La version la plus récente du MacBook Pro est équipée de la nouvelle puce T2. Cette dernière a été introduite pour la première lors de la sortie de l’iMac Pro à la fin de l’année dernière. La puce T2 apporte des fonctionnalités de sécurité impressionnantes pour les organisations d’entreprise utilisant des appareils Apple qu’elles soient nouvelles et ou de longue date. Parmi ces fonctionnalités de sécurité figure une séquence de démarrage sécurisée. Le paramètre par défaut est défini sur "mode de sécurité complet". Ce qu’il faut noter ici c’est que lorsque le mode de sécurité complet est sélectionné, tout logiciel chargé au démarrage (par exemple le système d’exploitation lui-même) nécessite une connexion Internet et doit être vérifié par Apple.
Ce dernier point devrait déclencher un signal d'alarme pour les organisations déployant Apple à grande échelle en utilisant des méthodes d'approvisionnement traditionnelles telles que le démarrage à partir de disques externes ou le réseau pour extraire une image disque clonée monolithique. Ces deux méthodes ne requièrent aucune vérification par Apple et donc ne répondent pas aux exigences de la puce T2. Alors que doivent faire les organisations ?
Le chemin vers la gestion moderne des appareils Apple
La bonne nouvelle est que cela ne devrait pas être une surprise totale puisque cette tendance n’est pas récente. Au cours des deux dernières années, Apple a publié divers articles concernant son positionnement envers l’imaging. Apple propose plutôt un programme de déploiement, anciennement connu sous le nom de DEP (Device Enrollment Program) - désormais intégré à Apple Business Manager - qui permet aux entreprises de configurer des appareils immédiatement après une connexion Internet réussie.
Outre l’enregistrement automatisé des appareils, Apple Business Manager, associé à une solution de gestion, facilite l’application des fonctions de sécurité, maintient les appareils à jour et garantit le respect des règles de l’entreprise.
Alors, comment les organisations qui n'utilisent pas ces programmes actuellement, mais qui ont du nouveau matériel, se débrouillent-elles ? En un mot, ils doivent maintenant s’inscrire au programme et parler à leur fournisseur Apple de l’inscription rétrospective des appareils qu’ils ont achetés. Il s’agit d’établir une ligne de confiance pour les achats, de sorte qu’à l’activation, les appareils puissent être vérifiés pour savoir s’ils ont été effectivement achetés par l’organisation qui les a configurés. Les entreprises ne devraient pas essayer de réorganiser le processus et de continuer à essayer de faire fonctionner les anciennes techniques d'imagerie. À tout le moins, si les organisations ne peuvent, pour quelque raison que ce soit, s’inscrire aux programmes de déploiement d’Apple, une plateforme MDM devrait être utilisée pour les tâches de gestion de base, telles que l’effacement à distance, le verrouillage à distance et le chiffrement de disque.
Les méthodes d'imagerie traditionnelles étant progressivement éliminées, les organisations devront faire face à plusieurs défis pour passer à des flux de travail plus modernes. Active Directory est un excellent exemple. De nombreuses entreprises s'appuient fortement sur un service d'annuaire pour fournir une authentification et autorisation. Étant donné que davantage d'employés choisissent de travailler à distance, cela empêche-t-il l'utilisateur de choisir un mot de passe central pour accéder aux actifs de l'entreprise ? En bref, oui.
À l'aide d’une solution de gestion, il est simple de gérer les paramètres de mot de passe du compte utilisateur local, sans avoir à recourir à une connexion au siège pour modifier un mot de passe. Une approche astucieuse consiste à gérer les comptes locaux sur l'appareil et à sécuriser les données de l'entreprise accessibles via le cloud en utilisant un fournisseur d'identité comme Okta pour fournir une authentification à deux facteurs.
Puissance des fournisseurs d'identité et d’une solution MDM
Prenons l'un des plus grands fournisseurs d'identité, Azure Active Directory (AAD) de Microsoft. Le répertoire de Microsoft n'est même pas basé sur les attributs LDAP traditionnels (en mode natif) et offre toute une gamme de fonctionnalités de sécurité que les organisations recherchent. L'une de ces fonctionnalités est l'idée de l'accès conditionnel pour leur gamme d'applications Microsoft Office 365 (ainsi que pour d'autres).
L'idée est simple, configurez certaines règles de conformité pour les périphériques afin de permettre aux utilisateurs d'accéder aux applications. Par exemple, configurez une stratégie qui accorde uniquement l'accès à Outlook si votre terminal exécute la dernière version du système d'exploitation. Si un périphérique n'est pas conforme, l'accès n'est pas autorisé.
Dans un monde où de plus en plus d’informations proviennent du réseau de sécurité d’un réseau interne et sont accessibles via le cloud, cette fonctionnalité de Microsoft permet aux administrateurs d’autoriser uniquement l’accès aux utilisateurs de confiance, à l’aide d’appareils de confiance. En exclusivité, les clients utilisant à la fois Microsoft et Jamf peuvent bénéficier de ces mêmes règles de conformité et s’appliquer également à leur parc d’appareils macOS ! Avec cette intégration, les périphériques sont gérés par Jamf, la conformité est vérifiée par MS et un processus de correction convivial est fourni via Jamf Self Service pour mettre les appareils non conformes en conformité.
Avantages de macOS Mojave
Avec macOS Mojave, l'installateur est équipé de commandes d'automatisation sous la forme de "startosintall --eraseinstall". Ces commandes permettent aux administrateurs de créer des scripts distants qui déclenchent un effacement du disque dur en un seul clic. En utilisant quelque chose comme Self Service de Jamf Pro, les administrateurs peuvent permettre à l'utilisateur final d'effectuer lui-même des mises à niveau, tout en contrôlant le processus en arrière-plan.
Les nouveautés Apple permettent administrateurs de passer à une méthode plus moderne de gestion des appareils mobiles. Cela dit, si vous examinez ce que fait Microsoft avec Windows 10 et le pilote automatique, vous pouvez constater que ce changement n’est pas spécifique à Apple et qu’il s’agit en fait d’une transformation à grande échelle dans le secteur.
Avez-vous des questions sur vos workflows de déploiement ? Contactez-nous pour en savoir plus.
Vous n'êtes pas déjà client et souhaitez voir certains de ces workflows en action ? Demander un essai gratuit.
S’abonner au blog de Jamf
Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.