Top

MacOnboardingMate – Capacities

Capacités

Les capacités répertoriées ci-dessous sont celles qui sont actuellement activement prises en charge par MacOnboardingMate.

Les capacités spécifiques qui requièrent l’acquisition d’une licence MOM Switch sont signalées par la mention Switch.

Une idée pour enrichir les capacités de MOM ou pouvoir adopter MOM ? N’hésitez pas à envoyer une demande de fonctionnalité via le formulaire disponible sur la page Introduction.

Terminologie
Modes d’exécution • MOM est livré sous la forme d’un paquet unique nommé « MOM-Core » qui offre deux modes d’exécution différenciés par la façon dont MOM est lancé et les flux de travail pris en charge
• En mode Launcher, MOM est exécuté manuellement à partir d’une session ouverte de l’utilisateur
• En mode AutoLauncher, MOM est exécuté à partir d’une solution de gestion, soit automatiquement, soit à partir d’un Self Service
Flux de travail supportés • Le mode Laucher permet d’intégrer ou de migrer d’un MDM vers un autre MDM un Mac déjà en production ; le flux de travail est déclenché localement
• Le mode AutoLauncher permet d’intégrer un Mac, neuf ou réinitialisé, inscrit lors de l’assistant de configuration initiale (1), ou de migrer un Mac déjà en production d’un MDM vers un autre MDM ; le flux de travail est déclenché à distance
Emplacements • Un emplacement MOM fait référence au point de destination de l’appareil une fois inscrit dans la solution de gestion
• En fonction de la solution de gestion, un emplacement MOM peut être vu comme un site ou un groupe d’appareils
• Inscription de l’appareil : l’emplacement cible est défini automatiquement (un emplacement disponible) ou manuellement avec un sélecteur (deux emplacements ou plus disponibles)
• Inscription automatisée de l’appareil : l’emplacement cible est défini automatiquement
Méthodes d’inscription • Les modes Launcher et AutoLauncher offrent tous les deux d’utiliser l’inscription de l’appareil (Mac non compatible ADE) ou l’inscription automatisée de l’appareil (Mac compatible ADE) (2) pour inscrire un Mac dans un MDM
• Dans le flux de travail spécifique d’une intégration pendant l’assistant de configuration initiale, MOM n’orchestre pas l’inscription qui est déjà gérée par l’inscription automatisée de l’appareil
• En dehors de ce dernier flux de travail, MOM orchestre l’inscription dans le contexte d’une première intégration, ou la désinscription du MDM précédent suivi de l’inscription dans le nouveau MDM dans le contexte d’une migration
Intégration
Provisionnement
(Mode AutoLauncher uniquement)
• Dans le contexte d’une intégration depuis l’assistant de configuration initiale (inscription automatisée de l’appareil), les provisionnements “piloté par l’utilisateur” et “gant blanc” sont proposés
• Provisionnement piloté par l’utilisateur : les tâches non interactives sont lancées en coulisses pendant l’assistant de configuration initiale, puis les tâches interactives sont exécutées dans la session ouverte de l’utilisateur
• Provisionnement gant blanc : toutes les tâches sont exécutées pendant l’assistant de configuration initiale, puis l’ordinateur est censé s’éteindre
• Le provisionnement gant blanc de MOM combiné à l’inscription automatisée de l’appareil de macOS offre une expérience similaire à Windows Autopilot pour le déploiement préprovisionné
Utilisateur activé pour MDM
(Mode Launcher uniquement)
• L’utilisateur activé pour MDM est essentiellement l’utilisateur connecté lors de l’inscription ou l’utilisateur créé dans le panneau de Compte d’ordinateur de l’assistant de configuration initiale (inscription automatisée de l’appareil uniquement)
• L’utilisateur activé pour MDM est le seul utilisateur sur l’appareil à pouvoir recevoir des profils de configuration au niveau utilisateur (canal utilisateur)
• Dans le cadre d’un déploiement 1:1 avec une inscription orchestrée en dehors de l’assistant de configuration initiale, le technicien peut être invité à valider que MOM est correctement exécuté depuis la session de l’utilisateur activé pour MDM cible
Contrat d’utilisation de l’ordinateur L’organisation peut demander à l’utilisateur d’accepter certaines conditions d’accord pour utiliser l’appareil
Octroi des privilèges administratifs • MOM peut octroyer automatiquement à l’utilisateur standard connecté les privilèges administratifs requis par macOS pour l’inscription dans le nouveau MDM ou l’octroi d’un SecureToken au compte de gestion créé
