Η εισαγωγή των Mac σε ένα υπάρχον περιβάλλον πληροφορικής μπορεί να κάνει κάθε διαχειριστή των Windows να αισθάνεται λίγο λάθος. Όλα είναι εξοικειωμένα, όσον αφορά τις εργασίες και τις ρυθμίσεις, αλλά με αρκετό στρίψιμο για να φαίνεται λίγο ξένο στην αρχή. Οι τρέχουσες σειρές συμβουλών διαχείρισης Mac είναι εδώ για να σας βοηθήσουν να ξεκινήσετε με ασφάλεια και παραγωγικά τους Mac.
Στο πρώτο μέρος αυτής της σειράς, κοίταξα τις βασικές απαιτήσεις για την ενσωμάτωση των Mac σε εταιρικά περιβάλλοντα, συμπεριλαμβανομένου του τρόπου ένταξής τους σε εταιρικά συστήματα. Σε κλίμακα, οι μεγάλες αναπτύξεις Mac απαιτούν συχνά ένα μοναδικό σύνολο δεξιοτήτων και εργαλείων για να είναι επιτυχημένα. Το ίδιο ισχύει και για την εφαρμογή πολιτικών διαχείρισης σε Mac, τις οποίες καλύπτω σε αυτό το άρθρο. Εδώ, θα δείτε μια επισκόπηση των πολιτικών Mac και πληροφορίες σχετικά με τον τρόπο σχεδιασμού μιας στρατηγικής για την ανάπτυξή τους.
Στο τελευταίο κομμάτι της σειράς, θα εξετάσω τα συγκεκριμένα εργαλεία που χρησιμοποιούνται για την εφαρμογή πολιτικών, καθώς και εργαλεία που προσφέρουν πρόσθετες δυνατότητες διαχείρισης και ανάπτυξης.
Το αποτέλεσμα των πολιτικών διαχείρισης Mac
Το πώς μπορείτε να διαχειριστείτε τους Mac είναι ένα ζήτημα κλίμακας. Οι τεχνικοί σε οργανισμούς με μικρό αριθμό Mac μπορούν συχνά να διαμορφώσουν κάθε Mac ξεχωριστά ή να δημιουργήσουν μια μεμονωμένη εικόνα συστήματος που εφαρμόζει μια ομοιόμορφη διαμόρφωση σε κάθε Mac. Σε μεγαλύτερους οργανισμούς, οι προκλήσεις είναι πιο περίπλοκες. Διαφορετικοί χρήστες ή τμήματα θα έχουν διαφορετικές ανάγκες διαμόρφωσης και θα απαιτούν διαφορετικά δικαιώματα πρόσβασης. Επιπλέον, συχνά θα έχουν ανάγκες διαμόρφωσης που σχετίζονται με μεμονωμένους χρήστες και ομάδες, καθώς και ανάγκες που σχετίζονται με συγκεκριμένους Mac με βάση τη χρήση τους (και μερικές φορές το υλικό τους). Εξαιτίας αυτού, η μη αυτόματη διαμόρφωση είναι πολύ αναποτελεσματική. Εδώ, ο αυτοματισμός είναι το κλειδί.
Για το σκοπό αυτό, η Apple προσφέρει μια σειρά από πολιτικές που μπορούν να εφαρμοστούν στο στόλο Mac σας για την επιβολή των απαιτήσεων ασφάλειας, για την αυτόματη διαμόρφωση μηχανημάτων Mac σε συγκεκριμένα προφίλ και για την ενεργοποίηση και τον περιορισμό της πρόσβασης σε πόρους στο δίκτυό σας.
Εάν είστε ήδη εξοικειωμένοι με τις Πολιτικές ομάδας των Windows, θα χαρείτε να μάθετε ότι μπορείτε να διαχειριστείτε πλήρως την εμπειρία χρήστη Mac με παρόμοιο τρόπο χρησιμοποιώντας τις πολιτικές της Apple για Mac. Οι περισσότερες από αυτές τις πολιτικές μπορούν να εφαρμοστούν είτε σε συγκεκριμένους Mac (ή σε ομάδες Mac) είτε σε συγκεκριμένους λογαριασμούς χρηστών (ή σε ομάδες μελών). Ορισμένες πολιτικές, ωστόσο, μπορούν να συνδεθούν μόνο με Mac ή σε λογαριασμούς χρηστών. Η εξοικείωση με τον τρόπο διαμόρφωσης των πολιτικών είναι ζωτικής σημασίας για τη δημιουργία της στρατηγικής διαχείρισης Mac.
