Catégorie : Articles techniques

Publié le par

Fonctionnement du circuit BMS dans une batterie au lithium

Tous les téléphones et ordinateurs portables sont équipés d’un circuit BMS… et certaines voitures d’aujourd’hui aussi ! Le système d’équilibrage de charge d’une batterie est appelé en anglais Battery Management System ou BMS.

Ce circuit permet non seulement d’arrêter la charge de la batterie mais il permet aussi de contrôler la vitesse de charge et de décharge de la batterie. C’est grâce à lui que les utilisateurs peuvent laisser charger toute la nuit un appareil sans se préoccuper de la fin de charge car c’est le circuit BMS qui s’en charge.

Une autre fonctionnalité du circuit BMS est l’équilibrage de chaque module que contient une batterie. Lorsqu’une batterie fait 11 Volts, elle contient probablement trois éléments en série. Le circuit BMS permet de vérifier chaque élément pendant la charge et la décharge, pour optimiser au maximum l’énergie de la batterie et sa durée de vie. Il permet aussi de compter les cycles de la batterie et ainsi mesurer son état de santé.

Pour mieux détailler son fonctionnement, considérons la batterie d’un MacBook Pro 15″ de chez Apple. Elle est composée de 6 cellules. Chaque élément est constitué de 2 cellules montées en parallèle puis les 3 éléments sont montés en série. Cette configuration est appelée 2P/3S. La tension de chaque élément en nominal est de 3,7 V. Avec 3 éléments en série, le voltage global est de 3,7 V * 3 = 11 V.

Le chargeur de batterie applique une tension à l’extrémité de la batterie mais il ne peut pas contrôler chaque élément individuellement. C’est là qu’intervient le circuit BMS. Il va contrôler la charge globale de la batterie mais aussi vérifier que la tension de tous les élément en série sont parfaitement équilibrés les uns avec les autres et cela pendant la charge et la décharge de la batterie. Plus l’équilibre de chaque élément est respecté, plus la batterie sera optimisée et gardera sa capacité.

Nous comprenons la valeur de ce circuit intégré dans les batteries de nos ordinateurs. Il faut penser à régulièrement vérifier la disponibilité de mises à jour car le circuit BMS pourrait en bénéficier. En conclusion, nos batteries sont de plus en plus sûres grâce au circuit BMS qui contrôle la charge et la décharge de la batterie.

Si vous souhaitez acquérir les connaissances nécessaires pour réaliser des actions de maintenance sur les batteries au lithium, dans les règles de l’art et en toute sécurité, nous vous invitons à vous inscrire à notre formation Sécurité des batteries, disponible en présentielle et à distance.

Publié le par

MOM devient multilingue pour l’intégration et la migration MDM

Avant de devenir un outil d’aide à la migration d’un Mac d’un MDM à un autre, MacOnboardingMate (MOM) était à l’origine un assistant conçu pour rationaliser l’intégration d’un Mac dans un MDM. Un flux de travail MOM est configuré via un fichier de configuration comportant plus d’une centaine de clés pour couvrir l’étendue des besoins des clients. Aucune connaissance en matière de script n’est requise, aucune perte de temps pour adapter un script existant à la dernière version de macOS ou du MDM.

Mais il manquait une pièce du puzzle : la localisation de l’interface pour afficher toutes les instructions dans la langue préférée de l’utilisateur connecté. Vous devinez à travers ce post que la pièce a été trouvée. Dès aujourd’hui, les clients MOM peuvent construire leurs propres traductions de l’ensemble des chaînes de caractères affichées en utilisant une méthode standard basée sur la construction d’un fichier PO à partir d’un modèle fourni. Au moment de l’exécution, MOM lit les langues définies dans la Préférence Système Langue et région de haut en bas et si un fichier PO est disponible pour cette langue, il est utilisé pour la durée du flux de travail.

Cette nouvelle capacité est très importante si l’on considère que MOM prétend que l’utilisateur final devrait être capable de migrer son propre Mac entre deux MDM comme il a pu l’intégrer au départ en utilisant l’inscription automatisée des appareils. De plus, la localisation peut être utilisée en conjonction avec une capacité de MOM+ qui propose de restreindre la disponibilité du processus de migration aux heures d’ouverture du support informatique local, en fonction du fuseau horaire de l’appareil.

La capacité de localisation est offerte aux propriétaires actuels et futurs de licences MOM et MOM+.

Pour en savoir plus sur MacOnboardingMate, veuillez visiter les pages Introduction, Support des solutions de gestion, Capacités et Offres et tarification du site Web Agnosys.

Publié le par

MOM made multilingual for MDM onboarding and migration

Before becoming a tool to help migrate a Mac from one MDM to another, MacOnboardingMate (MOM) was originally a wizard designed to streamline the onboarding of a Mac in an MDM. A MOM workflow is configured via a configuration file with more than one hundred keys to cover the scope of customer needs. No scripting knowledge required, no time lost to adapt an existing script for the latest version of macOS or the MDM.

