Top

MacOnboardingMate – Capacities

 Capacités

Les capacités répertoriées ci-dessous sont celles qui sont actuellement activement prises en charge par MacOnboardingMate.

Les capacités spécifiques qui requièrent l’acquisition d’une licence MacOnboardingMate+ sont signalées par la mention MOM+.

Une idée pour enrichir les capacités de MOM ou pouvoir adopter MOM ? N’hésitez pas à envoyer une demande de fonctionnalité via le formulaire disponible en bas de la page Introduction.

Terminologie
Modes d’exécution • MOM est livré sous la forme d’un paquet unique nommé « MOM-Core » qui offre deux modes d’exécution différenciés par la façon dont MOM est lancé et les flux de travail pris en charge
• En mode Setup, MOM est exécuté manuellement à partir d’une session ouverte de l’utilisateur
• En mode AutoSetup, MOM est exécuté à partir d’une solution de gestion, soit automatiquement, soit à partir d’un Self Service
Flux de travail supportés • Le mode Setup permet d’intégrer ou de migrer d’un MDM vers un autre MDM un Mac déjà en production ; le flux de travail est déclenché localement
• Le mode AutoSetup permet d’intégrer un Mac, neuf ou réinitialisé, inscrit lors de l’assistant de configuration initiale (1), ou de migrer un Mac déjà en production d’un MDM vers un autre MDM ; le flux de travail est déclenché à distance
Emplacements • Un emplacement MOM fait référence au point de destination de l’appareil une fois inscrit dans la solution de gestion
• En fonction de la solution de gestion, un emplacement MOM peut être vu comme un site ou un groupe d’appareils
• Inscription de l’appareil : l’emplacement cible est défini automatiquement (un emplacement disponible) ou manuellement avec un sélecteur (deux emplacements ou plus disponibles)
• Inscription automatisée de l’appareil : l’emplacement cible est défini automatiquement
Méthodes d’inscription • Les modes Setup et AutoSetup offrent tous les deux d’utiliser l’inscription de l’appareil (Mac non compatible ADE) ou l’inscription automatisée de l’appareil (Mac compatible ADE) (2) pour inscrire un Mac dans un MDM
• Dans le flux de travail spécifique d’une intégration pendant l’assistant de configuration initiale, MOM n’orchestre pas l’inscription qui est déjà gérée par l’inscription automatisée de l’appareil
• En dehors de ce dernier flux de travail, MOM orchestre l’inscription dans le contexte d’une première intégration, ou la désinscription du MDM précédent suivi de l’inscription dans le nouveau MDM dans le contexte d’une migration
Intégration
Utilisateur activé pour MDM
(Mode Setup uniquement)
• L’utilisateur activé pour MDM est essentiellement l’utilisateur connecté lors de l’inscription ou l’utilisateur créé dans le panneau de Compte d’ordinateur de l’assistant de configuration initiale (inscription automatisée de l’appareil uniquement)
• L’utilisateur activé pour MDM est le seul utilisateur sur l’appareil à pouvoir recevoir des profils de configuration au niveau utilisateur (canal utilisateur)
• Dans le cadre d’un déploiement 1:1 avec une inscription orchestrée en dehors de l’assistant de configuration initiale, le technicien peut être invité à valider que MOM est correctement exécuté depuis la session de l’utilisateur activé pour MDM cible
Remédiation pour l’inscription automatisée de l’appareil
(Mode Setup uniquement)
• MOM détecte que l’appareil a été inscrit dans le MDM sans utiliser l’inscription automatisée de l’appareil et qu’un profil d’inscription est actuellement disponible dans Apple Business Manager ou Apple School Manager
• Dans ce contexte, MOM orchestre une ré-inscription à l’aide de l’inscription automatisée de l’appareil
Avertissement pour l’inscription automatisée de l’appareil
(Mode Setup uniquement)
MOM peut avertir le technicien qu’un profil d’inscription automatisée de l’appareil n’est pas disponible pour l’appareil (ce qui peut être le résultat d’une mauvaise configuration dans le MDM, Apple Business Manager ou Apple School Manager) et propose de continuer ou non en utilisant l’inscription de l’appareil
Appareils BYOD • L’inscription d’utilisateurs est l’option appropriée pour inscrire des appareils BYOD dans un MDM, apportant une meilleure acceptation des utilisateurs et plus de confidentialité pour les utilisateurs finaux
• Du point de vue de MOM, l’inscription d’utilisateurs est pilotée de la même manière que l’inscription des appareils
Contrat d’utilisation de l’ordinateur
MOM+
L’organisation peut demander à l’utilisateur d’accepter certaines conditions d’accord pour utiliser l’appareil
