Citrix Endpoint Management

macOS

Pour gérer des appareils macOS dans Endpoint Management, configurez un certificat Apple Push Notification Service (APNs). Pour de plus amples informations, consultez la section Certificats APNS.

Endpoint Management inscrit les appareils macOS en mode MDM. Endpoint Management prend en charge les types d’authentification d’inscription suivants pour les appareils macOS en mode MDM.

  • Domaine
  • Domaine + mot de passe unique
  • URL d’invitation + mot de passe unique

Exigences pour les certificats de confiance dans macOS 15 :

Apple a introduit de nouvelles exigences pour les certificats de serveur TLS. Vérifiez que tous les certificats respectent les nouvelles exigences d’Apple. Consultez la publication Apple, https://support.apple.com/en-us/HT210176. Pour obtenir de l’aide sur la gestion des certificats, consultez la section Chargement de certificats dans Endpoint Management.

Workflow général pour le démarrage de la gestion des appareils macOS :

  1. Effectuez le processus d’intégration. Voir Intégration et configuration des ressources et Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

  2. Choisissez et configurez une méthode d’inscription. Consultez Méthodes d’inscription prises en charge.

  3. Configurer les stratégies macOS.

  4. Inscrire les appareils macOS.

  5. Configurez les actions de sécurité des appareils et des applications. Consultez Actions de sécurisation.

Pour connaître les systèmes d’exploitation pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Noms d’hôtes Apple qui doivent rester ouverts

Certains noms d’hôtes Apple doivent rester ouverts pour assurer le bon fonctionnement d’iOS, de macOS et de l’Apple App Store. Le blocage de ces noms d’hôtes peut affecter l’installation, la mise à jour et le bon fonctionnement d’iOS, des applications iOS et de MDM et l’inscription des appareils et des applications. Pour de plus amples informations, consultez https://support.apple.com/en-us/HT201999.

Méthodes d’inscription prises en charge

Le tableau suivant indique les méthodes d’inscription prises en charge par Endpoint Management pour les appareils macOS :

Méthode Pris en charge
Programme de déploiement d’Apple Oui
Apple School Manager Oui
Apple Configurator Non
Inscription manuelle Oui
Invitations d’inscription Oui

Apple propose des programmes d’inscription d’appareil pour les comptes d’entreprise et éducation. Pour les comptes d’entreprise, vous devez vous inscrire au programme de déploiement d’Apple pour utiliser ce programme pour inscrire et gérer des appareils dans Endpoint Management. Ce programme est destiné aux appareils iOS, macOS et Apple TV. Consultez Déployer des appareils via le programme de déploiement d’Apple.

Pour les comptes éducation, vous devez créer un compte Apple School Manager. Apple School Manager unifie le programme de déploiement et l’achat en volume. Apple School Manager est un type de programme de déploiement Apple Éducation. Consultez Intégration aux fonctionnalités Apple Éducation.

Vous pouvez utiliser le programme de déploiement d’Apple pour inscrire en bloc des appareils iOS, macOS et Apple TV. Vous pouvez acheter ces appareils directement auprès d’Apple, d’un revendeur agréé Apple ou d’un opérateur.

Configurer les stratégies macOS

Utilisez ces stratégies pour configurer l’interaction entre Endpoint Management et les appareils exécutant macOS. Ce tableau répertorie toutes les stratégies d’appareils disponibles pour les appareils macOS.

     
Mise en miroir AirPlay Inventaire des applications Calendrier (CalDAV)
Contacts (CardDAV) Contrôler mise à jour d’OS Informations d’identification
Nom de l’appareil Exchange FileVault
Pare-feu Police Importer le profil iOS et macOS
LDAP Mail Code secret
Suppression de profil Restrictions SCEP
VPN Clip Web Wi-Fi

Inscrire les appareils macOS

Endpoint Management propose deux méthodes pour inscrire des appareils qui exécutent macOS. Les deux méthodes permettent aux utilisateurs macOS de s’inscrire sans fil (OTA) directement depuis leurs appareils.

  • Envoyer une invitation d’inscription aux utilisateurs : cette méthode d’inscription vous permet de définir un des modes d’inscription suivants pour les appareils macOS :

    • Nom d’utilisateur + mot de passe

    • Nom d’utilisateur + PIN

    • Authentification à deux facteurs

    Lorsque l’utilisateur suit les instructions de l’invitation d’inscription, un écran de connexion avec le nom d’utilisateur déjà renseigné s’affiche.

