J’en avais un peu parlé dans mon article sur la WWDC 2021 : il est désormais possible avec macOS Monterey de réintégrer un Mac dans une solution Apple Business Manager ou Apple School Manager, même si ce dernier n’a pas été acheté dans le circuit Apple classique (à savoir : un revendeur Apple agréé entreprise, ou un Apple Store). C’était pourtant possible depuis quelques temps pour les appareils iOS et iPadOS, à l’aide de l’app Apple Configurator pour macOS. Si vous ne connaissez rien à Apple Business Manager, je vous invite à voir ma conférence sur le sujet.
Mais alors, comment ça se passe ? Et bien, il faudra passer par l’app Configurator… pour iPhone ou iPad. Celle-ci est encore en bêta (disponible entre autres sur AppleSeed for IT), mais elle ne devrait plus trop tarder à être disponible pour tous (croisons les doigts). Il y a cependant quelques contraintes importantes pour pouvoir réintégrer un Mac dans Apple Business Manager :
– le Mac doit être équipé d’un processeur Apple Silicon, ou d’un contrôleur de sécurité T2 (liste ici) ;
– Le Mac doit être intégralement effacé au préalable (par exemple en utilisant la fameuse commande startosinstall avec l’option eraseinstall).
– Un administrateur du Mac peut retirer le poste d’Apple Business Manager durant 30 jours après l’enrôlement, simplement en le désenrôlant. Après 30 jours, l’intégration dans Apple Business Manager devient définitive.
J’ai testé avec un Mac que j’avais révoqué il y a quelques temps d’Apple Business Manager, et que je souhaitais réintégrer.
Une fois l’app Configurator installée sur l’iPhone ou l’iPad, il faut la lancer et la configurer avec un compte de votre instance Apple Business Manager. Le compte utilisé doit disposer des droits de Gestionnaire d’inscription des appareils.
Une fois configurée, l’app propose de chercher un Mac pour l’enrôler. Approchez donc votre iPhone de votre Mac (ce dernier doit être sur l’écran de choix du pays), et si tout va bien, l’écran va alors afficher le QR Code magique d’Apple. Il faudra alors essayer de mettre le motif dans le cercle. Attention, c’est plus facile à dire qu’à faire : si l’écran a un peu trop de reflet, ou pas assez de lumière, ça peut être délicat. J’ai remarqué que ça fonctionnait mieux avec la luminosité poussée à fond.
Si vous n’arrivez pas à faire reconnaître le motif pour appairer le Mac à l’iPhone, pas d’inquiétude : vous pouvez aussi utiliser un code unique à afficher sur le Mac et à recopier sur l’iPhone.
L’iPhone va alors transférer ses réglages de réseau au Mac (soit en utilisant le Wi-Fi existant, soit en transférant un profil créé au préalable et contenant la configuration Wi-Fi souhaitée).
Si tout se passe bien, le Mac est alors ajouté (vous pouvez voir le statut de l’ajout en cliquant sur l’icône de liste en bas à droite).
Et voilà, le Mac est correctement assigné à votre instance Apple Business Manager !
Cependant, il ne pourra pas être associé automatiquement à votre MDM : il sera listé dans un MDM spécifique Apple Configurator. Vous devrez donc attribuer votre MDM habituel à votre appareil dans Apple Business Manager avant de le redémarrer.
Notez qu’on rencontre parfois des bugs toujours rigolos liés à Apple Business Manager, ainsi le MacBook Pro ajoutait apparaissait comme… un iMac. Ça arrive de temps en temps… mais ça n’a pas impact à l’utilisation.
Même si Apple a mis pas mal de limitations sur cette fonctionnalité, cela reste une nouveauté fort utile dans certains cas, qui devrait faciliter le redéploiement des anciens Mac dans les parcs informatiques des entreprises ou des écoles.
NB : MacG a publié quasiment le même article quelques heures avant moi… Promis, j’ai pas copié ! :D
Une petite nouveauté qui n’a pas été très mise en avance par Apple : désormais, vous pouvez gérer les instantanés locaux (snapshots) APFS utilisés par Time Machine pour la sauvegarde à l’aide d’Utilitaire de disque. Les instantanés, ce sont ces sauvegardes Time Machine qui ne sont pas exécutées directement sur un disque externe, mais qui sont stockés sur le disque interne de votre Mac, par exemple lorsqu’il est déconnecté du disque de sauvegarde quand vous êtes en vadrouille avec votre MacBook Pro flambant neuf. Jusqu’à maintenant, Apple ne permettait pas un accès simple à ces disques, à l’exception de l’utilisation de la commande tmutil.
