.

    Vous pouvez filtrer la page Appareils par état de l’appareil DEP Apple School Manager : Enregistré auprès du DEP ASM, Instructeur et Étudiant.

    Image de l'écran de configuration d'appareil

  4. Pour vérifier que les ressources MDM ont été déployées correctement pour chaque appareil : sélectionnez l’appareil, cliquez sur Modifier et vérifiez les différentes pages.

    Image de l'écran de configuration d'appareil

Étape 9 : Distribuer des appareils

Apple vous recommande d’organiser un événement de façon à distribuer les appareils à des instructeurs et à des étudiants.

Si vous ne distribuez pas d’appareils pré-inscrits, vous devez également fournir les éléments suivants à ces utilisateurs :

  • Mots de passe Endpoint Management pour l’inscription DEP

  • Mots de passe temporaires Apple School Manager pour les Apple ID gérés.

L’expérience de l’utilisateur est la suivante lors de sa première utilisation.

  1. La première fois qu’un utilisateur démarre son appareil après une réinitialisation matérielle, Endpoint Management l’invite dans l’écran d’inscription DEP à inscrire son appareil.

  2. L’utilisateur fournit son identifiant Apple géré et son mot de passe Endpoint Management utilisés pour s’authentifier auprès d’Endpoint Management

  3. Dans l’étape de configuration d’Apple ID, l’appareil invite l’utilisateur à entrer son mot de passe temporaire Apple ID et Apple School Manager. Ces éléments authentifient l’utilisateur auprès des services d’Apple.

  4. L’appareil invite l’utilisateur à créer un mot de passe pour son Apple ID géré, utilisé pour protéger ses données dans iCloud.

  5. À la fin de l’Assistant de configuration, Endpoint Management démarre l’installation de stratégies, d’applications et de contenu multimédia sur l’appareil. Pour les applications et iBooks attribués au niveau de l’utilisateur, l’assistant invite les instructeurs et les étudiants à s’enregistrer auprès de VPP. Après avoir accepté l’invitation, les utilisateurs reçoivent leurs applications et iBooks VPP au cours du déploiement suivant (dans les six heures).

Configurer les iPads partagés

Plusieurs élèves d’une salle de classe peuvent partager un iPad pour différentes matières enseignées par un ou plusieurs instructeurs.

Vous ou les instructeurs inscrivez les iPad partagés, puis déployez des stratégies, des applications et des médias sur ces appareils. Ensuite, les étudiants fournissent leurs informations d’identification Apple gérées pour se connecter à un iPad partagé. Si vous avez déjà déployé une stratégie Configuration de l’éducation pour les étudiants, ils ne se connectent plus en tant que « Autre utilisateur » pour partager les appareils.

Endpoint Management utilise deux canaux de communication pour les iPad partagés : le canal système pour le propriétaire de l’appareil (instructeur) et le canal utilisateur pour l’utilisateur résident actuel (étudiant). Endpoint Management utilise ces canaux pour envoyer les commandes MDM appropriées aux ressources prises en charge par Apple.

Les ressources déployées sur le canal système sont les suivantes :

  • Stratégies de périphérique, telles que Configuration de l’éducation, Message de verrouillage de l’écran, Utilisateurs résidents maximum et Période de grâce du verrouillage de code d’accès
  • Applications VPP basées sur l’appareil

    Apple ne prend pas en charge les applications d’entreprise ou les applications VPP basées sur les utilisateurs sur les iPad partagés. Les applications installées sur un iPad partagé sont liées à l’appareil et non à l’utilisateur.

  • iBooks VPP basés sur l’utilisateur

    Apple prend en charge l’attribution d’iBooks VPP basés sur l’utilisateur sur les iPad partagés.

Les ressources déployées sur le canal utilisateur sont les suivantes :

  • Stratégies d’appareil : Notifications d’applications, Disposition de l’écran d’accueil et Restrictions

    Endpoint Management ne prend actuellement en charge que ces stratégies d’appareil sur le canal utilisateur.

