Programmering

Administrer disse Mac'er: En guide til Windows-administratorer

At bringe Mac'er ind i et eksisterende it-miljø kan få enhver Windows-administrator til at føle sig lidt forkert. Alt er velkendt med hensyn til opgaver og indstillinger, men med nok af et twist til at virke lidt fremmed i starten. Vores løbende serie af Mac-styringstip er her for at hjælpe dig med at udrulle Mac'er sikkert og produktivt.

I del en af ​​denne serie kiggede jeg på de væsentlige krav til integration af Mac'er i virksomhedsmiljøer, herunder hvordan man forbinder dem med virksomhedssystemer. I skala kræver store Mac-implementeringer ofte et unikt sæt færdigheder og værktøjer for at få succes. Det samme gælder for anvendelse af ledelsespolitikker på Mac'er, som jeg dækker i denne artikel. Her får du et overblik over Mac-politikker og indsigt i, hvordan du planlægger en strategi for implementering af dem.

I det sidste stykke af serien ser jeg på de specifikke værktøjer, der bruges til at anvende politikker, samt værktøjer, der tilbyder yderligere styrings- og implementeringsfunktioner.

Resultatet af Mac-styringspolitikker

Sådan håndteres Mac-styring er et spørgsmål om skala. Teknikere i organisationer med et lille antal Mac'er kan ofte konfigurere hver Mac individuelt eller oprette et enkelt systembillede, der anvender en ensartet konfiguration på hver Mac. I større organisationer er udfordringerne mere komplekse. Forskellige brugere eller afdelinger har forskellige konfigurationsbehov, og de kræver forskellige adgangsrettigheder. Desuden har de ofte konfigurationsbehov relateret til individuelle brugere og grupper samt behov relateret til specifikke Mac'er baseret på deres brug (og nogle gange deres hardware). På grund af dette er manuel konfiguration simpelthen for ineffektiv. Her er automatisering nøglen.

Til dette formål tilbyder Apple en række politikker, der kan anvendes på din Mac-flåde for at håndhæve sikkerhedskrav, for at hjælpe med automatisk konfiguration af Mac-maskiner til bestemte profiler og for at aktivere og begrænse adgangen til ressourcer på dit netværk.

Hvis du allerede er bekendt med Windows-gruppepolitikker, vil du være glad for at vide, at du fuldt ud kan styre Mac-brugeroplevelsen på en lignende måde ved hjælp af Apples politikker til Macs. De fleste af disse politikker kan anvendes enten på specifikke Mac'er (eller grupper af Mac'er) eller på specifikke brugerkonti (eller gruppemedlemskaber). Nogle politikker kan dog kun knyttes til Mac'er eller til brugerkonti. Kendskab til, hvordan politikker kan konfigureres, er afgørende for at skabe din strategiske Mac-styring.

Som med Windows-gruppepolitikker styres f.eks. Politikker relateret til brugerbehov og adgangskontrol ofte baseret på gruppemedlemskab relateret til afdeling, jobroller og andre faktorer. Sikkerhedskrav til afdelingsapp og Mac-sikkerhed indstilles bedst baseret på Mac'er (eller en gruppe Mac'er) snarere end brugere (eller gruppemedlemskaber). Nogle politikker, såsom energibesparelsespolitikker, er Mac-specifikke snarere end brugerspecifikke som standard.

Den nitty-gritty af implementering af politik

Mac-styringspolitikker, ligesom iOS-politikker, gemmes som XML-data i konfigurationsprofiler. Disse profiler kan anvendes på Mac'er på en af ​​tre måder: ved manuelt at oprette og distribuere dem til individuelle Mac'er / brugere via den gratis Apple Configurator 2-app; ved at implementere en MDM / EMM-løsning eller ved brug af traditionelle desktop management-pakker.

Hvis du vælger at distribuere konfigurationsprofiler manuelt, skal du bruge OS X Server's Profile Manager til at oprette dem, så de resulterende profiler skal installeres manuelt på hver Mac. Når den åbnes, beder profilen brugeren om at installere de inkluderede politikker. Ved hjælp af denne metode er der ingen fuldautomatisk måde at distribuere konfigurationsprofiler på uden brug af yderligere implementeringsværktøjer. Hvis du stoler på brugere i stedet for it-personale til at installere dem, kan det være svært at sikre, at de er installeret. På grund af dette kan manuel distribution af profiler være den enkleste mulighed, men det er sandsynligvis mindre ideel eller endda levedygtig for større organisationer.

(Bemærk: Profil Manager i sig selv er en Apple-specifik MDM-løsning, der kan bruges til at skubbe politikker ud på samme måde som andre MDM / EMM-tilbud, ud over at oprette konfigurationsprofiler til manuel distribution.)

