Moderniser un parc Mac d'entreprise avec Kandji et Apple Business Manager

La majorité des PME parisiennes que nous reprenons en infogérance gèrent encore leurs Mac « à l’ancienne » : achat ponctuel à l’Apple Store, configuration manuelle au déballage, mots de passe administrateur partagés, mises à jour à la discrétion de chaque utilisateur. Ce modèle tient jusqu’à 15 ou 20 postes — au-delà, il devient un risque opérationnel et un risque de sécurité. Voici comment nous avons modernisé un parc de 50 Mac chez un client agence en trois semaines, sans interruption de service.

Le contexte

Notre client est une agence créative parisienne d’une cinquantaine de collaborateurs, 100% Mac. L’agence a grandi vite, le SI a suivi par à-coups : Macs achetés au coup par coup, comptes locaux personnels, pas de chiffrement systématique du disque, sauvegardes laissées à la responsabilité de chacun. Quand un nouveau salarié arrivait, l’IT improvisait pendant deux jours pour préparer son poste. Quand quelqu’un partait, le risque de fuite était réel.

L’objectif fixé : industrialiser sans perdre la souplesse créative qui fait l’identité de l’agence. Les utilisateurs devaient garder leurs droits administrateurs locaux (besoin métier), mais le socle de sécurité et la livraison du poste devaient devenir invisibles et automatiques.

L’architecture cible

Nous avons retenu trois briques :

• Apple Business Manager (ABM) : portail Apple qui lie le numéro de série de chaque Mac neuf à l’organisation, ce qui permet l’enrôlement automatique au premier démarrage.
• Kandji comme MDM : pilote la configuration, les politiques de sécurité, les apps déployées, le chiffrement FileVault, la mise à jour macOS.
• Microsoft Entra ID comme fournisseur d’identité, avec SSO SAML vers Kandji et la fédération vers les apps métier (Adobe Creative Cloud, Figma, Notion, Slack).

L’idée centrale : le Mac, sorti du carton, se connecte à Internet, contacte ABM qui le redirige vers Kandji, qui applique l’ensemble du profil et ouvre une session Entra ID pour l’utilisateur. Aucune intervention IT physique nécessaire.

La mise en œuvre, semaine par semaine

Semaine 1 — Audit et préparation. Inventaire des 50 Mac existants, classement par génération matérielle et version macOS. Création du tenant Kandji, configuration de la liaison ABM (la procédure Apple prend 24 à 48h pour valider l’identité de l’organisation). Mise en place du SSO entre Kandji et Entra ID. Création des « blueprints » Kandji : un pour les designers (Adobe, plugins Figma, polices), un pour les équipes business (Microsoft 365, Notion, accès comptables).

Semaine 2 — Pilote. Enrôlement de cinq machines volontaires. Ajustement des blueprints en fonction des retours (ordre d’apparition des apps, comportement de FileVault, gestion des extensions Chrome). Test du onboarding zero-touch sur un Mac neuf reçu de notre revendeur, branché à ABM. Le poste arrive prêt à l’emploi en 18 minutes au premier démarrage.

Semaine 3 — Bascule. Enrôlement progressif des 45 postes restants par groupes de 10, avec une fenêtre de 30 minutes par poste pendant laquelle l’utilisateur reste joignable. Les comptes locaux sont migrés vers des comptes Entra ID, FileVault est activé en arrière-plan, les apps non conformes sont remplacées.

Ce qui change concrètement pour l’utilisateur

Du point de vue de l’utilisateur, presque rien. Il ouvre sa session avec son identifiant d’entreprise (le même qu’il utilise pour Microsoft 365), récupère son environnement, conserve ses droits administrateur sur les apps qu’il installe lui-même. Du point de vue de l’IT, tout change : visibilité en temps réel sur 100% du parc, conformité chiffrement à 100%, mises à jour macOS appliquées dans une fenêtre de 14 jours après publication par Apple, onboarding d’un nouvel arrivant en 30 minutes contre deux jours auparavant.

Ce qu’il faut savoir avant de se lancer

Quelques points d’attention récurrents :

• Le device enrolment via ABM n’est rétroactif que pour les Mac achetés via un revendeur Apple agréé (pas via Apple Store grand public). Pour le parc existant, il faut souvent passer par l’enrôlement manuel ou la procédure Apple Configurator. Ce n’est pas bloquant mais ça consomme du temps.
• Le SSO doit être prêt avant l’enrôlement. Sinon les utilisateurs créent des comptes locaux et la migration ultérieure est plus longue.
• Les apps non distribuées via VPP (App Store privé d’entreprise) doivent être empaquetées en .pkg ou via l’auto-pilote de Kandji. Adobe et Microsoft sont nativement supportés.

Le résultat, six mois après

Sur le périmètre de 50 Mac, nous mesurons : 100% de chiffrement actif, zéro incident de sécurité matériel sur six mois, temps moyen de préparation d’un poste neuf passé de 16 heures à 30 minutes, temps moyen de résolution d’un incident utilisateur réduit de 40% (l’IT voit ce qui ne va pas avant que l’utilisateur n’appelle).

Si vous gérez un parc Mac d’entreprise et que vous reconnaissez votre situation actuelle dans le « avant », un audit IT initial gratuit chez Macinwork prend 1 à 3 demi-journées sur place et débouche sur un plan d’action chiffré. Le formulaire en bas de la home est fait pour ça.