Upravljanje tim Mac računalima: Vodič za administratore sustava Windows

Uvođenje Maca u postojeće IT okruženje može učiniti da se bilo koji Windows administrator osjeća pomalo pogrešno. Sve je poznato, u smislu zadataka i postavki, ali s dovoljno pomaka da u početku djeluje pomalo strano. Naša kontinuirana serija savjeta za upravljanje Macom ovdje je da vam pomogne u sigurnom i produktivnom uvođenju Maca.

U prvom dijelu ove serije pogledao sam osnovne zahtjeve za integraciju Maca u poslovna okruženja, uključujući kako ih pridružiti poslovnim sustavima. Široko rasprostranjeni Mac često zahtijeva jedinstveni skup vještina i alata da bi bio uspješan. Isto vrijedi i za primjenu upravljačkih politika na Macs, što obrađujem u ovom članku. Ovdje ćete dobiti pregled pravila za Mac i uvid u to kako planirati strategiju za njihovo postavljanje.

U završnom dijelu serije, osvrnut ću se na određene alate koji se koriste za primjenu pravila, kao i na alate koji nude dodatne značajke upravljanja i implementacije.

Rezultat pravila upravljanja Macom

Kako se baviti Macom, pitanje je razmjera. Tehničari u organizacijama s malim brojem Maca često mogu konfigurirati svaki Mac pojedinačno ili stvoriti jedinstvenu sliku sustava koja primjenjuje jedinstvenu konfiguraciju na svaki Mac. U većim organizacijama izazovi su složeniji. Različiti korisnici ili odjeli imat će različite potrebe za konfiguracijom i trebat će im različite povlastice pristupa. Štoviše, oni će često imati potrebe za konfiguracijom povezane s pojedinačnim korisnicima i skupinama, kao i potrebe povezane s određenim Mac računalima na temelju njihove upotrebe (a ponekad i hardvera). Zbog toga je ručna konfiguracija jednostavno previše neučinkovita. Ovdje je automatizacija ključna.

U tu svrhu Apple nudi niz pravila koja se mogu primijeniti na vašu Mac flotu radi provođenja sigurnosnih zahtjeva, pomoći u automatskom konfiguriranju Mac računala na određene profile i omogućiti i ograničiti pristup resursima na vašoj mreži.

Ako ste već upoznati s Windowsovim grupnim pravilima, bit će vam drago znati da na sličan način možete u potpunosti upravljati korisničkim iskustvom Mac računala koristeći Appleova pravila za Mac računala. Većina tih pravila može se primijeniti ili na određene Macove (ili skupine Macova) ili na određene korisničke račune (ili članstva u grupama). Međutim, neke se politike mogu povezati samo s Macom ili s korisničkim računima. Upoznavanje s načinom na koji se politike mogu konfigurirati je presudno za stvaranje vaše strategije upravljanja Macom.

Na primjer, kao i s Windowsovim grupnim politikama, pravilima povezanim s potrebama korisnika i kontrolama pristupa često se upravlja na temelju članstva u grupi vezanog za odjel, uloge posla i druge čimbenike. Zahtjevi sigurnosnih postavki za odjelnu aplikaciju i Mac najbolje je postaviti na temelju Maca (ili grupe Maca), a ne korisnika (ili članstva u grupi). Neke se politike, poput pravila o uštedi energije, prema zadanim postavkama odnose na Mac, a ne na korisnika.

Glupavost primjene politike

Pravila za upravljanje Macom, poput iOS pravila, pohranjuju se kao XML podaci u konfiguracijskim profilima. Ovi se profili mogu primijeniti na Mace na jedan od tri načina: ručnim stvaranjem i distribucijom pojedinih Maca / korisnika putem besplatne aplikacije Apple Configurator 2; primjenom rješenja MDM / EMM; ili pomoću tradicionalnih apartmana za upravljanje radnom površinom.

Ako odlučite ručno distribuirati konfiguracijske profile, morat ćete upotrijebiti Upravitelj profila OS X poslužitelja da biste ih stvorili, tada će rezultirajući profili morati biti instalirani ručno na svaki Mac. Kad se otvori, profil će zatražiti od korisnika da instalira uključene politike. Korištenjem ove metode ne postoji potpuno automatizirani način distribucije konfiguracijskih profila bez korištenja dodatnih alata za postavljanje. Ako se za njihovu instalaciju oslanjate na korisnike, a ne na IT osoblje, može biti teško osigurati da su instalirani. Zbog toga je ručna distribucija profila možda najjednostavnija opcija, ali je vjerojatno manje idealna ili čak održiva za veće organizacije.

(Napomena: Sam Profile Manager je specifično za Apple rješenje MDM-a koje se može koristiti za potiskivanje pravila na način drugih MDM / EMM ponuda, uz stvaranje konfiguracijskih profila za ručnu distribuciju.)

