Capacités
Les capacités répertoriées ci-dessous sont celles qui sont actuellement activement prises en charge par MacOnboardingMate.
Les capacités spécifiques qui requièrent l’acquisition d’une licence MOM Switch sont signalées par la mention Switch.
Une idée pour enrichir les capacités de MOM ou pouvoir adopter MOM ? N’hésitez pas à envoyer une demande de fonctionnalité via le formulaire disponible sur la page Introduction.
Informations générales | |
Modes d’exécution | • MOM est livré sous la forme d’un paquet unique nommé « MOM-Core » qui offre deux modes d’exécution différenciés par la façon dont MOM est lancé et les flux de travail pris en charge • En mode Launcher, MOM est exécuté manuellement à partir d’une session ouverte de l’utilisateur • En mode AutoLauncher, MOM est exécuté à partir d’une solution de gestion, soit automatiquement, soit à partir d’un Self Service |
Flux de travail supportés | • Le mode Laucher permet d’intégrer ou de migrer d’un MDM vers un autre MDM un Mac déjà en production ; le flux de travail est déclenché localement • Le mode AutoLauncher permet d’intégrer un Mac, neuf ou réinitialisé, inscrit lors de l’assistant de configuration initiale (1), ou de migrer un Mac déjà en production d’un MDM vers un autre MDM ; le flux de travail est déclenché à distance |
Emplacements | • Un emplacement MOM fait référence au point de destination de l’appareil une fois inscrit dans la solution de gestion • En fonction de la solution de gestion, un emplacement MOM peut être vu comme un site ou un groupe d’appareils • Inscription de l’appareil : l’emplacement cible est défini automatiquement (un emplacement disponible) ou manuellement avec un sélecteur (deux emplacements ou plus disponibles) • Inscription automatisée de l’appareil : l’emplacement cible est défini automatiquement |
Méthodes d’inscription | • Les modes Launcher et AutoLauncher offrent tous les deux d’utiliser l’inscription de l’appareil (Mac non compatible ADE) ou l’inscription automatisée de l’appareil (Mac compatible ADE) (2) pour inscrire un Mac dans un MDM • Dans le flux de travail spécifique d’une intégration pendant l’assistant de configuration initiale, MOM n’orchestre pas l’inscription qui est déjà gérée par l’inscription automatisée de l’appareil • En dehors de ce dernier flux de travail, MOM orchestre l’inscription dans le contexte d’une première intégration, ou la désinscription du MDM précédent suivi de l’inscription dans le nouveau MDM dans le contexte d’une migration |
Assistance aux utilisateurs | • Le panneau d’aide peut afficher à la fois un message et une image, le message étant localisable en plusieurs langues • L’image affichée peut être une image standard ou un code QR, qui peut être affiché dans n’importe quelle couleur RGB • Lorsqu’il est scanné depuis un appareil mobile, le code QR devrait soit rediriger vers une page de support, soit ouvrir un e-mail pré-rempli adressé à l’équipe de support ; l’e-mail pré-rempli inclut un objet, un corps, et des informations optionnelles telles que le nom de l’ordinateur, le numéro de série, le nom du modèle, le UUID du matériel et la version de macOS |
Intégration | |
Provisionnement (Mode AutoLauncher) |
• Provisionnement « Sur l’assistant de configuration macOS » : l’intégration se déroule pendant l’assistant de configuration macOS, avec MOM couvrant son interface ; ensuite, le Mac s’éteint, redémarre, ou affiche la fenêtre d’ouverture de session, permettant à l’utilisateur final de se connecter • Provisionnement « Sur la fenêtre d’ouverture de session » : l’intégration se déroule pendant la fenêtre d’ouverture de session, avec MOM couvrant son interface ; ensuite, le Mac s’éteint, redémarre, ou affiche la fenêtre d’ouverture de session, permettant à l’utilisateur final de se connecter • Provisionnement « Sur le Bureau » : l’intégration se déroule sur le Bureau du premier utilisateur connecté ; les tâches non interactives démarrent en arrière-plan pendant l’assistant de configuration macOS, puis les tâches interactives sont exécutées dans la session ouverte de l’utilisateur • Le provisioning MOM sur l’assistant de configuration macOS ou la fenêtre d’ouverture de session, combiné à l’inscription automatisée de l’appareil de macOS, offre une fonctionnalité similaire à Windows Autopilot pour le déploiement préprovisionné |