But one piece of the puzzle was missing : the localization of the interface to display all instructions in the logged in user’s preferred language. You guess from this post that the piece has been found. As of today, MOM customers can build their own translations of the displayed set of strings using a standard method based on building a PO file from a provided template. At runtime, MOM reads the languages defined in the Language & Region System Preference from top to bottom and if a PO file is available for that language, it is used for the duration of the workflow.

This new capability is very important considering that MOM claims that the end user should be able to migrate his own Mac between two MDM as he was able to first onboard it using Automated Device Enrollment. Furthermore, localization can be used in conjunction with a MOM+ capability that offers to restrict the availability of the migration process to the local IT Support hours, based on the time zone of the device.

Localization capability is offered to current and future MOM and MOM+ license owners.

To learn more about MacOnboardingMate, please visit the Introduction, Management Solutions Support, Capabilities and Offers and pricing pages of the Agnosys website.

Publié le par

Comment fonctionne Face ID sur votre iPhone ?

Lors de la première configuration de Face ID, votre iPhone effectue un premier scan de votre visage sous différents angles. Ces scans sont transmis à un modèle d’apprentissage automatique capable d’extraire des traits distinctifs du visage, comme sa forme unique. Ensuite, cette représentation de votre visage est chiffrée et stockée en mémoire sur votre appareil, dans un composant appelé Secure Enclave. Ce processus garantit que ces informations d’identification personnelle restent exclusivement sur votre iPhone.

Si vous disposez d’un autre appareil qui utilise Face ID, celui-ci devra effectuer ses propres scans de votre visage. La représentation de votre visage n’est pas partagée entre les différents appareils.

Lorsque vous déverrouillez votre iPhone en utilisant Face ID, votre appareil effectue un nouveau scan de votre visage. Ce nouveau scan passe ensuite par le même modèle d’apprentissage automatique formé lors de la configuration initiale de Face ID. Le modèle identifie la forme unique de votre visage et la compare avec la représentation stockée dans le Secure Enclave.

Si les représentations sont identiques, l’iPhone se déverrouille.

Chaque fois que vous déverrouillez votre iPhone, Face ID met à jour sa représentation de votre visage dans le Secure Enclave. Ainsi, même si votre visage change un peu avec le temps, Face ID s’adapte pour continuer à fonctionner correctement.

La conservation des données sur votre appareil et le traitement des données pour générer des prédictions (également sur votre appareil) constituent ce que l’on appelle l’intelligence artificielle de votre appareil.

Si vous souhaitez acquérir les connaissances requises pour devenir technicien de maintenance iOS dans un établissement offrant des services de dépannage (agréé ou non par Apple), nous vous invitons à vous inscrire à notre formation Technicien de maintenance iOS, disponible en présentielle et à distance.

Publié le par

Ma première tâche automatique avec l’app Raccourcis d’iOS 15

L’app Raccourcis d’iOS 15 n’est pas nouvelle mais elle permet de réaliser des tâches plus rapidement que nous ne le ferions manuellement.

Un raccourci vous permet d’effectuer rapidement des tâches dans vos apps. L’app Raccourcis vous permet de créer rapidement vos propres raccourcis en plusieurs étapes.

Une automatisation est un type de raccourci qui est activé par un événement, et non manuellement. Vous pouvez utiliser l’app Raccourcis pour configurer une automatisation personnelle ou pour le domicile par exemple, en utilisant vos appareils connectés de la maison (lampes, prises, etc.) puis faire en sorte que le raccourci automatisé s’exécute lors de votre arrivée ou de votre départ d’un lieu, ou lorsqu’un événement survient.

Nous vous proposons ici une tâche d’automatisation qui vous avertira lorsque vous serez connecté à un réseau Wi-Fi connu.

En effet, il n’est pas rare aujourd’hui d’arriver sur un lieu qui propose plusieurs réseaux Wi-Fi ayant chacun des réglages qui lui sont propres et qui ne permettent peut-être pas les mêmes accès ou fonctionnalités. C’est le cas chez Agnosys par exemple, où nous disposons de plusieurs réseaux Wi-Fi ne fournissant pas tous les mêmes vitesses de connexion à Internet ou les mêmes accès aux services locaux (serveurs, imprimantes, sauvegardes, etc.).

Etape 1 : localisez l’app Raccourcis sur votre iPhone/iPad

Etape 2 : ouvrez l’app Raccourcis et touchez « Automatisation »

Etape 3 : touchez « Créer une automatisation perso. »

Etape 4 : sélectionnez « Wi-Fi »

Etape 5 : choisissez le (les) réseau(x) impliqué(s) puis touchez le bouton « OK ».

Attention, vous ne pouvez sélectionner que des réseaux auxquels votre appareil a été connecté au préalable.

Touchez « Suivant ».

