macOS Monterey mit nur einem Klick neu installieren
Es ist wichtig, aus der Geschichte zu lernen.
- Apple hat in den letzten 10 Jahren einen einjährigen Veröffentlichungszyklus für sein Mac Betriebssystem eingehalten. Mac OS X Lion (10.7) wurde 2011 veröffentlicht und seitdem gibt es jedes Jahr eine neue Hauptversion.
- Im Laufe dieser 10 Jahre ist auch der Umfang der Installationsprogramme des Mac Betriebssystems erheblich gewachsen. Der OS X Lion 10.7 Installer war etwa 4,72 GB groß. Das neueste macOS Monterey 12.0.1 Installer wiegt etwa 12 GB und ist damit fast dreimal so groß.
- Das heutige macOS ist zunehmend durch Malware und bösartige Akteure bedroht. Herkömmliche Malware wie Viren und Würmer sind nach wie vor minimal bis gar nicht vorhanden. Laut einem Bericht von USA Today haben sich die Bedrohungen durch gewinnorientierte Malware, die in Apps oder korrumpierten Downloads versteckt ist, im Jahr 2019 jedoch vervierfacht.
Was lehrt uns das als Administratoren?
- Apple arbeitet intensiv an der Aktualisierung seines Mac Betriebssystems. Das ist keine neue oder veränderte Verhaltensweise. Es ist ein bewährtes Muster, das seit einem Jahrzehnt existiert. Administratoren sollten nicht überrascht oder unvorbereitet sein, wenn jedes Jahr eine neue Version von macOS erscheint.
- Mit der zunehmenden Größe des macOS Installers wächst auch die Komplexität der Bereitstellung exponentiell. Das Herunterladen eines Installers dauert heute dreimal so lange wie früher, und der Speicherplatz auf den Mac-Endgeräten ist dreimal so groß wie früher, und die Ausführung erfordert dreimal so viel Arbeitsspeicherplatz. Und obwohl die Installationszeit mit 20 bis 50 Minuten relativ konstant geblieben ist, ist der Upgrade-Prozess immer noch langwierig.
- Und ein großer Teil der Aggressivität bei den jährlichen Aktualisierungen ist darauf zurückzuführen, dass Apple mit der wachsenden Bedeutung des Unternehmens in der Welt immer mehr Wert auf Datenschutz und Sicherheit legt. Macs, deren Fußabdruck heute doppelt so groß ist wie vor 10 Jahren, sind ein größeres Ziel für Spyware und Ransomware.
Große macOS Upgrades sind wichtig, denn jedes neue Upgrade bringt nicht nur neue Funktionen, sondern auch mehr Sicherheit und einen besseren Datenschutz für Endbenutzer. Sie müssen jedoch sorgfältig geplant und getestet werden, bevor sie unternehmensweit bereitgestellt werden.
Wir haben diesen Blogbeitrag in den letzten Jahren bei jedem neuen Upgrade aktualisiert. Machen wir weiter mit Apples neuestem Upgrade Monterey.
Von Anfang an
Das Löschen und Neuinstallieren eines frischen macOS ist heute ein gängiger Workflow für die Wiederherstellung von Macs für andere Benutzer, andere Zwecke oder einfach für einen Neuanfang. Apple begann mit der Einführung dieser Tools in seinem macOS High Sierra 10.13.4 Installer, und der Prozess hat sich bis Monterey weiterentwickelt und verbessert.
Im vergangenen Jahr hat sich viel geändert. Nehmen wir uns etwas Zeit, um neuere Möglichkeiten zur Verwaltung von Monterey-Installationen zu erörtern, darunter Folgendes:
- Begrenzen von Installationen
- Bereitstellen des macOS Installers
- Macs ermitteln, die für das Löschen und Installieren sowie für ein Upgrade infrage kommen
- Ausführen des macOS Installers aus der Ferne
- Neu – Alle Inhalte und Einstellungen löschen
Begrenzen von Installationen
Nicht jeder Administrator ist bereit, Monterey zu unterstützen, aber manchmal kommen unsere Endbenutzer uns zuvor und installieren es selbst. Welche Schritte können wir unternehmen, um zu verhindern, dass unsere Endbenutzer eine neue Hauptversion von macOS installieren? Denken Sie daran, dass Endbenutzer den Installer erwerben und auf verschiedene Arten ausführen können. Das bedeutet in der Regel, dass wir mehr als nur einen Schritt machen müssen.
„Machen Sie das nicht“
Die einfachste Methode, um unerwünschte Installationen zu verhindern, besteht darin, den Endbenutzern die Richtlinie Ihres Unternehmens mitzuteilen, die besagt: „Installieren Sie keine größeren macOS Upgrades, es sei denn, diese wurden von der Informationstechnologie genehmigt“. Achten Sie darauf, dass die IT-Abteilung ihre Haltung bei Nicht-Compliance klar zum Ausdruck bringt.
Dies verhindert in keiner Weise, dass es trotzdem geschieht, aber es macht die Autorität geltend, ohne irgendwelche Privilegien zu beseitigen. Je nach Organisation kann dies ausreichend sein.
Ignorieren ist nicht länger eine Option
Lassen Sie uns zunächst über die Option --ignore als Teil des softwareupdate-Befehls sprechen, die wir in der Vergangenheit zum Ausblenden von macOS Aktualisierungen verwendet haben. In macOS Catalina 10.15 sah es ungefähr so aus:
Ab macOS Big Sur 11.0 ist diese Option nicht mehr verfügbar.
Die einzigen Optionen, die ein Administrator heute hat, um Monterey vor Macs zu verstecken, sind das Deaktivieren der automatischen Suche nach Software-Aktualisierungen und das Verhindern, dass Endbenutzer manuell nach Aktualisierungen suchen. Bitte beachten Sie, dass dies einen Endnutzer nicht daran hindert, den Monterey Installer auf andere Weise herunterzuladen und zu installieren. Administratoren können immer noch Befehle von Jamf Pro ausführen, um verfügbare Updates abzurufen und sie zu installieren.