  • Envoyer un lien d’inscription aux utilisateurs : cette méthode d’inscription pour les appareils macOS envoie aux utilisateurs un lien d’inscription qu’ils peuvent ouvrir dans les navigateurs Safari et Chrome. Ensuite, un utilisateur s’inscrit en fournissant son nom d’utilisateur et son mot de passe.

    Pour empêcher l’utilisation d’un lien d’inscription pour les appareils macOS, définissez la propriété de serveur Activer macOS OTAE sur false. Les utilisateurs macOS peuvent alors s’inscrire uniquement à l’aide d’une invitation d’inscription.

Envoyer une invitation d’inscription aux utilisateurs macOS

  1. Ajoutez une invitation pour l’inscription d’utilisateurs macOS. Consultez Invitations d’inscription.

  2. Une fois que les utilisateurs reçoivent l’invitation et cliquent sur le lien, l’écran suivant s’affiche dans le navigateur Safari. Endpoint Management remplit le nom d’utilisateur. Si vous avez choisi Deux facteurs pour le mode d’inscription, un champ supplémentaire s’affiche.

    Message du certificat racine du navigateur Safari

  3. Les utilisateurs installent les certificats, selon les besoins. Les utilisateurs sont invités à installer des certificats si vous avez configuré pour macOS un certificat SSL approuvé publiquement et un certificat de signature numérique approuvé publiquement. Pour plus d’informations sur les certificats, veuillez consulter la section Certificats et authentification.

  4. Les utilisateurs entrent les informations d’identification demandées.

    Les stratégies Mac s’installent. Vous pouvez maintenant démarrer la gestion des appareils macOS avec Endpoint Management tout comme vous gérez les appareils mobiles.

Envoyer un lien d’installation aux utilisateurs macOS

  1. Envoyez le lien d’inscription https://serverFQDN:8443/instanceName/macos/otae que les utilisateurs peuvent ouvrir dans les navigateurs Safari ou Chrome.

    • FQDNserveur est le nom de domaine complet du serveur exécutant Endpoint Management.
    • Le port 8443 est le port sécurisé par défaut. Si vous avez configuré un port différent, utilisez-le à la place de 8443.
    • Le nom d’instance, souvent affiché sous la forme zdm, est le nom spécifié lors de l’installation du serveur.

    Pour de plus amples informations sur l’envoi des liens d’installation, consultez la section Pour envoyer un lien d’installation.

  2. Les utilisateurs installent les certificats, selon les besoins. Si vous avez configuré un certificat SSL et un certificat de signature numérique approuvé publiquement pour iOS et macOS, les utilisateurs sont invités à installer les certificats. Pour plus d’informations sur les certificats, veuillez consulter la section Certificats et authentification.

  3. Les utilisateurs se connectent à leur Mac.

    Les stratégies Mac s’installent. Vous pouvez maintenant démarrer la gestion des appareils macOS avec Endpoint Management tout comme vous gérez les appareils mobiles.

Actions de sécurisation

macOS prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action, consultez la section Actions de sécurisation.

     
Révoquer Verrouiller Effacer les données d’entreprise
Effacement complet Renouvellement de certificat Alterner clé de récupération privée

Verrouiller les appareils macOS

Vous pouvez verrouiller à distance un appareil macOS perdu. Endpoint Management verrouille l’appareil. Ensuite, il génère un code PIN et le configure dans l’appareil. Pour accéder à l’appareil, l’utilisateur devra entrer ce code PIN. Utilisez Annuler le verrouillage pour retirer le verrouillage de la console Endpoint Management.

Vous pouvez utiliser la stratégie Code secret pour configurer d’autres paramètres associés au code PIN. Pour de plus amples informations, consultez Paramètres macOS.

  1. Cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Sélectionnez l’appareil macOS que vous voulez verrouiller.

    Sélectionnez la case à cocher en regard d’un appareil pour afficher le menu d’options au-dessus de la liste des appareils. Vous pouvez également cliquer sur un élément répertorié pour afficher le menu des options sur le côté droit de la liste.

    Menu d'options

    Menu d'options

  3. Dans le menu d’options, sélectionnez Sécurité. La boîte de dialogue Actions de sécurisation s’affiche.

    Boîte de dialogue Actions de sécurisation

  4. Cliquez sur Verrouiller. La boîte de dialogue Actions de sécurisation s’affiche.

    Confirmation des actions de sécurisation

  5. Cliquez sur Verrouiller l’appareil.

Important :

Vous pouvez également spécifier un mot de passe au lieu d’utiliser le code généré par Endpoint Management. L’action Verrouiller échoue si le code spécifié ne correspond pas aux exigences en matière de code de l’appareil ou du profil de travail existant.

macOS