Cet article a pour objectif de décrire les principes essentiels d’un déploiement Mac moderne afin de poser les bases d’une implémentation réussie dans votre organisation. L’idée n’est pas de couvrir en profondeur tous les aspects techniques et les cas pointus ni de disserter sur les choix de l’ingénierie matérielle et logicielle d’Apple qui ont rendu caduques les déploiements traditionnels réalisés avec succès ces dernières années. L’informatique évolue avec des nouveaux challenges liés à la mobilité, la sécurité et la confidentialité. Le déploiement d’une flotte Mac n’échappe pas au mouvement de fond. Plutôt que de subir des changements inéluctables, il est plus que jamais nécessaire de les intégrer en mettant en place les technologies qui vous permettront de continuer à déployer efficacement vos Mac selon les standards du moment et pour un coût devant rester mesuré. Installez-vous confortablement, attachez votre ceinture et bon voyage !
Partons de quelques observations simples.
Le déploiement Mac fondamentalement basé sur la restauration de l’image d’un système est obsolète. Si vous vous demandez s’il est encore raisonnable de mastériser des Mac, vous trouverez la réponse sur le site dédié isimagingdead.com. Les nouveaux modèles de Mac équipés d’une puce T2 ne peuvent plus démarrer sur des images réseau servies par des serveurs NetInstall. Par ailleurs, seule une installation standard du système, par opposition à une restauration, déclenche au besoin la mise à jour des micro-logiciels requis par exemple pour le support du système de fichiers APFS et le fonctionnement de la Touch Bar. De fait, les Mac devraient désormais être construits à partir du système installé en usine ou réinstallé depuis Internet.
Le système macOS High Sierra a introduit le User Approved Kernel Extension Loading (UAKEL) et le User Approved MDM Enrollment (UAMDM) pour des raisons de sécurité et de transparence. UAKEL requiert que l’utilisateur approuve le premier chargement d’une extension du noyau, action critique lorsqu’il s’agit d’activer un logiciel de sécurisation pourtant installé. Il est possible de provisionner macOS avec des listes d’extensions du noyau autorisées sous réserve que le Mac soit inscrit dans une solution MDM et qu’il soit en situation de UAMDM. En pratique, ce résultat est obtenu quand l’inscription est exécutée à l’initiative de l’utilisateur final ou bien orchestrée par l’exploitation d’un programme de déploiement Apple Business Manager ou Apple School Manager.
À la poursuite d’une constante amélioration du niveau de confidentialité des données des utilisateurs, le système macOS Mojave implémente le Transparency Consent and Control (TCC). En pratique, l’utilisateur doit approuver la première interaction d’un processus avec des données gérées par le système. Il peut s’agir d’autoriser telle application à accéder aux contacts, aux calendriers, aux photos mais le mécanisme va jusqu’à devoir autoriser un logiciel de sauvegarde à accéder aux arborescences contenant ces mêmes informations. De la même manière, dès lors que le Mac est inscrit dans une solution MDM et en situation de UAMDM, un provisionnement de macOS est possible avec des limitations. Alors que la plupart des accès aux données peuvent être pré-configurés en autorisation ou en interdiction, l’accès des processus à la caméra et au microphone peuvent au mieux être configurés en interdiction.
Le chiffrement des données et le démarrage du système conditionné à une authentification, résultat obtenu en utilisant la technologie native FileVault, deviennent une obligation. Sur les Mac équipés d’une puce T2, le chiffrement des données existant par défaut, seule l’authentification requise pour le démarrage du système est activée par FileVault. Ces sécurisations s’accompagnent généralement de la mise en place d’un mot de passe Firmware destiné à empêcher le Mac de démarrer sans restriction sur un système autre que celui prévu.
Historiquement, dans les infrastructures proposant un Active Directory, les Mac ont été reliés à cet annuaire et l’usage des comptes mobiles a été largement répandu. Le problème est qu’il n’est pas possible de réinitialiser le mot de passe d’un compte mobile si le Mac n’est pas en contact avec l’annuaire. Cette difficulté, gérable lorsque les Mac revenaient fréquemment dans l’organisation, est devenue un véritable challenge avec des utilisateurs en mobilité permanente !
