D’habitude, j’essaie de faire un article qui reprend un peu les nouveautés de la prochaine version majeure de macOS pour l’entreprise, avant l’arrivée de cette dernière (la version de macOS, pas l’entreprise, suivez un peu). Cette année, bah, ça arrive après, tant pis pour vous. Je me suis basé sur l’article officiel d’Apple parce qu’en plus, eh, je suis de plus en plus fainéant avec l’âge.
L’inscription d’utilisateurs basée sur les profils n’est plus pris en charge dans macOS 15. Pour l’inscription d’utilisateur, connectez-vous à un compte Apple géré dans les réglages.
Ça, c’est un point HYPER important, qui n’est pas souvent mis en avant, alors qu’il a des conséquences pour toutes les entreprises selon la méthode utilisée pour acheter et déployer le matériel.
Jusqu’à maintenant, pour inscrire un Mac dans une solution MDM, il existait plusieurs solutions :
- L’inscription manuelle à l’aide d’un profil d’inscription, qu’un administrateur pouvait ajouter à la main à un Mac ;
- Le programme de déploiement automatisé d’appareils (qu’on connaît historiquement sous le nom de DEP, devenu ADE (Automated Device Enrollment) et dont j’ai parlé en long, en large et en travers (surtout) dans une conférence de toute beauté) ;
- Et enfin, depuis quelques années, Apple pousse l’inscription d’appareil par compte d’utilisateur, qui s’appuie sur les identifiants Apple gérés… ou plutôt, les comptes Apple gérés, puisqu’Apple a décidé de changer là-aussi sa nomenclature. Un compte Apple géré est rattaché à une entreprise ou une institution scolaire, et généré depuis les plates-formes Apple Business Manager ou Apple School Manager, et peuvent être fédérés comme Roger depuis d’autres sources (comme Entra ID, Google Cloud Identities, etc), tout en permettant également la séparation des données si on met en place une inscription d’utilisateur (par exemple pour les appareils BYOD) ou l’inscription d’appareils de l’entreprise/école.
La grosse nouvelle, c’est qu’Apple abandonne l’inscription manuelle à l’aide d’un profil avec Sequoia. Désormais, plus le choix : si vous voulez inscrire vos Mac, il faut disposer d’Apple Business Manager ou Apple School Manager, puisque les deux méthodes d’inscription s’appuient sur ces outils. Bon, la bonne nouvelle, c’est qu’ABM/ASM sont gratuits. La mauvaise, c’est que rajouter les appareils dans ABM/ASM, si c’est normalement gratuit et pris en charge par les revendeurs de matériel, bah y’en a qui le facturent1.
Et ça pose un autre problème, puisque les territoires et pays d’outre-mer ainsi que les territoires britanniques d’outre-mer, les îles Anglo-Normandes ou encore l’île de Man n’ont pas droit à ABM/ASM pour d’obscures raisons de TVA, à priori 2. Donc : plus d’inscription possible dans des MDM. C’est con, hein.
EDIT : bon, je me suis pris les pieds dans le tapis, et merci Franck Sartori pour m’avoir mis le nez dedans.
Le changement concerne l’inscription d’utilisateurs par profil, pas d’appareils. Pour ces derniers, on peut toujours faire une inscription via profils, et ça marche très bien. En revanche, si vous faisiez une inscription en mode utilisateur, ça ne fonctionne plus via profil.
Moralité : ne pas écrire d’article à 3 heures du mat, et tester avant d’écrire nawak.
La commande profiles renew -type enrollment ne nécessite plus d’identifiants administratifs si vous n’êtes pas déjà inscrit à une solution MDM.
Ça, c’est plutôt une bonne nouvelle. Si vous êtes un administrateurtrice Mac aguerri, vous aurez sûrement déjà utilisé la commande magique profiles renew -type enrollment. Cette commande est utilisée dans un cadre bien précis.
Admettons que vous avez inscrit un Mac dans une solution MDM quelconque, et pouf, vous changez de solution, par exemple pour enfin basculer sur Jamf (et vous en profitez pour me contacter pour mettre en place une prestation de qualité dans cette optique) 3.
Maintenant, si vous avez précédemment inscrit des Mac via le programme DEP ADE, vous savez que normalement, si vous supprimez l’inscription, vous devez effacer le Mac pour le réintégrer correctement dans votre nouveau MDM, après avoir changé son attribution dans ABM/ASM. Ou alors, vous devez l’inscrire via l’installation manuelle de profil, mais 1) c’est pas aussi joli et sécurisé et 2) c’est plus possible avec Sequoia, mais lisez au dessus enfin.
