Če Mac vnesete v obstoječe informacijsko okolje, se lahko kateri koli skrbnik sistema Windows počuti nekoliko napačno. Glede nalog in nastavitev je vse znano, vendar z dovolj zasuka, da se sprva zdi nekoliko tuje. Tukaj je naša vrsta nasvetov za upravljanje Maca, ki vam bodo pomagali pri varnem in produktivnem uvajanju računalnikov Mac.
V prvem delu te serije sem preučil bistvene zahteve za integracijo Macov v poslovna okolja, vključno s tem, kako jih združiti s poslovnimi sistemi. Za uspešno uvajanje velikih računalnikov Mac pogosto potrebujejo edinstven nabor znanj in orodij. Enako velja za uporabo politik upravljanja v računalnikih Mac, ki jih obravnavam v tem članku. Tu boste dobili pregled pravilnikov Mac in vpogled v to, kako načrtovati strategijo za njihovo uvajanje.
V zadnjem delu serije bom preučil posebna orodja, ki se uporabljajo za uporabo pravilnikov, in orodja, ki ponujajo dodatne funkcije upravljanja in uvajanja.
Rezultat politik upravljanja Mac
Kako se lotiti upravljanja Mac-a, je vprašanje obsega. Tehniki v organizacijah z majhnim številom Macov lahko pogosto konfigurirajo vsak Mac posebej ali ustvarijo eno samo sliko sistema, ki za vsak Mac uporablja enotno konfiguracijo. V večjih organizacijah so izzivi bolj zapleteni. Različni uporabniki ali oddelki bodo imeli različne potrebe po konfiguraciji in bodo potrebovali različne pravice dostopa. Poleg tega bodo pogosto imeli potrebe po konfiguraciji, povezane s posameznimi uporabniki in skupinami, pa tudi potrebe, povezane z določenimi Mac-i, ki temeljijo na njihovi uporabi (in včasih njihovi strojni opremi). Zaradi tega je ročna konfiguracija preprosto premalo učinkovita. Tu je avtomatizacija ključnega pomena.
V ta namen Apple ponuja vrsto pravilnikov, ki jih je mogoče uporabiti za vaš sistem Mac za uveljavitev varnostnih zahtev, za samodejno konfiguriranje računalnikov Mac za določene profile ter za omogočanje in omejevanje dostopa do virov v vašem omrežju.
Če že poznate pravilnike skupin Windows, boste z veseljem vedeli, da lahko na podoben način v celoti upravljate uporabniško izkušnjo Maca z uporabo Appleovih pravilnikov za Mace. Večino teh pravilnikov je mogoče uporabiti za določene Mace (ali skupine Macov) ali za določene uporabniške račune (ali članstva v skupinah). Nekatere pravilnike pa je mogoče povezati samo z računalniki Mac ali z uporabniškimi računi. Poznavanje načina konfiguriranja pravilnikov je ključnega pomena za ustvarjanje strategije upravljanja Mac.
Tako kot pri pravilnikih skupin Windows na primer tudi politike, povezane s potrebami uporabnikov in nadzorom dostopa, pogosto upravljamo na podlagi članstva v skupini, povezanega z oddelkom, vlogami v službi in drugimi dejavniki. Zahteve za varnostne nastavitve za oddelčne aplikacije in Mac je najbolje nastaviti glede na Mace (ali skupino Macov) in ne na uporabnike (ali članstva v skupini). Nekateri pravilniki, na primer pravilniki o varčevanju z energijo, so privzeto za Mac in ne za uporabnika.
Grozljivo uvajanje politike
Pravilniki za upravljanje Maca, tako kot iOS, se v konfiguracijskih profilih shranijo kot podatki XML. Te profile je mogoče uporabiti za Mace na enega od treh načinov: z ročnim ustvarjanjem in distribucijo posameznim računalnikom Mac / uporabnikom prek brezplačne aplikacije Apple Configurator 2; z uporabo rešitve MDM / EMM; ali z uporabo tradicionalnih programov za upravljanje namizja.
