Uvedenie počítačov Mac do existujúceho prostredia IT môže spôsobiť, že sa každý správca systému Windows bude cítiť trochu zle. Čo sa týka úloh a nastavení, všetko je známe, ale s dostatkom obratu, aby sa vám spočiatku zdalo trochu cudzie. Naša pokračujúca séria tipov na správu počítačov Mac je tu, aby vám pomohla pri bezpečnom a produktívnom zavedení počítačov Mac.
V prvej časti tejto série som sa zaoberal základnými požiadavkami na integráciu počítačov Mac do podnikových prostredí, vrátane toho, ako ich pripojiť k podnikovým systémom. Rozsiahle nasadenie veľkých počítačov Mac vyžaduje v záujme úspechu jedinečnú sadu zručností a nástrojov. To isté platí pre uplatňovanie politík správy na počítačoch Mac, ktorým sa venujem v tomto článku. Tu získate prehľad zásad a prehľadov systému Mac, ako naplánovať stratégiu ich nasadenia.
V záverečnej časti série sa pozriem na konkrétne nástroje používané pri uplatňovaní politík, ako aj na nástroje ponúkajúce ďalšie funkcie správy a nasadenia.
Výsledok v oblasti politík správy systému Mac
Ako postupovať pri správe počítačov Mac je otázka rozsahu. Technici v organizáciách s malým počtom počítačov Mac môžu často konfigurovať každý Mac individuálne alebo vytvoriť jeden obraz systému, ktorý použije jednotnú konfiguráciu pre každý Mac. Vo väčších organizáciách sú výzvy zložitejšie. Rôzni používatelia alebo oddelenia budú mať odlišné konfiguračné potreby a budú vyžadovať rôzne prístupové oprávnenia. Okrem toho budú mať často konfiguračné potreby týkajúce sa jednotlivých používateľov a skupín, ako aj potreby týkajúce sa konkrétnych počítačov Mac založené na ich použití (a niekedy aj ich hardvéri). Z tohto dôvodu je manuálna konfigurácia jednoducho príliš neefektívna. Tu je kľúčová automatizácia.
Za týmto účelom spoločnosť Apple ponúka celý rad politík, ktoré je možné aplikovať na vašu flotilu počítačov Mac s cieľom presadiť bezpečnostné požiadavky, pomôcť pri automatickej konfigurácii strojov Mac na konkrétne profily a povoliť a obmedziť prístup k prostriedkom vo vašej sieti.
Ak ste sa už oboznámili s Pravidlami skupiny pre Windows, budete radi, že môžete podobným spôsobom plne spravovať používateľské prostredie Mac pomocou zásad spoločnosti Apple pre Mac. Väčšinu z týchto politík je možné použiť buď na konkrétne počítače Mac (alebo skupiny počítačov Mac), alebo na konkrétne používateľské účty (alebo členstvá v skupinách). Niektoré zásady však možno viazať iba na počítače Mac alebo na používateľské účty. Znalosť toho, ako je možné konfigurovať politiky, je nevyhnutná pre vytvorenie strategického riadenia vášho počítača Mac.
Napríklad rovnako ako v prípade skupinových politík Windows, politiky týkajúce sa potrieb používateľov a riadenia prístupu sa často riadia na základe členstva v skupine týkajúceho sa oddelenia, pracovných rolí a ďalších faktorov. Požiadavky na nastavenie zabezpečenia aplikácie a Macu pre jednotlivé oddelenia sa najlepšie nastavujú na základe počítačov Mac (alebo skupiny počítačov Mac), a nie používateľov (alebo členstva v skupinách). Niektoré zásady, napríklad zásady šetriča energie, sú predvolene špecifické pre Mac, než pre používateľov.
Hlúpe nasadenie politiky
Zásady pre správu Mac, podobne ako zásady pre iOS, sa ukladajú ako údaje XML v konfiguračných profiloch. Tieto profily je možné na počítače Mac použiť jedným z troch spôsobov: manuálnym vytvorením a distribúciou medzi jednotlivými počítačmi Mac / používateľom prostredníctvom bezplatnej aplikácie Apple Configurator 2; implementáciou riešenia MDM / EMM; alebo pomocou tradičných balíkov na správu počítačov.
