Enrôlements PreStage d’ordinateurs

Un enrôlement PreStage vous permet de créer des configurations d’enrôlement et de les synchroniser avec Apple. Cela vous permet d’enrôler de nouveaux ordinateurs avec Jamf Pro, en réduisant le temps et l’interaction nécessaires pour préparer les ordinateurs.

Créer un enrôlement PreStage permet de configurer les réglages d’enrôlement et de personnaliser l’expérience utilisateur de l’Assistant réglages. Vous pouvez également spécifier les ordinateurs qui doivent être enrôlés à l’aide de l’enrôlement PreStage et ajouter automatiquement à l’enrôlement PreStage les ordinateurs nouvellement associés à l’instance d’enrôlement des appareils. Seuls les ordinateurs avec macOS 10.10 ou version ultérieure associés à une instance d’enrôlement automatisé des appareils peuvent être enrôlés dans Jamf Pro via l’enrôlement PreStage.

Si l’enrôlement par l’utilisateur est activé pour macOS dans Jamf Pro, les ordinateurs avec macOS 10.10 ou version ultérieure enrôlés via un enrôlement PreStage sont automatiquement gérés et les réglages d’enrôlement par l’utilisateur sont appliqués à l’enrôlement PreStage. Pour plus d’informations, consultez Réglages d’enrôlement par l’utilisateur.

Jamf Pro actualise automatiquement les informations sur les ordinateurs dans l’enrôlement PreStage. Si des informations ont été mises à jour sur les ordinateurs dans l’enrôlement automatisé d’appareil, elles apparaissent dans Jamf Pro. Ces informations sont automatiquement rafraîchies toutes les deux minutes.

Remarque :

L’actualisation des données peut prendre jusqu’à deux minutes, ce qui peut entraîner l’affichage d’informations obsolètes dans Jamf Pro. De plus, des facteurs propres à l’environnement peuvent influer sur l’actualisation des données.

L’enrôlement PreStage est l’une des méthodes permettant d’obtenir un état MDM approuvé par l’utilisateur pour les ordinateurs éligibles. Cet état est requis pour la gestion de certains réglages de sécurité et de confidentialité sur macOS. Pour plus d’informations sur le MDM approuvé par l’utilisateur et Jamf Pro, consultez l’article Gestion du MDM approuvé par l’utilisateur avec Jamf Pro.

Réglages d’enrôlement PreStage des ordinateurs

Lorsque vous créez un enrôlement PreStage, vous utilisez une interface basée sur une entité pour configurer les réglages à appliquer aux appareils pendant l’enrôlement. Le tableau suivant affiche les réglages d’enrôlement disponibles dans un enrôlement PreStage :

Entité

Description

Général

Cette entité vous permet de configurer les réglages de base de l’enrôlement PreStage, spécifier les exigences d'authentification et de gestion, ajouter une configuration de la personnalisation de l’enrôlement et personnaliser l’expérience avec l’Assistant réglages.

Réglages de compte

Vous pouvez utiliser l’entité Réglages de compte pour renseigner les informations du compte utilisateur créé dans l’Assistant réglages. Cette entité permet également de définir un compte d’administrateur géré à créer lors de la configuration.

Profils de configuration

Vous pouvez utiliser l’entité Profils de configuration pour sélectionner les profils à distribuer aux ordinateurs lors de l’enrôlement. Elle permet d’installer les profils sur les ordinateurs avant que l’utilisateur n’accomplisse toutes les étapes de l’Assistant réglages.

Utilisateur et emplacement

Vous pouvez utiliser l’entité Utilisateur et emplacement pour renseigner les informations sur l’utilisateur et l’emplacement à conserver dans Jamf Pro pour chaque ordinateur enrôlé via un enrôlement PreStage.

Remarque :

L’utilisation du préchargement de l’inventaire ou de l’authentification au cours de l’enrôlement permet de remplir automatiquement ces informations pour les ordinateurs.

Ces informations sont stockées dans Jamf Pro pour chaque ordinateur enrôlé à l’aide d’un enrôlement PreStage.

Code d’accès (obsolète)

L’entité Code d’accès n’apparaît que pour les enrôlements PreStage existants configurés à l’aide de cette entité dans Jamf Pro 10.9.0 ou version antérieure.

