Alors que tout le monde se remet du choc du casque de réalité virtuelle de l’ordinateur spatial Apple Vision Pro 1, je me suis plongé dans les différentes conférences développeur dédiées à la gestion des produits Apple en entreprise. Et, croyez-le ou non, il y a de très bonnes, voire d’excellentes nouveautés. Petit tour d’horizon de ces fonctions dont vous n’entendrez parler que sur ce blog (de toute façon, vous n’êtes plus que trois à me lire, hein).
L’inscription des Mac dans un MDM via l’inscription automatique devient vraiment incontournable.
Auparavant, quand un Mac avait raté l’inscription automatique au MDM2, il recevait une petite notification gênante en haut à droite de l’écran, mais rien d’obligatoire. Désormais, plus le choix : dès que le Mac sera connecté au réseau, un dialogue apparaitra en plein écran pour inviter l’utilisateur / utilisatrice à inscrire obligatoirement son Mac. Il ou elle aura la possibilité de repousser l’inscription pour 8 heures, mais ensuite, ça sera game over, inscription obligatoire.
Imposer une configuration minimale avant l’inscription du poste
Actuellement, si un Mac est livré par exemple en macOS 13.1, il doit être inscrit à la MDM 3 avant de faire les mises à jour imposées par l’entreprise, et FileVault sera éventuellement activé via un profil dédié après que l’utilisateur a ouvert sa session pour la première fois.
Désormais, on pourra imposer une configuration minimum de macOS, et le Mac redémarrera une fois la mise à jour appliquée et FileVault actif avant de continuer l’inscription.
Les Apple ID gérés deviennent enfin utilisables en entreprise
Les Apple ID gérés, c’est cette grande idée de pouvoir permettre aux entreprises de gérer elles-même leurs identifiants Apple rattachées à un domaine dédié, voire à leur propre domaine, voire encore de fédérer ces identifiants à un Azure AD ou Google Cloud Identities. Mais ces identifiants souffraient de restrictions pénibles en entreprise, comme l’impossibilité d’y associer une carte bancaire pour Apple Pay, ou pire, d’empêcher l’utilisation de fonctionnalités comme Handoff, le presse-papiers universel, la caméra Continuity, le Contrôle Universel… Et bien, croyez-le ou non, les administrateurs d’Apple Business Manager pourront enfin activer ou non ces fonctionnalités, ce qui devraient rendre ces comptes beaucoup plus utiles là-aussi… Bonus : si le trousseau iCloud est autorisé, les fameuses clés d’authentification (passkeys) seront aussi utilisables, et ces clés-là ne pourront être utilisées que sur les appareils autorisés par l’entreprise.
Ah, et puisqu’on parlait d’Azure AD et Google Cloud Identities : si l’idée d’utiliser ces services vous donne des boutons, Apple a pensé à vous, et désormais les IdP tierce-partie seront compatibles, sous réserve de passer par OpenID Connect.
L’inscription à la solution MDM via un compte d’utilisateur, désormais sur macOS
L’inscription à la solution MDM se faisait historiquement à travers un profil de configuration ajouté sur l’appareil manuellement (si vous utilisez par exemple Jamf Pro, c’est cette inscription que vous effectuez à l’aide de la page /enroll), mais depuis 2021, on peut aussi inscrire un appareil sur un MDM à l’aide d’un compte d’utilisateur, ou plus précisément, un Apple ID géré. Cette fonctionnalité arrive aussi sur macOS Sonoma, et il est même annoncé qu’elle supplantera totalement l’inscription via profil dans le futur. Autant vous dire qu’il va falloir se mettre aux Apple ID gérés fissa.
La gestion des mises à jour via le Declarative Device Management
Le Declarative Device Management (ou DDM pour les intimes) est la version survitaminée du MDM 4, bien plus dynamique. Jusqu’à maintenant, les fonctionnalités liées au DDM étaient assez limitées, mais on pourra désormais utiliser ces fonctionnalités pour imposer l’installation d’une mise à jour, avec une date limite, un lien d’information supplémentaire, et plein d’autres subtilités, et bénéficier de rapports d’information sur les installations des mises à jour bien plus dynamiques. Évidemment, pour en tirer parti, les solutions MDM5 devront être mises à jour également. Je croise les doigts très fort pour qu’enfin ce système de mise à jour fonctionne de façon fiable.
Nouvelle fonction Retour au stock pour iOS et iPadOS
J’ai trouvé que ce nom était la meilleure traduction possible pour Return to Service, une nouvelle fonction d’iOS et iPadOS qui permettra de facilement réinitialiser un appareil complètement, et de pousser un profil Wi-Fi avant l’inscription de l’appareil, et donc de l’inscrire automatiquement et le faire arriver directement sur l’écran de démarrage de l’appareil sans aucune interaction. En clair, en une commande MDM, vous pourrez remettre à zéro un ou plusieurs appareils, et les redéployer intégralement, installation des apps comprises, sans avoir besoin de les connecter. Seule petite limitation à mon goût : on ne pourra pas forcer une langue par défaut, c’est la langue précédemment utilisée sur l’appareil qui sera utilisée après réinitialisation (mais eh, les beta-tests commencent, donc c’est le moment de faire remonter ce défaut à Apple !).
