Jamf Blog
An 'easy' button shows how to reinstall a clean macOS with one button.
Novembre 17, 2021 Par Bill Smith

Réinstaller un macOS en un clic

Sound too good to be true? Believe it!

Réinstaller macOS Monterey en un clic

Tirer les leçons du passé, c'est important.

  • Depuis maintenant 10 ans, Apple suit un cycle de sortie majeure annuel pour son système d'exploitation Mac. La société a sorti Mac OS X Lion (10.7) en 2011 et sort une nouvelle version majeure chaque année depuis.
  • La taille des programmes d'installation de ses systèmes d'exploitation a considérablement augmenté pendant ces 10 années. En effet, le programme d’installation d'OS X Lion 10.7 faisait environ 4,72 Go, tandis que celui de macOS Monterey 12.0.1 affiche une taille d'environ 12 Go, soit près du triple.
  • Aujourd'hui, macOS est de plus en plus menacé par les logiciels malveillants et les personnes mal intentionnées. Les logiciels malveillants traditionnels tels que les virus et les vers restent rares, voire inexistants. En revanche, selon un rapport d’USA Today, les menaces liées à des logiciels malveillants à but lucratif cachés dans des applications ou des téléchargements infectés ont quadruplé en 2019.

En tant qu'administrateur, quelle leçon faut-il en tirer ?

  • Apple met à jour son système d'exploitation Mac de manière agressive. Jusqu'ici, rien de nouveau, c'est un schéma que la marque suit depuis 10 ans. Aucun administrateur ne devrait être surpris ou pris au dépourvu par la sortie d'une nouvelle version de macOS tous les ans.
  • Si la taille du programme d'installation macOS augmente, la complexité de son déploiement croît de façon exponentielle. Aujourd'hui, il faut trois fois plus de temps pour télécharger un programme d'installation, trois fois plus d'espace pour le stocker sur les terminaux Mac et trois fois plus d'espace disque pour l'exécuter. Et si le temps d'installation est resté relativement constant, entre 20 et 50 minutes, le processus de mise à niveau reste long.
  • Par ailleurs, le rythme effréné de ces mises à jour annuelles s'explique en grande partie par l'importance accrue qu'Apple accorde à la confidentialité et à la sécurité à mesure que sa présence dans le monde s'intensifie. Les Mac, dont la présence est deux fois plus importante qu'il y a dix ans, sont davantage la cible des logiciels espions et des rançongiciels.

Les mises à niveau majeures de macOS sont importantes car chacune comporte non seulement de nouvelles fonctionnalités, mais aussi des améliorations en matière de sécurité et de confidentialité des utilisateurs finaux. Il faut toutefois bien les planifier et les tester avant de procéder à un déploiement à l'échelle de l'entreprise.

Nous avons mis à jour cet article de blog à chaque nouvelle mise à niveau. Continuons avec la toute dernière mise à niveau d'Apple : macOS Monterey.

Recommencer à zéro

Effacer et réinstaller un système macOS propre est désormais un workflow courant pour procéder à la reconfiguration de Mac pour différents utilisateurs, répondre à différents besoins ou simplement repartir à zéro. Apple a introduit ces outils dans son programme d'installation macOS High Sierra 10.13.4, et le processus a continué de se développer et de se perfectionner jusqu'à Monterey.

Beaucoup de choses ont changé l'année dernière. Voyons un peu les nouvelles méthodes permettant de gérer les installations de Monterey, notamment :

  • Limitation des installations
  • Déploiement du programme d'installation macOS
  • Identification des Mac pour lesquels un effacement et une installation ou une mise à niveau sont possibles
  • Exécution à distance du programme d'installation macOS
  • Nouveauté : Effacer contenu et réglages

Limitation des installations

Les administrateurs ne sont pas tous prêts à assurer la prise en charge de Monterey, mais il arrive que nos utilisateurs finaux nous précèdent et l'installent eux-mêmes. Quelles mesures pouvons-nous prendre pour éviter qu'ils n'installent une nouvelle version majeure de macOS ? Ne perdez pas de vue que les utilisateurs peuvent obtenir le programme d'installation et l'exécuter de plusieurs façons. Par conséquent, il faut généralement prendre plus d'une mesure.

« Ne faites pas ça »

La méthode la plus simple pour prévenir toute installation indésirable consiste à communiquer aux utilisateurs finaux la règle de votre entreprise qui stipule : « N'installez pas de mise à niveau macOS majeure sans l'autorisation du service informatique. » Veillez à préciser les mesures que prendrait le service informatique en cas de non-respect de cette politique.

Cela n'empêche en rien quelqu'un de le faire, mais cela permet d'affirmer votre autorité sans pour autant supprimer les privilèges. Selon votre organisation, cela peut être suffisant.

Ignorer n'est plus une option envisageable

Tout d'abord, parlons de l'option --ignore dans le cadre de la commande de mise à jour du logiciel, que nous avons utilisée par le passé pour masquer les mises à jour de macOS. Dans macOS Catalina 10.15, cela ressemblait à quelque chose comme ceci :

Depuis macOS Big Sur 11.0, cette option n'est plus disponible.

An administrator’s only options today for hiding Monterey from Macs are to disable automatically checking for software updates and prevent end users from manually checking for updates. Be aware, this by itself doesn’t prevent an end user from downloading the Monterey installer some other way and installing it. Administrators can still run commands from Jamf Pro to get available updates and install them.