Για παράδειγμα, όπως και με τις Πολιτικές ομάδας των Windows, οι πολιτικές που σχετίζονται με τις ανάγκες των χρηστών και τα στοιχεία ελέγχου πρόσβασης συχνά διαχειρίζονται με βάση την ιδιότητα μέλους ομάδας που σχετίζεται με τμήμα, ρόλους εργασίας και άλλους παράγοντες. Οι απαιτήσεις ρύθμισης ασφάλειας για εφαρμογές και Mac για τμήματα ορίζονται καλύτερα με βάση Mac (ή ομάδα Mac), αντί για χρήστες (ή συνδρομές ομάδας). Ορισμένες πολιτικές, όπως οι πολιτικές εξοικονόμησης ενέργειας, είναι συγκεκριμένες για Mac και όχι συγκεκριμένες από χρήστη από προεπιλογή.
Το καλό της ανάπτυξης πολιτικής
Οι πολιτικές διαχείρισης Mac, όπως οι πολιτικές iOS, αποθηκεύονται ως δεδομένα XML σε προφίλ διαμόρφωσης. Αυτά τα προφίλ μπορούν να εφαρμοστούν σε Mac με έναν από τους τρεις τρόπους: με τη μη αυτόματη δημιουργία και διανομή τους σε μεμονωμένους Mac / χρήστες, μέσω της δωρεάν εφαρμογής Apple Configurator 2. εφαρμόζοντας μια λύση MDM / EMM · ή μέσω της χρήσης παραδοσιακών σουιτών διαχείρισης επιφάνειας εργασίας.
Εάν επιλέξετε να διανείμετε με μη αυτόματο τρόπο προφίλ διαμόρφωσης, θα πρέπει να χρησιμοποιήσετε τη Διαχείριση προφίλ του διακομιστή OS X για να τα δημιουργήσετε, τότε τα προκύπτοντα προφίλ θα πρέπει να εγκατασταθούν χειροκίνητα σε κάθε Mac. Όταν ανοίξει, το προφίλ θα ζητήσει από τον χρήστη να εγκαταστήσει τις συμπεριλαμβανόμενες πολιτικές. Χρησιμοποιώντας αυτήν τη μέθοδο, δεν υπάρχει πλήρως αυτοματοποιημένος τρόπος διανομής προφίλ διαμόρφωσης χωρίς τη χρήση πρόσθετων εργαλείων ανάπτυξης. Εάν βασίζεστε σε χρήστες και όχι στο προσωπικό πληροφορικής για να τους εγκαταστήσετε, μπορεί να είναι δύσκολο να βεβαιωθείτε ότι έχουν εγκατασταθεί. Εξαιτίας αυτού, η μη αυτόματη διανομή προφίλ μπορεί να είναι η απλούστερη επιλογή, αλλά είναι πιθανώς λιγότερο ιδανική, ή ακόμη και βιώσιμη, για μεγαλύτερους οργανισμούς.
(Σημείωση: Το ίδιο το Profile Manager είναι μια λύση MDM ειδικά για Apple που μπορεί να χρησιμοποιηθεί για την προώθηση πολιτικών με τον τρόπο που προσφέρουν άλλες προσφορές MDM / EMM, εκτός από τη δημιουργία προφίλ διαμόρφωσης για μη αυτόματη διανομή.)