Octroi des privilèges administratifs • MOM peut octroyer automatiquement à l’utilisateur standard connecté les privilèges administratifs requis par macOS pour l’inscription dans le nouveau MDM ou l’octroi d’un SecureToken au compte de gestion créé
• Une fois l’action cible terminée, les privilèges accordés sont révoqués
• Pour une inscription utilisant l’inscription de l’appareil, l’octroi se produit après l’affichage de la page Web d’inscription ou l’ouverture de l’application d’inscription, jusqu’à ce que l’inscription soit terminé
• Pour une inscription utilisant l’inscription automatisée de l’appareil avec macOS 11 et versions ultérieures, l’octroi se produit juste avant l’affichage de la notification d’inscription, jusqu’à ce que l’inscription soit terminée
• Pour une inscription utilisant l’inscription automatisée de l’appareil avec macOS 10.15 et versions antérieures, l’octroi se produit pour quelques secondes uniquement au moment de l’affichage de la notification d’inscription
• L’élévation de privilèges est toujours surveillée activement par un démon autonome qui révoque l’octroi si le flux de travail est détecté comme interrompu
Gestion de l’alimentation • L’exécution du flux de travail peut requérir que l’appareil soit connecté à l’alimentation secteur
• Le flux de travail peut être autorisé à être exécuté lorsque l’appareil est sur batterie et optionnellement seulement si la charge de la batterie dépasse un minimum requis
Gestion de Localiser Mon Mac
MOM+
• Le flux de travail sur un Mac Apple silicon ou équipé d’une puce de sécurité T2 peut requérir que la fonction Localiser mon Mac soit désactivée avant l’inscription dans le MDM de sorte qu’il puisse gérer le verrouillage d’activation basé sur l’utilisateur
• Le flux de travail peut requérir ou proposer que la fonction Localiser mon Mac soit activée après l’inscription dans le MDM
Migration
Transition entre deux MDM
Capacité phare de MOM 4
• La migration MDM implique la désinscription assistée du MDM précédent avant l’inscription dans le nouveau MDM
• La migration MDM est configurée dans le fichier de liste de propriétés de l’emplacement MOM cible
• Dans le contexte du mode AutoSetup, la migration MDM est entièrement configurée dans le MDM que l’appareil quitte
Copie de valeurs d’inventaire
MOM+
• La copie de valeurs d’inventaire pendant l’exode est basée sur la déclaration de mappages qui associent soigneusement le nom d’un attribut source dans le MDM précédent avec le nom d’un attribut de destination dans le nouveau MDM
• Toutes les valeurs migrées sont au final traitées comme des chaînes
Déclenchement • Il peut être proposé à l’utilisateur de reporter le flux de travail de migration afin qu’il soit déclenché à un moment opportun avec une date limite optionnelle
• Le processus de migration est surveillé activement par un démon autonome qui est responsable de la réactivation du flux de migration s’il est interrompu de manière inattendue
• Le processus de migration peut être automatiquement reporté lorsqu’un processus défini dans une liste est détecté afin qu’il ne soit pas exécuté ou proposé de manière inattendue pendant une réunion
• Le processus de migration peut être interdit à une liste de comptes afin d’empêcher un compte de gestion d’exécuter le flux de travail de migration et donc de devenir par inadvertance l’utilisateur activé pour MDM
Planification
MOM+
• Le processus de migration peut être limité à des plages horaires autorisées, visant à refléter la disponibilité du support informatique
• Un créneau de migration est défini pour chaque jour par une ou plusieurs plages horaires
• Chaque créneau de migration est destiné à être associé à un fuseau horaire spécifique, à l’exception du créneau de migration de repli qui s’applique à tous les appareils dont le fuseau horaire n’est pas pris en charge
Désinscription transparente de l’appareil • MOM peut supprimer un profil de gestion à distance résultant d’une inscription automatisée de l’appareil et protégé par une option « Empêcher la désinscription » en effectuant un appel API au MDM que l’appareil quitte
• Cette capacité n’est actuellement offerte que par Hexnode UEM, Jamf Pro, Jamf School, JumpCloud, Microsoft Intune, SimpleMDM et VMware Workspace ONE UEM
• Dans cette situation, avec les autres MDM pris en charge, le flux de travail est suspendu jusqu’à ce que la désinscription soit déclenchée manuellement par le support informatique
Réémission de la FileVault PRK
MOM+
• La FileVault PRK peut être réémise automatiquement une fois l’appareil inscrit dans le nouveau MDM
• La réémission requiert que le nouveau MDM fournisse à l’appareil une configuration FDERecoveryKeyEscrow lors de son inscription.
