Top

MacOnboardingMate – Capacities

Capacités

Les capacités répertoriées ci-dessous sont celles qui sont actuellement activement prises en charge par MacOnboardingMate 4.

Une idée pour enrichir les capacités de MOM ou pouvoir adopter MOM ? N’hésitez pas à envoyer une demande de fonctionnalité via le formulaire disponible en bas de la page Introduction .

Terminologie
Modes d’exécution • MOM est livré sous la forme d’un paquet unique nommé « MOM-Core » qui offre deux modes d’exécution différenciés par la façon dont MOM est lancé et les flux de travail pris en charge
• En mode Setup, MOM est exécuté manuellement à partir d’une session ouverte de l’utilisateur
• En mode AutoSetup, MOM est exécuté à partir d’une solution de gestion, soit automatiquement, soit à partir d’un Self Service
Flux de travail supportés • Le mode Setup permet d’intégrer ou de migrer d’un MDM vers un autre MDM un Mac déjà en production ; le flux de travail est déclenché localement
• Le mode AutoSetup permet d’intégrer un Mac, neuf ou réinitialisé, inscrit lors de l’assistant de configuration initiale (1), ou de migrer un Mac déjà en production d’un MDM vers un autre MDM ; le flux de travail est déclenché à distance
Emplacements • Un emplacement MOM fait référence au point de destination de l’appareil une fois inscrit dans la solution de gestion
• En fonction de la solution de gestion, un emplacement MOM peut être vu comme un site ou un groupe d’appareils
• Inscription de l’appareil : l’emplacement cible est défini automatiquement (un emplacement disponible) ou manuellement avec un sélecteur (deux emplacements ou plus disponibles)
• Inscription automatisée de l’appareil : l’emplacement cible est défini automatiquement
Méthodes d’inscription • Les modes Setup et AutoSetup offrent tous les deux d’utiliser l’inscription de l’appareil (Mac non compatible ADE) ou l’inscription automatisée de l’appareil (Mac compatible ADE) (2) pour inscrire un Mac dans un MDM
• Dans le flux de travail spécifique d’une intégration pendant l’assistant de configuration initiale, MOM n’orchestre pas l’inscription qui est déjà gérée par l’inscription automatisée de l’appareil
• En dehors de ce dernier flux de travail, MOM orchestre l’inscription dans le contexte d’une première intégration, ou la désinscription du MDM précédent suivi de l’inscription dans le nouveau MDM dans le contexte d’une migration
Intégration
Utilisateur activé pour MDM
(Mode Setup uniquement)
• L’utilisateur activé pour MDM est essentiellement l’utilisateur connecté lors de l’inscription ou l’utilisateur créé dans le panneau de Compte d’ordinateur de l’assistant de configuration initiale (inscription automatisée de l’appareil uniquement)
• L’utilisateur activé pour MDM est le seul utilisateur sur l’appareil à pouvoir recevoir des profils de configuration au niveau utilisateur (canal utilisateur)
• Dans le cadre d’un déploiement 1:1 avec une inscription orchestrée en dehors de l’assistant de configuration initiale, le technicien peut être invité à valider que MOM est correctement exécuté depuis la session de l’utilisateur activé pour MDM cible
Remédiation pour l’inscription automatisée de l’appareil
(Mode Setup uniquement)
• MOM détecte que l’appareil a été inscrit dans le MDM sans utiliser l’inscription automatisée de l’appareil et qu’un profil d’inscription est actuellement disponible dans Apple Business Manager ou Apple School Manager
• Dans ce contexte, MOM orchestre une ré-inscription à l’aide de l’inscription automatisée de l’appareil
Avertissement pour l’inscription automatisée de l’appareil
(Mode Setup uniquement)