Provisionnement (Mode Launcher) |
Provisionnement « Sur le Bureau » : l’intégration se déroule sur le Bureau de l’utilisateur connecté. |
Utilisateur activé pour MDM (Mode Launcher uniquement) |
• L’utilisateur activé pour MDM est essentiellement l’utilisateur connecté lors de l’inscription ou l’utilisateur créé dans le panneau de Compte d’ordinateur de l’assistant de configuration initiale (inscription automatisée de l’appareil uniquement) • L’utilisateur activé pour MDM est le seul utilisateur sur l’appareil à pouvoir recevoir des profils de configuration au niveau utilisateur (canal utilisateur) • Dans le cadre d’un déploiement 1:1 avec une inscription orchestrée en dehors de l’assistant de configuration initiale, le technicien peut être invité à valider que MOM est correctement exécuté depuis la session de l’utilisateur activé pour MDM cible |
Contrat d’utilisation de l’ordinateur | L’organisation peut demander à l’utilisateur d’accepter certaines conditions d’accord pour utiliser l’appareil |
Octroi des privilèges administratifs | • MOM peut automatiquement octroyer des privilèges administratifs à l’utilisateur standard connecté lorsque cela est nécessaire pour l’inscription dans le nouveau MDM ou pour l’octroi d’un SecureToken au compte de gestion créé • Pour une inscription utilisant l’inscription automatisée de l’appareil avec macOS 11 à macOS 14, l’octroi se produit juste avant l’affichage de la notification d’inscription et se poursuit jusqu’à ce que l’inscription soit terminée ; macOS 15 ne nécessite pas cet octroi • Pour une inscription utilisant l’inscription automatisée de l’appareil avec macOS 10.15 et antérieur, l’octroi se produit seulement pendant quelques secondes au moment de l’affichage de la notification d’inscription • Pour une inscription utilisant l’inscription de l’appareil, l’octroi se produit après l’affichage de la page Web d’inscription ou l’ouverture de l’application d’inscription et se poursuit jusqu’à ce que l’inscription soit terminée • L’élévation de privilèges est toujours surveillée activement par un démon autonome qui révoque l’octroi si le flux de travail est détecté comme interrompu ; une fois l’action ciblée terminée, les privilèges accordés sont révoqués |
Gestion de l’alimentation | • L’exécution du flux de travail peut requérir que l’appareil soit connecté à l’alimentation secteur • Le flux de travail peut être autorisé à être exécuté lorsque l’appareil est sur batterie et optionnellement seulement si la charge de la batterie dépasse un minimum requis |
Gestion de Localiser Mon Mac | • Le flux de travail sur un Mac Apple silicon ou équipé d’une puce de sécurité T2 peut requérir que la fonction Localiser mon Mac soit désactivée avant l’inscription dans le MDM de sorte qu’il puisse gérer le verrouillage d’activation basé sur l’utilisateur • Le flux de travail peut requérir ou proposer que la fonction Localiser mon Mac soit activée après l’inscription dans le MDM |
Migration | |
Changement de MDM Switch |
• La migration MDM implique la désinscription assistée du MDM précédent avant l’inscription dans le nouveau MDM • La migration MDM est configurée dans le fichier de liste de propriétés de l’emplacement MOM cible • Dans le contexte du mode AutoLauncher, la migration MDM est entièrement configurée dans le MDM que l’appareil quitte |
Copie de valeurs d’inventaire Switch |
• La copie de valeurs d’inventaire pendant l’exode est basée sur la déclaration de mappages qui associent soigneusement le nom d’un attribut source dans le MDM précédent avec le nom d’un attribut de destination dans le nouveau MDM • Toutes les valeurs migrées sont au final traitées comme des chaînes |
Déclenchement Switch |
• Il peut être proposé à l’utilisateur de reporter le flux de travail de migration afin qu’il soit déclenché à un moment opportun avec une date limite optionnelle • Le processus de migration est surveillé activement par un démon autonome qui est responsable de la réactivation du flux de migration s’il est interrompu de manière inattendue • Le processus de migration peut être automatiquement reporté lorsqu’un processus défini dans une liste est détecté afin qu’il ne soit pas exécuté ou proposé de manière inattendue pendant une réunion • Le processus de migration peut être interdit à une liste de comptes afin d’empêcher un compte de gestion d’exécuter le flux de travail de migration et donc de devenir par inadvertance l’utilisateur activé pour MDM |