Η εφαρμογή Apple Configurator 2 μπορεί να χρησιμοποιηθεί για την εγκατάσταση προφίλ / πολιτικών σε συνδεδεμένους Mac καθώς και σε συσκευές iOS. Αυτό παρέχει μια απλή, χωρίς κόστος λύση για την εξασφάλιση της εγκατάστασης και λειτουργίας των προφίλ / πολιτικών. Ωστόσο, απαιτεί κάθε διαχειριζόμενο Mac να είναι συνδεδεμένο σε Mac με Apple Configurator 2 μέσω USB για διαμόρφωση. Αυτό καθιστά το Apple Configurator 2 ένα εξαιρετικό εργαλείο για μικρές επιχειρήσεις και εκπαιδευτικούς οργανισμούς, που συχνά έχουν ένα απλό σύνολο πολιτικών αναγκών, αλλά είναι μια αναποτελεσματική στρατηγική διαχείρισης Mac εάν πρέπει να διαμορφώσετε έναν μεγάλο αριθμό Mac.
Εδώ, τα εργαλεία MDM / EMM μπορούν να βοηθήσουν, καθώς οι πολιτικές Mac μπορούν να εφαρμοστούν χρησιμοποιώντας το ίδιο πλαίσιο MDM που χρησιμοποιείται από συσκευές iOS. Ως εκ τούτου, οι περισσότεροι προμηθευτές που υποστηρίζουν τη διαχείριση iOS υποστηρίζουν επίσης τη διαχείριση Mac. Έτσι, είναι μια επιλογή φιλική προς τις επιχειρήσεις, ειδικά επειδή πολλοί οργανισμοί χρησιμοποιούν ήδη τέτοιες λύσεις για τη διαχείριση συσκευών iOS και Android.
Μια άλλη επιλογή που κλιμακώνεται καλά για επιχειρηματική χρήση είναι η παραδοσιακή σουίτα διαχείρισης επιτραπέζιων υπολογιστών, συμπεριλαμβανομένων τόσο των σουιτών που αφορούν συγκεκριμένα την Apple, όπως το Casper Suite του JAMF όσο και των σουίτες πολλαπλών μορφών, όπως η LanDesk Management Suite και η Symantec Management Platform. Αυτές οι σουίτες όχι μόνο εφαρμόζουν πολιτικές, αλλά συχνά προσφέρουν εργαλεία διαχείρισης και ανάπτυξης. Δεδομένης της δημοτικότητας των σουιτών, πολλοί οργανισμοί έχουν ήδη ήδη χρησιμοποιήσει τέτοια εργαλεία ή μπορεί να βρουν τα πρόσθετα χαρακτηριστικά τους αρκετά επιτακτικά για να επενδύσουν σε αυτά (περισσότερα σε αυτά τα εργαλεία στο τρίτο μέρος αυτής της σειράς).
Εάν έχετε ανησυχίες σχετικά με τη φύση των πολιτικών Mac που βασίζονται σε XML, να είστε βέβαιοι: Οι διαχειριστές γενικά δεν χρειάζεται να δημιουργούν ή να επεξεργάζονται άμεσα τα δεδομένα XML που χρησιμοποιούνται στις πολιτικές διαχείρισης Mac. Τα περισσότερα εργαλεία της Apple και τρίτων παρέχουν διαισθητικά περιβάλλοντα χρήστη για τον καθορισμό επιλογών πολιτικής και χειρίζονται την απαραίτητη δημιουργία XML κάτω από την κουκούλα. Μία εξαίρεση είναι η πολιτική προσαρμοσμένων ρυθμίσεων για τον καθορισμό ρυθμίσεων για εγκατεστημένες εφαρμογές και πρόσθετες λειτουργίες OS X, που θα συζητηθούν αργότερα σε αυτό το άρθρο. Η διαμόρφωση προσαρμοσμένων ρυθμίσεων θα απαιτήσει να μπείτε στα κενά του XML.
