Tous les articles par Guillaume

Le retour du MacBook Pro

Il y a encore quelques années, Apple était révérée pour le talent de ses designers, pour sa capacité à proposer des nouveaux ordinateurs qui imposaient des concepts radicalement différents, ou qui étaient tout simplement les meilleurs de leur catégorie. C’était en particulier vrai pour les Mac portables, qui restaient le fer de lance de la gamme, sur un marché en demande d’hyper-mobilité. 

C’était vrai jusqu’en 2015. Et là… c’est le drame

Le MacBook Pro 2016, accompagné de ses fameux ports USB-C et de sa Touch Bar représente le moment où Johnny Ive et son équipe sont probablement allés trop loin. Le moment où on est passé de Design is how it works à uniquement Design is how it looks. Où la recherche de la finesse absolue s’est fracassée sur la réalité de la physique et des besoins des utilisateurs. Notons, entre autres :

  • la Touch Bar, qui malgré ses quelques rares avantages par moment, a rapidement été considérée comme une erreur ergonomique1 ;
  • Les ports USB-C, seule porte de communication vers l’extérieur, alors que les périphériques USB-C étaient inexistants ;
  • La suppression de certains ports utilisés couramment sur les portables, comme le HDMI et le SD-Card ;
  • La suppression du connecteur MagSafe, idée géniale du connecteur magnétique qui est fixé mais pas trop sur le Mac et qui a sauvé tellement de machines ;
  • Et surtout, surtout… le fameux clavier papillon. Ça aurait pu être une bonne idée si la fiabilité avait été là. Manque de bol, le clavier papillon a été une catastrophe industrielle comme rarement chez Apple. Un programme de réparation existe toujours, j’ai du faire changer mon clavier 2 fois, pareil pour celui de mon épouse. Pire encore, il a été impossible de vraiment fiabiliser ce matériel dans le temps.

Tout ça pour gagner quelques millimètres sur une machine… qui n’avait pas forcément besoin de cela. Et ces quelques millimètres ont sûrement coûté très cher à Apple au final.

Les nouveaux MacBook Pro semblent à l’opposé de tout cela. La preuve : l’épaisseur du MBP 16″ et son poids ont augmenté (oh de rien du tout, hein, 0,6 mm, et 100 grammes. Mais quand même). Depuis combien d’années n’était-ce pas arrivé ? Depuis quand n’avions-nous pas entendu Apple répéter que le nouveau MacBook Pro était plus fin que le précédent ?2

Et surtout, il semblerait que les équipes d’Apple ont tellement écouté les clients. HDMI ? Check. MagSafe ? Un peu, mon neveu (et allez, c’est cadeau, vous pourrez quand même continuer à charger en USB-C, et on propose même en option juste le câble USB-C vers MagSafe, gardez vos chargeurs !). Lecteur SDXC ? Hop, c’est cadeau. Touch Bar ? On est d’accord, des touches physiques finalement c’est pas plus mal, on la dégage. Clavier papillon ? Hmmm nan, on remet l’ancien, et avec des flèches de direction en T inversé vu que c’est mieux. 

Je serais Johnny Ive, je me poserais quand même des questions. 

Mais ça ne s’arrête pas là. En fait, Apple aurait juste annoncé ces nouveautés, tout le monde aurait déjà été content.

Mais il y a les processeurs Apple Silicon. J’avais oui dire il y a un an que le M1 n’était que le début, et qu’il allait falloir attacher nos ceintures pour la suite. Et bien, la suite ne déçoit clairement pas. 

Non seulement les performances des M1 Pro et M1 Max sont hallucinantes, mais elles ne se font pas au détriment de l’autonomie. Grosso modo, la puissance de calcul est phénoménale, avec un bond de performance jamais vu d’une génération à une autre de processeur, sur une seule année, avec une consommation électrique incroyable. Sans oublier l’arrivée de l’écran Promotion, qui améliore encore l’autonomie sur un écran Mini-LED magnifique. Alors oui, il y a une encoche en haut de l’écran, et vous savez quoi ? Ça choquera 5 mn, on entendra parfois « Hin hin » et… on passera à autre chose. 

Le mieux dans tout cas ? La gamme n’a pas augmenté de prix. Comparé aux MBP de 2016, les tarifs sont identiques. Et, bonus : Apple a arrêté certaines petites mesquineries, comme forcer à prendre un modèle supérieur pour disposer de certaines options. Vous voulez un MacBook Pro 14″ mais bénéficier d’un M1 Max Pro gavé de RAM ? C’est possible ! Même le stockage des versions de base sont très bien dotées, avec un SSD de 512 Go.