Ak sa rozhodnete manuálne distribuovať konfiguračné profily, na ich vytvorenie budete musieť použiť Správcu profilov servera OS X. Výsledné profily potom bude potrebné nainštalovať manuálne do každého počítača Mac. Po otvorení profil vyzve používateľa, aby si nainštaloval zahrnuté politiky. Pri použití tejto metódy neexistuje žiadny plne automatizovaný spôsob distribúcie konfiguračných profilov bez použitia ďalších nástrojov nasadenia. Ak sa pri inštalácii spoliehate skôr na používateľov ako na pracovníkov IT, môže byť ťažké zabezpečiť, aby boli nainštalovaní. Z tohto dôvodu môže byť manuálna distribúcia profilov najjednoduchšou možnosťou, ale pre väčšie organizácie je pravdepodobne menej ideálna alebo dokonca životaschopná.
(Poznámka: Samotný Správca profilov je riešenie MDM špecifické pre Apple, ktoré je možné okrem vytvorenia konfiguračných profilov pre manuálnu distribúciu použiť aj na vytlačenie politík na spôsob iných ponúk MDM / EMM.)
Aplikáciu Apple Configurator 2 je možné použiť na inštaláciu profilov / politík na pripútané počítače Mac a iOS. To poskytuje priame a bezplatné riešenie na zabezpečenie, že profily / zásady sú nainštalované a fungujú. Vyžaduje však, aby bol každý spravovaný Mac pripojený k počítaču Mac so systémom Apple Configurator 2 pomocou USB. Vďaka tomu je Apple Configurator 2 vynikajúcim nástrojom pre malé podniky a vzdelávacie organizácie, ktoré majú často jednoduchý súbor politických potrieb, ale je to neefektívna stratégia správy počítačov Mac, ak potrebujete nakonfigurovať veľký počet počítačov Mac.
Tu môžu pomôcť nástroje MDM / EMM, pretože zásady systému Mac je možné použiť pomocou rovnakého rámca MDM, aký používajú zariadenia so systémom iOS. Väčšina predajcov, ktorí podporujú správu systému iOS, preto podporuje aj správu počítačov Mac. Ide teda o možnosť vhodnú pre podnikanie, najmä preto, že mnohé organizácie už takéto riešenia používajú na správu zariadení so systémom iOS a Android.
Ďalšou možnosťou, ktorá sa dá dobre rozšíriť na podnikové použitie, je tradičná sada pre správu stolových počítačov, ktorá obsahuje ako súpravy špecifické pre Apple, ako napríklad Casper Suite od JAMF, tak aj multiplatformové súpravy ako LanDesk Management Suite a Symantec Management Platform. Tieto balíčky nielenže uplatňujú politiky, ale často ponúkajú aj nástroje na správu a nasadenie. Vzhľadom na popularitu balíkov mnoho organizácií často už tieto nástroje používa, alebo môžu nájsť svoje ďalšie funkcie natoľko presvedčivé, aby do nich investovali (viac o týchto nástrojoch v tretej časti tejto série).
Ak máte pochybnosti o povahe zásad politík Mac založených na XML, môžete si byť istí: Správcovia vo všeobecnosti nemusia priamo vytvárať alebo upravovať údaje XML použité v zásadách správy systému Mac. Väčšina nástrojov spoločnosti Apple a tretích strán poskytuje intuitívne používateľské rozhranie na nastavenie možností politiky a pod kapotou zvláda tvorbu potrebných XML. Jednou výnimkou sú pravidlá vlastných nastavení pre špecifikovanie nastavení pre nainštalované aplikácie a ďalšie funkcie OS X, ktoré sú popísané ďalej v tomto článku. Konfigurácia vlastných nastavení si bude vyžadovať dostať sa do útrob XML.