Οι βασικές πολιτικές διαχείρισης Mac πρέπει να γνωρίζουν όλοι οι διαχειριστές
Η Apple παρέχει ένα εκπληκτικό εύρος επιλογών πολιτικής για τη διαχείριση Mac, αλλά ένα συγκεκριμένο σύνολο 13 πολιτικών είναι το πιο συχνά χρησιμοποιούμενο - και είναι το πιο κρίσιμο για τη διαχείριση και την ασφάλεια των Mac σε ένα εταιρικό περιβάλλον. Κάθε μία από τις ακόλουθες βασικές πολιτικές διαχείρισης ισχύει για Mac ή χρήστες, εκτός εάν ορίζεται διαφορετικά:
- Δίκτυο: Για τη διαμόρφωση ρυθμίσεων δικτύου, συμπεριλαμβανομένης της διαμόρφωσης Wi-Fi και ορισμένων λεπτομερειών σύνδεσης Ethernet.
- Πιστοποιητικό: Για την ανάπτυξη ψηφιακών πιστοποιητικών που χρησιμοποιούνται στην κρυπτογραφημένη επικοινωνία εντός ενός οργανισμού, καθώς και ορισμένα διαπιστευτήρια ταυτότητας για συγκεκριμένες υπηρεσίες (πολλές υπηρεσίες δικτύου βασίζονται σε πιστοποιητικά για ασφαλή επικοινωνία και έλεγχο ταυτότητας).
- SCEP: Για να ορίσετε ρυθμίσεις για την απόκτηση ή / και την ανανέωση πιστοποιητικών από μια αρχή έκδοσης πιστοποιητικών (Αρχή έκδοσης πιστοποιητικών) χρησιμοποιώντας το SCEP (Simple Certificate Enrollment Protocol). Το SCEP παρέχει μια αυτοματοποιημένη επιλογή που επιτρέπει στις συσκευές να αποκτούν / ανανεώνουν πιστοποιητικά. Χρησιμοποιείται ως μέρος της διαδικασίας εγγραφής MDM της Apple για συσκευές iOS και μπορεί να χρησιμοποιηθεί και για την εγγραφή Mac σε διαχειριζόμενο περιβάλλον. Η διαμόρφωση SCEP θα διαφέρει ανάλογα με την ΑΠ και τα σχετικά εργαλεία διαχείρισης που λειτουργούν.
- Πιστοποιητικό Active Directory: Για την παροχή πληροφοριών ελέγχου ταυτότητας για διακομιστές πιστοποιητικών Active Directory. Αυτή η πολιτική μπορεί να οριστεί μόνο για λογαριασμούς χρηστών.
- Κατάλογος: Για τη διαμόρφωση υπηρεσιών καταλόγου μελών, συμπεριλαμβανομένων της υπηρεσίας καταλόγου Active Directory και του Open Directory της Apple. Μπορούν να διαμορφωθούν πολλαπλά συστήματα καταλόγου. Αυτή η πολιτική μπορεί να οριστεί μόνο για Mac.
- Ανταλλαγή: Για ρύθμιση παραμέτρων πρόσβασης σε λογαριασμό Exchange ενός χρήστη στις εγγενείς εφαρμογές Mail, Επαφές και Ημερολόγιο της Apple. (Δεν ρυθμίζει το Microsoft Outlook.) Αυτό μπορεί να οριστεί μόνο για λογαριασμούς χρηστών.
- VPN: Για τη διαμόρφωση του ενσωματωμένου προγράμματος-πελάτη VPN του Mac. Μπορούν να ρυθμιστούν διάφορες μεταβλητές. Σε λειτουργία, οι χρήστες δεν θα μπορούν να τροποποιήσουν τη διαμόρφωση VPN.
- Ασφάλεια & απόρρητο: Για τη διαμόρφωση αρκετών από τις ενσωματωμένες λειτουργίες ασφαλείας του OS X, όπως η φήμη της εφαρμογής GateKeeper και το εργαλείο ασφαλείας, η κρυπτογράφηση FileVault (μπορεί να ρυθμιστεί μόνο για Mac, όχι χρήστες) και εάν τα διαγνωστικά δεδομένα μπορούν να σταλούν στην Apple.
- Κινητικότητα: Για να ορίσετε εάν υποστηρίζεται η δημιουργία λογαριασμού για κινητά ή όχι, καθώς και σχετικές μεταβλητές (ανατρέξτε στο πρώτο άρθρο αυτής της σειράς για πληροφορίες σχετικά με λογαριασμούς για κινητά).
