Le Device Enrollment Program (DEP) était le service d'enrôlement automatique d'Apple qui permettait aux organisations de configurer iPhones, iPads et Macs dès leur première mise sous tension. Apple a déprécié le DEP en décembre 2019 et a intégré ses fonctionnalités dans Apple Business Manager (ABM). La fonctionnalité s'appelle désormais Automated Device Enrollment (ADE). Si vous avez acheté vos appareils Apple via un revendeur agréé ou directement chez Apple, l'ADE permet à votre serveur MDM de pousser profils, applications et politiques de sécurité sur chaque appareil au moment où l'utilisateur l'allume, sans aucune configuration manuelle.
Que faisait le DEP ?
Le DEP gérait trois fonctions essentielles pour les équipes IT qui administrent des flottes Apple :
- Provisionnement zero-touch. Les appareils expédiés directement par Apple ou un revendeur arrivaient pré-assignés à votre MDM. L'utilisateur allumait l'appareil, se connectait au Wi-Fi, et le profil MDM s'installait automatiquement pendant l'Assistant de configuration.
- Activation du mode supervisé. Les appareils enrôlés via DEP pouvaient être placés en mode supervisé dès le premier jour, débloquant des restrictions inaccessibles aux appareils non supervisés (mode application unique, filtrage de contenu, empêcher la suppression du profil MDM).
- Enrôlement obligatoire. Contrairement à l'enrôlement manuel, l'enrôlement DEP ne pouvait être ni ignoré ni supprimé par l'utilisateur, garantissant le contrôle de l'entreprise du premier démarrage jusqu'au décommissionnement.
À son apogée, le DEP supportait iOS, macOS et tvOS. Apple ne l'a jamais étendu à watchOS.
Qu'est-ce qui a remplacé le DEP ?
Apple Business Manager (ABM) a remplacé le DEP fin 2019. ABM est un portail web qui regroupe trois programmes auparavant séparés :
| Ancien programme | Fonction | Équivalent ABM |
|---|---|---|
| Device Enrollment Program (DEP) | Assignation zero-touch des appareils au MDM | Automated Device Enrollment (ADE) |
| Volume Purchase Program (VPP) | Licences d'applications et livres en volume | Apps et Livres |
| Apple School Manager (écoles) | Gestion éducation : appareils et comptes | Toujours séparé, mais infrastructure partagée |
Le flux d'enrôlement est identique : votre revendeur Apple agréé lie les numéros de série à votre compte ABM, vous assignez ces appareils à votre serveur MDM, et l'appareil s'enrôle automatiquement à la première mise sous tension. Le seul changement est l'endroit (portail ABM sur business.apple.com) et le nom (ADE au lieu de DEP).
Comment configurer l'Automated Device Enrollment aujourd'hui
Que vous migriez depuis l'ancien portail DEP ou que vous configuriez l'enrôlement pour la première fois :
- Créer un compte ABM sur business.apple.com. Vous avez besoin d'un numéro D-U-N-S et d'un identifiant Apple d'entreprise (pas un compte personnel).
- Connecter votre serveur MDM. Dans ABM, accédez à Réglages > Serveurs MDM, ajoutez votre MDM (par exemple Appaloosa) et téléversez la clé publique fournie par votre MDM.
- Assigner les appareils. Une fois que votre revendeur a lié les numéros de série à votre compte ABM, assignez-les au serveur MDM. Vous pouvez définir un serveur par défaut pour que chaque nouvel achat soit assigné automatiquement.
- Configurer les profils d'enrôlement. Dans votre MDM, créez le profil d'enrôlement : quelles étapes de l'Assistant de configuration masquer, si le mode supervisé est activé, quels paramètres Wi-Fi et VPN pousser.
- Expédier et allumer. L'utilisateur ouvre la boîte, se connecte au réseau, et le profil MDM s'installe pendant l'Assistant de configuration. Aucune intervention IT nécessaire.
La configuration complète prend 15 à 30 minutes côté administrateur IT. Chaque appareil s'enrôle en moins de 2 minutes au premier démarrage.
