Apple : comment gérer et enrôler des appareils macOS dans Intune ?

Montée en puissance des appareils Apple en entreprise

Avant d’aborder en détail la gestion des macOS en entreprise avec Microsoft Intune, commençons par quelques chiffres et un peu de contexte.

En 2023, Apple, avec macOS, détenait environ 19 % du marché mondial des systèmes d’exploitation. Si Windows reste dominant, l’adoption des MacBook en entreprise ne cesse de croître.

Pourquoi cet engouement ? Plusieurs facteurs expliquent cette montée en puissance du Mac dans les environnements professionnels :

• Une intégration fluide avec les solutions de gestion modernes comme Microsoft Intune, facilitant l’administration et la sécurisation des appareils.
• Une sécurité avancée avec des technologies natives comme FileVault, Gatekeeper et l’architecture Apple Silicon.
• Une expérience utilisateur optimisée, favorisant la productivité avec une interface fluide et un écosystème harmonisé avec les autres appareils Apple.
• Une longévité et une fiabilité reconnues, avec des machines performantes et une excellente gestion de l’autonomie.
• Un coût total de possession (TCO) souvent optimisé grâce à une maintenance réduite et une valeur de revente élevée.

De grandes entreprises comme IBM, Salesforce ou encore SAP ont adopté le Mac à grande échelle, témoignant de son potentiel dans le monde professionnel.

Dans cet article, nous verrons comment Microsoft Intune permet de gérer efficacement une flotte de Mac en entreprise, en alliant simplicité et sécurité.

Prérequis à la gestion d’une flotte Apple avec Microsoft Intune

Pour gérer un environnement Apple avec Microsoft Intune, il y a deux prérequis essentiels et obligatoires à mettre en place qui sont :

• Apple Push Certificate : il est essentiel car il permet d’assurer une communication sécurisée entre les appareils Apple et le MDM
• Apple Business Manager : c’est un portail Web qui permet entre autres de faire l’inscription automatisée de l’appareil lors de sa mise en route et de déployer des applications venant de l’Apple Store

Ces tokens sont à renouveler tous les ans sous peine de perdre la gestion de vos périphériques Apple.

Apple : les différentes méthodes d’enrôlement macOs avec Intune

Dans ce tableau vous trouverez les différentes méthodes d’enrôlement d’un périphérique macOS dans Microsoft Intune avec comme ordre de préférence la méthode « Automated Device Enrollment » qui vous permettra d’avoir un enrôlement automatisé dès le démarrage du MacBook. Le seul prérequis est que votre matériel soit enregistré dans Apple Business Manager.

Pour cela, deux solutions :

• Demander à votre revendeur
• Utiliser l’application Apple Configurator for Iphone. Pour plus d’informations, cliquez ici.

Cette méthode vous apportera aussi la fonctionnalité « Await Final Configuration » qui permet à l’utilisateur de prendre le contrôle de son environnement une fois que toutes les configurations voulues par l’IT sont déployées. Si le MacBook est déjà en service, il faudra le réinitialiser pour bénéficier de cette méthode. 

Mais si vous voulez enrôler un MacBook existant sans le réinitialiser, vous pouvez utiliser la méthode « Company portal enrollment with corporate identifier », le prérequis pour cette méthode est l’installation de l’application « Portail d’entreprise » . 

La partie « Corporate Identifier » vous permettra de faire reconnaitre le périphérique en tant que « Corporate » lors de son enrôlement dans Microsoft Intune.  

L’enrôlement à partir du Portail d’entreprise se fait assez simplement : L’utilisateur final se connecte avec ses identifiants et il accepte l’installation du profil de gestion.   

La dernière méthode dites « Direct Enrôlement » est à éviter car trop chronophage.

Apple : configurer ses MacBook dans Intune

Microsoft offre de multiples façons de configurer l’environnement MacOS.

Les settings Catalog

Les settings Catalog sont la façon la plus courante et là où vous retrouverez la plus grande quantité de paramétrages.

Microsoft complète ce catalogue mensuellement pour répondre aux différents besoins, les derniers en date concernent par exemple Apple Intelligence.

Les templates

Les templates sont à utiliser pour des besoins spécifiques tel que le déploiement de certificat approuvé ou la configuration des connexions Wifi / Ethernet.

Les scripts

Les scripts sont à utiliser pour des besoins customisés et qui ne sont pas disponibles dans les deux options ci-dessus.