Planification Switch |
• Le processus de migration peut être limité à des plages horaires autorisées, visant à refléter la disponibilité du support informatique • Un créneau de migration est défini pour chaque jour par une ou plusieurs plages horaires • Chaque créneau de migration est destiné à être associé à un fuseau horaire spécifique, à l’exception du créneau de migration de repli qui s’applique à tous les appareils dont le fuseau horaire n’est pas pris en charge |
Désinscription transparente de l’appareil Switch |
• MOM peut supprimer un profil de gestion à distance résultant d’une inscription automatisée de l’appareil et protégé par une option « Empêcher la désinscription » en effectuant un appel API au MDM que l’appareil quitte • Cette capacité n’est actuellement offerte que par FileWave, Hexnode UEM, Jamf Pro, Jamf School, JumpCloud, Microsoft Intune, SimpleMDM et VMware Workspace ONE UEM • Dans cette situation, avec les autres MDM pris en charge, le flux de travail est suspendu jusqu’à ce que la désinscription soit déclenchée manuellement par le support informatique |
Configuration Wi-Fi à la désinscription Switch |
• La configuration propose de rejoindre un réseau de repli sécurisé avec les modes WPA, WPA2 et WP3 Personnel. • La configuration est déclenchée lorsque la connectivité Internet ne peut pas être vérifiée après la désinscription. • La configuration permet de créer le service Wi-Fi s’il est manquant, d’activer le service Wi-Fi s’il est désactivé, d’alimenter l’interface Wi-Fi si elle est éteinte. |
Réémission de la FileVault PRK Switch |
• La FileVault PRK peut être réémise automatiquement une fois l’appareil inscrit dans le nouveau MDM • La réémission requiert que le nouveau MDM fournisse à l’appareil une configuration FDERecoveryKeyEscrow lors de son inscription. |
Configurations de base | |
Nom du volume de démarrage | Le volume de démarrage peut être renommé silencieusement selon un nom arbitraire défini |
Image du bureau | • L’image du bureau peut être personnalisée avec un fond d’écran fourni par votre organisation (fichier PNG) • Le réglage est exécuté à l’ouverture de session via le script Login |
Dock | • Le Dock peut être personnalisé pour ajouter l’icône de l’application Self Service et pour supprimer les icônes d’applications macOS non désirées • Le réglage est exécuté à l’ouverture de session via le script Login |
Mot de passe Firmware | Le mot de passe Firmware d’un Mac Intel peut être configuré silencieusement selon une chaîne arbitraire définie |
Python | Une version de Python 3 peut être téléchargée dynamiquement depuis GitHub et installée au cours du flux de travail |
Rosetta 2 | Rosetta 2 qui permet à un Mac Apple silicon d’exécuter des applications Intel peut être installé |
Fuseau horaire | Le fuseau horaire peut être réglé silencieusement sur un fuseau défini lorsque les services de localisation sont désactivés |
Fermeture de session, redémarrage et extinction | • Une commande de fermeture de session, de redémarrage, de redémarrage suivie d’une suppression des comptes locaux autres que le compte de gestion, ou d’extinction peut être exécutée à la fin du flux de travail • Lorsque cette commande n’est pas spécifiée, l’ouverture automatique d’une application et/ou d’une page Web est possible |
Ouverture automatique d’une application | Une application qui sera probablement l’application Self Service de la solution de gestion peut être ouverte une fois le flux de travail terminé |
Ouverture automatique d’une page Web | Une page Web peut être ouverte par le navigateur Web par défaut de l’utilisateur connecté une fois le flux de travail terminé |
Renommage de l’appareil | |
Méthodes de changement de nom | • Prompt : l’utilisateur est invité à entrer le nom de l’appareil • Template : le nom de l’appareil est composé de texte arbitraire et d’informations sur le nom du produit et/ou le numéro de série • CSV : le nom de l’appareil est récupéré depuis un tableau CSV Numéro de série / Nom de l’appareil stocké dans le paquet Contenu |
