Telle est la question, la question classique de nos jours, et pas du tout spécifique au monde macOS. Windows propose le même genre de stratégie alternative (avec plus ou moins les mêmes avantages et inconvénients pour chaque option).
Joindre ou ne pas joindre le service d’annuaire de l’entreprise est la question que la mobilité avant tout nous laisse en suspend.
Si vous êtes un administrateur système « à l’ancienne », habitué à machinalement joindre vos machines au domaine, le questionnement peut vous sembler étrange. Si vous êtes nouveaux dans ce monde, vous pouvez être perdu face à ces deux camps qui s’affrontent.
Essayons donc de comprendre pourquoi choisir une manière plutôt qu’une autre, à travers le prisme d’un déploiement macOS avec MDM et DEP.
Le contexte
Pour commencer cette découverte des styles de déploiement et de gestion de terminaux, nous allons commencer par quelques suppositions :
- votre société dispose de terminaux mobiles macOS qui doivent être gérés à distance ;
- votre société utilise un gestionnaire de terminaux mobiles comme Workspace ONE UEM ou JAMF pour gérer ces macOS ;
- votre société dispose d’un service annuaire tel qu’Active Directory ;
- votre société utilise le programme d’enrôlement des terminaux DEP d’Apple pour fluidifier le déploiement des Mac.
Pour être honnête, cette liste est plus que de simples suppositions, s’il vous manque un de ces points, c’est que quelque chose est mal fait…
On vous donne donc la tâche de gérer les équipements macOS dans ce contexte et vous donne ainsi pleine latitude du choix des scénarios . Aucune contrainte du genre « fait comme on a toujours fait ».
Les pièges à éviter
MDM actif au niveau utilisateur
Ce niveau fonctionnel (MDM enabled user en anglais) est quelque chose que vous souhaitez même si vous ne le savez pas.
Quand un Mac est géré par un MDM, il dispose de deux niveaux de gestion :
- système ;
- utilisateur(s).
Le niveau système appliquera les réglages tels que la gestion d’énergie.
Les niveaux utilisateurs seront quant à eux impératifs pour la gestion des e-mails, des certificats utilisateurs ou encore des préférences d’identités pour l’authentification automatisée (SSO).
Pour comprendre ce concept, vous pouvez imaginer chaque niveau comme des boites, les applications ne pouvant accéder qu’aux réglages de la boite actuelle et des boites parentes.
Chaque contexte dispose d’un jeton de notification (MDM Push Token) permettant au gestionnaire de terminaux de cibler des commandes ou des configurations. Ainsi, les applications d’Alice peuvent accéder aux réglages du domaine bleu (celui d’Alice) et violet (celui du système), mais pas du domaine orange (celui de Bob).
FileVault et APFS
FileVault est une très bonne technologie permettant un chiffrement complet du stockage et sans perte de performance, disponible sur tous les Mac. Le produit fonctionne très bien et apporte un très haut niveau de sécurité.
Avec APFS, Apple a « amélioré » FileVault pour le rendre encore plus sur, mais moins simple à gérer.
Quand FileVault est actif, une fenêtre d’ouverture de session « pré démarrage » de la machine est affichée, juste après l’allumage électrique, avant même que le système ne soit chargé. Cette fenêtre d’ouverture de session ne présente que les utilisateurs activés pour FileVault.
Avant APFS, l’utilisateur root était capable d’autoriser directement un utilisateur au démarrage FileVault. Avec APFS, seulement un administrateur entrant son mot de passe sur le terminal peut autoriser un nouvel utilisateur. Seul le tout premier utilisateur local ouvrant la session est activé automatiquement. Tous les autres devront être approuvés par un utilisateur administrateur du poste et actif pour FileVault.
Les deux scénarios
Se joindre au domaine
Dans ce scénario, l’équipe IT se charge de la configuration de la machine en passant l’assistant de configuration, en enrôlant la machine au MDM avec l’aide du DEP, et ne crée aucun compte sur la machine (le compte administrateur managé étant automatiquement créé par le MDM). Le MDM se charge ensuite de déployer les réglages machines dont la connexion au service d’annuaire de l’entreprise. Enfin, le catalogue logiciel démarre et installe toutes les applications standard de l’entreprise (possiblement depuis la fenêtre d’ouverture de session si ce dernier est configuré correctement).
Lors de la première connexion de l’utilisateur final à la machine, le service d’annuaire devra donc être disponible (c’est à dire, le Mac connecté au réseau interne de l’entreprise depuis la fenêtre d’ouverture de session). Une fois connectée, l’identité de l’utilisateur fournie par l’annuaire sera mise en cache et disponible pour une ouverture de session en mobilité.