Depuis quelques années, il y avait cependant une solution : en ouvrant le Terminal et en tapant la commande sudo profiles renew -type enrollment, et en s’authentifiant comme administrateur sur le Mac, on pouvait inscrire à nouveau le Mac comme s’il faisait partie d’ABM/ASM. Une notification apparaît alors sur le Mac, l’invitant à inscrire son Mac dans la solution MDM nouvellement attribuée.
Bon, le souci, c’est que jusqu’à maintenant, cette manipulation imposait que l’utilisateur soit administrateur du poste pour procéder à l’inscription du poste sur le Mac. Mais ce n’est désormais plus le cas : un utilisateur standard pourra aussi valider lui-même l’inscription.
Au passage, notez que depuis macOS Sonoma, l’utilisateurtrice dispose d’un délai de 8 heures max pour ajouter son Mac dans la solution MDM. Après ça, hop, iel est bloqué.
Modifications au niveau du pare-feu
Les clés EnableLogging et LoggingOption dans la charge utile du pare-feu sont obsolètes et ne sont plus nécessaires. La journalisation du pare-feu d’application est augmentée par défaut pour le processus socketfilterfw.
Euh… bah cool story, bro, quoi. Ça fera toujours des clés en moins à gérer dans les profils, ça me va.
Utilisation de l’adresse MAC réelle pour le Wi-Fi
La solution MDM peut configurer l’utilisation de l’adresse MAC matérielle au lieu d’une adresse MAC privée sur un réseau Wi-Fi géré. Un avertissement de confidentialité est affiché lors de l’utilisation de l’adresse MAC matérielle car elle permet le suivi par les réseaux Wi-Fi et les appareils Wi-Fi à proximité.
Par exemple, dans Jamf Pro, vous pouvez cocher cette petite casounette toute mignonne dans les réglages de réseau pour désactiver cette fameuse randomisation de l’adresse MAC.
Ignorer l’écran de Bienvenue
L’écran « Bienvenue sur Mac » peut être ignoré en utilisant l’auto-avance ou la clé d’ignorer la bienvenue. Sur Jamf Pro, ça se passe au niveau du Prestage, l’option à cocher pour ne pas l’afficher s’appelle Commencer.
Au passage, un gros BOUUUUUUUH au mec/meuf/autre chez Jamf qui a décidé que pour désactiver un réglage, il doit être coché. Srsly.
Et puis franchement, est-ce que ça sert à quelque chose de retirer l’écran de bienvenue, hein ? Est-ce que c’est ça que vous voulez, un monde triste, aseptisé, sans aucune vie, juste laissé abandonné à ChatGPT et ses sinistres acolytes ? Laissez votre Mac dire Bienvenue à vos utilisateurs, bon sang. Après tout, cet écran reste le plus bel accueil qu’on a fait aux utilisateurs de Mac durant presque 15 ans, et il a fait sourire des millions d’utilisateurs.
La solution MDM peut empêcher les extensions système d’être désactivées dans les réglages du système.
Dans un grand élan de « laissez les utilisateurs tranquilles », Apple a décidé que n’importe qui pouvait supprimer les extensions système du Mac sous Sequoia. Not your best move, Apple. Pour rappel, les extensions système sont surtout utilisées pour des logiciels de sécurité en entreprise, EDR, coupe-feu et autres joyeusetés du genre.
Du coup, si vous êtes un·e admin consciencieux·se, vous devrez penser à marquer les extensions système de vos logiciels de sécurité comme non supprimables par l’utilisateurtrice (comme ici dans Jamf Pro, où l’interface sent encore un peu la peinture toute fraiche, hi hi).
La solution MDM peut empêcher un Mac d’utiliser la fonction de réplication d’un iPhone.
Bon, nous on a mieux pour ça en France, on a l’Europe, avec qui Apple est en bisbille, du coup, pas besoin de s’occuper de ce profil, nyark nyark. En dehors de l’Europe, vous irez faire un saut dans le profil Restrictions > Applications et vous décocherez la case que j’ai indiquée en rouge, là.