MOM peut avertir le technicien qu’un profil d’inscription automatisée de l’appareil n’est pas disponible pour l’appareil (ce qui peut être le résultat d’une mauvaise configuration dans le MDM, Apple Business Manager ou Apple School Manager) et propose de continuer ou non en utilisant l’inscription de l’appareil
Appareils BYOD • L’inscription d’utilisateurs est l’option appropriée pour inscrire des appareils BYOD dans un MDM, apportant une meilleure acceptation des utilisateurs et plus de confidentialité pour les utilisateurs finaux
• Du point de vue de MOM, l’inscription d’utilisateurs est pilotée de la même manière que l’inscription des appareils
Migration
Transition entre deux MDM
Capacité phare de MOM 4
• La migration MDM implique à la fois la désinscription assistée du MDM précédent avant l’inscription dans le nouveau MDM, et la copie d’une sélection de valeurs d’inventaire de l’appareil migré pendant son exode
• La migration des valeurs d’inventaire est basée sur la déclaration de mappages qui associent soigneusement le nom d’un attribut source dans le MDM précédent avec le nom d’un attribut de destination dans le nouveau MDM ; toutes les valeurs migrées sont au final traitées comme des chaînes
• La migration MDM est configurée dans le fichier de liste de propriétés de l’emplacement MOM cible
• Dans le contexte du mode AutoSetup, la migration MDM est entièrement configurée dans le MDM que l’appareil quitte
Déclenchement • Il peut être proposé à l’utilisateur de reporter le flux de travail de migration afin qu’il soit déclenché à un moment opportun avec une date limite optionnelle
• Le processus de migration est surveillé activement par un démon autonome qui est responsable de la réactivation du flux de migration s’il est interrompu de manière inattendue
• Le processus de migration peut être interdit à une liste de comptes afin d’empêcher un compte de gestion d’exécuter le flux de travail de migration et donc de devenir par inadvertance l’utilisateur activé pour MDM
Désinscription transparente de l’appareil • MOM peut supprimer un profil de gestion à distance résultant d’une inscription automatisée de l’appareil et protégé par une option « Empêcher la désinscription » en effectuant un appel API au MDM que l’appareil quitte
• Cette capacité n’est actuellement offerte que par Jamf Pro, Jamf School, VMware Workspace ONE UEM, Microsoft Intune et SimpleMDM
• Dans cette situation, avec les autres MDM pris en charge, le flux de travail est suspendu jusqu’à ce que la désinscription soit déclenchée manuellement par le support informatique
Octroi des privilèges administratifs
(Mode AutoSetup uniquement)
• MOM peut octroyer automatiquement les privilèges administratifs requis par macOS pour l’inscription dans le nouveau MDM. Une fois l’inscription terminée, les privilèges accordés sont révoqués.
• L’élévation de privilèges est surveillée activement par un démon autonome qui révoque l’octroi si le flux de travail est détecté comme interrompu.
• Pour une inscription utilisant l’inscription de l’appareil, l’utilisateur standard connecté se voit accorder des privilèges administratifs après l’affichage de la page Web d’inscription ou l’ouverture de Microsoft Company Portal, jusqu’à ce que l’inscription soit terminée.
• Pour une inscription utilisant l’inscription automatisée de l’appareil avec macOS 11 et versions ultérieures, l’octroi se produit juste avant l’affichage de la notification d’inscription, jusqu’à ce que l’inscription soit terminée.
• Pour une inscription utilisant l’inscription automatisée de l’appareil avec macOS 10.15 et versions antérieures, l’octroi se produit uniquement au moment de l’affichage de la notification d’inscription.