Les seules options dont dispose aujourd'hui un administrateur pour masquer Monterey sur les Mac sont de désactiver la recherche automatique de mises à jour de logiciels et d'empêcher les utilisateurs finaux de rechercher manuellement les mises à jour. Attention, cela n'empêche pas un utilisateur de télécharger le programme d'installation de Monterey d'une autre manière et de l'installer. Les administrateurs peuvent toujours exécuter des commandes depuis Jamf Pro pour obtenir les mises à jour disponibles et les installer.

Pour désactiver la recherche automatique de mises à jour de logiciels :

  1. Dans Jamf Pro, sélectionnez Ordinateurs > Profils de configuration, puis cliquez sur Nouveau pour créer un nouveau profil.
  2. Donnez-lui un nom tel que « Désactiver les mises à jour automatiques de logiciels » dans l'entité Général
  3. Faites défiler la liste des entités jusqu'à Mise à jour de logiciels et cliquez sur Configurer.
  4. Désactivez l'option « Rechercher automatiquement les mises à jour », mais pensez également à désactiver toutes les autres options associées.
  5. Définissez le périmètre du profil et enregistrez-le pour le déployer.

À lui seul, ce profil ne suffit pas à empêcher les utilisateurs finaux d'ouvrir manuellement le volet Mise à jour de logiciels dans les Préférences Système et de vérifier la présence de mises à jour. Il faudra interdire explicitement l'accès au volet Mise à jour de logiciels.

Si vous déployez déjà un profil de configuration avec une entité Restrictions, vous pouvez modifier ce profil et choisir Préférences > Désactiver les éléments sélectionnés > Mise à jour de logiciels. Lors de l'enregistrement, choisissez l'option permettant de déployer sur l'ensemble des ordinateurs.

Le profil de configuration Restrictions de l'ordinateur n'a pas encore été modernisé, ce qui signifie qu'il peut déployer plus de réglages que vous ne le souhaitez. Pour déployer ce réglage seul, utilisez la fonctionnalité de manifeste personnalisé de Jamf Pro.

  1. Copiez le manifeste macOS Disabled System Preference Panes.json sur GitHub.
  2. Dans Jamf Pro, sélectionnez Ordinateurs > Profils de configuration, puis cliquez sur Nouveau pour créer un nouveau profil.
  3. Donnez-lui un nom tel que « Désactiver le volet Mise à jour de logiciels ».
  4. Faites défiler la liste des entités jusqu'à Réglages des applications et personnalisés et cliquez sur Applications.
  5. Cliquez sur Ajouter.
  6. Réglez la source sur Schéma personnalisé.
  7. Définissez le domaine de préférences sur « com.apple.systempreferences ».
  8. Cliquez sur le bouton Ajouter un schéma et collez le texte copié du manifeste de GitHub dans le champ Schéma personnalisé. Cliquez sur Enregistrer.
  9. Dans le champ Identifiant 1 du volet des Préférences Système, saisissez « com.apple.preferences.softwareupdate ».
  10. Définissez le périmètre du profil et enregistrez-le pour le déployer.

Une fois le profil installé, le volet Mise à jour de logiciels est grisé et inaccessible à tous les utilisateurs sur Mac. Notez que si une mise à jour a été détectée avant l'installation du profil, une pastille apparaîtra toujours sur l'icône.

Utiliser la fonctionnalité Logiciels à accès restreint de Jamf Pro

Les administrateurs peuvent configurer la fonctionnalité Logiciels à accès restreint qui se trouve sous Ordinateurs dans Jamf Pro pour avertir ou empêcher les utilisateurs d'exécuter le programme d'installation Monterey. Cette fonction peut être utilisée de plusieurs façons différentes, et elle s'applique aussi bien aux utilisateurs standard qu'aux administrateurs.

1. Restriction par nom d'application et avertissement de l'utilisateur final.

Cette mesure n'empêche pas non plus complètement les utilisateurs d'installer Monterey, mais elle permet de les alerter, eux et nous, par e-mail lors de la tentative d'installation. Elle ne signale pas les tentatives d'installation de versions de macOS prises en charge, comme Big Sur.

2. Restriction de l'utilisation du processus InstallAssistant et avertissement de l'utilisateur final.

Une alternative à la restriction du nom de l'application, que l'utilisateur final peut modifier, consiste à restreindre le nom du processus InstallAssistant. Il s'agit du nom du processus qui s'exécute lorsqu'on double-clique sur n'importe quel programme d'installation macOS et qu'on affiche des fenêtres guidant le processus. Cela n'aura aucun effet si le programme d'installation est exécuté à l'aide de l'outil de ligne de commande startosinstall.

3. Restriction de l'utilisation du nom de l'application et kill du processus.

Cette méthode est similaire à la première, mais elle inclut l'option Kill Process. Au lieu de permettre à l'utilisateur de poursuivre, Jamf Pro quittera le programme d'installation après quelques secondes. L'ajout de l'option Supprimer l'application la supprimera immédiatement, sans passer par la corbeille.

Lorsque vous imposez une restriction par nom d'application, sachez que l'utilisateur final peut simplement renommer le programme d'installation et contourner la restriction.

4. Restriction de l'utilisation du nom du processus InstallAssistant et kill du processus.

Cette méthode est similaire à la seconde, mais elle inclut l'option Kill Process et pourrait inclure l'option Delete Application. Elle empêchera tout programme d'installation macOS de s'exécuter si l'utilisateur double-clique dessus, y compris Monterey, Big Sur, etc.

Report des mises à jour majeures ou mineures jusqu'à 90 jours

Au même titre que l'option permettant d'ignorer les mises à jour, Apple offre la possibilité de différer les mises à jour jusqu'à 90 jours à compter de leur date de sortie initiale (et non pas à partir du moment où le Mac voit les mises à jour pour la première fois). Pendant cette période, les mises à jour n'apparaîtront pas dans le volet Mises à jour de logiciels des Préférences Système, ni lors de l'exécution de l'outil de ligne de commande softwareupdate. Cependant, il est toujours possible de les installer à l'aide des commandes de Jamf Pro.

