Het is belangrijk om van eerdere lessen te leren.

• Apple hanteerde de afgelopen tien jaar een jaarlijkse grote releasecyclus voor zijn Mac-besturingssysteem. In 2011 werd Mac OS X Lion (10.7) uitgebracht en sindsdien is er elk jaar een nieuwe versie bijgekomen.
• Ook is de omvang van de installatieprogramma's van het Mac-besturingssysteem in die tien jaar aanzienlijk toegenomen. De OS X Lion 10.7-installer was ongeveer 4,72 GB groot. De meest recente macOS Monterey 12.0.1-installer is ongeveer 12 GB – bijna driemaal zo groot.
• De huidige macOS wordt steeds meer bedreigd door malware en probleemveroorzakers. Alledaagse malware zoals virussen en wormen zijn nog steeds minimaal tot niet-bestaand. Volgens een rapport van USA Today is het aantal bedreigingen van malware verborgen in apps of schadelijke downloads in 2019 echter verviervoudigd.

Wat kunnen wij als beheerders hier van leren?

• Apple is zijn Mac-besturingssysteem agressief aan het updaten. Dit is geen nieuw of veranderd gedrag. Het is een vast patroon dat al tien jaar lang bestaat. Beheerders kunnen niet verrast over of onvoorbereid zijn op een jaarlijks nieuwe macOS-versie.
• Naarmate de omvang van macOS-installatieprogramma's toeneemt, wordt de complexiteit van het invoeren ervan exponentieel groter. Nu duurt het drie keer zo lang om een installatieprogramma te downloaden en kost het drie keer meer ruimte om ze op Mac-eindpunten op te slaan plus drie keer meer werkschijfruimte om te draaien. En hoewel de installatietijd relatief constant is gebleven (20 tot 50 minuten), duurt het upgradeproces nog steeds lang.
• En veel van de agressieve jaarlijkse updates komt voort uit de toegenomen aandacht van Apple voor zowel privacy als beveiliging, naarmate zijn voetafdruk in de wereld groter wordt. Mac's, die tegenwoordig twee keer zoveel ruimte in beslag nemen als tien jaar geleden, zijn tegenwoordig een groter doelwit voor spyware en ransomware.

Grote macOS-upgrades zijn belangrijk omdat elke nieuwe upgrade niet alleen nieuwe functies met zich meebrengt, maar ook verbeterde beveiliging en privacy van eindgebruikers. Maar ze moeten zorgvuldig worden gepland en grondig worden getest voordat ze in de hele organisatie worden ingevoerd.

We hebben deze blogpost de afgelopen jaren bij elke nieuwe upgrade bijgewerkt. Laten we verdergaan met de nieuwste upgrade van Apple Monterey.

Opnieuw beginnen

Het wissen en opnieuw installeren van een schone macOS is nu een veelgebruikte workflow voor het opnieuw inrichten van Macs voor meerdere gebruikers of doeleinden of als je gewoon helemaal opnieuw wilt beginnen. Apple begon met de introductie van deze tools in zijn macOS High Sierra 10.13.4-installatieprogramma, en het proces is blijven evolueren en verbeteren tot aan Monterey.

Het afgelopen jaar is er veel veranderd. Laten we wat tijd besteden aan het bespreken van nieuwere manieren om Monterey-installaties te beheren, zoals:

• Installaties beperken
• Het macOS-installatieprogramma uitvoeren
• Macs identificeren die in aanmerking komen om gewist te worden, te installeren of te verbeteren
• Het macOS-installatieprogramma op afstand beheren
• Nieuw - Alle content en instellingen wissen

Installaties beperken

Niet elke beheerder is zover om Monterey te ondersteunen, maar soms zijn onze eindgebruikers ons voor en installeren ze het zelf. Welke stappen kunnen we nemen om te voorkomen dat onze eindgebruikers een nieuwe grote macOS-versie installeren? Houd er rekening mee dat eindgebruikers het installatieprogramma kunnen downloaden en dit op meerdere manieren kunnen laten draaien. Dit betekent meestal dat we meer dan één stap moeten nemen.

"Niet doen"

De eenvoudigste methode om ongewenste installaties te voorkomen, is door eindgebruikers te informeren over het beleid van je organisatie dat het 'installeren van belangrijke macOS-upgrades niet is toegestaan, tenzij dit door de IT-afdeling is geautoriseerd'. Zorg ervoor dat het IT-standpunt bij niet-naleving wordt gespecificeerd.

Dit voorkomt absoluut niet dat mensen het toch doen, maar het oefent autoriteit uit zonder privileges te verwijderen. Afhankelijk van je organisatie is dit misschien genoeg.

Negeren is niet langer een optie

Laten we het eerst hebben over de ignore-optie als onderdeel van de softwareupdate-opdracht, die we in het verleden gebruikten om macOS-updates te verbergen. Bij macOS Catalina 10.15 zag het er ongeveer uit als volgt:

Vanaf macOS Big Sur 11.0 is deze optie niet langer beschikbaar.

Om Monterey voor Macs te verbergen, kunnen beheerders alleen de automatische controle op software-updates uitschakelen en voorkomen dat eindgebruikers handmatig op updates controleren. Dit voorkomt echter niet dat een eindgebruiker het Monterey-installatieprogramma op een andere manier kan downloaden en installeren. Beheerders kunnen nog steeds vanuit Jamf Pro opdrachten uitvoeren om beschikbare updates op te halen en deze installeren.