- Περιορισμοί: Για τον περιορισμό της πρόσβασης σε μια σειρά λειτουργιών OS X, όπως το Game Center, το App Store, τη δυνατότητα εκκίνησης συγκεκριμένων εφαρμογών, την πρόσβαση σε εξωτερικά μέσα, τη χρήση της ενσωματωμένης κάμερας, την πρόσβαση στο iCloud, τις προτάσεις αναζήτησης Spotlight, το AirDrop κοινή χρήση και πρόσβαση σε διάφορες υπηρεσίες στο μενού κοινής χρήσης OS X.
- Παράθυρο σύνδεσης: Για τη διαμόρφωση του παραθύρου σύνδεσης OS X, συμπεριλαμβανομένων των μηνυμάτων παραθύρου σύνδεσης (αναφέρονται ως πανό). εάν ένας χρήστης μπορεί να επανεκκινήσει ή να τερματίσει τη λειτουργία ενός Mac χωρίς σύνδεση · και εάν μπορούν να προσπελαστούν πρόσθετες πληροφορίες για το Mac από το παράθυρο σύνδεσης.
- Εκτύπωση: Για να ρυθμίσετε εκ των προτέρων την πρόσβαση σε εκτυπωτές και να καθορίσετε ένα προαιρετικό υποσέλιδο για όλες τις εκτυπωμένες σελίδες.
- Proxy: Για τον καθορισμό διακομιστών μεσολάβησης.
Πρόσθετες πολιτικές για την ολοκλήρωση του στόλου σας
Εκτός από τις πολιτικές που αναφέρονται παραπάνω, η Apple παρέχει μια σειρά επιλογών πολιτικής για τη διαμόρφωση της εμπειρίας χρήστη Mac. Ορισμένοι οργανισμοί θα βρουν αυτές τις πολιτικές χρήσιμες για όλους τους Mac ή μόνο ένα υποσύνολο του στόλου τους. Αυτές οι πολιτικές περιλαμβάνουν τη δυνατότητα προκαθορισμού του AirPlay. να ρυθμίσετε την πρόσβαση σε διακομιστή CalDAV και διακομιστή CardDAV στις εφαρμογές Ημερολόγιο και Επαφές. να καθορίσει τη δυνατότητα εγκατάστασης πρόσθετων γραμματοσειρών. να διαμορφώσετε την πρόσβαση σε διακομιστή LDAP αποκλειστικά με σκοπό την αναζήτηση δεδομένων επαφής · να διαμορφώσετε εκ των προτέρων λογαριασμούς POP και IMAP στην εφαρμογή Mail. να διαμορφώσετε και να προσθέσετε στοιχεία (κλιπ Ιστού, φακέλους, εφαρμογές) στο Dock. για να ορίσετε προτιμήσεις εξοικονόμησης ενέργειας, καθώς και προγράμματα εκκίνησης / τερματισμού / αφύπνισης / αναστολής λειτουργίας · για να ενεργοποιήσετε μια απλοποιημένη έκδοση του Finder και να αποκλείσετε ορισμένες εντολές, όπως Σύνδεση σε διακομιστή, Έξοδος τόμου, Εγγραφή δίσκου, Μετάβαση σε φάκελο, Επανεκκίνηση και Τερματισμός. για να καθορίσετε στοιχεία που θα πρέπει να ανοίγουν αυτόματα κατά τη σύνδεση · να διαμορφώσετε δυνατότητες προσβασιμότητας για χρήστες με αναπηρίες · να ρυθμίσετε λογαριασμούς Jabber στην εφαρμογή Μηνύματα. και ούτω καθεξής.
Υπάρχει επίσης μια επιλογή να προπληρωθεί η ταυτοποίηση λογαριασμού χρήστη κατά την εγκατάσταση ενός προφίλ. Αυτό χρησιμοποιείται γενικά όταν τα προφίλ εγκαθίστανται σε μεμονωμένους Mac. Όταν ένα Mac συνδέεται με έναν κατάλογο, οι πληροφορίες λογαριασμού χρήστη ανακτώνται από τον κατάλογο.