So deaktivieren Sie die automatische Suche nach Software-Aktualisierungen:
- Wählen Sie in Jamf Pro Computer > Konfigurationsprofile und klicken Sie auf „Neu“, um ein neues Profil zu erstellen.
- Geben Sie in der allgemeinen Payload einen Namen wie „Automatische Software-Aktualisierungen deaktivieren“ an.
- Scrollen Sie in der Liste der Payloads nach unten zu „Software-Update“ und klicken Sie auf „Konfigurieren“.
- Deaktivieren Sie die Option „Automatisch nach Aktualisierungen suchen“, aber erwägen Sie, auch alle anderen damit verbundenen Optionen zu deaktivieren.
- Definieren und speichern Sie das Profil, um es bereitzustellen.
Dieses Profil allein reicht nicht aus, um Endbenutzer daran zu hindern, den Bereich „Software-Update“ in den Systemeinstellungen manuell zu öffnen und nach Aktualisierungen zu suchen. Wir müssen den Zugriff auf den Bereich „Software-Update“ explizit verweigern.
Wenn Sie bereits ein Konfigurationsprofil mit einer Payload für Einschränkungen bereitstellen, können Sie dieses Profil bearbeiten und Voreinstellungen > Ausgewählte Elemente deaktivieren > Software-Update wählen. Wählen Sie beim Speichern die Option zur Bereitstellung auf allen Computern.
Das Konfigurationsprofil für Computereinschränkungen wurde noch nicht modernisiert, d. h., es werden möglicherweise mehr Einstellungen bereitgestellt, als Sie wünschen. Um diese Einstellung selbst bereitzustellen, verwenden Sie die benutzerdefinierte Manifestfunktion von Jamf Pro.
- Kopieren Sie das Manifest macOS Disabled System Preference Panes.json von GitHub.
- Wählen Sie in Jamf Pro Computer > Konfigurationsprofile und klicken Sie auf „Neu“, um ein neues Profil zu erstellen.
- Geben Sie einen Namen an, z. B. „Fenster für Software-Update deaktivieren“.
- Scrollen Sie in der Liste der Payloads nach unten zu „App und Einstellungen“ und klicken Sie auf „Externe Apps“.
- Klicken Sie auf „Hinzufügen“.
- Setzen Sie die Quelle auf „Benutzerdefiniertes Schema“.
- Stellen Sie die Einstellungsdomäne auf „com.apple.systempreferences“.
- Klicken Sie auf die Schaltfläche „Schema hinzufügen“ und fügen Sie den kopierten Text des Manifests von GitHub im Feld „Benutzerdefiniertes Schema“ ein. Klicken Sie auf „Speichern“.
- Geben Sie im Feld Systemeinstellungsfenster Identifikator 1 „com.apple.preferences.softwareupdate“ ein.
- Definieren und speichern Sie das Profil, um es bereitzustellen.
Nach der Installation des Profils wird das Fenster „Software-Update“ abgeblendet und ist für alle Benutzer eines Macs unzugänglich. Wenn vor der Installation des Profils ein Update erkannt wurde, wird auf dem Symbol ein Warnzeichen angezeigt.
Verwenden Sie die Funktion „Eingeschränkte Software“ von Jamf Pro
Administratoren können die Funktion "Eingeschränkte Software" unter Computer in Jamf Pro konfigurieren, um Benutzer vor der Ausführung des Monterey Installers zu warnen oder diese zu verhindern. Diese Funktion kann auf verschiedene Weise genutzt werden, unabhängig davon, ob es sich bei dem Endnutzer um einen Standardbenutzer oder einen Admin-Benutzer handelt.
1. Einschränkung nach App-Namen und Warnung des Endbenutzers.
Auch dies wird die Installation von Monterey durch die Endbenutzer nicht vollständig verhindern, aber wir können sie und uns per E-Mail warnen, wenn sie versuchen, die Software zu installieren. Dies warnt nicht vor Versuchen, unterstützte Versionen von macOS wie z. B. Big Sur zu installieren.
2. Einschränkung der Verwendung des InstallAssistant-Prozesses und Warnung des Endbenutzers.
Eine Alternative zur Einschränkung des App-Namens, den der Endbenutzer ändern kann, ist die Einschränkung des InstallAssistant-Prozessnamens. Dies ist der Name des Prozesses, der ausgeführt wird, wenn Sie auf einen beliebigen macOS Installer doppelklicken und Fenster angezeigt werden, die den Prozess steuern. Dies wird nichts bewirken, wenn der Installer mit dem Befehlszeilentool „startosinstall“ ausgeführt wird.
3. Einschränkung mithilfe des App-Namens und Beenden des Prozesses.
Diese Methode ähnelt der ersten, enthält aber die Option „Prozess beenden“. Anstatt dem Endbenutzer die Fortsetzung der Installation zu ermöglichen, beendet Jamf Pro den Installer innerhalb weniger Sekunden. Wenn Sie die Option „App löschen“ hinzufügen, wird die Anwendung sofort gelöscht und der Papierkorb umgangen.
Wenn Sie eine Einschränkung anhand des App-Namens vornehmen, sollten Sie beachten, dass der Endbenutzer das Installationsprogramm einfach umbenennen und die Einschränkung umgehen kann.
4. Einschränken mithilfe des Prozessnamens von InstallAssistant und Beenden des Prozesses.
Diese Methode ähnelt der zweiten, enthält jedoch die Option „Prozess beenden“ und könnte die Option „App löschen“ enthalten. Es verhindert, dass ein macOS Installer bei einem Doppelklick ausgeführt wird, einschließlich Monterey, Big Sur etc.
Aufschiebung größerer oder kleinerer Aktualisierungen um bis zu 90 Tage
Wie beim Ignorieren von Aktualisierungen erlaubt Apple das Aufschieben von Aktualisierungen bis zu 90 Tage nach ihrer ursprünglichen Veröffentlichung (nicht wenn der Mac die Aktualisierungen zum ersten Mal sieht). Aktualisierungen während dieser Zeit werden weder in den Systemeinstellungen im Bereich „Software-Update“ noch beim Ausführen des Softwareupdate-Befehlszeilentools angezeigt. Mit den Befehlen von Jamf Pro können sie jedoch weiterhin installiert werden.
