Управление на тези Mac: Ръководство за администратори на Windows

Въвеждането на Mac в съществуваща ИТ среда може да накара всеки администратор на Windows да се почувства малко погрешно. Всичко е познато по отношение на задачите и настройките, но с достатъчно обрат, за да изглежда малко чуждо в началото. Постоянната ни поредица от съвети за управление на Mac е тук, за да ви помогне да пуснете Macs сигурно и ефективно.

В част първа от тази поредица разгледах основните изисквания за интегриране на Mac в корпоративна среда, включително как да ги присъединя към корпоративни системи. Мащабно, големите внедрения на Mac често изискват уникален набор от умения и инструменти, за да бъдат успешни. Същото важи и за прилагането на политики за управление на Mac, които разглеждам в тази статия. Тук ще получите преглед на политиките на Mac и информация за това как да планирате стратегия за тяхното внедряване.

В последната част от поредицата ще разгледам специфичните инструменти, използвани за прилагане на политики, както и инструменти, които предлагат допълнителни функции за управление и внедряване.

Резултатът от политиките за управление на Mac

Как да се справите с управлението на Mac е въпрос на мащаба. Техниците в организации с малък брой Macs често могат да конфигурират всеки Mac поотделно или да създадат един системен образ, който прилага еднаква конфигурация за всеки Mac. В по-големите организации предизвикателствата са по-сложни. Различните потребители или отдели ще имат различни нужди от конфигурация и те ще изискват различни привилегии за достъп. Освен това те често ще имат нужди от конфигурация, свързани с отделни потребители и групи, както и нужди, свързани със специфични Mac-ове въз основа на тяхното използване (а понякога и техния хардуер). Поради това ръчната конфигурация е просто твърде неефективна. Тук автоматизацията е от ключово значение.

За тази цел Apple предлага набор от политики, които могат да бъдат приложени към вашия флот на Mac, за да се наложат изисквания за сигурност, да се подпомогне автоматичното конфигуриране на Mac машини за определени профили и да се даде възможност и да се ограничи достъпът до ресурси във вашата мрежа.

Ако вече сте запознати с груповите политики на Windows, ще се радвате да знаете, че можете да управлявате изцяло потребителския опит на Mac по подобен начин, като използвате политиките на Apple за Mac. Повечето от тези правила могат да бъдат приложени или към конкретни Mac (или групи от Mac), или към конкретни потребителски акаунти (или членство в група). Някои правила обаче могат да бъдат обвързани само с Mac или с потребителски акаунти. Познаването с начина, по който могат да се конфигурират политики, е жизненоважно за създаването на стратегията за управление на вашия Mac.

Например, както при груповите политики на Windows, политиките, свързани с нуждите на потребителите и контролите за достъп, често се управляват въз основа на членството в група, свързано с отдела, ролите на работата и други фактори. Изискванията за настройка на приложенията за отдели и Mac се настройват най-добре въз основа на Mac (или група Mac), а не на потребители (или членство в група). Някои правила, като правилата за пестене на енергия, са специфични за Mac, а не за потребителя по подразбиране.

Глупостта на разгръщането на политиката

Политиките за управление на Mac, като правилата на iOS, се съхраняват като XML данни в конфигурационни профили. Тези профили могат да бъдат приложени към Mac по един от трите начина: чрез ръчно създаване и разпространение към отделни Mac / потребители, чрез безплатното приложение Apple Configurator 2; чрез прилагане на MDM / EMM решение; или чрез използване на традиционни пакети за управление на настолни компютри.

Ако изберете ръчно да разпространявате конфигурационни профили, ще трябва да използвате мениджъра на профили на OS X Server, за да ги създадете, след което получените профили ще трябва да бъдат инсталирани ръчно на всеки Mac. Когато се отвори, профилът ще подкани потребителя да инсталира включените политики. Използвайки този метод, няма напълно автоматизиран начин за разпространение на конфигурационни профили, без да се използват допълнителни инструменти за разполагане. Ако разчитате на потребителите, а не на ИТ персонала, за да ги инсталирате, може да е трудно да се уверите, че са инсталирани. Поради това ръчното разпространение на профили може да бъде най-простият вариант, но вероятно е по-малко идеален или дори жизнеспособен за по-големи организации.

(Забележка: Самият мениджър на профили е специфично за Apple решение за MDM, което може да се използва за изтласкване на политики по начина на други MDM / EMM предложения, в допълнение към създаването на конфигурационни профили за ръчно разпространение.)