En clair : des Mac ultra-puissants, dotés d’un équipement digne de ce nom, qui redonnent enfin ses lettres de noblesse à cette gamme maltraitée. 

Le MacBook Pro est mort. Vive le MacBook Pro !

  1. Je n’ai jamais eu un dégoût profond pour la Touch Bar, mais à part quelques petits points très particuliers, je n’ai jamais ressenti un manque depuis que je suis passé au MacBook Air M1.
  2. J’ai vérifié dans le communiqué de presse : le mot fin n’est pas cité.

L’airtag à 15000€

Gros choc au réveil ce lundi matin : en ouvrant mon bureau, je découvre que j’ai été cambriolé durant la nuit. Bilan des courses : une dizaine de MacBook (Air et Pro), ainsi qu’un iPad, volés, perdus corps et âme. Not cool. D’autant qu’une bonne partie de ce matériel est du matériel de test de mes clients. Stress total, même si je sais que ce ne sont pas des machines contenant des données sensibles. Mais quand même, les boules, en plus du stress de savoir qu’on a été visité la nuit.

Visite de la police scientifique, puis de la police tout court en début d’après-midi, et là, je constate qu’en plus du matériel, ma sacoche contenant mes papiers, CB et autres joyeusetés a été volée. Ainsi que… mon sac à dos.

Tiens donc. Un sac à dos et une sacoche où j’ai glissé un AirTag. Lançons donc vite l’app Localiser…

Mon sac et ma sacoche ont été vus quelques heures plus tôt. Deux rues plus loin. Littéralement.

Je rappelle la police, leur indique l’emplacement, ils me préviennent que je dois me rendre sur place, et m’y rejoignent. Toujours stressé mais un peu excité, j’arrive devant le lieu où est censé se trouver mon sac. Un petit immeuble. L’app Localiser confirme : le sac est bien dans le coin ! Les policiers arrivent, et pensent que le sac se trouve dans un squat quelques mètres plus loin.

« Hmmm non m’sieur l’agent, vous connaissez peut-être pas les Airtag, mais c’est vraiment précis. Là, on me dit bien que c’est de ce côté de la rue. Essayons d’être plus précis… » J’active la fonction Localiser pour essayer d’être le plus précis possible… Le sac est sensé être là. Mais là, il n’y a que des buissons…

L’un des policiers se penche par dessus, et dit « ah oui, y’a quelque chose là-dedans, et soulève… mon sac à dos.

« Euh, dites donc, il est super lourd ce sac ».

Tu m’étonnes.

Donc mon cambrioleur a fait une légère erreur : en prenant mon sac à dos, il a aussi embarqué son AirTag. Et il a posé tous les Mac dans ce sac à dos, qu’il a déposé dans ce buisson, sans doute pour le récupérer la nuit tombée…

Malheureusement, pas de trace de ma sacoche. Mais honnêtement… c’est un moindre mal. Et je sais que j’ai eu énormément de chance…

Donc : merci l’AirTag. Sûrement un de mes meilleurs investissements de cette année. Et merci aux policiers qui ont suivi mon dossier avec attention (et qui ont été assez épatés quand je leur ai expliqué le fonctionnement des AirTags).

Quand à moi, je vais un peu mieux sécuriser mes locaux. Quand même.

Attention à la mise à jour Big Sur depuis macOS Mojave !

Nous sommes actuellement chez Gete.Net Consulting (enfin, chez nos clients) en période de migration d’OS, et pour beaucoup, nous avons fait le choix de basculer directement de Mojave (10.14.x) vers macOS Big Sur (11.4). Pas de souci jusqu’à la semaine passée… où nous avons mis à jour notre package d’installation vers macOS 11.6.

Et là, c’est le drame…

Depuis le passage sur la version 11.6, l’installation échoue systématiquement et a une fâcheuse tendance à complètement planter les Mac, obligeant à une réinstallation complète. Nous sommes revenus sur le package d’installation 11.4, et plus de souci. Cela semble assez bien confirmé sur le Slack MacAdmins, où de nombreux administrateurs système rencontrent le même problème.

Donc, si vous devez faire un saut conséquent de version de macOS, évitez pour le moment les logiciels d’installation 11.5 et 11.6, et préférez le logiciel d’installation 11.4.

