Zarządzaj tymi komputerami Mac: przewodnik dla administratorów systemu Windows

Wprowadzenie komputerów Mac do istniejącego środowiska IT może sprawić, że każdy administrator systemu Windows poczuje się trochę źle. Wszystko jest znajome, jeśli chodzi o zadania i ustawienia, ale z pewnym zwrotem akcji na początku wydaje się nieco obce. Nasza ciągła seria wskazówek dotyczących zarządzania komputerami Mac jest tutaj, aby pomóc Ci w bezpiecznym i produktywnym wdrażaniu komputerów Mac.

W pierwszej części tej serii przyjrzałem się podstawowym wymaganiom związanym z integracją komputerów Mac ze środowiskami korporacyjnymi, w tym sposobom dołączania ich do systemów korporacyjnych. Na dużą skalę wdrożenia na dużych komputerach Mac często wymagają unikalnego zestawu umiejętności i narzędzi, aby odnieść sukces. To samo dotyczy stosowania zasad zarządzania na komputerach Mac, które omówię w tym artykule. Tutaj znajdziesz przegląd zasad dotyczących komputerów Mac i wgląd w planowanie strategii ich wdrażania.

W ostatniej części serii przyjrzę się konkretnym narzędziom używanym do stosowania zasad, a także narzędziom oferującym dodatkowe funkcje zarządzania i wdrażania.

Wynik polityki zarządzania komputerami Mac

Zarządzanie komputerami Mac jest kwestią skali. Technicy w organizacjach z niewielką liczbą komputerów Mac mogą często skonfigurować każdy komputer Mac indywidualnie lub utworzyć pojedynczy obraz systemu, który zastosuje jednolitą konfigurację do każdego komputera Mac. W większych organizacjach wyzwania są bardziej złożone. Różni użytkownicy lub działy będą mieć różne potrzeby konfiguracyjne i będą wymagać różnych uprawnień dostępu. Co więcej, często będą mieć potrzeby konfiguracyjne związane z indywidualnymi użytkownikami i grupami, a także potrzeby związane z określonymi komputerami Mac w oparciu o ich użycie (a czasem ich sprzęt). Z tego powodu ręczna konfiguracja jest po prostu zbyt nieefektywna. Tutaj automatyzacja jest kluczowa.

W tym celu Apple oferuje szereg zasad, które można zastosować do floty komputerów Mac w celu wyegzekwowania wymagań bezpieczeństwa, pomocy w automatycznej konfiguracji komputerów Mac pod kątem określonych profili oraz w celu włączenia i ograniczenia dostępu do zasobów w sieci.

Jeśli znasz już zasady grupy systemu Windows, z przyjemnością dowiesz się, że możesz w pełni zarządzać doświadczeniem użytkownika komputera Mac w podobny sposób, korzystając z zasad Apple dla komputerów Mac. Większość z tych zasad można zastosować do określonych komputerów Mac (lub grup komputerów Mac) lub do określonych kont użytkowników (lub członkostwa w grupach). Jednak niektóre zasady można powiązać tylko z komputerami Mac lub kontami użytkowników. Znajomość sposobu konfigurowania zasad jest niezbędna do tworzenia strategii zarządzania komputerem Mac.

Na przykład, podobnie jak w przypadku zasad grupy systemu Windows, zasady związane z potrzebami użytkowników i kontrolą dostępu są często zarządzane w oparciu o członkostwo w grupie związane z działem, rolami stanowisk i innymi czynnikami. Wymagania dotyczące aplikacji dla działów i ustawień zabezpieczeń komputerów Mac najlepiej ustawić na podstawie komputerów Mac (lub grupy komputerów Mac), a nie użytkowników (lub członkostwa w grupach). Niektóre zasady, takie jak zasady oszczędzania energii, są domyślnie specyficzne dla komputerów Mac, a nie dla użytkowników.

Podstawy wdrażania polityki

Zasady zarządzania komputerami Mac, podobnie jak zasady iOS, są przechowywane jako dane XML w profilach konfiguracyjnych. Profile te można stosować na komputerach Mac na jeden z trzech sposobów: poprzez ręczne tworzenie i dystrybucję ich do poszczególnych komputerów Mac / użytkowników za pośrednictwem bezpłatnej aplikacji Apple Configurator 2; wdrażając rozwiązanie MDM / EMM; lub przy użyciu tradycyjnych pakietów do zarządzania pulpitami.