Če se odločite za ročno distribucijo konfiguracijskih profilov, boste morali za njihovo ustvarjanje uporabiti Upravitelja profilov strežnika OS X Server, nato pa bo treba nastale profile namestiti ročno na vsak Mac. Ko se profil odpre, bo uporabnik pozval uporabnika, da namesti vključene pravilnike. S to metodo ni popolnoma avtomatiziranega načina distribucije konfiguracijskih profilov brez uporabe dodatnih orodij za uvajanje. Če se pri njihovi namestitvi zanašate na uporabnike in ne na osebje IT, je težko zagotoviti, da so nameščeni. Zaradi tega je lahko ročno distribuiranje profilov najpreprostejša možnost, vendar je verjetno manj idealno ali celo izvedljivo za večje organizacije.
(Opomba: Profil Manager je sama rešitev Apple MDM, ki jo lahko uporabimo za potiskanje pravilnikov na način drugih ponudb MDM / EMM, poleg tega pa ustvarja konfiguracijske profile za ročno distribucijo.)
Aplikacijo Apple Configurator 2 lahko uporabite za namestitev profilov / pravilnikov na privezane Mace in naprave iOS. To zagotavlja enostavno, brezplačno rešitev za zagotovitev namestitve in delovanja profilov / pravilnikov. Vendar zahteva, da je vsak upravljani Mac za konfiguracijo povezan z Macom, v katerem je nameščen Apple Configurator 2, prek USB-ja. Zaradi tega je Apple Configurator 2 odlično orodje za mala podjetja in izobraževalne organizacije, ki imajo pogosto preprost nabor političnih potreb, vendar je neučinkovita strategija upravljanja Maca, če morate konfigurirati veliko število Macov.
Tu lahko pomagajo orodja MDM / EMM, saj lahko pravilnike Mac uporabljamo z istim okvirom MDM, ki ga uporabljajo naprave iOS. Tako večina ponudnikov, ki podpirajo upravljanje iOS-a, podpira tudi upravljanje Mac-a. Tako so podjetju prijazna možnost, zlasti ker številne organizacije že uporabljajo takšne rešitve za upravljanje naprav iOS in Android.
Druga možnost, ki je dobro prilagojena za uporabo v podjetju, je tradicionalna programska oprema za upravljanje namizja, vključno z apartmaji, specifičnimi za Apple, kot je JAMF-ov Casper Suite, in večplatformnimi apartmaji, kot sta LanDesk Management Suite in Symantec Management Platform. Ti apartmaji ne uporabljajo samo pravilnikov, temveč pogosto ponujajo orodja za upravljanje in uvajanje. Glede na priljubljenost apartmajev številne organizacije pogosto že uporabljajo takšna orodja ali pa se jim zdijo njihove dodatne funkcije dovolj prepričljive, da lahko vlagajo vanje (več o teh orodjih v tretjem delu te serije).
Če imate pomisleke glede narave pravilnikov Mac na osnovi XML, bodite prepričani: skrbnikom praviloma ni treba neposredno ustvarjati ali urejati podatkov XML, ki se uporabljajo v pravilnikih za upravljanje Maca. Večina orodij Apple in neodvisnih proizvajalcev ponuja intuitivne uporabniške vmesnike za nastavitev možnosti pravilnika in pod pokrovom ureja potrebno ustvarjanje XML. Ena izjema je pravilnik o nastavitvah po meri za določanje nastavitev nameščenih aplikacij in dodatnih funkcij OS X, o katerem bomo razpravljali kasneje v tem članku. Če želite konfigurirati nastavitve po meri, boste potrebovali vpogled v XML.