Les Mac exécutant macOS High Sierra 10.13 et les versions ultérieures autorisent le report des mises à jour. Les Mac exécutant macOS Big Sur 11.3 et les versions ultérieures permettent de différer les mises à jour majeures et mineures (juste à temps pour la sortie de macOS Monterey).

Qu’est-ce que cela signifie ?

macOS Big Sur 11.3 et les versions ultérieures proposeront deux types de mises à jour à installer : les mises à niveau majeures et les mises à jour mineures. Si macOS Monterey 12.0.1 et macOS Big Sur 11.6.1 sont tous deux disponibles, Apple laisse l'administrateur ou l'utilisateur final décider quel système installer.

En outre, les administrateurs exécutant Jamf Pro 10.32 et ses versions ultérieures peuvent choisir ce que les utilisateurs finaux voient apparaître avec l'entité Restrictions mise à jour dans les profils de configuration de l'ordinateur. Par exemple, ils peuvent autoriser leurs Mac à afficher la mise à jour mineure Big Sur 11.6.1 mais masquer la mise à niveau majeure Monterey.

Pour définir le report des mises à niveau majeures, des mises à jour mineures ou des deux :

  1. Dans Jamf Pro choisissez Ordinateurs > Profils de configuration
  2. Créez un nouveau profil de configuration et ajoutez l'entité Restrictions ou modifiez un profil existant qui contient déjà une entité Restrictions.
  3. Sous l'onglet Fonctionnalité, faites défiler jusqu'à la fin de la page et activez l'option Différer les mises à jour.
  4. Dans le menu, choisissez de différer toutes les mises à jour, les mises à niveau majeures, les mises à jour mineures ou les mises à jour non liées à l'OS comme Safari.
  5. Définissez le périmètre du profil et enregistrez-le pour le déployer.

Le report des mises à jour est l'approche préférée d'Apple pour aider les administrateurs à gérer les mises à niveau et les mises à jour disponibles. Parallèlement aux tests bêta, les organisations disposent ainsi de beaucoup de temps pour vérifier la compatibilité de leurs environnements avec une nouvelle version de macOS ou pour travailler avec les éditeurs de logiciels afin de fournir des mises à jour.

Toute organisation possédant un compte Apple Business Manager ou Apple School Manager a accès à AppleSeed, le programme de logiciels bêta d'Apple destiné aux services informatiques, où les administrateurs peuvent tester les versions bêta des nouvelles mises à jour logicielles avant leur sortie. Les bêtas sortent généralement au moins deux mois avant la version grand public. Le cumul de la période de tests bêta et de la période de report de 90 jours donne aux administrateurs environ cinq mois pour tester les logiciels avant de les déployer dans leur environnement.

Suppression des privilèges administrateur

Toute personne disposant de privilèges administrateur sur un Mac peut faire pratiquement tout, y compris installer un système d'exploitation. La mesure la plus élémentaire à prendre est de retirer les privilèges administrateur aux utilisateurs et de leur demander d'utiliser Self Service pour exécuter les règles autorisées.

En revanche, si vous supprimez les privilèges administrateur, vos utilisateurs dépendront fortement du service informatique.

Définition d'un mot de passe pour le firmware ou le verrouillage de restauration

La définition d'un mot de passe de firmware sur les Mac Intel ou d'un mot de passe de verrouillage de restauration sur les Mac Apple Silicon empêche toute personne ne disposant pas du mot de passe de démarrer sur la partition Recovery HD, d'effacer le système d'exploitation existant et d'installer un nouveau macOS. Étant donné que cela se passe au niveau matériel, personne ne peut effectuer d'installation ou de mise à niveau sans le mot de passe.

L'inconvénient de définir un mot de passe au niveau matériel est que si un membre de l'assistance technique aide un utilisateur à distance, il pourra être amené à lui communiquer ce mot de passe. Assurez-vous que chaque Mac dispose d'un mot de passe unique qui ne pourra pas déverrouiller un autre ordinateur.

Les administrateurs peuvent définir automatiquement un mot de passe de verrouillage de restauration pendant la procédure d'enrôlement automatisé des appareils pour les Mac Apple Silicon utilisant Jamf Pro 10.32 et changer automatiquement le mot de passe lorsqu'il est affiché dans Jamf Pro 10.33 et les versions ultérieures.

Ils leur faudra trouver un équilibre entre la limitation de l'accès au programme d'installation Monterey et la nécessité de l'installer eux-mêmes. Par exemple, ils peuvent utiliser des exclusions de périmètre pour ne pas imposer de restrictions à leurs propres appareils de test.

Déploiement du programme d'installation macOS

Avant de pouvoir déployer le programme d'installation macOS, il faut l'acquérir. D'après Mr. Macintosh, un excellent blog largement consacré aux programmes d'installation, mises à niveau et mises à jour Mac, il existe huit façons de télécharger des programmes d'installation complets. Nous n'en aborderons que quelques-unes ici.

Déploiement à l'aide de softwareupate

Nous nous sommes déjà penchés sur l'option --fetch-full-installer de la commande softwareupdate d'Apple.

Cette commande présente l'avantage d'être petite et légère et peut être envoyée sur les Mac pour qu'ils récupèrent eux-mêmes le programme d'installation, ce qui fonctionne parfaitement avec les serveurs de mise en cache de contenu sur site. Elle a par ailleurs gagné en fiabilité l'année dernière.