• Une fois l’action cible terminée, les privilèges accordés sont révoqués
• Pour une inscription utilisant l’inscription de l’appareil, l’octroi se produit après l’affichage de la page Web d’inscription ou l’ouverture de l’application d’inscription, jusqu’à ce que l’inscription soit terminé
• Pour une inscription utilisant l’inscription automatisée de l’appareil avec macOS 11 et versions ultérieures, l’octroi se produit juste avant l’affichage de la notification d’inscription, jusqu’à ce que l’inscription soit terminée
• Pour une inscription utilisant l’inscription automatisée de l’appareil avec macOS 10.15 et versions antérieures, l’octroi se produit pour quelques secondes uniquement au moment de l’affichage de la notification d’inscription
• L’élévation de privilèges est toujours surveillée activement par un démon autonome qui révoque l’octroi si le flux de travail est détecté comme interrompu
Gestion de l’alimentation • L’exécution du flux de travail peut requérir que l’appareil soit connecté à l’alimentation secteur
• Le flux de travail peut être autorisé à être exécuté lorsque l’appareil est sur batterie et optionnellement seulement si la charge de la batterie dépasse un minimum requis
Gestion de Localiser Mon Mac • Le flux de travail sur un Mac Apple silicon ou équipé d’une puce de sécurité T2 peut requérir que la fonction Localiser mon Mac soit désactivée avant l’inscription dans le MDM de sorte qu’il puisse gérer le verrouillage d’activation basé sur l’utilisateur
• Le flux de travail peut requérir ou proposer que la fonction Localiser mon Mac soit activée après l’inscription dans le MDM
Migration
Changement de MDM
Switch
• La migration MDM implique la désinscription assistée du MDM précédent avant l’inscription dans le nouveau MDM
• La migration MDM est configurée dans le fichier de liste de propriétés de l’emplacement MOM cible
• Dans le contexte du mode AutoLauncher, la migration MDM est entièrement configurée dans le MDM que l’appareil quitte
Copie de valeurs d’inventaire
Switch
• La copie de valeurs d’inventaire pendant l’exode est basée sur la déclaration de mappages qui associent soigneusement le nom d’un attribut source dans le MDM précédent avec le nom d’un attribut de destination dans le nouveau MDM
• Toutes les valeurs migrées sont au final traitées comme des chaînes
Déclenchement
Switch
• Il peut être proposé à l’utilisateur de reporter le flux de travail de migration afin qu’il soit déclenché à un moment opportun avec une date limite optionnelle
• Le processus de migration est surveillé activement par un démon autonome qui est responsable de la réactivation du flux de migration s’il est interrompu de manière inattendue
• Le processus de migration peut être automatiquement reporté lorsqu’un processus défini dans une liste est détecté afin qu’il ne soit pas exécuté ou proposé de manière inattendue pendant une réunion
• Le processus de migration peut être interdit à une liste de comptes afin d’empêcher un compte de gestion d’exécuter le flux de travail de migration et donc de devenir par inadvertance l’utilisateur activé pour MDM
Planification
Switch
• Le processus de migration peut être limité à des plages horaires autorisées, visant à refléter la disponibilité du support informatique
• Un créneau de migration est défini pour chaque jour par une ou plusieurs plages horaires
• Chaque créneau de migration est destiné à être associé à un fuseau horaire spécifique, à l’exception du créneau de migration de repli qui s’applique à tous les appareils dont le fuseau horaire n’est pas pris en charge
Désinscription transparente de l’appareil
Switch
• MOM peut supprimer un profil de gestion à distance résultant d’une inscription automatisée de l’appareil et protégé par une option “Empêcher la désinscription” en effectuant un appel API au MDM que l’appareil quitte
• Cette capacité n’est actuellement offerte que par FileWave, Hexnode UEM, Jamf Pro, Jamf School, JumpCloud, Microsoft Intune, SimpleMDM et VMware Workspace ONE UEM
• Dans cette situation, avec les autres MDM pris en charge, le flux de travail est suspendu jusqu’à ce que la désinscription soit déclenchée manuellement par le support informatique
Configuration Wi-Fi à la désinscription
Switch
• La configuration propose de rejoindre un réseau de repli sécurisé avec les modes WPA, WPA2 et WP3 Personnel.