De optie uitschakelen om automatisch op software-updates te controleren:

1. Selecteer in Jamf Pro Computers --> Configuratieprofielen en klik op Nieuw om een nieuw profiel aan te maken.
2. Geef een naam op zoals 'Automatische software-updates uitschakelen' in de Algemene laadcapaciteit.
3. Blader door de lijst met laadcapaciteiten naar Software-update en klik op Configuren.
4. Schakel 'Automatisch controleren op updates' uit en schakel ook alle andere gerelateerde opties uit.
5. Geef het profielbereik aan en bewaar het profiel om het in te voeren.

Dit profiel op zich is niet voldoende om te voorkomen dat eindgebruikers handmatig het deelvenster Software-update in Systeemvoorkeuren openen en op updates controleren. We moeten de toegang tot het deelvenster Software-update nadrukkelijk weigeren.

Als je al een configuratieprofiel voor Beperkingen implementeert, kun je dat profiel bewerken en Voorkeuren > Geselecteerde items uitschakelen > Software-update kiezen. Kies bij het opslaan van de optie om dit op alle computers in te voeren.

Het configuratieprofiel voor computerbeperkingen is nog niet gemoderniseerd, wat betekent dat het meer instellingen kan implementeren dan jij wil. Om zelf deze instelling in te voeren, gebruik je de aangepaste Manifest-functie van Jamf Pro.

1. Kopieer het GitHub-manifest 'macOS Disabled System Preference Panes.json'.
2. Selecteer in Jamf Pro Computers --> Configuratieprofielen en klik op Nieuw om een nieuw profiel aan te maken.
3. Geef het een naam zoals 'Software-update-venster uitschakelen'.
4. Blader door de lijst met laadcapaciteiten naar Applicatie en aangepaste instellingen en klik op Externe applicaties.
5. Klik op Toevoegen.
6. Stel de bron in op Aangepast schema.
7. Stel het Voorkeursdomein in op 'com.apple.systempreferences'.
8. Klik op de knop Schema toevoegen en plak de gekopieerde tekst van het GitHub-manifest in het veld Aangepast schema. Klik op Opslaan.
9. Voer in het veld Systeemvoorkeuren in deelvenster Identifier 1 'com.apple.preferences.softwareupdate'. in.
10. Geef het profielbereik aan en bewaar het profiel om het in te voeren.

Nadat het profiel is geïnstalleerd, wordt het deelvenster Software-update gedimd en is het niet meer toegankelijk voor Mac-gebruikers. Let op dat als er een update is gedetecteerd voordat het profiel is geïnstalleerd, er nog steeds een waarschuwingsbadge op het pictogram zal verschijnen.

Gebruik de Beperkte softwarefunctie van Jamf Pro

Beheerders kunnen de functie Beperkte software configureren, in Jamf Pro te vinden onder Computers, om gebruikers te waarschuwen of te verhinderen dat zij het Monterey-installatieprogramma uitvoeren. Deze functie kunnen we op verschillende manieren gebruiken, en kan zowel bij standaard eindgebruikers als bij beheerders worden toegepast.

1. Beperken op applicatienaam en de eindgebruikerwaarschuwen.

Dit zal ook niet helemaal voorkomen dat eindgebruikers Monterey installeren, maar we kunnen zowel hen als onszelf via e-mail waarschuwen op het moment dat ze de software proberen te installeren. Hiermee wordt niet gewaarschuwd bij pogingen om ondersteunde versies van macOS zoals Big Sur te installeren.

2. Het gebruik van het InstallAssistant-proces beperken en de eindgebruiker waarschuwen.

Een alternatief voor het beperken op applicatienaam, die de eindgebruiker kan wijzigen, is het beperken van de InstallAssistant-procesnaam. Dit is de naam van het proces dat wordt uitgevoerd wanneer op elk macOS-installatieprogramma wordt dubbelgeklikt en vensters worden weergegeven die het proces begeleiden. Dit zal niets doen als met de startosinstall-opdrachtregel het installatieprogramma wordt uitgevoerd.

3. Het gebruik van de applicatienaam beperken en het proces afbreken.

Dit is vergelijkbaar met de eerste methode, maar het bevat de Kill Process-optie. In plaats van de eindgebruiker toe te staan door te gaan, zal Jamf Pro binnen enkele seconden het installatieprogramma afsluiten voordat het verder kan gaan. Als je de optie Toepassing verwijderen toevoegt, wordt deze onmiddellijk verwijderd en wordt de prullenbak omzeild.

Houd er bij het beperken op toepassingsnaam rekening mee dat de eindgebruiker eenvoudig de naam van het installatieprogramma kan wijzigen en de beperking kan omzeilen.

4. Het gebruik van de InstallAssistant-procesnaam beperken en het proces afbreken.

Dit is vergelijkbaar met de tweede methode, maar het bevat de Kill Process-optie en kan ook de optie Delete Application bevatten. Dit voorkomt dat elk macOS-installatieprogramma wordt gestart wanneer erop wordt dubbelgeklikt, inclusief Monterey, Big Sur, enz.

Grote of kleine updates tot 90 dagen uitstellen

Net als bij het negeren van updates staat Apple het uitstellen van updates toe tot 90 dagen vanaf het moment dat ze voor het eerst worden uitgebracht (niet wanneer de Mac de updates voor het eerst ziet). Updates in deze periode verschijnen niet in het deelvenster Software-update in Systeemvoorkeuren en verschijnen ook niet wanneer je de opdrachtregeltool Softwareupdate uitvoert. Het is echter nog steeds mogelijk om opdrachten van Jamf Pro te installeren.