Configurations de base
Nom du volume de démarrage Le volume de démarrage peut être renommé silencieusement selon un nom arbitraire défini
Image du bureau • L’image du bureau peut être personnalisée avec un fond d’écran fourni par votre organisation (fichier PNG)
• Le réglage est exécuté à l’ouverture de session via le script Login
Dock • Le Dock peut être personnalisé pour ajouter l’icône de l’application Self Service et pour supprimer les icônes d’applications macOS non désirées
• Le réglage est exécuté à l’ouverture de session via le script Login
Mot de passe Firmware Le mot de passe Firmware d’un Mac Intel peut être configuré silencieusement selon une chaîne arbitraire définie
Gestion à distance • Le service Gestion à distance peut être configuré pour accepter les connexions entrantes en tant que le compte de gestion uniquement avec tous les privilèges
• Une commande MDM d’activation Remote Desktop est toujours requise pour activer silencieusement l’observation à distance de l’écran
Python Une version de Python 3 peut être téléchargée dynamiquement depuis GitHub et installée au cours du flux de travail
Rosetta 2 Rosetta 2 qui permet à un Mac Apple silicon d’exécuter des applications Intel peut être installé
Fermeture de session et redémarrage • Une commande de fermeture de session, de redémarrage ou de redémarrage suivie d’une suppression des comptes locaux autres que le compte de gestion peut être exécutée à la fin du flux de travail
• Lorsque cette commande n’est pas spécifiée, l’ouverture automatique d’une application et/ou d’une page Web est possible
Ouverture automatique d’une application Une application qui sera probablement l’application Self Service de la solution de gestion peut être ouverte une fois le flux de travail terminé
Ouverture automatique d’une page Web Une page Web peut être ouverte par le navigateur Web par défaut de l’utilisateur connecté une fois le flux de travail terminé
Renommage de l’appareil
Méthodes de changement de nom • Prompt : l’utilisateur est invité à entrer le nom de l’appareil
• Template : le nom de l’appareil est composé de texte arbitraire et d’informations sur le nom du produit et/ou le numéro de série
• CSV : le nom de l’appareil est récupéré depuis un tableau CSV Numéro de série / Nom de l’appareil stocké dans le paquet Contenu
Casse du nom de l’appareil Une conversion en minuscules ou en majuscules peut être appliquée avec les méthodes de changement de nom Prompt et Template
Longueur du nom de l’appareil • Une longueur maximale peut être appliquée quelle que soit la méthode de changement de nom utilisée
• Cette stratégie empêchera généralement une distorsion entre le nom local de l’ordinateur et le nom de l’enregistrement Active Directory de l’ordinateur limité à 15 caractères
Compte de gestion
Création du compte
(Mode Setup)
• Le compte de gestion défini est créé lors de l’inscription s’il est manquant
• Les paramètres du compte de gestion incluent le nom du compte, le nom complet, l’UID, le Shell, le dossier personnel, le mot de passe et l’indicateur masqué
Création du compte
(Mode AutoSetup)
• Le compte de gestion défini est créé s’il est manquant après la séquence d’inscription automatisée de l’appareil
• Les paramètres du compte de gestion incluent le nom du compte, le nom complet, l’UID, le Shell, le dossier personnel, le mot de passe et l’indicateur masqué
Octroi d’un SecureToken • Le compte de gestion peut recevoir un SecureToken depuis un compte administrateur qui en possède un
• Ce compte administrateur peut être l’utilisateur connecté s’il possède un SecureToken et s’il est administrateur (après une élévation de privilèges si elle est autorisée)
• Sinon ce compte administrateur est à sélectionner parmi les autres comptes administrateurs qui possèdent un SecureToken et dont le mot de passe est connu
Autorisation pour FileVault
MOM+
Le compte de gestion peut être ajouté à la liste des utilisateurs autorisés à déverrouiller l’appareil ou, inversement, peut être supprimé de cette liste