Pour spécifier les exigences en matière de code d’accès pour les ordinateurs pendant l’enrôlement à l’aide de Jamf Pro 10.10.0 ou version ultérieure, créez un profil de configuration avec une entité Code d’accès configurée, puis ajoutez ce profil à un enrôlement PreStage en utilisant l’entité Profils de configuration.

Achat

Vous pouvez utiliser l’entité Achat afin de spécifier les informations sur l’achat pour les ordinateurs.

Ces informations sont stockées dans Jamf Pro pour chaque ordinateur enrôlé à l’aide d’un enrôlement PreStage.

Pièces jointes

Vous pouvez utiliser l’entité Pièces jointes pour téléverser des pièces jointes à stocker pour les ordinateurs.

Ces informations sont stockées dans Jamf Pro pour chaque ordinateur enrôlé à l’aide d’un enrôlement PreStage.

Certificats

Vous pouvez utiliser l’entité Certificats pour établir la confiance au cours de l’enrôlement si votre instance Jamf Pro utilise un certificat SSL qui n’est pas approuvé nativement par les produits Apple. L'ordinateur tente d’établir une connexion sécurisée avec Jamf Pro en utilisant uniquement ce certificat pour l’enrôlement.

Pour plus d’informations sur les certificats approuvés par Apple, consultez l’article suivant issu du site Web d’assistance Apple : Certificats racine de confiance disponibles pour les systèmes d’exploitation Apple.

Remarque :

Si votre instance Jamf Pro utilise un certificat SSL créé par la CA intégrée à Jamf Pro, un certificat d’ancrage est automatiquement ajouté à cette entité pour l’enrôlement.

Si l’URL de votre serveur Jamf Pro se termine par « jamfcloud.com », vous ne devez pas configurer cette entité.

Répertoire (obsolète)

L’entité Répertoire n’apparaît que pour les enrôlements PreStage existants configurés à l’aide de cette entité dans Jamf Pro 10.9.0 ou version antérieure.

Afin de choisir un serveur d’annuaire pour les ordinateurs pendant l’enrôlement à l’aide de Jamf Pro 10.10.0 ou version ultérieure, créez un profil de configuration avec une entité Répertoire configurée, puis ajoutez ce profil à un enrôlement PreStage en utilisant l’entité Profils de configuration.

Paquets d’enrôlement

Vous pouvez utiliser l’entité Paquets d’enrôlement pour choisir les paquets à déployer sur les ordinateurs pendant l’enrôlement. Les commandes d’installation des paquets sélectionnés sont déployées sur les ordinateurs avant que l’utilisateur n’accomplisse toutes les étapes de l’Assistant réglages.

Personnalisation de l’expérience d’enrôlement

Vous pouvez personnaliser l’expérience d’enrôlement pour l’utilisateur grâce aux fonctionnalités suivantes de l’enrôlement PreStage :

  • Configurations de la Personnalisation de l’enrôlement – Vous pouvez utiliser l’entité Général pour ajouter une configuration de la personnalisation de l’enrôlement à l’enrôlement PreStage. Par exemple, lors de l’enrôlement, vous pouvez ajouter une configuration de la personnalisation de l’enrôlement pour afficher un contrat de licence utilisateur final (EULA) ou d’autres messages personnalisés au fur et à mesure que l’utilisateur avance dans l’Assistant réglages. Pour plus d’informations, consultez Réglages de la personnalisation de l’enrôlement.

    Pour ajouter une configuration de la personnalisation de l’enrôlement à l’enrôlement PreStage, vous devez avoir au moins une configuration dans les réglages Personnalisation de l’enrôlement. Les configurations de personnalisation de l’enrôlement sont appliquées aux ordinateurs avec macOS 10.15 ou version ultérieure.

  • Profils de Configuration – Lors de l’enrôlement, vous pouvez utiliser l’entité Profils de configuration pour distribuer des profils qui définissent les réglages et les restrictions des ordinateurs. Cela permet d’installer les profils sur les ordinateurs avant que l’utilisateur ne termine toutes les étapes de l’Assistant réglages, lui permettant ainsi d’accéder aux ressources du réseau immédiatement après l’enrôlement de son ordinateur dans Jamf Pro. Par exemple, vous pouvez distribuer un profil qui permet à un utilisateur de rejoindre automatiquement votre réseau au cours de l’enrôlement.