Remarque : Il n'est pas nécessaire de disposer d'un serveur de mise en cache de contenu dédié pour mettre à niveau un grand groupe de Mac dans une pièce ou un bâtiment. Il suffit de configurer un ou plusieurs des Mac les plus puissants comme serveur de mise en cache en activant la mise en cache du contenu dans le volet Partage des Préférences Système. Exécutez manuellement la commande softwareupdatesur un autre Mac pour « échauffer » le cache du serveur (afin de télécharger le programme d'installation à l'avance). Les autres Mac se fourniront ensuite automatiquement sur ce serveur plutôt que sur Internet.

La nouveauté de macOS Big Sur 11.3 est la possibilité de récupérer les programmes d'installation disponibles à partir de la version macOS Mojave 10.14.6. Ouvrez le terminal et exécutez la commande suivante :

Vous obtiendrez une réponse comme celle-ci :

 Software Update found the following full installers:

* Title: macOS Monterey, Version: 12.0.1, Size: 12128428704K

* Title: macOS Big Sur, Version: 11.6.1, Size: 12428472512K

* Title: macOS Big Sur, Version: 11.6, Size: 12428553042K

* Title: macOS Big Sur, Version: 11.5.2, Size: 12440916552K

* Title: macOS Big Sur, Version: 11.5.1, Size: 12440158909K

* Title: macOS Catalina, Version: 10.15.7, Size: 8248985973K

* Title: macOS Catalina, Version: 10.15.7, Size: 8248854894K

* Title: macOS Catalina, Version: 10.15.6, Size: 8248781171K

* Title: macOS Mojave, Version: 10.14.6, Size: 6038419486K

Pour télécharger un ancien programme d'installation dans sa totalité, ajoutez l'option --full-installer-version à la version de macOS que vous souhaitez. Par exemple, pour obtenir le programme d'installation macOS Big Sur 11.5.1, exécutez la commande suivante :

N'oubliez pas que cette commande de liste ne fonctionne que sur Big Sur 11.3 et les versions ultérieures, mais vous avez au moins la possibilité de récupérer les anciens programmes d'installation pour les Mac que vous n'êtes pas prêt, ou ne pouvez pas, mettre à niveau, puis de les ajouter à Jamf Pro.

Déploiement à l'aide du programme d'achat en volume

Le programme d'installation macOS Monterey est disponible dans les applications et les livres sur Apple Business Manager ou Apple School Manager, et peut être déployé comme n'importe quelle autre application de l'App Store. Il nous est donc inutile de charger un paquet volumineux vers nos points de distribution ou de gérer les nouvelles versions au fur et à mesure qu'elles sortent. Recherchez « macOS Monterey » et attribuez des licences à votre serveur Jamf Pro.

Bien que cette méthode fonctionne bien, elle présente un inconvénient majeur : vous allez télécharger ce que certains appellent un « stub ». Ce n'est pas un programme d'installation complet mais plutôt la même application sans le SharedSupport.dmg de 12 Go dans le paquet. Lorsque vous double-cliquez dessus ou que vous l'exécutez à l'aide de l'outil de ligne de commande startosinstall (abordé un peu plus bas), le Mac doit être connecté à Internet et il téléchargera le reste des fichiers dont il a besoin pour terminer. En fonction de la vitesse de la connexion Internet, il faut compter entre 10, 20 et 30 minutes, voire plus, avant que l'installation ne commence.

Ce type de déploiement convient mieux aux Mac sans supervision, comme ceux qui se trouvent dans les laboratoires d'école et qui peuvent être laissés allumés toute la nuit, et fonctionne bien avec les serveurs de mise en cache de contenu pour accélérer la distribution. Lorsque vous l'utilisez avec des utilisateurs qui travaillent à domicile ou qui invoqueront eux-mêmes le programme d'installation en utilisant par exemple Self Service, veillez à les avertir de ne pas mettre leur Mac en veille, de le laisser branché sur le secteur et de laisser le temps à l'installation de se terminer.

Téléchargement puis packaging : on évite

Nous vous avons déjà parlé de la possibilité de télécharger le programme d'installation macOS sur l'App Store, puis de le packager à l'aide d'outils spéciaux capables de gérer la taille importante du fichier (par exemple, Jamf Composer peut créer le fichier DMG mais pas le PKG d'un programme d'installation macOS).

Cependant, comme le programme d'installation est copié du système d'origine vers de nouveaux systèmes, la fonctionnalité Gatekeeper d'Apple exige l'analyse de l'application lors de son premier lancement. Cette opération prend plusieurs minutes et retarde ainsi le programme d'installation.

Certains nouveaux outils communautaires open-source lancés l'année dernière rendent ce processus beaucoup plus facile et rapide. Évitez donc de packager vos propres programmes d'installation macOS et utilisez plutôt les outils communautaires.

Téléchargement du paquet d'un programme d'installation depuis Apple

L'année dernière, Armin Briegel, qui gère le site Scripting OS X, a fourni un script permettant non seulement d'acquérir de manière fiable le dernier programme d'installation Big Sur, mais aussi de le télécharger au format PKG, prêt à être déployé dans le dossier Applications.

Son outil, baptisé fetch-installer-pkg.py, est un script python qui accède aux serveurs de mise à jour de logiciels d'Apple et télécharge le même paquet que celui qu'utiliserait le service intégré de mise à jour de logiciels du Mac. Il est disponible sur le dépôt GitHub d'Armin.

