Přivedení počítačů Mac do stávajícího prostředí IT může u každého správce systému Windows působit trochu špatně. Všechno je povědomé, co se týče úkolů a nastavení, ale s dostatečným zvratem, aby se zpočátku zdálo trochu cizí. Naše pokračující řada tipů pro správu Mac je tu, aby vám pomohla při bezpečném a produktivním zavedení Maců.
V první části této série jsem se zabýval základními požadavky na integraci počítačů Mac do podnikových prostředí, včetně toho, jak je připojit k podnikovým systémům. V měřítku velká nasazení počítačů Mac často vyžadují k úspěchu jedinečnou sadu dovedností a nástrojů. Totéž platí pro uplatňování zásad správy na počítačích Mac, kterému se věnuji v tomto článku. Zde získáte přehled zásad a přehledů Mac, jak plánovat strategii jejich nasazení.
V závěrečné části seriálu se podívám na konkrétní nástroje používané k aplikaci zásad a také na nástroje, které nabízejí další funkce pro správu a nasazení.
Výsledek zásad správy Mac
Jak postupovat při správě počítačů Mac je otázkou rozsahu. Technici v organizacích s malým počtem počítačů Mac mohou často konfigurovat každý Mac samostatně nebo vytvořit jeden obraz systému, který použije jednotnou konfiguraci pro každý Mac. Ve větších organizacích jsou výzvy složitější. Různí uživatelé nebo oddělení budou mít různé konfigurační potřeby a budou vyžadovat různá přístupová oprávnění. Kromě toho budou často mít konfigurační potřeby týkající se jednotlivých uživatelů a skupin, jakož i potřeby související s konkrétními počítači Mac na základě jejich použití (a někdy i jejich hardwaru). Z tohoto důvodu je ruční konfigurace jednoduše příliš neefektivní. Zde je klíčová automatizace.
Za tímto účelem společnost Apple nabízí řadu zásad, které lze použít na vaši flotilu Mac za účelem vynucení bezpečnostních požadavků, podpory automatické konfigurace počítačů Mac na konkrétní profily a povolení a omezení přístupu k prostředkům ve vaší síti.
Pokud jste již obeznámeni se zásadami skupiny Windows, budete rádi, že můžete plně spravovat uživatelské prostředí Mac podobným způsobem pomocí zásad společnosti Apple pro Mac. Většinu z těchto zásad lze použít buď na konkrétní počítače Mac (nebo skupiny počítačů Mac) nebo na konkrétní uživatelské účty (nebo členství ve skupinách). Některé zásady však lze spojit pouze s počítači Mac nebo s uživatelskými účty. Znalost toho, jak lze zásady konfigurovat, je zásadní pro vytvoření strategické správy systému Mac.
Například stejně jako v případě skupinových zásad systému Windows jsou zásady související s potřebami uživatelů a řízení přístupu často spravovány na základě členství ve skupině souvisejícího s oddělením, rolemi úloh a dalšími faktory. Požadavky na nastavení zabezpečení resortních aplikací a Mac jsou nejlépe nastaveny na základě počítačů Mac (nebo skupiny počítačů Mac), nikoli podle uživatelů (nebo členství ve skupinách). Některé zásady, například zásady Energy Saver, jsou ve výchozím nastavení spíše pro Mac než pro uživatele.
Hloupost nasazení politiky
Zásady správy Mac, stejně jako zásady iOS, jsou uloženy jako data XML v konfiguračních profilech. Tyto profily lze na Mac použít jedním ze tří způsobů: manuálním vytvořením a distribucí jednotlivým Macům / uživatelům prostřednictvím bezplatné aplikace Apple Configurator 2; implementací řešení MDM / EMM; nebo pomocí tradičních sad pro správu desktopů.
Pokud se rozhodnete ručně distribuovat konfigurační profily, budete je muset vytvořit pomocí Správce profilů serveru OS X, pak bude nutné výsledné profily nainstalovat ručně na každém počítači Mac. Po otevření profil vyzve uživatele k instalaci zahrnutých zásad. Pomocí této metody neexistuje žádný plně automatizovaný způsob distribuce konfiguračních profilů bez použití dalších nástrojů nasazení. Pokud se při instalaci spoléháte spíše na uživatele než na zaměstnance IT, může být obtížné zajistit jejich instalaci. Z tohoto důvodu může být ruční distribuce profilů nejjednodušší možností, ale pro větší organizace je pravděpodobně méně ideální nebo dokonce životaschopný.
(Poznámka: Samotný Správce profilů je řešení MDM specifické pro Apple, které lze kromě vytváření konfiguračních profilů pro ruční distribuci použít k vytlačování zásad způsobem, který nabízí jiné nabídky MDM / EMM.)