Macs met macOS High Sierra 10.13 en later ondersteunen het uitstellen van updates. Macs met macOS Big Sur 11.3 en hoger ondersteunen het uitstellen van zowel grote als kleine updates - net op tijd voor de release van macOS Monterey.

Wat betekent dit

macOS Big Sur 11.3 en hoger zullen twee soorten updates voor installatie aanbieden - grote upgrades en kleine updates. Als zowel macOS Monterey 12.0.1 als macOS Big Sur 11.6.1 beschikbaar zijn, laat Apple de beheerder of eindgebruiker beslissen welke wordt geïnstalleerd.

Bovendien kunnen beheerders die Jamf Pro 10.32 en hoger draaien, in de computerconfiguratieprofielen kiezen welke eindgebruikers de bijgewerkte Beperkingen laadcapaciteit te zien krijgen. Zij kunnen bijvoorbeeld toestaan dat hun Macs de kleine Big Sur 11.6.1-update weergeven, maar de grote Monterey-upgrade verbergen.

Om uitstel in te stellen voor grote upgrades, kleine updates of allebei:

1. Selecteer in Jamf Pro Computers --> Configuratieprofielen.
2. Maak een nieuw configuratieprofiel aan en voeg de Beperkingen laadcapaciteit toe of bewerk een bestaand profiel aan dat al een Beperkingen laadcapaciteit bevat.
3. Scroll op het tabblad Functionaliteit naar het einde van de pagina en schakel Updates uitstellen in.
4. Kies in het menu voor het uitstellen van alle updates, belangrijke updates, minder belangrijke updates of niet-OS-updates zoals Safari.
5. Geef het profielbereik aan en bewaar het profiel om het in te voeren.

Het uitstellen van updates is Apple's voorkeursaanpak voor beheerders om beschikbare upgrades en updates te beheren. Samen met bètatesten hebben organisaties veel tijd om te controleren of hun omgevingen een nieuwe macOS-versie zullen ondersteunen of om met softwareleveranciers samen te werken om updates te leveren.

Organisaties met een Apple Business Manager-account of Apple School Manager-account, hebben toegang tot AppleSeed, het bètasoftwareprogramma van Apple voor IT, waarbij beheerders bètaversies van nieuwe software-updates kunnen testen voordat deze worden uitgebracht. Bèta's lopen meestal minstens twee maanden voor de algemene release. De bètaperiode plus de uitstelperiode van 90 dagen samen geeft beheerders ongeveer vijf maanden de tijd om de software te testen voordat ze in hun omgeving worden ingevoerd.

Verwijder beheerdersrechten

Iedereen met beheerdersrechten op een Mac kan praktisch alles doen, inclusief een besturingssysteem installeren. De meest basale stap die we kunnen nemen, is de beheerdersrechten voor eindgebruikers verwijderen en vereisen dat ze Self Service gebruiken om het beleid te volgen dat je toestaat.

Als je beheerdersrechten verwijdert, zijn je eindgebruikers echter sterk afhankelijk van IT-beheer.

Een firmware- of Recovery Lock-wachtwoord instellen

Het instellen van een firmware-wachtwoord op Intel Macs of een Recovery Lock-wachtwoord op Apple Silicon Macs voorkomt dat iemand zonder het wachtwoord kan opstarten naar de Recovery HD, het bestaande besturingssysteem kan wissen en een nieuw macOS kan installeren. Omdat dit op hardwareniveau is, kan niemand zonder wachtwoord installeren of upgraden.

Het nadeel van het instellen van een wachtwoord op hardwareniveau is dat iemand van de technische ondersteuning die een gebruiker op afstand helpt, dit wachtwoord misschien aan de eindgebruiker moet geven. Zorg ervoor dat elke Mac een uniek wachtwoord heeft waarmee geen enkele andere computer kan worden ontgrendeld.

Beheerders kunnen automatisch een Recovery Lock-wachtwoord instellen tijdens Geautomatiseerde device-inschrijving voor Apple Silicon Macs met Jamf Pro 10.32 en het wachtwoord automatisch roteren wanneer het in Jamf Pro 10.33 en hoger wordt bekeken.

Ze moeten een evenwicht zien te vinden tussen het beperken van de toegang tot het Monterey-installatieprogramma en het zelf installeren ervan. Zo kunnen ze bijvoorbeeld Scoping Exclusions gebruiken om te voorkomen dat hun eigen testapparatuur wordt beperkt.

Het macOS-installatieprogramma uitvoeren

Voordat we het macOS-installatieprogramma kunnen uitvoeren, moeten we het eerst aanschaffen. Volgens Mr. Macintosh, een geweldige blog waar veel aandacht wordt besteed aan Mac-installatieprogramma's, upgrades en updates, zijn er acht manieren om complete installatieprogramma's te downloaden. We zullen hier slechts een paar behandelen.

Uitvoeren met een softwareupdate

We hebben als eens eerder gesproken over de Apple optie --fetch-full-installer in de opdracht softwareupdate.

Deze optie heeft als voordeel dat het hier om een kleine en lichte opdracht gaat die we onze Macs kunnen geven om het installatieprogramma zelf op te halen. Dit werkt geweldig met content caching-servers op locatie. En de betrouwbaarheid is het afgelopen jaar sterk verbeterd.