Image du compte Le compte de gestion peut être personnalisé avec une image fournie par votre organisation (fichier PNG)
Suppression des autres comptes locaux • Si le compte de gestion existe à la fin du flux de travail, tous les autres comptes locaux peuvent être supprimés
• Un cas d’usage est la préparation d’un Mac non compatible ADE par un technicien qui configure manuellement un Compte d’ordinateur temporaire dans l’assistant de configuration initiale tandis que la création du compte de gestion est automatisée pour la fiabilité de ses informations d’authentification
Intégration dans un annuaire
Intégration avec un fournisseur d’identité MOM a été conçu pour fonctionner efficacement avec Jamf Connect et Mosyle Auth 2. Ces outils remplacent la fenêtre d’ouverture de session macOS par une fenêtre d’ouverture de session personnalisée qui autorise la connexion avec un compte géré par un fournisseur identité pour une création de compte local automatisée.
Intégration moderne Active Directory MOM a été conçu pour fonctionner efficacement avec NoMAD Login. Cet outil remplace la fenêtre d’ouverture de session macOS par une fenêtre d’ouverture de session personnalisée qui autorise la connexion avec un compte Microsoft Active Directory pour une création de compte local automatisée.
Intégration traditionnelle Active Directory • L’appareil peut être lié traditionnellement à un serveur Active Directory pour implémenter des comptes mobiles
• Dans le cadre d’une action de support, Agnosys peut vous fournir un script d’intégration traditionnelle, destiné à être utilisé comme script Preflight, et vous accompagner dans sa personnalisation
• Le cas d’usage est le flux de travail qui prévoit que la liaison n’est pas effectuée via le réglage d’annuaire d’un profil de configuration fourni par le MDM, mais par un script exécuté une fois l’appareil renommé
Intégration avec d’autres produits
Slack / Microsoft Teams
MOM+
• MOM peut rapporter à un canal dédié les états successifs de l’intégration ou de la migration d’un appareil
• Des messages sont envoyés lorsque le flux de travail est lancé et quitté, lorsque le contrat d’utilisation de l’ordinateur est accepté, lorsque l’appareil est inscrit et désinscrit, lorsque l’appareil doit être désinscrit depuis la console de la solution MDM qu’il quitte et lorsque des privilèges administratifs sont accordés et retirés
• Les messages peuvent être personnalisés avec des chaînes de caractères, des variables attendues et des émojis
• Cette intégration nécessite la mise en œuvre de Slack Incoming Webhooks et Microsoft Teams Incoming Webhooks
Munki Munki est un ensemble d’outils, utilisés avec un référentiel de paquets basé sur un serveur Web, qui sont mis en œuvre dans des organisations du monde entier pour gérer les installations de logiciels sur les appareils macOS (3)
• Dans le flux de travail spécifique d’une intégration au cours de l’assistant de configuration initiale, une connexion Munki initiale est exécutée si souhaitée pour installer dès que possible les applications les plus critiques une fois que le premier utilisateur final se connecte (avec une interface utilisateur graphique pour afficher une progression) ou silencieusement en arrière-plan
• En dehors de ce dernier workflow, une connexion Munki initiale est exécutée si souhaitée une fois le flux de travail terminé ou une fois que l’utilisateur final se déconnecte
• Lorsqu’une solution MDM est utilisée, Munki est vu comme un outil auxiliaire et la configuration de l’agent Munki est censée être effectuée par un profil de configuration MDM
• Lorsqu’une solution MDM n’est pas utilisée, Munki est considéré comme la principale solution de gestion et la configuration de l’agent Munki doit être réalisée par un script fourni par Agnosys
• Munki est téléchargé dynamiquement depuis GitHub