Enfin, la tendance est à rendre les utilisateurs plus autonomes dans la personnalisation et le support de leur Mac. Essentiellement pour ajouter d’une manière contrôlée des ressources complémentaires à un socle applicatif, mais aussi pour réaliser des actions de gestion et de maintenance, directement depuis un portail communément appelé Self Service. Toutefois, lorsqu’une action du support IT est requise, un mécanisme doit permettre la prise de contrôle à distance d’un Mac en mobilité.
Voyons maintenant les technologies permettant de traiter efficacement tous ces sujets.
Le cœur du dispositif est une solution MDM, idéalement couplé à un programme de déploiement Apple dès lors qu’il est disponible dans la zone géographique concernée. Le MDM est notamment chargé de distribuer les réglages de gestion sur toute la flotte (dont les provisionnements UAKEL et TCC), de déclencher les chiffrements FileVault en séquestrant les clés de secours personnelles, de configurer les mots de passe Firmware et de réaliser les inventaires. Les fonctionnalités encore récemment appelées DEP et VPP d’un programme de déploiement Apple autorisent le MDM à organiser une inscription obligatoire et inamovible depuis un Assistant de configuration initiale personnalisé et à orchestrer l’installation d’applications du Mac App Store sans identifiant Apple. Pour déployer finement des applications non disponibles sur le Mac App Store, la solution MDM doit être complétée par une solution de distribution centralisée avec des installations obligatoires ou optionnelles depuis un Self Service.
La récupération des données d’un support chiffré devient si complexe (voire impossible sur les Mac équipés d’une puce T2) qu’il est plus que jamais nécessaire de toujours disposer d’une sauvegarde fiable, centralisée et offrant de la visibilité. La solution de sauvegarde peut être locale ou en Cloud, en fonction des possibilités et des contraintes liées à des usages principalement mobiles ou sédentaires des Mac.
L’abandon de la liaison traditionnelle des Mac à l’Active Directory doit être envisagée au profit d’un mécanisme de liaison moderne. Rompre avec l’utilisation des comptes mobiles permet d’éliminer les traditionnelles difficultés d’exploitation liées au changement du mot de passe dicté par une règle d’expiration, ou encore à son oubli et sa réinitialisation surtout en mobilité. La complexité des mots de passe des comptes locaux doit être alignée sur celle des comptes réseau, résultat rendu possible par une solution MDM ou un autre outil spécifique. L’ouverture de session avec le compte local doit toujours s’accompagner de l’obtention d’un ticket Kerberos pour le SSO et l’accès transparent à des services kerberisés (fichiers, impression, Web, Proxy) sur la base du compte réseau associé. Si un utilisateur oublie son mot de passe de session en mobilité, le support IT peut décider de lui communiquer la clé de secours FileVault spécifique à son Mac pour qu’il retrouve immédiatement l’usage de son équipement.
Les challenges étant identifiés et le périmètre du dispositif requis étant défini, quelles sont les solutions simples et abordables qu’Agnosys se propose de mettre en place à travers ses offres de services ?
Offre « L’essentiel du déploiement Mac » — La solution MDM proposée est Mosyle Business. Ce MDM en Cloud offre l’essentiel dans une interface sans complexité. Il s’intègre avec un programme de déploiement Apple Business Manager pour les fonctionnalités DEP et VPP. Il peut être joint à un annuaire local (ex. Active Directory) ou un fournisseur d’identité (IdP) en Cloud (ex. Microsoft Entra ID). Il distribue des profils de configuration aux niveaux système ou utilisateur (essentiellement pour la configuration des applications Mail et Calendrier). Il permet d’envoyer des commandes de sécurité pour verrouiller ou effacer à distance un Mac dérobé.
Offre « Déploiement Mac avancé » — Le déploiement fin des logiciels est assuré par Munki. Produit Open Source, il s’appuie sur un service Web Apache pour des installations de paquets en mode géré ou à la demande via une application native. L’essentiel de son administration peut être réalisé depuis l’application MunkiAdmin, certaines tâches requérant toutefois l’utilisation des outils Munki en ligne de commande. Les paquets distribués sont autant que possible ceux fournis par les éditeurs. L’application Packages permet de créer facilement des paquets personnalisés dans les cas moins favorables. L’application AutoPkgr est un complément permettant d’alimenter automatiquement Munki avec les paquets les plus à jour des logiciels couramment déployés à travers le monde. Si l’objectif est de reposer autant que possible sur les profils de configuration susceptibles de mieux résister à des mises à jour majeures du système, il est des situations où le scripting est incontournable. Certaines actions complexes de configuration, de sécurisation ou de personnalisation requièrent d’être exécutées une fois, régulièrement, à chaque ouverture ou fermeture de session, ponctuellement depuis le Self Service. Elles peuvent nécessiter l’écriture de scripts, exécutés via des Loginhook, des Logouthook, des LaunchDaemons ou des LaunchAgents. Avec le temps, Agnosys s’est constitué une collection de scripts répondant aux besoins courants mais toute demande peut être soumise à étude en toute transparence sur le rapport bénéfice / coût.