Depuis, il a développé l'application Download Full Installer, qui est bien plus simple à utiliser. Suivez le lien dans son article de blog pour obtenir le fichier « Download.Full.Installer-v1.1.1.zip » depuis son dépôt GitHub et lancez simplement l'application. Cliquez sur la flèche en regard du programme d'installation Big Sur ou Monterey qu'il vous faut. On peut difficilement faire plus simple.

Une fois le processus terminé, chargez le paquet InstallAssistant directement dans Jamf Pro et déployez-le sur vos Mac à l'aide d'une règle. Vous pouvez tout à fait renommer le paquet avant de le charger.

Lorsque vous êtes prêt à déployer le programme d'installation via l'une de ces méthodes, il faut s'assurer que tout se passera bien. Voyons maintenant les conditions requises pour l'installation de Monterey.

Identification des Mac pour lesquels un effacement et une installation sont possibles

Avant de lancer le programme d'installation pour effacer et installer des Mac ou même les mettre à niveau, il faut d'abord identifier ceux qui répondent à la configuration système requise par Apple. Cette année, Apple n'a pas publié beaucoup d'informations sur les exigences techniques concernant Monterey, si ce n'est la configuration matérielle minimum requise. La configuration générale indiquée ci-dessous reflète ces spécifications matérielles minimales.

Configuration générale requise

  • OS X Yosemite 10.10 ou version ultérieure (selon la configuration matérielle minimum)
  • 8 Go de mémoire (selon la configuration matérielle minimum)
  • 26 Go de stockage disponible pour macOS Sierra 10.12 ou une version ultérieure ou 44 Go pour Yosemite et macOS El Capitan 10.11 (prévoir 13 Go supplémentaires pour stocker également le programme d'installation)

Configuration matérielle requise

  • MacBook (début 2016 et après)
  • Macbook Air (début 2015 et après)
  • MacBook Pro (début 2015 et après)
  • Mac mini (fin 2014 et après)
  • iMac (fin 2015 et après)
  • iMac Pro (2017 et après)
  • Mac Pro (2013 et après)

Mac compatible avec Monterey (groupe d'ordinateurs intelligent)

Nous allons créer un nouveau groupe d'ordinateurs intelligent pour identifier les Mac concernés et le nommer « Mac compatibles avec macOS Monterey ». Comme Apple n'a pas précisé la configuration minimale requise pour la mémoire ou la version de macOS, nous allons partir du principe que les caractéristiques de base de chaque modèle répondent à ces besoins et laisserons donc ces critères de côté. Nous supposerons également qu'il nous faut 13 Go d'espace pour stocker le programme d'installation et 26 Go supplémentaires pour l'exécuter (on arrondira le tout à 40 Go).

Nous allons ajouter le critère suivant :

 Boot Drive Available MB more than 40000
and Model Identifier matches regex 

Nous devons utiliser l’identifiant de modèle des Mac afin de désigner les modèles qu’Apple juge éligibles pour Monterey. Cela représente près de 50 modèles. Plutôt que de surcharger notre groupe d'ordinateurs intelligent avec près de 50 lignes de critères, il est possible d'utiliser une expression régulière (ou regex) pour les identifier. Celle-ci nous permet de créer un modèle qui correspond à certaines chaînes de caractères comme les identifiants de modèle. Cette unique ligne de texte identifiera tous les modèles concernés, y compris ceux introduits en 2021. Copiez puis collez cette ligne dans le champ valeur du critère Identifiant de modèle du groupe intelligent ci-dessus.

 (MacBook(10|9)|MacBookAir(10|[7-9])|Macmini[7-9]|MacPro[6-7]|iMacPro1|iMac(1[6-9]|2[0-2])),\d|MacBookPro1(1,[45]|[2-8],\d)

Une fois l’expression enregistrée, n’oubliez pas de cliquer sur le bouton Afficher pour vérifier que le groupe fonctionne comme souhaité.

Installation de macOS Monterey.app mis en cache (groupe d'ordinateurs intelligent)

Pendant que nous y sommes, créons un deuxième groupe d'ordinateurs intelligent nommé « Installation de macOS Monterey.app mis en cache » et ajoutons les critères suivants :

 Application Title is Install macOS Monterey.app
and Application Version like 17.0

Cela nous aidera à identifier les Mac qui ont déjà le programme d'installation de Monterey dans leur dossier Applications afin d'empêcher Jamf Pro de le télécharger à nouveau. Veillez à bien utiliser la version actuelle de cette app. Pour le vérifier, sélectionnez Fichier > Lire les informations.

Mac Intel et Apple Silicon (groupe d'ordinateurs intelligent)

Il y a deux autres groupes intelligents qui nous seront utiles pendant quelques années et qui nous aideront à faire la distinction entre les anciennes architectures Intel et les nouvelles architectures Apple Silicon.

Nous allons créer un nouveau groupe intelligent intitulé « Mac Intel » afin d'identifier les Mac Intel.

Nous allons ajouter le critère suivant :

 Apple Silicon is No

Créons maintenant un deuxième groupe intelligent intitulé « Mac Apple Silicon » afin d'identifier les Mac équipés de la puce M1.

Nous allons ajouter le critère suivant :

 Apple Silicon is Yes

Maintenant que nous avons identifié les Mac prêts à passer à Monterey et que nous disposons de groupes permettant de distinguer les deux architectures Mac, penchons-nous sur les méthodes d'exécution du programme d'installation.

Utilisation du programme d'installation Monterey pour effacer et installer (ou non)

Aujourd'hui, nous avons trois points à prendre en compte pour exécuter le programme d'installation Monterey :

  • Mac Intel
  • Mac Apple Silicon exécutant Big Sur ou une version antérieure
  • Mac avec puce Intel T2 et Mac Apple Silicon exécutant Monterey

Mac Intel

Pour la majeure partie, il y a peu de changements dans le workflow d'effacement et d'installation pour les Macs Intel avec et sans puce de sécurité T2. Il est toujours possible d'utiliser startosinstall.