Désormais, avec Monterey, c’est beaucoup plus simple : lancez Utilitaire de disque et cliquez sur le menu Présentation > Afficher les instantanés APFS.
Hop ! Instantanément (huh huh), une nouvelle zone apparaît dans la fenêtre, vous permettant de visualiser ces fameux instantanés. Vous pouvez même double-cliquer sur un instantané dans la liste pour le monter sur le Bureau, comme une vulgaire disquette (oui, on est en 2021, et je parle de disquettes, jugez-moi). Vous pouvez alors naviguer dans la sauvegarde pour essayer de retrouver un fichier (est-ce vraiment plus intéressant que de passer par la jolie interface de Time Machine, je vous laisse juge).
Surtout, vous pouvez décider de supprimer des instantanés s’ils prennent trop de place (la colonne Taille privée vous indique l’occupation de l’instantané sur le disque). Il suffit effectivement de sélectionner un instantané puis de cliquer sur le bouton Moins pour le dégager sans sommation (enfin presque, vous devrez quand même valider la suppression de l’instantané).
Bon, en pratique, à moins de travailler pour la NSA, pas vraiment besoin de s’occuper de nettoyer les sauvegardes Time Machine à la main, vu qu’il y a un processus de macOS qui s’occupe de faire le ménage quand c’est nécessaire… Mais c’est toujours sympa de voir qu’Apple s’occupe de donner un peu plus de visibilité à certaines fonctions.
Bien souvent, quand on est administrateur de parc Apple, les nouveautés les plus intéressantes d’une WWDC ne sont pas celles que l’ont découvre avec tout le monde durant la conférence inaugurale, mais plutôt les petits nuggets comme j’aime à les appeler, ce qui est relégué dans d’obscures notes de développeur ou autres.
Pour ma part, j’ai noté quelques changements très bienvenus dans macOS 12 en particulier et un peu également sur iOS en lisant les Release Notes des nouvelles versions beta de macOS et iOS. Entre autres :
Effacer le contenu et les réglages débarque sur macOS !
Que je l’attendais, cette fonction qui existe depuis les débuts de l’iPhone, surtout avec l’arrivée des partitions système et données séparées avec macOS 10.15 ! Et c’est désormais possible pour les Mac équipés de co-processeur T2 ou les Mac Apple Silicon :
Cette commande lance en réalité un utilitaire appelé Erase Assistant (localisé dans /System/Library/CoreServices/), qui vous prévient que certaines données seront supprimées, et vous invitera à désactiver votre compte iCloud si nécessaire sur ce Mac, ou ici, les empreintes liées à Touch ID :
Enfin, une fois qu’on clique sur Continuer, une petite alerte, et l’obligation de saisir le mot de passe d’un compte d’administrateur (quand même).
Mine de rien, c’est un apport énorme, en particulier pour les gens qui comme moi restaurent régulièrement des Mac pour faire des tests d’intégration. Fini les 20 à 30 minutes de réinstallation !
Notez que les administrateurs qui ont enrôlé leurs postes dans un MDM pourront aussi restrreindre cette possibilité… ou la lancer à distance sur un poste via une commande MDM. Le bonheur.
L’enrôlement de n’importe quel Mac dans Apple Business Manager et Apple School Manager, enfin possible !
Ça aussi, on l’attendait énormément, surtout que la possibilité existait depuis quelques temps sur iOS. Explication : depuis quelques temps déjà, il est possible d’intégrer dans les plate-formes Apple Business Manager et Apple School Manager des appareils iOS et iPadOS, même s’ils n’avaient pas été acheté à la base dans un canal validé par Apple. Pour comprendre ce point, il faut expliquer un peu l’enrôlement automatisé d’appareils (ADE pour Automated Device Enrollment, appelé auparavant DEP). Je ne reviens pas sur les détails du DEP de l’ADE, j’ai tout expliqué en détails durant cette magnifique conférence sur le sujet lors de Command-IT en 2019.
Mais voilà. Pour intégrer un appareil dans ABM/ASM, il fallait que le poste soit acheté dans un canal validé par Apple, avec un compte d’entreprise. Ce qui pouvait être très pénible : j’ai par exemple parfois acheté des appareils qui ne pouvaient pas être enrôlés, car achetés sur mon Apple ID personnel, et non pas sur un compte d’entreprise dédié. Idem avec les appareils achetés d’occasion. Du coup, impossible de réintégrer ces appareils à posteriori dans un compte d’entreprise. Parfois fort pénible.