WWDC 2021 : les trucs que vous avez râtés (surtout si vous n’êtes pas un Sysadmin Apple)

Bien souvent, quand on est administrateur de parc Apple, les nouveautés les plus intéressantes d’une WWDC ne sont pas celles que l’ont découvre avec tout le monde durant la conférence inaugurale, mais plutôt les petits nuggets comme j’aime à les appeler, ce qui est relégué dans d’obscures notes de développeur ou autres.

Pour ma part, j’ai noté quelques changements très bienvenus dans macOS 12 en particulier et un peu également sur iOS en lisant les Release Notes des nouvelles versions beta de macOS et iOS. Entre autres :

Effacer le contenu et les réglages débarque sur macOS !

Que je l’attendais, cette fonction qui existe depuis les débuts de l’iPhone, surtout avec l’arrivée des partitions système et données séparées avec macOS 10.15 ! Et c’est désormais possible pour les Mac équipés de co-processeur T2 ou les Mac Apple Silicon :

Cette commande lance en réalité un utilitaire appelé Erase Assistant (localisé dans /System/Library/CoreServices/), qui vous prévient que certaines données seront supprimées, et vous invitera à désactiver votre compte iCloud si nécessaire sur ce Mac, ou ici, les empreintes liées à Touch ID :

Enfin, une fois qu’on clique sur Continuer, une petite alerte, et l’obligation de saisir le mot de passe d’un compte d’administrateur (quand même).

Mine de rien, c’est un apport énorme, en particulier pour les gens qui comme moi restaurent régulièrement des Mac pour faire des tests d’intégration. Fini les 20 à 30 minutes de réinstallation !

Notez que les administrateurs qui ont enrôlé leurs postes dans un MDM pourront aussi restrreindre cette possibilité… ou la lancer à distance sur un poste via une commande MDM. Le bonheur.

L’enrôlement de n’importe quel Mac dans Apple Business Manager et Apple School Manager, enfin possible !

Ça aussi, on l’attendait énormément, surtout que la possibilité existait depuis quelques temps sur iOS. Explication : depuis quelques temps déjà, il est possible d’intégrer dans les plate-formes Apple Business Manager et Apple School Manager des appareils iOS et iPadOS, même s’ils n’avaient pas été acheté à la base dans un canal validé par Apple. Pour comprendre ce point, il faut expliquer un peu l’enrôlement automatisé d’appareils (ADE pour Automated Device Enrollment, appelé auparavant DEP). Je ne reviens pas sur les détails du DEP de l’ADE, j’ai tout expliqué en détails durant cette magnifique conférence sur le sujet lors de Command-IT en 2019.

Mais voilà. Pour intégrer un appareil dans ABM/ASM, il fallait que le poste soit acheté dans un canal validé par Apple, avec un compte d’entreprise. Ce qui pouvait être très pénible : j’ai par exemple parfois acheté des appareils qui ne pouvaient pas être enrôlés, car achetés sur mon Apple ID personnel, et non pas sur un compte d’entreprise dédié. Idem avec les appareils achetés d’occasion. Du coup, impossible de réintégrer ces appareils à posteriori dans un compte d’entreprise. Parfois fort pénible.

Il y a quelques temps (iOS 13, je crois), Apple a proposé une parade pour les appareils iOS, en permettant leur réintégration dans un compte ABM/ASM à l’aide de l’app Apple Configurator sur macOS. Et bien, désormais… on va pouvoir faire l’inverse ! Pour les appareils iOS, un effacement de l’appareil sera indispensable depuis Configurator afin de le placer en mode supervisé, avec une inscription de l’appareil avec un profil d’enrôlement spécifique. Profil qui devra être conservé durant trente jours sur l’appareil : s’il est supprimé par l’utilisateur, l’appareil sera sorti du compte ABM/ASM, mais au-delà de 30 jours, l’inscription devient définitive.

Pour macOS, il faudra lancer l’application Configurator pour iOS, s’authentifier avec un compte disposant des droits Administrateur ou gestionnaire d’enrôlement d’appareils, et scanner une image dans l’assistant macOS. Ensuite, le Mac se verra assigné un serveur MDM virtuel « Ajouté par Apple Configurator » dans ABM/ASM, et pourra enfin se voir attribué son serveur MDM définitif.

Mine de rien, là aussi, c’est un énorme pas en avant de la part d’Apple.