Profils de configuration custom

Il est également possible de créer des profils de configuration custom (plist) pour des logiciels comme Google Chrome avec l’utilitaire « Imazing Profile Editor ».
Ces profils sont à intégrer en profile type « Templates » puis « Custom ».

Les règles de hardening pour Mac

Si vous souhaitez mettre en place des règles de hardening, sachez que des référentiels sont disponibles au niveau du CIS et du NIST.

Vous retrouverez toutes les informations en consultant les liens suivants :

• https://www.cisecurity.org/benchmark/apple_os
• https://github.com/usnistgov/macos_security

Quelques exemples de règles de hardening pour les MacBook :

• Activation des mises à jour automatique
• Désactiver le sharing
• Activation de Gatekeeper et du firewall natif.

Mac Evaluation Utility

Pour finir sur la partie configuration, Apple met à disposition un utilitaire nommé « Mac Evaluation Utility » qui permettra d’auditer une partie de la configuration en place et vous indiquer si vous êtes conforme vis-à-vis des préconisations Apple sur différentes thématiques.

Pour télécharger cet utilitaire, rendez vous sur ce lien https://beta.apple.com/for-it

Apple : gérer les mises à jour de l’OS dans Intune

Sous MacOS, il existe 2 types de mises à jour :

• Minor (update) : plusieurs fois par an (on peut comparer cela à une mise à jour cumulative sous Windows) > Exemple : Passage de MacOS 15.1 à 15.2
• Major (upgrade) : une fois par an (on peut comparer cela à une mise à jour de fonctionnalité sous Windows) > Exemple : Passage de MacOS 15 à 16.
  Vous avez la possibilité de reporter l’installation de ces mises à jour jusqu’à 90 jours.

Sur la base de ces paramétrages dans Intune, vous pouvez donc créer vos rings de mise à jour qui permettront de diffuser les mises à jour selon vos besoins. (Exemple : Déploiement des mises à jour à J+0 sur une population pilote / Déploiement des mises à jour à J+5 sur une autre population etc…)

Vous voulez améliorer l’expérience utilisateur sur cette partie ? Pensez à l’outil Nudge.

Nudge est une petite application qui permet de personnaliser l’expérience utilisateur en offrant des reports et un peu plus de visibilité sur l’installation des mises à jours.

C’est un outil développé par la communauté et supporté par Microsoft qui explique même comment le configurer dans ces documentations 😊

Pour plus d’infos sur Nudge, c’est par ici : https://github.com/macadmins/nudge

MacOS Intune : gérer la partie « Administrateur local »

A ce jour, il n’existe pas d’équivalent à Microsoft LAPS pour l’environnement MacOS ☹.

Mais Microsoft met une bibliothèque de scripts Bash qui vous permettra de :

• Créer un compte administrateur local
• Downgrader un compte administrateur en compte standard
• Supprimer un compte administrateur local
• Déchiffrer le mot de passe du compte administrateur local pour l’utilisation sur un périphérique (un mot de passe généré par périphérique).

Vous trouverez toutes ces ressources en suivant ce lien : https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Config/Manage%20Accounts

MacOS Intune : déployer les applications

Il existe différents types d’applications que vous pouvez utiliser en fonction de vos cas d’usage.

• Line of Business App :

Application custom ou développé par l’entreprise : elle doit être signé par un certificat développeur Apple pour des questions de sécurité et d’intégrité

• macOS app (DMG) :

Image disque > Peux être utiliser pour des installations simples pour lesquelles il n’y a pas besoin de customisation

• macOS app (PKG) :

Format d’installation natif MacOS > Possibilité d’utiliser des scripts de pre-install ou de post-install pour les installations complexes.

• AppStore :

Application venant de l’app Store et synchronisé avec le jeton VPP

Infos utiles :

• La taille maximale pour un PKG ou un DMG est de 8 Go
• La taille maximale pour une LOB apps est de 2 Go.

MacOS Intune : étendre l’inventaire grâce aux custom attributes

Créer des custom attributes vous permettra de collecter des propriétés personnalisées à partir d’un appareil macOS géré par Intune à l’aide de scripts shell.

• Vous voulez connaitre l’état de la batterie ?
• Vous voulez savoir qui est administrateur de son Mac ?
• Ou encore si Gatekeeper est actif ?