• La configuration est déclenchée lorsque la connectivité Internet ne peut pas être vérifiée après la désinscription.
• La configuration permet de créer le service Wi-Fi s’il est manquant, d’activer le service Wi-Fi s’il est désactivé, d’alimenter l’interface Wi-Fi si elle est éteinte.
Réémission de la FileVault PRK
Switch
• La FileVault PRK peut être réémise automatiquement une fois l’appareil inscrit dans le nouveau MDM
• La réémission requiert que le nouveau MDM fournisse à l’appareil une configuration FDERecoveryKeyEscrow lors de son inscription.
Configurations de base
Nom du volume de démarrage Le volume de démarrage peut être renommé silencieusement selon un nom arbitraire défini
Image du bureau • L’image du bureau peut être personnalisée avec un fond d’écran fourni par votre organisation (fichier PNG)
• Le réglage est exécuté à l’ouverture de session via le script Login
Dock • Le Dock peut être personnalisé pour ajouter l’icône de l’application Self Service et pour supprimer les icônes d’applications macOS non désirées
• Le réglage est exécuté à l’ouverture de session via le script Login
Mot de passe Firmware Le mot de passe Firmware d’un Mac Intel peut être configuré silencieusement selon une chaîne arbitraire définie
Python Une version de Python 3 peut être téléchargée dynamiquement depuis GitHub et installée au cours du flux de travail
Rosetta 2 Rosetta 2 qui permet à un Mac Apple silicon d’exécuter des applications Intel peut être installé
Fuseau horaire Le fuseau horaire peut être réglé silencieusement sur un fuseau défini lorsque les services de localisation sont désactivés
Fermeture de session, redémarrage et extinction • Une commande de fermeture de session, de redémarrage, de redémarrage suivie d’une suppression des comptes locaux autres que le compte de gestion, ou d’extinction peut être exécutée à la fin du flux de travail
• Lorsque cette commande n’est pas spécifiée, l’ouverture automatique d’une application et/ou d’une page Web est possible
Ouverture automatique d’une application Une application qui sera probablement l’application Self Service de la solution de gestion peut être ouverte une fois le flux de travail terminé
Ouverture automatique d’une page Web Une page Web peut être ouverte par le navigateur Web par défaut de l’utilisateur connecté une fois le flux de travail terminé
Renommage de l’appareil
Méthodes de changement de nom • Prompt : l’utilisateur est invité à entrer le nom de l’appareil
• Template : le nom de l’appareil est composé de texte arbitraire et d’informations sur le nom du produit et/ou le numéro de série
• CSV : le nom de l’appareil est récupéré depuis un tableau CSV Numéro de série / Nom de l’appareil stocké dans le paquet Contenu
Casse du nom de l’appareil Une conversion en minuscules ou en majuscules peut être appliquée quelle que soit la méthode de changement de nom utilisée
Longueur du nom de l’appareil • Une longueur maximale peut être appliquée quelle que soit la méthode de changement de nom utilisée
• Cette stratégie empêchera généralement une distorsion entre le nom local de l’ordinateur et le nom de l’enregistrement Active Directory de l’ordinateur limité à 15 caractères
Compte de gestion
Création du compte
(Mode Launcher)
• Le compte de gestion défini est créé lors de l’inscription s’il est manquant
• Les paramètres du compte de gestion incluent le nom du compte, le nom complet, l’UID, le Shell, le dossier personnel, le mot de passe et l’indicateur masqué
Création du compte
(Mode AutoLauncher)
• Le compte de gestion défini est créé s’il est manquant après la séquence d’inscription automatisée de l’appareil
• Les paramètres du compte de gestion incluent le nom du compte, le nom complet, l’UID, le Shell, le dossier personnel, le mot de passe et l’indicateur masqué
Octroi d’un SecureToken • Le compte de gestion peut recevoir un SecureToken depuis un compte administrateur qui en possède un
• Ce compte administrateur peut être l’utilisateur connecté s’il possède un SecureToken et s’il est administrateur (après une élévation de privilèges si elle est autorisée)
• Sinon ce compte administrateur est à sélectionner parmi les autres comptes administrateurs qui possèdent un SecureToken et dont le mot de passe est connu
Autorisation pour FileVault Le compte de gestion peut être ajouté à la liste des utilisateurs autorisés à déverrouiller l’appareil ou, inversement, peut être supprimé de cette liste