Casse du nom de l’appareil | Une conversion en minuscules ou en majuscules peut être appliquée quelle que soit la méthode de changement de nom utilisée |
Longueur du nom de l’appareil | • Une longueur maximale peut être appliquée quelle que soit la méthode de changement de nom utilisée • Cette stratégie empêchera généralement une distorsion entre le nom local de l’ordinateur et le nom de l’enregistrement Active Directory de l’ordinateur limité à 15 caractères |
Compte de gestion | |
Création du compte (Mode Launcher) |
• Le compte de gestion défini est créé lors de l’inscription s’il est manquant • Les paramètres du compte de gestion incluent le nom du compte, le nom complet, l’UID, le Shell, le dossier personnel, le mot de passe et l’indicateur masqué |
Création du compte (Mode AutoLauncher) |
• Le compte de gestion défini est créé s’il est manquant après la séquence d’inscription automatisée de l’appareil • Les paramètres du compte de gestion incluent le nom du compte, le nom complet, l’UID, le Shell, le dossier personnel, le mot de passe et l’indicateur masqué |
Octroi d’un SecureToken | • Le compte de gestion peut recevoir un SecureToken depuis un compte administrateur qui en possède un • Ce compte administrateur peut être l’utilisateur connecté s’il possède un SecureToken et s’il est administrateur (après une élévation de privilèges si elle est autorisée) • Sinon ce compte administrateur est à sélectionner parmi les autres comptes administrateurs qui possèdent un SecureToken et dont le mot de passe est connu |
Autorisation pour FileVault | Le compte de gestion peut être ajouté à la liste des utilisateurs autorisés à déverrouiller l’appareil ou, inversement, peut être supprimé de cette liste |
Passerelle EasyLAPS |
|
Image du compte | Le compte de gestion peut être personnalisé avec une image fournie par votre organisation (fichier PNG) |
Suppression des autres comptes locaux | • Si le compte de gestion existe à la fin du flux de travail, tous les autres comptes locaux peuvent être supprimés • Un cas d’usage est la préparation d’un Mac non compatible ADE par un technicien qui configure manuellement un Compte d’ordinateur temporaire dans l’assistant de configuration initiale tandis que la création du compte de gestion est automatisée pour la fiabilité de ses informations d’authentification |
Intégration dans un annuaire | |
Intégration avec un fournisseur d’identité | MOM a été conçu pour fonctionner efficacement avec Jamf Connect, Mosyle Auth 2 et XCreds. Ces outils remplacent la fenêtre d’ouverture de session macOS par une fenêtre d’ouverture de session personnalisée qui autorise la connexion avec un compte géré par un fournisseur identité pour une création de compte local automatisée. |
Intégration moderne Active Directory | MOM a été conçu pour fonctionner efficacement avec NoMAD Login. Cet outil remplace la fenêtre d’ouverture de session macOS par une fenêtre d’ouverture de session personnalisée qui autorise la connexion avec un compte Microsoft Active Directory pour une création de compte local automatisée. |
Intégration traditionnelle Active Directory | • L’appareil peut être lié traditionnellement à un serveur Active Directory pour implémenter des comptes mobiles • Dans le cadre d’une action de support, Agnosys peut vous fournir un script d’intégration traditionnelle et vous accompagner dans sa personnalisation • Le cas d’usage est le flux de travail qui prévoit que la liaison n’est pas effectuée via le réglage d’annuaire d’un profil de configuration fourni par le MDM, mais par un script exécuté une fois l’appareil renommé |
Intégration avec d’autres produits | |
Slack / Microsoft Teams | • MOM peut rapporter à un canal dédié les états successifs de l’intégration ou de la migration d’un appareil • Des messages sont envoyés lorsque le flux de travail est lancé et quitté, lorsque le contrat d’utilisation de l’ordinateur est accepté, lorsque l’appareil est inscrit et désinscrit, lorsque l’appareil doit être désinscrit depuis la console de la solution MDM qu’il quitte et lorsque des privilèges administratifs sont accordés et retirés • Les messages peuvent être personnalisés avec des chaînes de caractères, des variables attendues et des émojis • Cette intégration nécessite la mise en œuvre de Slack Incoming Webhooks ou d’un flux de travail Teams de type « Publier sur un canal lors de la réception d’une demande de webhook » |