Etape 6 : ajoutez l’action à réaliser une fois le réseau Wi-Fi rejoint

Dans cet exemple, nous ajoutons l’affichage d’une notification.

Après avoir touché « Ajouter une action », entrez « Notification » dans le champ « Rechercher apps et actions » (encadré numéro 1). Vous pourrez ensuite sélectionner « Afficher la notification » (encadré numéro 2).

Etape 7 : modifiez le texte en conséquence et touchez « Suivant »

Validez votre automatisme en touchant le bouton « OK ».

Etape 8 : vérifiez que votre automatisation est bien conforme à ce que vous souhaitiez

Il ne vous reste plus qu’à tester votre automatisme et à observer que la notification s’affiche sur l’écran d’accueil dès lors que votre appareil se connecte automatiquement à un réseau Wi-Fi connu. Pour le tester facilement, vous pouvez désactiver et réactiver depuis le Centre de contrôle la fonction Wi-Fi de votre appareil.

Touchez la notification et lisez le texte personnalisé. Félicitations ! Vous avez créé votre première automatisation avec l’app Raccourcis !

Publié le par

Munki – Rechercher les mises à jour Apple

Si vous souhaitez que votre solution Munki propose les mises à jour Apple à vos postes clients Munki, sachez que c’est également possible !

Pour cela, vous devez modifier les préférences de Munki sur le poste client, afin de lui indiquer de rechercher également les mises à jour Apple.

Sur le poste client, exécutez la commande suivante pour modifier le fichier de préférences de Munki en faisant attention à bien respecter la casse :

sudo defaults write /Library/Preferences/ManagedInstalls InstallAppleSoftwareUpdates -bool True

Une fois cette commande exécutée, le Centre de gestion des logiciels vous proposera les mises à jour Apple disponibles en plus des applications proposées par votre administrateur Munki.

Si votre flotte compte de nombreux postes « sur site » susceptibles d’installer des mises à jour Apple, nous vous recommandons de mettre en place le service « Mise en cache de contenu » sur un poste dédié afin d’économiser de la bande passante Internet.

Pour vous former sur la solution Munki, le catalogue Agnosys propose deux formations :
– Munki – Gérer son catalogue applicatif pour Mac : en présentielle ou à distance
– Munki – Optimiser sa solution de déploiement pour Mac : en présentielle ou à distance

Publié le par

Comment optimiser la charge de la batterie d’un Mac ou d’un iPhone ?

Les ordinateurs portables et les appareils mobiles sont à ce jour très majoritairement équipés de batteries intégrées. Par batterie intégrée, nous entendons une batterie non amovible, c’est-à-dire qui ne peut pas être remplacée par l’utilisateur facilement.

Il est donc nécessaire de prendre soin de cette batterie pour qu’elle ait la plus longue durée de vie possible.

D’où la question très importante de l’optimisation de la charge de la batterie de votre Mac ou de votre iPhone pour qu’elle conserve aussi longtemps que possible le meilleur état de santé.

La première chose à prendre en compte est que ces appareils utilisent aujourd’hui des batteries au lithium-ion. Ces batteries ont des caractéristiques très particulières et elles ne doivent pas subir de décharges profondes, contrairement à ce qui était préconisé pour contrer l’effet mémoire des batteries nickel-cadmium.

Par conséquent, la première règle est de ne jamais décharger complètement son Mac ou son iPhone, ou du moins limiter le nombre de fois où cela se produit. La recommandation est de faire en sorte que la batterie ait toujours une charge comprise entre 20 et 80 % de sa capacité totale.

Cela signifie qu’il n’est pas nécessaire de décharger complètement la batterie avant de la remettre en charge. Il est possible de la recharger à tout moment, même si l’appareil affiche encore 50 % d’autonomie. Vous optimiserez la batterie en évitant ainsi les décharges profondes et en restant toujours au-dessus des 20 % d’énergie restante.

Pour la fin de charge, il n’y a pas d’inquiétude à avoir. Un système automatique d’arrêt de charge de la batterie, appelé circuit BMS (Battery Management System) en anglais, permet d’arrêter la charge de la batterie. Il permet également de contrôler la vitesse de charge et de réguler la batterie en équilibrant chacune de ses cellules d’une façon optimale.

Vous pouvez laisser charger votre iPhone toute la nuit sans vous préoccuper de la fin de charge. De plus, Apple a introduit avec iOS 13 la fonction « Recharge optimisée de la batterie », activée par défaut, qui participe également à réduire l’usure de la batterie en ajustant la fin de la charge, avec un algorithme prenant en charge différents paramètres tel que l’heure à laquelle vous avez l’habitude de vous réveiller.

Pour un Mac, procédez de la même manière. Mais pensez à le débrancher en journée pour l’utiliser sur batterie afin de la faire travailler. Une batterie est comme un muscle, il faut l’utiliser régulièrement pour l’entretenir !