Prérequis pour l'Automated Device Enrollment
Avant d'enrôler des appareils via ADE, quatre éléments doivent être en place :
| Prérequis | Détails |
|---|---|
| Compte Apple Business Manager | Nécessite un numéro D-U-N-S et un domaine d'entreprise. L'approbation prend 1 à 5 jours ouvrés. |
| Serveur MDM connecté à ABM | Votre MDM (Appaloosa, Jamf, Intune, etc.) doit être enregistré comme serveur dans ABM avec un token de serveur valide. |
| Appareils achetés via un canal autorisé | Les appareils doivent être achetés directement chez Apple ou via un revendeur agréé. Les appareils achetés en magasin grand public ou d'occasion ne peuvent pas être enrôlés via ADE (utilisez l'enrôlement MDM manuel). |
| Accès réseau pendant la configuration | L'appareil a besoin du Wi-Fi ou d'Ethernet (via adaptateur USB-C) pendant l'Assistant de configuration pour contacter les serveurs d'activation Apple. |
Apple Configurator 2 (macOS uniquement) peut ajouter manuellement des appareils à ABM s'ils n'ont pas été achetés via un canal autorisé. Utile pour les appareils déjà dans votre inventaire avant la création de votre compte ABM.
DEP vs ADE : qu'est-ce qui a réellement changé ?
En pratique, rien n'a changé pour la plupart des équipes IT. Le protocole d'enrôlement, l'intégration MDM et le comportement du mode supervisé sont identiques. Voici ce qui a changé :
- Consolidation du portail. Le DEP avait son propre portail (deploy.apple.com). L'ADE vit dans Apple Business Manager, aux côtés des licences d'applications et des identifiants Apple gérés.
- Identifiants Apple gérés. ABM a introduit l'authentification fédérée avec Azure AD et Google Workspace pour les comptes Apple d'entreprise, ce que l'ancien portail DEP ne permettait pas.
- Accès par rôles. ABM supporte des rôles d'administration granulaires (Gestionnaire d'appareils, Gestionnaire de contenu, Gestionnaire de personnes). L'ancien portail DEP avait un modèle d'administration plat.
Si votre MDM supportait déjà le DEP, il supporte l'ADE. Aucune migration n'est nécessaire côté MDM. Vous devez simplement vous connecter à ABM au lieu de l'ancien portail DEP.
Résolution des problèmes courants
L'appareil n'apparaît pas dans ABM. Le revendeur n'a pas encore lié le numéro de série à votre compte ABM. Contactez votre revendeur avec votre ID d'organisation ABM. Les nouveaux achats apparaissent généralement sous 24 à 48 heures.
Le profil d'enrôlement ne s'installe pas pendant l'Assistant de configuration. Vérifiez que le numéro de série est assigné au bon serveur MDM dans ABM. Si vous avez récemment renouvelé votre token de serveur MDM, re-téléversez le nouveau token dans ABM sous Réglages > Serveurs MDM.
Le mode supervisé ne s'active pas. La supervision doit être activée dans le profil d'enrôlement avant que l'appareil ne passe par l'Assistant de configuration. Vous ne pouvez pas superviser rétroactivement un appareil déjà configuré. La seule solution est d'effacer l'appareil et de le laisser se ré-enrôler via ADE.
Questions fréquentes
Le DEP et l'ADE sont-ils la même chose ?
Oui. L'ADE (Automated Device Enrollment) est le nouveau nom du DEP dans Apple Business Manager. Le protocole d'enrôlement et le comportement des appareils sont identiques. Apple a retiré la marque DEP en 2019.
L'ADE fonctionne-t-il avec des solutions MDM tierces ?
Oui. Tout MDM qui supportait le DEP supporte l'ADE, y compris Appaloosa, Jamf, Intune, Hexnode et Mosyle. Le fournisseur MDM enregistre un token de serveur dans votre compte ABM, et les appareils assignés à ce serveur s'enrôlent automatiquement.
Peut-on enrôler des appareils personnels via ADE ?
Non. L'ADE est conçu pour les appareils appartenant à l'organisation, achetés via des canaux autorisés. Pour les appareils personnels (BYOD), utilisez l'enrôlement MDM manuel où l'utilisateur installe lui-même le profil MDM.
Combien d'appareils l'ADE peut-il gérer ?
Il n'y a pas de limite. L'ADE passe à l'échelle de quelques iPads à des dizaines de milliers d'iPhones. Les organisations enrôlent couramment plus de 5 000 appareils en un seul cycle de déploiement.