Il y a quelques temps (iOS 13, je crois), Apple a proposé une parade pour les appareils iOS, en permettant leur réintégration dans un compte ABM/ASM à l’aide de l’app Apple Configurator sur macOS. Et bien, désormais… on va pouvoir faire l’inverse ! Pour les appareils iOS, un effacement de l’appareil sera indispensable depuis Configurator afin de le placer en mode supervisé, avec une inscription de l’appareil avec un profil d’enrôlement spécifique. Profil qui devra être conservé durant trente jours sur l’appareil : s’il est supprimé par l’utilisateur, l’appareil sera sorti du compte ABM/ASM, mais au-delà de 30 jours, l’inscription devient définitive.
Pour macOS, il faudra lancer l’application Configurator pour iOS, s’authentifier avec un compte disposant des droits Administrateur ou gestionnaire d’enrôlement d’appareils, et scanner une image dans l’assistant macOS. Ensuite, le Mac se verra assigné un serveur MDM virtuel « Ajouté par Apple Configurator » dans ABM/ASM, et pourra enfin se voir attribué son serveur MDM définitif.
Mine de rien, là aussi, c’est un énorme pas en avant de la part d’Apple.
Les administrateurs peuvent enfin supprimer des System Extensions
Depuis quelques versions de macOS, Apple pousse les System Extensions en remplacement des extensions de noyau (Kernel Extension) pour les logiciels qui n’en ont pas vraiment besoin. De nombreux éditeurs de logiciels ont fait le saut vers les System Extensions (ou sont en train de le faire), en particulier les éditeurs de solutions antivirus ou de contrôle de traffic (VPN, firewall…).
Soyons clair : l’implémentation des System Extensions a été pour le moins chaotique, en particulier leur pendant réseau, les Network Extensions. Éditeurs pas prêts au lancement de Big Sur, gestion des autorisations par les administrateurs pour le moins foireuse sur Big Sur en raison de bugs côté Apple… Pour être clair, la gestion des System Extensions ne fonctionne bien que depuis macOS 11.3.
Et il y avait surtout une limitation très pénible. Lors de la suppression d’une System Extension, il faut absolument que cette dernière soit supprimée par l’utilisateur lui-même, et plus précisément, en supprimant l’application associée à cette System Extension. Le problème, c’est quand vous passez par exemple d’un outil de contrôle de poste à un autre : l’administrateur ne peut pas lancer un simple script pour simplement supprimer l’extension, mais doit forcément demander à un moment ou un autre l’autorisation à un compte d’administrateur local du poste de la supprimer. Ce qui peut compliquer la gestion.
Désormais, les administrateurs qui ont proprement enrôlés leurs Mac dans un MDM disposeront d’une commande supplémentaire pour supprimer les System Extensions d’une app, sans avoir besoin de demander l’autorisation d’un compte d’administrateur local. Ouf !
Des mises à jour moins lourdes !
C‘est un truc qui me rend fou (et pas que moi) : la taille des mises à jour (et leur durée d’installation, aussi), depuis Big Sur. Mais ça va peut-être changer Une info trouvée par mon inestimable Laurent Pertois à moi que j’ai : la taille des mises à jour de macOS devrait être significativement réduite dans macOS 12, jusqu’à 2 Go de réduction dixit Apple (bon, ils précisent pas de combien on part, cela dit, parce que si la mise à jour fait 10 Go mais qu’on gagne 2 Go, bon…).
Un petit pas pour l’homme, un grand pas pour la bande passante et l’espace-disque. Mais j’attends de voir, quand même.
Des fonds d’écran à la demande
Tiens, ça aussi ça m’énervait, et là aussi Apple a fait des efforts : finis les plus de 1 Go de fonds d’écran, on passe à peine à une centaine de Mo, et quand on choisit un fond qui n’est pas sur le Mac, un petit nuage à côté de son titre vous invite à le télécharger.
Une meilleure gestion des mises à jour
Dire que la gestion des mises à jour dans macOS 11 était compliquée est un euphémisme. En réalité, depuis qu’Apple a forcé le déploiement des mises à jour de macOS avec une taille de mise à jour colossale, mettre à jour son Mac n’a jamais été plus complexe. Et forcer à mettre un parc à jour encore plus ! Du coup, on saluera l’arrivée de nouvelles commandes MDM (en espérant qu’elles fonctionnent bien cette fois-ci) pour forcer les mises à jour mineures OU majeures avec un délai de grâce pour l’utilisateur. Reste à voir comment tout cela va s’articuler, mais cela reste une bonne nouvelle.
C’est tout pour le moment, mais d’ici la sortie officielle de macOS Monterey, je suis sûr que nous aurons plein d’autres petits trucs à découvrir. Stay tuned…