Jeśli zdecydujesz się na ręczną dystrybucję profili konfiguracyjnych, będziesz musiał użyć Menedżera profili systemu OS X Server, aby je utworzyć, a następnie profile wynikowe będą musiały zostać zainstalowane ręcznie na każdym komputerze Mac. Po otwarciu profil poprosi użytkownika o zainstalowanie dołączonych zasad. W przypadku tej metody nie ma w pełni zautomatyzowanego sposobu dystrybucji profili konfiguracji bez użycia dodatkowych narzędzi do wdrażania. Jeśli polegasz na użytkownikach, a nie personelu IT, aby je zainstalować, zapewnienie, że zostały one zainstalowane, może być trudne. Z tego powodu ręczna dystrybucja profili może być najprostszą opcją, ale prawdopodobnie jest mniej idealna, a nawet realna dla większych organizacji.

(Uwaga: sam Menedżer profili jest rozwiązaniem MDM specyficznym dla Apple, którego można użyć do wypychania zasad w sposób podobny do innych ofert MDM / EMM, oprócz tworzenia profili konfiguracji do ręcznej dystrybucji).

Aplikacja Apple Configurator 2 może być używana do instalowania profili / zasad na podłączonych komputerach Mac, a także na urządzeniach z systemem iOS. Zapewnia to proste, bezpłatne rozwiązanie zapewniające zainstalowanie i działanie profili / polityk. Jednak wymaga, aby każdy zarządzany komputer Mac był podłączony do komputera Mac z uruchomionym programem Apple Configurator 2 przez USB w celu konfiguracji. To sprawia, że ​​Apple Configurator 2 jest doskonałym narzędziem dla małych firm i organizacji edukacyjnych, które często mają prosty zestaw wymagań politycznych, ale jest to nieefektywna strategia zarządzania komputerami Mac, jeśli musisz skonfigurować dużą liczbę komputerów Mac.

W tym przypadku pomocne mogą być narzędzia MDM / EMM, ponieważ zasady dotyczące komputerów Mac można stosować przy użyciu tej samej struktury MDM, z której korzystają urządzenia z systemem iOS. W związku z tym większość dostawców obsługujących zarządzanie iOS obsługuje również zarządzanie komputerami Mac. Są więc opcją przyjazną dla przedsiębiorstw, zwłaszcza, że ​​wiele organizacji korzysta już z takich rozwiązań do zarządzania urządzeniami iOS i Android.

Inną opcją, która dobrze się skaluje do zastosowań korporacyjnych, jest tradycyjny pakiet do zarządzania pulpitami, obejmujący zarówno pakiety specyficzne dla Apple, takie jak Casper Suite JAMF, jak i pakiety wieloplatformowe, takie jak LanDesk Management Suite i Symantec Management Platform. Te pakiety nie tylko stosują zasady, ale często oferują narzędzia do zarządzania i wdrażania. Biorąc pod uwagę popularność tych pakietów, wiele organizacji często korzysta już z takich narzędzi lub mogą uznać ich dodatkowe funkcje za wystarczająco atrakcyjne, aby w nie zainwestować (więcej o tych narzędziach w trzeciej części tej serii).

Jeśli masz obawy dotyczące opartego na XML charakteru zasad Maca, możesz być spokojny: administratorzy zazwyczaj nie muszą bezpośrednio tworzyć ani edytować danych XML używanych w zasadach zarządzania Macami. Większość narzędzi firmy Apple i innych firm zapewnia intuicyjne interfejsy użytkownika do ustawiania opcji polityki i obsługuje niezbędne tworzenie XML pod maską. Jedynym wyjątkiem są zasady ustawień niestandardowych dotyczące określania ustawień dla zainstalowanych aplikacji i dodatkowych funkcji systemu OS X, omówione w dalszej części tego artykułu. Skonfigurowanie ustawień niestandardowych będzie wymagało zagłębienia się w wnętrzności XML.