Image du compte Le compte de gestion peut être personnalisé avec une image fournie par votre organisation (fichier PNG)
Suppression des autres comptes locaux • Si le compte de gestion existe à la fin du flux de travail, tous les autres comptes locaux peuvent être supprimés
• Un cas d’usage est la préparation d’un Mac non compatible ADE par un technicien qui configure manuellement un Compte d’ordinateur temporaire dans l’assistant de configuration initiale tandis que la création du compte de gestion est automatisée pour la fiabilité de ses informations d’authentification
Intégration dans un annuaire
Intégration avec un fournisseur d’identité MOM a été conçu pour fonctionner efficacement avec Jamf ConnectMosyle Auth 2 et XCreds. Ces outils remplacent la fenêtre d’ouverture de session macOS par une fenêtre d’ouverture de session personnalisée qui autorise la connexion avec un compte géré par un fournisseur identité pour une création de compte local automatisée.
Intégration moderne Active Directory MOM a été conçu pour fonctionner efficacement avec NoMAD Login. Cet outil remplace la fenêtre d’ouverture de session macOS par une fenêtre d’ouverture de session personnalisée qui autorise la connexion avec un compte Microsoft Active Directory pour une création de compte local automatisée.
Intégration traditionnelle Active Directory • L’appareil peut être lié traditionnellement à un serveur Active Directory pour implémenter des comptes mobiles
• Dans le cadre d’une action de support, Agnosys peut vous fournir un script d’intégration traditionnelle et vous accompagner dans sa personnalisation
• Le cas d’usage est le flux de travail qui prévoit que la liaison n’est pas effectuée via le réglage d’annuaire d’un profil de configuration fourni par le MDM, mais par un script exécuté une fois l’appareil renommé
Intégration avec d’autres produits
Slack / Microsoft Teams • MOM peut rapporter à un canal dédié les états successifs de l’intégration ou de la migration d’un appareil
• Des messages sont envoyés lorsque le flux de travail est lancé et quitté, lorsque le contrat d’utilisation de l’ordinateur est accepté, lorsque l’appareil est inscrit et désinscrit, lorsque l’appareil doit être désinscrit depuis la console de la solution MDM qu’il quitte et lorsque des privilèges administratifs sont accordés et retirés
• Les messages peuvent être personnalisés avec des chaînes de caractères, des variables attendues et des émojis
• Cette intégration nécessite la mise en œuvre de Slack Incoming Webhooks et Microsoft Teams Incoming Webhooks
Homebrew Homebrew permet d’installer des paquets au moment de l’intégration
• Les installations se déroulent pendant le flux de travail avec une interface utilisateur graphique pour afficher une progression
• Homebrew est téléchargé dynamiquement depuis le site de l’éditeur
Installomator Installomator permet d’installer les dernières versions disponibles des logiciels au moment de l’intégration
• Les installations se déroulent pendant le flux de travail avec une interface utilisateur graphique pour afficher une progression
• Installomator est téléchargé dynamiquement depuis GitHub
Munki Munki est un ensemble d’outils, utilisés avec un référentiel de paquets basé sur un serveur Web, qui sont mis en œuvre dans des organisations du monde entier pour gérer les installations de logiciels sur les appareils macOS (3)
• Dans le flux de travail spécifique d’une intégration au cours de l’assistant de configuration initiale, une connexion Munki initiale est exécutée si souhaitée pour installer dès que possible les applications les plus critiques une fois que le premier utilisateur final se connecte (avec une interface utilisateur graphique pour afficher une progression) ou silencieusement en arrière-plan
• En dehors de ce dernier flux de travail, une connexion Munki initiale est exécutée si souhaitée une fois le flux de travail terminé ou une fois que l’utilisateur final se déconnecte
• Munki est vu comme un outil auxiliaire et la configuration de l’agent Munki est censée être effectuée par un profil de configuration MDM
• Munki est téléchargé dynamiquement depuis GitHub