Macs mit macOS High Sierra 10.13 und später unterstützen die Aufschiebung von Aktualisierungen. Macs mit macOS Big Sur 11.3 und später unterstützen das Aufschieben von größeren und kleineren Aktualisierungen – gerade noch rechtzeitig vor dem Release von macOS Monterey.
Was bedeutet das?
macOS Big Sur 11.3 und spätere Versionen bieten zwei Arten von Aktualisierungen zur Installation an – größere Upgrades und kleinere Aktualisierungen. Wenn sowohl macOS Monterey 12.0.1 als auch macOS Big Sur 11.6.1 verfügbar sind, überlässt Apple dem Administrator oder dem Endnutzer die Entscheidung, was er installieren möchte.
Darüber hinaus können Administratoren, die Jamf Pro 10.32 und höher einsetzen, auswählen, welche der aktualisierten Payload für Einschränkungen den Endnutzern in den Computerkonfigurationsprofilen angezeigt werden. Sie können beispielsweise ihren Macs erlauben, die kleinere Big Sur 11.6.1-Aktualisierung anzuzeigen, aber das größere Monterey-Upgrade auszublenden.
Zum Festlegen von Aufschiebungen für größere Upgrades, kleinere Aktualisierungen oder beides:
- Wählen Sie in Jamf Pro Computer > Konfigurationsprofile aus.
- Erstellen Sie ein neues Konfigurationsprofil und fügen Sie die Payload für Einschränkungen hinzu oder bearbeiten Sie ein vorhandenes Profil, das bereits eine Payload für Einschränkungen enthält.
- Scrollen Sie in der Registerkarte „Funktionalität“ bis zum Ende der Seite und aktivieren Sie „Aktualisierungen aufschieben“.
- Wählen Sie über das Menü aus, alle Aktualisierungen, größere Aktualisierungen, kleinere Aktualisierungen oder Nicht-OS-Aktualisierungen wie Safari aufzuschieben.
- Definieren und speichern Sie das Profil, um es bereitzustellen.
Die Aufschiebung von Aktualisierungen ist der von Apple bevorzugte Ansatz für Administratoren, um verfügbare Upgrades und Aktualisierungen zu verwalten. Neben den Betatests haben Organisationen viel Zeit, um zu prüfen, ob ihre Umgebungen eine neue macOS Version unterstützen, oder mit Softwareanbietern zusammenzuarbeiten, um Aktualisierungen bereitzustellen.
Jede Organisation mit einem Apple Business Manager- oder Apple School Manager-Konto hat Zugang zu AppleSeed, Apples Beta-Softwareprogramm für IT, mit dem Administratoren Beta-Versionen neuer Software-Aktualisierungen vor der Veröffentlichung testen können. Beta-Versionen laufen in der Regel mindestens zwei Monate vor dem allgemeinen Release. Die Beta-Phase und die 90-tägige Aufschiebungsfrist geben den Administratoren zusammen etwa fünf Monate Zeit, um die Software zu testen, bevor sie in ihrer Umgebung bereitgestellt wird.
Entfernen von Administratorrechten
Wer auf einem Mac über Administratorrechte verfügt, kann praktisch alles tun, einschließlich der Installation eines Betriebssystems. Die grundlegendste Maßnahme, die wir ergreifen können, besteht darin, den Endnutzern die Administratorrechte zu entziehen und sie zu verpflichten, Self Service für die Ausführung der von uns erlaubten Richtlinien zu verwenden.
Das Entfernen von Administratorrechten führt jedoch dazu, dass Ihre Endbenutzer stark von der IT-Verwaltung abhängig sind.
Festlegen eines Firmware- oder Recovery Lock-Passworts
Das Festlegen eines Firmware-Passworts auf Intel Macs oder eines Recovery Lock-Passworts auf Apple Silicon Macs verhindert, dass jemand ohne das Passwort auf die Recovery HD booten, das vorhandene Betriebssystem löschen und ein neues macOS installieren kann. Da dies auf der Hardware-Ebene geschieht, kann niemand ohne das Passwort installieren oder aktualisieren.
Der Nachteil beim Festlegen eines Passworts auf Hardwareebene ist, dass ein Mitarbeiter des technischen Supports, der einem Remote-Benutzer hilft, dieses Passwort möglicherweise an den Endbenutzer weitergeben muss. Vergewissern Sie sich, dass jeder Mac über ein eindeutiges Passwort verfügt, mit dem kein anderer Computer entsperrt werden kann.
Administratoren können während der automatischen Geräteanmeldung für Apple Silicon Macs mit Jamf Pro 10.32 automatisch ein Recovery Lock-Kennwort festlegen und das Kennwort bei der Anzeige in Jamf Pro 10.33 und höher automatisch drehen.
Sie müssen ein Gleichgewicht zwischen der Beschränkung des Zugriffs auf den Monterey Installer und der Notwendigkeit finden, es selbst zu installieren. So können sie z. B. die Ausnahmeregelungen des Scoping nutzen, um eine Beschränkung ihrer eigenen Prüfgeräte zu vermeiden.
Bereitstellen des macOS Installers
Bevor wir den macOS Installer bereitstellen können, müssen wir es erwerben. Laut Mr. Macintosh, einem großartigen Blog mit Schwerpunkt auf Mac-Installationen, -Upgrades und -Aktualisierungen, gibt es acht Möglichkeiten, vollständige Installer herunterzuladen. Wir behandeln hier nur einige.
Bereitstellung mithilfe von softwareupate
In der Vergangenheit haben wir Apples Option --fetch-full-installer im Befehl softwareupdate besprochen.
Es hat den Vorteil, dass es sich um einen kleinen und leichten Befehl handelt, den wir an unsere Macs senden können, um den Installer selbst abzurufen – das funktioniert hervorragend mit lokalen Content-Caching-Servern. Und seine Zuverlässigkeit hat sich im vergangenen Jahr erheblich verbessert.