Apple Configurator 2-appen kan bruges til at installere profiler / politikker til bundne Mac'er og iOS-enheder. Dette giver en ligetil uden omkostningsløsning for at sikre, at profiler / politikker er installeret og fungerer. Det kræver dog, at hver administreret Mac skal være forbundet til en Mac, der kører Apple Configurator 2 via USB til konfiguration. Dette gør Apple Configurator 2 til et fremragende værktøj til små virksomheder og uddannelsesorganisationer, der ofte har et simpelt sæt politiske behov, men det er en ineffektiv Mac-styringsstrategi, hvis du har brug for at konfigurere et stort antal Mac'er.

Her kan MDM / EMM-værktøjer hjælpe, da Mac-politikker kan anvendes ved hjælp af den samme MDM-ramme, der bruges af iOS-enheder. Som sådan understøtter de fleste leverandører, der understøtter iOS-styring, også Mac-styring. De er således en virksomhedsvenlig mulighed, især fordi mange organisationer allerede bruger sådanne løsninger til at styre iOS- og Android-enheder.

En anden mulighed, der skalerer godt til virksomhedsbrug, er den traditionelle desktop management-suite, der inkluderer både Apple-specifikke suiter, såsom JAMFs Casper Suite, og multiplatform-suiter, såsom LanDesk Management Suite og Symantec Management Platform. Disse suiter anvender ikke kun politikker, men de tilbyder ofte styrings- og implementeringsværktøjer. I betragtning af suiternes popularitet har mange organisationer ofte allerede sådanne værktøjer i brug, eller de kan finde deres ekstra funktioner overbevisende nok til at investere i dem (mere om disse værktøjer i del tre af denne serie).

Hvis du er bekymret for den XML-baserede karakter af Mac-politikker, kan du være sikker: Administratorer behøver generelt ikke direkte at oprette eller redigere de XML-data, der bruges i Mac-styringspolitikker. De fleste Apple- og tredjepartsværktøjer leverer intuitive brugergrænseflader til indstilling af politiske muligheder, og de håndterer den nødvendige XML-oprettelse under emhætten. En undtagelse er politikken for tilpassede indstillinger til angivelse af indstillinger for installerede apps og yderligere OS X-funktioner, der diskuteres senere i denne artikel. Hvis du konfigurerer brugerdefinerede indstillinger, skal du komme ind i XML-tarmen.

Core Mac-styringspolitikker, hver administrator skal kende

Apple leverer et svimlende udvalg af politikindstillinger til Mac-styring, men et specifikt sæt på 13 politikker er den mest anvendte - og er den mest kritiske til styring og sikring af Mac-computere i et virksomhedsmiljø. Hver af de følgende kernestyringspolitikker gælder enten for Mac eller brugere, medmindre andet er angivet:

  • Netværk: Til konfiguration af netværksindstillinger, herunder Wi-Fi-konfiguration og nogle detaljer om Ethernet-forbindelse.
  • Certifikat: Til implementering af digitale certifikater, der bruges i krypteret kommunikation i en organisation, samt nogle identitetsoplysninger for specifikke tjenester (mange netværkstjenester er afhængige af certifikater til sikker kommunikation og godkendelse).
  • SCEP: For at definere indstillinger til erhvervelse og / eller fornyelse af certifikater fra en CA (Certificate Authority) ved hjælp af SCEP (Simple Certificate Enrollment Protocol). SCEP giver en automatiseret mulighed, der giver enheder mulighed for at erhverve / forny certifikater. Det bruges som en del af Apples MDM-tilmeldingsproces til iOS-enheder og kan også bruges til tilmelding af Mac'er til et administreret miljø. SCEP-konfiguration varierer afhængigt af CA og relaterede styringsværktøjer, der er i drift.
  • Active Directory Certificate: At levere godkendelsesoplysninger til Active Directory Certificate-servere. Denne politik kan kun indstilles for brugerkonti.
  • Katalog: Til konfiguration af medlemsmappetjenester, inklusive Active Directory og Apples Open Directory. Flere katalogsystemer kan konfigureres. Denne politik kan kun indstilles til Mac-computere.
  • Exchange: Til konfiguration af adgang til en brugers Exchange-konto i Apples indbyggede Mail-, Kontakter- og Kalender-apps. (Det konfigurerer ikke Microsoft Outlook.) Dette kan kun indstilles til brugerkonti.
  • VPN: Til konfiguration af Macens indbyggede VPN-klient. Flere variabler kan konfigureres. Hvis den er i drift, kan brugerne ikke ændre VPN-konfigurationen.
  • Sikkerhed og privatliv: Til konfiguration af flere af OS X's indbyggede sikkerhedsfunktioner, herunder GateKeeper-appens omdømme og sikkerhedsværktøj, FileVault-kryptering (kan kun indstilles til Mac-computere, ikke brugere), og om diagnostiske data kan sendes til Apple.
  • Mobilitet: For at indstille, om oprettelse af mobilkontoer understøttes eller ikke, samt relaterede variabler (se den første artikel i denne serie for information om mobilkonti).
  • Begrænsninger: For at begrænse adgangen til en række OS X-funktioner, såsom Game Center, App Store, muligheden for at starte bestemte apps, adgang til eksterne medier, brug af det indbyggede kamera, adgang til iCloud, Spotlight-søgeforslag, AirDrop deling og adgang til forskellige tjenester i OS X-delingsmenuen.
  • Login-vindue: Til konfiguration af OS X-login-vinduet, herunder alle login-vinduesmeddelelser (kaldet bannere); om en bruger kan genstarte eller lukke en Mac uden at logge ind eller ej; og om der er adgang til yderligere oplysninger om Mac'en fra login-vinduet.
  • Udskrivning: For at forkonfigurere adgang til printere og angive en valgfri sidefod til alle udskrevne sider.
  • Proxyer: Til angivelse af proxyservere.

