Auteur/autrice : Franck Sartori

Publié le par

Le déploiement Mac moderne en classe Premium Economy

Cet article a pour objectif de décrire les principes essentiels d’un déploiement Mac moderne afin de poser les bases d’une implémentation réussie dans votre organisation. L’idée n’est pas de couvrir en profondeur tous les aspects techniques et les cas pointus ni de disserter sur les choix de l’ingénierie matérielle et logicielle d’Apple qui ont rendu caduques les déploiements traditionnels réalisés avec succès ces dernières années. L’informatique évolue avec des nouveaux challenges liés à la mobilité, la sécurité et la confidentialité. Le déploiement d’une flotte Mac n’échappe pas au mouvement de fond. Plutôt que de subir des changements inéluctables, il est plus que jamais nécessaire de les intégrer en mettant en place les technologies qui vous permettront de continuer à déployer efficacement vos Mac selon les standards du moment et pour un coût devant rester mesuré. Installez-vous confortablement, attachez votre ceinture et bon voyage !

Partons de quelques observations simples.

Le déploiement Mac fondamentalement basé sur la restauration de l’image d’un système est obsolète. Si vous vous demandez s’il est encore raisonnable de mastériser des Mac, vous trouverez la réponse sur le site dédié isimagingdead.com. Les nouveaux modèles de Mac équipés d’une puce T2 ne peuvent plus démarrer sur des images réseau servies par des serveurs NetInstall. Par ailleurs, seule une installation standard du système, par opposition à une restauration, déclenche au besoin la mise à jour des micro-logiciels requis par exemple pour le support du système de fichiers APFS et le fonctionnement de la Touch Bar. De fait, les Mac devraient désormais être construits à partir du système installé en usine ou réinstallé depuis Internet.

Le système macOS High Sierra a introduit le User Approved Kernel Extension Loading (UAKEL) et le User Approved MDM Enrollment (UAMDM) pour des raisons de sécurité et de transparence. UAKEL requiert que l’utilisateur approuve le premier chargement d’une extension du noyau, action critique lorsqu’il s’agit d’activer un logiciel de sécurisation pourtant installé. Il est possible de provisionner macOS avec des listes d’extensions du noyau autorisées sous réserve que le Mac soit inscrit dans une solution MDM et qu’il soit en situation de UAMDM. En pratique, ce résultat est obtenu quand l’inscription est exécutée à l’initiative de l’utilisateur final ou bien orchestrée par l’exploitation d’un programme de déploiement Apple Business Manager ou Apple School Manager.

À la poursuite d’une constante amélioration du niveau de confidentialité des données des utilisateurs, le système macOS Mojave implémente le Transparency Consent and Control (TCC). En pratique, l’utilisateur doit approuver la première interaction d’un processus avec des données gérées par le système. Il peut s’agir d’autoriser telle application à accéder aux contacts, aux calendriers, aux photos mais le mécanisme va jusqu’à devoir autoriser un logiciel de sauvegarde à accéder aux arborescences contenant ces mêmes informations. De la même manière, dès lors que le Mac est inscrit dans une solution MDM et en situation de UAMDM, un provisionnement de macOS est possible avec des limitations. Alors que la plupart des accès aux données peuvent être pré-configurés en autorisation ou en interdiction, l’accès des processus à la caméra et au microphone peuvent au mieux être configurés en interdiction.

Le chiffrement des données et le démarrage du système conditionné à une authentification, résultat obtenu en utilisant la technologie native FileVault, deviennent une obligation. Sur les Mac équipés d’une puce T2, le chiffrement des données existant par défaut, seule l’authentification requise pour le démarrage du système est activée par FileVault. Ces sécurisations s’accompagnent généralement de la mise en place d’un mot de passe Firmware destiné à empêcher le Mac de démarrer sans restriction sur un système autre que celui prévu.