Hinweis: Wir brauchen keinen speziellen Server für das Caching von Inhalten, um eine große Gruppe von Macs in einem Raum oder einem Gebäude zu aktualisieren. Konfigurieren Sie einen oder einige der leistungsstärksten Mac-Arbeitsplätze als Caching-Server, indem Sie „Inhaltscaching“ im Bereich „Freigabe“ der Systemeinstellungen aktivieren. Führen Sie den Befehl softwareupdate manuell auf einem anderen Mac aus, um den Cache des Servers „aufzuwärmen“ (um den Installer vorzeitig herunterzuladen). Später ziehen die übrigen Macs automatisch von diesem Server und nicht mehr aus dem Internet.
Neu bei macOS Big Sur 11.3 ist die Fähigkeit, verfügbare Installer abzurufen, die bis macOS Mojave 10.14.6 zurückreichen. Terminal öffnen und ausführen:
Das Ergebnis sieht dann etwa so aus:
Software Update found the following full installers: * Title: macOS Monterey, Version: 12.0.1, Size: 12128428704K * Title: macOS Big Sur, Version: 11.6.1, Size: 12428472512K * Title: macOS Big Sur, Version: 11.6, Size: 12428553042K * Title: macOS Big Sur, Version: 11.5.2, Size: 12440916552K * Title: macOS Big Sur, Version: 11.5.1, Size: 12440158909K * Title: macOS Catalina, Version: 10.15.7, Size: 8248985973K * Title: macOS Catalina, Version: 10.15.7, Size: 8248854894K * Title: macOS Catalina, Version: 10.15.6, Size: 8248781171K * Title: macOS Mojave, Version: 10.14.6, Size: 6038419486K
Um einen der älteren vollständigen Installer herunterzuladen, fügen Sie die Option --full-installer-version mit der gewünschten macOS Version hinzu. Um zum Beispiel den Installer für macOS Big Sur 11.5.1 zu erhalten, führen Sie aus:
Beachten Sie, dass dieser Listenbefehl nur auf Big Sur 11.3 und höher läuft, aber Sie können zumindest ältere Installationsprogramme für Macs abrufen, die Sie nicht aktualisieren wollen oder können, und diese dann zu Jamf Pro hinzufügen.
Bereitstellung über Volumenkauf
Die App „macOS Monterey installieren“ ist unter „Apps und Bücher“ verfügbar, wenn Sie entweder den Apple Business Manager oder den Apple School Manager anzeigen, und kann wie andere Mac Apps aus dem App Store bereitgestellt werden. Das bedeutet, dass wir keine unhandlichen Pakete auf unsere Distributionspunkte hochladen oder neue Versionen verwalten müssen, wenn sie veröffentlicht werden. Suchen Sie nach „macOS Monterey“ und weisen Sie Ihrem Jamf Pro Server Lizenzen zu.
Dies funktioniert zwar gut, hat aber einen großen Nachteil. Es wird das heruntergeladen, was manche Leute als „Stub“-Installer bezeichnen. Es handelt sich nicht um einen vollständiges Installer, sondern um die gleiche App ohne die 12 GB große SharedSupport.dmg im App-Paket. Nach einem Doppelklick oder der Ausführung mit dem Befehlszeilentool „startosinstall“ (wird etwas später besprochen) muss der Mac mit dem Internet verbunden sein, damit die restlichen Dateien heruntergeladen werden, die zur Fertigstellung benötigt werden. Je nach Geschwindigkeit der aktuellen Internetverbindung kann dies eine Verzögerung von 10, 20, 30 Minuten oder mehr bedeuten, bevor die Installation überhaupt beginnt.
Diese Art der Bereitstellung eignet sich am besten für unbeaufsichtigte Macs, wie z. B. in Schulräumen, die über Nacht stehen bleiben können, und funktioniert gut mit Content-Caching-Servern, um die Bereitstellung zu beschleunigen. Wenn Sie es mit Heimanwendern oder solchen, die den Installer selbst über eine Anwendung wie Self Service aufrufen, verwenden, sollten Sie sie darauf hinweisen, dass sie ihre Macs nicht in den Ruhemodus versetzen dürfen, dass sie sie am Stromnetz angeschlossen lassen sollen und dass sie Zeit für den Abschluss der Installation benötigen.
Herunterladen und Verpacken vermeiden
In der Vergangenheit haben wir darüber gesprochen, den Mac App Store zu nutzen, um den macOS Installer herunterzuladen und ihn dann mit speziellen Tools zu verpacken, die mit der größeren Größe der Datei umgehen können. (Jamf Composer kann zum Beispiel ein DMG, aber kein PKG eines macOS Installers erstellen.)
Da der Installer jedoch vom ursprünglichen System auf neue Systeme kopiert wird, erfordert die Gatekeeper-Funktion von Apple, dass die App beim ersten Start gescannt wird. Das dauert mehrere Minuten und verzögert den Installer.
Neue Open-Source-Community-Tools, die im letzten Jahr eingeführt wurden, machen diesen Prozess viel einfacher und schneller. Vermeiden Sie das Verpacken Ihrer eigenen macOS Installer und verwenden Sie stattdessen die Community-Tools.
Herunterladen eines Installationspaketes von Apple
Im vergangenen Jahr hat Armin Briegel, der Scripting OS X betreut, ein Skript bereitgestellt, mit dem man nicht nur zuverlässig den neuesten Big Sur Installer erwerben, sondern es auch im PKG-Format herunterladen kann, um es im Ordner „Apps“ bereitzustellen.
Sein Tool mit der Bezeichnung fetch-installer-pkg.py ist ein Python-Skript, das auf die Software-Update-Server von Apple zugreift und das gleiche Paket herunterlädt, das auch der integrierte Software-Update-Service des Macs verwenden würde. Sie finden es auf Armins GitHub-Repository.
Mittlerweile hat er den Download Full Installer entwickelt, eine App, die viel einfacher zu bedienen ist. Folgen Sie dem Link in seinem Blogbeitrag, um die Datei „Download.Full.Installer-v1.1.1.zip“ aus seinem GitHub-Repository herunterzuladen, und führen Sie die App einfach aus. Klicken Sie auf den Pfeil neben dem gewünschten Installer, Big Sur oder Monterey. Einfacher geht es nicht mehr.