Offre « Sauvegarde locale des Mac » — La solution Retrospect est chargée de la sauvegarde locale des Mac. Le serveur Retrospect est installé sur un Mac associé à un stockage local Promise ou Drobo, ou bien à un stockage SMB distant robuste. La configuration des sauvegardes est centralisée, un tableau de bord permet d’en visualiser les statuts d’un coup d’œil et il est possible d’organiser simplement des restaurations pour juger de leur fiabilité.
Offre « Sauvegarde en Cloud des Mac » — Lorsque les Mac sont principalement utilisés en mobilité et qu’ils ne reviennent que rarement dans l’infrastructure, une solution en Cloud s’impose. La solution CrashPlan propose une console de gestion centralisée, offre une sauvegarde continue et donne aux utilisateurs la possibilité de restaurer eux-mêmes leur données via une interface Web.
Offre « Intégration moderne des Mac dans Active Directory » — La solution NoMAD assure l’implémentation de la liaison moderne à l’Active Directory. Produit Open Source récemment passé sous la bannière de Jamf, il se présente aux utilisateurs sous la forme d’une icône dans la barre des menus permettant essentiellement de s’authentifier auprès de l’annuaire pour obtenir automatiquement un TGT Kerberos à l’ouverture de session, de connaître le délai avant expiration du mot de passe Active Directory, de changer le mot de passe Active Directory (entraînant la mise à jour transparente du mot de passe local), d’accéder au support informatique et d’ouvrir le Self Service Munki quand il existe. Des montages automatiques de stockages SMB kerberisés sont également possibles.
Offre « Sécurisation des Mac » — Cette sécurisation repose d’une part sur l’implémentation des technologies FileVault et mots de passe Firmware depuis la solution MDM, d’autre part sur l’implémentation de la solution de détection et de suppression des logiciels malveillants Sophos Endpoint (module de Sophos Central). Sophos EndPoint peut également réduire les risques de fuite de données massives par un contrôle des supports de stockage branchés.
Offre « Support à distance des Mac » — La solution TeamViewer permet indifféremment de prendre le contrôle à distance d’un Mac en mobilité ou sur site. Par défaut, cette prise de contrôle est soumise à l’approbation de l’utilisateur. Elle autorise des conversations audio / vidéo ou textuelle, des transferts de fichiers vers et depuis le Mac distant ainsi que l’exécution de scripts Shell.
Dernier virage. Pour les clients ne pouvant pas bénéficier de la fonctionnalité DEP pour tout ou partie de leur parc Mac, Agnosys pourra proposer une solution dite de « Setup ». Celle-ci assure notamment le nommage du Mac, la création d’un compte local de gestion, l’inscription dans le MDM en tenant compte du nécessaire UAMDM, la liaison traditionnelle à l’annuaire Active Directory si applicable et l’installation du client Munki avant que le relais ne soit passé à la gestion par le MDM et Munki. Agnosys pourra également vous proposer une solution dite de « Cleanup » permettant de mettre un Mac dans une posture compatible avec le passage d’un « Setup ». Elle inclut notamment la transformation de tous les comptes mobiles (Active Directory ou Open Directory) en comptes locaux, la suppression des réglages MCX hérités d’un annuaire Open Directory et la suppression de nombres de ressources devenues indésirables.
Toute l’équipe technique Agnosys se tient à votre disposition pour vous renseigner sur ces solutions clés en mains permettant d’organiser le déploiement moderne de vos Mac dans votre entreprise ou votre établissement éducatif.
Franck Sartori
PS : Le titre de cet article fait bien sûr référence au rapport qualité / coût des offres de services qu’il présente mais également à l’endroit depuis lequel il a été rédigé initialement à l’occasion d’un vol transatlantique.
Les commentaires sont fermés.