Historiquement, dans les infrastructures proposant un Active Directory, les Mac ont été reliés à cet annuaire et l’usage des comptes mobiles a été largement répandu. Le problème est qu’il n’est pas possible de réinitialiser le mot de passe d’un compte mobile si le Mac n’est pas en contact avec l’annuaire. Cette difficulté, gérable lorsque les Mac revenaient fréquemment dans l’organisation, est devenue un véritable challenge avec des utilisateurs en mobilité permanente !

Enfin, la tendance est à rendre les utilisateurs plus autonomes dans la personnalisation et le support de leur Mac. Essentiellement pour ajouter d’une manière contrôlée des ressources complémentaires à un socle applicatif, mais aussi pour réaliser des actions de gestion et de maintenance, directement depuis un portail communément appelé Self Service. Toutefois, lorsqu’une action du support IT est requise, un mécanisme doit permettre la prise de contrôle à distance d’un Mac en mobilité.

Voyons maintenant les technologies permettant de traiter efficacement tous ces sujets.

Le cœur du dispositif est une solution MDM, idéalement couplé à un programme de déploiement Apple dès lors qu’il est disponible dans la zone géographique concernée. Le MDM est notamment chargé de distribuer les réglages de gestion sur toute la flotte (dont les provisionnements UAKEL et TCC), de déclencher les chiffrements FileVault en séquestrant les clés de secours personnelles, de configurer les mots de passe Firmware et de réaliser les inventaires. Les fonctionnalités encore récemment appelées DEP et VPP d’un programme de déploiement Apple autorisent le MDM à organiser une inscription obligatoire et inamovible depuis un Assistant de configuration initiale personnalisé et à orchestrer l’installation d’applications du Mac App Store sans identifiant Apple. Pour déployer finement des applications non disponibles sur le Mac App Store, la solution MDM doit être complétée par une solution de distribution centralisée avec des installations obligatoires ou optionnelles depuis un Self Service.

La récupération des données d’un support chiffré devient si complexe (voire impossible sur les Mac équipés d’une puce T2) qu’il est plus que jamais nécessaire de toujours disposer d’une sauvegarde fiable, centralisée et offrant de la visibilité. La solution de sauvegarde peut être locale ou en Cloud, en fonction des possibilités et des contraintes liées à des usages principalement mobiles ou sédentaires des Mac.

L’abandon de la liaison traditionnelle des Mac à l’Active Directory doit être envisagée au profit d’un mécanisme de liaison moderne. Rompre avec l’utilisation des comptes mobiles permet d’éliminer les traditionnelles difficultés d’exploitation liées au changement du mot de passe dicté par une règle d’expiration, ou encore à son oubli et sa réinitialisation surtout en mobilité. La complexité des mots de passe des comptes locaux doit être alignée sur celle des comptes réseau, résultat rendu possible par une solution MDM ou un autre outil spécifique. L’ouverture de session avec le compte local doit toujours s’accompagner de l’obtention d’un ticket Kerberos pour le SSO et l’accès transparent à des services kerberisés (fichiers, impression, Web, Proxy) sur la base du compte réseau associé. Si un utilisateur oublie son mot de passe de session en mobilité, le support IT peut décider de lui communiquer la clé de secours FileVault spécifique à son Mac pour qu’il retrouve immédiatement l’usage de son équipement.

Les challenges étant identifiés et le périmètre du dispositif requis étant défini, quelles sont les solutions simples et abordables qu’Agnosys se propose de mettre en place à travers ses offres de services ?

Offre « L’essentiel du déploiement Mac » — La solution MDM proposée est Mosyle Business. Ce MDM en Cloud offre l’essentiel dans une interface sans complexité. Il s’intègre avec un programme de déploiement Apple Business Manager pour les fonctionnalités DEP et VPP. Il peut être joint à un annuaire local (ex. Active Directory) ou un fournisseur d’identité (IdP) en Cloud (ex. Microsoft Entra ID). Il distribue des profils de configuration aux niveaux système ou utilisateur (essentiellement pour la configuration des applications Mail et Calendrier). Il permet d’envoyer des commandes de sécurité pour verrouiller ou effacer à distance un Mac dérobé.

