« L’Imaging, c’est dépassé ! » Et maintenant on fait quoi ? (Partie 1)

On entend depuis un certain temps des bruits de couloir, qui disent que : « l’Imaging, c’est dépassé ». Super. Alors ou bien c’est vraiment une bonne chose, ou bien ce sont les trois mots les plus flippants qu’on puisse prononcer devant un administrateur IT. Des questions se posent alors... Qu’est-ce que je vais faire maintenant ? Quelle somme de travail est-ce que le passage à un autre workflow va représenter ? Où est-ce que je vais trouver le temps de tester tout ça et d’élaborer d’autres processus ? Comprenez-vous que je suis le seul administrateur IT et que je suis déjà occupé à faire tout le reste ? Cela fait des années et des années que je travaille avec l’Imaging monolithique ! Le monolithique, ça fonctionne, tout simplement. Il n’y a que des arguments valables en sa faveur. L’Imaging telle que nous la connaissons a changé avec l’introduction d’APFS (système de fichiers Apple exclusif). Ne vous inquiétez pas, si vous êtes un utilisateur Jamf Pro, vous avez déjà travaillé avec les procédures et workflows nécessaires pour créer un nouveau processus d’approvisionnement plus efficace au sein de votre organisation, qu’il s’agisse d’une entreprise ou d’un établissement scolaire !

L’Imaging monolithique appartient en effet au passé. Jamf a la capacité d’effacer un ordinateur, d’enrôler un ordinateur et d’installer si nécessaire les logiciels pour votre utilisateur final, quel que soit l’endroit où vous vous trouvez dans le monde, et sans qu’un administrateur IT ait un contact physique avec l’appareil. Comment ? On dirait qu’il s’agit d’une méthode Licorne où, uniquement dans des lieux de travail ou des environnements très spécifiques, les planètes nécessaires s’aligneraient pour que tout fonctionne bien. Ce n’est pas le cas. Nous avons des organisations de toutes tailles et de toutes formes qui utilisent de nouvelles méthodes. Je vais mettre en avant certaines d’entre elles. Et, oui, toutes sont des solutions validées par Jamf pour approvisionner vos appareils. Tout ce que vous voyez ci-dessous est pris en charge par Jamf.

Qu'est-ce qu'une "image" et comment l’applique-t’on a un ordinateur ?

Car c’est bien là que tout commence, n’est-ce pas ? Ce processus signifie le sortir de sa boîte, le raccorder à Ethernet et Netboot, ou à un disque dur externe et cloner des données d’un gros périphérique de stockage sur l’appareil cible. Génial. Quel est le résultat ? Un ordinateur prêt à être déployé, doté du bon système d’exploitation (OS), des applications, des personnalisations et des réglages/paramétrages de sécurité. Mais maintenant, puisque « l’imaging, c’est dépassé », plongeons ensemble dans ce monde rêvé du zero touch et voyons si nous pouvons travailler à l’envers.

Le résultat souhaité

Première tâche : s’asseoir, se préparer un café et ouvrir l’éditeur de feuille de calcul. Si vous voulez un appareil prêt au déploiement, avec dessus toutes vos applications et personnalisations en guise de référence, apportez tout ça aussi. Dans la colonne A de la feuille de calcul, répertoriez chaque application, réglage et personnalisation, avec un élément par ligne. Imaginez tout ce qu’il faut faire sur l’appareil avant que vos utilisateurs finaux puissent les manier à volonté. Par exemple, si vous déployez Chrome et une page d’accueil, ces deux éléments apparaissent sur deux lignes séparées. Si vous déployez « Réglages réseau », un SSID par ligne, un VPN par ligne, une configuration 802.1x par ligne, etc. Si vous avez déjà une checklist d’éléments que vous déployez, c’est super ! Vous pouvez maintenant tout passer en revue et vous assurer que la checklist est à jour et qu’elle ne date pas de l’hiver 2014 ! Vous penserez peut-être « Je sais ce que je suis en train de déployer, inutile de le noter pour ne pas l’oublier. » Cette liste ne vise pas à tester vos connaissances, elle sert juste de base de données factuelles pour l’élaboration de vos nouveaux workflows d’Imaging/d’approvisionnement dans Jamf Pro. Je suis certain qu’une fois que vous aurez tout noté, et que vous comparerez vos notes à ce que vous avez configuré dans Jamf Pro (éléments prêts au déploiement ou déjà en cours de déploiement), le nombre de nouveaux éléments que vous aurez besoin d’ajouter sera beaucoup moins élevé que prévu. La colonne B correspondra à la catégorie dans laquelle se trouve l’élément correspondant sur la ligne. Réglages, personnalisations, applications ou OS. Vous devriez définir un libellé pour chacun de ces éléments et leur attribuer une catégorie.