En conclusion, vous ne devez jamais laisser une batterie vide longtemps et vous devez utiliser la batterie régulièrement en évitant les décharges en dessous de 20 %.

De cette façon, votre batterie vous offrira une durée de vie maximale avant un potentiel remplacement que sera le plus tardif possible !

Si vous souhaitez acquérir les connaissances nécessaires pour réaliser des actions de maintenance sur les batteries au lithium, dans les règles de l’art et en toute sécurité, nous vous invitons à vous inscrire à notre formation Sécurité des batteries, disponible en présentielle et à distance.

Publié le par

Connaître l’état de santé de la batterie de mon Mac

Tous les ordinateurs portables ont une batterie ! Et ces batteries perdent inexorablement de leur autonomie avec le temps. Après plusieurs mois ou années d’utilisation de votre Mac, vous serez sans doute intéressé de savoir dans quel état sa batterie se trouve actuellement !

Pour commencer, vous pouvez obtenir des informations sur la batterie depuis l’application Informations système. Depuis le menu Pomme, sélectionnez À propos de ce Mac puis cliquez sur le bouton Rapport système, et depuis la catégorie Matériel, sélectionnez Alimentation.

Dans Informations de la batterie, vous pouvez lire le nombre de cycles, et dans cet exemple nous voyons que cette batterie a déjà fait 184 cycles de charges.

Dans les caractéristiques techniques de ce Mac, Apple annonce pour la batterie une durée de vie de 1000 cycles, pour environ 80 % d’énergie restante à ce nombre de cycles.

Nous pourrions penser que la batterie est en bonne santé. Ce n’est pas le cas ! D’ailleurs vous remarquez que dans Informations de santé > Conditions, il est recommandé que la batterie soit réparée.

Qu’est-ce que cela signifie ? Cette batterie, bien qu’elle n’a pas fait beaucoup de cycles (184), n’offre plus la charge recommandée par le constructeur. En d’autres termes, elle a subi une perte d’autonomie.

Globalement, le niveau maximal d’usure recommandé par Apple pour une batterie de portable est de 80 %. En dessous, le constructeur considère que la batterie doit être changée. Toutefois, dans l’application Informations système, nous pouvons lire le nombre de cycles de la batterie mais pas son niveau d’usure.

Pour vérifier le niveau d’usure de la batterie, nous vous invitons à utiliser un logiciel tierce partie tel que l’application coconutBattery. La version de base gratuite suffit pour donner les informations recherchées.

coconutBattery permet non seulement de connaître le nombre de cycles de la batterie, mais en plus son niveau d’usure.

Dans cet exemple, nous pouvons lire que la batterie a déjà fait 184 cycles et que sa capacité de stockage d’énergie n’est plus que de 76,6 %.

D’après les données constructeur, cette batterie est usagée et doit être changée malgré un nombre de cycles bien inférieur aux 1000 cycles espérés.

Vous savez maintenant déterminer l’état de santé de la batterie de votre Mac et pourquoi vous devriez la remplacer.

Si vous souhaitez acquérir les connaissances nécessaires pour réaliser des actions de maintenance sur les batteries au lithium, dans les règles de l’art et en toute sécurité, nous vous invitons à vous inscrire à notre formation Sécurité des batteries, disponible en présentielle et à distance.

Publié le par

Bien formater un support de stockage

Votre disque dur n’est pas correctement détecté sur votre Mac ou sur le PC de votre ami ? Vos photos et vos films stockés sur une clé USB ne sont pas accessibles sur votre télévision ou sur votre Box ? Ce sont des problèmes courants qui nécessitent quelques connaissances de base pour les solutionner. Tout se joue lors de la préparation initiale du support de stockage, qu’il s’agisse d’un disque SSD, d’un disque mécanique (à plateau), d’une clé USB, etc. Cet article décrit les différents schémas de partitionnement et les différents systèmes de fichiers disponibles puis vous aide à choisir la meilleure combinaison pour bien formater votre support de stockage selon vos besoins.

Vocabulaire

Commençons tout d’abord par un peu de vocabulaire afin de mieux nous comprendre.

Partitionner — Le partitionnement d’un support de stockage se fait après le formatage physique et avant le formatage logique. Il consiste à créer des zones distinctes sur le support de stockage, comme des silos permettant de bien séparer les données. Par exemple, un partitionnement permet d’installer sur un même support de stockage plusieurs systèmes d’exploitation différents n’utilisant pas le même système de fichiers.

Formater — Formater est un terme désignant le fait de préparer un support physique en vue de son utilisation. En réalité, le terme formatage regroupe deux notions différentes : le « formatage de bas niveau » (appelé aussi formatage physique, réalisé en usine) et le « formatage de haut niveau » (appelé formatage logique, celui dont vous êtes responsable avec le choix d’un « système de fichiers »).

Les schémas de partitionnement

Trois schémas de partitionnement sont utilisables sur Mac. Le choix d’un schéma dépend de l’usage que vous aurez de votre support de stockage et des données présentes sur celui-ci.