Aplikacija Apple Configurator 2 može se koristiti za instaliranje profila / pravila na privezane Macove, kao i na iOS uređaje. Ovo pruža izravno, besplatno rješenje za osiguravanje da profili / politike budu instalirani i funkcioniraju. Međutim, zahtijeva da svaki upravljani Mac bude povezan s Macom koji radi na Apple Configurator 2 putem USB-a radi konfiguracije. To čini Apple Configurator 2 izvrsnim alatom za male tvrtke i obrazovne organizacije koje često imaju jednostavan skup potreba za politikama, ali to je neučinkovita strategija upravljanja Macom ako trebate konfigurirati velik broj Maca.

Ovdje MDM / EMM alati mogu pomoći, jer se Mac pravila mogu primijeniti koristeći isti MDM okvir koji koriste iOS uređaji. Kao takvi, većina dobavljača koji podržavaju iOS upravljanje podržavaju i Mac upravljanje. Stoga su opcija prilagođena poduzećima, posebno zato što mnoge organizacije već koriste takva rješenja za upravljanje iOS i Android uređajima.

Druga mogućnost koja se dobro prilagođava korporativnoj upotrebi je tradicionalni paket za upravljanje radnom površinom, uključujući apartmane specifične za Apple, poput JAMF-ovog Casper Suitea, i apartmane s više platformi, kao što su LanDesk Management Suite i Symantec Management Platform. Ovi apartmani ne primjenjuju samo politike, već često nude alate za upravljanje i implementaciju. S obzirom na popularnost apartmana, mnoge organizacije često već koriste takve alate ili će njihove dodatne značajke možda biti dovoljno uvjerljive da u njih mogu uložiti (više o tim alatima u trećem dijelu ove serije).

Ako se brinete o prirodi Mac pravila koja se temelji na XML-u, budite sigurni: Administratori obično ne trebaju izravno stvarati ili uređivati ​​XML podatke koji se koriste u pravilima upravljanja Macom. Većina alata Apple i nezavisnih proizvođača pruža intuitivno korisničko sučelje za postavljanje opcija politike i oni obrađuju potrebne XML izrade ispod haube. Iznimka je pravilo Prilagođene postavke za određivanje postavki za instalirane aplikacije i dodatne značajke OS X-a, o kojima ćemo raspravljati kasnije u ovom članku. Konfiguriranje prilagođenih postavki zahtijevat će ulazak u XML.

Temeljna pravila upravljanja Macom svaki administrator mora znati

Apple nudi vrtoglavi raspon opcija politika za upravljanje Macom, ali najčešće se koristi određeni skup od 13 pravila - i najvažniji je za upravljanje i zaštitu Maca u poslovnom okruženju. Svaka od sljedećih temeljnih politika upravljanja odnosi se na Macove ili korisnike, ako nije drugačije određeno:

  • Mreža: za konfiguriranje mrežnih postavki, uključujući Wi-Fi konfiguraciju i neke pojedinosti o Ethernet vezi.
  • Certifikat: za postavljanje digitalnih certifikata koji se koriste u šifriranoj komunikaciji unutar organizacije, kao i neke vjerodajnice identiteta za određene usluge (mnoge mrežne usluge oslanjaju se na certifikate za sigurnu komunikaciju i provjeru autentičnosti).
  • SCEP: Za definiranje postavki za stjecanje i / ili obnavljanje certifikata od CA (Tijelo za izdavanje certifikata) pomoću SCEP (Jednostavni protokol za upis certifikata). SCEP nudi automatiziranu opciju koja uređajima omogućuje stjecanje / obnavljanje certifikata. Koristi se kao dio Appleovog postupka prijave za MDM za iOS uređaje, a može se koristiti i za upis Maca u upravljano okruženje. Konfiguracija SCEP-a ovisit će o CA i srodnim alatima za upravljanje koji rade.  
  • Certifikat Active Directory: za pružanje informacija o autentifikaciji za poslužitelje certifikata Active Directory. Ovo se pravilo može postaviti samo za korisničke račune.
  • Imenik: za konfiguriranje usluga direktorija za članstvo, uključujući Active Directory i Appleov Open Directory. Može se konfigurirati više sustava direktorija. Ovo se pravilo može postaviti samo za Macove.
  • Exchange: za konfiguriranje pristupa korisničkom Exchange računu u izvornim Appleovim aplikacijama Mail, Contacts i Calendar. (Ne konfigurira Microsoft Outlook.) To se može postaviti samo za korisničke račune.
  • VPN: za konfiguriranje Macovog ugrađenog VPN klijenta. Može se konfigurirati nekoliko varijabli. Ako je u funkciji, korisnici neće moći mijenjati VPN konfiguraciju.
  • Sigurnost i privatnost: za konfiguriranje nekoliko ugrađenih sigurnosnih značajki OS X-a, uključujući reputaciju i sigurnosni alat aplikacije GateKeeper, enkripciju FileVault (može se postaviti samo za Macove, a ne za korisnike) i mogu li se dijagnostički podaci slati Appleu.
  • Mobilnost: da biste postavili podržava li stvaranje mobilnih računa, kao i srodne varijable (pogledajte prvi članak ove serije za informacije o mobilnim računima).
  • Ograničenja: za ograničavanje pristupa nizu OS X značajki, kao što su Game Center, App Store, mogućnost pokretanja određenih aplikacija, pristup vanjskim medijima, upotreba ugrađene kamere, pristup iCloud-u, prijedlozi za pretraživanje Spotlight-a, AirDrop dijeljenje i pristup raznim uslugama u OS X izborniku za dijeljenje.
  • Prozor za prijavu: za konfiguriranje prozora za prijavu na OS X, uključujući sve poruke prozora za prijavu (nazvane natpisima); može li korisnik ponovno pokrenuti ili isključiti Mac bez prijave; i može li se pristupiti dodatnim informacijama o Macu iz prozora za prijavu.
  • Ispis: Da biste unaprijed konfigurirali pristup pisačima i odredili neobavezno podnožje za sve ispisane stranice.
  • Proxyji: za specificiranje proxy poslužitelja.