Gestion de l’alimentation • L’exécution du flux de travail peut requérir que l’appareil soit connecté à l’alimentation secteur
• Le flux de travail peut être autorisé à être exécuté lorsque l’appareil est sur batterie et optionnellement seulement si la charge de la batterie dépasse un minimum requis
Configurations de base
Nom du volume de démarrage Le volume de démarrage peut être renommé silencieusement selon un nom arbitraire défini
Image du bureau • L’image du bureau peut être personnalisée avec un fond d’écran fourni par votre organisation (fichier PNG)
• Le réglage est par défaut exécuté via le script Login une fois par utilisateur connecté pour permettre aux utilisateurs finaux de personnaliser leur image de bureau par la suite
Dock • Le Dock peut être personnalisé pour ajouter l’icône de l’application Self Service et pour supprimer les icônes d’applications macOS non désirées
• Le réglage est par défaut exécuté via le script de connexion une fois par utilisateur connecté pour permettre aux utilisateurs finaux de personnaliser leur Dock par la suite
Mot de passe Firmware Le mot de passe Firmware d’un Mac Intel peut être configuré silencieusement selon une chaîne arbitraire définie
Gestion à distance • Le service Gestion à distance peut être configuré pour accepter les connexions entrantes en tant que le compte de gestion uniquement avec tous les privilèges
• Une commande MDM d’activation Remote Desktop est toujours requise pour activer silencieusement l’observation à distance de l’écran
Rosetta 2 Rosetta 2 qui permet à un Mac Apple silicon d’exécuter des applications Intel peut être installé
Ouverture automatique d’une application Une application qui sera probablement l’application Self Service de la solution de gestion peut être ouverte une fois le flux de travail terminé
Ouverture automatique d’une page Web Une page Web peut être ouverte par le navigateur Web par défaut de l’utilisateur connecté une fois le flux de travail terminé
Renommage de l’appareil
Méthodes de changement de nom • Prompt : l’utilisateur est invité à entrer le nom de l’appareil
• Template : le nom de l’appareil est composé de texte arbitraire et d’informations sur le nom du produit et/ou le numéro de série
• CSV : le nom de l’appareil est récupéré depuis un tableau CSV Numéro de série / Nom de l’appareil stocké dans le paquet Contenu
Casse du nom de l’appareil Une conversion en minuscules ou en majuscules peut être appliquée avec les méthodes de changement de nom Prompt et Template
Longueur du nom de l’appareil • Une longueur maximale peut être appliquée quelle que soit la méthode de changement de nom utilisée
• Cette stratégie empêchera généralement une distorsion entre le nom local de l’ordinateur et le nom de l’enregistrement Active Directory de l’ordinateur limité à 15 caractères
Compte de gestion
Création du compte
(Mode Setup)
• Le compte de gestion défini est créé lors de l’inscription s’il est manquant
• Les paramètres du compte de gestion incluent le nom du compte, le nom complet, l’UID, le Shell, le dossier personnel, le mot de passe et l’indicateur masqué
• La création est exécutée silencieusement sur un appareil depuis macOS 11 avec un Bootstrap Token séquestré par le MDM ou bien si un SecureToken ne doit pas être accordé
• La création est interactive si un SecureToken doit être accordé
Création du compte
(Mode AutoSetup)
Le compte de gestion défini est créé s’il est manquant après la séquence d’inscription automatisée de l’appareil
Image du compte Le compte de gestion peut être personnalisé avec une image fournie par votre organisation (fichier PNG)
Suppression des autres comptes locaux
(Mode Setup uniquement)
• Si le compte de gestion a été créé pendant le flux de travail, tous les autres comptes locaux peuvent être supprimés
• Le cas d’usage est la préparation d’un Mac non compatible ADE par un technicien qui configure manuellement un Compte d’ordinateur temporaire dans l’assistant de configuration initiale tandis que la création du compte de gestion est automatisée pour la fiabilité de ses informations d’authentification
Intégration dans un annuaire
Intégration Azure AD MOM a été conçu pour fonctionner efficacement avec Jamf Connect et Mosyle Auth 2. Ces outils remplacent la fenêtre d’ouverture de session macOS par une fenêtre d’ouverture de session personnalisée qui autorise la connexion avec un compte Microsoft Azure AD pour une création de compte local automatisée.