Offre « Déploiement Mac avancé » — Le déploiement fin des logiciels est assuré par Munki. Produit Open Source, il s’appuie sur un service Web Apache pour des installations de paquets en mode géré ou à la demande via une application native. L’essentiel de son administration peut être réalisé depuis l’application MunkiAdmin, certaines tâches requérant toutefois l’utilisation des outils Munki en ligne de commande. Les paquets distribués sont autant que possible ceux fournis par les éditeurs. L’application Packages permet de créer facilement des paquets personnalisés dans les cas moins favorables. L’application AutoPkgr est un complément permettant d’alimenter automatiquement Munki avec les paquets les plus à jour des logiciels couramment déployés à travers le monde. Si l’objectif est de reposer autant que possible sur les profils de configuration susceptibles de mieux résister à des mises à jour majeures du système, il est des situations où le scripting est incontournable. Certaines actions complexes de configuration, de sécurisation ou de personnalisation requièrent d’être exécutées une fois, régulièrement, à chaque ouverture ou fermeture de session, ponctuellement depuis le Self Service. Elles peuvent nécessiter l’écriture de scripts, exécutés via des Loginhook, des Logouthook, des LaunchDaemons ou des LaunchAgents. Avec le temps, Agnosys s’est constitué une collection de scripts répondant aux besoins courants mais toute demande peut être soumise à étude en toute transparence sur le rapport bénéfice / coût.

Offre « Sauvegarde locale des Mac » — La solution Retrospect est chargée de la sauvegarde locale des Mac. Le serveur Retrospect est installé sur un Mac associé à un stockage local Promise ou Drobo, ou bien à un stockage SMB distant robuste. La configuration des sauvegardes est centralisée, un tableau de bord permet d’en visualiser les statuts d’un coup d’œil et il est possible d’organiser simplement des restaurations pour juger de leur fiabilité.

Offre « Sauvegarde en Cloud des Mac » — Lorsque les Mac sont principalement utilisés en mobilité et qu’ils ne reviennent que rarement dans l’infrastructure, une solution en Cloud s’impose. La solution CrashPlan propose une console de gestion centralisée, offre une sauvegarde continue et donne aux utilisateurs la possibilité de restaurer eux-mêmes leur données via une interface Web.

Offre « Intégration moderne des Mac dans Active Directory » — La solution NoMAD assure l’implémentation de la liaison moderne à l’Active Directory. Produit Open Source récemment passé sous la bannière de Jamf, il se présente aux utilisateurs sous la forme d’une icône dans la barre des menus permettant essentiellement de s’authentifier auprès de l’annuaire pour obtenir automatiquement un TGT Kerberos à l’ouverture de session, de connaître le délai avant expiration du mot de passe Active Directory, de changer le mot de passe Active Directory (entraînant la mise à jour transparente du mot de passe local), d’accéder au support informatique et d’ouvrir le Self Service Munki quand il existe. Des montages automatiques de stockages SMB kerberisés sont également possibles.

Offre « Sécurisation des Mac » — Cette sécurisation repose d’une part sur l’implémentation des technologies FileVault et mots de passe Firmware depuis la solution MDM, d’autre part sur l’implémentation de la solution de détection et de suppression des logiciels malveillants Sophos Endpoint (module de Sophos Central). Sophos EndPoint peut également réduire les risques de fuite de données massives par un contrôle des supports de stockage branchés.

Offre « Support à distance des Mac » — La solution TeamViewer permet indifféremment de prendre le contrôle à distance d’un Mac en mobilité ou sur site. Par défaut, cette prise de contrôle est soumise à l’approbation de l’utilisateur. Elle autorise des conversations audio / vidéo ou textuelle, des transferts de fichiers vers et depuis le Mac distant ainsi que l’exécution de scripts Shell.

