Citrix Endpoint Management

macOS

Pour gérer des appareils macOS dans Citrix Endpoint Management, configurez un certificat Apple Push Notification Service (APNs). Pour de plus amples informations, consultez la section Certificats APNs.

Citrix Endpoint Management inscrit les appareils macOS en mode MDM. Citrix Endpoint Management prend en charge les types d’authentification d’inscription suivants pour les appareils macOS en mode MDM.

  • Domaine
  • Domaine + mot de passe unique
  • URL d’invitation + mot de passe unique

Exigences pour les certificats de confiance dans macOS 15 :

Apple a introduit de nouvelles exigences pour les certificats de serveur TLS. Vérifiez que tous les certificats respectent les nouvelles exigences d’Apple. Consultez la publication Apple, https://support.apple.com/en-us/HT210176. Pour obtenir de l’aide sur la gestion des certificats, consultez la section Charger des certificats.

Workflow général pour le démarrage de la gestion des appareils macOS :

  1. Effectuez le processus d’intégration. Consultez les sections Intégration et configuration des ressources et Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

  2. Choisissez et configurez une méthode d’inscription. Consultez la section Méthodes d’inscription prises en charge.

  3. Configurez les stratégies macOS.

  4. Inscrivez les appareils macOS.

  5. Configurez les actions de sécurité des appareils et des applications. Consultez la section Actions de sécurisation.

Pour les systèmes d’exploitation pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Noms d’hôtes Apple qui doivent rester ouverts

Certains noms d’hôtes Apple doivent rester ouverts pour assurer le bon fonctionnement d’iOS, de macOS et de l’Apple App Store. Le blocage de ces noms d’hôtes peut affecter l’installation, la mise à jour et le bon fonctionnement d’iOS, des applications iOS et de MDM et l’inscription des appareils et des applications. Pour plus d’informations, consultez https://support.apple.com/en-us/HT201999.

Méthodes d’inscription prises en charge

Le tableau suivant indique les méthodes d’inscription prises en charge par Citrix Endpoint Management pour les appareils macOS :

Méthode Pris en charge
Programmes de déploiement d’Apple Oui
Apple School Manager Oui
Apple Configurator Non
Inscription manuelle Oui
Invitations d’inscription Oui

Apple propose des programmes d’inscription d’appareil pour les comptes d’entreprise et éducation. Pour les comptes d’entreprise, vous devez vous inscrire au programme de déploiement d’Apple pour utiliser ce programme pour inscrire et gérer des appareils dans Citrix Endpoint Management. Ce programme est destiné aux appareils iOS, macOS et Apple TV. Voir Déployer des appareils via le programme de déploiement d’Apple.

Pour les comptes éducation, vous devez créer un compte Apple School Manager. Apple School Manager unifie le programme de déploiement et l’achat en volume. Apple School Manager est un type de programme de déploiement Apple Éducation. Consultez la section Intégration avec les fonctionnalités Apple Éducation.

Vous pouvez utiliser le programme de déploiement d’Apple pour inscrire en bloc des appareils iOS, macOS et Apple TV. Vous pouvez acheter ces appareils directement auprès d’Apple, d’un revendeur agréé Apple ou d’un opérateur.

Configurer les stratégies macOS

Utilisez ces stratégies pour configurer l’interaction entre Citrix Endpoint Management et les appareils exécutant macOS. Ce tableau répertorie toutes les stratégies d’appareils disponibles pour les appareils macOS.

     
Mise en miroir AirPlay Inventaire des applications Désinstallation des applications
Calendrier (CalDav) Contacts (CardDAV) Informations d’identification
Nom de l’appareil Exchange FileVault
Pare-feu Police Importer le profil iOS et macOS
LDAP Messagerie Réseau
Mise à jour d’OS Code secret Suppression de profils
Restrictions SCEP VPN
Clips Web    

Inscrire les appareils macOS

Citrix Endpoint Management propose deux méthodes pour inscrire des appareils qui exécutent macOS. Les deux méthodes permettent aux utilisateurs macOS de s’inscrire sans fil (OTA) directement depuis leurs appareils.

  • Envoyer une invitation d’inscription aux utilisateurs : cette méthode d’inscription vous permet de définir un des modes d’inscription sécurisée suivants pour les appareils macOS :

    • Nom d’utilisateur + mot de passe
    • Nom d’utilisateur + PIN
    • Authentification à deux facteurs

    Lorsque l’utilisateur suit les instructions de l’invitation d’inscription, un écran de connexion avec le nom d’utilisateur déjà renseigné s’affiche.

  • Envoyer un lien d’inscription aux utilisateurs : cette méthode d’inscription pour les appareils macOS envoie aux utilisateurs un lien d’inscription qu’ils peuvent ouvrir dans les navigateurs Safari et Chrome. Ensuite, un utilisateur s’inscrit en fournissant son nom d’utilisateur et son mot de passe.

    Pour empêcher l’utilisation d’un lien d’inscription pour les appareils macOS, définissez la propriété de serveur Activer macOS OTAE sur false. Les utilisateurs macOS peuvent alors s’inscrire uniquement à l’aide d’une invitation d’inscription.

Envoyer une invitation d’inscription aux utilisateurs macOS

  1. Ajoutez une invitation pour l’inscription d’utilisateurs macOS. Reportez-vous à la section Invitations d’inscription.

  2. Une fois que les utilisateurs reçoivent l’invitation et cliquent sur le lien, l’écran suivant s’affiche dans le navigateur Safari. Citrix Endpoint Management remplit le nom d’utilisateur. Si vous avez choisi Deux facteurs pour le mode d’inscription sécurisée, un champ supplémentaire s’affiche.