Základné zásady správy Mac musia poznať všetci správcovia
Spoločnosť Apple poskytuje závratnú škálu možností politiky pre správu počítačov Mac, ale najčastejšie sa používa konkrétna sada 13 politík - a je najdôležitejšia pre správu a zabezpečenie počítačov Mac v podnikovom prostredí. Každá z nasledujúcich zásad hlavnej správy sa vzťahuje na počítače Mac alebo používateľov, pokiaľ nie je uvedené inak:
- Sieť: Na konfiguráciu sieťových nastavení vrátane konfigurácie Wi-Fi a niektorých podrobností o ethernetovom pripojení.
- Certifikát: Na nasadenie digitálnych certifikátov používaných v šifrovanej komunikácii v rámci organizácie, ako aj niektorých poverení identity pre konkrétne služby (veľa sieťových služieb sa pri zabezpečenej komunikácii a autentifikácii spolieha na certifikáty).
- SCEP: Definovanie nastavení pre získanie a / alebo obnovenie certifikátov od CA (Certifikačná autorita) pomocou SCEP (Simple Certificate Enrollment Protocol). SCEP poskytuje automatizovanú možnosť, ktorá umožňuje zariadeniam získavať / obnovovať certifikáty. Používa sa ako súčasť procesu registrácie MDM spoločnosti Apple pre zariadenia so systémom iOS a je možné ho použiť aj na registráciu počítačov Mac do riadeného prostredia. Konfigurácia SCEP sa bude líšiť v závislosti od CA a súvisiacich nástrojov na správu v prevádzke.
- Certifikát Active Directory: Poskytnutie autentifikačných informácií pre servery certifikátu Active Directory. Toto pravidlo je možné nastaviť iba pre používateľské účty.
- Adresár: Na konfiguráciu členských adresárových služieb vrátane služieb Active Directory a Apple Open Directory. Je možné nakonfigurovať viac adresárových systémov. Túto zásadu je možné nastaviť iba pre počítače Mac.
- Exchange: Na konfiguráciu prístupu k používateľskému účtu Exchange v natívnych aplikáciách Mail, Kontakty a Kalendár spoločnosti Apple. (Nekonfiguruje program Microsoft Outlook.) Toto je možné nastaviť iba pre používateľské účty.
- VPN: Na konfiguráciu zabudovaného klienta VPN pre Mac. Je možné nakonfigurovať niekoľko premenných. Ak budú používatelia v prevádzke, nebudú môcť meniť konfiguráciu VPN.
- Zabezpečenie a ochrana osobných údajov: Na konfiguráciu niekoľkých vstavaných bezpečnostných funkcií OS X, vrátane reputácie aplikácie GateKeeper a bezpečnostného nástroja, šifrovanie FileVault (možno nastaviť iba pre počítače Mac, nie pre používateľov) a to, či je možné odosielať diagnostické údaje spoločnosti Apple.
- Mobilita: Ak chcete nastaviť, či je podporované vytváranie mobilných účtov, ako aj súvisiace premenné (informácie o mobilných účtoch nájdete v prvom článku tejto série.)
- Obmedzenia: Pre obmedzenie prístupu k rade funkcií OS X, ako sú Game Center, App Store, možnosť spúšťať konkrétne aplikácie, prístup k externým médiám, použitie vstavanej kamery, prístup k iCloudu, návrhy na hľadanie Spotlight, AirDrop zdieľanie a prístup k rôznym službám v ponuke zdieľania OS X.
- Prihlasovacie okno: Na konfiguráciu prihlasovacieho okna OS X vrátane akýchkoľvek správ v prihlasovacom okne (označovaných ako bannery); či môže alebo nemôže používateľ reštartovať alebo vypnúť počítač Mac bez prihlásenia; a či je alebo nie je možné získať prístup k ďalším informáciám o počítači Mac z prihlasovacieho okna.
- Tlač: Predkonfigurovanie prístupu k tlačiarňam a určenie voliteľnej päty pre všetky vytlačené stránky.
- Proxy: Na určenie serverov proxy.