Dernier virage. Pour les clients ne pouvant pas bénéficier de la fonctionnalité DEP pour tout ou partie de leur parc Mac, Agnosys pourra proposer une solution dite de « Setup ». Celle-ci assure notamment le nommage du Mac, la création d’un compte local de gestion, l’inscription dans le MDM en tenant compte du nécessaire UAMDM, la liaison traditionnelle à l’annuaire Active Directory si applicable et l’installation du client Munki avant que le relais ne soit passé à la gestion par le MDM et Munki. Agnosys pourra également vous proposer une solution dite de « Cleanup » permettant de mettre un Mac dans une posture compatible avec le passage d’un « Setup ». Elle inclut notamment la transformation de tous les comptes mobiles (Active Directory ou Open Directory) en comptes locaux, la suppression des réglages MCX hérités d’un annuaire Open Directory et la suppression de nombres de ressources devenues indésirables.

Toute l’équipe technique Agnosys se tient à votre disposition pour vous renseigner sur ces solutions clés en mains permettant d’organiser le déploiement moderne de vos Mac dans votre entreprise ou votre établissement éducatif.

Franck Sartori

PS : Le titre de cet article fait bien sûr référence au rapport qualité / coût des offres de services qu’il présente mais également à l’endroit depuis lequel il a été rédigé initialement à l’occasion d’un vol transatlantique.

Publié le par

26 offres de services pour la gestion et le support des appareils Apple

Toute l’équipe Agnosys est heureuse de vous annoncer la publication de 26 offres de services centrées sur la gestion et le support des appareils Apple. Destinées à nos clients entreprise et éducation, elles correspondent à des solutions clés en mains permettant de répondre avec agilité aux besoins informatiques les plus fréquemment exprimés, notamment ceux liés au déploiement et à l’administration d’une flotte de Mac ou d’appareils iOS, ainsi qu’à l’assistance aux utilisateurs et aux équipes techniques déjà en place.

Les objectifs de ces offres sont multiples :

  • disposer d’une solution MDM pour gérer efficacement les appareils Apple
  • utiliser un programme de déploiement Apple pour simplifier le déploiement des nouveaux appareils
  • distribuer des configurations, des applications, des documents, des scripts, automatiquement ou depuis un Self Service
  • sauvegarder les Mac avec une solution centralisée, fiable et offrant de la visibilité
  • intégrer les Mac dans un annuaire Active Directory selon une méthode moderne
  • sécuriser les Mac avec le chiffrement des données, une stratégie de mot de passe et une protection contre les logiciels malveillants
  • contrôler un Mac ou visualiser l’écran d’un appareil iOS à distance
  • implémenter un Cloud privé pour proposer un stockage accessible localement, à distance et même hors ligne
  • déléguer à Agnosys la préparation en masse d’appareils iOS jusqu’à leur remise aux utilisateurs
  • bénéficier de l’expertise d’Agnosys pour le support logiciel des technologies Apple
  • confier à Agnosys le support matériel d’une flotte d’appareils iOS (échange anticipé, réparation aux standards Apple).

Ces offres de services prévoient l’implémentation de processus et de produits matériel et logiciel sélectionnés par les intervenants techniques Agnosys selon quatre principaux critères :

  • leur capacité à répondre complètement à des objectifs précis
  • leur fiabilité et la capacité de leur fournisseur à gérer les demandes de support
  • leur coût (installation, exploitation, transfert de compétences)
  • leur large adoption par la communauté des administrateurs système experts de l’environnement Apple.

Retrouvez l’ensemble de ces offres de services sur notre site Web :

  Consultez nos offres Entreprise

  Consultez nos offres Education

N’hésitez pas à vous inscrire à la newsletter du service commercial Agnosys depuis la section Abonnement située en pied de page ou bien à consulter régulièrement notre site pour suivre notre actualité.

À bientôt, l’équipe Agnosys.

Publié le par Laisser un commentaire

Support à distance Mac et iOS avec TeamViewer

Agnosys a choisi la solution TeamViewer pour assurer le support à distance des ordinateurs Mac et des appareils iOS.

Retrouvez sur la page Support à distance les procédures de :

  • prise de contrôle à distance d’un ordinateur Mac
  • visualisation à distance de l’écran d’un appareil iOS (iPad, iPhone, iPod touch).

Ces procédures sont facilement accessibles depuis le lien rapide « Support à distance » en bas de page.

