funkyfrogstock - Fotolia
Trois façons de gérer des Mac en entreprise
Bien qu’ils y soient encore rares, les Mac ont indéniablement fait leur entrée dans les entreprises. Par chance, plusieurs approches d’administration sont disponibles.
Qu’elles y soient prêtes ou non, les entreprises sont prises d’assaut par les Mac. Les DSI doivent alors trouver comment les intégrer à leurs domaines Windows et Active Directory existants, et déterminer les outils additionnels nécessaires à cela.
Déterminer comment intégrer des Mac à une infrastructure Windows n’est une tâche anodine. Tout dépend en fait du nombre de Mac à supporter, du type d’accès dont ils ont besoin et des outils dont l’organisation dispose déjà.
De nombreux travailleurs préfèrent les Mac aux PC sous Windows. Le succès des terminaux iOS – assorti de la promesse d’une intégration transparente entre appareils Apple – n’a fait que stimuler les aspirations aux changement. Malgré tout, les Mac ne constituent qu’une minorité au sein d’environnements dominés par Windows. Et leurs différences ne manquent pas.
Pour intégrer des Mac tout en protégeant les actifs de l’entreprise et contrôlant ses ressources, les DSI ont en fait le choix entre trois approches : utiliser leurs outils existants pour intégrer les Mac au domaine Active Directory (AD) comme pour les PC sous Windows, intégrer les Mac au domaine AD mais avec des outils spécifiques pour les administrer, ou encore gérer les Mac comme une population supplémentaire de terminaux mobiles.
Intégrer les Mac à un domaine Active Directory
De nombreux administrateurs préfèrent intégrer les Mac de manière transparente à leurs environnements AD, comme ils le font avec les PC. OS X rend cela possible dans une certaine mesure, car il intègre le composant client nécessaire pour rejoindre l’AD et autres services d’annuaire standards.
Lier un Mac au domaine est relativement simple, à compter que l’utilisateur dispose des accès et identifiants nécessaire. Lorsque l’ordinateur rejoint le domaine, Windows Server créée automatiquement l’objet correspondant dans l’annuaire – s’il n’existe pas déjà – comme pour un poste de travail Windows.
Les récentes versions d’OS X ont encore simplifié ce processus : le système d’exploitation d’Apple est compatible avec System Center Configuration Manager (SCCM) et Exchange ActiveSync. SCCM supporte sans problème les clients OS X 10.10 Yosemite et 10.11 El Capitan.
Pour autant, les Mac ne sont pas des PC sous Windows et la plupart des outils d’administration sont principalement conçus pour ces derniers. Dès lors, des problèmes de compatibilité sont susceptibles d’apparaître. Une façon de les résoudre consiste à étendre le schéma AD pour mieux tenir compte des Mac. Mais cela peut nécessiter des ressources de développement et une expertise technique au-delà de ce que l’organisation est prête à engager, en particulier pour un petit nombre de Mac.
Heureusement, les administrateurs peuvent compléter les capacités de leurs outils existants avec un ensemble étendu de commandes disponibles pour Mac OS. Il est ainsi possible de définir le délai d’activation de l’économiseur d’écran, le langage du système et les formats, désactiver la correction automatique, et bien plus.
Combiner AD et outils tiers
Si Active Directory et le support de nombreuses commandes au sein d’OS X simplifient l’intégration des Mac, beaucoup d’administrateurs trouvent plus facile de recourir à des outils supplémentaires. Il est ainsi possible d’intégrer les Mac au domaine AD tout en utilisant Apple Remote Desktop pour pousser des commandes vers les postes clients.
Mais il est également possible de déployer OS X Server en interne, et d’utiliser alors le gestionnaire de profils d’Apple pour définir des règles Mac basées sur les groupes AD. Cela implique de définir un domaine Open Directory en marge du service AD, ce qui peut simplifier à long terme l’administration. L’AD administre le côté Windows, tandis qu’Open Directory/OS X Server se charge des Mac. Mais puisque les Mac restent connectés à l’AD, la communication s’avère transparente entre les deux environnements, notamment pour les partages de fichiers et d’imprimantes.
Si cela paraît trop complexe, il est possible de se tourner vers Centrify User Suite pour Mac, qui peut administrer les Mac en s’appuyant sur l’infrastructure d’identités AD pour gérer de manière centralisée authentification, application des règles et SSO. Casper Suite de JAMF Software constitue aussi une alternative populaire ; elle peut s’intégrer à Active Directory comme à Open Directory.
Mais il n’est pas nécessaire d’adopter une approche centrée sur Microsoft pour intégrer les Mac à l’AD. Souvent, la manière la plus efficace d’administrer des Mac est de les appréhender comme des machines Unix pour les intégrer à l’infrastructure existante là où c’est possible, et les traiter de manière distincte là où c’est nécessaire.
Comme des terminaux mobiles
Depuis plusieurs années, OS X a migré vers un modèle d’administration inspiré de celui des terminaux mobiles (MDM) et largement influencé par iOS. Dès lors, les administrateurs peuvent utiliser les mêmes outils d’administration pour les Mac, les terminaux iOS, et les appareils Android.
OS X Server a suivi ces évolutions. Surtout, certains éditeurs d’outils de MDM ont rapidement adopté les spécificités d’OS X en matière d’administration. AirWatch permet ainsi de gérer des Mac de manière transparente aux côtés de smartphones et de tablettes. Avec AirWatch Mac Manager, les administrateurs peuvent réaliser un vaste éventail de tâches d’administration, comme la mise à jour des règles de mots de passe, activer AirPlay, distribuer des logiciels, ou encore suivre le parc.
De nombreux outils de MDM peuvent s’intégrer avec AD. Mais les organisations peuvent également déployer isolément des outils comme OS X Server ou la solution de MDM de MobileIron. Et là, le contrôle d’accès peut se faire via des VPN sans que les machines aient à rejoindre le domaine. Cette approche peut s’avérer plus pratique lors de l’intégration des portables Apple personnels des utilisateurs.
Adapté de l’anglais.