Приложението Apple Configurator 2 може да се използва за инсталиране на профили / политики на свързани Mac, както и на iOS устройства. Това осигурява директно, безплатно решение, за да се гарантира, че профилите / политиките са инсталирани и функционират. Въпреки това, той изисква всеки управляван Mac да бъде свързан към Mac с Apple Configurator 2 чрез USB за конфигуриране. Това прави Apple Configurator 2 отличен инструмент за малкия бизнес и образователните организации, които често имат прост набор от политически нужди, но това е неефективна стратегия за управление на Mac, ако трябва да конфигурирате голям брой Mac.

Тук инструментите MDM / EMM могат да помогнат, тъй като политиките на Mac могат да се прилагат, използвайки същата MDM рамка, използвана от устройствата с iOS. Като такива повечето доставчици, които поддържат управление на iOS, също поддържат управление на Mac. По този начин те са удобен за предприятието вариант, особено защото много организации вече използват такива решения за управление на iOS и Android устройства.

Друга опция, която се мащабира добре за корпоративна употреба, е традиционният пакет за управление на настолни компютри, включващ както специфични за Apple суити, като Casper Suite на JAMF, така и мултиплатформени суити, като LanDesk Management Suite и Symantec Management Platform. Тези апартаменти не само прилагат политики, но често предлагат инструменти за управление и внедряване. Като се има предвид популярността на суитите, много организации често вече използват такива инструменти или може да открият техните допълнителни функции достатъчно убедителни, за да инвестират в тях (повече за тези инструменти в част трета от тази поредица).

Ако имате притеснения относно XML-базирания характер на политиките на Mac, бъдете сигурни: Обикновено администраторите не трябва да създават или редактират XML данните, използвани в политиките за управление на Mac. Повечето инструменти на Apple и на трети страни предоставят интуитивни потребителски интерфейси за задаване на опции за политики и те се справят с необходимото създаване на XML под капака. Едно изключение е политиката за персонализирани настройки за определяне на настройки за инсталирани приложения и допълнителни функции на OS X, обсъдени по-късно в тази статия. Конфигурирането на персонализирани настройки ще изисква да влезете в червата на XML.

Основни политики за управление на Mac всеки администратор трябва да знае

Apple предлага шеметна гама от опции за политики за управление на Mac, но специфичен набор от 13 политики е най-често използваният - и е най-критичен за управлението и защитата на Mac в корпоративна среда. Всяка от следните основни политики за управление се прилага или за Mac, или за потребители, освен ако не е посочено друго:

  • Мрежа: За конфигуриране на мрежови настройки, включително Wi-Fi конфигурация и някои подробности за Ethernet връзка.
  • Сертификат: За разполагане на цифрови сертификати, използвани в кодирана комуникация в рамките на организация, както и някои идентификационни данни за конкретни услуги (много мрежови услуги разчитат на сертификати за сигурна комуникация и удостоверяване).
  • SCEP: За да дефинирате настройки за придобиване и / или подновяване на сертификати от CA (Certificate Authority), използвайки SCEP (Simple Certificate Enrollment Protocol). SCEP предоставя автоматизирана опция, която позволява на устройствата да придобиват / подновяват сертификати. Той се използва като част от процеса на Apple за записване в MDM за устройства с iOS и може да се използва и за записване на Mac в управлявана среда. Конфигурацията на SCEP ще варира в зависимост от CA и свързаните с тях инструменти за управление в експлоатация.  
  • Сертификат на Active Directory: За предоставяне на информация за удостоверяване за сървъри за сертификати на Active Directory. Това правило може да бъде зададено само за потребителски акаунти.
  • Directory: За конфигуриране на услуги за директории за членство, включително Active Directory и Open Directory на Apple. Могат да бъдат конфигурирани множество системи от директории. Това правило може да бъде зададено само за Mac.
  • Exchange: За конфигуриране на достъп до потребителски акаунт в Exchange в родните приложения на Apple за поща, контакти и календар. (Не конфигурира Microsoft Outlook.) Това може да бъде зададено само за потребителски акаунти.
  • VPN: За конфигуриране на вградения VPN клиент на Mac. Няколко променливи могат да бъдат конфигурирани. Ако работи, потребителите няма да могат да променят конфигурацията на VPN.
  • Сигурност и поверителност: За конфигуриране на няколко от вградените функции за сигурност на OS X, включително репутацията и инструмента за сигурност на приложението GateKeeper, криптирането на FileVault (може да бъде зададено само за Mac, а не потребителите) и дали диагностичните данни могат да бъдат изпращани на Apple.
  • Мобилност: За да зададете дали се поддържа създаване на мобилен акаунт, както и свързани променливи (вижте първата статия от тази поредица за информация за мобилни акаунти).
  • Ограничения: За ограничаване на достъпа до набор от функции на OS X, като Game Center, App Store, възможност за стартиране на конкретни приложения, достъп до външен носител, използване на вградената камера, достъп до iCloud, предложения за търсене в Spotlight, AirDrop споделяне и достъп до различни услуги в менюто за споделяне на OS X.
  • Прозорец за вход: За конфигуриране на прозореца за влизане в OS X, включително всички съобщения в прозореца за вход (наричани банери); дали потребителят може да рестартира или изключи Mac, без да влиза в системата; и дали допълнителната информация за Mac може да бъде достъпна от прозореца за вход.
  • Печат: За да конфигурирате предварително достъпа до принтери и да зададете незадължителен долен колонтитул за всички отпечатани страници.
  • Прокси: За посочване на прокси сървъри.