macOS Security Compliance Project (mSCP) | • mSCP vise à développer et maintenir des directives de sécurité pour les organisations qui doivent se conformer à des cadres et politiques spécifiques de conformité en matière de sécurité • L’intégration permet au support informatique d’évaluer la posture de sécurité d’un Mac avant qu’il ne soit remis à un utilisateur (processus unique) • L’intégration permet l’application de l’un des référentiels de sécurité pris en charge à la fin du flux de travail • L’intégration comprend deux étapes facultatives : une remédiation de conformité et une analyse de conformité • Le rapport de conformité mSCP, qui inclut un score de conformité, est affiché dans le panneau final et peut être partagé via les webhooks Slack et Teams |
Homebrew | • Homebrew permet d’installer des paquets au moment de l’intégration • Les installations se déroulent pendant le flux de travail avec une interface utilisateur graphique pour afficher une progression • Homebrew est téléchargé dynamiquement depuis le site de l’éditeur |
Installomator | • Installomator permet d’installer les dernières versions disponibles des logiciels au moment de l’intégration • Les installations se déroulent pendant le flux de travail avec une interface utilisateur graphique pour afficher une progression • Installomator est téléchargé dynamiquement depuis GitHub |
Munki | • Munki est un ensemble d’outils, utilisés avec un référentiel de paquets basé sur un serveur Web, qui sont mis en œuvre dans des organisations du monde entier pour gérer les installations de logiciels sur les appareils macOS (3) • Dans le flux de travail spécifique d’une intégration au cours de l’assistant de configuration initiale, une connexion Munki initiale est exécutée si souhaitée pour installer dès que possible les applications les plus critiques une fois que le premier utilisateur final se connecte (avec une interface utilisateur graphique pour afficher une progression) ou silencieusement en arrière-plan • En dehors de ce dernier flux de travail, une connexion Munki initiale est exécutée si souhaitée une fois le flux de travail terminé ou une fois que l’utilisateur final se déconnecte • Munki est vu comme un outil auxiliaire et la configuration de l’agent Munki est censée être effectuée par un profil de configuration MDM • Munki est téléchargé dynamiquement depuis GitHub |
NoMAD | • NoMAD est un outil qui permet aux comptes locaux de se connecter avec leur compte AD essentiellement pour obtenir des tickets Kerberos lors de la connexion et garder leur mot de passe local synchronisé avec leur mot de passe AD, sans lier traditionnellement leur appareil à AD ni implémenter des comptes mobiles qui sont sources de préoccupations connues • NoMAD est téléchargé dynamiquement à partir du site Web de l’éditeur et configuré avec un profil de configuration MDM |
NoMAD Login | • NoMAD Login est un outil qui permet aux utilisateurs de se connecter avec leur compte AD à partir d’une fenêtre d’ouverture de session personnalisée afin que leur compte local soit créé automatiquement, sans lier traditionnellement leur appareil à AD ni implémenter des comptes mobiles • L’impressionnante image du caribou peut être remplacée par une image fournie par votre organisation (fichier PNG) • NoMAD Login est téléchargé dynamiquement à partir du site Web de l’éditeur et configuré avec un profil de configuration MDM |
Configurations avancées | |
Éléments attendus | • Les éléments attendus sont une liste d’éléments dont la disponibilité est vérifiée avant que le flux de travail puisse passer à ses étapes finales. • Quatre types d’éléments attendus sont pris en charge : « app », « CFBundleIdentifier », « path » et « Wi-Fi ». • Les types « app » et « CFBundleIdentifier » sont utilisés pour détecter une application par son nom ou son identifiant de bundle. • Le type « path » vérifie tout élément en fonction de son nom de chemin complet. • Le type « Wi-Fi » permet de maintenir le flux de travail en pause jusqu’à ce que l’appareil se connecte avec succès à un réseau sécurisé configuré par un profil de configuration déployé par le MDM. • Les éléments attendus fournissent un retour visuel sur l’avancement des installations effectuées sous la gouvernance du MDM, y compris les applications téléchargées depuis le Mac App Store ou le catalogue d’applications MDM, ainsi que les paquets. |