    Pour ajouter des profils de configuration à l’entité Profils de configuration, vous devez créer le profil avant de configurer l’enrôlement PreStage. Pour plus d’informations, consultez Profils de configuration d’ordinateur. En outre, lorsque vous créez le profil de configuration de l’ordinateur, vous devez vous assurer que le périmètre du profil inclut les ordinateurs figurant dans le périmètre de l’enrôlement PreStage.

    Remarque :

    Les profils de configuration qui contiennent des variables d’entité ne sont pas remplacés par les valeurs d’attribut de la variable. Si vous voulez distribuer des profils contenant des variables d’entité, il est recommandé de distribuer le profil après l’enrôlement de l’ordinateur dans Jamf Pro.

  • Paquets d’enrôlement – Vous pouvez ajouter à l’entité Paquets d’enrôlement autant de paquets par instance Enrôlement PreStage que votre environnement le permet (plusieurs paquets s’appliquent aux ordinateurs avec macOS 10.14.4 ou version ultérieure). Cela vous permet d’installer les paquets nécessaires à votre workflow de provisionnement (par ex., Jamf Connect).

  • Étapes de l’Assistant réglages – Vous pouvez utiliser l’entité Général pour sélectionner les écrans de l’Assistant réglages que vous voulez que l’utilisateur ignore au cours de l’enrôlement (par ex., connexion avec l’identifiant Apple). L'écran que vous sélectionnez ne s'affichera pas au cours de l’enrôlement. Pour plus d’informations sur les écrans qui peuvent être ignorés lors de l’enrôlement, consultez la section Options des sous-fenêtres de l’Assistant réglages sur les appareils Apple du guide Réglages de la gestion des appareils mobiles d’Apple.

  • Création de comptes – Vous pouvez créer un compte d’administrateur local et spécifier le type de compte que l’utilisateur doit créer sur l’ordinateur lors de l’enrôlement. Vous pouvez préremplir et verrouiller les informations du compte de sorte que, lorsqu’un utilisateur enrôle son ordinateur, les champs Nom complet et Nom du compte seront préremplis dans l’écran de création du compte de l’Assistant réglages.

Paquets d’enrôlement

Vous pouvez utiliser l’entité Paquets d’enrôlement pour choisir les paquets à déployer sur les ordinateurs pendant l’enrôlement. Vous pouvez installer sur l’ordinateur un logiciel essentiel au workflow d’enrôlement avant la fin des étapes dans l’Assistant réglages ou avant l’installation de Jamf Binary lors de l’enrôlement avec Jamf Pro.

Tenez compte des informations suivantes lors de la configuration de l’entité Paquets d’enrôlement :

  • Paquets de distribution signés

    Vous devez téléverser un paquet de distribution signé vers Jamf Pro avant de configurer l’enrôlement PreStage. Vous pouvez utiliser Composer ou un outil de création de paquets tiers pour générer un PKG signé. Pour plus d’informations sur la création de paquets avec Composer, consultez le Guide de l’utilisateur Composer. Après avoir créé un PKG, vous devez le signer et le convertir en paquet de distribution.

    Remarque :

    Les paquets doivent être signés à l’aide d’un certificat approuvé par l’ordinateur au moment de l’enrôlement. Il est recommandé de signer le paquet avec un certificat obtenu auprès de la CA intégrée à Jamf Pro ou du Programme pour développeur Apple. Pour plus d’informations, consultez l’article Creating a Signing Certificate Using Jamf Pro’s Built-in CA to Use for Signing Configuration Profiles and Packages (Création d’un certificat de signature avec l’autorité de certification intégrée de Jamf Pro à utiliser pour la signature des profils de configuration et des paquets).

  • Plusieurs paquets
    Vous pouvez ajouter plusieurs paquets à l’entité Paquets d’enrôlement, à déployer sur les ordinateurs avec macOS 10.14.4 ou version ultérieure.
    Meilleures pratiques :

    Jamf recommande de n’ajouter à un enrôlement PreStage que les paquets qui sont essentiels à l’expérience utilisateur de l’enrôlement. Un trop grand nombre de paquets peut entraîner des problèmes d’enrôlement inattendus ou prendre plus de temps à télécharger si la connexion réseau est mauvaise. Pour les paquets qui ne sont pas nécessaires au cours de l’enrôlement, créez une règle qui s’exécute une fois l’enrôlement terminé.