Intégration moderne Active Directory MOM a été conçu pour fonctionner efficacement avec NoMAD Login. Cet outil remplace la fenêtre d’ouverture de session macOS par une fenêtre d’ouverture de session personnalisée qui autorise la connexion avec un compte Microsoft Active Directory pour une création de compte local automatisée.
Intégration traditionnelle Active Directory • L’appareil peut être lié traditionnellement à un serveur Active Directory pour implémenter des comptes mobiles
• Dans le cadre d’une action de support, Agnosys peut vous fournir un script d’intégration traditionnelle, destiné à être utilisé comme script Preflight, et vous accompagner dans sa personnalisation
• Le cas d’usage est le flux de travail qui prévoit que la liaison n’est pas effectuée via le réglage d’annuaire d’un profil de configuration fourni par le MDM, mais par un script exécuté une fois l’appareil renommé
Intégration avec des produits Open source
Munki Munki est un ensemble d’outils, utilisés avec un référentiel de paquets basé sur un serveur Web, qui sont mis en œuvre dans des organisations du monde entier pour gérer les installations de logiciels sur les appareils macOS (3)
• Dans le flux de travail spécifique d’une intégration au cours de l’assistant de configuration initiale, une connexion Munki initiale est exécutée si souhaitée pour installer dès que possible les applications les plus critiques une fois que le premier utilisateur final se connecte (avec une interface utilisateur graphique pour afficher une progression) ou silencieusement en arrière-plan
• En dehors de ce dernier workflow, une connexion Munki initiale est exécutée si souhaitée une fois le flux de travail terminé ou une fois que l’utilisateur final se déconnecte
• Lorsqu’une solution MDM est utilisée, Munki est vu comme un outil auxiliaire et la configuration de l’agent Munki est censée être effectuée par un profil de configuration MDM
• Lorsqu’une solution MDM n’est pas utilisée, Munki est considéré comme la principale solution de gestion et la configuration de l’agent Munki doit être réalisée par un script fourni par Agnosys
• Munki est téléchargé dynamiquement à partir de GitHub si la connectivité Internet est disponible au moment de l’intégration
NoMAD NoMAD est un outil qui permet aux comptes locaux de se connecter avec leur compte AD essentiellement pour obtenir des tickets Kerberos lors de la connexion et garder leur mot de passe local synchronisé avec leur mot de passe AD, sans lier traditionnellement leur appareil à AD ni implémenter des comptes mobiles qui sont sources de préoccupations connues
• NoMAD est téléchargé dynamiquement à partir du site Web de l’éditeur si la connectivité Internet est disponible au moment de l’intégration et configuré avec un profil de configuration MDM
NoMAD Login NoMAD Login est un outil qui permet aux utilisateurs de se connecter avec leur compte AD à partir d’une fenêtre d’ouverture de session personnalisée afin que leur compte local soit créé automatiquement, sans lier traditionnellement leur appareil à AD ni implémenter des comptes mobiles
• L’impressionnante image du caribou peut être remplacée par une image fournie par votre organisation (fichier PNG)
• NoMAD Login est téléchargé dynamiquement à partir du site Web de l’éditeur si la connectivité Internet est disponible au moment de l’intégration et configuré avec un profil de configuration MDM
Configurations avancées
Scripts intégrés dans MOM • Les scripts Preflight, Postflight et Login fournis par votre organisation ou écrits par (ou avec l’aide de) Agnosys dans le cadre d’une action de support peuvent être intégrés dans MOM
• Les scripts Preflight et Postflight, qui peuvent être vus comme des Hooks pour enrichir le code par défaut, sont exécutés respectivement au début et à la fin du flux de travail, en tant que l’utilisateur root (attention)
• Le script Login est exécuté lorsque l’utilisateur se connecte, en tant que l’utilisateur connecté (plus sûr)
