Zero Touch Deployment iPhone entreprise : 20 mobiles prêts sans y toucher

L'année dernière, on a reçu un appel un lundi matin d'une PME du 9e : "On a embauché 22 commerciaux sur 3 semaines, chacun doit avoir un iPhone 15 configuré avec l'app métier, la messagerie, le VPN et le MDM. On part de quand pour que ce soit prêt ?" Le dirigeant s'attendait à ce que je lui parle de semaines de travail, d'interventions sur site, de casse-tête logistique.

Je lui ai dit : "Vous passez la commande chez notre revendeur, vous donnez les adresses de livraison de chaque commercial, et dans 3 jours ils déballent un iPhone déjà prêt. Vous n'avez rien à faire vous-même."

Il m'a regardé bizarrement. Je comprends — quand on n'a jamais vu le Zero Touch Deployment tourner, ça ressemble à de la science-fiction. Mais c'est juste de l'industriel standard, depuis 2018 environ.

Zero Touch, en une phrase

L'idée : l'iPhone arrive dans son emballage scellé chez le salarié. Il le déballe, le met en marche, se connecte au Wi-Fi, entre ses identifiants pro. L'appareil se configure tout seul en 10-15 minutes. Quand il finit, il a toutes les apps pro installées, les bons réglages, le MDM actif, la messagerie prête à l'emploi.

Personne de l'IT n'a touché l'iPhone. Pas l'admin, pas un technicien, pas le dirigeant. D'où le nom.

Comment ça marche sous le capot (version non technique)

Trois briques discutent entre elles :

• Le revendeur agréé Apple (Apple Store B2B, LDLC Pro, un revendeur type JBI ou similaire) — au moment de la commande, il "assigne" les numéros de série à votre tenant Apple Business Manager.
• Apple Business Manager — c'est le registre central chez Apple. Il sait que les iPhones avec ces numéros de série vous appartiennent, et il les pousse vers votre MDM.
• Votre MDM (Jamf, Kandji, Mosyle, Intune…) — il reçoit les appareils dans sa console, applique le profil que vous avez défini : apps, réglages, restrictions, compte de messagerie.

Quand le salarié allume l'iPhone, l'appareil voit qu'il est "supervisé" par votre organisation, télécharge la config depuis le MDM, et exécute. Tout ça dans la première connexion Wi-Fi.

Les conditions — sans ça, pas de Zero Touch

Je préfère être clair : ça ne marche pas avec n'importe quel iPhone acheté n'importe où. Il faut :

1. Un compte Apple Business Manager (gratuit, ouverture en 48 h avec un numéro DUNS que votre boîte a déjà ou peut obtenir).
2. Un MDM connecté à ABM (les principaux le sont nativement).
3. Un achat chez un revendeur agréé qui peut assigner les appareils à votre ABM. La plupart des boîtes tech Apple le font, c'est la question à poser au commercial au moment du devis : "Pouvez-vous assigner ces appareils à notre Apple Business Manager ?" Si la réponse est un silence gêné, changez de revendeur.

À défaut — achat Apple Store grand public, FNAC, Amazon, eBay, refurb d'occasion — on peut toujours enrôler manuellement, mais ce n'est plus du Zero Touch. C'est de l'enrôlement classique, qui demande l'intervention d'un admin sur chaque appareil, 10-15 min par téléphone.

Le côté admin, ce qu'on configure une fois

La magie du Zero Touch, c'est qu'on prépare tout une fois pour toutes, et ensuite ça tourne sans intervention. Concrètement, dans le MDM, on définit un "profil de déploiement" qui contient :

• Les apps pro à installer automatiquement (Outlook, Teams, Salesforce, l'app métier interne, le VPN…).
• Les réglages système (code de verrouillage obligatoire, chiffrement forcé, restrictions sur les AirDrop, etc.).
• Le compte de messagerie (configuré via Exchange / M365, l'utilisateur n'a rien à saisir manuellement).
• Les certificats pour le VPN et le Wi-Fi interne.
• Les restrictions : pas de suppression d'app managée, pas de désactivation du MDM, pas d'effacement utilisateur, selon votre policy.

Ce boulot de config initiale prend entre une demi-journée et deux jours selon la complexité. Après ça, c'est "fire and forget".

Un cas concret — 22 iPhone en 3 jours

Je reviens sur la PME du 9e. Voilà ce qu'on a fait :

1. Jour 0 — le dirigeant envoie la liste des 22 commerciaux avec leur adresse de livraison. On passe la commande chez notre revendeur Apple B2B. On demande l'assignation ABM au moment du devis.
2. Jour 1 — les 22 numéros de série apparaissent dans la console ABM. On les assigne à notre MDM. Le profil "Commercial Field 2025" s'applique automatiquement — on l'avait préparé en une matinée la semaine d'avant.
3. Jour 3 — les iPhone arrivent chez chaque commercial. On leur a envoyé un email la veille avec 4 étapes simples : sortir de l'emballage, allumer, connecter au Wi-Fi, suivre les étapes.
4. Jour 3 soir — 19 iPhone sur 22 sont actifs dans le MDM. On appelle les 3 restants : un était en déplacement client toute la journée, les deux autres n'avaient pas checké leurs emails. Le jour 4, tous actifs.

Temps passé par l'équipe IT pour les 22 iPhone, hors préparation initiale du profil : environ 2 h cumulées, dont 1 h pour faire la commande et assigner dans ABM, et 1 h pour les trois relances.

Ce que ça change côté boîte

Dit autrement : au lieu de mobiliser un admin pendant deux semaines pour déployer 20 iPhone (1 h par appareil, plus les imprévus), on mobilise deux heures pour la même flotte. Et on peut le refaire la semaine d'après pour un nouvel arrivant sans y penser.

C'est aussi ce qui rend l'onboarding beaucoup plus propre : le nouvel arrivant reçoit son iPhone à son adresse la veille de son premier jour, il arrive le lundi matin avec un outil qui marche, sans demander à passer par l'IT. Ça pose le ton.

Les pièges classiques

Trois trucs qu'on voit rater chez les PME qui se lancent seules :

• Acheter au mauvais endroit — les iPhone Apple Store grand public ne peuvent pas être rétroactivement assignés à ABM par Apple. C'est par le revendeur au moment de l'achat ou rien.
• Ne pas superviser les appareils — par défaut le MDM gère l'iPhone mais sans supervision complète. Il faut activer la supervision dans le profil ABM pour avoir les restrictions avancées (sinon le salarié peut désinstaller le MDM).
• Oublier la com' auprès du salarié — le jour où l'iPhone arrive, si le salarié ne sait pas à quoi s'attendre, il appelle l'IT parce qu'il "ne sait pas quoi faire". Un email clair avec 4 captures d'écran suffit.

Quand ça vaut le coup

Honnêtement, à partir de 5-8 iPhone déployés par an, ça vaut déjà le coup de passer au Zero Touch. Le coût du MDM (entre 2 et 5 € par appareil par mois) se rentabilise sur le temps admin économisé.

Si vous déployez 20+ appareils par an, ne pas avoir Zero Touch c'est un choix bizarre. Si vous êtes sur 50+, c'est carrément contre-productif.

Pour gérer proprement une flotte d'iPhone en PME, c'est la fondation. Le reste — policies de sécurité, effacement à distance, déploiement d'apps — vient se brancher dessus.