    Les workflows des meilleures pratiques couvrent des scénarios courants. Cependant, les recommandations suivantes peuvent ne pas s’appliquer dans votre environnement.
  • Hébergement de paquets

    Pour déployer un paquet d’enrôlement sur des ordinateurs utilisant un point de distribution autre qu’un point de distribution cloud, le point de distribution doit utiliser le protocole HTTPS et ne peut utiliser aucune authentification. Vous pouvez également sécuriser le téléchargement d’un paquet d’enrôlement depuis un serveur de distribution externe à l’aide d’un jeton Web JSON (JWT) dans Jamf Pro. Cela vous permet de vous assurer que les paquets d’enrôlement sont téléchargés en toute sécurité sur les ordinateurs des utilisateurs depuis les serveurs de distribution externes. Pour plus d’informations, consultez Jeton web JSON pour la sécurisation du contenu interne.

  • Fichier manifeste personnalisé

    Les paquets doivent disposer d’un fichier de manifeste correspondant (format XML plist), contenant l’URL de téléchargement du paquet depuis un serveur HTTPS et d’autres informations nécessaires. Par défaut, Jamf Pro crée ce fichier lorsque vous le téléversez directement dans Jamf Pro ou que vous l’ajoutez à Jamf Admin. Si votre environnement utilise un serveur HTTPS qui n’est pas un point de distribution HTTPS Jamf Pro pour héberger vos paquets, vous pouvez créer un fichier de manifeste personnalisé et le téléverser sur Jamf Pro avec le paquet. Pour utiliser un fichier de manifeste personnalisé, veillez à téléverser le fichier lorsque vous téléversez le paquet. Pour plus d’informations sur le téléversement en cours de paquets vers Jamf Pro, consultez Gestion des paquets.

    Pour plus d’informations sur la création et l’hébergement d’un fichier de manifeste, consultez la section Preparing to distribute in-house macOS apps (Préparation de la distribution des apps macOS internes) du guide Deployment Reference for Mac (Référence pour le déploiement du Mac) d’Apple.

Étapes de l’Assistant réglages

Vous pouvez sélectionner les écrans de l’Assistant réglages que vous voulez que l’utilisateur ignore au cours de l’enrôlement. L'écran que vous sélectionnez ne s'affichera pas au cours de l’enrôlement.

Cette option permet d’éviter que les écrans de l’Assistant réglages ne s’affichent lors de l’enrôlement. Lorsque vous progressez dans l’Assistant réglages, l’heure du Pacifique (PT) est définie automatiquement sur l’ordinateur une fois qu’il est enrôlé avec Jamf Pro. Si vous avancez automatiquement dans l’Assistant réglages, vous pouvez configurer la langue et la région afin de configurer automatiquement les réglages régionaux de l’ordinateur.

Pour plus d’informations sur les écrans qui peuvent être ignorés au cours de l’enrôlement, consultez la section Manage Setup Assistant for Apple devices (Gérer l’Assistant réglages sur les appareils Apple) du guide Apple Platform Deployment (Déploiement de la plateforme Apple).

Création de comptes

Vous pouvez utiliser l’entité Réglages de compte pour créer un compte d’administrateur géré et spécifier le type du compte utilisateur local à créer pour les ordinateurs avec macOS 10.10 ou version ultérieure enrôlés via l’enrôlement PreStage. Vous pouvez également préremplir et verrouiller les informations du compte pour l’utilisateur sur l’écran de création de compte de l’Assistant réglages pour les ordinateurs avec macOS 10.15 ou version ultérieure.

Remarque :

La création d’un administrateur géré est éligible à un SecureToken lorsqu’il se connecte à un ordinateur avec macOS 10.15 ou version ultérieure si un jeton d’amorçage a été placé sous séquestre dans Jamf Pro. Pour plus d’informations sur le jeton d’amorçage, consultez la section Utilisation du jeton d’amorçage dans le guide Référence pour le déploiement du Mac.