Pour en savoir plus sur notre service de support à distance, consultez la page Support ou bien contactez Agnosys.

Publié le par Laisser un commentaire

Mise à jour vers macOS Server 5.2

Si votre serveur est équipé d’une ancienne version de OS X Server et que vous prévoyez une mise à jour vers OS X 10.11.6 + Server 5.2 ou macOS 10.12.2 + Server 5.2, vous devriez consulter au plus vite cet article du support Apple intitulé Mise à niveau et migration de données sur macOS Server.

Les points essentiels à garder en tête :

  • l’application Server 5.2 est compatible OS X 10.11.6 et macOS 10.12.2
  • la possibilité d’une mise à jour vers macOS 10.12.2 suppose que vous disposiez d’un matériel compatible
  • vous serez probablement contraint à une mise à jour en plusieurs étapes
  • seule la version 5.2 de l’application Server est disponible à ce jour ; nous espérons donc que votre sauvegarde personnelle du Mac App Store contient toutes les versions antérieures de l’application Server dont vous aurez besoin.

Prenons un exemple. Vous disposez d’un Mac Pro (Mid 2010) compatible avec macOS Sierra et actuellement équipé de Mac OS X Server 10.6.8, toutes mises à jour Apple installées. Vous prévoyez de réaliser une mise à jour vers macOS 10.12.2 + Server 5.2. Pour cela, vous devez disposer :

  • d’un installeur de OS X Mavericks (10.9.5) et de l’application Server 3.2.2
  • d’un installeur de OS X El Capitan (10.11.6) et de l’application Server 5.1.7
  • d’un identifiant Apple pour installer depuis le Mac App Store l’application Server 5.2 et macOS Sierra (10.12.2).

Il ne reste plus qu’à réaliser la mise à jour. Vérifiez l’espace disponible sur le volume de démarrage. Par exemple, les boîtes de mail d’un Mac OS X Server 10.6 seront copiées dans la nouvelle arborescence /Library/Server d’un OS X 10.9 + Server 3.

• Phase 1 : mise à jour vers OS X 10.9.5 + Server 3.2.2
Lancez la mise à jour de Mac OS X Server 10.6.8 vers OS X 10.9.5. À l’issue, les services du serveur sont arrêtés. Placez l’application Server 3.2.2 dans le dossier Applications et lancez-la. Les services du serveur sont mis à jour. Démarrez s’ils ne le sont pas déjà les services requis et validez que tout fonctionne.

• Phase 2 : mise à jour vers OS X 10.11.6 + Server 5.1.7
Lancez la mise à jour de OS X 10.9.5 vers OS X 10.11.6. À l’issue, les services du serveur sont arrêtés. Placez l’application Server 5.1.7 dans le dossier Applications et lancez-la. Les services du serveur sont mis à jour. Démarrez s’ils ne le sont pas déjà les services requis et validez que tout fonctionne.

• Phase 3 : mise à jour vers Server 5.2
Installez Server 5.2 depuis le Mac App Store. À l’issue, les services du serveur sont arrêtés. Lancez l’application Server 5.2, les services du serveur sont mis à jour. Démarrez s’ils ne le sont pas déjà les services requis et validez que tout fonctionne.

• Phase 4 : mise à jour vers macOS 10.12.2
Installez macOS 10.12.2 depuis le Mac App Store. À l’issue, les services du serveur sont arrêtés. Lancez l’application Server 5.2, les services du serveur sont mis à jour. Démarrez s’ils ne le sont pas déjà les services requis et validez que tout fonctionne.

Avant chaque phase, vous aurez bien sûr :

  • réalisé une sauvegarde Time Machine (système tournant) et un clone Carbon Copy Cloner (système arrêté)
  • installé toutes les mises à jour Apple disponibles.

La mise à jour d’un serveur est donc un processus périlleux, semé d’embûches et avec des pré-requis importants. D’autant plus que vous partez de loin. Lancez-vous en suivant ces conseils et l’article du support Apple ou bien contactez Agnosys si vous souhaitez recevoir une proposition pour la réalisation de cette opération.