• Table de partition Apple (aussi appelé APM) — Ce schéma était utilisé sur les Mac équipés de processeurs PowerPC dont la production a cessé en 2006.
• Enregistrement de démarrage principal (aussi appelé MBR) — Ce schéma est employé sur les PC. Il ne gère pas les supports de stockage de plus de 2 To. De ce fait, le schéma MBR est remplacé la plupart du temps depuis 2013 par le schéma GPT.
• Table de partition GUID (aussi appelé GPT) — Ce schéma est employé sur les Mac et PC depuis 2006. Du fait de sa polyvalence, il est aujourd’hui le schéma à privilégier. Il « émule » le schéma MBR et il est requis pour l’installation d’un système d’exploitation macOS pour un Mac équipé d’un processeur Intel.

Les systèmes de fichiers les plus courants dans le monde informatique

Sans rentrer dans les détails techniques de chaque système de fichiers ou « format », voici les plus utilisés avec leurs principaux avantages et inconvénients.

Apple File System (APFS) — APFS est un système de fichiers développé par Apple initialement pour les périphériques de stockage à mémoire flash. Il est apparu avec iOS 10.3 en mars 2017 et est supporté par macOS 10.13 (High Sierra) depuis septembre 2017. C’est le format de base utilisé sur un Mac équipé de macOS 10.14 (Mojave) pour un disque SSD, mécanique ou « Fusion Drive » (assemblage d’un disque SSD et d’un disque mécanique). Ce format n’est pas compatible avec les PC sous Windows (le support de stockage ne sera pas visible et il pourra vous être proposé de le reformater).

Mac OS étendu (HFS+) — C’est le format de base utilisé sur un Mac équipé d’un disque mécanique ou « Fusion Drive » jusqu’à macOS 10.13 (High Sierra). Il n’est pas supporté nativement par Windows. Il est toutefois compatible avec quelques boîtiers multimédia récents.

FAT32 — Son avantage est sa grande compatibilité avec la majorité des télévisions, des Box, des boîtiers multimédia, des consoles, etc. Il autorise la lecture et l’écriture sur un Mac ou un PC. Ses principaux défauts sont qu’il ne permet pas de gérer des supports de stockage d’une capacité de plus de 2 To, la taille de chaque partition est limitée à 32 Go et la taille de chaque fichier est limitée à 4 Go. Ce format ne permet donc pas de stocker des films en haute définition (HD).

exFAT — Ce format peut être utilisé comme une alternative au format FAT32 dans la mesure où il n’est pas soumis aux mêmes restrictions. Il s’agit par conséquent d’un excellent système de fichiers multi-plateformes. Sachez toutefois que certains appareils et d’anciennes versions de macOS ou de Windows ne savent pas exploiter ce système de fichiers. Dans ce cas, préférez le format FAT32. Pour information, sachez que ce système de fichiers est exploitable sur Mac depuis Mac OS X 10.6.5 et sur PC depuis Windows XP SP3 avec la mise à jour KB 955704.

NTFS — Propriété de Microsoft et système de fichiers natif sur PC, ce format efface les limites du FAT32 et est compatible avec certains appareils (plus rarement avec les télévisions). Sur un PC, les volumes formatés en NTFS sont disponibles en lecture et écriture. Sur un Mac équipé de Mac OS X 10.5 et versions ultérieures, la lecture du support de stockage est possible mais pas son écriture. Il est toutefois possible d’installer le logiciel Microsoft NTFS for Mac de l’éditeur Paragon Software pour autoriser l’écriture également.

Dans quels cas utiliser un format plutôt qu’un autre ?

• Si vous comptez utiliser le support de stockage uniquement avec des Mac, utilisez le schéma GPT et le format APFS ou HFS+. Attention, le format APFS n’est pas reconnu par les versions de macOS antérieures à macOS 10.13 (High Sierra) ! Pour plus de polyvalence, vous pouvez rester sur HFS+.

• Si vous comptez utiliser le support de stockage avec des Mac et des PC, choisissez le schéma GPT et le format exFAT. Attention, certains appareils ne reconnaissent pas ce format. Reportez-vous à son manuel d’utilisation pour plus de précisions ou préférez le format FAT32.

• Si vous comptez utiliser le support de stockage avec des Mac, des PC et d’autres appareils et que l’un d’entre eux n’est pas compatible avec le format exFAT, adoptez le schéma GPT et le format FAT32.

• Si vous ne comptez pas écrire sur le support de stockage depuis un Mac mais uniquement depuis un PC, vous pouvez utiliser le format NTFS. Ce choix vous obligera toutefois à préparer le support de stockage depuis un PC, le Mac ne supportant pas l’écriture du format NTFS.

Instructions de préparation d’un support de stockage sur un Mac

Suivez cette procédure pour partitionner et formater un support de stockage afin d’obtenir un volume unique ayant pour taille la capacité totale de ce support.