Opmerking: We hebben geen speciale content caching-servers nodig om een grote groep Macs in één kamer of één gebouw te upgraden. Configureer een of enkele van de krachtigste Mac-werkstations als caching-server door Content Caching aan te zetten in het deelvenster Systeemvoorkeuren delen. Voer de opdracht Softwareupdate handmatig uit op een andere Mac om de cache van de server 'op te warmen' (het installatieprogramma van tevoren downloaden). Later halen de andere Macs het installatieprogramma automatisch van deze server in plaats van het internet.

Nieuw in macOS Big Sur 11.3 is het vermogen om beschikbare installatieprogramma's op te halen die teruggaan tot macOS Mojave 10.14.6. Open Terminal en voer uit:

Je ziet dan zoiets:

 Software Update found the following full installers: * Title: macOS Monterey, Version: 12.0.1, Size: 12128428704K * Title: macOS Big Sur, Version: 11.6.1, Size: 12428472512K * Title: macOS Big Sur, Version: 11.6, Size: 12428553042K * Title: macOS Big Sur, Version: 11.5.2, Size: 12440916552K * Title: macOS Big Sur, Version: 11.5.1, Size: 12440158909K * Title: macOS Catalina, Version: 10.15.7, Size: 8248985973K * Title: macOS Catalina, Version: 10.15.7, Size: 8248854894K * Title: macOS Catalina, Version: 10.15.6, Size: 8248781171K * Title: macOS Mojave, Version: 10.14.6, Size: 6038419486K

Om een van de oudere volledige installatieprogramma's te downloaden, voeg je de full-installer version-optie toe met de specifieke macOS-versie die je wilt. Om bijvoorbeeld het macOS Big Sur 11.5.1-installatieprogramma te verkrijgen, voer je uit:

Vergeet niet dat deze lijstopdracht alleen op Big Sur 11.3 en hoger werkt, maar je kunt in ieder geval oudere installatieprogramma's ophalen voor Macs die je nog niet wilt of kunt upgraden en deze vervolgens aan Jamf Pro toevoegen.

Uitvoeren met grootschalige aankoop

De app Install MacOS Monterey is beschikbaar in Apps en Boeken wanneer je Apple Business Manager of Apple School Manager bekijkt en kan net als andere Mac App Store-programma's worden gebruikt. Dat betekent dat we geen onhandig pakket naar onze distributiepunten hoeven te uploaden of nieuwe versies hoeven te beheren zodra ze worden uitgebracht. Zoek naar 'macOS Monterey' en wijs licenties toe aan je Jamf Pro-server.

Hoewel dit goed werkt, heeft het wel één nadeel. Hiermee wordt een programma gedownload wat sommige mensen beschrijven als een 'stub'-installatieprogramma. Het is geen volledig installatieprogramma, maar eerder dezelfde app zonder de 12 GB SharedSupport.dmg in de app. Wanneer je het opdrachtregelprogramma startosinstall dubbelklikt of uitvoert (wordt later besproken), moet de Mac verbinding hebben met internet en de rest van de benodigde bestanden downloaden om het proces te voltooien. Afhankelijk van de snelheid van de huidige internetverbinding kan dat een vertraging van 10, 20 of 30 minuten of langer betekenen, nog voordat de installatie begint.

Dit type invoering is het meest geschikt voor Macs zonder toezicht, zoals die in schoollokalen die 's nachts blijven staan, en werkt goed met content caching-servers om de levering te versnellen. Wanneer je het gebruikt met thuisgebruikers of gebruikers die met Self Service het installatieprogramma zelf toepassen, moet je ze waarschuwen dat ze hun Macs niet in de sluimerstand moeten zetten dat ze de stekker in het stopcontact moeten laten zitten en de installatie tijd moeten geven om te voltooien.

Download en pakket vermijden

In het verleden hebben we het gebruik van de Mac App Store besproken om het macOS-installatiebestand te downloaden en het vervolgens te verpakken met speciale tools die de grotere omvang van het bestand aankunnen. (Jamf Composer kan bijvoorbeeld een DMG maken, maar geen PKG van een macOS-installatieprogramma)

Omdat het installatieprogramma echter van het oorspronkelijke systeem naar nieuwe systemen wordt gekopieerd, vereist de Gatekeeper-functie van Apple dat de app bij de eerste start wordt gescand Dit duurt enkele minuten en vertraagt de installatie.

Nieuwe opensource communitytools die het afgelopen jaar zijn geïntroduceerd, maken dit proces veel eenvoudiger en veel sneller. Vermijd het verpakken van je macOS en gebruik in plaats daarvan communitytools.

Een installatiepakket van Apple downloaden

Vorig jaar leverde Armin Briegel, die Scripting OS X onderhoudt, een script waarmee niet alleen op een betrouwbare manier het nieuwste Big Sur-installatieprogramma kan worden verkregen, maar ook dat deze kan worden gedownload in PKG-formaat, klaar om in de map Applicaties te worden geplaatst.

Zijn hulpprogramma heet fetch-installer-pkg.py en is een python-script dat toegang heeft tot de software-updateservers van Apple en hetzelfde pakket downloadt dat de ingebouwde software-updateservice van de Mac zou gebruiken. Je vindt deze tool in Armin's GitHub-repository.

Sindsdien heeft hij Download Full Installer gecreëerd, een applicatie die veel gemakkelijker te gebruiken is. Volg de link in zijn blogpost om het 'Download.Full.Installer-v1.1.1.zip'-bestand van zijn GitHub-repository te halen en voer de app uit. Klik op de pijl naast het Big Sur- of Monterey-installatieprogamma dat je nodig hebt. Makkelijker wordt het niet.

