Programmering

Administrer disse Mac-ene: En guide for Windows-administratorer

Å bringe Mac-maskiner inn i et eksisterende IT-miljø kan få enhver Windows-administrator til å føle seg litt feilbeina. Alt er kjent, når det gjelder oppgaver og innstillinger, men med nok vri for å virke litt fremmed i begynnelsen. Vår pågående serie med Mac-administrasjonstips er her for å hjelpe deg med å rulle ut Mac-maskiner på en sikker og produktiv måte.

I del en av denne serien så jeg på de essensielle kravene for å integrere Mac-er i bedriftsmiljøer, inkludert hvordan de kan kobles til bedriftssystemer. I stor skala krever store Mac-distribusjoner ofte et unikt sett med ferdigheter og verktøy for å lykkes. Det samme gjelder bruk av ledelsespolitikk på Mac-maskiner, som jeg dekker i denne artikkelen. Her vil du få en oversikt over Mac-policyer og innsikt i hvordan du planlegger en strategi for distribusjon av dem.

I siste del av serien vil jeg se på de spesifikke verktøyene som brukes til å anvende policyer, samt verktøy som tilbyr ekstra administrasjons- og distribusjonsfunksjoner.

Resultatet av Macs ledelsespolitikk

Hvordan du skal administrere Mac-maskiner er et spørsmål om skala. Teknikere ved organisasjoner med et lite antall Mac-maskiner kan ofte konfigurere hver Mac individuelt eller lage et enkelt systembilde som bruker en enhetlig konfigurasjon på hver Mac. I større organisasjoner er utfordringene mer komplekse. Ulike brukere eller avdelinger vil ha forskjellige konfigurasjonsbehov, og de vil kreve forskjellige tilgangsrettigheter. Videre vil de ofte ha konfigurasjonsbehov relatert til individuelle brukere og grupper, samt behov relatert til spesifikke Mac-er basert på deres bruk (og noen ganger maskinvaren). På grunn av dette er manuell konfigurasjon rett og slett for ineffektiv. Her er automatisering nøkkelen.

For dette formål tilbyr Apple en rekke retningslinjer som kan brukes på din Mac-flåte for å håndheve sikkerhetskrav, for å hjelpe til med å automatisk konfigurere Mac-maskiner til bestemte profiler, og for å aktivere og begrense tilgangen til ressurser i nettverket ditt.

Hvis du allerede er kjent med Windows-gruppepolicyer, vil du gjerne vite at du fullt ut kan administrere Mac-brukeropplevelsen på en lignende måte ved å bruke Apples retningslinjer for Mac-maskiner. De fleste av disse retningslinjene kan brukes på bestemte Mac-er (eller grupper av Mac-er) eller på spesifikke brukerkontoer (eller gruppemedlemskap). Noen policyer kan imidlertid bare knyttes til Mac-er eller brukerkontoer. Kjennskap til hvordan policyer kan konfigureres er viktig for å skape en strategisk administrasjon av Mac.

For eksempel, som med Windows-gruppepolicyer, blir policyer relatert til brukerbehov og tilgangskontroll ofte administrert basert på gruppemedlemskap relatert til avdeling, jobbroller og andre faktorer. Krav til sikkerhetsinnstillinger for avdelingsapp og Mac settes best basert på Mac-maskiner (eller en gruppe Mac-er), snarere enn brukere (eller gruppemedlemskap). Noen policyer, som energisparer, er Mac-spesifikke i stedet for brukerspesifikke som standard.

Nitty-gritty av politikkutplassering

Retningslinjer for administrasjon av Mac, som iOS-policyer, lagres som XML-data i konfigurasjonsprofiler. Disse profilene kan brukes på Mac-maskiner på en av tre måter: ved å opprette og distribuere dem manuelt til individuelle Mac-er / brukere, via den gratis Apple Configurator 2-appen; ved å implementere en MDM / EMM-løsning; eller ved bruk av tradisjonelle desktop management suiter.

Hvis du velger å distribuere konfigurasjonsprofiler manuelt, må du bruke OS X Servers profilbehandling for å opprette dem, og de resulterende profilene må installeres manuelt på hver Mac. Når den åpnes, vil profilen be brukeren om å installere de inkluderte retningslinjene. Ved hjelp av denne metoden er det ingen helautomatisk måte å distribuere konfigurasjonsprofiler uten å bruke ekstra distribusjonsverktøy. Hvis du stoler på brukere i stedet for IT-ansatte for å installere dem, kan det være vanskelig å sikre at de er installert. På grunn av dette kan distribusjon av profiler være det enkleste alternativet manuelt, men det er sannsynligvis mindre ideelt, eller til og med levedyktig, for større organisasjoner.

(Merk: Profile Manager i seg selv er en Apple-spesifikk MDM-løsning som kan brukes til å presse policyer ut på samme måte som andre MDM / EMM-tilbud, i tillegg til å lage konfigurasjonsprofiler for manuell distribusjon.)