Wenn der Vorgang abgeschlossen ist, laden Sie das InstallAssistant-Paket direkt in Jamf Pro hoch und stellen es mithilfe einer Richtlinie auf Ihren Macs bereit. Gerne können Sie die Paketdatei vor dem Hochladen umbenennen.
Wenn wir bereit sind, den Installer mit einer dieser Methoden bereitzustellen, müssen wir sicherstellen, dass dies erfolgreich geschieht. Betrachten wir als Nächstes die Installationsanforderungen von Monterey.
Macs ermitteln, die für das Löschen und Installieren in Frage kommen
Bevor wir den Installer für das Löschen und Installieren unserer Macs oder sogar für ein Upgrade ausführen, müssen wir zunächst feststellen, welche Macs die Systemanforderungen von Apple erfüllen. Apple hat in diesem Jahr außer den Mindestanforderungen an die unterstützte Hardware nicht viel über die technischen Anforderungen für Monterey veröffentlicht. Die folgenden allgemeinen Anforderungen basieren auf diesen Mindestanforderungen an die Hardware.
Allgemeine Anforderungen
- OS X Yosemite 10.10 oder höher (auf der Grundlage der minimal unterstützten Hardware)
- 8 GB Speicherplatz (auf der Grundlage der minimal unterstützten Hardware)
- 26 GB freier Speicherplatz für macOS Sierra 10.12 oder höher oder 44 GB für Yosemite und macOS El Capitan 10.11 (einschließlich zusätzlicher 13 GB zum Speichern des Installationsprogramms)
Hardware-Anforderungen
- MacBook (Anfang 2016 und später)
- MacBook Air (Anfang 2015 und später)
- MacBook Pro (Anfang 2015 und später)
- Mac mini (Ende 2014 und später)
- iMac (Ende 2015 und später)
- iMac Pro (2017 und später)
- Mac Pro (2013 und später)
Mit Monterey kompatibler Mac (Smart Computer Group)
Wir erstellen eine neue dynamische Computergruppe zur Identifizierung der infrage kommenden Macs und nennen sie „Mit macOS Monterey kompatible Macs“. Da Apple keine Mindestanforderungen für den Arbeitsspeicher oder die macOS Version angegeben hat, setzen wir voraus, dass die Basisspezifikationen für jedes Modell diese Anforderungen erfüllen, und lassen dieses Kriterium außen vor. Gehen wir davon aus, dass wir 13 GB Speicherplatz benötigen, um das Installationsprogramm zu speichern, und zusätzliche 26 GB, um es auszuführen (aufgerundet auf 40 GB).
Wir fügen die folgenden Kriterien hinzu:
Boot Drive Available MB more than 40000 and Model Identifier matches regex
Wir müssen anhand der Modellkennung (Model Identifier) der Macs feststellen, welche Modelle laut Apple für die Installation von Monterey infrage kommen. Das sind fast 50 Modelle. Anstatt unsere Smart Computer Group mit fast 50 Zeilen von Kriterien aufzublähen, können wir einen regulären Ausdruck (oder Regex) verwenden, um sie zu identifizieren. Mit Regex können wir ein Muster erstellen, mit dem bestimmte Zeichenfolgen wie etwa Modellkennungen abgeglichen werden können. Diese eine Textzeile passt zu allen infrage kommenden Modellen, einschließlich der bisher im Jahr 2021 eingeführten. Kopieren Sie den Befehl und fügen Sie ihn in der oben genannten dynamischen Computergruppe in das Wertefeld für das Modellkennungskriterium ein.
(MacBook(10|9)|MacBookAir(10|[7-9])|Macmini[7-9]|MacPro[6-7]|iMacPro1|iMac(1[6-9]|2[0-2])),\d|MacBookPro1(1,[45]|[2-8],\d)
Prüfen Sie nach dem Speichern die korrekte Funktionsweise der Computergruppendefinition durch Klicken auf die Taste „View“.
macOS Monterey.app im Cache installieren (Smart Computer Group)
Wenn wir schon dabei sind, lassen Sie uns eine zweite Smart Computer Group mit dem Namen „macOS Monterey.app im Cache installieren“ erstellen und die folgenden Kriterien hinzufügen:
Application Title is Install macOS Monterey.app and Application Version like 17.0
Damit können wir Macs identifizieren, auf denen sich die Installer-App von Monterey bereits im Ordner „Programme“ befindet, um ein erneutes Herunterladen von Jamf Pro zu verhindern. Achten Sie darauf, die aktuelle Version des Installationsprogramms herunterzuladen, indem Sie sie auswählen und den Befehl Ablage > Informationen wählen.
Intel und Apple Silicon Macs (Smart Computer Group)
Zwei weitere Smart Groups, die uns für die nächsten Jahre nützlich sein werden, helfen uns, zwischen den älteren Intel- und den neueren Apple-Silicon-Architekturen zu unterscheiden.
Wir erstellen eine neue Smart Computer Group mit dem Namen „Intel Macs“ zur Identifizierung von Macs.
Wir fügen die folgenden Kriterien hinzu:
Apple Silicon is No
Wir erstellen eine zweite Smart Computer Group mit dem Namen „Apple Silicon Macs“, um Macs mit M1-Chip zu identifizieren.
Wir fügen die folgenden Kriterien hinzu:
Apple Silicon is Yes
Nach der Identifizierung der Macs, die bereit für Monterey sind, und der Erstellung von Gruppen zur Unterscheidung zwischen den beiden Mac-Architekturen wenden wir uns nun den Methoden zur Ausführung des Installationsprogramms zu.
Verwendung des Monterey Installers zum Löschen und Installieren (oder nicht)
Heute gibt es drei Überlegungen zur Ausführung des Monterey Installers:
- Intel Macs
- Apple Silicon Macs mit Big Sur oder früher
- Macs mit Intel T2-Chip und Apple Silicon Macs mit Monterey
Intel Macs
In den meisten Fällen ändert sich am Workflow des Löschens und Installierens für Intel Macs mit und ohne T2-Sicherheitschip wenig. Wir können immer noch „startosinstall“ verwenden.