Ďalšie pravidlá na doplnenie vašej flotily
Okrem politík uvedených vyššie poskytuje spoločnosť Apple celý rad možností politík na konfiguráciu používateľského prostredia Mac. Niektoré organizácie považujú tieto politiky za užitočné pre všetky počítače Mac alebo iba pre podmnožinu ich flotily. Tieto politiky zahŕňajú schopnosť predkonfigurovať AirPlay; nastaviť prístup k serveru CalDAV a serveru CardDAV v aplikáciách Kalendár a Kontakty; zistiť schopnosť inštalovať ďalšie písma; konfigurovať prístup k serveru LDAP výlučne na účely vyhľadávania kontaktných údajov; predkonfigurovať účty POP a IMAP v aplikácii Pošta; konfigurovať a pridávať položky (webové klipy, priečinky, aplikácie) do Docku; nastaviť predvoľby šetriča energie, ako aj plány spustenia / vypnutia / prebudenia / spánku; povoliť zjednodušenú verziu aplikácie Finder a blokovať určité príkazy, ako napríklad Pripojiť k serveru, Vysunúť zväzok, Napáliť disk, Prejsť do priečinka, Reštartovať a Vypnúť; určiť položky, ktoré by sa mali automaticky otvoriť pri prihlásení; konfigurovať funkcie dostupnosti pre používateľov so zdravotným postihnutím; nastaviť účty Jabber v aplikácii Správy; a tak ďalej.
K dispozícii je tiež možnosť vopred vyplniť identifikáciu používateľského účtu, keď je nainštalovaný profil. Spravidla sa to používa, keď sú profily nainštalované na jednotlivých počítačoch Mac. Keď je počítač Mac pripojený k adresáru, informácie o používateľskom účte sa načítajú z adresára.
Zásady aktualizácie softvéru sú relevantné pre organizácie, ktoré nasadia server OS X na použitie ako lokálny server aktualizácií softvéru. Server OS X má schopnosť ukladať miestne kópie aktualizácií softvéru Apple do medzipamäte, aby sa pri aktualizácii vašej flotily zlepšil výkon a znížilo preťaženie siete.
Vlastné nastavenia: Vaše pravidlá pre definovanie nastavení aplikácie alebo systému
Zásady vlastných nastavení zohrávajú dôležitú úlohu pri maximalizácii schopnosti IT spravovať celú používateľskú skúsenosť so systémom Mac. Umožňuje správcovi špecifikovať nastavenia pre všetky nainštalované aplikácie a ďalšie funkcie OS X, aj keď tieto aplikácie alebo funkcie nemajú definované výslovnou politikou spoločnosti Apple. Ak sa použijú, musia sa zadať údaje XML zo súboru preferencií aplikácie alebo funkcie. Najjednoduchší spôsob, ako použiť túto možnosť, je nakonfigurovať aplikáciu alebo funkciu s požadovaným nastavením a potom vyhľadať vhodný súbor .plist (zvyčajne v adresári / Library / Preferences v domovskom priečinku aktuálneho používateľa). Prípadne je možné príslušné XML kľúče a informácie zadať manuálne.
Interakcia politiky
Keďže zásady je možné aplikovať na základe jednotlivých počítačov Mac, skupín počítačov Mac, jednotlivých používateľských účtov alebo skupín používateľov, existujú situácie, kedy je možné súčasne použiť viac politík. Výsledné skúsenosti vo veľkej miere závisia od typu politiky.
Väčšina politík pridáva konfiguračný prvok; ak existuje viac inštancií týchto politík, použijú sa všetky z nich. Ak má napríklad Mac zásady, ktoré určujú položky Dock, a používateľ je členom dvoch skupín, z ktorých každá určuje ďalšie položky Dock, po prihlásení do daného počítača Mac sa mu zobrazí kombinovaná sada všetkých zadaných položiek Dock. (Iný používateľ, ktorý sa prihlási do toho istého počítača Mac, uvidí položky Dock špecifikované pre tento Mac, ako aj všetky položky priradené k jeho príslušným skupinám.)
Existujú však prípady, keď sa politiky nemôžu navzájom jednoducho dopĺňať. Platí to najmä o funkciách, ktoré obmedzujú prístup používateľa k funkčnosti alebo funkciám. V týchto prípadoch je najprísnejšia politika, ktorá sa presadzuje.