Script Login | • Le script Login fourni par votre organisation ou écrit par (ou avec l’aide de) Agnosys dans le cadre d’une action de support peut être intégré dans MOM • Le script Login est exécuté lorsque l’utilisateur se connecte, en tant que l’utilisateur connecté |
Scripts Preflight, Post Settings et Postflight | • Les scripts Preflight, Post Settings et Postflight, exécutés en tant que l’utilisateur root, sont des Hooks qui enrichissent le code par défaut • Ils peuvent être fournis par votre organisation ou écrits par (ou avec l’aide de) Agnosys dans le cadre d’une action de support • Le script Preflight est exécuté au début du flux de travail dans le contexte d’une intégration exécutée pendant l’assistant de configuration initiale, ou juste avant l’inscription dans les autres contextes • Le script Post Settings est exécuté après la fermeture du panneau de personnalisation de l’appareil • Le script Postflight est exécuté à la fin du flux de travail • Ces scripts peuvent intégrer des commandes swiftDialog ou DEPNotify attendues afin d’informer visuellement de leur exécution au moyen d’affichages de texte, d’avancements de barre de progression et de changements d’état |
Scripts intégrés dans les profils | L’appareil peut être configuré pour exécuter les scripts Loginhook et/ou Logouthook intégrés dans le réglage de la fenêtre d’ouverture de session d’un profil de configuration fourni par le MDM |
Script de désinstallation personnalisé Switch |
• MOM peut exécuter un script personnalisé après la suppression du profil de gestion à distance pour désinstaller les ressources de la solution de gestion quittée par l’appareil • Ce script est censé être fourni de manière équitable par le vendeur de cette solution de gestion • Ce script remplace les scripts intégrés |
Capacités spécifiques avec FileWave | |
Champs intégrés et champs personnalisés | • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Bâtiment » ou le champ « Commentaire » ou le champ « Département » ou le champ « Emplacement » ou le champ « Nom d’utilisateur d’inscription » ou un champ personnalisé prédéfini • L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des champs intégrés ou des champs personnalisés • Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil |
Capacités spécifiques avec Hexnode UEM | |
Attributs intégrés | • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Département » ou le champ « Description » ou le champ « Étiquette d’inventaire » ou le champ « Notes » • L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs intégrés • Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil |
Capacités spécifiques avec Jamf Pro | |
Attributs intégrés et attributs d’extension | • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Bâtiment » ou le champ « Département » ou le champ « Étiquette d’inventaire » ou le champ « Nom d’utilisateur » ou le champ « Salle » ou le champ « Site » ou le champ d’un attribut d’extension prédéfini • L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs intégrés ou des attributs d’extension • Ces valeurs stockées dans la fiche d’inventaire de l’appareil peuvent être utilisées comme critères pour les groupes intelligents (API Jamf Pro et API classique) |
Remplissage automatisé des menus | Les menus utilisés pour sélectionner un site, un bâtiment ou un département peuvent être remplis dynamiquement par les éléments disponibles pour ces objets (API classique) |
Règles | • Des règles peuvent être exécutées pendant le flux de travail avant l’exécution du script Postflight • Les règles peuvent être déclenchées par leur Événement personnalisé ou par leur Identifiant |
Gestion à distance | • Le service Gestion à distance peut être configuré pour accepter les connexions entrantes en tant que le compte de gestion uniquement avec tous les privilèges • Une commande MDM d’activation Remote Desktop est automatiquement envoyée à l’appareil avant que le service de gestion à distance ne soit configuré (API classique) |
Capacités spécifiques avec Jamf School | |