Les administrateurs peuvent enfin supprimer des System Extensions

Depuis quelques versions de macOS, Apple pousse les System Extensions en remplacement des extensions de noyau (Kernel Extension) pour les logiciels qui n’en ont pas vraiment besoin. De nombreux éditeurs de logiciels ont fait le saut vers les System Extensions (ou sont en train de le faire), en particulier les éditeurs de solutions antivirus ou de contrôle de traffic (VPN, firewall…).

Soyons clair : l’implémentation des System Extensions a été pour le moins chaotique, en particulier leur pendant réseau, les Network Extensions. Éditeurs pas prêts au lancement de Big Sur, gestion des autorisations par les administrateurs pour le moins foireuse sur Big Sur en raison de bugs côté Apple… Pour être clair, la gestion des System Extensions ne fonctionne bien que depuis macOS 11.3.

Et il y avait surtout une limitation très pénible. Lors de la suppression d’une System Extension, il faut absolument que cette dernière soit supprimée par l’utilisateur lui-même, et plus précisément, en supprimant l’application associée à cette System Extension. Le problème, c’est quand vous passez par exemple d’un outil de contrôle de poste à un autre : l’administrateur ne peut pas lancer un simple script pour simplement supprimer l’extension, mais doit forcément demander à un moment ou un autre l’autorisation à un compte d’administrateur local du poste de la supprimer. Ce qui peut compliquer la gestion.

Désormais, les administrateurs qui ont proprement enrôlés leurs Mac dans un MDM disposeront d’une commande supplémentaire pour supprimer les System Extensions d’une app, sans avoir besoin de demander l’autorisation d’un compte d’administrateur local. Ouf !

Des mises à jour moins lourdes !

C‘est un truc qui me rend fou (et pas que moi) : la taille des mises à jour (et leur durée d’installation, aussi), depuis Big Sur. Mais ça va peut-être changer Une info trouvée par mon inestimable Laurent Pertois à moi que j’ai : la taille des mises à jour de macOS devrait être significativement réduite dans macOS 12, jusqu’à 2 Go de réduction dixit Apple (bon, ils précisent pas de combien on part, cela dit, parce que si la mise à jour fait 10 Go mais qu’on gagne 2 Go, bon…).

Un petit pas pour l’homme, un grand pas pour la bande passante et l’espace-disque. Mais j’attends de voir, quand même.

Des fonds d’écran à la demande

Tiens, ça aussi ça m’énervait, et là aussi Apple a fait des efforts : finis les plus de 1 Go de fonds d’écran, on passe à peine à une centaine de Mo, et quand on choisit un fond qui n’est pas sur le Mac, un petit nuage à côté de son titre vous invite à le télécharger.

Une meilleure gestion des mises à jour

Dire que la gestion des mises à jour dans macOS 11 était compliquée est un euphémisme. En réalité, depuis qu’Apple a forcé le déploiement des mises à jour de macOS avec une taille de mise à jour colossale, mettre à jour son Mac n’a jamais été plus complexe. Et forcer à mettre un parc à jour encore plus ! Du coup, on saluera l’arrivée de nouvelles commandes MDM (en espérant qu’elles fonctionnent bien cette fois-ci) pour forcer les mises à jour mineures OU majeures avec un délai de grâce pour l’utilisateur. Reste à voir comment tout cela va s’articuler, mais cela reste une bonne nouvelle.

C’est tout pour le moment, mais d’ici la sortie officielle de macOS Monterey, je suis sûr que nous aurons plein d’autres petits trucs à découvrir. Stay tuned

Quand Apple Notes est un poil trop gourmand

Depuis quelques temps (en fait depuis mon passage sur Big Sur ou sur le M1), je rencontre un bug curieux avec l’app Notes sur mon Mac : son utilisation du processeur est juste complètement démesurée (conjointement à une hausse également de consommation CPU) pour WindowServer :

Cela se traduit du coup par une baisse significative de l’autonomie et une chauffe excessive de la machine (ce qui est quand même fâcheux sur les Mac M1).

Après recherche, il s’avère que je ne suis pas le seul (comme souvent dans ce cas-là), et la solution semble relativement simple : il faut basculer du mode de présentation en liste vers une présentation en mode Galerie. Vous pouvez pour cela soit cliquer sur l’icône ad hoc, soit cliquer sur le menu Présentation > Par galerie.