L'outil de ligne de commande startosinstall se trouve dans le bundle Installer macOS Monterey.app. Il réalise la même chose que lorsque vous double-cliquez sur l'application du programme d'installation, sans afficher la moindre boîte de dialogue ou fenêtre. Il présente également l'avantage de fonctionner même si on a utilisé des restrictions logicielles pour bloquer le processus InstallAssistant, et il est possible de l'invoquer dans le cadre d'un script ou d'une règle Jamf Pro (facultatif, en utilisant Self Service).

Pour trouver l'outil de ligne de commande, faites un clic droit ou un Control-clic sur l'application Installer macOS Monterey et choisissez Afficher le contenu du paquet > Contenu > Ressources. Repérez puis déplacez le fichier startosinstall dans une fenêtre Terminal, puis ajoutez --usage tout à la fin.

Voici la liste des arguments utilisés (chacun commençant par un tiret double) et leur action. Nous pouvons en utiliser certains ou la totalité :

  • --eraseinstall : l'otpion qui se charge de la suppression et de l'installation
  • --Agreetolicense : pour entièrement automatiser le processus
  • --Forcequitapps : pour empêcher les apps en cours d’exécution de ralentir l’installation
  • --Newvolumename : pour nommer ou renommer le disque dur Macintosh (facultatif)

L'intégration de la commande dans un script s'est avérée plus fiable ces derniers temps que le simple fait de l'ajouter en tant que commande dans une entité Fichiers et processus d'une règle. Créez un nouveau script dans Jamf Pro appelé « Effacer le disque et installer macOS Monterey » et collez les éléments suivants dans l'onglet Script :

Ajoutez le script à une règle et mettez-le à disposition dans Self Service. Il nous faudra deux règles en tout.

Mise en cache de l'application Installer macOS Monterey.app (Règle)

La première règle placera l'application Installer macOS Monterey.app sur vos Mac cibles.

Général

  • Nom d’affichage : Mise en cache de l'application Installer macOS Monterey.app
  • Déclencheur : Check-In récurrent
  • Fréquence d'exécution : En continu

Paquets

  • Paquet : InstallAssistant.pkg (téléchargé plus tôt)

Maintenance

  • Mise à jour de l'inventaire : Activé

Périmètre

  • Cibles : Mac compatibles macOS Monterey (groupe d'ordinateurs intelligent)
  • Exclusions : Installer l'application macOS Monterey mise en cache (groupe d'ordinateurs intelligent)

Une fois cette démarche terminée, notre groupe d'ordinateurs intelligent « Installer l'application macOS Monterey.app mise en cache » devrait maintenant répertorier les Macs prêts à être effacés et installés.

Effacer et installer macOS Monterey (Règle)

Créez une deuxième règle Jamf Pro intitulée « Effacer et installer macOS Monterey ». Définissez les données utiles et le périmètre comme suit :

Général

  • Nom d'affichage : Effacer et installer macOS Monterey
  • Déclencheur : Aucun (activez Self Service à la place)
  • Fréquence d'exécution : En continu

Scripts

  • Script : Effacer le disque et installer macOS Monterey

Périmètre

  • Cibles : Installer l'application macOS Monterey mise en cache (groupe d'ordinateurs intelligent)
  • Exclusions : Mac Apple Silicon (groupe d'ordinateurs intelligent)

Self Service

  • Noms des boutons : Effacer et Installer
  • Description : Attention — Votre Mac est sur le point d'être entièrement effacé et macOS réinstallé. Avant de continuer, copiez tous les fichiers importants et toutes les données des utilisateurs sur un autre ordinateur ou sur un système de sauvegarde. Une fois votre Mac effacé, vous ne pouvez pas récupérer les données supprimées. (Pensez à utiliser markdown pour souligner votre message.)
  • S’assurer que les utilisateurs consultent la description : Activé

Ajoutez une icône de bouton, attribuez des catégories et enregistrez la règle. À mesure que les Mac s'enregistrent, ils téléchargeront et installeront le programme d'installation Monterey et mettront à jour l'inventaire. La règle Self Service permettant d'effacer et d'installer Monterey sera ensuite disponible pour tous les utilisateurs ou ceux de votre périmètre. Veuillez noter que cette règle exclut les Mac Apple Silicon. Ces ordinateurs nécessitent une version légèrement différente du script (voir ci-dessous).

Important : Le programme d'installation Monterey fonctionne différemment des programmes d'installation précédents. Au lieu de redémarrer le Mac immédiatement et de prendre ensuite 20 à 50 minutes pour installer et configurer le logiciel, Monterey effectue la majeure partie de son installation et de sa configuration avant le redémarrage du Mac. Cela donne l'impression que rien ne se passe pendant environ 20 à 30 minutes, voire plus, puis un logo Apple s'affiche très brièvement (généralement moins de cinq minutes) à la fin.

Pensez à ajouter une explication de ce qui se passe, via un écran jamfHelper, par exemple, au début du script « Effacer le disque et installer macOS Monterey ». Ajoutez les lignes suivantes juste avant la commande echo :

Mac Apple Silicon exécutant Big Sur ou une version antérieure

L'année dernière, Apple a mis à jour ses gammes de produits en y intégrant sa nouvelle puce M1 Apple Silicon. Les Mac Apple Silicon ont introduit le concept de « propriété du volume » qui affecte spécifiquement la fonctionnalité d'effacement et d'installation de la commande startosinstall.