NoMAD NoMAD est un outil qui permet aux comptes locaux de se connecter avec leur compte AD essentiellement pour obtenir des tickets Kerberos lors de la connexion et garder leur mot de passe local synchronisé avec leur mot de passe AD, sans lier traditionnellement leur appareil à AD ni implémenter des comptes mobiles qui sont sources de préoccupations connues
• NoMAD est téléchargé dynamiquement à partir du site Web de l’éditeur et configuré avec un profil de configuration MDM
NoMAD Login NoMAD Login est un outil qui permet aux utilisateurs de se connecter avec leur compte AD à partir d’une fenêtre d’ouverture de session personnalisée afin que leur compte local soit créé automatiquement, sans lier traditionnellement leur appareil à AD ni implémenter des comptes mobiles
• L’impressionnante image du caribou peut être remplacée par une image fournie par votre organisation (fichier PNG)
• NoMAD Login est téléchargé dynamiquement à partir du site Web de l’éditeur et configuré avec un profil de configuration MDM
Configurations avancées
Script Login • Le script Login fourni par votre organisation ou écrit par (ou avec l’aide de) Agnosys dans le cadre d’une action de support peut être intégré dans MOM
• Le script Login est exécuté lorsque l’utilisateur se connecte, en tant que l’utilisateur connecté
Scripts Preflight et Postflight
MOM+
• Les scripts Preflight et Postflight fournis par votre organisation ou écrits par (ou avec l’aide de) Agnosys dans le cadre d’une action de support peuvent être intégrés dans MOM
• Les scripts Preflight et Postflight, qui peuvent être vus comme des Hooks pour enrichir le code par défaut, sont exécutés respectivement au début et à la fin du flux de travail, en tant que l’utilisateur root
• Les scripts Preflight et Postflight peuvent intégrer des commandes DEPNotify attendues afin d’informer visuellement de leur exécution au moyen d’affichages de texte, d’avancements de barre de progression et de changements d’état
Scripts intégrés dans les profils L’appareil peut être configuré pour exécuter les scripts Loginhook et/ou Logouthook intégrés dans le réglage de la fenêtre d’ouverture de session d’un profil de configuration fourni par le MDM
Script de désinstallation personnalisé
MOM+
• MOM peut exécuter un script personnalisé après la suppression du profil de gestion à distance pour désinstaller les ressources de la solution de gestion quittée par l’appareil
• Ce script est censé être fourni de manière équitable par le vendeur de cette solution de gestion
• Ce script remplace les scripts intégrés conçus pour Hexnode UEM, Jamf Pro, Jamf School, Meraki Systems Manager, Microsoft Intune, Mosyle Business, Mosyle Manager et VMware Workspace ONE
Capacités spécifiques avec Hexnode UEM
Attributs intégrés • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Département » ou le champ « Description » ou le champ « Étiquette d’inventaire » ou le champ « Notes »
• L’utilisateur peut être invité à sélectionner des valeurs dans un maximum de quatre menus entièrement personnalisables associés à des attributs intégrés
• Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil
Capacités spécifiques avec Jamf Pro
Attributs intégrés et attributs d’extension • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Bâtiment » ou le champ « Département » ou le champ « Étiquette d’inventaire » ou le champ « Salle » ou le champ « Site » ou le champ d’un attribut d’extension prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans un maximum de quatre menus entièrement personnalisables, associés à des attributs intégrés ou des attributs d’extension
• Ces valeurs stockées dans la fiche d’inventaire de l’appareil peuvent être utilisées comme critères pour les groupes intelligents (API classique)
Remplissage automatisé des menus
MOM+
Les menus utilisés pour sélectionner un site, un bâtiment ou un département peuvent être remplis dynamiquement par les éléments disponibles pour ces objets (API classique)
Règles • Des règles peuvent être exécutées pendant le flux de travail avant l’exécution du script Postflight
• Les règles peuvent être déclenchées par leur Événement personnalisé ou par leur Identifiant