Attention – La préparation d’un support de stockage efface son contenu ! Si le contenu du support doit être conservé à l’issue de cette préparation, vous devez d’abord copier les données sur un autre support, préparer le support d’origine et ensuite copier les données dans l’autre sens.

• Depuis le Finder, sélectionnez le menu Aller > Utilitaires.
• Dans le dossier Utilitaires, double-cliquez sur Utilitaire de disque.
• Dans le menu « Présentation » de la barre d’outils, sélectionnez l’option « Afficher tous les appareils ».
• Connectez le support de stockage et vérifiez qu’il s’affiche dans la colonne de gauche (comme tous les autres supports reconnus).
• Sélectionnez le support de stockage dans la colonne de gauche (premier niveau indiquant généralement la marque de l’appareil).
• Cliquez sur le bouton « Effacer » de la barre d’outils.
• Choisissez le schéma et le format souhaités depuis les menus déroulants et attribuez un nom au volume qui sera créé.
• Cliquez sur « Effacer » puis confirmez votre sélection dans la fenêtre contextuelle.

Votre support de stockage est partitionné en une seule partition et le volume créé est prêt à être utilisé.

Récapitulatif

Mac (Ecriture) Mac (Lecture) Windows (Ecriture) Windows (Lecture) Télévision, boîtier multimédia, console…
APFS Oui Oui Non Non Non
HFS+ Oui Oui Non Non Selon l’appareil
FAT32 Oui Oui Oui Oui Oui
exFAT Oui Oui Oui Oui Selon l’appareil
NTFS Non Oui Oui Oui Selon l’appareil
Publié le par

Le déploiement Mac moderne en classe Premium Economy

Cet article a pour objectif de décrire les principes essentiels d’un déploiement Mac moderne afin de poser les bases d’une implémentation réussie dans votre organisation. L’idée n’est pas de couvrir en profondeur tous les aspects techniques et les cas pointus ni de disserter sur les choix de l’ingénierie matérielle et logicielle d’Apple qui ont rendu caduques les déploiements traditionnels réalisés avec succès ces dernières années. L’informatique évolue avec des nouveaux challenges liés à la mobilité, la sécurité et la confidentialité. Le déploiement d’une flotte Mac n’échappe pas au mouvement de fond. Plutôt que de subir des changements inéluctables, il est plus que jamais nécessaire de les intégrer en mettant en place les technologies qui vous permettront de continuer à déployer efficacement vos Mac selon les standards du moment et pour un coût devant rester mesuré. Installez-vous confortablement, attachez votre ceinture et bon voyage !

Partons de quelques observations simples.

Le déploiement Mac fondamentalement basé sur la restauration de l’image d’un système est obsolète. Si vous vous demandez s’il est encore raisonnable de mastériser des Mac, vous trouverez la réponse sur le site dédié isimagingdead.com. Les nouveaux modèles de Mac équipés d’une puce T2 ne peuvent plus démarrer sur des images réseau servies par des serveurs NetInstall. Par ailleurs, seule une installation standard du système, par opposition à une restauration, déclenche au besoin la mise à jour des micro-logiciels requis par exemple pour le support du système de fichiers APFS et le fonctionnement de la Touch Bar. De fait, les Mac devraient désormais être construits à partir du système installé en usine ou réinstallé depuis Internet.

Le système macOS High Sierra a introduit le User Approved Kernel Extension Loading (UAKEL) et le User Approved MDM Enrollment (UAMDM) pour des raisons de sécurité et de transparence. UAKEL requiert que l’utilisateur approuve le premier chargement d’une extension du noyau, action critique lorsqu’il s’agit d’activer un logiciel de sécurisation pourtant installé. Il est possible de provisionner macOS avec des listes d’extensions du noyau autorisées sous réserve que le Mac soit inscrit dans une solution MDM et qu’il soit en situation de UAMDM. En pratique, ce résultat est obtenu quand l’inscription est exécutée à l’initiative de l’utilisateur final ou bien orchestrée par l’exploitation d’un programme de déploiement Apple Business Manager ou Apple School Manager.

À la poursuite d’une constante amélioration du niveau de confidentialité des données des utilisateurs, le système macOS Mojave implémente le Transparency Consent and Control (TCC). En pratique, l’utilisateur doit approuver la première interaction d’un processus avec des données gérées par le système. Il peut s’agir d’autoriser telle application à accéder aux contacts, aux calendriers, aux photos mais le mécanisme va jusqu’à devoir autoriser un logiciel de sauvegarde à accéder aux arborescences contenant ces mêmes informations. De la même manière, dès lors que le Mac est inscrit dans une solution MDM et en situation de UAMDM, un provisionnement de macOS est possible avec des limitations. Alors que la plupart des accès aux données peuvent être pré-configurés en autorisation ou en interdiction, l’accès des processus à la caméra et au microphone peuvent au mieux être configurés en interdiction.