Lors de la configuration des stratégies d’appareil, vous spécifiez le canal de déploiement dans le paramètre de stratégie Étendue du profil.

Image de l'écran de configuration Stratégies d'appareil

Pour supprimer les stratégies d’appareil que vous avez déployées sur le canal utilisateur, réglez l’étendue de déploiement sur Utilisateur pour la stratégie Suppression de profil.

Workflow général

En général, vous fournissez des iPad préconfigurés et supervisés partagés aux enseignants. Les instructeurs distribuent ensuite les appareils aux étudiants. Si vous ne distribuez pas d’iPad partagés pré-inscrits aux instructeurs : assurez-vous de fournir aux instructeurs leurs mots de passe du serveur Endpoint Management afin qu’ils puissent inscrire leurs appareils.

Le workflow général pour la configuration et l’inscription des iPad partagés est le suivant.

  1. Utilisez la console du serveur Endpoint Management pour ajouter des comptes ASM DEP (Paramètres > Programme d’inscription des appareils Apple (DEP)) avec le mode partagé activé. Pour plus d’informations, voir « Gérer les comptes ASM DEP pour les iPad partagés » ci-après.
  2. Comme décrit dans cette section, ajoutez les stratégies d’appareil, applications et médias requis à Endpoint Management. Attribuez ces ressources à des groupes de mise à disposition.
  3. Demandez aux instructeurs d’effectuer une réinitialisation matérielle sur les iPad partagés. L’écran de gestion à distance pour l’inscription DEP apparaît.
  4. Les instructeurs inscrivent les iPad partagés. Endpoint Management déploie les ressources configurées sur chaque iPad partagé inscrit. Après un redémarrage automatique, les instructeurs peuvent partager les appareils avec les élèves. Une page de connexion apparaît sur l’iPad.
  5. Un étudiant choisit sa classe, puis saisit son ID Apple géré et son mot de passe Apple School Manager (ASM) temporaire. L’iPad partagé s’authentifie auprès d’ASM et invite l’étudiant à créer un mot de passe ASM. Pour sa prochaine connexion à l’iPad partagé, l’étudiant fournit le nouveau mot de passe ASM.
  6. Un autre étudiant qui partage l’iPad peut alors se connecter en répétant l’étape précédente.

Gérer les comptes ASM DEP pour les iPad partagés

Si vous utilisez déjà Endpoint Management avec Apple Éducation : un compte ASM DEP existant est configuré dans Endpoint Management pour les appareils qui ne sont pas partagés, tels que les appareils utilisés par les instructeurs. Vous pouvez utiliser le même ASM et le même serveur Endpoint Management pour les appareils partagés et non partagés.

Endpoint Management prend en charge ces scénarios de déploiement :

  • Un groupe d’iPad partagés par classe

    Dans ce scénario, vous attribuez les iPad partagés à une classe d’étudiants. Les iPad restent dans la salle de classe. Les instructeurs qui enseignent différentes matières dans cette classe utilisent les mêmes iPad.

  • Un groupe d’iPad partagés par instructeur

    Dans ce scénario, vous attribuez les iPad partagés à un instructeur, qui utilise ces iPad pour les différentes classes auxquelles il enseigne.

Organiser les iPad partagés en groupes d’appareils

ASM vous permet d’organiser les appareils en groupes en créant plusieurs serveurs MDM. Lorsque vous attribuez les iPad partagés à un serveur MDM, créez un groupe d’appareils pour chaque groupe d’iPad partagés, par classe ou par instructeur :

  • Groupe 1 d’iPad partagés > Serveur MDM du groupe d’appareils 1
  • Groupe 2 d’iPad partagés > Serveur MDM du groupe d’appareils 2
  • Groupe N d’iPad partagés > Serveur MDM du groupe d’appareils N