Scripts intégrés dans les profils L’appareil peut être configuré pour exécuter les scripts Loginhook et/ou Logouthook intégrés dans le réglage de la fenêtre d’ouverture de session d’un profil de configuration fourni par le MDM
Capacités spécifiques avec Jamf Pro
Attributs intégrés et attributs d’extension • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Bâtiment » ou le champ « Département » ou le champ « Étiquette d’inventaire » ou le champ « Salle » ou le champ d’un attribut d’extension prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans un maximum de quatre menus entièrement personnalisables, associés à des attributs intégrés ou des attributs d’extension
• Ces valeurs stockées dans la fiche d’inventaire de l’appareil peuvent être utilisées comme critères pour les groupes intelligents (API classique)
Règles • Des règles peuvent être exécutées pendant le flux de travail avant l’exécution du script Postflight
• Les règles peuvent être déclenchées par leur Événement personnalisé ou par leur Identifiant
Gestion à distance Une commande MDM d’activation Remote Desktop est automatiquement envoyée à l’appareil inscrit une fois que le service de gestion à distance a été activé (API classique)
Capacités spécifiques avec Jamf School
Étiquette d’inventaire et notes L’utilisateur peut être invité à entrer la référence et les notes qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents
Capacités spécifiques avec VMware Workspace ONE UEM
Attributs intégrés et attributs personnalisés • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Numéro d’actif » ou une nouvelle note dans le tableau « Notes » ou le champ d’un attribut personnalisé prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans un maximum de quatre menus entièrement personnalisables, associés à des attributs personnalisés
• Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil (API REST)
Capacités spécifiques avec Microsoft Intune
Notes L’utilisateur peut être invité à entrer les notes qui sont stockées dans l’inventaire de l’appareil (API Graph Beta)
Capacités spécifiques avec Mosyle Business
Étiquette d’inventaire et balises L’utilisateur peut être invité à entrer l’étiquette d’inventaire et les balises qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents (API v1)
Capacités spécifiques avec Mosyle Manager
Étiquette d’inventaire et balises L’utilisateur peut être invité à entrer l’étiquette d’inventaire et les balises qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents (API v2)
Capacités spécifiques avec SimpleMDM
Attributs personnalisés • L’utilisateur peut être invité à entrer un texte arbitraire pour un attribut personnalisé prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans un maximum de quatre menus entièrement personnalisables associés à des attributs personnalisés
• Ces valeurs sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme valeurs de clé dans des profils de configuration (API v1)
Capacités spécifiques avec Cisco Meraki Systems Manager
Balises et notes L’utilisateur peut être invité à entrer les balises et les notes qui sont stockées dans l’inventaire de l’appareil (API v1)
Dépendances logicielles
Interface graphique utilisateur • MOM s’appuie sur DEPNotify pour fournir une interface graphique utilisateur
• DEPNotify est téléchargé dynamiquement à partir du site Web de l’éditeur mais peut être encapsulé dans le paquet Contenu si la connectivité Internet n’est pas disponible au moment de l’intégration
• Les panneaux DEPNotify peuvent être largement personnalisés avec vos propres titres, textes et images de l’organisation
• MOM peut revenir à une interface allégée uniquement AppleScript si l’intégration DEPNotify est désactivée
Configuration de l’image du bureau Le binaire Dockutil est téléchargé dynamiquement à partir de GitHub si la connectivité Internet est disponible au moment de l’intégration
Configuration du Dock Le script set_desktops.py est téléchargé dynamiquement à partir de GitHub si la connectivité Internet est disponible au moment de l’intégration
Lancement de Munki Le script MunkiPostInstall, utilisé pour lancer les LaunchDaemons Munki sans redémarrage après l’installation, est téléchargé dynamiquement depuis GitHub si la connectivité Internet est disponible au moment de l’intégration