Als het klaar is, upload je het InstallAssistant-pakket direct naar Jamf Pro en voer je het met behulp van een beleid in op je Macs. Het is prima om het pakket een andere naam te geven voordat je het uploadt.

Als we gereed zijn om het installatieprogramma met een van deze methoden uit te voeren, moeten we ervoor zorgen dat het ook lukt. Laten we nu de installatievereisten van Monterey bekijken.

Macs identificeren die in aanmerking komen om te wissen en te installeren

Voordat we het installatieprogramma uitvoeren om onze Macs te wissen en te installeren of ze zelfs te upgraden, moeten we eerst bepalen welke van hen aan de systeemvereisten van Apple voldoen. Afgelopen jaar publiceerde Apple niet veel over de technische vereisten voor Monterey, behalve de minimaal ondersteunde hardware. De algemene vereisten hieronder zijn gebaseerd op die hardwarespecificaties.

Algemene vereisten

• OS X Yosemite 10.10 of hoger (gebaseerd op minimaal ondersteunde hardware)
• 8 GB geheugen (gebaseerd op minimaal ondersteunde hardware)
• 26 GB aan beschikbare opslag op macOS Sierra 10.12 of hoger, of 44 GB voor Yosemite en macOS El Capitan 10.11 (inclusief 13 GB extra om het installatieprogramma op te slaan)

Hardwarevereisten

• MacBook (begin 2016 en later)
• MacBook Air (begin 2015 en later)
• MacBook Pro (begin 2015 en later)
• Mac mini (eind 2014 en later)
• iMac (eind 2015 en later)
• iMac Pro (2017 en later)
• Mac Pro (2013 en later)

Monterey voor Mac (Smart Computer Group)

Laten we een nieuwe Smart Computer Group aanmaken om de in aanmerking komende Mac te identificeren en deze 'macOS Monterey-compatibele Macs' noemen. Omdat Apple geen minimumvereisten voor geheugen of macOS-versie heeft aangegeven, gaan we ervan uit dat de basisspecificaties voor elk model aan die vereisten voldoen en laten we die criteria buiten beschouwing. En laten we aannemen dat we 13 GB ruimte nodig hebben om het installatieprogramma op te slaan plus nog eens 26 GB om het uit te voeren (naar boven afgerond 40 GB).

We voegen de volgende criteria toe:

 Boot Drive Available MB more than 40000 and Model Identifier matches regex 

We moeten de model-ID van Macs gebruiken om de exacte modellen te bepalen waarvan Apple heeft bepaald dat ze voor Monterey in aanmerking komen. Dat zijn bijna 50 modellen. In plaats van onze Smart Computer Group te overspoelen met bijna 50 regels aan criteria, kunnen we een reguliere expressie (of regex) gebruiken om deze te identificeren. Met Regex kunnen we een patroon maken dat overeenkomt met bepaalde tekenreeksen zoals model-ID's. Deze ene tekstregel komt overeen met alle in aanmerking komende modellen, inclusief die tot nu toe in 2021 zijn ingevoerd. Kopieer en plak deze in het waardeveld voor het criterium Model Identifier in de bovenstaande Smart Computer Group.

 (MacBook(10|9)|MacBookAir(10|[7-9])|Macmini[7-9]|MacPro[6-7]|iMacPro1|iMac(1[6-9]|2[0-2])),\d|MacBookPro1(1,[45]|[2-8],\d)

Zorg ervoor dat je na het opslaan op de knop Weergeven klikt om te controleren of de groep naar verwachting werkt.

Installeer macOS Monterey.app Cached (Smart Computer Group)

Nu we toch bezig zijn, laten we een tweede Smart Computer Group maken met de naam 'Install macOS Monterey.app Cached' en de volgende criteria toevoegen:

 Application Title is Install macOS Monterey.app and Application Version like 17.0

Dit zal ons helpen Macs te identificeren die het Monterey-installatieprogramma al in de map Programma's hebben staan om te voorkomen dat Jamf Pro het opnieuw downloadt. Let op dat je de huidige versie van de installatie-app ophaalt door deze te selecteren en Bestand > Info ophalen te kiezen.

Intel en Apple Silicon Macs (Smart Computer Group)

Twee andere smart groups die over een paar jaar van pas zullen komen, zullen ons helpen onderscheid te maken tussen de oudere Intel en de nieuwere Apple Silicon-architecturen.

Laten we een nieuwe Smart Computer Group aanmaken met de naam 'Intel Macs' om Intel Macs te identificeren.

We voegen de volgende criteria toe:

 Apple Silicon is No

Laten we een tweede Smart Computer Group maken met de naam 'Apple Silicon Macs' om M1-chip Macs te identificeren.

We voegen de volgende criteria toe:

 Apple Silicon is Yes

Nu we Macs hebben vastgesteld die klaar zijn voor Monterey en die groepen hebben om onderscheid te maken tussen de twee Mac-architecturen, kunnen we kijken naar methodes om het installatieprogramma uit te voeren.

Het Monterey-installatieprogramma gebruiken om te wissen en te installeren (of niet)

Vandaag hebben we drie overwegingen om het Monterey-installatieprogramma uit te voeren:

• Intel Macs
• Apple Silicon Macs met Big Sur of eerder
• Intel T2-chip Macs en Apple Apple Silicon Macs met Monterey

Intel Macs

Voor het grootste deel verandert er weinig aan de wis- en installeerworkflow voor Intel Macs met en zonder T2-beveiligingschips. We kunnen nog steeds startosinstall gebruiken.