À chaque ouverture d’une session réseau sur le Mac, la fenêtre d’ouverture de session contactera le MDM pour fournir un jeton de notification géré pour le nouvel utilisateur. Permettant ainsi au MDM de savoir qui utilise actuellement la machine et d’y pousser du contenu et des réglages.
Une chose importante ici, l’identité utilisée ici par la personne sur le poste et l’identité d’entreprise. Quand l’utilisateur changera son mot de passe, le service d’annuaire devra être joignable, et tous les services connectés au même domaine profiteront du changement de mot de passe (le VPN, les e-mails, le partage de fichiers, etc.). C’est réellement la même identité utilisée de partout.
Cela entend donc que la stratégie de complexité des mots de passe est gérée par l’annuaire.
Pour activer un utilisateur de l’annuaire à démarrer le Mac avec FileVault, un admin local au poste devra autoriser manuellement la personne.
Pour réutiliser la machine pour un nouvel utilisateur, il suffira :
- d’ouvrir la session depuis le réseau interne ;
- d’activer FileVault ;
- et éventuellement de supprimer l’ancien utilisateur.
Ne pas se joindre au domaine
Dans ce scénario, l’utilisateur final fera la configuration initiale. L’équipe IT ne peut pas être en capacité de le faire.
Durant l’assistant de configuration, le profil DEP assigné demandera l’authentification de l’utilisateur final pour enrôler la machine au MDM. Cette étape permet l’enrôlement au MDM et l’association de l’utilisateur cible.
C’est pourquoi l’IT ne peut pas faire cette opération pour l’utilisateur final (et non, l’IT ne doit pas connaitre le mot de passe de l’utilisateur, même s’il le change ensuite. Au besoin, demandez à votre département juridique et ressource humaine pourquoi).
Une fois l’enrôlement autorisé, l’assistant de configuration permettra de créer la session locale de l’utilisateur. Cette session créée durant la configuration initiale du Mac sera la seule active pour le MDM. Le jeton de notification pour cette session locale sera associé à l’utilisateur précédemment authentifié par DEP.
Une fois cette session créée, aucune autre ne pourra jamais être active au niveau du MDM. Vous pourrez créer d’autres sessions locales, mais aucune ne sera gérée par le MDM.
Quand l’assistant de configuration est terminé, la session ainsi créée sera automatiquement ouverte et le catalogue d’application commencera à installer les logiciels de l’utilisateur. Il est recommandé d’utiliser un outil comme DEPNotify pour ajouter un nouveau panneau de type « configuration en cours » afin d’éviter des demandes de support des utilisateurs par ce que Slack n’est pas présent sur leur poste…
FileVault sera automatiquement actif pour cet utilisateur.
Ici, le compte utilisateur est local, lié à l’identité d’annuaire du point de vue du MDM, mais en aucun cas synchronisé. Les identifiants et mots de passe peuvent être différents.
Des produits additionnels comme Enterprise Connect (d’Apple, accessible uniquement via les Apple Professional Services) ou JAMF Connect (connu précédemment sous le nom de NoMAD) permettront d’aider à synchroniser les identités en vérifiant par exemple que les mots de passe sont les mêmes, mais uniquement après le changement du mot de passe.
Les stratégies de complexité du mot de passe de l’utilisateur local seront gérées par le MDM.
Réutiliser la machine pour un autre utilisateur imposera d’effacer le terminal et réinstaller macOS.
Dessine-moi un déploiement
Reprenons les mêmes informations, mais autour d’une ligne d’opérations :
Conclusion
Il est impossible de dire « A est mieux que B », mais il est cependant possible d’extraire des axiomes de base :
- ne pas se connecter à l’annuaire impose d’effacer la machine pour l’allouer à un autre utilisateur ;
- ne pas se connecter à l’annuaire impose de s’authentifier comme utilisateur final durant l’assistant de configuration, ce qui ne peut être fait par l’IT ;
- se connecter à un annuaire est impératif pour un Mac utilisé par plusieurs utilisateurs ;
- se connecter à un annuaire est impératif pour préparer totalement la machine avant sa distribution (et même son assignation à un utilisateur) ;
- il est plus simple de déployer FileVault quand la machine n’est pas connectée à un domaine.
En plus de cet article, vous trouverez une liste des fonctionnalités disponibles sur la MacAdmins Community Documentation.