Appels API • MOM s’appuie sur JQ pour analyser les données JSON reçues de VMware Workspace ONE UEM
• JQ est téléchargé dynamiquement depuis GitHub si la connectivité Internet est disponible au moment de l’intégration
Implémentation
Configuration • Le mode Setup est configuré avec un fichier de liste de propriétés pour son exécution et un fichier de liste de propriétés par emplacement MOM ; ces fichiers sont lus localement
• Le mode AutoSetup est configuré avec un fichier de liste de propriétés par emplacement MOM ; ce fichier est reçu depuis le MDM sous la forme d’un profil de configuration et MOM attend sa réception avant de continuer
Contenu • Le contenu est constitué d’images, de fichiers et de scripts utilisés pendant le processus d’intégration, enveloppé dans un paquet signé
• Mode Setup : le paquet de contenu est installé localement lorsque MOM est exécuté
• Mode AutoSetup : le paquet de contenu est installé depuis le MDM et MOM attend son installation avant de continuer
Ressources
(Mode Setup uniquement)
• MOM « Essentiel » prévoit que les fichiers de liste de propriétés et le contenu sont encapsulés dans une image disque chiffrée positionnée dans le même dossier que MOM-Core lors de son exécution
• MOM « Premium » prévoit que ces ressources sont encapsulées sans frais supplémentaires dans une copie personnalisée de MOM-Core nommée MOM-Custom
Prévention de l’exécution
(Mode Setup uniquement)
• MOM « Essential » : la saisie correcte d’un code de sécurité est requise pour autoriser MOM-Core à accéder à l’image disque chiffrée encapsulant les ressources requises pour son fonctionnement
• MOM « Premium » : la saisie correcte d’un code de sécurité peut être requise pour autoriser l’exécution de MOM-Custom dans le contexte où les comptes utilisateurs disposent de privilèges administratifs et le logiciel a été laissé sans surveillance sur l’appareil
Fichiers d’historique Les fichiers d’historique de MOM, utilisés à des fins de débogage et stockés uniquement localement sur l’appareil, peuvent être supprimés immédiatement une fois le flux de travail terminé
Confiance • MOM-Core et MOM-Custom sont tous les deux signés et notarisés de sorte que vous soyez sûrs que ces logiciels ont été vérifiés pour l’absence de tout code malveillant
• Agnosys peut signer et notariser votre paquet Contenu si nécessaire dans le cadre d’une action de support
Compatibilité macOS MOM est actuellement compatible avec macOS 12 (Monterey), macOS 11 (Big Sur), macOS 10.15 (Catalina), macOS 10.14 (Mojave) et macOS 10.13.4 ou version supérieure (High Sierra)
Compatibilité processeur MOM est compatible avec les processeurs Apple silicon et Intel

(1) Certains MDM offrent la capacité d’installer un paquet (PKG) signé par le développeur spécifiquement pendant la séquence d’inscription automatisée de l’appareil. MOM-Core devrait idéalement être installé avec ce mécanisme (voir la documentation MDM). Si le MDM n’offre pas cette capacité, MOM-Core doit être installé comme tout autre PKG, lors de l’inscription, avec la priorité la plus élevée, avec des compromis raisonnables en raison de problèmes de vitesse.

(2) Un Mac compatible ADE (Automated Device Enrollment / Inscription automatisée de l’appareil) fait partie d’un Apple Business Manager ou d’un Apple School Manager et est donc éligible à une configuration initiale comprenant une inscription MDM à partir de l’assistant de configuration initiale. Veuillez noter que le seul moyen d’empêcher la désinscription d’un appareil, même par des utilisateurs disposant de privilèges administratifs, est d’inscrire l’appareil dans le MDM à l’aide de l’inscription automatisée de l’appareil avec l’option « Empêcher la désinscription » activée dans le profil d’inscription.

(3) Munki est censé déployer les applications qui ne sont pas disponibles sur le Mac App Store. Les applications du Mac App Store doivent être distribuées par un MDM lié à Apple Business Manager ou Apple School Manager avec des licences achetées en masse.