L’organisation est essentielle

Lorsque l’on crée un nouveau workflow/une nouvelle procédure de déploiement, il vaut mieux être aussi organisé que possible. Si vous venez de rejoindre votre organisation et que l’administrateur précédent avait son propre mode de fonctionnement, il est temps de procéder comme vous l’entendez et de documenter ce que vous avez créé et conçu, surtout quand il faut former un nouvel administrateur pour votre organisation, ou à des fins de reporting. Une chose qu’il faut toujours garder à l’esprit est la convention de dénomination de vos règles, applications, noms de fichiers et groupements. Or ces conventions diffèrent en fonction de chaque organisation. Choisissez une convention de dénomination qui fonctionne pour votre environnement et qui fasse sens pour vous. Suivez ce schéma par exemple : « APPNAME-VERSION.pkg », ce qui donnerait : « Google Chrome-67.0.3396.79.pkg » ou : « CATEGORY-APPNAME-VERSION_DATECREATED.pkg », ce qui donnerait : « Navigateur-Google Chrome-67.0.3396.79_20180513.pkg. » Ainsi, lorsque vous recherchez une application, vous pouvez la retrouver par catégorie, et si vous voulez vous assurer que vous n’êtes pas en train de remplacer la nouvelle version par l’ancienne, la version se trouve dans le nom de fichier. S’il s’agit d’un réglage : « SETTING_APPNAME-WHATSADJUSTED_DATECREATED.dmg » comme dans « Réglage_Google Chrome-Pageaccueil_20180513.dmg ». Il existe certainement de nombreuses itérations de ce qui précède, mais si vous disposez d’une convention de dénomination, vous vous épargnerez à long terme beaucoup de temps et d’efforts.

Réglages/sécurité

Si vous avez utilisé Jamf Pro auparavant ou que vous avez un autre fournisseur de solution de gestion des appareils mobiles (MDM), l’ajout de réglages à des appareils déjà déployés dans l’environnement ne sera pas quelque chose de nouveau. Lorsque vous déployez ces réglages via Jamf Pro, vous disposez de profils de configuration, de règles et d’applications restreintes. Il arrive certainement parfois que vous ayez envie d’utiliser une entité (payload) plutôt qu’une autre, ou qu’un appareil ait besoin de réglages différents de ceux qui l’entourent (p.ex. ordinateur de bureau vs portable, étudiant vs professeur, graphiste vs PDG). La meilleure méthode pour assurer un bon déploiement est de créer un réglage particulier par option de déploiement. Par exemple, on pourrait garder une configuration 802.1x par profil de configuration. Lorsque vous déployez les préférences du Finder et les règles de Veille/Économiseur d’écran, vous devriez créer deux règles distinctes, une pour les préférences du Finder et une autre pour les règles de Veille/Économiseur d’écran. Si, dans une configuration de profil, vous combinez une entité de mot de passe local, deux SSID avec des mots de passe définis pour une connexion automatique (« autojoin ») et des réglages VPN dans un seul et même profil, vous aurez besoin d’adapter l’un des mots de passe SSID ou réglages VPN, il n’y aura pas de mises à jour delta des réglages, et lors de la suppression/du remplacement du nouveau profil, il n’y aura plus d’Internet sur l’appareil. Ce qui n’est pas le but visé. Au lieu de cela, le fait d’avoir chaque réglage ou groupe de réglages nécessaire séparé vous permet de déployer des réglages spécifiques sur n’importe quel appareil cible désiré, au moment de l’approvisionnement.

Personnalisations

C’est le moment idéal pour simplifier vos workflows d’approvisionnement et éliminer les déploiements inutiles. Comme tous les réglages, généraux ou portant sur la sécurité, les personnalisations de l’OS proprement dit ou de l’environnement utilisateur visent à modifier d’une certaine manière l’espace ou les applications des utilisateurs. Auparavant, lors de la création d’une image monolithique, vos personnalisations des pages d’accueil de navigateurs, les apps par défaut s’ouvrant au moment de vous connecter et les préférences des applications de messagerie et de calendrier étaient adaptées une seule fois puis déployées sur tous les appareils souhaités via la copie de bloc. Jamf Composer a la capacité d’enregistrer ces réglages exacts et de les déployer sur les appareils clients. (Le scripting programmatique pourrait certainement les déployer également.) Dans Composer, vous pouvez enregistrer uniquement les personnalisations que vous souhaitez déployer, les regrouper dans des fichiers .pkg ou .dmg et les ajouter à Jamf pour un déploiement via les règles. Si vous n’avez pas l’habitude de Composer, ne vous inquiétez pas, ce didacticiel vidéo est là pour vous aider ! Vous préférez plutôt lire des instructions ? Alors consultez le le Guide de l’utilisateur Composer.

Maintenant que vous savez comment gérer cette personnalisation, réfléchissez à chaque application et réglage que vous auriez normalement besoin d’adapter, et vérifiez si cela est vraiment nécessaire ou si vous êtes simplement en train de respecter les règles qui s’appliquaient il y a 10 ans par un effet de mémoire motrice.