NoMAD NoMAD est un outil qui permet aux comptes locaux de se connecter avec leur compte AD essentiellement pour obtenir des tickets Kerberos lors de la connexion et garder leur mot de passe local synchronisé avec leur mot de passe AD, sans lier traditionnellement leur appareil à AD ni implémenter des comptes mobiles qui sont sources de préoccupations connues
• NoMAD est téléchargé dynamiquement à partir du site Web de l’éditeur et configuré avec un profil de configuration MDM
NoMAD Login NoMAD Login est un outil qui permet aux utilisateurs de se connecter avec leur compte AD à partir d’une fenêtre d’ouverture de session personnalisée afin que leur compte local soit créé automatiquement, sans lier traditionnellement leur appareil à AD ni implémenter des comptes mobiles
• L’impressionnante image du caribou peut être remplacée par une image fournie par votre organisation (fichier PNG)
• NoMAD Login est téléchargé dynamiquement à partir du site Web de l’éditeur et configuré avec un profil de configuration MDM
Configurations avancées
Script Login • Le script Login fourni par votre organisation ou écrit par (ou avec l’aide de) Agnosys dans le cadre d’une action de support peut être intégré dans MOM
• Le script Login est exécuté lorsque l’utilisateur se connecte, en tant que l’utilisateur connecté
Scripts Preflight, Post Settings et Postflight • Les scripts Preflight, Post Settings et Postflight, exécutés en tant que l’utilisateur root, sont des Hooks qui enrichissent le code par défaut
• Ils peuvent être fournis par votre organisation ou écrits par (ou avec l’aide de) Agnosys dans le cadre d’une action de support
• Le script Preflight est exécuté au début du flux de travail dans le contexte d’une intégration exécutée pendant l’assistant de configuration initiale, ou juste avant l’inscription dans les autres contextes
• Le script Post Settings est exécuté après la fermeture du panneau de personnalisation de l’appareil
• Le script Postflight est exécuté à la fin du flux de travail
• Ces scripts peuvent intégrer des commandes swiftDialog ou DEPNotify attendues afin d’informer visuellement de leur exécution au moyen d’affichages de texte, d’avancements de barre de progression et de changements d’état
Scripts intégrés dans les profils L’appareil peut être configuré pour exécuter les scripts Loginhook et/ou Logouthook intégrés dans le réglage de la fenêtre d’ouverture de session d’un profil de configuration fourni par le MDM
Script de désinstallation personnalisé
Switch
• MOM peut exécuter un script personnalisé après la suppression du profil de gestion à distance pour désinstaller les ressources de la solution de gestion quittée par l’appareil
• Ce script est censé être fourni de manière équitable par le vendeur de cette solution de gestion
• Ce script remplace les scripts intégrés
Capacités spécifiques avec FileWave
Champs intégrés et champs personnalisés • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ “Bâtiment” ou le champ “Commentaire” ou le champ “Département” ou le champ “Emplacement” ou le champ “Nom d’utilisateur d’inscription” ou un champ personnalisé prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des champs intégrés ou des champs personnalisés
• Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil
Capacités spécifiques avec Hexnode UEM
Attributs intégrés • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ “Département” ou le champ “Description” ou le champ “Étiquette d’inventaire” ou le champ “Notes”
• L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs intégrés
• Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil
Capacités spécifiques avec Jamf Pro
Attributs intégrés et attributs d’extension • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ “Bâtiment” ou le champ “Département” ou le champ “Étiquette d’inventaire” ou le champ “Nom d’utilisateur” ou le champ “Salle” ou le champ “Site” ou le champ d’un attribut d’extension prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs intégrés ou des attributs d’extension
• Ces valeurs stockées dans la fiche d’inventaire de l’appareil peuvent être utilisées comme critères pour les groupes intelligents (API Jamf Pro et API classique)
Remplissage automatisé des menus Les menus utilisés pour sélectionner un site, un bâtiment ou un département peuvent être remplis dynamiquement par les éléments disponibles pour ces objets (API classique)