Bon, le souci, c’est que c’est évidemment pas une vraie solution, le mode Galerie étant moins pratique que le mode Liste à mon goût, et du coup j’ai remonté le bug à Apple (FB9122849). N’hésitez pas à le remonter également afin de le faire corriger.

Le petit secret des iMac colorés

On a beaucoup parlé des couleurs des magnifiques nouveaux iMac cette semaine, et la comparaison avec les modèles des années 1990 était aussi assez évidente.

iMac 1999 en couleurs
IMac 24“ 2021

Mais le saviez-vous ? Ces derniers recelaient un petit détail étonnant : lorsqu’on réinstallait le système (macOS 8.5 à l’époque), l’apparence de l’interface et le fond d’écran par défaut reprenaient la couleur d’origine du Mac. Ainsi, quand on restaurait un iMac couleur fraise, le fond d’écran, la couleur de contraste des menus, les ascenseurs des fenêtres… prenaient tous une jolie couleur rouge lorsqu’on arrivait sur le bureau ! C’est quelque chose qui a perduré pour tous les Mac, jusqu’à l’arrivée de Mac OS X.

Pas de magie ici, évidemment, même si la méthode n’aurait pas été reniée par Arthur C. Clarke : lors de l’installation, le système récupérait le modèle exact du Mac en lisant le numéro de série, et adaptait ainsi la couleur de l’interface à la machine. C’était totalement inutile, mais du coup, parfaitement indispensable, pour reprendre la célèbre expression de Jérôme Bonaldi ^^ Et je suis curieux de voir si Apple va à nouveau reprendre cette idée pour la fournée des nouveaux iMac 2021, reprenant ainsi ce sens du détail qui fait sa réputation…

Déployer les apps de Microsoft Office à la demande avec un profil de configuration

Parfois chez Gete.Net Consulting, nous sommes confrontés à des problèmes techniques… intéressants. Ainsi, chez certains clients, nous devons déployer la suite Microsoft Office, mais sans installer Outlook, le logiciel par défaut choisi dans l’entreprise étant Apple Mail.

Dans ce cas, l’installation d’Office est un peu compliquée puisqu’il faut installer chaque application séparément, ou installer l’ensemble de la suite puis supprimer Outlook. Et installer les apps séparément peut être beaucoup plus lourd, puisque l’ensemble des applications d’Office installée individuellement pèse plus du double du package complet de Microsoft Office !

Et oui, si on retire Outlook de l’installation, ça fait quand même 3,38 contre 1,92 Go pour le package complet d’Office.

Autre cas aussi : vous souhaitez ne pas installer l’application Microsoft AutoUpdate pour garder le contrôle sur les mises à jour. Mais elle est installée par défaut. Même si vous pouvez la supprimer à posteriori, ça pourrait être plus simple de ne juste pas l’installer (et de ne plus avoir à y penser).

Il existe pourtant une solution pour forcer l’installation uniquement des applications de votre choix depuis le package Office. Pour cela, il faut passer par un profil de configuration (proposé par Paul Bowden, ingénieur Microsoft de l’équipe Microsoft Office Mac) poussé par votre MDM. Ce profil doit contenir des informations personnalisées que vous pouvez retrouver ici :

https://github.com/pbowden-msft/Payloads/blob/master/DeploymentExcluder.plist

Téléchargez ce fichier Property List, et modifiez son contenu pour passer à false toutes les apps que vous ne souhaitez pas installer.

Dans notre cas, pour installer tout Microsoft Office sans installer Outlook, on utiliserait le fichier plist suivant :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>InstallWord</key>
	<true/>
	<key>InstallExcel</key>
	<true/>
	<key>InstallPowerPoint</key>
	<true/>
	<key>InstallOutlook</key>
	<false/>
	<key>InstallOneNote</key>
	<true/>
	<key>InstallOneDrive</key>
	<true/>
	<key>InstallTeams</key>
	<true/>
	<key>InstallAutoUpdate</key>
	<true/>
</dict>
</plist>

Il suffit maintenant d’importer ce fichier dans un profil de configuration. La méthode dépendra évidemment de votre MDM. Par exemple, dans Jamf Pro :

  • Cliquez sur Profils de configuration > Nouveau
  • Ciquez sur Apps et réglages personnalisés > Upload.
  • Donnez un nom à votre profil.
  • Spécifiez com.microsoft.office dans la ligne Domaine de préférence et collez le contenu du fichier Plist modifié dans le champ Liste de propriétés.
  • Spécifiez enfin le scope de votre profil…
  • Et cliquez sur Enregistrer.

