Comment bloquer macOS Ventura ?

Apple vient de lancer macOS 13 alias Ventura, la nouvelle fournée annuelle de notre système d’exploitation préférée (enfin, celui de nos Mac). Je passe outre les annonces des fonctionnalités majeures ou mineures, pour me concentrer sur un aspect qui intéresse surtout les administrateurs informatiques : comment bloquer l’installation de macOS Ventura ? Parce que mine de rien, vous allez voir que c’est pas de la tarte. C’est expliqué ici par Apple, c’est pas encore traduit, j’essaie d’éclaircir un peu le truc.

Nouveauté : macOS Ventura est une mise à jour… mineure !

Commençons par la nouveauté la plus importante : désormais, Apple distribue macOS Ventura comme une mise à jour mineure de macOS. Cela veut dire concrètement qu’un utilisateur pourra basculer de macOS Big Sur vers macOS Ventura simplement en utilisant la mise à jour de logiciels, sans même télécharger l’application de mise à jour depuis le Mac App Store.

Avantages :

  • L’installation est beaucoup plus légère (on passe de 12 à 5 Go environ) ;
  • L’utilisateur peut installer lui-même la mise à jour, sans avoir besoin de compte d’administrateur, et simplement en tapant son mot de passe.

Inconvénients :

  • L’utilisateur peut installer lui-même la mise à jour, sans avoir besoin de compte d’administrateur, et simplement en tapant son mot de passe.

Et là vous vous dites « mais dis donc GG, tu vieillis, tu radotes, t’as fait un mauvais copier-coller, t’as mis la même ligne dans les avantages et les inconvénients !

Et bien oui. Et en fait, c’est totalement volontaire, car si il peut être considéré comme bénéfique le fait de pousser les utilisateurs à installer la dernière version du système, cela peut être délicat si, par exemple, vos logiciels ne sont pas prêts pour la dernière version (au hasard, pour toutes les solutions de sécurité informatique, antivirus/anti-malware, etc).

Mais alors, que faire ? Et bien, coup de chance, vous pouvez bloquer la mise à jour via le canal mineur… si vos postes sont équipés de macOS 12.6.1. En effet, un bug dans les versions précédentes de macOS empêche le blocage du téléchargement de macOS si le poste utilise une version inférieure de macOS.

Oui, mais Guillaume, t’es fou ou quoi, macOS 12.6.1 est sorti ce soir, donc c’est trop tard ! On ne peut pas déployer cette version alors que Ventura est désormais dispo !

C’est vrai, et du coup, les ingénieurs d’Apple ont prévu une parade. Si vos postes sont intégrés dans une solution MDM et considérés comme gérés, la mise à jour de Ventura ne sera pas visible dans le canal de mise à jour mineure durant au moins 30 jours. Ce qui vous donnera le temps de déployer macOS 12.6.1.

Ah c’est cool, Merci Guillaume ! Mais comment on fait pour déployer la 12.6.1 ?

Plusieurs méthodes :

  • Envoyer une commande MDM de mise à jour mineure, mais ça marche pas super ;
  • Installer et configurer Nudge pour inciter vos utilisateurs à télécharger eux-même et installer la mise à jour dès que possible, en leur donnant un peu de temps (genre une dizaine de jours) ;
  • Utiliser une autre solution, comme Erase-install, qui comme son nom ne l’indique pas, permet aussi de mettre à jour macOS en téléchargeant au préalable la version de son choix, sans forcément effacer le disque.

Bloquer l’application d’installation de macOS Ventura

Si vous souhaitez aussi bloquer l’installation de macOS depuis l’app d’installation, vous pouvez télécharger et déployer le package Ventura Blocker, qui fera très bien le boulot. Ensuite, le script fourni sur la page devra être déployé pour permettre à nouveau l’installation de Ventura.

En résumé : c’est encore un peu le bordel

Amis admins, vous avez donc désormais au moins un mois pour mettre à jour vers macOS 12.6.1, puis vous pourrez ensuite bloquer l’installation de Ventura pour 90 jours (délai max pour bloquer via un profil de configuration). Ensuite… bonne chance !

Une réflexion sur « Comment bloquer macOS Ventura ? »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.