Pour plus d’informations sur la création et la mise sous séquestre manuelles du jeton d’amorçage sur l’ordinateur et pour permettre à Jamf Pro de stocker le jeton, consultez l’article Exploitation manuelle de la fonctionnalité de jeton d’amorçage Apple.

Vous pouvez créer les réglages suivants :

  • Créer un compte d’administrateur local

    Lorsque vous créez un compte d’administrateur local, vous saisissez votre nom d’utilisateur et votre mot de passe. Vous pouvez choisir de masquer ce compte pour l’utilisateur. Si vous ne saisissez pas d’informations pour ce compte, Jamf Pro remplira automatiquement les champs à partir des réglages d’enrôlement par l’utilisateur, mais vous pouvez toutefois les modifier.

  • Créer un compte utilisateur local

    Vous pouvez choisir les types de comptes utilisateur locaux que vous voulez que l’utilisateur crée lors de l’enrôlement parmi les types suivants :

    • Compte d’administrateur – Cette option définit l’utilisateur comme l’administrateur de l’ordinateur.

    • Compte standard – Cette option définit l’utilisateur comme un utilisateur standard de l’ordinateur. Si vous sélectionnez cette option, vous devez créer le compte d’administrateur local.

    • Ignorer la création de compte – L’utilisateur ne crée pas de compte au cours de l’enrôlement. Si vous sélectionnez cette option, vous devez créer le compte d’administrateur local, qui sera le seul utilisateur de l’ordinateur.

Lorsque vous créez le compte d’utilisateur local, vous pouvez préremplir et verrouiller les informations du compte principal sur les ordinateurs au cours de l’enrôlement. Lorsque les utilisateurs enrôlent leurs ordinateurs, les champs Nom complet et Nom du compte seront préremplis dans l’écran de création de compte de l’Assistant réglages. Si vous verrouillez les informations du compte, les utilisateurs ne pourront pas les modifier sur l’écran de création du compte dans l’Assistant réglages.

Pour préremplir ces informations, vous avez le choix parmi les options suivantes :

  • Détails personnalisés

    Cette option vous permet de saisir le nom complet et le nom du compte pour l’ordinateur. Ces informations sont appliquées à tous les ordinateurs enrôlés via un enrôlement PreStage.

  • Détails du propriétaire de l’appareil

    Cette option définit le nom du compte et le nom complet du compte sur la base des valeurs des champs Nom d’utilisateur et Nom complet figurant dans les données d’inventaire de l’ordinateur au moment de l’enrôlement. Si une authentification est requise au cours de l’enrôlement, les informations de l’utilisateur sont associées à l’appareil à l’aide d’une recherche de Jamf Pro dans l’annuaire LDAP ou votre fournisseur d’identité dans le cloud (IdP).

Remarque :

Si vous ajoutez une configuration de la personnalisation de l’enrôlement qui utilise un volet PreStage Authentification par signature unique et qu’il n’est pas possible d’effectuer une recherche dans l’annuaire LDAP ou un fournisseur d’identité dans le cloud, Jamf Pro ne connaîtra que le nom de l’utilisateur et ne pourra pas définir un nom complet lors de la création du compte d’utilisateur avec l’Assistant réglages. Les informations relatives au nom d’utilisateur fournies par votre fournisseur d’identité sont alimentées par l’attribut « NameID » (Nom de l’identifiant) défini dans l’app SAML de votre fournisseur d’identité. Contactez votre fournisseur d’identité pour savoir s’il est possible de personnaliser cette valeur.

Si votre environnement dispose d’un serveur LDAP ou du serveur du fournisseur d’identité dans le cloud, vous pouvez saisir des variables d’utilisateur dans les champs Nom complet du compte et Nom du compte lors de la configuration des réglages de préremplissage du compte principal. Cela permet aux variables d’utilisateur de remplir la valeur de l’attribut LDAP ou de celui du fournisseur d’identité dans le cloud sur l’écran de création du compte dans l’Assistant réglages. Pour permettre aux variables d’utilisateur d’être remplies avec la valeur de l’attribut LDAP ou de celui du fournisseur d’identité dans le cloud, vous devez avoir configuré un serveur LDAP ou le serveur du fournisseur d’identité dans Jamf Pro. Pour plus d’informations, consultez Intégration à un service d’annuaire LDAP.