Applications

Retournez à votre liste d’éléments à déployer sur un appareil avant de remettre l’appareil à l’utilisateur final. Trouvez les applications dans la liste et rassemblez dans un dossier sur le bureau de votre ordinateur tous les programmes d’installation et éléments nécessaires qu’il faut pour installer l’application, comme si vous réalisiez cette tâche pour la première fois. Vous constaterez que la plupart de ces éléments demandent un déploiement individuel, à savoir un fichier .dmg ou .pkg, tandis que le reste pourra être regroupé dans un dossier avec de multiples éléments ayant besoin d’être installés les uns à la suite des autres. À la fin, chacun(e) de ces programmes d’installation/applications aura ses propres règles. Vous devrez également vérifier que chaque paquet que vous uploadez sur Jamf fonctionne bien lorsqu’il est déployé à partir de Jamf. Tout cela afin de garantir que le résultat serait le même si vous l’installiez sur l’appareil que vous utilisez. Et comme toujours, testez, testez et retestez. D’un côté, si le fichier que vous téléchargez de chez le développeur/fabricant est un .dmg 99,9 % du temps, il faudra le repackager dans Composer. De l’autre côté, la majorité des fichiers .pkg en circulation n’ont pas besoin d’être repackagés et sont prêts à être redéployés tels quels !

Revenons à votre liste. Pour chaque app, dans la colonne suivante, indiquez si le programme d’installation est une app du Mac App Store, un fichier .pkg, .dmg, un dossier ou des fichiers multiples, nécessaires pour terminer l’installation. Et dans la dernière colonne, ajoutez les éventuelles restrictions d’OS, car certaines apps ne sont pas compatibles avec les dernières versions des systèmes d’exploitation et ont besoin d’une mise à jour. Créez un autre dossier sur votre bureau appelé Ready to Upload (Prêt à uploader). Vous y placerez vos fichiers .pkg et programmes d’installation repackagés prêts à être uploadés sur Jamf. Consultez le dossier contenant tous les programmes d’installation que avez regroupés et faites cmd+select pour chaque .pkg que vous trouvez, copiez ce groupe et collez-le dans le dossier Ready to Upload. Pour tous les autres, utilisez la méthode de l’aperçu instantané dans Composer ou la fonction glisser-déposer pour les fichiers .dmg concernant des apps uniquement et les multiples programmes d’installation. Comment faire ? Procédez de la même façon que vous l’avez fait avec Composer pour créer ces personnalisations. Trouvez un ordinateur (ou une machine virtuelle) sur lequel l’application souhaitée n’est pas encore installée, ouvrez Composer, créez le premier instantané lorsque l’app n’est pas installée, terminez l’installation comme si vous l’installiez sur votre ordinateur, puis créez l’instantané final. Veillez à ce qu’aucun autre fichier n’atterrisse dans ce groupe et bouclez le paquet ! Une fois que tous vos .dmg et dossier/fichiers d’installation multiples sont repackagés, ajoutez-les au dossier Ready to Upload. Si votre élément n’a pas de programme d’installation, il vient probablement du Mac App Store donc aucun packaging/upload n’est nécessaire. Assurez-vous que toutes les applications de votre liste ont un .pkg ou .dmg correspondant ou peuvent être trouvées dans le Mac App Store. Sinon, contactez le fabricant pour que le programme d’installation soit uploadé sur Jamf

Système d’exploitation

Depuis OS X Lion, Apple a permis que d’importantes mises à jour du système d’exploitation soient installées avec un simple programme d’installation présent sur l’ordinateur et géré par une commande. Cela vaut encore aujourd’hui. Les appareils compatibles avec macOS High Sierra peuvent être mis à jour avec l’app Apple Store « Install macOS ___.app » et installés via Jamf. Il existe de nombreux workflows qui permettent de remettre à jour des ordinateurs obsolètes s’ils sont « dans la nature ». Mais si votre environnement utilise High Sierra, il convient de passer à 10.13.4. Tout appareil sortant de l’usine sera également équipé au minimum de la version 10.13.4. Pourquoi ? Le Système de Fichiers d’Apple (Apple File System, APFS) a commencé à s’éloigner de l’Imaging. Avec APFS, Apple a introduit le binaire « startosinstall » avec la capacité « --eraseinstall » dans 10.13.4. C’est véritablement là que commence la grandeur de l’automatisation. En utilisant la ligne de commande ou tout autre processus présenté ci-après, vous pouvez effacer et installer un ordinateur en restaurant les réglages d’origine comme vous pouvez le faire avec un appareil iOS. Que l’ordinateur soit dans un labo et verrouillé, que votre employé soit parti pour découvrir de nouveaux horizons ou que vos étudiants viennent de terminer leur semestre, vous pouvez, grâce à Jamf, effacer les données de l’ordinateur, enrôler celui-ci ou le réapprovisionner sans fil !

Dans le prochain article, nous verrons comment créer les règles nécessaires pour déployer des paquets et des scripts.

Vous n’êtes pas encore un client de Jamf ? Profitez d’un essai gratuit pour essayer vous-même notre solution.