Das Befehlszeilentool „startosinstall“ befindet sich im Paket Install macOS Monterey.app. Es bewirkt dasselbe wie ein Doppelklick auf die Installer-App, ohne dass eines der Dialogfelder und Fenster angezeigt wird. Außerdem bietet es den Vorteil, dass es auch dann funktioniert, wenn der InstallAssistant-Prozess durch Softwareeinschränkungen blockiert wurde. Zudem kann es als Teil eines Skripts oder einer Jamf Pro-Richtlinie (optional über Self Service) aufgerufen werden.
Um das Befehlszeilentool zu finden, klicken Sie mit der rechten Maustaste oder bei gedrückter Ctrl-Taste auf die App „macOS Monterey installieren“ und wählen Sie Paketinhalt anzeigen > Inhalt > Ressourcen. Suchen Sie die Datei startosinstall, ziehen Sie sie in ein Terminal-Fenster und fügen Sie --usage an.
Dadurch werden verschiedene Argumente (die jeweils mit zwei Strichen eingeleitet werden) aufgeführt und deren Funktion erläutert. Wir möchten einige oder alle der folgenden verwenden:
- --eraseinstall — die Option, die die Magie des Löschens und Installierens bewirkt
- --agreetolicense – dieses Argument ist erforderlich, damit der Vorgang vollautomatisch abläuft
- --forcequitapps – verhindert, dass laufende Apps die Installation beeinträchtigen
- --newvolumename – optionales Argument zum Benennen bzw. Umbenennen der Macintosh HD
Das Einfügen des Befehls in ein Skript hat sich in letzter Zeit als zuverlässiger erwiesen als das einfache Hinzufügen des Befehls in die Payload von Dateien und Prozessen einer Richtlinie. Erstellen Sie in Jamf Pro ein neues Skript mit dem Namen „Festplatte löschen und macOS Monterey installieren“ und geben Sie auf der Registerkarte „Skript“ den folgenden Text ein:
Fügen Sie das Skript zu einer Richtlinie hinzu und stellen Sie es im Self Service zur Verfügung. Wir benötigen insgesamt zwei Richtlinien.
Cache Install macOS Monterey.app (Richtlinie)
Die erste Richtlinie platziert Install macOS Monterey.app auf unseren Mac Zielcomputern.
Allgemeines
- Angezeigter Name: Cache Install macOS Monterey.app
- Trigger: Wiederkehrender Check-in
- Ausführungsfrequenz: laufend
Pakete
-
Paket: InstallAssistant.pkg (früher heruntergeladen)
Wartung
-
Bestand aktualisieren: aktiviert
Bereich
- Ziele: mit macOS Monterey kompatible Macs (Smart Computer Group)
- Ausschlüsse: Install macOS Monterey App Cached (Smart Computer Group)
Nach erfolgreicher Installation sollte unsere Smart Computer Group „Install macOS Monterey.app Cached“ nun Macs auflisten, die zum Löschen und Installieren bereit sind.
Erase and Install macOS Monterey (Richtlinie)
Erstellen Sie eine zweite Richtlinie in Jamf Pro mit dem Namen „Erase and Install macOS Monterey“. Geben Sie die folgenden Payloads und den folgenden Bereich ein.
Allgemeines
- Angezeigter Name: Erase and Install macOS Monterey
- Trigger: Keiner (aktivieren Sie stattdessen Self Service)
- Ausführungsfrequenz: laufend
Skripte
-
Skript: „Festplatte löschen und macOS Monterey installieren.“
Bereich
- Ziele: macOS Monterey.app im Cache installieren (Smart Computer Group)
- Ausschlüsse: Apple Silicon Macs (Smart Computer Group)
Self Service
- Tastenbezeichnungen: Löschen und installieren
- Beschreibung: Warnung — Ihr Mac wird bald vollständig gelöscht und macOS neu installiert. Bevor Sie fortfahren, kopieren Sie bitte alle wichtigen Dateien und Benutzerdaten auf einen anderen Computer bzw. auf ein Backupsystem. Nachdem Ihr Mac gelöscht wurde, können Sie gelöschte Daten nicht wiederherstellen. (Sie können Ihre Meldung mit markdown formatieren, um Sie stärker hervorzuheben.)
- Beschreibung anzeigen: aktiviert
Fügen Sie ein Tastensymbol hinzu und weisen Sie Kategorien zu. Speichern Sie die Richtlinie. Wenn Macs einchecken, laden sie den Monterey Installer herunter, installieren ihn und aktualisieren den Bestand. Dann wird die Self-Service-Richtlinie zum Löschen und Installieren von Monterey für alle Endnuter oder bestimmte Benutzer, die Sie festlegen, verfügbar. Beachten Sie, dass diese Richtlinie Apple Silicon Macs ausschließt. Diese benötigen eine etwas andere Version des Skripts (siehe unten).
Wichtig: Der Monterey Installer verhält sich anders als frühere Installer. Anstatt den Mac sofort neu zu starten, und dann 20 bis 50 Minuten für die Installation und Konfiguration der Software aufzuwenden, erledigt Monterey den größten Teil der Installation und Konfiguration, bevor der Mac neu gestartet wird. Dadurch wird der Eindruck erweckt, dass etwa 20, 30 oder mehr Minuten nichts passiert und zeigt dann am Ende ganz kurz (normalerweise weniger als fünf Minuten) das Apple Logo an.
Erwägen Sie, am Anfang des Skripts „Erase disk and install macOS Monterey“ eine Erklärung des Vorgangs in Form eines jamfHelper-Bildschirms einzufügen. Fügen Sie die folgenden Zeilen unmittelbar vor dem Befehl „echo“ ein:
Apple Silicon Macs mit Big Sur oder früher
Im vergangenen Jahr veröffentlichte Apple aktualisierte Produktlinien, die den neuen Apple Silicon M1-Chip enthalten. Mit den Apple Silicon Macs wurde das Konzept der „Eigentümerschaft des Volumens“ eingeführt, das speziell die Lösch- und Installationsfunktion des Befehls „startosinstall“ betrifft.