Pour exécuter startosinstall, il faut que le « propriétaire » du Mac, c'est-à-dire l'utilisateur qui a revendiqué un Mac en premier en le configurant pour son propre usage, approuve l'exécution de la commande en fournissant un nom d'utilisateur et un mot de passe. Ce sont des informations dont Jamf Pro ne disposera pas. Il est par ailleurs possible que le propriétaire de volume ne soit pas administrateur.

Alors, que pouvons-nous faire en tant qu'administrateurs ? Il y a deux options qui s'offrent à nous, mais aucune n'est géniale. Les deux nécessitent de récupérer le nom d'utilisateur et le mot de passe du « propriétaire », et de les fournir à la commande startosinstall.

En cas de mot de passe connu

Si le comportement de macOS est le même sur Apple Silicon que sur les Macs Intel, la commande startosinstall comporte deux paramètres supplémentaires spécifiques à Apple Silicon, qui sont :

  • --user — un admin qui autorise l'installation
  • --stdinpass — recueillir un mot de passe de stdin sans interaction

Dans le cadre de notre commande, nous devons fournir le nom d'utilisateur et le mot de passe d'un compte avec un jeton sécurisé. Nous connaissons aujourd'hui le jeton sécurisé principalement comme une exigence pour utiliser FileVault.

La commande ressemble à ce qui suit :

Cet exemple fournit le nom d'un compte administrateur « adminuser » vers la fin de la commande et le mot de passe du compte administrateur « P@55w0rd » en clair au début. Idéalement, le mot de passe doit être masqué d'une manière ou d'une autre afin de le garder secret.

L'avantage de la commande ci-dessus est qu'elle peut toujours être utilisée dans une règle de Self Service pour permettre à l'utilisateur final d'effacer son Mac et de réinstaller macOS. Les inconvénients sont que l'administrateur de Jamf Pro doit connaître un nom d'utilisateur et un mot de passe admin pour chaque ordinateur, et que le mot de passe est exposé à toute personne ayant des privilèges Scripts et/ou Règles dans Jamf Pro.

Veillez à définir les exclusions de la règle sur « Mac Intel ». Faute de quoi, les politiques pour les Mac Intel et Apple Silicon sont les mêmes.

En cas de mot de passe inconnu

Mais qu'en est-il si nos utilisateurs finaux ont reçu leurs nouveaux Macs en livraison directe et qu'ils sont devenus les propriétaires du volume pendant l'installation ? Ensuite, nous devons leur demander de fournir leurs noms d'utilisateur et leurs mots de passe à l'aide d'une boîte de dialogue.

Pour quelque chose qui offre beaucoup d'options aux administrateurs, envisagez d'utiliser le projet « erase-install » de Graham Pugh. Il fournit un wiki détaillé en huit étapes qui peuvent inclure la récupération d'un nouvel installateur, la demande d'identifiants à l'utilisateur final et la fourniture d'informations d'état à l'aide de jamfHelper (comme indiqué ci-dessus) ou de DEPNotify.

Mac avec puce Intel T2 et Mac Apple Silicon exécutant Monterey

Monterey introduit une nouvelle fonctionnalité empruntée à iOS dans macOS - Effacer tout le contenu et les paramètres.

iOS pratique depuis longtemps le concept de partition de son stockage : un volume en lecture seule pour le système d'exploitation et un volume en écriture pour les applications et les données utilisateur. Du fait de ce partitionnement, les appareils ne sont jamais complètement effacés lors de leur réinitialisation. La partition utilisateur est bien supprimée et recréée, ce qui ne prend que quelques minutes.

En choisissant Réglages > Général > Transférer ou réinitialiser (iOS 15) > Effacer contenu et réglages, vous effacez les applications et les données, déconnectez tout identifiant Apple existant, désactivez la fonction de localisation et supprimez les informations de carte de crédit stockées dans Apple Wallet.

Depuis macOS High Sierra 10.13, Apple a abandonné le système de fichiers HFS+ au profit d'APFS, ce qui a ouvert la voie à de nombreuses capacités intéressantes et à une sécurité considérablement améliorée. Plus tard, dans Catalina, elle a adopté le schéma de partitionnement d'iOS pour séparer le Macintosh HD en lecture seule (pour le système d'exploitation) et le Macintosh HD - Data en écriture (pour les applications et les données utilisateur).

Grâce à APFS et à d'autres schémas de partitionnement similaires, Monterey offre désormais la possibilité de réinitialiser un Mac dans un état comparable à son état de sortie d'usine, en supprimant toutes les données utilisateur. Cependant, cela ne réinitialise pas le système d'exploitation à ses réglages d'usine par défaut. Si un Mac a été livré avec Monterey 12.0.1 et a été mis à jour ultérieurement vers Monterey 12.1.0, il restera en 12.1.0 une fois tout le contenu et les réglages effacés.

Et ce processus prend moins de cinq minutes !

Même si le processus ne se fait pas en un seul clic, il reste simple. Les utilisateurs finaux peuvent ouvrir les Préférences Système et choisir Effacer contenu et réglages.

Alternativement, pour ajouter cela à Self Service, les administrateurs de Jamf Pro peuvent créer une règle qui inclut une entité Fichiers et Processus pour exécuter la commande :

L'assistant d'effacement nécessite toujours une interaction. La personne assise devant le Mac doit fournir un nom d'utilisateur et un mot de passe administrateur pour continuer.

Si l'utilisateur final est connecté avec un Identifiant Apple (Apple ID), il devra fournir le mot de passe pour s'en déconnecter.