Допълнителни правила за закръгляване на вашия автопарк

В допълнение към правилата, изброени по-горе, Apple предоставя набор от опции за конфигуриране на потребителския опит на Mac. Някои организации ще намерят тези политики за полезни за всички Mac или само за подгрупа от техния флот. Тези политики включват възможността за предварително конфигуриране на AirPlay; да настроите достъп до сървър CalDAV и сървър CardDAV в приложенията Календар и Контакти; да се установи възможността за инсталиране на допълнителни шрифтове; да конфигурирате достъп до LDAP сървър единствено с цел търсене на данни за контакти; за предварително конфигуриране на POP и IMAP акаунти в приложението Mail; за конфигуриране и добавяне на елементи (уеб клипове, папки, приложения) към Dock; да зададете предпочитания за спестяване на енергия, както и графици за стартиране / изключване / събуждане / сън; за да активирате опростена версия на Finder и да блокирате определени команди, като например Свързване със сървър, Изваждане на обем, Запис на диск, Отидете в папка,Рестартирайте и изключете; за да посочите елементи, които трябва автоматично да се отварят при влизане; да конфигурирате функции за достъпност за потребители с увреждания; да настроите акаунти на Jabber в приложението Messages; и така нататък.

Има и опция за предварително изготвяне на идентификация на потребителски акаунт, когато е инсталиран профил. Това обикновено се използва, когато профилите са инсталирани на отделни Mac. Когато Mac се присъедини към директория, информацията за потребителския акаунт се извлича от директорията.

Политиката за актуализация на софтуера е подходяща за организации, които разполагат OS X Server за използване като локален сървър за актуализация на софтуера. OS X Server има способността да кешира локални копия на Apple Software Updates, за да подобри производителността и да намали задръстванията в мрежата при актуализиране на вашия автопарк.

Персонализирани настройки: Вашата политика за определяне на приложения или системни настройки

Политиката за персонализирани настройки играе важна роля за максимизиране на способността на ИТ да управлява цялото потребителско изживяване на Mac. Той позволява на администратора да задава настройки за всички инсталирани приложения и допълнителни функции на OS X, дори ако тези приложения или функции нямат изрична политика, дефинирана от Apple. Когато се използват, трябва да се посочат XML данните от файл с предпочитания на приложение или функция. Най-лесният начин да използвате тази опция е да конфигурирате приложение или функция с желаната настройка и след това да намерите съответния .plist файл (обикновено в / Library / Preferences директория в домашната папка на текущия потребител). Като алтернатива, съответните XML ключове и информация могат да се въвеждат ръчно.

Взаимодействие с политиката

Тъй като политиките могат да се прилагат въз основа на отделни Mac-ове, групи Mac-и, индивидуални потребителски акаунти или потребителски групи, има ситуации, при които могат да се прилагат няколко правила едновременно. Полученият опит зависи до голяма степен от вида на политиката.

Повечето политики добавят елемент на конфигурация; когато има няколко екземпляра на тези политики, всички те се прилагат. Например, ако Mac има политика, която определя елементи на дока и потребителят е член на две групи, всяка от които посочва допълнителни елементи на дока, този потребител ще види комбиниран набор от всички посочени елементи на дока, когато влезе в този Mac. (Друг потребител, който влиза в същия Mac, ще вижда елементите на Dock, посочени за този Mac, както и всички, посочени за неговите или нейните групи.

Има обаче случаи, при които политиките не могат просто да се добавят една към друга. Това важи особено за функции, които ограничават достъпа на потребителите до функционалност или функции. В тези случаи най-ограничителната политика е тази, която се прилага.