De nouvelles clés de configuration sont disponibles pour la charge utile Kerberos SSO
Si vous utilisez l’extension Kerberos pour remplacer NoMAD & co, parce que vous avez eu la bonne idée d’arrêter de coller vos Mac sur votre Active Directory. J’avoue avoir regardé les options en question, mais j’ai pas encore compris à quoi elles servaient, et j’ai mal au crâne car il est trop tard. De toute façon, vu que ça parle de royaume et de trucs uniques, à mon avis, la réponse, c’est Macron.
De nouvelles options d’authentification sont disponibles pour la connexion unique sur la plateforme.
Cf supra.
Plus sérieusement, la connexion unique sur la plateforme est juste une mauvaise traduction de Platform SSO. Un jour, je vous expliquerai à quoi sert Platform SSO. Un jour.
Des réglages plus clairs
La section Profils des Réglages Système est renommée en Gestion des Appareils et apparaît désormais dans la section Général. Et ça, c’est une sacrément bonne nouvelle, parce qu’aller chercher ces réglages au fond des réglages de confidentialité et sécurité, c’était pénible. Meilleure place, bravo.
Les fichiers exécutables, les scripts et les fichiers de configuration launchd peuvent être installés via MDM et stockés dans un emplacement sécurisé et résistant aux manipulations.
Ça, mine de rien, ça va être une vraie révolution. Jusqu’à maintenant, pour déployer certains types de fichier, pas le choix : il fallait packager, et déployer via un agent spécifique à la solution MDM. Désormais, c’est le framework MDM intégré au Mac qui peut installer des éléments comme des LaunchAgents ou LaunchDaemons, des scripts ou des fichiers exécutables (comme des commandes Unix) dans des endroits qui seront inviolables par l’utilisateur. C’est une excellente nouvelle, et ça devrait faciliter les déploiements dans le futur. Reste aux MDM à intégrer cette fonction.
Gestion déclarative des mises à jour via MDM
Les mises à jour logicielles peuvent désormais être entièrement gérées avec la gestion d’appareil déclarative, remplaçant les profils MDM pour les restrictions de mise à jour logicielle, les paramètres et les commandes et requêtes de mise à jour logicielle.
Je prie pour que ça soit vrai. Vraiment. La gestion des mises à jour est encore très hasardeuse même dans les dernières versions de macOS, si on peut avoir une seule solution unique qui fonctionne de façon fiable, bah je vote pour. Mais ça fait quelques années qu’on est un peu échaudés par la gestion des mises à jour via MDM, donc j’attends de voir. Pour le moment, ça ne semble pas encore implémenté dans les MDM, donc wait and see.
La nouvelle configuration de gestion des disques peut être utilisée pour choisir si le stockage externe ou en réseau est autorisé ou interdit, ou pour limiter le montage aux volumes en lecture seule.
Que voici une option intéressante. SI vous souhaitez procéder au hardening de vos Mac pour éviter qu’on branche tout et n’importe quoi dessus, votre MDM peut désormais gérer l’accès aux supports de stockage externe ou réseau. Bon, pour le moment, ça reste ultra limité, aucune granularité possible à part dire « j’autorise, je bloque, ou je mets en lecture seule ».
Gestion des extensions de Safari
La solution MDM peut gérer quelles extensions Safari sont autorisées, toujours activées ou toujours désactivées, et quels sites web elles peuvent consulter. Et même si côté possibilités on est très loin d’un Google Chrome ou d’un Microsoft Edge, ça reste quand même un ajout bienvenu et qui ravira les équipes de sécurité de toutes les entreprises. Il faudra juste rajouter l’identifiant de l’extension concernée.
Gestion des fonctions d’Apple Intelligence
Apple a décidé de nous fournir un max d’intelligence, mais si ça vous ennuie d’utiliser des fonctions d’IA (ne serait-ce que pour éviter la fuite de données vers l’extérieur), vous pouvez les bloquer, par exemple dans les restrictions de Jamf Pro, on découvre ceci :
En conclusion
Voilà ! C’est tout ce qui a été officiellement documenté par Apple, d’autres trucs viendront sûrement dans le futur. Pour le coup, j’attendais un peu plus de contrôle sur certains aspects de l’expérience utilisateur, mais j’en ai fait mon deuil, et j’apprécie ce qu’il nous a été offert pour cette version de macOS, qui est ma fois plutôt très stable dans mes quelques tests. Et comme d’hab, n’oubliez pas de bloquer les mises à jour majeures durant au moins 30 jours si vous voulez éviter de mauvaises surprises !