Règles • Des règles peuvent être exécutées pendant le flux de travail avant l’exécution du script Postflight
• Les règles peuvent être déclenchées par leur Événement personnalisé ou par leur Identifiant
Gestion à distance • Le service Gestion à distance peut être configuré pour accepter les connexions entrantes en tant que le compte de gestion uniquement avec tous les privilèges
• Une commande MDM d’activation Remote Desktop est automatiquement envoyée à l’appareil avant que le service de gestion à distance ne soit configuré (API classique)
Capacités spécifiques avec Jamf School
Étiquette d’inventaire et notes L’utilisateur peut être invité à entrer la référence et les notes qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents
Capacités spécifiques avec JumpCloud
Description L’utilisateur peut être invité à entrer la description qui est stockée dans l’inventaire de l’appareil (API v1)
Capacités spécifiques avec Meraki Systems Manager
Balises et notes L’utilisateur peut être invité à entrer les balises et les notes qui sont stockées dans l’inventaire de l’appareil (API v1)
Capacités spécifiques avec Microsoft Intune
Notes L’utilisateur peut être invité à entrer les notes qui sont stockées dans l’inventaire de l’appareil (API Graph Beta)
Capacités spécifiques avec Miradore
Attributs intégrés et attributs personnalisés • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ “Catégorie” ou le champ “Emplacement” ou le champ “Organisation” ou le champ “Balises” ou le champ “Courriel” ou le champ “Nom complet utilisateur” ou le champ d’un attribut personnalisé prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs intégrés ou des attributs personnalisés
Remplissage automatisé des menus Les menus utilisés pour sélectionner une catégorie, un emplacement, une organisation ou un courriel peuvent être remplis dynamiquement par les éléments disponibles pour ces objets
Capacités spécifiques avec Mosyle Business
Étiquette d’inventaire et balises L’utilisateur peut être invité à entrer l’étiquette d’inventaire et les balises qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents (API v1)
Capacités spécifiques avec Mosyle Manager
Étiquette d’inventaire et balises L’utilisateur peut être invité à entrer l’étiquette d’inventaire et les balises qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents (API v2)
Capacités spécifiques avec SimpleMDM
Attributs personnalisés • L’utilisateur peut être invité à entrer un texte arbitraire pour un attribut personnalisé prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs personnalisés
• Ces valeurs sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme valeurs de clé dans des profils de configuration (API v1)
Gestion à distance • Le service Gestion à distance peut être configuré pour accepter les connexions entrantes en tant que le compte de gestion uniquement avec tous les privilèges
• Une commande MDM d’activation Remote Desktop est automatiquement envoyée à l’appareil avant que le service de gestion à distance ne soit configuré (API v1)
Capacités spécifiques avec VMware Workspace ONE UEM
Attributs intégrés et attributs personnalisés • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ “Numéro d’actif” ou une nouvelle note dans le tableau “Notes” ou le champ d’un attribut personnalisé prédéfini
• L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs personnalisés
• Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil (API REST)
Dépendances logicielles
Interface graphique utilisateur • MOM s’appuie sur swiftDialog ou DEPNotify pour fournir une interface graphique utilisateur
• swiftDialog ou DEPNotify est téléchargé dynamiquement à partir du site Web de l’éditeur mais peut être encapsulé dans le paquet Contenu si la connectivité Internet n’est pas disponible au moment de l’intégration
• MOM peut revenir à une interface allégée uniquement AppleScript si les intégrations swiftDialog et DEPNotify sont désactivées
Configuration de l’image du bureau Le binaire macos-wallpaper (utilisé avec macOS 10.14.4 et supérieur) et le script set_desktops.py (utilisé avec macOS 10.14.3 et antérieur) sont téléchargés dynamiquement depuis GitHub
Configuration du Dock • Le binaire Dockutil peut être téléchargé dynamiquement depuis Github
• Le script Docklib peut être installé via l’installation de Python 3 Recommended
• Les deux outils sont supportés par le script Login fourni par Agnosys