Het opdrachtregelprogramma startosinstall bevindt zich in de Installeer macOS Big Sur-appbundel. Het doet hetzelfde als dubbelklikken op het installatieprogramma zonder de dialoogvensters en vensters weer te geven. Het heeft ook het voordeel dat het ook werkt als we Softwarebeperkingen hebben gebruikt om het InstallAssistant-proces te blokkeren, en we kunnen het gebruiken als onderdeel van een script of een Jamf Pro-beleid (optioneel met Self Service).

Om het opdrachtregelprogramma te vinden, klik je met de rechtermuisknop of met de Control-knop op de applicatie Install MacOS Monterey en selecteer je Pakketinhoud weergeven > Inhoud > Hulpmiddelen. Zoek en sleep het startosinstall-bestand naar een Terminal-venster en voeg --usage toe aan het einde.

Hiermee worden verschillende argumenten vermeld (elk beginnend met dubbele streepjes) en wordt uitgelegd wat elk doet. We willen sommige of alle volgende gebruiken:

• ---eraseinstall — de optie die wist en installeert
• --agreetolicense — vereist om het proces volledig te automatiseren
• --forcequitapps — voorkomt dat apps die worden uitgevoerd, niet worden geblokkeerd
• --newvolumename — optioneel, noemt of hernoemt de Macintosh HD

De opdracht in een script zetten heeft de laatste tijd betrouwbaarder gewerkt dan het gewoon als opdracht in een Files and Processes-laadcapaciteit van een beleid te zetten. Maak in Jamf Pro een nieuw script aan met de naam 'Erase disk and install macOS Monterey' en plak het volgende in het tabblad Script:

Voeg het script toe aan een beleid en maak hem beschikbaar in Self Service We hebben in totaal twee beleidsmaatregelen nodig.

Cache Install macOS Monterey.app (beleid)

Het eerste beleid plaatst Install macOS Monterey.app op onze doel-Macs.

Algemeen

• Weergavenaam: Cache Install macOS macOS Monterey.app
• Trigger: Terugkerend inchecken
• Uitvoeringsfrequentie: Doorlopend

Pakketten

• Pakket: InstallAssistant.pkg (eerder gedownload)

Onderhoud

• Voorraad bijwerken: Ingeschakeld

Reikwijdte

• Doelstellingen: macOS macOS Monterey Compatibele Macs (Smart Computer Group)
• Uitsluitingen: Install macOS macOS Monterey-app Cached (Smart Computer Group)

Als dat gelukt is, zou onze 'Install macOS Monterey.app Cached' Smart Computer Group nu Macs moeten vermelden die klaar zijn om te wissen en te installeren.

Wis en installeer macOS Monterey (beleid)

Maak een tweede beleid in Jamf Pro met de naam 'Wis en installeer macOS Monterey'. Voltooi de volgende laadvermogens en reikwijdte.

General

• Weergavenaam: Wis en installeer macOS macOS Monterey
• Trigger: Geen (schakel in plaats daarvan Self Service in)
• Uitvoeringsfrequentie: Doorlopend

Scripts

• Script: Wis schijf en installeer macOS macOS Monterey

Reikwijdte

• Doelstellingen: Install macOS Monterey.app Cached (Smart Computer Group)
• Uitsluitingen: Apple Silicon Macs (Smart Computer Group)

Self Service

• Toetsnamen: Wis en installeer
• Beschrijving: Waarschuwing - Je Mac staat op het punt volledig te worden gewist en macOS wordt opnieuw geïnstalleerd. Kopieer voordat je verder gaat alle belangrijke bestanden en gebruikersgegevens naar een andere computer of back-upsysteem. Nadat je Mac is gewist, kun je verwijderde gegevens niet herstellen. (Overweeg markdown te gebruiken om je bericht te benadrukken)
• Zorg ervoor dat gebruikers deze beschrijving zien: Ingeschakeld

Voeg een knoppictogram toe, wijs categorieën toe en bewaar het beleid. Terwijl Macs inchecken, downloaden en installeren ze het Monterey-installatieprogramma en werken ze de inventaris bij. Vervolgens is het Self Service-beleid om macOS Monterey te wissen en installeren beschikbaar voor alle eindgebruikers of specifieke gebruikers binnen je bereik. Merk op dat dit beleid Apple Silicon Macs uitsluit. Die hebben een iets andere scriptversie nodig (zie hieronder).

Belangrijk: Het Monterey-installatieprogramma gedraagt zich anders dan eerdere installatieprogramma's. In plaats van de Mac meteen opnieuw op te starten en vervolgens 20-50 minuten nodig te hebben om software te installeren en te configureren, voert Monterey het grootste deel van de installatie en configuratie uit voordat de Mac opnieuw wordt opgestart. Hierdoor lijkt het alsof er 20, 30 of meer minuten lang niets gebeurt en dan verschijnt er aan het eind heel kort (meestal minder dan vijf minuten) het Apple-logo.

Overweeg om een uitleg toe te voegen van wat er gebeurt zoals een jamfHelper-scherm aan het begin van het 'Wis schijf en installeer macOS Monterey'-script. Voeg de volgende regels toe net voor de echo-opdracht:

Apple Silicon Macs met Big Sur of eerder

Vorig jaar bracht Apple vernieuwde productlijnen uit die hun nieuwe Apple Silicon M1-chip bevatten. Apple Silicon Macs introduceerden het 'volume-eigendom'-concept dat specifiek van invloed is op de wis- en installeerfunctie van de opdracht startosinstall.