Vous pouvez saisir les variables suivantes :

  • $USERNAME

  • $FULLNAME

  • $REALNAME

  • $EMAIL

  • $PHONE

  • $POSITION

  • $ROOM

  • $EXTENSIONATTRIBUTE_#

Remarque :
  • Si une valeur vide est renvoyée pour la variable utilisateur, le verrouillage des informations du compte principal est ignoré. Lors de la création du compte, les utilisateurs peuvent modifier les champs du compte dans l’Assistant réglages.

  • Les attributs d’extension d’utilisateurs peuvent être utilisés lors de la configuration des réglages de préremplissage du compte principal. Les attributs d’extension des ordinateurs et des appareils mobiles ne sont pas pris en charge.

Réglages des fonctionnalités de gestion des ordinateurs

Vous pouvez utiliser l’entité Général pour activer des fonctionnalités de gestion supplémentaires. Les éléments suivants n'ont aucune incidence sur l’expérience d’enrôlement de l’utilisateur, mais permettent une gestion à distance supplémentaire lorsqu’ils sont appliqués :

  • Authentification de l’utilisateur

    Pour renforcer la sécurité des données utilisateur sensibles, lors de la configuration de l’ordinateur, il est recommandé de demander aux utilisateurs de s’authentifier en utilisant un compte d’annuaire LDAP, un compte de fournisseur d’identité dans le cloud (IdP) ou un compte utilisateur Jamf Pro. Lorsqu’un utilisateur se connecte avec un compte d’annuaire LDAP, les informations relatives à l’utilisateur et à l’emplacement sont soumises lors de l’enrôlement.

    Pour obliger les utilisateurs LDAP, du fournisseur d’identité dans le cloud ou Jamf Pro à s’authentifier lors de la configuration, vous devez avoir configuré un serveur LDAP ou le serveur du fournisseur d’identité dans Jamf Pro. Pour plus d’informations, consultez Intégration à un service d’annuaire LDAP.

    Si une configuration de la personnalisation de l’enrôlement est ajoutée à cet enrôlement PreStage, ce réglage est ignoré pour les ordinateurs avec macOS 10.15 ou version ultérieure.

  • Profil MDM

    Le profil MDM vous permet de gérer les ordinateurs à distance via Jamf Pro. Lors de l’enrôlement avec Jamf Pro, les utilisateurs sont automatiquement tenus d’appliquer le profil MDM sur les ordinateurs avec macOS 10.15 ou version ultérieure. Si le profil MDM est supprimé, vous ne pouvez plus envoyer de commandes à distance ni distribuer de profils de configuration à l’ordinateur. Vous pouvez utiliser Jamf Pro pour empêcher un utilisateur de supprimer ce profil après l’enrôlement.

  • Fonctionnalité Verrouillage d’activation

    Lors de l’enrôlement, vous pouvez empêcher un utilisateur d’activer le verrouillage d’activation sur les ordinateurs compatibles avec macOS 10.15 ou version ultérieure. Lorsque les ordinateurs sont enrôlés avec Jamf Pro, l’utilisateur ne peut pas activer le verrouillage d’activation sur l’ordinateur s’il active le service Localiser mon Mac.

    Pour plus d’informations sur le verrouillage d’activation et la compatibilité avec macOS, consultez l’article suivant issu du site Web d’assistance Apple : About Activation Lock on your Mac (À propos du verrouillage d’activation sur votre Mac).

  • Fonctionnalité Verrouillage de secours

    Pendant l’enrôlement, vous pouvez configurer le verrouillage de secours sur les ordinateurs équipés d’une puce Apple (puce M1) et de macOS 11.5 ou version ultérieure. L’activation de cette fonctionnalité empêche l’accès à macOS Recovery sans mot de passe. La sécurité sur les ordinateurs de votre environnement est donc accrue. Jamf Pro vous permet de créer et d’enregistrer ce mot de passe pour chaque ordinateur. Vous pouvez voir ces informations dans les données d’inventaire des ordinateurs. Pour en savoir plus sur le verrouillage de secours pour macOS, consultez la section Use macOS Recovery on a Mac with Apple silicon (Utiliser « Récupération macOS » sur un Mac doté d’une puce Apple) du macOS User Guide (Guide d’utilisation de macOS).