Étiquette d’inventaire et notes | L’utilisateur peut être invité à entrer la référence et les notes qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents |
Capacités spécifiques avec JumpCloud | |
Description | L’utilisateur peut être invité à entrer la description qui est stockée dans l’inventaire de l’appareil (API v1) |
Capacités spécifiques avec Meraki Systems Manager | |
Balises et notes | L’utilisateur peut être invité à entrer les balises et les notes qui sont stockées dans l’inventaire de l’appareil (API v1) |
Capacités spécifiques avec Microsoft Intune | |
Notes | L’utilisateur peut être invité à entrer les notes qui sont stockées dans l’inventaire de l’appareil (API Graph Beta) |
Capacités spécifiques avec Miradore | |
Attributs intégrés et attributs personnalisés | • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Catégorie » ou le champ « Emplacement » ou le champ « Organisation » ou le champ « Balises » ou le champ « Courriel » ou le champ « Nom complet utilisateur » ou le champ d’un attribut personnalisé prédéfini • L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs intégrés ou des attributs personnalisés |
Remplissage automatisé des menus | Les menus utilisés pour sélectionner une catégorie, un emplacement, une organisation ou un courriel peuvent être remplis dynamiquement par les éléments disponibles pour ces objets |
Capacités spécifiques avec Mosyle Business | |
Étiquette d’inventaire et balises | L’utilisateur peut être invité à entrer l’étiquette d’inventaire et les balises qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents (API v1) |
Capacités spécifiques avec Mosyle Manager | |
Étiquette d’inventaire et balises | L’utilisateur peut être invité à entrer l’étiquette d’inventaire et les balises qui sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme critères pour les groupes intelligents (API v2) |
Capacités spécifiques avec SimpleMDM | |
Attributs personnalisés | • L’utilisateur peut être invité à entrer un texte arbitraire pour un attribut personnalisé prédéfini • L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs personnalisés • Ces valeurs sont stockées dans l’inventaire de l’appareil et peuvent être utilisées comme valeurs de clé dans des profils de configuration (API v1) |
Gestion à distance | • Le service Gestion à distance peut être configuré pour accepter les connexions entrantes en tant que le compte de gestion uniquement avec tous les privilèges • Une commande MDM d’activation Remote Desktop est automatiquement envoyée à l’appareil avant que le service de gestion à distance ne soit configuré (API v1) |
Capacités spécifiques avec VMware Workspace ONE UEM | |
Attributs intégrés et attributs personnalisés | • L’utilisateur peut être invité à entrer un texte arbitraire pour le champ « Numéro d’actif » ou une nouvelle note dans le tableau « Notes » ou le champ d’un attribut personnalisé prédéfini • L’utilisateur peut être invité à sélectionner des valeurs dans des menus associés à des attributs personnalisés • Ces valeurs sont stockées dans la fiche d’inventaire de l’appareil (API REST) |
Dépendances logicielles | |
Interface graphique utilisateur | • MOM s’appuie sur swiftDialog ou DEPNotify pour fournir une interface graphique utilisateur • swiftDialog ou DEPNotify est téléchargé dynamiquement à partir du site Web de l’éditeur mais peut être encapsulé dans le paquet Contenu si la connectivité Internet n’est pas disponible au moment de l’intégration • MOM peut revenir à une interface allégée uniquement AppleScript si les intégrations swiftDialog et DEPNotify sont désactivées |
Génération des codes QR | MOM s’appuie sur Libqrencode pour générer le code QR qui peut être affiché dans le panneau d’aide |
Configuration de l’image du bureau | Le binaire macos-wallpaper (utilisé avec macOS 10.14.4 et supérieur) et le script set_desktops.py (utilisé avec macOS 10.14.3 et antérieur) sont téléchargés dynamiquement depuis GitHub |
Configuration du Dock | • Le binaire Dockutil peut être téléchargé dynamiquement depuis Github • Le script Docklib peut être installé via l’installation de Python 3 Recommended • Les deux outils sont supportés par le script Login fourni par Agnosys |