    Message du certificat racine du navigateur Safari

  3. Les utilisateurs installent les certificats, selon les besoins. Les utilisateurs sont invités à installer des certificats si vous avez configuré pour macOS un certificat SSL approuvé publiquement et un certificat de signature numérique approuvé publiquement. Pour de plus amples informations sur les certificats, consultez la section Certificats et authentification.

  4. Les utilisateurs entrent les informations d’identification demandées.

    Les stratégies Mac s’installent. Vous pouvez maintenant démarrer la gestion des appareils macOS avec Citrix Endpoint Management tout comme vous gérez les appareils mobiles.

Envoyer un lien d’installation aux utilisateurs macOS

  1. Envoyez le lien d’inscription https://serverFQDN:8443/instanceName/macos/otae que les utilisateurs peuvent ouvrir dans les navigateurs Safari ou Chrome.

    • serverFQDN est le nom de domaine complet du serveur exécutant Citrix Endpoint Management.
    • Le port 8443 est le port sécurisé par défaut. Si vous avez configuré un port différent, utilisez-le à la place de 8443.
    • Le nom d’instance, souvent affiché sous la forme zdm, est le nom spécifié lors de l’installation du serveur.

    Pour de plus amples informations sur l’envoi des liens d’installation, consultez la section Pour envoyer un lien d’installation.

  2. Les utilisateurs installent les certificats, selon les besoins. Si vous avez configuré un certificat SSL et un certificat de signature numérique approuvé publiquement pour iOS et macOS, les utilisateurs sont invités à installer les certificats. Pour de plus amples informations sur les certificats, consultez la section Certificats et authentification.

  3. Les utilisateurs se connectent à leur Mac.

    Les stratégies Mac s’installent. Vous pouvez maintenant démarrer la gestion des appareils macOS avec Citrix Endpoint Management tout comme vous gérez les appareils mobiles.

Actions de sécurisation

macOS prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action, consultez la section Actions de sécurisation.

     
Révoquer Verrouiller Effacer les données d’entreprise
Effacer Renouvellement de certificat Alterner clé de récupération privée

Verrouiller les appareils macOS

Vous pouvez verrouiller à distance un appareil macOS perdu. Citrix Endpoint Management verrouille l’appareil. Ensuite, il génère un code PIN et le configure dans l’appareil. Pour accéder à l’appareil, l’utilisateur devra entrer ce code PIN. Utilisez Annuler le verrouillage pour retirer le verrouillage de la console Citrix Endpoint Management.

Vous pouvez utiliser la stratégie Code secret pour configurer d’autres paramètres associés au code PIN. Pour plus d’informations, consultez les paramètres macOS.

  1. Cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Sélectionnez l’appareil macOS que vous voulez verrouiller.

    Sélectionnez la case à cocher en regard d’un appareil pour afficher le menu d’options au-dessus de la liste des appareils. Vous pouvez également cliquer sur un élément répertorié pour afficher le menu des options sur le côté droit de la liste.

    Menu d'options

    Menu d'options

  3. Dans le menu d’options, sélectionnez Sécurité. La boîte de dialogue Actions de sécurisation s’affiche.

    Boîte de dialogue Actions de sécurisation

  4. Cliquez sur Verrouiller. La boîte de dialogue Actions de sécurisation s’affiche.

    Confirmation des actions de sécurisation

  5. Cliquez sur Verrouiller l’appareil.

Important :

Vous pouvez également spécifier un mot de passe au lieu d’utiliser le code généré par Citrix Endpoint Management. L’action Verrouiller échoue si le code spécifié ne correspond pas aux exigences en matière de code de l’appareil ou du profil de travail existant.

Jeton bootstrap

Un jeton bootstrap (ou jeton d’amorçage) permet d’accorder l’attribut macOS SecureToken aux comptes lorsque vous vous connectez à un appareil macOS. SecureToken est transmis d’un compte approuvé à un autre. Les comptes compatibles SecureToken peuvent effectuer des opérations cryptographiques sur l’appareil. Sans le jeton bootstrap, vous devez suivre des workflows complexes pour créer des comptes sur cet appareil avant d’ajouter des comptes d’utilisateur individuels.

Citrix Endpoint Management prend en charge le dépôt des jetons bootstrap pour les appareils macOS inscrits via le programme de déploiement Apple. Vous utilisez le programme de déploiement d’Apple pour inscrire les appareils macOS que vous achetez directement auprès d’Apple, d’un revendeur agréé Apple ou d’un opérateur. Pour de plus amples informations sur l’inscription au programme de déploiement Apple, consultez la section Déployer des appareils via le programme de déploiement d’Apple.

Les jetons bootstrap sont générés pendant le workflow de l’assistant d’installation. Plus spécifiquement, ils sont générés lors de la création d’un compte d’utilisateur local. L’assistant d’installation s’exécute la première fois que les utilisateurs démarrent leurs appareils. Les jetons sont enregistrés dans la base de données Citrix Endpoint Management et ne sont pas visibles pour les utilisateurs. La suppression des appareils de votre site Citrix Endpoint Management supprime également les jetons. L’exécution d’une réinitialisation d’usine ne les supprime pas.

Logiciels requis :

  • macOS 11.0 ou version ultérieure
  • Appareils macOS dotés de la puce de sécurité Apple T2
  • Appareils macOS inscrits via le programme de déploiement Apple

L’un des avantages du dépôt de jetons bootstrap avec Citrix Endpoint Management est que les comptes distants peuvent être activés pour FileVault et déverrouiller le volume FileVault. Pour de plus amples informations sur FileVault, consultez la section Stratégie FileVault.

macOS