Ordinateur partiellement enrôlé

An overview of partially enrolled computers in Primo, detailing the reasons for this status, how to identify affected devices, and recommended solutions for resolving enrollment issues.

3 minutes de lecture

Pourquoi ce statut ?

Lors du déploiement

Un appareil est considéré comme partiellement enrôlé lorsque le processus d'enrôlement dans Primo (ou déploiement du MDM) n'est pas entièrement terminé. En conséquence, le MDM n'est pas encore actif sur l'appareil.

Cette situation peut survenir pour plusieurs raisons :

  • L'utilisateur n'a pas complété toutes les étapes de l'enrôlement
  • L'installation de l'agent Fleet n'est pas finalisée (principalement sur macOS)
  • L'utilisateur n'est pas resté connecté assez longtemps pour terminer la synchronisation
  • L'agent ou le profil MDM ont été désinstallés ou bloqués

Alors que l'appareil est enrôlé

Voici les différents cas de figure possibles :

Agent absent ou inactif

Ce statut indique que l'agent FleetDM installé sur l'appareil ne transmet plus de données à FleetDM

Causes possibles :

  • L'agent a été désinstallé ou corrompu
    • L'utilisateur ou un script a supprimé l'agent manuellement
    • Une mise à jour système ou une erreur de configuration a corrompu l'installation
  • L'agent n'est plus en cours d'exécution
    • Le service osqueryd (utilisé par FleetDM) a été arrêté.
    • L'agent ne démarre pas à cause d'un problème de permissions.
  • Problème réseau ou de connectivité
    • L'appareil est sur un réseau qui bloque l'accès au serveur FleetDM.
    • L'appareil est resté hors ligne trop longtemps et l'agent n'a pas pu se reconnecter.
    • Un proxy ou un pare-feu bloque la communication entre l'agent et le serveur FleetDM.
  • Le certificat ou la configuration MDM a expiré ou est corrompu
    • Si votre APN (Apple Push Notification) a expiré.
  • Problème dans FleetDM
Profil MDM absent (sur Mac uniquement)

Ce statut indique que le profil MDM est absent de l'appareil ou inactif.

Causes possibles :

  • Le profil a été supprimé par l'utilisateur
    • Sur macOS, un utilisateur avec des droits administrateurs peut supprimer un profil MDM non verrouillé.
  • Le profil a expiré ou est invalide
    • Un problème avec Apple Push Notification Service (APNS) peut empêcher l'appareil de valider son profil.
    • Si le token APNS a expiré ou a été révoqué, le profil MDM peut devenir invalide.
  • L'appareil a été supprimé de la gestion MDM accidentellement
    • Si l'action turn off mdm a été exécutée depuis FleetDM sur l'appareil

Identifier les appareils partiellement enrôlés

Dans votre cockpit Primo, vous pouvez identifier les appareils partiellement enrôlés de deux façons :

  1. Le statut d'enrôlement de l'appareil vous donne des indications sur de potentielles erreurs :
  1. L'appareil apparaît comme hors ligne alors qu'il est bien utilisé par un collaborateur

Résoudre les problèmes

Voici les solutions selon chaque situation :

  • Agent manquant (sur macOS) : demandez au collaborateur de se connecter sur sa page d'enrôlement Primo et de cliquer sur l'appareil qui lui est affecté. Il pourra télécharger l'agent de façon autonome.
  • Appareil hors ligne : demandez au collaborateur de procéder à nouveau à l'enrôlement de son appareil. Vous pouvez automatiser cette action dans Paramètres > Gestion à distance > activer le Désenrôlement automatique.

Une fois les actions effectuées par le collaborateur, l'appareil devrait apparaître comme correctement enrôlé dans Primo sous 30 minutes (durée de la synchronisation entre Fleet et Primo).

💡
Gagner du temps en automatisant le réenrôlement des collaborateurs

Depuis Settings > MDM, activez le Désenrôlement automatique et sélectionnez le renvoi automatique des invitations MDM aux employés dont les appareils ont été purgés (= les appareils restés hors ligne pendant une certaine durée).

Articles associés
Avez-vous trouvé votre réponse?