Lancement de Munki Le script MunkiPostInstall, utilisé pour lancer les LaunchDaemons Munki sans redémarrage après l’installation, est téléchargé dynamiquement depuis GitHub
Implémentation
Localisation • MOM est entièrement localisable pour correspondre à la langue préférée de l’utilisateur connecté
• La localisation est principalement basée sur la création d’un fichier PO personnalisé à partir d’un fichier POT modèle
• Un fichier PO pour la langue française est fourni
Configuration • Le mode Launcher est configuré avec un fichier de liste de propriétés pour son exécution et un fichier de liste de propriétés par emplacement MOM ; ces fichiers sont lus localement
• Le mode AutoLauncher est configuré avec un fichier de liste de propriétés par emplacement MOM ; ce fichier est reçu depuis le MDM sous la forme d’un profil de configuration et MOM attend sa réception avant de continuer
Contenu • Le contenu est constitué d’images, de fichiers et de scripts utilisés pendant le processus d’intégration, enveloppé dans un paquet signé
• Mode Launcher : le paquet de contenu est installé localement lorsque MOM est exécuté
• Mode AutoLauncher : le paquet de contenu est installé depuis le MDM et MOM attend son installation avant de continuer
Ressources
(Mode Launcher uniquement)
• MOM “Essentiel” prévoit que les fichiers de liste de propriétés et le contenu sont encapsulés dans une image disque chiffrée positionnée dans le même dossier que MOM-Core lors de son exécution
• MOM “Premium” prévoit que ces ressources sont encapsulées sans frais supplémentaires dans une application personnalisée nommée MOM.app
Prévention de l’exécution
(Mode Launcher uniquement)
• MOM “Essential” : la saisie correcte d’un code de sécurité est requise pour autoriser MOM-Core à accéder à l’image disque chiffrée encapsulant les ressources requises pour son fonctionnement
• MOM “Premium” : la saisie correcte d’un code de sécurité peut être requise pour autoriser l’exécution de MOM.app dans le contexte où les comptes utilisateurs disposent de privilèges administratifs et le logiciel a été laissé sans surveillance sur l’appareil
Fichiers d’historique • Par défaut, MOM est exécuté silencieusement et ne produit pas de fichiers d’historique
• La production de fichiers d’historique, utilisés à des fins de débogage et stockés uniquement localement sur l’appareil, doit être demandé explicitement
Confiance • MOM-Core et MOM.app sont tous les deux signés et notarisés de sorte que vous soyez sûrs que ces logiciels ont été vérifiés pour l’absence de tout code malveillant
• Agnosys peut signer votre paquet MOM-Content si nécessaire dans le cadre d’une action de support
Compatibilité macOS MOM est actuellement compatible avec macOS 14 (Sonoma), macOS 13 (Ventura), macOS 12 (Monterey), macOS 11 (Big Sur), macOS 10.15 (Catalina), macOS 10.14 (Mojave) et macOS 10.13.4 ou version supérieure (High Sierra)
Compatibilité processeur MOM est compatible avec les processeurs Apple silicon et Intel

(1) Certains MDM offrent la capacité d’installer un paquet (PKG) signé par le développeur spécifiquement pendant la séquence d’inscription automatisée de l’appareil. MOM-Core devrait idéalement être installé avec ce mécanisme (voir la documentation MDM). Si le MDM n’offre pas cette capacité, MOM-Core doit être installé comme tout autre PKG, lors de l’inscription, avec la priorité la plus élevée, avec des compromis raisonnables en raison de problèmes de vitesse.

(2) Un Mac compatible ADE (Automated Device Enrollment / Inscription automatisée de l’appareil) fait partie d’un Apple Business Manager ou d’un Apple School Manager et est donc éligible à une configuration initiale comprenant une inscription MDM à partir de l’assistant de configuration initiale. Veuillez noter que le seul moyen d’empêcher la désinscription d’un appareil, même par des utilisateurs disposant de privilèges administratifs, est d’inscrire l’appareil dans le MDM à l’aide de l’inscription automatisée de l’appareil avec l’option “Empêcher la désinscription” activée dans le profil d’inscription.

(3) Munki est censé déployer les applications qui ne sont pas disponibles sur le Mac App Store. Les applications du Mac App Store doivent être distribuées par un MDM lié à Apple Business Manager ou Apple School Manager avec des licences achetées en masse.