Enfin, les Mac à puce Intel T2 et les Mac Apple Silicon équipés de Monterey permettent non seulement à l'utilisateur local d'exécuter l'option Effacer contenu et réglages, mais aussi de l'exécuter à distance à partir d'un MDM.

Lorsqu'un administrateur Jamf Pro envoie la commande Wipe Computer à partir de l'enregistrement de l'ordinateur et que le logiciel détecte un Mac à puce Intel T2 ou un Mac Apple Silicon exécutant Monterey, il envoie une commande EraseDevice au lieu d'une commande Wipe. Là encore, cela préserve le système d'exploitation macOS installé tout en supprimant en toute sécurité les données des applications et des utilisateurs.

Remarque : Il n'y a plus de raison de nettoyer complètement un Mac à puce Intel T2 ou un Mac Apple Silicon fonctionnant sous Monterey, que ce soit pour réutiliser l'appareil ou le préparer à la mise au rebut. Les données de l'utilisateur ont été chiffrées sur le disque tout du long, même sans activer FileVault. Le fait d'effacer le contenu et les réglages détruit les clés de chiffrement permettant d'accéder aux informations.

Privilégier la mise à niveau à l’effacement

Grâce à une simple modification, le workflow startosinstall peut mettre à niveau un Mac vers macOS Monterey à partir d'un système d'exploitation OS X Yosemite 10.10 ou ultérieur en préservant les applications, les données et les réglages de l'utilisateur. Il peut aussi réinstaller Monterey. Dans le cas d’une installation corrompue, l’installation de la même version de macOS permet parfois de résoudre les problèmes constatés.

Modifiez le script « Effacer le disque et installer macOS Monterey » ou clonez-le pour en créer un nouveau et renommez-le « Mettre à niveau vers macOS Monterey ». Ajustez ensuite la commande afin de ne pas utiliser les options --eraseinstall et --newvolumename. Créez une nouvelle règle et ajoutez le script. Définissez son périmètre aux Mac qui en ont besoin.

Encore une fois, cela ne fonctionnera que pour les Mac Intel. Pour les Mac Apple Silicon fonctionnant sous Big Sur ou une version antérieure, le script devra inclure le nom d'utilisateur et le mot de passe du propriétaire du volume, ou bien il devra demander à l'utilisateur ces identifiants. Le script erase-install de Graham Pugh, que nous avons mentionné plus haut, offre la possibilité de mettre à niveau les Mac plutôt que de les effacer.

Par ailleurs, Jamf Pro est en mesure d'envoyer une commande MDM aux Mac Intel équipés de la puce T2 et aux Mac Apple Silicon à l'aide d'une commande d'action de masse.

Par défaut, la commande de mise à jour de macOS exclut les versions majeures (Jamf Pro ne mettra pas à jour un Mac de Big Sur à Monterey, par exemple), sauf si l'administrateur active explicitement l'option permettant d'inclure les mises à jour majeures. Cette fonctionnalité n'est disponible qu'en tant que commande d'action de masse et n'est pas proposée comme option lors de l'affichage d'un seul ordinateur.

Dans Jamf Pro, il faut utiliser une recherche avancée d'ordinateurs ou un groupe d'ordinateurs intelligent pour voir une liste des Macs à mettre à jour. Choisissez Envoyer des commandes à distance et cliquez sur Suivant. Choisissez la deuxième option pour mettre à jour la version du système d'exploitation puis, en bas de la page, sélectionnez l'option permettant de télécharger et d'installer la mise à jour. Enfin, activez Inclure les mises à jour majeures.

Soyez très prudent avec cette commande. Toute mise à niveau nécessite de redémarrer le Mac, et les utilisateurs finaux ne seront pas avertis. Cette fonctionnalité de mise à niveau est idéale pour mettre à niveau les ordinateurs de laboratoires scolaires ou d'autres machines partagées.

Conclusion

Beaucoup de choses ont changé ces deux dernières années notamment en ce qui concerne la réinstallation à distance d'un système d'exploitation.

  • Empêcher les mises à niveau indésirables de macOS est plus difficile, mais reste gérable, surtout avec Jamf Pro.
  • Big Sur 11.3 et les versions ultérieures détectent plusieurs options de mise à jour ou de mise à niveau, et pas seulement la plus récente.
  • Monterey inaugure certaines capacités de gestion attendues de longue date.
  • Il y a plusieurs façons d'obtenir des programmes d'installation de macOS qui sont plus faciles à utiliser.
  • Nous avons deux architectures d'ordinateur (Intel et Apple Silicon) qui ont chacune leurs propres fonctionnalités de gestion avec des nuances.
  • Les disques formatés APFS nous offrent des options intéressantes pour effacer et réinstaller (ou non) macOS.
  • La commande softwareupdate pour le téléchargement des versions de macOS n'est pas seulement plus fiable, elle est aussi plus robuste.
  • Le temps de l'effacement des disques et de la réinstallation des systèmes d'exploitation touche à sa fin ! Les administrateurs peuvent réinitialiser les Macs Intel et Apple Silicon les plus récents fonctionnant sous Monterey pour les remettre dans un état similaire à celui de sortie d'usine en moins de cinq minutes, prêts à être réenrôlés dans Jamf Pro.

Nous sommes encore en terrain inconnu avec Monterey, mais les conditions ne sont pas inhabituelles. Nombre de nos commandes fonctionnent encore. Et nous avons un nouveau workflow de réinitialisation des Mac que de nombreux administrateurs utilisent déjà pour les iPhones et iPads dans leurs environnements. Monter des images disque, c'est fini. Maintenant on recommence de zéro.

Découvrez ce que Jamf peut faire pour vous

Tester Jamf Pro

Bill Smith
S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.