Ajouter des comptes ASM DEP pour chaque groupe d’appareils

Lorsque vous créez plusieurs comptes ASM DEP à partir de la console du serveur Endpoint Management, vous importez automatiquement des groupes d’iPad partagés (un pour chaque classe ou chaque instructeur) :

  • Serveur MDM du groupe d’appareils 1 > Compte DEP du groupe d’appareils 1
  • Serveur MDM du groupe d’appareils 2 > Compte DEP du groupe d’appareils 2
  • Serveur MDM du groupe d’appareils N > Compte DEP du groupe d’appareils N

Les exigences spécifiques aux iPad partagés sont les suivantes :

  • Un compte ASM DEP pour chaque groupe d’appareils avec ces paramètres activés :
    • Exiger l’inscription des appareils
    • Mode supervisé
    • Mode partagé
  • Assurez-vous d’utiliser le même suffixe d’éducation pour tous les comptes ASM DEP d’un établissement d’enseignement donné.

Pour ajouter un compte DEP, accédez à Paramètres > Programme d’inscription des appareils (DEP) Apple.

Écran de configuration Paramètres DEP

Applications pour iPad partagés

Les iPad partagés prennent en charge l’attribution d’applications VPP basées sur les appareils. Avant de déployer une application sur un iPad partagé, Endpoint Management envoie une demande au serveur Apple VPP pour attribuer des licences VPP aux appareils. Pour vérifier les attributions VPP, accédez à Configurer > Applications > iPad et développez Programme d’achat en volume.

Médias pour iPad partagés

Les iPad partagés prennent en charge l’attribution d’iBook VPP basés sur l’utilisateur. Avant de déployer un iBook sur un iPad partagé, Endpoint Management envoie une demande au serveur Apple VPP pour attribuer des licences VPP aux étudiants. Pour vérifier les affectations VPP, accédez à Configurer > Média > iPad et développez Programme d’achat en volume.

Écran de configuration de support

Règles de déploiement pour iPad partagés

Avec le déploiement d’iPad partagés, les règles au niveau du groupe de mise à disposition ne s’appliquent pas car elles se rapportent aux propriétés de l’utilisateur. Pour filtrer les stratégies, les applications et les médias pour chaque groupe d’appareils : ajoutez une règle de déploiement pour les ressources en fonction du nom du compte DEP. Par exemple :

  • Pour le compte DEP du groupe d’appareils 1, définissez cette règle de déploiement :

  DEP account name
  Only
  Device Group 1 DEP account

  • Pour le compte DEP du groupe d’appareils 2, définissez cette règle de déploiement :

  DEP account name
  Only
  Device Group 2 DEP account

  • Pour le compte DEP du groupe d’appareils N, définissez cette règle de déploiement :

  DEP account name
  Only
  Device Group N DEP account

Image de l'écran de configuration Stratégies d'appareil

Pour déployer l’application En classe d’Apple uniquement pour les instructeurs (à l’aide d’iPad non partagés), filtrez les ressources par état partagé DEP ASM avec ces règles de déploiement :


Deploy this resource regarding ASM DEP shared mode
only
unshared

Ou :


Deploy this resource regarding ASM DEP shared mode
except
shareable

Image de l'écran de configuration Applications

Groupes de mise à disposition pour iPad partagés

Pour le groupe d’appareils pour chaque instructeur :

  • Configurez un groupe de mise à disposition. Pour l’instructeur, attribuez toutes les classes définies par la stratégie Configuration de l’éducation.

Écran de configuration des groupes de mise à disposition

  • Ce groupe de mise à disposition doit inclure ces ressources MDM :
    • Stratégies d’appareil :
      • Configuration de l’éducation
      • Message sur l’écran de verrouillage
      • Notifications d’applications
      • Disposition de l’écran d’accueil
      • Restrictions
      • Nombre maximal d’utilisateurs résidents
      • Période de grâce de verrouillage par code secret
    • Applications VPP requises
    • iBook VPP requis

Écran de configuration des groupes de mise à disposition

Actions de sécurisation pour iPad partagés

Outre les actions de sécurisation existantes, vous pouvez utiliser ces actions de sécurisation pour les iPad partagés (disponibles dans iOS 9.3 et versions ultérieures) :

  • Obtenir utilisateurs résidents : répertorie les utilisateurs qui ont des comptes actifs sur l’appareil actuel. Cette action force une synchronisation entre l’appareil et la console Endpoint Management.
  • Déconnecter utilisateur résident : force une déconnexion de l’utilisateur actuel.
  • Supprimer utilisateur résident : supprime la session en cours pour un utilisateur spécifique. L’utilisateur peut se reconnecter.