Le chiffrement des données et le démarrage du système conditionné à une authentification, résultat obtenu en utilisant la technologie native FileVault, deviennent une obligation. Sur les Mac équipés d’une puce T2, le chiffrement des données existant par défaut, seule l’authentification requise pour le démarrage du système est activée par FileVault. Ces sécurisations s’accompagnent généralement de la mise en place d’un mot de passe Firmware destiné à empêcher le Mac de démarrer sans restriction sur un système autre que celui prévu.

Historiquement, dans les infrastructures proposant un Active Directory, les Mac ont été reliés à cet annuaire et l’usage des comptes mobiles a été largement répandu. Le problème est qu’il n’est pas possible de réinitialiser le mot de passe d’un compte mobile si le Mac n’est pas en contact avec l’annuaire. Cette difficulté, gérable lorsque les Mac revenaient fréquemment dans l’organisation, est devenue un véritable challenge avec des utilisateurs en mobilité permanente !

Enfin, la tendance est à rendre les utilisateurs plus autonomes dans la personnalisation et le support de leur Mac. Essentiellement pour ajouter d’une manière contrôlée des ressources complémentaires à un socle applicatif, mais aussi pour réaliser des actions de gestion et de maintenance, directement depuis un portail communément appelé Self Service. Toutefois, lorsqu’une action du support IT est requise, un mécanisme doit permettre la prise de contrôle à distance d’un Mac en mobilité.

Voyons maintenant les technologies permettant de traiter efficacement tous ces sujets.

Le cœur du dispositif est une solution MDM, idéalement couplé à un programme de déploiement Apple dès lors qu’il est disponible dans la zone géographique concernée. Le MDM est notamment chargé de distribuer les réglages de gestion sur toute la flotte (dont les provisionnements UAKEL et TCC), de déclencher les chiffrements FileVault en séquestrant les clés de secours personnelles, de configurer les mots de passe Firmware et de réaliser les inventaires. Les fonctionnalités encore récemment appelées DEP et VPP d’un programme de déploiement Apple autorisent le MDM à organiser une inscription obligatoire et inamovible depuis un Assistant de configuration initiale personnalisé et à orchestrer l’installation d’applications du Mac App Store sans identifiant Apple. Pour déployer finement des applications non disponibles sur le Mac App Store, la solution MDM doit être complétée par une solution de distribution centralisée avec des installations obligatoires ou optionnelles depuis un Self Service.

La récupération des données d’un support chiffré devient si complexe (voire impossible sur les Mac équipés d’une puce T2) qu’il est plus que jamais nécessaire de toujours disposer d’une sauvegarde fiable, centralisée et offrant de la visibilité. La solution de sauvegarde peut être locale ou en Cloud, en fonction des possibilités et des contraintes liées à des usages principalement mobiles ou sédentaires des Mac.

L’abandon de la liaison traditionnelle des Mac à l’Active Directory doit être envisagée au profit d’un mécanisme de liaison moderne. Rompre avec l’utilisation des comptes mobiles permet d’éliminer les traditionnelles difficultés d’exploitation liées au changement du mot de passe dicté par une règle d’expiration, ou encore à son oubli et sa réinitialisation surtout en mobilité. La complexité des mots de passe des comptes locaux doit être alignée sur celle des comptes réseau, résultat rendu possible par une solution MDM ou un autre outil spécifique. L’ouverture de session avec le compte local doit toujours s’accompagner de l’obtention d’un ticket Kerberos pour le SSO et l’accès transparent à des services kerberisés (fichiers, impression, Web, Proxy) sur la base du compte réseau associé. Si un utilisateur oublie son mot de passe de session en mobilité, le support IT peut décider de lui communiquer la clé de secours FileVault spécifique à son Mac pour qu’il retrouve immédiatement l’usage de son équipement.

Les challenges étant identifiés et le périmètre du dispositif requis étant défini, quelles sont les solutions simples et abordables qu’Agnosys se propose de mettre en place à travers ses offres de services ?

Offre « L’essentiel du déploiement Mac » — La solution MDM proposée est Mosyle Business. Ce MDM en Cloud offre l’essentiel dans une interface sans complexité. Il s’intègre avec un programme de déploiement Apple Business Manager pour les fonctionnalités DEP et VPP. Il peut être joint à un annuaire local (ex. Active Directory) ou un fournisseur d’identité (IdP) en Cloud (ex. Microsoft Entra ID). Il distribue des profils de configuration aux niveaux système ou utilisateur (essentiellement pour la configuration des applications Mail et Calendrier). Il permet d’envoyer des commandes de sécurité pour verrouiller ou effacer à distance un Mac dérobé.