    Vous pouvez sélectionner une des méthodes suivantes pour configurer le mot de passe du verrouillage de secours :

    • Saisie manuelle du mot de passe à appliquer à tous les ordinateurs dans le périmètre de l’enrôlement PreStage

    • Activation de Jamf Pro afin de générer un mot de passe aléatoire et unique pour chaque ordinateur du périmètre

      Pour améliorer la sécurité du mot de passe du verrouillage de secours, vous pouvez configurer Jamf Pro de sorte à générer un nouveau mot de passe aléatoire 60 minutes après l’affichage du mot de passe dans les données d’inventaire d’un ordinateur.

Configurer un enrôlement PreStage pour un ordinateur

Exigences

Avant de pouvoir utiliser un enrôlement PreStage, vous devez procéder comme suit :

Pour déployer des paquets au cours de l’enrôlement, il est recommandé de signer le paquet avec un certificat obtenu auprès de la CA intégrée à Jamf Pro ou du Programme pour développeur Apple Pour plus d’informations, consultez l’article Creating a Signing Certificate using Jamf Pro’s Built-In Certificate Authority (Création d’un certificat de signature à l’aide de l’autorité de certification intégrée de Jamf Pro).

  1. Dans Jamf Pro, cliquez sur Ordinateurs  en haut de la barre latérale.
  2. Cliquez sur Enrôlements PreStage dans la barre latérale.
  3. Cliquez sur Nouveau .
  4. Utilisez l’entité Général pour configurer les réglages de base de l’enrôlement PreStage. En outre, vous pouvez effectuer les opérations suivantes dans le volet Général :
    • Pour obliger les utilisateurs à effectuer leur authentification avec leur nom d’utilisateur et leur mot de passe, cochez la case Authentification requise.

      Remarque :

      La case Authentification requise ne s’affiche que si un serveur LDAP ou le serveur du fournisseur d’identité dans le cloud a été configuré dans Jamf Pro.

    • Pour personnaliser l’expérience utilisateur de l’Assistant réglages, procédez comme suit :

      • Choisissez une configuration de personnalisation de l’enrôlement à appliquer aux ordinateurs.

      • Sélectionnez les étapes que vous souhaitez ignorer dans l’Assistant réglages. Si vous choisissez d’ignorer certaines étapes, l’utilisateur peut activer ces réglages une fois l’ordinateur configuré, sauf indication contraire. Pour éviter que les écrans de l’Assistant réglages ne s’affichent, sélectionnez Avancer automatiquement dans l’Assistant réglages (macOS 11 ou version ultérieure uniquement).

      Remarque :

      L’ordinateur doit être connecté à Internet pendant l’Assistant réglages. Une connexion du câble via Ethernet et une source d’alimentation est recommandée.

  5. Configurez d'autres entités, si besoin, en fonction des objectifs que vous tentez d’atteindre avec l’enrôlement PreStage.
  6. Cliquez sur l’onglet Périmètre et configurez le périmètre de l’enrôlement PreStage en cochant la case en regard de chaque ordinateur de test à ajouter au périmètre.

    Les ordinateurs répertoriés dans l’onglet Périmètre sont ceux associés à l’instance d’enrôlement automatisé des appareils (anciennement DEP) via le fichier de jeton du serveur (.p7m) que vous avez téléchargé depuis Apple. Si vous clonez un enrôlement PreStage, les ordinateurs figurant dans le périmètre de l’enrôlement PreStage original ne sont pas inclus dans le périmètre de l’enrôlement PreStage cloné.

    Vous pouvez utiliser le bouton Tout sélectionner pour ajouter tous les ordinateurs associés au périmètre. Cette option ajoute tous les ordinateurs associés à l’enrôlement automatisé des appareils via le fichier de jeton du serveur, quels que soient les résultats filtrés à l’aide du champ de recherche Filtrer les résultats. Le bouton Tout désélectionner supprime du périmètre tous les ordinateurs associés.

    Remarque :

    Si vous souhaitez ajouter automatiquement des ordinateurs au périmètre à mesure qu’ils sont associés à l’instance d’enrôlement automatisé d’appareil, cochez la case Assigner automatiquement les nouveaux appareils dans l’entité Général.

  7. Cliquez sur Enregistrer .