Om startosinstall uit te voeren moet de 'eigenaar' van de Mac, losjes gedefinieerd als de gebruiker die als eerste een Mac claimde door deze voor eigen gebruik te configureren, toestemming geven voor het uitvoeren van de opdracht door een gebruikersnaam en wachtwoord op te geven. Dit heeft Jamf Pro niet. En het is mogelijk dat de volume-eigenaar misschien geen beheerder is.

Wat kunnen wij als beheerders doen? We hebben een paar opties, en geen een is geweldig. Voor beide is het nodig om op de een of andere manier de gebruikersnaam en het wachtwoord van de 'eigenaar' te achterhalen en dat door te geven aan de startosinstall-opdracht.

Wanneer we het wachtwoord kennen

Hoewel het macOS zich op Apple Silicon op dezelfde manier gedraagt als op Intel Macs, heeft de opdracht startosinstall twee extra vereiste parameters die specifiek bij Apple Silicon horen. Ze zijn:

• --user - een beheerder die de installatie autoriseert
• ---stdinpass - verzamelt een wachtwoord van stdin zonder interactie

Als onderdeel van onze opdracht moeten we de gebruikersnaam en het wachtwoord van een account aanbieden met een SecureToken. We weten dat SecureToken tegenwoordig vaak een vereiste is om FileVault te gebruiken.

De opdracht ziet er ongeveer zo uit:

Dit voorbeeld geeft de naam van een beheerdersaccount 'adminuser' aan het eind van de opdracht en het wachtwoord van het beheerdersaccount 'P@55w0rd' in duidelijke tekst aan het begin. Idealiter zou het wachtwoord op een of andere manier worden verdoezeld om het te verbergen.

Het voordeel van de bovenstaande opdracht is dat het nog steeds kan worden gebruikt in een Self Service-beleid om eindgebruikers hun Mac te laten wissen en macOS opnieuw te installeren. De nadelen zijn dat de Jamf Pro-beheerder van elke computer beheerdersgebruikersnaam en -wachtwoord moet kennen en dat het wachtwoord wordt blootgesteld aan iedereen met script- en/of beleidsrechten in Jamf Pro.

Zorg ervoor dat de uitsluitingen van het beleid op 'Intel Macs' worden ingesteld. Anders blijven de beleidsregels voor Intel Apple Silicon Macs hetzelfde.

Wanneer we het wachtwoord niet kennen

Maar wat als onze eindgebruikers hun nieuwe Macs hebben 'gedropshipped' en zij tijdens de installatie de volume-eigenaars zijn geworden? Dan moeten wij hen via een dialoogvenster vragen hun gebruikersnamen en wachtwoorden op te geven.

Als beheerders veel opties willen, is het gebruik van Graham Pugh's erase-install-project te overwegen. Hij geeft een gedetailleerde wiki met acht stappen die kunnen bestaan uit het ophalen van een nieuw installatieprogramma die de eindgebruiker om inloggegevens vraagt en statusinformatie geeft met jamfHelper (zoals hierboven besproken) of DEPNotify.

Intel T2-chip Macs en Apple Apple Silicon Macs met Monterey

Monterey introduceert een nieuwe functie bij macOS die geleend is van iOS – Wis alle inhoud en instellingen.

iOS partitioneert zijn opslag al lange tijd in een read-only volume voor het iOS-besturingssysteem en een beschrijfbaar volume voor apps en gebruikersgegevens. Door deze partitionering worden devices nooit volledig gewist als ze worden gereset. De gebruikerspartitie wordt effectief verwijderd en opnieuw aangemaakt, wat slechts een paar minuten duurt.

Bij de keuze van Instellingen > Algemeen > Overdragen of resetten (iOS 15) > Wis alle inhoud en instellingen worden apps en gegevens gewist, een bestaande Apple ID afgemeld, wordt Zoek mijn locatie gedeactiveerd en worden creditcardgegevens verwijderd die in Apple Wallet zijn opgeslagen.

Vanaf macOS High Sierra 10.13 stapte Apple over van het HFS+-bestandssysteem naar APFS, wat de weg vrijmaakte voor vele interessante opties en een veel betere beveiliging. Later werd in Catalina het partitieschema van iOS overgenomen om een scheiding tussen de read-only Macintosh HD (voor het besturingssysteem) en de beschrijfbare Macintosh HD - Data (voor apps en gebruikersgegevens) aan te brengen.

Met APFS en soortgelijke partitioneringen biedt Monterey nu de mogelijkheid om een Mac terug te zetten naar begininstellingen, waarbij alle gebruikersgegevens zijn verwijderd. Dit zet het besturingssysteem echter niet terug naar de fabrieksinstellingen. Als een Mac geleverd werd met Monterey 12.0.1 en later werd bijgewerkt naar Monterey 12.1.0, zal deze na het wissen van alle inhoud en instellingen op 12.1.0 blijven.

En het verwerkingsproces duurt minder dan vijf minuten!

Hoewel het proces niet met één druk op de knop uitgevoerd wordt, gaat het nog steeds eenvoudig. Eindgebruikers kunnen Systeemvoorkeuren openen en in het menu Systeemvoorkeuren de optie Wis alle inhoud en instellingen kiezen.

Als alternatief kunnen Jamf Pro-beheerders dit aan Self Service toevoegen, een beleid creëren dat een bestand en een procesbelasting bevat en de volgende opdracht uitvoeren:

De Wis-assistent vereist nog steeds enige handelingen. De persoon die voor de Mac zit, moet een gebruikersnaam en wachtwoord van de beheerder opgeven om verder te kunnen gaan.