Supprimer le fichier AppleSetupDone ne relancera plus l’Assistant si un compte d’utilisateur existe déjà
C’est un petit truc bien connu des admins Mac : en supprimant le contenu du fichier /var/db/.AppleSetupDone, on peut relancer l’Assistant de configuration de macOS, ce qui permet de créer un nouveau compte d’administrateur. Et bien là, ça ne sera plus possible si un compte d’utilisateur existe déjà sur le poste : il faudra forcément le réinitialiser. Ce qui est bien mieux en terme de sécurité !
Platform SSO pourra être utilisé pour créer des comptes d’utilisateurs depuis un IdP à la volée
Plaform SSO, c’est cette fonctionnalité qui devrait à terme permettre de faire en sorte qu’on puisse utiliser son compte d’entreprise hébergé par un fournisseur d’identité (IdP) comme Okta, Azure AD, Google Cloud Identities, Jumpcloud, OneLogin, et tant d’autres, en remplacement de la connexion à Active Directory… Et bien, macOS devrait permettre de créer un compte d’utilisateur local dynamiquement depuis la fenêtre de login, en s’appuyant sur les informations du fournisseur d’identité, un peu à la façon d’un Jamf Connect. Il reste à voir quelles seront les limitations de cette fonctionnalité, et comment seront gérés les changements de mot de passe, entre autres.
Les Apple Watch pourront enfin être gérées en entreprise
J’aurais bien dit tout est dans le titre, mais il y a une subtilité : ce sont les Apple Watch associées à un iPhone géré qui pourront être gérées. Hors de question d’acheter un lot d’Apple Watch Ultra SE, et les filer directement à vos employés, toutes prêtes à être inscrites sur votre solution MDM.
L’ajout d’un appareil via Apple Configurator à Apple Business pourra l’associer automatiquement à une solution MDM spécifique
J’avais déjà parlé de cette fonction fort pratique dans un billet complet, et j’avais noté un défaut de cette fonction pourtant fort pratique : il fallait retourner dans Apple Business Manager / Apple School Manager après avoir rajouté un appareil, pour le sortir de la liste Apple Configurator et l’associer à la solution MDM de votre choix. Bonne nouvelle : l’app Configurator pour iOS pourra être configurée (ahem) pour attribuer une solution MDM par défaut à tout nouvel appareil ajouté.
Conclusion : on va encore avoir du boulot
Je n’ai pas parlé de toutes les nouveautés de ces versions des systèmes Apple de 2023, notons que certaines nouveautés étaient vraiment très attendues, et les avancées sur les Apple ID gérés sont assez significatives pour inciter à les mettre désormais en place dans les entreprises. Je suis surtout intrigué par les fonctionnalités autour de Platform SSO qui sont encore un peu vagues (après tout, Platform SSO était sensé tout révolutionner déjà sur macOS Ventura), mais qui pourraient être vraiment révolutionnaires sur la façon dont nous gérons les comptes sur nos appareils… et tout spécialement sur Mac.
What a time to be alive.
- Et de son prix, mais est-il si cher que ça ? J’ai bien une réponse à la question, mais elle ne tiendrait pas dans cette marge… ↩
- Apple dit « à la MDM, mais j’ai vraiment du mal, est-ce que je vais devoir aussi leur écrire pour leur demander si on dit « La ou le MDM ? » ↩
- Oui, j’ai changé d’avis, je dis la MDM, et je changerai sûrement d’avis d’ici la fin de cet article. ↩
- Bon, j’en ai marre là. Lela MDM, et qu’on y revienne plus. ↩
- Ah oui, les solutions MDM, neutre, c’est très bien aussi. On va rester là-dessus. ↩
Bonjour,
Je suppose que nous sommes bien plus que trois à te lire.
En tous les cas, c’est toujours super intéressant et utile et aux antipodes des « News Apple »
Merci encore pour ces efforts.
Apparemment je fais partie d’un des 3 lecteurs. Merci pour cet article très complet.
Et de trois ! Mais je suis aussi sûr qu’on est plus à te lire cher Guillaume! Merci pour ce résumé.
Et de quatre !
Merci Guillaume pour cette revue plus détaillé de ce que la WWDC va nous apporter.
Quatre !
Et tu n’as même pas parlé de la fonctionnalité la plus importante, à savoir la gestion des apple watch ;).
Il y a aussi la gestion de network relay et transparent proxy, enfin des restrictions dans system settings…
Ah non, j’ai rien dit, tu en as parlé, faut que j’ouvre les yeux et lise avec le doigt.
Merci pour cette synthèse très claire et très utile que l’on va prendre en compte dans notre roadmap (notamment AppleID gérés)
Merci GG
Merci pour cet article qui me sera surement utile le moment venu…
Merci GG un lecteur fidèle qui prend enfin le temps de répondre
Mais non Guillaume ! Tu n’es pas seul !
D’ailleurs, Mac OS s’installe de plus en plus dans nos entreprises; au grand damne des supports informatiques.
Merci pour cet article très complet que je vais traduire, en partie, pour mes collègues administrateurs de San Francisco.