Gestion à distance Une commande MDM d’activation Remote Desktop est automatiquement envoyée à l’appareil inscrit une fois que le service de gestion à distance a été activé (API classique)
Capacités spécifiques avec Jamf School
Étiquette d’inventaire et notes L’utilisateur peut être invité à entrer la référence et les notes qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents
Capacités spécifiques avec JumpCloud
Description L’utilisateur peut être invité à entrer la description qui est stockée dans l’inventaire de l’appareil (API v1)
Capacités spécifiques avec Meraki Systems Manager
Balises et notes L’utilisateur peut être invité à entrer les balises et les notes qui sont stockées dans l’inventaire de l’appareil (API v1)
Capacités spécifiques avec Microsoft Intune
Notes L’utilisateur peut être invité à entrer les notes qui sont stockées dans l’inventaire de l’appareil (API Graph Beta)
Capacités spécifiques avec Mosyle Business
Étiquette d’inventaire et balises L’utilisateur peut être invité à entrer l’étiquette d’inventaire et les balises qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents (API v1)
Capacités spécifiques avec Mosyle Manager
Étiquette d’inventaire et balises L’utilisateur peut être invité à entrer l’étiquette d’inventaire et les balises qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents (API v2)
Capacités spécifiques avec SimpleMDM
Attributs personnalisés • L’utilisateur peut être invité à entrer un texte arbitraire pour un attribut personnalisé prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans un maximum de quatre menus entièrement personnalisables associés à des attributs personnalisés
• Ces valeurs sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme valeurs de clé dans des profils de configuration (API v1)
Gestion à distance Une commande MDM d’activation Remote Desktop est automatiquement envoyée à l’appareil inscrit une fois que le service de gestion à distance a été activé (API v1)
Capacités spécifiques avec VMware Workspace ONE UEM
Attributs intégrés et attributs personnalisés • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Numéro d’actif » ou une nouvelle note dans le tableau « Notes » ou le champ d’un attribut personnalisé prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans un maximum de quatre menus entièrement personnalisables, associés à des attributs personnalisés
• Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil (API REST)
Dépendances logicielles
Interface graphique utilisateur • MOM s’appuie sur DEPNotify pour fournir une interface graphique utilisateur
• DEPNotify est téléchargé dynamiquement à partir du site Web de l’éditeur mais peut être encapsulé dans le paquet Contenu si la connectivité Internet n’est pas disponible au moment de l’intégration
• MOM peut revenir à une interface allégée uniquement AppleScript si l’intégration DEPNotify est désactivée
Configuration de l’image du bureau Le binaire macos-wallpaper (utilisé avec macOS 10.14.4 et supérieur) et le script set_desktops.py (utilisé avec macOS 10.14.3 et antérieur) sont téléchargés dynamiquement depuis GitHub
Configuration du Dock • Le binaire Dockutil peut être téléchargé dynamiquement depuis Github
• Le script Docklib peut être installé via l’installation de Python 3 Recommended
• Les deux outils sont supportés par le script Login fourni par Agnosys
Lancement de Munki Le script MunkiPostInstall, utilisé pour lancer les LaunchDaemons Munki sans redémarrage après l’installation, est téléchargé dynamiquement depuis GitHub
Appels API JQ est invoqué pour analyser les données JSON reçues du MDM, le cas échéant
• JQ est automatiquement téléchargé depuis GitHub
• JQ est requis avec Hexnode UEM, JumpCloud et VMware Workspace ONE
• Avec les autres solutions MDM prises en charge, si JQ n’est pas disponible au moment de l’intégration, des commandes Shell standard sont utilisées comme solution de repli
Implémentation
Localisation • MOM est entièrement localisable pour correspondre à la langue préférée de l’utilisateur connecté
