Créer un programme d’installation de paquet pour une app dans Apple Business
Vous pouvez créer un programme d’installation de paquet pour une app afin de l’ajouter à Apple Business et de la déployer auprès des utilisateurs. Si une app ne dispose pas d’un programme d’installation de paquet, il est possible d’utiliser les outils intégrés à macOS pour en créer un pour la distribution. Pour ce faire, mieux vaut utiliser des apps ayant une structure simple, comme celles qui sont entièrement incluses dans un seul fichier bundle .app, généralement situé dans /Applications.
Signer vos progiciels
Avant de pouvoir créer un paquet à distribuer via Apple Business, vous devez disposer d’une identité de signature cryptographique que vos appareils gérés considèrent comme fiable. Cette identité permet de vérifier qui a créé le paquet et de s’assurer que celui-ci n’a pas été altéré depuis qu’il a été signé. Si vous êtes membre de l’Apple Developer Program, vous pouvez utiliser votre identité d’installation. Consultez la page Signer vos apps pour Gatekeeper (en anglais).
Créer une identité d’installation
Si vous n’avez pas d’identité de signature, vous pouvez en créer une. L’identité sera identifiée par le nom de votre choix et par un numéro de série aléatoire (au cas où vous en créeriez plusieurs). Si cette procédure échoue à un moment donné, fermez la fenêtre Terminal et ouvrez‑en une nouvelle. Vous devez effectuer ces étapes sur un Mac exécutant macOS 13 ou version ultérieure.
Créez sur votre bureau un dossier nommé temp.
Ouvrez l’app Terminal, puis saisissez
cdet appuyez une fois sur la barre d’espace.Faites glisser le dossier temp dans la fenêtre de l’app Terminal.
Vous devriez voir s’afficher un chemin du type :
cd /Users/[YourShortUserName]Desktop/packagesAppuyez sur la touche Retour.
Saisissez
ID="name", où name est un nom court pour votre organisation. Si votre nom possède des espaces, entourez-le de guillemets. Par exemple, Mon organisation peut être MonOrg ou « Mon organisation » (avec guillemets).Appuyez sur la touche Retour.
Important : Toutes les autres commandes doivent être exécutées au sein de cette fenêtre.
Collez toutes les commandes ci‑dessous, puis appuyez sur la touche Retour.
KEY="InstallerCertificate_${ID}_PrivateKey.pem"openssl req -x509 -nodes -days 365 -newkey rsa:4096 -sha256 \-addext basicConstraints=critical,CA:false \-addext keyUsage=critical,digitalSignature \-set_serial "0x$(openssl rand -hex 4)" \-subj "/CN=Installer Certificate ($ID)" \-out InstallerCertificate_"$ID".pem \-keyout "$KEY"Dans la même fenêtre Terminal, collez toutes les commandes ci‑dessous, puis appuyez sur la touche Retour. Saisissez votre mot de passe pour définir comme fiable le certificat de la nouvelle identité.
security import "InstallerCertificate_$ID.pem"security import "$KEY" \-T /usr/bin/productbuild -T /usr/bin/pkgbuildsecurity add-trusted-cert -d InstallerCertificate_"$ID".pemOuvrez le dossier temp pour afficher votre nouveau certificat, intitulé InstallerCertificate_name.pem, et sa clé privée, intitulée InstallerCertificate_name_PrivateKey.pem, où name est le nom choisi précédemment à l’étape 4.
Gardez une copie du certificat pour référence. Vous en aurez besoin pour configurer les appareils afin qu’ils considèrent les progiciels signés avec ce certificat comme fiables.
La clé privée a été importée dans votre trousseau pour être conservée en sécurité. Vous devriez la supprimer de ce dossier.
Important : Il est important de supprimer la clé du certificat pour que personne ne puisse prétendre appartenir à votre organisation et signer des progiciels.