Aplikaci Apple Configurator 2 lze použít k instalaci profilů / zásad na připojená zařízení Mac a iOS. To poskytuje přímé a bezplatné řešení pro zajištění instalace a fungování profilů / zásad. Vyžaduje však, aby byl každý spravovaný Mac pro konfiguraci připojen k Macu se spuštěným Apple Configurator 2 pomocí USB. Díky tomu je Apple Configurator 2 vynikajícím nástrojem pro malé podniky a vzdělávací organizace, které často mají jednoduchou sadu politických potřeb, ale je to neefektivní strategie správy Mac, pokud potřebujete konfigurovat velké množství počítačů Mac.
Zde mohou pomoci nástroje MDM / EMM, protože zásady Mac lze použít pomocí stejného rámce MDM, který používají zařízení iOS. Většina prodejců, kteří podporují správu iOS, proto podporuje také správu Mac. Jedná se tedy o možnost vhodnou pro podniky, zejména proto, že mnoho organizací již používá tato řešení ke správě zařízení iOS a Android.
Další možností, která je dobře škálovatelná pro podnikové použití, je tradiční sada pro správu stolních počítačů, která zahrnuje jak sady specifické pro Apple, jako je Casper Suite od JAMF, tak multiplatformní sady, jako je LanDesk Management Suite a Symantec Management Platform. Tyto sady nejen používají zásady, ale často nabízejí nástroje pro správu a nasazení. Vzhledem k popularitě sady mnoho organizací již tyto nástroje již používá, nebo mohou najít své další funkce natolik přesvědčivé, aby do nich investovaly (více o těchto nástrojích ve třetí části této série).
Pokud máte obavy ohledně XML zásad Mac založených na XML, můžete si být jisti: Správci obecně nemusí přímo vytvářet nebo upravovat data XML použitá v zásadách správy Mac. Většina nástrojů společnosti Apple a třetích stran poskytuje intuitivní uživatelská rozhraní pro nastavení možností zásad a zpracovává potřebné vytváření XML pod kapotou. Jedinou výjimkou jsou zásady vlastního nastavení pro zadání nastavení pro nainstalované aplikace a další funkce OS X, které jsou popsány dále v tomto článku. Konfigurace vlastního nastavení bude vyžadovat dostat se do útrob XML.
Základní zásady správy Mac, které musí znát každý správce
Apple poskytuje závratnou škálu možností zásad pro správu Mac, ale nejčastěji se používá specifická sada 13 zásad - a je nejdůležitější pro správu a zabezpečení Mac v podnikovém prostředí. Každá z následujících zásad hlavní správy platí pro počítače Mac nebo pro uživatele, pokud není uvedeno jinak:
- Síť: Ke konfiguraci nastavení sítě, včetně konfigurace Wi-Fi a některých podrobností připojení Ethernet.
- Certifikát: Pro nasazení digitálních certifikátů používaných v šifrované komunikaci v rámci organizace a některých pověření identity pro konkrétní služby (mnoho síťových služeb spoléhá na certifikáty pro bezpečnou komunikaci a autentizaci).
- SCEP: Definování nastavení pro získávání a / nebo obnovování certifikátů od CA (Certifikační autorita) pomocí SCEP (Simple Certificate Enrollment Protocol). SCEP poskytuje automatizovanou možnost, která umožňuje zařízením získávat / obnovovat certifikáty. Používá se jako součást procesu registrace MDM společnosti Apple pro zařízení iOS a lze ji použít také pro registraci počítačů Mac do spravovaného prostředí. Konfigurace SCEP se bude lišit v závislosti na CA a souvisejících nástrojích pro správu v provozu.
- Certifikát služby Active Directory: Poskytnutí ověřovacích informací pro servery certifikátů služby Active Directory. Tuto zásadu lze nastavit pouze pro uživatelské účty.
- Adresář: Pro konfiguraci adresářových služeb členství, včetně služby Active Directory a Apple Open Directory. Lze konfigurovat více adresářových systémů. Tuto zásadu lze nastavit pouze pro počítače Mac.
- Exchange: Pro konfiguraci přístupu k účtu Exchange uživatele v nativních aplikacích Mail, Kontakty a Kalendář společnosti Apple. (Nenakonfiguruje Microsoft Outlook.) Toto lze nastavit pouze pro uživatelské účty.
- VPN: Pro konfiguraci integrovaného klienta VPN pro Mac. Lze konfigurovat několik proměnných. Pokud budou v provozu, uživatelé nebudou moci upravit konfiguraci VPN.
- Zabezpečení a soukromí: Pro konfiguraci několika integrovaných bezpečnostních funkcí OS X, včetně reputace aplikace GateKeeper a bezpečnostního nástroje, šifrování FileVault (lze nastavit pouze pro Mac, ne pro uživatele) a zda lze diagnostické údaje odesílat do Apple.