Osnovne politike upravljanja Mac-a, ki jih mora poznati vsak skrbnik
Apple ponuja vrtoglavo paleto političnih možnosti za upravljanje Maca, vendar je najpogosteje uporabljen poseben sklop 13 pravilnikov, ki je najpomembnejši za upravljanje in zaščito računalnikov Mac v poslovnem okolju. Vsak od naslednjih pravil o osnovnem upravljanju velja za Mace ali uporabnike, če ni določeno drugače:
- Omrežje: za konfiguriranje omrežnih nastavitev, vključno s konfiguracijo Wi-Fi in nekaterimi podrobnostmi o Ethernet povezavi.
- Potrdilo: za uvajanje digitalnih potrdil, ki se uporabljajo v šifrirani komunikaciji v organizaciji, pa tudi nekaterih poverilnic identitete za določene storitve (številne omrežne storitve se zanašajo na potrdila za varno komunikacijo in overjanje).
- SCEP: Določite nastavitve za pridobivanje in / ali podaljšanje potrdil od CA (overitelja potrdil) s pomočjo SCEP (Simple Certificate Enrollment Protocol). SCEP ponuja samodejno možnost, ki napravam omogoča pridobitev / podaljšanje certifikatov. Uporablja se kot del Appleovega postopka vpisa v MDM za naprave iOS in se lahko uporablja tudi za vpis Macov v upravljano okolje. Konfiguracija SCEP se razlikuje glede na CA in s tem povezana orodja za upravljanje.
- Potrdilo Active Directory: za zagotavljanje informacij o overjanju strežnikov potrdil Active Directory. Ta pravilnik je mogoče nastaviti samo za uporabniške račune.
- Imenik: za konfiguriranje storitev imenikov članstva, vključno z imenikom Active Directory in Applovim odprtim imenikom. Konfiguriramo lahko več imeniških sistemov. Ta pravilnik je mogoče nastaviti samo za Mace.
- Exchange: za konfiguriranje dostopa do uporabnikovega računa Exchange v domačih Applovih aplikacijah za pošto, stike in koledar. (Ne konfigurira Microsoft Outlooka.) To lahko nastavite samo za uporabniške račune.
- VPN: za konfiguriranje vgrajenega odjemalca VPN za Mac. Konfiguriramo lahko več spremenljivk. Če deluje, uporabniki ne bodo mogli spreminjati konfiguracije VPN.
- Varnost in zasebnost: za konfiguriranje več vgrajenih varnostnih funkcij OS X, vključno z ugledom in varnostnim orodjem aplikacije GateKeeper, šifriranjem FileVault (lahko ga nastavite samo za Mace, ne za uporabnike) in ali lahko diagnostične podatke pošljete Appleu.
- Mobilnost: nastavitev, ali je ustvarjanje mobilnega računa podprto in s tem povezane spremenljivke (informacije o mobilnih računih najdete v prvem članku te serije).
- Omejitve: za omejevanje dostopa do vrste funkcij OS X, kot so Game Center, App Store, možnost zagonu določenih aplikacij, dostop do zunanjih medijev, uporaba vgrajene kamere, dostop do iCloud, predlogi za iskanje v središču, AirDrop dostop do različnih storitev v meniju za skupno rabo OS X.
- Okno za prijavo: za konfiguriranje prijavnega okna OS X, vključno s sporočili v oknu za prijavo (imenovane pasice); ali lahko uporabnik znova zažene ali zaustavi Mac brez prijave; in ali je do dodatnih informacij o Macu mogoče dostopati iz okna za prijavo.
- Tiskanje: za predhodno nastavitev dostopa do tiskalnikov in določitev neobvezne noge za vse natisnjene strani.
- Proxyji: za določanje proxy strežnikov.