Les Custom attributes sont faits pour vous 🙂

Une bibliothèque de Custom Attributes assez complète est disponible via ce lien : https://github.com/microsoft/shell-intune-samples/tree/master/macOS/Custom%20Attributes

MacOS Intune : Declarative Device Management

Passer d’une gestion réactive à une gestion proactive ! Le futur de la gestion Apple !

Protocole MDM (actuel)

Protocole DDM

A la différence du protocole MDM, le protocole DDM fait que la machine garde en mémoire le paramétrage souhaité et que si celle-ci change d’état, le paramètre est réappliqué sans nécessité que la machine recontacte son serveur MDM pour connaitre le paramétrage a appliqué.

Les deux protocoles peuvent être utilisés conjointement.

La gestion « Declarative Device Management » permet aux organisations dʼêtre plus sûres que les périphériques sont dans l’état désiré et que les données essentielles sont en sécurité, même sans connexion à Internet.

Voici pour le moment les paramétrages disponibles en gestion « DDM », d’autres sont sans doute à venir.

MacOS Intune : Platform SSO for macOS

Microsoft a annoncé le 6 mai 2024 la sortie en public preview de la fonctionnalité « Platform SSO for macOS » intégré à Microsoft Entra ID et configurable avec Microsoft Intune. 

Platform SSO est une extension du plugin « Microsoft Entreprise SSO for Apple Devices ». Pour rappel ce plugin permet de mettre en place une authentification SSO (Single Sign On) pour des comptes utilisateurs Microsoft Entra ID sur des périphériques iOS, ipadOS et macOS et sur toutes les applications qui prennent en charge cette fonctionnalité.

La fonctionnalité Platform SSO for macOS offre de nombreux avantages 

Aux administrateurs :

• Simplification et sécurisation du processus de connexion pour les utilisateurs et en réduisant le nombre de mots de passe à mémoriser. 
• Permettre aux utilisateurs de s’authentifier avec à l’aide d’une carte à puce ou d’une clé de sécurité (Identique Windows Hello for Business).
• Utilisation des méthodes d’identification résistantes à l’hameçonnage

Aux utilisateurs :

• Le mot de passe du compte local sera synchronisé avec Entra ID pour faire en sorte que le mot de passe Entra ID et local soit toujours identique et donc avoir un seul mot de passe à retenir. 
• Possibilité d’utiliser une authentification « password less ».
• Expérience de connexion plus sécurisée.

Avant cela, il faudra choisir la méthode d’authentification qui réponds à vos besoins parmi ces 3 choix :

La méthode « Secure Enclave » est celle qui est préconisée par Microsoft et qui offre le plus haut niveau de sécurité.

Des prérequis sont nécessaires pour la configuration et l’utilisation :

• Disposer de Microsoft Intune et d’un MacBook enrôlé (via Apple Business Manager / Automated Device Enrollement par exemple)
• Mettre à jour l’application « Portail d’entreprise » à une version 5.2404 ou supérieur (Cette version est nécessaire pour permettre aux utilisateurs d’être ciblés pour l’authentification unique Platform SSO)
• S’assurer que les utilisateurs sont enregistrés sur une solution d’authentification multi facteur (Microsoft Authenticator est recommandé 😊)
• Pour les utilisateurs de Google Chrome, installer l’extension « Microsoft Single Sign On »
• Mettre à jour les MacBook vers macOS Sonoma (macOS 14). Cette version est recommandée pour une meilleure expérience.

Pour plus d’infos, retrouvez notre article sur le sujet : https://synapsys-groupe.com/blog/platform-sso-mac-microsoft-intune/

Conclusion sur la gestion des macOS dans Intune

La gestion d’un environnement macOS en entreprise avec Microsoft Intune offre une approche complète et sécurisée pour l’administration des périphériques macOS. Grâce aux différentes méthodes d’enrôlement, aux paramètres avancés de configuration et aux outils comme Nudge ou Platform SSO, les équipes IT peuvent optimiser l’expérience utilisateur tout en garantissant la conformité et la sécurité des appareils.

L’évolution vers des technologies comme le Declarative Device Management annonce une gestion encore plus proactive et fluide des MacBook, réduisant la dépendance aux connexions MDM classiques. De plus, avec l’intégration croissante de macOS dans l’écosystème Microsoft, les entreprises disposent désormais de solutions robustes pour unifier la gestion de leurs appareils, quel que soit leur OS.

En adoptant les bonnes pratiques et en tirant parti des outils disponibles, il devient possible d’offrir un environnement de travail performant, sécurisé et aligné sur les exigences modernes de mobilité et de flexibilité.