Contexte
Dans un environnement Modern Workplace, la gestion des postes macOS via Microsoft Intune devient de plus en plus courante.
Certaines applications métiers, comme Citrix Workspace, nécessitent des permissions système avancées pour fonctionner correctement, notamment le Full Disk Access (FDA).
Cependant, ces autorisations ne peuvent pas être accordées manuellement à grande échelle, ce qui pose rapidement des problématiques en production.
Problématique
Sans configuration adaptée :
- L’application ne peut pas accéder à certains fichiers système
- Des fonctionnalités critiques sont bloquées
- L’utilisateur est sollicité pour accorder des droits localement
- La charge du support IT augmente
Sur macOS, ces permissions sont gérées via le mécanisme TCC (Transparency, Consent and Control).
Sans profil PPPC (Privacy Preferences Policy Control) correctement configuré, il est
impossible d’automatiser ces autorisations.
Prérequis
- Tenant Microsoft Intune opérationnel
- Appareils macOS enrôlés (idéalement via Apple Business Manager)
- Droits administrateur sur Intune
- Application Citrix Workspace installée sur les postes
Étape 1 – Identifier la signature de l’application
Avant toute configuration, il est nécessaire de récupérer les informations de signature de l’application.
Commande à exécuter sur un Mac ou Citrix WS est installé :
codesign -dr - "/Applications/Citrix Workspace.app"Résultat attendu :
identifier "com.citrix.receiver.nomas"
anchor apple generic and identifier "com.citrix.receiver.nomas" and certificate leaf[subject.OU] = "XXXXX"
Ces informations sont CRITIQUES :
- Bundle ID
- Identifier
- Code Requirement
Terminal avec la commande : codesign + résultat affiché
- Bundle ID
- Identifier (com.citrix.receiver.nomas)
- Code requirement :
(anchor apple generic and identifier leaf[field.1.2.840.113635.100.6.1.9] /* exists */ or certificate
leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate
leaf[subject.OU] = S272Y5R93J)Étape 2 – Créer un profil PPPC dans Intune
Naviguer dans le portail Intune :
Devices → macOS → Configuration profiles → Create profile
Paramètres :
- Platform : macOS
- Profile type : Settings catalog
Création du profil Intune (choix plateforme + template)
Étape 3 – Configurer le Full Disk Access
Dans le Settings catalog, rechercher : Privacy Preferences Policy Control
Ajouter une nouvelle entrée :
Configuration :
- Service : SystemPolicyAllFiles (Full Disk Access)
- Identifier : com.citrix.receiver.nomas
- Identifier Type : Bundle ID
- Code Requirement : (valeur récupérée précédemment)
- Allowed : Yes
Configuration complète du PPPC dans Intune
Étape 4 – Déployer le profil
Assigner le profil :
- Groupe d’appareils macOS
- ou groupe utilisateurs ciblés
Assignment du profil Intune
Étape 5 – Vérification côté poste
Sur le Mac : System Settings → Privacy & Security → Full Disk Access
L’application Citrix Workspace doit apparaître comme autorisée
Vue macOS avec FDA activé pour Citrix
Vérification dans Intune
Dans le portail :
Devices → macOS → Configuration profiles → Status
Le profil doit apparaître en Succeeded
Points d’attention / Troubleshooting
Erreur fréquente : mauvais code Requirement
→ L’application ne recevra pas la permission
Bundle ID incorrect
→ Le profil ne s’applique pas
Application non signée correctement
→ macOS bloque l’autorisation
Délai de synchronisation Intune
→ Vérifier la synchronisation manuelle via Company Portal
Astuce
Pour vérifier localement :
tccutil reset All(pour tester à nouveau le comportement)
Conclusion
Le déploiement du Full Disk Access via Intune permet :
- d’automatiser la configuration des postes macOS
- de réduire les interventions utilisateurs
- d’améliorer la conformité et la sécurité
La maîtrise des profils PPPC est essentielle pour toute gestion macOS en environnement Microsoft.
Auteur :
Jonathan Duthil
Administrateur Modern Workplace – Metsys