Offre « Déploiement Mac avancé » — Le déploiement fin des logiciels est assuré par Munki. Produit Open Source, il s’appuie sur un service Web Apache pour des installations de paquets en mode géré ou à la demande via une application native. L’essentiel de son administration peut être réalisé depuis l’application MunkiAdmin, certaines tâches requérant toutefois l’utilisation des outils Munki en ligne de commande. Les paquets distribués sont autant que possible ceux fournis par les éditeurs. L’application Packages permet de créer facilement des paquets personnalisés dans les cas moins favorables. L’application AutoPkgr est un complément permettant d’alimenter automatiquement Munki avec les paquets les plus à jour des logiciels couramment déployés à travers le monde. Si l’objectif est de reposer autant que possible sur les profils de configuration susceptibles de mieux résister à des mises à jour majeures du système, il est des situations où le scripting est incontournable. Certaines actions complexes de configuration, de sécurisation ou de personnalisation requièrent d’être exécutées une fois, régulièrement, à chaque ouverture ou fermeture de session, ponctuellement depuis le Self Service. Elles peuvent nécessiter l’écriture de scripts, exécutés via des Loginhook, des Logouthook, des LaunchDaemons ou des LaunchAgents. Avec le temps, Agnosys s’est constitué une collection de scripts répondant aux besoins courants mais toute demande peut être soumise à étude en toute transparence sur le rapport bénéfice / coût.

Offre « Sauvegarde locale des Mac » — La solution Retrospect est chargée de la sauvegarde locale des Mac. Le serveur Retrospect est installé sur un Mac associé à un stockage local Promise ou Drobo, ou bien à un stockage SMB distant robuste. La configuration des sauvegardes est centralisée, un tableau de bord permet d’en visualiser les statuts d’un coup d’œil et il est possible d’organiser simplement des restaurations pour juger de leur fiabilité.

Offre « Sauvegarde en Cloud des Mac » — Lorsque les Mac sont principalement utilisés en mobilité et qu’ils ne reviennent que rarement dans l’infrastructure, une solution en Cloud s’impose. La solution CrashPlan propose une console de gestion centralisée, offre une sauvegarde continue et donne aux utilisateurs la possibilité de restaurer eux-mêmes leur données via une interface Web.

Offre « Intégration moderne des Mac dans Active Directory » — La solution NoMAD assure l’implémentation de la liaison moderne à l’Active Directory. Produit Open Source récemment passé sous la bannière de Jamf, il se présente aux utilisateurs sous la forme d’une icône dans la barre des menus permettant essentiellement de s’authentifier auprès de l’annuaire pour obtenir automatiquement un TGT Kerberos à l’ouverture de session, de connaître le délai avant expiration du mot de passe Active Directory, de changer le mot de passe Active Directory (entraînant la mise à jour transparente du mot de passe local), d’accéder au support informatique et d’ouvrir le Self Service Munki quand il existe. Des montages automatiques de stockages SMB kerberisés sont également possibles.

Offre « Sécurisation des Mac » — Cette sécurisation repose d’une part sur l’implémentation des technologies FileVault et mots de passe Firmware depuis la solution MDM, d’autre part sur l’implémentation de la solution de détection et de suppression des logiciels malveillants Sophos Endpoint (module de Sophos Central). Sophos EndPoint peut également réduire les risques de fuite de données massives par un contrôle des supports de stockage branchés.

Offre « Support à distance des Mac » — La solution TeamViewer permet indifféremment de prendre le contrôle à distance d’un Mac en mobilité ou sur site. Par défaut, cette prise de contrôle est soumise à l’approbation de l’utilisateur. Elle autorise des conversations audio / vidéo ou textuelle, des transferts de fichiers vers et depuis le Mac distant ainsi que l’exécution de scripts Shell.

Dernier virage. Pour les clients ne pouvant pas bénéficier de la fonctionnalité DEP pour tout ou partie de leur parc Mac, Agnosys pourra proposer une solution dite de « Setup ». Celle-ci assure notamment le nommage du Mac, la création d’un compte local de gestion, l’inscription dans le MDM en tenant compte du nécessaire UAMDM, la liaison traditionnelle à l’annuaire Active Directory si applicable et l’installation du client Munki avant que le relais ne soit passé à la gestion par le MDM et Munki. Agnosys pourra également vous proposer une solution dite de « Cleanup » permettant de mettre un Mac dans une posture compatible avec le passage d’un « Setup ». Elle inclut notamment la transformation de tous les comptes mobiles (Active Directory ou Open Directory) en comptes locaux, la suppression des réglages MCX hérités d’un annuaire Open Directory et la suppression de nombres de ressources devenues indésirables.

Toute l’équipe technique Agnosys se tient à votre disposition pour vous renseigner sur ces solutions clés en mains permettant d’organiser le déploiement moderne de vos Mac dans votre entreprise ou votre établissement éducatif.

Franck Sartori

PS : Le titre de cet article fait bien sûr référence au rapport qualité / coût des offres de services qu’il présente mais également à l’endroit depuis lequel il a été rédigé initialement à l’occasion d’un vol transatlantique.