- Mobilita: Chcete-li nastavit, zda je podporováno vytváření mobilních účtů, nebo související proměnné (informace o mobilních účtech najdete v prvním článku této řady).
- Omezení: Pro omezení přístupu k řadě funkcí OS X, jako je Game Center, App Store, schopnost spouštět konkrétní aplikace, přístup k externím médiím, používání vestavěné kamery, přístup k iCloudu, návrhy vyhledávání Spotlight, AirDrop sdílení a přístup k různým službám v nabídce sdílení OS X.
- Přihlašovací okno: Pro konfiguraci přihlašovacího okna OS X, včetně všech zpráv přihlašovacího okna (označovaných jako bannery); bez ohledu na to, zda uživatel může restartovat nebo vypnout počítač Mac bez přihlášení; a zda je možné získat další informace o Macu z přihlašovacího okna.
- Tisk: Předkonfigurujte přístup k tiskárnám a určete volitelnou zápatí pro všechny vytištěné stránky.
- Proxy: Pro specifikaci proxy serverů.
Další zásady pro doplnění vaší flotily
Kromě zásad uvedených výše poskytuje Apple řadu možností zásad pro konfiguraci uživatelského prostředí Mac. Některé organizace považují tyto zásady za užitečné pro všechny počítače Mac nebo pouze pro podmnožinu jejich flotily. Mezi tyto zásady patří možnost předkonfigurovat AirPlay; nastavit přístup k serveru CalDAV a serveru CardDAV v aplikacích Kalendář a Kontakty; zjistit možnost instalace dalších písem; konfigurovat přístup k serveru LDAP výhradně za účelem vyhledávání kontaktních údajů; předkonfigurovat účty POP a IMAP v aplikaci Pošta; konfigurovat a přidávat položky (webové klipy, složky, aplikace) do Docku; nastavit předvolby šetřiče energie a také plány spuštění / vypnutí / probuzení / spánku; povolit zjednodušenou verzi aplikace Finder a blokovat určité příkazy, například Připojit k serveru, Vysunout svazek, Vypálit disk, Přejít do složky, Restartovat a Vypnout; určit položky, které by se měly automaticky otevírat při přihlášení; konfigurovat funkce přístupnosti pro zdravotně postižené uživatele; nastavit účty Jabber v aplikaci Zprávy; a tak dále.
Při instalaci profilu existuje také možnost předvyplnit identifikaci uživatelského účtu. To se obvykle používá, když jsou profily nainstalovány na jednotlivých počítačích Mac. Když je Mac připojen k adresáři, informace o uživatelském účtu se načtou z adresáře.
Zásady aktualizace softwaru jsou relevantní pro organizace nasazující server OS X pro použití jako místní server aktualizace softwaru. Server OS X má schopnost ukládat do mezipaměti místní kopie aktualizací softwaru Apple, aby se zlepšil výkon a snížilo přetížení sítě při aktualizaci vaší flotily.
Vlastní nastavení: Vaše zásady pro definování nastavení aplikace nebo systému
Zásady vlastního nastavení hrají důležitou roli při maximalizaci schopnosti IT spravovat celý uživatelský komfort systému Mac. Umožňuje správci určit nastavení pro všechny nainstalované aplikace a další funkce OS X, i když tyto aplikace nebo funkce nemají výslovnou zásadu definovanou společností Apple. Při použití je nutné zadat data XML ze souboru předvoleb aplikace nebo funkce. Nejjednodušší způsob, jak tuto možnost použít, je nakonfigurovat aplikaci nebo funkci s požadovaným nastavením a poté vyhledat příslušný soubor .plist (obvykle v adresáři / Library / Preferences v domovské složce aktuálního uživatele). Alternativně lze související klíče XML a informace zadat ručně.
Interakce politiky
Vzhledem k tomu, že zásady lze použít na základě jednotlivých počítačů Mac, skupin počítačů Mac, jednotlivých uživatelských účtů nebo skupin uživatelů, existují situace, kdy lze použít několik zásad najednou. Výsledná zkušenost do značné míry závisí na typu politiky.
Většina zásad přidává konfigurační prvek; pokud existuje více instancí těchto zásad, použijí se všechny. Například pokud má Mac zásady určující položky Dock a uživatel je členem dvou skupin, z nichž každá určuje další položky Dock, uvidí tento uživatel kombinovanou sadu všech zadaných položek Dock, když se přihlásí do daného Macu. (Jiný uživatel, který se přihlásí do stejného počítače Mac, uvidí položky Dock určené pro tento Mac, stejně jako všechny položky určené pro jeho přidružení ke skupině.)
Existují však případy, kdy se zásady nemohou jednoduše navzájem doplňovat. To platí zejména o funkcích, které omezují přístup uživatelů k funkcím nebo funkcím. V těchto případech se uplatňuje nejpřísnější zásada.