L’identité expire un an après sa création. À ce terme, vous devrez réitérer la procédure et signer à nouveau tout progiciel signé par l’identité précédente et toujours distribué. La clé privée RSA pour votre identité est enregistrée dans votre trousseau à des fins de sécurité. Si vous avez besoin de concevoir et de signer des progiciels sur un autre Mac, vous devez exporter la clé privée afin de l’importer sur l’autre Mac.
Préparer vos appareils pour qu’ils considèrent votre identité de signature comme fiable
Une fois que vous avez créé une identité de signature, vous devez configurer vos appareils afin qu’ils la considèrent comme fiable. Pour cela, distribuez le certificat de l’identité sous la forme de configuration.
Récupérez InstallerCertificate_name.pem pour l’identité, où name représente le nom choisi lors de sa création.
Suivez la tâche Créer une configuration de certificat, et attribuez-la à tous les appareils sur lesquels vous installez les paquets que vous créez.
Important : Toute personne possédant la clé privée d’une identité de signature peut créer des paquets que les appareils configurés considèrent automatiquement comme fiables sans émettre d’avertissement. Ainsi, si, pour une raison ou une autre, vous pensez que la clé privée correspondant au certificat a été perdue ou copiée sans autorisation, vous pouvez supprimer la configuration de certificat et créer une nouvelle identité de signature.
Créer un progiciel pour une app avec un seul paquet
Une fois que vous disposez d’une identité de signature que vos appareils sont configurés pour identifier comme fiable, vous pouvez vous en servir pour créer des progiciels afin de distribuer des apps à ces appareils. Lorsque vous le faites, n’oubliez pas que les applications contenues dans un seul paquet .app sont les plus faciles à distribuer.
Assurez‑vous que l’app se trouve dans le dossier /Applications.
Créez sur votre bureau un dossier nommé packages.
Ouvrez l’app Terminal, puis saisissez
cdet appuyez une fois sur la barre d’espace.Faites glisser le dossier packages dans la fenêtre de l’app Terminal, puis appuyez sur la touche Retour.
Vous devriez voir s’afficher un chemin du type :
$ /Users/[YourShortUserName]Desktop/packagesSaisissez
productbuild --sign, puis appuyez une fois sur la barre d’espace.Ajoutez le nom de votre identité (le nom défini à l’étape 4 de la rubrique « Créer une identité d’installation »). Appuyez sur la barre d’espace une fois, saisissez
--component, puis appuyez à nouveau une fois sur la barre d’espace.Faites glisser l’app du dossier /Applications vers la fenêtre Terminal, puis appuyez une fois sur la barre d’espace.
Saisissez un nom pour le progiciel en terminant par l’extension
.pkg. Il s’agit généralement du même nom que l’app.Exemple :
productbuild --sign MyCo --component /Applications/AppName AppName.pkgAppuyez sur la touche Retour.
La commande
productbuildimprime les informations à mesure qu’est traitée l’app et crée le progiciel dans votre dossier packages.Si c’est la première fois que vous utilisez une identité que vous avez créée, vous pouvez être invité à saisir votre mot de passe pour l’autoriser à utiliser la clé de l’identité. Si tel est le cas, saisissez votre mot de passe et sélectionnez Toujours autoriser.
Quittez l’app Terminal.
Remarque : Apple Business rejettera tout paquet signé par une identité créé en dehors de l’Apple Developer Program, sauf si un service de gestion des appareils la transmet à un appareil géré configuré pour considérer l’identité comme fiable. Si vous tentez d’installer un paquet créé à l’aide de cette méthode sur d’autres appareils, l’installation échouera.
Ajouter le certificat à une configuration
Avant d’envoyer le progiciel aux utilisateurs afin d’installer l’app, vous devez configurer les appareils Apple de sorte à considérer comme fiable la nouvelle identité de signature.
Distribuez le certificat. Consultez la section Créer une configuration de certificat.
Une fois que tous les appareils ont le nouveau certificat, vous pouvez charger le progiciel. Consultez la rubrique Créer un progiciel.