Apple Configurator 2-appen kan brukes til å installere profiler / policyer til bundet Mac-maskiner samt iOS-enheter. Dette gir en enkel, kostnadsfri løsning for å sikre at profiler / policyer er installert og fungerer. Det krever imidlertid at hver administrerte Mac er koblet til en Mac som kjører Apple Configurator 2 via USB for konfigurasjon. Dette gjør Apple Configurator 2 til et utmerket verktøy for små bedrifter og utdanningsorganisasjoner, som ofte har et enkelt sett med policybehov, men det er en ineffektiv Mac-administrasjonsstrategi hvis du trenger å konfigurere et stort antall Mac-maskiner.

Her kan MDM / EMM-verktøy hjelpe, da Mac-policyer kan brukes ved å bruke samme MDM-rammeverk som brukes av iOS-enheter. Som sådan støtter de fleste leverandører som støtter iOS-administrasjon også Mac-administrasjon. Dermed er de et bedriftsvennlig alternativ, spesielt fordi mange organisasjoner allerede bruker slike løsninger for å administrere iOS- og Android-enheter.

Et annet alternativ som skalerer godt for bedriftsbruk, er den tradisjonelle desktop management-suiten, inkludert både Apple-spesifikke suiter, som JAMFs Casper Suite, og multiplatform-suiter, som LanDesk Management Suite og Symantec Management Platform. Disse suitene bruker ikke bare retningslinjer, men de tilbyr ofte administrasjons- og distribusjonsverktøy. Gitt suitenes popularitet, har mange organisasjoner ofte allerede slike verktøy i bruk, eller de kan finne tilleggsfunksjonene sine overbevisende nok til å investere i dem (mer om disse verktøyene i del tre av denne serien).

Hvis du er bekymret for den XML-baserte naturen til Mac-policyer, kan du være trygg: Administratorer trenger vanligvis ikke direkte å opprette eller redigere XML-dataene som brukes i Mac-administrasjonspolitikk. De fleste Apple- og tredjepartsverktøy gir intuitive brukergrensesnitt for å angi policyalternativer, og de håndterer den nødvendige XML-opprettelsen under panseret. Et unntak er retningslinjene for tilpassede innstillinger for å spesifisere innstillinger for installerte apper og ekstra OS X-funksjoner, diskutert senere i denne artikkelen. Å konfigurere egendefinerte innstillinger vil kreve å komme inn i tarmene til XML.

Retningslinjer for Core Mac-administrasjon hver administrator må vite

Apple tilbyr et svimlende utvalg av policyalternativer for Mac-administrasjon, men et spesifikt sett med 13 policyer er det mest brukte - og er det mest kritiske for å administrere og sikre Mac-maskiner i et bedriftsmiljø. Hver av de følgende retningslinjene for kjerneadministrasjon gjelder for Mac-er eller brukere, med mindre annet er spesifisert:

  • Nettverk: For konfigurering av nettverksinnstillinger, inkludert Wi-Fi-konfigurasjon og noen detaljer om Ethernet-tilkobling.
  • Sertifikat: For distribusjon av digitale sertifikater som brukes i kryptert kommunikasjon i en organisasjon, samt noen identitetsopplysninger for bestemte tjenester (mange nettverkstjenester er avhengige av sertifikater for sikker kommunikasjon og autentisering).
  • SCEP: Å definere innstillinger for anskaffelse og / eller fornyelse av sertifikater fra en CA (Certificate Authority) ved hjelp av SCEP (Simple Certificate Enrollment Protocol). SCEP gir et automatisert alternativ som lar enheter skaffe / fornye sertifikater. Den brukes som en del av Apples MDM-registreringsprosess for iOS-enheter og kan også brukes til registrering av Mac-maskiner i et administrert miljø. SCEP-konfigurasjon vil variere avhengig av CA og relaterte administrasjonsverktøy i drift.
  • Active Directory Certificate: For å gi autentiseringsinformasjon for Active Directory Certificate-servere. Denne policyen kan bare angis for brukerkontoer.
  • Katalog: For konfigurering av katalogtjenester for medlemskap, inkludert Active Directory og Apples Open Directory. Flere katalogsystemer kan konfigureres. Denne policyen kan bare angis for Mac-maskiner.
  • Exchange: For å konfigurere tilgang til en brukers Exchange-konto i Apples innfødte Mail-, Kontakter- og Kalender-apper. (Den konfigurerer ikke Microsoft Outlook.) Dette kan bare angis for brukerkontoer.
  • VPN: For konfigurering av Macens innebygde VPN-klient. Flere variabler kan konfigureres. Hvis de er i drift, vil ikke brukerne kunne endre VPN-konfigurasjonen.
  • Sikkerhet og personvern: For konfigurering av flere av OS Xs innebygde sikkerhetsfunksjoner, inkludert GateKeeper-omdømme og sikkerhetsverktøy, FileVault-kryptering (kan bare angis for Mac-maskiner, ikke brukere), og om diagnostiske data kan sendes til Apple.
  • Mobilitet: For å angi om oppretting av mobilkonto støttes eller ikke, samt relaterte variabler (se den første artikkelen i denne serien for informasjon om mobilkontoer).
  • Begrensninger: For å begrense tilgangen til en rekke OS X-funksjoner, for eksempel Game Center, App Store, muligheten til å starte spesifikke apper, tilgang til eksterne medier, bruk av det innebygde kameraet, tilgang til iCloud, Spotlight-søkeforslag, AirDrop deling og tilgang til ulike tjenester i OS X-delingsmenyen.
  • Påloggingsvindu: For å konfigurere OS X-påloggingsvinduet, inkludert eventuelle påloggingsvindu-meldinger (referert til som bannere); hvorvidt en bruker kan starte eller stenge en Mac uten å logge på eller ikke; og om ytterligere informasjon om Mac-en kan nås fra påloggingsvinduet.
  • Utskrift: For å forhåndskonfigurere tilgang til skrivere og angi en bunntekst (tilleggsutstyr) for alle trykte sider.
  • Fullmakter: For spesifisering av proxy-servere.