Dodatni pravilniki za zaokrožitev vaše flote
Apple poleg zgoraj naštetih pravilnikov ponuja vrsto možnosti pravilnikov za konfiguriranje uporabniške izkušnje za Mac. Nekaterim organizacijam se bodo te politike zdele koristne za vse Mace ali samo za del njihove flote. Ti pravilniki vključujejo možnost predhodne konfiguracije AirPlay; za nastavitev dostopa do strežnika CalDAV in CardDAV v aplikacijah Koledar in Stiki; vzpostaviti zmožnost namestitve dodatnih pisav; za konfiguriranje dostopa do strežnika LDAP izključno za iskanje podatkov o stikih; za predhodno konfiguriranje računov POP in IMAP v aplikaciji Mail; za konfiguriranje in dodajanje elementov (spletnih posnetkov, map, aplikacij) v Dock; nastaviti nastavitve za varčevanje z energijo ter urnike za zagon / zaustavitev / budnost / spanje; omogočiti poenostavljeno različico programa Finder in blokirati nekatere ukaze, na primer Connect to Server, Eject Volume, Burn Disc, Go to Folder, Restart in Shut Down; določiti elemente, ki naj se samodejno odprejo ob prijavi; za konfiguriranje funkcij dostopnosti za invalide; za nastavitev računov Jabber v aplikaciji Messages; in tako naprej.
Obstaja tudi možnost vnaprejšnje identifikacije uporabniškega računa, ko je profil nameščen. To se običajno uporablja, kadar so profili nameščeni na posameznih računalnikih Mac. Ko je Mac povezan z imenikom, se iz imenika pridobijo podatki o uporabniškem računu.
Pravilnik o posodobitvi programske opreme je pomemben za organizacije, ki uvajajo strežnik OS X za uporabo kot lokalni strežnik za posodobitev programske opreme. Strežnik OS X ima možnost predpomnjenja lokalnih kopij posodobitev programske opreme Apple, da izboljša zmogljivost in zmanjša prezasedenost omrežja pri posodabljanju voznega parka.
Nastavitve po meri: vaš pravilnik za določanje nastavitev aplikacije ali sistema
Pravilnik o nastavitvah po meri igra pomembno vlogo pri maksimiranju sposobnosti IT za upravljanje celotne uporabniške izkušnje Mac. Skrbniku omogoča, da določi nastavitve za vse nameščene aplikacije in dodatne funkcije OS X, tudi če te aplikacije ali funkcije nimajo izrecnega pravilnika, ki ga določa Apple. Ko so uporabljeni, morajo biti podani podatki XML iz datoteke z nastavitvami aplikacije ali funkcije. To možnost je najlažje uporabiti tako, da konfigurirate aplikacijo ali funkcijo z želeno nastavitvijo in nato poiščete ustrezno datoteko .plist (običajno v imeniku / Library / Preferences v domači mapi trenutnega uporabnika). Sorodne ključe XML in informacije lahko vnesete tudi ročno.
Politična interakcija
Ker je mogoče politike uporabiti na podlagi posameznih Macov, skupin Macov, posameznih uporabniških računov ali uporabniških skupin, obstajajo primeri, ko se lahko hkrati uporabi več pravilnikov. Izkušnje, ki iz tega izhajajo, so v veliki meri odvisne od vrste politike.
Večina pravilnikov dodaja konfiguracijski element; kadar obstaja več primerkov teh pravilnikov, se uporabljajo vsi. Če ima Mac na primer pravilnik, ki določa elemente Dock in je uporabnik član dveh skupin, ki vsaka določa dodatne elemente Dock, bo ta uporabnik videl kombiniran nabor vseh določenih elementov Dock, ko se bo prijavil v ta Mac. (Drug uporabnik, ki se prijavi v isti Mac, bo videl elemente Dock, določene za ta Mac, in vse, ki so določeni za njegovo skupinsko pripadnost.)
V nekaterih primerih pa se politike ne morejo preprosto dodati. To še posebej velja za funkcije, ki omejujejo dostop uporabnika do funkcionalnosti ali funkcij. V teh primerih je najbolj restriktivna politika, ki se izvaja.