Si vous voulez faire la même chose dans FileWave, il suffit de créer un fileset contenant un profil de configuration, et d’ajouter les données comme Custom Settings.

Poussez ensuite le profil sur les appareils de votre choix, et lancez l’installation de Microsoft Office (via une policy pour Jamf Pro, ou un Fileset dédié pour FileWave, ou en le poussant avec Munki ou le MDM de votre choix). Et si tout va bien, seules les applications validées seront installées.

On dit merci qui ? Merci Paul Bowden (moi je ne suis que le messager) !

Verrouiller le Mac avec Touch ID

Une astuce totalement ridicule et découverte par hasard : si vous pouvez utiliser le bouton Touch ID de votre Mac pour le déverrouiller, vous pouvez également utiliser le même bouton pour verrouiller le Mac. Il suffit de laisser le bouton appuyé fermement (il y a un petit coup à prendre, c’est pas systématique). Testé sur un Mac Intel et un Mac M1 sous Big Sur et Catalina. Attention : ça doit verrouiller le Mac dans la seconde. S’il n’est pas rapidement verrouillé, relâchez, car si vous attendez trop longtemps, vous risquez d’éteindre votre Mac de force…

Créer rapidement des groupes d’un certain nombre d’appareils dans Jamf Pro

(Oui, je sais, mes titres sont parfois un peu longs.)

Une petite astuce qui m’a été fort utile il y a quelques jours avec Jamf Pro : un de mes clients avait besoin de créer plusieurs groupes d’une cinquantaine de Mac chacun pour procéder à un déploiement progressif sur l’ensemble du parc (plusieurs centaines de machines).

La première idée était de créer des groupes statiques comportant chacun une cinquantaine de machines. Et ça… c’est long à créer, car il faut créer le groupe, cocher 50 postes, enregistrer le groupe, créer un autre groupe, cocher les 50 postes suivants, enregistrer, etc… Fastidieux.

Mais en y réfléchissant un peu, il y avait une approche plus pertinente. À chaque fois qu’un poste est enrôlé, il lui est associé un identifiant unique : le JSS Computer ID. Et cet identifiant augmente de 1 pour chaque nouvel appareil ajouté. Le premier appareil a donc l’identifiant 1, le deuxième 2, etc. C’est bien fichu.

Et d’un coup, la solution est arrivée : il suffit de créer le nombre de groupes désirés (ici 8) sous forme de groupe intelligent, et spécifier comme critère pour le premier groupe :

JSS Computer ID est plus grand que 0

ET

JSS Computer ID est plus petit que 50

Capture d'écran de Jamf Pro pour illustrer la création de groupes d'une certaine taille.
Finalement, ce JSS Computer ID sert à quelque chose…

Et pour créer les groupes suivants ? Vous avez juste besoin de dupliquer le groupe et changer les valeurs (49 -> 100, 99 -> 150, etc).

Voilà. Enregistrez votre groupe, et regardez le contenu : oooooh, des groupes des 50 postes ! Ou presque : en effet, chaque poste supprimé ne se voit plus réattribué un ancien JSS Computer ID. Donc peut-être que vous aurez un premier groupe comportant moins de machines. Mais l’idée étant surtout de dégrossir pour éviter d’avoir une charge trop importante et pouvoir déployer « au fil de l’eau », cela reste une solution très satisfaisante.

Jamf Pro : contrôler quand installer un profil durant le déploiement

Allez, ça faisait un longtemps, un article bien technique, à l’attention d’un public averti. Je vais d’ailleurs cette année essayer de pousser un peu plus ces articles techniques destinés aux administrateurs systèmes et gestionnaires de MDM Apple.

Dans le cadre d’une intégration Jamf Pro chez un des mes clients, j’ai du gérer la problématique suivante :

Comment contrôler à quel moment un profil de configuration doit être installé sur un Mac ?

En effet, une fois un Mac enrôlé dans le MDM (que ça soit automatiquement au démarrage via le programme Apple Business Manager ou Apple School Manager, ou manuellement), à partir du moment où l’on souhaite par exemple déployer un profil Wi-Fi, il est déployé automatiquement via la magie du push. Ce qui pose le risque de casser le déploiement si le profil Wi-Fi impose une bascule automatique.