Écran Actions de sécurité

Après avoir cliqué sur Supprimer utilisateur résident, vous pouvez spécifier le nom d’utilisateur.

Écran Actions de sécurité

Les résultats des actions de sécurisation apparaissent sur les pages Gérer > Appareils > Général et Gérer > Appareils > Groupes de mise à disposition.

Obtenir des informations sur les iPad partagés

Vous trouverez des informations spécifiques aux iPad partagés sur la page Gérer > Appareils :

  • Vous pouvez vérifier :
    • Si un appareil est partagé (DEP ASM partagé)
    • Qui est connecté à l’appareil partagé (utilisateur connecté ASM)
    • Tous les utilisateurs attribués à l’appareil partagé (utilisateurs résidents ASM)

Image de l'écran de configuration d'appareil

  • Vous pouvez filtrer la liste des appareils par État de l’appareil DEP ASM :

Image de l'écran de configuration d'appareil

  • Vous pouvez afficher les détails sur l’utilisateur connecté à un iPad partagé, depuis la page Gérer > Appareils > Propriétés de l’utilisateur connecté.

Image de l'écran de configuration d'appareil

Image de l'écran de configuration d'appareil

  • Vous pouvez voir le canal utilisé pour déployer les ressources pour les instructeurs et les utilisateurs d’un groupe de mise à disposition sur la page Gérer > Appareils > Groupes de mise à disposition. La colonne Canal/utilisateur affiche le type (Système ou Utilisateur) et le destinataire (instructeur ou étudiant).

Image de l'écran de configuration d'appareil

  • Vous pouvez obtenir des informations sur les utilisateurs résidents :
    • Dispose de données à synchroniser : si l’utilisateur a des données à synchroniser avec le cloud.
    • Quota de données : quota de données défini pour l’utilisateur en octets. Un quota peut ne pas apparaître si les quotas utilisateur sont temporairement désactivés ou ne sont pas appliqués pour l’utilisateur.
    • Données utilisées : quantité de données utilisée par l’utilisateur en octets. Une valeur peut ne pas apparaître si une erreur se produit lorsque le système rassemble les informations.
    • Est connecté : indique si l’utilisateur est connecté à l’appareil.

Image de l'écran de configuration d'appareil

  • Vous pouvez voir l’état de push pour les deux canaux.

Image de l'écran de configuration d'appareil

Gérer les données des instructeurs, des étudiants et de la classe

Lors de la gestion des données des instructeurs, des étudiants et de la classe, notez ce qui suit :

  • Ne modifiez pas les identifiants Apple ID gérés après avoir importé des informations Apple School Manager dans Endpoint Management. Endpoint Management utilise également les identifiants d’utilisateur Apple School Manager pour identifier les utilisateurs.

  • Si vous ajoutez ou modifiez des données de classe dans Apple School Manager une fois que vous avez créé une ou plusieurs stratégies Configuration de l’éducation : modifiez les stratégies puis redéployez-les.

  • Si l’instructeur d’une classe change après le déploiement de la stratégie Configuration de l’éducation : vérifiez que la stratégie se met bien à jour dans la console Endpoint Management puis redéployez la stratégie.