• La localisation est basée sur la création d’un fichier PO personnalisé à partir d’un fichier POT modèle
• Un fichier PO pour la langue française est fourni
Configuration • Le mode Setup est configuré avec un fichier de liste de propriétés pour son exécution et un fichier de liste de propriétés par emplacement MOM ; ces fichiers sont lus localement
• Le mode AutoSetup est configuré avec un fichier de liste de propriétés par emplacement MOM ; ce fichier est reçu depuis le MDM sous la forme d’un profil de configuration et MOM attend sa réception avant de continuer
Contenu • Le contenu est constitué d’images, de fichiers et de scripts utilisés pendant le processus d’intégration, enveloppé dans un paquet signé
• Mode Setup : le paquet de contenu est installé localement lorsque MOM est exécuté
• Mode AutoSetup : le paquet de contenu est installé depuis le MDM et MOM attend son installation avant de continuer
Ressources
(Mode Setup uniquement)
• MOM « Essentiel » prévoit que les fichiers de liste de propriétés et le contenu sont encapsulés dans une image disque chiffrée positionnée dans le même dossier que MOM-Core lors de son exécution
• MOM « Premium » prévoit que ces ressources sont encapsulées sans frais supplémentaires dans une copie personnalisée de MOM-Core nommée MOM-Custom
Prévention de l’exécution
(Mode Setup uniquement)
• MOM « Essential » : la saisie correcte d’un code de sécurité est requise pour autoriser MOM-Core à accéder à l’image disque chiffrée encapsulant les ressources requises pour son fonctionnement
• MOM « Premium » : la saisie correcte d’un code de sécurité peut être requise pour autoriser l’exécution de MOM-Custom dans le contexte où les comptes utilisateurs disposent de privilèges administratifs et le logiciel a été laissé sans surveillance sur l’appareil
Fichiers d’historique • Par défaut, MOM est exécuté silencieusement et ne produit pas de fichiers d’historique
• La production de fichiers d’historique, utilisés à des fins de débogage et stockés uniquement localement sur l’appareil, doit être demandé explicitement
Confiance • MOM-Core et MOM-Custom sont tous les deux signés et notarisés de sorte que vous soyez sûrs que ces logiciels ont été vérifiés pour l’absence de tout code malveillant
• Agnosys peut signer votre paquet Contenu si nécessaire dans le cadre d’une action de support
Compatibilité macOS MOM est actuellement compatible avec macOS 12 (Monterey), macOS 11 (Big Sur), macOS 10.15 (Catalina), macOS 10.14 (Mojave) et macOS 10.13.4 ou version supérieure (High Sierra)
Compatibilité processeur MOM est compatible avec les processeurs Apple silicon et Intel

(1) Certains MDM offrent la capacité d’installer un paquet (PKG) signé par le développeur spécifiquement pendant la séquence d’inscription automatisée de l’appareil. MOM-Core devrait idéalement être installé avec ce mécanisme (voir la documentation MDM). Si le MDM n’offre pas cette capacité, MOM-Core doit être installé comme tout autre PKG, lors de l’inscription, avec la priorité la plus élevée, avec des compromis raisonnables en raison de problèmes de vitesse.

(2) Un Mac compatible ADE (Automated Device Enrollment / Inscription automatisée de l’appareil) fait partie d’un Apple Business Manager ou d’un Apple School Manager et est donc éligible à une configuration initiale comprenant une inscription MDM à partir de l’assistant de configuration initiale. Veuillez noter que le seul moyen d’empêcher la désinscription d’un appareil, même par des utilisateurs disposant de privilèges administratifs, est d’inscrire l’appareil dans le MDM à l’aide de l’inscription automatisée de l’appareil avec l’option « Empêcher la désinscription » activée dans le profil d’inscription.

(3) Munki est censé déployer les applications qui ne sont pas disponibles sur le Mac App Store. Les applications du Mac App Store doivent être distribuées par un MDM lié à Apple Business Manager ou Apple School Manager avec des licences achetées en masse.