Yderligere politikker for at afrunde din flåde

Ud over de politikker, der er anført ovenfor, leverer Apple en række politikindstillinger til konfiguration af Mac-brugeroplevelsen. Nogle organisationer finder disse politikker nyttige for alle Mac-computere eller kun for en delmængde af deres flåde. Disse politikker inkluderer muligheden for at forkonfigurere AirPlay; at oprette adgang til en CalDAV-server og en CardDAV-server i kalender- og kontaktapps-apps; at etablere muligheden for at installere yderligere skrifttyper; at konfigurere adgang til en LDAP-server udelukkende med det formål at søge efter kontaktdata at forkonfigurere POP- og IMAP-konti i Mail-appen; at konfigurere og tilføje emner (webklip, mapper, apps) til docken; at indstille energisparepræferencer samt opstart / lukning / vågne / søvnplaner; for at aktivere en forenklet version af Finder og blokere bestemte kommandoer, såsom Opret forbindelse til server, Skub ud lydstyrke, Brænd disk, Gå til mappe, Genstart og Luk ned; at specificere emner, der automatisk skal åbnes ved login; at konfigurere tilgængelighedsfunktioner for brugere med handicap; at oprette Jabber-konti i appen Beskeder; og så videre.

Der er også en mulighed for at forudbestille identifikation af brugerkonto, når en profil er installeret. Dette bruges normalt, når profiler er installeret på individuelle Mac'er. Når en Mac er knyttet til et bibliotek, hentes brugerkontooplysninger fra biblioteket.

Softwareopdateringspolitikken er relevant for organisationer, der implementerer OS X Server til brug som en lokal softwareopdateringsserver. OS X Server har mulighed for at cache lokale kopier af Apple-softwareopdateringer for at forbedre ydeevnen og mindske netværksbelastning, når du opdaterer din flåde.

Brugerdefinerede indstillinger: Din politik til at definere app- eller systemindstillinger

Politikken for brugerdefinerede indstillinger spiller en vigtig rolle i at maksimere its evne til at administrere hele Mac-brugeroplevelsen. Det giver en administrator mulighed for at specificere indstillinger for alle installerede apps og yderligere OS X-funktioner, selvom disse apps eller funktioner ikke har en eksplicit politik defineret af Apple. Når det bruges, skal XML-dataene fra en app eller funktionens indstillingsfil specificeres. Den nemmeste måde at bruge denne indstilling på er at konfigurere en app eller funktion med den ønskede indstilling og derefter finde den relevante .plist-fil (typisk i / Bibliotek / Indstillinger-biblioteket i den aktuelle brugers hjemmemappe). Alternativt kan de relaterede XML-nøgler og oplysninger indtastes manuelt.

Politikinteraktion

Da politikker kan anvendes baseret på individuelle Mac'er, grupper af Mac'er, individuelle brugerkonti eller brugergrupper, er der situationer, hvor der kan anvendes flere politikker på én gang. Den resulterende oplevelse afhænger stort set af typen af ​​politik.

De fleste politikker tilføjer et konfigurationselement; når der er flere forekomster af disse politikker, anvendes de alle. For eksempel, hvis en Mac har en politik, der specificerer Dock-emner, og en bruger er medlem af to grupper, der hver angiver yderligere Dock-emner, vil den bruger se et kombineret sæt af alle specificerede Dock-emner, når han eller hun logger på den Mac. (En anden bruger, der logger ind på den samme Mac, vil se de Dock-emner, der er specificeret for denne Mac, såvel som de, der er specificeret for hans eller hendes gruppetilhørigheder.)

Der er dog nogle tilfælde, hvor politikker ikke bare kan føjes til hinanden. Dette gælder især for funktioner, der begrænser brugeradgang til funktionalitet eller funktioner. I disse tilfælde er den mest restriktive politik den, der håndhæves.