  • Si vous mettez à jour les propriétés de l’utilisateur dans le portail Apple School Manager, Endpoint Management met également à jour ces propriétés dans la console. Toutefois, Endpoint Management ne reçoit pas la propriété de fonction de la personne ASM (Instructeur, Étudiant ou Autre) de la même manière qu’il reçoit les autres propriétés. Par conséquent, si vous modifiez la fonction de la personne ASM dans Apple School Manager, procédez comme suit pour refléter cette modification dans Endpoint Management.

Pour gérer les données :

  1. Dans le portail Apple School Manager, mettez à jour le niveau scolaire étudiant et effacez le niveau scolaire instructeur.

  2. Si vous avez modifié un compte étudiant vers un compte instructeur, supprimez l’utilisateur de la liste des étudiants de la classe. Ensuite, ajoutez l’utilisateur à la liste des instructeurs dans la même classe ou une autre.

    Si vous avez modifié un compte instructeur vers un compte étudiant, supprimez l’utilisateur de la classe. Ensuite, ajoutez l’utilisateur à la liste des étudiants dans la même classe ou une autre. Vos mises à jour s’affichent dans la console Endpoint Management lors de la prochaine synchronisation (toutes les cinq minutes par défaut) ou récupération (par défaut, toutes les 24 heures).

  3. Modifiez la stratégie Configuration de l’éducation pour appliquer la modification et redéployez-la.

    • Si vous supprimez un utilisateur à partir du portail Apple School Manager, Endpoint Management supprime également cet utilisateur de la console Endpoint Management après une récupération.

      Vous pouvez réduire l’intervalle entre les deux références en modifiant la valeur de cette propriété de serveur : bulk.enrollment.fetchRosterInfoDelay (la valeur par défaut est 1440 minutes).

    • Lorsque vous déployez des ressources : si un étudiant rejoint une classe, créez un groupe de mise à disposition avec seulement cet étudiant et déployez les ressources vers l’étudiant.

    • Si un étudiant ou un instructeur perd son mot de passe temporaire, demandez-lui de contacter l’administrateur Apple School Manager. L’administrateur peut fournir le mot de passe temporaire ou en générer un nouveau.

Gérer un appareil perdu ou volé qui est inscrit dans le programme DEP d’Apple School Manager

Le service Localiser mon iPhone/iPad d’Apple comprend une fonctionnalité de verrouillage d’activation. Le verrouillage d’activation empêche les utilisateurs non autorisés à utiliser ou revendre un appareil perdu ou volé qui est inscrit dans DEP.

Endpoint Management comprend une action de sécurité Verrouillage d’activation DEP ASM qui vous permet d’envoyer un code de verrouillage à un appareil inscrit au programme DEP Apple School Manager.

Lorsque vous utilisez l’action de sécurité Verrouillage d’activation DEP ASM, Endpoint Management peut localiser les appareils sans obliger les utilisateurs à activer le service Localiser mon iPhone/iPad. Lors d’une réinitialisation matérielle ou d’un nettoyage complet d’un appareil Apple School Manager, l’utilisateur fournit son Apple ID géré et son mot de passe pour déverrouiller l’appareil.

Pour libérer le verrou depuis la console, cliquez sur l’action de sécurité Contourner le verrouillage d’activation. Pour plus d’informations sur le contournement d’un verrouillage d’activation, consultez la section Contourner un verrouillage d’activation iOS. L’utilisateur peut également ne pas renseigner les informations de connexion et entrer le Code de contournement du verrouillage d’activation DEP ASM en tant que mot de passe. Ces informations sont disponibles dans Détails de l’appareil, sur l’onglet Propriétés.

Pour définir le verrouillage d’activation, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurité, puis cliquez sur Verrouillage d’activation DEP ASM.

Image de l'écran de configuration d'appareil

Les propriétés Dépôt de clé DEP ASM et Code de contournement du verrouillage d’activation DEP ASM s’affichent dans Détails de l’appareil.

Image de l'écran de configuration d'appareil

L’autorisation RBAC pour un verrouillage d’activation DEP ASM est Appareils > Activer contournement du verrouillage d’activation DEP ASM.

Écran de configuration RBAC