Um „startosinstall“ auszuführen, muss der „Eigentümer“ des Macs – grob definiert als der Benutzer, der den Mac zuerst für sich beansprucht hat – der Ausführung des Befehls zustimmen, indem er einen Benutzernamen und ein Passwort angibt. Diese Möglichkeit gibt es bei Jamf Pro nicht. Und es ist möglich, dass der Eigentümer des Volumens möglicherweise kein Administrator ist.
Was können wir als Administratoren also tun? Wir haben zwei Möglichkeiten – keine davon ist großartig. In beiden Fällen müssen Sie irgendwie den Benutzernamen und das Passwort des "Eigentümers" herausfinden und an den Befehl „startosinstall“ weitergeben.
Wenn wir das Passwort kennen
Während sich das macOS auf Apple Silicon genauso verhält wie auf Intel Macs, hat der Befehl startosinstall zwei zusätzliche erforderliche Parameter, die speziell für Apple Silicon gelten. Diese sind:
-
--user — ein Admin-Benutzer zur Autorisierung der Installation
-
--stdinpass — sammelt ein Passwort von stdin ohne Interaktion
Als Teil unseres Befehls ist es erforderlich, den Benutzernamen und das Passwort eines Accounts mit einem Sicherheitstoken anzugeben. Sicherheitstoken kennen wir heute hauptsächlich als Voraussetzung für die Verwendung von FileVault.
Der Befehl sieht etwa so aus:
Dieses Beispiel gibt den Namen eines Administratorkontos „adminuser“ am Ende des Befehls und das Passwort des Administratorkontos „P@55w0rd“ im Klartext am Anfang an. Idealerweise sollte das Passwort auf irgendeine Weise verdeckt werden, um es geheim zu halten.
Der Vorteil des obigen Befehls ist, dass er immer noch in einer Self-Service-Richtlinie verwendet werden kann, damit der Endbenutzer seinen Mac löschen und macOS neu installieren kann. Nachteilig ist, dass der Jamf Pro-Administrator einen Admin-Benutzernamen und ein Passwort für jeden Computer kennen muss und dass das Passwort für alle Personen mit Skript- und/oder Richtlinienberechtigungen in Jamf Pro sichtbar ist.
Stellen Sie sicher, dass die Ausschlüsse der Richtlinie im Scoping auf „Intel Macs“ eingestellt sind. Ansonsten gelten für Intel und Apple Silicon Macs die gleichen Richtlinien.
Wenn wir das Passwort nicht kennen
Was aber, wenn unsere Endbenutzer ihre neuen Macs per Dropshipping erhalten haben und während der Einrichtung zum Eigentümer des Volumens geworden sind? In diesem Fall müssen wir sie auffordern, ihre Benutzernamen und Passwörter in einem Dialogfeld einzugeben.
Wenn Sie etwas suchen, das Administratoren viele Möglichkeiten bietet, sollten Sie das Projekt erase-install von Graham Pugh verwenden. Er stellt ein detailliertes Wiki mit acht Schritten zur Verfügung, die das Abrufen eines neuen Installationsprogramms, die Aufforderung an den Endbenutzer, seine Anmeldedaten einzugeben, und die Bereitstellung von Statusinformationen mithilfe von jamfHelper (wie oben beschrieben) oder DEPNotify umfassen können.
Macs mit Intel T2-Chip und Apple Silicon Macs mit Monterey
Monterey führt eine neue Funktion in macOS ein, die von iOS übernommen wurde — Löschen aller Inhalte und Einstellungen.
iOS praktiziert seit langem das Konzept der Partitionierung des Speichers in ein schreibgeschütztes Volumen für das iOS-Betriebssystem und ein beschreibbares Volumen für Apps und Benutzerdaten. Diese Partitionierung bedeutete, dass Geräte beim Zurücksetzen nie vollständig gelöscht wurden. Die Benutzerpartition wird effektiv gelöscht und neu erstellt, was nur ein paar Minuten dauert.
Wählen Sie Einstellungen > Allgemein > Übertragen oder Zurücksetzen (iOS 15) > Alle Inhalte und Einstellungen löschen, um Apps und Daten zu löschen, eine vorhandene Apple ID abzumelden, „Find My“ zu deaktivieren und in Apple Wallet gespeicherte Kreditkarteninformationen zu entfernen.
Mit macOS High Sierra 10.13 wechselte Apple vom Dateisystem HFS+ zu APFS. Damit wurden die Voraussetzungen für viele interessante Funktionen und eine deutlich verbesserte Sicherheit geschaffen. Danach folgte mit Catalina das Partitionierungsschema von iOS, um die schreibgeschützte Macintosh HD (für das Betriebssystem) und die beschreibbare Macintosh HD-Data (für Apps und Benutzerdaten) zu trennen.
Mit APFS und ähnlichen Partitionierungsschemata bietet Monterey jetzt die Möglichkeit, einen Mac in einen fabrikähnlichen Zustand zurückzusetzen, bei dem alle Benutzerdaten entfernt wurden. Allerdings wird das Betriebssystem dabei nicht auf die Werkseinstellungen zurückgesetzt. Wenn ein Mac mit Monterey 12.0.1 ausgeliefert und später auf Monterey 12.1.0 aktualisiert wurde, bleibt er auf 12.1.0, nachdem alle Inhalte und Einstellungen gelöscht wurden.
Und der Vorgang dauert weniger als fünf Minuten!
Auch wenn der Vorgang nicht mit einem Klick erledigt ist, ist er doch einfach. Endbenutzer können die Systemeinstellungen öffnen und im Menü „Systemeinstellungen“ die Option „Alle Inhalte und Einstellungen löschen“ wählen.
Alternativ können Administratoren von Jamf Pro eine Richtlinie erstellen, die eine Payload für Dateien und Prozesse zur Ausführung des Befehls enthält, um diese Funktion zum Self Service hinzuzufügen:
Der Löschassistent erfordert weiterhin Interaktion. Die Person, die vor dem Mac sitzt, muss einen Administrator-Benutzernamen und ein Passwort angeben, um fortzufahren.
Wenn der Endnutzer mit einer Apple ID angemeldet ist, muss er das Passwort angeben, um sich von der Apple ID abzumelden.