Podstawowe zasady zarządzania komputerami Mac, które każdy administrator musi znać

Apple oferuje oszałamiający zakres opcji polityki do zarządzania komputerami Mac, ale najczęściej używany jest określony zestaw 13 zasad - i jest to najbardziej krytyczny element zarządzania i zabezpieczania komputerów Mac w środowisku przedsiębiorstwa. Każda z poniższych podstawowych zasad zarządzania ma zastosowanie do komputerów Mac lub użytkowników, chyba że określono inaczej:

  • Sieć: do konfigurowania ustawień sieciowych, w tym konfiguracji Wi-Fi i niektórych szczegółów połączenia Ethernet.
  • Certyfikat: do wdrażania certyfikatów cyfrowych używanych w szyfrowanej komunikacji w organizacji, a także niektórych poświadczeń tożsamości dla określonych usług (wiele usług sieciowych korzysta z certyfikatów do bezpiecznej komunikacji i uwierzytelniania).
  • SCEP: Definiowanie ustawień uzyskiwania i / lub odnawiania certyfikatów z CA (urząd certyfikacji) przy użyciu SCEP (Simple Certificate Enrollment Protocol). SCEP zapewnia automatyczną opcję, która umożliwia urządzeniom pobieranie / odnawianie certyfikatów. Jest używany jako część procesu rejestracji Apple w MDM dla urządzeń iOS i może być również używany do rejestrowania komputerów Mac w zarządzanym środowisku. Konfiguracja SCEP będzie się różnić w zależności od urzędu certyfikacji i powiązanych narzędzi do zarządzania w działaniu.  
  • Certyfikat Active Directory: aby dostarczyć informacje uwierzytelniające dla serwerów certyfikatów Active Directory. Tę zasadę można ustawić tylko dla kont użytkowników.
  • Katalog: do konfigurowania usług katalogowych członkostwa, w tym Active Directory i Open Directory firmy Apple. Można skonfigurować wiele systemów katalogowych. Tę zasadę można ustawić tylko na komputerach Mac.
  • Exchange: do konfigurowania dostępu do konta Exchange użytkownika w natywnych aplikacjach Apple Mail, Contacts i Calendar. (Nie konfiguruje programu Microsoft Outlook). Można to ustawić tylko dla kont użytkowników.
  • VPN: Do konfigurowania wbudowanego klienta VPN komputera Mac. Można skonfigurować kilka zmiennych. W przypadku działania użytkownicy nie będą mogli modyfikować konfiguracji VPN.
  • Bezpieczeństwo i prywatność: do konfigurowania kilku wbudowanych funkcji bezpieczeństwa OS X, w tym narzędzia do oceny reputacji i bezpieczeństwa aplikacji GateKeeper, szyfrowania FileVault (można ustawić tylko dla komputerów Mac, a nie dla użytkowników) oraz do wysyłania danych diagnostycznych do Apple.
  • Mobilność: aby ustawić, czy tworzenie konta mobilnego jest obsługiwane, a także powiązane zmienne (zobacz pierwszy artykuł z tej serii, aby uzyskać informacje o kontach mobilnych).
  • Ograniczenia: do ograniczenia dostępu do szeregu funkcji OS X, takich jak Game Center, App Store, możliwość uruchamiania określonych aplikacji, dostęp do mediów zewnętrznych, korzystanie z wbudowanej kamery, dostęp do iCloud, sugestie wyszukiwania Spotlight, AirDrop udostępnianie i dostęp do różnych usług w menu udostępniania OS X.
  • Okno logowania: Do konfigurowania okna logowania OS X, w tym wszelkich komunikatów okna logowania (nazywanych banerami); czy użytkownik może ponownie uruchomić lub zamknąć komputer Mac bez logowania; oraz czy dodatkowe informacje o komputerze Mac można uzyskać z okna logowania.
  • Drukowanie: Aby wstępnie skonfigurować dostęp do drukarek i określić opcjonalną stopkę dla wszystkich drukowanych stron.
  • Proxy: do określania serwerów proxy.