Exemple : vous êtes employé de Gete.Net Consulting, et vous recevez votre nouveau Mac rutilant. Votre nouveau boss, qui a tout prévu, vous a fait livrer votre Mac, et vous devez l’enrôler dans votre solution de gestion. Ce Mac a été prévu pour se connecter automatiquement au réseau GeteOuEssayéMaisRienNWiFi, dont le mot de passe particulièrement complexe est intégré au profil. Ce qui peut présenter l’avantage d’éviter de devoir transmettre le mot de passe oralement ou par écrit, et de lui donner une complexité bien plus importante. Le profil pourrait aussi permettre de pousser une authentification au Wi-Fi via certificat, ce qui est bien plus sécurisé.

Cependant, si le réseau est à portée d’antenne, le Mac aura tendance durant l’enrôlement à basculer sur ce réseau Wi-Fi sécurisé dès qu’il sera disponible, sans s’occuper de savoir si le reste de l’enrôlement (installation de logiciels par ex) est terminé. Ce qui peut être gênant, vous en conviendrez.

Pour éviter cette rupture dans le déploiement, on peut avoir deux approches :

  1. Fournir le profil à l’utilisateur via le Self Service de Jamf Pro ;
  2. Utiliser une méthode un peu plus complexe, mais entièrement automatisée.

Si nous optons pour l’approche automatisée, voici comment faire. Attention, c’est particulièrement sioux.

Créer un attribut d’extension

Dans la console Jamf Pro, cliquez sur Réglages > Ordinateur et sélectionnez Attributs d’extension.

Cliquez sur Nouveau

Appliquez les différents réglages comme sur la capture d’écran ci-dessous. Pour ce qui est du script lui-même, voici son contenu :

!/usr/bin/env bash
RESULT="Wifi KO"
if [ -f "/var/db/.wifi-ok" ] ; then
RESULT="Wifi OK"
fi
/bin/echo "$RESULT"

Par défaut, on aura donc un attribut d’extension dont le résultat est Wi-Fi KO. Les chemins et les noms de fichier choisis ici sont par ailleurs totalement arbitraires, vous pouvez donc les customiser comme vous le souhaitez.

Variante : vous pouvez aussi créer le fichier à la fin d’un script d’enrôlement pour indiquer que l’enrôlement est bien terminé pour appliquer d’autres conditions. Vous pourriez donc nommer le fichier .EnrolementFini si ça vous chante. Par contre, je vous conseille de le laisser invisible. Perso, je génère un dossier au nom du client dans /usr/local et j’essaie de créer une petite hiérarchie propre dedans, donc ça pourrait être /usr/local/getenet/.EnrolementFini.

Créez un groupe intelligent

Une fois votre attribut étendu généré :

  1. Cliquez sur Groupe intelligent d’ordinateurs > Nouveau ;
  2. Cliquez sur Afficher les critères avancés ;
  3. Choisissez votre critère Activation Wi-Fi ;
  4. Dans la case Valeur, tapez Wifi OK (ou toute autre valeur générée dans le script).
  5. Enregistrez.

Associer le groupe au profil Wi-Fi

Il nous faut maintenant créer notre profil Wi-Fi pour l’associer au Groupe intelligent. Pas l’opération la plus dure :

  1. Cliquez sur Profils de configuration ;
  2. Cliquez sur Nouveau ;
  3. Remplissez votre profil de configuration Wi-Fi comme d’habitude ;
  4. Cliquez sur Périmètre ;
  5. Cliquez sur Computer Groups ;
  6. Cliquez sur le bouton Add en face de votre groupe intelligent créé précédemment (oui, la régionalisation de Jamf Pro, c’est pas toujours ça…) ;
  7. Validez, comme Johnny.

Pfiouuuu. Allez, c’est presque fini.

Activer l’état Wi-Fi Ready

Mais comment lui faire changer son état ? Facile : il suffit de générer le fichier /var/db/.wifi-ok via une simple commande, par exemple en ajoutant dans le script de déploiement la commande :

touch /var/db/.wifi-ok

Suivie d’une mise à jour de l’inventaire :

jamf recon

Notez que tout cela doit se faire dans le contexte du compte root (mais Jamf lance tous les scripts en tant que root, donc c’est OK).

Personnellement, j’ai utilisé cette méthode chez deux clients différents, et elle fonctionne parfaitement avec une version modifiée du script DEPNotify Starter, en générant le fichier à la fin du script.

Et si vous avez besoin d’aide pour mettre cette solution en place, il suffit de demander.