Ytterligere retningslinjer for å avrunde flåten din

I tillegg til policyene som er oppført ovenfor, tilbyr Apple en rekke policyalternativer for å konfigurere Mac-brukeropplevelsen. Noen organisasjoner vil finne disse retningslinjene nyttige for alle Mac-maskiner eller bare for en delmengde av flåten deres. Disse retningslinjene inkluderer muligheten til å forhåndskonfigurere AirPlay; å sette opp tilgang til en CalDAV-server og en CardDAV-server i kalender- og kontaktappene; å etablere muligheten til å installere flere skrifter; å konfigurere tilgang til en LDAP-server utelukkende for å lete etter kontaktdata; å forhåndskonfigurere POP- og IMAP-kontoer i Mail-appen; å konfigurere og legge til elementer (webklipp, mapper, apper) til Dock; for å angi energisparepreferanser, samt oppstarts- / nedleggings- / våkne- / søvnplaner; for å aktivere en forenklet versjon av Finder og blokkere bestemte kommandoer, for eksempel Koble til server, Løs ut volum, Brenn plate, Gå til mappe, Start på nytt og slå av; for å spesifisere elementer som skal åpnes automatisk ved pålogging; å konfigurere tilgjengelighetsfunksjoner for brukere med funksjonshemninger; å sette opp Jabber-kontoer i Messages-appen; og så videre.

Det er også et alternativ å forhåndsutfylle identifikasjon av brukerkonto når en profil er installert. Dette brukes vanligvis når profiler er installert på individuelle Mac-maskiner. Når en Mac er koblet til en katalog, hentes brukerkontoinformasjonen fra katalogen.

Programvareoppdateringspolicyen er relevant for organisasjoner som distribuerer OS X Server for bruk som en lokal programvareoppdateringsserver. OS X Server har muligheten til å cache lokale kopier av Apple Software Update for å forbedre ytelsen og redusere nettverksbelastningen når du oppdaterer flåten din.

Egendefinerte innstillinger: Din policy for å definere app- eller systeminnstillinger

Retningslinjene for tilpassede innstillinger spiller en viktig rolle for å maksimere ITs evne til å administrere hele Mac-brukeropplevelsen. Det tillater en administrator å spesifisere innstillinger for alle installerte apper og tillegg OS X-funksjoner, selv om disse appene eller funksjonene ikke har en eksplisitt policy definert av Apple. Når det brukes, må XML-dataene fra en app eller funksjonens preferansefil spesifiseres. Den enkleste måten å bruke dette alternativet er å konfigurere en app eller funksjon med ønsket innstilling, og deretter finne riktig .plist-fil (vanligvis i / Library / Preferences-katalogen i den nåværende brukerens hjemmemappe). Alternativt kan relaterte XML-nøkler og informasjon legges inn manuelt.

Politisk samhandling

Siden policyer kan brukes basert på individuelle Mac-er, grupper av Mac-er, individuelle brukerkontoer eller brukergrupper, er det situasjoner der flere policyer kan brukes samtidig. Den resulterende opplevelsen avhenger i stor grad av typen policy.

Flertallet av policyene legger til et konfigurasjonselement; når det er flere forekomster av disse retningslinjene, blir alle anvendt. For eksempel, hvis en Mac har en policy som spesifiserer Dock-elementer og en bruker er medlem av to grupper som hver spesifiserer ekstra Dock-elementer, vil den brukeren se et kombinert sett med alle spesifiserte Dock-elementer når han eller hun logger på den Mac-en. (En annen bruker som logger inn på den samme Mac-en, vil se Dock-elementene som er spesifisert for den Mac-maskinen, samt de som er spesifisert for hans eller hennes gruppetilknytning.)

Det er imidlertid noen tilfeller der politikk ikke bare kan legge til hverandre. Dette gjelder spesielt funksjoner som begrenser brukertilgang til funksjonalitet eller funksjoner. I disse tilfellene er den mest restriktive politikken den som håndheves.

$config[zx-auto] not found$config[zx-overlay] not found