Als de eindgebruiker zich met een Apple ID heeft aangemeld, zal hij of zij het wachtwoord moeten opgeven om zich van de Apple ID af te melden.

Tot slot ondersteunen Macs met Intel T2-chip en Apple Silicon Macs met Monterey niet alleen de eindgebruiker die de functie Wis alle inhoud en instellingen uitvoert, maar ze ondersteunen deze functie ook vanaf een MDM op afstand.

Als een Jamf Pro-beheerder de opdracht Wipe Computer vanuit de computerrecord afgeeft en Jamf Pro detecteert een Mac met Intel T2-chip of een Apple Silicon Mac met Monterey, zal het een opdracht EraseDevice verzenden in plaats van de Wipe-opdracht. Nogmaals, dit behoudt het geïnstalleerde macOS-besturingssysteem terwijl app- en gebruikersgegevens veilig worden verwijderd.

Opmerking: Het is niet langer nodig om een Mac met Intel T2-chip of een Apple Silicon Mac met Monterey te wissen, of het nu de bedoeling is de device opnieuw te gebruiken of om hem op weggooien voor te bereiden. Gebruikersgegevens zijn steeds versleuteld geweest op de schijf, zelfs zonder FileVault in te schakelen. Door inhoud en instellingen te wissen, wordt de versleuteling voor toegang tot informatie vernietigd.

Upgraden in plaats van wissen

Met één eenvoudige wijziging kan de startosinstall-workflow in plaats daarvan vanaf een OS X Yosemite 10.10 of een later besturingssysteem een Mac naar macOS Monterey upgraden, terwijl programma's, gegevens en gebruikersinstellingen behouden blijven. Of het kan Monterey opnieuw installeren. Als je dezelfde versie van macOS installeert, kunnen beschadigde installaties soms worden hersteld.

Bewerk het script 'Wis schijf en installeer macOS Monterey' of kloon het om een nieuw script te maken en hernoem het naar 'Upgrade naar macOS Monterey'. Pas dan de opdracht aan om de opties --eraseinstall en -newvolumename weg te laten. Maak een beleid aan en voeg het script toe. Pas het toe op Macs die dit nodig hebben.

Nogmaals, dit werkt alleen voor Macs met Intel. Voor Apple Silicon Macs met Big Sur of ouder moet het script de gebruikersnaam en het wachtwoord van de volume-eigenaar bevatten, of het moet de eindgebruiker om de gegevens vragen. Het eerder genoemde erase-install-script van Graham Pugh biedt de optie om Macs te upgraden in plaats van ze te wissen.

Ook ondersteunt Jamf Pro het verzenden van een MDM-opdracht naar Intel Macs met T2-chip en Apple Silicon Macs met een bulkopdracht.

Standaard zal de opdracht om macOS bij te werken belangrijke versies uitsluiten (zo zal Jamf Pro een Mac bijvoorbeeld niet updaten van Big Sur naar Monterey), tenzij de beheerder uitdrukkelijk de optie inschakelt om belangrijke updates mee te nemen. Deze functie is alleen beschikbaar als een bulkopdracht wordt gegeven en verschijnt niet als optie als maar één computer wordt bekeken.

Gebruik in Jamf Pro een Geavanceerde computerzoekopdracht of Smart Computer Group om een lijst van Macs te bekijken die voor een upgrade in aanmerking komen. Kies Opdrachten op afstand verzenden en klik op Volgende. Kies de tweede optie om de OS-versie bij te werken en kies onderaan de pagina de optie om de update te downloaden en te installeren. Als laatste schakel je Belangrijke updates opnemen in.

Wees voorzichtig met deze opdracht. Een upgrade vereist het opnieuw opstarten van de Mac. Eindgebruikers krijgen geen melding. Deze upgradefunctie is ideaal voor het upgraden van schoollabs of andere gedeelde devices.

Conclusie

Er is de laatste jaren veel veranderd dat van invloed is op de manier waarop we nu op afstand het besturingssysteem opnieuw installeren.

• Het voorkomen van ongewenste macOS-upgrades is moeilijker maar nog steeds beheersbaar, vooral met Jamf Pro.
• Big Sur 11.3 en later zullen meerdere updates of upgrade-opties detecteren, niet alleen de nieuwste optie.
• Monterey introduceert een aantal langverwachte beheermogelijkheden
• We hebben meerdere manieren om macOS-installatieprogramma's te krijgen die gemakkelijker te gebruiken zijn.
• We hebben twee computerarchitecturen (Intel en Apple Silicon), elk met hun eigen genuanceerde beheerfuncties.
• APFS-geformatteerde schijven bieden interessante opties voor het wissen en herinstalleren van macOS (of niet).
• De softwareupdate-opdracht voor het downloaden van macOS-versies is niet alleen betrouwbaarder, het is ook robuuster.
• Het wissen van schijven en het opnieuw installeren van besturingssystemen is voorbij! Beheerders zetten in minder dan vijf minuten nieuwere Intel- en Apple Silicon-Macs met Monterey terug naar een fabrieksmatige staat, klaar om opnieuw in Jamf Pro te worden ingeschreven.

We zijn met Monterey nog steeds op nieuw terrein, maar het is niet geheel onbekend. Veel van onze opdrachten werken nog steeds. En we hebben een nieuwe workflow voor het resetten van Macs die veel beheerders al voor iPhones en iPads gebruiken in hun omgeving. Imaging is dood. Gewoon opnieuw beginnen leeft.