Schließlich unterstützen Macs mit Intel T2-Chip und Apple Silicon Macs, auf denen Monterey installiert ist, nicht nur die lokale Ausführung von „Alle Inhalte und Einstellungen löschen“ durch den Endbenutzer, sondern auch die Remote-Ausführung von „Alle Inhalte und Einstellungen löschen“ über ein MDM.
Wenn ein Administrator von Jamf Pro den Befehl „Computer löschen“ aus dem Computerdatensatz sendet und Jamf Pro einen Mac mit Intel T2-Chip oder einen Apple Silicon Mac mit Monterey erkennt, sendet es einen EraseDevice-Befehl anstelle eines Löschbefehls. Auch hier bleibt das installierte macOS Betriebssystem erhalten, während App- und Benutzerdaten sicher entfernt werden.
Hinweis: Es gibt keinen Grund mehr, einen Mac mit Intel T2-Chip oder einen Apple Silicon Mac, auf dem Monterey läuft, vollständig zu löschen, sei es zur Wiederverwendung des Geräts oder zur Vorbereitung seiner Entsorgung. Die Benutzerdaten auf dem Laufwerk waren auch ohne Aktivierung von FileVault die ganze Zeit verschlüsselt. Durch das Löschen von Inhalten und Einstellungen werden die Verschlüsselungsschlüssel für den Zugriff auf Informationen zerstört.
Upgrade durchführen statt Löschen
Mit einer einfachen Änderung kann der startosinstall-Workflow stattdessen ein Upgrade eines Macs auf macOS Monterey von einem Betriebssystem OS X Yosemite 10.10 oder höher durchführen, wobei Programme, Daten und Benutzereinstellungen erhalten bleiben. Oder Monterey kann neu installiert werden. Durch die erneute Installation derselben macOS Version lassen sich beschädigte Installationen manchmal reparieren.
Bearbeiten Sie das Skript „Festplatte löschen und macOS Monterey installieren“ oder klonen Sie es, um ein neues Skript zu erstellen und ändern Sie den Namen in „Upgrade auf macOS Monterey“. Dann passen Sie den Befehl so an, dass die Optionen --eraseinstall und --newvolumename weggelassen werden. Erstellen Sie eine neue Richtlinie und fügen Sie das Skript hinzu. Verteilen Sie es auf die Macs, die es benötigen.
Auch dies funktioniert nur bei Intel Macs. Bei Apple Silicon Macs mit Big Sur oder früher muss das Skript den Benutzernamen und das Passwort des Eigentümers des Volumes enthalten, oder die Anmeldedaten müssen vom Endbenutzer erfragt werden. Das bereits erwähnte Skript „erase-install“ von Graham Pugh bietet die Möglichkeit, die Macs mit einem Upgrade zu versehen, anstatt sie zu löschen.
Alternativ dazu unterstützt Jamf Pro das Senden eines MDM-Befehls an Intel Macs mit T2-Chip und Apple Silicon Macs mit einem Massenaktionsbefehl.
Standardmäßig schließt der Befehl zum Aktualisieren von macOS die Hauptversionen aus (z. B. aktualisiert Jamf Pro einen Mac nicht von Big Sur auf Monterey), es sei denn, der Administrator aktiviert ausdrücklich die Option zum Einbeziehen der Hauptversionen. Diese Funktion ist nur als Massenaktionsbefehl verfügbar und erscheint nicht als Option, wenn ein einzelner Computer angezeigt wird.
In Jamf Pro können Sie eine erweiterte Computersuche oder eine Smart Computer Group verwenden, um eine Liste von Macs für ein Upgrade anzuzeigen. Wählen Sie „Remote-Befehle senden“ und klicken Sie auf „Weiter“. Wählen Sie die zweite Option zum Aktualisieren der Betriebssystemversion und wählen Sie unten auf der Seite die Option zum Herunterladen und Installieren des Updates. Aktivieren Sie zuletzt die Option „Hauptupdates einbeziehen“.
Seien Sie sehr vorsichtig mit diesem Befehl. Ein Upgrade erfordert einen Neustart des Mac. Endbenuter werden nicht benachrichtigt. Diese Upgrade-Funktion eignet sich ideal für die Aktualisierung von Schülerlaboren oder anderen gemeinsam genutzten Computern.
Schlussfolgerung
In den letzten Jahren hat sich viel verändert, was sich auf den aktuellen Stand der Neuinstallation des Betriebssystems aus der Ferne auswirkt.
- Unerwünschte Aktualisierungen von macOS zu verhindern, ist schwieriger, aber immer noch machbar, besonders mit Jamf Pro.
- Big Sur 11.3 und höher erkennt mehrere Update- oder Upgrade-Optionen und nicht nur die neueste Option.
- Mit Monterey werden einige lang erwartete Verwaltungsfunktionen eingeführt.
- Wir haben mehrere Möglichkeiten, macOS Installer zu erhalten, die einfacher zu benutzen sind.
- Wir haben zwei Computerarchitekturen (Intel und Apple Silicon), die jeweils ihre eigenen differenzierten Verwaltungsfunktionen haben.
- APFS-formatierte Festplatten bieten uns interessante Möglichkeiten zum Löschen und Neuinstallieren von macOS (oder auch nicht).
- Der Befehl „softwareupdate“ zum Herunterladen von macOS-Versionen ist nicht nur zuverlässiger, sondern auch robuster.
- Das Löschen von Laufwerken und die Neuinstallation von Betriebssystemen haben nun ein Ende! Administratoren können neuere Intel- und Apple-Silicon-Macs, auf denen Monterey läuft, in weniger als fünf Minuten in einen werksseitigen Zustand zurückversetzen, sodass sie für Jamf Pro wieder einsatzbereit sind.
Mit Monterey betreten wir immer noch Neuland, aber wir befinden uns nicht in unbekannten Gewässern. Viele unserer Befehle funktionieren auch weiterhin. Und wir haben einen neuen Workflow für das Zurücksetzen von Macs, den viele Administratoren bereits für iPhones und iPads in ihren Umgebungen verwenden. Imaging ist tot. Einfach neu anfangen ist lebendig.
Abonnieren Sie den Jamf Blog
Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.