Dodatkowe zasady uzupełniające Twoją flotę

Oprócz zasad wymienionych powyżej firma Apple udostępnia szereg opcji zasad służących do konfigurowania środowiska użytkownika komputera Mac. Niektóre organizacje uznają te zasady za pomocne dla wszystkich komputerów Mac lub tylko dla części ich floty. Te zasady obejmują możliwość wstępnej konfiguracji AirPlay; aby skonfigurować dostęp do serwera CalDAV i serwera CardDAV w aplikacjach Kalendarz i Kontakty; ustalić możliwość zainstalowania dodatkowych czcionek; aby skonfigurować dostęp do serwera LDAP wyłącznie w celu wyszukiwania danych kontaktowych; do wstępnej konfiguracji kont POP i IMAP w aplikacji Mail; konfigurować i dodawać elementy (klipy internetowe, foldery, aplikacje) do Docka; aby ustawić preferencje oszczędzania energii, a także harmonogramy uruchamiania / wyłączania / budzenia / uśpienia; aby włączyć uproszczoną wersję Findera i zablokować niektóre polecenia, takie jak Połącz z serwerem, Wysuń wolumin, Nagraj płytę, Przejdź do folderu,Uruchom ponownie i zamknij; określić elementy, które powinny otwierać się automatycznie przy logowaniu; aby skonfigurować funkcje dostępności dla użytkowników niepełnosprawnych; aby skonfigurować konta Jabber w aplikacji Wiadomości; i tak dalej.

Istnieje również opcja wstępnego wypełnienia identyfikatora konta użytkownika podczas instalowania profilu. Jest to zwykle używane, gdy profile są instalowane na poszczególnych komputerach Mac. Gdy komputer Mac jest przyłączony do katalogu, informacje o koncie użytkownika są pobierane z katalogu.

Zasady dotyczące aktualizacji oprogramowania dotyczą organizacji wdrażających system OS X Server do użytku jako lokalny serwer aktualizacji oprogramowania. OS X Server ma możliwość buforowania lokalnych kopii aktualizacji oprogramowania Apple w celu poprawy wydajności i zmniejszenia przeciążenia sieci podczas aktualizacji floty.

Ustawienia niestandardowe: zasady dotyczące definiowania ustawień aplikacji lub systemu

Zasady ustawień niestandardowych odgrywają ważną rolę w maksymalizowaniu zdolności działu IT do zarządzania całym środowiskiem użytkownika komputera Mac. Pozwala administratorowi określić ustawienia dla wszelkich zainstalowanych aplikacji i dodatkowych funkcji systemu OS X, nawet jeśli te aplikacje lub funkcje nie mają wyraźnej polityki zdefiniowanej przez Apple. W przypadku ich użycia należy określić dane XML z aplikacji lub pliku preferencji funkcji. Najłatwiejszym sposobem użycia tej opcji jest skonfigurowanie aplikacji lub funkcji z żądanymi ustawieniami, a następnie zlokalizowanie odpowiedniego pliku .plist (zwykle w katalogu / Library / Preferences w folderze domowym bieżącego użytkownika). Alternatywnie powiązane klucze i informacje XML można wprowadzić ręcznie.

Interakcja polityki

Ponieważ zasady można stosować na podstawie pojedynczych komputerów Mac, grup komputerów Mac, indywidualnych kont użytkowników lub grup użytkowników, istnieją sytuacje, w których można zastosować wiele zasad jednocześnie. Wynikające z tego doświadczenie zależy w dużej mierze od rodzaju polisy.

Większość polityk dodaje element konfiguracji; gdy istnieje wiele wystąpień tych zasad, wszystkie z nich są stosowane. Na przykład, jeśli Mac ma zasady określające pozycje Docka, a użytkownik jest członkiem dwóch grup, z których każda określa dodatkowe elementy Docka, ten użytkownik zobaczy połączony zestaw wszystkich określonych elementów Docka, gdy zaloguje się do tego Maca. (Inny użytkownik logujący się do tego samego Maca zobaczyłby elementy Docka określone dla tego Maca, a także wszystkie określone dla jego przynależności do grupy).

Istnieją jednak przypadki, w których zasad nie można po prostu dodawać do siebie. Dotyczy to zwłaszcza funkcji, które ograniczają dostęp użytkownika do funkcji lub funkcji. W takich przypadkach najbardziej restrykcyjna polityka jest egzekwowana.