Η πολιτική ενημέρωσης λογισμικού σχετίζεται με οργανισμούς που αναπτύσσουν διακομιστή OS X για χρήση ως τοπικός διακομιστής ενημέρωσης λογισμικού. Ο OS X Server έχει τη δυνατότητα προσωρινής αποθήκευσης τοπικών αντιγράφων των Ενημερώσεων λογισμικού της Apple, προκειμένου να βελτιώσει την απόδοση και να μειώσει την κυκλοφοριακή συμφόρηση κατά την ενημέρωση του στόλου σας.
Προσαρμοσμένες ρυθμίσεις: Η πολιτική σας για τον καθορισμό ρυθμίσεων εφαρμογής ή συστήματος
Η πολιτική προσαρμοσμένων ρυθμίσεων παίζει σημαντικό ρόλο στη μεγιστοποίηση της ικανότητας IT να διαχειρίζεται ολόκληρη την εμπειρία χρήστη Mac. Επιτρέπει σε έναν διαχειριστή να καθορίζει ρυθμίσεις για οποιεσδήποτε εγκατεστημένες εφαρμογές και πρόσθετες λειτουργίες OS X, ακόμη και αν αυτές οι εφαρμογές ή λειτουργίες δεν έχουν ρητή πολιτική που καθορίζεται από την Apple. Όταν χρησιμοποιείται, πρέπει να καθοριστούν τα δεδομένα XML από ένα αρχείο προτιμήσεων μιας εφαρμογής ή μιας λειτουργίας. Ο ευκολότερος τρόπος για να χρησιμοποιήσετε αυτήν την επιλογή είναι να διαμορφώσετε μια εφαρμογή ή μια λειτουργία με την επιθυμητή ρύθμιση και, στη συνέχεια, να εντοπίσετε το κατάλληλο αρχείο .plist (συνήθως στον κατάλογο / Βιβλιοθήκη / Προτιμήσεις στον αρχικό φάκελο του τρέχοντος χρήστη). Εναλλακτικά, τα σχετικά κλειδιά XML και οι πληροφορίες μπορούν να εισαχθούν χειροκίνητα.
Πολιτική αλληλεπίδραση
Δεδομένου ότι οι πολιτικές μπορούν να εφαρμοστούν βάσει μεμονωμένων Mac, ομάδων Mac, μεμονωμένων λογαριασμών χρηστών ή ομάδων χρηστών, υπάρχουν περιπτώσεις όπου ενδέχεται να εφαρμοστούν πολλές πολιτικές ταυτόχρονα. Η εμπειρία που προκύπτει εξαρτάται σε μεγάλο βαθμό από το είδος της πολιτικής.
Η πλειονότητα των πολιτικών προσθέτει ένα στοιχείο διαμόρφωσης. όταν υπάρχουν πολλές παρουσίες αυτών των πολιτικών, εφαρμόζονται όλες. Για παράδειγμα, εάν ένας Mac έχει μια πολιτική που καθορίζει στοιχεία Dock και ένας χρήστης είναι μέλος δύο ομάδων που ο καθένας καθορίζει πρόσθετα στοιχεία Dock, αυτός ο χρήστης θα βλέπει ένα συνδυασμένο σύνολο όλων των καθορισμένων στοιχείων Dock όταν αυτός ή αυτή συνδέεται σε αυτό το Mac. (Ένας άλλος χρήστης που συνδέεται στο ίδιο Mac θα βλέπει τα στοιχεία Dock που καθορίζονται σε αυτό το Mac, καθώς και τυχόν στοιχεία που έχουν καθοριστεί για τις συσχετίσεις της ομάδας του.)
Υπάρχουν, ωστόσο, ορισμένες περιπτώσεις, όπου οι πολιτικές δεν μπορούν απλώς να αλληλοσυμπληρώνονται. Αυτό ισχύει ιδιαίτερα για λειτουργίες που περιορίζουν την πρόσβαση των χρηστών σε λειτουργίες ή λειτουργίες. Σε αυτές τις περιπτώσεις, η πιο περιοριστική πολιτική είναι αυτή που εφαρμόζεται.