Dodatna pravila za zaokruživanje vaše flote

Pored gore navedenih pravila, Apple nudi niz opcija pravila za konfiguriranje korisničkog iskustva za Mac. Nekim će organizacijama ove politike biti korisne za sve Macove ili samo za podskup njihove flote. Te politike uključuju mogućnost predkonfiguriranja AirPlay-a; za postavljanje pristupa CalDAV poslužitelju i CardDAV poslužitelju u aplikacijama Kalendar i Kontakti; uspostaviti sposobnost instaliranja dodatnih fontova; za konfiguriranje pristupa LDAP poslužitelju isključivo u svrhu traženja podataka o kontaktima; za pretkonfiguriranje POP i IMAP računa u aplikaciji Mail; za konfiguriranje i dodavanje stavki (web isječaka, mapa, aplikacija) na dock; postaviti postavke štednje energije, kao i rasporede pokretanja / isključivanja / buđenja / spavanja; da biste omogućili pojednostavljenu verziju programa Finder i blokirali određene naredbe, poput povezivanja s poslužiteljem, izbacivanja glasnoće, snimanja diska, odlaska u mapu,Ponovo pokrenite i isključite; da odredite stavke koje bi se trebale automatski otvoriti prilikom prijave; za konfiguriranje značajki pristupačnosti za korisnike s invaliditetom; za postavljanje Jabber računa u aplikaciji Messages; i tako dalje.

Postoji i mogućnost unaprijed popunjenja identifikacije korisničkog računa kada je profil instaliran. To se obično koristi kada se profili instaliraju na pojedinačne Macove. Kad se Mac pridruži direktoriju, podaci o korisničkom računu dohvaćaju se iz direktorija.

Politika ažuriranja softvera relevantna je za organizacije koje postavljaju OS X Server za upotrebu kao lokalni poslužitelj za ažuriranje softvera. OS X Server ima mogućnost predmemoriranja lokalnih kopija Apple Software Updates kako bi poboljšao performanse i smanjio zagušenje mreže prilikom ažuriranja vaše flote.

Prilagođene postavke: vaše pravilo za definiranje postavki aplikacije ili sustava

Politika prilagođenih postavki igra važnu ulogu u maksimiziranju IT-ove mogućnosti upravljanja cjelokupnim korisničkim iskustvom Mac računala. Omogućuje administratoru da odredi postavke za sve instalirane aplikacije i dodatne značajke OS X-a, čak i ako te aplikacije ili značajke nemaju izričita pravila koja je definirao Apple. Kada se koriste, moraju se navesti XML podaci iz datoteke s postavkama aplikacije ili značajke. Najjednostavniji način korištenja ove opcije je konfiguriranje aplikacije ili značajke sa željenom postavkom, a zatim pronalazak odgovarajuće .plist datoteke (obično u / Library / Preferences direktoriju unutar matične mape trenutnog korisnika). S druge strane, povezani XML ključevi i podaci mogu se unijeti ručno.

Interakcija s politikom

Budući da se politike mogu primijeniti na temelju pojedinih Maca, grupa Maca, pojedinačnih korisničkih računa ili korisničkih grupa, postoje situacije u kojima se istovremeno može primijeniti više pravila. Dobiveno iskustvo uvelike ovisi o vrsti politike.

Većina pravila dodaje element konfiguracije; kada postoji više primjeraka ovih pravila, primjenjuju se sva. Na primjer, ako Mac ima politiku koja određuje Dock stavke, a korisnik je član dviju grupa koje svaka od njih navodi dodatne Dock stavke, taj će korisnik vidjeti kombinirani skup svih navedenih Dock stavki kad se prijavi na taj Mac. (Drugi korisnik koji se prijavi na taj isti Mac vidio bi stavke Dock-a određene za taj Mac, kao i one određene za njegovu ili njezinu pripadnost grupi.)

Postoje, međutim, slučajevi u kojima se politike ne mogu jednostavno dodati jedna drugoj. To se posebno odnosi na značajke koje ograničavaju pristup korisnika funkcionalnosti ili značajkama. U tim je slučajevima najo restriktivnija politika ona koja se provodi.