Lancement de Munki | Le script MunkiPostInstall, utilisé pour lancer les LaunchDaemons Munki sans redémarrage après l’installation, est téléchargé dynamiquement depuis GitHub |
Implémentation | |
Localisation | • MOM est entièrement localisable pour correspondre à la langue préférée de l’utilisateur connecté • La localisation est principalement basée sur la création d’un fichier PO personnalisé à partir d’un fichier POT modèle • Un fichier PO pour la langue française est fourni |
Configuration | • Le mode Launcher est configuré avec un fichier de liste de propriétés pour son exécution et un fichier de liste de propriétés par emplacement MOM ; ces fichiers sont lus localement • Le mode AutoLauncher est configuré avec un fichier de liste de propriétés par emplacement MOM ; ce fichier est reçu depuis le MDM sous la forme d’un profil de configuration et MOM attend sa réception avant de continuer |
Contenu | • Le contenu est constitué d’images, de fichiers et de scripts utilisés pendant le processus d’intégration, enveloppé dans un paquet signé • Mode Launcher : le paquet de contenu est installé localement lorsque MOM est exécuté • Mode AutoLauncher : le paquet de contenu est installé depuis le MDM et MOM attend son installation avant de continuer |
Ressources (Mode Launcher uniquement) |
• MOM « Essentiel » prévoit que les fichiers de liste de propriétés et le contenu sont encapsulés dans une image disque chiffrée positionnée dans le même dossier que MOM-Core lors de son exécution • MOM « Premium » prévoit que ces ressources sont encapsulées sans frais supplémentaires dans une application personnalisée nommée MOM.app |
Prévention de l’exécution (Mode Launcher uniquement) |
• MOM « Essential » : la saisie correcte d’un code de sécurité est requise pour autoriser MOM-Core à accéder à l’image disque chiffrée encapsulant les ressources requises pour son fonctionnement • MOM « Premium » : la saisie correcte d’un code de sécurité peut être requise pour autoriser l’exécution de MOM.app dans le contexte où les comptes utilisateurs disposent de privilèges administratifs et le logiciel a été laissé sans surveillance sur l’appareil |
Fichiers d’historique | • Par défaut, MOM est exécuté silencieusement et ne produit pas de fichiers d’historique • La production de fichiers d’historique, utilisés à des fins de débogage et stockés uniquement localement sur l’appareil, doit être demandé explicitement |
Confiance | • MOM-Core et MOM.app sont tous les deux signés et notarisés de sorte que vous soyez sûrs que ces logiciels ont été vérifiés pour l’absence de tout code malveillant • Agnosys peut signer votre paquet MOM-Content si nécessaire dans le cadre d’une action de support |
Support macOS | MOM supporte macOS 15 (Sequoia), macOS 14 (Sonoma), macOS 13 (Ventura), macOS 12 (Monterey), macOS 11 (Big Sur), macOS 10.15 (Catalina), macOS 10.14 (Mojave) et macOS 10.13.4 ou version supérieure (High Sierra) |
Support processeur | MOM supporte les processeurs Apple silicon et Intel |
(1) Certains MDM offrent la capacité d’installer un paquet (PKG) signé par le développeur spécifiquement pendant la séquence d’inscription automatisée de l’appareil. MOM-Core devrait idéalement être installé avec ce mécanisme (voir la documentation MDM). Si le MDM n’offre pas cette capacité, MOM-Core doit être installé comme tout autre PKG, lors de l’inscription, avec la priorité la plus élevée, avec des compromis raisonnables en raison de problèmes de vitesse.
(2) Un Mac compatible ADE (Automated Device Enrollment / Inscription automatisée de l’appareil) fait partie d’un Apple Business Manager ou d’un Apple School Manager et est donc éligible à une configuration initiale comprenant une inscription MDM à partir de l’assistant de configuration initiale. Veuillez noter que le seul moyen d’empêcher la désinscription d’un appareil, même par des utilisateurs disposant de privilèges administratifs, est d’inscrire l’appareil dans le MDM à l’aide de l’inscription automatisée de l’appareil avec l’option « Empêcher la désinscription » activée dans le profil d’inscription.
(3) Munki est censé déployer les applications qui ne sont pas disponibles sur le Mac App Store. Les applications du Mac App Store doivent être distribuées par un MDM lié à Apple Business Manager ou Apple School Manager avec des licences achetées en masse.